SDN網(wǎng)絡技術VxLAN的研究及分析

張 瓊

?

SDN網(wǎng)絡技術VxLAN的研究及分析

張 瓊

中移鐵通有限公司甘肅分公司，甘肅 蘭州 730000

隨著云計算技術迅速發(fā)展與應用，傳統(tǒng)的數(shù)據(jù)中心逐漸向由各種虛擬化技術所支撐的云數(shù)據(jù)中心轉(zhuǎn)變。計算虛擬化和存儲虛擬化已經(jīng)取得長足發(fā)展，但網(wǎng)絡虛擬化一直是云業(yè)務資源虛擬化的短板。VLAN能夠在傳統(tǒng)物理網(wǎng)絡基礎上構(gòu)建邏輯的二層網(wǎng)絡，提供了網(wǎng)絡虛擬化的有效解決方式，是網(wǎng)絡支持云業(yè)務發(fā)展的理想選擇。基于此，對VxLAN技術進行了分析研究，并討論了部署方法、優(yōu)勢及不足。

云計算；云數(shù)據(jù)中心；VxLAN

1 緒論

1.1 課題背景及意義

（1）研究背景。近些年來，隨著實時業(yè)務如視頻語音業(yè)務、云數(shù)據(jù)中心業(yè)務和移動業(yè)務的快速發(fā)展，人們發(fā)現(xiàn)以下問題：VLAN的數(shù)量限制，4 096個VLAN遠不能滿足大規(guī)模云計算數(shù)據(jù)中心的需求；物理網(wǎng)絡基礎設施的限制：基于IP子網(wǎng)的區(qū)域劃分限制需要二層網(wǎng)絡連通性的應用負載的部署；TOR交換機MAC表耗盡：虛擬化以及東西向流量導致更多的MAC表項。

（2）研究意義。幫助企業(yè)將虛擬域與基礎網(wǎng)絡和虛擬基礎設施進行關聯(lián)，通過采用基于VxLAN的網(wǎng)絡部署：簡化虛擬網(wǎng)絡的擴展；夸異構(gòu)網(wǎng)絡應用服務，帶來最佳性能；提升應用移動性和業(yè)務連續(xù)性。

1.2 國內(nèi)外研究情況

傳統(tǒng)的VLAN技術基于IEEE的802.1Q協(xié)議，在該協(xié)議的幀格式里面定義了VLAN ID的位數(shù)為12 bit，最多只能支持4 094個VLAN；隨著云數(shù)據(jù)中心的各種業(yè)務應用的規(guī)模落地，業(yè)務量不斷增長，就可能需要成千上萬個VLAN，傳統(tǒng)VLAN的數(shù)量不能滿足云數(shù)據(jù)中心日后業(yè)務規(guī)模發(fā)展的需求。

2 相比傳統(tǒng)網(wǎng)絡，云數(shù)據(jù)中心網(wǎng)絡應該考慮的需求

2.1 虛擬機的無限制的遷移

由于需要資源整合、業(yè)務備份，所以虛擬化技術要求資源池內(nèi)的虛擬機在不中斷業(yè)務的情況從一臺物理服務器遷移到另外一臺服務器，整個遷移過程不需要物理網(wǎng)絡變化。因為遷移前后虛擬機的三層地址沒有變化，且業(yè)務網(wǎng)關也保持一致，這就要求遷移網(wǎng)絡是一個二層網(wǎng)絡。而傳統(tǒng)的網(wǎng)絡數(shù)據(jù)中心為了防止廣播風暴，而采用路由協(xié)議架構(gòu)，并將二層網(wǎng)絡限制在接入層以下，這就制約了虛擬機的遷移范圍。

2.2 隔離多租戶

為了安全性及防止地址重疊的問題，云計算需要保證各租戶之間數(shù)據(jù)隔離。傳統(tǒng)的二層網(wǎng)絡借助VLAN來隔離業(yè)務，可用的VLAN數(shù)量只有4 094個，無法滿足大規(guī)模租戶的需求。而且傳統(tǒng)二層網(wǎng)絡的核心設備會允許所有VLAN通過，這就使得任一VLAN的廣播數(shù)據(jù)包都會在整網(wǎng)泛洪，占用了網(wǎng)絡帶寬。

2.3 快速增加的虛擬機數(shù)量

在二層網(wǎng)絡中，因為數(shù)據(jù)包需要通過MAC地址尋址來確定轉(zhuǎn)發(fā)路徑，所以網(wǎng)絡設備的MAC地址容量決定了可接入虛擬機的規(guī)模。但是，低成本的接入交換機往往MAC地址容量比較小，無法滿足大型數(shù)據(jù)中心的虛擬化需求。解決這些需求的傳統(tǒng)思路是借助二層環(huán)路多生成樹（MSTP）、交換機虛擬化（IRF/vPC）或二層多路徑（TRILL/Fabric Path）等網(wǎng)絡技術，將數(shù)據(jù)中心設計為二層網(wǎng)絡。隨著服務器、虛擬機數(shù)量越來越多，網(wǎng)絡規(guī)模越來越大，這些技術由于各自的局限性已無法滿足大型云數(shù)據(jù)中心的要求。

3 VxLAN協(xié)議

目前在overlay技術領域有三大技術路線：VxLAN、NVGRE、STT，其中最火的就是VxLAN技術，包括vmware、cisco、h3c等多個虛擬化以及傳統(tǒng)網(wǎng)絡廠商，都是以VxLAN技術來構(gòu)建自己的SDN解決方案。

3.1 VxLAN基本原理

VxLAN（Virtual eXtensible LAN，可擴展虛擬局域網(wǎng)絡）技術由思科和VMWare在2011年9月公布，是一種通過隧道實現(xiàn)的技術，能在三層網(wǎng)絡的基礎上做二層以太網(wǎng)網(wǎng)絡隧道，從而實現(xiàn)跨地域的不同數(shù)據(jù)中心的二層互連。每個在三層網(wǎng)絡基礎上的二層疊加網(wǎng)絡都有一VxLAN標識符（即VNI，VxLAN Network Identifier），只有在同一個VxLAN上的虛擬機之間才能相互通信。VNI在數(shù)據(jù)包之中占24比特，故可支持大于1 600萬個VxLAN同時存在，遠多于VLAN的4 094個。同一個VxLAN的虛擬機之間的通信由虛擬機所在物理機上的虛擬機管理程序來實現(xiàn)，虛擬機本身意識不到VxLAN的存在，即對VxLAN透明。

VxLAN 具有如下特點：

（1）支持大量的租戶。使用 24 位的標識符，最多可支持 2 的 24 次方（16777216）個 VxLAN，支持的租戶數(shù)目大規(guī)模增加，解決了傳統(tǒng)二層網(wǎng)絡 VLAN 資源不足的問題。（2）易于維護?；?IP 網(wǎng)絡組建大二層網(wǎng)絡，使得網(wǎng)絡部署和維護更加容易，并且可以充分地利用現(xiàn)有的 IP 網(wǎng)絡技術，例如利用等價路由進行負載分擔等；只有 IP 核心網(wǎng)絡的邊緣設備需要進行 VxLAN 處理，網(wǎng)絡中間設備只需根據(jù) IP 頭轉(zhuǎn)發(fā)報文，降低了網(wǎng)絡部署的難度和費用。

目前，設備只支持基于 IPv4 網(wǎng)絡的 VxLAN 技術，不支持基于 IPv6 網(wǎng)絡的VxLAN技術。

3.2 VxLAN技術網(wǎng)絡模型

見圖1。

圖1 VxLAN網(wǎng)絡模型示意圖

3.3 VxLAN 的優(yōu)點

相對于VLAN，VxLAN具備以下的優(yōu)勢：

（1）極大地擴充了二層網(wǎng)段的數(shù)量。VxLAN技術的24位VNI標識符提供了1 600萬VxLAN網(wǎng)段，遠比VLAN的4 096個要多，可以滿足云端數(shù)據(jù)中心多租戶的網(wǎng)段分隔的需求。

（2）更大的靈活性。原來虛擬機的遷移只能在同網(wǎng)段 的二層網(wǎng)絡上進行，受到地理位置的嚴重限制。VxLAN通過隧道技術來構(gòu)建可以跨越多個3層網(wǎng)絡的虛擬的2層網(wǎng)絡，虛擬機可以在物理位置分散的數(shù)據(jù)中心之間遷移，這使得虛擬機的部署更加靈活和方便。

（3）優(yōu)化的網(wǎng)絡操作。由于VLAN在標準的第三層IP網(wǎng)絡上運行，不再需要構(gòu)建和管理龐大的第2層基礎傳輸層。

（4）經(jīng)濟性。VxLAN由于物理機內(nèi)部的虛擬機管理程序來管理，對虛擬機和普通的網(wǎng)絡設備（交換機、路由器）等透明，不需要對現(xiàn)有的物理交換機和路由器進行硬件方面的升級和改造。

3.4 VxLAN 的不足

雖然VxLAN技術能滿足未來云端大規(guī)模發(fā)展的需求，但作為意向新技術，VxLAN仍有不少不足之處。

（1）與提供網(wǎng)絡服務的物理設備通信存在較大問題。雖然人們期望有一些數(shù)據(jù)中心交換機供應商能夠支持3層VxLAN終端，但是使用VxLAN封裝的邏輯子網(wǎng)還無法與物理設備通信，如交換機、負載均衡器或防火墻。VxLAN連接外部設備的唯一方法是使用虛擬3層網(wǎng)絡設備，如vShield Edge、Vyatta路由器或F5負載均衡器，一個物理VLAN中需要一個vNIC，而在VxLAN中需要一個或多個。

（2）安全性不足。在VxLAN的草案白皮書沒有具體指出防范針對VxLAN攻擊的具體方法，在傳統(tǒng)二層以太網(wǎng)里，可能會遇到ARP欺騙，MAC地址泛洪攻擊，VLAN標記攻擊等安全問題。在VxLAN環(huán)境下的虛擬二層網(wǎng)絡上也可能遇到類似的攻擊。除了ARP欺騙和MAC地址泛洪攻擊外，虛擬機和VNI的映射關系，VNI和IP多播組的映射關系，可能遭到惡意入侵者的篡改。但是VxLAN技術還沒有明確這些新出現(xiàn)的安全問題具體應該如何防范，只是建議使用ACL，802.1X，IPsec等傳統(tǒng)安全技術來防范攻擊；

（3）路由器壓力過大。VxLAN在虛擬二層網(wǎng)絡上通過組播技術來模擬物理二層以太網(wǎng)的廣播功能。然而，因為VxLAN支持最多1 600萬個VNI，如果云端的規(guī)模巨大，有成千上萬的VxLAN網(wǎng)段，那么物理的網(wǎng)絡設備就可能同時存在非常多的組播組，這可能占用很多路由器的資源，物理路由器的壓力十分巨大。

[1]石晶.基于SDN+VXLAN在DCI部署方案[J].信息通信，2016（7）：32.

[2]張鵬，孫瓊.基于SDN架構(gòu)的OverlayVPN技術研究[J].電信技術，2016（6）：15-18.

[3]解云鵬，雷波，史凡.面向VDC組網(wǎng)的VXLAN控制面互通方案探討[J].互聯(lián)網(wǎng)天地，2016（2）：79-84.

[4]張臻.5G通信系統(tǒng)中的SDN/NFV和云計算分析[J].移動通信，2016（17）：56-58.

[5]龐冉，黃永亮.SDN技術在綜合承載傳送網(wǎng)中的應用分析[J].郵電設計技術，2013（11）：24-27.

TP393.1

A

1009-6434（2016）12-0131-02