祝彥峰

摘要：隨著企業(yè)信息化的發(fā)展，網(wǎng)絡(luò)虛擬化技術(shù)尤其是堆疊技術(shù)在企業(yè)中的應(yīng)用越來越廣泛。對網(wǎng)絡(luò)虛擬化原理簡要分析，以華為公司SVF技術(shù)為例，提供了建設(shè)縱向網(wǎng)絡(luò)虛擬化的企業(yè)園區(qū)網(wǎng)絡(luò)的部署方案，極大簡化網(wǎng)絡(luò)部署，提升網(wǎng)絡(luò)效能，增強(qiáng)網(wǎng)絡(luò)的安全性、穩(wěn)定性、可靠性，為企業(yè)部署縱向堆疊網(wǎng)絡(luò)虛擬化技術(shù)提供參考。

關(guān)鍵詞：網(wǎng)絡(luò)虛擬化技術(shù);縱向虛擬化;交換機(jī);SVF

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）05-0047-04

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

1 概述

在企業(yè)網(wǎng)絡(luò)的建設(shè)中，傳統(tǒng)的部署方式為核心、匯聚、接入三層架構(gòu)，這種架構(gòu)在企業(yè)網(wǎng)中發(fā)揮了有效的分層管理作用，使網(wǎng)絡(luò)結(jié)構(gòu)清晰，管理較為方便。隨著企業(yè)業(yè)務(wù)結(jié)構(gòu)的不斷演進(jìn)，虛擬化技術(shù)逐漸進(jìn)入企業(yè)網(wǎng)絡(luò)，傳統(tǒng)網(wǎng)絡(luò)的三層架構(gòu)也逐漸轉(zhuǎn)向虛擬網(wǎng)絡(luò)架構(gòu)。從應(yīng)用規(guī)模上有小型網(wǎng)絡(luò)的邏輯隔離vlan技術(shù)，也有數(shù)據(jù)中心的大二層Vxlan技術(shù)的網(wǎng)絡(luò)虛擬化。在應(yīng)用領(lǐng)域也有不同的方向，類型主要有單一設(shè)備虛擬多邏輯設(shè)備（如vlan技術(shù)）、單一網(wǎng)絡(luò)虛擬多網(wǎng)絡(luò)（如vxlan技術(shù)）、網(wǎng)絡(luò)硬件設(shè)備虛擬化軟件化（如SDN、NFV技術(shù)）、多設(shè)備虛擬成單一邏輯設(shè)備（如cluster/stack堆疊技術(shù)），在企業(yè)網(wǎng)絡(luò)的中，更多的形式為采用堆疊方式的網(wǎng)絡(luò)虛擬化技術(shù)來增強(qiáng)網(wǎng)絡(luò)的可靠性，并簡化網(wǎng)絡(luò)管理，提高生產(chǎn)效率。

2 網(wǎng)絡(luò)虛擬化原理

網(wǎng)絡(luò)虛擬化技術(shù)隨著網(wǎng)絡(luò)交換技術(shù)的進(jìn)化，先出現(xiàn)了較為普遍的橫向堆疊技術(shù)，主要用于增加業(yè)務(wù)端口數(shù)量、提高網(wǎng)絡(luò)故障的快速自愈能力，實(shí)現(xiàn)統(tǒng)一設(shè)備管理。以標(biāo)準(zhǔn)的心跳方式?；睿粨Q拓?fù)湫畔⒂?jì)算網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，由以選舉方式獲得主控權(quán)的交換機(jī)進(jìn)行統(tǒng)一管理，主要應(yīng)用于同層級的多交換機(jī)虛擬化，各自廠家均有自有的技術(shù)，如思科公司的VSS/StackWise技術(shù)、華為公司的CSS/Istack技術(shù)、華三公司的IRF技術(shù)。在進(jìn)一步的發(fā)展中，隨著多層級網(wǎng)絡(luò)規(guī)模的擴(kuò)大，設(shè)備管理和業(yè)務(wù)調(diào)整越發(fā)復(fù)雜，業(yè)務(wù)受理時(shí)長顯著增加。為了解決企業(yè)接入網(wǎng)絡(luò)的復(fù)雜性，增強(qiáng)企業(yè)網(wǎng)絡(luò)健壯性、簡化網(wǎng)絡(luò)管理和增強(qiáng)網(wǎng)絡(luò)故障快速愈合能力，網(wǎng)絡(luò)虛擬化技術(shù)更進(jìn)一步，將縱向的網(wǎng)絡(luò)層級也進(jìn)行虛擬化，形成以接入交換機(jī)虛擬為主控交換機(jī)業(yè)務(wù)擴(kuò)展板的形式，通過上下級設(shè)備內(nèi)部管理協(xié)議進(jìn)行設(shè)備管理和業(yè)務(wù)轉(zhuǎn)發(fā)，形成了縱向虛擬化技術(shù)。這里以華為公司的SVF技術(shù)為例，來分析技術(shù)基本原理。

華為公司的SVF架構(gòu)即是在橫向堆疊虛擬化技術(shù)基礎(chǔ)上發(fā)展起來的縱向堆疊網(wǎng)絡(luò)虛擬化技術(shù)。SVF架構(gòu)借鑒和使用了無線網(wǎng)絡(luò)中AP/AC（無線接入點(diǎn)/無線控制器）之間設(shè)備管理和業(yè)務(wù)控制的CAPWAP管理協(xié)議，在CAPWAP隧道鏈路上傳輸管理和控制指令，業(yè)務(wù)數(shù)據(jù)按照傳統(tǒng)vlan交換模式獨(dú)立運(yùn)行。在具體實(shí)現(xiàn)上，由主控交換機(jī)（定義角色為Parent）通過邏輯端口（以物理端口組加入的邏輯端口形式，定義為FabricPort）連接，通過CAPWAP協(xié)議創(chuàng)建的管理通道控制、管理接人交換機(jī)（角色定義為AS），結(jié)構(gòu)如圖1所示。在使用者的角度就像是全部網(wǎng)絡(luò)用戶，接入了一個(gè)有大量業(yè)務(wù)端口的大型交換機(jī)一樣。優(yōu)勢在于以下三個(gè)方面，統(tǒng)一的設(shè)備管理，多層結(jié)構(gòu)的設(shè)備虛擬成一臺設(shè)備，由控制設(shè)備統(tǒng)一進(jìn)行管理;統(tǒng)一的業(yè)務(wù)配置，通過模板化配置實(shí)現(xiàn)對接入設(shè)備的批量配置，不再需要逐一配置每一臺接入層設(shè)備;統(tǒng)一的用戶管理，支持有線接入和無線接入的用戶統(tǒng)一管理，一般組網(wǎng)結(jié)構(gòu)如圖2所示。配合鏈路聚合技術(shù)，可以使網(wǎng)絡(luò)設(shè)備具備業(yè)務(wù)端口高密、高可靠性、高帶寬、低延時(shí)的特性。

SVF構(gòu)建虛擬網(wǎng)絡(luò)主要經(jīng)過以下幾個(gè)過程，如圖3所示：

（1）鄰居發(fā)現(xiàn)：Parent通過鄰居發(fā)現(xiàn)過程將管理VLAN等信息發(fā)送給AS。

（2）設(shè)備管理：AS通過DHCP獲取IP地址，與Parent之間建立CAPWAP隧道鏈路，并向Parent注冊。

（3）版本管理：AS比較自身軟件版本與Parent是否一致。如果不一致則進(jìn)行版本同步，嘗試從Parent下載系統(tǒng)軟件進(jìn)行自動(dòng)升級。

（4）拓?fù)涔芾恚篜arent搜集所有AS的LLDP鄰居信息并計(jì)算出整個(gè)SVF的拓?fù)洹?/p>

（5）業(yè)務(wù)配置：Parent通過CAPWAP隧道鏈路將業(yè)務(wù)配置下發(fā)至AS。

3 企業(yè)網(wǎng)絡(luò)部署

這里以圖4應(yīng)用場景為例，具體描述SVF網(wǎng)絡(luò)虛擬化技術(shù)在企業(yè)園區(qū)網(wǎng)絡(luò)中的部署實(shí)施。這里使用華為S5720HI作為SVF的parent角色的主要控制交換機(jī)，將S5700LI、S5720LI、S5700SI等交換機(jī)作為一級AS接入交換機(jī)，與parent直連，并使用S5720LI作為二級AS交換機(jī)接入一級AS交換機(jī)，搭建整網(wǎng)。該企業(yè)有三處辦公地點(diǎn)，網(wǎng)絡(luò)接入用戶約200人。 辦公地點(diǎn)間已租用光纖線路，具備入網(wǎng)的物理?xiàng)l件，網(wǎng)絡(luò)出口固定在辦公地2，S5720HI交換機(jī)作為控制交換機(jī)，上連網(wǎng)絡(luò)出口設(shè)備，因此部署于此。按照用戶規(guī)模，辦公地1部署三臺S5720LI交換機(jī)，辦公地2部署S5700SI和S5720LI交換機(jī)各一臺;辦公點(diǎn)3網(wǎng)絡(luò)部署一臺S5700LI交換機(jī)。

3.1 parent控制交換機(jī)開啟SVF功能

[SW_Core] vlan batch 101//創(chuàng)建管理AS的Vlan

[SW_Core] dhcp enable//開啟DHCP服務(wù)

[SW_Core] interface vlanif 101 11配置AS管理vlan接口

[SW_Core-Vlanifll] ip address 192.168.101.254 24/，配置接口IP地址

[SW_Core-Vlanifll] dhcp select interface//接口上開啟DHCP監(jiān)聽

[SW_Core-Vlanifll] dhcp server option 43 ip-address192.168.101.254//配置DHCP選項(xiàng)，用于下發(fā)SVF管理網(wǎng)關(guān)地址

[SW_Core-Vlanifll] quit

[SW_Core] capwap source interface vlanif 101//配置CAP-WAP管理協(xié)議使用的接口

[SW_Core] stp mode rstp//開啟快速生成樹協(xié)議

[SW_Core] uni-mng//進(jìn)入統(tǒng)一管理模式，開啟SVF

3.2 配置Parent連接一級AS的Fabric-port

以配置Parent連接asl的Fabric-port為例。Parent連接as2的Fabric-port 2、連接as3的Fabric-port 3的過程請參照as1，過程省略。

[SW_Core-um] interface fabric-port 1//配置邏輯堆疊端口

[SW_Core-um-fabric-port-l] port member-group interfaceeth-trunk 1//添加二層聚合端口組1

[SW_Core-um-fabric-port-l] quit

[SW_Core-um] quit

[SW_Core] interface gigabitethernet 0/0/1//添加以太網(wǎng)端口0/0/1至聚合端口組1

（SW_Core-GigabitEthernet0/0/1] eth-trunk 1

[SW_Core-GigabitEthemet0/0/1] quit

[SW_Core] interface gigabitethernet 0/0/2//添加以太網(wǎng)端口0/0/2至聚合端口組1

[SW_Core-GigabitEthemet0/0/2] eth-trunk 1

[SW_Core-GigabitEthemet0/0/2] quit

3.3 配置AS接入的認(rèn)證方式

[SW_Core] as-auth

[SW_Core-as-auth] undo auth-mode//配置AS接入認(rèn)證為不需認(rèn)證模式。

3.4 一級AS交換機(jī)接入

連接AS與Parent之間的線纜，在一級AS上執(zhí)行命令resetsaved-configuration清空AS的配置并重新啟動(dòng)后，連接AS與Parent之間的線纜，一級SVF網(wǎng)絡(luò)即已建立完成。

3.5 配置AS間的FabricPort

在parent上配置一級和二級AS的Fabric-Port。

[SW_Core] uni-mng

[SW_Core-um] as name asl，/配置ASI的下聯(lián)FabricPort。

[SW_Core-um-as-asl] down-direction fabric-port 4 mem-ber-group interface eth-trunk 4

[SW_Core-um-as-asl] port eth-trunk 4 trunkmember inter-face gigabitethemet 0/0/23

[SW_Core-um-as-asl] quit

[SW_Core-um] as name asl//配置ASI的下聯(lián)FabricPort。

[SW_Core-um-as-asl] down-direction fabric-port 5 meru-ber-group interface eth-trunk 5

[SW_Core-um-as-asl] port eth-trunk 5 trunkmember inter-face gigabitethemet 0/0/24

（SW_Core-um-as-asl] quit

[SW_Core-um] quit

[SW_Core-um] as name as2//配置AS2的下聯(lián)FabricPort，

[SW_Core-um-as-asl] down-direction fabric-port 6 meru-ber-group interface eth-trunk 6

[SW_Core-um-as-asl] port eth-trunk 6 trunkmember inter-face gigabitethemet 0/0/24

[SW_Core-um-as-asl] quit

[SW_Core-um] quit

在二級AS上執(zhí)行命令reset saved-configuration清空AS的配置并重新啟動(dòng)后，連接二級AS與一級AS之間的線纜，SVF整網(wǎng)系統(tǒng)即建立完成。

3.6 查看AS接入情況

執(zhí)行命令display as all查看各AS是否成功上線接入，“State”的狀態(tài)為“normal”時(shí)表示AS已成功上線接人。

[SW_core] display as all

Total：6， Normal：6， Fault：0， Idle：0， Version mismatch：0

3.7 業(yè)務(wù)模板配置

首先創(chuàng)建業(yè)務(wù)模板并綁定至全部AS，并將網(wǎng)絡(luò)基礎(chǔ)模板并綁定至AS的全部端口。

[SW_Core-um] network-basic-profile name basic_net-work_conf

LSW_Core-um-net-basic-basic_network_confl user-vlan 100

[SW_Core-um-net-basic-basic_network_conf] quit

[SW_Core-um] port-group name port_all//配置用戶端口組，加入所有AS接入端口

[SW_Core-um-portgroup-port_all] as name asl interface all

[SW_Core-um-portgroup-port_all] as name as2 interface ajl

[SW_Core-um-portgroup-port_all] as name as3 interface all

[SW_Core-um-portgroup-port_all] as name as4 interface all

[SW_Core-um-portgroup-port_all] as name as5 interface all

[SW_Core-um-portgroup-port_all] as name as6 interface all

[SW_Core-um-portgroup-port_all] network-basic-profile ba-sic_network_conf

[SW_Core-um-portgroup-port_all] quit

[SW_Core-um] quit

[SW_Core] dotlx-access-profile name dotlx，/配置用戶接入采用dotlx認(rèn)證技術(shù)

[SW_Core-dotlx-access-profile-l] quit

[SW_Core] authentication-profile name dotlx_auth//配置用戶認(rèn)證模板采用dotlx認(rèn)證技術(shù)

[SW_Core-authen-profile-dotlx_auth] dotlx-access-profiledotlx

[SW_Core-authen-profile-dotlx_auth] quit

[SW_Core] uni-mng

[SW_Core-um] user-access-profile name access_profile ll配置用戶接入模板調(diào)用認(rèn)證模板dotlx_auth

[SW_Core-um-user-access-access_profile] authentication-profile dot lx_auth

[SW_Core-um-user-access-access_profile] quit

[SW_Core-um] port-group name port_all//在端口組上應(yīng)用用戶接入模板access_profile

[SW_Core-um-portgroup-port_all] user-access-profile ac-cess_profile

[SW_Core-um-portgroup-port_all] quit

3.8 業(yè)務(wù)配置下發(fā)

在parent上提交業(yè)務(wù)配置，使業(yè)務(wù)模板中的配置下發(fā)至全部AS，執(zhí)行命令display uni-mng commit-result profile查看業(yè)務(wù)模板中的配置是否已成功下發(fā)至AS，當(dāng)“Commit/Execute Re-sult”的狀態(tài)為“Success/Success”時(shí)表示業(yè)務(wù)模板中的配置已成功下發(fā)至 AS。

[SW_Core-um] commit as all

Warning： Committing the configuration will take a long time.Continue？[Y/N]： y

[SW_Core-um] display uni-mng commit-result profile

Result of profile：

3.9 業(yè)務(wù)驗(yàn)證

在用戶終端上，測試可正常上網(wǎng)，網(wǎng)絡(luò)部署完畢。通過訪問SVF parent主控交換機(jī)管理地址web頁面http：//192.168.101.254，可查看全部上網(wǎng)用戶信息。

4 后續(xù)建議

上述企業(yè)網(wǎng)絡(luò)虛擬化SVF技術(shù)的應(yīng)用，在條件允許的情況下，應(yīng)采用多鏈路聚合的方式增加fabricPort的帶寬，增加網(wǎng)絡(luò)架構(gòu)的可靠性?？稍趐arent主控交換機(jī)層面采用橫向堆疊技術(shù)，增強(qiáng)網(wǎng)絡(luò)健壯性，在辦公地1的AS交換機(jī)也可采用橫向堆疊的方式，增強(qiáng)該辦公地網(wǎng)絡(luò)可靠性，減低設(shè)備管理的難度。用戶接入方面，可隨著用戶量的增加或部門隔離的需求等使用vlan技術(shù)進(jìn)行二層隔離，使用ACL訪問控制列表進(jìn)行三層訪問的控制。安全保障方面配合了網(wǎng)絡(luò)安全接入技術(shù)，減低網(wǎng)絡(luò)受攻擊的風(fēng)險(xiǎn)。在管理層面強(qiáng)化規(guī)范操作，保障網(wǎng)絡(luò)的高效、可靠。

5 結(jié)束語

綜上所述，網(wǎng)絡(luò)虛擬化技術(shù)應(yīng)用于企業(yè)網(wǎng)絡(luò)建設(shè)，可將網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡單化，管理統(tǒng)一化，網(wǎng)絡(luò)可靠化。使企業(yè)專注于業(yè)務(wù)的開展和快速化部署，同時(shí)在網(wǎng)絡(luò)的擴(kuò)展部署等方面節(jié)省資金。提高企業(yè)辦公效率，降低建網(wǎng)擴(kuò)網(wǎng)成本。并可根據(jù)安全需求配置相應(yīng)的安全接入技術(shù)，規(guī)范網(wǎng)絡(luò)的使用管理，防止惡意破壞，優(yōu)化網(wǎng)絡(luò)安全保障。

參考文獻(xiàn)：

[1]王勇亮.交換機(jī)css堆疊技術(shù)研究[J].信息與電腦：理論版，2016（4）：39-40.

[2]劉呱呱，基于lRF2技術(shù)的網(wǎng)絡(luò)研究與探卡廳[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（3）：181-182.

[3]蔣海月.園區(qū)網(wǎng)虛擬化技術(shù)哪家強(qiáng)？-lA、lRF3和SVF技術(shù)大比拼[J].互聯(lián)網(wǎng)周刊，2015（6）：20-21.

[4]葉水勇，王艷，方軍，等.基于VCF縱向虛擬技術(shù)網(wǎng)絡(luò)架構(gòu)優(yōu)化的探索與實(shí)踐[J].國網(wǎng)技術(shù)學(xué)院學(xué)報(bào)，2019，22（4）：33-36，40.

[5]華為S5700系列以太網(wǎng)交換機(jī)產(chǎn)品文檔[Z].深圳：華為技術(shù)有限公司，2019.

[6]邱浩.縱向虛擬化技術(shù)在人行市州中支的應(yīng)用[J].金融科技 時(shí)代，2017，25（9）：47-48.

【通聯(lián)編輯：代影】