局域网SDN硬核技术内幕 21 亢龙有悔——规格与限制(中)
局域网SDN硬核技术内幕 21 亢龙有悔——规格与限制(中)
昨天我们介绍了SDN技术在数据中心场景的规格限制。
那么,在园区场景中,是否也有类似的限制呢?
答案是肯定的。
园区场景与数据中心场景的区别是,园区场景不会有大规模的虚拟化,而会有大规模的用户漫游。由于园区网绝大多数用户为人员,1万人的园区终端数一般在1.5万到3万之间,因此,园区网络接入的终端数,和前文中提到的10万以上的虚拟机相比,对网络MAC和FIB表项的压力会小得多。
但是,由于园区网络SDN的实现机制,在无线漫游用户较多的情况下,会有一些特定的限制。
我们先复习一个VXLAN中的基本概念:Tunnel口和AC口。
如图所示,VXLAN本质上是让二层以太网穿越IP网络的隧道。一条VXLAN隧道可以为多个二层以太网实例提供承载服务。在隧道侧的接口,叫做VXLAN Tunnel,而接入隧道的以太网接口叫做VXLAN AC(Attached Circult)。
对于有线接入的情况,只需要为每个有线用户分配一个VXLAN AC即可,在认证时动态下发VLAN,也就是将其加入对应的安全组/子网。这样,VXLAN AC口的数量不会超过交换机下所有物理接口的数量。由于有线用户的VXLAN AC是在认证时动态下发的,因此,我们管这种VXLAN AC口叫动态VXLAN AC。
而对于无线接入,情况则比较复杂。
由于无线用户需要实时漫游,可以从交换机的A物理口漫游到B物理口,如下图所示:
前面提到在园区网络中,类似数据中心的子网那样,需要将属于不同安全组的用户分配到不同的子网。我们类比数据中心中,每个VTEP需要处理若干子网一样,在园区中,每个VTEP在最坏情况下,也可能需要接入所有子网的终端。由于无线用户漫游并不会重新认证,因此,我们需要在VTEP的所有物理口上,为所有安全组预先配置VXLAN AC。也就是说,无线场景下,VTEP的VXLAN AC数量为安全组数量 * 物理口数量。由于这种VXLAN AC配置是静态配置的,我们管它叫静态AC。
好的,再让我们重复一遍:有线用户使用动态VXLAN AC,在认证时下发,而无线用户使用静态VXLAN AC,在SDN初始化时预先配置。
那么,让我们看看,如果一个园区有80个安全组,使用2台堆叠,每台48下行口的以太网交换机作为VTEP,所有用户均为无线用户的时候,需要多少VXLAN AC资源呢?
总以太网接口数 = 2 * 48 = 96;
总VXLAN AC资源消耗量 = 96 * 80 = 7680。
在交换机的芯片中,VXLAN AC表项往往与VXLAN隧道共用资源。幸好,每个VTEP上,VXLAN隧道数量并不多,实际上一般为VTEP节点数量-1,一般不会超过100。主要矛盾还是在VXLAN AC资源的消耗上。
还有一个重要的资源限制就是ACL。
交换机的ACL是用来做访问控制的。如果采用ACL实现安全组间访问控制,那么,如果有n个安全组,需要n(n-1)条ACL。
在有80个安全组的场景下,需要6.4K ACL。
因此,对于安全组多的情况下,我们建议:
- 尽量不要通过交换机ACL实现访问控制;
- 尽量不要使用多台盒式堆叠,而采用框式交换机;
大家想一想,为什么?