理论与实践:VxLAN在云数据中心组网的应用

    作者：郑怡宾

1  引言

    据IDC（Intemational Data Corporation，国际数据公司）分析，社交化、移动化、大数据、云计算等成为第三代ICT的关键词。电信运营商可提供ICT服务的主要基地——数据中心需要接应挑战，适应新时期业务需求的变化。

    在新时期，数据中心的业务需求从面向传统的机架出租、带宽出租以及简单的增值服务等应用越来越多地向与云计算、大数据和移动化相关的需求转型，包括以下4个方面。

    ·终端多、流量大：海量虚拟机接入及其带来的数据中心内、数据中心之间大量的东西向流量。

    ·应用可靠性高、体验好：实现虚拟机和物理机的无缝迁移。

    ·业务发放敏捷性高、可管可控能力强：按需快速实现计算、存储和网络虚拟化资源的快速部署以及端到端可视化运营管理。混合云业务为趋势：随着公有云接受度的逐渐提高，企业IT运营成本不断降低，混合云成为越来越多的企业选择。但目前数据中心网络架构仍属于传统组网，将不能很好地适应新时期的业务发展，主要体现在以下6个方面。

    ·数据中心网络架构不够扁平：仍是传统的三层网络架构，主要用于支撑传统互联网访问的南北向流量，而不适应云计算引入后日益增多的虚拟机访问或迁移带来的东西向流量的快速调整。

    ·网络系统容量有限：面向越来越多的海量虚拟机部署，传统数据中心网络设备的二层MAC地址表项容量日显不足；云引人大量租户，将带来大量IP地址重叠，甚至MAC地址重叠。

    ·二层逻辑通道有限：现有数据中心一般采用VLAN作为用户的二层逻辑通道隔离标识，难以满足今后大量租户多终端多业务的需求。另一方面，由于QinQ无法实现跨广域网的物理网络和虚拟网络端到端透传与统一标识，所以传统网络中采用QinQ进行二层逻辑通道扩展的情况并不适用于云数据中心。

    ·数据中心网络柔性不足：现有网络设备主要由专用硬件构成，网络中各个网元与业务耦合紧密，整体呈刚性，不利于业务提供的灵活性和新业务开发的敏捷性。

    ·面向云的端到端网络运维效率不高：在云计算引入数据中心的早期，传统数据中心的IP网络／以太网络尚未来得及与计算虚拟化网络很好地对接，无法实现基于租户逻辑通道颗粒度的端到端网络流量、流向可视化。

    ·跨机房二层网络互联成本较高：为了支持跨地域虚拟机实时迁移，需要实现跨地域大二层组网。而基于裸光纤互联、二层专线互联等传统二层组网投入成本高。

    VxLAN (virtual extensible local area network)作为业界当前主流的overlay（叠加网）技术，具有spine（脊）-leaf(叶)扁平组网、二层逻辑通道数量大、实现大二层互联对现网改造影响小、主流厂商设备支持较广泛、支持厂商涉及面广（从网络设备厂商到虚拟化平台厂商）等优点，越来越多的互联网服务商及电信运营商开始关注VxLAN技术并在其数据中心中引入，以期解决上述数据中心向云化演进过程中所面临的问题。另一方面，SDN (software definednetworking，软件定义网络)作为网络演进的主流方向之一，且具有转发平面与控制平面分离从而实现低成本网络部署、灵活便捷的业务提供等优势，也是广大互联网服务商和电信运营商日益关注的技术焦点。但城域网组网复杂、设备种类繁多，因此，相对简单、封闭且需要适应云时期新需求的数据中心是SDN最佳引入场点。综合SDN和VxLAN的优势，很多厂商将SDN和VxLAN技术进行结合，以实现数据中心更加灵活、可靠、扩展的组网和业务。

2  VxLAN技术实现

2.1 VxLAN主流技术实现原理

    目前VxLAN主要有2种实现方式，其区别本质在于控制平面机制不同。

2.1.1  无控制平面而基于多播的VxLAN

    基于多播的VxLAN是IETF RFC7348定义的没有控制平面的VxLAN方案，即基于数据驱动的泛洪再学习的方式，利用多播来传送VxLAN中的BUM (broadcast，unknown unlcast，multicast，广播分组、未知单播分组、多播分组）流量。当网络中任意主机发起ARP请求时，网络中所有VTEP（VxLAN tunneling end point，VxLAN隧道终端）都会收到该请求。因此，带来较大的泛洪流量，消耗网络带宽资源，也带来安全隐患。

    通过引入SDN控制器作为VxLAN的ARP proxy（代理），避免VxLAN在通信开始必须全网开启多播以实现MAC地址学习的需求，从而降低对undelay（底层承载网）IP网的要求（不需要全网开启多播或多播VPN），并避免了IP网络中因此而产生的大量多播流量。

如图1所示．SDN控制器作为ARP代理，代答所有VxLAN交换机（包括物理交换机和虚拟交换机）发出的ARP请求，并形成流表下发给VxLAN交换机。一般会形成2张流表，一张是单播流进行转发参照的流表；另一张是对广播分组和未知单播分组进行识别后，通过多播头端复制方式在相关二层域内广播发送这些分组的流表。

2.1.2  基于MP-BGP EVPN的VxLAN

    IETF RFC7432等相关标准和草案定义了基于MP-BGP EVPN (multiprotocol border gateway protocolethernet virtual private network，多协议边界网关协议一以太虚拟专网）控制平面。其中，MP-BGP是EVPN的路由协议，通过VRF（virtual routing forwarding，VPN路由转发表，以RD、RT为唯一标识）构建多租户环境，利用标准新定义的地址组EVPN发布EVPN路由（EVPN路由以“MAC地址+IP地址”标识）。

    基于MP-BGP EVPN的VxLAN方案中，有控制平面和数据平面两个平面。其中，控制平面实现peer发现及路由学习（包括本地学习和远端学习）和分发；数据平面实现overlay的L2/L3单播流转发及BUM流量的转发。

具体实现而言，基于MP-BGP EVPN的VxLAN技术实现主要有2种，分别如图2和图3所示。区别在于控制平面是否VxLAN设备自身支持。

    在图2中．MP-BP EVPN控制平面由SDN控制器实现，且RR（route reflector，路由反射器）由SDN控制器承担：而根据流表的数据转发则由VxLAN交换机实现。这种方案适合于早期VxLAN解决方案，即引入SDN控制器的场景。但由于需要SDN控制器支持RR功能，对SDN控制器由较高要求。同时，VxLAN网络的数据转发与SDN控制器紧耦合。

在图3中，VxLAN的MP-BP EVPN控制平面和数据转发均由VxLAN交换机实现。这种方案适合于早期VxLAN解决方案，即与SDN控制器松耦合的场景。此方案对VxLAN交换机要求较高，不仅要支持VxLAN基本功能，还需支持MP-BGP EVPN完整功能。

2.1.3  两种技术对比

两种VxLAN技术实现方式的比较见表1。

    通过表1可以看出，与基于多播实现的VxLAN方案相比，基于MP-BGP EVPN控制平面的VxLAN实现方案具有以下优点：

    ·由于MP-BGP EVPN利用了L3 VPN的VRF特性来传递VxLAN，因此天生支持多租户组网；

    ·由于利用MP-BGP EVPN发布主机的MAC地址和IP地址，因此是一种协议驱动的地址学习，从而支持很高的组网扩展性；

    ·当主机移动时，主机新接入的VTEP将通过MP-BGP马上更新路由表，通知VNI (VxLANnetwork  identifier．VxLAN逻辑通道标识)内所有其他VTEP这个主机的新位置，从而实现了网络失败或主机移动时的网络快速收敛；

    ·通过MP-BGP认证实现了VTEP peer的认证，从而提升了VTEP的安全性，可有效防范VTEP伪冒等网络安全隐患。

2.2 VxLAN技术实现现状

    目前主流设备厂商的VxLAN解决方案百家争鸣。

    按照控制平面实现方式划分：一种是无控制平面，但可以通过SDN控制器作为ARP代理来减少泛洪影响，从而实现组网优化，如华三、华为VxLAN解决方案；另一种是基于MP-BGP EVPN的控制平面来消除泛洪，如思科、阿朗MP-BGP EVPN的VxLAN解决方案。

    按照组网连接拓扑划分，主要有spine（脊）-leaf(叶)架构和Mesh（网状）架构。由于spine-leaf架构可以实现任意两点之间的一跳可达，具有高可靠、高扩展、高度扁平组网的特性，越来越多厂商的VxLAN解决方案已开始支持spine-leaf架构。

    按照网络功能实现载体分，主要有3种方式：一是解决方案全部基于纯硬件网络设备实现，如Arista；二是解决方案全部基于纯软件实现，如VMware (NSX)；三是解决方案包括硬件网络设备和软件vSwitch实现，包括思科NEXUS系列（包括专用虚拟交换机）、华三S系列交换机和专用虚拟交换机、阿朗的VTEP交换机和VSR虚拟机交换机等。

3 VxLAN在云数据中心的组网应用

    VxLAN在云数据中心组网应用主要有3个场景：一是作为企业用户本地CPN内应用及系统与云数据中心部署的ICT系统通过大二层互联，提供虚拟机实时迁移、数据灾备等服务：二是数据中心内部实现网络虚拟化与计算虚拟化的进一步无缝对接（计算虚拟化平台也开始支持VxLAN技术）；三是分别部署在多个云数据中心，以现有城域网作为underlay底层架构，通过基于VxLAN构建的overlay网络提供虚拟机实时迁移与数据灾备的大二层通道。

3.1 VxLAN在云数据中心组网应用的技术要求

    由于云数据中心将面临海量虚拟机和物理机接人、大量虚拟机实时迁移以及虚拟机访问的承载需求，因此，云数据中心对VxLAhr交换机（支持VTEP建立／终结功能的交换机）的要求，除了需要传统交换机的功能外（如安全功能、IPv6功能等），还需要与云／虚拟化相关的一些个性化的技术要求。

    (1)分布式路由

    大量的东西向流量要求物理VxLAN交换机和虚拟VxLAN交换机都可以支持分布式路由，实现流量本地转发，且流表的稳定性与SDN控制器弱相关，甚至解耦。

    (2)VxLAN Mdge（桥接）和VxLAN router（路由）满足跨子网、跨二层域的访问需求。

    (3)系统高扩展性

    一是支持L2和L3的网络虚拟化，包括MAC地址和IP地址重用(overlapping)，为今后全网虚拟化奠定网络基础，也要求物理VxLAN交换机和虚拟VxLAN交换机都可以支持地址重用，从而可以灵活按需接人物理服务器和虚拟机；二是需要支持大量的二层逻辑链路标识，且支持新引入的VxLAN标识VNI与传统二层逻辑通道标识VLAN的相互映射，便于与接入光网互通：三是MAC地址和lP地址转发表项足够大，且系统支持按节点线性扩展相关能力。

    (4)系统高可靠性

    一是要求SDN控制器失效时不影响已下发建立的流表稳定运行；二是支持ECMP（等价多路径），尽可能实现网络带宽的高效利用以及网络链路的高度冗余。

    (5)系统开放性和可演进性

    参照业界主流标准，随着设备能力完善，逐步支持与第三方NFV互通、与第三方VxLAN交换机互通。

    (6)端到端可视化

    需要物理网络和虚拟网络（虚拟交换机）的端到端可管理、可配置。

    (7)分权分域管理

    支持面向运营商、租户以及租户内不同级别用户的多维度网络和业务的差异化、个性化管理。

3.2基于VxLAN的云数据中心组网解决方案

    VxLAN在云数据中心组网主要有如下3种应用场景。

    (1)基于VxLAN网关的混合云组网

    用户CPN部署的VxLAN网关通过城域网underlay网络与DC（data center，数据中心）中的VxLAN交换机互联，由于基于VxLAN构建了跨用户驻地网和电信运营商DC的大二层网络，因此可以提供用户驻地网中重要应用在电信运营商DC内的灾备以及虚拟机实时迁移。不仅虚拟机应用可以互通，同时，对用户驻地网与云数据中心之间现有IP网络也几乎无影响。另一方面，对于总部与多个分支机构互联组网模式，由于企业内网一般采用私网地址组网，各分支机构的IP地址可能重叠，随着今后虚拟机的大量引入，MAC地址也可能重叠，因此，在用户总部所在DC内采用VxLAN组网，将可以允许IP/MAC地址重用而不会影响用户分支已组建好的网络。

图4中用户驻地网(CPN)侧的VxLAN网关可以是硬件形态，也可以是安装在虚拟机上的软件形态。

    (2) DC内VxLAN组网

如图5所示，用户驻地网侧可以仍然为传统VLAN组网。在DC内通过VxLAN网关实现VLAN到VxLAN映射，从而在DC内部实现从虚拟化层网络到物理网络的端到端VxLAN组网。

    DC内采用VxLAN组网比传统的VLAN组网有更多优势：其一可以支持大量虚拟机、服务器的MAC地址和IP地址重叠，并解决二层逻辑通道4 096个VLAN标识限制问题，实现DC网络高扩展性；其二，VxLAN先天支持ECMP(equal cost multipath，等价多路径)，可以解决传统LAN中的生成树环路问题，并实现基于流的精细化颗粒度负载均担，充分利用网络资源并提供网络高冗余性；其三，DC采用VxLAN组网，可以与已支持VxLAN的计算虚拟化层无缝融合组网，实现虚拟网络、物理网络端到端逻辑路径可视化。

    (3)跨城域网的DC间互联组网

基于VxLAN实现跨DC互联组网，不仅可以满足新时期业务需求，而且可以降低运营成本。如图6所示，由于VxLAN是一种MAC in UDP的overlay网络技术，因此，可以在对跨现有DC间IP网络几乎无影响的情况下构建跨地域大二层网络，满足大量虚拟机实时迁移导致的东西向流量对广域网低时延等要求。同时，相对于传统基于裸光纤互联、构建新型OTN实现大二层组网具有较高的经济性；而相对于传统基于lP网络的MPLS L2 VPN二层专线网络，不需要全网开启MPLS，且运维管理相对简单。

4  结束语

    VxLAN技术逐步成熟，知名互联网服务商和主流电信运营商、大型企业已逐步试验或商用部署。但是，受限于标准化进展以及厂商不同的实现能力．VxLAN技术在云数据中心大规模、多场景商用尚有一些技术问题需要进一步深入研究，并推动解决。

    一是VxLAN协议开销对现网的影响。VxLAN网关建立VxLAN隧道时，由于VxLAN封装会将原有IP分组增加50 byte开销，因此，需保证VxLAN隧道沿途所有underlayIP网络设备的MTU值设置得大于VxLAN报文。或者，可以在VxLAN VTEP之间先开启GRE隧道，然后再进行VxLAN隧道封装，此时只要GRE隧道两个端点将MTU值适当调大即可。但GRE隧道承载VxLAN隧道也存在一定问题，因为GRE隧道是点对点连接，每一个VxIAN隧道都需为之配置一条点对点GRE隧道，将带来一定的运维复杂度，

    二是SDN控制器与VxLAN交换机之间南向接口（协议）的标准性和开放性有待提高。目前，SDN控制器与交换机之间南向接口协议主要有OpenFlow和OpFlex两种．OpenFlow为ONF(Open Networking Foundation，开放网络基金会)所定义，而OpFlex为IETF定义。但是，由于各厂商仍有私有实现机制在标准定义范畴之外，因此目前商用解决方案中异厂商SDN控制器与VxLAN交换机的互通性很差。

    三是SDN控制器东西向互通方案需要标准化。目前，不同厂商的SDN控制器之间均无法实现通信，且各厂商的SDN控制器灾备方案也不尽相同，如有采用群集技术实现方案、有采用MP-BGP EVPN实现方案等。

四是基于MP-BCP EVPN作为控制平面的VxLAN技术实现虽已部分标准化，但已有解决方案的各厂商不仅实现架构不尽相同，而且互通性存在问题。

5摘要：

梳理了数据中心云化演进对新技术、新架构的需求，对当前VxLAN主流实现方案进行了分析。研究了VxLAN技术在云数据中心的几种典型组网应用，并总结了VxLAN在云数据中心规模商用尚需解决的问题。