電信SDN合作創(chuàng)新課件

1、上海電信SDN合作創(chuàng)新方案2022/7/28上海電信SDN合作創(chuàng)新方案目錄上海電信IDC SDN+VXLAN解決方案整體架構(gòu)托管業(yè)務(wù)方案云計算業(yè)務(wù)方案上海電信SDN合作創(chuàng)新方案云計算業(yè)務(wù)托管業(yè)務(wù)RESTful APINetMatrixNovaCinderRESTful APINetconfNeutronPlugin/DriverSNC硬件NVE硬件NVE硬件NVE硬件NVE硬件NVE硬件NVEVxLAN-GWVxLAN-GWVirtual ClusterFWvLB PoolFWIPSVXLAN FabricVXLAN FabricService RouterService RouterVirt

2、ual ClusterRESTful APIOpenflowCPE NVEVXLAN NVENetconf/CLINetconf/CLIvSwitchVM2VM1Server1vSwitchVM2VM1Server2vSwitchVM2VM1Server3租戶SW租戶SW租戶SW上海電信IDC SDN+VXLAN網(wǎng)絡(luò)解決方案整體架構(gòu)業(yè)務(wù)呈現(xiàn)層面向運(yùn)營商的Portal，提供云計算業(yè)務(wù)和托管業(yè)務(wù)的定制服務(wù)。云計算協(xié)同層采用開源Openstack Havana版本。實現(xiàn)存儲、計算和網(wǎng)絡(luò)資源的協(xié)同。SDN網(wǎng)絡(luò)協(xié)同器&控制器由NetMatrix和SNC組成，完成網(wǎng)絡(luò)建模和網(wǎng)絡(luò)實例化。網(wǎng)絡(luò)協(xié)同器為NetM

3、atrix，具備托管業(yè)務(wù)&云計算業(yè)務(wù)網(wǎng)絡(luò)資源調(diào)度和協(xié)同，以及VAS資源調(diào)度和協(xié)同，實現(xiàn)VAS業(yè)務(wù)自動化。網(wǎng)絡(luò)控制器為SNC，負(fù)責(zé)VXLAN NVE轉(zhuǎn)發(fā)器的流表轉(zhuǎn)發(fā)控制，以及VxLAN虛擬網(wǎng)絡(luò)的自動化建立。北向支持RESTful API接口，實現(xiàn)業(yè)務(wù)快速定制和自動發(fā)放。南向支持OpenFlow/Netconf/CLI等接口，控制物理和虛擬網(wǎng)絡(luò)?；A(chǔ)網(wǎng)絡(luò)基于一套物理網(wǎng)絡(luò)，通過VXLAN overlay技術(shù)構(gòu)建虛擬網(wǎng)絡(luò)，分別滿足托管業(yè)務(wù)和云計算業(yè)務(wù)的需求。面向云計算業(yè)務(wù)提供vLB PooL服務(wù)和FW/IPS服務(wù)面向托管業(yè)務(wù)提供FW和IPS服務(wù)上海電信SDN合作創(chuàng)新方案目錄上海電信IDC SDN+VX

4、LAN解決方案整體架構(gòu)托管業(yè)務(wù)方案云計算業(yè)務(wù)方案上海電信SDN合作創(chuàng)新方案托管業(yè)務(wù)方案整體組網(wǎng)方案托管業(yè)務(wù)場景 & 企業(yè)分支接入場景業(yè)務(wù)流量模型租戶主機(jī)通過虛擬網(wǎng)絡(luò)實現(xiàn)互訪QoS場景托管業(yè)務(wù)租戶L3接入公網(wǎng)場景上海電信SDN合作創(chuàng)新方案上海電信IDC托管業(yè)務(wù)物理組網(wǎng)DC扁平化組網(wǎng)（VxLAN GW+硬件NVE）兩臺VxLAN網(wǎng)關(guān)通過虛擬集群形成一個邏輯節(jié)點，提高可靠性接入交換機(jī)雙上聯(lián)至兩臺VxLAN網(wǎng)關(guān)NetMatrix & SNC通過主備模式提供可靠性，可以跨機(jī)房部署Service-Router對于托管類業(yè)務(wù)，Service Router主要通過NetMatrix下發(fā)的引流策略實現(xiàn)租戶VAS

5、業(yè)務(wù)引流動作NVE接入交換機(jī)做VxLAN網(wǎng)絡(luò)邊緣節(jié)點，為DC租戶提供VxLAN虛擬網(wǎng)絡(luò)接入服務(wù)CPE支持VxLAN接入，為中小企業(yè)和分支機(jī)構(gòu)提供遠(yuǎn)程接入DC的服務(wù)增值業(yè)務(wù)硬件防火墻及IPS旁掛在VxLAN-GW兩側(cè)Service RouterService RouterVirtual Cluster硬件NVE硬件NVEFW硬件NVEService RouterService RouterVirtual Cluster硬件NVE硬件NVEFW硬件NVEService RouterService RouterVirtual Cluster硬件NVE硬件NVE硬件NVERouterRouterRou

6、ter同城跨DC VxLAN overlay虛擬網(wǎng)絡(luò)CPE NVE中小企業(yè)/分支接入DCIDC匯聚平面NetmatrixSNC增值業(yè)務(wù)設(shè)備VxLAN網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)控制器&協(xié)同器DC-1DC-2DC-nVxLAN NVERack 1Rack 2Rack nRack 1Rack 2Rack nRack 1Rack 2Rack nvLBIPS上海電信SDN合作創(chuàng)新方案PortalDC2TOR NVE3VxLAN-GWTOR NVE4DC1TOR NVE1VxLAN-GWTOR NVE2網(wǎng)絡(luò)協(xié)同器&控制器NetMatrixSNCDC3TOR NVE5VxLAN-GWTOR NVE6VXLAN overl

7、ay虛擬網(wǎng)絡(luò)企業(yè)分支CPE NVEFW/IPSFW/IPSOpenflowCLI1、通過Portal定制VXLAN虛擬網(wǎng)絡(luò)業(yè)務(wù)以及VAS業(yè)務(wù)2、業(yè)務(wù)模板下發(fā)至NetMatrix3、NetMatrix分配網(wǎng)絡(luò)資源，并且針對租戶需求下發(fā)FW和IPS業(yè)務(wù)配置，以及VXLAN GW引流策略4、SNC通過Openflow控制轉(zhuǎn)發(fā)器并創(chuàng)建VXLAN網(wǎng)絡(luò)1234托管業(yè)務(wù)流程及方案5、TOR NVE和CPE NVE學(xué)習(xí)租戶主機(jī)MAC，且本地做MAC查表轉(zhuǎn)發(fā)，并依據(jù)SNC下發(fā)的廣播域做BUM報文頭端復(fù)制5上海電信SDN合作創(chuàng)新方案托管業(yè)務(wù)場景：租戶TAG透傳（運(yùn)營商不感知租戶VLAN）TOR交換機(jī)1（NVE）租

8、戶服務(wù)器1租戶服務(wù)器2租戶服務(wù)器3租戶服務(wù)器4租戶服務(wù)器5租戶服務(wù)器6租戶L3 GW/L2 Switch租戶L2 SwitchTOR交換機(jī)2（NVE）P2P1L3L2 TrunkL2 TrunkVLAN 11VLAN 12VLAN 13VLAN 11VLAN 12VLAN 13DC2DC1VLAN透傳VLAN透傳Service RouterService RouterVirtual ClusterL3L3Service RouterService RouterVirtual Cluster租戶服務(wù)器8租戶服務(wù)器9TOR交換機(jī)3（NVE）L2 TrunkDC3VLAN透傳Service Rout

9、erService RouterVirtual ClusterVNI 100租戶虛擬網(wǎng)絡(luò)VXLANVXLANVXLANIP路由租戶服務(wù)器7P1P2L2 TrunkVLAN透傳P2P1由租戶服務(wù)器網(wǎng)卡或虛擬交換機(jī)封裝解封裝VLAN由租戶服務(wù)器網(wǎng)卡或虛擬交換機(jī)封裝解封裝VLAN租戶自組網(wǎng)租戶自組網(wǎng)服務(wù)器機(jī)位機(jī)架資源機(jī)架資源服務(wù)器機(jī)位運(yùn)營商網(wǎng)絡(luò)租戶網(wǎng)絡(luò)租服務(wù)器機(jī)位租服務(wù)器機(jī)位每租戶每VNI運(yùn)營商提供VXLAN二層網(wǎng)絡(luò)，透傳租戶VLAN報文；運(yùn)營商的VXLAN GW做Service Router，通過NetMatrix下發(fā)的引流策略實現(xiàn)租戶VAS業(yè)務(wù)引流動作；運(yùn)營商分配公網(wǎng)IP或地址段給租戶；租戶自組

10、網(wǎng)提供L3 GW和L2 SW，由租戶根據(jù)運(yùn)營商分配的公網(wǎng)IP地址段配置自有L3 GW和服務(wù)器；租戶向運(yùn)營商租少量的服務(wù)器機(jī)位滿足新增服務(wù)器部署要求，并需要與租戶自組網(wǎng)互通；FWIPSTOR NVE IPTOR PORTVNIACL匹配VNINE40E基于ACL CAR做雙向限速上海電信SDN合作創(chuàng)新方案企業(yè)分支接入場景DC匯聚平面CPE NVETOR NVE 1Service RouterService RouterVirtual ClusterDC 1TOR NVE 2Service RouterService RouterVirtual ClusterTOR NVE 3DC 2Servic

11、eRouterServiceRouterVirtual ClusterTOR NVE 4DC 3企業(yè)分支CPE NVE接入城域網(wǎng)，通過城域網(wǎng)與IDC實現(xiàn)IP互通CPE NVE與TOR NVE直接建立VXLAN TunnelCPE NVE和TOR NVE接入側(cè)端口采用PORT與VNI映射，并支持租戶VLAN透傳租戶L3 GW租戶L2 SWFWIPSIP路由P1P2租戶服務(wù)器租戶服務(wù)器租戶L2 SW租戶網(wǎng)絡(luò)租戶網(wǎng)絡(luò)企業(yè)分支網(wǎng)絡(luò)P1P2P3P4P5P6TOR NVE 1TOR NVE 2TOR NVE 3TOR NVE 4CPE NVETunnel1Tunnel2Tunnel3Tunnel4VXLA

12、N Fabric租戶虛擬網(wǎng)絡(luò)P7Tunnel 2 + VNI 10Tunnel 4 + VNI 10Tunnel 3 + VNI 10Tunnel 1 + VNI 10VxLAN overlay虛擬網(wǎng)絡(luò)L3NetMatrixSNC上海電信SDN合作創(chuàng)新方案租戶托管業(yè)務(wù)&企業(yè)分支網(wǎng)絡(luò)模型L3L2L2L2L2L2DC1_TOR NVE 1DC2_TOR NVE 2DC2_TOR NVE 3DC3_TOR NVE 4CPE NVETunnel1Tunnel2Tunnel3Tunnel4VXLAN Fabric 租戶虛擬網(wǎng)絡(luò)L2Service RouterL3 IPFWIPSVNI 100Servic

13、e Router通過NetMatrix來下發(fā)租戶VAS引流策略，基于租戶公網(wǎng)IP或IP五元組來做策略路由引流至VAS設(shè)備FW、IPS等增值業(yè)務(wù)設(shè)備，通過NetMatrix下發(fā)租戶VAS業(yè)務(wù)配置CPE NVE接入端口與VNI橋接映射，透傳租戶VLAN；支持雙向做CARCPE NVE網(wǎng)絡(luò)側(cè)通過Tunnel+VNI方式做雙向QoS CARTOR NVE網(wǎng)絡(luò)側(cè)通過Tunnel+VNI方式做雙向QoS CAR租戶接入公網(wǎng)的端口，基于端口做QoS CAR，限制租戶南北向流的上下行帶寬租戶服務(wù)器租戶服務(wù)器TOR NVE接入端口與VNI橋接映射，透傳租戶VLAN；支持雙向做CAR租戶SW租戶GW租戶SW租戶S

14、W上海電信SDN合作創(chuàng)新方案托管類業(yè)務(wù)流量模型TOR交換機(jī)1（NVE）租戶服務(wù)器1租戶服務(wù)器2租戶服務(wù)器3租戶服務(wù)器4租戶服務(wù)器5租戶服務(wù)器6租戶L3 GW/L2 Switch租戶L2 SwitchTOR交換機(jī)2（NVE）P2P1L3L2 TrunkL2 TrunkVLAN 11VLAN 12VLAN 13VLAN 11VLAN 12VLAN 13DC2DC1VLAN透傳VLAN透傳Service RouterService RouterVirtual ClusterL3L3Service RouterService RouterVirtual Cluster租戶服務(wù)器8租戶服務(wù)器9TOR交換

15、機(jī)3（NVE）L2 TrunkDC3VLAN透傳Service RouterService RouterVirtual ClusterVNI 100租戶虛擬網(wǎng)絡(luò)VXLANVXLANVXLAN租戶服務(wù)器7P1P2L2 TrunkVLAN透傳P2P1由租戶服務(wù)器網(wǎng)卡或虛擬交換機(jī)封裝解封裝VLAN由租戶服務(wù)器網(wǎng)卡或虛擬交換機(jī)封裝解封裝VLAN租戶自組網(wǎng)租戶自組網(wǎng)服務(wù)器機(jī)位機(jī)架資源機(jī)架資源服務(wù)器機(jī)位運(yùn)營商網(wǎng)絡(luò)租戶網(wǎng)絡(luò)租服務(wù)器機(jī)位租服務(wù)器機(jī)位運(yùn)營商提供跨DC大二層虛擬網(wǎng)絡(luò)，不感知租戶VLAN信息TOR NVE之間建立P2P的VXLAN隧道運(yùn)營商不向租戶提供多物理端口接入租戶自組網(wǎng)網(wǎng)絡(luò)，避免環(huán)路租戶非自組

16、網(wǎng)場景下所接入的服務(wù)器支持VLAN的封裝與解封裝FWIPSVLAN 13VLAN 11VLAN 12DC1的Virtual Cluster路由器需要依據(jù)租戶公網(wǎng)IP或IP五元組來做增值業(yè)務(wù)引流租戶跨機(jī)房同子網(wǎng)流量需要通過VXLAN隧道實現(xiàn)互訪租戶同一個TOR下同子網(wǎng)流量經(jīng)本地TOR橋接實現(xiàn)互訪租戶跨子網(wǎng)流量需要繞行至租戶L3 GW終結(jié)二層后實現(xiàn)互訪紅色標(biāo)識為租戶同子網(wǎng)服務(wù)器間的東西向流量藍(lán)色標(biāo)識為租戶服務(wù)器與Internet間的南北向流量橙色標(biāo)識為租戶跨子網(wǎng)服務(wù)器間的東西向流量上海電信SDN合作創(chuàng)新方案VLAN 11企業(yè)分支業(yè)務(wù)流量模型DC匯聚平面CPE NVETOR NVE 1Service

17、 RouterService RouterVirtual ClusterDC 1TOR NVE 2Service RouterService RouterVirtual ClusterTOR NVE 3DC 2Service RouterService RouterVirtual ClusterTOR NVE 4DC 3租戶L3 GW租戶L2 SWFWIPSP1P2租戶服務(wù)器租戶服務(wù)器租戶網(wǎng)絡(luò)租戶網(wǎng)絡(luò)VxLAN overlay虛擬網(wǎng)絡(luò)分支L2 SW租戶網(wǎng)絡(luò)租戶L2 SWVLAN 11VLAN 12VLAN 11VLAN 12VLAN 11VLAN 12VLAN 12L3IP路由紅色標(biāo)識為企業(yè)分

18、支與IDC托管網(wǎng)絡(luò)同子網(wǎng)服務(wù)器間的東西向流量藍(lán)色標(biāo)識為企業(yè)分支以IDC托管網(wǎng)絡(luò)中的租戶L3 GW作為三層出口網(wǎng)關(guān)，與Internet間的南北向流量企業(yè)分支CPE NVE與DC中的TOR NVE之間建立VxLAN Tunnel企業(yè)分支機(jī)構(gòu)與IDC托管業(yè)務(wù)中的租戶網(wǎng)絡(luò)共享L3 GW，企業(yè)分支至Internet的流量由租戶自組網(wǎng)中的L3 GW終結(jié)二層實現(xiàn)三層轉(zhuǎn)發(fā)企業(yè)分支與IDC托管業(yè)務(wù)間三層跨租戶子網(wǎng)流量，需要通過租戶自己的L3 GW實現(xiàn)二層終結(jié)跨子網(wǎng)互訪上海電信SDN合作創(chuàng)新方案租戶同子網(wǎng)主機(jī)通過VXLAN虛擬網(wǎng)絡(luò)實現(xiàn)互訪DC匯聚平面CPE NVETOR NVE 1Service RouterSe

19、rvice RouterVirtual ClusterDC 1TOR NVE 2TOR NVE 3DC 2TOR NVE 4DC 3租戶L3 GW租戶L2 SWFWIPSP1P2主機(jī)1分支L2 SW租戶L2 SWVLAN 11VLAN 12IP路由VLAN 12VLAN 11主機(jī)2主機(jī)3主機(jī)6VLAN 12VLAN 11VLAN 12VLAN 11主機(jī)4主機(jī)5主機(jī)7主機(jī)8VxLAN overlay虛擬網(wǎng)絡(luò)PayloadSIP: DIP: DMAC: 0 xFFFFSMAC: MAC11PayloadSIP: DIP: DMAC: 0 xFFFFSMAC: MAC12VLAN：1112Paylo

20、adSIP: DIP: DMAC: 0 xFFFFSMAC: MAC13VLAN：11SIP: NVE1DIP：NVE GroupSMAC：NVE1 MACDMAC：Net MACPayloadSIP: DIP: DMAC: 0 xFFFFSMAC: MAC15456PayloadSIP: DIP: DMAC: MAC1SMAC: MAC56VLAN：119ARP請求主機(jī)1發(fā)送ARP請求；租戶L2 SW接收主機(jī)ARP學(xué)習(xí)主機(jī)1的MAC，對ARP封裝VLAN頭，然后源端口剪枝并在廣播域內(nèi)廣播；TOR NVE1接收到ARP報文，根據(jù)Port與VNI的映射關(guān)系，同時查廣播域列表，然后封裝VXLAN頭

21、做頭端復(fù)制（依據(jù)SNC提前下發(fā)的廣播域列表做頭端復(fù)制）；TOR NVE3接收到NVE1發(fā)送的頭端復(fù)制報文做VXLAN解封裝，還原帶TAG的主機(jī)1發(fā)送的ARP請求報文，學(xué)習(xí)源MAC，并在BD域內(nèi)做源端剪枝廣播主機(jī)5接收ARP廣播報文，服務(wù)器網(wǎng)卡或服務(wù)器內(nèi)的虛擬交換機(jī)支持VLAN報文的解封裝，主機(jī)5對ARP報文做處理ARP應(yīng)答主機(jī)5發(fā)送ARP應(yīng)答，服務(wù)器網(wǎng)卡或服務(wù)器內(nèi)的虛擬交換機(jī)封裝VLAN頭，單播至TOR NVE3TOR NVE3接收到主機(jī)5發(fā)送的ARP應(yīng)答，查MAC表和NVE表獲取目的NVE1 IP及出口Tunnel，封裝VXLAN頭，單播轉(zhuǎn)發(fā)至NVE1TOR NVE1解封裝VXLAN頭，還原

22、帶TAG的ARP應(yīng)答報文，學(xué)習(xí)源MAC5，同時查目的MAC獲得出接口并向租戶網(wǎng)絡(luò)轉(zhuǎn)發(fā)企業(yè)分支ARP請求ARP應(yīng)答PayloadSIP: DIP: DMAC: MAC1SMAC: MAC58VLAN：11738NVE本地進(jìn)行MAC學(xué)習(xí)，并通過SNC下發(fā)的廣播域列表，做BUM報文頭端復(fù)制Service RouterService RouterVirtual ClusterPayloadSIP: DIP: DMAC: 0 xFFFFSMAC: MAC14VLAN：11Service RouterService RouterVirtual ClusterPayloadSIP: DIP: DMAC: M

23、AC1SMAC: MAC57VLAN：11SIP: NVE3DIP：NVE1SMAC：NVE3 MACDMAC：Net MAC上海電信SDN合作創(chuàng)新方案租戶跨子網(wǎng)主機(jī)通過VXLAN虛擬網(wǎng)絡(luò)實現(xiàn)互訪DC匯聚平面CPE NVETOR NVE 1Service RouterService RouterVirtual ClusterDC 1TOR NVE 2Service RouterService RouterVirtual ClusterTOR NVE 3DC 2Service RouterService RouterVirtual ClusterTOR NVE 4DC 3租戶L3 GW租戶L2

24、SWFWIPSP1P2主機(jī)1分支L2 SW租戶L2 SWVLAN 11VLAN 12IP路由VLAN 12VLAN 11主機(jī)2主機(jī)3主機(jī)6VLAN 12VLAN 11VLAN 12VLAN 11主機(jī)4主機(jī)5主機(jī)7主機(jī)8VxLAN overlay虛擬網(wǎng)絡(luò)企業(yè)分支IDC托管網(wǎng)絡(luò)中的主機(jī)2屬于VLAN12，企業(yè)分支中的主機(jī)7屬于VLAN11，兩臺主機(jī)的通信需要通過租戶的L3 GW實現(xiàn)跨VLAN子網(wǎng)互訪上海電信SDN合作創(chuàng)新方案NE40E租戶1租戶2 CE785056781234122350NE40E租戶1租戶2 CE7850567812341223/30/30/30租戶3 /30/24/24/24/

25、30/30租戶3 L2 SwitchL3 Switch托管業(yè)務(wù)租戶L3接入公網(wǎng)111111基于SW端口控制租戶L3接入的上下行帶寬LAGEth-Trunk運(yùn)營商給租戶分配的公網(wǎng)地址/24/24/24紅色I(xiàn)P為租戶L3 GW與運(yùn)營商路由器的互聯(lián)地址藍(lán)色I(xiàn)P為分配給租戶的公網(wǎng)IP地址或地址段上海電信SDN合作創(chuàng)新方案托管業(yè)務(wù)QoS場景Service RouterService RouterVirtual ClusterService RouterService RouterVirtual ClusterService RouterService RouterVirtual ClusterVNI 1

26、00硬件NVE硬件NVE硬件NVEVXLANVXLANVXLANNE40E：NNI側(cè)基于VNI控制租戶跨機(jī)房子網(wǎng)內(nèi)帶寬（跨機(jī)房同子網(wǎng)帶寬=1G）NetMatrixSNC托管業(yè)務(wù)TOR NVE：UNI側(cè)基于端口控制租戶接入的上下行帶寬NNI側(cè)基于VNI+NVE DIP控制跨TOR的帶寬NetconfOpenflowCPE NVEVXLANDC1DC2DC3企業(yè)分支CPE NVE：UNI側(cè)基于端口控制租戶接入的上下行帶寬NNI側(cè)基于VNI+NVE DIP控制跨TOR的帶寬業(yè)務(wù)流程通過Portal定制QoS業(yè)務(wù)，選擇策略控制點及帶寬參數(shù)，業(yè)務(wù)下發(fā)至NetMatrix，由NetMatrix分配資源并下

27、發(fā)配置至SNC以及非NVE節(jié)點。SNC下發(fā)業(yè)務(wù)配置至NVE節(jié)點。QoS策略控制點Portal上海電信SDN合作創(chuàng)新方案目錄上海電信IDC SDN+VXLAN解決方案整體架構(gòu)托管業(yè)務(wù)方案云計算業(yè)務(wù)方案上海電信SDN合作創(chuàng)新方案云計算業(yè)務(wù)方案整體組網(wǎng)方案VxLAN同子網(wǎng)/跨子網(wǎng)業(yè)務(wù)互訪南北向業(yè)務(wù)流程增值業(yè)務(wù)部署方案業(yè)務(wù)可靠性方案QoS方案上海電信SDN合作創(chuàng)新方案上海電信IDC云計算業(yè)務(wù)物理組網(wǎng)DC扁平化組網(wǎng)（VxLAN GW+硬件NVE）兩臺VxLAN網(wǎng)關(guān)通過虛擬集群形成一個邏輯節(jié)點，提高可靠性接入交換機(jī)雙上聯(lián)至兩臺VxLAN網(wǎng)關(guān)NetMatrix & SNC通過主備模式提供可靠性，可以跨機(jī)房部

28、署VxLAN-GW南北向VxLAN業(yè)務(wù)終結(jié)點，終結(jié)VxLAN，做L3網(wǎng)關(guān)，提供南北向的IP轉(zhuǎn)發(fā)東西向VxLAN跨子網(wǎng)業(yè)務(wù)的網(wǎng)關(guān)NVE接入交換機(jī)做VxLAN網(wǎng)絡(luò)邊緣節(jié)點，為DC租戶提供VxLAN虛擬網(wǎng)絡(luò)接入服務(wù)增值業(yè)務(wù)硬件防火墻及IPS旁掛在VxLAN-GW兩側(cè)軟件的LB部署在服務(wù)器上，形成vLB資源池，通過交換機(jī)與VxLAN-GW相連VxLAN-GWVxLAN-GWVirtual Cluster硬件NVE硬件NVE硬件NVEVxLAN-GWVxLAN-GWVirtual Cluster硬件NVE硬件NVEFW硬件NVEvLB PoolVxLAN-GWVxLAN-GWVirtual Cluste

29、r硬件NVE硬件NVE硬件NVERouterRouterRouter同城跨DC VxLAN大二層資源池IDC匯聚平面NetMatrixSNC增值業(yè)務(wù)設(shè)備VxLAN網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)控制器&協(xié)同器DC-1DC-2DC-nVxLAN NVEIPSvSwitchVM2VM1Server1vSwitchVM2VM1Server2vSwitchVM2VM1Server3vSwitchVM2VM1Server4vSwitchVM2VM1Server5vSwitchVM2VM1Server6vSwitchVM2VM1Server7vSwitchVM2VM1Server8vSwitchVM2VM1Server9上海

30、電信SDN合作創(chuàng)新方案云計算業(yè)務(wù)方案整體組網(wǎng)方案VxLAN同子網(wǎng)/跨子網(wǎng)業(yè)務(wù)互訪南北向業(yè)務(wù)流程增值業(yè)務(wù)部署方案業(yè)務(wù)可靠性方案QoS方案上海電信SDN合作創(chuàng)新方案VxLAN網(wǎng)絡(luò)同子網(wǎng)互訪ARP請求VM1發(fā)送ARP請求(SMAC：MAC1，SIP：IP1，DMAC：?，DIP：IP3），在本地VLAN內(nèi)廣播。VM1至NVE中間的vSwitch進(jìn)行MAC地址學(xué)習(xí)。ARP請求廣播到NVE1，NVE1更新本地MAC轉(zhuǎn)發(fā)表NVE1通過流表匹配，將ARP請求上送SNC。ARP應(yīng)答SNC根據(jù)目的IP，查找到對應(yīng)的MAC3及NVE2，通過NVE1發(fā)送ARP響應(yīng)報文給VM1SNC同時向NVE1下發(fā)目的地址MAC3

31、的轉(zhuǎn)發(fā)流表，出接口為VXLAN tunnel NVE2。業(yè)務(wù)轉(zhuǎn)發(fā)VM1向VM3發(fā)送業(yè)務(wù)報文。報文到NVE1后，查找MAC轉(zhuǎn)發(fā)表，找到出接口NVE2，進(jìn)行VXLAN封裝，外層目的地址為NVE2，源地址為NVE1。報文依據(jù)外層IP行路由轉(zhuǎn)發(fā)到NVE2，NVE2進(jìn)行VXLAN解封裝，然后在本地VLAN內(nèi)轉(zhuǎn)發(fā)/廣播，NVE2和VM3之間的vSwitch進(jìn)行MAC地址學(xué)習(xí)。報文到達(dá)目的地VM3。VM3訪問VM1的過程同上述VM1訪問VM3過程。VXLAN網(wǎng)絡(luò)同子網(wǎng)主機(jī)間通信VM1 MAC1VM1 IP1VNI 1VLAN1NVE1 IPVM2 MAC2VM2 IP2VNI 2VLAN2NVE1 IPVM

32、3 MAC3VM3 IP3VNI 1VLAN1NVE2 IPVM4 MAC4VM4 IP4VNI 2VLAN2NVE2 IPPayloadSIP: DIP: DMAC: 0 xFFFFSMAC: MAC11PayloadSIP: DIP: DMAC: 0 xFFFFSMAC: MAC14OpenFlow PackinVM1 MAC1VLAN1vif1.1VM3 MAC3VNI 1NVE25PayloadDIP: SIP: SMAC: MAC3DMAC: MAC1OpenFlow packout6PayloadDIP: SIP: SMAC: MAC1DMAC: MAC32PayloadSIP:

33、DIP: DMAC: MAC3SMAC: MAC17VM1 MAC1VLAN1G1/0.139DC Fabric L3 NetworkPayloadDIP: DMAC: MAC3SMAC: MAC18DIP: NVE2SIP: NVE1SMAC: NVE1 MACDMAC: Net MACSIP: SNC(控制器ARP 代答)主機(jī)1主機(jī)3TOR NVE 2TOR NVE 1VM1 MAC1VLAN1NVE110上海電信SDN合作創(chuàng)新方案VxLAN網(wǎng)絡(luò)跨子網(wǎng)互訪ARP請求VM1發(fā)送ARP請求(SMAC：MAC1，SIP：IP1，DMAC：?，DIP：IP5）VM1至NVE中間的vSwitch進(jìn)行

34、MAC地址學(xué)習(xí)。ARP請求廣播到NVE1，NVE1更新本地MAC轉(zhuǎn)發(fā)表。NVE1通過流表匹配，將ARP請求上送SNC。ARP應(yīng)答SNC根據(jù)目的IP5，查找到對應(yīng)的MAC5及NVE3，通過NVE1發(fā)送ARP響應(yīng)報文給VM1SNC同時向NVE1下發(fā)目的地址MAC5的轉(zhuǎn)發(fā)流表，出接口為VXLAN Tunnel NVE3。業(yè)務(wù)轉(zhuǎn)發(fā)VM1向VM4發(fā)送業(yè)務(wù)報文。報文到NVE1后，查找MAC轉(zhuǎn)發(fā)表，找到出接口NVE3，進(jìn)行VXLAN封裝，外層目的地址為NVE3，源地址為NVE1。報文依據(jù)外層IP路由轉(zhuǎn)發(fā)到NVE3，NVE3收到報文后進(jìn)行VXLAN解封裝，查找路由，轉(zhuǎn)發(fā)報文至目的IP所在的網(wǎng)關(guān)NVE4；NVE

35、4查找MAC轉(zhuǎn)發(fā)表，找到出接口NVE2，進(jìn)行VXLAN封裝，外層目的地址為NVE2，源地址為NVE4。 報文根據(jù)外層IP路由轉(zhuǎn)發(fā)到NVE2，NVE2接收報文后，執(zhí)行VXLAN解封裝，然后本地轉(zhuǎn)發(fā)/廣播到VM4。跨VXLAN網(wǎng)絡(luò)的主機(jī)通信：源VMGW目的VMDC FabricL3 NetworkSNCPayloadSIP: DIP: DMAC: 0 xFFFFSMAC: MAC14OpenFlow Packin5PayloadDIP: SIP: SMAC: MAC5DMAC: MAC1OpenFlow PackoutVM1 MAC1IP1VNI 1NVE1 IPVM2 MAC2IP2VNI 2N

36、VE1 IPVM3 MAC3IP3VNI 1NVE2 IPVM4 MAC4IP4VNI 2NVE2 IPGW1 MAC5IP5VNI 1NVE3 IPGW2 MAC6IP6VNI 2NVE4 IPPayloadSIP: DIP: DMAC: 0 xFFFFSMAC: MAC11VM1 MAC1VLAN1vif1.1GW1 MAC5VNI 1NVE362PayloadSIP: DIP: DMAC: MAC5SMAC: MAC17VM1 MAC1VLAN1G1/0.13PayloadSIP: DIP: SMAC: MAC1DMAC: MAC5DIP: NVE3SIP: NVE1SMAC: NVE1

37、 MACDMAC: Net MAC8PayloadDIP: SIP: DMAC: MAC4SMAC: MAC69DIP: NVE2SIP: NVE4SMAC: NVE4 MACDMAC: Net MACPayloadDIP: SIP: SMAC: MAC6DMAC: MAC410TOR NVE 1TOR NVE 2主機(jī)1主機(jī)4VxLAN GWNVE 3NVE 4上海電信SDN合作創(chuàng)新方案云計算業(yè)務(wù)方案整體組網(wǎng)方案VxLAN同子網(wǎng)/跨子網(wǎng)業(yè)務(wù)互訪南北向業(yè)務(wù)流程增值業(yè)務(wù)部署方案業(yè)務(wù)可靠性方案QoS方案上海電信SDN合作創(chuàng)新方案FWvLB PoolIPSDC匯聚平面南北向業(yè)務(wù)流程VxLAN-GWVx

38、LAN-GWVirtual Cluster硬件NVE1硬件NVE2WEB-AWEB-BRouter用戶用戶業(yè)務(wù)流程Internet用戶至WEB流量（用戶B訪問WEB-B）業(yè)務(wù)流經(jīng)過匯聚平面路由器按目的IP轉(zhuǎn)發(fā)至VxLAN GWVxLAN GW依據(jù)租戶VAS業(yè)務(wù)策略匹配業(yè)務(wù)鏈流表，按照業(yè)務(wù)鏈依次向FW、IPS、LB增值業(yè)務(wù)節(jié)點引流VxLAN GW將增值業(yè)務(wù)設(shè)備處理完的流量做VxLAN封裝，并發(fā)給目的NVE2NVE2解封裝VxLAN，還原用戶B的報文，查詢目的MAC轉(zhuǎn)發(fā)至WEB-BWEB至Internet用戶流量（用戶A訪問WEB-A）WEB-A流量到NVE1，由NVE1封裝VxLAN并轉(zhuǎn)發(fā)至Vx

39、LAN GWWEB-A網(wǎng)關(guān)為VxLAN GW， VxLAN GW解封裝VxLAN，依據(jù)策略查詢業(yè)務(wù)鏈流表，并按照業(yè)務(wù)鏈依次將回程流量引導(dǎo)至增值業(yè)務(wù)設(shè)備處理VxLAN GW接收VAS處理完的流量，并查詢目的IP（用戶A）向公網(wǎng)轉(zhuǎn)發(fā)WEB至Internet用戶流量Internet用戶至WEB流量VxLANIP123123非透明非透明非透明NAT4上海電信SDN合作創(chuàng)新方案云計算業(yè)務(wù)方案整體組網(wǎng)方案VxLAN同子網(wǎng)/跨子網(wǎng)業(yè)務(wù)互訪南北向業(yè)務(wù)流程增值業(yè)務(wù)部署方案業(yè)務(wù)可靠性方案QoS方案上海電信SDN合作創(chuàng)新方案DC匯聚平面VAS引流方案硬件NVE1IPS硬件NVE2vLB Pool硬件NVE1Rout

40、erRouterVxLAN-GWVxLAN-GWVirtual ClusterDC-1同城跨DC VxLAN overlay虛擬網(wǎng)絡(luò)FW跨DC大二層，與VAS設(shè)備直連的VxLAN GW作為遠(yuǎn)端DC的L3網(wǎng)關(guān)DC-2RouterRouterVirtual ClusterVNI 100vSwitchVM2VM1Server1vSwitchVM4VM3Server2vSwitchVM6VM5Server3VNI 100VNI 100LBDC1VxLAN-GWDC2NVE1VM5DC匯聚平面FWDC1VxLAN-GWDIP:SIP:VNI 100服務(wù)器私網(wǎng)網(wǎng)關(guān)：00；解封裝VxLAN，查目的IP 轉(zhuǎn)發(fā)

41、至LB將VM5的VIP：做NAT轉(zhuǎn)換為公網(wǎng)地址：，查公網(wǎng)默認(rèn)路由以及安全策略流表進(jìn)行轉(zhuǎn)發(fā)DC1VxLAN-GWVRF_sub-if3VRF_sub-if2VRF_sub-if1VLAN到VNI映射，封裝VxLANDC1的VxLAN-GW做遠(yuǎn)端DC2中租戶主機(jī)的網(wǎng)關(guān)查公網(wǎng)路由轉(zhuǎn)發(fā)DIP:SIP：查服務(wù)器私網(wǎng)路由，封裝VxLAN轉(zhuǎn)發(fā)根據(jù)負(fù)載均衡算法調(diào)度服務(wù)器，選中VM 5，查路由轉(zhuǎn)發(fā)查私網(wǎng)路由轉(zhuǎn)發(fā)，下一跳為LB查NAT流表，將公網(wǎng)地址轉(zhuǎn)換為對應(yīng)的VIP：私網(wǎng)地址，做FW安全策略，并查私網(wǎng)路由轉(zhuǎn)發(fā)VNI到VLAN映射，解封裝VxLAN查公網(wǎng)路由轉(zhuǎn)發(fā)將VM5的SIP做源地址替換為，并查私網(wǎng)默認(rèn)路由轉(zhuǎn)發(fā)

42、查私網(wǎng)默認(rèn)路由轉(zhuǎn)發(fā)，下一跳FWVRF_sub-ifvFWvLBInternet至服務(wù)器服務(wù)器至InternetVM 5 IP: （私網(wǎng)）GW IP: 00（私網(wǎng)）LB VIP/Self IP: （私網(wǎng)）FW NAT Public IP: （公網(wǎng)）上海電信SDN合作創(chuàng)新方案VxLAN-GWVxLAN-GWVirtual ClusterFW1LB1FW2LB2硬件NVE vSwitchNVEVXLAN FabricHRP心跳線Failover串口線InternetvSwitchVMVMServerVMVMServerLink-GroupLink-GroupFW2FW1VxLAN-GWVxLAN-G

43、WVirtual ClusterVxLAN-GWVxLAN-GWVirtual ClusterVRRPHRP服務(wù)器側(cè)Internet側(cè)LB2LB1VxLAN-GWVxLAN-GWVirtual ClusterVRRPInternet側(cè)服務(wù)器側(cè)FailoverLink-GroupLink-GroupFW部署方案FW雙臂旁掛在VXLAN-GW（虛擬集群）兩側(cè)，F(xiàn)W部署HRP雙機(jī)熱備保護(hù)。FW上下行鏈路及業(yè)務(wù)板綁定在一個Link-Group中，當(dāng)其中任意成員故障會使整個邏輯組置down，從而觸發(fā)FW主備倒換。兩臺FW的服務(wù)器側(cè)子接口部署VRRP，VRRP VIP作為VXLAN-GW的虛擬下一跳，提供

44、可靠性；同時可以按照租戶粒度（每租戶對應(yīng)一個子接口和vFW）或租戶業(yè)務(wù)粒度（每租戶業(yè)務(wù)區(qū)對應(yīng)一個子接口和vFW）配置兩臺FW的VRRP主備關(guān)系，實現(xiàn)租戶級或租戶業(yè)務(wù)級的VRRP負(fù)載分擔(dān)。FW部署NAT做南北向流NAT網(wǎng)關(guān)，并關(guān)聯(lián)VRRP。LB部署方案LB單臂旁掛在VXLAN GW（虛擬集群）兩側(cè)，并部署雙機(jī)熱備。兩臺LB與VXLAN-GW互聯(lián)的鏈路上配置子接口并部署VRRP，VRRP VIP作為VXLAN-GW的虛擬下一跳，提供可靠性；同時可以按照租戶粒度（每租戶對應(yīng)一個子接口和vFW）或租戶業(yè)務(wù)粒度（每租戶業(yè)務(wù)區(qū)對應(yīng)一個子接口和vFW）配置兩臺LB的VRRP主備關(guān)系，實現(xiàn)租戶級或租戶業(yè)務(wù)級的

45、VRRP負(fù)載分擔(dān)。FW上行鏈路FW下行鏈路FW上行鏈路FW下行鏈路FW下行鏈路FW上行鏈路VAS（FW/LB）方案上海電信SDN合作創(chuàng)新方案Server1FW業(yè)務(wù)自動化發(fā)放InternetL3 NetworkSNCPortal1. 租戶通過Portal申請安全增值業(yè)務(wù)NetMatrix(Netconf)4. SNC向VXLAN GW下發(fā)OpenFlow流表，將相關(guān)流量引導(dǎo)至防火墻處理2. NetMatrix向防火墻下發(fā)網(wǎng)絡(luò)安全和路由策略O(shè)pen API(OpenFlow)3. NetMatrix通知SNC建立流表（引導(dǎo)流量至防火墻）1. 租戶通過Portal申請安全增值業(yè)務(wù)。2. NetMat

46、rix選擇增值業(yè)務(wù)的部署位置，并向該防火墻下發(fā)安全和路由策略。3. NetMatrix針對租戶定制的業(yè)務(wù)需求，進(jìn)行配置分解，并通知SNC建立相應(yīng)的OpenFlow流表。4. SNC向?qū)?yīng)的VXLAN GW下發(fā)OpenFlow流表，從而將流量引至防火墻。5.VM與Internet間的流量途徑VXLAN GW，在VXLAN GW上命中OpenFlow流表并被轉(zhuǎn)發(fā)至FW處理。1324TOR NVE2TOR NVE1VxLAN GW5Server2FW上海電信SDN合作創(chuàng)新方案L3 NetworkVxLAN GWLB業(yè)務(wù)自動化發(fā)放InternetSNC1. 租戶通過Portal申請負(fù)載均衡增值業(yè)務(wù)Ne

47、tMatrix(Netconf)4. SNC向VXLAN GW下發(fā)OpenFlow流表，將相關(guān)流量引至LB處理2. NetMatrix向LB下發(fā)負(fù)載均衡策略O(shè)pen API(OpenFlow)3. NetMatrix通知SNC建立流表（引導(dǎo)流量至LB）1. 租戶通過Portal申請負(fù)載均衡增值業(yè)務(wù)。2. NetMatrix選擇增值業(yè)務(wù)的部署位置，并向該LB下發(fā)負(fù)載均衡和路由策略。3. Portal將租戶定制的業(yè)務(wù)下發(fā)給NetMatrix，NetMatrix針對需要引至LB處理的業(yè)務(wù)流進(jìn)行配置分解，并通知SNC建立相應(yīng)的OpenFlow流表。4. SNC向?qū)?yīng)的網(wǎng)絡(luò)設(shè)備（VXLAN GW）下發(fā)OpenFlow流表，從而將流量引導(dǎo)LB。5.VM與Internet間的流量途徑VXLAN GW，在VXLAN GW上命中OpenFlow流表并被轉(zhuǎn)發(fā)至LB處理。PortalTOR NVE1Server1Server2TOR NVE2LB12345上海電信SDN合作創(chuàng)新方案云計算業(yè)務(wù)方案整體組網(wǎng)方案VxLAN同子網(wǎng)/跨子網(wǎng)業(yè)務(wù)互訪南北向業(yè)務(wù)流程增值業(yè)務(wù)部署方案業(yè)務(wù)可靠性方案QoS方案上海電信SDN合作創(chuàng)新方案DC匯聚平面VxLAN-