SDN網絡技術VxLAN的研究及分析

張 瓊

?

SDN網絡技術VxLAN的研究及分析

張 瓊

中移鐵通有限公司甘肅分公司，甘肅 蘭州 730000

隨著云計算技術迅速發展與應用，傳統的數據中心逐漸向由各種虛擬化技術所支撐的云數據中心轉變。計算虛擬化和存儲虛擬化已經取得長足發展，但網絡虛擬化一直是云業務資源虛擬化的短板。VLAN能夠在傳統物理網絡基礎上構建邏輯的二層網絡，提供了網絡虛擬化的有效解決方式，是網絡支持云業務發展的理想選擇。基于此，對VxLAN技術進行了分析研究，并討論了部署方法、優勢及不足。

云計算；云數據中心；VxLAN

1 緒論

1.1 課題背景及意義

（1）研究背景。近些年來，隨著實時業務如視頻語音業務、云數據中心業務和移動業務的快速發展，人們發現以下問題：VLAN的數量限制，4 096個VLAN遠不能滿足大規模云計算數據中心的需求；物理網絡基礎設施的限制：基于IP子網的區域劃分限制需要二層網絡連通性的應用負載的部署；TOR交換機MAC表耗盡：虛擬化以及東西向流量導致更多的MAC表項。

（2）研究意義。幫助企業將虛擬域與基礎網絡和虛擬基礎設施進行關聯，通過采用基于VxLAN的網絡部署：簡化虛擬網絡的擴展；夸異構網絡應用服務，帶來最佳性能；提升應用移動性和業務連續性。

1.2 國內外研究情況

傳統的VLAN技術基于IEEE的802.1Q協議，在該協議的幀格式里面定義了VLAN ID的位數為12 bit，最多只能支持4 094個VLAN；隨著云數據中心的各種業務應用的規模落地，業務量不斷增長，就可能需要成千上萬個VLAN，傳統VLAN的數量不能滿足云數據中心日后業務規模發展的需求。

2 相比傳統網絡，云數據中心網絡應該考慮的需求

2.1 虛擬機的無限制的遷移

由于需要資源整合、業務備份，所以虛擬化技術要求資源池內的虛擬機在不中斷業務的情況從一臺物理服務器遷移到另外一臺服務器，整個遷移過程不需要物理網絡變化。因為遷移前后虛擬機的三層地址沒有變化，且業務網關也保持一致，這就要求遷移網絡是一個二層網絡。而傳統的網絡數據中心為了防止廣播風暴，而采用路由協議架構，并將二層網絡限制在接入層以下，這就制約了虛擬機的遷移范圍。

2.2 隔離多租戶

為了安全性及防止地址重疊的問題，云計算需要保證各租戶之間數據隔離。傳統的二層網絡借助VLAN來隔離業務，可用的VLAN數量只有4 094個，無法滿足大規模租戶的需求。而且傳統二層網絡的核心設備會允許所有VLAN通過，這就使得任一VLAN的廣播數據包都會在整網泛洪，占用了網絡帶寬。

2.3 快速增加的虛擬機數量

在二層網絡中，因為數據包需要通過MAC地址尋址來確定轉發路徑，所以網絡設備的MAC地址容量決定了可接入虛擬機的規模。但是，低成本的接入交換機往往MAC地址容量比較小，無法滿足大型數據中心的虛擬化需求。解決這些需求的傳統思路是借助二層環路多生成樹（MSTP）、交換機虛擬化（IRF/vPC）或二層多路徑（TRILL/Fabric Path）等網絡技術，將數據中心設計為二層網絡。隨著服務器、虛擬機數量越來越多，網絡規模越來越大，這些技術由于各自的局限性已無法滿足大型云數據中心的要求。

3 VxLAN協議

目前在overlay技術領域有三大技術路線：VxLAN、NVGRE、STT，其中最火的就是VxLAN技術，包括vmware、cisco、h3c等多個虛擬化以及傳統網絡廠商，都是以VxLAN技術來構建自己的SDN解決方案。

3.1 VxLAN基本原理

VxLAN（Virtual eXtensible LAN，可擴展虛擬局域網絡）技術由思科和VMWare在2011年9月公布，是一種通過隧道實現的技術，能在三層網絡的基礎上做二層以太網網絡隧道，從而實現跨地域的不同數據中心的二層互連。每個在三層網絡基礎上的二層疊加網絡都有一VxLAN標識符（即VNI，VxLAN Network Identifier），只有在同一個VxLAN上的虛擬機之間才能相互通信。VNI在數據包之中占24比特，故可支持大于1 600萬個VxLAN同時存在，遠多于VLAN的4 094個。同一個VxLAN的虛擬機之間的通信由虛擬機所在物理機上的虛擬機管理程序來實現，虛擬機本身意識不到VxLAN的存在，即對VxLAN透明。

VxLAN 具有如下特點：

（1）支持大量的租戶。使用 24 位的標識符，最多可支持 2 的 24 次方（16777216）個 VxLAN，支持的租戶數目大規模增加，解決了傳統二層網絡 VLAN 資源不足的問題。（2）易于維護。基于 IP 網絡組建大二層網絡，使得網絡部署和維護更加容易，并且可以充分地利用現有的 IP 網絡技術，例如利用等價路由進行負載分擔等；只有 IP 核心網絡的邊緣設備需要進行 VxLAN 處理，網絡中間設備只需根據 IP 頭轉發報文，降低了網絡部署的難度和費用。

目前，設備只支持基于 IPv4 網絡的 VxLAN 技術，不支持基于 IPv6 網絡的VxLAN技術。

3.2 VxLAN技術網絡模型

見圖1。

圖1 VxLAN網絡模型示意圖

3.3 VxLAN 的優點

相對于VLAN，VxLAN具備以下的優勢：

（1）極大地擴充了二層網段的數量。VxLAN技術的24位VNI標識符提供了1 600萬VxLAN網段，遠比VLAN的4 096個要多，可以滿足云端數據中心多租戶的網段分隔的需求。

（2）更大的靈活性。原來虛擬機的遷移只能在同網段 的二層網絡上進行，受到地理位置的嚴重限制。VxLAN通過隧道技術來構建可以跨越多個3層網絡的虛擬的2層網絡，虛擬機可以在物理位置分散的數據中心之間遷移，這使得虛擬機的部署更加靈活和方便。

（3）優化的網絡操作。由于VLAN在標準的第三層IP網絡上運行，不再需要構建和管理龐大的第2層基礎傳輸層。

（4）經濟性。VxLAN由于物理機內部的虛擬機管理程序來管理，對虛擬機和普通的網絡設備（交換機、路由器）等透明，不需要對現有的物理交換機和路由器進行硬件方面的升級和改造。

3.4 VxLAN 的不足

雖然VxLAN技術能滿足未來云端大規模發展的需求，但作為意向新技術，VxLAN仍有不少不足之處。

（1）與提供網絡服務的物理設備通信存在較大問題。雖然人們期望有一些數據中心交換機供應商能夠支持3層VxLAN終端，但是使用VxLAN封裝的邏輯子網還無法與物理設備通信，如交換機、負載均衡器或防火墻。VxLAN連接外部設備的唯一方法是使用虛擬3層網絡設備，如vShield Edge、Vyatta路由器或F5負載均衡器，一個物理VLAN中需要一個vNIC，而在VxLAN中需要一個或多個。

（2）安全性不足。在VxLAN的草案白皮書沒有具體指出防范針對VxLAN攻擊的具體方法，在傳統二層以太網里，可能會遇到ARP欺騙，MAC地址泛洪攻擊，VLAN標記攻擊等安全問題。在VxLAN環境下的虛擬二層網絡上也可能遇到類似的攻擊。除了ARP欺騙和MAC地址泛洪攻擊外，虛擬機和VNI的映射關系，VNI和IP多播組的映射關系，可能遭到惡意入侵者的篡改。但是VxLAN技術還沒有明確這些新出現的安全問題具體應該如何防范，只是建議使用ACL，802.1X，IPsec等傳統安全技術來防范攻擊；

（3）路由器壓力過大。VxLAN在虛擬二層網絡上通過組播技術來模擬物理二層以太網的廣播功能。然而，因為VxLAN支持最多1 600萬個VNI，如果云端的規模巨大，有成千上萬的VxLAN網段，那么物理的網絡設備就可能同時存在非常多的組播組，這可能占用很多路由器的資源，物理路由器的壓力十分巨大。

[1]石晶.基于SDN+VXLAN在DCI部署方案[J].信息通信，2016（7）：32.

[2]張鵬，孫瓊.基于SDN架構的OverlayVPN技術研究[J].電信技術，2016（6）：15-18.

[3]解云鵬，雷波，史凡.面向VDC組網的VXLAN控制面互通方案探討[J].互聯網天地，2016（2）：79-84.

[4]張臻.5G通信系統中的SDN/NFV和云計算分析[J].移動通信，2016（17）：56-58.

[5]龐冉，黃永亮.SDN技術在綜合承載傳送網中的應用分析[J].郵電設計技術，2013（11）：24-27.

TP393.1

A

1009-6434（2016）12-0131-02