【正文】 樣導(dǎo)致vSwitch游離于網(wǎng)絡(luò)整體管理之外，不利于整體網(wǎng)絡(luò)策略以及網(wǎng)絡(luò)安全的實現(xiàn)。影響服務(wù)器性能考慮到在一臺物理服務(wù)器上可能運行數(shù)十個虛擬機，再摻雜上數(shù)據(jù)中心的交換時，情況會非常復(fù)雜。給虛擬機增加這樣一種智能，會給服務(wù)器額外增加大量的網(wǎng)絡(luò)處理負(fù)載，并且由于虛擬交換機僅僅是通過一種軟件實現(xiàn)，在功能和性能上必然無法與傳統(tǒng)的實體網(wǎng)絡(luò)設(shè)備相媲美。既然實體交換機已經(jīng)實現(xiàn)了所有這些功能，就沒有必要在虛擬機上進行這些重復(fù)操作。 數(shù)據(jù)中心接入層虛擬交換物理主機（服務(wù)器）虛擬交換機，用于虛擬機互訪（本質(zhì)上就是一種“軟”交換機的行為，軟件虛擬出來交換機）采用一種“硬”交換機的思路，將虛擬機的交換能力回歸到交換機 ，性能保證，特性豐富 ，管理界面清晰 。指定一種Edge Virtual Bridging(EVB)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)基于一個名為Virtual Ethernet Port Aggregator (VEPA) 的技術(shù)。通過VEPA，來自于VM的所有流量都會被轉(zhuǎn)發(fā)到鄰近的物理接入交換機，或者當(dāng)目標(biāo)VM也位于同一個服務(wù)器時被轉(zhuǎn)回到相同的物理服務(wù)器。部署方案：在數(shù)據(jù)中心接入層部署支持EVB國際標(biāo)準(zhǔn)的數(shù)據(jù)中心交換機，與服務(wù)器端虛擬化軟件聯(lián)動即可支持將流量上引至交換機上。通過VEPA和VSI發(fā)現(xiàn)功能，將VM的流量統(tǒng)統(tǒng)轉(zhuǎn)移到交換機上來進行傳輸，可以實現(xiàn)基于VM的流量控制。例如，網(wǎng)絡(luò)管理員可以應(yīng)用安全策略阻斷某個VM和其他VM的通訊，或者控制該VM只能和某些指定的VM通訊。帶來的好處l 提升性能、降低復(fù)雜性 ，實現(xiàn)：將高級復(fù)雜的網(wǎng)絡(luò)功能從VM轉(zhuǎn)移到外部網(wǎng)絡(luò)。l 保持NIC（網(wǎng)卡）的低成本電路 ，實現(xiàn)：將高級網(wǎng)絡(luò)功能調(diào)整到外部網(wǎng)絡(luò)。l 一致性控制策略實現(xiàn) ，實現(xiàn)：將所有流量轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)，網(wǎng)絡(luò)實現(xiàn)更加完備的的強制控制策略。l VM間流量可視性 ，實現(xiàn)：外部網(wǎng)絡(luò)提供完善的管理工具。l 清晰管理邊界 ，降低服務(wù)器管理人員的網(wǎng)絡(luò)配置要求 ，降低網(wǎng)絡(luò)管理人員的配置復(fù)雜性。 虛擬機遷移帶來數(shù)據(jù)中心與云計算網(wǎng)絡(luò)變化 現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)的問題近年來，服務(wù)器高可用集群技術(shù)和虛擬服務(wù)器動態(tài)遷移技術(shù)（如VMware的VMotion），在數(shù)據(jù)中心容災(zāi)及計算資源調(diào)配方面得以廣泛應(yīng)用，這兩種技術(shù)不僅要求在數(shù)據(jù)中心內(nèi)實現(xiàn)大二層網(wǎng)絡(luò)接入，而且要求在數(shù)據(jù)中心間也實現(xiàn)大范圍二層網(wǎng)絡(luò)擴展。動態(tài)遷移的要求：業(yè)務(wù)不間斷。運行中的VM可實現(xiàn)動態(tài)遷移到不同物理及的虛擬平臺上。一些服務(wù)器虛擬化軟件可實現(xiàn)在兩臺虛擬化的物理服務(wù)器之間對虛擬機做動態(tài)遷移，遷移至另一中心的虛擬機不僅保留原有IP地址，而且還保持遷移前的運行狀態(tài)（如TCP會話狀態(tài)），所以必須將涉及虛擬機遷移的物理服務(wù)器接入同一個二層網(wǎng)絡(luò)（虛擬機在遷移前后的網(wǎng)關(guān)不變），這種應(yīng)用場景要求構(gòu)建跨中心的二層互聯(lián)網(wǎng)絡(luò)。如上圖所示，在VMotion過程中，選擇好目的物理服務(wù)器后，啟動遷移流程，VMWare虛擬系統(tǒng)將處于工作運行中的虛擬機(VM)的實時狀態(tài)，包括內(nèi)存、寄存器狀態(tài)等信息同步拷貝到目的VM，并激活目的VM從而完成遷移。VMotion過程對于網(wǎng)絡(luò)設(shè)計本無特殊要求，但遷移的范圍要求網(wǎng)絡(luò)二層連通，即源VM與目的VM在同一VLAN內(nèi)，這就要求VM虛擬化應(yīng)用所在的網(wǎng)絡(luò)是一個二層網(wǎng)絡(luò)。如下所示，VMotion的網(wǎng)絡(luò)中存在三種VLAN：管理VLAN如VLAN 遷移VMotion VLAN如VLAN VM業(yè)務(wù)VLAN如VLAN 105/106。傳統(tǒng)MSTP的二層設(shè)計在小范圍網(wǎng)絡(luò)環(huán)境也基本滿足VMotion的應(yīng)用要求，但是隨著VM 二層域規(guī)模的不斷擴大，現(xiàn)在有些企業(yè)甚至要建數(shù)據(jù)中心范圍內(nèi)的二層網(wǎng)絡(luò)，如果采用MSTP+VRRP構(gòu)建數(shù)據(jù)中心網(wǎng)絡(luò)，不論是前期規(guī)劃還是建成后的運營都會極其復(fù)雜。傳統(tǒng)二層網(wǎng)絡(luò)的維護l 在匯聚交換機上指定根橋；，匯聚交換機上不需要參與STP的端口關(guān)閉STP特性l 接入交換機與服務(wù)器直連端口設(shè)置為“邊緣端口”；l 接入交換機與服務(wù)器相連的端開啟“BPDU保護”功能，標(biāo)■的端口；l 接入交換機上行端口開啟“環(huán)路保護”功能，標(biāo)■的端口；l 匯聚交換機（根橋和備份根橋）與接入交換機互聯(lián)的端口開啟“root保護”功能，標(biāo)■的端口；l 交換機上開啟“TCBPDU保護”功能；l 在交換機上開啟loopbackdetection（端口環(huán)回檢測）功能，防止錯誤的配置或連接形成端口自環(huán)；l 利用VLAN與MSTP實例映射關(guān)系，實現(xiàn)業(yè)務(wù)流量負(fù)載分擔(dān)。l 在匯聚交換機或匯聚層L4/L7模塊上規(guī)劃多個VRRP組，實現(xiàn)服務(wù)器網(wǎng)關(guān)的備份和負(fù)載分擔(dān)現(xiàn)有技術(shù)的問題構(gòu)建二層網(wǎng)絡(luò)方面，原先的標(biāo)準(zhǔn)——生成樹協(xié)議（STP）因其一些故有缺陷將不再適合超大型數(shù)據(jù)中心的擴展。 STP在數(shù)據(jù)中心網(wǎng)絡(luò)應(yīng)用中的缺陷表現(xiàn)為以下幾點：l STP是通過端口阻止來工作的，所有冗余的鏈路不進行數(shù)據(jù)轉(zhuǎn)發(fā)，該方式雖然解決了二層數(shù)據(jù)環(huán)路的問題，卻造成了帶寬資源的浪費，而數(shù)據(jù)中心因其巨大的數(shù)據(jù)通訊量，對帶寬資源的浪費是難以接受的。l 以太網(wǎng)數(shù)據(jù)幀是沒有TTL的，這會造成一旦數(shù)據(jù)在二層網(wǎng)絡(luò)中出現(xiàn)環(huán)路，會造成整個網(wǎng)絡(luò)立即癱患，尤其是廣播幀，這雖然不是STP協(xié)議的問題，但我們可歸其為STP網(wǎng)絡(luò)的問題。l 當(dāng)VLAN進行重配置的時候，STP（MSTP）會造成VLAN分隔，這對于數(shù)據(jù)中心網(wǎng)絡(luò)而言也是非常嚴(yán)重的問題，尤其是存儲網(wǎng)，因為存儲網(wǎng)對不間斷服務(wù)的要求很高。對云計算和數(shù)據(jù)中心網(wǎng)絡(luò)中，虛擬機遷移更是致命。 數(shù)據(jù)中心虛擬化多變一適應(yīng)虛擬機遷移引入虛擬化設(shè)計方式之后，在不改變傳統(tǒng)設(shè)計的網(wǎng)絡(luò)物理拓?fù)洹⒈ＷC現(xiàn)有布線方式的前提下，以VSU的技術(shù)實現(xiàn)網(wǎng)絡(luò)各層的橫向整合，即將交換網(wǎng)絡(luò)每一層的兩臺、多臺物理設(shè)備使用IRF技術(shù)形成一個統(tǒng)一的交換架構(gòu)，減少了邏輯的設(shè)備數(shù)量。l 數(shù)據(jù)中心核心交換機RGS12000兩臺之間使用VSU實現(xiàn)多變一l 數(shù)據(jù)中心接入交換機RGS6200兩臺之間或RGS6000兩臺之間使用VSU實現(xiàn)多變一部署方式在虛擬化整合過程中，被整合設(shè)備的互聯(lián)電纜成為VSU的內(nèi)部互聯(lián)電纜，對VSU系統(tǒng)外部就不可見了，原來的兩臺設(shè)備之間的捆綁互聯(lián)端口因歸屬的VLAN三層接口網(wǎng)段均能被其它設(shè)備可達(如ping通)，而歸屬到VSU系統(tǒng)內(nèi)部后，不對互聯(lián)電纜接口進行IP配置，因此隔離于VSU外部網(wǎng)絡(luò)。虛擬化整合后的VSU系統(tǒng)，對外表現(xiàn)為單臺物理設(shè)備，因此，在保持基本網(wǎng)絡(luò)互聯(lián)條件下，可將一對VSU系統(tǒng)之間的多條線纜進行鏈路捆綁聚合動作，從而將不同網(wǎng)絡(luò)層之間的網(wǎng)狀互聯(lián)簡化成單條邏輯鏈路。VSU組網(wǎng)條件下，對整個網(wǎng)絡(luò)的配置管理情況就發(fā)生了很大變化：原來的多臺物理設(shè)備現(xiàn)在成為一臺邏輯設(shè)備，其中的所有VSU成員可以統(tǒng)一管理配置，因為也只有一個管理IP，不需要登陸到不同設(shè)備去各自管理運維了，可以直接對所有端口、VLAN等特性進行配置，如圖所示。對于接入層設(shè)備來說，以Top of Rack接入為例：一般使用兩臺接入交換機對同類業(yè)務(wù)系統(tǒng)服務(wù)器進行接入，以滿足服務(wù)器雙網(wǎng)卡的上行要求。使用VSU進行網(wǎng)絡(luò)簡化時，對網(wǎng)絡(luò)匯聚層或服務(wù)器網(wǎng)關(guān)層的虛擬化整合是必要的，因為這是消除生成樹和VRRP的關(guān)鍵網(wǎng)絡(luò)層。對于服務(wù)器而言，上行到VSU系統(tǒng)的所有網(wǎng)卡如同接入一臺交換機，可滿足各種工作模式，特別是服務(wù)器的雙網(wǎng)卡捆綁方式，如圖所示。除了支持網(wǎng)卡主備模式，對于網(wǎng)卡需要捆綁(LACP功能)的業(yè)務(wù)要求，由于VSU本身可支持跨設(shè)備的鏈路聚合，因此服務(wù)器多網(wǎng)卡上行到一個VSU系統(tǒng)的不同交換機均可實現(xiàn)捆綁，實現(xiàn)網(wǎng)卡吞吐帶寬增強和提升可靠性。如何適應(yīng)虛擬機遷移下圖提供了采用端到端全面構(gòu)建VMotion網(wǎng)絡(luò)的方案，由于VSU消除了環(huán)路和冗余網(wǎng)關(guān)協(xié)議帶來的問題，整個網(wǎng)絡(luò)可搭建一個大范圍的二層互聯(lián)平臺，在此平臺上合理部署相應(yīng)的管理VLAN、VMotion VLAN和VM業(yè)務(wù)VLAN即可滿足虛擬化業(yè)務(wù)需求。在虛擬化環(huán)境中遇到的另一個問題是安全策略問題，有外部流量訪問VM的安全策略，也有VM之間的安全策略。對此有不同的部署意見，有的認(rèn)為安全策略需要部署到服務(wù)器內(nèi)部的vswitch上，有的建議由安全設(shè)備如防火墻集中執(zhí)行。安全策略部署在服務(wù)器內(nèi)的vswitch上，便于做到控制精細(xì)，并且在VM的遷移過程中，相應(yīng)的控制策略也能跟隨虛擬化系統(tǒng)軟件的遷移功能隨著VM到達相應(yīng)的vswitch。但根據(jù)思博倫測試專家的觀點，策略在vswitch上部署過多對于vswitch性能有一定影響。同時，對大二層網(wǎng)絡(luò)，策略過于分散，不利于運行維護。并且在當(dāng)前企業(yè)數(shù)據(jù)中心運維架構(gòu)中，服務(wù)器虛擬化帶來的vswitch管理歸屬成為問題。(是網(wǎng)絡(luò)運營部門？還是應(yīng)用運營部門？)。對VSU構(gòu)建的網(wǎng)絡(luò)，如果對外部訪問VM的流量進行策略控制，則可在所有VM的網(wǎng)關(guān)層設(shè)置入方向的ACL控制策略，如下圖所示，控制集中、便于策略維護。 云計算（分布式數(shù)據(jù)中心）互聯(lián)路由網(wǎng)絡(luò)簡介云計算大大擴展了IT服務(wù)能夠提供的種類和范圍，作為云計算服務(wù)提供者與使用者的聯(lián)系紐帶，路由平臺為云計算提供高速、可靠、擴展性強、簡單易用的廣域數(shù)據(jù)傳輸平臺。云計算主要包括公有云與私有云，云計算中心通過廣域數(shù)據(jù)傳輸平臺與終端用戶互聯(lián)，為公眾用戶或企業(yè)內(nèi)部用戶提供云服務(wù)。由于使用云服務(wù)的終端用戶數(shù)量大、分布廣泛、接入方式多種多樣，因此將承載云計算的數(shù)據(jù)傳輸平臺稱為路由平臺。共有云路由平臺公有云的服務(wù)對象是公眾用戶，用戶主要通過互聯(lián)網(wǎng)接入方式與云計算中心連接。因此，公有云泛聯(lián)路由平臺是面向全互聯(lián)網(wǎng)用戶的，提供大容量、快速、高可用、安全的互聯(lián)網(wǎng)接入平臺。公有云通常規(guī)模龐大，具有2個甚至多個數(shù)據(jù)中心，具有多個高速互聯(lián)網(wǎng)出口，其泛聯(lián)路由平臺主要由核心層路由器、外聯(lián)層路由器組成：l 核心層路由器：連接云計算數(shù)據(jù)中心與互聯(lián)網(wǎng)出口，執(zhí)行高速數(shù)據(jù)轉(zhuǎn)發(fā)；l 外聯(lián)層路由器：連接各運營商互聯(lián)網(wǎng)出口，執(zhí)行大容量路由、會話處理。公有云泛聯(lián)路由平臺的主要功能特點是：l 全網(wǎng)路由處理：外聯(lián)層路由器與運營商的高速互聯(lián)網(wǎng)專線連接，并與運營商交互互聯(lián)網(wǎng)全網(wǎng)路由（約17～20萬條），利于提高互聯(lián)網(wǎng)訪問速度，執(zhí)行更有效的流量分流與負(fù)載策略；l 高速收斂：路由平臺必須具備電信級的可靠性，能夠在鏈路故障、設(shè)備故障、互聯(lián)網(wǎng)路由收斂等情況下完成無縫倒換，確保云計算服務(wù)不中斷；l 路由級聯(lián)：多個云計算數(shù)據(jù)中心的核心層路由通過專線級聯(lián)，通過靈活可擴展的分布式架構(gòu)實現(xiàn)多數(shù)據(jù)中心的高速數(shù)據(jù)交換與備份，提供更高性能和更可靠的云計算服務(wù)。私有云路由平臺私有云的服務(wù)對象是企業(yè)內(nèi)部用戶，用戶可通過局域網(wǎng)、廣域?qū)＞W(wǎng)、互聯(lián)網(wǎng)VPN等多種方式與云計算中心連接。相比公有云，私有云雖然一般規(guī)模較小，接入用戶數(shù)量較少，但用戶連接方式更為多樣，路由平臺的多業(yè)務(wù)處理能力要求更高，具有“核心高速化、邊緣智能化”的特點。較小規(guī)模的私有云路由平臺通常采用扁平化架構(gòu)扁平化路由平臺采用核心層、接入層兩級路由架構(gòu)：l 核心層路由器：連接云計算數(shù)據(jù)中心與接入層路由器，執(zhí)行各接入層路由匯聚，以及高速數(shù)據(jù)轉(zhuǎn)發(fā)；支持互聯(lián)網(wǎng)用戶、遠程VPN用戶接入；l 接入層路由器：接入終端用戶。由于云計算對終端的要求必須盡可能簡化，因此要求接入層路由器更加智能化、自動化、多業(yè)務(wù)融合，例如支持豐富網(wǎng)絡(luò)接入方式，如有線/無線PC、PDA、手持終端等，支持IPv4單播/組播、IPv6單播/組播、MPLS VPN虛擬網(wǎng)絡(luò)等數(shù)據(jù)傳輸類型，具備豐富的QoS策略、安全控制策略、應(yīng)用流量控制、應(yīng)用加速等業(yè)務(wù)處理能力。較大規(guī)模的私有云路由平臺，例如大型集團為多個內(nèi)部企業(yè)、合作伙伴提供云計算服務(wù)，所提供的云計算服務(wù)類型、終端用戶數(shù)量都具備一定的規(guī)模，通常擁有多個云計算中心，對可靠性、可擴增性要求更高，采用層次化架構(gòu)。層次化泛聯(lián)路由平臺采用核心層、區(qū)域中心、接入層多級路由架構(gòu)：l 核心層路由器：云計算數(shù)據(jù)中心出口核心路由器，執(zhí)行云計算服務(wù)高速數(shù)據(jù)交換；l 區(qū)域中心路由器：核心層路由器與接入層路由器的中間層設(shè)備，通過上下兩級路由成環(huán)，分別用于匯聚各區(qū)域接入層路由器，以及與核心層路由器形成高速互聯(lián)網(wǎng)絡(luò)；l 接入層路由器：接入終端用戶，與扁平化平臺架構(gòu)類似，支持豐富網(wǎng)絡(luò)接入方式，以及豐富的業(yè)務(wù)處理能力。相對于扁平化架構(gòu)，層次化泛聯(lián)路由平臺架構(gòu)能夠提供更清晰的管理界面，以及更靈活的擴展性。新增云計算數(shù)據(jù)中心可通過核心層路由直接與區(qū)域中心路由連接，不影響路由平臺架構(gòu)的運行；新增接入層路由器也可直接上行到區(qū)域中心路由，實現(xiàn)對云計算數(shù)據(jù)中心的訪問。 虛擬機遷移的在云計算網(wǎng)絡(luò)的兩個階段數(shù)據(jù)中心的發(fā)展正在經(jīng)歷從整合，虛擬化到自動化的演變，基于云計算的數(shù)據(jù)中心是未來的更遠的目標(biāo)。 整合是基礎(chǔ)，虛擬化技術(shù)為自動化、云計算數(shù)據(jù)中心的實現(xiàn)提供支持。虛擬化技術(shù)是云計算的關(guān)鍵技術(shù)之一，將一臺物理服務(wù)器虛擬化成多臺邏輯虛擬機VM，不僅可以大大提升云計算環(huán)境IT計算資源的利用效率、節(jié)省能耗，同時虛擬化技術(shù)提供的動態(tài)遷移、資源調(diào)度，使得云計算服務(wù)的負(fù)載可以得到高效管理、擴展，云計算的服務(wù)更具有彈性和靈活性。數(shù)據(jù)中心虛擬化發(fā)展的第一個階段是通過整合實現(xiàn)服務(wù)器和應(yīng)用的虛擬化服務(wù)，這階段的數(shù)據(jù)中心也是很多公司已經(jīng)做的或正要做的。數(shù)據(jù)中心虛擬化發(fā)展的第二個階段是通過虛擬主機遷移技術(shù)(VM39。s Mobility)實現(xiàn)跨物理服務(wù)器的虛擬化服務(wù)。 在這個階段，實現(xiàn)了數(shù)據(jù)中心內(nèi)的跨區(qū)域虛擬化，虛擬機可以在不同的物理服務(wù)器之間切換。對于虛擬化云計算服務(wù)，需要構(gòu)建大范圍(數(shù)據(jù)中心內(nèi)部、數(shù)據(jù)中心之間)的二層互聯(lián)網(wǎng)絡(luò)，以支持虛擬機算資源的遷移和調(diào)度(對于大型集群計算，也可構(gòu)建二層網(wǎng)絡(luò)，以保持集群的簡單，但目前也有構(gòu)建路由網(wǎng)絡(luò)連接實現(xiàn)大型集群)。 二層網(wǎng)絡(luò)的好處是對虛擬機的透明化，但是為保證網(wǎng)絡(luò)的高性能、可靠性，需要解決網(wǎng)絡(luò)環(huán)路問題。 面向虛擬化，透明交換云計算網(wǎng)絡(luò)虛擬化的云中，計算資源能夠按需擴展、靈活調(diào)度部署，這由虛擬機的遷移功能實現(xiàn)，虛擬化環(huán)境的計算資源必須在二層網(wǎng)絡(luò)范圍內(nèi)實現(xiàn)透明化遷移透明環(huán)境不僅限于數(shù)據(jù)中心內(nèi)部，對于多個數(shù)據(jù)中心共同提供的云計算服務(wù)，要求云計算的網(wǎng)絡(luò)對數(shù)據(jù)中心內(nèi)部、數(shù)據(jù)中心之間均