精通网络虚拟化的必备攻略
针对如何优化数据中心以太网,支持其提供服务器虚拟化,已经出现了很多新的和推荐的协议。其中有些协议的目的是希望通过创建多个可共享同一物理基础设施的虚拟以太网来实现网络虚拟化,其共享方式有些类似于多个虚拟机共享同一台物理服务器。
适用于网络虚拟化的大部分协议基本上都是利用封装和隧道技术来创建虚拟网络覆盖的。其中业界讨论最多的协议包括vxlan、nvgre、stt和spb mac-in-mac。spb已是ieee标准,而在有可能成为ietf标准的各种协议中,最有可能成为标准的是vxlan。
传统意义的网络虚拟化
网络实体的一对多虚拟化并不是什么新概念。最常见的例子就是vlan和vrf(虚拟路由与转发)。
vlan可将网络划分为最多4094个广播域,在以太网报头中为每个广播域指定一个12位的vlan id。vlan是在共享同一个包交换lan基础设施中隔离不同类型流量的一种很方便的方法。
数据中心在大量使用着服务器虚拟化,而vlan数量上的限制可能产生问题,尤其当大量的租户需要获得支持,每个租户都需要多个vlan的时候。借助802.1q的trunk链路可在数据中心内部扩展vlan以便支持vm(虚拟机)的移动性,但这样会增加运营成本和复杂程度。即便在基于2层的服务器-服务器连接的数据中心里,大量的vm每个都有自己的mac地址,也会给2层交换机的转发表功能带来负担。
vrf是3层网络虚拟化的一种,其中的物理路由器支持多个虚拟路由器实例,每个实例都运行自己的路由协议实例,维护自己的转发表。
和vlan不同,vrf不会在报头中使用标签为每个分组指定具体的vrf。在每一跳都会根据输入接口和帧的信息获得适当的vrf。另外一个要求是,在数据包经过的端到端路径中的每一个中转路由器都需要配置一个vrf实例,以便能够转发该数据包。
利用覆盖的网络虚拟化
由于传统vlan或vrf模式存在缺陷,于是开始涌现出众多创建虚拟网络的新技术。其中大多数都是采用封装和隧道技术,在同一个物理网络上通过覆盖来构建多个虚拟网络拓扑。
一个虚拟网络可以是2层的或3层的网络,而物理网络可以是2层的、3层的,或者两者结合的网络,这要取决于采用了何种覆盖技术。利用覆盖技术,外层(封装)报头包含一个24位长的域,携带一个虚拟网络实例id(vnid),给要转发的数据包专门指定一个虚拟网络。
虚拟网络的覆盖可提供众多的好处,包括:
● 可支持基本上没有数量限制的虚拟网络;例如24位报头可创建高达1600万个虚拟网络。
● 可解耦虚拟网络拓扑、服务类别(l2或l3)和物理网络寻址。这种解耦可避免出现诸如物理交换机上mac表过大的问题。
● 支持虚拟机的迁移与物理网络的无关性。如果一个vm要改变位置,甚至迁移到新的子网,在覆盖边缘的交换机只须更新其映射表便可反映出这个vm的新位置。新的vm的网络完全可在网络边缘进行预配置。
● 管理多个租户间相互覆盖ip地址的能力。
● 在虚拟网络中支持多路径转发。
各种覆盖协议之间的主要差异在于其封装格式和控制平面的功能性,即允许入口(封装)设备将一个帧映射到适当的出口(拆装)设备。
vxlan
虚拟可扩展lan(vxlan)是在一个3层网络上借助mac-in-udp封装,叠加一个2层网络来实现网络虚拟的。vxlan网段是一个3层构建,可替代vlan为数据中心的vm生成lan网段。
因此,一个vm只能在一个vxlan段内通信或迁移。该vxlan段有一个24位的vxlan网络标识符。vxlan对vm来说是透明的,仍可使用mac地址来通信。vxlan封装借助所谓vxlan隧道端点(vtep)来完成,该端点一般是通过一台hypervisor交换机或物理接入交换机来提供的。
vxlan封装允许2层与任何端点进行通信,只要该端点在同一个vxlan网段内即可,即便这些端点是在不同的ip子网内也没有关系。这可以让vm的实时迁移越出3层边界。因为mac帧是在ip包内封装的,因此对个别的2层交换机来说是无需知道mac地址的。
这样做可以减轻交换机出现mac地址表的硬件容量问题。覆盖的ip和mac地址可由vxlan id来处理,这个vxlan id就像是特定vxlan网段的限定符/标识符,在这一网段内,ip和mac地址都是有效的。这种vxlan控制解决方案是使用基于任意源组播(asm)的泛红来传播端系统位置信息的。
如上所述,vxlan采用的是mac-in-udp封装。这么做的理由之一是现代的3层设备可解析5元组(包括4层的源和目的端口)。vxlan虽然采用了清晰明确的目的udp端口,但源udp端口却可以是任何值。因此一个vtep便可从跨很多udp源端口的单一vm上传播所有的流。这样便允许中转的3层交换机在仅有的两个vm之间充分利用多路径,甚至是多流的优势。
在一个vxlan覆盖网络上,如果vxlan节点需要和网络的传统网段(例如vlan)中的节点通信,可以用一个vxlan网关来执行要求的隧道终端功能,包括封装/拆装。该网关的功能可利用硬件或软件来实现。
vxlan是ietf标准草案的一个子集,支持厂商有vmware、思科、arista网络、博科、红帽和citrix。ibm也支持vxlan。在hypervisor vswitch和物理交换机上实现这个预标准的现象已开始出现。
nvgre
采用通用路由封装的网络虚拟化(nvgre)用的是rfc 2784和rfc 2890所定义的gre隧道协议。nvgre在很多方面和vxlan相似,只有两处例外。虽然gre封装不是什么新概念,但大多数网络设备却不会去解析硬件的gre报头,因为这样做可能影响性能,在多路径数据中心lan中解析流量分发的5元组哈希表也可能产生问题。
另一个例外是现有的ietf nvgre标准草案并没有为前面在讲述一般的网络覆盖时所提到的控制平面功能指定一种解决方案,这可能得留待未来的草案去解决,或者留待sdn控制器去解决。
支持nvgre的一些厂商(例如微软和emulex)认为,某些性能问题可通过智能网卡来解决,即用智能网卡卸载hypervisor vswitch上的nvgre端点处理。智能网卡还拥有与覆盖控制器和hypervisor管理系统集成的api。emulex还演示过可卸载vmware分布式交换机的vxlan处理的智能网卡。
stt
无状态传输协议(sst)是在数据中心的2层/3层物理网络上创建2层虚拟网络的第三种覆盖技术。从理论上看,vxlan和stt之间有很多相似之处。如隧道端点都是由hypervisor vswitch提供的,vnid的长度都是24位,可通过控制传输源报头发挥多路径优势等。
stt封装在两个方面与nvgre和vxlan有所不同。第一,在ip报头内使用了无状态tcp类报头,允许端系统的隧道端点利用驻留在服务器网卡上的tcp卸载引擎(toe)的tcp分片卸载功能(tso)。
利用主机的好处包括较低的cpu使用率和较高的万兆以太网接入链路使用率。stt还可为每个数据包的元数据分配更多的头空间,而元数据则可为虚拟网络的控制平面提供额外的灵活性。有了这些功能,stt便可针对hypervisor vswitch作为封装/拆装隧道端点进行优化。
stt ietf草案的支持厂商是nicira,但是也没有具体的控制平面解决方案。不过nicira自己的虚拟化解决方案包括类似openflow的hypervisor vswitch和基于中央网络虚拟化控制器的控制平面,可简化虚拟网络的管理。
最短路径桥接mac-in-mac(spbm)
ieee 802.1aq spbm采用ieee 802.1ah mac-in-mac封装和is-is路由协议,通过vlan扩展来提供2层网络虚拟化,此外还有通常与spb相关的无环路等价成本多路径2层转发功能。
vlan扩展可借助24位虚拟服务网络(vsn)实例服务id(i-sid)来实现,后者是外层mac封装的一部分。和其他网络虚拟化解决方案不同的是,在hypervisor vswitch或网卡,以及现有的支持ieee 802.1ah mac-in-mac封装的交换机硬件上也无须做什么改变。对spbm而言,控制平面是is-is路由协议提供的。
正如ip/spb ietf草案所描述的,利用外层spbm mac的ip封装,还可对spbm扩展以支持3层转发和3层虚拟化。这一稿草案规定了spbm节点如何执行inter-isid或inter-vlan路由。此外,ip/spb还可通过在网络边缘扩展虚拟路由和虚拟转发(vrf)实例提供跨spbm网络的3层vsn,而无须也支持vrf实例的核心交换机。
vlan扩展的vsn和vrf扩展的vsn可在同一个spb网络上同时运行,为多租户环境提供隔离的2层和3层流量。有了spbm,所有在接入或汇聚交换机上开始定义spbm边界的核心交换机都必须是spbm使能的。目前可用的spbm硬件交换机有avaya和阿尔卡特-朗讯的。
其他可替代方案
有关网络虚拟化的探讨,如果没有考虑到思科两种协议中的至少一种,那将是不完全的,这两种协议是:覆盖传输虚拟化(otv)和位置/id分离协议(lisp)。
otv是为数据中心内的vlan在wan或互联网上的扩展做了优化的,采用的是mac-in-ip封装。它使用is-is路由协议扩展,通过将mac地址的可到达性广而告之,防止wan上目的端点未知的泛洪流量。
lisp是一种ip-in-ip封装技术,即便在端系统迁移到不同子网时也允许其保留ip地址(id)。利用lisp的vm迁移性,ip各端点,如vm,便可迁移至任何地方,而不必管它们的ip地址是什么,同时又能维持客户端流量的直接路径路由。利用映射vrf给lisp实例id来创建3层虚拟网络的方法,lisp还可支持多租户环境。此外,openflow的未来版本毫无疑问还将支持某些标准的覆盖功能。而在此之前,openflow有可能提供另一种类型的网络虚拟化,即通过基于分片流来隔离网络流量来实现网络虚拟化。实现这一点的一个非常简单的方法就是通过给openflow控制器增加一个过滤层来隔离mac地址集,而不必依赖vlan。big switch的v0.85 floodlight控制器已经可提供此类功能。在多租户环境中,openflow控制器也有可能支持每个租户一个分离控制器。
总结
网络领域正处在一个剧烈变化的时代。这种巨变的主要技术推手之一就是从服务器虚拟化开始的虚拟化技术的持续发展,这一发展如今已开始影响到了网络。这既包括了思科的两个协议:覆盖传输虚拟化和位置/id分立协议,也包括了众多基于封装和隧道技术的新技术,如vxlan等。此外,it部门对sdn的关注程度也开始加速。网络虚拟化就是和sdn有关的主要用例之一。
数字货币交换系统CoTrader介绍
内存芯片跌幅在扩大 三星面临着新考验
EMC RI/CI测试方案助您对抗电磁设备干扰!
如何定义linux运维工程师
关于索尼电视常见的故障和解决方案
精通网络虚拟化的必备攻略
基于FPGA及嵌入式CPU(Nios Ⅱ)的TFT
预计2020年人工智能将取代180万个职位 制造业的变化首当其冲
蓝牙技术的应用及其发展前景
MLCC的制造流程和生产工艺
物联网和传感器之间的关系是怎样的
汇总分析七大主流工业机器人的关键技术
华为放弃代工谷歌Pixel原因?证实因Logo禁令
中兴通讯首席运营官谢峻石:坚持“创新与协同” 携手推动高质量发展
高频DC-DC转换器中的电感器性能
vivox9总想搞点事!vivox9磨砂黑限量似乎有那么一点惊艳
国家加快推进新基建建设的目的是什么
【C语言进阶】利用assert高效排查你的C程序
峰值电流控制型芯片UC3842的内部工作原理
MPU6050简介及rt-thread软件包使用
适用于网络虚拟化的大部分协议基本上都是利用封装和隧道技术来创建虚拟网络覆盖的。其中业界讨论最多的协议包括vxlan、nvgre、stt和spb mac-in-mac。spb已是ieee标准,而在有可能成为ietf标准的各种协议中,最有可能成为标准的是vxlan。
传统意义的网络虚拟化
网络实体的一对多虚拟化并不是什么新概念。最常见的例子就是vlan和vrf(虚拟路由与转发)。
vlan可将网络划分为最多4094个广播域,在以太网报头中为每个广播域指定一个12位的vlan id。vlan是在共享同一个包交换lan基础设施中隔离不同类型流量的一种很方便的方法。
数据中心在大量使用着服务器虚拟化,而vlan数量上的限制可能产生问题,尤其当大量的租户需要获得支持,每个租户都需要多个vlan的时候。借助802.1q的trunk链路可在数据中心内部扩展vlan以便支持vm(虚拟机)的移动性,但这样会增加运营成本和复杂程度。即便在基于2层的服务器-服务器连接的数据中心里,大量的vm每个都有自己的mac地址,也会给2层交换机的转发表功能带来负担。
vrf是3层网络虚拟化的一种,其中的物理路由器支持多个虚拟路由器实例,每个实例都运行自己的路由协议实例,维护自己的转发表。
和vlan不同,vrf不会在报头中使用标签为每个分组指定具体的vrf。在每一跳都会根据输入接口和帧的信息获得适当的vrf。另外一个要求是,在数据包经过的端到端路径中的每一个中转路由器都需要配置一个vrf实例,以便能够转发该数据包。
利用覆盖的网络虚拟化
由于传统vlan或vrf模式存在缺陷,于是开始涌现出众多创建虚拟网络的新技术。其中大多数都是采用封装和隧道技术,在同一个物理网络上通过覆盖来构建多个虚拟网络拓扑。
一个虚拟网络可以是2层的或3层的网络,而物理网络可以是2层的、3层的,或者两者结合的网络,这要取决于采用了何种覆盖技术。利用覆盖技术,外层(封装)报头包含一个24位长的域,携带一个虚拟网络实例id(vnid),给要转发的数据包专门指定一个虚拟网络。
虚拟网络的覆盖可提供众多的好处,包括:
● 可支持基本上没有数量限制的虚拟网络;例如24位报头可创建高达1600万个虚拟网络。
● 可解耦虚拟网络拓扑、服务类别(l2或l3)和物理网络寻址。这种解耦可避免出现诸如物理交换机上mac表过大的问题。
● 支持虚拟机的迁移与物理网络的无关性。如果一个vm要改变位置,甚至迁移到新的子网,在覆盖边缘的交换机只须更新其映射表便可反映出这个vm的新位置。新的vm的网络完全可在网络边缘进行预配置。
● 管理多个租户间相互覆盖ip地址的能力。
● 在虚拟网络中支持多路径转发。
各种覆盖协议之间的主要差异在于其封装格式和控制平面的功能性,即允许入口(封装)设备将一个帧映射到适当的出口(拆装)设备。
vxlan
虚拟可扩展lan(vxlan)是在一个3层网络上借助mac-in-udp封装,叠加一个2层网络来实现网络虚拟的。vxlan网段是一个3层构建,可替代vlan为数据中心的vm生成lan网段。
因此,一个vm只能在一个vxlan段内通信或迁移。该vxlan段有一个24位的vxlan网络标识符。vxlan对vm来说是透明的,仍可使用mac地址来通信。vxlan封装借助所谓vxlan隧道端点(vtep)来完成,该端点一般是通过一台hypervisor交换机或物理接入交换机来提供的。
vxlan封装允许2层与任何端点进行通信,只要该端点在同一个vxlan网段内即可,即便这些端点是在不同的ip子网内也没有关系。这可以让vm的实时迁移越出3层边界。因为mac帧是在ip包内封装的,因此对个别的2层交换机来说是无需知道mac地址的。
这样做可以减轻交换机出现mac地址表的硬件容量问题。覆盖的ip和mac地址可由vxlan id来处理,这个vxlan id就像是特定vxlan网段的限定符/标识符,在这一网段内,ip和mac地址都是有效的。这种vxlan控制解决方案是使用基于任意源组播(asm)的泛红来传播端系统位置信息的。
如上所述,vxlan采用的是mac-in-udp封装。这么做的理由之一是现代的3层设备可解析5元组(包括4层的源和目的端口)。vxlan虽然采用了清晰明确的目的udp端口,但源udp端口却可以是任何值。因此一个vtep便可从跨很多udp源端口的单一vm上传播所有的流。这样便允许中转的3层交换机在仅有的两个vm之间充分利用多路径,甚至是多流的优势。
在一个vxlan覆盖网络上,如果vxlan节点需要和网络的传统网段(例如vlan)中的节点通信,可以用一个vxlan网关来执行要求的隧道终端功能,包括封装/拆装。该网关的功能可利用硬件或软件来实现。
vxlan是ietf标准草案的一个子集,支持厂商有vmware、思科、arista网络、博科、红帽和citrix。ibm也支持vxlan。在hypervisor vswitch和物理交换机上实现这个预标准的现象已开始出现。
nvgre
采用通用路由封装的网络虚拟化(nvgre)用的是rfc 2784和rfc 2890所定义的gre隧道协议。nvgre在很多方面和vxlan相似,只有两处例外。虽然gre封装不是什么新概念,但大多数网络设备却不会去解析硬件的gre报头,因为这样做可能影响性能,在多路径数据中心lan中解析流量分发的5元组哈希表也可能产生问题。
另一个例外是现有的ietf nvgre标准草案并没有为前面在讲述一般的网络覆盖时所提到的控制平面功能指定一种解决方案,这可能得留待未来的草案去解决,或者留待sdn控制器去解决。
支持nvgre的一些厂商(例如微软和emulex)认为,某些性能问题可通过智能网卡来解决,即用智能网卡卸载hypervisor vswitch上的nvgre端点处理。智能网卡还拥有与覆盖控制器和hypervisor管理系统集成的api。emulex还演示过可卸载vmware分布式交换机的vxlan处理的智能网卡。
stt
无状态传输协议(sst)是在数据中心的2层/3层物理网络上创建2层虚拟网络的第三种覆盖技术。从理论上看,vxlan和stt之间有很多相似之处。如隧道端点都是由hypervisor vswitch提供的,vnid的长度都是24位,可通过控制传输源报头发挥多路径优势等。
stt封装在两个方面与nvgre和vxlan有所不同。第一,在ip报头内使用了无状态tcp类报头,允许端系统的隧道端点利用驻留在服务器网卡上的tcp卸载引擎(toe)的tcp分片卸载功能(tso)。
利用主机的好处包括较低的cpu使用率和较高的万兆以太网接入链路使用率。stt还可为每个数据包的元数据分配更多的头空间,而元数据则可为虚拟网络的控制平面提供额外的灵活性。有了这些功能,stt便可针对hypervisor vswitch作为封装/拆装隧道端点进行优化。
stt ietf草案的支持厂商是nicira,但是也没有具体的控制平面解决方案。不过nicira自己的虚拟化解决方案包括类似openflow的hypervisor vswitch和基于中央网络虚拟化控制器的控制平面,可简化虚拟网络的管理。
最短路径桥接mac-in-mac(spbm)
ieee 802.1aq spbm采用ieee 802.1ah mac-in-mac封装和is-is路由协议,通过vlan扩展来提供2层网络虚拟化,此外还有通常与spb相关的无环路等价成本多路径2层转发功能。
vlan扩展可借助24位虚拟服务网络(vsn)实例服务id(i-sid)来实现,后者是外层mac封装的一部分。和其他网络虚拟化解决方案不同的是,在hypervisor vswitch或网卡,以及现有的支持ieee 802.1ah mac-in-mac封装的交换机硬件上也无须做什么改变。对spbm而言,控制平面是is-is路由协议提供的。
正如ip/spb ietf草案所描述的,利用外层spbm mac的ip封装,还可对spbm扩展以支持3层转发和3层虚拟化。这一稿草案规定了spbm节点如何执行inter-isid或inter-vlan路由。此外,ip/spb还可通过在网络边缘扩展虚拟路由和虚拟转发(vrf)实例提供跨spbm网络的3层vsn,而无须也支持vrf实例的核心交换机。
vlan扩展的vsn和vrf扩展的vsn可在同一个spb网络上同时运行,为多租户环境提供隔离的2层和3层流量。有了spbm,所有在接入或汇聚交换机上开始定义spbm边界的核心交换机都必须是spbm使能的。目前可用的spbm硬件交换机有avaya和阿尔卡特-朗讯的。
其他可替代方案
有关网络虚拟化的探讨,如果没有考虑到思科两种协议中的至少一种,那将是不完全的,这两种协议是:覆盖传输虚拟化(otv)和位置/id分离协议(lisp)。
otv是为数据中心内的vlan在wan或互联网上的扩展做了优化的,采用的是mac-in-ip封装。它使用is-is路由协议扩展,通过将mac地址的可到达性广而告之,防止wan上目的端点未知的泛洪流量。
lisp是一种ip-in-ip封装技术,即便在端系统迁移到不同子网时也允许其保留ip地址(id)。利用lisp的vm迁移性,ip各端点,如vm,便可迁移至任何地方,而不必管它们的ip地址是什么,同时又能维持客户端流量的直接路径路由。利用映射vrf给lisp实例id来创建3层虚拟网络的方法,lisp还可支持多租户环境。此外,openflow的未来版本毫无疑问还将支持某些标准的覆盖功能。而在此之前,openflow有可能提供另一种类型的网络虚拟化,即通过基于分片流来隔离网络流量来实现网络虚拟化。实现这一点的一个非常简单的方法就是通过给openflow控制器增加一个过滤层来隔离mac地址集,而不必依赖vlan。big switch的v0.85 floodlight控制器已经可提供此类功能。在多租户环境中,openflow控制器也有可能支持每个租户一个分离控制器。
总结
网络领域正处在一个剧烈变化的时代。这种巨变的主要技术推手之一就是从服务器虚拟化开始的虚拟化技术的持续发展,这一发展如今已开始影响到了网络。这既包括了思科的两个协议:覆盖传输虚拟化和位置/id分立协议,也包括了众多基于封装和隧道技术的新技术,如vxlan等。此外,it部门对sdn的关注程度也开始加速。网络虚拟化就是和sdn有关的主要用例之一。
数字货币交换系统CoTrader介绍
内存芯片跌幅在扩大 三星面临着新考验
EMC RI/CI测试方案助您对抗电磁设备干扰!
如何定义linux运维工程师
关于索尼电视常见的故障和解决方案
精通网络虚拟化的必备攻略
基于FPGA及嵌入式CPU(Nios Ⅱ)的TFT
预计2020年人工智能将取代180万个职位 制造业的变化首当其冲
蓝牙技术的应用及其发展前景
MLCC的制造流程和生产工艺
物联网和传感器之间的关系是怎样的
汇总分析七大主流工业机器人的关键技术
华为放弃代工谷歌Pixel原因?证实因Logo禁令
中兴通讯首席运营官谢峻石:坚持“创新与协同” 携手推动高质量发展
高频DC-DC转换器中的电感器性能
vivox9总想搞点事!vivox9磨砂黑限量似乎有那么一点惊艳
国家加快推进新基建建设的目的是什么
【C语言进阶】利用assert高效排查你的C程序
峰值电流控制型芯片UC3842的内部工作原理
MPU6050简介及rt-thread软件包使用