網絡設備虛擬化技術及應用案例分析

摘 要：科技飛速發展的21世紀，高度信息化的現代社會，網絡設備虛擬化技術成為我們工作的重要幫手和重點研究對象。筆者就自己多年的工作經驗和廣東省現狀，對此技術展開詳細的應用分析。

關鍵詞：網絡設備虛擬化技術 應用案例 高度信息化

中圖分類號：TP393文獻標識碼：A文章編號：1674-098X（2013）05（a）-0027-05

IT基礎設施主要包括網絡、計算和存儲設備，隨著科技的高速發展，高度信息化的現代社會對于這些基礎設施的需求在持續增長，而基礎設施的增加必然會導致成本和功耗的增加，同時很大一部分基礎設施僅用于單一的業務需求，并沒有發揮出設備應有的性能，導致資源浪費。

隨著業務需求的進一步增長，上述的低利用率基礎設施必然會越來越多，最終形成復雜而龐大的設施群，隨之而來的是巨大的成本開支和運營維護開支，同時，此類設施群對能源和空間的消耗也是顯而易見的（圖1）。

為了簡化基礎設施群和系統架構，提高企業的運營效率，需要將多種業務整合到更加精簡的設備中去，減少投資成本和運營開支。在這種背景下，虛擬化技術應運而生，伴隨著虛擬化技術的應用，多個業務部門可以共享同一臺IT設備，極大的提高設備利用率。

該文主要針對網絡交換設備的虛擬化技術做詳細闡述，并結合廣東移動網管平臺架構云化的實際案例說明網絡設備虛擬化技術的最佳實踐和優勢所在。

1 廣東移動網管網現狀

中國移動通信集團廣東有限公司建立有統一的網管應用平臺，有效地整合地市公司網管支撐應用系統，規范了各地市網管支撐應用的開發和維護。現階段，統一網管應用平臺在全省21個地市都進行了部署。

廣東移動的網管平臺主要對城域網、GPRS、短信、WLAN等業務，進行統一的管理、維護和監控。廣東移動網管網通過前期的建設，已經構建了一張比較完善的網絡，整個網絡拓撲結構如圖2所示。

在廣東移動網管網省中心及各地市數據中心，匯聚交換機均采用傳統的網絡交換設備，網絡流量均通過這些交換機進行轉發，隨著廣東移動數據通信業務的飛速發展，網管網的流量越來越高，業務種類越來越豐富，交換機的負荷也越來越重。此外，所有業務的網絡配置均保存在一臺交換機上，給網絡管理和維護帶來了巨大的工作量和開支。同時，當一臺交換機的轉發機制出現問題時，將影響所有業務的正常運轉，給網管業務帶來巨大的損失。

針對以上網管網的情況及傳統交換設備的不足，為了提高網絡管理和維護能力，全面提升數據業務的服務質量，需要對廣東移動網管網進行優化，根據現有的網絡結構，有兩種可選優化方法。

（1）通過新建傳統交換機的方式增加省中心及地市網管IDC的匯聚交換機數量，對網絡流量進行有效隔離，降低每臺交換機的運行負荷。

（2）在省中心及地市網管各IDC新建一對新型匯聚交換機，通過網絡設備虛擬化技術對匯聚交換機進行虛擬化，虛擬出多臺交換機，使一臺設備發揮出幾臺設備的功能，可以極大的降低成本和開支，提高網絡設備的利用率。

根據廣東移動網管網現有的網絡需求及未來的擴容需要，同時考慮網絡設施的成本及運營開支，方案二要明顯優于方案一。

下文將首先介紹網絡設備虛擬化技術，并在此基礎上詳細介紹廣東移動網管云平臺的優化方案和效果。

2 網絡設備虛擬化技術

2.1 虛擬化概念

虛擬化是一個廣義的術語，是指計算元件在虛擬的基礎上而不是真實的基礎上運行，是一個為了簡化管理，優化資源的解決方案。如同空曠、通透的寫字樓，整個樓層幾乎看不到墻壁，用戶可以用同樣的成本構建出更加自主適用的辦公空間，進而節省成本，發揮空間最大利用率。這種把有限的固定的資源根據不同需求進行重新規劃以達到最大利用率的思路，在IT領域就叫做虛擬化技術。

虛擬化技術與多任務以及超線程技術是完全不同的。多任務是指在一個操作系統中多個程序同時并行運行，而在虛擬化技術中，則可以同時運行多個操作系統，而且每一個操作系統中都有多個程序運行，每一個操作系統都運行在一個虛擬的CPU或者是虛擬主機上；而超線程技術只是單CPU模擬雙CPU來平衡程序運行性能，這兩個模擬出來的CPU是不能分離的，只能協同工作。

虛擬化不是一個單獨的實體，而是一組模式和技術的集合，目前虛擬化的表現形式通常有兩種模式：

（1）單一資源的多個邏輯表示

這種模式是虛擬化最廣泛使用的模式之一。它只包含一個物理資源，但是它向消費者呈現的邏輯表示卻仿佛它包含多個資源一樣。消費者與這個虛擬資源進行交互時就仿佛自己是唯一的消費者一樣，而不會考慮他正在與其他消費者一起共享資源。

（2）多個資源的單一邏輯表示

這種模式包含了多個組合資源，以便將這些資源表示為提供單一接口的單個邏輯表示形式。在利用多個功能不太強大的資源來創建功能強大且豐富的虛擬資源時，這是一種非常有用的模式。存儲虛擬化就是這種模式的一個例子。

本文所介紹的網絡設備虛擬化技術屬于第一種虛擬化模式，此技術可將一臺網絡設備虛擬成數臺物理上相互隔離的設備，從而讓不同部門的業務網絡管理員認為他們所面對的是不同的網絡設備。

上述網絡設備虛擬化技術，目前在業界有若干成熟的商用方案可供選擇，在廣東移動網管云平臺優化項目中采用了思科Nexus 7000數據中心系列交換機，因此本文主要針對該系列設備的虛擬化技術——虛擬設備上下文技術做進一步闡述。

2.2 虛擬設備上下文技術

虛擬設備上下文技術是思科 Nexus 7000系列交換機的特有技術，該技術可將單臺交換機虛擬為多臺交換機（如圖3），從而承載多個業務需求。虛擬設備上下文技術可以實現物理級別的虛擬化技術，真正實現故障隔離和區分不同業務的網絡流量，通過創建獨立的硬件和軟件分區實現有效的管理。

如圖3所示，一臺交換機使用虛擬設備上下文技術共劃分了4臺虛擬交換機，在下文中我們用VDC來表示虛擬交換機，VDC1用于研發部門的業務，VDC2用于銷售部門的業務，VDC3和VDC4也分別用于不同的兩個部門，所有部門共用原始交換機的硬件架構以及內核部分，但是每個部分擁有獨立的二、三層協議，這既保證了業務之間的獨立性，也簡化了網絡架構和運營方式，有效的節約開支。

Cisco Nexus 7000系列交換機使用Cisco NX-OS操作系統。該操作系統是一種專為數據中心而設計的新型操作系統，可以為虛擬設備上下文技術提供有力的支持，并能在設備級別實現交換機的虛擬化。對于使用該交換機的所有用戶而言，該系統所配置的每個VDC都會顯示為一個不同的設備。VDC會作為一個單獨的邏輯實體在交換機中運行，具有其自己獨特的軟件進程集，擁有獨立的配置，并由一個單獨的管理員負責管理。

虛擬設備上下文技術可以實現把一臺獨立的硬件設備劃分為多個邏輯設備，并且提供錯獨立容錯和管理、獨立地址分配、獨立資源管理，因此可以把一個虛擬設備看作為一臺物理獨立設備。每臺虛擬設備可以作為一個獨立的物理設備運行，為不同的用戶和業務服務，保管自己的配置文件，并且可以被不同的管理員管理維護。

根據故障遏制和管理分離的層次要求，可以對設備執行多種不同級別的虛擬化。VDC技術能夠將專用軟件進程和專用硬件組合到一起，在一個獨立的管理上下文中提供虛擬的控制和數據平面，可以實現以下級別的虛擬化：

控制平面：創建多個獨立控制平面進程的能力讓用戶可以創建多個邏輯拓撲和故障域。

數據平面：用戶可以通過對轉發表和其他數據庫進行分區，實現數據隔離。

管理平面：可以為每個虛擬設備獨立提供精簡的管理環境。

軟件分區：可以將模塊化軟件進程合并到專門用于特定虛擬設備的分區之中，從而創建明確定義的故障域。

硬件組件：用戶可以對硬件組件進行分區，將硬件資源分配給不同的虛擬設備。

虛擬設備上下文（VDC）是交換機物理端口的一個子集，具有以下特性：

使用一個獨特的配置文件來定義設備的功能

與其他VDC分開管理

可被用于隔離同一個物理基礎設施上支持的其他VDC的數據流

支持同一交換機上不同VDC之間的進程獨立性和故障隔離

2.3 配置虛擬設備上下文

虛擬設備上下文的配置從VDC的劃分開始，每臺設備初始有一個VDC，通過軟件授權激活每臺硬件設備可以支持到四個VDC。每臺交換機中有一個默認激活的VDC（VDC1），這就意味著可以使用命令行額外添加3個VDC。添加VDC的命令如下：

switch# conf t

switch（config）# vdc production

switch（config-vdc）# show vdc

vdc_id vdc_name state mac

------ ------ ----- ----

1 switch active 00：18：ba：d8：4c：3d

2 production active 00：18：ba：d8：4c：3e

switch（config-vdc）# show vdc detail

vdc id： 1

vdc name： switch

vdc state： active

vdc mac address： 00：18：ba：d8： 4c：3d

vdc ha policy： RESET

vdc id： 2

vdc name： production

vdc state： active

vdc mac address： 00：18：ba：d8：4c：3e

vdc ha policy： BRINGDOWN

當添加了VDC后，系統將自動進入VDC配置模式，在這里可以進行更加復雜的VDC配置，當添加一個新的VDC時，一系列的默認資源會分配給該VDC，下面的例子顯示了當創建了名字為production的VDC時，該VDC的資源情況：

switch# show run | begin vdc

vdc production id 2

template default

hap bringdown

limit-resource vlan minimum 16 maximum 4094

limit-resource span-ssn minimum 0 maximum 2

limit-resource vrf minimum 16 maximum 8192

limit-resource port-channel minimum 0 maximum 256

limit-resource glbp_group minimum 0 maximum 4096

以上配置信息提供了該VDC工作時所消耗的資源狀況，這些資源包括VLAN，VRF，SPAN，PortChannels和GLBP，管理員可以通過命令行修改資源的分配，下面是一個修改資源分配的示例：

switch（config）# vdc production

switch（config-vdc）# limit-resource vlan minimum 32 maximum 4094

switch（config-vdc）# show run | begin vdc

vdc production id 2

template default

hap bringdown

limit-resource vlan minimum 32 maximum 4094

limit-resource span-ssn minimum 0 maximum 2

limit-resource vrf minimum 16 maximum 8192

limit-resource port-channel minimum 0 maximum 256

limit-resource glbp_group minimum 0 maximum 4096

上面的例子顯示了怎樣將名字為Production的VDC的最小VLAN數目從16個修改為32個。

在成功添加VDC后，管理員將進入VDC配置模式，下一步的任務就是將物理端口劃分到VDC中。物理線卡上的端口是不能在不同的VDC之間共享的。默認情況下，所有的物理端口都屬于默認VDC。當添加一個VDC后，可在該VDC的控制模式下添加端口，命令行如下：

switch（config）# show vdc membership

vdc_id： 1 vdc_name： switch interfaces：

Ethernet3/1 Ethernet3/2 Ethernet3/3

Ethernet3/4 Ethernet3/5 Ethernet3/6

Ethernet3/7 Ethernet3/8 Ethernet3/9

Ethernet3/10 Ethernet3/11 Ethernet3/12

Ethernet3/13 Ethernet3/14 Ethernet3/15

Ethernet3/16 Ethernet3/17 Ethernet3/1

Ethernet3/19 Ethernet3/20 Ethernet3/21

Ethernet3/22 Ethernet3/23 Ethernet3/24

Ethernet3/25 Ethernet3/26 Ethernet3/27

Ethernet3/28 Ethernet3/29 Ethernet3/30

Ethernet3/31 Ethernet3/32 Ethernet3/33

Ethernet3/34 Ethernet3/35 Ethernet3/36

Ethernet3/37 Ethernet3/38 Ethernet3/39

Ethernet3/40 Ethernet3/41 Ethernet3/42

Ethernet3/43 Ethernet3/44 Ethernet3/45

Ethernet3/46 Ethernet3/47 Ethernet3/48

vdc_id： 2 vdc_name： production interfaces：

switch（config）# vdc production

switch（config-vdc）# allocate interface ethernet 3/48

switch（config-vdc）# show vdc membership

vdc_id： 1 vdc_name： switch interfaces：

Ethernet3/1 Ethernet3/2 Ethernet3/3

Ethernet3/4 Ethernet3/5 Ethernet3/6

Ethernet3/7 Ethernet3/8 Ethernet3/9

Ethernet3/10 Ethernet3/11 Ethernet3/12

Ethernet3/13 Ethernet3/14 Ethernet3/15

Ethernet3/16 Ethernet3/17 Ethernet3/18

Ethernet3/19 Ethernet3/20 Ethernet3/21

Ethernet3/22 Ethernet3/23 Ethernet3/24

Ethernet3/25 Ethernet3/26 Ethernet3/27

Ethernet3/28 Ethernet3/29 Ethernet3/30

Ethernet3/31 Ethernet3/32 Ethernet3/33

Ethernet3/34 Ethernet3/35 Ethernet3/36

Ethernet3/37 Ethernet3/38 Ethernet3/39

Ethernet3/40 Ethernet3/41 Ethernet3/42

Ethernet3/43 Ethernet3/44 Ethernet3/45

Ethernet3/46 Ethernet3/47

vdc_id： 2 vdc_name： production interfaces：

Ethernet3/48

上面的例子顯示了怎樣將一個物理端口（以太端口3/48）從默認VDC中轉移到新添加的VDC中。該端口以及其他移動到此VDC中的端口更深層次的配置工作需要在該VDC的環境中完成。

3 VDC的部署與優勢

3.1 VDC的部署方式

VDC可以在任何需要做流量工程，或者重定向至特定網絡服務設備的環境中被使用。上文提及的邏輯劃分數據層面，控制層面以及管理層面的另一個好處便在于能夠使得加載于網絡的附件服務，策略變得更具明確性。對于那些要求高度安全的環境而言，這樣的需求變得更為迫切。

VDC在實際應用的部署中，可以使用3種方式進行虛擬交換機的整合方式：水平整合、垂直整合以及混合整合，下面將對這三種整合方式進行詳細介紹。

3.1.1 水平整合

水平整合是最常見的整合方式，在同一個網絡層次上面，總有多臺物理設備提供相類似的功能或者業務，VDC可以將提供相似功能的這些物理設備，通過虛擬化，整合到一個物理框架當中。從而，大量的節省IT本身的空間、能源、管理開銷。在企業網絡環境中，這些設備往往用于連接不同的業務部門，另一方面，在運營商網絡環境當中，這些設備則往往用于連接不同的客戶，不同的地市接入路由器，同樣也有可能用于連接運營商自身的不同業務部門。在傳統的網絡設計當中，為了實現不同的業務單元的聚合（這些業務單元同時需要不同程度的相互隔離），常用的解決方案無非是要么通過硬件隔離實現，要么通過劃分VLAN或者近幾年經常用到的MPLS/VPN技術實現。這些傳統的解決方案均無法避免成本增加，以及資源分配隔離度不足的挑戰。而相對于這些傳統的解決方案，VDC提供了一套更為高效，靈活，并且低成本的升級方案。

3.1.2 垂直整合

除了能夠將相似功能的物理設備進行整合以外，VDC同樣也能夠可以將不同功能的物理設備進行整合。對于有扁平化需求的網絡架構而言，采用VDC垂直整合是非常吸引人的一個實施途徑。一方面，將傳統的核心交換層與分布聚合層整合到一起，降低了網絡架構的復雜程度，為未來的網絡擴容與升級提供了一個更為干凈并易于擴展的平臺。另一方面，對于網絡管理員來說，所謂的網絡扁平化部署，實際上只需要相對簡單的將原來存在于獨立的物理設備上面的配置遷移到新的虛擬化單元上面。相對于傳統網絡扁平化進程中需要將兩臺獨立的物理設備配置合并到同一臺設備上面的做法，很大程度上降低了實施風險與工作量。

3.1.3 混合整合

混合整合方式是同時將相似/非相似功能的物理設備整合在一起的方式，最大限度的利用了端口資源。在實施過程中可以先將同一層次的相同功能的設備進行第一次整合，之后再通過扁平化遷移實現垂直的整合。當然，整合的密集程度也是需要考慮的問題，太密集的整合性網絡同樣會碰到擴展性的瓶頸問題。

3.2 VDC的特性與優勢

VDC的故障遏制功能是指防止某個虛擬設備上的問題影響運行于同一個物理設備上的其他虛擬設備。當一個VDC出現故障時，并不影響其他VDC的正常運行。

VDC虛擬化技術為每個虛擬設備設立獨立的管理環境對于簡化各種虛擬環境的運營和管理極為重要。管理用戶的層次化結構要求限制某些操作人員只能使用特定的管理環境，或者這些管理環境的子集。

VDC虛擬化技術可在不同的虛擬設備之間靈活地區分和分配軟件組件的能力非常重要。在操作系統內部，軟件組件通常包括多個進程或者進程例程。Cisco NX-OS可以提供模塊化的軟件進程，而這種模塊化對于實現VDC所需要的軟件組件隔離和分配極為有用。

為將硬件資源分配到特定的虛擬設備，需要靈活地區分硬件資源。遏制故障的程度在很大程度上取決于為不同虛擬設備隔離和分配硬件資源的能力。端口等資源可以專門用于某個VDC，在某個端口被分配給一個VDC之后，其他VDC就將無法使用該端口。

在部署多個邏輯設備時，物理設備所需要管理的流量會大幅增加。Cisco Nexus 7000系列交換機的分布式架構，加上VDC的硬件分配能力，可以為硬件平臺帶來出色的智能擴展功能，最大限度地提高現有資源的利用率。

4 廣東移動網管云平臺的建設與效果

4.1 廣東移動網管云平臺的建設方案

根據本文第2章對廣東移動網管網的現狀分析及優化需求，并結合虛擬設備上下文技術，對廣東移動網管網進行統一優化，最終建設成廣東移動網管云平臺。

廣東移動網管云平臺的網絡結構如圖4。

網管云平臺項目在網管省中心新增一對匯聚交換機，替換原有的傳統交換機，將原有的傳統交換機向下移一層，作為接入層交換機，同時新建的華景機房也使用支持虛擬化的交換機作為匯聚交換機。

4.2 省中心數據中心建設方案

省中心數據中心網絡結構如圖5。

本次工程項目中，省中心數據中心將增加兩臺Nexus7018交換機。Nexus7018交換將劃分三個VDC，一個VDC作為匯聚交換機，另一個VDC做為OTV二層交換機，剩余的一個作為管理VDC。

網絡結構調整如下：

（1）在新增加Nexus7018交換機后，原有傳統交換機將下移變為接入層交換機。同時，服務器群的網關也相應的遷移到Nexus7018交換機。

（2）Nexus7018交換機的Agg VDC與 OTV VDC分別作為各節點服務器之間通信的匯聚（接入）交換機和處理服務器虛擬化遷移的OTV交換機。

（3）防火墻與內網的連接從傳統交換機調整到Nexus7018的Agg VDC。

（4）每臺OTV VDC新增一條連線到網管網PE，作為服務器虛擬化遷移使用。

華景機房數據中心建設方案

華景機房數據中心組網結構如圖6。

本次工程項目中，新建的華景機房增加兩臺Nexus7018交換機。Nexus7018交換將劃分三個VDC，一個VDC作為核心交換機，另一個VDC做為OTV二層交換機，剩余的一個作為管理VDC。

華景節點組網如下：

（1）Nexus7018交換機的Agg VDC作為服務器群的網關。

（2）Nexus7018交換機的Agg VDC與 OTV VDC分別作為各節點服務器之間通信的匯聚（接入）交換機和處理服務器虛擬化遷移的OTV交換機。

（3）每臺OTV VDC需要單獨一條連線到網管網PE，作為服務器虛擬化遷移使用。

廣東移動網管云平臺的實施效果

目前廣東移動網管云平臺已建設完畢，整個網管網的架構得到了優化。通過利用新一代交換機的虛擬化技術，將一臺交換機虛擬成多臺交換機的方式，實現業務流量的相互隔離，為廣東移動的業務安全提供了保障。

同時，本期項目還應用了另外一項虛擬化技術——覆蓋傳輸虛擬化（OTV）技術，該技術將省中心機房的匯聚交換機和華景機房的匯聚交換機進行大二層互聯，達到多數據中心資源共享的目的，為服務器的虛擬化遷移提供了便利。關于OTV虛擬化技術，本文不作過多探討。

5 結語

虛擬化技術給現代社會的IT基礎設施建設帶來了革命性變革，通過合理利用虛擬化技術，企業可以節省基礎設施投資和維護成本，同時也給IT設施的管理帶來便利。本文主要介紹了網絡設備虛擬化技術，并結合廣東移動網管云平臺項目的成功案例重點闡述了思科Nexus7000系列交換機特有的虛擬設備上下文技術，該技術可將一臺物理交換機虛擬成多臺交換機，并實現物理上的相互隔離，此技術的成功應用推動了廣東移動網管網的優化建設。探索如何通過虛擬化技術為企業帶來更多革命性的變革是未來的重要方向。