网络虚拟化技术在企业园区网络环境中的应用

祝彦峰

摘要：随着企业信息化的发展，网络虚拟化技术尤其是堆叠技术在企业中的应用越来越广泛。对网络虚拟化原理简要分析，以华为公司SVF技术为例，提供了建设纵向网络虚拟化的企业园区网络的部署方案，极大简化网络部署，提升网络效能，增强网络的安全性、稳定性、可靠性，为企业部署纵向堆叠网络虚拟化技术提供参考。

关键词：网络虚拟化技术;纵向虚拟化;交换机;SVF

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2020）05-0047-04

开放科学（资源服务）标识码（OSID）：

1 概述

在企业网络的建设中，传统的部署方式为核心、汇聚、接入三层架构，这种架构在企业网中发挥了有效的分层管理作用，使网络结构清晰，管理较为方便。随着企业业务结构的不断演进，虚拟化技术逐渐进入企业网络，传统网络的三层架构也逐渐转向虚拟网络架构。从应用规模上有小型网络的逻辑隔离vlan技术，也有数据中心的大二層Vxlan技术的网络虚拟化。在应用领域也有不同的方向，类型主要有单一设备虚拟多逻辑设备（如vlan技术）、单一网络虚拟多网络（如vxlan技术）、网络硬件设备虚拟化软件化（如SDN、NFV技术）、多设备虚拟成单一逻辑设备（如cluster/stack堆叠技术），在企业网络的中，更多的形式为采用堆叠方式的网络虚拟化技术来增强网络的可靠性，并简化网络管理，提高生产效率。

2 网络虚拟化原理

网络虚拟化技术随着网络交换技术的进化，先出现了较为普遍的横向堆叠技术，主要用于增加业务端口数量、提高网络故障的快速自愈能力，实现统一设备管理。以标准的心跳方式保活，交换拓扑信息计算网络拓扑结构，由以选举方式获得主控权的交换机进行统一管理，主要应用于同层级的多交换机虚拟化，各自厂家均有自有的技术，如思科公司的VSS/StackWise技术、华为公司的CSS/Istack技术、华三公司的IRF技术。在进一步的发展中，随着多层级网络规模的扩大，设备管理和业务调整越发复杂，业务受理时长显著增加。为了解决企业接入网络的复杂性，增强企业网络健壮性、简化网络管理和增强网络故障快速愈合能力，网络虚拟化技术更进一步，将纵向的网络层级也进行虚拟化，形成以接入交换机虚拟为主控交换机业务扩展板的形式，通过上下级设备内部管理协议进行设备管理和业务转发，形成了纵向虚拟化技术。这里以华为公司的SVF技术为例，来分析技术基本原理。

华为公司的SVF架构即是在横向堆叠虚拟化技术基础上发展起来的纵向堆叠网络虚拟化技术。SVF架构借鉴和使用了无线网络中AP/AC（无线接入点/无线控制器）之间设备管理和业务控制的CAPWAP管理协议，在CAPWAP隧道链路上传输管理和控制指令，业务数据按照传统vlan交换模式独立运行。在具体实现上，由主控交换机（定义角色为Parent）通过逻辑端口（以物理端口组加入的逻辑端口形式，定义为FabricPort）连接，通过CAPWAP协议创建的管理通道控制、管理接人交换机（角色定义为AS），结构如图1所示。在使用者的角度就像是全部网络用户，接入了一个有大量业务端口的大型交换机一样。优势在于以下三个方面，统一的设备管理，多层结构的设备虚拟成一台设备，由控制设备统一进行管理;统一的业务配置，通过模板化配置实现对接入设备的批量配置，不再需要逐一配置每一台接入层设备;统一的用户管理，支持有线接入和无线接入的用户统一管理，一般组网结构如图2所示。配合链路聚合技术，可以使网络设备具备业务端口高密、高可靠性、高带宽、低延时的特性。

SVF构建虚拟网络主要经过以下几个过程，如图3所示：

（1）邻居发现：Parent通过邻居发现过程将管理VLAN等信息发送给AS。

（2）设备管理：AS通过DHCP获取IP地址，与Parent之间建立CAPWAP隧道链路，并向Parent注册。

（3）版本管理：AS比较自身软件版本与Parent是否一致。如果不一致则进行版本同步，尝试从Parent下载系统软件进行自动升级。

（4）拓扑管理：Parent搜集所有AS的LLDP邻居信息并计算出整个SVF的拓扑。

（5）业务配置：Parent通过CAPWAP隧道链路将业务配置下发至AS。

3 企业网络部署

这里以图4应用场景为例，具体描述SVF网络虚拟化技术在企业园区网络中的部署实施。这里使用华为S5720HI作为SVF的parent角色的主要控制交换机，将S5700LI、S5720LI、S5700SI等交换机作为一级AS接入交换机，与parent直连，并使用S5720LI作为二级AS交换机接入一级AS交换机，搭建整网。该企业有三处办公地点，网络接入用户约200人。 办公地点间已租用光纤线路，具备入网的物理条件，网络出口固定在办公地2，S5720HI交换机作为控制交换机，上连网络出口设备，因此部署于此。按照用户规模，办公地1部署三台S5720LI交换机，办公地2部署S5700SI和S5720LI交换机各一台;办公点3网络部署一台S5700LI交换机。

3.1 parent控制交换机开启SVF功能

[SW_Core] vlan batch 101//创建管理AS的Vlan

[SW_Core] dhcp enable//开启DHCP服务

[SW_Core] interface vlanif 101 11配置AS管理vlan接口

[SW_Core-Vlanifll] ip address 192.168.101.254 24/，配置接口IP地址

[SW_Core-Vlanifll] dhcp select interface//接口上开启DHCP监听

[SW_Core-Vlanifll] dhcp server option 43 ip-address192.168.101.254//配置DHCP選项，用于下发SVF管理网关地址

[SW_Core-Vlanifll] quit

[SW_Core] capwap source interface vlanif 101//配置CAP-WAP管理协议使用的接口

[SW_Core] stp mode rstp//开启快速生成树协议

[SW_Core] uni-mng//进入统一管理模式，开启SVF

3.2 配置Parent连接一级AS的Fabric-port

以配置Parent连接asl的Fabric-port为例。Parent连接as2的Fabric-port 2、连接as3的Fabric-port 3的过程请参照as1，过程省略。

[SW_Core-um] interface fabric-port 1//配置逻辑堆叠端口

[SW_Core-um-fabric-port-l] port member-group interfaceeth-trunk 1//添加二层聚合端口组1

[SW_Core-um-fabric-port-l] quit

[SW_Core-um] quit

[SW_Core] interface gigabitethernet 0/0/1//添加以太网端口0/0/1至聚合端口组1

（SW_Core-GigabitEthernet0/0/1] eth-trunk 1

[SW_Core-GigabitEthemet0/0/1] quit

[SW_Core] interface gigabitethernet 0/0/2//添加以太网端口0/0/2至聚合端口组1

[SW_Core-GigabitEthemet0/0/2] eth-trunk 1

[SW_Core-GigabitEthemet0/0/2] quit

3.3 配置AS接入的认证方式

[SW_Core] as-auth

[SW_Core-as-auth] undo auth-mode//配置AS接入认证为不需认证模式。

3.4 一级AS交换机接入

连接AS与Parent之间的线缆，在一级AS上执行命令resetsaved-configuration清空AS的配置并重新启动后，连接AS与Parent之间的线缆，一级SVF网络即已建立完成。

3.5 配置AS间的FabricPort

在parent上配置一级和二级AS的Fabric-Port。

[SW_Core] uni-mng

[SW_Core-um] as name asl，/配置ASI的下联FabricPort。

[SW_Core-um-as-asl] down-direction fabric-port 4 mem-ber-group interface eth-trunk 4

[SW_Core-um-as-asl] port eth-trunk 4 trunkmember inter-face gigabitethemet 0/0/23

[SW_Core-um-as-asl] quit

[SW_Core-um] as name asl//配置ASI的下联FabricPort。

[SW_Core-um-as-asl] down-direction fabric-port 5 meru-ber-group interface eth-trunk 5

[SW_Core-um-as-asl] port eth-trunk 5 trunkmember inter-face gigabitethemet 0/0/24

（SW_Core-um-as-asl] quit

[SW_Core-um] quit

[SW_Core-um] as name as2//配置AS2的下联FabricPort，

[SW_Core-um-as-asl] down-direction fabric-port 6 meru-ber-group interface eth-trunk 6

[SW_Core-um-as-asl] port eth-trunk 6 trunkmember inter-face gigabitethemet 0/0/24

[SW_Core-um-as-asl] quit

[SW_Core-um] quit

在二级AS上执行命令reset saved-configuration清空AS的配置并重新启动后，连接二级AS与一级AS之间的线缆，SVF整网系统即建立完成。

3.6 查看AS接入情况

执行命令display as all查看各AS是否成功上线接入，“State”的状态为“normal”时表示AS已成功上线接人。

[SW_core] display as all

Total：6， Normal：6， Fault：0， Idle：0， Version mismatch：0

3.7 业务模板配置

首先创建业务模板并绑定至全部AS，并将网络基础模板并绑定至AS的全部端口。

[SW_Core-um] network-basic-profile name basic_net-work_conf

LSW_Core-um-net-basic-basic_network_confl user-vlan 100

[SW_Core-um-net-basic-basic_network_conf] quit

[SW_Core-um] port-group name port_all//配置用戶端口组，加入所有AS接入端口

[SW_Core-um-portgroup-port_all] as name asl interface all

[SW_Core-um-portgroup-port_all] as name as2 interface ajl

[SW_Core-um-portgroup-port_all] as name as3 interface all

[SW_Core-um-portgroup-port_all] as name as4 interface all

[SW_Core-um-portgroup-port_all] as name as5 interface all

[SW_Core-um-portgroup-port_all] as name as6 interface all

[SW_Core-um-portgroup-port_all] network-basic-profile ba-sic_network_conf

[SW_Core-um-portgroup-port_all] quit

[SW_Core-um] quit

[SW_Core] dotlx-access-profile name dotlx，/配置用户接入采用dotlx认证技术

[SW_Core-dotlx-access-profile-l] quit

[SW_Core] authentication-profile name dotlx_auth//配置用户认证模板采用dotlx认证技术

[SW_Core-authen-profile-dotlx_auth] dotlx-access-profiledotlx

[SW_Core-authen-profile-dotlx_auth] quit

[SW_Core] uni-mng

[SW_Core-um] user-access-profile name access_profile ll配置用户接入模板调用认证模板dotlx_auth

[SW_Core-um-user-access-access_profile] authentication-profile dot lx_auth

[SW_Core-um-user-access-access_profile] quit

[SW_Core-um] port-group name port_all//在端口组上应用用户接入模板access_profile

[SW_Core-um-portgroup-port_all] user-access-profile ac-cess_profile

[SW_Core-um-portgroup-port_all] quit

3.8 业务配置下发

在parent上提交业务配置，使业务模板中的配置下发至全部AS，执行命令display uni-mng commit-result profile查看业务模板中的配置是否已成功下发至AS，当“Commit/Execute Re-sult”的状态为“Success/Success”时表示业务模板中的配置已成功下发至 AS。

[SW_Core-um] commit as all

Warning： Committing the configuration will take a long time.Continue？[Y/N]： y

[SW_Core-um] display uni-mng commit-result profile

Result of profile：

3.9 业务验证

在用户终端上，测试可正常上网，网络部署完毕。通过访问SVF parent主控交换机管理地址web页面http：//192.168.101.254，可查看全部上网用户信息。

4 后续建议

上述企业网络虚拟化SVF技术的应用，在条件允许的情况下，应采用多链路聚合的方式增加fabricPort的带宽，增加网络架构的可靠性。可在parent主控交换机层面采用横向堆叠技术，增强网络健壮性，在办公地1的AS交换机也可采用横向堆叠的方式，增强该办公地网络可靠性，减低设备管理的难度。用户接入方面，可随着用户量的增加或部门隔离的需求等使用vlan技术进行二层隔离，使用ACL访问控制列表进行三层访问的控制。安全保障方面配合了网络安全接入技术，减低网络受攻击的风险。在管理层面强化规范操作，保障网络的高效、可靠。

5 结束语

综上所述，网络虚拟化技术应用于企业网络建设，可将网络拓扑结构简单化，管理统一化，网络可靠化。使企业专注于业务的开展和快速化部署，同时在网络的扩展部署等方面节省资金。提高企业办公效率，降低建网扩网成本。并可根据安全需求配置相应的安全接入技术，规范网络的使用管理，防止恶意破坏，优化网络安全保障。

参考文献：

[1]王勇亮.交换机css堆叠技术研究[J].信息与电脑：理论版，2016（4）：39-40.

[2]刘呱呱，基于lRF2技术的网络研究与探卡厅[J].网络安全技术与应用，2015（3）：181-182.

[3]蒋海月.园区网虚拟化技术哪家强？-lA、lRF3和SVF技术大比拼[J].互联网周刊，2015（6）：20-21.

[4]叶水勇，王艳，方军，等.基于VCF纵向虚拟技术网络架构优化的探索与实践[J].国网技术学院学报，2019，22（4）：33-36，40.

[5]华为S5700系列以太网交换机产品文档[Z].深圳：华为技术有限公司，2019.

[6]邱浩.纵向虚拟化技术在人行市州中支的应用[J].金融科技 时代，2017，25（9）：47-48.

【通联编辑：代影】