華為FusionSphere8.0虛擬化套件分布式虛擬交換機(jī)技術(shù)白皮書文檔版本 V1.0發(fā)布日期 20191230HUAWEIHUAWEI華為技術(shù)有限公司版權(quán)所有?華為技術(shù)有限公司2019。保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。商標(biāo)聲明huav-'=和其他華為商標(biāo)均為華為技術(shù)有限公司的商標(biāo)。本文檔提及的其他所有商標(biāo)或注冊商標(biāo)，由各自的所有人擁有。注意您購買的產(chǎn)品、服務(wù)或特性等應(yīng)受華為公司商業(yè)合同和條款的約束，本文檔中描述的全部或部分產(chǎn)品、服務(wù)或特性可能不在您的購買或使用范圍之內(nèi)。除非合同另有約定，華為公司對(duì)本文檔內(nèi)容不做任何明示或暗示的聲明或保證。由于產(chǎn)品版本升級(jí)或其他原因，本文檔內(nèi)容會(huì)不定期進(jìn)行更新。除非另有約定，本文檔僅作為使用指導(dǎo)，本文檔中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔(dān)保。華為技術(shù)有限公司地址： 深圳市龍崗區(qū)坂田華為總部辦公樓 郵編：518129網(wǎng)址： 目錄TOC\o"1-5"\h\z\o"CurrentDocument"分布式虛擬交換機(jī)概述 1\o"CurrentDocument"產(chǎn)生背景 1\o"CurrentDocument"虛擬交換現(xiàn)狀 21.2.1基于服務(wù)器CPU實(shí)現(xiàn)虛擬交換 2物理網(wǎng)卡實(shí)現(xiàn)虛擬交換 2交換機(jī)實(shí)現(xiàn)虛擬交換 3\o"CurrentDocument"華為方案簡介 5\o"CurrentDocument"方案是什么 5\o"CurrentDocument"方案架構(gòu) 7\o"CurrentDocument"方案特點(diǎn) 7\o"CurrentDocument"虛擬交換管理 8主機(jī) 8\o"CurrentDocument"分布式虛擬交換機(jī) 8\o"CurrentDocument"端口組 8\o"CurrentDocument"虛擬交換特性 9\o"CurrentDocument"物理端口/聚合 9\o"CurrentDocument"虛擬交換 9\o"CurrentDocument"普通交換 9\o"CurrentDocument"SR-IOV直通 10\o"CurrentDocument"用戶態(tài)交換 10\o"CurrentDocument"流量整形 11基于端口組的流量整形 11安全 12二層網(wǎng)絡(luò)安全策略 12廣播報(bào)文抑制 12\o"CurrentDocument"安全組 13\o"CurrentDocument"端口組類型 13\o"CurrentDocument"Trunk端口 13\o"CurrentDocument"Access端口 13\o"CurrentDocument"端口管理 13\o"CurrentDocument"存儲(chǔ)面三層互通 144.8配置管理VLAN 14\o"CurrentDocument"4.9業(yè)務(wù)管理平面 14\o"CurrentDocument"虛擬交換應(yīng)用場景 15\o"CurrentDocument"集中虛擬網(wǎng)絡(luò)管理 15\o"CurrentDocument"虛擬網(wǎng)絡(luò)流量統(tǒng)計(jì)功能 15\o"CurrentDocument"分布式虛擬端口組 15\o"CurrentDocument"分布式虛擬上行鏈路 15\o"CurrentDocument"網(wǎng)絡(luò)隔離 15\o"CurrentDocument"網(wǎng)絡(luò)遷移 165.7網(wǎng)絡(luò)安全 166縮略語 161分布式虛擬交換機(jī)概述產(chǎn)生背景圖1-1網(wǎng)絡(luò)虛擬化的發(fā)展SlueVM RedVMPhysicalnetwork28nitth.J*? PhysicalserverNetworkHirtuaiH工襯皿、SlueVM RedVMPhysicalnetwork28nitth.J*? PhysicalserverNetworkHirtuaiH工襯皿、RinrrtulliplevirtualnelAorksona口hysiMlnetwerttiEachvirtualnot(*or^hesHEuslonilisrunningadedicatedfabre計(jì)算虛擬化驅(qū)動(dòng)網(wǎng)絡(luò)虛擬化的發(fā)展。傳統(tǒng)數(shù)據(jù)中心，一臺(tái)服務(wù)器運(yùn)行一個(gè)操作系統(tǒng)，通過物理網(wǎng)線與交換機(jī)相連，由交換機(jī)實(shí)現(xiàn)不同的主機(jī)的交換、流量控制、安全控制等功能。在計(jì)算虛擬化后，一臺(tái)服務(wù)器虛擬化成多臺(tái)的虛擬的主機(jī)，每個(gè)虛擬主機(jī)有自己的CPU、內(nèi)存和網(wǎng)卡。同一服務(wù)器上的不同主機(jī)之間既需要維持原有的通信，同時(shí)由于共享物理設(shè)備，引出了新的安全隔離、以及對(duì)流控的更高的需求，對(duì)虛擬交換技術(shù)的訴求由此產(chǎn)生為統(tǒng)一和簡化對(duì)各臺(tái)主機(jī)的虛擬交換機(jī)的配置管理，業(yè)界引入分布式虛擬交換機(jī)。分布式虛擬交換機(jī)一方面可以對(duì)多臺(tái)服務(wù)器的虛擬交換機(jī)統(tǒng)一配置、管理和監(jiān)控，另一方面也可以保證虛擬機(jī)在服務(wù)器之間遷移時(shí)網(wǎng)絡(luò)配置的一致性。1.2虛擬交換現(xiàn)狀虛擬交換分為基于服務(wù)器來實(shí)現(xiàn)虛擬二層交換的功能和基于交換機(jī)實(shí)現(xiàn)虛擬交換功能兩類實(shí)現(xiàn)方式。其中服務(wù)器實(shí)現(xiàn)虛擬交換又分為服務(wù)器CPU實(shí)現(xiàn)虛擬交換和在服務(wù)器網(wǎng)卡上實(shí)現(xiàn)虛擬交換的兩種方式?？偨Y(jié)來說，虛擬交換的實(shí)現(xiàn)形式一般分為三種：1）在服務(wù)器CPU上實(shí)現(xiàn)虛擬交換；2）在服務(wù)器網(wǎng)卡上實(shí)現(xiàn)虛擬交換；3）在物理交換機(jī)上實(shí)現(xiàn)虛擬交換。1.2.1基于服務(wù)器CPU實(shí)現(xiàn)虛擬交換在服務(wù)器CPU中實(shí)現(xiàn)虛擬交換是目前較為成熟且產(chǎn)品化較好的技術(shù)方案。在服務(wù)器的CPU中實(shí)現(xiàn)完整的虛擬交換的功能，虛擬機(jī)的虛擬網(wǎng)卡對(duì)應(yīng)虛擬交換的一個(gè)虛擬端口，服務(wù)器的物理網(wǎng)卡作為虛擬交換的上行鏈路端口。虛擬機(jī)的報(bào)文接收流程如下：虛擬交換機(jī)首先從虛擬端口/物理端口接收以太網(wǎng)報(bào)文，之后根據(jù)虛擬機(jī)MAC、VLAN,查找二層轉(zhuǎn)發(fā)表，找到對(duì)應(yīng)的虛擬端口/物理端口，然后按照具體的端口，轉(zhuǎn)發(fā)報(bào)文。該方案的特點(diǎn)：1） 服務(wù)器內(nèi)部的通信性能：同一服務(wù)器上的虛擬機(jī)間報(bào)文轉(zhuǎn)發(fā)性能好，時(shí)延低。虛擬交換機(jī)實(shí)現(xiàn)虛擬機(jī)之間報(bào)文的二層軟件轉(zhuǎn)發(fā)，報(bào)文不出服務(wù)器，轉(zhuǎn)發(fā)路徑短，性能2） 跨服務(wù)器通信性能：跨服務(wù)器，需要經(jīng)物理交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，相比物理交換機(jī)實(shí)現(xiàn)虛擬交換，由于虛擬交換模塊的消耗，性能稍低于物理交換機(jī)實(shí)現(xiàn)虛擬交換；3） 擴(kuò)展靈活：服務(wù)器實(shí)現(xiàn)虛擬交換，由于采用純軟件實(shí)現(xiàn)，相比采用L3芯片的物理交換機(jī)，功能擴(kuò)展靈活、快速，可以更好的滿足云計(jì)算的網(wǎng)絡(luò)需求擴(kuò)展；4） 規(guī)格容量大：服務(wù)器內(nèi)存大，相比物理交換機(jī)，L2交換容量遠(yuǎn)大于物理交換機(jī)。1.2.2物理網(wǎng)卡實(shí)現(xiàn)虛擬交換物理網(wǎng)卡實(shí)現(xiàn)虛擬交換設(shè)計(jì)思想是將虛擬交換功能從服務(wù)器的CPU移植到服務(wù)器物理網(wǎng)卡，通過網(wǎng)卡硬件改善虛擬交換機(jī)占用CPU資源而影響虛擬機(jī)性能的問題，同時(shí)借助物理網(wǎng)卡的直通的能力，加速虛擬交換的性能。傳統(tǒng)的SR-IOV商業(yè)網(wǎng)卡，也可以支持虛擬交換的功能，但是由于自身設(shè)計(jì)以及缺乏與Hypervisor的配合，傳統(tǒng)的商業(yè)網(wǎng)卡難以支持熱遷移等虛擬化的特性。圖1-2基于SR-IOV的虛擬交換基于物理網(wǎng)卡實(shí)現(xiàn)虛擬交換的特點(diǎn)：1） 相對(duì)于虛擬交換機(jī)，減少了CPU占用率，采用網(wǎng)卡實(shí)現(xiàn)交換的功能，不再需要CPU參與虛擬交換處理；2） 對(duì)于物理網(wǎng)卡實(shí)現(xiàn)虛擬直通功能時(shí)，由于實(shí)現(xiàn)了虛擬機(jī)對(duì)PCIe設(shè)備的直接訪問和操作，顯著降低了從虛擬機(jī)到物理網(wǎng)卡的報(bào)文處理延時(shí)；3） 傳統(tǒng)商業(yè)網(wǎng)卡無法支持熱遷移、同時(shí)功能簡單，無法支持靈活的安全隔離等特性且功能擴(kuò)展困難。1.2.3交換機(jī)實(shí)現(xiàn)虛擬交換交換機(jī)實(shí)現(xiàn)虛擬交換，業(yè)界有兩種實(shí)現(xiàn)技術(shù)：802?lQbgVEPA、802.1QbhBridgePortExtension。802.1QbgVEPAVEPA的實(shí)現(xiàn)是基于現(xiàn)在的IEEE標(biāo)準(zhǔn)，不必為報(bào)文增加新的二層標(biāo)簽，只要對(duì)VMM軟件和交換機(jī)的軟件升級(jí)就可支持VEPA的“發(fā)卡彎”轉(zhuǎn)發(fā)。與VEB方案類似，VEPA方案可以采用純軟件方式實(shí)現(xiàn)，也能夠通過支持SR-IOV的網(wǎng)卡實(shí)現(xiàn)硬件VEPA。其實(shí)，只要是VEB能安裝和部署的地方，就都能用VEPA來實(shí)現(xiàn)，但VEB與VEPA各有所長，并不存在替代關(guān)系。VEPA的優(yōu)點(diǎn)在于，完全基于IEEE標(biāo)準(zhǔn)，沒有專用的報(bào)文格式。而且容易實(shí)現(xiàn)，通常只需要對(duì)網(wǎng)卡驅(qū)動(dòng)、VMM橋模塊和外部交換機(jī)的軟件做很小的改動(dòng)，從而實(shí)現(xiàn)低成本方案目標(biāo)。802.1QbhBridgePortExtension端口擴(kuò)展設(shè)備是一種功能有限的物理交換機(jī)，通常作為一個(gè)上行物理交換機(jī)的線卡使用。端口擴(kuò)展技術(shù)需要為以太網(wǎng)報(bào)文增加TAG,而端口擴(kuò)展設(shè)備借助報(bào)文TAG中的信息，將端口擴(kuò)展設(shè)備上的物理端口映射成上行物理交換機(jī)上的一個(gè)虛擬端口，并且使用TAG中的信息來實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)和策略控制。VN-TAG為報(bào)文定義了虛擬機(jī)源和目的端口，并且標(biāo)明了報(bào)文的廣播域。借助支持VN-TAG技術(shù)的vSwitch和網(wǎng)卡，也能夠?qū)崿F(xiàn)類似EVB多通道的方案，但是VN-TAG技術(shù)有一些缺點(diǎn)：VN-TAG是一種新提出的標(biāo)簽格式，沒有沿用現(xiàn)有的標(biāo)準(zhǔn)(如IEEE802.1QIEEE802.1ad、IEEE802.1Xtags)。必須要改變交換機(jī)和網(wǎng)卡的硬件，而不能只是簡單的對(duì)現(xiàn)有的網(wǎng)絡(luò)設(shè)備軟件進(jìn)行升級(jí)。也就是說，VN-TAG的使用需要部署支持VN-TAG的新網(wǎng)絡(luò)產(chǎn)品(網(wǎng)卡、交換機(jī)、軟件)。最初IEEE802.1工作組曾考慮將端□擴(kuò)展”作為EVB標(biāo)準(zhǔn)的一部分，但是最終決定將端□擴(kuò)展發(fā)展成一個(gè)獨(dú)立的標(biāo)準(zhǔn)，即802.1BridgePortExtensiCnsco曾向IEEE802.1Q工作組建議，將其私有的VN-TAG技術(shù)作為實(shí)現(xiàn)EVB的一種可選方案，但工作組最終沒有接納這個(gè)提案。Cisco最近修改了VN-TAG技術(shù)草案，修改后的草案稱為M-TAG，該方案的主要目標(biāo)仍是為了實(shí)現(xiàn)端□擴(kuò)展設(shè)備與上行交換機(jī)之間的通信標(biāo)準(zhǔn)化。2華為方案簡介2.1方案是什么華為虛擬交換提供集中的虛擬交換的管理功能。集中的管理提供統(tǒng)一的Portal,進(jìn)行配置管理，簡化用戶的管理。圖2-1虛擬交換場景VMVM|服務(wù)器irtualSwitch圖2-1虛擬交換場景VMVM|服務(wù)器irtualSwitchVirtualSwitchVirtualSwitchDVSM通過分布在各物理服務(wù)器的虛擬交換機(jī)，提供虛擬機(jī)的二層通信、隔離、QoS的能力。分布式交換機(jī)模型基本特征：1） 虛擬化管理員可以配置多個(gè)分布式交換機(jī)，每個(gè)分布式交換機(jī)可以覆蓋集群中的多個(gè)CNA節(jié)點(diǎn)；2） 每個(gè)分布式交換機(jī)具有多個(gè)分布式的虛擬端口VSP，每個(gè)VSP具有各自的屬性（速率），為了管理方便采用PortGroup組管理相同屬性的一組端口，相同端口組的VLAN相同；

3） 虛擬化管理員或業(yè)務(wù)系統(tǒng)（例如VDI/IDC），可選擇管理/存儲(chǔ)/業(yè)務(wù)使用的不同物理接口；每個(gè)分布式交換機(jī)可以配置一個(gè)UpLink端口或者一個(gè)Uplink端口聚合組，用于VM對(duì)外的通信。Uplink端口聚合組可以包含多個(gè)物理端口，端口聚合組可以配置負(fù)載均衡策略；4） 每個(gè)VM可以具有多個(gè)vNIC接口，vNIC可以和交換機(jī)的VSP——對(duì)接；5） 虛擬化管理員或業(yè)務(wù)系統(tǒng)可根據(jù)業(yè)務(wù)需求，選擇在一個(gè)集群中允許進(jìn)行2層遷移的服務(wù)器創(chuàng)建虛擬二層網(wǎng)絡(luò)，設(shè)置該網(wǎng)絡(luò)使用的VLAN信息；圖2-2虛擬交換模型'■pllnkFort關(guān)罠Mgnt.System-intfISCSIIUplinkPartAfprServer!:m.-Me姙 JiHHSarvarl^flirorl圖2-2虛擬交換模型'■pllnkFort關(guān)罠Mgnt.System-intfISCSIIUplinkPartAfprServer!:m.-Me姙 JiHHSarvarl^flirorlPortApjsruplinkPonAggrDVSMIPrwfHyPMAilV5PVSPVirtualSwitch虛擬化管理員可通過定義端口組屬性（安全/QoS）簡化對(duì)虛擬機(jī)端口屬性的設(shè)置；設(shè)置端口組屬性，不影響虛擬機(jī)正常工作；端口組：端口組是網(wǎng)絡(luò)屬性相同的一組端口的屬性集合。管理員可以通過配置端口組屬性（帶寬QOS、2層安全屬性、VLAN等）簡化對(duì)虛擬機(jī)端口屬性的設(shè)置。設(shè)置端口組屬性，不影響虛擬機(jī)正常工作；上行鏈路：分布式交換機(jī)關(guān)聯(lián)的服務(wù)器物理網(wǎng)口；管理員可以查詢上行鏈路的名稱、速率、模式、狀態(tài)等信息；上行鏈路聚合：分布式交換機(jī)關(guān)聯(lián)的服務(wù)器綁定網(wǎng)口，綁定網(wǎng)口可以包含多個(gè)物理網(wǎng)口，這些物理網(wǎng)口可以配置主備或負(fù)載均衡策略。

方案架構(gòu)圖2-3虛擬交換架構(gòu)如上圖所示，華為的分布式虛擬交換支持基于開源OpenvSwitch的純軟件的虛擬交換的功能。方案特點(diǎn)1） 集中的管理：統(tǒng)一Portal和集中的管理，簡化用戶的管理和配置；2） 開源OpenvSwitch：集成開源OpenvSwitch，充分利用和繼承了開源社區(qū)虛擬交換的能力；3） 提供豐富的虛擬交換的二層特性，包括交換、QoS、安全隔離等。3虛擬交換管理3.1主機(jī)主機(jī)是使用虛擬化軟件(FusionCompute)運(yùn)行虛擬機(jī)的計(jì)算機(jī)。主機(jī)是一臺(tái)真正的物理服務(wù)器。主機(jī)提供虛擬機(jī)使用的CPU和內(nèi)存資源，并使虛擬機(jī)能夠訪問網(wǎng)絡(luò)。分布式虛擬交換機(jī)分布式虛擬交換機(jī)是管理多臺(tái)主機(jī)上的虛擬交換機(jī)(基于軟件的虛擬交換機(jī))的虛擬網(wǎng)絡(luò)管理方式，包括對(duì)主機(jī)的物理端口和虛擬機(jī)虛擬端口的管理。分布式虛擬機(jī)交換機(jī)可以保證虛擬機(jī)在主機(jī)之間遷移時(shí)網(wǎng)絡(luò)配置的一致性。端口組端口組是分布式虛擬交換機(jī)(DVS)中虛擬端口的集合。端口組主要是為了方便用戶同時(shí)對(duì)端口組中的多個(gè)端口進(jìn)行配置，以減少重復(fù)配置工作。連接在同一端口組的虛擬機(jī)網(wǎng)卡，具有相同的網(wǎng)絡(luò)屬性。如：帶寬限速、優(yōu)先級(jí)、VLAN、IP和MAC綁定等。虛擬交換特性4.1物理端口/聚合物理端口是指主機(jī)的物理網(wǎng)口。物理端口聚合是指將多個(gè)同類屬性的物理端口進(jìn)行聚合操作，通過聚合策略提高端口的可靠性或者端口的帶寬。當(dāng)前華為支持的普通網(wǎng)卡聚合策略有：主備模式、基于源目的MAC地址的負(fù)荷分擔(dān)、基于源和目的MAC的負(fù)荷分擔(dān)、基于源目的IP的LACP、基于源目的IP和端口的負(fù)荷分擔(dān)和輪詢模式。支持的用戶態(tài)（DPDK）驅(qū)動(dòng)網(wǎng)卡聚合策略有：主備模式、基于源目的MAC地址的LACP、基于源目的IP和端口的LACP。虛擬交換華為虛擬交換機(jī)提供三種虛擬交換模式：1）普通模式，2）SR-IOV直通模式，3）用戶態(tài)交換模式。當(dāng)前ARM場景支持使用下普通模式虛擬交換機(jī)，后續(xù)將增加其它類型交換模式。4.2.1普通交換普通模式下，虛擬機(jī)有前后端兩個(gè)虛擬網(wǎng)卡設(shè)備，其中，前端網(wǎng)卡連接在虛擬交換機(jī)的虛端口上。虛擬機(jī)網(wǎng)絡(luò)數(shù)據(jù)包通過環(huán)形緩沖區(qū)和事件通道在前后端網(wǎng)卡之間傳輸，并最終通過后端網(wǎng)卡連接的虛擬交換機(jī)實(shí)現(xiàn)轉(zhuǎn)發(fā)。

圖4-1普通交換SR-IOV直通SR-IOV(SingleRootI/OVirtualization)技術(shù)是Intel在2007年提出的網(wǎng)絡(luò)I/O虛擬化技術(shù)，目前已是PCISIG的規(guī)范。簡單說來，支持SRIOV的物理網(wǎng)卡可以虛擬出多個(gè)網(wǎng)卡以供虛擬機(jī)使用，對(duì)于虛擬機(jī)來說就像是有一塊單獨(dú)的物理網(wǎng)卡一樣，相比軟件虛擬化提升了網(wǎng)絡(luò)I/O的性能，相對(duì)于硬件直通(PCIPassthrough)又減少了硬件網(wǎng)卡數(shù)量上的需求。圖4-2SR-IOV的虛擬交換用戶態(tài)交換通過對(duì)虛擬端口加載用戶態(tài)驅(qū)動(dòng)，在vswitchd中啟動(dòng)線程接管內(nèi)核態(tài)收發(fā)包功能，從網(wǎng)卡收到的數(shù)據(jù)包直接在vswitchd的線程中接收，接收到數(shù)據(jù)后，查詢vswitchd中的精確流表匹配，然后執(zhí)行openflow的動(dòng)作和指令，把數(shù)據(jù)從指定端口發(fā)送出去。優(yōu)勢

在于使用DPDK技術(shù)提升了端口10性能，另外，收發(fā)包和基于openflow的數(shù)據(jù)轉(zhuǎn)發(fā)都在用戶態(tài)完成，減少了內(nèi)核態(tài)與用戶態(tài)間切換帶來的開銷，帶來網(wǎng)絡(luò)1/0的性能的提升，相較于SR-IOV技術(shù)，支持熱遷移、熱添加網(wǎng)卡等更多高級(jí)特性。圖4-3用戶態(tài)交換tfWK-VPi'0幗側(cè)I吏帀氏帀內(nèi)有提濡書疋冊型労攔百叫P1Uurspa:*慟皇呼卜圖4-3用戶態(tài)交換tfWK-VPi'0幗側(cè)I吏帀氏帀內(nèi)有提濡書疋冊型労攔百叫P1Uurspa:*慟皇呼卜Intel82S99MPlianox OtherMIC：_廠固—!［內(nèi)桜態(tài)交探VM?K創(chuàng)聞|VrllO-^fL~1—VM1SOCkAU呷;刪I流量整形流量整形通過提供發(fā)送、接收方向的帶寬流量整形以及發(fā)送方向優(yōu)先級(jí)能力。4.3.1基于端口組的流量整形提供基于端口組的平均帶寬、峰值帶寬、突發(fā)流量，帶寬優(yōu)先級(jí)控制能力，保證虛擬機(jī)的網(wǎng)絡(luò)通信質(zhì)量，同時(shí)，避免不同端口組的虛擬機(jī)之間的擁塞互相影響。當(dāng)管理員需要限制某一虛擬機(jī)可占用的帶寬的上限時(shí)，可通過設(shè)置虛擬機(jī)網(wǎng)卡所在端口組的上限帶寬來實(shí)現(xiàn)。當(dāng)管理員需要在擁塞情況下，對(duì)于不同的虛擬機(jī)有不同的帶寬搶占能力時(shí)，可通過配置其帶寬優(yōu)先級(jí)來實(shí)現(xiàn)，使優(yōu)先級(jí)高的虛擬機(jī)搶到更多的帶寬。

4.4安全4.4.1二層網(wǎng)絡(luò)安全策略圖4-4二層網(wǎng)絡(luò)安全Layer2networksecuritypolicy圖4-4二層網(wǎng)絡(luò)安全Layer2networksecuritypolicy：IPandMACbindingDHICPServerServiceIsolationvspvspvsp二層網(wǎng)絡(luò)安全策略主要包括：防止用戶虛擬機(jī)IP和MAC地址仿冒，防止用戶虛擬機(jī)DHCPServer仿冒。防止IP地址和MAC仿冒（IP和MAC綁定）：防止虛擬機(jī)用戶通過修改虛擬網(wǎng)卡的IP、MAC地址發(fā)起IP、MAC仿冒攻擊，增強(qiáng)用戶虛擬機(jī)的網(wǎng)絡(luò)安全。通過生成IP-MAC的綁定關(guān)系，基于IP源側(cè)防護(hù)（IPSourceGuard）與動(dòng)態(tài)ARP檢測（DAI）對(duì)非綁定關(guān)系的報(bào)文進(jìn)行過濾。防止DHCPServer仿冒（DHCPServer隔離）：禁止用戶虛擬機(jī)啟動(dòng)DHCPServer服務(wù)，防止用戶無意識(shí)或惡意啟動(dòng)DHCPServer服務(wù)，影響正常的虛擬機(jī)IP地址分配過程。廣播報(bào)文抑制在服務(wù)器整合、桌面云等企業(yè)應(yīng)用場景，如果發(fā)生網(wǎng)絡(luò)攻擊或病毒發(fā)作等引起的廣播報(bào)文攻擊，可能造成網(wǎng)絡(luò)通信異常，此時(shí)可以開啟虛擬交換機(jī)的廣播報(bào)文抑制功能。虛擬交換機(jī)提供虛擬機(jī)虛端口發(fā)送方向的廣播報(bào)文抑制開關(guān)，以及抑制閾值設(shè)置功能?？梢酝ㄟ^開啟虛擬機(jī)網(wǎng)卡所在端口組的廣播包抑制開關(guān)設(shè)置閾值，減少過量廣播報(bào)文對(duì)二層網(wǎng)絡(luò)帶寬的消耗。管理員可以通過系統(tǒng)Portal，基于虛擬交換機(jī)端口組對(duì)象，配置報(bào)文抑制開關(guān)和報(bào)文抑制帶寬閾值。4.4.3安全組圖4-5安全組用戶根據(jù)虛擬機(jī)安全需求創(chuàng)建安全組，每個(gè)安全組可以設(shè)定一組訪問規(guī)則。當(dāng)虛擬機(jī)加入安全組后，即受到該訪問規(guī)則組的保護(hù)。用戶通過在創(chuàng)建虛擬機(jī)時(shí)選定要加入的安全組來對(duì)自身的虛擬機(jī)進(jìn)行安全隔離和訪問控制。4.5端口組類型4.5.1Trunk端口虛擬機(jī)網(wǎng)卡通過虛端口接入虛擬交換機(jī)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的收發(fā)。虛擬交換機(jī)虛端口支持配置為Trunk類型，并允許設(shè)置Trunk的VLANID范圍，之后虛端口便具備了同時(shí)收發(fā)攜帶不同VLAN標(biāo)簽的網(wǎng)絡(luò)數(shù)據(jù)包的功能，從而滿足了虛擬網(wǎng)卡支持Trunk類型端口的需求。Access端口虛擬機(jī)網(wǎng)卡通過虛端口接入虛擬交換機(jī)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的收發(fā)。虛擬交換機(jī)虛端口支持配置為Access類型，并設(shè)置唯一VLANID,之后虛端口便只允許收發(fā)攜帶該VLAN標(biāo)簽的網(wǎng)絡(luò)數(shù)據(jù)包，從而滿足了虛擬網(wǎng)卡支持Access類型端口的需求。4.6端口管理華為虛擬機(jī)交換機(jī)的端口管理包括物理端口管理和虛擬端口的管理。物理端口管理信息包括物理網(wǎng)口的發(fā)送和接收報(bào)文數(shù)，發(fā)送和接收報(bào)文流量，網(wǎng)卡狀態(tài)，網(wǎng)卡速率，網(wǎng)卡雙工模式。虛擬端口管理信息包括虛擬端口的發(fā)送和接收報(bào)文數(shù)，發(fā)送和接收報(bào)文流量。DiStdJNIC(1.NIC$PtrtGra叩!PacfaetsREt-erred...$DataKKEived|IC.iPacketsSemilpac._$加1日5ent(KE)$htetwrkAdipirerO狐7779355341A1218M215 WJ2-并且基于流量信息統(tǒng)計(jì)主機(jī)和虛擬機(jī)的流速信息。4.7存儲(chǔ)面三層互通華為支持存儲(chǔ)面三層互通功能，管理員可以根據(jù)需要靈活設(shè)置存儲(chǔ)平面二層或者三層互通，三層互通時(shí)需要配置路由網(wǎng)關(guān)信息。由于OS的限制，管理平面、存儲(chǔ)平面在CNA僅支持配置1個(gè)網(wǎng)關(guān)，當(dāng)前的默認(rèn)網(wǎng)關(guān)是管理平面，所以通過在CNA添加策略路由，解決了添加存儲(chǔ)面路由網(wǎng)關(guān)的需求。4.8配置管理VLAN一般情況下，接入交換機(jī)配置hybrid，在交換機(jī)打VLAN標(biāo)簽，CNA和VRM不配置VLAN。在靈活組網(wǎng)的場景，比如接入交換機(jī)端口只允許配置為trunk模式，此時(shí)需要配置管理VLAN，包括主機(jī)安裝時(shí)支持在向?qū)浇缑嬷兄付ňW(wǎng)口配置VLAN、部署VRM時(shí)配置VLAN。4.9業(yè)務(wù)管理平面當(dāng)前版本支持配置業(yè)務(wù)管理平面。管理員可以配置系統(tǒng)的遷移共享存儲(chǔ)心跳通過業(yè)務(wù)管理平面進(jìn)行傳輸，業(yè)務(wù)管理數(shù)據(jù)和管理維護(hù)數(shù)據(jù)徹底分離，實(shí)現(xiàn)精細(xì)化管理。虛擬交換應(yīng)用場景分布式虛擬交換機(jī)(DVS)可在如下多個(gè)場景應(yīng)用。5.1集中虛擬網(wǎng)絡(luò)管理通過集中式界面簡化虛擬網(wǎng)絡(luò)連接的部署和管理。創(chuàng)建并管理具有多個(gè)分布式虛擬端口組的單個(gè)分布式交換機(jī)，簡化虛擬網(wǎng)絡(luò)連接的配置和管理。虛擬網(wǎng)絡(luò)流量統(tǒng)計(jì)功能通過對(duì)UplinkPort/UplinkPortAggr以及虛擬端口的流量統(tǒng)計(jì)可以有效提供系統(tǒng)的可維護(hù)性。分布式虛擬端口組分布式虛擬端口組是分布式虛擬交換機(jī)虛擬端口的集合。連接在同一端口組的虛擬機(jī)網(wǎng)卡，具有相同的網(wǎng)絡(luò)屬性(如：帶寬限速、VLAN、IP和MAC綁定等)。管理員可以通過對(duì)端口組的集中管理和配置，簡化對(duì)虛擬機(jī)端口屬性的設(shè)置。分布式虛擬上行鏈路分布式上行