隨著以云平臺為IT基礎(chǔ)搭建的業(yè)務(wù)場景越來越廣泛的被應(yīng)用于政企及運營商,區(qū)分云計算的網(wǎng)絡(luò)流量類型也變得越來越重要,因為云計算會越來越多的以場景的方式落地于各個行業(yè),不同業(yè)務(wù)的流量是不一樣的,所以首先應(yīng)該對各種行業(yè)應(yīng)用下云計算網(wǎng)絡(luò)的流量類型進行區(qū)分,同時對這些流量進行管理 。
一、云計算環(huán)境下網(wǎng)絡(luò)流量的區(qū)分
用戶與后臺資源的網(wǎng)絡(luò)穩(wěn)定性對于最終體驗是至關(guān)重要的,然而對于大部分傳統(tǒng)企業(yè)和運營商來說,網(wǎng)絡(luò)的QOS使用并不能完全滿足網(wǎng)絡(luò)穩(wěn)定性的要求,對于大多數(shù)傳統(tǒng)企業(yè),數(shù)據(jù)中心多依靠于運營商的網(wǎng)絡(luò),所以多數(shù)的流量全部混合到核心網(wǎng)絡(luò)當(dāng)中去進行傳輸,那么對于云計算環(huán)境下,多業(yè)務(wù),多租戶的模式下,網(wǎng)絡(luò)流量的區(qū)分至關(guān)重要。
圖1 云計算環(huán)境下網(wǎng)絡(luò)流量的區(qū)分
設(shè)計云計算的網(wǎng)絡(luò)模型時,我們應(yīng)該更多、更好地去運用云計算所帶來的便捷性,多種業(yè)務(wù)共存在每個資源池當(dāng)中,從資源池引入到上層網(wǎng)絡(luò),這時我們就應(yīng)該對于多種流量進行逐一的區(qū)分,建立不同的業(yè)務(wù)模型,找到不同業(yè)務(wù)對應(yīng)的底層協(xié)議種類,以便在日后整個云計算爆發(fā)的時候,使得每個邏輯業(yè)務(wù)網(wǎng)絡(luò)更加清晰,從龐大的數(shù)據(jù)流當(dāng)中提取不同流量。對于云計算來說,三種服務(wù)模型所產(chǎn)生的流量也是有所不同,宏觀上可以區(qū)分如下:
SaaS流量模型
包括大量的HTTP與HTTPS流量,主要分布于80與443端口,通常屬于一種輕量型的數(shù)據(jù)連接機制,但是在一定程度下,比如上傳或者下載,將會產(chǎn)生多種數(shù)據(jù)流進行傳遞,使得帶寬占用的不明朗,與資源管理的復(fù)雜性。
PaaS流量模型
PaaS屬于對外提供定制的軟件運行環(huán)境,往往會在系統(tǒng)開發(fā)與調(diào)試階段產(chǎn)生不同的數(shù)據(jù)流量,那么多與每項的程序調(diào)用所使用的流量區(qū)分,在這個平臺也會逐漸產(chǎn)生。
IaaS流量模型
IaaS這個層面所產(chǎn)生的流量就比較復(fù)雜,兩個維度,一個是屬于面向業(yè)務(wù),多租戶,多業(yè)務(wù)的流量區(qū)分,在線存儲的服務(wù),每個存儲通道所產(chǎn)生的流量區(qū)分,每個虛擬機所產(chǎn)生的流量的區(qū)分,對于整個網(wǎng)絡(luò)的流量區(qū)分與所需網(wǎng)絡(luò)的提供將會是一個逐漸演變的過程。
基于以上的流量區(qū)分與流量的安全性,我們應(yīng)該在云數(shù)據(jù)中心網(wǎng)絡(luò)層面上去提前認識與使用,并結(jié)合業(yè)務(wù)實際需求去建設(shè)適合用戶的數(shù)據(jù)中心網(wǎng)絡(luò)。
二、相同數(shù)據(jù)中心二層網(wǎng)絡(luò)互通
隨著云計算落地數(shù)據(jù)中心,虛擬流量逐漸產(chǎn)生,數(shù)據(jù)中心的概念在逐漸模糊,同地域,不同地域,同資源池,不同資源區(qū)分等,本章節(jié)主要是講述,相同數(shù)據(jù)中心之間的網(wǎng)絡(luò)架構(gòu)實現(xiàn),以新老技術(shù)為背景,進行實現(xiàn)與架構(gòu)設(shè)計的分享。
1.1VPLS的實現(xiàn)
vpls對于傳統(tǒng)網(wǎng)絡(luò)來說,這個詞語并不陌生,在之前文章當(dāng)中已經(jīng)提及基本知識,本章不再對基本知識進行相關(guān)介紹,主要以架構(gòu)設(shè)計與實現(xiàn)進行分享,我們都知道,MPLS-VPN,這個2.5層的網(wǎng)絡(luò)路由協(xié)議可以說是一種比較老舊的技術(shù),但是在當(dāng)前云計算的環(huán)境下,對于多業(yè)務(wù)的區(qū)分,多種虛擬流量的整合又重新興起到了現(xiàn)有的云計算網(wǎng)絡(luò)平臺,它們將會發(fā)揮它們在于邏輯網(wǎng)絡(luò)區(qū)分的優(yōu)勢,繼續(xù)發(fā)揮這個老司機的作用。之所以認為它是屬于相同數(shù)據(jù)中心的網(wǎng)絡(luò)通信協(xié)議,其實不難理解,MPLS也好VPLS也好,都是一種依靠LABLE傳遞的路由協(xié)議,那么對于租用運營商鏈路或者跨域其他鏈路資源來說,中間的設(shè)備必須具有LABLE的能力,整體來說,還是屬于一張私有的邏輯網(wǎng)絡(luò),那么整個網(wǎng)絡(luò)其實可以理解為一個數(shù)據(jù)中心的整體,并沒有在廣域鏈路上進行完全的隔離與混合,那么在云背景下,對于二層網(wǎng)絡(luò)來說,vpls也即是再適合不過的一個流量區(qū)分的一個協(xié)議選擇了,其天生的VSI標(biāo)示,就是對于每一個二層網(wǎng)絡(luò)進行相互隔離的一個基本機制,利用其VSI我們就可以對不同的流量或者云計算當(dāng)中的每個虛擬網(wǎng)絡(luò)流量進行區(qū)分,本節(jié)將會以vpls為主,進行分享。
VPLS在個人業(yè)務(wù)中的應(yīng)用
業(yè)務(wù)描述:
HSI(High Speed Internet)、VoIP(Voice Over IP)、BTV(Broadband TV)這些個人業(yè)務(wù)通常是通過運營商的城域網(wǎng)來承載業(yè)務(wù)流量的。
由于個人業(yè)務(wù)的業(yè)務(wù)網(wǎng)關(guān)(SR/BRAS等)部署在了城域出口,也就意味著用戶的二層報文需要透傳到業(yè)務(wù)網(wǎng)關(guān)(因為如果在PE上終結(jié)了二層報文,轉(zhuǎn)為三層路由轉(zhuǎn)發(fā)的話,承載在二層報文中的用戶信息將會丟失,而無法到達業(yè)務(wù)網(wǎng)關(guān),導(dǎo)致業(yè)務(wù)網(wǎng)關(guān)無法對用戶實施控制),需要使用VPLS/VLL等技術(shù)透傳二層報文。當(dāng)城域網(wǎng)部署主備業(yè)務(wù)網(wǎng)關(guān)時,用戶流量需要雙歸屬接入業(yè)務(wù)網(wǎng)關(guān),此時必須使用VPLS技術(shù)才能實現(xiàn)。
組網(wǎng)描述:
個人業(yè)務(wù)(HSI、VoIP、BTV)依次通過城域網(wǎng)的接入層、匯聚層、核心層到達Internet網(wǎng)絡(luò)。如圖3是承載個人業(yè)務(wù)的典型組網(wǎng)。
HSI業(yè)務(wù)通過該承載網(wǎng),訪問Internet網(wǎng)絡(luò)。
VoIP業(yè)務(wù)經(jīng)過該承載網(wǎng),向DHCP(Dynamic Host Configuration Protocol)Server申請IP地址。
BTV業(yè)務(wù)經(jīng)過該承載網(wǎng),向組播源申請組播服務(wù)。
圖2 個人業(yè)務(wù)(HSI、VoIP、BTV)
部署特性:
VPLS特性通常部署于PE設(shè)備之間,實現(xiàn)流量在PE設(shè)備之間的透明傳輸。根據(jù)圖1,以部署LDP方式的VPLS為例:
接入層設(shè)備的特性:
部署VLAN特性,用于區(qū)分不同類型的用戶。
部署PPPoEoA(PPPoE over AAL5)和PPPoA(PPP over AAL5)特性,實現(xiàn)HSI業(yè)務(wù)用戶的撥號接入。
部署組播VLAN、IGMP Snooping業(yè)務(wù),實現(xiàn)組播業(yè)務(wù)分發(fā)。
匯聚層設(shè)備的特性:
PE設(shè)備部署IGP(Interior Gateway Protocol)協(xié)議,實現(xiàn)PE設(shè)備間路由互通。
PE設(shè)備部署MPLS基本功能,使得PE設(shè)備之間建立遠端會話。
PE設(shè)備部署MPLS L2VPN功能,同時建立VSI實例。
PE設(shè)備部署VPLS菊花鏈方式的組播業(yè)務(wù),實現(xiàn)組播業(yè)務(wù)分發(fā)。
核心層設(shè)備的特性:
BRAS(Broadband Remote Access Server)設(shè)備部署認證、計費等特性,用于進行HSI業(yè)務(wù)的終結(jié)。
SR(Service Router)設(shè)備部署IGP協(xié)議,實現(xiàn)路由互通。
SR設(shè)備部署MPLS基本功能。
SR設(shè)備部署DHCP Relay功能,實現(xiàn)VoIP用戶通過DHCP Server獲得IP地址。
SR設(shè)備部署三層組播特性,實現(xiàn)與組播源之間業(yè)務(wù)的互通。
VPLS在企業(yè)業(yè)務(wù)中的應(yīng)用
業(yè)務(wù)描述:
目前,很多企業(yè)的分布范圍日益擴大,公司員工的移動性也不斷增加,因此企業(yè)中立即消息、網(wǎng)絡(luò)會議的應(yīng)用越來越廣泛。這些應(yīng)用對端到端的數(shù)據(jù)通信技術(shù)有了更高的要求。端到端數(shù)據(jù)通信功能的實現(xiàn)依賴于一個能夠支持多點業(yè)務(wù)的網(wǎng)絡(luò)。同時,企業(yè)業(yè)務(wù)本身對數(shù)據(jù)保密的固有特點,多點傳輸時不僅要求能保證網(wǎng)絡(luò)可靠性,還要求提供透明、安全的數(shù)據(jù)通道。
在運營商建立的城域網(wǎng)中,企業(yè)的多個分支機構(gòu)分布在不同區(qū)域。此時,需要將企業(yè)機構(gòu)之間的二層業(yè)務(wù)報文通過城域網(wǎng)傳輸時通常會使用VPLS技術(shù),實現(xiàn)分布在不同地區(qū)的企業(yè)內(nèi)部之間的互通。
組網(wǎng)描述:
企業(yè)業(yè)務(wù)通過城域網(wǎng)傳輸。如圖1是承載企業(yè)業(yè)務(wù)的典型組網(wǎng)。某企業(yè)擁有多個分支機構(gòu),Site1、Site2、Site3是研發(fā)部門。通過部署VPLS特性,實現(xiàn)site之間二層網(wǎng)絡(luò)互通。
圖3 企業(yè)業(yè)務(wù)典型組網(wǎng)
部署特性:
VPLS特性通常部署于PE設(shè)備之間,實現(xiàn)流量在PE設(shè)備之間的透明傳輸。從企業(yè)用戶看來,公網(wǎng)類似一個二層交換機。根據(jù)圖1,以部署LDP方式的VPLS為例:
接入層設(shè)備的特性:
部署VLAN特性,用于區(qū)分不同類型的企業(yè)用戶。
匯聚層設(shè)備的特性:
PE設(shè)備部署IGP協(xié)議,實現(xiàn)PE設(shè)備間路由互通。
PE設(shè)備部署MPLS基本功能,使得PE設(shè)備之間建立遠端會話。
PE設(shè)備部署MPLS L2VPN功能,同時建立VSI實例。采用VPLS雙歸組網(wǎng)形式,實現(xiàn)對流量的保護。
PE設(shè)備部署MAC地址限制、報文流量抑制功能,實現(xiàn)對數(shù)據(jù)保護。
1.1.1 HVPLS
HVPLS(Hierarchical Virtual Private LAN Service),即分層VPLS,是一種實現(xiàn)VPLS網(wǎng)絡(luò)層次化的一種技術(shù)。
HVPLS 產(chǎn)生背景
以LDP方式為信令的VPLS,為了避免環(huán)路,其基本解決辦法都是在信令上建立所有站點的全連接,LDP建立所有站點之間的LDP會話的全連接。在進行數(shù)據(jù)轉(zhuǎn)發(fā)時,對于從PW來的報文,根據(jù)水平分割轉(zhuǎn)發(fā)的原理,將不會再向其他的PW轉(zhuǎn)發(fā)。如果一個VPLS有N臺PE設(shè)備,該VPLS就有N×(N-1)÷2個連接。當(dāng)VPLS的PE增多時,VPLS的連接數(shù)就成N平方級數(shù)增加。假設(shè)有100個站點,站點間的LDP會話數(shù)目將是4950個。上述VPLS方案不能大規(guī)模的應(yīng)用的真正缺點是提供VC的PE需要復(fù)制數(shù)據(jù)包,對于第一個未知單播報文和廣播、組播報文,每個PE設(shè)備需要向所有的對端設(shè)備廣播報文,這樣就會浪費帶寬。
為解決VPLS的全連接問題,增加網(wǎng)絡(luò)的可擴展性,產(chǎn)生了HVPLS組網(wǎng)方案。在協(xié)議draft-ietf-l2vpn_vpls_ldp中引入了HVPLS。HVPLS通過把網(wǎng)絡(luò)分級,每一級網(wǎng)絡(luò)形成全連接,分級間的設(shè)備通過PW來連接,分級之間的設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)不遵守水平分割原則,而是可以相互轉(zhuǎn)發(fā)。
圖4 HVPLS MODEL
HVPLS的基本模型中,可以把PE分為兩種:
UPE:用戶的匯聚設(shè)備,即直接連接CE的設(shè)備稱為下層PE(Underlayer
PE),簡稱UPE。UPE只需要與基本VPLS全連接網(wǎng)絡(luò)的其中一臺PE建立連接。UPE支持路由和MPLS封裝。如果一個UPE連接多個CE,且具備基本橋接功能,那么數(shù)據(jù)幀轉(zhuǎn)發(fā)只需要在UPE進行,這樣減輕了SPE的負擔(dān)。
SPE:連結(jié)UPE并位于基本VPLS全連接網(wǎng)絡(luò)內(nèi)部的核心設(shè)備稱為上層PE(Superstratum
PE),簡稱SPE。SPE與基本VPLS全連接網(wǎng)絡(luò)內(nèi)部的其他設(shè)備都建立連接。
對于SPE來說,與之相連的UPE就像一個CE。從數(shù)據(jù)轉(zhuǎn)發(fā)的角度看,UPE與SPE之間建立的PW將作為SPE的AC,UPE將CE發(fā)送來的報文封裝兩層MPLS標(biāo)簽,外層為LSP的標(biāo)簽,該標(biāo)簽經(jīng)過接入網(wǎng)的不同設(shè)備時被交換;內(nèi)層標(biāo)簽為VC標(biāo)簽,用于標(biāo)識VC。SPE收到的報文包含兩層標(biāo)簽,外層的公網(wǎng)標(biāo)簽被直接彈出,SPE根據(jù)內(nèi)層的標(biāo)簽決定該AC接入哪個VSI并進行內(nèi)層標(biāo)簽交換。
HVPLS的接入方式
如圖4所示,UPE1作為匯聚設(shè)備,它只跟SPE1建立一條虛鏈路而接入鏈路PW,跟其他所有的對端都不建立虛鏈路。UPE與SPE之間的PW稱為U-PW,SPE間的PW稱為S-PW。
以CE1發(fā)送報文到CE2為例,數(shù)據(jù)轉(zhuǎn)發(fā)流程如下:
CE1發(fā)送報文給UPE1,報文的目的MAC地址是CE2;
UPE1負責(zé)將CE1發(fā)送的報文發(fā)給SPE1,UPE1為該報文打上兩層MPLS標(biāo)簽,外層標(biāo)簽標(biāo)識UPE1與SPE1之間的LSP Tunnel ID,內(nèi)層標(biāo)簽標(biāo)識UPE1與SPE1之間的VC ID;
UPE1與SPE1之間的LSR對用戶報文進行傳遞和標(biāo)簽交換,最終在倒數(shù)第二跳報文的外層標(biāo)簽被剝離;
SPE1收到報文后,根據(jù)MPLS內(nèi)層標(biāo)簽判斷報文所屬的VSI,發(fā)現(xiàn)該報文屬于VSI1;
SPE1去掉UPE1給用戶報文打上的MPLS內(nèi)層標(biāo)簽;
SPE1根據(jù)用戶報文的目的MAC,查找VSI的表項,發(fā)現(xiàn)該報文應(yīng)該被發(fā)往SPE2。SPE1給該報文打上兩層MPLS標(biāo)簽,外層標(biāo)簽標(biāo)識SPE1與SPE2之間的LSP Tunnel ID,內(nèi)層標(biāo)簽標(biāo)識SPE1與SPE2之間的VC ID;
SPE1與SPE2之間的LSR對用戶報文進行傳遞和標(biāo)簽交換,最終在倒數(shù)第二跳報文的外層標(biāo)簽被剝離;
SPE2從S-PW側(cè)收到該報文后,根據(jù)內(nèi)層MPLS標(biāo)簽判斷報文所屬的VSI,發(fā)現(xiàn)該報文屬于VSI1,并去掉SPE1給該報文打上的內(nèi)層MPLS標(biāo)簽;
SPE2為該報文打上兩層MPLS標(biāo)簽,外層標(biāo)簽標(biāo)識SPE2與UPE2之間的LSP Tunnel ID,內(nèi)層標(biāo)簽標(biāo)識UPE2與SPE2之間的VC ID,并轉(zhuǎn)發(fā)該報文;
SPE2與UPE2之間的LSR對用戶報文進行傳遞和標(biāo)簽交換,最終在倒數(shù)第二跳報文的外層標(biāo)簽被剝離;
UPE2收到該報文后,去掉UPE2給用戶報文打上的MPLS內(nèi)層標(biāo)簽,根據(jù)用戶報文的目的MAC,查找VSI的表項,發(fā)現(xiàn)該報文應(yīng)該被發(fā)往CE2,并轉(zhuǎn)發(fā)該報文。
CE1與CE4為本地CE之間交換數(shù)據(jù),如圖2所示。由于UPE本身具有橋接功能,UPE直接完成兩者間的報文轉(zhuǎn)發(fā),而無需將報文上送SPE1。不過對于從CE1發(fā)來的目的MAC未知的第一個報文或廣播報文,UPE1在廣播到CE4的同時,仍然會通過U-PW轉(zhuǎn)發(fā)給SPE1,由SPE1來完成報文的復(fù)制并轉(zhuǎn)發(fā)到各個對端CE。
HVPLS的環(huán)路避免
與VPLS的環(huán)路避免相比,H-VPLS中環(huán)路避免方法需要做如下調(diào)整:
只需要在SPE之間建立全連接(PW全連接),UPE和SPE之間不需要全連接。
每個SPE設(shè)備上,從與SPE連接的PW上收到的報文,不再向這個VSI關(guān)聯(lián)的、與其它SPE連接的PW轉(zhuǎn)發(fā),但可以向與UPE連接的PW轉(zhuǎn)發(fā)。
每個SPE設(shè)備上,從與UPE連接的PW上收到的報文,可以向這個VSI關(guān)聯(lián)的所有與其它SPE連接的PW轉(zhuǎn)發(fā)。
1.1.1.1配置LDP方式的HVPLS示例
組網(wǎng)需求:
企業(yè)機構(gòu),自建骨干網(wǎng)。分支Site1使用CE1連接UPE設(shè)備接入骨干網(wǎng),分支Site2使用CE2連接UPE接入骨干網(wǎng),分支Site3使用CE3連接普通PE1接入骨干網(wǎng)。現(xiàn)在Site1、Site2和Site3的用戶需要進行二層業(yè)務(wù)的互通,同時要求在穿越骨干網(wǎng)時保留二層報文中用戶信息。另外要求骨干網(wǎng)的UPE和SPE實現(xiàn)分層次的網(wǎng)絡(luò)結(jié)構(gòu)。
配置思路:
采用如下的思路配置LDP方式的HVPLS基本功能:
為實現(xiàn)Site1、Site2和Site3的二層業(yè)務(wù)互通,同時在穿越骨干網(wǎng)時保留二層報文的用戶信息,故需要使用VPLS技術(shù)在骨干網(wǎng)透傳二層報文;
由于企業(yè)需要實現(xiàn)分層次的網(wǎng)絡(luò)結(jié)構(gòu),可以選擇LDP方式的HVPLS,形成層次化的網(wǎng)絡(luò)拓撲并實現(xiàn)各CE設(shè)備二層網(wǎng)絡(luò)的互通;
為實現(xiàn)PE間數(shù)據(jù)的公網(wǎng)傳輸,需要在骨干網(wǎng)上配置IGP路由協(xié)議實現(xiàn)互通;
VPLS實現(xiàn)依靠MPLS基本功能,故需要在骨干網(wǎng)上的設(shè)備配置MPLS基本功能和LDP;
為使PE間傳輸?shù)臄?shù)據(jù)不被公網(wǎng)感知,需要在PE間建立傳輸數(shù)據(jù)所使用的隧道;
為實現(xiàn)VPLS功能,需要在PE上使能MPLS L2VPN;
為實現(xiàn)LDP方式的VPLS,需要在PE上創(chuàng)建VSI,指定信令為LDP,然后在UPE和PE1上將VSI與AC接口綁定;
為實現(xiàn)層次化的HVPLS功能,需要在SPE上指定UPE為自己的下層PE,PE1為VSI對等體;在UPE和PE1上分別指定SPE為VSI對等體。
1.1.2 Martini VPLS
組網(wǎng)需求:
如圖1,某企業(yè)機構(gòu),自建骨干網(wǎng)。分支Site站點較少(舉例中只列出2個站點,其余省略),分支Site1使用CE1連接PE1設(shè)備接入骨干網(wǎng),分支Site2使用CE2連接PE2接入骨干網(wǎng)。現(xiàn)在Site1和Site2的用戶需要進行二層業(yè)務(wù)的互通,同時要求在穿越骨干網(wǎng)時保留二層報文中用戶信息。
圖5 Martini方式配置VPLS
1.1.2.1 配置Marrtini VPLS的示例
采用如下的思路配置Martini方式VPLS的基本功能:
為實現(xiàn)Site1和Site2的二層業(yè)務(wù)互通,同時在穿越骨干網(wǎng)時保留二層報文的用戶信息,故需要使用VPLS技術(shù)在骨干網(wǎng)透傳二層報文;
由于企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的Site站點較少,可以選擇Martini方式的VPLS,實現(xiàn)各CE設(shè)備二層網(wǎng)絡(luò)的互通;
為實現(xiàn)PE間數(shù)據(jù)的公網(wǎng)傳輸,需要在骨干網(wǎng)上配置IGP路由協(xié)議實現(xiàn)互通;
VPLS實現(xiàn)依靠MPLS基本功能,故需要在骨干網(wǎng)上的設(shè)備配置MPLS基本功能和LDP;
為使PE間傳輸?shù)臄?shù)據(jù)不被公網(wǎng)感知,需要在PE間建立傳輸數(shù)據(jù)所使用的隧道;
為實現(xiàn)VPLS功能,需要在PE上使能MPLS L2VPN;
為實現(xiàn)Martini方式VPLS,需要在PE上創(chuàng)建VSI,指定信令為LDP,然后將VSI與AC接口綁定。
1.2Fabrica-Path的實現(xiàn)
1) vPC+實現(xiàn)雙活的網(wǎng)關(guān)路由
如果在FabricPath網(wǎng)絡(luò)中單純的使用HSRP技術(shù),HSRP虛擬IP地址所對應(yīng)的虛擬MAC地址,只會映射到活動的網(wǎng)關(guān)的Switch ID。這樣FabricPath去往外部三層網(wǎng)絡(luò)的流量只會從活動網(wǎng)關(guān)轉(zhuǎn)發(fā)。但是如果在HSRP環(huán)境下啟用了vPC+技術(shù),如圖8-33所示,HSRP的虛擬MAC地址會映射到vPC+虛擬交換機的Switch ID。并且在FabricPath路由表中會學(xué)習(xí)到去往虛擬交換機Switch ID的路由通過兩個網(wǎng)關(guān)進行負載均衡,真正實現(xiàn)了去往外部三層網(wǎng)絡(luò)的負載均衡。
圖6 外部網(wǎng)絡(luò)
1.3 Trill的實現(xiàn)
圖7 IP Network
通過TRILL協(xié)議構(gòu)建扁平化二層網(wǎng)絡(luò),實現(xiàn)整網(wǎng)無阻塞轉(zhuǎn)發(fā)及虛擬機的任意遷移。使用TRILL協(xié)議部署數(shù)據(jù)中心網(wǎng)絡(luò)時,首先在所有設(shè)備上配置TRILL基本功能,繼而根據(jù)網(wǎng)絡(luò)層次,進行如下處理:
接入層:
在用戶側(cè)配置CE VLAN接入服務(wù)器,配置后用戶流量可以通過TRILL網(wǎng)絡(luò)傳輸。如果服務(wù)器通過接入設(shè)備雙上行接入到TRILL網(wǎng)絡(luò)中,建議用戶在連接接入設(shè)備的邊緣RB上配置STP/RSTP/MSTP聯(lián)動TRILL功能進行破環(huán)。在網(wǎng)絡(luò)側(cè),可以調(diào)整TRILL的路由選路和控制TRILL的網(wǎng)絡(luò)收斂來保證網(wǎng)絡(luò)高效轉(zhuǎn)發(fā)。
核心層:
在網(wǎng)絡(luò)側(cè)可以調(diào)整TRILL的路由選路和控制TRILL的網(wǎng)絡(luò)收斂來保證網(wǎng)絡(luò)高效轉(zhuǎn)發(fā)。在出口側(cè),可以通過出口路由器連接企業(yè)其他網(wǎng)絡(luò),或者在核心層設(shè)備上配置虛擬系統(tǒng)VS(Virtual System),使用其中一個VS作為出口網(wǎng)關(guān),連接企業(yè)其他網(wǎng)絡(luò)。
三、 數(shù)據(jù)中心私有安全通道
VPN屬于目前云計算環(huán)境當(dāng)中典型的鏈路加密方式,在整個云計算環(huán)境體系當(dāng)中,SSL與IPsec VPN屬于最典型也是最廣泛使用的兩種VPN技術(shù)。
資源集中屬于云計算的一個天然的本質(zhì),統(tǒng)一的資源池化,但是整個云計算環(huán)境當(dāng)中面臨的用戶與后臺服務(wù)之間在廣域網(wǎng)上的安全通道就面臨了直接的挑戰(zhàn),每個業(yè)務(wù)的網(wǎng)絡(luò)都有可能在整個互聯(lián)網(wǎng)上進行傳遞,公有云也好,私有云也好,統(tǒng)一面臨著安全問題,為了在整個網(wǎng)絡(luò)通道進行安全加密,我們多數(shù)人想到的都是VPN,因為VPN天然具備了兩種基本特性-長連接與加密。
長連接在VPN狀態(tài)的體現(xiàn)就是每條連接都是有狀態(tài)的連接,也就是通常會使用類似“三次握手”的機制保證它的連接性,加密技術(shù)使得整個數(shù)據(jù)報文在專遞過程當(dāng)中,對于任何人來說都是不可見的狀態(tài),保證了傳輸?shù)陌踩浴?/div>
VPN的選擇有很多,對于多種選擇來說,目前比較廣泛的可靠性加密傳輸為IPsec與SSL兩種VPN技術(shù),本節(jié)以SSL VPN與IPsec進行分享。
3.1 SSL VPN
SSL VPN同傳統(tǒng)的加密技術(shù)具備如下優(yōu)勢:
部署簡潔:
目前所有瀏覽器都將SSL作為基本功能之一所集成,在用戶訪問時,通常的加密將會自動建立,不再使每一個訪問者進行配置與維護,這種零客戶端的處理機制,都極大地使得安全訪問變得如此簡單。
訪問的精細控制
SSL VPN可以對加密的隧道進行區(qū)分,使得每個用戶可以區(qū)分不同的網(wǎng)絡(luò)流向,采用不同的加密方式,甚至可以提供用戶級別的鑒權(quán)機制,依據(jù)安全策略,保證授權(quán)的用戶訪問特定的資源限制,這在傳統(tǒng)的VPN當(dāng)中實現(xiàn),基本是不可能的一種實現(xiàn)方式。
FIRWALL的穿越機制
因為SSL VPN工作在傳輸層之上,那么對于傳統(tǒng)的NAT與防火墻設(shè)備而言,用戶可以在任何地點安全訪問內(nèi)部資源,而不會被傳統(tǒng)的相關(guān)防火墻所阻擋,并且在解決IP地址沖突方面優(yōu)越于其他VPN方式。
安全保護的可靠性
由于SSL VPN網(wǎng)關(guān)隔離了內(nèi)網(wǎng)的服務(wù)與相關(guān)的客戶端,只通過WEB接口進行瀏覽,使得客戶端的大部分木馬無法傳染到所訪問的云服務(wù)器之上,保證了安全的可靠性機制。
SSL握手協(xié)議過程:
客戶機向服務(wù)器發(fā)出client hello消息,在該消息當(dāng)中包含了SSL洗衣版本號,隨機數(shù),會話標(biāo)識,(連接未建立時,此標(biāo)識為空)、密碼算法組件配置、壓縮算法組件配置,以及其他服務(wù)器需要客戶機提供的基本SSL協(xié)議消息。
服務(wù)器端向客戶機發(fā)送 server hello 消息,在該消息當(dāng)中包含了SSL協(xié)議版本號,隨機數(shù),會話標(biāo)識,選擇的密碼算法,選擇的壓縮算法,以及其他的SSL協(xié)議信息。若服務(wù)器端要驗證客戶機的證書,將發(fā)送一個客戶證書請求,將這些內(nèi)容發(fā)送結(jié)束后,發(fā)出server hello down消息作為對client hello回應(yīng)的結(jié)束。
圖8 SSL握手協(xié)議過程
客戶機根據(jù)收到的信息來驗證服務(wù)器的身份,如果服務(wù)器的身份無法被驗證,那么客戶端就會收到警告信息,驗證通過進行下一步驗證同步。
客戶機與服務(wù)器使用master secret進行session keys(連接秘鑰)生成,它屬于對稱密鑰,在SSL會話過程中,用來進行數(shù)據(jù)的加密與解密,同時用于數(shù)據(jù)的完整性。
客戶機向服務(wù)器發(fā)送一條消息,聲明后面發(fā)送過來的數(shù)據(jù)幀將會使用加密秘鑰,接著還會再發(fā)出一條單獨的消息表明建立連接信任時客戶端的工作已經(jīng)完成,至此SSL的握手協(xié)議正式結(jié)束,開始進行SSL會話,客戶機與服務(wù)器使用session keys來完成通信過程中數(shù)據(jù)的加密解密以及數(shù)據(jù)的完整性檢查。
SSL記錄協(xié)議:
在SSL協(xié)議中,所有的傳輸都會被封裝記錄,記錄是由記錄頭和長度不為0的記錄數(shù)據(jù)組成,所有SSL協(xié)議當(dāng)中(包括握手協(xié)議、安全空白記錄和應(yīng)用數(shù)據(jù))都是使用SSL記錄層協(xié)議進行記錄,并且其定義了記錄頭和記錄數(shù)據(jù)的相關(guān)格式。
SSL VPN分為多種類型,在基本技術(shù)框架的基礎(chǔ)上,可以細分為零客戶端,瘦客戶端和隧道模式三種,其中隧道模式可以用在沒有web瀏覽器的環(huán)境當(dāng)中。
3.2 IPsec VPN
在傳統(tǒng)VPN方式當(dāng)中,IPsec是目前部署最為廣泛的點對點VPN技術(shù)之一,點對多點為MPLS-VPN或者VPLS-VPN,當(dāng)位于兩地的分支機構(gòu)希望使用VPN技術(shù)進行通信時,一種情況就是向運營商申請專線資源,但是這種資源方式對于一般企業(yè)而言價格高昂,而且安全性問題無法得到確切的保證,IPsec就在這種情況之下孕育而出。IPsec將網(wǎng)關(guān)設(shè)備發(fā)往對端的數(shù)據(jù)打包加密后,在因特網(wǎng)上進行傳輸,對端網(wǎng)關(guān)設(shè)備收到數(shù)據(jù)包,解封裝后再發(fā)往目的客戶端,而整個過程對于客戶端來說都屬于無感知狀態(tài),效果跟租用運營商鏈路一樣,但是加密過程使得數(shù)據(jù)充分保持了安全性。
對于IPsec VPN,無論是哪種數(shù)據(jù)流,若一方進行了加密,而另一方?jīng)]有配,則無法通訊,對于GRE則,路由鄰居都無法建立。另一個概念是隧道模式和傳輸模式。所謂的隧道模式還是傳輸模式,是針對如ESP如何封裝數(shù)據(jù)包的,前提是ESP在最外面,如果都被Over到了GRE里,自然談不上什么隧道模式和傳輸模式(都為隧道模式)。只有當(dāng)GRE Over IPsec的時候,才可以將模式改為傳輸模式。IPsec不支持組播,即不能傳遞路由協(xié)議,而GRE支持。
目前雖然IPsec VPN仍然為主流VPN方式,但是在云環(huán)境下,它也不得不去面臨其管理成本高昂、由于工作在OSI第三層上,而使其協(xié)議本身無法附帶高層的安全策略、網(wǎng)絡(luò)配置的復(fù)雜性等問題。
而SSL恰好解決了這些方面的原因,云計算的目的是向遠程用戶提供服務(wù),但其實其多租戶的概念并不想讓自己的所有虛擬網(wǎng)絡(luò)暴露在整個平臺外,但是通過IPsec進行通訊時,很容易使得本地電腦上所附加的病毒、木馬等安全隱患直接帶到云環(huán)境當(dāng)中的某個云主機上,SSL正好在遠程接入方面補齊了云環(huán)境下對于IPsec這個弊端所帶來的隱患問題。但是雖說IPsec年歲以大,但是寶刀未老,其安全特性依然還是使用在眾多網(wǎng)絡(luò)環(huán)境當(dāng)中,其中以下兩點為IPsec使用的兩種最多的場景。
3.2.1 IPsec over GRE
IPsec Over GRE的主意為IPsec加密在里,GRE在外。先把需要加密的數(shù)據(jù)包封裝成IPsec包,然后再扔到GRE隧道里。作法是把IPsec的加密作用在隧道接口上,即為Tunnel口上監(jiān)控數(shù)據(jù)報文是否有需要加密的數(shù)據(jù)流,有則先加密封裝為IPsec包,然后封裝成GRE包進入隧道(那么顯而易見的是,GRE隧道始終存在,GRE整條VPN隧道并沒有被加密),同時,未在控制表內(nèi)的數(shù)據(jù)流將以不加密的狀態(tài)直接走GRE的隧道,那么有些數(shù)據(jù)報文傳遞過程當(dāng)中,可能并未真正加密,使得數(shù)據(jù)報文在傳遞過程當(dāng)中,無法完全保證每條數(shù)據(jù)流量的安全性,同時,IPsec并不支持組播報文的傳遞,所以此種方式在企業(yè)網(wǎng)數(shù)據(jù)流量導(dǎo)向使用的比較少。
3.2.2 GRE over IPsec
GRE Over IPsec是指,先把數(shù)據(jù)封裝成GRE包,然后再封裝成IPsec報文。實現(xiàn)方式是在相應(yīng)接口上進行流量監(jiān)控,檢測是否有需要加密的GRE流量,若是有相應(yīng)流量運送過來,那么所有的這兩個端口的GRE數(shù)據(jù)流報文將會被加密封裝上IPsec包,然后再進行傳遞,這樣保證的是所有通過GRE隧道的數(shù)據(jù)報文都會被IPsec加密,包括隧道的建立和路由的建立和傳遞。采用此種方式可以解決IPsec在傳統(tǒng)點對點VPN當(dāng)中,不支持組播的方式,同時解決了通過隧道傳遞的所有報文都進行了加密處理,完全的保證了每條流量的安全性。
圖9 GRE over IPsec
四、 跨數(shù)據(jù)中心二層網(wǎng)絡(luò)互通
在整個云計算網(wǎng)絡(luò)環(huán)境中,由于業(yè)務(wù)的批量部署,網(wǎng)絡(luò)的便捷性,對于2層網(wǎng)絡(luò)來說的需求正在逐年增加,越來越多的數(shù)據(jù)中心由單物理節(jié)點,向多個不同物理地域所演進,那么在此過程當(dāng)中,2層網(wǎng)絡(luò)必然會隨之增大,甚至到了今天所面臨的跨越數(shù)據(jù)中心2層網(wǎng)絡(luò)通訊的挑戰(zhàn),云計算的到來也使得原有的3層主打的網(wǎng)絡(luò)模型變?yōu)榱烁屿`活方便的2層網(wǎng)絡(luò)模型,而云計算的多租戶,多業(yè)務(wù)模型使得每條業(yè)務(wù)都會擁有自己獨有的流量,又需要跨越數(shù)據(jù)中心,又需要2層網(wǎng)絡(luò),同時需要多租戶,多業(yè)務(wù)基于流的隔離技術(shù),前文已經(jīng)介紹了許多關(guān)于2層流量的問題,包括VPLS VPN、Fabric-Path、TRILL等協(xié)議,都是基于流的區(qū)分2層協(xié)議,那么本節(jié)主要針對跨越不同物理地獄的2層協(xié)議進行說明。
3.1 OTV
Overlay Transport Virtualization (OTV) —-數(shù)據(jù)中心互聯(lián)解決方案
OTV是一個典型的在分布式地域的數(shù)據(jù)中心站點之間簡化2層擴展傳輸技術(shù)的工業(yè)解決方案. 使用OTV技術(shù)可以輕松在兩個站點部署Data Center Interconnect (DCI),而不需要改變或者重新配置現(xiàn)有的網(wǎng)絡(luò).此外更要的,使用OTV技術(shù)可以將不同的地理域的數(shù)據(jù)中心站點構(gòu)建統(tǒng)一的虛擬計算資源群集,實現(xiàn)工作主機的移動性,業(yè)務(wù)彈性以及較高的資源利用性. 主要的OTV特點包括:
在多個IP互聯(lián)的數(shù)據(jù)中心站點擴展2層LAN網(wǎng)絡(luò)
簡單的配置和選項:與現(xiàn)有的網(wǎng)絡(luò)無縫的接合,需要極少的配置(最少4條命令)
可靠的彈性:保留現(xiàn)有的3層故障邊界,提供自動的多宿主以及內(nèi)置的防環(huán)機制
最大可用帶寬:使用等價多路徑以及優(yōu)化多播復(fù)制
除了在二層網(wǎng)絡(luò)環(huán)境下的特殊處理,OTV同時對三層路由也進行了相應(yīng)的特殊處理,有針對性的優(yōu)化更改。數(shù)據(jù)中心局域網(wǎng)通常為了保證高可靠性,高穩(wěn)定性,通常會設(shè)置一個出口路由器作為網(wǎng)關(guān),這些路由器上同時啟用了高HA機制保證網(wǎng)絡(luò)簡潔性,同時對下層設(shè)備提供一個VIP進行虛擬路由,保證3層網(wǎng)絡(luò)的HA問題,底層設(shè)備會協(xié)同處理數(shù)據(jù)報文發(fā)送到VIP所在的虛擬路由網(wǎng)關(guān)。
那么對于數(shù)據(jù)中心之間,不同地域,之間的通信,那么這些保證HA的相關(guān)心跳報文就會在不同數(shù)據(jù)中心之間傳遞,這樣就會發(fā)生一個不可避免的問題,那就是不同城域網(wǎng)或者數(shù)據(jù)中心的下層設(shè)備,就會認為所有出口路由器都處在相同的地域之中,數(shù)據(jù)包很可能會從一個SITE跨越距離很長的路段,傳遞到別的數(shù)據(jù)中心的出口路由器,OTV很好的解決了此類問題,當(dāng)其將多個數(shù)據(jù)中心之間的鏈路打通后,OTV就會自動阻止不同區(qū)域的HSRP、VRRP、GLBP的信令包,從而使得每個數(shù)據(jù)中心的下層設(shè)備轉(zhuǎn)發(fā)不會傳遞到其他的區(qū)域,而是從本區(qū)域的VIP出口路由器向外發(fā)送相關(guān)報文,保證業(yè)務(wù)的高可用同時,使得流量更加易于管理。
在面對跨越數(shù)據(jù)中心網(wǎng)絡(luò)通訊的時候,OTV是個非常高效可靠的一款二層路由協(xié)議,其是一款專供跨越數(shù)據(jù)中心的二層互聯(lián)技術(shù),對比VPLS有著配置簡化,邏輯清晰,在廣域網(wǎng)上搭建二層通道的能力正好應(yīng)對了數(shù)據(jù)中心大二層網(wǎng)絡(luò)互聯(lián)的需求,不過從技術(shù)層面上去看,VPLS也有其天生特有的優(yōu)勢,就是MPLS-VPN的實踐程度與可靠性經(jīng)過了大規(guī)模的驗證,但是VPLS依托于Lable封裝,那么其無法在普通的IP網(wǎng)絡(luò)上進行有效的搭建與透傳,而OTV恰恰解決了此問題。
3.2 EVN
EVN(Ethernet virtual Network)是一種基于VXLAN隧道的二層網(wǎng)絡(luò)互連VPN技術(shù),EVN本身可以通過MP-BGP協(xié)議來傳遞二層網(wǎng)絡(luò)間的MAC地址信息,通過生成的MAC地址表項進行二層報文封裝的轉(zhuǎn)發(fā)。
隨著數(shù)據(jù)中心的業(yè)務(wù)發(fā)展,多個數(shù)據(jù)中心進行二層網(wǎng)絡(luò)互聯(lián)的需求逐漸旺盛,與傳統(tǒng)的vpls虛擬二層網(wǎng)絡(luò)來進行比較,EVN在跨越數(shù)據(jù)中心虛擬二層網(wǎng)絡(luò)互通方面有如下:
與VPLS相比,EVN技術(shù)可以解決上述問題:
1) EVN通過擴展BGP協(xié)議使二層網(wǎng)絡(luò)間的MAC地址學(xué)習(xí)和發(fā)布過程從數(shù)據(jù)平面轉(zhuǎn)移到控制平面。這樣可以使設(shè)備在管理MAC地址時像管理路由一樣,使目的MAC地址相同但下一跳不同的多條EVN路由實現(xiàn)負載分擔(dān);
2) 在EVN網(wǎng)絡(luò)中PE設(shè)備之間是通過BGP協(xié)議實現(xiàn)相互通信的。BGP協(xié)議支持路由反射器功能,所以可以在運營商骨干網(wǎng)上部署路由反射器,所有PE設(shè)備與反射器建立鄰居關(guān)系,通過路由反射器來反射EVN路由,大大減少了網(wǎng)絡(luò)部署成本;
3) PE設(shè)備通過ARP協(xié)議學(xué)習(xí)本地和遠端的MAC地址信息以及其對應(yīng)的IP地址,并將這些信息緩存至本地。當(dāng)PE設(shè)備再收到其他ARP請求后,將先查找本地緩存的MAC地址信息,如果查找到對應(yīng)信息,PE將返回ARP響應(yīng)報文,避免ARP請求報文向其他PE設(shè)備廣播,減少網(wǎng)絡(luò)資源消耗;
4) EVN網(wǎng)絡(luò)中不再使用MPLS隧道,而是使用VXLAN隧道。VXLAN隧道可以在PE間的鄰居關(guān)系建立成功后通過EVN路由的傳播自動建立,大大減少了配置工作量。
配置EVN實現(xiàn)數(shù)據(jù)中心互聯(lián)示例
組網(wǎng)需求
如圖1所示,Site1和Site2內(nèi)為二層數(shù)據(jù)中心網(wǎng)絡(luò),用戶要求實現(xiàn)不同二層數(shù)據(jù)中心網(wǎng)絡(luò)間相互通信,并保證EVN網(wǎng)絡(luò)的可靠性。當(dāng)運營商骨干網(wǎng)中存在大量PE設(shè)備時(舉例中只列出3個PE設(shè)備,其余省略),可以選擇在運營商骨干網(wǎng)內(nèi)配置一臺設(shè)備作為EVN路由反射器,保證PE設(shè)備的全連接。
圖10 配置EVN實現(xiàn)數(shù)據(jù)中心互聯(lián)組網(wǎng)圖
配置思路
采用如下的思路配置EVN:
1) 骨干網(wǎng)上配置IGP實現(xiàn)各個PE以及RR設(shè)備之間的互通;
2) 配置隧道模式為VXLAN;
3) 配置PE上的EVN實例;
4) 配置PE與RR間的EVN BGP對等體關(guān)系;
5) 配置RR為動態(tài)路由反射器;
6) 配置各個PE與CE接口上的ESI;
7) 配置CE側(cè)接口;
8) 配置PE1和PE2的冗余模式,保證EVN網(wǎng)絡(luò)的可靠性。
3.4 虛實結(jié)合與混合云網(wǎng)絡(luò)
對于傳統(tǒng)的數(shù)據(jù)中心來說,都是各個物理服務(wù)器的之間的通訊,那么在云計算環(huán)境當(dāng)中虛擬機與物理服務(wù)器之間的2層通訊問題逐漸的出現(xiàn),同時又一種新型的概念混合云的網(wǎng)絡(luò)模型逐漸展開,前文介紹了大量的2層網(wǎng)絡(luò)通訊協(xié)議,那么我們在面對那么多的網(wǎng)絡(luò)復(fù)雜場景下,云計算帶來的網(wǎng)絡(luò)特殊的部署模式將會變得對于每個網(wǎng)絡(luò)工程師所必須要知道了解的,本節(jié)主要以虛實結(jié)合與混合云網(wǎng)絡(luò)進行闡述分享。
3.4.1 虛實結(jié)合
虛實結(jié)合的網(wǎng)絡(luò)部署模型顧名思義就是云計算環(huán)境下虛擬機與物理機相互結(jié)合的網(wǎng)絡(luò)模型,那么對于傳統(tǒng)網(wǎng)絡(luò)來說,我們所要知道的就是如何掌控VLAN之間的通訊就可以實現(xiàn)虛擬機與物理機之間的通訊,那么在云計算新型大二層網(wǎng)絡(luò)環(huán)境下,所要實現(xiàn)VXLAN網(wǎng)絡(luò)之間的通訊,這時就是我們所必須要了解的一些新型模式。
1.VXLAN網(wǎng)絡(luò)與非VXLAN網(wǎng)絡(luò)通訊
在常見的網(wǎng)絡(luò)模型當(dāng)中,我們很好解決VLAN的通訊問題,起SVI走路由或者配置成同一個廣播域即可,那么在此環(huán)境當(dāng)中,這樣的通訊方式如果是基于2層VXLAN通訊就是個問題,我們要引入一個VXLAN L2GATEWAY的這樣一種機制,也就是說使得每個vlan對應(yīng)的vlan id與VXLAN VNI所對應(yīng)關(guān)聯(lián),使得2層網(wǎng)絡(luò)環(huán)境下,可以使得VXLAN與非VXLAN得轉(zhuǎn)換,使得傳統(tǒng)2層網(wǎng)絡(luò)與新型VXLAN2層網(wǎng)絡(luò)進行通訊。
圖11 云計算環(huán)境下虛實結(jié)合的網(wǎng)絡(luò)部署模型
3.4.2 混合云網(wǎng)絡(luò)
混合云網(wǎng)絡(luò)當(dāng)中其實涵蓋了一種網(wǎng)絡(luò)就是2曾VXLAN與VLAN的概念,但是混合云網(wǎng)絡(luò)是一種更為現(xiàn)實復(fù)雜的網(wǎng)絡(luò)模型,其中不僅涵蓋了2層網(wǎng)絡(luò),同時也涵蓋了3層網(wǎng)絡(luò),那么對于公有云與私有云是一種混合云網(wǎng)絡(luò),多個異構(gòu)的私有云也是一種混合云網(wǎng)絡(luò),同時我們也不得不面對原有的云網(wǎng)絡(luò)與新興的3層云網(wǎng)絡(luò)進行通訊,這些都是一個新的網(wǎng)絡(luò)模型需要每個網(wǎng)絡(luò)工程師進行思考的問題,其中一個就是安全性問題,在公有云與私有云當(dāng)中的安全性問題,通常的情況下,我們會選擇專線接入,那么對于既保證安全性,又保證高帶寬低延遲的情況下,我們必須保留專線資源,但是還是要保持一定的安全性,同時降低成本,那么這種情況下,我們就可以選擇最后一公里的VPN接入專線的方式,這樣既保證安全性,又保證專線的高帶寬的本質(zhì),同時節(jié)省了運營商專線出局的一些資質(zhì)困擾。
圖12 混合云網(wǎng)絡(luò)
有的時候我們也在考慮公網(wǎng)上跨越運營商的三層路由的通訊方式,那么網(wǎng)絡(luò)的最本質(zhì)的通訊動作還是封裝與解封裝,這時候我們會面臨多個跨越數(shù)據(jù)中心的異構(gòu)云資源池,有的資源池可能會使用的普通3層網(wǎng)絡(luò)數(shù)據(jù)報文,那么有的會采用新型的網(wǎng)絡(luò)數(shù)據(jù)中報文,比如VXLAN跨越運營商網(wǎng)絡(luò),那么此時老舊設(shè)備并不知道我重新封裝的VXLAN報文,只知道外面的3層頭部信息,而且我們在配置出口交換機時都會使用SVI的技術(shù),配置邏輯接口,將每個邏輯接口掛接在一個物理端口上,使得物理端口的損壞時,保證快速鏈路的切換,那么對于新的VXLAN網(wǎng)絡(luò)來說,我們怎么才能在向使用vlan那樣去使用SVI技術(shù)呢?這時候我們就需要引入一個新的概念VXLAN L3-GateWay,其實就是VXLAN的3層網(wǎng)關(guān),其便可實現(xiàn)VXLAN啟用虛擬3層邏輯接口,并且掛接在物理端口上。
圖13 路由出網(wǎng)
五、 新興網(wǎng)絡(luò)技術(shù)的發(fā)展
對于傳統(tǒng)的路由與交換設(shè)備來說,在云計算的環(huán)境下,原有的網(wǎng)卡功能的使用將會被各種虛擬化業(yè)務(wù)所使用,在推動虛擬化發(fā)展的高速路程當(dāng)中,眾多因素使得資源再利用變得尤為重要,大多數(shù)客戶都希望在進行虛擬化、私有數(shù)據(jù)中心云化之后,都可以使得自身的原有資源可以充分利用,網(wǎng)卡也不例外,往往通過云化之后的CPU都會利用率從原有百分之10提升到70進行使用,當(dāng)越來越多的不同業(yè)務(wù)的虛擬機跑在同一個物理服務(wù)器上時,都會擁擠在相同的一個物理I/O通道內(nèi),對于高性能計算的環(huán)境當(dāng)中,上層業(yè)務(wù)往往對于網(wǎng)絡(luò)的I/O非常敏感,不同業(yè)務(wù)的虛擬機往往會要求特殊的端口類型,如果模型匹配不對,性能就會大大折扣,而單一的物理網(wǎng)卡不可能對于上層每一個業(yè)務(wù)實現(xiàn)不同的網(wǎng)絡(luò)接口隊列模型,這就會影響到業(yè)務(wù)的性能瓶頸,新一代的網(wǎng)卡與網(wǎng)絡(luò)技術(shù)也就隨之孕育而出。那么隨著私有云不斷地升溫,原有的虛擬網(wǎng)絡(luò)方式帶給網(wǎng)絡(luò)節(jié)點的壓力也會逐漸加大,數(shù)據(jù)中心對于網(wǎng)絡(luò)的功能與性能變革也進行了時代的變化,從原有的純軟件或者純硬件的方式,逐漸轉(zhuǎn)變?yōu)橐攒浖x網(wǎng)絡(luò)為主,實現(xiàn)軟硬結(jié)合的新型網(wǎng)絡(luò)變化的趨勢,在漫談云計算網(wǎng)絡(luò)最后一篇中,筆者會主要描述云計算環(huán)境下誕生的一些新的網(wǎng)絡(luò)技術(shù),以及應(yīng)用的場景。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:云計算網(wǎng)絡(luò)的應(yīng)用場景
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/10839719860.html
本文轉(zhuǎn)自:e-works制造業(yè)信息化門戶網(wǎng)
本文來源于互聯(lián)網(wǎng),拓步ERP資訊網(wǎng)本著傳播知識、有益學(xué)習(xí)和研究的目的進行的轉(zhuǎn)載,為網(wǎng)友免費提供,并盡力標(biāo)明作者與出處,如有著作權(quán)人或出版方提出異議,本站將立即刪除。如果您對文章轉(zhuǎn)載有任何疑問請告之我們,以便我們及時糾正。聯(lián)系方式:QQ:10877846 Tel:0755-26405298。
相關(guān)文章
