繆仕福

摘 要：隨著云計算技術迅速而全面的推廣和應用，傳統(tǒng)的數(shù)據(jù)中心逐漸向由各種虛擬化技術所支撐的云數(shù)據(jù)中心轉(zhuǎn)變。計算虛擬化和存儲虛擬化已經(jīng)取得長足發(fā)展，但網(wǎng)絡虛擬化一直是云業(yè)務資源虛擬化的短板。VXLAN能夠在傳統(tǒng)物理網(wǎng)絡基礎上構建邏輯的二層網(wǎng)絡，提供了網(wǎng)絡虛擬化的有效解決方式，是網(wǎng)絡支持云業(yè)務發(fā)展的理想選擇。該文對VXLAN技術進行了分析研究，并探討了其部署方法、優(yōu)勢及不足。

關鍵詞：網(wǎng)絡虛擬化 虛擬化網(wǎng)絡 云計算 VLAN VXLAN

中圖分類號：TP3 文獻標識碼：A 文章編號：1672-3791（2015）02（a）-0015-02

云計算可以提供可用、便捷、按需的資源，成為當前企業(yè)IT建設的常規(guī)形態(tài)。作為云計算技術基礎的虛擬化技術被普遍運用于云計算數(shù)據(jù)中心。除了已經(jīng)逐漸發(fā)展成熟的服務器虛擬化外，網(wǎng)絡虛擬化的需求也逐漸在增加。然而，當前的傳統(tǒng)網(wǎng)絡已經(jīng)不能很好滿足企業(yè)的這種需求。

1 傳統(tǒng)VLAN技術難以適應大規(guī)模租戶部署

租戶之間需要隔離，當前主流的隔離技術為VLAN。但是在大量租戶部署時會有兩大限制。

（1）傳統(tǒng)的VLAN技術基于IEEE的802.1Q協(xié)議，在該協(xié)議的幀格式里面定義了VLAN ID的位數(shù)為12比特，等于說它最多只能支持4094個VLAN。這在當初應該屬于一個不小的數(shù)字，然而，隨著當今云計算服務的出現(xiàn)，云計算數(shù)據(jù)中心的規(guī)?？赡茏兊孟喈旪嫶?。以云計算服務提供商亞馬遜為例，它為全球190個國家的客戶提供IT基礎設施IaaS服務，有許多的用戶租用虛擬機實例。隨著云計算服務的不斷普及，業(yè)務量的不斷增長，在數(shù)據(jù)中心就可能需要成千上萬個VLAN，802.1Q協(xié)議對VLAN技術的數(shù)量顯然不能滿足這種擴展的需求。業(yè)界需要一種能滿足支持更多VLAN的新技術來滿足發(fā)展的需要。

（2）如果在大規(guī)模數(shù)據(jù)中心部署VLAN，會使得所有VLAN在數(shù)據(jù)中心都被允許通過（因為虛擬機可能遷移，導致各交換機都需允許所有VLAN通過），導致任何一個VLAN的廣播數(shù)據(jù)會在整個數(shù)據(jù)中心內(nèi)泛濫，大量消耗網(wǎng)絡帶寬，同時帶來維護的困難。

2 現(xiàn)有二層技術不利于虛機遷移

虛擬機遷移的特點以東西流量為主，在遷移后需要其IP地址、MAC地址等參數(shù)保持不變，如此則要求業(yè)務網(wǎng)絡是一個二層網(wǎng)絡。但已有二層技術存在下面幾個問題。

（1）生成樹（STP Spanning Tree Protocol）技術，部署和維護繁瑣，網(wǎng)絡規(guī)模不宜過大，限制了網(wǎng)絡的擴展。

（2）各廠家私有的多虛一網(wǎng)絡虛擬化技術（如H3C的IRF、華為的CSS、銳捷的VSU、Cisco的VSS），雖然可以簡化部署、同時具備高可靠性，但是對于網(wǎng)絡的拓撲架構有嚴格要求，同時各廠家不支持互通，在網(wǎng)絡的可擴展性上有所欠缺，只適合小規(guī)模網(wǎng)絡部署，一般只適合數(shù)據(jù)中心內(nèi)部網(wǎng)絡。

（3）新出現(xiàn)的大規(guī)模二層網(wǎng)絡技術TRILL/SPB/FabricPath等，雖然能支持二層網(wǎng)絡的良好擴展，但對網(wǎng)絡設備有特殊要求，網(wǎng)絡中的設備需要軟硬件升級才能支持此類新技術，帶來部署成本的上升。

3 虛擬機規(guī)模受限于網(wǎng)絡設備的規(guī)格

二層的網(wǎng)絡環(huán)境需要交換機學習虛擬機的MAC地址信息，而交換機特別是接人交換機的MAC地址表項規(guī)格較小，制約了虛擬機的數(shù)量。云計算是計算高度密集型的應用，虛擬機的數(shù)量代表著云計算的規(guī)模，而低成本的接入交換機無法為高密度的虛擬機提供網(wǎng)絡接人服務。如果通過提高接入交換機硬件性能的方式提升網(wǎng)絡規(guī)模，則會較大程度地提高硬件的建設成本，因此傳統(tǒng)二層的網(wǎng)絡環(huán)境限制了虛擬機的數(shù)量，無法支持大規(guī)模的云計算數(shù)據(jù)中心。

正是由于傳統(tǒng)網(wǎng)絡技術已經(jīng)不能滿足技術發(fā)展的需求。因此，近幾年開始，各大IT廠商聯(lián)合起來，推出了幾種能夠解決這種需求的新技術。其中2011年公布的VXLAN技術是當前較為熱門的解決方式。

3.1 VXLAN的基本原理

VXLAN（Virtual eXtensible Local Area Network）是一種隧道技術，能在三層網(wǎng)絡的基礎上建立二層以太網(wǎng)網(wǎng)絡隧道，從而實現(xiàn)跨地域的二層互連。

如圖1所示，VXLAN采取了將原始以太網(wǎng)報文封裝在UDP數(shù)據(jù)包里的封裝格式。將原來的二層數(shù)據(jù)幀加上VXLAN頭部一起封裝在一個UDP數(shù)據(jù)包里。

VXLAN頭部包含有一個VXLAN標識（即VNI，VXLAN Network Identifier），只有在同一個VXLAN上的虛擬機之間才能相互通信。VNI在數(shù)據(jù)包之中占24比特，故可支持1600萬個VXLAN的同時存在，遠多于VLAN的4094個，因此可適應大規(guī)模租戶的部署。

VXLAN一般通過安裝在服務器上的軟件實現(xiàn)報文的封裝與解封裝，網(wǎng)絡只要IP路由可達即可。VXLAN實現(xiàn)了應用與物理網(wǎng)絡的解耦，但網(wǎng)絡與虛擬機還是相互獨立的。如圖2，業(yè)界一般通過網(wǎng)絡控制器（如SDN，Software Defined Network）實現(xiàn)VXLAN網(wǎng)絡與云業(yè)務的聯(lián)動。當虛擬機發(fā)生遷移后，虛機/存儲控制器會把虛擬機遷移信息通知給網(wǎng)絡控制器，網(wǎng)絡控制器根據(jù)虛擬機遷移的新位置，重新調(diào)整網(wǎng)絡配置，從而實現(xiàn)網(wǎng)絡與云業(yè)務的聯(lián)動。

也就是說，物理網(wǎng)絡可以是傳統(tǒng)的三層IP網(wǎng)絡，路由可達即可。虛擬機可跨三層IP網(wǎng)絡遠距離遷移，不再受限于二層技術。物理網(wǎng)絡也無需允許所有VLAN通過。接入交換機需要學習的MAC地址的數(shù)量也大大減少，削弱了網(wǎng)絡設備MAC地址表項規(guī)格對虛擬機規(guī)模的約束。

3.2 VXLAN網(wǎng)絡的部署方法

如圖3，VXLAN網(wǎng)絡設備主要有三種角色，分別是VTEP（VXLAN Tunnel End Point）、VXLAN網(wǎng)關、VXLAN IP網(wǎng)關。對于應用系統(tǒng)來說，只與這三種設備相關，而與底層傳統(tǒng)三層IP網(wǎng)絡無關。

（1）VTEP是直接與終端連接的設備，負責原始以太報文的VXLAN封裝和解封裝。

（2）VXLAN網(wǎng)關除了具備VTEP的功能外，還負責VLAN報文與VXLAN報文之間的映射和轉(zhuǎn)發(fā)。VXLAN的虛擬機與傳統(tǒng)VLAN的虛擬機之間互訪，通過VXLAN網(wǎng)關來完成。

（3）VXLAN IP網(wǎng)關具有VXLAN網(wǎng)關的所有功能，此外，還負責處理不同VXLAN之間的報文通信。不同VXLAN的虛擬機之間需要互訪，必須經(jīng)過VXLAN IP網(wǎng)關完成。

VTEP、VXLAN網(wǎng)關、VXLAN IP網(wǎng)關、形態(tài)可以是虛擬交換機，也可以是物理交換機。根據(jù)VTEP、VXLAN網(wǎng)關、VXLAN IP網(wǎng)關是虛擬交換機還是物理交換機，VXLAN網(wǎng)絡的部署方法主要分三種。

（1）第一種是VTEP、VXLAN網(wǎng)關、VXLAN IP網(wǎng)關均通過安裝在服務器上的軟件實現(xiàn)。

（2）第二種是VTEP、VXLAN網(wǎng)關、VXLANIP網(wǎng)關均由物理交換機承擔。物理服務器支持SR-IOV功能，使虛擬機通過SR-IOV技術直接與物理交換機相連，虛擬機的流量在接入交換機上進行VXLAN報文的封裝和解封裝。

（3）第三種是VTEP由安裝在服務器上的軟件實現(xiàn)，VXLAN網(wǎng)關、VXLAN IP網(wǎng)關由物理交換機承擔。

對于第一種部署方法，由于所有VXLAN報文的封裝解封裝都通過軟件實現(xiàn)，會占用部分服務器資源，特別是VXLANIP網(wǎng)關，當訪問量大時，將會成為系統(tǒng)瓶頸。對于第二種部署方法，由于需要通過一些特殊的要求或技術實現(xiàn)虛擬機與VTEP的對接，組網(wǎng)不夠靈活。第三種部署方法通過安裝在服務器上的軟件實現(xiàn)虛擬機的VTEP，通過物理交換機實現(xiàn)物理服務器的VTEP，通過專業(yè)的硬件交換機實現(xiàn)VXLAN IP網(wǎng)關，從而可承載超大規(guī)模的流量轉(zhuǎn)發(fā)，避免成為系統(tǒng)瓶頸。也就是說，第三種部署方法結合了第一種和第二種方法的優(yōu)勢，是相對而言最優(yōu)的部署方法，因此，一般推薦使用第三種部署方法。

3.3 VXLAN的優(yōu)勢及不足

相對于VLAN，VXLAN具備以下的優(yōu)勢。

（1）極大的擴充了二層網(wǎng)段的數(shù)量： VXLAN技術的24位VVNI標識符提供了1600萬個VXLAN網(wǎng)段，遠比VLAN的4094個要多?？梢詽M足數(shù)據(jù)中心多租戶的網(wǎng)段分隔的需求。

（2）更大的靈活性：原來虛擬機的遷移只能在同網(wǎng)段的二層網(wǎng)絡上進行，受到地理位置的嚴重限制。VXLAN通過隧道技術構建可以跨越多個三層網(wǎng)絡的虛擬的二層網(wǎng)絡，虛擬機可以在物理位置分散的數(shù)據(jù)中心之間進行遷移，這使得虛擬機的部署更加靈活和方便。

（3）優(yōu)化的網(wǎng)絡操作：由于VXLAN在標準的第三層IP網(wǎng)絡上運行，不再需要構建和管理龐大的第二層基礎傳輸層。

（4）經(jīng)濟性：VXLAN由物理服務器內(nèi)部的虛擬機管理程序來管理，對虛擬機和普通的網(wǎng)絡設備（如物理交換機、路由器）等透明，不需要對現(xiàn)有的物理交換機和路由器進行硬件方面的升級和改造。

雖然VXLAN技術能滿足未來云端大規(guī)模發(fā)展的需求，但作為一項新的技術，VXLAN仍有不少不足之處。

（1）與提供網(wǎng)絡服務的傳統(tǒng)物理設備通信存在較大問題：VXLAN是一種隧道技術，由于在隧道的兩端之間直接建立隧道，那么它是無法與途經(jīng)的一些物理設備（如傳統(tǒng)防火墻、傳統(tǒng)負載均衡器）通信的。

（2）影響報文轉(zhuǎn)發(fā)效率：需要為每個報文封裝與解封裝隧道頭，降低了報文的轉(zhuǎn)發(fā)效率。

4 結語

VXLAN主要解決現(xiàn)階段大規(guī)模云計算數(shù)據(jù)中心虛擬網(wǎng)絡不足的問題。VMware ESXi、Open vSwitch、當前主流的網(wǎng)絡芯片均已支持VXLAN。它備受業(yè)界關注，未來有可能成為網(wǎng)絡虛擬化技術當中的主流技術之一，如此看來，它的發(fā)展和應用前景還是值得期待的。

參考文獻

[1] richsky.云網(wǎng)絡的宏大未來：大二層網(wǎng)絡[EB/OL].http：//www.360doc.com/content/12/0625/18/9318309_220380913.shtml.

[2] TechNet.網(wǎng)絡虛擬化技術細節(jié)[EB/OL]. https：//technet.microsoft.com/zh-cn/library/jj134174.

[3] TT中國.VXLAN標準初探[EB/OL]. http：//www.cioage.com/art/201109/94420.htm.

[4] 51CT O.VXLAN和NVGRE能解決云網(wǎng)絡VLAN不足[EB/OL].http：//networking.ctocio.com.cn/165/12358165.shtml.

[5] IETF.RFC 7348[EB/OL].https：//datatracker.ietf.org/doc/rfc7348/.

[6] 劉付桂蘭.虛擬局域網(wǎng)新技術VXLAN研究[J].福建電腦，2014（11）.