虚拟网络初探.pdf

虚拟网络初探 Weibo Rao 随着服务器虚拟化的广泛应用，在数据中心网络中，虚拟网络端口数量已经超过物理网络，足 以引起人们的关注。虚拟化也颠覆了传统数据中心网络设计的两个假设：多个虚拟机会共享同一个 物理的网卡，打破传统的服务器与网卡一对一的关联；并且，由于虚拟机具备漂移的能力，虚拟机 与虚拟网络的连接是动态的，而不是在物理环境中相对静态的连接。本文对虚拟网络领域进行初步 探讨，希望给对该领域感兴趣的技术爱好者以启发，起到抛砖引玉的效果。 为什么需要虚拟交换机 按照维基百科的定义，虚拟网络是由虚拟网络连接（部分或全部）组成的计算机网络。其中， 虚拟网络连接是一种非物理连接（有线或无线），采用网络虚拟化的技术连接计算设备。虚拟网络 通常有两种形式：一种是基于协议的虚拟化（如VLAN 、VPN ，通过插入报文头实现），另一种是基 于虚拟设备的（如虚拟机网络）。本文主要关注后者，如无单独注明，下文的虚拟网络均指基于虚 拟设备的网络。 虚拟网络是伴随服务器虚拟化而出现的，早期的虚拟网络主要处理一个很有趣的问题，即物理 服务器内的多个虚拟机如何共享同一个物理的网卡？虚拟机一方面需要共享物理网卡与外界资源通 信，另一方面，同一广播域内的虚拟机之间也需要通信。如果虚拟机管理程序Hypervisor 只管将来 自虚拟机的报文转发给上层交换机，由于网桥的MAC 过滤工作原理，上层交换机不会将来自同一 端口的报文转发回去。 最早，在2000 年，VMware 通过软件的方式，在Hypervisor 中增加虚拟交换机vSwitch 来解决 上述问题，而网络厂商则希望采取硬件方式，通过外部交换机来处理该问题，不过这是十年之后才 出现的，以IEEE 802.1BR 和IEEE 802.1Qbg 为代表。本文主要关注基于软件的虚拟交换机方式。如 图1 所示： 图1 虚拟网络逻辑拓扑及vSwitch 1/16 探索 vSwitch vSwitch 是虚拟机管理程序Hypervisor 中内置的组件，模拟二层交换功能，对内提供虚拟机的 接入端口，对外与服务器物理网卡相连。同二层交换机一样，vSwitch 提供IEEE 802.1Q VLAN 标记 功能以及MAC 地址表用于转发以太帧。vSwitch 是基于单个vSphere 主机来配置和管理的，其配置 文件以文本方式存储在/etc/vmware/esx.conf 中。有趣的是vSwitch 是支持CDP 协议的， /etc/vmware/esx.conf 配置中有关CDP 的配置如下： /net/vswitch/child[0000]/cdp/status = both -- 将缺省的”listen”修改为”both”，那么，上层交换机可以通过CDP 协议发现vSwitch Device ID: CiscoUCSC220.n1kdemo Entry address(es): Platform: VMware ESX, Capabilities: Switch Interface: GigabitEthernet1/0/7, Port ID (outgoing port): vmnic0 Holdtime : 138 sec Version : Releasebuild-1331820 advertisement version: 2 以下输出在此省略…… vSwitch 与物理交换机最大的不同在于：在物理环境中，物理服务器的网络连接参数，如 VLAN 、 ACL ，是由物理交换机来配置和掌管的；而vSwitch 和虚拟机网卡的连接参数，是通过网络标签 （Port-Group ）配置在虚拟机上的，由虚拟机掌管连接参数，如图2 所示： 图2 vSphere 客户端中编辑虚机属性 2/16 网络标签定义了VLAN 、安全策略、流量整形以及上游链路负载均衡等配置信息，其中安全策 略主要是指网卡是否配置为混杂模式，以及是否接受虚拟机vNIC MAC 地址改变，并不是传统意