虚拟交换设备(精选7篇)
虚拟交换设备 篇1
0 引言
虚拟化技术已经改变了我们的计算方式,例如,许多数据中心完全虚拟化用以提供快速配置,基于虚拟化的云计算可以更好的利用资源。通过虚拟化可以对包括基础计算机设施、计算机系统和软件等资源进行统一管理和抽象,以此来提供弹性可扩展的云服务[1]。
随着虚拟化技术的发展,一个新的网络接入层被引入用以建立虚拟机内部的网络连接,提供许多与物理层相同的功能。服务器虚拟化技术目前发展已经相对成熟,而虚拟化在网络方面的进展才刚刚开始。特别是服务器虚拟化对网络的可移动性,弹性扩展以及网络隔离的要求远远超出了目前物理网络的处理能力[2]。
数据中心可以负载成百上千的虚拟机,因此多租户之间的网络隔离要求变的愈加重要。
网络虚拟化还提供一些附加功能,使网络管理更容易。例如,在虚拟化环境中,虚拟化层可以提供有关虚拟主机动态迁移的相关信息。
本文的其余部分安排如下:第一节描述了虚拟机内部的网络结构;第二节描述了实际物理网络与虚拟网络环境的不同之处;第三节介绍软件实现的虚拟交换层设计;第四节是虚拟交换机的主要应用场景。
1 基于流的虚拟交换技术
基于流的网络交换技术提供了一个有效的网络交换方案[3],采取用软件定义网络的方式,使得用户可以忽略底层硬件的具体情况,直接对流量进行管理并设置数据报文以何种方式通过网络。
用软件来统一管理物理设备,借鉴网络TCP/IP协议的数据链路层桥接原理和网络层协议的设计思想,利用软件实现和硬件实现结合的方式对现有的网络结构予以重新定义,在系统上实现一个虚拟的交换层,除了具有高效的传输能力还可以为云基础网络提供智能的监控服务。
用软件实现的方式具有强壮的伸缩性,灵活性和移动性,方便系统扩展。
2 流分组交换的层次结构
流分组交换分为两层,物理设备虚拟化和网络协议层虚拟化。
2.1 物理设备虚拟化
物理设备虚拟化是指利用软件来对网卡设备进行抽象,使用用户层软件对物理网卡实现逻辑划分,划分后的设备既可以实施流量控制和负载均衡策略又能高效的利用设备资源,虚拟化后的网卡设备具有和物理网卡一样的功能,硬件实现的资源划分不易动态扩展,软件虚拟以后可以按照需求动态进行资源划分。
通过虚拟技术将一台或多台独占物理设备虚拟成至少一台逻辑设备,供多个用户进程同时使用,通常把这种经过虚拟的设备称为虚拟设备.虚拟设备一定和实际的物理设备绑定才可以使用。
2.1.1 虚拟设备模型
虚拟设备是建立在一个或者多个真实设备之上的抽象。合理使用虚拟设备可以在一个物理设备上构建多个逻辑上的虚拟设备,通过软件的配置,这些虚拟设备可以实现硬件所具有的功能。虚拟设备和真实设备可能的模型有如下几种,实际上应用可根据需求选择其中几种模式。
虚拟设备的建立和管理需要统一的虚拟软件的支持。在虚拟软件的控制下,物理设备可以根据上层需求灵活高效的配置组织出虚拟设备。这可以极大的提高硬件设备的利用率,在规模上可以化大为小又可以积少成多。
2.1.2 虚拟设备的管理
虚拟设备管理分为两个部分:
用户态虚拟平台管理,可以用来配置和查看设备的状态,用户可以在用户空间查看和修改虚拟设备的属性文件。
通过内核模块编程管理,由内核直接管理,主要负责物理设备运行和数据通信。
2.2 网络协议层虚拟化
利用软件抽象的灵活性重新定义数据链路层和网络层结构,引入一个虚拟管理层来实现数据链路层和网络层,把传统定义的OSI七层协议的网络层和物理链路层压缩为虚拟网络层。
这样就可以把数据链路层和网络层的数据整合成一个数据流,扁平化了网络结构。每个经过虚拟网络层的数据报文均被重新标记。这个数据报文既包含了链路层信息又包含了网络层信息,基本可以对每个数据报文按照逻辑链路准确分类。
网络中的数据报文就可以组织成一个一个的数据流,组织成数据流的好处在于用户可以根据需要对每个数据流进行属性定义,比如Qo S策略定制,数据报文的检测和隔离,网络负载均衡等等。
报文基于流分类,就不再需要在物理链路层运行生成树协议,减少了数据报文的转发延迟,降低了网络的流量负载。
3 流分组交换
应用基于流分组交换技术对已有的网络协议不用改动,所有的交换工作都在内核协议栈部分完成,大大增加数据交换效率,但是需要在内核协议栈数据结构上添加一些关于数据流控制相关信息用以标识当前处理的数据报文属于哪个数据流。
经过标记后的逻辑数据报文头部结构如下,逻辑报文的生存时间TTL是为了防止逻辑报文在网络中过久滞留而导致网络队列太长而溢出,同时也能保证数据帧不会在成环的链路中被无限次转发,这是实现两点之间多路径转发的基础。
虚拟机的虚拟网卡对每个发出的数据报文的控制信息进行标记,与之相连的交换节点接收到数据包后,会根据全局控制器的数据建立一张虚拟连接表,交换节点根据数据报文的控制信息查找虚拟表然后将数据报文转发到目的端口完成一次数据报文交换。
每条虚拟连接可以包含多个虚拟端口,这些虚拟端口被划分为一个逻辑组。有了这个逻辑组可以进行更复杂的交换功能,例如多路径转发,快速路由,链路集成,负载均衡,流量整形,例如图x所示,每个数据流会根据流量使用多个端口,以加快数据报文的转发,多个虚拟连接的数据流可以转发到具有同样操作需求的端口。
基于流的分组交换可以在虚拟机内部网络通信时设定较大的MTU数据包来提高数据报文的转发效率,因为在内核协议栈可以避免IP分组和重装的过程,降低了数据报文的转发延时。
对于每个虚拟端口和虚拟连接,可以自由配置匹配规则用以对数据报文进行匹配和过滤。比如某个端口限制IP地址为10.0.0.*的数据包发送,如果接收到类似的数据包,就抛弃掉。
流分组交换需要维护一张虚拟连接表,每个表项唯一标识了一条数据流、应用在经过该数据流的报文需要执行的操作和该数据流的统计信息。
虚拟连接表表项组成
匹配规则
这个域可以唯一的确定一条数据流,里面包含数据报文的物理地址,IP地址,虚拟局域网ID等等。
虚拟连接计数器
该域定义了一组计数器,用来统计该虚拟连接接收和发送数据包总数,连接的端口总数等等。
虚拟连接规定执行的操作
这个域定义了数据报文经过该虚拟连接时需要执行的操作,例如,匹配规则的修改,数据报文转发,数据报文丢弃等等,用户可以自定义。
3.1 流分组交换控制
流分组交换可以实现的重要前提就是流分组交换控制器。流分组交换控制器负责建立和移除虚拟连接表,虚拟连接表的规则设置,物理虚拟设备的参数配置,数据统计信息获取,Qo S设置,虚拟防火墙配置,VLAN划分等等。
流分组交换控制器负责监控所有的虚拟连接表,这样虚拟机内部网络的流量状况就可以全方位的被监测,凭借以前的物理设备这是做不到的。
基于流交换的数据报文若不与外界通信,则数据报文就可以不用经过物理网卡而直接在内存中进行交换,这个机制也非常大的提高了交换的性能,提高了报文的转发速度。
传统的数据链路层需要运行生成树协议来去除回环通路,MAC地址学习也占用了数目可观的网络流量,现在可以用控制器来为所有的虚拟设备维护一个全局的转发路径,这就省去了生成树协议造成的数据帧转发的延迟以及增加的额外网络流量。
流交换分组控制器要根据配置文件生成虚拟连接表,创建或者移除虚拟连接,维护虚拟端口和虚拟连接的存储队列,为虚拟连接和虚拟端口配置数据报文处理规则。
3.2 流分组控制协议
流分组交换控制器通过Netlink套接字和内核进程通信通信,也是网络应用程序与内核通信的最常用的接口。Netlink是一种异步通信机制,在内核与用户态应用之间传递的消息保存在socket缓存队列中,发送消息只是把消息保存在接收者的socket的接收队列,而不需要等待接收者收到消息。
流分组交换控制器和流分组交换模块之间通过Netlink建立一个普通的TCP连接,是一种基于进程间通信机制。流交换控制器和交换模块之间信息交换采用自定义的一套协议。
协议头结构:
控制信息事务ID用以标识同一对流分组交换控制器和流交换模块之间的配置过程,例如本次A发送给B的控制信息,B必须要用同一个事务ID来回复A的请求,以区分A发送给B的另外的控制信息。
控制信息类型:
控制信息大致分为下列几种:
配置信息主要是通知流分组交换模块端口配置数据,端口队列配置数据等等。流分组交换控制器通过控制协议获取各个交换模块和内置的虚拟端口信息,可以对虚拟连接表进行全局性操作,又可以高效的检测网络的状态,未来的工作还会实现根据网络监控结果自动化的调节各个交换节点的配置信息。
4 结论
利用虚拟网络设备的特性以及软件抽象的灵活,构建虚拟交换机来实现可扩展的数据链路层。虚拟化技术在一般的网络基础设施本身方面还有很多工作要做。旨在获得虚拟化的优势,如隔离性,灵活性和流动性。可实现弹性、安全、自适应以及易管理的云计算基础网络。
摘要:网络虚拟化为共享在同一主机上的多个虚拟机创造了一个新的网络接入层。传统模式网络部署方式已经不能满足虚拟化部署环境对网络的要求。这个新的虚拟网络接入层合理的隔离了系统软件和实际的物理设备,虚拟网络接入层还提供了物理网络层不具有的优势,例如灵活的软件配置,弹性的功能扩展。设计虚拟网络交换机,通过采用虚拟设备引入一个软件抽象层,该抽象层将流量从物理网络元素中分离出来。通过这些虚拟设备可以合理动态的管理虚拟化网络资源,有效的整合这些虚拟网络元素。介绍虚拟交换机是如何设计的,可以用来解决虚拟环境中虚拟机跨子网的流动性和虚拟主机之间流量的逻辑隔离等问题。
关键词:计算机应用技术,网络虚拟化,虚拟交换机
参考文献
[1]《虚拟化与云计算》小组.虚拟化与云计算[J].北京:电子工业出版社,2009
[2]吴朱华.云计算核心技术剖析[J].北京:人民邮电出版社,2011-5
[3]卞佳丽.现代交换原理与通信网技术[J].北京:北京邮电大学出版社,2005-5
虚拟化条件下边缘虚拟交换的研究 篇2
1 虚拟化技术简介
虚拟化技术是一项实现计算资源彼此隔离的技术, 也就是把物理资源转变为逻辑上可以管理的资源, 摆脱物理结构的限制。通过该技术可以在一个硬件平台上虚拟出若干个虚拟平台, 并使计算元件在虚拟的平台上而不是真实的物理平台上运行, 通过从物理硬件上隔离逻辑操作, 虚拟化环境平台提供了更好的操作灵活性和方便的系统修改能力。
系统虚拟化是被最广泛接受和认识的一种虚拟化技术。系统虚拟化实现了操作系统与物理计算机的分离, 使得在一台物理计算机上可以同时安装和运行一个或多个虚拟的操作系统。在操作系统内部的应用程序看来, 与使用直接安装在物理计算机上的操作系统没有显著差异。
如上图所示, 3个虚拟机同时运作在虚拟化平台Hypervisor上, 共同使用物理服务器Physical Server的硬件资源。
2 虚拟化数据交换主要技术及特点
2.1 vSwitch虚拟交换机技术
vSwitch作为最早出现的一种的网络虚拟化技术, 已经在Linux Bridge、VMWare vSwitch等软件产品中实现。所谓的vSwitch, 就是VEB技术, 即将虚拟网桥完全在服务器 (终端) 硬件上实现, 不涉及外部交换机的协作。
该技术最大的优点就是流量完全在服务器上进行传递, 能够享受到最大的带宽和最小的延迟。
如图3所示, VEB和VEPA被看成了网络虚拟化的两个方向。VEB朝的是低延迟, 流量在服务器内平行流动, 因此称为东西流策略;VEPA朝的是多功能方向, 流量需要在服务器和交换机之间传递, 因此称为南北流策略。
2.2 SR-IOV技术
由于仅靠软件来实现虚拟网桥会影响到服务器的硬件性能, 因此出现了单一源I/O虚拟化 (SR-IOV) 技术, 也就是将vSwitch技术在网卡NIC上实现, 如图4所示
VEB直接嵌入在物理NIC中, 负责虚拟NIC之间的报文转发, 也负责将虚拟NIC发送的报文通过VEB上链口发到邻接桥上。
对比于虚拟机上通过软件实现交换, 由硬件NIC实现交换可以提高I/O性能, 减轻了由于软件模拟交换机而给服务器CPU带来的负担, 而且由于是NIC硬件来实现报文传输, 提高了虚拟机和外部网络的交互性能。
尽管如此, SR-IOV技术也存在不足, 比如缺乏管理可扩展性、网络流量流的管理可见性, 还可能因为地址表容量不足导致泛洪的增加。
3 一种解决方案及优势
之前虚拟集群均采用“软”的方式来实现数据交换, 现在可采用一种“硬”交换机的思路, 将虚拟机的交换能力回归到交换机, 安全性能有保证, 特性丰富, 管理界面清晰。
根据IEEE802.1工作组提出的技术, 指定了一种Edge Virtual Bridging (EVB) 标准 (IEEE 802.1Qbg) , 主要是通过支持端口映射的S-VLAN组件, 该标准基于一个名为Virtual Ethernet Port Aggregator (VEPA) 的技术。通过VEPA, 来自于VM的所有流量都会被转发到邻近的物理接入交换机, 或者当目标VM也位于同一个服务器时被转回到相同的物理服务器。
左边是虚拟机部分, 深绿色粗线标识VM Edge (虚拟机边缘) , VM中各个虚拟网卡virtual Network Interface Controller (VNIC) 都以虚拟接口在图中标识, 即深绿粗线上的各个白色接口。虚拟网卡需要通过hypervisor和物理网络接口关联起来, 这就涉及到下面所说的VEB和VEPA。
VEB指的是Virtual Ethernet Bridges (虚拟以太网网桥) , 该网桥上也有虚拟端口 (VLAN Bridge Ports) , 虚拟网卡对应的接口就是和网桥上的虚拟端口连接, 这个连接称为VSI (Virtual Station Interface, 虚拟终端接口) 。VEB实际上就是一个常规的以太网网桥, 可以等同于视作前面提到的vSwitch技术。一般来说, VEB用于在虚拟网卡之间进行本地转发, 即负责不同虚拟网卡间报文的转发。注意, VEB不需要通过探听 (Snooping) 网络流量来获知MAC地址, 因为它通过诸如访问虚拟机的配置文件等手段来获知虚拟机的MAC地址。此外, VEB也负责虚拟网卡和外部交换机之间的报文传输, 但不负责外部交换机本身的报文传输, 如图7所示, 1表示虚拟网卡和邻接交换机通讯, 2表示虚拟网卡之间通讯, 3表示VEB不支持交换机本身的互相通讯。VEB不支持STP协议, 这是因为像以VMware为代表的虚拟机架构强调一层的网络架构, 也就是说, 一个主机上的所有的Virtual Switch是无法直接沟通的, 如果需要沟通的话, 那就需要通过物理的交换机, 也就是主机本身的网络架构就是平的, 所以主机上的交换机就没有使用生成树协议的需要。因此, Hypervisor需要保证其内部的VEB连接不存在环路。对于互相之间需要通过直连来获取高转发性能、低延迟的虚拟机, 建议将它们连接在VEB上。
VEPA指的是将虚拟机上若干个VSI口汇聚起来, 交换机发向各个VSI的报文首先到达VEPA, 再有VEPA负责朝某个VSI转发。另外一方面, VSI所生成的报文不通过VEB进行转发, 而是统统汇聚在一起通过物理链路发送到交换机, 由交换机来完成转发, 交换机将报文送回虚拟机或将报文转发到外网。这样既可以利用交换机实现更多的功能 (如安全策略、流量监控统计) , 又可以减轻虚拟机上的转发负担。VEPA在整个EVB视图中所处位置如上所示, 图8中VEPA负责汇聚3个VSI的流量, 再转发到邻接桥上。VEPA只支持虚拟网卡和邻接交换机之间的报文传输, 不支持虚拟网卡之间报文传输, 也不支持邻接交换机本身的报文传输。对于需要获取流量监控、防火墙或其他连接桥上的服务的虚拟机可以考虑连接到VEPA上。
4 结束语
虚拟交换设备 篇3
随着信息技术的不断发展,神华国华徐州发电有限公司(以下简称:国华徐电)信息化与数字化取得了长足的进步,并逐渐成为生产经营管理活动的核心,对计算机网络系统的传输速度、可靠性、安全性及不间断性也提出了更高的要求。
公司信息网络建设始于1993年,核心网络经过多次改造,目前采用主干1 000 M,100 M到桌面的高速以太网结构,网络拓扑如图1所示。2台Cisco 6509作为核心交换机,配置单Sup-720引擎,总体交换能力720 G,且2台核心交换机配置板卡不一致。43台服务器均直连核心交换机,另有各类交换设备100余台(百兆上联)、路由器4台、防火墙3台、光缆100余条,网络覆盖公司所有二级机构和班组。目前国华徐电的网络核心区域存在以下问题:
1)核心交换机720 G的网络交换能力已远远不能满足快速增加的信息管理系统的要求,且难以支撑庞大的网络体系;
2)核心设备无法实现完善的双机热备机制,无法保障核心网络的可靠性、安全性;
3)系统服务器无法与局域网实现有效的隔离,局域网如爆发病毒将直接影响服务器正常运行,造成全网信息系统瘫痪,严重影响生产经营管理秩序。
为了解决以上问题,亟需进行核心网络改造,建设“安全、先进、高效、高带宽”的骨干网通信平台,以满足电厂生产经营管理实际需要。
1 网络交换技术选型
在传统的网络系统建设中,为了保证网络系统的可靠性,通常在核心层设计冗余链路并部署相应的冗余设备,为避免环路,须配置多业务传送平台(Multi-Service Transfer Platform,MSTP)协议。实际应用中往往由于设备故障或链路中断等原因,可能导致MSTP拓扑震荡,而MSTP的收敛时间较长,影响网络正常运行。同时,为了消除环路,需要阻塞一些链路,从而造成网络资源浪费。对于采用虚拟路由器冗余协议(Virtual Router Redundancy Protocol,VRRP)协议的冗余备份,当状态为Master的交换机发生故障时,恢复时间较长,同时存在网络结构复杂、管理困难等问题。
近年来随着网络稳定性和设备可靠性要求的不断提高,一些厂家在传统堆叠技术和分布交换技术的基础上,提出了针对高端设备应用的虚拟交换技术。目前业界最具代表性的当属Cisco的虚拟交换系统(Virtual Switching System,VSS)技术和H3C的智能弹性架构技术。2种技术虽然在实现细节上各有不同,但其基本原理都是将2台或多台物理交换机(也称为成员交换机)通过虚拟交换链路(Virtual Switch Link,VSL)连接起来组成一台虚拟交换机(Virtual Switch,VS)(见图2)。虚拟交换链路是一条用来在2台成员交换机之间传输控制报文的特殊链路[1],VLS除传输跨机箱的数据报文外,还要传输控制报文和各种管理报文。
相对于传统的二层生成树和三层VRRP技术,采用虚拟交换技术能够优化网络不间断通信、成倍扩展系统带宽、简化网络结构、提高运营效率等[2],VSS使用简化的网络架构可以增强原多层交换架构,不必从根本上对架构进行改动,方便实施。综合考虑技术、实施、投入等多种因素,最终选择了Cisco公司的VSS技术。
2 核心网络改造技术方案
网络的拓扑设计采用三级架构,分别为核心层、汇聚层和接入层,核心层位于综合楼信息中心机房,负责全网的路由交换,并与4台承载43个虚拟服务的物理机万兆连接,以最大限度利用高性能服务器资源;汇聚层配置8台WS-C3560E-12SD-S交换机,分别部署于信息中心机房、大酒店、1 000 MW集控和1 000 MW燃料楼,均采用两路千兆上联至核心,实现千兆骨干网络架构;接入层分布于各生产管理办公楼,负责直接接入桌面系统,生产楼网络机房和华苏酒店网络机房各放置一台服务器用汇聚交换机,分别使用千兆和2台交换机连接,提供一个高速稳定的服务器接入环境。改造后的网络拓扑如图3所示。
原用2台Cisco 6509(以下分别称为65-1和65-2)配置新型的VS-S720-10G-3C引擎和WS-X6724-SFP千兆接口模块,分别放在生产楼网络机房和华苏酒店网络机房(相距200 m),通过X2-10GB-LR光模块和两对万兆光纤链接,采用负载均衡、VSS等技术,在虚拟交换机成员间采用万兆以太网连接(使用Ether Channel),构建交换能力为1 440 Gbps的VSS1440虚拟交换系统[3]。其中CISCO 6509具有9个业务扩展插槽,方便网络扩展;1.44 T的交换容量、超过800 MPPS的包转发率,可以实现数据包的限速转发;VSS通过主管理单元集中管理全部网络和硬件资源,简化了设备的配置与部署;建立了基于MEC(多机箱以太通道)无环路的拓扑结构[4],实现了核心层最高可靠性。
3 主干网设备配置[5]
3.1 核心交换机VSS配置(65-1为 Active)
1)Switch-1配置如下。
分配虚拟交换域名(Virtual Switch Domain)和交换号码(Switch Number):
Switch-1(confgi)#switch virtual domain 100
Switch-1(config-vs-domain)#switch 1Switch-1(config-vs-domain)#switch 1priority 200
配置VSL Port Channel和Ports:Switch-1(config)#interface portchannel 100
Switch-1(config-if)#switch virtual link 1
配置VSL port:
Switch-1(config)#interface range ten Gigabit Ethernet 5/4-5Switch-1(config-if)#channelgroup 100 mode on
转换Chassis到虚拟交换模式:Switch-1#switch convert mode virtual
2)Switch-2配置如下。
分配虚拟交换域名(Virtual Switch Domain)和交换号码(Switch Number):
Switch-2(confgi)#switch virtual domain 100
Switch-2(config-vs-domain)#switch 2Switch-2(config-vs-domain)#switch 2priority 100
配置VSL Port Channel和Ports:Switch-2(config)#interface portchannel 101Switch-2(config-if)#switch virtual link 2
配置VSL port:
Switch-2(config)#interface range ten Gigabit Ethernet 5/4-5Switch-2(config-if)#channel-group101 mode on
转换Chassis到虚拟交换模式:Switch-2#switch convert mode virtual
3.2 启用VSS后核心交换机配置
1)创建一个channel,设置trunk模式。
XZ_Core_Switch(config)#interface Port-channel11
XZ_Core_Switch(config-if)#description Core-Switch To1000MW_Ji Kong_Hui Ju
XZ_Core_Switch(config-if)#switchport
XZ_Core_Switch(config-if)#switchport trunk encapsulation dot1q XZ_Core_Switch(config-if)#switchport mode trunk
2)把端口添加到channel。
XZ_Core_Switch(config)#interface gigabit Ethernet 1/7/2
XZ_Core_Switch(config-if)#switchport XZ_Core_Switch(config-if)#switchport trunk encapsulation dot1q XZ_Core_Switch(config-if)#switchport mode trunk
XZ_Core_Switch(config-if)#channel-group 11 mode on
3)新建VLAN。
XZ_Core_Switch(config)#inter vlan 12
XZ_Core_Switch(config-if)#ip add172.21.29.10 255.255.255.0
XZ_Core_Switch(config-if)#no shutdown
XZ_Core_Switch(config-if)#exit XZ_Core_Switch(config)#vlan 16XZ_Core_Switch(config-vlan)#na XZ_Core_Switch(config-vlan)#name xzdxc
3.3 Cisco 3560汇聚配置
1)创建port-channel接口。
1000MW_Ji Kong_Hui Ju(config)#interface port-channel 1
1000MW_Ji Kong_Hui Ju(configif)#description Jik Kong Hui Ju TOHe Xin
1000MW_Ji Kong_Hui Ju(config-if)#switchport trunk encapsulation dot1q1000MW_Ji Kong_Hui Ju(configif)#switchport mode trunk
2)设置上联端口,并把端口加入port-channel。
1000MW_Ji Kong_Hui Ju(config)#interface range gigabit Ethernet 0/11-121000MW_Ji Kong_Hui Ju(config-ifrange)#switch trunk encapsulation dot1q
1000MW_Ji Kong_Hui Ju(config-ifrange)#switchport mode trunk1000MW_Ji Kong_Hui Ju(config-ifrange)#channel-group 1 mode on
3)设置下联端口。
1000MW_Ji Kong_Hui Ju(config)#interface range gigabit Ethernet 0/1-101000MW_Ji Kong_Hui Ju(config)#interface range gigabit Ethernet 0/1-101000MW_Ji Kong_Hui Ju(config-ifrange)#switchport trunk encapsulation dot1q
1000MW_Ji Kong_Hui Ju(config-if range)#switchport mode trunk
4 VSS网络系统测试
4.1 手工命令故障切换
1)在Active交换机65-1上输入命令手工执行故障切换。
switch-1#redundancy forceswitchover
在Active交换机65-1执行故障切换之后,查看工作在Standby的对端交换机65-2状态已接替了Active的角色。
2)查看2台核心交换机当前的工作模式。
switch-1#show switch virtual
3)查看当前交换机的VSS角色。
switch-1#show switch virtual role
2)、3)结果均显示当前交换机的号码为2,即为交换机65-2,并且目前交换机65-2的角色为Active,即具有控制权限的主交换机,而交换机65-1目前角色为Standby。
4)查看当前交换机的VSL链路状态。
switch-1#show switch virtual link
结果显示VSL链路恢复正常。
5)查看交换机当前的单点登录(Single Sign On,SSO)状态。switch-1#show redundancy states
结果显示本地交换机当前的SSO状态为Active,而对端为Standby hot,表明工作正常。
4.2 关闭电源故障切换
目前核心交换机65-2为VSS的Active交换机,而65-1工作在Standby状态,关闭核心交换机65-2的电源来做故障切换测试。连接目前工作在Standby状态的交换机65-1,并观察关闭Active交换机65-2的电源之后,65-1的状态变化正常,成功切换至65-1。
开交换机65-2电源,65-1上出现接口开启日志信息,查看核心交换机状态,65-1仍为Active,未造成任何影响,65-2交换机始终保持在Standby,虽然其SSO状态经过了Standby cold、Standby cold-config、Standby cold-filesys、Standby cold-bulk等多个状态,最后还是工作在了Standby hot。
4.3 VSL链路中断故障切换
VSL链路“DOWN”后查看2核心交换机状态为Dual Active,即2台交换机均变回配置VSS之前的原本单击Active状态(Standalone),任何交换机都可以独立工作并且独立配置。查看交换机Ether Channel状态命令如下:
switch-1#show etherchannel summary
结果显示Ether Channel中断,恢复交换机之间VSL链路,65-1仍保持在Active状态,65-2自动重启后工作在Standby状态,Ether Channel恢复正常
4.4 2台交换机同时开机VSS状态测试
2台交换机同时开机后,65-1正常进入enable模式,VSL状态正常,VSS优先级高的65-1进入Active角色,65-2工作在Standby。
5 结语
本文针对徐州发电有限公司网络系统存在的诸多问题,提出了基于虚拟交换技术的厂级核心网络改造技术方案,给出了详细实施与配置方法,并通过多途径故障测试,验证了改造后主干网的连续性及实用性。改造后的网络传输性能明显提高,系统的整体架构也更加安全可靠、更加合理,主要表现在以下几个方面:资源调度更加快捷,设备管理更加简便;核心层的故障恢复率和不间断通信能力得到大幅提高;整体核心交换能力获得了成倍的扩展。由于在核心与汇聚两级节点均采用了全双工和双链路的模式,有效避免了骨干网络的单点故障,最终形成了“简单、实用、安全、可靠、可扩展”的核心网络系统,达到了项目预期效果。
摘要:针对徐州发电有限公司网络系统建设实际情况,提出基于虚拟交换技术的厂级核心网络改造技术方案,给出了详细实施与配置方法,并通过多途径故障测试,验证了改造后主干网的连续性及实用性,达到了简化网络结构,有效提高其安全性、稳定性、可靠性和可扩展性的目的。
关键词:VSS,核心网络,Cisco 6509
参考文献
[1]路莹.构建基于三层交换技术的图书馆VLAN网络[J].中华医学图书情报杂志,2008,17(1):56-58.
[2]Cisco and VMware.Cisco Nexus1000V Itergration with VMware vCloud Director[Z].2011.
[3]Cisco.Cisco Catalyst6500Series Virtual Switching System(VSS)1440[Z].2009.
[4]刘谦.基于虚拟交换技术的大型医院园区网的建设[J].中国医疗器械信息,2011(12):1-4.LIU Qian.To Construct a Campus Network which based on Virtual Switching Technology for a Large Hospital[J].China Medical Device Information,2011(12):1-4.
OBS网络中的虚拟突发交换技术 篇4
关键词:光突发交换,虚拟突发交换,虚拟突发分组,汇聚算法,数据信道调度算法
0 引言
光突发交换(OBS)技术的一个主要特点是实现了控制信息和数据信息的分离。它采用一个大的数据突发对应一个控制分组,控制分组提前为数据突发预留资源的一种基本模式,以避开目前光缓冲器不成熟的缺点,缩短处理时延,提高交换速度。在这种模式下,传输控制分组(BHP)可以实现精确控制,光路资源也可以准确预留;但随着网络复杂性的提高,突发数据在预留时发生冲突的可能性越来越大,网络性能反而下降[1]。因此有很多方案都围绕如何更有效的处理OBS分组展开研究[2-5],如核心节点的数据信道调度算法,边缘节点调整偏置时间,核心节点数据组调度等,不过都没有突破单个突发数据交换这种模式。
文献[6]提出了在发生资源预留冲突时对数据突发分段的方法,但并没有提出分段之后相应各段的处理办法,且对光信号进行分割和延迟,增加了光节点的复杂度。千兆以太网的IEEE802.12标准中有一种突发模式,节点每次可以发送多个包以提高传输效率。基于冲突时对突发数据分解的思路,并借鉴千兆以太网中的突发模式,多个小的突发分组组成一个大的虚拟突发,在出现链路资源预留冲突的时候,对小突发采用一定策略分开调度,而不是分段切割或是延迟,称为虚拟突发交换(Optical Virtual Burst Switching)。与传统的OBS交换方式相比,OVBS增加了突发分组调度的灵活性,可以提高链路利用率从而改善网络性能。
1 虚拟突发交换的OBS分组的格式及定义
OVBS的基本交换数据单元,包括控制分组BHP、虚拟突发分组和实体突发分组。一个BHP所对应的虚拟突发中包含的实体突发分组数目是根据网络状况决定的,而实体突发的大小也不全是相同的。这个虚拟突发的基本思想是减小单个突发分组大小,由几个去往同一目的地的实体突发分组组成一个逻辑突发,也称为虚拟突发,这个虚拟突发由一个控制分组控制。在核心节点中,这个虚拟突发将重新进行动态的分解和组合。
虚拟突发交换技术的边缘路由器由入节点和出节点组成,入节点负责虚拟突发的汇聚、突发控制分组的生成以及分组的电/光转换;出节点负责突发分组的光/电转换和虚拟突发的解汇聚。核心路由器负责BHP分组的处理以及数据信道资源的预留。当数据突发的资源预留出现竞争的时候,并不马上丢弃控制分组,而是将虚拟突发自动分解成多个实体突发分组,分别对实体突发分组进行资源预留。图1为虚拟突发控制分组BHP的编码格式。一个虚拟突发BHP除去前后的保护时间,可以分为两个部分,头部和实体突发BHP。需要说明的是,负载类型为0时表示虚拟突发中所有的实体突发是在一起传输,而负载类型为1时表示虚拟突发中的实体突发不全在同一条波长中传输。
2 虚拟突发交换算法
虚拟突发交换是在OBS机制基础上进行的扩展,在汇聚和调度机制上与OBS机制不同。汇聚时考虑到组装成实体突发后,再根据一定的组装算法把实体突发汇聚成虚拟突发数据。核心节点处进行调度时,实体突发可以自由分开和组合,大大提高了调度的灵活性。重调度和延迟调度技术也得到了很好的应用。
2.1 基于服务类别的虚拟突发汇聚算法
现有的突发汇聚算法都是在汇聚时间和突发分组大小上调整,以实现对网络流量的控制和服务的支持;但这些算法所产生的突发分组都可能因为容量过大发生拥塞而导致大量IP层数据丢失。在此本文提出基于服务类别进行虚拟汇聚,既能处理对延时和抖动要求严格的数据,同时也可处理普通数据流。另外,还可以根据实际流量到达边缘节点的速率对实体突发大小进行自适应调整。下文详细给出虚拟突发的汇聚算法。
(1)当长度为pk_size的分组到达入节点时,根据其类型进入相应队列进行突发汇聚。每一个队列的第一个分组进入时,当前装配的实体突发分组的计时器Tmember和当前装配的虚拟突发分组的计时器Tvirtuald开始计时,同时对实体突发和所属虚拟突发大小进行监控,当前的实体突发大小Smenber和虚拟突发大小Svirtual同时增加n。
(2)当实体突发计时器Tmember大于或等于实体突发分组的最大汇聚时间T,或当实体突发的大小Smember大于或等于实体突发的最大值Max时,一个实体突发汇聚结束,实体突发计时器Tmember和大小计数器Smember置零,等待下一个实体突发的第一个分组到达时触发。
(3)一个实体突发汇聚结束后,如果这个实体突发所属的虚拟突发的计时器Tvirtual或大小计数器Svirtual还没有达到极限值,则继续生成下一个实体突发。直到虚拟突发大小计数器Svirtual大于或等于Maxi(Max1、Max2、Max3分别为三种不同优先级业务流的最大虚拟突发),或虚拟突发的计时器Tvirtual大于或等于虚拟突发的最大汇聚时间T1i(其中T11对应优先级最低业务流,T12对应优先级较高业务流,T13对应优先级最高业务流;一般是实体突发最大汇聚时间的整数倍)时停止汇聚,并检查正在汇聚的实体突发。
(4)如果其大小Smember小于实体突发的最小值Min,则继续汇聚该实体突发,但是该实体突发将作为下一个虚拟突发的第一个实体突发,并且直接将这个实体突发的定时器Tmenber和大小计数器Smember设定给下一个虚拟突发的定时器和大小计数器。
(5)当前汇聚结束的虚拟突发生成对应的BHP并发送,然后在一定偏置时间内发送虚拟突发分组。
由于虚拟突发中所有的实体突发都可以单独交换处理,因此,BHP中的资源预留时间除了每个实体突发的保护时间外,还需要考虑实体突发之间的切换时间。
2.2 虚拟突发交换的数据信道调度算法
虚拟突发交换的数据信道调度算法重点在于灵活分解。当一个虚拟突发的BHP到达节点后,首先对整个虚拟突发提前进行数据信道选择,这时采用传统数据信道调度算法。当对虚拟突发由于资源竞争而不能进行整体信道选择的时候,才需要控制分组为每一个实体突发重新预留资源,修改BHP中每一个成功预留资源的实体突发所对应的信息,删除不能成功预留资源的实体突发对应的信息。对虚拟突发分组的数据信道调度,采用整体为主,按时间数据考虑调度实体突发的原则,这样可以减少分组丢失概率,提高链路利用率。
为了减少节点资源预留动作的复杂性,除了对虚拟突发的分解调度外,还有合并调度操作。合并针对的是那些属于同一虚拟突发分组却被调度到不同波长信道传输的实体突发。当这些实体突发在同一路由的不同数据信道上传输时,节点并没有为每一个实体突发都生成一个BHP,而是修改所属虚拟突发对应的BHP内容。当节点没有使用光纤延迟线或其它类型光缓存时,这些实体突发到达下一跳的顺序还将保持在虚拟突发中的顺序,不会打乱或者出现重叠。如果这些实体突发在下一跳被转换到相同波长,又将“还原”成为虚拟突发,因此BHP在到达下一跳后,可以优先在同一出口波长中为所有对应实体突发预留资源,使之重新合并为一个虚拟突发。这样既节约了波长资源,又减小了经过几跳之后,大量的虚拟突发都变成小的实体突发的可能性。
2.2.1 非抢占调度策略
考虑的主要问题是如何给优先级不同的虚拟突发数据合理分配信道。在已有的数据信道调度算法中,LGVF算法[7]是在综合两种针对不同业务类型的调度算法:最近可用未调度信道算法和最近可用未使用信道算法的基础上提出来的。当到来的是较高优先级的虚拟突发数据时,LGVF算法首先选择最近可用未调度信道来调度虚拟突发数据;如果到来的是较低优先级的虚拟突发数据,那么就选择最近可用未使用信道来调度虚拟突发数据。
在虚拟突发数据的调度算法中,LGVF算法适合对整个虚拟突发数据的整体调度。在业务量不是很大的情况下,采用LGVF算法进行虚拟突发数据的调度是较为有效的,且可以区分不同优先级的数据。但当业务量比较大,整个虚拟突发数据找不到合适的信道传输,这时只能灵活分开每个突发数据实体。对此,本文提出了BFD(break first and delay)算法。
为了适应虚拟突发包灵活分开的特点,定义突发实体之间的分割点为断点(breakpoint),并分等级,假设头部的实体突发和已调度的虚拟突发数据有重叠部分,则把处在头部的断点设为级别最高,尾部的断点级别为最低。整个算法的思想就是使尽量多的实体突发选择断点与空隙之间间隔最小的信道,这样避免了信道分成更小的“碎片”空隙,未能成功调度的实体突发选择最小延迟的信道来进行调度。算法先选择断点,按优先级从高到低选择;设置优先级的目的在于保证少部分实体突发延迟。接着,为实体突发寻找合适的信道,找到断点与空隙间间隔最小的信道,最后为分开的突发寻找延迟最小的信道。数据信道调度算法的步骤如下:
(1)先采用LGVF算法进行整体调度。
(2)若整体不能调度只能分开调度,运用BFD算法。寻找合适的断点,选择优先级较高的断点,原则上保持尽量多的实体突发数据在一起,这样就会只有少数的实体突发数据在断点分开,为以后把这些分开的突发包重新汇聚在一起奠定基础。
(3)把空隙的开始时间与switch time之和与断点进行比较,如果超过了所选断点的时间,则舍弃此候选信道。如果没有超过,就进行第四步的操作。比较结束后,没有一个候选信道,就舍弃此断点,而进行优先级次之的断点。
(4)选择断点时间与空隙开始时间和switch time之和间隔最小的信道为候选信道。没有分开的虚拟突发数据在这个信道上传输。这样可以使碎片空隙最小。
(5)调度分开的突发数据,如不成功可以选择延迟最小的信道。
2.2.2 抢占调度策略
先对比一下这两种调度策略。在非抢占调度策略中,已经调度好的虚拟突发数据分配的信道不会变化,对未调度的虚拟突发包进行信道选择。在抢占调度策略中,未调度的高优先级虚拟突发数据可以抢占低优先级突发数据的已经分配好的资源,低优先级的突发数据重调度或丢弃,考虑对网络性能的影响,尽量采用重调度方式。非抢占调度策略的好处是在一旦一个虚拟突发数据在某一数据信道上调度,就不会再被分成更小的实体突发。抢占调度策略把Qos引入了信道调度,它的好处是较高优先级的虚拟突发数据能抢占已经调度的低优先级突发包的资源,更好地支持区分服务。
该算法的基本思想是:当新到达的高优先级的虚拟突发数据不能够调度成功时,就将信道上某个已经调度好的低优先级的虚拟突发数据重新调度到其它的信道上,而新到达的虚拟突发数据调度到该信道上。如果重调度还不能保证突发数据选择合适的信道,就要采取适当丢弃策略。在业务量大的时候可以舍弃低优先级的虚拟突发数据。
3 仿真实验与结果分析
利用opnet仿真工具构建的OBS网络仿真平台研究链路交换模式的改进对整个网络性能的影响。其中有以下几类模块:source、ingress、core、egress、sink。source为数据源节点,ingress为突发汇聚节点,core为核心交换节点,egress为突发解汇聚节点,sink为目的端点。这种模型使用了两种仿真方案,一种是原有的基于区分服务的OBS,另一种是基于区分服务的光虚拟突发交换。这两种方案里面用的数据源都是两种业务源:高优先级和低优先级两种。仿真主要研究三种性能指标:端到端延迟,链路利用率以及出节点的吞吐量。
从图2可以看出,虚拟突发交换技术与OBS延迟基本一致,前者并没有增加分组的延迟。图3显示了各节点的平均链路利用率。OVBS1代表采用LGVF算法进行虚拟突发的信道调度,OVBS2代表采用BFD调度算法进行虚拟突发的信道调度。为了能更准确地反映链路利用情况,采用的是平均链路利用率。数据显示,当源负载超过0.6之后,OVBS采用BFD调度策略的平均链路利用率始终高于OBS利用率7%左右,这是由于数据调度算法失败后,虚拟突发分组分散成实体突发重新调度后增加的成功概率;OVBS采用BFD调度算法比采用LGVF算法链路利用率高4%左右,因为先合后分策略充分利用了链路资源,减少了碎片空隙的产生。当网络源负载低于0.6时,OVBS采用两种不同的调度算法和OBS的平均链路利用率基本上是一致的。主要原因是在这种负载下,突发数据的资源预留成功率和不组装成虚拟突发数据的预留成功率相差不大。
图4和图5是网络出口节点高优先级和低优先级业务数据流的吞吐量统计对比图,从图中看出仿真结果和分析结论相符。OVBS采用BFD调度算法与采用LGVF算法相比,对于高优先级业务在负载低于0.6时吞吐量相差不大;负载高于0.6时,BFD调度算法对网络性能改善比较大。对于低优先级业务也有类似结论。
4 结束语
OVBS技术是基于OBS交换技术基础上提出的,它将多个小的实体突发数据组成一个大的虚拟突发,有利于调度时灵活处理;进而提出虚拟突发交换实现的汇聚算法。在调度方式上,强调先整体再分开的策略。当虚拟突发分开成实体突发数据时,利用BFD算法可以有效防止信道空隙成为更小的碎片,保证了较高的链路利用率。对不同种类、不同级别的突发数据进行汇聚,并采用抢占调度能提供更好的QOS保证。仿真结果表明:该交换技术相对传统OBS提高了链路利用率,减少了丢包率,增加了整个网络的吞吐量。
参考文献
[1]Iizuka M,Sakuta M,Yoshiyuki.A Scheduling Algorithm Minimizing Voids Generated by Arriving Bursts in Optical Burst Switched WDM Network[C].Proceedings IEEE Globecom 2002.Taipei.November 2002:2736- 2740.
[2]Cankaya H C,Charcranoon S.A Preemptive Scheduling Technique for OBS Networks with Service Differentiation[C]//Proceedings IEEE Globecom. 2003:2704 - 2708.
[3]VOKKARANE V M,JUE J P.Prioritized burst segmentation and composite burst assembly techniques for QoS support in optical burst switched networks[J].IEEE Journal on Selected Areas in Communications, 2003,21(7):1198 - 1209.
[4]Farahmand F.Contention Resolution and Burst Grooming Strategies in Layered Optical Burst-Switched Networks[D].Dallas,USA:Deapartment of Computer Science,University of Texas-Dallas,2005.
[5]Gauger C M,Kouml M,Scharf J.Comparison of contention resolution strategies in OBS network scenarios[C].IEEE International Conference on Transparent Optical Networks(ICTON),2004:18- 21.
[6]Vokkarane,Jue V A,Sitaraman J P.Burst segmentation:an approach for reducing packet loss in optical burst switched networks[C].Communications 2002.ICC2002.New York,USA,2002:2673 - 2677.
虚拟交换设备 篇5
随着国家电网公司信息化建设的高速发展,黄山供电公司(以下简称公司)各类业务系统在信息网络得到广泛使用,因此一旦发生信息网络中断,公司的各类业务将无法正常进行,电力客户也无法及时交纳电费和办理业务,将给公司造成严重的经济损失和不良的社会影响,因此需要建立一个坚强、稳定的信息网络。
1 公司网络建设概况
黄山供电公司于2001年正式进行信息网络建设,当时只配置1台Cisco 6506作为局域网主干交换机,同时配置11台二级交换机,从而建成了主干为千兆、百兆到桌面的局域网络,网络覆盖公司大楼及各二级机构,实现了公司网络系统零的突破;2005年公司进行网络主干系统升级改造,购置了1台Cisco 6509主干交换机,通过采用多生成树协议(Per-VLAN Spanning Tree,PVST)技术实现Cisco 6506和Cisco 6509 2台主干交换机双机负载均衡运行,同时购置了13台Cisco 3560二级交换机,充实了公司局域网络;2009年公司进行了广域网建设,利用开放式最短路径优先(Open Shortest Path First,OSPF)技术实现公司与所有变电站的千兆光纤环网连接,利用多协议标签交换(Multi-Protocol Label Switching,MPLS)/虚拟专用网络(Virtual Private Network,VPN)技术实现公司与5个县公司的千兆光纤连接;目前公司网络系统主干为千兆,百兆到桌面,网络覆盖公司各部门、各单位、所有变电站和5个区县公司,网络覆盖率为百分之百。
2 局域网核心设备存在的问题
当前黄山供电公司局域网核心采用2台Cisco 6500系列交换机作为核心网络交换机,其中1台为Cisco 6506,已运行12年,配置一块32G的引擎;1台为Cisco 6509,也已运行8年,配置一块720G的引擎。2台设备的异构对公司核心交换性能和网络的扩展性造成了很大的影响,尤其是Cisco 6506仍然配置的是一块已经停产的SUP2引擎,不仅难以负担当前网络的交换容量,同时也对新的业务板卡的使用有诸多限制,形成网络运行瓶颈。
3 虚拟交换技术方案选择
当前,虚拟化已经成为提高利用效率、增强集群性能、降低总体拥有成本、增强系统灵活性的重要手段。在服务器虚拟化、桌面虚拟化成为IT技术革新和应用部署热点的同时,网络操作系统虚拟化也带来了网络系统架构的变革[1]。
Cisco公司为了强化交换网络中的核心层设备,推出Cisco 6500Virtual Switching System,即虚拟交换技术(VSS),它的功能是将2台Cisco 6500交换机虚拟成1台交换机,在配置虚拟交换系统之后,不仅可以提高核心交换机的易操作性,同时还能实现核心层的故障恢复率,从而提供不间断通信能力。VSS使用机箱间不间断转发/状态切换作为2台机箱间的主要高可用性机制[2],在配置虚拟交换系统的2台交换机之间不再有冗余设备,而是2台交换机可以同时工作,最终扩展整体核心交换能力。只有2台都带有Supervisor720-10GE引擎的Cisco 6500交换机之间才可以配置虚拟交换系统,由于带有Supervisor720-10GE引擎的Cisco 6500交换机的核心交换能力为720 Gbps,所以2台带有Supervisor 720-10GE引擎的Cisco6500交换机配置虚拟交换系统之后的核心交换能力为1 440 Gbps,故虚拟交换技术又称VSS1440。
2台Cisco 6500交换机可以通过VSS技术虚拟成1台交换机(见图1),之前所有需要在2台交换机上完成的核心配置变化更改工作现在只需要在1台交换机上完成即可。但配置了VSS的2台交换机之间必须使用10 GB的光纤互连,互连的光纤无论是几条,都必须配置以太网通道。在VSS中,该以太网通道称为虚拟交换链路(Virtual Switch Link,VSL)。
3.1 VSS技术的优势
3.1.1 配置VSS之前网络运行存在的问题
在多台交换机之间通过热备份路由器协议(Hot Standby Router Protocol,HSRP)技术实现高可用性的网络中,有许多不足之处(见图2)。
在图2(左)中,核心层有2台Cisco 6500交换机,接入层交换机同时连接2台Cisco 6500交换机以实现网络冗余性,但是由于受生成树协议(Spanning Tree Protocol,STP)限制的原因,当将6500交换机65-1设置为根交换机(Root)之后,接入交换机与核心交换机65-2的端口便被STP阻断(Blocking)端口而不能转发数据,在图2中接入交换机连接65-1的绿色线路都处于数据转发状态,而连接65-2的红色线路都处于备份状态。从图2(左)中还可以看出,在部署了2台6500交换机的核心层之后,总有1台设备处于备份状态而不转发数据,造成了较大的资源浪费,所以应尽力使网络资源得到充分利用。
在图2(右)中可以看出,在网络中配置PVST之后,就可以基于VLAN实施流量负载均衡。核心交换机65-1为一部分VLAN的Root,而核心交换机65-2为另一部分VLAN的Root,网络中部分VLAN的流量从接入层通过绿色线路去往核心交换机65-1,而其他VLAN的流量从接入层通过红色线路去往核心交换机65-2,最终实现流量负载均衡。采用STP算法,首先创建一个拓扑数据库,然后搜索并破坏掉冗余链路,这样就保证帧只会发送到没有环路的链路上[3]。虽然接入层交换机通过多条线路与核心交换机相连,但始终只有一条线路在进行数据转发,通过配置链路捆绑无法解决这个问题,因为接入交换机的对端是不同交换机。
3.1.2 配置VSS之后网络运行现状
在图3中配置VSS之后,接入交换机与核心交换机相连的多条线路便可以通过配置链路捆绑来同时实现数据传输,网络中不会再有端口被STP阻断,这是因为原来的2台核心交换机已经被虚拟成1台交换机,演变成如图3(右)所示的新的网络。
从图3(右)中可以看出,在核心交换机配置VSS之后,接入交换机原本连接2台核心交换机的2条线路已经捆绑成EtherChannel,就犹如和1台核心交换机相连,此时连接核心交换机的多条线路也可以同时提供数据转发,充分利用了网络资源。在传统网络中部署HSRP时,同样也不能充分利用IP地址,因为HSRP在提供网关IP地址时,必须同时使用3个IP地址作为网关地址,导致总有2个IP地址的浪费,而在VSS技术将2台核心交换机虚拟成1台交换机之后,也只需要直接配置单个网关IP地址,IP地址浪费的情况不再发生。配置了VSS之后,网络中不仅节省了STP的收敛时间,在路由协议故障切换时,同样也省去了路由计算时间,从而真正达到网络的高可用性。在交换机之间完成VSS之后,由于2台设备虚拟成了1台,最终的配置文件也变成了单个配置文件,配置设备时,只需配置1台即可。
3.2 VSS技术的相关概念
3.2.1 VSS的双重活动状态
当互连的2台交换机之间的所有虚拟交换链路都失效时,2台交换机都会变回配置VSS之前的单机活动状态,这种状态称为双重活动状态,在双重活动状态下的任何交换机都可以独立工作,且独立配置。
3.2.2 VSS对外体现为单一独立的设备
在传统的交换网络架构中,当接入交换机使用多条线路连接不同核心交换机时,在STP的影响下,通常只有单条线路提供数据转发,即使在配置HSRP之后,也只有单条线路提供数据转发,无法充分利用网络资源。在这种情况下,接入交换机无法与核心交换机之间通过配置EtherChannel来捆绑使用多条线路,因为接入交换机的对端是不同交换机。在配置VSS之后,为了提供核心层的高可用性,会在接入交换机时使用多条线路连接2台核心6500交换机。在传统网络架构中,只有单条线路可用,但在VSS环境下,接入交换机和核心交换机之间可以将这些多条线路通过EtherChannel捆绑成单条线路,虽然接入交换机的EtherChannel对端是多台交换机,但VSS环境下允许这样的EtherChannel存在,被称为Multichassis EtherChannel(MEC)[4](见图4)。
图4(左)中接入交换机同时与2台配置VSS的核心交换机相连,虽然接入交换机的对端是不同交换机,但在VSS环境下却可以配置MEC来充分利用线路资源。
在VSS环境下配置MEC后,接入交换机与核心交换机之间的所有线路都能同时提供数据转发,并且接入交换机与核心交换机之间的流量会自动在MEC的每一条线路上进行负载均衡传输,不仅提高了传输带宽,同时也增强了高可用性,MEC和普通EtherChannel一样最多支持8条线路同时传输。
3.2.3 VSS接口命名规则
当2台Cisco 6500交换机通过VSS技术虚拟成1台交换机之后,只有1台能够进行配置和管理,而另一台则永远停留在用户模式(提示符为>),enble模式是被阻塞而不能进入的,所以在一台设备上必须同时能够看见和配置2台设备上的所有接口信息,如第1台交换机上的G1/1和G2/1与第2台交换机上的G1/1和G2/1必须都能同时配置。由于2台交换机上的接口可能在命名上出现重复,所以2台交换机的接口在VSS环境中需要再次重新命名以区别不同接口,这样,第1台交换机上的G1/1就被VSS重新命名为G1/1/1,原来的G2/1就被VSS重新命名为G1/2/1;同理,第2台交换机上的G1/1就被VSS重新命名为G2/1/1,原来的G2/1就被VSS重新命名为G2/2/1。如一个接口的名字为G1/4/3就表示其为第1台交换机的第4个业务插槽的第3个接口,一个接口的名字为G2/2/4就表示第2台交换机的第2个业务插槽的第4个接口。
4 核心网络升级建设实施方案
4.1 核心设备升级
公司新采购一台Cisco 6509交换机以替换原有的Cisco 6506交换机,同时2台核心交换机各配备一个VS-S720-10G-3C的引擎模块及WS-X6748-SFP模块,以提供各个接入层交换机的千兆光纤接入。另外2台核心交换机还各配备一块WS-X6748-GE-TX模块,以提供各个服务器及其他接入。
4.2 核心虚拟化部署
2台Cisco 6509交换机将采用VSS架构组网,接入层设备使用MEC方式接入核心交换机,使原有的网络架构得到简化,接入层交换机至核心的2条链路实现业务负载分担,减少设备或链路故障的切换时间,确保链路的高效运行。
4.3 三级网防火墙调整
由于2台核心交换机与防火墙间的级联使用不同的VLAN,默认路由指向不同的地址,虽然2个地址都是Juniper的,但是容易造成三级网防火墙的回指路由指向问题,即路由不对称问题,造成核心2(即Cisco 6509交换机)故障时核心1(即Cisco 6506交换机)无法完成与省公司的网络互通,无法实现故障切换。因此需将信息内网核心与三级网防火墙之间的连接方式进行变更,这样2台核心交换机的默认路由指向是相同的地址,可以实现网络核心故障的自动切换。
4.4 四级网防火墙调整
县公司至省、市公司的流量是通过广域网核心、四级网防火墙Nokia,再至三级网防火墙Juniper。由于四级网防火墙Nokia端口数及配置限制,只有广域网核心1与四级网防火墙Nokia互联,这种情况下如果广域网核心1故障,将造成县公司与省市公司间的互访中断。因为四级网防火墙Nokia采用的是透明模式,相关安全策略在三级网防火墙上,所以为提高网络可靠性,撤销了四级网防火墙Nokia,以实现县公司与三级网防火墙Juniper的双链路连接。
4.5 核心交换机的Cisco防火墙模块(FWSM)系统IOS版
本的升级及应用
由于核心交换机在实施VSS技术时要求Cisco防火墙模块的IOS必须一致,因此需对这2块Cisco防火墙模块(FWSM)进行IOS升级。同时,根据公司财务、开源财务、服务器网段等不同业务应用的需求,把2块Cisco防火墙模块(FWSM)进行虚拟化部署,从而虚拟化出不同的防火墙,应用于公司不同的业务系统,提高各系统应用的安全性。
4.6 信息网二级交换机升级实现
将公司办公大楼的Cisco 3560更换为新采购的12台Cisco 3750,并将更换下来的Cisco 3560作为公司大楼外的二级交换机使用,并对所有二级交换机进行IOS软件升级。具有双光纤链路的二级交换机,采用MEC技术与2台核心交换机进行链路捆绑,从而大大提高二级交换机的网络带宽。
5 核心网络升级建设功能实现
1)高交换能力。配置VSS之后的2台交换机之间不再有冗余设备,而是2台交换机都同时工作,核心交换能力为1 440 G,最终扩展了整体核心交换能力。
2)配置的易操作性。配置VSS之后由于2台设备被虚拟成了1台,最终的配置文件也变成了单个配置文件,配置设备时不再需要配置2台,从而简化了核心配置及管理,提高了核心交换机配置的易操作性。
3)网络的高可用性。配置VSS之后,在网络中不仅节省了STP的收敛时间,在路由协议故障切换时,同样也省去了路由计算时间,从而真正达到网络的高可用性。
4)IP地址的高可用性。在传统网络中部署HSRP时,必须同时使用3个网关IP地址,导致总有2个IP地址的浪费,而在配置VSS之后,只需要直接配置单个网关IP地址,不再有IP地址浪费的情况发生。
5)链路资源高可用性。配置VSS之后,接入交换机原本连接2台核心交换机的2条线路已经捆绑成Ether Channel,就犹如和1台核心交换机相连,此时连接核心交换机的多条线路也可以同时提供数据转发,充分利用了网络资源。
6)高带宽。在VSS环境下配置MEC后,接入交换机与核心交换机之间的所有线路都能同时提供数据转发,并且接入交换机与核心交换机之间的流量会自动在MEC的每一条线路上进行负载均衡传输,提高了传输带宽。
7)网络运行高安全性。通过对三级网、四级网防火墙链路进行改造,实现了双链路的连接和故障时路由的自动切换,从而大大提高网络运行的安全性。
8)业务隔离。通过对2台核心交换机的Cisco防火墙模块进行IOS升级,并进行防火墙的虚拟,从而虚拟出不同防火墙,应用于公司财务、开源财务、服务器网段等不同业务,从而实现不同业务的隔离,提高了各系统应用的安全性。
9)集中网管。通过公司的网管系统可对所有网络设备及交换机所接设备进行全面集中管理,当发现网络设备或光纤链路出现故障时可立即实现告警,并进行维护,提高网络运行可靠性。
6 结语
核心网络对于网络连通性来说是最为关键的一层,所以,它必须提供最高级别的可靠性,并且必须能够最快地适应网络的变化[5]。通过使用VSS技术进行核心网络升级组建局域网络,为黄山供电公司建立了一个具有更高可靠性、可用性以及优良服务性的先进、实用的局域网络,使网络具有突发故障状况下的快速恢复能力,保证黄山供电公司多业务系统基础设施和应用系统的安全稳定运行,为公司网络与各信息系统提供高速、稳定、可靠、先进的互联互通传输平台。
参考文献
[1]网络操作系统的虚拟化[EB/OL].http://www.h3c.com.cn/about_h3c/company_publication/ip_lh/2011/06/home/catalog/201112/736181_30008_0.htm.
[2]HUCABY D,著.CCNP BCMSN认证考试指南第三版[M].邓郑祥,译,北京:人民邮电出版社,2006.
[3]胡维华.网络工程师教程[M].北京:高等教育出版社,2010.
[4]Virtual Switching System(VSS)Q&A[EB/OL].http://www.Cisco.com/en/US/prod/collateral/switches/ps5718/ps9336/prod_qas0900aecd806ed74b.html.
虚拟局域网三层交换技术规划探讨 篇6
关键词:网络技术,三层交换,虚拟局域网
概述
近期虚拟局域网迅速崛起, 并成为互联网领域最具生命力的主题之一。虚拟局域网是指在物理网络基础架构上, 利用交换机和路由器的功能, 配置网络的逻辑拓扑结构, 通过把网络分成逻辑上的不同广播域, 使网络上传送的包只在与自己位于同一个VLAN的端口之间交换。这样就限制了某个局域网与同一个VLAN的其他局域网相连, 避免浪费带宽, 消除了传统的桥接/交换网络的固有缺陷——包经常被传送到并不需要它的局域网中。
虚拟局域网能够提供的灵活程度和控制程序几乎是空前的, 不必考虑物理位置和接口类型的差异, 网络管理员能够用简单的端口配置, 基于逻辑功能来划分工作组。这样, 一个物理设备上可以划分多个VLAN, 一个VLAN内部的广播和单播流都不会转发到其他VLAN中, 有助于简化网络管理、提高交换式网络的整体性能和安全性及可扩展性。
一、虚拟局域网与传统局域网区别
在传统的局域网中, 信息传输是建立在“共享介质”基础上的, 网中所有节点共享一条公共通信传输介质。通常, 一个工作组是在同一个网段上, 每个网段可以是一个工作组或子网。多个逻辑工作组之间通过互连不同网段的网桥或路由器来交换数据。如果一个逻辑工作组的节点要转移到另一个逻辑工作组时, 就需要将节点计算机从一个网段撤出, 连接到另一个网段, 甚至需要重新布线, 因此, 逻辑工作组的组成就要受到节点所在网段物理位置的限制。
虚拟局域网对带宽资源采用独占方式, 以软件方式来实现逻辑工作的划分和管理, 逻辑工作组的节点组成不受物理位置的限制。当一个节点从一个逻辑工作组转移到另一个逻辑工作组时, 只需要通过软件设定, 而不需改变它在网络中的物理位置。
二、虚拟局域网的种类与划分策略
(一) VLAN的种类。
(1) 静态VLAN:将端口强制性地分配给VLAN。网络管理员对将端口映射到VLAN的命令进行手工输入。
(2) 动态VLAN:由端口自己决定它属于哪个VLAN时, 就形成了动态VLAN。这是一个简单的映射, 该映射取决于管理员创建的数据库。交换机通过向VMPS (VLAN管理策略服务器) 发出请求, VMPS中包含一个文本文件, 其上存有进行VLAN映射的MAC地址。交换机对文件中的MAC地址进行校验。只有在文件中列出的MAC地址, 交换机才将端口分配给VLAN, 这是维护网络安全的好办法。
(二) VLAN的划分策略
从技术角度讲, VLAN的划分可依据不同原则, 一般有以下三种划分方法:
(1) 基于端口的VLAN划分。这种划分是把一个或多个交换机上的几个端口划分一个逻辑组, 这是最简单、最有效的划分方法。
(2) 基于MAC地址的VLAN划分。MAC地址其实就是指网卡的标识符, 每一块网卡的MAC地址都是唯一且固化在网卡上的。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。这种策略属于MAC层划分方式, 实现了位置无关的虚拟网, 但缺点是对于大型网络在初始配制时较麻烦。
(3) 三层交换技术提供了一种全新的VLAN划分方法, 基于IP策略的VLAN, 即不管结点处于哪一个物理网段, 都可以以它们的IP地址为基础或根据报文协议不同来划分子网。
三、三层交换技术
不同VLAN之间的流量不能直接跨越VLAN的边界, 需要使用路由, 通过路由将报文从一个VLAN转发到另外一个VLAN, 传统路由器难以完成VLAN间的通信任务, 所以在可信交换机上一般使用带三层功能的交换机。
三层交换机是将路由技术与交换技术合二为一的技术。它在对第一个数据流进行路由后, 会产生一个MAC地址与IP地址的映射表, 当同样的数据流再次通过时, 将根据此表直接从二层通过而不再路由, 从而消除了路由器进行路由选择而造成网络的延迟, 使大部分数据转发过程由二层交换处理, 提高了数据包转发的效率, 消除了路由器可能产生的网络瓶颈问题。可见, 三层交换机既有三层路由的功能, 又具有二层交换的网络速度。
四、结束语
本文讨论了虚拟局域网技术及其在校园网建设中的应用。虚拟局域网技术的使用为解决网络配置和管理提供了良好的方法, 随着局域网用户数量的不断增加, 局域网规模不断扩大, 随之出现的大量的广播信息将降低网络带宽传输率, 虚拟局域网技术可以很好地解决这个问题, 避免园区网广播风暴的出现。但是一个基于虚拟局域网技术而建立的园区网要安全稳定的运行, 还需要进行整体的网络安全设置, 进行日常网络维护, 从而更好地提高交换是园区网的整体性能和安全性机可扩展性。
参考文献
[1]刘有信, 网络互联技术, 人民邮电出版社, 1998
[2]李承东, 第三层交换技术, 计算机网络世界, 1999
虚拟交换设备 篇7
软交换固话虚拟网CENTREX业务能为集团用户提供了类似用户小交换机的功能, 不需要用户购买实物形式的用户小交换机, 只是在联通公司的交换机上根据用户要求将部分市话用户划为一个用户群, 因此又称为“虚拟小交换机”或者“用户小交换机”。CENTREX群内的用户拥有一长一短两个电话号码:长号, 即外线直拨电话号码:短号, 即群内“分机”号码, 长短号并存分别使用。CENTREX适用于商业集团公司、工厂、宾馆、学校、银行、写字楼、矿场、机关、住宅区、医院、商务会所等单位。电话容量从十几门到上十万门, 随使用单位的需求配置。CENTREX业务是建立在中国电信公众电话网 (PSTN) 上的虚拟用户交换机业务。其实质是将电信级交换机的部分用户定义为一个基本的用户群, 该用户群的用户不仅拥有普通用户的所有功能, 而且还拥有用户小交换机的所有功能, 同时还有普通市话和小交换机所不具有的一些新的业务功能。是对用户小交换机设备进行升级换代的先进电信产品。
二、软交换固话虚拟网 (CENTREX) 的性能特点
1、节省通话费:群内之间通话不收费, 群内与群外之间通话才收费。2、节省投资:不必投资用户小交换机 (PABX) 、机房电源空调设备以及中继线费用和维护管理费用。3、接通率高:不会因中继数不足而产生话路拥塞。4、编号方案专用:群内号码可自主选择。5、业务综合性:具有公网市话业务功能, 用户小交换机功能, 并可具有各种新的业务功能。6、拨号方式多样性:CENTREX用户有两个号码:一个长号 (即普通市话号) 和一个短号 (群内号码) , 长、短号并存。群外拨打群内电话, 可直拨其市话号码, 或经话务员转接, 方便灵活。群内通话只需拨内部分机号码。7、用户扩容方便:可无限制扩容, 无需加装设备。增加新业务时所有CENTREX用户均可申请使用。8、性能稳定、可靠:设备统一由电信部门规划管理, 维护管理水平高, 设备运转更加稳定、可靠。9、便于新功能的引入和网络升级:方便引入先进技术、提供新业务、新功能, 网络随着电信公网设备的软硬件升级而同步升级。
三、软交换固话虚拟网 (CENTREX) 的功能
固话虚拟网CENTREX业务功能=普通市话功能+小交换机功能+新的业务功能
具体功能如下:1、话音功能:包括群内呼叫、呼出、群外呼入、发话筛选。2、程控新功能:包括缩位拨号、热线服务、呼出限制、免打扰服务、追查恶意呼叫、叫醒服务、呼叫转移、呼叫等待、三方通话、来电显示/限制。3、特色业务:用户群内部通信、来话转接、自动回叫、立即计费。
四、新组建软交换固定电话虚拟网 (CENTREX) 制作流程
在信息化部和大唐软件公司的大力配合下, 完成了软交换虚拟网装机、拆机自动施工改造, 为了保证工单自动执行成功率、准确率, 请阿盟网管中心交换班组的各位同事需要严格按照虚拟网申请流程在软交换及资源系统制作虚拟网数据, 以阿拉善盟 (右旗) 双欣矿业开发有限责任公司组建虚拟网制作流程进行说明。
下面以新组建阿拉善盟双欣矿业开发有限责任公司, 组号XXXX, 小号位数4位, 出群字冠“0”为例介绍制作软交换虚拟网数据及虚拟网工单自动执行流程。
1、软交换呼市二枢纽SS1—配置管理—业务管理配置—群配置—CENTREX群配置里创建虚拟网数据。
2、新增CENTREX群时必须要创建的几个参数:CENTREX群编号2058;CENTREX群名称:阿拉善盟 (右旗) 双欣矿业开发有限责任公司;引示线号码网络类别:1_呼和浩特_SS1;引示线号码区域号:483;出群拨号字冠:0;号码分析选择子:1124 (右旗) 。
按照虚拟网组网信息在软交换呼市和通辽ZXWN-HLR (OMM) 客户端上制作虚拟网数据。
(1) 登录呼市ZXWN-HLR (OMM) 客户端创建虚拟网数据, IP:134.0.60.139。 (2) 视图—命令终端—SDC—PCS业务数据—群业务—群信息配置—创建群信息配置—群号2058—短号码最小长度4—短号码最大长度4—拨打群外号码前缀0 (0) —拨打方式STATED (群内短号码, 群外长号码) —用户别名:阿拉善盟 (右旗) 双欣矿业开发有限责任公司———执行。 (3) 数据维护———传送当前登录用户用户数据———执行。 (4) 登录通辽ZXWN-HLR (OMM) 客户端创建虚拟网数据, IP:134.0.60.143。通辽ZXWN-HLR (OMM) 客户端虚拟网数据制作方法与呼市ZXWN-HLR (OMM) 客户端虚拟网制作数据方法一样, 确保呼市和通辽ZXWN-HLR (OMM) 客户端的虚拟网数据保持一致。 (5) 视图—命令终端—SDC—PCS业务数据—群业务—群信息配置—创建群信息配置—群号2058—短号码最小长度4—短号码最大长度4—拨打群外号码前缀0 (0) —拨打方式STATED (群内短号码, 群外长号码) —用户别名:阿拉善盟 (右旗) 双欣矿业开发有限责任公司———执行。 (6) 数据维护———传送当前登录用户用户数据———执行。
3、按照虚拟网申请单在综合资源系统中录入该虚拟网信息: (1) 登录综合资源管理系统RMS V6.5。 (2) 综合管理—阿拉善分公司—盟局资源管理—确定。 (3) 盟局资源管理—管理区域管理—虚拟网管理—增加—保存。
说明:资源系统中类型选择普通电话虚拟网, 如果是软交换虚拟网名称中需要以NGN结尾 (可能存在一个名称在PSTN和软交换都有虚拟网的情况) , 网组号必须为软交换虚拟网组号, 编码原则与网组号一致, 如果编码占用可使用其他编码。
4、流程系统中回单, 前台营业员录入工单。
5、机房维护人员随时关注装虚拟网工单的自动执行情况, 如有自动执行失败工单, 查找失败原因及时处理。
五、结束语
软交换固话虚拟网既集中用户交换机, 简称CEN-TREX.其利用电信公众电话网的网络资源, 将集团客户划分为用户群, 建立一个逻辑上的专用通信网。是在用户端不装任何交换机, 而联通公司的交换机SS直接向一个企业或单位提供所有电话, 做成一个企业内部虚拟电话, 虚拟电话网内的用户具有两个电话号码, 从而使用户既可具有小交换机的功能, 又有享有公众电话网的便利及一些新功能。固话虚拟网对用户最大的诱惑便是免费安装及联通公司免费提供维护服务, 用户无前期投入及设备维护之麻烦、负担。所以特别受酒店、银行和企事业单位等集团客户的欢迎。
参考文献
[1]张顺利, 《网络虚拟化环境下的网络资源分配与技术故障诊断技术》, [D], 北京邮电大学, 2012年12月
[2]符瑜, 杨剑康, 《基于软交换固网智能业务的实现》, [J], 科技资讯, 2009.09