某项目SDNVPC网络解决方案技术建议

1、-. z.SDN VPC网络解决方案技术建议书华三通信技术TIME yyyy年M月10:50 PM目录TOC o h z uHYPERLINK l _Toc402380222第一章*项目SDN项目需求分析 PAGEREF _Toc402380222 h 4HYPERLINK l _Toc4023802231.1项目背景 PAGEREF _Toc402380223 h 4HYPERLINK l _Toc4023802241.2项目目标 PAGEREF _Toc402380224 h 4HYPERLINK l _Toc4023802251.3项目需求 PAGEREF _Toc402380225 h

2、 4HYPERLINK l _Toc402380226第二章投标方案优势 PAGEREF _Toc402380226 h 5HYPERLINK l _Toc4023802272.1选择华三产品的几大优势 PAGEREF _Toc402380227 h 5HYPERLINK l _Toc402380228全球领先的国有品牌 PAGEREF _Toc402380228 h 5HYPERLINK l _Toc402380229企业网市场的佼佼者 PAGEREF _Toc402380229 h 5HYPERLINK l _Toc402380230领域标准倡导者与领导者 PAGEREF _Toc4023

3、80230 h 6HYPERLINK l _Toc402380231经过实践检验的稳定性 PAGEREF _Toc402380231 h 8HYPERLINK l _Toc402380232最完善的售后服务体系 PAGEREF _Toc402380232 h 8HYPERLINK l _Toc402380233测试最严格的产品 PAGEREF _Toc402380233 h 9HYPERLINK l _Toc402380234最适合*的产品与方案 PAGEREF _Toc402380234 h 9HYPERLINK l _Toc402380235第三章* SDN VPC网络解决方案 PAGER

4、EF _Toc402380235 h 9HYPERLINK l _Toc4023802363.1总体设计原则 PAGEREF _Toc402380236 h 11HYPERLINK l _Toc4023802373.2建设方案 PAGEREF _Toc402380237 h 12HYPERLINK l _Toc4023802383.3总体方案 PAGEREF _Toc402380238 h 12HYPERLINK l _Toc4023802393.3.1H3C SDN VPC网络解决方案基础 PAGEREF _Toc402380239 h 12HYPERLINK l _Toc402380240

5、的概念介绍 PAGEREF _Toc402380240 h 12HYPERLINK l _Toc402380241的技术标准 PAGEREF _Toc402380241 h 13HYPERLINK l _Toc4023802423.3.2H3C SDN VPC网络解决方案 PAGEREF _Toc402380242 h 15HYPERLINK l _Toc402380243典型组网 PAGEREF _Toc402380243 h 15HYPERLINK l _Toc402380244网络基础架构 PAGEREF _Toc402380244 h 16HYPERLINK l _Toc4023802

6、45网络部署需求 PAGEREF _Toc402380245 h 17HYPERLINK l _Toc402380246.1V*LAN 对基础承载网络的需求 PAGEREF _Toc402380246 h 17HYPERLINK l _Toc402380247.2V*LAN 网络和传统网络互通的需求 PAGEREF _Toc402380247 h 17HYPERLINK l _Toc402380248.3V*LAN 网络安全需求 PAGEREF _Toc402380248 h 18HYPERLINK l _Toc402380249网络虚机位置无关性 PAGEREF _Toc402380249

7、h 18HYPERLINK l _Toc402380250分布式网关 PAGEREF _Toc402380250 h 19HYPERLINK l _Toc402380251网络流表路由 PAGEREF _Toc402380251 h 19HYPERLINK l _Toc402380252网络转发流程 PAGEREF _Toc402380252 h 20HYPERLINK l _Toc402380253网络虚机迁移 PAGEREF _Toc402380253 h 20HYPERLINK l _Toc402380254网关高可靠性 PAGEREF _Toc402380254 h 21HYPERLI

8、NK l _Toc402380255网关弹性扩展升级 PAGEREF _Toc402380255 h 22HYPERLINK l _Toc402380256网络安全部署 PAGEREF _Toc402380256 h 23HYPERLINK l _Toc402380257第四章SDN VPC方案给*带来的价值 PAGEREF _Toc402380257 h 24*项目SDN项目需求分析项目背景项目目标项目需求投标方案优势选择华三产品的几大优势企业网市场的佼佼者Gartner魔力四象限排名，华三在企业网市场，处于第一象限。SDN领域标准倡导者与领导者华三通信是SDN国际领先标准组织及开源控制器项

9、目的成员，是SDN相关国际标准的倡导者、实践者与领导者，华三通信从2009年起开始跟踪SDN技术的发展，并投入大量研发力量进行相关产品的研制与开发，截止目前已经开发了全系列的产品和丰富的解决方案，是业界唯一能够提供SDN设备、SDN控制器、SDN应用、SDN管理与业务编排系统的厂商。ONF组织成员https:/./membership/member-listingOpen Daylight组织成员./经过实践检验的稳定性华三公司拥有我国最广泛的网络产品行业应用案例，中央部委的应用份额超过70，各级电子政务国干、省干、地市城域网新增份额超过70；服务于三大行数据中心（中国农业银行、中国银行、中国

10、建行）、两大行全国一级骨干网（中国农业银行和中国人民银行）、四大行（工、农、中、建）省行骨干网；服务于全部211”高校，承建超过80%的教育城域网，超过40个平安校园，参与全国1700余所高校的信息化建设。服务包括宝钢、中国铝业、一汽、海尔、长虹在的超过300家的中国500强企业。在SDN领域，华三一直积极与各行业用户进行紧密的合作与研究，并结合用户业务需求开发了大量SDN应用，是国SDN领域实践案例最为丰富的网络厂商。目前华三已经与联通研究院、电信研究院签署了SDN合作协议成为合作伙伴，这是国SDN领域最高规格的合作；联通集团智慧城市项目正式采用华三SDN网络虚拟化平台，提高了其智慧城市平台

11、运维效率95%以上，将网络配置错误率降低为0，这是国首例运营商级的SDN应用案例，是业最领先的。最完善的售后服务体系35个区域技术支持中心，300余名双华三SE级别或以上级别的一线技术服务工程师，提供贴近客户的强大原厂区域服务力量，为客户提供覆盖网络生命全周期的服务解决方案。在本项目实施的各个省份，华三均可提供快捷的本地服务。130余名技术中心总部产品技术专家，涵盖网络规划、网络测试验证、路由、交换、安全、无线、存储、语音、视讯、监控、网管等所有IP细分产品技术领域。30余名行业技术服务解决方案专家，全专全能，深入了解行业客户需求，为客户提供专业的咨询顾问服务。2500名研发后援专家，提供背靠

12、背支持。华三呼叫中心配备80个专业坐席，7*24小时响应客户需求。客户呼叫等待时间小于20秒，客户服务满意度高达95。500家渠道认证合作伙伴，近3000名认证服务工程师。39个授权服务中心。雄厚的区域备件资源3个备件分拨中心（、）82个区域备件中心（省会城市、直辖市、二级城市）专业第三方物流公司战略合作伙伴测试最严格的产品华三拥有国最严格的测试保障流程，以保证出厂产品能够满足最苛刻的使用条件。独立的产品测试中心，累积投资超过3亿元人民币。两地，各有一个大型专业测试实验室。拥有业界领先的测试仪器N2*、Testcenter 、I*IA *M 、Smartbits、Avalanche、A*400

13、0、Abacus等仪器30余台。对公司所有产品进行严格的鉴定测试。公司全线产品均通过国际著名测试机构Tolly Group的严格测试。注：Tolly Group测试机构对所有产品均采用黑盒测试，测试结果无论好坏均直接在公布，所有测试容和测试结果均网上可查：.tolly.。最适合*的产品与方案华三SDN VPC网络解决方案，也与*的*业务的需求深度契合，可以在最大程度上满足*的*的需求。*SDN VPC网络解决方案随着企业业务的快速扩展，IT作为基础设施，其快速部署和高利用率成为主要需求。云计算可以为之提供可用的、便捷的、按需的资源提供，成为当前企业IT建设的常规形态，而在云计算量采用和部署的虚

14、拟化几乎成为一个基本的技术模式。部署虚拟机需要在网络中无限制地迁移到目的物理位置，虚机增长的快速性以及虚机迁移成为一个常态性业务。传统的网络已经不能很好满足企业的这种需求，面临着如下挑战：虚拟机迁移围受到网络架构限制虚拟机迁移的网络属性要求，当其从一个物理机上迁移到另一个物理机上，虚拟机需要不间断业务，因而需要其IP地址、MAC地址等参数维持不变，如此则要求业务网络是一个二层网络，且要求网络本身具备多路径多链路的冗余和可靠性。传统的网络生成树(STP，Spaning Tree Protocol)技术不仅部署繁琐，且协议复杂，网络规模不宜过大，限制了虚拟化的网络扩展性。基于各厂家私有的IRF/v

15、PC等设备级的（网络N:1）虚拟化技术，虽然可以简化拓扑、具备高可靠性，但是对于网络有强制的拓扑形状，在网络的规模和灵活性上有所欠缺，只适合小规模网络构建，且一般适用于数据中心部网络。而为了大规模网络扩展的TRILL/SPB/FabricPath/VPLS等技术，虽然解决了上述技术的不足，但对网络有特殊要求，即网络中的设备均要软硬件升级，而支持此类新技术会带来部署成本的大幅度上升。虚拟机规模受网络规格限制在大二层网络环境下，数据流均需要通过明确的网络寻址以保证准确到达目的地，因此网络设备的二层地址表项大小（即MAC地址表），成为决定了云计算环境下虚拟机的规模上限，并且因为表项并非百分之百的有效

16、性，使得可用的虚机数量进一步降低。特别是对于低成本的接入设备而言，因其表项一般规格较小，限制了整个云计算数据中心的虚拟机数量，但如果其地址表项设计为与核心或网关设备在同一档次，则会提升网络建设成本。虽然核心或网关设备的MAC与ARP规格会随着虚拟机增长也面临挑战，但对于此层次设备能力而言，大规格是不可避免的业务支撑要求。减小接入设备规格压力的做法可以是分离网关能力，如采用多个网关来分担虚机的终结和承载，但如此也会带来成本的巨幅上升。网络隔离/分离能力限制当前的主流网络隔离技术为VLAN（或VPN），在大规模虚拟化环境部署会有两大限制：一是VLAN数量在标准定义中只有12个比特单位，即可用的数量

17、为4K，这样的数量级对于公有云或大型虚拟化云计算应用而言微不足道，其网络隔离与分离要求轻而易举会突破4K；二是VLAN技术当前为静态配置型技术（只有EVB/VEPA的802.1Qbg技术可以在接入层动态部署VLAN，但也主要是在交换机接主机的端口为常规部署，上行口依然为所有VLAN配置通过)，这样使得整个数据中心的网络几乎为所有VLAN被允许通过(核心设备更是如此)，导致任何一个VLAN的未知目的广播数据会在整网泛滥，无节制消耗网络交换能力与带宽。上述的三大挑战，完全依赖于物理网络设备本身的技术改良，目前看来并不能完全解决大规模云计算环境下的问题，一定程度上还需要更大围的技术革新来消除这些限制

18、，以满足云计算虚拟化的网络能力需求。在此驱动力基础上，逐步演化出Overlay网络技术。*SDN VPC网络解决方案，首先要满足业务需求，能够实现*等需求，第二，要解决上述三大挑战。下面将从*等*个章节，对该方案进行阐述。总体设计原则*系统建设项目从*实际需求出发，充分利用信息技术优势，从大处着眼，小处着手，与用户共同建设一个目标明确、管理清晰、执行顺利、平稳运行的项目，在系统的建设和管理过程中，我们将遵循以下原则：1、注重顶层设计、统筹规划，分步实施原则在项目的整体规划和总体设计阶段做好统一设计、统一标准、统一规，然后分层、分阶段、逐步建设，关注每个阶段的产出和成果，在统一的目标下逐步完成整

19、个项目的策略、需求、分析、设计、研发、测试、部署、试运行、培训、运维等工作。同时充分发挥各类项目相关人的知识能动性，为*提供信息化建设的咨询指导。2、强化应用建设，突出应用，关注实用原则*建设项目的建设效果和建设思路直接体现了*建设项目最直接的产出。因此，我们在建设项目过程中，将重点突出项目的应用目的，关注实用价值，以应用和需求为主导，并在建设的过程中基于*业务服务的要求、IT技术的发展，边建设、边开发、边应用、边完善，让应用的实际效果作为项目直接驱动要素。3、追求架构先进、技术成熟，扩展性强原则项目建设中所采用的技术架构，在一定程度上影响着项目的稳定性，也影响到项目未来的发展。因此在实施过程

20、中我们将放眼长远，在保证可靠的基础上，尽量采用先进的网络技术、应用平台和开发工具，使*系统建设项目具有较长的生命周期。4、经济实用、节约成本原则无论在产品的选型、技术的选择中，我们都要考虑成本的约束，其中不仅考虑当前采购的经济性，还要考虑系统长期运维的经济性，即系统的总拥有成本，尽力选择既经济可行又长期保障的产品和技术。5、确保安全、保护隐私原则在系统建设中要充分考虑到系统安全性以及敏感信息的隐私性，避免数据出现在共享信息里，从网络系统、硬件子系统、软件子系统的设计都要充分考虑安全，采用安全可靠的技术，保证建成的系统稳定运行。6、重视资源、强调成长原则在项目建设的过程中，注重信息资源和人力资源

21、的管理，在数据资源方面，注重网络资源共享的效率性，实现网络互连、信息互通、资源共享，应用交互与协同的网络环境，同时注重各级人力资源配置的合理性，做好培训工作，与甲方的工作人员共同成长，充分发挥资源效能。7、保护投资、充分利旧原则在本项目建设过程中，充分利用现有资源，防止新铺摊子和重复建设，所有建设容都依托现有条件和队伍进行建设，充分利用现有的资源、成果、设备，不搞重复建设。8、先进性和成熟性遵守先进性、可行性、成熟性，以保证系统的互操作性、兼容性、可维护性、可扩展性，并对前期投资有较好的保护。9、一致性和复用性本项目建设应充分考虑业务需求，要最大限度利用已有的资源，以减少重复投资，提高投资收益

22、率。10、实施有序性统筹协调，建立相关管理制度，加强管理和指导，确保协调推进，有序实施，保证项目能够顺利、按时完成。建设方案为满足*的*等需要，需采购产品硬件和软件许可，主要实现（呼应1.3项目需求容）总体方案H3C SDN VPC网络解决方案基础Overlay的概念介绍Overlay在网络技术领域，是一种网络架构上叠加的虚拟化技术模式，其大体框架是对基础网络不进行大规模修改的条件下，实现应用在网络上的承载，并能与其它网络业务分离，并且以基于IP的基础网络技术为主。Overlay网络是指建立在已有网络上的虚拟网，逻辑节点和逻辑链路构成了Overlay网络。Overlay网络是具有独立的控制和转

23、发平面，对于连接在overlay边缘设备之外的终端系统来说，物理网络是透明的。Overlay网络是物理网络向云和虚拟化的深度延伸，使云资源池化能力可以摆脱物理网络的重重限制，是实现云网融合的关键。Overlay网络概念图Overlay的技术标准IETF在Overlay技术领域提出V*LAN、NVGRE、STT三大技术方案。大体思路均是将以太网报文承载到*种隧道层面，差异性在于选择和构造隧道的不同，而底层均是IP转发。V*LAN和STT对于现网设备而言对流量均衡要求较低，即负载链路负载分担适应性好，一般的网络设备都能对L2-L4的数据容参数进行链路聚合或等价路由的流量均衡，而NVGRE则需要网络

24、设备对GRE扩展头感知并对flow ID进行HASH，需要硬件升级；STT对于TCP有较大修改，隧道模式接近UDP性质，隧道构造技术属于革新性，且复杂度较高，而V*LAN利用了现有通用的UDP传输，成熟性极高。所以总体比较，VL*AN技术具有更大优势，而且当前VL*AN也得到了更多厂家和客户的支持，已经成为Overlay技术的主流标准，所以本文的后续介绍均以V*LAN技术作为标准进行介绍，NVGRE、STT则不再赘述。V*LAN（Virtual e*tensible LAN，可扩展虚拟局域网络）是基于IP网络、采用MAC in UDP”封装形式的二层VPN技术，具体封装的报文格式如图2所示。V

25、*LAN可以基于已有的服务提供商或企业IP网络，为分散的物理站点提供二层互联功能，主要应用于数据中心网络。V*LAN具有如下特点：使用24位的标识符，最多可支持16M个V*LAN，解决了传统二层网络VLAN资源不足的问题。基于IP网络组建大二层网络，使得网络部署和维护更加容易，并且可以好地利用现有的IP网络技术，例如利用等价路由负载分担。只有边缘设备需要进行V*LAN处理，V*LAN业务对网络中间设备透明，只需根据IP头转发报文，降低了网络部署的难度和费用。根据客户不同组网需求，Overlay的网络部署分为以下三种组网模型，如下图所示。Overlay的网络部署图网络Overlay的隧道封装在物

26、理交换机完成。这种Overlay的优势在于物理网络设备性能转发性能比较高，可以支持非虚拟化的物理服务器之间的组网互通。它的缺点就是现网设备大都不支持V*LAN, 需要大批量更换设备。主机Overlay隧道封装由虚拟设备完成，不用增加新的网络设备即可完成Overlay部署，可以支持虚拟化的服务器之间的组网互通。它纯粹由服务器实现Overlay功能，对现有网络改动不大，但是可能存在转发瓶颈。混合Overlay是Network Overlay和Host Overlay的混合组网，可以支持物理服务器和虚拟服务器之间的组网互通。它融合了两种Overlay方案的优点，既可以发挥硬件GW的转发性能，又尽可能

27、的减少对于现有网络的改动。H3C SDN VPC网络解决方案典型组网主机Overlay主要利用泛洪或广播机制实现网络构建和扩展，它将虚拟设备作为Overlay网络的边缘设备和网关设备，Overlay功能纯粹由服务器来实现，它的典型组网如下图所示：主机Overlay典型组网该组网方案：使用物理服务器的vSwitch实现V*LAN网络VTEP。部署VCF Controller后可以集中控制V*LAN VTEP/GW。VCF Controller配合Hypervisor平台管理多形态Gateway。该组网方案有以下优点：适用于服务器虚拟化的场景，成本较低，V*LAN物理GW既可以用在核心位置，也可以

28、在现有核心旁挂，保护已有投资。控制面实现可以由H3C高可靠的SDN Controller集群实现，提高了可靠性和可扩展性，避免了大规模的复杂部署。网关组部署可以实现流量的负载分担和高可靠性传输。支持分布式网关功能，使虚机迁移后不需要重新配置网关等网络参数，部署简单、灵活。网络基础架构Overlay网络的基础架构如下图所示：Overlay网络的基础架构VM（Virtual Machine，虚拟机）在一台服务器上可以创建多台虚拟机，不同的虚拟机可以属于不同的V*LAN。属于相同V*LAN的虚拟机处于同一个逻辑二层网络，彼此之间二层互通。两个V*LAN 可以具有相同的MAC地址，但一个段不能有一个重

29、复的MAC地址。VTEP（V*LAN Tunnel End Point，V*LAN隧道端点）V*LAN的边缘设备，进行V*LAN业务处理：识别以太网数据帧所属的V*LAN、基于V*LAN对数据帧进行二层转发、封装/解封装V*LAN报文等。V*LAN通过在物理网络的边缘设置智能实体VTEP，实现了虚拟网络和物理网络的隔离。VTEP之间建立隧道，在物理网络上传输虚拟网络的数据帧，物理网络不感知虚拟网络。VTEP将从虚拟机发出/接受的帧封装/解封装，而虚拟机并不区分VNI和V*LAN隧道。VNI(V*LAN Network Identifier，V*LAN网络标识符)V*LAN采用24比特标识二层网

30、络分段，使用VNI来标识二层网络分段，每个VNI标识一个V*LAN，类似于VLAN ID作用。VNI占用24比特，这就提供了近16M可以使用的V*LANs。VNI将部的帧封装（帧起源在虚拟机）。使用VNI封装有助于V*LAN建立隧道，该隧道在第3层网络之上覆盖率第二层网络。V*LAN隧道在两个VTEP之间完成V*LAN封装报文传输的逻辑隧道。业务入隧道进行V*LAN头、UDP头、IP头封装后，通过三层转发透明地将封装后的报文转发给远端VTEP，远端VTEP对其进行出隧道解封装处理。VSI（Virtual Switching Instance，虚拟交换实例）VTEP上为一个V*LAN提供二层交换

31、服务的虚拟交换实例。网络部署需求V*LAN 对基础承载网络的需求MTUV*LAN需要增加50字节用于封装VM发出的报文，需要更大的IP网络端到端的MTU。V*LAN 卸载由于V*LAN加入了新的V*LAN报文头，V*LAN网络报文不能再利用网卡的硬件卸载能力，这会导致支持V*LAN的vSwitch进一步占用CPU。V*LAN 网络和传统网络互通的需求为了实现VLAN和V*LAN之间互通，V*LAN定义了V*LAN网关。V*LAN上同时存在V*LAN端口和普通端口两种类型端口，它可以把V*LAN网络和外部网络进行桥接和完成V*LAN ID和VLAN ID之间的映射和路由，和VLAN一样，V*LA

32、N网络之间的通信也需要三层设备的支持，即V*LAN路由的支持。同样V*LAN网关可由硬件和软件来实现。当收到从V*LAN网络到普通网络的数据时，V*LAN网关去掉外层，根据层的原始帧头转发到普通端口上；当有数据从普通网络进入到V*LAN网络时，V*LAN网关负责打上外层，并根据原始VLAN ID对应到一个VNI，同时去掉层的VLAN ID信息。相应的如果V*LAN网关发现一个V*LAN包的层帧头上还带有原始的二层VLAN ID，会直接将这个包丢弃。如图所示。V*LAN网关最简单的实现应该是一个Bridge设备，仅仅完成V*LAN到VLAN的转换，包含V*LAN到VLAN的1：1、N：1转换，复

33、杂的实现可以包含V*LAN Mapping功能实现跨V*LAN转发，实体形态可以是vSwitch、TOR交换机。如图所示。V*LAN路由器最简单的实现可以是一个Switch设备，支持类似VLAN Mapping的功能，实现V*LAN ID之间的Mapping，复杂的实现可以是一个Router设备，支持跨V*LAN转发，实体形态可以是vRouter、TOR交换机、路由器。V*LAN网关和V*LAN路由简单实现V*LAN 网络安全需求同传统网络一样，V*LAN网络同样需要进行安全防护。V*LAN网络的安全资源部署需要考虑两个需求：V*LAN和VLAN之间互通的安全控制传统网络和Overlay网络中

34、存在流量互通，需要对进出互通的网络流量进行安全控制，防止网络间的安全问题。针对这种情况，可以在网络互通的位置部署V*LAN防火墙等安全资源，V*LAN防火墙可以兼具V*LAN网关和V*LAN路由器的功能。V*LAN ID对应的不同V*LAN域之间互通的安全控制VM之间的横向流量安全是在虚拟化环境下产生的特有问题，在这种情况下，同一个服务器的不同VM之间的流量可能直接在服务器部实现交换，导致外部安全资源失效。针对这种情况，可以考虑使用重定向的引流方法进行防护，又或者直接基于虚拟机进行防护。网络部署中的安全资源可以是硬件安全资源，也可以是软件安全资源，还可以是虚拟化的安全资源。Overlay网络虚

35、机位置无关性通过使用MAC-in-UDP封装技术，V*LAN为虚拟机提供了位置无关的二层抽象，Underlay网络和Overlay网络解耦合。终端能看到的只是虚拟的二层连接关系，完全意识不到物理网络限制。更重要的是，这种技术支持跨传统网络边界的虚拟化，由此支持虚拟机可以自由迁移，甚至可以跨越不同地理位置数据中心进行迁移。如此以来，可以支持虚拟机随时随地接入，不受实际所在物理位置的限制。所以V*LAN的位置无关性，不仅使得业务可在任意位置灵活部署，缓解了服务器虚拟化后相关的网络扩展问题；而且使得虚拟机可以随时随地接入、迁移，是网络资源池化的最佳解决方式，可以有力地支持云业务、大数据、虚拟化的迅猛

36、发展。分布式网关分布式网关把分布在多台主机的单一OVS逻辑上组成一个大”交换机，原来每个OVS需要分别配置，而现在OVS分布式网关可在控制器管理界面集中配置、管理。分布式网关通过控制器创建和维护，当一个OVS分布式网关被创建时，每一个主机会创建一个隐藏的OVS与分布式网关连接。分布式网关主要具备以下几个功能：可以实现OVS集中管理的功能，在控制器管理界面对OVS集中配置管理，无需对每个OVS单独配置、管理。OVS分布式网关可以通过流表实现V*LAN的二三层转发。虚拟机迁移时可以使得虚拟机网络端口状态在从一个主机移到另一个主机时保持不变，这样就能支持对虚拟机持续地统计监控并促进安全性监控。虚拟机

37、迁移后，不需要重新配置网关等网络参数，部署简单、灵活。Overlay网络流表路由ARP代答对于虚拟化环境来说，当一个虚拟机需要和另一个虚拟机进行通信时，首先需要通过ARP的广播请求获得对方的MAC地址。由于V*LAN网络复杂，广播流量浪费带宽，所以需要在控制器上实现ARP代答功能。即由控制器对ARP请求报文统一进行应答，而不创建广播流表。ARP代答的大致流程：控制器收到OVS上送的ARP请求报文，做IP-MAC防欺骗处理确认报文合法后，从ARP请求报文中获取目的IP，以目的IP为索引查找全局表获取对应MAC，以查到的MAC作为源MAC构建ARP应答报文，通过Packetout下发给OVS。Ov

38、erlay网络转发流程报文所属V*LAN识别VTEP只有识别出接收到的报文所属的V*LAN，才能对该报文进行正确地处理。V*LAN隧道上接收报文的识别：对于从V*LAN隧道上接收到的V*LAN报文，VTEP根据报文 中携带的VNI判断该报文所属的V*LAN。本地站点接收到数据帧的识别：对于从本地站点中接收到的二层数据帧，VTEP通过以太网服务实例（Service Instance）将数据帧映射到对应的VSI， VSI创建的V*LAN即为该数据帧所属的V*LAN。MAC地址学习本地MAC地址学习：指本地VTEP连接的本地站点虚拟机MAC地址的学习。本地MAC地址通过接收到数据帧中的源MAC地址动

39、态学习，即VTEP接收到本地虚拟机发送的数据帧后，判断该数据帧所属的VSI，并将数据帧中的源MAC地址（本地虚拟机的MAC地址）添加到该VSI的MAC地址表中，该MAC地址对应的出接口为接收到数据帧的接口。远端MAC地址学习：指远端VTEP连接的远端站点虚拟机MAC地址的学习。远端MAC学习时，VTEP从V*LAN隧道上接收到远端VTEP发送的V*LAN报文后，根据V*LAN ID判断报文所属的V*LAN，对报文进行解封装，还原二层数据帧，并将数据帧中的源MAC地址（远端虚拟机的MAC地址）添加到所属V*LAN对应VSI的MAC地址表中，该MAC地址对应的出接口为V*LAN隧道接口。Overl

40、ay网络虚机迁移在虚拟化环境中，虚拟机故障、动态资源调度功能、服务器主机故障或计划停机等都会造成虚拟机迁移动作的发生。虚拟机的迁移，需要保证迁移虚拟机和其他虚拟机直接的业务不能中断，而且虚拟机对应的网络策略也必须同步迁移。虚拟机迁移及网络策略如图所示：虚拟机迁移及网络策略跟随网络管理员通过虚拟机管理平台下发虚拟机迁移指令，虚拟机管理平台通知控制器预迁移，控制器标记迁移端口，并向源主机和目的主机对应的主备控制器分布发送同步消息，通知迁移的VPort，增加迁移标记。同步完成后，控制器通知虚拟机管理平台可以进行迁移了。虚拟机管理平台收到控制器的通知后，开始迁移，创建VM分配IP等资源并启动VM。启动后目的主机上报端口添加事件，通知给控制器，控制器判断迁移标记，迁移端口，保存新上报端口和旧端口信息。然后控制器向目的主机下发网络策略。源VM和目的执行存拷贝，存拷贝结束后，源VM关机，目的VM上线。源VM关机后，迁移源主机上报端口删除事件，通知给控制器，控制器判断迁移标记，控制器根据信息删除旧端口信息并同时删除迁移前旧端口对应的流表信息。主控制器完成上述操作后在控制器集群进行删除端口消息的通知。其他控制器收到删除端口信息后，也删除本控制器的