孟祥成

（三江學(xué)院 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京）

引言

某高校網(wǎng)絡(luò)架構(gòu)建設(shè)初期采用傳統(tǒng)的三層架構(gòu)，隨著某高校規(guī)模的不斷擴(kuò)大、業(yè)務(wù)的不斷更新，由于歷史原因，學(xué)校沒有統(tǒng)一的數(shù)據(jù)中心，所有服務(wù)器資源分布在各個(gè)院系，不具備集中放置的條件[1]。各個(gè)院系服務(wù)器資源利用率不均勻，有的服務(wù)器上部署了大量的虛擬機(jī)超負(fù)荷運(yùn)行，有的服務(wù)器卻使用相對(duì)較少。為了整合學(xué)校資源，把服務(wù)器資源充分利用起來(lái)，學(xué)校采用虛擬化技術(shù)割接部分網(wǎng)絡(luò)設(shè)備優(yōu)化網(wǎng)絡(luò)架構(gòu)[2]。本文通過(guò)模擬升級(jí)后的網(wǎng)絡(luò)系統(tǒng)[3]，采用VRRP虛擬冗余機(jī)制和虛擬可擴(kuò)展局域網(wǎng)（VXLAN）技術(shù)，將二層報(bào)文用三層協(xié)議進(jìn)行封裝，實(shí)現(xiàn)二層網(wǎng)絡(luò)在三層范圍內(nèi)進(jìn)行擴(kuò)展，滿足學(xué)校服務(wù)器資源可靠穩(wěn)定的大二層虛擬遷移。

1 原網(wǎng)絡(luò)系統(tǒng)分析

在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)中，頂層為校園網(wǎng)絡(luò)邊界路由層。核心層負(fù)責(zé)整個(gè)校園網(wǎng)絡(luò)的高速互聯(lián)，但缺少冗余備份設(shè)備。匯聚層用于轉(zhuǎn)發(fā)用戶間的“橫向”流量，同時(shí)轉(zhuǎn)發(fā)到核心層的“縱向”流量。多臺(tái)接入層設(shè)備與多個(gè)部門專用服務(wù)器相連并且接入層存在不同廠商設(shè)備。

現(xiàn)有網(wǎng)絡(luò)環(huán)境存在問題：（1）服務(wù)器資源分散，不利于統(tǒng)一管理；（2）部分院系的服務(wù)器資源缺乏，整體服務(wù)器資源利用率低；（3）校園網(wǎng)采用多廠商設(shè)備組網(wǎng)，網(wǎng)絡(luò)改造困難；（4）部門院系遷移，服務(wù)器IP 地址、MAC 地址等參數(shù)不能保持不變，難以保證部門遷移過(guò)程中業(yè)務(wù)不中斷。如果使用現(xiàn)有網(wǎng)絡(luò)架構(gòu)，購(gòu)買新的物理設(shè)備分離流量，可能導(dǎo)致VLAN 散亂、網(wǎng)絡(luò)成環(huán)以及系統(tǒng)和管理等一系列問題。

2 系統(tǒng)優(yōu)化方案

2.1 方案設(shè)計(jì)

使用5 臺(tái)CE12800 作為新的核心設(shè)備，替換原有的核心層和匯聚層設(shè)備，在已有的VRRP 和MSTP 模式的基礎(chǔ)上進(jìn)行優(yōu)化，增加VXLAN（虛擬可擴(kuò)展虛擬局域網(wǎng)）技術(shù)，通過(guò)SDN 控制器部署基于VXLAN 的大二層服務(wù)器網(wǎng)絡(luò)，使虛擬機(jī)可以在大二層網(wǎng)絡(luò)中進(jìn)行無(wú)障礙的動(dòng)態(tài)遷移，從而將分散的在各個(gè)院系的服務(wù)器資源集中管理，并進(jìn)行利用。原接入層和邊界安全設(shè)備配置保持不變，只需要把原有核心層和匯聚層設(shè)備割接為CE12800 設(shè)備。具體規(guī)劃如表1 所示，優(yōu)化后的網(wǎng)絡(luò)拓?fù)淙鐖D1 所示。

表1 數(shù)據(jù)規(guī)劃

通過(guò)構(gòu)建基于VXLAN 的虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)與物理網(wǎng)絡(luò)解耦。校園虛擬網(wǎng)絡(luò)架構(gòu)分為物理網(wǎng)絡(luò)（Underlay 網(wǎng)絡(luò)）和虛擬網(wǎng)絡(luò)（Overlay 網(wǎng)絡(luò)）二層架構(gòu)，這樣組網(wǎng)可以實(shí)現(xiàn)服務(wù)器資源的整合，同時(shí)提高資源利用率。VXLAN 技術(shù)采用MAC in UDP 的報(bào)文封裝方式，把二層數(shù)據(jù)幀報(bào)文用三層UDP 協(xié)議進(jìn)行封裝，可在三層范圍內(nèi)擴(kuò)展二層網(wǎng)絡(luò)[4-5]。

2.2 實(shí)驗(yàn)局配置

采用華為eNSP 仿真軟件[6]優(yōu)化后的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)搭建實(shí)驗(yàn)局，在核心層和匯聚層設(shè)備配置OSPF 路由協(xié)議，保證網(wǎng)絡(luò)三層互通，在coreCE1 和coreCE2 上配置虛擬路由協(xié)議VRRP、VXLAN 三層網(wǎng)關(guān)冗余備份，關(guān)鍵知識(shí)點(diǎn)配置如下。

（1）配置業(yè)務(wù)接入點(diǎn)

當(dāng)業(yè)務(wù)接入點(diǎn)為二層子接口時(shí)，通過(guò)在二層子接口上配置dot1q 流封裝實(shí)現(xiàn)接口接入數(shù)據(jù)報(bào)文，將二層子接口關(guān)聯(lián)廣播域BD（Bridge-Domain）后，可實(shí)現(xiàn)數(shù)據(jù)報(bào)文通過(guò)BD 轉(zhuǎn)發(fā)。

[*conCE3]bridge-domain 2 //創(chuàng)建大二層廣播域BD，編號(hào)為2

[*conCE3]interface g1/0/1.2002 mode l2 //創(chuàng)建二層子接口g1/0/1.2002，并進(jìn)入子接口視圖

[*conCE3 -GE1/0/1.2002]encapsulation dot1q vid 300 //配置流封裝類型為dot1q 時(shí)

[*conCE3-GE1/0/1.2002]bridge-domain 2 //將二層子接口加入BD

（2）配置BGP EVPN 對(duì)等體關(guān)系

通過(guò)在VXLAN 網(wǎng)關(guān)之間配置BGP EVPN 對(duì)等體關(guān)系可以使不同網(wǎng)關(guān)相互發(fā)送EVPN 路由。

[*conCE3]vpn-overlay enable //使能EVPN 作VXLAN 控制平面功能

[～conCE3]bgp 1000 //使 能BGP協(xié)議并進(jìn)入BGP 視圖

[*conCE3 -bgp]peer 10.0.11.1 as -number 1000 //將對(duì)端coreCE1 配置為對(duì)等體

[*conCE3 -bgp]peer 10.0.11.1 connect-interface LoopBack 0

[*conCE3 -bgp]l2vpn -family evpn//進(jìn)入BGP-EVPN 地址族視圖

[*conCE3 -bgp -af -evpn]peer 10.0.11.1 enable //使能對(duì)等體交換EVPN 路由信息的能力

（3）配置EVPN 實(shí)例

EVPN 實(shí)例可以用來(lái)管理從BGP EVPN 對(duì)等體接收來(lái)的路由和向BGP EVPN 對(duì)等體發(fā)布的EVPN路由。

[*conCE3]bridge-domain 2 //進(jìn)入大二層廣播域BD

[*conCE3-bd2]vxlan vni 52 //創(chuàng)建VXLAN 網(wǎng)絡(luò)標(biāo)識(shí)52 并關(guān)聯(lián)廣播域BD

[*conCE3-bd2]evpn

[*conCE3-bd2-evpn]route-distinguisher 12:1 //配置EVPN 實(shí)例的RD

[*conCE3-bd2-evpn]vpn-target 2:2 //為EVPN 實(shí)例配置VPN-target 擴(kuò)展團(tuán)體屬性

（4）配置頭端復(fù)制功能

配置頭端復(fù)制功能后，系統(tǒng)會(huì)通過(guò)BGP EVPN 協(xié)議構(gòu)建出其他遠(yuǎn)端VTEP 列表，當(dāng)VXLAN 網(wǎng)關(guān)需要轉(zhuǎn)發(fā)報(bào)文時(shí)，可以根據(jù)此列表將收到的BUM 報(bào)文進(jìn)行復(fù)制并發(fā)送給屬于同一個(gè)VNI 的所有VXLAN 網(wǎng)關(guān)。

[～conCE3]interface Nve 1 //創(chuàng)建NVE 接口

[～conCE3-Nve1]source 10.0.33.3 //配 置 源 端VTEP 的IP 地址

[～conCE3-Nve1]vni 51 head-end peer-list protocol bgp //使能頭端復(fù)制功能

[*conCE3-Nve1]vni 52 head-end peer-list protocol bgp //使能頭端復(fù)制功能

（5）配置VXLAN 三層網(wǎng)關(guān)

BD 是VXLAN 網(wǎng)絡(luò)的實(shí)體，通過(guò)將VNI（每一個(gè)VNI 表示一個(gè)租戶）以1:1 方式映射到廣播域BD，可以通過(guò)BD 轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文。基于BD 可創(chuàng)建三層邏輯接口VBDIF 接口，可以實(shí)現(xiàn)不同網(wǎng)段的VXLAN 間，及VXLAN 和非VXLAN 之間的三層互通，也可實(shí)現(xiàn)二層網(wǎng)絡(luò)接入三層網(wǎng)絡(luò)。每個(gè)BD 對(duì)應(yīng)一個(gè)VBDIF 接口，使用虛擬冗余路由協(xié)議VRRP 配置虛擬IP 作為本BD 內(nèi)租戶的網(wǎng)關(guān)，對(duì)需要進(jìn)行通信的報(bào)文通過(guò)BGP 路由的三層轉(zhuǎn)發(fā)。在coreCE1 上創(chuàng)建VBDIF 接口，并配置VRRP，用以協(xié)商主備網(wǎng)關(guān)。

[*coreCE1]interface Vbdif 1 //創(chuàng)建VBDIF 接口，并進(jìn)入VBDIF 接口視圖

[*coreCE1-Vbdif1]ip add 10.0.100.253 24 //配置VBDIF1 接口的IP 地址

[*coreCE1 -Vbdif1]vrrp vrid 1 virtual -ip 10.0.100.254 //創(chuàng)建VRRP 備份組1 并給備份組配置虛擬IP 地址

[*coreCE1 -Vbdif1]vrrp vrid 1 track ip route 10.0.100.254 255.255.255.255 increase 100

3 系統(tǒng)測(cè)試

3.1 基本功能測(cè)試

在搭建好VXLAN 校園網(wǎng)絡(luò)架構(gòu)中，通過(guò)配置驗(yàn)證各種信息確認(rèn)。

（1）通過(guò)display vxlan tunnel 命令，查看Tunnel 的配置信息，包括源地址、目的地址和隧道等信息，如圖2 所示。

圖2 隧道信息配置驗(yàn)證

（2）通過(guò)display vxlan tunnel 命令，查看VXLAN 的配置參數(shù)以及VNI 狀態(tài)，如圖3 所示。

圖3 VNI 信息驗(yàn)證

3.2 性能測(cè)試

測(cè)試網(wǎng)絡(luò)丟包率、抖動(dòng)、延時(shí)，以Server2 所在網(wǎng)段到邊界網(wǎng)關(guān)收到的流量測(cè)試為例，使用ping 測(cè)試構(gòu)建虛擬流量，分別以報(bào)文長(zhǎng)度為64、128、256、512、1 024 字節(jié)，每個(gè)長(zhǎng)度測(cè)試10 次，取平均值的方式，測(cè)試結(jié)果如表2 所示。

表2 丟包率測(cè)試結(jié)果

3.3 互通性測(cè)試

測(cè)試Server2 與Server4 之間的連通性，二層報(bào)文通過(guò)封裝為UDP 協(xié)議，實(shí)現(xiàn)二層報(bào)文通過(guò)三層路由實(shí)現(xiàn)互通，測(cè)試結(jié)果如圖4 所示。

圖4 二層報(bào)文跨越三層路由連通性測(cè)試

3.4 測(cè)試結(jié)果

本文節(jié)選基本配置功能、丟包率、互通性等一部分測(cè)試用例進(jìn)行測(cè)試。通過(guò)VXLAN 技術(shù)配置測(cè)試的顯示結(jié)果，在CE12800 設(shè)備上VXLAN 協(xié)議的基本配置信息正確，符合預(yù)期的測(cè)試要求，可以為進(jìn)一步組網(wǎng)測(cè)試做鋪墊。丟包率測(cè)試得到的是隨機(jī)性結(jié)果，需要進(jìn)行多次測(cè)試計(jì)算出平均值，本次實(shí)驗(yàn)中測(cè)試次數(shù)為10 次，測(cè)試結(jié)果顯示得到網(wǎng)絡(luò)抖動(dòng)和丟包率結(jié)果一致，網(wǎng)絡(luò)模型比較穩(wěn)定。通過(guò)VXLAN 隧道，Server2 所在院系遷移過(guò)程中可保證網(wǎng)絡(luò)無(wú)感知。該院系從Server2 遷移到Server4后，終端租戶會(huì)發(fā)送免費(fèi)的ARP 報(bào)文，所有網(wǎng)關(guān)設(shè)備上保存的原虛擬機(jī)對(duì)應(yīng)的MAC 表和ARP 表都將會(huì)被刪除，更新為遷移后的虛擬機(jī)對(duì)應(yīng)的MAC 地址表和ARP表，延伸并實(shí)現(xiàn)了二層網(wǎng)絡(luò)內(nèi)部主機(jī)間的通信。

4 結(jié)論

針對(duì)現(xiàn)有的校園網(wǎng)絡(luò)存在的問題，設(shè)計(jì)了新的網(wǎng)絡(luò)架構(gòu)模型，通過(guò)仿真軟件模擬測(cè)試得出優(yōu)化后的網(wǎng)絡(luò)具有以下優(yōu)勢(shì)：（1）虛擬機(jī)無(wú)障礙動(dòng)態(tài)遷移。分散在各個(gè)院系的服務(wù)器資源集中管理，并充分利用。（2）有效降低成本。網(wǎng)絡(luò)改造只替換核心層和匯聚層設(shè)備為支持VXLAN 功能的設(shè)備，其它設(shè)備可以再利用，有效降低學(xué)校投入成本。（3）方便管理。通過(guò)采用MAC in UDP 封裝來(lái)延伸二層網(wǎng)絡(luò)，實(shí)現(xiàn)了Underlay 網(wǎng)絡(luò)和Overlay 網(wǎng)絡(luò)的解耦，無(wú)需考慮物理網(wǎng)絡(luò)IP 地址，大大降低了網(wǎng)絡(luò)管理難度。（4）提高了網(wǎng)絡(luò)吞吐量。VXLAN 封裝的UDP 源端口信息由內(nèi)層的信息經(jīng)過(guò)哈希運(yùn)算得到，物理網(wǎng)絡(luò)不需要解析內(nèi)層報(bào)文就可進(jìn)行負(fù)載分擔(dān)，從而提高了網(wǎng)絡(luò)吞吐量。該方案已在部分高校實(shí)施應(yīng)用，下一步將結(jié)合VXLAN 技術(shù)特點(diǎn)進(jìn)一步開展虛擬網(wǎng)絡(luò)新技術(shù)研究。