基于SDN和VXLAN相結合的數據中心構建

魏娜

摘 要：現階段的數據中心，計算和存儲資源都能較好地被虛擬化，按需提供服務。但網絡虛擬化一直受限于各種因素。此時，SDN技術的適時出現，為利用現有網絡設備，整合數據中心網絡資源，實現云化升級，提供了一種解決思路。

關鍵詞：SDN 數據中心 網絡虛擬化 VXLAN

中圖分類號：TP308 文獻標識碼：A 文章編號：1674-098X（2019）03（c）-0140-03

存儲和計算虛擬化技術經過一段時間的發展，已經能基本滿足用戶的需求。而隨著數據中心規模的不斷擴大，以及客戶的需求越來越個性化，網絡已成為制約數據中心發展的最大瓶頸。

1 現階段數據中心存在的問題

（1）虛擬化環境下網絡配置的復雜度極大提升。

由于數據中心內部設備眾多，特別是計算資源虛擬化后，虛擬機的數量更是迅速增加，且各類業務特性不同，導致網絡配置的復雜度大大增加，傳統的點到點手工配置的模式已難以滿足業務快速上線，且導致運維復雜，極易出現問題。

（2）虛擬化環境下網絡難以進行彈性擴展。

傳統網絡中，運營商只負責提供接入層以上的設備，所以租戶需要通過自備的網絡設備匯接其所有服務器，然后再通過配置靜態路由將流量導入接入層交換機。由于接入層交換機為二三層網絡分界線，所以接入層以上的設備運行三層網絡協議。在這種方式下，二層被限制在網絡邊緣。整個數據中心被分割成相互獨立的多個業務網絡，極大限制了虛擬機遷移的范圍和用戶網絡的擴展性。

（3）多租戶網絡隔離難以很好的實現。

在云計算環境下，各業務共用同一套核心的交換機、路由器、防火墻、負載均衡器等設備。目前的傳統網絡很難再滿足云數據中心對IP地址、VLAN、安全等網絡策略統一規劃的前提下，實現各系統間的有效隔離，并支持其個性化要求。

（4）網絡資源難以實現動態調整。

由于不同業務的流量、安全策略等有所不同，而傳統的網絡技術無法動態感知各業務屬性，因此網絡難以靈活地進行適應性的資源調整，容易造成資源的浪費或過載。

2 解決方法

為了解決上述困難，一些廠家推出了新的網絡技術，如EVPA、TRILL、SPB、EVI等。但這些技術完全依賴于物理設備本身的技術改良，對于已建有數百個數據中心的運營商來說，這些技術的成本十分昂貴，于是便采用了SDN和VXLAN相結合的方式。

2.1 SDN

SDN，軟件定義網絡。它不是一種技術，也不是一種協議，是一個體系框架，一種設計理念。SDN的核心思想是控制平面與轉發（數據）平面的分離。SDN的架構如圖1所示。

（1）基礎設備層。

該層主要是一些網絡設備，如：路由器、物理交換機、虛擬交換機等。在這些網絡設備中都存有轉發表項。該層只需關注設備的硬件性能，實現數據的高速轉發，無需具備任何智能性。

（2）南向接口。

是基礎設備層和控制層之間的接口。目前，Open Flow是南向接口的主流協議。該協議規定了設備按照流表轉發的匹配規則，致力于滿足網絡方面的功能需要。

（3）控制層。

該層的SDN控制器可以是一個，也可以是多個；可以是一個廠家的控制器，也可以是多個廠家的控制器協同工作。控制層集成網絡操作系統，負責處理數據平面資源的編排，維護網絡拓撲、狀態信息等。

（4）北向接口。

是控制層與應用層之間的接口。目前尚未標準化，也沒有主流接口協議，因為應用層上的應用變數很多。

（5）應用層。

該層主要是最終應用程序，也可以包含一些服務，如：安全、網絡監控、負載均衡等，這些服務是通過應用程序表現。這些應用和服務可以通過SDN控制器實現自動化。

2.2 網絡虛擬化

網絡虛擬化是云計算和SDN發展到一定階段的產物。網絡虛擬化技術的產生，是為了解決數據中心架構中的三個問題，即虛擬機遷移范圍受到網絡架構限制、虛擬機規模受網絡規格限制、網絡隔離能力限制。

當前，網絡虛擬化主要基于Overlay技術實現。Overlay意為疊加，是根據底層物理網絡層Underlay而取的。Overlay是通過在現有物理網絡上疊加一個軟件定義的邏輯網絡，原有網絡盡量不做改造，通過定義其上的邏輯網絡來實現業務邏輯，解決原有數據中心的網絡問題。Overlay是一種將（業務的）二層網絡構架在（傳統網絡的）三層/四層報文中進行傳遞的網絡技術。該技術實際上是一種隧道封裝技術，主要有VXLAN、NVGRE、STT這三種技術，基本原理都是通過隧道封裝的方式將二層報文進行封裝后在現有網絡中進行透明傳輸，到達目的地之后再解封裝得到原始報文，相當于一個大二層網絡疊加（overlay）在現有的網絡之上。目前比較成熟、用的最多的是VXLAN。

VXLAN，虛擬可擴展局域網，它是基于三層網絡結構來構建二層虛擬網絡，通過該技術將處于不同網段的網絡設備整合在同一個邏輯鏈路層網絡中。對于終端用戶而言，這些網絡設備似乎“真實地”部署在了同一個鏈路層網絡中。

VXLAN將原始報文封裝在UDP Header里面，并通過VXLAN頭里面的VNI（VXLAN標識符）信息將傳統網絡中VLAN從4KB擴展到了16MB，這就意味著理論上一個物流網絡里最多可以創建16MB個虛擬網。

同VLAN技術相比，VXLAN技術具有以下的優勢：

（1）長度為24bit 的VNI（VXLAN標識符）字段值可以支持更多數量的虛擬網絡，解決了VLAN數目上限為4094的局限性的問題。

（2）VXLAN技術可以在物理的三層網絡中虛擬二層網絡，處于VXLAN網絡的終端無法察覺到VXLAN的通信過程，這樣就使得邏輯網絡拓撲和物理網絡拓撲實現了一定程度的分離，網絡拓撲的配置對于物理設備的配置的依賴程度有所降低，配置更靈活更方便。

（3）VLAN技術僅僅解決了二層網絡廣播域分割的問題，而VXLAN技術還具有多租戶支持的特性。通過VXLAN分割，各個租戶可以獨立組網通信，地址分配方面和多個租戶之間地址沖突的問題也得到了解決。

2.3 解決方法

由于SDN仍然是基于五元組（源端口、目的端口、源IP地址、目的IP地址和傳輸層協議）的TCP/IP協議，所以SDN是不能完全消除網絡的復雜性，它只是把復雜性集中起來。數據中心內部的虛擬機因為高可用性或者動態資源分配而進行遷移，一旦遷移，端口和IP地址都會發生變化，這就意味著SDN控制器要做非常復雜的策略。為了能真正實現自動化，必須還要結合使用VXLAN，消除數據中心內部五元組的TCP/IP協議，打通大二層網絡，通過MAC地址進行源目地址的尋址工作。

3 基于SDN和VXLAN的數據中心構建

3.1 基于SDN和VXLAN的數據中心架構

（1）應用層。

應用層包括應用軟件和網管系統。

應用軟件是通過算法去感知、優化和調度網絡資源，實現邏輯網絡的隔離與管理，提高網絡的使用效率和質量。

網管系統是管理轉發設備和SDN控制器中的各類管理對象，分配虛擬網絡的資源，配置和管理SDN控制器策略等。

（2）協同層。

主要包括Openstack、Cloudstack、資源池管理平臺等。協同層用于聯動計算、存儲、網絡資源，同時協同層與各控制器采用標準接口，屏蔽控制器差異。

（3）網絡控制層。

可由單個或多個控制器組成，在邏輯上進行集中控制。該層是將應用層業務請求轉化為轉發層的流表進行轉發并配置到轉發層網元中，接受轉發層的狀態、統計和告警等信息。綜合各類信息完成路徑計算、基于流的流量統計、策略定制和配置、虛擬化網絡等功能。

（4）轉發層。

由具有分組轉發功能的物理交換機或虛擬交換機以及服務器組成，根據SDN控制器通過控制—轉發接口配置的轉發表完成數據轉發。

3.2 基于SDN和VXLAN的數據中心網絡構建

這里以某省會城市新建一個大型數據中心為例，該數據中心主要承載大數據、云計算等業務。

該數據中心采用GW/Spine/Leaf三層架構，如圖3所示。

在此架構中，Border Leaf作為VXLAN出口網關（Exit Gateway），也稱南北網關。Leaf作為VXLAN分布式網關，也稱為東西網關。Spine作為網絡東西向流量的匯聚設備。

防火墻物理旁掛在網關兩側，組網拓撲簡單，可以簡化配置部署，而且防火墻可以伴隨網關組擴展同步擴容，支持靈活部署安全策略。

LB（負載均衡器）旁掛在Border Leaf兩側，GW使用VLAN IF或三層路由口對接LB。LB接入網關設備方式拓撲簡單，可以伴隨網關組擴展同步擴容。

兩臺Leaf設備通過peer-link互聯并建立DFS Group，對外表現為一臺邏輯設備，但又各自有獨立的控制面，服務器以負載分擔方式接入兩臺Leaf設備升級維護簡單，運行可靠性高。下行口配置M-LAG特性雙歸接入服務器，服務器雙網卡運行在主備/負載分擔模式。

數據中心出口網絡設備，采用雙機堆疊的方式提供設備級的冗余備份，避免設備級的單點故障，在單臺設備故障時可以做到快速收斂。外部PE設備，配置兩臺PE設備，數據中心出口網絡設備雙歸到兩臺PE設備，避免PE設備的單點故障。數據中心出口網絡設備與PE之間的物理鏈路，采用交叉互聯方式，提高鏈路級的可靠性。

SDN控制器通過帶外管理交換機接入網絡設備的帶外管理網口，通過獨立的帶外網絡對網絡設備進行控制。

采用帶內方式部署OpenStack，便于用控制器自動化開通控制節點和計算節點之間的網絡。

網管系統通過帶外管理交換機三層連通SDN控制器所在的北向網絡和內部通信網絡，實現和SDN控制器的運維信息交互及對網絡設備進行運維和監控。

后期全省將擴大范圍部署且考慮資源統一調度原則，SDN 控制器和云管平臺采用全省集中部署的方式。另外，通過 SDN和VXLAN相結合的方式實現數據中心之間跨大二層資源共享和遠程遷移，從而實現數據中心內部資源的動態調整和部署，按需部署統一管理，提高了設備利用率，節約了建網、維護成本。

4 結語

采用了SDN和VXLAN相結合的數據中心是以現有的IP網絡為基礎，在其中建立由VXLAN技術實現的Overlay網絡，全面屏蔽底層物理網絡設備，所有的網絡能力均以軟件虛擬化的方式提供。這樣就可以不依賴底層網絡設備，靈活地實現業務系統的流量、性能、安全等策略，實現多租戶模式，基于可編程能力實現網絡自動配置。

參考文獻

[1] 韋樂平.SDN的戰略性思考[J].電信科學，2015， 31（1）： 7-12.

[2] 劉文懋，裘曉峰，陳鵬程，等.面向SDN環境的軟件定義安全架構[J].計算機科學與探索，2015，9（1）：63-70.

[3] 刁興玲.SDN嶄新架構下網絡安全如何保障[J].通信世界，2015（3）：33-34.

[4] 王穎，龐志鵬.基于SDN的云數據中心網絡[J].通訊世界，2017（16）： 3-4.