烟云的计算

目录文章目录目录OvSDPDKVPPNeutronOvS《OpenFlow Switch 1.3 规范》《OpenvSwitch 架构解析与功能实践》《基于 Open vSwitch 的 OpenFlow 实践》DPDK《用户态网络协议栈还是内核协议栈？》《DPDK — 数据平面开发技术》《DPDK — 数据平台优化技术》《DPDK — 架构解析》《DPDK — 安装部署》《DPDK — PMD，DPDK 的核心优化》《DPDK — IGB_UIO，与 UIO Framework

每个 IGP Prefix/Node Segment（前缀段 / 节点段）所对应的 Prefix/Node SID 都是手工配置的，用于标识 IGP 网络中的某个目的地址前缀 / 某个特定的节点。相比于传统的、逐跳转发的方式，RSVP-TE 最大的优势在于收集了整网的拓扑和链路状态信息，可以根据业务的需要灵活地选择流量的转发路径。SR-TE 是使用 SR-MPLS 作为控制协议的一种新型的 TE 隧道技术，称为 SR-TE 隧道，支持 MPLS TE 隧道的相关属性，支持使用 BFD 检测故障。

对于这种组网，如果某个 VPN 需要访问共享站点，则该 VPN 的 Export Target 必须包含在共享站点的 VPN Instance 的 Import Target 中，而其 Import Target 必须包含在共享站点 VPN Instance 的 Export Target 中。与传统 IP 路由方式相比，MPLS 在数据转发时，只需要在 Network Edge Gateway 分析 IP Header，而不用在每一跳的 L3 Router 上都分析，因此节约了大量的计算时间。

可见，这样的 WAN 并不聪明。TE 服务器跟 SDN GW 网关来通讯，指导 B4 采用 Hybrid SDN 模式，拓扑发现采用 IGP，对于 Tunnel 和 Flow 的管理采用 OpenFlow，最早采用 ACL 来映射相应 prefix 到不 同的 tunnel，后来改为 VFP/LPM 表。部署了 SDN Gateway 和 TE Server 用于完成全局的流量调度（TE），从各个 DC Site Controller 收集链路信息，从而掌握路径状况，并计算路径信息（Pathing）。

Chassis 用于表示 Physical Network 中的 Hypervisor 或 Gateway（TOR or SW Switch），每个 Chassis 都必须配置一对 OvS br-integrated （集成网桥）和 br-provider（运营商网桥）。这些功能在 OvS 数据转发层面都是通过 OpenFlow Flow Table 来实现的，例如：L3 Routing Table 和 DHCP Options Table。

完成控制面的配置后，当 VxLAN L2 Gateway（e.g. Leaf1）再收到从 Host1 向 Host2 发出的 ARP Request 时，就会先查看自己的 ARP 广播抑制表，发现有 Host2 的 MAC-IP 记录，则直接将 ARP Request 报文中的广播 MAC 地址替换为目的单播 MAC 地址（广播变单播），然后原路 Reply，从而达到 ARP 广播抑制的目的。手动配置的方式虽然简单，但网络中会存在大量的 BUM 洪泛流量，网络扩展性也受到了限制，并不适用于大规模组网场景。

这里以较为简单的 “集中式 VxLAN L3 Gateway 组网方案“ 来进行介绍：Spine 提供 L3 Forwarding 功能，VM1 和 VM4 处于不同的 VxLAN 子网，VM1 的网关是 VSI-Interface10，VM4 的网关是 VSI-Interface20，并分别接入到不同的 VSI（Virtual Switching Instance，虚拟交换实例）中，VSI 具有传统以太网交换机的所有功能。如果是硬件 NVE，如交换机，VID-VNID 映射表会在 BD 中维护。

ovs-vswitchd 是一个运行在 User space 中的 Daemon（守护进程），是 vSwitch 的具体实现，作为 User Datapath，与 Kernel Datapath 共同完成 Flow-based Switching（基于流表）的数据转发。SDN Controller 可以通过 OpenFlow 协议对 OvS 进行管理，实际上是对 OvS 的 Bridge 和 Flow Table 进行管理，通过 Flow Rules 的控制策略的下发，来决策数据的流向。

从 OpenFlow v1.1 开始，每一台 OpenFlow Switch 能够拥有 Multi-level Flow Tables（多级流表），最多 256 级，从 0 依次编号排列。Multi-level Flow Tables 可以将 Flow Table Matching（流表匹配过程）分解成多个 Steps（步骤），形成 Multi Table Pipeline（多表流水线）处理方式。以此更好地应用了交换机 ASIC 转发芯片的多表特性，同时也避免了 Single Table 过度膨胀的问题。

并且，当 Linux 设定的虚拟页大小越小时，单个进程中的页表项和虚拟页也就越多，页表的层级也可能越多，查询性能就越低。内核页表的本质是 Linux Kernel 实现的一种数据结构，包括：页表、页表项、页表目录等，其中还可以对页表项标记为只读、只执行或可写等，以控制访问权限和缓存行为。TLB（Translation Look-aside Buffer，翻译旁路缓冲器）的本质是一个由 CPU 提供的硬件缓存，缓存了最近访问过的虚拟地址与物理地址之间的映射关系，以便在下次访问时快速地进行翻译。

同时，VTEP_2 和 VTEP_3 学习 VM_A 的 MAC 地址、VNI 和远端 VTEP 的 IP 地址（IP_1）的对应关系，并记录在本地 MAC table 中。整个过程中，VTEP-1 和 VTEP-2 都学习到了一条记录，即：Host-A 的 MAC 归 VTEP-1 管，Host-B 的 MAC 归 VTEP-2 管，以后两个 Host 通信的时候，不需要再通过 Flood and Learn（洪泛和自适应）来询问某个 Host 归谁管了，直接发送即可。另外，为了让网络更加智能。

在不同子网互通（集中式网关）中，同一 Leaf（Leaf1）下挂的不同网段 VM（VM1 和 VM2）之间的通信，都需要在 Spine 上进行 L3 绕行，这样就导致 Leaf 与 Spine 之间的链路上，存在冗余的报文，额外占用了大量的带宽。如图所示，Leaf1、Leaf2 作为 VxLAN 网络的 VTEP，两个 Leaf 之间搭建 VxLAN 隧道，并在每个 Leaf 上部署 VxLAN 二层网关，即可实现同一部门 VM 之间的相互通信。不同子网互通（分布式网关）方案，可以很好的解决了这两个问题。

在 2021 年中国移动发布的《算力网络白皮书》中，对算力网络的定义为：“算力网络是以算为中心、网为根基，网、云、数、智、安、边、端、链（ABCD- NETS）等深度融合、提供一体化服务的新型信息基础设施。另外，中国联通对算力网络的书面定义为：“算力网络，是指在计算能力不断泛在化发展的基础上，通过网络手段将计算、存储等基础资源在 ‘云-边-端’ 之间进行有效调配的方式，以此提升业务服务质量和用户的服务体验。通过算力网络的传送，算力成为了一种具体的、基础的、唾手可得的生产及生活物料。

‍‍Gartner 数据显示，2025 年‍‍，企业 Workload‍‍s（工作负载）的 30% 将发生在边缘，‍‍40% 在公有云，剩余 30% 在‍‍私有部署。同时，未来‍‍边缘与‍‍公有云中心云之间，‍‍云与云之间的连接‍‍以及最后一公里的优化，‍‍‍‍完全影响着‍‍用户的体验。算力作为数字世界的基石，算力中心就是释放算力价值的现实体现，本质是一个集约了各类算力的数据中心，承载着算力、算法、数据这 3 大智能要素。计算量大，一个任务，要调用多台计算资源组成的计算阵列。

算力， 即：计算能力（Computing Power），是一种智能的指标。人类的算力引擎是大脑，而数字世界的算力引擎就是各种芯片（e.g. CPU、GPU、FPGA、ASIC）。从 ENIAC 诞生起，数字算力（下简称 “算力”）的发展经过了漫长的时间，从最初的大型机 => 小型机 => 微机 => 智能终端 => 单体计算 => 云计算 => 泛在计算。算力始终在飞速地发展着。根据 GIV 的数据统计，到 2030 年，通用计算算力（FP32）将增长 10 倍，达到 3.3ZFLOPS。

Use Case : Tunnelling SR Across a Non-SR CoreUse Case : SR in a Mixed Mode IP Network

在 Cores 进行轮询操作之前，pNIC 首先接收到数据包，然后将该数据包 “发送” 到一个 Queue 中，此时，pNIC 可以对 UDP 数据包的 srcPort 执行哈希操作。MPLSoUDP 隧道提供了更好的负载均衡功能，因为 UDP 的 srcPort 可以设置为内部数据包执行 HASH 操作的结果，所以当 vRouter 和 SDNGW 存在 MPLSoUDP Tunnel 时，可以实施 ECMP paths 功能。MPLSoUDP 是相较于 MPLSoGRE 更为理想的选择。

RFC 7814 介绍了一种基于 BGP/MPLS IP VPN 的 Subnet Extension Solution（子网扩展解决方案），称为 Virtual Subnet，可用于在 DC 内或 DCs 之间构建 L3 network virtualization overlays。出于业务连续性目的，跨 DC 的 VM 迁移需求是明确的，但跨 DC 的 VM 所面临的 IP 地址重新分配是主要的挑战之一。

传统 VPN 技术所使用的接入信息（e.g. 登陆 IP、登陆账户）都是预定义且开放的，并且，VPN 是基于固定边界的假设去创建接入隧道。现代 IT 环境表现出来了越发明显的 “碎片化” 和 “移动性” 特征，在这种复杂的环境中，依赖 “固定网络边界划分” 的传统安全架构不再适用。Micro-segmentation 是区别保护网络中的不同部分的前提，可以限制攻击者进行横向移动，确保隔离受感染的账户或设备，令一个受灾区域不会威胁到网络的其余部分。横向移动是攻击者在不同的网络部分之间移动的能力。.......

pyang 是一个 YANG 开源工具，可作为 YANG 的验证器，转换器和代码生成器。

自 Junos OS Release 17.4R1 开始，Junos YANG Modules 被合理的划分为了多个 root module 和 multiple smaller modules，可以通过 CLI 指令来查看特定 configuration data 或 state data 所在的 module。从 Junos OS 17.2 版本开始，Junos YANG Modules 是特定于 Device Family 的。rw 代表状态数据，ro 代表配置数据。.........

可以使用 RPC、Action、Notification 对 YANG 模型中的操作进行定义，包含：操作名称、输入参数和输出参数。通过 RPC 关键字，可以对其模型顶层的操作进行定义。操作名称为 activate-software-image；输入参数为 image-name，并指定该参数的类型为字符串形式；输出参数为 status，并指定该参数的类型为字符串形式。input {} } }相应的 NETCONF XML 如下：

因为主要以云服务的产品形态存在，为了维持云产品的核心价值，也就是敏捷、弹性、按量付费，就必然会出现所谓的轻分支重云端的趋势，也就是说，越来越多的基础设施，会从用户侧迁移到运营侧。SASE 要提供的服务内容很多，服务标准很高，网络只是一个基础，它重点涵盖了安全和性能，在这背后需要大量的资源和一个非常广谱的技术栈来支撑，只有云服务的规模效应才能把边际成本变得可落地可实施。SASE 的出身背景就已经表明，SASE 存在的意义，在于去支持 “去中心化” 的边缘业务结构，服务各种边缘会是 SASE 的主要使命。

传统的网络安全模型基于边界来构建，大致分为两步：非安全区，比如客户和出差员工所在的互联网区域；隔离区，比如负载均衡器和 VPN 服务器所在的区域；安全区，比如应用服务器和内网服务器所在的区域；限制区，比如核心数据库所在的区域；在各个区域的边界上，部署防火墙等设备进行边界访问控制，以此来构建一个纵深防御体系。移动化：网络的连接主体，包括人、物，甚至包括基础设施和应用本身，都在主动或被动地动起来。更为挑战的是，因为偏向 2B 和生产，很多场景在移动的同时，还要求保持极高的可靠性。碎片化。............

在 OpenStack 与 Kubernetes 异构集群环境中，Contrail 将 VM 和 Container 统一定义为 Computing Instance，将 Virtual Network 统一定义为 VRF 和 Virtual Interface。通过这种方式，OpenStack Cluster 中的 VMs 和 Kubernetes Cluster 中的 Pods，可以使用同一个 VN，分配同一个 Subnet 中的 IP 地址，并且实施同样的 Network Policy。.......

TFBGPaaS是允许VM/Container与TFControlNode建立BGPsession的功能，再经由TFControlNode与PNF建立“间接”的BGPSession。并且BGPVM的这2个BGPSession会经由vRouter到达不同的ControlNode，以此来实现各个环节的高可用。在NFV电信云场景中，存在VNF/CNF（支持标准BGP协议）需要与PNF建立BGPPeer领接关系的需求。...

目录文章目录目录OvS-DPDK Hardware offloadOvS-DPDK Hardware offloadOVD-DPDK Hardware offload 基于 DPDK 的 rte_flow Lib 来实现。rte_flow 是 DPDK 对 Flow Representation 的实现，rte_flow API & structure 用于将 pkt forwarding rule 编程到（Program）NIC-hardware。例如将 OvS-DPDK Rule 卸载到

目录文章目录目录OvS Hardware offloadOvS Hardware offload2018 年，Open vSwitch 发布了基于 TC Flower 的 Hardware offload 功能，支持将 Datapath 卸载到 SmartNIC 上。OvS Hardware offload 架构如下，存在 3 个 Datapath。OvS Kernel Datapath：内核级的 Fast datapath。OvS Kernel TC Datapath：作为 SmartNIC

目录文章目录目录架构OvS 架构OvS-DPDK 架构性能环境参数Hardware ComponentSoftware ComponentConfigurationphysical-to-physical 场景physical-to-virtual-to-physical 场景架构OvS 架构openvswitch.ko ：在内核态负责 “快速路径” 的数据转发。转发靠流表来完成，每一个流表都包含很多的匹配项（match fields）和相应的动作（actions）。match fields：

目录文章目录目录版本日志控制管理类虚拟网桥类流表类表项匹配动作QoSingress policingOverlay TunnelGREVxLANsFlowSTP端口镜像端口聚合goto table 配置group 表meter 表版本# 查看 OvS 版本$ ovs-appctl --versionovs-appctl (Open vSwitch) 2.0.0Compiled Apr 19 2018 17:57:34# 查看 OvS 支持的 OpenFlow 版本$ ovs-ofctl -

目录文章目录目录卸载架构设计原则流规则卸载设计分层模块卸载设计卸载架构设计原则对上层的 vRouter Agent / SDN Controller 保持透明：是否启用 SmartNIC offload 对软件功能不会有任何影响。Offload Service 的功能子集要保持灵活度：不同的 SmartNIC 型号可以 Offload 不同的功能集合。Offload Service 的功能子集要保持高度的 API 抽象：抽象 API 应该足够通用，确保不同的 SmartNIC 型号可以

目录文章目录目录Netronome Agilio vRouter软件架构部署架构性能测试OpenStackNetronome Agilio vRouteroffloading of lookups and actions for vRouter tables.软件架构Kernel 模式SmartNIC 模式部署架构NOTE：至少准备 Control Node 和 Compute Node 两个节点。性能测试测试拓扑：跨计算节点 VMs 的东西向流程。物理网

目录文章目录目录混合链路接入智能选路链路聚合动态链路调整全域 QoS 策略功能网络质量优化加速入云与安全的融合业务编排功能VAS 增值服务零接触部署简化运维降本增效支持 VPN 以及其他增值业务服务：例如：广域网优化、负载均衡、数据包复制、虚拟防火墙、虚拟安全网关等。混合链路接入SD-WAN 可以将异构的 Underlay Network，例如：固网宽带接入、4G/5G 无线接入、Internet 接入、MPLS 接入、专线接入等多种接入方式充分结合，组成一个虚拟的资源池，并在此基础上构建 Ov

目录文章目录目录SASESASE 的 SDPSASE 以身份为中心云原生的 SASESASE面对安全和性能的综合挑战，近年来 SASE（安全接入服务边缘）开始被寄予厚望，它是 Gartner 在 2019 年提出的一个网络安全概念，并且在 Gartner 的安全框架演进中扮演着重要角色。简单地说，SASE 就是把网络功能云化，把安全功能云化，面对趋同的市场，在架构层面统一编排，并以云服务方式提供给最终用户。SASE 的 SDP传统的网络安全模型基于边界来构建，大致分为两步：通过边界将整个网

目录文章目录目录云网络的边界云机房内云机房间云机房外云网络发展的 3 个阶段1、云数据中心内的网络2、云数据中心间的互联网络3、云、边一体的网络云网络的边界云机房内云机房内，网络需要解决的是东西向流量越来越大等问题。这些是云厂商与设备商之间问题，不属于运营商的传统势力范围。对于这个问题的解决思路，现在越来越多的云厂商开始自研网了设备。典型的项目有 SONiC（Software for Open Networking in the Cloud），其使用了大量的包括 Docker、Redis、Quag

目录文章目录目录云网融合云网融合发展的三个阶段云网一体化云网融合随着云网络逐步从基本能力层面延伸至产品和服务层面，网络服务也形成了自有生态，网络技术逐步向更加适配云计算特性（按需付费、快速开通、服务化）的方向发展，网络基础设施云化成为趋势。云网融合是基于业务需求和技术创新并行驱动带来的网络架构深刻变革，使得云（云计算数据中心）和网（运营商网络）高度协同，互为支撑，互为借鉴的一种概念模式。随着云计算的发展以及广为市场接受，更多的云计算形态（混合云、多云）逐渐成熟，单纯 “大带宽、低延迟” 的运营商网

目录文章目录目录从云服务说起云世界中的网络分类云机房内云机房间云机房外计算和网络的竞争AWS Cloud WANAWS Direct Connect SiteLink从云服务说起一些主流厂家 “云服务” 的定义：Citrix：云服务是指通过互联网按需向客户提供的广泛服务，这些服务旨在提供简便、经济实惠的应用程序和资源访问，而不需要自购基础设施或硬件 。Redhat：云服务是由第三方提供商托管并通过互联网向用户提供的基础设施、平台或软件 。AWS：云计算是指通过互联网按需交付 IT 资源，并

目录文章目录目录SD-DCA（云接入网络）融合SD-DCA（云接入网络）融合SD-DCA（云接入网络）融合，解决的是用户如何高质量访问云服务的问题。目前主流的方式是 SD-WAN 分支方案，提供了以下功能：降低成本：上云多线路支持、进行线路优选；优化体验：针对应用的网络优化（压缩、缓存）提升应用体验；简化运维：零接触部署，简化入云通道；增强安全：国密加集成安全能力，实现端到端的云访问通道；NFV 形态支持：vSR 实现租户网络安全直连。...

目录文章目录目录“东数西算” 政策中国移动中国电信中国联通“东数西算” 政策当前，算力已成为信息社会的核心生产力，算力需求越来越大，比如，从 2018 年到 2030 年，无人驾驶对算力的需求将增加 390 倍，数字货币对算力的需求将增长约 2000 倍，VR 游戏对算力的需求将增长约 300 倍。正如，水力发展离不开水网，电力发展离不开电网，算力发展也离不开 “算力网络”。为了让用户享受随时随地的算力服务，发展算力网络需要重构网络，使其形成继水网、电网之后国家新型基础设施，打造 “一点接入、即取即

目录文章目录目录SRv6 的转发基本原理报文转发示例建立基于 TE 显式路径的 SRv6 隧道基于 End SID 的数据转发流程基于 End.X SID 的数据转发流程基于 End SID + End.X SID 的数据转发流程SRv6 的转发基本原理正如前文所述，SRv6 基于 “源路由” 理念而设计，所以在 SRv6 报文中 SRH 压入了一个显示的 IPv6 地址栈，并由 SRH 中的 Segment Left 和 Segment List 字段共同决定了 IPv6 Header 的 DA（D