【IT168专稿】虚拟化的概念从上世纪60年代的TDM、虚拟电路技术就开始逐步体现,发展到现在的各种技术如VLAN、VPN、虚拟设备等反映了各种各样的虚拟化。虚拟化是一个宽泛的概念,在IT的各领域都会有或多或少的应用。
什么是网络虚拟化?网络虚拟化是让一个物理网络能够支持多个逻辑网络,虚拟化保留了网络设计中原有的层次结构、数据通道和所能提供的服务,使得最终用户的体验和独享物理网络一样,同时网络虚拟化技术还可以高效的利用网络资源如空间、能源、设备容量等。如公司或其数据中心在拥有一套物理基础设施时可以虚拟出很多网络可以为公司的运维部门、新兼并公司、需隔离的重要部门等同时提供服务,各虚拟网络和物理网络拥有相同的安全性。
网络虚拟化的业务驱动力:
1 网络虚拟化能大幅度节省企业的开销。一般只需要一个物理网络即可满足服务要求。
2 简化企业网络的运维和管理。
3 提高了网络的安全性。多套物理网时很难做到安全策略的统一和协调,在一套物理网上可以将安全策略下发到各虚拟网络中,各虚拟网络间是完全的逻辑隔离,一个虚拟网络上的操作、变化、故障等不会影响到其它的虚拟网络。
4 提升了网络和业务的可靠性。如在虚拟网络中可以把多台核心交换机通过虚拟化技术融合为一台,当集群中的一些小的设备故障时整个的业务系统不会有任何的影响。
5 满足新型数据中心应用程序的要求。如云计算、服务器集群技术、VML的vMotion技术等新数据中心应用都要求数据中心和广域网有高性能的可扩展的虚拟化能力。
企业可以将园区和数据中心内的网络虚拟化通过虚拟化的广域网扩展到企业分布在各地的小型数据中心、灾备数据中心等,将企业网的虚拟化改造延伸到广域网,如下图。
企业网络虚拟化的关键技术元素包括网络设备的分区、虚拟化的互联互通、设备集群。如下图。
一些网络设备的分区技术如VLAN(虚拟局域网)、VRF、逻辑路由(Logical Router)、虚拟路由(Virtual Router)如下图。
VLAN 与 VRF如下图。
VLAN 实现在网络设备中将一些端口进行L2和L3的隔离,让不同的VLAN能同时运行在一个设备上。交换机上相应的虚拟技术是 VRF,虚拟出的多个VRF拥有各自的前向表和路由进程,如运营商可以在一台设备上实现多个VRF来接入多个大客户,利用VRF技术实现一台设备为多个客户同时提供服务。
逻辑路由(Logical Router)和 虚拟路由(Virtual Router)。
Logical Router主要应用在思科的CRS-1/12000上,实现的是底层的共享,不同的逻辑路由器拥有自己独立的线卡、引擎,逻辑路由器共享的是机箱,电源一些底层的东西。Virtual Router应用在思科的新一代面向数据中心的核心交换机Nexus 7000上,在一台设备上最多实现四个虚拟路由,Virtual Router相比于VRF是一个深度的虚拟化技术,不同的虚拟路由之间拥有各自独立的配置、独立的管理权限、独立的进程、独立的二层三层转发表和更高的协议监测。从管理员的角度来看,管理员可以单独登陆到各虚拟路由上,各虚拟路由上的策略变更、错误操作和故障等不会影响到其它的虚拟路由。
企业网络的需求总是和业务的需求相关,企业在做广域网的虚拟化改造时应该考虑以下的要求:
提供可扩展的Layer 2和Layer 3业务;为虚拟化设备(如VRF-Lite)提供背靠背互联;为网络中的任何场所(campus,branch,and DC/DCI)提供无缝的互联;可扩展到至少100个分支节点;支持传输数据的加密;易于添加其它种类的业务(如QoS,Multicast,WAAS,Netflow)。
MPLS是重要的网络虚拟化技术,能为企业在IP骨干网上提供多种业务类型。IP广域网基础设施虚拟化的两个关键手段是Layer 3 Segmentation三层VPN业务和Layer 2 VPN/Transport二层VPN业务,三层VPN业务可提供任意点之间的互联,一些特殊的应用程序和数据中心的特殊应用可能会要求广域网提供二层VPN业务,二层VPN业务可以使各局域网节点实现如同二层网线的互联。MPLS通过TE和多路径技术可以最大化链路的利用效率,同时还具有很强的QoS(多级服务)能力,为企业的不同优先级应用提供灵活的部署策略。提供IP组播业务和IPv4基础设施上的IPv6数据传播。
MPLS技术的协议栈概览如下图。
VPN Label包含VPN特征,用来区分企业网中下挂的不同部门不同业务。LDP Label是MPLS做转发的依据,需要做高级流量工程时则需要打上TE Label。各标签添加后互不干扰,拥有各自独立功能。
MPLS技术从宏观上看有两种大的模式:Overlay层叠模式和Peer对接模式。两种模式的概览如下图。
什么是网络虚拟化?网络虚拟化是让一个物理网络能够支持多个逻辑网络,虚拟化保留了网络设计中原有的层次结构、数据通道和所能提供的服务,使得最终用户的体验和独享物理网络一样,同时网络虚拟化技术还可以高效的利用网络资源如空间、能源、设备容量等。如公司或其数据中心在拥有一套物理基础设施时可以虚拟出很多网络可以为公司的运维部门、新兼并公司、需隔离的重要部门等同时提供服务,各虚拟网络和物理网络拥有相同的安全性。
MPLS三层VPN业务概览如下图。
左边的CE(Customer Edge)客户端路由器用来和运营商的作对接,可能需要接出一根或更多的物理链路连接到运营商的机房中路由器上的相应端口,CE路由器有自己独立的路由表、转发表、路由实例。需要在企业网中部署OSPF、EBGP、静态路由等和运营商做对接,在CE路由器和PE路由器做好动态路由协议和静态路由协议上的协商和配置后,运营商会帮助企业在全国不同的分支机构之间运行一个跨广域网的动态路由协议。
运营商中和客户做对接的是PE(Provider Edge)路由器,位于运营商网络的边缘,它既和客户的CE路由器运行IP协议,有和运营商的核心网以及P路由器进行MPLS标签的标记、分发等,不同的PE路由器之间可以通过MP-BGP协议互相传递VPN路由信息。。
P路由器位于MPLS网络的核心,是一个单协议栈的路由器,无需运行BGP,也不需要了解最终客户的VPN信息。P路由器通过MPLS标签转发数据包,在各PE路由器之间做高速的互联和数据转发。P和PE路由器之间在运营商网络内部可能需要运行iGP路由协议。
MPLS 三层VPN连接模式的一个配置实例如下图。
在PE路由器上的配置主要分成两块,VRF配置和MP-iBGP配置。VRF上配置了VRF Green和VRF Blue连接到两个客户,两个客户路由器有不同的标签来将他们的业务区分开。全网中的PE路由器需要做多协议的BGP(MP-iBGP)互通,以将客户路由广播到客户远端的分支机构。
前面的每个CE路由器上都只挂接了一个客户,在实际应用中可能需要通过一个CE来挂接很多个客户,即需要在一个CE上运行多个VRF实例。采用Multi-VRF CE(也称VRF-Lite)技术可满足这种需求,如下图。
CE路由器到对接的PE路由器之间的链路不需要运行MPLS协议,通过L2或逻辑手段(如802.1Q,FR/ATM VC's)实现VRF之间的相互隔离,最终实现敬爱那将运营商PE路由器上每个独立的VRF扩展到客户CE路由器上的效果。CE到PE之间有多种路由协议可选,如BGP、RIPv2、FIGRP、static。
Multi-VRF CE的一个配置实例如下图。
需要将各VRF跟相关的接口或子接口关联,各VRF实例中可能需要运行各种的协议,如OSPF。
MPLS二层VPN业务概览如下图。
任何二层封装的数据包如以太网数据都可以通过MPLS网络传输,如图中两端的两个CE路由器通过二层的VPN实现了如同以太网线的直连,两个CE之间是二层的关系,所有的二层特征如ARP解析、组播等对它们来说都是透明的,两个CE如同在一个局域网中。二层VPN上比较流行的部署模式有AToM(Any Transport over MPLS)和VPLS(Virtual Private LAN Service)两种。AToM可以将以太网、帧中继、PPP、ATM等多种局域网二层技术通过MPLS技术透传到远端,VPLS提供多点服务。
MPLS二层VPN连接模式的一个配置实例如下图。
R201和R203两个PE路由器进行了Pseudo Wire(伪线)的连接,两个PE路由器之间可以进行直接的LDP信令层面和数据层面的互通,这样就可以实现两个CE路由器(R200 和 R204)之间的二层互通。
MPLS网络三种部署架构之一:最终用户自我部署端到端的IP/MPLS骨干网。如下图。
这种部署架构比较适用于大型的银行、机构、电力部门等。采用这种模式时客户只从运营商租用一些底层的链路(如光纤),用户自己采购CE、PE、P路由器来搭建MPLS网络。用户可以完全控制MPLS搭建的网络,可自行控制如路由转发、安全策略等的配置。但是这种部署方式对企业的要求会比较高,需要最终用户有极高的技术能力去部署设计、运行和维护网络设备,并保障服务能力。
MPLS网络三种部署架构之二:电信运营商提供IP VPN Service。如下图。
采用这种部署架构时用户和他在各地的分支机构只需要购置CE路由器,由运营商提供线路、带宽和IP VPN业务服务。用户只需要把网络的运营管理职责交给电信运营商,这就大大节省了用户的运营、管理和维护成本,这种部署架构是最终用户构建大型网络时的高性价比方案,缺点是用户无法控制网络。
MPLS网络三种部署架构之三:混合模式-客户拥有核心网络,运营商提供客户各地的接入。如下图。
混合模式下用户可以自行购买P、PE路由器构建一个比较大型的数据中心作为核心网络,将链路资源服务外包给运营商。用户可以完全掌控核心网而把大量的连接分支机构的建设维护任务交给运营商,混合模式也需要用户有建设管理MPLS核心网的经验。
企业网、政府网在广域网上的主流技术选择是IP类型业务,在传统的L2传输网络上构建MPLS业务是很普遍的做法。现在的企业在寻求建立在运营商IP网络基础之上的L2/L3虚拟化广域网方案,如L3上的MPLS over GRE技术、L2上的MPLS AToM over GRE技术。
L2/L3服务类型一览如下图,左半为原生的MPLS技术,右半为传统IP网络上实现的MPLS技术。
下图是一个在L2传输基础上应用MPLS技术实现企业分支机构的汇聚的例子。
在过去的很长时间内企业可能投入了很多资金建设了一张覆盖范围较大的如Frame Relay二层网络,企业可能希望在不做大的改造的情况下能够享受到MPLS技术的一些优势,这可以通过在总部和分支机构配置支持MPLS技术的路由器并实现MPLS技术在二层上的层叠来实现。
MPLS VPN over GRE概念:在“传统的”MPLS 技术中需要构建端到端的MPLS网络,MPLS标签交换路径(LSP)构建在网络的入口和出口之间,因此当网络路径中有任何一台设备不支持MPLS技术时,就无法组建MPLS网络。解决方法可以在端到端的MPLS网络的两端设备间进行MPLS的GRE隧道封装,采用添加IP+GRE包头的方式,添加的包头中有目的PE路由器的IP地址信息。这样就只需要网络的入口和出口两台PE路由器支持MPLS,网络路径中其它路由器无需支持MPLS。
GRE隧道中MPLS数据帧结构如下图。
在原始的IP数据框架上添加了总共28 bytes的包头信息,包括4 bytes的VPN Label、4 bytes的GRE包头、20 bytes新的IP包头,新添28 bytes 包头和原来是IP数据框架组成了新的IP数据框架。在28 bytes的包头信息中包含源、目的PE路由器的IP地址。
MPLS VPN over GRE 传输过程控制层面的示意如下图。
网络两端的PE路由器之间建立了完整的端到端的GRE通道,当进行控制信令层面的互通如路由互通、路由更新、路由撤销时信令通过GRE隧道进行端到端的连接。
MPLS VPN over GRE 传输过程数据转发层面示意如下图。
当一个数据包从Site 2(CE2)传到C-PE2时,C-PE2会给数据包加上两层的包头即VPN Label(图中“100”)和GRE包头(“C-PE1 IP”)。数据包从C-PE2经GRE隧道传输到C-PE1后,C-PE1进行解封装,将外面的GRE的包头去掉,然后根据VPN Label信息作数据的转发,如“100”可能代表某一个企业的某一个业务。
MPLS VPN over GRE的一个配置实例如下图。
MPLS运行叠加在两台PE路由器端到端的GRE隧道内部,中间的IPv4网络对于GRE隧道来说是完全透明的,IPv4网络可以不启用任何的MPLS技术。企业在自己的核心网不支持MPLS技术时也能让自己的各分支机构享受到MPLS技术的好处。
* 在广域网上进行虚拟化延伸的技术。
当企业需要将VLAN或者VRF扩展到广域网的时候,有很多的技术可以选择,在选择时有一些重要的问题需要考虑。如下图所示。
虚拟化的分支机构互联方式一:通过运营商VRF-Lite技术在企业内部部署多个VPN,如下图。
企业可以向运营商采购一个VPN,利用这个VPN运行企业的所有业务。当企业的业务足够复杂之后,可能需要向运营商购买很多个VPN(如上图中所示四个)以进行业务的隔离,实现更高的安全策略。
虚拟化的分支机构互联方式二:VRF-Lite over DMVPN。如下图。
DMVPN(Dynamic Multipoint VPN 动态多点VPN),这种方式比较适用于企业的分支机构存在经常的上、下线和部署变更时,如银行的ATM机网。
VRF-Lite over DMVPN 传输控制如下图。
企业有三种分类业务(上图中蓝、橙、绿),企业在园区网/局域网内为这三种业务部署了MPLS VPN。三种业务数据通过VRF-Lite技术透传到运营商提供的三个VPN中,数据通过GRE隧道传送(添加了28 bytes的包头)。数据传输到企业的分支机构后进行解封装,还原为原始IP数据并传送到相应业务接收部门。
虚拟化的分支机构互联方式三:MPLS over Point-to-Point GRE。如下图。
点到点GRE方式需要在所有的分支机构上手动配置好GRE隧道,之后将MPLS业务叠加到点到点的GRE上。
MPLS over Point-to-Point GRE 数据转发层包结构如下图。
IP数据传输到GRE隧道时会添加VPN、GRE和新IP包头,GRE隧道中可承载LDP。
虚拟化的分支机构互联方式四:MPLS VPN (2547) over DMVPN。如下图。
MPLS VPN over DMVPN 数据转发层包结构如下图。
虚拟化的分支机构互联方式五:MPLS VPN (2547) over GRE Encapsulation(不需要LDP)。如下图。
方式五数据转发层包结构如下图,GRE封装时没有LDP包头。
以上五种WAN虚拟化部署模式方案对比如下图。
* 数据中心应用Layer 2 虚拟技术和广域网对接
现在的企业数据中心可能有主数据中心、备份数据中心、异地数据中心等,在一个数据数据中心中有以太网络、存储网络、SAN网络等。数据中心的云计算和超级计算的发展方向对数据中心在Layer 2层上的广域网扩展互联有很多的应用需求。如下图所示。
VMWare VMotion虚拟机迁移技术能实现应用系统的动态迁移和业务永续。如银行在晚上的交易量较低,此时可以将银行的一个数据中心的虚拟机迁移到另一个数据中心,并将没有业务的数据中心整体断电关闭,当业务量回升时再重新启用,整个过程可保持银行业务的连续运行。VMWare VMotion简示及其对Layer 2互联需求如下图。
数据中心的发展趋势是数据中心虚拟化,数据中心虚拟化如虚拟主机的在线迁移、服务器集群、数据中心互联虚拟化等的一个关键的支持是在Layer 2上的扩展互联,即L2域的扩展。传统的STP带来的挑战和相应的技术需求如下图。
针对上图中的挑战和需求,VSS或vPC技术可彻底消灭STP。如下图。
VSS和vPC对应的思科产品是Catalis 6500和Nexus 7000,VSS和vPC都能实现交换机在逻辑上的合而为一,并同时利用各交换机的链路进行传输。对接入交换机来说,原来的上行环路(上图左半部分)也消除了,无需STP。
数据中心通过EoMPLS/VPLS承载在GRE隧道上实现的互联如下图所示。
Layer 2扩展:EoMPLS(Ethernet over MPLS )over GRE网络示意如下图。
Layer 2扩展:VPLS over GRE网络示意如下图。
数据中心应用Layer 2虚拟技术和广域网对接的一些要点总结如下:数据中心的应用程序要求数据中心L2域在广域网上扩展,使用VSS和vPC技术能增加数据中心的可靠性稳定性,最小化Spanning Tree域,传输手段包括光纤、MPLS、IP/IP-VPN services,技术方案必须支持点到点和点到多点的连接(大于两个物理节点)。