XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案模板

XXX項目SDN數(shù)據(jù)中心網(wǎng)絡(luò)

解決方案（模板）XX集團XXX.XXX.XXXXXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）目錄TOC\o"1-5"\h\z乂乂乂項目建設(shè)背景 4項目背景 4\o"CurrentDocument"項目目標(biāo) 4\o"CurrentDocument"項目需求 4XXSDN技術(shù)發(fā)展及產(chǎn)品現(xiàn)狀 4XXSDN技術(shù)發(fā)展現(xiàn)狀 4XXSDN市場地位 5XXSDN解決方案 6XXX項目SDN網(wǎng)絡(luò)解決方案 6方案設(shè)計原則 6整體建設(shè)方案 8\o"CurrentDocument"整體組網(wǎng)設(shè)計 9\o"CurrentDocument"單Fabric組網(wǎng)設(shè)計 10\o"CurrentDocument"方案主要功能 11XXSDN服務(wù)支持 20SDN部署服務(wù) 20SDN軟件技術(shù)支持服務(wù) 20SDN開發(fā)者技術(shù)支持服務(wù) 20SDN解決方案規(guī)劃咨詢服務(wù) 20SDNAPP定制開發(fā)服務(wù) 21\o"CurrentDocument"XXSDN下一代數(shù)據(jù)中心優(yōu)勢 21\o"CurrentDocument"整網(wǎng)設(shè)計架構(gòu)開放、標(biāo)準(zhǔn)、兼容 22\o"CurrentDocument"可靠性設(shè)計 22\o"CurrentDocument"安全融合，符合等保建設(shè)要求 23\o"CurrentDocument"架構(gòu)彈性設(shè)計 23\o"CurrentDocument"端到端全流程自動化 25\o"CurrentDocument"可視化運維管理便捷 25第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）XXX項目建設(shè)背景項目背景XXX項目目標(biāo)基于以上項目背景和需求，本次XXXX網(wǎng)絡(luò)建設(shè)設(shè)計需要滿足未來較長一段時期的基礎(chǔ)設(shè)施部署需求，并借助本次XXXX網(wǎng)絡(luò)部署的獨立性，運用VXLAN、SDN主流技術(shù)對當(dāng)前數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行優(yōu)化，以適應(yīng)未來網(wǎng)絡(luò)架構(gòu)的發(fā)展需求。本項目的具體目標(biāo)如下：.建設(shè)XXXX機房網(wǎng)絡(luò)基礎(chǔ)設(shè)施。.數(shù)據(jù)中心網(wǎng)絡(luò)至少需要支持未來的生產(chǎn)系統(tǒng)、業(yè)務(wù)系統(tǒng)部署需求。業(yè)務(wù)上線時間由原先的平均30天，縮短到分鐘級別。.結(jié)合xx公司IT總體的規(guī)劃，對XXXX的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行必要的優(yōu)化，以適應(yīng)新時期的業(yè)務(wù)部署、安全運行、提高IT管理水平的需求，網(wǎng)絡(luò)方案要保持一定的先進(jìn)性。4,采用先進(jìn)的數(shù)據(jù)中心設(shè)計理念，能夠支持新一代應(yīng)用架構(gòu)，適用于未來5-7年的IT技術(shù)發(fā)展，可以最大程度的保護(hù)數(shù)據(jù)和業(yè)務(wù)連續(xù)性。項目需求在XXXX建設(shè)過程中，主要有以下幾方面需求。業(yè)務(wù)需求如何更加快速地部署業(yè)務(wù)應(yīng)用，為企業(yè)業(yè)務(wù)系統(tǒng)提供更及時、更便利的網(wǎng)絡(luò)服務(wù)，提升企業(yè)的運行效率與競爭實力，也是當(dāng)前企業(yè)數(shù)據(jù)中心使用中面臨的挑戰(zhàn)之一。因此，當(dāng)前數(shù)據(jù)中心的建設(shè)必須考慮如何實現(xiàn)快速上線業(yè)務(wù)、快速響應(yīng)需求、提高部署效率。網(wǎng)絡(luò)需求服務(wù)器虛擬化使高效利用IT資源，降低企業(yè)運營成本成為可能。服務(wù)器內(nèi)第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案(模板)多虛擬機之間的交互流量，傳統(tǒng)網(wǎng)絡(luò)設(shè)備無法感知，也不能進(jìn)行流量監(jiān)控和必要的策略控制。虛擬機的靈活部署和動態(tài)遷移需要網(wǎng)絡(luò)接入側(cè)做相應(yīng)的調(diào)整，在遷移時保持業(yè)務(wù)不中斷。虛擬機遷移的物理范圍不應(yīng)過小，否則無法充分利用空閑的服務(wù)器資源。遷移后虛擬機的IP地址不改變，以保持業(yè)務(wù)不中斷，因此對數(shù)據(jù)中心網(wǎng)絡(luò)提出了大二層的需求。安全需求數(shù)據(jù)中心對網(wǎng)絡(luò)安全性的需求是最基本的需求。安全性設(shè)計包括物理空間的安全控制及網(wǎng)絡(luò)的安全控制。系統(tǒng)設(shè)計從整體方案上需要考慮端對端的安全，保證安全、綠色的使用資源。運維需求高效的運維是數(shù)據(jù)中心運營成功的基礎(chǔ)。數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備和IT資源呈現(xiàn)數(shù)量大、廠商多、運行配置復(fù)雜的特點，如何簡化企業(yè)數(shù)據(jù)中心的運維管理、降低人工運維成本，是當(dāng)前企業(yè)數(shù)據(jù)中心發(fā)展面臨的重要挑戰(zhàn)。在采用虛擬化技術(shù)后，數(shù)據(jù)中心網(wǎng)絡(luò)延伸到服務(wù)器內(nèi)部，如何對包括虛擬設(shè)備在內(nèi)的多類設(shè)備進(jìn)行統(tǒng)一管理、實現(xiàn)網(wǎng)絡(luò)流量的精細(xì)化管理和網(wǎng)絡(luò)故障的快速定位，都是對云計算時代數(shù)據(jù)中心運維的基本需求。在數(shù)據(jù)中心業(yè)務(wù)場景中，面向應(yīng)用的運維管理目前正變得越來越迫切，如應(yīng)用間/內(nèi)的交互數(shù)據(jù)統(tǒng)計，帶寬占用情況，數(shù)據(jù)轉(zhuǎn)發(fā)路徑鏈路質(zhì)量，會話連接故障分析等精細(xì)化運維管理正成為用戶廣泛的訴求，上述運維手段的實現(xiàn)將對減輕人工運維壓力，快速故障響應(yīng)，提升用戶業(yè)務(wù)體驗等方面都將獲得顯著效果。2XXX項目SDN網(wǎng)絡(luò)解決方案XXSDN解決方案做為國內(nèi)領(lǐng)先的網(wǎng)絡(luò)設(shè)備供應(yīng)廠商，XX在SDN領(lǐng)域同樣有著深厚的積累，能夠提供從SDN設(shè)備、SDN控制器(Controller).SDN業(yè)務(wù)編排、SDN應(yīng)用與SDN管理等全套SDN解決方案的廠商。與傳統(tǒng)網(wǎng)絡(luò)設(shè)備與解決方案不同，XX的SDN第27頁共29頁SDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案(模板)設(shè)備、SDN控制器與整個SDN解決方案都提供了豐富、標(biāo)準(zhǔn)與開放的可編程接口(API),使得用戶能夠針對自己網(wǎng)絡(luò)的特點使用這些可編程接口來開發(fā)網(wǎng)絡(luò)應(yīng)用，并通過網(wǎng)絡(luò)應(yīng)用對網(wǎng)絡(luò)進(jìn)行智能掌控，從而實現(xiàn)網(wǎng)絡(luò)與用戶業(yè)務(wù)及應(yīng)用的無縫集成。方案設(shè)計原則乂乂乂項目從業(yè)務(wù)實際需求出發(fā)，充分利用信息技術(shù)優(yōu)勢，從大處著眼，小處著手，與用戶共同建設(shè)一個目標(biāo)明確、管理清晰、執(zhí)行順利、平穩(wěn)運行的項目，在系統(tǒng)的建設(shè)和管理過程中，我們將遵循以下原則：1、注重頂層設(shè)計、統(tǒng)籌規(guī)劃，分步實施原則在項目的整體規(guī)劃和總體設(shè)計階段做好統(tǒng)一設(shè)計、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)范，然后分層、分階段、逐步建設(shè)，關(guān)注每個階段的產(chǎn)出和成果，在統(tǒng)一的目標(biāo)下逐步完成整個項目的策略、需求、分析、設(shè)計、研發(fā)、測試、部署、試運行、培訓(xùn)、運維等工作。同時充分發(fā)揮各類項目相關(guān)人的知識能動性，為XXX提供信息化建設(shè)的咨詢指導(dǎo)。2、強化應(yīng)用建設(shè)，突出應(yīng)用，關(guān)注實用原則XXX建設(shè)項目的建設(shè)效果和建設(shè)思路直接體現(xiàn)了XXX建設(shè)項目最直接的產(chǎn)出。因此，我們在建設(shè)項目過程中，將重點突出項目的應(yīng)用目的，關(guān)注實用價值，以應(yīng)用和需求為主導(dǎo)，并在建設(shè)的過程中基于XXX業(yè)務(wù)服務(wù)的要求、IT技術(shù)的發(fā)展，邊建設(shè)、邊開發(fā)、邊應(yīng)用、邊完善，讓應(yīng)用的實際效果作為項目直接驅(qū)動要素。3、追求架構(gòu)先進(jìn)、技術(shù)成熟，擴展性強原則項目建設(shè)中所采用的技術(shù)架構(gòu)，在一定程度上影響著項目的穩(wěn)定性，也影響到項目未來的發(fā)展。因此在實施過程中我們將放眼長遠(yuǎn)，在保證可靠的基礎(chǔ)上，盡量采用先進(jìn)的網(wǎng)絡(luò)技術(shù)、應(yīng)用平臺和開發(fā)工具，使XXX系統(tǒng)建設(shè)項目具有較長的生命周期。4、經(jīng)濟實用、節(jié)約成本原則無論在產(chǎn)品的選型、技術(shù)的選擇中，我們都要考慮成本的約束，其中不僅考慮當(dāng)前采購的經(jīng)濟性，還要考慮系統(tǒng)長期運維的經(jīng)濟性，即系統(tǒng)的總擁有成本，第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）盡力選擇既經(jīng)濟可行又長期保障的產(chǎn)品和技術(shù)。5、確保安全、保護(hù)隱私原則在系統(tǒng)建設(shè)中要充分考慮到系統(tǒng)安全性以及敏感信息的隱私性，避免數(shù)據(jù)出現(xiàn)在共享信息里，從網(wǎng)絡(luò)系統(tǒng)、硬件子系統(tǒng)、軟件子系統(tǒng)的設(shè)計都要充分考慮安全保密，采用安全可靠的技術(shù)，保證建成的系統(tǒng)穩(wěn)定運行。6、重視資源、強調(diào)成長原則在項目建設(shè)的過程中，注重信息資源和人力資源的管理，在數(shù)據(jù)資源方面，注重網(wǎng)絡(luò)資源共享的效率性，實現(xiàn)網(wǎng)絡(luò)互連、信息互通、資源共享，應(yīng)用交互與協(xié)同的網(wǎng)絡(luò)環(huán)境，同時注重各級人力資源配置的合理性，做好培訓(xùn)工作，與甲方的工作人員共同成長，充分發(fā)揮資源效能。7、保護(hù)投資、充分利舊原則在本項目建設(shè)過程中，充分利用現(xiàn)有資源，防止新鋪攤子和重復(fù)建設(shè)，所有建設(shè)內(nèi)容都依托現(xiàn)有條件和隊伍進(jìn)行建設(shè)，充分利用現(xiàn)有的資源、成果、設(shè)備，不搞重復(fù)建設(shè)。8、先進(jìn)性和成熟性遵守先進(jìn)性、可行性、成熟性，以保證系統(tǒng)的互操作性、兼容性、可維護(hù)性、可擴展性，并對前期投資有較好的保護(hù)。9、一致性和復(fù)用性本項目建設(shè)應(yīng)充分考慮業(yè)務(wù)需求，要最大限度利用已有的資源，以減少重復(fù)投資，提高投資收益率。10、實施有序性統(tǒng)籌協(xié)調(diào)，建立相關(guān)管理制度，加強管理和指導(dǎo)，確保協(xié)調(diào)推進(jìn)，有序?qū)嵤?，保證項目能夠順利、按時完成。整體建設(shè)方案由于數(shù)據(jù)中心云計算流量類型和流量突發(fā)的復(fù)雜性，希望全網(wǎng)實現(xiàn)clos架構(gòu)，如何避免環(huán)路，充分利用帶寬鏈路且實現(xiàn)負(fù)載均衡是網(wǎng)絡(luò)非常關(guān)心的問題。之前的stp會導(dǎo)致鏈路block，導(dǎo)致鏈路帶寬浪費，其他的TRILL/SPB實現(xiàn)復(fù)雜，支持設(shè)備較少，且無法實現(xiàn)L2隧道終結(jié)和L3轉(zhuǎn)發(fā)在同一臺設(shè)備上。XXSDN數(shù)第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）據(jù)中心解決方案，能夠充分利用分布式控制的優(yōu)勢，根據(jù)全局網(wǎng)絡(luò)拓?fù)?，基于流進(jìn)行路徑規(guī)劃，將網(wǎng)絡(luò)流量分散到不同路徑上去，在避免環(huán)路的同時實現(xiàn)了鏈路之間的負(fù)載均衡，和鏈路故障冗余切換，從而提高鏈路的利用率。整體組網(wǎng)設(shè)計加入方案整體網(wǎng)絡(luò)設(shè)計，如下參考:按照數(shù)據(jù)中心業(yè)務(wù)分區(qū)，構(gòu)建四強abric網(wǎng)絡(luò)，分別為生產(chǎn)云DMZ、服務(wù)保障區(qū)DMZ、生產(chǎn)云內(nèi)網(wǎng)、服務(wù)保障區(qū)內(nèi)網(wǎng)，每個己族3網(wǎng)絡(luò)部署一套SDN控制器集群，一套Openstack云平臺，SDN控制器和Openstack平臺通過Neutron實現(xiàn)對接，形成四朵云。同時，從穩(wěn)定性、高效運維、彈性擴展方面考慮，四的bric采用相同的組網(wǎng)架構(gòu)，根據(jù)業(yè)務(wù)規(guī)模控制器網(wǎng)絡(luò)的規(guī)模，實現(xiàn)投入產(chǎn)出的最大化。第27頁共29頁

XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）單Fabric組網(wǎng)設(shè)計整網(wǎng)架構(gòu)采用Spine+Leaf兩層結(jié)構(gòu)設(shè)計,Leaf分為BorderLeaf（出口），ServerLeaf（TOR服務(wù)器接入）、ServiceLeaf（安全資源池接入），將支持MP-BGPEVPN功能的交換機作為數(shù)據(jù)中心架構(gòu)中的Spine交換設(shè)備；TOR接入?yún)^(qū)分為計算資源接入和安全資源池接入。控制平面采用MP-BGPEVPN協(xié)議，數(shù)據(jù)平面采用VXLAN。Underlay采用OSPF路由協(xié)議，Spine為iBGPRR角色；OverlayVXLANL3/L2網(wǎng)關(guān)部署在LEAF節(jié)點，LEAF采用40G上行接入SPINE節(jié)點。同時LEAF可以為服務(wù)器提供1G/10G/25G服務(wù)器接入能力。東西向安全，利用安全資源池為邏輯區(qū)域間訪問提供安全控制和LB服務(wù)。運維管理區(qū)部署VCFDirector（VCFD）、SDN控制器（VCFC）、云平臺等。VCFD實現(xiàn)對數(shù)據(jù)中心基礎(chǔ)設(shè)施自動化部署及Overlay網(wǎng)絡(luò)運行維護(hù)監(jiān)控，VCFC控制器實現(xiàn)對Overlay網(wǎng)絡(luò)的調(diào)度管理，通過帶外管理方式管理業(yè)務(wù)區(qū)，其中SDN控制器可以與原生標(biāo)準(zhǔn)OpenStack云平臺對接，對于其他非Openstack云平臺或非原生Openstack云平臺（經(jīng)過二次開發(fā)），可以通過控制器RestfulApi方式進(jìn)行對接，需要評估第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）開發(fā)工作量。3.2.3方案設(shè)備選型方案擬采用如下設(shè)備選型：（按照下面維度列舉，說明選型建議和考慮因素直接附配置清單Spine:Leaf：Border：ED：3.2.4方案主要功能/SDN、EVPN、VXLAN：通過SDN、EVPN和VXLAN技術(shù)，支持業(yè)務(wù)應(yīng)用系統(tǒng)運行自虛擬網(wǎng)絡(luò)環(huán)境中，使得業(yè)務(wù)網(wǎng)絡(luò)不再受限于物理網(wǎng)絡(luò)設(shè)備位置限制，實現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)按需自動化部署。/服務(wù)鏈：當(dāng)通過服務(wù)鏈，用戶可以依據(jù)自身業(yè)務(wù)需求，自定義業(yè)務(wù)的安全訪問路徑。這樣使得用戶可以對業(yè)務(wù)應(yīng)用系統(tǒng)靈活的實施安全防護(hù)策略。/VPC租戶：在云平臺為租戶提供私有云環(huán)境，這樣使得租戶間從邏輯上完全隔離。從而保證租戶間業(yè)務(wù)應(yīng)用系統(tǒng)相互沒有任何影響。例如，租戶間業(yè)務(wù)應(yīng)用IP地址重疊了，也不會互相影響。/第三方安全設(shè)備東西向引流，可納管第三方安全設(shè)備，目前實施項目中已經(jīng)對接過的廠商有F5、山石、迪普等，對于在Openstack社區(qū)中提供安全設(shè)備插件接口的其他廠家，同樣可以納管。/支持多層級端口綁定特性，突破4KVXLAN限制特性，可對接OpenstackVLAN組網(wǎng)和OpenstackVXLAN組網(wǎng)。/Underlay自動化支持路由協(xié)議包含OSPF、ISIS。/Overlay自動化支持配置按需下發(fā)。第27頁共29頁

XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）帶外管理網(wǎng)Underlay自動化帶外管理網(wǎng)Fabric^]

自動配置

可視化部署

黃源納管Underlay自動化功能，由FabricDirector軟件和Spine-Leaf網(wǎng)絡(luò)設(shè)備配合完成。Fabric規(guī)劃開始自動化部署之前，需要先根據(jù)用戶需求完成準(zhǔn)備工作，包括以下步驟：.物理設(shè)備連線，安裝Director軟件，通過帶外管理交換機將Director和物理設(shè)備管理口接入三層可達(dá)的管理網(wǎng)絡(luò)。.根據(jù)用戶需求完成Underlay網(wǎng)絡(luò)規(guī)劃，包括IP地址、可靠性、路由部署規(guī)劃等，規(guī)劃完成后，自動生成Spine-Leaf規(guī)劃拓?fù)洹?通過Director完成Underlay自動化預(yù)配置1）通過Director完成DHCP服務(wù)器、TFTP服務(wù)器的部署和參數(shù)設(shè)置2）基于Spine/Leaf角色，通過Director完成設(shè)備軟件版本和配置模板文件的準(zhǔn)備3）指定Fabric的RR、Border角色，支持指定多個Spine/Leaf作為Border.2自動配置Underlay網(wǎng)絡(luò)自動配置的目的是為Overlay自動化提供一個IP路由可達(dá)的三層網(wǎng)絡(luò)，包括以下步驟：.設(shè)備上電，基于Spine/Leaf角色，自動獲取管理IP、版本文件、配置模板.根據(jù)拓?fù)鋭討B(tài)生成配置第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）.自動配置IRF.自動配置Underlay路由協(xié)議，可選OSPF、ISIS.可視化部署Director根據(jù)IP地址段掃描已經(jīng)上線的設(shè)備，生成Underlay自動化過程中的動態(tài)拓?fù)?，并在該拓?fù)渖蠈崟r呈現(xiàn)自動化狀態(tài)和進(jìn)度：.自動化開始設(shè)備根據(jù)角色加載版本，并獲取配置文件模板，開始自動化配置過程，進(jìn)入設(shè)備自動化開始狀態(tài)。.查看實時IRF狀態(tài)設(shè)備加入IRF時，支持上報設(shè)備IRF開始；設(shè)備加入IFR完成后，支持上報設(shè)備IRF結(jié)束；設(shè)備出現(xiàn)故障等導(dǎo)致IRF分裂，支持上報設(shè)備離開IRF。.查看實時拓?fù)錉顟B(tài)支持上報設(shè)備互連接口UP、DOWN狀態(tài)；設(shè)備互連接口獲取IP，路由收斂后，支持上報設(shè)備間Spine和Leaf鏈路三層連通性狀態(tài)；設(shè)備互連接口獲取IP，路由收斂后，支持上報鏈路連通狀態(tài)的整網(wǎng)檢測結(jié)果。.自動化結(jié)束支持Fabric自動化過程結(jié)束狀態(tài)上報。.資源納管Underlay網(wǎng)絡(luò)自動化完成后，所有參與自動化的物理網(wǎng)絡(luò)設(shè)備自動被Director納管。Overlay自動化-對接OpenStackUnderlay自動化完成后，用戶可以從云平臺界面按需配置虛擬網(wǎng)絡(luò)模型，或者直接在SDN控制器的界面完成同樣的工作，兩種情況下，均由SDN控制器將虛擬網(wǎng)絡(luò)模型轉(zhuǎn)換為Overlay配置下發(fā)到設(shè)備。當(dāng)用戶通過云平臺進(jìn)行配置時，在創(chuàng)建接入主機的虛擬L2網(wǎng)絡(luò)時可以選擇第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）VLAN網(wǎng)絡(luò)、VxLAN網(wǎng)絡(luò)等類型。.1支持OpenStackVLAN網(wǎng)絡(luò)當(dāng)租戶使用VLAN網(wǎng)絡(luò)時，需要提前進(jìn)行的準(zhǔn)備工作如下：在VCFC上為該VLAN網(wǎng)絡(luò)配置VxLAN-VLAN映射關(guān)系如果配置下發(fā)方式為預(yù)下發(fā)，配置完成后會立刻下發(fā)到指定的設(shè)備所有端口或指定端口；如果配置下發(fā)方式為按需下發(fā)，在VM上線后再下發(fā)到VM上線端口。準(zhǔn)備完成后，租戶申請VM的整個處理流程如下：1.租戶在云平臺界面創(chuàng)建VM1）云平臺租戶根據(jù)業(yè)務(wù)需求，創(chuàng)建VM，并接入指定VLANNetwork，分配到對應(yīng)VLANID及IP地址Neutron組件為該VM分配接入VLAN網(wǎng)絡(luò)的vPortNova組件將VM創(chuàng)建請求下發(fā)到選定計算節(jié)點計算節(jié)點創(chuàng)建VM成功1）計算節(jié)點為VM分配云平臺指定的計算資源配額（CPU、內(nèi)存、磁盤空間等），VM創(chuàng)建成功2）計算節(jié)點上運行的NovaAgent通知Nova組件VM創(chuàng)建成功，Nova相關(guān)處理完成第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）計算節(jié)點上運行的NeutronAgent向NeutronServer請求該VM分配到的VLANID,并配置在vSwitch上，保證VM啟動后發(fā)出的報文經(jīng)由vSwitch上送到交換機時攜帶該VLANIDNeutron將相關(guān)信息下發(fā)到VCFCVM創(chuàng)建成功，NeutronServer將分配給該VM的vPort信息、IP地址下發(fā)到SDN控制器VCFC。VM創(chuàng)建成功后，用戶啟動VM，開始正常使用，整個流程如下：VM啟動并上線用戶啟動VM，VM上線，發(fā)送DHCP請求（廣播報文）。VCFC處理DHCP代答及VM上線1）如果部署了獨立DHCP服務(wù)器，不需要VCFC進(jìn)行DHCP代答，則跳過此步驟2）如果需要VCFC進(jìn)行DHCP代答，Leaf通過Openflow通道將DHCP請求上送到VCFC，VCFC使用VM創(chuàng)建成功時Neutron下發(fā)的IP地址構(gòu)造DHCP應(yīng)答報文，經(jīng)由Leaf發(fā)送給VMVCFC將VM對應(yīng)的vPort狀態(tài)標(biāo)記為上線，如果配置下發(fā)方式是按需下發(fā)，此時會將提前在VCFC界面配置的VxLAN-VLAN映射關(guān)系下發(fā)到Leaf接入該VM的端口上VM發(fā)送首個報文VM在發(fā)送首個業(yè)務(wù)報文前，先發(fā)送針對其目的訃的ARP請求，獲取其目的IP對應(yīng)的MAC地址。Leaf進(jìn)行ARP處理Leaf復(fù)制ARP請求上送控制器Leaf根據(jù)當(dāng)前配置，進(jìn)行ARP代理/代答應(yīng)答處理VCFC進(jìn)行ARP處理如果部署了獨立DHCP服務(wù)器,VCFC未進(jìn)行DHCP代答,此時該VM對應(yīng)的vPort在VCFC處并未上線；VCFC收到Leaf上送的ARP請求后，將VM對應(yīng)的vPort狀態(tài)標(biāo)記為上線，如果配置下發(fā)方式是按需下發(fā)，此時會將提前在VCFC界面配置的VxLAN-VLAN映射關(guān)系下發(fā)到Leaf接入該VM的端口上。經(jīng)過上述流程處理，租戶VM創(chuàng)建及上線均已完成，可以基于虛擬VLAN網(wǎng)絡(luò)進(jìn)行正常通信。層次化端口綁定云平臺租戶使用OpenStackVLAN網(wǎng)絡(luò)類型時，受限于4KVLAN限制，最多只能創(chuàng)建不超過4K的L2虛擬網(wǎng)絡(luò)。第27頁共29頁

XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）如果使用OpenStackVxLAN網(wǎng)絡(luò)類型，在云平臺上沒有4KVLAN限制；當(dāng)云平臺將虛擬網(wǎng)絡(luò)模型下發(fā)到VCFFabric時，就形成了如下圖示的分層網(wǎng)絡(luò):Spine-Leaf、Leaf-Leaf是VxLAN網(wǎng)絡(luò)，其SegmentID（L2廣播域標(biāo)識符）為VxLANID，通過VxLANID區(qū)分不同的L2虛擬網(wǎng)絡(luò)Leaf到計算節(jié)點間是VLAN網(wǎng)絡(luò)，其SegmentID（L2廣播域標(biāo)識符）為VLANID，通過VLANID區(qū)分不同的L2虛擬網(wǎng)絡(luò)不同層級的網(wǎng)絡(luò)，由Neutron組件中對應(yīng)的MechanismDriver對接管理-+ 十I I|CoreSwitch| 1 |rIVXLATJ+ 1 |rIVXLATJ+——卡-WCLAN IToRSwitch 1 1 ——1-VLAN | | VLAN+ + q kI !\o"CurrentDocument"I I I ICompute| | Compute| Hode ] | Node\o"CurrentDocument"I 1 I Iq + -I -++ +Ml?■■■ ■■1^^|ToRSwitch|! ：VLATJ| |VLAN+ + 4 +I I\o"CurrentDocument"I 1 1 1Compute| | Compute| No-de | | Node |\o"CurrentDocument"I I 1 1q 4 ——+對于分層網(wǎng)絡(luò)，為了保證VM可以接入并正常使用端到端的L2虛擬網(wǎng)絡(luò)，必須解決以下2個問題：問題1：對同一VM（vPort），不同層級網(wǎng)絡(luò)的SegmentID如何形成映射關(guān)系問題2：如果SegmentID間是靜態(tài)1:1映射關(guān)系，且下層網(wǎng)絡(luò)為VLAN網(wǎng)絡(luò)，則端到端的二層廣播域數(shù)量將受到VLAN4K限制為了解決上述問題，OpenStack從Liberty版本開始，正式引入層次化端口綁定特性。解決問題1：通過不同MechanismDriver配合，為同一主機在各層網(wǎng)絡(luò)分配對應(yīng)的SegmentID解決問題2：下層網(wǎng)絡(luò)（VLAN網(wǎng)絡(luò)）使用動態(tài)分配的SegmentID1）在下層網(wǎng)絡(luò)對應(yīng)的MechanismDriver中，為每個計算節(jié)點建立獨立的SegmentID范圍第27頁共29頁

XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）2）當(dāng)接入某vPort的VM需要分配SegmentID時，上層網(wǎng)絡(luò)（VxLAN網(wǎng)絡(luò)）分配靜態(tài)ID,下層網(wǎng)絡(luò)（VLAN網(wǎng)絡(luò)）從主機所在計算節(jié)點的SegmentID范圍中分配動態(tài)ID3）當(dāng)VM（vPort）遷移到新的計算節(jié)點，上層網(wǎng)絡(luò)的靜態(tài)ID保持不變，下層網(wǎng)絡(luò)從新計算節(jié)點的SegmentID范圍中再次分配新的動態(tài)ID4）按上述實現(xiàn)，單個計算節(jié)點上的VM所接入的虛擬網(wǎng)絡(luò)不能超過4K，整網(wǎng)無此限制.1.2.3支持OpenStackVxLAN網(wǎng)絡(luò)2計算市總宜I2計算市總宜I建VM,成功%—wMCFCa行LLDP處理9VCFCS^ARPM5UM啟動并上媒一,7UM發(fā)送首個報文租戶使用VxLAN網(wǎng)絡(luò)時，需要提前進(jìn)行的準(zhǔn)備工作如下：在Neutron組件配置文件中，為每個計算節(jié)點配置獨立的VLAN范圍，不同節(jié)點的VLAN范圍可以重疊承載VM的物理服務(wù)器需要啟用LLDP協(xié)議，向Leaf設(shè)備定期發(fā)送LLDP報文（Leaf設(shè)備的LLDP協(xié)議已經(jīng)在Underlay自動化時開啟）準(zhǔn)備完成后，租戶申請VM的整個處理流程如下：1.租戶在云平臺界面創(chuàng)建VM1）云平臺租戶根據(jù)業(yè)務(wù)需求，創(chuàng)建VM，并接入指定VxLANNetwork,分配到對應(yīng)VxLANID及IP地址Nova組件將VM創(chuàng)建請求下發(fā)到選定計算節(jié)點Neutron組件為該VM分配接入VxLAN網(wǎng)絡(luò)的vPort，同時從選定計算節(jié)點的VLAN范圍中，為該VxLANID分配對應(yīng)VLANID第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）計算節(jié)點創(chuàng)建VM成功1）計算節(jié)點為VM分配云平臺指定的計算資源配額（CPU、內(nèi)存、磁盤空間等），VM創(chuàng)建成功2）計算節(jié)點上運行的NovaAgent通知Nova組件VM創(chuàng)建成功，Nova相關(guān)處理完成計算節(jié)點上運行的NeutronAgent向NeutronServer請求該VM分配到的VLANID，并配置在vSwitch上，保證VM啟動后發(fā)出的報文經(jīng)由vSwitch上送到交換機時攜帶該VLANIDNeutron將相關(guān)信息下發(fā)到VCFCVM創(chuàng)建成功，Neutron組件的VCFCMechanismDriver將分配給該VM的vPort信息、IP地址下發(fā)到SDN控制器VCFC。VCFC處理LLDP報文Leaf收到計算節(jié)點定期發(fā)送的LLDP報文，將其通過Openflow通道上送給VCFCVCFC收至1」Leaf上送的計算節(jié)點LLDP報文后，從中解析得到該計算節(jié)點當(dāng)前接入的端口信息，填寫到該計算節(jié)點上當(dāng)前已創(chuàng)建VM的vPort信息中，形成完整的VxLAN-VLAN映射關(guān)系（VxLANID、VLANID、計算節(jié)點接入端口）；如果配置下發(fā)方式為預(yù)下發(fā)，立刻下發(fā)到該端口；如果配置下發(fā)方式為按需下發(fā)，在VM上線后再下發(fā)到該端口VM創(chuàng)建成功后，用戶啟動VM,開始正常使用，整個流程如下：VM啟動并上線用戶啟動VM,VM上線，發(fā)送DHCP請求（廣播報文）。VCFC處理DHCP代答及VM上線1）如果部署了獨立DHCP服務(wù)器，不需要VCFC進(jìn)行DHCP代答，則跳過此步驟2）如果需要VCFC進(jìn)行DHCP代答，Leaf通過Openflow通道將DHCP請求上送到VCFC,VCFC使用VM創(chuàng)建成功時Neutron下發(fā)的IP地址構(gòu)造DHCP應(yīng)答報文，經(jīng)由Leaf發(fā)送給VMVCFC將VM對應(yīng)的vPort狀態(tài)標(biāo)記為上線，如果配置下發(fā)方式是按需下發(fā)，此時會將該vPort的VxLAN-VLAN映射關(guān)系下發(fā)到Leaf接入該VM的端口上VM發(fā)送首個報文VM在發(fā)送首個業(yè)務(wù)報文前，先發(fā)送針對其目的訃的ARP請求，獲取其目的IP對應(yīng)的MAC地址。Leaf進(jìn)行ARP處理Leaf復(fù)制ARP請求上送控制器Leaf根據(jù)當(dāng)前配置，進(jìn)行ARP代理/代答應(yīng)答處理VCFC進(jìn)行ARP處理如果部署了獨立DHCP服務(wù)器，VCFC未進(jìn)行DHCP代答，此時該VM對應(yīng)的vPort在VCFC處并未上線；VCFC收到Leaf上送的ARP請求后，將VM對應(yīng)的vPort狀第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）態(tài)標(biāo)記為上線，如果配置下發(fā)方式是按需下發(fā)，此時會將提前在VCFC界面配置的VxLAN-VLAN映射關(guān)系下發(fā)到Leaf接入該VM的端口上。經(jīng)過上述流程處理，租戶VM創(chuàng)建及上線均已完成，可以基于虛擬VxLAN網(wǎng)絡(luò)進(jìn)行正常通信。Overlay自動化-獨立Fabric場景軟件定義網(wǎng)絡(luò)模型XXSDN控制器VCFC支持OpenStackNeutron標(biāo)準(zhǔn)網(wǎng)絡(luò)模型，用戶可以選擇通過云平臺或VCFC界面配置虛擬網(wǎng)絡(luò)模型，實現(xiàn)相同的功能。Overlay配置下發(fā)到設(shè)備VCFC將虛擬網(wǎng)絡(luò)模型轉(zhuǎn)換為具體配置后，向納管網(wǎng)元下發(fā)，配置類型有：VPN實例配置L3VNI酉己置VSI接口配置VSI配置AC配置（含VxLAN-VLAN映射關(guān)系）VCFC下發(fā)配置的方式，按下發(fā)配置的時機，分為以下兩種：配置預(yù)先下發(fā)在VCFC上配置完成后，立刻下發(fā)到網(wǎng)元，此時通常主機還未上線，并不需第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）要使用相關(guān)配置，屬于配置預(yù)先下發(fā)?！雠渲冒葱柘掳l(fā)（部分）AC配置在主機上線時下發(fā)，其他配置預(yù)先下發(fā)。.3Fabric接入如果將VCFFabric整體看成一臺虛擬網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)中心的所有軟硬件資源，包括計算及存儲資源、數(shù)據(jù)中心出口的外部網(wǎng)絡(luò)，都必須接入到Fabric的某個端口，才能正常使用。該方案可支持接入的資源包括：支持VM接入：VM通過ARP/DHCP報文上線、VM遷移時支持配置及策略隨遷支持外部網(wǎng)絡(luò)接入：通過配置BordervRouter（無安全納管）或服務(wù)網(wǎng)關(guān)組（安全納管）實現(xiàn)支持第三方防火墻接入：通過控制器下發(fā)引流策略3.3XXSDN下一代數(shù)據(jù)中心優(yōu)勢XXAD-DC方案采用云網(wǎng)安融合的建設(shè)思路，Overlay技術(shù)為支撐，為客戶帶來以下價值：（1）兼容第三方設(shè)備的全網(wǎng)絡(luò)虛擬化能力，構(gòu)建“一網(wǎng)一設(shè)備”的交換矩陣?；贗P網(wǎng)絡(luò)構(gòu)建Fabric。無特殊拓?fù)湎拗?，IP可達(dá)即可；承載網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)分離；對現(xiàn)有網(wǎng)絡(luò)改動較小，保護(hù)用戶現(xiàn)有投資。（2）豐富的云特性，業(yè)界最佳的將“計算、存儲、網(wǎng)絡(luò)和安全資源”統(tǒng)一靈活部署的多租戶方案。（3）基于SDN架構(gòu)的高度自動化運維能力。（4）支持VMware、MicrosoftHyper-V、XXCAS、KVM和XEN等主流虛擬化平臺。（5）原生的災(zāi)備建設(shè)能力。（6）網(wǎng)絡(luò)配置一次成型，業(yè)務(wù)擴容與變更無需改動網(wǎng)絡(luò)，大幅度減少網(wǎng)絡(luò)運維工作量。網(wǎng)絡(luò)簡化、安全。虛擬網(wǎng)絡(luò)支持L2、L3等，無需運行LAN協(xié)議，骨干網(wǎng)絡(luò)無需大量VLANTrunk。第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）（7）簡化網(wǎng)絡(luò)IP地址的規(guī)劃，用于設(shè)備互連的IP網(wǎng)段和用于業(yè)務(wù)通信的IP網(wǎng)段互相不重疊。（8）加快應(yīng)用部署速度，應(yīng)用可以在任意位置部署，配置好自己的IP地址即可實現(xiàn)通信，無需變更網(wǎng)絡(luò)，應(yīng)用部署速度從以周計縮短為以天計。（9）轉(zhuǎn)發(fā)優(yōu)化和表項容量增大。消除了MAC表項學(xué)習(xí)泛濫，ARP等泛洪流量可達(dá)范圍可控，且東西向流量無需經(jīng)過網(wǎng)關(guān)。3.4.1整網(wǎng)設(shè)計架構(gòu)開放、標(biāo)準(zhǔn)、兼容XXAD-DC方案已開放為基礎(chǔ)，采用SDN理念，設(shè)計場景化的方案。1、L4-L7層開放兼容，可以納管第三方安全品牌的設(shè)備、F5的設(shè)備，對于第三方安全設(shè)備納管采用openstack標(biāo)準(zhǔn)的FWaas/LBaas等安全云插件形式，提升異構(gòu)廠商組網(wǎng)的開放能力和標(biāo)準(zhǔn)化程度；2、北向接口開放，不同于傳統(tǒng)SDN控制器只提供RestAPI，XXVCFController可以同時提供RestAPI和JAVAAPI，給用戶更多靈活的選擇。理論上可以對接任何品牌的云平臺、客戶自身的應(yīng)用APP，但實際部署中主要考慮基于Openstack平臺的商用產(chǎn)品，有標(biāo)準(zhǔn)的插件進(jìn)行對接；3、南向接口開放，有利于基礎(chǔ)設(shè)施層設(shè)備納管，不會被綁定，即使需要管理第三方品牌的交換機，也可以考慮定制化；4、Overlay網(wǎng)絡(luò)的控制層面采用標(biāo)準(zhǔn)RFC定義的EVPN協(xié)議，不摻雜私有協(xié)議；5、可視化采集使用SNMP、NETCONF等標(biāo)準(zhǔn)協(xié)議，不摻雜廠商私有協(xié)議，可以有效的監(jiān)控數(shù)據(jù)中心除網(wǎng)絡(luò)設(shè)備、SDN控制器之外的，服務(wù)器、存儲等運行狀態(tài)。可靠性設(shè)計新型數(shù)據(jù)中心承載者用戶80%以上的核心業(yè)務(wù)，對于企業(yè)的重要程度不言而喻。其可靠性需要全方位保證，XXAD-DC方案提供從設(shè)備級到方案級的各層次第27頁共29頁XXXSDN數(shù)據(jù)中心網(wǎng)絡(luò)解決方案（模板）可靠性保證機制。設(shè)計級可靠性設(shè)計leaf采用IRF虛擬化技術(shù)，保證設(shè)備和鏈路的冗余可靠；Spine設(shè)備部互聯(lián)，underlay進(jìn)行動態(tài)路由部署，采用ECMP提升業(yè)務(wù)轉(zhuǎn)發(fā)的可靠性；Border設(shè)備采用對稱式和非對稱結(jié)合部署，保證出口區(qū)設(shè)備的冗余可靠性;SDN控制器提供集群機制，集群內(nèi)通過region機制，既保證SDN網(wǎng)絡(luò)規(guī)模的可持續(xù)增加，也保證了SDN控制器側(cè)的穩(wěn)定可靠，同時為了保證SDN控制器的安全性，可提供基于本地認(rèn)證或者