FusionSphere虛擬化套件分布式虛擬交換機(jī)技術(shù)白皮書(shū)

1、 DOCPROPERTY DocumentName 分布式虛擬交換機(jī)技術(shù)白皮書(shū)華為專(zhuān)有和保密信息 版權(quán)所有 華為技術(shù)有限公司文檔版本 DOCPROPERTY DocumentVersion V1.0 ( DOCPROPERTY ReleaseDate 2019-03-20) DOCPROPERTY Product Project Name 華為FusionSphere 6.5.0 虛擬化套件 DOCPROPERTY DocumentName 分布式虛擬交換機(jī)技術(shù)白皮書(shū) STYLEREF Contents 目 錄 DOCPROPERTY DocumentName 分布式虛擬交換機(jī)技術(shù)白皮書(shū)目 錄

2、 TOC o 1-1 h z t 標(biāo)題 2,2,標(biāo)題 3,3,Appendix heading 2,2,Appendix heading 3,3 HYPERLINK l _Toc525291880 1 分布式虛擬交換機(jī)概述 PAGEREF _Toc525291880 h 1 HYPERLINK l _Toc525291881 1.1 產(chǎn)生背景 PAGEREF _Toc525291881 h 1 HYPERLINK l _Toc525291882 1.2 虛擬交換現(xiàn)狀 PAGEREF _Toc525291882 h 2 HYPERLINK l _Toc525291883 1.2.1 基于服務(wù)器C

3、PU實(shí)現(xiàn)虛擬交換 PAGEREF _Toc525291883 h 2 HYPERLINK l _Toc525291884 1.2.2 物理網(wǎng)卡實(shí)現(xiàn)虛擬交換 PAGEREF _Toc525291884 h 2 HYPERLINK l _Toc525291885 1.2.3 交換機(jī)實(shí)現(xiàn)虛擬交換 PAGEREF _Toc525291885 h 3 HYPERLINK l _Toc525291886 2 華為方案簡(jiǎn)介 PAGEREF _Toc525291886 h 5 HYPERLINK l _Toc525291887 2.1 方案是什么 PAGEREF _Toc525291887 h 5 HYPER

4、LINK l _Toc525291888 2.2 方案架構(gòu) PAGEREF _Toc525291888 h 7 HYPERLINK l _Toc525291889 2.3 方案特點(diǎn) PAGEREF _Toc525291889 h 7 HYPERLINK l _Toc525291890 3 虛擬交換管理 PAGEREF _Toc525291890 h 8 HYPERLINK l _Toc525291891 3.1 主機(jī) PAGEREF _Toc525291891 h 8 HYPERLINK l _Toc525291892 3.2 分布式虛擬交換機(jī) PAGEREF _Toc525291892 h

5、8 HYPERLINK l _Toc525291893 3.3 端口組 PAGEREF _Toc525291893 h 8 HYPERLINK l _Toc525291894 4 虛擬交換特性 PAGEREF _Toc525291894 h 9 HYPERLINK l _Toc525291895 4.1 物理端口/聚合 PAGEREF _Toc525291895 h 9 HYPERLINK l _Toc525291896 4.2 虛擬交換 PAGEREF _Toc525291896 h 9 HYPERLINK l _Toc525291897 4.2.1 普通交換 PAGEREF _Toc525

6、291897 h 9 HYPERLINK l _Toc525291898 4.2.2 SR-IOV直通 PAGEREF _Toc525291898 h 10 HYPERLINK l _Toc525291899 4.2.3 用戶(hù)態(tài)交換 PAGEREF _Toc525291899 h 10 HYPERLINK l _Toc525291900 4.3 流量整形 PAGEREF _Toc525291900 h 11 HYPERLINK l _Toc525291901 4.3.1 基于端口組的流量整形 PAGEREF _Toc525291901 h 11 HYPERLINK l _Toc52529190

7、2 4.4 安全 PAGEREF _Toc525291902 h 11 HYPERLINK l _Toc525291903 4.4.1 二層網(wǎng)絡(luò)安全策略 PAGEREF _Toc525291903 h 11 HYPERLINK l _Toc525291904 4.4.2 廣播報(bào)文抑制 PAGEREF _Toc525291904 h 12 HYPERLINK l _Toc525291905 4.4.3 安全組 PAGEREF _Toc525291905 h 12 HYPERLINK l _Toc525291906 4.5 Trunk端口 PAGEREF _Toc525291906 h 12 HY

8、PERLINK l _Toc525291907 4.6 端口管理 PAGEREF _Toc525291907 h 13 HYPERLINK l _Toc525291908 4.7 存儲(chǔ)面三層互通 PAGEREF _Toc525291908 h 13 HYPERLINK l _Toc525291909 4.8 配置管理VLAN PAGEREF _Toc525291909 h 13 HYPERLINK l _Toc525291910 4.9 業(yè)務(wù)管理平面 PAGEREF _Toc525291910 h 13 HYPERLINK l _Toc525291911 5 虛擬交換應(yīng)用場(chǎng)景 PAGEREF

9、_Toc525291911 h 14 HYPERLINK l _Toc525291912 5.1 集中虛擬網(wǎng)絡(luò)管理 PAGEREF _Toc525291912 h 14 HYPERLINK l _Toc525291913 5.2 虛擬網(wǎng)絡(luò)流量統(tǒng)計(jì)功能 PAGEREF _Toc525291913 h 14 HYPERLINK l _Toc525291914 5.3 分布式虛擬端口組 PAGEREF _Toc525291914 h 14 HYPERLINK l _Toc525291915 5.4 分布式虛擬上行鏈路 PAGEREF _Toc525291915 h 14 HYPERLINK l _T

10、oc525291916 5.5 網(wǎng)絡(luò)隔離 PAGEREF _Toc525291916 h 14 HYPERLINK l _Toc525291917 5.6 網(wǎng)絡(luò)遷移 PAGEREF _Toc525291917 h 15 HYPERLINK l _Toc525291918 5.7 網(wǎng)絡(luò)安全 PAGEREF _Toc525291918 h 15 HYPERLINK l _Toc525291919 5.8 配置管理VLAN PAGEREF _Toc525291919 h 15 HYPERLINK l _Toc525291920 5.9 業(yè)務(wù)管理平面 PAGEREF _Toc525291920 h 1

11、5 HYPERLINK l _Toc525291921 6 縮略語(yǔ) PAGEREF _Toc525291921 h 16分布式虛擬交換機(jī)概述產(chǎn)生背景網(wǎng)絡(luò)虛擬化的發(fā)展計(jì)算虛擬化驅(qū)動(dòng)網(wǎng)絡(luò)虛擬化的發(fā)展。傳統(tǒng)數(shù)據(jù)中心，一臺(tái)服務(wù)器運(yùn)行一個(gè)操作系統(tǒng)，通過(guò)物理網(wǎng)線(xiàn)與交換機(jī)相連，由交換機(jī)實(shí)現(xiàn)不同的主機(jī)的交換、流量控制、安全控制等功能。在計(jì)算虛擬化后，一臺(tái)服務(wù)器虛擬化成多臺(tái)的虛擬的主機(jī)，每個(gè)虛擬主機(jī)有自己的CPU、內(nèi)存和網(wǎng)卡。同一服務(wù)器上的不同主機(jī)之間既需要維持原有的通信，同時(shí)由于共享物理設(shè)備，引出了新的安全隔離、以及對(duì)流控的更高的需求，對(duì)虛擬交換技術(shù)的訴求由此產(chǎn)生為統(tǒng)一和簡(jiǎn)化對(duì)各臺(tái)主機(jī)的虛擬交換機(jī)的配置管理，

12、業(yè)界引入分布式虛擬交換機(jī)。分布式虛擬交換機(jī)一方面可以對(duì)多臺(tái)服務(wù)器的虛擬交換機(jī)統(tǒng)一配置、管理和監(jiān)控，另一方面也可以保證虛擬機(jī)在服務(wù)器之間遷移時(shí)網(wǎng)絡(luò)配置的一致性。虛擬交換現(xiàn)狀虛擬交換分為基于服務(wù)器來(lái)實(shí)現(xiàn)虛擬二層交換的功能和基于交換機(jī)實(shí)現(xiàn)虛擬交換功能兩類(lèi)實(shí)現(xiàn)方式。其中服務(wù)器實(shí)現(xiàn)虛擬交換又分為服務(wù)器CPU實(shí)現(xiàn)虛擬交換和在服務(wù)器網(wǎng)卡上實(shí)現(xiàn)虛擬交換的兩種方式。總結(jié)來(lái)說(shuō)，虛擬交換的實(shí)現(xiàn)形式一般分為三種：1）在服務(wù)器CPU上實(shí)現(xiàn)虛擬交換；2）在服務(wù)器網(wǎng)卡上實(shí)現(xiàn)虛擬交換；3）在物理交換機(jī)上實(shí)現(xiàn)虛擬交換?；诜?wù)器CPU實(shí)現(xiàn)虛擬交換在服務(wù)器CPU中實(shí)現(xiàn)虛擬交換是目前較為成熟且產(chǎn)品化較好的技術(shù)方案。在服務(wù)器的CPU

13、中實(shí)現(xiàn)完整的虛擬交換的功能，虛擬機(jī)的虛擬網(wǎng)卡對(duì)應(yīng)虛擬交換的一個(gè)虛擬端口，服務(wù)器的物理網(wǎng)卡作為虛擬交換的上行鏈路端口。虛擬機(jī)的報(bào)文接收流程如下：虛擬交換機(jī)首先從虛擬端口/物理端口接收以太網(wǎng)報(bào)文，之后根據(jù)虛擬機(jī)MAC、VLAN，查找二層轉(zhuǎn)發(fā)表，找到對(duì)應(yīng)的虛擬端口/物理端口，然后按照具體的端口，轉(zhuǎn)發(fā)報(bào)文。該方案的特點(diǎn)：1) 服務(wù)器內(nèi)部的通信性能：同一服務(wù)器上的虛擬機(jī)間報(bào)文轉(zhuǎn)發(fā)性能好，時(shí)延低。虛擬交換機(jī)實(shí)現(xiàn)虛擬機(jī)之間報(bào)文的二層軟件轉(zhuǎn)發(fā)， 報(bào)文不出服務(wù)器，轉(zhuǎn)發(fā)路徑短，性能高；2) 跨服務(wù)器通信性能：跨服務(wù)器，需要經(jīng)物理交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，相比物理交換機(jī)實(shí)現(xiàn)虛擬交換，由于虛擬交換模塊的消耗，性能稍低于物理交換

14、機(jī)實(shí)現(xiàn)虛擬交換；3) 擴(kuò)展靈活：服務(wù)器實(shí)現(xiàn)虛擬交換，由于采用純軟件實(shí)現(xiàn)，相比采用L3芯片的物理交換機(jī)，功能擴(kuò)展靈活、快速，可以更好的滿(mǎn)足云計(jì)算的網(wǎng)絡(luò)需求擴(kuò)展；4) 規(guī)格容量大：服務(wù)器內(nèi)存大，相比物理交換機(jī)，L2交換容量遠(yuǎn)大于物理交換機(jī)。物理網(wǎng)卡實(shí)現(xiàn)虛擬交換物理網(wǎng)卡實(shí)現(xiàn)虛擬交換設(shè)計(jì)思想是將虛擬交換功能從服務(wù)器的CPU移植到服務(wù)器物理網(wǎng)卡，通過(guò)網(wǎng)卡硬件改善虛擬交換機(jī)占用CPU資源而影響虛擬機(jī)性能的問(wèn)題，同時(shí)借助物理網(wǎng)卡的直通的能力，加速虛擬交換的性能。傳統(tǒng)的SR-IOV商業(yè)網(wǎng)卡，也可以支持虛擬交換的功能，但是由于自身設(shè)計(jì)以及缺乏與Hypervisor的配合，傳統(tǒng)的商業(yè)網(wǎng)卡難以支持熱遷移等虛擬化的特

15、性?；赟R-IOV的虛擬交換基于物理網(wǎng)卡實(shí)現(xiàn)虛擬交換的特點(diǎn)：1) 相對(duì)于虛擬交換機(jī)，減少了CPU占用率，采用網(wǎng)卡實(shí)現(xiàn)交換的功能，不再需要CPU參與虛擬交換處理；2) 對(duì)于物理網(wǎng)卡實(shí)現(xiàn)虛擬直通功能時(shí)，由于實(shí)現(xiàn)了虛擬機(jī)對(duì)PCIe設(shè)備的直接訪(fǎng)問(wèn)和操作，顯著降低了從虛擬機(jī)到物理網(wǎng)卡的報(bào)文處理延時(shí)；3) 傳統(tǒng)商業(yè)網(wǎng)卡無(wú)法支持熱遷移、同時(shí)功能簡(jiǎn)單，無(wú)法支持靈活的安全隔離等特性，且功能擴(kuò)展困難。交換機(jī)實(shí)現(xiàn)虛擬交換交換機(jī)實(shí)現(xiàn)虛擬交換，業(yè)界有兩種實(shí)現(xiàn)技術(shù)：802.1Qbg VEPA、802.1Qbh Bridge Port Extension。802.1Qbg VEPAVEPA的實(shí)現(xiàn)是基于現(xiàn)在的IEEE標(biāo)準(zhǔn)，

16、不必為報(bào)文增加新的二層標(biāo)簽，只要對(duì)VMM軟件和交換機(jī)的軟件升級(jí)就可支持VEPA的“發(fā)卡彎”轉(zhuǎn)發(fā)。與VEB方案類(lèi)似，VEPA方案可以采用純軟件方式實(shí)現(xiàn)，也能夠通過(guò)支持SR-IOV的網(wǎng)卡實(shí)現(xiàn)硬件VEPA。其實(shí)，只要是VEB能安裝和部署的地方，就都能用VEPA來(lái)實(shí)現(xiàn)，但VEB與VEPA各有所長(zhǎng)，并不存在替代關(guān)系。VEPA的優(yōu)點(diǎn)在于，完全基于IEEE標(biāo)準(zhǔn)，沒(méi)有專(zhuān)用的報(bào)文格式。而且容易實(shí)現(xiàn)，通常只需要對(duì)網(wǎng)卡驅(qū)動(dòng)、VMM橋模塊和外部交換機(jī)的軟件做很小的改動(dòng)，從而實(shí)現(xiàn)低成本方案目標(biāo)。802.1Qbh Bridge Port Extension 端口擴(kuò)展設(shè)備是一種功能有限的物理交換機(jī)，通常作為一個(gè)上行物理交換

17、機(jī)的線(xiàn)卡使用。端口擴(kuò)展技術(shù)需要為以太網(wǎng)報(bào)文增加TAG，而端口擴(kuò)展設(shè)備借助報(bào)文TAG中的信息，將端口擴(kuò)展設(shè)備上的物理端口映射成上行物理交換機(jī)上的一個(gè)虛擬端口，并且使用TAG中的信息來(lái)實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)和策略控制。VN-TAG為報(bào)文定義了虛擬機(jī)源和目的端口，并且標(biāo)明了報(bào)文的廣播域。借助支持VN-TAG技術(shù)的vSwitch和網(wǎng)卡，也能夠?qū)崿F(xiàn)類(lèi)似EVB多通道的方案，但是VN-TAG技術(shù)有一些缺點(diǎn)：VN-TAG是一種新提出的標(biāo)簽格式，沒(méi)有沿用現(xiàn)有的標(biāo)準(zhǔn)（如IEEE 802.1Q、 IEEE 802.1ad、IEEE 802.1X tags ）。必須要改變交換機(jī)和網(wǎng)卡的硬件，而不能只是簡(jiǎn)單的對(duì)現(xiàn)有的網(wǎng)絡(luò)設(shè)備軟件

18、進(jìn)行升級(jí)。也就是說(shuō)，VN-TAG的使用需要部署支持VN-TAG的新網(wǎng)絡(luò)產(chǎn)品（網(wǎng)卡、交換機(jī)、軟件）。最初IEEE 802.1工作組曾考慮將“端口擴(kuò)展”作為EVB標(biāo)準(zhǔn)的一部分，但是最終決定將端口擴(kuò)展發(fā)展成一個(gè)獨(dú)立的標(biāo)準(zhǔn)，即802.1 Bridge Port Extension。Cisco曾向IEEE 802.1Q工作組建議，將其私有的VN-TAG技術(shù)作為實(shí)現(xiàn)EVB的一種可選方案，但工作組最終沒(méi)有接納這個(gè)提案。Cisco最近修改了VN-TAG技術(shù)草案，修改后的草案稱(chēng)為M-TAG，該方案的主要目標(biāo)仍是為了實(shí)現(xiàn)端口擴(kuò)展設(shè)備與上行交換機(jī)之間的通信標(biāo)準(zhǔn)化。華為方案簡(jiǎn)介方案是什么華為虛擬交換提供集中的虛擬交換

19、的管理功能。集中的管理提供統(tǒng)一的Portal，進(jìn)行配置管理，簡(jiǎn)化用戶(hù)的管理。虛擬交換場(chǎng)景通過(guò)分布在各物理服務(wù)器的虛擬交換機(jī)，提供虛擬機(jī)的二層通信、隔離、QoS的能力。分布式交換機(jī)模型基本特征：1) 虛擬化管理員可以配置多個(gè)分布式交換機(jī)，每個(gè)分布式交換機(jī)可以覆蓋集群中的多個(gè)CNA節(jié)點(diǎn)；2) 每個(gè)分布式交換機(jī)具有多個(gè)分布式的虛擬端口VSP，每個(gè)VSP具有各自的屬性(速率)，為了管理方便采用Port Group組管理相同屬性的一組端口，相同端口組的VLAN相同； 3) 虛擬化管理員或業(yè)務(wù)系統(tǒng)（例如VDI/IDC）,可選擇管理/存儲(chǔ)/業(yè)務(wù)使用的不同物理接口；每個(gè)分布式交換機(jī)可以配置一個(gè)UpLink端口

20、或者一個(gè)Uplink端口聚合組，用于VM對(duì)外的通信。Uplink端口聚合組可以包含多個(gè)物理端口，端口聚合組可以配置負(fù)載均衡策略； 4) 每個(gè)VM可以具有多個(gè)vNIC接口，vNIC可以和交換機(jī)的VSP一一對(duì)接；5) 虛擬化管理員或業(yè)務(wù)系統(tǒng)可根據(jù)業(yè)務(wù)需求，選擇在一個(gè)集群中允許進(jìn)行2層遷移的服務(wù)器 創(chuàng)建虛擬二層網(wǎng)絡(luò)，設(shè)置該網(wǎng)絡(luò)使用的VLAN信息；虛擬交換模型虛擬化管理員可通過(guò)定義端口組 屬性（安全/QoS）簡(jiǎn)化對(duì)虛擬機(jī)端口屬性的設(shè)置；設(shè)置端口組屬性，不影響虛擬機(jī)正常工作；端口組：端口組是網(wǎng)絡(luò)屬性相同的一組端口的屬性集合。管理員可以通過(guò)配置端口組屬性（帶寬QOS、2層安全屬性、VLAN等）簡(jiǎn)化對(duì)虛擬機(jī)

21、端口屬性的設(shè)置。設(shè)置端口組屬性，不影響虛擬機(jī)正常工作；上行鏈路：分布式交換機(jī)關(guān)聯(lián)的服務(wù)器物理網(wǎng)口；管理員可以查詢(xún)上行鏈路的名稱(chēng)、速率、模式、狀態(tài)等信息；上行鏈路聚合：分布式交換機(jī)關(guān)聯(lián)的服務(wù)器綁定網(wǎng)口，綁定網(wǎng)口可以包含多個(gè)物理網(wǎng)口，這些物理網(wǎng)口可以配置主備或負(fù)載均衡策略。方案架構(gòu)虛擬交換架構(gòu)如上圖所示，華為的分布式虛擬交換支持基于開(kāi)源Open vSwitch的純軟件的虛擬交換的功能。方案特點(diǎn)1) 集中的管理：統(tǒng)一Portal和集中的管理，簡(jiǎn)化用戶(hù)的管理和配置；2) 開(kāi)源Open vSwitch：集成開(kāi)源Open vSwitch，充分利用和繼承了開(kāi)源社區(qū)虛擬交換的能力；3) 提供豐富的虛擬交換的二

22、層特性，包括交換、QoS、安全隔離等。 STYLEREF 7 n * MERGEFORMAT Error! No text of specified style in document. STYLEREF 7 Error! No text of specified style in document. DOCPROPERTY Product&Project Name DOCPROPERTY DocumentName 分布式虛擬交換機(jī)技術(shù)白皮書(shū)虛擬交換管理主機(jī)主機(jī)是使用虛擬化軟件(FusionCompute)運(yùn)行虛擬機(jī)的計(jì)算機(jī)。主機(jī)是一臺(tái)真正的物理服務(wù)器。主機(jī)提供虛擬機(jī)使用的CPU和內(nèi)存資源，并

23、使虛擬機(jī)能夠訪(fǎng)問(wèn)網(wǎng)絡(luò)。分布式虛擬交換機(jī)分布式虛擬交換機(jī)是管理多臺(tái)主機(jī)上的虛擬交換機(jī)（基于軟件的虛擬交換機(jī)）的虛擬網(wǎng)絡(luò)管理方式，包括對(duì)主機(jī)的物理端口和虛擬機(jī)虛擬端口的管理。 分布式虛擬機(jī)交換機(jī)可以保證虛擬機(jī)在主機(jī)之間遷移時(shí)網(wǎng)絡(luò)配置的一致性。端口組端口組是分布式虛擬交換機(jī)(DVS)中虛擬端口的集合。端口組主要是為了方便用戶(hù)同時(shí)對(duì)端口組中的多個(gè)端口進(jìn)行配置，以減少重復(fù)配置工作。連接在同一端口組的虛擬機(jī)網(wǎng)卡，具有相同的網(wǎng)絡(luò)屬性。如：帶寬限速、優(yōu)先級(jí)、VLAN、IP和MAC綁定等。虛擬交換特性物理端口/聚合物理端口是指主機(jī)的物理網(wǎng)口。物理端口聚合是指將多個(gè)同類(lèi)屬性的物理端口進(jìn)行聚合操作，通過(guò)聚合策略提高

24、端口的可靠性或者端口的帶寬。當(dāng)前華為支持的普通網(wǎng)卡聚合策略有：主備模式、基于源目的MAC地址的負(fù)荷分擔(dān)、基于源和目的MAC的負(fù)荷分擔(dān)、基于源目的IP的LACP、基于源目的IP和端口的負(fù)荷分擔(dān)和輪詢(xún)模式。支持的用戶(hù)態(tài)（DPDK）驅(qū)動(dòng)網(wǎng)卡聚合策略有：主備模式、基于源目的MAC地址的LACP、基于源目的IP和端口的LACP 。虛擬交換華為虛擬交換機(jī)提供三種虛擬交換模式：1）普通模式，2）SR-IOV直通模式， 3）用戶(hù)態(tài)交換模式。普通交換普通模式下，虛擬機(jī)有前后端兩個(gè)虛擬網(wǎng)卡設(shè)備，其中，前端網(wǎng)卡連接在虛擬交換機(jī)的虛端口上。虛擬機(jī)網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)環(huán)形緩沖區(qū)和事件通道在前后端網(wǎng)卡之間傳輸，并最終通過(guò)后端網(wǎng)

25、卡連接的虛擬交換機(jī)實(shí)現(xiàn)轉(zhuǎn)發(fā)。普通交換SR-IOV直通SR-IOV（Single Root I/O Virtualization）技術(shù)是2007年提出的網(wǎng)絡(luò)I/O虛擬化技術(shù)，目前已是PCI-SIG的規(guī)范。簡(jiǎn)單說(shuō)來(lái)，支持SR-IOV的物理網(wǎng)卡可以虛擬出多個(gè)網(wǎng)卡以供虛擬機(jī)使用，對(duì)于虛擬機(jī)來(lái)說(shuō)就像是有一塊單獨(dú)的物理網(wǎng)卡一樣，相比軟件虛擬化提升了網(wǎng)絡(luò)I/O的性能，相對(duì)于硬件直通(PCI Passthrough)又減少了硬件網(wǎng)卡數(shù)量上的需求。SR-IOV的虛擬交換用戶(hù)態(tài)交換通過(guò)對(duì)虛擬端口加載用戶(hù)態(tài)驅(qū)動(dòng)，在vswitchd中啟動(dòng)線(xiàn)程接管內(nèi)核態(tài)收發(fā)包功能，從網(wǎng)卡收到的數(shù)據(jù)包直接在vswitchd的線(xiàn)程中接收，

26、接收到數(shù)據(jù)后，查詢(xún)vswitchd中的精確流表匹配，然后執(zhí)行openflow的動(dòng)作和指令，把數(shù)據(jù)從指定端口發(fā)送出去。優(yōu)勢(shì)在于使用DPDK技術(shù)提升了端口IO性能，另外，收發(fā)包和基于openflow的數(shù)據(jù)轉(zhuǎn)發(fā)都在用戶(hù)態(tài)完成，減少了內(nèi)核態(tài)與用戶(hù)態(tài)間切換帶來(lái)的開(kāi)銷(xiāo)，帶來(lái)網(wǎng)絡(luò)I/O的性能的提升，相較于SR-IOV技術(shù)，支持熱遷移、熱添加網(wǎng)卡等更多高級(jí)特性。流量整形流量整形通過(guò)提供發(fā)送、接收方向的帶寬流量整形以及發(fā)送方向優(yōu)先級(jí)能力?；诙丝诮M的流量整形提供基于端口組的平均帶寬、峰值帶寬、突發(fā)流量，帶寬優(yōu)先級(jí)控制能力，保證虛擬機(jī)的網(wǎng)絡(luò)通信質(zhì)量，同時(shí)，避免不同端口組的虛擬機(jī)之間的擁塞互相影響。當(dāng)管理員需要限制

27、某一虛擬機(jī)可占用的帶寬的上限時(shí)，可通過(guò)設(shè)置虛擬機(jī)網(wǎng)卡所在端口組的上限帶寬來(lái)實(shí)現(xiàn)。當(dāng)管理員需要在擁塞情況下，對(duì)于不同的虛擬機(jī)有不同的帶寬搶占能力時(shí)，可通過(guò)配置其帶寬優(yōu)先級(jí)來(lái)實(shí)現(xiàn)，使優(yōu)先級(jí)高的虛擬機(jī)搶到更多的帶寬。安全二層網(wǎng)絡(luò)安全策略二層網(wǎng)絡(luò)安全 二層網(wǎng)絡(luò)安全策略主要包括：防止用戶(hù)虛擬機(jī)IP和MAC地址仿冒，防止用戶(hù)虛擬機(jī)DHCP Server仿冒。防止IP地址和MAC仿冒（IP和MAC綁定）：防止虛擬機(jī)用戶(hù)通過(guò)修改虛擬網(wǎng)卡的IP、MAC地址發(fā)起IP、MAC仿冒攻擊，增強(qiáng)用戶(hù)虛擬機(jī)的網(wǎng)絡(luò)安全。通過(guò)生成IP-MAC的綁定關(guān)系，基于IP源側(cè)防護(hù)(IP Source Guard)與動(dòng)態(tài)ARP檢測(cè)（DAI

28、）對(duì)非綁定關(guān)系的報(bào)文進(jìn)行過(guò)濾。防止DHCP Server仿冒(DHCP Server隔離)：禁止用戶(hù)虛擬機(jī)啟動(dòng)DHCP Server服務(wù)，防止用戶(hù)無(wú)意識(shí)或惡意啟動(dòng)DHCP Server服務(wù)，影響正常的虛擬機(jī)IP地址分配過(guò)程。廣播報(bào)文抑制在服務(wù)器整合、桌面云等企業(yè)應(yīng)用場(chǎng)景，如果發(fā)生網(wǎng)絡(luò)攻擊或病毒發(fā)作等引起的廣播報(bào)文攻擊，可能造成網(wǎng)絡(luò)通信異常，此時(shí)可以開(kāi)啟虛擬交換機(jī)的廣播報(bào)文抑制功能。虛擬交換機(jī)提供虛擬機(jī)虛端口發(fā)送方向的廣播報(bào)文抑制開(kāi)關(guān)，以及抑制閾值設(shè)置功能。可以通過(guò)開(kāi)啟虛擬機(jī)網(wǎng)卡所在端口組的廣播包抑制開(kāi)關(guān)設(shè)置閾值，減少過(guò)量廣播報(bào)文對(duì)二層網(wǎng)絡(luò)帶寬的消耗。管理員可以通過(guò)系統(tǒng)Portal，基于虛擬交換

29、機(jī)端口組對(duì)象，配置報(bào)文抑制開(kāi)關(guān)和報(bào)文抑制帶寬閾值。安全組安全組用戶(hù)根據(jù)虛擬機(jī)安全需求創(chuàng)建安全組，每個(gè)安全組可以設(shè)定一組訪(fǎng)問(wèn)規(guī)則。當(dāng)虛擬機(jī)加入安全組后，即受到該訪(fǎng)問(wèn)規(guī)則組的保護(hù)。用戶(hù)通過(guò)在創(chuàng)建虛擬機(jī)時(shí)選定要加入的安全組來(lái)對(duì)自身的虛擬機(jī)進(jìn)行安全隔離和訪(fǎng)問(wèn)控制。Trunk端口虛擬機(jī)網(wǎng)卡通過(guò)虛端口接入虛擬交換機(jī)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的收發(fā)。虛擬交換機(jī)虛端口支持配置為T(mén)runk類(lèi)型，并允許設(shè)置Trunk的VLAN ID范圍，之后虛端口便具備了同時(shí)收發(fā)攜帶不同VLAN標(biāo)簽的網(wǎng)絡(luò)數(shù)據(jù)包的功能，從而滿(mǎn)足了虛擬網(wǎng)卡支持Trunk類(lèi)型端口的需求。端口管理華為虛擬機(jī)交換機(jī)的端口管理包括物理端口管理和虛擬端口的管理。物理端口

30、管理信息包括物理網(wǎng)口的發(fā)送和接收?qǐng)?bào)文數(shù)，發(fā)送和接收?qǐng)?bào)文流量，網(wǎng)卡狀態(tài)，網(wǎng)卡速率，網(wǎng)卡雙工模式。虛擬端口管理信息包括虛擬端口的發(fā)送和接收?qǐng)?bào)文數(shù)，發(fā)送和接收?qǐng)?bào)文流量。并且基于流量信息統(tǒng)計(jì)主機(jī)和虛擬機(jī)的流速信息。存儲(chǔ)面三層互通華為支持存儲(chǔ)面三層互通功能，管理員可以根據(jù)需要靈活設(shè)置存儲(chǔ)平面二層或者三層互通，三層互通時(shí)需要配置路由網(wǎng)關(guān)信息。由于OS的限制，管理平面、存儲(chǔ)平面在CNA僅支持配置1個(gè)網(wǎng)關(guān)，當(dāng)前的默認(rèn)網(wǎng)關(guān)是管理平面，所以通過(guò)在CNA添加策略路由，解決了添加存儲(chǔ)面路由網(wǎng)關(guān)的需求。配置管理VLAN當(dāng)前版本管理員可以靈活設(shè)置管理VLAN。解決了管理面VLAN依賴(lài)接入交換機(jī)的限制。業(yè)務(wù)管理平面當(dāng)前版本

31、支持配置業(yè)務(wù)管理平面。管理員可以配置系統(tǒng)的遷移共享存儲(chǔ)心跳通過(guò)業(yè)務(wù)管理平面進(jìn)行傳輸，業(yè)務(wù)管理數(shù)據(jù)和管理維護(hù)數(shù)據(jù)徹底分離，實(shí)現(xiàn)精細(xì)化管理。虛擬交換應(yīng)用場(chǎng)景分布式虛擬交換機(jī) (DVS) 可在如下多個(gè)場(chǎng)景應(yīng)用。集中虛擬網(wǎng)絡(luò)管理通過(guò)集中式界面簡(jiǎn)化虛擬網(wǎng)絡(luò)連接的部署和管理。創(chuàng)建并管理具有多個(gè)分布式虛擬端口組的單個(gè)分布式交換機(jī)，簡(jiǎn)化虛擬網(wǎng)絡(luò)連接的配置和管理。虛擬網(wǎng)絡(luò)流量統(tǒng)計(jì)功能通過(guò)對(duì)UplinkPort/UplinkPortAggr以及虛擬端口的流量統(tǒng)計(jì)可以有效提供系統(tǒng)的可維護(hù)性。分布式虛擬端口組分布式虛擬端口組是分布式虛擬交換機(jī)虛擬端口的集合。連接在同一端口組的虛擬機(jī)網(wǎng)卡，具有相同的網(wǎng)絡(luò)屬性（如：帶寬限

32、速、VLAN、IP和MAC綁定等）。管理員可以通過(guò)對(duì)端口組的集中管理和配置，簡(jiǎn)化對(duì)虛擬機(jī)端口屬性的設(shè)置。分布式虛擬上行鏈路分布式上行鏈路是分布式虛擬交換機(jī)關(guān)聯(lián)的服務(wù)器物理網(wǎng)口，分布式交換機(jī)可關(guān)聯(lián)多個(gè)不同服務(wù)器的端口或綁定端口。通過(guò)綁定端口可提高端口的可靠性或者端口的帶寬。網(wǎng)絡(luò)隔離 支持虛擬局域網(wǎng)(VLAN)隔離方式，便于對(duì)虛擬機(jī)進(jìn)行安全隔離。虛擬局域網(wǎng)與標(biāo)準(zhǔn) IEEE 802.1Q 虛擬局域網(wǎng)實(shí)現(xiàn)方式兼容。虛擬局域網(wǎng)標(biāo)記（VLAN TAGGING），在上行鏈路或進(jìn)入客戶(hù)虛擬機(jī)的所有路徑中使用 IEEE 802.1Q 虛擬局域網(wǎng)標(biāo)記，以增強(qiáng)流量隔離和網(wǎng)絡(luò)安全性。限制第 2 層廣播域的范圍。網(wǎng)絡(luò)遷移當(dāng)虛擬機(jī)在使用同一共享存儲(chǔ)的主