XXX项目SDN VPC网络解决方案技术建议 - 图文(4)

产品营销部SDN工作组——SDN VPC网络解决方案一纸阐 离。VTEP之间建立隧道，在物理网络上传输虚拟网络的数据帧，物理网络不感知虚拟网络。VTEP将从虚拟机发出/接受的帧封装/解封装，而虚拟机并不区分VNI和VXLAN隧道。

? VNI(VXLAN Network Identifier，VXLAN网络标识符)

VXLAN采用24比特标识二层网络分段，使用VNI来标识二层网络分段，每个VNI标识一个VXLAN，类似于VLAN ID作用。VNI占用24比特，这就提供了近16M可以使用的VXLANs。VNI将内部的帧封装（帧起源在虚拟机）。使用VNI封装有助于VXLAN建立隧道，该隧道在第3层网络之上覆盖率第二层网络。 ? VXLAN隧道

在两个VTEP之间完成VXLAN封装报文传输的逻辑隧道。业务入隧道进行VXLAN头、UDP头、IP头封装后，通过三层转发透明地将封装后的报文转发给远端VTEP，远端VTEP对其进行出隧道解封装处理。

? VSI（Virtual Switching Instance，虚拟交换实例）

VTEP上为一个VXLAN提供二层交换服务的虚拟交换实例。

3.3.2.3 网络部署需求

3.3.2.3.1

? MTU

VXLAN需要增加50字节用于封装VM发出的报文，需要更大的IP网络端到端的MTU。 ? VXLAN 卸载

由于VXLAN加入了新的VXLAN报文头，VXLAN网络报文不能再利用网卡的硬件卸载能力，这会导致支持VXLAN的vSwitch进一步占用CPU。

VXLAN 对基础承载网络的需求

3.3.2.3.2 VXLAN 网络和传统网络互通的需求

为了实现VLAN和VXLAN之间互通，VXLAN定义了VXLAN网关。VXLAN上同时存在VXLAN端口和普通端口两种类型端口，它可以把VXLAN网络和外部网络进行桥接和完成VXLAN ID和VLAN ID之间的映射和路由，和VLAN一样，VXLAN网络之间的通信也需要三层设备的支持，即VXLAN路由的支持。同样VXLAN网关可由硬件和软件来实现。

当收到从VXLAN网络到普通网络的数据时，VXLAN网关去掉外层包头，根据内层的原始

16

产品营销部SDN工作组——SDN VPC网络解决方案一纸阐 帧头转发到普通端口上；当有数据从普通网络进入到VXLAN网络时，VXLAN网关负责打上外层包头，并根据原始VLAN ID对应到一个VNI，同时去掉内层包头的VLAN ID信息。相应的如果VXLAN网关发现一个VXLAN包的内层帧头上还带有原始的二层VLAN ID，会直接将这个包丢弃。

如图所示。VXLAN网关最简单的实现应该是一个Bridge设备，仅仅完成VXLAN到VLAN的转换，包含VXLAN到VLAN的1：1、N：1转换，复杂的实现可以包含VXLAN Mapping功能实现跨VXLAN转发，实体形态可以是vSwitch、TOR交换机。

如图所示。VXLAN路由器最简单的实现可以是一个Switch设备，支持类似VLAN Mapping的功能，实现VXLAN ID之间的Mapping，复杂的实现可以是一个Router设备，支持跨VXLAN转发，实体形态可以是vRouter、TOR交换机、路由器。

VXLAN网关和VXLAN路由简单实现

3.3.2.3.3 VXLAN 网络安全需求

同传统网络一样，VXLAN网络同样需要进行安全防护。 VXLAN网络的安全资源部署需要考虑两个需求： ? VXLAN和VLAN之间互通的安全控制

传统网络和Overlay网络中存在流量互通，需要对进出互通的网络流量进行安全控制，防止网络间的安全问题。针对这种情况，可以在网络互通的位置部署VXLAN防火墙等安全资源，VXLAN防火墙可以兼具VXLAN网关和VXLAN路由器的功能。 ? VXLAN ID对应的不同VXLAN域之间互通的安全控制

VM之间的横向流量安全是在虚拟化环境下产生的特有问题，在这种情况下，同一个服务器的不同VM之间的流量可能直接在服务器内部实现交换，导致外部安全资源失效。针对这种情况，可以考虑使用重定向的引流方法进行防护，又或者直接基于虚拟机进行防护。

网络部署中的安全资源可以是硬件安全资源，也可以是软件安全资源，还可以是虚拟化

17

产品营销部SDN工作组——SDN VPC网络解决方案一纸阐 的安全资源。

3.3.2.4 Overlay网络虚机位置无关性

通过使用MAC-in-UDP封装技术，VXLAN为虚拟机提供了位置无关的二层抽象，Underlay网络和Overlay网络解耦合。终端能看到的只是虚拟的二层连接关系，完全意识不到物理网络限制。

更重要的是，这种技术支持跨传统网络边界的虚拟化，由此支持虚拟机可以自由迁移，甚至可以跨越不同地理位置数据中心进行迁移。如此以来，可以支持虚拟机随时随地接入，不受实际所在物理位置的限制。

所以VXLAN的位置无关性，不仅使得业务可在任意位置灵活部署，缓解了服务器虚拟化后相关的网络扩展问题；而且使得虚拟机可以随时随地接入、迁移，是网络资源池化的最佳解决方式，可以有力地支持云业务、大数据、虚拟化的迅猛发展。

3.3.2.5 分布式网关

分布式网关把分布在多台主机的单一OVS逻辑上组成一个“大”交换机，原来每个OVS需要分别配置，而现在OVS分布式网关可在控制器管理界面集中配置、管理。

分布式网关通过控制器创建和维护，当一个OVS分布式网关被创建时，每一个主机会创建一个隐藏的OVS与分布式网关连接。

分布式网关主要具备以下几个功能：

? 可以实现OVS集中管理的功能，在控制器管理界面对OVS集中配置管理，无需对每

个OVS单独配置、管理。

? OVS分布式网关可以通过流表实现VXLAN的二三层转发。

? 虚拟机迁移时可以使得虚拟机网络端口状态在从一个主机移到另一个主机时保持

不变，这样就能支持对虚拟机持续地统计监控并促进安全性监控。 ? 虚拟机迁移后，不需要重新配置网关等网络参数，部署简单、灵活。

3.3.2.6 Overlay网络流表路由

? ARP代答

对于虚拟化环境来说，当一个虚拟机需要和另一个虚拟机进行通信时，首先需要通过ARP的广播请求获得对方的MAC地址。由于VXLAN网络复杂，广播流量浪费带宽，所以需要

18

产品营销部SDN工作组——SDN VPC网络解决方案一纸阐 在控制器上实现ARP代答功能。即由控制器对ARP请求报文统一进行应答，而不创建广播流表。

ARP代答的大致流程：控制器收到OVS上送的ARP请求报文，做IP-MAC防欺骗处理确认报文合法后，从ARP请求报文中获取目的IP，以目的IP为索引查找全局表获取对应MAC，以查到的MAC作为源MAC构建ARP应答报文，通过Packetout下发给OVS。

3.3.2.7 Overlay网络转发流程

? 报文所属VXLAN识别

VTEP只有识别出接收到的报文所属的VXLAN，才能对该报文进行正确地处理。 VXLAN隧道上接收报文的识别：对于从VXLAN隧道上接收到的VXLAN报文，VTEP根据报文

中携带的VNI判断该报文所属的VXLAN。

本地站点内接收到数据帧的识别：对于从本地站点中接收到的二层数据帧，VTEP通过以太网服务实例（Service Instance）将数据帧映射到对应的VSI， VSI内创建的VXLAN即为该数据帧所属的VXLAN。 ? MAC地址学习

本地MAC地址学习：指本地VTEP连接的本地站点内虚拟机MAC地址的学习。本地MAC地址通过接收到数据帧中的源MAC地址动态学习，即VTEP接收到本地虚拟机发送的数据帧后，判断该数据帧所属的VSI，并将数据帧中的源MAC地址（本地虚拟机的MAC地址）添加到该VSI的MAC地址表中，该MAC地址对应的出接口为接收到数据帧的接口。

远端MAC地址学习：指远端VTEP连接的远端站点内虚拟机MAC地址的学习。远端MAC学习时，VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后，根据VXLAN ID判断报文所属的VXLAN，对报文进行解封装，还原二层数据帧，并将数据帧中的源MAC地址（远端虚拟机的MAC地址）添加到所属VXLAN对应VSI的MAC地址表中，该MAC地址对应的出接口为VXLAN隧道接口。

3.3.2.8 Overlay网络虚机迁移

在虚拟化环境中，虚拟机故障、动态资源调度功能、服务器主机故障或计划内停机等都会造成虚拟机迁移动作的发生。虚拟机的迁移，需要保证迁移虚拟机和其他虚拟机直接的业务不能中断，而且虚拟机对应的网络策略也必须同步迁移。

19

产品营销部SDN工作组——SDN VPC网络解决方案一纸阐 虚拟机迁移及网络策略如图所示：

虚拟机迁移及网络策略跟随

网络管理员通过虚拟机管理平台下发虚拟机迁移指令，虚拟机管理平台通知控制器预迁移，控制器标记迁移端口，并向源主机和目的主机对应的主备控制器分布发送同步消息，通知迁移的VPort，增加迁移标记。同步完成后，控制器通知虚拟机管理平台可以进行迁移了。

虚拟机管理平台收到控制器的通知后，开始迁移，创建VM分配IP等资源并启动VM。启动后目的主机上报端口添加事件，通知给控制器，控制器判断迁移标记，迁移端口，保存新上报端口和旧端口信息。然后控制器向目的主机下发网络策略。

源VM和目的执行内存拷贝，内存拷贝结束后，源VM关机，目的VM上线。源VM关机后，迁移源主机上报端口删除事件，通知给控制器，控制器判断迁移标记，控制器根据信息删除旧端口信息并同时删除迁移前旧端口对应的流表信息。

主控制器完成上述操作后在控制器集群内进行删除端口消息的通知。其他控制器收到删除端口信息后，也删除本控制器的端口信息，同时删除对应端的流表信息。源控制器需要把迁移后新端口通知控制器集群的其他控制器。其他控制器收到迁移后的端口信息，更新端口信息。当控制器重新收到Packet-in报文后，重新触发新的流表生成。

3.3.2.9 Overlay网关高可靠性

Overlay网关的高可靠性原理如图所示：

20

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库XXX项目SDN VPC网络解决方案技术建议 - 图文(4)在线全文阅读。