《-云计算网络课件第4章网络虚拟化技术PPT内容-.docx》由会员分享,可在线阅读,更多相关《-云计算网络课件第4章网络虚拟化技术PPT内容-.docx(7页珍藏版)》请在课桌文档上搜索。
1、”云计算网络课件第4章网络虚拟化技术PPT内容111、第4章网络虚拟化技术网络虚拟化概述传统网络隧道技术LAN技术其他网络虚拟化技术VPC技术服务器虚拟化与网络技术2网络虚拟化是指通过虚拟化技术把物理网络虚拟为多个规律网络其实现方式通常是使用不同的标签(例如:VLANTag)等方式来区分属于不同用户的数据流,并使用隧道等技术实现对用户数据的透亮传输用户所能感知到的是基于物理网络虚拟化之后的虚拟网络在网络虚拟化的基础之上,云服务供应商能够实现更加敏捷的资源安排,减低运营成本网络虚拟化是实现代云数据中心中各项资源高效利用的重要技术网络虚拟化34传统的网络隧道技术包括VLAN与Q-in-QMPLSG
2、RE传统网络隧道技术VLAN(Virtual2、LocalAreaNetwork,虚拟局域网)是一种基于以太网的网络虚拟化技术。它可以通过在同一个物理局域网中划分出多个规律上独立的虚拟局域网的方式,来隔离不同用户的广播域。VLAN5Q-in-Q(IEEE802.1ad),也称为StaCkedVLAN或者DoubleVLANQ-in-Q是一种基于IEEE802.1Q标准进行扩展之后的隧道技术其核心思想是在VLAN以太网帧中,把用户私网的VLAN标签封装到运营商公网的VLAN标签中,以堆叠使用两个IEEE802.1Q标签Q-in-Q6Q-in-Q转发示例7MPLS(Multi-ProtocolLa
3、belSwitching,多协3、议标签交换)是一种基于标签的转发技术,能够承载任意的数据协议(例如:IPv4和IPv6),并且可以工作在任何链路协议(例如:以太网和ATM网络等)转发等价类(ForwardingEquivalenceClass,FEC)标签交换路由器(LabelSwitchingRouter,LSR)边缘标签交换路由器(LabelSwitchingEdgeRouter,LER)标签交换路径(LabelSwitchedPath,LSP)MPLS技术8MPLS帧结构和网络示例9GRE(GenericRoutingEncapsulation,通用路由封装)协议GRE的目标是对网络层
4、协议(例如:4、IPV6、IPX和APPieTaIk等协议)进行封装,解决不同网络层协议的报文传输问题GRE协议中的隧道是一条点对点的连接,供应了一条数据通路,使得被GRE协议封装后的数据报文能够在基于其它网络层协议的网络中通行隧道两端分别是GRE协议的封装与解封装节点,负责把其它网络层协议的数据报文封装到GRE协议数据报文中,以及还原为原始网络层协议GRE技术10假设使用GRE协议来封装IPv6数据包,并在IPv4网络上进行传输在帧结构最前端的是用于传输GRE报文的网络层协议的包头(此处为IPv4协议包头),之后是GRE协议的包头GRE协议帧结构11为解决VLAN在数据中心环境下问题,思科和
5、VmWare等5、合作提出了LAN(VirtualextensibleLocalAreaNetwork,虚拟可扩展局域网),见IETFRFC7348LAN是一种大二层的网络虚拟化技术,在现有的三层物理网络上构造出虚拟的二层网络LAN属于OVerlay网络技术的一种,采纳UDP进行封装,通过封装技术使得租户的二层报文能够跨越三层网络进行传输LAN技术12VTEP(LANTunnelEndPoint,LAN隧道端点):LAN的封装饰,关于LAN的处理过程都在VTEP上进行VNl(LANNetworkIdentifier,LAN网络标识符):用于标识L6、AN,使用24位整数进行标识,足以支持上千万
6、租户的使用,完全满意数据中心网络的需求LAN隧道:是两个VTEP之间的点对点的规律隧道,没有详细的物理实体相对应。隧道双方无法感知底层网络的存在,是一种虚拟通道LAN的基本概念13LAN组网模型示意图14LAN采纳的是一种MAC-in-UDP的数据帧,在源终端上发出的原始报文上依次加入了LAN包头、外部UDP包头、外部IP包头和外部MAC帧头。其中,LAN包头部用于保存LAN协议相关的内容,而UDP包头用于在底层网络上传输报文LAN帧结构15VMl向VM2发送数据包的过程如下所示:VMl发送IP数据包到VM2VTEP7、1收到该数据包,查找LAN表,确定这个IP数据包的目的地为VTEP2,即对
7、该数据包进行封装VTEP2接收到该数据包后,拆分该数据包找到VNI为3001的端口组,找至UVM2并转发VM2收到该数据包后进行处理。LAN数据帧转发16案例:使用LAN实现ARP1718NVGRESTTGeneve其他网络虚拟化技术NVGRE(NetworkVirtualizationusingGenericRoutingEncapsulation)协议,是由MiCrOSOft、InteI、HP和Dell等企业主导的,用于在大型网络中解决VLANID数目不足的问题的网络虚拟化协议NVGRE使用了G8、RE包头中的低24位作为租户网络识别符(TenantNetworkIdentifier,TN
8、I),以供应约1600万个ID来区分网络中不同的虚拟网络NVGRE使用GRE作为二层数据包隧道的基础,把来自用户网络的二层数据帧完整地封装到GREPayload中。NVGRE技术19NVGRE对传统的GRE进行了改造,一个24位的VSID(Virtualsubnetidentifier)字段用于标识租户,通过VSID划分一个虚拟二层广播域。同时加入了GRE头、外部IP头和外部以太网头NVGRE封装20状态隧道传输技术STT(StatelessTransportTunneling)是Nicira和VMWare等企业所提出的一种MAC-OVer-IP的封装方案,主要用于数据中心网络环境下的虚拟交换
9、机之间传输大量数据STT的包头被设计为与TCP包头相像的结构,以充分利用网卡上的TSO(TCPSegmentationOffload)功能,使得分片和重组数据包的操作能够卸载到网卡上执行,从而降低对服务器CPU资源的占用与TCP协议不同,STT没有任何状态信息。STT技术21STT协议的类TCP包头中,原TCP包头所定义的确认号字段被STT协议用来告知网卡哪些数据包是属于同一个巨型帧的,并让网卡把序列号相同的分片组装起来原TCP包头所定义的序列号字段,被STT协议用来告知网卡这些数10、据包的片偏移,使得这些分片能够以正确的挨次被重组。STT协议的类TCP包头22STT供应了64位Networ
10、kID来区分不同的网络,能够在更大规模的网络中使用(LAN和NVGRE只有24位)STT封装过程:STT封装23Geneve(GenericNetworkVirtualizationEncapsulation)NVO3(NetworkVirtualizationOverlays)提出的网络虚拟化协议GeneVe综合考虑了LAN、NVGRESTT的优点和缺点旨在通过为网络虚拟化供应通用的隧道封装框架,以顺应后续隧道机制的不断变化Geneve技术24Geneve采纳了11、与LAN相同的“MAC-in-UDP隧道Geneve封装格式25技术名称技术名称标准标准提出者提出者/支持者支持者虚拟化方式虚
11、拟化方式特点特点Vlanieee802.11QIEEE提出VLAN标签较早提出的网络虚拟化概念。Q-in-QIEEE802.1adlEEE提出访用2个VLAN标签从租户数量上对VLAN的改进。MPLSlETFRFC3031IETF提出、CiscoJUniPer支持MPLS标签目的是提高路由交换设备的转发速度。GREIETFRFCl701IETF提出GRE包头实现一条点对点的连接隧道。NVGREIETFRFC7637MiCrOSoft、Inter、HP、12、DeIl等支持NVGRE包头用于大型网络解决VLAN租户数量不足。STTIETF草案阶段VMware提出STT包头用于数据中心的虚拟交换机
12、之间传输大量数据。GeneveIETF草案阶段NVo3提出Geneve包头使用UDP头封装节约性能开销;避开了STT一些穿越问题。LANIETFRFC7348CiscoVMware等支持LAN包头较为成熟且应用广泛的虚拟化技术。各种隧道协议的对比26VPC(VirtUalPrivateClOUd,虚拟私有云)最早是由AWSCAmazonWebServices,亚马逊网络服务)在2022年提出的一种云计算网络服务VPC并不是一项新的独立的技13、术,而是由亚马逊将之前已存在的服务和技术重新编排成为了一项新的网络服务VPC更像是公有云服务商以打包的形式供应服务VPC技术27特征特征EC2-Clas
13、sicVPC公有公有IPv4地址地址(来自公有(来自公有IP地址池)地址池)用户的实例从EC2-Classic公有IPv4地址池接收公有IPv4地址。在默认子网中启动的实例会受到公有IPv4地址,除非用户在启动过程中另行指定,或修改子网的公有IPv4地址属性。私有私有IPv4地址地址用户的实例在每次启动时会安排一个处于EC2-Classic范围内的IPv4地址。用户的实例会安排一个处于默认VPC地址范围内的静态私有IPv4地址。弹性弹性IP地址14、地址当用户停止实例时,弹性IP会取消与实例的关联。当用户停止实例时,弹性IP会保持与实例的关联。安排弹性安排弹性IP地址地址将弹性IP地址与实例相
14、关联。弹性IP地址是网络接口的一个属性。用户可以通过更新附加到实例的网络接口,将弹性IP地址与该实例关联起来。平安组平安组平安组可以引用属于其它AWS账户的平安组。平安组只能引用用户自己的VPC的平安组。平安组关联平安组关联启动实例时,用户可以为其安排无限数量的平安组。用户最多可以为一个实例安排5个平安组。并且可以在启动实例时和实例运行过程中为其安排平安组。平安组规章平安组规章用户只能为入口流量添加规章。用户可以为入口和出口流量添加规章访15问访问Internet用户的实例可以访问Internet,可以自动接收公有IP地址,并且可以直接通过AWS网络边界访问Internet。用户的实例可以访问Interne3默认会接收一个公有IP地址。一个Imernet网关附加到用户的默认VPC,并且该默认子网有一个到Internet网关的路由。IPv6寻址寻址不支持用户可以选择将一个IPv6CIDR块与VPC关联,并将IPv6地址安排给VPC中的实例。VPC与经典网络的对比28AmazonVPC组网架构29网络虚拟化的概念和作用传统网络隧道技术,例如:VLANMPLS等LAN技术,包括其概念和帧结构,以及LAN技术的封装过程等其他几种实现网络虚拟化的隧道技术,例如:NVGRE、STT和GeneVe等云计算中的网络虚拟化:AWS的VPC服务本章小结30感谢观看!31