虚拟网络感知技术

1 Cisco

虚拟通道+虚拟接入=虚拟感知

其中，虚拟通道负责解决服务器内部的问题，虚拟接入负责解决服务器外部和整个数据中心范围的问题。

虚拟接入

   VN-Tag的核心思想就是在现有的以太网数据桢的VLAN标识前面(或者源/目的MAC后面)增加一个专用标记字段VN-Tag，这个VN-Tag主要是dvif_id和svif_id一对地址，分别对应于源和目的虚拟机的虚拟网络接口VIF，因此支持VN-Tag的上联交换机就能够区分不同的VIF，识别来自和去往特定虚拟机的流量了，这样就把对虚拟机的网络管理范围从服务器内部转移到上联网络交换机上了

虚拟通道

    将一个物理以太网卡对虚拟机虚拟化为多个独立的PCIe设备，即在一个PF物理通道上虚拟出多个轻量级的VF虚拟通道，每个对应一个虚拟机，将网络接入直接延伸到虚拟机层面； 为了支持前面的虚拟接入，在虚拟网卡上打上VN-Tag标签后再送往上联交换机，最终实现区分不虚拟机的流量，并可以在整个数据中心内部署针对性的隔离和Qos策略

整个流程

首先，数据包从虚拟机vNIC出来后，利用SR-IOV网卡虚拟化技术(比如Cisco的Polo卡)模拟的独立网络通道，Bypass掉hypervisor直接到达网卡，当然本质上是虚拟网卡(即物理网卡的逻辑分片）；第二，虚拟化网卡打上VN-Tag标签后区分不同虚拟机流量；第三，在上联物理交换机上有虚拟接口VIF(Cisco叫做vEth，本质上是物理接口的逻辑分片)与每个VN-Tag对应，也就是和每个虚拟机的流量通道对应，交换机上的VIF就像物理端口一样可以配置各种安全、QoS和访问控制策略。这样就完全打通了，也就虚拟感知了。

虚拟感知的好处有两个：1 虚拟机间安全隔离；2 虚拟机端到端服务质量QoS保障。

关于VIF(或者Cisco的vEth)介绍参见：http://infrastructureadventures.com/tag/vn-tag/

2 Huawei

华为通过网管eSight nCenter与虚拟化管理套件vCenter的联动实现所谓的虚拟感知，与Cisco最本质的区别是：nCenter所谓的按照业务类型、租户来划分的策略模板仍然是配置在TOR交换机物理端口上，而不是vEth上 。虽然是配置在TOR交换机物理端口上，但是交换机一个物理端口可以配置不同的策略模板啊。例如，在某一个策略模板中，先通过ACL访问控制列表匹配特定流量，然后应用相关QoS策略，这样也可以区分虚拟机了。

协议接口：

eSight nCenter通过Radius接口以及NETCONF协议与TOR交换机交互，通过vCenter的API与虚拟机管理平台交互。

其中，NETCONF协议通过标准接口来获取和修改网络设备的配置信息，用于VM上线时，nCenter与TOR交换机的信息交互；

Radius接口具有良好实时性和可靠性，适用于大用户量时服务器端的多线程结构，用于实现nCenter向TOR交换机下发ACL/QoS策略。

 

拓扑发现：

TOR->物理服务器的物理拓扑发现通过LLDP或者CDP(LLDP可将设备的主要能力、管理地址、接口标识等信息封装到LLDP报文中传递给邻居，邻居将这些信息存入标准MIB库中供查询)

物理服务器->vSwitch->VM的虚拟拓扑则通过调用vCenter的API实现(vCenter可以管理vSwitch)。

 

虚拟感知：

VM上线->

vCenter通过API通知nCenter->

nCenter向TOR发送VM上线消息->

TOR保存VM的MAC、IP等信息->

nCenter按照业务类型、租户划分策略模板，维护并下发VM所应用的策略模板->

TOR部署与配置ACL/QoS/DHCPSnooping策略

 

VM下线与之类似，由vCenter通过nCenter，然后nCenter通过TOR删除VM及其策略信息。而VM迁移则是通过原VM下线和新VM上线来完成的。