Linux上虚拟网络与真实网络的映射虚拟化环境中的网络问题在提供IaaS服务的云计算环境中，每个用户都能得到一个虚拟的计算机，而这些虚拟机器以密集的方式运行在后台服务器集群中。虚拟机的一个特点是提供给用户类似于物理机器的体验，而现实世界中的物理机器能通过各种网络拓扑结构组网。如何在虚拟环境中方便快捷地创建和现实中一样的网络，成为一个新的挑战。图1.物理网络映射问题例子图1为一个网络映射问题的例子。图中左边是现实世界中一个常见的网络环境：四台PC通过各自的物理网卡组成了两个子网，两个子网中的PC默认情况下是不能通讯的，也就是说他们被物理隔离了。图1的右边显示了虚拟化环境下的情景，四个虚拟机同时运行在一个物理主机上，并且需要象图1左边的真实环境一样划分出两个子网并隔离。如何才能做到这一点，或者说如何简单方便的创建出和图1左边部分类似的网络环境，成为虚拟化里必须要解决的一个问题。回页首虚拟化环境中模拟网络的主要方法为方便理解，本文把虚拟化环境中模拟现实网络的方法分为两种：使用传统网络技术，或使用虚拟化网络扩展技术。传统网络技术主要指在虚拟化技术流行以前，现实世界中已经存在的以太网络，包括传统IP网络、802.1QVLAN网络，对它们Linux已经有良好支持，用户可以配置这些Linux设备以完成对现实网络的模拟。虚拟化网络扩展技术主要指为应对云计算与虚拟化环境带来的挑战而新出现的网络技术，包括802.1Qbg和802.1Qbh网络。回页首虚拟化环境中网络模型说明图2本文使用的网络模型说明点击查看大图为方便阅读，上图列出了本文将使用的网络元素。图中左列表示现实世界中存在的网络元素，分别为电脑终端、二层交换机、路由器、网关、支持802.1QVLAN的交换机、三层交换机、物理网卡、支持Hairpin模式的交换机。图中中列为虚拟化环境中的元素，分别为虚拟机，LinuxBridge、Linux路由表、Linuxiptables、Host主机。棕色虚线框表示以太网广播域，黑色虚线框表示物理捆绑关系。图中右列为Linux系统里的网络设备模型，分别为TAP设备、VETH设备、工作在VEPA模式的MACVLAN设备、工作在Bridge模式的MACVLAN设备、工作在Passthrough模式的MACVLAN设备、SRIOV的虚拟VF设备、VLAN设备，下文将有对它们的简介。回页首使用传统网络技术模拟现实网络LinuxHost侧使用的网络元素简介Linux主要使用以下三种设备模型：Bridge、TAP、VETH、VLAN。Bridge设备是基于内核实现的二层数据交换设备，其作用类似于现实世界中的二级交换机。TAP设备是一种工作在二层协议的点对点网络设备，每一个TAP设备都有一个对应的Linux字符设备，用户程序可以通过对字符设备的读写操作，完成与Linux内核网络协议栈的数据交换工作，在虚拟化环境中经常被模拟器使用。VETH设备是一种成对出现的点对点网络设备，从一段输入的数据会从另一端改变方向输出，通常用于改变数据方向，或连接其它网络设备。VLAN设备是以母子关系出现的一组设备，是Linux里对802.1.QVLAN技术的部分实现，主要完成对802.1.QVLANTag的处理。模拟传统以太网图3.现实世界中的传统以太网络A上图为一个典型的传统以太网结构：5个终端机器通过各自的网卡连接接入层的交换机，交换机再通过汇聚端口连接第二级交换机，进而接入作为网关的路由器，路由器通过NAT(NetAddressTranslate)转发数据到外界网络，从而构成一个封闭但是可以连接外网，并且只占有一个公共IP的私网环境。由于所有的终端都在同一个二级交换机下，根据以太网协议，二层的广播报文将在整个网络内传遍，构成了潜在的广播风暴风险。类似的网络结构广泛存在于公司、小区、家庭用户中。图4.虚拟网络A_V0点击查看大图上图所示为虚拟化情况下，对网络A的一种比较准确的模拟。四台虚拟机通过TAP设备连接到接入层Bridge设备，接入层Bridge设备通过一对VETH设备连接到二级Bridge设备，主机通过一对VETH设备接入二级Bridge设备。二级Bridge设备进一步通过Linux路由表，IPTables与物理网卡形成数据转发关系，最终和外部物理网络连接。此图中的元素与网络A中的元素近乎一一对应，Bridge相当于现实世界中的二层交换机，VETH设备相当于连接Bridge的网线，虚拟...