返回
技术盛宴丨从实战浅析运营商云资源池—解析流量模型.doc

技术盛宴丨从实战浅析运营商云资源池—解析流量模型.doc

ID:57577171

大小:1.43 MB

页数:10页

时间:2020-08-27

技术盛宴丨从实战浅析运营商云资源池—解析流量模型.doc_第1页
技术盛宴丨从实战浅析运营商云资源池—解析流量模型.doc_第2页
技术盛宴丨从实战浅析运营商云资源池—解析流量模型.doc_第3页
技术盛宴丨从实战浅析运营商云资源池—解析流量模型.doc_第4页
技术盛宴丨从实战浅析运营商云资源池—解析流量模型.doc_第5页
资源描述:

《技术盛宴丨从实战浅析运营商云资源池—解析流量模型.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、前篇《从实战浅析运营商云资源池网络—技术的抉择》浅析了“某运营商IT云资源池网络”的技术选用和原因,本篇将进一步阐述业务场景的关键流量模型,例如:域内和域间的同租户二三层互访、异租户三层互访、安全防护、南北向流量等;从而帮助大家了解数据中心的”血液”是如何在网络Overlay中流动的,进一步熟悉云计算数据中心的底层网络架构和逻辑。01整体拓扑介绍图1.1.▲整体拓扑图示该案例网络主要结构示意如上图,其中一些无关的细节做了精简和裁切。该网络中有多个POD,每个POD均有自己独立的出口。POD内部的网络设

2、备使用EVPNVXLAN方式实现Overlay。POD之间采用DCI互联层进行连接,DCI接入交换机之间通过EVPNVXLAN实现L2/L3VPN。02POD内流量模型介绍同租户L2流量租户的Host通常都有规划在一个Bridge中的需求。同交换机下的L2互通由本地服务器中vSwitch进行互通或交换机本地L2转发即可,但POD内的一个租户的Host因资源分配的原因经常分配在不同的Leaf交换机下,因此需要实现跨Leaf的L2流量互通。图2.1.▲同租户L2流量模型图示同租户L2流量模型说明如下:同一

3、租户网络内主机之间的L2通信,不同VTEP之间的转发,由Leaf进行VXLAN封装后,发送到VXLAN隧道的对端VTEP,然后进行VXLAN解封装,核心交换机(Spine)仅实现外层报文的三层路由,流量不经过Border(出口边界交换机)。同租户L3流量对于一个租户的不同的Network,可能会有通过”vRouter”进行L3互通的需求。因此需要通过交换机给租户提供”vRouter”的功能特性。图2.2.▲同租户L3流量模型图示流量模型说明如下:同一租户网络内业务之间的三层通信,不同VTEP之间的转发

4、,由Leaf进行VXLAN封装后,根据报文目的ip,查找路由表,发送到VXLAN隧道的对端VTEP,然后进行VXLAN解封装,剥离VxLAN报文,还原出原始的数据帧,根据目的ip找到出端口,发送给接收主机.域内同租户跨L3通信,涉及不同VTEP之间的L3路由;采用分布对称式进行部署设计,Spine仅实现外层报文的三层路由,转发不经Border和防火墙,仅在Leaf完成。异租户L3流量图2.3.▲异租户L3流量模型图示在不同的VPC之间,可能会有一些业务系统有互通的需求,网络设备Overlay的VRF之

5、间互通可以采用外部路由器、BGPVPN间路由泄露的方式来实现VPC间的路由互通,考虑到一般来说VPC间的业务互通通常是有限的,比如存在不同的安全域级别、仅允许部分IP或端口互通。因此,本案例中的这部分流量采用外部防火墙来进行互通,同时实现安全策略控制。流量模型说明如下:VPC之间的通信流量需要经过Border,且需要经过内部防火墙进行流量过滤清洗。先在Leaf上实现VXLAN封装,同时在Border上解封装后发送给防火墙(引入防火墙,在防火墙内部串接完成VRF过渡);防火墙回送Border的流量再经过

6、Border进行VXLAN封装后发送给目的Leaf。租户A流量传递到所在的Leaf设备,Leaf设备负责VXLAN的封装后将报文传递给Border,Border通过静态或动态路由协议将报文引流至内层防火墙进行过滤清洗,同时进行VXLAN的解封装。内层防火墙收到引流报文后,将VRF-A和VRF-B进行路由互导,并将报文通过防火墙路由回注至Border对应的VRF-B的接口。Border重新封装VxlanTunnel至租户B所在Leaf,解封装后到达目标主机。03POD间流量模型介绍对于同租户内需要实现L

7、2/L3互通的业务中,其中一些例如容灾的、分布式部署的服务需要实现异地的部署,这类业务对网络提出了跨POD进行L2和L3互通的需求,这里考虑到链路成本等问题通常会用到L2/L3VPN的方式,上一篇文章有介绍几种通过VXLAN实现L2VPN的方式(VXLAN的特性同时也可以实现L3VPN),本例采用VlanHand-Off方式实现。同租户L2流量图3.1.▲跨POD同租户L2流量模型图示跨POD同租户L2流量模型说明如下:数据中心内采用分布式VxLAN网关,Server到Border实现L2/L3VXL

8、AN交换;跨POD的L2流量无需经过防火墙过滤,在POD1的Leaf封装VXLAN、Border解封装VXLAN后,以Vlan方式上送DCI交换机封装为vxlan后送到对端DCI交换机,还原vlan报文发送给POD2的Border,再次封装VXLAN发送给Leaf进行解封装,到达最终主机。同租户L3流量图3.2.▲跨POD同租户L3流量模型图示跨POD同租户L3流量模型说明如下:POD间同租户三层互访与二层互访路径略有相似,Border到DCILeaf通

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。