FusionSphere虛擬化套件分布式虛擬交換機技術(shù)白皮書

1、 DOCPROPERTY DocumentName 分布式虛擬交換機技術(shù)白皮書華為專有和保密信息 版權(quán)所有 華為技術(shù)有限公司文檔版本 DOCPROPERTY DocumentVersion V1.0 ( DOCPROPERTY ReleaseDate 2019-03-20) DOCPROPERTY Product Project Name 華為FusionSphere 6.5.0 虛擬化套件 DOCPROPERTY DocumentName 分布式虛擬交換機技術(shù)白皮書 STYLEREF Contents 目 錄 DOCPROPERTY DocumentName 分布式虛擬交換機技術(shù)白皮書目 錄

2、 TOC o 1-1 h z t 標題 2,2,標題 3,3,Appendix heading 2,2,Appendix heading 3,3 HYPERLINK l _Toc525291880 1 分布式虛擬交換機概述 PAGEREF _Toc525291880 h 1 HYPERLINK l _Toc525291881 1.1 產(chǎn)生背景 PAGEREF _Toc525291881 h 1 HYPERLINK l _Toc525291882 1.2 虛擬交換現(xiàn)狀 PAGEREF _Toc525291882 h 2 HYPERLINK l _Toc525291883 1.2.1 基于服務器C

3、PU實現(xiàn)虛擬交換 PAGEREF _Toc525291883 h 2 HYPERLINK l _Toc525291884 1.2.2 物理網(wǎng)卡實現(xiàn)虛擬交換 PAGEREF _Toc525291884 h 2 HYPERLINK l _Toc525291885 1.2.3 交換機實現(xiàn)虛擬交換 PAGEREF _Toc525291885 h 3 HYPERLINK l _Toc525291886 2 華為方案簡介 PAGEREF _Toc525291886 h 5 HYPERLINK l _Toc525291887 2.1 方案是什么 PAGEREF _Toc525291887 h 5 HYPER

4、LINK l _Toc525291888 2.2 方案架構(gòu) PAGEREF _Toc525291888 h 7 HYPERLINK l _Toc525291889 2.3 方案特點 PAGEREF _Toc525291889 h 7 HYPERLINK l _Toc525291890 3 虛擬交換管理 PAGEREF _Toc525291890 h 8 HYPERLINK l _Toc525291891 3.1 主機 PAGEREF _Toc525291891 h 8 HYPERLINK l _Toc525291892 3.2 分布式虛擬交換機 PAGEREF _Toc525291892 h

5、8 HYPERLINK l _Toc525291893 3.3 端口組 PAGEREF _Toc525291893 h 8 HYPERLINK l _Toc525291894 4 虛擬交換特性 PAGEREF _Toc525291894 h 9 HYPERLINK l _Toc525291895 4.1 物理端口/聚合 PAGEREF _Toc525291895 h 9 HYPERLINK l _Toc525291896 4.2 虛擬交換 PAGEREF _Toc525291896 h 9 HYPERLINK l _Toc525291897 4.2.1 普通交換 PAGEREF _Toc525

6、291897 h 9 HYPERLINK l _Toc525291898 4.2.2 SR-IOV直通 PAGEREF _Toc525291898 h 10 HYPERLINK l _Toc525291899 4.2.3 用戶態(tài)交換 PAGEREF _Toc525291899 h 10 HYPERLINK l _Toc525291900 4.3 流量整形 PAGEREF _Toc525291900 h 11 HYPERLINK l _Toc525291901 4.3.1 基于端口組的流量整形 PAGEREF _Toc525291901 h 11 HYPERLINK l _Toc52529190

7、2 4.4 安全 PAGEREF _Toc525291902 h 11 HYPERLINK l _Toc525291903 4.4.1 二層網(wǎng)絡安全策略 PAGEREF _Toc525291903 h 11 HYPERLINK l _Toc525291904 4.4.2 廣播報文抑制 PAGEREF _Toc525291904 h 12 HYPERLINK l _Toc525291905 4.4.3 安全組 PAGEREF _Toc525291905 h 12 HYPERLINK l _Toc525291906 4.5 Trunk端口 PAGEREF _Toc525291906 h 12 HY

8、PERLINK l _Toc525291907 4.6 端口管理 PAGEREF _Toc525291907 h 13 HYPERLINK l _Toc525291908 4.7 存儲面三層互通 PAGEREF _Toc525291908 h 13 HYPERLINK l _Toc525291909 4.8 配置管理VLAN PAGEREF _Toc525291909 h 13 HYPERLINK l _Toc525291910 4.9 業(yè)務管理平面 PAGEREF _Toc525291910 h 13 HYPERLINK l _Toc525291911 5 虛擬交換應用場景 PAGEREF

9、_Toc525291911 h 14 HYPERLINK l _Toc525291912 5.1 集中虛擬網(wǎng)絡管理 PAGEREF _Toc525291912 h 14 HYPERLINK l _Toc525291913 5.2 虛擬網(wǎng)絡流量統(tǒng)計功能 PAGEREF _Toc525291913 h 14 HYPERLINK l _Toc525291914 5.3 分布式虛擬端口組 PAGEREF _Toc525291914 h 14 HYPERLINK l _Toc525291915 5.4 分布式虛擬上行鏈路 PAGEREF _Toc525291915 h 14 HYPERLINK l _T

10、oc525291916 5.5 網(wǎng)絡隔離 PAGEREF _Toc525291916 h 14 HYPERLINK l _Toc525291917 5.6 網(wǎng)絡遷移 PAGEREF _Toc525291917 h 15 HYPERLINK l _Toc525291918 5.7 網(wǎng)絡安全 PAGEREF _Toc525291918 h 15 HYPERLINK l _Toc525291919 5.8 配置管理VLAN PAGEREF _Toc525291919 h 15 HYPERLINK l _Toc525291920 5.9 業(yè)務管理平面 PAGEREF _Toc525291920 h 1

11、5 HYPERLINK l _Toc525291921 6 縮略語 PAGEREF _Toc525291921 h 16分布式虛擬交換機概述產(chǎn)生背景網(wǎng)絡虛擬化的發(fā)展計算虛擬化驅(qū)動網(wǎng)絡虛擬化的發(fā)展。傳統(tǒng)數(shù)據(jù)中心，一臺服務器運行一個操作系統(tǒng)，通過物理網(wǎng)線與交換機相連，由交換機實現(xiàn)不同的主機的交換、流量控制、安全控制等功能。在計算虛擬化后，一臺服務器虛擬化成多臺的虛擬的主機，每個虛擬主機有自己的CPU、內(nèi)存和網(wǎng)卡。同一服務器上的不同主機之間既需要維持原有的通信，同時由于共享物理設備，引出了新的安全隔離、以及對流控的更高的需求，對虛擬交換技術(shù)的訴求由此產(chǎn)生為統(tǒng)一和簡化對各臺主機的虛擬交換機的配置管理，

12、業(yè)界引入分布式虛擬交換機。分布式虛擬交換機一方面可以對多臺服務器的虛擬交換機統(tǒng)一配置、管理和監(jiān)控，另一方面也可以保證虛擬機在服務器之間遷移時網(wǎng)絡配置的一致性。虛擬交換現(xiàn)狀虛擬交換分為基于服務器來實現(xiàn)虛擬二層交換的功能和基于交換機實現(xiàn)虛擬交換功能兩類實現(xiàn)方式。其中服務器實現(xiàn)虛擬交換又分為服務器CPU實現(xiàn)虛擬交換和在服務器網(wǎng)卡上實現(xiàn)虛擬交換的兩種方式。總結(jié)來說，虛擬交換的實現(xiàn)形式一般分為三種：1）在服務器CPU上實現(xiàn)虛擬交換；2）在服務器網(wǎng)卡上實現(xiàn)虛擬交換；3）在物理交換機上實現(xiàn)虛擬交換。基于服務器CPU實現(xiàn)虛擬交換在服務器CPU中實現(xiàn)虛擬交換是目前較為成熟且產(chǎn)品化較好的技術(shù)方案。在服務器的CPU

13、中實現(xiàn)完整的虛擬交換的功能，虛擬機的虛擬網(wǎng)卡對應虛擬交換的一個虛擬端口，服務器的物理網(wǎng)卡作為虛擬交換的上行鏈路端口。虛擬機的報文接收流程如下：虛擬交換機首先從虛擬端口/物理端口接收以太網(wǎng)報文，之后根據(jù)虛擬機MAC、VLAN，查找二層轉(zhuǎn)發(fā)表，找到對應的虛擬端口/物理端口，然后按照具體的端口，轉(zhuǎn)發(fā)報文。該方案的特點：1) 服務器內(nèi)部的通信性能：同一服務器上的虛擬機間報文轉(zhuǎn)發(fā)性能好，時延低。虛擬交換機實現(xiàn)虛擬機之間報文的二層軟件轉(zhuǎn)發(fā)， 報文不出服務器，轉(zhuǎn)發(fā)路徑短，性能高；2) 跨服務器通信性能：跨服務器，需要經(jīng)物理交換機進行轉(zhuǎn)發(fā)，相比物理交換機實現(xiàn)虛擬交換，由于虛擬交換模塊的消耗，性能稍低于物理交換

14、機實現(xiàn)虛擬交換；3) 擴展靈活：服務器實現(xiàn)虛擬交換，由于采用純軟件實現(xiàn)，相比采用L3芯片的物理交換機，功能擴展靈活、快速，可以更好的滿足云計算的網(wǎng)絡需求擴展；4) 規(guī)格容量大：服務器內(nèi)存大，相比物理交換機，L2交換容量遠大于物理交換機。物理網(wǎng)卡實現(xiàn)虛擬交換物理網(wǎng)卡實現(xiàn)虛擬交換設計思想是將虛擬交換功能從服務器的CPU移植到服務器物理網(wǎng)卡，通過網(wǎng)卡硬件改善虛擬交換機占用CPU資源而影響虛擬機性能的問題，同時借助物理網(wǎng)卡的直通的能力，加速虛擬交換的性能。傳統(tǒng)的SR-IOV商業(yè)網(wǎng)卡，也可以支持虛擬交換的功能，但是由于自身設計以及缺乏與Hypervisor的配合，傳統(tǒng)的商業(yè)網(wǎng)卡難以支持熱遷移等虛擬化的特

15、性。基于SR-IOV的虛擬交換基于物理網(wǎng)卡實現(xiàn)虛擬交換的特點：1) 相對于虛擬交換機，減少了CPU占用率，采用網(wǎng)卡實現(xiàn)交換的功能，不再需要CPU參與虛擬交換處理；2) 對于物理網(wǎng)卡實現(xiàn)虛擬直通功能時，由于實現(xiàn)了虛擬機對PCIe設備的直接訪問和操作，顯著降低了從虛擬機到物理網(wǎng)卡的報文處理延時；3) 傳統(tǒng)商業(yè)網(wǎng)卡無法支持熱遷移、同時功能簡單，無法支持靈活的安全隔離等特性，且功能擴展困難。交換機實現(xiàn)虛擬交換交換機實現(xiàn)虛擬交換，業(yè)界有兩種實現(xiàn)技術(shù)：802.1Qbg VEPA、802.1Qbh Bridge Port Extension。802.1Qbg VEPAVEPA的實現(xiàn)是基于現(xiàn)在的IEEE標準，

16、不必為報文增加新的二層標簽，只要對VMM軟件和交換機的軟件升級就可支持VEPA的“發(fā)卡彎”轉(zhuǎn)發(fā)。與VEB方案類似，VEPA方案可以采用純軟件方式實現(xiàn)，也能夠通過支持SR-IOV的網(wǎng)卡實現(xiàn)硬件VEPA。其實，只要是VEB能安裝和部署的地方，就都能用VEPA來實現(xiàn)，但VEB與VEPA各有所長，并不存在替代關(guān)系。VEPA的優(yōu)點在于，完全基于IEEE標準，沒有專用的報文格式。而且容易實現(xiàn)，通常只需要對網(wǎng)卡驅(qū)動、VMM橋模塊和外部交換機的軟件做很小的改動，從而實現(xiàn)低成本方案目標。802.1Qbh Bridge Port Extension 端口擴展設備是一種功能有限的物理交換機，通常作為一個上行物理交換

17、機的線卡使用。端口擴展技術(shù)需要為以太網(wǎng)報文增加TAG，而端口擴展設備借助報文TAG中的信息，將端口擴展設備上的物理端口映射成上行物理交換機上的一個虛擬端口，并且使用TAG中的信息來實現(xiàn)報文轉(zhuǎn)發(fā)和策略控制。VN-TAG為報文定義了虛擬機源和目的端口，并且標明了報文的廣播域。借助支持VN-TAG技術(shù)的vSwitch和網(wǎng)卡，也能夠?qū)崿F(xiàn)類似EVB多通道的方案，但是VN-TAG技術(shù)有一些缺點：VN-TAG是一種新提出的標簽格式，沒有沿用現(xiàn)有的標準（如IEEE 802.1Q、 IEEE 802.1ad、IEEE 802.1X tags ）。必須要改變交換機和網(wǎng)卡的硬件，而不能只是簡單的對現(xiàn)有的網(wǎng)絡設備軟件

18、進行升級。也就是說，VN-TAG的使用需要部署支持VN-TAG的新網(wǎng)絡產(chǎn)品（網(wǎng)卡、交換機、軟件）。最初IEEE 802.1工作組曾考慮將“端口擴展”作為EVB標準的一部分，但是最終決定將端口擴展發(fā)展成一個獨立的標準，即802.1 Bridge Port Extension。Cisco曾向IEEE 802.1Q工作組建議，將其私有的VN-TAG技術(shù)作為實現(xiàn)EVB的一種可選方案，但工作組最終沒有接納這個提案。Cisco最近修改了VN-TAG技術(shù)草案，修改后的草案稱為M-TAG，該方案的主要目標仍是為了實現(xiàn)端口擴展設備與上行交換機之間的通信標準化。華為方案簡介方案是什么華為虛擬交換提供集中的虛擬交換

19、的管理功能。集中的管理提供統(tǒng)一的Portal，進行配置管理，簡化用戶的管理。虛擬交換場景通過分布在各物理服務器的虛擬交換機，提供虛擬機的二層通信、隔離、QoS的能力。分布式交換機模型基本特征：1) 虛擬化管理員可以配置多個分布式交換機，每個分布式交換機可以覆蓋集群中的多個CNA節(jié)點；2) 每個分布式交換機具有多個分布式的虛擬端口VSP，每個VSP具有各自的屬性(速率)，為了管理方便采用Port Group組管理相同屬性的一組端口，相同端口組的VLAN相同； 3) 虛擬化管理員或業(yè)務系統(tǒng)（例如VDI/IDC）,可選擇管理/存儲/業(yè)務使用的不同物理接口；每個分布式交換機可以配置一個UpLink端口

20、或者一個Uplink端口聚合組，用于VM對外的通信。Uplink端口聚合組可以包含多個物理端口，端口聚合組可以配置負載均衡策略； 4) 每個VM可以具有多個vNIC接口，vNIC可以和交換機的VSP一一對接；5) 虛擬化管理員或業(yè)務系統(tǒng)可根據(jù)業(yè)務需求，選擇在一個集群中允許進行2層遷移的服務器 創(chuàng)建虛擬二層網(wǎng)絡，設置該網(wǎng)絡使用的VLAN信息；虛擬交換模型虛擬化管理員可通過定義端口組 屬性（安全/QoS）簡化對虛擬機端口屬性的設置；設置端口組屬性，不影響虛擬機正常工作；端口組：端口組是網(wǎng)絡屬性相同的一組端口的屬性集合。管理員可以通過配置端口組屬性（帶寬QOS、2層安全屬性、VLAN等）簡化對虛擬機

21、端口屬性的設置。設置端口組屬性，不影響虛擬機正常工作；上行鏈路：分布式交換機關(guān)聯(lián)的服務器物理網(wǎng)口；管理員可以查詢上行鏈路的名稱、速率、模式、狀態(tài)等信息；上行鏈路聚合：分布式交換機關(guān)聯(lián)的服務器綁定網(wǎng)口，綁定網(wǎng)口可以包含多個物理網(wǎng)口，這些物理網(wǎng)口可以配置主備或負載均衡策略。方案架構(gòu)虛擬交換架構(gòu)如上圖所示，華為的分布式虛擬交換支持基于開源Open vSwitch的純軟件的虛擬交換的功能。方案特點1) 集中的管理：統(tǒng)一Portal和集中的管理，簡化用戶的管理和配置；2) 開源Open vSwitch：集成開源Open vSwitch，充分利用和繼承了開源社區(qū)虛擬交換的能力；3) 提供豐富的虛擬交換的二

22、層特性，包括交換、QoS、安全隔離等。 STYLEREF 7 n * MERGEFORMAT Error! No text of specified style in document. STYLEREF 7 Error! No text of specified style in document. DOCPROPERTY Product&Project Name DOCPROPERTY DocumentName 分布式虛擬交換機技術(shù)白皮書虛擬交換管理主機主機是使用虛擬化軟件(FusionCompute)運行虛擬機的計算機。主機是一臺真正的物理服務器。主機提供虛擬機使用的CPU和內(nèi)存資源，并

23、使虛擬機能夠訪問網(wǎng)絡。分布式虛擬交換機分布式虛擬交換機是管理多臺主機上的虛擬交換機（基于軟件的虛擬交換機）的虛擬網(wǎng)絡管理方式，包括對主機的物理端口和虛擬機虛擬端口的管理。 分布式虛擬機交換機可以保證虛擬機在主機之間遷移時網(wǎng)絡配置的一致性。端口組端口組是分布式虛擬交換機(DVS)中虛擬端口的集合。端口組主要是為了方便用戶同時對端口組中的多個端口進行配置，以減少重復配置工作。連接在同一端口組的虛擬機網(wǎng)卡，具有相同的網(wǎng)絡屬性。如：帶寬限速、優(yōu)先級、VLAN、IP和MAC綁定等。虛擬交換特性物理端口/聚合物理端口是指主機的物理網(wǎng)口。物理端口聚合是指將多個同類屬性的物理端口進行聚合操作，通過聚合策略提高

24、端口的可靠性或者端口的帶寬。當前華為支持的普通網(wǎng)卡聚合策略有：主備模式、基于源目的MAC地址的負荷分擔、基于源和目的MAC的負荷分擔、基于源目的IP的LACP、基于源目的IP和端口的負荷分擔和輪詢模式。支持的用戶態(tài)（DPDK）驅(qū)動網(wǎng)卡聚合策略有：主備模式、基于源目的MAC地址的LACP、基于源目的IP和端口的LACP 。虛擬交換華為虛擬交換機提供三種虛擬交換模式：1）普通模式，2）SR-IOV直通模式， 3）用戶態(tài)交換模式。普通交換普通模式下，虛擬機有前后端兩個虛擬網(wǎng)卡設備，其中，前端網(wǎng)卡連接在虛擬交換機的虛端口上。虛擬機網(wǎng)絡數(shù)據(jù)包通過環(huán)形緩沖區(qū)和事件通道在前后端網(wǎng)卡之間傳輸，并最終通過后端網(wǎng)

25、卡連接的虛擬交換機實現(xiàn)轉(zhuǎn)發(fā)。普通交換SR-IOV直通SR-IOV（Single Root I/O Virtualization）技術(shù)是2007年提出的網(wǎng)絡I/O虛擬化技術(shù)，目前已是PCI-SIG的規(guī)范。簡單說來，支持SR-IOV的物理網(wǎng)卡可以虛擬出多個網(wǎng)卡以供虛擬機使用，對于虛擬機來說就像是有一塊單獨的物理網(wǎng)卡一樣，相比軟件虛擬化提升了網(wǎng)絡I/O的性能，相對于硬件直通(PCI Passthrough)又減少了硬件網(wǎng)卡數(shù)量上的需求。SR-IOV的虛擬交換用戶態(tài)交換通過對虛擬端口加載用戶態(tài)驅(qū)動，在vswitchd中啟動線程接管內(nèi)核態(tài)收發(fā)包功能，從網(wǎng)卡收到的數(shù)據(jù)包直接在vswitchd的線程中接收，

26、接收到數(shù)據(jù)后，查詢vswitchd中的精確流表匹配，然后執(zhí)行openflow的動作和指令，把數(shù)據(jù)從指定端口發(fā)送出去。優(yōu)勢在于使用DPDK技術(shù)提升了端口IO性能，另外，收發(fā)包和基于openflow的數(shù)據(jù)轉(zhuǎn)發(fā)都在用戶態(tài)完成，減少了內(nèi)核態(tài)與用戶態(tài)間切換帶來的開銷，帶來網(wǎng)絡I/O的性能的提升，相較于SR-IOV技術(shù)，支持熱遷移、熱添加網(wǎng)卡等更多高級特性。流量整形流量整形通過提供發(fā)送、接收方向的帶寬流量整形以及發(fā)送方向優(yōu)先級能力?；诙丝诮M的流量整形提供基于端口組的平均帶寬、峰值帶寬、突發(fā)流量，帶寬優(yōu)先級控制能力，保證虛擬機的網(wǎng)絡通信質(zhì)量，同時，避免不同端口組的虛擬機之間的擁塞互相影響。當管理員需要限制

27、某一虛擬機可占用的帶寬的上限時，可通過設置虛擬機網(wǎng)卡所在端口組的上限帶寬來實現(xiàn)。當管理員需要在擁塞情況下，對于不同的虛擬機有不同的帶寬搶占能力時，可通過配置其帶寬優(yōu)先級來實現(xiàn)，使優(yōu)先級高的虛擬機搶到更多的帶寬。安全二層網(wǎng)絡安全策略二層網(wǎng)絡安全 二層網(wǎng)絡安全策略主要包括：防止用戶虛擬機IP和MAC地址仿冒，防止用戶虛擬機DHCP Server仿冒。防止IP地址和MAC仿冒（IP和MAC綁定）：防止虛擬機用戶通過修改虛擬網(wǎng)卡的IP、MAC地址發(fā)起IP、MAC仿冒攻擊，增強用戶虛擬機的網(wǎng)絡安全。通過生成IP-MAC的綁定關(guān)系，基于IP源側(cè)防護(IP Source Guard)與動態(tài)ARP檢測（DAI

28、）對非綁定關(guān)系的報文進行過濾。防止DHCP Server仿冒(DHCP Server隔離)：禁止用戶虛擬機啟動DHCP Server服務，防止用戶無意識或惡意啟動DHCP Server服務，影響正常的虛擬機IP地址分配過程。廣播報文抑制在服務器整合、桌面云等企業(yè)應用場景，如果發(fā)生網(wǎng)絡攻擊或病毒發(fā)作等引起的廣播報文攻擊，可能造成網(wǎng)絡通信異常，此時可以開啟虛擬交換機的廣播報文抑制功能。虛擬交換機提供虛擬機虛端口發(fā)送方向的廣播報文抑制開關(guān)，以及抑制閾值設置功能?？梢酝ㄟ^開啟虛擬機網(wǎng)卡所在端口組的廣播包抑制開關(guān)設置閾值，減少過量廣播報文對二層網(wǎng)絡帶寬的消耗。管理員可以通過系統(tǒng)Portal，基于虛擬交換

29、機端口組對象，配置報文抑制開關(guān)和報文抑制帶寬閾值。安全組安全組用戶根據(jù)虛擬機安全需求創(chuàng)建安全組，每個安全組可以設定一組訪問規(guī)則。當虛擬機加入安全組后，即受到該訪問規(guī)則組的保護。用戶通過在創(chuàng)建虛擬機時選定要加入的安全組來對自身的虛擬機進行安全隔離和訪問控制。Trunk端口虛擬機網(wǎng)卡通過虛端口接入虛擬交換機進行網(wǎng)絡數(shù)據(jù)包的收發(fā)。虛擬交換機虛端口支持配置為Trunk類型，并允許設置Trunk的VLAN ID范圍，之后虛端口便具備了同時收發(fā)攜帶不同VLAN標簽的網(wǎng)絡數(shù)據(jù)包的功能，從而滿足了虛擬網(wǎng)卡支持Trunk類型端口的需求。端口管理華為虛擬機交換機的端口管理包括物理端口管理和虛擬端口的管理。物理端口

30、管理信息包括物理網(wǎng)口的發(fā)送和接收報文數(shù)，發(fā)送和接收報文流量，網(wǎng)卡狀態(tài)，網(wǎng)卡速率，網(wǎng)卡雙工模式。虛擬端口管理信息包括虛擬端口的發(fā)送和接收報文數(shù)，發(fā)送和接收報文流量。并且基于流量信息統(tǒng)計主機和虛擬機的流速信息。存儲面三層互通華為支持存儲面三層互通功能，管理員可以根據(jù)需要靈活設置存儲平面二層或者三層互通，三層互通時需要配置路由網(wǎng)關(guān)信息。由于OS的限制，管理平面、存儲平面在CNA僅支持配置1個網(wǎng)關(guān)，當前的默認網(wǎng)關(guān)是管理平面，所以通過在CNA添加策略路由，解決了添加存儲面路由網(wǎng)關(guān)的需求。配置管理VLAN當前版本管理員可以靈活設置管理VLAN。解決了管理面VLAN依賴接入交換機的限制。業(yè)務管理平面當前版本

31、支持配置業(yè)務管理平面。管理員可以配置系統(tǒng)的遷移共享存儲心跳通過業(yè)務管理平面進行傳輸，業(yè)務管理數(shù)據(jù)和管理維護數(shù)據(jù)徹底分離，實現(xiàn)精細化管理。虛擬交換應用場景分布式虛擬交換機 (DVS) 可在如下多個場景應用。集中虛擬網(wǎng)絡管理通過集中式界面簡化虛擬網(wǎng)絡連接的部署和管理。創(chuàng)建并管理具有多個分布式虛擬端口組的單個分布式交換機，簡化虛擬網(wǎng)絡連接的配置和管理。虛擬網(wǎng)絡流量統(tǒng)計功能通過對UplinkPort/UplinkPortAggr以及虛擬端口的流量統(tǒng)計可以有效提供系統(tǒng)的可維護性。分布式虛擬端口組分布式虛擬端口組是分布式虛擬交換機虛擬端口的集合。連接在同一端口組的虛擬機網(wǎng)卡，具有相同的網(wǎng)絡屬性（如：帶寬限

32、速、VLAN、IP和MAC綁定等）。管理員可以通過對端口組的集中管理和配置，簡化對虛擬機端口屬性的設置。分布式虛擬上行鏈路分布式上行鏈路是分布式虛擬交換機關(guān)聯(lián)的服務器物理網(wǎng)口，分布式交換機可關(guān)聯(lián)多個不同服務器的端口或綁定端口。通過綁定端口可提高端口的可靠性或者端口的帶寬。網(wǎng)絡隔離 支持虛擬局域網(wǎng)(VLAN)隔離方式，便于對虛擬機進行安全隔離。虛擬局域網(wǎng)與標準 IEEE 802.1Q 虛擬局域網(wǎng)實現(xiàn)方式兼容。虛擬局域網(wǎng)標記（VLAN TAGGING），在上行鏈路或進入客戶虛擬機的所有路徑中使用 IEEE 802.1Q 虛擬局域網(wǎng)標記，以增強流量隔離和網(wǎng)絡安全性。限制第 2 層廣播域的范圍。網(wǎng)絡遷移當虛擬機在使用同一共享存儲的主