网络与虚拟化的完美融合

未来之路：网络与虚拟化的完美融合虚拟化的概念从上世纪60年代的TDM、虚拟电路技术就开始逐步体现，发展到现在的各种技术如VLAN、VPN、虚拟设备等反映了各种各样的虚拟化。虚拟化是一个宽泛的概念，在IT的各领域都会有或多或少的应用。什么是网络虚拟化?网络虚拟化是让一个物理网络能够支持多个逻辑网络，虚拟化保留了网络设计中原有的层次结构、数据通道和所能提供的服务，使得最终用户的体验和独享物理网络一样，同时网络虚拟化技术还可以高效的利用网络资源如空间、能源、设备容量等。如公司或其数据中心在拥有一套物理基础设施时可以虚拟出很多网络可以为公司的运维部门、新兼并公司、需隔离的重要部门等同时提供服务，各虚拟网络和物理网络拥有相同的安全性。网络虚拟化的业务驱动力：1网络虚拟化能大幅度节省企业的开销。一般只需要一个物理网络即可满足服务要求。2简化企业网络的运维和管理。3提高了网络的安全性。多套物理网时很难做到安全策略的统一和协调，在一套物理网上可以将安全策略下发到各虚拟网络中，各虚拟网络间是完全的逻辑隔离，一个虚拟网络上的操作、变化、故障等不会影响到其它的虚拟网络。4提升了网络和业务的可靠性。如在虚拟网络中可以把多台核心交换机通过虚拟化技术融合为一台，当集群中的一些小的设备故障时整个的业务系统不会有任何的影响。5满足新型数据中心应用程序的要求。如云计算、服务器集群技术、VML的vMotion技术等新数据中心应用都要求数据中心和广域网有高性能的可扩展的虚拟化能力。企业可以将园区和数据中心内的网络虚拟化通过虚拟化的广域网扩展到企业分布在各地的小型数据中心、灾备数据中心等，将企业网的虚拟化改造延伸到广域网，如下图。企业网络虚拟化的关键技术元素包括网络设备的分区、虚拟化的互联互通、设备集群。如下图。wordend一些网络设备的分区技术如VLAN(虚拟局域网)、VRF、逻辑路由(LogicalRouter)、虚拟路由(VirtualRouter)如下图。VLAN与VRF如下图。VLAN实现在网络设备中将一些端口进行L2和L3的隔离，让不同的VLAN能同时运行在一个设备上。交换机上相应的虚拟技术是VRF，虚拟出的多个VRF拥有各自的前向表和路由进程，如运营商可以在一台设备上实现多个VRF来接入多个大客户，利用VRF技术实现一台设备为多个客户同时提供服务。逻辑路由(LogicalRouter)和虚拟路由(VirtualRouter)。LogicalRouter主要应用在思科的CRS-1/12000上，实现的是底层的共享，不同的逻辑路由器拥有自己独立的线卡、引擎，逻辑路由器共享的是机箱，电源一些底层的东西。VirtualRouter应用在思科的新一代面向数据中心的核心交换机Nexus7000上，在一台设备上最多实现四个虚拟路由，VirtualRouter相比于VRF是一个深度的虚拟化技术，不同的虚拟路由之间拥有各自独立的配置、独立的管理权限、独立的进程、独立的二层三层转发表和更高的协议监测。从管理员的角度来看，管理员可以单独登陆到各虚拟路由上，各虚拟路由上的策略变更、错误操作和故障等不会影响到其它的虚拟路由。企业网络的需求总是和业务的需求相关，企业在做广域网的虚拟化改造时应该考虑以下的要求:提供可扩展的Layer2和Layer3业务;为虚拟化设备(如VRF-Lite)提供背靠背互联;为网络中的任何场所(campus,branch,andDC/DCI)提供无缝的互联;可扩展到至少100个分支节点;支持传输数据的加密;易于添加其它种类的业务(如QoS，Multicast，WAAS，Netflow)。MPLS是重要的网络虚拟化技术，能为企业在IP骨干网上提供多种业务类型。IP广域网基础设施虚拟化的两个关键手段是Layer3Segmentation三层VPN业务和Layer2VPN/Transport二层VPN业务，三层VPN业务可提供任意点之间的互联，一些特殊的应用程序和数据中心的特殊应用可能会要求广域网提供二层VPN业务，二层VPN业务可以使各局域网节点实现如同二层网线的互联。MPLS通过TE和多路径技术可以最大化链路的利用效率，同时还具有很强的QoS(多级服务)能力，为企业的不同优先级应用提供灵活的部署策略。提供IP组播业务和IPv4基础设施上的IPv6数据传播。MPLS技术的协议栈概览如下图。VPNLabel包含VPN特征，用来区分企业网中下挂的不同部门不同业务。LDPLabel是MPLS做转发的依据，需要做高级流量工程时则需要打上TELabel。各标签添加后互不干扰，拥有各自独立功能。MPLS技术从宏观上看有两种大的模式：Overlay层叠模式和Peer对接模式。两种模式的概览如下图。wordend什么是网络虚拟化？网络虚拟化是让一个物理网络能够支持多个逻辑网络，虚拟化保留了网络设计中原有的层次结构、数据通道和所能提供的服务，使得最终用户的体验和独享物理网络一样，同时网络虚拟化技术还可以高效的利用网络资源如空间、能源、设备容量等。如公司或其数据中心在拥有一套物理基础设施时可以虚拟出很多网络可以为公司的运维部门、新兼并公司、需隔离的重要部门等同时提供服务，各虚拟网络和物理网络拥有相同的安全性。MPLS三层VPN业务概览如下图。左边的CE(CustomerEdge)客户端路由器用来和运营商的作对接，可能需要接出一根或更多的物理链路连接到运营商的机房中路由器上的相应端口，CE路由器有自己独立的路由表、转发表、路由实例。需要在企业网中部署OSPF、EBGP、静态路由等和运营商做对接，在CE路由器和PE路由器做好动态路由协议和静态路由协议上的协商和配置后，运营商会帮助企业在全国不同的分支机构之间运行一个跨广域网的动态路由协议。运营商中和客户做对接的是PE(ProviderEdge)路由器，位于运营商网络的边缘，它既和客户的CE路由器运行IP协议，有和运营商的核心网以及P路由器进行MPLS标签的标记、分发等，不同的PE路由器之间可以通过MP-BGP协议互相传递VPN路由信息。。P路由器位于MPLS网络的核心，是一个单协议栈的路由器，无需运行BGP，也不需要了解最终客户的VPN信息。P路由器通过MPLS标签转发数据包，在各PE路由器之间做高速的互联和数据转发。P和PE路由器之间在运营商网络内部可能需要运行iGP路由协议。MPLS三层VPN连接模式的一个配置实例如下图。在PE路由器上的配置主要分成两块，VRF配置和MP-iBGP配置。VRF上配置了VRFGreen和VRFBlue连接到两个客户，两个客户路由器有不同的标签来将他们的业务区分开。全网中的PE路由器需要做多协议的BGP(MP-iBGP)互通，以将客户路由广播到客户远端的分支机构。前面的每个CE路由器上都只挂接了一个客户，在实际应用中可能需要通过一个CE来挂接很多个客户，即需要在一个CE上运行多个VRF实例。采用Multi-VRFCE(也称VRF-Lite)技术可满足这种需求，如下图。CE路由器到对接的PE路由器之间的链路不需要运行MPLS协议，通过L2或逻辑手段(如802.1Q，FR/ATMVC's)实现VRF之间的相互隔离，最终实现敬爱那将运营商PE路由器上每个独立的VRF扩展到客户CE路由器上的效果。CE到PE之间有多种路由协议可选，如BGP、RIPv2、FIGRP、static。Multi-VRFCE的一个配置实例如下图。需要将各VRF跟相关的接口或子接口关联，各VRF实例中可能需要运行各种的协议，如OSPF。MPLS二层VPN业务概览如下图。任何二层封装的数据包如以太网数据都可以通过MPLS网络传输，如图中两端的两个CE路由器通过二层的VPN实现了如同以太网线的直连，两个CE之间是二层的关系，所有的二层特征如ARP解析、组播等对它们来说都是透明的，两个CE如同在一个局域网中。二层VPN上比较流行的部署模式有AToM(AnyTransportoverMPLS)和VPLS(VirtualPrivateLANService)两种。AToM可以将以太网、帧中继、PPP、ATM等多种局域网二层技术通过MPLS技术透传到远端，VPLS提供多点服务。MPLS二层VPN连接模式的一个配置实例如下图。R201和R203两个PE路由器进行了PseudoWire(伪线)的连接，两个PE路由器之间可以进行直接的LDP信令层面和数据层面的互通，这样就可以实现两个CE路由器(R200和R204)之间的二层互通。MPLS网络三种部署架构之一：最终用户自我部署端到端的IP/MPLS骨干网。如下图。这种部署架构比较适用于大型的银行、机构、电力部门等。采用这种模式时客户只从运营商租用一些底层的链路(如光纤)，用户自己采购CE、PE、P路由器来搭建MPLS网络。用户可以完全控制MPLS搭建的网络，可自行控制如路由转发、安全策略等的配置。但是这种部署方式对企业的要求会比较高，需要最终用户有极高的技术能力去部署设计、运行和维护网络设备，并保障服务能力。MPLS网络三种部署架构之二：电信运营商提供IPVPNService。如下图。采用这种部署架构时用户和他在各地的分支机构只需要购置CE路由器，由运营商提供线路、带宽和IPVPN业务服务。用户只需要把网络的运营管理职责交给电信运营商，这就大大节省了用户的运营、管理和维护成本，这种部署架构是最终用户构建大型网络时的高性价比方案，缺点是用户无法控制网络。MPLS网络三种部署架构之三：混合模式-客户拥有核心网络，运营商提供客户各地的接入。如下图。混合模式下用户可以自行购买P、PE路由器构建一个比较大型的数据中心作为核心网络，将链路资源服务外包给运营商。用户可以完全掌控核心网而把大量的连接分支机构的建设维护任务交给运营商，混合模式也需要用户有建设管理MPLS核心网的经验。企业网、政府网在广域网上的主流技术选择是IP类型业务，在传统的L2传输网络上构建MPLS业务是很普遍的做法。现在的企业在寻求建立在运营商IP网络基础之上的L2/L3虚拟化广域网方案，如L3上的MPLSoverGRE技术、L2上的MPLSAToMoverGRE技术。L2/L3服务类型一览如下图，左半为原生的MPLS技术，右半为传统IP网络上实现的MPLS技术。下图是一个在L2传输基础上应用MPLS技术实现企业分支机构的汇聚的例子。在过去的很长时间内企业可能投入了很多资金建设了一张覆盖范围较大的如FrameRelay二层网络，企业可能希望在不做大的改造的情况下能够享受到MPLS技术的一些优势，这可以通过在总部和分支机构配置支持MPLS技术的路由器并实现MPLS技术在二层上的层叠来实现。MPLSVPNoverGRE概念：在“传统的”MPLS技术中需要构建端到端的MPLS网络，MPLS标签交换路径(LSP)构建在网络的入口和出口之间，因此当网络路径中有任何一台设备不支持MPLS技术时，就无法组建MPLS网络。解决方法可以在端到端的MPLS网络的两端设备间进行MPLS的GRE隧道封装，采用添加IP+GRE包头的方式，添加的包头中有目的PE路由器的IP地址信息。这样就只需要网络的入口和出口两台PE路由器支持MPLS，网络路径中其它路由器无需支持MPLS。GRE隧道中MPLS数据帧结构如下图。在原始的IP数据框架上添加了总共28bytes的包头信息，包括4bytes的VPNLabel、4bytes的GRE包头、20bytes新的IP包头，新添28bytes包头和原来是IP数据框架组成了新的IP数据框架。在28bytes的包头信息中包含源、目的PE路由器的IP地址。MPLSVPNoverGRE传输过程控制层面的示意如下图。网络两端的PE路由器之间建立了完整的端到端的GRE通道，当进行控制信令层面的互通如路由互通、路由更新、路由撤销时信令通过GRE隧道进行端到端的连接。MPLSVPNoverGRE传输过程数据转发层面示意如下图。当一个数据包从Site2(CE2)传到C-PE2时，C-PE2会给数据包加上两层的包头即VPNLabel(图中“10