在以往IT建設(shè)中,硬件服務(wù)器上運行的是虛擬層的計算,物理網(wǎng)絡(luò)為了與虛擬服務(wù)器對接,需要網(wǎng)絡(luò)自己進行調(diào)整,以便和新的計算層對接(如圖1所示)。Overlay是在傳統(tǒng)網(wǎng)絡(luò)上虛擬出一個虛擬網(wǎng)絡(luò)來,傳統(tǒng)網(wǎng)絡(luò)不需要在做任何適配,這樣物理層網(wǎng)絡(luò)只對應物理層的計算(物理機、虛擬化層管理網(wǎng)),虛擬的網(wǎng)絡(luò)只對應虛擬計算(虛擬機的業(yè)務(wù)IP),如圖2所示。
圖1 物理網(wǎng)絡(luò)引入數(shù)據(jù)中心技術(shù)來適配虛擬計算
圖2 物理網(wǎng)絡(luò)通過承接虛擬網(wǎng)絡(luò)來適配虛擬計算
Overlay的技術(shù)路線,其實是從架構(gòu)上對數(shù)據(jù)中心的建設(shè)模式進行了顛覆,對物理設(shè)備的要求降至最低,業(yè)務(wù)完全定義在層疊網(wǎng)絡(luò)上。那么,這是否意味著將來數(shù)據(jù)中心使用Overlay網(wǎng)絡(luò)不需要硬件支持而只需要軟件定義就足夠了呢?答案無疑是否定的。
以下討論Overlay網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的依存關(guān)系。由于VXLAN(Virtual eXtensible LAN)技術(shù)是當前最為主流的Overlay標準,以下VXLAN技術(shù)為代表進行具體描述。
1. 報文的封裝與解封裝
VXLAN的核心在于承載于物理網(wǎng)絡(luò)上的隧道技術(shù),這就意味著要對報文進行封裝和解封裝,因此需要硬件來加速處理。
在VXLAN網(wǎng)絡(luò)中,用于建立VXLAN隧道的端點設(shè)備稱為VTEP(VXLAN Tunneling End Point,VXLAN隧道終結(jié)點),封裝和解封裝在VTEP節(jié)點上進行。
在云數(shù)據(jù)中心,部分業(yè)務(wù)是不適合進行虛擬化的(如小機服務(wù)器,高性能數(shù)據(jù)庫服務(wù)器),這些服務(wù)器會直接與物理交換機互聯(lián),而他們又必須與對應租戶/業(yè)務(wù)的VXLAN網(wǎng)絡(luò)互通,此時就必須要求與其互聯(lián)的硬件交換機也能支持VXLAN協(xié)議,以接入VXLAN網(wǎng)絡(luò)。
圖3 Overlay網(wǎng)絡(luò)的三種構(gòu)建模式
考慮到服務(wù)器接入的可以是虛擬交換機,也可以是物理交換機,因此存在三種不同的構(gòu)建模式(如圖3所示):其中網(wǎng)絡(luò)Overlay方案中,所有終端均采用物理交換機作為VTEP節(jié)點;主機Overlay方案中,所有終端均采用虛擬交換機作為VTEP節(jié)點;混合Overlay方案中,既有物理交換機接入,又有虛擬交換機接入,且軟件VTEP和硬件VTEP之間可以基于標準協(xié)議互通。
在網(wǎng)絡(luò)Overlay方案和混合Overlay方案中,都需要有物理交換機設(shè)備支持VXLAN協(xié)議棧,并能與虛擬交換機構(gòu)建的VTEP互通。由于在實際組網(wǎng)環(huán)境中,服務(wù)器種類很多,高吞吐高性能要求的業(yè)務(wù)一般都采用單獨物理服務(wù)器甚至小機的硬件環(huán)境,而非虛擬化的x86服務(wù)器,這就沒法使用vSwitch來接入VXLAN網(wǎng)絡(luò),只能讓支持VXLAN的物理交換機來接入了。
2. 組播協(xié)議傳播
VXLAN網(wǎng)絡(luò)的MAC表與隧道終端的綁定關(guān)系要用組播協(xié)議傳播,而大規(guī)格組播協(xié)議離不開物理網(wǎng)絡(luò)設(shè)備的支持。
按照VXLAN的標準,每一個VTEP都需要了解其接入的終端MAC地址,同時還需要知道整網(wǎng)(該VXLAN實例中)其他VTEP下所有的終端MAC地址。只有這樣,在本地的VTEP收到報文后需要轉(zhuǎn)發(fā)時,才能根據(jù)目的MAC查詢到需要送到遠端的目的VTEP那里。
按照IETF中對VXLAN網(wǎng)絡(luò)的定義,負責在網(wǎng)絡(luò)中傳播MAC地址和VTEP對應關(guān)系的機制,正是依托于物理網(wǎng)絡(luò)中的組播協(xié)議。VTEP將本地的MAC地址表利用組播協(xié)議在整個組播中傳播,從而使得整網(wǎng)中所有組播成員,也就是其他VTEP都知道本地的MAC地址表。當VTEP下的終端接入情況有所更改,如新增了MAC地址或者減少了MAC地址,也需要利用組播協(xié)議通知同一個實例下的所有VTEP。另外,當本地VTEP找不到目的MAC處于哪一個遠端VTEP時,也需要發(fā)送組播報文來查找目的MAC主機所屬的遠端VTEP。
圖4 多個VTEP通過物理網(wǎng)絡(luò)組播傳遞MAC表信息
如圖4所示,多個VTEP需要在整網(wǎng)中傳遞VTEP下MAC地址信息,邏輯傳遞路線如綠色虛線所示。由于需要進行邏輯上的Full-Mesh連接,連接邏輯線路會達到N平方量級,因此實際組網(wǎng)中,VXLAN利用了物理網(wǎng)絡(luò)的組播組,在建立好的組播組中加入VXLAN中所有VTEP成員,傳遞VTEP變更信息。在多用戶多業(yè)務(wù)情況下,組播組要求與VXLAN數(shù)量息息相關(guān)。由于VXLAN網(wǎng)絡(luò)規(guī)模的不斷拓展(最大可達到16M個VXLAN網(wǎng)絡(luò)),所需要的組播條目數(shù)會不斷增加,這實際上對于物理網(wǎng)絡(luò)承載組播處理能力和規(guī)格提出了要求。
由于標準VXLAN架構(gòu)下使用組播協(xié)議,對物理網(wǎng)絡(luò)組播數(shù)規(guī)格要求較大,因此H3C VXLAN解決方案基于SDN架構(gòu),通過引入全網(wǎng)的SDN Controller來實現(xiàn)VXLAN的管理和維護,使得VTEP之間的信息可以通過Controller來進行反射(如圖5所示)。這樣,VTEP的MAC地址表映射關(guān)系不再通過組播向全網(wǎng)其他VTEP傳達,而是統(tǒng)一上報給控制器,由控制器統(tǒng)一下發(fā)給需要接受此消息的其他VTEP,由具體的VTEP執(zhí)行轉(zhuǎn)發(fā)機制。
圖5 多個VTEP通過SDN Controller傳遞MAC表信息
可見,在SDN架構(gòu)下,硬件形態(tài)的VTEP需要能夠支持集中控制器下發(fā)的業(yè)務(wù)控制信息,同時基于Openflow進行流表轉(zhuǎn)發(fā)。而傳統(tǒng)硬件交換機不能支持上述特性,必須由新硬件設(shè)備來執(zhí)行和完成的。
3. VXLAN網(wǎng)絡(luò)互通
在傳統(tǒng)L2網(wǎng)絡(luò)中,報文跨VLAN轉(zhuǎn)發(fā),需要借助三層設(shè)備來完成不同VLAN之間的互通問題。VXLAN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)、以及VXLAN網(wǎng)絡(luò)的互通,必須有網(wǎng)絡(luò)設(shè)備的支持。
VXLAN網(wǎng)絡(luò)框架中定義了兩種網(wǎng)關(guān)單元。
VXLAN三層網(wǎng)關(guān)。用于終結(jié)VXLAN網(wǎng)絡(luò),將VXLAN報文轉(zhuǎn)換成傳統(tǒng)三層報文送至IP網(wǎng)絡(luò),適用于VXLAN網(wǎng)絡(luò)內(nèi)服務(wù)器與遠端終端之間的三層互訪;同時也用作不同VXLAN網(wǎng)絡(luò)互通。如圖6所示,當服務(wù)器訪問外部網(wǎng)絡(luò)時,VXLAN三層網(wǎng)關(guān)剝離對應VXLAN報文封裝,送入IP網(wǎng)絡(luò);當外部終端訪問VXLAN內(nèi)的服務(wù)器時,VXLAN根據(jù)目的IP地址確定所屬VXLAN及所屬的VTEP,加上對應的VXLAN報文頭封裝進入VXLAN網(wǎng)絡(luò)。VXLAN之間的互訪流量與此類似,VXLAN網(wǎng)關(guān)剝離VXLAN報文頭,并基于目的IP地址確定所屬VXLAN及所屬的VTEP,重新封裝后送入另外的VXLAN網(wǎng)絡(luò)。
圖6 VXLAN網(wǎng)絡(luò)通過三層網(wǎng)關(guān)與傳統(tǒng)網(wǎng)絡(luò)互連
VXLAN二層網(wǎng)關(guān)。用于終結(jié)VXLAN網(wǎng)絡(luò),將VXLAN報文轉(zhuǎn)換成對應的傳統(tǒng)二層網(wǎng)絡(luò)送到傳統(tǒng)以太網(wǎng)絡(luò),適用于VXLAN網(wǎng)絡(luò)內(nèi)服務(wù)器與遠端終端或遠端服務(wù)器的二層互聯(lián)。如在不同網(wǎng)絡(luò)中做虛擬機遷移時,當業(yè)務(wù)需要傳統(tǒng)網(wǎng)絡(luò)中服務(wù)器與VXLAN網(wǎng)絡(luò)中服務(wù)器在同一個二層中,此時需要使用VXLAN二層網(wǎng)關(guān)打通VXLAN網(wǎng)絡(luò)和二層網(wǎng)絡(luò)。如圖7所示,VXLAN 10網(wǎng)絡(luò)中的服務(wù)器要和IP網(wǎng)絡(luò)中VLAN100的業(yè)務(wù)二層互通,此時就需要通過VXLAN的二層網(wǎng)關(guān)進行互聯(lián)。VXLAN10的報文進入IP網(wǎng)絡(luò)的流量,剝掉VXLAN的報文頭,根據(jù)VXLAN的標簽查詢對應的VLAN網(wǎng)絡(luò)(此處對應的是VLAN100),并據(jù)此在二層報文中加入VLAN的802.1Q報文送入IP網(wǎng)絡(luò);相反VLAN100的業(yè)務(wù)流量進入VXLAN也需要根據(jù)VLAN獲知對應的VXLAN網(wǎng)絡(luò)編號,根據(jù)目的MAC獲知遠端VTEP的IP地址,基于以上信息進行VXLAN封裝后送入對應的VXLAN網(wǎng)絡(luò)。
圖7 VXLAN網(wǎng)絡(luò)通過二層網(wǎng)關(guān)與傳統(tǒng)二層網(wǎng)絡(luò)互通
可見,無論是二層還是三層網(wǎng)關(guān),均涉及到查表轉(zhuǎn)發(fā)、VXLAN報文的解封裝和封裝操作。從轉(zhuǎn)發(fā)效率和執(zhí)行性能來看,都只能在物理網(wǎng)絡(luò)設(shè)備上實現(xiàn),并且傳統(tǒng)設(shè)備無法支持,必須通過新的硬件形式來實現(xiàn)。
結(jié)束語
Overlay由于其簡單、一致的解決問題方法,加上重新定義的網(wǎng)絡(luò)可以進行軟件定義,已經(jīng)成為數(shù)據(jù)中心網(wǎng)絡(luò)最炙手可熱的技術(shù)方案。然而,它并不是一張完全由軟件定義的網(wǎng)絡(luò),Overlay網(wǎng)絡(luò)解決方案必定是一種軟硬結(jié)合的方案,無論是從接入層VTEP混合組網(wǎng)的組網(wǎng)要求、組播或SDN控制層協(xié)議的支持,還是VXLAN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)的互通來看,都需要硬件積極的配合和參與,必須構(gòu)建在堅實和先進的物理網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上……
