XXX项目SDNVPC网络解决方案报告书技术建议.doc

SDN VPC 网网络络解决方案解决方案 技技术术建建议书议书 杭州华三通信技术有限公司 2020 年 3 月 目目录录 第一章第一章XXX 项项目目 SDN 项项目需求分析目需求分析 4 1 1项目背景 4 1 2项目目标 4 1 3项目需求 4 第二章第二章投投标标方案方案优势优势 5 2 1选择华三产品的几大优势 5 2 1 1全球领先的国有品牌 5 2 1 2企业网市场的佼佼者 5 2 1 3SDN 领域标准倡导者与领导者 6 2 1 4经过实践检验的稳定性 8 2 1 5最完善的售后服务体系 8 2 1 6测试最严格的产品 9 2 1 7最适合 XXX 的产品与方案 9 第三章第三章XXX SDN VPC 网网络络解决方案解决方案 9 3 1总体设计原则 11 3 2建设方案 12 3 3总体方案 12 3 3 1H3C SDN VPC 网络解决方案基础 12 3 3 1 1Overlay 的概念介绍 12 3 3 1 2Overlay 的技术标准 13 3 3 2H3C SDN VPC 网络解决方案 15 3 3 2 1典型组网 15 3 3 2 2网络基础架构 16 3 3 2 3网络部署需求 17 3 3 2 3 1VXLAN 对基础承载网络的需求 17 3 3 2 3 2VXLAN 网络和传统网络互通的需求 17 3 3 2 3 3VXLAN 网络安全需求 18 3 3 2 4Overlay 网络虚机位置无关性 18 3 3 2 5分布式网关 19 3 3 2 6Overlay 网络流表路由 19 3 3 2 7Overlay 网络转发流程 20 3 3 2 8Overlay 网络虚机迁移 20 3 3 2 9Overlay 网关高可靠性 21 3 3 2 10Overlay 网关弹性扩展升级 22 3 3 2 11Overlay 网络安全部署 23 第四章第四章SDN VPC 方案方案给给 XXX 带带来来的的价价值值 24 一一一XXX 项项目目 SDN 项项目需求分析目需求分析 1 1项项目背景目背景 1 2项项目目目目标标 1 3项项目需求目需求 一一一投投标标方案方案优势优势 2 1选择华选择华三三产产品的几大品的几大优势优势 2 1 1 企企业业网市网市场场的佼佼者的佼佼者 Gartner 魔力四象限排名 华三在企业网市场 处于第一象限 2 1 2 SDN 领领域域标标准倡准倡导导者与者与领导领导者者 华三通信是 SDN 国际领先标准组织及开源控制器项目的成员 是 SDN 相关国际标准 的倡导者 实践者与领导者 华三通信从 2009 年起开始跟踪 SDN 技术的发展 并投入大量 研发力量进行相关产品的研制与开发 截止目前已经开发了全系列的产品和丰富的解决方 案 是业界唯一能够提供 SDN 设备 SDN 控制器 SDN 应用 SDN 管理与业务编排系统的 厂商 ONF 组织组织成成员员 https www opennetworking org membership member listing Open Daylight 组织组织成成员员 http www opendaylight org 2 1 3 经过实经过实践践检验检验的的稳稳定性定性 华三公司拥有我国最广泛的网络产品行业应用案例 中央部委的应用份额超过 70 各级电子政务国干 省干 地市城域网新增份额超过 70 服务于三大行数据中心 中国农 业银行 中国银行 中国建行 两大行全国一级骨干网 中国农业银行和中国人民银行 四 大行 工 农 中 建 省行骨干网 服务于全部 211 高校 承建超过 80 的教育城域网 超过 40 个平安校园 参与全国 1700 余所高校的信息化建设 服务包括宝钢 中国铝业 一汽 海 尔 长虹在内的超过 300 家的中国 500 强企业 在 SDN 领域 华三一直积极与各行业用户进行紧密的合作与研究 并结合用户业务需 求开发了大量 SDN 应用 是国内 SDN 领域实践案例最为丰富的网络厂商 目前华三已经与 联通研究院 电信广州研究院签署了 SDN 合作协议成为合作伙伴 这是国内 SDN 领域最高 规格的合作 联通集团智慧城市项目正式采用华三 SDN 网络虚拟化平台 提高了其智慧城 市平台运维效率 95 以上 将网络配置错误率降低为 0 这是国内首例运营商级的 SDN 应 用案例 是业内最领先的 2 1 4 最完善的售后服最完善的售后服务务体系体系 35 个区域技术支持中心 300 余名双华三 SE 级别或以上级别的一线技术服务工程师 提供贴近客户的强大原厂区域服务力量 为客户提供覆盖网络生命全周期的服务解决 方案 在本在本项项目目实实施的各个省份 施的各个省份 华华三均可提供快捷的本地服三均可提供快捷的本地服务务 130 余名技术中心总部产品技术专家 涵盖网络规划 网络测试验证 路由 交换 安全 无线 存储 语音 视讯 监控 网管等所有 IP 细分产品技术领域 30 余名行业技术服务解决方案专家 全专全能 深入了解行业客户需求 为客户提供专 业的咨询顾问服务 2500 名研发后援专家 提供背靠背支持 华三呼叫中心配备 80 个专业坐席 7 24 小时响应客户需求 客户呼叫等待时间小于 20 秒 客户服务满意度高达 95 500 家渠道认证合作伙伴 近 3000 名认证服务工程师 39 个授权服务中心 雄厚的区域备件资源 3 个备件分拨中心 杭州 北京 深圳 82 个区域备件中心 省会城市 直辖市 二级城市 专业第三方物流公司战略合作伙伴 2 1 5 测试测试最最严严格的格的产产品品 华三拥有国内最严格的测试保障流程 以保证出厂产品能够满足最苛刻的使用条件 独 立的产品测试中心 累积投资超过 3 亿元人民币 北京杭州两地 各有一个大型专业测试实 验室 拥有业界领先的测试仪器 N2X Testcenter IXIA XM Smartbits Avalanche Ax4000 Abacus 等仪器 30 余台 对公司所有产品进行严格的鉴定测 试 公司全公司全线产线产品均通品均通过过国国际际著名著名测试测试机构机构 Tolly Group 的的严严格格测试测试 注 Tolly Group 测试机构对所有产品均采用黑盒测试 测试结果无论好坏均直接在网站 公布 所有测试内容和测试结果均网上可查 2 1 6 最适合最适合 XXX 的的产产品与方案品与方案 华三 SDN VPC 网络解决方案 也与 XXX 的 XX 业务的需求深度契合 可以在最大程 度上满足 XXX 的 XXX 的需求 一一一 XXX SDN VPC 网网络络解决方案解决方案 随着企业业务的快速扩展 IT 作为基础设施 其快速部署和高利用率成为主要需求 云 计算可以为之提供可用的 便捷的 按需的资源提供 成为当前企业 IT 建设的常规形态 而 在云计算中大量采用和部署的虚拟化几乎成为一个基本的技术模式 部署虚拟机需要在网 络中无限制地迁移到目的物理位置 虚机增长的快速性以及虚机迁移成为一个常态性业务 传统的网络已经不能很好满足企业的这种需求 面临着如下挑战 虚虚拟拟机迁移范机迁移范围围受到网受到网络络架构限制架构限制 虚拟机迁移的网络属性要求 当其从一个物理机上迁移到另一个物理机上 虚拟机需要 不间断业务 因而需要其 IP 地址 MAC 地址等参数维持不变 如此则要求业务网络是一个 二层网络 且要求网络本身具备多路径多链路的冗余和可靠性 传统的网络生成树 STP Spaning Tree Protocol 技术不仅部署繁琐 且协议复杂 网络规模不宜过大 限制了虚 拟化的网络扩展性 基于各厂家私有的 IRF vPC 等设备级的 网络 N 1 虚拟化技术 虽然可 以简化拓扑 具备高可靠性 但是对于网络有强制的拓扑形状 在网络的规模和灵活性上有 所欠缺 只适合小规模网络构建 且一般适用于数据中心内部网络 而为了大规模网络扩展 的 TRILL SPB FabricPath VPLS 等技术 虽然解决了上述技术的不足 但对网络有特殊要求 即网络中的设备均要软硬件升级 而支持此类新技术会带来部署成本的大幅度上升 虚虚拟拟机机规规模受网模受网络规络规格限制格限制 在大二层网络环境下 数据流均需要通过明确的网络寻址以保证准确到达目的地 因此 网络设备的二层地址表项大小 即 MAC 地址表 成为决定了云计算环境下虚拟机的规模上 限 并且因为表项并非百分之百的有效性 使得可用的虚机数量进一步降低 特别是对于低 成本的接入设备而言 因其表项一般规格较小 限制了整个云计算数据中心的虚拟机数量 但如果其地址表项设计为与核心或网关设备在同一档次 则会提升网络建设成本 虽然核心 或网关设备的 MAC 与 ARP 规格会随着虚拟机增长也面临挑战 但对于此层次设备能力而 言 大规格是不可避免的业务支撑要求 减小接入设备规格压力的做法可以是分离网关能力 如采用多个网关来分担虚机的终结和承载 但如此也会带来成本的巨幅上升 网网络络隔离隔离 分离能力限制分离能力限制 当前的主流网络隔离技术为 VLAN 或 VPN 在大规模虚拟化环境部署会有两大限制 一是 VLAN 数量在标准定义中只有 12 个比特单位 即可用的数量为 4K 这样的数量级对 于公有云或大型虚拟化云计算应用而言微不足道 其网络隔离与分离要求轻而易举会突破 4K 二是 VLAN 技术当前为静态配置型技术 只有 EVB VEPA 的 802 1Qbg 技术可以在接入 层动态部署 VLAN 但也主要是在交换机接主机的端口为常规部署 上行口依然为所有 VLAN 配置通过 这样使得整个数据中心的网络几乎为所有 VLAN 被允许通过 核心设备 更是如此 导致任何一个 VLAN 的未知目的广播数据会在整网泛滥 无节制消耗网络交换 能力与带宽 上述的三大挑战 完全依赖于物理网络设备本身的技术改良 目前看来并不能完全解决 大规模云计算环境下的问题 一定程度上还需要更大范围的技术革新来消除这些限制 以满 足云计算虚拟化的网络能力需求 在此驱动力基础上 逐步演化出 Overlay 网络技术 XXXX SDN VPC 网络解决方案 首先要满足业务需求 能够实现 XX 等需求 第二 要 解决上述三大挑战 下面将从 XXX 等 XXX 个章节 对该方案进行阐述 3 1总总体体设计设计原原则则 XXX 系统建设项目从 XXX 实际需求出发 充分利用信息技术优势 从大处着眼 小处 着手 与用户共同建设一个目标明确 管理清晰 执行顺利 平稳运行的项目 在系统的建设 和管理过程中 我们将遵循以下原则 1 注重顶层设计 统筹规划 分步实施原则 在项目的整体规划和总体设计阶段做好统一设计 统一标准 统一规范 然后分层 分 阶段 逐步建设 关注每个阶段的产出和成果 在统一的目标下逐步完成整个项目的策略 需求 分析 设计 研发 测试 部署 试运行 培训 运维等工作 同时充分发挥各类项目相 关人的知识能动性 为 XXX 提供信息化建设的咨询指导 2 强化应用建设 突出应用 关注实用原则 XXX 建设项目的建设效果和建设思路直接体现了 XXX 建设项目最直接的产出 因此 我们在建设项目过程中 将重点突出项目的应用目的 关注实用价值 以应用和需求为主导 并在建设的过程中基于 XXX 业务服务的要求 IT 技术的发展 边建设 边开发 边应用 边 完善 让应用的实际效果作为项目直接驱动要素 3 追求架构先进 技术成熟 扩展性强原则 项目建设中所采用的技术架构 在一定程度上影响着项目的稳定性 也影响到项目未来 的发展 因此在实施过程中我们将放眼长远 在保证可靠的基础上 尽量采用先进的网络技 术 应用平台和开发工具 使 XXX 系统建设项目具有较长的生命周期 4 经济实用 节约成本原则 无论在产品的选型 技术的选择中 我们都要考虑成本的约束 其中不仅考虑当前采购 的经济性 还要考虑系统长期运维的经济性 即系统的总拥有成本 尽力选择既经济可行又 长期保障的产品和技术 5 确保安全 保护隐私原则 在系统建设中要充分考虑到系统安全性以及敏感信息的隐私性 避免数据出现在共享 信息里 从网络系统 硬件子系统 软件子系统的设计都要充分考虑安全保密 采用安全可 靠的技术 保证建成的系统稳定运行 6 重视资源 强调成长原则 在项目建设的过程中 注重信息资源和人力资源的管理 在数据资源方面 注重网络资 源共享的效率性 实现网络互连 信息互通 资源共享 应用交互与协同的网络环境 同时注 重各级人力资源配置的合理性 做好培训工作 与甲方的工作人员共同成长 充分发挥资源 效能 7 保护投资 充分利旧原则 在本项目建设过程中 充分利用现有资源 防止新铺摊子和重复建设 所有建设内容都 依托现有条件和队伍进行建设 充分利用现有的资源 成果 设备 不搞重复建设 8 先进性和成熟性 遵守先进性 可行性 成熟性 以保证系统的互操作性 兼容性 可维护性 可扩展性 并对前期投资有较好的保护 9 一致性和复用性 本项目建设应充分考虑业务需求 要最大限度利用已有的资源 以减少重复投资 提高 投资收益率 10 实施有序性 统筹协调 建立相关管理制度 加强管理和指导 确保协调推进 有序实施 保证项目能 够顺利 按时完成 3 2建建设设方案方案 为满足 XXX 的 XX 等需要 需采购产品硬件和软件许可 主要实现 呼应 1 3 项目需求 内容 3 3总总体方案体方案 3 3 1 H3C SDN VPC 网网络络解决方案基解决方案基础础 3 3 1 1Overlay 的概念介的概念介绍绍 Overlay 在网络技术领域 是一种网络架构上叠加的虚拟化技术模式 其大体框架是对 基础网络不进行大规模修改的条件下 实现应用在网络上的承载 并能与其它网络业务分离 并且以基于 IP 的基础网络技术为主 Overlay 网络是指建立在已有网络上的虚拟网 逻辑节点和逻辑链路构成了 Overlay 网络 Overlay 网络是具有独立的控制和转发平面 对于连接在 overlay 边缘设备之外的 终端系统来说 物理网络是透明的 Overlay 网络是物理网络向云和虚拟化的深度延伸 使云资源池化能力可以摆脱物 理网络的重重限制 是实现云网融合的关键 Overlay 网络概念图 3 3 1 2Overlay 的技的技术标术标准准 IETF 在 Overlay 技术领域提出 VXLAN NVGRE STT 三大技术方案 大体思路均是将 以太网报文承载到某种隧道层面 差异性在于选择和构造隧道的不同 而底层均是 IP 转发 VXLAN 和 STT 对于现网设备而言对流量均衡要求较低 即负载链路负载分担适应性好 一 般的网络设备都能对 L2 L4 的数据内容参数进行链路聚合或等价路由的流量均衡 而 NVGRE 则需要网络设备对 GRE 扩展头感知并对 flow ID 进行 HASH 需要硬件升级 STT 对于 TCP 有较大修改 隧道模式接近 UDP 性质 隧道构造技术属于革新性 且复杂度较高 而 VXLAN 利用了现有通用的 UDP 传输 成熟性极高 所以总体比较 VLXAN 技术具有更大优势 而且当前 VLXAN 也得到了更多厂家和客 户的支持 已经成为 Overlay 技术的主流标准 所以本文的后续介绍均以 VXLAN 技术作为 标准进行介绍 NVGRE STT 则不再赘述 VXLAN Virtual eXtensible LAN 可扩展虚拟局域网络 是基于 IP 网络 采用 MAC in UDP 封装形式的二层 VPN 技术 具体封装的报文格式如图 2 所示 VXLAN 可以基于已有 的服务提供商或企业 IP 网络 为分散的物理站点提供二层互联功能 主要应用于数据中心 网络 VXLAN 具有如下特点 使用 24 位的标识符 最多可支持 16M 个 VXLAN 解决了传统二层网络 VLAN 资 源不足的问题 基于 IP 网络组建大二层网络 使得网络部署和维护更加容易 并且可以好地利用 现有的 IP 网络技术 例如利用等价路由负载分担 只有边缘设备需要进行 VXLAN 处理 VXLAN 业务对网络中间设备透明 只需根 据 IP 头转发报文 降低了网络部署的难度和费用 根据客户不同组网需求 Overlay 的网络部署分为以下三种组网模型 如下图所示 Overlay 的网络部署图 网络 Overlay 的隧道封装在物理交换机完成 这种 Overlay 的优势在于物理网络设备性 能转发性能比较高 可以支持非虚拟化的物理服务器之间的组网互通 它的缺点就是现网设 备大都不支持 VXLAN 需要大批量更换设备 主机 Overlay 隧道封装由虚拟设备完成 不用增加新的网络设备即可完成 Overlay 部署 可以支持虚拟化的服务器之间的组网互通 它纯粹由服务器实现 Overlay 功能 对现有网络 改动不大 但是可能存在转发瓶颈 混合 Overlay 是 Network Overlay 和 Host Overlay 的混合组网 可以支持物理服务器和 虚拟服务器之间的组网互通 它融合了两种 Overlay 方案的优点 既可以发挥硬件 GW 的转 发性能 又尽可能的减少对于现有网络的改动 3 3 2 H3C SDN VPC 网网络络解决方案解决方案 3 3 2 1典型典型组组网网 主机 Overlay 主要利用泛洪或广播机制实现网络构建和扩展 它将虚拟设备作为 Overlay 网络的边缘设备和网关设备 Overlay 功能纯粹由服务器来实现 它的典型组网如下 图所示 图1 主机Overlay典型组网 该组网方案 使用物理服务器的 vSwitch 实现 VXLAN 网络 VTEP 部署 VCF Controller 后可以集中控制 VXLAN VTEP GW VCF Controller 配合 Hypervisor 平台管理多形态 Gateway 该组网方案有以下优点 适用于服务器虚拟化的场景 成本较低 VXLAN 物理 GW 既可以用在核心位置 也可以在现有核心旁挂 保护已有投资 控制面实现可以由 H3C 高可靠的 SDN Controller 集群实现 提高了可靠性和可扩 展性 避免了大规模的复杂部署 网关组部署可以实现流量的负载分担和高可靠性传输 支持分布式网关功能 使虚机迁移后不需要重新配置网关等网络参数 部署简单 灵活 3 3 2 2网网络络基基础础架构架构 Overlay 网络的基础架构如下图所示 Overlay 网络的基础架构 VM Virtual Machine 虚拟机 在一台服务器上可以创建多台虚拟机 不同的虚拟机可以属于不同的 VXLAN 属 于相同 VXLAN 的虚拟机处于同一个逻辑二层网络 彼此之间二层互通 两个 VXLAN 可以具有相同的 MAC 地址 但一个段不能有一个重复的 MAC 地址 VTEP VXLAN Tunnel End Point VXLAN 隧道端点 VXLAN 的边缘设备 进行 VXLAN 业务处理 识别以太网数据帧所属的 VXLAN 基于 VXLAN 对数据帧进行二层转发 封装 解封装 VXLAN 报文等 VXLAN 通过在物理网络的边缘设置智能实体 VTEP 实现了虚拟网络和物理网络 的隔离 VTEP 之间建立隧道 在物理网络上传输虚拟网络的数据帧 物理网络不感知 虚拟网络 VTEP 将从虚拟机发出 接受的帧封装 解封装 而虚拟机并不区分 VNI 和 VXLAN 隧道 VNI VXLAN Network Identifier VXLAN 网络标识符 VXLAN 采用 24 比特标识二层网络分段 使用 VNI 来标识二层网络分段 每个 VNI 标识一个 VXLAN 类似于 VLAN ID 作用 VNI 占用 24 比特 这就提供了近 16M 可以使用的 VXLANs VNI 将内部的帧封装 帧起源在虚拟机 使用 VNI 封装有助于 VXLAN 建立隧道 该隧道在第 3 层网络之上覆盖率第二层网络 VXLAN 隧道 在两个 VTEP 之间完成 VXLAN 封装报文传输的逻辑隧道 业务入隧道进行 VXLAN 头 UDP 头 IP 头封装后 通过三层转发透明地将封装后的报文转发给远端 VTEP 远端 VTEP 对其进行出隧道解封装处理 VSI Virtual Switching Instance 虚拟交换实例 VTEP 上为一个 VXLAN 提供二层交换服务的虚拟交换实例 3 3 2 3网网络络部署需求部署需求 3 3 2 3 1VXLAN 对对基基础础承承载载网网络络的需求的需求 MTU VXLAN 需要增加 50 字节用于封装 VM 发出的报文 需要更大的 IP 网络端到端的 MTU VXLAN 卸载 由于 VXLAN 加入了新的 VXLAN 报文头 VXLAN 网络报文不能再利用网卡的硬件卸 载能力 这会导致支持 VXLAN 的 vSwitch 进一步占用 CPU 3 3 2 3 2VXLAN 网网络络和和传统传统网网络络互通的需求互通的需求 为了实现 VLAN 和 VXLAN 之间互通 VXLAN 定义了 VXLAN 网关 VXLAN 上同时 存在 VXLAN 端口和普通端口两种类型端口 它可以把 VXLAN 网络和外部网络进行桥接 和完成 VXLAN ID 和 VLAN ID 之间的映射和路由 和 VLAN 一样 VXLAN 网络之间的通 信也需要三层设备的支持 即 VXLAN 路由的支持 同样 VXLAN 网关可由硬件和软件来实 现 当收到从 VXLAN 网络到普通网络的数据时 VXLAN 网关去掉外层包头 根据内层的 原始帧头转发到普通端口上 当有数据从普通网络进入到 VXLAN 网络时 VXLAN 网关负 责打上外层包头 并根据原始 VLAN ID 对应到一个 VNI 同时去掉内层包头的 VLAN ID 信 息 相应的如果 VXLAN 网关发现一个 VXLAN 包的内层帧头上还带有原始的二层 VLAN ID 会直接将这个包丢弃 如图所示 VXLAN 网关最简单的实现应该是一个 Bridge 设备 仅仅完成 VXLAN 到 VLAN 的转换 包含 VXLAN 到 VLAN 的 1 1 N 1 转换 复杂的实现可以包含 VXLAN Mapping 功能实现跨 VXLAN 转发 实体形态可以是 vSwitch TOR 交换机 如图所示 VXLAN 路由器最简单的实现可以是一个 Switch 设备 支持类似 VLAN Mapping 的功能 实现 VXLAN ID 之间的 Mapping 复杂的实现可以是一个 Router 设备 支 持跨 VXLAN 转发 实体形态可以是 vRouter TOR 交换机 路由器 VXLAN 网关和 VXLAN 路由简单实现 3 3 2 3 3VXLAN 网网络络安全需求安全需求 同传统网络一样 VXLAN 网络同样需要进行安全防护 VXLAN 网络的安全资源部署需要考虑两个需求 VXLAN 和 VLAN 之间互通的安全控制 传统网络和 Overlay 网络中存在流量互通 需要对进出互通的网络流量进行安全控 制 防止网络间的安全问题 针对这种情况 可以在网络互通的位置部署 VXLAN 防火 墙等安全资源 VXLAN 防火墙可以兼具 VXLAN 网关和 VXLAN 路由器的功能 VXLAN ID 对应的不同 VXLAN 域之间互通的安全控制 VM 之间的横向流量安全是在虚拟化环境下产生的特有问题 在这种情况下 同一 个服务器的不同 VM 之间的流量可能直接在服务器内部实现交换 导致外部安全资源 失效 针对这种情况 可以考虑使用重定向的引流方法进行防护 又或者直接基于虚拟 机进行防护 网络部署中的安全资源可以是硬件安全资源 也可以是软件安全资源 还可以是虚拟化 的安全资源 3 3 2 4Overlay 网网络络虚机位置无关性虚机位置无关性 通过使用 MAC in UDP 封装技术 VXLAN 为虚拟机提供了位置无关的二层抽象 Underlay 网络和 Overlay 网络解耦合 终端能看到的只是虚拟的二层连接关系 完全意识不 到物理网络限制 更重要的是 这种技术支持跨传统网络边界的虚拟化 由此支持虚拟机可以自由迁移 甚至可以跨越不同地理位置数据中心进行迁移 如此以来 可以支持虚拟机随时随地接入 不受实际所在物理位置的限制 所以 VXLAN 的位置无关性 不仅使得业务可在任意位置灵活部署 缓解了服务器虚拟 化后相关的网络扩展问题 而且使得虚拟机可以随时随地接入 迁移 是网络资源池化的最 佳解决方式 可以有力地支持云业务 大数据 虚拟化的迅猛发展 3 3 2 5分布式网关分布式网关 分布式网关把分布在多台主机的单一 OVS 逻辑上组成一个 大 交换机 原来每个 OVS 需要分别配置 而现在 OVS 分布式网关可在控制器管理界面集中配置 管理 分布式网关通过控制器创建和维护 当一个 OVS 分布式网关被创建时 每一个主机会 创建一个隐藏的 OVS 与分布式网关连接 分布式网关主要具备以下几个功能 可以实现 OVS 集中管理的功能 在控制器管理界面对 OVS 集中配置管理 无需对 每个 OVS 单独配置 管理 OVS 分布式网关可以通过流表实现 VXLAN 的二三层转发 虚拟机迁移时可以使得虚拟机网络端口状态在从一个主机移到另一个主机时保持 不变 这样就能支持对虚拟机持续地统计监控并促进安全性监控 虚拟机迁移后 不需要重新配置网关等网络参数 部署简单 灵活 3 3 2 6Overlay 网网络络流表路由流表路由 ARP 代答 对于虚拟化环境来说 当一个虚拟机需要和另一个虚拟机进行通信时 首先需要通过 ARP 的广播请求获得对方的 MAC 地址 由于 VXLAN 网络复杂 广播流量浪费带宽 所以 需要在控制器上实现 ARP 代答功能 即由控制器对 ARP 请求报文统一进行应答 而不创建 广播流表 ARP 代答的大致流程 控制器收到 OVS 上送的 ARP 请求报文 做 IP MAC 防欺骗处理 确认报文合法后 从 ARP 请求报文中获取目的 IP 以目的 IP 为索引查找全局表获取对应 MAC 以查到的 MAC 作为源 MAC 构建 ARP 应答报文 通过 Packetout 下发给 OVS 3 3 2 7Overlay 网网络转发络转发流程流程 报文所属 VXLAN 识别 VTEP 只有识别出接收到的报文所属的 VXLAN 才能对该报文进行正确地处理 VXLAN 隧道上接收报文的识别 对于从 VXLAN 隧道上接收到的 VXLAN 报文 VTEP 根据报文 中携带的 VNI 判断该报文所属的 VXLAN 本地站点内接收到数据帧的识别 对于从本地站点中接收到的二层数据帧 VTEP 通过 以太网服务实例 Service Instance 将数据帧映射到对应的 VSI VSI 内创建的 VXLAN 即为 该数据帧所属的 VXLAN MAC 地址学习 本地 MAC 地址学习 指本地 VTEP 连接的本地站点内虚拟机 MAC 地址的学习 本地 MAC 地址通过接收到数据帧中的源 MAC 地址动态学习 即 VTEP 接收到本地虚拟机发送 的数据帧后 判断该数据帧所属的 VSI 并将数据帧中的源 MAC 地址 本地虚拟机的 MAC 地址 添加到该 VSI 的 MAC 地址表中 该 MAC 地址对应的出接口为接收到数据帧的接口 远端 MAC 地址学习 指远端 VTEP 连接的远端站点内虚拟机 MAC 地址的学习 远端 MAC 学习时 VTEP 从 VXLAN 隧道上接收到远端 VTEP 发送的 VXLAN 报文后 根据 VXLAN ID 判断报文所属的 VXLAN 对报文进行解封装 还原二层数据帧 并将数据帧中 的源 MAC 地址 远端虚拟机的 MAC 地址 添加到所属 VXLAN 对应 VSI 的 MAC 地址表中 该 MAC 地址对应的出接口为 VXLAN 隧道接口 3 3 2 8Overlay 网网络络虚机迁移虚机迁移 在虚拟化环境中 虚拟机故障 动态资源调度功能 服务器主机故障或计划内停机等都 会造成虚拟机迁移动作的发生 虚拟机的迁移 需要保证迁移虚拟机和其他虚拟机直接的业 务不能中断 而且虚拟机对应的网络策略也必须同步迁移 虚拟机迁移及网络策略如图所示 虚拟机迁移及网络策略跟随 网络管理员通过虚拟机管理平台下发虚拟机迁移指令 虚拟机管理平台通知控制器预 迁移 控制器标记迁移端口 并向源主机和目的主机对应的主备控制器分布发送同步消息 通知迁移的 VPort 增加迁移标记 同步完成后 控制器通知虚拟机管理平台可以进行迁移 了 虚拟机管理平台收到控制器的通知后 开始迁移 创建 VM 分配 IP 等资源并启动 VM 启动后目的主机上报端口添加事件 通知给控制器 控制器判断迁移标记 迁移端口 保存 新上报端口和旧端口信息 然后控制器向目的主机下发网络策略 源 VM 和目的执行内存拷贝 内存拷贝结束后 源 VM 关机 目的 VM 上线 源 VM 关 机后 迁移源主机上报端口删除事件 通知给控制器 控制器判断迁移标记 控制器根据信 息删除旧端口信息并同时删除迁移前旧端口对应的流表信息 主控制器完成上述操作后在控制器集群内进行删除端口消息的通知 其他控制器收到 删除端口信息后 也删除本控制器的端口信息 同时删除对应端的流表信息 源控制器需要 把迁移后新端口通知控制器集群的其他控制器 其他控制器收到迁移后的端口信息 更新端 口信息 当控制器重新收到 Packet in 报文后 重新触发新的流表生成 3 3 2 9Overlay 网关高可靠性网关高可靠性 Overlay 网关的高可靠性原理如图所示 Overlay 网关高可靠性 网关组中网关的 VTEP IP 和 GW VMAC 相同 均通过路由协议对内网发布 VTEP IP 对 应路由 网关组内部 采用无状态转发设计 所