祝彥峰

摘要：隨著企業(yè)信息化的發(fā)展，網(wǎng)絡虛擬化技術尤其是堆疊技術在企業(yè)中的應用越來越廣泛。對網(wǎng)絡虛擬化原理簡要分析，以華為公司SVF技術為例，提供了建設縱向網(wǎng)絡虛擬化的企業(yè)園區(qū)網(wǎng)絡的部署方案，極大簡化網(wǎng)絡部署，提升網(wǎng)絡效能，增強網(wǎng)絡的安全性、穩(wěn)定性、可靠性，為企業(yè)部署縱向堆疊網(wǎng)絡虛擬化技術提供參考。

關鍵詞：網(wǎng)絡虛擬化技術;縱向虛擬化;交換機;SVF

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）05-0047-04

開放科學（資源服務）標識碼（OSID）：

1 概述

在企業(yè)網(wǎng)絡的建設中，傳統(tǒng)的部署方式為核心、匯聚、接入三層架構(gòu)，這種架構(gòu)在企業(yè)網(wǎng)中發(fā)揮了有效的分層管理作用，使網(wǎng)絡結(jié)構(gòu)清晰，管理較為方便。隨著企業(yè)業(yè)務結(jié)構(gòu)的不斷演進，虛擬化技術逐漸進入企業(yè)網(wǎng)絡，傳統(tǒng)網(wǎng)絡的三層架構(gòu)也逐漸轉(zhuǎn)向虛擬網(wǎng)絡架構(gòu)。從應用規(guī)模上有小型網(wǎng)絡的邏輯隔離vlan技術，也有數(shù)據(jù)中心的大二層Vxlan技術的網(wǎng)絡虛擬化。在應用領域也有不同的方向，類型主要有單一設備虛擬多邏輯設備（如vlan技術）、單一網(wǎng)絡虛擬多網(wǎng)絡（如vxlan技術）、網(wǎng)絡硬件設備虛擬化軟件化（如SDN、NFV技術）、多設備虛擬成單一邏輯設備（如cluster/stack堆疊技術），在企業(yè)網(wǎng)絡的中，更多的形式為采用堆疊方式的網(wǎng)絡虛擬化技術來增強網(wǎng)絡的可靠性，并簡化網(wǎng)絡管理，提高生產(chǎn)效率。

2 網(wǎng)絡虛擬化原理

網(wǎng)絡虛擬化技術隨著網(wǎng)絡交換技術的進化，先出現(xiàn)了較為普遍的橫向堆疊技術，主要用于增加業(yè)務端口數(shù)量、提高網(wǎng)絡故障的快速自愈能力，實現(xiàn)統(tǒng)一設備管理。以標準的心跳方式?；?，交換拓撲信息計算網(wǎng)絡拓撲結(jié)構(gòu)，由以選舉方式獲得主控權的交換機進行統(tǒng)一管理，主要應用于同層級的多交換機虛擬化，各自廠家均有自有的技術，如思科公司的VSS/StackWise技術、華為公司的CSS/Istack技術、華三公司的IRF技術。在進一步的發(fā)展中，隨著多層級網(wǎng)絡規(guī)模的擴大，設備管理和業(yè)務調(diào)整越發(fā)復雜，業(yè)務受理時長顯著增加。為了解決企業(yè)接入網(wǎng)絡的復雜性，增強企業(yè)網(wǎng)絡健壯性、簡化網(wǎng)絡管理和增強網(wǎng)絡故障快速愈合能力，網(wǎng)絡虛擬化技術更進一步，將縱向的網(wǎng)絡層級也進行虛擬化，形成以接入交換機虛擬為主控交換機業(yè)務擴展板的形式，通過上下級設備內(nèi)部管理協(xié)議進行設備管理和業(yè)務轉(zhuǎn)發(fā)，形成了縱向虛擬化技術。這里以華為公司的SVF技術為例，來分析技術基本原理。

華為公司的SVF架構(gòu)即是在橫向堆疊虛擬化技術基礎上發(fā)展起來的縱向堆疊網(wǎng)絡虛擬化技術。SVF架構(gòu)借鑒和使用了無線網(wǎng)絡中AP/AC（無線接入點/無線控制器）之間設備管理和業(yè)務控制的CAPWAP管理協(xié)議，在CAPWAP隧道鏈路上傳輸管理和控制指令，業(yè)務數(shù)據(jù)按照傳統(tǒng)vlan交換模式獨立運行。在具體實現(xiàn)上，由主控交換機（定義角色為Parent）通過邏輯端口（以物理端口組加入的邏輯端口形式，定義為FabricPort）連接，通過CAPWAP協(xié)議創(chuàng)建的管理通道控制、管理接人交換機（角色定義為AS），結(jié)構(gòu)如圖1所示。在使用者的角度就像是全部網(wǎng)絡用戶，接入了一個有大量業(yè)務端口的大型交換機一樣。優(yōu)勢在于以下三個方面，統(tǒng)一的設備管理，多層結(jié)構(gòu)的設備虛擬成一臺設備，由控制設備統(tǒng)一進行管理;統(tǒng)一的業(yè)務配置，通過模板化配置實現(xiàn)對接入設備的批量配置，不再需要逐一配置每一臺接入層設備;統(tǒng)一的用戶管理，支持有線接入和無線接入的用戶統(tǒng)一管理，一般組網(wǎng)結(jié)構(gòu)如圖2所示。配合鏈路聚合技術，可以使網(wǎng)絡設備具備業(yè)務端口高密、高可靠性、高帶寬、低延時的特性。

SVF構(gòu)建虛擬網(wǎng)絡主要經(jīng)過以下幾個過程，如圖3所示：

（1）鄰居發(fā)現(xiàn)：Parent通過鄰居發(fā)現(xiàn)過程將管理VLAN等信息發(fā)送給AS。

（2）設備管理：AS通過DHCP獲取IP地址，與Parent之間建立CAPWAP隧道鏈路，并向Parent注冊。

（3）版本管理：AS比較自身軟件版本與Parent是否一致。如果不一致則進行版本同步，嘗試從Parent下載系統(tǒng)軟件進行自動升級。

（4）拓撲管理：Parent搜集所有AS的LLDP鄰居信息并計算出整個SVF的拓撲。

（5）業(yè)務配置：Parent通過CAPWAP隧道鏈路將業(yè)務配置下發(fā)至AS。

3 企業(yè)網(wǎng)絡部署

這里以圖4應用場景為例，具體描述SVF網(wǎng)絡虛擬化技術在企業(yè)園區(qū)網(wǎng)絡中的部署實施。這里使用華為S5720HI作為SVF的parent角色的主要控制交換機，將S5700LI、S5720LI、S5700SI等交換機作為一級AS接入交換機，與parent直連，并使用S5720LI作為二級AS交換機接入一級AS交換機，搭建整網(wǎng)。該企業(yè)有三處辦公地點，網(wǎng)絡接入用戶約200人。 辦公地點間已租用光纖線路，具備入網(wǎng)的物理條件，網(wǎng)絡出口固定在辦公地2，S5720HI交換機作為控制交換機，上連網(wǎng)絡出口設備，因此部署于此。按照用戶規(guī)模，辦公地1部署三臺S5720LI交換機，辦公地2部署S5700SI和S5720LI交換機各一臺;辦公點3網(wǎng)絡部署一臺S5700LI交換機。

3.1 parent控制交換機開啟SVF功能

[SW_Core] vlan batch 101//創(chuàng)建管理AS的Vlan

[SW_Core] dhcp enable//開啟DHCP服務

[SW_Core] interface vlanif 101 11配置AS管理vlan接口

[SW_Core-Vlanifll] ip address 192.168.101.254 24/，配置接口IP地址

[SW_Core-Vlanifll] dhcp select interface//接口上開啟DHCP監(jiān)聽

[SW_Core-Vlanifll] dhcp server option 43 ip-address192.168.101.254//配置DHCP選項，用于下發(fā)SVF管理網(wǎng)關地址

[SW_Core-Vlanifll] quit

[SW_Core] capwap source interface vlanif 101//配置CAP-WAP管理協(xié)議使用的接口

[SW_Core] stp mode rstp//開啟快速生成樹協(xié)議

[SW_Core] uni-mng//進入統(tǒng)一管理模式，開啟SVF

3.2 配置Parent連接一級AS的Fabric-port

以配置Parent連接asl的Fabric-port為例。Parent連接as2的Fabric-port 2、連接as3的Fabric-port 3的過程請參照as1，過程省略。

[SW_Core-um] interface fabric-port 1//配置邏輯堆疊端口

[SW_Core-um-fabric-port-l] port member-group interfaceeth-trunk 1//添加二層聚合端口組1

[SW_Core-um-fabric-port-l] quit

[SW_Core-um] quit

[SW_Core] interface gigabitethernet 0/0/1//添加以太網(wǎng)端口0/0/1至聚合端口組1

（SW_Core-GigabitEthernet0/0/1] eth-trunk 1

[SW_Core-GigabitEthemet0/0/1] quit

[SW_Core] interface gigabitethernet 0/0/2//添加以太網(wǎng)端口0/0/2至聚合端口組1

[SW_Core-GigabitEthemet0/0/2] eth-trunk 1

[SW_Core-GigabitEthemet0/0/2] quit

3.3 配置AS接入的認證方式

[SW_Core] as-auth

[SW_Core-as-auth] undo auth-mode//配置AS接入認證為不需認證模式。

3.4 一級AS交換機接入

連接AS與Parent之間的線纜，在一級AS上執(zhí)行命令resetsaved-configuration清空AS的配置并重新啟動后，連接AS與Parent之間的線纜，一級SVF網(wǎng)絡即已建立完成。

3.5 配置AS間的FabricPort

在parent上配置一級和二級AS的Fabric-Port。

[SW_Core] uni-mng

[SW_Core-um] as name asl，/配置ASI的下聯(lián)FabricPort。

[SW_Core-um-as-asl] down-direction fabric-port 4 mem-ber-group interface eth-trunk 4

[SW_Core-um-as-asl] port eth-trunk 4 trunkmember inter-face gigabitethemet 0/0/23

[SW_Core-um-as-asl] quit

[SW_Core-um] as name asl//配置ASI的下聯(lián)FabricPort。

[SW_Core-um-as-asl] down-direction fabric-port 5 meru-ber-group interface eth-trunk 5

[SW_Core-um-as-asl] port eth-trunk 5 trunkmember inter-face gigabitethemet 0/0/24

（SW_Core-um-as-asl] quit

[SW_Core-um] quit

[SW_Core-um] as name as2//配置AS2的下聯(lián)FabricPort，

[SW_Core-um-as-asl] down-direction fabric-port 6 meru-ber-group interface eth-trunk 6

[SW_Core-um-as-asl] port eth-trunk 6 trunkmember inter-face gigabitethemet 0/0/24

[SW_Core-um-as-asl] quit

[SW_Core-um] quit

在二級AS上執(zhí)行命令reset saved-configuration清空AS的配置并重新啟動后，連接二級AS與一級AS之間的線纜，SVF整網(wǎng)系統(tǒng)即建立完成。

3.6 查看AS接入情況

執(zhí)行命令display as all查看各AS是否成功上線接入，“State”的狀態(tài)為“normal”時表示AS已成功上線接人。

[SW_core] display as all

Total：6， Normal：6， Fault：0， Idle：0， Version mismatch：0

3.7 業(yè)務模板配置

首先創(chuàng)建業(yè)務模板并綁定至全部AS，并將網(wǎng)絡基礎模板并綁定至AS的全部端口。

[SW_Core-um] network-basic-profile name basic_net-work_conf

LSW_Core-um-net-basic-basic_network_confl user-vlan 100

[SW_Core-um-net-basic-basic_network_conf] quit

[SW_Core-um] port-group name port_all//配置用戶端口組，加入所有AS接入端口

[SW_Core-um-portgroup-port_all] as name asl interface all

[SW_Core-um-portgroup-port_all] as name as2 interface ajl

[SW_Core-um-portgroup-port_all] as name as3 interface all

[SW_Core-um-portgroup-port_all] as name as4 interface all

[SW_Core-um-portgroup-port_all] as name as5 interface all

[SW_Core-um-portgroup-port_all] as name as6 interface all

[SW_Core-um-portgroup-port_all] network-basic-profile ba-sic_network_conf

[SW_Core-um-portgroup-port_all] quit

[SW_Core-um] quit

[SW_Core] dotlx-access-profile name dotlx，/配置用戶接入采用dotlx認證技術

[SW_Core-dotlx-access-profile-l] quit

[SW_Core] authentication-profile name dotlx_auth//配置用戶認證模板采用dotlx認證技術

[SW_Core-authen-profile-dotlx_auth] dotlx-access-profiledotlx

[SW_Core-authen-profile-dotlx_auth] quit

[SW_Core] uni-mng

[SW_Core-um] user-access-profile name access_profile ll配置用戶接入模板調(diào)用認證模板dotlx_auth

[SW_Core-um-user-access-access_profile] authentication-profile dot lx_auth

[SW_Core-um-user-access-access_profile] quit

[SW_Core-um] port-group name port_all//在端口組上應用用戶接入模板access_profile

[SW_Core-um-portgroup-port_all] user-access-profile ac-cess_profile

[SW_Core-um-portgroup-port_all] quit

3.8 業(yè)務配置下發(fā)

在parent上提交業(yè)務配置，使業(yè)務模板中的配置下發(fā)至全部AS，執(zhí)行命令display uni-mng commit-result profile查看業(yè)務模板中的配置是否已成功下發(fā)至AS，當“Commit/Execute Re-sult”的狀態(tài)為“Success/Success”時表示業(yè)務模板中的配置已成功下發(fā)至 AS。

[SW_Core-um] commit as all

Warning： Committing the configuration will take a long time.Continue？[Y/N]： y

[SW_Core-um] display uni-mng commit-result profile

Result of profile：

3.9 業(yè)務驗證

在用戶終端上，測試可正常上網(wǎng)，網(wǎng)絡部署完畢。通過訪問SVF parent主控交換機管理地址web頁面http：//192.168.101.254，可查看全部上網(wǎng)用戶信息。

4 后續(xù)建議

上述企業(yè)網(wǎng)絡虛擬化SVF技術的應用，在條件允許的情況下，應采用多鏈路聚合的方式增加fabricPort的帶寬，增加網(wǎng)絡架構(gòu)的可靠性?？稍趐arent主控交換機層面采用橫向堆疊技術，增強網(wǎng)絡健壯性，在辦公地1的AS交換機也可采用橫向堆疊的方式，增強該辦公地網(wǎng)絡可靠性，減低設備管理的難度。用戶接入方面，可隨著用戶量的增加或部門隔離的需求等使用vlan技術進行二層隔離，使用ACL訪問控制列表進行三層訪問的控制。安全保障方面配合了網(wǎng)絡安全接入技術，減低網(wǎng)絡受攻擊的風險。在管理層面強化規(guī)范操作，保障網(wǎng)絡的高效、可靠。

5 結(jié)束語

綜上所述，網(wǎng)絡虛擬化技術應用于企業(yè)網(wǎng)絡建設，可將網(wǎng)絡拓撲結(jié)構(gòu)簡單化，管理統(tǒng)一化，網(wǎng)絡可靠化。使企業(yè)專注于業(yè)務的開展和快速化部署，同時在網(wǎng)絡的擴展部署等方面節(jié)省資金。提高企業(yè)辦公效率，降低建網(wǎng)擴網(wǎng)成本。并可根據(jù)安全需求配置相應的安全接入技術，規(guī)范網(wǎng)絡的使用管理，防止惡意破壞，優(yōu)化網(wǎng)絡安全保障。

參考文獻：

[1]王勇亮.交換機css堆疊技術研究[J].信息與電腦：理論版，2016（4）：39-40.

[2]劉呱呱，基于lRF2技術的網(wǎng)絡研究與探卡廳[J].網(wǎng)絡安全技術與應用，2015（3）：181-182.

[3]蔣海月.園區(qū)網(wǎng)虛擬化技術哪家強？-lA、lRF3和SVF技術大比拼[J].互聯(lián)網(wǎng)周刊，2015（6）：20-21.

[4]葉水勇，王艷，方軍，等.基于VCF縱向虛擬技術網(wǎng)絡架構(gòu)優(yōu)化的探索與實踐[J].國網(wǎng)技術學院學報，2019，22（4）：33-36，40.

[5]華為S5700系列以太網(wǎng)交換機產(chǎn)品文檔[Z].深圳：華為技術有限公司，2019.

[6]邱浩.縱向虛擬化技術在人行市州中支的應用[J].金融科技 時代，2017，25（9）：47-48.

【通聯(lián)編輯：代影】