1、-. z.SDN VPC網(wǎng)絡解決方案技術建議書華三通信技術TIME yyyy年M月10:50 PM目錄TOC o h z uHYPERLINK l _Toc402380222第一章*項目SDN項目需求分析 PAGEREF _Toc402380222 h 4HYPERLINK l _Toc4023802231.1項目背景 PAGEREF _Toc402380223 h 4HYPERLINK l _Toc4023802241.2項目目標 PAGEREF _Toc402380224 h 4HYPERLINK l _Toc4023802251.3項目需求 PAGEREF _Toc402380225 h

2、 4HYPERLINK l _Toc402380226第二章投標方案優(yōu)勢 PAGEREF _Toc402380226 h 5HYPERLINK l _Toc4023802272.1選擇華三產(chǎn)品的幾大優(yōu)勢 PAGEREF _Toc402380227 h 5HYPERLINK l _Toc402380228全球領先的國有品牌 PAGEREF _Toc402380228 h 5HYPERLINK l _Toc402380229企業(yè)網(wǎng)市場的佼佼者 PAGEREF _Toc402380229 h 5HYPERLINK l _Toc402380230領域標準倡導者與領導者 PAGEREF _Toc4023

3、80230 h 6HYPERLINK l _Toc402380231經(jīng)過實踐檢驗的穩(wěn)定性 PAGEREF _Toc402380231 h 8HYPERLINK l _Toc402380232最完善的售后服務體系 PAGEREF _Toc402380232 h 8HYPERLINK l _Toc402380233測試最嚴格的產(chǎn)品 PAGEREF _Toc402380233 h 9HYPERLINK l _Toc402380234最適合*的產(chǎn)品與方案 PAGEREF _Toc402380234 h 9HYPERLINK l _Toc402380235第三章* SDN VPC網(wǎng)絡解決方案 PAGER

4、EF _Toc402380235 h 9HYPERLINK l _Toc4023802363.1總體設計原則 PAGEREF _Toc402380236 h 11HYPERLINK l _Toc4023802373.2建設方案 PAGEREF _Toc402380237 h 12HYPERLINK l _Toc4023802383.3總體方案 PAGEREF _Toc402380238 h 12HYPERLINK l _Toc4023802393.3.1H3C SDN VPC網(wǎng)絡解決方案基礎 PAGEREF _Toc402380239 h 12HYPERLINK l _Toc402380240

5、的概念介紹 PAGEREF _Toc402380240 h 12HYPERLINK l _Toc402380241的技術標準 PAGEREF _Toc402380241 h 13HYPERLINK l _Toc4023802423.3.2H3C SDN VPC網(wǎng)絡解決方案 PAGEREF _Toc402380242 h 15HYPERLINK l _Toc402380243典型組網(wǎng) PAGEREF _Toc402380243 h 15HYPERLINK l _Toc402380244網(wǎng)絡基礎架構 PAGEREF _Toc402380244 h 16HYPERLINK l _Toc4023802

6、45網(wǎng)絡部署需求 PAGEREF _Toc402380245 h 17HYPERLINK l _Toc402380246.1V*LAN 對基礎承載網(wǎng)絡的需求 PAGEREF _Toc402380246 h 17HYPERLINK l _Toc402380247.2V*LAN 網(wǎng)絡和傳統(tǒng)網(wǎng)絡互通的需求 PAGEREF _Toc402380247 h 17HYPERLINK l _Toc402380248.3V*LAN 網(wǎng)絡安全需求 PAGEREF _Toc402380248 h 18HYPERLINK l _Toc402380249網(wǎng)絡虛機位置無關性 PAGEREF _Toc402380249

7、h 18HYPERLINK l _Toc402380250分布式網(wǎng)關 PAGEREF _Toc402380250 h 19HYPERLINK l _Toc402380251網(wǎng)絡流表路由 PAGEREF _Toc402380251 h 19HYPERLINK l _Toc402380252網(wǎng)絡轉發(fā)流程 PAGEREF _Toc402380252 h 20HYPERLINK l _Toc402380253網(wǎng)絡虛機遷移 PAGEREF _Toc402380253 h 20HYPERLINK l _Toc402380254網(wǎng)關高可靠性 PAGEREF _Toc402380254 h 21HYPERLI

8、NK l _Toc402380255網(wǎng)關彈性擴展升級 PAGEREF _Toc402380255 h 22HYPERLINK l _Toc402380256網(wǎng)絡安全部署 PAGEREF _Toc402380256 h 23HYPERLINK l _Toc402380257第四章SDN VPC方案給*帶來的價值 PAGEREF _Toc402380257 h 24*項目SDN項目需求分析項目背景項目目標項目需求投標方案優(yōu)勢選擇華三產(chǎn)品的幾大優(yōu)勢企業(yè)網(wǎng)市場的佼佼者Gartner魔力四象限排名，華三在企業(yè)網(wǎng)市場，處于第一象限。SDN領域標準倡導者與領導者華三通信是SDN國際領先標準組織及開源控制器項

9、目的成員，是SDN相關國際標準的倡導者、實踐者與領導者，華三通信從2009年起開始跟蹤SDN技術的發(fā)展，并投入大量研發(fā)力量進行相關產(chǎn)品的研制與開發(fā)，截止目前已經(jīng)開發(fā)了全系列的產(chǎn)品和豐富的解決方案，是業(yè)界唯一能夠提供SDN設備、SDN控制器、SDN應用、SDN管理與業(yè)務編排系統(tǒng)的廠商。ONF組織成員https:/./membership/member-listingOpen Daylight組織成員./經(jīng)過實踐檢驗的穩(wěn)定性華三公司擁有我國最廣泛的網(wǎng)絡產(chǎn)品行業(yè)應用案例，中央部委的應用份額超過70，各級電子政務國干、省干、地市城域網(wǎng)新增份額超過70；服務于三大行數(shù)據(jù)中心（中國農(nóng)業(yè)銀行、中國銀行、中國

10、建行）、兩大行全國一級骨干網(wǎng)（中國農(nóng)業(yè)銀行和中國人民銀行）、四大行（工、農(nóng)、中、建）省行骨干網(wǎng)；服務于全部211”高校，承建超過80%的教育城域網(wǎng)，超過40個平安校園，參與全國1700余所高校的信息化建設。服務包括寶鋼、中國鋁業(yè)、一汽、海爾、長虹在的超過300家的中國500強企業(yè)。在SDN領域，華三一直積極與各行業(yè)用戶進行緊密的合作與研究，并結合用戶業(yè)務需求開發(fā)了大量SDN應用，是國SDN領域實踐案例最為豐富的網(wǎng)絡廠商。目前華三已經(jīng)與聯(lián)通研究院、電信研究院簽署了SDN合作協(xié)議成為合作伙伴，這是國SDN領域最高規(guī)格的合作；聯(lián)通集團智慧城市項目正式采用華三SDN網(wǎng)絡虛擬化平臺，提高了其智慧城市平臺

11、運維效率95%以上，將網(wǎng)絡配置錯誤率降低為0，這是國首例運營商級的SDN應用案例，是業(yè)最領先的。最完善的售后服務體系35個區(qū)域技術支持中心，300余名雙華三SE級別或以上級別的一線技術服務工程師，提供貼近客戶的強大原廠區(qū)域服務力量，為客戶提供覆蓋網(wǎng)絡生命全周期的服務解決方案。在本項目實施的各個省份，華三均可提供快捷的本地服務。130余名技術中心總部產(chǎn)品技術專家，涵蓋網(wǎng)絡規(guī)劃、網(wǎng)絡測試驗證、路由、交換、安全、無線、存儲、語音、視訊、監(jiān)控、網(wǎng)管等所有IP細分產(chǎn)品技術領域。30余名行業(yè)技術服務解決方案專家，全專全能，深入了解行業(yè)客戶需求，為客戶提供專業(yè)的咨詢顧問服務。2500名研發(fā)后援專家，提供背靠

12、背支持。華三呼叫中心配備80個專業(yè)坐席，7*24小時響應客戶需求。客戶呼叫等待時間小于20秒，客戶服務滿意度高達95。500家渠道認證合作伙伴，近3000名認證服務工程師。39個授權服務中心。雄厚的區(qū)域備件資源3個備件分撥中心（、）82個區(qū)域備件中心（省會城市、直轄市、二級城市）專業(yè)第三方物流公司戰(zhàn)略合作伙伴測試最嚴格的產(chǎn)品華三擁有國最嚴格的測試保障流程，以保證出廠產(chǎn)品能夠滿足最苛刻的使用條件。獨立的產(chǎn)品測試中心，累積投資超過3億元人民幣。兩地，各有一個大型專業(yè)測試實驗室。擁有業(yè)界領先的測試儀器N2*、Testcenter 、I*IA *M 、Smartbits、Avalanche、A*400

13、0、Abacus等儀器30余臺。對公司所有產(chǎn)品進行嚴格的鑒定測試。公司全線產(chǎn)品均通過國際著名測試機構Tolly Group的嚴格測試。注：Tolly Group測試機構對所有產(chǎn)品均采用黑盒測試，測試結果無論好壞均直接在公布，所有測試容和測試結果均網(wǎng)上可查：.tolly.。最適合*的產(chǎn)品與方案華三SDN VPC網(wǎng)絡解決方案，也與*的*業(yè)務的需求深度契合，可以在最大程度上滿足*的*的需求。*SDN VPC網(wǎng)絡解決方案隨著企業(yè)業(yè)務的快速擴展，IT作為基礎設施，其快速部署和高利用率成為主要需求。云計算可以為之提供可用的、便捷的、按需的資源提供，成為當前企業(yè)IT建設的常規(guī)形態(tài)，而在云計算量采用和部署的虛

14、擬化幾乎成為一個基本的技術模式。部署虛擬機需要在網(wǎng)絡中無限制地遷移到目的物理位置，虛機增長的快速性以及虛機遷移成為一個常態(tài)性業(yè)務。傳統(tǒng)的網(wǎng)絡已經(jīng)不能很好滿足企業(yè)的這種需求，面臨著如下挑戰(zhàn)：虛擬機遷移圍受到網(wǎng)絡架構限制虛擬機遷移的網(wǎng)絡屬性要求，當其從一個物理機上遷移到另一個物理機上，虛擬機需要不間斷業(yè)務，因而需要其IP地址、MAC地址等參數(shù)維持不變，如此則要求業(yè)務網(wǎng)絡是一個二層網(wǎng)絡，且要求網(wǎng)絡本身具備多路徑多鏈路的冗余和可靠性。傳統(tǒng)的網(wǎng)絡生成樹(STP，Spaning Tree Protocol)技術不僅部署繁瑣，且協(xié)議復雜，網(wǎng)絡規(guī)模不宜過大，限制了虛擬化的網(wǎng)絡擴展性。基于各廠家私有的IRF/v

15、PC等設備級的（網(wǎng)絡N:1）虛擬化技術，雖然可以簡化拓撲、具備高可靠性，但是對于網(wǎng)絡有強制的拓撲形狀，在網(wǎng)絡的規(guī)模和靈活性上有所欠缺，只適合小規(guī)模網(wǎng)絡構建，且一般適用于數(shù)據(jù)中心部網(wǎng)絡。而為了大規(guī)模網(wǎng)絡擴展的TRILL/SPB/FabricPath/VPLS等技術，雖然解決了上述技術的不足，但對網(wǎng)絡有特殊要求，即網(wǎng)絡中的設備均要軟硬件升級，而支持此類新技術會帶來部署成本的大幅度上升。虛擬機規(guī)模受網(wǎng)絡規(guī)格限制在大二層網(wǎng)絡環(huán)境下，數(shù)據(jù)流均需要通過明確的網(wǎng)絡尋址以保證準確到達目的地，因此網(wǎng)絡設備的二層地址表項大小（即MAC地址表），成為決定了云計算環(huán)境下虛擬機的規(guī)模上限，并且因為表項并非百分之百的有效

16、性，使得可用的虛機數(shù)量進一步降低。特別是對于低成本的接入設備而言，因其表項一般規(guī)格較小，限制了整個云計算數(shù)據(jù)中心的虛擬機數(shù)量，但如果其地址表項設計為與核心或網(wǎng)關設備在同一檔次，則會提升網(wǎng)絡建設成本。雖然核心或網(wǎng)關設備的MAC與ARP規(guī)格會隨著虛擬機增長也面臨挑戰(zhàn)，但對于此層次設備能力而言，大規(guī)格是不可避免的業(yè)務支撐要求。減小接入設備規(guī)格壓力的做法可以是分離網(wǎng)關能力，如采用多個網(wǎng)關來分擔虛機的終結和承載，但如此也會帶來成本的巨幅上升。網(wǎng)絡隔離/分離能力限制當前的主流網(wǎng)絡隔離技術為VLAN（或VPN），在大規(guī)模虛擬化環(huán)境部署會有兩大限制：一是VLAN數(shù)量在標準定義中只有12個比特單位，即可用的數(shù)量

17、為4K，這樣的數(shù)量級對于公有云或大型虛擬化云計算應用而言微不足道，其網(wǎng)絡隔離與分離要求輕而易舉會突破4K；二是VLAN技術當前為靜態(tài)配置型技術（只有EVB/VEPA的802.1Qbg技術可以在接入層動態(tài)部署VLAN，但也主要是在交換機接主機的端口為常規(guī)部署，上行口依然為所有VLAN配置通過)，這樣使得整個數(shù)據(jù)中心的網(wǎng)絡幾乎為所有VLAN被允許通過(核心設備更是如此)，導致任何一個VLAN的未知目的廣播數(shù)據(jù)會在整網(wǎng)泛濫，無節(jié)制消耗網(wǎng)絡交換能力與帶寬。上述的三大挑戰(zhàn)，完全依賴于物理網(wǎng)絡設備本身的技術改良，目前看來并不能完全解決大規(guī)模云計算環(huán)境下的問題，一定程度上還需要更大圍的技術革新來消除這些限制

18、，以滿足云計算虛擬化的網(wǎng)絡能力需求。在此驅動力基礎上，逐步演化出Overlay網(wǎng)絡技術。*SDN VPC網(wǎng)絡解決方案，首先要滿足業(yè)務需求，能夠實現(xiàn)*等需求，第二，要解決上述三大挑戰(zhàn)。下面將從*等*個章節(jié)，對該方案進行闡述。總體設計原則*系統(tǒng)建設項目從*實際需求出發(fā)，充分利用信息技術優(yōu)勢，從大處著眼，小處著手，與用戶共同建設一個目標明確、管理清晰、執(zhí)行順利、平穩(wěn)運行的項目，在系統(tǒng)的建設和管理過程中，我們將遵循以下原則：1、注重頂層設計、統(tǒng)籌規(guī)劃，分步實施原則在項目的整體規(guī)劃和總體設計階段做好統(tǒng)一設計、統(tǒng)一標準、統(tǒng)一規(guī)，然后分層、分階段、逐步建設，關注每個階段的產(chǎn)出和成果，在統(tǒng)一的目標下逐步完成整

19、個項目的策略、需求、分析、設計、研發(fā)、測試、部署、試運行、培訓、運維等工作。同時充分發(fā)揮各類項目相關人的知識能動性，為*提供信息化建設的咨詢指導。2、強化應用建設，突出應用，關注實用原則*建設項目的建設效果和建設思路直接體現(xiàn)了*建設項目最直接的產(chǎn)出。因此，我們在建設項目過程中，將重點突出項目的應用目的，關注實用價值，以應用和需求為主導，并在建設的過程中基于*業(yè)務服務的要求、IT技術的發(fā)展，邊建設、邊開發(fā)、邊應用、邊完善，讓應用的實際效果作為項目直接驅動要素。3、追求架構先進、技術成熟，擴展性強原則項目建設中所采用的技術架構，在一定程度上影響著項目的穩(wěn)定性，也影響到項目未來的發(fā)展。因此在實施過程

20、中我們將放眼長遠，在保證可靠的基礎上，盡量采用先進的網(wǎng)絡技術、應用平臺和開發(fā)工具，使*系統(tǒng)建設項目具有較長的生命周期。4、經(jīng)濟實用、節(jié)約成本原則無論在產(chǎn)品的選型、技術的選擇中，我們都要考慮成本的約束，其中不僅考慮當前采購的經(jīng)濟性，還要考慮系統(tǒng)長期運維的經(jīng)濟性，即系統(tǒng)的總擁有成本，盡力選擇既經(jīng)濟可行又長期保障的產(chǎn)品和技術。5、確保安全、保護隱私原則在系統(tǒng)建設中要充分考慮到系統(tǒng)安全性以及敏感信息的隱私性，避免數(shù)據(jù)出現(xiàn)在共享信息里，從網(wǎng)絡系統(tǒng)、硬件子系統(tǒng)、軟件子系統(tǒng)的設計都要充分考慮安全，采用安全可靠的技術，保證建成的系統(tǒng)穩(wěn)定運行。6、重視資源、強調成長原則在項目建設的過程中，注重信息資源和人力資源

21、的管理，在數(shù)據(jù)資源方面，注重網(wǎng)絡資源共享的效率性，實現(xiàn)網(wǎng)絡互連、信息互通、資源共享，應用交互與協(xié)同的網(wǎng)絡環(huán)境，同時注重各級人力資源配置的合理性，做好培訓工作，與甲方的工作人員共同成長，充分發(fā)揮資源效能。7、保護投資、充分利舊原則在本項目建設過程中，充分利用現(xiàn)有資源，防止新鋪攤子和重復建設，所有建設容都依托現(xiàn)有條件和隊伍進行建設，充分利用現(xiàn)有的資源、成果、設備，不搞重復建設。8、先進性和成熟性遵守先進性、可行性、成熟性，以保證系統(tǒng)的互操作性、兼容性、可維護性、可擴展性，并對前期投資有較好的保護。9、一致性和復用性本項目建設應充分考慮業(yè)務需求，要最大限度利用已有的資源，以減少重復投資，提高投資收益

22、率。10、實施有序性統(tǒng)籌協(xié)調，建立相關管理制度，加強管理和指導，確保協(xié)調推進，有序實施，保證項目能夠順利、按時完成。建設方案為滿足*的*等需要，需采購產(chǎn)品硬件和軟件許可，主要實現(xiàn)（呼應1.3項目需求容）總體方案H3C SDN VPC網(wǎng)絡解決方案基礎Overlay的概念介紹Overlay在網(wǎng)絡技術領域，是一種網(wǎng)絡架構上疊加的虛擬化技術模式，其大體框架是對基礎網(wǎng)絡不進行大規(guī)模修改的條件下，實現(xiàn)應用在網(wǎng)絡上的承載，并能與其它網(wǎng)絡業(yè)務分離，并且以基于IP的基礎網(wǎng)絡技術為主。Overlay網(wǎng)絡是指建立在已有網(wǎng)絡上的虛擬網(wǎng)，邏輯節(jié)點和邏輯鏈路構成了Overlay網(wǎng)絡。Overlay網(wǎng)絡是具有獨立的控制和轉

23、發(fā)平面，對于連接在overlay邊緣設備之外的終端系統(tǒng)來說，物理網(wǎng)絡是透明的。Overlay網(wǎng)絡是物理網(wǎng)絡向云和虛擬化的深度延伸，使云資源池化能力可以擺脫物理網(wǎng)絡的重重限制，是實現(xiàn)云網(wǎng)融合的關鍵。Overlay網(wǎng)絡概念圖Overlay的技術標準IETF在Overlay技術領域提出V*LAN、NVGRE、STT三大技術方案。大體思路均是將以太網(wǎng)報文承載到*種隧道層面，差異性在于選擇和構造隧道的不同，而底層均是IP轉發(fā)。V*LAN和STT對于現(xiàn)網(wǎng)設備而言對流量均衡要求較低，即負載鏈路負載分擔適應性好，一般的網(wǎng)絡設備都能對L2-L4的數(shù)據(jù)容參數(shù)進行鏈路聚合或等價路由的流量均衡，而NVGRE則需要網(wǎng)絡

24、設備對GRE擴展頭感知并對flow ID進行HASH，需要硬件升級；STT對于TCP有較大修改，隧道模式接近UDP性質，隧道構造技術屬于革新性，且復雜度較高，而V*LAN利用了現(xiàn)有通用的UDP傳輸，成熟性極高。所以總體比較，VL*AN技術具有更大優(yōu)勢，而且當前VL*AN也得到了更多廠家和客戶的支持，已經(jīng)成為Overlay技術的主流標準，所以本文的后續(xù)介紹均以V*LAN技術作為標準進行介紹，NVGRE、STT則不再贅述。V*LAN（Virtual e*tensible LAN，可擴展虛擬局域網(wǎng)絡）是基于IP網(wǎng)絡、采用MAC in UDP”封裝形式的二層VPN技術，具體封裝的報文格式如圖2所示。V

25、*LAN可以基于已有的服務提供商或企業(yè)IP網(wǎng)絡，為分散的物理站點提供二層互聯(lián)功能，主要應用于數(shù)據(jù)中心網(wǎng)絡。V*LAN具有如下特點：使用24位的標識符，最多可支持16M個V*LAN，解決了傳統(tǒng)二層網(wǎng)絡VLAN資源不足的問題。基于IP網(wǎng)絡組建大二層網(wǎng)絡，使得網(wǎng)絡部署和維護更加容易，并且可以好地利用現(xiàn)有的IP網(wǎng)絡技術，例如利用等價路由負載分擔。只有邊緣設備需要進行V*LAN處理，V*LAN業(yè)務對網(wǎng)絡中間設備透明，只需根據(jù)IP頭轉發(fā)報文，降低了網(wǎng)絡部署的難度和費用。根據(jù)客戶不同組網(wǎng)需求，Overlay的網(wǎng)絡部署分為以下三種組網(wǎng)模型，如下圖所示。Overlay的網(wǎng)絡部署圖網(wǎng)絡Overlay的隧道封裝在物

26、理交換機完成。這種Overlay的優(yōu)勢在于物理網(wǎng)絡設備性能轉發(fā)性能比較高，可以支持非虛擬化的物理服務器之間的組網(wǎng)互通。它的缺點就是現(xiàn)網(wǎng)設備大都不支持V*LAN, 需要大批量更換設備。主機Overlay隧道封裝由虛擬設備完成，不用增加新的網(wǎng)絡設備即可完成Overlay部署，可以支持虛擬化的服務器之間的組網(wǎng)互通。它純粹由服務器實現(xiàn)Overlay功能，對現(xiàn)有網(wǎng)絡改動不大，但是可能存在轉發(fā)瓶頸。混合Overlay是Network Overlay和Host Overlay的混合組網(wǎng)，可以支持物理服務器和虛擬服務器之間的組網(wǎng)互通。它融合了兩種Overlay方案的優(yōu)點，既可以發(fā)揮硬件GW的轉發(fā)性能，又盡可能

27、的減少對于現(xiàn)有網(wǎng)絡的改動。H3C SDN VPC網(wǎng)絡解決方案典型組網(wǎng)主機Overlay主要利用泛洪或廣播機制實現(xiàn)網(wǎng)絡構建和擴展，它將虛擬設備作為Overlay網(wǎng)絡的邊緣設備和網(wǎng)關設備，Overlay功能純粹由服務器來實現(xiàn)，它的典型組網(wǎng)如下圖所示：主機Overlay典型組網(wǎng)該組網(wǎng)方案：使用物理服務器的vSwitch實現(xiàn)V*LAN網(wǎng)絡VTEP。部署VCF Controller后可以集中控制V*LAN VTEP/GW。VCF Controller配合Hypervisor平臺管理多形態(tài)Gateway。該組網(wǎng)方案有以下優(yōu)點：適用于服務器虛擬化的場景，成本較低，V*LAN物理GW既可以用在核心位置，也可以

28、在現(xiàn)有核心旁掛，保護已有投資。控制面實現(xiàn)可以由H3C高可靠的SDN Controller集群實現(xiàn)，提高了可靠性和可擴展性，避免了大規(guī)模的復雜部署。網(wǎng)關組部署可以實現(xiàn)流量的負載分擔和高可靠性傳輸。支持分布式網(wǎng)關功能，使虛機遷移后不需要重新配置網(wǎng)關等網(wǎng)絡參數(shù)，部署簡單、靈活。網(wǎng)絡基礎架構Overlay網(wǎng)絡的基礎架構如下圖所示：Overlay網(wǎng)絡的基礎架構VM（Virtual Machine，虛擬機）在一臺服務器上可以創(chuàng)建多臺虛擬機，不同的虛擬機可以屬于不同的V*LAN。屬于相同V*LAN的虛擬機處于同一個邏輯二層網(wǎng)絡，彼此之間二層互通。兩個V*LAN 可以具有相同的MAC地址，但一個段不能有一個重

29、復的MAC地址。VTEP（V*LAN Tunnel End Point，V*LAN隧道端點）V*LAN的邊緣設備，進行V*LAN業(yè)務處理：識別以太網(wǎng)數(shù)據(jù)幀所屬的V*LAN、基于V*LAN對數(shù)據(jù)幀進行二層轉發(fā)、封裝/解封裝V*LAN報文等。V*LAN通過在物理網(wǎng)絡的邊緣設置智能實體VTEP，實現(xiàn)了虛擬網(wǎng)絡和物理網(wǎng)絡的隔離。VTEP之間建立隧道，在物理網(wǎng)絡上傳輸虛擬網(wǎng)絡的數(shù)據(jù)幀，物理網(wǎng)絡不感知虛擬網(wǎng)絡。VTEP將從虛擬機發(fā)出/接受的幀封裝/解封裝，而虛擬機并不區(qū)分VNI和V*LAN隧道。VNI(V*LAN Network Identifier，V*LAN網(wǎng)絡標識符)V*LAN采用24比特標識二層網(wǎng)

30、絡分段，使用VNI來標識二層網(wǎng)絡分段，每個VNI標識一個V*LAN，類似于VLAN ID作用。VNI占用24比特，這就提供了近16M可以使用的V*LANs。VNI將部的幀封裝（幀起源在虛擬機）。使用VNI封裝有助于V*LAN建立隧道，該隧道在第3層網(wǎng)絡之上覆蓋率第二層網(wǎng)絡。V*LAN隧道在兩個VTEP之間完成V*LAN封裝報文傳輸?shù)倪壿嬎淼馈I(yè)務入隧道進行V*LAN頭、UDP頭、IP頭封裝后，通過三層轉發(fā)透明地將封裝后的報文轉發(fā)給遠端VTEP，遠端VTEP對其進行出隧道解封裝處理。VSI（Virtual Switching Instance，虛擬交換實例）VTEP上為一個V*LAN提供二層交換

31、服務的虛擬交換實例。網(wǎng)絡部署需求V*LAN 對基礎承載網(wǎng)絡的需求MTUV*LAN需要增加50字節(jié)用于封裝VM發(fā)出的報文，需要更大的IP網(wǎng)絡端到端的MTU。V*LAN 卸載由于V*LAN加入了新的V*LAN報文頭，V*LAN網(wǎng)絡報文不能再利用網(wǎng)卡的硬件卸載能力，這會導致支持V*LAN的vSwitch進一步占用CPU。V*LAN 網(wǎng)絡和傳統(tǒng)網(wǎng)絡互通的需求為了實現(xiàn)VLAN和V*LAN之間互通，V*LAN定義了V*LAN網(wǎng)關。V*LAN上同時存在V*LAN端口和普通端口兩種類型端口，它可以把V*LAN網(wǎng)絡和外部網(wǎng)絡進行橋接和完成V*LAN ID和VLAN ID之間的映射和路由，和VLAN一樣，V*LA

32、N網(wǎng)絡之間的通信也需要三層設備的支持，即V*LAN路由的支持。同樣V*LAN網(wǎng)關可由硬件和軟件來實現(xiàn)。當收到從V*LAN網(wǎng)絡到普通網(wǎng)絡的數(shù)據(jù)時，V*LAN網(wǎng)關去掉外層，根據(jù)層的原始幀頭轉發(fā)到普通端口上；當有數(shù)據(jù)從普通網(wǎng)絡進入到V*LAN網(wǎng)絡時，V*LAN網(wǎng)關負責打上外層，并根據(jù)原始VLAN ID對應到一個VNI，同時去掉層的VLAN ID信息。相應的如果V*LAN網(wǎng)關發(fā)現(xiàn)一個V*LAN包的層幀頭上還帶有原始的二層VLAN ID，會直接將這個包丟棄。如圖所示。V*LAN網(wǎng)關最簡單的實現(xiàn)應該是一個Bridge設備，僅僅完成V*LAN到VLAN的轉換，包含V*LAN到VLAN的1：1、N：1轉換，復

33、雜的實現(xiàn)可以包含V*LAN Mapping功能實現(xiàn)跨V*LAN轉發(fā)，實體形態(tài)可以是vSwitch、TOR交換機。如圖所示。V*LAN路由器最簡單的實現(xiàn)可以是一個Switch設備，支持類似VLAN Mapping的功能，實現(xiàn)V*LAN ID之間的Mapping，復雜的實現(xiàn)可以是一個Router設備，支持跨V*LAN轉發(fā)，實體形態(tài)可以是vRouter、TOR交換機、路由器。V*LAN網(wǎng)關和V*LAN路由簡單實現(xiàn)V*LAN 網(wǎng)絡安全需求同傳統(tǒng)網(wǎng)絡一樣，V*LAN網(wǎng)絡同樣需要進行安全防護。V*LAN網(wǎng)絡的安全資源部署需要考慮兩個需求：V*LAN和VLAN之間互通的安全控制傳統(tǒng)網(wǎng)絡和Overlay網(wǎng)絡中

34、存在流量互通，需要對進出互通的網(wǎng)絡流量進行安全控制，防止網(wǎng)絡間的安全問題。針對這種情況，可以在網(wǎng)絡互通的位置部署V*LAN防火墻等安全資源，V*LAN防火墻可以兼具V*LAN網(wǎng)關和V*LAN路由器的功能。V*LAN ID對應的不同V*LAN域之間互通的安全控制VM之間的橫向流量安全是在虛擬化環(huán)境下產(chǎn)生的特有問題，在這種情況下，同一個服務器的不同VM之間的流量可能直接在服務器部實現(xiàn)交換，導致外部安全資源失效。針對這種情況，可以考慮使用重定向的引流方法進行防護，又或者直接基于虛擬機進行防護。網(wǎng)絡部署中的安全資源可以是硬件安全資源，也可以是軟件安全資源，還可以是虛擬化的安全資源。Overlay網(wǎng)絡虛

35、機位置無關性通過使用MAC-in-UDP封裝技術，V*LAN為虛擬機提供了位置無關的二層抽象，Underlay網(wǎng)絡和Overlay網(wǎng)絡解耦合。終端能看到的只是虛擬的二層連接關系，完全意識不到物理網(wǎng)絡限制。更重要的是，這種技術支持跨傳統(tǒng)網(wǎng)絡邊界的虛擬化，由此支持虛擬機可以自由遷移，甚至可以跨越不同地理位置數(shù)據(jù)中心進行遷移。如此以來，可以支持虛擬機隨時隨地接入，不受實際所在物理位置的限制。所以V*LAN的位置無關性，不僅使得業(yè)務可在任意位置靈活部署，緩解了服務器虛擬化后相關的網(wǎng)絡擴展問題；而且使得虛擬機可以隨時隨地接入、遷移，是網(wǎng)絡資源池化的最佳解決方式，可以有力地支持云業(yè)務、大數(shù)據(jù)、虛擬化的迅猛

36、發(fā)展。分布式網(wǎng)關分布式網(wǎng)關把分布在多臺主機的單一OVS邏輯上組成一個大”交換機，原來每個OVS需要分別配置，而現(xiàn)在OVS分布式網(wǎng)關可在控制器管理界面集中配置、管理。分布式網(wǎng)關通過控制器創(chuàng)建和維護，當一個OVS分布式網(wǎng)關被創(chuàng)建時，每一個主機會創(chuàng)建一個隱藏的OVS與分布式網(wǎng)關連接。分布式網(wǎng)關主要具備以下幾個功能：可以實現(xiàn)OVS集中管理的功能，在控制器管理界面對OVS集中配置管理，無需對每個OVS單獨配置、管理。OVS分布式網(wǎng)關可以通過流表實現(xiàn)V*LAN的二三層轉發(fā)。虛擬機遷移時可以使得虛擬機網(wǎng)絡端口狀態(tài)在從一個主機移到另一個主機時保持不變，這樣就能支持對虛擬機持續(xù)地統(tǒng)計監(jiān)控并促進安全性監(jiān)控。虛擬機

37、遷移后，不需要重新配置網(wǎng)關等網(wǎng)絡參數(shù)，部署簡單、靈活。Overlay網(wǎng)絡流表路由ARP代答對于虛擬化環(huán)境來說，當一個虛擬機需要和另一個虛擬機進行通信時，首先需要通過ARP的廣播請求獲得對方的MAC地址。由于V*LAN網(wǎng)絡復雜，廣播流量浪費帶寬，所以需要在控制器上實現(xiàn)ARP代答功能。即由控制器對ARP請求報文統(tǒng)一進行應答，而不創(chuàng)建廣播流表。ARP代答的大致流程：控制器收到OVS上送的ARP請求報文，做IP-MAC防欺騙處理確認報文合法后，從ARP請求報文中獲取目的IP，以目的IP為索引查找全局表獲取對應MAC，以查到的MAC作為源MAC構建ARP應答報文，通過Packetout下發(fā)給OVS。Ov

38、erlay網(wǎng)絡轉發(fā)流程報文所屬V*LAN識別VTEP只有識別出接收到的報文所屬的V*LAN，才能對該報文進行正確地處理。V*LAN隧道上接收報文的識別：對于從V*LAN隧道上接收到的V*LAN報文，VTEP根據(jù)報文 中攜帶的VNI判斷該報文所屬的V*LAN。本地站點接收到數(shù)據(jù)幀的識別：對于從本地站點中接收到的二層數(shù)據(jù)幀，VTEP通過以太網(wǎng)服務實例（Service Instance）將數(shù)據(jù)幀映射到對應的VSI， VSI創(chuàng)建的V*LAN即為該數(shù)據(jù)幀所屬的V*LAN。MAC地址學習本地MAC地址學習：指本地VTEP連接的本地站點虛擬機MAC地址的學習。本地MAC地址通過接收到數(shù)據(jù)幀中的源MAC地址動

39、態(tài)學習，即VTEP接收到本地虛擬機發(fā)送的數(shù)據(jù)幀后，判斷該數(shù)據(jù)幀所屬的VSI，并將數(shù)據(jù)幀中的源MAC地址（本地虛擬機的MAC地址）添加到該VSI的MAC地址表中，該MAC地址對應的出接口為接收到數(shù)據(jù)幀的接口。遠端MAC地址學習：指遠端VTEP連接的遠端站點虛擬機MAC地址的學習。遠端MAC學習時，VTEP從V*LAN隧道上接收到遠端VTEP發(fā)送的V*LAN報文后，根據(jù)V*LAN ID判斷報文所屬的V*LAN，對報文進行解封裝，還原二層數(shù)據(jù)幀，并將數(shù)據(jù)幀中的源MAC地址（遠端虛擬機的MAC地址）添加到所屬V*LAN對應VSI的MAC地址表中，該MAC地址對應的出接口為V*LAN隧道接口。Overl

40、ay網(wǎng)絡虛機遷移在虛擬化環(huán)境中，虛擬機故障、動態(tài)資源調度功能、服務器主機故障或計劃停機等都會造成虛擬機遷移動作的發(fā)生。虛擬機的遷移，需要保證遷移虛擬機和其他虛擬機直接的業(yè)務不能中斷，而且虛擬機對應的網(wǎng)絡策略也必須同步遷移。虛擬機遷移及網(wǎng)絡策略如圖所示：虛擬機遷移及網(wǎng)絡策略跟隨網(wǎng)絡管理員通過虛擬機管理平臺下發(fā)虛擬機遷移指令，虛擬機管理平臺通知控制器預遷移，控制器標記遷移端口，并向源主機和目的主機對應的主備控制器分布發(fā)送同步消息，通知遷移的VPort，增加遷移標記。同步完成后，控制器通知虛擬機管理平臺可以進行遷移了。虛擬機管理平臺收到控制器的通知后，開始遷移，創(chuàng)建VM分配IP等資源并啟動VM。啟動后目的主機上報端口添加事件，通知給控制器，控制器判斷遷移標記，遷移端口，保存新上報端口和舊端口信息。然后控制器向目的主機下發(fā)網(wǎng)絡策略。源VM和目的執(zhí)行存拷貝，存拷貝結束后，源VM關機，目的VM上線。源VM關機后，遷移源主機上報端口刪除事件，通知給控制器，控制器判斷遷移標記，控制器根據(jù)信息刪除舊端口信息并同時刪除遷移前舊端口對應的流表信息。主控制器完成上述操作后在控制器集群進行刪除端口消息的通知。其他控制器收到刪除端口信息后，也刪除本控制器的