網路虛擬化簡單來講是指把邏輯網路從底層的物理網路分離開來。這個概念產生的比較久了,VLAN,VPN, VPLS等 都可以歸為網路虛擬化的技術。總體來說,分為縱向分割和橫向分割兩大類概念。
縱向分割
早期的"網路虛擬化",是指虛擬私人網路絡(VPN)。VPN對網路連接的概念進行了抽象,允許遠端使用者訪問組織的內部網路,就像物理上連接到該網路一樣。網路虛擬化可以説明保護IT環境,防止來自Internet的威脅,同時使用戶能夠快速安全的訪問應用程式和資料。 隨後的網路虛擬化技術隨著資料中心業務要求發展為:多種應用承載在一張物理網路上,通過網路虛擬化分割(稱為縱向分割)功能使得不同企業機構相互隔離,但可在同一網路上訪問自身應用,從而實現了將物理網路進行邏輯縱向分割虛擬化為多個網路;
如果把一個企業網路分隔成多個不同的子網路――它們使用不同的規則和控制,使用者就可以充分利用基礎網路的虛擬化路由功能,而不是部署多套網路來實現這種隔離機制。 網路虛擬化概念並不是什麼新概念,因為多年來,虛擬區域網路(VLAN)技術作為基本隔離技術已經廣泛應用。當前在切換式網路上通過VLAN來區分不同業務網段、配合防火牆等安全產品劃分安全區域,是資料中心基本設計內容之一。
出於將多個邏輯網路隔離、整合的需要,VLAN、MPLS-VPN、Multi-VRF技術在路由環境下實現了網路訪問的隔離,虛擬化分割的邏輯網路內部有獨立的資料通道,終端使用者和上層應用均不會感知其它邏輯網路的存在。但在每個邏輯網路內部,仍然存在安全控制需求,對資料中心而言,訪問資料流程從外部進入資料中心,則表明了資料在不同安全等級的區域之間流轉,因此,有必要在網路上提供邏輯網路內的安全性原則,而不同邏輯網路的安全性原則有各自獨立的要求,虛擬化安全技術,將一台安全設備可分割成若干台邏輯安全設備(成為多個實例),從而很好滿足了虛擬化的深度強化安全要求。
橫向分割
從另外一個角度來看,多個網路節點承載上層應用,基於冗餘的網路設計帶來複雜性,而將多個網路節點進行整合(稱為橫向整合),虛擬化成一台邏輯裝置,提升資料中心網路可用性、節點性能的同時將極大簡化網路架構。
資料中心是企業IT架構的核心領域,傳統的資料中心網路架構由於多層結構、安全區域、安全等級、策略部署、路由控制、VLAN劃分、二層環路、冗餘設計等諸多因素,導致網路結構比較複雜,使得資料中心基礎網路的運維管理難度較高。
使用網路虛擬化技術,使用者可以將多台設備連接,“橫向整合”起來組成一個“聯合設備”,並將這些設備看作單一設備進行管理和使用。多個盒式設備整合類似於一台機架式設備,多台框式設備的整合相當於增加了槽位,虛擬化整合後的設備組成了一個邏輯單元,在網路中表現為一個網元節點,管理簡單化、配置簡單化、可跨設備鏈路聚合,極大簡化網路架構,同時進一步增強冗餘可靠性。
網路虛擬化分為以下三個方面:
1.核心層虛擬化
核心層網路虛擬化,主要指的是資料中心核心網路設備的虛擬化。它要求核心層網路具備超大規模的資料交換能力,以及足夠的萬兆接入能力;提供虛擬機器箱技術,簡化設備管理,提高資源利用率,提高交換系統的靈活性和擴展性,為資源的靈活調度和動態伸縮提供支撐。其中VPC技術(Virtual Port-Channel)可以實現跨交換機的埠捆綁,這樣在下級交換機上連屬於不同主機殼的虛擬交換機時,可以把分別連向不同主機殼的萬兆鏈路用IEEE802.3ad相容的技術實現乙太網鏈路捆綁,提高冗餘能力和鏈路互連頻寬,簡化網路維護。
2.接入層虛擬化
接入層虛擬化,可以實現資料中心接入層的分級設計。根據資料中心的走線要求,接入層交換機要求能夠支援各種靈活的部署方式和新的乙太網技術。目前無損乙太網技術標準發展很快,稱為資料中心乙太網DCE或融合增強乙太網CEE,包括擁塞通知(IEEE802.1Qau)、增強傳輸選擇ETS(IEEE 802.1Qaz)和優先順序流量控制PFC(IEEE 802.1Qbb)、鏈路發現協議LLDP(IEEE 802.1AB)[4]。
3.虛擬機器網路交換
虛擬機器網路交互包括物理網卡虛擬化和虛擬網路交換機,在伺服器內部虛擬出相應的交換機和網卡功能。虛擬交換機在主機內部提供了多個網卡的互聯以及為不同的網卡流量設定不同的VLAN標籤功能,使得主機內部如同存在一台交換機,可以方便的將不同的網卡連接到不同的埠。虛擬網卡是在一個物理網卡上虛擬出多個邏輯獨立的網卡,使得每個虛擬網卡具有獨立的MAC位址、IP位址,同時還可以在虛擬網卡之間實現一定的流量調度策略。因此,虛擬機器網路交互需要實現以下功能:
A. 虛擬機器的雙向存取控制和流量監控,包括深度包檢測、埠鏡像、埠遠端鏡像、流量統計;
B. 虛擬機器的網路屬性應包括:VLAN、QoS、ACL、頻寬等;
C. 虛擬機器的網路屬性可以跟隨虛擬機器的遷移而動態遷移,不需要人工的干預或靜態配置,從而在虛擬機器擴展和遷移過程中,保障業務的持續性;
D. 虛擬機器遷移時,與虛擬機器相關的資源配置,如存儲、網路配置隨之遷移。同時保證遷移過程業務不中斷。 IEEE 802.1Qbg EVB (Edge Virtual Bridging)和802.1Qbh BPE(Bridge Port Extension)是為擴展虛擬資料中心中交換機和虛擬網卡的功能而制定的,也稱為邊緣網路虛擬化技術標準,這兩種標準都在制定中。其中802.1Qbg要求所有VM資料的交換(即使位於同一物理伺服器內部)都通過外部網路進行,即外部網路能夠支援虛擬交換功能,對於虛擬切換式網路範圍內VM動態遷移、調度資訊,均通過LLDP擴展協議得到同步以簡化運維。802.1Qbh可以將遠端交換機部署為虛擬環境中的策略控制交換機,而不是部署成為鄰近伺服器機架的交換機,通過多個虛擬通道,讓邊緣虛擬橋複製幀到一組遠端埠,可以利用瀑布式的串聯埠靈活地設計網路,從而更有效地為多播、廣播和單播幀分配頻寬。
目前網路虛擬化技術
使用虛擬化技術(例如Cisco的VSS、華為的CSS、H3C的IRF2等虛擬化技術),使用者可以將多台設備連接,“橫向整合”起來組成一個“聯合設備”,並將這些設備看作單一設備進行管理和使用。多個盒式設備整合類似於一台機架式設備,多台框式設備的整合相當於增加了槽位,虛擬化整合後的設備組成了一個邏輯單元,在網路中表現為一個網元節點,管理簡單化、配置簡單化,可跨設備鏈路聚合,極大地簡化網路架構,同時進一步增強冗餘可靠性。 網路虛擬交換技術為資料中心建設提供了一個新標準,定義了新一代網路架構,使得各種資料中心的基礎網路都能夠使用這種靈活的架構,能夠幫助企業在構建永續和高度可用的狀態化網路的同時,優化網路資源的使用。 在虛擬化架構上,通過OAA集成虛擬化安全,使得傳統網路中離散的安全控制點被整合進來,進一步強化並簡化了基礎網路安全,網路虛擬化技術將在資料中心端到端總體設計中發揮重要作用。
虛擬化資料中心網路架構與傳統的網路設計相比,提供了多項顯著優勢。