針對如何優(yōu)化數(shù)據(jù)中心以太網(wǎng)，支持其提供服務(wù)器虛擬化，已經(jīng)出現(xiàn)了很多新的和推薦的協(xié)議。其中有些協(xié)議的目的是希望通過創(chuàng)建多個(gè)可共享同一物理基礎(chǔ)設(shè)施的虛擬以太網(wǎng)來實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化，其共享方式有些類似于多個(gè)虛擬機(jī)共享同一臺物理服務(wù)器。

適用于網(wǎng)絡(luò)虛擬化的大部分協(xié)議基本上都是利用封裝和隧道技術(shù)來創(chuàng)建虛擬網(wǎng)絡(luò)覆蓋的。其中業(yè)界討論最多的協(xié)議包括VXLAN、NVGRE、STT和SPB MAC-in-MAC。SPB已是IEEE標(biāo)準(zhǔn)，而在有可能成為IETF標(biāo)準(zhǔn)的各種協(xié)議中，最有可能成為標(biāo)準(zhǔn)的是VXLAN。

傳統(tǒng)意義的網(wǎng)絡(luò)虛擬化

網(wǎng)絡(luò)實(shí)體的一對多虛擬化并不是什么新概念。最常見的例子就是VLAN和VRF(虛擬路由與轉(zhuǎn)發(fā))。

VLAN可將網(wǎng)絡(luò)劃分為最多4094個(gè)廣播域，在以太網(wǎng)報(bào)頭中為每個(gè)廣播域指定一個(gè)12位的VLAN ID。VLAN是在共享同一個(gè)包交換LAN基礎(chǔ)設(shè)施中隔離不同類型流量的一種很方便的方法。

數(shù)據(jù)中心在大量使用著服務(wù)器虛擬化，而VLAN數(shù)量上的限制可能產(chǎn)生問題，尤其當(dāng)大量的租戶需要獲得支持，每個(gè)租戶都需要多個(gè)VLAN的時(shí)候。借助802.1Q的trunk鏈路可在數(shù)據(jù)中心內(nèi)部擴(kuò)展VLAN以便支持VM(虛擬機(jī))的移動(dòng)性，但這樣會(huì)增加運(yùn)營成本和復(fù)雜程度。即便在基于2層的服務(wù)器-服務(wù)器連接的數(shù)據(jù)中心里，大量的VM每個(gè)都有自己的MAC地址，也會(huì)給2層交換機(jī)的轉(zhuǎn)發(fā)表功能帶來負(fù)擔(dān)。

VRF是3層網(wǎng)絡(luò)虛擬化的一種，其中的物理路由器支持多個(gè)虛擬路由器實(shí)例，每個(gè)實(shí)例都運(yùn)行自己的路由協(xié)議實(shí)例，維護(hù)自己的轉(zhuǎn)發(fā)表。

和VLAN不同，VRF不會(huì)在報(bào)頭中使用標(biāo)簽為每個(gè)分組指定具體的VRF。在每一跳都會(huì)根據(jù)輸入接口和幀的信息獲得適當(dāng)?shù)腣RF。另外一個(gè)要求是，在數(shù)據(jù)包經(jīng)過的端到端路徑中的每一個(gè)中轉(zhuǎn)路由器都需要配置一個(gè)VRF實(shí)例，以便能夠轉(zhuǎn)發(fā)該數(shù)據(jù)包。

利用覆蓋的網(wǎng)絡(luò)虛擬化

由于傳統(tǒng)VLAN或VRF模式存在缺陷，于是開始涌現(xiàn)出眾多創(chuàng)建虛擬網(wǎng)絡(luò)的新技術(shù)。其中大多數(shù)都是采用封裝和隧道技術(shù)，在同一個(gè)物理網(wǎng)絡(luò)上通過覆蓋來構(gòu)建多個(gè)虛擬網(wǎng)絡(luò)拓?fù)洹?/p>

一個(gè)虛擬網(wǎng)絡(luò)可以是2層的或3層的網(wǎng)絡(luò)，而物理網(wǎng)絡(luò)可以是2層的、3層的，或者兩者結(jié)合的網(wǎng)絡(luò)，這要取決于采用了何種覆蓋技術(shù)。利用覆蓋技術(shù)，外層(封裝)報(bào)頭包含一個(gè)24位長的域，攜帶一個(gè)虛擬網(wǎng)絡(luò)實(shí)例ID(VNID)，給要轉(zhuǎn)發(fā)的數(shù)據(jù)包專門指定一個(gè)虛擬網(wǎng)絡(luò)。

虛擬網(wǎng)絡(luò)的覆蓋可提供眾多的好處，包括：

● 可支持基本上沒有數(shù)量限制的虛擬網(wǎng)絡(luò);例如24位報(bào)頭可創(chuàng)建高達(dá)1600萬個(gè)虛擬網(wǎng)絡(luò)。

● 可解耦虛擬網(wǎng)絡(luò)拓?fù)?、服?wù)類別(L2或L3)和物理網(wǎng)絡(luò)尋址。這種解耦可避免出現(xiàn)諸如物理交換機(jī)上MAC表過大的問題。

● 支持虛擬機(jī)的遷移與物理網(wǎng)絡(luò)的無關(guān)性。如果一個(gè)VM要改變位置，甚至遷移到新的子網(wǎng)，在覆蓋邊緣的交換機(jī)只須更新其映射表便可反映出這個(gè)VM的新位置。新的VM的網(wǎng)絡(luò)完全可在網(wǎng)絡(luò)邊緣進(jìn)行預(yù)配置。

● 管理多個(gè)租戶間相互覆蓋IP地址的能力。

● 在虛擬網(wǎng)絡(luò)中支持多路徑轉(zhuǎn)發(fā)。

各種覆蓋協(xié)議之間的主要差異在于其封裝格式和控制平面的功能性，即允許入口(封裝)設(shè)備將一個(gè)幀映射到適當(dāng)?shù)某隹?拆裝)設(shè)備。

VXLAN

虛擬可擴(kuò)展LAN(VXLAN)是在一個(gè)3層網(wǎng)絡(luò)上借助MAC-in-UDP封裝，疊加一個(gè)2層網(wǎng)絡(luò)來實(shí)現(xiàn)網(wǎng)絡(luò)虛擬的。VXLAN網(wǎng)段是一個(gè)3層構(gòu)建，可替代VLAN為數(shù)據(jù)中心的VM生成LAN網(wǎng)段。

因此，一個(gè)VM只能在一個(gè)VXLAN段內(nèi)通信或遷移。該VXLAN段有一個(gè)24位的VXLAN網(wǎng)絡(luò)標(biāo)識符。VXLAN對VM來說是透明的，仍可使用MAC地址來通信。VXLAN封裝借助所謂VXLAN隧道端點(diǎn)(VTEP)來完成，該端點(diǎn)一般是通過一臺hypervisor交換機(jī)或物理接入交換機(jī)來提供的。

VXLAN封裝允許2層與任何端點(diǎn)進(jìn)行通信，只要該端點(diǎn)在同一個(gè)VXLAN網(wǎng)段內(nèi)即可，即便這些端點(diǎn)是在不同的IP子網(wǎng)內(nèi)也沒有關(guān)系。這可以讓VM的實(shí)時(shí)遷移越出3層邊界。因?yàn)镸AC幀是在IP包內(nèi)封裝的，因此對個(gè)別的2層交換機(jī)來說是無需知道MAC地址的。

這樣做可以減輕交換機(jī)出現(xiàn)MAC地址表的硬件容量問題。覆蓋的IP和MAC地址可由VXLAN ID來處理，這個(gè)VXLAN ID就像是特定VXLAN網(wǎng)段的限定符/標(biāo)識符，在這一網(wǎng)段內(nèi)，IP和MAC地址都是有效的。這種VXLAN控制解決方案是使用基于任意源組播(ASM)的泛紅來傳播端系統(tǒng)位置信息的。

如上所述，VXLAN采用的是MAC-in-UDP封裝。這么做的理由之一是現(xiàn)代的3層設(shè)備可解析5元組(包括4層的源和目的端口)。VXLAN雖然采用了清晰明確的目的UDP端口，但源UDP端口卻可以是任何值。因此一個(gè)VTEP便可從跨很多UDP源端口的單一VM上傳播所有的流。這樣便允許中轉(zhuǎn)的3層交換機(jī)在僅有的兩個(gè)VM之間充分利用多路徑，甚至是多流的優(yōu)勢。

在一個(gè)VXLAN覆蓋網(wǎng)絡(luò)上，如果VXLAN節(jié)點(diǎn)需要和網(wǎng)絡(luò)的傳統(tǒng)網(wǎng)段(例如VLAN)中的節(jié)點(diǎn)通信，可以用一個(gè)VXLAN網(wǎng)關(guān)來執(zhí)行要求的隧道終端功能，包括封裝/拆裝。該網(wǎng)關(guān)的功能可利用硬件或軟件來實(shí)現(xiàn)。

VXLAN是IETF標(biāo)準(zhǔn)草案的一個(gè)子集，支持廠商有VMware、思科、Arista網(wǎng)絡(luò)、博科、紅帽和Citrix。IBM也支持VXLAN。在hypervisor vSwitch和物理交換機(jī)上實(shí)現(xiàn)這個(gè)預(yù)標(biāo)準(zhǔn)的現(xiàn)象已開始出現(xiàn)。

NVGRE

采用通用路由封裝的網(wǎng)絡(luò)虛擬化(NVGRE)用的是RFC 2784和RFC 2890所定義的GRE隧道協(xié)議。NVGRE在很多方面和VXLAN相似，只有兩處例外。雖然GRE封裝不是什么新概念，但大多數(shù)網(wǎng)絡(luò)設(shè)備卻不會(huì)去解析硬件的GRE報(bào)頭，因?yàn)檫@樣做可能影響性能，在多路徑數(shù)據(jù)中心LAN中解析流量分發(fā)的5元組哈希表也可能產(chǎn)生問題。

另一個(gè)例外是現(xiàn)有的IETF NVGRE標(biāo)準(zhǔn)草案并沒有為前面在講述一般的網(wǎng)絡(luò)覆蓋時(shí)所提到的控制平面功能指定一種解決方案，這可能得留待未來的草案去解決，或者留待SDN控制器去解決。

支持NVGRE的一些廠商(例如微軟和Emulex)認(rèn)為，某些性能問題可通過智能網(wǎng)卡來解決，即用智能網(wǎng)卡卸載hypervisor vSwitch上的NVGRE端點(diǎn)處理。智能網(wǎng)卡還擁有與覆蓋控制器和hypervisor管理系統(tǒng)集成的API。Emulex還演示過可卸載VMware分布式交換機(jī)的VXLAN處理的智能網(wǎng)卡。

STT

無狀態(tài)傳輸協(xié)議(SST)是在數(shù)據(jù)中心的2層/3層物理網(wǎng)絡(luò)上創(chuàng)建2層虛擬網(wǎng)絡(luò)的第三種覆蓋技術(shù)。從理論上看，VXLAN和STT之間有很多相似之處。如隧道端點(diǎn)都是由hypervisor vSwitch提供的，VNID的長度都是24位，可通過控制傳輸源報(bào)頭發(fā)揮多路徑優(yōu)勢等。

STT封裝在兩個(gè)方面與NVGRE和VXLAN有所不同。第一，在IP報(bào)頭內(nèi)使用了無狀態(tài)TCP類報(bào)頭，允許端系統(tǒng)的隧道端點(diǎn)利用駐留在服務(wù)器網(wǎng)卡上的TCP卸載引擎(TOE)的TCP分片卸載功能(TSO)。

利用主機(jī)的好處包括較低的CPU使用率和較高的萬兆以太網(wǎng)接入鏈路使用率。STT還可為每個(gè)數(shù)據(jù)包的元數(shù)據(jù)分配更多的頭空間，而元數(shù)據(jù)則可為虛擬網(wǎng)絡(luò)的控制平面提供額外的靈活性。有了這些功能，STT便可針對hypervisor vSwitch作為封裝/拆裝隧道端點(diǎn)進(jìn)行優(yōu)化。

STT IETF草案的支持廠商是Nicira，但是也沒有具體的控制平面解決方案。不過Nicira自己的虛擬化解決方案包括類似OpenFlow的hypervisor vSwitch和基于中央網(wǎng)絡(luò)虛擬化控制器的控制平面，可簡化虛擬網(wǎng)絡(luò)的管理。

最短路徑橋接MAC-in-MAC(SPBM)

IEEE 802.1aq SPBM采用IEEE 802.1ah MAC-in-MAC封裝和IS-IS路由協(xié)議，通過VLAN擴(kuò)展來提供2層網(wǎng)絡(luò)虛擬化，此外還有通常與SPB相關(guān)的無環(huán)路等價(jià)成本多路徑2層轉(zhuǎn)發(fā)功能。

VLAN擴(kuò)展可借助24位虛擬服務(wù)網(wǎng)絡(luò)(VSN)實(shí)例服務(wù)ID(I-SID)來實(shí)現(xiàn)，后者是外層MAC封裝的一部分。和其他網(wǎng)絡(luò)虛擬化解決方案不同的是，在hypervisor vSwitch或網(wǎng)卡，以及現(xiàn)有的支持IEEE 802.1ah MAC-in-MAC封裝的交換機(jī)硬件上也無須做什么改變。對SPBM而言，控制平面是IS-IS路由協(xié)議提供的。

正如IP/SPB IETF草案所描述的，利用外層SPBM MAC的IP封裝，還可對SPBM擴(kuò)展以支持3層轉(zhuǎn)發(fā)和3層虛擬化。這一稿草案規(guī)定了SPBM節(jié)點(diǎn)如何執(zhí)行Inter-ISID或Inter-VLAN路由。此外，IP/SPB還可通過在網(wǎng)絡(luò)邊緣擴(kuò)展虛擬路由和虛擬轉(zhuǎn)發(fā)(VRF)實(shí)例提供跨SPBM網(wǎng)絡(luò)的3層VSN，而無須也支持VRF實(shí)例的核心交換機(jī)。

VLAN擴(kuò)展的VSN和VRF擴(kuò)展的VSN可在同一個(gè)SPB網(wǎng)絡(luò)上同時(shí)運(yùn)行，為多租戶環(huán)境提供隔離的2層和3層流量。有了SPBM，所有在接入或匯聚交換機(jī)上開始定義SPBM邊界的核心交換機(jī)都必須是SPBM使能的。目前可用的SPBM硬件交換機(jī)有Avaya和阿爾卡特-朗訊的。

其他可替代方案

有關(guān)網(wǎng)絡(luò)虛擬化的探討，如果沒有考慮到思科兩種協(xié)議中的至少一種，那將是不完全的，這兩種協(xié)議是：覆蓋傳輸虛擬化(OTV)和位置/ID分離協(xié)議(LISP)。

OTV是為數(shù)據(jù)中心內(nèi)的VLAN在WAN或互聯(lián)網(wǎng)上的擴(kuò)展做了優(yōu)化的，采用的是MAC-in-IP封裝。它使用IS-IS路由協(xié)議擴(kuò)展，通過將MAC地址的可到達(dá)性廣而告之，防止WAN上目的端點(diǎn)未知的泛洪流量。

LISP是一種IP-in-IP封裝技術(shù)，即便在端系統(tǒng)遷移到不同子網(wǎng)時(shí)也允許其保留IP地址(ID)。利用LISP的VM遷移性，IP各端點(diǎn)，如VM，便可遷移至任何地方，而不必管它們的IP地址是什么，同時(shí)又能維持客戶端流量的直接路徑路由。利用映射VRF給LISP實(shí)例ID來創(chuàng)建3層虛擬網(wǎng)絡(luò)的方法，LISP還可支持多租戶環(huán)境。此外，OpenFlow的未來版本毫無疑問還將支持某些標(biāo)準(zhǔn)的覆蓋功能。而在此之前，OpenFlow有可能提供另一種類型的網(wǎng)絡(luò)虛擬化，即通過基于分片流來隔離網(wǎng)絡(luò)流量來實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化。實(shí)現(xiàn)這一點(diǎn)的一個(gè)非常簡單的方法就是通過給OpenFlow控制器增加一個(gè)過濾層來隔離MAC地址集，而不必依賴VLAN。Big Switch的v0.85 Floodlight控制器已經(jīng)可提供此類功能。在多租戶環(huán)境中，OpenFlow控制器也有可能支持每個(gè)租戶一個(gè)分離控制器。

總結(jié)

網(wǎng)絡(luò)領(lǐng)域正處在一個(gè)劇烈變化的時(shí)代。這種巨變的主要技術(shù)推手之一就是從服務(wù)器虛擬化開始的虛擬化技術(shù)的持續(xù)發(fā)展，這一發(fā)展如今已開始影響到了網(wǎng)絡(luò)。這既包括了思科的兩個(gè)協(xié)議：覆蓋傳輸虛擬化和位置/ID分立協(xié)議，也包括了眾多基于封裝和隧道技術(shù)的新技術(shù)，如VXLAN等。此外，IT部門對SDN的關(guān)注程度也開始加速。網(wǎng)絡(luò)虛擬化就是和SDN有關(guān)的主要用例之一。