CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案-分布式Network Overlay網(wǎng)絡(luò)設(shè)計指南

1、 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY PartNumber DOCPROPERTY Product&Project Name CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設(shè)計指南（分布式Network Overlay網(wǎng)絡(luò)） DOCPROPERTY Product&Project NameCloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設(shè)計指南（分布式Network Overlay網(wǎng)絡(luò)） STYLEREF Contents 目 錄文檔版本

2、 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版權(quán)所有 華為技術(shù)有限公司PAGE iii DOCPROPERTY DocumentVersion * MERGEFORMAT 01 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版權(quán)所有 華為技術(shù)有限公司PAGE li DOCPROPERTY DocumentVersion *

3、MERGEFORMAT 01 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版權(quán)所有 華為技術(shù)有限公司 STYLEREF 1 概述文檔版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版權(quán)所有 華為技術(shù)有限公司PAGE 1概述隨著行業(yè)數(shù)字化轉(zhuǎn)型加速，企業(yè)數(shù)據(jù)中心云化的要求越來越迫切，云計算逐漸成為各行各業(yè)的基本能力，數(shù)據(jù)中心網(wǎng)

4、絡(luò)作為構(gòu)建云數(shù)據(jù)中心的基石面臨很大的挑戰(zhàn)。同時，云計算要求業(yè)務(wù)能夠?qū)崿F(xiàn)快速部署，從傳統(tǒng)的周、月部署周期，提升到天、小時級的部署周期。在上述背景下，網(wǎng)絡(luò)的部署開始引入SDN，將業(yè)務(wù)上線需要的網(wǎng)絡(luò)配置部署從傳統(tǒng)人工方式轉(zhuǎn)為控制器自動部署，SDN結(jié)合云平臺極大的提升了業(yè)務(wù)上線效率，讓“業(yè)務(wù)分鐘級上線”成為了現(xiàn)實(shí)。另一方面，數(shù)據(jù)中心對資源池化的要求也讓網(wǎng)絡(luò)引入了Overlay技術(shù)，Overlay技術(shù)使同一租戶/業(yè)務(wù)的資源在更大范圍上進(jìn)行靈活分配成為可能。華為CloudFabric解決方案針對SDN場景下采用overlay組網(wǎng)進(jìn)行了全新的設(shè)計，著力打造符合現(xiàn)代數(shù)據(jù)中心業(yè)務(wù)要求的靈活自動、彈性智能的數(shù)據(jù)中

5、心網(wǎng)絡(luò)。本文主要介紹華為CloudFabric解決方案Overlay網(wǎng)絡(luò)（邏輯網(wǎng)絡(luò)）設(shè)計方案。 DOCPROPERTY Product&Project NameCloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設(shè)計指南（分布式Network Overlay網(wǎng)絡(luò)） STYLEREF 1 n * MERGEFORMAT 1 STYLEREF 1 概述文檔版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY Prop

6、rietaryDeclaration * MERGEFORMAT 版權(quán)所有 華為技術(shù)有限公司PAGE 9Overlay網(wǎng)絡(luò)簡介 HYPERLINK l _ZH-CN_TOPIC_0250688919 o 2.1 什么是Overlay網(wǎng)絡(luò) HYPERLINK l _ZH-CN_TOPIC_0250942563 o 2.2 VXLAN簡介 HYPERLINK l _ZH-CN_TOPIC_0250688920 o 2.3 Overlay網(wǎng)絡(luò)類型 HYPERLINK l _ZH-CN_TOPIC_0250688921 o 2.4 Overlay網(wǎng)絡(luò)對比什么是Overlay網(wǎng)絡(luò)Overlay意為疊加，

7、Overlay網(wǎng)絡(luò)是指在現(xiàn)有物理網(wǎng)絡(luò)上疊加一個軟件定義的虛擬的邏輯網(wǎng)絡(luò)。在對基礎(chǔ)網(wǎng)絡(luò)不進(jìn)行大規(guī)模修改的條件下，通過定義其上的邏輯網(wǎng)絡(luò)來實(shí)現(xiàn)應(yīng)用在網(wǎng)絡(luò)上的承載，解決傳統(tǒng)數(shù)據(jù)中心諸如大規(guī)模虛擬機(jī)之間二層互通等問題。Overlay本質(zhì)上是一種L2 over IP的隧道封裝技術(shù)，主要有VXLAN、NVGRE等，基本原理都是通過隧道封裝的方式將二層報文進(jìn)行封裝后在現(xiàn)有網(wǎng)絡(luò)中進(jìn)行透明傳輸，到達(dá)目的地之后再解封裝得到原始報文，相當(dāng)于一個大二層網(wǎng)絡(luò)疊加（Overlay）在現(xiàn)有的網(wǎng)絡(luò)之上。如下圖所示，Underlay是一張物理承載網(wǎng)絡(luò)，由各類物理設(shè)備構(gòu)成，如交換機(jī)、負(fù)載均衡設(shè)備與防火墻設(shè)備等，Overlay網(wǎng)絡(luò)

8、在Underlay網(wǎng)絡(luò)基礎(chǔ)上形成一張邏輯網(wǎng)絡(luò)。underlay與overlay網(wǎng)絡(luò)分層模型Overlay網(wǎng)絡(luò)架構(gòu)是物理網(wǎng)絡(luò)向云和虛擬化的深度延伸，云的資源化能力可以擺脫物理網(wǎng)絡(luò)的多種限制。從架構(gòu)上對數(shù)據(jù)中心建設(shè)模式進(jìn)行了顛覆，將對物理設(shè)備的要求降至最低，業(yè)務(wù)完全定義在疊加網(wǎng)絡(luò)上，是實(shí)現(xiàn)云網(wǎng)融合的關(guān)鍵。一個Overlay網(wǎng)絡(luò)主要由三部分組成：邊緣設(shè)備：是指與虛擬機(jī)直接相連的設(shè)備控制平面：主要負(fù)責(zé)虛擬隧道的建立維護(hù)以及主機(jī)可達(dá)性信息的通告轉(zhuǎn)發(fā)平面：承載 Overlay 報文的物理網(wǎng)絡(luò)Overlay網(wǎng)絡(luò)的主要特點(diǎn)：有獨(dú)立的控制協(xié)議和轉(zhuǎn)發(fā)平面，對于連接在NVE之外的設(shè)備（Server、VAS、外部路由

9、器）來說，underlay網(wǎng)絡(luò)是透明的。與Underaly網(wǎng)絡(luò)解耦，便于Underlay網(wǎng)絡(luò)彈性擴(kuò)展IP與位置信息分離，虛擬化構(gòu)建出面向應(yīng)用的自適應(yīng)邏輯網(wǎng)絡(luò)，滿足業(yè)務(wù)資源池化對網(wǎng)絡(luò)的訴求。支持SDN控制器集中管理，實(shí)現(xiàn)業(yè)務(wù)的自動化快速布放。Overlay網(wǎng)絡(luò)的主要應(yīng)用場景：傳統(tǒng)IDC業(yè)務(wù)中的機(jī)架出租業(yè)務(wù)公有云服務(wù)（IaaS/PaaS/SaaS）私有云（融合資源池新建、數(shù)據(jù)中心整合）網(wǎng)絡(luò)NFV云（網(wǎng)絡(luò)云化、SDN+NFV）VXLAN簡介在華為CloudFabric解決方案中，選用VXLAN技術(shù)來構(gòu)建Overlay網(wǎng)絡(luò)，業(yè)務(wù)報文運(yùn)行在VXLAN Overlay網(wǎng)絡(luò)上，與物理承載網(wǎng)絡(luò)解耦。VXLAN

10、是NVO3中的一種網(wǎng)絡(luò)虛擬化技術(shù)，通過將虛擬機(jī)發(fā)出的數(shù)據(jù)包封裝在UDP中，并使用物理網(wǎng)絡(luò)的IP、MAC作為outer-header進(jìn)行封裝，然后在IP網(wǎng)絡(luò)上傳輸，到達(dá)目的地后由隧道終結(jié)點(diǎn)解封裝并將數(shù)據(jù)發(fā)送給目標(biāo)虛擬機(jī)。隨著數(shù)據(jù)中心在物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施上實(shí)施服務(wù)器虛擬化的快速發(fā)展，作為NVO3技術(shù)之一的VXLAN具有以下優(yōu)勢：通過24比特的VNI可以支持多達(dá)16M的VXLAN段的網(wǎng)絡(luò)隔離，對用戶進(jìn)行隔離和標(biāo)識不再受到限制，可滿足海量租戶。VNI可以分為二層VNI和三層VNI，既可以和廣播域BD關(guān)聯(lián)，也可以和VPN實(shí)例關(guān)聯(lián)。因此VXLAN可以支持L2 VPN、L3 VPN等復(fù)雜業(yè)務(wù)。除VXLAN網(wǎng)絡(luò)

11、邊緣設(shè)備，網(wǎng)絡(luò)中的其他設(shè)備不需要識別虛擬機(jī)的MAC地址，減輕了設(shè)備的MAC地址學(xué)習(xí)壓力，提升了設(shè)備性能。通過采用MAC in UDP封裝來延伸二層網(wǎng)絡(luò)，實(shí)現(xiàn)了物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)解耦，租戶可以規(guī)劃自己的虛擬網(wǎng)絡(luò)，不需要考慮物理網(wǎng)絡(luò)IP地址和廣播域的限制，大大降低了網(wǎng)絡(luò)管理的難度。VXLAN封裝的UDP源端口，由內(nèi)層的流信息Hash而來，Underlay網(wǎng)絡(luò)不需要解析內(nèi)層報文就可負(fù)載分擔(dān)，實(shí)現(xiàn)網(wǎng)絡(luò)高吞吐量。關(guān)于華為VXLAN的技術(shù)原理、規(guī)劃設(shè)計和配置部署詳情，請參見 HYPERLINK /enterprise/zh/doc/EDOC1100004177?idPath=7919710%7C21782

12、165%7C21782236%7C22318638%7C7542409 o VXLAN技術(shù)專題。Overlay網(wǎng)絡(luò)類型在VXLAN網(wǎng)絡(luò)中，根據(jù)承擔(dān)Overlay邊緣設(shè)備（VXLAN NVE）屬性的不同，又可以分為Network Overlay、Host Overlay、Hybrid Overlay三種網(wǎng)絡(luò)類型。CloudFabric解決方案推薦使用Network Overlay類型的VXLAN網(wǎng)絡(luò)。Network Overlay：所有NVE全部由物理交換機(jī)承擔(dān)。Host Overlay：所有NVE全部由vSwitch承擔(dān)。Hybrid Overlay：NVE一部分部署在物理交換機(jī)上，另一部分部

13、署在vSwitch上。Network OverlayNetwork Overlay的特點(diǎn)是VXLAN隧道的兩個端點(diǎn)全部是物理交換機(jī)。其中，Network Overlay又分為集中式和分布式兩類，如下圖所示。集中式Network Overlay中，Leaf作為VXLAN的L2網(wǎng)關(guān)、Spine或Border Leaf作為VXLAN的L3網(wǎng)關(guān)。分布式Network Overlay中，Leaf同時作為VXLAN的L2和L3網(wǎng)關(guān)，Spine僅作為IP流量高速轉(zhuǎn)發(fā)節(jié)點(diǎn)，不處理VXLAN報文。集中式Network Overlay和分布式Network Overlay概念示意圖Host OverlayHost

14、 Overlay的特點(diǎn)是VXLAN隧道的兩個端點(diǎn)全部是虛擬交換機(jī)，而虛擬交換機(jī)部署在服務(wù)器上，如下圖所示。數(shù)據(jù)中心內(nèi)部的東西向流量在虛擬交換機(jī)之間通過VXLAN隧道轉(zhuǎn)發(fā)；南北向流量在虛擬交換機(jī)與虛擬路由器之間轉(zhuǎn)發(fā)，作為Leaf和Spine的物理交換機(jī)僅作IP報文的高速轉(zhuǎn)發(fā)，不處理VXLAN報文。Host Overlay概念示意Hybrid OverlayHybrid Overlay的特點(diǎn)是VXLAN隧道的端點(diǎn)既可以是虛擬交換機(jī)也可以是物理交換機(jī)，因此也稱為混合Overlay，如下圖所示，混合Overlay常見的業(yè)務(wù)網(wǎng)關(guān)部署方案是分布式的。數(shù)據(jù)中心內(nèi)部的東西向流量在虛擬交換機(jī)和物理Leaf交換機(jī)

15、之間通過VXLAN隧道轉(zhuǎn)發(fā)；南北向流量在虛擬交換機(jī)/Leaf物理交換機(jī)與Spine/Edge之間通過VXLAN隧道轉(zhuǎn)發(fā)。Hybrid Overlay概念示意Overlay網(wǎng)絡(luò)對比Network Overlay、Host Overlay和Hybrid Overlay對比說明下表中對Network Overlay、Host Overlay和Hybrid Overlay三種類型的網(wǎng)絡(luò)特點(diǎn)進(jìn)行了對比。Network Overlay、Host Overlay和Hybrid Overlay對比說明對比項Network Overlay（推薦）Host OverlayHybrid Overlay（支持）NVE

16、硬件交換機(jī)vSwitch硬件交換機(jī)vSwitchVXLAN L3 GW硬件交換機(jī)（分布式部署，根據(jù)VM上線位置相應(yīng)的部署）vSwitch（分布式部署，根據(jù)VM上線位置相應(yīng)的部署）硬件交換機(jī)和vSwitch（分布式部署，根據(jù)VM上線位置相應(yīng)的部署）接入服務(wù)器類型虛擬化服務(wù)器、物理服務(wù)器虛擬化服務(wù)器虛擬化服務(wù)器、物理服務(wù)器接入L4L7類型硬件L4L7軟件L4L7（X86物理服務(wù)器）軟件L4L7（SRIOV接入）軟件L4L7（vSwitch接入）硬件L4L7X86物理服務(wù)器軟件L4L7SRIOV虛擬化軟件L4L7軟件L4L7（vSwitch接入）控制面設(shè)備L2/L3自學(xué)習(xí)設(shè)備間L2通過頭端復(fù)制廣播自

17、學(xué)習(xí)可支持控制面上收控制器（特指ARP/ND及路由。當(dāng)前未合入主線，可POC測試）可支持設(shè)備間通過BGP-EVPN同步vSwitch通過openflow將ARP/ND上報控制器，控制器L2/L3學(xué)習(xí)vSwitch間通過控制器下發(fā)流表同步硬件設(shè)備L2/L3本地自學(xué)習(xí)，硬件設(shè)備間通過BGP-EVPN同步vSwitch通過OpenFlow將ARP/ND上報控制器，控制器L2/L3學(xué)習(xí)，vSwitch間通過控制器下發(fā)流表同步硬件NVE和vSwitch NVE之間通過控制器的BGP-EVPN同步轉(zhuǎn)發(fā)性能不占用服務(wù)器CPU資源，硬件設(shè)備轉(zhuǎn)發(fā)性能高VXLAN處理占用服務(wù)器CPU資源，性能受CPU影響大硬件部

18、分不占用服務(wù)器CPU資源，軟件部分VXLAN處理占用服務(wù)器資源虛擬機(jī)規(guī)格VPC數(shù)量受限于TOR VRF和路由規(guī)格同一VPC虛機(jī)數(shù)量受限于TOR表項規(guī)格僅受限于控制器的能力海量VPC，海量虛機(jī)海量VPC，海量虛機(jī)同一VPC虛機(jī)數(shù)量受限于TOR表項規(guī)格適用場景適用于對轉(zhuǎn)發(fā)性能、運(yùn)維、安全等有很高要求的私有云用戶適用于虛擬化服務(wù)器/物理服務(wù)器同時接入SDN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)互聯(lián)互通適用于僅虛擬化服務(wù)器接入適用于租戶規(guī)模超大的用戶網(wǎng)絡(luò)內(nèi)有多個廠商網(wǎng)絡(luò)設(shè)備，需要VXLAN與硬件網(wǎng)絡(luò)設(shè)備解耦適用于虛擬化服務(wù)器/物理服務(wù)器同時接入SDN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)互聯(lián)互通對硬件成本敏感，強(qiáng)調(diào)網(wǎng)絡(luò)利舊，需要VXLAN與硬件網(wǎng)絡(luò)

19、設(shè)備解耦由于vMware的計算虛擬化在市場占比較高，但其系統(tǒng)封閉并不對網(wǎng)絡(luò)廠商提供開發(fā)的接口嵌入網(wǎng)絡(luò)廠商的vSwitch設(shè)備，另外私有云領(lǐng)域客戶通常對安全、性能有一定的定制化要求，因此從性能、開放性、適用性的角度，推薦使用Network Overlay方案。Network Overlay分布式和集中式對比說明下表中對Network Overlay分布式和集中式的網(wǎng)絡(luò)特點(diǎn)進(jìn)行了對比。Network Overlay分布式和集中式對比說明方案Network Overlay集中式（支持）Network Overlay分布式（推薦）部署NVE部署在Leaf節(jié)點(diǎn)（TOR）上使用CE硬件交換機(jī)部署在Leaf

20、節(jié)點(diǎn)（TOR）上使用CE硬件交換機(jī)L3 GW集中部署在Spine或Border Leaf上使用CE硬件交換機(jī)分布式部署：根據(jù)VM上線位置相應(yīng)部署在就近的Leaf節(jié)點(diǎn)（TOR）上使用CE硬件交換機(jī)Border Leaf可以和Spine、L3 GW合一部署可以和Spine合一部署L4-L7直掛、旁掛網(wǎng)關(guān)或Service Leaf接入建議硬件設(shè)備Service Leaf接入，直掛、旁掛Border Leaf轉(zhuǎn)發(fā)面子網(wǎng)間轉(zhuǎn)發(fā)流量都需要到集中網(wǎng)關(guān)，流量有迂回，網(wǎng)關(guān)壓力大三層轉(zhuǎn)發(fā)表項在網(wǎng)關(guān)集中，對網(wǎng)關(guān)節(jié)點(diǎn)要求高子網(wǎng)間轉(zhuǎn)發(fā)流量直接在leaf節(jié)點(diǎn)間轉(zhuǎn)發(fā)，流量沒有迂回，壓力分擔(dān)三層轉(zhuǎn)發(fā)表項分布在Leaf節(jié)點(diǎn)，對

21、網(wǎng)關(guān)節(jié)點(diǎn)要求不高控制面可以采用控制面下沉和部署B(yǎng)GP-EVPN兩種方案采用部署B(yǎng)GP-EVPN方案應(yīng)用場景轉(zhuǎn)發(fā)性能要求高租戶數(shù)量不多異構(gòu)多種虛擬化平臺接入物理主機(jī)轉(zhuǎn)發(fā)性能要求高租戶數(shù)量多異構(gòu)多種虛擬化平臺接入物理主機(jī)數(shù)據(jù)中心的業(yè)務(wù)越來越復(fù)雜，微分段、業(yè)務(wù)鏈，智能運(yùn)維，這些功能通常和網(wǎng)關(guān)角色密切相關(guān)，集中式網(wǎng)關(guān)方案下對網(wǎng)關(guān)設(shè)備的要求越來越高，目前在疊加IPV6 Overlay或者微分段特性時，集中式網(wǎng)關(guān)已經(jīng)力不從心。分布式網(wǎng)關(guān)將不同角色分散到各個角色的設(shè)備承載，架構(gòu)解耦具備更好的演進(jìn)性，推薦新項目使用分布式方案交付。 DOCPROPERTY Product&Project NameCloudFa

22、bric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設(shè)計指南（分布式Network Overlay網(wǎng)絡(luò)） STYLEREF 1 n * MERGEFORMAT 2 STYLEREF 1 Overlay網(wǎng)絡(luò)簡介文檔版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版權(quán)所有 華為技術(shù)有限公司PAGE 51分布式Network Overlay網(wǎng)絡(luò)方案設(shè)計

23、HYPERLINK l _ZH-CN_TOPIC_0250688922 o 3.1 Overlay網(wǎng)絡(luò)架構(gòu)設(shè)計 HYPERLINK l _ZH-CN_TOPIC_0250689135 o 3.2 Overlay網(wǎng)絡(luò)業(yè)務(wù)模型 HYPERLINK l _ZH-CN_TOPIC_0250689142 o 3.3 Overlay網(wǎng)絡(luò)路由設(shè)計 HYPERLINK l _ZH-CN_TOPIC_0250689146 o 3.4 Overlay網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)計 HYPERLINK l _ZH-CN_TOPIC_0250942568 o 3.5 規(guī)格與約束（受限發(fā)布）Overlay網(wǎng)絡(luò)架構(gòu)設(shè)計方案架構(gòu)分布式Net

24、work Overlay網(wǎng)絡(luò)中，SDN控制器作為核心組件，向下納管Fabric物理網(wǎng)絡(luò)設(shè)備，利用VXLAN技術(shù)構(gòu)建虛擬網(wǎng)絡(luò)，將網(wǎng)絡(luò)服務(wù)抽象建模，對外提供SDN服務(wù)。SDN控制器可以對接多個云平臺，也可以同時對接容器管理平臺、計算虛擬化平臺，與計算、存儲等聯(lián)動，實(shí)現(xiàn)L2-L7配置的自動下發(fā)。CloudFabric解決方案總體架構(gòu)邏輯分層層次說明應(yīng)用層CloudOS：基于OpenStack架構(gòu)的云操作平臺，除了開源OpenStack，還包含華為FusionSphere，它們對計算、存儲、網(wǎng)絡(luò)進(jìn)行協(xié)同管理。容器發(fā)放平臺，對容器進(jìn)行創(chuàng)建和發(fā)放。分析器：使用iMaster NCE-FabricInsig

25、ht（下文簡稱FabricInsight）來對數(shù)據(jù)中心網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)和應(yīng)用健康度進(jìn)行分析，快速感知和定位故障點(diǎn)；使用CIS（Cybersecurity Intelligence System）來對流量進(jìn)行威脅分析檢測和判定，有效避免APT（Advanced Persistent Threat）攻擊造成用戶信息資產(chǎn)損失?？刂茖佑嬎愎芾砥鳎杭碫MM（Virtual Machine Management），完成計算層面的虛擬化和資源管理。網(wǎng)絡(luò)控制器：采用iMaster NCE-Fabric對云數(shù)據(jù)中心網(wǎng)絡(luò)集中管控，提供從應(yīng)用到物理網(wǎng)絡(luò)的自動映射、資源池化部署和可視化運(yùn)維，協(xié)助客戶構(gòu)建以業(yè)務(wù)為中心的網(wǎng)絡(luò)

26、業(yè)務(wù)動態(tài)調(diào)度能力。VAS控制器：采用SecoManager，對防火墻設(shè)備提供集中的安全策略管理與控制、直觀的實(shí)時事件監(jiān)控和綜合分析攻擊等各種安全事件，并提供豐富的統(tǒng)計報告，方便用戶隨時掌控當(dāng)前網(wǎng)絡(luò)安全狀況。網(wǎng)絡(luò)層由物理設(shè)備組成的Spine-Leaf基礎(chǔ)物理組網(wǎng)（常見的有華為CloudEngine系列交換機(jī)、NGFW、vNGFW、LB等），用以承載VXLAN Overlay網(wǎng)絡(luò)，并由物理或虛擬設(shè)備提供VAS服務(wù)。計算層虛擬化服務(wù)器：支持VM上線、下線網(wǎng)絡(luò)側(cè)業(yè)務(wù)聯(lián)動下發(fā)，也支持網(wǎng)絡(luò)與計算不聯(lián)動（L2BR接入）。物理服務(wù)器：通過L2BR接入到VXLAN網(wǎng)絡(luò)，通過控制器界面來發(fā)放接入配置，云平臺不感知

27、。裸金屬服務(wù)器：一般形成一個裸金屬服務(wù)器池；由云平臺觸發(fā)裸金屬服務(wù)器的端到端上線過程。交互接口接口兩端接口說明控制器云平臺控制器提供插件部署在云平臺上，從而完成云平臺與控制器的對接。控制器通過RESTful（控制器北向開放的接口）和RESTConf接口（控制器調(diào)用的接口）與云平臺對接，接收云平臺下發(fā)的網(wǎng)絡(luò)業(yè)務(wù)指令。云平臺VMM云平臺與VMM間接口，控制流不經(jīng)過控制器傳遞。SecoManager防火墻SNMP：用于SecoManager發(fā)現(xiàn)和獲取防火墻的信息。NETCONF：用于SecoManager向防火墻下發(fā)配置。FabricInsight物理交換機(jī)SNMP：用于FabricInsight發(fā)

28、現(xiàn)和獲取物理交換機(jī)的信息。NETCONF：用于FabricInsight與物理交換機(jī)進(jìn)行流鏡像同步。gRPC：FabricInsight獲取交換機(jī)CPU、RAM利用率。Netstream：交換機(jī)通過Netstream上送指定流 分析結(jié)果。控制器物理交換機(jī)SNMP：用于控制器發(fā)現(xiàn)和獲取物理交換機(jī)的信息。NETCONF：用于控制器向物理交換機(jī)下發(fā)配置。OpenFlow：主要在運(yùn)維層面提供路徑探測等功能。LB云平臺LB提供補(bǔ)丁部署在云平臺上，同時本身部署相應(yīng)的插件，兩者通過RESTFul接口對接，從而使云平臺納管LB設(shè)備，并向LB設(shè)備下發(fā)配置?？刂破髟谠破脚_上的插件和LB在云平臺上的插件會交互信息，

29、由控制器告訴LB流量應(yīng)該攜帶哪一個VLAN標(biāo)簽進(jìn)入到Fabric網(wǎng)絡(luò)中。組網(wǎng)設(shè)計分布式Network Overlay典型組網(wǎng)如下圖所示。分布式Network Overlay典型組網(wǎng)在分布式Network Overlay組網(wǎng)中，NVE節(jié)點(diǎn)是Overlay網(wǎng)絡(luò)的邊界節(jié)點(diǎn)，負(fù)責(zé)Port/Port+VLAN與VNI之間的映射。主要有以下特點(diǎn)：分布式部署：VXLAN的網(wǎng)關(guān)分布式部署在Leaf交換機(jī)上，三層流量轉(zhuǎn)發(fā)路徑最優(yōu)。Network Overlay：Overlay網(wǎng)絡(luò)的邊界節(jié)點(diǎn)NVE都是硬件交換機(jī)，能提供高性能轉(zhuǎn)發(fā)。同一個 E2E VXLAN域內(nèi)，主機(jī)可以任意遷移部署。通過VXLAN L2VNI和L

30、3VNI分別實(shí)現(xiàn)租戶的二層隔離和三層隔離。在分布式組網(wǎng)中，VXLAN的網(wǎng)關(guān)有以下兩種類型：三層分布式網(wǎng)關(guān)：VXLAN L3 Gateway，也稱東西網(wǎng)關(guān)。接入計算資源的NVE，它的作用是使接入不同類型的計算節(jié)點(diǎn)（物理服務(wù)器、虛擬機(jī)、裸金屬、容器等）接入到VXLAN網(wǎng)絡(luò)，以及機(jī)架出租場景傳統(tǒng)網(wǎng)絡(luò)接入VXLAN網(wǎng)絡(luò)。出口三層網(wǎng)關(guān)：VXLAN Exit Gateway，也稱南北網(wǎng)關(guān)。連接出口的NVE，它的作用是實(shí)現(xiàn)與外部網(wǎng)絡(luò)（Internet/Intranet）的互通。接入設(shè)計SDN控制器支持對接容器管理平臺、云管理平臺、虛擬化平臺，Network Overlay網(wǎng)絡(luò)接入方式靈活，同時兼容物理服務(wù)器

31、、虛擬化服務(wù)器（裸金屬、容器、虛擬機(jī)）等多種計算資源的接入，還支持跟傳統(tǒng)網(wǎng)絡(luò)對接，如下圖所示。Network Overlay三層分布式網(wǎng)關(guān)接入示意圖場景一：計算節(jié)點(diǎn)接入SDN控制器支持多種計算節(jié)點(diǎn)以多種方式接入Network Overlay，需要根據(jù)現(xiàn)網(wǎng)實(shí)際場景來選擇合適的接入方式。L2接入聯(lián)動方式：需要控制器與云平臺或者計算管理平臺對接，與計算資源聯(lián)動下發(fā)L2接入配置。L2接入不聯(lián)動方式：不需要控制器與其他平臺對接，由控制器獨(dú)立編排下發(fā)L2BR接入配置。L3接入聯(lián)動方式：目前僅容器場景聯(lián)動部署方式涉及，與容器平臺聯(lián)動下發(fā)L3接入配置。L3接入不聯(lián)動方式：控制器獨(dú)立編排下發(fā)L3接入配置。Net

32、work Overlay網(wǎng)絡(luò)支持接入的計算節(jié)點(diǎn)計算節(jié)點(diǎn)接入對象接入方式支持場景物理服務(wù)器物理網(wǎng)卡（以邏輯端口形式接入到Fabric）L2接入（不聯(lián)動）機(jī)架出租裸金屬物理網(wǎng)卡（以邏輯端口形式接入到Fabric）L2接入（聯(lián)動）云網(wǎng)一體化、計算聯(lián)動（與第三方BMM聯(lián)動）虛擬機(jī)vSwitch、SR-IOVL2接入（聯(lián)動、不聯(lián)動）云網(wǎng)一體化、計算聯(lián)動、機(jī)架出租容器vSwitch、SR-IOVL2接入（聯(lián)動、不聯(lián)動）L3接入（聯(lián)動、不聯(lián)動）容器網(wǎng)絡(luò)CloudFabric計算聯(lián)動場景支持的計算虛擬化平臺，云網(wǎng)一體化場景支持的云平臺，以規(guī)格清單中的配套清單為準(zhǔn)。場景二：傳統(tǒng)網(wǎng)絡(luò)接入當(dāng)已有的SDN網(wǎng)絡(luò)需要和傳

33、統(tǒng)網(wǎng)絡(luò)互聯(lián)互通時，主要有以下三種方式。方式一：適用于近距離二層互聯(lián)互通（機(jī)架出租場景運(yùn)營商提供網(wǎng)關(guān)）當(dāng)傳統(tǒng)網(wǎng)絡(luò)與SDN網(wǎng)絡(luò)距離很近，例如在同一個數(shù)據(jù)中心內(nèi)部，則此時傳統(tǒng)網(wǎng)絡(luò)通過作為NVE的硬件交換機(jī)L2接入，將VLAN映射到VXLAN，傳統(tǒng)網(wǎng)絡(luò)主機(jī)與VXLAN虛擬網(wǎng)絡(luò)的中的VM直接L2互通（L2BR端口發(fā)放方式）。方式二：適用于近距離三層互聯(lián)互通（機(jī)架出租場景租戶自帶網(wǎng)關(guān)）當(dāng)傳統(tǒng)網(wǎng)絡(luò)與SDN網(wǎng)絡(luò)距離很近，例如在同一個數(shù)據(jù)中心內(nèi)部，則此時傳統(tǒng)網(wǎng)絡(luò)通過作為NVE的硬件交換機(jī)L3接入，傳統(tǒng)網(wǎng)絡(luò)的網(wǎng)關(guān)與VXLAN網(wǎng)絡(luò)的L3 Gateway是直連下一跳，傳統(tǒng)網(wǎng)絡(luò)主機(jī)與虛擬網(wǎng)絡(luò)的VM直接L3互通。方式三：

34、適用于遠(yuǎn)距離IPSec方式互聯(lián)互通當(dāng)傳統(tǒng)網(wǎng)絡(luò)與SDN網(wǎng)絡(luò)距離很遠(yuǎn)，則通過IPSec方式來互聯(lián)互通。數(shù)據(jù)中心出口防火墻作為IPSec隧道的端點(diǎn)，傳統(tǒng)網(wǎng)絡(luò)中的主機(jī)與SDN虛擬網(wǎng)絡(luò)中的VM實(shí)現(xiàn)L3互通。出口設(shè)計本章節(jié)簡要介紹不同場景出口網(wǎng)絡(luò)的業(yè)務(wù)模型、擴(kuò)展設(shè)計，詳細(xì)出口網(wǎng)絡(luò)設(shè)計請參考出口網(wǎng)絡(luò)設(shè)計指南。出口網(wǎng)絡(luò)業(yè)務(wù)模型在介紹出口網(wǎng)絡(luò)規(guī)劃前，先了解一下CloudFabric幾個場景中的出口網(wǎng)絡(luò)業(yè)務(wù)模型。由于云平臺FusionSphere以及開源第三方OpenStack兩者的能力不同，因此與兩種云平臺配合時業(yè)務(wù)模型也不同，下面分別進(jìn)行介紹。云網(wǎng)一體化場景，不支持同一個VPC的不同外部網(wǎng)絡(luò)，部分過墻，部分不

35、過墻。場景一：云網(wǎng)一體化-FusionSphere當(dāng)使用FusionSphere作為云平臺時：一個VPC同時支持一個訪問Internet的外部網(wǎng)絡(luò)、多個訪問公共服務(wù)的外部網(wǎng)絡(luò)、一個訪問專線網(wǎng)絡(luò)（即遠(yuǎn)程私網(wǎng)）的外部網(wǎng)絡(luò)。多個訪問專線的外部網(wǎng)絡(luò)可通過DCN控制器上的二次編排來實(shí)現(xiàn)（如下圖中虛線所示）。訪問Internet的外部網(wǎng)絡(luò)必須配置SNAT/EIP。訪問公共服務(wù)的外部網(wǎng)絡(luò)必須配置EIP。訪問專線網(wǎng)絡(luò)的外部網(wǎng)絡(luò)不做SNAT/EIP。FusionSphere場景出口網(wǎng)絡(luò)業(yè)務(wù)模型場景二：云網(wǎng)一體化-開源第三方OpenStack當(dāng)使用開源第三方OpenStack作為云平臺時：一個VPC只支持一個外部

36、網(wǎng)絡(luò)，用于訪問Internet或遠(yuǎn)程私網(wǎng)。當(dāng)一個VPC需要關(guān)聯(lián)多個外部網(wǎng)絡(luò)時，需通過DCN控制器的二次編排來實(shí)現(xiàn)，一個VPC同時只支持一個訪問Internet的外部網(wǎng)絡(luò)和多個訪問遠(yuǎn)程私網(wǎng)的外部網(wǎng)絡(luò)。開源第三方OpenStack場景出口網(wǎng)絡(luò)業(yè)務(wù)模型場景三：網(wǎng)絡(luò)虛擬化在網(wǎng)絡(luò)虛擬化場景中：外部網(wǎng)絡(luò)在控制器上進(jìn)行編排，一個VPC同時支持一個訪問Internet的外部網(wǎng)絡(luò)和多個訪問遠(yuǎn)程私網(wǎng)的外部網(wǎng)絡(luò)。網(wǎng)絡(luò)虛擬化場景出口網(wǎng)絡(luò)業(yè)務(wù)模型出口網(wǎng)絡(luò)擴(kuò)展設(shè)計在一個Fabric內(nèi)部，可以部署多組Border Leaf設(shè)備，如下圖所示，這樣的部署方式主要在以下場景中使用：場景一：既有業(yè)務(wù)中VPC的出口帶寬不夠，通過增加

37、新的Border Leaf設(shè)備組，從而增加該VPC的出口帶寬，此時多組Border Leaf是ECMP轉(zhuǎn)發(fā)。場景二：數(shù)據(jù)中心VPC數(shù)量顯著增加，可能引發(fā)既有Border Leaf設(shè)備規(guī)格不夠用，此時增加新的Border Leaf設(shè)備組。數(shù)據(jù)中心一部分VPC業(yè)務(wù)從Border Leaf組A走，另一部分VPC從Border Leaf組B走，有效解決Border Leaf規(guī)格不夠用的問題，提升了整體數(shù)據(jù)中心的VPC規(guī)格。注意，此場景Border Leaf兼做Service Leaf。場景三：一個VPC的出口網(wǎng)絡(luò)，連接到兩個不同的出口通道（例如一個公網(wǎng)出口和一個私網(wǎng)出口），此時可以部署多組Border

38、 Leaf設(shè)備，分別對接不同的出口通道。在VPC上綁定兩個外部網(wǎng)絡(luò)，且每一個外部網(wǎng)絡(luò)再綁定不同的Border Leaf組。單Fabric內(nèi)Border Leaf擴(kuò)容場景一單Fabric內(nèi)Border Leaf擴(kuò)容場景二單Fabric內(nèi)Border Leaf擴(kuò)容場景三在進(jìn)行組網(wǎng)設(shè)計時需考慮的因素有：單Fabric內(nèi)部獨(dú)立設(shè)置多組Border Leaf設(shè)備，設(shè)備可以是雙活（推薦）、堆疊或獨(dú)立模式。在控制器上創(chuàng)建外部網(wǎng)關(guān)時，選擇綁定Border Leaf組。VAS設(shè)備可以旁掛在Service Leaf下或者旁掛在Border Leaf上。只有分布式才支持上述擴(kuò)容場景。場景一通過多組Border Le

39、af ECMP增加VPC出口帶寬，僅適用于不過墻場景。Overlay網(wǎng)絡(luò)業(yè)務(wù)模型控制器之所以能對Overlay業(yè)務(wù)進(jìn)行自動化下發(fā)，是因為其內(nèi)部已經(jīng)將網(wǎng)絡(luò)服務(wù)進(jìn)行了抽象建模，可以從以下三方面來理解。網(wǎng)絡(luò)服務(wù)的抽象通過VXLAN技術(shù)在物理網(wǎng)絡(luò)上構(gòu)建虛擬網(wǎng)絡(luò)，模型上將虛擬網(wǎng)絡(luò)服務(wù)抽象為FaaS（Fabric as a Service），F(xiàn)aaS提供的是抽象的L1L3服務(wù)，即Logic Router、Logic Switch和Logic Port：Logic Port提供接入服務(wù)，接入VM/BM/L4L7設(shè)備等Logic Router提供Logic Port之間的L3路由服務(wù)和網(wǎng)關(guān)服務(wù)Logic Sw

40、itch提供Logic Port之間的L2交換服務(wù)網(wǎng)絡(luò)業(yè)務(wù)的編排控制器通過FaaS提供的Logic Router、Logic Switch和Logic Port，結(jié)合前臺頁面給管理員提供可視化編排多租戶邏輯網(wǎng)絡(luò)的能力，支撐業(yè)務(wù)訴求實(shí)現(xiàn)。虛擬網(wǎng)絡(luò)的部署控制器將部署好的租戶邏輯網(wǎng)絡(luò)，通過NETCONF接口將配置下發(fā)給網(wǎng)絡(luò)設(shè)備，其中：Logic Router由Gateway角色的設(shè)備承擔(dān)Logic Switch和Logic Port由NVE角色的設(shè)備承擔(dān)Network Overlay業(yè)務(wù)下發(fā)示意圖以業(yè)務(wù)為中心，軟件定義網(wǎng)絡(luò)Overlay網(wǎng)絡(luò)模型映射華為CloudFabric解決方案，通過iMaste

41、r NCE-Fabric控制器對數(shù)據(jù)中心網(wǎng)絡(luò)集中管控，提供從應(yīng)用到物理網(wǎng)絡(luò)的自動映射、資源池化部署和可視化運(yùn)維，協(xié)助客戶構(gòu)建以業(yè)務(wù)為中心的網(wǎng)絡(luò)業(yè)務(wù)動態(tài)調(diào)度能力，使得客戶可以根據(jù)自身業(yè)務(wù)發(fā)展，靈活部署和調(diào)度網(wǎng)絡(luò)資源，讓數(shù)據(jù)中心網(wǎng)絡(luò)更敏捷地為云業(yè)務(wù)服務(wù)。業(yè)務(wù)模型：為了實(shí)現(xiàn)用戶業(yè)務(wù)對網(wǎng)絡(luò)的訴求，根據(jù)用戶的業(yè)務(wù)、組織結(jié)構(gòu)、管理方式等，對用戶業(yè)務(wù)進(jìn)行建模抽象。邏輯模型：對物理網(wǎng)絡(luò)的建模抽象，在物理網(wǎng)絡(luò)的基礎(chǔ)上定義多個獨(dú)立的邏輯網(wǎng)絡(luò)，完成網(wǎng)絡(luò)功能的虛擬化，通過對網(wǎng)絡(luò)服務(wù)的編排實(shí)現(xiàn)業(yè)務(wù)訴求。物理模型：是指控制器將邏輯模型翻譯成配置后，下發(fā)到物理設(shè)備上形成的功能模型。業(yè)務(wù)應(yīng)用到邏輯網(wǎng)絡(luò)，邏輯網(wǎng)絡(luò)到物理網(wǎng)絡(luò)，相

42、互之間是如何映射的，通過什么樣的模型實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化配置？本節(jié)簡要介紹SDN控制器的網(wǎng)絡(luò)模型及映射關(guān)系。業(yè)務(wù)模型與邏輯模型映射數(shù)據(jù)中心中常見業(yè)務(wù)應(yīng)用系統(tǒng)包括Web服務(wù)，APP應(yīng)用，DB數(shù)據(jù)庫三部分，其中Web服務(wù)與APP應(yīng)用互訪，APP應(yīng)用于DB數(shù)據(jù)庫互訪，業(yè)務(wù)系統(tǒng)通過Web服務(wù)與Internet或私有網(wǎng)絡(luò)互通。如下圖所示，是一個租戶內(nèi)的邏輯網(wǎng)絡(luò)模型與用戶業(yè)務(wù)應(yīng)用模型的對應(yīng)關(guān)系舉例。業(yè)務(wù)模型與邏輯模型對應(yīng)關(guān)系舉例控制器邏輯網(wǎng)絡(luò)模型中的元素說明如下：Tenant：是指租戶，一個租戶可申請獨(dú)立的計算、存儲和網(wǎng)絡(luò)資源，一個租戶可對應(yīng)理解為一個業(yè)務(wù)系統(tǒng)或部門。VPC：是指Virtual Private

43、Cloud，每個VPC為一個安全域，一個VPC可理解為擁有相同安全策略的業(yè)務(wù)的集合。這里將Web，APP，DB三個區(qū)域劃分為三個VPC，不同VPC之間的互訪可通過控制器編排,靈活控制是否過防火墻,過單邊墻還是雙邊墻。Logical Router：在物理上映射為VRF，一個VPC內(nèi)通常配置一個Logical Router。Logical Switch：表示網(wǎng)段的概念?？梢栽谝粋€VPC中設(shè)置一個或多個不同的網(wǎng)段，物理上映射為一個Bridge-domain，即一個Logical Router下可配置多個Logical Switch。EPG（可選）：表示一組業(yè)務(wù)端口的集合，每個EPG內(nèi)部的業(yè)務(wù)端口具有

44、相同的安全策略，一個EPG內(nèi)可以有一個或多個子網(wǎng)。通過EPG可以方便地配置安全策略，控制VPC內(nèi)的互訪策略。LP（Logical Port）：標(biāo)識接入交換機(jī)的邏輯接口，在物理上映射為一個子接口。EP（End Port）：表示計算資源如虛擬機(jī)，一個虛擬機(jī)接入一個Subnet，一個Subnet中可以接入多個虛擬機(jī)。如上將業(yè)務(wù)系統(tǒng)中WEB，APP和DB三部分分別對應(yīng)劃分為三個VPC，不同區(qū)域之間的互訪通過控制器進(jìn)行VPC互訪編排實(shí)現(xiàn)。控制器自動化部署業(yè)務(wù)配置時，就是將管理員設(shè)計好的VPC邏輯網(wǎng)絡(luò)模型，翻譯成配置命令，并通過NETCONF或OpenFlow下發(fā)給轉(zhuǎn)發(fā)器。方案優(yōu)點(diǎn)：通常情況下，相同VPC

45、內(nèi)的服務(wù)器在同一個業(yè)務(wù)區(qū)域，默認(rèn)可信，VPC之間默認(rèn)不互通，VPC互通可以通過控制器靈活編排選擇是否過墻或者過單邊墻。VPC內(nèi)如果也需要進(jìn)行訪問控制，則僅需要在VPC內(nèi)進(jìn)行EPG編排即可，可支持SFC和微分段。邏輯模型與物理模型映射本節(jié)簡單介紹SDN控制器邏輯模型與物理模型的對應(yīng)關(guān)系，在上一個章節(jié)中已經(jīng)介紹過SDN控制器在創(chuàng)建業(yè)務(wù)時，都包含哪些主要的邏輯單元，每個VPC是一個虛擬的網(wǎng)絡(luò)環(huán)境，通過創(chuàng)建VPC將物理網(wǎng)絡(luò)劃分為邏輯網(wǎng)絡(luò)，包含Logical Router，Logical Switch，Logical VAS，Logical Port，External Network等邏輯單元，下面講述

46、這些邏輯單元與物理網(wǎng)絡(luò)的映射關(guān)系。如下圖所示，一張物理網(wǎng)絡(luò)通過配置VRF，BD等特性劃分為多個邏輯網(wǎng)絡(luò)。在控制器上通過網(wǎng)絡(luò)工程師容易理解的網(wǎng)絡(luò)邏輯模型創(chuàng)建邏輯網(wǎng)絡(luò)并與物理網(wǎng)絡(luò)中VRF，BD等網(wǎng)絡(luò)特性自動映射，完成控制器對物理網(wǎng)絡(luò)交換機(jī)的集中管控?？刂破鬟壿嬆Ｐ秃臀锢砟Ｐ蛯?yīng)關(guān)系首先，控制器管理員創(chuàng)建租戶，租戶管理員再通過創(chuàng)建VPC來創(chuàng)建邏輯網(wǎng)絡(luò)，一個Logical Router對應(yīng)一個VRF，每個Logical Router下可關(guān)聯(lián)多個Logical Switch，每個Logical Switch對應(yīng)一個子網(wǎng)，每個Logical Switch下可以創(chuàng)建多個Logical Port，每個Logi

47、cal Port對應(yīng)物理交換機(jī)中的一個接口，用于連接物理服務(wù)器或者虛機(jī)，通過Logical Port的位置創(chuàng)建BD及VRF，也可以通過虛機(jī)自動上線自動創(chuàng)建Logical Port及自動下發(fā)邏輯網(wǎng)絡(luò)。在邏輯網(wǎng)絡(luò)創(chuàng)建完成后，對應(yīng)的物理網(wǎng)絡(luò)也會自動完成映射，在網(wǎng)絡(luò)內(nèi)同子網(wǎng)及跨子網(wǎng)互通都會自動完成創(chuàng)建。在邏輯網(wǎng)絡(luò)需要與外部互通時，需要在VPC內(nèi)創(chuàng)建外部網(wǎng)絡(luò)邏輯單元，關(guān)聯(lián)外部網(wǎng)關(guān)，并指定網(wǎng)關(guān)類型（不同類型的外部網(wǎng)關(guān)應(yīng)用場景不同，比如是否過墻，是否主備出口等），如果需要過墻，則還需創(chuàng)建Logical VAS，Logical VAS與Logical Router關(guān)聯(lián)后，防火墻會自動分配一個vSys對應(yīng)該VP

48、C。Overlay網(wǎng)絡(luò)業(yè)務(wù)編排根據(jù)業(yè)務(wù)管理方式、以及云管理平臺的不同，主要分為云網(wǎng)一體化（FusionSphere、開源OpenStack）、網(wǎng)絡(luò)虛擬化（機(jī)架出租、計算聯(lián)動）、容器網(wǎng)絡(luò)等，如下表所示。各個平臺的抽象網(wǎng)絡(luò)模型可能稍有差異，但是最終都會映射到控制器的邏輯模型，并由控制器通過Netconf接口下發(fā)配置到物理網(wǎng)絡(luò)，完成業(yè)務(wù)部署。CloudFabric支持的典型場景Overlay場景Overlay業(yè)務(wù)編排組件云網(wǎng)一體化云平臺或云管平臺統(tǒng)一實(shí)現(xiàn)DC內(nèi)計算、存儲、網(wǎng)絡(luò)資源的虛擬化和資源池化，并提供界面實(shí)現(xiàn)服務(wù)管理和業(yè)務(wù)的自動化發(fā)放。SDN控制器完成網(wǎng)絡(luò)的建模和實(shí)例化，對接云平臺提供網(wǎng)絡(luò)的資源

49、池化和自動化，同時支持對部分業(yè)務(wù)的二次還原。網(wǎng)絡(luò)虛擬化-計算聯(lián)動SDN控制器完成網(wǎng)絡(luò)的建模和實(shí)例化，提供網(wǎng)絡(luò)資源的管理，對接VMM，實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)聯(lián)動計算業(yè)務(wù)的自動發(fā)放。VMM，實(shí)現(xiàn)計算資源的虛擬化和資源池化，提供對計算資源的管理和業(yè)務(wù)發(fā)放。網(wǎng)絡(luò)虛擬化-機(jī)架出租SDN控制器完成網(wǎng)絡(luò)的建模和實(shí)例化，提供網(wǎng)絡(luò)資源的管理，網(wǎng)絡(luò)業(yè)務(wù)通過控制器編排獨(dú)立發(fā)放。VMM，實(shí)現(xiàn)計算資源的虛擬化和資源池化，提供對計算資源的管理和業(yè)務(wù)發(fā)放。容器網(wǎng)絡(luò)SDN控制器完成網(wǎng)絡(luò)的建模和實(shí)例化，提供網(wǎng)絡(luò)資源的管理和業(yè)務(wù)發(fā)放。（支持獨(dú)立部署、跟容器平臺聯(lián)動兩種部署方式）Kubernetes，實(shí)現(xiàn)對容器集群資源的管理和業(yè)務(wù)發(fā)放?？刂?/p>

50、器支持部署L2-L3基礎(chǔ)業(yè)務(wù)、VPC互通業(yè)務(wù)、增值業(yè)務(wù)、業(yè)務(wù)鏈、微分段、組播、VPC互通等各種業(yè)務(wù)，本章節(jié)簡要介紹常見基礎(chǔ)業(yè)務(wù)的編排模型，其他業(yè)務(wù)詳細(xì)的業(yè)務(wù)編排，請參考CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 產(chǎn)品文檔和iMaster NCE-Fabric 產(chǎn)品文檔。在控制器下發(fā)Overlay業(yè)務(wù)配置之前，需要提前完成Underlay網(wǎng)絡(luò)配置，包括配置路由實(shí)現(xiàn)Underlay網(wǎng)絡(luò)IP可達(dá)，使能能BGP EVPN的VXLAN控制面功能，配置BGP EVPN對等體建立鄰居等。iMaster NCE-Fabric支持基于IPv4 Underlay的IPv6 Overlay網(wǎng)絡(luò)，且網(wǎng)絡(luò)虛擬化和云網(wǎng)一

51、體化場景均支持IPv6。在邏輯網(wǎng)絡(luò)、外部網(wǎng)關(guān)、VPC多出口、VPC互通的業(yè)務(wù)編排功能等同IPv4。其他IPv6特性詳細(xì)支持情況請查看CloudFabric解決方案最新版本規(guī)格清單和iMaster NCE-Fabric最新版本產(chǎn)品文檔。VPC內(nèi)互通業(yè)務(wù)VPC內(nèi)東西向互訪流量，分為同子網(wǎng)二層流量，以及跨子網(wǎng)的三層流量。同VPC同子網(wǎng)和跨子網(wǎng)互通邏輯模型從邏輯網(wǎng)絡(luò)層面看，業(yè)務(wù)編排如下：VPC內(nèi)同子網(wǎng)互通，先通過SDN控制器創(chuàng)建租戶和VPC，然后創(chuàng)建Logic Switch、邏輯端口和用戶端口。同一個VPC內(nèi)跨子網(wǎng)互通，在上述基礎(chǔ)上將不同的Logic Switch關(guān)聯(lián)到同一個Logic Router。

52、同VPC同子網(wǎng)和跨子網(wǎng)互通物理模型從物理網(wǎng)絡(luò)層面看，關(guān)鍵配置和路由擴(kuò)散過程如下：同VPC同子網(wǎng)互通：首先創(chuàng)建BD關(guān)聯(lián)二層VNI，創(chuàng)建EVPN實(shí)例。然后創(chuàng)建接入端口（聯(lián)動場景主機(jī)上線會自動生成），實(shí)現(xiàn)VLAN跟BD關(guān)聯(lián)。本地Leaf學(xué)習(xí)到主機(jī)MAC地址生成MAC路由。然后通過BGP EVPN對等體發(fā)布路由，遠(yuǎn)端Leaf通過RT交叉接收路由。同一個VPC內(nèi)跨子網(wǎng)互通，在上述基礎(chǔ)上，還需要創(chuàng)建網(wǎng)關(guān)VBDIF接口，關(guān)聯(lián)VRF和L3VNI。本地Leaf在學(xué)習(xí)到主機(jī)ARP表項生成IRB類型路由后，通過BGP EVPN對等體發(fā)布路由，遠(yuǎn)端Leaf通過RT交叉接收路由。VPC與外部網(wǎng)絡(luò)互通業(yè)務(wù)SDN網(wǎng)絡(luò)需要與

53、外部網(wǎng)絡(luò)互訪時，需要在控制器上創(chuàng)建外部網(wǎng)絡(luò)并關(guān)聯(lián)外部網(wǎng)關(guān)，如果需要經(jīng)過防火墻，則還需要創(chuàng)建Logic VAS，然后將Logic Router、Logic VAS和外部網(wǎng)絡(luò)關(guān)聯(lián)，打通南北向業(yè)務(wù)流量。南北向互訪邏輯模型從邏輯網(wǎng)絡(luò)層面看，業(yè)務(wù)編排如下：VPC不過墻訪問外部網(wǎng)絡(luò)，先通過SDN控制器創(chuàng)建租戶和VPC，在VPC中創(chuàng)建Logic Router，然后創(chuàng)建外部網(wǎng)絡(luò)域并關(guān)聯(lián)外部網(wǎng)關(guān)，設(shè)置外部鏈路將Logic Router與外部網(wǎng)絡(luò)關(guān)聯(lián)起來。要實(shí)現(xiàn)VPC講過防火墻訪問外部網(wǎng)絡(luò)，則創(chuàng)建Logical VAS（指定防火墻邏輯資源池），關(guān)聯(lián)邏輯路由器，然后設(shè)置外部鏈路將邏輯防火墻連接到外部網(wǎng)關(guān)。南北向互訪

54、物理模型從物理網(wǎng)絡(luò)層面看，關(guān)鍵配置和路由擴(kuò)散過程如下：過墻場景設(shè)計防火墻旁掛在Border Leaf（Service Leaf合設(shè)）或者Service Leaf。在Border Leaf（Service Leaf）的租戶VRF上下發(fā)靜態(tài)路由，目的IP是指向外部網(wǎng)絡(luò)IP，下一跳為防火墻互聯(lián)地址，將此靜態(tài)路由引入到租戶VRF中，并通過BGP EVPN擴(kuò)散到Server Leaf。在Border Leaf（Service Leaf）創(chuàng)建外部網(wǎng)關(guān)出口VRF，配置指向虛機(jī)或者服務(wù)器網(wǎng)段的靜態(tài)路由，下一跳為防火墻互聯(lián)地址，Service Leaf設(shè)備分設(shè)時需要將此靜態(tài)路由引入到出口VRF，并通過BGP E

55、VPN擴(kuò)散到Border Leaf。Border Leaf上外部網(wǎng)關(guān)出口VRF與PE之間可使用靜態(tài)路由或者BGP路由。在FW的出口vsys和租戶vsys靜態(tài)路由互指，出口vsys配置靜態(tài)路由指向Border Leaf（Service Leaf）的出口VRF，租戶vsys配置靜態(tài)路由指向Border Leaf（Service Leaf）的租戶VRF。不過墻場景設(shè)計在Border Leaf（Service Leaf）上的租戶VRF和出口VRF之間配置靜態(tài)路由互指將指向外部網(wǎng)絡(luò)的靜態(tài)路由引入租戶VRF，并通過BGP EVPN擴(kuò)散到Server Leaf。Service Leaf分設(shè)時，將指向服務(wù)器或

56、虛機(jī)的靜態(tài)路由引入出口VRF，并通過BGP EVPN擴(kuò)散到Border Leaf。一個VPC可以關(guān)聯(lián)多個外部網(wǎng)關(guān)，共享類型的外部網(wǎng)關(guān)也可以被多個VPC關(guān)聯(lián)，可以根據(jù)實(shí)際業(yè)務(wù)需求選擇關(guān)聯(lián)到合適的外部網(wǎng)關(guān)。當(dāng)網(wǎng)絡(luò)中存在第三方防火墻，需要根據(jù)防火墻支持的納管情況，做合適的引流配置，詳細(xì)請參考控制器產(chǎn)品文檔。VPC間互通業(yè)務(wù)VPC將物理網(wǎng)絡(luò)動態(tài)的劃分為邏輯網(wǎng)絡(luò)資源域，包含邏輯網(wǎng)絡(luò)，邏輯VAS等邏輯單元，VPC互訪通過安全訪問控制要求的不同可分為：雙邊過墻，單邊過墻和不過墻三種，可通過SDN控制器靈活編排。VPC互通涉及場景比較多，本文對最常見的2種場景進(jìn)行介紹，各種互訪場景詳細(xì)介紹請參考設(shè)計指南SDN

57、模型基礎(chǔ)。VPC互通-雙邊過墻，F(xiàn)W同設(shè)備組，Border Leaf&Servic Leaf合設(shè)本節(jié)介紹VPC互通時雙邊過墻，且FW同設(shè)備組，Border Leaf&Servic Leaf合設(shè)的場景。本場景中邏輯模型和物理模型如下圖所示。邏輯模型和物理模型的映射說明從邏輯網(wǎng)絡(luò)層面看，業(yè)務(wù)編排如下：實(shí)現(xiàn)VPC過墻互訪，先完成兩個VPC及對應(yīng)邏輯路由器、邏輯防火墻、邏輯交換機(jī)的創(chuàng)建，然后通過VPC互通編排界面，選擇互通的源和目的VPC、源和目的邏輯路由器、需要互通的子網(wǎng)，以及源和目的防火墻等。從物理網(wǎng)絡(luò)層面看，關(guān)鍵配置和路由擴(kuò)散過程舉例如下：在VRF1內(nèi)配置到/24的靜態(tài)路由,下一跳為FW直連IP

58、（例如：ip route-static vpn-instance VRF1 ），并將該路由引入BGP vpn-instance VRF1，通告給EVPN。在VRF2內(nèi)配置到/24的靜態(tài)路由,下一跳為FW直連IP（例如：ip route-static vpn-instance VRF2 ），并將該路由引入BGP vpn-instance VRF2，通告給EVPN。下行：將靜態(tài)路由/24和/24通過BGP EVPN發(fā)送到Server Leaf，Server Leaf根據(jù)VPN RT值進(jìn)行路由選擇，不同VPN RT值不同。上行：Server Leaf將和主機(jī)路由通過BGP EVPN發(fā)送到Border

59、 Leaf（Service Leaf），Border Leaf（Service Leaf）根據(jù)VPN RT值進(jìn)行路由選擇，不同VPN RT值不同。VPC互通流量模型-不過墻本節(jié)介紹VPC互通時不經(jīng)過防火墻的場景。本場景中邏輯模型和物理模型如下圖所示。邏輯模型和物理模型的映射說明從邏輯網(wǎng)絡(luò)層面看，業(yè)務(wù)編排如下：實(shí)現(xiàn)VPC不過墻互訪，先完成兩個VPC及對應(yīng)邏輯路由器、邏輯交換機(jī)的創(chuàng)建，然后通過VPC互通編排界面，選擇互通的源和目的VPC、源和目的邏輯路由器、需要互通的子網(wǎng)等。從物理網(wǎng)絡(luò)層面看，關(guān)鍵配置和路由擴(kuò)散過程舉例如下：在VRF1內(nèi)配置到/24的靜態(tài)路由,下一跳為VRF2（例如：ip rout

60、e-static vpn-instance VRF1 vpn-instance VRF2），并將該路由引入BGP vpn-instance VRF1，通告給EVPN。在VRF2內(nèi)配置到/24的靜態(tài)路由,下一跳為VRF1（例如：ip route-static vpn-insta nce VRF2 vpn-instance VRF1 ），并將該路由引入BGP vpn-instance VRF2，通告給EVPN。下行：將靜態(tài)路由/24和/24通過BGP EVPN發(fā)送到Server Leaf，Server Leaf根據(jù)VPN RT值進(jìn)行路由選擇，不同VPN RT值不同。上行：將和路由通過BGP EVP