新一代云化园区网络如何无缝对接传统园区网?
星融元的云化园区网络架构是一个开放化的网络,虽然在多方面进行了创新设计,但仍可以比较方便地和传统园区网络无缝对接。
相关阅读:深入底层架构的全面变革,星融元发布云化园区网络解决方案
下面我们以常见的几种场景为例进行说明:
- 对接原有的园区网络架构
- 对接上行出口设备(核心交换机/防火墙)
- 对接认证系统
- 对接双上行服务器
01、与原有园区网络架构的对接
园区网络已经建设完成,接入是二层网络,网关部署在汇聚层,汇聚和核心之间采用OSPF路由协议互联。
对接思路:
- 将原有的核心交换机连接Leaf/Spine架构的云化园区网络Pod;
相关阅读:下一代园区网络,用Leaf/Spine架构替代传统三层拓扑 - 为了尽可能不影响现有OSPF网络,核心需要运行BGP路由协议和Spine互联,云化园区网络和现有网络通过不同的路由域逻辑隔离,互不影响;
- 若云化园区网络需要和现有网络彼此互通,则配置一条简单的路由引入命令即可;
- 若云化园区网络不再需要和其余网络通信,唯一的出口就是核心交换机,则可以不用配置路由引入,在Spine上配置默认路由即可。
02、与原有上行出口设备的对接
云化园区网络对上行出口设备没有品牌和类型要求——既可以是做堆叠的一对核心交换机,也可以是一对双机防火墙。根据对接设备的不同配置模式有不同的对接方式,我们仅以该场景下的最佳实践进行分析和例证。
场景1:一对堆叠的核心交换机/防火墙
对接思路:
每台Spine的两个上行口做链路聚合,并配置一个三层的交换机虚拟接口(SVI),对端核心交换机配置跨设备的链路聚合端口,也配置一个三层SVI,即上下两个网段IP互联。另外,因为云化园区网络去堆叠的设计,Spine和核心交换机之间需要通过BGP路由协议互联。
防火墙做堆叠和交换机做堆叠没有太大差异,对接方式同上。
场景2:一对主备防火墙
防火墙主备部署时,控制面会通过专有的HA协议进行状态管理、会话同步、表项同步、策略同步等;数据面一般由虚拟路由器冗余协议(VRRP)实现主备切换。
对接思路:
- 每台Spine的两个上行口保持在同一VLAN,并配置一个三层SVI口,每台防火墙分别运行两对VRRP组,主墙的VRRP角色均为Master,备墙的VRRP角色均为Backup;
- 每台Spine的SVI口和两台防火墙的VRRP虚接口通过BGP路由协议对接,即上下两个网段IP互联;
正常情况下,两个VRRP组的虚接口均落在主墙,当主墙任意下行链路故障时,HA协议会控制两个VRRP组同时进行主备切换,确保业务流量统一切换到备墙。
场景3:一对主主防火墙
在HA+VRRP配置模式下,防火墙主主是通过运行两对VRRP互为主备实现的。(VRRP-1的Master是防火墙A,Backup是防火墙B,VRRP-2的Master是防火墙B,Backup是防火墙A)
对接思路:
和云化园区网络对接时,配置和主备模式时基本一致,区别在于每台防火墙分别运行四对VRRP组,每台Spine的SVI口和两台防火墙的两个VRRP虚接口通过BGP路由协议对接,上下仍是两个网段IP互联,但每台Spine有两个下一跳分别指向两台防火墙,实现ECMP负载分担。
03、和园区网络认证系统的对接
AAA(Authentication Authorization Accounting,认证/授权/计费)是目前主流的认证框架体系,由接入用户、接入设备、认证服务器三部分组成,接入用户是需要获取网络访问权限的实体,接入设备一般是交换机,负责验证用户身份和管理用户接入,认证服务器负责管理用户信息。AAA可以通过多种协议来实现。
- 在与接入用户交互阶段:星融元云化园区网络支持802.1x(有线终端)、MAC(哑终端)、Portal(无线终端)三种认证方式。
- 在与认证服务器交互阶段:星融元云化园区网络支持主流的RADIUS、TACACS+两种认证协议,支持认证/授权/计费功能。
实践应用中,星融元云化园区网络和知名的开源软件FreeRADIUS进行了全方位适配开发,也和ForeScout、ClearPass、ISE等主流商用认证系统成功对接。
04、和园区双上行服务器的对接
园区网络中可能还包括由计算、存储服务器组成的小规模数据中心,如某企业的办公网和研发网。和普通上网终端不同,这些业务服务器需要两张网卡做Bond实现高可靠接入,传统园区一般采用接入交换机做堆叠的方式,而云化园区网络采用更轻量级的MC-LAG方式。
更多云化园区解决方案相关信息,请持续关注星融元官方公众号(左侧扫码关注)