论文部分内容阅读
摘 要:科技飞速发展的21世纪,高度信息化的现代社会,网络设备虚拟化技术成为我们工作的重要帮手和重点研究对象。笔者就自己多年的工作经验和广东省现状,对此技术展开详细的应用分析。
关键词:网络设备虚拟化技术 应用案例 高度信息化
中图分类号:TP393 文献标识码:A 文章编号:1674-098X(2013)05(a)-0027-05
IT基础设施主要包括网络、计算和存储设备,随着科技的高速发展,高度信息化的现代社会对于这些基础设施的需求在持续增长,而基础设施的增加必然会导致成本和功耗的增加,同时很大一部分基础设施仅用于单一的业务需求,并没有发挥出设备应有的性能,导致资源浪费。
随着业务需求的进一步增长,上述的低利用率基础设施必然会越来越多,最终形成复杂而庞大的设施群,随之而来的是巨大的成本开支和运营维护开支,同时,此类设施群对能源和空间的消耗也是显而易见的(图1)。
为了简化基础设施群和系统架构,提高企业的运营效率,需要将多种业务整合到更加精简的设备中去,减少投资成本和运营开支。在这种背景下,虚拟化技术应运而生,伴随着虚拟化技术的应用,多个业务部门可以共享同一台IT设备,极大的提高设备利用率。
该文主要针对网络交换设备的虚拟化技术做详细阐述,并结合广东移动网管平台架构云化的实际案例说明网络设备虚拟化技术的最佳实践和优势所在。
1 广东移动网管网现状
中国移动通信集团广东有限公司建立有统一的网管应用平台,有效地整合地市公司网管支撑应用系统,规范了各地市网管支撑应用的开发和维护。现阶段,统一网管应用平台在全省21个地市都进行了部署。
广东移动的网管平台主要对城域网、GPRS、短信、WLAN等业务,进行统一的管理、维护和监控。广东移动网管网通过前期的建设,已经构建了一张比较完善的网络,整个网络拓扑结构如图2所示。
在广东移动网管网省中心及各地市数据中心,汇聚交换机均采用传统的网络交换设备,网络流量均通过这些交换机进行转发,随着广东移动数据通信业务的飞速发展,网管网的流量越来越高,业务种类越来越丰富,交换机的负荷也越来越重。此外,所有业务的网络配置均保存在一台交换机上,给网络管理和维护带来了巨大的工作量和开支。同时,当一台交换机的转发机制出现问题时,将影响所有业务的正常运转,给网管业务带来巨大的损失。
针对以上网管网的情况及传统交换设备的不足,为了提高网络管理和维护能力,全面提升数据业务的服务质量,需要对广东移动网管网进行优化,根据现有的网络结构,有两种可选优化方法。
(1)通过新建传统交换机的方式增加省中心及地市网管IDC的汇聚交换机数量,对网络流量进行有效隔离,降低每台交换机的运行负荷。
(2)在省中心及地市网管各IDC新建一对新型汇聚交换机,通过网络设备虚拟化技术对汇聚交换机进行虚拟化,虚拟出多台交换机,使一台设备发挥出几台设备的功能,可以极大的降低成本和开支,提高网络设备的利用率。
根据广东移动网管网现有的网络需求及未来的扩容需要,同时考虑网络设施的成本及运营开支,方案二要明显优于方案一。
下文将首先介绍网络设备虚拟化技术,并在此基础上详细介绍广东移动网管云平台的优化方案和效果。
2 网络设备虚拟化技术
2.1 虚拟化概念
虚拟化是一个广义的术语,是指计算元件在虚拟的基础上而不是真实的基础上运行,是一个为了简化管理,优化资源的解决方案。如同空旷、通透的写字楼,整个楼层几乎看不到墙壁,用户可以用同样的成本构建出更加自主适用的办公空间,进而节省成本,发挥空间最大利用率。这种把有限的固定的资源根据不同需求进行重新规划以达到最大利用率的思路,在IT领域就叫做虚拟化技术。
虚拟化技术与多任务以及超线程技术是完全不同的。多任务是指在一个操作系统中多个程序同时并行运行,而在虚拟化技术中,则可以同时运行多个操作系统,而且每一个操作系统中都有多个程序运行,每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机上;而超线程技术只是单CPU模拟双CPU来平衡程序运行性能,这两个模拟出来的CPU是不能分离的,只能协同工作。
虚拟化不是一个单独的实体,而是一组模式和技术的集合,目前虚拟化的表现形式通常有两种模式:
(1)单一资源的多个逻辑表示
这种模式是虚拟化最广泛使用的模式之一。它只包含一个物理资源,但是它向消费者呈现的逻辑表示却仿佛它包含多个资源一样。消费者与这个虚拟资源进行交互时就仿佛自己是唯一的消费者一样,而不会考虑他正在与其他消费者一起共享资源。
(2)多个资源的单一逻辑表示
这种模式包含了多个组合资源,以便将这些资源表示为提供单一接口的单个逻辑表示形式。在利用多个功能不太强大的资源来创建功能强大且丰富的虚拟资源时,这是一种非常有用的模式。存储虚拟化就是这种模式的一个例子。
本文所介绍的网络设备虚拟化技术属于第一种虚拟化模式,此技术可将一台网络设备虚拟成数台物理上相互隔离的设备,从而让不同部门的业务网络管理员认为他们所面对的是不同的网络设备。
上述网络设备虚拟化技术,目前在业界有若干成熟的商用方案可供选择,在广东移动网管云平台优化项目中采用了思科Nexus 7000数据中心系列交换机,因此本文主要针对该系列设备的虚拟化技术——虚拟设备上下文技术做进一步阐述。
2.2 虚拟设备上下文技术
虚拟设备上下文技术是思科 Nexus 7000系列交换机的特有技术,该技术可将单台交换机虚拟为多台交换机(如图3),从而承载多个业务需求。虚拟设备上下文技术可以实现物理级别的虚拟化技术,真正实现故障隔离和区分不同业务的网络流量,通过创建独立的硬件和软件分区实现有效的管理。 如图3所示,一台交换机使用虚拟设备上下文技术共划分了4台虚拟交换机,在下文中我们用VDC来表示虚拟交换机,VDC1用于研发部门的业务,VDC2用于销售部门的业务,VDC3和VDC4也分别用于不同的两个部门,所有部门共用原始交换机的硬件架构以及内核部分,但是每个部分拥有独立的二、三层协议,这既保证了业务之间的独立性,也简化了网络架构和运营方式,有效的节约开支。
Cisco Nexus 7000系列交换机使用Cisco NX-OS操作系统。该操作系统是一种专为数据中心而设计的新型操作系统,可以为虚拟设备上下文技术提供有力的支持,并能在设备级别实现交换机的虚拟化。对于使用该交换机的所有用户而言,该系统所配置的每个VDC都会显示为一个不同的设备。VDC会作为一个单独的逻辑实体在交换机中运行,具有其自己独特的软件进程集,拥有独立的配置,并由一个单独的管理员负责管理。
虚拟设备上下文技术可以实现把一台独立的硬件设备划分为多个逻辑设备,并且提供错独立容错和管理、独立地址分配、独立资源管理,因此可以把一个虚拟设备看作为一台物理独立设备。每台虚拟设备可以作为一个独立的物理设备运行,为不同的用户和业务服务,保管自己的配置文件,并且可以被不同的管理员管理维护。
根据故障遏制和管理分离的层次要求,可以对设备执行多种不同级别的虚拟化。VDC技术能够将专用软件进程和专用硬件组合到一起,在一个独立的管理上下文中提供虚拟的控制和数据平面,可以实现以下级别的虚拟化:
控制平面:创建多个独立控制平面进程的能力让用户可以创建多个逻辑拓扑和故障域。
数据平面:用户可以通过对转发表和其他数据库进行分区,实现数据隔离。
管理平面:可以为每个虚拟设备独立提供精简的管理环境。
软件分区:可以将模块化软件进程合并到专门用于特定虚拟设备的分区之中,从而创建明确定义的故障域。
硬件组件:用户可以对硬件组件进行分区,将硬件资源分配给不同的虚拟设备。
虚拟设备上下文(VDC)是交换机物理端口的一个子集,具有以下特性:
使用一个独特的配置文件来定义设备的功能
与其他VDC分开管理
可被用于隔离同一个物理基础设施上支持的其他VDC的数据流
支持同一交换机上不同VDC之间的进程独立性和故障隔离
2.3 配置虚拟设备上下文
虚拟设备上下文的配置从VDC的划分开始,每台设备初始有一个VDC,通过软件授权激活每台硬件设备可以支持到四个VDC。每台交换机中有一个默认激活的VDC(VDC1),这就意味着可以使用命令行额外添加3个VDC。添加VDC的命令如下:
switch# conf t
switch(config)# vdc production
switch(config-vdc)# show vdc
vdc_id vdc_name state mac
------ ------ ----- ----
1 switch active 00:18:ba:d8:4c:3d
2 production active 00:18:ba:d8:4c:3e
switch(config-vdc)# show vdc detail
vdc id: 1
vdc name: switch
vdc state: active
vdc mac address: 00:18:ba:d8: 4c:3d
vdc ha policy: RESET
vdc id: 2
vdc name: production
vdc state: active
vdc mac address: 00:18:ba:d8:4c:3e
vdc ha policy: BRINGDOWN
当添加了VDC后,系统将自动进入VDC配置模式,在这里可以进行更加复杂的VDC配置,当添加一个新的VDC时,一系列的默认资源会分配给该VDC,下面的例子显示了当创建了名字为production的VDC时,该VDC的资源情况:
switch# show run | begin vdc
vdc production id 2
template default
hap bringdown
limit-resource vlan minimum 16 maximum 4094
limit-resource span-ssn minimum 0 maximum 2
limit-resource vrf minimum 16 maximum 8192
limit-resource port-channel minimum 0 maximum 256
limit-resource glbp_group minimum 0 maximum 4096
以上配置信息提供了该VDC工作时所消耗的资源状况,这些资源包括VLAN,VRF,SPAN,PortChannels和GLBP,管理员可以通过命令行修改资源的分配,下面是一个修改资源分配的示例:
switch(config)# vdc production
switch(config-vdc)# limit-resource vlan minimum 32 maximum 4094 switch(config-vdc)# show run | begin vdc
vdc production id 2
template default
hap bringdown
limit-resource vlan minimum 32 maximum 4094
limit-resource span-ssn minimum 0 maximum 2
limit-resource vrf minimum 16 maximum 8192
limit-resource port-channel minimum 0 maximum 256
limit-resource glbp_group minimum 0 maximum 4096
上面的例子显示了怎样将名字为Production的VDC的最小VLAN数目从16个修改为32个。
在成功添加VDC后,管理员将进入VDC配置模式,下一步的任务就是将物理端口划分到VDC中。物理线卡上的端口是不能在不同的VDC之间共享的。默认情况下,所有的物理端口都属于默认VDC。当添加一个VDC后,可在该VDC的控制模式下添加端口,命令行如下:
switch(config)# show vdc membership
vdc_id: 1 vdc_name: switch interfaces:
Ethernet3/1 Ethernet3/2 Ethernet3/3
Ethernet3/4 Ethernet3/5 Ethernet3/6
Ethernet3/7 Ethernet3/8 Ethernet3/9
Ethernet3/10 Ethernet3/11 Ethernet3/12
Ethernet3/13 Ethernet3/14 Ethernet3/15
Ethernet3/16 Ethernet3/17 Ethernet3/1
Ethernet3/19 Ethernet3/20 Ethernet3/21
Ethernet3/22 Ethernet3/23 Ethernet3/24
Ethernet3/25 Ethernet3/26 Ethernet3/27
Ethernet3/28 Ethernet3/29 Ethernet3/30
Ethernet3/31 Ethernet3/32 Ethernet3/33
Ethernet3/34 Ethernet3/35 Ethernet3/36
Ethernet3/37 Ethernet3/38 Ethernet3/39
Ethernet3/40 Ethernet3/41 Ethernet3/42
Ethernet3/43 Ethernet3/44 Ethernet3/45
Ethernet3/46 Ethernet3/47 Ethernet3/48
vdc_id: 2 vdc_name: production interfaces:
switch(config)# vdc production
switch(config-vdc)# allocate interface ethernet 3/48
switch(config-vdc)# show vdc membership
vdc_id: 1 vdc_name: switch interfaces:
Ethernet3/1 Ethernet3/2 Ethernet3/3
Ethernet3/4 Ethernet3/5 Ethernet3/6
Ethernet3/7 Ethernet3/8 Ethernet3/9
Ethernet3/10 Ethernet3/11 Ethernet3/12
Ethernet3/13 Ethernet3/14 Ethernet3/15
Ethernet3/16 Ethernet3/17 Ethernet3/18
Ethernet3/19 Ethernet3/20 Ethernet3/21
Ethernet3/22 Ethernet3/23 Ethernet3/24
Ethernet3/25 Ethernet3/26 Ethernet3/27
Ethernet3/28 Ethernet3/29 Ethernet3/30
Ethernet3/31 Ethernet3/32 Ethernet3/33
Ethernet3/34 Ethernet3/35 Ethernet3/36
Ethernet3/37 Ethernet3/38 Ethernet3/39
Ethernet3/40 Ethernet3/41 Ethernet3/42
Ethernet3/43 Ethernet3/44 Ethernet3/45
Ethernet3/46 Ethernet3/47
vdc_id: 2 vdc_name: production interfaces:
Ethernet3/48
上面的例子显示了怎样将一个物理端口(以太端口3/48)从默认VDC中转移到新添加的VDC中。该端口以及其他移动到此VDC中的端口更深层次的配置工作需要在该VDC的环境中完成。 3 VDC的部署与优势
3.1 VDC的部署方式
VDC可以在任何需要做流量工程,或者重定向至特定网络服务设备的环境中被使用。上文提及的逻辑划分数据层面,控制层面以及管理层面的另一个好处便在于能够使得加载于网络的附件服务,策略变得更具明确性。对于那些要求高度安全的环境而言,这样的需求变得更为迫切。
VDC在实际应用的部署中,可以使用3种方式进行虚拟交换机的整合方式:水平整合、垂直整合以及混合整合,下面将对这三种整合方式进行详细介绍。
3.1.1 水平整合
水平整合是最常见的整合方式,在同一个网络层次上面,总有多台物理设备提供相类似的功能或者业务,VDC可以将提供相似功能的这些物理设备,通过虚拟化,整合到一个物理框架当中。从而,大量的节省IT本身的空间、能源、管理开销。在企业网络环境中,这些设备往往用于连接不同的业务部门,另一方面,在运营商网络环境当中,这些设备则往往用于连接不同的客户,不同的地市接入路由器,同样也有可能用于连接运营商自身的不同业务部门。在传统的网络设计当中,为了实现不同的业务单元的聚合(这些业务单元同时需要不同程度的相互隔离),常用的解决方案无非是要么通过硬件隔离实现,要么通过划分VLAN或者近几年经常用到的MPLS/VPN技术实现。这些传统的解决方案均无法避免成本增加,以及资源分配隔离度不足的挑战。而相对于这些传统的解决方案,VDC提供了一套更为高效,灵活,并且低成本的升级方案。
3.1.2 垂直整合
除了能够将相似功能的物理设备进行整合以外,VDC同样也能够可以将不同功能的物理设备进行整合。对于有扁平化需求的网络架构而言,采用VDC垂直整合是非常吸引人的一个实施途径。一方面,将传统的核心交换层与分布聚合层整合到一起,降低了网络架构的复杂程度,为未来的网络扩容与升级提供了一个更为干净并易于扩展的平台。另一方面,对于网络管理员来说,所谓的网络扁平化部署,实际上只需要相对简单的将原来存在于独立的物理设备上面的配置迁移到新的虚拟化单元上面。相对于传统网络扁平化进程中需要将两台独立的物理设备配置合并到同一台设备上面的做法,很大程度上降低了实施风险与工作量。
3.1.3 混合整合
混合整合方式是同时将相似/非相似功能的物理设备整合在一起的方式,最大限度的利用了端口资源。在实施过程中可以先将同一层次的相同功能的设备进行第一次整合,之后再通过扁平化迁移实现垂直的整合。当然,整合的密集程度也是需要考虑的问题,太密集的整合性网络同样会碰到扩展性的瓶颈问题。
3.2 VDC的特性与优势
VDC的故障遏制功能是指防止某个虚拟设备上的问题影响运行于同一个物理设备上的其他虚拟设备。当一个VDC出现故障时,并不影响其他VDC的正常运行。
VDC虚拟化技术为每个虚拟设备设立独立的管理环境对于简化各种虚拟环境的运营和管理极为重要。管理用户的层次化结构要求限制某些操作人员只能使用特定的管理环境,或者这些管理环境的子集。
VDC虚拟化技术可在不同的虚拟设备之间灵活地区分和分配软件组件的能力非常重要。在操作系统内部,软件组件通常包括多个进程或者进程例程。Cisco NX-OS可以提供模块化的软件进程,而这种模块化对于实现VDC所需要的软件组件隔离和分配极为有用。
为将硬件资源分配到特定的虚拟设备,需要灵活地区分硬件资源。遏制故障的程度在很大程度上取决于为不同虚拟设备隔离和分配硬件资源的能力。端口等资源可以专门用于某个VDC,在某个端口被分配给一个VDC之后,其他VDC就将无法使用该端口。
在部署多个逻辑设备时,物理设备所需要管理的流量会大幅增加。Cisco Nexus 7000系列交换机的分布式架构,加上VDC的硬件分配能力,可以为硬件平台带来出色的智能扩展功能,最大限度地提高现有资源的利用率。
4 广东移动网管云平台的建设与效果
4.1 广东移动网管云平台的建设方案
根据本文第2章对广东移动网管网的现状分析及优化需求,并结合虚拟设备上下文技术,对广东移动网管网进行统一优化,最终建设成广东移动网管云平台。
广东移动网管云平台的网络结构如图4。
网管云平台项目在网管省中心新增一对汇聚交换机,替换原有的传统交换机,将原有的传统交换机向下移一层,作为接入层交换机,同时新建的华景机房也使用支持虚拟化的交换机作为汇聚交换机。
4.2 省中心数据中心建设方案
省中心数据中心网络结构如图5。
本次工程项目中,省中心数据中心将增加两台Nexus7018交换机。Nexus7018交换将划分三个VDC,一个VDC作为汇聚交换机,另一个VDC做为OTV二层交换机,剩余的一个作为管理VDC。
网络结构调整如下:
(1)在新增加Nexus7018交换机后,原有传统交换机将下移变为接入层交换机。同时,服务器群的网关也相应的迁移到Nexus7018交换机。
(2)Nexus7018交换机的Agg VDC与 OTV VDC分别作为各节点服务器之间通信的汇聚(接入)交换机和处理服务器虚拟化迁移的OTV交换机。
(3)防火墙与内网的连接从传统交换机调整到Nexus7018的Agg VDC。
(4)每台OTV VDC新增一条连线到网管网PE,作为服务器虚拟化迁移使用。
华景机房数据中心建设方案
华景机房数据中心组网结构如图6。
本次工程项目中,新建的华景机房增加两台Nexus7018交换机。Nexus7018交换将划分三个VDC,一个VDC作为核心交换机,另一个VDC做为OTV二层交换机,剩余的一个作为管理VDC。
华景节点组网如下:
(1)Nexus7018交换机的Agg VDC作为服务器群的网关。
(2)Nexus7018交换机的Agg VDC与 OTV VDC分别作为各节点服务器之间通信的汇聚(接入)交换机和处理服务器虚拟化迁移的OTV交换机。
(3)每台OTV VDC需要单独一条连线到网管网PE,作为服务器虚拟化迁移使用。
广东移动网管云平台的实施效果
目前广东移动网管云平台已建设完毕,整个网管网的架构得到了优化。通过利用新一代交换机的虚拟化技术,将一台交换机虚拟成多台交换机的方式,实现业务流量的相互隔离,为广东移动的业务安全提供了保障。
同时,本期项目还应用了另外一项虚拟化技术——覆盖传输虚拟化(OTV)技术,该技术将省中心机房的汇聚交换机和华景机房的汇聚交换机进行大二层互联,达到多数据中心资源共享的目的,为服务器的虚拟化迁移提供了便利。关于OTV虚拟化技术,本文不作过多探讨。
5 结语
虚拟化技术给现代社会的IT基础设施建设带来了革命性变革,通过合理利用虚拟化技术,企业可以节省基础设施投资和维护成本,同时也给IT设施的管理带来便利。本文主要介绍了网络设备虚拟化技术,并结合广东移动网管云平台项目的成功案例重点阐述了思科Nexus7000系列交换机特有的虚拟设备上下文技术,该技术可将一台物理交换机虚拟成多台交换机,并实现物理上的相互隔离,此技术的成功应用推动了广东移动网管网的优化建设。探索如何通过虚拟化技术为企业带来更多革命性的变革是未来的重要方向。
关键词:网络设备虚拟化技术 应用案例 高度信息化
中图分类号:TP393 文献标识码:A 文章编号:1674-098X(2013)05(a)-0027-05
IT基础设施主要包括网络、计算和存储设备,随着科技的高速发展,高度信息化的现代社会对于这些基础设施的需求在持续增长,而基础设施的增加必然会导致成本和功耗的增加,同时很大一部分基础设施仅用于单一的业务需求,并没有发挥出设备应有的性能,导致资源浪费。
随着业务需求的进一步增长,上述的低利用率基础设施必然会越来越多,最终形成复杂而庞大的设施群,随之而来的是巨大的成本开支和运营维护开支,同时,此类设施群对能源和空间的消耗也是显而易见的(图1)。
为了简化基础设施群和系统架构,提高企业的运营效率,需要将多种业务整合到更加精简的设备中去,减少投资成本和运营开支。在这种背景下,虚拟化技术应运而生,伴随着虚拟化技术的应用,多个业务部门可以共享同一台IT设备,极大的提高设备利用率。
该文主要针对网络交换设备的虚拟化技术做详细阐述,并结合广东移动网管平台架构云化的实际案例说明网络设备虚拟化技术的最佳实践和优势所在。
1 广东移动网管网现状
中国移动通信集团广东有限公司建立有统一的网管应用平台,有效地整合地市公司网管支撑应用系统,规范了各地市网管支撑应用的开发和维护。现阶段,统一网管应用平台在全省21个地市都进行了部署。
广东移动的网管平台主要对城域网、GPRS、短信、WLAN等业务,进行统一的管理、维护和监控。广东移动网管网通过前期的建设,已经构建了一张比较完善的网络,整个网络拓扑结构如图2所示。
在广东移动网管网省中心及各地市数据中心,汇聚交换机均采用传统的网络交换设备,网络流量均通过这些交换机进行转发,随着广东移动数据通信业务的飞速发展,网管网的流量越来越高,业务种类越来越丰富,交换机的负荷也越来越重。此外,所有业务的网络配置均保存在一台交换机上,给网络管理和维护带来了巨大的工作量和开支。同时,当一台交换机的转发机制出现问题时,将影响所有业务的正常运转,给网管业务带来巨大的损失。
针对以上网管网的情况及传统交换设备的不足,为了提高网络管理和维护能力,全面提升数据业务的服务质量,需要对广东移动网管网进行优化,根据现有的网络结构,有两种可选优化方法。
(1)通过新建传统交换机的方式增加省中心及地市网管IDC的汇聚交换机数量,对网络流量进行有效隔离,降低每台交换机的运行负荷。
(2)在省中心及地市网管各IDC新建一对新型汇聚交换机,通过网络设备虚拟化技术对汇聚交换机进行虚拟化,虚拟出多台交换机,使一台设备发挥出几台设备的功能,可以极大的降低成本和开支,提高网络设备的利用率。
根据广东移动网管网现有的网络需求及未来的扩容需要,同时考虑网络设施的成本及运营开支,方案二要明显优于方案一。
下文将首先介绍网络设备虚拟化技术,并在此基础上详细介绍广东移动网管云平台的优化方案和效果。
2 网络设备虚拟化技术
2.1 虚拟化概念
虚拟化是一个广义的术语,是指计算元件在虚拟的基础上而不是真实的基础上运行,是一个为了简化管理,优化资源的解决方案。如同空旷、通透的写字楼,整个楼层几乎看不到墙壁,用户可以用同样的成本构建出更加自主适用的办公空间,进而节省成本,发挥空间最大利用率。这种把有限的固定的资源根据不同需求进行重新规划以达到最大利用率的思路,在IT领域就叫做虚拟化技术。
虚拟化技术与多任务以及超线程技术是完全不同的。多任务是指在一个操作系统中多个程序同时并行运行,而在虚拟化技术中,则可以同时运行多个操作系统,而且每一个操作系统中都有多个程序运行,每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机上;而超线程技术只是单CPU模拟双CPU来平衡程序运行性能,这两个模拟出来的CPU是不能分离的,只能协同工作。
虚拟化不是一个单独的实体,而是一组模式和技术的集合,目前虚拟化的表现形式通常有两种模式:
(1)单一资源的多个逻辑表示
这种模式是虚拟化最广泛使用的模式之一。它只包含一个物理资源,但是它向消费者呈现的逻辑表示却仿佛它包含多个资源一样。消费者与这个虚拟资源进行交互时就仿佛自己是唯一的消费者一样,而不会考虑他正在与其他消费者一起共享资源。
(2)多个资源的单一逻辑表示
这种模式包含了多个组合资源,以便将这些资源表示为提供单一接口的单个逻辑表示形式。在利用多个功能不太强大的资源来创建功能强大且丰富的虚拟资源时,这是一种非常有用的模式。存储虚拟化就是这种模式的一个例子。
本文所介绍的网络设备虚拟化技术属于第一种虚拟化模式,此技术可将一台网络设备虚拟成数台物理上相互隔离的设备,从而让不同部门的业务网络管理员认为他们所面对的是不同的网络设备。
上述网络设备虚拟化技术,目前在业界有若干成熟的商用方案可供选择,在广东移动网管云平台优化项目中采用了思科Nexus 7000数据中心系列交换机,因此本文主要针对该系列设备的虚拟化技术——虚拟设备上下文技术做进一步阐述。
2.2 虚拟设备上下文技术
虚拟设备上下文技术是思科 Nexus 7000系列交换机的特有技术,该技术可将单台交换机虚拟为多台交换机(如图3),从而承载多个业务需求。虚拟设备上下文技术可以实现物理级别的虚拟化技术,真正实现故障隔离和区分不同业务的网络流量,通过创建独立的硬件和软件分区实现有效的管理。 如图3所示,一台交换机使用虚拟设备上下文技术共划分了4台虚拟交换机,在下文中我们用VDC来表示虚拟交换机,VDC1用于研发部门的业务,VDC2用于销售部门的业务,VDC3和VDC4也分别用于不同的两个部门,所有部门共用原始交换机的硬件架构以及内核部分,但是每个部分拥有独立的二、三层协议,这既保证了业务之间的独立性,也简化了网络架构和运营方式,有效的节约开支。
Cisco Nexus 7000系列交换机使用Cisco NX-OS操作系统。该操作系统是一种专为数据中心而设计的新型操作系统,可以为虚拟设备上下文技术提供有力的支持,并能在设备级别实现交换机的虚拟化。对于使用该交换机的所有用户而言,该系统所配置的每个VDC都会显示为一个不同的设备。VDC会作为一个单独的逻辑实体在交换机中运行,具有其自己独特的软件进程集,拥有独立的配置,并由一个单独的管理员负责管理。
虚拟设备上下文技术可以实现把一台独立的硬件设备划分为多个逻辑设备,并且提供错独立容错和管理、独立地址分配、独立资源管理,因此可以把一个虚拟设备看作为一台物理独立设备。每台虚拟设备可以作为一个独立的物理设备运行,为不同的用户和业务服务,保管自己的配置文件,并且可以被不同的管理员管理维护。
根据故障遏制和管理分离的层次要求,可以对设备执行多种不同级别的虚拟化。VDC技术能够将专用软件进程和专用硬件组合到一起,在一个独立的管理上下文中提供虚拟的控制和数据平面,可以实现以下级别的虚拟化:
控制平面:创建多个独立控制平面进程的能力让用户可以创建多个逻辑拓扑和故障域。
数据平面:用户可以通过对转发表和其他数据库进行分区,实现数据隔离。
管理平面:可以为每个虚拟设备独立提供精简的管理环境。
软件分区:可以将模块化软件进程合并到专门用于特定虚拟设备的分区之中,从而创建明确定义的故障域。
硬件组件:用户可以对硬件组件进行分区,将硬件资源分配给不同的虚拟设备。
虚拟设备上下文(VDC)是交换机物理端口的一个子集,具有以下特性:
使用一个独特的配置文件来定义设备的功能
与其他VDC分开管理
可被用于隔离同一个物理基础设施上支持的其他VDC的数据流
支持同一交换机上不同VDC之间的进程独立性和故障隔离
2.3 配置虚拟设备上下文
虚拟设备上下文的配置从VDC的划分开始,每台设备初始有一个VDC,通过软件授权激活每台硬件设备可以支持到四个VDC。每台交换机中有一个默认激活的VDC(VDC1),这就意味着可以使用命令行额外添加3个VDC。添加VDC的命令如下:
switch# conf t
switch(config)# vdc production
switch(config-vdc)# show vdc
vdc_id vdc_name state mac
------ ------ ----- ----
1 switch active 00:18:ba:d8:4c:3d
2 production active 00:18:ba:d8:4c:3e
switch(config-vdc)# show vdc detail
vdc id: 1
vdc name: switch
vdc state: active
vdc mac address: 00:18:ba:d8: 4c:3d
vdc ha policy: RESET
vdc id: 2
vdc name: production
vdc state: active
vdc mac address: 00:18:ba:d8:4c:3e
vdc ha policy: BRINGDOWN
当添加了VDC后,系统将自动进入VDC配置模式,在这里可以进行更加复杂的VDC配置,当添加一个新的VDC时,一系列的默认资源会分配给该VDC,下面的例子显示了当创建了名字为production的VDC时,该VDC的资源情况:
switch# show run | begin vdc
vdc production id 2
template default
hap bringdown
limit-resource vlan minimum 16 maximum 4094
limit-resource span-ssn minimum 0 maximum 2
limit-resource vrf minimum 16 maximum 8192
limit-resource port-channel minimum 0 maximum 256
limit-resource glbp_group minimum 0 maximum 4096
以上配置信息提供了该VDC工作时所消耗的资源状况,这些资源包括VLAN,VRF,SPAN,PortChannels和GLBP,管理员可以通过命令行修改资源的分配,下面是一个修改资源分配的示例:
switch(config)# vdc production
switch(config-vdc)# limit-resource vlan minimum 32 maximum 4094 switch(config-vdc)# show run | begin vdc
vdc production id 2
template default
hap bringdown
limit-resource vlan minimum 32 maximum 4094
limit-resource span-ssn minimum 0 maximum 2
limit-resource vrf minimum 16 maximum 8192
limit-resource port-channel minimum 0 maximum 256
limit-resource glbp_group minimum 0 maximum 4096
上面的例子显示了怎样将名字为Production的VDC的最小VLAN数目从16个修改为32个。
在成功添加VDC后,管理员将进入VDC配置模式,下一步的任务就是将物理端口划分到VDC中。物理线卡上的端口是不能在不同的VDC之间共享的。默认情况下,所有的物理端口都属于默认VDC。当添加一个VDC后,可在该VDC的控制模式下添加端口,命令行如下:
switch(config)# show vdc membership
vdc_id: 1 vdc_name: switch interfaces:
Ethernet3/1 Ethernet3/2 Ethernet3/3
Ethernet3/4 Ethernet3/5 Ethernet3/6
Ethernet3/7 Ethernet3/8 Ethernet3/9
Ethernet3/10 Ethernet3/11 Ethernet3/12
Ethernet3/13 Ethernet3/14 Ethernet3/15
Ethernet3/16 Ethernet3/17 Ethernet3/1
Ethernet3/19 Ethernet3/20 Ethernet3/21
Ethernet3/22 Ethernet3/23 Ethernet3/24
Ethernet3/25 Ethernet3/26 Ethernet3/27
Ethernet3/28 Ethernet3/29 Ethernet3/30
Ethernet3/31 Ethernet3/32 Ethernet3/33
Ethernet3/34 Ethernet3/35 Ethernet3/36
Ethernet3/37 Ethernet3/38 Ethernet3/39
Ethernet3/40 Ethernet3/41 Ethernet3/42
Ethernet3/43 Ethernet3/44 Ethernet3/45
Ethernet3/46 Ethernet3/47 Ethernet3/48
vdc_id: 2 vdc_name: production interfaces:
switch(config)# vdc production
switch(config-vdc)# allocate interface ethernet 3/48
switch(config-vdc)# show vdc membership
vdc_id: 1 vdc_name: switch interfaces:
Ethernet3/1 Ethernet3/2 Ethernet3/3
Ethernet3/4 Ethernet3/5 Ethernet3/6
Ethernet3/7 Ethernet3/8 Ethernet3/9
Ethernet3/10 Ethernet3/11 Ethernet3/12
Ethernet3/13 Ethernet3/14 Ethernet3/15
Ethernet3/16 Ethernet3/17 Ethernet3/18
Ethernet3/19 Ethernet3/20 Ethernet3/21
Ethernet3/22 Ethernet3/23 Ethernet3/24
Ethernet3/25 Ethernet3/26 Ethernet3/27
Ethernet3/28 Ethernet3/29 Ethernet3/30
Ethernet3/31 Ethernet3/32 Ethernet3/33
Ethernet3/34 Ethernet3/35 Ethernet3/36
Ethernet3/37 Ethernet3/38 Ethernet3/39
Ethernet3/40 Ethernet3/41 Ethernet3/42
Ethernet3/43 Ethernet3/44 Ethernet3/45
Ethernet3/46 Ethernet3/47
vdc_id: 2 vdc_name: production interfaces:
Ethernet3/48
上面的例子显示了怎样将一个物理端口(以太端口3/48)从默认VDC中转移到新添加的VDC中。该端口以及其他移动到此VDC中的端口更深层次的配置工作需要在该VDC的环境中完成。 3 VDC的部署与优势
3.1 VDC的部署方式
VDC可以在任何需要做流量工程,或者重定向至特定网络服务设备的环境中被使用。上文提及的逻辑划分数据层面,控制层面以及管理层面的另一个好处便在于能够使得加载于网络的附件服务,策略变得更具明确性。对于那些要求高度安全的环境而言,这样的需求变得更为迫切。
VDC在实际应用的部署中,可以使用3种方式进行虚拟交换机的整合方式:水平整合、垂直整合以及混合整合,下面将对这三种整合方式进行详细介绍。
3.1.1 水平整合
水平整合是最常见的整合方式,在同一个网络层次上面,总有多台物理设备提供相类似的功能或者业务,VDC可以将提供相似功能的这些物理设备,通过虚拟化,整合到一个物理框架当中。从而,大量的节省IT本身的空间、能源、管理开销。在企业网络环境中,这些设备往往用于连接不同的业务部门,另一方面,在运营商网络环境当中,这些设备则往往用于连接不同的客户,不同的地市接入路由器,同样也有可能用于连接运营商自身的不同业务部门。在传统的网络设计当中,为了实现不同的业务单元的聚合(这些业务单元同时需要不同程度的相互隔离),常用的解决方案无非是要么通过硬件隔离实现,要么通过划分VLAN或者近几年经常用到的MPLS/VPN技术实现。这些传统的解决方案均无法避免成本增加,以及资源分配隔离度不足的挑战。而相对于这些传统的解决方案,VDC提供了一套更为高效,灵活,并且低成本的升级方案。
3.1.2 垂直整合
除了能够将相似功能的物理设备进行整合以外,VDC同样也能够可以将不同功能的物理设备进行整合。对于有扁平化需求的网络架构而言,采用VDC垂直整合是非常吸引人的一个实施途径。一方面,将传统的核心交换层与分布聚合层整合到一起,降低了网络架构的复杂程度,为未来的网络扩容与升级提供了一个更为干净并易于扩展的平台。另一方面,对于网络管理员来说,所谓的网络扁平化部署,实际上只需要相对简单的将原来存在于独立的物理设备上面的配置迁移到新的虚拟化单元上面。相对于传统网络扁平化进程中需要将两台独立的物理设备配置合并到同一台设备上面的做法,很大程度上降低了实施风险与工作量。
3.1.3 混合整合
混合整合方式是同时将相似/非相似功能的物理设备整合在一起的方式,最大限度的利用了端口资源。在实施过程中可以先将同一层次的相同功能的设备进行第一次整合,之后再通过扁平化迁移实现垂直的整合。当然,整合的密集程度也是需要考虑的问题,太密集的整合性网络同样会碰到扩展性的瓶颈问题。
3.2 VDC的特性与优势
VDC的故障遏制功能是指防止某个虚拟设备上的问题影响运行于同一个物理设备上的其他虚拟设备。当一个VDC出现故障时,并不影响其他VDC的正常运行。
VDC虚拟化技术为每个虚拟设备设立独立的管理环境对于简化各种虚拟环境的运营和管理极为重要。管理用户的层次化结构要求限制某些操作人员只能使用特定的管理环境,或者这些管理环境的子集。
VDC虚拟化技术可在不同的虚拟设备之间灵活地区分和分配软件组件的能力非常重要。在操作系统内部,软件组件通常包括多个进程或者进程例程。Cisco NX-OS可以提供模块化的软件进程,而这种模块化对于实现VDC所需要的软件组件隔离和分配极为有用。
为将硬件资源分配到特定的虚拟设备,需要灵活地区分硬件资源。遏制故障的程度在很大程度上取决于为不同虚拟设备隔离和分配硬件资源的能力。端口等资源可以专门用于某个VDC,在某个端口被分配给一个VDC之后,其他VDC就将无法使用该端口。
在部署多个逻辑设备时,物理设备所需要管理的流量会大幅增加。Cisco Nexus 7000系列交换机的分布式架构,加上VDC的硬件分配能力,可以为硬件平台带来出色的智能扩展功能,最大限度地提高现有资源的利用率。
4 广东移动网管云平台的建设与效果
4.1 广东移动网管云平台的建设方案
根据本文第2章对广东移动网管网的现状分析及优化需求,并结合虚拟设备上下文技术,对广东移动网管网进行统一优化,最终建设成广东移动网管云平台。
广东移动网管云平台的网络结构如图4。
网管云平台项目在网管省中心新增一对汇聚交换机,替换原有的传统交换机,将原有的传统交换机向下移一层,作为接入层交换机,同时新建的华景机房也使用支持虚拟化的交换机作为汇聚交换机。
4.2 省中心数据中心建设方案
省中心数据中心网络结构如图5。
本次工程项目中,省中心数据中心将增加两台Nexus7018交换机。Nexus7018交换将划分三个VDC,一个VDC作为汇聚交换机,另一个VDC做为OTV二层交换机,剩余的一个作为管理VDC。
网络结构调整如下:
(1)在新增加Nexus7018交换机后,原有传统交换机将下移变为接入层交换机。同时,服务器群的网关也相应的迁移到Nexus7018交换机。
(2)Nexus7018交换机的Agg VDC与 OTV VDC分别作为各节点服务器之间通信的汇聚(接入)交换机和处理服务器虚拟化迁移的OTV交换机。
(3)防火墙与内网的连接从传统交换机调整到Nexus7018的Agg VDC。
(4)每台OTV VDC新增一条连线到网管网PE,作为服务器虚拟化迁移使用。
华景机房数据中心建设方案
华景机房数据中心组网结构如图6。
本次工程项目中,新建的华景机房增加两台Nexus7018交换机。Nexus7018交换将划分三个VDC,一个VDC作为核心交换机,另一个VDC做为OTV二层交换机,剩余的一个作为管理VDC。
华景节点组网如下:
(1)Nexus7018交换机的Agg VDC作为服务器群的网关。
(2)Nexus7018交换机的Agg VDC与 OTV VDC分别作为各节点服务器之间通信的汇聚(接入)交换机和处理服务器虚拟化迁移的OTV交换机。
(3)每台OTV VDC需要单独一条连线到网管网PE,作为服务器虚拟化迁移使用。
广东移动网管云平台的实施效果
目前广东移动网管云平台已建设完毕,整个网管网的架构得到了优化。通过利用新一代交换机的虚拟化技术,将一台交换机虚拟成多台交换机的方式,实现业务流量的相互隔离,为广东移动的业务安全提供了保障。
同时,本期项目还应用了另外一项虚拟化技术——覆盖传输虚拟化(OTV)技术,该技术将省中心机房的汇聚交换机和华景机房的汇聚交换机进行大二层互联,达到多数据中心资源共享的目的,为服务器的虚拟化迁移提供了便利。关于OTV虚拟化技术,本文不作过多探讨。
5 结语
虚拟化技术给现代社会的IT基础设施建设带来了革命性变革,通过合理利用虚拟化技术,企业可以节省基础设施投资和维护成本,同时也给IT设施的管理带来便利。本文主要介绍了网络设备虚拟化技术,并结合广东移动网管云平台项目的成功案例重点阐述了思科Nexus7000系列交换机特有的虚拟设备上下文技术,该技术可将一台物理交换机虚拟成多台交换机,并实现物理上的相互隔离,此技术的成功应用推动了广东移动网管网的优化建设。探索如何通过虚拟化技术为企业带来更多革命性的变革是未来的重要方向。