ICS35.110

CCSM11YD

中華人民共和國通信行業(yè)標(biāo)準(zhǔn)

××/T××××—××××

虛擬機交換網(wǎng)絡(luò)技術(shù)要求

Technicalrequirementofvirtualswitchnetwork

××××-××-××發(fā)布××××-××-××實施

中華人民共和國工業(yè)和信息化部發(fā)布

××/T××××—××××

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化公文的結(jié)構(gòu)和起草規(guī)則》給出的規(guī)則

起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本文件由中國通信標(biāo)準(zhǔn)化協(xié)會提出并歸口。

本文件起草單位：新華三技術(shù)有限公司、中國電信集團有限公司。

本文件主要起草人：萬曉蘭、鷗亮。

III

××/T××××—××××

虛擬機交換網(wǎng)絡(luò)技術(shù)要求

1范圍

本文件規(guī)定了虛擬機交換網(wǎng)絡(luò)的技術(shù)要求，包括系統(tǒng)架構(gòu)、功能、性能、協(xié)議、接口等方面的要求。

本文件適用于虛擬機交換網(wǎng)絡(luò)的規(guī)劃、設(shè)計、開發(fā)、生產(chǎn)以及測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

IEEE802.1Q虛擬橋接局域網(wǎng)VirtualBridgedLocalAreaNetworks

RFC7348虛擬可擴展局域網(wǎng)VirtualeXtensibleLocalAreaNetwork(VXLAN)

3術(shù)語、定義及縮略語

3.1術(shù)語定義

下列術(shù)語和定義適用于本文件。

3.1.1

主機host

本文中的主機指物理服務(wù)器，提供計算服務(wù)的設(shè)備。

3.1.2

虛擬交換機virtualSwitch

虛擬交換機是運行于主機上的軟件，為主機上的虛擬機之間或者虛擬機和外部網(wǎng)絡(luò)之間提供數(shù)據(jù)

報文轉(zhuǎn)發(fā)功能。

3.2縮略語

DPDK數(shù)據(jù)平面開發(fā)套件DataPlaneDevelopmentKit

OVS多層虛擬化軟件交換機OpenvSwitch

PCIPCI總線PeripheralComponentInterconnect

PCI-EPCI-E總線PCI-Express

NUMA非統(tǒng)一內(nèi)存訪問架構(gòu)NonUniformMemoryAccessArchitecture

VM虛擬機VirtualMachine

vSwitch虛擬交換機VirtualSwitch

VTEPVXLAN隧道端點VXLANTunnelEndPoint

VxLAN可擴展虛擬局域網(wǎng)絡(luò)VirtualeXtensibleLAN

1

××/T××××—××××

4概述

虛擬機交換網(wǎng)絡(luò)是指虛擬機到物理網(wǎng)卡之間的網(wǎng)絡(luò)，包含虛擬交換機vSwitch、虛擬端口、虛擬網(wǎng)

卡。

虛擬機交換網(wǎng)絡(luò)有多種組網(wǎng)架構(gòu)，可大致分為直通模式架構(gòu)和基于虛擬交換機vSwitch模式的架構(gòu)。

直通模式是通過將宿主機中的物理PCI設(shè)備直接分配給客戶機來實現(xiàn)的。通過硬件支持的特定技

術(shù)將設(shè)備分給客戶機后，在客戶機看來，設(shè)備是物理上連接在PCI或者PCI-E總線上的，客戶機對該設(shè)備

的I/O交互操作和實際的物理設(shè)備操作完全一樣，不需要或者很少需要Hypervisor的參與。其架構(gòu)如圖

1所示。

圖1直通模式架構(gòu)圖

基于虛擬交換機模式是指虛機發(fā)出的報文經(jīng)過虛擬交換機轉(zhuǎn)發(fā)，送到目的虛機。虛擬交換機的轉(zhuǎn)發(fā)

行為依據(jù)控制器下發(fā)的流表決定。其架構(gòu)圖2所示。

2

××/T××××—××××

SDN控制器

VxlanNetwork

TORTORTORTOR

虛擬交換機虛擬交換機虛擬交換機虛擬交換機

V

V

V

V

V

V

V

V

V

V

V

V

M

M

M

M

M

M

M

M

M

M

M

M

1

2

1

2

n

n

1

2

n

1

2

n

圖2基于虛擬交換機模式的架構(gòu)圖

5虛擬機交換網(wǎng)絡(luò)功能要求

5.1總則

虛擬機交換網(wǎng)絡(luò)支持虛擬機多網(wǎng)卡，使用虛擬交換機時，通過虛擬端口實現(xiàn)多個虛擬機間的網(wǎng)絡(luò)連

接，并使用該連接轉(zhuǎn)發(fā)流量。虛擬交換機宜支持QoS、ACL功能和端口捆綁等功能。

5.2網(wǎng)絡(luò)隔離和封裝功能

應(yīng)提供網(wǎng)絡(luò)隔離與封裝功能,要求如下：

——應(yīng)滿足不同租戶對系統(tǒng)的訪問控制需求，不同租戶的虛擬資源不會互相影響；

——應(yīng)支持對同一租戶的不同虛擬機進行隔離，提高虛擬機之間的網(wǎng)絡(luò)信息安全；

——虛擬交換機應(yīng)支持VLAN與VxLAN技術(shù)實現(xiàn)隔離。

同VLAN內(nèi)虛擬網(wǎng)卡可通過二層網(wǎng)絡(luò)通信，不同VLAN間虛擬網(wǎng)卡無法通過二層網(wǎng)絡(luò)通信，可通過

VxLAN實現(xiàn)三層網(wǎng)絡(luò)通信。

VLAN功能要求如下：

——應(yīng)支持對數(shù)據(jù)報文進行VLAN封裝與解封裝；

——應(yīng)支持VLAN透傳；

——應(yīng)支持綁定10G或更高速率的物理網(wǎng)卡。

VxLAN功能要求如下：

——應(yīng)支持VxLAN報文封裝與解封裝；

3

××/T××××—××××

——應(yīng)支持VxLAN與VLAN報文互相轉(zhuǎn)換；

——應(yīng)支持綁定10G或更高速率的物理網(wǎng)卡。

5.3端口聚合功能

功能要求如下：

——應(yīng)支持靜態(tài)聚合；

——應(yīng)支持動態(tài)聚合

——應(yīng)支持根據(jù)5元組進行流量負載分擔(dān)；

——支持端口備份；

5.4物理網(wǎng)卡直通功能

應(yīng)支持虛擬層旁路技術(shù)，使虛擬機直接調(diào)用網(wǎng)卡硬件資源，而不需要經(jīng)過虛擬層調(diào)度，從而達到個

別彈性計算用戶對I/O的特別要求。

5.5SR-IOV功能

功能要求如下：

——宜支持SR-IOV技術(shù)，使多個虛擬機可共享同一個物理網(wǎng)卡，實現(xiàn)高速I/O，提升網(wǎng)絡(luò)轉(zhuǎn)發(fā)性

能；

——宜支持多個虛擬機按比例共享物理網(wǎng)卡I/O資源，每個虛擬機僅使用設(shè)定大小的物理網(wǎng)卡I/O

資源。

5.6虛擬交換機CPU核綁定功能

可選支持將特定的CPU核分配給虛擬交換機。

5.7虛擬交換機DPDK功能

虛擬交換機宜支持DPDK軟件加速，通過環(huán)境抽象層旁路內(nèi)核協(xié)議棧、輪詢模式的報文無中斷收發(fā)、

優(yōu)化內(nèi)存/緩沖區(qū)/隊列管理、基于網(wǎng)卡多隊列和流識別的負載均衡等多項技術(shù)，提供在x86處理器架構(gòu)

下的高性能報文轉(zhuǎn)發(fā)能力。

5.8虛擬交換機QoS功能

應(yīng)支持以虛擬機端口為最小顆粒度的網(wǎng)絡(luò)I/OQoS策略控制，實現(xiàn)端口流量限速。

5.9虛擬交換機ACL功能

ACL功能要求如下：

——應(yīng)支持以IP地址、MAC地址、端口號等限制虛擬機訪問；

——應(yīng)支持以虛擬機網(wǎng)卡為最小單位配置ACL限制虛擬機之間訪問。

4

××/T××××—××××

5.10網(wǎng)絡(luò)統(tǒng)一配置功能

可選支持實現(xiàn)跨多個物理主機的統(tǒng)一網(wǎng)絡(luò)配置，單個虛擬交換機跨多個關(guān)聯(lián)物理主機時，虛擬機可

在跨主機遷移時保持網(wǎng)絡(luò)配置一致。

6虛擬機交換網(wǎng)絡(luò)性能要求

虛擬網(wǎng)絡(luò)性能主要體現(xiàn)在網(wǎng)絡(luò)延時和吞吐量、虛擬交換機轉(zhuǎn)發(fā)能力等方面。虛擬網(wǎng)絡(luò)和虛擬交換機

的轉(zhuǎn)發(fā)性能，包括帶寬和延遲等。各性能要求如下：

——VM到VM64字節(jié)小包轉(zhuǎn)發(fā)性能單物理核不低于每秒14百萬包；雙物理核64字節(jié)小包轉(zhuǎn)發(fā)性能不

低于每秒28百萬包；

——使用OVS-DPDK時，物理設(shè)備-OVS-物理設(shè)備64字節(jié)小包，每物理核吞吐量應(yīng)不低于10百萬包每

秒；

——使用VxLAN時，物理設(shè)備-OVS-虛機-OVS-物理設(shè)備114字節(jié)小包，每物理核吞吐量不低于2百萬

包每秒。

7虛擬機交換網(wǎng)絡(luò)可靠性要求

虛擬網(wǎng)絡(luò)應(yīng)具備電信級可靠性，宜支持網(wǎng)絡(luò)架構(gòu)冗余設(shè)計、拓撲自適應(yīng)等功能，宜支持通過物理端

口綁定、多路徑等方式提升可靠性?？煽啃砸笕缦拢?/p>

——宜使用負載均衡等方式保障網(wǎng)絡(luò)層冗余架構(gòu)，避免交換機出現(xiàn)單點故障；

——宜支持業(yè)務(wù)、控制和存儲等網(wǎng)絡(luò)平面分開管理；

——宜支持虛擬網(wǎng)絡(luò)多鏈路主備模式，主用鏈路故障時自動切換備用鏈路；

——宜支持虛擬網(wǎng)絡(luò)多鏈路負載均衡模式，鏈路故障時自動切換可用鏈路；

——宜支持虛擬網(wǎng)絡(luò)故障監(jiān)控，并支持故障上報到控制節(jié)點；

——網(wǎng)絡(luò)節(jié)點故障發(fā)現(xiàn)上報時間小于2秒；

——網(wǎng)絡(luò)節(jié)點故障切換恢復(fù)時間小于2秒。

8虛擬機交換網(wǎng)絡(luò)管理要求

8.1Network管理

8.1.1Network管理內(nèi)容

Network管理提供二層網(wǎng)絡(luò)功能，其管理內(nèi)容包括network、VLANs等。其中：

——network支持類型包括Flat、VLAN、VxLAN、GRE等；

——network屬性包括名稱、描述、類型、isShared、isPublic、管理狀態(tài)、provider等信息。

5

××/T××××—××××

8.1.2Network管理功能

Network管理提供全生命周期管理，其功能包括：

——創(chuàng)建Network：根據(jù)業(yè)務(wù)需求創(chuàng)建Network，配置網(wǎng)絡(luò)類型及其相關(guān)屬性，如網(wǎng)絡(luò)名稱、類型、

VLAN_id、是否共享等；

——修改Network信息：變更已創(chuàng)建Network信息，如名稱、描述、管理狀態(tài)等；

——查詢Network：列出指定租戶訪問的所有網(wǎng)絡(luò)；

——查詢Network信息：獲取用戶創(chuàng)建或用戶可用的Network基本信息，及此Network下所有子網(wǎng)和

端口信息；

——更新Network信息：更新指定Network信息；

——回收Network信息：銷毀已創(chuàng)建Network信息，回收相關(guān)的資源。

8.2子網(wǎng)管理

8.2.1子網(wǎng)管理內(nèi)容

通過子網(wǎng)，用戶可以設(shè)置Network下可使用的IP地址段，及其相關(guān)三層網(wǎng)絡(luò)服務(wù)，如網(wǎng)關(guān)、DHCP、

DNS等。其管理管理內(nèi)容包括：

——子網(wǎng)：Network下IP段，可以設(shè)置網(wǎng)關(guān)、啟動專用或共用DHCP或DNS服務(wù)；可以設(shè)置此IP段對應(yīng)

可用IP地址池；

——網(wǎng)關(guān)：Network下某個子網(wǎng)的網(wǎng)關(guān)；

——DHCP：針對子網(wǎng)提供DHCP服務(wù)，可以是子網(wǎng)專用的，也可以是多個子網(wǎng)共用的DHCP服務(wù)；

——DNS：為子網(wǎng)提供DNS服務(wù)，可以是子網(wǎng)專用，或者多子網(wǎng)共享。

8.2.2子網(wǎng)管理功能

提供子網(wǎng)全生命周期管理，其功能包括：

——創(chuàng)建子網(wǎng)：在Network下創(chuàng)建子網(wǎng)，并設(shè)置網(wǎng)關(guān)、子網(wǎng)掩碼、可用IP地址池、是否啟動DHCP、

DNS服務(wù)等；

——修改子網(wǎng)信息：變更已創(chuàng)建的子網(wǎng)信息，如名稱、描述、管理狀態(tài)等；

——查詢子網(wǎng)信息：列出指定租戶訪問的所有子網(wǎng)；

——查詢子網(wǎng)信息：獲取用戶創(chuàng)建或用戶可用的子網(wǎng)基本信息，及子網(wǎng)關(guān)聯(lián)DHCP、DNS、IP地址池、

網(wǎng)關(guān)、子網(wǎng)掩碼等信息；并能返回此子網(wǎng)下IP分配使用情況；

——更新子網(wǎng)信息：更新指定子網(wǎng)的信息；

6

××/T××××—××××

——回收子網(wǎng)信息：銷毀用戶已創(chuàng)建的子網(wǎng)信息，并回收相關(guān)IP池資源。

8.3網(wǎng)絡(luò)接口管理

8.3.1網(wǎng)絡(luò)接口管理內(nèi)容

提供虛擬機網(wǎng)卡或虛擬網(wǎng)絡(luò)設(shè)備端口全生命周期管理功能，其管理內(nèi)容包括：

——管理虛擬機網(wǎng)卡，包括添加、卸載、刪除虛擬機網(wǎng)卡，修改虛擬網(wǎng)卡屬性，查詢虛擬網(wǎng)卡基本

信息、狀態(tài)信息，其網(wǎng)卡支持SR-IOV等性能調(diào)優(yōu)特性；

——虛擬網(wǎng)絡(luò)設(shè)備端口管理，如路由端口管理等。

8.3.2網(wǎng)絡(luò)接口管理功能

提供網(wǎng)絡(luò)接口全生命周期管理，其功能包括：

——創(chuàng)建網(wǎng)絡(luò)接口，指定網(wǎng)絡(luò)接口的名稱、描述、所在Network、子網(wǎng)等，可以設(shè)置靜態(tài)IP地址或

通過DHCP獲取IP地址；

——修改網(wǎng)絡(luò)接口信息：變更已創(chuàng)建的網(wǎng)絡(luò)接口信息，如名稱、描述等；

——列出網(wǎng)絡(luò)接口信息：列出租戶訪問的所有網(wǎng)絡(luò)接口信息；

——綁定或解綁網(wǎng)絡(luò)接口，可以將接口綁定到路由，作為子網(wǎng)與路由上行接口；或者將接口綁定到

虛擬機，作為虛擬機對外通信的網(wǎng)卡；也可進行方向操作-解綁接口；

——查詢網(wǎng)絡(luò)接口信息：返回網(wǎng)絡(luò)接口詳情信息，如mac地址、IP地址、DHCP、DNS等；

——更新網(wǎng)絡(luò)接口信息：更新特定網(wǎng)絡(luò)接口；

——刪除網(wǎng)絡(luò)接口信息：刪除已創(chuàng)建網(wǎng)絡(luò)端口信息，回收相關(guān)的IP資源。

8.4路由管理

8.4.1路由管理內(nèi)容

路由通過轉(zhuǎn)發(fā)規(guī)則，將子網(wǎng)的數(shù)據(jù)流量轉(zhuǎn)發(fā)到其它的子網(wǎng)或者外部網(wǎng)絡(luò)中。其管理內(nèi)容包括：

——路由基本信息，包括路由名稱、描述、管理狀態(tài)、上行network、上行IP地址等；

——路由端口管理，通過綁定或解綁子網(wǎng)中的Port，將子網(wǎng)加入或移出路由。

8.4.2路由管理功能

提供路由管理功能，其功能包括：

——創(chuàng)建路由：指定路由名稱、描述，設(shè)置路由上行網(wǎng)絡(luò)及IP信息等；

——綁定/解綁子網(wǎng)：給路由綁定端口，子網(wǎng)通過此端口與路由聯(lián)通，并通過路由的上行端口與外

部網(wǎng)絡(luò)通信；

——查詢路由信息：返回路由詳情信息，如名稱、描述、子網(wǎng)列表、上行端口信息等；

7

××/T××××—××××

——刪除路由：刪除已的路由實例，回收相關(guān)的網(wǎng)絡(luò)資源。

8.5虛擬網(wǎng)絡(luò)資源親和性/反親和性約束組管理

允許授權(quán)的用戶功能塊請求創(chuàng)建虛擬網(wǎng)絡(luò)資源親和性或反親和性約束組。反親和性約束組包含不鄰

近的資源，例如，未共享同一個物理網(wǎng)絡(luò)設(shè)備的資源。親和性約束組包含了鄰近的資源，例如，共享同

一個物理網(wǎng)絡(luò)設(shè)備的資源。虛擬網(wǎng)絡(luò)資源親和性/反親和性約束組管理功能包括：

——創(chuàng)建虛擬網(wǎng)絡(luò)資源親和性/反親和性約束組：創(chuàng)建對應(yīng)的組；

——刪除虛擬網(wǎng)絡(luò)資源親和性/反親和性約束組：刪除對應(yīng)的組；

——獲取虛擬網(wǎng)絡(luò)資源親和性/反親和性約束組：列出所有組信息。

8.6網(wǎng)絡(luò)配置管理

提供虛擬機網(wǎng)絡(luò)的操作和配置接口，實現(xiàn)虛擬機網(wǎng)絡(luò)的配置管理，其功能包括：

——虛擬機網(wǎng)絡(luò)自動配置，如自動分配IP地址、自動配置DNS、靜態(tài)路由自動配置等；

——虛擬機網(wǎng)絡(luò)配置，如指定IP地址創(chuàng)建虛擬機、動態(tài)分配IP地址給虛擬機；

——配置負載均衡服務(wù)；

——配置虛擬網(wǎng)卡最大傳輸單元；

——抓取虛擬機端口的收發(fā)包；

——把vSwitch一個虛擬機端口的流量鏡像到另一個虛擬機端口，實現(xiàn)流量的監(jiān)控和分析；

——虛擬機的QoS策略配置，設(shè)置網(wǎng)絡(luò)策略的出入流量限制；

——支持開啟安全組功能，實現(xiàn)對虛擬機流量的安全管控；

——創(chuàng)建共享虛擬網(wǎng)絡(luò)。

9虛擬機交換網(wǎng)絡(luò)運維要求

9.1網(wǎng)絡(luò)資源監(jiān)控

9.1.1網(wǎng)絡(luò)數(shù)據(jù)采集

宜支持使用SNMP或netFlow等協(xié)議進行網(wǎng)絡(luò)數(shù)據(jù)采集，支持對虛擬網(wǎng)絡(luò)設(shè)備、線路、協(xié)議和服務(wù)的

性能進行采集，獲取網(wǎng)絡(luò)全面的性能狀況，監(jiān)控項包括：

——vSwitchCPU利用率、CPU綁定核（如有）的利用率；

——vSwitch端口收發(fā)報文數(shù)量/收發(fā)流量大??；

——vSwitch平均每個端口利用率；

——vSwitch端口收發(fā)包錯誤。

8

××/T××××—××××

9.1.2網(wǎng)絡(luò)狀態(tài)呈現(xiàn)

網(wǎng)絡(luò)狀態(tài)呈現(xiàn)要求：

——支持以拓撲圖方式顯示被管網(wǎng)元及其之間鏈路連接的狀態(tài)，提供子網(wǎng)分級呈現(xiàn)設(shè)備的管理和展

現(xiàn)方式；

——支持在拓撲圖中實時、動態(tài)刷新顯示設(shè)備、鏈路運行狀態(tài)以及相關(guān)的告警、性能實時數(shù)據(jù)；

——支持在拓撲圖上提供常用的Ping、Telnet、TraceRoute、打開設(shè)備Web網(wǎng)管和管理/不管理設(shè)備

等常用操作和相關(guān)鏈接；

——支持用戶根據(jù)實際組網(wǎng)情況自由定義所關(guān)注的網(wǎng)絡(luò)拓撲視圖，并可通過自定義子圖的方式對部

分網(wǎng)絡(luò)設(shè)備進行組織和管理。

9.1.3網(wǎng)絡(luò)監(jiān)控配置

網(wǎng)絡(luò)監(jiān)控配置要求：

——支持設(shè)定網(wǎng)絡(luò)流量監(jiān)測端口；

——支持網(wǎng)絡(luò)流量過濾條件設(shè)置；

——支持設(shè)定網(wǎng)絡(luò)流量數(shù)據(jù)保存時間；

——支持根據(jù)網(wǎng)絡(luò)協(xié)議、端口、IP地址進行網(wǎng)絡(luò)應(yīng)用自定義。

9.1.4網(wǎng)絡(luò)流量統(tǒng)計

支持接口的帶寬，丟包數(shù)，接收報文數(shù)和發(fā)送報文數(shù)統(tǒng)計。

9.2網(wǎng)絡(luò)性能管理

對每一個被管理對象，針對不同的時間段和性能指標(biāo)進行閾值設(shè)置，通過設(shè)置閾值檢查和告警，提

供相應(yīng)的閾值管理和溢出告警機制；監(jiān)測網(wǎng)絡(luò)系統(tǒng)節(jié)點之間的網(wǎng)絡(luò)時延，搜索從源節(jié)點到目的節(jié)點的網(wǎng)

絡(luò)路徑和從目的節(jié)點返回源節(jié)點的網(wǎng)絡(luò)路徑，并把沿途線路帶寬和設(shè)備狀態(tài)直觀地顯示出來。

提供告警的觸發(fā)條件配置手段：

——配置vSwitch端口收發(fā)流量/報文數(shù)量告警閾值；

——配置vSwitch單端口利用率告警閾值；

——配置vSwitchCPU、CPU綁定核的利用率告警閾值。

提供多種故障上報手段：

——郵件系統(tǒng)；

——短信系統(tǒng)等。

9

××/T××××—××××

10虛擬機交換網(wǎng)絡(luò)安全要求

10.1概述

在虛擬機交換網(wǎng)絡(luò)中，可以通過虛擬網(wǎng)絡(luò)入侵檢測、軟件防火墻、虛擬網(wǎng)絡(luò)安全配置等手段來保證

虛擬網(wǎng)絡(luò)的安全性。

10.2虛擬網(wǎng)絡(luò)入侵檢測

通過部署虛擬網(wǎng)絡(luò)入侵檢測提高虛擬網(wǎng)絡(luò)的安全性，其功能要求包括：

——宜支持多種入侵檢測和防御功能：支持攻擊防護，包括但不限于以下攻擊類型：蠕蟲、病毒、

木馬、僵尸網(wǎng)絡(luò)、間諜軟件、廣告軟件、CGI（CommonGatewayInterface）攻擊、跨站腳本攻

擊、注入攻擊、目錄遍歷、信息泄露、遠程文件包含攻擊、溢出攻擊、代碼執(zhí)行、拒絕服務(wù)、掃

描工具、后門等；支持DDos攻擊防御；支持黑名單；支持URL過濾；支持內(nèi)容過濾；支持應(yīng)用審

計；支持HTTPS加密流量檢測；

——宜支持對虛擬主機的保護：包括對Hypervisor、OperatingSystem、Network、Applications、

Virtualmachine(虛擬機)、Inter-VMtraffic等虛擬架構(gòu)的保護；

——宜支持基于漏洞的防護：支持先于廠家提供漏洞補??；

——宜支持根據(jù)不同用戶執(zhí)行不同的安全策略。

——宜部署方式：支持透明模式，網(wǎng)關(guān)模式；支持旁路方式和串聯(lián)方式。

10.3軟件防火墻

通過部署軟件防火墻提高虛擬網(wǎng)絡(luò)的安全性，其功能要求如下：

——宜支持識別基于虛機之間的流量，可基于支持IEEE802.1Qbg或802.1Qbh提供虛擬化能力的物

理交換機，也可基于虛擬軟件交換機或軟件防火墻；

——宜支持安全策略隨虛機遷移。虛機在不同的物理服務(wù)器間遷移時，軟件防火墻上針對該虛機

的策略隨之遷移；

——管理界面明晰；

——軟件防火墻宜支持API接口，支持與服務(wù)器虛擬化管理平臺、第三方網(wǎng)管平臺、云管理平臺等

系統(tǒng)對接。

10.4虛擬網(wǎng)絡(luò)安全配置

通過網(wǎng)絡(luò)配置和規(guī)劃提升虛擬網(wǎng)絡(luò)的安全性，其要求如下：

——宜支持虛擬網(wǎng)絡(luò)的安全域劃分與隔離；

——宜支持限制虛擬機網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

10

××/T××××—××××

——宜支持防地址欺騙功能；

——宜支持對同一物理服務(wù)器上的不同虛擬機分別做安全策略控制，包括但不限于網(wǎng)絡(luò)訪問策

略控制、雙向流量控制、DHCP安全控制、ARP安全控制、源IP安全控制、IP訪問控制列表

（ACL）等；

——宜支持限制外部網(wǎng)絡(luò)對非需要端口的訪問。

_________________________________

11

××/T××××—××××

目次

前言..............................................................................III

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語定義和縮略語....................................................................1

3.1術(shù)語定義........................................................................1

3.2縮略語..........................................................................1

4概述................................................................................2

5虛擬機交換網(wǎng)絡(luò)功能要求..............................................................3

5.1總則............................................................................3

5.2網(wǎng)絡(luò)隔離和封裝功能..............................................................3

5.3端口聚合功能....................................................................4

5.4物理網(wǎng)卡直通功能................................................................4

5.5SR-IOV功能......................................................................4

5.6虛擬交換機CPU核綁定功能........................................................4

5.7虛擬交換機DPDK功能.............................................................4

5.8虛擬交換機QoS功能..............................................................4

5.9虛擬交換機ACL功能..............................................................4

5.10網(wǎng)絡(luò)統(tǒng)一配置功能...............................................................5

6虛擬機交換網(wǎng)絡(luò)性能要求..............................................................5

7虛擬機交換網(wǎng)絡(luò)可靠性要求............................................................5

8虛擬機交換網(wǎng)絡(luò)管理要求..............................................................5

8.1Network管理.....................................................................5

8.1.1Network管理內(nèi)容...............................................................5

8.1.2Network管理功能...............................................................6

8.2子網(wǎng)管理........................................................................6

8.2.1子網(wǎng)管理內(nèi)容................................................................6

8.2.2子網(wǎng)管理功能................................................................6

8.3網(wǎng)絡(luò)接口管理....................................................................7

8.3.1網(wǎng)絡(luò)接口管理內(nèi)容............................................................7

8.3.2網(wǎng)絡(luò)接口管理功能............................................................7

8.4路由管理........................................................................7

8.4.1路由管理內(nèi)容................................................................7

8.4.2路由管理功能................................................................7

8.5虛擬網(wǎng)絡(luò)資源親和性/反親和性約束組管理...........................................8

8.6網(wǎng)絡(luò)配置管理....................................................................8

9虛擬機交換網(wǎng)絡(luò)運維要求..............................................................8

9.1網(wǎng)絡(luò)資源監(jiān)控....................................................................8

I

××/T××××—××××

9.1.1網(wǎng)絡(luò)數(shù)據(jù)采集................................................................8

9.1.2網(wǎng)絡(luò)狀態(tài)呈現(xiàn)................................................................9

9.1.3網(wǎng)絡(luò)監(jiān)控配置................................................................9

9.1.4網(wǎng)絡(luò)流量統(tǒng)計................................................................9

9.2網(wǎng)絡(luò)性能管理....................................................................9

10虛擬機交換網(wǎng)絡(luò)安全要求............................................................10

10.1概述..........................................................................10

10.2虛擬網(wǎng)絡(luò)入侵檢測..............................................................10

10.3軟件防火墻....................................................................10

10.4虛擬網(wǎng)絡(luò)安全配置..............................................................10

II

××/T××××—××××

虛擬機交換網(wǎng)絡(luò)技術(shù)要求

1范圍

本文件規(guī)定了虛擬機交換網(wǎng)絡(luò)的技術(shù)要求，包括系統(tǒng)架構(gòu)、功能、性能、協(xié)議、接口等方面的要求。

本文件適用于虛擬機交換網(wǎng)絡(luò)的規(guī)劃、設(shè)計、開發(fā)、生產(chǎn)以及測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

IEEE802.1Q虛擬橋接局域網(wǎng)VirtualBridgedLocalAreaNetworks

RFC7348虛擬可擴展局域網(wǎng)VirtualeXtensibleLocalAreaNetwork(VXLAN)

3術(shù)語、定義及縮略語

3.1術(shù)語定義

下列術(shù)語和定義適用于本文件。

3.1.1

主機host

本文中的主機指物理服務(wù)器，提供計算服務(wù)的設(shè)備。

3.1.2

虛擬交換機virtualSwitch

虛擬交換機是運行于主機上的軟件，為主機上的虛擬機之間或者虛擬機和外部網(wǎng)絡(luò)之間提供數(shù)據(jù)

報文轉(zhuǎn)發(fā)功能。

3.2縮略語

DPDK數(shù)據(jù)平面開發(fā)套件DataPlaneDevelopmentKit

OVS多層虛擬化軟件交換機OpenvSwitch

PCIPCI總線PeripheralComponentInterconnect

PCI-EPCI-E總線PCI-Express

NUMA非統(tǒng)一內(nèi)存訪問架構(gòu)NonUniformMemoryAccessArchitecture

VM虛擬機VirtualMachine

vSwitch虛擬交換機VirtualSwitch

VTEPVXLAN隧道端點VXLANTunnelEndPoint

VxLAN可擴展虛擬局域網(wǎng)絡(luò)VirtualeXtensibleLAN

1

××/T××××—××××

4概述

虛擬機交換網(wǎng)絡(luò)是指虛擬機到物理網(wǎng)卡之間的網(wǎng)絡(luò)，包含虛擬交換機vSwitch、虛擬端口、虛擬網(wǎng)

卡。

虛擬機交換網(wǎng)絡(luò)有多種組網(wǎng)架構(gòu)，可大致分為直通模式架構(gòu)和基于虛擬交換機vSwitch模式的架構(gòu)。

直通模式是通過將宿主機中的物理PCI設(shè)備直接分配給客戶機來實現(xiàn)的。通過硬件支持的特定技

術(shù)將設(shè)備分給客戶機后，在客戶機看來，設(shè)備是物理上連接在PCI或者PCI-E總線上的，客戶機對該設(shè)備

的I/O交互操作和實際的物理設(shè)備操作完全一樣，不需要或者很少需要Hypervisor的參與。其架構(gòu)如圖

1所示。

圖1直通模式架構(gòu)圖

基于虛擬交換機模式是指虛機發(fā)出的報文經(jīng)過虛擬交換機轉(zhuǎn)發(fā)，送到目的虛機。虛擬交換機的轉(zhuǎn)發(fā)

行為依據(jù)控制器下發(fā)的流表決定。其架構(gòu)圖2所示。

2

××/T××××—××××

SDN控制器

VxlanNetwork

TORTORTORTOR

虛擬交換機虛擬交換機虛擬交換機虛擬交換機

V

V

V

V

V

V

V

V

V

V

V

V

M

M

M

M

M

M

M

M

M

M

M

M

1

2

1

2

n

n

1

2

n

1

2

n

圖2基于虛擬交換機模式的架構(gòu)圖

5虛擬機交換網(wǎng)絡(luò)功能要求

5.1