2011年1月12日消息，虛擬以太網端口匯聚器（VEPA）是最新IEEE 802.1Qbg標準化工作的一個組成部分，其設計目標是降低與高度虛擬化部署有關的復雜性。如果我們研究一下使用虛擬交換機的傳統方法就會發現，它與VEPA方法存在很大的不同，VEPA使用戶可以深入了解虛擬化及聯網中的各項部署挑戰和需要考慮的因素。

　　當您的物理主機上的監視程序上有多臺虛擬機（每臺虛擬機都包含一套操作系統和多種應用）時，這些虛擬機在相互通信和與外部世界通信時都要使用虛擬交換機。事實上，虛擬交換機是一種第2層交換機，通常以軟件的形式在監視程序內運行。每種監視程序通常都有一個內建的虛擬交換機。不同的監視程序所含的虛擬交換機在能力方面也是千差萬別的。

　　當虛擬交換機從聯網領域轉移到服務器領域時，就有必要針對虛擬環境對傳統的基于網絡的工具和解決方案進行重新測試、重新定性和重新部署。從某些方面來說，這種變化會對虛擬化的快速擴展和普及造成阻礙。

　　例如，傳統的網絡和服務器運營團隊是截然分開的，每個團隊都有自己的流程、工具和控制范圍。由于虛擬交換機的原因，聯網進入了服務器的范疇，因此像供應虛擬機這樣的簡單任務也需要這些團隊之間開展額外的協調工作，從而確保虛擬交換機的配置與物理網絡配置保持一致。

　　由于缺乏網絡中虛擬機之間流量的可視性，因此涉及到虛擬機之間通信的故障查找和監視也變成了一項極具挑戰性的工作。而且隨著虛擬機數量的增長，單個服務器中的虛擬機目前已經達到8至12臺，并且會在不久的將來達到32至64臺，因此，保護虛擬機彼此不受干擾，以及不受外界威脅的侵害都變成了一項需要認真考慮的問題。

　　從防火墻到IDS/IPS，基于網絡的傳統設備和工具都需要針對這些高度虛擬化的環境重新開發、重新認證和重新部署，從而確保虛擬機之間通過虛擬交換機的通信能夠滿足法規一致性和安全方面的要求。

　　由于在虛擬交換機方面缺乏標準，因此會增加涉及不同監視技術的培訓、互用性和管理開銷，進入使這些挑戰變得更加復雜。事實上，物理服務器正在變成一種全面的網絡環境，擁有自身的互用性、部署、認證和測試要求。

　　有趣的是，這種趨勢與虛擬化最基本的優勢之一是背道而馳的，即虛擬化能夠將服務器中過剩的容量以更高的效率來運行各類應用。目前，這種“服務器中的網絡”很有可能演變成這些過剩容量的消費方，將CPU和內存資源吞噬殆盡。

VEPA的方法

　　為應用這些挑戰，各方已經提出了多種不同的解決方案，其中就包括VEPA。VEPA是一種虛擬交換機替代產品；它不僅進入了標準化進程，而且成為業界眾多廠商的一致選擇。

　　事實上，VEPA會將服務器上虛擬機生成的所有流量轉移到外部的網絡交換機上。外部網絡交換機接下來會為同一臺物理服務器上的虛擬機和基礎設施的其它部分提供連接。

　　實現這一功能的方法是將一種新型轉發模式融入物理交換機中，使流量能夠從來時的端口“原路返回”，從而簡化同一服務器上虛擬機之間的通信。

　　“原路返回”模式（或稱“反射中繼”）可以在需要時將包的單一副本反向發送至同一臺服務器上的目的地或目標虛擬機。對于廣播或組播流量，VEPA能夠以本地方式向服務器上的虛擬機提供包復制能力。

　　傳統上，多數網絡交換機都不支持這種“原路返回”模式行為，因為它可能會在非虛擬世界中造成環路和廣播風暴。然而，許多網絡廠商都開始支持這種行為，目的就是解決虛擬機交換的問題，而且使用簡單的軟件或固件升級即可實現。

　　IEEE的802.1Qbg工作組還努力將這種行為變成了標準。VEPA能夠以軟件的方式，作為監視程序中的瘦層在服務器中實施，也可以作為網卡中的硬件來實施，在后一種情況下還可以與SR-IOV等PCIe I/O虛擬化技術結合使用。其中一個典型的例子就是Linux KVM監視程序中提供的基于軟件的VEPA實施。

　　事實上，VEPA將交換功能移出了服務器，并且將其放回物理網絡中，而且讓外部網絡交換機能夠看到所有的虛擬機流量。通過將虛擬機交換移回物理網絡，基于VEPA的方法使現有的網絡工具和流程可以在虛擬化和非虛擬化環境以及監視程序技術中以相同的方式自由使用。

　　防火墻和IDS/IPS等基于網絡的設備，以及訪問控制列表（ACL）、服務質量（QoS）和端口監視等成熟的網絡交換機功能都可以直接用于虛擬機流量和虛擬機之間的交換，因此減少和消除了對虛擬網絡設備重新進行昂貴的質量判定、測試和部署的需求。

　　此外，VEPA將網絡管理控制層重新交給了網絡管理員，為所有與虛擬機相關聯網功能的供應、監視和故障查找提供了一個單一控制點。

　　將網絡功能從服務器卸載至網絡交換機能夠帶來諸多的優勢，例如釋放服務器資源并將其用于更多的應用，同時還可在虛擬和非虛擬服務器之間提供線速交換；從1Gbps至10Gbps，甚至可以達到40Gbps和更高的100Gbps。

　　因此，基于VEPA的方法有助于擴大虛擬化部署，降低復雜性和成本，并且加快虛擬化的普及。

　　盡管基于VEPA的方法能夠帶來許多好處，但在某些環境下，虛擬機間流量的交換最好還是留在服務器內部。例如，在有些環境下物理服務器要承擔虛擬機的巨大負荷，而且這些虛擬機之間的通信非常頻繁，因此為了將延遲降至最低程度，最好的方法是將虛擬機之間的流量留在服務器內部。

　　在此類場景中，可能的方法之一是繞過基于監視程序的軟件虛擬交換機，利用新型網卡提供的交換硬件能力，即SR-IOV等基于入向I/O虛擬化的能力。同樣，在使用這種方法時，也需要權衡考慮完全使用服務器中的網絡模型時的安全和成本問題。

　　隨著服務器虛擬化的廣泛普及，服務器內和服務器間虛擬機交換流量的復雜性都在不斷提高?；赩EPA的虛擬機間流量交換方法能夠為基于虛擬交換機的傳統方法提供一種非常有趣且極具吸引力的替代方案。為了向網絡和服務器基礎設施提供支持VEPA的能力，此類技術的標準化工作正在緊鑼密鼓地進行當中。