ADDC應(yīng)用驅(qū)動數(shù)據(jù)中心方案建議書

1、ADDC應(yīng)用驅(qū)動數(shù)據(jù)中心解決方案技術(shù)建議書目 錄 TOC o 1-3 h z u HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733746 1傳統(tǒng)網(wǎng)絡(luò)面臨的問題 PAGEREF _Toc407733746 h 4 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733747 1.1.業(yè)務(wù)規(guī)劃與網(wǎng)絡(luò)架構(gòu)緊耦合 PAGEREF _Toc407733747 h 4 HYPERLINK D:UsersJFD2Download

2、sH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733748 1.2.東西流量受到傳統(tǒng)網(wǎng)絡(luò)架構(gòu)限制 PAGEREF _Toc407733748 h 4 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733749 1.3.業(yè)務(wù)規(guī)模受網(wǎng)絡(luò)設(shè)備規(guī)格限制 PAGEREF _Toc407733749 h 5 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733750 1.4.傳統(tǒng)安全部署模式的限制

3、 PAGEREF _Toc407733750 h 5 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733751 1.5.不能適應(yīng)大規(guī)模租戶部署 PAGEREF _Toc407733751 h 5 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733752 2.H3C ADDC解決方案 PAGEREF _Toc407733752 h 6 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)

4、建議書（20141229）.docx l _Toc407733753 2.1.方案概述 PAGEREF _Toc407733753 h 6 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733754 2.2.方案具體設(shè)計 PAGEREF _Toc407733754 h 8 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733755 2.2.1.ADDC方案典型組網(wǎng) PAGEREF _Toc407733755 h 8

5、HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733756 2.2.2.ADDC網(wǎng)絡(luò)基礎(chǔ)架構(gòu) PAGEREF _Toc407733756 h 10 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733757 2.2.3.ADDC網(wǎng)絡(luò)部署需求 PAGEREF _Toc407733757 h 11 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _

6、Toc407733758 2.3.ADDC方案主要功能 PAGEREF _Toc407733758 h 14 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733759 2.3.1.Overlay PAGEREF _Toc407733759 h 14 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733760 2.3.2.主機部署與物理位置解耦和 PAGEREF _Toc407733760 h 20 HYPERLIN

7、K D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733761 2.3.3.分布式網(wǎng)關(guān) PAGEREF _Toc407733761 h 20 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733762 2.3.4.Overlay網(wǎng)絡(luò)流表路由 PAGEREF _Toc407733762 h 21 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc4077337

8、63 2.3.5.主機遷移策略跟隨 PAGEREF _Toc407733763 h 21 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733764 2.3.6.Overlay網(wǎng)關(guān)高可靠性 PAGEREF _Toc407733764 h 23 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733765 2.3.7.安全服務(wù)鏈部署 PAGEREF _Toc407733765 h 24 HYPERLINK D:Users

9、JFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733766 3.ADDC方案適用場景 PAGEREF _Toc407733766 h 25 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733767 4.ADDC方案的主要價值 PAGEREF _Toc407733767 h 26 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733768 5.ADDC方案配置清

10、單及說明 PAGEREF _Toc407733768 h 27 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技術(shù)建議書（20141229）.docx l _Toc407733769 6.縮略語解釋 PAGEREF _Toc407733769 h 27傳統(tǒng)網(wǎng)絡(luò)面臨的問題隨著企業(yè)業(yè)務(wù)的快速擴展需求，IT做為基礎(chǔ)設(shè)施，快速部署和減少投入成為主要需求，云計算可以提供可用的、便捷的、按需的資源提供，成為當(dāng)前企業(yè)IT建設(shè)的常規(guī)形態(tài)，而在云計算中大量采用和部署的虛擬化幾乎成為一個基本的技術(shù)模式。部署虛擬機需要在網(wǎng)絡(luò)中無限制地遷移到目的物理位置，虛機增長的快速性以及虛機遷移成為

11、一個常態(tài)性業(yè)務(wù)。服務(wù)器虛擬化在經(jīng)過多年的發(fā)展后已經(jīng)越來越成熟，被應(yīng)用的領(lǐng)域也越來越廣泛。它有效降低了成本，提高了資源利用率和可用性，同時使運維效率也得到了較大提升，進而緩解了信息化建設(shè)所面對的諸多壓力。雖然服務(wù)器虛擬化的普及徹底改變了應(yīng)用的調(diào)配和管理，但是，這些動態(tài)工作負(fù)載所連接的網(wǎng)絡(luò)卻未能跟上它的發(fā)展步伐。網(wǎng)絡(luò)調(diào)配仍然極其緩慢，甚至一個簡單的拓?fù)浣Y(jié)構(gòu)的創(chuàng)建也需要數(shù)天或數(shù)周時間。傳統(tǒng)的網(wǎng)絡(luò)已經(jīng)不能很好滿足企業(yè)邁向云時代的這種需求，面臨著如下挑戰(zhàn)：業(yè)務(wù)規(guī)劃與網(wǎng)絡(luò)架構(gòu)緊耦合傳統(tǒng)數(shù)據(jù)中心業(yè)務(wù)規(guī)劃分區(qū)分域，IP地址網(wǎng)段劃分則一般以POD為單位，一個POD內(nèi)為一個網(wǎng)段，規(guī)劃部署同一種業(yè)務(wù)。此種網(wǎng)絡(luò)架構(gòu)規(guī)

12、劃清晰，維護簡單，但是不足之處就是業(yè)務(wù)擴容受限，假設(shè)業(yè)務(wù)1部署在POD1內(nèi)，如果POD1內(nèi)無法擴容，需要把業(yè)務(wù)部署在其他的機架上時則要求POD1與其他機架二層Trunk互通，要對網(wǎng)絡(luò)做大量的配置更改。東西流量受到傳統(tǒng)網(wǎng)絡(luò)架構(gòu)限制傳統(tǒng)網(wǎng)絡(luò)架構(gòu)以三層為主，主要是以控制南北數(shù)據(jù)流量為主，由于數(shù)據(jù)中心虛擬機的大規(guī)模使用，虛擬機遷移的特點以東西流量為主，在遷移后需要其IP地址、MAC地址等參數(shù)保持不變，如此則要求業(yè)務(wù)網(wǎng)絡(luò)是一個二層網(wǎng)絡(luò)。但已有二層技術(shù)存在下面問題：生成樹(STP Spaning Tree Protocol)技術(shù)，部署和維護繁瑣，網(wǎng)絡(luò)規(guī)模不宜過大，限制了網(wǎng)絡(luò)的擴展。各廠家私有的IRF/vP

13、C/等網(wǎng)絡(luò)虛擬化技術(shù)，雖然可以簡化部署、同時具備高可靠性，但是對于網(wǎng)絡(luò)的拓?fù)浼軜?gòu)有嚴(yán)格要求，同時各廠家不支持互通，在網(wǎng)絡(luò)的可擴展性上有所欠缺，只適合小規(guī)模網(wǎng)絡(luò)部署，一般只適合數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)。新出現(xiàn)的大規(guī)模二層網(wǎng)絡(luò)技術(shù)TRILL/SPB/FabricPath等，雖然能支持二層網(wǎng)絡(luò)的良好擴展，但對網(wǎng)絡(luò)設(shè)備有特殊要求，網(wǎng)絡(luò)中的設(shè)備需要軟硬件升級才能支持此類新技術(shù)，帶來部署成本的上升。業(yè)務(wù)規(guī)模受網(wǎng)絡(luò)設(shè)備規(guī)格限制云業(yè)務(wù)中虛擬機的大規(guī)模部署，使二層地址（MAC）表項的大小限制了云計算環(huán)境下虛擬機的規(guī)模，特別是對于接入設(shè)備而言，二層地址表項規(guī)格較小，限制了整個云計算數(shù)據(jù)中心的業(yè)務(wù)規(guī)模。傳統(tǒng)安全部署模式的限

14、制傳統(tǒng)模式下的安全部署都是基于路徑基于拓?fù)涞陌踩呗圆渴?，安全業(yè)務(wù)必須根據(jù)業(yè)務(wù)的要求配置好VLAN、IP、引流策略，而且這些策略都是手工配置的，如果業(yè)務(wù)變更，那么安全策略的配置也必須跟著重新配置。另外傳統(tǒng)安全都是基于物理硬件設(shè)備部署的，導(dǎo)致在業(yè)初期由于業(yè)務(wù)量小使設(shè)備利用率很低造成資源浪費，而且業(yè)務(wù)后期隨著業(yè)務(wù)量的增量可能又會出現(xiàn)性能不夠用的情況，安全設(shè)備的性能無法根據(jù)業(yè)務(wù)的要求而動態(tài)的擴展性能或者釋放資源。不能適應(yīng)大規(guī)模租戶部署云業(yè)務(wù)需要大量租戶之間的隔離，當(dāng)前的主流二層網(wǎng)絡(luò)隔離技術(shù)為VLAN，但是在大量租戶部署時會有兩大限制：一是VLAN可用的數(shù)量為4K左右，遠遠不能滿足公有云或大型私有云的

15、部署需求；二是如果在大規(guī)模數(shù)據(jù)中心部署VLAN，會使得所有VLAN在數(shù)據(jù)中心都被允許通過，會導(dǎo)致任何一個VLAN的廣播數(shù)據(jù)會在整個數(shù)據(jù)中心內(nèi)泛濫，大量消耗網(wǎng)絡(luò)帶寬，同時帶來維護的困難。由此可以看出，傳統(tǒng)模式下的網(wǎng)絡(luò)安全方案已經(jīng)遠遠不能滿足云時代客戶業(yè)務(wù)發(fā)展的要求，因此H3C提出ADDC應(yīng)用驅(qū)動數(shù)據(jù)中心解決方案。H3C ADDC解決方案方案概述ADDC是領(lǐng)先的網(wǎng)絡(luò)連接和安全解決方案，它可以提高運營效率，發(fā)揮敏捷性并可實現(xiàn)能夠快速響應(yīng)業(yè)務(wù)需求的延展性。它可在單一解決方案中提供大量不同的服務(wù)，包括虛擬防火墻、多租戶、負(fù)載均衡和VXLAN擴展網(wǎng)絡(luò)。ADDC可實現(xiàn)網(wǎng)絡(luò)和安全保護虛擬化，從而創(chuàng)建高效、敏捷

16、且可延展的邏輯結(jié)構(gòu)，并滿足虛擬數(shù)據(jù)中心的性能和可擴展性要求。ADDC采用安全服務(wù)鏈架構(gòu)，通過服務(wù)鏈，定義業(yè)務(wù)經(jīng)過不同的安全節(jié)點，為業(yè)務(wù)提供全面的安全防護。ADDC方案是面向客戶應(yīng)用的數(shù)據(jù)中心網(wǎng)絡(luò)解決方案，簡單靈活高性價比！如上圖所述，ADDC方案組件在整個數(shù)據(jù)中心內(nèi)位于承上啟下的腰部位置，承上對接云管理平臺，云平臺可以是第三方的云平臺或者H3C的CSM云平臺，用戶通過云平臺可以對整個數(shù)據(jù)中心的業(yè)務(wù)和資源進行管理。啟下對接計算資源層，計算資源層包括虛擬計算資源和物理服務(wù)器，虛擬計算資源可以是H3C的CAS虛擬機、VMware的vsphere、Microsoft的hyper-v或者是開源的KVM/

17、XEN，ADDC都可以無縫的和它們對接。ADDC方案又由3個層次組成，最下一層是轉(zhuǎn)發(fā)層，負(fù)責(zé)對數(shù)據(jù)報文進行轉(zhuǎn)發(fā)、封裝、解封裝、防火墻業(yè)務(wù)、負(fù)載均衡業(yè)務(wù)等，轉(zhuǎn)發(fā)層的具體設(shè)備包含交換路由設(shè)備、安全設(shè)備等?？刂茖佑蒝CF控制器組成，控制器對overlay網(wǎng)絡(luò)進行集中的控制，通過openflow協(xié)議對overlay設(shè)備下發(fā)流表，通過netconf協(xié)議對overlay設(shè)備進行策略配置下發(fā)，通過ovsdb對vswitch進行策略配置下發(fā)?？刂茖油鲜枪芾韺?，管理層主要作用是對用戶呈現(xiàn)一個圖形化的操作管理界面，包括overlay網(wǎng)絡(luò)與underlay網(wǎng)絡(luò)的統(tǒng)一拓?fù)涔芾?、圖形化的策略配置、設(shè)備的性能監(jiān)控、安全

18、事件及策略等的管理都是在管理層上實現(xiàn)的功能。方案具體設(shè)計ADDC方案典型組網(wǎng)典型的ADDC組網(wǎng)圖如上圖所述，在這個圖中，轉(zhuǎn)發(fā)層的設(shè)備包括vswitch虛擬交換機、vxlan二層網(wǎng)關(guān)、vxlan三層網(wǎng)關(guān)、vFW、vLB、其他普通的路由交換設(shè)備?？刂茖釉O(shè)備為VCF控制器。管理層設(shè)備為iMC?？刂茖釉O(shè)備和管理層設(shè)備可以集中部署在管理控制Rack區(qū)。對于一個用戶的數(shù)據(jù)中心來說，服務(wù)器包含兩種類型，即虛擬化服務(wù)器和非虛擬化服務(wù)器，虛擬化的服務(wù)器采用vswitch作為vtep，物理服務(wù)器則采用支持Vxlan的物理交換機作為vtep。Overlay轉(zhuǎn)發(fā)就是vtep之間的通信?？刂破矫娼柚鶫3C高可靠的SDN

19、 Controller集群實現(xiàn)管理和配置，VCF控制器集中控制vtep和vxlan二層網(wǎng)關(guān)、vxlan三層網(wǎng)關(guān)。Overlay網(wǎng)絡(luò)的所有設(shè)備由H3C Controller通過標(biāo)準(zhǔn)協(xié)議集中管理，減少了傳統(tǒng)設(shè)備管理的復(fù)雜性。同時當(dāng)用戶業(yè)務(wù)擴展時，通過集中管理用戶可以方便快速的部署網(wǎng)絡(luò)設(shè)備，便于網(wǎng)絡(luò)的擴展和管理。在VXLAN實際網(wǎng)絡(luò)部署中，接入設(shè)備可以為vSwitch和物理交換機。為了實現(xiàn)VXLAN的網(wǎng)關(guān)功能，由核心物理網(wǎng)絡(luò)設(shè)備承擔(dān)，提高了網(wǎng)絡(luò)性能。H3C核心設(shè)備主要提供VXLAN 網(wǎng)關(guān)功能，支持VXLAN報文的封裝與解封裝，并根據(jù)內(nèi)層報文的IP頭部進行三層轉(zhuǎn)發(fā)，支持跨VXLAN之間的轉(zhuǎn)發(fā)，支持VX

20、LAN和傳統(tǒng)VLAN之間的互通。H3C vSwitch軟件主要提供虛擬化VXLAN 隧道封裝功能，支撐VM接入Overlay網(wǎng)絡(luò)，支持VXLAN報文的封裝與解封裝，支持跨VXLAN之間的轉(zhuǎn)發(fā)。H3C 物理接入網(wǎng)絡(luò)設(shè)備主要提供VXLAN 隧道封裝功能，支撐物理服務(wù)器接入Overlay網(wǎng)絡(luò)，支持VXLAN報文的封裝與解封裝，并根據(jù)內(nèi)層報文的MAC頭部進行二層轉(zhuǎn)發(fā)。圖中的網(wǎng)絡(luò)服務(wù)資源池部署了vFW和vLB，起安全服務(wù)鏈的作用。數(shù)據(jù)在網(wǎng)絡(luò)中傳遞時，需要經(jīng)過各種服務(wù)節(jié)點，才能保證網(wǎng)絡(luò)按照設(shè)計要求，提供給用戶安全、快速、穩(wěn)定的網(wǎng)絡(luò)服務(wù)。數(shù)據(jù)需要按照業(yè)務(wù)邏輯所定義的順序，依次經(jīng)過這些服務(wù)節(jié)點，這就是服務(wù)鏈。

21、在上圖中通過部署SDN控制器作為服務(wù)鏈的控制平面，可以實現(xiàn)服務(wù)鏈定義的自動化。該方案具有如下特性：可以支持虛機與非虛擬化的物理服務(wù)器之間的二層數(shù)據(jù)互通。用物理設(shè)備實現(xiàn)VXLAN路由功能，提升了網(wǎng)絡(luò)的整體性能。控制面實現(xiàn)由H3C高可靠的SDN Controller集群實現(xiàn)，提高了可靠性和可擴展性，避免了大規(guī)模組播的復(fù)雜部署。支持分布式網(wǎng)關(guān)功能，使虛機遷移后不需要重新配置網(wǎng)關(guān)等網(wǎng)絡(luò)參數(shù)，部署簡單、靈活。通過SDN控制器定義安全服務(wù)鏈，實現(xiàn)了服務(wù)鏈定義的自動化，而且控制器會實時監(jiān)控安全資源池的負(fù)載情況，可以根據(jù)負(fù)載實現(xiàn)安全資源池的擴展或者資源釋放。ADDC網(wǎng)絡(luò)基礎(chǔ)架構(gòu)Overlay網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)如下

22、圖所示：VM（Virtual Machine，虛擬機）在一臺服務(wù)器上可以創(chuàng)建多臺虛擬機，不同的虛擬機可以屬于不同的VXLAN。屬于相同VXLAN的虛擬機處于同一個邏輯二層網(wǎng)絡(luò)，彼此之間二層互通。兩個VXLAN 可以具有相同的MAC地址，但一個段不能有一個重復(fù)的MAC地址。VTEP（VXLAN Tunnel End Point，VXLAN隧道端點）VXLAN的邊緣設(shè)備，進行VXLAN業(yè)務(wù)處理：識別以太網(wǎng)數(shù)據(jù)幀所屬的VXLAN、基于VXLAN對數(shù)據(jù)幀進行二層轉(zhuǎn)發(fā)、封裝/解封裝VXLAN報文等。VXLAN通過在物理網(wǎng)絡(luò)的邊緣設(shè)置智能實體VTEP，實現(xiàn)了虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的隔離。VTEP之間建立隧道，

23、在物理網(wǎng)絡(luò)上傳輸虛擬網(wǎng)絡(luò)的數(shù)據(jù)幀，物理網(wǎng)絡(luò)不感知虛擬網(wǎng)絡(luò)。VTEP將從虛擬機發(fā)出/接受的幀封裝/解封裝，而虛擬機并不區(qū)分VNI和VXLAN隧道。VNI(VXLAN Network Identifier，VXLAN網(wǎng)絡(luò)標(biāo)識符)VXLAN采用24比特標(biāo)識二層網(wǎng)絡(luò)分段，使用VNI來標(biāo)識二層網(wǎng)絡(luò)分段，每個VNI標(biāo)識一個VXLAN，類似于VLAN ID作用。VNI占用24比特，這就提供了近16M可以使用的VXLANs。VNI將內(nèi)部的幀封裝（幀起源在虛擬機）。使用VNI封裝有助于VXLAN建立隧道，該隧道在第3層網(wǎng)絡(luò)之上覆蓋率第二層網(wǎng)絡(luò)。VXLAN隧道在兩個VTEP之間完成VXLAN封裝報文傳輸?shù)倪壿嬎淼?/p>

24、。業(yè)務(wù)入隧道進行VXLAN頭、UDP頭、IP頭封裝后，通過三層轉(zhuǎn)發(fā)透明地將封裝后的報文轉(zhuǎn)發(fā)給遠端VTEP，遠端VTEP對其進行出隧道解封裝處理。VSI（Virtual Switching Instance，虛擬交換實例）VTEP上為一個VXLAN提供二層交換服務(wù)的虛擬交換實例。ADDC網(wǎng)絡(luò)部署需求VXLan對基礎(chǔ)承載網(wǎng)絡(luò)的需求MTUVXLAN需要增加50字節(jié)用于封裝VM發(fā)出的報文，需要更大的IP網(wǎng)絡(luò)端到端的MTU。VXLAN 卸載由于VXLAN加入了新的VXLAN報文頭，VXLAN網(wǎng)絡(luò)報文不能再利用網(wǎng)卡的硬件卸載能力，這會導(dǎo)致支持VXLAN的vSwitch進一步占用CPU。Vxlan網(wǎng)絡(luò)和傳統(tǒng)

25、網(wǎng)絡(luò)互通的需求為了實現(xiàn)VLAN和VXLAN之間互通，VXLAN定義了VXLAN網(wǎng)關(guān)。VXLAN上同時存在VXLAN端口和普通端口兩種類型端口，它可以把VXLAN網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進行橋接和完成VXLAN ID和VLAN ID之間的映射和路由，和VLAN一樣，VXLAN網(wǎng)絡(luò)之間的通信也需要三層設(shè)備的支持，即VXLAN路由的支持。同樣VXLAN網(wǎng)關(guān)可由硬件和軟件來實現(xiàn)。當(dāng)收到從VXLAN網(wǎng)絡(luò)到普通網(wǎng)絡(luò)的數(shù)據(jù)時，VXLAN網(wǎng)關(guān)去掉外層包頭，根據(jù)內(nèi)層的原始幀頭轉(zhuǎn)發(fā)到普通端口上；當(dāng)有數(shù)據(jù)從普通網(wǎng)絡(luò)進入到VXLAN網(wǎng)絡(luò)時，VXLAN網(wǎng)關(guān)負(fù)責(zé)打上外層包頭，并根據(jù)原始VLAN ID對應(yīng)到一個VNI，同時去掉內(nèi)層包

26、頭的VLAN ID信息。相應(yīng)的如果VXLAN網(wǎng)關(guān)發(fā)現(xiàn)一個VXLAN包的內(nèi)層幀頭上還帶有原始的二層VLAN ID，會直接將這個包丟棄。如圖所示。VXLAN網(wǎng)關(guān)最簡單的實現(xiàn)應(yīng)該是一個Bridge設(shè)備，僅僅完成VXLAN到VLAN的轉(zhuǎn)換，包含VXLAN到VLAN的1：1、N：1轉(zhuǎn)換，復(fù)雜的實現(xiàn)可以包含VXLAN Mapping功能實現(xiàn)跨VXLAN轉(zhuǎn)發(fā)，實體形態(tài)可以是vSwitch、TOR交換機。如圖所示。VXLAN路由器最簡單的實現(xiàn)可以是一個Switch設(shè)備，支持類似VLAN Mapping的功能，實現(xiàn)VXLAN ID之間的Mapping，復(fù)雜的實現(xiàn)可以是一個Router設(shè)備，支持跨VXLAN轉(zhuǎn)發(fā)，

27、實體形態(tài)可以是vRouter、TOR交換機、路由器。Vxlan網(wǎng)絡(luò)安全需求同傳統(tǒng)網(wǎng)絡(luò)一樣，VXLAN網(wǎng)絡(luò)同樣需要進行安全防護。VXLAN網(wǎng)絡(luò)的安全資源部署需要考慮兩個需求：VXLAN和VLAN之間互通的安全控制傳統(tǒng)網(wǎng)絡(luò)和Overlay網(wǎng)絡(luò)中存在流量互通，需要對進出互通的網(wǎng)絡(luò)流量進行安全控制，防止網(wǎng)絡(luò)間的安全問題。針對這種情況，可以在網(wǎng)絡(luò)互通的位置部署VXLAN防火墻等安全資源，VXLAN防火墻可以兼具VXLAN網(wǎng)關(guān)和VXLAN路由器的功能。VXLAN ID對應(yīng)的不同VXLAN域之間互通的安全控制VM之間的橫向流量安全是在虛擬化環(huán)境下產(chǎn)生的特有問題，在這種情況下，同一個服務(wù)器的不同VM之間的流量

28、可能直接在服務(wù)器內(nèi)部實現(xiàn)交換，導(dǎo)致外部安全資源失效。針對這種情況，可以考慮使用重定向的引流方法進行防護，又或者直接基于虛擬機進行防護。網(wǎng)絡(luò)部署中的安全資源可以是硬件安全資源，也可以是軟件安全資源，還可以是虛擬化的安全資源。建議采用安全服務(wù)鏈的模式來部署安全，通過控制器定義服務(wù)鏈模型，實現(xiàn)安全部署的自動化。ADDC方案主要功能OverlayOverlay基礎(chǔ)概念Overlay在網(wǎng)絡(luò)技術(shù)領(lǐng)域，是一種網(wǎng)絡(luò)架構(gòu)上疊加的虛擬化技術(shù)模式，其大體框架是對基礎(chǔ)網(wǎng)絡(luò)不進行大規(guī)模修改的條件下，實現(xiàn)應(yīng)用在網(wǎng)絡(luò)上的承載，并能與其它網(wǎng)絡(luò)業(yè)務(wù)分離，并且以基于IP的基礎(chǔ)網(wǎng)絡(luò)技術(shù)為主。Overlay網(wǎng)絡(luò)是指建立在已有網(wǎng)絡(luò)上的

29、虛擬網(wǎng)，邏輯節(jié)點和邏輯鏈路構(gòu)成了Overlay網(wǎng)絡(luò)。Overlay網(wǎng)絡(luò)是具有獨立的控制和轉(zhuǎn)發(fā)平面，對于連接在overlay邊緣設(shè)備之外的終端系統(tǒng)來說，物理網(wǎng)絡(luò)是透明的。Overlay網(wǎng)絡(luò)是物理網(wǎng)絡(luò)向云和虛擬化的深度延伸，使云資源池化能力可以擺脫物理網(wǎng)絡(luò)的重重限制，是實現(xiàn)云網(wǎng)融合的關(guān)鍵。Overlay技術(shù)標(biāo)準(zhǔn)IETF在Overlay技術(shù)領(lǐng)域提出VXLAN、NVGRE、STT三大技術(shù)方案。大體思路均是將以太網(wǎng)報文承載到某種隧道層面，差異性在于選擇和構(gòu)造隧道的不同，而底層均是IP轉(zhuǎn)發(fā)。VXLAN和STT對于現(xiàn)網(wǎng)設(shè)備而言對流量均衡要求較低，即負(fù)載鏈路負(fù)載分擔(dān)適應(yīng)性好，一般的網(wǎng)絡(luò)設(shè)備都能對L2-L4的數(shù)

30、據(jù)內(nèi)容參數(shù)進行鏈路聚合或等價路由的流量均衡，而NVGRE則需要網(wǎng)絡(luò)設(shè)備對GRE擴展頭感知并對flow ID進行HASH，需要硬件升級；STT對于TCP有較大修改，隧道模式接近UDP性質(zhì)，隧道構(gòu)造技術(shù)屬于革新性，且復(fù)雜度較高，而VXLAN利用了現(xiàn)有通用的UDP傳輸，成熟性極高。所以總體比較，VLXAN技術(shù)具有更大優(yōu)勢，而且當(dāng)前VLXAN也得到了更多廠家和客戶的支持，已經(jīng)成為Overlay技術(shù)的主流標(biāo)準(zhǔn)，所以本文的后續(xù)介紹均以VXLAN技術(shù)作為標(biāo)準(zhǔn)進行介紹，NVGRE、STT則不再贅述。VXLAN（Virtual eXtensible LAN，可擴展虛擬局域網(wǎng)絡(luò)）是基于IP網(wǎng)絡(luò)、采用“MAC in

31、 UDP”封裝形式的二層VPN技術(shù)，具體封裝的報文格式如圖2所示。VXLAN可以基于已有的服務(wù)提供商或企業(yè)IP網(wǎng)絡(luò)，為分散的物理站點提供二層互聯(lián)功能，主要應(yīng)用于數(shù)據(jù)中心網(wǎng)絡(luò)。VXLAN具有如下特點：使用24位的標(biāo)識符，最多可支持16M個VXLAN，解決了傳統(tǒng)二層網(wǎng)絡(luò)VLAN資源不足的問題。基于IP網(wǎng)絡(luò)組建大二層網(wǎng)絡(luò)，使得網(wǎng)絡(luò)部署和維護更加容易，并且可以好地利用現(xiàn)有的IP網(wǎng)絡(luò)技術(shù)，例如利用等價路由負(fù)載分擔(dān)。只有邊緣設(shè)備需要進行VXLAN處理，VXLAN業(yè)務(wù)對網(wǎng)絡(luò)中間設(shè)備透明，只需根據(jù)IP頭轉(zhuǎn)發(fā)報文，降低了網(wǎng)絡(luò)部署的難度和費用。根據(jù)客戶不同組網(wǎng)需求，Overlay的網(wǎng)絡(luò)部署分為以下三種組網(wǎng)模型，如

32、下圖所示。網(wǎng)絡(luò)Overlay的隧道封裝在物理交換機完成。這種Overlay的優(yōu)勢在于物理網(wǎng)絡(luò)設(shè)備性能轉(zhuǎn)發(fā)性能比較高，可以支持非虛擬化的物理服務(wù)器之間的組網(wǎng)互通。它的缺點就是現(xiàn)網(wǎng)設(shè)備大都不支持VXLAN, 需要大批量更換設(shè)備。主機Overlay隧道封裝由虛擬設(shè)備完成，不用增加新的網(wǎng)絡(luò)設(shè)備即可完成Overlay部署，可以支持虛擬化的服務(wù)器之間的組網(wǎng)互通。它純粹由服務(wù)器實現(xiàn)Overlay功能，對現(xiàn)有網(wǎng)絡(luò)改動不大，但是可能存在轉(zhuǎn)發(fā)瓶頸。混合Overlay是Network Overlay和Host Overlay的混合組網(wǎng)，可以支持物理服務(wù)器和虛擬服務(wù)器之間的組網(wǎng)互通。它融合了兩種Overlay方案的優(yōu)

33、點，既可以發(fā)揮硬件GW的轉(zhuǎn)發(fā)性能，又盡可能的減少對于現(xiàn)有網(wǎng)絡(luò)的改動。VXLAN工作原理VXLAN是一個網(wǎng)絡(luò)封裝機制，它從兩個方面解決了移動性和擴展性：它是MAC in UDP的封裝，允許主機間通信通過一個Overlay網(wǎng)絡(luò)，這個Overlay網(wǎng)絡(luò)可以橫跨多個物理網(wǎng)絡(luò)。這是一個獨立于底層物理網(wǎng)絡(luò)的邏輯網(wǎng)絡(luò)，虛機遷移時不再需要改動物理設(shè)備的配置。VXLAN用24-bit的標(biāo)識符，表示一個物理網(wǎng)絡(luò)可以支持1600萬個邏輯網(wǎng)段。數(shù)量級大大超過數(shù)據(jù)中心VLAN的限制（4094） 在ADDC體系結(jié)構(gòu)中，封裝工作在VTEP上執(zhí)行，VTEP可以是vswitch，或者是物理設(shè)備。 這樣，VXLAN 對主機和底層

34、三層網(wǎng)絡(luò)來說都是透明的。VXLAN 和 非 VXLAN 主機（例如，物理服務(wù)器或 Internet 路由器）之間的網(wǎng)關(guān)服務(wù)由VXLAN三層網(wǎng)關(guān)設(shè)備執(zhí)行。 Vxlan三層網(wǎng)關(guān)將 VXLAN 網(wǎng)段 ID 轉(zhuǎn)換為 VLAN ID，因此非 VXLAN 主機可以與 VXLAN 虛擬服務(wù)器通信。Overlay網(wǎng)絡(luò)分為2個平面，數(shù)據(jù)平面和控制平面。Overlay 數(shù)據(jù)平面提供提供數(shù)據(jù)封裝，基于承載網(wǎng)絡(luò)傳輸，VXLAN使用MAC over UDP封裝Overlay 控制平面提供1、服務(wù)發(fā)現(xiàn)（Service Discovery）Overlay 邊緣設(shè)備如何發(fā)現(xiàn)彼此，以便建立Overlay 隧道關(guān)系2、地址通告和

35、映射（Address Advertising and Mapping）Overlay 邊緣設(shè)備如何交換其學(xué)習(xí)到的主機可達性信息（包括但不限于MAC地址、或IP地址、或其他地址信息）Overlay 邊緣設(shè)備到主機的可達性問題，物理網(wǎng)絡(luò)和Overlay網(wǎng)絡(luò)地址映射3、隧道管理（Tunnel Management）如何維持和管理Overlay 邊緣設(shè)備之間的虛擬連接關(guān)系VXLAN控制平面的實現(xiàn)主要有三種方式：1.通過數(shù)據(jù)平面自學(xué)習(xí)：配置VXLAN ID和組播組之間的關(guān)系，通過Flooding and Learning機制完成地址學(xué)習(xí)，這要求物理網(wǎng)絡(luò)支持組播轉(zhuǎn)發(fā)，對網(wǎng)絡(luò)支持組播組的數(shù)量有要求，是IET

36、F規(guī)定標(biāo)準(zhǔn)的控制平面實現(xiàn)方式：2.通過控制協(xié)議學(xué)習(xí)：利用擴展路由協(xié)議IS-IS或BGP完成VXLAN控制平面的地址學(xué)習(xí)，屬于私有協(xié)議:3.通過SDN Controller實現(xiàn)：由于Controller了解整網(wǎng)的拓?fù)浣Y(jié)構(gòu)，VM管理器知道虛擬機的位置和狀態(tài)，這樣，通過Controller與VM管理器的聯(lián)動，就可以很容易實現(xiàn)基于Controller完成控制平面的地址學(xué)習(xí)，然后通過標(biāo)準(zhǔn)OpenFlow協(xié)議下發(fā)到網(wǎng)絡(luò)設(shè)備。H3C Controller支持多個節(jié)點集群，提供了高可靠性和極強的擴展性。三種實現(xiàn)方式對比，在大規(guī)模的云計算虛擬化環(huán)境中，以Controller方式為最優(yōu)：無需物理網(wǎng)絡(luò)支持大量組播組

37、標(biāo)準(zhǔn)協(xié)議，可擴展性極強部署簡單，可通過Controller集中管理和控制設(shè)備 主機部署與物理位置解耦和通過使用MAC-in-UDP封裝技術(shù)，VXLAN為虛擬機提供了位置無關(guān)的二層抽象，Underlay網(wǎng)絡(luò)和Overlay網(wǎng)絡(luò)解耦合。終端能看到的只是虛擬的二層連接關(guān)系，完全意識不到物理網(wǎng)絡(luò)限制。更重要的是，這種技術(shù)支持跨傳統(tǒng)網(wǎng)絡(luò)邊界的虛擬化，由此支持虛擬機可以自由遷移，甚至可以跨越不同地理位置數(shù)據(jù)中心進行遷移。如此以來，可以支持虛擬機隨時隨地接入，不受實際所在物理位置的限制。所以VXLAN的位置無關(guān)性，不僅使得業(yè)務(wù)可在任意位置靈活部署，緩解了服務(wù)器虛擬化后相關(guān)的網(wǎng)絡(luò)擴展問題；而且使得虛擬機可以隨

38、時隨地接入、遷移，是網(wǎng)絡(luò)資源池化的最佳解決方式，可以有力地支持云業(yè)務(wù)、大數(shù)據(jù)、虛擬化的迅猛發(fā)展。分布式網(wǎng)關(guān)分布式網(wǎng)關(guān)把分布在多臺主機的單一OVS邏輯上組成一個“大”交換機，原來每個OVS需要分別配置，而現(xiàn)在OVS分布式網(wǎng)關(guān)可在控制器管理界面集中配置、管理。分布式網(wǎng)關(guān)通過控制器創(chuàng)建和維護，當(dāng)一個OVS分布式網(wǎng)關(guān)被創(chuàng)建時，每一個主機會創(chuàng)建一個隱藏的OVS與分布式網(wǎng)關(guān)連接。分布式網(wǎng)關(guān)主要具備以下幾個功能：可以實現(xiàn)OVS集中管理的功能，在控制器管理界面對OVS集中配置管理，無需對每個OVS單獨配置、管理。OVS分布式網(wǎng)關(guān)可以通過流表實現(xiàn)VXLAN的二三層轉(zhuǎn)發(fā)。虛擬機遷移時可以使得虛擬機網(wǎng)絡(luò)端口狀態(tài)在從

39、一個主機移到另一個主機時保持不變，這樣就能支持對虛擬機持續(xù)地統(tǒng)計監(jiān)控并促進安全性監(jiān)控。虛擬機遷移后，不需要重新配置網(wǎng)關(guān)等網(wǎng)絡(luò)參數(shù)，部署簡單、靈活。如果采用的是物理設(shè)備作為VTEP，則L2 GW等同于OVS，實現(xiàn)的效果相同，適用不同的使用場景。Overlay網(wǎng)絡(luò)流表路由ARP代答對于虛擬化環(huán)境來說，當(dāng)一個虛擬機需要和另一個虛擬機進行通信時，首先需要通過ARP的廣播請求獲得對方的MAC地址。由于VXLAN網(wǎng)絡(luò)復(fù)雜，廣播流量浪費帶寬，所以需要在控制器上實現(xiàn)ARP代答功能。即由控制器對ARP請求報文統(tǒng)一進行應(yīng)答，而不創(chuàng)建廣播流表。ARP代答的大致流程：控制器收到OVS上送的ARP請求報文，做IP-MA

40、C防欺騙處理確認(rèn)報文合法后，從ARP請求報文中獲取目的IP，以目的IP為索引查找全局表獲取對應(yīng)MAC，以查到的MAC作為源MAC構(gòu)建ARP應(yīng)答報文，通過Packetout下發(fā)給OVS。主機遷移策略跟隨在虛擬化環(huán)境中，虛擬機故障、動態(tài)資源調(diào)度功能、服務(wù)器主機故障或計劃內(nèi)停機等都會造成虛擬機遷移動作的發(fā)生。虛擬機的遷移，需要保證遷移虛擬機和其他虛擬機直接的業(yè)務(wù)不能中斷，而且虛擬機對應(yīng)的網(wǎng)絡(luò)策略也必須同步遷移。網(wǎng)絡(luò)管理員通過虛擬機管理平臺下發(fā)虛擬機遷移指令，虛擬機管理平臺通知控制器預(yù)遷移，控制器標(biāo)記遷移端口，并向源主機和目的主機對應(yīng)的主備控制器分布發(fā)送同步消息，通知遷移的VPort，增加遷移標(biāo)記。同

41、步完成后，控制器通知虛擬機管理平臺可以進行遷移了。虛擬機管理平臺收到控制器的通知后，開始遷移，創(chuàng)建VM分配IP等資源并啟動VM。啟動后目的主機上報端口添加事件，通知給控制器，控制器判斷遷移標(biāo)記，遷移端口，保存新上報端口和舊端口信息。然后控制器向目的主機下發(fā)網(wǎng)絡(luò)策略。源VM和目的執(zhí)行內(nèi)存拷貝，內(nèi)存拷貝結(jié)束后，源VM關(guān)機，目的VM上線。源VM關(guān)機后，遷移源主機上報端口刪除事件，通知給控制器，控制器判斷遷移標(biāo)記，控制器根據(jù)信息刪除舊端口信息并同時刪除遷移前舊端口對應(yīng)的流表信息。主控制器完成上述操作后在控制器集群內(nèi)進行刪除端口消息的通知。其他控制器收到刪除端口信息后，也刪除本控制器的端口信息，同時刪除

42、對應(yīng)端的流表信息。源控制器需要把遷移后新端口通知控制器集群的其他控制器。其他控制器收到遷移后的端口信息，更新端口信息。當(dāng)控制器重新收到Packet-in報文后，重新觸發(fā)新的流表生成。Overlay網(wǎng)關(guān)高可靠性網(wǎng)關(guān)組中網(wǎng)關(guān)的VTEP IP和GW VMAC 相同,均通過路由協(xié)議對內(nèi)網(wǎng)發(fā)布VTEP IP對應(yīng)路由。網(wǎng)關(guān)組內(nèi)部，采用無狀態(tài)轉(zhuǎn)發(fā)設(shè)計，所有網(wǎng)關(guān)信息同步。在處理OVS發(fā)往GW的流量時，動態(tài)選擇GW組中的一個GW，可以很好地起到負(fù)載分擔(dān)的作用。網(wǎng)關(guān)故障后，流量切換到分組內(nèi)其它網(wǎng)關(guān)，保證業(yè)務(wù)平滑遷移。網(wǎng)關(guān)與內(nèi)外網(wǎng)設(shè)備連接，采用聚合或ECMP方式，某鏈路故障，網(wǎng)關(guān)自動切換鏈路，無需人工干預(yù)。單個網(wǎng)關(guān)

43、設(shè)備采用雙主控，原主控故障，新主控接管設(shè)備管理，所有處理網(wǎng)關(guān)自動完成。轉(zhuǎn)發(fā)層面和控制層面分離， VCF Controller不感知，網(wǎng)關(guān)上流量轉(zhuǎn)發(fā)不受影響。安全服務(wù)鏈部署傳統(tǒng)的安全防護流量走向依賴于拓?fù)浣Y(jié)構(gòu)，各種的手工配置方式，靜態(tài)、分散的配置方式，設(shè)備處理能力不可復(fù)用，單設(shè)備縱向擴展。這種防護模式不適應(yīng)云計算時代對于安全防護的要求。云計算時代，計算資源池化，計算資源可以自由調(diào)度、動態(tài)擴展，網(wǎng)絡(luò)資源通過VXLAN技術(shù)池化，那么安全作為一種重要的網(wǎng)絡(luò)服務(wù)是不是也能夠彈性資源化，能夠?qū)崿F(xiàn)與拓?fù)錈o關(guān)的自動化部署與管理？在ADDC方案中安全業(yè)務(wù)的部署是通過服務(wù)鏈的形式。服務(wù)鏈的定義由VCF控制器來統(tǒng)一定義規(guī)劃，實現(xiàn)安全資源與拓?fù)錈o關(guān)。帶來的好處有：1. 安全服務(wù)基于Overlay邏輯網(wǎng)絡(luò)，無須手工配置及引流，服務(wù)自動化部署。給用戶帶來業(yè)務(wù)快速上線，業(yè)務(wù)遷移服務(wù)自動跟隨的好處。2. 服務(wù)資源池化 按需使用、線性擴展 形態(tài)多樣、位置無關(guān)。使得業(yè)務(wù)成本降低，業(yè)務(wù)可擴展性強。3. 服務(wù)節(jié)點與轉(zhuǎn)發(fā)節(jié)點分離，一次流分類?？蓪崿F(xiàn)按業(yè)務(wù)需求對服務(wù)進行編排。ADDC方案適用場景ADDC方案適用于所有行業(yè)的數(shù)據(jù)中心，為關(guān)注這些問題的客戶量身定制：關(guān)注應(yīng)用快速靈活部署的客戶AD