云计算网络技术

1 TRILL/FabricPath/SPB

首先肯定是传统二层网络有哪些困境或者不给力的地方喽：1 STP阻塞掉一半链路，浪费带宽；2 接入交换机MAC地址表空间会过大；3 为了二层互联而设置的三层网管限制了虚拟机的漂移。

关于MAC地址表详细说明一下：

因为传统的二层交换机是通过学习来建立MAC地址表的。怎么学习呢，接入交换机会利用所有接收到的数据桢的源MAC地址来建立MAC表。由于传统二层MAC地址没有层次化概念，那么所有接收到的数据桢的源地址都会被放入MAC表中，导致一台交换机可能会学习到整个网段内的所有二层地址，即便大部分时间只跟其中一小部分人联系。

但是大二层技术则可以减小MAC地址表空间，比如FabricPath采用的就是“基于会话的MAC地址学习”，即只有那些目的地址为本地设备的数据帧的源地址才会被放入FabricPath/TRILL网关的MAC地址表中，其他数据帧的源地址以及广播帧的源地址都不会被学习。

既然二层网络的主要问题就是缺失了控制平面，只做根据MAC地址查表转发的工作，那么TRILL/FabricPath/SPB的主要功能就是在传统二层网络的基础上引入了控制平面，下面单独详述：

1) FabricPath：新增二层帧头，主要包括三个字段：源SwitchID，目的SwitchID，TTL。其中源/目的SwitchID分别两个字节，用于在节点间寻址；TTL主要用于防环。

2) TRILL：新增TRILL头和MAC头，其中TRILL头也是源RBridgeID，目的RBridgeID和TTL，这与FabricPath基本上完全一致。MAC头主要是方便与现有以太网兼容并存。本质上讲，TRILL与当前IP报文转发过程是完全类似的。

3) SPB：与前两者类似，同样采用IS-IS构建独立的控制平面，新增的二层帧头主要由三部分组成：源MAC，目的MAC和S-VID。其中源/目的MAC与TRILL、FabricPath中的出入网关完全类似，指代了这个大二层网络的起点和终点，只不过在SPB网络中的逐跳转发由类似于隧道标识的S-VID实现。这也正是SPB使用PBB（一种MAC-in-MAC技术）的核心思想所在。

2 虚拟接入与虚拟交换机

2.1 首先是为什么需要虚拟交换机，主要两个原因：1) 服务器虚拟化让一个物理服务器上存在多个虚拟机，那多个虚拟机收发数据都从这个物理服务器的网卡上出入，导致单个操作系统与接入交换机端口间是多对一的关系，原来针对单个端口的策略无法部署；2) 服务器管理和网络管理责权不清，互相推诿。

一句话概括就是目前虚拟机同交换机端口之间没有办法直接对应上。

2.2 那为什么仅用简单的虚拟机交换机vSwtich技术又不够呢？

vSwtich技术其实由来已久了，包括软件VEB，如VMware vShpere内置的vSwitch，VMware分布式统一网络接入平台VDS(Virtual Distributed Switch)，与vSphere结合的Cisco Nexus 1000v，开源的Open vSwtich以及硬件的VEB(Virtual Ethernet Bridging)。

但是这些vSwitch也叫VEB存在三个问题：

1) 功能弱。具体说，通常只具有简单的二层转发，缺乏QoS机制和二层安全策略，流量镜像能力差。

2) 功能弱也导致网管人员难以把针对物理端口的策略平滑地迁移到VEB或者vSwtich上来；

3) 由于其管理范围被限制在物理服务器内部，没法在整个数据中心提供针对虚拟机的端到端服务。

因此，就得搞像VN-Tag或者VEPA这种复杂的专门针对DCN的虚拟交换机。 

2.3 Cisco VN-Tag

核心思想：VN-Tag的核心思想就是在现有的以太网数据桢的VLAN标识前面(或者源/目的MAC后面)增加一个专用标记字段VN-Tag，这个VN-Tag主要是dvif_id和svif_id一对地址，分别对应于源和目的虚拟机的虚拟网络接口VIF，因此支持VN-Tag的上联交换机就能够区分不同的VIF，识别来自和去往特定虚拟机的流量了&#