ADDC应用驱动数据中心方案建议书

1、ADDC应用驱动数据中心解决方案技术建议书目 录 TOC o 1-3 h z u HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733746 1传统网络面临的问题 PAGEREF _Toc407733746 h 4 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733747 1.1.业务规划与网络架构紧耦合 PAGEREF _Toc407733747 h 4 HYPERLINK D:UsersJFD2Download

2、sH3C ADDC技术建议书（20141229）.docx l _Toc407733748 1.2.东西流量受到传统网络架构限制 PAGEREF _Toc407733748 h 4 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733749 1.3.业务规模受网络设备规格限制 PAGEREF _Toc407733749 h 5 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733750 1.4.传统安全部署模式的限制

3、 PAGEREF _Toc407733750 h 5 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733751 1.5.不能适应大规模租户部署 PAGEREF _Toc407733751 h 5 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733752 2.H3C ADDC解决方案 PAGEREF _Toc407733752 h 6 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术

4、建议书（20141229）.docx l _Toc407733753 2.1.方案概述 PAGEREF _Toc407733753 h 6 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733754 2.2.方案具体设计 PAGEREF _Toc407733754 h 8 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733755 2.2.1.ADDC方案典型组网 PAGEREF _Toc407733755 h 8

5、HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733756 2.2.2.ADDC网络基础架构 PAGEREF _Toc407733756 h 10 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733757 2.2.3.ADDC网络部署需求 PAGEREF _Toc407733757 h 11 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _

6、Toc407733758 2.3.ADDC方案主要功能 PAGEREF _Toc407733758 h 14 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733759 2.3.1.Overlay PAGEREF _Toc407733759 h 14 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733760 2.3.2.主机部署与物理位置解耦和 PAGEREF _Toc407733760 h 20 HYPERLIN

7、K D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733761 2.3.3.分布式网关 PAGEREF _Toc407733761 h 20 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733762 2.3.4.Overlay网络流表路由 PAGEREF _Toc407733762 h 21 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc4077337

8、63 2.3.5.主机迁移策略跟随 PAGEREF _Toc407733763 h 21 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733764 2.3.6.Overlay网关高可靠性 PAGEREF _Toc407733764 h 23 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733765 2.3.7.安全服务链部署 PAGEREF _Toc407733765 h 24 HYPERLINK D:Users

9、JFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733766 3.ADDC方案适用场景 PAGEREF _Toc407733766 h 25 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733767 4.ADDC方案的主要价值 PAGEREF _Toc407733767 h 26 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733768 5.ADDC方案配置清

10、单及说明 PAGEREF _Toc407733768 h 27 HYPERLINK D:UsersJFD2DownloadsH3C ADDC技术建议书（20141229）.docx l _Toc407733769 6.缩略语解释 PAGEREF _Toc407733769 h 27传统网络面临的问题随着企业业务的快速扩展需求，IT做为基础设施，快速部署和减少投入成为主要需求，云计算可以提供可用的、便捷的、按需的资源提供，成为当前企业IT建设的常规形态，而在云计算中大量采用和部署的虚拟化几乎成为一个基本的技术模式。部署虚拟机需要在网络中无限制地迁移到目的物理位置，虚机增长的快速性以及虚机迁移成为

11、一个常态性业务。服务器虚拟化在经过多年的发展后已经越来越成熟，被应用的领域也越来越广泛。它有效降低了成本，提高了资源利用率和可用性，同时使运维效率也得到了较大提升，进而缓解了信息化建设所面对的诸多压力。虽然服务器虚拟化的普及彻底改变了应用的调配和管理，但是，这些动态工作负载所连接的网络却未能跟上它的发展步伐。网络调配仍然极其缓慢，甚至一个简单的拓扑结构的创建也需要数天或数周时间。传统的网络已经不能很好满足企业迈向云时代的这种需求，面临着如下挑战：业务规划与网络架构紧耦合传统数据中心业务规划分区分域，IP地址网段划分则一般以POD为单位，一个POD内为一个网段，规划部署同一种业务。此种网络架构规

12、划清晰，维护简单，但是不足之处就是业务扩容受限，假设业务1部署在POD1内，如果POD1内无法扩容，需要把业务部署在其他的机架上时则要求POD1与其他机架二层Trunk互通，要对网络做大量的配置更改。东西流量受到传统网络架构限制传统网络架构以三层为主，主要是以控制南北数据流量为主，由于数据中心虚拟机的大规模使用，虚拟机迁移的特点以东西流量为主，在迁移后需要其IP地址、MAC地址等参数保持不变，如此则要求业务网络是一个二层网络。但已有二层技术存在下面问题：生成树(STP Spaning Tree Protocol)技术，部署和维护繁琐，网络规模不宜过大，限制了网络的扩展。各厂家私有的IRF/vP

13、C/等网络虚拟化技术，虽然可以简化部署、同时具备高可靠性，但是对于网络的拓扑架构有严格要求，同时各厂家不支持互通，在网络的可扩展性上有所欠缺，只适合小规模网络部署，一般只适合数据中心内部网络。新出现的大规模二层网络技术TRILL/SPB/FabricPath等，虽然能支持二层网络的良好扩展，但对网络设备有特殊要求，网络中的设备需要软硬件升级才能支持此类新技术，带来部署成本的上升。业务规模受网络设备规格限制云业务中虚拟机的大规模部署，使二层地址（MAC）表项的大小限制了云计算环境下虚拟机的规模，特别是对于接入设备而言，二层地址表项规格较小，限制了整个云计算数据中心的业务规模。传统安全部署模式的限

14、制传统模式下的安全部署都是基于路径基于拓扑的安全策略部署，安全业务必须根据业务的要求配置好VLAN、IP、引流策略，而且这些策略都是手工配置的，如果业务变更，那么安全策略的配置也必须跟着重新配置。另外传统安全都是基于物理硬件设备部署的，导致在业初期由于业务量小使设备利用率很低造成资源浪费，而且业务后期随着业务量的增量可能又会出现性能不够用的情况，安全设备的性能无法根据业务的要求而动态的扩展性能或者释放资源。不能适应大规模租户部署云业务需要大量租户之间的隔离，当前的主流二层网络隔离技术为VLAN，但是在大量租户部署时会有两大限制：一是VLAN可用的数量为4K左右，远远不能满足公有云或大型私有云的

15、部署需求；二是如果在大规模数据中心部署VLAN，会使得所有VLAN在数据中心都被允许通过，会导致任何一个VLAN的广播数据会在整个数据中心内泛滥，大量消耗网络带宽，同时带来维护的困难。由此可以看出，传统模式下的网络安全方案已经远远不能满足云时代客户业务发展的要求，因此H3C提出ADDC应用驱动数据中心解决方案。H3C ADDC解决方案方案概述ADDC是领先的网络连接和安全解决方案，它可以提高运营效率，发挥敏捷性并可实现能够快速响应业务需求的延展性。它可在单一解决方案中提供大量不同的服务，包括虚拟防火墙、多租户、负载均衡和VXLAN扩展网络。ADDC可实现网络和安全保护虚拟化，从而创建高效、敏捷

16、且可延展的逻辑结构，并满足虚拟数据中心的性能和可扩展性要求。ADDC采用安全服务链架构，通过服务链，定义业务经过不同的安全节点，为业务提供全面的安全防护。ADDC方案是面向客户应用的数据中心网络解决方案，简单灵活高性价比！如上图所述，ADDC方案组件在整个数据中心内位于承上启下的腰部位置，承上对接云管理平台，云平台可以是第三方的云平台或者H3C的CSM云平台，用户通过云平台可以对整个数据中心的业务和资源进行管理。启下对接计算资源层，计算资源层包括虚拟计算资源和物理服务器，虚拟计算资源可以是H3C的CAS虚拟机、VMware的vsphere、Microsoft的hyper-v或者是开源的KVM/

17、XEN，ADDC都可以无缝的和它们对接。ADDC方案又由3个层次组成，最下一层是转发层，负责对数据报文进行转发、封装、解封装、防火墙业务、负载均衡业务等，转发层的具体设备包含交换路由设备、安全设备等。控制层由VCF控制器组成，控制器对overlay网络进行集中的控制，通过openflow协议对overlay设备下发流表，通过netconf协议对overlay设备进行策略配置下发，通过ovsdb对vswitch进行策略配置下发。控制层往上是管理层，管理层主要作用是对用户呈现一个图形化的操作管理界面，包括overlay网络与underlay网络的统一拓扑管理、图形化的策略配置、设备的性能监控、安全

18、事件及策略等的管理都是在管理层上实现的功能。方案具体设计ADDC方案典型组网典型的ADDC组网图如上图所述，在这个图中，转发层的设备包括vswitch虚拟交换机、vxlan二层网关、vxlan三层网关、vFW、vLB、其他普通的路由交换设备。控制层设备为VCF控制器。管理层设备为iMC。控制层设备和管理层设备可以集中部署在管理控制Rack区。对于一个用户的数据中心来说，服务器包含两种类型，即虚拟化服务器和非虚拟化服务器，虚拟化的服务器采用vswitch作为vtep，物理服务器则采用支持Vxlan的物理交换机作为vtep。Overlay转发就是vtep之间的通信。控制平面借助H3C高可靠的SDN

19、 Controller集群实现管理和配置，VCF控制器集中控制vtep和vxlan二层网关、vxlan三层网关。Overlay网络的所有设备由H3C Controller通过标准协议集中管理，减少了传统设备管理的复杂性。同时当用户业务扩展时，通过集中管理用户可以方便快速的部署网络设备，便于网络的扩展和管理。在VXLAN实际网络部署中，接入设备可以为vSwitch和物理交换机。为了实现VXLAN的网关功能，由核心物理网络设备承担，提高了网络性能。H3C核心设备主要提供VXLAN 网关功能，支持VXLAN报文的封装与解封装，并根据内层报文的IP头部进行三层转发，支持跨VXLAN之间的转发，支持VX

20、LAN和传统VLAN之间的互通。H3C vSwitch软件主要提供虚拟化VXLAN 隧道封装功能，支撑VM接入Overlay网络，支持VXLAN报文的封装与解封装，支持跨VXLAN之间的转发。H3C 物理接入网络设备主要提供VXLAN 隧道封装功能，支撑物理服务器接入Overlay网络，支持VXLAN报文的封装与解封装，并根据内层报文的MAC头部进行二层转发。图中的网络服务资源池部署了vFW和vLB，起安全服务链的作用。数据在网络中传递时，需要经过各种服务节点，才能保证网络按照设计要求，提供给用户安全、快速、稳定的网络服务。数据需要按照业务逻辑所定义的顺序，依次经过这些服务节点，这就是服务链。

21、在上图中通过部署SDN控制器作为服务链的控制平面，可以实现服务链定义的自动化。该方案具有如下特性：可以支持虚机与非虚拟化的物理服务器之间的二层数据互通。用物理设备实现VXLAN路由功能，提升了网络的整体性能。控制面实现由H3C高可靠的SDN Controller集群实现，提高了可靠性和可扩展性，避免了大规模组播的复杂部署。支持分布式网关功能，使虚机迁移后不需要重新配置网关等网络参数，部署简单、灵活。通过SDN控制器定义安全服务链，实现了服务链定义的自动化，而且控制器会实时监控安全资源池的负载情况，可以根据负载实现安全资源池的扩展或者资源释放。ADDC网络基础架构Overlay网络的基础架构如下

22、图所示：VM（Virtual Machine，虚拟机）在一台服务器上可以创建多台虚拟机，不同的虚拟机可以属于不同的VXLAN。属于相同VXLAN的虚拟机处于同一个逻辑二层网络，彼此之间二层互通。两个VXLAN 可以具有相同的MAC地址，但一个段不能有一个重复的MAC地址。VTEP（VXLAN Tunnel End Point，VXLAN隧道端点）VXLAN的边缘设备，进行VXLAN业务处理：识别以太网数据帧所属的VXLAN、基于VXLAN对数据帧进行二层转发、封装/解封装VXLAN报文等。VXLAN通过在物理网络的边缘设置智能实体VTEP，实现了虚拟网络和物理网络的隔离。VTEP之间建立隧道，

23、在物理网络上传输虚拟网络的数据帧，物理网络不感知虚拟网络。VTEP将从虚拟机发出/接受的帧封装/解封装，而虚拟机并不区分VNI和VXLAN隧道。VNI(VXLAN Network Identifier，VXLAN网络标识符)VXLAN采用24比特标识二层网络分段，使用VNI来标识二层网络分段，每个VNI标识一个VXLAN，类似于VLAN ID作用。VNI占用24比特，这就提供了近16M可以使用的VXLANs。VNI将内部的帧封装（帧起源在虚拟机）。使用VNI封装有助于VXLAN建立隧道，该隧道在第3层网络之上覆盖率第二层网络。VXLAN隧道在两个VTEP之间完成VXLAN封装报文传输的逻辑隧道

24、。业务入隧道进行VXLAN头、UDP头、IP头封装后，通过三层转发透明地将封装后的报文转发给远端VTEP，远端VTEP对其进行出隧道解封装处理。VSI（Virtual Switching Instance，虚拟交换实例）VTEP上为一个VXLAN提供二层交换服务的虚拟交换实例。ADDC网络部署需求VXLan对基础承载网络的需求MTUVXLAN需要增加50字节用于封装VM发出的报文，需要更大的IP网络端到端的MTU。VXLAN 卸载由于VXLAN加入了新的VXLAN报文头，VXLAN网络报文不能再利用网卡的硬件卸载能力，这会导致支持VXLAN的vSwitch进一步占用CPU。Vxlan网络和传统

25、网络互通的需求为了实现VLAN和VXLAN之间互通，VXLAN定义了VXLAN网关。VXLAN上同时存在VXLAN端口和普通端口两种类型端口，它可以把VXLAN网络和外部网络进行桥接和完成VXLAN ID和VLAN ID之间的映射和路由，和VLAN一样，VXLAN网络之间的通信也需要三层设备的支持，即VXLAN路由的支持。同样VXLAN网关可由硬件和软件来实现。当收到从VXLAN网络到普通网络的数据时，VXLAN网关去掉外层包头，根据内层的原始帧头转发到普通端口上；当有数据从普通网络进入到VXLAN网络时，VXLAN网关负责打上外层包头，并根据原始VLAN ID对应到一个VNI，同时去掉内层包

26、头的VLAN ID信息。相应的如果VXLAN网关发现一个VXLAN包的内层帧头上还带有原始的二层VLAN ID，会直接将这个包丢弃。如图所示。VXLAN网关最简单的实现应该是一个Bridge设备，仅仅完成VXLAN到VLAN的转换，包含VXLAN到VLAN的1：1、N：1转换，复杂的实现可以包含VXLAN Mapping功能实现跨VXLAN转发，实体形态可以是vSwitch、TOR交换机。如图所示。VXLAN路由器最简单的实现可以是一个Switch设备，支持类似VLAN Mapping的功能，实现VXLAN ID之间的Mapping，复杂的实现可以是一个Router设备，支持跨VXLAN转发，

27、实体形态可以是vRouter、TOR交换机、路由器。Vxlan网络安全需求同传统网络一样，VXLAN网络同样需要进行安全防护。VXLAN网络的安全资源部署需要考虑两个需求：VXLAN和VLAN之间互通的安全控制传统网络和Overlay网络中存在流量互通，需要对进出互通的网络流量进行安全控制，防止网络间的安全问题。针对这种情况，可以在网络互通的位置部署VXLAN防火墙等安全资源，VXLAN防火墙可以兼具VXLAN网关和VXLAN路由器的功能。VXLAN ID对应的不同VXLAN域之间互通的安全控制VM之间的横向流量安全是在虚拟化环境下产生的特有问题，在这种情况下，同一个服务器的不同VM之间的流量

28、可能直接在服务器内部实现交换，导致外部安全资源失效。针对这种情况，可以考虑使用重定向的引流方法进行防护，又或者直接基于虚拟机进行防护。网络部署中的安全资源可以是硬件安全资源，也可以是软件安全资源，还可以是虚拟化的安全资源。建议采用安全服务链的模式来部署安全，通过控制器定义服务链模型，实现安全部署的自动化。ADDC方案主要功能OverlayOverlay基础概念Overlay在网络技术领域，是一种网络架构上叠加的虚拟化技术模式，其大体框架是对基础网络不进行大规模修改的条件下，实现应用在网络上的承载，并能与其它网络业务分离，并且以基于IP的基础网络技术为主。Overlay网络是指建立在已有网络上的

29、虚拟网，逻辑节点和逻辑链路构成了Overlay网络。Overlay网络是具有独立的控制和转发平面，对于连接在overlay边缘设备之外的终端系统来说，物理网络是透明的。Overlay网络是物理网络向云和虚拟化的深度延伸，使云资源池化能力可以摆脱物理网络的重重限制，是实现云网融合的关键。Overlay技术标准IETF在Overlay技术领域提出VXLAN、NVGRE、STT三大技术方案。大体思路均是将以太网报文承载到某种隧道层面，差异性在于选择和构造隧道的不同，而底层均是IP转发。VXLAN和STT对于现网设备而言对流量均衡要求较低，即负载链路负载分担适应性好，一般的网络设备都能对L2-L4的数

30、据内容参数进行链路聚合或等价路由的流量均衡，而NVGRE则需要网络设备对GRE扩展头感知并对flow ID进行HASH，需要硬件升级；STT对于TCP有较大修改，隧道模式接近UDP性质，隧道构造技术属于革新性，且复杂度较高，而VXLAN利用了现有通用的UDP传输，成熟性极高。所以总体比较，VLXAN技术具有更大优势，而且当前VLXAN也得到了更多厂家和客户的支持，已经成为Overlay技术的主流标准，所以本文的后续介绍均以VXLAN技术作为标准进行介绍，NVGRE、STT则不再赘述。VXLAN（Virtual eXtensible LAN，可扩展虚拟局域网络）是基于IP网络、采用“MAC in

31、 UDP”封装形式的二层VPN技术，具体封装的报文格式如图2所示。VXLAN可以基于已有的服务提供商或企业IP网络，为分散的物理站点提供二层互联功能，主要应用于数据中心网络。VXLAN具有如下特点：使用24位的标识符，最多可支持16M个VXLAN，解决了传统二层网络VLAN资源不足的问题。基于IP网络组建大二层网络，使得网络部署和维护更加容易，并且可以好地利用现有的IP网络技术，例如利用等价路由负载分担。只有边缘设备需要进行VXLAN处理，VXLAN业务对网络中间设备透明，只需根据IP头转发报文，降低了网络部署的难度和费用。根据客户不同组网需求，Overlay的网络部署分为以下三种组网模型，如

32、下图所示。网络Overlay的隧道封装在物理交换机完成。这种Overlay的优势在于物理网络设备性能转发性能比较高，可以支持非虚拟化的物理服务器之间的组网互通。它的缺点就是现网设备大都不支持VXLAN, 需要大批量更换设备。主机Overlay隧道封装由虚拟设备完成，不用增加新的网络设备即可完成Overlay部署，可以支持虚拟化的服务器之间的组网互通。它纯粹由服务器实现Overlay功能，对现有网络改动不大，但是可能存在转发瓶颈。混合Overlay是Network Overlay和Host Overlay的混合组网，可以支持物理服务器和虚拟服务器之间的组网互通。它融合了两种Overlay方案的优

33、点，既可以发挥硬件GW的转发性能，又尽可能的减少对于现有网络的改动。VXLAN工作原理VXLAN是一个网络封装机制，它从两个方面解决了移动性和扩展性：它是MAC in UDP的封装，允许主机间通信通过一个Overlay网络，这个Overlay网络可以横跨多个物理网络。这是一个独立于底层物理网络的逻辑网络，虚机迁移时不再需要改动物理设备的配置。VXLAN用24-bit的标识符，表示一个物理网络可以支持1600万个逻辑网段。数量级大大超过数据中心VLAN的限制（4094） 在ADDC体系结构中，封装工作在VTEP上执行，VTEP可以是vswitch，或者是物理设备。 这样，VXLAN 对主机和底层

34、三层网络来说都是透明的。VXLAN 和 非 VXLAN 主机（例如，物理服务器或 Internet 路由器）之间的网关服务由VXLAN三层网关设备执行。 Vxlan三层网关将 VXLAN 网段 ID 转换为 VLAN ID，因此非 VXLAN 主机可以与 VXLAN 虚拟服务器通信。Overlay网络分为2个平面，数据平面和控制平面。Overlay 数据平面提供提供数据封装，基于承载网络传输，VXLAN使用MAC over UDP封装Overlay 控制平面提供1、服务发现（Service Discovery）Overlay 边缘设备如何发现彼此，以便建立Overlay 隧道关系2、地址通告和

35、映射（Address Advertising and Mapping）Overlay 边缘设备如何交换其学习到的主机可达性信息（包括但不限于MAC地址、或IP地址、或其他地址信息）Overlay 边缘设备到主机的可达性问题，物理网络和Overlay网络地址映射3、隧道管理（Tunnel Management）如何维持和管理Overlay 边缘设备之间的虚拟连接关系VXLAN控制平面的实现主要有三种方式：1.通过数据平面自学习：配置VXLAN ID和组播组之间的关系，通过Flooding and Learning机制完成地址学习，这要求物理网络支持组播转发，对网络支持组播组的数量有要求，是IET

36、F规定标准的控制平面实现方式：2.通过控制协议学习：利用扩展路由协议IS-IS或BGP完成VXLAN控制平面的地址学习，属于私有协议:3.通过SDN Controller实现：由于Controller了解整网的拓扑结构，VM管理器知道虚拟机的位置和状态，这样，通过Controller与VM管理器的联动，就可以很容易实现基于Controller完成控制平面的地址学习，然后通过标准OpenFlow协议下发到网络设备。H3C Controller支持多个节点集群，提供了高可靠性和极强的扩展性。三种实现方式对比，在大规模的云计算虚拟化环境中，以Controller方式为最优：无需物理网络支持大量组播组

37、标准协议，可扩展性极强部署简单，可通过Controller集中管理和控制设备 主机部署与物理位置解耦和通过使用MAC-in-UDP封装技术，VXLAN为虚拟机提供了位置无关的二层抽象，Underlay网络和Overlay网络解耦合。终端能看到的只是虚拟的二层连接关系，完全意识不到物理网络限制。更重要的是，这种技术支持跨传统网络边界的虚拟化，由此支持虚拟机可以自由迁移，甚至可以跨越不同地理位置数据中心进行迁移。如此以来，可以支持虚拟机随时随地接入，不受实际所在物理位置的限制。所以VXLAN的位置无关性，不仅使得业务可在任意位置灵活部署，缓解了服务器虚拟化后相关的网络扩展问题；而且使得虚拟机可以随

38、时随地接入、迁移，是网络资源池化的最佳解决方式，可以有力地支持云业务、大数据、虚拟化的迅猛发展。分布式网关分布式网关把分布在多台主机的单一OVS逻辑上组成一个“大”交换机，原来每个OVS需要分别配置，而现在OVS分布式网关可在控制器管理界面集中配置、管理。分布式网关通过控制器创建和维护，当一个OVS分布式网关被创建时，每一个主机会创建一个隐藏的OVS与分布式网关连接。分布式网关主要具备以下几个功能：可以实现OVS集中管理的功能，在控制器管理界面对OVS集中配置管理，无需对每个OVS单独配置、管理。OVS分布式网关可以通过流表实现VXLAN的二三层转发。虚拟机迁移时可以使得虚拟机网络端口状态在从

39、一个主机移到另一个主机时保持不变，这样就能支持对虚拟机持续地统计监控并促进安全性监控。虚拟机迁移后，不需要重新配置网关等网络参数，部署简单、灵活。如果采用的是物理设备作为VTEP，则L2 GW等同于OVS，实现的效果相同，适用不同的使用场景。Overlay网络流表路由ARP代答对于虚拟化环境来说，当一个虚拟机需要和另一个虚拟机进行通信时，首先需要通过ARP的广播请求获得对方的MAC地址。由于VXLAN网络复杂，广播流量浪费带宽，所以需要在控制器上实现ARP代答功能。即由控制器对ARP请求报文统一进行应答，而不创建广播流表。ARP代答的大致流程：控制器收到OVS上送的ARP请求报文，做IP-MA

40、C防欺骗处理确认报文合法后，从ARP请求报文中获取目的IP，以目的IP为索引查找全局表获取对应MAC，以查到的MAC作为源MAC构建ARP应答报文，通过Packetout下发给OVS。主机迁移策略跟随在虚拟化环境中，虚拟机故障、动态资源调度功能、服务器主机故障或计划内停机等都会造成虚拟机迁移动作的发生。虚拟机的迁移，需要保证迁移虚拟机和其他虚拟机直接的业务不能中断，而且虚拟机对应的网络策略也必须同步迁移。网络管理员通过虚拟机管理平台下发虚拟机迁移指令，虚拟机管理平台通知控制器预迁移，控制器标记迁移端口，并向源主机和目的主机对应的主备控制器分布发送同步消息，通知迁移的VPort，增加迁移标记。同

41、步完成后，控制器通知虚拟机管理平台可以进行迁移了。虚拟机管理平台收到控制器的通知后，开始迁移，创建VM分配IP等资源并启动VM。启动后目的主机上报端口添加事件，通知给控制器，控制器判断迁移标记，迁移端口，保存新上报端口和旧端口信息。然后控制器向目的主机下发网络策略。源VM和目的执行内存拷贝，内存拷贝结束后，源VM关机，目的VM上线。源VM关机后，迁移源主机上报端口删除事件，通知给控制器，控制器判断迁移标记，控制器根据信息删除旧端口信息并同时删除迁移前旧端口对应的流表信息。主控制器完成上述操作后在控制器集群内进行删除端口消息的通知。其他控制器收到删除端口信息后，也删除本控制器的端口信息，同时删除

42、对应端的流表信息。源控制器需要把迁移后新端口通知控制器集群的其他控制器。其他控制器收到迁移后的端口信息，更新端口信息。当控制器重新收到Packet-in报文后，重新触发新的流表生成。Overlay网关高可靠性网关组中网关的VTEP IP和GW VMAC 相同,均通过路由协议对内网发布VTEP IP对应路由。网关组内部，采用无状态转发设计，所有网关信息同步。在处理OVS发往GW的流量时，动态选择GW组中的一个GW，可以很好地起到负载分担的作用。网关故障后，流量切换到分组内其它网关，保证业务平滑迁移。网关与内外网设备连接，采用聚合或ECMP方式，某链路故障，网关自动切换链路，无需人工干预。单个网关

43、设备采用双主控，原主控故障，新主控接管设备管理，所有处理网关自动完成。转发层面和控制层面分离， VCF Controller不感知，网关上流量转发不受影响。安全服务链部署传统的安全防护流量走向依赖于拓扑结构，各种的手工配置方式，静态、分散的配置方式，设备处理能力不可复用，单设备纵向扩展。这种防护模式不适应云计算时代对于安全防护的要求。云计算时代，计算资源池化，计算资源可以自由调度、动态扩展，网络资源通过VXLAN技术池化，那么安全作为一种重要的网络服务是不是也能够弹性资源化，能够实现与拓扑无关的自动化部署与管理？在ADDC方案中安全业务的部署是通过服务链的形式。服务链的定义由VCF控制器来统一定义规划，实现安全资源与拓扑无关。带来的好处有：1. 安全服务基于Overlay逻辑网络，无须手工配置及引流，服务自动化部署。给用户带来业务快速上线，业务迁移服务自动跟随的好处。2. 服务资源池化 按需使用、线性扩展 形态多样、位置无关。使得业务成本降低，业务可扩展性强。3. 服务节点与转发节点分离，一次流分类。可实现按业务需求对服务进行编排。ADDC方案适用场景ADDC方案适用于所有行业的数据中心，为关注这些问题的客户量身定制：关注应用快速灵活部署的客户AD