Copyright © 2016 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
3.4.1 SDN Overlay与openstack对接·· 9
3.4.2 SDN Overlay与基于openstack的增强云平台对接·· 10
3.4.3 SDN Overlay与非openstack云平台对接·· 11
5.1.5 服务链在Overlay网络安全中的应用·· 23
SDN是一种新型网络创新架构,其核心思想是将网络设备的控制层面与转发层面分离,将控制层面逻辑集中后向外开放API接口,从而提供一个能够面向业务的新型网络,为新业务快速部署或网络创新提供良好的平台。SDN控制器是H3C SDN解决方案的重要组成部分,它类似一个网络操作系统,为用户提供开发和运行SDN应用的平台。可以控制OpenFlow网络中的各种资源,并为应用提供接口,应用通过调用控制器提供的接口来实现自己的网络转发需求。
架构先进
采用先进的OSGi架构(Open Service Gateway Initiative),同时兼容ONOS、ODL等开源控制器平台,可以通过开发APP的方式灵活扩展新的功能。
接口丰富
对外提供丰富的OPEN API与REST API接口,让用户或第三方软件开发商能够非常方便进行SDN应用开发。
高可靠性
支持独立运行模式和集群模式,在集群模式下,多台华三SDN控制器之间可以组建集群,当集群的部分成员发生故障时,业务不受影响,从而大幅度增强了SDN网络的可靠性。
H3C Virtual Converged Framework(VCF)控制器(以下简称H3C VCF控制器)是一款SDN控制器系统,作为SDN解决方案的承载工具,为数据中心网络、公有云、私有云、校园边缘网络等提供了一个软件平台发挥其不同的网络特性。
H3C VCF控制器是一个开放的软件平台,提供可编程的用户接口,使用OpenFlow协议作为网络控制协议实现对物理网络的管理。同时支持Restful API、Open API方式北向接口,并提供在线API文档。
H3C VCF控制器是H3C推出的SDN解决方案的重要组成部分,它类似一个网络操作系统,为用户提供开发和运行SDN应用的平台。H3C VCF控制器可以控制Overlay网络中的各种资源,并为应用提供接口,应用通过调用控制器提供的接口来实现自己的网络转发需求。
· 控制通道数量超过30000,具有200Kpps的主动下发流表能力
· 强大的拓扑发现能力,VCFC能够在能够在500ms内完成 19950条链路的拓扑发现
· 优秀的集群管理能力,对于集群角色分配 、主控制器切换等方面具有完备的应用逻辑
· 控制器支持异构厂商overlay网络监控、及VXLAN配置自动下发
· 控制器支持主机overlay与网络overlay混合组网。
· VXLAN GW、TOR offload管理。管理硬件TOR offload交换机和硬件VXLAN GW、主机VXLAN GW,包括VXLAN隧道管理、设备管理等。
· 组网支持多样化的组网部署方式,支持跨域互访。
· 通过Overlay组网可实现虚拟机灵活迁移,安全策略动态跟随。
· 服务器内部vSwitch管理。管理服务器内部的vSwitch,包括端口管理、策略管理、子网管理等,构建VXLAN隧道,控制地址学习方式等。兼容H3C S1020V系列vSwitch产品和Open vSwitch。
· 控制器支持openflow 1.3协议规范,能够对接通过OpenFlow v1.3协议一致性认证测试的网元
· 控制器支持对接虚拟化平台(包括vsphere、kvm等)及裸金属平台。
· 云计算接口。向上层云计算系统提供API接口和插件,方便云计算系统整合数据中心网络资源,实现“一站式”服务和管理。兼容H3CloudOS云计算管理平台、VMware vCenter和OpenStack。
· 对外提供丰富的原生Open API接口。允许第三方应用程序以控制器内的OSGi bundle形式运行,从而实现事件和数据包的高性能处理。这些基于网络底层的Open API接口非常强大,使控制器能够按照用户特定环境进行定制和扩展。
· 对外提供丰富的REST API接口;可以利用缓存Cache来提高响应速度,通讯本身的无状态性可以让不同的服务器的处理一系列请求中的不同请求,提高服务器的扩展性;浏览器即可作为客户端,简化软件需求;相对于其他叠加在HTTP协议之上的机制,REST的软件依赖性更小;不需要额外的资源发现机制;在软件技术演进中的长期兼容性更好。
· 符合ETSI-NFV框架,支持虚拟防火墙vFW、虚拟负载均衡vLB、应用防火墙功能(vWAF)等虚拟网元的管理与服务链功能,支持虚拟设备横向虚拟化集群,控制器支持配置虚拟网元。
· 支持用户权限分级,支持本地用户管理及认证、支持Radius服务器认证。
· 控制器支持对接多种DPI业务安全类设备,包括IPS,防病毒和URL过滤等,且支持特征库导入与查看。
· 支持安全策略功能和服务链功能,可以根据业务需要灵活选择。
· 支持用户虚拟机IP与MAC绑定,防止IP和MAC地址仿冒
· 控制器支持对接不少于4个品牌的安全设备及流量牵引,包括主流厂家华为、深信服、天融信、360等安全品牌等。
· 控制器支持网络资源容量规划管理(整网资源用量统计和实时查询包含ACL、内存、ARP),及资源消耗的趋势分析、预警、资源耗尽时的主动控制和自我保护,业务变更对资源占用的影响汇总分析,新增业务对现有网络的影响评估等。
· 在单台控制器工作环境中,SDN网络可靠性较低,存在单点故障的可能性,即当控制器故障时将导致SDN网络处于非管理状态。H3C VCF控制器提供Team功能从而提高网络的可靠性,避免单点故障,即当Team中的某台设备出现故障不能正常工作时,组内的其它成员控制器会自动接替该故障控制器继续进行工作,保证SDN网络的正常运行。同时,Team还提供集中的控制器配置和监控。
· 控制器支持在线升级并显示ISSU升级过程、检查业务运行数据情况
· 大型复杂网络中,通过在VCF控制器Team中为不同的设备划分为不同的Region,可以实现分域管理,极大降低管理复杂度
· 支持Overlay链路诊断,可以实现端到端的连通性诊断和分段连通性诊断。
· 支持基于虚拟端口、流表、DPID+VNI和控制器的流量信息统计,还支持基于虚拟网络、虚拟子网、虚拟路由器和虚拟端口的网络信息统计。
· 采用OSGi开放式架构,可以通过开发APP的方式灵活扩展新的功能;这个框架实现了一个优雅、完整和动态的组件模型。应用程序无需重新引导可以被远程安装、启动、升级和卸载。OSGi规范是由成员通过公开的程序开发,对公众免费而且没有许可证限制。
· VCFC集群支持跨三层部署,无需单独为VCFC集群提供二层专用网络。
在数据中心虚拟化多租户环境中部署和配置网络设施是一项复杂的工作,不同租户的网络需求存在差异,且网络租户是虚拟化存在,和物理计算资源位置无固定对应关系。通过传统手段部署物理网络设备为虚拟租户提供网络服务,一方面可能限制租户虚拟计算资源的灵活部署,另一方面需要网络管理员执行远超传统网络复杂度的网络规划和繁重的网络管理操作。在这种情况下,VPC(Virtual Private Cloud, 虚拟私有云)技术就应运而生了。VPC对于网络层面,就是对物理网络进行逻辑抽象,构架弹性可扩展的多租户虚拟私有网络,对于私有云、公有云和混合云同样适用。
H3C的SDN控制器称为VCF控制器。H3C通过VCF控制器控制Overlay网络从而将虚拟网络承载在数据中心传统物理网络之上,并向用户提供虚拟网络的按需分配,允许用户像定义传统L2/L3网络那样定义自己的虚拟网络,一旦虚拟网络完成定义,VCF控制器会将此逻辑虚拟网络通过Overlay技术映射到物理网络并自动分配网络资源。VCF的虚拟网络抽象不但隐藏了底层物理网络部署的复杂性,而且能够更好的管理网络资源,较大程度减少了网络部署耗时和配置错误。
VCF将虚拟网络元素组织为的“资源池”,VCF Controller控制了“网络资源池”的按需分配,进而实现虚拟网络和物理网络的Overlay映射。
图1 VPC多租户资源池场景
VCFC虚拟网络元素的抽象方式与OpenStack网络模型兼容,如下图所示:
图2 VPC多租户资源池场景
虚拟网络的各个要素如下表:
元素名称 | 描述 |
Tenant | 租户。 |
Network | 一个虚拟的二层隔离网络。可以看作是一个虚拟的或逻辑的交换机。 |
Subnet | 一个IPv4或IPv6地址块,对应于三层子网。 |
Port | 一个虚拟的或逻辑的交换机端口。 |
vRouter | 代表逻辑三层网关/网络,分散在各个虚拟设备上; |
vFW vLB vIPS | 网络服务功能,为每个租户提供独立的FW、LB及IPS服务; |
Security Group | vSwitch上的安全组功能。 |
从控制器是否参与转发设备的的转发控制来看,当前主要有两种控制器类型:
n 控制器弱控制模式
弱控制模式下,控制平面基于网络设备自学习,控制器不在转发平面,仅负责配置下发,实现自动部署。主要解决网络虚拟化,提供适应应用的虚拟网络。
弱控制模式的优点是转发控制面下移,减轻和减少对控制器的依赖。
n 控制器强控制模式
在强控制模式下,控制器负责整个网络的集中控制,体现SDN集中管理的优势。
基于openflow的强控制使得网络具备更多的灵活性和可编程性。除了能够给用户提供适合应用需要的网络,还可以集成FW等提供安全方案;可以支持混合Overlay模型,通过控制器同步主机和拓扑信息, 将各种异构的转发模型同一处理;可以提供基于openflow的服务链功能对安全服务进行编排,可以提供更为灵活的网络诊断手段,如虚机仿真和雷达探测等。
用户可能会担心强控制模式下控制器全部故障对网络转发功能的影响,这个影响因素可以通过下述两点来降低和消除:
1、 通过控制器集群增加控制器可靠性,避免单点故障
2、 逃生机制:设备与所有控制器失联后,切换为自转模式,业务不受影响。
考虑到强控制模式可以支持混合Overlay模型,可以额外支持安全、服务链等灵活、可编程的功能,并且可靠性又可以通过上述方式加强,我们建议使用强控制模式来实现SDN Overlay。
图3 H3C SDN Overlay组件介绍
如上图所示,H3C SDN Overlay主要包含如下组件:
n 云管理系统
可选,负责计算,存储管理的云平台系统,目前主要包括Openstack,Vmware Vcenter和H3C Cloud OS。
n VCF Controller集群
必选,VCF Controller 实现对于VPC网络的总体控制。
n VNF Manager
VNF Manager实现对NFV设备如VFW、VLB的生命周期管理。
n VXLAN GW
必选, VXLAN GW包括vSwitch ,S68,VSR等,实现虚拟机,服务器等各种终端接入到VXLAN网络中。
n VXLAN IP GW
必选,VXLAN IP GW包括S125-X, S98, VSR等,实现VXLAN网络和经典网络之间的互通。
n 虚拟化平台
可选,vSwitch和VM运行的Hypervisor平台,目前主要包括CAS, Vmware,KVM等。
n Service安全设备
可选,包括VSR,VFW,VLB和M9000,安全插卡等设备,实现东西向和南北向服务链服务节点的功能。
公有云或私有云(VPC)对网络的核心需求是:
l 租户隔离
l 网络自定义
l 资源大范围灵活调度
l 应用与网络位置无关
l 网络资源池化与按需分配
l 业务自动化
H3C提出的解决方案:
l 利用VXLAN Overlay提供一个“大二层”网络环境,满足资源灵活调度的需求;
l 由SDN控制器VCFC实现对整个Overlay网络的管理和控制;
l 由VXLAN GW实现服务器到VXLAN网络的接入;
l 由VXLAN IP GW实现VXLAN网络与传统网络的对接;
l NFV设备(vSR/vFW/vLB)实现东西向和南北向服务链服务节点的功能;
l SDN控制器与云管理平台对接,可实现业务的自动化部署。
图4 SDN Overlay与openstack对接
如上图所示,与标准的Openstack对接:采用在Neutron Server中安装VCFC插件的方式,接管Openstack网络控制。Openstack定义的插件如下表所示:
可对接Neutron插件举例 | 可对接对象举例 |
ml2 | network |
subnet | |
port | |
l3 | router |
floatingip | |
vpnaas | Vpnservice/ikepolicy |
fwaas | Firewall/firewall_policy |
lbaas | memberpool |
Openstack插件类似于一个硬件driver,以网络组件Neutron为例,Neutron本身实现抽象的虚拟网络功能,Neutron先调用插件把虚拟网络下发到VCFC,然后由VCFC下发到具体的设备上。插件可以是核心组件也可以是一项服务:核心插件实现“核心”的Neutron API——二层网络和IP地址管理。服务插件提供“额外”的服务,例如三层路由、负载均衡、VPN、防火墙和计费等。
H3C VCFC实现了上述插件,在插件里通过REST API把Nuetron的配置传递给VCFC,VCFC进行网络业务编排通过Openflow流表等手段下发到硬件交换机、NFV以及vSwitch上,以实现相应的网络和服务功能。
VCFC与H3C CloudOS对接也是采用Neutron插件的方式。
图5 SDN Overlay与基于openstack的增强云平台对接
考虑到openstack标准版本不一定都能满足用户的需求,很多基于openstack开发的云平台都在oenstack基础之上进行了增强开发,以满足自己特定的需求。
与这类增强的openstack版本对接时:
基础的网络和安全服务功能仍通过插件形式对接。 标准openstack版本的Nuetron组件未定义的增强功能,如服务链,IPS/AV等等,通过Rest API对接。
图6 SDN Overlay与非openstack云平台对接
以CloudStack为例,VCFC与非Openstack云平台的对接通过Rest API进行,H3C提供了完整的用于实现虚拟网络及安全功能的Rest API接口。云平台调用这些接口来实现VM创建、删除、上线等一系列流程。
Overlay控制平面架构可以有多种实现方案,例如网络设备之间通过协议分布式交互的方式。而基于VCF控制器的集中式控制的SDN Overlay实现方案,以其易于与计算功能整合的优势,能够更好地使网络与业务目标保持一致,实现Overlay业务全流程的动态部署,在业界逐步成为主流的Overlay部署方案。
图7 SDN Overlay组网模型
如上图所示,H3C的SDN Overlay组网同时支持网络Overlay、主机Overlay和混合Overlay三种组网模型:
n 网络Overlay:在这种模型下,所有Overlay设备都是物理设备,服务器无需支持Overlay,这种模型能够支持虚拟化服务器和物理服务器接入;
n 主机Overlay:所有Overlay设备都是虚拟设备,适用服务器全虚拟化的场景,物理网络无需改动;
n 混合Overlay:物理设备和虚拟设备都可以作为Overlay边缘设备,灵活组网,可接入各种形态服务器,可以充分发挥硬件网关的高性能和虚拟网关的业务灵活性。
三种Overlay商用模型都通过VCF控制器集中控制,实现业务流程的下发和处理,应该说这三种Overlay模型都有各自的应用场景。用户可根据自己的需求从上述三种Overlay模型和VLAN VPC方案中选择最适合自己的模型。
n 定位
网络Overlay组网里的服务器可以是多形态也无需支持Overlay功能,所以网络Overlay的定位主要是网络高性能、与Hypervisor平台无关的Overlay方案。
n 面向客户
网络Overlay主要面向对性能敏感而又对虚拟化平台无特别倾向的客户群。该类客户群的网络管理团队和服务器管理团队的界限一般比较明显。
n 定位
主机Overlay不能接入非虚拟化服务器,所以主机Overlay主要定位是配合VMAWRE、KVM等主流Hypervisor平台的overlay方案。
n 面向客户
主机Overlay主要面向已经选择了虚拟化平台并且希望对物理网络资源进行利旧的客户。
n 定位
混合Overlay组网灵活,即可以支持虚拟化的服务器,也可以支持利旧的未虚拟化物理服务器,以及必须使用物理服务器提升性能的数据库等业务,所以混合Overlay的主要定位是Overlay整体解决方案,它可以为客户提供自主化、多样化的选择。
n 面向客户
混合Overlay主要面向愿意即要保持虚拟化的灵活性,又需要兼顾对于高性能业务的需求, 或者充分利旧服务器的要求,满足客户从传统数据中心向基于SDN的数据中心平滑演进的需求。
网络Overlay的隧道封装在物理交换机完成。这种Overlay的优势在于物理网络设备性能转发性能比较高,可以支持非虚拟化的物理服务器之间的组网互通。
H3C提供的网络Overlay组网方式,支持以下转发模式:
1、控制器流转发模式: 控制器负责Overlay网络部署、主机信息维护和转发表项下发,即VXLAN L2 GW上的MAC表项由主机上线时控制器下发,VXLAN IP GW上的ARP表项也由控制器在主机上线是自动下发,并由控制器负责代答和广播ARP信息。这种模式下,如果设备和控制器失,设备会临时切换到自转发状态进行逃生
2、数据平面自转发模式: 控制器负责Overlay网络的灵活部署,转发表项由Overlay网络交换机自学习,即VXLAN L2 GW上自学习主机MAC和网关MAC信息,VXLAN IP GW上可以自学习主机ARP信息并在网关组成员内同步。
3. 混合转发模式: 同时控制器也可以基于主机上线向VXLAN IP GW上下发虚机流表,如果VXLAN IP GW上自学习ARP和控制器下发的虚机流表信息不一样,则以VXLAN IP GW上自学习ARP表项为主,交换机此时触发一次arp请求,保证控制器和交换机自学习主机信息的正确性和一致性;数据平面自转发模式下ARP广播请求报文在VXLAN网络内广播的同时也会上送控制器,控制器可以做代答,这种模式是华三的一种创新,实现了Overlay网络转发的双保险模型。
。
图8 网络Overlay
在图14的组网中,VCFC集群实现对整个VXLAN网络的总体控制,以及对VNF的生命周期管理和服务链编排;VCFC可以同Openstack,VMware Vcenter、H3Cloud OS等其他第三方云平台,通过插件方式或REST API方式进行对接。
物理交换机125X/S98充当VXLAN IP GW,提供Overlay网关功能,实现VXLAN网络和经典网络之间的互通,支持Overlay报文的封装与解封装,并根据内层报文的IP头部进行三层转发,支持跨Overlay网络之间的转发,支持Overlay网络和传统VLAN之间的互通以及Overlay网络与外部网络的互通;H3C S6800充当VTEP,支持Overlay报文的封装与解封装,实现虚拟机接入到VXLAN网络中。
Service安全设备属于可选项,包括VFW、VLB、M9000、L5000等设备。东西向,支持基于VFW、VLB的服务链;南北向可以由125X串联M9K实现NAT、FW等服务,125X旁挂L5000提供LB服务,由VCFC实现引流。
图9 无状态IP网关
如上图,在网络Overlay的组网模型中,125X/S98作为Overlay网关功能,考虑到网关的扩容功能,可以采用无状态IP网关方案:
n VXLAN IP GW实现VXLAN网络与传统网络的互联互通;
n 网关组内的VXLAN IP GW设置相同的VTEP IP地址,设置相同的VNI接口IP地址及MAC地址,VTEP IP地址通过三层路由协议发布到内部网络中;
n 支持多台VXLAN IP GW组成网关组;
无状态网关的业务流向如下:
n 北向:VTEP设备通过ECMP(HASH时变换UDP端口号)将VXLAN报文负载均衡到网关组内的不同网关上处理;
n 南向业务:每个网关都保存所有主机的ARP,并在外部网络上将流量分流给各网关;
n 路由延迟发布确保网关重启和动态加入时不丢包。
网络Overlay组网方案有以下优点:
· 更高的网卡和VXLAN性能。
· 通过TOR实现QOS、ACL,可以实现线速转发。
· 不依赖虚拟化平台,客户可以有更高的组网自由度。
· 可以根据需要自由选择部署分布式或者集中式控制方案。
· 控制面实现可以由H3C高可靠的SDN Controller集群实现,提高了可靠性和可扩展性,避免了大规模的复杂部署。
· 网关组部署可以实现流量的负载分担和高可靠性传输。
主机Overlay将虚拟设备作为Overlay网络的边缘设备和网关设备,Overlay功能纯粹由服务器来实现。主机Overlay方案适用于服务器虚拟化的场景,支持VMware、KVM、CAS等主流Hypervisor平台。主机Overlay的网关和服务节点都可以由服务器承担,成本较低。
H3C vSwitch(即S1020v)以标准的进程和内核态模块方式直接运行在Hypervisor主机上,这也是各开源或者商用虚拟化平台向合作伙伴开放的标准软件部署方式,性能和兼容性可以达到较佳。
S1020v上除了实现转发功能,还集成了状态防火墙功能,防火墙功能可以支持4层协议,如tcp/udp/ip/icmp等协议。可以基于(源IP,目的IP,协议类型(如TCP),源端口,目的端口)的5元组下发规则,可以灵活决定报文是允许还是丢弃。
状态防火墙和安全组的区别是,状态防火墙是有方向的,比如VM1和VM2之间互访,状态防火墙可以实现VM1能访问VM2,VM2不能访问VM1这样的需求。
图10 vSwitch集成状态防火墙
如上图所示,vSwitch功能按下述方式实现:
n VCFC通过OVSDB通道将DFW策略下发给S1020V。
n S1020V集成DFW功能,依据下发的防火墙策略对端口报文做相应处理。
n 配置DFW策略后,OVS的原有转发流程会以黑盒的形式嵌入到Netfilter框架的报文处理过程中,接收到报文后依据配置的DFW策略在Netfilter的对应阶段调用相应的钩子函数实现对应的防火墙功能。
n 在虚机迁移或删除时,VCFC控制下发相关防火墙策略随即迁移,实现整个数据中心的分布式防火墙功能。
在主机Overlay情况下,H3C vSwitch即承担了VTEP(即VXLAN L2 GW)功能,也可以承担东西向流量三层网关的功能。三层网关同时亦可以由NFV、物理交换机分别承担。vSwitch功能也可以实现Overlay网络内虚机到虚机的跨网段转发。按照VXLAN三层转发实现角色的不同,可以分为以下几个方案:
1. 东西向分布式网关转发方案
如图17所示,在分布式网关情况下,采用多个vSwitch逻辑成一个分布式三层网关,东西向流量无需经过核心设备Overlay层面的转发即可实现东西向流量的跨VXLAN转发,以实现跨网段最短路径转发;南北向的流量仍然会以核心spine设备作为网关,虚机访问外网时,vSwitch先把报文通过VXLAN网络转发到Spine设备上,Spine设备进行VXLAN解封装后再根据目的IP转发给外部网络。
图11 东西向分布式网关方案
2. NFV设备VSR做网关方案
VSR做网关的情况下, VXLAN IP GW、VXLAN L2 GW、服务节点都由服务器来实现,如下图所示:
图12 VSR做网关的主机Overlay方案
VCFC集群实现对整个VXLAN网络的总体控制,以及对VNF的生命周期管理和服务链编排;VCFC可以同Openstack,VMware Vcenter、H3Cloud OS等其他第三方云平台,通过插件方式或REST API方式进行对接。
NFV设备VSR充当VXLAN IP GW,提供Overlay网关功能,实现VXLAN网络和经典网络之间的互通,支持Overlay报文的封装与解封装,并根据内层报文的IP头部进行三层转发,支持跨Overlay网络之间的转发,支持Overlay网络和传统VLAN之间的互通以及Overlay网络与外部网络的互通;H3C S1020v充当L2 VTEP,支持Overlay报文的封装与解封装,实现虚拟机接入到VXLAN网络中,其中H3C S1020v支持运行在ESXi,KVM、H3C CAS等多种虚拟化平台上。
Service安全设备属于可选项,包括VSR、VFW、VLB等设备,实现东西向和南北向服务链服务节点的功能。
3. 物理交换机做网关方案
如图19所示,同纯软主机Overlay方案相比,软硬结合主机Overlay方案使用Spine设备做VXLAN IP GW。Spine设备可以使用125-X/98,也可以使用S10500,在使用S10500和S1020v组合的情况下可以实现更低的使用成本。Service安全设备属于可选项,包括VFW、VLB、M9000、L5000等设备。东西向,支持基于VFW、VLB的服务链;南北向可以由125-X串联M9000实现NAT、FW等服务,125-X旁挂L5000提供LB服务,由H3Cloud OS通过PBR实现引流。
图13 物理交换机做网关的主机Overlay方案
主机Overlay组网方案总体来说有以下优点:
· 适用于服务器虚拟化的场景,成本较低。
· 可以配合客户已有的VMware、Microsoft等主流Hypervisor平台,保护客户已有投资。
· 可以根据需要自由选择部署分布式或者集中式控制方案。
· 控制面实现可以由H3C高可靠的SDN Controller集群实现,提高了可靠性和可扩展性,避免了大规模的复杂部署。
· 物理交换机做网关的情况下,也同网络Overlay一样可以使用多网关组功能,网关组部署可以实现流量的负载分担和高可靠性传输。
· vSwitch作为东西向IP网关时,支持分布式网关功能,使虚机迁移后不需要重新配置网关等网络参数,部署简单、灵活。
如图20所示,混合Overlay是网络Overlay和主机Overlay的混合组网,可以支持物理服务器和虚拟服务器之间的组网互通。它融合了两种Overlay方案的优点,既可以充分利用虚拟化的低成本优势,又可以发挥硬件GW的转发性能、将非虚拟化设备融入Overlay网络, 它可以为客户提供自主化、多样化的选择。
图14 混合Overlay
VCFC集群实现对整个VXLAN网络的总体控制,以及对VNF的生命周期管理和服务链编排;VCFC可以同Openstack,VMware Vcenter、H3Cloud OS等其他第三方云平台,通过插件方式或REST API方式进行对接。
125X/S98充当VXLAN IP GW,提供Overlay网关功能,实现VXLAN网络和经典网络之间的互通,支持Overlay报文的封装与解封装,并根据内层报文的IP头部进行三层转发,支持跨Overlay网络之间的转发,支持Overlay网络和传统VLAN之间的互通以及Overlay网络与外部网络的互通;H3C S6800、H3C S1020V充当VTEP,支持Overlay报文的封装与解封装,实现服务器和虚拟机接入到VXLAN网络中。
Service安全设备属于可选项,包括VFW、VLB、M9000、L5000等设备。东西向,支持基于VFW、VLB的服务链;南北向可以由125X串联M9K实现NAT、FW等服务,125X旁挂L5000提供LB服务,由VCFC实现引流。
类别 | 组网 | 虚拟化平台支持 | 转发模型 | 适用场景 | 服务链方式 |
主机overlay | S1020V+VSR | CAS/VMWARE/KVM | 流转发 | 适合海量租户,但单租户对转发性能要求不高的场景,如公有云,网络设备利旧或成本受限条件下的私有云 | 南北向VSR(自带FW功能)+VLB, 东西向共享南北向NFV, 都采用服务链方式 |
S1020V+S125 | CAS/VMWARE/KVM | 流转发 | 同纯软主机Overlay方案相比,主机Overlay软硬结合方案使用125-X或10500做VXLAN IP GW,跨网段转发性能较高; 跟网络Overlay相比,对TOR没有要求,不要求TOR承担VTEP功能 | 南北向采用PBR(M9000+L5000) | |
网络overlay | S68+S125 | ALL | 流转发/自转发 | 适合于要求高网络转发性能的场景,以及大规模网络的私有云应用场景 | |
混合Overlay | S68+S125+S1020V | CAS/VMWARE/KVM | 流转发 | 混合业务场景,有部分业务要求高转发性能,如数据库,存储等 |
上述几种overlay组网均支持和Openstack K版本对接。
H3C SDN服务链,基于网络的核心控制部件SDN控制器——VCFC (Virtual Converged Framework Controller)进行部署。VCFC根据租户需求,定义、创建服务链,并部署服务链上每个节点的业务逻辑。VCFC将需要进入服务链处理的用户报文特征,下发到接入软件/硬件VTEP,从而将数据报文引入服务链。
H3C SDN服务链中具有如下角色:
Ø 流分类节点(Classification):也是原始数据报文的接入节点。按照定义的流分类规则匹配数据报文,对报文做服务链的Overlay封装,并将其转发到服务链中处理。
Ø 服务节点(Service Function):服务节点作为资源被分配使用,它的物理位置可以是任意的,分散的,通过SDN对服务链的定义和引流串联,完成预定义的工作。服务节点可以是防火墙(FireWalls)、负载均衡(LoadBalance)、入侵检测(Intrusion Prevention System)等资源/资源池。
Ø 代理节点(Proxy Node):对于不支持服务链封装的服务节点,需要通过代理节点剥离服务链封装,将业务策略信息转换成VLAN等,转交给服务节点处理。
Ø 控制平面(Control Plane):负责管理服务链域内的设备,创建服务链,将服务节点的配置定义,下发到各个相关节点上。在H3C SDN网络中,通过VCFC实现。
如下图所示,是服务链的典型示意图:
其中各对应角色及其处理为:
Ø VCFC:H3C SDN控制器。作为网络资源池的唯一控制点,VCFC控制了虚拟化网络,并且通过对虚拟网络进行抽象和编排,定义服务链特征;VTEP和服务节点上的转发策略都由控制器下发。
Ø 服务链流分类节点(VTEP1):原始报文通过VTEP1接入VXLAN网络,并直接进行流分类,以确定报文是否需要进入服务链:如果需要进入服务链,则将报文做VXLAN+服务链ID的封装,转到服务链首节点处理。
Ø 服务链首节点(SF1):进行服务处理后,将数据报文继续做服务链封装,交给服务链下一个服务节点。
Ø 服务链尾节点(SF2):进行服务处理后,服务链尾节点需要删除服务链封装,将报文做普通VXLAN封装,并转发给目的VTEP。如果SF2不具备根据用户报文寻址能力,则需要将用户报文送到网关(VTEP3),VTEP3再查询目的VTEP进行转发。
报文转发说明如下:
Ø ①⑥Native以太报文,IP(src)---->IP(dst)
Ø ② VXLAN+业务链报文,外层: IP(VTEP1)---->IP(SF1)
Ø ③ VXLAN+业务链报文,外层: IP(SF1)---->IP(SF2)
Ø ④ VXLAN报文,外层: IP(SF2)---->IP(VTEP3)
Ø ⑤ VXLAN报文,外层: IP(VTEP3)---->IP(VTEP4)
具体的匹配转发流程描述如下:
Ø VM首包上送控制器处理时,在VCFC上解析packet in报文,根据报文目的地址确定是虚拟网络内的东西向流量还是通往传统网络的南北向流量,对于南北向流量则将报文转发到网关设备,报文后续的处理由网关设备负责;
Ø 对于东西向流量,从收到的packet in报文中提取源端口,并根据源端口确定源subnet、network、router信息;并根据packet in报文的目的IP获取目的VM连接的目的端口,并根据目的端口确定目的subnet、network、router信息;
Ø 对于东西向流量,根据报文特征进行服务链匹配,首先使用源端口和目的端口的属性与服务链配置进行匹配,如果找到匹配的服务链,则下发导流流表;如果没找到匹配的服务链,就下发东西向卸载的流表项(即非服务链转发);
Ø 如果存在匹配的服务链,确定服务链所在VTEP的VTEP IP,VCFC向VTEP和后续处理节点下发流表项,流表项格式如下:
Match:port & vlan & 五元组 普通报文进入服务链
或 tunnel & vni & 五元组 vxlan报文 进入服务链
Action:vni & service chain id & order counter & tunnel,指向服务链首节点所在的服务节点,order counter =1。
Ø 当匹配到多条服务链时,按照最精确匹配的原则确定实际使用的服务链配置。上述4种维度按照精确程度从低到高排序依次为:Routers, Networks, Subnets, Ports。
H3C SDN服务链支持如下几种流分类节点:
Ø 支持业务链的vSwitch:vSwitch收到虚机报文后,直接做流分类;在vSwitch上进行服务链Overlay封装。例如H3C s1020v。
Ø 硬件交换机接入普通vSwitch:虚机通过普通vSwitch接入,vSwitch仅作二层交换使用,上送硬件交换机后,由硬件交换机进行流分类,进行服务链Overlay封装。例如H3C s6800交换机。
Ø 硬件交换机接入物理设备:硬件交换机直接接入物理设备,对物理设备发送的数据报文做流分类,进行服务链Overlay封装。例如H3C s6800交换机。
Ø 硬件交换机接入普通VXLAN报文:普通VXLAN报文上送到硬件交换机,由硬件交换机进行流分类,进行服务链Overlay封装。例如H3C s6800交换机。
H3C SDN服务链支持如下几种服务节点:
Ø H3C NFV服务节点:支持VXLAN和服务链功能。可以直接进行VXLAN封装/解封装处理以及业务处理。
Ø H3C硬件安全设备:支持VXLAN和服务链功能。可以直接进行VXLAN封装/解封装处理以及业务处理。
Ø 传统物理服务节点:第三方厂家的传统防火墙、LB等无法支持服务链的安全功能节点,通过服务链代理节点(例如H3C s6800交换机)外挂。
Ø 服务链尾节点:删除服务链封装,根据用户报文的目的地址,找到最终目的VTEP的IP地址:
1) 服务链尾节点自行向VCFC请求解析目的VTEP IP,做普通VXLAN转发。
2) 没有解析处理能力,则做普通VXLAN封装,转交其他网关处理。
图15 overlay网络服务链节点描述
如上图所示,overlay网络中的服务链主要由如下几个部件组成:
n 控制器(Controller):VTEP和ServiceNode上的转发策略都由控制器下发
n 服务链接入节点(VTEP1):通过流分类,确定报文是否需要进入服务链。需要进入服务链,则将报文做VXLAN+服务链封装,转到服务链首节点处理。
n 服务链首节点(SN1): 服务处理后,将用户报文做服务链封装,交给服务链下一个节点。
n 服务链尾节点(SN2):服务处理后,服务链尾节点需要删除服务链封装,将报文做普通VXLAN封装,转发给目的VTEP。如果SN2不具备根据用户报文寻址能力,需要将用户报文送到网关(VTEP3),VTEP3再查询目的VTEP发送。
图16 overlay网络服务链流程描述
上图是一个基于SDN的服务链流程。 SDN Controller实现对于SDN Overlay、NFV设备、vSwitch的统一控制;NFV提供虚拟安全服务节点;vSwitch支持状态防火墙的嵌入式安全;同时SDN Controller提供服务链的自定义和统一编排。我们看一下,假设用户自定义从VM1的VM3的业务流量,必须通过中间这样FW和LB等几个环节,通过SDN的服务链功能,业务流量一开始就严格按照控制器的编排顺序经过这组抽象业务功能节点,完成对应业务功能的处理,最终才回到VM3,这就是一个典型的基于SDN的服务链应用方案。
该模式组网下,H3C VSR充当VXLAN IP GW,提供Overlay网关功能;H3C S1020v充当L2 VTEP,实现虚拟机接入到VXLAN网络中,其中H3C S1020v支持运行在ESXi,KVM、H3C CAS等多种虚拟化平台上。
Service安全节点包括VSR、VFW、VLB等设备,通过H3C VCF控制器集中控制和编排实现东西向和南北向服务链服务节点的功能。服务链能够支持VM vport、vRouter、Network、Subnet、IP地址进行服务链分流配置服务链,服务节点的经过顺序是先VFW再VLB。
在此场景下,依据安全服务功能的配置位置,又可以分为灵活服务链模型和Openstack服务链模型两种。
如下图所示,服务链可以直接在VCFC上配置实现灵活服务链部署。
这种场景下,南北向服务链由VSR集成VFW,而VLB可以独立部署;东西向VFW、VLB也可以独立部署。
如下图所示,在Openstack、H3Cloud OS等云平台上配置安全服务,VCFC配合实现安全服务功能,安全服务功能在云平台上配置。
这种场景下南北向由VSR集成VFW功能,VLB可以独立部署;东西向跨网段VFW业务集成在VSR上,VLB可以独立部署。
该模式组网下,125X/98充当VXLAN IP GW,提供Overlay网关功能;H3C S1020V、S6800充当L2 VTEP,实现虚拟机或物理服务器接入到VXLAN网络中,其中H3C S1020V支持运行在ESXi,KVM、H3C CAS等多种虚拟化平台上。
Service安全节点包括VSR、VFW、VLB、M9000/F5000、L5000等设备。同3.1类似,也分为灵活服务链模型和Openstack模型。
如下图所示,在VCFC配置实现东西向服务链提供安全服务。其中,服务节点支持硬件形态或NFV形态。
该模型中,南北向服务链无需专门编排,可以通过125X串联M9K实现NAT、FW等服务,125X旁挂L5000提供LB服务;由VCFC通过PBR、静态路由等技术实现引流。
在Openstack、H3Cloud OS等云平台上配置安全服务,VCFC配合实现安全服务功能,安全服务功能在云平台上配置。
如下图所示,南北向s125-X、s9800做VXLAN终结,在OpenStack、H3Cloud OS进行相关安全资源配置后,由VCFC向M9000、L5000等安全设备自动下发PBR、静态路由等配置,实现对安全流量的引导;对于跨网段的东西向流量,也可以共享南北向的M9000、L5000等安全设备,由VCFC自动下发PBR、静态路由等配置,将流量引流到M9000、L5000。
传统的安全设备不支持VXLAN和服务链功能。H3C通过服务链代理设备,可以将传统的甚至是第三方的安全设备引入H3C SDN服务链,从而共享SDN服务链先进技术,为客户提供更加多样化的选择。
如下图所示,该模式组网下,传统安全设备通过s6800的AC口(可以是s6800的堆叠、聚合后的逻辑接口)222接入SDN VXLAN网络;s6800作为服务链的服务代理节点,进行SDN服务链的报文特征识别和解析。S6800与安全设备二层连接,其同一个接口可以接入多台虚拟化安全设备,并以VLAN进行区分。
第三方安全设备服务链代理的应用,可以支持第三方安全设备通过s6800的单臂模式和双臂模式两种接入模式,实现了网络中东西向流量的安全自动防护,也为客户的安全设备选型提供了更加多样的选择。在这种模式下,VCFC不再识别具体的安全业务类别,只需识别业务所在s6800的接口,并负责导流到该接口。
H3C SDN解决方案涵盖了对第三方安全设备对接纳管功能,可实现对第三方安全设备的对接和流量牵引
VCFC的安全纳管提供了VLAN及VXLAN VPC 下GW,FW等服务的硬件资源虚拟化方案。实际的OpenStack项目中,有需求希望第三方厂商的防火墙设备能够接入VCFC的安全纳管方案,为用户的云业务提供安全服务。
VCFC已有的安全纳管方案,控制器需要向安全设备下发:
1)防火墙服务的安全配置
2)控制器为Router分配的租户承载网及安全内网的VLAN ID接口及网段地址
3)南北向业务指导转发的Router各网段的网段路由
4)南北向业务指导转发的SNAT及DNAT的相关配置
VCFC Neutron Plugin实现:
· 新增加vendor_rpc_topic配置项,配置为第三方厂商RPC TOPIC。对接时配置为Plugin和第三方防火墙使用RPC机制进行L3扩展数据的通信,上下文独立 ,耦合性低
· L3 Plugin在L3 所有对外提供的接口增加对vendor_rpc_topic RPC TOPIC的事件通知机制,实现上使用异步CAST调用,忽略通知过程中遇到的异常信息
一、防火墙服务的安全配置
需求实现:1)第三方厂商提供符合OpenStack Neutron FW要求的FWaaS Driver; 2)配置OpenStack Neutron防火墙Driver为第三方厂商,OpenStack Neutron FW Plugin会将防火墙消息通告给第三方厂商Driver,再由Driver向设备下发安全配置
二、控制器为Router分配的租户承载网及安全内网的VLAN ID接口及网段地址
需求实现:1) 控制器提供获取为Router分配的租户承载网,安全内网的VLAN ID及网段IP的北向REST API; 2)第三方厂商Driver提供RPC监听机制,由VCFC L3 Plugin向第三方安全厂商Driver提供 Router创建及删除的完整消息。Driver监听到后向VCFC获取1)的REST API消息,并向设备下发与网关设备互联的接口配置
三、南北向业务指导转发的Router各网段的网段路由
需求实现:1)第三方厂商提供RPC监听机制,当收到Router绑定解绑Subnet消息时,通知FW设备下发或者删除相应的Subnet网段路由; 2)VCFC L3 Plugin向第三方厂商的RPC TOPIC发送Router绑定及解绑Subnet事件 通知消息
四、南北向业务指导转发的SNAT及DNAT的相关配置
需求实现:1)第三方厂商提供RPC监听机制,当收到Router绑定网关,FloatingIP创建,更新,删除消息时,通知FW设备下发或删除相应的NAT配置; 2)VCFC L3 Plugin向第三方厂商的RPC TOPIC发送Router绑定及解绑网关,FloatingIP创建,更新,删除事件通知消息
· VCF Plugin提供了h3c-agent(准开源l3-agent)进程用来接收FW RPC消息,第三方防火墙厂商 仅需要提供防火墙driver,省去了第三方防火墙厂商的部分开发工作
· VCF Plugin和第三方防火墙使用RPC机制进行L3扩展数据的通信,上下文独立,耦合性低
· VCF Plugin启动时加载配置项值作为和第三方厂商扩展数据RPC通信的TOPIC,可维护性好
· VCF Plugin本次定义的RPC 扩展数据通信方法抽象度高,后续扩展消息内容不需要新定义接口
· VCFC 可以支持第三方安全厂商防火墙设备无缝接入安全纳管方案
Ø 网络架构方面具有下述明显优势:
n 应用与位置解耦, 网络规模无限弹性扩展;
n 网络虚拟化, 实现大规模多租户和业务隔;
n 支持多种Overlay模型,满足场景化需求;
n 跨多中心的网络资源统一池化,随需分配。
Ø 网络安全方面具有下述特点:
n 各种软硬件安全设备灵活组合,形成统一安全资源池;
n 丰富的安全组合功能,可以充分满足云计算安全合规要求;
n 针对主机,南北和东西向流量,可以实现精细化多层次安全防护;
n 通过服务链,可以实现安全业务的灵活自定义和编排。
Ø 网络业务发放具有下述优点:
n 支持VPC多租户虚拟网络:基于OpenStack模型,租户相互隔离、互不干扰,各租户可提供独立FW/LB/NAT等服务;
n 网络灵活自定义:租户虚拟网络根据自身需求可灵活自定义,实现对于SDN和NFV的融合控制;
n 网络自动化:业务流程全自动发放,配置自动化下发,业务部署从数天缩短到分钟级;
n 与云无缝对接融合:实现网络,计算与存储的无缝打通, 实现云计算业务的自助服务;
Ø 在网络运维上能充分满足客户需求:
n 支持智能化诊断:全面覆盖的故障自动探测,雷达仿真,故障定位和自动修复;
n 支持流量可视化:应用,虚拟,网络拓扑的统一呈现, 资源映射, 流量统计,路径和状态感知;
n 支持自动化运维:用户能够自定义网络运维管理能力,实现DC内自定义流量调度,动态流量自动监控分析。