媒介

前篇《从实战浅析运营商云资源池网络—技术的抉择》浅析了“某运营商IT云资源池网络”的技术选用和原因，本篇将进一步论述业务场景的关键流量模型，例如：域内和域间的同租户二三层互访、异租户三层互访、安全防护、南北向流量等；从而援手各人相识数据中心的”血液”是若何在网络Overlay中流动的，进一步熟悉云推算数据中心的底层网络架构和逻辑。

01 整体拓扑介绍

图1.1.▲整体拓扑图示

该案例网络重要结构示意如上图，其中一些无关的细节做了精简和裁切。该网络中有多个POD，每个POD均有自己独立的出口。POD内部的网络设备使用EVPN VXLAN方式实现Overlay。

POD之间选取DCI互联层进行衔接，DCI 接入互换机之间通过EVPN VXLAN实现L2/L3 VPN。

02 POD内流量模型介绍

 
同租户L2流量

租户的Host通常都有规划在一个Bridge中的需要。同互换机下的L2互通由本地服务器中vSwitch进行互通或互换机本地L2转发即可，但POD内的一个租户的Host因资源分配的原因时时分配在分歧的Leaf互换机下，因而必要实现跨Leaf的L2流量互通。

图2.1.▲同租户L2流量模型图示

同租户L2流量模型注明如下：

统一租户网络内主机之间的L2通讯，分歧VTEP之间的转发，由Leaf进行VXLAN封装后，发送到VXLAN隧路的对端VTEP，而后进行VXLAN解封装，主题互换机（Spine）仅实现表层报文的三层路由,流量不经过Border（出口天堑互换机）。

 
同租户L3流量

对于一个租户的分歧的Network，可能会有通过”vRouter”进行L3互通的需要。因而必要通过互换机给租户提供”vRouter”的职能个性。

图2.2.▲同租户L3流量模型图示

流量模型注明如下：

统一租户网络内业务之间的三层通讯，分歧VTEP之间的转发，由Leaf进行VXLAN封装后，凭据报文主张ip，查找路由表，发送到VXLAN隧路的对端VTEP，而后进行VXLAN解封装,剥离VxLAN报文，还原出原始的数据帧,凭据主张ip找到出端口,发送给接管主机.域内同租户跨L3通讯，涉及分歧VTEP之间的L3路由；选取散布对称式进行部署设计, Spine仅实现表层报文的三层路由,转发不经Border和防火墙，仅在Leaf实现。
 
 异租户L3流量

图2.3.▲异租户L3流量模型图示

在分歧的VPC之间，可能会有一些业务系统有互通的需要，网络设备Overlay的VRF之间互通能够选取表部路由器、BGP VPN间路由泄露的方式来实现VPC间的路由互通，思考到通常来说VPC间的业务互统统常是有限的，好比存在分歧的安全域级别、仅允许部门IP或端口互通。因而，本案例中的这部门流量选取表部防火墙来进行互通，同时实现安全战术节造。

流量模型注明如下：

VPC之间的通讯流量必要经过Border，且必要经过内部防火墙进行流量过滤洗濯。先在Leaf上实现VXLAN封装，同时在Border上解封装后发送给防火墙(引入防火墙，在防火墙内部串接实现VRF过渡)；防火墙回送Border的流量再经过Border进行VXLAN封装后发送给主张Leaf。

1. 租户A流量传递到地点的Leaf设备，Leaf设备掌管VXLAN的封装后将报文传递给Border，Border通过静态或动态路由和谈将报文引流至内层防火墙进行过滤洗濯，同时进行VXLAN的解封装。
2. 内层防火墙收到引流报文后，将VRF-A和VRF-B进行路由互导，并将报文通过防火墙路由回注至Border对应的VRF-B的接口。
3. Border沉新封装Vxlan Tunnel至租户B地点Leaf，解封装后达到指标主机。

03 POD间流量模型介绍

对于同租户内必要实现L2/L3互通的业务中，其中一些例如容灾的、散布式部署的服务必要实现异地的部署，这类业务对网络提出了跨POD进行L2和L3互通的需要，这里思考到链路成本等问题通；嵊玫絃2/L3 VPN的方式，上一篇文章有介绍几种通过VXLAN实现L2VPN的方式（VXLAN的个性同时也能够实现L3 VPN），本例选取Vlan Hand-Off方式实现。

 
同租户L2流量

图3.1.▲跨POD同租户L2流量模型图示

跨POD同租户L2流量模型注明如下：

数据中心内选取散布式VxLAN网关，Server到Border实现L2/L3 VXLAN互换;跨POD的L2流量无需经过防火墙过滤，在POD1的Leaf封装VXLAN、Border解封装VXLAN后，以Vlan方式上送DCI互换机封装为vxlan后送到对端DCI互换机，还原vlan报文发送给POD2的Border，再次封装VXLAN发送给Leaf进行解封装，达到最终主机。
 
同租户L3流量

图3.2.▲跨POD同租户L3流量模型图示

跨POD同租户L3流量模型注明如下：

POD间同租户三层互访与二层互访蹊径略有类似，Border到DCI Leaf通过子接口进行dot1q封装实现互联，成立静态或者动态路由, 实现报文转发，屏蔽各厂商bgp evpn节造和谈的异构性；跨域L3在POD-1的Leaf封装VXLAN、Border解封装VXLAN后，通过Vlan封装发送给DCI互联层, 在DCI互联层进行封装解封装VXLAN，再通过Vlan封装发送给POD-2的Border处置，POD-2的Border再封装VXLAN给Leaf进行解封装，发送给最终的主机。
 
 异租户L3流量

除同租户表的POD间通讯之表，分歧租户之间也同样可能必要跨POD进行相互通讯，同时也必要防火墙来提供丰硕的节造战术。由于涉及到整个DCI层以及存在多组防火墙，整体逻辑会比在同POD内进行异租户间互通要稍复杂些。

图3.3.▲跨POD异租户L3流量模型图示

跨POD异租户L3流量模型注明如下：

跨POD的分歧租户L3互访必要借助防火墙在两个VRF间进行路由泄露和流量过滤洗濯，数据中心内选取散布式VxLAN网关，server到border实现L2/L3 VXLAN互换，Border到DCI互联层通过Vlan封装实现互联，成立静态或者动态路由, 实现报文转发，屏蔽各厂商bgp evpn节造和谈的异构性。域间分歧租户间的业务流量需经过防火墙，选择哪边的防火墙凭据每个业务情况进行选择。报文封装逻辑流程与前篇Vlan Hand-Off的介绍根基一致，其中不一样的处所为在必要进入防火墙一侧的DCI出口，Border到防火墙再到DCI互换机时在防火墙上有一个三层转发的过程；

1. 租户A流量传递到POD1的Leaf设备， Leaf设备掌管VXLAN的封装后将报文传递给Border设备，网关设备VXLAN解封装，通过静态或动态路由将报文牵引至防火墙实现VRF间互通和安全战术。
2. 防火墙收到报文后，将VRF-A和VRF-C之间的路由进行相互泄露，且将报文发送给Border对应的VRF-C的接口。
3. Border收到防火墙的报文后，流量通过VLAN封装发送给DCI Leaf-1。DCI Leaf-1收到报文后，进行VXLAN封装后将报文发给DCI Leaf-2。
4. DCI Leaf-2进行VXLAN的解封装后,流量通过VLAN封装传输给POD2 Borde Leaf对应的VRF-B接口。
5. POD2的Border收到报文后，沉新进行VXLAN的封装，通过VRF-B的路由表，将报文发送给主张Leaf的VTEP网关设备。
6. 主张Leaf收到报文后，进行VXLAN解封装后发送给主张租户B。

04 其它流量模型介绍

 
安全防护引流流量

对于云资源池内部门业务的防护仅通过传统防火墙的规定是远不够的，各类对表服务的利用的缝隙和配置不规范均可能成为能够穿透防火墙机造的安全风险。因而通常必要利用层的防护和检测伎俩来为内部业务提供进一步的；，例如IPS、WAF、数据库审计等。

思考到传统的串糖葫芦式的安全设备部署方式已无法满足云数据中心级此外机能、靠得住性及多租户需要个性，本案例中通过旁路部署IPS、WAF等安全设备，通过SDN节造器实现Service Chain按需引流。

图4.1.▲安全防护引流流量模型图示

安全防护引流流量模型注明如下：

主机南北流量从接入Leaf进入到Overlay网络，通过ECMP等价负载达到Border并按需执行引流战术，将必要进行防护的业务流量引入WAF或IPS实现流量过滤；
另表Border将镜像业务高低行接口作为源端口，复造一份到观察端口，利用流量探针设备分析报文，可进行威胁检测和利用机能监测。

 
服务器与表部网络的南北向流量

图4.2.▲服务器与表部网络的南北向流量模型图示

服务器对表业务颁布或接见表部网络必要通过网络天堑的表层防火墙进行路由及战术节造，对于业务服务器使用私网地址的，还必要表层防火墙提供NAT能力。

流量模型如下：

主机同表网之间的通讯流量必要经过Border，无需经过内层防火墙过滤和洗濯,但必要经过表层防火墙进行流量处置， Leaf上实现VXLAN封装，同时在Border上解封装后发送给表层防火墙；表层防火墙再发送给表部网络。

重要有如下三种业务场景:

1. 主机配置公网IP,通过实现与表网互通；
2. 主机配置内网IP,通过SNAT实现 向表网进行通讯；
3. 主机配置内网IP,通过DNAT实现 表网向其进行通讯。

总结

本文通过一个案例解析其具体的流量模型，但愿能给各人带来一些援手和启发，其中所用技术伎俩、实现步骤及流量模型可能会有一些特定的布景或原因，在其它场景或情况下可能不是优化的步骤，对于一些技术如为何选取互换机实现Overlay、为何选取Vlan Hand-Off步骤实现L2/L3的DCI，在前篇《从实战浅析运营商云资源池网络—技术的抉择》能够找到答案。

有关推荐：

• 大型数据中心网络路由和谈选择
• 大型数据中心BGP路由和谈规划
• 从实战浅析运营商云资源池网络—技术的抉择