VCF+Fabric解决方案-

日期：2015年4月26日密级：秘密杭州华三通信技术有限公司VCFFabric解决方案C-Marketing解决方案部耿加申2目录Overlay业界发展趋势H3COverlay解决方案3CiscoOverlay方案CiscoACI（ApplicationCentricInfrastructure）特点eVxLAN报文封装，支持不同虚拟化平台和硬件服务器接入（统一转换为eVxLAN格式，私有实现）控制平面：支持VxLAN标准定义的组播flooding模式，也支持BGPbasedE-VPN控制平面数据平面：支持核心复制、头端复制思科ACI框架中，应用指导网络行为，通过应用配置文件让网络，应用服务，安全策略，租户网络的调配实现自动化思科ACI本质上是一种SDN架构，APIC为SDNController，Nexus9000系列交换机为SDN交换机CiscoNetworkOverlay（DFA&ACI）4Overlay网络定义Overlay网络类型—按边缘设备类型NetworkOverlay网络OverlayHostOverlay主机OverlayHybridOverlay混合式Overlay控制协议物理设备物理设备vDeviceVMVMVMvDeviceVMVMVM泛洪机制虚拟设备虚拟设备vDeviceVMVMVMDB/Controller物理设备虚拟设备网络Overlay：路由器或交换机作为Overlay网络的边缘设备通过控制协议来实现网络构建和扩展EVI、LISP主机Overlay：虚拟设备（vDevice）作为Overlay网络的边缘设备利用泛洪或广播机制实现网络构建和扩展单一管理域VXLAN、NVGRE、STT混合Overlay：混合组网，物理设备、虚拟设备作为Overlay网络的边缘设备需要标准化协议才能完成异构设备组网及互通集中式DB或Controller作为控制平面的主要形态5目录Overlay业界发展趋势H3COverlay解决方案6定义VXLAN（VirtualeXtensibleLAN，可扩展虚拟局域网络）是基于IP网络、采用“MACinUDP”封装形式的二层VPN技术。基本术语VTEP-VXLANTunnelEndPoint，VXLAN隧道的起点/终点VNI-VXLANNetworkIdentifier(orVXLANSegmentID)，VXLAN网络IDVXLANGateway–VXLAN网关，在VXLAN和非VXLAN二层网络之间转发流量的实体VXLANIPGateway–VXLAN三层网关，在VXLAN和三层网络之间转发流量的实体基本格式：L2oUDP封装报头开销50字节UDP目的端口为已知端口，源端口可按流分配，标准5元组方式有利于IP网络转发过程中进行负载分担包含24比特VXLANID能够支持16M逻辑二层网络突破4KVLAN限制的关键扩展，映射到本地二层交换域Overlay网络之VXLAN外层MAC头外层IP头外层UDP头VXLAN头原始二层报文标记位RRRRIRRR保留未用（24位）VXLANID（24位）保留未用（8位）7VXLAN网络部署需求VXLAN网络互通的需求VXLAN二层/三层网关传统L2网络中，报文跨VLAN转发，需要借助VLANMapping或者L3设备来完成不同VLAN之间的互通问题，VXLAN网络同样需要解决①VXLAN和VLAN之间如何互通，这个是解决VXLAN虚拟网络和传统物理网络之间如何通信的问题②VXLAN和VXLAN之间如何互通，这个是解决VXLAN网络内部不同租户如何互通的问题VXLANL2GatewayVXLANVLANVLAN100VXLAN10VXLANL3GatewayVXLANVXLANVXLAN20VXLAN10VXLANIDVLANID10100VXLANIDVXLANID1020VXLAN二层网关：最简单的实现应该是一个Bridge设备仅仅完成VXLAN到VLAN的转换，包含VXLAN到VLAN的1：1、1：N转换实体形态可以是vSwitch、TOR交换机VXLAN三层网关：实现可以是一个Router设备，支持跨VXLAN三层转发实体形态可以是vRouter、TOR交换机、路由器8VXLAN组网一期松散控制VXLAN数据中心内组网VXLANVTEPVXLANIPGWBorder集中式网关－单设备•网关部署在核心，Vtep部署在接入，Border部署VXLAN•接入和核心之间通过ENDP和ISIS完成隧道建立和主机路由同步•接入和接入之间通过ENDP和ISIS完成隧道建立和MAC地址同步•核心和Border通过默认路由互通•支持125－x和98做网关•支持68、98做Vtep，普通PC和刀片接入•支持68做普通接入交换机•适合中小规模组网集中式网关-网关组•网关部署在核心，Vtep部署在接入,Border部署VXLAN•接入和所有核心之间通过ENDP和ISIS完成隧道建立和主机路由同步•接入和接入之间通过ENDP和ISIS完成隧道建立和MAC地址同步•核心和Border通过默认路由互通•网关VSI虚接口IP地址和MAC相同•网关VTEPIP地址相同•支持125－x和98做网关•支持68、98做Vtep,普通PC和刀片接入•适合中大规模组网125－x125－xVxlan隧道Server398006800Server16800Server2WANBorder125－x125－xVxlan隧道Server398006800Server16800Server2WANBorder9VXLAN组网一期松散控制vxlan跨中心组网松散vxlan部署在两个中心通过vxlan互通•中心A和中心B通过松散vxlan互通•125－A和125－B把本中心的主机路由通过ISIS同步给对端•125－A的主机路由通过ISIS同步给本中心邻居68•125－B的主机路由通过ISIS同步给本中心邻居68•网关VSI虚接口IP地址和MAC相同•网关VTEPIP地址相同•支持125－x和98做网关，支持68、98做Vtep•支持68做普通接入交换机,普通PC和刀片接入分布式网关•网关部署在Leaf，所有网关IP/MAC相同，Border部署VXLAN•Leaf节点同时承担L2/3转发，通过arp代理方式完成•Leaf之间通过ENDP和ISIS完成隧道建立和主机路由同步•98和Border通过默认路由互通•支持125－x和98做网关,普通PC和刀片接入•适合中大规模组网Server298009800Server1125－x125－xVxlan隧道Server368006800Server1125－B125－A中心A中心BISIS同步6800Server2Vxlan隧道松散控制VXLAN数据中心内组网WANBorderVXLANVTEPVXLANIPGWBorder10VXLAN网络构建VxLAN控制平面实现方案：路由协议扩展模式隧道建立：基于ENDP邻居发现协议，自动发现VXLAN网络中的VTEP，并在各VTEP之间自动创建VXLAN隧道地址同步：利用ISIS自动关联VXLAN隧道和VXLAN、VXLANMAC地址同步、主机路由同步三个功能通过实现ARP代答完成分布式网关功能IS-IS控制平面方案：Core设备实现VXLAN邻居发现协议ENDP的ENDS角色ToR设备实现VXLAN邻居发现协议ENDP的ENDC角色ISIS邻居协商、LSP更新都在VXLAN隧道中传输IS-IS扩展报文完成MAC地址发布和回收IS-IS扩展报文完成主机路由地址发布和回收CoreCoreAggAggLeafLeafLeafLeafVXLANNetwork控制面ISIS地址同步ENDPVXLANVTEPVXLANGWVXLANIPGW11VXLAN网络构建VxLAN控制平面实现方案：路由协议扩展模式隧道建立：基于ENDP邻居发现协议，自动发现VXLAN网络中的VTEP，并在各VTEP之间自动创建VXLAN隧道IS-IS控制平面方案：Core设备实现VXLAN邻居发现协议ENDP的ENDS角色ToR设备实现VXLAN邻居发现协议ENDP的ENDC角色ENDC向ENDS发起注册(携带自身IP/站点标识)ENDS发送应答，包含所有ENDC信息ENDS/ENDC建立VXLAN隧道ISIS邻居协商、LSP更新都在VXLAN隧道中传输ENDSENDSAggAggENDCENDCENDCENDCVXLANNetwork控制面－隧道自动建立ENDC注册ENDS应答VXLANVTEPVXLANGWVXLANIPGW12VXLAN网络构建VxLAN控制平面实现方案：路由协议扩展模式基于IS-IS的控制平面配置ENDP中的ENDS（建议配置在Core）、ENDC（所有VTEP），在各VTEP之间自动创建VXLAN隧道利用IS-IS自动关联VXLAN隧道和VXLAN，完成MAC地址同步MAC地址回收过程与发布过程类似，MAC地址老化删除后发ISIS的消息通知其他站点删除CoreCoreAggAggServerServerAccessVTEPBVTEPADCIHypervisorvSwitchVMVMVMSR-IOVAdptVXLANNetwork①ENDC向ENDS发起注册（携带VTEPIP）ENDS发送应答，包含所有ENDC信息ENDS/ENDC建立VxLAN控制通道VTEPIP:1.1.1.1VTEPIP:1.1.1.2②ToR设备作为VxLANVTEP，学习到VM的MAC地址通过IS-IS扩展协议向各邻接VTEP通告MAC③VTEP-B接收到IS-IS报文，学习到VM的MAC、VTEPA的IP地址（1.1.1.1）④VTEP-B学习到Server的MAC，并通过IS-IS扩展协议通告MAC表项VTEP-A接收到IS-IS报文，学习到Server的MAC、VTEP-B的IP地址（1.1.1.2）SourceMACRemoteVTEPIPVMmac1.1.1.1VTEP-BMACTableSourceMACRemoteVTEPIPServermac1.1.1.2VTEP-AMACTable控制面－MAC地址同步VXLANVTEPVXLANGWVXLANIPGW13VXLAN网络构建VxLAN控制平面实现方案：路由协议扩展模式基于IS-IS的控制平面实现－网关组配置ENDP中的ENDS（建议配置在Core）、ENDC（所有VTEP），在各VTEP之间自动创建VXLAN隧道网关VSI虚接口IP地址和MAC相同网关VTEPIP地址相同VTEP会和每个Core建立一个地址同步的隧道，把主机路由通过ISIS分别同步到所有CoreCoreCoreAggAggServer2Server4AccessAccessVTEPBVTEPADCIVXLANNetwork①ENDC向ENDS发起注册（携带VTEPIP）ENDS发送应答，包含所有ENDC信息ENDS/ENDC建立VxLAN控制通道VTEPIP:1.1.1.1VTEPIP:1.1.1.2②ToR设备作为VxLANVTEP，学习到VM的MAC地址和IP地址通过IS-IS扩展协议向所有Core通告IP地址表项SourceIPRemoteVTEPIPServer1IP1.1.1.1Server2IP1.1.1.2CoreTable控制面－主机路由同步Server1Server3VXLANVTEPVXLANGWVXLANIPGW③Core接收到IS-IS报文，学习到VM的IP、VTEPA的IP地址（1.1.1.1）14VXLAN网络构建VxLAN控制平面实现方案：路由协议扩展模式基于IS-IS的控制平面配置ENDP中的ENDS、ENDC，在各VTEP之间自动创建VXLAN隧道利用IS-IS自动关联VXLAN隧道和VXLAN，完成主