网络虚拟化

问题：
1、多种应用部署在同一台物理服务器上运行，服务器的利用率从20%提高到80%，使网络流量在同一台物理服务器上产生叠加，服务器端口流量大幅提升，对网络承载性能提出了巨大的挑战，对网络可靠性要求也更高；
2、流量模型更加不可控，物理服务器上多个虚拟机的对外业务通讯将共用同一组物理网卡，缺乏流量控制手段。

突发流量本来就是数据中心网络系统面对的最棘手的问题之一，多个应用的叠加产生的突发流量就更加难以衡量和控制。

3、服务器虚拟化技术的应用必然伴随着虚拟机的迁移，一方面这种迁移会产生巨大的流量，另一方面虚拟机迁移的范围越来越大，甚至是跨越不同地域、不同机房之间的迁移，还要求虚拟机迁移前后的IP和MAC地址不变，需要一个苛刻的网络环境来保障；
4、虚拟机对外通讯是通过虚拟网桥实现，虚拟网桥并不能实现二层网络上的隔离，也没有加密通讯。

业务系统内部通讯被虚拟网桥广播到其他业务系统。

需要构建云平台的防病毒以及业务系统隔离手段。

分析：
1、传统的数据中心主要是依据功能进行区域划分，例如WEB、APP、DB，办公区、业务区、内联区、外联区等等。

不同区域之间通过网关和安全设备互访，保证不同区域的可靠性、安全性。

同时，不同区域由于具有不同的功能，因此需要相互访问数据时，只要终端之间能够通信即可，并不一定要求通信双方处于同一VLAN或二层网络。

在传统的数据中心网络中，都是通过STP+VRRP的方式进行网络拓扑设计，用户构建网络时，为了保证可靠性，通常会采用冗余设备和冗余链路，这样就不可避免的形成环路。

而二层网络处于同一个广播域下，广播报文在环路中会反复持续传送，形成广播风暴，瞬间即可导致端口阻塞和设备瘫痪。

因此，为了防止广播风暴，就必须防止形成环路。

这样，既要防止形成环路，又要保证可靠性，就只能将冗余设备和冗余链路变成备份设备和备份链路。

即冗余的设备端口和链路在正常情况下被阻塞掉，不参与数据报文的转发。

只有当前转发的设备、端口、链路出现故障，导致网络不通的时候，冗余的设备端口和链路才会被打开，使得网络能够恢复正常。

由于STP的收敛性能等原因，一般情况下STP的网络规模不会超过100台交换机。

同时由于STP需要阻塞掉冗余设备和链路，也降低了网络资源的带宽利用率。

因此在实际网络规划时，从转发性能、利用率、可靠性等方面考虑，会尽可能控制STP网络范围。

但由于STP+VRRP的设计和维护都比较复杂，这种设计在很大程度上阻碍了其二层域的扩大，随着服务器的数量和网络设备的增多，这种网络设计方式将会变得无法实施。

同时，虚拟机的迁移对网络的可用性要求也非常高，在
STP+VRRP的组网中，如果链路出现故障，其收敛时间都在秒级，增加了应用系统迁移的限制。

在运行动态路由、使能生成树条件下，任意物理链路的Up/Down 故障都会引起网络路由的振荡、VRRP状态变化或生成树的重新计算，甚至可能引起应用系统业务流的中断（在协议计算收敛条件下的业务恢复时间可达到数秒甚至分钟级)。

三层互联链路成网状，所需网段很多，一般一条物理链路对应一个互联网段。

传统数据中心中大量使用的二层网络产生的拥塞和丢包，需要三层以上协议来保证重传，效率低；另一方面，二层以太网网络采用生成树协议来保持数据包在互联的交换机回路中传递，也会产生大量冗余。

3、以上问题可以通过网络虚拟化技术来解决，在数据中心的应用中，网络虚拟化主要是通过将多台物理设备虚拟成一台逻辑设备的方式，来减少设备节点，并通过跨设备链路聚合技术取代传统部署方式中的STP+VRRP 协议，使网络拓扑变得简洁，具备更强的扩展性，以满足虚拟机迁移所需要构建的二层网络环境，同时，其毫秒级的故障收敛时间，为虚拟机迁移提供了更加宽松的实现环境(如图3所示)。

网络虚拟化技术主要在数据中心交换机上实现，在服务器接入层、网络汇聚层、核心层可以分别进行部署。

当前业内最成熟、在数据中心中应用最广泛的虚拟化技术包括H3C的IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）和Cisco的VSS（Virtual Switching System，虚拟交换系统），这两种技术都可以帮助企业来构建一个虚拟网络架构，其中IRF2技术目前已经被H3C全系列数据中心交换机所支持（包括S12500、S9500E、S7500E、S5800、S5500、S5120等），VSS技术被C6500交换机支持。

既然二层网络的核心是环路问题，而环路问题是随着冗余设备和链路产生的，那么如果将相互冗余的两台或多台设备、两条或多条链路合并成一台设备和一条链路，就可以回到之前的单设备、单链路情况，环路自然也就不
存在了。

尤其是交换机技术的发展，虚拟交换机从低端盒式设备到高端框式设备都已经广泛应用，具备了相当的成熟度和稳定度。

因此，虚拟交换机技术成为目前应用最广的大二层解决方案。

在部署时，网络设备和安全设备都需要支持虚拟化技术，网络设备通过多虚一的方式整合网络，然后在其基础上部署支持虚拟化技术（一虚多的方式,例如：虚拟防火墙技术）的安全设备/模块，最终实现虚拟环境下动态的安全策略部署。

在虚拟化整合过程中，被整合设备的互联电缆成为IRF的内部互联电缆，对IRF系统外部来说不可见。

两台设备之间原有的捆绑互联端口，其归属的VLAN 三层接口网段均能由其它设备可达(如ping通)。

而归属到IRF系统内部后，不对互联电缆接口进行IP配置，因此将与IRF外部网络隔离。

使用IRF进行网络简化时，对网络汇聚层或服务器网关层的虚拟化整合是必要的，因为这是消除生成树和VRRP的关键网络层。

对于接入层设备（以Top of Rack接入为例）来说，一般使用两台交换机对同类业务系统服务器进行接入，以满足服务器的双网卡上行要求。

上行到IRF系统的服务器所有网卡如同接入一台交换机，适用于各种工作模式，特别是服务器的双网卡捆绑方式（如图4右图所示）。

除了支持网卡主备模式（图4左图和中图），IRF本身可支持跨设备的链路聚合，因此服务器多网卡上行到一个IRF系统的不同交换机均可实现LACP 捆绑，实现网卡吞吐带宽增强和可靠性提升。

图4 基于IRF的服务器多网卡适配方式
其中，AFT和SFT是双网卡主备模式，ALB是网卡聚合捆绑模式
增添了服务器虚拟化后，VLAN也会受到很大的影响。

尽管数据中心的网络管理员对VLAN相当熟悉，可是他们对VLAN结合许多服务器虚拟化产品使用的广泛程度可能没有作好很充分的准备。

比方说，VMware ESX和VMware ESXi全面支持802.1q VLAN标签。

甚至包括这项功能：把802.1q VLAN标签一路传送到虚拟机，以便运行支持管理VLAN的系统。

不过为了充分利用这项VLAN支持功能，物理交换机端口必须经过配置，以便作为802.1q VLAN隧道来运行。

这个做法与许多数据中心的管理员配置交换机的方式恰好相反。

一般来说，数据中心的网络端口被配置成访问端口，只为某个VLAN传送流量；这些端口并不把802.1q VLAN标签一路传送到服务器。

要是物理交换机端口没有配置成802.1q VLAN隧道，通常需要物理交换机上有更多的网卡和更多的千兆以太网端口，才能与采用802.1q VLAN支持的灵活性级别相匹配。

这可能会增加服务器虚拟化解决方案的初始购置成本，降低总的投资回报。

有些服务器虚拟化解决方案还提供支持各种网卡聚合（NIC teaming）或网卡绑定（NIC bonding）的功能。

支持网卡聚合或绑定让虚拟化解决方案可以提供冗余性及/或提高多块物理网卡的利用效率。

在一些情况下，这种网卡聚合或绑定还需要物理交换机进行配置，通常是为了能够通过802.3ad/LACP（链路聚合控制协议）或专用替代方案，比如思科公司的千兆以太网通道（Gigabit EtherChannel）或北电网络公司的多链路隧道（Multi-Link Trunk），从而支持链路聚合。

即使捆绑组中任意一条物理链路发生故障，由于整个捆绑组在逻辑上仍然有效，接口状态正常，整个网络拓扑没有发生变化，因此不会引发上层路由协议重计算，极大保持了网络运行的稳定性。

同时所需的互联IP大量减少，也减少了网络可管理的IP对象，消除了潜在的安全隐患。

在此结构中，动态路由设计面对的网络区域，也因架构横向整合而变成了简单的链状，参与路由计算的节点大量减少，设计上更简单和稳定。

即主机虚拟化之后，虚拟机之间的多虚拟网络交换网络，包括分布式虚拟交换机、虚拟桥接和I/O 虚拟化等；
目前无损以太网技术标准发展很快，称为数据中心以太网DCE或融合增强以太网CEE，包括拥塞通知(IEEE802.1Qau)、增强传输选择ETS(IEEE 802.1Qaz)和优先级流量控制PFC(IEEE 802.1Qbb)、链路发现协议LLDP(IEEE 802.1AB)[4]。