【正文】 樣導致vSwitch游離于網絡整體管理之外，不利于整體網絡策略以及網絡安全的實現。影響服務器性能考慮到在一臺物理服務器上可能運行數十個虛擬機，再摻雜上數據中心的交換時，情況會非常復雜。給虛擬機增加這樣一種智能，會給服務器額外增加大量的網絡處理負載，并且由于虛擬交換機僅僅是通過一種軟件實現，在功能和性能上必然無法與傳統(tǒng)的實體網絡設備相媲美。既然實體交換機已經實現了所有這些功能，就沒有必要在虛擬機上進行這些重復操作。 數據中心接入層虛擬交換物理主機（服務器）虛擬交換機，用于虛擬機互訪（本質上就是一種“軟”交換機的行為，軟件虛擬出來交換機）采用一種“硬”交換機的思路，將虛擬機的交換能力回歸到交換機 ，性能保證，特性豐富 ，管理界面清晰 。指定一種Edge Virtual Bridging(EVB)標準，該標準基于一個名為Virtual Ethernet Port Aggregator (VEPA) 的技術。通過VEPA，來自于VM的所有流量都會被轉發(fā)到鄰近的物理接入交換機，或者當目標VM也位于同一個服務器時被轉回到相同的物理服務器。部署方案：在數據中心接入層部署支持EVB國際標準的數據中心交換機，與服務器端虛擬化軟件聯動即可支持將流量上引至交換機上。通過VEPA和VSI發(fā)現功能，將VM的流量統(tǒng)統(tǒng)轉移到交換機上來進行傳輸，可以實現基于VM的流量控制。例如，網絡管理員可以應用安全策略阻斷某個VM和其他VM的通訊，或者控制該VM只能和某些指定的VM通訊。帶來的好處l 提升性能、降低復雜性 ，實現：將高級復雜的網絡功能從VM轉移到外部網絡。l 保持NIC（網卡）的低成本電路 ，實現：將高級網絡功能調整到外部網絡。l 一致性控制策略實現 ，實現：將所有流量轉發(fā)到外部網絡，網絡實現更加完備的的強制控制策略。l VM間流量可視性 ，實現：外部網絡提供完善的管理工具。l 清晰管理邊界 ，降低服務器管理人員的網絡配置要求 ，降低網絡管理人員的配置復雜性。 虛擬機遷移帶來數據中心與云計算網絡變化 現有數據中心網絡的問題近年來，服務器高可用集群技術和虛擬服務器動態(tài)遷移技術（如VMware的VMotion），在數據中心容災及計算資源調配方面得以廣泛應用，這兩種技術不僅要求在數據中心內實現大二層網絡接入，而且要求在數據中心間也實現大范圍二層網絡擴展。動態(tài)遷移的要求：業(yè)務不間斷。運行中的VM可實現動態(tài)遷移到不同物理及的虛擬平臺上。一些服務器虛擬化軟件可實現在兩臺虛擬化的物理服務器之間對虛擬機做動態(tài)遷移，遷移至另一中心的虛擬機不僅保留原有IP地址，而且還保持遷移前的運行狀態(tài)（如TCP會話狀態(tài)），所以必須將涉及虛擬機遷移的物理服務器接入同一個二層網絡（虛擬機在遷移前后的網關不變），這種應用場景要求構建跨中心的二層互聯網絡。如上圖所示，在VMotion過程中，選擇好目的物理服務器后，啟動遷移流程，VMWare虛擬系統(tǒng)將處于工作運行中的虛擬機(VM)的實時狀態(tài)，包括內存、寄存器狀態(tài)等信息同步拷貝到目的VM，并激活目的VM從而完成遷移。VMotion過程對于網絡設計本無特殊要求，但遷移的范圍要求網絡二層連通，即源VM與目的VM在同一VLAN內，這就要求VM虛擬化應用所在的網絡是一個二層網絡。如下所示，VMotion的網絡中存在三種VLAN：管理VLAN如VLAN 遷移VMotion VLAN如VLAN VM業(yè)務VLAN如VLAN 105/106。傳統(tǒng)MSTP的二層設計在小范圍網絡環(huán)境也基本滿足VMotion的應用要求，但是隨著VM 二層域規(guī)模的不斷擴大，現在有些企業(yè)甚至要建數據中心范圍內的二層網絡，如果采用MSTP+VRRP構建數據中心網絡，不論是前期規(guī)劃還是建成后的運營都會極其復雜。傳統(tǒng)二層網絡的維護l 在匯聚交換機上指定根橋；，匯聚交換機上不需要參與STP的端口關閉STP特性l 接入交換機與服務器直連端口設置為“邊緣端口”；l 接入交換機與服務器相連的端開啟“BPDU保護”功能，標■的端口；l 接入交換機上行端口開啟“環(huán)路保護”功能，標■的端口；l 匯聚交換機（根橋和備份根橋）與接入交換機互聯的端口開啟“root保護”功能，標■的端口；l 交換機上開啟“TCBPDU保護”功能；l 在交換機上開啟loopbackdetection（端口環(huán)回檢測）功能，防止錯誤的配置或連接形成端口自環(huán)；l 利用VLAN與MSTP實例映射關系，實現業(yè)務流量負載分擔。l 在匯聚交換機或匯聚層L4/L7模塊上規(guī)劃多個VRRP組，實現服務器網關的備份和負載分擔現有技術的問題構建二層網絡方面，原先的標準——生成樹協議（STP）因其一些故有缺陷將不再適合超大型數據中心的擴展。 STP在數據中心網絡應用中的缺陷表現為以下幾點：l STP是通過端口阻止來工作的，所有冗余的鏈路不進行數據轉發(fā)，該方式雖然解決了二層數據環(huán)路的問題，卻造成了帶寬資源的浪費，而數據中心因其巨大的數據通訊量，對帶寬資源的浪費是難以接受的。l 以太網數據幀是沒有TTL的，這會造成一旦數據在二層網絡中出現環(huán)路，會造成整個網絡立即癱患，尤其是廣播幀，這雖然不是STP協議的問題，但我們可歸其為STP網絡的問題。l 當VLAN進行重配置的時候，STP（MSTP）會造成VLAN分隔，這對于數據中心網絡而言也是非常嚴重的問題，尤其是存儲網，因為存儲網對不間斷服務的要求很高。對云計算和數據中心網絡中，虛擬機遷移更是致命。 數據中心虛擬化多變一適應虛擬機遷移引入虛擬化設計方式之后，在不改變傳統(tǒng)設計的網絡物理拓撲、保證現有布線方式的前提下，以VSU的技術實現網絡各層的橫向整合，即將交換網絡每一層的兩臺、多臺物理設備使用IRF技術形成一個統(tǒng)一的交換架構，減少了邏輯的設備數量。l 數據中心核心交換機RGS12000兩臺之間使用VSU實現多變一l 數據中心接入交換機RGS6200兩臺之間或RGS6000兩臺之間使用VSU實現多變一部署方式在虛擬化整合過程中，被整合設備的互聯電纜成為VSU的內部互聯電纜，對VSU系統(tǒng)外部就不可見了，原來的兩臺設備之間的捆綁互聯端口因歸屬的VLAN三層接口網段均能被其它設備可達(如ping通)，而歸屬到VSU系統(tǒng)內部后，不對互聯電纜接口進行IP配置，因此隔離于VSU外部網絡。虛擬化整合后的VSU系統(tǒng)，對外表現為單臺物理設備，因此，在保持基本網絡互聯條件下，可將一對VSU系統(tǒng)之間的多條線纜進行鏈路捆綁聚合動作，從而將不同網絡層之間的網狀互聯簡化成單條邏輯鏈路。VSU組網條件下，對整個網絡的配置管理情況就發(fā)生了很大變化：原來的多臺物理設備現在成為一臺邏輯設備，其中的所有VSU成員可以統(tǒng)一管理配置，因為也只有一個管理IP，不需要登陸到不同設備去各自管理運維了，可以直接對所有端口、VLAN等特性進行配置，如圖所示。對于接入層設備來說，以Top of Rack接入為例：一般使用兩臺接入交換機對同類業(yè)務系統(tǒng)服務器進行接入，以滿足服務器雙網卡的上行要求。使用VSU進行網絡簡化時，對網絡匯聚層或服務器網關層的虛擬化整合是必要的，因為這是消除生成樹和VRRP的關鍵網絡層。對于服務器而言，上行到VSU系統(tǒng)的所有網卡如同接入一臺交換機，可滿足各種工作模式，特別是服務器的雙網卡捆綁方式，如圖所示。除了支持網卡主備模式，對于網卡需要捆綁(LACP功能)的業(yè)務要求，由于VSU本身可支持跨設備的鏈路聚合，因此服務器多網卡上行到一個VSU系統(tǒng)的不同交換機均可實現捆綁，實現網卡吞吐帶寬增強和提升可靠性。如何適應虛擬機遷移下圖提供了采用端到端全面構建VMotion網絡的方案，由于VSU消除了環(huán)路和冗余網關協議帶來的問題，整個網絡可搭建一個大范圍的二層互聯平臺，在此平臺上合理部署相應的管理VLAN、VMotion VLAN和VM業(yè)務VLAN即可滿足虛擬化業(yè)務需求。在虛擬化環(huán)境中遇到的另一個問題是安全策略問題，有外部流量訪問VM的安全策略，也有VM之間的安全策略。對此有不同的部署意見，有的認為安全策略需要部署到服務器內部的vswitch上，有的建議由安全設備如防火墻集中執(zhí)行。安全策略部署在服務器內的vswitch上，便于做到控制精細，并且在VM的遷移過程中，相應的控制策略也能跟隨虛擬化系統(tǒng)軟件的遷移功能隨著VM到達相應的vswitch。但根據思博倫測試專家的觀點，策略在vswitch上部署過多對于vswitch性能有一定影響。同時，對大二層網絡，策略過于分散，不利于運行維護。并且在當前企業(yè)數據中心運維架構中，服務器虛擬化帶來的vswitch管理歸屬成為問題。(是網絡運營部門？還是應用運營部門？)。對VSU構建的網絡，如果對外部訪問VM的流量進行策略控制，則可在所有VM的網關層設置入方向的ACL控制策略，如下圖所示，控制集中、便于策略維護。 云計算（分布式數據中心）互聯路由網絡簡介云計算大大擴展了IT服務能夠提供的種類和范圍，作為云計算服務提供者與使用者的聯系紐帶，路由平臺為云計算提供高速、可靠、擴展性強、簡單易用的廣域數據傳輸平臺。云計算主要包括公有云與私有云，云計算中心通過廣域數據傳輸平臺與終端用戶互聯，為公眾用戶或企業(yè)內部用戶提供云服務。由于使用云服務的終端用戶數量大、分布廣泛、接入方式多種多樣，因此將承載云計算的數據傳輸平臺稱為路由平臺。共有云路由平臺公有云的服務對象是公眾用戶，用戶主要通過互聯網接入方式與云計算中心連接。因此，公有云泛聯路由平臺是面向全互聯網用戶的，提供大容量、快速、高可用、安全的互聯網接入平臺。公有云通常規(guī)模龐大，具有2個甚至多個數據中心，具有多個高速互聯網出口，其泛聯路由平臺主要由核心層路由器、外聯層路由器組成：l 核心層路由器：連接云計算數據中心與互聯網出口，執(zhí)行高速數據轉發(fā)；l 外聯層路由器：連接各運營商互聯網出口，執(zhí)行大容量路由、會話處理。公有云泛聯路由平臺的主要功能特點是：l 全網路由處理：外聯層路由器與運營商的高速互聯網專線連接，并與運營商交互互聯網全網路由（約17～20萬條），利于提高互聯網訪問速度，執(zhí)行更有效的流量分流與負載策略；l 高速收斂：路由平臺必須具備電信級的可靠性，能夠在鏈路故障、設備故障、互聯網路由收斂等情況下完成無縫倒換，確保云計算服務不中斷；l 路由級聯：多個云計算數據中心的核心層路由通過專線級聯，通過靈活可擴展的分布式架構實現多數據中心的高速數據交換與備份，提供更高性能和更可靠的云計算服務。私有云路由平臺私有云的服務對象是企業(yè)內部用戶，用戶可通過局域網、廣域專網、互聯網VPN等多種方式與云計算中心連接。相比公有云，私有云雖然一般規(guī)模較小，接入用戶數量較少，但用戶連接方式更為多樣，路由平臺的多業(yè)務處理能力要求更高，具有“核心高速化、邊緣智能化”的特點。較小規(guī)模的私有云路由平臺通常采用扁平化架構扁平化路由平臺采用核心層、接入層兩級路由架構：l 核心層路由器：連接云計算數據中心與接入層路由器，執(zhí)行各接入層路由匯聚，以及高速數據轉發(fā)；支持互聯網用戶、遠程VPN用戶接入；l 接入層路由器：接入終端用戶。由于云計算對終端的要求必須盡可能簡化，因此要求接入層路由器更加智能化、自動化、多業(yè)務融合，例如支持豐富網絡接入方式，如有線/無線PC、PDA、手持終端等，支持IPv4單播/組播、IPv6單播/組播、MPLS VPN虛擬網絡等數據傳輸類型，具備豐富的QoS策略、安全控制策略、應用流量控制、應用加速等業(yè)務處理能力。較大規(guī)模的私有云路由平臺，例如大型集團為多個內部企業(yè)、合作伙伴提供云計算服務，所提供的云計算服務類型、終端用戶數量都具備一定的規(guī)模，通常擁有多個云計算中心，對可靠性、可擴增性要求更高，采用層次化架構。層次化泛聯路由平臺采用核心層、區(qū)域中心、接入層多級路由架構：l 核心層路由器：云計算數據中心出口核心路由器，執(zhí)行云計算服務高速數據交換；l 區(qū)域中心路由器：核心層路由器與接入層路由器的中間層設備，通過上下兩級路由成環(huán)，分別用于匯聚各區(qū)域接入層路由器，以及與核心層路由器形成高速互聯網絡；l 接入層路由器：接入終端用戶，與扁平化平臺架構類似，支持豐富網絡接入方式，以及豐富的業(yè)務處理能力。相對于扁平化架構，層次化泛聯路由平臺架構能夠提供更清晰的管理界面，以及更靈活的擴展性。新增云計算數據中心可通過核心層路由直接與區(qū)域中心路由連接，不影響路由平臺架構的運行；新增接入層路由器也可直接上行到區(qū)域中心路由，實現對云計算數據中心的訪問。 虛擬機遷移的在云計算網絡的兩個階段數據中心的發(fā)展正在經歷從整合，虛擬化到自動化的演變，基于云計算的數據中心是未來的更遠的目標。 整合是基礎，虛擬化技術為自動化、云計算數據中心的實現提供支持。虛擬化技術是云計算的關鍵技術之一，將一臺物理服務器虛擬化成多臺邏輯虛擬機VM，不僅可以大大提升云計算環(huán)境IT計算資源的利用效率、節(jié)省能耗，同時虛擬化技術提供的動態(tài)遷移、資源調度，使得云計算服務的負載可以得到高效管理、擴展，云計算的服務更具有彈性和靈活性。數據中心虛擬化發(fā)展的第一個階段是通過整合實現服務器和應用的虛擬化服務，這階段的數據中心也是很多公司已經做的或正要做的。數據中心虛擬化發(fā)展的第二個階段是通過虛擬主機遷移技術(VM39。s Mobility)實現跨物理服務器的虛擬化服務。 在這個階段，實現了數據中心內的跨區(qū)域虛擬化，虛擬機可以在不同的物理服務器之間切換。對于虛擬化云計算服務，需要構建大范圍(數據中心內部、數據中心之間)的二層互聯網絡，以支持虛擬機算資源的遷移和調度(對于大型集群計算，也可構建二層網絡，以保持集群的簡單，但目前也有構建路由網絡連接實現大型集群)。 二層網絡的好處是對虛擬機的透明化，但是為保證網絡的高性能、可靠性，需要解決網絡環(huán)路問題。 面向虛擬化，透明交換云計算網絡虛擬化的云中，計算資源能夠按需擴展、靈活調度部署，這由虛擬機的遷移功能實現，虛擬化環(huán)境的計算資源必須在二層網絡范圍內實現透明化遷移透明環(huán)境不僅限于數據中心內部，對于多個數據中心共同提供的云計算服務，要求云計算的網絡對數據中心內部、數據中心之間均