网络的基础知识

• 注：其实我博客网络分类中有详细的网络介绍，下面呢，其实主要是介绍HCIA让你了解的网络知识，所以如果想更详细的了解，可以去我网络分类中看更多细分文章。

• 网络是由各种网络设备组成，虚拟化中的网络除了传统的能看得到物理网络外，还包括运行在服务器内部看不到的网络，这主要介绍与这两种网络相关的基础知识。

• 网络世界的法律：OSI模型和TCP/IP模型 【俗称：7层网络协议】

  • OSI的七层网络协议体系结构的概念清楚，理论也较为完整，但是它既复杂也不实用。
  • TCP/IP体系结构则不同，得到非常广泛的应用。TCP/IP是一个四层的体系结构，包括：网络接口层、网际层（IP）、运输层（TCP或UDP）、应用层（各种应用层协议，如：TELNET、FTP、SMTP等）。
  • 在学习网络原理时候，往往采用折中办法，即综合OSI和TCP/IP的优点，采用一种只有5层的协议体系结构，即：物理层、数据链路层、网络层、运输层、应用层。

拆分对比

重点说明第一层：网络层

• IP网络层：就像是树干，把物理世界和应用世界连接。
• 包(Packet)是TCP/IP协议通信传输中的数据单位，一般也称“数据包”。

重点说明第二三层

• 绕不开的二层和三层
  

• 二层：数据链路层

  • 只完成本种网络的互通
  • 只识别相同链路层协议
  • 交换机：基于以太MAC地址转发，支持高密以太接口；

• 三层：网络层

  • 与不同物理网络连接
  • 识别多种链路层协议
  • IP协议统一语言
  • 路由器：基于IP地址转发，支持多种ATM/SDH/以太接口

从数据封装理解二层和三层的关系

• 从数据封装理解二层和三层的关系图如下
  
• 数据包从四层发送到三层会被添加上IP首部然后进行转发，同样数据包到达二层会被添加上二层协议如以太首部然后进行转发，这个过程叫做封装；
• 数据包从二层发送到三层时，会被二层设备剥离对应的首部，露出上层设备能够识别的首部，如IP首部，同样三层向四层转发的时，也会剥离本层的协议首部露出上层设备能够识别的首部，这个过程叫做解封装；
• 能够执行二层封装、解封装的设备为二层设备，如二层交换机；
• 能够执行三层封装、解封装的设备为三层设备，如路由器；
• 三层交换机既能执行二层封装解封装，也能执行三层封装解封装，为三层设备。

通讯方式 - 单播

源知道接收者的地址，直接使用该地址与接收者建立联系。

通讯方式 - 组播

源负责发送数据，数个client组成接收者，接收者与源之间的路径由组播协议计算后得出。

通讯方式 - 广播

• 在某种意义上，二层网络就是一个大的广播域。

• 源不知道接收者地址，首先会发一个询问给在同一广播域的所有设备，真正的接收者收到该询问后会给源以单播的方式回一个答复，其他设备则不理会该询问；
• 当网络很大的时候，广播包会占用一定的带宽，造成带宽的浪费。
• 二层网络

二层广播带来的问题以及解决方法

• 带来的问题如下

  • 安全性
    • 网络效率
    • 广播风暴
    • 只要在同一广播域，就能收到该域的所有广播，容易造成信息泄露；
  • 大量的广播包会占用带宽；
  • 由于网络拓扑的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪。

• 解决办法 - VLAN

  • VLAN的作用：隔离广播域等；
  • 不同的VLAN之间不能直接通信。
    
  • VLAN技术把用户划分成多个逻辑的网络（group），组内可以通信，组间不允许直接通信，二层转发的单播、组播、广播报文只能在组内转发。同时，VLAN技术可以很容易地实现组成员的添加或删除。
  • 即VLAN技术提供了一种管理手段，控制终端之间的互通。如下图，组1和组2的PC无法相互直接通信。
    

vlan原理、链路、相关接口类型说明【Access、TrunkHybrid接口】

• VLAN的原理
  VLAN是通过对传统的数据帧添加tag字段来实现的。
  

• VLAN的链路
  VLAN中有以下两种链路类型：

  • 普通链路（Access Link）
    接入链路（Access Link）：用于连接用户主机和交换机的链路。通常情况下，主机并不需要知道自己属于哪个VLAN，主机硬件通常也不能识别带有VLAN标记的帧。因此，主机发送和接收的帧都是untagged帧。
  • 中继链路（Trunk Link）
    中继链路（Trunk Link）：用于交换机间的互连或交换机与路由器之间的连接。中继链路可以承载多个不同VLAN数据，数据帧在干道链路传输时，干道链路的两端设备需要能够识别数据帧属于哪个VLAN，所以在干道链路上传输的帧都是Tagged帧。

• 相关接口类型

  • Access接口
    Access接口是交换机上用来连接用户主机的接口，它只能连接接入链路。仅仅允许唯一的VLAN ID通过本接口，这个VLAN ID与接口的缺省VLAN ID相同，Access接口发往对端设备的以太网帧永远是不带标签的帧。
  • Trunk接口
    Trunk接口是交换机上用来和其他交换机连接的接口，它只能连接干道链路，允许多个VLAN的帧（带Tag标记）通过。
  • Hybrid接口
    Hybrid接口是交换机上既可以连接用户主机，又可以连接其他交换机的接口。Hybrid接口既可以连接接入链路又可以连接干道链路。Hybrid接口允许多个VLAN的帧通过，并可以在出接口方向将某些VLAN帧的Tag剥掉。
  • 注：
    虚拟交换机只用Access接口和Trunk接口。

• 各类型接口对数据帧的处理方式
  

虚拟化中的网络架构

说明

• 虚拟化中的网络架构图
  

• 虚拟网卡：虚拟网卡就是用软件模拟网络环境，提供类似真实网卡的功能，无需连接。

• 虚拟交换端口：虚拟交换机上的端口，用来连接虚拟网卡，为虚拟机提供接入网络的服务。

• 端口组：为了方便管理，将具有同样属性的一组虚拟交换端口称为端口组。

• 上行链路：分布式交换机通过上行链路与主机的物理网络适配器相连，使得主机中的虚拟机能够与另一主机中的虚拟机或外部网络进行通信。

  • 物理网卡
  • 虚拟交换机
  • 分布式虚拟交换机
  • 服务器
  • 物理交换机

虚拟化中网络的划分

以物理网卡为界，物理网卡往上为虚拟资源，物理网卡及其往下为物理资源

虚拟化中的关键网络资源

• 虚拟交换机在虚拟化网络中起到承上启下的作用；
• 虚拟交换机的交换端口链接虚拟机网卡，上行链路与物理网卡绑定，从而打通虚拟网络和物理网络；
• 物理网卡与物理交换机相连，使虚拟机发出的数据能够转发到物理网络中。
  

虚拟化中数据的转发路径

• 相同端口组不同主机内的虚拟机通讯需要经过物理网络；
• 相同端口组相同主机内的虚拟机通讯不需要经过物理网络；
• 不同端口组的虚拟机通讯需要经过物理网络。
  

虚拟交换机

说明

• 虚拟交换机原理与物理交换机一样，构建起虚拟机之间的网络，并提供虚拟机与外部网络互通的能力
  

• 相同主机相同端口组的虚拟机不需要通过物理交换机就能互相通信。

• 不同主机相同端口组的虚拟机需要通过物理交换机才能互相通信。

• 虚拟交换机属于二层设备。

虚拟交换机的分类

• 虚拟交换机的分类有两种

  • 标准虚拟交换机
  • 分布式虚拟交换机
    

• 标准虚拟交换机不支持跨物理服务器。

• 一台分布式虚拟交换机可以分布在多台物理服务器上。

• 华为FusionSphere中使用的是分布式虚拟交换机。

华为虚拟交换机的交换类型

• 华为虚拟交换机的交换类型图
  

• 普通模式的特点：

  • 服务器内部的通信性能：同一服务器上的虚拟机间报文转发性能好，时延低。虚拟机交换机实现虚拟机之间报文的二层软件转发， 报文不出服务器，转发路径短，性能高；
  • 跨服务器通信性能：跨服务器，需要经物理交换机进行转发，相比物理交换机实现虚拟交换，由于虚拟交换模块的消耗，性能稍低于物理交换机实现虚拟交换；
  • 扩展灵活：服务器实现虚拟交换，由于采用纯软件实现，相比采用L3芯片的物理交换机，功能扩展灵活、快速，可以更好的满足云计算的网络需求扩展；
  • 规格容量大：服务器内存大，相比物理交换机，在L2交换容量、ACL容量等，远大于物理交换机。

• 直通模式的特点：

  • 依赖华为自研的iNIC智能网卡；
  • 相比普通模式，直通模式可以使用VMDq的技术，使数据包绕开Domain0，直接发给Hypervisor；
  • 相比SR-IOV直通模式，直通模式支持热迁移等高级功能；

• SR-IOV直通模式的特点：

  • SR-IOV实现了将PCI功能分配到多个虚拟接口以在虚拟化环境中共享一个PCI设备的资源。SR-IOV能够让网络传输绕过软件模拟层，直接分配到虚拟机。这样就降低了软件模拟层中的I/O开销；
  • 减少了CPU占用率，采用网卡实现交换的功能，不再需要CPU参与虚拟交换处理；
  • 有诸多限制条件。

虚拟交换端口

虚拟交换端口是虚拟交换机的一部分，通过与虚拟网卡相连使虚拟机能够接入到网络中。

端口组定义和功能

• 为了方便管理，多个具有相同属性的虚拟交换端口组成一个端口组。
• 端口组与物理交换机中的端口一样，通过配置端口组的属性来确定与其相连的虚拟机的网络属性，使虚拟机迁移后网络属性保持不变。
• 注：
  • 虚拟交换端口的属性包含速率、VLAN ID和QOS等
  • 多个端口组可同属于一个分布式交换机。
  • 端口组不可以跨分布式交换机。

端口组属性

上行链路

• 上行链路是虚拟交换机的一部分，通过与CNA主机的物理网卡关联来连接物理网络。
  
• 注：
  • 同一主机上的不同DVS不能共用上行链路；
  • 与上行链路关联的物理网卡可以是单独的一个网口，也可以是多个网卡绑定后的一个逻辑通道；
  • 同一台DVS的所有上行链路组成了上行链路组。

创建虚拟网络资源

• 创建流程图：
  

1、创建分布式交换机

IGMP Snooping说明

• IGMP Snooping（Internet Group Management Protocol Snooping）是交换机的一种高级功能，交换机通过侦听组播协议报文来维护组播报文的出端口信息，从而管理和控制组播数据报文的转发。
• 当有虚拟机有组播的业务时，对应的虚拟机需要开启此功能。

2、添加上行链路

端口绑定说明

• 端口绑定是将多个物理网口绑定成一个逻辑端口以提高传输速率及增加连接的可靠性。
• 端口绑定的模式有：
  • 主备
  • 基于轮询的负荷分担
  • 基于源目的IP和端口负荷分担
  • 基于源目的MAC的负荷分担
  • 基于源目的MAC的LACP
  • 基于源目的IP的LACP

VTEP说明

• 使用VXLAN技术通信的两端称为VTEP（VXLAN Tunneling End Point）。
• VXLAN是一种实现大二层的技术，如果在ger中的软件路由器需要使用该技术，则在上行链路中需要配置VTEP。FusionMana

3、确定端口组连接方式

• 端口组连接方式有两种，子网方式和VLAN方式。
  • 如果连接方式选择子网，需要添加子网。
  • 如果连接方式选择VLAN，需要添加VLAN池。

子网说明

• 若端口组的连接方式选择为子网，则系统会根据子网配置的IP地址池，为使用该端口的虚拟机网卡自动分配IP地址。
• 可设置的子网参数有：名称、描述、子网、子网掩码、网关、保留IP段、域名、首选DNS服务器、首选WINS服务器、VLAN ID。
• 选择子网时，需要在物理交换机上开启DHCP中继功能。

VLAN池说明

• VLAN是虚拟端口的属性之一，也是端口组的属性之一。
• VLAN的用途和在物理网络中一样。
• VLAN池为虚拟端口和端口组提供可用的VLAN资源。
• VLAN是用来隔离广播域的；
• VLAN的取值为1-4094的整数；
• 不同的DVS不能共享同一个VLAN池，但是可以有相同的VLAN范围；
• VLAN之间是通过在普通数据包的外层添加标签来实现隔离的；
• 普通虚拟机没有启用VLAN的功能的话无法识别这些标签，也就无法读取数据包中的数据，所以在数据包出端口到时，交换机应将这些标签剥离掉，数据包进入端口时，交换机应为他们打上对应的标- 签保证其能转发到对应的端口；
• 启用VLAN功能的虚拟机可以识别VLAN标签并会将其剥离，所以需要交换机端口允许携带相应标签的数据包通过。

4、创建端口组

在设置连接方式时，如果选择VLAN方式，并将VLAN ID设置为0，代表着该端口组对经过的数据包不做处理。

虚拟网络和物理网络的管理

网络管理说明

• 当相关的网络资源全部具备后，需要对网络进行管理，来实现虚拟机之间、虚拟机与外界的正常通信。
• 网络管理可化分为虚拟网络管理和物理网络管理。

虚拟网络管理与物理网络管理

• 虚拟网络管理
  
• 物理网络管理
  • 物理网口是指服务器的网口。
  • 物理接口是指物理交换机的接口。

网络中数据帧的格式

• 注：
  • 假设虚拟机的IP地址配置正确。
  • 图片中的Address指的是MAC地址。
  • 重点关注Address和VLAN ID。

数据转发过程

端口组和物理接口的处理主要关注点为VLAN ID

MAC地址段

• 系统默认有一个地址段，可以为10万台虚拟机分配MAC地址。
• 为了避免MAC地址冲突，需要将默认地址段修改为自定义地址段，或添加新的地址段
• 最多可以自定义5个地址段。

VLAN ID

• 端口组和物理接口对数据帧的操作主要根据VLAN ID来执行的。
• 操作主要包括：
  • 对不带VLAN ID的数据帧进行添加
  • 对带VLAN ID的数据帧进行剥离
  • 对带VLAN ID的数据帧进行转发
  • 对带VLAN ID的数据帧进行丢弃
• 具体操作依据根据下图
  

端口镜像

• 端口镜像属于网络管理中的一个功能，物理交换机和虚拟交换机都支持。

• 端口镜像可以将源端口的数据包镜像到目的端口，从而可以实现在目的端口监控源端口的流量信息，用于数据分析和网络问题诊断。

• 注：

  • 虚拟交换机端口镜像功能开启后，数据存在被泄露的风险，请谨慎开启。
  • 分布式交换机的交换类型为“直通模式”或“SRIOV 直通模式”时，不能创建端口镜像。
  • 在分布式交换机中，可以创建三种类型的端口镜像：分布式端口镜像、远程源镜像和远程目的镜像。

虚拟化中物理网络介绍

物理网络包含的设备

虚拟化中路由器的作用

在一个物理路由器上，可以形成多个逻辑上的虚拟路由器，每个虚拟路由器都单独地运行各自的路由协议实例，并且都有自己专用的i/o端口、缓存、地址空间、路由表和网络管理软件。虚拟骨干路由器，可以为客户提供成本低廉的专用骨干网控制和安全管理功能。控制和管理虚拟路由设备的软件是采用模块化设计的，如果这些软件运行在真正的、多进程的操作系统上（如：unix），那么它还支持多实例，也就是说它可以同时支持多个虚拟路由器。每个虚拟路由器的进程与其它路由器的进程都是相互分开的，其使用的内存也受到操作系统的保护，从而保证了数据的高度安全性；同时，还消除了由于软件模块的不完善所造成的与其它虚拟路由器之间的数据碰撞的可能性。

虚拟化中三层交换机的作用

• 三层交换机的最重要作用是加快大型局域网内部的数据交换，能够做到一次路由，多次转发。

• 一般来说，大型局域网按功能或地域等因素会被划成一个个小的局域网。通常，局域网之间通过路由器连接，这使VLAN（Virtual Local Area Network虚拟局域网）技术在网络中得以大量应用。不过，传统的普通路由器的路由能力太弱。单纯使用路由器来实现网间访问，端口数量有限，路由速度较慢，从而限制了网络的规模和访问速度。如果使用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN，就在保持性能的前提下，经济地解决了子网划分之后子网之间必须依赖路由器进行通信的问题。

• 核心骨干网中，通常会用到三层交换机，否则整个网络成千上万台的计算机都在一个子网中，不仅毫无安全可言，也会因为无法分割广播域而无法隔离广播风暴。三层交换机通过使用硬件交换机构实现了IP的路由功能，其优化的路由软件使得路由过程效率提高，解决了传统路由器软件路由的速度问题。

虚拟化中二层交换机的作用

• 二层交换机工作在OSI模型的第2层（数据链路层），识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。因此，二层交换机需要强大的数据识别和转发能力。

• 第二层交换机依赖于链路层中的信息（如MAC地址）完成不同端口数据间的线速交换，主要功能包括物理编址、错误校验、帧序列以及数据流控制。桌面型的交换机一般来说所承担的工作复杂性不是很强，又处于网络的最基层，所以也就只需要提供最基本的数据链接功能即可。此外，有些企业级二层交换机可以实施VLAN，DHCP中继、QoS和端口安全、端口镜像等功能。

• 当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的；再去读取包头中的目的MAC地址，并在地址表中查找相应的端口；如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。

• 目前第二层交换机应用最为普遍（主要是价格便宜，功能符合中、小企业实际应用需求），一般应用于小型企业或中型以上企业网络的桌面层次。所有的交换机在协议层次上来说都是向下兼容的，也就是说所有的交换机都能够工作在第二层。

虚拟化中物理网卡的作用