張 瓊

?

SDN網(wǎng)絡(luò)技術(shù)VxLAN的研究及分析

張 瓊

中移鐵通有限公司甘肅分公司，甘肅 蘭州 730000

隨著云計(jì)算技術(shù)迅速發(fā)展與應(yīng)用，傳統(tǒng)的數(shù)據(jù)中心逐漸向由各種虛擬化技術(shù)所支撐的云數(shù)據(jù)中心轉(zhuǎn)變。計(jì)算虛擬化和存儲(chǔ)虛擬化已經(jīng)取得長(zhǎng)足發(fā)展，但網(wǎng)絡(luò)虛擬化一直是云業(yè)務(wù)資源虛擬化的短板。VLAN能夠在傳統(tǒng)物理網(wǎng)絡(luò)基礎(chǔ)上構(gòu)建邏輯的二層網(wǎng)絡(luò)，提供了網(wǎng)絡(luò)虛擬化的有效解決方式，是網(wǎng)絡(luò)支持云業(yè)務(wù)發(fā)展的理想選擇?；诖?，對(duì)VxLAN技術(shù)進(jìn)行了分析研究，并討論了部署方法、優(yōu)勢(shì)及不足。

云計(jì)算；云數(shù)據(jù)中心；VxLAN

1 緒論

1.1 課題背景及意義

（1）研究背景。近些年來(lái)，隨著實(shí)時(shí)業(yè)務(wù)如視頻語(yǔ)音業(yè)務(wù)、云數(shù)據(jù)中心業(yè)務(wù)和移動(dòng)業(yè)務(wù)的快速發(fā)展，人們發(fā)現(xiàn)以下問(wèn)題：VLAN的數(shù)量限制，4 096個(gè)VLAN遠(yuǎn)不能滿足大規(guī)模云計(jì)算數(shù)據(jù)中心的需求；物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施的限制：基于IP子網(wǎng)的區(qū)域劃分限制需要二層網(wǎng)絡(luò)連通性的應(yīng)用負(fù)載的部署；TOR交換機(jī)MAC表耗盡：虛擬化以及東西向流量導(dǎo)致更多的MAC表項(xiàng)。

（2）研究意義。幫助企業(yè)將虛擬域與基礎(chǔ)網(wǎng)絡(luò)和虛擬基礎(chǔ)設(shè)施進(jìn)行關(guān)聯(lián)，通過(guò)采用基于VxLAN的網(wǎng)絡(luò)部署：簡(jiǎn)化虛擬網(wǎng)絡(luò)的擴(kuò)展；夸異構(gòu)網(wǎng)絡(luò)應(yīng)用服務(wù)，帶來(lái)最佳性能；提升應(yīng)用移動(dòng)性和業(yè)務(wù)連續(xù)性。

1.2 國(guó)內(nèi)外研究情況

傳統(tǒng)的VLAN技術(shù)基于IEEE的802.1Q協(xié)議，在該協(xié)議的幀格式里面定義了VLAN ID的位數(shù)為12 bit，最多只能支持4 094個(gè)VLAN；隨著云數(shù)據(jù)中心的各種業(yè)務(wù)應(yīng)用的規(guī)模落地，業(yè)務(wù)量不斷增長(zhǎng)，就可能需要成千上萬(wàn)個(gè)VLAN，傳統(tǒng)VLAN的數(shù)量不能滿足云數(shù)據(jù)中心日后業(yè)務(wù)規(guī)模發(fā)展的需求。

2 相比傳統(tǒng)網(wǎng)絡(luò)，云數(shù)據(jù)中心網(wǎng)絡(luò)應(yīng)該考慮的需求

2.1 虛擬機(jī)的無(wú)限制的遷移

由于需要資源整合、業(yè)務(wù)備份，所以虛擬化技術(shù)要求資源池內(nèi)的虛擬機(jī)在不中斷業(yè)務(wù)的情況從一臺(tái)物理服務(wù)器遷移到另外一臺(tái)服務(wù)器，整個(gè)遷移過(guò)程不需要物理網(wǎng)絡(luò)變化。因?yàn)檫w移前后虛擬機(jī)的三層地址沒(méi)有變化，且業(yè)務(wù)網(wǎng)關(guān)也保持一致，這就要求遷移網(wǎng)絡(luò)是一個(gè)二層網(wǎng)絡(luò)。而傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)中心為了防止廣播風(fēng)暴，而采用路由協(xié)議架構(gòu)，并將二層網(wǎng)絡(luò)限制在接入層以下，這就制約了虛擬機(jī)的遷移范圍。

2.2 隔離多租戶

為了安全性及防止地址重疊的問(wèn)題，云計(jì)算需要保證各租戶之間數(shù)據(jù)隔離。傳統(tǒng)的二層網(wǎng)絡(luò)借助VLAN來(lái)隔離業(yè)務(wù)，可用的VLAN數(shù)量只有4 094個(gè)，無(wú)法滿足大規(guī)模租戶的需求。而且傳統(tǒng)二層網(wǎng)絡(luò)的核心設(shè)備會(huì)允許所有VLAN通過(guò)，這就使得任一VLAN的廣播數(shù)據(jù)包都會(huì)在整網(wǎng)泛洪，占用了網(wǎng)絡(luò)帶寬。

2.3 快速增加的虛擬機(jī)數(shù)量

在二層網(wǎng)絡(luò)中，因?yàn)閿?shù)據(jù)包需要通過(guò)MAC地址尋址來(lái)確定轉(zhuǎn)發(fā)路徑，所以網(wǎng)絡(luò)設(shè)備的MAC地址容量決定了可接入虛擬機(jī)的規(guī)模。但是，低成本的接入交換機(jī)往往MAC地址容量比較小，無(wú)法滿足大型數(shù)據(jù)中心的虛擬化需求。解決這些需求的傳統(tǒng)思路是借助二層環(huán)路多生成樹(shù)（MSTP）、交換機(jī)虛擬化（IRF/vPC）或二層多路徑（TRILL/Fabric Path）等網(wǎng)絡(luò)技術(shù)，將數(shù)據(jù)中心設(shè)計(jì)為二層網(wǎng)絡(luò)。隨著服務(wù)器、虛擬機(jī)數(shù)量越來(lái)越多，網(wǎng)絡(luò)規(guī)模越來(lái)越大，這些技術(shù)由于各自的局限性已無(wú)法滿足大型云數(shù)據(jù)中心的要求。

3 VxLAN協(xié)議

目前在overlay技術(shù)領(lǐng)域有三大技術(shù)路線：VxLAN、NVGRE、STT，其中最火的就是VxLAN技術(shù)，包括vmware、cisco、h3c等多個(gè)虛擬化以及傳統(tǒng)網(wǎng)絡(luò)廠商，都是以VxLAN技術(shù)來(lái)構(gòu)建自己的SDN解決方案。

3.1 VxLAN基本原理

VxLAN（Virtual eXtensible LAN，可擴(kuò)展虛擬局域網(wǎng)絡(luò)）技術(shù)由思科和VMWare在2011年9月公布，是一種通過(guò)隧道實(shí)現(xiàn)的技術(shù)，能在三層網(wǎng)絡(luò)的基礎(chǔ)上做二層以太網(wǎng)網(wǎng)絡(luò)隧道，從而實(shí)現(xiàn)跨地域的不同數(shù)據(jù)中心的二層互連。每個(gè)在三層網(wǎng)絡(luò)基礎(chǔ)上的二層疊加網(wǎng)絡(luò)都有一VxLAN標(biāo)識(shí)符（即VNI，VxLAN Network Identifier），只有在同一個(gè)VxLAN上的虛擬機(jī)之間才能相互通信。VNI在數(shù)據(jù)包之中占24比特，故可支持大于1 600萬(wàn)個(gè)VxLAN同時(shí)存在，遠(yuǎn)多于VLAN的4 094個(gè)。同一個(gè)VxLAN的虛擬機(jī)之間的通信由虛擬機(jī)所在物理機(jī)上的虛擬機(jī)管理程序來(lái)實(shí)現(xiàn)，虛擬機(jī)本身意識(shí)不到VxLAN的存在，即對(duì)VxLAN透明。

VxLAN 具有如下特點(diǎn)：

（1）支持大量的租戶。使用 24 位的標(biāo)識(shí)符，最多可支持 2 的 24 次方（16777216）個(gè) VxLAN，支持的租戶數(shù)目大規(guī)模增加，解決了傳統(tǒng)二層網(wǎng)絡(luò) VLAN 資源不足的問(wèn)題。（2）易于維護(hù)?；?IP 網(wǎng)絡(luò)組建大二層網(wǎng)絡(luò)，使得網(wǎng)絡(luò)部署和維護(hù)更加容易，并且可以充分地利用現(xiàn)有的 IP 網(wǎng)絡(luò)技術(shù)，例如利用等價(jià)路由進(jìn)行負(fù)載分擔(dān)等；只有 IP 核心網(wǎng)絡(luò)的邊緣設(shè)備需要進(jìn)行 VxLAN 處理，網(wǎng)絡(luò)中間設(shè)備只需根據(jù) IP 頭轉(zhuǎn)發(fā)報(bào)文，降低了網(wǎng)絡(luò)部署的難度和費(fèi)用。

目前，設(shè)備只支持基于 IPv4 網(wǎng)絡(luò)的 VxLAN 技術(shù)，不支持基于 IPv6 網(wǎng)絡(luò)的VxLAN技術(shù)。

3.2 VxLAN技術(shù)網(wǎng)絡(luò)模型

見(jiàn)圖1。

圖1 VxLAN網(wǎng)絡(luò)模型示意圖

3.3 VxLAN 的優(yōu)點(diǎn)

相對(duì)于VLAN，VxLAN具備以下的優(yōu)勢(shì)：

（1）極大地?cái)U(kuò)充了二層網(wǎng)段的數(shù)量。VxLAN技術(shù)的24位VNI標(biāo)識(shí)符提供了1 600萬(wàn)VxLAN網(wǎng)段，遠(yuǎn)比VLAN的4 096個(gè)要多，可以滿足云端數(shù)據(jù)中心多租戶的網(wǎng)段分隔的需求。

（2）更大的靈活性。原來(lái)虛擬機(jī)的遷移只能在同網(wǎng)段 的二層網(wǎng)絡(luò)上進(jìn)行，受到地理位置的嚴(yán)重限制。VxLAN通過(guò)隧道技術(shù)來(lái)構(gòu)建可以跨越多個(gè)3層網(wǎng)絡(luò)的虛擬的2層網(wǎng)絡(luò)，虛擬機(jī)可以在物理位置分散的數(shù)據(jù)中心之間遷移，這使得虛擬機(jī)的部署更加靈活和方便。

（3）優(yōu)化的網(wǎng)絡(luò)操作。由于VLAN在標(biāo)準(zhǔn)的第三層IP網(wǎng)絡(luò)上運(yùn)行，不再需要構(gòu)建和管理龐大的第2層基礎(chǔ)傳輸層。

（4）經(jīng)濟(jì)性。VxLAN由于物理機(jī)內(nèi)部的虛擬機(jī)管理程序來(lái)管理，對(duì)虛擬機(jī)和普通的網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器）等透明，不需要對(duì)現(xiàn)有的物理交換機(jī)和路由器進(jìn)行硬件方面的升級(jí)和改造。

3.4 VxLAN 的不足

雖然VxLAN技術(shù)能滿足未來(lái)云端大規(guī)模發(fā)展的需求，但作為意向新技術(shù)，VxLAN仍有不少不足之處。

（1）與提供網(wǎng)絡(luò)服務(wù)的物理設(shè)備通信存在較大問(wèn)題。雖然人們期望有一些數(shù)據(jù)中心交換機(jī)供應(yīng)商能夠支持3層VxLAN終端，但是使用VxLAN封裝的邏輯子網(wǎng)還無(wú)法與物理設(shè)備通信，如交換機(jī)、負(fù)載均衡器或防火墻。VxLAN連接外部設(shè)備的唯一方法是使用虛擬3層網(wǎng)絡(luò)設(shè)備，如vShield Edge、Vyatta路由器或F5負(fù)載均衡器，一個(gè)物理VLAN中需要一個(gè)vNIC，而在VxLAN中需要一個(gè)或多個(gè)。

（2）安全性不足。在VxLAN的草案白皮書(shū)沒(méi)有具體指出防范針對(duì)VxLAN攻擊的具體方法，在傳統(tǒng)二層以太網(wǎng)里，可能會(huì)遇到ARP欺騙，MAC地址泛洪攻擊，VLAN標(biāo)記攻擊等安全問(wèn)題。在VxLAN環(huán)境下的虛擬二層網(wǎng)絡(luò)上也可能遇到類似的攻擊。除了ARP欺騙和MAC地址泛洪攻擊外，虛擬機(jī)和VNI的映射關(guān)系，VNI和IP多播組的映射關(guān)系，可能遭到惡意入侵者的篡改。但是VxLAN技術(shù)還沒(méi)有明確這些新出現(xiàn)的安全問(wèn)題具體應(yīng)該如何防范，只是建議使用ACL，802.1X，IPsec等傳統(tǒng)安全技術(shù)來(lái)防范攻擊；

（3）路由器壓力過(guò)大。VxLAN在虛擬二層網(wǎng)絡(luò)上通過(guò)組播技術(shù)來(lái)模擬物理二層以太網(wǎng)的廣播功能。然而，因?yàn)閂xLAN支持最多1 600萬(wàn)個(gè)VNI，如果云端的規(guī)模巨大，有成千上萬(wàn)的VxLAN網(wǎng)段，那么物理的網(wǎng)絡(luò)設(shè)備就可能同時(shí)存在非常多的組播組，這可能占用很多路由器的資源，物理路由器的壓力十分巨大。

[1]石晶.基于SDN+VXLAN在DCI部署方案[J].信息通信，2016（7）：32.

[2]張鵬，孫瓊.基于SDN架構(gòu)的OverlayVPN技術(shù)研究[J].電信技術(shù)，2016（6）：15-18.

[3]解云鵬，雷波，史凡.面向VDC組網(wǎng)的VXLAN控制面互通方案探討[J].互聯(lián)網(wǎng)天地，2016（2）：79-84.

[4]張臻.5G通信系統(tǒng)中的SDN/NFV和云計(jì)算分析[J].移動(dòng)通信，2016（17）：56-58.

[5]龐冉，黃永亮.SDN技術(shù)在綜合承載傳送網(wǎng)中的應(yīng)用分析[J].郵電設(shè)計(jì)技術(shù)，2013（11）：24-27.

TP393.1

A

1009-6434（2016）12-0131-02