四种数据中心网络虚拟化技术对比

网络虚拟化技术允许在共享的物理网络基础设施上创建多个虚拟网络。它将逻辑网络与底层物理网络解耦，为组织提供了更多的网络管理灵活性和可扩展性。通过抽象网络资源，网络虚拟化可以有效利用基础设施、降低成本并简化网络配置。

伴随着网络技术的发展，数据中心的二层组网结构出现了阶段性的架构变化，数据中心网络分为了Underlay和Overlay两个部分，网络进入了Overlay虚拟化阶段。Overlay将虚拟网络封装在现有的物理网络基础设施中，提供了一个抽象层，允许虚拟网络独立于Underlay物理网络运行。此方法使组织能够在共享相同的物理基础设施的情况下，创建隔离且逻辑上独立的网络。

适用于网络虚拟化的大部分协议基本上都是利用封装和隧道技术来创建虚拟网络覆盖的。其中业界讨论最多的协议包括VXLAN、NVGRE、STT和SPB MAC-in-MAC。

1不同类型的虚拟化技术对比

VXLAN：虚拟可扩展局域网

VXLAN (Virtual eXtensible LAN，可扩展虚拟局域网络) 是一种Internet 标准重叠网络虚拟化技术，它提供了一种在 IP（第 3 层）网络上封装以太网（第 2 层）帧的方法，通过实现更高的可扩展性和灵活性来解决传统 VLAN 的局限性。

VXLAN技术将已有的三层网络作为Underlay网络，在其上构建出虚拟的二层网络，即Overlay网络。Overlay网络通过封装技术、利用Underlay网络提供的三层转发路径，实现租户二层报文跨越三层网络在不同站点间传递。对于租户来说，Underlay网络是透明的，同一租户的不同站点就像工作在一个局域网中。构成数据中心架构的基础设施，比如数据中心交换机，基本上都有VXLAN虚拟协议，可以实现数据虚拟化。

虽然 VXLAN 只是众多虚拟网络或隧道技术中的一种，但它比其他技术更好地解决了数据中心网络中的几个扩展挑战。由于这些优势，用于云计算的现代数据中心网络架构通常将基于稳健路由协议（例如BGP）的“scale-out”IP (L3) leaf-spine Underlay与基于 VXLAN 的Overlay相结合，如下图所示。

| L3 Underlay和VXLAN Overlay的可扩展数据中心架构

VXLAN 的工作原理

虚拟机发送数据包到虚拟网络。

虚拟交换机（VSwitch）接收数据包，并将其封装为 VXLAN 数据包。

封装后的 VXLAN 数据包在物理网络上进行传输。

目标虚拟交换机接收 VXLAN 数据包，并解封装以还原原始数据包。

原始数据包交付给目标虚拟机。

NVGRE：使用通用路由封装的网络虚拟化

与 VXLAN 类似，NVGRE 是一种Overlay网络虚拟化技术，允许在第 3 层网络上创建虚拟第 2 层网络。不过VXLAN采用的是标准传输协议，即TCP/UDP协议；而NVGRE采用的是通用路由封装协议，即GRE协议。此外，前者由思科驱动，后者由微软支持。

NVGRE 使用封装技术将第 2 层帧封装在 IP 数据包中，从而实现虚拟网络跨物理边界的扩展。它提供增强的网络隔离和可扩展性，适用于多租户环境。

NVGRE 支持类似于 VXLAN 的 24 位网段 ID 或VSID，提供多达 1600 万个可以唯一标识给定网段的虚拟网段，但其数据包使用了GRE报头的低24位作为租户网络识别符（TNI）。为了提供描述带宽利用率粒度的流，传输网络需要使用GRE头，这导致NVGRE不能兼容传统负载均衡。

NVGRE封装（上）与VXLAN封装（下）

NVGRE 的工作原理

虚拟机发送数据包到虚拟网络。

虚拟交换机接收数据包，并在 GRE 头中封装原始数据包。

封装后的数据包在物理网络上进行传输。

目标虚拟交换机接收数据包，并解封装以还原原始数据包。

原始数据包交付给目标虚拟机。

STT：无状态传输隧道

STT 是一种在网络堆栈传输层运行的网络虚拟化协议，是在数据中心2层/3层物理网络上创建2层虚拟网络的又一种Overlay技术。STT 专注于为虚拟网络流量提供轻量级且灵活的封装机制。STT 使用轻量级标头封装数据包，从而允许跨虚拟网络进行高效的网络通信。它被设计为无状态的，简化了网络操作并提高了性能。

STT隧道

STT 的设计是有特定原因的，专门解决以太网帧大小与Underlay物理网络支持的最大传输单元 (MTU) 不匹配的问题。大多数终端主机操作系统将 MTU 值设置为较小的值，以便整个帧加上任何附加（Overlay）封装可以通过物理网络进行传输。

STT 的工作原理

虚拟机发送数据包到虚拟网络。

虚拟交换机接收数据包，并在头部中记录数据包的状态和路径信息。

数据包在物理网络中传输。

目标虚拟交换机接收数据包，并使用头部中的信息进行流量控制和处理。

SPBM：最短路径桥接 MAC-in-MAC

SPBM 是一种网络虚拟化技术，利用 MAC-in-MAC 封装来创建虚拟网络。它提供了一种可扩展且高效的方法来在数据中心环境中构建和管理虚拟网络。SPBM使用分布式控制平面动态分配MAC地址并管理网络转发，促进高效的流量路由和负载平衡。

SPBM 通过将核心简化为基于单个以太网的链路状态协议（以集成模型提供所有虚拟化服务），消除了网络核心中对多个Overlay协议的需求。SPBM 使用 IS-IS 来发现和通告网络拓扑，这使其能够计算到 SPBM 网络中所有节点的最短路径。SPBM 使用 IS-IS 最短路径树来填充每个参与节点的各个 B-MAC 地址的转发表。

SPBM 的工作原理

虚拟机发送数据包到虚拟网络。

SPBM 引擎根据预先配置的策略，将数据包传送到目标虚拟机所在的虚拟网络。

数据包在物理网络上进行传输。

目标虚拟机接收数据包。

2数据中心不同类型虚拟化的优势

网络虚拟化使组织能够快速适应不断变化的网络需求，并更有效地部署应用程序。每种不同类型的虚拟化都提供了网络设计和可伸缩性方面的灵活性，确保企业能够满足其不断变化的需求。

增强灵活性

网络虚拟化可以按需创建虚拟网络，从而实现灵活的资源分配和配置。

提高可扩展性

通过将逻辑网络与物理基础设施解耦，网络虚拟化允许网络资源的无缝扩展。使用Overlay可以创建多个虚拟网络，而无需重新配置物理网络。这种可扩展性在资源需求变化很大的数据中心环境中尤其重要。无论是 VXLAN、NVGRE、STT 还是 SPBM，每种虚拟化技术都提供了应对不断扩展的网络需求所需的可扩展性。

增强安全性和隔离性

网络虚拟化提供虚拟网络之间的隔离，增强了安全性并防止未经授权的访问。通过不同类型的虚拟化，企业可以建立具有自己的安全策略和控制的单独虚拟网络。这种隔离可确保每个虚拟网络内的流量和数据保持私有并受到保护。

简化管理

管理复杂的网络基础设施可能具有挑战性，但网络虚拟化简化了这个流程。通过抽象底层物理基础设施，组织可以集中控制和配置虚拟网络。这种集中管理简化了网络配置、配置更改和故障排除。

成本效率

虚拟化网络可以通过优化资源利用率显着节省成本。虚拟化不是为每个网段配备专用硬件，而是允许网络资源的池化和共享。这意味着企业可以提高物理基础设施的利用率，从而减少资本和运营支出。

审核编辑：汤梓红