【華三大講堂】第十二期“AD-DC解決方案”

H3CAD-DC解決方案和實踐新網(wǎng)絡(luò)解決方案部張三三杭州華三通信技術(shù)有限公司大綱數(shù)據(jù)中心網(wǎng)絡(luò)面臨的挑戰(zhàn)數(shù)據(jù)中心網(wǎng)絡(luò)新技術(shù)演進方向H3C應(yīng)用驅(qū)動數(shù)據(jù)中心(AD-DC)解決方案H3C應(yīng)用驅(qū)動數(shù)據(jù)中心(AD-DC)實踐數(shù)據(jù)中心網(wǎng)絡(luò)面臨的挑戰(zhàn)多業(yè)務(wù)承載資源靈活性虛擬化支持承載多種業(yè)務(wù)主機托管業(yè)務(wù)安全隔離及訪問控制業(yè)務(wù)資源隨需而動業(yè)務(wù)、資源與物理位置無關(guān)提供云平臺支撐快速部署靈活遷移傳統(tǒng)的網(wǎng)絡(luò)怎么滿足互聯(lián)網(wǎng)+下業(yè)務(wù)的快速發(fā)展？數(shù)據(jù)中心網(wǎng)絡(luò)面臨的安全挑戰(zhàn)FILESDBAPPWEBTORTORFabric？IDC預(yù)測，云計算時代，數(shù)據(jù)中心的網(wǎng)絡(luò)流量，將從早期的“80％為南北向流量”，轉(zhuǎn)變?yōu)椤?0％為東西向流量”TORTOR？？怎么滿足互聯(lián)網(wǎng)+下業(yè)務(wù)的快速發(fā)展帶來的安全問題？數(shù)據(jù)中心網(wǎng)絡(luò)面臨的運維挑戰(zhàn)IT分散管理問題互聯(lián)/容災(zāi)業(yè)務(wù)運營與部署問題優(yōu)化提供彈性負載與資源動態(tài)調(diào)整網(wǎng)絡(luò)虛擬化虛擬化計算虛擬化存儲規(guī)?；芾韱栴}◆

降低成本◆

提升靈活性◆

提升資源利用率虛擬化◆

提高業(yè)務(wù)敏捷性◆

規(guī)模化降低成本◆

彈性擴展◆

按需服務(wù)自動化不易管、不易用、不易變網(wǎng)絡(luò)軟件化怎么滿足互聯(lián)網(wǎng)+下多業(yè)務(wù)的統(tǒng)一運維管理？大綱數(shù)據(jù)中心網(wǎng)絡(luò)面臨的挑戰(zhàn)數(shù)據(jù)中心網(wǎng)絡(luò)新技術(shù)演進方向H3C應(yīng)用驅(qū)動數(shù)據(jù)中心(AD-DC)解決方案H3C應(yīng)用驅(qū)動數(shù)據(jù)中心(AD-DC)實踐NFVISGVXLANNVGRESTTOpenFlowOverlayNFVSDN新網(wǎng)絡(luò)技術(shù)定義：網(wǎng)絡(luò)虛擬化，也稱Overlay網(wǎng)絡(luò)，對物理網(wǎng)絡(luò)進行隧道疊加，邏輯劃分成虛擬網(wǎng)絡(luò)分片，滿足基于租戶的個性化需求。定義：網(wǎng)絡(luò)功能虛擬化，軟件和硬件解耦，將2-7層網(wǎng)絡(luò)業(yè)務(wù)功能。定義：軟件定義網(wǎng)絡(luò)，控制與轉(zhuǎn)發(fā)分離，網(wǎng)絡(luò)控制集中化，Openflow是SDN典型協(xié)議之一。網(wǎng)絡(luò)核心技術(shù)趨勢一、SDN-軟件定義網(wǎng)絡(luò)SDN不是一種技術(shù)，而是一種思想，一種理念，一種架構(gòu)。SDN的核心訴求：讓軟件應(yīng)用參與到網(wǎng)絡(luò)控制中并起到主導(dǎo)作用，而不是讓各種固定模式的協(xié)議來控制網(wǎng)絡(luò)。為了滿足這種核心訴求，SDN思想指導(dǎo)下的網(wǎng)絡(luò)必須設(shè)計一種新的架構(gòu)。SDN是新網(wǎng)絡(luò)未來趨勢計算機IBM硬件IBMOSIBM應(yīng)用AppAppAppAppAppAppAppApp應(yīng)用通用CPU（x86）LinuxMacOSWindows(OS)或或開放接口開放接口手機封閉、私有、創(chuàng)新慢開放、標準、創(chuàng)新快私有應(yīng)用私有OS私有硬件Nokia/Moto封閉、私有、創(chuàng)新慢、用戶體驗差開放應(yīng)用iOS專用硬件開放應(yīng)用Andorid通用硬件或開放/半開放、接口標準、創(chuàng)新快、用戶體驗好通信產(chǎn)品封閉、軟硬件耦合，業(yè)務(wù)創(chuàng)新成本高虛擬化、承載控制分離、開放，快速業(yè)務(wù)創(chuàng)新SDN計算機、手機產(chǎn)業(yè)的發(fā)展規(guī)律對通信業(yè)的啟示H3CSDN控制器集群-VCF控制器支持最大128個控制器組成集群，可跨三層部署，每個控制器集群支持50K個服務(wù)器以及800K個虛擬機，業(yè)界管理能力最強集群南向通過劃分Region管理網(wǎng)絡(luò)設(shè)備，Region內(nèi)部的控制器互為備份或負載分擔單控制器可支持500Kpps以上的Packet-In并發(fā)性能，整個集群可超過64Mpps的性能，業(yè)界效率最高控制器全部故障時，交換機會啟動逃生模式，確保業(yè)務(wù)不受影響北向統(tǒng)一IP地址OpenStackiMCThird-partycloud主Leader備LeaderVCFControllerVCFcontrollerVCFcontrollerVCFcontrollerVCFcontrollerVCFcontrollervSwitch1AppVMvSwitch2AppVMvSwitch3AppVMvSwitch1000AppVMvSwitch1001AppVMvSwitch1002AppVMRegion10Region2Region1NFV的核心思想：用標準服務(wù)器、虛擬化、云計算等IT技術(shù)將軟件、硬件解耦。二、NFV－網(wǎng)絡(luò)功能虛擬化解除廠家鎖定業(yè)務(wù)快速上線節(jié)能減排NFV管理編排領(lǐng)域NFV業(yè)務(wù)領(lǐng)域H3CNFV：兼容ETSINFV架構(gòu)vIPSvDPINFVMANOH3CVNFManagervFWvACvCPEvBRAS三、數(shù)據(jù)中心網(wǎng)絡(luò)連接技術(shù)演進ACDHEFGBSTP利用STP消除L2環(huán)路TRILL/SPBMACRoute實現(xiàn)L2多路徑vSwitch使網(wǎng)絡(luò)延伸至服務(wù)器VEPA將流量引出，策略由網(wǎng)絡(luò)硬件處理X86服務(wù)器vSwitchVMVMVMX86服務(wù)器VEPAVMVMVM物理網(wǎng)絡(luò)虛擬網(wǎng)絡(luò)分裂統(tǒng)一IGP路由協(xié)議IGP路由協(xié)議L3組網(wǎng)L2組網(wǎng)VM組網(wǎng)Overlay網(wǎng)絡(luò)物理承載網(wǎng)絡(luò)主機主機網(wǎng)絡(luò)連接虛擬化-overlay網(wǎng)絡(luò)Overlay-網(wǎng)絡(luò)通道虛擬化主機主機主機物理網(wǎng)絡(luò)Overlay虛擬網(wǎng)絡(luò)underlay業(yè)務(wù)接入與物理位置綁定VLAN4K限制接入設(shè)備MAC、ARP表項壓力大業(yè)務(wù)遷移時網(wǎng)絡(luò)策略如何自動跟隨A網(wǎng)段B網(wǎng)段C網(wǎng)段D網(wǎng)段D網(wǎng)段D網(wǎng)段D1D2D1D2A1B1D1D2Overlay網(wǎng)絡(luò)物理承載網(wǎng)絡(luò)二層隧道封裝技術(shù)Overlay-網(wǎng)絡(luò)通道虛擬化（續(xù)）IP地址靈活分配VMIP地址與物理網(wǎng)絡(luò)拓撲解耦，IP地址不再具備尋址功能，只是一個標記，可以任意分配VM在IDC內(nèi)可以任意遷移VM任意遷移，IP地址保持不變VM的VM遷移時，不需要配置物理交換機多租戶租戶間可以相互隔離租戶可以自行設(shè)置安全策略消除大二層網(wǎng)絡(luò)問題減小ARP廣播域去除二層環(huán)路SDNControllerClusterSDNControllerClusterSDNControllerCluster網(wǎng)絡(luò)Overlay：物理設(shè)備為Overlay設(shè)備服務(wù)器無需支持Overlay支持虛擬化服務(wù)器和物理服務(wù)器接入主機Overlay：虛擬設(shè)備為Overlay設(shè)備適用服務(wù)器全虛擬化的場景物理網(wǎng)絡(luò)無需改動混合Overlay：物理設(shè)備和虛擬設(shè)備都可以作為Overlay設(shè)備，靈活組網(wǎng)可接入各種形態(tài)服務(wù)器可以充分發(fā)揮硬件網(wǎng)關(guān)的高性能和虛擬網(wǎng)關(guān)的業(yè)務(wù)靈活性NetworkOverlayHostOverlayHybridOverlay物理設(shè)備物理設(shè)備vDeviceVMVMVMvDeviceVMVMVM虛擬設(shè)備虛擬設(shè)備vDeviceVMVMVM物理設(shè)備虛擬設(shè)備業(yè)界SDNOverlay網(wǎng)絡(luò)模型業(yè)界對SDN+的理解對SDN的理解各有側(cè)重，但都沒有錯H3C對SDN+的理解H3CSDN+，務(wù)實派的SDN理解H3CSDN+具備完備網(wǎng)絡(luò)元素抽象能力具備靈活的網(wǎng)絡(luò)定義能力網(wǎng)絡(luò)具有高度自動化的能力包括業(yè)務(wù)的自動部署和對業(yè)務(wù)動態(tài)響應(yīng)同時對邏輯網(wǎng)絡(luò)和物理網(wǎng)絡(luò)進行自動診斷對邏輯網(wǎng)絡(luò)和物理網(wǎng)絡(luò)進行統(tǒng)一管理、呈現(xiàn)及映射的支持用戶虛擬網(wǎng)絡(luò)根據(jù)自身需求可靈活自定義，而物理網(wǎng)絡(luò)可保持不變網(wǎng)絡(luò)資源數(shù)不變情況下，可動態(tài)調(diào)整業(yè)務(wù)類型網(wǎng)絡(luò)資源可基于租戶、租戶不同業(yè)務(wù)進行細分具備完整網(wǎng)絡(luò)描述能力，抽象Port、L2、L3網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)具備對各種網(wǎng)絡(luò)設(shè)備的抽象能力，如硬件交換機、硬件安全設(shè)備、NFV等大綱數(shù)據(jù)中心網(wǎng)絡(luò)面臨的挑戰(zhàn)數(shù)據(jù)中心網(wǎng)絡(luò)新技術(shù)演進方向H3C應(yīng)用驅(qū)動數(shù)據(jù)中心(AD-DC)解決方案H3C應(yīng)用驅(qū)動數(shù)據(jù)中心(AD-DC)實踐Overlay網(wǎng)絡(luò)H3CAD-DC解決方案VCF控制器及Director++NFV網(wǎng)絡(luò)設(shè)備安全設(shè)備+H3COverlayH3C服務(wù)鏈傳統(tǒng)網(wǎng)絡(luò)+H3CAD-DC解決方案組成元素H3CAD-DC方案模型虛擬網(wǎng)絡(luò)自定義Hybrid混合組網(wǎng)統(tǒng)一資源池網(wǎng)絡(luò)自動化通過SDN業(yè)務(wù)鏈實現(xiàn)虛擬業(yè)務(wù)靈活自定義，網(wǎng)絡(luò)所見即所得充分發(fā)揮物理設(shè)備的轉(zhuǎn)發(fā)性能，和虛擬設(shè)備的業(yè)務(wù)靈活性SDN邏輯抽象和集中控制，實現(xiàn)資源根據(jù)業(yè)務(wù)按需分配，彈性擴展設(shè)備即插即用，終端隨時隨地接入，業(yè)務(wù)自動開通TOREOR/MORLeafL2L3L3ECMP機房核心Spine……SDN控制器DirectorvCenter/CVMWAN計算資源Rack管理控制Rack安全資源池RackVMVMVMVMVMVMVMVMVMVMvSwitchVSRvFWvLBvIPS完全繼承原有物理拓撲的邏輯架構(gòu)。安全資源池單獨部署，不增加計算資源規(guī)劃難度。H3CAD-DC方案核心特點ADDC重構(gòu)下一代網(wǎng)絡(luò)安全全局視野的運維能力賦予網(wǎng)絡(luò)運營能力開放的NaaS能力一、AD-DC賦予網(wǎng)絡(luò)運營能力業(yè)務(wù)需求快速上線靈活部署模式創(chuàng)新業(yè)務(wù)云化……用戶自助申請、開通、調(diào)整和釋放網(wǎng)絡(luò)資源支持多租戶的隔離網(wǎng)絡(luò)策略自動下發(fā)業(yè)務(wù)遷移，網(wǎng)絡(luò)策略自動跟隨業(yè)務(wù)與位置解耦合全局業(yè)務(wù)健康度檢查基于SDN的網(wǎng)絡(luò)高度自動化：開放可編程，可與主流云平臺對接構(gòu)建多系統(tǒng)虛擬數(shù)據(jù)中心TenantvDC1VMvNetvNetVMVMvRoutervLBvFWStorageStorageStorageSubnetSubnetSubnetvDC2vNetVMStorageSubnetvRoutervLBvFWDBvDC3vNetVMStorageSubnetvRoutervFWvIPS為了滿足警務(wù)未來業(yè)務(wù)擴展需求，通過AD-DC網(wǎng)絡(luò)提供租戶可自助的大二層隔離能力。征管系統(tǒng)個稅系統(tǒng)社保費系統(tǒng)虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的對應(yīng)關(guān)系租戶Tenant虛擬數(shù)據(jù)中心vDCVMSubnetVMSubnetVMVMVMSubnetVMvNetvNetvRoutervLBvFWOpenstackNeutron網(wǎng)絡(luò)模型VMVMVMH3CvSwitch

vSwitchVMVMVMCASvSwitchS6800S6800LeafS12500-XS12500-XWANRouterVMvRoutervRouterVRF1VRF2安全資源池VXLAN100VXLAN200VXLAN300VXLANOverlayH3CSDN網(wǎng)絡(luò)模型配置映射基于業(yè)務(wù)的網(wǎng)絡(luò)自動化CoreCoreHypervisorVMVMVMvSwitchLBAccessAccessWANHypervisorVMVMVMvSwitch服務(wù)器FWRouterTOR接入自動化自動接通虛擬網(wǎng)絡(luò)Fabric自動化設(shè)備即插即用拓撲自動化自動拓撲發(fā)現(xiàn)自動配置下發(fā)接入設(shè)備上報設(shè)備和拓撲信息遷移自動化業(yè)務(wù)自動遷移，網(wǎng)絡(luò)策略自動跟隨VCF控制器分布式集群壞配置自動化自動配置下發(fā)診斷自動化智能故障檢測1、傳統(tǒng)網(wǎng)絡(luò)過于依賴于人工管理，AD-DC方案提高業(yè)務(wù)上線速度；2、防止人為部署操作錯誤，同時大大減少運維成本。二、AD-DC重構(gòu)下一代網(wǎng)絡(luò)安全安全需求用戶、應(yīng)用識別資源統(tǒng)一調(diào)配攻擊深度防御網(wǎng)絡(luò)健康可視攻擊數(shù)據(jù)審計……

自動化編排解決網(wǎng)絡(luò)業(yè)務(wù)面向應(yīng)用的自動化，從剛性網(wǎng)絡(luò)到柔性網(wǎng)絡(luò)端到端業(yè)務(wù)鏈自動化IPS防火墻負載均衡基于網(wǎng)元部署安全能力過去防火墻負載均衡基于業(yè)務(wù)流部署安全能力現(xiàn)在IPS編排VMVMVM虛擬網(wǎng)絡(luò)資源池DiskDiskDiskH3C基于SDN的業(yè)務(wù)鏈技術(shù)數(shù)據(jù)報文在網(wǎng)絡(luò)中傳遞時，需要經(jīng)過各種安全服務(wù)節(jié)點，提供給用戶安全、自定義的網(wǎng)絡(luò)服務(wù)。常見的服務(wù)節(jié)點（ServiceNode）：防火墻（FW）、負載均衡(LB)、入侵檢測（IPS）、VPN等。業(yè)務(wù)鏈定義：SDN控制器對網(wǎng)絡(luò)進行邏輯抽象，并實現(xiàn)對業(yè)務(wù)的靈活自定義編排；業(yè)務(wù)流量按照控制器的編排順序經(jīng)過一組抽象業(yè)務(wù)功能節(jié)點，完成對應(yīng)業(yè)務(wù)功能的處理。業(yè)務(wù)鏈實現(xiàn)網(wǎng)絡(luò)服務(wù)與網(wǎng)絡(luò)拓撲解藕、與物理設(shè)備解藕、與轉(zhuǎn)發(fā)流程解藕SDNControllerClustervSwitchvSwitchAPPServiceNodesvSwitchvSwitchWEB服務(wù)鏈業(yè)務(wù)節(jié)點SpineSpineVxLANNetworkLeafLeafLeafLeafLeafVMVMVMVMVMVMVMVMVMVMVMVMNFVH3C基于SDN的業(yè)務(wù)鏈技術(shù)（續(xù)）安全域B安全域AVMVMVMvSwitch接入接入VMVMVMvSwitchX86服務(wù)器VMVMVMvSwitch接入接入VMVMVMvSwitch核心層核心層SDNNetwork東西向流量云防火墻

云負載均衡東西向業(yè)務(wù)鏈數(shù)據(jù)中心各業(yè)務(wù)系統(tǒng)區(qū)VCF控制器VMVMVMvSwitch接入接入VMVMVMvSwitch核心層核心層SDNNetworkWAN路由器/傳統(tǒng)安全南北向業(yè)務(wù)鏈安全節(jié)點（NFV）安全節(jié)點（硬件）南北向流量云管理平臺VCF控制器云管理平臺傳統(tǒng)安全H3C基于SDN的業(yè)務(wù)鏈技術(shù)（續(xù)）安全域B安全域AVMVMVMvSwitch接入接入VMVMVMvSwitchVXLAN交換機VMVMVMvSwitch接入接入VMVMVMvSwitch核心層核心層SDNNetwork東西向流量云防火墻

云負載均衡業(yè)務(wù)鏈代理方式第三方云安全節(jié)點VCF控制器云管理平臺傳統(tǒng)安全三、AD-DC全局視野的運維能力運維需求快速交付快速變更快速診斷彈性擴展……VCFC和Director結(jié)合實現(xiàn)DC基礎(chǔ)架構(gòu)的監(jiān)控運維Overlay路徑分析VTEP節(jié)點之間的連通性檢測支持Vxlan隧道流量統(tǒng)計功能自動化配置部署上送控制器的Packetin報文統(tǒng)計……VXLANtunnelconnectivitytestVXLANoverlaytopology物理拓撲及業(yè)務(wù)拓撲展示VXLANunderlaytopologyVXLANtrafficmonitorAD-DC的基礎(chǔ)架構(gòu)運維平臺VCFFabricDirector，面向DC監(jiān)控運維的基礎(chǔ)架構(gòu)管理平面AD-DC場景化管理和運維可視化規(guī)劃，數(shù)據(jù)中心規(guī)劃全程可視化自動化部署，一鍵構(gòu)建數(shù)據(jù)中心，支持計算、存儲、網(wǎng)絡(luò)資源自動化納管、部署、監(jiān)控、排錯VCFControllerEVPNVCFFabricSpineLeafBorderVCFFabricDirectorVCFAPI（Restful）基礎(chǔ)運維管理可視化規(guī)劃網(wǎng)絡(luò)部署服務(wù)器部署存儲部署L4/7部署運維監(jiān)控基于角色、組織結(jié)構(gòu)自定義管理工作流和任務(wù)VCFFabricDirector亮點人員變動和IT能力解耦。數(shù)據(jù)中心規(guī)劃可視化、Profile化，數(shù)據(jù)中心規(guī)劃設(shè)計遵循統(tǒng)一的Profile格式，可傳承、可回溯、可部署配置文件減少90%。基于角色的設(shè)備profile，礎(chǔ)配置文件數(shù)量不再隨著設(shè)備數(shù)量增加而增加自動化部署，一鍵構(gòu)建DC。設(shè)備上架后的基礎(chǔ)配置自動化，原來80%需要手工完成的工作可以全程可視自動化完成，減少了運維工作量清晰的物理/虛擬資源映射關(guān)系。Underlay/Overlay網(wǎng)絡(luò)、物理服務(wù)器/VM、物理存儲/卷統(tǒng)一監(jiān)控DirectorProfileSpineSpinePacketOutCH3CVCFControllerOuterIPOuterUDPVXLANOuterEthernetInnerEthernetPayloadNewFCSInstanceIDReservedReservedFlags8Bytes1Byte1Byte第二保留字段3Byte3ByteAD-DC網(wǎng)絡(luò)的運維-雷達探測&單播仿真LEAF1LEAF2LEAF3LEAF4當前在VXLAN環(huán)境下，原IP報文做VXLAN封裝后，會通過ECMP到不同的鏈路上，無法監(jiān)控具體走的哪條物理鏈路問題解決方案控制器通過PacketOut發(fā)送探測報文,LEAF設(shè)備進行正常的轉(zhuǎn)發(fā),同時根據(jù)五元組變化覆蓋不同的路徑。中間設(shè)備根據(jù)流表匹配保留字段，將此報文完整上送到控制器,控制器據(jù)此查找出任意兩個LEAF節(jié)點間的underlay網(wǎng)絡(luò)的連通情況和拓撲狀態(tài)四、AD-DC開放的NaaS能力SDK安全防護安全審計流量采集防攻擊檢測服務(wù)器上下線檢測VM資源記錄安全栓測日志管理配置管理日志分析服務(wù)節(jié)點編排軟件管理流量展示流量匯總拓撲生成帶寬保障報文統(tǒng)計帶寬限速擁塞調(diào)度端口UP/DOWN檢測VM資源監(jiān)控ACL配置VM資源遷移流量分析業(yè)務(wù)鏈AD-DC方案的優(yōu)勢節(jié)省成本創(chuàng)造價值全局視野運維能力開放的NaaS能力網(wǎng)絡(luò)的運營能力重定義網(wǎng)絡(luò)安全AD-DC之關(guān)鍵產(chǎn)品S12500/S9800/S10500/S7500E等VXLAN三層網(wǎng)關(guān)VCF控制器vSwitch虛擬設(shè)備管控平臺硬件安全設(shè)備M9000、F5000、L5000等S6800/S5560SVXLAN二層網(wǎng)關(guān)FabricDirectorVSRVBRASVFWVACVLB一體化X86主控AD-DC友商競爭分析HW服務(wù)鏈NFV支持VMware虛擬化的vSwitch思科主機/混合Overlay本地化定制VMware網(wǎng)絡(luò)Overlay/混合Overlay硬件服務(wù)鏈本地化定制大綱數(shù)據(jù)中心網(wǎng)絡(luò)面臨的挑戰(zhàn)數(shù)據(jù)中心網(wǎng)絡(luò)新技術(shù)演進方向H3C應(yīng)用驅(qū)動數(shù)據(jù)中心(AD-DC)解決方案H3C應(yīng)用驅(qū)動數(shù)據(jù)中心(AD-DC)實踐H3CAD-DC@工商銀行融e購融e聯(lián)融e行e支付向：互聯(lián)網(wǎng)營銷渠道模式轉(zhuǎn)型向：開放式IT平臺云計算轉(zhuǎn)型建立“準”生產(chǎn)開放平臺測試區(qū)，驗證測試“私有云”網(wǎng)絡(luò)：降低金融信息化建設(shè)成本（TOC）縮短業(yè)務(wù)迭代更新快速的上線速度提升IT資源的彈性擴展能力實現(xiàn)IT資源的自動化管理運維向“E-ICBC”轉(zhuǎn)型思路：目標：三個任意，任意服務(wù)器，任意機架，支持任意應(yīng)用。態(tài)度：嚴謹?shù)摹皽省鄙a(chǎn)環(huán)境驗證，保障后續(xù)直接正式上線應(yīng)用測試：確保可用性架構(gòu)：自動化運維管理平臺：實現(xiàn)業(yè)務(wù)流程自動化管理；Openstack云平臺：實現(xiàn)計算資源、存儲資源、網(wǎng)絡(luò)資源的自動化交付；計算虛擬化（KVM、VMware）：實現(xiàn)計算資源虛擬化；存儲虛擬化：分布式存儲；網(wǎng)絡(luò)虛擬化：Fabric架構(gòu)、VXLANSDN、NFV支撐工行業(yè)務(wù)轉(zhuǎn)型，構(gòu)建面向未來業(yè)務(wù)發(fā)展的全新技術(shù)體系框架。

以解決客戶問題為目的，形成端到端的解決方案，滿足工行未來5到8年的業(yè)務(wù)發(fā)展需求。關(guān)注點—SDNVxlan網(wǎng)絡(luò)：基本功能Fabri組網(wǎng)：

Fabric架構(gòu)，Spine、Leaf之間的超載比3:1，N:1虛擬化、1：N虛擬化；Vxlan網(wǎng)絡(luò):

underlay網(wǎng)絡(luò)采用三層組網(wǎng)（OSPF）、overlay網(wǎng)絡(luò)實現(xiàn)大二層業(yè)務(wù)傳輸，支持自轉(zhuǎn)發(fā)及SDN流轉(zhuǎn)發(fā)，；SDN控制：SDN控制器實現(xiàn)配置下發(fā)、ARP代答、流表下發(fā)、服務(wù)鏈下發(fā)；云平臺對接：通過API標準接口實現(xiàn)與Openstack云平臺的對接，實現(xiàn)虛擬機、物理機的自動加入、熱遷移；可管理:可實現(xiàn)網(wǎng)絡(luò)設(shè)備事件監(jiān)控、網(wǎng)絡(luò)性能容量管理、虛擬網(wǎng)絡(luò)狀態(tài)監(jiān)控、控制器支持用戶分級管理、ssh或者https登陸網(wǎng)絡(luò)可靠性SDN控制器：單臺或多臺控制器故障\恢復(fù)，業(yè)務(wù)聯(lián)通性及配置、策略、流表下發(fā)不受影響；所有控制器故障，已下發(fā)流表的業(yè)務(wù)聯(lián)通性正常。網(wǎng)絡(luò)設(shè)備:網(wǎng)關(guān)、Spine、leaf任意一臺設(shè)備故障、堆疊互聯(lián)鏈路出現(xiàn)故障業(yè)務(wù)中斷時間在秒級，網(wǎng)絡(luò)中斷時間可控（2秒以內(nèi)）；網(wǎng)絡(luò)鏈路：網(wǎng)關(guān)與spine之間鏈路故障、spine與leaf之間鏈路故障，業(yè)務(wù)中斷時間在秒級，網(wǎng)絡(luò)中斷時間可控（1秒內(nèi)）；服務(wù)器網(wǎng)卡：服務(wù)器多網(wǎng)卡主備模式下，主網(wǎng)卡故障的，業(yè)務(wù)中斷時間在秒級（2秒內(nèi)），金融定制化配合LLDP實現(xiàn)精細化配置預(yù)下發(fā)；虛機熱遷移:虛擬機從原物理服務(wù)器遷移至新物理服務(wù)器時業(yè)務(wù)中斷時間在秒級，網(wǎng)絡(luò)中斷時間可控（3秒以內(nèi)）故障故障故障故障故障環(huán)路檢測和安全納管驗證Vxlan網(wǎng)絡(luò)是否會成環(huán)：:

Underlay網(wǎng)絡(luò)為三層組網(wǎng)；overlay網(wǎng)絡(luò)中VXLAN隧道“水平分割”機制

、ARP轉(zhuǎn)單播機制本身不會形成環(huán)路；驗證Vxlan成環(huán)后的影響:

（通過外接鏈路成環(huán)、儀表模擬未知單播）測試leaf交換機單端口環(huán)路、leaf交換機多端口環(huán)路、leaf交換機跨VTEP環(huán)路對的網(wǎng)絡(luò)、SDN控制器的影響；生成樹、環(huán)路檢測功能：測試Vxlan網(wǎng)絡(luò)在形成環(huán)路時（通過外接鏈路成環(huán)、儀表模擬未知單播），開啟生成樹、環(huán)路檢測功能，能否將環(huán)路阻斷；安全設(shè)備SDN納管：防火墻替換為華三M9000（原Juniper設(shè)備），驗證通過SDN控制實現(xiàn)防火墻配置、策略下發(fā)修改（測試中）；可用性測試結(jié)論測試項編號測試案例測試結(jié)果控制器可靠性3.2.1Region內(nèi)主用控制器故障/恢復(fù)通過3.2.2Region內(nèi)備用控制器故障/恢復(fù)通過3.2.3Region內(nèi)主備控制器都故障/恢復(fù)通過3.2.4Leader主用控制器故障/恢復(fù)通過3.2.5Leader備用控制器故障/恢復(fù)通過3.2.6所有控制器故障通過設(shè)備可靠性3.3.1GW(S125X)主設(shè)備故障/恢復(fù)通過3.3.2GW(S125X)備設(shè)備故障/恢復(fù)通過3.3.3GW（S125X）堆疊鏈路故障/恢復(fù)通過

3.3.4Spine1（S125X）設(shè)備故障/恢復(fù)通過3.3.5Leaf主設(shè)備（6800）故障/恢復(fù)通過3.3.6Leaf備設(shè)備（6800）故障/恢復(fù)通過

3.3.7Leaf（6800）堆疊鏈路故障/恢復(fù)通過

虛擬機熱遷移

通過服務(wù)器主備網(wǎng)卡切換

通過環(huán)路檢測3.6.1Leaf交換機單端口下環(huán)路檢測通過3.6.2Leaf交換機多端口下環(huán)路檢測通過3.6.3Leaf交換機跨VTEP下環(huán)路檢測通過測試結(jié)論：本次測試共測試了18項，其中18項全部通過。經(jīng)過測試驗證，確認目前華三設(shè)備組網(wǎng)、SDN控制器集群、虛擬機熱遷移，已能夠滿足可靠性要求。在VxLAN組網(wǎng)中，任意節(jié)點設(shè)備、鏈路故障時，或SDN控制器集群中單臺、多臺服務(wù)器故障時可以通過相關(guān)可靠性機制保障業(yè)務(wù)的連續(xù)性；在VxLAN組網(wǎng)中能夠有效檢測并阻斷Overlay、Underlay網(wǎng)絡(luò)中的環(huán)路，防止因環(huán)路廣播風暴而對網(wǎng)絡(luò)造成的沖擊。

H3CAD-DC@中國平安金融云平安“混合”云平臺：向集團內(nèi)部（銀行、保險、投資等）提供私有云服務(wù)，向外部中小金融機構(gòu)提供金融“公”有云服務(wù)，公有云的客戶已經(jīng)運行在廊坊云平臺。華三承建平安云廊坊云中心H3C

AD-DC@招商銀行手機銀行活躍用戶數(shù)最高的銀行最善于互聯(lián)網(wǎng)創(chuàng)新營銷的銀行最早向互聯(lián)網(wǎng)+轉(zhuǎn)型的銀行云平臺自動化運營維護在線業(yè)務(wù)及用戶量突發(fā)互聯(lián)網(wǎng)業(yè)務(wù)靈活上線人工手動運維效率低IT資源彈性擴展IT資源池化智能編排華三承建招商科興園區(qū)云中心H3CAD-DC@騰訊云自2014年6月上線，已穩(wěn)定運行至今利用overlay的天然跨