张 琼



SDN网络技术VxLAN的研究及分析

张 琼

中移铁通有限公司甘肃分公司，甘肃 兰州 730000

随着云计算技术迅速发展与应用，传统的数据中心逐渐向由各种虚拟化技术所支撑的云数据中心转变。计算虚拟化和存储虚拟化已经取得长足发展，但网络虚拟化一直是云业务资源虚拟化的短板。VLAN能够在传统物理网络基础上构建逻辑的二层网络，提供了网络虚拟化的有效解决方式，是网络支持云业务发展的理想选择。基于此，对VxLAN技术进行了分析研究，并讨论了部署方法、优势及不足。

云计算；云数据中心；VxLAN

1 绪论

1.1 课题背景及意义

（1）研究背景。近些年来，随着实时业务如视频语音业务、云数据中心业务和移动业务的快速发展，人们发现以下问题：VLAN的数量限制，4 096个VLAN远不能满足大规模云计算数据中心的需求；物理网络基础设施的限制：基于IP子网的区域划分限制需要二层网络连通性的应用负载的部署；TOR交换机MAC表耗尽：虚拟化以及东西向流量导致更多的MAC表项。

（2）研究意义。帮助企业将虚拟域与基础网络和虚拟基础设施进行关联，通过采用基于VxLAN的网络部署：简化虚拟网络的扩展；夸异构网络应用服务，带来最佳性能；提升应用移动性和业务连续性。

1.2 国内外研究情况

传统的VLAN技术基于IEEE的802.1Q协议，在该协议的帧格式里面定义了VLAN ID的位数为12 bit，最多只能支持4 094个VLAN；随着云数据中心的各种业务应用的规模落地，业务量不断增长，就可能需要成千上万个VLAN，传统VLAN的数量不能满足云数据中心日后业务规模发展的需求。

2 相比传统网络，云数据中心网络应该考虑的需求

2.1 虚拟机的无限制的迁移

由于需要资源整合、业务备份，所以虚拟化技术要求资源池内的虚拟机在不中断业务的情况从一台物理服务器迁移到另外一台服务器，整个迁移过程不需要物理网络变化。因为迁移前后虚拟机的三层地址没有变化，且业务网关也保持一致，这就要求迁移网络是一个二层网络。而传统的网络数据中心为了防止广播风暴，而采用路由协议架构，并将二层网络限制在接入层以下，这就制约了虚拟机的迁移范围。

2.2 隔离多租户

为了安全性及防止地址重叠的问题，云计算需要保证各租户之间数据隔离。传统的二层网络借助VLAN来隔离业务，可用的VLAN数量只有4 094个，无法满足大规模租户的需求。而且传统二层网络的核心设备会允许所有VLAN通过，这就使得任一VLAN的广播数据包都会在整网泛洪，占用了网络带宽。

2.3 快速增加的虚拟机数量

在二层网络中，因为数据包需要通过MAC地址寻址来确定转发路径，所以网络设备的MAC地址容量决定了可接入虚拟机的规模。但是，低成本的接入交换机往往MAC地址容量比较小，无法满足大型数据中心的虚拟化需求。解决这些需求的传统思路是借助二层环路多生成树（MSTP）、交换机虚拟化（IRF/vPC）或二层多路径（TRILL/Fabric Path）等网络技术，将数据中心设计为二层网络。随着服务器、虚拟机数量越来越多，网络规模越来越大，这些技术由于各自的局限性已无法满足大型云数据中心的要求。

3 VxLAN协议

目前在overlay技术领域有三大技术路线：VxLAN、NVGRE、STT，其中最火的就是VxLAN技术，包括vmware、cisco、h3c等多个虚拟化以及传统网络厂商，都是以VxLAN技术来构建自己的SDN解决方案。

3.1 VxLAN基本原理

VxLAN（Virtual eXtensible LAN，可扩展虚拟局域网络）技术由思科和VMWare在2011年9月公布，是一种通过隧道实现的技术，能在三层网络的基础上做二层以太网网络隧道，从而实现跨地域的不同数据中心的二层互连。每个在三层网络基础上的二层叠加网络都有一VxLAN标识符（即VNI，VxLAN Network Identifier），只有在同一个VxLAN上的虚拟机之间才能相互通信。VNI在数据包之中占24比特，故可支持大于1 600万个VxLAN同时存在，远多于VLAN的4 094个。同一个VxLAN的虚拟机之间的通信由虚拟机所在物理机上的虚拟机管理程序来实现，虚拟机本身意识不到VxLAN的存在，即对VxLAN透明。

VxLAN 具有如下特点：

（1）支持大量的租户。使用 24 位的标识符，最多可支持 2 的 24 次方（16777216）个 VxLAN，支持的租户数目大规模增加，解决了传统二层网络 VLAN 资源不足的问题。（2）易于维护。基于 IP 网络组建大二层网络，使得网络部署和维护更加容易，并且可以充分地利用现有的 IP 网络技术，例如利用等价路由进行负载分担等；只有 IP 核心网络的边缘设备需要进行 VxLAN 处理，网络中间设备只需根据 IP 头转发报文，降低了网络部署的难度和费用。

目前，设备只支持基于 IPv4 网络的 VxLAN 技术，不支持基于 IPv6 网络的VxLAN技术。

3.2 VxLAN技术网络模型

见图1。

图1 VxLAN网络模型示意图

3.3 VxLAN 的优点

相对于VLAN，VxLAN具备以下的优势：

（1）极大地扩充了二层网段的数量。VxLAN技术的24位VNI标识符提供了1 600万VxLAN网段，远比VLAN的4 096个要多，可以满足云端数据中心多租户的网段分隔的需求。

（2）更大的灵活性。原来虚拟机的迁移只能在同网段 的二层网络上进行，受到地理位置的严重限制。VxLAN通过隧道技术来构建可以跨越多个3层网络的虚拟的2层网络，虚拟机可以在物理位置分散的数据中心之间迁移，这使得虚拟机的部署更加灵活和方便。

（3）优化的网络操作。由于VLAN在标准的第三层IP网络上运行，不再需要构建和管理庞大的第2层基础传输层。

（4）经济性。VxLAN由于物理机内部的虚拟机管理程序来管理，对虚拟机和普通的网络设备（交换机、路由器）等透明，不需要对现有的物理交换机和路由器进行硬件方面的升级和改造。

3.4 VxLAN 的不足

虽然VxLAN技术能满足未来云端大规模发展的需求，但作为意向新技术，VxLAN仍有不少不足之处。

（1）与提供网络服务的物理设备通信存在较大问题。虽然人们期望有一些数据中心交换机供应商能够支持3层VxLAN终端，但是使用VxLAN封装的逻辑子网还无法与物理设备通信，如交换机、负载均衡器或防火墙。VxLAN连接外部设备的唯一方法是使用虚拟3层网络设备，如vShield Edge、Vyatta路由器或F5负载均衡器，一个物理VLAN中需要一个vNIC，而在VxLAN中需要一个或多个。

（2）安全性不足。在VxLAN的草案白皮书没有具体指出防范针对VxLAN攻击的具体方法，在传统二层以太网里，可能会遇到ARP欺骗，MAC地址泛洪攻击，VLAN标记攻击等安全问题。在VxLAN环境下的虚拟二层网络上也可能遇到类似的攻击。除了ARP欺骗和MAC地址泛洪攻击外，虚拟机和VNI的映射关系，VNI和IP多播组的映射关系，可能遭到恶意入侵者的篡改。但是VxLAN技术还没有明确这些新出现的安全问题具体应该如何防范，只是建议使用ACL，802.1X，IPsec等传统安全技术来防范攻击；

（3）路由器压力过大。VxLAN在虚拟二层网络上通过组播技术来模拟物理二层以太网的广播功能。然而，因为VxLAN支持最多1 600万个VNI，如果云端的规模巨大，有成千上万的VxLAN网段，那么物理的网络设备就可能同时存在非常多的组播组，这可能占用很多路由器的资源，物理路由器的压力十分巨大。

[1]石晶.基于SDN+VXLAN在DCI部署方案[J].信息通信，2016（7）：32.

[2]张鹏，孙琼.基于SDN架构的OverlayVPN技术研究[J].电信技术，2016（6）：15-18.

[3]解云鹏，雷波，史凡.面向VDC组网的VXLAN控制面互通方案探讨[J].互联网天地，2016（2）：79-84.

[4]张臻.5G通信系统中的SDN/NFV和云计算分析[J].移动通信，2016（17）：56-58.

[5]庞冉，黄永亮.SDN技术在综合承载传送网中的应用分析[J].邮电设计技术，2013（11）：24-27.

TP393.1

A

1009-6434（2016）12-0131-02