魏娜

摘 要：現(xiàn)階段的數(shù)據(jù)中心，計(jì)算和存儲(chǔ)資源都能較好地被虛擬化，按需提供服務(wù)。但網(wǎng)絡(luò)虛擬化一直受限于各種因素。此時(shí)，SDN技術(shù)的適時(shí)出現(xiàn)，為利用現(xiàn)有網(wǎng)絡(luò)設(shè)備，整合數(shù)據(jù)中心網(wǎng)絡(luò)資源，實(shí)現(xiàn)云化升級(jí)，提供了一種解決思路。

關(guān)鍵詞：SDN 數(shù)據(jù)中心 網(wǎng)絡(luò)虛擬化 VXLAN

中圖分類號(hào)：TP308 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2019）03（c）-0140-03

存儲(chǔ)和計(jì)算虛擬化技術(shù)經(jīng)過一段時(shí)間的發(fā)展，已經(jīng)能基本滿足用戶的需求。而隨著數(shù)據(jù)中心規(guī)模的不斷擴(kuò)大，以及客戶的需求越來越個(gè)性化，網(wǎng)絡(luò)已成為制約數(shù)據(jù)中心發(fā)展的最大瓶頸。

1 現(xiàn)階段數(shù)據(jù)中心存在的問題

（1）虛擬化環(huán)境下網(wǎng)絡(luò)配置的復(fù)雜度極大提升。

由于數(shù)據(jù)中心內(nèi)部設(shè)備眾多，特別是計(jì)算資源虛擬化后，虛擬機(jī)的數(shù)量更是迅速增加，且各類業(yè)務(wù)特性不同，導(dǎo)致網(wǎng)絡(luò)配置的復(fù)雜度大大增加，傳統(tǒng)的點(diǎn)到點(diǎn)手工配置的模式已難以滿足業(yè)務(wù)快速上線，且導(dǎo)致運(yùn)維復(fù)雜，極易出現(xiàn)問題。

（2）虛擬化環(huán)境下網(wǎng)絡(luò)難以進(jìn)行彈性擴(kuò)展。

傳統(tǒng)網(wǎng)絡(luò)中，運(yùn)營(yíng)商只負(fù)責(zé)提供接入層以上的設(shè)備，所以租戶需要通過自備的網(wǎng)絡(luò)設(shè)備匯接其所有服務(wù)器，然后再通過配置靜態(tài)路由將流量導(dǎo)入接入層交換機(jī)。由于接入層交換機(jī)為二三層網(wǎng)絡(luò)分界線，所以接入層以上的設(shè)備運(yùn)行三層網(wǎng)絡(luò)協(xié)議。在這種方式下，二層被限制在網(wǎng)絡(luò)邊緣。整個(gè)數(shù)據(jù)中心被分割成相互獨(dú)立的多個(gè)業(yè)務(wù)網(wǎng)絡(luò)，極大限制了虛擬機(jī)遷移的范圍和用戶網(wǎng)絡(luò)的擴(kuò)展性。

（3）多租戶網(wǎng)絡(luò)隔離難以很好的實(shí)現(xiàn)。

在云計(jì)算環(huán)境下，各業(yè)務(wù)共用同一套核心的交換機(jī)、路由器、防火墻、負(fù)載均衡器等設(shè)備。目前的傳統(tǒng)網(wǎng)絡(luò)很難再滿足云數(shù)據(jù)中心對(duì)IP地址、VLAN、安全等網(wǎng)絡(luò)策略統(tǒng)一規(guī)劃的前提下，實(shí)現(xiàn)各系統(tǒng)間的有效隔離，并支持其個(gè)性化要求。

（4）網(wǎng)絡(luò)資源難以實(shí)現(xiàn)動(dòng)態(tài)調(diào)整。

由于不同業(yè)務(wù)的流量、安全策略等有所不同，而傳統(tǒng)的網(wǎng)絡(luò)技術(shù)無(wú)法動(dòng)態(tài)感知各業(yè)務(wù)屬性，因此網(wǎng)絡(luò)難以靈活地進(jìn)行適應(yīng)性的資源調(diào)整，容易造成資源的浪費(fèi)或過載。

2 解決方法

為了解決上述困難，一些廠家推出了新的網(wǎng)絡(luò)技術(shù)，如EVPA、TRILL、SPB、EVI等。但這些技術(shù)完全依賴于物理設(shè)備本身的技術(shù)改良，對(duì)于已建有數(shù)百個(gè)數(shù)據(jù)中心的運(yùn)營(yíng)商來說，這些技術(shù)的成本十分昂貴，于是便采用了SDN和VXLAN相結(jié)合的方式。

2.1 SDN

SDN，軟件定義網(wǎng)絡(luò)。它不是一種技術(shù)，也不是一種協(xié)議，是一個(gè)體系框架，一種設(shè)計(jì)理念。SDN的核心思想是控制平面與轉(zhuǎn)發(fā)（數(shù)據(jù)）平面的分離。SDN的架構(gòu)如圖1所示。

（1）基礎(chǔ)設(shè)備層。

該層主要是一些網(wǎng)絡(luò)設(shè)備，如：路由器、物理交換機(jī)、虛擬交換機(jī)等。在這些網(wǎng)絡(luò)設(shè)備中都存有轉(zhuǎn)發(fā)表項(xiàng)。該層只需關(guān)注設(shè)備的硬件性能，實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)，無(wú)需具備任何智能性。

（2）南向接口。

是基礎(chǔ)設(shè)備層和控制層之間的接口。目前，Open Flow是南向接口的主流協(xié)議。該協(xié)議規(guī)定了設(shè)備按照流表轉(zhuǎn)發(fā)的匹配規(guī)則，致力于滿足網(wǎng)絡(luò)方面的功能需要。

（3）控制層。

該層的SDN控制器可以是一個(gè)，也可以是多個(gè)；可以是一個(gè)廠家的控制器，也可以是多個(gè)廠家的控制器協(xié)同工作?？刂茖蛹删W(wǎng)絡(luò)操作系統(tǒng)，負(fù)責(zé)處理數(shù)據(jù)平面資源的編排，維護(hù)網(wǎng)絡(luò)拓?fù)?、狀態(tài)信息等。

（4）北向接口。

是控制層與應(yīng)用層之間的接口。目前尚未標(biāo)準(zhǔn)化，也沒有主流接口協(xié)議，因?yàn)閼?yīng)用層上的應(yīng)用變數(shù)很多。

（5）應(yīng)用層。

該層主要是最終應(yīng)用程序，也可以包含一些服務(wù)，如：安全、網(wǎng)絡(luò)監(jiān)控、負(fù)載均衡等，這些服務(wù)是通過應(yīng)用程序表現(xiàn)。這些應(yīng)用和服務(wù)可以通過SDN控制器實(shí)現(xiàn)自動(dòng)化。

2.2 網(wǎng)絡(luò)虛擬化

網(wǎng)絡(luò)虛擬化是云計(jì)算和SDN發(fā)展到一定階段的產(chǎn)物。網(wǎng)絡(luò)虛擬化技術(shù)的產(chǎn)生，是為了解決數(shù)據(jù)中心架構(gòu)中的三個(gè)問題，即虛擬機(jī)遷移范圍受到網(wǎng)絡(luò)架構(gòu)限制、虛擬機(jī)規(guī)模受網(wǎng)絡(luò)規(guī)格限制、網(wǎng)絡(luò)隔離能力限制。

當(dāng)前，網(wǎng)絡(luò)虛擬化主要基于Overlay技術(shù)實(shí)現(xiàn)。Overlay意為疊加，是根據(jù)底層物理網(wǎng)絡(luò)層Underlay而取的。Overlay是通過在現(xiàn)有物理網(wǎng)絡(luò)上疊加一個(gè)軟件定義的邏輯網(wǎng)絡(luò)，原有網(wǎng)絡(luò)盡量不做改造，通過定義其上的邏輯網(wǎng)絡(luò)來實(shí)現(xiàn)業(yè)務(wù)邏輯，解決原有數(shù)據(jù)中心的網(wǎng)絡(luò)問題。Overlay是一種將（業(yè)務(wù)的）二層網(wǎng)絡(luò)構(gòu)架在（傳統(tǒng)網(wǎng)絡(luò)的）三層/四層報(bào)文中進(jìn)行傳遞的網(wǎng)絡(luò)技術(shù)。該技術(shù)實(shí)際上是一種隧道封裝技術(shù)，主要有VXLAN、NVGRE、STT這三種技術(shù)，基本原理都是通過隧道封裝的方式將二層報(bào)文進(jìn)行封裝后在現(xiàn)有網(wǎng)絡(luò)中進(jìn)行透明傳輸，到達(dá)目的地之后再解封裝得到原始報(bào)文，相當(dāng)于一個(gè)大二層網(wǎng)絡(luò)疊加（overlay）在現(xiàn)有的網(wǎng)絡(luò)之上。目前比較成熟、用的最多的是VXLAN。

VXLAN，虛擬可擴(kuò)展局域網(wǎng)，它是基于三層網(wǎng)絡(luò)結(jié)構(gòu)來構(gòu)建二層虛擬網(wǎng)絡(luò)，通過該技術(shù)將處于不同網(wǎng)段的網(wǎng)絡(luò)設(shè)備整合在同一個(gè)邏輯鏈路層網(wǎng)絡(luò)中。對(duì)于終端用戶而言，這些網(wǎng)絡(luò)設(shè)備似乎“真實(shí)地”部署在了同一個(gè)鏈路層網(wǎng)絡(luò)中。

VXLAN將原始報(bào)文封裝在UDP Header里面，并通過VXLAN頭里面的VNI（VXLAN標(biāo)識(shí)符）信息將傳統(tǒng)網(wǎng)絡(luò)中VLAN從4KB擴(kuò)展到了16MB，這就意味著理論上一個(gè)物流網(wǎng)絡(luò)里最多可以創(chuàng)建16MB個(gè)虛擬網(wǎng)。

同VLAN技術(shù)相比，VXLAN技術(shù)具有以下的優(yōu)勢(shì)：

（1）長(zhǎng)度為24bit 的VNI（VXLAN標(biāo)識(shí)符）字段值可以支持更多數(shù)量的虛擬網(wǎng)絡(luò)，解決了VLAN數(shù)目上限為4094的局限性的問題。

（2）VXLAN技術(shù)可以在物理的三層網(wǎng)絡(luò)中虛擬二層網(wǎng)絡(luò)，處于VXLAN網(wǎng)絡(luò)的終端無(wú)法察覺到VXLAN的通信過程，這樣就使得邏輯網(wǎng)絡(luò)拓?fù)浜臀锢砭W(wǎng)絡(luò)拓?fù)鋵?shí)現(xiàn)了一定程度的分離，網(wǎng)絡(luò)拓?fù)涞呐渲脤?duì)于物理設(shè)備的配置的依賴程度有所降低，配置更靈活更方便。

（3）VLAN技術(shù)僅僅解決了二層網(wǎng)絡(luò)廣播域分割的問題，而VXLAN技術(shù)還具有多租戶支持的特性。通過VXLAN分割，各個(gè)租戶可以獨(dú)立組網(wǎng)通信，地址分配方面和多個(gè)租戶之間地址沖突的問題也得到了解決。

2.3 解決方法

由于SDN仍然是基于五元組（源端口、目的端口、源IP地址、目的IP地址和傳輸層協(xié)議）的TCP/IP協(xié)議，所以SDN是不能完全消除網(wǎng)絡(luò)的復(fù)雜性，它只是把復(fù)雜性集中起來。數(shù)據(jù)中心內(nèi)部的虛擬機(jī)因?yàn)楦呖捎眯曰蛘邉?dòng)態(tài)資源分配而進(jìn)行遷移，一旦遷移，端口和IP地址都會(huì)發(fā)生變化，這就意味著SDN控制器要做非常復(fù)雜的策略。為了能真正實(shí)現(xiàn)自動(dòng)化，必須還要結(jié)合使用VXLAN，消除數(shù)據(jù)中心內(nèi)部五元組的TCP/IP協(xié)議，打通大二層網(wǎng)絡(luò)，通過MAC地址進(jìn)行源目地址的尋址工作。

3 基于SDN和VXLAN的數(shù)據(jù)中心構(gòu)建

3.1 基于SDN和VXLAN的數(shù)據(jù)中心架構(gòu)

（1）應(yīng)用層。

應(yīng)用層包括應(yīng)用軟件和網(wǎng)管系統(tǒng)。

應(yīng)用軟件是通過算法去感知、優(yōu)化和調(diào)度網(wǎng)絡(luò)資源，實(shí)現(xiàn)邏輯網(wǎng)絡(luò)的隔離與管理，提高網(wǎng)絡(luò)的使用效率和質(zhì)量。

網(wǎng)管系統(tǒng)是管理轉(zhuǎn)發(fā)設(shè)備和SDN控制器中的各類管理對(duì)象，分配虛擬網(wǎng)絡(luò)的資源，配置和管理SDN控制器策略等。

（2）協(xié)同層。

主要包括Openstack、Cloudstack、資源池管理平臺(tái)等。協(xié)同層用于聯(lián)動(dòng)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源，同時(shí)協(xié)同層與各控制器采用標(biāo)準(zhǔn)接口，屏蔽控制器差異。

（3）網(wǎng)絡(luò)控制層。

可由單個(gè)或多個(gè)控制器組成，在邏輯上進(jìn)行集中控制。該層是將應(yīng)用層業(yè)務(wù)請(qǐng)求轉(zhuǎn)化為轉(zhuǎn)發(fā)層的流表進(jìn)行轉(zhuǎn)發(fā)并配置到轉(zhuǎn)發(fā)層網(wǎng)元中，接受轉(zhuǎn)發(fā)層的狀態(tài)、統(tǒng)計(jì)和告警等信息。綜合各類信息完成路徑計(jì)算、基于流的流量統(tǒng)計(jì)、策略定制和配置、虛擬化網(wǎng)絡(luò)等功能。

（4）轉(zhuǎn)發(fā)層。

由具有分組轉(zhuǎn)發(fā)功能的物理交換機(jī)或虛擬交換機(jī)以及服務(wù)器組成，根據(jù)SDN控制器通過控制—轉(zhuǎn)發(fā)接口配置的轉(zhuǎn)發(fā)表完成數(shù)據(jù)轉(zhuǎn)發(fā)。

3.2 基于SDN和VXLAN的數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)建

這里以某省會(huì)城市新建一個(gè)大型數(shù)據(jù)中心為例，該數(shù)據(jù)中心主要承載大數(shù)據(jù)、云計(jì)算等業(yè)務(wù)。

該數(shù)據(jù)中心采用GW/Spine/Leaf三層架構(gòu)，如圖3所示。

在此架構(gòu)中，Border Leaf作為VXLAN出口網(wǎng)關(guān)（Exit Gateway），也稱南北網(wǎng)關(guān)。Leaf作為VXLAN分布式網(wǎng)關(guān)，也稱為東西網(wǎng)關(guān)。Spine作為網(wǎng)絡(luò)東西向流量的匯聚設(shè)備。

防火墻物理旁掛在網(wǎng)關(guān)兩側(cè)，組網(wǎng)拓?fù)浜?jiǎn)單，可以簡(jiǎn)化配置部署，而且防火墻可以伴隨網(wǎng)關(guān)組擴(kuò)展同步擴(kuò)容，支持靈活部署安全策略。

LB（負(fù)載均衡器）旁掛在Border Leaf兩側(cè)，GW使用VLAN IF或三層路由口對(duì)接LB。LB接入網(wǎng)關(guān)設(shè)備方式拓?fù)浜?jiǎn)單，可以伴隨網(wǎng)關(guān)組擴(kuò)展同步擴(kuò)容。

兩臺(tái)Leaf設(shè)備通過peer-link互聯(lián)并建立DFS Group，對(duì)外表現(xiàn)為一臺(tái)邏輯設(shè)備，但又各自有獨(dú)立的控制面，服務(wù)器以負(fù)載分擔(dān)方式接入兩臺(tái)Leaf設(shè)備升級(jí)維護(hù)簡(jiǎn)單，運(yùn)行可靠性高。下行口配置M-LAG特性雙歸接入服務(wù)器，服務(wù)器雙網(wǎng)卡運(yùn)行在主備/負(fù)載分擔(dān)模式。

數(shù)據(jù)中心出口網(wǎng)絡(luò)設(shè)備，采用雙機(jī)堆疊的方式提供設(shè)備級(jí)的冗余備份，避免設(shè)備級(jí)的單點(diǎn)故障，在單臺(tái)設(shè)備故障時(shí)可以做到快速收斂。外部PE設(shè)備，配置兩臺(tái)PE設(shè)備，數(shù)據(jù)中心出口網(wǎng)絡(luò)設(shè)備雙歸到兩臺(tái)PE設(shè)備，避免PE設(shè)備的單點(diǎn)故障。數(shù)據(jù)中心出口網(wǎng)絡(luò)設(shè)備與PE之間的物理鏈路，采用交叉互聯(lián)方式，提高鏈路級(jí)的可靠性。

SDN控制器通過帶外管理交換機(jī)接入網(wǎng)絡(luò)設(shè)備的帶外管理網(wǎng)口，通過獨(dú)立的帶外網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行控制。

采用帶內(nèi)方式部署OpenStack，便于用控制器自動(dòng)化開通控制節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)之間的網(wǎng)絡(luò)。

網(wǎng)管系統(tǒng)通過帶外管理交換機(jī)三層連通SDN控制器所在的北向網(wǎng)絡(luò)和內(nèi)部通信網(wǎng)絡(luò)，實(shí)現(xiàn)和SDN控制器的運(yùn)維信息交互及對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行運(yùn)維和監(jiān)控。

后期全省將擴(kuò)大范圍部署且考慮資源統(tǒng)一調(diào)度原則，SDN 控制器和云管平臺(tái)采用全省集中部署的方式。另外，通過 SDN和VXLAN相結(jié)合的方式實(shí)現(xiàn)數(shù)據(jù)中心之間跨大二層資源共享和遠(yuǎn)程遷移，從而實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部資源的動(dòng)態(tài)調(diào)整和部署，按需部署統(tǒng)一管理，提高了設(shè)備利用率，節(jié)約了建網(wǎng)、維護(hù)成本。

4 結(jié)語(yǔ)

采用了SDN和VXLAN相結(jié)合的數(shù)據(jù)中心是以現(xiàn)有的IP網(wǎng)絡(luò)為基礎(chǔ)，在其中建立由VXLAN技術(shù)實(shí)現(xiàn)的Overlay網(wǎng)絡(luò)，全面屏蔽底層物理網(wǎng)絡(luò)設(shè)備，所有的網(wǎng)絡(luò)能力均以軟件虛擬化的方式提供。這樣就可以不依賴底層網(wǎng)絡(luò)設(shè)備，靈活地實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的流量、性能、安全等策略，實(shí)現(xiàn)多租戶模式，基于可編程能力實(shí)現(xiàn)網(wǎng)絡(luò)自動(dòng)配置。

參考文獻(xiàn)

[1] 韋樂平.SDN的戰(zhàn)略性思考[J].電信科學(xué)，2015， 31（1）： 7-12.

[2] 劉文懋，裘曉峰，陳鵬程，等.面向SDN環(huán)境的軟件定義安全架構(gòu)[J].計(jì)算機(jī)科學(xué)與探索，2015，9（1）：63-70.

[3] 刁興玲.SDN嶄新架構(gòu)下網(wǎng)絡(luò)安全如何保障[J].通信世界，2015（3）：33-34.

[4] 王穎，龐志鵬.基于SDN的云數(shù)據(jù)中心網(wǎng)絡(luò)[J].通訊世界，2017（16）： 3-4.