網絡虛擬化在智能鐵路調度中心的應用

周學兵，王 堅，陳小柱，杜 萬

(1.卡斯柯信號有限公司，上海 200071；2.上海市鐵路智能調度指揮系統工程研究中心，上海 200071)

1 網絡虛擬化介紹

網絡虛擬化是一個讓底層物理網絡能支持多個邏輯網絡的技術過程統稱。網絡虛擬化通過對共用的底層基礎設施進行抽象并提供統一的可編程接口，將多個彼此隔離且具有不同拓撲的虛擬網絡同時映射到共用的基礎設施上，實現物理設備計算能力復用。同時，網絡虛擬化保留網絡中原有的拓撲與層次結構、數據通道和相關服務，實現服務透明化。

隨著Everything over IP 理念的深入和OSI網絡模型在業界未能成功應用，TCP/IP 協議已成為網絡規劃和建設的事實標準。因此，網絡虛擬化技術研究主要集中在IP 網絡虛擬化領域。從技術角度分為服務器虛擬化、IP 網絡虛擬化、數據庫虛擬化和超融合架構[1]。

本文主要對在智能調度中心應用的IP 網絡虛擬化技術應用進行介紹。

2 網絡虛擬化特點

網絡虛擬化顧名思義就是將網絡進行邏輯虛擬化，在原有網絡設備硬件系統上，運行一個邏輯隔離的半封閉網絡。

網絡虛擬化的主要特點如下。

1) 透明性

網絡虛擬化可以使得業務的數據流使用同一套物理設備資源，終端業務用戶無感知。

2) 隔離性

網絡虛擬化可以實現不同業務之間相互完全隔離，不需要考慮不同邏輯網絡使用的協議、兼容性、IP 地址沖突之類的問題。

3) 可靠性

物理鏈路虛擬化捆綁技術提升了鏈路帶寬和穩定性，為系統提供了穩定、可靠的通信鏈路。建設應急備用中心或同城雙活中心應用場景，隧道虛擬化可實現主備用機房的L2/L3VPN 互通，實現業務可持續性。

4) 安全性

虛擬化是增加網絡安全屬性的必備手段，單套邏輯網絡被病毒或惡意軟件的攻擊并不影響整體虛擬化平臺工作。惡意軟件造成的破壞均被限制在特定的會話或邏輯網絡中。

5) 可定制

虛擬化后，可以根據用戶需求進行網絡帶寬的分配、數據轉發優先級的定義，實現差異性服務。

數據通信網作為網絡虛擬化的典型應用已在鐵路系統應用越來越廣泛，實際承載了超過19 個業務系統，是一種典型的虛擬化網絡架構，實現了物理資源的復用[2-3]。網絡虛擬化在簡化網絡結構及物理設備配置的同時，提供了高可靠性和高擴展性，同時為調度集中系統服務器虛擬化和存儲虛擬化做好技術預留[4-5]。

3 網絡虛擬化技術

IP 網絡虛擬化主要包含網元虛擬化、鏈路虛擬化、隧道虛擬化。

3.1 網元虛擬化

網元虛擬化主要分為橫向和縱向虛擬化兩種不同類型，以滿足數據中心核心網絡擴展和增強系統穩定性需要。

3.1.1 橫向虛擬化

橫向虛擬化是指多個物理網絡設備虛擬成1 臺邏輯網絡設備即N:1 的虛擬化組合技術，即通過兩臺或多臺物理設備虛擬成1 臺邏輯網絡設備。

網元設備在進行路由、數據處理時分為操控平面和數據轉發平面。橫向虛擬化技術根據控制平面的不同，可分為操控轉發平面一體化的方案，如華為CSS 技術、華三IRF 技術及思科VSS 技術；操控轉發平面相互獨立的方案如華為M-LAG 技術、華三DRNI 技術及思科vPC 技術。

操控轉發平面一體化的堆疊/集群系統一旦發生堆疊/集群分裂，那么將勢必造成業務中斷。同時，操控轉發平面一體化系統在任意一個系統升級或在主控系統引擎板卡發生故障時都會發生業務數據中斷的情況。

而操控轉發平面相互獨立的橫向虛擬化系統在任意一臺交換機故障時都不會影響到業務數據轉發，是業務不間斷運行的有力保障。操控轉發平面互相獨立的系統在升級系統時也可以逐臺升級，升級過程并不影響到業務數據轉發。

操控轉發平面對比示意如圖1 所示。

圖1 操控轉發平面對比示意Fig.1 Comparison between control and forwarding planes

以上分析可以得出，在需要7×24 h 不間斷運營的重要場景，使用操控轉發平面相互獨立的2 臺系統將更為合理。操控轉發平面一體化系統則更適合應用在園區網、校園網等業務數據要求中斷相對不高的場景。

隨著技術發展，硬件設備功能越來越強大，網絡設備的數據處理性能已大大超過實際業務數據需要。在IDC 數據中心或運營商網絡，如果為每個企業網絡都設置一臺物理設備作為數據轉發平臺是不經濟也不可接受的。所以，單臺網絡設備虛擬化成多臺邏輯網絡設備也應運而生，即1:N虛擬化技術，如圖2 所示。各個廠商的實現方式主要有華為的VS、華三的MDC 及思科的VDC 技術。

圖2 1:N虛擬化示意Fig.2 Schematic diagram of 1:N virtualization

橫向虛擬化將鏈路可靠性從單板級提高至系統級，基本消除二層生成樹，使上行鏈路故障情況下不間斷轉發成為可能。網絡設備橫向虛擬化控制平面和轉發平面相互獨立時，在穩定性、可靠性要求高的場景較堆疊系統具有明顯優勢。

經過發展，復雜應用場景時將上述兩種虛擬化技術進行整合為N:1:M虛擬化組合技術。

鐵路智能調度中心核心交換網絡對橫向虛擬化技術均有不同嘗試。某普速調度所采用了華三IRF技術，某城際鐵路中心使用了華為CSS 技術和某客專調度所使用了思科vPC 技術。

3.1.2 縱向虛擬化

縱向虛擬化技術從縱向維度上支持系統異構擴展，即在以太邏輯虛擬設備上把一臺盒式設備作為一塊遠程接口板加入主設備系統，以達到擴展I/O端口能力和集中控制管理的目的，可以滿足數據中心虛擬化高密度接入并簡化管理的目的。

如圖3、4 所示，縱向虛擬化主要分為單宿主模式和雙宿主模式。單宿主模式可以實現對單臺交換機的端口擴展或實現對橫向虛擬化系統端口擴展；雙宿主模式主要在橫向虛擬化基礎上的端口擴展功能。

圖3 單宿主模式模式示意Fig.3 Schematic diagram of single-host mode

圖4 雙宿主模式模式示意Fig.4 Schematic diagram of double-host mode

縱向虛擬化則大大提高了核心設備端口密度，從縱向維度上支持異構擴展，以達到擴展I/O 端口能力和集中控制管理的目的。縱向虛擬化技術作為一種提高設備端口密度的有效手段已逐漸成熟并得到業界認可，各個廠商都有實現方式。如華三對應的端口擴展技術為VCF，華為對應的端口擴展技術為SVF，思科對應端口擴展技術為FEX。

核心交換機與接入交換機之間使用縱向虛擬化機制后，接入層交換機的端口映射到核心交換機管理平面。雖然縱向虛擬化后使得管理簡化，但核心交換機和接入交換機之間固件耦合性變高，不同廠商設備之間不能實現縱向虛擬化。同時，雙宿主模式下需要注意兩端控制交換機的配置冗余一致性。否則易出現網絡環路現象。

某智能鐵路調度中心應用了思科FEX 縱向虛擬化技術。

3.2 鏈路虛擬化

鏈路虛擬化主要包含廣域網鏈路和局域網鏈路虛擬化兩種類型。鏈路虛擬化主要目的是提高路由鏈路冗余性及鏈路帶寬，為多個不同網絡或者不同業務（時延敏感或吞吐量敏感等）提供所需鏈路資源。鏈路虛擬化主要分為“多合一”技術和“一分多”技術。

如圖5 所示，“多合一”是指利用設備間物理上多條鏈路聚合成一條鏈路，如PPP Multi-link/IP Trunk 和Ether-Channel。PPP Multi-link/IPTrunk 主要是應用在廣域網鏈路上捆綁技術，而Ether-Channel 則是應用在局域網以太鏈路上的捆綁技術。鏈路捆綁后呈現在操作系統層級的就是一條捆綁后的邏輯鏈路接口。當然，鏈路虛擬化也有應用限制，主要是存在鏈路捆綁后可靠性降低和部分應用場合無法正常工作的情況。

圖5 “多合一”示意Fig.5 Schematic diagram of“all in one”design

鐵路傳輸平臺分為SDH 傳輸平臺和MSTP 傳輸平臺。鐵路建設早期，傳輸系統按SDH 平臺進行建設，但SDH 平臺不支持FE 通道傳輸，升級到MSTP 平臺才支持FE 通道。但各調度中心局間鏈路帶寬超過2 M 需求，在需要擴容的場景下，受制于傳輸系統的模式問題，調度所局間采用PPP Multi-link 鏈路虛擬化技術解決了本需求。

如圖6 所示，“一分多”是指將一條物理鏈路劃分成多條虛擬鏈路，如CPOS、以太子接口技術等。1 個CPOS 接口可以分為63 個E1 鏈路，而以太子接口在帶寬滿足要求的前提下可以分為若干個子接口。

圖6 “一分多”示意Fig.6 Schematic diagram of“single to multiple”design

隨著對鏈路虛擬化技術認識的深入，同樣出現了類似網元虛擬化技術中的N:1:M技術，提升網絡帶寬和可用性。通過“多合一”后再使用“一分多”技術的典型應用是在路由器上通過以太通道綁定實現“雙臂”路由，然后在路由器的虛擬接口下劃分子接口形式，如圖7 所示。

圖7 雙臂路由示意Fig.7 Schematic diagram of double-arm routing

3.3 隧道虛擬化

隧道虛擬化從結構上主要分為橫向架構和縱向架構2 種模式。

橫向架構模式主要實現虛擬鏈路到物理鏈路的映射，如圖8 所示，這條虛擬路徑可能會穿過多臺路由器，類似于GRE/VPN/OTV/VPLS 等隧道虛擬化技術，主要目的是為了提供點到點業務服務和穿越公網的L2VPN/L3VPN 服務。IPv6 的應用普及，使得在IPv4 和IPv6 共存的過渡階段，IPv6 和IPv4 網絡交互也需要利用隧道技術。應急備用系統的建設也離不開橫向隧道虛擬化技術，主機房和備用機房的大二層平面LISP 或BGP-EVPN 需要使用隧道技術[6-7]。

圖8 橫向隧道虛擬化Fig.8 Virtualization of Horizontal tunnel

圖8 描述了路由器虛擬接口和虛擬接口之間通過點對點模式實現數據通信。同樣的橫向隧道架構也可以實現點對多點的通信模式，如DMVPN 等。在橫向隧道模式的基礎上增加一些安全特性（如IP-Sec 殼）就可以實現數據傳輸過程中的保密性。

縱向架構模式就是將物理端口切分成若干虛擬隧道預留給虛擬網絡，類似于ATM/CPOS/以太子接口技術，主要目的是為了端口時隙復用，提高端口隔離度，增強安全性。如圖9 所示，ATM 技術通過使用VPI 和VCI 信頭標簽實現虛擬隧道功能。在VPC 的端點實現VPI 和VCI 標簽的替換，實現隧道對接。

圖9 縱向隧道虛擬化Fig.9 Virtualization of vertical tunnel

鐵路智能調度中心中的運維子系統在實現遠程維護支持功能時會使用到VPN 隧道技術以加強網絡安全性，確保數據傳輸過程中完整性、機密性和防重放攻擊。

4 結束語

網絡虛擬化提高了網絡資源使用效率，降低智能調度中心組網成本和能源消耗，符合節能減排和低碳經濟發展趨勢[8]。應用網絡虛擬化能夠為客戶投資保值增值，是降低項目造價成本、運營成本、能源消耗、二氧化碳氣體產生和簡化施工改造的重要途徑之一。

網絡虛擬化前后，終端用戶無感知，業務不受影響。通過QoS 輔助手段可實現細化管理。邏輯網絡一樣可以利用物理網絡的多路徑技術，提升虛擬化網絡的可靠性和穩定性。

多種不同制式的網絡虛擬化已在各路局成功應用，為網絡虛擬化大規模應用奠定了基礎。隨著鐵路信息技術化水平的不斷提高，采用虛擬化建設部署已然是一種必然趨勢。