隨著以云平臺為IT基礎搭建的業務場景越來越廣泛的被應用于政企及運營商,區分云計算的網絡流量類型也變得越來越重要,因為云計算會越來越多的以場景的方式落地于各個行業,不同業務的流量是不一樣的,所以首先應該對各種行業應用下云計算網絡的流量類型進行區分,同時對這些流量進行管理 。
一、云計算環境下網絡流量的區分
用戶與后臺資源的網絡穩定性對于最終體驗是至關重要的,然而對于大部分傳統企業和運營商來說,網絡的QOS使用并不能完全滿足網絡穩定性的要求,對于大多數傳統企業,數據中心多依靠于運營商的網絡,所以多數的流量全部混合到核心網絡當中去進行傳輸,那么對于云計算環境下,多業務,多租戶的模式下,網絡流量的區分至關重要。
圖1 云計算環境下網絡流量的區分
設計云計算的網絡模型時,我們應該更多、更好地去運用云計算所帶來的便捷性,多種業務共存在每個資源池當中,從資源池引入到上層網絡,這時我們就應該對于多種流量進行逐一的區分,建立不同的業務模型,找到不同業務對應的底層協議種類,以便在日后整個云計算爆發的時候,使得每個邏輯業務網絡更加清晰,從龐大的數據流當中提取不同流量。對于云計算來說,三種服務模型所產生的流量也是有所不同,宏觀上可以區分如下:
SaaS流量模型
包括大量的HTTP與HTTPS流量,主要分布于80與443端口,通常屬于一種輕量型的數據連接機制,但是在一定程度下,比如上傳或者下載,將會產生多種數據流進行傳遞,使得帶寬占用的不明朗,與資源管理的復雜性。
PaaS流量模型
PaaS屬于對外提供定制的軟件運行環境,往往會在系統開發與調試階段產生不同的數據流量,那么多與每項的程序調用所使用的流量區分,在這個平臺也會逐漸產生。
IaaS流量模型
IaaS這個層面所產生的流量就比較復雜,兩個維度,一個是屬于面向業務,多租戶,多業務的流量區分,在線存儲的服務,每個存儲通道所產生的流量區分,每個虛擬機所產生的流量的區分,對于整個網絡的流量區分與所需網絡的提供將會是一個逐漸演變的過程。
基于以上的流量區分與流量的安全性,我們應該在云數據中心網絡層面上去提前認識與使用,并結合業務實際需求去建設適合用戶的數據中心網絡。
二、相同數據中心二層網絡互通
隨著云計算落地數據中心,虛擬流量逐漸產生,數據中心的概念在逐漸模糊,同地域,不同地域,同資源池,不同資源區分等,本章節主要是講述,相同數據中心之間的網絡架構實現,以新老技術為背景,進行實現與架構設計的分享。
1.1VPLS的實現
vpls對于傳統網絡來說,這個詞語并不陌生,在之前文章當中已經提及基本知識,本章不再對基本知識進行相關介紹,主要以架構設計與實現進行分享,我們都知道,MPLS-VPN,這個2.5層的網絡路由協議可以說是一種比較老舊的技術,但是在當前云計算的環境下,對于多業務的區分,多種虛擬流量的整合又重新興起到了現有的云計算網絡平臺,它們將會發揮它們在于邏輯網絡區分的優勢,繼續發揮這個老司機的作用。之所以認為它是屬于相同數據中心的網絡通信協議,其實不難理解,MPLS也好VPLS也好,都是一種依靠LABLE傳遞的路由協議,那么對于租用運營商鏈路或者跨域其他鏈路資源來說,中間的設備必須具有LABLE的能力,整體來說,還是屬于一張私有的邏輯網絡,那么整個網絡其實可以理解為一個數據中心的整體,并沒有在廣域鏈路上進行完全的隔離與混合,那么在云背景下,對于二層網絡來說,vpls也即是再適合不過的一個流量區分的一個協議選擇了,其天生的VSI標示,就是對于每一個二層網絡進行相互隔離的一個基本機制,利用其VSI我們就可以對不同的流量或者云計算當中的每個虛擬網絡流量進行區分,本節將會以vpls為主,進行分享。
VPLS在個人業務中的應用
業務描述:
HSI(High Speed Internet)、VoIP(Voice Over IP)、BTV(Broadband TV)這些個人業務通常是通過運營商的城域網來承載業務流量的。
由于個人業務的業務網關(SR/BRAS等)部署在了城域出口,也就意味著用戶的二層報文需要透傳到業務網關(因為如果在PE上終結了二層報文,轉為三層路由轉發的話,承載在二層報文中的用戶信息將會丟失,而無法到達業務網關,導致業務網關無法對用戶實施控制),需要使用VPLS/VLL等技術透傳二層報文。當城域網部署主備業務網關時,用戶流量需要雙歸屬接入業務網關,此時必須使用VPLS技術才能實現。
組網描述:
個人業務(HSI、VoIP、BTV)依次通過城域網的接入層、匯聚層、核心層到達Internet網絡。如圖3是承載個人業務的典型組網。
HSI業務通過該承載網,訪問Internet網絡。
VoIP業務經過該承載網,向DHCP(Dynamic Host Configuration Protocol)Server申請IP地址。
BTV業務經過該承載網,向組播源申請組播服務。
圖2 個人業務(HSI、VoIP、BTV)
部署特性:
VPLS特性通常部署于PE設備之間,實現流量在PE設備之間的透明傳輸。根據圖1,以部署LDP方式的VPLS為例:
接入層設備的特性:
部署VLAN特性,用于區分不同類型的用戶。
部署PPPoEoA(PPPoE over AAL5)和PPPoA(PPP over AAL5)特性,實現HSI業務用戶的撥號接入。
部署組播VLAN、IGMP Snooping業務,實現組播業務分發。
匯聚層設備的特性:
PE設備部署IGP(Interior Gateway Protocol)協議,實現PE設備間路由互通。
PE設備部署MPLS基本功能,使得PE設備之間建立遠端會話。
PE設備部署MPLS L2VPN功能,同時建立VSI實例。
PE設備部署VPLS菊花鏈方式的組播業務,實現組播業務分發。
核心層設備的特性:
BRAS(Broadband Remote Access Server)設備部署認證、計費等特性,用于進行HSI業務的終結。
SR(Service Router)設備部署IGP協議,實現路由互通。
SR設備部署MPLS基本功能。
SR設備部署DHCP Relay功能,實現VoIP用戶通過DHCP Server獲得IP地址。
SR設備部署三層組播特性,實現與組播源之間業務的互通。
VPLS在企業業務中的應用
業務描述:
目前,很多企業的分布范圍日益擴大,公司員工的移動性也不斷增加,因此企業中立即消息、網絡會議的應用越來越廣泛。這些應用對端到端的數據通信技術有了更高的要求。端到端數據通信功能的實現依賴于一個能夠支持多點業務的網絡。同時,企業業務本身對數據保密的固有特點,多點傳輸時不僅要求能保證網絡可靠性,還要求提供透明、安全的數據通道。
在運營商建立的城域網中,企業的多個分支機構分布在不同區域。此時,需要將企業機構之間的二層業務報文通過城域網傳輸時通常會使用VPLS技術,實現分布在不同地區的企業內部之間的互通。
組網描述:
企業業務通過城域網傳輸。如圖1是承載企業業務的典型組網。某企業擁有多個分支機構,Site1、Site2、Site3是研發部門。通過部署VPLS特性,實現site之間二層網絡互通。
圖3 企業業務典型組網
部署特性:
VPLS特性通常部署于PE設備之間,實現流量在PE設備之間的透明傳輸。從企業用戶看來,公網類似一個二層交換機。根據圖1,以部署LDP方式的VPLS為例:
接入層設備的特性:
部署VLAN特性,用于區分不同類型的企業用戶。
匯聚層設備的特性:
PE設備部署IGP協議,實現PE設備間路由互通。
PE設備部署MPLS基本功能,使得PE設備之間建立遠端會話。
PE設備部署MPLS L2VPN功能,同時建立VSI實例。采用VPLS雙歸組網形式,實現對流量的保護。
PE設備部署MAC地址限制、報文流量抑制功能,實現對數據保護。
1.1.1 HVPLS
HVPLS(Hierarchical Virtual Private LAN Service),即分層VPLS,是一種實現VPLS網絡層次化的一種技術。
HVPLS 產生背景
以LDP方式為信令的VPLS,為了避免環路,其基本解決辦法都是在信令上建立所有站點的全連接,LDP建立所有站點之間的LDP會話的全連接。在進行數據轉發時,對于從PW來的報文,根據水平分割轉發的原理,將不會再向其他的PW轉發。如果一個VPLS有N臺PE設備,該VPLS就有N×(N-1)÷2個連接。當VPLS的PE增多時,VPLS的連接數就成N平方級數增加。假設有100個站點,站點間的LDP會話數目將是4950個。上述VPLS方案不能大規模的應用的真正缺點是提供VC的PE需要復制數據包,對于第一個未知單播報文和廣播、組播報文,每個PE設備需要向所有的對端設備廣播報文,這樣就會浪費帶寬。
為解決VPLS的全連接問題,增加網絡的可擴展性,產生了HVPLS組網方案。在協議draft-ietf-l2vpn_vpls_ldp中引入了HVPLS。HVPLS通過把網絡分級,每一級網絡形成全連接,分級間的設備通過PW來連接,分級之間的設備的數據轉發不遵守水平分割原則,而是可以相互轉發。
圖4 HVPLS MODEL
HVPLS的基本模型中,可以把PE分為兩種:
UPE:用戶的匯聚設備,即直接連接CE的設備稱為下層PE(Underlayer
PE),簡稱UPE。UPE只需要與基本VPLS全連接網絡的其中一臺PE建立連接。UPE支持路由和MPLS封裝。如果一個UPE連接多個CE,且具備基本橋接功能,那么數據幀轉發只需要在UPE進行,這樣減輕了SPE的負擔。
SPE:連結UPE并位于基本VPLS全連接網絡內部的核心設備稱為上層PE(Superstratum
PE),簡稱SPE。SPE與基本VPLS全連接網絡內部的其他設備都建立連接。
對于SPE來說,與之相連的UPE就像一個CE。從數據轉發的角度看,UPE與SPE之間建立的PW將作為SPE的AC,UPE將CE發送來的報文封裝兩層MPLS標簽,外層為LSP的標簽,該標簽經過接入網的不同設備時被交換;內層標簽為VC標簽,用于標識VC。SPE收到的報文包含兩層標簽,外層的公網標簽被直接彈出,SPE根據內層的標簽決定該AC接入哪個VSI并進行內層標簽交換。
HVPLS的接入方式
如圖4所示,UPE1作為匯聚設備,它只跟SPE1建立一條虛鏈路而接入鏈路PW,跟其他所有的對端都不建立虛鏈路。UPE與SPE之間的PW稱為U-PW,SPE間的PW稱為S-PW。
以CE1發送報文到CE2為例,數據轉發流程如下:
CE1發送報文給UPE1,報文的目的MAC地址是CE2;
UPE1負責將CE1發送的報文發給SPE1,UPE1為該報文打上兩層MPLS標簽,外層標簽標識UPE1與SPE1之間的LSP Tunnel ID,內層標簽標識UPE1與SPE1之間的VC ID;
UPE1與SPE1之間的LSR對用戶報文進行傳遞和標簽交換,最終在倒數第二跳報文的外層標簽被剝離;
SPE1收到報文后,根據MPLS內層標簽判斷報文所屬的VSI,發現該報文屬于VSI1;
SPE1去掉UPE1給用戶報文打上的MPLS內層標簽;
SPE1根據用戶報文的目的MAC,查找VSI的表項,發現該報文應該被發往SPE2。SPE1給該報文打上兩層MPLS標簽,外層標簽標識SPE1與SPE2之間的LSP Tunnel ID,內層標簽標識SPE1與SPE2之間的VC ID;
SPE1與SPE2之間的LSR對用戶報文進行傳遞和標簽交換,最終在倒數第二跳報文的外層標簽被剝離;
SPE2從S-PW側收到該報文后,根據內層MPLS標簽判斷報文所屬的VSI,發現該報文屬于VSI1,并去掉SPE1給該報文打上的內層MPLS標簽;
SPE2為該報文打上兩層MPLS標簽,外層標簽標識SPE2與UPE2之間的LSP Tunnel ID,內層標簽標識UPE2與SPE2之間的VC ID,并轉發該報文;
SPE2與UPE2之間的LSR對用戶報文進行傳遞和標簽交換,最終在倒數第二跳報文的外層標簽被剝離;
UPE2收到該報文后,去掉UPE2給用戶報文打上的MPLS內層標簽,根據用戶報文的目的MAC,查找VSI的表項,發現該報文應該被發往CE2,并轉發該報文。
CE1與CE4為本地CE之間交換數據,如圖2所示。由于UPE本身具有橋接功能,UPE直接完成兩者間的報文轉發,而無需將報文上送SPE1。不過對于從CE1發來的目的MAC未知的第一個報文或廣播報文,UPE1在廣播到CE4的同時,仍然會通過U-PW轉發給SPE1,由SPE1來完成報文的復制并轉發到各個對端CE。
HVPLS的環路避免
與VPLS的環路避免相比,H-VPLS中環路避免方法需要做如下調整:
只需要在SPE之間建立全連接(PW全連接),UPE和SPE之間不需要全連接。
每個SPE設備上,從與SPE連接的PW上收到的報文,不再向這個VSI關聯的、與其它SPE連接的PW轉發,但可以向與UPE連接的PW轉發。
每個SPE設備上,從與UPE連接的PW上收到的報文,可以向這個VSI關聯的所有與其它SPE連接的PW轉發。
1.1.1.1配置LDP方式的HVPLS示例
組網需求:
企業機構,自建骨干網。分支Site1使用CE1連接UPE設備接入骨干網,分支Site2使用CE2連接UPE接入骨干網,分支Site3使用CE3連接普通PE1接入骨干網。現在Site1、Site2和Site3的用戶需要進行二層業務的互通,同時要求在穿越骨干網時保留二層報文中用戶信息。另外要求骨干網的UPE和SPE實現分層次的網絡結構。
配置思路:
采用如下的思路配置LDP方式的HVPLS基本功能:
為實現Site1、Site2和Site3的二層業務互通,同時在穿越骨干網時保留二層報文的用戶信息,故需要使用VPLS技術在骨干網透傳二層報文;
由于企業需要實現分層次的網絡結構,可以選擇LDP方式的HVPLS,形成層次化的網絡拓撲并實現各CE設備二層網絡的互通;
為實現PE間數據的公網傳輸,需要在骨干網上配置IGP路由協議實現互通;
VPLS實現依靠MPLS基本功能,故需要在骨干網上的設備配置MPLS基本功能和LDP;
為使PE間傳輸的數據不被公網感知,需要在PE間建立傳輸數據所使用的隧道;
為實現VPLS功能,需要在PE上使能MPLS L2VPN;
為實現LDP方式的VPLS,需要在PE上創建VSI,指定信令為LDP,然后在UPE和PE1上將VSI與AC接口綁定;
為實現層次化的HVPLS功能,需要在SPE上指定UPE為自己的下層PE,PE1為VSI對等體;在UPE和PE1上分別指定SPE為VSI對等體。
1.1.2 Martini VPLS
組網需求:
如圖1,某企業機構,自建骨干網。分支Site站點較少(舉例中只列出2個站點,其余省略),分支Site1使用CE1連接PE1設備接入骨干網,分支Site2使用CE2連接PE2接入骨干網。現在Site1和Site2的用戶需要進行二層業務的互通,同時要求在穿越骨干網時保留二層報文中用戶信息。
圖5 Martini方式配置VPLS
1.1.2.1 配置Marrtini VPLS的示例
采用如下的思路配置Martini方式VPLS的基本功能:
為實現Site1和Site2的二層業務互通,同時在穿越骨干網時保留二層報文的用戶信息,故需要使用VPLS技術在骨干網透傳二層報文;
由于企業網絡結構的Site站點較少,可以選擇Martini方式的VPLS,實現各CE設備二層網絡的互通;
為實現PE間數據的公網傳輸,需要在骨干網上配置IGP路由協議實現互通;
VPLS實現依靠MPLS基本功能,故需要在骨干網上的設備配置MPLS基本功能和LDP;
為使PE間傳輸的數據不被公網感知,需要在PE間建立傳輸數據所使用的隧道;
為實現VPLS功能,需要在PE上使能MPLS L2VPN;
為實現Martini方式VPLS,需要在PE上創建VSI,指定信令為LDP,然后將VSI與AC接口綁定。
1.2Fabrica-Path的實現
1) vPC+實現雙活的網關路由
如果在FabricPath網絡中單純的使用HSRP技術,HSRP虛擬IP地址所對應的虛擬MAC地址,只會映射到活動的網關的Switch ID。這樣FabricPath去往外部三層網絡的流量只會從活動網關轉發。但是如果在HSRP環境下啟用了vPC+技術,如圖8-33所示,HSRP的虛擬MAC地址會映射到vPC+虛擬交換機的Switch ID。并且在FabricPath路由表中會學習到去往虛擬交換機Switch ID的路由通過兩個網關進行負載均衡,真正實現了去往外部三層網絡的負載均衡。
圖6 外部網絡
1.3 Trill的實現
圖7 IP Network
通過TRILL協議構建扁平化二層網絡,實現整網無阻塞轉發及虛擬機的任意遷移。使用TRILL協議部署數據中心網絡時,首先在所有設備上配置TRILL基本功能,繼而根據網絡層次,進行如下處理:
接入層:
在用戶側配置CE VLAN接入服務器,配置后用戶流量可以通過TRILL網絡傳輸。如果服務器通過接入設備雙上行接入到TRILL網絡中,建議用戶在連接接入設備的邊緣RB上配置STP/RSTP/MSTP聯動TRILL功能進行破環。在網絡側,可以調整TRILL的路由選路和控制TRILL的網絡收斂來保證網絡高效轉發。
核心層:
在網絡側可以調整TRILL的路由選路和控制TRILL的網絡收斂來保證網絡高效轉發。在出口側,可以通過出口路由器連接企業其他網絡,或者在核心層設備上配置虛擬系統VS(Virtual System),使用其中一個VS作為出口網關,連接企業其他網絡。
三、 數據中心私有安全通道
VPN屬于目前云計算環境當中典型的鏈路加密方式,在整個云計算環境體系當中,SSL與IPsec VPN屬于最典型也是最廣泛使用的兩種VPN技術。
資源集中屬于云計算的一個天然的本質,統一的資源池化,但是整個云計算環境當中面臨的用戶與后臺服務之間在廣域網上的安全通道就面臨了直接的挑戰,每個業務的網絡都有可能在整個互聯網上進行傳遞,公有云也好,私有云也好,統一面臨著安全問題,為了在整個網絡通道進行安全加密,我們多數人想到的都是VPN,因為VPN天然具備了兩種基本特性-長連接與加密。
長連接在VPN狀態的體現就是每條連接都是有狀態的連接,也就是通常會使用類似“三次握手”的機制保證它的連接性,加密技術使得整個數據報文在專遞過程當中,對于任何人來說都是不可見的狀態,保證了傳輸的安全性。
VPN的選擇有很多,對于多種選擇來說,目前比較廣泛的可靠性加密傳輸為IPsec與SSL兩種VPN技術,本節以SSL VPN與IPsec進行分享。
3.1 SSL VPN
SSL VPN同傳統的加密技術具備如下優勢:
部署簡潔:
目前所有瀏覽器都將SSL作為基本功能之一所集成,在用戶訪問時,通常的加密將會自動建立,不再使每一個訪問者進行配置與維護,這種零客戶端的處理機制,都極大地使得安全訪問變得如此簡單。
訪問的精細控制
SSL VPN可以對加密的隧道進行區分,使得每個用戶可以區分不同的網絡流向,采用不同的加密方式,甚至可以提供用戶級別的鑒權機制,依據安全策略,保證授權的用戶訪問特定的資源限制,這在傳統的VPN當中實現,基本是不可能的一種實現方式。
FIRWALL的穿越機制
因為SSL VPN工作在傳輸層之上,那么對于傳統的NAT與防火墻設備而言,用戶可以在任何地點安全訪問內部資源,而不會被傳統的相關防火墻所阻擋,并且在解決IP地址沖突方面優越于其他VPN方式。
安全保護的可靠性
由于SSL VPN網關隔離了內網的服務與相關的客戶端,只通過WEB接口進行瀏覽,使得客戶端的大部分木馬無法傳染到所訪問的云服務器之上,保證了安全的可靠性機制。
SSL握手協議過程:
客戶機向服務器發出client hello消息,在該消息當中包含了SSL洗衣版本號,隨機數,會話標識,(連接未建立時,此標識為空)、密碼算法組件配置、壓縮算法組件配置,以及其他服務器需要客戶機提供的基本SSL協議消息。
服務器端向客戶機發送 server hello 消息,在該消息當中包含了SSL協議版本號,隨機數,會話標識,選擇的密碼算法,選擇的壓縮算法,以及其他的SSL協議信息。若服務器端要驗證客戶機的證書,將發送一個客戶證書請求,將這些內容發送結束后,發出server hello down消息作為對client hello回應的結束。
圖8 SSL握手協議過程
客戶機根據收到的信息來驗證服務器的身份,如果服務器的身份無法被驗證,那么客戶端就會收到警告信息,驗證通過進行下一步驗證同步。
客戶機與服務器使用master secret進行session keys(連接秘鑰)生成,它屬于對稱密鑰,在SSL會話過程中,用來進行數據的加密與解密,同時用于數據的完整性。
客戶機向服務器發送一條消息,聲明后面發送過來的數據幀將會使用加密秘鑰,接著還會再發出一條單獨的消息表明建立連接信任時客戶端的工作已經完成,至此SSL的握手協議正式結束,開始進行SSL會話,客戶機與服務器使用session keys來完成通信過程中數據的加密解密以及數據的完整性檢查。
SSL記錄協議:
在SSL協議中,所有的傳輸都會被封裝記錄,記錄是由記錄頭和長度不為0的記錄數據組成,所有SSL協議當中(包括握手協議、安全空白記錄和應用數據)都是使用SSL記錄層協議進行記錄,并且其定義了記錄頭和記錄數據的相關格式。
SSL VPN分為多種類型,在基本技術框架的基礎上,可以細分為零客戶端,瘦客戶端和隧道模式三種,其中隧道模式可以用在沒有web瀏覽器的環境當中。
3.2 IPsec VPN
在傳統VPN方式當中,IPsec是目前部署最為廣泛的點對點VPN技術之一,點對多點為MPLS-VPN或者VPLS-VPN,當位于兩地的分支機構希望使用VPN技術進行通信時,一種情況就是向運營商申請專線資源,但是這種資源方式對于一般企業而言價格高昂,而且安全性問題無法得到確切的保證,IPsec就在這種情況之下孕育而出。IPsec將網關設備發往對端的數據打包加密后,在因特網上進行傳輸,對端網關設備收到數據包,解封裝后再發往目的客戶端,而整個過程對于客戶端來說都屬于無感知狀態,效果跟租用運營商鏈路一樣,但是加密過程使得數據充分保持了安全性。
對于IPsec VPN,無論是哪種數據流,若一方進行了加密,而另一方沒有配,則無法通訊,對于GRE則,路由鄰居都無法建立。另一個概念是隧道模式和傳輸模式。所謂的隧道模式還是傳輸模式,是針對如ESP如何封裝數據包的,前提是ESP在最外面,如果都被Over到了GRE里,自然談不上什么隧道模式和傳輸模式(都為隧道模式)。只有當GRE Over IPsec的時候,才可以將模式改為傳輸模式。IPsec不支持組播,即不能傳遞路由協議,而GRE支持。
目前雖然IPsec VPN仍然為主流VPN方式,但是在云環境下,它也不得不去面臨其管理成本高昂、由于工作在OSI第三層上,而使其協議本身無法附帶高層的安全策略、網絡配置的復雜性等問題。
而SSL恰好解決了這些方面的原因,云計算的目的是向遠程用戶提供服務,但其實其多租戶的概念并不想讓自己的所有虛擬網絡暴露在整個平臺外,但是通過IPsec進行通訊時,很容易使得本地電腦上所附加的病毒、木馬等安全隱患直接帶到云環境當中的某個云主機上,SSL正好在遠程接入方面補齊了云環境下對于IPsec這個弊端所帶來的隱患問題。但是雖說IPsec年歲以大,但是寶刀未老,其安全特性依然還是使用在眾多網絡環境當中,其中以下兩點為IPsec使用的兩種最多的場景。
3.2.1 IPsec over GRE
IPsec Over GRE的主意為IPsec加密在里,GRE在外。先把需要加密的數據包封裝成IPsec包,然后再扔到GRE隧道里。作法是把IPsec的加密作用在隧道接口上,即為Tunnel口上監控數據報文是否有需要加密的數據流,有則先加密封裝為IPsec包,然后封裝成GRE包進入隧道(那么顯而易見的是,GRE隧道始終存在,GRE整條VPN隧道并沒有被加密),同時,未在控制表內的數據流將以不加密的狀態直接走GRE的隧道,那么有些數據報文傳遞過程當中,可能并未真正加密,使得數據報文在傳遞過程當中,無法完全保證每條數據流量的安全性,同時,IPsec并不支持組播報文的傳遞,所以此種方式在企業網數據流量導向使用的比較少。
3.2.2 GRE over IPsec
GRE Over IPsec是指,先把數據封裝成GRE包,然后再封裝成IPsec報文。實現方式是在相應接口上進行流量監控,檢測是否有需要加密的GRE流量,若是有相應流量運送過來,那么所有的這兩個端口的GRE數據流報文將會被加密封裝上IPsec包,然后再進行傳遞,這樣保證的是所有通過GRE隧道的數據報文都會被IPsec加密,包括隧道的建立和路由的建立和傳遞。采用此種方式可以解決IPsec在傳統點對點VPN當中,不支持組播的方式,同時解決了通過隧道傳遞的所有報文都進行了加密處理,完全的保證了每條流量的安全性。
圖9 GRE over IPsec
四、 跨數據中心二層網絡互通
在整個云計算網絡環境中,由于業務的批量部署,網絡的便捷性,對于2層網絡來說的需求正在逐年增加,越來越多的數據中心由單物理節點,向多個不同物理地域所演進,那么在此過程當中,2層網絡必然會隨之增大,甚至到了今天所面臨的跨越數據中心2層網絡通訊的挑戰,云計算的到來也使得原有的3層主打的網絡模型變為了更加靈活方便的2層網絡模型,而云計算的多租戶,多業務模型使得每條業務都會擁有自己獨有的流量,又需要跨越數據中心,又需要2層網絡,同時需要多租戶,多業務基于流的隔離技術,前文已經介紹了許多關于2層流量的問題,包括VPLS VPN、Fabric-Path、TRILL等協議,都是基于流的區分2層協議,那么本節主要針對跨越不同物理地獄的2層協議進行說明。
3.1 OTV
Overlay Transport Virtualization (OTV) —-數據中心互聯解決方案
OTV是一個典型的在分布式地域的數據中心站點之間簡化2層擴展傳輸技術的工業解決方案. 使用OTV技術可以輕松在兩個站點部署Data Center Interconnect (DCI),而不需要改變或者重新配置現有的網絡.此外更要的,使用OTV技術可以將不同的地理域的數據中心站點構建統一的虛擬計算資源群集,實現工作主機的移動性,業務彈性以及較高的資源利用性. 主要的OTV特點包括:
在多個IP互聯的數據中心站點擴展2層LAN網絡
簡單的配置和選項:與現有的網絡無縫的接合,需要極少的配置(最少4條命令)
可靠的彈性:保留現有的3層故障邊界,提供自動的多宿主以及內置的防環機制
最大可用帶寬:使用等價多路徑以及優化多播復制
除了在二層網絡環境下的特殊處理,OTV同時對三層路由也進行了相應的特殊處理,有針對性的優化更改。數據中心局域網通常為了保證高可靠性,高穩定性,通常會設置一個出口路由器作為網關,這些路由器上同時啟用了高HA機制保證網絡簡潔性,同時對下層設備提供一個VIP進行虛擬路由,保證3層網絡的HA問題,底層設備會協同處理數據報文發送到VIP所在的虛擬路由網關。
那么對于數據中心之間,不同地域,之間的通信,那么這些保證HA的相關心跳報文就會在不同數據中心之間傳遞,這樣就會發生一個不可避免的問題,那就是不同城域網或者數據中心的下層設備,就會認為所有出口路由器都處在相同的地域之中,數據包很可能會從一個SITE跨越距離很長的路段,傳遞到別的數據中心的出口路由器,OTV很好的解決了此類問題,當其將多個數據中心之間的鏈路打通后,OTV就會自動阻止不同區域的HSRP、VRRP、GLBP的信令包,從而使得每個數據中心的下層設備轉發不會傳遞到其他的區域,而是從本區域的VIP出口路由器向外發送相關報文,保證業務的高可用同時,使得流量更加易于管理。
在面對跨越數據中心網絡通訊的時候,OTV是個非常高效可靠的一款二層路由協議,其是一款專供跨越數據中心的二層互聯技術,對比VPLS有著配置簡化,邏輯清晰,在廣域網上搭建二層通道的能力正好應對了數據中心大二層網絡互聯的需求,不過從技術層面上去看,VPLS也有其天生特有的優勢,就是MPLS-VPN的實踐程度與可靠性經過了大規模的驗證,但是VPLS依托于Lable封裝,那么其無法在普通的IP網絡上進行有效的搭建與透傳,而OTV恰恰解決了此問題。
3.2 EVN
EVN(Ethernet virtual Network)是一種基于VXLAN隧道的二層網絡互連VPN技術,EVN本身可以通過MP-BGP協議來傳遞二層網絡間的MAC地址信息,通過生成的MAC地址表項進行二層報文封裝的轉發。
隨著數據中心的業務發展,多個數據中心進行二層網絡互聯的需求逐漸旺盛,與傳統的vpls虛擬二層網絡來進行比較,EVN在跨越數據中心虛擬二層網絡互通方面有如下:
與VPLS相比,EVN技術可以解決上述問題:
1) EVN通過擴展BGP協議使二層網絡間的MAC地址學習和發布過程從數據平面轉移到控制平面。這樣可以使設備在管理MAC地址時像管理路由一樣,使目的MAC地址相同但下一跳不同的多條EVN路由實現負載分擔;
2) 在EVN網絡中PE設備之間是通過BGP協議實現相互通信的。BGP協議支持路由反射器功能,所以可以在運營商骨干網上部署路由反射器,所有PE設備與反射器建立鄰居關系,通過路由反射器來反射EVN路由,大大減少了網絡部署成本;
3) PE設備通過ARP協議學習本地和遠端的MAC地址信息以及其對應的IP地址,并將這些信息緩存至本地。當PE設備再收到其他ARP請求后,將先查找本地緩存的MAC地址信息,如果查找到對應信息,PE將返回ARP響應報文,避免ARP請求報文向其他PE設備廣播,減少網絡資源消耗;
4) EVN網絡中不再使用MPLS隧道,而是使用VXLAN隧道。VXLAN隧道可以在PE間的鄰居關系建立成功后通過EVN路由的傳播自動建立,大大減少了配置工作量。
配置EVN實現數據中心互聯示例
組網需求
如圖1所示,Site1和Site2內為二層數據中心網絡,用戶要求實現不同二層數據中心網絡間相互通信,并保證EVN網絡的可靠性。當運營商骨干網中存在大量PE設備時(舉例中只列出3個PE設備,其余省略),可以選擇在運營商骨干網內配置一臺設備作為EVN路由反射器,保證PE設備的全連接。
圖10 配置EVN實現數據中心互聯組網圖
配置思路
采用如下的思路配置EVN:
1) 骨干網上配置IGP實現各個PE以及RR設備之間的互通;
2) 配置隧道模式為VXLAN;
3) 配置PE上的EVN實例;
4) 配置PE與RR間的EVN BGP對等體關系;
5) 配置RR為動態路由反射器;
6) 配置各個PE與CE接口上的ESI;
7) 配置CE側接口;
8) 配置PE1和PE2的冗余模式,保證EVN網絡的可靠性。
3.4 虛實結合與混合云網絡
對于傳統的數據中心來說,都是各個物理服務器的之間的通訊,那么在云計算環境當中虛擬機與物理服務器之間的2層通訊問題逐漸的出現,同時又一種新型的概念混合云的網絡模型逐漸展開,前文介紹了大量的2層網絡通訊協議,那么我們在面對那么多的網絡復雜場景下,云計算帶來的網絡特殊的部署模式將會變得對于每個網絡工程師所必須要知道了解的,本節主要以虛實結合與混合云網絡進行闡述分享。
3.4.1 虛實結合
虛實結合的網絡部署模型顧名思義就是云計算環境下虛擬機與物理機相互結合的網絡模型,那么對于傳統網絡來說,我們所要知道的就是如何掌控VLAN之間的通訊就可以實現虛擬機與物理機之間的通訊,那么在云計算新型大二層網絡環境下,所要實現VXLAN網絡之間的通訊,這時就是我們所必須要了解的一些新型模式。
1.VXLAN網絡與非VXLAN網絡通訊
在常見的網絡模型當中,我們很好解決VLAN的通訊問題,起SVI走路由或者配置成同一個廣播域即可,那么在此環境當中,這樣的通訊方式如果是基于2層VXLAN通訊就是個問題,我們要引入一個VXLAN L2GATEWAY的這樣一種機制,也就是說使得每個vlan對應的vlan id與VXLAN VNI所對應關聯,使得2層網絡環境下,可以使得VXLAN與非VXLAN得轉換,使得傳統2層網絡與新型VXLAN2層網絡進行通訊。
圖11 云計算環境下虛實結合的網絡部署模型
3.4.2 混合云網絡
混合云網絡當中其實涵蓋了一種網絡就是2曾VXLAN與VLAN的概念,但是混合云網絡是一種更為現實復雜的網絡模型,其中不僅涵蓋了2層網絡,同時也涵蓋了3層網絡,那么對于公有云與私有云是一種混合云網絡,多個異構的私有云也是一種混合云網絡,同時我們也不得不面對原有的云網絡與新興的3層云網絡進行通訊,這些都是一個新的網絡模型需要每個網絡工程師進行思考的問題,其中一個就是安全性問題,在公有云與私有云當中的安全性問題,通常的情況下,我們會選擇專線接入,那么對于既保證安全性,又保證高帶寬低延遲的情況下,我們必須保留專線資源,但是還是要保持一定的安全性,同時降低成本,那么這種情況下,我們就可以選擇最后一公里的VPN接入專線的方式,這樣既保證安全性,又保證專線的高帶寬的本質,同時節省了運營商專線出局的一些資質困擾。
圖12 混合云網絡
有的時候我們也在考慮公網上跨越運營商的三層路由的通訊方式,那么網絡的最本質的通訊動作還是封裝與解封裝,這時候我們會面臨多個跨越數據中心的異構云資源池,有的資源池可能會使用的普通3層網絡數據報文,那么有的會采用新型的網絡數據中報文,比如VXLAN跨越運營商網絡,那么此時老舊設備并不知道我重新封裝的VXLAN報文,只知道外面的3層頭部信息,而且我們在配置出口交換機時都會使用SVI的技術,配置邏輯接口,將每個邏輯接口掛接在一個物理端口上,使得物理端口的損壞時,保證快速鏈路的切換,那么對于新的VXLAN網絡來說,我們怎么才能在向使用vlan那樣去使用SVI技術呢?這時候我們就需要引入一個新的概念VXLAN L3-GateWay,其實就是VXLAN的3層網關,其便可實現VXLAN啟用虛擬3層邏輯接口,并且掛接在物理端口上。
圖13 路由出網
五、 新興網絡技術的發展
對于傳統的路由與交換設備來說,在云計算的環境下,原有的網卡功能的使用將會被各種虛擬化業務所使用,在推動虛擬化發展的高速路程當中,眾多因素使得資源再利用變得尤為重要,大多數客戶都希望在進行虛擬化、私有數據中心云化之后,都可以使得自身的原有資源可以充分利用,網卡也不例外,往往通過云化之后的CPU都會利用率從原有百分之10提升到70進行使用,當越來越多的不同業務的虛擬機跑在同一個物理服務器上時,都會擁擠在相同的一個物理I/O通道內,對于高性能計算的環境當中,上層業務往往對于網絡的I/O非常敏感,不同業務的虛擬機往往會要求特殊的端口類型,如果模型匹配不對,性能就會大大折扣,而單一的物理網卡不可能對于上層每一個業務實現不同的網絡接口隊列模型,這就會影響到業務的性能瓶頸,新一代的網卡與網絡技術也就隨之孕育而出。那么隨著私有云不斷地升溫,原有的虛擬網絡方式帶給網絡節點的壓力也會逐漸加大,數據中心對于網絡的功能與性能變革也進行了時代的變化,從原有的純軟件或者純硬件的方式,逐漸轉變為以軟件定義網絡為主,實現軟硬結合的新型網絡變化的趨勢,在漫談云計算網絡最后一篇中,筆者會主要描述云計算環境下誕生的一些新的網絡技術,以及應用的場景。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:云計算網絡的應用場景
本文網址:http://www.guhuozai8.cn/html/consultation/10839719860.html
相關文章
