《网络虚拟化》PPT课件.ppt

《《网络虚拟化》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《网络虚拟化》PPT课件.ppt（38页珍藏版）》请在三一办公上搜索。

1、网络虚拟化云数据中心,网络虚拟化历史,网络虚拟化技术一览,服务器网络虚拟化VM精确策略控制VM接入自动关联VM迁移自动感知,云端三层不中断访问,云计算网络,二层网络灵活扩展数据内中心扩展跨数据中心扩展,云计算数据中心的关键,服务器网络虚拟化,软件模拟网卡（全虚拟/半虚拟）,设备仿真模型用软件模拟真实硬件所有行为。Guest OS 和特权域之间的通信和数据传递都需要在 VMM 的控制下完成，带来了很大的虚拟化开销。,Intel提供了用于在网卡中分类数据包的VMDq技术，减轻hypervisor的负担。VMware则在hypervisor交换机层进行了一些完善，不仅将数据导向到分别的目的虚拟机中，

2、还将中断信号指向各自的CPU内核和目的虚拟机。通过在虚拟化环境中实施这种结合的队列技术，不仅吞吐量会翻一番，而且CPU利用率也有显著提升。,穿透网卡,直接 I/O 设备分配模型被提出来消除基于软件的 I/O 虚拟化所带来的开销，缩小和本地 I/O 性能直接的差距。直接 I/O 设备分配模型允许客户机直接访问特别设计定制的 I/O 设备。,SR-IOV共享网卡,这个模型是 I/O 直接分配模型的一个扩展（VMDc），网卡提供多个虚拟功能模块（Virtual Function）以提供给虚拟机直接使用，每个虚拟机直接连接到网卡的 Function 上。,VMDqVMM在服务器的物理网卡中为每个虚机分

3、配一个独立的队列，这样虚机出来的流量可以直接经过软件交换机发送到指定队列上，软件交换机无需进行排序和路由操作。但是，VMM和虚拟交换机仍然需要将网络流量在VMDq和虚机之间进行复制。SR-IOV对于SR-IOV来说，则更加彻底，它通过创建不同虚拟功能（VF）的方式，呈现给虚拟机的就是独立的网卡，因此，虚拟机直接跟网卡通信，不需要经过软件交换机。VF和VM之间通过DMA进行高速数据传输。,VMDq VS SR-IOV,数据中心网络,传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵贯式大流量，同时使网络管理员能够对流量流进行管理。工程师在这些架构中采用生成树协议(STP)来

4、优化客户端到服务器的路径和支持连接冗余。虚拟化从根本上改变了数据中心网络架构的需求。最重要的一点就是，虚拟化引入了虚拟机动态迁移技术。从而要求网络支持大范围的二层域。从根本上改变了传统三层网络统治数据中心网络的局面。,VMotion需要在二层网络中完成迁移,VLANSTP,VLAN采用Spanning Tree Protocol(STP)协议按照树的结构来构造网络拓扑，消除网络中的环路，避免由于环路的存在而造成广播风暴问题。STP的机制导致了二层链路利用率不足，尤其是在网络设备具有全连接拓扑关系时，这种缺陷尤为突出。如图所示，当采用全网STP二层设计时，STP将阻塞大多数链路，使接入到汇聚间带

5、宽降至1/4，汇聚至核心间带宽降至1/8。这种缺陷造成越接近树根的交换机，端口拥塞越严重，造成的带宽资源浪费就越可观。,IRF,H3C IRF（Intelligent Resilient Framework）是N:1网络虚拟化技术。IRF可将多台网络设备（成员设备）虚拟化为一台网络设备（虚拟设备），并将这些设备作为单一设备管理和使用。IRF虚拟化技术不仅使多台物理设备简化成一台逻辑设备，同时网络各层之间的多条链路连接也将变成两台逻辑设备之间的直连，因此可以将多条物理链路进行跨设备的链路聚合，从而变成了一条逻辑链路，增加带宽的同时也避免了由多条物理链路引起的环路问题。,CSS,华为集群交换系统C

6、SS（Cluster Switch System），又被称为集群，是指将多台支持集群特性的交换机设备组合在一起，从逻辑上组合成一台整体交换设备，如图所示。通过跨框Eth-Trunk，用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口。即使某些端口所在的设备出现故障，也不会导致聚合链路完全失效，其它正常工作的成员设备会继续管理和维护剩下的聚合端口。这样即可以增大设备容量，又可以进行设备间的业务备份，增加可靠性。,思科 VSS,CISCO VSS 是一种网络系统虚拟化技术，将两台Cisco系列交换机或者路由器组合为单一虚拟交换机/路由器，从而提高运营效率、增强不间断通信。这两个物理交换机通

7、过标准万兆以太网接口相连，因此能位于任何位置，其相隔的距离仅受限于所选的万兆以太网光纤长度。,TRILL,TRILL技术构建的数据中心大二层网络如图所示，网络分为核心层(相当于传统数据中心汇聚层)、接入层。接入层是TRILL网络与传统以太网的边界；核心层RBridge不提供主机接入，只负责TRILL帧的高速转发。每个接入层RBridge通过多个高速端口分别接入到多台核心层RBridge上。TRILL最大可以支持16台核心层RBridge。TRILL技术目前在芯片实现上存在客观缺陷：核心层不能支持三层终结，必须要在核心层上再增加一层设备来做网关。这导致网络结构变得复杂，管理难度增加，网络建设、运

8、维成本都会增加。,SPB,SPB可细分为SPBV(VLAN QinQ)和SPBM(MACinMAC)两个部分，目前看主要用到的是SPBM。SPBM是标准的MACinMAC封装，在SPB区域中数据报文也都是依靠外层MAC做传统Ethernet转发。外层Ethernet报头中的源目的MAC就代表了SPB区域边缘的UNI设备，此设备MAC是由L2 ISIS在SPB区域中传递的。由于在SPB网络中还是采用传统Ethernet进行转发，因此需要定义一系列的软件算法以保证多路径的广播无环和单播负载均衡。,FabricPath是Cisco的私有解决方案，但可以看作一个“增强版的TRILL”，是TRILL的基

9、本功能加上“基于会话的MAC地址学习”、“Vpc+”和“多重拓扑”等高级功能的合集。,Fabric Path,数据中心二层扩展,近年来，服务器高可用集群技术和虚拟服务器动态迁移技术（如VMware的VMotion），在数据中心容灾及计算资源调配方面得以广泛应用，这两种技术不仅要求在数据中心内实现大二层网络接入，而且要求在数据中心间也实现大范围二层网络扩展。,暗光纤/DWDM,从技术层面来讲，暗光纤/DWDM是实现可靠和可预测网络传输的最实用选择。因为暗光纤/DWDM服务是端到端的可靠带宽而且不会与其他服务共享，用户可以控制系统中的所有要素，而且可决定QoS，流量控制和性能。,VPLS即Virt

10、ual Private LAN Services（虚拟专用LAN业务），是一种在MPLS网络上提供类似LAN的一种业务，它可以使用户从多个地理位置分散的点同时接入网络，相互访问，就像这些点直接接入到LAN上一样。VPLS使用户延伸他们的LAN到MAN，甚至WAN上。,VPLS,VxLAN,vxlan(virtual Extensible LAN)虚拟可扩展局域网，是一种overlay的网络技术，使用MAC in UDP的方法进行封装，共50字节的封装报文头。VXLAN提供了将二层网络overlay在三层网络上的能力，VXLAN Header中的VNI有24个bit，数量远远大于4096，并且U

11、DP的封装可以穿越三层网络，比VLAN有更好的扩展性。,IBM SDN VE/DOVE,IBM DOVE隧道协议是自有的，但它使用VXLAN帧格式进行封装，这意味着它可以支持任何VXLAN的底层网络硬件。这种硬件支持对于物理网络间DOVE流量的管理、安全性和故障排除非常重要。此外，与VXLAN一样，DOVE将子网中可用VLAN数量从4000增加到1600万以上，从而提高了云环境的可扩展性。与VXLAN不同的是，DOVE在创建一个覆盖时，不需要物理基础设施组播运行。,NVGRE提议使用GRE来创建一个独立的虚拟2层网络，限制物理2层网络或扩展超过子网边界。NVGRE终端接收来自VM的以太网数据包

12、，将它们封装并通过GRE通道发送出去。终端会打开接收的数据包，将它们分配给对应的VM。,MS NVGRE,STT是一种mac over ip的协议，和vxlan,nvgre类似，都是把二层的帧封装在一个ip报文的payload中，在ip报文的payload中，除了虚拟网络的二层包以外，还要把构造的一个tcp头，和一个stt头加在最前面。STT封装在两个方面与NVGRE和VXLAN有所不同。第一，在IP报头内使用了无状态TCP类报头，允许端系统的隧道端点利用驻留在服务器网卡上的TCP卸载引擎(TOE)的TCP分片卸载功能(TSO)。利用主机的好处包括较低的CPU使用率和较高的万兆以太网接入链路使

13、用率。STT还可为每个数据包的元数据分配更多的头空间，而元数据则可为虚拟网络的控制平面提供额外的灵活性。有了这些功能，STT便可针对hypervisor vSwitch作为封装/拆装隧道端点进行优化。,STT,OTV执行的是“MAC in IP”“MAC路由”，是思科的跨二层私有技术，思科对数据报文进行了特殊封装，定义了一种Shim封装格式来实现二层报文跨三层转发功能，通过组播与单播两种方式形成建立邻接关系，与STP自动隔离。,CISCO OTV,HP/H3C EVI,H3C的EVI技术，是基于现有的数据中心架构，在多个跨区域的数据中心整合成一个大二层组网，通过MAC in IP的GRE封装技

14、术充分利用现有三层网路链路实现。,数据中心互联扩展比较,分布式数据中心访问,在分布式数据中心解决方案中，为了实现跨中心计算资源的动态调配，一般采用虚拟机迁移技术，同时采用服务器高可靠性集群计算实现跨数据中心的应用级容灾，这两种应用场景统称为“分布式数据中心（Distributed Data Center）部署方式”，其特点是一个应用系统在IP地址不变的情况下可以在不同数据中心对外提供服务，数据中心的访问用户不感知这种变化。,动态DNS,GTM上记录了A和B两个数据中心入口的IP地址。当有用户解析业务的IP地址时，GTM会根据设置的策略向用户返回不同IP地址。,路由健康注入（RHI）,路由健康注

15、入（RHI）是一种机制，它允许两个数据中心使用同一个IP地址。这意味着同一个IP地址（主机路径）被发布为不同的metric。上游路由器可以同时看到两条路径，并将metric更好的路径插入到其路由表中。当设备启用RHI时，它将在VIP可用时将静态路径注入到设备的路由表中。当VIP失效时，该静态路径将删除。如果设备发生了故障，上游路由器使用的另一条路径将到达服务器，从而实现高可用性。,LISP,LISP（Locator ID Separation Protocol）实质是个IPinIP的协议，LISP提出将标识Locator的IP（RLOC）和标识目的节点ID的IP（EID）进行区分和叠加封装，在

16、公网传输时只根据Locator IP转发，只有到达站点边缘时才会剥离外层IP，使用内层标识EID的IP进行转发。,云安全网卡与交换机,网络虚拟化技术使得网络边缘向宿主服务器内部延伸，部分虚拟机间的流量可以由虚拟交换机转发而不流经外部的网络设备，传统的边界网络安全设备，例如防火墙、IPS、UTM等不能全面了解宿主服务器内部的网络拓扑，无法对宿主服务器内部转发的网络流量进行有效地监管。为了更清楚地感知虚拟机网络流量、把握虚拟化后的网络边界、进行安全管控，有两种不同的解决方法。,VMM,NIC,VM1,VM2,VMn,虚拟交换 Virtual Switching,MAC/PHY,接入交换机,虚机态网

17、络安全设备技术,虚机态网络安全设备是指传统的硬件网络安全设备(防火墙、IPS、UTM、防病毒网关等)由运行在服务器虚拟化平台上的虚拟机实现，用于监控其他虚拟机间的网络流量。虚机态安全设备的功能与硬件设备完全一致，部署方式采用透明模式、路由模式或混合模式。,物理设备处理虚机流量技术,物理设备处理虚机流量技术则是要把所有的虚拟机网络流量都发送到宿主服务器相连的物理交换机上进行转发处理，使用外部交换机上的流量统计、端口安全、ACL、QoS 等功能对虚拟机的网络流量进行有力的监控，代表技术包括Cisco 的VN-Tag 和HP 的VEPA。,SDN与网络虚拟化,早期的网络虚拟化的相关工作多在解决一些具

18、体的问题，欠缺完整的技术体系与合理的组织结构。软件定义网络（SDN）的兴起也为网络虚拟化提供了一个新的思路，如何利用SDN 去实现网络虚拟化已然成为了一个热门的话题。网络虚拟化与SDN 因为存在许多类似的地方而常常被人混淆，其实SDN 要做的是从底层数据平面分离出一个逻辑的中心控制平面，而网络虚拟化根据逻辑网络对底层网络进行抽象，两者并非一个概念。不过思想上的相似性确是加强了它们之间的联系。首先，SDN 作为重构网络的技术被认为是实现网络虚拟化的一种有效的手段；其次，SDN 网络的性能测试可以借助于已有的网络虚拟化工具实现；最后，网络虚拟化可以通过虚拟SDN 交换机（事实上就是一些流表）来实现

19、节点虚拟化。,网络虚拟化,网络虚拟化本身的功能虽然已经相当齐备，然而各类技术都存在着一定的局限性，需要对网络虚拟化技术进行统一整合。这方面的主要成果主要来自产业界，其中代表性平台如下：Nicira 公司的NVP 是一个纯软件实现的产品，它将网络的控制功能从底层的网络硬件中解耦出来，交由虚拟的网络层面处理。这种网络的虚拟化极大地简化了网络的构建和管理，已经在AT&T、eBay、Fidelity Investments、NTT 和Rackspace 等公司广泛应用。Cisco 公司的OnePK 是一套方便开发者在Cisco 的设备上自动部署服务的工具。借助于Cisco 的路由器和交换机的可编程性，OnePK 可以让网络高效地适应变化的应用需求，提供更高灵活性的同时，降低了运营维护的成本，让网络的性能充分释放出来。Juniper 公司的Junosphere 是一套借助于云计算架构实现的虚拟网络平台，其完全依托于自身的基础设施，对外提供Web 访问服务。在Junosphere 云中，用户可以方便地创建和运行虚拟网络，扩展网络规模也无需额外的配置工作。Junosphere 从硬件到软件都是封闭的，以牺牲一定灵活性的代价换来了更安全可靠的服务保障，能够更好的满足商业级的应用。,