SDN-overlay方案交流

SDNoverlay方案技术交流集团SDNoverlay方案进展SDN市场关键工作：联通“沃云”智慧城市实现SDN销售（非overlay）。电信广州研究院SDNoverlay方案测试及广东电信SDNoverlay试点前期技术交流。电信6省（江浙沪粤川闽）SDNoverlay方案试点，参与广东试点。其他还有vmware、HW和AL。联通集团研究院SDNoverlay两种方案测试。移动集团研究院SDNoverlay测试及技术交流、SDNController招标。移动5省SDN试点（江浙沪赣闽），计划江西移动、福建移动SDNoverlay方案试点。2014年的秋天是一个收获的季节！目录•SDNoverlay方案整体架构•SDNoverlay方案各功能模块•SDN试点方案物理网络Overlay网络VCFSDN网络控制模型物理网络Overlay网络物理承载网络VCFControllerVCFControllerVCFControllerDeviceDeviceDeviceDeviceVTEPVTEPDeviceDeviceL2/L3正常路由由设备层保障Controller只下发定制化路由转发行为由Controller控制设备层转发行为由Controller完全控制Overlay路由由Controller控制Underlay路由由设备层保障转发行为由Controller控制HybridSDNOpenFlowSDNOverlay当前业界流行的三种Overlay模型NetworkOverlay网络OverlayHostOverlay主机OverlayHybridOverlay混合式Overlay物理设备GW物理设备VTEPvDeviceVMVMVMvDeviceVMVMVMVCFC虚拟设备GW虚拟设备VTEPvDeviceVMVMVMVCFC物理设备GW虚拟设备VTEP网络Overlay：组网:路由器或交换机作为Overlay网络的边缘设备和网关设备特点:纯粹由硬件设备实现Overlay功能,转发性能强,但现网设备都不支持VXLAN,需要大批量更换设备主机Overlay：组网:虚拟设备（vDevice）作为Overlay网络的边缘设备和网关设备特点:纯粹由服务器实现Overlay功能,可能存在转发瓶颈,但对现有网络改动不大混合Overlay：组网:虚拟设备作为Overlay网络的边缘设备，物理设备作为Overlay网络的网关设备特点:融合两种Overlay方案的优点,既可以发挥硬件GW的转发性能,又尽可能的减少对于现有网络的改动VCFC的VCF架构同时支持以上三种Overlay模型Overlay解决方案架构S12500-FS12500-FAggAggServerServiceZoneS6800AccessS6800AccessWANHypervisor2013vSwitchVMVMVMHypervisorVMVMVMServiceServiceVxLANFabricServiceServiceVXLANVTEPVXLANGWVXLANIPGWVCFCPlatformVxLANVTEP、GW统一管理业务系统北向接口管理2013vSwitchiMC云平台第三方云平台Overlay解决方案特点：提供开放的北向接口与各种云平台无缝对接由VCF控制器实现集中的控制平面，简化网络管理和控制支持控制器集群部署，保证控制面高可靠性VCF控制器集群可实现虚机之间，虚机与物理机之间互通，最短路径转发基于会话的转发表项构建，消除广播和未知地址报文泛洪高性能物理网关提升转发性能支持硬件与软件形态边缘设备，灵活组网部署SDNOverlay网络重要特点租户1租户N…16M多租户共享网络支持虚拟机灵活迁移设备内迁移跨DC迁移DC内迁移转发优化及表项容量消除了MAC表项学习泛滥ARP等泛洪流量可达范围可控东西向流量无需经过网关基于IP网络构建Fabric无特殊拓扑限制，IP可达即可承载网络和业务网络分离保护用户现有投资充分利用现有IP网络优势组网部署方式多样分布式控制面，集中式控制面数据平面软件，硬件方式高性能硬件Overlay网关支持不同域的互访网络简化和安全极大的弱化广播风暴的影响骨干网络无需大量VLANTrunk虚拟网络支持L2、L3等无需运行LAN协议对接入网络的流量深度安全控制安全策略动态跟随目录•SDNoverlay方案整体架构•SDNoverlay方案各功能模块•SDN试点方案VCFSDN功能示意图ResourceOrchestratorNetworkManagerVCFSDN控制器集群RuntimeTopology/LogicalUnitManagerPhysicalDevicesVirtualDevicesForwardingPolicy/ControlManagerServiceChainAppMultiTenantAppVMMAgentApp计算资源管理系统vDeviceinVMVCFAgentControlPlaneDataPlanePhysicalDeviceVCFAgentControlPlaneDataPlaneCloudServiceManagerMulti-HypervisorManagerVM/Host/StorageManagerResourceandConfigurationVMProfileUser/OperationHA/DRSRESTAPIRESTAPI云/网编排系统ServervSwitchVCFAgentVMVMServervSwitchVCFAgentVMVMServervSwitchVCFAgentVMVM对“云”的统一调度和管理部分，实现资源管理、业务编排以及云业务入口提供对网络资源、计算资源、存储资源的统一管理支持端到端的网络、计算、存储统一业务定义、业务编排支持对网络、计算、存储的统一监控VCFController实现网络控制和服务链控制对下统一控制软硬件网络设备对上提供网络单元抽象，实现虚拟网络和物理网络的统一拓扑呈现与配置支持基于应用的服务功能链定义支持自定义App开发及部署提供北向接口支持管理平台统一调度对计算、存储节点管理和控制对下统一控制VM、Hypervisor、Host软硬件计算设备，以及VM相关的存储管理对上提供计算单元抽象支持和VCFController联动，在VM创建、迁移、删除等时刻通知VCFController提供北向接口支持管理平台统一调度高性能硬件网关资源池S12500F高可靠，高性能硬件网关资源池租户1租户2VirtualL3GatewayvRouter租户N……提供Overlay与传统网络互通的通道支持业务负载分担和设备无缝升级快速故障倒换，电信级收敛速度可编程，虚拟网关按需分配支持基于VNI的流量统计OverlayFabric服务器/VM存储区200K主机路由64K虚拟L3网关4KVRF实例DistributedvSwitch强大的软件网络技术--分布式交换机S12500F分布式虚拟交换机提供虚拟机与外部通信的通道，将虚拟网络和物理网络解耦，关注点在多租户、虚拟机迁移以及云安全等丰富的业务需求，是网络技术发展的重点。OverlayFabric服务器/VM虚拟设备：虚机双向流量监管和统计(CIR/CBS)虚机安全接入(IP/MAC欺骗)全局支持超10万个虚拟端口优化后单机转发性能高达7G支持KVM/XEN/Vmware/Hyper-V等平台虚拟网络最大支持16M多租户虚拟机跨物理三层网络的迁移整网最大转发性能几十T东西向三层流量无需经过网关网络管理控制器集群联合管理单控制控制2000台OVS服务器/VML4-L7业务资源池区基于ComwareV7平台，运行在服务器/虚拟机上，提供和物理设备类似的功能和体验。格式：ISO,OVA,andIPEformats虚拟化平台：VMwarevSphere,LinuxKVM,CAS,CitrixXenServer,MicrosoftHyper-V最小资源:1vCPU,1GBRAM,8GBDisk,2vNICs授权:•ThenumberofVirtualCPU(1,4,8,16~64*)•Time(1-year,3-years,permanent)虚拟网卡类型：E1000,VMXNET3,VirtIO,SR-IOV路由器防火墙IPSACLBBRAS路由器防火墙IPSACLBBRAS对外开放接口：标准接口；支持和OpenStack/CloudStack/iMC对接VCFC系统模块化架构及软件交互模块化设计使得单个模块的异常不会影响系统其他部分，提高了系统的可靠性。可以在无需重新引导的情况下远程安装、启动、升级和卸载应用程序。VCFC控制器采用模块化设计，各模块功能，运行空间，生命周期等相互独立。基于功能的License，使得软件使用更加灵活，避免无关功能的干扰。模块化框架使系统更加开放，便于新功能扩展。可复用性强，每个APP都是独立可复用的。OS(Linux/64bit/3.2kernel)Security&PolicyAPPInfrastructureManagement&APIHostTrackerAPPPhysicalNetworkControlAPPVirtualNetworkControlAPPOVSDB…VRFRouterNetconfPBR…ARPMAC…ACLMeterCounterRedirect…GUIshellFrameworkAPPDeployHAOpenFlowProtocolAuditSystemLog…Java(1.7/64bit)/OSGi(Virgo/Equinox)SystemSupportZookeeperCassandraRabbitMQRESTfulAPIshellFrameworkLicenseAlertDebugJavaAPIFrameworkCLI(Future)FrameworkServiceChain/VPNaaS/ThirdpartyAPP…VCFC高可靠性部署AppVMAppVMAppVMvSwitch1vSwitch2vSwitch3AppVMAppVMAppVMvSwitch1000vSwitch1001vSwitch1002VCFControllerVCFcontrollerRegion10VCFcontrollerVCFcontrollerVCFcontrollerVCFcontrollerRegion2Region1Team主Leader网关网关北向统一IP地址备LeaderVCF控制器集群支持控制器数量的弹性扩展，可以根据网络规模动态伸缩可以将将控制器部署在虚拟化服务器或者物理服务器上集群由Leader控制器在北向提供统一的IP地址与所有上层软件进行交互，所有控制器位于同一二层网络，每个控制器拥有唯一的南向IP集群南向通过划分Region管理网络设备，Region内部的控制器互为备份和负载分担当Region内控制器都发生故障时，集群的Leader会为该Region内的设备选择新的RegionOpenStackiMCThird-partycloud全方位多层次安全保障S12500-FGroupAggAggS68002013vSwitchS68002013vSwitchHypervisorVMVMServiceServiceOverlayFabricVCFCPlatformVxLANVTEP、GW统一管理业务系统北向接口管理云平台业务接入安全MAC-IP防欺骗，未知报文上送控制器转发表项受控生成报文上送控制器限速，避免DOS攻击业务处理层可以部署传统安全设备、NFV形态的安全设备，实现租户内/间互访安全通过虚拟化平台确保租户VM隔离ServerServiceZoneHypervisorVMVMServiceSer