3.交换机虚拟技术培训v1

1、交换机虚拟技术培训INTRODUCTION FOR VSU+VSD作者：交换机与数据中心产品线2013-08-08文档密级:机密密级标识文档类型 文档密级机密主送对象 抄送对象文档编号生效日期 编写人 张舵审核人正式交流时请删除本页| 一个Newton 一个网络3全球最领先虚拟化技术VSU + VSD最大支持4虚1最大支持1虚12资源池化按需分配| 一个Newton 一个网络4全球最领先虚拟化技术锐捷华为H3CCiscoNewton 18000CE12800H3C12500/10500Nexus 7000多虚一4虚14虚14虚12虚1虚拟化带宽24T640G160G160G一虚多1虚121虚8

2、1虚81虚4一虚多方式基于端口基于端口基于线卡基于端口虚拟化技术横向对比VSUVSU 3.0VSU 2.0VSD目 录 Contents| 6技术背景 园区网现状IEEE 802.3以太网标准化，冗余的设计，STP、MSTP等标准化技术不断涌现，解决冗余的设计造成环路以及环路有可能引起的广播风暴，实现不同链路流量的负载分担网关冗余VRRP满足网关冗余需求集群解决了单一IP管理、统一软件升级的问题，一个集群网络可由最多256台二层交换机组成，工作在二层模式当前的园区网建设，采用STP、VRRP、集群等方式实现冗余| 7 技术背景 锐捷VSU虚拟化技术针对上述网络发展过程中出现的问题，锐捷网络公司

3、提出VSU技术，从以下四方面优化网络。简化管理管理员可以对多台交换机统一管理，而不需要连接到每台交换机分别进行配置和管理。简化网络拓扑VSU在网络中相当于一台交换机，通过聚合链路和外围设备连接，不存在二层环路，没必要配置MSTP协议，各种控制协议是作为一台交换机运行的。毫秒级故障恢复VSU和外围设备通过聚合链路连接，如果其中一条成员链路出现故障，切换到另一条成员链路的时间是50到200毫秒。链路保护高效利用VSU和外围设备通过聚合链路连接，既提供了冗余链路，又可以实现负载均衡，充分利用所有带宽。客户需求All in One| 8技术背景 高端VSU虚拟化技术把两台物理交换机组合成一台虚拟交换机

4、的新技术，称为VSU，全称是Virtual Switch Unit，即虚拟交换单元。虚拟化后，VSU虚拟化的两台交换机，管理维护，正常应用起来相当于一台交换机。核心层 汇聚层 核心层 汇聚层 VSL链路VSU单元 统一的管理界面 一致的转发表项 跨设备链路捆绑| 9VSU3.0基本概念Domain ID：是VSU的标识符，用来区分不同的VSU。Switch ID：是成员交换机的一个属性，是交换机在VSU中的成员编号。设备优先级：优先级越高，被选举为主机箱的可能性越大。设备角色：Active：主设备，负责管理整个VSU。Standby：从设备，作为Active的备用设备运行。| 10拓扑类型线形

5、环形| 11VSU基本概念角色VSU由两台机箱构成，每个机箱可以支持2块管理板，整个VSU共可支持4块管理板。4块管理板的角色1、全局主管理板2、全局从管理板3、全局候选管理板主机箱从机箱主管理板从管理板候选管理板候选管理板VSL控制面状态ACTIVESTANDBYCandidate主管理板从管理板候选管理板候选管理板控制信息同步Candidate数据面状态ACTIVEACTIVEACTIVE主管理板从管理板候选管理板候选管理板ACTIVEVSUVSU| 12VSU基本概念VSL虚拟交换链路(Virtual Switching Link)是一条用来在两台成员交换机之间传输数据的特殊聚合链路。除

6、了控制报文以外，可能存在跨机箱的数据报文通过VSL传输。为了减少控制报文丢失的可能性，控制报文的优先级高于数据报文。如果插有M8600-VSU-02XFP线卡，则该线卡上的两个万兆口将被自动配置为VSL链路成员口VSL链路成员口可分别配置在两台机箱的万兆口或40G端口上可以只连接一对成员口，但是为了提高可靠性和跨机箱带宽，推荐至少连接两对成员口| 13拓扑发现和角色选举拓扑发现VSU Hello 报文携带拓扑信息本机的成员编号设备优先级MAC信息VSU端口信息角色选举- Active角色当前主机优先设备优先级大的优先MAC地址小的优先最靠近主机的优先设备优先级大的优先MAC地址小的优先角色选举

7、- Standby角色角色选举-Candidate角色最靠近主机的优先设备优先级大的优先MAC地址小的优先Standby的备用设备运行| 14成员加入与退出成员加入原因有：人为增加成员；当设备或链路故障恢复时，恢复的设备会重新加入 VSU。成员退出原因有：人为改变拓扑，取走成员设备；成员设备故障；链接故障。场景1场景2场景1场景2新设备本身未形成 VSU时：使用 VSU电缆连接到已有VSU系统，上电重启，则新设备以Standby（原来拓扑只有一台设备）或Candidate（原来拓扑至少有两台设备）的角色在拓扑中工作。新设备本身已经形成了VSU：两个VSU会进行竞选，拓扑合并竞选失败方的所有成员

8、设备进入Recovery状态，然后按照VSL连接关系，逐一重启加入到拓扑合并竞选获胜方的VSU中。故障引起的退出：通过监视VSL状态，检测到VSL故障后，设备通过“VSL链路剪枝”同步通告方式，快速让拓扑中的所有成员设备感知到变化。管理维护引起的退出：要退出的成员设备先向拓扑洪泛“离开”消息；所有成员设备根据“离开”消息更新拓扑信息；要退出的成员设备最后重启。| 15信息同步配置同步软件版本同步时间同步1、首次拓扑收敛后，主设备把配置信息同步给其他成员设备。2、管理员修改配置后，主设备会把配置实时同步到所有成员设备。VSU具有软件版本自动同步功能。新设备加入VSU 时，会从Active设备下载

9、系统启动文件，然后使用新的启动文件重启，重新加入VSU。1、首次拓扑收敛后， Active设备把时钟和时区信息同步给其他成员设备。2、管理员修改时间后，Active设备通过NTP协议更新时钟/时区，同步到所有成员设备。| 16双主机检测VSL链路故障1、BFD（ Bidirectional Forwarding Detection ）的双主机检测端口必须是三层路由口；2、当用户将双主机检测端口从三层路由口转换为其他类型的端口模式时，BFD的双主机检测配置将自动清除；3、 BFD检测采用扩展BFD，不能通过现有BFD的配置与显示命令配置双主机检测口。1、当VSL链路断开，产生双主机时，两个主机间

10、相互发送聚合口私有报文来检测多主机。2、与BFD检测的区别主要在于基于聚合口的检测需要配置在跨设备业务聚合端口上（不是VSL聚合端口），而且需要周边设备可以转发私有检测报文基于聚合口双机检测示意图基于BFD的双机检测示意图1、检测出双主机以后，系统将根据双主机检测规则选出最优VSU和非最优VSU。2、最优VSU不受影响，系统不做特殊处理；3、非最优VSU设备进入recovery模式，系统会关闭除VSL端口和管理员指定外的所有物理端口。处理方式| 17管理板故障切换主机箱从机箱主管理板从管理板候选管理板候选管理板VSL主管理板从管理板主机箱从机箱主管理板从管理板候选管理板VSL主管理板故障恢复候

11、选管理板| 18管理板故障切换主机箱从机箱主管理板从管理板候选管理板候选管理板VSL从管理板故障恢复主机箱从机箱主管理板候选管理板从管理板VSL候选管理板从管理板| 19报文转发VSU和外围设备通过跨机箱聚合链路连接，如果成员交换机收到知名单播帧（知道目的MAC地址对应物理端口的单播帧），需要向聚合端口转发，应该优先选择该聚合端口在本机箱上的成员端口。减少经过VSL的流量，VSL主要用来传输控制报文| 20报文转发1、如果该聚合端口在本机箱上的所有成员端口的链路状态都是DOWN，那么只能把单播帧通过VSL转发给另一台机箱，然后经过该聚合端口在对端机箱上的成员端口转发出去。2、对于未知名单播帧（

12、不知道目的MAC地址对应物理端口的单播帧）、组播帧和广播帧，无法做到优先选择该聚合端口在本机箱上的成员端口，只能在两台机箱的所有成员端口之间负载均衡。VSUVSU 3.0VSU 2.0VSD目 录 Contents| 22VSU2.0基本概念Domain ID：是VSU的标识符，用来区分不同的VSU。Switch ID：是成员交换机的一个属性，是交换机在VSU中的成员编号。设备优先级：优先级越高，被选举为主机箱的可能性越大。设备角色：Active：主设备，负责管理整个VSU。Standby：从设备，作为Active的备用设备运行。Candidate：候选设备，作为Standby的备用设备运行。

13、| 23拓扑发现和角色选举拓扑发现VSU Hello 报文携带拓扑信息本机的成员编号设备优先级MAC信息VSU端口信息角色选举- Active角色当前主机优先设备优先级大的优先MAC地址小的优先最靠近主机的优先设备优先级大的优先MAC地址小的优先角色选举- Standby角色角色选举-Candidate角色最靠近主机的优先设备优先级大的优先MAC地址小的优先Standby的备用设备运行| 24拓扑类型线形环形| 25数据转发-单播当成员设备收到报文后，查找本地转发表，如果出接口就在本机上，则成员设备将报文从本地出接口发送出去。当成员设备收到报文后，查找本地转发表，发现出接口在另一台成员设备上，

14、则该设备根据单播最优路径将报文转发给另外的成员设备，最后，另一台成员设备将报文转发出去。本地转发场景异地转发场景| 26数据转发-单播单播路由根据： 跳数、带宽、VSL标识这三个因素来确定。跳数小的优先 带宽大的优先 VSL标识小的优先。123456ABAAAAABBBBB假设出口A的VSL标识小节点4到节点1单播复杂的转发路径| 27数据转发-组播组播转发场景1、成员设备1收到组播报文，它通过两个VSL通道将组播报文转发出去；2、在组播报文经过成员设备2和3时，由于成员设备2和3上均有组播接入，因此成员设备2和3会将报文转发出去；3、根据组播转发原理，组播流量会分别截止于成员设备3和成员设备

15、4。| 28VSU3.0 vs. VSU2.0VSU3.0VSU2.0箱式VSU成员数量42盒式VSU成员数量暂不支持8主备切换时间50ms50ms组网拓扑线形，环形线形，环形跨机箱聚合链路故障恢复时间50ms50msVSL链路数量12864(箱式)每个机箱支持NMM数量22每个逻辑机箱支持FW数量22VSUVSU 3.0VSU 2.0VSD目 录 Contents| 30虚拟化技术综述按照抽象层次把虚拟化技术分为：将虚拟机发出的指令翻译成本地指令集，例如模拟器指令级虚拟化将一个物理主机虚拟成多台逻辑主机。例如WMWARE系统级虚拟化增强应用程序的可移植性，例如JAVA虚拟机编程语言级虚拟化对

16、Guest OS的API仿真，例如CYGWIN程序级虚拟化| 31VSD概况VSDVirtual Switch Device。虚拟交换设备，一种将一台物理设备虚拟成多台逻辑设备的虚拟化技术，简称：一虚多。友商类似技术Cisco:VDC，Virtual Device Context，虚拟设备上下文。HW：VS，Virtual System，虚拟系统。H3C：MDC，Multi-tenant Devices Context，多租户设备环境为什么要用VSD：虚拟化技术本质上是对物理资源进行高效复用，从而提高网络设备的资源利用率，降低整体的组网成本。为什么不用多用户系统？多用户系统无法对用户进行完全的

17、隔离和资源独立分配，因此在安全性和资源的有效管理方面有较大的确是，因此不可用于组织间的复用。关联技术：VSU:Virtual Switch Unit。虚拟交换单元，一种将多台物理设备虚拟化成一个逻辑设备的虚拟化技术，简称：多虚一。VM：Virtual Machine。虚拟机，在同一台计算机上虚拟出多台计算机，目前已经广泛应用于服务器上，是主机领域的一虚多技术。| 32VSD软件整体架构PingCLILSMTCP/IP代理PingCLILSMTCP/IP代理PingCLILSMTCP/IP代理抽象层（LSM、TCP/IP栈、IP REF）用户空间内核空间整个系统划分为零域和客户域，零域属于特权域

18、，可以创建新的VSD客户域，默认情况下系统运行在零域。客户域中部署网络业务的多个实例，不同客户域之间不可互通，客户域只能和0域交互，从而实现客户域之间的隔离。零域客户域客户域| 33三平面分别隔离管理平面每台VSD逻辑设备可进行独立管理管理平面例：输入”用户名”进入特定的VSD，如上图中的Username信息。不同VSD之间管理面完全隔离，如下图中的show run信息。| 34三平面分别隔离控制平面例：在VSD系统中，不同的VSD的接口可以配置相同的IP网段，而在非VSD系统中，同样的IP网段配置在不同的接口上会提示冲突。不同VSD之间控制面完全隔离，可以独立的ping通。控制平面完全独立，

19、需要像独立的物理交换机一样去在拓扑中呈现VSD成员控制平面| 35三平面分别隔离转发平面例：不同VSD可以配置相同的路由表，但其下一跳的接口不一样。不同VSD之间转发面完全隔离，连接在不同接口上的PC之间可以用相同的IP互相ping通。转发平面完全独立，不同VSD之间的接口如同不同物理设备上的接口一样转发平面| 36关键指标对比对比项Cisco华为H3C我司虚拟机数量98812端口分配方式基于端口基于端口基于端口组基于端口组多虚一和一虚多融合不支持支持支持支持带外管理虚拟机支持NA支持支持MGMT口管理虚拟机支持NA支持支持CPU资源划分支持NA支持支持内存资源划分不支持NA支持支持外存资源划分不支持NA支持支持转发资源划分支持NA独享独享我司和H3C的关键指标类似，虚拟机支持的数量和管理板的内存容量相关：我司最多有8G，建议1G 1个VSD。HW目