云计算网络课件第4章 网络虚拟化技术

第4章网络虚拟化技术网络虚拟化概述传统网络隧道技术VXLAN技术其他网络虚拟化技术VPC技术服务器虚拟化与网络技术2网络虚拟化是指通过虚拟化技术把物理网络虚拟为多个逻辑网络其实现方式通常是使用不同的标签（例如：VLANTag）等方式来区分属于不同用户的数据流，并使用隧道等技术实现对用户数据的透明传输用户所能感知到的是基于物理网络虚拟化之后的虚拟网络在网络虚拟化的基础之上，云服务提供商能够实现更加灵活的资源分配，减低运营成本网络虚拟化是实现代云数据中心中各项资源高效利用的重要技术网络虚拟化34传统的网络隧道技术包括VLAN与Q-in-QMPLSGRE传统网络隧道技术VLAN（VirtualLocalAreaNetwork，虚拟局域网）是一种基于以太网的网络虚拟化技术。它可以通过在同一个物理局域网中划分出多个逻辑上独立的虚拟局域网的方式，来隔离不同用户的广播域。VLAN5Q-in-Q（IEEE802.1ad），也称为StackedVLAN或者DoubleVLANQ-in-Q是一种基于IEEE802.1Q标准进行扩展之后的隧道技术其核心思想是在VLAN以太网帧中，把用户私网的VLAN标签封装到运营商公网的VLAN标签中，以堆叠使用两个IEEE802.1Q标签Q-in-Q6Q-in-Q转发示例7MPLS（Multi-ProtocolLabelSwitching，多协议标签交换）是一种基于标签的转发技术，能够承载任意的数据协议（例如：IPv4和IPv6），并且可以工作在任何链路协议（例如：以太网和ATM网络等）转发等价类（ForwardingEquivalenceClass，FEC）标签交换路由器（LabelSwitchingRouter，LSR）边缘标签交换路由器（LabelSwitchingEdgeRouter，LER）标签交换路径（LabelSwitchedPath，LSP）MPLS技术8MPLS帧结构和网络示例9GRE（GenericRoutingEncapsulation，通用路由封装）协议GRE的目标是对网络层协议（例如：IPv6、IPX和AppleTalk等协议）进行封装，解决不同网络层协议的报文传输问题GRE协议中的隧道是一条点对点的连接，提供了一条数据通路，使得被GRE协议封装后的数据报文能够在基于其它网络层协议的网络中通行隧道两端分别是GRE协议的封装与解封装节点，负责把其它网络层协议的数据报文封装到GRE协议数据报文中，以及还原为原始网络层协议GRE技术10假设使用GRE协议来封装IPv6数据包，并在IPv4网络上进行传输在帧结构最前端的是用于传输GRE报文的网络层协议的包头（此处为IPv4协议包头），之后是GRE协议的包头GRE协议帧结构11为解决VLAN在数据中心环境下问题，思科和Vmware等合作提出了VXLAN（VirtualeXtensibleLocalAreaNetwork，虚拟可扩展局域网），见IETFRFC7348VXLAN是一种大二层的网络虚拟化技术，在现有的三层物理网络上构造出虚拟的二层网络VXLAN属于Overlay网络技术的一种，采用UDP进行封装，通过封装技术使得租户的二层报文能够跨越三层网络进行传输VXLAN技术12VTEP（VXLANTunnelEndPoint，VXLAN隧道端点）：VXLAN的封装点，关于VXLAN的处理过程都在VTEP上进行VNI（VXLANNetworkIdentifier，VXLAN网络标识符）：用于标识VXLAN，使用24位整数进行标识，足以支持上千万租户的使用，完全满足数据中心网络的需求VXLAN隧道：是两个VTEP之间的点对点的逻辑隧道，没有具体的物理实体相对应。隧道双方无法感知底层网络的存在，是一种虚拟通道VXLAN的基本概念13VXLAN组网模型示意图14VXLAN采用的是一种MAC-in-UDP的数据帧，在源终端上发出的原始报文上依次加入了VXLAN包头、外部UDP包头、外部IP包头和外部MAC帧头。其中，VXLAN包头部用于保存VXLAN协议相关的内容，而UDP包头用于在底层网络上传输报文VXLAN帧结构15VM1向VM2发送数据包的过程如下所示：VM1发送IP数据包到VM2VTEP1收到该数据包，查找VXLAN表，确定这个IP数据包的目的地为VTEP2，即对该数据包进行封装VTEP2接收到该数据包后，拆分该数据包找到VNI为3001的端口组，找到VM2并转发VM2收到该数据包后进行处理。VXLAN数据帧转发16案例：使用VXLAN实现ARP1718NVGRESTTGeneve其他网络虚拟化技术NVGRE（NetworkVirtualizationusingGenericRoutingEncapsulation）协议，是由Microsoft、Intel、HP和Dell等企业主导的，用于在大型网络中解决VLANID数目不足的问题的网络虚拟化协议NVGRE使用了GRE包头中的低24位作为租户网络识别符（TenantNetworkIdentifier，TNI），以提供约1600万个ID来区分网络中不同的虚拟网络NVGRE使用GRE作为二层数据包隧道的基础，把来自用户网络的二层数据帧完整地封装到GREPayload中。NVGRE技术19NVGRE对传统的GRE进行了改造，一个24位的VSID（Virtualsubnetidentifier）字段用于标识租户，通过VSID划分一个虚拟二层广播域。同时加入了GRE头、外部IP头和外部以太网头NVGRE封装20状态隧道传输技术STT（StatelessTransportTunneling）是Nicira和VMware等企业所提出的一种“MAC-over-IP”的封装方案，主要用于数据中心网络环境下的虚拟交换机之间传输大量数据STT的包头被设计为与TCP包头相似的结构，以充分利用网卡上的TSO（TCPSegmentationOffload）功能，使得分片和重组数据包的操作能够卸载到网卡上执行，从而降低对服务器CPU资源的占用与TCP协议不同，STT没有任何状态信息。STT技术21STT协议的类TCP包头中，原TCP包头所定义的确认号字段被STT协议用来告诉网卡哪些数据包是属于同一个巨型帧的，并让网卡把序列号相同的分片组装起来原TCP包头所定义的序列号字段，被STT协议用来告诉网卡这些数据包的片偏移，使得这些分片能够以正确的顺序被重组。STT协议的类TCP包头22STT提供了64位NetworkID来区分不同的网络，能够在更大规模的网络中使用（VXLAN和NVGRE只有24位）STT封装过程：STT封装23Geneve（GenericNetworkVirtualizationEncapsulation）由NVO3（NetworkVirtualizationOverlays）提出的网络虚拟化协议Geneve综合考虑了VXLAN、NVGRE、STT的优点和缺点旨在通过为网络虚拟化提供通用的隧道封装框架，以顺应后续隧道机制的不断变化Geneve技术24Geneve采用了与VXLAN相同的“MAC-in-UDP”隧道Geneve封装格式25技术名称标准提出者/支持者虚拟化方式特点VLANIEEE802.11QIEEE提出VLAN标签较早提出的网络虚拟化概念。Q-in-QIEEE802.1adIEEE提出使用2个VLAN标签从租户数量上对VLAN的改进。MPLSIETFRFC3031IETF提出、Cisco、Juniper支持MPLS标签目的是提高路由交换设备的转发速度。GREIETFRFC1701IETF提出GRE包头实现一条点对点的连接隧道。NVGREIETFRFC7637Microsoft、Inter、HP、Dell等支持NVGRE包头用于大型网络解决VLAN租户数量不足。STTIETF草案阶段VMware提出STT包头用于数据中心的虚拟交换机之间传输大量数据。GeneveIETF草案阶段NVo3提出Geneve包头使用UDP头封装节省性能开销；避免了STT一些穿越问题。VXLANIETFRFC7348Cisco、VMware等支持VXLAN包头较为成熟且应用广泛的虚拟化技术。各种隧道协议的对比26VPC（VirtualPrivateCloud，虚拟私有云）最早是由AWS（AmazonWebServices，亚马逊网络服务）在2009年提出的一种云计算网络服务VPC并不是一项新的独立的技术，而是由亚马逊将之前已存在的服务和技术重新编排成为了一项新的网络服务VPC更像是公有云服务商以打包的形式提供服务VPC技术27特征EC2-ClassicVPC公有IPv4地址（来自公有IP地址池）用户的实例从EC2-Classic公有IPv4地址池接收公有IPv4地址。在默认子网中启动的实例会受到公有IPv4地址，除非用户在启动过程中另行指定，或修改子网的公有IPv4地址属性。私有IPv4地址用户的实例在每次启动时会分配一个处于EC2-Classic范围内的IPv4地址。用户的实例会分配一个处于默认VPC地址范围内的静态私有IPv4地址。弹性IP地址当用户停止实例时，弹性IP会取消与实例的关联。当用户停止实例时，弹性IP会保持与实例的关联。分配弹性IP地址将弹性IP地址与实例相关联。弹性IP地址是网络接口的一个属性。用户可以通过更新附加到实例的网络接口，将弹性IP地址与该实例关联起来。安全组安全组可以引用属于其它AWS账户的安全组。安全组只能引用用户自己的VPC的安全组。安全组关联启动实例时，用户可以为其分配无限数量的安全组。用户最多可以为一个实例分配5个安全组。并且可以在启动实例时和实例运行过程中为其分配安全组。安全组规则用户只能为入口流量添加规则。用户可以为入口和出口流量添加规则访问Internet用户的实例可以访问Internet，可以自动接收公有IP地址，并且可以直接通过AWS网络边界访问Internet。用户的实例可以访问Internet，默认会接收一个公有IP地址。一个Internet网关附加到用户的默认VPC，并且该默认子网有一个到Internet网关的路由。IPv6寻址