培訓(xùn)時間：2025年8月5日培訓(xùn)講師：XXXSDNOverlay網(wǎng)絡(luò)規(guī)劃設(shè)計培訓(xùn)課件

課堂規(guī)則Open—開放的心態(tài)、積極參與、勇敢發(fā)問

Close—封閉的環(huán)境，不要受外界的干擾，請將手機(jī)關(guān)機(jī)或靜音請勿隨意走動、交談感謝您的配合SDNOverlay網(wǎng)絡(luò)規(guī)劃設(shè)計本章節(jié)主要介紹基于VXLAN的Overlay組網(wǎng)方案設(shè)計：包括NetworkOverlay集中式、NetworkOverlay分布式和HybridOverlay三種方案的網(wǎng)絡(luò)部署和設(shè)計思路。學(xué)完本課程后，您將能夠：描述基于VXLAN的三種Overlay組網(wǎng)方案。區(qū)分集中式、分布式和混合部署的適用場景。掌握Underlay和Overlay網(wǎng)絡(luò)的部署原則。VXLANOverlay網(wǎng)絡(luò)概述Underlay網(wǎng)絡(luò)NetworkOverlay集中式網(wǎng)絡(luò)NetworkOverlay分布式網(wǎng)絡(luò)HybridOverlay網(wǎng)絡(luò)設(shè)計Overlay網(wǎng)絡(luò)的價值邏輯網(wǎng)絡(luò)（Overlay）物理網(wǎng)絡(luò)（Underlay）邏輯網(wǎng)絡(luò)1邏輯網(wǎng)絡(luò)2數(shù)據(jù)中心整合融合資源池新建機(jī)架出租IaaS/Pass/Saas網(wǎng)絡(luò)云化，SDN+NFV網(wǎng)絡(luò)NFV云公有云服務(wù)私有云運(yùn)營創(chuàng)新階段大規(guī)模改造階段技術(shù)創(chuàng)新階段起步階段傳統(tǒng)IDC業(yè)務(wù)

資源池化快速彈性自動化多租戶按需自助靈活開放可視運(yùn)維關(guān)鍵技術(shù)：SDN+VXLANOverlay網(wǎng)絡(luò)價值點(diǎn)：與物理網(wǎng)絡(luò)（Underlay網(wǎng)絡(luò)）解耦，將網(wǎng)絡(luò)虛擬化構(gòu)建出面向應(yīng)用的自適應(yīng)邏輯網(wǎng)絡(luò)（Overlay網(wǎng)絡(luò)）便于Underlay網(wǎng)絡(luò)彈性擴(kuò)展IP與位置信息分離，業(yè)務(wù)靈活部署控制器集中管理，實(shí)現(xiàn)業(yè)務(wù)的自動化快速布放業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)需求解決方案VXLAN的價值VXLAN的優(yōu)勢：VXLAN是業(yè)界標(biāo)準(zhǔn)的Overlay技術(shù)相比STP的主備路徑，VXLAN利用Underlay網(wǎng)絡(luò)的ECMP能帶來更高的網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能VXLAN基于UDP技術(shù)構(gòu)建，是統(tǒng)一IT和CT兩界的Overlay技術(shù)VXLAN將VLAN的4K子網(wǎng)擴(kuò)充到16M，支持多租戶VXLAN為SDN提供轉(zhuǎn)發(fā)面基礎(chǔ)物理網(wǎng)絡(luò)邏輯網(wǎng)絡(luò)OverlayLeafSpineVMVM物理機(jī)VM邏輯網(wǎng)絡(luò)2邏輯網(wǎng)絡(luò)1L2L3物理網(wǎng)絡(luò)VXLAN的概念：Overlay網(wǎng)絡(luò)定義將一個計算網(wǎng)絡(luò)構(gòu)建在另一個網(wǎng)絡(luò)之上核心是實(shí)現(xiàn)封裝，將網(wǎng)絡(luò)業(yè)務(wù)與底層設(shè)施解耦封裝技術(shù)使用的VXLANVXLAN隧道封裝的端點(diǎn)就叫NVE（NetworkVirtualizationEdge），負(fù)責(zé)原始以太報文的VXLAN封裝和解封裝L2L3VXLAN的價值實(shí)現(xiàn)Overlay網(wǎng)絡(luò)VXLANOverlay網(wǎng)絡(luò)類型-NetworkOverlayNetworkOverlay組網(wǎng)集中式網(wǎng)關(guān)組網(wǎng)分布式網(wǎng)關(guān)組網(wǎng)VXLAN網(wǎng)關(guān)部署方式ServerServer集中式和分布式網(wǎng)關(guān)組網(wǎng)VXLANOverlay網(wǎng)絡(luò)類型-HybridOverlayNetworkOverlay組網(wǎng)下，所有Overlay設(shè)備都是物理設(shè)備，Overlay的VXLAN隧道封裝在物理交換機(jī)完成。HybridOverlay組網(wǎng)下，Overlay設(shè)備包含物理網(wǎng)絡(luò)設(shè)備和虛擬網(wǎng)絡(luò)設(shè)備。Overlay的VXLAN隧道封裝既可以在物理交換機(jī)，也可以在Host服務(wù)器所在的虛擬交換機(jī)上完成。利用物理網(wǎng)絡(luò)設(shè)備Overlay高性能轉(zhuǎn)發(fā)。通過對現(xiàn)有物理網(wǎng)絡(luò)設(shè)備資源利舊和物理服務(wù)器的Overlay提升性能。組網(wǎng)更加靈活。差異優(yōu)勢NetworkDBVirtualPhysicalVXLANOverlay網(wǎng)絡(luò)類型-HostOverlayHostOverlay是指VXLANOverlay網(wǎng)絡(luò)隧道端點(diǎn)全部署在軟件交換機(jī)（安裝在服務(wù)器上），即VXLAN隧道起點(diǎn)和終點(diǎn)都是軟件交換機(jī)。VirtualVirtualOverlay類型對比-NetworkOverlay對比NetworkOverlayNVE位置硬件交換機(jī)VXLANL3GW位置硬件交換機(jī)（分布式部署，根據(jù)VM上線位置相應(yīng)的部署）接入服務(wù)器類型虛擬化服務(wù)器、物理服務(wù)器接入L4~L7類型硬件VAS軟件VAS（X86物理服務(wù)器）軟件VAS（SRIOV接入）控制面設(shè)備L2/L3自學(xué)習(xí)，設(shè)備間L2通過頭端復(fù)制廣播自學(xué)習(xí)可支持控制面上收控制器（特指ARP及路由。當(dāng)前未合入主線，可POC測試）可支持設(shè)備間通過BGP-EVPN同步轉(zhuǎn)發(fā)性能不占用服務(wù)器CPU資源，硬件設(shè)備轉(zhuǎn)發(fā)性能高虛擬機(jī)規(guī)格同一VPC下所有TOR需要表項(xiàng)同步,每TOR設(shè)備支持ARP：8K~128K；FIB：16K~256K適用于：海量VPC，但VPC內(nèi)有限主機(jī)時適用場景適用于對轉(zhuǎn)發(fā)性能、運(yùn)維、安全等有很高要求的私有云用戶適用于虛擬化服務(wù)器/物理服務(wù)器同時接入Overlay網(wǎng)絡(luò)的場景SDN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)互聯(lián)互通Overlay類型對比-HostOverlay對比HostOverlayNVE位置vSwitchVXLANL3GW位置vSwitch（分布式部署，根據(jù)VM上線位置相應(yīng)的部署）接入服務(wù)器類型虛擬化服務(wù)器接入L4~L7類型軟件VAS（vSwitch接入）控制面vSwitch通過openflow將ARP上報控制器，控制器L2/L3學(xué)習(xí)，vSwitch間通過控制器下發(fā)流表同步轉(zhuǎn)發(fā)性能VXLAN處理占用服務(wù)器CPU資源，性能受CPU影響大虛擬機(jī)規(guī)格僅受限于控制器的能力適用于：海量VPC適用場景適用于僅虛擬化服務(wù)器接入適用于租戶規(guī)模超大的用戶網(wǎng)絡(luò)內(nèi)有多個廠商網(wǎng)絡(luò)設(shè)備，需要VXLAN與硬件網(wǎng)絡(luò)設(shè)備解耦Overlay類型對比-HybridOverlay對比HybridOverlayNVE位置硬件交換機(jī)和vSwitchVXLANL3GW位置硬件交換機(jī)和vSwitch（分布式部署，根據(jù)VM上線位置相應(yīng)的部署）接入服務(wù)器類型虛擬化服務(wù)器、物理服務(wù)器接入L4~L7類型硬件VAS軟件VAS（X86物理服務(wù)器）軟件VAS（SRIOV接入）軟件VAS（vSwitch接入）控制面硬件設(shè)備L2/L3本地自學(xué)習(xí)，硬件設(shè)備間通過BGP-EVPN同步vSwitch通過openflow將ARP上報控制器，控制器L2/L3學(xué)習(xí)，vSwitch間通過控制器下發(fā)流表同步硬件NVE和vSwitchNVE之間通過控制器的BGP-EVPN同步轉(zhuǎn)發(fā)性能硬件部分不占用服務(wù)器CPU資源，軟件部分VXLAN處理占用服務(wù)器資源虛擬機(jī)規(guī)格同一VPC下所有TOR需要表項(xiàng)同步,每TOR設(shè)備支持ARP：8K~128K；FIB：16K~256K適用于：海量VPC適用場景適用于虛擬化服務(wù)器/物理服務(wù)器同時接入SDN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)互聯(lián)互通對硬件成本敏感，強(qiáng)調(diào)網(wǎng)絡(luò)利舊，需要VXLAN與硬件網(wǎng)絡(luò)設(shè)備解耦Overlay網(wǎng)絡(luò)的范圍3rd云平臺ACOrchestrationL3NetworkvSwitchvSwitchvSwitchLBFirewallSpineLeafVFWVMVMVMvSwitchOverlay網(wǎng)絡(luò)

業(yè)務(wù)呈現(xiàn)/協(xié)同層網(wǎng)絡(luò)控制層基礎(chǔ)網(wǎng)絡(luò)層虛擬網(wǎng)絡(luò)層VXLANOverlay網(wǎng)絡(luò)概述Underlay網(wǎng)絡(luò)NetworkOverlay集中式網(wǎng)絡(luò)NetworkOverlay分布式網(wǎng)絡(luò)HybridOverlay網(wǎng)絡(luò)設(shè)計拓?fù)湓O(shè)計-概述物理Fabric組網(wǎng)推薦推薦采用由CE系列物理交換機(jī)組成的Spine/Leaf結(jié)構(gòu)的物理組網(wǎng)推薦采用L3網(wǎng)絡(luò)，IGP路由協(xié)議采用ECMP實(shí)現(xiàn)等價多路徑負(fù)載均衡和鏈路備份Fabric提供的服務(wù)提供接入節(jié)點(diǎn)間的無差異互訪DCNFabricLeafSpineTwo-TierFatTree物理Fabric特性高帶寬，大容量接入節(jié)點(diǎn)間的無差異性扁平結(jié)構(gòu)靈活組網(wǎng)彈性擴(kuò)縮一個Fabric內(nèi)采用一種同構(gòu)的技術(shù)拓?fù)湓O(shè)計-組網(wǎng)IPFabricServerleafSpineEth-TrunkM-LAGpeerlinkM-LAGEth-TrunkIPECMPL3Interface物理組網(wǎng)Spine設(shè)計Leaf設(shè)計轉(zhuǎn)發(fā)設(shè)計SVFiStackiStack拓?fù)湓O(shè)計-擴(kuò)展性LeafSpineVMVMLeafSpineVMVMVMLeafSpineVMVMLeafSpineVMVMLeafSpineVMVMFabric1Fabric1Fabric1Fabric1Fabric2單Fabric內(nèi)ScaleoutFabric模塊化Scaleout拓?fù)湓O(shè)計-路由協(xié)議選擇LeafSpineLeafSpineFabric1Fabric2OSPFArea1OSPFArea2OSPFArea0LeafSpineLeafSpineFabric1Fabric2AS65501AS65502AS65503AS65521AS65522AS65523AS63500EBGPEBGPEBGPAS63520AS61500OSPFOSPFLeafSpineeBGPLeafSpineAS65501AS65502AS65503AS65504AS63500EBGP接入設(shè)計-接入方式選擇部署方式管理可靠性接入成本ToR單機(jī)部署中高中ToR堆疊部署低中中ToR部署M-Lag高高中ToR部署SVF中低低成本ToR接入VXLAN網(wǎng)絡(luò)M-Lagpeer-linkLeafSVFiStackEth-TrunkSVF-SpineSVF-LeafLeafEth-TrunkiStackLeafLeafToR單機(jī)部署服務(wù)器主備接入NVEToR堆疊部署服務(wù)器Eth-Trunk接入ToR部署M-Lag服務(wù)器Eth-Trunk接入ToR部署SVF服務(wù)器Eth-Trunk接入MSNVENVENVENVE接入設(shè)計-防火墻接入防火墻旁掛在網(wǎng)關(guān)兩側(cè)DC內(nèi)外互訪流量路徑VM->ServerleafToR->Spine->GW->FW->GW->BoardLeafToR->Router->ExternalNetwork防火墻接入網(wǎng)關(guān)設(shè)備方式拓?fù)浜唵?，可以簡化配置部署，防火墻可以伴隨網(wǎng)關(guān)組擴(kuò)展同步擴(kuò)容。支持靈活部署安全策略，推薦使用防火墻物理連接Serviceleaf接入VXLANDC內(nèi)外互訪流量路徑VM->ServerleafToR->Spine->GW->ServiceleafToR->FW->ServiceleafToR->BoardLeafToR->Router->ExternalNetwork防火墻Serviceleaf方式接入VXLAN網(wǎng)絡(luò)適用于后期會遷移到分布式組網(wǎng)的場景，便于防火墻資源池化、彈性擴(kuò)展。IPFabric雙活網(wǎng)關(guān)組SpineVXLANL3GatewayNVENVEIPFabric雙活網(wǎng)關(guān)組SpineVXLANL3GatewayNVENVENVENVEServiceleaf防火墻物理旁掛在網(wǎng)關(guān)兩側(cè)防火墻物理直掛在網(wǎng)關(guān)和PE之間紅色字體表示發(fā)送/接收的是VXLAN報文，黑色為非VXLAN報文防火墻物理連接Serviceleaf防火墻直掛在網(wǎng)關(guān)和PE設(shè)備之間DC內(nèi)外互訪流量路徑VM->ServerleafToR->Spine->GW->FW->Router->ExternalNetwork用于數(shù)據(jù)中心內(nèi)部流量可自由訪問，外部流量必須通過防火墻的外緊內(nèi)松型高安全要求場景。防火墻擴(kuò)展困難，要求一定時期內(nèi)數(shù)據(jù)中心網(wǎng)絡(luò)保持穩(wěn)定IPFabricSpineVXLANL3GatewayNVENVE雙活網(wǎng)關(guān)組接入設(shè)計-Leaf設(shè)計(1)BorderLeaf根據(jù)Fabric出口流量帶寬及到Spine的收斂比選定BorderLeaf硬件設(shè)備；根據(jù)可靠性要求及PE出口數(shù)考慮采用“BorderLeaf堆疊+L2TRUNK可靠性保護(hù)”或“多BorderLeaf+L3ECMP”ServiceLeaf選擇接入方式：M-LAG、i-stack、svf；根據(jù)VAS接入要求確定ServiceLeaf組數(shù)；根據(jù)VAS設(shè)備帶寬及到Spine的收斂比選定ServiceLeaf硬件設(shè)備；ServerLeaf選擇接入方式：M-LAG、i-stack、svf；根據(jù)服務(wù)器接入帶寬（GE/10GE/25GE接入）和到Spine的收斂比（Leaf下行接口帶寬和數(shù)量、上行接口帶寬及數(shù)量）選定ServerLeaf硬件設(shè)備；根據(jù)服務(wù)器數(shù)量確定ServiceLeaf組數(shù)；接入設(shè)計-Leaf設(shè)計(2)SpineServerleafServiceleafBorderleaf全解耦①ServerleafSpineServiceleafBorderleaf部分融合②Underlay網(wǎng)絡(luò)設(shè)計-MTUVXLAN封裝在原始二層報文頭之前增加50Bytes(or54Bytes)。為避免分片需要調(diào)整IP網(wǎng)絡(luò)的MTU。通常數(shù)據(jù)中心需要支持JumboFrame，并且絕大部分的網(wǎng)卡都支持到9000Bytes。推薦將Underlay網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的MTU設(shè)置在9216Bytes以上（服務(wù)器的最大MTU+VXLAN封裝）。OuterEthernetheaderOuterIPheaderVXLANheaderInnerEthernetheaderInnerIPheaderPayloadUDPheaderVXLAN封裝格式DestMACSrcMACTPIDVLANtagLength/Type66(2)(2)214(18)BytesIPMiscDataProtocolChecksumSrcIPDestIP9124420BytesSrcPortDestPortUDPLengthChecksum22228BytesVXLANFlagsReservedVNIReserved13318Bytes50(54)BytesOverheadOriginalFrameUnderlay網(wǎng)絡(luò)設(shè)計-接口和IP規(guī)劃Underlay的IP地址用量確定Underlay可用的IP地址范圍規(guī)劃Underlay的IP地址網(wǎng)段LeafSpineNVEVTEPIP10.200.200.11/32RoutingLoopback10.220.220.11/32LinkInterfaceIP10.10.1.11/30LinkInterfaceIP10.10.1.12/30網(wǎng)段規(guī)劃舉例：LinkInterfaceIP：10.10.1.0/20VTEPLoopbackIP：10.200.200.0/20RoutingLoopbackIP：10.220.220.0/20RoutingLoopback10.220.220.201/32vSwitchVMVMNVENVEVXLANOverlay網(wǎng)絡(luò)概述Underlay網(wǎng)絡(luò)NetworkOverlay集中式網(wǎng)絡(luò)NetworkOverlay分布式網(wǎng)絡(luò)HybridOverlay網(wǎng)絡(luò)設(shè)計Overlay網(wǎng)絡(luò)拓?fù)湮锢矸?wù)器虛擬服務(wù)器防火墻LBSpineFabricSpine物理服務(wù)器虛擬服務(wù)器出口PE出口PEServerleafServerleafServiceleafBorderleafGatewayNVENVENVENVEL3GWNVE網(wǎng)關(guān)可靠性-堆疊物理服務(wù)器虛擬服務(wù)器防火墻LBSpineFabricSpine物理服務(wù)器虛擬服務(wù)器出口PE出口PEServerleafServerleafServiceleafBorderleafGatewayNVENVENVENVEL3GWNVEL3GWCSS堆疊GatewayNVE需求方案設(shè)計適用場景增加VXLANL3網(wǎng)關(guān)可靠性增強(qiáng)網(wǎng)關(guān)流量轉(zhuǎn)發(fā)能力2臺設(shè)備進(jìn)行CSS堆疊堆疊設(shè)備形成統(tǒng)一的控制面做VXLANL3網(wǎng)關(guān)堆疊系統(tǒng)增加網(wǎng)關(guān)可靠性堆疊設(shè)備作為獨(dú)立邏輯設(shè)備配置管理簡單，運(yùn)維界面清晰網(wǎng)關(guān)流量能夠在堆疊成員設(shè)備上負(fù)載分擔(dān)網(wǎng)關(guān)可靠性-主備NVENVEL3GWVRRPGateway主備需求方案設(shè)計適用場景增加VXLANL3網(wǎng)關(guān)可靠性2臺設(shè)備組成VRRP組2臺設(shè)備具有獨(dú)立的控制面每臺設(shè)備具有獨(dú)立的NVEVRRP組內(nèi)設(shè)備使用相同的VRRP虛地址作VXLANL3網(wǎng)關(guān)VRRP組增加網(wǎng)關(guān)可靠性2臺設(shè)備具有獨(dú)立的控制面互為備份物理服務(wù)器虛擬服務(wù)器防火墻LBSpineFabricSpine物理服務(wù)器虛擬服務(wù)器出口PE出口PEServerleafServerleafServiceleafBorderleafGatewayNVENVENVENVEL3GWNVE不推薦網(wǎng)關(guān)可靠性-多活NVEL3GWDFSGateway需求方案設(shè)計適用場景增加VXLANL3網(wǎng)關(guān)可靠性增強(qiáng)網(wǎng)關(guān)流量轉(zhuǎn)發(fā)能力多臺設(shè)備組成DFS組（DynamicFabricServiceGroup）每臺設(shè)備具有獨(dú)立的控制面，多臺設(shè)備具有相同的loopback地址作為NVEDFS組內(nèi)設(shè)備使用相同的虛擬IP作VXLANL3網(wǎng)關(guān)，形成網(wǎng)關(guān)IP的ECMP多活雙活網(wǎng)關(guān)模式（FW/LB增值設(shè)備旁掛接入或ServiceLeaf接入）四活網(wǎng)關(guān)模式（FW/LB增值設(shè)備通過ServiceLeaf接入）DFS組增加網(wǎng)關(guān)可靠性各設(shè)備具有獨(dú)立的控制面互為備份網(wǎng)關(guān)流量能夠在DFS組成員設(shè)備上負(fù)載分擔(dān)物理服務(wù)器虛擬服務(wù)器防火墻LBSpineFabricSpine物理服務(wù)器虛擬服務(wù)器出口PE出口PEServerleafServerleafServiceleafBorderleafGatewayNVENVENVENVEL3GWNVE網(wǎng)關(guān)擴(kuò)容-多組IPFabricPeerlinkVNI1VNI2000VNI2000VNI3VNI2000VNI4000VNI4000Subnet1Subnet3VNI3VNI1雙活網(wǎng)關(guān)組1VNI1~4KSubnet2000Subnet4000Subnet6000Subnet5000Subnet8000雙活網(wǎng)關(guān)組2VNI5K~8KVNI6000VNI5000VNI8000VNI5000Peerlink堆疊/主備/多活/多組網(wǎng)關(guān)對比部署模式描述（CE128做網(wǎng)關(guān)）可靠性分擔(dān)配置網(wǎng)關(guān)單機(jī)/堆疊部署單機(jī)/堆疊設(shè)備獨(dú)立做VXLAN網(wǎng)關(guān)（規(guī)格：4K租戶（租戶有VPN接入需求時支持2K租戶），4KVRF，4K子網(wǎng)，4KVNI，125KVM（或者25KVM+BM）32K~1MRIB，5KACL中是簡單網(wǎng)關(guān)主備部署兩臺獨(dú)立設(shè)備建立VRRP組、具有獨(dú)立的隧道端點(diǎn)地址，主備網(wǎng)關(guān)使用相同的VRRP虛地址作為VXLANL3網(wǎng)關(guān)地址，VM看到一個邏輯網(wǎng)關(guān)高否中網(wǎng)關(guān)多活部署兩臺或四臺獨(dú)立設(shè)備建立DFS組，配置相同的網(wǎng)關(guān)地址和隧道端點(diǎn)地址，VM看到一個邏輯網(wǎng)關(guān)高是復(fù)雜多組網(wǎng)關(guān)部署增加獨(dú)立的網(wǎng)關(guān)設(shè)備，接入額外的子網(wǎng)，擴(kuò)展網(wǎng)絡(luò)規(guī)格，但單組網(wǎng)關(guān)內(nèi)轉(zhuǎn)發(fā)容量和可靠性沒有變化中是中與傳統(tǒng)網(wǎng)絡(luò)對接SDN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)互聯(lián)互通LAN防火墻LBSpineFabricSpine物理服務(wù)器虛擬服務(wù)器出口PE出口PEServerleafServiceleafBorderleafGatewayNVENVENVENVEL3GWNVE方式一方式二LANServerleafAC對Overlay的策略控制-接口

AC-FW/LBAC-CE（NVE）AC-CE（VXLANL3GW）物理服務(wù)器虛擬服務(wù)器防火墻LBSpineFabricSpine物理服務(wù)器虛擬服務(wù)器出口PE出口PEServerleafServiceleafBorderleafGatewayNVENVENVENVENVEL3GW①②③ServerleafAC對Overlay的策略控制-業(yè)務(wù)發(fā)放VMVMFabricasaService虛擬網(wǎng)絡(luò)OverlayLeafSpineVMVM物理機(jī)VM邏輯網(wǎng)絡(luò)2邏輯網(wǎng)絡(luò)1LogicSwitchLogicRouter物理網(wǎng)絡(luò)LogicRouterLogicSwitchLogicPortFaaSNVENVENVENVELBFWIPSecBMLogicSwitchLogicRouter①網(wǎng)絡(luò)服務(wù)抽象②網(wǎng)絡(luò)業(yè)務(wù)編排③虛擬網(wǎng)絡(luò)部署NVEGateway控制面的兩種方案控制面下沉/轉(zhuǎn)發(fā)面自學(xué)習(xí)方案BGP-EVPN方案AgileController通過NetConf來下發(fā)VXLAN隧道等配置信息到設(shè)備；設(shè)備根據(jù)靜態(tài)配置信息建立VXLAN隧道；設(shè)備根據(jù)數(shù)據(jù)流和ARP自學(xué)習(xí)（源mac學(xué)習(xí)和arp協(xié)議）并生成局部表項(xiàng)，全局表項(xiàng)學(xué)習(xí)靠轉(zhuǎn)發(fā)面廣播報文到遠(yuǎn)端，遠(yuǎn)端設(shè)備自學(xué)習(xí)達(dá)到全網(wǎng)同步；AgileController通過NetConf下發(fā)BGP-EVPN等配置信息到設(shè)備；設(shè)備通過BGP-EVPN協(xié)議動態(tài)建立VXLAN隧道；設(shè)備局部學(xué)習(xí)的表項(xiàng)（MAC、主機(jī)路由、子網(wǎng)路由）通過BGP-EVPN進(jìn)行全局同步；設(shè)備和AgileController之間也可以另外存在BGP-EVPN連接，用于設(shè)備表項(xiàng)到AgileController的同步；控制面要解決的問題VXLAN是NVO3協(xié)議，MAC報文封裝進(jìn)UDP報文中轉(zhuǎn)發(fā)。其控制面要解決3個層級的尋址選路問題：1.對于外層封裝需要建立隧道，有兩種方式：靜態(tài)配置、協(xié)議動態(tài)創(chuàng)建；2.對于內(nèi)層封裝，MAC層尋址選路可以采用數(shù)據(jù)流和ARP自學(xué)習(xí)方式，也可以可采用局部自學(xué)習(xí)和協(xié)議全局通告的方式；3.對于內(nèi)層封裝，IP層尋址選路（路由）也和傳統(tǒng)IP層一樣，即靜態(tài)路由或動態(tài)路由協(xié)議；控制面下沉方案-ARP處理流程1.推送上行流量VLAN封裝GWNVE5ToR1NVE1ToR2NVE2ToR3NVE3ToR4NVE4vSwitchVM1VM2vSwitchVM5VM6vSwitchVM3VM41.基于Port+VLAN配置VLAN->VNI接入映射2.下發(fā)VNI對應(yīng)的頭端復(fù)制表ARPReqToGWBUM報文頭端復(fù)制ARPReptoVM1學(xué)習(xí)VM1的MAC地址并關(guān)聯(lián)隧道表AC到ToR/GW/vSwitch的配置流程VM發(fā)送請求網(wǎng)關(guān)地址的ARP流程網(wǎng)關(guān)發(fā)送ARP響應(yīng)流程備注：網(wǎng)關(guān)設(shè)備處理ARP也叫做控制面下沉方案①②④③⑥⑤VMMACVNISNVEDNVEVM1MAC1VNI1NVE4NVE1VMMACIPVNISNVEDNVEVM1VM1MACVM1IPVNI1NVE5NVE1BGP-EVPN方案-原理Spine物理服務(wù)器虛擬服務(wù)器防火墻LBSpineFabric物理服務(wù)器虛擬服務(wù)器出口PE出口PEServerleafServerleafServiceleafBorderleafGatewayNVENVENVENVEL3GWNVEBGPEVPNRRAS6500NETCONFBGP-EVPN方案-部署部署原理部署案例如果當(dāng)前Underlay網(wǎng)絡(luò)為IGP或靜態(tài)路由，則啟用BGP實(shí)例、運(yùn)行iBGPEVPN用于Overlay網(wǎng)絡(luò)；如果當(dāng)前Underlay網(wǎng)絡(luò)為全iBGP或全eBGP，則在現(xiàn)有BGP實(shí)例基礎(chǔ)上，增加BGPEVPN地址族用于Overlay網(wǎng)絡(luò)；如果當(dāng)前Underlay網(wǎng)絡(luò)為Fabric內(nèi)iBGP，F(xiàn)abric間eBGP。則再新增BGP實(shí)例、運(yùn)行iBGPEVPN用于Overlay網(wǎng)絡(luò)；BGP單實(shí)例部署方案，即網(wǎng)絡(luò)中只創(chuàng)建1個BGP實(shí)例：Underlay為IGP協(xié)議（如OSPF）或iBGP，Overlay為iBGP；Underlay為eBGP，Overlay為eBGP；BGP雙實(shí)例部署方案，即網(wǎng)絡(luò)中創(chuàng)建2個BGP實(shí)例：Underlay為eBGP，Overlay為iBGP；當(dāng)部署iBGP時，建議在CE12800設(shè)備上部署RR；推薦與約束推薦部署iBGPEVPN用于Overlay網(wǎng)絡(luò)的控制面；同時遵循約束：部署EVPN的BGP實(shí)例中不能既有iBGP鄰居又有eBGP鄰居；兩種控制面方案對比(1)對比數(shù)據(jù)面自學(xué)習(xí)BGP-EVPN標(biāo)準(zhǔn)無RFC標(biāo)準(zhǔn)可以與友商互通VXLAN隧道建立控制器配置建立手工配置建立MP-BGP自動建立VXLAN隧道頭端復(fù)制表控制器配置建立手工配置建立MP-BGP自動建立ARP學(xué)習(xí)CE系列交換機(jī)網(wǎng)關(guān)設(shè)備學(xué)習(xí)CE系列交換機(jī)網(wǎng)關(guān)設(shè)備學(xué)習(xí)MAC路由本地MAC：設(shè)備自學(xué)習(xí)遠(yuǎn)端MAC：數(shù)據(jù)面廣播，遠(yuǎn)端學(xué)習(xí)本地MAC：設(shè)備自學(xué)習(xí)遠(yuǎn)端MAC：BGP-EVPN擴(kuò)散主機(jī)路由L3網(wǎng)關(guān)自學(xué)習(xí)不支持分布式路由本地主機(jī)路由：設(shè)備自學(xué)習(xí)ARP生成主機(jī)路由遠(yuǎn)端主機(jī)路由：BGP-EVPN擴(kuò)散網(wǎng)段路由手工配置手工配置或控制器配置BGP-EVPN擴(kuò)散請求網(wǎng)關(guān)ARP網(wǎng)關(guān)設(shè)備應(yīng)答網(wǎng)關(guān)設(shè)備應(yīng)答請求本網(wǎng)段主機(jī)ARP無L3網(wǎng)關(guān)設(shè)備代答ARP優(yōu)化無ARP廣播轉(zhuǎn)單播ARP應(yīng)答能力3Kpps/CE交換機(jī)3Kpps/CE交換機(jī)兩種控制面方案對比(2)*1：以CE12800設(shè)備做網(wǎng)關(guān)為例對比數(shù)據(jù)面自學(xué)習(xí)BGP-EVPN組網(wǎng)規(guī)模集中式網(wǎng)關(guān)組網(wǎng)規(guī)模相對較小，500~2000臺組網(wǎng)規(guī)模相對較大，10K~20K臺對控制器的影響?。嚎刂破鲀H做業(yè)務(wù)配置?。嚎刂破鲀H做業(yè)務(wù)配置對設(shè)備的影響大：廣播，學(xué)習(xí)集中式網(wǎng)關(guān)是集中點(diǎn)，影響大小：Local的ARP處理，BGP-EVPN組網(wǎng)模型僅支持NetworkOverlay集中式ALL配置復(fù)雜度高：配隧道，配頭端復(fù)制表低：配置BGP，RD，RT可靠性依賴設(shè)備依賴BGP表項(xiàng)同步廣播，學(xué)習(xí)依賴BGP可擴(kuò)展性無高：BGP擴(kuò)展適用場景集中式，組網(wǎng)規(guī)模小的場景大規(guī)模組網(wǎng)的場景成熟度高高推薦度低高NetworkOverlay集中式流量模型匯總Leaf出口路由器SpineL3GWVXLAN網(wǎng)關(guān)LBFWInternet/廣域網(wǎng)NVENVENVENVEVPC1192.168.1.10/24物理服務(wù)器vSwitch虛擬服務(wù)器1234VPC2192.168.10.10/24VPC1192.168.2.30/24VPC1192.168.1.20/24NetworkOverlay集中式VXLAN流量分類DCN流量從方向和范圍看，可以分為東西向流量（數(shù)據(jù)中心內(nèi)部互訪）和南北向流量（數(shù)據(jù)中心內(nèi)外訪問）。流量可以分為4類：1）VPC內(nèi)部同子網(wǎng)流量2）VPC內(nèi)部跨子網(wǎng)流量3）跨VPC流量4）DC外部用戶訪問流量vSwitch虛擬服務(wù)器vSwitch虛擬服務(wù)器L2流量轉(zhuǎn)發(fā)模型GWNVE3vSwitchVM3VM4ToR2NVE2ToR1NVE1vSwitchVM1VM2VMMACVNISNVEDNVEVM1MAC1VNI1NVE1NVE1VM4MAC4VNI1NVE1NVE2123VMMACVNISNVEDNVEVM1MAC1VNI1NVE2NVE1VM4MAC4VNI1NVE2NVE2DMAC:VM4MACSMAC:VM1MACVLAN:X(addbyvSwitch)DIP:VM4IPSIP:VM1IPPayloadDMAC:NetMacSMAC:NVE1MACDIP:NVE2IPSIP:NVE1IPVNI:1DMAC:VM4MACSMAC:VM1MACDIP:VM4IPSIP:VM1IPPayloadPayloadSIP:VM1IPDIP:VM4IPVLAN:Y(addbyToR2)SMAC:VM1MACDMAC:VM4MACVPC內(nèi)L3流量轉(zhuǎn)發(fā)模型GWNVE3vSwitchVM3VM4ToR2NVE2ToR1NVE1vSwitchVM1VM2124DMAC:BD1MACSMAC:VM1MACVLAN:X(addbyvSwitch)DIP:VM3IPSIP:VM1IPPayloadDMAC:NetMacSMAC:NVE1MACDIP:NVE3IPSIP:NVE1IPVNI:1DMAC:BD1MACSMAC:VM1MACDIP:VM3IPSIP:VM1IPPayloadPayloadSIP:VM1IPDIP:VM3IPVLAN:Y(addbyToR2)SMAC:BD2MACDMAC:VM3MACBD1Sub1BD2Sub2VMMACVNISNVEDNVEVM1MAC1VNI1NVE1NVE1BD1IFBD1MACVNI1NVE1NVE3VMMACVNISNVEDNVEVM3MAC3VNI2NVE2NVE2BD2IFBD2MACVNI2NVE2NVE3PayloadSIP:VM1IPDIP:VM3IPSMAC:BD2MACDMAC:VM3MACVNI:2SIP:NVE3IPDIP:NVE2IPSMAC:NVE3MACDMAC:NetMacVMMACIPVNISNVEDNVEVM1VM1MACVM1IPVNI1NVE3NVE1VM3VM3MACVM3IPVNI2NVE3NVE23VPC間L3流量轉(zhuǎn)發(fā)模型vSwitchVM3VM4vSwitchVM1VM2VRF1VRF2NVE1VRF1VRF2NVE2NATGWNVE3VRF1VRF2FWvFW1vFW2DMAC:BD1MACSMAC:VM1MACVLAN:X(addbyvSwitch)DIP:VM3EIPSIP:VM1IPPayload1DMAC:NetMacSMAC:NVE1MACDIP:NVE3IPSIP:NVE1IPVNI:1DMAC:BD1MACSMAC:VM1MACDIP:VM3EIPSIP:VM1IPPayload2DMAC:vFW1MACSMAC:BD1MACVLAN:A(vFW1-VRF1:Sub1直連接口VLAN）DIP:VM3EIPSIP:VM1IPPayload34PayloadSIP:VM1EIPDIP:VM3IPVLAN:B(vFW2-VRF2:Sub2直連接口VLAN）SMAC:vFW2MACDMAC:BD2MACPayloadSIP:VM1EIPDIP:VM3IPSMAC:BD2MACDMAC:VM3MACVNI:2SIP:NVE3IPDIP:NVE2IPSMAC:NVE3MACDMAC:NetMacIPNextHopMACVLAN0.0.0.0/0vFW1IPvFW1MACAPayloadSIP:VM1EIPDIP:VM3IPVLAN:Y(addbyToR2)SMAC:BD2MACDMAC:VM3MACDC內(nèi)外L3流量轉(zhuǎn)發(fā)模型RouterNVEToR1vSwitchVM1VM2VRF1VRF1VRF2NVEFWPub-VRFvFW1vFW2Pub-vFWDMAC:BD1MACSMAC:VM1MACVLAN:X(addbyvSwitch)DIP:ClientIPSIP:VM1IPPayloadDMAC:NetMacSMAC:NVE1MACDIP:NVE3IPSIP:NVE1IPVNI:1DMAC:BD1MACSMAC:VM1MACDIP:ClientIPSIP:VM1IPPayloadDMAC:vFW1MACSMAC:BD1MACVLAN:A(vFW1-VRF1:Sub1直連接口VLAN）DIP:ClientIPSIP:VM1IPPayloadNAT1PayloadSIP:VM1EIPDIP:ClientIPVLAN:C（到Router下一跳接口VLAN）SMAC:Public

vFWMACDMAC:Router

InterfaceVLAN

CMAC2VXLANOverlay網(wǎng)絡(luò)概述Underlay網(wǎng)絡(luò)NetworkOverlay集中式網(wǎng)絡(luò)NetworkOverlay分布式網(wǎng)絡(luò)HybridOverlay網(wǎng)絡(luò)設(shè)計AC對Overlay的策略控制-接口物理服務(wù)器虛擬服務(wù)器防火墻LBSpineFabricSpineServerleaf物理服務(wù)器虛擬服務(wù)器出口PE出口PEServerleafServiceleafBorderleafLeafNVEL3GW①②NVEL3GWNVEL3GWNVEL3GWNVEL3GWNetworkOverlay分布式流量模型匯總Leaf出口路由器SpineNVEServiceLeafLBFWInternet/廣域網(wǎng)NVENVENVENVEvSwitchvSwitch物理服務(wù)器虛擬服務(wù)器虛擬服務(wù)器vSwitch虛擬服務(wù)器1234DVRDVRDVRDVRNVEBorderLeafVPC1192.168.1.10/24VPC1192.168.2.30/24VPC2192.168.10.10/24VPC1192.168.1.20/24NetworkOverlay分布式VXLAN流量分類DCN流量從方向和范圍看，可以分為東西向流量（數(shù)據(jù)中心內(nèi)部互訪）和南北向流量（數(shù)據(jù)中心內(nèi)外訪問）流量可以分為4類：1）VPC內(nèi)部同子網(wǎng)流量2）VPC內(nèi)部跨子網(wǎng)流量3）跨VPC流量4）DC外部用戶訪問流量L2流量轉(zhuǎn)發(fā)模型UnderlayNetworkNVE1VM1DVRSIP:10.10.10.1DIP:10.10.10.3DMAC:0xFFFFSMAC:MAC11ARP代答VM1發(fā)送ARP請求VM1:10.10.10.1VM3:10.10.10.3NVE2VM3DVRSIP:10.10.10.1DIP:10.10.10.3DMAC:MAC1SMAC:MAC323NVE1-IPVM1MAC1VNI14NVE2-IPVM3MAC1VNI1DIP:NVE2SIP:NVE1SMAC:NVE1MACDMAC:NetMACSIP:10.10.10.1DIP:10.10.10.3DMAC:MAC3SMAC:MAC1payloadVXLAN報文SIP:10.10.10.1DIP:10.10.10.3DMAC:MAC1SMAC:MAC3payloadVPC內(nèi)L3流量轉(zhuǎn)發(fā)模型UnderlayNetwork3NVE1VM1SIP:10.10.10.1DIP:10.10.10.254DMAC:0xFFFFSMAC:MAC11AgileControllerVM1發(fā)送ARP請求VM1:10.10.10.1VM3:10.10.20.3NVE2VM3DVRSubnet1三層接口Subnet2三層接口NVE1-IPVM1MAC1IP1NVE2-IPVM3MAC1VNI1SIP:10.10.10.1DIP:10.10.20.3DMAC:MAC3SMAC:MAC-GW2payloadSIP:10.10.10.1DIP:10.10.20.3DMAC:MAC-GW1SMAC:MAC1payloadDIP:NVE2SIP:NVE1SMAC:NVE1MACDMAC:NetMACVXLAN報文SIP:10.10.10.254DIP:10.10.10.1DMAC:MAC1SMAC:MAC10-2542SIP:10.10.10.1DIP:10.10.20.3DMAC:MAC-GW1SMAC:MAC1payload5數(shù)據(jù)報文首包重傳或發(fā)送后續(xù)報文6ARP代答向源、目的NVE下發(fā)轉(zhuǎn)發(fā)表、隧道表4DVRSubnet1三層接口Subnet2三層接口3UnderlayNetworkVPC間L3流量轉(zhuǎn)發(fā)模型EVS1VM1SIP:10.10.10.1DIP:10.10.10.254DMAC:0xFFFFSMAC:MAC11AgileControllerVM1發(fā)送ARP請求VM1:10.10.10.1VM3:10.10.20.3EVS2VM3DVRNVE9-IPAVRMAC1IP1NVE9-IPAVRMAC2IP2SIP:10.10.10.1DIP:10.10.20.3DMAC:MAC3SMAC:MAC20-2546payloadSIP:10.10.10.1DIP:10.10.20.3DMAC:MAC-AVRSMAC:MAC-GW1payloadDIP:NVE9SIP:NVE1SMAC:NVE1MACDMAC:NetMACVXLAN報文SIP:10.10.10.254DIP:10.10.10.1DMAC:MAC1SMAC:MAC10-2542SIP:10.10.10.1DIP:10.10.20.3DMAC:MAC-GW1SMAC:MAC1payload35VPC-AAVR-AVPC-BAVR-BVPC-BVFWVPC-AVFWNVE2NVE94SIP:10.10.10.1DIP:10.10.20.3DMAC:MAC-GW2SMAC:MAC-AVR-BpayloadDIP:NVE2SIP:NVE9SMAC:NVE9MACDMAC:NetMAC防火墻ServiceleafDVRSubnet1三層接口Subnet2三層接口NVE1UnderlayNetworkDC內(nèi)外L3流量轉(zhuǎn)發(fā)模型EVS1VM1VPC-ADVRSIP:10.10.10.1DIP:10.10.10.254DMAC:0xFFFFSMAC:MAC11AgileControllerVM1發(fā)送ARP請求VM1:10.10.10.1NVE9-IPAVRMAC1IP1SIP:SNATIPDIP:200.1.1.1DMAC:NetMACSMAC:PEMAC7payloadSIP:10.10.10.1DIP:200.1.1.1DMAC:MAC-AVRSMAC:MAC-GW1payloadDIP:NVE9SIP:NVE1SMAC:NVE1MACDMAC:NetMACVXLAN報文SIP:10.10.10.254DIP:10.10.10.1DMAC:MAC1SMAC:MAC10-2542VPC-AAVR-APublicvRouterPublicVFWVPC-AVFWNVE1NVE94防火墻ServiceleafPublicvRouterBorderleafNVE10PublicvRouterPEInternetVNIVLANVLANVNISIP:SNATIPDIP:200.1.1.1DMAC:PEMACSMAC:BLMAC6payload5SIP:SNATMACDIP:200.1.1.1DMAC:BLMACSMAC:SLMACpayloadDIP:NVE10SIP:NVE9SMAC:NVE9MACDMAC:NetMACSIP:10.10.10.1DIP:200.1.1.1DMAC:MAC-GW1SMAC:MAC1payload3Subnet1三層接口NetworkOverlay集中式與分布式對比方案NetworkOverlay集中式NetworkOverlay分布式部署NVE部署在leaf節(jié)點(diǎn)（TOR）上；使用CE硬件交換機(jī)；部署在leaf節(jié)點(diǎn)（TOR）上；使用CE硬件交換機(jī)；L3

GW集中部署在Spine或Borderleaf上；使用CE硬件交換機(jī)；分布式部署：根據(jù)VM上線位置相應(yīng)的部署在就近的TOR上；使用CE硬件交換機(jī)；Borderleaf可以和Spine、L3GW合一部署；可以和Spine合一部署；L4-L7直掛、旁掛網(wǎng)關(guān)或serviceleaf接入；建議硬件設(shè)備；Serviceleaf接入；復(fù)雜度簡單復(fù)雜轉(zhuǎn)發(fā)面子網(wǎng)間轉(zhuǎn)發(fā)流量都需要到集中網(wǎng)關(guān)，流量有迂回，網(wǎng)關(guān)壓力大；三層轉(zhuǎn)發(fā)表項(xiàng)在網(wǎng)關(guān)集中存儲，對leaf節(jié)點(diǎn)要求低，對網(wǎng)關(guān)節(jié)點(diǎn)要求高；子網(wǎng)間轉(zhuǎn)發(fā)流量直接在leaf節(jié)點(diǎn)間轉(zhuǎn)發(fā)，流量沒有迂回，壓力分擔(dān)；三層轉(zhuǎn)發(fā)表項(xiàng)分布在leaf節(jié)點(diǎn)，對leaf節(jié)點(diǎn)要求提高；控制面可以采用控制面下沉和BGP-EVPN兩種方案；BGP-EVPN方案；應(yīng)用場景轉(zhuǎn)發(fā)性能要求高；租戶數(shù)量不多，單租戶內(nèi)海量主機(jī)；異構(gòu)多種虛擬化平臺；接入物理主機(jī)；轉(zhuǎn)發(fā)性能要求高；租戶數(shù)量多，單租戶內(nèi)主機(jī)規(guī)模不大；異構(gòu)多種虛擬化平臺；接入物理主機(jī)；VXLANOverlay網(wǎng)絡(luò)概述Underlay網(wǎng)絡(luò)NetworkOverlay集中式網(wǎng)絡(luò)NetworkOverlay分布式網(wǎng)絡(luò)HybridOverlay網(wǎng)絡(luò)設(shè)計HybridOverlay的NVE部署設(shè)計ServerleafSpineServiceleafInternetFabric組網(wǎng)L4-L7服務(wù)器層采用硬件和軟件NVE的混合方案，兼顧硬件兼容性和轉(zhuǎn)發(fā)性能物理機(jī)LBFWIPSecVPNPENVENVENVENVENVE設(shè)備角色和角色指定設(shè)備角色功能NVENVE是Overlay網(wǎng)絡(luò)的邊緣，負(fù)責(zé)原始以太報文的VXLAN封裝和解封裝GatewayVXLANL3GatewayVXLANL3Gateway角色提供L3轉(zhuǎn)發(fā)服務(wù)，也稱為東西網(wǎng)關(guān)，負(fù)責(zé)Overlay網(wǎng)絡(luò)內(nèi)部不同VXLAN之間的L3通信ExitGatewayExitGateway，也稱為南北網(wǎng)關(guān)，負(fù)責(zé)Overlay網(wǎng)絡(luò)和外部PE設(shè)備對接ServerLeafSpineFWVMVM物理機(jī)LBNVEGatewayNVEGatewayNVEGatewayNVEExternalGatewayNVEGatewayServiceLeaf/BorderLeafAC對Overlay的策略控制-業(yè)務(wù)發(fā)放VMVMFabricasaService虛擬網(wǎng)絡(luò)OverlayLeafSpineVMVM物理機(jī)VM邏輯網(wǎng)絡(luò)2邏輯網(wǎng)絡(luò)1LogicSwitchLogicRouter物理網(wǎng)絡(luò)LogicRouterLogicSwitchLogicPortFaaSNVENVENVENVELBFWIPSecBMLogicSwitchLogicRouter①網(wǎng)絡(luò)服務(wù)抽象②網(wǎng)絡(luò)業(yè)務(wù)編排③虛擬網(wǎng)絡(luò)部署NVEGatewayHybridOverlay與傳統(tǒng)網(wǎng)絡(luò)對接Internet物理機(jī)FWIPSecVPNPENVENVENVENVENVE方式1方式3方式2HybridOverlay方案架構(gòu)NVENVENVENVEOverlayControlPlaneTOROverlayPolicyPlaneBGP-EVPNOpenflowOverlayDataPlane邏輯網(wǎng)絡(luò)部署OVSDB/NetConfOpenflowBGPVXLAN注：HybridOverlay策略面，負(fù)責(zé)配置邏輯網(wǎng)絡(luò)，根據(jù)業(yè)務(wù)需求和VM上線的位置，下發(fā)配置，請參見VMM對接控制器與vSwitch間管理通道設(shè)計AC2（主通道）AC3（備通道）DataPathCE1800VAgentOVSDBOpenFlowCE1800V控制器集群AC1（VIP）12控制器與CE1800V間有三條管理鏈路：CE1800V-Agent（RPC鏈路）：用于vSwitch的注冊、Licence管控、監(jiān)控告警等。后續(xù)相關(guān)功能會盡量向OVSDB接口遷移OVSDB：用于vSwitch端口配置、狀態(tài)上報、QOS配置、安全組等功能OpenFlow：vSwitch轉(zhuǎn)發(fā)流表配置為保證CE1800V與控制器間管理鏈路可靠性，三條管理鏈路均采用主備鏈路連接方式鏈路注冊流程：CE1800V啟動后根據(jù)配置文件主動向AC浮動IP進(jìn)行建聯(lián)。ACVIP根據(jù)AC控制器鏈路負(fù)載情況，為vSwitch分配主備ACIP。CE1800V-Agnet/OVSDB/OpenFlow三條管理通道向主備AC進(jìn)行注冊業(yè)務(wù)正常時，AC通過主鏈路配置CE1800V。當(dāng)AC主節(jié)點(diǎn)故障時，AC備節(jié)點(diǎn)啟用，并通過RPC接口通知CE1800V進(jìn)行鏈路主備切換HybridOverlay-控制面BGP-EVPNHOST12HOST3VXLANNVE3NVE4NVE5NVE6RRvSwitchVM1VMvSwitchVMVMIBGPNVE1NVE2HOST4HOST5VNI1VNI1VNI1VNI2VNI2BGPEVPNOpenFlowNVEVXLANL2/L3GWIBGPAS65000BM與VM互通方案-設(shè)備ARP學(xué)習(xí)，EVPN同步VXLANNVE3AS65000RRIBGPVMAMAC_A/IP_A:10.1.1.11NVE4BM（BareMetal）BMAC_B/IP_B:10.1.1.14MACIPVNINexthop:VTEPMAC_B10.1.1.14910011.4.4.9MAC_C10.1.1.12910011.2.2.91.1.1.91.4.4.9MACIPVNINexthop:VTEPMAC_A10.1.1.11910011.1.1.9MAC_C10.1.1.12910011.2.2.9VMCMAC_C/IP_C:10.1.1.121.2.2.9MACIPVNINexthop:VTEPMAC_A10.1.1.11910011.1.1.9MAC_B10.1.1.14910011.4.4.9EVPN同步vSwitchVMvSwitchVMNVE1NVE2VNI91001VNI91001VNI91001BGPEVPNOpenFlowNVEVXLANL2/L3GWARP廣播抑制LEAF虛擬化服務(wù)器VMvSwitchVMSpineSpine物理機(jī)虛擬化服務(wù)器VMVM虛擬化服務(wù)器VMvSwitchVM物理機(jī)ARP廣播轉(zhuǎn)已知單播NVELEAFLEAFLEAFNVENVENVEvSwitchHybridOverlay使能ARP廣播抑制，VM和BM上線轉(zhuǎn)發(fā)信息分別由AC和物理交換機(jī)生成?；旌戏植糘verlay-流量模型混合分布式VXLAN流量分類DCN流量從方向和范圍看，可以分為東西向流量（數(shù)據(jù)中心內(nèi)部互訪）和南北向流量（數(shù)據(jù)中心內(nèi)外訪問）流量可以分為4類:1）租戶內(nèi)部同子網(wǎng)流量2）租戶內(nèi)部跨子網(wǎng)流量3）跨租戶流量4）DC外部用戶訪問流量1LBvSwitch【VXLANL3GW】虛擬服務(wù)器VMVMCE1800VVMVMCE1800VNVENVE虛擬服務(wù)器VMVMCE1800VVMVMCE1800VNVENVETenant1192.168.2.30/24Tenant1192.168.1.10/24Tenant2192.168.10.10/24Tenant1192.168.1.20/24Leaf出口路由器SpineNVEBoarderLeafInternet/廣域網(wǎng)NVE234FWHybridOverlay-轉(zhuǎn)發(fā)模型-L2UnderlayNetworkVTEP1VM1DVRSIP:10.10.10.1DIP:10.10.10.3DMAC:0xFFFFSMAC:MAC11ARP代答VM1發(fā)送ARP請求VM1:10.10.10.1VM3:10.10.10.3VTEP2VM3DVRSIP:10.10.10.1DIP:10.10.10.3DMAC:MAC1SMAC:MAC3234SIP:10.10.10.1DIP:10.10.10.3DMAC:MAC3SMAC:MAC1payloadVXLAN報文vSwitchTORSIP:10.10.10.1DIP:10.10.10.3DMAC:MAC1SMAC:MAC3payloadDIP:NVE2SIP:NVE1SMAC:VTEP1MACDMAC:NetMACVNI：L2VNIVTEP2VM3MAC3VNI1VTEP1VM1MAC1VNI1VTEP2VM3MAC3VNI1VTEP1VM1MAC1VNI1AgileControllerHybridOverlay-轉(zhuǎn)發(fā)模型-L3(首包訪問)UnderlayNetwork3VTEP1VM1DVRSIP:10.10.10.1DIP:10.10.10.254DMAC:0xFFFFSMAC:MAC11AgileControllerVM1發(fā)送ARP請求VM1:10.10.10.1VM3:10.10.20.3VTEP2VM3DVRSubnet1三層接口Subnet2三層接口SIP:10.10.10.1DIP:10.10.20.3DMAC:MAC3SMAC:MAC-GW2payloadSIP:10.10.10.254DIP:10.10.10.1DMAC:MAC1SMAC:MAC-GW12SIP:10.10.10.1DIP:10.10.20.3DMAC:MAC-GW1SMAC:MAC1payload5數(shù)據(jù)報文發(fā)送報文6ARP代答vSwitchTORVTEP2VM3MAC3IP3VNI3L3VNIVTEP1VM1MAC1IP1VNI1L3VNI4SIP:10.10.10.1DIP:10.10.20.3DMAC:MAC-GW1SMAC:MAC1payloadOpenflow-PktInSIP:10.10.10.1DIP:10.10.20.3DMAC:MAC-GW2SMAC:MAC-GW1payloadDIP:VTEP2SIP:VTEP1SMAC:VTEP1MACDMAC:NetMACVNI：L3VNIOpenflow-PktOUTVXLAN報文SIP:10.10.10.1DIP:10.10.20.3DMAC: