網絡虛擬化技術在企業園區網絡環境中的應用

祝彥峰

摘要：隨著企業信息化的發展，網絡虛擬化技術尤其是堆疊技術在企業中的應用越來越廣泛。對網絡虛擬化原理簡要分析，以華為公司SVF技術為例，提供了建設縱向網絡虛擬化的企業園區網絡的部署方案，極大簡化網絡部署，提升網絡效能，增強網絡的安全性、穩定性、可靠性，為企業部署縱向堆疊網絡虛擬化技術提供參考。

關鍵詞：網絡虛擬化技術;縱向虛擬化;交換機;SVF

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）05-0047-04

開放科學（資源服務）標識碼（OSID）：

1 概述

在企業網絡的建設中，傳統的部署方式為核心、匯聚、接入三層架構，這種架構在企業網中發揮了有效的分層管理作用，使網絡結構清晰，管理較為方便。隨著企業業務結構的不斷演進，虛擬化技術逐漸進入企業網絡，傳統網絡的三層架構也逐漸轉向虛擬網絡架構。從應用規模上有小型網絡的邏輯隔離vlan技術，也有數據中心的大二層Vxlan技術的網絡虛擬化。在應用領域也有不同的方向，類型主要有單一設備虛擬多邏輯設備（如vlan技術）、單一網絡虛擬多網絡（如vxlan技術）、網絡硬件設備虛擬化軟件化（如SDN、NFV技術）、多設備虛擬成單一邏輯設備（如cluster/stack堆疊技術），在企業網絡的中，更多的形式為采用堆疊方式的網絡虛擬化技術來增強網絡的可靠性，并簡化網絡管理，提高生產效率。

2 網絡虛擬化原理

網絡虛擬化技術隨著網絡交換技術的進化，先出現了較為普遍的橫向堆疊技術，主要用于增加業務端口數量、提高網絡故障的快速自愈能力，實現統一設備管理。以標準的心跳方式保活，交換拓撲信息計算網絡拓撲結構，由以選舉方式獲得主控權的交換機進行統一管理，主要應用于同層級的多交換機虛擬化，各自廠家均有自有的技術，如思科公司的VSS/StackWise技術、華為公司的CSS/Istack技術、華三公司的IRF技術。在進一步的發展中，隨著多層級網絡規模的擴大，設備管理和業務調整越發復雜，業務受理時長顯著增加。為了解決企業接入網絡的復雜性，增強企業網絡健壯性、簡化網絡管理和增強網絡故障快速愈合能力，網絡虛擬化技術更進一步，將縱向的網絡層級也進行虛擬化，形成以接入交換機虛擬為主控交換機業務擴展板的形式，通過上下級設備內部管理協議進行設備管理和業務轉發，形成了縱向虛擬化技術。這里以華為公司的SVF技術為例，來分析技術基本原理。

華為公司的SVF架構即是在橫向堆疊虛擬化技術基礎上發展起來的縱向堆疊網絡虛擬化技術。SVF架構借鑒和使用了無線網絡中AP/AC（無線接入點/無線控制器）之間設備管理和業務控制的CAPWAP管理協議，在CAPWAP隧道鏈路上傳輸管理和控制指令，業務數據按照傳統vlan交換模式獨立運行。在具體實現上，由主控交換機（定義角色為Parent）通過邏輯端口（以物理端口組加入的邏輯端口形式，定義為FabricPort）連接，通過CAPWAP協議創建的管理通道控制、管理接人交換機（角色定義為AS），結構如圖1所示。在使用者的角度就像是全部網絡用戶，接入了一個有大量業務端口的大型交換機一樣。優勢在于以下三個方面，統一的設備管理，多層結構的設備虛擬成一臺設備，由控制設備統一進行管理;統一的業務配置，通過模板化配置實現對接入設備的批量配置，不再需要逐一配置每一臺接入層設備;統一的用戶管理，支持有線接入和無線接入的用戶統一管理，一般組網結構如圖2所示。配合鏈路聚合技術，可以使網絡設備具備業務端口高密、高可靠性、高帶寬、低延時的特性。

SVF構建虛擬網絡主要經過以下幾個過程，如圖3所示：

（1）鄰居發現：Parent通過鄰居發現過程將管理VLAN等信息發送給AS。

（2）設備管理：AS通過DHCP獲取IP地址，與Parent之間建立CAPWAP隧道鏈路，并向Parent注冊。

（3）版本管理：AS比較自身軟件版本與Parent是否一致。如果不一致則進行版本同步，嘗試從Parent下載系統軟件進行自動升級。

（4）拓撲管理：Parent搜集所有AS的LLDP鄰居信息并計算出整個SVF的拓撲。

（5）業務配置：Parent通過CAPWAP隧道鏈路將業務配置下發至AS。

3 企業網絡部署

這里以圖4應用場景為例，具體描述SVF網絡虛擬化技術在企業園區網絡中的部署實施。這里使用華為S5720HI作為SVF的parent角色的主要控制交換機，將S5700LI、S5720LI、S5700SI等交換機作為一級AS接入交換機，與parent直連，并使用S5720LI作為二級AS交換機接入一級AS交換機，搭建整網。該企業有三處辦公地點，網絡接入用戶約200人。 辦公地點間已租用光纖線路，具備入網的物理條件，網絡出口固定在辦公地2，S5720HI交換機作為控制交換機，上連網絡出口設備，因此部署于此。按照用戶規模，辦公地1部署三臺S5720LI交換機，辦公地2部署S5700SI和S5720LI交換機各一臺;辦公點3網絡部署一臺S5700LI交換機。

3.1 parent控制交換機開啟SVF功能

[SW_Core] vlan batch 101//創建管理AS的Vlan

[SW_Core] dhcp enable//開啟DHCP服務

[SW_Core] interface vlanif 101 11配置AS管理vlan接口

[SW_Core-Vlanifll] ip address 192.168.101.254 24/，配置接口IP地址

[SW_Core-Vlanifll] dhcp select interface//接口上開啟DHCP監聽

[SW_Core-Vlanifll] dhcp server option 43 ip-address192.168.101.254//配置DHCP選項，用于下發SVF管理網關地址

[SW_Core-Vlanifll] quit

[SW_Core] capwap source interface vlanif 101//配置CAP-WAP管理協議使用的接口

[SW_Core] stp mode rstp//開啟快速生成樹協議

[SW_Core] uni-mng//進入統一管理模式，開啟SVF

3.2 配置Parent連接一級AS的Fabric-port

以配置Parent連接asl的Fabric-port為例。Parent連接as2的Fabric-port 2、連接as3的Fabric-port 3的過程請參照as1，過程省略。

[SW_Core-um] interface fabric-port 1//配置邏輯堆疊端口

[SW_Core-um-fabric-port-l] port member-group interfaceeth-trunk 1//添加二層聚合端口組1

[SW_Core-um-fabric-port-l] quit

[SW_Core-um] quit

[SW_Core] interface gigabitethernet 0/0/1//添加以太網端口0/0/1至聚合端口組1

（SW_Core-GigabitEthernet0/0/1] eth-trunk 1

[SW_Core-GigabitEthemet0/0/1] quit

[SW_Core] interface gigabitethernet 0/0/2//添加以太網端口0/0/2至聚合端口組1

[SW_Core-GigabitEthemet0/0/2] eth-trunk 1

[SW_Core-GigabitEthemet0/0/2] quit

3.3 配置AS接入的認證方式

[SW_Core] as-auth

[SW_Core-as-auth] undo auth-mode//配置AS接入認證為不需認證模式。

3.4 一級AS交換機接入

連接AS與Parent之間的線纜，在一級AS上執行命令resetsaved-configuration清空AS的配置并重新啟動后，連接AS與Parent之間的線纜，一級SVF網絡即已建立完成。

3.5 配置AS間的FabricPort

在parent上配置一級和二級AS的Fabric-Port。

[SW_Core] uni-mng

[SW_Core-um] as name asl，/配置ASI的下聯FabricPort。

[SW_Core-um-as-asl] down-direction fabric-port 4 mem-ber-group interface eth-trunk 4

[SW_Core-um-as-asl] port eth-trunk 4 trunkmember inter-face gigabitethemet 0/0/23

[SW_Core-um-as-asl] quit

[SW_Core-um] as name asl//配置ASI的下聯FabricPort。

[SW_Core-um-as-asl] down-direction fabric-port 5 meru-ber-group interface eth-trunk 5

[SW_Core-um-as-asl] port eth-trunk 5 trunkmember inter-face gigabitethemet 0/0/24

（SW_Core-um-as-asl] quit

[SW_Core-um] quit

[SW_Core-um] as name as2//配置AS2的下聯FabricPort，

[SW_Core-um-as-asl] down-direction fabric-port 6 meru-ber-group interface eth-trunk 6

[SW_Core-um-as-asl] port eth-trunk 6 trunkmember inter-face gigabitethemet 0/0/24

[SW_Core-um-as-asl] quit

[SW_Core-um] quit

在二級AS上執行命令reset saved-configuration清空AS的配置并重新啟動后，連接二級AS與一級AS之間的線纜，SVF整網系統即建立完成。

3.6 查看AS接入情況

執行命令display as all查看各AS是否成功上線接入，“State”的狀態為“normal”時表示AS已成功上線接人。

[SW_core] display as all

Total：6， Normal：6， Fault：0， Idle：0， Version mismatch：0

3.7 業務模板配置

首先創建業務模板并綁定至全部AS，并將網絡基礎模板并綁定至AS的全部端口。

[SW_Core-um] network-basic-profile name basic_net-work_conf

LSW_Core-um-net-basic-basic_network_confl user-vlan 100

[SW_Core-um-net-basic-basic_network_conf] quit

[SW_Core-um] port-group name port_all//配置用戶端口組，加入所有AS接入端口

[SW_Core-um-portgroup-port_all] as name asl interface all

[SW_Core-um-portgroup-port_all] as name as2 interface ajl

[SW_Core-um-portgroup-port_all] as name as3 interface all

[SW_Core-um-portgroup-port_all] as name as4 interface all

[SW_Core-um-portgroup-port_all] as name as5 interface all

[SW_Core-um-portgroup-port_all] as name as6 interface all

[SW_Core-um-portgroup-port_all] network-basic-profile ba-sic_network_conf

[SW_Core-um-portgroup-port_all] quit

[SW_Core-um] quit

[SW_Core] dotlx-access-profile name dotlx，/配置用戶接入采用dotlx認證技術

[SW_Core-dotlx-access-profile-l] quit

[SW_Core] authentication-profile name dotlx_auth//配置用戶認證模板采用dotlx認證技術

[SW_Core-authen-profile-dotlx_auth] dotlx-access-profiledotlx

[SW_Core-authen-profile-dotlx_auth] quit

[SW_Core] uni-mng

[SW_Core-um] user-access-profile name access_profile ll配置用戶接入模板調用認證模板dotlx_auth

[SW_Core-um-user-access-access_profile] authentication-profile dot lx_auth

[SW_Core-um-user-access-access_profile] quit

[SW_Core-um] port-group name port_all//在端口組上應用用戶接入模板access_profile

[SW_Core-um-portgroup-port_all] user-access-profile ac-cess_profile

[SW_Core-um-portgroup-port_all] quit

3.8 業務配置下發

在parent上提交業務配置，使業務模板中的配置下發至全部AS，執行命令display uni-mng commit-result profile查看業務模板中的配置是否已成功下發至AS，當“Commit/Execute Re-sult”的狀態為“Success/Success”時表示業務模板中的配置已成功下發至 AS。

[SW_Core-um] commit as all

Warning： Committing the configuration will take a long time.Continue？[Y/N]： y

[SW_Core-um] display uni-mng commit-result profile

Result of profile：

3.9 業務驗證

在用戶終端上，測試可正常上網，網絡部署完畢。通過訪問SVF parent主控交換機管理地址web頁面http：//192.168.101.254，可查看全部上網用戶信息。

4 后續建議

上述企業網絡虛擬化SVF技術的應用，在條件允許的情況下，應采用多鏈路聚合的方式增加fabricPort的帶寬，增加網絡架構的可靠性。可在parent主控交換機層面采用橫向堆疊技術，增強網絡健壯性，在辦公地1的AS交換機也可采用橫向堆疊的方式，增強該辦公地網絡可靠性，減低設備管理的難度。用戶接入方面，可隨著用戶量的增加或部門隔離的需求等使用vlan技術進行二層隔離，使用ACL訪問控制列表進行三層訪問的控制。安全保障方面配合了網絡安全接入技術，減低網絡受攻擊的風險。在管理層面強化規范操作，保障網絡的高效、可靠。

5 結束語

綜上所述，網絡虛擬化技術應用于企業網絡建設，可將網絡拓撲結構簡單化，管理統一化，網絡可靠化。使企業專注于業務的開展和快速化部署，同時在網絡的擴展部署等方面節省資金。提高企業辦公效率，降低建網擴網成本。并可根據安全需求配置相應的安全接入技術，規范網絡的使用管理，防止惡意破壞，優化網絡安全保障。

參考文獻：

[1]王勇亮.交換機css堆疊技術研究[J].信息與電腦：理論版，2016（4）：39-40.

[2]劉呱呱，基于lRF2技術的網絡研究與探卡廳[J].網絡安全技術與應用，2015（3）：181-182.

[3]蔣海月.園區網虛擬化技術哪家強？-lA、lRF3和SVF技術大比拼[J].互聯網周刊，2015（6）：20-21.

[4]葉水勇，王艷，方軍，等.基于VCF縱向虛擬技術網絡架構優化的探索與實踐[J].國網技術學院學報，2019，22（4）：33-36，40.

[5]華為S5700系列以太網交換機產品文檔[Z].深圳：華為技術有限公司，2019.

[6]邱浩.縱向虛擬化技術在人行市州中支的應用[J].金融科技 時代，2017，25（9）：47-48.

【通聯編輯：代影】