【正文】 在從一個(gè)主機(jī)移到另一個(gè)主機(jī)時(shí)保持不變，這樣就能支持對(duì)虛擬機(jī)持續(xù)地統(tǒng)計(jì)監(jiān)控并促進(jìn)安全性監(jiān)控。? 虛擬機(jī)遷移后，不需要重新配置網(wǎng)關(guān)等網(wǎng)絡(luò)參數(shù)，部署簡(jiǎn)單、靈活。 Overlay 網(wǎng)絡(luò)流表路由? ARP 代答對(duì)于虛擬化環(huán)境來說，當(dāng)一個(gè)虛擬機(jī)需要和另一個(gè)虛擬機(jī)進(jìn)行通信時(shí)，首先需要通過ARP 的廣播請(qǐng)求獲得對(duì)方的 MAC 地址。由于 VXLAN 網(wǎng)絡(luò)復(fù)雜，廣播流量浪費(fèi)帶寬，所以需要在控制器上實(shí)現(xiàn) ARP 代答功能。即由控制器對(duì) ARP 請(qǐng)求報(bào)文統(tǒng)一進(jìn)行應(yīng)答，而不創(chuàng)建廣播流表。ARP 代答的大致流程：控制器收到 OVS 上送的 ARP 請(qǐng)求報(bào)文，做 IPMAC 防欺騙處理確認(rèn)報(bào)文合法后，從 ARP 請(qǐng)求報(bào)文中獲取目的 IP，以目的 IP 為索引查找全局表獲取對(duì)應(yīng)MAC，以查到的 MAC 作為源 MAC 構(gòu)建 ARP 應(yīng)答報(bào)文，通過 Packetout 下發(fā)給 OVS。 Overlay 網(wǎng)絡(luò)轉(zhuǎn)發(fā)流程產(chǎn)品營(yíng)銷部 SDN 工作組——SDN VPC 網(wǎng)絡(luò)解決方案一紙闡 19? 報(bào)文所屬 VXLAN 識(shí)別VTEP 只有識(shí)別出接收到的報(bào)文所屬的 VXLAN，才能對(duì)該報(bào)文進(jìn)行正確地處理。VXLAN 隧道上接收?qǐng)?bào)文的識(shí)別：對(duì)于從 VXLAN 隧道上接收到的 VXLAN 報(bào)文，VTEP 根據(jù)報(bào)文 中攜帶的 VNI 判斷該報(bào)文所屬的 VXLAN。本地站點(diǎn)內(nèi)接收到數(shù)據(jù)幀的識(shí)別：對(duì)于從本地站點(diǎn)中接收到的二層數(shù)據(jù)幀，VTEP 通過以太網(wǎng)服務(wù)實(shí)例（Service Instance）將數(shù)據(jù)幀映射到對(duì)應(yīng)的 VSI， VSI 內(nèi)創(chuàng)建的 VXLAN即為該數(shù)據(jù)幀所屬的 VXLAN。? MAC 地址學(xué)習(xí)本地 MAC 地址學(xué)習(xí)：指本地 VTEP 連接的本地站點(diǎn)內(nèi)虛擬機(jī) MAC 地址的學(xué)習(xí)。本地 MAC地址通過接收到數(shù)據(jù)幀中的源 MAC 地址動(dòng)態(tài)學(xué)習(xí)，即 VTEP 接收到本地虛擬機(jī)發(fā)送的數(shù)據(jù)幀后，判斷該數(shù)據(jù)幀所屬的 VSI，并將數(shù)據(jù)幀中的源 MAC 地址（本地虛擬機(jī)的 MAC 地址）添加到該 VSI 的 MAC 地址表中，該 MAC 地址對(duì)應(yīng)的出接口為接收到數(shù)據(jù)幀的接口。遠(yuǎn)端 MAC 地址學(xué)習(xí)：指遠(yuǎn)端 VTEP 連接的遠(yuǎn)端站點(diǎn)內(nèi)虛擬機(jī) MAC 地址的學(xué)習(xí)。遠(yuǎn)端 MAC學(xué)習(xí)時(shí)，VTEP 從 VXLAN 隧道上接收到遠(yuǎn)端 VTEP 發(fā)送的 VXLAN 報(bào)文后，根據(jù) VXLAN ID 判斷報(bào)文所屬的 VXLAN，對(duì)報(bào)文進(jìn)行解封裝，還原二層數(shù)據(jù)幀，并將數(shù)據(jù)幀中的源 MAC 地址（遠(yuǎn)端虛擬機(jī)的 MAC 地址）添加到所屬 VXLAN 對(duì)應(yīng) VSI 的 MAC 地址表中，該 MAC 地址對(duì)應(yīng)的出接口為 VXLAN 隧道接口。 Overlay 網(wǎng)絡(luò)虛機(jī)遷移在虛擬化環(huán)境中，虛擬機(jī)故障、動(dòng)態(tài)資源調(diào)度功能、服務(wù)器主機(jī)故障或計(jì)劃內(nèi)停機(jī)等都會(huì)造成虛擬機(jī)遷移動(dòng)作的發(fā)生。虛擬機(jī)的遷移，需要保證遷移虛擬機(jī)和其他虛擬機(jī)直接的業(yè)務(wù)不能中斷，而且虛擬機(jī)對(duì)應(yīng)的網(wǎng)絡(luò)策略也必須同步遷移。虛擬機(jī)遷移及網(wǎng)絡(luò)策略如圖所示：產(chǎn)品營(yíng)銷部 SDN 工作組——SDN VPC 網(wǎng)絡(luò)解決方案一紙闡 20虛擬機(jī)遷移及網(wǎng)絡(luò)策略跟隨網(wǎng)絡(luò)管理員通過虛擬機(jī)管理平臺(tái)下發(fā)虛擬機(jī)遷移指令，虛擬機(jī)管理平臺(tái)通知控制器預(yù)遷移，控制器標(biāo)記遷移端口，并向源主機(jī)和目的主機(jī)對(duì)應(yīng)的主備控制器分布發(fā)送同步消息，通知遷移的 VPort，增加遷移標(biāo)記。同步完成后，控制器通知虛擬機(jī)管理平臺(tái)可以進(jìn)行遷移了。虛擬機(jī)管理平臺(tái)收到控制器的通知后，開始遷移，創(chuàng)建 VM 分配 IP 等資源并啟動(dòng) VM。啟動(dòng)后目的主機(jī)上報(bào)端口添加事件，通知給控制器，控制器判斷遷移標(biāo)記，遷移端口，保存新上報(bào)端口和舊端口信息。然后控制器向目的主機(jī)下發(fā)網(wǎng)絡(luò)策略。源 VM 和目的執(zhí)行內(nèi)存拷貝，內(nèi)存拷貝結(jié)束后，源 VM 關(guān)機(jī)，目的 VM 上線。源 VM 關(guān)機(jī)后，遷移源主機(jī)上報(bào)端口刪除事件，通知給控制器，控制器判斷遷移標(biāo)記，控制器根據(jù)信息刪除舊端口信息并同時(shí)刪除遷移前舊端口對(duì)應(yīng)的流表信息。主控制器完成上述操作后在控制器集群內(nèi)進(jìn)行刪除端口消息的通知。其他控制器收到刪除端口信息后，也刪除本控制器的端口信息，同時(shí)刪除對(duì)應(yīng)端的流表信息。源控制器需要把遷移后新端口通知控制器集群的其他控制器。其他控制器收到遷移后的端口信息，更新端口信息。當(dāng)控制器重新收到 Packetin 報(bào)文后，重新觸發(fā)新的流表生成。 Overlay 網(wǎng)關(guān)高可靠性O(shè)verlay 網(wǎng)關(guān)的高可靠性原理如圖所示：產(chǎn)品營(yíng)銷部 SDN 工作組——SDN VPC 網(wǎng)絡(luò)解決方案一紙闡 21Overlay 網(wǎng)關(guān)高可靠性網(wǎng)關(guān)組中網(wǎng)關(guān)的 VTEP IP 和 GW VMAC 相同,均通過路由協(xié)議對(duì)內(nèi)網(wǎng)發(fā)布 VTEP IP 對(duì)應(yīng)路由。網(wǎng)關(guān)組內(nèi)部，采用無狀態(tài)轉(zhuǎn)發(fā)設(shè)計(jì)，所有網(wǎng)關(guān)信息同步。在處理 OVS 發(fā)往 GW 的流量時(shí)，動(dòng)態(tài)選擇 GW 組中的一個(gè) GW，可以很好地起到負(fù)載分擔(dān)的作用。網(wǎng)關(guān)故障后，流量切換到分組內(nèi)其它網(wǎng)關(guān)，保證業(yè)務(wù)平滑遷移。網(wǎng)關(guān)與內(nèi)外網(wǎng)設(shè)備連接，采用聚合或 ECMP 方式，某鏈路故障，網(wǎng)關(guān)自動(dòng)切換鏈路，無需人工干預(yù)。單個(gè)網(wǎng)關(guān)設(shè)備采用雙主控，原主控故障，新主控接管設(shè)備管理，所有處理網(wǎng)關(guān)自動(dòng)完成。轉(zhuǎn)發(fā)層面和控制層面分離， VCF Controller 不感知，網(wǎng)關(guān)上流量轉(zhuǎn)發(fā)不受影響。 網(wǎng)關(guān)彈性擴(kuò)展升級(jí)受制于芯片的限制，單個(gè)網(wǎng)關(guān)設(shè)備支持的租戶數(shù)量有限，控制器能夠動(dòng)態(tài)的將不同租戶的隧道建立在不同的 Overlay 網(wǎng)關(guān)上，支持 Overlay 網(wǎng)關(guān)的無狀態(tài)分布，實(shí)現(xiàn)租戶流量的負(fù)載分擔(dān)。如圖所示，Overlay 網(wǎng)絡(luò)可以支持 Overlay 網(wǎng)關(guān)隨著租戶數(shù)量增加的擴(kuò)充，當(dāng)前最大可以支持超過 64K 個(gè)租戶數(shù)量，從而提供一個(gè)具有彈性擴(kuò)展能力的 Overlay 網(wǎng)絡(luò)架構(gòu)。產(chǎn)品營(yíng)銷部 SDN 工作組——SDN VPC 網(wǎng)絡(luò)解決方案一紙闡 22Overlay 網(wǎng)絡(luò)彈性擴(kuò)展 網(wǎng)絡(luò)安全部署如圖所示，Overlay 網(wǎng)絡(luò)的安全部署有三種模式，這三種模式既可以獨(dú)立部署，也可以配合部署：Overlay 網(wǎng)絡(luò)的安全部署? 旁掛部署主要形態(tài)：硬件安全資源。產(chǎn)品營(yíng)銷部 SDN 工作組——SDN VPC 網(wǎng)絡(luò)解決方案一紙闡 23安全資源旁掛在核心/匯聚設(shè)備旁側(cè)（部分安全資源也可選作為 L3 網(wǎng)關(guān)） 。安全資源關(guān)注 VXLANVLAN 的安全訪問控制。? 服務(wù)器側(cè)部署主要形態(tài)：軟件安全資源。安全資源以 VM 形態(tài)部署在服務(wù)器內(nèi)部，可以作為其他 VM 的網(wǎng)關(guān)。如果安全資源支持 VXLAN，可以完成 VXLANVLAN 的安全訪問控制。全硬件 VXLAN 方案不推薦使用。? 專用安全區(qū)部署主要形態(tài)：軟件或硬件安全資源。安全資源集中部署在某一個(gè) TOR 設(shè)備下，重點(diǎn)關(guān)注不同 VXLAN ID 之間互訪的安全控制。如果安全資源支持 VXLAN，就直接配置 VXLAN ID 的互訪策略。如果安全資源不支持 VXLAN，需要 TOR 完成 VXLAN 到 VLAN 的轉(zhuǎn)換，然后安全資源上配置不同 VLAN 互訪的安全策略。第四章 SDN VPC 方案給 XXX 帶來的價(jià)值華三 SDN VPC 解決方案，具備如下幾大特點(diǎn)，可以最大程度上滿足 XXX 業(yè)務(wù)：? 基于 IP 網(wǎng)絡(luò)構(gòu)建 Fabric。無特殊拓?fù)湎拗?，IP 可達(dá)即可；承載網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)分離；對(duì)現(xiàn)有網(wǎng)絡(luò)改動(dòng)較小，保護(hù)用戶現(xiàn)有投資。? 16M 多租戶共享，極大擴(kuò)展了隔離數(shù)量。? 網(wǎng)絡(luò)簡(jiǎn)化、安全。虛擬網(wǎng)絡(luò)支持 LL3 等，無需運(yùn)行 LAN 協(xié)議，骨干網(wǎng)絡(luò)無需大量 VLAN Trunk。? 支持多樣化的組網(wǎng)部署方式，支持跨域互訪。? 支持虛擬機(jī)靈活遷移，安全策略動(dòng)態(tài)跟隨。? 轉(zhuǎn)發(fā)優(yōu)化和表項(xiàng)容量增大。消除了 MAC 表項(xiàng)學(xué)習(xí)泛濫，ARP 等泛洪流量可達(dá)范圍可控，且東西向流量無需經(jīng)過網(wǎng)關(guān)。產(chǎn)品營(yíng)銷部 SDN 工作組——SDN VPC 網(wǎng)絡(luò)解決方案一紙闡 24SDN 工作組成員聯(lián)系方式技術(shù)營(yíng)銷部 SDN 工作組：翟傳璞(01061)、遇惠君(03133)、馮亮(05110)、陸毅(04063)