CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案-業(yè)務(wù)鏈設(shè)計指南

CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案

設(shè)計指南（業(yè)務(wù)鏈）

目錄

1CloudFabric業(yè)務(wù)鏈介紹.....................................................1

2CloudFabric業(yè)務(wù)鏈應(yīng)用場合.................................................2

3業(yè)務(wù)鏈模型...................................................................4

3.1業(yè)務(wù)鏈基本模型............................................................................4

3.2業(yè)務(wù)鏈邏輯模型............................................................................5

3.3業(yè)務(wù)鏈編排模型............................................................................5

3.3.1PBR業(yè)務(wù)鏈編排模型.......................................................................5

3.3.2NSH業(yè)務(wù)鏈編排模型......................................................................6

3.4NSH協(xié)議介紹.............................................................................7

3.5PBR和NSH業(yè)務(wù)鏈對比.....................................................................9

4業(yè)務(wù)鏈方案架構(gòu)..............................................................11

4.1網(wǎng)絡(luò)虛擬化場景業(yè)務(wù)鏈方案架構(gòu)..............................................................11

4.2云網(wǎng)一體化場景業(yè)務(wù)鏈方案架構(gòu)..............................................................12

5業(yè)務(wù)鏈設(shè)計原則..............................................................13

5.1業(yè)務(wù)鏈引流模型............................................................................13

5.1.1Go-to引流模型...........................................................................14

5.1.2Go-through弓I流模型......................................................................15

5.1.3One-Arm引流模型........................................................................15

5.2VAS設(shè)備與Leaf設(shè)備連接設(shè)計...............................................................16

5.2.1物理單臂設(shè)計模型........................................................................17

5.2.2物理雙臂設(shè)計模型........................................................................18

5.3業(yè)務(wù)鏈高可用設(shè)計原則.....................................................................18

5.3.1VAS設(shè)備組高可用........................................................................18

5.3.2設(shè)備和鏈路可靠性故障切換場景............................................................20

6CloudFabric基線組網(wǎng)........................................................24

6.1ServiceLeaf和BorderLeaf合設(shè)..............................................................24

6.2ServiceLeaf和BorderLeaf分設(shè)..............................................................26

7業(yè)務(wù)鏈設(shè)計..................................................................28

7.1參考拓撲.....................................................................................28

7.2NSH業(yè)務(wù)鏈...................................................................................29

7.2.1IPv4/IPv6L2VAS設(shè)計........................................................................29

722IPv4/IPv6L3VAs設(shè)計(NSH-aware)........................................................................................................................29

7.2.3IPv4/IPv6L3VAs設(shè)計(NSH-unaware).................................................................................................................30

7.2.4南北向業(yè)務(wù)鏈設(shè)計...........................................................................30

7.3PBR業(yè)務(wù)鏈...................................................................................32

7.3.1IPv4/IPv6L2VAS設(shè)計........................................................................32

7.3.2IPv4/IPv6L3VAS設(shè)計........................................................................33

7.3.3南北向業(yè)務(wù)鏈設(shè)計...........................................................................34

8業(yè)務(wù)鏈高可用................................................................35

8.1健康性檢測...................................................................................35

8.2業(yè)務(wù)鏈逃生...................................................................................35

8.2.1參考拓撲....................................................................................36

8.2.2NSH業(yè)務(wù)鏈逃生(NSH-aware).....................................................................................................................................36

8.2.3PBR業(yè)務(wù)鏈逃生.............................................................................37

A參考圖片...................................................................38

CloudFabric業(yè)務(wù)鏈介紹

CloudFabric數(shù)據(jù)中心網(wǎng)絡(luò)（以下簡稱“CloudFabric”）解決方案旨在為客戶構(gòu)筑簡單、

智慧、開放的云數(shù)據(jù)網(wǎng)絡(luò)中心，廣泛應(yīng)用于運營商私有云、公有云、電信云等場景，

幫助客戶加速數(shù)字化轉(zhuǎn)型。CloudFabric解決方案中，“業(yè)務(wù)鏈”技術(shù)可以在業(yè)務(wù)轉(zhuǎn)發(fā)路

徑中插入“增值服務(wù)設(shè)備”（以下簡稱“VAS設(shè)備”，如防火墻、負載均衡、深度檢

測、入侵防御等設(shè)備），對業(yè)務(wù)流量進行增值服務(wù)。

?通過CloudFabric業(yè)務(wù)鏈，可以將業(yè)務(wù)流量重定向到防火墻和負載均衡等VAS設(shè)

備，而無需VAS設(shè)備作為網(wǎng)關(guān)。

通過CloudFabric業(yè)務(wù)鏈,可以有選擇的將流量轉(zhuǎn)發(fā)到VAS設(shè)備。

通過CloudFabric業(yè)務(wù)鏈,VAS設(shè)備可以無需修改已有拓撲的方式插入

CloudFabric?

通過CloudFabric業(yè)務(wù)鏈,可以快速的橫向擴展VAS設(shè)備。

CloudFabric解決方案業(yè)務(wù)鏈是一種有序的業(yè)務(wù)功能集，可以保證被選擇的流量有序的

獲取增值服務(wù)。CloudFabric解決方案可以將網(wǎng)絡(luò)與增值業(yè)務(wù)統(tǒng)一部署，也可以分開部

署，這取決于增值業(yè)務(wù)設(shè)備管理平臺和“iMasterNCE-Fabric"（CloudFabric解決方案

的核心組件，實現(xiàn)對云數(shù)據(jù)中心網(wǎng)絡(luò)的統(tǒng)一管控和動態(tài)調(diào)度、自動化部署和彈性擴縮

容，以下簡稱“控制器”）的對接程度。

CloudFabric業(yè)務(wù)鏈應(yīng)用場合

業(yè)務(wù)鏈具備設(shè)備品牌多，功能復(fù)雜，引流形式多樣等特性，由于CloudFabric解決方案

本身不提供VAS設(shè)備，所以需要根據(jù)控制器是否可以管理VAS設(shè)備，決定業(yè)務(wù)鏈模

式。

業(yè)界通常支持如下三種管理業(yè)務(wù)鏈模式：

?ServicePolicy模式：控制器負責Fabric和VAS設(shè)備之間互聯(lián)L2-L3層網(wǎng)絡(luò)的編

排，并負責VAS設(shè)備所有L2?L3層網(wǎng)絡(luò)編排和L4?L7業(yè)務(wù)策略下發(fā)。

ServicePolicy模式依賴控制器對接VAS設(shè)備（或其管理平臺）的能力，VAS設(shè)備

整體被包含在CloudFabric解決方案中，VAS設(shè)備L2?L7層業(yè)務(wù)編排屬于

CloudFabric基礎(chǔ)框架的一部分。

?ServiceManager模式：控制器負責Fabric和VAS設(shè)備之間互聯(lián)L2?L3層網(wǎng)絡(luò)的編

排，由第三方VAS設(shè)備管理平臺負責VAS設(shè)備L4?L7層業(yè)務(wù)策略下發(fā)。

ServiceManager模式依賴控制器對接VAS設(shè)備（或其管理平臺）的能力，VAS設(shè)

備部分業(yè)務(wù)被包含在CloudFabirc解決方案，VAS設(shè)備L2?L3層業(yè)務(wù)編排屬于

CloudFabric基礎(chǔ)框架的一部分。

?NetworkPolicy模式：控制器只負責Fabric側(cè)L2?L3層網(wǎng)絡(luò)的編排，VAS設(shè)備

L2-L7層網(wǎng)絡(luò)和業(yè)務(wù)編排不在控制器管理范圍內(nèi)。

NetworkPolicy模式不依賴控制器對接VAS設(shè)備（或其管理平臺）的能力，VAS

設(shè)備整體被隔離CloudFabirc解決方案之外，VAS設(shè)備的L2?L7業(yè)務(wù)編排依靠其

第三方管理平臺或設(shè)備本身。

華為CloudFabric解決方案中，目前三種業(yè)務(wù)鏈模式支持情況如下：

?ServicePolicy模式支持HWFW

?ServiceManager模式僅支持CheckpointFW,FortinetFW,PaloaltoFW,F5LB等

VAS設(shè)備

?NetworkPolicy模式支持其他第三方VAS設(shè)備

在選用業(yè)務(wù)鏈模式時，需要考慮以下幾點：

1.業(yè)務(wù)鏈配置是否會反復(fù)變更，變更業(yè)務(wù)鏈引流策略還是變更VAS設(shè)備業(yè)務(wù)配置？

2.控制器是否可以管理VAS設(shè)備網(wǎng)絡(luò)和業(yè)務(wù)配置？

3.業(yè)務(wù)鏈相關(guān)配置是否有專門業(yè)務(wù)管理員維護，還是由網(wǎng)絡(luò)管理員統(tǒng)一編排？

帶著這些問題，結(jié)合下圖，可以找到適合的業(yè)務(wù)鏈模型。

圖2-1業(yè)務(wù)鏈模式的選擇指引

業(yè)務(wù)鏈模型

3.1業(yè)務(wù)鏈基本模型

3.2業(yè)務(wù)鏈邏輯模型

3.3業(yè)務(wù)鏈編排模型

3.4NSH協(xié)議介紹

3.5PBR和NSH業(yè)務(wù)鏈對比

3.1業(yè)務(wù)鏈基本模型

業(yè)務(wù)鏈的基本概念模型如下圖所示。

圖3-1業(yè)務(wù)鏈基本概念

Policyruleset

Policyrule

Classifier^Action=

fijuffl+TCP-Forward、

Flag/ICMP-Deny、

TypeRedirect

?EPG：可以基于externalNetwork、logicswitch、logicRouter定義，最小粒度為IP

網(wǎng)段(subnet)o

?Policyruleset：策略規(guī)則集合，定義組間多個訪問控制策略規(guī)則。

?Policyrule：一條規(guī)則，代表一類業(yè)務(wù)流量和對應(yīng)的業(yè)務(wù)鏈行為。

?Classifer：流分類器，支持基于五元組+TCP-flag/ICMP-type對流量進行分類。

?Action：規(guī)則中定義的的流動作，支持permit/deny/redirect。

?SFP：對應(yīng)業(yè)務(wù)鏈的路徑，定義路徑包含VAS設(shè)備的數(shù)量、類型和經(jīng)過VAS設(shè)備

的順序，目前CloudFabric解決方案當前一條PBR方式SFP中最多可定義3個

VAS設(shè)備。

3.2業(yè)務(wù)鏈邏輯模型

業(yè)務(wù)鏈的基礎(chǔ)邏輯模型如下圖所示。

圖3-2業(yè)務(wù)鏈邏輯模型

業(yè)務(wù)鏈邏輯模型中涉及到的幾個角色介紹如下。

?SC（ServiceClassifier,業(yè)務(wù)分類節(jié)點）：實現(xiàn)業(yè)務(wù)流識別（選擇流量重定向到業(yè)

務(wù)鏈）。

?SF（ServiceFunction,業(yè)務(wù)功能節(jié)點）：提供增值服務(wù)功能的節(jié)點，即VAS設(shè)

備。

?SFF（ServiceFunctionForwarder,業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點）：連接SF節(jié)點的交換機，可以

識別要經(jīng)過業(yè)務(wù)鏈的業(yè)務(wù)流量，轉(zhuǎn)發(fā)至SF節(jié)點。還可以識別SF節(jié)點處理后的業(yè)

務(wù)流量，繼續(xù)重定向到后續(xù)業(yè)務(wù)鏈流程。

3.3業(yè)務(wù)鏈編排模型

3.3.1PBR業(yè)務(wù)鏈編排模型

PBR類型的業(yè)務(wù)鏈的編排模型和業(yè)務(wù)過程如下圖所示。

圖3-3PBR業(yè)務(wù)鏈編排模型

iMasterNCE-Fabric

?引流點

訪問流星

[MasterNH

?控制器向SC節(jié)點下發(fā)過濾和重定向策略，選擇性的將業(yè)務(wù)流量重定向到SF1,

PBR方式不改變CONSUMER訪問PROVIDER的業(yè)務(wù)報文。

?控制器向SFF1節(jié)點下發(fā)隧道側(cè)和用戶側(cè)過濾和重定向策略，SFF1節(jié)點選擇性將

業(yè)務(wù)流量牽引至SF1、SF2。

?控制器向SFF2節(jié)點下發(fā)隧道側(cè)過濾和重定向策略，SFF2節(jié)點選擇性將業(yè)務(wù)流量

牽引至SF3,最后將業(yè)務(wù)報文轉(zhuǎn)發(fā)給PROVIDER,

3.3.2NSH業(yè)務(wù)鏈編排模型

NSH類型的業(yè)務(wù)鏈的編排模型和業(yè)務(wù)過程如下圖所示。

圖34NSH業(yè)務(wù)鏈編排模型

(MasterNCE-Fabric

?引流點

NSH轉(zhuǎn)發(fā)表

iMasterNCE

訪向流量

下發(fā)NSH轉(zhuǎn)發(fā)表,：，：、、

!、(OVXLAN轉(zhuǎn)發(fā)談道

SFF2

TOR

MBT°R

CONSUMER丁二

■■

■■

KWfBB

MMMHB

,,■■

PROVIDER

SF1SF2SF3

?控制器向SC節(jié)點下發(fā)過濾和重定向策略，選擇性將業(yè)務(wù)流量牽引至NSH轉(zhuǎn)發(fā)路

徑，NSH方式會改變CONSUMER訪問PROVIDER的原始報文。

?控制器向SC節(jié)點和SFF節(jié)點下發(fā)NSH轉(zhuǎn)發(fā)表，牽引業(yè)務(wù)流量按照SFP路徑轉(zhuǎn)

發(fā)。

?若SF是NSH-unaware類型，控制器還需要在SFF節(jié)點下發(fā)NSH代理配置(剝離

NSH頭部轉(zhuǎn)發(fā))，同時還需要下發(fā)過濾和重定向策略將經(jīng)過SF處理的流量重新牽

引至NSH轉(zhuǎn)發(fā)路徑。

?若SF是NSH-aware類型，控制器不需要在SFF節(jié)點下發(fā)NSH代理配置，SF節(jié)

點處理業(yè)務(wù)流量時，會自行處理業(yè)務(wù)報文中NSH頭部字段且不會剝離NSH頭

部。

3.4NSH協(xié)議介紹

ITEF定義了一種新的數(shù)據(jù)面業(yè)務(wù)封裝格式NSH(NetworkServiceHeader),封裝頭包

括業(yè)務(wù)路徑和MetaData信息等，使得業(yè)務(wù)鏈路徑上的各個節(jié)點能夠相互傳遞路徑信

息，從而構(gòu)建一個新業(yè)務(wù)平面，實現(xiàn)業(yè)務(wù)鏈可以對數(shù)據(jù)做動態(tài)靈活的策略處理。NSH

協(xié)議標準可以參考RFC8300。承載NSH報文的網(wǎng)絡(luò)報文格式，如下所示。

?承載網(wǎng)為VxLAN的NSH報文封裝格式如下圖所示:

VXLAN+NSH封

OuterEthernetheaderOuterIPheaderUDPheaderVXLANheaderNSHheaderPayload=IPPacket

?承載網(wǎng)為VLAN的NSH報文封裝格式如下圖所示:

ETH+NSH封

802.1Qheader

OuterEthernetheaderEth-Type=0x894FPayload=IPPacket

其中NSHheader頭部格式如下所示。

?當MDType值為0x1時，報文格式如下：

01234567890123456789012345678901

|Ver|O|U|TTL|Length|U|U|U|U|MDType|NextProtocol|

|ServicePathIdentifier(SPI)|ServiceIndex|

II

|Fixed-LengthContextHeader

?當MDType值為0x2時，報文格式如下：

01234567890123456789012345678901

|Ver|O|U|TTL|Length|U|U|U|U|MDType|NextProtocol|

|ServicePathIdentifier(SPI)|ServiceIndex|

II

~Variable-LengthContextHeaders(opt)*

II

具體字段含義，請參考表3-1

表3-1NSH報文格式中各個字段的說明

字段描述

VerNSH版本號

當前支持版本號為0

0NSH報文類型

0：表示數(shù)據(jù)報文

1：表示0AM維護報文

U保留字段

發(fā)送時NSH報文保留字段置0,接收NSH報文時忽略此字段

TTL用于防環(huán)，默認值為63

初始TTL值應(yīng)該可以被控制面配置，一個TTL值可以被用在多個SFP

每個SFF在轉(zhuǎn)發(fā)NSH報文時，需要將TTL值減1后再查找NSH轉(zhuǎn)發(fā)

表

當TTL值減1后為0時，丟棄該NSH報文

LengthNSH報文的總長度，該項的值代表4字節(jié)的整倍數(shù)

如果MDtype值為1,則Length必須是6,表示NSH報文長度位6*4

字段描述

字節(jié)

如果MDtype是2,則Length必須大于或等于2

MDtype元數(shù)據(jù)域的格式類型

(MetaDat

0：保留值，暫不使用

atype)

1：表示元數(shù)據(jù)域為固定長度16字節(jié)

2：表示元數(shù)據(jù)域為可變長度。

F：僅測試或?qū)嶒炿A段可以使用

當前設(shè)備支持的MD類型為1

NextNSH封裝前的報文類型

Protocol

?0x1：IPv4報文

,0x2：IPv6報文

,0x3：Ethernet報文

?0x4：NSH報文

?0x5：MPLS報文

,0x6~0xFD：未定義

?0xFE~0xFF：Experimental

當前設(shè)備僅支持IPv4報文

SPI業(yè)務(wù)鏈路徑編號

用于唯一標識一條業(yè)務(wù)鏈路徑

SI業(yè)務(wù)功能索引

用于標識SF節(jié)點在SFP中的位置

Context元數(shù)據(jù)域

Header

當MDType值為0x0時，ContextHeader長度必須為0（基本不用）

當MDType值為0x1時，ContextHeader固定長度為16字節(jié)

當MDType值為0x2時，ContextHeader為變長字段，長度必須為4的

整數(shù)倍,

3.5PBR和NSH業(yè)務(wù)鏈對比

PBR和NSH兩種業(yè)務(wù)鏈業(yè)務(wù)的對比參見下表。

表3-2PBR和NSH的對比

對比點PBR業(yè)務(wù)鏈NSH業(yè)務(wù)鏈(NSH-aware)

基本特點PBR業(yè)務(wù)鏈不需要改變原始NSH業(yè)務(wù)鏈需要改變原始報文

報文（優(yōu)）

地址變換VASNAT難度在于控制器編排和NSH轉(zhuǎn)發(fā)平面可以減少NAT

（NAT和LB）來回路徑編排難度（優(yōu)）

MetaData信息不支持支持（優(yōu)）

Fabric設(shè)備要求無兼容性需求（優(yōu)）有兼容性需求

VAS設(shè)備要求無需求（優(yōu)）需支持NSH需求

業(yè)務(wù)鏈防環(huán)無防環(huán)能力（cisco能防環(huán)）無環(huán)（優(yōu)）

帶寬資源占用不增加協(xié)議頭部（優(yōu)）增加協(xié)議頭部

VAS節(jié)點規(guī)格受限ACL資源，IPv4最多3最大支持255（優(yōu)）

跳業(yè)務(wù)鏈

受限ACL資源，IPv6最多1

跳業(yè)務(wù)鏈

單特性轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)性能下降不明顯（優(yōu)）轉(zhuǎn)發(fā)性能下降明顯

Bypass能力無Bypass能力（當SF為L3當SF為L3類型時，支持逃生

類型時，單跳業(yè)務(wù)鏈自帶逃（優(yōu)）

生）

流量可視無需適配（優(yōu)）流量可視軟件支持NSH協(xié)議

ACL資源消耗需要每跳用戶側(cè)或網(wǎng)絡(luò)側(cè)匹只在SC節(jié)點匹配ACL,其他

配節(jié)點不消耗（優(yōu)）

NSH業(yè)務(wù)鏈只有當VAS設(shè)備支持NSH協(xié)議，對比PBR業(yè)務(wù)鏈才會具備明顯的優(yōu)勢。

目前華為NSH協(xié)議生態(tài)，包含廠商：迪普FW（雙棧）和山石FW（雙棧），其他

3rdVAS設(shè)備作為NSH-unware引流。

?若對業(yè)務(wù)鏈需求高性能轉(zhuǎn)發(fā)，則推薦PBR業(yè)務(wù)鏈；

?若要求業(yè)務(wù)鏈組網(wǎng)豐富，則推薦NSH業(yè)務(wù)鏈。

業(yè)務(wù)鏈方案架構(gòu)

4.1網(wǎng)絡(luò)虛擬化場景業(yè)務(wù)鏈方案架構(gòu)

4.2云網(wǎng)一體化場景業(yè)務(wù)鏈方案架構(gòu)

4.1網(wǎng)絡(luò)虛擬化場景業(yè)務(wù)鏈方案架構(gòu)

如圖4-1所示，在網(wǎng)絡(luò)虛擬化場景下，業(yè)務(wù)鏈的架構(gòu)中各個組件的功能如下。

圖4-1網(wǎng)絡(luò)虛擬化中的SFC方案架構(gòu)

iMasterNCE-Fabric：

實現(xiàn)租戶業(yè)務(wù)和編排，發(fā)放VPC/vRouter/Subnct等服務(wù)

-管理華為CE交換機L2/L3Fabric網(wǎng)絡(luò)

編排業(yè)務(wù)鏈路徑和引流策略

負責華為VAS設(shè)備和L2/L3Fabric雙向網(wǎng)絡(luò)開通和業(yè)務(wù)配置

負責到第三方VAS的L2/L3Fabric側(cè)的網(wǎng)絡(luò)開通

?SecoManager：管理華為VAS設(shè)備，控制器下發(fā)華為VAS設(shè)備業(yè)務(wù)配置至Seco

Manager

?HuaweiVAS：華為VAS設(shè)備，提供FW、LB、IPS、EIP,SNAT、IPSecVPN等

業(yè)務(wù)的實體

?3rdVAS：第三方VAS設(shè)備，提供FW、LB、IPS、EIP,SNAT、IPSecVPN等業(yè)

務(wù)的實體

?3rdSF業(yè)務(wù)Portal：管理第三方VAS設(shè)備，開通相關(guān)業(yè)務(wù)和VAS設(shè)備側(cè)網(wǎng)絡(luò)

4.2云網(wǎng)一體化場景業(yè)務(wù)鏈方案架構(gòu)

如圖4-2所示，在云網(wǎng)一體化場景下，業(yè)務(wù)鏈的架構(gòu)中各個組件的功能如下。

圖4-2云網(wǎng)一體化中的SFC方案架構(gòu)

?OpcnStack：實現(xiàn)租戶業(yè)務(wù)和編排，發(fā)放VPC/vRouter/Subnet等服務(wù)

?iMasterNCE-Fabric：

-實現(xiàn)租戶業(yè)務(wù)和編排，發(fā)放VPC/vRouter/Subnet等服務(wù)

管理華為CE交換機L2/L3Fabric網(wǎng)絡(luò)

還原OpenStack網(wǎng)絡(luò)，二次編排業(yè)務(wù)鏈路徑和引流策略

-負責華為VAS設(shè)備和L2/L3Fabric雙向網(wǎng)絡(luò)開通和業(yè)務(wù)配置

負責到第三方VAS的L2/L3Fabric側(cè)的網(wǎng)絡(luò)開通

?SecoManager：管理華為VAS設(shè)備，VAS設(shè)備相關(guān)業(yè)務(wù)在SecoManager編排配置

?HuaweiVAS：華為VAS設(shè)備，提供FW、EIP、SNAT、IPSecVPN等業(yè)務(wù)的實體

?3rdVAS：第三方VAS設(shè)備，提供FW、LB、IPS等業(yè)務(wù)的實體

?3rdSF業(yè)務(wù)Portal：管理第三方VAS設(shè)備，開通相關(guān)業(yè)務(wù)和VAS設(shè)備側(cè)L2/L3網(wǎng)

絡(luò)

業(yè)務(wù)鏈設(shè)計原則

5.1業(yè)務(wù)鏈引流模型

5.2VAS設(shè)備與Leaf設(shè)備連接設(shè)計

5.3業(yè)務(wù)鏈高可用設(shè)計原則

5.1業(yè)務(wù)鏈引流模型

業(yè)務(wù)鏈的核心能力在于引流，如何正確、均勻的將業(yè)務(wù)流量牽引至VAS設(shè)備是業(yè)務(wù)鏈

的核心功能。在CloudFabric解決方案中，不同類型的VAS設(shè)備，引流方式有所不

同。VAS設(shè)備類型總體來講，可以分為三種，分別為：L1類型設(shè)備、L2類型設(shè)備和

L3類型設(shè)備。

LI、L2和L3類型設(shè)備具體定義如下：

1.L1類型設(shè)備

-無VLAN轉(zhuǎn)換能力

所有的設(shè)備接口均屬于同一個VLAN

業(yè)務(wù)流量經(jīng)過設(shè)備不會二層或三層轉(zhuǎn)發(fā)

-通常采用接口對的形式，從一個接口進，從另一個接口出

2.L2類型設(shè)備

具備VLAN轉(zhuǎn)換能力

設(shè)備接口VLAN可配置，不同接口可以配置不同VLAN

-業(yè)務(wù)流量經(jīng)過設(shè)備會二層轉(zhuǎn)發(fā)

設(shè)備接口具備MAC學習能力

3.L3類型設(shè)備

-具備VLAN轉(zhuǎn)換能力

-設(shè)備接口VLAN可配置，不同接口可以配置不同VLAN

業(yè)務(wù)流量經(jīng)過設(shè)備會三層轉(zhuǎn)發(fā)

設(shè)備接口具備MAC學習能力

不同類型VAS設(shè)備對應(yīng)不同的引流方式。L1/L2類型VAS設(shè)備本身無IP地址，需要

通過Go-through方式引流；而L3類型VAS設(shè)備本身可以配置IP地址，通過Go-to方

式引流。

5.1.1Go-to引流模型

參考下圖，Go-to引流模型分為兩種情況：

?業(yè)務(wù)鏈VAS設(shè)備直接作為consumer的網(wǎng)關(guān)（CloudFabric當前方案暫不支持）。

?網(wǎng)絡(luò)設(shè)備BD接口地址作為consumer的網(wǎng)關(guān)，通過業(yè)務(wù)鏈重定向的方式將業(yè)務(wù)流

量重定向到VAS設(shè)備。

Go-to引流模型如下圖所示。

圖5-1Go-t。引流模型示意圖

Leaf

VRF

soy、D2

VAS

Go-tomode

consumer訪問provider的流量會在Leaf設(shè)備重定向到VAS設(shè)備IP,由VAS設(shè)備通過

靜態(tài)路由將業(yè)務(wù)流量處理后再轉(zhuǎn)發(fā)給Leaf設(shè)備，由Leaf設(shè)備繼續(xù)重定向或轉(zhuǎn)發(fā)給

provider,

在此引流模型中，一個VRF關(guān)聯(lián)兩個Bridge-Domain,兩者關(guān)系圖如下所示。

圖5-2兩個BD之間的關(guān)系示意圖

BD1BD2

5.1.2Go-through引流模型

參考下圖，Go-through引流模型指VAS設(shè)備橋接在consumer和provider之間，VAS設(shè)

備本身不具備IP地址，流量不會在VAS設(shè)備L2/L3轉(zhuǎn)發(fā)。

在CloudFabric解決方案中，需要業(yè)務(wù)流量重定向到L1/L2類型VAS設(shè)備時，通常采

用Go-through引流模式部署業(yè)務(wù)鏈。

Go-through引流模式基本模型，如下圖所示。

圖5-3Go-through弓I流模型

Leaf

consumerprovider

VRFAVRFB

BD1BD2

VAS

Gothroughmode

Consumer訪問provider的流量會在Leaf設(shè)備重定向到VAS設(shè)備，VRFA接口轉(zhuǎn)發(fā)業(yè)務(wù)

報文的目的MAC為VRFB接口地址MAC。L1類型VAS設(shè)備會將業(yè)務(wù)報文直接與入

接口同接口對的另一接口轉(zhuǎn)發(fā)；L2類型VAS設(shè)備會將業(yè)務(wù)報文二層轉(zhuǎn)發(fā)。

在此引流模型，兩個VRF分別關(guān)聯(lián)一個Bridge-Domian,兩者關(guān)系圖如下所示。

圖5-4兩個VRF之間的關(guān)系示意圖

VAS

5.1.3One-Arm引流模型

參考下圖，One-Arm模型指VAS設(shè)備和Leaf之間通過邏輯單臂互聯(lián)，指業(yè)務(wù)流量通過

一個邏輯接口轉(zhuǎn)發(fā)。需要VAS設(shè)備支持此種引流模型。

當前CloudFabric解決方案中，同VPC內(nèi)業(yè)務(wù)鏈通常采用這種業(yè)務(wù)鏈模型。

One-Arm引流模型如下圖所示。

圖5-5One-Arm引流模型

consumerproviderJ

BD1

VAS

OneArmmode

Consumer訪問provider的業(yè)務(wù)流量會在Leaf設(shè)備重定向到VAS設(shè)備，VAS設(shè)備轉(zhuǎn)發(fā)

此業(yè)務(wù)流量給Leaf設(shè)備時，通過入接口轉(zhuǎn)發(fā)流量（需要V^S設(shè)備支持）。

在此引流模型中，一個VRF關(guān)聯(lián)1個Bridge-Domain,兩者關(guān)系圖如下所示。

圖5-6VRF、BD間關(guān)系示意圖

VRFA

5.2VAS設(shè)備與Leaf設(shè)備連接設(shè)計

數(shù)據(jù)中心網(wǎng)絡(luò)中VAS設(shè)備和Leaf設(shè)備連接方式多種多樣，為了方便CloudFabric統(tǒng)一

管理和編排，規(guī)劃了VAS設(shè)備與Leaf設(shè)備連接方法。VAS設(shè)備與Leaf互聯(lián)鏈路需要

區(qū)分鏈路角色，不同鏈路角色承載的流量不同。鏈路角色分為“內(nèi)部鏈路”和“外部

鏈路”?！皟?nèi)部鏈路”表示該鏈路只承載租戶router與租戶vsys的流量，“外部鏈路”表

示該鏈路只承載外部網(wǎng)絡(luò)與ExtranetVsys的流量，“內(nèi)外部鏈路”表示該物理鏈路既承

載租戶router與租戶vsys的流量也承載外部網(wǎng)絡(luò)與ExtranetVsys的流量，租戶vsys和

ExtranetVsys之間內(nèi)部會進行路由轉(zhuǎn)發(fā)，從而實現(xiàn)租戶router和外部網(wǎng)絡(luò)的流量互通。

?若設(shè)定VAS與Leaf互聯(lián)物理鏈路角色為“內(nèi)部鏈路”，則單臺VAS設(shè)備與M-

LAGLeaf組通過一對子接口互通（承載在互聯(lián)鏈路上），此時為邏輯單臂。

?若設(shè)定VAS與Leaf互聯(lián)物理鏈路角色為“內(nèi)外部鏈路”，則單臺VAS設(shè)備與M-

LAGLeaf組通過兩對子接口互通（承載在互聯(lián)鏈路上），此時為邏輯雙臂。

?若設(shè)定VAS與Leaf互聯(lián)物理鏈路角色分別為“內(nèi)部鏈路”和“外部鏈路”，則單

臺VAS設(shè)備與M-LAGLeaf組通過兩對子接口互通（承載在互聯(lián)鏈路上），此時為

邏輯雙臂。

其中，物理單臂、物理雙臂的說明如下：

?當邏輯單臂或邏輯雙臂由一條物理鏈路承載（一條單鏈路或聚合鏈路），為物理單

臂。

?當邏輯雙臂由兩條物理鏈路承載（兩條單鏈路或聚合鏈路），為物理雙臂。

同VPC內(nèi)東西向業(yè)務(wù)鏈，當前版本推薦物理單臂配合邏輯單臂。

南北向業(yè)務(wù)鏈，當前版本支持物理單臂配合邏輯雙臂和物理雙臂配合邏輯雙臂方式實

現(xiàn)。

5.2.1物理單臂設(shè)計模型

物理單臂可以包含邏輯單臂和邏輯雙臂兩種模型，如下：

?邏輯單臂組網(wǎng)：VAS組成員設(shè)備與Leaf設(shè)備組（M-LAG）通過聚合鏈路互聯(lián)，

consumer和provider之間業(yè)務(wù)鏈通過內(nèi)部鏈路轉(zhuǎn)發(fā)報文。主設(shè)備和備設(shè)備都存在

一條邏輯鏈路，當主設(shè)備邏輯鏈路故障，備設(shè)備邏輯鏈路生效（可靠性高）。

圖5-7邏輯單臂組網(wǎng)示意圖

consumerprovider

-Q-聚合鏈路i

存聚合鏈路2

-----內(nèi)部鏈路

?邏輯雙臂組網(wǎng)：VAS組成員設(shè)備與Leaf設(shè)備組（M-LAG）通過聚合鏈路互聯(lián)，主

設(shè)備和備設(shè)備通過聚合鏈路與Leaf設(shè)備組互聯(lián)，consumer和provider之間業(yè)務(wù)鏈

通過兩條邏輯鏈路轉(zhuǎn)發(fā)報文。主設(shè)備和備設(shè)備都存在兩條邏輯鏈路，當主設(shè)備物

理鏈路故障，備設(shè)備物理鏈路生效（可靠性高）。

圖5-8邏輯雙臂組網(wǎng)示意圖

consumerprovider

-Q-聚合鏈路1

金：聚合鏈路2

-----內(nèi)部鏈路1

-----內(nèi)部鏈路2或外部鏈路

5.2.2物理雙臂設(shè)計模型

物理雙臂僅包含邏輯雙臂一種模型：VAS設(shè)備組與Leaf設(shè)備組（M-LAG）通過兩條聚

合鏈路互聯(lián)，邏輯鏈路被承載在不同的聚合鏈路（可靠性高）。

匚口說明

下圖備VAS備設(shè)備與主設(shè)備接線方式一致，防止圖片畫線過多，故省略。

圖5-9物理雙臂組網(wǎng)示意圖

5.3業(yè)務(wù)鏈高可用設(shè)計原則

CloudFabric業(yè)務(wù)鏈高可用可以從兩個維度闡明：VAS設(shè)備高可靠和業(yè)務(wù)鏈路徑高可靠

（SC節(jié)點、SFF節(jié)點），如下表所示。

項目