XXX项目SDNVPC网络解决方案技术建议.docx
《XXX项目SDNVPC网络解决方案技术建议.docx》由会员分享,可在线阅读,更多相关《XXX项目SDNVPC网络解决方案技术建议.docx(24页珍藏版)》请在冰点文库上搜索。
XXX项目SDNVPC网络解决方案技术建议
XXX项目SDN-VPC网络解决方案技术建议
SDNVPC网络解决方案
技术建议书
杭州华三通信技术有限公司
2021年3月
第一章XXX项目SDN项目需求分析
一.1项目背景
一.2项目目标
一.3项目需求
第二章投标方案优势
二.1选择华三产品的几大优势
二.1.1企业网市场的佼佼者
Gartner魔力四象限排名,华三在企业网市场,处于第一象限。
二.1.2SDN领域标准倡导者与领导者
华三通信是SDN国际领先标准组织及开源控制器项目的成员,是SDN相关国际标准的倡导者、实践者与领导者,华三通信从2009年起开始跟踪SDN技术的发展,并投入大量研发力量进行相关产品的研制与开发,截止目前已经开发了全系列的产品和丰富的解决方案,是业界唯一能够提供SDN设备、SDN控制器、SDN应用、SDN管理与业务编排系统的厂商。
ONF组织成员
https:
//www.opennetworking.org/membership/member-listing
OpenDaylight组织成员
http:
//www.opendaylight.org/
二.1.3经过实践检验的稳定性
华三公司拥有我国最广泛的网络产品行业应用案例,中央部委的应用份额超过70%,各级电子政务国干、省干、地市城域网新增份额超过70%;服务于三大行数据中心(中国农业银行、中国银行、中国建行)、两大行全国一级骨干网(中国农业银行和中国人民银行)、四大行(工、农、中、建)省行骨干网;服务于全部“211”高校,承建超过80%的教育城域网,超过40个平安校园,参与全国1700余所高校的信息化建设。
服务包括宝钢、中国铝业、一汽、海尔、长虹在内的超过300家的中国500强企业。
在SDN领域,华三一直积极与各行业用户进行紧密的合作与研究,并结合用户业务需求开发了大量SDN应用,是国内SDN领域实践案例最为丰富的网络厂商。
目前华三已经与联通研究院、电信广州研究院签署了SDN合作协议成为合作伙伴,这是国内SDN领域最高规格的合作;联通集团智慧城市项目正式采用华三SDN网络虚拟化平台,提高了其智慧城市平台运维效率95%以上,将网络配置错误率降低为0,这是国内首例运营商级的SDN应用案例,是业内最领先的。
二.1.4最完善的售后服务体系
●35个区域技术支持中心,300余名双华三SE级别或以上级别的一线技术服务工程师,,提供贴近客户的强大原厂区域服务力量,为客户提供覆盖网络生命全周期的服务解决方案。
在本项目实施的各个省份,华三均可提供快捷的本地服务。
●130余名技术中心总部产品技术专家,涵盖网络规划、网络测试验证、路由、交换、安全、无线、存储、语音、视讯、监控、网管等所有IP细分产品技术领域。
●30余名行业技术服务解决方案专家,全专全能,深入了解行业客户需求,为客户提供专业的咨询顾问服务。
●2500名研发后援专家,提供背靠背支持。
●华三呼叫中心配备80个专业坐席,7*24小时响应客户需求。
客户呼叫等待时间小于20秒,客户服务满意度高达95%。
●500家渠道认证合作伙伴,近3000名认证服务工程师。
●39个授权服务中心。
●雄厚的区域备件资源
✓3个备件分拨中心(杭州、北京、深圳)
✓82个区域备件中心(省会城市、直辖市、二级城市)
✓专业第三方物流公司战略合作伙伴
二.1.5测试最严格的产品
华三拥有国内最严格的测试保障流程,以保证出厂产品能够满足最苛刻的使用条件。
独立的产品测试中心,累积投资超过3亿元人民币。
北京杭州两地,各有一个大型专业测试实验室。
拥有业界领先的测试仪器N2X、Testcenter、IXIAXM、Smartbits、Avalanche、Ax4000、Abacus等仪器30余台。
对公司所有产品进行严格的鉴定测试。
公司全线产品均通过国际著名测试机构TollyGroup的严格测试。
注:
TollyGroup测试机构对所有产品均采用黑盒测试,测试结果无论好坏均直接在网站公布,所有测试内容和测试结果均网上可查:
。
二.1.6最适合XXX的产品与方案
华三SDNVPC网络解决方案,也与XXX的XX业务的需求深度契合,可以在最大程度上满足XXX的XXX的需求。
第三章XXXSDNVPC网络解决方案
随着企业业务的快速扩展,IT作为基础设施,其快速部署和高利用率成为主要需求。
云计算可以为之提供可用的、便捷的、按需的资源提供,成为当前企业IT建设的常规形态,而在云计算中大量采用和部署的虚拟化几乎成为一个基本的技术模式。
部署虚拟机需要在网络中无限制地迁移到目的物理位置,虚机增长的快速性以及虚机迁移成为一个常态性业务。
传统的网络已经不能很好满足企业的这种需求,面临着如下挑战:
●虚拟机迁移范围受到网络架构限制
虚拟机迁移的网络属性要求,当其从一个物理机上迁移到另一个物理机上,虚拟机需要不间断业务,因而需要其IP地址、MAC地址等参数维持不变,如此则要求业务网络是一个二层网络,且要求网络本身具备多路径多链路的冗余和可靠性。
传统的网络生成树(STP,SpaningTreeProtocol)技术不仅部署繁琐,且协议复杂,网络规模不宜过大,限制了虚拟化的网络扩展性。
基于各厂家私有的IRF/vPC等设备级的(网络N:
1)虚拟化技术,虽然可以简化拓扑、具备高可靠性,但是对于网络有强制的拓扑形状,在网络的规模和灵活性上有所欠缺,只适合小规模网络构建,且一般适用于数据中心内部网络。
而为了大规模网络扩展的TRILL/SPB/FabricPath/VPLS等技术,虽然解决了上述技术的不足,但对网络有特殊要求,即网络中的设备均要软硬件升级,而支持此类新技术会带来部署成本的大幅度上升。
●虚拟机规模受网络规格限制
在大二层网络环境下,数据流均需要通过明确的网络寻址以保证准确到达目的地,因此网络设备的二层地址表项大小(即MAC地址表),成为决定了云计算环境下虚拟机的规模上限,并且因为表项并非百分之百的有效性,使得可用的虚机数量进一步降低。
特别是对于低成本的接入设备而言,因其表项一般规格较小,限制了整个云计算数据中心的虚拟机数量,但如果其地址表项设计为与核心或网关设备在同一档次,则会提升网络建设成本。
虽然核心或网关设备的MAC与ARP规格会随着虚拟机增长也面临挑战,但对于此层次设备能力而言,大规格是不可避免的业务支撑要求。
减小接入设备规格压力的做法可以是分离网关能力,如采用多个网关来分担虚机的终结和承载,但如此也会带来成本的巨幅上升。
●网络隔离/分离能力限制
当前的主流网络隔离技术为VLAN(或VPN),在大规模虚拟化环境部署会有两大限制:
一是VLAN数量在标准定义中只有12个比特单位,即可用的数量为4K,这样的数量级对于公有云或大型虚拟化云计算应用而言微不足道,其网络隔离与分离要求轻而易举会突破4K;二是VLAN技术当前为静态配置型技术(只有EVB/VEPA的802.1Qbg技术可以在接入层动态部署VLAN,但也主要是在交换机接主机的端口为常规部署,上行口依然为所有VLAN配置通过),这样使得整个数据中心的网络几乎为所有VLAN被允许通过(核心设备更是如此),导致任何一个VLAN的未知目的广播数据会在整网泛滥,无节制消耗网络交换能力与带宽。
上述的三大挑战,完全依赖于物理网络设备本身的技术改良,目前看来并不能完全解决大规模云计算环境下的问题,一定程度上还需要更大范围的技术革新来消除这些限制,以满足云计算虚拟化的网络能力需求。
在此驱动力基础上,逐步演化出Overlay网络技术。
XXXXSDNVPC网络解决方案,首先要满足业务需求,能够实现XX等需求,第二,要解决上述三大挑战。
下面将从XXX等XXX个章节,对该方案进行阐述。
三.1总体设计原则
XXX系统建设项目从XXX实际需求出发,充分利用信息技术优势,从大处着眼,小处着手,与用户共同建设一个目标明确、管理清晰、执行顺利、平稳运行的项目,在系统的建设和管理过程中,我们将遵循以下原则:
1、注重顶层设计、统筹规划,分步实施原则
在项目的整体规划和总体设计阶段做好统一设计、统一标准、统一规范,然后分层、分阶段、逐步建设,关注每个阶段的产出和成果,在统一的目标下逐步完成整个项目的策略、需求、分析、设计、研发、测试、部署、试运行、培训、运维等工作。
同时充分发挥各类项目相关人的知识能动性,为XXX提供信息化建设的咨询指导。
2、强化应用建设,突出应用,关注实用原则
XXX建设项目的建设效果和建设思路直接体现了XXX建设项目最直接的产出。
因此,我们在建设项目过程中,将重点突出项目的应用目的,关注实用价值,以应用和需求为主导,并在建设的过程中基于XXX业务服务的要求、IT技术的发展,边建设、边开发、边应用、边完善,让应用的实际效果作为项目直接驱动要素。
3、追求架构先进、技术成熟,扩展性强原则
项目建设中所采用的技术架构,在一定程度上影响着项目的稳定性,也影响到项目未来的发展。
因此在实施过程中我们将放眼长远,在保证可靠的基础上,尽量采用先进的网络技术、应用平台和开发工具,使XXX系统建设项目具有较长的生命周期。
4、经济实用、节约成本原则
无论在产品的选型、技术的选择中,我们都要考虑成本的约束,其中不仅考虑当前采购的经济性,还要考虑系统长期运维的经济性,即系统的总拥有成本,尽力选择既经济可行又长期保障的产品和技术。
5、确保安全、保护隐私原则
在系统建设中要充分考虑到系统安全性以及敏感信息的隐私性,避免数据出现在共享信息里,从网络系统、硬件子系统、软件子系统的设计都要充分考虑安全保密,采用安全可靠的技术,保证建成的系统稳定运行。
6、重视资源、强调成长原则
在项目建设的过程中,注重信息资源和人力资源的管理,在数据资源方面,注重网络资源共享的效率性,实现网络互连、信息互通、资源共享,应用交互与协同的网络环境,同时注重各级人力资源配置的合理性,做好培训工作,与甲方的工作人员共同成长,充分发挥资源效能。
7、保护投资、充分利旧原则
在本项目建设过程中,充分利用现有资源,防止新铺摊子和重复建设,所有建设内容都依托现有条件和队伍进行建设,充分利用现有的资源、成果、设备,不搞重复建设。
8、先进性和成熟性
遵守先进性、可行性、成熟性,以保证系统的互操作性、兼容性、可维护性、可扩展性,并对前期投资有较好的保护。
9、一致性和复用性
本项目建设应充分考虑业务需求,要最大限度利用已有的资源,以减少重复投资,提高投资收益率。
10、实施有序性
统筹协调,建立相关管理制度,加强管理和指导,确保协调推进,有序实施,保证项目能够顺利、按时完成。
三.2建设方案
为满足XXX的XX等需要,需采购产品硬件和软件许可,主要实现(呼应1.3项目需求内容)
三.3总体方案
三.3.1H3CSDNVPC网络解决方案基础
三.3.1.1Overlay的概念介绍
Overlay在网络技术领域,是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主。
●Overlay网络是指建立在已有网络上的虚拟网,逻辑节点和逻辑链路构成了Overlay网络。
●Overlay网络是具有独立的控制和转发平面,对于连接在overlay边缘设备之外的终端系统来说,物理网络是透明的。
●Overlay网络是物理网络向云和虚拟化的深度延伸,使云资源池化能力可以摆脱物理网络的重重限制,是实现云网融合的关键。
Overlay网络概念图
三.3.1.2Overlay的技术标准
IETF在Overlay技术领域提出VXLAN、NVGRE、STT三大技术方案。
大体思路均是将以太网报文承载到某种隧道层面,差异性在于选择和构造隧道的不同,而底层均是IP转发。
VXLAN和STT对于现网设备而言对流量均衡要求较低,即负载链路负载分担适应性好,一般的网络设备都能对L2-L4的数据内容参数进行链路聚合或等价路由的流量均衡,而NVGRE则需要网络设备对GRE扩展头感知并对flowID进行HASH,需要硬件升级;STT对于TCP有较大修改,隧道模式接近UDP性质,隧道构造技术属于革新性,且复杂度较高,而VXLAN利用了现有通用的UDP传输,成熟性极高。
所以总体比较,VLXAN技术具有更大优势,而且当前VLXAN也得到了更多厂家和客户的支持,已经成为Overlay技术的主流标准,所以本文的后续介绍均以VXLAN技术作为标准进行介绍,NVGRE、STT则不再赘述。
VXLAN(VirtualeXtensibleLAN,可扩展虚拟局域网络)是基于IP网络、采用“MACinUDP”封装形式的二层VPN技术,具体封装的报文格式如图2所示。
VXLAN可以基于已有的服务提供商或企业IP网络,为分散的物理站点提供二层互联功能,主要应用于数据中心网络。
VXLAN具有如下特点:
●使用24位的标识符,最多可支持16M个VXLAN,解决了传统二层网络VLAN资源不足的问题。
●基于IP网络组建大二层网络,使得网络部署和维护更加容易,并且可以好地利用现有的IP网络技术,例如利用等价路由负载分担。
●只有边缘设备需要进行VXLAN处理,VXLAN业务对网络中间设备透明,只需根据IP头转发报文,降低了网络部署的难度和费用。
根据客户不同组网需求,Overlay的网络部署分为以下三种组网模型,如下图所示。
Overlay的网络部署图
网络Overlay的隧道封装在物理交换机完成。
这种Overlay的优势在于物理网络设备性能转发性能比较高,可以支持非虚拟化的物理服务器之间的组网互通。
它的缺点就是现网设备大都不支持VXLAN,需要大批量更换设备。
主机Overlay隧道封装由虚拟设备完成,不用增加新的网络设备即可完成Overlay部署,可以支持虚拟化的服务器之间的组网互通。
它纯粹由服务器实现Overlay功能,对现有网络改动不大,但是可能存在转发瓶颈。
混合Overlay是NetworkOverlay和HostOverlay的混合组网,可以支持物理服务器和虚拟服务器之间的组网互通。
它融合了两种Overlay方案的优点,既可以发挥硬件GW的转发性能,又尽可能的减少对于现有网络的改动。
三.3.2H3CSDNVPC网络解决方案
三.3.2.1典型组网
主机Overlay主要利用泛洪或广播机制实现网络构建和扩展,它将虚拟设备作为Overlay网络的边缘设备和网关设备,Overlay功能纯粹由服务器来实现,它的典型组网如下图所示:
图1主机Overlay典型组网
该组网方案:
∙使用物理服务器的vSwitch实现VXLAN网络VTEP。
∙部署VCFController后可以集中控制VXLANVTEP/GW。
∙VCFController配合Hypervisor平台管理多形态Gateway。
该组网方案有以下优点:
∙适用于服务器虚拟化的场景,成本较低,VXLAN物理GW既可以用在核心位置,也可以在现有核心旁挂,保护已有投资。
∙控制面实现可以由H3C高可靠的SDNController集群实现,提高了可靠性和可扩展性,避免了大规模的复杂部署。
∙网关组部署可以实现流量的负载分担和高可靠性传输。
∙支持分布式网关功能,使虚机迁移后不需要重新配置网关等网络参数,部署简单、灵活。
三.3.2.2网络基础架构
Overlay网络的基础架构如下图所示:
Overlay网络的基础架构
●VM(VirtualMachine,虚拟机)
在一台服务器上可以创建多台虚拟机,不同的虚拟机可以属于不同的VXLAN。
属于相同VXLAN的虚拟机处于同一个逻辑二层网络,彼此之间二层互通。
两个VXLAN可以具有相同的MAC地址,但一个段不能有一个重复的MAC地址。
●VTEP(VXLANTunnelEndPoint,VXLAN隧道端点)
VXLAN的边缘设备,进行VXLAN业务处理:
识别以太网数据帧所属的VXLAN、基于VXLAN对数据帧进行二层转发、封装/解封装VXLAN报文等。
VXLAN通过在物理网络的边缘设置智能实体VTEP,实现了虚拟网络和物理网络的隔离。
VTEP之间建立隧道,在物理网络上传输虚拟网络的数据帧,物理网络不感知虚拟网络。
VTEP将从虚拟机发出/接受的帧封装/解封装,而虚拟机并不区分VNI和VXLAN隧道。
●VNI(VXLANNetworkIdentifier,VXLAN网络标识符)
VXLAN采用24比特标识二层网络分段,使用VNI来标识二层网络分段,每个VNI标识一个VXLAN,类似于VLANID作用。
VNI占用24比特,这就提供了近16M可以使用的VXLANs。
VNI将内部的帧封装(帧起源在虚拟机)。
使用VNI封装有助于VXLAN建立隧道,该隧道在第3层网络之上覆盖率第二层网络。
●VXLAN隧道
在两个VTEP之间完成VXLAN封装报文传输的逻辑隧道。
业务入隧道进行VXLAN头、UDP头、IP头封装后,通过三层转发透明地将封装后的报文转发给远端VTEP,远端VTEP对其进行出隧道解封装处理。
●VSI(VirtualSwitchingInstance,虚拟交换实例)
VTEP上为一个VXLAN提供二层交换服务的虚拟交换实例。
三.3.2.3网络部署需求
三.3.2.3.1VXLAN对基础承载网络的需求
●MTU
VXLAN需要增加50字节用于封装VM发出的报文,需要更大的IP网络端到端的MTU。
●VXLAN卸载
由于VXLAN加入了新的VXLAN报文头,VXLAN网络报文不能再利用网卡的硬件卸载能力,这会导致支持VXLAN的vSwitch进一步占用CPU。
三.3.2.3.2VXLAN网络和传统网络互通的需求
为了实现VLAN和VXLAN之间互通,VXLAN定义了VXLAN网关。
VXLAN上同时存在VXLAN端口和普通端口两种类型端口,它可以把VXLAN网络和外部网络进行桥接和完成VXLANID和VLANID之间的映射和路由,和VLAN一样,VXLAN网络之间的通信也需要三层设备的支持,即VXLAN路由的支持。
同样VXLAN网关可由硬件和软件来实现。
当收到从VXLAN网络到普通网络的数据时,VXLAN网关去掉外层包头,根据内层的原始帧头转发到普通端口上;当有数据从普通网络进入到VXLAN网络时,VXLAN网关负责打上外层包头,并根据原始VLANID对应到一个VNI,同时去掉内层包头的VLANID信息。
相应的如果VXLAN网关发现一个VXLAN包的内层帧头上还带有原始的二层VLANID,会直接将这个包丢弃。
如图所示。
VXLAN网关最简单的实现应该是一个Bridge设备,仅仅完成VXLAN到VLAN的转换,包含VXLAN到VLAN的1:
1、N:
1转换,复杂的实现可以包含VXLANMapping功能实现跨VXLAN转发,实体形态可以是vSwitch、TOR交换机。
如图所示。
VXLAN路由器最简单的实现可以是一个Switch设备,支持类似VLANMapping的功能,实现VXLANID之间的Mapping,复杂的实现可以是一个Router设备,支持跨VXLAN转发,实体形态可以是vRouter、TOR交换机、路由器。
VXLAN网关和VXLAN路由简单实现
三.3.2.3.3VXLAN网络安全需求
同传统网络一样,VXLAN网络同样需要进行安全防护。
VXLAN网络的安全资源部署需要考虑两个需求:
●VXLAN和VLAN之间互通的安全控制
传统网络和Overlay网络中存在流量互通,需要对进出互通的网络流量进行安全控制,防止网络间的安全问题。
针对这种情况,可以在网络互通的位置部署VXLAN防火墙等安全资源,VXLAN防火墙可以兼具VXLAN网关和VXLAN路由器的功能。
●VXLANID对应的不同VXLAN域之间互通的安全控制
VM之间的横向流量安全是在虚拟化环境下产生的特有问题,在这种情况下,同一个服务器的不同VM之间的流量可能直接在服务器内部实现交换,导致外部安全资源失效。
针对这种情况,可以考虑使用重定向的引流方法进行防护,又或者直接基于虚拟机进行防护。
网络部署中的安全资源可以是硬件安全资源,也可以是软件安全资源,还可以是虚拟化的安全资源。
三.3.2.4Overlay网络虚机位置无关性
通过使用MAC-in-UDP封装技术,VXLAN为虚拟机提供了位置无关的二层抽象,Underlay网络和Overlay网络解耦合。
终端能看到的只是虚拟的二层连接关系,完全意识不到物理网络限制。
更重要的是,这种技术支持跨传统网络边界的虚拟化,由此支持虚拟机可以自由迁移,甚至可以跨越不同地理位置数据中心进行迁移。
如此以来,可以支持虚拟机随时随地接入,不受实际所在物理位置的限制。
所以VXLAN的位置无关性,不仅使得业务可在任意位置灵活部署,缓解了服务器虚拟化后相关的网络扩展问题;而且使得虚拟机可以随时随地接入、迁移,是网络资源池化的最佳解决方式,可以有力地支持云业务、大数据、虚拟化的迅猛发展。
三.3.2.5分布式网关
分布式网关把分布在多台主机的单一OVS逻辑上组成一个“大”交换机,原来每个OVS需要分别配置,而现在OVS分布式网关可在控制器管理界面集中配置、管理。
分布式网关通过控制器创建和维护,当一个OVS分布式网关被创建时,每一个主机会创建一个隐藏的OVS与分布式网关连接。
分布式网关主要具备以下几个功能:
●可以实现OVS集中管理的功能,在控制器管理界面对OVS集中配置管理,无需对每个OVS单独配置、管理。
●OVS分布式网关可以通过流表实现VXLAN的二三层转发。
●虚拟机迁移时可以使得虚拟机网络端口状态在从一个主机移到另一个主机时保持不变,这样就能支持对虚拟机持续地统计监控并促进安全性监控。
●虚拟机迁移后,不需要重新配置网关等网络参数,部署简单、灵活。
三.3.2.6Overlay网络流表路由
●ARP代答
对于虚拟化环境来说,当一个虚拟机需要和另一个虚拟机进行通信时,首先需要通过ARP的广播请求获得对方的MAC地址。
由于VXLAN网络复杂,广播流量浪费带宽,所以需要在控制器上实现ARP代答功能。
即由控制器对ARP请求报文统一进行应答,而不创建广播流表。
ARP代答的大致流程:
控制器收到OVS上送的ARP请求报文,做IP-MAC防欺骗处理确认报文合法后,从ARP请求报文中获取目的IP,以目的IP为索引查找全局表获取对应MAC,以查到的MAC作为源MAC构建ARP应答报文,通过Packetout下发给OVS。
三.3.2.7Overlay网络转发流程
●报文所属VXLAN识别
VTEP只有识别出接收到的报文所属的VXLAN,才能对该报文进行正确地处理。
VXLAN隧道上接收报文的识别:
对于从VXLAN隧道上接收到的VXLAN报文,VTEP根据报文
中携带的VNI判断该报文所属的VXLAN。
本地站点内接收到数据帧的识别:
对于从本地站点中接收到的二层数据帧,VTEP通过以太网服务实例(ServiceInstance)将数据帧映射到对应的VSI,VSI内创建的VXLAN即为该数据帧所属的VXLAN。
●MAC地址学习
本地MAC地址学习:
指本地VTEP连接的本地站点内虚拟机MAC地址的学习。
本地MAC地址通过接收到数据帧中的源MAC地址动态学习,即VTEP接收到本地虚拟机发送的数据帧后,判断该数据帧所属的VSI,并将数据帧中的源MAC地址(本地虚拟机的MAC地址
升级会员 