隨著以云平臺(tái)為IT基礎(chǔ)搭建的業(yè)務(wù)場(chǎng)景越來(lái)越廣泛的被應(yīng)用于政企及運(yùn)營(yíng)商,區(qū)分
云計(jì)算的網(wǎng)絡(luò)流量類型也變得越來(lái)越重要,因?yàn)樵朴?jì)算會(huì)越來(lái)越多的以場(chǎng)景的方式落地于各個(gè)行業(yè),不同業(yè)務(wù)的流量是不一樣的,所以首先應(yīng)該對(duì)各種行業(yè)應(yīng)用下云計(jì)算網(wǎng)絡(luò)的流量類型進(jìn)行區(qū)分,同時(shí)對(duì)這些流量進(jìn)行管理 。
一、云計(jì)算環(huán)境下網(wǎng)絡(luò)流量的區(qū)分
用戶與后臺(tái)資源的網(wǎng)絡(luò)穩(wěn)定性對(duì)于最終體驗(yàn)是至關(guān)重要的,然而對(duì)于大部分傳統(tǒng)企業(yè)和運(yùn)營(yíng)商來(lái)說(shuō),網(wǎng)絡(luò)的QOS使用并不能完全滿足網(wǎng)絡(luò)穩(wěn)定性的要求,對(duì)于大多數(shù)傳統(tǒng)企業(yè),數(shù)據(jù)中心多依靠于運(yùn)營(yíng)商的網(wǎng)絡(luò),所以多數(shù)的流量全部混合到核心網(wǎng)絡(luò)當(dāng)中去進(jìn)行傳輸,那么對(duì)于云計(jì)算環(huán)境下,多業(yè)務(wù),多租戶的模式下,網(wǎng)絡(luò)流量的區(qū)分至關(guān)重要。
圖1 云計(jì)算環(huán)境下網(wǎng)絡(luò)流量的區(qū)分
設(shè)計(jì)云計(jì)算的網(wǎng)絡(luò)模型時(shí),我們應(yīng)該更多、更好地去運(yùn)用云計(jì)算所帶來(lái)的便捷性,多種業(yè)務(wù)共存在每個(gè)資源池當(dāng)中,從資源池引入到上層網(wǎng)絡(luò),這時(shí)我們就應(yīng)該對(duì)于多種流量進(jìn)行逐一的區(qū)分,建立不同的業(yè)務(wù)模型,找到不同業(yè)務(wù)對(duì)應(yīng)的底層協(xié)議種類,以便在日后整個(gè)云計(jì)算爆發(fā)的時(shí)候,使得每個(gè)邏輯業(yè)務(wù)網(wǎng)絡(luò)更加清晰,從龐大的數(shù)據(jù)流當(dāng)中提取不同流量。對(duì)于云計(jì)算來(lái)說(shuō),三種服務(wù)模型所產(chǎn)生的流量也是有所不同,宏觀上可以區(qū)分如下:
SaaS流量模型
包括大量的HTTP與HTTPS流量,主要分布于80與443端口,通常屬于一種輕量型的數(shù)據(jù)連接機(jī)制,但是在一定程度下,比如上傳或者下載,將會(huì)產(chǎn)生多種數(shù)據(jù)流進(jìn)行傳遞,使得帶寬占用的不明朗,與資源管理的復(fù)雜性。
PaaS流量模型
PaaS屬于對(duì)外提供定制的軟件運(yùn)行環(huán)境,往往會(huì)在系統(tǒng)開發(fā)與調(diào)試階段產(chǎn)生不同的數(shù)據(jù)流量,那么多與每項(xiàng)的程序調(diào)用所使用的流量區(qū)分,在這個(gè)平臺(tái)也會(huì)逐漸產(chǎn)生。
IaaS流量模型
IaaS這個(gè)層面所產(chǎn)生的流量就比較復(fù)雜,兩個(gè)維度,一個(gè)是屬于面向業(yè)務(wù),多租戶,多業(yè)務(wù)的流量區(qū)分,在線存儲(chǔ)的服務(wù),每個(gè)存儲(chǔ)通道所產(chǎn)生的流量區(qū)分,每個(gè)虛擬機(jī)所產(chǎn)生的流量的區(qū)分,對(duì)于整個(gè)網(wǎng)絡(luò)的流量區(qū)分與所需網(wǎng)絡(luò)的提供將會(huì)是一個(gè)逐漸演變的過(guò)程。
基于以上的流量區(qū)分與流量的安全性,我們應(yīng)該在云數(shù)據(jù)中心網(wǎng)絡(luò)層面上去提前認(rèn)識(shí)與使用,并結(jié)合業(yè)務(wù)實(shí)際需求去建設(shè)適合用戶的數(shù)據(jù)中心網(wǎng)絡(luò)。
二、相同數(shù)據(jù)中心二層網(wǎng)絡(luò)互通
隨著云計(jì)算落地?cái)?shù)據(jù)中心,虛擬流量逐漸產(chǎn)生,數(shù)據(jù)中心的概念在逐漸模糊,同地域,不同地域,同資源池,不同資源區(qū)分等,本章節(jié)主要是講述,相同數(shù)據(jù)中心之間的網(wǎng)絡(luò)架構(gòu)實(shí)現(xiàn),以新老技術(shù)為背景,進(jìn)行實(shí)現(xiàn)與架構(gòu)設(shè)計(jì)的分享。
1.1VPLS的實(shí)現(xiàn)
vpls對(duì)于傳統(tǒng)網(wǎng)絡(luò)來(lái)說(shuō),這個(gè)詞語(yǔ)并不陌生,在之前文章當(dāng)中已經(jīng)提及基本知識(shí),本章不再對(duì)基本知識(shí)進(jìn)行相關(guān)介紹,主要以架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行分享,我們都知道,MPLS-VPN,這個(gè)2.5層的網(wǎng)絡(luò)路由協(xié)議可以說(shuō)是一種比較老舊的技術(shù),但是在當(dāng)前云計(jì)算的環(huán)境下,對(duì)于多業(yè)務(wù)的區(qū)分,多種虛擬流量的整合又重新興起到了現(xiàn)有的云計(jì)算網(wǎng)絡(luò)平臺(tái),它們將會(huì)發(fā)揮它們?cè)谟谶壿嬀W(wǎng)絡(luò)區(qū)分的優(yōu)勢(shì),繼續(xù)發(fā)揮這個(gè)老司機(jī)的作用。之所以認(rèn)為它是屬于相同數(shù)據(jù)中心的網(wǎng)絡(luò)通信協(xié)議,其實(shí)不難理解,MPLS也好VPLS也好,都是一種依靠LABLE傳遞的路由協(xié)議,那么對(duì)于租用運(yùn)營(yíng)商鏈路或者跨域其他鏈路資源來(lái)說(shuō),中間的設(shè)備必須具有LABLE的能力,整體來(lái)說(shuō),還是屬于一張私有的邏輯網(wǎng)絡(luò),那么整個(gè)網(wǎng)絡(luò)其實(shí)可以理解為一個(gè)數(shù)據(jù)中心的整體,并沒有在廣域鏈路上進(jìn)行完全的隔離與混合,那么在云背景下,對(duì)于二層網(wǎng)絡(luò)來(lái)說(shuō),vpls也即是再適合不過(guò)的一個(gè)流量區(qū)分的一個(gè)協(xié)議選擇了,其天生的VSI標(biāo)示,就是對(duì)于每一個(gè)二層網(wǎng)絡(luò)進(jìn)行相互隔離的一個(gè)基本機(jī)制,利用其VSI我們就可以對(duì)不同的流量或者云計(jì)算當(dāng)中的每個(gè)虛擬網(wǎng)絡(luò)流量進(jìn)行區(qū)分,本節(jié)將會(huì)以vpls為主,進(jìn)行分享。
VPLS在個(gè)人業(yè)務(wù)中的應(yīng)用
業(yè)務(wù)描述:
HSI(High Speed Internet)、VoIP(Voice Over IP)、BTV(Broadband TV)這些個(gè)人業(yè)務(wù)通常是通過(guò)運(yùn)營(yíng)商的城域網(wǎng)來(lái)承載業(yè)務(wù)流量的。
由于個(gè)人業(yè)務(wù)的業(yè)務(wù)網(wǎng)關(guān)(SR/BRAS等)部署在了城域出口,也就意味著用戶的二層報(bào)文需要透?jìng)鞯綐I(yè)務(wù)網(wǎng)關(guān)(因?yàn)槿绻赑E上終結(jié)了二層報(bào)文,轉(zhuǎn)為三層路由轉(zhuǎn)發(fā)的話,承載在二層報(bào)文中的用戶信息將會(huì)丟失,而無(wú)法到達(dá)業(yè)務(wù)網(wǎng)關(guān),導(dǎo)致業(yè)務(wù)網(wǎng)關(guān)無(wú)法對(duì)用戶實(shí)施控制),需要使用VPLS/VLL等技術(shù)透?jìng)鞫䦟訄?bào)文。當(dāng)城域網(wǎng)部署主備業(yè)務(wù)網(wǎng)關(guān)時(shí),用戶流量需要雙歸屬接入業(yè)務(wù)網(wǎng)關(guān),此時(shí)必須使用VPLS技術(shù)才能實(shí)現(xiàn)。
組網(wǎng)描述:
個(gè)人業(yè)務(wù)(HSI、VoIP、BTV)依次通過(guò)城域網(wǎng)的接入層、匯聚層、核心層到達(dá)Internet網(wǎng)絡(luò)。如圖3是承載個(gè)人業(yè)務(wù)的典型組網(wǎng)。
HSI業(yè)務(wù)通過(guò)該承載網(wǎng),訪問(wèn)Internet網(wǎng)絡(luò)。
VoIP業(yè)務(wù)經(jīng)過(guò)該承載網(wǎng),向DHCP(Dynamic Host Configuration Protocol)Server申請(qǐng)IP地址。
BTV業(yè)務(wù)經(jīng)過(guò)該承載網(wǎng),向組播源申請(qǐng)組播服務(wù)。
圖2 個(gè)人業(yè)務(wù)(HSI、VoIP、BTV)
部署特性:
VPLS特性通常部署于PE設(shè)備之間,實(shí)現(xiàn)流量在PE設(shè)備之間的透明傳輸。根據(jù)圖1,以部署LDP方式的VPLS為例:
接入層設(shè)備的特性:
部署VLAN特性,用于區(qū)分不同類型的用戶。
部署PPPoEoA(PPPoE over AAL5)和PPPoA(PPP over AAL5)特性,實(shí)現(xiàn)HSI業(yè)務(wù)用戶的撥號(hào)接入。
部署組播VLAN、IGMP Snooping業(yè)務(wù),實(shí)現(xiàn)組播業(yè)務(wù)分發(fā)。
匯聚層設(shè)備的特性:
PE設(shè)備部署IGP(Interior Gateway Protocol)協(xié)議,實(shí)現(xiàn)PE設(shè)備間路由互通。
PE設(shè)備部署MPLS基本功能,使得PE設(shè)備之間建立遠(yuǎn)端會(huì)話。
PE設(shè)備部署MPLS L2VPN功能,同時(shí)建立VSI實(shí)例。
PE設(shè)備部署VPLS菊花鏈方式的組播業(yè)務(wù),實(shí)現(xiàn)組播業(yè)務(wù)分發(fā)。
核心層設(shè)備的特性:
BRAS(Broadband Remote Access Server)設(shè)備部署認(rèn)證、計(jì)費(fèi)等特性,用于進(jìn)行HSI業(yè)務(wù)的終結(jié)。
SR(Service Router)設(shè)備部署IGP協(xié)議,實(shí)現(xiàn)路由互通。
SR設(shè)備部署MPLS基本功能。
SR設(shè)備部署DHCP Relay功能,實(shí)現(xiàn)VoIP用戶通過(guò)DHCP Server獲得IP地址。
SR設(shè)備部署三層組播特性,實(shí)現(xiàn)與組播源之間業(yè)務(wù)的互通。
VPLS在企業(yè)業(yè)務(wù)中的應(yīng)用
業(yè)務(wù)描述:
目前,很多企業(yè)的分布范圍日益擴(kuò)大,公司員工的移動(dòng)性也不斷增加,因此企業(yè)中立即消息、網(wǎng)絡(luò)會(huì)議的應(yīng)用越來(lái)越廣泛。這些應(yīng)用對(duì)端到端的數(shù)據(jù)通信技術(shù)有了更高的要求。端到端數(shù)據(jù)通信功能的實(shí)現(xiàn)依賴于一個(gè)能夠支持多點(diǎn)業(yè)務(wù)的網(wǎng)絡(luò)。同時(shí),企業(yè)業(yè)務(wù)本身對(duì)數(shù)據(jù)保密的固有特點(diǎn),多點(diǎn)傳輸時(shí)不僅要求能保證網(wǎng)絡(luò)可靠性,還要求提供透明、安全的數(shù)據(jù)通道。
在運(yùn)營(yíng)商建立的城域網(wǎng)中,企業(yè)的多個(gè)分支機(jī)構(gòu)分布在不同區(qū)域。此時(shí),需要將企業(yè)機(jī)構(gòu)之間的二層業(yè)務(wù)報(bào)文通過(guò)城域網(wǎng)傳輸時(shí)通常會(huì)使用VPLS技術(shù),實(shí)現(xiàn)分布在不同地區(qū)的企業(yè)內(nèi)部之間的互通。
組網(wǎng)描述:
企業(yè)業(yè)務(wù)通過(guò)城域網(wǎng)傳輸。如圖1是承載企業(yè)業(yè)務(wù)的典型組網(wǎng)。某企業(yè)擁有多個(gè)分支機(jī)構(gòu),Site1、Site2、Site3是研發(fā)部門。通過(guò)部署VPLS特性,實(shí)現(xiàn)site之間二層網(wǎng)絡(luò)互通。
圖3 企業(yè)業(yè)務(wù)典型組網(wǎng)
部署特性:
VPLS特性通常部署于PE設(shè)備之間,實(shí)現(xiàn)流量在PE設(shè)備之間的透明傳輸。從企業(yè)用戶看來(lái),公網(wǎng)類似一個(gè)二層交換機(jī)。根據(jù)圖1,以部署LDP方式的VPLS為例:
接入層設(shè)備的特性:
部署VLAN特性,用于區(qū)分不同類型的企業(yè)用戶。
匯聚層設(shè)備的特性:
PE設(shè)備部署IGP協(xié)議,實(shí)現(xiàn)PE設(shè)備間路由互通。
PE設(shè)備部署MPLS基本功能,使得PE設(shè)備之間建立遠(yuǎn)端會(huì)話。
PE設(shè)備部署MPLS L2VPN功能,同時(shí)建立VSI實(shí)例。采用VPLS雙歸組網(wǎng)形式,實(shí)現(xiàn)對(duì)流量的保護(hù)。
PE設(shè)備部署MAC地址限制、報(bào)文流量抑制功能,實(shí)現(xiàn)對(duì)數(shù)據(jù)保護(hù)。
1.1.1 HVPLS
HVPLS(Hierarchical Virtual Private LAN Service),即分層VPLS,是一種實(shí)現(xiàn)VPLS網(wǎng)絡(luò)層次化的一種技術(shù)。
HVPLS 產(chǎn)生背景
以LDP方式為信令的VPLS,為了避免環(huán)路,其基本解決辦法都是在信令上建立所有站點(diǎn)的全連接,LDP建立所有站點(diǎn)之間的LDP會(huì)話的全連接。在進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)時(shí),對(duì)于從PW來(lái)的報(bào)文,根據(jù)水平分割轉(zhuǎn)發(fā)的原理,將不會(huì)再向其他的PW轉(zhuǎn)發(fā)。如果一個(gè)VPLS有N臺(tái)PE設(shè)備,該VPLS就有N×(N-1)÷2個(gè)連接。當(dāng)VPLS的PE增多時(shí),VPLS的連接數(shù)就成N平方級(jí)數(shù)增加。假設(shè)有100個(gè)站點(diǎn),站點(diǎn)間的LDP會(huì)話數(shù)目將是4950個(gè)。上述VPLS方案不能大規(guī)模的應(yīng)用的真正缺點(diǎn)是提供VC的PE需要復(fù)制數(shù)據(jù)包,對(duì)于第一個(gè)未知單播報(bào)文和廣播、組播報(bào)文,每個(gè)PE設(shè)備需要向所有的對(duì)端設(shè)備廣播報(bào)文,這樣就會(huì)浪費(fèi)帶寬。
為解決VPLS的全連接問(wèn)題,增加網(wǎng)絡(luò)的可擴(kuò)展性,產(chǎn)生了HVPLS組網(wǎng)方案。在協(xié)議draft-ietf-l2vpn_vpls_ldp中引入了HVPLS。HVPLS通過(guò)把網(wǎng)絡(luò)分級(jí),每一級(jí)網(wǎng)絡(luò)形成全連接,分級(jí)間的設(shè)備通過(guò)PW來(lái)連接,分級(jí)之間的設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)不遵守水平分割原則,而是可以相互轉(zhuǎn)發(fā)。
圖4 HVPLS MODEL
HVPLS的基本模型中,可以把PE分為兩種:
UPE:用戶的匯聚設(shè)備,即直接連接CE的設(shè)備稱為下層PE(Underlayer
PE),簡(jiǎn)稱UPE。UPE只需要與基本VPLS全連接網(wǎng)絡(luò)的其中一臺(tái)PE建立連接。UPE支持路由和MPLS封裝。如果一個(gè)UPE連接多個(gè)CE,且具備基本橋接功能,那么數(shù)據(jù)幀轉(zhuǎn)發(fā)只需要在UPE進(jìn)行,這樣減輕了SPE的負(fù)擔(dān)。
SPE:連結(jié)UPE并位于基本VPLS全連接網(wǎng)絡(luò)內(nèi)部的核心設(shè)備稱為上層PE(Superstratum
PE),簡(jiǎn)稱SPE。SPE與基本VPLS全連接網(wǎng)絡(luò)內(nèi)部的其他設(shè)備都建立連接。
對(duì)于SPE來(lái)說(shuō),與之相連的UPE就像一個(gè)CE。從數(shù)據(jù)轉(zhuǎn)發(fā)的角度看,UPE與SPE之間建立的PW將作為SPE的AC,UPE將CE發(fā)送來(lái)的報(bào)文封裝兩層MPLS標(biāo)簽,外層為L(zhǎng)SP的標(biāo)簽,該標(biāo)簽經(jīng)過(guò)接入網(wǎng)的不同設(shè)備時(shí)被交換;內(nèi)層標(biāo)簽為VC標(biāo)簽,用于標(biāo)識(shí)VC。SPE收到的報(bào)文包含兩層標(biāo)簽,外層的公網(wǎng)標(biāo)簽被直接彈出,SPE根據(jù)內(nèi)層的標(biāo)簽決定該AC接入哪個(gè)VSI并進(jìn)行內(nèi)層標(biāo)簽交換。
HVPLS的接入方式
如圖4所示,UPE1作為匯聚設(shè)備,它只跟SPE1建立一條虛鏈路而接入鏈路PW,跟其他所有的對(duì)端都不建立虛鏈路。UPE與SPE之間的PW稱為U-PW,SPE間的PW稱為S-PW。
以CE1發(fā)送報(bào)文到CE2為例,數(shù)據(jù)轉(zhuǎn)發(fā)流程如下:
CE1發(fā)送報(bào)文給UPE1,報(bào)文的目的MAC地址是CE2;
UPE1負(fù)責(zé)將CE1發(fā)送的報(bào)文發(fā)給SPE1,UPE1為該報(bào)文打上兩層MPLS標(biāo)簽,外層標(biāo)簽標(biāo)識(shí)UPE1與SPE1之間的LSP Tunnel ID,內(nèi)層標(biāo)簽標(biāo)識(shí)UPE1與SPE1之間的VC ID;
UPE1與SPE1之間的LSR對(duì)用戶報(bào)文進(jìn)行傳遞和標(biāo)簽交換,最終在倒數(shù)第二跳報(bào)文的外層標(biāo)簽被剝離;
SPE1收到報(bào)文后,根據(jù)MPLS內(nèi)層標(biāo)簽判斷報(bào)文所屬的VSI,發(fā)現(xiàn)該報(bào)文屬于VSI1;
SPE1去掉UPE1給用戶報(bào)文打上的MPLS內(nèi)層標(biāo)簽;
SPE1根據(jù)用戶報(bào)文的目的MAC,查找VSI的表項(xiàng),發(fā)現(xiàn)該報(bào)文應(yīng)該被發(fā)往SPE2。SPE1給該報(bào)文打上兩層MPLS標(biāo)簽,外層標(biāo)簽標(biāo)識(shí)SPE1與SPE2之間的LSP Tunnel ID,內(nèi)層標(biāo)簽標(biāo)識(shí)SPE1與SPE2之間的VC ID;
SPE1與SPE2之間的LSR對(duì)用戶報(bào)文進(jìn)行傳遞和標(biāo)簽交換,最終在倒數(shù)第二跳報(bào)文的外層標(biāo)簽被剝離;
SPE2從S-PW側(cè)收到該報(bào)文后,根據(jù)內(nèi)層MPLS標(biāo)簽判斷報(bào)文所屬的VSI,發(fā)現(xiàn)該報(bào)文屬于VSI1,并去掉SPE1給該報(bào)文打上的內(nèi)層MPLS標(biāo)簽;
SPE2為該報(bào)文打上兩層MPLS標(biāo)簽,外層標(biāo)簽標(biāo)識(shí)SPE2與UPE2之間的LSP Tunnel ID,內(nèi)層標(biāo)簽標(biāo)識(shí)UPE2與SPE2之間的VC ID,并轉(zhuǎn)發(fā)該報(bào)文;
SPE2與UPE2之間的LSR對(duì)用戶報(bào)文進(jìn)行傳遞和標(biāo)簽交換,最終在倒數(shù)第二跳報(bào)文的外層標(biāo)簽被剝離;
UPE2收到該報(bào)文后,去掉UPE2給用戶報(bào)文打上的MPLS內(nèi)層標(biāo)簽,根據(jù)用戶報(bào)文的目的MAC,查找VSI的表項(xiàng),發(fā)現(xiàn)該報(bào)文應(yīng)該被發(fā)往CE2,并轉(zhuǎn)發(fā)該報(bào)文。
CE1與CE4為本地CE之間交換數(shù)據(jù),如圖2所示。由于UPE本身具有橋接功能,UPE直接完成兩者間的報(bào)文轉(zhuǎn)發(fā),而無(wú)需將報(bào)文上送SPE1。不過(guò)對(duì)于從CE1發(fā)來(lái)的目的MAC未知的第一個(gè)報(bào)文或廣播報(bào)文,UPE1在廣播到CE4的同時(shí),仍然會(huì)通過(guò)U-PW轉(zhuǎn)發(fā)給SPE1,由SPE1來(lái)完成報(bào)文的復(fù)制并轉(zhuǎn)發(fā)到各個(gè)對(duì)端CE。
HVPLS的環(huán)路避免
與VPLS的環(huán)路避免相比,H-VPLS中環(huán)路避免方法需要做如下調(diào)整:
只需要在SPE之間建立全連接(PW全連接),UPE和SPE之間不需要全連接。
每個(gè)SPE設(shè)備上,從與SPE連接的PW上收到的報(bào)文,不再向這個(gè)VSI關(guān)聯(lián)的、與其它SPE連接的PW轉(zhuǎn)發(fā),但可以向與UPE連接的PW轉(zhuǎn)發(fā)。
每個(gè)SPE設(shè)備上,從與UPE連接的PW上收到的報(bào)文,可以向這個(gè)VSI關(guān)聯(lián)的所有與其它SPE連接的PW轉(zhuǎn)發(fā)。
1.1.1.1配置LDP方式的HVPLS示例
組網(wǎng)需求:
企業(yè)機(jī)構(gòu),自建骨干網(wǎng)。分支Site1使用CE1連接UPE設(shè)備接入骨干網(wǎng),分支Site2使用CE2連接UPE接入骨干網(wǎng),分支Site3使用CE3連接普通PE1接入骨干網(wǎng),F(xiàn)在Site1、Site2和Site3的用戶需要進(jìn)行二層業(yè)務(wù)的互通,同時(shí)要求在穿越骨干網(wǎng)時(shí)保留二層報(bào)文中用戶信息。另外要求骨干網(wǎng)的UPE和SPE實(shí)現(xiàn)分層次的網(wǎng)絡(luò)結(jié)構(gòu)。
配置思路:
采用如下的思路配置LDP方式的HVPLS基本功能:
為實(shí)現(xiàn)Site1、Site2和Site3的二層業(yè)務(wù)互通,同時(shí)在穿越骨干網(wǎng)時(shí)保留二層報(bào)文的用戶信息,故需要使用VPLS技術(shù)在骨干網(wǎng)透?jìng)鞫䦟訄?bào)文;
由于企業(yè)需要實(shí)現(xiàn)分層次的網(wǎng)絡(luò)結(jié)構(gòu),可以選擇LDP方式的HVPLS,形成層次化的網(wǎng)絡(luò)拓?fù)洳?shí)現(xiàn)各CE設(shè)備二層網(wǎng)絡(luò)的互通;
為實(shí)現(xiàn)PE間數(shù)據(jù)的公網(wǎng)傳輸,需要在骨干網(wǎng)上配置IGP路由協(xié)議實(shí)現(xiàn)互通;
VPLS實(shí)現(xiàn)依靠MPLS基本功能,故需要在骨干網(wǎng)上的設(shè)備配置MPLS基本功能和LDP;
為使PE間傳輸?shù)臄?shù)據(jù)不被公網(wǎng)感知,需要在PE間建立傳輸數(shù)據(jù)所使用的隧道;
為實(shí)現(xiàn)VPLS功能,需要在PE上使能MPLS L2VPN;
為實(shí)現(xiàn)LDP方式的VPLS,需要在PE上創(chuàng)建VSI,指定信令為L(zhǎng)DP,然后在UPE和PE1上將VSI與AC接口綁定;
為實(shí)現(xiàn)層次化的HVPLS功能,需要在SPE上指定UPE為自己的下層PE,PE1為VSI對(duì)等體;在UPE和PE1上分別指定SPE為VSI對(duì)等體。
1.1.2 Martini VPLS
組網(wǎng)需求:
如圖1,某企業(yè)機(jī)構(gòu),自建骨干網(wǎng)。分支Site站點(diǎn)較少(舉例中只列出2個(gè)站點(diǎn),其余省略),分支Site1使用CE1連接PE1設(shè)備接入骨干網(wǎng),分支Site2使用CE2連接PE2接入骨干網(wǎng)。現(xiàn)在Site1和Site2的用戶需要進(jìn)行二層業(yè)務(wù)的互通,同時(shí)要求在穿越骨干網(wǎng)時(shí)保留二層報(bào)文中用戶信息。
圖5 Martini方式配置VPLS
1.1.2.1 配置Marrtini VPLS的示例
采用如下的思路配置Martini方式VPLS的基本功能:
為實(shí)現(xiàn)Site1和Site2的二層業(yè)務(wù)互通,同時(shí)在穿越骨干網(wǎng)時(shí)保留二層報(bào)文的用戶信息,故需要使用VPLS技術(shù)在骨干網(wǎng)透?jìng)鞫䦟訄?bào)文;
由于企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的Site站點(diǎn)較少,可以選擇Martini方式的VPLS,實(shí)現(xiàn)各CE設(shè)備二層網(wǎng)絡(luò)的互通;
為實(shí)現(xiàn)PE間數(shù)據(jù)的公網(wǎng)傳輸,需要在骨干網(wǎng)上配置IGP路由協(xié)議實(shí)現(xiàn)互通;
VPLS實(shí)現(xiàn)依靠MPLS基本功能,故需要在骨干網(wǎng)上的設(shè)備配置MPLS基本功能和LDP;
為使PE間傳輸?shù)臄?shù)據(jù)不被公網(wǎng)感知,需要在PE間建立傳輸數(shù)據(jù)所使用的隧道;
為實(shí)現(xiàn)VPLS功能,需要在PE上使能MPLS L2VPN;
為實(shí)現(xiàn)Martini方式VPLS,需要在PE上創(chuàng)建VSI,指定信令為L(zhǎng)DP,然后將VSI與AC接口綁定。
1.2Fabrica-Path的實(shí)現(xiàn)
1) vPC+實(shí)現(xiàn)雙活的網(wǎng)關(guān)路由
如果在FabricPath網(wǎng)絡(luò)中單純的使用HSRP技術(shù),HSRP虛擬IP地址所對(duì)應(yīng)的虛擬MAC地址,只會(huì)映射到活動(dòng)的網(wǎng)關(guān)的Switch ID。這樣FabricPath去往外部三層網(wǎng)絡(luò)的流量只會(huì)從活動(dòng)網(wǎng)關(guān)轉(zhuǎn)發(fā)。但是如果在HSRP環(huán)境下啟用了vPC+技術(shù),如圖8-33所示,HSRP的虛擬MAC地址會(huì)映射到vPC+虛擬交換機(jī)的Switch ID。并且在FabricPath路由表中會(huì)學(xué)習(xí)到去往虛擬交換機(jī)Switch ID的路由通過(guò)兩個(gè)網(wǎng)關(guān)進(jìn)行負(fù)載均衡,真正實(shí)現(xiàn)了去往外部三層網(wǎng)絡(luò)的負(fù)載均衡。
圖6 外部網(wǎng)絡(luò)
1.3 Trill的實(shí)現(xiàn)
圖7 IP Network
通過(guò)TRILL協(xié)議構(gòu)建扁平化二層網(wǎng)絡(luò),實(shí)現(xiàn)整網(wǎng)無(wú)阻塞轉(zhuǎn)發(fā)及虛擬機(jī)的任意遷移。使用TRILL協(xié)議部署數(shù)據(jù)中心網(wǎng)絡(luò)時(shí),首先在所有設(shè)備上配置TRILL基本功能,繼而根據(jù)網(wǎng)絡(luò)層次,進(jìn)行如下處理:
接入層:
在用戶側(cè)配置CE VLAN接入服務(wù)器,配置后用戶流量可以通過(guò)TRILL網(wǎng)絡(luò)傳輸。如果服務(wù)器通過(guò)接入設(shè)備雙上行接入到TRILL網(wǎng)絡(luò)中,建議用戶在連接接入設(shè)備的邊緣RB上配置STP/RSTP/MSTP聯(lián)動(dòng)TRILL功能進(jìn)行破環(huán)。在網(wǎng)絡(luò)側(cè),可以調(diào)整TRILL的路由選路和控制TRILL的網(wǎng)絡(luò)收斂來(lái)保證網(wǎng)絡(luò)高效轉(zhuǎn)發(fā)。
核心層:
在網(wǎng)絡(luò)側(cè)可以調(diào)整TRILL的路由選路和控制TRILL的網(wǎng)絡(luò)收斂來(lái)保證網(wǎng)絡(luò)高效轉(zhuǎn)發(fā)。在出口側(cè),可以通過(guò)出口路由器連接企業(yè)其他網(wǎng)絡(luò),或者在核心層設(shè)備上配置虛擬系統(tǒng)VS(Virtual System),使用其中一個(gè)VS作為出口網(wǎng)關(guān),連接企業(yè)其他網(wǎng)絡(luò)。
三、 數(shù)據(jù)中心私有安全通道
VPN屬于目前云計(jì)算環(huán)境當(dāng)中典型的鏈路加密方式,在整個(gè)云計(jì)算環(huán)境體系當(dāng)中,SSL與IPsec VPN屬于最典型也是最廣泛使用的兩種VPN技術(shù)。
資源集中屬于云計(jì)算的一個(gè)天然的本質(zhì),統(tǒng)一的資源池化,但是整個(gè)云計(jì)算環(huán)境當(dāng)中面臨的用戶與后臺(tái)服務(wù)之間在廣域網(wǎng)上的安全通道就面臨了直接的挑戰(zhàn),每個(gè)業(yè)務(wù)的網(wǎng)絡(luò)都有可能在整個(gè)互聯(lián)網(wǎng)上進(jìn)行傳遞,公有云也好,私有云也好,統(tǒng)一面臨著安全問(wèn)題,為了在整個(gè)網(wǎng)絡(luò)通道進(jìn)行安全加密,我們多數(shù)人想到的都是VPN,因?yàn)閂PN天然具備了兩種基本特性-長(zhǎng)連接與加密。
長(zhǎng)連接在VPN狀態(tài)的體現(xiàn)就是每條連接都是有狀態(tài)的連接,也就是通常會(huì)使用類似“三次握手”的機(jī)制保證它的連接性,加密技術(shù)使得整個(gè)數(shù)據(jù)報(bào)文在專遞過(guò)程當(dāng)中,對(duì)于任何人來(lái)說(shuō)都是不可見的狀態(tài),保證了傳輸?shù)陌踩浴?/div>
VPN的選擇有很多,對(duì)于多種選擇來(lái)說(shuō),目前比較廣泛的可靠性加密傳輸為IPsec與SSL兩種VPN技術(shù),本節(jié)以SSL VPN與IPsec進(jìn)行分享。
3.1 SSL VPN
SSL VPN同傳統(tǒng)的加密技術(shù)具備如下優(yōu)勢(shì):
部署簡(jiǎn)潔:
目前所有瀏覽器都將SSL作為基本功能之一所集成,在用戶訪問(wèn)時(shí),通常的加密將會(huì)自動(dòng)建立,不再使每一個(gè)訪問(wèn)者進(jìn)行配置與維護(hù),這種零客戶端的處理機(jī)制,都極大地使得安全訪問(wèn)變得如此簡(jiǎn)單。
訪問(wèn)的精細(xì)控制
SSL VPN可以對(duì)加密的隧道進(jìn)行區(qū)分,使得每個(gè)用戶可以區(qū)分不同的網(wǎng)絡(luò)流向,采用不同的加密方式,甚至可以提供用戶級(jí)別的鑒權(quán)機(jī)制,依據(jù)安全策略,保證授權(quán)的用戶訪問(wèn)特定的資源限制,這在傳統(tǒng)的VPN當(dāng)中實(shí)現(xiàn),基本是不可能的一種實(shí)現(xiàn)方式。
FIRWALL的穿越機(jī)制
因?yàn)镾SL VPN工作在傳輸層之上,那么對(duì)于傳統(tǒng)的NAT與防火墻設(shè)備而言,用戶可以在任何地點(diǎn)安全訪問(wèn)內(nèi)部資源,而不會(huì)被傳統(tǒng)的相關(guān)防火墻所阻擋,并且在解決IP地址沖突方面優(yōu)越于其他VPN方式。
安全保護(hù)的可靠性
由于SSL VPN網(wǎng)關(guān)隔離了內(nèi)網(wǎng)的服務(wù)與相關(guān)的客戶端,只通過(guò)WEB接口進(jìn)行瀏覽,使得客戶端的大部分木馬無(wú)法傳染到所訪問(wèn)的云服務(wù)器之上,保證了安全的可靠性機(jī)制。
SSL握手協(xié)議過(guò)程:
客戶機(jī)向服務(wù)器發(fā)出client hello消息,在該消息當(dāng)中包含了SSL洗衣版本號(hào),隨機(jī)數(shù),會(huì)話標(biāo)識(shí),(連接未建立時(shí),此標(biāo)識(shí)為空)、密碼算法組件配置、壓縮算法組件配置,以及其他服務(wù)器需要客戶機(jī)提供的基本SSL協(xié)議消息。
服務(wù)器端向客戶機(jī)發(fā)送 server hello 消息,在該消息當(dāng)中包含了SSL協(xié)議版本號(hào),隨機(jī)數(shù),會(huì)話標(biāo)識(shí),選擇的密碼算法,選擇的壓縮算法,以及其他的SSL協(xié)議信息。若服務(wù)器端要驗(yàn)證客戶機(jī)的證書,將發(fā)送一個(gè)客戶證書請(qǐng)求,將這些內(nèi)容發(fā)送結(jié)束后,發(fā)出server hello down消息作為對(duì)client hello回應(yīng)的結(jié)束。
圖8 SSL握手協(xié)議過(guò)程
客戶機(jī)根據(jù)收到的信息來(lái)驗(yàn)證服務(wù)器的身份,如果服務(wù)器的身份無(wú)法被驗(yàn)證,那么客戶端就會(huì)收到警告信息,驗(yàn)證通過(guò)進(jìn)行下一步驗(yàn)證同步。
客戶機(jī)與服務(wù)器使用master secret進(jìn)行session keys(連接秘鑰)生成,它屬于對(duì)稱密鑰,在SSL會(huì)話過(guò)程中,用來(lái)進(jìn)行數(shù)據(jù)的加密與解密,同時(shí)用于數(shù)據(jù)的完整性。
客戶機(jī)向服務(wù)器發(fā)送一條消息,聲明后面發(fā)送過(guò)來(lái)的數(shù)據(jù)幀將會(huì)使用加密秘鑰,接著還會(huì)再發(fā)出一條單獨(dú)的消息表明建立連接信任時(shí)客戶端的工作已經(jīng)完成,至此SSL的握手協(xié)議正式結(jié)束,開始進(jìn)行SSL會(huì)話,客戶機(jī)與服務(wù)器使用session keys來(lái)完成通信過(guò)程中數(shù)據(jù)的加密解密以及數(shù)據(jù)的完整性檢查。
SSL記錄協(xié)議:
在SSL協(xié)議中,所有的傳輸都會(huì)被封裝記錄,記錄是由記錄頭和長(zhǎng)度不為0的記錄數(shù)據(jù)組成,所有SSL協(xié)議當(dāng)中(包括握手協(xié)議、安全空白記錄和應(yīng)用數(shù)據(jù))都是使用SSL記錄層協(xié)議進(jìn)行記錄,并且其定義了記錄頭和記錄數(shù)據(jù)的相關(guān)格式。
SSL VPN分為多種類型,在基本技術(shù)框架的基礎(chǔ)上,可以細(xì)分為零客戶端,瘦客戶端和隧道模式三種,其中隧道模式可以用在沒有web瀏覽器的環(huán)境當(dāng)中。
3.2 IPsec VPN
在傳統(tǒng)VPN方式當(dāng)中,IPsec是目前部署最為廣泛的點(diǎn)對(duì)點(diǎn)VPN技術(shù)之一,點(diǎn)對(duì)多點(diǎn)為MPLS-VPN或者VPLS-VPN,當(dāng)位于兩地的分支機(jī)構(gòu)希望使用VPN技術(shù)進(jìn)行通信時(shí),一種情況就是向運(yùn)營(yíng)商申請(qǐng)專線資源,但是這種資源方式對(duì)于一般企業(yè)而言價(jià)格高昂,而且安全性問(wèn)題無(wú)法得到確切的保證,IPsec就在這種情況之下孕育而出。IPsec將網(wǎng)關(guān)設(shè)備發(fā)往對(duì)端的數(shù)據(jù)打包加密后,在因特網(wǎng)上進(jìn)行傳輸,對(duì)端網(wǎng)關(guān)設(shè)備收到數(shù)據(jù)包,解封裝后再發(fā)往目的客戶端,而整個(gè)過(guò)程對(duì)于客戶端來(lái)說(shuō)都屬于無(wú)感知狀態(tài),效果跟租用運(yùn)營(yíng)商鏈路一樣,但是加密過(guò)程使得數(shù)據(jù)充分保持了安全性。
對(duì)于IPsec VPN,無(wú)論是哪種數(shù)據(jù)流,若一方進(jìn)行了加密,而另一方?jīng)]有配,則無(wú)法通訊,對(duì)于GRE則,路由鄰居都無(wú)法建立。另一個(gè)概念是隧道模式和傳輸模式。所謂的隧道模式還是傳輸模式,是針對(duì)如ESP如何封裝數(shù)據(jù)包的,前提是ESP在最外面,如果都被Over到了GRE里,自然談不上什么隧道模式和傳輸模式(都為隧道模式)。只有當(dāng)GRE Over IPsec的時(shí)候,才可以將模式改為傳輸模式。IPsec不支持組播,即不能傳遞路由協(xié)議,而GRE支持。
目前雖然IPsec VPN仍然為主流VPN方式,但是在云環(huán)境下,它也不得不去面臨其管理成本高昂、由于工作在OSI第三層上,而使其協(xié)議本身無(wú)法附帶高層的安全策略、網(wǎng)絡(luò)配置的復(fù)雜性等問(wèn)題。
而SSL恰好解決了這些方面的原因,云計(jì)算的目的是向遠(yuǎn)程用戶提供服務(wù),但其實(shí)其多租戶的概念并不想讓自己的所有虛擬網(wǎng)絡(luò)暴露在整個(gè)平臺(tái)外,但是通過(guò)IPsec進(jìn)行通訊時(shí),很容易使得本地電腦上所附加的病毒、木馬等安全隱患直接帶到云環(huán)境當(dāng)中的某個(gè)云主機(jī)上,SSL正好在遠(yuǎn)程接入方面補(bǔ)齊了云環(huán)境下對(duì)于IPsec這個(gè)弊端所帶來(lái)的隱患問(wèn)題。但是雖說(shuō)IPsec年歲以大,但是寶刀未老,其安全特性依然還是使用在眾多網(wǎng)絡(luò)環(huán)境當(dāng)中,其中以下兩點(diǎn)為IPsec使用的兩種最多的場(chǎng)景。
3.2.1 IPsec over GRE
IPsec Over GRE的主意為IPsec加密在里,GRE在外。先把需要加密的數(shù)據(jù)包封裝成IPsec包,然后再扔到GRE隧道里。作法是把IPsec的加密作用在隧道接口上,即為Tunnel口上監(jiān)控?cái)?shù)據(jù)報(bào)文是否有需要加密的數(shù)據(jù)流,有則先加密封裝為IPsec包,然后封裝成GRE包進(jìn)入隧道(那么顯而易見的是,GRE隧道始終存在,GRE整條VPN隧道并沒有被加密),同時(shí),未在控制表內(nèi)的數(shù)據(jù)流將以不加密的狀態(tài)直接走GRE的隧道,那么有些數(shù)據(jù)報(bào)文傳遞過(guò)程當(dāng)中,可能并未真正加密,使得數(shù)據(jù)報(bào)文在傳遞過(guò)程當(dāng)中,無(wú)法完全保證每條數(shù)據(jù)流量的安全性,同時(shí),IPsec并不支持組播報(bào)文的傳遞,所以此種方式在企業(yè)網(wǎng)數(shù)據(jù)流量導(dǎo)向使用的比較少。
3.2.2 GRE over IPsec
GRE Over IPsec是指,先把數(shù)據(jù)封裝成GRE包,然后再封裝成IPsec報(bào)文。實(shí)現(xiàn)方式是在相應(yīng)接口上進(jìn)行流量監(jiān)控,檢測(cè)是否有需要加密的GRE流量,若是有相應(yīng)流量運(yùn)送過(guò)來(lái),那么所有的這兩個(gè)端口的GRE數(shù)據(jù)流報(bào)文將會(huì)被加密封裝上IPsec包,然后再進(jìn)行傳遞,這樣保證的是所有通過(guò)GRE隧道的數(shù)據(jù)報(bào)文都會(huì)被IPsec加密,包括隧道的建立和路由的建立和傳遞。采用此種方式可以解決IPsec在傳統(tǒng)點(diǎn)對(duì)點(diǎn)VPN當(dāng)中,不支持組播的方式,同時(shí)解決了通過(guò)隧道傳遞的所有報(bào)文都進(jìn)行了加密處理,完全的保證了每條流量的安全性。
圖9 GRE over IPsec
四、 跨數(shù)據(jù)中心二層網(wǎng)絡(luò)互通
在整個(gè)云計(jì)算網(wǎng)絡(luò)環(huán)境中,由于業(yè)務(wù)的批量部署,網(wǎng)絡(luò)的便捷性,對(duì)于2層網(wǎng)絡(luò)來(lái)說(shuō)的需求正在逐年增加,越來(lái)越多的數(shù)據(jù)中心由單物理節(jié)點(diǎn),向多個(gè)不同物理地域所演進(jìn),那么在此過(guò)程當(dāng)中,2層網(wǎng)絡(luò)必然會(huì)隨之增大,甚至到了今天所面臨的跨越數(shù)據(jù)中心2層網(wǎng)絡(luò)通訊的挑戰(zhàn),云計(jì)算的到來(lái)也使得原有的3層主打的網(wǎng)絡(luò)模型變?yōu)榱烁屿`活方便的2層網(wǎng)絡(luò)模型,而云計(jì)算的多租戶,多業(yè)務(wù)模型使得每條業(yè)務(wù)都會(huì)擁有自己獨(dú)有的流量,又需要跨越數(shù)據(jù)中心,又需要2層網(wǎng)絡(luò),同時(shí)需要多租戶,多業(yè)務(wù)基于流的隔離技術(shù),前文已經(jīng)介紹了許多關(guān)于2層流量的問(wèn)題,包括VPLS VPN、Fabric-Path、TRILL等協(xié)議,都是基于流的區(qū)分2層協(xié)議,那么本節(jié)主要針對(duì)跨越不同物理地獄的2層協(xié)議進(jìn)行說(shuō)明。
3.1 OTV
Overlay Transport Virtualization (OTV) —-數(shù)據(jù)中心互聯(lián)解決方案
OTV是一個(gè)典型的在分布式地域的數(shù)據(jù)中心站點(diǎn)之間簡(jiǎn)化2層擴(kuò)展傳輸技術(shù)的工業(yè)解決方案. 使用OTV技術(shù)可以輕松在兩個(gè)站點(diǎn)部署Data Center Interconnect (DCI),而不需要改變或者重新配置現(xiàn)有的網(wǎng)絡(luò).此外更要的,使用OTV技術(shù)可以將不同的地理域的數(shù)據(jù)中心站點(diǎn)構(gòu)建統(tǒng)一的虛擬計(jì)算資源群集,實(shí)現(xiàn)工作主機(jī)的移動(dòng)性,業(yè)務(wù)彈性以及較高的資源利用性. 主要的OTV特點(diǎn)包括:
在多個(gè)IP互聯(lián)的數(shù)據(jù)中心站點(diǎn)擴(kuò)展2層LAN網(wǎng)絡(luò)
簡(jiǎn)單的配置和選項(xiàng):與現(xiàn)有的網(wǎng)絡(luò)無(wú)縫的接合,需要極少的配置(最少4條命令)
可靠的彈性:保留現(xiàn)有的3層故障邊界,提供自動(dòng)的多宿主以及內(nèi)置的防環(huán)機(jī)制
最大可用帶寬:使用等價(jià)多路徑以及優(yōu)化多播復(fù)制
除了在二層網(wǎng)絡(luò)環(huán)境下的特殊處理,OTV同時(shí)對(duì)三層路由也進(jìn)行了相應(yīng)的特殊處理,有針對(duì)性的優(yōu)化更改。數(shù)據(jù)中心局域網(wǎng)通常為了保證高可靠性,高穩(wěn)定性,通常會(huì)設(shè)置一個(gè)出口路由器作為網(wǎng)關(guān),這些路由器上同時(shí)啟用了高HA機(jī)制保證網(wǎng)絡(luò)簡(jiǎn)潔性,同時(shí)對(duì)下層設(shè)備提供一個(gè)VIP進(jìn)行虛擬路由,保證3層網(wǎng)絡(luò)的HA問(wèn)題,底層設(shè)備會(huì)協(xié)同處理數(shù)據(jù)報(bào)文發(fā)送到VIP所在的虛擬路由網(wǎng)關(guān)。
那么對(duì)于數(shù)據(jù)中心之間,不同地域,之間的通信,那么這些保證HA的相關(guān)心跳報(bào)文就會(huì)在不同數(shù)據(jù)中心之間傳遞,這樣就會(huì)發(fā)生一個(gè)不可避免的問(wèn)題,那就是不同城域網(wǎng)或者數(shù)據(jù)中心的下層設(shè)備,就會(huì)認(rèn)為所有出口路由器都處在相同的地域之中,數(shù)據(jù)包很可能會(huì)從一個(gè)SITE跨越距離很長(zhǎng)的路段,傳遞到別的數(shù)據(jù)中心的出口路由器,OTV很好的解決了此類問(wèn)題,當(dāng)其將多個(gè)數(shù)據(jù)中心之間的鏈路打通后,OTV就會(huì)自動(dòng)阻止不同區(qū)域的HSRP、VRRP、GLBP的信令包,從而使得每個(gè)數(shù)據(jù)中心的下層設(shè)備轉(zhuǎn)發(fā)不會(huì)傳遞到其他的區(qū)域,而是從本區(qū)域的VIP出口路由器向外發(fā)送相關(guān)報(bào)文,保證業(yè)務(wù)的高可用同時(shí),使得流量更加易于管理。
在面對(duì)跨越數(shù)據(jù)中心網(wǎng)絡(luò)通訊的時(shí)候,OTV是個(gè)非常高效可靠的一款二層路由協(xié)議,其是一款專供跨越數(shù)據(jù)中心的二層互聯(lián)技術(shù),對(duì)比VPLS有著配置簡(jiǎn)化,邏輯清晰,在廣域網(wǎng)上搭建二層通道的能力正好應(yīng)對(duì)了數(shù)據(jù)中心大二層網(wǎng)絡(luò)互聯(lián)的需求,不過(guò)從技術(shù)層面上去看,VPLS也有其天生特有的優(yōu)勢(shì),就是MPLS-VPN的實(shí)踐程度與可靠性經(jīng)過(guò)了大規(guī)模的驗(yàn)證,但是VPLS依托于Lable封裝,那么其無(wú)法在普通的IP網(wǎng)絡(luò)上進(jìn)行有效的搭建與透?jìng),而OTV恰恰解決了此問(wèn)題。
3.2 EVN
EVN(Ethernet virtual Network)是一種基于VXLAN隧道的二層網(wǎng)絡(luò)互連VPN技術(shù),EVN本身可以通過(guò)MP-BGP協(xié)議來(lái)傳遞二層網(wǎng)絡(luò)間的MAC地址信息,通過(guò)生成的MAC地址表項(xiàng)進(jìn)行二層報(bào)文封裝的轉(zhuǎn)發(fā)。
隨著數(shù)據(jù)中心的業(yè)務(wù)發(fā)展,多個(gè)數(shù)據(jù)中心進(jìn)行二層網(wǎng)絡(luò)互聯(lián)的需求逐漸旺盛,與傳統(tǒng)的vpls虛擬二層網(wǎng)絡(luò)來(lái)進(jìn)行比較,EVN在跨越數(shù)據(jù)中心虛擬二層網(wǎng)絡(luò)互通方面有如下:
與VPLS相比,EVN技術(shù)可以解決上述問(wèn)題:
1) EVN通過(guò)擴(kuò)展BGP協(xié)議使二層網(wǎng)絡(luò)間的MAC地址學(xué)習(xí)和發(fā)布過(guò)程從數(shù)據(jù)平面轉(zhuǎn)移到控制平面。這樣可以使設(shè)備在管理MAC地址時(shí)像管理路由一樣,使目的MAC地址相同但下一跳不同的多條EVN路由實(shí)現(xiàn)負(fù)載分擔(dān);
2) 在EVN網(wǎng)絡(luò)中PE設(shè)備之間是通過(guò)BGP協(xié)議實(shí)現(xiàn)相互通信的。BGP協(xié)議支持路由反射器功能,所以可以在運(yùn)營(yíng)商骨干網(wǎng)上部署路由反射器,所有PE設(shè)備與反射器建立鄰居關(guān)系,通過(guò)路由反射器來(lái)反射EVN路由,大大減少了網(wǎng)絡(luò)部署成本;
3) PE設(shè)備通過(guò)ARP協(xié)議學(xué)習(xí)本地和遠(yuǎn)端的MAC地址信息以及其對(duì)應(yīng)的IP地址,并將這些信息緩存至本地。當(dāng)PE設(shè)備再收到其他ARP請(qǐng)求后,將先查找本地緩存的MAC地址信息,如果查找到對(duì)應(yīng)信息,PE將返回ARP響應(yīng)報(bào)文,避免ARP請(qǐng)求報(bào)文向其他PE設(shè)備廣播,減少網(wǎng)絡(luò)資源消耗;
4) EVN網(wǎng)絡(luò)中不再使用MPLS隧道,而是使用VXLAN隧道。VXLAN隧道可以在PE間的鄰居關(guān)系建立成功后通過(guò)EVN路由的傳播自動(dòng)建立,大大減少了配置工作量。
配置EVN實(shí)現(xiàn)數(shù)據(jù)中心互聯(lián)示例
組網(wǎng)需求
如圖1所示,Site1和Site2內(nèi)為二層數(shù)據(jù)中心網(wǎng)絡(luò),用戶要求實(shí)現(xiàn)不同二層數(shù)據(jù)中心網(wǎng)絡(luò)間相互通信,并保證EVN網(wǎng)絡(luò)的可靠性。當(dāng)運(yùn)營(yíng)商骨干網(wǎng)中存在大量PE設(shè)備時(shí)(舉例中只列出3個(gè)PE設(shè)備,其余省略),可以選擇在運(yùn)營(yíng)商骨干網(wǎng)內(nèi)配置一臺(tái)設(shè)備作為EVN路由反射器,保證PE設(shè)備的全連接。
圖10 配置EVN實(shí)現(xiàn)數(shù)據(jù)中心互聯(lián)組網(wǎng)圖
配置思路
采用如下的思路配置EVN:
1) 骨干網(wǎng)上配置IGP實(shí)現(xiàn)各個(gè)PE以及RR設(shè)備之間的互通;
2) 配置隧道模式為VXLAN;
3) 配置PE上的EVN實(shí)例;
4) 配置PE與RR間的EVN BGP對(duì)等體關(guān)系;
5) 配置RR為動(dòng)態(tài)路由反射器;
6) 配置各個(gè)PE與CE接口上的ESI;
7) 配置CE側(cè)接口;
8) 配置PE1和PE2的冗余模式,保證EVN網(wǎng)絡(luò)的可靠性。
3.4 虛實(shí)結(jié)合與混合云網(wǎng)絡(luò)
對(duì)于傳統(tǒng)的數(shù)據(jù)中心來(lái)說(shuō),都是各個(gè)物理服務(wù)器的之間的通訊,那么在云計(jì)算環(huán)境當(dāng)中虛擬機(jī)與物理服務(wù)器之間的2層通訊問(wèn)題逐漸的出現(xiàn),同時(shí)又一種新型的概念混合云的網(wǎng)絡(luò)模型逐漸展開,前文介紹了大量的2層網(wǎng)絡(luò)通訊協(xié)議,那么我們?cè)诿鎸?duì)那么多的網(wǎng)絡(luò)復(fù)雜場(chǎng)景下,云計(jì)算帶來(lái)的網(wǎng)絡(luò)特殊的部署模式將會(huì)變得對(duì)于每個(gè)網(wǎng)絡(luò)工程師所必須要知道了解的,本節(jié)主要以虛實(shí)結(jié)合與混合云網(wǎng)絡(luò)進(jìn)行闡述分享。
3.4.1 虛實(shí)結(jié)合
虛實(shí)結(jié)合的網(wǎng)絡(luò)部署模型顧名思義就是云計(jì)算環(huán)境下虛擬機(jī)與物理機(jī)相互結(jié)合的網(wǎng)絡(luò)模型,那么對(duì)于傳統(tǒng)網(wǎng)絡(luò)來(lái)說(shuō),我們所要知道的就是如何掌控VLAN之間的通訊就可以實(shí)現(xiàn)虛擬機(jī)與物理機(jī)之間的通訊,那么在云計(jì)算新型大二層網(wǎng)絡(luò)環(huán)境下,所要實(shí)現(xiàn)VXLAN網(wǎng)絡(luò)之間的通訊,這時(shí)就是我們所必須要了解的一些新型模式。
1.VXLAN網(wǎng)絡(luò)與非VXLAN網(wǎng)絡(luò)通訊
在常見的網(wǎng)絡(luò)模型當(dāng)中,我們很好解決VLAN的通訊問(wèn)題,起SVI走路由或者配置成同一個(gè)廣播域即可,那么在此環(huán)境當(dāng)中,這樣的通訊方式如果是基于2層VXLAN通訊就是個(gè)問(wèn)題,我們要引入一個(gè)VXLAN L2GATEWAY的這樣一種機(jī)制,也就是說(shuō)使得每個(gè)vlan對(duì)應(yīng)的vlan id與VXLAN VNI所對(duì)應(yīng)關(guān)聯(lián),使得2層網(wǎng)絡(luò)環(huán)境下,可以使得VXLAN與非VXLAN得轉(zhuǎn)換,使得傳統(tǒng)2層網(wǎng)絡(luò)與新型VXLAN2層網(wǎng)絡(luò)進(jìn)行通訊。
圖11 云計(jì)算環(huán)境下虛實(shí)結(jié)合的網(wǎng)絡(luò)部署模型
3.4.2 混合云網(wǎng)絡(luò)
混合云網(wǎng)絡(luò)當(dāng)中其實(shí)涵蓋了一種網(wǎng)絡(luò)就是2曾VXLAN與VLAN的概念,但是混合云網(wǎng)絡(luò)是一種更為現(xiàn)實(shí)復(fù)雜的網(wǎng)絡(luò)模型,其中不僅涵蓋了2層網(wǎng)絡(luò),同時(shí)也涵蓋了3層網(wǎng)絡(luò),那么對(duì)于公有云與私有云是一種混合云網(wǎng)絡(luò),多個(gè)異構(gòu)的私有云也是一種混合云網(wǎng)絡(luò),同時(shí)我們也不得不面對(duì)原有的云網(wǎng)絡(luò)與新興的3層云網(wǎng)絡(luò)進(jìn)行通訊,這些都是一個(gè)新的網(wǎng)絡(luò)模型需要每個(gè)網(wǎng)絡(luò)工程師進(jìn)行思考的問(wèn)題,其中一個(gè)就是安全性問(wèn)題,在公有云與私有云當(dāng)中的安全性問(wèn)題,通常的情況下,我們會(huì)選擇專線接入,那么對(duì)于既保證安全性,又保證高帶寬低延遲的情況下,我們必須保留專線資源,但是還是要保持一定的安全性,同時(shí)降低成本,那么這種情況下,我們就可以選擇最后一公里的VPN接入專線的方式,這樣既保證安全性,又保證專線的高帶寬的本質(zhì),同時(shí)節(jié)省了運(yùn)營(yíng)商專線出局的一些資質(zhì)困擾。
圖12 混合云網(wǎng)絡(luò)
有的時(shí)候我們也在考慮公網(wǎng)上跨越運(yùn)營(yíng)商的三層路由的通訊方式,那么網(wǎng)絡(luò)的最本質(zhì)的通訊動(dòng)作還是封裝與解封裝,這時(shí)候我們會(huì)面臨多個(gè)跨越數(shù)據(jù)中心的異構(gòu)云資源池,有的資源池可能會(huì)使用的普通3層網(wǎng)絡(luò)數(shù)據(jù)報(bào)文,那么有的會(huì)采用新型的網(wǎng)絡(luò)數(shù)據(jù)中報(bào)文,比如VXLAN跨越運(yùn)營(yíng)商網(wǎng)絡(luò),那么此時(shí)老舊設(shè)備并不知道我重新封裝的VXLAN報(bào)文,只知道外面的3層頭部信息,而且我們?cè)谂渲贸隹诮粨Q機(jī)時(shí)都會(huì)使用SVI的技術(shù),配置邏輯接口,將每個(gè)邏輯接口掛接在一個(gè)物理端口上,使得物理端口的損壞時(shí),保證快速鏈路的切換,那么對(duì)于新的VXLAN網(wǎng)絡(luò)來(lái)說(shuō),我們?cè)趺床拍茉谙蚴褂胿lan那樣去使用SVI技術(shù)呢?這時(shí)候我們就需要引入一個(gè)新的概念VXLAN L3-GateWay,其實(shí)就是VXLAN的3層網(wǎng)關(guān),其便可實(shí)現(xiàn)VXLAN啟用虛擬3層邏輯接口,并且掛接在物理端口上。
圖13 路由出網(wǎng)
五、 新興網(wǎng)絡(luò)技術(shù)的發(fā)展
對(duì)于傳統(tǒng)的路由與交換設(shè)備來(lái)說(shuō),在云計(jì)算的環(huán)境下,原有的網(wǎng)卡功能的使用將會(huì)被各種虛擬化業(yè)務(wù)所使用,在推動(dòng)虛擬化發(fā)展的高速路程當(dāng)中,眾多因素使得資源再利用變得尤為重要,大多數(shù)客戶都希望在進(jìn)行虛擬化、私有數(shù)據(jù)中心云化之后,都可以使得自身的原有資源可以充分利用,網(wǎng)卡也不例外,往往通過(guò)云化之后的CPU都會(huì)利用率從原有百分之10提升到70進(jìn)行使用,當(dāng)越來(lái)越多的不同業(yè)務(wù)的虛擬機(jī)跑在同一個(gè)物理服務(wù)器上時(shí),都會(huì)擁擠在相同的一個(gè)物理I/O通道內(nèi),對(duì)于高性能計(jì)算的環(huán)境當(dāng)中,上層業(yè)務(wù)往往對(duì)于網(wǎng)絡(luò)的I/O非常敏感,不同業(yè)務(wù)的虛擬機(jī)往往會(huì)要求特殊的端口類型,如果模型匹配不對(duì),性能就會(huì)大大折扣,而單一的物理網(wǎng)卡不可能對(duì)于上層每一個(gè)業(yè)務(wù)實(shí)現(xiàn)不同的網(wǎng)絡(luò)接口隊(duì)列模型,這就會(huì)影響到業(yè)務(wù)的性能瓶頸,新一代的網(wǎng)卡與網(wǎng)絡(luò)技術(shù)也就隨之孕育而出。那么隨著私有云不斷地升溫,原有的虛擬網(wǎng)絡(luò)方式帶給網(wǎng)絡(luò)節(jié)點(diǎn)的壓力也會(huì)逐漸加大,數(shù)據(jù)中心對(duì)于網(wǎng)絡(luò)的功能與性能變革也進(jìn)行了時(shí)代的變化,從原有的純軟件或者純硬件的方式,逐漸轉(zhuǎn)變?yōu)橐攒浖x網(wǎng)絡(luò)為主,實(shí)現(xiàn)軟硬結(jié)合的新型網(wǎng)絡(luò)變化的趨勢(shì),在漫談云計(jì)算網(wǎng)絡(luò)最后一篇中,筆者會(huì)主要描述云計(jì)算環(huán)境下誕生的一些新的網(wǎng)絡(luò)技術(shù),以及應(yīng)用的場(chǎng)景。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:云計(jì)算網(wǎng)絡(luò)的應(yīng)用場(chǎng)景
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839719860.html
關(guān)鍵詞標(biāo)簽:
云計(jì)算網(wǎng)絡(luò)的應(yīng)用場(chǎng)景,云計(jì)算 云計(jì)算網(wǎng)絡(luò),ERP,ERP系統(tǒng),ERP軟件,ERP系統(tǒng)軟件,ERP管理系統(tǒng),ERP管理軟件,進(jìn)銷存軟件,財(cái)務(wù)軟件,倉(cāng)庫(kù)管理軟件,生產(chǎn)管理軟件,企業(yè)管理軟件,拓步,拓步ERP,拓步軟件,免費(fèi)ERP,免費(fèi)ERP軟件,免費(fèi)ERP系統(tǒng),ERP軟件免費(fèi)下載,ERP系統(tǒng)免費(fèi)下載,免費(fèi)ERP軟件下載,免費(fèi)進(jìn)銷存軟件,免費(fèi)進(jìn)銷存,免費(fèi)財(cái)務(wù)軟件,免費(fèi)倉(cāng)庫(kù)管理軟件,免費(fèi)下載,
本文轉(zhuǎn)自:e-works制造業(yè)信息化門戶網(wǎng)
本文來(lái)源于互聯(lián)網(wǎng),拓步ERP資訊網(wǎng)本著傳播知識(shí)、有益學(xué)習(xí)和研究的目的進(jìn)行的轉(zhuǎn)載,為網(wǎng)友免費(fèi)提供,并盡力標(biāo)明作者與出處,如有著作權(quán)人或出版方提出異議,本站將立即刪除。如果您對(duì)文章轉(zhuǎn)載有任何疑問(wèn)請(qǐng)告之我們,以便我們及時(shí)糾正。聯(lián)系方式:QQ:10877846 Tel:0755-26405298。