網(wǎng)絡(luò)虛擬化(Network Virtualization)對(duì)于很多網(wǎng)絡(luò)工程師尤其是剛?cè)胄械男率殖３Ｓ幸环N懵懵懂懂，不甚了然的神秘感覺，雖然常常為之想入非非，最終還是似是而非。在這篇BLOG里面，除了舉例，不涉及具體的技術(shù)和實(shí)現(xiàn)，盡量展現(xiàn)網(wǎng)絡(luò)虛擬化背后的最基本的原理(Rationale)和思想(Idea)?？赡芎芏嗳硕及l(fā)現(xiàn)，理解網(wǎng)絡(luò)技術(shù)和協(xié)議背后的原理和思想比具體配置操作這些技術(shù)和協(xié)議更重要，這就是說，知其然當(dāng)然很好，但更好的是知其所以然。毫無疑問，這一原則同樣地適用于其他計(jì)算機(jī)科學(xué)領(lǐng)域。

 [[140704]]

虛擬網(wǎng)絡(luò)也是網(wǎng)絡(luò)

一般地，一個(gè)虛擬網(wǎng)絡(luò)是在物理網(wǎng)絡(luò)或在其他虛擬網(wǎng)絡(luò)之上，用軟件的方法構(gòu)造出的邏輯網(wǎng)絡(luò)(Logic Network)，以實(shí)現(xiàn)用戶定義的網(wǎng)絡(luò)拓?fù)?Networking Topology)并滿足用戶特定的需求。主要應(yīng)用的場(chǎng)景是多租戶云計(jì)算數(shù)據(jù)中心，在下文中，我們還要展開討論。上面的定義其實(shí)沒有真正揭示虛擬網(wǎng)絡(luò)的內(nèi)涵，實(shí)際上，虛擬網(wǎng)絡(luò)也是網(wǎng)絡(luò)，如果從網(wǎng)絡(luò)是什么這個(gè)簡單得常常被忽略的問題出發(fā)，來探討虛擬網(wǎng)絡(luò)的具體內(nèi)涵，似乎更容易抓住這一概念的本質(zhì)。我們可以從靜態(tài)和動(dòng)態(tài)兩個(gè)角度來審視網(wǎng)絡(luò)：

從靜態(tài)的角度來看，網(wǎng)絡(luò)可表示為數(shù)據(jù)結(jié)構(gòu)中的圖(Graph)，網(wǎng)絡(luò)的節(jié)點(diǎn)(如交換機(jī)和路由器，一些文獻(xiàn)把他們統(tǒng)稱為Datapath)是為圖的頂點(diǎn)(Vertex)，而鏈接(Link)就是圖的邊(Edge)，這就是網(wǎng)絡(luò)的拓?fù)湟晥D。對(duì)于每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，其數(shù)據(jù)(Data Traffic)轉(zhuǎn)發(fā)行為由一系列的查詢表(Lookup Table)如二層MAC表(L2 MAC Table)、三層路由表(L3 FIB Table)，ACL(Access Control Lists)表來定義。當(dāng)從某個(gè)端口收到一個(gè)數(shù)據(jù)報(bào)文(Packet)或數(shù)據(jù)幀(Frame)時(shí)，轉(zhuǎn)發(fā)引擎(Forwarding Engine)通過解析，查表，應(yīng)用策略(如 QoS)，最后，將報(bào)文或幀從另一個(gè)端口轉(zhuǎn)出。這里只是給出非常粗略的描述，實(shí)際的情況要復(fù)雜很多，其實(shí)這也就是我們平常所說的網(wǎng)絡(luò)的數(shù)據(jù)平面(Data Plane)，對(duì)應(yīng)于物理交換機(jī)的交換芯片的轉(zhuǎn)發(fā)引擎的功能。當(dāng)然，也可以看做SDN模式下，由Controller控制的數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備(如OpenFlow交換機(jī))。

從動(dòng)態(tài)的角度來看，網(wǎng)絡(luò)把數(shù)據(jù)流(Data Traffic)從一個(gè)和網(wǎng)絡(luò)連接的主機(jī)(Host)送到另一個(gè)和網(wǎng)絡(luò)連接的主機(jī)，這里，主機(jī)可以是物理服務(wù)器，也可以是虛擬計(jì)算機(jī)(Virtual Machine)。為此，事先要有一個(gè)定義好的地址空間，每個(gè)主機(jī)和網(wǎng)絡(luò)節(jié)點(diǎn)都被分配(動(dòng)態(tài)的或靜態(tài)的)一個(gè)唯一標(biāo)識(shí)自己的地址，如IP地址。這樣，根據(jù)地址就能夠識(shí)別出每個(gè)主機(jī)在網(wǎng)絡(luò)中的位置，即接入網(wǎng)絡(luò)的入口節(jié)點(diǎn)。兩個(gè)主機(jī)要交換數(shù)據(jù)，首先要計(jì)算出他們之間的數(shù)據(jù)流的通路，上文把網(wǎng)絡(luò)比作數(shù)據(jù)結(jié)構(gòu)的圖，這里的通路當(dāng)然相當(dāng)于圖中的路徑(Path)了，可表示為一個(gè)向量，其中的每個(gè)元素代表一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)/頂點(diǎn)，兩個(gè)相鄰的網(wǎng)絡(luò)節(jié)點(diǎn)/頂點(diǎn)之間有鏈路/邊相連接，向量的頭元素和尾元素分別與通信的主機(jī)相連。數(shù)據(jù)流透過這一通路，經(jīng)過中間網(wǎng)絡(luò)節(jié)點(diǎn)的中轉(zhuǎn)，就從源主機(jī)到達(dá)目的主機(jī)。幾乎所有的L3路由協(xié)議，無論是距離矢量(distance-vector)路由協(xié)議如BGP還是鏈路狀態(tài)(link-state)路由協(xié)議如OSPF，顧名思義，都有一個(gè)簡單的目標(biāo)，就是計(jì)算并生成主機(jī)或子網(wǎng)之間的路由，即通路，并最終將具體的Route Entries安裝到網(wǎng)絡(luò)節(jié)點(diǎn)的FIB中。本質(zhì)上，L2的網(wǎng)絡(luò)也有自己的機(jī)制來計(jì)算通路，轉(zhuǎn)發(fā)數(shù)據(jù)，如Ethernet交換機(jī)通過MAC地址學(xué)習(xí)(MAC Learning)來獲取數(shù)據(jù)幀的Egress端口，從而將數(shù)據(jù)流轉(zhuǎn)發(fā)到目的主機(jī)。上述的這一動(dòng)態(tài)過程是由網(wǎng)絡(luò)的控制平面(Control Plane)來管理的，網(wǎng)絡(luò)操作員(Network Operator)通過控制平面配置L2/L3的路由和轉(zhuǎn)發(fā)協(xié)議，達(dá)到數(shù)據(jù)在主機(jī)之間交換的目的。對(duì)應(yīng)于交換機(jī)，控制平面就是運(yùn)行在CPU之上的操作系統(tǒng);而對(duì)于SDN的模式來說，控制平面是由Controller及上面的應(yīng)用來實(shí)現(xiàn)的。更通俗地講，在兩個(gè)主機(jī)交換數(shù)據(jù)之前，網(wǎng)絡(luò)的控制平面需要回答三個(gè)問題：第一，你是誰?(目的主機(jī)的地址是什么?);第二，你在哪里?(目的主機(jī)和網(wǎng)絡(luò)的哪個(gè)節(jié)點(diǎn)連接?);第三，如何找到你?(到達(dá)目的主機(jī)的通路如何建立?)。

簡單總結(jié)一下，網(wǎng)絡(luò)有兩部分構(gòu)成：第一，由網(wǎng)絡(luò)節(jié)點(diǎn)(datapath)作為頂點(diǎn)和網(wǎng)絡(luò)鏈接作為邊構(gòu)成的靜態(tài)的拓?fù)鋱D;第二，由各種網(wǎng)絡(luò)協(xié)議構(gòu)成的動(dòng)態(tài)的數(shù)據(jù)流路由轉(zhuǎn)發(fā)機(jī)制。若是忘掉那些枯燥繁雜的各式各樣的系統(tǒng)、設(shè)備、協(xié)議的配置細(xì)節(jié)，網(wǎng)絡(luò)其實(shí)就是這點(diǎn)事兒，看起來并不復(fù)雜。虛擬網(wǎng)絡(luò)作為邏輯意義上的網(wǎng)絡(luò)，具備網(wǎng)絡(luò)的所有組成要素，包括網(wǎng)絡(luò)拓?fù)?，如網(wǎng)絡(luò)節(jié)點(diǎn)、鏈接、網(wǎng)絡(luò)節(jié)點(diǎn)中的查詢表等，相對(duì)于物理網(wǎng)絡(luò)，這些只不過是虛擬的，邏輯的，軟件實(shí)現(xiàn)的。同樣地，虛擬網(wǎng)絡(luò)也可以是L2網(wǎng)絡(luò)或L3網(wǎng)絡(luò)，分別使用不同的控制平面管理，因此也是可配置的。

文獻(xiàn)1在討論SDN(Software Defined Networking)編程語言Pyretic的拓?fù)涑橄?Topology Abstraction)時(shí)，使用了一種叫做Network Object的機(jī)制，實(shí)際上就是給編程用戶提供了一個(gè)虛擬網(wǎng)絡(luò)。上圖是Network Object的一個(gè)多對(duì)一(many-to-one)的示例，對(duì)于用戶而言，可見的(Visible)是上面的一個(gè)虛擬交換機(jī)連接三個(gè)主機(jī)的虛擬網(wǎng)絡(luò)，而不是下面的由三個(gè)交換機(jī)組成的物理網(wǎng)絡(luò)。這一虛擬網(wǎng)絡(luò)對(duì)于實(shí)現(xiàn)某些應(yīng)用提供了極大的方便，假設(shè)給定一個(gè)SDN的Controller，使用OpenFlow實(shí)現(xiàn)一個(gè)類似L2網(wǎng)絡(luò)的MAC-Learning模塊時(shí)，開發(fā)者就只需面對(duì)單獨(dú)的一個(gè)虛擬交換機(jī)，而不必考慮物理網(wǎng)絡(luò)的復(fù)雜的拓?fù)浣Y(jié)構(gòu)，也無須考慮如何用spanning tree來避免循環(huán)回路的細(xì)枝末節(jié)，從而只要把相關(guān)的Flow Entries安裝在這一個(gè)假設(shè)支持OpenFlow的虛擬交換機(jī)上，何等簡單快捷。而對(duì)于虛擬交換機(jī)到物理交換機(jī)的映射，則由Pyretic的runtime系統(tǒng)來完成，它還要把用戶安裝到虛擬交換機(jī)上面的Flow Entries轉(zhuǎn)換成各個(gè)物理交換機(jī)的Flow Entries并安裝到物理交換機(jī)上。具體的細(xì)節(jié)可閱讀文獻(xiàn)1。

實(shí)際上，虛擬網(wǎng)絡(luò)也并不是什么新概念。目前廣泛使用的VLAN技術(shù)就是把一個(gè)物理的L2網(wǎng)絡(luò)變身為多個(gè)邏輯的虛擬L2網(wǎng)絡(luò)，與此同時(shí)，也把一個(gè)廣播域(broadcast domain)分隔成多個(gè)廣播域。而VRF(VPN Routing/Forwarding)之于L3就如同VLAN之于L2，VRF可以使一個(gè)物理路由器(Router)擁有多個(gè)FIB，從而把單一的路由器分隔成多個(gè)“虛擬”的路由器，以支持不同的VPN實(shí)例(Instance)。這是兩個(gè)一對(duì)多(one-to-many)的虛擬網(wǎng)絡(luò)的例子。

虛擬網(wǎng)絡(luò)所為何事

虛擬網(wǎng)絡(luò)的興起不是偶然的，這要從云計(jì)算說起。云應(yīng)用模式下，存在著多個(gè)云資源的租賃者(Tenant)，所有的租戶共享云服務(wù)商的物理基礎(chǔ)設(shè)施，包括服務(wù)器，存儲(chǔ)，網(wǎng)絡(luò)，這就形成了多租戶模式(Muti-Tenancy)。這種方式特別地受到資金并不富裕的互聯(lián)網(wǎng)創(chuàng)業(yè)公式的青睞。租戶希望云服務(wù)商提供的網(wǎng)絡(luò)作為自身企業(yè)網(wǎng)絡(luò)自然的延伸和擴(kuò)展，所謂“自然”就是不需要改變自身網(wǎng)絡(luò)配置的情況下和云服務(wù)商提供的網(wǎng)絡(luò)資源無縫的集成在一起。與此同時(shí)，也能夠把自身企業(yè)網(wǎng)絡(luò)承載的應(yīng)用和服務(wù)自然地遷移部署到云服務(wù)商的網(wǎng)絡(luò)上。對(duì)云服務(wù)商的數(shù)據(jù)中心來說，傳統(tǒng)的L2/L3的網(wǎng)絡(luò)技術(shù)很難適應(yīng)這個(gè)難度很高的技術(shù)挑戰(zhàn)，必須改變已有的網(wǎng)絡(luò)管理的模式和向租戶提供網(wǎng)絡(luò)資源(provision)的方式。

租戶希望快速的把自己的應(yīng)用部署到云服務(wù)商提供的網(wǎng)絡(luò)、計(jì)算和存儲(chǔ)的資源，而且這些資源要具有高度的可擴(kuò)展性和可伸縮性。比如某租戶在云端的數(shù)據(jù)中心部署一個(gè)典型的Web應(yīng)用，一般地，Web應(yīng)用有表示層(Presentation Tier)、業(yè)務(wù)層(Business Tier)和數(shù)據(jù)層(Data Storage Tier)構(gòu)成，各層之間相互隔離，由復(fù)雜的網(wǎng)絡(luò)連接完成數(shù)據(jù)交換，如下圖所示。聯(lián)通這些服務(wù)器或虛擬機(jī)，需要網(wǎng)絡(luò)管理員一個(gè)設(shè)備一個(gè)設(shè)備的配置，這是極其瑣碎且很容易出錯(cuò)的工作，需要耗費(fèi)很長的時(shí)間反復(fù)調(diào)試。另外，這樣的Web應(yīng)用對(duì)計(jì)算和存儲(chǔ)資源的需求是可擴(kuò)展的和可伸縮的，意味著連接這些計(jì)算和存儲(chǔ)資源的網(wǎng)絡(luò)拓?fù)湟惨S之變大變小，無疑更加重了配置的工作。更加不幸的是，云服務(wù)提供商的數(shù)據(jù)中心要承載成千上萬的倏興倏滅的不同租戶的應(yīng)用，這些應(yīng)用對(duì)部署的時(shí)間往往有苛刻的要求。并且，出于安全的考慮，不同應(yīng)用之間的網(wǎng)絡(luò)還要實(shí)施嚴(yán)格的隔離，不允許有數(shù)據(jù)交換。所以必須以更加高效的靈活的可靠的方式向租戶的應(yīng)用提供動(dòng)態(tài)變化的網(wǎng)絡(luò)服務(wù)。

一方面，租戶能夠快速的獲取虛擬的計(jì)算和存儲(chǔ)資源，另一方面，卻需要較長時(shí)間等待網(wǎng)絡(luò)資源配置的完成。面對(duì)云模式下新的應(yīng)用需求，網(wǎng)絡(luò)陷入了疲于奔命的尷尬的窘境，等待著虛擬化的救贖。計(jì)算存儲(chǔ)資源的虛擬化通過hypervisor的技術(shù)已趨成熟，云計(jì)算虛擬化的最后一里路就是網(wǎng)絡(luò)的虛擬化。這意味著，云服務(wù)商給租戶的網(wǎng)絡(luò)是虛擬網(wǎng)絡(luò)，盡管使用相同的底層物理網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，每個(gè)租戶得到的虛擬網(wǎng)絡(luò)(包括控制平面和數(shù)據(jù)平面)卻是相互獨(dú)立的，完全隔離的，通過云服務(wù)商提供的控制平面，租戶可任意的配置管理自己的虛擬網(wǎng)絡(luò)。更為重要的是，在軟件的幫助下，虛擬網(wǎng)絡(luò)可以很快地交付給租戶。加上虛擬的計(jì)算和存儲(chǔ)資源，每個(gè)租戶的虛擬資源形成一個(gè)完整的VPC(Virtual Private Cloud)。虛擬網(wǎng)絡(luò)隔離的特性使得每個(gè)虛擬網(wǎng)絡(luò)可以使用重疊的甚至相同的地址空間，而不必?fù)?dān)心相互干擾。如兩個(gè)L3的虛擬網(wǎng)絡(luò)都可以使用10.0.0.0/8作為自己的地址空間，一個(gè)L2的虛擬網(wǎng)絡(luò)不可能看到或?qū)W到另外一個(gè)L2虛擬網(wǎng)絡(luò)的設(shè)備的MAC地址，更不可能通過L2協(xié)議交換數(shù)據(jù)。對(duì)于混合云(Hybrid Cloud)的租戶，這是極大的方便，因?yàn)樵贫说奶摂M網(wǎng)絡(luò)可以使用租戶自身網(wǎng)絡(luò)的地址空間，而不用考慮這一地址空間是如何定義的。

如果我們把這種計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源的租賃模式看做云，那么，正是虛擬技術(shù)把計(jì)算的云裝扮成云卷云舒的曼妙世界。

Overlay助力虛擬網(wǎng)絡(luò)

從現(xiàn)有的產(chǎn)品和解決方案來看，虛擬網(wǎng)絡(luò)大多是借助于Overlay的技術(shù)實(shí)現(xiàn)的，如VMware的NSX。Overlay網(wǎng)絡(luò)也是一個(gè)網(wǎng)絡(luò)，不過是建立在Unerlay網(wǎng)絡(luò)之上的網(wǎng)絡(luò)。Overlay網(wǎng)絡(luò)的節(jié)點(diǎn)通過虛擬的或邏輯的鏈接進(jìn)行通信，每一個(gè)虛擬的或邏輯的鏈接對(duì)應(yīng)于Underlay網(wǎng)絡(luò)的一條路徑(Path)，由多個(gè)前后銜接的鏈接組成。需要注意的是，Overlay網(wǎng)絡(luò)和Underlay網(wǎng)絡(luò)是相互獨(dú)立的，Overlay網(wǎng)絡(luò)使用Underlay網(wǎng)絡(luò)點(diǎn)對(duì)點(diǎn)(peer-to-peer)的傳遞報(bào)文，而報(bào)文如何傳遞到Overlay網(wǎng)絡(luò)的目的節(jié)點(diǎn)完全取決于Underlay網(wǎng)絡(luò)的控制平面和數(shù)據(jù)平面，報(bào)文在Overlay網(wǎng)絡(luò)Ingress和Egress節(jié)點(diǎn)的處理(如拋棄，轉(zhuǎn)發(fā))則完全由Overlay網(wǎng)絡(luò)的封裝協(xié)議來決定。Overlay/Underlay既不新鮮，也不神秘，比如在TCP/IP的Layer模型中，L3的IP網(wǎng)絡(luò)可以看做L2的Ethernet網(wǎng)絡(luò)的Overlay網(wǎng)絡(luò)，而L2的Ehernet網(wǎng)絡(luò)就是L3的IP網(wǎng)絡(luò)的Underlay網(wǎng)絡(luò)。

由此不難看出，在向租戶提供虛擬資源租賃服務(wù)時(shí)，每個(gè)租戶的虛擬網(wǎng)絡(luò)就實(shí)現(xiàn)為以云服務(wù)商數(shù)據(jù)中心IP網(wǎng)絡(luò)為Underlay網(wǎng)絡(luò)的Overlay網(wǎng)絡(luò)。上圖給出了云服務(wù)數(shù)據(jù)中心虛擬網(wǎng)絡(luò)功能模塊的簡單示意圖，省略了許多細(xì)節(jié)。假設(shè)每個(gè)物理服務(wù)器中裝有多個(gè)不同租戶的虛擬機(jī)，如Tenant A，Tenant B和Tenant C，圖中分別以不同的顏色來標(biāo)識(shí)。租戶的虛擬機(jī)通過物理的或邏輯的鏈接接入IP網(wǎng)絡(luò)(即Underlay網(wǎng)絡(luò))的虛擬邊緣設(shè)備(NVE, Network Virtualization Edge)。NVE是實(shí)現(xiàn)虛擬網(wǎng)絡(luò)的關(guān)鍵模塊，它可以實(shí)現(xiàn)為Hypevisor的虛擬交換機(jī)的功能，也可以在物理交換機(jī)或路由器中實(shí)現(xiàn)。對(duì)于一個(gè)給定租戶的虛擬網(wǎng)絡(luò)，NVE幫助建立終端節(jié)點(diǎn)到終端節(jié)點(diǎn)的邏輯鏈接，即隧道。要完成這一任務(wù)，在每個(gè)NVE中維護(hù)一個(gè)可達(dá)信息(Reachability Information)的MAP表，結(jié)合我們的例子，其內(nèi)容如下。根據(jù)實(shí)現(xiàn)技術(shù)和隧道封裝協(xié)議的不同，可達(dá)信息的內(nèi)容和形式也會(huì)大相徑庭，這里只是為了說明的方便，給出一個(gè)簡化的版本。在表中，Address指的是NVE的地址，VNID(Virtual Network Identifier)是虛擬機(jī)VM所屬的虛擬網(wǎng)絡(luò)的全局唯一ID，每個(gè)租戶可以有一個(gè)或多個(gè)虛擬網(wǎng)絡(luò)，VAP(Virtual Access Point)是VM接入NVE的虛擬接口，NVE可用它來判斷報(bào)文來之哪個(gè)VM。假設(shè)Tenant A的虛擬機(jī)VM_A1向VM_A2發(fā)送一個(gè)報(bào)文，NVE 1得到這個(gè)報(bào)文后，就可以進(jìn)行隧道封裝，具體如何封裝由隧道的封裝協(xié)議來定義，一般地，封裝之后，外層的封裝協(xié)議的協(xié)議頭中必定包括如下信息：虛擬網(wǎng)絡(luò)的ID，源IP地址和目的IP地址，外層的源IP地址就是NVE 1(Ingress)的IP地址，外層的目的IP地址就是NVE 2(Egress)的IP地址。這些封裝信息都可以從關(guān)鍵的可達(dá)信息MAP表中獲取。封裝后的報(bào)文就可以作為普通的IP報(bào)文在Underlay的IP網(wǎng)絡(luò)中從一個(gè)NVE傳遞到另一個(gè)NVE。NVE 2收到報(bào)文后，解封裝，根據(jù)VNID及報(bào)文本身的地址信息，將報(bào)文轉(zhuǎn)給VM_A2。

NVE是如何獲取可達(dá)信息MAP表的呢?這由虛擬網(wǎng)絡(luò)或Overlay網(wǎng)絡(luò)的控制平面完成，有兩種方法：第一種方式可稱為分布式的方法，NVE首先得到和其直接相關(guān)的可達(dá)信息，即直連的VM和VM的VNID，然后NVE之間直接對(duì)話，相互交換可達(dá)信息，VM和NVE之間以及NVE和NVE之間要有定義好的標(biāo)準(zhǔn)的對(duì)話協(xié)議，這和傳統(tǒng)的路由協(xié)議的原理完全一樣，其缺點(diǎn)是需要就這些對(duì)話協(xié)議單獨(dú)配置每個(gè)NVE;第二種方式是集中式的方法，也就是SDN的方法，SDN的三個(gè)顯著特征就是數(shù)據(jù)平面與管理平面隔離，集中式管理和可編程，因此，可達(dá)信息可通過類似于OpenStack的Orchestration系統(tǒng)配置計(jì)算和存儲(chǔ)資源時(shí)自動(dòng)生成，再由控制器(Controller)中轉(zhuǎn)到每個(gè)參與的NVE，這是一個(gè)自動(dòng)配置的過程(Automatic Configuration)，可快速向租戶交互云端的網(wǎng)絡(luò)虛擬資源。SDN的方法的最大優(yōu)點(diǎn)就是一個(gè)字，快!因此，這會(huì)是云計(jì)算數(shù)據(jù)中心部署SDN解決方案的最大動(dòng)力。可達(dá)信息MAP表還是支持VM動(dòng)態(tài)遷移的秘密所在，一個(gè)VM無論遷移到哪個(gè)物理服務(wù)器上，只要通過上述兩種方式使得每個(gè)NVE的可達(dá)信息MAP表及時(shí)更新，就能夠保持該VM與外界的正常通信。

VXLAN:看個(gè)例子吧

目前，數(shù)據(jù)中心實(shí)現(xiàn)虛擬網(wǎng)絡(luò)最為看好的封裝協(xié)議就是VXLAN，背后有Cisco和VMware的支持。VXLAN是以IP網(wǎng)絡(luò)作為Underlay網(wǎng)絡(luò)，向租戶提供L2的虛擬網(wǎng)絡(luò)，當(dāng)然也是Overlay網(wǎng)絡(luò)。VXLAN把租戶的Ethernet數(shù)據(jù)幀(Frame)封裝到UDP報(bào)文中，如下圖(來自文獻(xiàn)6)。然后，在Underlay的IP網(wǎng)絡(luò)中通過隧道從一個(gè)VTEP(VXLAN Tunnel End Point)傳遞到另一個(gè)VTEP，不難理解，VTEP相當(dāng)于上文中的NVE，而VXLAN ID就相當(dāng)于上文的VNID，VXLAN ID有24位的編碼空間，大大超過VLAN的12位編碼空間。

VXLAN的可達(dá)信息MAP表有兩個(gè)表：VTEP L2 Table和VLAN to VXLAN ID MAP， 如下圖所示(來自文獻(xiàn)6)。Ingress VTEP封裝時(shí)，從VLAN ID查詢到VXLAN ID，然后根據(jù)MAC和VXLAN ID得到遠(yuǎn)端的Egress VTEP的IP地址;Egress VTEP解封裝時(shí)，其過程與之相反。

文獻(xiàn)6和文獻(xiàn)7是非常好的有關(guān)VXLAN的技術(shù)文檔，有興趣了解VXLAN更多細(xì)節(jié)的朋友可參考這兩篇文檔。其他類似的協(xié)議還有STT(Stateless Transport Tunneling)和NVGRE，請(qǐng)參考文獻(xiàn)8。

參考文獻(xiàn)

1. Composing Software-Defined Networks. 

2. Network Virtualization in Multi-tenant Datacenters.

3. Cloud computing. 

4. Framework for Data Center (DC) Network Virtualization.

5. Problem Statement: Overlays for Network Virtualization. 

6. VXLAN Deep Dive. 

7. VXLAN Deep Dive – Part II. 

8. Tunneling for Network Virtualization.