华为FusionSphere 8.0 虚拟化套件分布式虚拟交换机技术白皮书

1、华为FusionSphere 8.0 虚拟化套件分布式虚拟交换机技术白皮书文档版本V1.0发布日期2019-12-30华为技术有限公司版权所有 华为技术有限公司 2019。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129网址：文档版本V1.0 (2019-03-20)华为专有和保密信息 版权所有 华为技术有限公司17华为FusionSphere 6.5.0 分布式虚拟交换机技术白皮书目 录目 录1

2、 分布式虚拟交换机概述11.1 产生背景11.2 虚拟交换现状21.2.1 基于服务器CPU实现虚拟交换21.2.2 物理网卡实现虚拟交换21.2.3 交换机实现虚拟交换32 华为方案简介52.1 方案是什么52.2 方案架构72.3 方案特点73 虚拟交换管理83.1 主机83.2 分布式虚拟交换机83.3 端口组84 虚拟交换特性94.1 物理端口/聚合94.2 虚拟交换94.2.1 普通交换94.2.2 SR-IOV直通104.2.3 用户态交换104.3 流量整形114.3.1 基于端口组的流量整形114.4 安全124.4.1 二层网络安全策略124.4.2 广播报文抑制124.4.3 安全组134.5 端口组类型134.5.1 Trunk端口134.5.2 Access端口134.6 端口管理134.7 存储面三层互通144.8 配置管理VLAN144.9 业务管理平面145 虚拟交换应用场景155.1 集中虚拟网络管理155.2 虚拟网络流量统计功能155.3 分布式虚拟端口组155.4 分布式虚拟上行链路155.5 网络隔离155.6 网络迁移165.7 网络安全166

3、 缩略语16华为FusionSphere 6.5.0 分布式虚拟交换机技术白皮书3 虚拟交换管理1 分布式虚拟交换机概述1.1 产生背景图1-1 网络虚拟化的发展计算虚拟化驱动网络虚拟化的发展。传统数据中心，一台服务器运行一个操作系统，通过物理网线与交换机相连，由交换机实现不同的主机的交换、流量控制、安全控制等功能。在计算虚拟化后，一台服务器虚拟化成多台的虚拟的主机，每个虚拟主机有自己的CPU、内存和网卡。同一服务器上的不同主机之间既需要维持原有的通信，同时由于共享物理设备，引出了新的安全隔离、以及对流控的更高的需求，对虚拟交换技术的诉求由此产生为统一和简化对各台主机的虚拟交换机的配置管理，业界引入分布式虚拟交换机。分布式虚拟交换机一方面可以对多台服务器的虚拟交换机统一配置、管理和监控，另一方面也可以保证虚拟机在服务器之间迁移时网络配置的一致性。1.2 虚拟交换现状虚拟交换分为基于服务器来实现虚拟二层交换的功能和基于交换机实现虚拟交换功能两类实现方式。其中服务器实现虚拟交换又分为服务器CPU实现虚拟交换和在服务器网卡上实现虚拟交换的两种方式。总结来说，虚拟交换的实现形式一般分为三种：1

4、）在服务器CPU上实现虚拟交换；2）在服务器网卡上实现虚拟交换；3）在物理交换机上实现虚拟交换。1.2.1 基于服务器CPU实现虚拟交换在服务器CPU中实现虚拟交换是目前较为成熟且产品化较好的技术方案。在服务器的CPU中实现完整的虚拟交换的功能，虚拟机的虚拟网卡对应虚拟交换的一个虚拟端口，服务器的物理网卡作为虚拟交换的上行链路端口。虚拟机的报文接收流程如下：虚拟交换机首先从虚拟端口/物理端口接收以太网报文，之后根据虚拟机MAC、VLAN，查找二层转发表，找到对应的虚拟端口/物理端口，然后按照具体的端口，转发报文。该方案的特点：1) 服务器内部的通信性能：同一服务器上的虚拟机间报文转发性能好，时延低。虚拟交换机实现虚拟机之间报文的二层软件转发， 报文不出服务器，转发路径短，性能高；2) 跨服务器通信性能：跨服务器，需要经物理交换机进行转发，相比物理交换机实现虚拟交换，由于虚拟交换模块的消耗，性能稍低于物理交换机实现虚拟交换；3) 扩展灵活：服务器实现虚拟交换，由于采用纯软件实现，相比采用L3芯片的物理交换机，功能扩展灵活、快速，可以更好的满足云计算的网络需求扩展；4) 规格容量大：服务器

5、内存大，相比物理交换机，L2交换容量远大于物理交换机。1.2.2 物理网卡实现虚拟交换物理网卡实现虚拟交换设计思想是将虚拟交换功能从服务器的CPU移植到服务器物理网卡，通过网卡硬件改善虚拟交换机占用CPU资源而影响虚拟机性能的问题，同时借助物理网卡的直通的能力，加速虚拟交换的性能。传统的SR-IOV商业网卡，也可以支持虚拟交换的功能，但是由于自身设计以及缺乏与Hypervisor的配合，传统的商业网卡难以支持热迁移等虚拟化的特性。图1-2 基于SR-IOV的虚拟交换基于物理网卡实现虚拟交换的特点：1) 相对于虚拟交换机，减少了CPU占用率，采用网卡实现交换的功能，不再需要CPU参与虚拟交换处理；2) 对于物理网卡实现虚拟直通功能时，由于实现了虚拟机对PCIe设备的直接访问和操作，显著降低了从虚拟机到物理网卡的报文处理延时；3) 传统商业网卡无法支持热迁移、同时功能简单，无法支持灵活的安全隔离等特性，且功能扩展困难。1.2.3 交换机实现虚拟交换交换机实现虚拟交换，业界有两种实现技术：802.1Qbg VEPA、802.1Qbh Bridge Port Extension。802.1Qb

6、g VEPAVEPA的实现是基于现在的IEEE标准，不必为报文增加新的二层标签，只要对VMM软件和交换机的软件升级就可支持VEPA的“发卡弯”转发。与VEB方案类似，VEPA方案可以采用纯软件方式实现，也能够通过支持SR-IOV的网卡实现硬件VEPA。其实，只要是VEB能安装和部署的地方，就都能用VEPA来实现，但VEB与VEPA各有所长，并不存在替代关系。VEPA的优点在于，完全基于IEEE标准，没有专用的报文格式。而且容易实现，通常只需要对网卡驱动、VMM桥模块和外部交换机的软件做很小的改动，从而实现低成本方案目标。802.1Qbh Bridge Port Extension 端口扩展设备是一种功能有限的物理交换机，通常作为一个上行物理交换机的线卡使用。端口扩展技术需要为以太网报文增加TAG，而端口扩展设备借助报文TAG中的信息，将端口扩展设备上的物理端口映射成上行物理交换机上的一个虚拟端口，并且使用TAG中的信息来实现报文转发和策略控制。VN-TAG为报文定义了虚拟机源和目的端口，并且标明了报文的广播域。借助支持VN-TAG技术的vSwitch和网卡，也能够实现类似EVB多通道的

7、方案，但是VN-TAG技术有一些缺点：VN-TAG是一种新提出的标签格式，没有沿用现有的标准（如IEEE 802.1Q、 IEEE 802.1ad、IEEE 802.1X tags ）。必须要改变交换机和网卡的硬件，而不能只是简单的对现有的网络设备软件进行升级。也就是说，VN-TAG的使用需要部署支持VN-TAG的新网络产品（网卡、交换机、软件）。最初IEEE 802.1工作组曾考虑将“端口扩展”作为EVB标准的一部分，但是最终决定将端口扩展发展成一个独立的标准，即802.1 Bridge Port Extension。Cisco曾向IEEE 802.1Q工作组建议，将其私有的VN-TAG技术作为实现EVB的一种可选方案，但工作组最终没有接纳这个提案。Cisco最近修改了VN-TAG技术草案，修改后的草案称为M-TAG，该方案的主要目标仍是为了实现端口扩展设备与上行交换机之间的通信标准化。2 华为方案简介2.1 方案是什么华为虚拟交换提供集中的虚拟交换的管理功能。集中的管理提供统一的Portal，进行配置管理，简化用户的管理。图2-1 虚拟交换场景通过分布在各物理服务器的虚拟交换机，提

8、供虚拟机的二层通信、隔离、QoS的能力。分布式交换机模型基本特征：1) 虚拟化管理员可以配置多个分布式交换机，每个分布式交换机可以覆盖集群中的多个CNA节点；2) 每个分布式交换机具有多个分布式的虚拟端口VSP，每个VSP具有各自的属性(速率)，为了管理方便采用Port Group组管理相同属性的一组端口，相同端口组的VLAN相同； 3) 虚拟化管理员或业务系统（例如VDI/IDC）,可选择管理/存储/业务使用的不同物理接口；每个分布式交换机可以配置一个UpLink端口或者一个Uplink端口聚合组，用于VM对外的通信。Uplink端口聚合组可以包含多个物理端口，端口聚合组可以配置负载均衡策略； 4) 每个VM可以具有多个vNIC接口，vNIC可以和交换机的VSP一一对接；5) 虚拟化管理员或业务系统可根据业务需求，选择在一个集群中允许进行2层迁移的服务器 创建虚拟二层网络，设置该网络使用的VLAN信息；图2-2 虚拟交换模型虚拟化管理员可通过定义端口组 属性（安全/QoS）简化对虚拟机端口属性的设置；设置端口组属性，不影响虚拟机正常工作；端口组：端口组是网络属性相同的一组端口的属性集

9、合。管理员可以通过配置端口组属性（带宽QOS、2层安全属性、VLAN等）简化对虚拟机端口属性的设置。设置端口组属性，不影响虚拟机正常工作；上行链路：分布式交换机关联的服务器物理网口；管理员可以查询上行链路的名称、速率、模式、状态等信息；上行链路聚合：分布式交换机关联的服务器绑定网口，绑定网口可以包含多个物理网口，这些物理网口可以配置主备或负载均衡策略。2.2 方案架构图2-3 虚拟交换架构如上图所示，华为的分布式虚拟交换支持基于开源Open vSwitch的纯软件的虚拟交换的功能。2.3 方案特点1) 集中的管理：统一Portal和集中的管理，简化用户的管理和配置；2) 开源Open vSwitch：集成开源Open vSwitch，充分利用和继承了开源社区虚拟交换的能力；3) 提供丰富的虚拟交换的二层特性，包括交换、QoS、安全隔离等。3 虚拟交换管理3.1 主机主机是使用虚拟化软件(FusionCompute)运行虚拟机的计算机。主机是一台真正的物理服务器。主机提供虚拟机使用的CPU和内存资源，并使虚拟机能够访问网络。3.2 分布式虚拟交换机分布式虚拟交换机是管理多台主机上的虚拟交换机（基于软件的虚拟交换机）的虚拟网络管理方式，包括

《华为FusionSphere 8.0 虚拟化套件分布式虚拟交换机技术白皮书》由会员添***分享，可在线阅读，更多相关《华为FusionSphere 8.0 虚拟化套件分布式虚拟交换机技术白皮书》请在金锄头文库上搜索。