• 1. SDN网络介绍王峰 2016.8
  • 2. 申明 PPT中漂亮的图都是盗的人家的,原谅我; 主要是SDN的背景及Neutron的框架的介绍; 不涉及具体操作命令; 都是个人见解,如果有错误,请原谅,也希望您能指出来
  • 3. 目录数据中心趋势和挑战 SDN/NFV技术介绍 VXLAN技术介绍 Neutron详细介绍
  • 4. DC1DC2DC3 传统DC:资源物理隔离DC1DC2DC3虚拟存储虚拟计算虚拟网络统一 控制和管理vDC1 vDC2vDC3vDC4业务发放依赖于人工,周期长 资源利用率低,费用高 业务扩展限制在单个物理DC,跨DC业务部署复杂 租户通过VLAN隔离,4K限制业务发放自动化,周期短 资源利用率高,费用低 资源跨DC虚拟扩展 海量租户云化DC:资源虚拟化,与物理位置无关数据中心发展演进
  • 5. 业务控制平台虚拟逻辑服务网络业务控制平台物理位置相关的DC资源和管道资源分散的DC资源ABACBC相互独立的管道资源无法满足DC及网路资源分散、隔离,无法满足业务快速定制、上市的需求 低效的业务部署:业务定制能力弱,提供周期长业务快速定制和自动部署:网络提供开放API 网络资源基于业务按需分配:通过统一业务控制平台,实现网络资源与业务的协同传统DC:网络和业务分离,业务开通时间长挑战1:网络与计算/存储业务分离部署,业务发放/创新慢云DC需求:业务和网络联动、网络开放API
  • 6. VAS设备区VMVMVMVMVMVM业务 A业务 C业务 BVAS资源池VMVMVMVMVMVM业务 A业务 C业务 BVAS业务定制集中控制器挑战2:网络VAS服务基于租户手工配置,维护复杂传统DC:VAS业务人工配置、部署复杂云DC需求:VAS业务按需自动获取静态配置提供:引流复杂,业务TTM时间长 灵活性差:无法满足VAS设备多、业务需求差异大等复杂场景。根据各种业务需求,按需创建或删减VAS节点,定制VAS路由。 集中控制器根据VAS路由,指导网络转发策略,实现自动引流和VAS设备策略自动部署。
  • 7. 1个逻辑资源挑战3:跨DC资源无法共享,不适应云业务的弹性扩展传统DC:业务和资源扩展限制在单个物理DCPE1PE2承载网(L3)DC 1DC 2 各个DC资源物理隔离,业务和资源只能在单个DC部署。 DC间通过L3连接,相互之间作为外部用户对待。 DC间通过L2连接,组建统一资源池,网络资源虚拟化、按需扩展。 业务按需跨DC站点扩展。云DC需求:业务和资源与物理位置无关PE1PE2承载网(L2)DC 1DC 2
  • 8. 挑战4:难以支持海量租户 (大于4K)DC 1DC2DC3DC4NetworkVirtual NetworkComputing/Storage Pool HypervisorNetwork HypervisorServer/StorageApplicationvDC1、vDC2、vDC3、…….VDCnDC 1DC2DC3DC4vDC1、…VDCnvDC1、…VDCnvDC1、…VDCnvDC1、…VDCn传统DC:租户隔离需求在DC内,4K可满足需求传统DC:共享基础设施资源,大于4K租户隔离需求各DC基础设施资源独立,小二层网络。 租户隔离限制在DC内,无大于4K需求。各DC基础设施资源共享,大二层网络。 需要支持大规模的租户和业务ID (4K~数M),实现逻辑隔离。
  • 9. 基于SDN的VXLAN Overlay网络虚拟化解决方案跨DC业务灵活扩展Overlay方案,网络透明传输 资源按需扩展,大二层网络大于4K多租户16M多租户:24bit VNI标识VXLANSDN云数据中心解决之道创新业务快速上市北向开放API,业务快速定制和自动部署网络自动化统一控制,一点控制,多点同步
  • 10. 目录数据中心趋势和挑战 SDN/NFV技术介绍 VXLAN技术介绍 Neutron详细介绍
  • 11. SDN/NFV主要技术流派主要参与者互联网公司发起,运营商参与 互联网公司代表:Google, Facebook 运营商代表:DT、Verizon、NTT Startup非常积极,代表有Big Switch传统的设备厂商大T发起 大T代表为BT、Telefonica、AT&T、Verizon、DT等 IT设备商Intel、HP等非常积极核心思想SDN分层开放架构 OpenFlow标准定义现有设备向SDN演进思路,代表技术有I2RS、PCE等网络功能虚拟化,采用通用的硬件平台影响设备通用化、低成本化,削弱硬件设备的价值,价值转移到软件上强调设备平滑演进能力设备硬件通用化、低成本化,削弱网络设备的价值NFV
  • 12. ONF定义的SDN:控制转发分离架构+OpenFlowOpenFlow标准还在完善中,适合DC简单场景,还无法完全满足运营商网络复杂业务需求Source: ONF white paper, April 13, 2012ONF定义的SDN架构OF 1.1: 定义多表Pipeline,支持标签/隧道,多路径OF 1.2: TLV变长表项消息,支持IPv6基本匹配 OF 1.3: 拓扑发现,测试流程,测试集...OF 1.4: 能力发现, 测试labs...OF 2.0: 定义转发模型,协商设备能力2011.22011.122012.52013.92014~2010.1OF 1.0:基本协议,十元组,动作OpenFlow标准进展版本发布时间流表字段扩展性强制动作特性芯片支持1.02009.12单表12否转发,丢弃MAC,IP,TCP有1.12011.02多表,流水15否转发,丢弃,群组聚合支持MPLS尚无1.22011.12多表.流水36是支持IPv6基本头尚无1.32012.04多表,流水40是支持IPv6扩展头尚无
  • 13. NFV网络功能虚拟化客户(运营商)痛点NFV的目标&进展多种类型的专用设备、数量多、生命周期短 新业务开发困难、周期长、运营成本高 新业务需要新的硬件,部署难,投资成本高NFV的目标: 通过业务网关虚拟化和统一硬件平台,实现业务快速部署、提高管理、维护效率,新业务快速创新。 研究进展: 2012年10月13家TOP运营商在SDN和OpenFlow世界大会上发布NFV白皮书 2012年11月,在ETSI成立ISG项目,首次会议在2013年1月份召开 2013年4月份工作组开始讨论场景,7月份全会开始讨论开展NFV PoC,呼吁产业链参与NFV实践,验证NFV实际部署可行性 2013年10月份全会发布场景、架构、需求,PoC框架文稿制定完毕Source: Vision for Network Functions VirtualizationUse Cases: Network Functions Virtualisation Infrastructure as a Service Virtual Network Platform as a Service (VNPaaS) Virtual Network Function as a Service (VNFaaS) Virtualisation of Mobile Core Network and IMS Virtualisation of Mobile base station Virtualisation of the Home Environment Service Chains (VNF Forwarding Graphs) Virtualisation of CDNs (vCDN) Fixed Access Network Functions VirtualisationNFV是运营商对SDN思想在特定场景下的应用实例,但面临着性能与容量等方面的挑战
  • 14. SDN/NFV 对于网络意外这什么云计算对于传统IDC的变革降低应用或网站发布成本 解决管理及维护门槛高问题 开发者本身不用关注机房、服务器及网络等问题, 开发者的注意力都在应用本身互联网创新越来越多,各式SaaS服务层出不穷IOS/Android对于终端设备的变革促进手机处理能力的大大提升 大大降低手机终端开发应用的门槛 促进移动互联网的蓬勃发展呢移动APP现在多么火,你懂的
  • 15. 未来的网络是什么样子的真正的智能网络降低应用或网站发布成本 解决管理及维护门槛高问题 开发者本身不用关注机房、服务器及网络等问题, 开发者的注意力都在应用本身互联网创新越来越多,各式SaaS服务层出不穷IOS/Android对于终端设备的变革促进手机处理能力的大大提升 大大降低手机终端开发应用的门槛 促进移动互联网的蓬勃发展呢移动APP现在多么火,你懂的
  • 16. 目录数据中心趋势和挑战 SDN/NFV技术介绍 VXLAN技术介绍 Neutron详细介绍
  • 17. 需要沿途每一跳逐跳支持 需要用SDN交换机替换现有的所有交换机和路由器 支持的规模较小,仅支持几百台设备。 硬件交换机需要负责所有虚拟机的通信 两种主要SDN方案的选择问题SDN控制器SDN控制器Server1Server2Server1Server2Underlay(底层硬件实现) 两端的switch软件支持即可,通过隧道透传中间网络 现有所有交换机和路由器都可以保留 支持的规模大。Overlay(软件叠加实现)可商用 SDN控制器
  • 18. Underlay方案的硬件条件限制Underlay交换机受交换芯片制约,能力有限 中低端交换机交换芯片不支持VxLAN流量的三层转发,同TOR下甚至同主机下的三层流量也需要上送汇聚甚至核心层,造成带宽大量浪费 QoS,ACL等功能受芯片限制,存在字段限制和硬件规格上限 交换机缺少精细的统计能力,无法精确的统计VM的流量等信息 OpenFlow拓展能力低下,流表数量和字段受ACL限制,规模在500以下。采用MAC-IP表功能又较差,不支持多字段和复杂动作 受硬件芯片限制,再次开发和后续拓展能力较差 价格昂贵,投资较高,无法保护现有投资 Underlay交换机由传统交换机改造而成虚机上下线,迁移均通过通过ARP感知,且并没有有效的保护手段,TOR极易遭受攻击造成虚机频繁上下线和迁移 TOR配置相对于Vswitch配置繁琐,自动化率差 TOR无法直接感知VM的相关状态,且无法精细的统计VM信息,运维和问题定位较难Underlay交换机无法直接感知VM信息
  • 19. Overlay方案的软件优势软件设计,功能完备,可拓展性强,再次开发能力强 支持二到四层的路由交换功能 具有完整的QoS,ACL功能 统计信息,日志处理能力较强 投资低,保护现有硬件投资 性能可以满足目前及后续发展需要 Overlay部署在X86服务器上
  • 20. Overlay是当前阶段SDN解决方案主流思路Overlay网络叠加技术。优点:保护现有投资,平滑演进到SDN新增部署网元新增Controller Cluster:SDN控制器,运行在X86服务器上的高可用集群,集中管理与控制Open vSwitch(OVS)网络叠加技术VXLAN /NVGRE Overlay技术运行在虚拟或者实体设备上,提供VMs之间的隧道能力或Tunnel与VLAN的通信。保持传统的物理网络不做改变。
  • 21. Virtual Extensible LAN (VXLAN) Introduction Virtual Extensible LAN (VXLAN) is an encapsulation method to extend layer 2 traffic over a layer 3 or IP-based network. VXLAN relies on multicast in the network core. It utilizes flood and learn for MAC learning and Address Resolution Protocol (ARP) resolution. VXLAN 是一种网路虚拟化技术,它试图改善大量云端运算环境部署相关的可扩展性问题。VXLAN 是一种 Overlay 的网络技术,使用 MAC in UDP 的方法进行封装,简单说就是 VLAN 的扩充,使其可以透过多个第三层网路连接的网路表现如一台台实体交换器连接而成的网路一样。 VXLAN 默认端口:4789
  • 22. VXLAN Frame Format1、VXLAN Header 会包含一个 24 位的 ID(VNI),类似于 VLAN ID 或 GRE Tunnel ID, 该数量的 VNI 解决了 VLAN ID 的 4094 数量限制; 2、VXLAN 中封装与解封是使用 VTEP(VXLAN Tunnel End Point)来实现; 3、架设于 UDP 协定上可以穿越三层网路,比 VLAN 有更好的扩展。
  • 23. VXLAN Overlay网络设备的三种角色VTEP(VXLAN Tunnel End Point) VXLAN GW(VXLAN Gateway) VXLAN IP GW(VXLAN IP Gateway)VXLAN 网络的特点VNI为24位,最大为16777216,每个VNI为一个网段,同网段虚机可通信 VTEP之间的Tunnel是无状态的且VTEP可以通过任意软硬件实现 广播是怎么实现的
  • 24. VXLAN Unicast Packet Forwarding Flow
  • 25. 目录数据中心趋势和挑战 SDN/NFV技术介绍 VXLAN技术介绍 Neutron详细介绍
  • 26. 中国移动公有云数据中心SDN解决方案架构L3 NetworkvSwitchvSwitchvSwitchLBFirewallSpineLeafVMVMVM网络控制层Fabric网络层业务呈现/ 协同层服务器层业务呈现/协同层 面向运企业、VPC的Portal — OP。 提供业务灵活定制化界面。 网络控制层 网络控制平台即SDN Controller,完成网络建模和网络实例化。 北向支持开放API接口,实现业务快速定制和自动发放。 南向支持OpenFlow/OVSdb/Netconf等接口,统一管理控制物理和虚拟网络。 Fabric网络层 由物理设备组成的承载Overlay网络的基础物理组网。 基于硬件的VXLAN网关提高业务性能。 支持对传统VLAN网络的兼容。 服务器层 vswitch实现虚拟机本地接入的网络配置/策略管理vSwitchvSwitchVMVMSDN Controller
  • 27. Neutron在Openstack中的位置为VM提供网络服务: 端口 网络(二层) 子网(三层) 浮动IP VPN LB 防火墙等高级服务
  • 28. The OpenStack Networking componentsneutron server (neutron-server and neutron-*-plugin) This service runs on the network node to service the Networking API and its extensions. It also enforces the network model and IP addressing of each port. The neutron-server and plugin agents require access to a database for persistent storage and access to a message queue for inter-communication. plugin agent (neutron-*-agent) Runs on each compute node to manage local virtual switch (vswitch) configuration. The plug-in that you use determine which agents run. This service requires message queue access and depends on the plugin used. Some plugins like OpenDaylight(ODL) and Open Virtual Network (OVN) do not require any python agents on compute nodes. DHCP agent (neutron-dhcp-agent) Provides DHCP services to tenant networks. This agent is the same across all plug-ins and is responsible for maintaining DHCP configuration. The neutron-dhcp-agent requires message queue access. Optional depending on plug-in. L3 agent (neutron-l3-agent) Provides L3/NAT forwarding for external network access of VMs on tenant networks. Requires message queue access. Optional depending on plug-in. network provider services (SDN server/services) Provides additional networking services to tenant networks. These SDN services may interact with neutron-server, neutron-plugin, and plugin-agents through communication channels such as REST APIs.Networking architecture
  • 29. networking flow diagram of the OpenStack Networking componentsNetworking architecture
  • 30. Neutron部署——VLAN模式
  • 31. VLAN模式——计算节点br-int负责租户隔离,br-eth1负责跟计算节点外的网络通信 在Vlan模式下,租户的流量隔离是通过vlan来进行的,因此此时包括两种vlan,local_vlan和基础网络VLAN br-int和br-eth1分别对从端口int-br-eth1和phy-br-eth1上到达的网包进行vlan tag的处理 br-int流表:br-int完成从br-eth1上过来流量(从口int-br-eth1到达)的vlan tag转换 Br-tun流表:br-eth1上负责从br-int上过来的流量(从口phy-br-eth1到达),实现local vlan到外部vlan的转换 [root@Compute ~]# ovs-vsctl show f758a8b8-2fd0-4a47-ab2d-c49d48304f82 Bridge "br-eth1" Port "phy-br-eth1" Interface "phy-br-eth1" Port "br-eth1" Interface "br-eth1" type: internal Port "eth1" Interface "eth1" Bridge br-int Port "qvoXXX" tag: 1 Interface "qvoXXX" Port "qvoYYY" tag: 1 Interface "qvoYYY" Port "qvoZZZ" tag: 2 Interface "qvoZZZ" Port "qvoWWW" tag: 2 Interface "qvoWWW" Port "int-br-eth1" Interface "int-br-eth1" Port br-int Interface br-int type: internal
  • 32. VLAN模式——网络节点查看网桥信息,包括三个网桥,br-eth1、br-int和br-ex br-eth1主要负责把物理网络上外部vlan转化为local vlan br-int上挂载了大量的agent来提供各种网络服务,另外负责对发往br-eth1的流量,实现local vlan转化为外部vlan。 br-ex要做的事情很简单,只需要正常转发即可。# ovs-vsctl show 3bd78da8-d3b5-4112-a766-79506a7e2801 Bridge br-ex Port "qg-VVV" Interface "qg-VVV" type: internal Port br-ex Interface br-ex type: internal Port "eth0" Interface "eth0" Bridge br-int Port br-int Interface br-int type: internal Port "int-br-eth1" Interface "int-br-eth0" Port "tapXXX" tag: 1 Interface "tapXXX" type: internal Port "tapWWW" tag: 2 Interface "tapWWW" type: internal Port "qr-YYY" tag: 1 Interface "qr-YYY" type: internal Port "qr-ZZZ" tag: 2 Interface "qr-ZZZ" type: internal Bridge "br-eth1" Port "phy-br-eth1" Interface "phy-br-eth1" Port "br-eth1" Interface "br-eth1" type: internal Port "eth1" Interface "eth1"
  • 33. Neutron部署——VXLAN模式
  • 34. 参考:http://docs.openstack.org/security-guide/networking/architecture.html http://www.h3c.com.cn/About_H3C/Company_Publication/IP_Lh/2014/04/Home/Catalog/201408/837252_30008_0.htm http://www.cisco.com/c/en/us/products/collateral/switches/nexus-9000-series-switches/white-paper-c11-729383.html https://yeasy.gitbooks.io/openstack_understand_neutron/content/vxlan_mode/network_node/index.html
  • 35. Thank you!