網(wǎng)絡(luò)設(shè)備在虛擬化后是否依舊可以快速提供良好的性能?這是目前大家最為關(guān)注的問(wèn)題之一。下面就討論一下傳統(tǒng)網(wǎng)絡(luò)設(shè)備和虛擬化后面臨的問(wèn)題以及怎樣使用網(wǎng)絡(luò)設(shè)備才能提供實(shí)時(shí)管理監(jiān)控，保護(hù)SDN/NFV網(wǎng)絡(luò)的安全。

　　虛擬化的性能瓶頸

虛擬化進(jìn)程中，服務(wù)器虛擬化和存儲(chǔ)虛擬化因?yàn)榇蟛糠謱儆谲浖夹g(shù)，發(fā)展較為迅速，并快速商用。網(wǎng)絡(luò)虛擬化，是對(duì)網(wǎng)絡(luò)資源如端口、帶寬、IP地址等進(jìn)行抽象，并支持按照租戶和應(yīng)用進(jìn)行動(dòng)態(tài)分配和管理。網(wǎng)絡(luò)虛擬化因?yàn)榫W(wǎng)絡(luò)標(biāo)準(zhǔn)、網(wǎng)絡(luò)處理芯片更新周期長(zhǎng)而發(fā)展較為滯后，成為數(shù)據(jù)中心虛擬化過(guò)程中的難點(diǎn)和關(guān)鍵點(diǎn)。網(wǎng)絡(luò)虛擬化技術(shù)走過(guò)了一條由軟件到硬件、由服務(wù)器內(nèi)部到物理網(wǎng)絡(luò)的發(fā)展道路。

從很多方面來(lái)看，現(xiàn)在對(duì)網(wǎng)絡(luò)設(shè)備虛擬化已經(jīng)做的比較完善了，可以基于標(biāo)準(zhǔn)的x86架構(gòu)的服務(wù)器硬件設(shè)備運(yùn)行與之匹配的應(yīng)用，但是性能卻一直不盡如人意。不過(guò)，即使是物理網(wǎng)絡(luò)設(shè)備，高速運(yùn)行時(shí)性能也不太理想。這就是為什么大多數(shù)高性能設(shè)備使用分析加速硬件。盡管分析加速硬件釋放CPU進(jìn)行分析處理，但大多數(shù)網(wǎng)絡(luò)設(shè)備依舊會(huì)將所有CPU處理能力用來(lái)執(zhí)行任務(wù)。

從虛擬化角度來(lái)看，設(shè)備的虛擬化只能實(shí)現(xiàn)到一定程度。如果待處理的數(shù)據(jù)速率和數(shù)據(jù)數(shù)量比較低，那么就可以使用虛擬化設(shè)備。一旦數(shù)據(jù)速率和數(shù)量上升，對(duì)虛擬設(shè)備的處理需求就會(huì)提高。首先，這就意味著虛擬化設(shè)備需要單獨(dú)訪問(wèn)所有可用的CPU資源。即使那樣，使用標(biāo)準(zhǔn)NIC接口的虛擬化設(shè)備還是會(huì)遇到與物理設(shè)備一樣的問(wèn)題，例如丟包率、時(shí)間戳精確性、跨多個(gè)可用的CPU內(nèi)核的有效負(fù)載均衡等方面的問(wèn)題。

虛擬化性能優(yōu)化的努力

服務(wù)器虛擬化通過(guò)嵌入在基礎(chǔ)物理服務(wù)器和操作系統(tǒng)之間的中間軟件層Hypervisor實(shí)現(xiàn)，其接管操作系統(tǒng)對(duì)CPU、內(nèi)存、I/O資源的控制，為每個(gè)VM(Virtual Machine，虛擬機(jī))分配一定的資源，并實(shí)現(xiàn)VM之間的隔離和通信。Hypervisor提供一個(gè)或多個(gè)模擬物理交換機(jī)的軟件虛擬交換機(jī)vSwitch(Virtual Switch)來(lái)進(jìn)行VM之間的通信，并為每個(gè)VM分配一個(gè)虛擬網(wǎng)口和一定的帶寬。vSwitch除了具備物理交換機(jī)基本的MAC學(xué)習(xí)和轉(zhuǎn)發(fā)、VLAN功能外，還具有配置靈活和成本低廉的優(yōu)點(diǎn)。由于vSwitch通過(guò)軟件實(shí)現(xiàn)，其分配的網(wǎng)絡(luò)資源實(shí)際還是由服務(wù)器CPU資源來(lái)保證。

軟件虛擬化交換機(jī)(包括I/O加速的vSwtich)雖然有部署靈活和便宜的優(yōu)點(diǎn)，但也存在著一些缺點(diǎn)：第一，性能提升受限于CPU以及網(wǎng)卡的I/O架構(gòu);第二，軟件交換機(jī)實(shí)現(xiàn)的網(wǎng)絡(luò)功能相對(duì)簡(jiǎn)單，只實(shí)現(xiàn)了轉(zhuǎn)發(fā)功能，被稱為VEB(虛擬網(wǎng)絡(luò)橋)，缺少交換控制、網(wǎng)絡(luò)監(jiān)視、QoS、安全等功能;第三，管理界限模糊，軟件交換機(jī)運(yùn)行在服務(wù)器內(nèi)部，而服務(wù)器管理團(tuán)隊(duì)對(duì)于網(wǎng)絡(luò)理解不深;第四，VM和vSwitch數(shù)量激增帶來(lái)的管理難題。為進(jìn)一步優(yōu)化性能、簡(jiǎn)化管理并繼承傳統(tǒng)交換機(jī)特性，網(wǎng)絡(luò)設(shè)備商和相關(guān)標(biāo)準(zhǔn)組織提出邊緣交換機(jī)虛擬化技術(shù)，把VM交換功能再進(jìn)一步由網(wǎng)卡卸載到物理交換機(jī)上來(lái)。涉及到的關(guān)鍵技術(shù)有VEPA(Virtual Ethernet Port Aggregator)/Multi-Channel和PE(Port Extender)兩種，分別由IEEE 802.1Qbg和IEEE 802.1Qbh(現(xiàn)由IEEE802.1BR替代)兩個(gè)標(biāo)準(zhǔn)定義和推動(dòng)。

物理和虛擬的融合

事實(shí)上，物理設(shè)備即使虛擬化也無(wú)法擺脫曾經(jīng)面臨的那些問(wèn)題，需要將這些問(wèn)題一一解決。解決方法之一就是考慮采用物理設(shè)備監(jiān)控、保護(hù)虛擬網(wǎng)絡(luò)。虛擬化感知網(wǎng)絡(luò)設(shè)備可以作為“服務(wù)鏈”的環(huán)節(jié)同虛擬客戶端一起充當(dāng)服務(wù)定義的一部分。這就要求網(wǎng)絡(luò)設(shè)備能夠識(shí)別虛擬網(wǎng)絡(luò)，目前這個(gè)工作由大部分高性能設(shè)備和分析加速硬件所支持的VLAN封裝技術(shù)完成，確保設(shè)備提供與具體VLAN、虛擬網(wǎng)絡(luò)相關(guān)的分析功能。

在向SDN、NFV階段性轉(zhuǎn)移的過(guò)程中這個(gè)方法顯得尤為實(shí)用。人們廣泛的認(rèn)為目前高性能的功能很難在實(shí)現(xiàn)虛擬化的同時(shí)保證性能幾乎不損耗。因此，務(wù)實(shí)的解決方案所倡導(dǎo)的SDN和NFV管理、編排方法既考慮了物理網(wǎng)絡(luò)元素又考慮了虛擬網(wǎng)絡(luò)元素。這樣一來(lái)，策略和配置無(wú)需考慮資源是否虛擬化了，只需要使用相同的機(jī)制即可。

因此我們應(yīng)該想到的是，引進(jìn)SDN和NFV需要一個(gè)通用的架構(gòu)以及通用的接口和拓?fù)錂C(jī)制，將傳統(tǒng)的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全解決方案和新的解決方案結(jié)合起來(lái)。只有這樣，才能隨時(shí)、隨地虛擬化網(wǎng)絡(luò)功能并且不影響整個(gè)網(wǎng)絡(luò)架構(gòu)和進(jìn)程。