一个面向应用的网络首要的前提就是对资源进行一体化管理,屏蔽使用者对资源位置的感知,快速交付适应于该应用的网络规划。因此,虚拟化也是H3C所提出的VAN(Virtual Application Network,虚拟应用网络)架构的三大核心之一。
虚拟化的本质是提高用户对资源的使用效率和管理能力。为了给用户提供端到端的资源虚拟化服务,虚拟化的网络又分为虚拟化服务、虚拟化通道、虚拟化设备。服务器作为虚拟服务的承载,通过虚拟机实现服务的位置无关性;连接通道作为服务流量的承载,虚拟化技术配合实现了虚拟服务的迁移、虚拟服务的备份和负载分担;网络设备作为虚拟通道的承载,虚拟化技术提供了虚拟通道的灵活配置和虚拟通道间的负载分担,将服务流量的接入、汇聚、核心灵活的根据用户需要进行整合,带来了虚拟通道部署时的稳定性和灵活性。虚拟化通道技术在之前期刊中已有详细描述(*注:《IP领航》2012第6期总第25期大二层专题),虚拟化服务属于服务器侧的范畴,本文重点描述网络设备的虚拟化技术。
网络设备的虚拟化技术从最初的多台物理网络设备虚拟成一台逻辑网络设备,即N:1的虚拟化,到一台物理网络设备虚拟化成多台逻辑网络设备,即1:N的虚拟化技术,又发展了将这两种虚拟化技术进行整合的网络设备形态,即N:1:M虚拟化技术;以及在N:1横向虚拟化的基础上发展了纵向虚拟化技术。这四项技术不仅给数据中心带来了完整的虚拟化方案,也让数据中心在网络资源的管理和利用上更加灵活。
一、N:1虚拟化
通过N:1虚拟化,将多台网络设备虚拟化成一台逻辑设备(*注:在本节中,所有逻辑设备都表示N:1的逻辑设备概念),网络设备间的协同工作转化为设备内的处理,从而提高网络管理和运行效率,让网络回归简单。
另一方面,N:1虚拟化使逻辑设备具备了强大的扩展能力。当网络需要扩容时,N:1虚拟化技术可以在不改变网络拓扑的前提下,向现有的逻辑设备中动态增加物理设备,使整个逻辑设备拥有更多的设备端口数、更大的带宽和处理能力(如图1所示)。
图1 N:1虚拟化示意图
图2是常见的网络组网,使用MSTP、VRRP等协议来支持链路冗余、网关备份。这种组网在各种场合均会使用,这里仅以汇聚层与接入层之间的组网为例。
#p#
使用N:1虚拟化技术后,汇聚层的多个设备成为了一个单一的逻辑设备,接入设备直接连接到虚拟逻辑设备。简化后的组网不再需要使用MSTP、VRRP协议,简化了网络配置。同时依靠跨设备的链路聚合,在成员出现故障时不再依赖MSTP、VRRP等协议的收敛,提高了可靠性。
图2 使用N:1简化组网示意图
在具体技术实现上,H3C的相关技术是IRF(智能弹性架构),Cisco采用的是StackWise及VSS技术,Juniper采用的是Virtual Chassis技术。主要技术实现包括如下几个方面:
跨物理设备的聚合
N:1虚拟化中采用的新型聚合技术让用户可以将不同物理设备上的物理以太网端口配置成一个聚合端口,这样即使某些端口所在的设备出现故障,其他正常工作的成员设备会继续管理和维护剩下的聚合端口。如图3所示,流向网络核心的流量将均匀分布在聚合链路上,当某一条聚合链路失效时,分布式链路聚合技术能够将流量自动重新分布到其余聚合链路以实现链路的弹性备份和提高网络可靠性。
图3 跨设备聚合技术
物理设备间的协议状态互为备份
各物理设备加入逻辑设备后,协议动态运行数据在物理设备间进行同步,Master出现故障时,其他物理设备有协议的状态信息,能快速恢复并保持邻居设备的协议连接。
以路由协议为例,如图4所示,网络使用的是OSPF路由协议。当Master收到邻居路由器发送过来的Update报文时,更新本地的路由表同时它会将更新的路由表项以及协议状态信息发给其他所有物理设备,其他物理设备收到后会更新本地的路由表及协议状态,以保证逻辑设备内的各个物理设备上路由相关信息的严格同步。
#p#
当Master故障时,新选举的Master可以接手旧Master的工作,新的Master接收到邻居路由器过来的OSPF报文后,会将更新的路由表项以及协议状态信息发给其它所有物理设备,并不会影响中OSPF协议的运行。此时,域内路由协议不会随之出现中断,二三层转发流量和业务也不会出现中断,从而实现了不中断业务的故障保护和设备切换功能。
图4 设备协议状态备份机制
环形拓扑连接使网络更可靠
如图5所示,四个接入网络通过跨设备聚合方式连接到逻辑设备上,逻辑设备采用环形拓扑方式进行连接。环形拓扑连接可以做到任何一台设备的故障、设备端口故障、连接线故障,不影响到其他物理设备间的流量转发,提高了网络高可靠性。
图5 环形拓扑带来更高的冗余可靠性
二、 1:N虚拟化
1:N虚拟化技术将一台物理设备虚拟化成多台逻辑设备(注:在本节中所有逻辑设备都表示1:N的逻辑设备概念),划分出来的逻辑设备具有单独的转发表项和芯片资源,可以单独组网,单独配置等网络业务所需功能。
一台物理设备虚拟成多个逻辑设备分别承担不同的网络应用,保持原有网络的独立性的同时,降低了硬件资源消耗,提高了网络设备的利用率。各逻辑设备之间严格隔离,可以将安全级别不同的业务划分到两个逻辑设备中,通过虚拟化隔离,单独进行管理和配置,不同业务之间不会相互影响。
图6 N:1虚拟化示意图
在具体技术实现上,H3C的相关技术是MDC(Multitenant Device Context,多租户设备环境),Cisco采用的是VDC技术。各技术实现的功能上是一致的,以下以MDC技术为例来阐述1:N虚拟化的技术特点。
#p#
1. 网络操作系统的虚拟化
网络操作系统作为管理网络设备的基础,对网络设备的硬件资源和软件资源进行了分层管理。
1:N虚拟化技术首先需对网络操作系统进行虚拟化,目的是能做到每个逻辑设备都有支撑自身系统运行的硬件和软件资源,包括独立的接口、CPU等,独立维护的路由和转发表项。
以MDC技术为例,采用基于操作系统级别的虚拟化技术,在操作系统内核模拟出一个个运行应用程序的容器,操作系统级别的进程管理、内存管理、磁盘管理基于每个MDC进行了虚拟化管理。对比目前服务器虚拟化时通常采用的Full-virtualization虚拟化技术(在Host操作系统和底层硬件之间建立一层抽象系统,各Guest操作系统无需修改代码,通过CPU支持虚拟化将Guest操作系统的高权限指令Trap到抽象系统中的代码中代理执行)和Para-virtualization虚拟化技术(修改Guest操作系统以适配Host系统),操作系统级的虚拟化由于不存在Guest系统到Host系统的转换,调度性能上最好,耗费资源最少。
图7 MDC 1:N虚拟化示意图
2. 分布式物理设备的逻辑设备划分
在核心层和汇聚层的网络设备,一般采用分布式设备来提高设备的流量处理能力和性能规格。典型的分布式设备模型包括多块主控板和多块接口板,支持虚拟化后,每块单板都可以支持多个逻辑设备的启动,可将端口资源在多个逻辑设备之间进行划分。
划分后的逻辑设备也同样为分布式设备形态,能操作分布式资源,并且相关的数据也和独立的分布式设备一样,进行同步和备份。如图8所示,数据只在逻辑设备所属的单板间进行同步,可以将I/O单板只划分给某个逻辑设备。由于该单板上的资源只为一个逻辑设备所有,这样I/O单板能达到作为单独物理设备时的规格。
图8 逻辑设备的表项数据同步
#p#
3. 独立的配置管理平面
从管理设备业务功能的角度来看,每一个逻辑设备就是一台独立的设备。用户可通过属于逻辑设备的虚拟网管口直接登入逻辑设备内,进行管理和配置。逻辑设备所产生的系统告警信息可以单独输出到部属的告警服务器上。每个逻辑设备有单独的配置文件,支持独立的重启和恢复配置(如图9所示)。
图9 用户对逻辑设备的配置管理
4. 故障隔离
由于采用操作系统级的虚拟化技术后,所有逻辑设备都有独立的进程和独立的网络转发数据,通过合理的资源划分,甚至有独立的转发芯片资源和独立的CPU资源。基于此,一个逻辑设备的故障可以控制在本逻辑设备内,不会影响其它的逻辑设备;
如图10中MDC1逻辑设备内的某个服务的故障,可能导致该逻辑设备内的该服务不可工作。但其他逻辑设备还能继续运行提供服务。
图10 逻辑设备内的故障隔离
#p#
三、N:1:M虚拟化
N:1的虚拟化和1:N的虚拟化从技术角度采用了相反的实现技术,但可以将两者的技术进行融合,实现将多台物理设备通过N:1虚拟化技术虚拟成一台逻辑设备,再将此逻辑设备通过1:N技术虚拟成多台逻辑设备,这种组合简称为N:1:M虚拟化(如图11所示)。
图11 N:1:M虚拟化示意图
以IRF+MDC组网为例,这种N:1:M的虚拟化的明显特点就是:整合层次,降低运营成本。
利用IRF+MDC技术,可以对数据中心设计进行多层次的整合。整合方式可以分为三种方式(如图12所示):
水平整合:将汇聚层的4台设备整合成两台物理设备。将两台物理设备互为主备为接入网络进行服务。
垂直整合:将核心层和汇聚层的设备整合,物理设备上分成两个MDC,分别为核心层和汇聚层服务。
混合整合:将两台物理设备组成IRF逻辑设备上划分三个MDC,两个MDC管理接入网络,做到接入的业务隔离,一个MDC连接核心层,满足清晰的分层策略需求。
图12 数据中心N:1:M虚拟化的整合方式
四、纵向虚拟化
上述的N:1虚拟化是一种对称方式整合的网络设备资源的技术,其中的N是有相同能力的对等设备,互为备份。随着数据中心内服务器规模的迅速增长,纵向虚拟化技术(Vertical Converged Framework,纵向融合框架,以下简称VCF)应运而生。纵向虚拟化技术能将非对称的网络设备进行资源整合,既提高了网络设备的端口密度,又方便了整体设备的管理。
VCF在纵向维度上支持对系统进行异构扩展,即在形成一台逻辑虚拟设备的基础上,可把一台盒式设备作为一块远程接口板加入主设备系统,以达到扩展I/O端口能力和进行集中控制管理的目的。
在VCF技术体系中,设备按角色分为CB(Controlling Bridge)和PE(Port Extender)两种。CB表示控制设备,PE表示纵向扩展设备,称远程接口板。
CB可以是N:1虚拟化后的逻辑设备组成,和纵向的PE设备采用跨设备聚合方式来进行连接。
PE设备相当于CB设备的端口扩展板,提高CB的端口密度。控制层面上的网络配置、协议计算等由CB设备进行统一管理;PE设备的版本和配置文件可通过CB设备进行下载。
PE间的流量经过CB进行转发,可通过对纵向连接端口进行聚合的方式扩大带宽(如图13所示)。
图13 VCF典型拓扑
如图14所示,利用VCF技术,可以将接入层和汇聚层进行整合,简化管理,满足网络部属中的高端口密度需求。
#p#
注:更多的VCF技术信息见本期【讲堂】栏目的文章:VCF纵向虚拟化架构
图14 VCF对汇聚和接入层的整合
五、虚拟化技术的整合应用
N:1网络虚拟化减少了网络上逻辑设备的数量,提高了设备管理效率,简化网络层次,并且提高设备扩展能力,保护用户投资。1:N的虚拟化节约了网络中的物理设备数量,用户在网络业务部属中已经看不到具体的物理设备,而是一个个提供网络服务的逻辑设备,将这两种技术混合的N:1:M虚拟化使得网络更有利于层次的整合、易于扩展。
在数据中心的应用中,网络设备虚拟化技术也深入到各个层面(如图15所示),在接入层设备采用纵向虚拟化技术来扩大网络设备的接入设备端口密度,在PE设备上采用EVB协议和虚拟服务器间通过虚拟通道进行连接;在汇聚层设备采用N:1的虚拟化技术对下行链路提供了可靠冗余的连接,对上行的核心设备提供的简单的协议控制,在汇聚层连接Internet的边缘设备上,可以采用TRILL、PBB/SPB、EVI、VPLS等技术将该站点在数据中心大二层网络中互联;在核心层可以采用N:1:M的技术,在进行业务冗余备份的同时,将不同用户的云划分到不同的MDC中,即保证了业务的安全性,又可将逻辑设备托管由用户自行进行各站点间的拓扑结构的管理。
图15 数据中心内的虚拟化技术应用
六、 结束语
随着面向应用的网络进一步深化,出现了软件定义网络模型(Software Defined Network,SDN),SDN的出现将让用户能基于网络设备厂商API接口更好的利用现有网络设备资源,这些API接口可以基于设备本身提供,也能基于服务器上运行的Network OS提供。当用户能更好的根据自己的应用来定义网络设备时,将更需要网络设备能够实现完全彻底的虚拟化:将网络设备通过N:1虚拟化后作为整体资源,通过1:N虚拟化技术根据应用创建新的逻辑设备和资源部属;同时用户可以根据该应用的流量、应用的安全等特点进行联动——利用设备提供的自动化功能进行网络资源的动态部属,实现一个更加可靠、更加灵活、更易于扩展的网络。