H3C新网络汇报胶片

1、新IT 新网络 H3C新网络技术汇报 2 大纲 H3C新网络产品概览 H3C新网络应用场景 H3C新网络最佳实践 H3C新网络研发实力及发展方向 3 NFV ISG VXLAN NVGRE STT OpenFlow NV NFV SDN 新网络技术 定义：网络虚拟化，也称 Overlay网络，对物理网络进 行隧道叠加，逻辑划分成虚拟 网络分片，满足基于租户的个 性化需求 定义：网络功能虚拟化，软件和 硬件解耦，虚拟化2-7层网络业 务功能； 定义：软件定义网络，控制与转 发分离，网络控制集中化， Openflow是SDN典型协议之一 新网络技术演进方向 4 计算与存储资源 虚拟化平台 VCF控

2、制器分布式集群 Cloud Management System HypervisorDocker VxLAN Fabric WAN vSwitch Distributed L3 Distributed Firewall Distributed L2 NFV vFWVSR vLBvBRAS vCPEvAC 3rd NFV vXXX NFV Manager 3rd APP Other Cloud System (NEC etc.) CloudSystem LeafLeafLeafLeaf Leaf Router SpineSpine Firewall LB 新物理网络 传统物理网络 虚拟网络NFV

3、支持Run in VM和Run in物理服务器 CSM Classical Network VPC Fabric 自动化 云POPSDS H3C新网络架构：融合的架构 SDN与NFV/vSwitch融合SDN与Overlay融合 Overlay与NFV/vSwitch融合 5 H3C新网络产品家族 控制器 NFV vSwitch管理系统 AppStore 6 H3C新网络产品家族控制器 n北向接口： n采用标准的REST API接口实现与虚拟化 管理平台、云平台、网络管理平台、上 级SDN控制器、应用管理平台等第三方 系统集成 n采用Java API支持第三方SDN App n南向接口： nN

4、ETCONF标准接口：主要用于特性配置 和静态表项的下发,实现特性配置自动下 发; nOPENFLOW协议：下发Openflow标准 流表、标准二三层转发表项 等;PacketIn/PacketOut,实现收发包、首 包上送建流表等; nOVSDB：OVSDB数据库表直接转换成设 备上的VXLAN配置和流表; n支持Opendaylight、IETF等标准化组织 的标准协议 Spine Spine Service Leaf LeafLeafLeaf vSwitch OpenFlow/Netconf Service Service OpenFlow/OVSDB Third Party H3C V

5、CF Controller Cluster 南向 北向 标准的REST API和Java/C API，与任意 第三方系统集成 7 ZTP 设备初次部署时无需预先加载配置文件，上电 后自动到中心服务器获取配置文件 。 规则管理模块 配置文件管理 A000.0000.0000.0000 B000.0000.0000.0000 Z000.0000.0000.0000 A.cfg B.cfg 。 Z.cfg DHCP Discover 80; “A.cfg; 配置下载与加载 生成和上传配置文件 配置设备标识与配 置文件对应关系 大型园区，接入设备位置 分散、数量庞大，难于管 理和

6、维护 通过零配置： n 所有配置工作在后端 操作，不需专业技术 人员到现场 n 接入设备即坏即换， 不需重新配置 控制器应用场景（一） 8 控制器应用场景（二） H3C Hybrid转发设备 n 转发设备可同时工作在OpenFlow和传统转发模式。部分VLAN为OpenFlow模式，部分 VLAN为传统模式，互不干涉。 n 转发设备根据策略自动在SDN模式和传统网络模式间切换，确保SDN失效后，网络不断 Data Plane OpenFlow ClientNetwork OS OpenFlow ControllerPeer device OSPF，BGP etc 9 S12500-xS1250

7、0-x AggAgg Server Service Zone S6800AccessS6800AccessM9000 Hypervisor H3C vSwitch VM VM VM Hypervisor VM VM VM ServiceService VxLAN Fabric Service Service VXLAN VTEP VXLAN GW VXLAN IP GW H3C VCFC Platform VxLAN VTEP、GW统一管理 业务系统北向接口管理 H3C vSwitch iMC云平台第三方云平台 H3C Overlay解决方案特点： n 提供开放的北向接口与各 种云平台无缝对接

8、 n 由VCF控制器实现集中的 控制平面，简化网络管理 和控制 n 支持控制器集群部署，保 证控制面高可靠性 VCF控制 器集群 控制器应用场景（三） Overlay网络： n 地址复用 n 物理网络无关 n 支持虚拟机迁移 n 更多虚网数量 n 降低物理设备表项空间要求 WAN 10 1000网络节点、30000端口* 100万条流表/s 200万条流表/s300万条流表/s400万条流表/s500万条流表/s n 多Controller服务器互为备份 n 随Controller服务器数量扩展，流表处理性能线性扩展 n 最大可扩展至32台 n 首包上送 500Kpps *所标示参数用于示意说

9、明，并非具体产品规格指标 H3C控制器管理能力及高可靠 11 H3C VCFC的高可靠性 App VM App VM App VM vSwitch1 vSwitch2 vSwitch3 App VM App VM App VM vSwitch1000 vSwitch1001 vSwitch1002 VCF Controller VCF controller Region 10 VCF controller VCF controller VCF controller VCF controller Region 2Region 1 Team 主主 LeaderLeader 网关网关 北向统一IP地

10、址 备备 Leader nVCF控制器集群支持控制器数量的弹性扩展，可以根据网络规模动态伸缩 n集群由主Leader控制器在北向提供统一的IP地址与所有上层软件进行交互，所有控制器位于同一二层网络，每个控制器拥 有唯一的南向IP n集群南向通过划分Region管理网络设备，Region内部的控制器互为备份或负载分担 OpenStackOpenStackiMCiMCThird-party cloudThird-party cloud 12 H3C控制器安全性 n 操作系统安全： 当前绝大多数病毒和木马只能运行于windows系统，linux系统对 绝大多数病毒和木马天然免疫； Ubuntu系统针

11、对安全性做了大量的设计，包括用户管理、控制 台安全、防火墙、程序安全、证书等。 n 控制器安全： VCF控制器是H3C独立开发并具有完全知识产权产品，源代码不 开放。 VCF控制器本身只支持https访问，所有与VCF控制器的交互信息 均为加密信息，第三方很难窃取；所有信息交互都记录访问者来源， 可追溯。 VCF控制器与SDN转发设备间的通信可使用加密通信，保障通信 安全。 VCF控制器抗DoS攻击特性，保障系统可靠。 n 开发安全： 通过鉴权机制，保障了VCF控制器平台不被恶意第三方APP使用。 13 H3C新网络产品家族NFV产品系列 基础单元 二-三层网络 四-七层网络 控制层 NFV

12、Manager App n 虚拟路由、安全、无线控制器、 BRAS等多种网络业务单元； n 全系列裸金属形态； n 独立部署/集群部署/融合部署 n 支持CAS/KVM/VMware等多 Hypervisor n 融合VCFC（NFV Manager App）； n 虚拟资源及网络业务单元控制 器集群 vFW vSRvAC vLB vBRAS 14 H3C VNF产品设计 源自Comware,不同于Comware Server Hypervisor VSR vSwitch VBRASVFWVACVLB H3C NFV基于Comware V7平台，可以运行在服务器或虚机上，提供更胜于物理设备的功

13、能和体验 15 VNF借助虚拟化管理平台AC功能，可以将VNF分布在不同 的硬件设备上，降低硬件对单系统的影响，提升可靠性 VNF软件支持IRF横向虚拟化，能够实现会话级高可靠性， 需要时可以快速切换到备份软件实例上，不影响用户业务 NFV Manager APP监控VNF的状态，当VNF实例出现故障 后，可以通过虚拟化平台实现VNF实例的快速恢复，同时 VCFC也可以牵引流量规避坏的节点，实现业务有效处理 H3C VNF高可靠性 硬件高可靠性 软件高可靠性 系统高可靠性 16 外部系统 H3C VNF弹性扩展 VCFC Controller Cluster VCFC Controller C

14、luster VCFC Controller Cluster VSR VSR VSR VSR VFW VFW VFW VFW VLB VLB VLB VLB VAC VAC VAC VAC VNF Cluster APPNFV Manager VSRVLB 应用1 应用2 应用3 应用4 应用5 虚拟资源可以随着应用的变化而动态变化，新应用出现，对应的网络服务生成并执行，旧应用变 更，对应资源释放清空，空余资源可以归其他系统使用 实时监控 按需扩展 灵活调度 17 H3C NFV Manager架构 1、NFV Manager以APP的形式嵌在VCFC上，VCFC通过REST API下发创建V

15、NF资源。NFV Manager相关的REST API 同时可以对第三方云平台提供。 2、 NFV Manager调用本地Openstack API，包括Neutron、 Nova、 Heat、 Image 3、Openstack通过Nova的server API 组件启动资源模板，从而启动VNF虚拟机资源（VSR、VFW、VLB等），并将虚 拟机的网络信息返回给NFV Manager ，再由NFV Manager返回给VCFC 4、VCFC可以根据虚拟机的网络信息下通过Netconf发配置给VNF设备 VCFCVCFCNFVMNFVM OpenstackOpenstack VMVMVMVM

16、VMVMVMVM 1 2 3 4 18 H3C新网络产品家族vSwitch n 可编程、敏捷的虚拟交换机 n 运行在服务器主机Hypervisor内 n 高性能转发能力 OpenFlow流表转发 VLAN/VXLAN L2 Forwarding n 状态防火墙功能 n 流量可视化 端口镜像 sFlow NetFlow * *Hyper-V规划中 物理Network 19 H3C vSwitch的高兼容性 物理Network H3C vSwitch支持多种虚拟化平台系统 KVM：主流开源虚拟化平台 VMware ESXi：主流商业虚拟化平台 （企业增强版本） CAS CVK：华

17、三商业虚拟化平台 XEN：开源虚拟化平台 Hyper-V：微软商业虚拟化平台（规划中） 20 vSwitch友商对比 对比项对比项我司我司S1020VS1020VVMwareVMwareCiscoCisco Overlay模型主机、混合Overlay主机Overlay, 不支持非虚拟化组网 无混合Overlay, 主推网络Overlay Underlay网络控制支持不支持支持 转发流表控制方式控制器统一下发控制器统一下发物理设备通过 BGP/ISIS自学习实现 流表的下发 VXLAN支持支持非标准VXLAN，私有 虚拟环境VMware、KVM、XEN、CVK， 后续规划支持Hyper-v VM

18、wareVMware、KVM、 Hyper-v 性能大包4V4可以达到10G限速； CPU占用率（4VM+OVS）35； 纯OVS的CPU占用率大概在百分 之十几 VXLAN转发数据暂无。 但是CPU占用率很高： 60%-80% 没有思科性能数据 21 H3C新网络产品家族管理软件之UnderlayOverlay统一管理 物理网络物理网络 主机主机 DB服务器服务器1 服务器服务器 DB服务器服务器2 VM1VM2 vSwitch 主机主机 业务业务2：VxLan100 vSwitch 内置 VTEP L2 GW 内置 VTEPL3 GW 内置 VTEP 业务业务3：VxLan200 vSwi

19、tch 内置 VTEP L2 GW 内置VTEP L3 GW 内置 VTEP VM1 VM2 vSwitch 内置 VTEP L3 GW 内置 VTEP L2 GW 内置 VTEP vSwitch iMC VXLAN Manager 0 2 4 6 8 10 0.3333 0.3402 0.3472 0.3541 0.3611 0.3680 0.375 平均速率Mbps 最近一小时数据 总流量总流量最大平均速率最大平均速率最小平均速率最小平均速率平均速率平均速率 183.509.053.165.94 明细流量明细流量 时间时间流量流量速率速率 2014-07-15 8:0023.70MB3.1

20、6 2014-07-15 8:0137.13MB4.95 . 22 H3C网络产品自动化编排架构 H3C VCFC 服务链自动化配置 APIs REST/XML 3rd 管理系统 REST/XML REST/XML H3C RAM Orchestrator 服务健康 资源池化权限管理编排模板服务部署/变更/销毁 Netconf/SNMP OverlayVNFUnderlay 23 超大型网络的管理方案：与OpenStack的对接 Openstack VCF控制器分布式集群 NFV Manager NeutronFWaaSLBaaSVPNaaSL3 NetworkL2 Network H3C新网

21、络架构完全兼容Openstack模型，实现对IT基础资源的统一调配和控制 计算存储资源物理和虚拟网络资源 计算存储控制系统 HeatCeilometerDashboard NovaCinder 24 H3C新网络产品家族AppStore 第三方的应用，可方便注册到H3C SDN APP Store 渠道价值： 单个合作伙伴面向更广阔的用户群体 合作伙伴之间具备网状的生态系统 方案1方案N 适合： 具备APP开发能力的渠道 SOGOU电科院 石油大 学 拓扑 ZTP Service Chain 流量分 析 终端管 理 HAoverlay编排 效率 工具 合作 25 AppStore举例 NTAN

22、TA流量分析APPAPP 通过NTA查看 Underlay 业务流量信 息 资源监视APP 通过iMC平台实现对 Underlay/Overlay物理/虚拟 资源统一进行拓扑、配置备 份、性能、告警等FCAPS管 理 ZTZTP P零配置APPAPP 所有配置工作在后端操作， 不需专业技术人员到现场； 接入设备即坏即换，不需重 新配置；适用于园区网及DCDC 26 大纲 H3C新网络产品概览 H3C新网络应用场景 H3C新网络最佳实践 H3C新网络研发实力及发展方向 27 H3C新网络的应用场景VPC n VCF Controller集群 必选，VCF Controller 实现对于VPC网络

23、的总 体控制，以及对VNF的生命周期管理 n VXLAN GW 必选， VXLAN GW包括vSwitch ,S68,VSR等， 实现虚拟机，服务器等各种终端接入到VXLAN 网络中 n VXLAN IP GW 必选，VXLAN IP GW包括S125-X, S98, VSR 等，实现VXLAN网络和传统网络之间的互通 n 云管理系统 可选，负责计算，存储管理的云平台系统，目 前主要包括Openstack，Vmware Vcenter和 H3C CSM n 虚拟化平台 可选，vSwitch和VM运行的Hypervisor平台， 目前主要包括CAS, Vmware，KVM和XEN n Servi

24、ce安全设备 可选，包括VSR,VFW,VLB和M9000，安全插 卡等设备，实现东西向和南北向服务链服务节 点的功能 n 多场景支持 同时支持单数据中心与多数据中心场景 CoreCore AggAgg Server AccessAccesAccess Hypervisor VM VM VM Hypervisor VM VM VM FWFW VxLAN Fabric VXLAN GW VXLAN IP GW H3C VCFC Platform VxLAN VTEP、GW、VNF生命周期管理 业务系统北向接口管理 iMC云平台第三方云平台 VCF控制器集群 vswitch vswitch vFw

25、/vL B vSwitch vFw/vL B vSwitch KVM vFw/vL B SR-IOV Adpt vSwitch KVM vSwitch VSR vFW/vLB WAN Access 28 n消除网络限制 n大二层限制 nVLAN限制 n虚机任意迁移 n单中心迁移 n跨中心迁移 nIP地址灵活分配 n业务IP地址与物理网络解耦,业务 变动，无需改动物理网络 n地址重用 n多租户 n业务、用户多租户 n多租户间安全隔离 Overlay网络网络 物理承载网络物理承载网络 主机 主机 Overlay 边缘设备 NV 边缘设备 Overlay 控制平面 承载网络 控制平面 数据平面 Pa

26、yload封装 H3C VPC Overlay的技术特点 29 H3C Overlay模型 SDN Controller ClusterSDN Controller ClusterSDN Controller Cluster 网络Overlay： n 物理设备为Overlay设备 n 服务器无需支持Overlay n 支持虚拟化服务器和物理服务 器接入 主机Overlay： n 虚拟设备为Overlay设备 n 适用服务器全虚拟化的场景 n 物理网络无需改动 混合Overlay： n 物理设备和虚拟设备都可以作 为Overlay设备，灵活组网 n 可接入各种形态服务器 n 可以充分发挥硬件网关

27、的高性 能和虚拟网关的业务灵活性 Server vDevice Agent VMVM Server vDevice Agent VMVM Server vDevice Agent VMVM Server vDevice Agent VMVM Server vDevice Agent VMVM Network OverlayHost OverlayHybrid Overlay H3C VPC支持三种Overlay模型，用户可以根据需要选择合适的Overlay模型。 30 H3C VPC VXLAN转发流程 31 H3C VPC服务链整体示意图 将各种软硬件的安全设备组合抽象 成统一的服务链资源池

28、，满足数据 中心内各种安全业务的应用模型 基于Overlay网络构建服务链， Overlay Access负责业务节点的 接入； Service Pool做为业务节 点，负责服务业务的具体实现； Overlay Gateway负责服务链到 外网的终结功能 由华三的VCF控制器集群和其上的 服务链APP集中控制整个服务链的 构建与部署 VCF SDN Controller Cluster Other Cloud System VMware vCenter H3C CAS VXLAN Network LB IPSVPN Service Pool H3C vSwitch Open vSwitch O

29、verlay Access Physical Switch Physical Switch Virtual Device Overlay Gateway IPSaaS FWaaS LBaaS VPNaaS vSwitch vRouter vNET Service Chain vNET Service Chain FW Service Chain APP Cloud System VCFC Open Northbound API VCFC OpenStack Neutron Plugin 32 东西向服务链实现方案 H3C vSwitch或者物理L2 GW： n基于租户识别虚机流量所属服务链，并

30、将其通过 VXLAN网络转发至租户正确的服务链上。 n只有流量匹配服务链特征才送到安全服务节点， 未部署服务链的东西向流量由vSwitch做为分布式 三层网关，直接做跨VXLAN三层转发 NFV或者物理安全设备： n服务节点安全服务功能，例如FW,LB或者NAT,可以提供透明或者网关两种服务模 式 n多个服务节点可以统一做为一个资源池，实现安全业务的弹性扩展和负载分担 n基于租户提供独立的服务链功能，一个服务节点可以承担多个租户的安全业务 APPWEBService Nodes VM VM VM vSwitch LeafLeaf VM VM VM vSwitch VCF Controller

31、Cluster Leaf VM VM VM vSwitch LeafLeaf VM VM VM vSwitch SpineSpine VXLAN Network 服务链业务资源池服务链业务资源池 服务链东西流量 普通东西流量 租户租户1 1 Network(VXLAN1) , subnetNetwork(VXLAN1) , subnet vRoutervRouterNetwork(VXLAN2) , subnetNetwork(VXLAN2) , subnet Network(VXLAN3) , subnetNetwork(VXLAN3) , subnet V V MM V V MM V V

32、MM FWFW vFWvFW V V MM V V MM V V MM 服务链东西流量 普通东西流量 FWFWLBLBNATNAT 33 n南北流量第一种首先送到租户的网关设备，然后再到Spine设备，然后经过出口安全设备转发到WAN；第二种是直接由Leaf到Spine转发 nNFV做为租户的网关设备，一侧网口位于VXLAN私网侧，一侧网口位于VXLAN公网侧，可提供 FW、NAT、VPN等功能，内网流量做为NAT后再封 装VLXAN隧道到发到Spine设备上 nS125-X或者S98做为IDC的Spine设备，承担VXLAN公网的网关功能 nM9000做为出口安全设备承担整个网络的南北向安全

33、业务 GatewayWEB VM VM VM vSwitch LeafLeaf VM VM VM vSwitch SpineSpine VXLAN Network WAN M9000 Leaf NFV 南北向流量 VCF Controller Cluster 租户租户1 1 Network(VXLAN1) , subnetNetwork(VXLAN1) , subnet vRoutervRouterNetwork(VXLAN2) , subnetNetwork(VXLAN2) , subnet Network(VXLAN3) , subnetNetwork(VXLAN3) , subnet V

34、 V MM V V MM V V MM FWFW vFvF WW vIPvIP S S vLvL B BV V MM V V MM V V MM 南北向流量 南北向服务链实现方案 FWFWNATNAT VPNVPN 34 VCFC多活数据中心网络模型 VCFC External Network VMVMVMVMVMVMVMVMVM VM VMVM CoreCore External Network CoreCore VCFC VCFC VCFC VCFC集群 Region1 Region2 VCFC 备选Leader VCFC 普通控制器 同一网关组 LB LB 35 大纲 H3C新网络产品概

35、览 H3C新网络应用场景 H3C新网络最佳实践 H3C新网络研发实力及发展方向 36 H3C新网络的最佳实践-江西移动SDN VPC试点 n H3C SDN VPC 方案与中国移动 SDN APP对接 n 江西移动知识管 理等业务系统上 线运行，是国内 运营商第一个上 线正式业务的 SDN VPC试点 37 n VSR作为云平台的VPC 网关将舟山政府下属一 级办公部分资源应用上 收至天翼云平台中进行 统一管理 n 本期实现了DHCP,DNS ，ACL、NAT、VPN等 网络功能 n VSR实现了和中国电信 云管理平台 “Cloudstack”的对接 移动员工/远端接入 私有云 专有云 厅局A的VPC厅局B的