現有解決方案及問題

由于一個虛擬機上可能存在多個虛擬后的系統(tǒng)，系統(tǒng)之間通訊就需要通過網絡，但和普通的物理系統(tǒng)間通過實體網絡設備互聯不同，虛擬系統(tǒng)的網絡接口也是虛擬的，因此不能直接通過實體網絡設備互聯。

目前流行的一種解決方案是：vSwitch技術。vSwitch作為最早出現的一種的網絡虛擬化技術，已經在Linux Bridge、VMWare vSwitch等軟件產品中實現。所謂的vSwitch，就是VEB技術，即將虛擬網橋完全在服務器(終端)硬件上實現，不涉及外部交換機的協作。

參考虛擬機的實現方式，將網絡設備也虛擬化，并綁定在虛擬機中，這樣虛擬機上的網絡接口可以不需要經過實體網絡，直接在虛擬機內部通過虛擬交換機等虛擬的網絡設備進行互聯。
 

如上圖所述，跟普通服務器設備一樣，每個虛擬機有著自己的虛擬網卡(virtual NIC)，每個virtual NIC有著自己的MAC地址和IP地址。Virtual Switch(vSwitch)相當于一個虛擬的二層交換機，ABCDE便是交換機上的虛擬端口，該交換機連接虛擬網卡和物理網卡，將虛擬機上的數據報文從物理網口轉發(fā)出去。根據需要，vSwitch還可以支持二層轉發(fā)、安全控制、端口鏡像等功能。
物理主機（服務器）虛擬交換機，用于虛擬機互訪（本質上就是一種“軟”交換機的行為，軟件虛擬出來交換機）：

性能低，特性少；

模糊了主機和網絡管理界面；

帶來的問題：

1、流量無法監(jiān)控 ，存在安全隱患

從虛擬機到物理服務器之外的流量可以通過交換機鏡像、網流分析設備進行監(jiān)控；虛擬機之間的流量無法進行監(jiān)控；

2、無法實施安全策略

數據中心服務器之間采用了矩陣式的訪問控制策略。問題： ①不同的虛擬機之間需要通過ACL實現訪問控制； ②傳統(tǒng)的VSwitch 實現ACL需要消耗CPU資源，對服務器性能有影響； ③安全策略與VM的遷移緊綁定問題需解決；

3、管理邊界不清 （模糊了主機和網絡管理界面，服務器和網絡管理員的管理界面）

物理服務器中的邏輯網絡由誰管？相似的情況：刀片服務器中的交換機模塊由誰管？在管理權限上，網絡管理員基本不能管理到vSwitch，而主機管理員也不愿意在網絡配置上花太多的時間，這樣導致vSwitch游離于網絡整體管理之外，不利于整體網絡策略以及網絡安全的實現。

4、影響服務器性能

考慮到在一臺物理服務器上可能運行數十個虛擬機，再摻雜上數據中心的交換時，情況會非常復雜。給虛擬機增加這樣一種智能，會給服務器額外增加大量的網絡處理負載，并且由于虛擬交換機僅僅是通過一種軟件實現，在功能和性能上必然無法與傳統(tǒng)的實體網絡設備相媲美。既然實體交換機已經實現了所有這些功能，就沒有必要在虛擬機上進行這些重復操作。

數據中心接入層虛擬交換

物理主機（服務器）虛擬交換機，用于虛擬機互訪（本質上就是一種“軟”交換機的行為，軟件虛擬出來交換機）。

采用一種“硬”交換機的思路，將虛擬機的交換能力回歸到交換機 ，性能保證，特性豐富 ，管理界面清晰 。

指定一種Edge Virtual Bridging(EVB)標準，該標準基于一個名為Virtual Ethernet Port Aggregator (VEPA) 的技術。通過VEPA，來自于VM的所有流量都會被轉發(fā)到鄰近的物理接入交換機，或者當目標VM也位于同一個服務器時被轉回到相同的物理服務器。

部署方案：

在數據中心接入層部署支持EVB國際標準的數據中心交換機，與服務器端虛擬化軟件聯動即可支持將流量上引至交換機上。

通過VEPA和VSI發(fā)現功能，將VM的流量統(tǒng)統(tǒng)轉移到交換機上來進行傳輸，可以實現基于VM的流量控制。例如，網絡管理員可以應用安全策略阻斷某個VM和其他VM的通訊，或者控制該VM只能和某些指定的VM通訊。

帶來的好處

提升性能、降低復雜性 ，實現：將高級復雜的網絡功能從VM轉移到外部網絡。

保持NIC（網卡）的低成本電路 ，實現：將高級網絡功能調整到外部網絡。

一致性控制策略實現 ，實現：將所有流量轉發(fā)到外部網絡，網絡實現更加完備的的強制控制策略。

VM間流量可視性 ，實現：外部網絡提供完善的管理工具。

清晰管理邊界 ，降低服務器管理人員的網絡配置要求 ，降低網絡管理人員的配置復雜性。