SDN在中小型企业中的应用实现

西安交通大学网络教育学院论文绪论1.1背景及目的互联网经过长足的迅猛发展，IP网络从局域网、广域网再到全球互联互通的服务网络，演进成今天能够支撑文字、语音、视频、点播等与人类生活密切相关的超级服务网络。无论是最基本的上网服务还是当前很火的云计算、大数据、物联网、区块链、人工智能均需要网络的互联互通。网络的使用已经渗透到生活的各个方面，并对人们的工作、学习、生活产生了深远的影响。随着业务的发展，人们对网络提出更快、更简单、更灵活等要求。尤其是中小型企业要在数字经济时代得到快速并且长期的发展，需要紧紧跟随时代的进步甚至引领潮流，那么对于网络架构来说也是同样的道理。当前中小型企业网络也面临一系列问题：一是设备日趋复杂。不同的应用和需求使用不同的设备，路由器、交换机、防火墙、DDOS、IPS、WAF、LB等等。设备种类繁杂使得管理运维更加复杂。当前网络在部署一个全局业务时，需要逐一配置每台设备。随着网络规模的扩大和新业务的引入，管理运维愈加困难。二是随着云计算业务的发展和大数据服务的兴起，传统网络技术及架构无法提供新业务所需的快速的动态的配置调整、按需调用、自动负载均衡等需求。三是当前基础设施经过多年的发展后，在网的业务系统愈发的重要和不容易替代，重建网络基础设施和重建业务系统的成本是中小型企业所无法承担的。综上所述，中小型企业需要在保护现有资产投资的基础上实现业务快速上线、可扩展、管理运维简单化，硬件SDN网络架构完全符合中小型企业的需求。1.2国内外SDN研究现状分析1.2.1国外SDN研究现状SDN起源于美国斯坦福大学实验室的研究项目的技术，2006年斯坦福大学NickMcKeown教授为首的研究团队提出Openflow的概念，随后IEEE、IETF等组织对SDN进行了基本概念的定义，Openflow也成为SDN的基本协议，开始在SDN的发展中大放异彩，成为互联网研究中的热门方向。SDN控制器作为新型网络的集中式管理平台，将网络中的所有资源进行逻辑化、抽象化，同时提供北向的可编程接口。在此基础上网络使用者可以基于SDN控制器开发调用网络资源的平台和应用系统，进一步对网络的逻辑拓扑进行灵活性编辑，灵活的满足业务对于网络资源的不同需求。目前，世界上有两大组织推动SDN的发展，一是ONF（开放网络基金协会），是由SDN提出者美国斯坦福大学NickMcKeown牵头成立的非盈利性组织，主要致力于推动SDN架构、技术的规范和发展工作。另一个是2013年成立的OpenDaylight（以下简称ODL），该组织由思科、IBM联合瞻博网络、微软、戴尔、爱立信等成立。ONF是以互联网企业为代表，为了摆脱目前网络基础设施受制于设备制造商的局面，旨在推广SDN技术的标准化和商业化；ODL是以传统设备制造商为代表，旨在维护设备制造商利益的前提下推广和实现SDN。虽然ONF是网络“颠覆者”的代言者，ODL是网络“顽固派”的主导者，但是两大组织有同一个远景，那就是解决当前传统网络面临的困境以及引领未来网络发展的方向，共同为人类进步做出贡献。1.2.2国内SDN研究现状国内SDN研究比较早参与SDN相关技术研究的主要是清华大学、上海交通大学、北京邮电大学等高校。各个高校研究的重点均不太一样。清华大学主要研究IPV6、网络源地址有效性验证等；上海交通大学主要是网络虚拟化、网络可扩展性等方面的研究。北京邮电大学侧重于光网络基于Openflow的统一管理平面研究。国内的设备厂商、创业公司、电信运营商、互联网服务公司等均对SDN技术进行跟进、研发并进行实践。其中电信运营商主要推动NFV（NetworkFunctionsVirtualization）即网络功能虚拟化，旨在将所有硬件盒式设备软件化后在虚拟机部署，NFV不是今天探讨的范围。国内目前SDN落地方案中重要行业以传统设备厂商硬件SDN解决方案居多，互联网公司、创业公司使用纯软件化SDN居多。1.3论文的主要工作内容本论文的主要内容是中小型企业SDN的应用实现，第一章大致阐述了论文的背景，国内外发展情况。第二章节主要是SDN相关关键技术的概述。第三章中小型企业为什么选择硬件SDN进行部署。第四章针对中小型企业SDN部署架构进行概述。第五章针对中小型企业SDN部署架构进行详细规划和设计。第六章基于硬件SDN测试平台的网络业务实现。第七章是对SDN发展的展望。SDN相关技术介绍SDN是一种网络架构，或者说是一种思想，并不特指具体的技术或者标准协议，而这种框架中包含了多种标准协议。SDN网络架构主要由核心的SDN控制，面向北向云平台或者开发人员的北向接口，面向基础设施的南向接口，SDN数据平面以及网络业务应用组成。SDN使用OpenFlow、SNMP、NETCONF等南向接口协议实现SDN控制器对网络设备的配置和管理，从而实现控制数据转发的功能；SDN控制器使用北向API实现云平台与SDN控制器的对接与联动。从而实现从计算、网络、存储等IT资源的统一化、自动化、可编程、灵活的部署，以满足用户业务及时的、自动的、规模的部署。SDN网络架构的具备良好的自动化，积极的推动网络向新的方向发展。SDN的灵活性主要体现在网络的可编程控制，使得网络用户自主对网络架构进行调整、对网络进行按需配置应用。SDN北向接口是网络业务自主化、按需化部署的关键所在。同时SDN北向接口为上层IT资源管理系统具备了全局网络资源服务的统一调度能力。SDN北向接口是为最终网络业务应用服务的，因此其实现需要有明确的网络业务架构，了解网络运作原理，同时具备良好的可操作性。然而现实网络业务的繁杂性要求SDN北向接口是灵活的、可扩展的。但是目前SDN北向接口的标准化进程举步维艰，各自发展，标准化暂时难以实现，同时这些北向接口的开放深度和广度以及开放对象也有所差异，无论是从用户使用角度出发，或者从开发人角度来说，如果SDN北向接口无法形成统一标准，那么会给上层应用的开发和实现带来很大的麻烦，更无法积极的推动网络向健康的可持续的方向发展。目前，北向接口的协议制定成为当前SDN领域关注的核心。SDN南向接口标准基本确定，主流的有Openflow、Netconf等国际标准。那么在SDN中的关键技术有哪些关键技术呢？一下将进行讲解。在了解SDN关键技术之前，我们先来了解一下SDN的核心思想、特性以及分类。2.1SDN的核心思想上层应用特别是云计算对于网络的要求是部署简单化、业务发放自动化，运维可视化、开放化。SDN的本质定义就是软件定义网络，用户期望应用软件可以参与对网络的控制管理，满足上层业务的复杂性、多样性需求，通过自动化业务部署缩短网络服务建设周期，从而提高业务发展效率，这是对SDN的核心诉求，为了满足这种核心诉求，如果不分离控制与转发，比较难以做到，至少是不灵活。因此控制与转发分离只是为了满足SDN的核心诉求的一种手段，或者说是为了满足SDN的核心诉求所提出的一种实现思想，现在大多数相关研究、学习、工作者均认为“转控分离”是SDN的核心思想。2.2SDN的特性2.2.1转控分离在2013年，IETF提出将转发元器件和控制元器件分离后，使用标准接口实施控制，加速了转发平面和控制平面的技术发展。所谓专控分离，其实是一种基本思想，即将业务的转发层和控制层进行分离，从而形成转发层，只需要提供高速转发，控制层则仅仅关注全局调度，控制指导转发层进行数据转发。OpenFlow协议是颇具代表性的实现转控分离的标准协议。2.2.2开放的API传统的网络无法提供网络编程功能，所有的操作系统都像一个黑盒子，只有设备制造商清楚其构造，用户无法灵活的对自己的网络架构进行定义。为此SDN提出了开放的API，让用户可以自由轻松的进行使用。SDN控制器提供北向API供上层用户使用，使用南向API对下层设备层进行控制，从而起到承上启下，上传下达，总体贯通网络业务。但是开放API的方式和层次有所不同，主要由芯片级、设备操作系统级、设备配置可编程、控制器可编程、业务可编程。[1]2.2.3集中化的管理控制对于集中式控制层面而言，控制层面的集中化会使得户对整个网络服务资源的统筹规划能力更强，更快，更合理。网络资源的统一化管理之后，用户可以优化网络服务质量，提高网络有效利用率。资源的集中化优势，更好地服务业务发展。但是，其劣势在于需要保障控制层面的安全稳定运行，为了保障控制层的高可靠、高性能、高并发，需要复杂的技术去解决其扩展性、稳定性的问题。这是集中化管理控制带来的最麻烦的问题。2.3SDN的分类2.3.1软件SDN利用软件定义网络，对网络进行统一调配、统一管理和统一编程，提高网络的运行效率。在这种集中式网络管理思想中，网络基础设施和网络应用相互分离。SDN网络将不受数据中心、园区和广域网等网络环境约束，灵活自如地实现网络业务的自动化和可编程能力。软件SDN的解决方案中，网络的功能是通过软件层面的Linux协议栈以及相关的虚拟交换机技术实现的。它的优点可以避免对硬件网络设备的过度依赖，同时降低了组网的成本，但是软件方案的缺点也比较明显，主要表现在网络的稳定性、性能和可扩展性不如硬件方案。目前使用较多的是开源控制器OpenDayLight。2.3.2硬件SDN硬件SDN是采用专用的硬件设备与控制器来实现相关的网络功能，控制器对硬件设备进行策略以及流表的下发，用来指导物理硬件设备的数据转发，继而实现网络相关的功能。它的优点是性能强，比较稳定，缺点是不灵活且组网成本很高。硬件SDN方案大多数是商用的，以传统网络设备制造厂商为代表。目前流行的硬件SDN解决方案则是采用传统硬件设备采用BGP+EVPN+VXLAN的方式实现。2.4SDN的关键技术SDN框架目前基本成熟，对于软件SDN来说关键技术有Openflow等，对于硬件SDN来说关键技术有EVPN等技术。2.4.1Openflow技术介绍Openflow是一种协议，是规定了SDN控制器对SDN基础设施转发设备进行控制指导进行数据转发的规则和标准。Openflow协议目前最流行的版本是OpenflowV1.3。Openflow最主要的概念是流表。在OpenflowV1.3中流表的结构由匹配域、优先级、计数器、指令、超时定时器、cookie组成。匹配域是指对数据包进行匹配的范围，包括入端口和数据包报头，以及由前一个表指定的可选的元数据。优先级是指流表的匹配次序。计数器是对匹配的数据包进行计数。指令是修改动作集或者流水线处理。超时定时器是指一个流的最长有效时间或者最大的空闲时间。Cookie是由控制器选择的不透明数据值。控股之前用来过滤流统计数据、流改变和流删除。2.4.2BGP+EVPN+VXLAN技术介绍BGP（边界网关协议）是运行在TCP协议之上的一种自治系统路由协议。BGP协议的主要作用是传递和中转自治系统。BGP具有强大的属性以及扩展属性。EVPN（EthernetVirtualPrivateNetwork）是一种用于二层网络互联的VPN技术，通过扩展BGP协议的NLRI（网络层可达信息），达到二层网络间MAC地址学习和发布过程从数据平面转移到控制平面。EVPN使用Type3类路由实现VXLAN（VirtualExtensibleLocalAreaNetwork）隧道的自动建立和维护，使用Type2类路由自动完成主机MAC地址通告，主机ARP通告，主机IP路由通告。EVPN使用Type5类路由同步到VXLAN网络里面，从而实现VXLAN网络中的主机访问外部网络的目的。VXLAN是RFC7348定义的VLAN扩展方案。VXLAN采用MACinUDP封装方式，中的一种网络虚拟化技术。共计50个字节的封装报文头，VXLAN

具体报文格式如下图2-1所示：图2-1VXLAN报文由VXLAN封装部分和原始报文构成，原始报文为以太网报文结构。VXLAN封装部分由外层以太网头部、外层IP头部、外层UDP头部以及VXLAN头部构成。VXLAN头部共有8个字节，使用0x0000作为VXLAN的报文标识。VNI有24bit，因此VXLAN的规模是可以非常庞大的。OuterUDP端口使用4798。OuterIP头封装：源IP为发送报文的虚拟机所属的VTEP(VxlanTunnelEndPoint）的IP地址，目的IP为目的虚拟机所属的VTEPIP地址。Outer的目的IP地址可以是单播和组播地址，单播的情况下，目的IP为VTEP的IP地址，在多播的情况下引入VXLAN的管理层，利用VNI和IP多播组的映射来确定VTEP。OuterEthernetheader是目的MAC地址为下一跳设备的MAC地址，源地址为VTEP的MAC地址。VXLAN隧道由一对VTEPIP地址确定，创建VXLAN隧道实际上是两端VTEP获取对端VTEPIP地址的过程，只要对端VTEPIP地址是三层路由可达的，VXLAN隧道就可以建立成功。通过BGPEVPN方式动态建立VXLAN隧道，就是在两端VTEP之间建立BGPEVPN对等体，然后对等体之间利用BGPEVPN路由来互相传递VNI和VTEPIP地址信息，从而实现动态建立VXLAN隧道。

中小型企业SDN需求分析3.1中小型企业网络现状目前中小型企业网络IT软硬件环境规模也在持续快速增长，竖井式的项目建设模式使IT架构面临着网络异构、资源失衡、管理复杂、能耗过高等问题的挑战和发展瓶颈。主要体现为：一是基础设备平台缺乏整体规划和设计，导致资源分配不均、整合力度有限、使用效率不高；二是传统网络平台已难以满足云时代下业务系统对敏捷、自动、灵活的环境部署的需求；三是应用系统和设备规模的快速发展使IT架构复杂度极大增加，传统维护管理方式将难以维系；四是对机房空间和电力的巨大需求，带来了高昂的运行成本；五是由于传统科技发展理念的影响，使IT整体架构在业务、技术和管理之间存在不协调发展的局面。其中对于中小型企业来说主要的问题是网络部署影响业务上线速度，资源利用不够高效，设备众多运维压力大。其中影响业务上线速度是最主要的问题，现代化数字经济发展，使得业务需要抢占先机和流量IP才能率先抢占市场从而获取效益，网络已经无法适应当前瞬息万变的互联网应用。其次是资源利用不够高效体现在大量IT资源利用率不足或者某些系统资源紧张，资源调配费时费力，计算资源虚拟化解决了计算资源的动态调整，网络由于区域化三层的固定结构化设计给计算虚拟化带来动态调度不方便，甚至无法动态调度的问题，那么网络急需实现按需分配，动态调整资源。随着云计算的大规模商用，网络资源的自动化、动态资源调整等成为急需解决的问题。再者中小型企业为了节省人力成本，造成人员相对紧张，随着网络设备和安全设备的累计增加，运维人员数量较少，运维工作繁杂，造成运维压力不断增加而又没有高效的解决办法。3.2硬件和软件SDN对比对比硬件和软件SDN，我们可以看出硬件SDN虽然在花费成本上较高，但是它保障了数据中心的稳定性、功能性、降低了运维风险、增强了扩展性。在中小型企业运维人力上不如大型企业的情况下，硬件SDN是一个较好的选择。当然如果不考虑数据安全性，也可以托管至公用有云，但是对于企业来说数据才是真正的价值，目前公有云的数据安全监管存在不足，因此不建议使用公有云。详细硬件和软件SDN对比表见下表3-1.表3-1对比项硬件SDN软件SDN性能性能好，转发效率高，功能强性能有瓶颈功能性功能丰富功能简单花费成本高低运维风险低高可靠性高低扩展性强低表3-1

中小型企业硬件SDN总体设计与规划在前面对SDN的阐述中我们说过SDN的三大特性，其中集中控制管理存在扩展性和安全稳定运行的风险。那么硬件SDN为了解决此问题，提出了BGP+EVPN的松散的控制模式。硬件SDN的总体硬件架构采用Spine+Leaf的模式，实现网络的可靠性和扩展性。采用overlay网络叠加在underlay网络之上的逻辑模式实现虚拟机跨三层迁移的目的。Overlay网络和Underlay网络是相互独立的，Overlay网络使用Underlay网络点对点传递报文，而报文如何传递到Overlay网络的目的节点完全取决于Underlay网络的控制平面和数据平面，报文在Overlay网络入和出节点的处理则完全由Overlay网络的封装协议来决定。Underlay网络是当前物理网络设备为基础转发架构的网络，只要网络上任意两点路由可达即可。可以通过物理网络设备本身的技术改良、扩大设备数量、带宽规模等完善Underlay网络，其包含了现有的二层交换三层路由等技术。Overlay网络是一种网络架构上叠加的逻辑化虚拟机的技术架构，可以实现对基础网络不进行大规模修改的条件下，实现业务系统在网络上的运行，并实现业务的天然隔离。Overlay网络通过建立在已有网络上的叠加网络，用逻辑节点和逻辑链路构成了Overlay网络。虽然Overlay网络是具有独立的控制和转发平面，但是网络流量仍然会经过物理基础设施。对于互联在Overlay网络边缘设备之外的服务器或者终端来说，物理网络是透明的、无感知的。通过部署Overlay网络，可以实现物理网络向云和虚拟化的深度延伸，使云资源池化能力可以摆脱物理网络的重重限制，是实现云网融合的关键。总之，Overlay网络也是一个网络，只不过是建立在Underlay网络之上的网络。4.1硬件SDN架构设计与规划从SDN架构图可以看出，转发层是由硬件网络设备构成基础的转发网络。所有硬件设备运行传统OSPF协议，为数据转发提供多路径和负载的能力。控制层是由控制器构成，控制器完成对上层协调业务层指令的接收和将上层协调业务层指令转换为转发层可以执行的指令，下发给转发层进行执行的任务，并将转发层的实时动态，包括接口状态、流量状态等传递给协同业务层，经过完整的上传下达，可以给用户提供完整的网络资源视图，以及完成业务协同的目的。硬件SDN架构设计如下图4-1所示。

图4-14.2硬件SDN控制平面设计与规划SDN控制平面是由EVPN和SDN控制器完成。SDN控制器是SDN网络关键的、核心的部件。控制器通过南向接口协议对底层网络交换设备进行集中管理、状态监测、转发决策以处理和调度数据平面的流量。控制器通过北向接口向上层应用开放多个层次的可编程能力，允许网络用户根据特定的应用场景灵活地制定各种网络策略。4.3硬件SDN转发平面设计与规划硬件SDN的转发平面主要是指underlay网络层以及overlay网络层二个层面。其中underlay网络层使用硬件设备提供高速的传统二层交换和三层路由，硬件设备向SDN控制器开放相关接口以实现SDN控制器对于网络物理资源的全局把控。Underlay网络使用OSPF实现多路径转发和网络流量负载均衡。Overlay网络层使用VXLAN作为转发平面，用于扩展网络规模，实现主机跨三层通信。VXLAN的封装与解封装均由硬件设备实现，提高了数据转发效率。

中小型企业硬件SDN网络详细设计与规划5.1基础平台设计与规划SDN基础平台是基于VXLAN技术，VXLAN技术能够解决传统二层网络规模问题以及虚拟机迁移限制问题。将VXLAN引入EVPN作为SDN网络的控制平面，通过BGP结合EVPN技术，实现VTEP自动发现、主机信息通告、VXLAN隧道自动建立等功能。本次SDN测试部署模式为Underlay网络+Overlay网络，Underlay网络采用OSPF技术，Overlay网络采用VXLAN、EVPN、BGP技术。详细网络拓扑如下图5-1所示。图5-15.1.1Underlay网络设计与规划Underlay网络即基础物理网络采用核心+接入的两层架构，核心层称为Spine节点，接入层称Leaf节点。Spine节点部署两台大容量交换设备，Spine节点同Leaf节点相连的以太网口配置为三层路由接口，构建Fabric网络。Leaf节点采用相对配置较低的交换设备，同每个Spine节点相连构建OSPF全连接拓扑，Leaf节点作为Underlay网络的L2/L3分界，同Spine节点采用三层互联。Underlay网络总体采用OSPF路由协议实现基础网络互联互通。IP地址设计与规划网络使用IP-主机设备使用IP-OSPF详细设计与规划OSPF路由域OSPF路由域分以下部分：

spine核心交换机、LEAF交换机运行OSPFarea0区域，进程100；（1）OSPF具体参数设计如下：1.ospf协议优先级为10；

2.ospf协议内参考带宽设置为100000；

3.静态路由引入使用Type1方式。

4.routerid为loopback0地址（2）OSPF接口类型OSPF协议中，运行路由协议两个以太接口之间默认的网络类型为广播类型，

考虑到运行OSPF协议之间只有两个IP地址，将其改为点到点类型，以加快网络收敛。（3）OSPF的COST值规划本方案中选择系统默认的缺省方式即可。（4）OSPF路由发布引入路由选择进程的方式，一是采用network的方式，二是采用重发布的方式。本项目这两种方式都采用。

网段路由采用network方式引入，直连路由和静态路由import方式引入OSPF,引入路由时要关联路由策略选择性选择性引入

只在出口路由器对外接口开启BFD检测以快速感知接口状态变化加快路由收敛。(5)OSPF路由过滤和路由策略OSPF视图下通过filter-policy进行配置路由过滤，OSPF视图下通过import-routeroute-policy进行配置路由策略引入路由。（6）OSPF收敛速度由于同一网段内只有两台设备运行OSPF协议，配置接入与汇聚、汇聚和网关之间的所有互联接口的网络类型为P2P（点对点）方式，提升OSPF链路上邻居建立的速度。（7）OSPF认证OSPF邻居均采用区域认证，认证为MD5方式，密文口令，keyid是1，密码是SXXH_2019OSPF区域划分区域划分参考图5-2；图5-2网络进程区域拓扑图OSPF参数规划每个OSPF进程需指定routerIDOSPF进程号为100OSPF网络类型为P2POSPFhello报文间隔缺省10秒（默认）OSPF邻居失效时间缺省40秒（默认）OSPFLSA报文重传间隔5秒（默认）采用MD5认证引入路由时需关联路由策略OSPFSilentinterfaceOSPF区域边界不需要发送OSPF的接口配置成静默端口（silent-interface）；

SDN控制器接入口配置成静默端口；

VS0与防火墙互联口配置成静默端口

VS0逃生路径口配置成静默端口SpineOSPF配置脚本参考ospf100router-id2areaNetworknetworknetwork5descriptionleaf01network3descriptionleaf02network1descriptionleaf03network9descriptionleaf04network2descriptionlooback0#ospf101vpn-instanceoutsideimport-routedirectimport-routestaticarea00networknetworkLeaf设备OSPF配置脚本参考ospf100router-idareanetwork2descriptionSPAIN_01network6descriptionSPAIN_02networkdescriptionlooback0设备基础配置设计与规划LeafSTPN/A默认配置LLDPlldpenable

lldpmdnenable全局使能info-centerinfo-centerenableinfo-centersourceclichannel2logstateofflevelnotificationinfo-centerloghostsourceMEth0/0/0info-centerloghost54vpn-instanceMGTsource-ip53levelinformationalfacilitylocal1配置设备日志中心：使用带外接口发送日志到统一日志中心。NTPntpserverdisable

ntpipv6serverdisable

ntpsource-interfaceloopback0

ntpunicast-server2配置NTP同步和时区配置SpineSTPN/A默认配置LLDPlldpenable

lldpmdnenable全局使能info-centerinfo-centerenableinfo-centersourceclichannel2logstateofflevelnotificationinfo-centerloghostsourceMEth0/0/0info-centerloghost54vpn-instanceMGTsource-ip54levelinformationalfacilitylocal1配置设备日志中心：使用带外接口发送日志到统一日志中心。NTPntpserverdisable

ntpipv6serverdisable

ntpsource-interfaceloopback0

ntpunicast-server2配置NTP同步FWSTPN/A默认配置LLDPN/A防火墙不配置NTPntp-serviceunicast-server2

source-interfaceGigabitEthernet0/0/0配置NTP同步BGP详细设计与规划1、VxLAN网络中所有网关交换机2个VS0系统之间，以及2个VS0系统和所有Leaf交换机之间运行EPVNBGP，两台汇聚交换机分别做所有Leaf交换机的BGP反射器，通过EVPNBGP来同步服务器的ARP表项，减少ARP广播风暴。2、部署BGP时使用loopback0地址建立BGP邻居，可充分利用ECMP冗余路径提高可靠性。3、使用BGP反射器可减少BGP邻居全连接的数量，降低了设备资源消耗。为了降低BGP邻居全连接的数量，

建议使用BGP反射器机制将两台汇聚交换机VS0作为RR。4、使用loopback0,就是每台设备上唯一的IP。BGP参数规划BGP进程需指定routerIDBGPAS号参考右图BGPkeepalive缺省60秒（默认）BGPholdtime缺省180秒（默认）BGP邻居均采用区域认证，密文口令，密码是SXXH_2019BGPpeergroup名称是XH_IBGPBGPibgp邻居采用loopback0引入路由时需关联路由策略Spine设备BGP进程配置bgp65010router-id2peeras-number65010peerconnect-interfaceLoopBack0peeras-number65010peerconnect-interfaceLoopBack0peeras-number65010peerconnect-interfaceLoopBack0peeras-number65010peerconnect-interfaceLoopBack0peer1as-number65010peer1connect-interfaceLoopBack0#ipv4-familyunicastpeerenablepeerenablepeerenablepeerenablepeer1enable#l2vpn-familyevpnpolicyvpn-targetpeerenablepeeradvertiseirbpeerreflect-clientpeerenablepeeradvertiseirbpeerreflect-clientpeerenablepeeradvertiseirbpeerreflect-clientpeerenablepeeradvertiseirbpeerreflect-clientpeer1enablepeer1advertiseirbLeaf设备BGP进程配置bgp65010router-idpeer1as-number65010peer1connect-interfaceLoopBack0peer2as-number65010peer2connect-interfaceLoopBack0#ipv4-familyunicastpeer1enablepeer2enable5.1.2Overlay网络设计与规划Overlay网络使用VXLAN技术构建大二层网络环境，分为集中式VXLAN和分布式VXLAN两种，本次测试平台采用分布式VXLAN方案，相对于集中式VXLAN部署方式，该方案具备两个优点：一是同一个Leaf节点既可以做VXLAN二层网关，也可以做VXLAN三层网关，部署灵活。二是Leaf节点只需要学习自身连接服务器的ARP表项，而不必像集中三层网关一样，需要学习所有服务

器的ARP表项，解决了集中式三层网关带来的ARP表项瓶颈问题，网络规模扩展能力强。Overlay网络总体采用IBGP路由协议实现按需互联互通。Overlay网络依靠控制器完全实现自动化。5.2.3控制器网络设计与规划通过物理机部署控制器集群，集群管理服务模块、北向代理服务、数据库均采用双机主备模式部署，具备较好的可靠性，当主节点故障时，可以快速切换到备节点；控制器服务采用多节点分布式集群部署，具备良好可扩展性，同时多节点分布式部署提高了系统处理业务的性能和可靠性，单节点故障不影响业务下发；同时当AC控制器系统性能达到业务下发瓶颈的时候，可以通过节点扩容满足业务下发的要求。为了业务运行的稳定和安全，部署集群时对不同网络平面进行隔离规划，各网络平面使用单独的网段和物理网口，同时每个平面配置双网口绑定以提高组网可靠性。如图5-2所示。图5-2控制器磁盘冗余规划如下表5-1所示。RAIDRAID方式说明备注RAID12块600G硬盘操作系统AC服务器磁盘分区（安装操作系统后可动态调整）分区分区最小值（GB）说明备注/boot0.5引导分区遵循OS安装分区原则.

1：创建512Mboot分区

2：创建LVM卷，group名sys,

然后在LVM卷上创建逻辑分区/100根目录，用于安装操作系统。swap32交换分区/opt200安装分区，默认，用于安装Controller/tmp20用于存放临时文件/var100用于存放临时动态数据/home50用于存放本地用户数据

(剩余空间推荐都给home目录)

中小型企业硬件SDN网络业务测试6.1基于测试平台的租户网络创建6.1.1网络和子网创建图6-1网络和子网创建6.2基于测试平台的虚拟化网络测试6.2.1同租户虚拟机互通上线虚拟机如图6-2所示：图6-2创建虚拟机2台虚拟机之间互通如图6-3所示：图6-3虚拟机1ping通虚拟机2图6-4虚拟机2ping通虚拟机16.2.2不同租户虚拟机隔离创建租户1网络并创建虚拟机1和虚拟机2如图6-5所示图6-5创建租户1和虚拟机创建租户2网络并创建虚拟机3如图6-6所示：图6-6创建租户2和虚拟机租户1网络中虚拟机2和租户2中虚拟机3相互不通如图6-7所示：图6-7租户1和租户2互通6.2.3租户访问外部网络创建网络和子网如图6-8所示：图6-8创建网络和子网创建防火墙如图6-9所示：图6-9创建防火墙放通防火墙访问控制如图6-10所示：图6-10放通防火墙规则申请弹性IP并绑定虚拟机如图6-11所示：6-11申请弹性IP放通安全组策略如图6-12所示：图6-12放通安全组策略虚拟机访问外部网络如图6-13所示：图6-13虚拟机访问外部网络6.2.4外部网络访问租户网络创建网络和子网如图6-14所示：图6-14创建网络和子网创建防火墙6-15所示：图6-15创建防火墙放通防火墙安全策略如图6-16所示：图6-16放通安全策略申请弹性IP并绑定虚拟机如图6-17所示：图6-17申请弹性IP放通安全组策略如图6-18所示：图6-18放通安全组策略从外部网络访问虚拟机如图6-19所示：图6-19外部网络访问虚拟机结论与展望7.1结论通过对SDN理论的分析，认识SDN架构在当前中小型企业数字化经济转型发展中发挥的重要作用，因此在系统规划设计、实施升级过程中就要充分考虑这个因素。而实际上对SDN技术与应用发展动向的预测与把握本身也是一个持续迭代的过程。SDN的核心价值体现在支撑业务需求、提升企业竞争力。新的网络技术的应用首先应聚焦对业务运行产生实际效果。应关注业务网络如何支持服务拓扑，网络配置如何更好地与业务意图对齐，以及如何更好地支持应用交付、提升应用性能。网络架构要适应在云化业务中提出的新要求，网络需要具备良好扩展性、灵活的业务发放能力、IT资源一体化管理、IT业务统一部署。就现阶段对于中小型企业而言，既要达到SDN的实际效果以及便捷的运维服务，更要对现有业务进行平滑改进，因此，硬件SDN方案更加适合中小型企业网络重构。7.2展望随着SDN网络架构精细的模块化的发展，其功能性将会发展的相当完备。从而能够实现更加高效的、灵活的、细致的、个性的网络业务。网络业务的实现也更加敏捷、更加简单，会更加契合创新业务的发展需求。利用SDN架构推进网络业务部署与运维的自动化，提高网络变更、升级的敏捷性以适应新生数字经济各种业务与服务的发展，要求在SDN部署、实施过程中对SDN架构、关键技术、行业厂商、开源平台与应用软件等有全面的了解和掌握，这将对用户、IT从业者产生深远的意义。随着诸多的研究工作者、标准机构、芯片厂商、软件厂商、硬件厂商、云服务厂商的努力，SDN可能迎来更新更快更强的发展春天。或许再过几年基于x86服务器的软件SDN会全面替代传统设备厂商的硬件SDN方案。总之SDN作为新一代网络架构或者说是一种新型网络实现的思想会给人们带来了无限的益处，为人类社会文明发展做出