802.1Qbg EVB标准

　　EVB标准的设计思想

　　正是认识到软件和硬件VEB方案的局限性，IEEE 802.1工作组正着手制定一个新标准802.1Qbg Edge Virtual Bridging(EVB)，其核心思想是将虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理，即使同一台服务器的虚拟机间流量，也发往外部物理交换机进行转发处理。如图3所示，由VM1发往VM2或VM3的报文，首先被发往外部交换机，查表后，报文沿原路返回服务器。802.1Qbg标准的作者——HP的Paul Condon，将这种工作模式形象地描述为“发卡弯(hairpin turn)”转发。

图3 EVB/VEPA基本架构

　　EVB改变传统的VEB对报文的转发方式，使得大多数报文在外部网络交换机被处理。与VEB相似，EVB可通过软件方式实现(类似在VMM中的VSwitch)，也可以在支持SR-IOV技术的网卡上实现。由于将所有流量都引向外部交换机，因此与虚拟机相关的流量监管、控制策略和管理可扩展性问题得以很好地解决。由于流量被从虚拟机上引入到外部网络，EVB技术也带来更多网络带宽开销的问题，如从一个虚拟机到另一个虚拟机的报文，占用的网络带宽是传统的报文转发的两倍，其中一半带宽用于从源虚拟机向外网交换机传输，另一半带宽用于从外部交换机向目的虚拟机传输。EVB的出现并不是去完全替换VEB 方案，但是EVB 对于流量监管能力、安全策略部署能力要求较高的场景(如数据中心)而言，是一种优选的技术方案。

　　以太网交换机在处理报文转发时，对于从一个端口上收到的报文，不会再将该报文从该端口发回。因此，当具备EVB特性的服务器接入到一个外网交换机时，该交换机相应端口必须支持上述“发卡弯”转发方式。当前大多数交换机的硬件芯片都能支持这种“发卡弯”转发特性，只要修改驱动程序即可实现，不必为支持“发卡弯”方式而增加新的硬件芯片。

　　由EVB技术引起的变化还有服务器对从外部网络接收到组播或广播报文的处理方式。由于EVB从物理网卡上收到的报文可能是来自外部交换机的发卡弯报文，也就是说报文源MAC是虚拟化服务器上的虚拟机的MAC，这种报文必须进行过滤处理，以避免发送该报文的虚拟机再次从网络上收到自己发出的组播或广播报文。因此，当前的操作系统或网卡驱动都需要做相应的修改。

　　EVB标准具有如下的技术特点：

　　1. 借助发卡弯转发机制将外网交换机上的众多网络控制策略和流量监管特性引入到虚拟机网络接入层，简化网卡的设计，减少虚拟网络转发对CPU的开销。

　　2. 使用外部交换机上的控制策略特性(ACL、QoS、端口安全等)实现整网端到端的策略统一部署。

　　3. 使用外部交换机增强虚拟机流量监管能力，如各种端口流量统计、网络流量分析、端口镜像等。

　　上文仅描述EVB的设计思路以及实现EVB方案带来的好处。实际上EVB定义了两种报文转发方案：VEPA(Virtual EthernetPort Aggregator)和多通道(MultichannelTechnology)。VEPA是EVB标准定义的基本实现方案，VEPA方案不需要对虚拟机发出的以太网报文做改动即可实现发卡弯转发。多通道技术定义通过标签机制实现VEB、Director IO(硬件VEB)和VEPA混和部署方案。借助多通道技术，管理员可以根据网络安全、性能及可管理性等方面的需求，来选择虚拟机与外部网络的接入方案(VEB、Director IO或VEPA)。