數據中心的虛擬接入是新一代數據中心的重點課題，各方已經爭奪的如火如荼。目前網絡上的中文資料還不多，根據自己的經驗寫了一點對虛擬接入的理解，意在丟磚，引出真正的大佬。

一、為什么虛擬化數據中心需要一臺新的交換機

隨著虛擬化技術的成熟和x86 CPU性能的發展，越來越多的數據中心開始向虛擬化轉型。虛擬化架構能夠在以下幾方面對傳統數據中心進行優化：

◇ 提高物理服務器CPU利用率；

◇ 提高數據中心能耗效率；

◇ 提高數據中心高可用性；

◇ 加快業務的部署速度

正是由于這些不可替代的優點，虛擬化技術正成為數據中心未來發展的方向。然而一個問題的解決，往往伴隨著另一些問題的誕生，數據網絡便是其中之一。隨著越來越多的服務器被改造成虛擬化平臺，數據中心內部的物理網口越來越少，以往十臺數據庫系統就需要十個以太網口，而現在，這十個系統可能是駐留在一臺物理服務器內的十個虛擬機，共享一條上聯網線。

這種模式顯然是不合適的，多個虛擬機收發的數據全部擠在一個出口上，單個操作系統和網絡端口之間不再是一一對應的關系，從網管人員的角度來說，原來針對端口的策略都無法部署，增加了管理的復雜程度。

其次，目前的主流虛擬平臺上，都沒有獨立網管界面，一旦出現問題網管人員與服務器維護人員又要陷入無止盡的扯皮中。當初虛擬化技術推行的一大障礙就是責任界定不清晰，現在這個問題再次阻礙了虛擬化的進一步普及。

接入層的概念不再僅僅針對物理端口，而是延伸到服務器內部，為不同虛擬機之間的流量交換提供服務，將虛擬機同網絡端口重新關聯起來。

二、僅僅在服務器內部實現簡單交換是不能的

既然虛擬機需要完整的數據網絡服務，為什么在軟件里不加上呢？

沒錯，很多人已經為此做了很多工作。作為X86平臺虛擬化的領導廠商，VMWare早已經在其vsphere平臺內置了虛擬交換機vswitch，甚至更進一步，實現了分布式虛擬交互機VDS（vnetwork distributed switch），為一個數據中心內提供一個統一的網絡接入平臺，當虛擬機發生vmotion時，所有端口上的策略都將隨著虛擬機移動。

VMWare干得貌似不錯，實際上在當下大多數情況下也能夠滿足要求了。但如果談到大規模數據中心精細化管理，內置在虛擬化平臺上的軟件交換機還有很多問題沒有解決。首先，目前的vswitch至多只是一個簡單的二層交換機，沒有QoS、沒有二層安全策略、沒有流量鏡像，不是說VMWare沒有能力實現這些功能，但一直以來這些功能好像都被忽略了；其次，網管人員仍然沒有獨立的管理介面，同一臺物理服務器上不同虛機的流量在離開服務器網卡后仍然混雜在一起，對于上聯交換機來說，多個虛擬機的流量仍然共存在一個端口上。

虛擬平臺上的軟件交換機雖然能夠提供基本的二層服務，但是由于這個交換機的管理范圍被限制在物理服務器網卡之下，它沒法在整個數據中心提供針對虛擬機的端到端服務，只有一個整合了虛擬化軟件、物理服務器網卡和上聯交換機的解決方案才能徹底解決所有的問題。

這個方案涉及范圍如此之廣，決定這又是一個只有業界大佬才能參與的游戲。

#p#副標題#e#

三、誰在開發新型交換機？

HP，Cisco。

一個是PC服務器王者，近年開始在網絡領域攻城略地，勢頭異常兇猛；一個是網絡大佬，借著虛擬化浪潮推出服務器產品，頑強地擠進這片紅海。

針對前文所說的問題，兩家拋出了各自的解決方案，目的都是重整虛擬服務器同數據網絡之間那條薄弱的管道，將以往交換機上強大的功能延伸進虛擬化的世界，從而掌握下一代數據中心網絡的話語權。

Cisco和VN-TAG

虛擬化平臺軟件如VMWare ESX部署之后，會模擬出一整套硬件資源，包括CPU、硬盤、顯卡，以及網卡，虛擬機運行在物理服務器的內存中，通過這個模擬網卡對外交換數據，實際上這個網卡并不存在，我們將其定義為一個虛擬網絡接口VIF（Virtual Interface）。VN-tag是由Cisco和VMWare共同提出的一項標準，其核心思想是在標準以太網幀中增加一段專用的標記—VN-Tag，用以區分不同的VIF，從而識別特定虛擬機的流量。

VN-Tag添加在目的和源MAC地址之后，在這個標簽中定義了一種新的地址類型，用以表示一個虛擬機的VIF，每個虛擬機的VIF是唯一的。一個以太幀的VN-Tag中包含一對這樣新地址dvif_id和svif_id，用以表示這個幀從何而來，到何處去。當數據幀從虛擬機流出后，就被加上一個VN-Tag標簽，當多個虛擬機共用一條物理上聯鏈路的時候，基于VN-Tag的源地址dvif_id就能區分不同的流量，形成對應的虛擬通道，類似傳統網絡中在一條Trunk鏈路中承載多條VLAN。只要物理服務器的上聯交換機能夠識別VN-Tag，就能夠在交換機中直接看到不同的VIF，這一下就把對虛擬機網絡管理的范圍從服務器內部轉移到上聯網絡設備上。

思科針對VN-Tag推出了名為Palo的虛擬服務器網卡，Palo卡為不同的虛擬機分配并打上VN-Tag標簽，上聯交換機與服務器之間雖然只有一條網線，但通過VN-Tag上聯交換機能區分不同虛擬機產生的流量，并在物理交換機上生成對應的虛擬接口VEth，和虛擬機的VIF一一對應，好像把虛擬機的VIF和物理交換機的VEth直接對接起來，全部交換工作都在上聯交換機上進行，即使是同一個物理服務器內部的不同虛擬機之間的流量交換，也通過上聯交換機轉發。這樣的做法雖然增加了網卡I/O，但通過VN-Tag，將網絡的工作重新交回到網絡設備。而且，考慮到萬兆接入的普及，服務器的對外網絡帶寬不再是瓶頸，此外，利用Cisco Nexus 2000這種遠端板卡設備，網管人員還能夠直接在一個界面中管理數百臺虛擬機，每個虛擬機就好象在傳統的接入環境中一樣，直接連接到一個交換機網絡端口。

目前，思科推出的UCS服務器已經能夠支持VN-tag，當Palo卡正確安裝之后，會對上層操作系統虛擬出多個虛擬通道，每個通道對應一個VIF，在VMWare EXS/ESXi軟件中可以將虛擬機繞過vswitch，直接連接到這些通道上，而在UCS管理界面上則能夠看到對應的虛擬機，使網管人員能夠直接對這些端口進行操作。

Cisco同VMWare已經將向IEEE提出基于VN-Tag的802.1Qbh草案，作為下一代數據中心虛擬接入的基礎。

HP和VEPA

Cisco提出的VN-Tag，在IT業界引起的震動遠遠大于在客戶那得到的關注，如果802.1Qbh成為唯一的標準，Cisco等于再一次制定了游戲規則，那些剛剛在交換機市場上屯下重兵的廠商，在未來數據中心市場上將追趕得異常痛苦。此外，VN-Tag是交換機加網卡的一攬子方案，還能夠幫助Cisco快速切入服務器市場，對其他人來說是要多不爽有多不爽。

很容易猜到，這其中最不爽的就是HP，在交換機和服務器領域跟Cisco明刀明槍地干上之后，被這樣擺上一道，換誰也不可能無動于衷。HP的應對很直接，推出一個類似的方案，替代VN-Tag。

HP的辦法稱為VEPA（Virtual Ethernet Port Aggregator），其目的是在部署了虛擬化環境的服務器上實現同VN-tag類似的效果，但VEPA采取了一條截然不同的思路來搭建整個方案。

簡單來說，VEPA的核心機制就是兩條：修改生成樹協議、重用Q-in-Q。

VEPA的目標也是要將虛擬機之間的交換行為從服務器內部移出到上聯交換機上，當兩個處于同一服務器內的虛擬機要交換數據時，從虛擬機A出來的數據幀首先會經過服務器網卡送往上聯交換機，上聯交換機通過查看幀頭中帶的MAC地址（虛擬機MAC地址）發現目的主機在同一臺物理服務器中，因此又將這個幀送回原服務器，完成尋址轉發。整個數據流好象一個發卡一樣在上聯交換機上繞了一圈，因此這個行為又稱作“發卡彎”。

雖然“發卡彎”實現了對虛擬機的數據轉發，但這個行為違反了生成樹協議的一項重要原則，即數據幀不能發往收到這個幀的端口，而目前虛擬接入環境基本是一個大二層，因此，在接入層，不可能使用路由來實現這個功能，這就造成了VEPA的機制與生成樹協議之間的矛盾。

但是VEPA沒有vPC，在接入層還是要跑生成樹。HP的辦法就是重寫生成樹協議，或者說在下聯端口上強制進行反射數據幀的行為（Reflective Relay）。這個方式看似粗暴，但一勞永逸地解決了生成樹協議和VEPA機制的沖突，只要考慮周全，不失為一步妙棋。

除了將虛擬機的數據交換轉移到物理服務器上之外，VN-Tag還做了一項重要的工作，就是通過dvif_id和svif_id這對新定義的地址對不同虛機流量進行區分。HP在這里的搞法同樣簡單直接，VEPA使用Q-in-Q在基本的802.1q標記外增加了一層表示不同虛擬機的定義，這樣在VLAN之外，VEPA還能夠通過Q-in-Q區分不同的虛擬機，只要服務器網卡能夠給數據幀打上Q-in-Q標記，上聯交換機能夠處理Q-in-Q幀，基本就可以將不同的虛擬機流量區分開來，并進行處理。

至此，VEPA看起來已近能夠實現同VN-Tag類似的功能，因此HP也將VEPA形成草案，作為802.1Qbg的基礎提交至IEEE。不得不說，VEPA是個非常聰明的設計，不管是對生成樹行為的修改，還是利用Q-in-Q都不是什么不得了的創新，目前的交換機廠商只要把軟件稍微改改，就能夠快速推出支持802.1Qbg的產品，重新搭上數據中心這班快車，追上之前被Cisco甩下的距離。

VN-Tag和VEPA

自從Cisco祭出VN-Tag大旗后，各種爭議就沒停過，直到HP推出VEPA，這場口水仗達到高潮，隨著2011年，802.1Qbh和802.1Qbg標準化進程的加快，圍繞虛擬接入下一代標準的爭奪將進入一個新的階段。

這也不難理解，隨著數據中心內虛擬機數量的不斷增加，越來越多的物理網口轉化為虛擬的VIF，如果一家網絡廠商沒法提供相應的接入解決方案，它的餅會越來越小，活得非常難受。

VN-Tag就是Cisco試圖一統下一個十年數據中心的努力，HP雖然同思科正面開戰時間不長，但從VEPA來看，其手法相當老辣。由于VEPA沒有對以太網數據結構提出任何修改，實現成本非常低，以往被思科掃到大門之外的廠商，一下子見到了曙光，前仆后繼地投靠過來，Juniper、IBM、Qlogic、Brocade等等都毫不掩飾對VEPA的期待，Extreme甚至表示，已近著手修改OS以保證對VEPA的支持。待各方站隊結束，大家發現Cisco雖然有強大的盟友VMWare，但另外一邊幾乎集結了當今網絡界的所有主流廠商，輿論也逐漸重視VEPA的優點，甚至Cisco自己也不得不松嘴說會考慮對802.1Qbg的支持。

戲演到這里，很多人幸災樂禍地等著看Cisco怎么低頭。但有一個問題，VEPA這么完美，為啥Cisco之前沒有采用類似的思路？僅僅為構建一個封閉的體系架構嗎？我認為不是。

回答這個問題前，我們首先要弄清楚另一個問題。以VMWare ESX/ESXi為例，由于ESX/ESXi自帶的vswitch只是模擬了一臺二層交換機，當一臺物理服務器上兩個處于不同VLAN的虛擬機之間需要交換數據時，vswitch是無能為力的。只能將數據送到上聯物理交換機上，由物理交換機完成VLAN間的三層轉發。聽起來是不是很熟悉？這和之前提到的VN-Tag與VEPA的機制很相似，如果現有的虛擬化環境已經能夠將數據交換的行為轉移到上聯交換機，為啥還要大費周折地提出一個新標準呢？

這是因為，當下的這種方案是利用VLAN來隔離不同虛擬機，通過TRUNK將對應多個虛擬機的VLAN送到物理交換機上。這種方式打破了數據中心內對VLAN的使用慣例，比如，網管人員通常會把負責同一業務的多臺服務器放在一個VLAN內，如果VLAN標簽都被用來隔離虛擬機了，則沒法按照傳統方式來區分不同業務，解決了一個問題，帶來另外的問題，這是絕對行不通的。

現在，我們可以回答之前的問題了，新一代的虛擬接入方案是要在不影響802.1Q等原有網絡行為的前提下，完成對虛擬機的接入、區分和管理。有人會說，用PVLAN不可以嗎?但我們怎么保證PVLAN沒有其他的用處呢？出于這樣的思路，Cisco沒有利用現有的任何技術，提出了一個全新的實現方案，正因為VN-Tag從出生起就“干干凈凈”，同誰都沒有瓜葛，因此VN-Tag攜帶的信息就能夠在整個數據中心內自由的傳遞，從而快速為用戶搭建起一個清晰、完整的虛擬接入平臺，所謂“磨刀不誤砍柴工”。

HP充分利用了現有條件，VEPA的整個架構看上去簡潔、高效，但是對生成樹協議改動和利用Q-in-Q無疑會影響到現網的行為。生成樹協議的效率和問題一直是個老大難，但無數聰明絕頂的高手琢磨了這么多年，協議的變動仍然不大，說明對這種基本協議的修改不是一蹴而就的，往往遷一發而動全局，現有的模式是各方協調、妥協的結果。VEPA要在短時間內拿出一個完美的方案，所需花費的精力也許并不比重新提一套方案少。

除了協議本身之外，擺在HP和VEPA面前還有兩個難題，首當其沖就是VMWare的支持。VEPA雖然對交換機硬件改動不大，但要真正跑起來，還需要虛擬化平臺軟件的支持，虛擬網卡和虛擬交換機得主動把所有數據幀扔到上聯交換機上，后面的故事才能續上?？墒荲MWare還是Cisco在VN-Tag上最大的盟友，雖然Cisco已經表示會支持802.1Qbg，但會有多及時就難說了。

時間也就是VEPA的第二個困難。目前，思科的UCS服務器已經能夠提供端到端的VN-Tag部署。而HP的Virtual Connect解決方案僅實現了Q-in-Q的多鏈路，對“發夾彎”的支持并不好，也沒有VMWare的支持，說白了，VEPA還只是圖紙上的設計，沒有實際產品支撐。此外，虛擬接入只是下一代數據中心組成之一，FCoE、THRILL等都非常重要，針對這些技術，HP仍拿不出成型的產品，相反，Cisco在所有領域幾乎都布局完畢，留給HP的時間不多了。

這場針對數據中心接入的爭奪，在2011年必將愈演愈烈，Cisco攜全線產品勢在必得，而HP的VEPA評價聰明的設計，得到業界廣泛支持，故事結局如何，還待靜觀其變。

原文鏈接：http://virtual.51cto.com/art/201103/248753.htm