局域網SDN技術硬核內幕 三 從物到人——SDN走進園區網絡
首先,讓我們小結一下數據中心SDN技術的來龍去脈和內涵外延:
爲了突破CPU主頻的物理上限對服務器計算能力演進的限制,在服務器中普遍採用了多核多CPU技術。虛擬化技術則是將多核多CPU能力發揮到極限的手段。
隨着虛擬化的大規模部署,出現了OpenStack爲代表的雲平臺,其Nova組件可以實現大批量虛擬機的自動分配和管理。OpenStack的Neutron組件則可以爲每個運行了大量虛擬機的租戶(VPC),提供一張虛擬化的網絡,對內實現虛擬機互聯互通,對外實現虛擬機業務的對外發布。
Neutron通過三大關鍵技術實現虛擬網絡:
NFV(Network Function Virtualization),通過OVS(虛擬交換機),iptables(虛擬防火牆),ha-proxy/nginx (虛擬LB)實現網絡中交換機、防火牆、LB的功能;
Overlay,通過VXLAN/NVGRE等二層隧道技術,讓二層子網穿越IP網絡互通;
EVPN,通過對MP-BGP的擴展實現讓各個虛擬交換機同步VM信息,避免網絡中廣播泛洪過多;
爲了提升網絡性能,網絡設備廠商通過對Neutron的ML2、Router、FWaaS、LBaaS等組件提供驅動插件,實現硬件交換機、防火牆、LB接管各虛擬化網元功能。實際上驅動插件後端向硬件設備下發配置,都是通過SDN控制器,使用Netconf協議實現的。
讓我們延伸一下思路,園區網絡中,和虛擬化同步出現的,是什麼技術?
對了,是無線網絡(WLAN),有時也叫做Wi-Fi。
數據中心的網絡模型是這樣的,大家已經很熟悉了:
而園區網的模型如下圖:
我們看到,無線網絡的出現,讓用戶擺脫了網線的束縛,使得無線辦公成爲了可能。隨之而來的需求,是用戶期望,無論漫遊到哪裏,所擁有的訪問權限和網絡資源使用量策略也隨之而移動,而不會因爲接入位置而改變。
一個例子是,筆者在研發部門工作期間,被緊急派去生產線出差解決產品故障,在生產線現場卻無法訪問研發服務器,只好通過其他方式獲取需要的資源。這是因爲,傳統網絡中,用戶獲取到的IP地址和接入位置是強相關的,如下圖所示:
我們看到的現象是,同一用戶在不同區域,獲取不同網段IP,導致訪問權限不一致。
那麼,問題的本質是什麼呢?
讓我們看一看:
在網絡中,訪問權限一般通過ACL實現,訪問權限 = IP網段;
但是,由於用戶接入的位置是有可能漫遊的,因此,IP網段 ≠ 用戶組;
結果就是,用戶組 ≠ 訪問權限,無法滿足同一用戶組權限一致的需求。
我們有兩種解決方案:
A:在交換機識別用戶組並賦予訪問權限;
B:設法讓IP網段 = 用戶組,網段跨越匯聚層網關。
明天開始,我們來看看怎麼樣實現這樣的解決方案。