缪仕福

摘 要：随着云计算技术迅速而全面的推广和应用，传统的数据中心逐渐向由各种虚拟化技术所支撑的云数据中心转变。计算虚拟化和存储虚拟化已经取得长足发展，但网络虚拟化一直是云业务资源虚拟化的短板。VXLAN能够在传统物理网络基础上构建逻辑的二层网络，提供了网络虚拟化的有效解决方式，是网络支持云业务发展的理想选择。该文对VXLAN技术进行了分析研究，并探讨了其部署方法、优势及不足。

关键词：网络虚拟化 虚拟化网络 云计算 VLAN VXLAN

中图分类号：TP3 文献标识码：A 文章编号：1672-3791（2015）02（a）-0015-02

云计算可以提供可用、便捷、按需的资源，成为当前企业IT建设的常规形态。作为云计算技术基础的虚拟化技术被普遍运用于云计算数据中心。除了已经逐渐发展成熟的服务器虚拟化外，网络虚拟化的需求也逐渐在增加。然而，当前的传统网络已经不能很好满足企业的这种需求。

1 传统VLAN技术难以适应大规模租户部署

租户之间需要隔离，当前主流的隔离技术为VLAN。但是在大量租户部署时会有两大限制。

（1）传统的VLAN技术基于IEEE的802.1Q协议，在该协议的帧格式里面定义了VLAN ID的位数为12比特，等于说它最多只能支持4094个VLAN。这在当初应该属于一个不小的数字，然而，随着当今云计算服务的出现，云计算数据中心的规模可能变得相当庞大。以云计算服务提供商亚马逊为例，它为全球190个国家的客户提供IT基础设施IaaS服务，有许多的用户租用虚拟机实例。随着云计算服务的不断普及，业务量的不断增长，在数据中心就可能需要成千上万个VLAN，802.1Q协议对VLAN技术的数量显然不能满足这种扩展的需求。业界需要一种能满足支持更多VLAN的新技术来满足发展的需要。

（2）如果在大规模数据中心部署VLAN，会使得所有VLAN在数据中心都被允许通过（因为虚拟机可能迁移，导致各交换机都需允许所有VLAN通过），导致任何一个VLAN的广播数据会在整个数据中心内泛滥，大量消耗网络带宽，同时带来维护的困难。

2 现有二层技术不利于虚机迁移

虚拟机迁移的特点以东西流量为主，在迁移后需要其IP地址、MAC地址等参数保持不变，如此则要求业务网络是一个二层网络。但已有二层技术存在下面几个问题。

（1）生成树（STP Spanning Tree Protocol）技术，部署和维护繁琐，网络规模不宜过大，限制了网络的扩展。

（2）各厂家私有的多虚一网络虚拟化技术（如H3C的IRF、华为的CSS、锐捷的VSU、Cisco的VSS），虽然可以简化部署、同时具备高可靠性，但是对于网络的拓扑架构有严格要求，同时各厂家不支持互通，在网络的可扩展性上有所欠缺，只适合小规模网络部署，一般只适合数据中心内部网络。

（3）新出现的大规模二层网络技术TRILL/SPB/FabricPath等，虽然能支持二层网络的良好扩展，但对网络设备有特殊要求，网络中的设备需要软硬件升级才能支持此类新技术，带来部署成本的上升。

3 虚拟机规模受限于网络设备的规格

二层的网络环境需要交换机学习虚拟机的MAC地址信息，而交换机特别是接人交换机的MAC地址表项规格较小，制约了虚拟机的数量。云计算是计算高度密集型的应用，虚拟机的数量代表着云计算的规模，而低成本的接入交换机无法为高密度的虚拟机提供网络接人服务。如果通过提高接入交换机硬件性能的方式提升网络规模，则会较大程度地提高硬件的建设成本，因此传统二层的网络环境限制了虚拟机的数量，无法支持大规模的云计算数据中心。

正是由于传统网络技术已经不能满足技术发展的需求。因此，近几年开始，各大IT厂商联合起来，推出了几种能够解决这种需求的新技术。其中2011年公布的VXLAN技术是当前较为热门的解决方式。

3.1 VXLAN的基本原理

VXLAN（Virtual eXtensible Local Area Network）是一种隧道技术，能在三层网络的基础上建立二层以太网网络隧道，从而实现跨地域的二层互连。

如图1所示，VXLAN采取了将原始以太网报文封装在UDP数据包里的封装格式。将原来的二层数据帧加上VXLAN头部一起封装在一个UDP数据包里。

VXLAN头部包含有一个VXLAN标识（即VNI，VXLAN Network Identifier），只有在同一个VXLAN上的虚拟机之间才能相互通信。VNI在数据包之中占24比特，故可支持1600万个VXLAN的同时存在，远多于VLAN的4094个，因此可适应大规模租户的部署。

VXLAN一般通过安装在服务器上的软件实现报文的封装与解封装，网络只要IP路由可达即可。VXLAN实现了应用与物理网络的解耦，但网络与虚拟机还是相互独立的。如图2，业界一般通过网络控制器（如SDN，Software Defined Network）实现VXLAN网络与云业务的联动。当虚拟机发生迁移后，虚机/存储控制器会把虚拟机迁移信息通知给网络控制器，网络控制器根据虚拟机迁移的新位置，重新调整网络配置，从而实现网络与云业务的联动。

也就是说，物理网络可以是传统的三层IP网络，路由可达即可。虚拟机可跨三层IP网络远距离迁移，不再受限于二层技术。物理网络也无需允许所有VLAN通过。接入交换机需要学习的MAC地址的数量也大大减少，削弱了网络设备MAC地址表项规格对虚拟机规模的约束。

3.2 VXLAN网络的部署方法

如图3，VXLAN网络设备主要有三种角色，分别是VTEP（VXLAN Tunnel End Point）、VXLAN网关、VXLAN IP网关。对于应用系统来说，只与这三种设备相关，而与底层传统三层IP网络无关。

（1）VTEP是直接与终端连接的设备，负责原始以太报文的VXLAN封装和解封装。

（2）VXLAN网关除了具备VTEP的功能外，还负责VLAN报文与VXLAN报文之间的映射和转发。VXLAN的虚拟机与传统VLAN的虚拟机之间互访，通过VXLAN网关来完成。

（3）VXLAN IP网关具有VXLAN网关的所有功能，此外，还负责处理不同VXLAN之间的报文通信。不同VXLAN的虚拟机之间需要互访，必须经过VXLAN IP网关完成。

VTEP、VXLAN网关、VXLAN IP网关、形态可以是虚拟交换机，也可以是物理交换机。根据VTEP、VXLAN网关、VXLAN IP网关是虚拟交换机还是物理交换机，VXLAN网络的部署方法主要分三种。

（1）第一种是VTEP、VXLAN网关、VXLAN IP网关均通过安装在服务器上的软件实现。

（2）第二种是VTEP、VXLAN网关、VXLANIP网关均由物理交换机承担。物理服务器支持SR-IOV功能，使虚拟机通过SR-IOV技术直接与物理交换机相连，虚拟机的流量在接入交换机上进行VXLAN报文的封装和解封装。

（3）第三种是VTEP由安装在服务器上的软件实现，VXLAN网关、VXLAN IP网关由物理交换机承担。

对于第一种部署方法，由于所有VXLAN报文的封装解封装都通过软件实现，会占用部分服务器资源，特别是VXLANIP网关，当访问量大时，将会成为系统瓶颈。对于第二种部署方法，由于需要通过一些特殊的要求或技术实现虚拟机与VTEP的对接，组网不够灵活。第三种部署方法通过安装在服务器上的软件实现虚拟机的VTEP，通过物理交换机实现物理服务器的VTEP，通过专业的硬件交换机实现VXLAN IP网关，从而可承载超大规模的流量转发，避免成为系统瓶颈。也就是说，第三种部署方法结合了第一种和第二种方法的优势，是相对而言最优的部署方法，因此，一般推荐使用第三种部署方法。

3.3 VXLAN的优势及不足

相对于VLAN，VXLAN具备以下的优势。

（1）极大的扩充了二层网段的数量： VXLAN技术的24位VVNI标识符提供了1600万个VXLAN网段，远比VLAN的4094个要多。可以满足数据中心多租户的网段分隔的需求。

（2）更大的灵活性：原来虚拟机的迁移只能在同网段的二层网络上进行，受到地理位置的严重限制。VXLAN通过隧道技术构建可以跨越多个三层网络的虚拟的二层网络，虚拟机可以在物理位置分散的数据中心之间进行迁移，这使得虚拟机的部署更加灵活和方便。

（3）优化的网络操作：由于VXLAN在标准的第三层IP网络上运行，不再需要构建和管理庞大的第二层基础传输层。

（4）经济性：VXLAN由物理服务器内部的虚拟机管理程序来管理，对虚拟机和普通的网络设备（如物理交换机、路由器）等透明，不需要对现有的物理交换机和路由器进行硬件方面的升级和改造。

虽然VXLAN技术能满足未来云端大规模发展的需求，但作为一项新的技术，VXLAN仍有不少不足之处。

（1）与提供网络服务的传统物理设备通信存在较大问题：VXLAN是一种隧道技术，由于在隧道的两端之间直接建立隧道，那么它是无法与途经的一些物理设备（如传统防火墙、传统负载均衡器）通信的。

（2）影响报文转发效率：需要为每个报文封装与解封装隧道头，降低了报文的转发效率。

4 结语

VXLAN主要解决现阶段大规模云计算数据中心虚拟网络不足的问题。VMware ESXi、Open vSwitch、当前主流的网络芯片均已支持VXLAN。它备受业界关注，未来有可能成为网络虚拟化技术当中的主流技术之一，如此看来，它的发展和应用前景还是值得期待的。

参考文献

[1] richsky.云网络的宏大未来：大二层网络[EB/OL].http：//www.360doc.com/content/12/0625/18/9318309_220380913.shtml.

[2] TechNet.网络虚拟化技术细节[EB/OL]. https：//technet.microsoft.com/zh-cn/library/jj134174.

[3] TT中国.VXLAN标准初探[EB/OL]. http：//www.cioage.com/art/201109/94420.htm.

[4] 51CT O.VXLAN和NVGRE能解决云网络VLAN不足[EB/OL].http：//networking.ctocio.com.cn/165/12358165.shtml.

[5] IETF.RFC 7348[EB/OL].https：//datatracker.ietf.org/doc/rfc7348/.

[6] 刘付桂兰.虚拟局域网新技术VXLAN研究[J].福建电脑，2014（11）.