針對如何優化數據中心以太網,支持其提供服務器虛擬化,已經出現了很多新的和推薦的協議。其中有些協議的目的是希望通過創建多個可共享同一物理基礎設施的虛擬以太網來實現網絡虛擬化,其共享方式有些類似于多個虛擬機共享同一臺物理服務器。
適用于網絡虛擬化的大部分協議基本上都是利用封裝和隧道技術來創建虛擬網絡覆蓋的。其中業界討論最多的協議包括VXLAN、NVGRE、STT和SPB MAC-in-MAC。SPB已是IEEE標準,而在有可能成為IETF標準的各種協議中,最有可能成為標準的是VXLAN。
傳統意義的網絡虛擬化
網絡實體的一對多虛擬化并不是什么新概念。最常見的例子就是VLAN和VRF(虛擬路由與轉發)。
數據中心在大量使用著服務器虛擬化,而VLAN數量上的限制可能產生問題,尤其當大量的租戶需要獲得支持,每個租戶都需要多個VLAN的時候。借助802.1Q的trunk鏈路可在數據中心內部擴展VLAN以便支持VM(虛擬機)的移動性,但這樣會增加運營成本和復雜程度。即便在基于2層的服務器-服務器連接的數據中心里,大量的VM每個都有自己的MAC地址,也會給2層交換機的轉發表功能帶來負擔。
VRF是3層網絡虛擬化的一種,其中的物理路由器支持多個虛擬路由器實例,每個實例都運行自己的路由協議實例,維護自己的轉發表。
和VLAN不同,VRF不會在報頭中使用標簽為每個分組指定具體的VRF。在每一跳都會根據輸入接口和幀的信息獲得適當的VRF。另外一個要求是,在數據包經過的端到端路徑中的每一個中轉路由器都需要配置一個VRF實例,以便能夠轉發該數據包。
利用覆蓋的網絡虛擬化
由于傳統VLAN或VRF模式存在缺陷,于是開始涌現出眾多創建虛擬網絡的新技術。其中大多數都是采用封裝和隧道技術,在同一個物理網絡上通過覆蓋來構建多個虛擬網絡拓撲。
一個虛擬網絡可以是2層的或3層的網絡,而物理網絡可以是2層的、3層的,或者兩者結合的網絡,這要取決于采用了何種覆蓋技術。利用覆蓋技術,外層(封裝)報頭包含一個24位長的域,攜帶一個虛擬網絡實例ID(VNID),給要轉發的數據包專門指定一個虛擬網絡。
虛擬網絡的覆蓋可提供眾多的好處,包括:
● 可支持基本上沒有數量限制的虛擬網絡;例如24位報頭可創建高達1600萬個虛擬網絡。
● 可解耦虛擬網絡拓撲、服務類別(L2或L3)和物理網絡尋址。這種解耦可避免出現諸如物理交換機上MAC表過大的問題。
● 支持虛擬機的遷移與物理網絡的無關性。如果一個VM要改變位置,甚至遷移到新的子網,在覆蓋邊緣的交換機只須更新其映射表便可反映出這個VM的新位置。新的VM的網絡完全可在網絡邊緣進行預配置。
● 管理多個租戶間相互覆蓋IP地址的能力。
● 在虛擬網絡中支持多路徑轉發。
各種覆蓋協議之間的主要差異在于其封裝格式和控制平面的功能性,即允許入口(封裝)設備將一個幀映射到適當的出口(拆裝)設備。
VXLAN
虛擬可擴展LAN(VXLAN)是在一個3層網絡上借助MAC-in-UDP封裝,疊加一個2層網絡來實現網絡虛擬的。VXLAN網段是一個3層構建,可替代VLAN為數據中心的VM生成LAN網段。
因此,一個VM只能在一個VXLAN段內通信或遷移。該VXLAN段有一個24位的VXLAN網絡標識符。VXLAN對VM來說是透明的,仍可使用MAC地址來通信。VXLAN封裝借助所謂VXLAN隧道端點(VTEP)來完成,該端點一般是通過一臺hypervisor交換機或物理接入交換機來提供的。
VXLAN封裝允許2層與任何端點進行通信,只要該端點在同一個VXLAN網段內即可,即便這些端點是在不同的IP子網內也沒有關系。這可以讓VM的實時遷移越出3層邊界。因為MAC幀是在IP包內封裝的,因此對個別的2層交換機來說是無需知道MAC地址的。
這樣做可以減輕交換機出現MAC地址表的硬件容量問題。覆蓋的IP和MAC地址可由VXLAN ID來處理,這個VXLAN ID就像是特定VXLAN網段的限定符/標識符,在這一網段內,IP和MAC地址都是有效的。這種VXLAN控制解決方案是使用基于任意源組播(ASM)的泛紅來傳播端系統位置信息的。
如上所述,VXLAN采用的是MAC-in-UDP封裝。這么做的理由之一是現代的3層設備可解析5元組(包括4層的源和目的端口)。VXLAN雖然采用了清晰明確的目的UDP端口,但源UDP端口卻可以是任何值。因此一個VTEP便可從跨很多UDP源端口的單一VM上傳播所有的流。這樣便允許中轉的3層交換機在僅有的兩個VM之間充分利用多路徑,甚至是多流的優勢。
在一個VXLAN覆蓋網絡上,如果VXLAN節點需要和網絡的傳統網段(例如VLAN)中的節點通信,可以用一個VXLAN網關來執行要求的隧道終端功能,包括封裝/拆裝。該網關的功能可利用硬件或軟件來實現。
VXLAN是IETF標準草案的一個子集,支持廠商有VMware、思科、Arista網絡、博科、紅帽和Citrix。IBM也支持VXLAN。在hypervisor vSwitch和物理交換機上實現這個預標準的現象已開始出現。
NVGRE
采用通用路由封裝的網絡虛擬化(NVGRE)用的是RFC 2784和RFC 2890所定義的GRE隧道協議。NVGRE在很多方面和VXLAN相似,只有兩處例外。雖然GRE封裝不是什么新概念,但大多數網絡設備卻不會去解析硬件的GRE報頭,因為這樣做可能影響性能,在多路徑數據中心LAN中解析流量分發的5元組哈希表也可能產生問題。
另一個例外是現有的IETF NVGRE標準草案并沒有為前面在講述一般的網絡覆蓋時所提到的控制平面功能指定一種解決方案,這可能得留待未來的草案去解決,或者留待SDN控制器去解決。
支持NVGRE的一些廠商(例如微軟和Emulex)認為,某些性能問題可通過智能網卡來解決,即用智能網卡卸載hypervisor vSwitch上的NVGRE端點處理。智能網卡還擁有與覆蓋控制器和hypervisor管理系統集成的API。Emulex還演示過可卸載VMware分布式交換機的VXLAN處理的智能網卡。
STT
無狀態傳輸協議(SST)是在數據中心的2層/3層物理網絡上創建2層虛擬網絡的第三種覆蓋技術。從理論上看,VXLAN和STT之間有很多相似之處。如隧道端點都是由hypervisor vSwitch提供的,VNID的長度都是24位,可通過控制傳輸源報頭發揮多路徑優勢等。
STT封裝在兩個方面與NVGRE和VXLAN有所不同。第一,在IP報頭內使用了無狀態TCP類報頭,允許端系統的隧道端點利用駐留在服務器網卡上的TCP卸載引擎(TOE)的TCP分片卸載功能(TSO)。
利用主機的好處包括較低的CPU使用率和較高的萬兆以太網接入鏈路使用率。STT還可為每個數據包的元數據分配更多的頭空間,而元數據則可為虛擬網絡的控制平面提供額外的靈活性。有了這些功能,STT便可針對hypervisor vSwitch作為封裝/拆裝隧道端點進行優化。
STT IETF草案的支持廠商是Nicira,但是也沒有具體的控制平面解決方案。不過Nicira自己的虛擬化解決方案包括類似OpenFlow的hypervisor vSwitch和基于中央網絡虛擬化控制器的控制平面,可簡化虛擬網絡的管理。
最短路徑橋接MAC-in-MAC(SPBM)
IEEE 802.1aq SPBM采用IEEE 802.1ah MAC-in-MAC封裝和IS-IS路由協議,通過VLAN擴展來提供2層網絡虛擬化,此外還有通常與SPB相關的無環路等價成本多路徑2層轉發功能。
VLAN擴展可借助24位虛擬服務網絡(VSN)實例服務ID(I-SID)來實現,后者是外層MAC封裝的一部分。和其他網絡虛擬化解決方案不同的是,在hypervisor vSwitch或網卡,以及現有的支持IEEE 802.1ah MAC-in-MAC封裝的交換機硬件上也無須做什么改變。對SPBM而言,控制平面是IS-IS路由協議提供的。
正如IP/SPB IETF草案所描述的,利用外層SPBM MAC的IP封裝,還可對SPBM擴展以支持3層轉發和3層虛擬化。這一稿草案規定了SPBM節點如何執行Inter-ISID或Inter-VLAN路由。此外,IP/SPB還可通過在網絡邊緣擴展虛擬路由和虛擬轉發(VRF)實例提供跨SPBM網絡的3層VSN,而無須也支持VRF實例的核心交換機。
VLAN擴展的VSN和VRF擴展的VSN可在同一個SPB網絡上同時運行,為多租戶環境提供隔離的2層和3層流量。有了SPBM,所有在接入或匯聚交換機上開始定義SPBM邊界的核心交換機都必須是SPBM使能的。目前可用的SPBM硬件交換機有Avaya和阿爾卡特-朗訊的。
其他可替代方案
有關網絡虛擬化的探討,如果沒有考慮到思科兩種協議中的至少一種,那將是不完全的,這兩種協議是:覆蓋傳輸虛擬化(OTV)和位置/ID分離協議(LISP)。
OTV是為數據中心內的VLAN在WAN或互聯網上的擴展做了優化的,采用的是MAC-in-IP封裝。它使用IS-IS路由協議擴展,通過將MAC地址的可到達性廣而告之,防止WAN上目的端點未知的泛洪流量。
LISP是一種IP-in-IP封裝技術,即便在端系統遷移到不同子網時也允許其保留IP地址(ID)。利用LISP的VM遷移性,IP各端點,如VM,便可遷移至任何地方,而不必管它們的IP地址是什么,同時又能維持客戶端流量的直接路徑路由。利用映射VRF給LISP實例ID來創建3層虛擬網絡的方法,LISP還可支持多租戶環境。此外,OpenFlow的未來版本毫無疑問還將支持某些標準的覆蓋功能。而在此之前,OpenFlow有可能提供另一種類型的網絡虛擬化,即通過基于分片流來隔離網絡流量來實現網絡虛擬化。實現這一點的一個非常簡單的方法就是通過給OpenFlow控制器增加一個過濾層來隔離MAC地址集,而不必依賴VLAN。Big Switch的v0.85 Floodlight控制器已經可提供此類功能。在多租戶環境中,OpenFlow控制器也有可能支持每個租戶一個分離控制器。
總結
網絡領域正處在一個劇烈變化的時代。這種巨變的主要技術推手之一就是從服務器虛擬化開始的虛擬化技術的持續發展,這一發展如今已開始影響到了網絡。這既包括了思科的兩個協議:覆蓋傳輸虛擬化和位置/ID分立協議,也包括了眾多基于封裝和隧道技術的新技術,如VXLAN等。此外,IT部門對SDN的關注程度也開始加速。網絡虛擬化就是和SDN有關的主要用例之一。
京公網安備 11010502049343號