【正文】 態(tài)在從一個主機移到另一個主機時保持不變，這樣就能支持對虛擬機持 續(xù)地統(tǒng)計監(jiān)控并促進安全性 監(jiān)控。? 虛擬機遷移后，不需要重新配置網(wǎng)關(guān)等網(wǎng)絡(luò)參數(shù)，部署簡單、靈活。 網(wǎng)絡(luò)流表路由? ARP 代答對于虛擬化環(huán)境來說，當一個虛 擬機需要和另一個虛擬機 進行通信時，首先需要通 過ARP 的廣播 請 求獲得對方的 MAC 地址。由于 VXLAN 網(wǎng) 絡(luò)復雜，廣播流量浪費帶寬，所以需要在控制器上實現(xiàn) ARP 代答功能。即由控制器對 ARP 請求報文統(tǒng)一進行應答，而不創(chuàng)建廣播流表。ARP 代答的大致流程：控制器收到 OVS 上送的 ARP 請求報文，做 IPMAC 防欺騙處理確認報文合法后，從 ARP 請求報文中獲取目的 IP，以目的 IP 為索引查找全局表獲取對應MAC，以查到的 MAC 作為源 MAC 構(gòu)建 ARP 應答報文，通過 Packetout 下發(fā)給 OVS。 網(wǎng)絡(luò)轉(zhuǎn)發(fā)流程? 報文所屬 VXLAN 識別精選資料可修改編輯VTEP 只有識別出接收到的報文所屬的 VXLAN，才能 對該報 文進行正確地處理。VXLAN 隧道上接收 報文的識別：對于從 VXLAN 隧道上接收到的 VXLAN 報文， VTEP根據(jù)報文 中攜帶的 VNI 判斷該報文所屬的 VXLAN。本地站點內(nèi)接收到數(shù)據(jù)幀的識別：對于從本地站點中接收到的二層數(shù)據(jù)幀，VTEP 通過以太網(wǎng)服務實例（Service Instance）將數(shù)據(jù)幀映射到對應的 VSI， VSI 內(nèi)創(chuàng)建的 VXLAN 即為該數(shù)據(jù)幀所屬的 VXLAN。? MAC 地址學習本地 MAC 地址學習：指本地 VTEP 連接的本地站點內(nèi)虛擬機 MAC 地址的學習。本地MAC 地址通過 接收到數(shù)據(jù)幀中的源 MAC 地址動態(tài)學習，即 VTEP 接收到本地虛擬機發(fā)送的數(shù)據(jù)幀后，判斷該數(shù)據(jù)幀所屬的 VSI，并將數(shù)據(jù) 幀中的源 MAC 地址（本地虛擬機的 MAC地址）添加到該 VSI 的 MAC 地址表中，該 MAC 地址對應的出接口為接收到數(shù)據(jù)幀的接口。遠端 MAC 地址學習：指遠端 VTEP 連接的遠端站點內(nèi)虛擬機 MAC 地址的學習。遠端MAC 學習時， VTEP 從 VXLAN 隧道上接收到遠端 VTEP 發(fā)送的 VXLAN 報文后，根據(jù)VXLAN ID 判斷報文所屬的 VXLAN，對報文進行解封裝，還原二層數(shù)據(jù)幀，并將數(shù)據(jù)幀中的源 MAC 地址（ 遠端虛擬機的 MAC 地址）添加到所屬 VXLAN 對應 VSI 的 MAC 地址表中，該 MAC 地址對應 的出接口為 VXLAN 隧道接口。 網(wǎng)絡(luò)虛機遷移在虛擬化環(huán)境中，虛擬機故障、動態(tài)資源調(diào)度功能、服務器主機故障或計劃內(nèi)停機等都會造成虛擬機遷移動作的發(fā)生。虛 擬機的遷移，需要保 證遷移虛 擬機和其他虛擬機直接的業(yè)務不能中斷，而且虛擬機對應 的網(wǎng)絡(luò)策略也必須同步遷移。虛擬機遷移及網(wǎng)絡(luò)策略如圖所示：精選資料可修改編輯虛擬機遷移及網(wǎng)絡(luò)策略跟隨網(wǎng)絡(luò)管理員通過虛擬機管理平臺下發(fā)虛擬機遷移指令，虛擬機管理平臺通知控制器預遷移，控制器標記遷移端口，并向源主機和目的主機 對應的主 備控制器分布發(fā)送同步消息，通知遷移的 VPort，增加遷移 標記。同步完成后，控制器通知虛 擬機管理平臺可以進行遷移了。虛擬機管理平臺收到控制器的通知后，開始遷移，創(chuàng)建 VM 分配 IP 等資源并啟動 VM。啟動后目的主機上報端口添加事件，通知 給控制器，控制器判斷遷移標記，遷移端口，保存新上報端口和舊端口信息。然后控制器向目的主機下發(fā)網(wǎng) 絡(luò)策略。源 VM 和目的執(zhí)行內(nèi)存拷貝，內(nèi)存拷貝結(jié)束后，源 VM 關(guān)機，目的 VM 上線。源 VM 關(guān)機后，遷移源主機上報端口刪 除事件，通知 給控制器，控制器判斷遷移標記，控制器根據(jù)信息刪除舊端口信息并同時刪除遷移前舊端口對應的流表信息。主控制器完成上述操作后在控制器集群內(nèi)進行刪除端口消息的通知。其他控制器收到刪除端口信息后，也刪除本控制器的端口信息，同時刪除對應 端的流表信息。源控制器需要把遷移后新端口通知控制器集群的其他控制器。其他控制器收到遷移后的端口信息，更新端口信息。當控制器重新收到 Packetin 報文后，重新觸 發(fā)新的流表生成。 網(wǎng)關(guān)高可靠性O(shè)verlay 網(wǎng)關(guān)的高可靠性原理如圖所示：精選資料可修改編輯Overlay 網(wǎng)關(guān)高可靠性網(wǎng)關(guān)組中網(wǎng)關(guān)的 VTEP IP 和 GW VMAC 相同,均通過路由協(xié)議對內(nèi)網(wǎng)發(fā)布 VTEP IP 對應路由。網(wǎng)關(guān)組內(nèi)部，采用無狀態(tài)轉(zhuǎn)發(fā)設(shè)計 ，所有網(wǎng)關(guān)信息同步。在處理 OVS 發(fā) 往 GW 的流量時， 動態(tài)選擇 GW 組中的一個 GW，可以很好地起到負載分擔的作用。網(wǎng)關(guān)故障后，流量切換到分組 內(nèi)其它網(wǎng)關(guān)，保 證業(yè)務平滑遷移。網(wǎng)關(guān)與內(nèi)外網(wǎng)設(shè)備連接，采用聚合或 ECMP 方式，某鏈路故障，網(wǎng)關(guān)自動切換鏈路，無需人工干預。單個網(wǎng)關(guān)設(shè)備采用雙主控，原主控故障，新主控接管設(shè)備管理，所有處理網(wǎng)關(guān)自動完成。轉(zhuǎn)發(fā)層面和控制層 面分離， VCF Controller 不感知，網(wǎng)關(guān)上流量轉(zhuǎn)發(fā)不受影響。 Overlay 網(wǎng)關(guān)彈性擴展升級受制于芯片的限制，單個網(wǎng)關(guān) 設(shè)備支持的租戶數(shù)量有限，控制器能夠動態(tài)的將不同租戶的隧道建立在不同的 Overlay 網(wǎng)關(guān)上，支持 Overlay 網(wǎng)關(guān)的無狀態(tài)分布，實現(xiàn)租戶流量的負載分擔。如圖所示，Overlay 網(wǎng)絡(luò)可以支持 Overlay 網(wǎng)關(guān)隨著租戶數(shù)量增加的擴充，當前最大可以支持超過 64K 個租戶數(shù)量，從而提供一個具有彈性擴展能力的 Overlay 網(wǎng)絡(luò)架構(gòu)。精選資料可修改編輯Overlay 網(wǎng)絡(luò)彈性擴展 Overlay 網(wǎng)絡(luò)安全部署如圖所示，Overlay 網(wǎng)絡(luò)的安全部署有三種模式，這三種模式既可以獨立部署，也可以配合部署：Overlay 網(wǎng)絡(luò)的安全部署? 旁掛部署主要形態(tài)：硬件安全資源。精選資料可修改編輯安全資源旁掛在核心/匯聚設(shè)備 旁側(cè)（部分安全資源也可選作為 L3 網(wǎng)關(guān)）。安全資源關(guān)注 VXLANVLAN 的安全訪問控制。? 服務器側(cè)部署主要形態(tài)：軟件安全資源。安全資源以 VM 形態(tài)部署在服務器內(nèi)部，可以作為其他 VM 的網(wǎng)關(guān)。如果安全資源支持 VXLAN，可以完成 VXLANVLAN 的安全訪問控制。全硬件 VXLAN 方案不推薦使用。? 專用安全區(qū)部署主要形態(tài)：軟件或硬件安全資源。安全資源集中部署在某一個 TOR 設(shè)備下，重點關(guān)注不同 VXLAN ID 之間互訪的安全控制。如果安全資源支持 VXLAN，就直接配置 VXLAN ID 的互訪策略。如果安全資源不支持 VXLAN，需要 TOR 完成 VXLAN 到 VLAN 的轉(zhuǎn)換，然后安全資源上配置不同 VLAN 互訪的安全策略。一一一 SDN VPC 方案給 XXX 帶來的價值華三 SDN VPC 解決方案，具 備如下幾大特點，可以最大程度上滿足 XXX 業(yè)務：? 基于 IP 網(wǎng) 絡(luò)構(gòu)建 Fabric。無特殊拓撲限制，IP 可達即可；承載網(wǎng)絡(luò)和業(yè)務網(wǎng)絡(luò)分離；對現(xiàn)有網(wǎng)絡(luò)改動較小，保護用 戶現(xiàn)有投資。? 16M 多租 戶共享，極大擴展了隔離數(shù)量。? 網(wǎng)絡(luò)簡化、安全。虛 擬網(wǎng) 絡(luò)支持 LL3 等，無需運行 LAN 協(xié)議，骨干網(wǎng) 絡(luò)無需大量 VLAN Trunk。? 支持多樣化的組網(wǎng)部署方式，支持跨域互訪。? 支持虛擬機靈活遷移，安全策略動態(tài)跟隨。? 轉(zhuǎn)發(fā)優(yōu)化和表項容量增大。消除了 MAC 表項學習泛濫，ARP 等泛洪流量可達范圍可控，且東西向流量無需經(jīng)過 網(wǎng)關(guān)。精選資料可修改編輯SDN 工作組成員聯(lián)系方式技術(shù)營銷部 SDN 工作組：翟傳璞(01061)、遇惠君 (03133)、馮亮(05110) 、陸毅(04063)整理范文，僅供參考歡迎您下載我們的文檔資料可以編輯修改使用精選資料可修改編輯THANKS !!!致力為企業(yè)和個人提供合同協(xié)議，策劃案計劃書，學習課件等等打造全網(wǎng)一站式需求歡迎您的下載，資料僅供