Overlay技术及解决方案.pptx

Overlay技术及解决方案.pptx

《Overlay技术及解决方案.pptx》由会员分享，可在线阅读，更多相关《Overlay技术及解决方案.pptx（30页珍藏版）》请在冰点文库上搜索。

Overlay技术及解决方案,目录Overlay技术介绍Overlay解决方案Overlay业界发展趋势,云时代业务对网络的挑战,虚拟化支持,提供云平台支撑快速部署灵活迁移,多业务承载,承载多种业务主机托管业务安全隔离及访问控制,资源灵活性,业务资源任意部署业务、资源与物理位置无关,网络虚拟化问题云业务的部署，网络虚拟化一直没有很好的解决方案，导致用户在部署云业务时，网络配置仍是是一项复杂的工作,网络广播问题数据中心大规模静态VLANtrunk部署二层变大后不能很好的适应云计算和虚拟机迁移需求,4KVLAN上限问题4094个VLAN远不能满足大规模云计算中心的需求,业务扩展业务扩展要求业务部署与网络位置无关基于IP子网的区域划分限制了二层网络连通性,Overlay网络,物理承载网络,主机,主机,Overlay边缘设备,Overlay边缘设备,Overlay控制平面,承载网络控制平面,数据平面Payload封装,Overlay网络是一个建立在已有网络上的虚拟网络，逻辑节点和逻辑链路构成了Overlay网络Overlay网络的出现是为了实现已有网络所不能提供的功能和服务,Overlay控制平面1、服务发现2、地址通告和映射3、隧道管理,Overlay边缘设备Overlay数据报文的封装/解封装节点，决定了Overlay网络的规模,Overlay数据平面提供提供数据封装，基于承载网络传输,Overlay网络是什么,应对云计算网络的挑战Overlay,在已有物理网络之上新建一个Overlay的网络,网络厂商新思路构建Overlay,4KVLAN上限问题,提供24bits长度的隔离ID，支持16M租户,网络广播问题,基础网络是传统组网，不用扩展vlan广播代理、使用组播代替广播,业务扩展,名址分离，ip地址与位置解耦,网络虚拟化问题,支持远大于4KVLAN的隔离能力（16M）,网络风暴潜在风险降低,位置无关性：

业务可在任意位置灵活部署，缓解了服务器虚拟化后相关的网络扩展问题,虚拟网络从物理网络中解耦，从物理网络抽象出一个二层网络资源池,Overlay网络：

与物理网络解耦，构建出面向应用的自适应网络,Overlay网络定义,Overlay网络类型按边缘设备类型,HybridOverlay混合式Overlay,NetworkOverlay网络Overlay控制协议,物理设备,vDevice,VMVMVM,vDevice,VMVMVM,HostOverlay主机Overlay泛洪机制,虚拟设备,vDevice,VMVMVM,DB/Controller,虚拟设备,物理设备网络Overlay：

路由器或交换机作为Overlay网络的边缘设备通过控制协议来实现网络构建和扩展EVI、LISP,虚拟设备主机Overlay：

虚拟设备（vDevice）作为Overlay网络的边缘设备利用泛洪或广播机制实现网络构建和扩展单一管理域VXLAN、NVGRE、STT,物理设备混合Overlay：

混合组网，物理设备、虚拟设备作为Overlay网络的边缘设备需要标准化协议才能完成异构设备组网及互通集中式DB或Controller作为控制平面的主要形态,Overlay网络实现技术,HostOverlay相关技术（IETF标准的三大主流）技术名称支持者支持方式简述产品形式网络虚拟化方式,数据新增报头长度,链路HASH能力,VXLAN（VirtualExtensibleLAN）,Cisco、VMware、Citrix、RedHat、Broadcom,L2overUDP,Cisco/VMwareN1000VBCMTrident2其他OpenvSwitch,VXLAN报头24bitVNI,50Byte（+原数据）,现有网络可进行L2-L4HASH,NVGRE（NetworkVirtualizationusingGRE）,HP、微软、Broadcom、Dell、Emulex、Intel,L2overGRE,Broadcom:

Trident微软:

Hyper-VvSwitchEmulex:

网卡计划其他：

OpenvSwitch,NVGRE报头24bitVSI,42Byte（+原数据）,GRE头的HASH需要网络升级,STT（StatelessTransportTunneling）,VMware（Nicira）,L2overTCP无状态TCP，即L2在类似TCP的传输层,vSwitch,STT报头64bitContextID,5876Byte（+原数据）,现有网络可进行L2-L4HASH,VxLAN为优选（对比其他技术）L2-4层链路HASH（GRE有不足）对传输层无修改（STT修改TCP）Cisco已经广泛商用，OpenvSwitch源码已经支持并在开源系统广泛使用,目录Overlay技术介绍Overlay解决方案Overlay业界发展趋势,定义VXLAN（VirtualeXtensibleLAN，可扩展虚拟局域网络）是基于IP网络、采用“MACinUDP”封装形式的二层VPN技术。

基本术语VTEP-VXLANTunnelEndPoint，VXLAN隧道的起点/终点VNI-VXLANNetworkIdentifier（orVXLANSegmentID），VXLAN网络IDVXLANGatewayVXLAN网关，在VXLAN和非VXLAN二层网络之间转发流量的实体VXLANIPGatewayVXLAN三层网关，在VXLAN和三层网络之间转发流量的实体基本格式：

L2oUDP封装报头开销50字节UDP目的端口为已知端口，源端口可按流分配，标准5元组方式有利于IP网络转发过程中进行负载分担包含24比特VXLANID能够支持16M逻辑二层网络突破4KVLAN限制的关键扩展，映射到本地二层交换域,Overlay网络之VXLAN,外层MAC头,外层IP头,外层UDP头,VXLAN头,原始二层报文,保留未用（24位）,标记位RRRRIRRRVXLANID（24位）,VXLAN网络部署需求,VXLAN网络和传统网络互通的需求VXLAN二层/三层网关传统L2网络中，报文跨VLAN转发，需要借助VLANMapping或者L3设备来完成不同VLAN之间的互通问题，VXLAN网络同样需要解决VXLAN和VLAN之间如何互通，这个是解决VXLAN虚拟网络和传统物理网络之间如何通信的问题VXLAN和VXLAN之间如何互通，这个是解决VXLAN网络内部不同租户如何互通的问题,VXLAN,VLAN,VLAN100,VXLAN10,VXLAN,VXLAN,VXLAN20,VXLAN10,VXLANIDVLANID,10,100VXLANL2Gateway,VXLANIDVXLANID,10,20VXLANL3Gateway,VXLAN二层网关：

最简单的实现应该是一个Bridge设备仅仅完成VXLAN到VLAN的转换，包含VXLAN到VLAN的1：

1、N：

1转换实体形态可以是vSwitch、TOR交换机,VXLAN三层网关：

实现可以是一个Router设备，支持跨VXLAN三层转发实体形态可以是vRouter、TOR交换机、路由器,VXLAN网络部署需求,VXLAN防火墙应该同时具备VXLAN二层网关和VXLAN三层网关的功能,VXLANFirewall,VXLAN,VLAN,VLAN100,VXLAN10,VXLAN,VXLAN,VXLAN20,VXLAN10,VLANID,VXLAN网络安全需求VXLAN安全控制传统网络中，安全控制依赖防火墙来处理，防火墙可以充当网关，也可以使用透明模式部署。

VXLAN网络里同样考虑防火墙的部署问题VXLAN和VLAN之间互通的安全控制VXLANIDVXLANID对应的不同VXLAN域之间互通的安全控制10,100,VXLANIDVXLANID,10,20VXLANFirewall,vSwitch,VMVMVM,VMVMVM,vSwitch,Firewall,物理服务器,实现模式：

VXLANtoVXLANVLANtoVLAN（纯IP模式）,VXLAN网络构建,松散控制模式和集中控制模式松散控制模式基于自学习或控制协议全硬件VxLAN网络方案，交换机实现VxLANVTEP、VxLANGW、VxLANIPGW控制平面解决和谁建立隧道，host在哪个隧道中。

有自学习、IS-IS控制平面数据平面支持二、三层转发VCFC只负责下发服务策略，不下发控制流表,集中控制模式基于Controller软硬件VxLAN网络方案，交换机实现VxLANVTEP、VxLANGW、VxLANIPGW，vSwitch实现VxLANVTEPOverlayController实现控制平面，通过,OpenFlow/Netconf控制VxLANVTEP、GW、IPGW数据平面支持二、三层转发VCFC负责下发控制流表和服务策略,Access,Access,Access,Access,Access,ToR设备实现VTEP，把报文封装为VxLAN格式,ToR设备实现VxLANGW，终结VxLAN报文，实现VxLAN和VLAN网络互通,vSwitch,VCFC,Controller负责控制平面和服务策略下发,AggVxLANAggFabric,OpenFlow/Netconf,VXLANVTEP,VXLANGW,VXLANIPGW,Core,Core,Agg,Agg,Access,Access,Access,Access,Access,ToR设备实现VTEP，把报文封装为VxLAN格式,核心设备实现VxLANIPGW，终结VxLAN报文，并进入L3转发,ToR设备实现VxLANGW，终结VxLAN报文，实现VxLAN和VLAN网络互通,vSwitch,VCFC,Controller服务策略下发,VxLANFabric,Netconf,VxLAN控制平面实现方案1：

路由协议扩展模式隧道建立：

基于ENDP邻居发现协议，自动发现VXLAN网络中的VTEP，并在各VTEP之间自动创建VXLAN隧道地址同步：

利用ISIS自动关联VXLAN隧道和VXLAN、VXLANMAC地址同步两个功能通过实现ARP代答完成分布式网关功能,IS-IS控制平面方案：

Core设备实现EVI邻居发现协议ENDP的ENDS角色ToR设备实现EVI邻居发现协议ENDP的ENDC角色ISIS邻居协商、LSP更新都在ENDP建立的虚拟通道中传输IS-IS扩展报文完成MAC地址发布和回收,ENDS,ENDS,Agg,Agg,ENDC,ENDC,ENDC,ENDC,VXLANNetwork,VXLAN网络构建松散控制模式路由协议扩展,VxLAN控制平面实现方案1：

路由协议扩展模式基于ENDP和IS-IS的控制平面配置ENDP中的ENDS（建议配置在Core）、ENDC（所有VTEP），利用IS-IS扩展协议完成MAC地址学习MAC地址回收过程与发布过程类似，MAC地址老化删除后发ISIS的消息通知其他站点删除MAC,Core,Core,Agg,Agg,Server,Access,VTEPB,VTEPA,AccessDCI,Hypervisor,vSwitch,VMVMVM,SR-IOVAdpt,Hypervisor,vSwitch,VMVMVM,SR-IOVAdpt,VXLANNetwork,VTEPIP:

1.1.1.1,VTEPIP:

1.1.1.2,ENDC向ENDS发起注册（携带VTEPIP）ENDS发送应答，包含所有ENDC信息ENDS/ENDC建立VxLAN控制通道ToR设备作为VxLANVTEP，学习到VM的MAC地址通过IS-IS扩展协议向各邻接VTEP通告MAC地址表项,ServerVTEP-B学习到Server的MAC地址，并通过IS-IS扩展协议通告MAC地址表项VTEP-A接收到IS-IS报文，学习到Server的MAC地址、VTEP-B的IP地址（1.1.1.2）,VMmac1.1.1.1,VTEP-B接收到IS-IS报文，学习到VM的MAC地址、VTEPA的IP地址（1.1.1.1）VTEP-BMACTableSourceMACRemoteVTEPIP,SourceMAC,RemoteVTEPIP,Servermac,1.1.1.2,VTEP-AMACTable,VXLAN网络构建松散控制模式路由协议扩展,Core,Core,Agg,Agg,Router,Router,Access,Access,Access,Access,Access,ToR设备实现VTEP，把报文封装为VxLAN格式,核心设备实现VxLANIPGW，终结VxLAN报文，并进入L3转发,ToR设备实现VxLANGW，终结VxLAN报文，实现VxLAN和VLAN网络互通,vSwitch,VCFC,Controller负责控制平面，下发流表，指导转发,VxLANFabric,OpenFlow/Netconf,VXLAN网络构建集中控制模式由Controller集中控制,VMManager,VxLAN控制平面实现方案2：

Controller模式基于Controller的控制平面若VTEP是虚拟设备，Controller会从CSM或VMManage和vSwitch获取VTEP及下挂VMIP/MAC信息若VTEP是物理设备，Controller和所有VxLANED设备建立连接关系，获取VTEP及下挂VMIP/MAC信息VTEP第一次收到数据报文，上送给Controller，Controller确定VxLAN隧道信息，下发流表到VTEP，VTEP封装VxLAN报文转发流表在VTEP上可以定期老化，达到动态建立隧道的效果，节省表项资源CSM,集中式网关：

网关在核心Server1（1.1.1.10）访问Server2（1.1.1.11），同一个网段属于二层互访,Agg,Agg,Server21.1.1.11,Access,Access,VTEPB,VTEPA,VXLANNetwork,VTEPA根据收到的报文的端口和VLAN确定属于VSIA查找VSIA的MAC地址表，得到MAC2的出端口为Tunnel1，封装VxLAN报文，源IP为VTEPA，目的IP为VTEPB，并转发报文到VTEPB,VTEPB收到报文，剥离VXLAN报文，还原出原始的数据帧。

查找与VXLAN10对应的VSIA的MAC地址表，得到MAC2的出端口为GE2/0/1，所在VLAN为VLAN20。

VTEPB从接口GE2/0/1的VLAN20内将数据帧发送给Server2。

VTEPAMACTable,GE1/0/1VXLAN10Server11.1.1.10,VXLAN网络转发集中式网关二层转发,GE2/0/1VXLAN10,VTEPBMACTable,VXLAN/VSI,MAC,Interface,VXLAN10/VSIA,MAC2,GE2/0/1,VXLAN10/VSIA,MAC1,Tunnel1,VXLANVTEP,VXLANGW,VXLANIPGW,Server1发送报文给Server2，源MAC地址为MAC1，目的MAC为MAC2，VLANtag为10,集中式网关：

网关在核心Server1（1.1.1.10）访问Server2（1.1.2.10），不同VXLAN，不同网段属于三层互访,Core,Core,Agg,Agg,Server21.1.2.10,Access,Access,VTEPB,VTEPA,VXLANNetwork,VTEPA根据收到的报文的端口,和VLAN确定属于VSIA查找VSIA的MAC地址表，得到MAC3的出端口为Tunnel1，封装VxLAN报文，源IP为VTEPA，目的IP为网关IP，并转发报文到网关,VTEPAMACTable,VXLAN/VSI,MAC,Interface,VXLAN10/VSIA,MAC1,GE1/0/1,VXLAN10/VSIA,MAC3,Tunnel1,VXLAN网络转发集中式网关三层转发,VTEPBMACTable,VXLAN/VSI,MAC,Interface,VXLAN20/VSIB,MAC2,GE2/0/1,VXLAN20/VSIB,MAC3,Tunnel1,VXLANVTEP,VXLANGW,VXLANIPGW,网关Table,VXLAN/VSI,MAC,Interface,VXLAN10/VSIA,MAC1,Tunnel1,VXLAN20/VSIB,MAC2,Tunnel2,GE1/0/1VXLAN10Server11.1.1.10,GE2/0/1VXLAN20,3,VTEPB收到报文，剥离VXLAN报文，还原出原始的数据帧。

查找与VXLAN20对应的VSIA的MAC地址表，得到MAC2的出端口为GE2/0/1，所在VLAN为VLAN20。

VTEPB从接口GE2/0/1的VLAN20内将数据帧发送给Server2。

网关收到报文去掉VXLAN封装，根据原始报文目的ip，查找路由表和ARP表，找到出接口为Tunnel2封装报文格式为VXLAN，目的ip为VTEPB的ip，转发报文到VTEPB4,Server1发送报文给网关，源MAC地址为MAC1，目的MAC为网关MAC3，VLANtag为10,分布式网关：

网关在接入，实现ARP代答功能Server1（1.1.1.10）访问Server2（1.1.1.11），同一个网段属于二层互访,Core,Core,Agg,Agg,Access,Access,VTEPB,VTEPA,VXLANNetwork,GE1/0/1VXLAN10,VTEPB收到报文，剥离VXLAN报文，还原出原始的数据帧。

查找与VXLAN10对应的VSIA的MAC地址表，得到MAC2的出端口为GE2/0/1，所在VLAN为VLAN20。

VTEPB从接口GE2/0/1的VLAN20内将数据帧发送给Server2。

VTEPAMACTable,VXLAN/VSI,MAC,Interface,VXLAN10/VSIA,MAC1,GE1/0/1,VXLAN10/VSIAMAC2网关收到报文，根据报文目的ip，查找路由表和ARP表，找到出接口为Tunnel1封装报文格式为VXLAN，目的ip为VTEPB的ip，转发报文到VTEPB,Tunnel1,VXLAN网络转发分布式网关二层转发,GE2/0/1VXLAN10,VTEPBMACTable,VXLAN/VSI,MAC,Interface,VXLAN10/VSIA,MAC2,GE2/0/1,VXLAN10/VSIA,MAC1,Tunnel1,VXLANVTEP,VXLANGW,VXLANIPGW,分布式网关：

网关在接入，实现ARP代答功能Server1（1.1.1.10）访问Server2（1.1.2.10），不同VXLAN，不同网段属于三层互访,Core,Core,Agg,Agg,Access,Access,VTEPB,VTEPA,VXLANNetwork,VTEPAMACTable,VXLAN/VSI,MAC,Interface,VXLAN10/VSIA,MAC1,GE1/0/1,Tunnel1,VXLAN网络转发分布式网关三层转发,GE1/0/1VXLAN10,GE2/0/1VXLAN20,VXLANVTEP,VXLANGW,VXLANIPGW,VTEPB收到报文，剥离VXLAN报文，还原出原始的数据帧。

查找与VXLAN20对应的VSIB的MAC地址表，得到MAC2的出端口为GE2/0/1，所在VLAN为VLAN20。

VTEPB从接口GE2/0/1的VLAN20内将数据帧发送给Server2。

VTEPBMACTable,VXLAN/VSI,MAC,Interface,VXLAN20/VSIB,MAC2,GE2/0/1,VXLAN10/VSIA,MAC1,Tunnel1,VXLAN20/VSIBMAC2网关收到报文，根据报文目的ip，查找路由表和ARP表，找到出接口为Tunnel1封装报文格式为VXLAN，目的ip为VTEPB的ip，转发报文到VTEPB,VxLAN对L4L7服务部署的冲击,L4L7业务部署有3种模式，这3种模式可以独立部署，也可以配合部署L4L7业务设备可以选择实现VxLANIPGW角色，也可以不支持VxLAN,Core,Core,Server,Access,Access,Access,Access,DCI,Hypervisor,vSwitch,VMVMVM,SR-IOVAdpt,Hypervisor,vSwitch,VMVM,vDev,SR-IOVAdpt,VXLANVTEP,VXLANGW,VXLANIPGW,1,L4L7设备,L4L7设备,AggAggVxLANFabric,模式旁挂部署主要形态：

硬件L4L7设备,L4L7设备旁挂在核心/汇聚设备旁侧（L4L7设备也可选作为L3网关）L4L7设备关注VxLANVLAN、VxLANVLAN的安全访问控制模式服务器侧部署,主要形态：

软件L4L7设备以VM形态部署在服务器内部，作为其他VM的网关如果L4L7设备支持VxLAN，可以完成VxLANVLAN、VxLANVLAN的安全访问控制*全硬件VxLAN方案不推荐使用,模式专用安全区部署,主要形态：

软件或硬件L4L7设备集中部署在某一个ToR设备下，重点关注不同VxLANID之间互访的安全控制如果L4L7设备支持VxLAN，就直接配置VxLANID的互访策略如果L4L7设备不支持VxLAN，需要ToR完成VxLAN到VLAN的转换，然后L4L7设备上配置不同VLAN互访的安全策略,L4L7设备L4L7设备FirewallZone,2,3,VxLAN网络服务基于VXLAN技术的L4L7服务部署,Overlay带来的好处IP地址灵活分配VMIP地址与物理网络拓扑解耦，IP地址不再具备寻址功能，只是一个标记，可以任意分配VM的IP地址可以根据业务需要进行分配,VM在IDC内可以任意迁移VM任意迁移，IP地址保持不变VM迁移时，不需要配置物理交换机,消除大二层网络问题消除ARP广播域去除二层环路减轻网络设备压力，减少网络上非业务报文,适合云计算网络虚拟化部署虚拟网络从物理网络解耦形成按需分配的网络资源池,Overlay网络,物理承载网络,主机,主机,Overlay边缘设备,Overlay边缘设备,Overlay控制平面,承载网络控制平面,数据平面Payload封装,VXLAN网络优势基于Overlay技术构建H3CConvergedFabric,VXLAN案例某大型互联网私有云项目,友商系统,iMC,L3L2,S12500-x,S12500-x,Hypervisor,VMVMVM,vSwitch,Router,Leaf,Leaf,Leaf,VxLANNetwork,WAN,L3网关,Hypervi