网络虚拟化

　　SDN的一个重要应用场景是多租户云计算数据中心，不同租户之间以及同一租户不同应用如数据库和Web前端的网络需要隔离，虚拟机的创建、关闭和迁移都十分频繁，在传统网络结构下，这意味着需要频繁的对交换机进行配置，带来了高昂的运维成本。网络虚拟化指的是将逻辑网络和底层的物理网络设备解耦合，这使得网络资源可以方便地整合与扩展，如可以将不同的物理网络合并为一个虚拟网络，也可以把一个物理网络划分成多个相互隔离的虚拟网络。总之，网络虚拟化可以帮助构建一个多租户、可扩展、动态的网络环境。

　　常见的网络虚拟化技术主要包括，二层VLAN、三层白名单以及网络重叠（Overlay）技术，如VXLAN、NVGRE、STT等。

　　VLAN是网络虚拟化最早期的技术。在计算机网络中，一个二层网络可以被划分为多个不同的广播域，这些广播域是相互隔离的，每个广播域就是一个VLAN。根据802.1q协议，在一个网络中，VLAN的最大数目是4094。而云计算数据中心里的虚拟子网数量已经远远大于4000，VLAN不能满足需求。

　　三层白名单技术，利用类似防火墙的机制来实现虚拟网络间的隔离。虚拟机发送的数据包要经过检验，如果源、目的地址组成的条目在白名单中才允许虚拟机之间的通信。然而，利用白名单方式实现的网络虚拟化不允许用户地址空间重叠，而且当虚拟机数量增大时，白名单的规模会快速增长。

　　为了解决白名单方案地址不能重叠和VLAN可扩展性不足的问题，现在工业界主要采用Overlay技术来实现网络虚拟化。

　　VXLAN（Virtual eXtensible LAN）采用封装技术，把二层以太网帧封装到UDP包中。每一个VXLAN划分是通过24bits的VXLAN Network Identifier（VNI）来标识的。VXLAN通过组播来实现地址学习，这不仅要求物理设备支持组播，还需要在核心交换机处维护大量的组播状态，导致VXLAN的可扩展性受到影响。为了解决这一问题，NVGRE和STT都使用了SDN的架构，利用控制平面来进行地址学习。

　　NVGRE（Network Virtualization using Generic Routing Encapsulation）使用通用路由封装来创建独立的虚拟二层网络。NVGRE与VXLAN不同的是地址学习是通过控制平面实现的，但是，目前NVGRE还没有地址学习的具体方案。NVGRE相对VXLAN在负载均衡方面有天生的缺陷。对于传统的三层网路设备，基本都可以实现基于四层端口的负载均衡，但是却无法实现基于GREkey实现负载均衡。此外，由于建立的是端到端的隧道，因此隧道的数量随终端数量增加以平方速率上升，导致维持隧道的开销增大。

　　STT（Stateless Transport Tunneling）和VXLAN及NVGRE使用了类似的封装技术，区别是把数据帧先进行分割再封装，充分利用了网卡的硬件加速功能来提升效率。STT同样还没有利用SDN控制平面进行地址学习的具体方案。另外，由于STT技术将原STT包伪装成了TCP/IP包，而在TCP包头中又没有维护TCPstate信息，如果IP包在传输过程中发生了丢包，STT终端不会进行重传，这使得建立的隧道是不可靠通信信道。

　　我们设计了基于SDN架构的网络虚拟化Overlay方案，以期实现高效率、可扩展、大规模的网络虚拟化。主要设计原理是利用SDN对网络物理设备可控制的优势，引入网络分区（Zone）的逻辑概念，在同一个Zone中使用某种已有的基本Overlay技术，在Zone与Zone的边界通过控制平面的统一控制实现不同Overlay标签的转换，完成跨Zone交互。

　　这种基于SDN架构的多区域网络虚拟化术有以下优点：

　　1．可扩展性。虽然每一个Zone内部使用已有的Overlay技术可能存在规模问题，Zone的个数是可以横向扩展的，为此这个技术的理论虚拟网络个数没有上限。

　　2．相比已有技术，当网络数量急剧上升时，额外开销较小。通过合理的控制Zone的大小可以控制Zone内部的交互开销。同样通过划分Zone，数据中心中Zone的个数远小于服务器个数，Zone之间交互的开销将远小于原本服务器之间交互的开销。并且通过SDN控制平面对全局拓扑的了解，可以计算得到最佳的跨Zone的交互路径，保证最小化额外开销。

　　3．兼容多种已有网络技术。此技术并不要求不同Zone之间使用相同Overlay技术，通过SDN控制平面，只要在Zone之间的交换设备上下发流表做不同Overlay标签的转换即可。一个数据中心中网络设备量很大，很可能并不是同一批次购入，此兼容性优点在实际环境中有着很大意义。

　　要实现此Overlay技术还存在以下技术难点需要克服：1.能兼容多种Overlay技术的SDN控制器。现在已有的SDN控制器，对Overlay技术的支持有限；2.对Zone数据结构的建立与实现。作为新的逻辑单位，需要设计与实现Zone的数据结构，实现设计中所预期的功能。并且需要研究Zone的大小，因为Zone大小与额外开销上有权衡；3.控制器对Zone边界的转发设备的控制。在不同Overlay技术中，他们分别有不同的标签来实现网络隔离，此设计方案中需要通过SDN控制平面控制边界交换设备实现标签转换。

　　我们正在Floodlight开源控制器基础上做扩展，以实现多区域网络虚拟化。