《XXX项目SDNVPC网络解决方案技术建议.doc》由会员分享,可在线阅读,更多相关《XXX项目SDNVPC网络解决方案技术建议.doc(24页珍藏版)》请在三一办公上搜索。
1、SDN VPC网络解决方案技术建议书杭州华三通信技术有限公司2023年3月目录第一章XXX项目SDN项目需求分析41.1项目背景41.2项目目标41.3项目需求4第二章投标方案优势52.1选择华三产品的几大优势52.1.1全球领先的国有品牌52.1.2企业网市场的佼佼者52.1.3SDN领域标准倡导者与领导者62.1.4经过实践检验的稳定性82.1.5最完善的售后服务体系82.1.6测试最严格的产品92.1.7最适合XXX的产品与方案9第三章XXX SDN VPC网络解决方案93.1总体设计原则113.2建设方案123.3总体方案123.3.1H3C SDN VPC网络解决方案基础123.3.
2、1.1Overlay的概念介绍123.3.1.2Overlay的技术标准133.3.2H3C SDN VPC网络解决方案153.3.2.1典型组网153.3.2.2网络基础架构163.3.2.3网络部署需求173.3.2.3.1VXLAN 对基础承载网络的需求173.3.2.3.2VXLAN 网络和传统网络互通的需求173.3.2.3.3VXLAN 网络安全需求183.3.2.4Overlay网络虚机位置无关性183.3.2.5分布式网关193.3.2.6Overlay网络流表路由193.3.2.7Overlay网络转发流程203.3.2.8Overlay网络虚机迁移203.3.2.9Over
3、lay网关高可靠性213.3.2.10Overlay网关弹性扩展升级223.3.2.11Overlay网络安全部署23第四章SDN VPC方案给XXX带来的价值24第一章 XXX项目SDN项目需求分析1.1 项目背景1.2 项目目标1.3 项目需求第二章 投标方案优势2.1 选择华三产品的几大优势2.1.1 企业网市场的佼佼者Gartner魔力四象限排名,华三在企业网市场,处于第一象限。2.1.2 SDN领域标准倡导者与领导者华三通信是SDN国际领先标准组织及开源控制器项目的成员,是SDN相关国际标准的倡导者、实践者与领导者,华三通信从2009年起开始跟踪SDN技术的发展,并投入大量研发力量进
4、行相关产品的研制与开发,截止目前已经开发了全系列的产品和丰富的解决方案,是业界唯一能够提供SDN设备、SDN控制器、SDN应用、SDN管理与业务编排系统的厂商。ONF组织成员https:/www.opennetworking.org/membership/member-listingOpen Daylight组织成员http:/www.opendaylight.org/2.1.3 经过实践检验的稳定性华三公司拥有我国最广泛的网络产品行业应用案例,中央部委的应用份额超过70,各级电子政务国干、省干、地市城域网新增份额超过70;服务于三大行数据中心(中国农业银行、中国银行、中国建行)、两大行全国一
5、级骨干网(中国农业银行和中国人民银行)、四大行(工、农、中、建)省行骨干网;服务于全部“211”高校,承建超过80%的教育城域网,超过40个平安校园,参与全国1700余所高校的信息化建设。服务包括宝钢、中国铝业、一汽、海尔、长虹在内的超过300家的中国500强企业。在SDN领域,华三一直积极与各行业用户进行紧密的合作与研究,并结合用户业务需求开发了大量SDN应用,是国内SDN领域实践案例最为丰富的网络厂商。目前华三已经与联通研究院、电信广州研究院签署了SDN合作协议成为合作伙伴,这是国内SDN领域最高规格的合作;联通集团智慧城市项目正式采用华三SDN网络虚拟化平台,提高了其智慧城市平台运维效率
6、95%以上,将网络配置错误率降低为0,这是国内首例运营商级的SDN应用案例,是业内最领先的。2.1.4 最完善的售后服务体系l 35个区域技术支持中心,300余名双华三SE级别或以上级别的一线技术服务工程师,提供贴近客户的强大原厂区域服务力量,为客户提供覆盖网络生命全周期的服务解决方案。在本项目实施的各个省份,华三均可提供快捷的本地服务。l 130余名技术中心总部产品技术专家,涵盖网络规划、网络测试验证、路由、交换、安全、无线、存储、语音、视讯、监控、网管等所有IP细分产品技术领域。l 30余名行业技术服务解决方案专家,全专全能,深入了解行业客户需求,为客户提供专业的咨询顾问服务。l 2500
7、名研发后援专家,提供背靠背支持。l 华三呼叫中心配备80个专业坐席,7*24小时响应客户需求。客户呼叫等待时间小于20秒,客户服务满意度高达95。l 500家渠道认证合作伙伴,近3000名认证服务工程师。l 39个授权服务中心。l 雄厚的区域备件资源 3个备件分拨中心(杭州、北京、深圳) 82个区域备件中心(省会城市、直辖市、二级城市) 专业第三方物流公司战略合作伙伴2.1.5 测试最严格的产品华三拥有国内最严格的测试保障流程,以保证出厂产品能够满足最苛刻的使用条件。独立的产品测试中心,累积投资超过3亿元人民币。北京杭州两地,各有一个大型专业测试实验室。拥有业界领先的测试仪器N2X、Testc
8、enter 、IXIA XM 、Smartbits、Avalanche、Ax4000、Abacus等仪器30余台。对公司所有产品进行严格的鉴定测试。公司全线产品均通过国际著名测试机构Tolly Group的严格测试。注:Tolly Group测试机构对所有产品均采用黑盒测试,测试结果无论好坏均直接在网站公布,所有测试内容和测试结果均网上可查:。2.1.6 最适合XXX的产品与方案华三SDN VPC网络解决方案,也与XXX的XX业务的需求深度契合,可以在最大程度上满足XXX的XXX的需求。第三章 XXX SDN VPC网络解决方案随着企业业务的快速扩展,IT作为基础设施,其快速部署和高利用率成为
9、主要需求。云计算可以为之提供可用的、便捷的、按需的资源提供,成为当前企业IT建设的常规形态,而在云计算中大量采用和部署的虚拟化几乎成为一个基本的技术模式。部署虚拟机需要在网络中无限制地迁移到目的物理位置,虚机增长的快速性以及虚机迁移成为一个常态性业务。传统的网络已经不能很好满足企业的这种需求,面临着如下挑战:l 虚拟机迁移范围受到网络架构限制虚拟机迁移的网络属性要求,当其从一个物理机上迁移到另一个物理机上,虚拟机需要不间断业务,因而需要其IP地址、MAC地址等参数维持不变,如此则要求业务网络是一个二层网络,且要求网络本身具备多路径多链路的冗余和可靠性。传统的网络生成树(STP,Spaning
10、Tree Protocol)技术不仅部署繁琐,且协议复杂,网络规模不宜过大,限制了虚拟化的网络扩展性。基于各厂家私有的IRF/vPC等设备级的(网络N:1)虚拟化技术,虽然可以简化拓扑、具备高可靠性,但是对于网络有强制的拓扑形状,在网络的规模和灵活性上有所欠缺,只适合小规模网络构建,且一般适用于数据中心内部网络。而为了大规模网络扩展的TRILL/SPB/FabricPath/VPLS等技术,虽然解决了上述技术的不足,但对网络有特殊要求,即网络中的设备均要软硬件升级,而支持此类新技术会带来部署成本的大幅度上升。l 虚拟机规模受网络规格限制在大二层网络环境下,数据流均需要通过明确的网络寻址以保证准
11、确到达目的地,因此网络设备的二层地址表项大小(即MAC地址表),成为决定了云计算环境下虚拟机的规模上限,并且因为表项并非百分之百的有效性,使得可用的虚机数量进一步降低。特别是对于低成本的接入设备而言,因其表项一般规格较小,限制了整个云计算数据中心的虚拟机数量,但如果其地址表项设计为与核心或网关设备在同一档次,则会提升网络建设成本。虽然核心或网关设备的MAC与ARP规格会随着虚拟机增长也面临挑战,但对于此层次设备能力而言,大规格是不可避免的业务支撑要求。减小接入设备规格压力的做法可以是分离网关能力,如采用多个网关来分担虚机的终结和承载,但如此也会带来成本的巨幅上升。l 网络隔离/分离能力限制当前
12、的主流网络隔离技术为VLAN(或VPN),在大规模虚拟化环境部署会有两大限制:一是VLAN数量在标准定义中只有12个比特单位,即可用的数量为4K,这样的数量级对于公有云或大型虚拟化云计算应用而言微不足道,其网络隔离与分离要求轻而易举会突破4K;二是VLAN技术当前为静态配置型技术(只有EVB/VEPA的802.1Qbg技术可以在接入层动态部署VLAN,但也主要是在交换机接主机的端口为常规部署,上行口依然为所有VLAN配置通过),这样使得整个数据中心的网络几乎为所有VLAN被允许通过(核心设备更是如此),导致任何一个VLAN的未知目的广播数据会在整网泛滥,无节制消耗网络交换能力与带宽。上述的三大
13、挑战,完全依赖于物理网络设备本身的技术改良,目前看来并不能完全解决大规模云计算环境下的问题,一定程度上还需要更大范围的技术革新来消除这些限制,以满足云计算虚拟化的网络能力需求。在此驱动力基础上,逐步演化出Overlay网络技术。XXXX SDN VPC网络解决方案,首先要满足业务需求,能够实现XX等需求,第二,要解决上述三大挑战。下面将从XXX等XXX个章节,对该方案进行阐述。3.1 总体设计原则XXX系统建设项目从XXX实际需求出发,充分利用信息技术优势,从大处着眼,小处着手,与用户共同建设一个目标明确、管理清晰、执行顺利、平稳运行的项目,在系统的建设和管理过程中,我们将遵循以下原则:1、注
14、重顶层设计、统筹规划,分步实施原则在项目的整体规划和总体设计阶段做好统一设计、统一标准、统一规范,然后分层、分阶段、逐步建设,关注每个阶段的产出和成果,在统一的目标下逐步完成整个项目的策略、需求、分析、设计、研发、测试、部署、试运行、培训、运维等工作。同时充分发挥各类项目相关人的知识能动性,为XXX提供信息化建设的咨询指导。2、强化应用建设,突出应用,关注实用原则XXX建设项目的建设效果和建设思路直接体现了XXX建设项目最直接的产出。因此,我们在建设项目过程中,将重点突出项目的应用目的,关注实用价值,以应用和需求为主导,并在建设的过程中基于XXX业务服务的要求、IT技术的发展,边建设、边开发、
15、边应用、边完善,让应用的实际效果作为项目直接驱动要素。3、追求架构先进、技术成熟,扩展性强原则项目建设中所采用的技术架构,在一定程度上影响着项目的稳定性,也影响到项目未来的发展。因此在实施过程中我们将放眼长远,在保证可靠的基础上,尽量采用先进的网络技术、应用平台和开发工具,使XXX系统建设项目具有较长的生命周期。4、经济实用、节约成本原则无论在产品的选型、技术的选择中,我们都要考虑成本的约束,其中不仅考虑当前采购的经济性,还要考虑系统长期运维的经济性,即系统的总拥有成本,尽力选择既经济可行又长期保障的产品和技术。5、确保安全、保护隐私原则在系统建设中要充分考虑到系统安全性以及敏感信息的隐私性,
16、避免数据出现在共享信息里,从网络系统、硬件子系统、软件子系统的设计都要充分考虑安全保密,采用安全可靠的技术,保证建成的系统稳定运行。6、重视资源、强调成长原则在项目建设的过程中,注重信息资源和人力资源的管理,在数据资源方面,注重网络资源共享的效率性,实现网络互连、信息互通、资源共享,应用交互与协同的网络环境,同时注重各级人力资源配置的合理性,做好培训工作,与甲方的工作人员共同成长,充分发挥资源效能。7、保护投资、充分利旧原则在本项目建设过程中,充分利用现有资源,防止新铺摊子和重复建设,所有建设内容都依托现有条件和队伍进行建设,充分利用现有的资源、成果、设备,不搞重复建设。8、先进性和成熟性遵守
17、先进性、可行性、成熟性,以保证系统的互操作性、兼容性、可维护性、可扩展性,并对前期投资有较好的保护。9、一致性和复用性本项目建设应充分考虑业务需求,要最大限度利用已有的资源,以减少重复投资,提高投资收益率。10、实施有序性统筹协调,建立相关管理制度,加强管理和指导,确保协调推进,有序实施,保证项目能够顺利、按时完成。3.2 建设方案为满足XXX的XX等需要,需采购产品硬件和软件许可,主要实现(呼应1.3项目需求内容)3.3 总体方案3.3.1 H3C SDN VPC网络解决方案基础3.3.1.1 Overlay的概念介绍Overlay在网络技术领域,是一种网络架构上叠加的虚拟化技术模式,其大体
18、框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主。l Overlay网络是指建立在已有网络上的虚拟网,逻辑节点和逻辑链路构成了Overlay网络。l Overlay网络是具有独立的控制和转发平面,对于连接在overlay边缘设备之外的终端系统来说,物理网络是透明的。l Overlay网络是物理网络向云和虚拟化的深度延伸,使云资源池化能力可以摆脱物理网络的重重限制,是实现云网融合的关键。Overlay网络概念图3.3.1.2 Overlay的技术标准IETF在Overlay技术领域提出VXLAN、NVGRE、STT三大技术
19、方案。大体思路均是将以太网报文承载到某种隧道层面,差异性在于选择和构造隧道的不同,而底层均是IP转发。VXLAN和STT对于现网设备而言对流量均衡要求较低,即负载链路负载分担适应性好,一般的网络设备都能对L2-L4的数据内容参数进行链路聚合或等价路由的流量均衡,而NVGRE则需要网络设备对GRE扩展头感知并对flow ID进行HASH,需要硬件升级;STT对于TCP有较大修改,隧道模式接近UDP性质,隧道构造技术属于革新性,且复杂度较高,而VXLAN利用了现有通用的UDP传输,成熟性极高。所以总体比较,VLXAN技术具有更大优势,而且当前VLXAN也得到了更多厂家和客户的支持,已经成为Over
20、lay技术的主流标准,所以本文的后续介绍均以VXLAN技术作为标准进行介绍,NVGRE、STT则不再赘述。VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)是基于IP网络、采用“MAC in UDP”封装形式的二层VPN技术,具体封装的报文格式如图2所示。VXLAN可以基于已有的服务提供商或企业IP网络,为分散的物理站点提供二层互联功能,主要应用于数据中心网络。VXLAN具有如下特点:l 使用24位的标识符,最多可支持16M个VXLAN,解决了传统二层网络VLAN资源不足的问题。l 基于IP网络组建大二层网络,使得网络部署和维护更加容易,并且可以好地利用现有的IP网
21、络技术,例如利用等价路由负载分担。l 只有边缘设备需要进行VXLAN处理,VXLAN业务对网络中间设备透明,只需根据IP头转发报文,降低了网络部署的难度和费用。根据客户不同组网需求,Overlay的网络部署分为以下三种组网模型,如下图所示。Overlay的网络部署图网络Overlay的隧道封装在物理交换机完成。这种Overlay的优势在于物理网络设备性能转发性能比较高,可以支持非虚拟化的物理服务器之间的组网互通。它的缺点就是现网设备大都不支持VXLAN, 需要大批量更换设备。主机Overlay隧道封装由虚拟设备完成,不用增加新的网络设备即可完成Overlay部署,可以支持虚拟化的服务器之间的组
22、网互通。它纯粹由服务器实现Overlay功能,对现有网络改动不大,但是可能存在转发瓶颈。混合Overlay是Network Overlay和Host Overlay的混合组网,可以支持物理服务器和虚拟服务器之间的组网互通。它融合了两种Overlay方案的优点,既可以发挥硬件GW的转发性能,又尽可能的减少对于现有网络的改动。3.3.2 H3C SDN VPC网络解决方案3.3.2.1 典型组网主机Overlay主要利用泛洪或广播机制实现网络构建和扩展,它将虚拟设备作为Overlay网络的边缘设备和网关设备,Overlay功能纯粹由服务器来实现,它的典型组网如下图所示:图1 主机Overlay典型
23、组网该组网方案: 使用物理服务器的vSwitch实现VXLAN网络VTEP。 部署VCF Controller后可以集中控制VXLAN VTEP/GW。 VCF Controller配合Hypervisor平台管理多形态Gateway。该组网方案有以下优点: 适用于服务器虚拟化的场景,成本较低,VXLAN物理GW既可以用在核心位置,也可以在现有核心旁挂,保护已有投资。 控制面实现可以由H3C高可靠的SDN Controller集群实现,提高了可靠性和可扩展性,避免了大规模的复杂部署。 网关组部署可以实现流量的负载分担和高可靠性传输。 支持分布式网关功能,使虚机迁移后不需要重新配置网关等网络参数
24、,部署简单、灵活。3.3.2.2 网络基础架构Overlay网络的基础架构如下图所示:Overlay网络的基础架构l VM(Virtual Machine,虚拟机)在一台服务器上可以创建多台虚拟机,不同的虚拟机可以属于不同的VXLAN。属于相同VXLAN的虚拟机处于同一个逻辑二层网络,彼此之间二层互通。两个VXLAN 可以具有相同的MAC地址,但一个段不能有一个重复的MAC地址。l VTEP(VXLAN Tunnel End Point,VXLAN隧道端点)VXLAN的边缘设备,进行VXLAN业务处理:识别以太网数据帧所属的VXLAN、基于VXLAN对数据帧进行二层转发、封装/解封装VXLAN
25、报文等。VXLAN通过在物理网络的边缘设置智能实体VTEP,实现了虚拟网络和物理网络的隔离。VTEP之间建立隧道,在物理网络上传输虚拟网络的数据帧,物理网络不感知虚拟网络。VTEP将从虚拟机发出/接受的帧封装/解封装,而虚拟机并不区分VNI和VXLAN隧道。l VNI(VXLAN Network Identifier,VXLAN网络标识符)VXLAN采用24比特标识二层网络分段,使用VNI来标识二层网络分段,每个VNI标识一个VXLAN,类似于VLAN ID作用。VNI占用24比特,这就提供了近16M可以使用的VXLANs。VNI将内部的帧封装(帧起源在虚拟机)。使用VNI封装有助于VXLAN
26、建立隧道,该隧道在第3层网络之上覆盖率第二层网络。l VXLAN隧道在两个VTEP之间完成VXLAN封装报文传输的逻辑隧道。业务入隧道进行VXLAN头、UDP头、IP头封装后,通过三层转发透明地将封装后的报文转发给远端VTEP,远端VTEP对其进行出隧道解封装处理。l VSI(Virtual Switching Instance,虚拟交换实例)VTEP上为一个VXLAN提供二层交换服务的虚拟交换实例。3.3.2.3 网络部署需求3.3.2.3.1 VXLAN 对基础承载网络的需求l MTUVXLAN需要增加50字节用于封装VM发出的报文,需要更大的IP网络端到端的MTU。l VXLAN 卸载由
27、于VXLAN加入了新的VXLAN报文头,VXLAN网络报文不能再利用网卡的硬件卸载能力,这会导致支持VXLAN的vSwitch进一步占用CPU。3.3.2.3.2 VXLAN 网络和传统网络互通的需求为了实现VLAN和VXLAN之间互通,VXLAN定义了VXLAN网关。VXLAN上同时存在VXLAN端口和普通端口两种类型端口,它可以把VXLAN网络和外部网络进行桥接和完成VXLAN ID和VLAN ID之间的映射和路由,和VLAN一样,VXLAN网络之间的通信也需要三层设备的支持,即VXLAN路由的支持。同样VXLAN网关可由硬件和软件来实现。当收到从VXLAN网络到普通网络的数据时,VXLA
28、N网关去掉外层包头,根据内层的原始帧头转发到普通端口上;当有数据从普通网络进入到VXLAN网络时,VXLAN网关负责打上外层包头,并根据原始VLAN ID对应到一个VNI,同时去掉内层包头的VLAN ID信息。相应的如果VXLAN网关发现一个VXLAN包的内层帧头上还带有原始的二层VLAN ID,会直接将这个包丢弃。如图所示。VXLAN网关最简单的实现应该是一个Bridge设备,仅仅完成VXLAN到VLAN的转换,包含VXLAN到VLAN的1:1、N:1转换,复杂的实现可以包含VXLAN Mapping功能实现跨VXLAN转发,实体形态可以是vSwitch、TOR交换机。如图所示。VXLAN路
29、由器最简单的实现可以是一个Switch设备,支持类似VLAN Mapping的功能,实现VXLAN ID之间的Mapping,复杂的实现可以是一个Router设备,支持跨VXLAN转发,实体形态可以是vRouter、TOR交换机、路由器。VXLAN网关和VXLAN路由简单实现3.3.2.3.3 VXLAN 网络安全需求同传统网络一样,VXLAN网络同样需要进行安全防护。VXLAN网络的安全资源部署需要考虑两个需求:l VXLAN和VLAN之间互通的安全控制传统网络和Overlay网络中存在流量互通,需要对进出互通的网络流量进行安全控制,防止网络间的安全问题。针对这种情况,可以在网络互通的位置部
30、署VXLAN防火墙等安全资源,VXLAN防火墙可以兼具VXLAN网关和VXLAN路由器的功能。l VXLAN ID对应的不同VXLAN域之间互通的安全控制VM之间的横向流量安全是在虚拟化环境下产生的特有问题,在这种情况下,同一个服务器的不同VM之间的流量可能直接在服务器内部实现交换,导致外部安全资源失效。针对这种情况,可以考虑使用重定向的引流方法进行防护,又或者直接基于虚拟机进行防护。网络部署中的安全资源可以是硬件安全资源,也可以是软件安全资源,还可以是虚拟化的安全资源。3.3.2.4 Overlay网络虚机位置无关性通过使用MAC-in-UDP封装技术,VXLAN为虚拟机提供了位置无关的二层
31、抽象,Underlay网络和Overlay网络解耦合。终端能看到的只是虚拟的二层连接关系,完全意识不到物理网络限制。更重要的是,这种技术支持跨传统网络边界的虚拟化,由此支持虚拟机可以自由迁移,甚至可以跨越不同地理位置数据中心进行迁移。如此以来,可以支持虚拟机随时随地接入,不受实际所在物理位置的限制。所以VXLAN的位置无关性,不仅使得业务可在任意位置灵活部署,缓解了服务器虚拟化后相关的网络扩展问题;而且使得虚拟机可以随时随地接入、迁移,是网络资源池化的最佳解决方式,可以有力地支持云业务、大数据、虚拟化的迅猛发展。3.3.2.5 分布式网关分布式网关把分布在多台主机的单一OVS逻辑上组成一个“大
32、”交换机,原来每个OVS需要分别配置,而现在OVS分布式网关可在控制器管理界面集中配置、管理。分布式网关通过控制器创建和维护,当一个OVS分布式网关被创建时,每一个主机会创建一个隐藏的OVS与分布式网关连接。分布式网关主要具备以下几个功能:l 可以实现OVS集中管理的功能,在控制器管理界面对OVS集中配置管理,无需对每个OVS单独配置、管理。l OVS分布式网关可以通过流表实现VXLAN的二三层转发。l 虚拟机迁移时可以使得虚拟机网络端口状态在从一个主机移到另一个主机时保持不变,这样就能支持对虚拟机持续地统计监控并促进安全性监控。l 虚拟机迁移后,不需要重新配置网关等网络参数,部署简单、灵活。
33、3.3.2.6 Overlay网络流表路由l ARP代答对于虚拟化环境来说,当一个虚拟机需要和另一个虚拟机进行通信时,首先需要通过ARP的广播请求获得对方的MAC地址。由于VXLAN网络复杂,广播流量浪费带宽,所以需要在控制器上实现ARP代答功能。即由控制器对ARP请求报文统一进行应答,而不创建广播流表。ARP代答的大致流程:控制器收到OVS上送的ARP请求报文,做IP-MAC防欺骗处理确认报文合法后,从ARP请求报文中获取目的IP,以目的IP为索引查找全局表获取对应MAC,以查到的MAC作为源MAC构建ARP应答报文,通过Packetout下发给OVS。3.3.2.7 Overlay网络转发
34、流程l 报文所属VXLAN识别VTEP只有识别出接收到的报文所属的VXLAN,才能对该报文进行正确地处理。VXLAN隧道上接收报文的识别:对于从VXLAN隧道上接收到的VXLAN报文,VTEP根据报文 中携带的VNI判断该报文所属的VXLAN。本地站点内接收到数据帧的识别:对于从本地站点中接收到的二层数据帧,VTEP通过以太网服务实例(Service Instance)将数据帧映射到对应的VSI, VSI内创建的VXLAN即为该数据帧所属的VXLAN。l MAC地址学习本地MAC地址学习:指本地VTEP连接的本地站点内虚拟机MAC地址的学习。本地MAC地址通过接收到数据帧中的源MAC地址动态学
35、习,即VTEP接收到本地虚拟机发送的数据帧后,判断该数据帧所属的VSI,并将数据帧中的源MAC地址(本地虚拟机的MAC地址)添加到该VSI的MAC地址表中,该MAC地址对应的出接口为接收到数据帧的接口。远端MAC地址学习:指远端VTEP连接的远端站点内虚拟机MAC地址的学习。远端MAC学习时,VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后,根据VXLAN ID判断报文所属的VXLAN,对报文进行解封装,还原二层数据帧,并将数据帧中的源MAC地址(远端虚拟机的MAC地址)添加到所属VXLAN对应VSI的MAC地址表中,该MAC地址对应的出接口为VXLAN隧道接口。3.3.2.
36、8 Overlay网络虚机迁移在虚拟化环境中,虚拟机故障、动态资源调度功能、服务器主机故障或计划内停机等都会造成虚拟机迁移动作的发生。虚拟机的迁移,需要保证迁移虚拟机和其他虚拟机直接的业务不能中断,而且虚拟机对应的网络策略也必须同步迁移。虚拟机迁移及网络策略如图所示:虚拟机迁移及网络策略跟随网络管理员通过虚拟机管理平台下发虚拟机迁移指令,虚拟机管理平台通知控制器预迁移,控制器标记迁移端口,并向源主机和目的主机对应的主备控制器分布发送同步消息,通知迁移的VPort,增加迁移标记。同步完成后,控制器通知虚拟机管理平台可以进行迁移了。虚拟机管理平台收到控制器的通知后,开始迁移,创建VM分配IP等资源
37、并启动VM。启动后目的主机上报端口添加事件,通知给控制器,控制器判断迁移标记,迁移端口,保存新上报端口和旧端口信息。然后控制器向目的主机下发网络策略。源VM和目的执行内存拷贝,内存拷贝结束后,源VM关机,目的VM上线。源VM关机后,迁移源主机上报端口删除事件,通知给控制器,控制器判断迁移标记,控制器根据信息删除旧端口信息并同时删除迁移前旧端口对应的流表信息。主控制器完成上述操作后在控制器集群内进行删除端口消息的通知。其他控制器收到删除端口信息后,也删除本控制器的端口信息,同时删除对应端的流表信息。源控制器需要把迁移后新端口通知控制器集群的其他控制器。其他控制器收到迁移后的端口信息,更新端口信息
38、。当控制器重新收到Packet-in报文后,重新触发新的流表生成。3.3.2.9 Overlay网关高可靠性Overlay网关的高可靠性原理如图所示:Overlay网关高可靠性网关组中网关的VTEP IP和GW VMAC 相同,均通过路由协议对内网发布VTEP IP对应路由。网关组内部,采用无状态转发设计,所有网关信息同步。在处理OVS发往GW的流量时,动态选择GW组中的一个GW,可以很好地起到负载分担的作用。网关故障后,流量切换到分组内其它网关,保证业务平滑迁移。网关与内外网设备连接,采用聚合或ECMP方式,某链路故障,网关自动切换链路,无需人工干预。单个网关设备采用双主控,原主控故障,新主
39、控接管设备管理,所有处理网关自动完成。转发层面和控制层面分离, VCF Controller不感知,网关上流量转发不受影响。3.3.2.10 Overlay网关弹性扩展升级受制于芯片的限制,单个网关设备支持的租户数量有限,控制器能够动态的将不同租户的隧道建立在不同的Overlay网关上,支持Overlay网关的无状态分布,实现租户流量的负载分担。如图所示,Overlay网络可以支持Overlay网关随着租户数量增加的扩充,当前最大可以支持超过64K个租户数量,从而提供一个具有弹性扩展能力的Overlay网络架构。Overlay网络弹性扩展3.3.2.11 Overlay网络安全部署如图所示,O
40、verlay网络的安全部署有三种模式,这三种模式既可以独立部署,也可以配合部署:Overlay网络的安全部署l 旁挂部署主要形态:硬件安全资源。安全资源旁挂在核心/汇聚设备旁侧(部分安全资源也可选作为L3网关)。安全资源关注VXLANVLAN的安全访问控制。l 服务器侧部署主要形态:软件安全资源。安全资源以VM形态部署在服务器内部,可以作为其他VM的网关。如果安全资源支持VXLAN,可以完成VXLANVLAN的安全访问控制。全硬件VXLAN方案不推荐使用。l 专用安全区部署主要形态:软件或硬件安全资源。安全资源集中部署在某一个TOR设备下,重点关注不同VXLAN ID之间互访的安全控制。如果安
41、全资源支持VXLAN,就直接配置VXLAN ID的互访策略。如果安全资源不支持VXLAN,需要TOR完成VXLAN到VLAN的转换,然后安全资源上配置不同VLAN互访的安全策略。第四章 SDN VPC方案给XXX带来的价值华三SDN VPC解决方案,具备如下几大特点,可以最大程度上满足XXX业务:l 基于IP网络构建Fabric。无特殊拓扑限制,IP可达即可;承载网络和业务网络分离;对现有网络改动较小,保护用户现有投资。l 16M多租户共享,极大扩展了隔离数量。l 网络简化、安全。虚拟网络支持L2、L3等,无需运行LAN协议,骨干网络无需大量VLAN Trunk。l 支持多样化的组网部署方式,支持跨域互访。l 支持虚拟机灵活迁移,安全策略动态跟随。l 转发优化和表项容量增大。消除了MAC表项学习泛滥,ARP等泛洪流量可达范围可控,且东西向流量无需经过网关。SDN 工作组成员联系方式技术营销部SDN工作组:翟传璞(01061)、遇惠君(03133)、冯亮(05110)、陆毅(04063)
