数据中心网络技术详解资料下载.pdf
《数据中心网络技术详解资料下载.pdf》由会员分享,可在线阅读,更多相关《数据中心网络技术详解资料下载.pdf(49页珍藏版)》请在冰点文库上搜索。
如果需要跨二层区域迁移,需要更改VM的IP地址,应用会中断。
传统数据中心架构在云计算时代,IDC运营商为了更充分的利用数据中心资源,VM需要更大的迁移范围;
由于服务器之间存在大量的横向流量,要求数据报文支持无阻塞转发,网络链路资源得到充分的利用。
新一代数据中心架构PODPODPage5HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18pt数据中心发展趋势STP或CSS+iStack传统二层技术不适合构建大规模二层网络,通过VXLAN可以构建大二层网络,支持扁平化胖树拓扑组网方式,链路带宽利用率高。
STPAccessLayerAggregationLayerCSS+iStackAccessLayerAggregationLayerVXLANAccessLayerAggregationLayerPage6HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptSDN带来的挑战传统的网络资源物理隔离,SDN要求资源虚拟化;
传统的VLAN层技术很难符合SDN的要求,因为业务端到端路径的各个节点都需要通过逐个的VLAN配置串联起来。
VXLAN,仅需要在租户接入点部署,可以方便随租户VM迁移;
VXLAN,可以将网络的边界延伸到服务器的vSwitch中,具有很强的弹性;
DC3虚拟存储虚拟计算虚拟网络统一BSS/OSSvDC1vDC2vDC3vDC4DC2DC1Page7HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN优点网络依赖小隧道间水平分割、IPoverlayTTL避免环路。
数据流量基于IP路由SPF及ECMP快速转发。
网络变化实时侦听全网拓扑毫秒收敛。
基于IP的overlay,仅需要边界设备间IP可达。
环路避免高效转发快速收敛虚拟化Overlay+VNI构建虚拟网络,支持多达的虚拟网络部署灵活物理设备、vSwitch均能够部署Page8HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN网络结构VXLAN通过采用MACinUDP封装来延伸二层网络,是大二层虚拟网络扩展的隧道封装技术。
在大二层网络,为了方便控制与部署引入了SDN(SoftwareDefinedNetwork)控制器概念。
控制器通过OpenFlow协议将信息下发给转发器,以实现控制器统一维护管理。
Page9HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN基本概念Layer2orLayer3NVECoreNVECoreNVEEdgeNVEEdgeNVEEdgeNVO3概念NVO3(NetworkVirtualizationOverLayer3),基于三层IPoverlay网络构建虚拟网络技术统称为NVO3,目前比较有代表性的有:
VXLAN、NVGRE、STT。
运行NVO3的设备叫做NVE(NetworkVirtualizationEdge),它位于overlay网络的边界,实现二、三层的虚拟化功能;
VXLAN概念VXLAN(VirtualExtensibleLAN,虚拟可扩展局域网)是目前NVO3中影响力最为广泛的一种。
它通过L2overL4(MACinUDP)的报文封装方式,实现基于IPoverlay的虚拟局域网。
Page10HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVTEP必须全网唯一VTEP概念VTEP概念VXLAN网络中的NVE以VTEP进行标识,VTEP(VXLANTunnelEndPoint,VXLAN隧道端点);
每一个NVE至少有一个VTEP,VTEP使用NVE的IP地址表示;
两个VTEP可以确定一条VXLAN隧道,VTEP间的这条VXLAN隧道将被两个NVE间的所有VNI所公用;
NVE3NVE5NVE2NVE4NVE1我的VTEP是10.1.1.1VNI1VNI2VNIVNI1VNI2VNIVLANtunnelPage11HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN报文格式VXLAN是MACinUDP的网络虚拟化技术,所以其报文封装是在原始以太报文之前添加了一个UDP封装及VXLAN头封装。
Page12HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN转发数据封装As1s2Bs3DataAB逐跳改变外层Mac端到端不变VTEPIPBDataA源终端的二层报文能够穿越IP网络到达目的终端,VXLAN网络对于主机来说相当于是BridgeFabric!
内层MACVTEPIP外层MACIngressNVETransitEgressNVE传统以太帧VXLAN以太帧VNIPage13HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN和其他几种二层技术对比传统二层CSS+iStackTRILLVXLAN封装方式传统ETH头(无TTL)传统ETH头(无TTL)TRILL(有TTL)MACinUDP(无TTL)破环方式MSTP协议管理方式TRILL协议路由协议环路避免+隧道间水平分割ECMP不支持ECMP通过LAG方式,支持ECMP和三层IP网络类似,支持逐跳ECMP完全复用三层网络的ECMP、FRR组播树数目NANA少(二层共享组播树)NA或较少(IP双向组播)最短路径转发不支持支持支持支持收敛时间长,而且收敛时间不稳定短较短(整网收敛几百ms)较短(整网收敛几百ms)多租户支持4K(按照VLAN进行隔离)4K(按照VLAN进行隔离)4K(按照VLAN进行隔离),将来可以演进到通过FineLabel来隔离租户,从而可以支持16M租户最大支持16M(按照VNI进行隔离)组网成本低高(框间通信带宽占用多,而且很难做到无阻塞)较高,一般要整网设备支持TRILL低,只需要边界节点支持VXLAN,可以延伸到服务器的vSwitch中网络规模小中等(堆叠节点数目受限,而且堆叠框架无法做到无阻塞)大大适合组网适合逐级收敛的组网,不适合扁平化胖树组网适合扁平化胖树组网适合扁平化胖树组网适合扁平化胖树组网适合用于SDN(边界节点感知,无缝延伸到vSwitch)Page14HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18pt隧道建立与维护控制器和转发器的邻居关系建立是通过OpenFlow协议完成,建立的通道称为OpenFlow通道。
用户可通过网管或CLI配置来维护控制器。
Page16HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN网关和VLAN类似,不同VNI之间的VXLAN,及VXLAN和非VXLAN之间不能直接进行二层通信。
为了使VXLAN之间,以及VXLAN和非VXLAN之间能够进行通信,VXLAN引入了VXLAN网关。
Page17HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptBUM报文转发流程当BUM报文进入VXLAN隧道,接入端VTEP采用头端复制方式进行报文的VXLAN封装。
BUM报文出VXLAN隧道,出口端VTEP对报文解封装。
Page18HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18pt已知单播报文转发流程已知单播报文具体转发流程如图所示。
Page19HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18pt三层网关不同网段的VXLAN间通信,及VXLAN和非VXLAN的通信,需要通过IP路由实现。
在三层网关上创建BD,将VNI以1:
1方式映射到BD,基于BD创建BDIF接口,通过BDIF接口配置IP地址实现不同网段的VXLAN间,及VXLAN和非VXLAN的通信。
Page20HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptARP代答为了避免ARP广播请求报文给网络带来广播风暴,可在图所示的控制器上使能ARP代答功能。
VM1发送ARP请求报文,请求目的主机VM3的MAC地址具体实现过程如下:
1.VM1发送ARP请求报文(SMAC:
MAC1,SIP:
IP1,DMAC:
FF-FF-FF,DIP:
IP3)。
2.NVE收到ARP请求报文后,通过Openflow通道上送控制器处理。
3.控制器根据IP3查询用户信息库,获得VM3对应的MAC地址MAC3。
4.控制器封装ARP应答报文,通过Openflow通道发送给NVE。
5.NVE根据控制器指定的出端口(ARP请求报文的入端口)将ARP应答报文发送给VM1。
Page21HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLANQOSVXLANQoS用来实现原始报文携带的QoS优先级、设备内部优先级(又称为本地优先级,是设备内部区分报文服务等级的优先级)与封装后报文优先级之间的转换,从而设备根据内部优先级提供有差别的QoS服务质量。
Page22HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN网络设备管理Page24VXLAN是基于IP网络的overlay技术,其部署的前提是IP的连通性;
可以保证设备与网管系统、SDN控制器的IP互联,从而实现网管及SDN控制器对设备的管理和控制;
RB1RB2RB3网管VXLANIP:
10.1.1.2IP:
10.1.1.3IP:
10.1.1.4SDNcontrollerTCP(SNMP)TCP(openflow)HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN网络设备故障定位:
单播ping、tracePage25VXLAN是基于IP网络的overlay技术;
可以使用原有的IP网络中ping及trace进行故障检测。
目前没有设备间虚拟网络连通性的故障检测机制(比如VPLSping)NVE1NVE2NVE3VXLANIpv4unicatpingNVE1routerNVE2IPv4unicasttrace12HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18pt同网段终端用户通信的应用如图所示,某企业在不同的数据中心中都拥有VM,且位于同一网段。
现需要实现不同数据中心相同ID的VM的互通。
Page27HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18pt不同网段终端用户通信的应用如图所示,某企业在不同的数据中心中都拥有VM,且位于不同网段。
现需要实现不同数据中心同一企业的VM互通。
Page28HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18pt在虚拟机迁移场景中的应用如图所示,某企业在数据中心中有两个群集Cluster,其中工程部门和财务部门都在Cluster1上,营销部门在Cluster2上。
Cluster1上显示计算空间不足,而Cluster2未充分利用。
网络管理员需要将工程部门迁移到Cluster2上,而不影响业务。
Page29HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN网络内ARP广播优化广播转单播(R5C10前不支持)Page31NVE1NVE2MAC1MAC2IPMAC-IP2MAC2ARPCacheIPoverlayNVE3Controlplan(CE)1MAC3BrodcastARPrequestforIP2UnicastARPrequestforIP2inVXLANARPreplyforIP2ARP请求捕获到控制面2将广播的ARP请求的目的MAC替换成目标主机的单播MAC,单播给目标主机ARPcache不命中,再给源剪枝泛洪,由目标主机自行应答34被请求主机自行回应ARP请求HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptIPNetorkVXLANServer或增值业务设备路由器路由器通过LAG捆绑组实现基于流的负载分担双活接入方式双活接入方式VXLAN双活接入需求(R5C10前不支持)Page32VXLAN双活接入优点:
1、提高CE设备接入带宽利用率,实现基于流的ECMP。
2、简化CE设备功能,CE只需要支持标准LAG功能即可。
不用考虑用户接入点下的破环。
serverVXLAN服务器双网卡主备模式:
只有一个网卡活跃,链路利用率低,带宽小server主主备备接入方式接入方式&
堆叠方式堆叠方式server接入NVE设备堆叠,配置LAG与服务器LAG对接;
需要堆叠,单控制面,部分用户比较排斥。
堆叠堆叠HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN双活接入需要解决的问题Page33VXLANNVE1NVE2CE1MC-LAG1NVEn问题一:
MAC地址跳变从远端RB1和RB2学习到的MAC出现跳变源MAC1的流量可以从NVE1或NVE2进入VXLAN网络VXLANNVE1NVE2CE1MC-LAG1问题三:
多归接入NVE之间流量环回VXLANNVE1NVE2MC-LAG1问题二:
远端报文重复复制CE1NVEnVXLANNVE1NVE2MC-LAG1synch问题四:
多归接入NVE之间信息不同步CE1MAC、DHCPSnooping、IGMPSnooping表项同步HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN集中式多活三层网关Page34目的目的MAC远端远端VTEP网关虚MACvVTEP目的目的VTEP路由路由下一跳下一跳网关vVTEPNVEX互联接口IPNVEY互联接口IPIngressNVE上MAC和IP路由转发表多活网关之间能够实现基于业务流的负载分担!
VNI1VNI1VNI2VNI2VXLAN网关接口网关接口BDIF1:
10.1.1.1/24网关接口BDIF2:
20.1.1.1/24网关接口MAC:
虚MAC(00-005e-00XX)网关虚拟VTEP:
vVTEPVTEP1VTEP2VTEP3VTEP4vVTEP网关接口BDIF1:
vVTEPApplication1flowApplication2flowApplication3flowApplication4flowExternalnetworkNVEXNVEYNVE1NVE2NVE3NVE4HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN集中式多活三层网关方案:
ARP同步Page351、网关设备需要同步ARP表项;
2、否则外部访问主机的流量发到没有ARP的设备,流量将因为没有ARP而丢弃。
VNI1VNI1VNI2VNI2HOST4HOST3HOST2HOST1VXLANVTEP1VTEP2VTEP3VTEP4vVTEPARP:
HOST1=MAC4,VTEP4ExternalnetworkNVEXNVEYNVE1NVE2NVE3NVE4ARP:
HOST1=MAC4,VTEP4没有ARP,流量无法发到目标主机SDNControllerSDN控制器将ARP推送给所有多活网关,实现ARP同步HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN集中式多活三层网关:
优点一Page36相比VRRP三层网关,多活物理网关之间流量能够实现Flow-basedLoadbalancing,网关能够扩展到4台及以上。
NoGoodGoodHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
优点二Page37网关之间不需要运行类似VRRP、GLBP的基于子网粒度的心跳协议,网关信令处理压力小。
NoGood基于VLAN粒度的VRRP等心跳报文,VRRPSession数目太多!
Good网关之间没有心跳报文HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN分布式三层网关(R5C10前不支持)Page381.本地跨子网流量也通过集中式网关进行转发,流量迂回;
2.集中网关需要部署所有的虚拟网络,容易成为表项规格瓶颈;
3.整网所有东西向流量都通过集中网关转发,容易出现转发瓶颈。
1.分布式网关情况下,跨子网流量也是最优路径转发;
2.每个网关仅需要部署下挂VM所涉及的虚拟网络,表项规格需求小;
系统规格理论可以做到随接入NVE数量线性增加;
扩展性强;
3.没有集中流量处理点,消除流量处理瓶颈。
HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18ptVXLAN分布式三层网关转发过程Page39分布式网关分布式网关间,通过间,通过BGP互相通互相通告主机路由告主机路由HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential35pt32pt):
18pt与防火墙之间引流引流VXLANL3GWFWGatewaysubif1subif2VRF1UpLinkvFW2vFW1VRF2用户VRF静态默认路由,将由南向北的流量引到防火墙引流VRF静态默认路由,将由南向北的流量引到外部路由器过滤VXLANL3GWFWGatewaysubif1subif2VRF1UpLinkvFW2vFW1VRF2用户VRF静态网段路由,将由北向南的流量引到网关设备引流VRF静态网段路由,将由北向南的流量引到防火墙过滤Page40HUAWEITECHNOLOGI
升级会员 