CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案-基于MDC的Multi-Site設(shè)計指南

1、 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY PartNumber DOCPROPERTY Product&Project Name CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設(shè)計指南（基于MDC的Multi-Site） DOCPROPERTY Product&Project NameCloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設(shè)計指南（基于MDC的Multi-Site） STYLEREF Contents 目 錄文檔版本 DOCPROP

2、ERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版權(quán)所有 華為技術(shù)有限公司PAGE iii DOCPROPERTY DocumentVersion * MERGEFORMAT 01 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版權(quán)所有 華為技術(shù)有限公司PAGE lviii DOCPROPERTY DocumentVersion * MERGE

3、FORMAT 01 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版權(quán)所有 華為技術(shù)有限公司 STYLEREF 1 概述文檔版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版權(quán)所有 華為技術(shù)有限公司PAGE 11概述本章節(jié)說明多DC、多POD的業(yè)務(wù)場景和客戶訴求。 HYPERLINK l _ZH-CN_TOPIC_02863

4、78071 o 1.1 概念術(shù)語 HYPERLINK l _ZH-CN_TOPIC_0286378072 o 1.2 業(yè)務(wù)場景 HYPERLINK l _ZH-CN_TOPIC_0286378076 o 1.3 業(yè)務(wù)需求分析 HYPERLINK l _ZH-CN_TOPIC_0286378080 o 1.4 SDN網(wǎng)絡(luò)需求分析概念術(shù)語DC：Date Center，是比較通用的數(shù)據(jù)中心概念，從物理概念上看，可以是一個小的機(jī)房/資源Module，也可以是一個包含多個機(jī)房/資源Module。Pod：Point of Delivery，一個獨立的物理資源，Multi-Pod之間的Pod距離不能太遠(yuǎn)，P

5、od之間可以滿足傳統(tǒng)意義上的同城DC部署要求。Site：英文是站點的意思，一套iMaster NCE-Fabric控制器納管的范圍，Site的管理范圍更大，一個Site可以包含多個Pod。Multi-Pod：Multi-Pod適用于地域上距離較近的物理資源域，管理域是被同一套iMaster NCE-Fabric控制器納管的DC或者資源Module，當(dāng)前方案重點是距離較近的兩個Pod業(yè)務(wù)互通。Multi-Site：Multi-Site是兩個或者多個位于不同地域的Site，可以是位于同城的近距離Site，可以位于異地的遠(yuǎn)距離Site。管理層面上是多套iMaster NCE-Fabric控制器納管的

6、DC或者資源Module。MDC：Multi-Domain-Controller，多數(shù)據(jù)中心多Domain控制器，實現(xiàn)跨Fabric業(yè)務(wù)互通的自動化部署、支持靈活的安全策略控制。Domain：一個SDN管理域，對應(yīng)一套控制器的管理范圍，Domain控制器即是iMaster NCE-Fabric控制器。Transit Fabric：在Multi-Site場景使用，MDC支持將Domain控制器納管的DCI網(wǎng)關(guān)上收，將業(yè)務(wù)上有跨Fabric互通關(guān)系的Fabric GW放在一個Transit Fabric資源池中管理。VPC：Virtual Private Cloud，面向租戶，是一個用戶能夠定義的

7、虛擬網(wǎng)絡(luò)。一個租戶內(nèi)可以包含一個或多個VPC。Transit VPC：互通VPC，是相對業(yè)務(wù)VPC而言的一個邏輯概念，Multi-Site場景使用Transit VPC來實現(xiàn)多個Site之間的業(yè)務(wù)VPC互通。業(yè)務(wù)場景隨著大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)的迅速發(fā)展，隨著國家新基建對“大數(shù)據(jù)中心”戰(zhàn)略投資和布局，數(shù)據(jù)中心建設(shè)日趨活躍。各企業(yè)隨著業(yè)務(wù)的發(fā)展，越來越多的應(yīng)用部署在數(shù)據(jù)中心。而單個數(shù)據(jù)中心的規(guī)模有限，不可能無限擴(kuò)容，業(yè)務(wù)規(guī)模的不斷增長使得單個數(shù)據(jù)中心的資源很難滿足業(yè)務(wù)增長的需求，需要建設(shè)多個數(shù)據(jù)中心來部署業(yè)務(wù)。兩地三中心場景在金融、運(yùn)營商、政府等領(lǐng)域，信息系統(tǒng)業(yè)務(wù)中斷會導(dǎo)致巨大經(jīng)濟(jì)損失、影響品

8、牌形象并可能導(dǎo)致重要數(shù)據(jù)丟失。因此，保證業(yè)務(wù)連續(xù)性是信息系統(tǒng)建設(shè)的關(guān)鍵，備份和容災(zāi)逐漸成為了普遍需求。出于災(zāi)備的目的，企業(yè)一般都會建設(shè)多個數(shù)據(jù)中心，例如金融企業(yè)普遍采用“兩地三中心”的建設(shè)方案，“兩地三中心”指的是在同城建設(shè)雙活主用數(shù)據(jù)中心，在此基礎(chǔ)上在異地增加一個災(zāi)備數(shù)據(jù)中心，與同城雙活實現(xiàn)數(shù)據(jù)同步。同城雙活數(shù)據(jù)中心是指：相同的兩套業(yè)務(wù)系統(tǒng)部署在同城兩個DC，在應(yīng)用處理層面上實現(xiàn)了完全冗余，通過負(fù)載均衡GSLB將流量路由到不同數(shù)據(jù)中心的應(yīng)用服務(wù)器，兩套業(yè)務(wù)系統(tǒng)同時在同城的兩個數(shù)據(jù)中心運(yùn)行，同時為用戶提供服務(wù)。服務(wù)能力是雙倍的，并且互相實時災(zāi)備接管，當(dāng)某個數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)出現(xiàn)問題時，另一個數(shù)

9、據(jù)中心的業(yè)務(wù)系統(tǒng)仍持續(xù)提供服務(wù)，業(yè)務(wù)連續(xù)性和可靠性性得到了很大的提高，對用戶來說故障無感知。不同數(shù)據(jù)中心的子系統(tǒng)間需要跨DC互通，相同子系統(tǒng)的安全策略需要一致，對外提供相同服務(wù)，形成雙活。異地的災(zāi)備中心是同城雙活的兩個主數(shù)據(jù)中心的備份中心，用于備份主數(shù)據(jù)中心的數(shù)據(jù)、配置、業(yè)務(wù)等。當(dāng)主用雙中心出現(xiàn)自然災(zāi)害等原因發(fā)生故障時，異地災(zāi)備中心可以快速恢復(fù)數(shù)據(jù)和應(yīng)用，保證業(yè)務(wù)正常運(yùn)行，從而減輕因災(zāi)難給用戶帶來的損失，如REF _d0e230 r h圖1-1所示。兩地三中心場景示意邊緣DC場景隨著5G、物聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)的廣泛推廣和應(yīng)用，數(shù)據(jù)種類、數(shù)據(jù)規(guī)模和數(shù)據(jù)形式呈爆炸式增長，為更好地支撐高密度、大帶寬

10、和低時延業(yè)務(wù)場景，唯一有效的方式為在靠近用戶的網(wǎng)絡(luò)邊緣側(cè)構(gòu)建業(yè)務(wù)平臺，提供存儲、計算、網(wǎng)絡(luò)等資源，將部分關(guān)鍵業(yè)務(wù)應(yīng)用下沉到接入網(wǎng)絡(luò)邊緣。不同的業(yè)務(wù)對邊緣云數(shù)據(jù)中心的下沉程度要求不同，端到端時延要求50ms的業(yè)務(wù)對機(jī)房位置敏感度大幅降低，站址的規(guī)劃可以在較大地理范圍內(nèi)綜合考慮成本等因素來選。面向5G的邊緣數(shù)據(jù)中心基礎(chǔ)設(shè)施 數(shù)據(jù)中心能源白皮書801號另外，企業(yè)增量建設(shè)或者企業(yè)承建小規(guī)模數(shù)據(jù)中心也是邊緣DC的應(yīng)用場景。邊緣數(shù)據(jù)中心具有以下特點：邊緣DC部署非?？拷畔⒃?，具有屬地化部署特點，分布廣泛，具有小型化、分布式、數(shù)量多、貼近用戶等特點。當(dāng)邊緣DC的屬地用戶發(fā)起業(yè)務(wù)訪問時，根據(jù)就近服務(wù)原則，邊

11、緣DC可以處理一部分本地化服務(wù)，不再需要訪問中心DC，降低了網(wǎng)絡(luò)延時和傳輸壓力。另一方面，需要訪問中心DC數(shù)據(jù)的場景（核心數(shù)據(jù)在中心DC），中心DC通過骨干網(wǎng)將內(nèi)容發(fā)送給邊緣DC，邊緣DC再將內(nèi)容發(fā)送給最終客戶，在這個過程中，邊緣DC和中心DC之間需要進(jìn)行L2/L3互通。如REF _d0e275 r h圖1-2所示。邊緣DC場景示意大型DC多POD場景大型數(shù)據(jù)中心按照業(yè)務(wù)功能定位和安全防護(hù)等要求，DC內(nèi)劃分為多個物理資源池，每個資源池物理網(wǎng)絡(luò)獨立，對應(yīng)不同的POD，不同類資源池互訪通過安全設(shè)備進(jìn)行訪問控制。資源池內(nèi)部的不同業(yè)務(wù)通過邏輯隔離共享物理網(wǎng)絡(luò)。如REF _d0e314 r h圖1-3所

12、示為大型DC多POD的一個場景舉例，數(shù)據(jù)中心內(nèi)部劃分為生產(chǎn)區(qū)、測試區(qū)、容災(zāi)區(qū)、互聯(lián)網(wǎng)DMZ區(qū)、外聯(lián)網(wǎng)DMZ區(qū)等不同資源池，按照資源池物理隔離要求，每個資源池部署在不同的POD中，POD間互訪流量需要經(jīng)過安全設(shè)備訪問控制及交換核心設(shè)備的路由轉(zhuǎn)發(fā)；Internet和Extranet網(wǎng)絡(luò)訪問生產(chǎn)區(qū)等內(nèi)網(wǎng)區(qū)POD，要經(jīng)過DMZ隔離區(qū)作為統(tǒng)一接入?yún)^(qū)。DC內(nèi)多POD場景示意業(yè)務(wù)需求分析多DC互聯(lián)需求分析互聯(lián)需求介紹從 HYPERLINK l _ZH-CN_TOPIC_0286378072 o 業(yè)務(wù)場景中的介紹我們可以看出，多個數(shù)據(jù)中心之間并不是孤立的，不同的層面有不同互通需求，多個數(shù)據(jù)中心之間互聯(lián)要解決以

13、下幾個問題：數(shù)據(jù)同步和數(shù)據(jù)備份，需要存儲互聯(lián)；跨數(shù)據(jù)中心部署HA集群內(nèi)部的心跳，或者虛機(jī)遷移，需要大二層互通；業(yè)務(wù)間的互訪需要，跨數(shù)據(jù)中心三層互通；不同數(shù)據(jù)中心前端網(wǎng)絡(luò)，即數(shù)據(jù)中心的外聯(lián)出口，通過IP技術(shù)實現(xiàn)互聯(lián)?？鐢?shù)據(jù)中心互聯(lián)示意各類業(yè)務(wù)跨DC部署時集群節(jié)點間的互通要求參見REF _d0e405 r h表1-1。業(yè)務(wù)跨DC部署要求技術(shù)方案WebAppDBSAN波分/裸光纖-跨DC二層互聯(lián)-跨DC三層互聯(lián)-互聯(lián)技術(shù)介紹存儲互聯(lián)，一般通過波分或者裸光纖：波分或者裸光纖（DWDM或者Dark Fiber）是物理鏈路直連，此互聯(lián)的方式的優(yōu)點是獨享式通道（僅用于數(shù)據(jù)中心之間的流量交互），可充分滿足數(shù)據(jù)

14、中心之間流量交互的高帶寬和低延時需求，而且可以承載多種協(xié)議的數(shù)據(jù)傳輸，提供靈活的SAN/IP業(yè)務(wù)接入，不論是IP SAN還是FC SAN都可以承載，既支持二層網(wǎng)絡(luò)互聯(lián)也支持三層網(wǎng)絡(luò)互聯(lián)，滿足多業(yè)務(wù)傳輸需要，不足之處就是需要新建或租用光纖資源，增加數(shù)據(jù)中心的投入成本，主要應(yīng)用于同城站點之間。應(yīng)用集群或者跨DC的虛機(jī)遷移需要跨DC的大二層網(wǎng)絡(luò)，大二層技術(shù)包括：VPLS，是一種基于MPLS和以太網(wǎng)技術(shù)的二層VPN技術(shù)。VPLS的主要目的就是通過公網(wǎng)連接多個以太網(wǎng)，使它們像一個LAN那樣工作。在已有的公網(wǎng)/專網(wǎng)資源上封裝二層VPN通道，用以承載數(shù)據(jù)中心之間的數(shù)據(jù)交互和容災(zāi)業(yè)務(wù)的備份與恢復(fù)，主要應(yīng)用于云

15、計算數(shù)據(jù)中心的互聯(lián)場景。此互聯(lián)方式的優(yōu)點是無需新建互聯(lián)平面，只需要在當(dāng)前的網(wǎng)絡(luò)通道上疊加一層VPN通道以隔離于網(wǎng)絡(luò)中現(xiàn)有的數(shù)據(jù)流量；不足之處是部署實施較為復(fù)雜，而且要有MPLS網(wǎng)絡(luò)的支持，需要租用運(yùn)營商的MPLS網(wǎng)絡(luò)或者有自建的MPLS網(wǎng)絡(luò)。VXLAN，是一種先進(jìn)的“MAC in IP” 的Overlay技術(shù)，允許承載在IP網(wǎng)絡(luò)上，通過VXLAN遂道在IP核心網(wǎng)提供L2VPN服務(wù)。它可以基于現(xiàn)有的運(yùn)營商各種專線網(wǎng)絡(luò)或者因特網(wǎng)，為分散的物理站點提供二層互聯(lián)功能。這種方式成本低，距離遠(yuǎn)，易于擴(kuò)展，而且VXLAN支持水平分割防環(huán)機(jī)制，以及廣播風(fēng)暴抑制功能，優(yōu)點是不依賴于光纖資源或MPLS網(wǎng)絡(luò)資源，只

16、要求兩端三層IP可達(dá)即可，方案靈活，擴(kuò)展性極強(qiáng)，成本較低，并且部署運(yùn)維更簡單；不足之處是網(wǎng)絡(luò)的質(zhì)量受限于IP網(wǎng)絡(luò)，而且由于采用Overlay技術(shù)帶寬利用率較低。兩種大二層技術(shù)VPLS和VXLAN示意DC間三層互聯(lián)方式有：傳統(tǒng)IP三層互聯(lián)，是指通過IGP/BGP路由傳遞，使不同數(shù)據(jù)中心的業(yè)務(wù)網(wǎng)段能夠三層互通。MPLS L3 VPN，是構(gòu)建在MPLS網(wǎng)絡(luò)之上的虛擬L3專用網(wǎng)絡(luò)，通過MPLS L3 VPN可以使不同數(shù)據(jù)中心的業(yè)務(wù)網(wǎng)段能夠三層互通；用以承載IDC之間的數(shù)據(jù)交互和容業(yè)務(wù)持續(xù)和恢復(fù)份，此互聯(lián)方式主要應(yīng)用于傳統(tǒng)業(yè)務(wù)數(shù)據(jù)中心的互聯(lián)場景，優(yōu)點同VPLS，不足也與VPLS一樣。VXLAN，是構(gòu)建在

17、IP網(wǎng)絡(luò)之上的VXLAN隧道，也可以提供L3 VPN服務(wù)。數(shù)據(jù)中心的外聯(lián)出口：數(shù)據(jù)中心出口設(shè)備接入運(yùn)營商的各種專線網(wǎng)絡(luò)或者因特網(wǎng)，通過動態(tài)路由或靜態(tài)路由等IP技術(shù)實現(xiàn)互聯(lián)。上述互聯(lián)技術(shù)的對比分析和選擇建議請參見下表?；ヂ?lián)技術(shù)對比和選擇建議DC間互聯(lián)技術(shù)對比分析技術(shù)選擇建議IP路由多DC間通過傳統(tǒng)IP互聯(lián)，中間的骨干設(shè)備需要要感知Overlay路由，業(yè)務(wù)耦合大僅支持L3互通DC間互通場景優(yōu)選VXLAN技術(shù)VPLS/MPLS L3VPNOverlay技術(shù)，骨干設(shè)備無需感知業(yè)務(wù)，F(xiàn)abric-GW和PE之間是VLAN handoff，PE配置復(fù)雜VXLANOverlay技術(shù)，DC的Fabric GW

18、之間VXLAN報文，PE和骨干設(shè)備均無需感知業(yè)務(wù)，配置簡單與DC內(nèi)的技術(shù)統(tǒng)一，運(yùn)維簡單網(wǎng)絡(luò)時延需求分析除了上述多DC互通的功能性需求外，在跨數(shù)據(jù)中心互聯(lián)設(shè)計中，還需要將各種業(yè)務(wù)系統(tǒng)的時延需求納入設(shè)計考慮因素。例如下表為同城數(shù)據(jù)中心業(yè)務(wù)對RTT時延要求。同城數(shù)據(jù)中心的業(yè)務(wù)時延要求業(yè)務(wù)RTT 時延備注vMotionRTT10ms-Oracle RAC每應(yīng)用層 IO10ms(4*RTT)，即 RTT2.5msOracle real application clusters，實時應(yīng)用集群存儲(FC)同步復(fù)制RTT1ms每個存儲寫入需 2 個 RTT；時延較長 FC Credit 用盡，導(dǎo)致等待。時延延

19、會影響可用存儲網(wǎng)絡(luò)帶寬從上表中同城數(shù)據(jù)中心各應(yīng)用對RTT的要求看，存儲的同步復(fù)制要求最高，RTT1ms；主數(shù)據(jù)中心和同城災(zāi)備中心通常部署于同一個城市或者距離較近的兩個相鄰城市，來滿足FC存儲同城同步復(fù)制的RTT小于1毫秒的要求。VAS資源池化需求分析單DC多POD場景，大型企業(yè)為每個資源池規(guī)劃獨立的POD，物理上彼此獨立，每個POD都是一個L2L7層網(wǎng)絡(luò)，均部署獨立的FW設(shè)備。FW資源為POD獨占資源，F(xiàn)W資源池化局限在功能分區(qū)內(nèi)，區(qū)間資源不可調(diào)配，造成了各個資源池對FW等資源使用不均衡和資源浪費(fèi)的局面，如REF _d0e679 r h圖1-6所示。分布式VAS資源池因此，提出了在業(yè)務(wù)POD外

20、部建設(shè)獨立的VAS資源池的訴求，對VAS資源池集中管理，各POD共享資源，使資源利用率最大化，如REF _zh-cn_topic_0271090521_fig172008318282 r h圖1-7所示。集中式VAS資源池在集中式VAS資源池場景下，不同POD的業(yè)務(wù)之間互相訪問要經(jīng)過集中VAS資源池進(jìn)行安全策略控制。集中式VAS資源池的需求參見下表。集中式VAS資源池需求業(yè)務(wù)訴求備注跨安全域的VPC互通VPC經(jīng)由集中式VAS互通跨安全域的VPC訪問外部網(wǎng)絡(luò)VPC經(jīng)由集中式VAS訪問外部網(wǎng)絡(luò)SDN網(wǎng)絡(luò)需求分析在云化數(shù)據(jù)中心，網(wǎng)絡(luò)資源通過虛擬化技術(shù)形成資源池，實現(xiàn)業(yè)務(wù)與物理網(wǎng)絡(luò)解耦，通過SDN技術(shù)

21、實現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)的按需自助與自動化部署，支持多租戶、彈性擴(kuò)縮、以及快速部署。在多數(shù)據(jù)中心場景下，還需要解決業(yè)務(wù)跨數(shù)據(jù)中心部署、不同業(yè)務(wù)系統(tǒng)之間的跨數(shù)據(jù)中心互通、跨數(shù)據(jù)中心互通的自動化部署、跨數(shù)據(jù)中心的業(yè)務(wù)容災(zāi)。同樣，在單DC多POD場景也要解決業(yè)務(wù)跨POD互通及互通的自動化部署。多數(shù)據(jù)中心的主要訴求參見下表。業(yè)務(wù)訴求需求分析方案業(yè)務(wù)跨DC部署大VPC通過跨DC L2/L3互通，業(yè)務(wù)整體體現(xiàn)為大VPC安全隔離路由隔離FW隔離業(yè)務(wù)之間的互通VPC互通VPC間跨DC L3互通業(yè)務(wù)容災(zāi)網(wǎng)絡(luò)級容災(zāi)（IP地址不變跨DC容災(zāi)）跨DC大二層集中VAS資源池跨安全域的VPC互通VPC過集中式VAS互通跨安全域的VP

22、C訪問外部網(wǎng)絡(luò)VPC過集中式VAS訪問外部網(wǎng)絡(luò)通過SDN實現(xiàn)自動化部署多DC多POD的資源管理iMaster NCE-Fabric+網(wǎng)絡(luò)虛擬化/云網(wǎng)一體化編排器+業(yè)務(wù)編排業(yè)務(wù)編排上述5個訴求具體描述如下：業(yè)務(wù)跨DC部署：客戶某些業(yè)務(wù)可能是跨DC部署的，比如客戶可能會針對某大型網(wǎng)站劃一個獨立的VPC，這個VPC可能會跨多個DC，所以在這個VPC內(nèi)部流量就有跨Fabric互通的需求，同時路由和防火墻需要進(jìn)行隔離。業(yè)務(wù)之間的互通：客戶針對不同的業(yè)務(wù)會劃分不同的VPC，不同VPC可能會部署在不同的DC中，業(yè)務(wù)之間如果有互通的需求，就要求VPC之間能跨DC進(jìn)行L3互通（VPC之間互通一般為L3互通，如果

23、需要L2互通則建議將互通的VM劃分到同一個VPC中）。業(yè)務(wù)容災(zāi)/多活：業(yè)務(wù)容災(zāi)和多活主要分為兩種方式，首先針對比較新的業(yè)務(wù)系統(tǒng)，客戶自己可以通過GSLB的方式進(jìn)行容災(zāi)和多活，具體方式是兩個DC同時部署相同的業(yè)務(wù)，業(yè)務(wù)相同同時IP地址不同，這樣兩套系統(tǒng)可以進(jìn)行容災(zāi)處理。這種方式對網(wǎng)絡(luò)沒有什么特別的訴求，但是針對比較舊的一些系統(tǒng)，會要求遷移到容災(zāi)中心后，IP地址不能變化，這種情況下，就需要支持跨DC的二層互通。集中VAS資源池：支持跨POD部署集中式VAS資源池，該資源池不屬于任何POD、屬于統(tǒng)一資源，通過編排器進(jìn)行統(tǒng)一資源發(fā)放。當(dāng)不同POD的業(yè)務(wù)VPC要實現(xiàn)互訪或者業(yè)務(wù)VPC要訪問外部網(wǎng)絡(luò)時，就

24、需求支持流量過集中式VAS池進(jìn)行訪問控制安全策略。通過SDN實現(xiàn)自動化部署：客戶部署了SDN網(wǎng)絡(luò)自然是希望實現(xiàn)自動化部署，自動化部署主要分為兩步：首先要將跨DC的虛擬化網(wǎng)絡(luò)編排出來；其次要在各DC中進(jìn)行實例化。針對跨DC的業(yè)務(wù)，由編排器統(tǒng)一編排，單DC內(nèi)的網(wǎng)絡(luò)則由iMaster NCE-Fabric進(jìn)行編排。 DOCPROPERTY Product&Project NameCloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設(shè)計指南（基于MDC的Multi-Site） STYLEREF 1 n * MERGEFORMAT 1 STYLEREF 1 概述

25、文檔版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版權(quán)所有 華為技術(shù)有限公司PAGE 19Multi-Pod和Multi-Site方案選擇 HYPERLINK l _ZH-CN_TOPIC_0286378082 o 2.1 Multi-Site方案介紹 HYPERLINK l _ZH-CN_TOPIC_0286378083 o 2.2 Multi-Pod方案介紹 HYPER

26、LINK l _ZH-CN_TOPIC_0286378084 o 2.3 Multi-Pod和Multi-Site對比選擇Multi-Site方案介紹Multi-Site簡介Multi-Site是指多個iMaster NCE-Fabric管理域之間的互通，從物理位置上，多個Site之間可能位于距離很遠(yuǎn)的不同地域，也可能位于同一個DC的不同機(jī)房，Multi-Site方案最核心的特點是每個Site都是一個獨立的端到端VXLAN域。Multi-Site的典型應(yīng)用場景包括兩地三中心（也可以是多地多中心）、邊緣DC、大型DC多POD，詳見 HYPERLINK l _ZH-CN_TOPIC_0286378

27、072 o 1.2 業(yè)務(wù)場景。本章重點說明Multi-Site方案是如何實現(xiàn)L3互通的（CloudFabric V100R020C00暫不支持MDC的L2互通，因此Multi-Site方案的L2互通原理不在本文贅述）。Multi-Site L3互通原理如REF _zh-cn_topic_0267259909_fig206491546436 r h圖2-1所示是一個Multi-Site的組網(wǎng)，Site之間互訪通過Segment（三段式）VXLAN互通實現(xiàn)，即通過在Fabric-GW上配置BGP EVPN作為Overlay的控制面協(xié)議，數(shù)據(jù)面通過VXLAN隧道，將從一側(cè)數(shù)據(jù)中心收到的VXLAN報文

28、先解封裝、然后再重新封裝后發(fā)送到另一側(cè)數(shù)據(jù)中心的Fabric-GW。通過Segment VXLAN實現(xiàn)DC間L3互通如REF _zh-cn_topic_0267259909_fig996012319394 r h圖2-2所示，為數(shù)據(jù)中心間的L3互通方案，本章節(jié)重點介紹Multi-Site互通的實現(xiàn)原理。Segment VXLAN實現(xiàn)L3互通示意圖控制平面：Leaf4將學(xué)習(xí)到數(shù)據(jù)中心B中的VMb2的主機(jī)IP地址，并將其保存在L3VPN實例路由表中，然后向Leaf3發(fā)送BGP EVPN路由。如圖所示，Leaf3收到Leaf4發(fā)送的BGP EVPN路由后，獲取該路由中的主機(jī)IP路由，按照VXLAN隧

29、道建立的流程建立到Leaf4的VXLAN隧道，將路由下一跳修改為Leaf3的VTEP地址，然后重新封裝，封裝上L3VPN實例的三層VNI，源MAC地址為Leaf3的MAC地址，并將重新封裝后的BGP EVPN路由信息發(fā)送給Leaf2?？刂破矫媸疽鈭DLeaf2收到Leaf3發(fā)送的BGP EVPN路由后，獲取該路由中的主機(jī)IP路由，建立到Leaf3之間的VXLAN隧道，將路由下一跳修改為Leaf2的VTEP地址，然后重新封裝，封裝上L3VPN實例的三層VNI，源MAC地址為Leaf2的MAC地址，并將重新封裝后的BGP EVPN路由信息發(fā)送給Leaf1。Leaf1收到Leaf2發(fā)送的BGP EVP

30、N路由后，建立到Leaf2的VXLAN隧道。數(shù)據(jù)平面Leaf1收到VMa1訪問VMb2的IP報文，檢測到目的MAC都是網(wǎng)關(guān)接口MAC，終結(jié)IP報文，通過VMa1接入BD的BDIF接口找到對應(yīng)的L3VPN實例，并在L3VPN實例的路由表中查找VMb2主機(jī)路由，進(jìn)入Leaf1到Leaf2的VXLAN隧道，封裝成VXLAN報文通過VXLAN隧道發(fā)送到Leaf2。如下圖所示，Leaf2收到VXLAN報文后，解析VXLAN報文，通過三層VNI找到對應(yīng)的L3VPN實例，并在L3VPN實例的路由表中查找VMb2主機(jī)路由，進(jìn)入Leaf2到Leaf3的VXLAN隧道，重新封裝VXLAN報文（三層VNI是Leaf

31、3發(fā)送的VMb2主機(jī)路由中攜帶的三層VNI、外層目的MAC是Leaf2發(fā)送的VMb2主機(jī)路由中攜帶的MAC）發(fā)送給Leaf3。數(shù)據(jù)平面示意圖如上圖所示，Leaf3收到VXLAN報文后，解析VXLAN報文，通過三層VNI找到對應(yīng)的L3VPN實例，并在L3VPN實例的路由表中查找VMb2主機(jī)路由，進(jìn)入Leaf3到Leaf4的VXLAN隧道，重新封裝VXLAN報文（三層VNI是Leaf4發(fā)送的VMb2主機(jī)路由中攜帶的三層VNI、外層目的MAC是Leaf4發(fā)送的VMb2主機(jī)路由中攜帶的MAC）發(fā)送給Leaf4。Leaf4收到VXLAN報文后，解析VXLAN報文，通過三層VNI找到對應(yīng)的L3VPN實例，

32、并在L3VPN實例的路由表中查找VMb2主機(jī)路由，根據(jù)路由信息轉(zhuǎn)發(fā)給VMb2。Multi-Pod方案介紹Multi-Pod方案用于實現(xiàn)多Pod之間業(yè)務(wù)互通，從物理位置上，多個Pod可以位于同一個DC的不同機(jī)房，也可以位于距離較近的不同DC的機(jī)房。Multi-Pod的管理域是一套iMaster NCE-Fabric控制器納管的范圍。典型應(yīng)用場景Multi-Pod的典型應(yīng)用場景，一是多個Pod在同一個DC內(nèi)多個Pod形成一個大資源池，二是同城近距兩個DC形成一個大資源池，滿足主備容災(zāi)容災(zāi)的訴求，它們的主要區(qū)別是部署物理位置的不同。如REF _zh-cn_topic_0268024237_fig42

33、261639281 r h圖2-5所示，在大型數(shù)據(jù)中心，對于一些業(yè)規(guī)模龐大的資源池，需要跨機(jī)房/跨Pod來部署，Multi-Pod方案可以將一個物理DC內(nèi)多個Pod統(tǒng)一管理，將多個Pod作為一個大二層資源池，以便業(yè)務(wù)可以隨意遷移。同一個物理資源池多Pod部署如REF _zh-cn_topic_0268024237_fig668363915108 r h圖2-6所示，Multi-PoD方案將兩個物理DC統(tǒng)一管理，構(gòu)建一個跨DC的大二層，形成一個端到端VXLAN域，提供兩個DC間的主備容災(zāi)能力。同城多DC場景方案概述華為CloudFabric Multi-PoD解決方案的整體架構(gòu)如REF _d0e

34、1067 r h圖2-7所示。Multi-PoD方案整體架構(gòu)Multi-PoD方案的整體架構(gòu)主要分為：業(yè)務(wù)控制層、基礎(chǔ)設(shè)施層和轉(zhuǎn)發(fā)實現(xiàn)層。業(yè)務(wù)控制層，主要是SDN控制器，負(fù)責(zé)控制某個數(shù)據(jù)中心的網(wǎng)絡(luò)，以及打通跨數(shù)據(jù)中心的網(wǎng)絡(luò)，SDN控制器還對接業(yè)務(wù)編排器和VMM（Virtual Machine Manager虛擬機(jī)管理器），完成計算與網(wǎng)絡(luò)聯(lián)動以及跨數(shù)據(jù)中心的互通。業(yè)務(wù)編排器負(fù)責(zé)跨數(shù)據(jù)中心的業(yè)務(wù)編排，VMM負(fù)責(zé)虛擬機(jī)的生命周期管理?；A(chǔ)設(shè)施層，主要是物理網(wǎng)絡(luò)和邏輯網(wǎng)絡(luò)，數(shù)據(jù)中心內(nèi)的物理網(wǎng)絡(luò)是Spine-Leaf架構(gòu)的組網(wǎng)，多個數(shù)據(jù)中心通過骨干網(wǎng)連接；邏輯網(wǎng)絡(luò)是通過網(wǎng)絡(luò)虛擬化和VXLAN技術(shù)、基于業(yè)

35、務(wù)按需構(gòu)建的連接虛擬機(jī)的虛擬網(wǎng)絡(luò)。轉(zhuǎn)發(fā)實現(xiàn)層，主要是通過VXLAN網(wǎng)絡(luò)連接數(shù)據(jù)中心內(nèi)的虛擬機(jī)，以及連接數(shù)據(jù)中心間的虛擬機(jī)，BGP-EVPN作為VXLAN的控制面。對于使用者來說，主要看到業(yè)務(wù)控制層，根據(jù)業(yè)務(wù)的需要，將業(yè)務(wù)網(wǎng)絡(luò)劃分成多個VPC，通過編排器編排VPC，通過控制器在不同數(shù)據(jù)中心發(fā)放VPC的邏輯網(wǎng)絡(luò)。Multi-Pod和Multi-Site對比選擇Multi-Pod和Multi-Site的對比分析參見下表。Multi-Pod和Multi-Site對比分析特性細(xì)化特性Multi-PodMulti-Site對比分析管理規(guī)模&距離管理域一套控制器：iMaster NCE-Fabric主備集群

36、多套獨立的控制器+MDC主備集群多套獨立控制器，解耦網(wǎng)絡(luò)規(guī)模多個DC/Pod，重點應(yīng)用是2個受集群拉遠(yuǎn)規(guī)格限制，拉遠(yuǎn)Leaf數(shù)量總和128對多個Site，最大支持32個Domain控制器Multi-Site管理規(guī)模大，占優(yōu)覆蓋距離控制器拉遠(yuǎn)RTT50ms，距離近MDC和domain控制器RTT3時，建議部署MDC主備集群獨立部署當(dāng)Domain控制器數(shù)量 Fabric1的Fabric GW A Fabric2的Fabric GW B Fabric2的Service Leaf B的轉(zhuǎn)發(fā)路徑。Service Leaf B收到VXLAN數(shù)據(jù)報文，根據(jù)VNI查找對應(yīng)的VPN實例，在VPN實例中匹配到目的

37、網(wǎng)段進(jìn)行VXLAN隧道終結(jié)，將解封裝后的IP報文轉(zhuǎn)發(fā)到防火墻FW B，防火墻經(jīng)過安全策略訪問控制后，查找路由表將IP報文重新轉(zhuǎn)發(fā)至Service Leaf B。Service Leaf B在查找VM2的主機(jī)路由，并通過VXLAN互聯(lián)隧道轉(zhuǎn)發(fā)至Leaf B。Leaf B查找路由表匹配到本地的主機(jī)路由，進(jìn)行VXLAN隧道終結(jié)將流量轉(zhuǎn)發(fā)至VM2。反方向subnet2訪問subnet1的流量轉(zhuǎn)發(fā)過程與此類似，這里不再贅述。VPC訪問外部網(wǎng)絡(luò)針對南北向流量互訪場景，MDC支持業(yè)務(wù)VPC訪問外部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)包括專線、公有云或者Internet。根據(jù)業(yè)務(wù)VPC訪問外網(wǎng)安全訪問策略的不同，可分為：不跨安全域

38、的VPC訪問外網(wǎng)、跨安全域VPC訪問外部網(wǎng)絡(luò)，均可通過MDC控制器靈活編排。本章節(jié)介紹不跨安全域的VPC訪問外部網(wǎng)絡(luò)。邏輯模型如REF _fig8655132561017 r h圖4-11所示，為一個業(yè)務(wù)VPC訪問專線的邏輯模型舉例（訪問Internet、公有云的邏輯模型與此相同）。VPC訪問外部網(wǎng)絡(luò)邏輯模型LogicRouter1屬于業(yè)務(wù)VPC1，VPC1部署在Fabric1，專線接入的Border Leaf部署在Fabric2，通過MDC實現(xiàn)LogicRouter1和外部專線互通，業(yè)務(wù)編排如下：通過Domain控制器業(yè)務(wù)發(fā)放，發(fā)放租戶的LogicRouter1，MDC上收Domain控制器

39、發(fā)放的LogicRouter1；MDC創(chuàng)建Transit VPC，指定Transit VPC所屬的Transit Fabric；MDC在Transit VPC視圖下創(chuàng)建TransitRouter，指定租戶VPC可以訪問哪些外部網(wǎng)段ExternalCidr；TransitRouter關(guān)聯(lián)要互通的邏輯路由器LogicRouter1，基于專線接入的Border Leaf及物理端口設(shè)置外部接入點，設(shè)置接入VLAN、接口IP（專線接入的網(wǎng)關(guān)），以及外部網(wǎng)絡(luò)和專線之間跑的路由協(xié)議，路由協(xié)議支持靜態(tài)路由或BGP路由。流量轉(zhuǎn)發(fā)如REF _fig16789132919913 r h圖4-12所示，我們以O(shè)utb

40、ound流量為例，簡述流量轉(zhuǎn)發(fā)過程：VPC訪問外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)流程VM1發(fā)送ARP/ND Request請求本網(wǎng)段網(wǎng)關(guān)的MAC地址。Leaf A收到ARP/ND Request，向VM1應(yīng)答網(wǎng)關(guān)的ARP/ND Reply。VM1向?qū)＞€IP發(fā)送首個數(shù)據(jù)報文。Leaf A收到首個數(shù)據(jù)報文后，查找路由表匹配到目的網(wǎng)段ExternalCidr的路由，下一跳VTEP IP為Fabric GW A，隨后將報文發(fā)送至Fabric GW A。Leaf A和Fabric GW A之間通過Fabric內(nèi)部的VXLAN Overlay隧道進(jìn)行互聯(lián)。Fabric GW A收到VXLAN報文后，根據(jù)VNI查找對應(yīng)的VPN實

41、例，查找路由表匹配目的網(wǎng)段ExternalCidr的路由，下一跳VTEP IP為Fabric GW B，進(jìn)入Fabric之間的VXLAN隧道，重新封裝VXLAN報文轉(zhuǎn)發(fā)至Fabric GW B。類似地，F(xiàn)abric GW B收到VXLAN報文后，根據(jù)路由查找重新封裝，通過Fabric內(nèi)部的VXLAN隧道將報文轉(zhuǎn)至Border Leaf。Border Leaf收到VXLAN報文后，根據(jù)VNI查找對應(yīng)的VPN實例，在VPN實例中根據(jù)路由查找，下一跳為CPE地址，將VXLAN報文解封裝轉(zhuǎn)發(fā)至CPE設(shè)備，最終由CPE將報文轉(zhuǎn)發(fā)離開數(shù)據(jù)中心。Border Leaf和CPE之間為IP報文轉(zhuǎn)發(fā)，采用VRF

42、handoff方式對接。MDC方案不支持CPE設(shè)備上的業(yè)務(wù)自動化發(fā)放。如果租戶VPC所屬Fabric的Border Leaf直接連接外部網(wǎng)絡(luò)場景，建議在Domain控制器上直接部署，MDC主要解決跨Fabric互通場景。跨安全域VPC訪問外部網(wǎng)絡(luò)邏輯模型如REF _fig171911334191218 r h圖4-13所示，為業(yè)務(wù)VPC訪問公有云的邏輯模型舉例（訪問Internet、專線的邏輯模型與此相同）。VPC過墻訪問外部網(wǎng)絡(luò)邏輯模型LogicRouter1屬于業(yè)務(wù)VPC1，VPC1部署在Fabric1，公有云接入的Border Leaf部署在Fabric2，通過MDC實現(xiàn)LogicRou

43、ter1過墻和外部網(wǎng)絡(luò)互通，業(yè)務(wù)編排如下：通過Domain控制器業(yè)務(wù)發(fā)放，發(fā)放租戶的LogicRouter1和LogicVAS1，MDC上收Domain控制器發(fā)放的LogicRouter1和LogicVAS1；MDC創(chuàng)建Transit VPC，指定Transit VPC所屬的Transit Fabric；MDC在Transit VPC視圖下創(chuàng)建TransitRouter，指定租戶VPC可以訪問哪些外部網(wǎng)段ExternalCidr；TransitRouter關(guān)聯(lián)要互通的邏輯路由器LogicRouter1并指定經(jīng)過的LogicVAS1，基于公有云接入的Border Leaf及物理端口設(shè)置外部接入點

44、，配置接入VLAN、接口IP（公有云接入的網(wǎng)關(guān)），以及外部網(wǎng)絡(luò)接入點和公有云之間跑的路由協(xié)議，支持靜態(tài)路由和BGP路由。流量轉(zhuǎn)發(fā)如REF _fig116314292268 r h圖4-14所示，我們以O(shè)utbound流量為例，簡述流量轉(zhuǎn)發(fā)過程（流量在FW前后截斷分為兩段）：VPC過墻訪問外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)過程VM1發(fā)送ARP/ND Request請求本網(wǎng)段網(wǎng)關(guān)的MAC地址。Leaf A收到ARP/ND Request，向VM1應(yīng)答網(wǎng)關(guān)的ARP/ND Reply。VM1向公有云IP發(fā)送首個數(shù)據(jù)報文。Leaf A收到首個數(shù)據(jù)報文后，查找路由表匹配到目的網(wǎng)段ExternalCidr的路由，下一跳VTEP

45、IP為Service Leaf A，隨后將報文發(fā)送至Service Leaf A。Leaf A和Service Leaf A之間通過Fabric內(nèi)部的VXLAN Overlay隧道進(jìn)行互聯(lián)。Service Leaf收到VXLAN數(shù)據(jù)報文，根據(jù)VNI查找對應(yīng)的VPN實例，匹配目的網(wǎng)段轉(zhuǎn)發(fā)到防火墻FW A，由于防火墻與Service Leaf間通過VLAN互聯(lián)，所以報文將以普通以太網(wǎng)IP報文的形式進(jìn)行轉(zhuǎn)發(fā)，防火墻經(jīng)過安全策略訪問控制后，查找路由表將IP報文重新轉(zhuǎn)發(fā)至Service Leaf A。Service Leaf收到IP報文后，根據(jù)VNI查找對應(yīng)的VPN實例，查找路由表匹配目的網(wǎng)段Exter

46、nalCidr的路由，下一跳VTEP IP為Fabric GW A，通過VXLAN互聯(lián)隧道將報文轉(zhuǎn)至Fabric GW A。通過如圖所示三段式VLAN隧道轉(zhuǎn)發(fā)，實現(xiàn)了流量從Fabric1的Service Leaf Fabric1的Fabric GW A Fabric2的Fabric GW B Fabric2的Border Leaf的轉(zhuǎn)發(fā)路徑。Border Leaf收到VXLAN報文后，根據(jù)VNI查找對應(yīng)的VPN實例，在VPN實例中根據(jù)路由查找，下一跳為CPE地址，將VXLAN報文解封裝轉(zhuǎn)發(fā)至CPE設(shè)備，最終由CPE將報文轉(zhuǎn)發(fā)離開數(shù)據(jù)中心。Border Leaf和CPE之間為IP報文轉(zhuǎn)發(fā)，采用V

47、RF handoff方式對接。MDC方案不支持CPE設(shè)備上的業(yè)務(wù)自動化發(fā)放。如果租戶VPC所屬Fabric的Border Leaf直接連接外部網(wǎng)絡(luò)場景，建議在Domain控制器上直接部署，MDC主要解決跨Fabric互通場景?？绨踩騐PC互通（集中式VAS）集中式VAS池場景，根據(jù)業(yè)務(wù)VPC訪問對象所在位置的不同，可分為：跨安全域的VPC互通（東西向）、跨安全域VPC互通外網(wǎng)（南北向），本章節(jié)對VPC過集中VAS池東西向互通場景進(jìn)行介紹。邏輯模型如圖REF _fig262111383417 r h圖4-15所示，為一個業(yè)務(wù)VPC跨集中式VAS互通的邏輯模型舉例。業(yè)務(wù)VPC過集中式VAS互通邏

48、輯模型LogicRouter1屬于業(yè)務(wù)VPC1，LogicRouter2屬于業(yè)務(wù)VPC2，業(yè)務(wù)VPC1和VPC2部署在不同的Fabric，集中式VAS池部署在獨立的Fabric，通過MDC實現(xiàn)LogicRouter1和LogicRouter2過集中式VAS池互通，業(yè)務(wù)編排如下：首先通過Domain控制器業(yè)務(wù)發(fā)放，發(fā)放租戶的LogicRouter1和LogicRouter2，MDC上收Domain控制器發(fā)放的LogicRouter1和LogicRouter2；MDC創(chuàng)建Transit VPC1，指定Transit VPC1所屬的Transit Fabric，在Transit VPC1視圖下創(chuàng)建T

49、ransitRouter1，關(guān)聯(lián)一個或多個LogicRouter，本例中關(guān)聯(lián)LogicRouter1，指定互通子網(wǎng)subnet1；MDC創(chuàng)建Transit VPC2，指定Transit VPC2所屬的Transit Fabric，在Transit VPC2視圖下創(chuàng)建TransitRouter2，關(guān)聯(lián)一個或多個LogicRouter，本例中關(guān)聯(lián)LogicRouter2，指定互通子網(wǎng)subnet2；MDC上收集中VAS資源池，將TransitRouter1關(guān)聯(lián)TransitRouter2，并指定經(jīng)過集中VAS池的LogicVAS1互通。流量轉(zhuǎn)發(fā)以subnet1訪問subnet2為例說明流量轉(zhuǎn)發(fā)過程

50、，如REF _fig179425942014 r h圖4-10所示，整個其過程簡述如下：VPC過集中VAS互通轉(zhuǎn)發(fā)過程VM1發(fā)送ARP/ND Request請求本網(wǎng)段網(wǎng)關(guān)的MAC地址。Leaf A收到ARP/ND Request，向VM1應(yīng)答網(wǎng)關(guān)的ARP/ND Reply。VM1向VM2發(fā)送首個數(shù)據(jù)報文。Leaf A收到首個數(shù)據(jù)報文后，查找路由表匹配到目的網(wǎng)段subnet2的路由，下一跳VTEP IP為Fabric GW A，隨后將報文發(fā)送至Fabric GW A。Leaf A和Fabric GW A之間通過Fabric內(nèi)部的VXLAN Overlay隧道進(jìn)行互聯(lián)。通過如圖所示三段式VLAN隧

51、道轉(zhuǎn)發(fā)，實現(xiàn)了流量從Fabric1的Leaf A Fabric1的Fabric GW A VAS Fabric的Fabric GW BVAS Fabric的Service Leaf的轉(zhuǎn)發(fā)路徑。Service Leaf收到VXLAN數(shù)據(jù)報文，根據(jù)VNI查找對應(yīng)的VPN實例，匹配目的網(wǎng)段轉(zhuǎn)發(fā)到防火墻FW，由于防火墻與Service Leaf間通過VLAN互聯(lián)，所以報文將以普通以太網(wǎng)IP報文的形式進(jìn)行轉(zhuǎn)發(fā)，防火墻經(jīng)過安全策略訪問控制后，查找路由表將IP報文重新轉(zhuǎn)發(fā)至Service Leaf。Service Leaf收到IP報文后，匹配目的網(wǎng)段subnet2的路由，下一跳VTEP IP為Fabric

52、GW B，通過VXLAN互聯(lián)隧道將報文轉(zhuǎn)至Fabric GW B。通過如圖所示三段式VLAN隧道轉(zhuǎn)發(fā)，實現(xiàn)了流量從VAS Fabric的Service Leaf VAS Fabric的Fabric GW B Fabric2的Fabric GW C Fabric2的Leaf B的轉(zhuǎn)發(fā)路徑。Leaf B查找路由表匹配到本地的主機(jī)路由，進(jìn)行VXLAN隧道終結(jié)將流量轉(zhuǎn)發(fā)至VM2。在整個轉(zhuǎn)發(fā)過程，流量在FW的位置被截斷為兩個三段式VXLAN。反方向subnet2訪問subnet1的流量轉(zhuǎn)發(fā)過程與此類似，這里不再贅述?？绨踩騐PC訪問外部網(wǎng)絡(luò)（集中式VAS）MDC支持業(yè)務(wù)VPC跨集中式VAS池訪問外部網(wǎng)

53、絡(luò)，外部網(wǎng)絡(luò)包括專線、公有云或者Internet。邏輯模型如REF _fig146414583217 r h圖4-17所示，為一個業(yè)務(wù)VPC跨集中式VAS訪問外部網(wǎng)絡(luò)的邏輯模型舉例。VPC過集中式VAS訪問外部網(wǎng)絡(luò)邏輯模型LogicRouter1屬于業(yè)務(wù)VPC1，VPC1部署在Fabric1，公有云接入的Border Leaf部署在Fabric2，集中式VAS池部署在獨立的Fabric，通過MDC實現(xiàn)LogicRouter1過集中式VAS池和外部網(wǎng)絡(luò)互通，業(yè)務(wù)編排如下：首先通過Domain控制器業(yè)務(wù)發(fā)放，發(fā)放租戶的LogicRouter1，MDC上收Domain控制器發(fā)放的LogicRoute

54、r1；MDC創(chuàng)建Transit VPC1，指定Transit VPC1所屬的Transit Fabric，在Transit VPC1視圖下創(chuàng)建TransitRouter1，關(guān)聯(lián)一個或多個租戶LogicRouter，本例中關(guān)聯(lián)LogicRouter1，互通子網(wǎng)為subnet1；指定租戶可以訪問哪些外部網(wǎng)段ExternalCidr；MDC創(chuàng)建Transit VPC2，指定Transit VPC2所屬的Transit Fabric，在Transit VPC2視圖下創(chuàng)建TransitRouter2；指定專線接入的Border Leaf及物理端口，設(shè)置接入信息，包括接入VLAN、接口IP；設(shè)置Borde

55、r Leaf和外部CPE設(shè)備之間跑的路由協(xié)議，路由協(xié)議支持靜態(tài)路由或BGP動態(tài)路由。MDC上收集中VAS資源池，將TransitRouter1關(guān)聯(lián)TransitRouter2，并指定經(jīng)過集中VAS池的LogicVAS1互通。流量轉(zhuǎn)發(fā)如REF _fig514493432511 r h圖4-18所示，我們以O(shè)utbound流量為例，簡述流量轉(zhuǎn)發(fā)過程（流量在FW前后截斷分為兩段）：VPC過集中式VAS訪問外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)過程VM1發(fā)送ARP/ND Request請求本網(wǎng)段網(wǎng)關(guān)的MAC地址。Leaf A收到ARP/ND Request，向VM1應(yīng)答網(wǎng)關(guān)的ARP/ND Reply。VM1向公有云IP發(fā)送首個

56、數(shù)據(jù)報文。Leaf A收到首個數(shù)據(jù)報文后，查找路由表匹配到目的網(wǎng)段ExternalCid的路由，下一跳VTEP IP為Fabric GW A，隨后將報文發(fā)送至Fabric GW A。Leaf A和Fabric GW A之間通過Fabric內(nèi)部的VXLAN Overlay隧道進(jìn)行互聯(lián)。通過如圖所示三段式VLAN隧道轉(zhuǎn)發(fā)，實現(xiàn)了流量從Fabric1的Leaf A Fabric1的Fabric GW A VAS Fabric的Fabric GW BVAS Fabric的Service Leaf的轉(zhuǎn)發(fā)路徑。Service Leaf收到VXLAN數(shù)據(jù)報文，根據(jù)VNI查找對應(yīng)的VPN實例，匹配目的網(wǎng)段轉(zhuǎn)發(fā)

57、到防火墻FW，由于防火墻與Service Leaf間通過VLAN互聯(lián)，所以報文將被解封裝以普通以太網(wǎng)IP報文的形式進(jìn)行轉(zhuǎn)發(fā)，防火墻經(jīng)過安全策略訪問控制后，查找路由表將IP報文重新轉(zhuǎn)發(fā)至Service Leaf。Service Leaf收到IP報文后，匹配目的網(wǎng)段ExternalCidr的路由，下一跳VTEP IP為Fabric GW B，通過VXLAN互聯(lián)隧道將報文轉(zhuǎn)至Fabric GW B。類似地，通過如圖所示三段式VLAN隧道轉(zhuǎn)發(fā)，實現(xiàn)了流量從VAS Fabric的Service Leaf VAS Fabric的Fabric GW B 出口Fabric的Fabric GW C 出口Fabr

58、ic的Border Leaf的轉(zhuǎn)發(fā)路徑。Border Leaf收到VXLAN報文后，根據(jù)VNI查找對應(yīng)的VPN實例，在VPN實例中根據(jù)路由查找，下一跳為CPE地址，將VXLAN報文解封裝轉(zhuǎn)發(fā)至CPE設(shè)備，最終由CPE將報文轉(zhuǎn)發(fā)離開數(shù)據(jù)中心。Border Leaf和CPE之間為IP報文轉(zhuǎn)發(fā)，采用VRF handoff方式對接。MDC方案不支持CPE設(shè)備上的業(yè)務(wù)自動化發(fā)放。如果租戶VPC所屬Fabric的Border Leaf直接連接外部網(wǎng)絡(luò)場景，建議在Domain控制器上直接部署，MDC主要解決跨Fabric互通場景。 DOCPROPERTY Product&Project NameCloudF

59、abric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設(shè)計指南（基于MDC的Multi-Site） STYLEREF Appendix heading 1 n * MERGEFORMAT Error! No text of specified style in document. STYLEREF Appendix heading 1 Error! No text of specified style in document. DOCPROPERTY Product&Project NameCloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY Docu

60、mentName 設(shè)計指南（基于MDC的Multi-Site） STYLEREF Appendix heading 1 n * MERGEFORMAT Error! No text of specified style in document. STYLEREF Appendix heading 1 Error! No text of specified style in document.部署推薦 HYPERLINK l _ZH-CN_TOPIC_0286378091 o 5.1 多DC場景方案設(shè)計 HYPERLINK l _ZH-CN_TOPIC_0286378094 o 5.2 邊緣DC