【正文】 ? 虛擬機遷移時可以使得虛擬機網(wǎng)絡(luò)端口狀態(tài)在從一個主機移到另一個主機時保持不變，這樣就能支持對虛擬機持 續(xù)地統(tǒng)計監(jiān)控并促進(jìn)安全性 監(jiān)控。? 虛擬機遷移后，不需要重新配置網(wǎng)關(guān)等網(wǎng)絡(luò)參數(shù)，部署簡單、靈活。 網(wǎng)絡(luò)流表路由? ARP 代答對于虛擬化環(huán)境來說，當(dāng)一個虛 擬機需要和另一個虛擬機 進(jìn)行通信時，首先需要通 過ARP 的廣播 請 求獲得對方的 MAC 地址。由于 VXLAN 網(wǎng) 絡(luò)復(fù)雜，廣播流量浪費帶寬，所以需要在控制器上實現(xiàn) ARP 代答功能。即由控制器對 ARP 請求報文統(tǒng)一進(jìn)行應(yīng)答，而不創(chuàng)建廣播流表。ARP 代答的大致流程：控制器收到 OVS 上送的 ARP 請求報文，做 IPMAC 防欺騙處理確認(rèn)報文合法后，從 ARP 請求報文中獲取目的 IP，以目的 IP 為索引查找全局表獲取對應(yīng)MAC，以查到的 MAC 作為源 MAC 構(gòu)建 ARP 應(yīng)答報文，通過 Packetout 下發(fā)給 OVS。 網(wǎng)絡(luò)轉(zhuǎn)發(fā)流程? 報文所屬 VXLAN 識別 VTEP 只有識別出接收到的報文所屬的 VXLAN，才能 對該報 文進(jìn)行正確地處理。VXLAN 隧道上接收 報文的識別：對于從 VXLAN 隧道上接收到的 VXLAN 報文， VTEP根據(jù)報文 中攜帶的 VNI 判斷該報文所屬的 VXLAN。本地站點內(nèi)接收到數(shù)據(jù)幀的識別：對于從本地站點中接收到的二層數(shù)據(jù)幀，VTEP 通過以太網(wǎng)服務(wù)實例（Service Instance）將數(shù)據(jù)幀映射到對應(yīng)的 VSI， VSI 內(nèi)創(chuàng)建的 VXLAN 即為該數(shù)據(jù)幀所屬的 VXLAN。? MAC 地址學(xué)習(xí)本地 MAC 地址學(xué)習(xí)：指本地 VTEP 連接的本地站點內(nèi)虛擬機 MAC 地址的學(xué)習(xí)。本地MAC 地址通過 接收到數(shù)據(jù)幀中的源 MAC 地址動態(tài)學(xué)習(xí)，即 VTEP 接收到本地虛擬機發(fā)送的數(shù)據(jù)幀后，判斷該數(shù)據(jù)幀所屬的 VSI，并將數(shù)據(jù) 幀中的源 MAC 地址（本地虛擬機的 MAC地址）添加到該 VSI 的 MAC 地址表中，該 MAC 地址對應(yīng)的出接口為接收到數(shù)據(jù)幀的接口。遠(yuǎn)端 MAC 地址學(xué)習(xí)：指遠(yuǎn)端 VTEP 連接的遠(yuǎn)端站點內(nèi)虛擬機 MAC 地址的學(xué)習(xí)。遠(yuǎn)端MAC 學(xué)習(xí)時， VTEP 從 VXLAN 隧道上接收到遠(yuǎn)端 VTEP 發(fā)送的 VXLAN 報文后，根據(jù)VXLAN ID 判斷報文所屬的 VXLAN，對報文進(jìn)行解封裝，還原二層數(shù)據(jù)幀，并將數(shù)據(jù)幀中的源 MAC 地址（ 遠(yuǎn)端虛擬機的 MAC 地址）添加到所屬 VXLAN 對應(yīng) VSI 的 MAC 地址表中，該 MAC 地址對應(yīng) 的出接口為 VXLAN 隧道接口。 網(wǎng)絡(luò)虛機遷移在虛擬化環(huán)境中，虛擬機故障、動態(tài)資源調(diào)度功能、服務(wù)器主機故障或計劃內(nèi)停機等都會造成虛擬機遷移動作的發(fā)生。虛 擬機的遷移，需要保 證遷移虛 擬機和其他虛擬機直接的業(yè)務(wù)不能中斷，而且虛擬機對應(yīng) 的網(wǎng)絡(luò)策略也必須同步遷移。虛擬機遷移及網(wǎng)絡(luò)策略如圖所示： 虛擬機遷移及網(wǎng)絡(luò)策略跟隨網(wǎng)絡(luò)管理員通過虛擬機管理平臺下發(fā)虛擬機遷移指令，虛擬機管理平臺通知控制器預(yù)遷移，控制器標(biāo)記遷移端口，并向源主機和目的主機 對應(yīng)的主 備控制器分布發(fā)送同步消息，通知遷移的 VPort，增加遷移 標(biāo)記。同步完成后，控制器通知虛 擬機管理平臺可以進(jìn)行遷移了。虛擬機管理平臺收到控制器的通知后，開始遷移，創(chuàng)建 VM 分配 IP 等資源并啟動 VM。啟動后目的主機上報端口添加事件，通知 給控制器，控制器判斷遷移標(biāo)記，遷移端口，保存新上報端口和舊端口信息。然后控制器向目的主機下發(fā)網(wǎng) 絡(luò)策略。源 VM 和目的執(zhí)行內(nèi)存拷貝，內(nèi)存拷貝結(jié)束后，源 VM 關(guān)機，目的 VM 上線。源 VM 關(guān)機后，遷移源主機上報端口刪 除事件，通知 給控制器，控制器判斷遷移標(biāo)記，控制器根據(jù)信息刪除舊端口信息并同時刪除遷移前舊端口對應(yīng)的流表信息。主控制器完成上述操作后在控制器集群內(nèi)進(jìn)行刪除端口消息的通知。其他控制器收到刪除端口信息后，也刪除本控制器的端口信息，同時刪除對應(yīng) 端的流表信息。源控制器需要把遷移后新端口通知控制器集群的其他控制器。其他控制器收到遷移后的端口信息，更新端口信息。當(dāng)控制器重新收到 Packetin 報文后，重新觸 發(fā)新的流表生成。 網(wǎng)關(guān)高可靠性O(shè)verlay 網(wǎng)關(guān)的高可靠性原理如圖所示： Overlay 網(wǎng)關(guān)高可靠性網(wǎng)關(guān)組中網(wǎng)關(guān)的 VTEP IP 和 GW VMAC 相同,均通過路由協(xié)議對內(nèi)網(wǎng)發(fā)布 VTEP IP 對應(yīng)路由。網(wǎng)關(guān)組內(nèi)部，采用無狀態(tài)轉(zhuǎn)發(fā)設(shè)計 ，所有網(wǎng)關(guān)信息同步。在處理 OVS 發(fā) 往 GW 的流量時， 動態(tài)選擇 GW 組中的一個 GW，可以很好地起到負(fù)載分擔(dān)的作用。網(wǎng)關(guān)故障后，流量切換到分組 內(nèi)其它網(wǎng)關(guān)，保 證業(yè)務(wù)平滑遷移。網(wǎng)關(guān)與內(nèi)外網(wǎng)設(shè)備連接，采用聚合或 ECMP 方式，某鏈路故障，網(wǎng)關(guān)自動切換鏈路，無需人工干預(yù)。單個網(wǎng)關(guān)設(shè)備采用雙主控，原主控故障，新主控接管設(shè)備管理，所有處理網(wǎng)關(guān)自動完成。轉(zhuǎn)發(fā)層面和控制層 面分離， VCF Controller 不感知，網(wǎng)關(guān)上流量轉(zhuǎn)發(fā)不受影響。 Overlay 網(wǎng)關(guān)彈性擴展升級受制于芯片的限制，單個網(wǎng)關(guān) 設(shè)備支持的租戶數(shù)量有限，控制器能夠動態(tài)的將不同租戶的隧道建立在不同的 Overlay 網(wǎng)關(guān)上，支持 Overlay 網(wǎng)關(guān)的無狀態(tài)分布，實現(xiàn)租戶流量的負(fù)載分擔(dān)。如圖所示，Overlay 網(wǎng)絡(luò)可以支持 Overlay 網(wǎng)關(guān)隨著租戶數(shù)量增加的擴充，當(dāng)前最大可以支持超過 64K 個租戶數(shù)量，從而提供一個具有彈性擴展能力的 Overlay 網(wǎng)絡(luò)架構(gòu)。 Overlay 網(wǎng)絡(luò)彈性擴展 Overlay 網(wǎng)絡(luò)安全部署如圖所示，Overlay 網(wǎng)絡(luò)的安全部署有三種模式，這三種模式既可以獨立部署，也可以配合部署：Overlay 網(wǎng)絡(luò)的安全部署? 旁掛部署主要形態(tài)：硬件安全資源。 安全資源旁掛在核心/匯聚設(shè)備 旁側(cè)（部分安全資源也可選作為 L3 網(wǎng)關(guān)）。安全資源關(guān)注 VXLANVLAN 的安全訪問控制。? 服務(wù)器側(cè)部署主要形態(tài)：軟件安全資源。安全資源以 VM 形態(tài)部署在服務(wù)器內(nèi)部，可以作為其他 VM 的網(wǎng)關(guān)。如果安全資源支持 VXLAN，可以完成 VXLANVLAN 的安全訪問控制。全硬件 VXLAN 方案不推薦使用。? 專用安全區(qū)部署主要形態(tài)：軟件或硬件安全資源。安全資源集中部署在某一個 TOR 設(shè)備下，重點關(guān)注不同 VXLAN ID 之間互訪的安全控制。如果安全資源支持 VXLAN，就直接配置 VXLAN ID 的互訪策略。如果安全資源不支持 VXLAN，需要 TOR 完成 VXLAN 到 VLAN 的轉(zhuǎn)換，然后安全資源上配置不同 VLAN 互訪的安全策略。一一一 SDN VPC 方案給 XXX 帶來的價值華三 SDN VPC 解決方案，具 備如下幾大特點，可以最大程度上滿足 XXX 業(yè)務(wù)：? 基于 IP 網(wǎng) 絡(luò)構(gòu)建 Fabric。無特殊拓?fù)湎拗?，IP 可達(dá)即可；承載網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)分離；對現(xiàn)有網(wǎng)絡(luò)改動較小，保護(hù)用 戶現(xiàn)有投資。? 16M 多租 戶共享，極大擴展了隔離數(shù)量。? 網(wǎng)絡(luò)簡化、安全。虛 擬網(wǎng) 絡(luò)支持 LL3 等，無需運行 LAN 協(xié)議，骨干網(wǎng) 絡(luò)無需大量 VLAN Trunk。? 支持多樣化的組網(wǎng)部署方式，支持跨域互訪。? 支持虛擬機靈活遷移，安全策略動態(tài)跟隨。? 轉(zhuǎn)發(fā)優(yōu)化和表項容量增大。消除了 MAC 表項學(xué)習(xí)泛濫，ARP 等泛洪流量可達(dá)范圍可控，且東西向流量無需經(jīng)過 網(wǎng)關(guān)。 SDN 工作組成員聯(lián)系方式技術(shù)營銷部 SDN 工作組：翟傳璞(01061)、遇惠君 (03133)、馮亮(05110) 、陸毅(04063)您好，歡迎您閱讀我的文章，本 WORD 文檔可編輯修改，也可以直接打印。閱讀過后，希望您提出保貴的意見或建議。閱讀和學(xué)習(xí)是一種非常好的習(xí)慣，堅持下去， 讓我們共同進(jìn)步。