文章介绍了基于开放网络架构的云化园区网络设计,主张极简原则,包括抛弃二层网络以消除广播风暴,采用L3IPFabric和统一的BGP路由简化网络复杂性,支持分布式网关实现无缝漫游,以及构建天然无环路的网络结构。此外,通过DHCP自学习和手工配置实现内生安全,提升网络安全性。文章最后提及设备的自动化部署和开放接口,以适应云原生环境。
从旧时代一路走来的传统园区网络架构背负了过多的历史包袱,这些包袱在当时的技术发展背景、网络客观状况以及工程师对网络的理解的环境中,都是不得不支付的代价。今天,随着开放网络架构在云网络中的概念验证、规模部署和蓬勃发展,支撑技术与产品已经完全具备了帮助园区网络甩掉这些历史包袱的条件。因此,基于开放网络架构建设云化园区网络时所坚持的唯一原则就是:极简。接下来,我们从若干个方面看看这些极简的建设思路,以及给园区网络带来的好处。
抛弃二层网络,消除园区广播风暴
以太网工作在网络参考模型的二层(Layer 2,简写为L2),其大部分交互逻辑建立在广播这种机制之上,因此是一种高效的通信协议。为这种高效所支付的代价是,当在一定范围内(例如,跨越两台以上的交换机)部署以太网时,需要将广播报文在不同的交换机之间传播,由此则带来了潜在的广播风暴风险;为了规避这种风险,又出现了类似于STP(Spanning Tree Protocol,生成树协议)及其各种相关的协议和保护机制。由此,大规模部署的二层以太网结构变得越来越复杂、健壮性变得越来越差,建设和维护成本都高居不下。究其根本原因,基本可以认为是(大范围的二层)广播导致了这一切的发生。更为严峻的是,很多网络安全漏洞,都是利用以太网的广播机制工作的。那么,在不破坏以太网基础工作原理的基础之上,如何解决这个问题?
云化园区网络架构解决这个问题的方法非常简单,也非常优雅:将L2的工作范围限制在接入终端和其所连接接入Leaf的端口之间,在确保以太网能正常工作的前提下,最大限度地压缩L2区域,彻底消除以太网广播在网络中的传播,从而将广播带来的各种复杂度、脆弱性和安全风险从根源上消除掉。
抛弃L2的L3 IP Fabric
如上图所示,一旦以太网报文进入到接入Leaf的物理端口,L2就会被彻底终结,取而代之的是一个基于IP的网络。IP工作在网络参考模型的三层(Layer 3,简写为L3),这个协议在设计之初就充分地考虑了环路规避、多路径转发、高可靠、故障自愈等因素,因此在L2广播中面临的各种挑战,在L3的世界里天然不存在。而且,L2转L3的处理只发生网络侧,对于每一个接入终端来说是完全透明的,接入终端无需为此做出任何调整。借用云网络中的概念,我们也可以用IP Fabric来指代这样的园区网络的主体。
可以看到,在云化园区网络中,管理员只需要根据不同的业务需求设置不同的L3子网以隔离不同的业务,而无需配置和维护复杂的各种STP、全局VLAN、广播抑制等L2功能。尤为重要的是,经过如此的简化,网络的可靠性和健壮性是不降反升的。
统一极简的BGP园区路由
IP协议在诞生的初期,互联网的各个部分非常复杂,各种规模、各种结构、各种速率、各种网络协议、各种运营主体不一而足。因此,早期的网络工程师不得不开发了各种路由协议来应对如上的局面。这些路由协议包括RIP、OSPF、IS-IS等IGP(Internal Gateway Protocol,内部网关协议)和BGP这种EGP(External Gateway Protocol,外部网关协议),不同的网络内部运行着不同的IGP,不同的网络之间需要互联时则采用EGP(即BGP)。长期以来,复杂的路由结构一直是令网络建设者和管理员战战兢兢的雷区,稍有不慎就会因路由的错误配置导致网络的路由震荡、路由丢失甚至整网瘫痪;而这样的路由结构也一直沿袭到传统的园区网络架构内部。
最低0.47元/天 解锁文章
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
