基于VXLAN技術(shù)的廣域網(wǎng)承載應(yīng)用

曾楚軒，龍柯

（中國(guó)聯(lián)通廣東省分公司，廣東廣州，510600）

1 背景概述

廣東聯(lián)通china169網(wǎng)使用傳統(tǒng)的城域網(wǎng)架構(gòu)，21個(gè)地市、科學(xué)城IDC、松山湖IDC以及深圳IDC專(zhuān)網(wǎng)按照地域和功能被劃分成24個(gè)AS域，各城域網(wǎng)與集團(tuán)骨干網(wǎng)形成了hub-spoke結(jié)構(gòu)，主要的跨域流量都需途經(jīng)集團(tuán)骨干網(wǎng)。由于china169網(wǎng)主要定位為互聯(lián)網(wǎng)訪(fǎng)問(wèn)，傳統(tǒng)互聯(lián)網(wǎng)流量占據(jù)了絕大多數(shù)流量；此外也有少量的L2/L3 VPN流量，主要包括為承載網(wǎng)構(gòu)建的L2 VPN的逃生通道流量、精品網(wǎng)訪(fǎng)問(wèn)的L3 VPN流量以及RMS系統(tǒng)的L3 VPN流量，因?yàn)樾枰c傳統(tǒng)的IP流量隔離，VPN流量需要通過(guò)MPLS標(biāo)簽轉(zhuǎn)發(fā)?，F(xiàn)階段聯(lián)通集團(tuán)骨干跨域方式存在MPLS不連續(xù)的問(wèn)題，省內(nèi)早期建設(shè)了一個(gè)覆蓋全省的大珠三角城域網(wǎng)，其主要承載跨域的L2/L3 VPN流量，大珠三角城域網(wǎng)城域網(wǎng)整體設(shè)備流量利用率極低，設(shè)備存在老舊問(wèn)題。

2 現(xiàn)狀調(diào)研

隨著標(biāo)簽技術(shù)的不斷發(fā)展，VXLAN技術(shù)使用IP頭取代傳統(tǒng)的MPLS頭作為標(biāo)簽轉(zhuǎn)發(fā)，可解決集團(tuán)骨干跨域MPLS不連續(xù)的問(wèn)題，使得跨域流量也能承載在集團(tuán)骨干上，提高了設(shè)備已經(jīng)鏈路的利用率，降低了擴(kuò)容和維護(hù)成本，降低了網(wǎng)絡(luò)的復(fù)雜性。目前，已經(jīng)在全省21個(gè)地市部署VXLAN交換機(jī)并以此構(gòu)建了VXLAN網(wǎng)絡(luò)，使地市大珠三角SR下線(xiàn)成為可能，也為城域網(wǎng)向下一代SDN網(wǎng)絡(luò)演進(jìn)提供了實(shí)踐基礎(chǔ)。由于該方案僅在VXLAN頭尾節(jié)點(diǎn)對(duì)設(shè)備性能有要求，對(duì)中間設(shè)備無(wú)要求，組網(wǎng)架構(gòu)清晰已便于維護(hù)。c

3 實(shí)現(xiàn)方案

3.1 組網(wǎng)方案

現(xiàn)網(wǎng)如下圖所示，由于互聯(lián)網(wǎng)訪(fǎng)問(wèn)的源和目的通常不在一個(gè)城域網(wǎng)內(nèi)，互聯(lián)網(wǎng)訪(fǎng)問(wèn)會(huì)產(chǎn)生大量的跨域流量。從A城域網(wǎng)訪(fǎng)問(wèn)B城域網(wǎng)的跨域流量可以通過(guò)兩種路徑，分別是A城域網(wǎng)-集團(tuán)骨干-B城域網(wǎng)和A城域網(wǎng)-大珠三角城域網(wǎng)-B城域網(wǎng)。其中通過(guò)集團(tuán)骨干跨域是跨域流量承載的主要方式。而部分特殊的L3/L2 VPN跨域流量，因?yàn)樾枰cIP流量隔離，必須采取標(biāo)簽轉(zhuǎn)發(fā)的方式，現(xiàn)行條件下的主流標(biāo)簽轉(zhuǎn)發(fā)方式是MPLS，要求從源到目的途經(jīng)的每一臺(tái)設(shè)備都開(kāi)啟MPLS，而集團(tuán)跨域方式因?yàn)樵诩瘓F(tuán)骨干設(shè)備上未開(kāi)啟MPLS導(dǎo)致L3/L2 VPN跨域量無(wú)法在此路徑上承載，只能通過(guò)大珠三角城域網(wǎng)承載。

圖1 廣東聯(lián)通城域網(wǎng)跨域流量現(xiàn)狀拓?fù)?/p>

改造后的廣東聯(lián)通VXLAN組網(wǎng)示意圖如下圖所示，以廣州VXLAN交換機(jī)為核心，其他20個(gè)地市VXLAN交換機(jī)與廣州VXLAN交換機(jī)之間構(gòu)建VXLAN隧道邏輯連接，形成hub-spoke型組網(wǎng)，VXLAN交換機(jī)之間的流量交互仍然承載在集團(tuán)跨域的路徑上。VXLAN隧道間使用VNI來(lái)區(qū)分不同業(yè)務(wù)，傳統(tǒng)vlan最大支持4096個(gè)虛擬網(wǎng)絡(luò)劃分，這在承載巨大且繁復(fù)的169網(wǎng)中顯然已經(jīng)不夠用，VNI可以支持16M虛擬網(wǎng)絡(luò)的劃分，極大豐富的網(wǎng)絡(luò)的擴(kuò)展性，且VNI可以和原vlan無(wú)縫對(duì)接，使網(wǎng)絡(luò)演進(jìn)平滑過(guò)渡。

VXLAN交換機(jī)在城域網(wǎng)中的部署如上圖所示，每個(gè)地市城域網(wǎng)部署兩臺(tái)VXLAN交換機(jī)，每臺(tái)VXLAN交換機(jī)雙上聯(lián)至城域網(wǎng)核心，兩條上聯(lián)鏈路間流量實(shí)現(xiàn)負(fù)載均衡，在充分保證鏈路利用率的前提下可以實(shí)現(xiàn)冗余備份。同時(shí)，兩臺(tái)VXLAN交換機(jī)之間互為設(shè)備備份，避免出現(xiàn)單點(diǎn)故障，充分保障業(yè)務(wù)的安全。

圖2 廣東聯(lián)通VXLAN組網(wǎng)改造示意圖

完成VXLAN隧道的部署后，VXLAN通道可以承載之前承載在大珠三角的L3/L2 VPN業(yè)務(wù)（承載網(wǎng)逃生通道、精品網(wǎng)業(yè)務(wù)、RMS業(yè)務(wù)），也可以承載云公司跨DC的DCI業(yè)務(wù)及其他跨域接入業(yè)務(wù)。

3.2 業(yè)務(wù)承載方案

3.2.1 承載網(wǎng)逃生通道

使用靜態(tài)VXLAN通道代替承載網(wǎng)原MPLS L2VPN方案。其同時(shí)解決了利用大珠三城域網(wǎng)做逃生通道的資源稀缺問(wèn)題和利用集團(tuán)跨域做逃生通道的MPLS不連續(xù)問(wèn)題。逃生通道流量承載在集團(tuán)跨域的路徑上，而VXLAN技術(shù)通過(guò)使用IP頭取代MPLS頭做標(biāo)簽，從而可以有效解決MPLS標(biāo)簽無(wú)法跨域的問(wèn)題，同時(shí)，城域網(wǎng)出口擁有豐富的傳輸資源，有效保障逃生通道的有效性。

由于該方案使用二層VXLAN技術(shù)，構(gòu)建的是二層承載網(wǎng)逃生通道，承載網(wǎng)側(cè)無(wú)需修改配置，降低了配置的復(fù)雜性。同時(shí)，該方案復(fù)用了城域網(wǎng)鏈路，無(wú)需額外開(kāi)通傳輸鏈路做逃生通道，提供了鏈路利用率，降低了擴(kuò)容成本。

此外，由于在發(fā)生重大傳輸故障時(shí)有可能會(huì)導(dǎo)致城域網(wǎng)出口鏈路擁塞，承載網(wǎng)流量雖然可以通過(guò)城域網(wǎng)出口導(dǎo)出，但其中有部分重要流量，如語(yǔ)音的信令流量，如果發(fā)生中斷會(huì)導(dǎo)致掉話(huà)而嚴(yán)重影響業(yè)務(wù)，此類(lèi)業(yè)務(wù)需要提供最高的保障等級(jí)。在部署次VXLAN方案時(shí)，會(huì)在VXLAN隧道頭端封裝VXLAN數(shù)據(jù)包時(shí)將承載網(wǎng)用于區(qū)分業(yè)務(wù)等級(jí)的QOS標(biāo)記復(fù)制到三層頭部，而使得承載網(wǎng)的QOS策略能夠在城域網(wǎng)出口生效從而為承載網(wǎng)的高優(yōu)先級(jí)流量提供最高等級(jí)的保障。

3.2.2 精品網(wǎng)業(yè)務(wù)通道

基于VXLAN的精品網(wǎng)跨域組網(wǎng)方案，其同時(shí)解決了使用大珠三城域網(wǎng)跨域的網(wǎng)絡(luò)復(fù)雜和成本過(guò)高的問(wèn)題以及使用集體跨域MPLS不連續(xù)的問(wèn)題。精品網(wǎng)的跨域流量承載在通過(guò)集團(tuán)跨域的路徑上，利用VXLAN技術(shù)，標(biāo)簽使用IP頭取代傳統(tǒng)的MPLS頭有效解決集團(tuán)跨域MPLS不連續(xù)的問(wèn)題，使精品網(wǎng)接入交換機(jī)通過(guò)VXLAN隧道直接連到大珠I設(shè)備，VXLAN隧道為精品網(wǎng)接入交換機(jī)和大珠I設(shè)備構(gòu)建L2層通道，兩者通過(guò)IGP協(xié)議建立loopback可達(dá)性，通過(guò)建立iBGP鄰居收發(fā)業(yè)務(wù)路由，控制精品網(wǎng)訪(fǎng)問(wèn)流量從大珠I設(shè)備進(jìn)入精品網(wǎng)AS9929，該方案由于均采用專(zhuān)用設(shè)備，不再采用VPN隔離，大大簡(jiǎn)化了途經(jīng)設(shè)備的配置，降低了維護(hù)難度。此外，在精品網(wǎng)接入交換機(jī)和城域網(wǎng)CR之間新建物理線(xiàn)路，精品網(wǎng)接入交換機(jī)與城域網(wǎng)CR之間建立OSPF鄰居，精品網(wǎng)接入交換機(jī)通過(guò)OSPF發(fā)布業(yè)務(wù)路由，城域網(wǎng)CR向接入交換機(jī)下發(fā)默認(rèn)路由，從而構(gòu)建了公網(wǎng)的逃生通道，在精品網(wǎng)AS9929出口發(fā)生故障時(shí)可以切換至城域網(wǎng)CR出口，實(shí)現(xiàn)冗余備份。

3.3 主要技術(shù)原理及思路

VXLAN技術(shù)作為主流的Overlay技術(shù)，相較于其他Overlay技術(shù)（如NVGRE、STT）等，有著較明顯的優(yōu)勢(shì)，其使用L2 over UDP的模式，不需要改變L2-L4報(bào)文的前提，使用現(xiàn)網(wǎng)設(shè)備即可實(shí)現(xiàn)多路徑負(fù)載均衡，得到了Cisco、華為、VMware等主流廠(chǎng)家的支持，在廣東聯(lián)通城域網(wǎng)中部署難度小。

VXLAN技術(shù)雖然已提出多年，以前主要應(yīng)用于DC內(nèi)解決VLAN不足問(wèn)題，在運(yùn)營(yíng)商廣域網(wǎng)上大規(guī)模商用還是屬于首例。VXLAN技術(shù)屬于最新的標(biāo)簽轉(zhuǎn)發(fā)技術(shù)，傳統(tǒng)的標(biāo)簽轉(zhuǎn)發(fā)技術(shù)多是基于MPLS的，要求從源到目的途經(jīng)的每一跳路由器都開(kāi)啟MPLS，且不同廠(chǎng)家對(duì)MPLS的規(guī)范不完全相同，不同廠(chǎng)家的MPLS對(duì)接可能出現(xiàn)未知的問(wèn)題，導(dǎo)致MPLS標(biāo)簽技術(shù)部署時(shí)出現(xiàn)一定的局限性，廣東聯(lián)通互聯(lián)網(wǎng)集團(tuán)跨域中因?yàn)榧瘓F(tuán)設(shè)備未開(kāi)啟MPLS導(dǎo)致標(biāo)簽不連續(xù)的問(wèn)題就是很好的例子。而VXLAN技術(shù)使用L2 over L4（MAC in UDP）的報(bào)文封裝方式，使用IP頭作為標(biāo)簽轉(zhuǎn)發(fā)，僅對(duì)VXLAN隧道的頭尾節(jié)點(diǎn)有要求，VXLAN隧道中間段設(shè)備只需要支持IP轉(zhuǎn)發(fā)即可轉(zhuǎn)發(fā)VXLAN流量，極大降低了VXLAN技術(shù)的部署難度。使用VXLAN組網(wǎng)模式極大簡(jiǎn)化了廣東聯(lián)通城域網(wǎng)的組網(wǎng)架構(gòu)，降低了擴(kuò)容和維護(hù)成本，也使后續(xù)不同業(yè)務(wù)的跨域接入成為可能，同時(shí)支持多達(dá)16M的虛擬網(wǎng)絡(luò)劃分，為今后業(yè)務(wù)的發(fā)展提供了無(wú)限可能。

4 建設(shè)方案的效果

該項(xiàng)目創(chuàng)造性地使用了VXLAN技術(shù)解決了傳統(tǒng)標(biāo)簽技術(shù)在跨域時(shí)MPLS不連續(xù)導(dǎo)致無(wú)法轉(zhuǎn)發(fā)的問(wèn)題，是全國(guó)電信運(yùn)營(yíng)商商用VXLAN架構(gòu)網(wǎng)絡(luò)的首次嘗試，極大的簡(jiǎn)化了網(wǎng)絡(luò)架構(gòu)，為后續(xù)跨域組網(wǎng)提供了新的解決方案。

參考文獻(xiàn)

[1]SDN/NFV重構(gòu)未來(lái)網(wǎng)絡(luò)電信運(yùn)營(yíng)商愿景與實(shí)踐[Z].

[2]VXLAN的技術(shù)發(fā)展和應(yīng)用[Z].

[3]使用EVPN/VXLAN解決廣域網(wǎng)數(shù)據(jù)中心互聯(lián)[Z].