标签： 解决方案

关注星融元

移动化办公时代下WiFi漫游已经成为了日常，你有没有遇到过网络断连导致业务中断的情况？这往往是因为我们在移动过程中，所属的IP子网发生了变化，终端不得不获取新的IP地址以适应新的网关，甚至我们还需要为此重新进行繁琐的安全认证…

为提升用户体验，实现WiFi无缝漫游，市面有以下两种常见的方案思路：

1. 尽可能将需要漫游的区域规划在一个二层网络里，但是二层网络越大越不安全；
2. 在新旧网关之间建立隧道，通过集中的网关控制器把漫游后的终端流量传输到原来的网关来转发，而这又导致复杂的配置和低效的流量转发路径，影响了漫游性能。

借鉴云网”分布式网关”概念，提升园区网络体验

早期的数据中心也多是采用集中式的网关，即：整个数据中心由几个大交换容量的设备作为网关来实现跨三层的流量转发。

随着市场需求变化以及各种新兴网络技术不断涌现，分布式网关的实现方式逐渐兴起——将三层网关分散部署到更靠近终端的接入层/边缘层。这种优化后的架构天然适应SDN（软件定义网络）的先进技术理念，在转发路径、网络运维、表项容量和网络安全等方面优势明显，成为了未来数据中心发展的主要方向。

当我们对比云和园区的网络模型可以发现：尽管迁移/移动的规模和速度等方面有一定差异，但云中的虚拟机和容器的迁移过程与园区内的无线终端漫游高度相似，都同样要求移动后的终端的IP/MAC不能发生变化。

云网中的分布式网关设计为传统园区网络架构创新提供了一个很好的思路。

更多云化园区建设新思路》

星融元新一代云化园区网络：分布式网关设计

星融元云化园区网络在全三层IP路由组网的基础上借鉴了云网中分布式网关的概念：一个子网的网关以分布式的形式存在于每一个接入交换机上。这可以充分利用每一个接入交换机的能力，让所有的跨子网转发动作在最近的交换机上完成，网关功能不再成为压垮网络中某一台设备的潜在风险，同时大幅度提升整网的转发效率。

园区漫游的集中式网关方案对比分布式网关方案：

高效转发路径，流量”不兜圈子”

传统的集中式网关方案中，终端发生跨VLAN的AP漫游后需建立隧道，将漫游后的业务报文发回原先的网关处理，导致转发路径长，效率较低。（图仅作流量示意，实际AC多为旁路部署）

在星融元的分布式网关方案中，每个接入交换机上都同时运行着相同的多个子网的网关，终端无论漫游到哪个AP，业务报文都可直接在本地接入交换机以最短路径完成漫游后的转发，无需到某个集中式网关上“兜圈子”，效率更高。并且，这种毫秒级的网络切换对于正在运行的上层业务不会有任何影响。

极简网络配置，开局”一步到位”

终端IP地址始终不变是实现无缝漫游的必要条件之一。星融元的园区方案中全网采用了统一的分布式网关，终端上线后，接入层的分布式网关会将它的IP/MAC信息以及安全控制策略在全网同步。

正因为终端漫游后接入的交换机上已经预先配置了网关信息，并且自动学习和同步了终端的IP/MAC信息，所以一旦感知到发生终端漫游便可快速响应，并将漫游后产生的表项变化在全网自动更新。

网络管理员所要做的，仅仅是在网络初始化时一次性配置好所有分布式网关的信息，运行过程中无需再有任何动态调整。

附：无线漫游数据参考，来自客户现场实测（采用上述分布式网关方案），网络切换时延约10ms，丢包0

原文地址：小于10ms！基于SONiC+白盒AP的WiFi无缝漫游实测

更多关于星融元云化园区网络解决方案的创新亮点，请持续关注星融元官方公众号：星融元Asterfusion

关注星融元

都在谈云化园区，你有多少受益其中？

园区网络正在逐步跨入万物互联的物联网时代，各类智能终端的爆炸式增长和数字经济下的创新应用对园区网络提出更严苛的要求。借鉴云数据中心网络的发展经验，对园区网络进行云化改造是大家一致认同的解决方案。

但是，市面常见云化方案思路多是围绕一个综合性的SDN控制器进行整个园区网络的建设——将原本很多复杂、繁琐的运维和部署工作集中在统一的控制器上，通过可视化Web界面完成整网的运维和部署。

这的确很大程度上简化了日常运维工作，不过变革还不够彻底——虽然对外呈现了一个光鲜亮丽的SDN控制器，但底层仍然是僵化、复杂、臃肿的传统网络架构。很多传统园区正在经历的麻烦事，例如复杂的安全策略增删、广播风暴定位、WIFI频繁掉线、网络扩容困难等等，在这般“云化”之后仍然存在，治标不治本。

彻底的云化变革，将”精简“与“高效”根植于底层网络架构

星融元的园区网络云化思路侧重网络架构本身，针对复杂、臃肿的传统园区网络架构，我们用Spine-Leaf、Arp-to-Host、分布式网关等云数据中心领域先进的技术理念，对园区的底层网络架构进行了全面的变革。相较于传统组网方案，星融元的全三层横向扩展组网方案可降低园区建设运营成本40%以上。

01 效仿云网架构的物理网络

多级Spine-Leaf架构：破除网络性能瓶颈，网络更易扩展

传统园区网络的“接入-汇聚-核心”三层架构自下而上逐层收敛，层级越往上，设备性能要求越高。随着网络规模的不断扩展，整个网络的性能瓶颈将聚焦在核心交换机上。

在云计算和大数据旺盛的带宽需求驱动下，云数据中心网络早已转型为无阻塞的多级Clos结构（Leaf-Spine），而在当下万物互联的物联网时代，云化园区网络亦采用了早已成熟的多级Clos结构。

无阻塞的多级Clos结构（Leaf-Spine）

并且，随着园区规模的从小到大，这个多级的Clos网络能够从一级横向扩展至多级，使得网络能够接入的终端数量从几十个扩展到几十万个不等，并且，扩展的过程中原有的网络架构完全保持不变，新扩展的模块与原有模块架构完全一致，最大限度地降低了维护的复杂度。

多级CLOS架构下的园区规模扩展

全三层路由组网：压缩二层域，根除广播风暴

通过一系列技术手段，我们将二层广播域压缩至交换机的每一个物理端口。终端仅和其所连的接入层Leaf接口上的网关IP进行二层通信，网关负责完成后续的三层路由转发——这从根源上彻底阻断了二层广播风暴发生的可能性，也阻断了依赖二层通信的网络病毒的传播路径。

全三层组网

去堆叠/MC-LAG/STP：充分利用带宽，不增加运维难度

传统园区网络架构下，为避免网络环路引入了以生成树（STP）为代表的一系列防环协议，但其核心思想都是人为阻塞一部分端口，冗余下来的链路只能做闲置备份。虽然后来出现了堆叠、MC-LAG等新技术，但因技术原理复杂，给运维部门带来了额外的工作量和故障风险。

在星融元新一代云化园区网络下，多级CLOS架构是天然无环路的，配合轻量级的等价多路径路由（ECMP）机制，可以在保证最高链路利用率和最低复杂度的前提下实现组网高可靠。

CLOS架构天然无环路

02 更贴合业务的网络虚拟化

轻量级的路由隔离方案：轻松实现一网多用

在大规模的园区部署实践中，为了保证安全高效的网络环境，不同的业务类型或部门会有严格的网络隔离需求。传统的做法是通过ACL策略做访问控制，或者建立两张独立的物理网络，其代价就是巨大的配置和维护工作量，或者更高的建设成本。

在星融元的云化园区方案中，我们的思路是使用轻量级的虚拟路由转发（VRF）技术进行隔离，让多种业务可以复用一张物理网络。（对于超大规模、网络空间复杂且重叠的园区网络，也可以完全复制云网中主流的VXLAN技术方案）

一网多用

接入层的分布式网关：更高效的无AC园区漫游

在跨三层的无线漫游场景中，因为所在的IP子网发生了变化，终端不得不获取新的IP地址以适应新的网关，这势必会造成终端网络断连。

传统园区网络一般是尽可能将需要漫游的区域规划在一个二层网络里，但二层网络越大越不安全；二是在新旧网关之间建立隧道，把漫游后的终端流量传输到原来的网关来转发，而这又导致复杂的配置和低效的流量转发路径，影响了漫游性能。

星融元云化园区网络在全三层组网的基础上借鉴了云网中分布式网关的概念，即：在每一台接入层交换机上都运行统一的分布式网关，并且自动学习和同步了漫游终端的IP/MAC信息。如此一来，终端漫游过程中既不会有业务断连，流量也无需到某个集中式网关上“兜圈子”。

分布式网关

03 软硬解耦的开放式网络

传统园区网络中各种私有的网络协议、沉重的机框设备搭载着封闭的网络操作系统、网络无法随着业务的发展进行灵活的调整。

星融元的云化园区网络是一个全面解耦的开放式网络，采用全盒式设备的精简组网模式，搭载以开源开放的SONiC为内核而设计的网络操作系统——AsterNOS。

相关阅读：AsterNOS是一款怎样的网络操作系统？

• 大容量全盒式单芯片交换机组网，高密度端口、高性能转发、端口类型丰富
• AsterNOS提供容器化环境和丰富的可编程接口，助力网络功能二次开发，并可无缝对接网络控制器和云管平台

相关产品一览

让用户从园区网络的云化转型中切实获益

园区使用者

1. 上网更流畅、更稳定
2. 跨楼层/楼栋移动，WiFi不掉线，体验类比4G/5G网络

园区网络工程师

1. 除IP地址以外，同一层设备配置相同，开局自动部署上线，运维简单少背锅
2. 网络环路、广播风暴以及复杂的STP/堆叠技术，统统不复存在

园区建设运营方

1. 极简运维降低了运维技能要求和人才招聘难度
2. 高可靠组网+100%带宽利用率，无广播风暴更省心
3. 软硬解耦，自主可控，避免单一厂商锁定

关注星融元

传统的园区网络中，企业和供应商多是使用盒式交换机和框式设备来构建网络。当他们意识到在某些情况下，框式设备过于昂贵而且不够灵活，各自独立的盒式交换机又不便于统一管理。于是，堆叠架构诞生了。

01 堆叠式架构，让人欢喜让人愁

交换机的堆叠架构自20世纪90年代提出，其部署价值有目共睹。

比如，简化管理。堆叠后的交换机可以被视为一个逻辑实体，具有统一的管理界面，简化了管理和操作。高可用性方面，堆叠系统可以将不同物理交换机的端口进行链路聚合，使得下行链路具备更高的带宽和弹性。堆叠系统在逻辑上虚拟成一台交换机，所以也不需要为避免产生环路而去人为阻塞线路。此外，可堆叠交换机给中小企业提供了一个成本更低的选择——既有与框式设备类似的可扩展性，但又能更灵活地按需付费。

不过，随着有线、无线和物联网设备的快速增长，这种架构在下一代的园区网络中逐渐暴露出不少缺点。下面这几点相信一线的运维人应该深有感触。

• 厂商锁定。堆叠不是一个标准的协议，不同供应商的可堆叠交换机使用不同的电缆、连接器和软件，甚至同一供应商的不同交换机都不能混合使用。当堆叠中的交换机已经停止销售，但你却还需要进行扩展，那就必须整体更换。
• 有限的扩展性和带宽。虽然我们能按需增加堆叠成员，但由于堆叠带宽的限制，大多数供应商限制了堆叠组内设备的数量。（有些供应商会提供双向的吞吐量数据，可能会让客户误以为拥有两倍于实际的堆叠带宽）
• 堆叠分裂的风险。扩展或删除堆叠设备可能会导致服务中断，因为这个过程需要重新启动堆叠组下的所有设备。当故障或错误操作发生时，堆叠组可能分裂成2个或更多，导致业务受到影响。
• 软件引起严重故障。运行堆叠技术会给交换机软件增加很多复杂性（例如堆叠组管理、分裂检测等）。在现实中，堆叠组内的多台设备高度关联，一损俱损，软件问题甚至可以导致整个堆叠组的瘫痪。
• 物理拓扑结构受限。出于控制平面的时序要求和带宽的考虑，支持堆叠部署的交换机使用的是专有的电缆，这便把参与堆叠的交换机物理位置限制在了同一个机房甚至一个机柜内。

02 彻底抛弃堆叠方案，可行吗？

云计算发展的初始阶段，云计算网络架构是参照传统的园区网络来构建的。在市场需求和技术推动之下，云网络经历了20年的蜕变和升华——无论是整体网络架构还是在硬件设备、可扩展性、运维能力等方面，云网络都比传统网络更加先进。

如今星融元已将基于云的开放架构重新引入园区网。基于CLOS的Spine-Leaf架构保留了堆叠式架构的优点，同时也解决了其中的一些缺陷。

在星融元的云化园区网络架构中，我们彻底的抛弃了堆叠方案，转而采用基于L3能力实现的一种可靠度更高、扩展性更强、但复杂度约等于零的方案。

图1 堆叠架构对比Spine-Leaf架构

在这种方案下，不会有堆叠复杂的组网逻辑、纷繁的设备配置、脆弱的状态同步等机制——整个园区设备组网将如同一台具有成千上万个接入端口的超大型虚拟交换机，可以进行统一的运维管理。

• 接入终端并不需要为此方案做出任何调整，依然是通过两条（或多条）的线路、采用通用的Bond技术，上连到不同的接入Leaf；
• 接入Leaf通过使用ARP学习、32位主机路由、BGP同步等功能，利用L3网络天然的高可靠、多路径能力，达到跟传统堆叠一样的效果；
• 不涉及复杂的堆叠软件开发，因此系统的稳定性非常高，不会因为复杂的堆叠逻辑引入潜在的Bug；
• 利用L3网络的ECMP负载分担能力，可以充分利用交换机之间的所有带宽传递报文，网络性能更高。

03 同样支持交换机“多虚一”，但配置更简单，扩展更灵活

在星融元的云化园区网络架构下，运维工程师仅需完成基础的网络连接和集群相关配置，即可建立起交换机集群。集群内的多台交换机也可虚拟成一台逻辑交换机——同层设备使用同一套配置文件模板，具有统一的管理界面，配置将自动同步到集群成员（与堆叠系统类似），新增设备仅需人工完成最基础的接线操作即可通过ZTP顺利上线。

图2 多台交换机虚拟成一台逻辑交换机

在Spine-Leaf架构下，集群的规模可以非常大而不必担心堆叠带宽的问题。例如，在48口接入交换机的堆叠系统中，下行端口的最大数量是48×8（因为堆叠成员限制），但在星融元的云化园区网络架构中，这个数量可以很容易地扩展到48×48（Spine层也使用48口交换机），甚至在3层CLOS架构中是48x48x64（以64口交换机作为3级CLOS的Spine为例）。

图3 可扩展的多层CLOS架构

04 同样实现高可靠，但网络更精简，带宽利用更充分

传统的园区网络为提高组网的可靠性并避免以太网环路和广播风暴等问题，部署了很多复杂的功能（如堆叠、MC-LAG、STP）。星融元的云化园区网络方案采用天然无环路的Spine-Leaf架构，全三层路由组网，全网链路基于ECMP多路径负载分担，在保证高链路利用率和低复杂度的前提下实现了组网的可靠性。

图4 全三层的组网

不仅仅是去堆叠，星融元云化园区网络解决方案还蕴含着多层次的创新点，从架构到建设到运维，我们基于开放云网理念和技术所带来的变革，都将帮助园区网络的拥有者和运营者架构极简、更可靠、更安全、更高性能的网络。