H3C新网络汇报胶片

新IT

新网络H3C新网络技术汇报大纲H3C新网络产品概览H3C新网络应用场景H3C新网络最佳实践H3C新网络研发实力及发展方向NFVISGVXLANNVGRESTTOpenFlowNVNFVSDN新网络技术定义：网络虚拟化，也称Overlay网络，对物理网络进行隧道叠加，逻辑划分成虚拟网络分片，满足基于租户的个性化需求定义：网络功能虚拟化，软件和硬件解耦，虚拟化2-7层网络业务功能；定义：软件定义网络，控制与转发分离，网络控制集中化，Openflow是SDN典型协议之一新网络技术演进方向计算与存储资源虚拟化平台VCF控制器分布式集群CloudManagementSystemHypervisorDockerVxLANFabricWANvSwitchDistributedL3DistributedFirewallDistributedL2NFVvFWVSRvLBvBRASvCPEvAC3rdNFVvXXXNFVManager3rdAPPOtherCloudSystem(NECetc.)CloudSystem……LeafLeafLeafLeafLeafRouterSpineSpineFirewallLB新物理网络传统物理网络虚拟网络NFV支持RuninVM和Runin物理服务器CSMClassicalNetworkVPCFabric自动化云POPSDSH3C新网络架构：融合的架构SDN与NFV/vSwitch融合SDN与Overlay融合Overlay与NFV/vSwitch融合H3C新网络产品家族控制器NFVvSwitch管理系统AppStoreH3C新网络产品家族——控制器北向接口：采用标准的RESTAPI接口实现与虚拟化管理平台、云平台、网络管理平台、上级SDN控制器、应用管理平台等第三方系统集成采用JavaAPI支持第三方SDNApp南向接口：NETCONF标准接口：主要用于特性配置和静态表项的下发,实现特性配置自动下发;OPENFLOW协议：下发Openflow标准流表、标准二三层转发表项等;PacketIn/PacketOut,实现收发包、首包上送建流表等;OVSDB：OVSDB数据库表直接转换成设备上的VXLAN配置和流表;支持Opendaylight、IETF等标准化组织的标准协议SpineSpineServiceLeafLeafLeafLeafvSwitchOpenFlow/NetconfServiceServiceOpenFlow/OVSDBThirdPartyH3CVCFControllerCluster南向北向标准的RESTAPI和Java/CAPI，与任意第三方系统集成VCFCZTP设备初次部署时无需预先加载配置文件，上电后自动到中心服务器获取配置文件。。。规则管理模块配置文件管理A000.0000.0000.0000B000.0000.0000.0000Z000.0000.0000.0000A.cfgB.cfg。。。Z.cfgDHCPDiscover&RequestDHCPofferIP+配置文件URL地址A{A0:00:00:00:00:00;80;“A.cfg";}……配置下载与加载生成和上传配置文件配置设备标识与配置文件对应关系大型园区，接入设备位置分散、数量庞大，难于管理和维护通过零配置：所有配置工作在后端操作，不需专业技术人员到现场接入设备即坏即换，不需重新配置控制器应用场景（一）控制器应用场景（二）H3CHybrid转发设备转发设备可同时工作在OpenFlow和传统转发模式。部分VLAN为OpenFlow模式，部分VLAN为传统模式，互不干涉。转发设备根据策略自动在SDN模式和传统网络模式间切换，确保SDN失效后，网络不断DataPlaneOpenFlowClientNetworkOSOpenFlowControllerPeerdeviceOSPF，BGPetcS12500-xS12500-xAggAggServerServiceZoneS6800AccessS6800AccessM9000HypervisorH3CvSwitchVMVMVMHypervisorVMVMVMServiceServiceVxLANFabricServiceServiceVXLANVTEPVXLANGWVXLANIPGWH3CVCFCPlatformVxLANVTEP、GW统一管理业务系统北向接口管理H3CvSwitchiMC云平台第三方云平台H3COverlay解决方案特点：提供开放的北向接口与各种云平台无缝对接由VCF控制器实现集中的控制平面，简化网络管理和控制支持控制器集群部署，保证控制面高可靠性VCF控制器集群控制器应用场景（三）Overlay网络：地址复用物理网络无关支持虚拟机迁移更多虚网数量降低物理设备表项空间要求WAN1000网络节点、30000端口*100万条流表/s200万条流表/s300万条流表/s400万条流表/s500万条流表/s多Controller服务器互为备份随Controller服务器数量扩展，流表处理性能线性扩展最大可扩展至32台首包上送500Kpps*所标示参数用于示意说明，并非具体产品规格指标H3C控制器管理能力及高可靠H3CVCFC的高可靠性AppVMAppVMAppVMvSwitch1vSwitch2vSwitch3AppVMAppVMAppVMvSwitch1000vSwitch1001vSwitch1002VCFControllerVCFcontrollerRegion10VCFcontrollerVCFcontrollerVCFcontrollerVCFcontrollerRegion2Region1Team主Leader网关网关北向统一IP地址备LeaderVCF控制器集群支持控制器数量的弹性扩展，可以根据网络规模动态伸缩集群由主Leader控制器在北向提供统一的IP地址与所有上层软件进行交互，所有控制器位于同一二层网络，每个控制器拥有唯一的南向IP集群南向通过划分Region管理网络设备，Region内部的控制器互为备份或负载分担OpenStackiMCThird-partycloudH3C控制器安全性操作系统安全：当前绝大多数病毒和木马只能运行于windows系统，linux系统对绝大多数病毒和木马天然免疫；Ubuntu系统针对安全性做了大量的设计，包括用户管理、控制台安全、防火墙、程序安全、证书等。控制器安全：VCF控制器是H3C独立开发并具有完全知识产权产品，源代码不开放。VCF控制器本身只支持https访问，所有与VCF控制器的交互信息均为加密信息，第三方很难窃取；所有信息交互都记录访问者来源，可追溯。VCF控制器与SDN转发设备间的通信可使用加密通信，保障通信安全。VCF控制器抗DoS攻击特性，保障系统可靠。开发安全：通过鉴权机制，保障了VCF控制器平台不被恶意第三方APP使用。H3C新网络产品家族——NFV产品系列基础单元二-三层网络四-七层网络控制层NFVManagerApp虚拟路由、安全、无线控制器、BRAS等多种网络业务单元；全系列裸金属形态；独立部署/集群部署/融合部署支持CAS/KVM/VMware等多Hypervisor融合VCFC（NFVManagerApp）；虚拟资源及网络业务单元控制器集群vFWvSRvACvLBvBRASH3CVNF产品设计—源自Comware,不同于ComwareServerHypervisorVSRvSwitchVBRASVFWVACVLBH3CNFV基于ComwareV7平台，可以运行在服务器或虚机上，提供更胜于物理设备的功能和体验VNF借助虚拟化管理平台AC功能，可以将VNF分布在不同的硬件设备上，降低硬件对单系统的影响，提升可靠性VNF软件支持IRF横向虚拟化，能够实现会话级高可靠性，需要时可以快速切换到备份软件实例上，不影响用户业务NFVManagerAPP监控VNF的状态，当VNF实例出现故障后，可以通过虚拟化平台实现VNF实例的快速恢复，同时VCFC也可以牵引流量规避坏的节点，实现业务有效处理H3CVNF高可靠性硬件高可靠性软件高可靠性系统高可靠性外部系统H3CVNF弹性扩展VCFCControllerClusterVCFCControllerClusterVCFCControllerClusterVSRVSRVSRVSRVFWVFWVFWVFWVLBVLBVLBVLBVACVACVACVACVNFClusterAPPNFVManagerVSRVLB应用1应用2应用3应用4应用5虚拟资源可以随着应用的变化而动态变化，新应用出现，对应的网络服务生成并执行，旧应用变更，对应资源释放清空，空余资源可以归其他系统使用实时监控按需扩展灵活调度H3CNFVManager架构1、NFVManager以APP的形式嵌在VCFC上，VCFC通过RESTAPI下发创建VNF资源。NFVManager相关的RESTAPI同时可以对第三方云平台提供。2、NFVManager调用本地OpenstackAPI，包括Neutron、Nova、

Heat、Image3、Openstack通过Nova的serverAPI

组件启动资源模板，从而启动VNF虚拟机资源（VSR、VFW、VLB等），并将虚拟机的网络信息返回给NFVManager，再由NFVManager返回给VCFC4、VCFC可以根据虚拟机的网络信息下通过Netconf发配置给VNF设备VCFCNFVMOpenstackVMVMVMVM1234H3C新网络产品家族——vSwitch可编程、敏捷的虚拟交换机运行在服务器主机Hypervisor内高性能转发能力OpenFlow流表转发VLAN/VXLANL2Forwarding状态防火墙功能流量可视化端口镜像sFlowNetFlowCASCVK**Hyper-V规划中物理NetworkH3CvSwitch的高兼容性物理NetworkCASCVKH3CvSwitch支持多种虚拟化平台系统KVM：主流开源虚拟化平台VMwareESXi：主流商业虚拟化平台（5.1\5.5\6.0企业增强版本）CASCVK：华三商业虚拟化平台XEN：开源虚拟化平台Hyper-V：微软商业虚拟化平台（规划中）vSwitch友商对比对比项我司S1020VVMwareCiscoOverlay模型主机、混合Overlay主机Overlay,不支持非虚拟化组网无混合Overlay,主推网络OverlayUnderlay网络控制支持不支持支持转发流表控制方式控制器统一下发控制器统一下发物理设备通过BGP/ISIS自学习实现流表的下发VXLAN支持支持非标准VXLAN，私有虚拟环境VMware、KVM、XEN、CVK，后续规划支持Hyper-vVMwareVMware、KVM、Hyper-v性能大包4V4可以达到10G限速；CPU占用率（4VM+OVS）35％；纯OVS的CPU占用率大概在百分之十几VXLAN转发数据暂无。但是CPU占用率很高：60%--80%没有思科性能数据H3C新网络产品家族——管理软件之Underlay\Overlay统一管理物理网络主机DB服务器1服务器DB服务器2VM1VM2vSwitch主机业务2：VxLan100vSwitch内置VTEPL2GW内置VTEPL3GW内置VTEP业务3：VxLan200vSwitch内置VTEPL2GW内置VTEPL3GW内置VTEPVM1VM2业务1：VxLan20vSwitch内置VTEPL3GW内置VTEPL2GW内置VTEPvSwitchiMCVXLANManager总流量最大平均速率最小平均速率平均速率183.509.053.165.94明细流量时间流量速率2014-07-158:0023.70MB3.162014-07-15

8:0137.13MB4.95......…………H3C网络产品自动化编排架构H3CVCFC服务链自动化配置APIsREST/XML3rd

管理系统REST/XMLREST/XMLH3CRAMOrchestrator服务健康资源池化权限管理编排模板服务部署/变更/销毁Netconf/SNMPOverlayVNFUnderlay超大型网络的管理方案：与OpenStack的对接OpenstackVCF控制器分布式集群NFVManagerNeutronFWaaSLBaaSVPNaaSL3NetworkL2NetworkH3C新网络架构完全兼容Openstack模型，实现对IT基础资源的统一调配和控制计算存储资源物理和虚拟网络资源计算存储控制系统HeatCeilometerDashboardNovaCinderH3C新网络产品家族——AppStore第三方的应用，可方便注册到H3CSDNAPPStore渠道价值：单个合作伙伴——面向更广阔的用户群体合作伙伴之间——具备网状的生态系统方案1方案N适合：具备APP开发能力的渠道SOGOU电科院石油大学拓扑ZTPServiceChain流量分析终端管理HAoverlay编排效率工具合作AppStore举例NTA流量分析APP通过NTA查看Underlay业务流量信息资源监视APP通过iMC平台实现对Underlay/Overlay物理/虚拟资源统一进行拓扑、配置备份、性能、告警等FCAPS管理ZTP零配置APP所有配置工作在后端操作，不需专业技术人员到现场；接入设备即坏即换，不需重新配置；适用于园区网及DC大纲H3C新网络产品概览H3C新网络应用场景H3C新网络最佳实践H3C新网络研发实力及发展方向H3C新网络的应用场景——VPCVCFController集群必选，VCFController实现对于VPC网络的总体控制，以及对VNF的生命周期管理

VXLAN

GW必选，VXLANGW包括vSwitch,S68,VSR等，实现虚拟机，服务器等各种终端接入到VXLAN网络中VXLANIPGW必选，VXLANIPGW包括S125-X,S98,VSR等，实现VXLAN网络和传统网络之间的互通云管理系统可选，负责计算，存储管理的云平台系统，目前主要包括Openstack，VmwareVcenter和H3CCSM虚拟化平台可选，vSwitch和VM运行的Hypervisor平台，目前主要包括CAS,Vmware，KVM和XENService安全设备可选，包括VSR,VFW,VLB和M9000，安全插卡等设备，实现东西向和南北向服务链服务节点的功能多场景支持同时支持单数据中心与多数据中心场景CoreCoreAggAggServerAccessAccesAccessHypervisorVMVMVMHypervisorVMVMVMFWFWVxLANFabricVXLANGWVXLANIPGWH3CVCFCPlatformVxLANVTEP、GW、VNF生命周期管理业务系统北向接口管理iMC云平台第三方云平台VCF控制器集群vswitchvswitchvFw/vLBvSwitchvFw/vLBvSwitchKVMvFw/vLBSR-IOVAdptvSwitchKVMvSwitchVSRvFW/vLBWANAccess消除网络限制大二层限制VLAN限制虚机任意迁移单中心迁移跨中心迁移IP地址灵活分配业务IP地址与物理网络解耦,业务变动，无需改动物理网络地址重用多租户业务、用户多租户多租户间安全隔离Overlay网络物理承载网络主机主机Overlay边缘设备NV边缘设备Overlay控制平面承载网络控制平面数据平面Payload封装H3CVPCOverlay的技术特点H3COverlay模型SDNControllerClusterSDNControllerClusterSDNControllerCluster网络Overlay：物理设备为Overlay设备服务器无需支持Overlay支持虚拟化服务器和物理服务器接入主机Overlay：虚拟设备为Overlay设备适用服务器全虚拟化的场景物理网络无需改动混合Overlay：物理设备和虚拟设备都可以作为Overlay设备，灵活组网可接入各种形态服务器可以充分发挥硬件网关的高性能和虚拟网关的业务灵活性ServervDeviceAgentVMVMServervDeviceAgentVMVMServervDeviceAgentVMVMServervDeviceAgentVMVMServervDeviceAgentVMVMNetworkOverlayHostOverlayHybridOverlayH3CVPC支持三种Overlay模型，用户可以根据需要选择合适的Overlay模型。H3CVPCVXLAN转发流程H3CVPC服务链整体示意图将各种软硬件的安全设备组合抽象成统一的服务链资源池，满足数据中心内各种安全业务的应用模型基于Overlay网络构建服务链，OverlayAccess负责业务节点的接入；ServicePool做为业务节点，负责服务业务的具体实现；OverlayGateway负责服务链到外网的终结功能由华三的VCF控制器集群和其上的服务链APP集中控制整个服务链的构建与部署VCFSDNControllerClusterOtherCloudSystemVMwarevCenterH3CCAS

VXLANNetworkLBIPSVPN

ServicePoolH3CvSwitchOpenvSwitchOverlayAccessPhysicalSwitchPhysicalSwitchVirtualDeviceOverlayGatewayIPSaaSFWaaSLBaaSVPNaaSvSwitchvRoutervNETServiceChainvNETServiceChainFWServiceChainAPPCloudSystemVCFCOpenNorthboundAPIVCFCOpenStackNeutronPlugin东西向服务链实现方案H3CvSwitch或者物理L2GW：基于租户识别虚机流量所属服务链，并将其通过VXLAN网络转发至租户正确的服务链上。只有流量匹配服务链特征才送到安全服务节点，未部署服务链的东西向流量由vSwitch做为分布式三层网关，直接做跨VXLAN三层转发NFV或者物理安全设备：服务节点安全服务功能，例如FW,LB或者NAT,可以提供透明或者网关两种服务模式多个服务节点可以统一做为一个资源池，实现安全业务的弹性扩展和负载分担基于租户提供独立的服务链功能，一个服务节点可以承担多个租户的安全业务APPWEBServiceNodesVMVMVMvSwitchLeafLeafVMVMVMvSwitchVCFControllerClusterLeafVMVMVMvSwitchLeafLeafVMVMVMvSwitchSpineSpineVXLANNetwork服务链业务资源池服务链东西流量普通东西流量租户1Network(VXLAN1),subnetvRouterNetwork(VXLAN2),subnetNetwork(VXLAN3),subnetVMVMVMFWvFWVMVMVM服务链东西流量普通东西流量FWLBNAT南北流量第一种首先送到租户的网关设备，然后再到Spine设备，然后经过出口安全设备转发到WAN；第二种是直接由Leaf到Spine转发NFV做为租户的网关设备，一侧网口位于VXLAN私网侧，一侧网口位于VXLAN公网侧，可提供FW、NAT、VPN等功能，内网流量做为NAT后再封装VLXAN隧道到发到Spine设备上S125-X或者S98做为IDC的Spine设备，承担VXLAN公网的网关功能M9000做为出口安全设备承担整个网络的南北向安全业务GatewayWEBVMVMVMvSwitchLeafLeafVMVMVMvSwitchSpineSpineVXLANNetworkWANM9000LeafNFV南北向流量VCFControllerCluster租户1Network(VXLAN1),subnetvRouterNetwork(VXLAN2),subnetNetwork(VXLAN3),subnetVMVMVMFWvFWvIPSvLBVMVMVM南北向流量南北向服务链实现方案FWNATVPN

VCFC多活数据中心网络模型VCFCExternalNetworkVMVMVMVMVMVMVMVMVMVMVMVMCoreCoreExternalNetworkCoreCoreVCFCVCFCVCFCVCFC集群Region1Region2VCFC备选LeaderVCFC普通控制器同一网关组LBLB大纲H3C新网络产品概览H3C新网络应用场景H3C新网络最佳实践H3C新网络研发实力及发展方向H3C新网络的最佳实践-江西移动SDNVPC试点H3CSDNVPC方案与中国移动SDNAPP对接江西移动知识管理等业务系统上线运行，是国内运营商第一个上线正式业务的SDNVPC试点VSR作为云平台的VPC网关将舟山政府下属一级办公部分资源应用上收至天翼云平台中进行统一管理本期实现了DHCP,DNS，ACL、NAT、VPN等网络功能VSR实现了和中国电信云管理平台“Cloudstack”的对接移动员工/远端接入私有云专有云厅局