相同数据中心二层网络互通

lcdkvm 发布于 2016/08/01 14:17
阅读 507
收藏 1
KVM

随着云计算落地数据中心,虚拟流量逐渐产生,数据中心的概念在逐渐模糊,同地域,不同地域,同资源池,不同资源区分等,本章节主要是讲述,相同数据中心之间的网络架构实现,以新老技术为背景,进行实现与架构设计的分享。

1.1VPLS的实现

vpls对于传统网络来说,这个词语并不陌生,在之前文章当中已经提及基本知识,本章不再对基本知识进行相关介绍,主要以架构设计与实现进行分享,我们都知道,MPLS-VPN,这个2.5层的网络路由协议可以说是一种比较老旧的技术,但是在当前云计算的环境下,对于多业务的区分,多种虚拟流量的整合又重新兴起到了现有的云计算网络平台,它们将会发挥它们在于逻辑网络区分的优势,继续发挥这个老司机的作用。之所以认为它是属于相同数据中心的网络通信协议,其实不难理解,MPLS也好VPLS也好,都是一种依靠LABLE传递的路由协议,那么对于租用运营商链路或者跨域其他链路资源来说,中间的设备必须具有LABLE的能力,整体来说,还是属于一张私有的逻辑网络,那么整个网络其实可以理解为一个数据中心的整体,并没有在广域链路上进行完全的隔离与混合,那么在云背景下,对于二层网络来说,vpls也即是再适合不过的一个流量区分的一个协议选择了,其天生的VSI标示,就是对于每一个二层网络进行相互隔离的一个基本机制,利用其VSI我们就可以对不同的流量或者云计算当中的每个虚拟网络流量进行区分,本节将会以vpls为主,进行分享。

VPLS在个人业务中的应用

业务描述:

HSIHigh Speed Internet)、VoIPVoice Over IP)、BTVBroadband TV)这些个人业务通常是通过运营商的城域网来承载业务流量的。

由于个人业务的业务网关(SR/BRAS等)部署在了城域出口,也就意味着用户的二层报文需要透传到业务网关(因为如果在PE上终结了二层报文,转为三层路由转发的话,承载在二层报文中的用户信息将会丢失,而无法到达业务网关,导致业务网关无法对用户实施控制),需要使用VPLS/VLL等技术透传二层报文。当城域网部署主备业务网关时,用户流量需要双归属接入业务网关,此时必须使用VPLS技术才能实现。

组网描述:

个人业务(HSIVoIPBTV)依次通过城域网的接入层、汇聚层、核心层到达Internet网络。如图1是承载个人业务的典型组网。

·         HSI业务通过该承载网,访问Internet网络。

·         VoIP业务经过该承载网,向DHCPDynamic Host Configuration ProtocolServer申请IP地址。

·         BTV业务经过该承载网,向组播源申请组播服务。

部署特性:

VPLS特性通常部署于PE设备之间,实现流量在PE设备之间的透明传输。根据图1,以部署LDP方式的VPLS为例:

·         接入层设备的特性:

部署VLAN特性,用于区分不同类型的用户。

部署PPPoEoAPPPoE over AAL5)和PPPoAPPP over AAL5)特性,实现HSI业务用户的拨号接入。

部署组播VLANIGMP Snooping业务,实现组播业务分发。

·         汇聚层设备的特性:

PE设备部署IGPInterior Gateway Protocol)协议,实现PE设备间路由互通。

PE设备部署MPLS基本功能,使得PE设备之间建立远端会话。

PE设备部署MPLS L2VPN功能,同时建立VSI实例。

PE设备部署VPLS菊花链方式的组播业务,实现组播业务分发。

·         核心层设备的特性:

BRASBroadband Remote Access Server)设备部署认证、计费等特性,用于进行HSI业务的终结。SRService Router)设备部署IGP协议,实现路由互通。

SR设备部署MPLS基本功能:

SR设备部署DHCP Relay功能,实现VoIP用户通过DHCP Server获得IP地址。

SR设备部署三层组播特性,实现与组播源之间业务的互通。

VPLS在企业业务中的应用

业务描述:

目前,很多企业的分布范围日益扩大,公司员工的移动性也不断增加,因此企业中立即消息、网络会议的应用越来越广泛。这些应用对端到端的数据通信技术有了更高的要求。端到端数据通信功能的实现依赖于一个能够支持多点业务的网络。同时,企业业务本身对数据保密的固有特点,多点传输时不仅要求能保证网络可靠性,还要求提供透明、安全的数据通道。

在运营商建立的城域网中,企业的多个分支机构分布在不同区域。此时,需要将企业机构之间的二层业务报文通过城域网传输时通常会使用VPLS技术,实现分布在不同地区的企业内部之间的互通。

组网描述:

企业业务通过城域网传输。如图1是承载企业业务的典型组网。某企业拥有多个分支机构,Site1Site2Site3是研发部门。通过部署VPLS特性,实现site之间二层网络互通。

部署特性:

VPLS特性通常部署于PE设备之间,实现流量在PE设备之间的透明传输。从企业用户看来,公网类似一个二层交换机。根据图1,以部署LDP方式的VPLS为例:



·         接入层设备的特性:

部署VLAN特性,用于区分不同类型的企业用户。



·         汇聚层设备的特性:

PE设备部署IGP协议,实现PE设备间路由互通。

PE设备部署MPLS基本功能,使得PE设备之间建立远端会话。



PE设备部署MPLS L2VPN功能,同时建立VSI实例。采用VPLS双归组网形式,实现对流量的保护。

PE设备部署MAC地址限制、报文流量抑制功能,实现对数据保护。

1.1.1 HVPLS

 

HVPLSHierarchical Virtual Private LAN Service),即分层VPLS,是一种实现VPLS网络层次化的一种技术。

HVPLS 产生背景

LDP方式为信令的VPLS,为了避免环路,其基本解决办法都是在信令上建立所有站点的全连接,LDP建立所有站点之间的LDP会话的全连接。在进行数据转发时,对于从PW来的报文,根据水平分割转发的原理,将不会再向其他的PW转发。如果一个VPLSNPE设备,该VPLS就有N×(N-1)÷2个连接。当VPLSPE增多时,VPLS的连接数就成N平方级数增加。假设有100个站点,站点间的LDP会话数目将是4950个。上述VPLS方案不能大规模的应用的真正缺点是提供VCPE需要复制数据包,对于第一个未知单播报文和广播、组播报文,每个PE设备需要向所有的对端设备广播报文,这样就会浪费带宽。

为解决VPLS的全连接问题,增加网络的可扩展性,产生了HVPLS组网方案。在协议draft-ietf-l2vpn_vpls_ldp中引入了HVPLSHVPLS通过把网络分级,每一级网络形成全连接,分级间的设备通过PW来连接,分级之间的设备的数据转发不遵守水平分割原则,而是可以相互转发。

 

HVPLS的基本模型中,可以把PE分为两种:

·         UPE:用户的汇聚设备,即直接连接CE的设备称为下层PEUnderlayer 
PE
),简称UPEUPE只需要与基本VPLS全连接网络的其中一台PE建立连接。UPE支持路由和MPLS封装。如果一个UPE连接多个CE,且具备基本桥接功能,那么数据帧转发只需要在UPE进行,这样减轻了SPE的负担。

·         SPE:连结UPE并位于基本VPLS全连接网络内部的核心设备称为上层PESuperstratum PE),简称SPESPE与基本VPLS全连接网络内部的其他设备都建立连接。

对于SPE来说,与之相连的UPE就像一个CE。从数据转发的角度看,UPESPE之间建立的PW将作为SPEACUPECE发送来的报文封装两层MPLS标签,外层为LSP的标签,该标签经过接入网的不同设备时被交换;内层标签为VC标签,用于标识VCSPE收到的报文包含两层标签,外层的公网标签被直接弹出,SPE根据内层的标签决定该AC接入哪个VSI并进行内层标签交换。

HVPLS的接入方式

如图2所示,UPE1作为汇聚设备,它只跟SPE1建立一条虚链路而接入链路PW,跟其他所有的对端都不建立虚链路。UPESPE之间的PW称为U-PWSPE间的PW称为S-PW 
CE1发送报文到CE2为例,数据转发流程如下:

1.     CE1发送报文给UPE1,报文的目的MAC地址是CE2

2.     UPE1负责将CE1发送的报文发给SPE1UPE1为该报文打上两层MPLS标签,外层标签标识UPE1SPE1之间的LSP Tunnel ID,内层标签标识UPE1SPE1之间的VC ID

3.     UPE1SPE1之间的LSR对用户报文进行传递和标签交换,最终在倒数第二跳报文的外层标签被剥离;

4.     SPE1收到报文后,根据MPLS内层标签判断报文所属的VSI,发现该报文属于VSI1

5.     SPE1去掉UPE1给用户报文打上的MPLS内层标签;

6.     SPE1根据用户报文的目的MAC,查找VSI的表项,发现该报文应该被发往SPE2SPE1给该报文打上两层MPLS标签,外层标签标识SPE1SPE2之间的LSP Tunnel ID,内层标签标识SPE1SPE2之间的VC ID

7.     SPE1SPE2之间的LSR对用户报文进行传递和标签交换,最终在倒数第二跳报文的外层标签被剥离;

8.     SPE2S-PW侧收到该报文后,根据内层MPLS标签判断报文所属的VSI,发现该报文属于VSI1,并去掉SPE1给该报文打上的内层MPLS标签;

9.     SPE2为该报文打上两层MPLS标签,外层标签标识SPE2UPE2之间的LSP Tunnel ID,内层标签标识UPE2SPE2之间的VC ID,并转发该报文;

10.   SPE2UPE2之间的LSR对用户报文进行传递和标签交换,最终在倒数第二跳报文的外层标签被剥离;

11.   UPE2收到该报文后,去掉UPE2给用户报文打上的MPLS内层标签,根据用户报文的目的MAC,查找VSI的表项,发现该报文应该被发往CE2,并转发该报文。

CE1CE4为本地CE之间交换数据,如图2所示。由于UPE本身具有桥接功能,UPE直接完成两者间的报文转发,而无需将报文上送SPE1。不过对于从CE1发来的目的MAC未知的第一个报文或广播报文,UPE1在广播到CE4的同时,仍然会通过U-PW转发给SPE1,由SPE1来完成报文的复制并转发到各个对端CE

HVPLS的环路避免

VPLS的环路避免相比,H-VPLS中环路避免方法需要做如下调整:

·         只需要在SPE之间建立全连接(PW全连接),UPESPE之间不需要全连接。

·         每个SPE设备上,从与SPE连接的PW上收到的报文,不再向这个VSI关联的、与其它SPE连接的PW转发,但可以向与UPE连接的PW转发。

·         每个SPE设备上,从与UPE连接的PW上收到的报文,可以向这个VSI关联的所有与其它SPE连接的PW转发。

1.1.1.1配置LDP方式的HVPLS示例

组网需求:

企业机构,自建骨干网。分支Site1使用CE1连接UPE设备接入骨干网,分支Site2使用CE2连接UPE接入骨干网,分支Site3使用CE3连接普通PE1接入骨干网。现在Site1Site2Site3的用户需要进行二层业务的互通,同时要求在穿越骨干网时保留二层报文中用户信息。另外要求骨干网的UPESPE实现分层次的网络结构。

配置思路:

采用如下的思路配置LDP方式的HVPLS基本功能:

1.     为实现Site1Site2Site3的二层业务互通,同时在穿越骨干网时保留二层报文的用户信息,故需要使用VPLS技术在骨干网透传二层报文;

2.     由于企业需要实现分层次的网络结构,可以选择LDP方式的HVPLS,形成层次化的网络拓扑并实现各CE设备二层网络的互通;

3.     为实现PE间数据的公网传输,需要在骨干网上配置IGP路由协议实现互通;

4.     VPLS实现依靠MPLS基本功能,故需要在骨干网上的设备配置MPLS基本功能和LDP

5.     为使PE间传输的数据不被公网感知,需要在PE间建立传输数据所使用的隧道;

6.     为实现VPLS功能,需要在PE上使能MPLS L2VPN

7.     为实现LDP方式的VPLS,需要在PE上创建VSI,指定信令为LDP,然后在UPEPE1上将VSIAC接口绑定;

8.     为实现层次化的HVPLS功能,需要在SPE上指定UPE为自己的下层PEPE1VSI对等体;在UPEPE1上分别指定SPEVSI对等体。

 

1.1.2 Martini VPLS

组网需求:

如图1,某企业机构,自建骨干网。分支Site站点较少(举例中只列出2个站点,其余省略),分支Site1使用CE1连接PE1设备接入骨干网,分支Site2使用CE2连接PE2接入骨干网。现在Site1Site2的用户需要进行二层业务的互通,同时要求在穿越骨干网时保留二层报文中用户信息。

 

 

1.1.2.1 配置Marrtini VPLS的示例

采用如下的思路配置Martini方式VPLS的基本功能:

1.     为实现Site1Site2的二层业务互通,同时在穿越骨干网时保留二层报文的用户信息,故需要使用VPLS技术在骨干网透传二层报文;

2.     由于企业网络结构的Site站点较少,可以选择Martini方式的VPLS,实现各CE设备二层网络的互通;

3.     为实现PE间数据的公网传输,需要在骨干网上配置IGP路由协议实现互通;

4.     VPLS实现依靠MPLS基本功能,故需要在骨干网上的设备配置MPLS基本功能和LDP

5.     为使PE间传输的数据不被公网感知,需要在PE间建立传输数据所使用的隧道;

6.     为实现VPLS功能,需要在PE上使能MPLS L2VPN

7.     为实现Martini方式VPLS,需要在PE上创建VSI,指定信令为LDP,然后将VSIAC接口绑定。

1.2Fabrica-Path的实现

 

1) vPC+实现双活的网关路由

如果在FabricPath网络中单纯的使用HSRP技术,HSRP虚拟IP地址所对应的虚拟MAC地址,只会映射到活动的网关的Switch ID。这样FabricPath去往外部三层网络的流量只会从活动网关转发。但是如果在HSRP环境下启用了vPC+技术,如图8-33所示,HSRP的虚拟MAC地址会映射到vPC+虚拟交换机的Switch ID。并且在FabricPath路由表中会学习到去往虚拟交换机Switch ID的路由通过两个网关进行负载均衡,真正实现了去往外部三层网络的负载均衡。

1.3 Trill的实现

 

通过TRILL协议构建扁平化二层网络,实现整网无阻塞转发及虚拟机的任意迁移。使用TRILL协议部署数据中心网络时,首先在所有设备上配置TRILL基本功能,继而根据网络层次,进行如下处理:

·         接入层:

在用户侧配置CE VLAN接入服务器,配置后用户流量可以通过TRILL网络传输。如果服务器通过接入设备双上行接入到TRILL网络中,建议用户在连接接入设备的边缘RB上配置STP/RSTP/MSTP联动TRILL功能进行破环。在网络侧,可以调整TRILL的路由选路和控制TRILL的网络收敛来保证网络高效转发。

·         核心层:

在网络侧可以调整TRILL的路由选路和控制TRILL的网络收敛来保证网络高效转发。在出口侧,可以通过出口路由器连接企业其他网络,或者在核心层设备上配置虚拟系统VSVirtual System),使用其中一个VS作为出口网关,连接企业其他网络。

本文章本文章采集CSDN云计算

www.lcdkvm.cn



加载中
返回顶部
顶部