发布时间:2017-05-08 11:55:37作者:知识屋
论网络新技术的知识有哪些 网络新技术的知识有哪些介绍 由于云计算创新的计算行为也产生了新的数据流量模型和机房建设模式,传统数据中心多层次化的网络架构和“尽力而为”以太网链路无法满足大规模云计算的需求,随之网络技术作为数据中心机房设备的基础平台也发生了变革。
1 云数据中心的网络需求
1.1 虚拟机之间网络通信管理
当前的虚拟化服务器自身支持的软件或硬件VEB(Virtual Ethernet Bridges)只能支持简单的二层网络转发,缺乏QOS和二层安全策略,流量镜像功能薄弱,如要将针对物理端口的策略平移到VEB上面,必定会消耗了服务器CPU降低其性能。对网络管理而言,多个虚拟机收发数据全部挤在一个出口上,单个操作系统和网络端口不再是一一对应关系,原来针对单个端口的策略无法部署,增加了管理复杂程度。在某些极端情况下,如果一台虚拟机染毒,它有可能会波及整个网络,而维护管理人员,不能区分是哪一个虚拟机的问题,不得不关闭整个物理服务器网卡,使得其他并没有感染病毒的虚拟机也受影响。
因此在虚拟化环境下,接入层的概念不再仅仅针对物理端口,而是应该延伸到服务器内部,将虚拟机同网络端口重新关联起来。
1.2 网络规模扩张与二层网络的困境
虚拟化的最大特点是可以将业务动态部署到数据中心的任何计算资源上,云数据中心虚拟化的服务器不能被过多地三层网络隔离,因为有许多类似HA以及虚拟机迁移等应用都需要提供二层网络通道才能实现,每一个VM对应一个MAC,二层拓扑将大大扩张。
传统的数据中心网络大都遵循经典的层次化理念建设的,所有二层链路上都运行STP协议,当任意两点间有一条以上路径可大时,STP会阻断多余路径,保证两点间只有一条路径可达,从而防止环路产生。这种模式部署非常简单,接入层设备不需要复杂的配置,大部分策略在汇聚层部署就能分发全网。但随着数据中心的规模扩张,这种模式已显得力不从心。首先接入设备只有一条上联链路可以通信,特别是万兆链路投资将会被极大地浪费,无法支持业务的快速扩展。且在复杂的网络连接中,控制STP的行为变得越来越困难,一旦出现震荡,收敛效率非常低下。STP是以交换机而不是服务器作为root在整个交换网络计算生成树和选路的,对于节点而言也并不代表是最优路径。另外,二层交换机通过学习接收到的数据帧的源地址建立MAC地址表,所有接收到地址都会被放进MAC地址表中,导致一台交换机可能学习存储到整个网段内的所有设备的MAC地址,而虚拟机的MAC地址数量可能达到数量将比物理机的MAC增加很多倍,在大型的云计算数据中心将会很容易导致边缘设备的MAC地址耗尽。
由此可见,传统的二层网络过于简单,只有一个数据平面,没有控制平面。交换机只学习MAC,而无法规划最优转发路径,从而引起规模较大二层网络出现一系列问题。
1.3 跨数据中心间的二层互联
随着云计算的兴起,数据中心的规模越来越大,数量越来越多,数据中心之间的交互机制也变得越来越复杂,早期的网络架构中,当多个位于不同地理位置的机房之间互联时,采用了运营商提供的广域网链路跨越多个三层网关,数据中心内部通过NAT将不同互联的数据中心私有地址转换为公网地址,两个数据中心的地址空间无法直接通信的。如果主备中心通过一条三层链路互联,那么对于某些要求运行在同一VLAN内的系统而言,就需要启用NAT欺骗上层软件,但这会增加网络部署的复杂度。
因此,在云环境下,数据中心之间的互联链路除了要达到以往的带宽、时延等指标外,还提出了延伸二层网络的需求,使两个数据中心内同一网段的网络能够直接通信,这种需求称之为DCI(Data Center Interconnect)。
2 云数据中心主要网络技术简介
2.1 VM互访技术
802.1Qbh是由思科和VMWARE共同提出的一项标准,其核心思想是在标准的以太网帧中增加一段专用的标记――VN-Tag,用以区分不同的VIF(虚拟网络接口)。VN-Tag添加在MAC和源MAC地址之后,在这个标签中定义了一种新的地址类型,用以标识虚拟机的VIF,VN-Tag中最重要的内容是一对新地址dvif_id和svif_id,这个地址空间对应的不是交换机的端口或者IP网段,而是VIF。当多个虚拟机共用一条物理上联链路时,基于VN-Tag的源地址dvif_id就能区分出产生于不同虚拟机的流量,形成对应的虚拟通道。一旦接入交换机将VIF绑定后,虚拟机的所有流量将被直接送往接入交换机端口,VEB不再处理路由寻址工作,变成一个单纯的网络桥接通道。
与思科VN-Tag针锋相对的是以HP为主推出的VEPA即802.1Qbg,VEPA的目标也是要将虚拟机之间的交换行为从服务器内部转移到上联交换机。VEPA没有定义自己的帧头,为区分流量其采用了802.1ad-VLAN堆叠q-in-q技术。通过给虚拟机流量打上S-Tag和不同的VLAN ID来区分不同的虚拟机流量。同时为了能使流量经过网络设备,VEPA重写了生成树STP协议,在接入交换机的下联端口上强制进行反射数据帧。同意服务器不同虚拟机交换数据时,从虚拟机出来的数据帧首先会经过服务器网卡上联交换机,上联交换机查看帧头MAC又将这个帧送回原服务器,整个数据流量好像发卡一样在交换机上绕一圈,称为“发卡弯”。相对VN-Tag只需将现有接入交换机和服务器网卡升级软件后即可,初期投入成本低是一大优势。
2.2 带控制层面大二层数据中心内部互访技术 既然二层网络的问题是控制平面的缺失,那就在以太网帧前再封装一层标识用于寻址转发,保留原有二层网络配置简单的风格又能支持三层网络动态选路和等价路由等优点。
IETF于2010年提交了TRILL(Transparent Interconncet of Lots of Links)RFC5556规范。TRILL定义了一种名为RBridges的网络节点,RBridges互联形成的网络就是TRILL网络,边缘与普通交换机互联。控制平面上TRILL引入了L2 ISIS作为寻址协议,运行在所有的RB之间,可以完成拓扑构建和选路等工作,不再依赖MAC地址进行寻址,而是依靠每个RB都具有唯一的标识NickName工作。TRILL中的RB会为进入TRILL网管地址的数据帧打上全新的二层包头,这个包头包含TRILL网关地址和MAC地址两部分,网关地址是由ISIS根据选路结果计算得出所经过RB标识,完全按照三层的规律工作,转发过程中RB标识保持不变,而MAC地址在每一跳都改成新的源和目的MAC。此外包头中还包含了Hop Count字段,相当于TTL,数据帧每经过一个RB,这个字段就减一,当字段值被减到零时数据帧被丢弃,用来防止出现数据环路,从而不再需要运行STP,也不再有链路被阻断。
FabricPath与TRILL极其相似,是在IETF之前思科发布的一个私有技术协议,在思科的Nexus交换机上一项技术特性。与TRILL类似,FabricPath新增了一个二层帧头,控制平面实际运行了一个简化版本的IS-IS协议,帧头包含源和目的地址以及TTL。FabricPath新定义了一个名为switch ID的全新地址空间。任何新设备加入都会被分配一个1-4094之间整数,作为交换机ID,也是节点间进行路由寻址的依据。与TRILL相比FabricPath是在前者基础针对数据中心做了优化,首先FabricPath只支持RB间的点到点相连,因此报文格式可以更加简化;其次采用FTAG标识不同的多播树Graph,可支持在同一套FabricPath下多拓扑转发;最后基于会话的MAC地址学习机制,只有目的地址为本地设备的数据帧源地址才会放入MAC表中,大大缩减了MAC地址表体积。
2.3 跨数据中心多点互联技术DCI
为实现云计算多数据中心下集群业务和迁移等业务,需搭建多数据中心间的二层互联。两点间的光纤直连比较简单,在两个数据中心核心或汇聚之间拉光纤即可,多个数据站点之间可采用RPR技术实现环形拓扑,控制协议交换规则比较简单,明确了节点位置后,确定内外环两条通路即可。环上的每个节点都会对未知数据做下环复制或逐跳转发处理,数据如回到源节点且丢弃终止转发处理。非电信运营商由于成本因素尽可能地会利用现有MPLS核心实现互联,VPLS就是模拟在MPLS核心网上传输二层数据,VPLS能够实现点对多点的连接,凡是加入VPLS的节点都处于同一广播域中,一个地点的以太网被无缝地延伸到异地。
2.4 多数据中心广域网选路技术
GSLB(Global Server Load Balance)全局负载均衡技术,实体相当于一台DNS授权解析服务器,主要功能就是对不同的访问请求以一定规则算法做Hash,回应不同的服务器地址。算法可以是服务器轮询或是最小连接数和最短响应时间。在vMotion环境下可以通过GSLB和SLB配合,SLB(Server Load Balance)的主要功能就是将内部的多台服务转换为外部的虚拟IP和端口,已达到服务器群之间负载作用。使用不同的SLB配合GSLB就可解决vMotion前后VM服务IP相同的迁移切换问题。此外虚拟机管理平台还可直接通知GSLB实现快速切换的效果。
3 结语
云计算带来数据中心网络新技术层出不穷,当前正处于一个关键时期,总体看来,以太网从STP协议升级到多路径协议、各类业务从孤岛式分层网络到融合网络将是云计算数据中心网络发展的大趋势。
2011-07-02
黑客基础教程之如何查看论坛隐藏贴(怎么查看论坛隐藏贴)
一个黑客所需的基本技能
黑客基础教程之如何查看电脑配置(怎么查看自己的电脑配置)
怎么取消开机密码
什么是肉鸡,如何避免电脑成为肉鸡?
一名初级黑客所必须掌握的基本技能
电脑常见安全隐患,你知道吗?
黑客基础教程之黑客入侵渗透教程
【注意】QQ密码本地破解的原理和方法