基于VXLAN 的校園網(wǎng)絡(luò)優(yōu)化設(shè)計(jì)研究

孟祥成

（三江學(xué)院 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京）

引言

某高校網(wǎng)絡(luò)架構(gòu)建設(shè)初期采用傳統(tǒng)的三層架構(gòu)，隨著某高校規(guī)模的不斷擴(kuò)大、業(yè)務(wù)的不斷更新，由于歷史原因，學(xué)校沒有統(tǒng)一的數(shù)據(jù)中心，所有服務(wù)器資源分布在各個(gè)院系，不具備集中放置的條件[1]。各個(gè)院系服務(wù)器資源利用率不均勻，有的服務(wù)器上部署了大量的虛擬機(jī)超負(fù)荷運(yùn)行，有的服務(wù)器卻使用相對較少。為了整合學(xué)校資源，把服務(wù)器資源充分利用起來，學(xué)校采用虛擬化技術(shù)割接部分網(wǎng)絡(luò)設(shè)備優(yōu)化網(wǎng)絡(luò)架構(gòu)[2]。本文通過模擬升級后的網(wǎng)絡(luò)系統(tǒng)[3]，采用VRRP虛擬冗余機(jī)制和虛擬可擴(kuò)展局域網(wǎng)（VXLAN）技術(shù)，將二層報(bào)文用三層協(xié)議進(jìn)行封裝，實(shí)現(xiàn)二層網(wǎng)絡(luò)在三層范圍內(nèi)進(jìn)行擴(kuò)展，滿足學(xué)校服務(wù)器資源可靠穩(wěn)定的大二層虛擬遷移。

1 原網(wǎng)絡(luò)系統(tǒng)分析

在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)中，頂層為校園網(wǎng)絡(luò)邊界路由層。核心層負(fù)責(zé)整個(gè)校園網(wǎng)絡(luò)的高速互聯(lián)，但缺少冗余備份設(shè)備。匯聚層用于轉(zhuǎn)發(fā)用戶間的“橫向”流量，同時(shí)轉(zhuǎn)發(fā)到核心層的“縱向”流量。多臺(tái)接入層設(shè)備與多個(gè)部門專用服務(wù)器相連并且接入層存在不同廠商設(shè)備。

現(xiàn)有網(wǎng)絡(luò)環(huán)境存在問題：（1）服務(wù)器資源分散，不利于統(tǒng)一管理；（2）部分院系的服務(wù)器資源缺乏，整體服務(wù)器資源利用率低；（3）校園網(wǎng)采用多廠商設(shè)備組網(wǎng)，網(wǎng)絡(luò)改造困難；（4）部門院系遷移，服務(wù)器IP 地址、MAC 地址等參數(shù)不能保持不變，難以保證部門遷移過程中業(yè)務(wù)不中斷。如果使用現(xiàn)有網(wǎng)絡(luò)架構(gòu)，購買新的物理設(shè)備分離流量，可能導(dǎo)致VLAN 散亂、網(wǎng)絡(luò)成環(huán)以及系統(tǒng)和管理等一系列問題。

2 系統(tǒng)優(yōu)化方案

2.1 方案設(shè)計(jì)

使用5 臺(tái)CE12800 作為新的核心設(shè)備，替換原有的核心層和匯聚層設(shè)備，在已有的VRRP 和MSTP 模式的基礎(chǔ)上進(jìn)行優(yōu)化，增加VXLAN（虛擬可擴(kuò)展虛擬局域網(wǎng)）技術(shù)，通過SDN 控制器部署基于VXLAN 的大二層服務(wù)器網(wǎng)絡(luò)，使虛擬機(jī)可以在大二層網(wǎng)絡(luò)中進(jìn)行無障礙的動(dòng)態(tài)遷移，從而將分散的在各個(gè)院系的服務(wù)器資源集中管理，并進(jìn)行利用。原接入層和邊界安全設(shè)備配置保持不變，只需要把原有核心層和匯聚層設(shè)備割接為CE12800 設(shè)備。具體規(guī)劃如表1 所示，優(yōu)化后的網(wǎng)絡(luò)拓?fù)淙鐖D1 所示。

表1 數(shù)據(jù)規(guī)劃

通過構(gòu)建基于VXLAN 的虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)與物理網(wǎng)絡(luò)解耦。校園虛擬網(wǎng)絡(luò)架構(gòu)分為物理網(wǎng)絡(luò)（Underlay 網(wǎng)絡(luò)）和虛擬網(wǎng)絡(luò)（Overlay 網(wǎng)絡(luò)）二層架構(gòu)，這樣組網(wǎng)可以實(shí)現(xiàn)服務(wù)器資源的整合，同時(shí)提高資源利用率。VXLAN 技術(shù)采用MAC in UDP 的報(bào)文封裝方式，把二層數(shù)據(jù)幀報(bào)文用三層UDP 協(xié)議進(jìn)行封裝，可在三層范圍內(nèi)擴(kuò)展二層網(wǎng)絡(luò)[4-5]。

2.2 實(shí)驗(yàn)局配置

采用華為eNSP 仿真軟件[6]優(yōu)化后的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)搭建實(shí)驗(yàn)局，在核心層和匯聚層設(shè)備配置OSPF 路由協(xié)議，保證網(wǎng)絡(luò)三層互通，在coreCE1 和coreCE2 上配置虛擬路由協(xié)議VRRP、VXLAN 三層網(wǎng)關(guān)冗余備份，關(guān)鍵知識(shí)點(diǎn)配置如下。

（1）配置業(yè)務(wù)接入點(diǎn)

當(dāng)業(yè)務(wù)接入點(diǎn)為二層子接口時(shí)，通過在二層子接口上配置dot1q 流封裝實(shí)現(xiàn)接口接入數(shù)據(jù)報(bào)文，將二層子接口關(guān)聯(lián)廣播域BD（Bridge-Domain）后，可實(shí)現(xiàn)數(shù)據(jù)報(bào)文通過BD 轉(zhuǎn)發(fā)。

[*conCE3]bridge-domain 2 //創(chuàng)建大二層廣播域BD，編號為2

[*conCE3]interface g1/0/1.2002 mode l2 //創(chuàng)建二層子接口g1/0/1.2002，并進(jìn)入子接口視圖

[*conCE3 -GE1/0/1.2002]encapsulation dot1q vid 300 //配置流封裝類型為dot1q 時(shí)

[*conCE3-GE1/0/1.2002]bridge-domain 2 //將二層子接口加入BD

（2）配置BGP EVPN 對等體關(guān)系

通過在VXLAN 網(wǎng)關(guān)之間配置BGP EVPN 對等體關(guān)系可以使不同網(wǎng)關(guān)相互發(fā)送EVPN 路由。

[*conCE3]vpn-overlay enable //使能EVPN 作VXLAN 控制平面功能

[～conCE3]bgp 1000 //使 能BGP協(xié)議并進(jìn)入BGP 視圖

[*conCE3 -bgp]peer 10.0.11.1 as -number 1000 //將對端coreCE1 配置為對等體

[*conCE3 -bgp]peer 10.0.11.1 connect-interface LoopBack 0

[*conCE3 -bgp]l2vpn -family evpn//進(jìn)入BGP-EVPN 地址族視圖

[*conCE3 -bgp -af -evpn]peer 10.0.11.1 enable //使能對等體交換EVPN 路由信息的能力

（3）配置EVPN 實(shí)例

EVPN 實(shí)例可以用來管理從BGP EVPN 對等體接收來的路由和向BGP EVPN 對等體發(fā)布的EVPN路由。

[*conCE3]bridge-domain 2 //進(jìn)入大二層廣播域BD

[*conCE3-bd2]vxlan vni 52 //創(chuàng)建VXLAN 網(wǎng)絡(luò)標(biāo)識(shí)52 并關(guān)聯(lián)廣播域BD

[*conCE3-bd2]evpn

[*conCE3-bd2-evpn]route-distinguisher 12:1 //配置EVPN 實(shí)例的RD

[*conCE3-bd2-evpn]vpn-target 2:2 //為EVPN 實(shí)例配置VPN-target 擴(kuò)展團(tuán)體屬性

（4）配置頭端復(fù)制功能

配置頭端復(fù)制功能后，系統(tǒng)會(huì)通過BGP EVPN 協(xié)議構(gòu)建出其他遠(yuǎn)端VTEP 列表，當(dāng)VXLAN 網(wǎng)關(guān)需要轉(zhuǎn)發(fā)報(bào)文時(shí)，可以根據(jù)此列表將收到的BUM 報(bào)文進(jìn)行復(fù)制并發(fā)送給屬于同一個(gè)VNI 的所有VXLAN 網(wǎng)關(guān)。

[～conCE3]interface Nve 1 //創(chuàng)建NVE 接口

[～conCE3-Nve1]source 10.0.33.3 //配 置 源 端VTEP 的IP 地址

[～conCE3-Nve1]vni 51 head-end peer-list protocol bgp //使能頭端復(fù)制功能

[*conCE3-Nve1]vni 52 head-end peer-list protocol bgp //使能頭端復(fù)制功能

（5）配置VXLAN 三層網(wǎng)關(guān)

BD 是VXLAN 網(wǎng)絡(luò)的實(shí)體，通過將VNI（每一個(gè)VNI 表示一個(gè)租戶）以1:1 方式映射到廣播域BD，可以通過BD 轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文。基于BD 可創(chuàng)建三層邏輯接口VBDIF 接口，可以實(shí)現(xiàn)不同網(wǎng)段的VXLAN 間，及VXLAN 和非VXLAN 之間的三層互通，也可實(shí)現(xiàn)二層網(wǎng)絡(luò)接入三層網(wǎng)絡(luò)。每個(gè)BD 對應(yīng)一個(gè)VBDIF 接口，使用虛擬冗余路由協(xié)議VRRP 配置虛擬IP 作為本BD 內(nèi)租戶的網(wǎng)關(guān)，對需要進(jìn)行通信的報(bào)文通過BGP 路由的三層轉(zhuǎn)發(fā)。在coreCE1 上創(chuàng)建VBDIF 接口，并配置VRRP，用以協(xié)商主備網(wǎng)關(guān)。

[*coreCE1]interface Vbdif 1 //創(chuàng)建VBDIF 接口，并進(jìn)入VBDIF 接口視圖

[*coreCE1-Vbdif1]ip add 10.0.100.253 24 //配置VBDIF1 接口的IP 地址

[*coreCE1 -Vbdif1]vrrp vrid 1 virtual -ip 10.0.100.254 //創(chuàng)建VRRP 備份組1 并給備份組配置虛擬IP 地址

[*coreCE1 -Vbdif1]vrrp vrid 1 track ip route 10.0.100.254 255.255.255.255 increase 100

3 系統(tǒng)測試

3.1 基本功能測試

在搭建好VXLAN 校園網(wǎng)絡(luò)架構(gòu)中，通過配置驗(yàn)證各種信息確認(rèn)。

（1）通過display vxlan tunnel 命令，查看Tunnel 的配置信息，包括源地址、目的地址和隧道等信息，如圖2 所示。

圖2 隧道信息配置驗(yàn)證

（2）通過display vxlan tunnel 命令，查看VXLAN 的配置參數(shù)以及VNI 狀態(tài)，如圖3 所示。

圖3 VNI 信息驗(yàn)證

3.2 性能測試

測試網(wǎng)絡(luò)丟包率、抖動(dòng)、延時(shí)，以Server2 所在網(wǎng)段到邊界網(wǎng)關(guān)收到的流量測試為例，使用ping 測試構(gòu)建虛擬流量，分別以報(bào)文長度為64、128、256、512、1 024 字節(jié)，每個(gè)長度測試10 次，取平均值的方式，測試結(jié)果如表2 所示。

表2 丟包率測試結(jié)果

3.3 互通性測試

測試Server2 與Server4 之間的連通性，二層報(bào)文通過封裝為UDP 協(xié)議，實(shí)現(xiàn)二層報(bào)文通過三層路由實(shí)現(xiàn)互通，測試結(jié)果如圖4 所示。

圖4 二層報(bào)文跨越三層路由連通性測試

3.4 測試結(jié)果

本文節(jié)選基本配置功能、丟包率、互通性等一部分測試用例進(jìn)行測試。通過VXLAN 技術(shù)配置測試的顯示結(jié)果，在CE12800 設(shè)備上VXLAN 協(xié)議的基本配置信息正確，符合預(yù)期的測試要求，可以為進(jìn)一步組網(wǎng)測試做鋪墊。丟包率測試得到的是隨機(jī)性結(jié)果，需要進(jìn)行多次測試計(jì)算出平均值，本次實(shí)驗(yàn)中測試次數(shù)為10 次，測試結(jié)果顯示得到網(wǎng)絡(luò)抖動(dòng)和丟包率結(jié)果一致，網(wǎng)絡(luò)模型比較穩(wěn)定。通過VXLAN 隧道，Server2 所在院系遷移過程中可保證網(wǎng)絡(luò)無感知。該院系從Server2 遷移到Server4后，終端租戶會(huì)發(fā)送免費(fèi)的ARP 報(bào)文，所有網(wǎng)關(guān)設(shè)備上保存的原虛擬機(jī)對應(yīng)的MAC 表和ARP 表都將會(huì)被刪除，更新為遷移后的虛擬機(jī)對應(yīng)的MAC 地址表和ARP表，延伸并實(shí)現(xiàn)了二層網(wǎng)絡(luò)內(nèi)部主機(jī)間的通信。

4 結(jié)論

針對現(xiàn)有的校園網(wǎng)絡(luò)存在的問題，設(shè)計(jì)了新的網(wǎng)絡(luò)架構(gòu)模型，通過仿真軟件模擬測試得出優(yōu)化后的網(wǎng)絡(luò)具有以下優(yōu)勢：（1）虛擬機(jī)無障礙動(dòng)態(tài)遷移。分散在各個(gè)院系的服務(wù)器資源集中管理，并充分利用。（2）有效降低成本。網(wǎng)絡(luò)改造只替換核心層和匯聚層設(shè)備為支持VXLAN 功能的設(shè)備，其它設(shè)備可以再利用，有效降低學(xué)校投入成本。（3）方便管理。通過采用MAC in UDP 封裝來延伸二層網(wǎng)絡(luò)，實(shí)現(xiàn)了Underlay 網(wǎng)絡(luò)和Overlay 網(wǎng)絡(luò)的解耦，無需考慮物理網(wǎng)絡(luò)IP 地址，大大降低了網(wǎng)絡(luò)管理難度。（4）提高了網(wǎng)絡(luò)吞吐量。VXLAN 封裝的UDP 源端口信息由內(nèi)層的信息經(jīng)過哈希運(yùn)算得到，物理網(wǎng)絡(luò)不需要解析內(nèi)層報(bào)文就可進(jìn)行負(fù)載分擔(dān)，從而提高了網(wǎng)絡(luò)吞吐量。該方案已在部分高校實(shí)施應(yīng)用，下一步將結(jié)合VXLAN 技術(shù)特點(diǎn)進(jìn)一步開展虛擬網(wǎng)絡(luò)新技術(shù)研究。