欢迎user
根据用户业务的发展需要,用户单位会在不同地区建立多个园区;随之而来的就是各个园区网络管理、运维的需求。一方面,虽然各园区在不同的位置,但是基本业务内容相同,网络管理的内容相同;另一方面,多园区的资源分布不同,总部资源丰富、网络管理与运维能力强大,而分部网络管理与运维能力有限,因此企业有强烈的网络集中管理、统一运维的需求。基于以上需求,新华三在ADCampus方案的基础上推出了多Fabric方案。
Fabric:基础网络结构
由Spine/Leaf/Access或者Leaf/Access等设备组成的ADCampus方案标准三层或二层架构模型构成的基础网络。
图1 Fabric基础网络
Fabric Site:Fabric场所
一套自治网络区域,必须包含:Fabric+DHCP Server+认证系统。
一个场所可以包含一个或多个Fabric。
图2 Fabric Site
Fabric Domain:Fabric域
由一个SNA_Center做管理的所有场所总和。
一个域可以包含一个或多个场所。
图3 Fabric Domain
根据用户的不同需求,多Fabric方案可分为三个模型:单场所多Fabric部署模型、单域多场所部署模型、多域方案部署模式模型。
图4 单场所多Fabric部署模型
该模型组网的显著特点:整网共享VXLAN域,实现了用户整网移动接入,用户的访问控制策略无需调整。比如,用户A在园区一、二之间移动接入时,所分配的IP均在同一网段,访问各个业务的访问控制策略无需因为用户接入位置的变化而调整。
该模型组网下,业务工作特征如图5所示。
图5 单场所多Fabric控制及转发
路由发布:各Fabric间通过EVPN通告32位主机路由,统一由Fabric X向外网通告网段路由,避免向外网发布大量主机路由;
流量转发:各Fabric之间互联网络为Underlay,跨Fabric之间互访流量为Overlay流量(VXLAN封装);
网段规划:统一规划,同一用户在各Fabric间迁移,获取相同网段IP;
组间策略:各园区业务访问控制策略相同,用户在任意园区接入时,无需调整不同业务之间访问控制策略。
图6 单域多场所部署模型
该模型与单场所多Fabric部署模型的主要区别是:
1. 该模型的每个场所可以包含单场所多Fabric部署模型的一个或者多个Fabric;
2. AAA认证服务器EIA实现了分级部署,分为一级、二级EIA服务器,DHCP Server可以本地化部署,控制器集中部署。
该模型主要针对高可靠性要求,可以实现用户在不同场所之间业务随行,但网络不随行。
该模型组网下,业务工作特征如图7所示。
图7 单域多场所部署模型
路由发布:各场所向其他场所发布主机路由,保证策略在本地执行;
流量转发:各场所之间互联网络为Underlay,跨场所之间互访流量为overlay流量(VXLAN封装);
网段规划:各场所单独规划网段,同一用户在各场所间迁移,获取不同网段IP;
组间策略:需要基于全网的业务下发访问控制策略,各个场所之间业务可以拉通,或者隔离;
高可靠性:各场所用户优先在本地二级EIA进行认证,保证本地认证业务不受WAN链路故障影响。
各模型特点总结如表1所示。
模型 | 特点/优势 | 适用场景 |
单场所多Fabric部署模型 | ² 多个Fabric的网络策略和用户策略统一配置,管理运维简单 ² 用户可在多Fabric漫游,IP、权限可保持不变 | 适用于一套运维人员,用户在多园区之间可漫游的场景 |
单域多场所Fabric部署模型 | ² 多个场所的策略和用户策略统一配置 ² 用户在场所内网络随行,业务随行,用户跨场所移动,业务随行,网络不随行 ² EIA/DHCP本地部署,性能扩展性强,可适用于超大用户规模场景 ² 各个场所互相独立,WAN网络故障,或者其他场所业务故障,不影响本场所用户正常上线及业务运行 | 适用于高可靠性需求 |
表1 ADCampus多Fabric解决方案模型对比
新华三多Fabric方案不仅可以实现多园区场景下各个园区网络自动部署、策略统一配置、业务随行,降低园区运维的复杂度,同时可以实现各个园区本地认证,本地转发,区域自治,简化园区之间的互访复杂度,在员工跨园区出差时能够实现权限自动跟随。通过多Fabric方案的部署,可以实现多园区统一管控、简化运维,是多园区场景的价值之选。