龍君，陳文軍

（1.湖南衡陽鋼管（集團）有限公司；2.湖南衡陽石鼓區(qū)國有土地上房屋征收管理中心，湖南 衡陽 421000）

隨著信息技術的發(fā)展，在區(qū)塊鏈和大數據時代，數據量越來越大，數據價值越來越高。為了提高數據的安全性，能更有效地保障機房在受到災害時數據得以保存，把數據或應用存放于不同機房，甚至不同城市已成為很多企業(yè)的選擇。

當下很多大型企業(yè)在如何使它們的信息資源更有效率，數據和服務更為安全，并減少業(yè)務中斷時間，正是第四次產業(yè)革命的發(fā)展方向。因此，各企業(yè)加大了對信息和數據安全的投入，雙數據中心、多數據中心、雙活數據中心正得以快速發(fā)展。

但是，異地數據中心建設也面臨眾多挑戰(zhàn)，導致成本較高，其中異地數據中心網絡建設更是異地數據中心建設的重點。當數據中心之間相距上百公里，一般的企業(yè)無法建立直接通信通道，只能租用網絡運營商的線路，并且租用的網絡一般是無法在一個二層網絡。這時兩個數據中心將面臨跨三層的網絡，而為保持業(yè)務不中斷通常采用虛擬機技術，但虛擬化服務器和存儲只能在二層網絡里在線遷移。所以，需要一個網絡協議在三層網絡里建立一個二層網絡通道，因此，VXLAN 技術被提出，并得到大量應用。

在政務數據中心領域，往往一個縣區(qū)級政府只有一個數據中心，為保障業(yè)務的可靠性和數據的安全性，我們可以和_另一個縣區(qū)的數據中心進行合作，通過VXLAN 技術建立起互為備數據中心，這樣不僅節(jié)約重復建立的費用，又可以實現雙數據中心。

1 VXLAN 技術

VXLAN 是一種網絡虛擬化技術，是虛擬可擴展局域網，并且是VLAN 的擴展，它已成為業(yè)界主流的虛擬網絡技術之一。VXLAN 技術解決了現有VLAN 技術不能滿足大型二層網絡需求的問題。VXLAN 技術是大型的第2 層虛擬網絡技術。主要原理是引入UDP 格式的外部隧道作為數據鏈路層，原始數據包內容作為隧道數據傳輸。

由于外層使用UDP 作為傳輸方式，封裝流量并將其擴展到第3 層網關，它可以基于第3 層網絡建立第2 層以太網隧道，從而實現跨區(qū)域的第2 層互連，因此可以輕松地在第2 層和第3 層網絡上傳輸數據包?，F在，IETF提出了多種覆蓋網絡技術解決方案，如VXLAN，NVGRE 和STT。其中，VXLAN 贏得了大多數制造商的支持，并且具有很高的成熟度。

如圖1，VXLAN 可在原始的第2 層以太網幀上執(zhí)行UDP封裝，封裝中添加了8 字節(jié)的VXLAN 報頭、8 字節(jié)UDP 報頭、20 字節(jié)IP 報頭和14 字節(jié)以太網報頭，總共占用50 字節(jié)。

圖1 VXLAN 封裝結構

VXLAN 報頭：報頭8 個字節(jié)共64 個位，其中包含24 位VNI 字段，VNI 字段用于定義不同的VXLAN 網絡，因為其具有24 位，因此它可以同時支持1600 萬個VXLAN，遠遠超過4094 個VLAN，因此適合用于大規(guī)模數據中心部署。還有VXLAN 的標志位8 占位，VXLAN 標識符使只有在同一VXLAN上的虛擬機才能進行通信。剩余的bit 位為保留字段。

UDP 報頭：VXLAN 報頭與原始以太網幀一起用作UDP 數據，UDP 報頭包含UDP 源端口、VXLAN 端口、UDP 長度和校驗。其中VXLAN 目標端口號固定為4789，而UDP 源端口是通過原始以太網幀的哈希算法計算得出的值。

IP 報頭：封裝外部IP 報頭，其占20 個字節(jié)。在虛擬機之間通信時，源IP 地址是源VM 所屬的VTEP 的IP 地址，目的IP 地址是目的VM 所屬的VTEP 的IP 地址。

MAC 頭：占用14 個字節(jié)，其中包含通信發(fā)起方的源MAC地址、通信接收方的目的MAC 地址、網絡類型、VLAN 類型和VLAN 號。

VXLAN 主要用于解決大型云計算數據中心虛擬網絡不足的問題。VMware、H3C、CISCO、華為和其他供應商已經支持VXLAN。它已經引起了業(yè)界的廣泛關注，并且有可能在未來成為網絡虛擬化技術中的主流技術之一。

2 VXLAN 網絡的易維護和擴展性

數據中心SDN 已是現在的發(fā)展趨勢，異地數據中心的SDN 引入利用VXLAN 技術實現了自動專用網絡隔離，同時通過VXLAN 技術實現了網絡層兩個中心之間跨三層的兩層通信，這為跨區(qū)域的應用和數據遷移服務提供了網絡的基礎條件。遠端數據中心可以通過云計算技術，極大地提高了服務器資源的利用率，實現對計算資源的有效利用。同時，可以通過虛擬機在兩層互通的兩個數據中心中實施虛擬化漂移技術，以提供高性能、高安全的解決方案。

在圖2 中，通過在區(qū)域1 和區(qū)域2 的路由器、交換機與核心設備之間使用VXLAN 技術，構建了大型的第2 層覆蓋網絡。由于構建了大型的第2 層網絡，因此，多個區(qū)域之間的第2 層互通變得簡單，這有利于業(yè)務規(guī)劃和控制。

圖2 雙區(qū)域網絡連接

這種網絡架構也非常易維護和擴展，如果以后要再構建新的數據中心，只需將相應的聚合設備添加到VXLAN 網絡，這非常方便，并且具有良好的可伸縮性。

3 雙數據中心設計

數據中心的VXLAN 網絡主要有三個構成，包括VTEP、VXLAN 網關和VXLAN IP 網關。VTEP、VXLAN 網關和VXLAN IP 網關可以是軟件定義的虛擬交換機，也可以是支持VXLAN協議的物理交換機。VXLAN 網關和VXLAN IP 網關由一般是物理交換機，專用的硬件交換機穩(wěn)定性更好，并發(fā)速度更高，特別在數據通信量較大時，可防止流量轉發(fā)速度成為系統(tǒng)瓶頸。VTEP、VXLAN 網關和VXLAN IP 網關構成了軟件的網絡通道，當軟件應用相互通信時，由它們構建封包的流通協議，這樣應用軟件就不用關注傳統(tǒng)的基礎網絡第3 層導致的路由。

數據中心主要應用容器為VM，它擁有可遷移、可克隆、可動態(tài)調整資源等眾多功能。VM 的可遷移功能使虛擬服務器跨硬件資源在線移動，如當前的服務器資源擁擠或故障時，控制中心會自動為其分配其他的服務器資源，并在不中斷業(yè)務的情況下完成熱遷移。可克隆性指VM 在升級或故障修時，可進行一次克隆，克隆后的服務器配置、應用和數據都與原服務器一致，并且也可在線熱克隆，一旦原VM 服務器發(fā)生了故障，可啟用克隆服務器。可動態(tài)調整資源是VM 指服務器在運行時可對CPU、內存、硬盤資源進行改變，如進行大并發(fā)業(yè)務時，增加CPU 和內存，業(yè)務停止后縮小CPU 和內存，將其分配給其他VM 服務器。因為其擁有這些優(yōu)勢，所以VM服務器現已成為數據機房應用和軟件的主要承載體。

圖3 為雙數據中心設計的拓撲圖，它是跨互聯網的兩個數據中心的連接，其中包括服務器、交換設備、路由設備、安全設備等。

圖3 雙數據中心拓撲

VM 服務器連接至接入交換機，接入交換機一般接口多，價格相對較低，不具備路由功能。

接入交換機和核心交換機相連，核心交換機具備路由功能，可以把二層網絡經路由接入三層網絡里，并且核心交換機上下行并發(fā)速度快，下面可承接多臺接入交換機。為了保障網絡信息安全，在網絡出口處增加安全設備十分重要，典型的有防火墻，但IPS、WAF 等也可提升網絡信息安全。

設計采用雙鏈路結構可以增加網絡的可靠性，添加負載均衡設備后優(yōu)勢更為突出。

當鏈路接入互聯網后，通過互聯網與另端的數據中心機房進行連接，其實兩方數據中心無須相同的硬件配置，可根據資源數據需求和資金預算進行調整，但需要三層網絡到達，并且設備支持VXLAN 協議。

VTEP 通常安裝在VM 主機上來實現，目前很多虛擬化軟件對其有支持，如VMware NSX 將傳統(tǒng)網絡里的設備在軟件里進行實現，形成一張?zhí)摂M邏輯的通信網絡，并通過VXLAN技術使傳統(tǒng)網絡中新的虛擬隧道網貫通。使用服務器主機作為VXLAN 網絡中的VTEP，用來負責網絡中VXLAN 數據包的封裝與解封裝。在接入交換機和核心交換機上啟用了VXLAN 協議。盡管兩個數據中心經過互聯網后，其網絡結構已不在同一個2 層網絡中，但是，通過VXLAN 技術建立二層的網絡隧道后，數據中心A 中的虛擬機就可以在線遷移到數據中心B。

4 結語

4.1 VXLAN 的優(yōu)點

（1）VXLAN 技術協議中擁有24 位標識符，它可提供1600 萬個VXLAN 網絡號段，遠遠超過了傳統(tǒng)網絡中VLAN，VLAN 只有12 位。VXLAN 擁有更多的網段，可以更好地滿足數據中心網段分離的需求。

（2）原始虛擬機的遷移只能在同一網段的第2 層網絡上執(zhí)行，這受到地理位置的嚴格限制。VXLAN 使用隧道技術來構建跨多個第3 層網絡的虛擬第2 層網絡?？梢栽谖锢砩戏稚⒌臄祿行闹g遷移虛擬機，從而使虛擬機部署更加靈活和便捷。

（3）VXLAN 在標準的第3 層IP 網絡上運行，從而無須構建和管理大型的第2 層基本傳輸層。接入交換機需要學習的MAC 地址數量也大大減少，這樣通過網絡設備的MAC 地址條目規(guī)范減弱了對虛擬機大小的限制。

（4）傳統(tǒng)的以太網使用STP 來防止環(huán)路。STP 導致網絡冗余路徑被阻止。VXLAN 數據包基于第3 層IP 標頭進行傳輸，可以有效利用網絡路徑并支持ECMP 和鏈路聚合。

4.2 VXLAN 的弱點

（1）與提供網絡服務的傳統(tǒng)物理設備進行通信還存在問題。VXLAN 是一種隧道技術，通信直接建立在隧道的兩端之間，所以它無法直接與不支持VXLAN 的傳統(tǒng)物理設備進行通信。

（2）與傳統(tǒng)的網絡相比，VXLAN 需要對每個分組進行封裝和解封裝，這降低了通信的轉發(fā)效率。

雖然VXLAN 技術也有一些不足，如兼容性和計算資源消耗，但眾多的優(yōu)點使得它在遠距離政務數據中心將大有發(fā)展，隨著設備升級兼容性增強和CPU 計算能力的提升，XVLAN 的不足正在弱化，并且穩(wěn)定性和安全性是政務系統(tǒng)的重要考量。