星融元的云化园区网络架构是一个开放化的网络,虽然在多方面进行了创新设计,但仍可以比较方便地和传统园区网络无缝对接。
相关阅读:深入底层架构的全面变革,星融元发布云化园区网络解决方案
下面我们以常见的几种场景为例进行说明:
园区网络已经建设完成,接入是二层网络,网关部署在汇聚层,汇聚和核心之间采用OSPF路由协议互联。
对接思路:
云化园区网络对上行出口设备没有品牌和类型要求——既可以是做堆叠的一对核心交换机,也可以是一对双机防火墙。根据对接设备的不同配置模式有不同的对接方式,我们仅以该场景下的最佳实践进行分析和例证。
对接思路:
每台Spine的两个上行口做链路聚合,并配置一个三层的交换机虚拟接口(SVI),对端核心交换机配置跨设备的链路聚合端口,也配置一个三层SVI,即上下两个网段IP互联。另外,因为云化园区网络去堆叠的设计,Spine和核心交换机之间需要通过BGP路由协议互联。
防火墙做堆叠和交换机做堆叠没有太大差异,对接方式同上。
防火墙主备部署时,控制面会通过专有的HA协议进行状态管理、会话同步、表项同步、策略同步等;数据面一般由虚拟路由器冗余协议(VRRP)实现主备切换。
对接思路:
正常情况下,两个VRRP组的虚接口均落在主墙,当主墙任意下行链路故障时,HA协议会控制两个VRRP组同时进行主备切换,确保业务流量统一切换到备墙。
在HA+VRRP配置模式下,防火墙主主是通过运行两对VRRP互为主备实现的。(VRRP-1的Master是防火墙A,Backup是防火墙B,VRRP-2的Master是防火墙B,Backup是防火墙A)
对接思路:
和云化园区网络对接时,配置和主备模式时基本一致,区别在于每台防火墙分别运行四对VRRP组,每台Spine的SVI口和两台防火墙的两个VRRP虚接口通过BGP路由协议对接,上下仍是两个网段IP互联,但每台Spine有两个下一跳分别指向两台防火墙,实现ECMP负载分担。
AAA(Authentication Authorization Accounting,认证/授权/计费)是目前主流的认证框架体系,由接入用户、接入设备、认证服务器三部分组成,接入用户是需要获取网络访问权限的实体,接入设备一般是交换机,负责验证用户身份和管理用户接入,认证服务器负责管理用户信息。AAA可以通过多种协议来实现。
实践应用中,星融元云化园区网络和知名的开源软件FreeRADIUS进行了全方位适配开发,也和ForeScout、ClearPass、ISE等主流商用认证系统成功对接。
园区网络中可能还包括由计算、存储服务器组成的小规模数据中心,如某企业的办公网和研发网。和普通上网终端不同,这些业务服务器需要两张网卡做Bond实现高可靠接入,传统园区一般采用接入交换机做堆叠的方式,而云化园区网络采用更轻量级的MC-LAG方式。
更多云化园区解决方案相关信息,请持续关注星融元官方公众号(左侧扫码关注)