一樊零、傳統(tǒng)大三層網(wǎng)絡(luò)架構(gòu)
以下是網(wǎng)絡(luò)圖:
?
?
傳統(tǒng)銀行業(yè)務(wù)圖設(shè)計(jì):
?
優(yōu)點(diǎn):
? ??精確的過(guò)濾器/策略創(chuàng)建和應(yīng)用:由于區(qū)域酣难、終端地址網(wǎng)段明確拖叙,可以精細(xì)控制網(wǎng)絡(luò)策略诅炉,保證流量的安全拍鲤。
? ??穩(wěn)定的網(wǎng)絡(luò):區(qū)域的明確劃分贴谎,網(wǎng)絡(luò)設(shè)備的穩(wěn)定架構(gòu),使網(wǎng)絡(luò)更具有穩(wěn)定性季稳。
? ??廣播域的有效控制:由于三層架構(gòu)中間采用L3模式設(shè)計(jì)擅这,有效控制廣播域的大小。
缺點(diǎn):
? ? 1.業(yè)務(wù)流量模型不清晰
隨著網(wǎng)絡(luò)的發(fā)展景鼠、各種新技術(shù)的產(chǎn)生仲翎,數(shù)據(jù)中心內(nèi)部、服務(wù)器之間協(xié)同處理铛漓、計(jì)算溯香,導(dǎo)致由東向西的流量逐漸增大,超過(guò)了由南向北的流量浓恶。而傳統(tǒng)三層架構(gòu)服務(wù)器間交換玫坛,都要過(guò)三層核心,多層轉(zhuǎn)發(fā)包晰,增大了網(wǎng)絡(luò)的延遲湿镀,還浪費(fèi)了核心寶貴的資源。與此同時(shí)伐憾,我們將業(yè)務(wù)拆分成多個(gè)模塊勉痴,并部署在不同的區(qū)域中,由于應(yīng)用的不斷發(fā)展树肃,模塊的數(shù)量越來(lái)越多蒸矛,模塊之間的調(diào)用越來(lái)越頻繁,可能一次完整的應(yīng)用流程需要經(jīng)歷數(shù)十個(gè)模塊胸嘴,模塊之間的頻繁調(diào)用大大消耗了網(wǎng)絡(luò)設(shè)備的資源雏掠。
? ??2.?橫向擴(kuò)展能力不足
????????傳統(tǒng)數(shù)據(jù)中心使用STP技術(shù),雖然上聯(lián)多根鏈路劣像,但都是主備關(guān)系乡话,僅有一根鏈路能跑流量,無(wú)法承載數(shù)據(jù)中心日益增長(zhǎng)的業(yè)務(wù)驾讲。盡管后續(xù)使用了有相關(guān)的Ethernet Channel蚊伞、堆疊、VSS等技術(shù)吮铭,來(lái)達(dá)到鏈路冗余的需求时迫,但是堆疊、Ethernet Channel不可能無(wú)限地進(jìn)行擴(kuò)展谓晌。
? ??3.廣播域過(guò)于龐大
????????隨著業(yè)務(wù)的發(fā)展掠拳,計(jì)算資源被池化。為了使得計(jì)算資源可以任意分配纸肉,需要一個(gè)巨大的二層網(wǎng)絡(luò)架構(gòu)溺欧。整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)都是多個(gè)L2廣播域喊熟,這樣,服務(wù)器可以在規(guī)定的區(qū)域地點(diǎn)創(chuàng)建姐刁、遷移芥牌,而不需要對(duì)IP地址或者默認(rèn)網(wǎng)關(guān)做修改。不斷地業(yè)務(wù)擴(kuò)展聂使,造就了一個(gè)巨大的二層廣播域壁拉,一旦出現(xiàn)一點(diǎn)問(wèn)題就造成巨大的網(wǎng)絡(luò)問(wèn)題,導(dǎo)致業(yè)務(wù)中斷柏靶,業(yè)務(wù)的高可用性就無(wú)法保證弃理。
? ??4.計(jì)算資源無(wú)法快速上線
????????隨著業(yè)務(wù)的不斷發(fā)展,計(jì)算資源的虛擬化屎蜓。當(dāng)需要進(jìn)行虛擬資源部署時(shí)痘昌,嚴(yán)格安全防護(hù)的要求下,需要進(jìn)行安全設(shè)備的策略開通炬转。從部署到正式上線使用之間的耗時(shí)會(huì)長(zhǎng)達(dá)1小時(shí)之久辆苔。無(wú)法滿足在突發(fā)情況下,快速增加計(jì)算資源返吻。由于安全設(shè)備以及設(shè)備上聯(lián)位置的限制姑子,無(wú)法在任意的計(jì)算資源池中隨意的創(chuàng)建乎婿、遷移测僵;無(wú)法合理分配資源池的各種硬件資源,造成資源的分配不均衡谢翎。一旦某資源池已達(dá)閾值捍靠,就無(wú)法繼續(xù)計(jì)算資源的橫向擴(kuò)展。
? ??5.網(wǎng)絡(luò)延時(shí)過(guò)大
????????在使用傳統(tǒng)網(wǎng)絡(luò)架構(gòu)時(shí)森逮,每個(gè)業(yè)務(wù)模塊都是一個(gè)煙囪結(jié)構(gòu)榨婆,業(yè)務(wù)模塊互相調(diào)用需要經(jīng)過(guò)多個(gè)三層設(shè)備(平均需要經(jīng)過(guò)6次物理設(shè)備)其中還可能包括防火墻等安全設(shè)備。受限于設(shè)備的性能褒侧,網(wǎng)絡(luò)架構(gòu)的主備方案良风。數(shù)據(jù)流量每經(jīng)過(guò)一次設(shè)備都會(huì)增加一點(diǎn)延遲。雖然每一次延時(shí)都是微乎其微闷供,但是累計(jì)次數(shù)多了烟央,對(duì)于業(yè)務(wù)來(lái)說(shuō)這個(gè)延時(shí)可能就導(dǎo)致用戶體檢較差。
二歪脏、SDN網(wǎng)絡(luò)架構(gòu)
網(wǎng)絡(luò)圖
?
業(yè)務(wù)圖
?
技術(shù)方案
實(shí)現(xiàn)方式
????1.軟件
????????在軟件SDN的解決方案中疑俭,網(wǎng)絡(luò)的功能是通過(guò)軟件層面的Linux協(xié)議棧以及相關(guān)的OpenvSwitch技術(shù)實(shí)現(xiàn)的。它的優(yōu)點(diǎn)是可以通過(guò)軟件來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的創(chuàng)建婿失、子網(wǎng)的劃分钞艇、路由的選擇以及防火墻策略的管理等功能啄寡,可以避免對(duì)硬件網(wǎng)絡(luò)設(shè)備的過(guò)度依賴,同時(shí)極大降低了組網(wǎng)的成本哩照;它的缺點(diǎn)是穩(wěn)定性和可擴(kuò)展性不如硬件SDN專用設(shè)備挺物。
????2.硬件
????????硬件SDN是使用專用的硬件設(shè)備加上一個(gè)專用的控制器來(lái)實(shí)現(xiàn)相關(guān)的網(wǎng)絡(luò)功能,這個(gè)專用的控制器對(duì)硬件設(shè)備進(jìn)行策略以及流表的下發(fā)飘弧,來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)相關(guān)的功能姻乓。它的優(yōu)點(diǎn)是比較穩(wěn)定,缺點(diǎn)是不靈活且組網(wǎng)成本很高眯牧。在目前技術(shù)發(fā)展的趨勢(shì)來(lái)看蹋岩,并不存在軟件SDN和硬件SDN孰優(yōu)孰劣的明顯對(duì)比,因此對(duì)于這兩種技術(shù)都要進(jìn)行相關(guān)的研究和探索学少。
網(wǎng)絡(luò)模型
????????網(wǎng)絡(luò)支持5種網(wǎng)絡(luò)模型:GRE/VXLAN/VLAN/FLAT/LOCAL剪个。其中GRE/VXLAN模型是隧道技術(shù),可以實(shí)現(xiàn)overlay網(wǎng)絡(luò)版确。FLAT/LOCAL主要適用于簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境扣囊。因此比較常用的網(wǎng)絡(luò)模型是VLAN模型和VXLAN模型。
VXLAN
????????VXLAN模型的最大的特點(diǎn)是在多租戶場(chǎng)景下方便實(shí)現(xiàn)租戶隔離绒疗,組網(wǎng)比較方便侵歇,不太依賴網(wǎng)絡(luò)交換機(jī)的變更。缺點(diǎn)是在性能上要是達(dá)到和VLAN相同的性能吓蘑,需要有支持vxlan offload的網(wǎng)卡進(jìn)行支持
?a惕虑、集中控制模式方案(通過(guò)SDN控制器完全控制)
????????1) 集中控制模式– 基于SDN的Controller進(jìn)行完全控制。
????????2) SDN負(fù)責(zé)下發(fā)控制流表和服務(wù)策略磨镶。
????????3) SDN Controller 實(shí)現(xiàn)控制平面溃蔫,通過(guò)OpenFlow/Netconf控制 VXLAN VTEP、GW琳猫、 IP GW伟叛。
????????4) 數(shù)據(jù)平面VxLAN二、三層轉(zhuǎn)發(fā)脐嫂。
????????5) 對(duì)SDN Controller的可靠性要求較高统刮,必須HA部署。
????????6) 控制點(diǎn)集中账千,網(wǎng)絡(luò)設(shè)備更簡(jiǎn)單侥蒙。
????????7) 顛覆了傳統(tǒng)網(wǎng)絡(luò),不會(huì)再有路由表蕊爵、轉(zhuǎn)發(fā)表等熟悉的轉(zhuǎn)發(fā)原理辉哥。
????????8) 技術(shù)變革及運(yùn)維管理變化較大,需要從思路上完全改變。
????????9) 網(wǎng)絡(luò)流量調(diào)度非常靈活醋旦,通過(guò)控制器圖形化界面即可實(shí)現(xiàn)恒水。
b、松散控制模式方案(通過(guò)網(wǎng)絡(luò)設(shè)備控制協(xié)議自學(xué)習(xí))
????????1) 松散控制模式– 基于自學(xué)習(xí)或控制協(xié)議
????????2) 設(shè)備實(shí)現(xiàn)控制面饲齐,通過(guò)標(biāo)準(zhǔn)EVPN完成隧道建立和地址學(xué)習(xí)钉凌。
????????3) SDN控制器只負(fù)責(zé)下發(fā)服務(wù)策略,不下發(fā)控制流表捂人,可靠性更高
????????4) 實(shí)現(xiàn)控制器與網(wǎng)絡(luò)設(shè)備之間的松耦合御雕,提供更高可靠性的Fabric網(wǎng)絡(luò)。
????????5) 數(shù)據(jù)平面也支持VxLAN二滥搭、三層轉(zhuǎn)發(fā)酸纲。
????????6) 標(biāo)準(zhǔn)化:控制面使用EVPN,屬于標(biāo)準(zhǔn)協(xié)議瑟匆;DC內(nèi)闽坡、DC間可擴(kuò)展性極強(qiáng)。
????????7) 靈活:使用MP-BGP完成地址同步愁溜,更靈活控制地址發(fā)布規(guī)則疾嗅。
????????8) 減少?gòu)V播報(bào)文泛洪,地址通過(guò)EVPN自動(dòng)同步。
????????9) 配置簡(jiǎn)單:隧道自動(dòng)建立。
????????10) 擴(kuò)展性強(qiáng):基于會(huì)話按需下發(fā)硬件表項(xiàng)焙蹭,支持更大規(guī)模的組網(wǎng)。
????????11) 分布式網(wǎng)關(guān)可實(shí)現(xiàn)流量路徑最優(yōu)论悴,減少Spine核心節(jié)點(diǎn)的壓力。
VLAN
????缺點(diǎn):
????????是需要在傳統(tǒng)的網(wǎng)絡(luò)交換機(jī)上放開對(duì)應(yīng)的VLAN席爽,因此在做網(wǎng)絡(luò)接入時(shí)需要依賴網(wǎng)絡(luò)的規(guī)劃意荤,同時(shí)在多租戶隔離上不是特別方便啊片,仍然需要在網(wǎng)絡(luò)交換機(jī)上做操作只锻,即網(wǎng)絡(luò)組網(wǎng)不夠靈活;
????優(yōu)點(diǎn):
????????是VLAN技術(shù)比較成熟紫谷,不管是性能上還是穩(wěn)定性上都比較好
性能
????????從網(wǎng)絡(luò)性能的角度來(lái)分析齐饮,VLAN模型的網(wǎng)絡(luò)吞吐量要高于VXLAN模型的網(wǎng)絡(luò)吞吐量。以萬(wàn)兆網(wǎng)卡為例笤昨,實(shí)測(cè)VLAN網(wǎng)絡(luò)吞吐量為9Gb/s以上祖驱,VXLAN網(wǎng)絡(luò)吞吐量為8Gb/s以上。(備注VXLAN的吞吐量需要專門支持VXLAN OFFLOAD的網(wǎng)卡進(jìn)行支持)瞒窒。
SDN優(yōu)勢(shì)
? ??????1捺僻、業(yè)務(wù)流量的明確劃分
????????????將原有業(yè)務(wù)劃分從一個(gè)應(yīng)用一個(gè)區(qū)域的劃分方式,在使用SDN后,變更為一個(gè)服務(wù)體系作為一個(gè)區(qū)域進(jìn)行劃分(例如:APP區(qū)域匕坯、數(shù)據(jù)庫(kù)區(qū)域束昵、中間件區(qū)域等)。在每個(gè)區(qū)域中劃分多個(gè)Endpoint Group(以下簡(jiǎn)稱EPG)來(lái)準(zhǔn)確區(qū)分業(yè)務(wù)模塊葛峻,更清晰地了解業(yè)務(wù)之間的訪問(wèn)關(guān)系锹雏。
? ??????2、無(wú)限定的橫向擴(kuò)展
????????????在現(xiàn)有的SDN網(wǎng)絡(luò)中术奖,通過(guò)使用Anycast Gateway的方式將網(wǎng)關(guān)部署在各個(gè)Leaf節(jié)點(diǎn)上礁遵。即使有新設(shè)備加入網(wǎng)絡(luò),無(wú)論處于任何區(qū)域采记,都可以準(zhǔn)確的進(jìn)入相對(duì)應(yīng)邏輯位置佣耐。
? ??????3、虛擬資源無(wú)限制的變更
????????????ACI唧龄,通過(guò)VM Networking與VCenter互相聯(lián)動(dòng)晰赞,并下發(fā)vNIC供虛擬機(jī)使用,虛擬機(jī)只需要選擇對(duì)應(yīng)虛擬網(wǎng)卡就可以進(jìn)行業(yè)務(wù)上線选侨。同時(shí)各個(gè)虛擬機(jī)對(duì)應(yīng)的EPG通過(guò)合約的形式開通策略掖鱼。在SDN中所有相同業(yè)務(wù)都部署在同一個(gè)EPG中,所有策略的開通并不是基于IP地址來(lái)開通援制,只需要在不通的EPG之間開通策略即可戏挡,所以無(wú)需像傳統(tǒng)網(wǎng)絡(luò)進(jìn)行IP對(duì)應(yīng)的策略開放方式進(jìn)行SDN網(wǎng)絡(luò)策略開通。虛擬化資源可以在任意宿主機(jī)上進(jìn)行創(chuàng)建晨仑、遷移褐墅,沒有任何的物理位置的限制。
SDN劣勢(shì)
? ? ? ? 1.協(xié)議不成熟
????????????Openflow協(xié)議還處于發(fā)展初期洪己。不過(guò)妥凳,正如我們的研發(fā)成果呈現(xiàn)的,現(xiàn)有的Openflow協(xié)議已經(jīng)足夠支撐很多網(wǎng)絡(luò)應(yīng)用的開發(fā)了答捕。
? ? ? ? 2.高容錯(cuò)的控制器
????????????為了提高容錯(cuò)率逝钥,必須在網(wǎng)絡(luò)中部署多個(gè)控制器。從而就要區(qū)分主次控制器拱镐,以便于高效配合艘款。
? ? ? ? 3.功能區(qū)分
????????????路由器和控制器的功能區(qū)分仍在探討階段,功能配置仍是一個(gè)懸而未決的問(wèn)題沃琅。
參考文檔:
