- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
为了实现高可靠性和冗余部署,当今大多数企业网络及其数据中心跨越了多个位于不同地理位置的物理站点,并且在这些站点部署类似的业务。为了对数据中心资源进行整合、降低管理成本,通常会对数据中心的资源进行虚拟化。数据中心的虚拟化技术主要包括网络虚拟化、存储虚拟化和服务器虚拟化这三方面内容。其中,服务器虚拟化是通过专用的虚拟化软件(如VMware)在一台物理服务器上虚拟出多台虚拟机,每台虚拟机都独立运行,拥有自己的操作系统、应用程序和虚拟硬件环境(包括虚拟的CPU、内存、网卡等)。为了实现站点间的资源动态调配和管理,虚拟机在数据中心之间要能够自由迁移,由于虚拟机迁移过程对用户透明,不能改变IP地址,这就要求虚拟机迁移前后的网络处于同一个二层网络中,因此必须在分布于异地的站点之间实现二层网络互联。
对站点二层互联的业务功能基本要求如下:
· 站点相互独立:数据中心二层互联后,某个站点的故障(如广播风暴)不会传递到其它站点;不同站点内的拓扑互不影响和依赖。
· 技术要求低:对站点之间传输数据时使用的技术与站点位置、提供商的网络无特殊要求,只要求核心网络支持IP即可。
· 高可靠性:使用多归属来提供冗余接入,并具有在站点间避免流量环路的机制。
· 高链路使用效率:站点之间的流量(包括组播和广播)得到充分的优化从而节省带宽,在具有冗余链路时可实现负载分担。
· 灵活性:数据中心互联不依赖于站点的拓扑结构,对站点拓扑结构没有特殊要求。
· 运营维护简单:站点互联使用的技术尽量简单,可以快速新增和减少站点。边缘设备上的配置要尽量简单,并且对站点现有的网络变动最小化,部署过程对流量转发不产生影响。
EVI(Ethernet Virtual Interconnect,以太网虚拟化互联)技术基于现有的服务提供商网络和企业网络,给分散的物理站点提供灵活的二层互联功能。EVI解决方案非常简单,成本低廉,只需要在站点边缘部署一个或多个支持EVI功能的设备,且企业网络和服务提供商网络无需做任何变动。本文描述该技术方案的基本原理。
EVI是一种先进的“MAC in IP”技术,用于实现基于IP核心网络的二层VPN技术。EVI只是在站点的边缘设备上维护路由和转发信息,而无需改变站点内部和核心网络。部署EVI后的网络模型如图2所示,由以下三部分组成:
· 站点网络:通过一台或者多台边缘设备连接到核心网络的具有独立业务功能的二层网络,通常由单个组织管理控制,主要由主机和交换设备组成。
· EVI网络:站点边缘设备之间建立的虚拟网络,提供站点网络之间的二层互联。通过EVI网络在站点之间相互通告连接到边缘设备的所有主机和设备的MAC地址,将多个站点互联形成更大的二层转发域;
· 核心网络:主要由IP路由设备组成,提供站点网络之间三层互联的网络。
图2 EVI网络模型
EVI网络可以实现VLAN流量在不同站点之间的转发,主要由EVI隧道接口和虚拟连接组成,在数据平面承载站点间扩展的VLAN的二层流量,在控制平面通过EVI IS-IS(Intermediate System-to-Intermediate System,中间系统到中间系统)协议在站点之间通告主机和设备的MAC地址可达性信息,在管理层面通过邻居发现协议来实现站点的自动发现功能,简化网络配置管理工作。
EVI网络支持多实例。当不同的VLAN需要承载不同的业务流量,需要扩展的站点也不同时,可以采用多个EVI实例来实现。不同实例的控制平面协议交互以及数据平面流量转发完全隔离,扩展VLAN不能重叠,并且可以独立的配置每个实例的相关网络参数如EVI IS-IS协议时间参数,认证参数等。每个实例使用Network ID来唯一标识。如图3所示定义了三个EVI实例。
图3 EVI网络多实例
不同的EVI网络实例实现不同VLAN在不同站点之间的扩展,这些VLAN上的二层流量有很大差异,且不同实例扩展的站点数目也不同,核心网络支持组播的能力也可能会有些限制。为了适应这些差异化的应用场景,可以对EVI网络中组播、广播等流量设置不同的转发方式。当扩展VLAN的组播业务很少,扩展的站点数目不多或者核心网络不支持组播时,可以将EVI网络配置成组播稀疏模式,此时在边缘设备上对组播和广播流进行头端复制。如果核心网络支持组播且站点数目较多,可以将EVI网络配置成组播密集模式,此时将组播和广播流映射到核心网络的组播树,在核心网络进行组播复制最终到达各个站点。
图4 组播复制模式
· 边缘设备:位于站点边缘的执行EVI功能的交换设备,在站点网络作为二层设备运行,在核心网络作为三层设备运行。主要提供站点网络之间的二层互联。它完成从站点网络到核心网络的报文封装,以及核心网络到站点网络的报文解封装。
· EVI隧道接口:边缘设备之间互联的point-to-cloud类型接口,使得边缘设备在同一个EVI网络实例上连接到一个HUB上,每个EVI网络实例都拥有该逻辑接口,能复制广播和组播报文,给从站点内部过来的二层帧提供IP封装。该逻辑接口通过隧道源接口收发报文。
· EVI网络实例:每个实例使用报文中的Network ID来唯一标识。不同实例的Network ID不同,同一个实例中所有的边缘设备必须配置相同的Network ID。
· EVI Link:在同一个EVI网络实例中,边缘设备之间的一条双向的虚拟通道,完成边缘设备之间的数据透明传输。该通道由EVI隧道承载,一条隧道上可以承载多条EVI Link,可以用EVI-Link接口和远端边缘设备的IP地址来标识一条EVI Link。
· EVI隧道:用于承载EVI Link的GRE隧道,一条EVI隧道上可以承载多条EVI Link。EVI隧道是点到多点的隧道,本地站点的边缘设备通过一条EVI隧道可以和多个邻居站点的边缘设备建立连接,其中每一个连接对应一条EVI Link。
· ENDP(Enhanced Neighbor Discovery Protocol,增强的邻居发现协议):用于自动发现邻居,建立和维护邻居之间的EVI Link。该协议的使用可以大大简化网络配置,减少网管工作人员的维护工作量。
· EVI邻居:同一个EVI网络实例中,所有边缘设备之间互为邻居。
· 站点内部接口:边缘设备上连接到站点内部设备的二层接口。
· 授权转发设备:多归属接入核心网络的情况下,转发扩展VLAN的流量进出核心网络的设备,对每个扩展VLAN有唯一的授权转发设备。
· 站点ID:站点ID唯一标识一个设备所处的站点。处于同一站点的所有边缘设备必须配置相同的站点ID,不同站点的边缘设备必须配置不同的站点ID。
EVI网络通过ENDP协议发现邻居并建立EVI Link之后,通过EVI IS-IS协议在站点间通告主机和设备的MAC地址信息,并建立相应的MAC地址转发表项。边缘设备从站点接收到的报文将根据MAC地址表查找对应的EVI Link,将报文封装并通过EVI Link转发到对端站点的边缘设备。在通告MAC地址信息之前,边缘设备之间必须相互发现对方且形成邻居关系。
ENDP主要用于实现邻居发现功能。ENDP协议定义了如下两个角色:
· ENDS(Enhanced Neighbor Discovery Server,增强的邻居发现服务器):ENDS用来维护同一EVI网络实例中所有的客户端信息,包括IP地址、源MAC、生存时间等。ENDS本身也是一个ENDC。
· ENDC(Enhanced Neighbor Discovery Client,增强的邻居发现客户端):向ENDS发送注册报文,同时根据ENDS返回的注册应答报文与本实例中的每个ENDC建立EVI Link。
图5 EVI邻居自动发现过程
各个实体间的关系及EVI网络的建立过程如下:
(1) ENDS、ENDC部署在站点边缘设备上
(2) ENDC向ENDS发起注册请求,请求报文中携带自身的IP地址、站点标识。
(3) ENDS保存ENDC的信息,然后向ENDC发送注册应答报文,报文中携带所有ENDC信息。
(4) ENDC收到应答后,与每个ENDC建立EVI Link。
EVI网络中所有成员站点的边缘设备进行相同的注册过程,最后每个成员均自动发现EVI网络实例内的所有成员信息。为了安全起见,可以配置认证参数来防止恶意的节点注册到EVI网络。为了保证EVI网络注册过程的高可靠性,可以配置多个ENDS进行相互备份。边缘设备发现EVI网络的邻居之后,就建立数据平面虚拟转发通道。
通过EVI隧道上运行的ENDP协议学习邻居信息并建立EVI-Link后,设备会从基于EVI隧道建立的各个EVI-Link接口周期性发送Keepalive报文。如果超时时间内没有收到对端的回应,则本端重新发送Keepalive报文。如果达到最大发送次数后仍然没有收到对端的回应,则把本端EVI-Link接口的状态置为down。当EVI-Link接口为down状态时再次收到对端回复的Keepalive确认报文,则EVI-Link接口的状态将转换为up,否则保持down状态。
经过邻居自动发现过程在边缘设备之间建立EVI网络之后,在该EVI网络上运行EVI IS-IS协议来通告单播MAC地址可达性信息,该路由协议与站点内部或核心网中的三层网络的路由协议之间相互独立,互不影响。在边缘设备上配置了隧道接口时自动启用EVI IS-IS协议,无需额外的配置,但可以调节该路由协议的参数。
EVI IS-IS协议主要包括EVI IS-IS邻居协商、LSP更新等过程,涉及到的报文都在邻居发现协议建立的EVI Link中传输。EVI IS-IS运行在点对点的虚拟连接之上,任意两个边缘设备之间为点对点的虚拟链路,边缘设备将EVI IS-IS Hello、LSP报文进行单播IP地址封装,并进行复制向每个远端边缘设备发送。
EVI网络IS-IS协议交互过程如图6所示。
图6 EVI网络IS-IS协议交互过程
(1) EVI IS-IS进程发送Hello协议报文到其他边缘设备。
(2) 边缘设备进行报文封装并从数据平面发送。
(3) 边缘设备将报文单播到其他边缘设备。
(4) 其他边缘设备对报文进行解封装,交给控制平面EVI IS-IS进程。
(5) EVI IS-IS进程接收EVI IS-IS Hello报文。
MAC地址信息发布过程如图7所示。
图7 MAC地址发布过程
(1) 站点1边缘设备在VLAN100的内部接口学习到新的MAC地址,EVI IS-IS进程将该MAC地址在LSP报文中发布,发送LSP更新消息。
(2) LSP更新消息经本站点边缘设备封装并通过EVI网络转发到其他边缘设备。
(3) 其他边缘设备解封装报文并交由控制平面EVI IS-IS进程处理。
(4) EVI IS-IS进程学习LSP中新的MAC地址并将地址写入本地MAC地址转发表。
(5) 每隔一段时间,LSP报文也会整体刷新一次。
MAC地址的回收过程与上述过程类似,如果某个设备从网络中移除,默认情况下边缘设备会在一定时间之后老化该MAC表项并且删除,同时通过 EVI IS-IS协议通告其他边缘设备也删除对应表项。
边缘设备在EVI控制平面建立了邻居关系且交互MAC地址可达性信息之后,就可以在站点之间转发流量。
对于站点内流量,边缘设备进行VLAN内源MAC地址学习,根据目的MAC地址二层查找MAC地址表,从相应的本地接口转发。如图8所示,主机1(MAC地址为MAC1)向主机2(MAC地址为MAC2)发送以太帧时,边缘设备从端口Eth1收到该以太帧后,学习MAC1到Eth1端口,查找MAC表得到MAC2的出端口为Eth2,从端口Eth2发送以太帧。
对于站点之间的二层流量转发则与传统的二层转发不同,如图9所示。
站点之间的二层流量转发过程如下:
(1) 边缘设备收到以太帧之后,进行源MAC地址学习,并根据目的MAC地址查找本地MAC地址表,但此时得到的出接口不是本地物理接口而是EVI隧道接口,且邻接信息是异地站点通过EVI IS-IS路由协议发布该MAC路由信息的边缘设备的IP地址。
(2) 边缘设备将原始的以太帧进行EVI封装:外层IP头中的源IP地址为EVI隧道源接口的IP地址,目的IP地址是MAC查找得到的异地边缘设备的IP地址。
(3) 边缘设备将封装后的报文从隧道源接口发送到核心网,最终到达异地站点的边缘设备。
(4) 异地站点的边缘设备对报文进行解封装。
(5) 异地站点的边缘设备根据以太帧目的MAC地址进行查找,得到出接口为本地接口,则从本地接口发送该以太帧,最终到达目的主机。
当位于相同VLAN的异地主机之间需要交互组播流量时,就需要在EVI网络上传输组播帧,边缘设备对组播帧的处理方式为:组播流在边缘设备进行复制,组播源所在站点的边缘设备以单播方式发送组播流到组播组成员所在的站点边缘设备。下面将详细介绍具体处理方式与流程。
边缘设备在扩展VLAN上运行组播侦听协议,将边缘设备之间的虚拟连接当作普通的以太网接口,在该类型的接口上学习组播路由器端口和组播成员端口。边缘设备控制平面将IGMP、MLD、PIM协议报文封装在隧道中,单播发送到拥有相同扩展VLAN的异地其他站点边缘设备,其他边缘设备在本地站点内部该VLAN内进行泛洪。IGMP查询报文的处理过程以及边缘设备学习的表项示例如下:
图10 特定组查询过程
(1) 指定路由器发送特定组查询报文。
(2) 边缘设备侦听该报文,学习组播组地址信息以及路由器端口eth1,并将该报文封装在隧道中以单播形式发送到站点2、站点3和站点4的边缘设备。
(3) 其他站点边缘设备对报文进行解封装,学习组播组地址信息及路由器端口Evi-link1。
(4) 其他站点的边缘设备将特定组查询报文在站点内部泛洪,最终到达VLAN内的所有主机。
通过IGMP报文加入特定组的处理过程以及边缘设备学习的表项示例如下:
图11 特定组加入过程
(1) 组播成员发送特定组加入报文。
(2) 边缘设备侦听该报文,学习到组播成员端口eth2、eth3和eth6。
(3) 边缘设备将该报文封装在组播路由器端口Evi-link1对应的隧道中,单播发送到站点1(组播源)边缘设备。
(4) 组播源所在站点的边缘设备对报文进行解封装,学习到组播成员端口Evi-link1、Evi-link2和Evi-link3。
(5) 组播源所在站点的边缘设备将组加入报文从路由器端口eth1发送到指定路由器,指定路由器将接口eth1设置为路由器出接口。
组播数据流的处理过程类似于对IGMP查询报文的处理过程,此处不再赘述。
边缘设备会在VLAN内所有接口泛洪目的MAC地址为广播地址的帧,包括站点内部接口和虚拟连接。另外边缘设备对广播帧进行部分优化处理,例如对ARP报文进行受控转发。
当前版本的Comware对需要泛洪到其他站点的帧的处理方式类似于EVI IS-IS路由Hello报文的处理,在边缘设备复制帧,将每份复本进行隧道封装,经核心网络单播发送到相应的异地站点。
未知地址的帧(包括未知单播和未知组播)只在VLAN内的本地接口上进行泛洪,不会泛洪到其他站点;另外还可配置对指定目的MAC地址的帧进行泛洪,二层转发时如果查找MAC表失败,在VLAN内部泛洪时,也会将这部分流量泛洪到其他站点,边缘设备对站点之间的二层泛洪流量转发处理可以参考2.2.3 站点间故障隔离。
边缘设备对原始以太帧进行GRE封装,添加外层IP头、链路层头、校验和信息后发送到核心网。边缘设备对原始以太帧不做任何修改,设置IP头中的禁止分片标志。如果核心网络为以太类型,最终核心网络传输的报文长度增加了46字节。
图12 EVI隧道封装格式
EVI解决方案没有定义路径MTU发现功能,部署EVI之前要保证核心网络的MTU大于隧道封装的最大帧长度。
边缘设备默认实现水平分割功能,防止在EVI网络的多个边缘设备之间形成环路,即从EVI隧道解封装之后的以太帧只会在站点内部进行转发,不会再转发到核心网,如图13所示。
图13 EVI水平分割
二层网络面临的一个问题是当发生广播风暴或者拓扑变化时,会造成网络内部署的业务的中断甚至网络瘫痪,通过EVI技术将多个站点互联成为整体的二层网络后也面临同样的问题。为了保证数据中心业务部署的异地冗余、稳定和灵活性,要求站点之间进行故障的隔离,当一个站点发生故障时不会影响其他站点,从而其他站点仍然能对外提供服务,保证了业务的连续性。EVI解决方案通过STP网络隔离、未知地址帧抑制、ARP泛洪抑制、广播抑制等手段来保证站点之间的故障隔离。
默认情况下,在边缘设备之间建立的虚拟链接上不会运行STP(Spanning Tree Protocol,生成树协议)协议,不需要任何配置就实现了站点之间的BPDU报文隔离,从而形成了以站点为单位的独立的STP管理域,对STP配置参数的修改以及站点内的拓扑变化的影响范围局限在站点内部,站点之间互不影响。
图14 STP网络隔离
当在站点边缘部署多个设备多归属接入核心网络时,在站点之间的多个接入设备之间会存在环路,此时要配置运行站点内边缘设备之间的EVI IS-IS协议,给每个扩展VLAN协商出唯一的设备将流量转发到核心网络,可参考“2.2.4 多归属”一节。
位于不同站点的边缘设备之间的EVI网络控制平面通过EVI IS-IS协议交互MAC地址可达性信息,该信息将MAC地址映射到EVI隧道接口和异地站点的IP地址,从而边缘设备在隧道接口上的转发行为类似于路由器的转发处理。对于目的地址为单播地址的报文,如果查找MAC地址转发表项失败,则只会在本地接口上进行泛洪,不会泛洪到其他站点;对于目的地址为组播地址的报文,如果查找组播转发表失败,处理方式相同。
图15 未知地址报文过滤
对于某些特定的数据中心业务,以特定的目的MAC地址来标识其业务流量,该MAC地址永远不会作为数据帧的源MAC地址,从而不能通过EVI IS-IS协议在边缘设备之间进行通告。为了保证这类业务的流量在站点间的互通,可以基于EVI实例配置选择性泛洪来实现特定目的MAC地址的帧在EVI隧道口上进行泛洪。
例如微软的NLBS(Network Load Balancing Services,网络负载均衡服务),每个集群都有特定的MAC地址,目的MAC地址为该特定地址的流量将到达集群的所有成员主机。当在多个站点部署集群的成员主机时,就需要将该集群的特定MAC地址设置为选择性泛洪的MAC地址。
图16 选择性泛洪
为了减少目的MAC地址为广播MAC的报文泛洪到核心网,在边缘设备从EVI隧道接收到的报文如果是ARP应答报文,则根据该报文在本地建立ARP泛洪抑制表项,后续本站点内部的ARP请求将优先根据ARP泛洪抑制表项进行代答,没有表项的再将ARP请求泛洪到核心网。该功能将大大减少ARP的泛洪次数。如图17所示。
图17 ARP代答过程
ARP流量优化的处理过程和步骤描述如下:
(1) 站点3的主机Host B发送ARP请求,获取Host A的MAC地址。
(2) 站点3的边缘设备将ARP请求报文进行泛洪,复制、封装并转发到核心网络,最终转发到站点1和站点2的边缘设备。站点1和站点2的边缘设备对ARP报文进行解封装,在站点内部进行泛洪,最终到达目的主机Host A。
(3) 目的主机Host A发送ARP应答报文。
(4) 站点3的边缘设备收到应答报文后建立ARP缓存,并将应答报文发送到源主机Host B。
(5) 站点3内后续其他主机发送ARP请求获取Host A的MAC地址时。
(6) 站点3的边缘设备查找本地ARP泛洪抑制表项,对该ARP请求回送ARP应答报文。
因为对ARP表项进行了缓存,从而必须仔细调节其缓存表项的存活时间。远端MAC地址的存活时间取决于MAC源站点配置的存活时间和通告该MAC的EVI IS-IS LSP报文的存活时间。如果ARP缓存的存活时间大于MAC地址表项的存活时间,可能会存在流量黑洞的情况出现。如图18所示。
图18 ARP代答导致黑洞流量
(1) 站点3的主机Host B发送ARP请求,获取Host A的MAC地址。
(2) 目的主机Host A发送ARP应答报文。
(3) 目的主机所在的站点边缘设备从ARP应答报文学习到MAC-A,并启动老化定时器。MAC-A老化后通过EVI IS-IS通告到站点3的边缘设备删除MAC-A。
(4) 站点3的后续设备请求Host A的MAC地址,边缘设备进行了代答。
(5) 站点3的后续设备发送数据帧流量到Host A时,由于本地已经没有到MAC-A的MAC地址表项,所以数据帧最终会被丢弃。
经上所述,边缘设备上保存的ARP泛洪抑制表项要在MAC地址老化之前删除以避免错误的代答本地的ARP请求,由于ARP泛洪抑制表项老化时间不可更改,所以部署时要配置MAC地址老化时间大于ARP泛洪抑制表项老化时间。
站点通过边缘设备接入核心网络时,为了实现高可靠性,防止网络中设备的单点故障,通常采用两台边缘设备双归属方式接入核心网络。对于双归属的接入站点,可能会存在环路,如图19所示。
有两种方式来解决站点间的环路,第一种方法是通过IRF技术将物理上的多台设备虚拟化成逻辑上的单台设备,将双归属的边缘设备组成一个IRF,如图20所示。
图20 IRF实现双归属接入
但是,在边缘设备不支持IRF或者在站点融合及分裂的过程中无法用IRF技术时,必须部署第二种防止环路的方法:使每个扩展VLAN的流量必须从同一个边缘设备进出核心网,此时该设备称为该VLAN的授权转发设备,该VLAN为边缘设备的激活VLAN,边缘设备的激活VLAN集合是配置的扩展VLAN的子集,从某个特定扩展VLAN角度看网络仍然是单归属的,从而不存在环路。
扩展VLAN-x的授权转发设备的主要行为如下:
· 控制是否允许VLAN-x的流量进入隧道;承载VLAN-x的进出核心网络的流量。
· 将通过EVI IS-IS协议学习到的VLAN-x远端的MAC下发数据平面指导数据流转发。
· 侦听VLAN-x的上的隧道终结的IGMP、MLD、MRD报文学习组播成员和路由器信息。
· 通过EVI IS-IS协议向其他站点边缘设备通告本地VLAN-x的MAC地址的信息。
同一站点的多归属边缘设备之间由DED(Designated Edge Device,指定边缘设备)分配激活VLAN,分配算法如下:
(1) 对于没有冲突关系的扩展VLAN,指定配置了该VLAN的设备为授权转发设备。
(2) 对有冲突关系的扩展VLAN,选择算法遵循如下规则:
· 各边缘设备分配的激活VLAN尽量连续。
· 各边缘设备分配的冲突部分激活VLAN的数量尽量平均。
· 分配完成后,尽量保证各边缘设备已分配激活VLAN的稳定。
边缘设备在站点内的网络上运行站点内EVI IS-IS协议,协商各个边缘设备的激活VLAN。边缘设备在站点内交互EVI IS-IS Hello报文来形成邻居关系,之后相互通告各自配置的扩展VLAN,最后根据上述算法由DED分配站点内各边缘设备的激活VLAN。必须保证边缘设备间在站点内的相互之间的可达性以完成EVI IS-IS协议报文交互过程,在规划数据中心网络时要配置独立的指定VLAN来承载EVI IS-IS报文。
默认情形下,边缘设备对未知组播报文不会泛洪到其他站点,这包括VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)协议报文,从而不同站点都拥有本地三层网关,自动实现了三层流量的本地化。如图22所示,VLAN 1000在两个站点均存在三层网关,VLAN之间的三层流量经由本地网关转发。
当需要在站点间部署单个网关时,可以配置VRRP协议MAC为选择性泛洪MAC,从而允许站点之间交互VRRP协议报文。
数据中心各个站点的VLAN部署规划可能不一致,相同的业务被部署到不同的VLAN中,但要在这些VLAN之间进行互通而不改变站点内部原有网络,就必须在边缘设备配置VLAN映射功能。如图23所示,三个站点的管理VLAN都为VLAN 4000,Web业务分别部署在VLAN 100、VLAN 200、VLAN 300,数据库业务分别部署在VLAN 101、VLAN 201、VLAN 301。需要将这三个站点的三类VLAN进行互联但不改变原有网络配置。
图23 VLAN映射业务需求
通过配置固定的VLAN映射来解决跨站点的互通时,需要在有映射需求的站点间两两进行对称配置。例如为了实现Site-A与Site-B之间Web业务互通,需要在Site-A上配置本站点的VLAN 100与Site-B的VLAN 200映射;同时在Site-B上配置本站点的VLAN 200与Site-A的VLAN 100映射。
大部分企业数据中心都是分层的网络结构,在每一层都进行冗余部署来防止设备级故障造成的流量中断,在汇聚层有大量的业务处理,如SLB、FW、IPS等,这些业务可能作为交换机槽位上的模块,也可能是一个独立的设备,并且也支持冗余部署,二层广播域与三层路由网络的边界位于汇聚层设备。
企业在需要不同的地理位置部署多个数据中心时,一般为了高可靠性和动态的资源管理,每个数据中心的结构和业务逻辑相同或相近,以及其运行维护的工作也趋于一致。为了提供良好的伸缩性和灵活性,目前流行的部署方法是采用模块化的思路来进行,即将服务器及机架、接入层交换机、汇聚层交换机部署到同一个逻辑单元中,称为一个POD(Position of device,设备位置),当数据中心需要扩容时,只需要增加相类似的POD即可。这些POD通过核心层设备互联或者连接到外部网络。
在部署EVI解决方案时要结合数据中心的拓扑结构特点进行,通用而标准的EVI部署模型如图24所示。
图24 数据中心EVI部署通用模型
在数据中心添加独立的边缘层设备负责数据中心之间的二层互联,边缘层支持设备冗余以提升高可靠性。数据中心的多个POD的汇聚层设备通过二层链路连接到边缘设备,从而不同数据中心站点之间的POD之间形成大的二层转发域。
核心层一般由一对高性能、高可靠性的框式设备组成,具有设备级别的冗余。在大型和跨越地理位置的数据中心环境,核心层可能会包含更多的交换机。核心层的主要任务是给IP流量提供高可靠性和高性能的三层交换,这些流量可能来自园区、因特网边缘、WAN或者分支结构。汇聚层与核心网络链路为点对点三层连接以减少广播流量的冲击。
在EVI部署通用模型中,将边缘层设备与核心层设备重叠部署,从而站点将互联的二层流量与外部网络访问站点的三层流量共用统一的数据中心网络出口,如图25所示。
在该部署模型下,汇聚层设备与核心层设备之间除了三层互联之外,还需要二层链路连接以保证扩展VLAN的流量能直接到达核心层设备进而进入EVI隧道转发到其他站点。该部署方法的不足之处是虽然站点内的二三层边界仍然位于汇聚层,但对于扩展VLAN来说,其STP网络要延伸到核心层设备,STP拓扑变化影响的范围太大,会降低网络的稳定性。该方式部署时,汇聚设备与核心设备之间的二层链路和三层链路要在物理上隔离,以防止扩展VLAN的泛洪流量对VLAN间的三层流量带宽争用,建议将核心和汇聚设备通过IRF技术来消除STP环路,简化网络复杂度。
在一些数据中心规模比较小的中小企业,网络可以不存在核心层,其汇聚层可能直接连接到企业的三层传输的核心交换机。数据中心存在独立的核心层设备的好处是可以隔离企业网和数据中心的路由信息,保证数据中心的流量不会受企业网络的路由变化影响,并且方便以后的数据中心扩容。当企业后续要增加POD时,不需要改变企业核心设备的配置和提供额外的三层接口。
汇聚层一般是二三层网络的边界,每个POD是独立的业务功能实体。汇聚设备同时作为边缘设备与其他业务功能实体的汇聚设备进行异地二层互联,汇聚设备与接入设备之间可以基于STP或者IRF技术来消除环路。典型的组网结构如图26所示,左侧为基于STP消除环路的功能实体,通过双归属接入核心网;右侧为基于IRF技术消除环路,物理上双归属接入核心网,逻辑上为单归属接入。
对基于STP消除环路的功能实体,规划配置STP多实例和EVI双归属功能实现负载分担。使激活VLAN所在的设备同时也是该VLAN所在STP实例的根桥以及VRRP Master所在的设备。举例如图27所示,激活VLAN的授权设备为VRRP的Master所在设备,同时该VLAN映射到STP实例A,则VLAN通过二层网关进行异地互联的数据流量(绿色箭头)和通过三层网关进行路由转发的流量(红色箭头)都经过同一台汇聚设备。可以设置不同的VLAN通过不同的汇聚设备进行二三层转发来实现双归属的设备之间的负载分担。
图27 STP消除环路的功能实体
对基于IRF技术消除环路的功能实体,可以规划配置跨设备聚合来实现双归属物理设备之间的负载分担。如图28所示,在接入层设备进行聚合负载分担将流量转发到IRF的不同成员设备,边缘设备IRF成员在本地负载分担转发到二层互联网络(可能是核心设备)。
图28 IRF技术消除环路的功能实体
上述组网方式虽然可以通过IRF技术消除环路,但为了避免在网络部署过程中出现线缆错误连接而出现环路,各IRF设备仍然需要启用STP功能,但正常情况下由于网络没有物理上的环路存在,从而STP不会阻断有效链路,只是作为避免管理配置错误而运行。
EVI功能部署在汇聚设备之上,同时汇聚设备作为二三层网络的边界承载VLAN间的路由流量,且汇聚设备作为扩展VLAN的三层网关。站点A通过逻辑上的双归属汇聚设备接入核心网,站点B通过IRF的汇聚设备逻辑上单归属接入核心网。组网如图29所示。
图29 汇聚层部署EVI功能举例
两个站点位于单个EVI网络实例内,Network ID为2011,其扩展VLAN为1000和1001,其中VLAN 1000的相关网关地址如图所示。
边缘设备上EVI功能的配置过程大致分为三步:首先是配置站点内部侧的功能,如VLAN、STP、聚合、组播侦听协议等;其次是配置核心网侧功能,如IP地址、路由协议等;最后配置EVI网络功能如隧道接口、EVI IS-IS协议、邻居发现、ARP泛洪抑制等功能。
通常情况下,数据中心内划分多个VLAN承载不同的业务流量。这些VLAN内的二层流量有很大差异,且需要扩展的站点数目也不相同。如图30所示,VLAN 4000承载网络管理流量,VLAN 50~80承载Web业务,VLAN100~101承载数据库业务,此时这些业务需要扩展的范围也不同。在这种情况下可以使用EVI多实例组网。通过不同的EVI网络实例承载不同业务的VLAN在不同站点之间的扩展,实现流量转发的完全隔离,同时可以独立配置各个实例的相关参数而互不影响。
图30 EVI多实例典型组网图
根据需求,在上述五个站点之间配置三个EVI网络实例分别承载网管、Web及数据库流量,并配置不同的Network ID标识。同时为EVI实例配置不同的EVI隧道,指定各自的扩展VLAN。由于三个EVI实例中都涉及Site 4,因此可以指定Site 4的边缘设备为EVI实例的邻居发现服务器,负责维护各个实例中所有ENDC信息。需要注意的是,不同站点的边缘设备需要指定不同的站点ID标识。
售前咨询
售后咨询
人工在线咨询
