CloudFabric云数据中心网解决方案-分布式Network Overlay网络设计指南

1、 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY PartNumber DOCPROPERTY Product&Project Name CloudFabric云数据中心网解决方案 DOCPROPERTY DocumentName 设计指南（分布式Network Overlay网络） DOCPROPERTY Product&Project NameCloudFabric云数据中心网解决方案 DOCPROPERTY DocumentName 设计指南（分布式Network Overlay网络） STYLEREF Contents 目 录文档版本

2、 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版权所有 华为技术有限公司PAGE iii DOCPROPERTY DocumentVersion * MERGEFORMAT 01 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版权所有 华为技术有限公司PAGE li DOCPROPERTY DocumentVersion *

3、MERGEFORMAT 01 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版权所有 华为技术有限公司 STYLEREF 1 概述文档版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版权所有 华为技术有限公司PAGE 1概述随着行业数字化转型加速，企业数据中心云化的要求越来越迫切，云计算逐渐成为各行各业的基本能力，数据中心网

4、络作为构建云数据中心的基石面临很大的挑战。同时，云计算要求业务能够实现快速部署，从传统的周、月部署周期，提升到天、小时级的部署周期。在上述背景下，网络的部署开始引入SDN，将业务上线需要的网络配置部署从传统人工方式转为控制器自动部署，SDN结合云平台极大的提升了业务上线效率，让“业务分钟级上线”成为了现实。另一方面，数据中心对资源池化的要求也让网络引入了Overlay技术，Overlay技术使同一租户/业务的资源在更大范围上进行灵活分配成为可能。华为CloudFabric解决方案针对SDN场景下采用overlay组网进行了全新的设计，着力打造符合现代数据中心业务要求的灵活自动、弹性智能的数据中

5、心网络。本文主要介绍华为CloudFabric解决方案Overlay网络（逻辑网络）设计方案。 DOCPROPERTY Product&Project NameCloudFabric云数据中心网解决方案 DOCPROPERTY DocumentName 设计指南（分布式Network Overlay网络） STYLEREF 1 n * MERGEFORMAT 1 STYLEREF 1 概述文档版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY Prop

6、rietaryDeclaration * MERGEFORMAT 版权所有 华为技术有限公司PAGE 9Overlay网络简介 HYPERLINK l _ZH-CN_TOPIC_0250688919 o 2.1 什么是Overlay网络 HYPERLINK l _ZH-CN_TOPIC_0250942563 o 2.2 VXLAN简介 HYPERLINK l _ZH-CN_TOPIC_0250688920 o 2.3 Overlay网络类型 HYPERLINK l _ZH-CN_TOPIC_0250688921 o 2.4 Overlay网络对比什么是Overlay网络Overlay意为叠加，

7、Overlay网络是指在现有物理网络上叠加一个软件定义的虚拟的逻辑网络。在对基础网络不进行大规模修改的条件下，通过定义其上的逻辑网络来实现应用在网络上的承载，解决传统数据中心诸如大规模虚拟机之间二层互通等问题。Overlay本质上是一种L2 over IP的隧道封装技术，主要有VXLAN、NVGRE等，基本原理都是通过隧道封装的方式将二层报文进行封装后在现有网络中进行透明传输，到达目的地之后再解封装得到原始报文，相当于一个大二层网络叠加（Overlay）在现有的网络之上。如下图所示，Underlay是一张物理承载网络，由各类物理设备构成，如交换机、负载均衡设备与防火墙设备等，Overlay网络

8、在Underlay网络基础上形成一张逻辑网络。underlay与overlay网络分层模型Overlay网络架构是物理网络向云和虚拟化的深度延伸，云的资源化能力可以摆脱物理网络的多种限制。从架构上对数据中心建设模式进行了颠覆，将对物理设备的要求降至最低，业务完全定义在叠加网络上，是实现云网融合的关键。一个Overlay网络主要由三部分组成：边缘设备：是指与虚拟机直接相连的设备控制平面：主要负责虚拟隧道的建立维护以及主机可达性信息的通告转发平面：承载 Overlay 报文的物理网络Overlay网络的主要特点：有独立的控制协议和转发平面，对于连接在NVE之外的设备（Server、VAS、外部路由

9、器）来说，underlay网络是透明的。与Underaly网络解耦，便于Underlay网络弹性扩展IP与位置信息分离，虚拟化构建出面向应用的自适应逻辑网络，满足业务资源池化对网络的诉求。支持SDN控制器集中管理，实现业务的自动化快速布放。Overlay网络的主要应用场景：传统IDC业务中的机架出租业务公有云服务（IaaS/PaaS/SaaS）私有云（融合资源池新建、数据中心整合）网络NFV云（网络云化、SDN+NFV）VXLAN简介在华为CloudFabric解决方案中，选用VXLAN技术来构建Overlay网络，业务报文运行在VXLAN Overlay网络上，与物理承载网络解耦。VXLAN

10、是NVO3中的一种网络虚拟化技术，通过将虚拟机发出的数据包封装在UDP中，并使用物理网络的IP、MAC作为outer-header进行封装，然后在IP网络上传输，到达目的地后由隧道终结点解封装并将数据发送给目标虚拟机。随着数据中心在物理网络基础设施上实施服务器虚拟化的快速发展，作为NVO3技术之一的VXLAN具有以下优势：通过24比特的VNI可以支持多达16M的VXLAN段的网络隔离，对用户进行隔离和标识不再受到限制，可满足海量租户。VNI可以分为二层VNI和三层VNI，既可以和广播域BD关联，也可以和VPN实例关联。因此VXLAN可以支持L2 VPN、L3 VPN等复杂业务。除VXLAN网络

11、边缘设备，网络中的其他设备不需要识别虚拟机的MAC地址，减轻了设备的MAC地址学习压力，提升了设备性能。通过采用MAC in UDP封装来延伸二层网络，实现了物理网络和虚拟网络解耦，租户可以规划自己的虚拟网络，不需要考虑物理网络IP地址和广播域的限制，大大降低了网络管理的难度。VXLAN封装的UDP源端口，由内层的流信息Hash而来，Underlay网络不需要解析内层报文就可负载分担，实现网络高吞吐量。关于华为VXLAN的技术原理、规划设计和配置部署详情，请参见 HYPERLINK /enterprise/zh/doc/EDOC1100004177?idPath=7919710%7C21782

12、165%7C21782236%7C22318638%7C7542409 o VXLAN技术专题。Overlay网络类型在VXLAN网络中，根据承担Overlay边缘设备（VXLAN NVE）属性的不同，又可以分为Network Overlay、Host Overlay、Hybrid Overlay三种网络类型。CloudFabric解决方案推荐使用Network Overlay类型的VXLAN网络。Network Overlay：所有NVE全部由物理交换机承担。Host Overlay：所有NVE全部由vSwitch承担。Hybrid Overlay：NVE一部分部署在物理交换机上，另一部分部

13、署在vSwitch上。Network OverlayNetwork Overlay的特点是VXLAN隧道的两个端点全部是物理交换机。其中，Network Overlay又分为集中式和分布式两类，如下图所示。集中式Network Overlay中，Leaf作为VXLAN的L2网关、Spine或Border Leaf作为VXLAN的L3网关。分布式Network Overlay中，Leaf同时作为VXLAN的L2和L3网关，Spine仅作为IP流量高速转发节点，不处理VXLAN报文。集中式Network Overlay和分布式Network Overlay概念示意图Host OverlayHost

14、 Overlay的特点是VXLAN隧道的两个端点全部是虚拟交换机，而虚拟交换机部署在服务器上，如下图所示。数据中心内部的东西向流量在虚拟交换机之间通过VXLAN隧道转发；南北向流量在虚拟交换机与虚拟路由器之间转发，作为Leaf和Spine的物理交换机仅作IP报文的高速转发，不处理VXLAN报文。Host Overlay概念示意Hybrid OverlayHybrid Overlay的特点是VXLAN隧道的端点既可以是虚拟交换机也可以是物理交换机，因此也称为混合Overlay，如下图所示，混合Overlay常见的业务网关部署方案是分布式的。数据中心内部的东西向流量在虚拟交换机和物理Leaf交换机

15、之间通过VXLAN隧道转发；南北向流量在虚拟交换机/Leaf物理交换机与Spine/Edge之间通过VXLAN隧道转发。Hybrid Overlay概念示意Overlay网络对比Network Overlay、Host Overlay和Hybrid Overlay对比说明下表中对Network Overlay、Host Overlay和Hybrid Overlay三种类型的网络特点进行了对比。Network Overlay、Host Overlay和Hybrid Overlay对比说明对比项Network Overlay（推荐）Host OverlayHybrid Overlay（支持）NVE

16、硬件交换机vSwitch硬件交换机vSwitchVXLAN L3 GW硬件交换机（分布式部署，根据VM上线位置相应的部署）vSwitch（分布式部署，根据VM上线位置相应的部署）硬件交换机和vSwitch（分布式部署，根据VM上线位置相应的部署）接入服务器类型虚拟化服务器、物理服务器虚拟化服务器虚拟化服务器、物理服务器接入L4L7类型硬件L4L7软件L4L7（X86物理服务器）软件L4L7（SRIOV接入）软件L4L7（vSwitch接入）硬件L4L7X86物理服务器软件L4L7SRIOV虚拟化软件L4L7软件L4L7（vSwitch接入）控制面设备L2/L3自学习设备间L2通过头端复制广播自

17、学习可支持控制面上收控制器（特指ARP/ND及路由。当前未合入主线，可POC测试）可支持设备间通过BGP-EVPN同步vSwitch通过openflow将ARP/ND上报控制器，控制器L2/L3学习vSwitch间通过控制器下发流表同步硬件设备L2/L3本地自学习，硬件设备间通过BGP-EVPN同步vSwitch通过OpenFlow将ARP/ND上报控制器，控制器L2/L3学习，vSwitch间通过控制器下发流表同步硬件NVE和vSwitch NVE之间通过控制器的BGP-EVPN同步转发性能不占用服务器CPU资源，硬件设备转发性能高VXLAN处理占用服务器CPU资源，性能受CPU影响大硬件部

18、分不占用服务器CPU资源，软件部分VXLAN处理占用服务器资源虚拟机规格VPC数量受限于TOR VRF和路由规格同一VPC虚机数量受限于TOR表项规格仅受限于控制器的能力海量VPC，海量虚机海量VPC，海量虚机同一VPC虚机数量受限于TOR表项规格适用场景适用于对转发性能、运维、安全等有很高要求的私有云用户适用于虚拟化服务器/物理服务器同时接入SDN网络与传统网络互联互通适用于仅虚拟化服务器接入适用于租户规模超大的用户网络内有多个厂商网络设备，需要VXLAN与硬件网络设备解耦适用于虚拟化服务器/物理服务器同时接入SDN网络与传统网络互联互通对硬件成本敏感，强调网络利旧，需要VXLAN与硬件网络

19、设备解耦由于vMware的计算虚拟化在市场占比较高，但其系统封闭并不对网络厂商提供开发的接口嵌入网络厂商的vSwitch设备，另外私有云领域客户通常对安全、性能有一定的定制化要求，因此从性能、开放性、适用性的角度，推荐使用Network Overlay方案。Network Overlay分布式和集中式对比说明下表中对Network Overlay分布式和集中式的网络特点进行了对比。Network Overlay分布式和集中式对比说明方案Network Overlay集中式（支持）Network Overlay分布式（推荐）部署NVE部署在Leaf节点（TOR）上使用CE硬件交换机部署在Leaf

20、节点（TOR）上使用CE硬件交换机L3 GW集中部署在Spine或Border Leaf上使用CE硬件交换机分布式部署：根据VM上线位置相应部署在就近的Leaf节点（TOR）上使用CE硬件交换机Border Leaf可以和Spine、L3 GW合一部署可以和Spine合一部署L4-L7直挂、旁挂网关或Service Leaf接入建议硬件设备Service Leaf接入，直挂、旁挂Border Leaf转发面子网间转发流量都需要到集中网关，流量有迂回，网关压力大三层转发表项在网关集中，对网关节点要求高子网间转发流量直接在leaf节点间转发，流量没有迂回，压力分担三层转发表项分布在Leaf节点，对

21、网关节点要求不高控制面可以采用控制面下沉和部署BGP-EVPN两种方案采用部署BGP-EVPN方案应用场景转发性能要求高租户数量不多异构多种虚拟化平台接入物理主机转发性能要求高租户数量多异构多种虚拟化平台接入物理主机数据中心的业务越来越复杂，微分段、业务链，智能运维，这些功能通常和网关角色密切相关，集中式网关方案下对网关设备的要求越来越高，目前在叠加IPV6 Overlay或者微分段特性时，集中式网关已经力不从心。分布式网关将不同角色分散到各个角色的设备承载，架构解耦具备更好的演进性，推荐新项目使用分布式方案交付。 DOCPROPERTY Product&Project NameCloudFa

22、bric云数据中心网解决方案 DOCPROPERTY DocumentName 设计指南（分布式Network Overlay网络） STYLEREF 1 n * MERGEFORMAT 2 STYLEREF 1 Overlay网络简介文档版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2020-10-30) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版权所有 华为技术有限公司PAGE 51分布式Network Overlay网络方案设计

23、HYPERLINK l _ZH-CN_TOPIC_0250688922 o 3.1 Overlay网络架构设计 HYPERLINK l _ZH-CN_TOPIC_0250689135 o 3.2 Overlay网络业务模型 HYPERLINK l _ZH-CN_TOPIC_0250689142 o 3.3 Overlay网络路由设计 HYPERLINK l _ZH-CN_TOPIC_0250689146 o 3.4 Overlay网络转发设计 HYPERLINK l _ZH-CN_TOPIC_0250942568 o 3.5 规格与约束（受限发布）Overlay网络架构设计方案架构分布式Net

24、work Overlay网络中，SDN控制器作为核心组件，向下纳管Fabric物理网络设备，利用VXLAN技术构建虚拟网络，将网络服务抽象建模，对外提供SDN服务。SDN控制器可以对接多个云平台，也可以同时对接容器管理平台、计算虚拟化平台，与计算、存储等联动，实现L2-L7配置的自动下发。CloudFabric解决方案总体架构逻辑分层层次说明应用层CloudOS：基于OpenStack架构的云操作平台，除了开源OpenStack，还包含华为FusionSphere，它们对计算、存储、网络进行协同管理。容器发放平台，对容器进行创建和发放。分析器：使用iMaster NCE-FabricInsig

25、ht（下文简称FabricInsight）来对数据中心网络进行网络和应用健康度进行分析，快速感知和定位故障点；使用CIS（Cybersecurity Intelligence System）来对流量进行威胁分析检测和判定，有效避免APT（Advanced Persistent Threat）攻击造成用户信息资产损失。控制层计算管理器：即VMM（Virtual Machine Management），完成计算层面的虚拟化和资源管理。网络控制器：采用iMaster NCE-Fabric对云数据中心网络集中管控，提供从应用到物理网络的自动映射、资源池化部署和可视化运维，协助客户构建以业务为中心的网络

26、业务动态调度能力。VAS控制器：采用SecoManager，对防火墙设备提供集中的安全策略管理与控制、直观的实时事件监控和综合分析攻击等各种安全事件，并提供丰富的统计报告，方便用户随时掌控当前网络安全状况。网络层由物理设备组成的Spine-Leaf基础物理组网（常见的有华为CloudEngine系列交换机、NGFW、vNGFW、LB等），用以承载VXLAN Overlay网络，并由物理或虚拟设备提供VAS服务。计算层虚拟化服务器：支持VM上线、下线网络侧业务联动下发，也支持网络与计算不联动（L2BR接入）。物理服务器：通过L2BR接入到VXLAN网络，通过控制器界面来发放接入配置，云平台不感知

27、。裸金属服务器：一般形成一个裸金属服务器池；由云平台触发裸金属服务器的端到端上线过程。交互接口接口两端接口说明控制器云平台控制器提供插件部署在云平台上，从而完成云平台与控制器的对接。控制器通过RESTful（控制器北向开放的接口）和RESTConf接口（控制器调用的接口）与云平台对接，接收云平台下发的网络业务指令。云平台VMM云平台与VMM间接口，控制流不经过控制器传递。SecoManager防火墙SNMP：用于SecoManager发现和获取防火墙的信息。NETCONF：用于SecoManager向防火墙下发配置。FabricInsight物理交换机SNMP：用于FabricInsight发

28、现和获取物理交换机的信息。NETCONF：用于FabricInsight与物理交换机进行流镜像同步。gRPC：FabricInsight获取交换机CPU、RAM利用率。Netstream：交换机通过Netstream上送指定流 分析结果。控制器物理交换机SNMP：用于控制器发现和获取物理交换机的信息。NETCONF：用于控制器向物理交换机下发配置。OpenFlow：主要在运维层面提供路径探测等功能。LB云平台LB提供补丁部署在云平台上，同时本身部署相应的插件，两者通过RESTFul接口对接，从而使云平台纳管LB设备，并向LB设备下发配置。控制器在云平台上的插件和LB在云平台上的插件会交互信息，

29、由控制器告诉LB流量应该携带哪一个VLAN标签进入到Fabric网络中。组网设计分布式Network Overlay典型组网如下图所示。分布式Network Overlay典型组网在分布式Network Overlay组网中，NVE节点是Overlay网络的边界节点，负责Port/Port+VLAN与VNI之间的映射。主要有以下特点：分布式部署：VXLAN的网关分布式部署在Leaf交换机上，三层流量转发路径最优。Network Overlay：Overlay网络的边界节点NVE都是硬件交换机，能提供高性能转发。同一个 E2E VXLAN域内，主机可以任意迁移部署。通过VXLAN L2VNI和L

30、3VNI分别实现租户的二层隔离和三层隔离。在分布式组网中，VXLAN的网关有以下两种类型：三层分布式网关：VXLAN L3 Gateway，也称东西网关。接入计算资源的NVE，它的作用是使接入不同类型的计算节点（物理服务器、虚拟机、裸金属、容器等）接入到VXLAN网络，以及机架出租场景传统网络接入VXLAN网络。出口三层网关：VXLAN Exit Gateway，也称南北网关。连接出口的NVE，它的作用是实现与外部网络（Internet/Intranet）的互通。接入设计SDN控制器支持对接容器管理平台、云管理平台、虚拟化平台，Network Overlay网络接入方式灵活，同时兼容物理服务器

31、、虚拟化服务器（裸金属、容器、虚拟机）等多种计算资源的接入，还支持跟传统网络对接，如下图所示。Network Overlay三层分布式网关接入示意图场景一：计算节点接入SDN控制器支持多种计算节点以多种方式接入Network Overlay，需要根据现网实际场景来选择合适的接入方式。L2接入联动方式：需要控制器与云平台或者计算管理平台对接，与计算资源联动下发L2接入配置。L2接入不联动方式：不需要控制器与其他平台对接，由控制器独立编排下发L2BR接入配置。L3接入联动方式：目前仅容器场景联动部署方式涉及，与容器平台联动下发L3接入配置。L3接入不联动方式：控制器独立编排下发L3接入配置。Net

32、work Overlay网络支持接入的计算节点计算节点接入对象接入方式支持场景物理服务器物理网卡（以逻辑端口形式接入到Fabric）L2接入（不联动）机架出租裸金属物理网卡（以逻辑端口形式接入到Fabric）L2接入（联动）云网一体化、计算联动（与第三方BMM联动）虚拟机vSwitch、SR-IOVL2接入（联动、不联动）云网一体化、计算联动、机架出租容器vSwitch、SR-IOVL2接入（联动、不联动）L3接入（联动、不联动）容器网络CloudFabric计算联动场景支持的计算虚拟化平台，云网一体化场景支持的云平台，以规格清单中的配套清单为准。场景二：传统网络接入当已有的SDN网络需要和传

33、统网络互联互通时，主要有以下三种方式。方式一：适用于近距离二层互联互通（机架出租场景运营商提供网关）当传统网络与SDN网络距离很近，例如在同一个数据中心内部，则此时传统网络通过作为NVE的硬件交换机L2接入，将VLAN映射到VXLAN，传统网络主机与VXLAN虚拟网络的中的VM直接L2互通（L2BR端口发放方式）。方式二：适用于近距离三层互联互通（机架出租场景租户自带网关）当传统网络与SDN网络距离很近，例如在同一个数据中心内部，则此时传统网络通过作为NVE的硬件交换机L3接入，传统网络的网关与VXLAN网络的L3 Gateway是直连下一跳，传统网络主机与虚拟网络的VM直接L3互通。方式三：

34、适用于远距离IPSec方式互联互通当传统网络与SDN网络距离很远，则通过IPSec方式来互联互通。数据中心出口防火墙作为IPSec隧道的端点，传统网络中的主机与SDN虚拟网络中的VM实现L3互通。出口设计本章节简要介绍不同场景出口网络的业务模型、扩展设计，详细出口网络设计请参考出口网络设计指南。出口网络业务模型在介绍出口网络规划前，先了解一下CloudFabric几个场景中的出口网络业务模型。由于云平台FusionSphere以及开源第三方OpenStack两者的能力不同，因此与两种云平台配合时业务模型也不同，下面分别进行介绍。云网一体化场景，不支持同一个VPC的不同外部网络，部分过墙，部分不

35、过墙。场景一：云网一体化-FusionSphere当使用FusionSphere作为云平台时：一个VPC同时支持一个访问Internet的外部网络、多个访问公共服务的外部网络、一个访问专线网络（即远程私网）的外部网络。多个访问专线的外部网络可通过DCN控制器上的二次编排来实现（如下图中虚线所示）。访问Internet的外部网络必须配置SNAT/EIP。访问公共服务的外部网络必须配置EIP。访问专线网络的外部网络不做SNAT/EIP。FusionSphere场景出口网络业务模型场景二：云网一体化-开源第三方OpenStack当使用开源第三方OpenStack作为云平台时：一个VPC只支持一个外部

36、网络，用于访问Internet或远程私网。当一个VPC需要关联多个外部网络时，需通过DCN控制器的二次编排来实现，一个VPC同时只支持一个访问Internet的外部网络和多个访问远程私网的外部网络。开源第三方OpenStack场景出口网络业务模型场景三：网络虚拟化在网络虚拟化场景中：外部网络在控制器上进行编排，一个VPC同时支持一个访问Internet的外部网络和多个访问远程私网的外部网络。网络虚拟化场景出口网络业务模型出口网络扩展设计在一个Fabric内部，可以部署多组Border Leaf设备，如下图所示，这样的部署方式主要在以下场景中使用：场景一：既有业务中VPC的出口带宽不够，通过增加

37、新的Border Leaf设备组，从而增加该VPC的出口带宽，此时多组Border Leaf是ECMP转发。场景二：数据中心VPC数量显著增加，可能引发既有Border Leaf设备规格不够用，此时增加新的Border Leaf设备组。数据中心一部分VPC业务从Border Leaf组A走，另一部分VPC从Border Leaf组B走，有效解决Border Leaf规格不够用的问题，提升了整体数据中心的VPC规格。注意，此场景Border Leaf兼做Service Leaf。场景三：一个VPC的出口网络，连接到两个不同的出口通道（例如一个公网出口和一个私网出口），此时可以部署多组Border

38、 Leaf设备，分别对接不同的出口通道。在VPC上绑定两个外部网络，且每一个外部网络再绑定不同的Border Leaf组。单Fabric内Border Leaf扩容场景一单Fabric内Border Leaf扩容场景二单Fabric内Border Leaf扩容场景三在进行组网设计时需考虑的因素有：单Fabric内部独立设置多组Border Leaf设备，设备可以是双活（推荐）、堆叠或独立模式。在控制器上创建外部网关时，选择绑定Border Leaf组。VAS设备可以旁挂在Service Leaf下或者旁挂在Border Leaf上。只有分布式才支持上述扩容场景。场景一通过多组Border Le

39、af ECMP增加VPC出口带宽，仅适用于不过墙场景。Overlay网络业务模型控制器之所以能对Overlay业务进行自动化下发，是因为其内部已经将网络服务进行了抽象建模，可以从以下三方面来理解。网络服务的抽象通过VXLAN技术在物理网络上构建虚拟网络，模型上将虚拟网络服务抽象为FaaS（Fabric as a Service），FaaS提供的是抽象的L1L3服务，即Logic Router、Logic Switch和Logic Port：Logic Port提供接入服务，接入VM/BM/L4L7设备等Logic Router提供Logic Port之间的L3路由服务和网关服务Logic Sw

40、itch提供Logic Port之间的L2交换服务网络业务的编排控制器通过FaaS提供的Logic Router、Logic Switch和Logic Port，结合前台页面给管理员提供可视化编排多租户逻辑网络的能力，支撑业务诉求实现。虚拟网络的部署控制器将部署好的租户逻辑网络，通过NETCONF接口将配置下发给网络设备，其中：Logic Router由Gateway角色的设备承担Logic Switch和Logic Port由NVE角色的设备承担Network Overlay业务下发示意图以业务为中心，软件定义网络Overlay网络模型映射华为CloudFabric解决方案，通过iMaste

41、r NCE-Fabric控制器对数据中心网络集中管控，提供从应用到物理网络的自动映射、资源池化部署和可视化运维，协助客户构建以业务为中心的网络业务动态调度能力，使得客户可以根据自身业务发展，灵活部署和调度网络资源，让数据中心网络更敏捷地为云业务服务。业务模型：为了实现用户业务对网络的诉求，根据用户的业务、组织结构、管理方式等，对用户业务进行建模抽象。逻辑模型：对物理网络的建模抽象，在物理网络的基础上定义多个独立的逻辑网络，完成网络功能的虚拟化，通过对网络服务的编排实现业务诉求。物理模型：是指控制器将逻辑模型翻译成配置后，下发到物理设备上形成的功能模型。业务应用到逻辑网络，逻辑网络到物理网络，相

42、互之间是如何映射的，通过什么样的模型实现网络虚拟化配置？本节简要介绍SDN控制器的网络模型及映射关系。业务模型与逻辑模型映射数据中心中常见业务应用系统包括Web服务，APP应用，DB数据库三部分，其中Web服务与APP应用互访，APP应用于DB数据库互访，业务系统通过Web服务与Internet或私有网络互通。如下图所示，是一个租户内的逻辑网络模型与用户业务应用模型的对应关系举例。业务模型与逻辑模型对应关系举例控制器逻辑网络模型中的元素说明如下：Tenant：是指租户，一个租户可申请独立的计算、存储和网络资源，一个租户可对应理解为一个业务系统或部门。VPC：是指Virtual Private

43、Cloud，每个VPC为一个安全域，一个VPC可理解为拥有相同安全策略的业务的集合。这里将Web，APP，DB三个区域划分为三个VPC，不同VPC之间的互访可通过控制器编排,灵活控制是否过防火墙,过单边墙还是双边墙。Logical Router：在物理上映射为VRF，一个VPC内通常配置一个Logical Router。Logical Switch：表示网段的概念。可以在一个VPC中设置一个或多个不同的网段，物理上映射为一个Bridge-domain，即一个Logical Router下可配置多个Logical Switch。EPG（可选）：表示一组业务端口的集合，每个EPG内部的业务端口具有

44、相同的安全策略，一个EPG内可以有一个或多个子网。通过EPG可以方便地配置安全策略，控制VPC内的互访策略。LP（Logical Port）：标识接入交换机的逻辑接口，在物理上映射为一个子接口。EP（End Port）：表示计算资源如虚拟机，一个虚拟机接入一个Subnet，一个Subnet中可以接入多个虚拟机。如上将业务系统中WEB，APP和DB三部分分别对应划分为三个VPC，不同区域之间的互访通过控制器进行VPC互访编排实现。控制器自动化部署业务配置时，就是将管理员设计好的VPC逻辑网络模型，翻译成配置命令，并通过NETCONF或OpenFlow下发给转发器。方案优点：通常情况下，相同VPC

45、内的服务器在同一个业务区域，默认可信，VPC之间默认不互通，VPC互通可以通过控制器灵活编排选择是否过墙或者过单边墙。VPC内如果也需要进行访问控制，则仅需要在VPC内进行EPG编排即可，可支持SFC和微分段。逻辑模型与物理模型映射本节简单介绍SDN控制器逻辑模型与物理模型的对应关系，在上一个章节中已经介绍过SDN控制器在创建业务时，都包含哪些主要的逻辑单元，每个VPC是一个虚拟的网络环境，通过创建VPC将物理网络划分为逻辑网络，包含Logical Router，Logical Switch，Logical VAS，Logical Port，External Network等逻辑单元，下面讲述

46、这些逻辑单元与物理网络的映射关系。如下图所示，一张物理网络通过配置VRF，BD等特性划分为多个逻辑网络。在控制器上通过网络工程师容易理解的网络逻辑模型创建逻辑网络并与物理网络中VRF，BD等网络特性自动映射，完成控制器对物理网络交换机的集中管控。控制器逻辑模型和物理模型对应关系首先，控制器管理员创建租户，租户管理员再通过创建VPC来创建逻辑网络，一个Logical Router对应一个VRF，每个Logical Router下可关联多个Logical Switch，每个Logical Switch对应一个子网，每个Logical Switch下可以创建多个Logical Port，每个Logi

47、cal Port对应物理交换机中的一个接口，用于连接物理服务器或者虚机，通过Logical Port的位置创建BD及VRF，也可以通过虚机自动上线自动创建Logical Port及自动下发逻辑网络。在逻辑网络创建完成后，对应的物理网络也会自动完成映射，在网络内同子网及跨子网互通都会自动完成创建。在逻辑网络需要与外部互通时，需要在VPC内创建外部网络逻辑单元，关联外部网关，并指定网关类型（不同类型的外部网关应用场景不同，比如是否过墙，是否主备出口等），如果需要过墙，则还需创建Logical VAS，Logical VAS与Logical Router关联后，防火墙会自动分配一个vSys对应该VP

48、C。Overlay网络业务编排根据业务管理方式、以及云管理平台的不同，主要分为云网一体化（FusionSphere、开源OpenStack）、网络虚拟化（机架出租、计算联动）、容器网络等，如下表所示。各个平台的抽象网络模型可能稍有差异，但是最终都会映射到控制器的逻辑模型，并由控制器通过Netconf接口下发配置到物理网络，完成业务部署。CloudFabric支持的典型场景Overlay场景Overlay业务编排组件云网一体化云平台或云管平台统一实现DC内计算、存储、网络资源的虚拟化和资源池化，并提供界面实现服务管理和业务的自动化发放。SDN控制器完成网络的建模和实例化，对接云平台提供网络的资源

49、池化和自动化，同时支持对部分业务的二次还原。网络虚拟化-计算联动SDN控制器完成网络的建模和实例化，提供网络资源的管理，对接VMM，实现网络业务联动计算业务的自动发放。VMM，实现计算资源的虚拟化和资源池化，提供对计算资源的管理和业务发放。网络虚拟化-机架出租SDN控制器完成网络的建模和实例化，提供网络资源的管理，网络业务通过控制器编排独立发放。VMM，实现计算资源的虚拟化和资源池化，提供对计算资源的管理和业务发放。容器网络SDN控制器完成网络的建模和实例化，提供网络资源的管理和业务发放。（支持独立部署、跟容器平台联动两种部署方式）Kubernetes，实现对容器集群资源的管理和业务发放。控制

50、器支持部署L2-L3基础业务、VPC互通业务、增值业务、业务链、微分段、组播、VPC互通等各种业务，本章节简要介绍常见基础业务的编排模型，其他业务详细的业务编排，请参考CloudFabric云数据中心网解决方案 产品文档和iMaster NCE-Fabric 产品文档。在控制器下发Overlay业务配置之前，需要提前完成Underlay网络配置，包括配置路由实现Underlay网络IP可达，使能能BGP EVPN的VXLAN控制面功能，配置BGP EVPN对等体建立邻居等。iMaster NCE-Fabric支持基于IPv4 Underlay的IPv6 Overlay网络，且网络虚拟化和云网一

51、体化场景均支持IPv6。在逻辑网络、外部网关、VPC多出口、VPC互通的业务编排功能等同IPv4。其他IPv6特性详细支持情况请查看CloudFabric解决方案最新版本规格清单和iMaster NCE-Fabric最新版本产品文档。VPC内互通业务VPC内东西向互访流量，分为同子网二层流量，以及跨子网的三层流量。同VPC同子网和跨子网互通逻辑模型从逻辑网络层面看，业务编排如下：VPC内同子网互通，先通过SDN控制器创建租户和VPC，然后创建Logic Switch、逻辑端口和用户端口。同一个VPC内跨子网互通，在上述基础上将不同的Logic Switch关联到同一个Logic Router。

52、同VPC同子网和跨子网互通物理模型从物理网络层面看，关键配置和路由扩散过程如下：同VPC同子网互通：首先创建BD关联二层VNI，创建EVPN实例。然后创建接入端口（联动场景主机上线会自动生成），实现VLAN跟BD关联。本地Leaf学习到主机MAC地址生成MAC路由。然后通过BGP EVPN对等体发布路由，远端Leaf通过RT交叉接收路由。同一个VPC内跨子网互通，在上述基础上，还需要创建网关VBDIF接口，关联VRF和L3VNI。本地Leaf在学习到主机ARP表项生成IRB类型路由后，通过BGP EVPN对等体发布路由，远端Leaf通过RT交叉接收路由。VPC与外部网络互通业务SDN网络需要与

53、外部网络互访时，需要在控制器上创建外部网络并关联外部网关，如果需要经过防火墙，则还需要创建Logic VAS，然后将Logic Router、Logic VAS和外部网络关联，打通南北向业务流量。南北向互访逻辑模型从逻辑网络层面看，业务编排如下：VPC不过墙访问外部网络，先通过SDN控制器创建租户和VPC，在VPC中创建Logic Router，然后创建外部网络域并关联外部网关，设置外部链路将Logic Router与外部网络关联起来。要实现VPC讲过防火墙访问外部网络，则创建Logical VAS（指定防火墙逻辑资源池），关联逻辑路由器，然后设置外部链路将逻辑防火墙连接到外部网关。南北向互访

54、物理模型从物理网络层面看，关键配置和路由扩散过程如下：过墙场景设计防火墙旁挂在Border Leaf（Service Leaf合设）或者Service Leaf。在Border Leaf（Service Leaf）的租户VRF上下发静态路由，目的IP是指向外部网络IP，下一跳为防火墙互联地址，将此静态路由引入到租户VRF中，并通过BGP EVPN扩散到Server Leaf。在Border Leaf（Service Leaf）创建外部网关出口VRF，配置指向虚机或者服务器网段的静态路由，下一跳为防火墙互联地址，Service Leaf设备分设时需要将此静态路由引入到出口VRF，并通过BGP E

55、VPN扩散到Border Leaf。Border Leaf上外部网关出口VRF与PE之间可使用静态路由或者BGP路由。在FW的出口vsys和租户vsys静态路由互指，出口vsys配置静态路由指向Border Leaf（Service Leaf）的出口VRF，租户vsys配置静态路由指向Border Leaf（Service Leaf）的租户VRF。不过墙场景设计在Border Leaf（Service Leaf）上的租户VRF和出口VRF之间配置静态路由互指将指向外部网络的静态路由引入租户VRF，并通过BGP EVPN扩散到Server Leaf。Service Leaf分设时，将指向服务器或

56、虚机的静态路由引入出口VRF，并通过BGP EVPN扩散到Border Leaf。一个VPC可以关联多个外部网关，共享类型的外部网关也可以被多个VPC关联，可以根据实际业务需求选择关联到合适的外部网关。当网络中存在第三方防火墙，需要根据防火墙支持的纳管情况，做合适的引流配置，详细请参考控制器产品文档。VPC间互通业务VPC将物理网络动态的划分为逻辑网络资源域，包含逻辑网络，逻辑VAS等逻辑单元，VPC互访通过安全访问控制要求的不同可分为：双边过墙，单边过墙和不过墙三种，可通过SDN控制器灵活编排。VPC互通涉及场景比较多，本文对最常见的2种场景进行介绍，各种互访场景详细介绍请参考设计指南SDN

57、模型基础。VPC互通-双边过墙，FW同设备组，Border Leaf&Servic Leaf合设本节介绍VPC互通时双边过墙，且FW同设备组，Border Leaf&Servic Leaf合设的场景。本场景中逻辑模型和物理模型如下图所示。逻辑模型和物理模型的映射说明从逻辑网络层面看，业务编排如下：实现VPC过墙互访，先完成两个VPC及对应逻辑路由器、逻辑防火墙、逻辑交换机的创建，然后通过VPC互通编排界面，选择互通的源和目的VPC、源和目的逻辑路由器、需要互通的子网，以及源和目的防火墙等。从物理网络层面看，关键配置和路由扩散过程举例如下：在VRF1内配置到/24的静态路由,下一跳为FW直连IP

58、（例如：ip route-static vpn-instance VRF1 ），并将该路由引入BGP vpn-instance VRF1，通告给EVPN。在VRF2内配置到/24的静态路由,下一跳为FW直连IP（例如：ip route-static vpn-instance VRF2 ），并将该路由引入BGP vpn-instance VRF2，通告给EVPN。下行：将静态路由/24和/24通过BGP EVPN发送到Server Leaf，Server Leaf根据VPN RT值进行路由选择，不同VPN RT值不同。上行：Server Leaf将和主机路由通过BGP EVPN发送到Border

59、 Leaf（Service Leaf），Border Leaf（Service Leaf）根据VPN RT值进行路由选择，不同VPN RT值不同。VPC互通流量模型-不过墙本节介绍VPC互通时不经过防火墙的场景。本场景中逻辑模型和物理模型如下图所示。逻辑模型和物理模型的映射说明从逻辑网络层面看，业务编排如下：实现VPC不过墙互访，先完成两个VPC及对应逻辑路由器、逻辑交换机的创建，然后通过VPC互通编排界面，选择互通的源和目的VPC、源和目的逻辑路由器、需要互通的子网等。从物理网络层面看，关键配置和路由扩散过程举例如下：在VRF1内配置到/24的静态路由,下一跳为VRF2（例如：ip rout

60、e-static vpn-instance VRF1 vpn-instance VRF2），并将该路由引入BGP vpn-instance VRF1，通告给EVPN。在VRF2内配置到/24的静态路由,下一跳为VRF1（例如：ip route-static vpn-insta nce VRF2 vpn-instance VRF1 ），并将该路由引入BGP vpn-instance VRF2，通告给EVPN。下行：将静态路由/24和/24通过BGP EVPN发送到Server Leaf，Server Leaf根据VPN RT值进行路由选择，不同VPN RT值不同。上行：将和路由通过BGP EVP