H3C-SDN项目实施分享
H3C-SDN校园网解决方案
Think:
是否有更简单的业务隔离技术?
6
安全有序的校园离我们还有多远?
如何基于角色进行管控?
位置变更如何策略跟随?
行为 审计
角色 管控
策略 部署
策略 跟随
如何高效进行行为审计?
如何高效进行策略部署?
校园网之庞大、复杂超过一般园区网,而 校园信息化处一般人手不足,增加安全管 控,无疑会带来更多工作量,许多学校网 络在提供互联互通之余,安全性考虑和建 设不足已经成为常态
10.10.10.50
用户移动,隔离通道也跟随,体验不变。即使跨校区移动,也可实现策略跟随
13
架构亮点2:有线无线深度融合架构
控制流量 数据流量
POE
POE
p AP集中/本地转发,AC只负责针对AP的控制报文
AC
p 通过无线承载网络位址分离,保障无线终端的跨三层漫游
CAPWAP解封
POE
POE
CAPWAP封装
• 无线用户漫游
• BYOD办公…
• 二级学院跨校区搬迁…
人
• 任意位置部署的监控探头…
动
Think:
网 调
网络能否也动起来?
校区A 学校某学院楼搬迁调整
传统校园网架构下,伴随着用户 的移动,一切网络配置都会随着位置 的改变而相应调整。网络受限位置僵 化的特点在移动性愈发明显的当今校 园变的愈发明显……
架构亮点1:位置无关,网随人动的架构
校区一
WAN
校区二
Director
VxLAN10 10.10.10.1
VxLAN10 10.10.10.1
VxLAN10 VxLAN Fabric
10.10.10.1
SDN网络实施方案
SDN网络实施方案随着云计算、大数据和物联网等新兴技术的快速发展,传统网络架构已经无法满足日益增长的网络流量和对网络灵活性的需求。
软件定义网络(SDN)作为一种新型的网络架构,通过将网络的控制平面与数据平面分离,实现了网络的集中管理和灵活配置,为网络的实施和管理带来了全新的思路和方法。
SDN网络实施方案的核心是SDN控制器,它是整个SDN网络的大脑,负责集中管理和控制整个网络的行为。
在实施SDN网络时,首先需要选择合适的SDN控制器,常见的有OpenDaylight、ONOS、Floodlight等开源控制器,以及Cisco、VMware等厂商提供的商业控制器。
在选择控制器时,需根据实际网络规模、应用场景和厂商支持等因素进行综合考虑,确保选择到适合自身网络的控制器。
其次,SDN网络实施还需要考虑数据平面设备的选型和部署。
传统的网络设备如交换机、路由器等需要逐步替换为支持SDN协议的可编程交换机和路由器,以实现与SDN控制器的互联和统一管理。
同时,还需要考虑数据平面设备的部署位置和网络拓扑结构,合理规划网络架构,确保SDN网络的高可用性和可扩展性。
此外,SDN网络实施还需要考虑网络安全、性能优化和运维管理等方面的问题。
网络安全是SDN网络实施中需要重点关注的问题,通过对SDN控制器和数据平面设备进行安全加固和流量监测,以及制定完善的安全策略和应急预案,确保SDN网络的安全可靠。
同时,还需要对SDN网络进行性能优化,通过合理规划网络流量、部署负载均衡和缓存等技术手段,提高网络的传输效率和响应速度。
在运维管理方面,需要建立完善的监控和管理系统,实时监测网络运行状态和性能指标,及时发现和解决网络故障,确保SDN网络的稳定运行。
综上所述,SDN网络实施是一个系统工程,需要全面考虑网络设备选型、网络架构规划、安全性能优化和运维管理等方面的问题。
只有在充分理解SDN网络的原理和特点的基础上,结合实际网络需求,才能制定出科学合理的SDN网络实施方案,为企业和组织构建高效灵活的网络基础设施。
华三通信关于SDN的思考与实践
● 标准化技术实现 ● 周期长 ● 相对封闭
今天所面对的网络技术新趋势
VXLAN
NVGRE STT
SDN
Software
Defined
Networking
NV
NFV
OpenFlow NFV ISG
SDN/OpenFlow典型架构
控制功能 网络协议 网络硬件
传统网络设备
集中化 标准化
应用
开放API
REST API
网络
控制层
资源
管理
Restful
Classical Network Controller
故障
配置
性能
引擎
MDP
引擎
引擎
虚拟化 拓扑 ACL QoS VLAN VPN FCoE FW
LB EVB Route MDC BW
大型企业
VCF
MDC
物理设备层
企业分支
SNMP/CLI/NetConf/PB/TR069/ Radius/Http/802.11abg/
Flow Meter Group SDNM VD MPU FWD I/O
Openflow
OpenFlow网络
http/Restful
NFV网络
LB
FW
VPN
SSL
VD设备
X86 hardware
Compute Unit
华三 VCF 可定义开放体系
政企客户、高校等
开放API
H3C资源管理平台iMC v7
网络 控制层
SDNM • OF资源管理
• Flow Entry管理
VCFC
OF协议交付
• Flow Entry、Flow Table • Meter/Band •Group/Bucket
h3c sdn解决方案园区
h3c sdn解决方案园区在现代信息时代,园区已经成为了企业进行生产与交流的重要场所。
然而,传统的园区网络架构面临着许多问题,如网络拓扑复杂、管理困难、安全性低等。
为了解决这些问题,H3C公司开发了一种基于SDN(软件定义网络)的园区解决方案,为企业提供了更高效、更安全、更稳定的网络环境。
H3C SDN解决方案基于"控制与数据分离"的设计理念,将网络控制平面与数据转发平面分开,使得网络的管理和配置更加灵活高效。
下面将从网络拓扑优化、资源管理与调度、安全性与可靠性、简化管理等方面阐述H3C SDN解决方案的优势。
首先,H3C SDN解决方案可以对园区网络拓扑进行优化。
传统的园区网络拓扑复杂,节点众多,管理难度大。
通过H3C SDN解决方案,可以实现网络设备的集中管理和控制。
管理员可以通过SDN控制器对网络设备进行集中配置和管理,简化了网络的维护和故障排查过程。
同时,SDN解决方案支持动态路由的调整,可以根据不同应用的需求自动调整网络拓扑,提升网络的传输性能和带宽利用率。
其次,H3C SDN解决方案可以实现对园区网络资源的灵活管理与调度。
通过SDN控制器的应用编程接口(API),管理员可以根据实时的业务需求对网络资源进行动态调度和管理。
例如,根据企业生产规模的变化,可以实现对网络带宽的动态分配和调整,确保每个业务流量都能得到充分的保障。
此外,SDN解决方案还支持网络功能的虚拟化,可以根据不同应用的需求灵活配置网络功能,提高了网络资源的利用效率。
第三,H3C SDN解决方案提供了更高的网络安全性与可靠性。
在传统的网络架构中,网络安全性常常面临挑战,例如,黑客攻击、病毒感染等。
通过SDN的中心控制器,可以对园区内的网络流量进行实时监控和管控,减少了网络入侵的风险。
同时,SDN解决方案支持流量的隔离和分流,可以将敏感数据和普通数据分开进行传输,提高了网络的安全性。
此外,SDN的冗余功能也能够提供更高的网络可靠性和容错性,当某个网络节点出现故障时,可以通过SDN控制器自动调整网络拓扑,保证业务的连续性。
h3csdn解决方案
锐捷网络 SDN战略 ...................................................................................................... 38
选择ENP 选择以后 .............................................................................................................. 17
5 华为敏捷互换机:理念的创新与回归 .................................................................................... 18
传统网络厂商SDN解决方案分析 ....................................................................................... 31
思科SDN架构—ACI ..................................................................................................... 31
7 XX年开放网络峰会:值得关注的6个SDN解决方案 ....................................................... 43
H3C SDN数据中心解决方案(详细版)
H3C SDN 数据中心解决方案(详细版)目录第1章H3C数据中心解决方案概述 (5)1.1数据中心演进节奏 (5)1.2 H3C数据中心解决方案架构组成 (6)1.3 H3C数据中心解决方案特点 (7)1.3.1新IT业务平面和运维平面无缝融合,支撑面向应用的自动化 (7)1.3.2开放、自动化、可编程的下一代网络架构,适用多种典型场景 (7)1.3.3完整的软件定义网络模型SDN+,助力用户自描述网络 (8)第2章H3C SDN方案关键特性 (12)2.1组网模型 (12)2.1.1 EVPN分布式网关组网 (12)2.1.2多Border组网 (17)2.2 Underlay自动化 (18)2.2.1 Fabric规划 (18)2.2.2自动配置 (19)2.2.3可视化部署 (19)2.2.4资源纳管 (20)2.3 Overlay自动化–对接OpenStack (20)2.3.1支持OpenStack VLAN网络 (21)2.3.2层次化端口绑定 (23)2.3.3支持OpenStack VxLAN网络 (25)2.4 Overlay自动化–独立Fabric场景 (27)2.4.1软件定义网络模型 (27)2.4.2 Overlay配置下发到设备 (28)2.4.3 Fabric接入 (28)第3章H3C SDN方案典型组网 (29)3.1 Leaf Border (29)3.2 Spine Border (31)H3C SDN数据中心解决方案关键词:EVPN、VXLAN、Fabric、Underlay、Overlay、自动化摘要:本文档阐述了H3C数据中心解决方案的架构和特点,并针对H3C SDN解决方案,重点介绍了其关键特性和典型组网。
缩略语清单:第1章H3C数据中心解决方案概述1.1 数据中心演进节奏DC1.0是传统数据中心所采用模块化、层次化的建设模式,针对不同类型及批次的业务进行分区分期建设。
h3c sdn方案
H3C SDN方案简介H3C SDN(Software-Defined Networking)方案是一种网络架构,旨在通过将网络控制平面和数据平面分离,实现网络的智能、灵活和可编程。
H3C SDN方案采用了开放的标准和协议,为企业提供了灵活、可扩展和可定制的网络架构。
关键特性H3C SDN方案具有以下关键特性:1. 网络虚拟化H3C SDN方案可以将物理网络划分为多个虚拟网络,实现网络资源的共享和隔离。
每个虚拟网络可以拥有自己的拓扑结构、路由策略和安全策略,从而满足不同部门或应用的需求。
2. 中央控制H3C SDN方案采用中央控制器的方式,通过集中管理和控制网络设备。
中央控制器可以对整个网络进行配置、监控和管理,提高运维效率和网络可靠性。
3. 智能路由H3C SDN方案支持智能路由功能,通过动态获取网络拓扑和流量信息,实现智能化的数据包转发和负载均衡。
智能路由可以根据实际网络情况进行动态调整,提高网络性能和可靠性。
4. 安全策略H3C SDN方案提供了多种安全策略,可以根据网络流量进行入侵检测和防御。
通过实时监控网络流量和应用行为,可以快速发现和应对潜在的安全威胁。
5. 应用可视化H3C SDN方案支持应用可视化功能,可以通过图形界面展示网络拓扑、流量状态和设备配置等信息。
应用可视化可以帮助管理员更直观地了解网络运行状态,快速定位和解决问题。
架构设计H3C SDN方案的架构设计分为三层:应用层、控制层和数据层。
每一层都具有不同的功能和特点。
1. 应用层应用层是H3C SDN方案的最上层,主要负责提供网络应用和服务。
应用层可以根据具体需求,开发和部署各种网络应用,如视频会议、云计算等。
应用层可以与控制层通过API进行交互,实现网络的可编程和自动化管理。
2. 控制层控制层是H3C SDN方案的核心,主要负责网络的管理和控制。
控制层包括中央控制器和网络应用控制器(Application Controller)。
H3C SDN解决方案(互联网行业)
3rd Cloud
VCF Director 3rd APP
Rest ful API
Java API
VCF Controller 集群
控制面
标准RFC7432 MP-BGP EVPN 标准RFC7348 VxLAN
硬件 交换机
Openflow、NETCONF、OVSDB、SNMP、Telnet…
软件 交换机
H3C SDN解决方案(互联网)
H3C ADDC解决方案
AD-DC解决方案架构
采用SDN理念,以开放为基础,构建下一代数据中心网络
以VCF Fabric为基础架构,面向两个管理平面,可对接任何云平台
业务交付平面
H3Cloud OS
Iaas
Paas
(OpenStack Base、 3rd云平台) Kubernetes、Openshift
管理运维平面
H3C Fabric Director
H3C Data Center 基础设施管理平台
可视化
数据中心 A Leaf
自动化
Overlay
传统DC对接
VCF Controller
软件定义
智能化
Spine
数据中心 B
Border
EVI 2.0
Border
支撑Iaas层网络自动化部署
分布式
EVPN
3 多Border :Spine+Border
R
R
Fabric S/BS/BLLL
L
Spine、Border合一 支持多Border等价/非等价模式 Border出口路由协议:BGP、OSPF Leaf可独立扩展
Underlay网络自动化
Fabric规划 自动配置 可视化部署 资源纳管
H3C SDN(ADDC解决方案)技术交流 PPT
SDN:以软件应用定义网络
VXLAN NVGRE STT
定义:网络虚拟化,也称 Overlay网络,对物理网络进 行隧道叠加,逻辑划分成虚拟 网络分片,满足基于租户的个 性化需求
SDN
新网络技术
NV
NFV
OpenFlow 定义:软件定义网络,控制与转 发分离,网络控制集中化, Openflow是SDN典型协议之一
HS2015-1-061H0S2015-1-20061069103051321.0X15110一0种55路43由.3建立方法一法及一种、装种虚业置IP拟务数网数据络据包功转的能换处V方理N方F设法2备0和1的装6创-置5建-10 2015-12-28
HS2015-1-0585
201610080429.5
方法及装置
2016-2-5
8
H3C SDN云网络架构
OpenStack云平台
云计算
需要
SDN
自动化部署 / 智能管理运维
Controller
采用
大二层
Overlay
L4-7
NFV
9
ADDC解决方案是什么
Application Driven Data Center (ADDC)
H3C利用SDN技术,以客户应用视角出发而推出的
二. 集中控制和管理
业务网络策略集中配置,网络资源统一调度,利用软件(SDN控制器)实现对大规模整网设备的集中控制和管理: 自动、简捷 灵活、动态扩展 丰富的管理控制策略 个性化的网络控制 精细化运维
三. 开放的标准接口
北向接口 - RestFul接口 南向接口 - OpenFlow / Netconf /OVSDB …
5
H3C SDN定位: 务实派的SDN
H3C SDN汇报
1
10
ONF
Extensibility工作组
发布时间 2009年12月 2011年2月 2011年10月 版本号 OpenFlow V1.0 OpenFlow V1.1 OpenFlow V1.2 第一个可商用化的OpenFlow标准。 增加了多个交换表、群组、虚拟端口以及对MPLS、VLAN、QinQ的支持等特性。 支持IPv6报头各字段的识别,并提供了可扩展的匹配支持以及更大的灵活性。 增加了重构能力协商、 IPv6 扩展头支持、基于流的度量、基于连接的过滤、 PBB标签的支持以及更灵活的交换处理等特性。 提升了版本协商的能力,修改了之前版本的一些错误。 特点
Controller 平台厂商, APP开发者, 生态圈系统 开始形成
2
SDN的融合趋势
北向融合入openstack等云 系统
NFV
SDN
Openflow NETCONF
与上层应用融合,提供随应 用而动的网络 融合NFV,增强OF L4~L7 能力,并为NFV提供 Service-Chain 南向融合NETCONF,加强 设备资源管理能力
虚拟路由器
虚拟交换机
虚拟机
IMC
4 2 3
5
支持公有云的租户自助服务应用场景 通过在物理交换机,物理网关和物理防火墙/LB上下发OF流表 和命令行规则,能够实现:
L3网关 L3网关
VCF CONTROLLER
3
租户之间的二三层隔离 租户虚拟二层网络、虚拟路由器、虚拟防火墙/LB的创建和下 发,支持前置服务器的负载均衡
OpenStack OPEN vSwitch
APP VM APP VM
物理主机
物理主机
H3C SDN XX城域网解决方案
• 控制器具备全局视角,从 更高的层次看整个网络, 收集整网拓扑结构、流量 等信息
控制平面
转发平面
简单的讲:SD N 网 络 比 传 统 网 络 多 了 一 位 “A I ” 网 络 管 理 员
Apps
AI网管-SDN控制器
运维诊断APP 网络编排APP
维护1套配置,维护“三台”设备即维护了全网设备
全网设备自动化部署
DHCP
TFTP
SDN控制器
参数设置
三份配置
Spine
Leaf
AC
AP
Access
自动化部署—网络动态扩展
XX 运营商
SDN+Overlay
SDN控制区
XX园
X学
X学
新建中学
在SDN架构下,如果新建了一所中学,新建的这所中学网络设备上线时,设备不需要做任何配置, 只需要将设备连接到XX的SDN控制器上,所有配置都会自动下发,从而实现网络动态扩展
SDN控制器对所有网络设备集中编排及控 制,构建灵活的业务系统
SDN控制器通过业务或控制APP自动将逻 辑对象映射到物理网络,并调用API下发到 实体设备,最终完成配置部署
SDNXX域网网络层设计- Overlay
VSI/Vxlan 10 VSI/Vxlan 20
VSI/Vxlan 10 VSI/Vxlan 20
三通两平台建设要求
宽带网络校校通
全区教师、学生账号 统一认证、统一管理
有线无线网络统一融 合
优质资源班班通
视频类应用的规模使 用及高效共享
有限网络带宽条件下, 业务效果保障
网络空间人人通
满足多种接入环境需求 一套帐号同时访问教育
H3C数据中心SDN解决方案
1
数据中心网络变革的驱动力
2
H3C数据中心SDN解决方案
3
数据中心SDN在市场的成功案例
云资源池:三朵云大区集中化建设
H3C网络重点业务:全面参与三朵云网络建设
业务网 支撑网
私有云
BSS/OSS/MSS
核心网
IMS控制面
基础通信业务平台
VoLTE SBC NFVO/SDNO
5. 支持纳管XXFW、LB安全产品,支持纳管F5 负载均衡。
网络overlay业务流量模型
Cloud(OpenStack)
RESTful SNA Center
Seer Engine
Netconf
Fabric
Openflow
Leaf
Leaf
Overlay
1
Leaf
RR
2
Service Leaf
VM VM VM VM
私有云
公有云
外部政企业务
EPC控制面
物联网专网
PCRF
SDN 控制器
统一用户数据中心
网络云
固网 SBC
GW-U
UPF接入网Fra bibliotek2G/4G/5G/NB-IOT/eMTC
MEC
CDN边缘
集团客户
家庭客户
数据中心挑战
资源紧耦合
部署效率低下
网络运维难度高
可靠性低
传统数据中心组网分层 不明显,资源紧耦合, 网络资源无法解耦。无 法做到资源池化、按需
分配
传统数据中心部署效率 低下。新的规模性的业 务增长急需业务的快速
上线和部署。
DC内网络冗余度高业务 种类繁多流量模型复杂 一旦出现问题排查工作
H3C SDN解决方案设计
SDN解决方案架构
采用SDN理念,以开放为基础,构建下一代数据中心网络
以VCF Fabric为基础架构,面向两个管理平面,可对接任何云平台
业务交付平面
H3Cloud OS
Iaas
Paas
(OpenStack Base、 3rd云平台) Kubernetes、Openshift
管理运维平面
H3C Fabric Director
H3C Data Center 基础设施管理平台
可视化
数据中心 A Leaf
自动化
Overlay
传统DC对接
VCF Controller
软件定义
智能化
Spine
数据中心 B
Border
EVI 2.0
Border
支撑Iaas层网络自动化部署
分布式
EVPN
Network Orchestrator
Spine Leaf
私有/ 共有 Cloud
“开放”为基石
基于SDN理念,从设备、接口、协议、技术方向等维度,遵循开放的原则,构建敏捷、安全、 洞察、自动的新一代数据中心网络。
CAS、 KVM、VMware、Xen、Hyper-V… OpenStack
H3Cloud
Neutron SuperController
VCFC
VCFC
第三方
Fabric 1 Fabric 2
Fabric N
Neutron
VCFC
GSLB SLB
Fabric 1
Neutron
VCFC
GSLB SLB
Fabric 2
柔性网络:出口可扩展
1 EVPN分布式网关组网
h3c sdn解决方案园区
h3c sdn解决方案园区
《H3C SDN解决方案在园区的应用》
随着物联网和人工智能等新兴技术的迅速发展,园区管理面临着越来越多的挑战。
为了应对这些挑战,H3C推出了一套基
于软件定义网络(SDN)的解决方案,为园区提供了高效的
网络管理和安全保障。
H3C的SDN解决方案通过对网络进行虚拟化和集中化管理,
实现了整个园区网络的灵活性和可操作性。
通过SDN的控制器,园区管理者可以实现对网络设备的统一管理和配置,从而大大减少了管理成本和人工成本。
此外,SDN还能够实现网
络流量的智能路由和负载均衡,提高了网络的整体性能和稳定性。
除了网络管理,H3C的SDN解决方案还能够提供全面的安全
防护。
通过智能的入侵检测和防火墙功能,SDN可以实时监
控园区网络的安全状态,并对网络攻击进行快速应对。
同时,SDN还能够对网络流量进行动态隔离和安全监控,确保园区
的数据安全和隐私保护。
总的来说,H3C的SDN解决方案为园区管理提供了一种高效、灵活和安全的网络管理方式,帮助园区管理者更好地应对日益复杂的网络环境和安全威胁。
随着技术的不断创新和发展,相信SDN解决方案将会在园区管理中扮演越来越重要的角色。
h3c sdn 方案
H3C SDN 方案引言H3C SDN(Software-Defined Networking)方案是基于软件定义网络技术的网络架构解决方案。
SDN技术通过将网络控制平面和数据平面分离,实现网络管理的集中化和自动化,从而提高网络的灵活性、可扩展性和可管理性。
本文将介绍H3C SDN方案的主要特点、架构、主要组成部分以及应用场景。
特点H3C SDN方案具有以下特点:1.灵活性: H3C SDN方案基于开放标准,使组织可以根据其特定的需求和业务场景灵活地设计和定制网络策略,而无需受限于传统网络的限制。
2.集中化管理: H3C SDN方案通过将控制平面集中管理,提供集中化的网络管理和监控,以提高网络的可管理性和运维效率。
3.自动化: H3C SDN方案支持自动化配置和部署,通过集中化的控制平面,可以实现自动化的网络服务提供和端到端的网络策略传输。
4.安全性: H3C SDN方案提供安全的网络隔离和访问控制策略,以确保网络中的数据和通信的安全性。
架构H3C SDN方案的架构主要由以下几个组件组成:1.SDN控制器: SDN控制器是H3C SDN方案的核心组件,负责集中化的网络管理和控制。
它通过与交换机和其他网络设备进行通信,动态地配置和管理网络策略、路由表和流量控制。
2.SDN交换机: SDN交换机是支持SDN技术的网络交换机设备。
它与SDN控制器进行通信,并根据控制器的指示动态地调整流量转发和路由。
3.SDN应用: SDN应用是在SDN控制器上运行的应用程序,用于实现特定的网络功能和服务。
例如,流量监控、带宽管理和安全策略等。
4.北向接口: 北向接口是SDN控制器与上层应用程序或管理系统进行通信的接口。
通过北向接口,SDN控制器可以与网络管理系统、云平台和其他第三方应用程序集成。
5.南向接口: 南向接口是SDN控制器与SDN交换机进行通信的接口。
它使用开放的网络协议,如OpenFlow,进行通信和控制。
H3C SDN解决方案
2020年云化IT市场份额近50%
IDC: Worldwide Cloud IT Infrastructure Market Forecast
32% 67%
37% 63%
40% 60%
44% 56%
46% 54%
48% 52%
2015
2016
2017 2018 Traditional IT
2019 2020 Cloud IT
业务上线急迫
市场竞争致使业务生命周期缩短 对上线时间提出更高的要求
流量走向变化
80%
20%
大部分的信息处理都需要在DC内 部解决,东西流量占80%
业务分散部署
业务多DC双活 业务分散部署 提升可靠性、资源最大化利用
网络策略快速放通
网络架构上需要具备 实时响应业务变化的能力
网络通道快速就位
网络自动化能力急需提升
Martin Casado
SDN(软件定义网络)之 父, OpenFlow的发明人, Nicira的 创始人。
Nick McKeown
斯坦福大学教授,斯坦福大 学开放网络中心研究院院长,
Nicira的创始人。
“Software Defined Networking is the future. We are inventing it.”
2016年,中国SDN软件市场(主要指SDN控制器 及相关的软件解决方案与相关服务)规模达到了 7.2亿元,比2015年增长30.9%; SDN以小基数,高增长率快速进入市场;
2016年中国SDN市场占比格局
2016年,作为国产厂商的新华三,占据国内SDN 市场的最大份额; 新华三提供从SDN设备、SDN控制器、SDN业务 编排、SDN应用到SDN管理等全套SDN解决方案;
H3C虚拟园区网解决方案
解决方案的应用场景
01
场景一
中小型企业园区网络建设。H3C虚拟园区网解决方案适用于中小型企业
园区网络建设,能够快速构建起稳定、安全的网络环境,满足企业日常
办公和业务需求。
02
场景二
大型企业分支机构网络建设。对于大型企业而言,H3C虚拟园区网解决
方案可以用于分支机构网络建设,实现总部与分支机构的统一管理和安
全互联。
03
场景三
教育机构网络建设。该解决方案也适用于各类教育机构网络建设,为学
校和培训机构提供稳定、高效的网络服务,促进教育信息化的快速发展。
03
H3C虚拟园区网解决方案实施步骤
需求分析与规划
需求调研
深入了解客户的网络需求,包括园区网覆盖范围、终端数 量、业务应用等。
方案设计
根据需求调研结果,设计满足客户需求的虚拟园区网方案, 包括网络架构、设备选型、IP规划等。
简化网络管理
采用SDN技术,实现集中式网络管理和自动 化配置,降低网络运维成本。
适应业务变化
虚拟园区网解决方案能够快速适应企业业务 变化,支持灵活扩展和快速部署。
02
H3C虚拟园区网解决方案概述
解决方案的架构与组成
架构
H3C虚拟园区网解决方案采用先进的 虚拟化技术,将网络设备进行集中管 理和资源池化,构建起一个虚拟化的 园区网络架构。
AI与大数据的结合
网络安全技术的升级
随着5G和物联网技术的快速发 展,未来H3C虚拟园区网解决 方案将进一步融合5G和物联网 技术,为企业提供更高效、智 能的网络服务。
云计算技术将进一步普及和应 用,H3C虚拟园区网解决方案 将与云计算技术深度融合,为 企业提供更灵活、可扩展的云 服务。
H3C SDN overlay方案交流2
授权: • The number of Virtual CPU (1, 4, 8, 16~64*) • Time (1-year, 3-years, permanent)
AC LB BRAS
路由器
防火墙
IPS
最小资源: 1 vCPU, 1GB RAM, 8GB Disk, 2 vNICs
Overlay 网络
物理网络
物理承载网络
物理网络
Overlay网络
4
当前业界流行的三种Overlay模型
Network Overlay
网络Overlay VCFC
Host Overlay
主机Overlay VCFC
Hybrid Overlay
混合式Overlay VCFC
vDevice
VM VM VM
主机Overlay:
组网: 虚拟设备(vDevice)作为 Overlay网络的边缘设备和网关设备 特点:纯粹由服务器实现Overlay功能, 可能存在转发瓶颈,但对现有网络改动 不大
混合Overlay:
组网:虚拟设备作为Overlay网络的边 缘设备,物理设备作为Overlay网络的 网关设备 特点:融合两种Overlay方案的优点,既 可以发挥硬件GW的转发性能,又尽可
云/网编排系统
对“云”的统一调度和管理部分,实现资源管理、业务编排以及云业务入口 Resource Orchestrator 提供对网络资源、计算资源、存储资源的统一管理 支持端到端的网络、计算、存储统一业务定义、业务编排 Network Manager Cloud Service Manager 支持对网络、计算、存储的统一监控
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.基础环境说明
1.1.网络拓扑
1.2.部署说明:
1、南北向使用F5000和L5000分别作为安全资源和负载资源池,其中防火前资源按照租户进行分
配,负载均衡资源根据租户是否需要进行分配
2、底层Underlay网络使用OSPF构建,每个设备配置两个地址,互联接口使用借用地址技术,修
改OSPF接口网络类型,实现BGP的TCP可达
3、Overlay的BGP分为两级RR,每个机房两台Spine作为本地RR,反射来自核心的路由信息
4、部署分布式网关
5、东西向SC使用H3C的虚拟化平台,CloudOS和CAS系统,CAS包括CVM和CVK,CVK对接到
CVM进行虚拟化平台统一纳管,CloudOS纳管CVM,最后通过VCFC控制器对接CloudOS下发VFW和VLB运行在CVK上面
6、CloudOS以容器化方式不是,全程自动化,先部署K8S,然后部署Openstack
2.准备工作-创建VDS
Note:控制器默认有个VDS1,转发模式是控制器流表转发(即强控模式),本次方案使用的弱控方案,需要重新建立一个VDS2,转发模式使用数据平面自转发,后续使用VDS2即可
3.准备工作-添加物理网元
将所有的leaf节点和border节点加入VCFC控制器。
Note:设备类型需要根据实际情况进行选择包括:
网关设备:可以理解为集中式场景下的spine节点
L2VTEP接入设备:可以理解为集中式场景下的leaf节点
接入设备:分布式场景下的leaf节点
Underlay物理设备:物理网络设备,透传VXLAN数据
边界设备:连接VXLAN外部网络的设备
本次项目Underlay物理设备是spine节点,没有VTEP IP地址,如下
网元增加完成后,登录对应交换机查看配置,多了如下配置
使用命令:display openflow instance 查看openflow相关信息
4.准备工作-添加NFGW资源池
本次项目添加了F5000和L5000两种资源,作为南北向服务资源,已经操作完成
5.准备工作-创建地址池(承载网络->地址池)
5.1.安全外网
Note:F5000和CE连接网段,F5000上产生VFW,为VFW连接CE的接口下发一个地址,配置网关地址为CE侧得接口地址。
5.2.安全内网
Note:承载租户需要进行负载的业务流量网段,是VFW和VLB设备之间的互联地址段
5.3.租户承载网
Note:承载租户流量的网段,主要是VFW和Border设备之间的互联地址段5.4.虚拟设备管理网
Note:为南北向的VFW和VLB下发的管理地址段,网关地址是管理网网关地址
6.准备工作-创建网关组(承载网络->网关组)
Note:网关组成员(配置网关设备类型的网元)、地址池、VLAN池全部选择后,确认按钮才能从灰色变为可用状态。
此时Border状态由Inactive变为active。
工作模式:
服务网关组:一般是在有 vfw vlb 时使用
独立网关组:
点击确定后下发如下配置:
#
openflow instance 1
default table-miss permit
description SDN_INSTANCE_1de3d0b2-7ad1-4fa8-8ad5-15f161594bbe
flow-table mac-ip 0 extensibility 1 extensibility 2
classification global
controller 1 address ip 20.39.3.2 local address ip 20.39.3.22 vrf mgmt controller 2 address ip 20.39.3.3 local address ip 20.39.3.22 vrf mgmt active instance
#
注意:没有创建地址池,无法在租户里绑定网关资源
7.创建租户配置
7.1.创建租户
租户是为了更好的管理网络,按照租户进行网络隔离,每个租户可以通常绑定一个vRouter(即一个三层VNI),也可以绑定多个vRouter(vRouter总数最多不超过16
个,因为使用的南北向防火墙最多可以创建16个VFW),可以根据实际情况进行设置,
一个3层VNI下可以关联多个2层VNI
本次项目使用的租户如下
7.2.为租户绑定网关组
在租户里绑定“网关组”(虚拟网络->租户管理[SXDL_1]->网关资源)
7.3.服务资源创建
针对每个租户可以绑定相关的服务资源,VFW和VLB,后续的虚拟路由器绑定服务资源(南北向),东西向需要根据实际的业务需求进行配置。
Note1:对于南北向的防火墙来说使用的硬件防火墙(F5030)每个租户对应一个VFW,VLB资源需要根据实际业务需求确定是否需要添加
Note2:对于东西向SC的防火墙和负载均衡使用的是软件方式,通过SDN控制器调用CloudOS,由CloudOS调用底层的CAS虚拟化平台,生成VLB和VFW,并且VLB和VFW以IRF模式部署。
Note3:在创建东西向的VFW/VLB的时候,可以采用复用资源的方式进行,但是前提是该租户下是存在VFW/VLB资源的
8.虚拟路由器配置
8.1.创建虚拟路由器
VDS:选择VDS2
Segmet ID:三层VNI
VRF名称:可以自动生成,也可以手动指定,建议手工指定,方便后续查找8.2.虚拟链路层网络配置
如果有同一个虚拟路由器下有新业务上线,重复该步骤操作即可
8.2.1.创建网络
这里添加的是实际的业务地址段,Segment ID表示2层VNI,二层VNI的具体数值和网段的第三个8位对应即可(例如:20.38.32.0/24 2层VNI就是32),创建好的虚拟链路层网络以接口形式和虚拟路由器关联
点击对应的虚拟链路层网络中的子网按钮,创建子网,一个虚拟链路层网络创建一个子网,下图中为了测试,创建了两个子网
8.2.2.绑定接口
这里的绑定接口就是将虚拟链路层网络增加到相应的虚拟路由器VPN实例中,实际就是2层VNI和3层VNI绑定
虚拟路由器绑定接口(虚拟网络->虚拟路由器[二级域]->接口)
绑定完成后Leaf节点生成如下配置,
Note:可以在创建的同一个网络增加多个子网,实际部署的时候一个虚拟链路层网络部署一个子网
8.3.绑定服务资源(南北向)
虚拟路由器绑定服务资源(虚拟网络->虚拟路由器)
注意事项:
➢需要先创建FW、LB才能关联服务资源,才能出外网和进行负载均衡。
➢本步骤只需要一次配置即可
9.配置VLAN-VXLAN映射
配置一个VLAN -VXLAN的映射表,映射关系为一对一映射,例如,VLAN 10 的数据接入Leaf节点后会封装为VXLAN10
Note:这里的VXLAN ID是2层VNI
分为两种情况
第一种业务接入方式:Leaf下联5130交换机,5130交换机需要配置VLAN,并在链接6800交换机的接口配置trunk,允许业务VLAN通过(本次项目6800和5130互联全部使用聚合),物理口只需要加入聚合组即可,配置省略
Leaf节点交换机只需要在接口配置 VTEP acces port 让控制器发现业务口
interface Bridge-Aggregation1
vtep access port
在SDN控制器界面增加AC口,下发业务
后续业务上线后,会触发leaf节点AC口的配置上线
第二种业务接入方式:服务器直接连接在leaf节点,直接在该接口上配置PVID即可
相应的接口产生如下红框中关键配置
10.添加防火墙
1、选择网络服务,防火墙选项
防火墙工作思路和普通硬件墙思路基本一致,防火墙调用策略,策略调用规则,规则里面可以包含对象
2、增加规则
2、增加策略,策略绑定规则
3、增加防火墙,绑定虚拟路由器
Note:防火墙模式共有四种:GATEWAY ;GATEWAY_SERVICE ,SERVICE-CHAIN,PBR- SERVICE-CHAIN
4、测试统计信息
11.东西向SC
本次服务链使用的是VXLAN方案,利用了VXLAN预留字段,填充Path-ID构建服务链。
11.1.创建规则
两个规则,一个放行ICMP(规则名字ICMP),一个拒绝所有TCP(规则名字SSH)
11.2.创建Policy
创建policy,关联规则
11.3.流量特征组
创建流量特征组,即SC的源目
11.4.创建防火墙,
创建防火墙绑定Policy和东西向的VFW资源(VFW资源是在租户下面创建的)
11.5.创建服务链
类型选择PBRFirewall,服务实例就是上一步创建的防火墙
11.6.测试后看统计信息
11.7.相关设备配置
11.7.1.S ervice leaf配置
Service-leaf节点
配置(包括SC配置).l
11.7.2.东西向VFW配置
SC-FW.log
11.7.3.L eaf节点SC相关配置
leaf节点_控制器下
发SC相关配置.txt。