基于sdn的弹性基础设施-liuyp

1、Securely connecting users and applications from anywhere to anywhere in todays global economy.Mobile Now for BYOD All your business applications.None of the business risk.基于SDN的弹性基础设施Jordan Liu T.M.C. Array Networks (China)研讨内容SDN发展简述当前市场主流SDN解决方案Array vAPV和vxAG云计算数据中心传统网络设备的架构处理单位：CPU处理能力：K PPS处理内容

2、：路由选择协议，生成树，SYSLOG，AAA，Netflow Data Export，CLI，SNMP处理单位：专属ASIC芯片处理能力：M or B PPS处理内容：L2交换，L3交换，MPLS转发，VRF转发，QoS标记，分类，限速，Netflow流采集，安全ACLControl Plane and Data Plane帮助了解SDN的两个基本概念2012年，那是SDN的春天$1.05 BillionCash+ $210 Million in stock+SDN，源于2006年的一个实验项目Software defined networking (SDN) is an approach t

3、o building computer networks that separates and abstracts elements of these systemsWikipediaOpenFlow的四个组件OpenFlow is a Layer 2 communication protocol that gives access to the forwarding plane of a network switch or router over the networkWikipediaOpenflow Controller CodeOFAGENTOFAGENTOFAGENTOpenflow

4、ProtocolSERVERNorthbound APIAppAppApp北向API：App通过其向网络请求服务OpenFlow Controller：网络元素的中央管理和操作节点OpenFlow Agent：接收来自控制器的指令，编辑设备转发表OpenFlow协议：控制器与Agent通信的机制OpenFlow的版本演进1.0FLOW TABLEHEADER FIELDSCOUNTERSACTIONSIngressPortSourceMACDestMACEtherTypeVLANIDVLANPriorityIPSRCIPDESTIPProtocolIPTOSTCP/UDPSRCTCP/UDPD

5、EST123456789101112Per TableActive EntriesPacket LookupsPacket Matches32 Bits64 Bits64 BitsPer FlowReceived Packets64 BitsReceived Bytes64 BitsDuration (seconds)32 BitsDuration (nanoseconds)32 BitsPer QueueTransmit Packets64 BitsTransmit Bytes64 BitsTX Overrun Errors64 BitsPer PortReceived Packets32

6、BitsTransmit Packets64 BitsReceived Bytes64 BitsTransmit BytesReceived DropsTransmit DropsReceived ErrorsTransmit ErrorsReceived FrameAlignment ErrorsRX Overrun ErrorsRX CRC ErrorsCollisions64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits1，除接收端口外所有端口转发；2，重定向到控制器；3，转发本地CPU处理；4，执行Flow T

7、able中的action；5，转发到接收端口；6，转发到目标端口；7，丢弃报文。OpenFlow的版本演进1.1包含了多个转发表，可实现逐表匹配；增加了组列表用于支持组播和广播；支持了MPLS和QinQ。IngressPortSourceMACDestMACEtherTypeVLANIDVLANPriorityIPSRCIPDESTIPProtocolIPTOSTCP/UDPSRCICMP TypeTCP/UDPDESTICMP CodeMPLSLabelMPLSTrafficClassSwitchFLOWTABLE 1SWITCH FORWARDINGENGINECPUGROUPTABLEF

8、LOWTABLE 2FLOWTABLE nOpenFlow的版本演进1.2在v1.2中支持IPv6；IngressPortSourceMACDestMACEtherTypeVLANIDVLANPriorityIPSRCIPDESTIPProtocolIPTOSTCP/UDPSRCICMP TypeTCP/UDPDESTICMP CodeMPLSLabelMPLSTrafficClassOpenFlow的版本演进1.3在v1.3中支持IPv6的扩展包头；增加了Flow meter表提供QoS限速；Controller与Agent之间支持多链接；增强了对MPLS Bottom of stack(B

9、oS)、Provider Backbone Bridging (PBB)、统计、隧道封装技术(如GRE)、基于流的统计等等。版本1.3.1增加了Controller与Agent之间的版本协商功能。SwitchFLOWTABLE 1SWITCH FORWARDINGENGINECPUGROUPTABLEFLOWTABLE 2FLOWTABLE nFLOW METERTABLEOpenFlow的版本演进1.42013年最新发布；增加了流表同步机制，多个流表可以共享相同的匹配字段，但可以定义不同的动作；增加了Bundle消息，确保控制器下发一组完整消息或同时向多个交换机下发消息的状态一致性；支持光口

10、属性描述，多控制器相关的流表监控等特征。两个组织性质网络用户为主设备商和软件商为主成立时间2011年2013年宗旨制定SDN标准，推动SDN产业化打造统一开放的SDN平台，推动SDN产业化工作重点制定唯一的南向接口标准Openflow，制定硬件转发行为标准不制定任何标准，而是打造一个SDN系统平台，利用现有的一些技术标准作为南向接口跟Openflow的关系Openflow是其唯一的南向接口标准Openflow只是南向接口标准中的一个北向接口目前没有做任何北向接口标准化的工作，但据说在考虑定义了标准化北向接口(REST API)转发面的工作通过Openflow定义了转发面标准行为不涉及到任何转发

11、面工作，对转发面不做任何假设和规定现在问题来了：OpenFlow和SDN是什么关系？控制层面数据层面控制器数据层面上层应用厂商特定APIOpenFlow2a标准SDN厂商自有协议(e.g. onePK)控制器数据层面上层应用厂商特定APIOpenFlow控制层面2b混合“SDN”上层应用虚拟控制层面虚拟数据平面覆盖协议(e.g. LISP, VXLAN)厂商特定API3网络虚拟化和虚拟覆盖控制层面数据层面厂商特定API上层应用1可编程API控制层面数据层面厂商自有协议(e.g. onePK)厂商自有协议(e.g. onePK)Openstack和网络覆盖可以应用于所有模型，无论物理还是虚拟基于

12、此，客户可以结合自身特点进行自定义CLI, SNMP, Netflow, SDN协议不止OF，还有PCEP、BGP-LS等等另外API扮演更加重要的角色，决定了系统间的交互方式(REST、XML-RPC、NX-API、OnePK)研讨内容SDN发展简述当前市场主流SDN解决方案Array vAPV和vxAG云计算数据中心主流SDN解决方案控制器数据层面上层应用厂商特定APIOpenFlow2a标准SDN厂商自有协议(e.g. onePK)控制器数据层面上层应用厂商特定APIOpenFlow控制层面2b混合“SDN”上层应用虚拟控制层面虚拟数据平面覆盖协议(e.g. LISP, VXLAN)厂商

13、特定API3网络虚拟化和虚拟覆盖控制层面数据层面厂商自有协议(e.g. onePK)BigSWAristaCiscoNonCiscoVMWareMicrosoftCisco什么叫OverlayOverlay上古时代起源10G网卡和无丢包以太网技术AdministrationFC SAN BFC SAN AVM Net 1VM Net 2VM Net 3VMotionVM Net 1 BackupVM Net 2 BackupVM Net 3 BackupVMotion BackupTwo Server LOM（Lights Out Management）Ethernet PortsTwo 1G

14、 Quad-Port NICsTwo 4G Single Port HBAs传统方式Two 10G Single Port Converged Network Adapters (CNA)Integrated Admin/Mgmt (UCS)VM Net 1 BackupVM Net 2 BackupVM Net 3 BackupVMotion Backup统一交换FC SAN BFC SAN AVM Net 1VM Net 2VM Net 3VMotionServer NICEthernetLinkFCoE TrafficOther Networking Traffic史前的战役虚拟交换机之

15、争交换设备主机虚拟化交换设备VMVMvSwitchvSwitchvSwitchVLAN101vSwitchNexus 1000VVMotionSupervisor (VSM)Linecard (VEM)Linecard (VEM)Nexus 1000V打架伤邻居虚拟网络与物理网络的对接VM-Aware in SoftwareVM-Aware in HardwareVNLink(IEEE 802.1Qbh802.1QBRVNTAG)VM-Aware in HardwareIEEE 802.1QbgVEPA & Multi-ChannelSDN的世界大战VXLANNVGREvPath、TRILL/

16、FP、OTV&LISP之战VXLAN（思科、VMware、Citrix、红帽、Arista和 ）NVGRE（微软、Arista、英特尔、戴尔、惠普、 和Emulex）vPath（思科）ServerServerServerServerServerServerServerTop of RackServerServerServerServerServerServerServerServerServerServerServerServerTop of RackServerServerServerServerServerServerServerServerServerServerServerServer

17、Top of RackServerServerServerServerServerSubnet10.1.1.0/24Subnet10.2.1.0/24Subnet10.3.1.0/24SDN的世界大战VXLANNVGREvPath、TRILL/FP、OTV&LISP之战Fabric Path & TrillACI & InsiemeQfabric & MetaFabricAPIC & ContrailSDN的世界大战VXLANNVGREvPath、TRILL/FP、OTV&LISP之战VPLSOTV&LISP计算资源在数据中心内部和数据中心之间自由流动IP address and sessio

18、n move with VMIP address AIP address ALocator/ID Separation ProtocolIP coreDevice IPv4 or IPv6 Address Represents Identity and LocationTodays IP BehaviorLoc/ID “Overloaded” Semantic10.1.0.1When the Device Moves, It Gets a New IPv4 or IPv6 Address for Its New Identity and Location20.2.0.9Device IPv4

19、or IPv6 Address Represents Identity Only. When the Device Moves, Keeps Its IPv4 or IPv6 Address. It Has the Same IdentityLISP BehaviorLoc/ID “Split”IP core1.1.1.12.2.2.2Only the Location Changes10.1.0.110.1.0.1Its Location Is Here!SDN的世界大战VXLANNVGREvPath、TRILL/FP、OTV&LISP之战SDN的世界大战VXLANNVGREvPath、TR

20、ILL/FP、OTV&LISP之战Overall IP MTU Increase: 36 BytesIPv4 Outer Header: Router supplies RLOCsIPv4 Inner Header:Host supplies EIDsLISP headerUDPdraft-ietf-lisp-22Locator/ID Separation ProtocolSDN的世界大战VXLANNVGREvPath、TRILL/FP、OTV&LISP之战OTV&VXLANSDN的世界大战VXLANNVGREvPath、TRILL/FP、OTV&LISP之战VMotionvSwvSwitch

21、vSwitchCISCO VN-LINKVMotionvSwvSwitchvSwitchCISCO VN-LINK集群范围的虚拟化ServerCluster数据中心范围的虚拟化vSwvSwitchvSwitchDataCenterCISCO VN-LINKvSwvSwitchvSwitchvSwvSwitchvSwitchDifferentData CenterCISCO VN-LINK/ ACE/ ACE / GSS / OTVIP WAN802.1Qbg802.1Qbh/BRVN-tagVXLANNVGRETRILL/FPACIQFabricOTV/LISPVPLSInsiemeMetaF

22、abric全网范围的虚拟化研讨内容SDN发展简述当前市场主流SDN解决方案Array vAPV和vxAG云计算数据中心License模型在云数据中心场景中的挑战分钟级加载点选即交付交付体验一致付费模式预存/充值；每月账单；费用组成包括但不限于计算资源（VM）成本、vAPVvxAG实例成本、软件许可成本、处理流量链接数成本、服务成本等实例在线运行的时间，非按月、年等固定时长资源的计费粒度一致云客户对资源埋单后，即可继续使用产品，无需进一步更新License服务模式服务提供商、服务对象和服务质量考核针对云环境中License的解决方法订制的vAPV和vxAG版本vAPV功能模块化vxAG建议限制v

23、Site数量和同时在线用户数vAPV和vxAG实例的使用无日期限制、无实例数量限制产品使用情况由企业的云管理平台统一进行管理订制的“企业授权码”基于“企业ID”（而非实例属性）生成验证码“企业ID”是企业云平台的独有标识，具有区别其他平台的特征企业云平台在实例的初始化过程中将授权码与IP、MAC等信息一并写入实例vAPV和vxAG实例在启动过程中对授权码进行验证针对云环境中License的解决方法授权码的加密传输机制企业公钥密钥对企业云平台将授权码加密后，在网络中传输vAPV和vxAG实例本地将信息解密，获得验证码Image外流风险的应对通过合作协议条款，防止Image外流通过授权码，防止外流

24、Image在其他平台随意使用通过加密传输手段，防止授权码在传输过程中被窃取收益模型基于企业报表信息双方分成；版权买断PODVPC针对云环境中License的解决方法深度整合vAPVvFWvSwitchvRoutervxAGVMvStorageControllerArray基于“企业ID”形成授权码后台Controller加密存储授权码基于POD形成VPC用户配置形成虚拟资源用户开启vAPV、vxAG后台Controller配置镜像下发IP、MAC地址等实例属性下发授权码镜像本地解密并验证授权码设备启用Array授权码授权码授权码实例属性实例属性PODVPC脑洞大开：私有云环境中的License

25、 CentervAPVvFWvSwitchvRoutervxAGVMvStorageControllerArray许可控制器(ALC)生成授权码ALC加密存储授权码基于POD形成VPC用户配置形成虚拟资源用户开启vAPV、vxAG后台Controller配置镜像下发IP、MAC地址等实例属性虚拟实例向ALC注册申请许可ALC发送许可给申请的虚拟实例虚拟实例本地解密并验证授权码设备启用ArrayLicense Center授权码实例属性实例属性授权码授权码OrVMAVXVPC脑洞大开：NFVvGSLBvxAGController借助AVX平台或平台内计算资源AVX的高I/O能力虚拟实例容量的弹性

26、化APV和AG功能明细化和虚拟化实例细分功能完整性和专一性实例性能与底层平台资源解耦和SpeedCore平台兼容性硬件处理卡商用统一的License控制器动态License交付云平台调度实例属性实例属性vSSL OffloadvSLBvLLB pressvCachevContent RewritevWAFArrayLicense Center授权码vPortal脑洞大开：对LISP的支持，补充GSLBNon-LISP siteEast-DCLISP siteIP NetworkETREID-to-RLOCmapping172.16.1.1172.16.2.11.1.1.13.3.3.3172.16.10.12.2.2.210.2.1.0/24172.16.3.1172.16.4.110.1.1.0/24West-DCPiTR4.4.4.410.3.0.0/24Non-LISP siteITRSDDNS entry: A 10.1.1.8110.3.0.1 - 10.1.1.82EID-prefix: 10.1.1.0/24Locator-set: 172.16.1.1, priority: 1, weight: 50 (D1) 172.16.2.1, priority: 1, weight: 50 (D2)Mapping