大二层网络技术
TRILL大二层的网络方案
在云计算时代下,数据中心内部一般采用分布式架构处理海量数据存储、挖掘、查询、搜索等相关业务,服务器和服务器之间需要进行大量的协同工作,在服务器之间产生了大量的东西向流量。
其次,数据中心普遍采用虚拟化技术,虚拟化的直接后果是使单位计算密度极大提升,物理服务器吞吐量将比虚拟化之前成数倍提升。
还有为了更大幅度地增大数据中心内业务可靠性、降低IT成本、提高业务部署灵活性、降低运维成本高,需要虚拟机能够在整个数据中心范围内进行动态迁移。
上面这些是云计算时代下的数据中心业务需求,这些需求促进了数据中心网络架构的演进,催生了大二层网络架构的诞生,TRILL便是一种构建数据中心大二层组网的技术。
本文旨在分析云计算时代下数据中心对网络架构的需求,并提出华为基于TRILL的解决方案,帮助用户在建设数据中心网络时,能选择合适的网络解决方案以更好满足云计算业务需求。
云计算时代下数据中心对网络架构要求• 虚拟机任意迁移作为云计算的核心技术之一,服务器虚拟化已经得到越来越广泛的应用。
为了更大幅度地增大数据中心内业务可靠性、降低IT成本、提高业务部署灵活性、降低运维成本高,需要虚拟机能够在整个数据中心范围内进行动态迁移,而不是局限在一个汇聚或接入交换机范围内进行迁移。
传统数据中心一般采用二层+三层组网架构,POD内采用二层组网,POD间通过三层网络进行互联。
VM只能在一个POD内进行迁移,如果需要跨二层区域迁移,需要更改VM 的IP地址,如果没有负载均衡器LoadBalance屏蔽等手段,应用会中断。
在云计算时代,为提升大量闲置服务器的资源利用率,计算虚拟化技术已经逐步在IDC 进行应用。
IDC运营商为了更充分的利用数据中心资源,VM需要更大的迁移范围,可以通过TRILL构建的大二层网络来实现。
• 无阻塞、低延迟数据转发云计算时代下的数据中心流量模型和传统运营商流量模型不同,数据中心中主要是服务器和服务器之间的东西向流量,数据中心网络相当于是服务器之间的总线。
大二层网络----Vxlan技术
⼤⼆层⽹络----Vxlan技术1. ⼆层转发的概念 ⼆层转发即交换机依据mac地址进⾏转发,交换机维护⼀张mac表,接受到报⽂后识别报⽂的⽬的mac地址,然后将数据包转发到mac 表对应的端⼝上。
VxLAN技术⾸先会抽象⼀个overlay平⾯,这个overlay平⾯就等同于⼀个⼆层交换机,其次会定义若⼲VTEP节点,VTEP 节点就相当于⼆层交换机的端⼝,同时维护⼀个vtep节点的mac表,数据报⽂到达vtep节点后,解析⽬的vtep的mac地址,然后将数据包转发到mac 表对应的vtep节点上,与⼆层交换极其类似,因此VxLAN这种在物理平⾯上抽象出的逻辑平⾯⼜被称为⼤⼆层平⾯。
这种技术主要⽤在数据中⼼⾥⾯。
2. 现今数据中⼼⾯临的挑战a、虚拟机规模受⽹络设备表项规格的限制在传统⼆层⽹络环境下,数据报⽂是通过查询MAC地址表进⾏⼆层转发。
服务器虚拟化后,VM的数量⽐原有的物理机发⽣了数量级的增长,伴随⽽来的便是VM⽹卡MAC地址数量的空前增加。
⽽接⼊侧⼆层设备的MAC地址表规格较⼩,⽆法满⾜快速增长的VM数量。
b、⽹络隔离能⼒有限VLAN作为当前主流的⽹络隔离技术,在标准定义中只有12⽐特,因此可⽤的VLAN数量仅4096个。
对于公有云或其它⼤型虚拟化云计算服务这种动辄上万甚⾄更多租户的场景⽽⾔,VLAN的隔离能⼒⽆法满⾜。
c、虚拟机迁移范围受限由于服务器资源等问题(如CPU过⾼,内存不够等),虚拟机迁移已经成为了⼀个常态性业务。
虚拟机迁移是指将虚拟机从⼀个物理机迁移到另⼀个物理机。
为了保证虚拟机迁移过程中业务不中断,则需要保证虚拟机的IP地址、MAC地址等参数保持不变,这就要求虚拟机迁移必须发⽣在⼀个⼆层⽹络中。
⽽传统的⼆层⽹络,将虚拟机迁移限制在了⼀个较⼩的局部范围内。
为了应对传统数据中⼼⽹络对服务器虚拟化技术的限制,VXLAN技术应运⽽⽣,其能够很好的解决上述问题。
3. Vxlan格式及封装格式Vxlan通过将逻辑⽹络中通信的数据帧封装在物理⽹络中进⾏传输,封装和解封装的过程由VTEP节点完成。
扁平化大二层网络架构技术培训
目录
园区网扁平化大二层架构介绍
园区网扁平化大二层架构
BRAS +
认证计费
用户鉴权管理 用户流量转发控制 用户策略管理下发
园区网扁平 化二层架构
有线终端接入 无线终端接入 基本报文抑制等
汇聚+核心 接入设备聚合 高性能转发及基础架构 冗余实现
园区网扁平化大二层组网结构
核心采用BRAS做核心或 BRAS旁挂,结合认证计 费实现用户鉴权管理和业 务转发
接入采用简单网管交换机 即可,用户统一采用 PPPoE方式接入,对于不 适用PPPoE方式的终端采 用DHCP+的方式 接入
园区承载网即可采用以太 网方式,也可采用xPON 方式
无源光网络介绍
典型的PON系统由局侧OLT(光线路终端)、用户侧ONU(光网络单元)以及ODN (光分配网络)组成,“无源”是指ODN中不含有任何有源电子器件及电子电源, 全部由光纤和分光器等无源光器件组成
VEPA优势 • 网络与计算界面清晰 • 更好的控制虚拟机之间的流量 • 配置简单、性能大幅提升
L2 Over GRE云间互联
L3 L3
ThaTWORKS LIMITED
谢谢!Thanks
客户需要什么样的网络
运维够简单 双活高性能 架构可演进
简运维.精细化 双归双活无阻塞
采用扁平化二层架构,释放接 入运维量,用户管理及流量转 发统一采用BARS控制,实现 精细化和集中化
核心采用虚拟化技术,结合链 路聚合实现全网双归双活架构, 高性能、高效能、高智能
架构广适可演进
可同时支持扁平化、大三层共 架构,亦能适应数据中心网络 的虚拟化支持需求
Intel
Adapter Fault
大二层需要网络数据中心虚拟化(下)篇
隧道技术的代表是TRILL、SPB,都是通过借用IS-IS路由协议的计算和转发模式,实现二层网络的大规模扩展。这些技术的特点是可以构建比虚拟交换机技术更大的超大规模二层网络(应用于大规模集群计算),但尚未完全成熟,目前正在标准化过程中。同时传统交换机不仅需要软件升级,还需要硬件支持。
2. 跨数据中心
L2oL3技术也有许多种,例如传统的VPLS(MPLS L2VPN)技术,以及新兴的Cisco OTV、H3C EVI技术,都是借助隧道的方式,将二层数据报文封装在三层报文中,跨越中间的三层网络,实现两地二层数据的互通。这种隧道就像一个虚拟的桥,将多个数据中心的二层网络贯穿在一起。
另外,也有部分虚拟化和软件厂商提出了软件的L2 over L3技术解决方案。例如VMware的VXLAN、微软的NVGRE,在虚拟化层的vSwitch中将二层数据封装在UDP、GRE报文中,在物理网络拓扑上构建一层虚拟化网络层,从而摆脱对网络设备层的二层、三层限制。这些技术由于性能、扩展性等问题,也没有得到广泛的使用。
二、 大二层需要有多大
既然二层网络规模需要扩大,那么大到什么程度合适?这取决于应用场景和技术选择。
1. 数据中心内
大二层首先需要解决的是数据中心内部的网络扩展问题,通过大规模二层网络和VLAN延伸,实现虚拟机在数据中心内部的大范围迁移。由于数据中心内的大二层网络都要覆盖多个接入交换机和核心交换机,主要有以下两类技术。
大二层网络技术
大二层网络技术背景及主要技术方向一、为什么需要大二层传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵贯式大流量,同时使网络管理员能够对流量流进行管理。
工程师在这些架构中采用生成树协议(STP)来优化客户端到服务器的路径和支持连接冗余,通常将二层网络的范围限制在网络接入层以下,避免出现大范围的二层广播域;?虚拟化从根本上改变了数据中心网络架构的需求,既虚拟化引入了虚拟机动态迁移技术。
从而要求网络支持大范围的二层域。
从根本上改变了传统三层网络统治数据中心网络的局面。
具体的来说,虚拟化技术的一项伴生技术—虚拟机动态迁移(如VMware的VMotion)在数据中心得到了广泛的应用,虚拟机迁移要求虚拟机迁移前后的IP和MAC地址不变,这就需要虚拟机迁移前后的网络处于同一个二层域内部。
由于客户要求虚拟机迁移的范围越来越大,甚至是跨越不同地域、不同机房之间的迁移,所以使得数据中心二层网络的范围越来越大,甚至出现了专业的大二层网络这一新领域专题。
?【思考1、IP及MAC不变的理由:对业务透明、业务不中断】【思考2、IP及MAC不变,那么为什么必须是二层域内?IP不变,那么就不能够实现基于IP的寻址(三层),那么只能实现基于MAC的寻址,既二层寻址,大二层,顾名思义,此是二层网络,根据MAC地址进行寻址】传统网络的二层为什么大不起来?在数据中心网络中,“区域”对应VLAN的划分。
相同VLAN内的终端属于同一广播域,具有一致的VLAN-ID,二层连通;不同VLAN内的终端需要通过网关互相访问,二层隔离,三层连通。
传统的数据中心设计,区域和VLAN的划分粒度是比较细的,这主要取决于“需求”和“网络规模”。
?传统的数据中心主要是依据功能进行区域划分,例如WEB、APP、DB,办公区、业务区、内联区、外联区等等。
不同区域之间通过网关和安全设备互访,保证不同区域的可靠性、安全性。
同时,不同区域由于具有不同的功能,因此需要相互访问数据时,只要终端之间能够通信即可,并不一定要求通信双方处于同一VLAN或二层网络。
大二层网络技术剖析及发展前景预测
大二层 网络技术剖析及发展前景预测
文/ 格 日勒 图
VL AN 集 中 于 二 层 网 络 交 换机 , 大数 据 传 输 涉
Cor e/ Dl s t nbu t  ̄ on
及 的 高 流 量 对 虚 拟 机提 出 了 更 高 的要 求 ,传 统 二 层 网 络 这 种 网 络 结 构 无 法满 足这 种 要 求 ,而 大 二 层 网 络 面 对 这 种 要 求 ,首 先 需要 解 决 的 便 是 数 据 中 心 内部 网 络 的扩 展 问题 。 目前 用 于 大 二 层 网 络 扩 展 的 技 术主 要 包 括 虚 拟 交 换 机 技 术 以及 隧道 技 术两 种 。下 面 分 别 进 行 了 分 析 。
设 备 , 而 这 些 设 备 根 据 功 能 的 差 异 可 以 分 为 Ma s t e r 和 S l a v e两 类 。其 中 Ma s t e r 设 备 主 要 负
VL AN中 ,因此 ,需要改变传统的网络结构。
I R F是 H 3 C公 司 所 研 究 的 一 种 新 的 二 层
N 1
网 络 架构 , 也被 成 为智 能弹 性 架 构 ,具 体 原 理 如 图 2所 示 。 在 I RF系 统 中 , 每 台 设 备 均 成 为 成 员
2 . 1 虚 拟 交换 机 技 术
虚拟 交换 机技 术的 出发点 非常 简单,属
于 工 程 派 。二 层 网 络 的 核 心 是环 路 问题 ,而 环 【 关 键 词 】 大二 层 网络 技 术 对 比 前 景
路 问题时 由于冗余设备和链路产生的,因此 , 可 以将 多 台冗 余 设 备 以及 多 条 链 路 合 并 ,这 样
大二层网络技术介绍
TRILL技术
Ingress RBridge
原二层数据帧
Egress RBridge
原二层数据帧
新二层数据帧 TRILL帧头 原二层数据帧 源Nickname 目的Nickname
• 开启VSS时,两台VSS成员设备通过相互协商, 一个成为Active状态,另一个成为Standby状态。
• Active状态设备用于控制整个VSS,Standby状态设备将控制流量通过VSL交由 Active统一处理。两台设备同时转发数据层面流量。
• VSL是一条特殊的链路,用于VSS系统中的两台设备间传输控制流量和数据流量。 VSL最多支持八条10GE捆绑,利用Etherchannel技术实现负载和冗余。 其中的控制流量优先级高于数据流量。
• Standby设备使用VSL监控Active设备,检测到Active故障时,Standby设备将 把自己转换成Active状态。
设备虚拟化技术之VSS简单配置
Switch1: Switch1(config)# switch virtual domain 100 // 指定交换机1为VSS100区域内的设备 Switch1(config-vs-domain)# switch 1 // 指定VSS区域内该交换机的ID Switch2: Switch2(config)# switch virtual domain 100 // 指定交换机2为VSS100区域内的设备 Switch2(config-vs-domain)# switch 2 // 指定VSS区域内该交换机的ID
TRILL技术的优点
闲话大二层网络(2)—传统的二层网络为啥大不起来?
精心整理闲话大二层网络(2)—传统的二层网络为啥大不起来?VM动态迁移只是要求把所有服务器都纳入同一个二层网络,那问题来了:原来的网络架构为什么就不能把所有服务器都纳入同一个二层网络?传统的VLAN+xSTP二层技术不能把所有服务器都划到同一个二层域吗?这也就是我前面卖的关子,为什么说传统网络架构限制了虚拟机的动态迁移只能在一个较小的局部范围内进行?为什么传统的二层网络大不起来?要说清楚这一点,我们首先需要弄清楚二层网络面临的主要问题是什么,而传统二层网络采用的主要解决方案有哪些?1??????二层网络的核心问题其实说起来也简单,二层网络的核心问题就是环路问题以及由此产生的广播风暴问题。
1.1??????环路的由来如果是一个单设备和单链路组成的树型二层网络,如下图所示,?它是没有任何环路和因环路引起的广播风暴问题的(其他成因的广播风暴,例如蠕虫病毒等造成的,不在讨论之列)。
但是这种网络的可靠性是非常差的,因为它没有任何的备份设备和备份链路,一旦某个设备或者链路发生故障,那么故障点下的所有主机就连不上网络了。
所以,为了提高网络可靠性,通常会采用冗余设备和冗余链路,这样就不可避免的形成环路。
如下图所示。
红色链路构成一个环路,蓝色链路也构成一个环路,事实上,在相对复杂的二层网络中,物理上的环路几乎无处不在。
而二层网络处于同一个广播域下,广播报文在环路中会反复持续传送,而且二层报文转发又没有TTL机制,无限循环之下,就会形成广播风暴,瞬间即可导致端口阻塞和设备瘫痪。
1.2??????环路的解决之道为了解决广播风暴问题,二层网络中所采取的技术主要有两方面:1.2.1????????通过划分VLAN来缩小广播域的规模VLAN技术可以把一个大的物理二层域划分成许多小的逻辑二层域,这种逻辑二层域被称为VLAN。
同一个VLAN内可以进行二层通信,不同VLAN之间是二层隔离的,这样广播的范围就被局限在一个VLAN内,不会扩散到整个物理二层域。
闲话大二层网络(1)—数据中心为什么需要大二层网络?
传统的数据中心网络通常都是二层+三层网络架构,如下图所示。
通过服务器虚拟化,可以有效地提高服务器的利用率,降低能源消耗,降低客户的运维成本,所以虚拟化技术目前得到了广泛的应用。
(至于为啥有这些好处,我就懒得去说了,有兴趣的话可以自己问一下度娘,总之服务器虚拟化就是个好东东啦)PS:VMware是服务器虚拟化领域的市场领先产品和创新品牌,提供一整套VM解决方案的软件。
除了VMware之外,业界还有微软Hyper-V和Xen等服务器虚拟化软件。
3虚拟机动态迁移喝口水,我们继续回到数据中心网络上来。
本来,服务器虚拟化对于数据中心网络来说,也没啥特别大的影响,无非就是接入的主机规模变大一些而已(原来一台物理服务器算一个主机,现在每个VM算一个主机),还是可以用二三层网络架构来连接的,规模变大了,多划分一些二层域就行。
但是服务器虚拟化之后,带来了一项伴生的技术,那就是虚拟机动态迁移,这就给传统的数据中心网络带来了很大的麻烦。
当然在讲麻烦之前,我们先得搞清楚虚拟机动态迁移是怎么回事。
所谓虚拟机动态迁移,就是在保证虚拟机上服务正常运行的同时,将一个虚拟机系统从一个物理服务器移动到另一个物理服务器的过程。
该过程对于最终用户来说是无感知的,从而使得管理员能够在不影响用户正常使用的情况下,灵活调配服务器资源,或者对物理服务器进行维修和升级。
说白了,动态迁移就是让虚拟机搬家,但是要求搬家的时候,虚拟机上运行的业务还不会中断,外面的用户察觉不到。
搞清楚虚拟机动态迁移是怎么回事之后,我们来看到底这个技术给网络带来了什么麻烦。
4虚拟机动态迁移对网络的影响还记得我前面卖得关子不?我说对于数据中心来说,二三层网络架构是有一个弱点的,那是什么弱点呢?这个弱点就是服务器的位置不能随便在不同二层域之间移动。
因为一旦服务器迁移到其他二层域,就需要变更IP地址,TCP连接等运行状态也会中断,那么原来这台服务器所承载的业务就会中断,而且牵一发动全身,其他相关的服务器(比如WEB-APP-DB服务器之间都是相互关联的)也要变更相应的配置,影响巨大。
二层网络规划,说说你们现在常用的二层技术
二层网络规划,说说你们现在常用的二层技术1.1 二层网络规划(Layer2)通常部署相同应用的服务器要求在同二层广播域内。
方便业务的部署,扩展和搬迁,要求数据中心之间服务器尽量二层可达。
如上面所述,传统的数据中心通常通过按照分区划分二层网络,即每个分区是一个二层广播域。
云计算在数据中心广泛应用,要求服务器资源大范围资源共享、虚拟机大范围迁移。
因此数据中心的网络具备灵活的二层扩展能力。
但基于xSTP的二层网络网络技术在扩展和可靠性存在很多缺陷。
很多解决二层扩展能力技术出现,包括基于设备的虚拟化的CSS/iStack, 基于传统以太扩展的TRILL,基于IP的overlay技术vxlan等。
二层网络范围和采用什么二层技术,是数据中心基础网络的关键。
1.1.1 二层部署规划建议从业务发展的趋势看,数据中心内部网络必须具备灵活的二层扩展能力。
保证业务灵活部署和扩展,以及资源的更大范围共享。
二层网络设计需要综合考虑设备能力,可靠性,业务安全。
因此二层网络规模不能太大。
建议大型数据中心划分为少量几个大型业务分区。
以业务分区为单位构建二层网络区域,业务分区之间按需实现二层连接。
典型组网如下图所示:业务分区内部二层构建方案详见下面的几节。
分区间之间二层可以应用VXLAN或者EVN等技术。
1.1.2 二层技术比较比较项xSTP网络堆叠(CSS/iStack)SVF TRILL VXLAN线路利用率低,需要阻塞部分线路高,但是只适用于星形网络高,可支持高高二层环路问题需要运行xSTP协议避环需要搭建星形网络通过设备内部私有协议实现通过运行内置ISIS协议避环基于IP的协议实现路径计算可靠性一般高一般高高扩展性一般,网络规模受节点数和节点深度的限制一般,CSS只支持两台设备一般,受限于设备实现好,可以组建较大网络好1.2 设备虚拟化组网方案规划1.2.1 跨设备链路聚合(M-LAG)组网方案跨设备链路聚合即M-LAG,英文全称(Multi-Chassis Link Aggregation Group),是一种跨网络设备的二层端口虚拟化技术,两个设备有独立的控制平面,但支持把两个设备的端口组成链路捆绑。
校园大二层(扁平化)网络改造方案
确认网络架构 汇聚设备摸底——是否支持qinq 接入设备摸底——是否支持vlan 了解网络特殊环境——有无静态地址环境 了解光纤接口、数量——接口类型、光纤 资源是否足够
• • •
绘制校园现有网络拓扑和网络点位统计表 核心设备安装确认-空间及电源 弱电间位置及钥匙确认
• • •
规划用户终端使用的IP地址 规划设备管理地址 规划汇聚交换机上QinQ的外 层标签
流控行为管理设 备 认证计费设备 Srun(透明)
新加核心路由器 (透明桥)
•
无感知割接——如果有备用的汇聚设备,可以在原有汇聚设备旁再 加一台汇聚设备,新加的汇聚设备与核心路由器直接相连,实现切
换一台接入,不影响其他接入
• 实施周期——根据楼宇数量,确定网络割接时间,楼宇分批次进行 割接,平均1栋楼割接时间为1天。 • 需注意事项:原有静态地址用户需要在割接后将电脑的地址改为 DHCP方式 • 实施时间避开寒暑假、开学前半个月,招生时间。
核心层
高速转发
汇聚层
IPv4三层终结 路由协议 ACL QoS 用户接入 相互隔离 速率限制 DHCP侦听 动态ARP检测
接入层
三层网络架构采用层次化模型设计,即将复杂的网络设 计分成几个层次,每个层次着重于某些特定的功能,这样就能 够使一个复杂的大问题变成许多简单的小问题。 方便管理、提高网络性能。
境中,因此不能采用Q-in-Q模式。比如多媒体中控必须是静态ip,教室pc必须获得同一ip,
因此多媒体区域不能强制动态获取ip,需要进行dhcp绑定和arp绑定。
•
用户无法通过认证:
问题:用户打开网页无法弹出portal认证页面 原因:割接前用户使用的静态地址,无法拿到新地址,从而弹不出portal页面 解决办法:把用户电脑静态IP地址改成动态获取。
闲话大二层网络(3)—如何实现真正意义上的大二层网络?
闲话大二层网络(3)—如何实现真正意义上的大二层网络?这一篇的内容会略长一些,各位读者做好心理准备。
如上一篇介绍的那样,传统的二层技术无法实现真正意义上的大二层网络。
所以就要另外动脑筋来想办法。
幸好这个世界上聪明的脑袋是很多的,这些技术大牛们各显神通,在最近十来年的时间之间,提出了很多大二层网络的解决方案。
归纳总结一下,大概有这么几个流派:∙釜底抽薪派∙移花接木派∙瞒天过海派1釜底抽薪派1.1思想釜底抽薪派解决大二层网络困境,还是从二层网络的核心问题着手。
既然二层网络的核心问题是环路问题,那么解决了环路问题,就一劳永逸了。
抽了“环路”的“薪”,那么因环路导致广播风暴的“火”也就烧不起来了。
也就意味着,二层网络想做多大就可以做多大。
当然,要有效解决大二层环境中的环路问题,传统的xSTP技术行不通了(具体原因前一篇中已经分析过了)。
幸好现在我们有了新的武器,那就是网络设备虚拟化技术。
所谓网络设备虚拟化技术,就是将相互冗余的两台或多台物理网络设备组合在一起,虚拟化成一台逻辑网络设备,在整个网络中只呈现为一个节点。
(这里的网络虚拟化技术特指多虚一的技术,另外也有一虚多的技术,比如华为的VS(Virtual System)技术,可以把一台网络设备虚拟成多台网络设备使用,这种虚拟化技术就有点和服务器的虚拟化比较相似,但是我们本文中不涉及这种虚拟化)网络设备虚拟化再配合链路聚合技术,就可以把原来的多节点、多链路的结构变成逻辑上单节点、单链路的结构,环路问题也就无疾而终了。
(上一篇中已经说明了,单节点、单链路的树型结构网络是没有环路问题的)而且虚拟化技术和链路聚合技术都具备冗余备份功能,单台物理设备或者链路故障时,可以自动切换到其他物理设备和链路来进行数据转发,保证网络的可靠性。
以网络设备虚拟化+链路聚合技术构建的二层网络天然没有环路,其规模仅受限于虚拟网络设备所能支持的接入能力,只要虚拟网络设备允许,二层网络就可以想做多大就做多大。
TRILL大二层的网络方案
在云计算时代下,数据中心内部一般采用分布式架构处理海量数据存储、挖掘、查询、搜索等相关业务,服务器和服务器之间需要进行大量的协同工作,在服务器之间产生了大量的东西向流量。
其次,数据中心普遍采用虚拟化技术,虚拟化的直接后果是使单位计算密度极大提升,物理服务器吞吐量将比虚拟化之前成数倍提升。
还有为了更大幅度地增大数据中心内业务可靠性、降低IT成本、提高业务部署灵活性、降低运维成本高,需要虚拟机能够在整个数据中心范围内进行动态迁移。
上面这些是云计算时代下的数据中心业务需求,这些需求促进了数据中心网络架构的演进,催生了大二层网络架构的诞生,TRILL便是一种构建数据中心大二层组网的技术。
本文旨在分析云计算时代下数据中心对网络架构的需求,并提出华为基于TRILL的解决方案,帮助用户在建设数据中心网络时,能选择合适的网络解决方案以更好满足云计算业务需求。
云计算时代下数据中心对网络架构要求• 虚拟机任意迁移作为云计算的核心技术之一,服务器虚拟化已经得到越来越广泛的应用。
为了更大幅度地增大数据中心内业务可靠性、降低IT成本、提高业务部署灵活性、降低运维成本高,需要虚拟机能够在整个数据中心范围内进行动态迁移,而不是局限在一个汇聚或接入交换机范围内进行迁移。
传统数据中心一般采用二层+三层组网架构,POD内采用二层组网,POD间通过三层网络进行互联。
VM只能在一个POD内进行迁移,如果需要跨二层区域迁移,需要更改VM 的IP地址,如果没有负载均衡器LoadBalance屏蔽等手段,应用会中断。
在云计算时代,为提升大量闲置服务器的资源利用率,计算虚拟化技术已经逐步在IDC 进行应用。
IDC运营商为了更充分的利用数据中心资源,VM需要更大的迁移范围,可以通过TRILL构建的大二层网络来实现。
• 无阻塞、低延迟数据转发云计算时代下的数据中心流量模型和传统运营商流量模型不同,数据中心中主要是服务器和服务器之间的东西向流量,数据中心网络相当于是服务器之间的总线。
大二层按需构建灵活的精细化的校园网络课件
VS
VLAN管理
通过配置VLAN接口IP地址和管理VLAN 的路由,实现VLAN之间的通讯和管理。
配置静态路由和动态路由协议
静态路由
配置静态路由,实现不同VLAN之间的通讯 ,以及校园网与外部网络的通讯。
OSPF协议
配置OSPF协议,实现动态学习路由信息, 优化网络路由路径,提高网络性能和可靠性 。
ห้องสมุดไป่ตู้
未来发展趋势和研究方向
发展趋势
网络功能虚拟化:随着虚拟化技术的不断发展,未来校园网将逐渐实现 网络功能虚拟化,大二层网络架构将更好地支持虚拟化环境下的网络管
理和优化。
5G融会发展:5G技术的不断普及和应用,将为校园网带来新的发展机遇 和挑战,大二层网络架构将更好地与5G技术融会发展,满足校园网日益 增长的需求。
网络设备的状态监控
实时监控网络设备的状态,包括端口状态、流量情况等, 当出现特殊情况时及时告警并处理,保证网络的稳定运行 。
实施网络安全策略
访问控制策略
通过制定访问控制策略,限制 用户对敏锐资源的访问权限, 防止未经授权的访问和恶意攻
击。
安全审计策略
定期对网络进行安全审计,发现潜 伏的安全隐患和漏洞,及时进行处 理和修复。
实时监控网络流量,分析流量行为和特点,为优化网络性能提供数据支持。通过分析流量 数据,可以发现潜伏的网络瓶颈和优化点,进而调整网络配置和结构。
故障处理与恢复
当出现网络故障时,应快速定位并处理故障。通过实施故障处理机制,可以缩短故障恢复 时间,减少对业务的影响。同时,应制定应急预案,以应对可能出现的严重故障或安全事 件。
实施QoS策略和流量控制
闲话大二层网络(2)—传统的二层网络为啥大不起来?
VM动态迁移只是要求把所有服务器都纳入同一个二层网络,那问题来了:原来的网络架构为什么就不能把所有服务器都纳入同一个二层网络?传统的VLAN+xSTP二层技术不能把所有服务器都划到同一个二层域吗?这也就是我前面卖的关子,为什么说传统网络架构限制了虚拟机的动态迁移只能在一个较小的局部范围内进行?为什么传统的二层网络大不起来?要说清楚这一点,我们首先需要弄清楚二层网络面临的主要问题是什么,而传统二层网络采用的主要解决方案有哪些?1二层网络的核心问题其实说起来也简单,二层网络的核心问题就是环路问题以及由此产生的广播风暴问题。
如果是一个单设备和单链路组成的树型二层网络,如下图所示,它是没有任何环路和因环路引起的广播风暴问题的(其他成因的广播风暴,例如蠕虫病毒等造成的,不在讨论之列)。
但是这种网络的可靠性是非常差的,因为它没有任何的备份设备和备份链路,一旦某个设备或者链路发生故障,那么故障点下的所有主机就连不上网络了。
杂的二层网络中,物理上的环路几乎无处不在。
为了解决广播风暴问题,二层网络中所采取的技术主要有两方面:1.2.1通过划分VLAN来缩小广播域的规模VLAN技术可以把一个大的物理二层域划分成许多小的逻辑二层域,这种逻辑二层域被称为VLAN。
同一个VLAN内可以进行二层通信,不同VLAN之间是二层隔离的,这样广播的范围就被局限在一个VLAN内,不会扩散到整个物理二层域。
VLAN虽然可以一定程度上降低广播风暴的范围和强度,但还是无法避免在VLAN内形成广播风暴(只要同一个VLAN内还有环路),所以只是一种治标不治本的策略。
(当然,这种说法仅针对广播风暴这一点而言,而VLAN技术还有其他很多方面的重要作用,比如简化管理、提高安全性等等,但本文不讨论这些方面)。
1.2.2通过破环协议来防止环路的产生另外一种治本的方法则是从广播风暴形成的根本原因入手。
既然广播风暴是因为出现了环路才导致的,那么通过一定的手段,防止环路出现不就避免了广播风暴了吗?防止环路出现,但是又要保证网络的可靠性,就只能将冗余设备和冗余链路变成备份设备和备份链路。
大二层网络实现技术的探讨
大二层网络实现技术的探讨作者:雷鸣等来源:《山东工业技术》2015年第09期摘要:大二层网络可以分为虚拟交换机技术和隧道技术。
隧道技术可以使用现有设备,有效节省资金,并且对网络的物理结构改变不大,可以降低网络建设人员的工作量。
关键词:大二层网络;实现技术;单播数据帧随着云计算的兴起,大数据传输等应用得到了快速发展,虚拟服务器等技术也日渐成熟。
但是实现这些应用需要高速、稳定的网络环境来支持。
大二层网络结合了二层网络结构简单和三层网络模块化思想的优点,可以为上述应用提供很好的支持。
1 大二层网络的概念及特点大二层网络是符合扁平化架构、支持大规模虚拟化的二层网络结构。
大二层网络特点:支持扩充数据中心内部网络。
使用二层网络构架和VLan的延伸,完成虚拟机在数据中心的网络内的大范围动态迁移。
它具有以下特点:(1)高效转发;(2)有效避免环路;(3)网络震荡快速收敛;(4)部署方便;(5)支持多租户;(6)平滑迁移。
2 主流大二层网络技术流行的大二层网络技术有虚拟交换机技术和隧道技术。
下面将做分别说明。
2.1 虚拟交换机技术虚拟交换机的构架思路很简单,是包含于工程体系中的。
通过将相互冗余的设备或链路进行合并操作来,使其变成一个单一的设备或者链路,解决由于使用冗余设备和冗余链路来构建网络,二层网络形成的环路的问题[1]。
到目前,交换机技术已经发展到了一个相当成熟的阶段,无论是低端的盒式交换机还是高端的框式交换机的使用都十分广泛,并且技术成熟,设备稳定性好。
所以,现在使用的大二层网络,最常见的就是基于虚拟交换机技术来实现的。
H3C公司研发的IRF技术、Cisco公司研发的VSS技术都是虚拟交换机技术的代表。
按其网络厂商的宣传来说,只需升级交换机软件即可支持虚拟交换机,应用成本低、部署简便[2]。
但是目前这些不同的技术都只遵循各个网络厂商的私有协议,只有同一厂商,并且是同一系列的产品才能实现虚拟化。
实际上,很少有用户能够做到所有网络设备都属于同一厂商、同一系列。
大二层网络技术
1传统STP技术应用分析STP是IEEE 802.1D中定义的一个应用于以太网交换机的标准,这个标准为交换机定义了一组规则用于探知链路层拓扑,并对交换机的链路层转发行为进行控制。
如果STP发现网络中存在环路,它会在环路上选择一个恰当的位置阻塞链路上的端口——阻止端口转发或接收以太网帧,通过这种方式消除二层网络中可能产生的广播风暴。
然而在实际部署中,为确保网络的高可用性,无论是数据中心网络还是园区网络,通常都会采用具有环路的物理拓扑,并采用STP阻塞部分端口的转发。
对于被阻塞端口,只有在处于转发状态的端口及链路发生故障时,才可能被STP加入到二层数据帧的转发树中。
图1 STP引起的带宽利用率不足的问题STP的这种机制导致了二层链路利用率不足,尤其是在网络设备具有全连接拓扑关系时,这种缺陷尤为突出。
如图1所示,当采用全网STP二层设计时,STP将阻塞大多数链路,使接入到汇聚间带宽降至1/4,汇聚至核心间带宽降至1/8。
这种缺陷造成越接近树根的交换机,端口拥塞越严重,造成的带宽资源浪费就越严重。
可见,STP可以很好地支持传统的小规模范围的二层网络,但在一些规模部署虚拟化应用的数据中心内(或数据中心之间),会出现大范围的二层网络,STP在这样的网络中应用存在严重的不足。
主要表现为以下问题(如图2所示)。
图2 STP的低效路径问题示意图1. 低效路径•流量绕行N-1跳•路由网络只需N/2跳甚至更短2. 带宽利用率低•阻断环路,中断链路•大量带宽闲置•流量容易拥塞3. 可靠性低•秒级故障切换•对设备的消耗较大4. 维护难度大•链路引起拓扑变化复杂•容易引发广播风暴•配置、管理难度随着规模增加剧增由于STP存在以上种种不足,其难以胜任大规模二层网络的管理控制。
2 IRF技术应用分析H3C IRF(Intelligent Resilient Framework)是N:1网络虚拟化技术。
IRF可将多台网络设备(成员设备)虚拟化为一台网络设备(虚拟设备),并将这些设备作为单一设备管理和使用。
云数据中心大二层网络技术研究
随着以虚拟化为主的云数据中心的发展和成熟, 应用数据猛增, 数据中心虚拟服务器的迁移和数据交换产生的流量要求所有的虚拟机在同一个VLAN, 大二层网络应运而生。
文中总结和分析了常见的大二层网络设计和优化方案, 并结合实际, 将优化方案引入到高校数据中心的建设当中。
新一代数据中心内部的网络逻辑结构的特点是“大二层结构”。
所谓“大二层”是指所有VLAN 都可以延展到所有汇聚层、接入层交换机的VLAN 结构,这与传统数据中心VLAN 往往终结在接入层交换机的做法不同。
大二层网络结构的需求是由如下原因决定的:1. 服务器虚拟化的要求:所有主流服务器虚拟化技术都能够实现不同程度的虚机在线迁移,而虚机迁移前后其MAC/IP地址等不变,决定了其迁移的源和目的应在同一个VLAN;2. 网络业务整合的需要:新一代数据中心网络要求比传统网络更高的业务承载能力,各种应用(比如Oracle RAC 等)等都需要纯二层网络来提供其业务所需的低延迟、高吞吐、MAC 层直接交换的网络环境;3. 智能业务整合、集中部署的需求:为面向范围更广的接入层提供智能服务资源池,智能服务被要求集中化部署,这就需要有智能服务要求的VLAN 都能延展到智能服务设施所在的汇聚层。
随着应用的数量迅猛增加,二层网络的扩展造成传统二层技术在链路冗余能力、负载均衡能力、可扩展性和网络稳定性上面的诸多问题,下面以某高校为例讨论如何构造一个可扩展的大二层网络。
大二层网络设计技术跨机箱的端口捆绑(VPC)由于传统二层网络依靠生成树(或生成树的改进协议,如快速生成树、MSTP 等)来实现冗余链路的负载均衡和故障切换,不仅设计复杂、建设维护管理难度大,而且链路负载不均、故障收敛慢且稳定性差。
一种摒弃生成树的设计就是跨机箱实现以太网端口捆绑,如图1 所示:这样设计之后,向任何一对冗余的物理机箱的连接都可看成是连向一个逻辑设备,多条冗余的链路可被捆绑为一条逻辑链路,逻辑链路内各物理链路可负载均衡和高效能故障切换。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
大二层网络技术背景及主要技术方向
一、为什么需要大二层
传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵贯式大流量,同时使网络管理员能够对流量流进行管理。
工程师在这些架构中采用生成树协议(STP)来优化客户端到服务器的路径和支持连接冗余,通常将二层网络的范围限制在网络接入层以下,避免出现大范围的二层广播域;
虚拟化从根本上改变了数据中心网络架构的需求,既虚拟化引入了虚拟机动态迁移技术。
从而要求网络支持大范围的二层域。
从根本上改变了传统三层网络统治数据中心网络的局面。
具体的来说,虚拟化技术的一项伴生技术—虚拟机动态迁移(如VMware的VMotion)在数据中心得到了广泛的应用,虚拟机迁移要求虚拟机迁移前后的IP和MAC地址不变,这就需要虚拟机迁移前后的网络处于同一个二层域内部。
由于客户要求虚拟机迁移的范围越来越大,甚至是跨越不同地域、不同机房之间的迁移,所以使得数据中心二层网络的范围越来越大,甚至出现了专业的大二层网络这一新领域专题。
【思考1、IP及MAC不变的理由:对业务透明、业务不中断】
【思考2、IP及MAC不变,那么为什么必须是二层域
内?IP不变,那么就不能够实现基于IP的寻址(三层),那么只能实现基于MAC的寻址,既二层寻址,大二层,顾名思义,此是二层网络,根据MAC地址进行寻址】
传统网络的二层为什么大不起来
在数据中心网络中,“区域”对应VLAN的划分。
相同VLAN内的终端属于同一广播域,具有一致的VLAN-ID,二层连通;不同VLAN内的终端需要通过网关互相访问,二层隔离,三层连通。
传统的数据中心设计,区域和VLAN的划分粒度是比较细的,这主要取决于“需求”和“网络规模”。
传统的数据中心主要是依据功能进行区域划分,例如WEB、APP、DB,办公区、业务区、内联区、外联区等等。
不同区域之间通过网关和安全设备互访,保证不同区域的可靠性、安全性。
同时,不同区域由于具有不同的功能,因此需要相互访问数据时,只要终端之间能够通信即可,并不一定要求通信双方处于同一VLAN或二层网络。
传统的数据中心网络技术,STP是二层网络中非常重要的一种协议。
用户构建网络时,为了保证可靠性,通常会采用冗余设备和冗余链路,这样就不可避免的形成环路。
而二层网络处于同一个广播域下,广播报文在环路中会反复持续传送,形成广播风暴,瞬间即可导致端口阻塞和设备瘫痪。
因此,为了防止广播风暴,就必须防止形成环路。
这样,既要防止形成环路,又要保证可靠性,就只能将冗余设备和冗
余链路变成备份设备和备份链路。
即冗余的设备端口和链路在正常情况下被阻塞掉,不参与数据报文的转发。
只有当前转发的设备、端口、链路出现故障,导致网络不通的时候,冗余的设备端口和链路才会被打开,使得网络能够恢复正常。
实现这些自动控制功能的就是STP(Spanning Tree Protocol,生成树协议)。
由于STP的收敛性能等原因,一般情况下STP的网络规模不会超过100台交换机。
同时由于STP需要阻塞掉冗余设备和链路,也降低了网络资源的带宽利用率。
因此在实际网络规划时,从转发性能、利用率、可靠性等方面考虑,会尽可能控制STP网络范围。
随着数据大集中的发展和虚拟化技术的应用,数据中心的规模与日俱增,不仅对二层网络的区域范围要求也越来越大,在需求和管理水平上也提出了新的挑战。
数据中心区域规模和业务处理需求的增加,对于集群处理的应用越来越多,集群内的服务器需要在一个二层VLAN 下。
同时,虚拟化技术的应用,在带来业务部署的便利性和灵活性基础上,虚拟机的迁移问题也成为必须要考虑的问题。
为了保证虚拟机承载业务的连续性,虚拟机迁移前后的IP地址不变,因此虚拟机的迁移范围需要在同一个二层VLAN下。
反过来即,二层网络规模有多大,虚拟机才能迁移有多远。
传统的基于STP备份设备和链路方案已经不能满足数据中心规模、带宽的需求,并且STP协议几秒至几分钟的故
障收敛时间,也不能满足数据中心的可靠性要求。
因此,需要能够有新的技术,在满足二层网络规模的同时,也能够充分利用冗余设备和链路,提升链路利用率,而且数据中心的故障收敛时间能够降低到亚秒甚至毫秒级。
二、大二层需要有多大、及技术选型
1. 数据中心内
大二层首先需要解决的是数据中心内部的网络扩展问题,通过大规模二层网络和VLAN延伸,实现虚拟机在数据中心内部的大范围迁移。
由于数据中心内的大二层网络都要覆盖多个接入交换机和核心交换机,主要有以下两类技术。
1)虚拟交换机技术
虚拟交换机技术的出发点很简单,属于工程派。
既然二层网络的核心是环路问题,而环路问题是随着冗余设备和链路产生的,那么如果将相互冗余的两台或多台设备、两条或多条链路合并成一台设备和一条链路,就可以回到之前的单设备、单链路情况,环路自然也就不存在了。
尤其是交换机技术的发展,虚拟交换机从低端盒式设备到高端框式设备都已经广泛应用,具备了相当的成熟度和稳定度。
因此,虚拟交换机技术成为目前应用最广的大二层解决方案。
虚拟交换机技术的代表是H3C公司的IRF、Cisco公司的VSS,其特点是只需要交换机软件升级即可支持,应用成本低,部署简单。
目前这些技术都是各厂商独立实现和完成的,只能
同一厂商的相同系列产品之间才能实施虚拟化。
同时,由于高端框式交换机的性能、密度越来越高,对虚拟交换机的技术要求也越来越高,目前框式交换机的虚拟化密度最高为4:1。
虚拟交换机的密度限制了二层网络的规模大约在1万~2万台服务器左右。
2)隧道技术
隧道技术属于技术派,出发点是借船出海。
二层网络不能有环路,冗余链路必须要阻塞掉,但三层网络显然不存在这个问题,而且还可以做ECMP(等价链路),能否借用过来呢?通过在二层报文前插入额外的帧头,并且采用路由计算的方式控制整网数据的转发,不仅可以在冗余链路下防止广播风暴,而且可以做ECMP。
这样可以将二层网络的规模扩展到整张网络,而不会受核心交换机数量的限制。
隧道技术的代表是TRILL、SPB,都是通过借用IS-IS路由协议的计算和转发模式,实现二层网络的大规模扩展。
这些技术的特点是可以构建比虚拟交换机技术更大的超大规模二层网络(应用于大规模集群计算),但尚未完全成熟,目前正在标准化过程中。
同时传统交换机不仅需要软件升级,还需要硬件支持。
2. 跨数据中心
随着数据中心多中心的部署,虚拟机的跨数据中心迁移、灾备,跨数据中心业务负载分担等需求,使得二层网络的扩
展不仅是在数据中心的边界为止,还需要考虑跨越数据中心机房的区域,延伸到同城备份中心、远程灾备中心。
一般情况下,多数据中心之间的连接是通过路由连通的,天然是一个三层网络。
而要实现通过三层网络连接的两个二层网络互通,就必须实现“L2 over L3”。
L2oL3技术也有许多种,例如传统的VPLS(MPLS L2VPN)技术,以及新兴的Cisco OTV、H3C EVI技术,都是借助隧道的方式,将二层数据报文封装在三层报文中,跨越中间的三层网络,实现两地二层数据的互通。
这种隧道就像一个虚拟的桥,将多个数据中心的二层网络贯穿在一起。
也有部分虚拟化和软件厂商提出了软件的L2 over L3技术解决方案。
例如VMware的VXLAN、微软的NVGRE,在虚拟化层的vSwitch中将二层数据封装在UDP、GRE报文中,在物理网络拓扑上构建一层虚拟化网络层,从而摆脱对网络设备层的二层、三层限制。
这些技术由于性能、扩展性等问题,也没有得到广泛的使用。
附录:常见数据中心架构
full layer3网络属于传统的数据中心网络。
服务器网关部署在接入交换机上,整网通过路由协议控制拓扑和转发路径。
这样的网络架构的主要优势在于技术成熟、有大量的运维经验。
网络系统稳定且便于维护。
但是Full layer3网络的不足之处在于不能支持虚拟化数据中心虚拟机的自由迁移,所以在进入云计算时代后,Full layer3网络逐渐被淘汰。
Full layer2网络是下一代数据中心的网络模型。
服务器网关在核心层,整网通过TRILL或是SPB协议控制拓扑和转发路径。
这样的网络架构主要优势在于能够支持大规模的二层网络,能够支持足够规模的虚拟机资源池。
但是,这个网络模型的缺点也是非常明显的。
TRILL协议虽然已经标准化(SPB协议正在标准化),但是大规模的二层网络缺乏运维经验。
没有运维经验,也就意味着运维成本的大幅度提升,同时也会给业
务系统带来巨大的风险。
在汇聚层上部署EVI特性,通过核心与汇聚之间的IP网络建立Vlink实现二层互通。
通过EVI特性将指定的多个二层域连接起来,形成一个完整的大规模二层网络。
这样就可以实现虚拟机大规模池化功能。
同时,可以避免使用TRILL 或是SPB协议带来的运维风险。
PS:常规IP包转发过程中,源IP及目的IP保持不变,源MAC与目的MAC不断发生变化,既源MAC是自己的
mac,目的mac是下一跳(主机或者路由器)的mac;路由器将数据转发出去的阶段,需要知道下一跳的mac地址,通过arp协议获取,并存储在路由器的arp表内,供下次查询使用。