關于網絡虛擬化的完備指南

針對如何優化數據中心以太網，支持其提供服務器虛擬化，已經出現了很多新的和推薦的協議。其中有些協議的目的是希望通過創建多個可共享同一物理基礎設施的虛擬以太網來實現網絡虛擬化，其共享方式有些類似于多個虛擬機共享同一臺物理服務器。

適用于網絡虛擬化的大部分協議基本上都是利用封裝和隧道技術來創建虛擬網絡覆蓋的。其中業界討論最多的協議包括VXLAN、NVGRE、STT和SPB MAC-in-MAC。SPB已是IEEE標準，而在有可能成為IETF標準的各種協議中，最有可能成為標準的是VXLAN。

傳統意義的網絡虛擬化

網絡實體的一對多虛擬化并不是什么新概念。最常見的例子就是VLAN和VRF(虛擬路由與轉發)。

VLAN可將網絡劃分為最多4094個廣播域，在以太網報頭中為每個廣播域指定一個12位的VLAN ID。VLAN是在共享同一個包交換LAN基礎設施中隔離不同類型流量的一種很方便的方法。

數據中心在大量使用著服務器虛擬化，而VLAN數量上的限制可能產生問題，尤其當大量的租戶需要獲得支持，每個租戶都需要多個VLAN的時候。借助802.1Q的trunk鏈路可在數據中心內部擴展VLAN以便支持VM(虛擬機)的移動性，但這樣會增加運營成本和復雜程度。即便在基于2層的服務器-服務器連接的數據中心里，大量的VM每個都有自己的MAC地址，也會給2層交換機的轉發表功能帶來負擔。

VRF是3層網絡虛擬化的一種，其中的物理路由器支持多個虛擬路由器實例，每個實例都運行自己的路由協議實例，維護自己的轉發表。

和VLAN不同，VRF不會在報頭中使用標簽為每個分組指定具體的VRF。在每一跳都會根據輸入接口和幀的信息獲得適當的VRF。另外一個要求是，在數據包經過的端到端路徑中的每一個中轉路由器都需要配置一個VRF實例，以便能夠轉發該數據包。

利用覆蓋的網絡虛擬化

由于傳統VLAN或VRF模式存在缺陷，于是開始涌現出眾多創建虛擬網絡的新技術。其中大多數都是采用封裝和隧道技術，在同一個物理網絡上通過覆蓋來構建多個虛擬網絡拓撲。

一個虛擬網絡可以是2層的或3層的網絡，而物理網絡可以是2層的、3層的，或者兩者結合的網絡，這要取決于采用了何種覆蓋技術。利用覆蓋技術，外層(封裝)報頭包含一個24位長的域，攜帶一個虛擬網絡實例ID(VNID)，給要轉發的數據包專門指定一個虛擬網絡。

虛擬網絡的覆蓋可提供眾多的好處，包括：

● 可支持基本上沒有數量限制的虛擬網絡;例如24位報頭可創建高達1600萬個虛擬網絡。

● 可解耦虛擬網絡拓撲、服務類別(L2或L3)和物理網絡尋址。這種解耦可避免出現諸如物理交換機上MAC表過大的問題。

● 支持虛擬機的遷移與物理網絡的無關性。如果一個VM要改變位置，甚至遷移到新的子網，在覆蓋邊緣的交換機只須更新其映射表便可反映出這個VM的新位置。新的VM的網絡完全可在網絡邊緣進行預配置。

● 管理多個租戶間相互覆蓋IP地址的能力。

● 在虛擬網絡中支持多路徑轉發。

各種覆蓋協議之間的主要差異在于其封裝格式和控制平面的功能性，即允許入口(封裝)設備將一個幀映射到適當的出口(拆裝)設備。

VXLAN

虛擬可擴展LAN(VXLAN)是在一個3層網絡上借助MAC-in-UDP封裝，疊加一個2層網絡來實現網絡虛擬的。VXLAN網段是一個3層構建，可替代VLAN為數據中心的VM生成LAN網段。

因此，一個VM只能在一個VXLAN段內通信或遷移。該VXLAN段有一個24位的VXLAN網絡標識符。VXLAN對VM來說是透明的，仍可使用MAC地址來通信。VXLAN封裝借助所謂VXLAN隧道端點(VTEP)來完成，該端點一般是通過一臺hypervisor交換機或物理接入交換機來提供的。

VXLAN封裝允許2層與任何端點進行通信，只要該端點在同一個VXLAN網段內即可，即便這些端點是在不同的IP子網內也沒有關系。這可以讓VM的實時遷移越出3層邊界。因為MAC幀是在IP包內封裝的，因此對個別的2層交換機來說是無需知道MAC地址的。

這樣做可以減輕交換機出現MAC地址表的硬件容量問題。覆蓋的IP和MAC地址可由VXLAN ID來處理，這個VXLAN ID就像是特定VXLAN網段的限定符/標識符，在這一網段內，IP和MAC地址都是有效的。這種VXLAN控制解決方案是使用基于任意源組播(ASM)的泛紅來傳播端系統位置信息的。

如上所述，VXLAN采用的是MAC-in-UDP封裝。這么做的理由之一是現代的3層設備可解析5元組(包括4層的源和目的端口)。VXLAN雖然采用了清晰明確的目的UDP端口，但源UDP端口卻可以是任何值。因此一個VTEP便可從跨很多UDP源端口的單一VM上傳播所有的流。這樣便允許中轉的3層交換機在僅有的兩個VM之間充分利用多路徑，甚至是多流的優勢。

在一個VXLAN覆蓋網絡上，如果VXLAN節點需要和網絡的傳統網段(例如VLAN)中的節點通信，可以用一個VXLAN網關來執行要求的隧道終端功能，包括封裝/拆裝。該網關的功能可利用硬件或軟件來實現。

VXLAN是IETF標準草案的一個子集，支持廠商有VMware、思科、Arista網絡、博科、紅帽和Citrix。IBM也支持VXLAN。在hypervisor vSwitch和物理交換機上實現這個預標準的現象已開始出現。

NVGRE

采用通用路由封裝的網絡虛擬化(NVGRE)用的是RFC 2784和RFC 2890所定義的GRE隧道協議。NVGRE在很多方面和VXLAN相似，只有兩處例外。雖然GRE封裝不是什么新概念，但大多數網絡設備卻不會去解析硬件的GRE報頭，因為這樣做可能影響性能，在多路徑數據中心LAN中解析流量分發的5元組哈希表也可能產生問題。

另一個例外是現有的IETF NVGRE標準草案并沒有為前面在講述一般的網絡覆蓋時所提到的控制平面功能指定一種解決方案，這可能得留待未來的草案去解決，或者留待SDN控制器去解決。

支持NVGRE的一些廠商(例如微軟和Emulex)認為，某些性能問題可通過智能網卡來解決，即用智能網卡卸載hypervisor vSwitch上的NVGRE端點處理。智能網卡還擁有與覆蓋控制器和hypervisor管理系統集成的API。Emulex還演示過可卸載VMware分布式交換機的VXLAN處理的智能網卡。