大话一些大二层网络技术新兴术语,并总结它与OpenStack的关系 (by quqi99)

大话一些大二层网络技术新兴术语,并总结它与OpenStack的关系 (by quqi99)

作者：张华  发表于：2013-09-17
版权声明：可以任意转载，转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明

( http://blog.csdn.net/quqi99)

二层多路径技术:
FabricPath,是Cisco的私有标准,用于在大二层实现多路径,传统的接入层,汇聚层和核心层网络很难处理东西向流量,即像neutron拓扑一样三层网关位置不定,且全网运行ＳＴＰ很难选择block哪条链接,于是FabricPath登场,即在二层实现一个类似三层的控制平面.基于switch ID进行路由, 也添加TTL字段在一个字交换中转发一次就减一从而不会形成环路而不需要再运行STP协议.最后,引入简化的IS-IS协议建立全网设备的拓扑并基于这个拓扑计算最短路径来转发数据(这样转发不再依赖于MAC地址).
TRILL(Transparent Interconnection of Lots of Links, 多链接半透明互联),FabricPath是Cisco的私有标准,而TRILL则IETF的公开标准,
SPB(Shortest Path Bridging, 最短桥接路径),是IEEE的公开标准.

数据中心二层路由互联技术:

VPLS(Virutal Private Lan Service,虚拟私有网络服务),有点类似于MPLS,只不过VPLS中的PE设备除了基本的隧道建立之外,还要负责MAC地址的学习.

OTV (Overlay Transport Virtualization), 核心思想是通过"MAC in IP"的方式，通过隧道技术穿越L3层网络实现L2层网络的互通。白话一点就是通过软件方式重新定义L2层帧头（有一个标准数据格式叫VXLAN,OTV是禁广播的更多注意在广域网上,VXLAN在一个数据中心内本质上讲， VXLAN的控制平面较OTV或者FabricPath简单很多，并没有使用IS-IS作为路由协议，而是沿用了以太网的二层MAC地址学习机制)，再通过L3层的遂道如GRE等发送给接收方，接收方再通过软件方式解析数据帧。很多虚拟交换机都是通过这种方式实现的，如Hyper-v，如Dove。它和FabricPath等一样仍然是自定义二层帧会在建立邻居关系之后通过广播或多播交换各自的MAC地址表从而计算出一张路由表,在发送第一个数据帧时就已经确定了路径.且对三层网关(HSRP/VRRP/GLBP)进行优化具备内置的负载均衡. HSRP(Host Standby Router Protocol,热备份路由协议),VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议),GLBP(Gateway Load Balancing protocol,网关负载均衡协议).

LISP(Locator/Identifier Separation Protocol, 位置/身份分离协议),网关也跟着移动。解决网络资源的移动性,可让两个数据中心的相同子网互通.LISP则可以保证虚机移动到新的数据中心后保持原来的IP地址,同时对外发布的网关也随之移动到新地址,这个过各无需更新DNS配置,或者部署专用的流量负载均衡设备.

SDN (Software Define Network), 在上面OTV的基础上，再引入一个tenant租户的概念，再做一个集中式的管理就是SDN了。对于南桥API，有一个标准叫OpenFlow，北桥API由于没有标准，也就有了像OpenDaylight的项目试图以插件的形式统一纷乱的北桥API。

MPLS, 自动标签技术，VLAN这种标准技术用在局域网内，VLAN需人工修改物理交换机，部署不方便。但MPLS的标签是通过L3层的路由技术在发送数据帧之前就事先走一遍将要经过的每一个路由器确定好并把标签设置好(通过标准交换的专用协议，或者经过扩展的BGP协议），数据帧再经过路由器时就直接经过L2层的硬件转发就是了，就不必再惊动L3层的路由了，大大提高了转发效率，主要用在广域网中。同时，一路怎么走经过哪些路由器可以在上层通过一个参数很容易的控制，也就是所谓的流量工程。

VEPA (Virtual Ethernet Port Aggregate)虚拟以太端口汇聚器，如果一台物机机上的两台虚机通信的话需通过软件虚拟交换机，虚拟交换机是软交换将占用物理机资源。使用VEPA时，即使同一台物理机上的两台虚机之间的流量也不再由本地虚拟交换机来处理，而是被强制发往到外部物理交换机，然后物理交换机再将数据返回来。我们知道，传统的物理交换机的数据帧是不能从进口出的，所以需要对物理交换机硬件作修改，允许其绕回。优点很明显，减少物理机宝贵的CPU资源，在物理交换机上统一实现流量，安全控制的管理。但缺点也是明显的，所有虚拟机之间的流量在物理节点和物理交换机之间来回了两次，浪费了网络带宽和增加了数据延迟。这就是所谓的发卡，上图，更多的参考http://www.h3c.com.cn/Solution/Data_Center_Solutions/Dummy_Solution/201106/717018_30004_0.htm:

VN-TAG, 如VEPA一样也需要对物理交换机做定制，核心思想是在标准以太网帧中为虚机定制增加一段专用的标记VN-Tag，用以区分不同的vif，从而识别特定的虚机的流量。

我自己的理解:

 对于两个数据中心的二层互联问题,相比于传统的动态路由,Overlay才是王道,那么最关键的就是地址学习问题,

VXLAN在局域网可以通过仍然通过原有的ARP广播来进行学习,

但是对于广播网,它并不像OTV那样再结合使用动态路由协议IS-IS协议掌握全网拓扑.

LISP则是里层的IP完全不参与路由, 网关也跟着移动,例如,一个虚机(10.0.1.2从一个子网(10.0.1.0/24)被迁移到另一个子网(10.0.2.0/24)后也会在新节点为它配置相同的网关(10.0.1.1), 对于不同数据中心的LISP网络它们的网段当然可以一样,但对于同一网段,不应出现相同的ＩＰ.这样类似于LTE 4G网络提高了移动性.

FabricPath技术由于使用switch id作为标识符为它之下的虚机提供arp代理，所以它是可以实现不同的switch下虚机的ip相同的

结合neutron再试想一下：

1， 目前在neutron, l2pop mech driver已经可以将一个network下的所有port的mac->ip对取出来在那台host上作arp代理；如果再引入类似TRILL的使用switch id转发的overlay机制（TRILL用switch id作路由，这里可以将mac-ip对再经port中的host属性过滤一次)，就可以实现同一个tenant下不同的host上也能具有相同的ip.

2，对于LISP，目前nova本身就可以实现在线迁移之后虚机的ip不变（主要是打了一个时间差，先构建一个和被迁移的虚机同样ip信息的虚机但暂不启动，然后通过hyversivor对二者再进行在线迁移，在迁移完成之后，先停掉原虚机，再启动迁移后的虚机，这样保证了迁移前后ip不变），另一方面，LISP除了实现移动前后ip不变的特性之外，还在控制层面提出了在使用eBGP协议进行二层地址的学习，而neutron框架通过DB做了类似的事情。所以我认为实际上neutron实现了LISP的功能，只不过LISP更一般化，而neutron试图通过框架去做了一些那些网络协议控制层面的一些事情。所以像neutron之类的SDN完全可以替代一些Overlay网络技术。

3, 对于neutron中的GRE与VXLAN两种拓扑,由于它们是点对点的tunnel, 所以它们都运行在计算节点而非路由节点上.　当用FLAT和VLAN两种拓扑时,得要求物理机都处在相同的二层下,　但是对于GRE与VXLAN来说物理机处在三层也行(VXLAN只是在禁用二层的广播的情况下可行）.

2014-09-18

      对于大二层的互通，还有一种简单有效的方法就是vpn，vpn可以工作在二层（如openvpn中的tap模式，左右两边的子网可以相同，但IP肯定不能同，相当于bridge模式），也可以工作在三层（如openvpn中的tun模式, 要求左右两边子网不同）。IPSec只是一种加密模式，L2TP才是二层的vpn接入层，所以L2TP+IPSec肯定可以实现openvpn的tap模式，但是strongswan因为是三层的vpn应该不行。

参考：
http://www.zdnet.com.cn/wiki-TRILL

http://blog.csdn.net/neterpaole/article/details/8826829

http://wisnet.seecs.nust.edu.pk/projects/trill/index.html

http://blog.csdn.net/neterpaole/article/details/8826829