SDN软件驱动网络可实现网络的软件定义和快速部署，基于H3C AD-DC 2.0(新华三应用驱动数据中心解决方案2.0版本，下文简称AD-DC2.0)解决方案的云网融合非常好的实践以业界通用的EVPN标准为基础，协助用户实现从Underlay到Overlay的全自动网络快速部署，让业务网络的部署管理更自动化、标准化、灵活。

　　当前云计算技术已经成为数据中心基本部署要求，针对云计算中对网络虚拟化的需求，业界厂家提出了各种解决思路，SDN网络技术得到了大力发展，具有资源虚拟化、自动化等特点。早期纯软件的SDN技术虽然可以随云而动实现业务网络自动部署，但在性能、功能、稳定性、可扩展性等方面存在较大的限制。AD-DC 2.0解决方案结合新一代EVPN技术和SDN控制模型，完成了数据中心的技术演进和实践，并为分布式数据中心建设提供了新的基础方案。AD-DC 2.0解决方案网络除了具有随云而动的特性，还具有可扩展、高可靠、大带宽等各项优点。

　　一、 基于AD-DC 2.0解决方案的云网融合基础架构

　　一个完整的云网融合方案，主要由三部分构成：云平台、VCF Fabric网络、运维平台(如图1所示)。

▲图1. 云网融合整体架构

　　1. 云平台

　　直接面向用户的业务平台，联合Fabric网络中的控制器，提供拖曳式构建业务网络、管理云主机的功能，简单易用，无需面对庞大设备群的复杂命令行配置，所见即所得;

　　2. VCF Fabric网络

　　由网络设备构成的交换网络，直接承担云主机之间、云主机与外部网络之间的报文交互。 网络设备上的业务网络构建可以通过SDN控制器来实现整网的业务网络部署，避免传统网络部署过程中登录各个设备通过命令行部署带来的复杂、易错、繁琐等问题。

　　SDN控制器可以直接为用户提供业务网络部署的图形化配置界面，也可以和云平台联动，接收云上网络部署的指令，转换为物理设备上的网络部署命令，实现云网联动业务网络自动快速部署。

　　基于MP-BGP的分布式Fabric网络，通过EVPN标准协议的报文交互可以实现VxLAN隧道的自动构建和主机路由的自动同步，实现快速的OverLay网络构建，很好地解决了传统层次化网络的资源浪费、部署慢等问题。

　　Spine加Leaf的两层分布式网络架构，让网络具有更好的可扩展性和可靠性：

　　l 通过Leaf和多个Spine之间的UnderLay等价链路实现对OverLay流量的负载分担和高可靠性，可以据需增加Spine进一步提高负载分担能力，增加Leaf之间OverLay网络的带宽;

　　l 可直接在各个分布式网关上进行三层转发，无需像集中式组网那样必须在网关上多做一次报文拆封装，降低了对集中式组网网关的性能要求。

　　l 分布式组网中，多个网关中的某个网关故障不影响其他网关的转发，避免了集中式组网单一网关的单点瓶颈，提高了可靠性。

　　l 分布式组网中，多个border出口可以支持对南北向流量的负载分担，某个border故障流量可以分担到其他border，避免了集中式组网单一网关同时作为border的单点瓶颈，提高了可靠性。

　　3. 运维管理平台Director

　　主要有两个功能：

　　l 物理网络的初始自动化部署，实现设备零配置接入，自动构建Underlay网络;

　　l 监管整网运行状态，提供告警管理、Underlay和Overlay拓扑展示、性能监控等相关运维功能。

　　通过云平台 、VCF Fabric网络、运维平台三部分的相互配合，可以实现一个云网络从无到有的自动化快速搭建，涵盖Underlay网络的快速构建和Overlay网络的按需下发和自动构建，无需人工干涉减少人为失误，快捷且高效。

　　下面介绍云网融合非常好的实践中用到的几个关键技术。

　　二、 云网融合非常好的实践关键技术介绍

　　要实现一个云网络从无到有的快速搭建，主要的关键技术含如下几个方面：

　　1. Underlay自动化及地址借用

　　在部署Overlay业务网络之前，必须构建承载Overlay网络的Underlay网络。

　　通过Director运维平台，可以依据Step-By-Step部署过程实现Underlay自动化基础环境搭建，协助设备完成零配置接入，自动构建Underlay网络。

　　在这个Fabric网络里，设备可以分为两个类：Spine和Leaf，所以，整个Underlay网络的设备零配置接入只需要设计两个模板文件即可。设备接入网络后，自动根据自己的角色去获取对应的模板文件，实现Underlay网络的自动构建。

　　一个完整的设备零配置自动接入构建Underlay网络的过程如下：

　　l Director构建Underlay自动化环境的部署;

　　l 设备零配置上电接入，获取管理地址、loopback口地址等设置;

　　l 所有的网络设备互相识别，将互联口配置为借用loopback口的地址，并依据指定的Underlay路由协议建立Underlay网络连接;

　　l 各设备建立和控制器的连接，并将连接服务器的接口上报控制器，准备接收Overlay业务网络的配置部署;

　　在这里，使用了地址借用这个特性。所谓地址借用，就是该接口不配置地址，而是借用其他接口的地址。所以，可以让整个设备除了管理地址之外，只配置一个loopback口的地址。所有的Underlay互联接口以及Overlay业务的VxLAN隧道建立都可以使用这个地址。这样，可以减少对Underlay互联网段的占用，降低网络规划设计的复杂度。

　　在上面的自动化过程中，Director作为运维平台，可以监控各个设备的自动化过程是否成功，并自动纳管设备，为后期监控设备状态、提供Underlay和Overlay网络拓扑等运维工作做好基础部署。

　　2. Overlay网络的云网联动自动部署

　　当前云平台的Openstack架构的网络业务模型发展还不完善，如果直接通过各厂家的neutron插件控制网络设备实现业务网络，不够灵活。所以，一般云平台并不直接和设备关联，而是通过中间的SDN控制器实现云网联动部署。

　　常规的云网联动流程如下：

　　l 云平台将需要创建的网络信息通过标准Restful接口通知控制器

　　l 控制器的业务网络部署支持预部署和按需部署两种模式

　　预部署：控制器将收到的网络部署请求直接通过Netconf接口下发给各个设备，让设备自动构建Overlay网络。

　　按需下发模式：当设备上有主机上线时，通知控制器，根据前面规划的或从云得到的网络信息，给设备下发对应的网络部署。

　　3. EVPN标准实现Overlay网络的自动构建

　　当前Overlay网络主要由Vxlan隧道实现，而EVPN是实现Vxlan网络的控制层面的标准协议。

　　EVPN基于MP-BGP标准，如果各厂家都按标准实现，可以实现各厂家设备的对接。

　　EVPN的基本功能：

　　l 自动隧道建立：自动在部署有相同VXLAN网络的VTEP间创建VXLAN隧道。实现隧道按需建立，无需人工维护，也不占用多余的隧道资源。

　　l 自动地址同步：自动完成Overlay网络层面业务主机的MAC地址、主机路由、网段路由的同步，可以减少二层未知单播、ARP请求等广播报文在全网的泛洪。

　　4. ARP代答

　　EVPN网络支持ARP代答功能。由于EVPN具有主机路由自动同步机制，主机上线时，每个网关都可以通过路由同步自动学习到远端各个主机的IP和mac信息，各个网关可以使用此信息在本地建立ARP代答表，如果本地有主机需要访问远端，当网关收到ARP请求时，可以代替远端Leaf上的主机做ARP应答。

　　启用ARP代答后，对远端主机的ARP请求无需通过隧道广播到所有的Leaf，可以减少广播报文在全网的泛洪。

　　对于ARP Missing也即某主机没有主动发送过ARP或因某种原因ARP丢失或老化的情况，Leaf本地没有ARP代答表项，会泛洪此ARP请求到同一个VXLAN网络中的所有Leaf，再由各个Leaf走本地的ARP广播给下挂的主机，实现一个完整的ARP请求过程。

　　5. 对第三方防火墙的支持

　　每一个数据中心网络都会考虑安全的需求，都会部署防火墙，且有可能网络设备控制器和安全设备不是同一个厂家的设备。但是当前Openstack架构还在不断的发展中，对防火墙的支持还没有成熟、灵活、适应各厂家设备的接口，故防火墙如果和控制器不是同一厂家的，则很难对该FW做云网联动的全面控制。

　　云网联动的安全控制，包括两个方面的内容：一个是分布式SDN网络中各网关设备上对流量到FW的自动化引流控制;一个是FW上对流量的安全策略和路由的下发。

　　对于防火墙和控制器不是同一厂家的情况，可以实现第一部分的自动化功能，也即：通过云网联动按需实现对网络中流量到FW的自动化引流。

　　具体的设计和实现过程可以如下：

　　l 通过控制器预部署FW：为FW连接对应的service Leaf创建对应的网络;

　　l 控制器和云联动让云平台获知该FW的存在;

　　l 云平台将该FW绑定到需要保护的业务VRouterB;

　　l 云平台建立需要访问VRouterB的VRouterA和VRouterB之间的联系。

　　上述过程完成后，各个Leaf的VRouterB和VRouterA就可以有路由指向FW，此时，只要再登录FW设置对应的路由和策略，就可以实现通过此第三方FW的安全控制策略对VRouterB和VrouterA之间的流量的访问控制。

　　三、 运维管理平台的功能介绍

　　作为一个运维管理平台，Director除了可以支持设备零配置接入、自动纳管、实现整网Underlay网络的自动建立之外，还可以实现对整网运行状态的监控，提供告警管理、Underlay和Overlay拓扑展示、性能监控、雷达探测……等相关运维功能。

　　如图2所示，对链路上的流量转发速率或丢包率等监控项设置阈值，超过阈值的则改变该路径的颜色，为用户提供更清晰的流量路径监控信息。

　　▲图2. 运维平台对设备间流量的监控

　　如图3所示，在Underlay网络拓扑的基础上叠加Overlay网络的拓扑展示，通过高亮展示某租户的某个VxLAN网络的逻辑连接关系。对于Leaf比较多的情况下，可以清晰地了解到有哪些Leaf是部署有该VxLAN网络的。

　▲图3. 运维平台对Overlay拓扑的展示

　　四、 结束语

　　当前，支撑上层云平台的SDN网络实现方式有很多种，但AD-DC 2.0解决方案的分布式网络是最具有可扩展性、更灵活的、更可靠的。

　　通过云平台、VCF Fabric网络、运维管理平台这三者的紧密配合，可以真正实现从无到有的快速Underlay到Overlay的全自动化按需部署，实现对云业务的快速支持。为用户提供更加高效、完整的云网融合解决方案。