基于sdn的彈性基礎(chǔ)設(shè)施-liuyp

1、Securely connecting users and applications from anywhere to anywhere in todays global economy.Mobile Now for BYOD All your business applications.None of the business risk.基于SDN的彈性基礎(chǔ)設(shè)施Jordan Liu T.M.C. Array Networks (China)研討內(nèi)容SDN發(fā)展簡(jiǎn)述當(dāng)前市場(chǎng)主流SDN解決方案Array vAPV和vxAG云計(jì)算數(shù)據(jù)中心傳統(tǒng)網(wǎng)絡(luò)設(shè)備的架構(gòu)處理單位：CPU處理能力：K PPS處理內(nèi)容

2、：路由選擇協(xié)議，生成樹(shù)，SYSLOG，AAA，Netflow Data Export，CLI，SNMP處理單位：專屬ASIC芯片處理能力：M or B PPS處理內(nèi)容：L2交換，L3交換，MPLS轉(zhuǎn)發(fā)，VRF轉(zhuǎn)發(fā)，QoS標(biāo)記，分類，限速，Netflow流采集，安全ACLControl Plane and Data Plane幫助了解SDN的兩個(gè)基本概念2012年，那是SDN的春天$1.05 BillionCash+ $210 Million in stock+SDN，源于2006年的一個(gè)實(shí)驗(yàn)項(xiàng)目Software defined networking (SDN) is an approach t

3、o building computer networks that separates and abstracts elements of these systemsWikipediaOpenFlow的四個(gè)組件OpenFlow is a Layer 2 communication protocol that gives access to the forwarding plane of a network switch or router over the networkWikipediaOpenflow Controller CodeOFAGENTOFAGENTOFAGENTOpenflow

4、ProtocolSERVERNorthbound APIAppAppApp北向API：App通過(guò)其向網(wǎng)絡(luò)請(qǐng)求服務(wù)OpenFlow Controller：網(wǎng)絡(luò)元素的中央管理和操作節(jié)點(diǎn)OpenFlow Agent：接收來(lái)自控制器的指令，編輯設(shè)備轉(zhuǎn)發(fā)表OpenFlow協(xié)議：控制器與Agent通信的機(jī)制OpenFlow的版本演進(jìn)1.0FLOW TABLEHEADER FIELDSCOUNTERSACTIONSIngressPortSourceMACDestMACEtherTypeVLANIDVLANPriorityIPSRCIPDESTIPProtocolIPTOSTCP/UDPSRCTCP/UDPD

5、EST123456789101112Per TableActive EntriesPacket LookupsPacket Matches32 Bits64 Bits64 BitsPer FlowReceived Packets64 BitsReceived Bytes64 BitsDuration (seconds)32 BitsDuration (nanoseconds)32 BitsPer QueueTransmit Packets64 BitsTransmit Bytes64 BitsTX Overrun Errors64 BitsPer PortReceived Packets32

6、BitsTransmit Packets64 BitsReceived Bytes64 BitsTransmit BytesReceived DropsTransmit DropsReceived ErrorsTransmit ErrorsReceived FrameAlignment ErrorsRX Overrun ErrorsRX CRC ErrorsCollisions64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits64 Bits1，除接收端口外所有端口轉(zhuǎn)發(fā)；2，重定向到控制器；3，轉(zhuǎn)發(fā)本地CPU處理；4，執(zhí)行Flow T

7、able中的action；5，轉(zhuǎn)發(fā)到接收端口；6，轉(zhuǎn)發(fā)到目標(biāo)端口；7，丟棄報(bào)文。OpenFlow的版本演進(jìn)1.1包含了多個(gè)轉(zhuǎn)發(fā)表，可實(shí)現(xiàn)逐表匹配；增加了組列表用于支持組播和廣播；支持了MPLS和QinQ。IngressPortSourceMACDestMACEtherTypeVLANIDVLANPriorityIPSRCIPDESTIPProtocolIPTOSTCP/UDPSRCICMP TypeTCP/UDPDESTICMP CodeMPLSLabelMPLSTrafficClassSwitchFLOWTABLE 1SWITCH FORWARDINGENGINECPUGROUPTABLEF

8、LOWTABLE 2FLOWTABLE nOpenFlow的版本演進(jìn)1.2在v1.2中支持IPv6；IngressPortSourceMACDestMACEtherTypeVLANIDVLANPriorityIPSRCIPDESTIPProtocolIPTOSTCP/UDPSRCICMP TypeTCP/UDPDESTICMP CodeMPLSLabelMPLSTrafficClassOpenFlow的版本演進(jìn)1.3在v1.3中支持IPv6的擴(kuò)展包頭；增加了Flow meter表提供QoS限速；Controller與Agent之間支持多鏈接；增強(qiáng)了對(duì)MPLS Bottom of stack(B

9、oS)、Provider Backbone Bridging (PBB)、統(tǒng)計(jì)、隧道封裝技術(shù)(如GRE)、基于流的統(tǒng)計(jì)等等。版本1.3.1增加了Controller與Agent之間的版本協(xié)商功能。SwitchFLOWTABLE 1SWITCH FORWARDINGENGINECPUGROUPTABLEFLOWTABLE 2FLOWTABLE nFLOW METERTABLEOpenFlow的版本演進(jìn)1.42013年最新發(fā)布；增加了流表同步機(jī)制，多個(gè)流表可以共享相同的匹配字段，但可以定義不同的動(dòng)作；增加了Bundle消息，確?？刂破飨掳l(fā)一組完整消息或同時(shí)向多個(gè)交換機(jī)下發(fā)消息的狀態(tài)一致性；支持光口

10、屬性描述，多控制器相關(guān)的流表監(jiān)控等特征。兩個(gè)組織性質(zhì)網(wǎng)絡(luò)用戶為主設(shè)備商和軟件商為主成立時(shí)間2011年2013年宗旨制定SDN標(biāo)準(zhǔn)，推動(dòng)SDN產(chǎn)業(yè)化打造統(tǒng)一開(kāi)放的SDN平臺(tái)，推動(dòng)SDN產(chǎn)業(yè)化工作重點(diǎn)制定唯一的南向接口標(biāo)準(zhǔn)Openflow，制定硬件轉(zhuǎn)發(fā)行為標(biāo)準(zhǔn)不制定任何標(biāo)準(zhǔn)，而是打造一個(gè)SDN系統(tǒng)平臺(tái)，利用現(xiàn)有的一些技術(shù)標(biāo)準(zhǔn)作為南向接口跟Openflow的關(guān)系Openflow是其唯一的南向接口標(biāo)準(zhǔn)Openflow只是南向接口標(biāo)準(zhǔn)中的一個(gè)北向接口目前沒(méi)有做任何北向接口標(biāo)準(zhǔn)化的工作，但據(jù)說(shuō)在考慮定義了標(biāo)準(zhǔn)化北向接口(REST API)轉(zhuǎn)發(fā)面的工作通過(guò)Openflow定義了轉(zhuǎn)發(fā)面標(biāo)準(zhǔn)行為不涉及到任何轉(zhuǎn)發(fā)

11、面工作，對(duì)轉(zhuǎn)發(fā)面不做任何假設(shè)和規(guī)定現(xiàn)在問(wèn)題來(lái)了：OpenFlow和SDN是什么關(guān)系？控制層面數(shù)據(jù)層面控制器數(shù)據(jù)層面上層應(yīng)用廠商特定APIOpenFlow2a標(biāo)準(zhǔn)SDN廠商自有協(xié)議(e.g. onePK)控制器數(shù)據(jù)層面上層應(yīng)用廠商特定APIOpenFlow控制層面2b混合“SDN”上層應(yīng)用虛擬控制層面虛擬數(shù)據(jù)平面覆蓋協(xié)議(e.g. LISP, VXLAN)廠商特定API3網(wǎng)絡(luò)虛擬化和虛擬覆蓋控制層面數(shù)據(jù)層面廠商特定API上層應(yīng)用1可編程API控制層面數(shù)據(jù)層面廠商自有協(xié)議(e.g. onePK)廠商自有協(xié)議(e.g. onePK)Openstack和網(wǎng)絡(luò)覆蓋可以應(yīng)用于所有模型，無(wú)論物理還是虛擬基于

12、此，客戶可以結(jié)合自身特點(diǎn)進(jìn)行自定義CLI, SNMP, Netflow, SDN協(xié)議不止OF，還有PCEP、BGP-LS等等另外API扮演更加重要的角色，決定了系統(tǒng)間的交互方式(REST、XML-RPC、NX-API、OnePK)研討內(nèi)容SDN發(fā)展簡(jiǎn)述當(dāng)前市場(chǎng)主流SDN解決方案Array vAPV和vxAG云計(jì)算數(shù)據(jù)中心主流SDN解決方案控制器數(shù)據(jù)層面上層應(yīng)用廠商特定APIOpenFlow2a標(biāo)準(zhǔn)SDN廠商自有協(xié)議(e.g. onePK)控制器數(shù)據(jù)層面上層應(yīng)用廠商特定APIOpenFlow控制層面2b混合“SDN”上層應(yīng)用虛擬控制層面虛擬數(shù)據(jù)平面覆蓋協(xié)議(e.g. LISP, VXLAN)廠商

13、特定API3網(wǎng)絡(luò)虛擬化和虛擬覆蓋控制層面數(shù)據(jù)層面廠商自有協(xié)議(e.g. onePK)BigSWAristaCiscoNonCiscoVMWareMicrosoftCisco什么叫OverlayOverlay上古時(shí)代起源10G網(wǎng)卡和無(wú)丟包以太網(wǎng)技術(shù)AdministrationFC SAN BFC SAN AVM Net 1VM Net 2VM Net 3VMotionVM Net 1 BackupVM Net 2 BackupVM Net 3 BackupVMotion BackupTwo Server LOM（Lights Out Management）Ethernet PortsTwo 1G

14、 Quad-Port NICsTwo 4G Single Port HBAs傳統(tǒng)方式Two 10G Single Port Converged Network Adapters (CNA)Integrated Admin/Mgmt (UCS)VM Net 1 BackupVM Net 2 BackupVM Net 3 BackupVMotion Backup統(tǒng)一交換FC SAN BFC SAN AVM Net 1VM Net 2VM Net 3VMotionServer NICEthernetLinkFCoE TrafficOther Networking Traffic史前的戰(zhàn)役虛擬交換機(jī)之

15、爭(zhēng)交換設(shè)備主機(jī)虛擬化交換設(shè)備VMVMvSwitchvSwitchvSwitchVLAN101vSwitchNexus 1000VVMotionSupervisor (VSM)Linecard (VEM)Linecard (VEM)Nexus 1000V打架傷鄰居虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的對(duì)接VM-Aware in SoftwareVM-Aware in HardwareVNLink(IEEE 802.1Qbh802.1QBRVNTAG)VM-Aware in HardwareIEEE 802.1QbgVEPA & Multi-ChannelSDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/

16、FP、OTV&LISP之戰(zhàn)VXLAN（思科、VMware、Citrix、紅帽、Arista和 ）NVGRE（微軟、Arista、英特爾、戴爾、惠普、 和Emulex）vPath（思科）ServerServerServerServerServerServerServerTop of RackServerServerServerServerServerServerServerServerServerServerServerServerTop of RackServerServerServerServerServerServerServerServerServerServerServerServer

17、Top of RackServerServerServerServerServerSubnet10.1.1.0/24Subnet10.2.1.0/24Subnet10.3.1.0/24SDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/FP、OTV&LISP之戰(zhàn)Fabric Path & TrillACI & InsiemeQfabric & MetaFabricAPIC & ContrailSDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/FP、OTV&LISP之戰(zhàn)VPLSOTV&LISP計(jì)算資源在數(shù)據(jù)中心內(nèi)部和數(shù)據(jù)中心之間自由流動(dòng)IP address and sessio

18、n move with VMIP address AIP address ALocator/ID Separation ProtocolIP coreDevice IPv4 or IPv6 Address Represents Identity and LocationTodays IP BehaviorLoc/ID “Overloaded” Semantic10.1.0.1When the Device Moves, It Gets a New IPv4 or IPv6 Address for Its New Identity and Location20.2.0.9Device IPv4

19、or IPv6 Address Represents Identity Only. When the Device Moves, Keeps Its IPv4 or IPv6 Address. It Has the Same IdentityLISP BehaviorLoc/ID “Split”IP core1.1.1.12.2.2.2Only the Location Changes10.1.0.110.1.0.1Its Location Is Here!SDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/FP、OTV&LISP之戰(zhàn)SDN的世界大戰(zhàn)VXLANNVGREvPath、TR

20、ILL/FP、OTV&LISP之戰(zhàn)Overall IP MTU Increase: 36 BytesIPv4 Outer Header: Router supplies RLOCsIPv4 Inner Header:Host supplies EIDsLISP headerUDPdraft-ietf-lisp-22Locator/ID Separation ProtocolSDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/FP、OTV&LISP之戰(zhàn)OTV&VXLANSDN的世界大戰(zhàn)VXLANNVGREvPath、TRILL/FP、OTV&LISP之戰(zhàn)VMotionvSwvSwitch

21、vSwitchCISCO VN-LINKVMotionvSwvSwitchvSwitchCISCO VN-LINK集群范圍的虛擬化ServerCluster數(shù)據(jù)中心范圍的虛擬化vSwvSwitchvSwitchDataCenterCISCO VN-LINKvSwvSwitchvSwitchvSwvSwitchvSwitchDifferentData CenterCISCO VN-LINK/ ACE/ ACE / GSS / OTVIP WAN802.1Qbg802.1Qbh/BRVN-tagVXLANNVGRETRILL/FPACIQFabricOTV/LISPVPLSInsiemeMetaF

22、abric全網(wǎng)范圍的虛擬化研討內(nèi)容SDN發(fā)展簡(jiǎn)述當(dāng)前市場(chǎng)主流SDN解決方案Array vAPV和vxAG云計(jì)算數(shù)據(jù)中心License模型在云數(shù)據(jù)中心場(chǎng)景中的挑戰(zhàn)分鐘級(jí)加載點(diǎn)選即交付交付體驗(yàn)一致付費(fèi)模式預(yù)存/充值；每月賬單；費(fèi)用組成包括但不限于計(jì)算資源（VM）成本、vAPVvxAG實(shí)例成本、軟件許可成本、處理流量鏈接數(shù)成本、服務(wù)成本等實(shí)例在線運(yùn)行的時(shí)間，非按月、年等固定時(shí)長(zhǎng)資源的計(jì)費(fèi)粒度一致云客戶對(duì)資源埋單后，即可繼續(xù)使用產(chǎn)品，無(wú)需進(jìn)一步更新License服務(wù)模式服務(wù)提供商、服務(wù)對(duì)象和服務(wù)質(zhì)量考核針對(duì)云環(huán)境中License的解決方法訂制的vAPV和vxAG版本vAPV功能模塊化vxAG建議限制v

23、Site數(shù)量和同時(shí)在線用戶數(shù)vAPV和vxAG實(shí)例的使用無(wú)日期限制、無(wú)實(shí)例數(shù)量限制產(chǎn)品使用情況由企業(yè)的云管理平臺(tái)統(tǒng)一進(jìn)行管理訂制的“企業(yè)授權(quán)碼”基于“企業(yè)ID”（而非實(shí)例屬性）生成驗(yàn)證碼“企業(yè)ID”是企業(yè)云平臺(tái)的獨(dú)有標(biāo)識(shí)，具有區(qū)別其他平臺(tái)的特征企業(yè)云平臺(tái)在實(shí)例的初始化過(guò)程中將授權(quán)碼與IP、MAC等信息一并寫入實(shí)例vAPV和vxAG實(shí)例在啟動(dòng)過(guò)程中對(duì)授權(quán)碼進(jìn)行驗(yàn)證針對(duì)云環(huán)境中License的解決方法授權(quán)碼的加密傳輸機(jī)制企業(yè)公鑰密鑰對(duì)企業(yè)云平臺(tái)將授權(quán)碼加密后，在網(wǎng)絡(luò)中傳輸vAPV和vxAG實(shí)例本地將信息解密，獲得驗(yàn)證碼Image外流風(fēng)險(xiǎn)的應(yīng)對(duì)通過(guò)合作協(xié)議條款，防止Image外流通過(guò)授權(quán)碼，防止外流

24、Image在其他平臺(tái)隨意使用通過(guò)加密傳輸手段，防止授權(quán)碼在傳輸過(guò)程中被竊取收益模型基于企業(yè)報(bào)表信息雙方分成；版權(quán)買斷PODVPC針對(duì)云環(huán)境中License的解決方法深度整合vAPVvFWvSwitchvRoutervxAGVMvStorageControllerArray基于“企業(yè)ID”形成授權(quán)碼后臺(tái)Controller加密存儲(chǔ)授權(quán)碼基于POD形成VPC用戶配置形成虛擬資源用戶開(kāi)啟vAPV、vxAG后臺(tái)Controller配置鏡像下發(fā)IP、MAC地址等實(shí)例屬性下發(fā)授權(quán)碼鏡像本地解密并驗(yàn)證授權(quán)碼設(shè)備啟用Array授權(quán)碼授權(quán)碼授權(quán)碼實(shí)例屬性實(shí)例屬性PODVPC腦洞大開(kāi)：私有云環(huán)境中的License

25、 CentervAPVvFWvSwitchvRoutervxAGVMvStorageControllerArray許可控制器(ALC)生成授權(quán)碼ALC加密存儲(chǔ)授權(quán)碼基于POD形成VPC用戶配置形成虛擬資源用戶開(kāi)啟vAPV、vxAG后臺(tái)Controller配置鏡像下發(fā)IP、MAC地址等實(shí)例屬性虛擬實(shí)例向ALC注冊(cè)申請(qǐng)?jiān)S可ALC發(fā)送許可給申請(qǐng)的虛擬實(shí)例虛擬實(shí)例本地解密并驗(yàn)證授權(quán)碼設(shè)備啟用ArrayLicense Center授權(quán)碼實(shí)例屬性實(shí)例屬性授權(quán)碼授權(quán)碼OrVMAVXVPC腦洞大開(kāi)：NFVvGSLBvxAGController借助AVX平臺(tái)或平臺(tái)內(nèi)計(jì)算資源AVX的高I/O能力虛擬實(shí)例容量的彈性

26、化APV和AG功能明細(xì)化和虛擬化實(shí)例細(xì)分功能完整性和專一性實(shí)例性能與底層平臺(tái)資源解耦和SpeedCore平臺(tái)兼容性硬件處理卡商用統(tǒng)一的License控制器動(dòng)態(tài)License交付云平臺(tái)調(diào)度實(shí)例屬性實(shí)例屬性vSSL OffloadvSLBvLLB pressvCachevContent RewritevWAFArrayLicense Center授權(quán)碼vPortal腦洞大開(kāi)：對(duì)LISP的支持，補(bǔ)充GSLBNon-LISP siteEast-DCLISP siteIP NetworkETREID-to-RLOCmapping172.16.1.1172.16.2.11.1.1.13.3.3.3172.16.10.12.2.2.210.2.1.0/24172.16.3.1172.16.4.110.1.1.0/24West-DCPiTR4.4.4.410.3.0.0/24Non-LISP siteITRSDDNS entry: A 10.1.1.8110.3.0.1 - 10.1.1.82EID-prefix: 10.1.1.0/24Locator-set: 172.16.1.1, priority: 1, weight: 50 (D1) 172.16.2.1, priority: 1, weight: 50 (D2)Mapping