数据中心边缘虚拟交换技术研究与分析.docVIP

数据中心边缘虚拟交换技术研究与分析 摘要：在虚拟化环境下，网络边界的“虚拟接入”层将虚拟机同网络端口重新关联起来。目前，计算虚拟化与网络虚拟化的边界，出现若干技术体系，主要有802.1Qbg，802.1Br，其目的均是为了解决虚拟机与外部虚拟化网络对接、关联和感知的问题。现在着重研究基于802.1BR的VN-Tag技术和基于802.1Qbg的VEPA技术，通过实验测试结果，指导不同应用环境下的技术选择。 关键词：数据中心 虚拟化 边缘交换机 虚拟接入 VEPA VN-TAG 中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2015）09-0000-00 随着虚拟化技术和x86 CPU性能的发展，越来越多的数据中心开始向虚拟化转型。与传统数据中心不同，虚拟化造成数据中心网络与IT系统相互渗透，虚拟接入涉及网络、服务器及软件三个领域，对延伸至服务器内部的虚拟机（VM）网络流量，成为虚拟化环境下网络管理的一大难题。大规模的虚拟化系统对网络接入层提出了新的要求和挑战，虚拟化接入技术将成为下一代数据中心的核心技术和网络厂家的竞争热点[1]。虚拟接入领域的两种主流技术为基于802.1Br的VN-Tag和基于802.1Qbg的VEPA。 1 IEEE 802.1Qbg与IEEE 802.1Br 技术特点比较 IEEE 802.1Qbg与IEEE 802.1Br技术均是将策略、安全、管理等方面的处理由虚拟交换机上移至物理交换机，并均是通过统一的管理系统集成，提供快速部署能力，易维护易管理。但两个技术间也存在以下差别： （1）核心思想方面，802.1Qbg是将VM产生的网络流量全部交由服务器相连的物理交换机处理；而802.1Br是定义扩展设备PE（Port Extender），让用户将远程交换机部署为虚拟环境中的策略控制交换机。 （2）对现有架构的修改方面，802.1Qbg无需交换机硬件修改，改动小；而802.1Br技术增加VN-TAG，与现有以太网协议不兼容，需要更改网络设备硬件。 （3）面临的挑战方面，802.1Qbg对上行链路的带宽要求较高，且要求所有交换机必须支持hair-pin mode（发卡式转发模式）；而802.1Br则需要新定义报文结构，要求网络设备与网卡硬件支持。 1.1 基于IEEE 802.1Qbg的VEPA技术 VEPA的目标是将VM之间的交换行为从服务器内部转移到上联交换机。当两个处于同一服务器内的VM要交换数据时，从虚拟机A出来的数据帧首先会经过服务器网卡送往上联交换机，上联交换机通过查看帧头中自带的MAC地址（虚拟机MAC地址）发现目的主机B在同一台物理服务器中，将该帧送回原服务器，完成寻址转发。此种行为又称作“hair-pin mode” [2]。 1.2 基于IEEE 802.1Br的VN-Tag技术 VN-Tag的核心思想是在标准以太网帧中增加一段专用标记，用以区分不同的VIF（Virtual Interface），从而识别特定虚拟机的流量。VN-Tag中最重要的内容是一对新地址dvif_id和svif_id，这个地址空间对应的是虚拟机的VIF。VN-Tag通过这对地址说明数据帧走向。 当数据帧从虚拟机流出后，会被打上一个VN-Tag标签，当多个虚拟机共用一条物理上联链路时，基于VN-Tag的源地址dvif_id可区分出产生于不同虚拟机的流量 ，形成对应的虚拟通道，实现对虚拟机流量的管理。 2 基于VEPA及VN-Tag的网络架构实验测试分析 本节分别挑选了基于VN-Tag技术的具体实现实例- Cisco的Nexus 1000v架构，和基于VEPA技术的具体实现实例-华三EVB架构，在实验室搭建环境进行测试分析。 2.1 Cisco的Nexus 1000v架构实验测试分析 基于VN-Tag技术的具体实现实例- Cisco的Nexus 1000v架构测试结论： （1）Nexus1kv对于Vmware内虚拟机之间带宽分配管理：测试结果表明Nexus1kv可以对VM做带宽的分配，具备按照优先级限制VM的虚拟网卡传输速度的能力。 （2）Span功能：Nexus1kv可以配置SPAN功能，配置后可以在目标主机或VM上面通过抓包工具分析指定端口的数据，为分析和解决现网Nexus1kv软件交换机的故障提供了很好的方法。 （3）VM流量监控功能：Nexus1kv具备虚拟流量监控及统计分析能力。 2.2 华三EVB架构实验测试分析 基于VEPA技术的具体实现实例-华三EVB架构测试结论： （1）EVB对VM间带宽分配管理：支持复杂流分类，支持基于VM流分类的优先级标记及流量限速。 （2）Span功能：支持VM和流分类进行流量镜像，支持采样。 （3）ACL功能：支持VM的访问控制和流量过滤，支持硬件限速过滤