• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

多FabricSDN网络在移动业支网络的最佳实践

 

 

1       业务需求背景

    中国移动拥有庞大的IT基础设施,而且一直保持着快速增长的态势,但在这个庞然大物中,IT资源的孤岛现象却是比较严重的,大部分IT系统依然采用传统的竖井式建设模式,资源无法在跨系统间进行共享,利用率非常低;目前移动的业务支撑系统、网管中心、信息安全管理等多种业务都是基于这种竖井式建设,所以移动急需对现有分散建设的资源池进行横向跨域整合,实现统一资源池,利用虚拟化网络构建满足物理资源和虚拟资源的灵活调度的需求,并实现跨数据中心机房多出口备份需求。

2       传统网络架构缺陷

某省移动业支互联网接口域的网络结构正是“1、业务需求背景章节中提到的这种竖井式建设,如图1所示。

1 某移动业支互联网接口域网络结构

该省业支互联网接口域建设有两个机房,均为传统网络部署,且网络结构一致:均分为出口防火墙、核心交换机和接入交换机三个层面;每个机房均有两个出口,分别连接至MDCNCmnet,其中连接Cmnet的出口防火墙串联在核心交换机与Cmnet出口交换机之间,为业务提供NAT及访问控制服务;连接MDCN的出口防火墙不做NAT,考虑防火墙故障时能够迅速恢复业务,选择了旁挂核心交换机的部署方式,防火墙故障时可直接bypass处理。

出口防火墙、核心交换机与接入交换机间部署了OSPF打通业务路由,两个出口防火墙与对端设备间严格控制路由发布,故采用静态明细路由打通路由,其中Cmnet出口防火墙还部署一条默认路由指向公网,这些静态路由均在OSPF中发布。

随着IT业务的增长,现网的这种网络模式也逐渐体现出其缺陷:

1.       核心交换机既做汇聚设备,又做出口设备,随着接入层的的扩容,加剧了设备性能压力和维护复杂度;

2.       两个出口防火墙上的防护策略随业务增长,上线新业务需要分别在两个出口防火墙上调整路由、安全策略、NAT策略,维护复杂度逐步加剧;

3.       两个机房间有部分业务有互访需求,通过MDCN骨干网打通,业务变更时需要MDCN骨干网管理员配合,增加了维护难度;

4.       两个机房网络物理资源为独立部署,无法实现网络资源的备份及复用。

3       SDN改造目标网络

针对该省业支互联网接口域传统网络的多项缺陷,新华三协助客户对传统网络进行SDN改造,借助SDN技术实现网络资源的整合,提升互联网接口域的网络资源利用率,降低维护复杂度,满足统一资源池化的建设要求。本章节将对该业支互联网接口域SDN改造的组网设计做简要介绍。

SDN网络分为UnderlayOverlay两个层面,如图2所示,Underlay是传统单层网络,为SDN网络提供基础转发架构。

2 某移动业支互联网接口域SDN改造Underlay网络

Underlay规划设计:

Ÿ   LeafBorder设备两两做IRFBorder兼做ED设备(Edge Device,边缘设备),两台Spine设备不做IRF,独立部署。

Ÿ   每组LeafBorder分别和Spine之间使用本框三层聚合端口互联,每条互联链路均采用30位地址段作为互联地址。

Ÿ   LeafBorderSpine间运行OSPF协议,每个OSPF设备使用Loopback0接口地址作为OSPF协议的Router-ID,整网只使用一个Area 0OSPF发布互联地址网段和Loopback0地址网段,互联接口采用点到点连接P2P,各链路间形成等价路由。

Ÿ   LeafBorderSpine之间运行EVPN协议,每个设备采用Loopback0接口建立IBGP的邻居,其中两台Spine设备作为RR设备,LeafBorder设备作为反射客户端。两个机房分别规划不同的AS号。

Ÿ   Border上通过跨框聚合端口旁挂一组M9008IRF)作为MDCN出口防火墙,并划分子接口区分上下行;上联通过跨框聚合端口与一组M9008IRF)互联作为Cmnet出口。

Ÿ   Spine设备与对端机房Border&ED设备三层本框聚合互联,两机房Border&ED间通过原有OSPF进程打通Loopback0接口地址路由,并使用Loopback0接口建立EBGP邻居,使能l2vpn evpn地址族使其支持EVPN路由的转发,ED间互连的三层接口上开启DCI功能,以便在ED之间建立VXLAN-DCI隧道。

Overlay网络通过逻辑链接完成业务的通信,Underlay网络构建完毕后,则按照业务需求开始对Overlay网络进行规划及建设,如图3所示。

3 某移动业支互联网接口域SDN改造Overlay网络规划

Overlay规划:

Ÿ   两个机房共用一套SDN控制器,并分别规划为一个Fabric,两个Fabric间使用EVI2.0方案通过ED设备(Border兼做ED)打通二层以及三层表项,实现业务主机跨机房部署以及故障虚机二层迁移等大二层需求。

Ÿ   每个机房各有一套Border设备,每套Border上对接两套防火墙分别作为CmnetMDCN的出口,对于同一租户,在Border上通过指向MDCN防火墙的明细路由引导去往MDCN的流量,通过指向Cmnet防火墙的默认路由引导去往Cmnet的流量;

Ÿ   对于同一租户,两个Fabric相同方向的出口间还形成主备关系,正常情况下业务流量只走一边出口,当出口故障时流量切换到备用出口。

Ÿ   除了实现主备出口的需求,为满足双出口资源均得到利用的要求,规划了两个租户,通过为两个租户差异化设置出口网关的主备关系的方式,实现两个Fabric出口均承载业务,且同方向出口间相互备份的效果。

Ÿ   现网还存在传统网络业务,需要复用SDN网络的出口设备,故将传统网络的接入交换机与Border设备对接,并在Border上为传统网络设备单独划分VRF;两个出口防火墙上也为传统网络业务单独划分Context,与SDN业务做区分。

Ÿ   传统业务与SDN业务有部分互通的需求,MDCN属于移动内部网络,故通过在MDCN防火墙与Border上行互联打通双方路由实现业务互通及访问控制。

4       主备多出口设计及原理

对于该省业支互联网出口域的改造,最为特别的需求是:每个Fabric都有多个出口,两个Fabric对称的两个出口是主备关系。正常情况下业务流量只走一边出口,当出口故障时流量切换到备用出口;同时为满足双出口资源均得到利用的要求,还要实现两个Fabric出口同方向出口间相互备份,两边均承载业务的效果;本章节主要对多出口和多出口间主备的方案设计及其原理进行介绍。

4.1     Fabric多出口资源规划

4 Fabric多出口资源规划示意图

如图4所示,该项目中,在单个Fabric中,去往Cmnet的防火墙和去往DCN的防火墙均连接在同一台Border设备上,故一个Fabric只能创建一个网关成员组,则出口资源的规划按如下思路配置。

5 Fabric多出口配置流程示意图

Ÿ   一个网关组成员对应一套IP地址池和一套VLAN池;

Ÿ   在该省业支互联网出口域改造中,为了区分不同出口,外部网络将规划为VLAN类型,故出口网关成员的IP地址池只需包含“虚拟设备管理网”和“租户承载防火墙内网”即可,无需“安全外网地址池”;

Ÿ   VLAN池只用于BorderFW间的租户承载网,故只配置一套租户承载网类型的VLAN池即可,外网出口所用的VLAN在添加外部网络时单独指定;

Ÿ   为该网关成员组同时添加两个FW资源池,分别对应去往CmnetMDCN的两台防火墙。

4.2     Fabric多出口逻辑设计

6 Fabric多出口内部逻辑示意图

如图6所示,单Fabric多出口逻辑设计如下:

Ÿ   在租户A下分别创建租户vRouterMDCN vRouter,这两个vRouter使用同一个非default类型出口网关(即不自动下发默认路由,需单独下发灵活路由);

Ÿ   分别创建Cmnet外部网络和MDCN外部网络,且均为VLAN类型外部网络,有各自的外部互联子网和VLAN

Ÿ   在租户A下再创建两个服务资源fw-cmnet1fw-mdcn1,并分别将这两个服务资源下发到两个出口防火墙上;

Ÿ   为租户vRouter绑定以下资源:租户业务子网、出口网关、服务资源fw-cmnet1、外部网络Cmnet

Ÿ   MDCN vRouter绑定以下资源:出口网关、服务资源fw-mdcn1、外部网络MDCN

Ÿ   将租户vRouterMDCN vRouter虚拟路由器连接Router-link

Ÿ   在租户vRouter上配置默认路由指向Cmnet出口设备互联地址,在MDCN vRouter上配置明细路由指向Border上与MDCN FW上行口互联地址(MDCN出口防火墙旁挂Border);

Ÿ   创建浮动IP,将其绑定在外部网络Cmnet上,并绑定外部网络Cmnet的子网作为NAT地址池。

按本章节所述设计完成相关配置后,并为传统网络增加相应的VPNContext等配置后,单个Fabric多出口将实现图7所示效果。

7 Fabric多出口实现效果

4.3     主备多出口设计及原理

Fabric-1完成搭建后,将第二个机房搭建为Fabric-2,并在SDN控制器上通过选择Border&ED设备完成Fabric连接,即可开始继续做主备出口的搭建。

8 Fabric主备多出口资源规划示意图

如图8所示,主备出口即是在SDN控制器上配置出口网关时,同时绑定两个出口网关成员,分别对应两个Fabric的出口网关组,然后通过调整不同业务vRouter中出口网关成员的优先级决定该业务的主备出口(网络分段的出口通过调整外部子网优先级实现),此时出口资源的规划如图9思路配置。

9 Fabric主备多出口配置流程示意图

Ÿ   单个Fabric多出口的配置思路不变,与“4.1Fabric多出口资源规划章节中所述一致;

Ÿ   重点在租户下,将两个Fabric多出口作为两个出口网关组成员,加入同一出口网关,在vRouter绑定出口网关时分别为两个成员调整优先级,以区分主备出口(配置了网络分段的出口网关通过调整外部子网优先级实现);

Ÿ   不同业务(vRouter)可以对出口网关成员分别设置优先级,以实现整体上两Fabric出口互为主备的需求。

4.4     主备多出口实现原理

10 Fabric主备多出口原理示意图

当给出口网关成员设置不同的优先级后,SDN控制器给主备Border设备下发路由发布配置时会有差异:如图10所示,主出口Border发布路由时不改变路由属性,备出口Border发布路由时增加路由策略,调整BGP路由优先级,使得该vRouterEBGP>IBGP>Local,同时增长发布路由的as-path属性长度,将默认的as-path 200更改为as-path 200 200,备出口控制器下发配置示例如图11所示。

bgp 200

#

 ip vpn-instance业务A

  #

  address-family ipv4 unicast

   default-route imported

   balance 4

   preference 20 30 255

   import-route static

  #

  address-family ipv6 unicast

   default-route imported

   balance 4

   preference 20 30 255

   import-route static

#

route-policy SDN_POLICY_IPV4_业务A permit node 10000

 apply as-path 200 200

ip vpn-instance 业务A

 route-distinguisher 5:10092

 description SDN_VRF_业务A

 #

 address-family ipv4

  export route-policy SDN_POLICY_IPV4_业务A

  vpn-target 0:10092 1:10092 import-extcommunity

  vpn-target 1:10092 export-extcommunity

 #

 address-family ipv6

export route-policy SDN_POLICY_IPV4_业务A

  vpn-target 0:10092 1:10092 import-extcommunity

  vpn-target 1:10092 export-extcommunity

 #

 address-family evpn

  vpn-target 0:10092 1:10092 import-extcommunity

  vpn-target 1:10092 export-extcommunity

11 备出口控制器下发配置示例

4.5     主备多出口路由倒换机制

上文介绍了该项目方案中出方向路由主备选路的原理,对于进入资源池网络的流量,同样需要实现主备选路,且入路由和出路由需要相互对应,实现倒换联动。以MDCN出口为例,本章将介绍内外路由倒换联动的原理。

12 主备多出口路由倒换逻辑示意图

Ÿ   防火墙上,当MDCN vRouter绑定了MDCN外部网络后,二者的VRF之间会通过跨VRF静态路由互指实现内外流量打通,此时可在外部网络VRF中将指向租户业务的静态路由通过动态路由发布出去,然后通过调整两个Fabric出口发布路由的优先级实现入网路由的主备。

Ÿ   防火墙上,MDCN VRFMDCN外部网络VRF间通过跨VRF静态路由互指实现内外流量打通;Border与防火墙间,当租户绑定防火墙资源后,也会通过静态路由打通内外部路由,因静态路由天然缺少检测机制,则如图12所示的14接口任一故障后,内外部路由都无法联动倒换,导致来回路径不一致,因此需手工在防火墙和Border设备上增加端口联动机制,实现联动倒换:

防火墙上,将上行口1和下行口2绑定至同一接口联动组,配置如图13所示。

#创建接口联动组1

collaboration-group 1

#与外网相连接的上行口

interface Route-Aggregation12.200

 port collaboration-group 1

#Border相连接的下行口

interface Route-Aggregation11.2001

 port collaboration-group 1

13 防火墙上将上行口和下行口绑定至同一接口联动组的配置

当联动组内任一成员接口的状态变为DOWN时,联动组内的状态为UP的其它成员接口会被置为Collaboration-down状态,联动组的状态为DOWN,组内所有成员接口均不能传输报文。

Border设备上,将上行口3和下行口4通过TrackEAA策略相关联,配置如图14所示。

#创建track项关联与Spine相联接的下行口

track 1 interface Bridge-Aggregation 1

#通过EAA策略将下行口Track和与防火墙相连的上行口关联                                                                                                                                  

rtm cli-policy test

 event track 1 state negative

 action 0 cli system-view

 action 1 cli interface Bridge-Aggregation 11

 action 2 cli shutdown

 user-role network-admin

14 Border设备上将上行口和下行口通过TrackEAA策略相关联的配置

Track项中探测到上行接口DOWN时,EAA策略生效,将强制关闭所有下行接口;因此项目方案中,Border下行与Spine连接的口DOWN后防火墙无法感知路由切换,故Track探测下行口,EAA策略设置为联动关闭上行口。

5       总结

新华三通过SDN技术网络功能虚拟化和网络控制集中化的优势,实现了以创新的网络结构对移动业务支撑资源池网络的资源整合,提高了现有网络资源利用率,降低维护复杂度,是H3C SDN技术在移动业支网络虚拟化改造的一次成功实践。

感谢您对本刊物的关注,如果您在阅读时有何感想,请点击反馈。
新华三官网
联系我们