SDN 云网一体化场景规划设计

培训时间：2025年8月5日培训讲师：XXXSDN云网一体化场景

规划设计培训课件

课堂规则Open—开放的心态、积极参与、勇敢发问

Close—封闭的环境，不要受外界的干扰，请将手机关机或静音请勿随意走动、交谈感谢您的配合SDN云网一体化场景

规划设计本章节主要讲述云网一体化解决方案的使用场景，学员通过本章学习能够了解云网一体化解决方案的整体架构和业务模型。学完本课程后，您将能够：描述云网一体化解决方案的总体架构掌握云网一体化解决方案的规划设计和业务流程了解云网一体化解决方案的演进方向云网一体化方案概述云网一体化业务场景云网一体化方案概览云网一体化方案设计云网一体化方案演进烟囱式网络，计算资源无法迁移各组织独享资源，无法共享空闲资源，存在巨大浪费资源利用率低传统数据中心存在三大痛点市场需求变化快，新业务上线速度难以匹配计算、网络、存储资源池相互独立，协同效率低业务部署低效设备种类多、数量大，缺乏统一平台，难以实现业务与资源的统一管理运维手段单一，故障定位效率低下运维管理复杂IMSSMSCOSSERP18%45%56%81%需要：业务自动化需要：弹性资源池需要：精细化运维云计算价值解读：解决传统数据中心三大痛点特征说明价值解读On-demandself-service（按需自服务）用户自助服务，无需服务商干预业务自动化Broadnetworkaccess（广泛接入）用户利用各种终端、任何网络都可访问服务Resourcepooling（资源池化）服务商将计算资源池化，通过多租户模式共享给多个用户，与地域无关弹性资源池Rapidelasticity（资源快速扩缩）用户能够快速而灵活地扩展或释放计算资源、监控、优化Measuredservice（可度量的服务）能够对资源进行度量、监控和优化精细化运维NIST（NationalInstituteofStandardsandTechnology，美国国家标准与技术研究院）在总结各种云计算定义和描述的基础上，提出了一个目前得到广泛认同和支持的定义，总结出云计算的五大特征。从这些特征我们可归纳出其三大价值：SDN是敏捷IT的关键云计算业务需要敏捷的IT科学计算大型机1970年代1980年代科学计算大型机生产调度小型机财务管理PC机1990年代2000年代生产核心大型机调度管理小型机财务管理小型机办公终端PCx人数

科学计算大型机客户管理X86服务器2010年代生产核心大型机调度管理小型机财务管理小型机办公终端PCx人数

科学计算X86集群客户管理X86服务器ERP小型机HR管理X86服务器企业网站X86服务器决策分析小型机生产核心小型机/x86集群调度管理x86服务器/小型机财务/交易x86服务器/小型机办公终端PC机x人数

科学计算X86集群社会化营销X86服务器ERPX86集群/小型机HR管理X86服务器B2B，B2CX86集群大数据分析X86集群/小型机BYOD手机x人数

业务越来越复杂，部署和调整要求越来越快……IT资源总是不够，又存在巨大浪费……运营和维护越来越困难……Applications云计算的技术支撑：SDN成为关键虚拟服务器Ready！软件定义计算Ready！软件定义存储Ready？软件定义网络分布式存储敏捷网络云计算的分类与特征NIST定义了云计算的几种基础架构：私有云：是单个企业的一种专用云基础架构，由多个消费者构成。私有云可由企业、第三方或二者的结合拥有、管理和运营，可以是内部云或外部云。公有云：是一种供公众使用的云基础架构。公有云可由一或多个企业、第三方或二者的结合拥有、管理和运营，可以是内部云或外部云。混合云：是两或多个云基础架构（通常为公有云和私有云）的组合，这些架构仍为独立实体，但可通过标准化或专有技术结合起来，使数据和应用可移植。（注：社区云与私有云类似，业界很少单独提及）关键区别主要特征安全资源使用基础设施服务器规模使用者私有云企业自建自用严格较粗放、不计费灵活、可定制100~3K大型企业公有云服务于公众较弱按使用量计费标准化一般大于10K中小型企业云网一体化方案：可覆盖多种云计算场景的解决方案公有云私有云互联网政企高低云化程度金融运营商金融：全面虚拟化，私有云试点典型客户：工行、建行、农行、招行、兴业、太保等政企：部分虚拟化，有SDN创新意愿，未来向混合云演进典型客户：东莞EDC、中石油、江西政务云、楚天云等互联网：全面云化，创新能力强，提供IaaS/PaaS业务典型客户：腾讯、百度、美团、京东等运营商：DC机房资源整合，业务转型公有云IaaS典型客户：国内三大运营商、TI、德电、新电政企/金融运营商互联网业务场景IT计算池化、EDC云化机架出租、IDC云化、NFVI电信云物理机/虚拟机/VPC出租、提供IaaS/PaaS业务网络核心诉求1.提升新业务TTM2.复杂业务部署，降CAPEX3.业务可靠性，多活数据中心部署1.

利用率：多数据中心网络资源整合2.

标准化：多厂商Fabric互通、多厂商VAS兼容3.网络质量：

跨广域质量保证1.

大规模服务器部署（10万+）2.SLA服务：租户级粒度、实时网络质量感知、主动运维3.

新业务快速部署、网络支持业务弹性扩展云网一体化方案概述云网一体化业务场景云网一体化方案概览云网一体化方案设计云网一体化方案演进方案整体架构和组件接口VXLANLBFirewallSpineLeaf网络控制层网络服务层业务呈现/协同层计算接入层OpenStack云管理平台VMM裸金属服务器虚拟化服务器物理服务器FusionSphereVRMXEN❶❹❺❸❷方案功能/组件全景自动化编排插件/API编排界面网络资源管理精细化运维自动部署业务发放网络监控故障管理资源优化补丁升级网络控制层L4-L7L3L2QoS网络服务层Ingress策略Egress策略路径管理IPAM三层路由表管理二层转发表管理单播、组播、广播转发广播域隔离计算接入层业务呈现层业务协同层动态路由协议多DC互联跨DC主备网关跨DC二层互联跨DC分布式路由器跨DC集中网关BGP-EVPN防火墙负载均衡VPNServiceChain对接第三方VASSNAT/EIP物理服务器KVMESXiHyper-VXEN裸金属服务器社区OpenStack第三方商业OpenStack（RedHat、Mirantis、HP……）华为FusionSphere华为ManageOne应用/逻辑网络编排第三方云管理平台ARP代答/代理DHCPserver跨DC三层互联方案涵盖三大VXLANOverlay组网VirtualVirtualVirtualPhysicalServerServerNetworkOverlayHybridOverlayHostOverlay各组网适用的业务诉求NetworkOverlayHostOverlayHybridOverlay客户诉求关注高性能、业务可靠性关注租户规模、弹性扩缩关注业务灵活性，兼顾性能避免设备厂商锁定，现网设备利旧代表客户金融：工商银行、农业银行互联网：腾讯投后云、阿里云电信私有云：意大利TI、上海电信LSN运营商：荷兰KPN、福建电信海外金融：西班牙桑坦德银行运营商：联通集团、中国电信、俄罗斯VIP互联网：蘑菇街关键需求标准协议对接开放面向物理+虚拟+云自动化业务编排演进数据中心内/跨数据中心网络资源池化网络精细化运维基于云平台提供端到端服务，与网络全解耦vSwitch解决方案性能、管理规模灵活的VM级、VM->BM安全调度数据中心内/跨数据中心网络资源池化物理+虚拟网络统一运维主要特点接入服务器种类：VM、BM转发性能：不占用服务器CPU资源，硬件设备转发性能高IT与网络的运维界面：清晰接入服务器种类：仅VM转发性能：占用CPU资源，软件转发性能较弱IT与网络的运维界面：有重叠接入服务器种类：VM、BM转发性能：介于NetworkOverlay与HostOverlay之间IT与网络的运维界面：介于NetworkOverlay与HostOverlay之间主要厂商华为/Cisco华为/ALU华为/Cisco/ALU方案关键性能指标华为云网一体化方案Overlay组网一套控制器同时支持NetworkOverlay和HybridOverlay兼容能力支持VM和物理机发放，可兼容第三方交换机控制器集群规模128台控制器管理规模CE规模：16K/集群，1K/节点vSwitch规模：32K/集群，2K/节点VM规模：320K服务器规模：64K业务发放效率CENetconf下发效率：200个VRF/秒防火墙Netconf下发效率：200个vSys/秒vSwitch流表下发效率：1Kpps/秒VM上线效率：200个/秒vSwitch转发性能12Gbps/Core业务链方案支持PBR和NSH弹性资源池借助VXLANOverlay网络虚拟化和ServiceChain技术，将网络的转发和服务功能资源池化，提升网络架构的灵活性、可扩展性和可演进性。方案价值概览业务自动化网络设备由AC控制器纳管，通过与云平台和VMM的对接，实现网络服务的自动化部署，将传统网络的部署周期提升至分钟级。精细化运维应用、逻辑和物理网络三层互视，业务质量可视可控，网络状态看得见；多种故障定位和运维手段，实现分钟级故障定位，网络故障看得清。

创建VXLAN

分配LocalVLAN，推送给VDS2VMVMVMVDS

选择主机

创建VM绑定VDS4LLDPLLDP找到VM位置配置交换机VLAN与VXLANID6vCenter31

创建VM，绑定LocalVLAN感知VM上线，位置信息5网络虚拟化分配VLAN与VXLANIDNOVANeutron

创建VXLAN

创建VM，绑定VXLANOpenStack

创建vPORT321VMVMVMOVS

创建VMvPORT绑定OVS4LLDPAgent

检测OVSPortUp

获取LocalVLAN55LLDP找到VM位置配置交换机VLAN与VXLANID6云网一体化一套AC控制器可同时支持云网一体化和网络虚拟化两种业务模式方案价值一：业务自动化方案价值二：弹性资源池物理机端口出租ServerleafServiceleafSpineServerleafVMVMVMCE1800V改造数据中心：HybridOverlayBorder-LeafServerleafServiceleafSpineServerleafVMVMVMOVS南北向VAS资源池Border-Leaf新建数据中心：NetworkOverlay东西向VAS资源池东西向VAS资源池BGP-EVPN物理机端口出租裸金属自动化发放vFWvLBvFW/vLBNVENVENVENVENVENVE虚拟化计算资源NVENVE南北向VAS资源池逻辑网络物理网络逻辑网络1逻辑网络2逻辑网络和物理网络互视：物理拓扑细化到端口粒度，解决物理拓扑无法运维问题开放逻辑网络运维发放界面，网络资源量化iPCA：随流检测丢包、时延，不引入探测流量，零开销QoS：物理、虚拟端口限速、整形、优先级映射SPISIPortNH100255Vbdif20SF1:IP100253nullnullMACIPVNINexthop:NVEMAC_A10.1.1.11910011.1.1.9MAC_B10.1.1.14910011.4.4.9VMVMPingPingNVENVEPingVMVMNVENVE故障定位手段Network

OverlayHybridOverlay网络连通性检测：IPPing、MACPing单路径探测：IPTrace（ICMP/UDP/TCP）NVE间多路径探测逻辑路由器交换机表项可视化（MAC/IP）四种故障运维手段EPG2RouterEPG1EPG2业务质量可视可控业务流特征：IP-10.1.1.X50MB200MB200MB200MB拥塞网络互视VMVMVMVM方案价值三：精细化运维云网一体化方案概述云网一体化方案设计业务模型与概念资源需求规划设计业务流程云网一体化方案演进虚拟私有云-VPCVPC：VirtualPrivateCloud，虚拟私有云。VPC使用VDC中的资源，一个VPC只能属于一个VDC，而一个VDC可包含多个VPC。每个VPC为一个安全域，对应于一个业务/应用/部门。VPC可提供以下特性：隔离环境：VPC提供隔离的虚拟机和网络环境，满足不同业务/部门的网络隔离要求。业务丰富：每个VPC可提供独立的vFW、vLB、安全组、EIP、IPsecVPN、NAT等业务。灵活组网：VPC可提供直联网络、路由网络和内部网络等多种组网模式。VPC逻辑组网VDCofTenantAInternetTenantA部门2VPC1vRoutervFWVMvLBVMVPC2vRoutervFWVMvLBVMVPNVPNTenantA部门1vRoutervFWvLBSubnetSubnetVMVMVMVMNeutron-VPC的组成元素元素描述vRoutervRouter作为业务子网的网关，用于子网间的三层互通一个VPC只能有一个vRouterNetworkNetwork定义为一个二层网络，通常只含一个Subnet，在Share模式下可包含多个Subnet。（Share模式映射到交换机上为一个接口下启用多个从IP，用于划分不同网段，例如多个小型租户共用一个VLAN的场景）注：FusionSphere模型不支持Share模式，因此不呈现Network元素；而原生的OpenStack模型中是呈现此元素的SubnetSubnet用于二层广播域的隔离，对应于一个子网网段同一VPC内不同Subnet的三层网关，都在同一个vRouter上同一Subnet内默认互通；不同Subnet间默认互通，也可通过配置安全组进行隔离vFWvFW作为VPC的边界，除了可提供外部访问VPC内的安全访问控制，还可提供外部访问VPC内的接入服务可提供的特性有：FW、EIP、SNAT、IPsecVPN等vLBvLB用于对外提供内部服务器间的负载均衡能力一个vLB可以带多个监听器，用户可给不同业务申请不同的监听器Port端口，虚拟机上的网卡，位于子网下。Securitygroup安全组，端口的访问控制。华为FusionSphereOpenStak业务模型POD2POD1VDC2VDC1vRoutervFWSubnetVMSubnetVMvLBVPC1vFWSubnetVMSubnetVMVPC２vRouterSubnetVMSubnetVMvLBvRoutervFWSubnetVMSubnetVMvLBVPC3业务模型内部映射业务模型部署关系N：M1：N1：N1：11：11：11：11：N1：NAZTenantVPCvRouterSubnetvFWvLBVMDC1：NVDCPODN：M社区OpenStack业务模型业务模型内部映射业务模型部署关系N：M1：N1：N1：N1：11：11：11：N1：NAZTenantvRouterNetworkSubnetvFWvLBVMDC1：NProjectPODN：MPOD2POD1Project2Project1NetworkvRoutervFWSubnetVMSubnetVMvLBNetworkNetworkvFWSubnetVMSubnetVMvRouterSubnetVMvLBNetworkNetworkvFWSubnetVMSubnetVMvRouterSubnetVMvLBOpenStack/FusionSphere/AC业务模型映射VDCvRoutervFWSubnetVMSubnetVMvLBExternalNetworkSubnetVMvRoutervFWSubnetVMSubnetVMvLBExternalNetworkSubnetVMVPCVPCFusionSphereOpenStackProjectNetworkNetworkvRoutervFWSubnetVMSubnetVMvLBExternalNetworkSubnetVMNetworkNetworkvRoutervFWSubnetVMSubnetVMvLBExternalNetworkSubnetVMACTenantLogicRouterLogicFWEndPortLogicSwitchEndPortLogicLBExternalNetworkEndPortVPCLogicRouterLogicFWEndPortLogicSwitchEndPortLogicLBExternalNetworkEndPortVPCLogicSwitchLogicSwitch云网一体化方案概述云网一体化方案设计业务模型与概念资源需求规划设计业务流程云网一体化方案演进项目方案设计指引L2-L3网络设计，包括Underlay网络部署，Overlay网络类型选择，流量转发模型等管理网络选择带内还是带外，云平台、SDN控制器、网管平台的部署方式，故障设备替换，版本升级等L4-L7服务设计，包括业务隔离诉求、VAS类型选择、VAS服务的部署方式、纳管流程、业务链编排等云平台类型和版本的选择，SDN控制器与云平台的对接，业务发放的整体流程等计算资源接入类型和计算管理平台的选择，与SDN控制器的对接，VM发放时的网络自动化联动等应用、逻辑和物理网络三层拓扑互视，网络运行状态监控，网络健康度检查，故障排查和定位手段等云平台对接需求VMM对接需求网络服务需求管理运维需求SDN控制器联盟、多DC资源整合，主备/集中出口的选择，L2/L3互联需求，南北网关的布放等需求调研与分析需求类别VDC出口互联网出口广域网业务区2业务区1DMZ区核心互联规划设计总体流程系统管理员租户管理员vRoutervFWSubnetVMSubnetVMvLBVPC1vRoutervFWSubnetVMSubnetVMvLBVPC３VDC2vSwitchvRouterVMVMvFWvLBVDC1vSwitchvRouterVMVMvFWvLBVXLAN网络管理员VPC２VMVMVMVMSubnetSubnetSubnetSubnetvRoutervFWvLBDCN规划设计：针对业务特点划分POD典型业务场景：DMZ区、业务前置区。POD特点：整个POD按一个VPC看待，网关不下发多VRF防火墙串接网关部署，不启用虚拟化POD内外互访流量必须经过防火墙POD类型二典型业务场景：部署单一业务，或部署多业务但业务间无需隔离，要求东西向访问开放、南北向访问受控。POD特点：整个POD按一个VPC看待，网关不下发多VRF防火墙旁挂网关部署，不启用虚拟化POD内外互访流量缺省不经过防火墙，可根据云平台定义的访问策略由AC下发策略路由，按需将流量引向防火墙进行过滤POD类型一典型业务场景：多业务混合部署，业务间要求安全隔离。POD特点：网关根据需要可下发多VRF防火墙旁挂网关或挂接ServiceLeaf下部署，启用虚拟化，每个VPC对应一个vFWVPC之间，以及POD内外互访必须经过防火墙POD类型三VDC/VPC规划设计：根据不同场景和业务要求规划场景VDC规划指导VPC规划指导POD划分原则VDC划分原则业务要求VPC部署原则公有云按性能等级按增值服务能力按资源容量每租户一个VDC业务内部互访无须安全控制每业务一个VPCVPC内部子网间默认互通业务内部互访需要安全控制，但要求较低每业务一个VPCVPC内部子网间默认互通VPC内部子网互访通过安全组隔离业务分层部署，内部互访有较高安全控制要求每业务多个VPCVPC之间互访通过防火墙控制私有云按安全等级按部门按业务类别每部门一个VDC规模大、部署复杂的业务单独划分为一个VDC多业务混合部署的POD业务要求请参考公有云VPC部署原则请参考公有云单个业务或业务某一层体量较大，需要占用独立的POD业务与外部的东西向流量大，默认无须安全控制业务与外部的南北向流量需要安全控制每个业务或业务某一层（如APP或DB），一个VPC占用一个POD东西向流量默认互通，可按需配置安全组进行隔离南北向流量须通过防火墙控制业务与外部的东西、南北向流量均需要安全控制每个业务或业务某一层（如Web），一个VPC占用一个POD东西/南北向流量均须通过防火墙控制VDC/VPC规划设计：规划要求公有云场景私有云场景POD1VDC1POD2VDC3VPC1VPC2VPC1VPC1VPC2VPC3VDC2VPC1VPC2VPC3VPC4POD1POD2VPC1VPC2VPC3VPC4VPC1VPC2VPC3VPC4VDC1VDC2租户内部网络自行规划，租户间IP地址可重叠全网IP地址统一规划，所有VDC内IP地址无重叠云网一体化方案概述云网一体化方案设计业务模型与概念资源需求规划设计业务流程云网一体化方案演进云业务开展前的资源池初始化云业务总体运营流程项目建设过程中的组网准备前期调研国家规范最佳实践系统管理员租户管理员业务管理员6.发放VM5.分级审批2.分级审批3.发放VDC基础网络搭建网络自动化预配置创建数据中心资源关联服务器和存储设备配置虚拟资源池定制VDC服务目录登录VDC创建VPC将VM关联到VPC创建VM软件部署业务开通1.申请VDC4.申请VM云业务发放流程阶段一：资源配置阶段二：业务部署租户管理员系统管理员配置VDC配置VPC配置VM创建VDC创建VPC配置VPC属性配置磁盘创建VMVM上线VM上线触发网络自动开通VM上线触发网络自动开通VXLANOpenStackNovaNeutronvSwitchVMVMNVENVEGatewayvSwitchVMVMVM上线后，Nova通知Neutron对vSwitch进行VLAN配置。1AC对VXLAN网关配置VNI和vBDIF，并关联VRF。根据VM上线信息向网关下发ARP、MAC、隧道表等信息。43AC对NVE节点配置Port+VLAN->VNI的映射关系，并下发二层广播、单播转发表。2Neutron向AC通告VM上线信息。（注：以NetworkOverlay、Neutron直管OVS为例）云网一体化方案概述云网一体化方案设计云网一体化方案演进企业IT云化演进的阶段划分软件包和Silo系统IaaS云服务PaaS/SaaS驱动资源自动发放通过多种服务，向用户提供I层的租赁业务，在租用的VM上部署业务I层资源标准统一，部分P层资源变化华为廊坊/贵州CDC，IT测试区类似AWS，阿里云等公有云服务ComputeStorageNetwork物理机+SAN网络多种I层服务整体资源池虚拟机+NASERPiCareW3SPES业务服务主机、存储和网络ComputeStorageNetwork整体资源池通过多种软件包（外购+自研）面向用户提供服务软件对P层、I层要求各异，难以统一网络和IT部门相互独立，各自独立发放业务（建行/东莞EDC）提供S层服务，用户按照应用的标准模式享受服务大部分为自研或者自主可控的软件I层、P层、S层均采用统一标准建设

大型网站、搜索引擎等PaaS/SaaS云网一体化1.0