智简园区SVF技术白皮书.docx
- 文档编号:5776155
- 上传时间:2023-01-01
- 格式:DOCX
- 页数:22
- 大小:1.23MB
智简园区SVF技术白皮书.docx
《智简园区SVF技术白皮书.docx》由会员分享,可在线阅读,更多相关《智简园区SVF技术白皮书.docx(22页珍藏版)》请在冰豆网上搜索。
智简园区SVF技术白皮书
华为智简园区SVF
技术白皮书
前言
摘要
SVF是一种纵向虚拟化技术,在纵向纬度把多台设备虚拟化成一台逻辑设备,屏蔽网络内部连线的复杂度,实现统一管理和控制目的。
关键词
SVF、纵向堆叠、有线无线融合、冗余备份
1概述
1.1产生背景
如图1-1所示,CSS/CSS2和iStack作为一种网络设备虚拟化技术,具有很强的横向整合作用,即在不改变网络物理拓扑连接条件下,将网络同一层的多台设备横向整合虚拟化为一台设备,不仅摒弃了复杂的二层双上行链路加环网协议的组网,提高了网络故障的收敛时间(将环网协议收敛时间转换为Trunk收敛时间),从逻辑上简化了网络架构同时也简化了网络的管理成本。
图1-1网络架构演进
在规模较大的企业园区网中,通常交换机位置分布较广,接入层业务简单,配置归一化程度高,整个网络存在大量的接入设备,虽然可以通过iStack技术进行一部分简化,但是整个网络仍然有大量的接入点,此时这个网络系统的管理点数量仍相当可观,网络部署及管理仍然比较困难,需要进一步的优化。
如图1-2所示,华为公司推出的SVF是一种纵向虚拟化技术,将控制设备(SVF-Parent)以下的接入设备(SVF-Client)进行虚拟化,把众多接入交换机AS视为有线端口的集
合,无线AP视为无线接口的集合,在垂直方向将SVF管理区域内的汇聚层设备和接入层设备虚拟化成一台逻辑设备,减少网络管理节点,实现网络集中统一控制和管理。
图1-2SVF网络虚拟化概述
1.2技术实现
SVF适用于接入设备分布广,设备/端口数量多,并且接入设备业务简单、配置归一化程度高的网络应用场景,它具有如下优点:
统一设备管理
●集中控制
控制设备(SVF-Parent)和接入设备(SVF-Client)虚拟化为一台逻辑设备,统一设备的管理平面、控制平面、转发平面,减少设备的管理层级和节点数目。
●零配置接入
控制设备上集中配置,接入设备“0”配置,连上线自动加入SVF系统,自动获取配置、版本/补丁等文件,实现即插即用。
●简化维护
控制设备上统一执行版本/补丁升级;统一查询AS的端口状态、CPU及内存占用率等信息;统一对有线/无线用户进行管理。
统一业务配置
SVF系统面向业务的模板化配置,不仅智能化,而且更加贴近用户的理解。
只要在控制设备集中配置,无需登陆到接入设备逐一配置,系统自动识别各接入设备和其端口角色,
把配置自动下发到所有接入设备,避免了接入设备的重复配置工作量,大幅提高工作效率。
统一策略部署
SVF系统对用户在控制设备上集中认证和策略授权,用户策略可以下发到控制设备本地执行,也可以从控制设备下发到远端接入设备执行。
用户策略集中统一下发,不仅易于用户管理,还避免了逐一对整网各接入设备进行用户策略的配置。
有线无线深度融合
SVF-Parent支持随板AC功能,能够真正把无线融入Fabric网络构架,此网络架构继承了随板AC无线流量转发无瓶颈的优点,实现有线无线网络深度融合,不但节省了客户设备投资,还大大提升了客户体验。
天然高可靠性
SVF系统利用CSS/CSS2、iStack堆叠和端口聚合捆绑技术做设备及链路的冗余备份,华为领先的CSS2技术可实现主控1+N备份,SVF系统在最极端情况可故障至只剩1块主控板,系统仍能够正常运行。
整个网络要保证是树形结构,用户误连接会自动检测出告警,并阻塞错误连接端口,避免对现有网络业务造成影响。
丰富的产品形态
●产品形态多样化
支持SVF-Parent的任意一款形态设备和支持SVF-Client任意一款形态设备可灵活搭配。
●端口类型多样化
控制设备和接入设备之间的端口可自由选择千兆或万兆端口;接入边缘端口具有百兆、千兆或万兆能力,端口类型丰富可灵活选择。
拥有成本低
●节省投资
SVF技术将相对高端的设备和相对低端的设备虚拟化,从而扩展高端设备的端口密度和带宽,不仅节省投资,而且可以提升网络整体业务接入的能力。
同时SVF具有强大的扩展能力,随着网络发展可轻松便捷的增加设备,提高端口密度和带宽能力,节省前期投资成本。
●保护投资
原有网络中支持SVF功能的硬件设备,只需要进行设备软件升级就支持SVF虚拟化。
SVF还支持穿透第三方或不支持SVF功能的设备,与旧有设备共存,并不需要替换掉原有设备,保护客户既有的投资。
1.3客户价值
简化网络管理
在接入设备分布广,设备数量多,并且接入业务简单、配置归一化程度高的园区网中,可虚拟成一个或几个SVF系统进行管理。
网络拓扑能够自动发现和生成,接入设备可预配置即插即用,统一设备管理、统一用户管理、统一配置、统一维护,使得网络管理和维护更加高效。
如图1-3所示,内存及CPU高等关键告警由SVF-Parent送到eSight网管集中呈现。
一旦网络发生故障时,关键告警信息无需比对各接入设备的时间戳,可快速识别出故障发生点。
图1-3简化网络管理
有线无线深度融合
SVF系统携带ENP单板可融合无线业务,真正实现有线无线业务深度融合。
SVF虚拟化设备的管理平面、控制平面及转发平面都实现了统一,不仅无线业务的转发带宽不存在瓶颈,还提升了网络管理员的工作效率和体验。
SVF系统支持无线业务直接从ENP单板接入,新部署的SVF有线无线网络或用户量大的网络建议使用该场景。
SVF也支持从非ENP单板接入,但仍需要携带ENP单板,无线流量被重定向到ENP单板处理,原有的SVF有线网络增加无线业务,无线用户接入比较分散,接入设备比较多,为了尽量减少原有网络的变动,建议使用该场景。
可视化管理
如图1-4所示,华为eSight网管可对SVF系统进行可视化管理。
图形化呈现整网SVF-Parent、AS、AP之间的连接关系。
网管实时监控设备和链路的状态变化,当有AS/AP设备接入或退出,拓扑中AS/AP设备做相应的增加或删除;当网络链路的状态发生变化,拓扑中的链路也会相应的显示正常或故障,可帮助管理员快速识别网络的变化。
图1-4拓扑监控SVF系统整网状态
如图1-5所示,网络管理员可以根据管理维护需要,在SVF-Parent面板上很直观地点击下连SVF-Client混堆口,展开拓扑就能够看到混堆口下连SVF-Client成员的运行状态以及成员之间的连接状态,按需对有线无线设备实行集中统一监控。
图1-5面板集中管理SVF系统设备
如图1-6所示,网管能对有线无线用户做统一管理,有线用户显示接入的AS端口,无线用户显示接入的AP,集中呈现用户的特征信息。
在用户出现接入故障的时候,能够快速查看用户从哪个AS或者AP接入,提高网络管理人员排障的效率,并能够对无线用户的故障进行诊断操作。
另外网管提供图形化模板配置,通过模板配置矩阵,网络管理人员能够直观看到业务的正常运行涉及的模板配置信息。
图1-6有线无线用户统一管理
2方案原理
2.1基本概念
图2-1SVF系统设备及端口角色
SVF设备角色
SVF-Parent:
SVF管理系统中的控制器,也称为控制设备,既是整个系统的集中控制和管理点,也是业务集中配置点。
通常作为下面接入用户的三层网关,当然也可以不做用户网关。
SVF-Parent可以是单机,也可以是CSS/CSS2或iStack堆叠。
SVF-Client:
SVF管理系统中的接入设备,包括有线接入交换机AS和无线AP。
AS又可细分为一级AS和二级AS,直接与SVF-Parent相连AS叫一级AS,与一级AS相连的AS叫二级AS。
一级AS或二级AS可以是单机,也可以是iStack堆叠。
SVF端口角色
混堆口:
SVF-Parent和一级AS、一级AS和二级AS之间的互联口,又叫Fabric-port,混堆口的成员口数量范围是1~8个,为了保证设备互联带宽和链路可靠性,建议成员口的数量为两个或两个以上。
SVF-Parent框式交换机单板接口或盒式交换机的面板及插卡接口都可以做混堆口,SVF-Client盒式交换机面板接口及插卡接口均可用作上行混堆口。
用户侧端口:
边缘设备上连接用户的接口,可以连接有线终端如PC,也可以连接无线AP。
2.2拓扑及连接规则
SVF管理系统只支持树形组网结构,SVF-Parent可管理两层AS设备,每层都可以接入无线AP和有线客户端。
在SVF融合无线组网中,框式ENP单板和盒式ENP交换机都支持AP接入。
若没有无线业务,带框式ENP单板不是必需的。
SVF技术支持穿透中间二层网络,可管理一层AS,AS上可以连接AP或有线终端。
穿透设备可以是第三方设备。
中间二层网络上行需要配置聚合口与SVF-Parent混堆口互联,中间二层网络下行口与AS也配置聚合口互联,上下行聚合口都需要配置管理VLAN和数据VLAN,保证SVF-Parent与AS之间二层网络互通,由网络管理员保证配置。
SVF-Parent和SVF-Client之间有第三方的二层设备时,拓扑无法显示准确的连接端口,与之相连的SVF-Parent混堆口,只能显示为虚连接。
如图2-2所示,SVF-Parent控制设备可以是单机或堆叠,AS接入交换机可以是单机或堆叠;混堆口的聚合成员口可以是一个或多个。
可综合网络规模、业务需求、可靠性要求及投资成本等,选择合适的SVF组网。
图2-2SVF组网能力
如图2-3所示,SVF典型错误连线场景如下。
用户连线错误会自动提示告警,提醒用户重新调整连线,并对错误连接端口阻塞进行网络隔离,保障网络业务稳定运行。
图2-3典型错误连线场景
2.3统一设备管理
SVF管理技术使用私有的ASDP和LBNT协议完成AS发现和拓扑收集。
ASDP称为AS发现协议,SVF-Parent使用ASDP协议发现AS和向接入设备传递必要的网络参数,同时AS通过ASDP协议自动完成上连混堆口的聚合互联。
LBNT称为基于LLDP网络拓扑协议,SVF-Parent向AS收集邻居信息和计算整网拓扑。
AS和AP都会跟SVF-Parent建立CAPWAP控制通道,并在SVF-Parent注册,接受SVF-Parent控制和管理。
这样SVF-Parent对下挂AS和AP设备实现集中统一管理,使得虚拟化成一台逻辑设备。
自动发现
在SVF-Parent设备上配置管理VLAN及管理VLAN的IP地址池。
指定与一级AS连接的下行混堆口,如图2-4过程①所示。
一级AS采用空配置,不需要管理员额外配置,当连接一级AS时,ASDP探测到连接的AS,通过ASDP协商交互检查连线的正确性,如果连线错误提示告警且阻塞错误连接端口。
若连线正确就向AS下发管理VLAN。
AS通过ASDP协议与SVF-Parent协商,AS的上行成员口会自动加到混堆口中进行汇聚,从SVF-Parent获取的管理VLAN会自动加到混堆口上,AS上连混堆口是自动聚合的,无需人为手工指定,这样AS和SVF-Parent完成了二层互通,如图2-4过程②所示。
AS设备通过DHCP协议向SVF-Parent设备申请IP地址,然后AS与SVF-Parent建立CAPWAP管理隧道,AS在SVF-Parent自动完成注册。
当一级AS在SVF-Parent上完成注册后,在SVF-Parent上配置一级AS下行混堆口,通过上述类似SVF-Parent发现一级AS的过程,一级AS和二级AS互联混堆口自动聚合,如图2-4过程③所示。
然后二级AS和SVF-Parent建立CAPWAP隧道,并且AS在SVF-Parent上自动注册,这样纵向网络的多台设备就虚拟成一台逻辑设备,如图2-4过程④所示。
SVF系统对AS设备是逐层发现的,首先会发现一级AS,然后再发现二级AS,最多不超过两层,达到压缩网络层级的目的。
AS用户侧端口可连接AP,AP也是SVF管理的范畴,将管理VLAN加入连接AP的用户侧端口,AP从SVF-Parent获取IP地址,AP与SVF-Parent建立CAPWAP控制隧道,然后在SVF-Parent上注册。
AS堆叠功能有堆叠卡和业务口两种方式,如果AS是业务口堆叠,首先需要该AS接入点自己堆叠成功成为一个接入点,再和其他的设备进行混堆口连线,加入到SVF系统中,而堆叠卡堆叠无此要求。
图2-4SVF-Client自动发现
拓扑收集
如图2-5所示,SVF系统通过ASDP协议完成SVF-Client发现后,SVF-Parent和SVF-Client就实现了二层链路的互通,SVF-Parent和各AS自动建立CAPWAP控制隧道。
当AS和邻居设备端口连接UP,就可以通过标准的LLDP协议发现直连设备的邻居互联信息,每一台设备在本地保存其收集到的邻居信息。
当SVF-Client在SVF-Parent上注册成功后,SVF-Parent采用私有的LBNT协议向AS收集邻居信息,SVF-Parent收集到所有AS的邻居信息,就能计算出整网的拓扑结构。
当拓扑发生变化,如链路UP或DOWN,AS加入或退出,会触发拓扑重新计算。
图2-5拓扑收集
设备集中管理
SVF-Parent和AS通过CAPWAP隧道交互控制信息,SVF-Parent对AS实现了集中控制和管理。
当AS在SVF-Parent注册成功后,AS判断是否要从SVF-Parent下载升级版本及补丁文件。
SVF系统可以对AS进行版本/补丁的批量升级,也可以对指定的设备进行升级。
在SVF-Parent上对业务集中配置,SVF-Parent会保存所有下挂AS的配置文件,AS从SVF-Parent获取配置文件。
在SVF-Parent可统一查询AS设备信息,CPU或内存占用率,端口状态等信息。
AS也能够主动向SVF-Parent上报关键的维护信息,如CPU或内存占用率高等,AS会主动上报,便于管理员集中监控。
预配置
如图2-6所示,SVF管理系统对新加入的AS可以是零配置,达到接入设备即插即用目的。
网络管理员指定将来准备接入AS的MAC地址,提前在SVF-Parent上做好预
配置,当AS接入到SVF系统时自动下发配置、自动判断是否更新版本/补丁,提高网络管理员开局效率。
图2-6预配置
2.4统一配置
如图2-7所示,SVF配置模板可对接入设备进行集中批量配置,无需对每台设备进行重复配置,避免客户重复配置的工作量。
同一个配置模板可以下发到多个AS上,一个AS上也可以下发多个配置模板。
面向业务的配置模板简单易懂,为客户屏蔽了特性之间的关联度,大大提高客户感知和体验。
配置模板可分为网络管理模板和网络业务模板两大类。
网络管理模板作用是对SVF-Client设备集中管理和维护。
业务模板又可细分为基础网络业务、增强网络业务、接入业务三种,主要用于用户接入和安全防护等。
图2-7模板化配置
2.5统一用户管理
策略联动
交换机支持策略联动功能,它既可以独立使用,也可以和SVF叠加使用。
在控制设备上对用户进行统一认证,认证成功后对用户进行动态策略授权,用户策略既可以下发到控制设备本地执行,也可以从控制设备下发到远端接入设备执行。
如图2-8所示,为了加强SVF接入网络安全性或对用户流量做精细化管理,在SVF系统中可部署策略联动功能,在SVF-Parent集中认证和授权,策略执行点放在SVF-Parent称为本地授权,执行点在SVF-Client称为远端授权。
在同一SVF系统内,管理员可以灵活部署本地授权和远端授权。
远端授权作为数据转发开关控制点;本地授权可以动态下发UCL、ACL、CAR、Priority等策略,主要用于更细化的用户访问策略控制和流量控制等。
当SVF部署策略联动功能后,用户未认证前接入端口是受控的,可配置免认证规则free-rule访问如DHCP/Radius/portal/eSight等基础的服务器,访问其他用户及网络侧的数据报文是禁止转发的。
当用户认证通过时,SVF-Parent通过CAPWAP控制隧道通知放开AS接入端口数据转发权限,这样新认证上线的用户取得相应的访问权限,避免未认证用户接入二层网络进行横向互访。
若在SVF-Parent上部署本地授权,流量到SVF-Parent上转发时可获得更细化的访问策略,对不同用户做更精细化管理。
图2-8策略联动
用户信息集中查询
有线无线用户可在SVF-Parent做集中认证和授权,认证点和策略点高度统一,无需分散管理。
在SVF-Parent上可查看所有的AS和AP的接入用户信息,有线用户显示接入设备及端口号,无线用户显示接入的AP设备。
2.6报文转发原理
SVF系统具有完整的二/三层转发能力,SVF-Parent能做二/三层转发处理,SVF-Client在系统中做二层转发的处理。
当SVF-Client收到待转发的报文,在本机查找转发表得到报文出接口,然后将报文从该出接口发出去。
二层报文可以在本地直接转发出去,三层报文需要经过SVF-Parent查三层转发表转发出去。
SVF支持分布式和集中式两种转发方式,命令可选择,默认为分布式转发。
如图2-9所示,分布式转发方式就是每个设备在本地查找转发表,查到出接口直接发出去。
SVF-Client上同一个VLAN广播域内,都可以学到下面接入用户的MAC,允许本地用户直接互访,Host1能够直接访问Host2。
分布式转发能够充分发挥每个成员处理能力,流量转发不存在迂回,可以最大限度利用每个设备的带宽。
对于要求用户能够直接本地互访,不需要进行用户二层隔离访问,不需要对用户流量做访问控制的场景,通常建议使用分布式转发方式。
图2-9分布式转发
如图2-10所示,集中式转发方式就是先将报文转发到SVF-Parent上,在SVF-Parent上查转发表得到出接口,然后将报文从正确的出接口转发出去。
SVF-Client上同一个VLAN广播域内,不同端口之间是隔离的,下面用户在本地不能直接互访。
当Host1访问Host2时,Host1向Host2发ARP请求,由Gateway网关代替Host2向Host1应答ARP响应,但回复的ARP应答报文中IP2对应MAC是Gateway的MAC3,而不是Host2实际对应的MAC2,这样Host1向Host2发的数据流就送到网关做三层转发。
如果需要对流量集中控制或精细化管理,用户二层互访隔离的场景,建议使用集中式转发方式。
图2-10集中式转发
2.7组合接入场景建议
组合接入场景
转发模式
策略联动控制
认证方式
部署免认证规则
1、未认证用户不允许接入。
2、认证后用户可本地互访。
3、认证前用户可访问基础服务器。
分布式(可
(可
1、认证前AS默认关闭数据转发。
2、本地策略授权,统一在Parent上控制
选)。
3、若需不同部门间隔离,可规划不同VLAN
选)。
Dot1x/MAC
/Portal
配置免认证规则Free-rule使得基础服务器可访问。
1、未认证用户不允许接入。
2、认证后用户互访控制及本地互访隔离。
3、认证前用户可访问基础服务器。
集中式
1、认证前AS默认关闭数据转发。
2、本地策略授权,统一在Parent上控制。
Dot1x/MAC
/Portal
配置免认证规则Free-rule使得基础服务器可访问。
1、未认证用户不允许接入。
2、无认证后用户隔离要求。
3、无认证前用户访问基础服务器。
分布式或集中式
认证前AS默认关闭数据转发。
Dot1x/MAC
/Portal
Portal认证时只需放通PortalServer地址,其他认证方式无需部署免认证规则Free-rule。
用户无认证要求,
SVF只简化网络管理
分布式或集中式
无
无
无
3典型组网应用
3.1中小型有线园区网
如错误!
未找到引用源。
所示,中小型园区常见两层组网,典型的是中小企业和企业分支。
接入层设备作为二层转发管道,业务配置简单且归一化程度高,汇聚层设备做三层网关,希望简化网络管理,适用SVF场景。
图3-1中小型园区网
●汇聚层管理点部署:
在汇聚层部署框式敏捷交换机或盒式敏捷交换机,作SVF-Parent管理所有的接入交换机,可部署华为eSight网管系统进行图形化管理。
●用户DHCPServer部署:
由于企业人数较少,以汇聚层设备作为DHCPServer,部署简单。
●可靠性部署:
汇聚层设备使用集群以提高设备间备份。
●用户管理部署:
有线用户如果对接入安全要求较高则部署802.1x认证,哑终端可采用MAC旁路认证。
如果要求不高建议使用Portal认证,认证点部署在SVF-Parent管理点上。
●转发模型部署:
有线流量安全要求较高部署集中式转发,SVF-Parent配置集中转发模式,有线流量在汇聚层集中控制;安全要求不高采用直接采用分布式转发。
3.2大型有线无线园区网
如错误!
未找到引用源。
所示,在大型园区网中,三层网关下面接入层可分为两层,通常应用在接入用户较多,规模较大,最为典型的是国内高校和大型企业。
为了简化网络管
理并且节省投资,希望有线无线网络真正融合,可采用SVF场景。
图3-2大型园区网
●有线无线融合管理点部署:
建议部署框式高性能敏捷交换机作为SVF-Parent,管理所有的接入交换机和无线AP,采用随板AC方式,有线无线业务直接接入ENP单板。
●用户DHCPServer部署:
由于园区人数较多,建议部署外置DHCPServer,为整个园区所有有线和无线用户分配IP地址。
●可靠性部署:
汇聚层设备使用集群以提高设备间备份。
●用户管理部署:
无线用户使用802.1x认证,如果要求不高建议使用Portal认证,认证点部署在
SVF-Parent管理点上。
校园网有线用户可选择PPPoE认证,认证点在SVF-Parent上;企业园区网有线用户可选择802.1x认证,为避免未认证用户横向互访,部署策略联动远
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 智简园区 SVF 技术 白皮书