搜索
焦点:自适应的虚拟园区网在园区网中,当上面的数据中心变成了云,下面终端变成了BYOD智能终端。连接上下的企业园区网同样在发生深刻的变化。网络作为整个园区的神经,已经跨过了简单的互联和共享的阶段。现在的网络必须要能适应其承载的越来越丰富的应用。尤其是移动应用大量部署的情况下,除了保证应用的连通性,还要能满足不同应用的时延、带宽、通讯质量等要求。此外,应用对网络的要求千差万别,一旦网络现有功能无法满足要求时,就需要通过软件定义,让用户能够自行对网络进行功能扩展。一、WLAN网络的革新现如今很多园区的无线接入用户已经超过有线接入用户量。随着802.11ac的部署,无线接入将成为园区网接入的主要方式。有些移动终端也不再提供有线接入方式。即使是采用有线的接入方式,随着笔记本所占的比重越来越大,对网络接入的移动性要求也会越来越高。采用802.11ac技术,每个AP的带宽性能将超过1G,而且很快会超过3G。采用传统的AC集中转发的模式,需要不断适应无线高带宽需求,不断提升AC的性能是当前应对挑战的主要方式。而长远来看,未来园区网逐步会向有线无线统一接入组网方向发展,不再区分有线和无线接入方式。这样更加有利于对有线无线进行统一管理、统一认证,简化管理员对网络、用户等的管理。有线无线统一接入的核心思想就是不再单独强调无线AC的作用,而是把无线AC融入到网络中作为网络的一部分。当前融合的方式是把无线AC做成插卡,插入到网络交换机上,这是一种物理形态的融合。在未来自适应虚拟园区网中,还可以借鉴集中控制的思想,所有网络资源可以由控制器统一控制(本文具体指H3CVCFController)。收集全网资源信息,进行实时调度,同时VCF控制器也可以处理所有无线控制信令,业务流不经过VCF控制器转发。控制器替代无线控制器,也更加有力于解决我们在无线网络里遇到的一些问题,以下以VCF控制器为例进行说明。l解决漫游问题当终端跨AP漫游时,VCF控制器下发指令到漫游后的AP,动态创建和漫游前AP的VXLAN隧道,把用户数据转送到漫游前的AP。漫游前的AP解封装VXLAN隧道后,再进行相应的报文转发。图1.交换机间通过VXLAN实现漫游如图1所示,如果AP上行的交换机支持VXLAN功能,为了提升效率,VCF控制器也可以控制AP的上行交换机间动态创建VXLAN隧道,实现快速漫游。当网络中的AP和所有中间节点都不支持VXLAN功能时,用户又进行了跨VLAN漫游,VCF控制器还可以下发指令到AP,由AP封装CAPWAP数据隧道到VCF控制器集中转发处理。当网络中存在AC设备,需要跨AC漫游时,VCF控制器下发指令到AC或AC上联交换机,通过VXLAN隧道实现漫游流量的集中分发。l解决策略下发问题VCF控制器可以控制策略下发到转发路径的任意节点。如果接入或汇聚设备支持,则可以直接下发QoS、ACL和安全等动态策略到这些设备,用户漫游后无需再重复下发。如果网络设备不支持策略下发,VCF控制器还可以把相应策略直接下发到AP(如图2所示)。图2.VCF控制器实现策略下发l网络的能力扩充当所有无线控制的功能统一由VCF控制器接管,AP的功能就会大大简化。无线网络功能的升级不需要频繁替换AP或边缘交换机。此外,由于用户的流量不再经过Controller转发,通过在分发点增加AP,VCF控制器可以按照探测出的网络能力,自动优化转发路径和策略控制点,使得网络的能力和规模可以随需增加。下面我们通过一个一个典型的园区组网场景,来比较采用VCF架构与传统网络对满足移动性需求的差别。该园区有线无线用户统一接入,用户的认证网关部署在接入设备上(如图4所示)。图3.VCF架构下有线无线一体接入如图3所示,假设用户,通过笔记本无线接入到网络完成日常办公工作。在办公工位通过A点的AP接入到网络。传统园区网,通过VLAN和VPN实现不同部门之间的访问控制。在用户完成接入802.1X认证后,在接入设备下发相应的VLAN,以及用户相关的安全策略。在接入设备上,根据不同的用户VLAN进入到不同VPN。从而保证不同部门之间用户的隔离。这样的组网下,接入设备的VLAN可以给予用户认证信息下发,汇聚设备上需要配置所有部门的VPN。这样做是为了简化配置管理,实现用户可以在任何位置接入网络。这已经比之前特定部门的用户只能通过固定范围的端口接入网络有了很大进步,能够初步满足不同部门混合办公的需求。如果用户需要紧急从A点AP到B点AP参加会议。由于在AP间漫游,其认证信息、下发VLAN以及安全策略等,无法跟随用户的移动一起漫游到新的接入设备。新的接入设备上不存在这个用户的信息,要求用户重新进行认证。认证通过后,在新的接入设备上下发用户认证信息、VLAN、安全策略等。而在此过程中,如果用户正在进行文件上传、下载,通过网络提交信息等操作,很可能会因为网络的暂时中断,引起操作失败。这种情况下如果采用控制器,问题就可以轻松解决了,基于VCF控制器提供的接口开发的App,可以实现平滑的漫游过程。当用户从A漫游到B时,VCF控制器可以迅速感知到用户漫游,并通知给App。而App则可以根据用户的漫游情况控制VCF控制器将用户VLAN、策略等信息进行迁移。App还能够精确的控制哪些用户可以漫游,以及可漫游的位置和时间等因素。二、面向多租户目前兴建的各智慧园区,网络也作为基础设施服务为租户提供。有些租户希望内部网络相对独立,不愿意内部网络的细节暴露给园区IT管理人员。园区IT管理人员也希望园区的网络有一个明确的管理边界,无意干预租户内部网络。当某个租户无跨园区网络互通需求时,租户只需要在出口部署网关,对进入园区网络的流量做NAT,在租户内部即形成封闭的网络,租户的路由与园区网络的路由隔离,如图4中的用户A。图4.面向租户的园区网但是,当租户在园区中有多个地点,需要跨园区网络互联,这样组网就会有互访的问题。比如租户B,如果两个子网络在出口各自做了NAT,即使有对方的私网IP,也无法实现三层互访。或者必须在各自出口网关进行复杂的手工配置。由于中间跨了三层网络,一些二层协议比如用于打印机共享的发现协议在网关被丢弃,不能实现自动发现。当然,园区网络也可以单独为租户拉通二层网络,分配专有VLAN。这将涉及园区网络的接入交换机、汇聚交换机及核心交换机,为租户分配并配置二层VLAN。需要VLAN在整个网络中,统一规划。如果租户B增加新的区域,租户B所有节点互联路径上的设备上都要进行配置修改,加上相关VLAN配置。这种组网下,需要在租户每个区域的子网出口处使能QinQ,以避免租户的VLAN新需求对园区网络的影响。基于EVI的Overlay网络可以有效解决这个麻烦。EVI(EthernetVirtualizationInterconnection)技术基于现有的服务提供商网络和企业网络,为物理位置分散的多子网提供灵活的二层互联功能。EVI是一种先进的MACinIP技术,只是在子网的边缘设备上维护路由和转发信息,而无需改变站点内部和核心网络。EVI解决方案部署成本低廉,企业网络和服务提供商网络无需做任何变动。在每个子网出口处部署EVI边缘设备。跨子网互通的报文经过EVI边缘设备时,会被封装上IP报文头。目的地址为目的EVI边缘设备的IP地址,源地址为本EVI边缘设备IP地址。被封装的报文,也就是EVI的载荷,为原始的以太网报文。被封装的原始报文包含MAC、VLAN和IP的全部信息。EVI对端边缘设备收到报文后,会将报文进行解封装,去掉EVI报文头,再根据内部报文的VLAN和MAC地址进行二层查表及转发。EVI实现了完整的MAC学习、MAC地址在EVI边缘节点间同步、广播报文处理的机制。对于园区网络,EVI边缘设备封装后的报文IP地址均为园区网络地址。园区网络通过路由将报文进行转发即可。对于租户子网内的主机,整个园区网络是透明通道,完全不感知。同一个租户的所有子网络,通过EVI连成了一张大二层网络。通过基于EVI的Overlay技术,将整个园区网划分为两层。一层是租户眼中看到的Overlay网络,在这层网络中,整个园区网络被抽象逻辑化为物理通道;一层是作为Underlay的园区网络,这层网络采用传统网络的互联技术,为Overlay网络提供高速、可靠的支撑。使用EVI技术对于租户的跨园区网络互联,有以下优点:¡租户网络和园区网络,逻辑上互相独立。租户网络内部VLAN、IP、网络层次变动不影响园区网络;园区网络发生变化,仅影响EVI边缘设备,对租户网络内部无影响。¡只在租户网络出口增加支持EVI的设备即可,不必对园区网络和租户内部网络进行任何改动。园区网络及租户内部网络设备不必替换为支持EVI的设备。¡租户多个子网虽然跨园区网络互联,但是在逻辑上为一张大二层网络。租户内部的网络规划、应用部署以及共享等变得相对简单。三、感知应用变化当前,网络中的应用种类繁多,大量的新应用不断涌现,除了传统的ERP、E-MAIL、企业办公及IP电话之外,大量的移动APP、协同办公应用等不断进入企业。这就要求园区网络能够适应并感知应用,并根据应用的需求调整网络配置,适应应用的需求。在网络资源一定的情况下,传统园区网络更像是一种尽力而为的网络,没法智能的感知每种应用并根据应用需求自适应的调整网络。对于那些对网络延迟、抖动敏感的应用,尽力而为远远到不到要求。而在未来自适应虚拟园区网中,根据应用需求实时调整网络配置的智能网络将给用户带来更好的体验。以MicrosoftLync为例,作为当前部署最广泛的企业协同办公软件,Lync应用中包含大量的语音、视频通信。这些应用大都在移动终端上使用,对网络的时延、抖动要求很高。普通的WLAN网络因为存在冲突竞争、干扰等问题,会造成丢包、时延过大、漫游丢包等问题。在未来自适应虚拟化园区网中,适应Lync这类协同类应用的一系列新特性将会极大的提升语音、视频等应用的体验。l深度识别协议应用跟踪语音视频的呼叫信令,在呼叫建立的同时,立即调整AP的工作状态,包括提升连接的报文优先级,使实时呼叫进入高优先级发送接收队列;启动CAC(ConnectionAdmissionControl)限制使用高优先级队列的客户端数目;暂停RRM(RadioResourceManagement),WIPS(WirelessIntrusionProtectionSystem)等特性。在呼叫结束后可以恢复AP的正常工作状态l漫游导航VCF控制器通过控制AP发送帧的参数,促进移动终端快速连接到信号更好的AP,可极大的减少漫游丢包,改善语音视频体验。通过以上举例不难看出,在特殊应用启动时,园区网可以迅速感知到应用需求,并在应用流经的网络途径中下发相应保障配置。这个流经途径可以是接入设备、无线AP、核心设备甚至是4-7层安全设备。经过预先配置后,网络预留了足够的资源提供给应用使用,以保证应用的最佳体验。当该应用结束后,VCF控制器还可以自动撤销之前下发的保障配置,释放网络资源。通过智能感知网络变化,自适应调整网络配置,从而实现了资源的最大利用率,同时保证了应用的最佳体验。四、结束语园区网作为云和终端的连接通道,传统固化的园区网络已经成为云应用的一个瓶颈。企业应用部署越来越多样化,接入终端也变得更加灵活丰富,如何更好的满足用户的接入需求,给用户提供更好的体验感成为了今后园区网要解决的问题。VCF新技术架构的提出,将带来更加灵活、可靠、易用的自适应的新园区网络。