基于VXLAN 技術的遠距離政務數(shù)據(jù)中心的設計與研究

龍君，陳文軍

（1.湖南衡陽鋼管（集團）有限公司；2.湖南衡陽石鼓區(qū)國有土地上房屋征收管理中心，湖南 衡陽 421000）

隨著信息技術的發(fā)展，在區(qū)塊鏈和大數(shù)據(jù)時代，數(shù)據(jù)量越來越大，數(shù)據(jù)價值越來越高。為了提高數(shù)據(jù)的安全性，能更有效地保障機房在受到災害時數(shù)據(jù)得以保存，把數(shù)據(jù)或應用存放于不同機房，甚至不同城市已成為很多企業(yè)的選擇。

當下很多大型企業(yè)在如何使它們的信息資源更有效率，數(shù)據(jù)和服務更為安全，并減少業(yè)務中斷時間，正是第四次產業(yè)革命的發(fā)展方向。因此，各企業(yè)加大了對信息和數(shù)據(jù)安全的投入，雙數(shù)據(jù)中心、多數(shù)據(jù)中心、雙活數(shù)據(jù)中心正得以快速發(fā)展。

但是，異地數(shù)據(jù)中心建設也面臨眾多挑戰(zhàn)，導致成本較高，其中異地數(shù)據(jù)中心網(wǎng)絡建設更是異地數(shù)據(jù)中心建設的重點。當數(shù)據(jù)中心之間相距上百公里，一般的企業(yè)無法建立直接通信通道，只能租用網(wǎng)絡運營商的線路，并且租用的網(wǎng)絡一般是無法在一個二層網(wǎng)絡。這時兩個數(shù)據(jù)中心將面臨跨三層的網(wǎng)絡，而為保持業(yè)務不中斷通常采用虛擬機技術，但虛擬化服務器和存儲只能在二層網(wǎng)絡里在線遷移。所以，需要一個網(wǎng)絡協(xié)議在三層網(wǎng)絡里建立一個二層網(wǎng)絡通道，因此，VXLAN 技術被提出，并得到大量應用。

在政務數(shù)據(jù)中心領域，往往一個縣區(qū)級政府只有一個數(shù)據(jù)中心，為保障業(yè)務的可靠性和數(shù)據(jù)的安全性，我們可以和_另一個縣區(qū)的數(shù)據(jù)中心進行合作，通過VXLAN 技術建立起互為備數(shù)據(jù)中心，這樣不僅節(jié)約重復建立的費用，又可以實現(xiàn)雙數(shù)據(jù)中心。

1 VXLAN 技術

VXLAN 是一種網(wǎng)絡虛擬化技術，是虛擬可擴展局域網(wǎng)，并且是VLAN 的擴展，它已成為業(yè)界主流的虛擬網(wǎng)絡技術之一。VXLAN 技術解決了現(xiàn)有VLAN 技術不能滿足大型二層網(wǎng)絡需求的問題。VXLAN 技術是大型的第2 層虛擬網(wǎng)絡技術。主要原理是引入UDP 格式的外部隧道作為數(shù)據(jù)鏈路層，原始數(shù)據(jù)包內容作為隧道數(shù)據(jù)傳輸。

由于外層使用UDP 作為傳輸方式，封裝流量并將其擴展到第3 層網(wǎng)關，它可以基于第3 層網(wǎng)絡建立第2 層以太網(wǎng)隧道，從而實現(xiàn)跨區(qū)域的第2 層互連，因此可以輕松地在第2 層和第3 層網(wǎng)絡上傳輸數(shù)據(jù)包。現(xiàn)在，IETF提出了多種覆蓋網(wǎng)絡技術解決方案，如VXLAN，NVGRE 和STT。其中，VXLAN 贏得了大多數(shù)制造商的支持，并且具有很高的成熟度。

如圖1，VXLAN 可在原始的第2 層以太網(wǎng)幀上執(zhí)行UDP封裝，封裝中添加了8 字節(jié)的VXLAN 報頭、8 字節(jié)UDP 報頭、20 字節(jié)IP 報頭和14 字節(jié)以太網(wǎng)報頭，總共占用50 字節(jié)。

圖1 VXLAN 封裝結構

VXLAN 報頭：報頭8 個字節(jié)共64 個位，其中包含24 位VNI 字段，VNI 字段用于定義不同的VXLAN 網(wǎng)絡，因為其具有24 位，因此它可以同時支持1600 萬個VXLAN，遠遠超過4094 個VLAN，因此適合用于大規(guī)模數(shù)據(jù)中心部署。還有VXLAN 的標志位8 占位，VXLAN 標識符使只有在同一VXLAN上的虛擬機才能進行通信。剩余的bit 位為保留字段。

UDP 報頭：VXLAN 報頭與原始以太網(wǎng)幀一起用作UDP 數(shù)據(jù)，UDP 報頭包含UDP 源端口、VXLAN 端口、UDP 長度和校驗。其中VXLAN 目標端口號固定為4789，而UDP 源端口是通過原始以太網(wǎng)幀的哈希算法計算得出的值。

IP 報頭：封裝外部IP 報頭，其占20 個字節(jié)。在虛擬機之間通信時，源IP 地址是源VM 所屬的VTEP 的IP 地址，目的IP 地址是目的VM 所屬的VTEP 的IP 地址。

MAC 頭：占用14 個字節(jié)，其中包含通信發(fā)起方的源MAC地址、通信接收方的目的MAC 地址、網(wǎng)絡類型、VLAN 類型和VLAN 號。

VXLAN 主要用于解決大型云計算數(shù)據(jù)中心虛擬網(wǎng)絡不足的問題。VMware、H3C、CISCO、華為和其他供應商已經支持VXLAN。它已經引起了業(yè)界的廣泛關注，并且有可能在未來成為網(wǎng)絡虛擬化技術中的主流技術之一。

2 VXLAN 網(wǎng)絡的易維護和擴展性

數(shù)據(jù)中心SDN 已是現(xiàn)在的發(fā)展趨勢，異地數(shù)據(jù)中心的SDN 引入利用VXLAN 技術實現(xiàn)了自動專用網(wǎng)絡隔離，同時通過VXLAN 技術實現(xiàn)了網(wǎng)絡層兩個中心之間跨三層的兩層通信，這為跨區(qū)域的應用和數(shù)據(jù)遷移服務提供了網(wǎng)絡的基礎條件。遠端數(shù)據(jù)中心可以通過云計算技術，極大地提高了服務器資源的利用率，實現(xiàn)對計算資源的有效利用。同時，可以通過虛擬機在兩層互通的兩個數(shù)據(jù)中心中實施虛擬化漂移技術，以提供高性能、高安全的解決方案。

在圖2 中，通過在區(qū)域1 和區(qū)域2 的路由器、交換機與核心設備之間使用VXLAN 技術，構建了大型的第2 層覆蓋網(wǎng)絡。由于構建了大型的第2 層網(wǎng)絡，因此，多個區(qū)域之間的第2 層互通變得簡單，這有利于業(yè)務規(guī)劃和控制。

圖2 雙區(qū)域網(wǎng)絡連接

這種網(wǎng)絡架構也非常易維護和擴展，如果以后要再構建新的數(shù)據(jù)中心，只需將相應的聚合設備添加到VXLAN 網(wǎng)絡，這非常方便，并且具有良好的可伸縮性。

3 雙數(shù)據(jù)中心設計

數(shù)據(jù)中心的VXLAN 網(wǎng)絡主要有三個構成，包括VTEP、VXLAN 網(wǎng)關和VXLAN IP 網(wǎng)關。VTEP、VXLAN 網(wǎng)關和VXLAN IP 網(wǎng)關可以是軟件定義的虛擬交換機，也可以是支持VXLAN協(xié)議的物理交換機。VXLAN 網(wǎng)關和VXLAN IP 網(wǎng)關由一般是物理交換機，專用的硬件交換機穩(wěn)定性更好，并發(fā)速度更高，特別在數(shù)據(jù)通信量較大時，可防止流量轉發(fā)速度成為系統(tǒng)瓶頸。VTEP、VXLAN 網(wǎng)關和VXLAN IP 網(wǎng)關構成了軟件的網(wǎng)絡通道，當軟件應用相互通信時，由它們構建封包的流通協(xié)議，這樣應用軟件就不用關注傳統(tǒng)的基礎網(wǎng)絡第3 層導致的路由。

數(shù)據(jù)中心主要應用容器為VM，它擁有可遷移、可克隆、可動態(tài)調整資源等眾多功能。VM 的可遷移功能使虛擬服務器跨硬件資源在線移動，如當前的服務器資源擁擠或故障時，控制中心會自動為其分配其他的服務器資源，并在不中斷業(yè)務的情況下完成熱遷移。可克隆性指VM 在升級或故障修時，可進行一次克隆，克隆后的服務器配置、應用和數(shù)據(jù)都與原服務器一致，并且也可在線熱克隆，一旦原VM 服務器發(fā)生了故障，可啟用克隆服務器。可動態(tài)調整資源是VM 指服務器在運行時可對CPU、內存、硬盤資源進行改變，如進行大并發(fā)業(yè)務時，增加CPU 和內存，業(yè)務停止后縮小CPU 和內存，將其分配給其他VM 服務器。因為其擁有這些優(yōu)勢，所以VM服務器現(xiàn)已成為數(shù)據(jù)機房應用和軟件的主要承載體。

圖3 為雙數(shù)據(jù)中心設計的拓撲圖，它是跨互聯(lián)網(wǎng)的兩個數(shù)據(jù)中心的連接，其中包括服務器、交換設備、路由設備、安全設備等。

圖3 雙數(shù)據(jù)中心拓撲

VM 服務器連接至接入交換機，接入交換機一般接口多，價格相對較低，不具備路由功能。

接入交換機和核心交換機相連，核心交換機具備路由功能，可以把二層網(wǎng)絡經路由接入三層網(wǎng)絡里，并且核心交換機上下行并發(fā)速度快，下面可承接多臺接入交換機。為了保障網(wǎng)絡信息安全，在網(wǎng)絡出口處增加安全設備十分重要，典型的有防火墻，但IPS、WAF 等也可提升網(wǎng)絡信息安全。

設計采用雙鏈路結構可以增加網(wǎng)絡的可靠性，添加負載均衡設備后優(yōu)勢更為突出。

當鏈路接入互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)與另端的數(shù)據(jù)中心機房進行連接，其實兩方數(shù)據(jù)中心無須相同的硬件配置，可根據(jù)資源數(shù)據(jù)需求和資金預算進行調整，但需要三層網(wǎng)絡到達，并且設備支持VXLAN 協(xié)議。

VTEP 通常安裝在VM 主機上來實現(xiàn)，目前很多虛擬化軟件對其有支持，如VMware NSX 將傳統(tǒng)網(wǎng)絡里的設備在軟件里進行實現(xiàn)，形成一張?zhí)摂M邏輯的通信網(wǎng)絡，并通過VXLAN技術使傳統(tǒng)網(wǎng)絡中新的虛擬隧道網(wǎng)貫通。使用服務器主機作為VXLAN 網(wǎng)絡中的VTEP，用來負責網(wǎng)絡中VXLAN 數(shù)據(jù)包的封裝與解封裝。在接入交換機和核心交換機上啟用了VXLAN 協(xié)議。盡管兩個數(shù)據(jù)中心經過互聯(lián)網(wǎng)后，其網(wǎng)絡結構已不在同一個2 層網(wǎng)絡中，但是，通過VXLAN 技術建立二層的網(wǎng)絡隧道后，數(shù)據(jù)中心A 中的虛擬機就可以在線遷移到數(shù)據(jù)中心B。

4 結語

4.1 VXLAN 的優(yōu)點

（1）VXLAN 技術協(xié)議中擁有24 位標識符，它可提供1600 萬個VXLAN 網(wǎng)絡號段，遠遠超過了傳統(tǒng)網(wǎng)絡中VLAN，VLAN 只有12 位。VXLAN 擁有更多的網(wǎng)段，可以更好地滿足數(shù)據(jù)中心網(wǎng)段分離的需求。

（2）原始虛擬機的遷移只能在同一網(wǎng)段的第2 層網(wǎng)絡上執(zhí)行，這受到地理位置的嚴格限制。VXLAN 使用隧道技術來構建跨多個第3 層網(wǎng)絡的虛擬第2 層網(wǎng)絡。可以在物理上分散的數(shù)據(jù)中心之間遷移虛擬機，從而使虛擬機部署更加靈活和便捷。

（3）VXLAN 在標準的第3 層IP 網(wǎng)絡上運行，從而無須構建和管理大型的第2 層基本傳輸層。接入交換機需要學習的MAC 地址數(shù)量也大大減少，這樣通過網(wǎng)絡設備的MAC 地址條目規(guī)范減弱了對虛擬機大小的限制。

（4）傳統(tǒng)的以太網(wǎng)使用STP 來防止環(huán)路。STP 導致網(wǎng)絡冗余路徑被阻止。VXLAN 數(shù)據(jù)包基于第3 層IP 標頭進行傳輸，可以有效利用網(wǎng)絡路徑并支持ECMP 和鏈路聚合。

4.2 VXLAN 的弱點

（1）與提供網(wǎng)絡服務的傳統(tǒng)物理設備進行通信還存在問題。VXLAN 是一種隧道技術，通信直接建立在隧道的兩端之間，所以它無法直接與不支持VXLAN 的傳統(tǒng)物理設備進行通信。

（2）與傳統(tǒng)的網(wǎng)絡相比，VXLAN 需要對每個分組進行封裝和解封裝，這降低了通信的轉發(fā)效率。

雖然VXLAN 技術也有一些不足，如兼容性和計算資源消耗，但眾多的優(yōu)點使得它在遠距離政務數(shù)據(jù)中心將大有發(fā)展，隨著設備升級兼容性增強和CPU 計算能力的提升，XVLAN 的不足正在弱化，并且穩(wěn)定性和安全性是政務系統(tǒng)的重要考量。