XXX項目SDNVPC網(wǎng)絡解決方案技術(shù)建議

1、SDN VPC網(wǎng)絡解決方案技術(shù)建議書杭州華三通信技術(shù)有限公司2020年 3 月第一章XXX項目SDN項目需求分析項目背景 .項目目標 .項目需求 .第二章投標方案優(yōu)勢目錄錯誤 !未定義書簽。錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。錯誤 !未定義書簽。錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。第三章XXX SDN VPC網(wǎng)絡解決方案錯誤 !未定義書簽。選擇華三產(chǎn)品的幾大優(yōu)勢 . 全球領(lǐng)先的國有品牌 . 企業(yè)網(wǎng)市場的佼佼者

2、 . SDN領(lǐng)域標準倡導者與領(lǐng)導者 經(jīng)過實踐檢驗的穩(wěn)定性 最完善的售后服務體系 測試最嚴格的產(chǎn)品 . 最適合XXX的產(chǎn)品與方案.網(wǎng)絡流表路由 . 網(wǎng)絡轉(zhuǎn)發(fā)流程 . 網(wǎng)絡虛機遷移 . 網(wǎng)關(guān)高可靠性 . 網(wǎng)關(guān)彈性擴展升級 網(wǎng)絡安全部署 .錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤

3、! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽。 錯誤 ! 未定義書簽?？傮w設計原則 . 建設方案 總體方案 H3C SDN VPC網(wǎng)絡解決方案基礎 Overlay 的概念介紹 Overlay 的技術(shù)標準 H3C SDN VPC網(wǎng)絡解決方案 典型組網(wǎng) 網(wǎng)絡基礎架構(gòu) 網(wǎng)絡部署需求 VXLAN 對基礎承載網(wǎng)絡的需求 .VXLAN 網(wǎng)絡和傳統(tǒng)網(wǎng)絡互通的需求VXLAN 網(wǎng)絡安全需求 Overlay 網(wǎng)絡虛機位置無關(guān)性 分布式網(wǎng)關(guān) Overlay Overlay Overlay Overlay Overlay Overlay第四章SDN V

4、PC方案給XXX帶來的價值錯誤 !未定義書簽。章XXX項目SDN項目需求分析1.1項目背景1.2項目目標1.3項目需求70，各級電子政務國干、省干、地市城域網(wǎng)新增份額超過70；服務于三大行數(shù)據(jù)中心（中國第二章 投標方案優(yōu)勢2.1 選擇華三產(chǎn)品的幾大優(yōu)勢2.1.1 企業(yè)網(wǎng)市場的佼佼者Gartner 魔力四象限排名，華三在企業(yè)網(wǎng)市場，處于第一象限。2.1.2 SDN領(lǐng)域標準倡導者與領(lǐng)導者華三通信是SDN國際領(lǐng)先標準組織及開源控制器項目的成員，是SDN相關(guān)國際標準的倡導者、實踐者與領(lǐng)導者，華三通信從2009年起開始跟蹤SDN技術(shù)的發(fā)展，并投入大量研發(fā)力量進行相關(guān)產(chǎn)品的研制與開發(fā)， 截止目前已經(jīng)開發(fā)了

5、全系列的產(chǎn)品和豐富的解決方案，業(yè)界唯一能夠提供 SDN設備、SDN控制器、SDN應用、SDN管理與業(yè)務編排系統(tǒng)的廠商。ONF組織成員Daylight 組織成員2.1.3 經(jīng)過實踐檢驗的穩(wěn)定性華三公司擁有我國最廣泛的網(wǎng)絡產(chǎn)品行業(yè)應用案例，中央部委的應用份額超過農(nóng)業(yè)銀行、 中國銀行、 中國建行） 、兩大行全國一級骨干網(wǎng) （中國農(nóng)業(yè)銀行和中國人民銀行）四大行（工、農(nóng)、中、建）省行骨干網(wǎng)；服務于全部“211”高校，承建超過 80%的教育城域網(wǎng)，超過 40個平安校園，參與全國 1700 余所高校的信息化建設。服務包括寶鋼、 中國鋁業(yè)、一汽、海爾、長虹在內(nèi)的超過 300 家的中國 500強企業(yè)。在SDN領(lǐng)

6、域，華三一直積極與各行業(yè)用戶進行緊密的合作與研究,并結(jié)合用戶業(yè)務需求開發(fā)了大量SDN應用，是國內(nèi)SDN領(lǐng)域?qū)嵺`案例最為豐富的網(wǎng)絡廠商。目前華三已經(jīng)與聯(lián)通研究院、電信廣州研究院簽署了 SDN合作協(xié)議成為合作伙伴，這是國內(nèi)SDN領(lǐng)域最高規(guī)格的合作；聯(lián)通集團智慧城市項目正式采用華三SDN網(wǎng)絡虛擬化平臺，提高了其智慧城市平臺運維效率95%以上，將網(wǎng)絡配置錯誤率降低為0，這是國內(nèi)首例運營商級的 SDN應用案例，是業(yè)內(nèi)最領(lǐng)先的。2.1.4最完善的售后服務體系35個區(qū)域技術(shù)支持中心，300余名雙華三SE級別或以上級別的一線技術(shù)服務工程師,提供貼近客戶的強大原廠區(qū)域服務力量，為客戶提供覆蓋網(wǎng)絡生命全周期的服務

7、解決方案。在本項目實施的各個省份，華三均可提供快捷的本地服務。130余名技術(shù)中心總部產(chǎn)品技術(shù)專家，涵蓋網(wǎng)絡規(guī)劃、網(wǎng)絡測試驗證、路由、交換、安全、無線、存儲、語音、視訊、監(jiān)控、網(wǎng)管等所有IP細分產(chǎn)品技術(shù)領(lǐng)域。30余名行業(yè)技術(shù)服務解決方案專家，全專全能，深入了解行業(yè)客戶需求，為客戶提供專業(yè)的咨詢顧問服務。2500名研發(fā)后援專家，提供背靠背支持。華三呼叫中心配備 80個專業(yè)坐席，7*24小時響應客戶需求。 客戶呼叫等待時間小于 20秒，客戶服務滿意度高達 95 %。500家渠道認證合作伙伴，近 3000名認證服務工程師。39個授權(quán)服務中心。雄厚的區(qū)域備件資源3個備件分撥中心（杭州、北京、深圳） 82

8、個區(qū)域備件中心（省會城市、直轄市、二級城市）專業(yè)第三方物流公司戰(zhàn)略合作伙伴2.1.5測試最嚴格的產(chǎn)品華三擁有國內(nèi)最嚴格的測試保障流程，以保證出廠產(chǎn)品能夠滿足最苛刻的使用條件。獨 立的產(chǎn)品測試中心，累積投資超過3億元人民幣。北京杭州兩地，各有一個大型專業(yè)測試實驗室。擁有業(yè)界領(lǐng)先的測試儀器N2X Testcenter、IXIA XM、Smartbits、Avalanche、Ax4000、Abacus等儀器30余臺。對公司所有產(chǎn)品進行嚴格的鑒定測試。公司全線產(chǎn)品均通過國際著名測試機構(gòu)Tolly Group 的嚴格測試。注：Tolly Group測試機構(gòu)對所有產(chǎn)品均采用黑盒測試，測試結(jié)果無論好壞均直接

9、在網(wǎng)站公布，所有測試內(nèi)容和測試結(jié)果均網(wǎng)上可查:2.1.6最適合XXX的產(chǎn)品與方案華三SDN VPC網(wǎng)絡解決方案，也與 XXX的XX業(yè)務的需求深度契合，可以在最大程度上滿足XXX的XXX的需求。第三章XXX SDN VPC網(wǎng)絡解決方案隨著企業(yè)業(yè)務的快速擴展，IT作為基礎設施，其快速部署和高利用率成為主要需求。云計算可以為之提供可用的、便捷的、按需的資源提供，成為當前企業(yè)IT建設的常規(guī)形態(tài),而在云計算中大量采用和部署的虛擬化幾乎成為一個基本的技術(shù)模式。部署虛擬機需要在網(wǎng)絡中無限制地遷移到目的物理位置，虛機增長的快速性以及虛機遷移成為一個常態(tài)性業(yè)務。傳統(tǒng)的網(wǎng)絡已經(jīng)不能很好滿足企業(yè)的這種需求，面臨著如

10、下挑戰(zhàn):虛擬機遷移范圍受到網(wǎng)絡架構(gòu)限制虛擬機遷移的網(wǎng)絡屬性要求，當其從一個物理機上遷移到另一個物理機上，虛擬機需要不間斷業(yè)務，因而需要其IP地址、MAC地址等參數(shù)維持不變，如此則要求業(yè)務網(wǎng)絡是個二層網(wǎng)絡，且要求網(wǎng)絡本身具備多路徑多鏈路的冗余和可靠性。傳統(tǒng)的網(wǎng)絡生成樹(ST P,Spaning Tree P rotocol）技術(shù)不僅部署繁瑣，且協(xié)議復雜，網(wǎng)絡規(guī)模不宜過大，限制了虛擬化的網(wǎng)絡擴展性。基于各廠家私有的IRF/vPC等設備級的（網(wǎng)絡 N:1）虛擬化技術(shù)，雖然可以簡化拓撲、具備高可靠性，但是對于網(wǎng)絡有強制的拓撲形狀，在網(wǎng)絡的規(guī)模和靈活性上有所欠缺，只適合小規(guī)模網(wǎng)絡構(gòu)建， 且一般適用于數(shù)據(jù)

11、中心內(nèi)部網(wǎng)絡。而為了大規(guī)模網(wǎng)絡擴展的TRILL/SPB/FabricPath/VPLS 等技術(shù)，雖然解決了上述技術(shù)的不足，但對網(wǎng)絡有特殊要求,即網(wǎng)絡中的設備均要軟硬件升級，而支持此類新技術(shù)會帶來部署成本的大幅度上升。虛擬機規(guī)模受網(wǎng)絡規(guī)格限制在大二層網(wǎng)絡環(huán)境下，數(shù)據(jù)流均需要通過明確的網(wǎng)絡尋址以保證準確到達目的地，因此網(wǎng)絡設備的二層地址表項大小（即MAC地址表），成為決定了云計算環(huán)境下虛擬機的規(guī)模上限，并且因為表項并非百分之百的有效性，使得可用的虛機數(shù)量進一步降低。特別是對于低成本的接入設備而言，因其表項一般規(guī)格較小，限制了整個云計算數(shù)據(jù)中心的虛擬機數(shù)量,但如果其地址表項設計為與核心或網(wǎng)關(guān)設備在同

12、一檔次,則會提升網(wǎng)絡建設成本。雖然核心或網(wǎng)關(guān)設備的MAC與ARP規(guī)格會隨著虛擬機增長也面臨挑戰(zhàn)，但對于此層次設備能力而言,大規(guī)格是不可避免的業(yè)務支撐要求。減小接入設備規(guī)格壓力的做法可以是分離網(wǎng)關(guān)能力,采用多個網(wǎng)關(guān)來分擔虛機的終結(jié)和承載，但如此也會帶來成本的巨幅上升。網(wǎng)絡隔離/分離能力限制當前的主流網(wǎng)絡隔離技術(shù)為 VLAN （或VPN ,在大規(guī)模虛擬化環(huán)境部署會有兩大限制:是VLAN數(shù)量在標準定義中只有 12個比特單位，即可用的數(shù)量為4K,這樣的數(shù)量級對于公有云或大型虛擬化云計算應用而言微不足道,其網(wǎng)絡隔離與分離要求輕而易舉會突破4K;二是VLAN技術(shù)當前為靜態(tài)配置型技術(shù)（只有EVB/VEPA的

13、技術(shù)可以在接入層動態(tài)部署VLAN但也主要是在交換機接主機的端口為常規(guī)部署,上行口依然為所有 VLAN配置通過），這樣使得整個數(shù)據(jù)中心的網(wǎng)絡幾乎為所有VLAN被允許通過（核心設備更是如此），導致任何一個VLAN的未知目的廣播數(shù)據(jù)會在整網(wǎng)泛濫，無節(jié)制消耗網(wǎng)絡交換能力與帶寬。上述的三大挑戰(zhàn)，完全依賴于物理網(wǎng)絡設備本身的技術(shù)改良，目前看來并不能完全解決大規(guī)模云計算環(huán)境下的問題,定程度上還需要更大范圍的技術(shù)革新來消除這些限制,Overlay網(wǎng)絡技術(shù)。滿足云計算虛擬化的網(wǎng)絡能力需求。在此驅(qū)動力基礎上，逐步演化出XXXXSDNV PC網(wǎng)絡解決方案，首先要滿足業(yè)務需求，能夠?qū)崿F(xiàn)XX等需求，第二，要解決上述三大

14、挑戰(zhàn)。F面將從XXX等XXX個章節(jié)，對該方案進行闡述。3.1總體設計原則XXX系統(tǒng)建設項目從 XXX實際需求出發(fā)，充分利用信息技術(shù)優(yōu)勢，從大處著眼，小處著手，與用戶共同建設一個目標明確、管理清晰、執(zhí)行順利、平穩(wěn)運行的項目，在系統(tǒng)的建設 和管理過程中，我們將遵循以下原則:1、注重頂層設計、統(tǒng)籌規(guī)劃，分步實施原則在項目的整體規(guī)劃和總體設計階段做好統(tǒng)一設計、統(tǒng)一標準、統(tǒng)一規(guī)范，然后分層、 分階段、逐步建設，關(guān)注每個階段的產(chǎn)出和成果， 在統(tǒng)一的目標下逐步完成整個項目的策略、 需求、分析、設計、研發(fā)、測試、部署、試運行、培訓、運維等工作。同時充分發(fā)揮各類項 目相關(guān)人的知識能動性，為 XXX提供信息化建設

15、的咨詢指導。2、強化應用建設，突出應用，關(guān)注實用原則XXX建設項目的建設效果和建設思路直接體現(xiàn)了XXX建設項目最直接的產(chǎn)出。因此，我 們在建設項目過程中，將重點突出項目的應用目的，關(guān)注實用價值，以應用和需求為主導, 并在建設的過程中基于 XXX業(yè)務服務的要求、IT技術(shù)的發(fā)展，邊建設、邊開發(fā)、邊應用、邊完善，讓應用的實際效果作為項目直接驅(qū)動要素。3、追求架構(gòu)先進、技術(shù)成熟，擴展性強原則項目建設中所采用的技術(shù)架構(gòu)，在一定程度上影響著項目的穩(wěn)定性，也影響到項目未 來的發(fā)展。 因此在實施過程中我們將放眼長遠， 在保證可靠的基礎上， 盡量采用先進的網(wǎng)絡技術(shù)、應用平臺和開發(fā)工具，使XXX系統(tǒng)建設項目具有較

16、長的生命周期。4、經(jīng)濟實用、節(jié)約成本原則無論在產(chǎn)品的選型、技術(shù)的選擇中，我們都要考慮成本的約束，其中不僅考慮當前采 購的經(jīng)濟性， 還要考慮系統(tǒng)長期運維的經(jīng)濟性， 即系統(tǒng)的總擁有成本， 盡力選擇既經(jīng)濟可行 又長期保障的產(chǎn)品和技術(shù)。5、確保安全、保護隱私原則在系統(tǒng)建設中要充分考慮到系統(tǒng)安全性以及敏感信息的隱私性，避免數(shù)據(jù)出現(xiàn)在共享 信息里，從網(wǎng)絡系統(tǒng)、硬件子系統(tǒng)、 軟件子系統(tǒng)的設計都要充分考慮安全保密，采用安全可 靠的技術(shù)，保證建成的系統(tǒng)穩(wěn)定運行。6、重視資源、強調(diào)成長原則在項目建設的過程中，注重信息資源和人力資源的管理，在數(shù)據(jù)資源方面，注重網(wǎng)絡 資源共享的效率性，實現(xiàn)網(wǎng)絡互連、信息互通、資源共享

17、，應用交互與協(xié)同的網(wǎng)絡環(huán)境，同 時注重各級人力資源配置的合理性， 做好培訓工作， 與甲方的工作人員共同成長， 充分發(fā)揮 資源效能。7、保護投資、充分利舊原則在本項目建設過程中，充分利用現(xiàn)有資源，防止新鋪攤子和重復建設，所有建設內(nèi)容 都依托現(xiàn)有條件和隊伍進行建設，充分利用現(xiàn)有的資源、成果、設備，不搞重復建設。8、先進性和成熟性遵守先進性、可行性、成熟性，以保證系統(tǒng)的互操作性、兼容性、可維護性、可擴展 性，并對前期投資有較好的保護。9、一致性和復用性本項目建設應充分考慮業(yè)務需求，要最大限度利用已有的資源，以減少重復投資，提 高投資收益率。10、實施有序性統(tǒng)籌協(xié)調(diào)，建立相關(guān)管理制度，加強管理和指導，

18、確保協(xié)調(diào)推進，有序?qū)嵤ＷC項 目能夠順利、按時完成。3.2建設方案為滿足XXX的XX等需要，需采購產(chǎn)品硬件和軟件許可，主要實現(xiàn)（呼應項目需求內(nèi)容）3.3 總體方案3.3.1 H3C SDN VPC網(wǎng)絡解決方案基礎3.3.1.1 Overlay的概念介紹Overlay在網(wǎng)絡技術(shù)領(lǐng)域，是一種網(wǎng)絡架構(gòu)上疊加的虛擬化技術(shù)模式，其大體框架是對基礎網(wǎng)絡不進行大規(guī)模修改的條件下，實現(xiàn)應用在網(wǎng)絡上的承載， 并能與其它網(wǎng)絡業(yè)務分離, 并且以基于IP的基礎網(wǎng)絡技術(shù)為主。Overlay網(wǎng)絡是指建立在已有網(wǎng)絡上的虛擬網(wǎng)，邏輯節(jié)點和邏輯鏈路構(gòu)成了Overlay 網(wǎng)絡。Overlay網(wǎng)絡是具有獨立的控制和轉(zhuǎn)發(fā)平面，對于

19、連接在overlay邊緣設備之外的 終端系統(tǒng)來說，物理網(wǎng)絡是透明的。Overlay網(wǎng)絡是物理網(wǎng)絡向云和虛擬化的深度延伸，使云資源池化能力可以擺脫物 理網(wǎng)絡的重重限制，是實現(xiàn)云網(wǎng)融合的關(guān)鍵。Overlay網(wǎng)絡概念圖3.3.1.2Overlay的技術(shù)標準IETF在Overlay技術(shù)領(lǐng)域提出 VXLAN NVGRE STT三大技術(shù)方案。大體思路均是將以太網(wǎng)報文承載到某種隧道層面，差異性在于選擇和構(gòu)造隧道的不同，而底層均是IP轉(zhuǎn)發(fā)。VXLAN和STT對于現(xiàn)網(wǎng)設備而言對流量均衡要求較低，即負載鏈路負載分擔適應性好，一般的網(wǎng)絡設備都能對L2-L4的數(shù)據(jù)內(nèi)容參數(shù)進行鏈路聚合或等價路由的流量均衡，而NVGRE

20、則需要網(wǎng)絡設備對 GRE擴展頭感知并對flow ID 進行HASH需要硬件升級；STT對于TCP有較大修改，隧道模式接近 UDP性質(zhì)，隧道構(gòu)造技術(shù)屬于革新性，且復雜度較高，而VXLAN利用了現(xiàn)有通用的 UDP專輸，成熟性極高。所以總體比較，VLXAN技術(shù)具有更大優(yōu)勢，而且當前 VLXAN也得到了更多廠家和客戶的支持，已經(jīng)成為Overlay技術(shù)的主流標準，所以本文的后續(xù)介紹均以 VXLAN技術(shù)作為標準進行介紹，NVGRE STT則不再贅述。VXLAN（ Virtual eXtensible LAN可擴展虛擬局域網(wǎng)絡）是基于IP網(wǎng)絡、采用“MACnUDP封裝形式的二層 VPN技術(shù)，具體封裝的報文格

21、式如圖2所示。VXLAN可以基于已有的服務提供商或企業(yè)IP網(wǎng)絡，為分散的物理站點提供二層互聯(lián)功能，主要應用于數(shù)據(jù)中心網(wǎng)絡。VXLAN具有如下特點:使用24位的標識符，最多可支持 16M個VXLAN解決了傳統(tǒng)二層網(wǎng)絡 VLAN資源不足的問題?；贗P網(wǎng)絡組建大二層網(wǎng)絡，使得網(wǎng)絡部署和維護更加容易，并且可以好地利用現(xiàn)有的IP網(wǎng)絡技術(shù)，例如利用等價路由負載分擔。只有邊緣設備需要進行 VXLAN處理，VXLAN業(yè)務對網(wǎng)絡中間設備透明，只需根據(jù)IP頭轉(zhuǎn)發(fā)報文，降低了網(wǎng)絡部署的難度和費用。根據(jù)客戶不同組網(wǎng)需求，Overlay的網(wǎng)絡部署分為以下三種組網(wǎng)模型，如下圖所示。Overlay的網(wǎng)絡部署圖網(wǎng)絡Over

22、lay的隧道封裝在物理交換機完成。這種Overlay的優(yōu)勢在于物理網(wǎng)絡設備性能轉(zhuǎn)發(fā)性能比較高，可以支持非虛擬化的物理服務器之間的組網(wǎng)互通。它的缺點就是現(xiàn)網(wǎng)設備大都不支持VXLAN,需要大批量更換設備。主機Overlay隧道封裝由虛擬設備完成,不用增加新的網(wǎng)絡設備即可完成Overlay部署,可以支持虛擬化的服務器之間的組網(wǎng)互通。它純粹由服務器實現(xiàn) Overlay功能，對現(xiàn)有網(wǎng)絡改動不大，但是可能存在轉(zhuǎn)發(fā)瓶頸?；旌?Overlay 是 Network Overlay 和Host Overlay 的混合組網(wǎng)，可以支持物理服務器和虛擬服務器之間的組網(wǎng)互通。它融合了兩種Overlay方案的優(yōu)點，既可以發(fā)

23、揮硬件GW勺轉(zhuǎn)發(fā)性能，又盡可能的減少對于現(xiàn)有網(wǎng)絡的改動。332 H3C SDN VPC網(wǎng)絡解決方案3.3.2.1典型組網(wǎng)主機Overlay主要利用泛洪或廣播機制實現(xiàn)網(wǎng)絡構(gòu)建和擴展，它將虛擬設備作為Overlay網(wǎng)絡的邊緣設備和網(wǎng)關(guān)設備，Overlay功能純粹由服務器來實現(xiàn)，它的典型組網(wǎng)如F圖所示:圖1主機Overlay典型組網(wǎng)該組網(wǎng)方案:使用物理服務器的 vSwitch實現(xiàn)VXLAN網(wǎng)絡VTEP部署VCF Controller 后可以集中控制 VXLAN VTEP/GWVCF Controller 配合 Hypervisor 平臺管理多形態(tài) Gateway。該組網(wǎng)方案有以下優(yōu)點:適用于服務器虛

24、擬化的場景，成本較低, 可以在現(xiàn)有核心旁掛，保護已有投資。VXLAN物理GW既可以用在核心位置，也控制面實現(xiàn)可以由 H3C高可靠的SDN Controller 集群實現(xiàn)，提高了可靠性和可擴 展性，避免了大規(guī)模的復雜部署。網(wǎng)關(guān)組部署可以實現(xiàn)流量的負載分擔和高可靠性傳輸。支持分布式網(wǎng)關(guān)功能，使虛機遷移后不需要重新配置網(wǎng)關(guān)等網(wǎng)絡參數(shù)，部署簡單、 靈活。3.322 網(wǎng)絡基礎架構(gòu)Overlay網(wǎng)絡的基礎架構(gòu)如下圖所示:Overlay網(wǎng)絡的基礎架構(gòu)VXLAN屬于VM （Virtual Machi ne，虛擬機）在一臺服務器上可以創(chuàng)建多臺虛擬機，不同的虛擬機可以屬于不同的相同VXLAN的虛擬機處于同一個邏輯

25、二層網(wǎng)絡，彼此之間二層互通。兩個VXLAN可以具有相同的 MAC地址，但一個段不能有一個重復的MAC地址。VTEP （VXLAN Tunnel End Point ，VXLAN隧道端點）VXLAN基于VXLAN的邊緣設備，進行 VXLAN業(yè)務處理：識別以太網(wǎng)數(shù)據(jù)幀所屬的VXLAN對數(shù)據(jù)幀進行二層轉(zhuǎn)發(fā)、封裝/解封裝VXLAN報文等。VXLAN通過在物理網(wǎng)絡的邊緣設置智能實體VTEP實現(xiàn)了虛擬網(wǎng)絡和物理網(wǎng)絡的隔離。VTEP之間建立隧道，在物理網(wǎng)絡上傳輸虛擬網(wǎng)絡的數(shù)據(jù)幀，物理網(wǎng)絡不感知虛擬網(wǎng)絡。VTEP將從虛擬機發(fā)出/接受的幀封裝/解封裝，而虛擬機并不區(qū)分VNI和VXLAN隧道。VNI（VXLAN

26、Network Identifier，VXLAN網(wǎng)絡標識符）VXLAN采用24比特標識二層網(wǎng)絡分段，使用VNI來標識二層網(wǎng)絡分段，每個VNI標識一個VXLAN類似于 VLANID作用。VNI占用24比特，這就提供了近16M可以使用的VXLANs VNI將內(nèi)部的幀封裝（幀起源在虛擬機）。使用VNI封裝有助于VXLAN建立隧道，該隧道在第 3層網(wǎng)絡之上覆蓋率第二層網(wǎng)絡。VXLAN隧 道在兩個VTEP之間完成VXLAN封裝報文傳輸?shù)倪壿嬎淼?。業(yè)務入隧道進行 VXLAN頭、UDP頭、IP頭封裝后，通過三層轉(zhuǎn)發(fā)透明地將封裝后的報文轉(zhuǎn)發(fā)給遠端VTEP遠端VTEP對其進行出隧道解封裝處理。VSI （ Vir

27、tual Switching Instanee，虛擬交換實例）VTEP上為一個VXLAN提供二層交換服務的虛擬交換實例。3.3.2.3網(wǎng)絡部署需求3.3.2.3.1VXLAN對基礎承載網(wǎng)絡的需求MTUVXLAN需要增加50字節(jié)用于封裝VM發(fā)出的報文，需要更大的IP網(wǎng)絡端到端的MTUVXLAN卸載由于VXLAN加入了新的VXLAN報文頭，VXLAN網(wǎng)絡報文不能再利用網(wǎng)卡的硬件卸載能力,這會導致支持VXLAN的 vSwiteh 進一步占用 CPU33232VXLA N網(wǎng)絡和傳統(tǒng)網(wǎng)絡互通的需求為了實現(xiàn)VLAN和 VXLAN之間互通，VXLAN定義了 VXLAN網(wǎng)關(guān)。VXLAN上同時存在 VXLAN端

28、口和普通端口兩種類型端口，它可以把VXLA N網(wǎng)絡和外部網(wǎng)絡進行橋接和完成VXLAN ID和VLAN ID之間的映射和路由，和 VLAN一樣，VXLAN網(wǎng)絡之間的通信也需要三層設備的支持，即VXLAN路由的支持。同樣 VXLAN網(wǎng)關(guān)可由硬件和軟件來實現(xiàn)。當收到從VXLAN網(wǎng)絡到普通網(wǎng)絡的數(shù)據(jù)時，VXLAN網(wǎng)關(guān)去掉外層包頭，根據(jù)內(nèi)層的原始幀頭轉(zhuǎn)發(fā)到普通端口上；當有數(shù)據(jù)從普通網(wǎng)絡進入到VXLAN網(wǎng)絡時，VXLA N網(wǎng)關(guān)負責打上外層包頭，并根據(jù)原始 VLAN ID對應到一個 VNI，同時去掉內(nèi)層包頭的 VLAN ID信息。相應的如果VXLAN網(wǎng)關(guān)發(fā)現(xiàn)一個VXLAN包的內(nèi)層幀頭上還帶有原始的二層VLA

29、NID，會直接將這個包丟棄。如圖所示。VXLAN網(wǎng)關(guān)最簡單的實現(xiàn)應該是一個Bridge設備，僅僅完成 VXLAN到VLAN的轉(zhuǎn)換，包含 VXLAN到 VLAN的1： 1、N: 1轉(zhuǎn)換，復雜的實現(xiàn)可以包含VXLANMapping功能實現(xiàn)跨VXLAN轉(zhuǎn)發(fā)，實體形態(tài)可以是 vSwitch、TOR交換機。如圖所示。VXLAN路由器最簡單的實現(xiàn)可以是一個Switch設備，支持類似VLANMapping的功能，實現(xiàn)VXLANID之間的Mapping,復雜的實現(xiàn)可以是一個 Router設備，支持跨VXLAN轉(zhuǎn)發(fā)，實體形態(tài)可以是 vRouter、TOR交換機、路由器。VXLAN網(wǎng)關(guān)和VXLAN路由簡單實現(xiàn)33

30、233VXLA N網(wǎng)絡安全需求同傳統(tǒng)網(wǎng)絡一樣，VXLAN網(wǎng)絡同樣需要進行安全防護。VXLAN網(wǎng)絡的安全資源部署需要考慮兩個需求:VXLAN和VLAN之間互通的安全控制傳統(tǒng)網(wǎng)絡和Overlay網(wǎng)絡中存在流量互通，需要對進出互通的網(wǎng)絡流量進行安全控制，防止網(wǎng)絡間的安全問題。 針對這種情況，可以在網(wǎng)絡互通的位置部署 VXLAN防火墻等安全資源，VXLAN防火墻可以兼具VXLAN網(wǎng)關(guān)和VXLAN路由器的功能。VXLAN ID對應的不同 VXLAN域之間互通的安全控制VM之間的橫向流量安全是在虛擬化環(huán)境下產(chǎn)生的特有問題，在這種情況下，同一個服務器的不同 VM之間的流量可能直接在服務器內(nèi)部實現(xiàn)交換，導致外

31、部安全資源失效。針對這種情況，可以考慮使用重定向的引流方法進行防護，又或者直接基于虛擬機進行防護。網(wǎng)絡部署中的安全資源可以是硬件安全資源，也可以是軟件安全資源， 還可以是虛擬化 的安全資源。3.324Overlay網(wǎng)絡虛機位置無關(guān)性通過使用MAC-in-UDP封裝技術(shù)，VXLAN為虛擬機提供了位置無關(guān)的二層抽象，Underlay網(wǎng)絡和Overlay網(wǎng)絡解耦合。終端能看到的只是虛擬的二層連接關(guān)系，完全意識不到物理網(wǎng) 絡限制。更重要的是，這種技術(shù)支持跨傳統(tǒng)網(wǎng)絡邊界的虛擬化，由此支持虛擬機可以自由遷移,甚至可以跨越不同地理位置數(shù)據(jù)中心進行遷移。如此以來，可以支持虛擬機隨時隨地接入, 不受實際所在物理

32、位置的限制。所以VXLAN勺位置無關(guān)性，不僅使得業(yè)務可在任意位置靈活部署，緩解了服務器虛擬化后相關(guān)的網(wǎng)絡擴展問題；而且使得虛擬機可以隨時隨地接入、遷移，是網(wǎng)絡資源池化的最佳 解決方式，可以有力地支持云業(yè)務、大數(shù)據(jù)、虛擬化的迅猛發(fā)展。3.325 分布式網(wǎng)關(guān)分布式網(wǎng)關(guān)把分布在多臺主機的單一OVS邏輯上組成一個“大”交換機，原來每個OVS需要分別配置，而現(xiàn)在 OVS分布式網(wǎng)關(guān)可在控制器管理界面集中配置、管理。分布式網(wǎng)關(guān)通過控制器創(chuàng)建和維護,當一個OVS分布式網(wǎng)關(guān)被創(chuàng)建時，每一個主機會創(chuàng)建一個隱藏的OVS與分布式網(wǎng)關(guān)連接。分布式網(wǎng)關(guān)主要具備以下幾個功能:可以實現(xiàn)OVS集中管理的功能,在控制器管理界面對

33、 OVS集中配置管理，無需對每個OVS單獨配置、管理。OVS分布式網(wǎng)關(guān)可以通過流表實現(xiàn)VXLAN勺二三層轉(zhuǎn)發(fā)。虛擬機遷移時可以使得虛擬機網(wǎng)絡端口狀態(tài)在從一個主機移到另一個主機時保持 不變，這樣就能支持對虛擬機持續(xù)地統(tǒng)計監(jiān)控并促進安全性監(jiān)控。虛擬機遷移后，不需要重新配置網(wǎng)關(guān)等網(wǎng)絡參數(shù)，部署簡單、靈活。3.326Overlay網(wǎng)絡流表路由ARP代答對于虛擬化環(huán)境來說,ARP的廣播請求獲得對方的當一個虛擬機需要和另一個虛擬機進行通信時，首先需要通過MAC地址。由于VXLAN網(wǎng)絡復雜，廣播流量浪費帶寬，所以需要在控制器上實現(xiàn)ARP代答功能。即由控制器對ARP請求報文統(tǒng)一進行應答，而不創(chuàng)建廣播流 表。A

34、RP代答的大致流程：控制器收到OVS上送的ARP請求報文，做IP-MAC防欺騙處理確認報文合法后，從ARP請求報文中獲取目的IP，以目的IP為索引查找全局表獲取對應 MAC以查到的MAC乍為源MAC勾建ARP應答報文，通過 Packetout下發(fā)給OVS3.327Overlay網(wǎng)絡轉(zhuǎn)發(fā)流程報文所屬VXLAN識別VTEP只有識別出接收到的報文所屬的VXLAN才能對該報文進行正確地處理。VXLAN隧道上接收報文的識別：對于從VXLAN隧道上接收到的 VXLAN報文，VTEP根據(jù)報VTEP通過中攜帶的VNI判斷該報文所屬的 VXLAN本地站點內(nèi)接收到數(shù)據(jù)幀的識別：對于從本地站點中接收到的二層數(shù)據(jù)幀,

35、以太網(wǎng)服務實例（Service In sta nee）將數(shù)據(jù)幀映射到對應的VSI， VSI內(nèi)創(chuàng)建的 VXLAN即為該數(shù)據(jù)幀所屬的 VXLANMAC地址學習本地MAC地址學習：指本地 VTEP連接的本地站點內(nèi)虛擬機 MAC地址的學習。本地 MAC地址通過接收到數(shù)據(jù)幀中的源MAC地址動態(tài)學習，即 VTEP接收到本地虛擬機發(fā)送的數(shù)據(jù)幀后，判斷該數(shù)據(jù)幀所屬的 VSI，并將數(shù)據(jù)幀中的源 MAC地址（本地虛擬機的 MAC地址）添加到該VSI的MAC地址表中，該 MAC地址對應的出接口為接收到數(shù)據(jù)幀的接口。遠端MAC地址學習：指遠端 VTEP連接的遠端站點內(nèi)虛擬機 MAC地址的學習。遠端 MACMAC地址（

36、遠學習時，VTEP從VXLAN隧道上接收到遠端 VTEP發(fā)送的VXLAN報文后，根據(jù) VXLAN ID判斷報文所屬的VXLAN對報文進行解封裝，還原二層數(shù)據(jù)幀，并將數(shù)據(jù)幀中的源 端虛擬機的MAC地址）添加到所屬VXLAN對應VSI的MAC地址表中，該MAC地址對應的出接 口為VXLAN隧道接口。3.328Overlay網(wǎng)絡虛機遷移在虛擬化環(huán)境中，虛擬機故障、動態(tài)資源調(diào)度功能、服務器主機故障或計劃內(nèi)停機等都會造成虛擬機遷移動作的發(fā)生。虛擬機的遷移，需要保證遷移虛擬機和其他虛擬機直接的業(yè) 務不能中斷，而且虛擬機對應的網(wǎng)絡策略也必須同步遷移。虛擬機遷移及網(wǎng)絡策略如圖所示:虛擬機遷移及網(wǎng)絡策略跟隨網(wǎng)絡

37、管理員通過虛擬機管理平臺下發(fā)虛擬機遷移指令,虛擬機管理平臺通知控制器預遷移，控制器標記遷移端口， 并向源主機和目的主機對應的主備控制器分布發(fā)送同步消息,知遷移的VPort，增加遷移標記。同步完成后，控制器通知虛擬機管理平臺可以進行遷移了。虛擬機管理平臺收到控制器的通知后，開始遷移，創(chuàng)建VM分配IP等資源并啟動VM。啟動后目的主機上報端口添加事件， 通知給控制器，控制器判斷遷移標記， 遷移端口， 保存 新上報端口和舊端口信息。然后控制器向目的主機下發(fā)網(wǎng)絡策略。源VM和目的執(zhí)行內(nèi)存拷貝， 內(nèi)存拷貝結(jié)束后，源VM關(guān)機，目的VM上線。源VM關(guān)機后, 遷移源主機上報端口刪除事件， 通知給控制器， 控制器判斷遷移標記， 控制器根據(jù)信息刪除 舊端口信息并同時刪除遷移前舊端口對應的流表信息。其他控制器收到刪主控制器完成上述操作后在控制器集群內(nèi)進行刪除端口消息的通知。除端口信息后， 也刪除本控制器的端口信息， 同時刪除對應端的流表信息。 源控制器需要把 遷移后新端口通知控制器集群的其他控制器。 其他控制器收到遷移后的端口信息， 更新端口 信息。當控制器重新收到 Packet-in 報文后，重新觸發(fā)新的流表生成。3.3.2.9 Overlay 網(wǎng)關(guān)高可靠性Overlay 網(wǎng)關(guān)的高可靠性原理如圖所示：Overlay 網(wǎng)關(guān)高可靠性VTE