局域网SDN技术硬核内幕 - 14 三 从物到人——SDN走进园区网络
局域网SDN技术硬核内幕 - 14 三 从物到人——SDN走进园区网络
首先,让我们小结一下数据中心SDN技术的来龙去脉和内涵外延:
为了突破CPU主频的物理上限对服务器计算能力演进的限制,在服务器中普遍采用了多核多CPU技术。虚拟化技术则是将多核多CPU能力发挥到极限的手段。
随着虚拟化的大规模部署,出现了OpenStack为代表的云平台,其Nova组件可以实现大批量虚拟机的自动分配和管理。OpenStack的Neutron组件则可以为每个运行了大量虚拟机的租户(VPC),提供一张虚拟化的网络,对内实现虚拟机互联互通,对外实现虚拟机业务的对外发布。
Neutron通过三大关键技术实现虚拟网络:
- NFV(Network Function Virtualization),通过OVS(虚拟交换机),iptables(虚拟防火墙),ha-proxy/nginx (虚拟LB)实现网络中交换机、防火墙、LB的功能;
- Overlay,通过VXLAN/NVGRE等二层隧道技术,让二层子网穿越IP网络互通;
- EVPN,通过对MP-BGP的扩展实现让各个虚拟交换机同步VM信息,避免网络中广播泛洪过多;
为了提升网络性能,网络设备厂商通过对Neutron的ML2、Router、FWaaS、LBaaS等组件提供驱动插件,实现硬件交换机、防火墙、LB接管各虚拟化网元功能。实际上驱动插件后端向硬件设备下发配置,都是通过SDN控制器,使用Netconf协议实现的。
让我们延伸一下思路,园区网络中,和虚拟化同步出现的,是什么技术?
对了,是无线网络(WLAN),有时也叫做Wi-Fi。
数据中心的网络模型是这样的,大家已经很熟悉了:
园区网络引入无线网络后,模型是这样的:
我们看到,无线网络的出现,让用户摆脱了网线的束缚,使得无线办公成为了可能。随之而来的需求,是用户期望,无论漫游到哪里,所拥有的访问权限和网络资源使用量策略也随之而移动,而不会因为接入位置而改变。
一个例子是,笔者在研发部门工作期间,被紧急派去生产线出差解决产品故障,在生产线现场却无法访问研发服务器,只好通过其他方式获取需要的资源。这是因为,传统网络中,用户获取到的IP地址和接入位置是强相关的,如下图所示:
我们看到的现象是,同一用户在不同区域,获取不同网段IP,导致访问权限不一致。
那么,问题的本质是什么呢?
让我们看一看:
在网络中,访问权限一般通过ACL实现,访问权限 = IP网段;
但是,由于用户接入的位置是有可能漫游的,因此,IP网段 ≠ 用户组;
结果就是,用户组 ≠ 访问权限,无法满足同一用户组权限一致的需求。
我们有两种解决方案:
A:在交换机识别用户组并赋予访问权限;
B:设法让IP网段 = 用户组,网段跨越汇聚层网关。
明天开始,我们来看看怎么样实现这样的解决方案。