基于VXLAN 的校園網絡優化設計研究

孟祥成

（三江學院 計算機科學與工程學院，江蘇 南京）

引言

某高校網絡架構建設初期采用傳統的三層架構，隨著某高校規模的不斷擴大、業務的不斷更新，由于歷史原因，學校沒有統一的數據中心，所有服務器資源分布在各個院系，不具備集中放置的條件[1]。各個院系服務器資源利用率不均勻，有的服務器上部署了大量的虛擬機超負荷運行，有的服務器卻使用相對較少。為了整合學校資源，把服務器資源充分利用起來，學校采用虛擬化技術割接部分網絡設備優化網絡架構[2]。本文通過模擬升級后的網絡系統[3]，采用VRRP虛擬冗余機制和虛擬可擴展局域網（VXLAN）技術，將二層報文用三層協議進行封裝，實現二層網絡在三層范圍內進行擴展，滿足學校服務器資源可靠穩定的大二層虛擬遷移。

1 原網絡系統分析

在現有網絡結構中，頂層為校園網絡邊界路由層。核心層負責整個校園網絡的高速互聯，但缺少冗余備份設備。匯聚層用于轉發用戶間的“橫向”流量，同時轉發到核心層的“縱向”流量。多臺接入層設備與多個部門專用服務器相連并且接入層存在不同廠商設備。

現有網絡環境存在問題：（1）服務器資源分散，不利于統一管理；（2）部分院系的服務器資源缺乏，整體服務器資源利用率低；（3）校園網采用多廠商設備組網，網絡改造困難；（4）部門院系遷移，服務器IP 地址、MAC 地址等參數不能保持不變，難以保證部門遷移過程中業務不中斷。如果使用現有網絡架構，購買新的物理設備分離流量，可能導致VLAN 散亂、網絡成環以及系統和管理等一系列問題。

2 系統優化方案

2.1 方案設計

使用5 臺CE12800 作為新的核心設備，替換原有的核心層和匯聚層設備，在已有的VRRP 和MSTP 模式的基礎上進行優化，增加VXLAN（虛擬可擴展虛擬局域網）技術，通過SDN 控制器部署基于VXLAN 的大二層服務器網絡，使虛擬機可以在大二層網絡中進行無障礙的動態遷移，從而將分散的在各個院系的服務器資源集中管理，并進行利用。原接入層和邊界安全設備配置保持不變，只需要把原有核心層和匯聚層設備割接為CE12800 設備。具體規劃如表1 所示，優化后的網絡拓撲如圖1 所示。

表1 數據規劃

通過構建基于VXLAN 的虛擬網絡，實現業務網絡與物理網絡解耦。校園虛擬網絡架構分為物理網絡（Underlay 網絡）和虛擬網絡（Overlay 網絡）二層架構，這樣組網可以實現服務器資源的整合，同時提高資源利用率。VXLAN 技術采用MAC in UDP 的報文封裝方式，把二層數據幀報文用三層UDP 協議進行封裝，可在三層范圍內擴展二層網絡[4-5]。

2.2 實驗局配置

采用華為eNSP 仿真軟件[6]優化后的網絡系統結構搭建實驗局，在核心層和匯聚層設備配置OSPF 路由協議，保證網絡三層互通，在coreCE1 和coreCE2 上配置虛擬路由協議VRRP、VXLAN 三層網關冗余備份，關鍵知識點配置如下。

（1）配置業務接入點

當業務接入點為二層子接口時，通過在二層子接口上配置dot1q 流封裝實現接口接入數據報文，將二層子接口關聯廣播域BD（Bridge-Domain）后，可實現數據報文通過BD 轉發。

[*conCE3]bridge-domain 2 //創建大二層廣播域BD，編號為2

[*conCE3]interface g1/0/1.2002 mode l2 //創建二層子接口g1/0/1.2002，并進入子接口視圖

[*conCE3 -GE1/0/1.2002]encapsulation dot1q vid 300 //配置流封裝類型為dot1q 時

[*conCE3-GE1/0/1.2002]bridge-domain 2 //將二層子接口加入BD

（2）配置BGP EVPN 對等體關系

通過在VXLAN 網關之間配置BGP EVPN 對等體關系可以使不同網關相互發送EVPN 路由。

[*conCE3]vpn-overlay enable //使能EVPN 作VXLAN 控制平面功能

[～conCE3]bgp 1000 //使 能BGP協議并進入BGP 視圖

[*conCE3 -bgp]peer 10.0.11.1 as -number 1000 //將對端coreCE1 配置為對等體

[*conCE3 -bgp]peer 10.0.11.1 connect-interface LoopBack 0

[*conCE3 -bgp]l2vpn -family evpn//進入BGP-EVPN 地址族視圖

[*conCE3 -bgp -af -evpn]peer 10.0.11.1 enable //使能對等體交換EVPN 路由信息的能力

（3）配置EVPN 實例

EVPN 實例可以用來管理從BGP EVPN 對等體接收來的路由和向BGP EVPN 對等體發布的EVPN路由。

[*conCE3]bridge-domain 2 //進入大二層廣播域BD

[*conCE3-bd2]vxlan vni 52 //創建VXLAN 網絡標識52 并關聯廣播域BD

[*conCE3-bd2]evpn

[*conCE3-bd2-evpn]route-distinguisher 12:1 //配置EVPN 實例的RD

[*conCE3-bd2-evpn]vpn-target 2:2 //為EVPN 實例配置VPN-target 擴展團體屬性

（4）配置頭端復制功能

配置頭端復制功能后，系統會通過BGP EVPN 協議構建出其他遠端VTEP 列表，當VXLAN 網關需要轉發報文時，可以根據此列表將收到的BUM 報文進行復制并發送給屬于同一個VNI 的所有VXLAN 網關。

[～conCE3]interface Nve 1 //創建NVE 接口

[～conCE3-Nve1]source 10.0.33.3 //配 置 源 端VTEP 的IP 地址

[～conCE3-Nve1]vni 51 head-end peer-list protocol bgp //使能頭端復制功能

[*conCE3-Nve1]vni 52 head-end peer-list protocol bgp //使能頭端復制功能

（5）配置VXLAN 三層網關

BD 是VXLAN 網絡的實體，通過將VNI（每一個VNI 表示一個租戶）以1:1 方式映射到廣播域BD，可以通過BD 轉發數據報文?；贐D 可創建三層邏輯接口VBDIF 接口，可以實現不同網段的VXLAN 間，及VXLAN 和非VXLAN 之間的三層互通，也可實現二層網絡接入三層網絡。每個BD 對應一個VBDIF 接口，使用虛擬冗余路由協議VRRP 配置虛擬IP 作為本BD 內租戶的網關，對需要進行通信的報文通過BGP 路由的三層轉發。在coreCE1 上創建VBDIF 接口，并配置VRRP，用以協商主備網關。

[*coreCE1]interface Vbdif 1 //創建VBDIF 接口，并進入VBDIF 接口視圖

[*coreCE1-Vbdif1]ip add 10.0.100.253 24 //配置VBDIF1 接口的IP 地址

[*coreCE1 -Vbdif1]vrrp vrid 1 virtual -ip 10.0.100.254 //創建VRRP 備份組1 并給備份組配置虛擬IP 地址

[*coreCE1 -Vbdif1]vrrp vrid 1 track ip route 10.0.100.254 255.255.255.255 increase 100

3 系統測試

3.1 基本功能測試

在搭建好VXLAN 校園網絡架構中，通過配置驗證各種信息確認。

（1）通過display vxlan tunnel 命令，查看Tunnel 的配置信息，包括源地址、目的地址和隧道等信息，如圖2 所示。

圖2 隧道信息配置驗證

（2）通過display vxlan tunnel 命令，查看VXLAN 的配置參數以及VNI 狀態，如圖3 所示。

圖3 VNI 信息驗證

3.2 性能測試

測試網絡丟包率、抖動、延時，以Server2 所在網段到邊界網關收到的流量測試為例，使用ping 測試構建虛擬流量，分別以報文長度為64、128、256、512、1 024 字節，每個長度測試10 次，取平均值的方式，測試結果如表2 所示。

表2 丟包率測試結果

3.3 互通性測試

測試Server2 與Server4 之間的連通性，二層報文通過封裝為UDP 協議，實現二層報文通過三層路由實現互通，測試結果如圖4 所示。

圖4 二層報文跨越三層路由連通性測試

3.4 測試結果

本文節選基本配置功能、丟包率、互通性等一部分測試用例進行測試。通過VXLAN 技術配置測試的顯示結果，在CE12800 設備上VXLAN 協議的基本配置信息正確，符合預期的測試要求，可以為進一步組網測試做鋪墊。丟包率測試得到的是隨機性結果，需要進行多次測試計算出平均值，本次實驗中測試次數為10 次，測試結果顯示得到網絡抖動和丟包率結果一致，網絡模型比較穩定。通過VXLAN 隧道，Server2 所在院系遷移過程中可保證網絡無感知。該院系從Server2 遷移到Server4后，終端租戶會發送免費的ARP 報文，所有網關設備上保存的原虛擬機對應的MAC 表和ARP 表都將會被刪除，更新為遷移后的虛擬機對應的MAC 地址表和ARP表，延伸并實現了二層網絡內部主機間的通信。

4 結論

針對現有的校園網絡存在的問題，設計了新的網絡架構模型，通過仿真軟件模擬測試得出優化后的網絡具有以下優勢：（1）虛擬機無障礙動態遷移。分散在各個院系的服務器資源集中管理，并充分利用。（2）有效降低成本。網絡改造只替換核心層和匯聚層設備為支持VXLAN 功能的設備，其它設備可以再利用，有效降低學校投入成本。（3）方便管理。通過采用MAC in UDP 封裝來延伸二層網絡，實現了Underlay 網絡和Overlay 網絡的解耦，無需考慮物理網絡IP 地址，大大降低了網絡管理難度。（4）提高了網絡吞吐量。VXLAN 封裝的UDP 源端口信息由內層的信息經過哈希運算得到，物理網絡不需要解析內層報文就可進行負載分擔，從而提高了網絡吞吐量。該方案已在部分高校實施應用，下一步將結合VXLAN 技術特點進一步開展虛擬網絡新技術研究。