周学兵,王 坚,陈小柱,杜 万
(1.卡斯柯信号有限公司,上海 200071;2.上海市铁路智能调度指挥系统工程研究中心,上海 200071)
网络虚拟化是一个让底层物理网络能支持多个逻辑网络的技术过程统称。网络虚拟化通过对共用的底层基础设施进行抽象并提供统一的可编程接口,将多个彼此隔离且具有不同拓扑的虚拟网络同时映射到共用的基础设施上,实现物理设备计算能力复用。同时,网络虚拟化保留网络中原有的拓扑与层次结构、数据通道和相关服务,实现服务透明化。
随着Everything over IP 理念的深入和OSI网络模型在业界未能成功应用,TCP/IP 协议已成为网络规划和建设的事实标准。因此,网络虚拟化技术研究主要集中在IP 网络虚拟化领域。从技术角度分为服务器虚拟化、IP 网络虚拟化、数据库虚拟化和超融合架构[1]。
本文主要对在智能调度中心应用的IP 网络虚拟化技术应用进行介绍。
网络虚拟化顾名思义就是将网络进行逻辑虚拟化,在原有网络设备硬件系统上,运行一个逻辑隔离的半封闭网络。
网络虚拟化的主要特点如下。
1) 透明性
网络虚拟化可以使得业务的数据流使用同一套物理设备资源,终端业务用户无感知。
2) 隔离性
网络虚拟化可以实现不同业务之间相互完全隔离,不需要考虑不同逻辑网络使用的协议、兼容性、IP 地址冲突之类的问题。
3) 可靠性
物理链路虚拟化捆绑技术提升了链路带宽和稳定性,为系统提供了稳定、可靠的通信链路。建设应急备用中心或同城双活中心应用场景,隧道虚拟化可实现主备用机房的L2/L3VPN 互通,实现业务可持续性。
4) 安全性
虚拟化是增加网络安全属性的必备手段,单套逻辑网络被病毒或恶意软件的攻击并不影响整体虚拟化平台工作。恶意软件造成的破坏均被限制在特定的会话或逻辑网络中。
5) 可定制
虚拟化后,可以根据用户需求进行网络带宽的分配、数据转发优先级的定义,实现差异性服务。
数据通信网作为网络虚拟化的典型应用已在铁路系统应用越来越广泛,实际承载了超过19 个业务系统,是一种典型的虚拟化网络架构,实现了物理资源的复用[2-3]。网络虚拟化在简化网络结构及物理设备配置的同时,提供了高可靠性和高扩展性,同时为调度集中系统服务器虚拟化和存储虚拟化做好技术预留[4-5]。
IP 网络虚拟化主要包含网元虚拟化、链路虚拟化、隧道虚拟化。
网元虚拟化主要分为横向和纵向虚拟化两种不同类型,以满足数据中心核心网络扩展和增强系统稳定性需要。
3.1.1 横向虚拟化
横向虚拟化是指多个物理网络设备虚拟成1 台逻辑网络设备即N:1 的虚拟化组合技术,即通过两台或多台物理设备虚拟成1 台逻辑网络设备。
网元设备在进行路由、数据处理时分为操控平面和数据转发平面。横向虚拟化技术根据控制平面的不同,可分为操控转发平面一体化的方案,如华为CSS 技术、华三IRF 技术及思科VSS 技术;操控转发平面相互独立的方案如华为M-LAG 技术、华三DRNI 技术及思科vPC 技术。
操控转发平面一体化的堆叠/集群系统一旦发生堆叠/集群分裂,那么将势必造成业务中断。同时,操控转发平面一体化系统在任意一个系统升级或在主控系统引擎板卡发生故障时都会发生业务数据中断的情况。
而操控转发平面相互独立的横向虚拟化系统在任意一台交换机故障时都不会影响到业务数据转发,是业务不间断运行的有力保障。操控转发平面互相独立的系统在升级系统时也可以逐台升级,升级过程并不影响到业务数据转发。
操控转发平面对比示意如图1 所示。
图1 操控转发平面对比示意Fig.1 Comparison between control and forwarding planes
以上分析可以得出,在需要7×24 h 不间断运营的重要场景,使用操控转发平面相互独立的2 台系统将更为合理。操控转发平面一体化系统则更适合应用在园区网、校园网等业务数据要求中断相对不高的场景。
随着技术发展,硬件设备功能越来越强大,网络设备的数据处理性能已大大超过实际业务数据需要。在IDC 数据中心或运营商网络,如果为每个企业网络都设置一台物理设备作为数据转发平台是不经济也不可接受的。所以,单台网络设备虚拟化成多台逻辑网络设备也应运而生,即1:N虚拟化技术,如图2 所示。各个厂商的实现方式主要有华为的VS、华三的MDC 及思科的VDC 技术。
图2 1:N虚拟化示意Fig.2 Schematic diagram of 1:N virtualization
横向虚拟化将链路可靠性从单板级提高至系统级,基本消除二层生成树,使上行链路故障情况下不间断转发成为可能。网络设备横向虚拟化控制平面和转发平面相互独立时,在稳定性、可靠性要求高的场景较堆叠系统具有明显优势。
经过发展,复杂应用场景时将上述两种虚拟化技术进行整合为N:1:M虚拟化组合技术。
铁路智能调度中心核心交换网络对横向虚拟化技术均有不同尝试。某普速调度所采用了华三IRF技术,某城际铁路中心使用了华为CSS 技术和某客专调度所使用了思科vPC 技术。
3.1.2 纵向虚拟化
纵向虚拟化技术从纵向维度上支持系统异构扩展,即在以太逻辑虚拟设备上把一台盒式设备作为一块远程接口板加入主设备系统,以达到扩展I/O端口能力和集中控制管理的目的,可以满足数据中心虚拟化高密度接入并简化管理的目的。
如图3、4 所示,纵向虚拟化主要分为单宿主模式和双宿主模式。单宿主模式可以实现对单台交换机的端口扩展或实现对横向虚拟化系统端口扩展;双宿主模式主要在横向虚拟化基础上的端口扩展功能。
图3 单宿主模式模式示意Fig.3 Schematic diagram of single-host mode
图4 双宿主模式模式示意Fig.4 Schematic diagram of double-host mode
纵向虚拟化则大大提高了核心设备端口密度,从纵向维度上支持异构扩展,以达到扩展I/O 端口能力和集中控制管理的目的。纵向虚拟化技术作为一种提高设备端口密度的有效手段已逐渐成熟并得到业界认可,各个厂商都有实现方式。如华三对应的端口扩展技术为VCF,华为对应的端口扩展技术为SVF,思科对应端口扩展技术为FEX。
核心交换机与接入交换机之间使用纵向虚拟化机制后,接入层交换机的端口映射到核心交换机管理平面。虽然纵向虚拟化后使得管理简化,但核心交换机和接入交换机之间固件耦合性变高,不同厂商设备之间不能实现纵向虚拟化。同时,双宿主模式下需要注意两端控制交换机的配置冗余一致性。否则易出现网络环路现象。
某智能铁路调度中心应用了思科FEX 纵向虚拟化技术。
链路虚拟化主要包含广域网链路和局域网链路虚拟化两种类型。链路虚拟化主要目的是提高路由链路冗余性及链路带宽,为多个不同网络或者不同业务(时延敏感或吞吐量敏感等)提供所需链路资源。链路虚拟化主要分为“多合一”技术和“一分多”技术。
如图5 所示,“多合一”是指利用设备间物理上多条链路聚合成一条链路,如PPP Multi-link/IP Trunk 和Ether-Channel。PPP Multi-link/IPTrunk 主要是应用在广域网链路上捆绑技术,而Ether-Channel 则是应用在局域网以太链路上的捆绑技术。链路捆绑后呈现在操作系统层级的就是一条捆绑后的逻辑链路接口。当然,链路虚拟化也有应用限制,主要是存在链路捆绑后可靠性降低和部分应用场合无法正常工作的情况。
图5 “多合一”示意Fig.5 Schematic diagram of“all in one”design
铁路传输平台分为SDH 传输平台和MSTP 传输平台。铁路建设早期,传输系统按SDH 平台进行建设,但SDH 平台不支持FE 通道传输,升级到MSTP 平台才支持FE 通道。但各调度中心局间链路带宽超过2 M 需求,在需要扩容的场景下,受制于传输系统的模式问题,调度所局间采用PPP Multi-link 链路虚拟化技术解决了本需求。
如图6 所示,“一分多”是指将一条物理链路划分成多条虚拟链路,如CPOS、以太子接口技术等。1 个CPOS 接口可以分为63 个E1 链路,而以太子接口在带宽满足要求的前提下可以分为若干个子接口。
图6 “一分多”示意Fig.6 Schematic diagram of“single to multiple”design
随着对链路虚拟化技术认识的深入,同样出现了类似网元虚拟化技术中的N:1:M技术,提升网络带宽和可用性。通过“多合一”后再使用“一分多”技术的典型应用是在路由器上通过以太通道绑定实现“双臂”路由,然后在路由器的虚拟接口下划分子接口形式,如图7 所示。
图7 双臂路由示意Fig.7 Schematic diagram of double-arm routing
隧道虚拟化从结构上主要分为横向架构和纵向架构2 种模式。
横向架构模式主要实现虚拟链路到物理链路的映射,如图8 所示,这条虚拟路径可能会穿过多台路由器,类似于GRE/VPN/OTV/VPLS 等隧道虚拟化技术,主要目的是为了提供点到点业务服务和穿越公网的L2VPN/L3VPN 服务。IPv6 的应用普及,使得在IPv4 和IPv6 共存的过渡阶段,IPv6 和IPv4 网络交互也需要利用隧道技术。应急备用系统的建设也离不开横向隧道虚拟化技术,主机房和备用机房的大二层平面LISP 或BGP-EVPN 需要使用隧道技术[6-7]。
图8 横向隧道虚拟化Fig.8 Virtualization of Horizontal tunnel
图8 描述了路由器虚拟接口和虚拟接口之间通过点对点模式实现数据通信。同样的横向隧道架构也可以实现点对多点的通信模式,如DMVPN 等。在横向隧道模式的基础上增加一些安全特性(如IP-Sec 壳)就可以实现数据传输过程中的保密性。
纵向架构模式就是将物理端口切分成若干虚拟隧道预留给虚拟网络,类似于ATM/CPOS/以太子接口技术,主要目的是为了端口时隙复用,提高端口隔离度,增强安全性。如图9 所示,ATM 技术通过使用VPI 和VCI 信头标签实现虚拟隧道功能。在VPC 的端点实现VPI 和VCI 标签的替换,实现隧道对接。
图9 纵向隧道虚拟化Fig.9 Virtualization of vertical tunnel
铁路智能调度中心中的运维子系统在实现远程维护支持功能时会使用到VPN 隧道技术以加强网络安全性,确保数据传输过程中完整性、机密性和防重放攻击。
网络虚拟化提高了网络资源使用效率,降低智能调度中心组网成本和能源消耗,符合节能减排和低碳经济发展趋势[8]。应用网络虚拟化能够为客户投资保值增值,是降低项目造价成本、运营成本、能源消耗、二氧化碳气体产生和简化施工改造的重要途径之一。
网络虚拟化前后,终端用户无感知,业务不受影响。通过QoS 辅助手段可实现细化管理。逻辑网络一样可以利用物理网络的多路径技术,提升虚拟化网络的可靠性和稳定性。
多种不同制式的网络虚拟化已在各路局成功应用,为网络虚拟化大规模应用奠定了基础。随着铁路信息技术化水平的不断提高,采用虚拟化建设部署已然是一种必然趋势。