一種基于VXLAN 的虛擬網絡訪問控制方法

盧志剛，姜政偉，劉寶旭

(中國科學院高能物理研究所計算中心，北京 100049)

1 概述

云計算作為一種新興的IT 模式，以開放的標準和服務為基礎，以互聯網為中心，使互聯網上的各種計算資源協同工作，共同組成數個龐大的數據中心和計算中心，為各類用戶提供安全、快速、便捷的數據存儲和網絡計算等特定服務。由于各企業級用戶向云計算模式轉移的步伐越來越快，數據中心作為大量虛擬數據的存儲地，已成為重要攻擊目標，這種單點攻擊所產生的危害程度遠大于那些直接受攻擊的對象。因此，在云計算發展過程中，與云計算相關的信息安全問題成為重中之重。

研究表明，云計算的安全挑戰主要源于數據不在本地而在遠端、計算資源和存儲資源高度集中、邊界模糊3 個方面［1-2］。云計算數據中心采用的服務器虛擬化技術使得虛擬網絡與物理網絡并存，如何對虛擬網絡內部同一個VLAN 虛擬機間的流量進行防護成為一個難題。通過對部署在虛擬化平臺上面的虛擬安全網關進行訪問控制可實現面向某一個虛擬子網或者單臺虛擬機的訪問控制，是現有網絡設備的有益補充和增強;同時，虛擬安全網關深入虛擬網絡內部，覆蓋物理安全設備無法獲取的網絡流量。由于在同一臺服務器內部虛擬網絡流量可以不出物理網卡進行通信，對物理安全設備而言不具備可視性，必須采用虛擬化的安全技術才可實現數據中心網絡的全覆蓋。因此，虛擬化網絡的安全和訪問控制是當前熱門研究和發展課題之一。Kreeger 等人［3］提出使用控制協議，進行虛擬網絡中由內到外的地址映射，消除網絡中的洪泛問題。IEEE 的802.1Qbg［4］和DMTF［5］標準定義的端口配置文件自動遷移(AMPP)，防止虛擬機遷移導致的安全策略變更。Elmeleegy［6-7］等人提出使用代理的方法對虛擬網絡中的ARP 和DHCP 的廣播流量進行抑制，抑制同一個數據中心內虛擬網絡IP多播消耗資源過多的問題。Nakagawa 等人提出在路由上使用OpenFlow［8-9］對虛擬網絡流量進行轉發和控制。

上述研究在虛擬網絡訪問控制方面具有重要的意義，給本文研究提供的了借鑒和參考，但云計算中存在的跨數據中心的二層虛擬網絡訪問控制的問題，仍然無法解決。為此，本文給出一種利用虛擬可擴展局域網(Virtual eXtensible Local Area Network，VXLAN)技術進行隧道內虛擬網絡訪問控制的方法，以實現跨數據中心虛擬機間的訪問控制與不同租戶或者業務之間的相互隔離。

2 虛擬可擴展局域網

隨著IT 組織向云計算和虛擬化的模式轉移，很多人逐漸發現目前的數據中心網絡連接體系結構是一個限制因素，包括:

(1)缺乏靈活性:VLAN 和交換邊界既不靈活，也不易延展。隨著需求的增減，計算和存儲資源需要在無重大運行開銷的情況下進行分配。

(2)容錯操作效率低:高可用性技術(例如VMware Fault Tolerance)在第2 層網絡上最有效，但是創建和管理該體系結構在操作上卻十分困難，尤其是在大規模操作時更是如此。

(3)VLAN 和IP 地址管理的局限性:IP 地址的維護和VLAN 限制成為數據中心擴展的難題，特別是在隔離要求高的情況下更是如此。

為解決該難題，VMware 與領先的網絡連接和電子設備供應商(包括Cisco Systems，Juniper)［10-11］合作，創建了VXLAN 技術。VXLAN 是一種在常用的網絡和虛擬基礎架構的頂層“浮動”虛擬域的方法。通過利用行業標準的以太網技術，在現有網絡之上可以創建大量虛擬域，并且它們彼此之間以及與底層網絡之間完全隔離。

3 隧道內虛擬網絡訪問控制方法

3.1 虛擬網絡流量隔離

VXLAN 通過添加包頭的方式封裝原始框架來實現以太網框架隧道:Outer Ethernet，Outer IP，Outer UDP，VXLAN headers。Outer IP header 包含VTEP(虛擬隧道終端)，位于VXLAN 的起源或終端。

在VXLAN 中，廣播包被發往IP 多播組中，IP 多播組在VXLAN 中實現。為此，需要建立VXLAN VNI 和IP 多播組之間的映射。該映射在管理層完成，通過一個管理信道提供給各虛擬通道終端(VTEP)。使用該映射，VTEP 可以按需向上游交換機/路由器提供Join/Leave VXLAN 相關的IP 組播組IGMP 成員報告。IGMP 成員報告周期性地從VTEP發送到上游交換機/路由器中，保持成員的活動狀態。路由器之間的組播路由協議，例如協議無關組播-稀疏模式(Protocol Independent Multicast-Sparse Mode，PIM-SM)用來建立高效的組播轉發樹。在PIM-SM 中，使用加入/裁剪消息將成員信息傳送給匯聚點。

VXLAN 控制器是VXLAN 的管理層，同時也管理VTEP。VXLAN 控制器配置了VXLAN VNI 和IP多播組之間的映射。當VM 遷移到VTEP 時，VXLAN 控制器也配置將該VTEP 加入到IP 多播組。例如，VM1 被映射到VNI100，VTEP2。VNI100 被映射到IP 多播組202.38.128.216，然后VTEP2 發布IGMP 成員報告到上游路由器，加入IP 多播組202.38.128.216 (VNI100)，上游路由器將VTEP2 添加到IP 多播組。此外，VTEP2 和路由器之間的網關檢測IGMP 成員報告，并將VTEP2 注冊到IP 多播組。

上游路由器每125 秒發送IGMP 成員查詢，每個VTEP 利用所在的IP 多播組在10 s 內返回成員報告。在IP 多播組注冊完后，VM1 完成遷移，虛擬機管理程序會發送一個ARP 廣播包。該廣播數據包被發送到IP 多播組。接收到該包后，VM 的MAC 和VTEP 的IP 關聯關系就可以被發現。同時VTEP1 發送IGMP Leave 消息到上游路由器，向IP 多播組解除成員關系。對于Leave 消息，上游路由器發送特定IGMP 成員請求來驗證是否有其他IP 多播組的VTEP。

圖1 中展示了根據以上規則，當VM 遷移時，VXLAN 分段將網絡流量進行隔離的實例，其中，實線表示實際物理連接;虛線表示虛擬域的邏輯劃分和通信鏈接;L2 表示2 層的網絡交換設備;GW 為虛擬網關。

VXLAN 網關1 處有2 個端口組(PG1 和PG2)。PG1 的VLAN100 以及PG2 的VLAN 100 與聯結到VXLAN 網關2 的存儲進行通信。為隔離用戶或群組，將PG1 的VLAN100 映射VNI10，將PG2 的VLAN 100 映射VNI30。VXLAN 網關2 分別映射VNI10以及VNI30 到VLAN100 和VLAN 200 以實現流量 隔 離。在 VXLAN 網 關 1 處 將 VLAN1～VLAN99 映射VNI40，使用VLAN 處理操作的“通過”模式以保持C-tag(內部VLAN 標簽)。Server-C(PG2)可使用位于用戶處的VLAN 與Server-D通信。

圖1 VXLAN 分段網絡流量隔離

3.2 隧道訪問控制流程

VXLAN 中的隧道訪問控制節點VTEP 位于運行虛擬機的物理服務器虛擬機監視器上，它可放置在一個物理交換機上或物理服務器中。VTEP 將VNI分配給服務器上所運行的VM，VTEP 負責生成指定的VNI 字段與進行三層網絡通信的數據包頭信息。

VXLAN 隧道訪問控制場景如圖2 所示。

圖2 VXLAN 隧道訪問控制場景

具體的通信過程分為封裝、傳輸與解包3 個過程:

(1)數據封裝。服務器Server-A 中的虛擬機VM-A1 和另一個宿主機Server-C 中的虛擬機VM-D1進行通信時，首先發送一個普通的指向目標VM-D1的以太網幀。VM-A1 所在的物理主機上的VTEP 查找出該虛擬機對應的VNI，同時判斷目標MAC 關聯的VNI 是否與源虛擬機在同個VXLAN 段中。如果判斷結果為真，VTEP 則在VM-A1 的原始MAC 幀之前加入如下的信息以封裝成新的以太網幀:外部以太網頭、外部IP 頭、外部UDP 頭與VXLAN 頭信息，并進行發送。

(2)數據傳輸。封裝后的數據，通過二層交換機進行交換轉發，到達三層路由器時，以太網幀頭被取下，目標IP 地址用于路由，最終到達遠端對應的VTEP。

(3)數據驗證與解包。對應于傳統UDP 校驗和的處理，目標VTEP 收到一個VXLAN 幀，其UDP 校驗和是0 時，即需要進行解包，可以選擇驗證校驗值，如果校驗未通過，這個包必須被丟棄。

目標VTEP 收到數據幀后解包，先通過查看VXLAN 頭信息中的I 位Flags 是不是為1 以驗證VNI值的合法性。如果合法，這個幀的數據頭被剝離，形成傳統的以太網數據包，并轉發給目標虛擬機，即目標虛擬機接收到的是一個普通的二層以太網幀。

在上述的數據封裝、傳輸與驗證、解包過程中，通信的虛擬機之間仍是進行傳統的二層網絡中的數據發送與接收，而不知道它們處于VXLAN 中，VNI與VXLAN 邏輯隧道封裝、解包動作由VTEP 進行，對虛擬機透明。

3.3 IP 組播管理

使用OpenFlow 的IP 組播管理模型如圖3 所示。模型包含VXLAN 控制器、用于VXLAN 網關的VTEP邊緣交換機以及OpenFlow 交換機。VTEP 可以安置在hypervisor 處，或者安置在邊緣交換機或路由器處。在模型中，本文在邊緣交換機處部署VTEP。

圖3 VXLAN 段IP 組播管理模型

OpenFlow 交換機提供由控制器管理的流表轉發模式。流表包含一系列流條目(根據報頭數值匹配數據包)、活動計數器，以及一系列匹配數據包應用的操作。交換機處理的所有數據包都是對照流表的。如果發現匹配，根據條目對數據包進行操作。例如，其操作可以是轉發數據包到指定的輸出端口。如果沒有發現匹配，數據包通過安全通道轉發至控制器處，控制器負責判定如何處理沒有有效流條目的數據包。

在應用中，VXLAN 控制器管理VXLAN 段，并主動基于用戶信息對IP 組播群配置流表。由于所有VXLAN 段的條目都是主動配置的，因此并不需要Packet-In 信息。對于IP 組播地址所需要的操作是轉發數據包到一個或多個指定的端口處。但與全部轉發不同的是，OpenFlow 操作不提供對于多個目的地端口的數據包轉發。因此本文擴展了輸出操作，引入了輸出端口矢量。對于IP 組播地址的操作如下:

VXLAN 控制器在OpenFlow 協議中使用流修改信息對流表進行配置。這樣的輸出操作可以對應到ASIC 功能。在Layer2 交換中，IP 組播的流表是映射到MAC 地址表，傳入數據包的目的地MAC 地址根據MAC 地址表進行對照。在路由器中，IP 組播流表是映射到IP 組播表，目的地IP 組播地址根據IP 組播表進行對照。

4 實驗與結果分析

為驗證上述方法的準確性和效率，本文構建如圖4 所示的實驗網絡。由于在開發過程中對于傳輸的加密并沒有進行嚴格定義，系統缺乏有效的安全機制，因此只在局域網內進行實驗，但實驗不需要考慮網絡對于Client 與Server 數據傳輸的延遲，對性能分析不會造成太大影響。

圖4 實驗網絡結構

在本文實驗框架下，使用CloudSim［12］來仿真云計算平臺，分析網絡節點設備在加入VXLAN 協議解析和訪問控制策略后性能的影響。它可以模擬云平臺主要組件包括虛擬機、物理主機、網絡設備等，可以模擬虛擬機的創建、遷移、資源分配與任務調度等行為，支持各個仿真實體之間的實時通信。

在CloudSim 中構建的簡單云平臺由1 個路由、9臺物理主機組成，各物理主機中的虛擬機數量集為{3，8，7，8，5，9，10，12，7}。通過路由器策略的設置，每個VXLAN 之間的通信都需要通過路由進行轉發，由此模擬跨數據中心的虛擬網絡在互聯網絡上相互通信的過程。

VXLAN 虛擬網關實現在VM 上對VXLAN 協議的管理以及VTEP 的配置。VXLAN 虛擬網關中包含一個映射表，其作用是維護VM 的MAC 地址與VXLAN VNI 之間的映射和IP 組播關系。當虛擬機移動到另一個VTEP 中時，VXLAN 虛擬網關控制IP組播和MAC 廣播，將新加入的VM 的MAC 地址與VNI 的映射加入到VTEP 中。

另一方面，使用高性能防火墻與VTEP 功能結合，作為VXLAN 網關，在防火墻內加入VXLAN 協議解析功能和VTEP 的映射策略，同時實現了VTEP 專用的VXLAN 策略控制器LeadsecManager，以及VXLAN 硬件防火墻與VXLAN 虛擬網關的策略映射與聯動。

VXLAN 網關的VTEP 的VNI 映射策略如表1 所示。VXLAN 網關的輸入幀可以是未加標簽或已經加入VXLAN 標簽的數據幀。網關中有4 種映射的政策:VLAN 映射，端口映射，PG 映射和MAC 地址的映射。VLAN 映射將VLAN ID 映射到VNI。端口映射將端口號映射到VNI，端口映射傳遞將未標記和標記的數據包直接使用透明模式進行傳遞。Pg 端口映射將端口組映射為VN，解決一個租戶使用多個端口的問題。Mac 映射將源MAC 地址和VLAN ID 進行映射。

表1 VXLAN 網關映射策略

在網關內核中啟用仿真VXLAN 的配置如下:

在實驗過程中，對相互通信的2 個VM 之間通過IXIA 400T 插入140 Mb/s 的背景數據流，并根據VNI映射策略生成對應的VXLAN 協議數據幀。通過IXIA400T 發送和接收數據包，分析VTEP 與VXLAN虛擬網關解析VXLAN 協議的有效性和效率。

圖5 分別展示了IXIA400T 每秒發送的字節數、包數以及VXLAN 網關解析協議幀的丟包數。

實驗數據顯示，在以IXIA 為背景產生大量數據傳輸時，加入VXLAN 協議解析和訪問控制策略后，并沒有造成網關處理效率的變化，沒有發生背景流量丟包的現象。

在進行數據傳輸效率分析時，由于系統自身資源的不穩定性，硬件設備的不同，傳輸效率在測試過程中會出現一定的波動，例如系統服務的忽然啟動，這些會造成額外的開銷，對速率測試可能會產生影響。

圖5 IXIA400T 實驗結果

5 結束語

本文面向虛擬網絡訪問控制的實際需求，研究并實現云計算虛擬網絡的訪問控制方法，并對跨數據中心的虛擬機通信提供隧道訪問技術，達到對不同安全域的虛擬流量相互隔離的目的。今后將在此基礎上實現一個內核層的虛擬網關模塊，并在相關網絡邊界設備上進行測試，豐富和增強邊界網絡設備對云計算虛擬網絡的訪問控制功能。

［1］馮登國，張 敏，張 妍，等.云計算安全研究［J］.軟件學報，2011，22(1):71-83.

［2］Vastbinder J.Proposed Security Assessment ＆Authorization for U.S.［EB/OL］.(2010-11-25).http://www.infoq.com/news/2010/11/us-govt-cloudcomputing.

［3］Kreeger L，Dutt D，Narten T，et al.Network Virtualization Overlay Control Protocol Requirements［J］.Internet Draft，2012，13(1):17-21.

［4］IEEE.P802.1Qbg/D2.2 Draft Standard for Local and Metro-politan Area Networks——Virtual Bridged Local Area Net-works——Amendment XX:Edge Virtual Bridging［EB/OL］.(2012-06-05).http://www.ieee802.org/1/pages/802.1bg.html.

［5］DMTF.Virtual Networking Management White Paper［Z］.2012.

［6］Satyanarayanan M，Gilbert B.Pervasive Personal Computing in an Internet Suspend/Resume System［J］.IEEE Internet Computing，2010，11(2):16-25.

［7］Nakagawa Y，Hyoudou K.Automated Migration of Port Profile for Multi-level Switches ［C］//Proc.of DCCaVES'11.［S.l.］:IEEE Press，2011:22-29.

［8］Nakagawa Y，Shimizu T.A Single-Chip，10-Gigabit Ethernet Switch LSI for Energy-efficient Blade Servers［C］//Proc.of GreenCom'10.［S.l.］:IEEE Press，2010:404-411.

［9］McKeown N，Anderson T.OpenFlow:Enabling Innovation in Campus Networks［C］//Proc.of SIGCOMM CCR'08.［S.l.］:IEEE Press，2008:69-74.

［10］Cisco.Nexus 3064 Switch Data Sheet［EB/OL］.［2013-04-07］.http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps11541/data_sheet_c78-651097.html.

［11］Juniper.QFX3500 Switch Datasheet［EB/OL］.［2013-04-07］.http://www.juniper.net/us/en/products-services/switching/qfx-series/qfx3500/.

［12］CloudSim:A Framework For Modeling And Simulation of Cloud Computing Infrastructures And Services［EB/OL］.［2013-04-07］.http://www.cloudbus.org/cloudsim/.