基于sdn的彈性基礎(chǔ)設(shè)施-liuyp

1、Securely connecting users and applications from anywhere to anywhere in todays global economy.Mobile Now for BYOD All your business applications.None of the business risk.基于SDN的彈性基礎(chǔ)設(shè)施Jordan Liu T.M.C. Array Networks (China)研討內(nèi)容SDN發(fā)展簡述當前市場主流SDN解決方案Array vAPV和vxAG云計算數(shù)據(jù)中心傳統(tǒng)網(wǎng)絡(luò)設(shè)備的架構(gòu)處理單位：CPU處理能力：K PPS處理內(nèi)容

2、：路由選擇協(xié)議，生成樹，SYSLOG，AAA，Netflow Data Export，CLI，SNMP處理單位：專屬ASIC芯片處理能力：M or B PPS處理內(nèi)容：L2交換，L3交換，MPLS轉(zhuǎn)發(fā)，VRF轉(zhuǎn)發(fā)，QoS標記，分類，限速，Netflow流采集，安全ACLControl Plane and Data Plane幫助了解SDN的兩個基本概念2012年，那是SDN的春天$1.05 BillionCash+ $210 Million in stock+SDN，源于2006年的一個實驗項目Software defined networking (SDN) is an approach t

3、o building computer networks that separates and abstracts elements of these systemsWikipediaOpenFlow的四個組件OpenFlow is a Layer 2 communication protocol that gives access to the forwarding plane of a network switch or router over the networkWikipediaOpenflow Controller CodeOFAGENTOFAGENTOFAGENTOpenflow

4、ProtocolSERVERNorthbound APIAppAppApp北向API：App通過其向網(wǎng)絡(luò)請求服務(wù)OpenFlow Controller：網(wǎng)絡(luò)元素的中央管理和操作節(jié)點OpenFlow Agent：接收來自控制器的指令，編輯設(shè)備轉(zhuǎn)發(fā)表OpenFlow協(xié)議：控制器與Agent通信的機制OpenFlow的版本演進1.0FLOW TABLEHEADER FIELDSCOUNTERSACTIONSIngressPortSourceMACDestMACEtherTypeVLANIDVLANPriorityIPSRCIPDESTIPProtocolIPTOSTCP/UDPSRCTCP/UDPD

5、EST123456789101112Per TableActive EntriesPacket LookupsPacket Matches32 Bits64 Bits64 BitsPer FlowReceived Packets64 BitsReceived Bytes64 BitsDuration (seconds)32 BitsDuration (nanoseconds)32 BitsPer QueueTransmit Packets64 BitsTransmit Bytes64 BitsTX Overrun Errors64 BitsPer PortReceived Packets32

6、BitsTransmit Packets64 BitsReceived Bytes64 BitsTransmit BytesReceived DropsTransmit DropsReceived ErrorsTransmit ErrorsReceived FrameAlignment ErrorsRX Overrun ErrorsRX CRC ErrorsCollisions64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits1，除接收端口外所有端口轉(zhuǎn)發(fā)；2，重定向到控制器；3，轉(zhuǎn)發(fā)本地CPU處理；4，執(zhí)行Flow T

7、able中的action；5，轉(zhuǎn)發(fā)到接收端口；6，轉(zhuǎn)發(fā)到目標端口；7，丟棄報文。OpenFlow的版本演進1.1包含了多個轉(zhuǎn)發(fā)表，可實現(xiàn)逐表匹配；增加了組列表用于支持組播和廣播；支持了MPLS和QinQ。IngressPortSourceMACDestMACEtherTypeVLANIDVLANPriorityIPSRCIPDESTIPProtocolIPTOSTCP/UDPSRCICMP TypeTCP/UDPDESTICMP CodeMPLSLabelMPLSTrafficClassSwitchFLOWTABLE 1SWITCH FORWARDINGENGINECPUGROUPTABLEF

8、LOWTABLE 2FLOWTABLE nOpenFlow的版本演進1.2在v1.2中支持IPv6；IngressPortSourceMACDestMACEtherTypeVLANIDVLANPriorityIPSRCIPDESTIPProtocolIPTOSTCP/UDPSRCICMP TypeTCP/UDPDESTICMP CodeMPLSLabelMPLSTrafficClassOpenFlow的版本演進1.3在v1.3中支持IPv6的擴展包頭；增加了Flow meter表提供QoS限速；Controller與Agent之間支持多鏈接；增強了對MPLS Bottom of stack(B

9、oS)、Provider Backbone Bridging (PBB)、統(tǒng)計、隧道封裝技術(shù)(如GRE)、基于流的統(tǒng)計等等。版本1.3.1增加了Controller與Agent之間的版本協(xié)商功能。SwitchFLOWTABLE 1SWITCH FORWARDINGENGINECPUGROUPTABLEFLOWTABLE 2FLOWTABLE nFLOW METERTABLEOpenFlow的版本演進1.42013年最新發(fā)布；增加了流表同步機制，多個流表可以共享相同的匹配字段，但可以定義不同的動作；增加了Bundle消息，確?？刂破飨掳l(fā)一組完整消息或同時向多個交換機下發(fā)消息的狀態(tài)一致性；支持光口

10、屬性描述，多控制器相關(guān)的流表監(jiān)控等特征。兩個組織性質(zhì)網(wǎng)絡(luò)用戶為主設(shè)備商和軟件商為主成立時間2011年2013年宗旨制定SDN標準，推動SDN產(chǎn)業(yè)化打造統(tǒng)一開放的SDN平臺，推動SDN產(chǎn)業(yè)化工作重點制定唯一的南向接口標準Openflow，制定硬件轉(zhuǎn)發(fā)行為標準不制定任何標準，而是打造一個SDN系統(tǒng)平臺，利用現(xiàn)有的一些技術(shù)標準作為南向接口跟Openflow的關(guān)系Openflow是其唯一的南向接口標準Openflow只是南向接口標準中的一個北向接口目前沒有做任何北向接口標準化的工作，但據(jù)說在考慮定義了標準化北向接口(REST API)轉(zhuǎn)發(fā)面的工作通過Openflow定義了轉(zhuǎn)發(fā)面標準行為不涉及到任何轉(zhuǎn)發(fā)

11、面工作，對轉(zhuǎn)發(fā)面不做任何假設(shè)和規(guī)定現(xiàn)在問題來了：OpenFlow和SDN是什么關(guān)系？控制層面數(shù)據(jù)層面控制器數(shù)據(jù)層面上層應(yīng)用廠商特定APIOpenFlow2a標準SDN廠商自有協(xié)議(e.g. onePK)控制器數(shù)據(jù)層面上層應(yīng)用廠商特定APIOpenFlow控制層面2b混合“SDN”上層應(yīng)用虛擬控制層面虛擬數(shù)據(jù)平面覆蓋協(xié)議(e.g. LISP, VXLAN)廠商特定API3網(wǎng)絡(luò)虛擬化和虛擬覆蓋控制層面數(shù)據(jù)層面廠商特定API上層應(yīng)用1可編程API控制層面數(shù)據(jù)層面廠商自有協(xié)議(e.g. onePK)廠商自有協(xié)議(e.g. onePK)Openstack和網(wǎng)絡(luò)覆蓋可以應(yīng)用于所有模型，無論物理還是虛擬基于

12、此，客戶可以結(jié)合自身特點進行自定義CLI, SNMP, Netflow, SDN協(xié)議不止OF，還有PCEP、BGP-LS等等另外API扮演更加重要的角色，決定了系統(tǒng)間的交互方式(REST、XML-RPC、NX-API、OnePK)研討內(nèi)容SDN發(fā)展簡述當前市場主流SDN解決方案Array vAPV和vxAG云計算數(shù)據(jù)中心主流SDN解決方案控制器數(shù)據(jù)層面上層應(yīng)用廠商特定APIOpenFlow2a標準SDN廠商自有協(xié)議(e.g. onePK)控制器數(shù)據(jù)層面上層應(yīng)用廠商特定APIOpenFlow控制層面2b混合“SDN”上層應(yīng)用虛擬控制層面虛擬數(shù)據(jù)平面覆蓋協(xié)議(e.g. LISP, VXLAN)廠商

13、特定API3網(wǎng)絡(luò)虛擬化和虛擬覆蓋控制層面數(shù)據(jù)層面廠商自有協(xié)議(e.g. onePK)BigSWAristaCiscoNonCiscoVMWareMicrosoftCisco什么叫OverlayOverlay上古時代起源10G網(wǎng)卡和無丟包以太網(wǎng)技術(shù)AdministrationFC SAN BFC SAN AVM Net 1VM Net 2VM Net 3VMotionVM Net 1 BackupVM Net 2 BackupVM Net 3 BackupVMotion BackupTwo Server LOM（Lights Out Management）Ethernet PortsTwo 1G

14、 Quad-Port NICsTwo 4G Single Port HBAs傳統(tǒng)方式Two 10G Single Port Converged Network Adapters (CNA)Integrated Admin/Mgmt (UCS)VM Net 1 BackupVM Net 2 BackupVM Net 3 BackupVMotion Backup統(tǒng)一交換FC SAN BFC SAN AVM Net 1VM Net 2VM Net 3VMotionServer NICEthernetLinkFCoE TrafficOther Networking Traffic史前的戰(zhàn)役虛擬交換機之

15、爭交換設(shè)備主機虛擬化交換設(shè)備VMVMvSwitchvSwitchvSwitchVLAN101vSwitchNexus 1000VVMotionSupervisor (VSM)Linecard (VEM)Linecard (VEM)Nexus 1000V打架傷鄰居虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的對接VM-Aware in SoftwareVM-Aware in HardwareVNLink(IEEE 802.1Qbh802.1QBRVNTAG)VM-Aware in HardwareIEEE 802.1QbgVEPA & Multi-ChannelSDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/

16、FP、OTV&LISP之戰(zhàn)VXLAN（思科、VMware、Citrix、紅帽、Arista和 ）NVGRE（微軟、Arista、英特爾、戴爾、惠普、 和Emulex）vPath（思科）ServerServerServerServerServerServerServerTop of RackServerServerServerServerServerServerServerServerServerServerServerServerTop of RackServerServerServerServerServerServerServerServerServerServerServerServer

17、Top of RackServerServerServerServerServerSubnet10.1.1.0/24Subnet10.2.1.0/24Subnet10.3.1.0/24SDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/FP、OTV&LISP之戰(zhàn)Fabric Path & TrillACI & InsiemeQfabric & MetaFabricAPIC & ContrailSDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/FP、OTV&LISP之戰(zhàn)VPLSOTV&LISP計算資源在數(shù)據(jù)中心內(nèi)部和數(shù)據(jù)中心之間自由流動IP address and sessio

18、n move with VMIP address AIP address ALocator/ID Separation ProtocolIP coreDevice IPv4 or IPv6 Address Represents Identity and LocationTodays IP BehaviorLoc/ID “Overloaded” Semantic10.1.0.1When the Device Moves, It Gets a New IPv4 or IPv6 Address for Its New Identity and Location20.2.0.9Device IPv4

19、or IPv6 Address Represents Identity Only. When the Device Moves, Keeps Its IPv4 or IPv6 Address. It Has the Same IdentityLISP BehaviorLoc/ID “Split”IP core1.1.1.12.2.2.2Only the Location Changes10.1.0.110.1.0.1Its Location Is Here!SDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/FP、OTV&LISP之戰(zhàn)SDN的世界大戰(zhàn)VXLANNVGREvPath、TR

20、ILL/FP、OTV&LISP之戰(zhàn)Overall IP MTU Increase: 36 BytesIPv4 Outer Header: Router supplies RLOCsIPv4 Inner Header:Host supplies EIDsLISP headerUDPdraft-ietf-lisp-22Locator/ID Separation ProtocolSDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/FP、OTV&LISP之戰(zhàn)OTV&VXLANSDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/FP、OTV&LISP之戰(zhàn)VMotionvSwvSwitch

21、vSwitchCISCO VN-LINKVMotionvSwvSwitchvSwitchCISCO VN-LINK集群范圍的虛擬化ServerCluster數(shù)據(jù)中心范圍的虛擬化vSwvSwitchvSwitchDataCenterCISCO VN-LINKvSwvSwitchvSwitchvSwvSwitchvSwitchDifferentData CenterCISCO VN-LINK/ ACE/ ACE / GSS / OTVIP WAN802.1Qbg802.1Qbh/BRVN-tagVXLANNVGRETRILL/FPACIQFabricOTV/LISPVPLSInsiemeMetaF

22、abric全網(wǎng)范圍的虛擬化研討內(nèi)容SDN發(fā)展簡述當前市場主流SDN解決方案Array vAPV和vxAG云計算數(shù)據(jù)中心License模型在云數(shù)據(jù)中心場景中的挑戰(zhàn)分鐘級加載點選即交付交付體驗一致付費模式預(yù)存/充值；每月賬單；費用組成包括但不限于計算資源（VM）成本、vAPVvxAG實例成本、軟件許可成本、處理流量鏈接數(shù)成本、服務(wù)成本等實例在線運行的時間，非按月、年等固定時長資源的計費粒度一致云客戶對資源埋單后，即可繼續(xù)使用產(chǎn)品，無需進一步更新License服務(wù)模式服務(wù)提供商、服務(wù)對象和服務(wù)質(zhì)量考核針對云環(huán)境中License的解決方法訂制的vAPV和vxAG版本vAPV功能模塊化vxAG建議限制v

23、Site數(shù)量和同時在線用戶數(shù)vAPV和vxAG實例的使用無日期限制、無實例數(shù)量限制產(chǎn)品使用情況由企業(yè)的云管理平臺統(tǒng)一進行管理訂制的“企業(yè)授權(quán)碼”基于“企業(yè)ID”（而非實例屬性）生成驗證碼“企業(yè)ID”是企業(yè)云平臺的獨有標識，具有區(qū)別其他平臺的特征企業(yè)云平臺在實例的初始化過程中將授權(quán)碼與IP、MAC等信息一并寫入實例vAPV和vxAG實例在啟動過程中對授權(quán)碼進行驗證針對云環(huán)境中License的解決方法授權(quán)碼的加密傳輸機制企業(yè)公鑰密鑰對企業(yè)云平臺將授權(quán)碼加密后，在網(wǎng)絡(luò)中傳輸vAPV和vxAG實例本地將信息解密，獲得驗證碼Image外流風(fēng)險的應(yīng)對通過合作協(xié)議條款，防止Image外流通過授權(quán)碼，防止外流

24、Image在其他平臺隨意使用通過加密傳輸手段，防止授權(quán)碼在傳輸過程中被竊取收益模型基于企業(yè)報表信息雙方分成；版權(quán)買斷PODVPC針對云環(huán)境中License的解決方法深度整合vAPVvFWvSwitchvRoutervxAGVMvStorageControllerArray基于“企業(yè)ID”形成授權(quán)碼后臺Controller加密存儲授權(quán)碼基于POD形成VPC用戶配置形成虛擬資源用戶開啟vAPV、vxAG后臺Controller配置鏡像下發(fā)IP、MAC地址等實例屬性下發(fā)授權(quán)碼鏡像本地解密并驗證授權(quán)碼設(shè)備啟用Array授權(quán)碼授權(quán)碼授權(quán)碼實例屬性實例屬性PODVPC腦洞大開：私有云環(huán)境中的License

25、 CentervAPVvFWvSwitchvRoutervxAGVMvStorageControllerArray許可控制器(ALC)生成授權(quán)碼ALC加密存儲授權(quán)碼基于POD形成VPC用戶配置形成虛擬資源用戶開啟vAPV、vxAG后臺Controller配置鏡像下發(fā)IP、MAC地址等實例屬性虛擬實例向ALC注冊申請許可ALC發(fā)送許可給申請的虛擬實例虛擬實例本地解密并驗證授權(quán)碼設(shè)備啟用ArrayLicense Center授權(quán)碼實例屬性實例屬性授權(quán)碼授權(quán)碼OrVMAVXVPC腦洞大開：NFVvGSLBvxAGController借助AVX平臺或平臺內(nèi)計算資源AVX的高I/O能力虛擬實例容量的彈性

26、化APV和AG功能明細化和虛擬化實例細分功能完整性和專一性實例性能與底層平臺資源解耦和SpeedCore平臺兼容性硬件處理卡商用統(tǒng)一的License控制器動態(tài)License交付云平臺調(diào)度實例屬性實例屬性vSSL OffloadvSLBvLLB pressvCachevContent RewritevWAFArrayLicense Center授權(quán)碼vPortal腦洞大開：對LISP的支持，補充GSLBNon-LISP siteEast-DCLISP siteIP NetworkETREID-to-RLOCmapping172.16.1.1172.16.2.11.1.1.13.3.3.3172.16.10.12.2.2.210.2.1.0/24172.16.3.1172.16.4.110.1.1.0/24West-DCPiTR4.4.4.410.3.0.0/24Non-LISP siteITRSDDNS entry: A 10.1.1.8110.3.0.1 - 10.1.1.82EID-prefix: 10.1.1.0/24Locator-set: 172.16.1.1, priority: 1, weight: 50 (D1) 172.16.2.1, priority: 1, weight: 50 (D2)Mapping