大二层网络技术

⼤⼆层⽹络----Vxlan技术1. ⼆层转发的概念 ⼆层转发即交换机依据mac地址进⾏转发，交换机维护⼀张mac表，接受到报⽂后识别报⽂的⽬的mac地址，然后将数据包转发到mac 表对应的端⼝上。

VxLAN技术⾸先会抽象⼀个overlay平⾯，这个overlay平⾯就等同于⼀个⼆层交换机，其次会定义若⼲VTEP节点，VTEP 节点就相当于⼆层交换机的端⼝，同时维护⼀个vtep节点的mac表，数据报⽂到达vtep节点后，解析⽬的vtep的mac地址，然后将数据包转发到mac 表对应的vtep节点上，与⼆层交换极其类似，因此VxLAN这种在物理平⾯上抽象出的逻辑平⾯⼜被称为⼤⼆层平⾯。

这种技术主要⽤在数据中⼼⾥⾯。

2. 现今数据中⼼⾯临的挑战a、虚拟机规模受⽹络设备表项规格的限制在传统⼆层⽹络环境下，数据报⽂是通过查询MAC地址表进⾏⼆层转发。

服务器虚拟化后，VM的数量⽐原有的物理机发⽣了数量级的增长，伴随⽽来的便是VM⽹卡MAC地址数量的空前增加。

⽽接⼊侧⼆层设备的MAC地址表规格较⼩，⽆法满⾜快速增长的VM数量。

b、⽹络隔离能⼒有限VLAN作为当前主流的⽹络隔离技术，在标准定义中只有12⽐特，因此可⽤的VLAN数量仅4096个。

对于公有云或其它⼤型虚拟化云计算服务这种动辄上万甚⾄更多租户的场景⽽⾔，VLAN的隔离能⼒⽆法满⾜。

c、虚拟机迁移范围受限由于服务器资源等问题(如CPU过⾼，内存不够等)，虚拟机迁移已经成为了⼀个常态性业务。

虚拟机迁移是指将虚拟机从⼀个物理机迁移到另⼀个物理机。

为了保证虚拟机迁移过程中业务不中断，则需要保证虚拟机的IP地址、MAC地址等参数保持不变，这就要求虚拟机迁移必须发⽣在⼀个⼆层⽹络中。

⽽传统的⼆层⽹络，将虚拟机迁移限制在了⼀个较⼩的局部范围内。

为了应对传统数据中⼼⽹络对服务器虚拟化技术的限制，VXLAN技术应运⽽⽣，其能够很好的解决上述问题。

3. Vxlan格式及封装格式Vxlan通过将逻辑⽹络中通信的数据帧封装在物理⽹络中进⾏传输，封装和解封装的过程由VTEP节点完成。

大二层网络技术背景及主要技术方向一、为什么需要大二层传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵贯式大流量，同时使网络管理员能够对流量流进行管理。

工程师在这些架构中采用生成树协议(STP)来优化客户端到服务器的路径和支持连接冗余，通常将二层网络的范围限制在网络接入层以下，避免出现大范围的二层广播域；虚拟化从根本上改变了数据中心网络架构的需求，既虚拟化引入了虚拟机动态迁移技术。

从而要求网络支持大范围的二层域。

从根本上改变了传统三层网络统治数据中心网络的局面。

具体的来说，虚拟化技术的一项伴生技术—虚拟机动态迁移（如VMware的VMotion）在数据中心得到了广泛的应用，虚拟机迁移要求虚拟机迁移前后的IP和MAC地址不变，这就需要虚拟机迁移前后的网络处于同一个二层域内部。

由于客户要求虚拟机迁移的范围越来越大，甚至是跨越不同地域、不同机房之间的迁移，所以使得数据中心二层网络的范围越来越大，甚至出现了专业的大二层网络这一新领域专题。

【思考1、IP及MAC不变的理由：对业务透明、业务不中断】【思考2、IP及MAC不变，那么为什么必须是二层域内？IP不变，那么就不能够实现基于IP的寻址（三层），那么只能实现基于MAC的寻址，既二层寻址，大二层，顾名思义，此是二层网络，根据MAC地址进行寻址】传统网络的二层为什么大不起来在数据中心网络中，“区域”对应VLAN的划分。

相同VLAN 内的终端属于同一广播域，具有一致的VLAN-ID，二层连通；不同VLAN内的终端需要通过网关互相访问，二层隔离，三层连通。

传统的数据中心设计，区域和VLAN的划分粒度是比较细的，这主要取决于“需求”和“网络规模”。

传统的数据中心主要是依据功能进行区域划分，例如WEB、APP、DB，办公区、业务区、内联区、外联区等等。

不同区域之间通过网关和安全设备互访，保证不同区域的可靠性、安全性。

同时，不同区域由于具有不同的功能，因此需要相互访问数据时，只要终端之间能够通信即可，并不一定要求通信双方处于同一VLAN或二层网络。

大二层的工作原理
大二层是计算机网络中的一个重要概念，它是指数据链路层的第二个子层，也叫子网接入层或网桥层。

它的主要作用是实现不同物理网络之间的通信。

大二层的工作原理主要是通过MAC地址来实现通信控制，也就是数据的传输控制。

当一个数据包到达网桥时，它会比对源MAC地址和目的MAC地址，判断数据包应该转发至哪个端口。

如果源MAC地址和目的MAC地址都在同一个端口，则网桥会把数据包丢弃；如果源MAC 地址和目的MAC地址在不同的端口，则网桥会将数据包转发到目标端口。

为了避免网络中的环路，大二层采用了“学习”机制。

当一个数据包到达网桥时，网桥会将源MAC地址和对应的端口记录下来，当下一次有数据包到达时，它会对比目的MAC地址是否已经在记录中有对应端口，如果有，则直接转发；如果没有，则把数据包广播到其他的端口上。

总之，大二层工作原理使得不同物理网段之间的通信变得简单、高效，实现了数据包的快速传输和有效控制。

在云计算时代下，数据中心内部一般采用分布式架构处理海量数据存储、挖掘、查询、搜索等相关业务，服务器和服务器之间需要进行大量的协同工作，在服务器之间产生了大量的东西向流量。

其次，数据中心普遍采用虚拟化技术，虚拟化的直接后果是使单位计算密度极大提升，物理服务器吞吐量将比虚拟化之前成数倍提升。

还有为了更大幅度地增大数据中心内业务可靠性、降低IT成本、提高业务部署灵活性、降低运维成本高，需要虚拟机能够在整个数据中心范围内进行动态迁移。

上面这些是云计算时代下的数据中心业务需求，这些需求促进了数据中心网络架构的演进，催生了大二层网络架构的诞生，TRILL便是一种构建数据中心大二层组网的技术。

本文旨在分析云计算时代下数据中心对网络架构的需求，并提出华为基于TRILL的解决方案，帮助用户在建设数据中心网络时，能选择合适的网络解决方案以更好满足云计算业务需求。

云计算时代下数据中心对网络架构要求• 虚拟机任意迁移作为云计算的核心技术之一，服务器虚拟化已经得到越来越广泛的应用。

为了更大幅度地增大数据中心内业务可靠性、降低IT成本、提高业务部署灵活性、降低运维成本高，需要虚拟机能够在整个数据中心范围内进行动态迁移，而不是局限在一个汇聚或接入交换机范围内进行迁移。

传统数据中心一般采用二层+三层组网架构，POD内采用二层组网，POD间通过三层网络进行互联。

VM只能在一个POD内进行迁移，如果需要跨二层区域迁移，需要更改VM 的IP地址，如果没有负载均衡器LoadBalance屏蔽等手段，应用会中断。

在云计算时代，为提升大量闲置服务器的资源利用率，计算虚拟化技术已经逐步在IDC 进行应用。

IDC运营商为了更充分的利用数据中心资源，VM需要更大的迁移范围，可以通过TRILL构建的大二层网络来实现。

• 无阻塞、低延迟数据转发云计算时代下的数据中心流量模型和传统运营商流量模型不同，数据中心中主要是服务器和服务器之间的东西向流量，数据中心网络相当于是服务器之间的总线。

1传统STP技术应用分析STP是IEEE 802.1D中定义的一个应用于以太网交换机的标准，这个标准为交换机定义了一组规则用于探知链路层拓扑，并对交换机的链路层转发行为进行控制。

如果STP发现网络中存在环路，它会在环路上选择一个恰当的位置阻塞链路上的端口——阻止端口转发或接收以太网帧，通过这种方式消除二层网络中可能产生的广播风暴。

然而在实际部署中，为确保网络的高可用性，无论是数据中心网络还是园区网络，通常都会采用具有环路的物理拓扑，并采用STP阻塞部分端口的转发。

对于被阻塞端口，只有在处于转发状态的端口及链路发生故障时，才可能被STP加入到二层数据帧的转发树中。

图1 STP引起的带宽利用率不足的问题STP的这种机制导致了二层链路利用率不足，尤其是在网络设备具有全连接拓扑关系时，这种缺陷尤为突出。

如图1所示，当采用全网STP二层设计时，STP将阻塞大多数链路，使接入到汇聚间带宽降至1/4，汇聚至核心间带宽降至1/8。

这种缺陷造成越接近树根的交换机，端口拥塞越严重，造成的带宽资源浪费就越严重。

可见，STP可以很好地支持传统的小规模范围的二层网络，但在一些规模部署虚拟化应用的数据中心内（或数据中心之间），会出现大范围的二层网络，STP在这样的网络中应用存在严重的不足。

主要表现为以下问题（如图2所示）。

图2 STP的低效路径问题示意图1. 低效路径•流量绕行N-1跳•路由网络只需N/2跳甚至更短2. 带宽利用率低•阻断环路，中断链路•大量带宽闲置•流量容易拥塞3. 可靠性低•秒级故障切换•对设备的消耗较大4. 维护难度大•链路引起拓扑变化复杂•容易引发广播风暴•配置、管理难度随着规模增加剧增由于STP存在以上种种不足，其难以胜任大规模二层网络的管理控制。

2 IRF技术应用分析H3C IRF（Intelligent Resilient Framework）是N:1网络虚拟化技术。

IRF可将多台网络设备（成员设备）虚拟化为一台网络设备（虚拟设备），并将这些设备作为单一设备管理和使用。

大二层网络实现技术的探讨作者：雷鸣等来源：《山东工业技术》2015年第09期摘要：大二层网络可以分为虚拟交换机技术和隧道技术。

隧道技术可以使用现有设备，有效节省资金，并且对网络的物理结构改变不大，可以降低网络建设人员的工作量。

关键词：大二层网络；实现技术；单播数据帧随着云计算的兴起，大数据传输等应用得到了快速发展，虚拟服务器等技术也日渐成熟。

但是实现这些应用需要高速、稳定的网络环境来支持。

大二层网络结合了二层网络结构简单和三层网络模块化思想的优点，可以为上述应用提供很好的支持。

1 大二层网络的概念及特点大二层网络是符合扁平化架构、支持大规模虚拟化的二层网络结构。

大二层网络特点：支持扩充数据中心内部网络。

使用二层网络构架和VLan的延伸，完成虚拟机在数据中心的网络内的大范围动态迁移。

它具有以下特点：（1）高效转发；（2）有效避免环路；（3）网络震荡快速收敛；（4）部署方便；（5）支持多租户；（6）平滑迁移。

2 主流大二层网络技术流行的大二层网络技术有虚拟交换机技术和隧道技术。

下面将做分别说明。

2.1 虚拟交换机技术虚拟交换机的构架思路很简单，是包含于工程体系中的。

通过将相互冗余的设备或链路进行合并操作来，使其变成一个单一的设备或者链路，解决由于使用冗余设备和冗余链路来构建网络，二层网络形成的环路的问题[1]。

到目前，交换机技术已经发展到了一个相当成熟的阶段，无论是低端的盒式交换机还是高端的框式交换机的使用都十分广泛，并且技术成熟，设备稳定性好。

所以，现在使用的大二层网络，最常见的就是基于虚拟交换机技术来实现的。

H3C公司研发的IRF技术、Cisco公司研发的VSS技术都是虚拟交换机技术的代表。

按其网络厂商的宣传来说，只需升级交换机软件即可支持虚拟交换机，应用成本低、部署简便[2]。

但是目前这些不同的技术都只遵循各个网络厂商的私有协议，只有同一厂商，并且是同一系列的产品才能实现虚拟化。

实际上，很少有用户能够做到所有网络设备都属于同一厂商、同一系列。

大二层网络演绎（1）数据中心为什么需要大二层网络？在开始之前，首先要明确一点，大二层网络基本上都是针对数据中心场景的，因为它实际上就是为了解决数据中心的服务器虚拟化之后的虚拟机动态迁移这一特定需求而出现的。

对于普通的园区网之类网络而言，大二层网络并没有特殊的价值和意义（除了某些特殊场景，例如WIFI漫游等等）。

所以，我们现在所说的大二层网络，一般都是指数据中心的大二层网络。

1传统数据中心网络架构传统的数据中心网络通常都是二层+三层网络架构，如下图所示。

我们看到，这种网络架构其实和园区网等网络的架构是一样的，这种架构相当于零售行业的“加盟店”形式，而与之相对应的“三层到边缘”架构，以及我们下面要谈到的“大二层”架构，就相当于“直营店”了。

之所以采用这种网络架构，是因为这种架构非常成熟，相关的二三层网络技术（二层VLAN+xSTP、三层路由）都是成熟的技术，可以很容易的进行部署，也符合数据中心分区分模块的业务特点。

但是这种网络架构对于数据中心来说，其实是隐藏着一个弱点的，是什么呢？且容我卖个关子，后面再讲。

2服务器虚拟化趋势由于传统的数据中心服务器利用率太低，平均只有10%～15%，浪费了大量的电力能源和机房资源。

所以出现了服务器虚拟化技术。

服务器虚拟化技术是把一台物理服务器虚拟化成多台逻辑服务器，这种逻辑服务器被称为虚拟机（VM），每个VM都可以独立运行，有自己的OS、APP，当前也有自己独立的MAC地址和IP地址，它们通过服务器内部的虚拟交换机（vSwitch）与外部实体网络连接。

通过服务器虚拟化，可以有效地提高服务器的利用率，降低能源消耗，降低客户的运维成本，所以虚拟化技术目前得到了广泛的应用。

（至于为啥有这些好处，我就懒得去说了，有兴趣的话可以自己问一下度娘，总之服务器虚拟化就是个好东东啦）PS：VMware是服务器虚拟化领域的市场领先产品和创新品牌，提供一整套VM解决方案的软件。

除了VMware之外，业界还有微软Hyper-V和Xen等服务器虚拟化软件。

上一篇我们谈了很多大二层网络的技术和流派，但是细心的读者可能已经发现，我们谈这些方案和技术，实际上都是讲的同一个数据中心内的大二层网络技术，未考虑跨数据中心的情况。

跨数据中心情况下，那么如果要实现跨数据中心的VM动态迁移，就要保证不同数据中心的服务器也都在同一个二层域内。

也就是说要构建一个覆盖所有数据中心的大二层网络。

在讨论跨数据中心的大二层网络时，我们可以从数据中心内的情况往跨数据中心的情况进行延伸。

看看对于釜底抽薪派、移花接木派、瞒天过海派的技术来说，一旦要跨数据中心构建大二层网络时，又会遇到什么？该如何解决？1釜底抽薪派的跨数据中心互联方案釜底抽薪派通过网络设备虚拟化来消除二层网络环路，从而实现大二层网络。

比方通过CSS/iStack技术，把接入、汇聚、核心层的交换机都虚拟成单节点设备。

当釜底抽薪派遇到跨数据中心的情况时，有两种方式可以实现跨数据中心的大二层网络：这种方式就是把网络设备虚拟化的范围扩大到所有数据中心，把不同数据中心里的交换机堆叠成单台交换机，这种方式就把所有数据中心都当成一体来处理。

如果不具备跨数据中心堆叠的条件，那么想通过纯二层的方式实现跨数据中心的互联就不太现实了。

而在一般情况下，多数据中心之间是通过三层路由互通的，那么就只能把每个数据中心内的二层网络作为大二层网络的一个局部，再把这些局部网络通过L2 over L3的方式进行互联，进而构建一个全局范围的大二层网络。

所谓L2 over L3，是指借助隧道的方式，将二层数据报文封装在三层报文中，跨越中间的三层网络，实现两地二层数据的互通。

这种隧道如前面所说的，像“光纤”，将多个数据中心的二层网络贯穿在一起。

L2 over L3的技术有很多种，有传统的VPN技术VPLS/VLL以及增强版的VPLS/VLL over GRE。

也有新兴的专门为数据中心二层互联开发的VPN技术，例如华为的EVN〔Ethernet Virtual Network〕技术、CISCO的OTV〔Overlay Transport Virtualization〕等等。

山东通信技术Shandong Communication Technology第40卷第2期2020年6月Vol.40 No.2Jun. 2020面向DC 的城域网大二层技术浅析张龙江I 梁凌I 陈振铎$王蕾$（1中国联通济南市分公司，济南2500012济南市农业局，济南250001 ）摘要：本文从5G 商用和运营商网络架构简化的背景出发，对面向DC 的城域网大二层技术STP 、TRILL 和VXLAN 进行了对比分析，并结合下一代新型城域网vBAS 场景对VXLAN 大二层隧道进行了应用剖析，为宽带网络运维人员学习新型城域网架构演进提供了参考。

关键词：DC STP TRILL VXLAN 智能城域网1引言随着5G 商用步伐的推进，各运营商将通过网络架构简化，力争逐步实现通信云、移动业务、政企客户接入以及固网宽带等业务综合承载的目标，构建以通信云数据中心（DC, Data Center ）为核心的下一代 新型智能城域网。

在通信云DC 的新型智能城域网部 署中，借助服务器虚拟化技术，能够发挥DC 优势， 并更好地解决传统数据中心的不足（如硬件资源利用率低、空间挑战、能耗过多、管理成本剧增等），从而支持快速统一部署网络架构，降低运行维护成本。

DC 的核心技术之一是服务器虚拟化，例如 vBAS 、vRouter 、vLB 、vSR 等。

为了更好地实现业务 冗余和负载，DC 面临虚拟机动态灵活迁移的不同场景需求（图1 ）。

图1 DC 虚拟机迁移场景为了保障业务不中断，虚拟机迁移前后IP 、MAC 不变是运营商DC 部署的核心原则。

随着网络演进，虚拟机迁移范围也沿着网络设备内部、网络设备之间、跨数据中心的迁移演进路线而不断丰富。

如何 构建覆盖广的大二层网络，特别是在传统三层网络Underlay 架构基础上（如宽带城域网、承载网），采取什么样的大二层技术，则成为运营商需要深入思考的问题。

2面向DC 的城域网大二层网络技术探析2.1传统大二层网络xSTP 技术分析传统的大二层网络主要依赖xSTP 协议来对二层 VLAN 网络进行管理。

随着以虚拟化为主的云数据中心的发展和成熟, 应用数据猛增, 数据中心虚拟服务器的迁移和数据交换产生的流量要求所有的虚拟机在同一个VLAN, 大二层网络应运而生。

文中总结和分析了常见的大二层网络设计和优化方案, 并结合实际, 将优化方案引入到高校数据中心的建设当中。

新一代数据中心内部的网络逻辑结构的特点是“大二层结构”。

所谓“大二层”是指所有VLAN 都可以延展到所有汇聚层、接入层交换机的VLAN 结构，这与传统数据中心VLAN 往往终结在接入层交换机的做法不同。

大二层网络结构的需求是由如下原因决定的：1. 服务器虚拟化的要求：所有主流服务器虚拟化技术都能够实现不同程度的虚机在线迁移，而虚机迁移前后其MAC/IP地址等不变，决定了其迁移的源和目的应在同一个VLAN；2. 网络业务整合的需要：新一代数据中心网络要求比传统网络更高的业务承载能力，各种应用（比如Oracle RAC 等）等都需要纯二层网络来提供其业务所需的低延迟、高吞吐、MAC 层直接交换的网络环境；3. 智能业务整合、集中部署的需求：为面向范围更广的接入层提供智能服务资源池，智能服务被要求集中化部署，这就需要有智能服务要求的VLAN 都能延展到智能服务设施所在的汇聚层。

随着应用的数量迅猛增加，二层网络的扩展造成传统二层技术在链路冗余能力、负载均衡能力、可扩展性和网络稳定性上面的诸多问题，下面以某高校为例讨论如何构造一个可扩展的大二层网络。

大二层网络设计技术跨机箱的端口捆绑（VPC）由于传统二层网络依靠生成树（或生成树的改进协议，如快速生成树、MSTP 等）来实现冗余链路的负载均衡和故障切换，不仅设计复杂、建设维护管理难度大，而且链路负载不均、故障收敛慢且稳定性差。

一种摒弃生成树的设计就是跨机箱实现以太网端口捆绑，如图1 所示：这样设计之后，向任何一对冗余的物理机箱的连接都可看成是连向一个逻辑设备，多条冗余的链路可被捆绑为一条逻辑链路，逻辑链路内各物理链路可负载均衡和高效能故障切换。