隨著以云平臺為IT基礎搭建的業(yè)務場景越來越廣泛的被應用于政企及運營商,區(qū)分
云計算的網絡流量類型也變得越來越重要,因為云計算會越來越多的以場景的方式落地于各個行業(yè),不同業(yè)務的流量是不一樣的,所以首先應該對各種行業(yè)應用下云計算網絡的流量類型進行區(qū)分,同時對這些流量進行管理 。
一、云計算環(huán)境下網絡流量的區(qū)分
用戶與后臺資源的網絡穩(wěn)定性對于最終體驗是至關重要的,然而對于大部分傳統(tǒng)企業(yè)和運營商來說,網絡的QOS使用并不能完全滿足網絡穩(wěn)定性的要求,對于大多數(shù)傳統(tǒng)企業(yè),數(shù)據(jù)中心多依靠于運營商的網絡,所以多數(shù)的流量全部混合到核心網絡當中去進行傳輸,那么對于云計算環(huán)境下,多業(yè)務,多租戶的模式下,網絡流量的區(qū)分至關重要。
圖1 云計算環(huán)境下網絡流量的區(qū)分
設計云計算的網絡模型時,我們應該更多、更好地去運用云計算所帶來的便捷性,多種業(yè)務共存在每個資源池當中,從資源池引入到上層網絡,這時我們就應該對于多種流量進行逐一的區(qū)分,建立不同的業(yè)務模型,找到不同業(yè)務對應的底層協(xié)議種類,以便在日后整個云計算爆發(fā)的時候,使得每個邏輯業(yè)務網絡更加清晰,從龐大的數(shù)據(jù)流當中提取不同流量。對于云計算來說,三種服務模型所產生的流量也是有所不同,宏觀上可以區(qū)分如下:
SaaS流量模型
包括大量的HTTP與HTTPS流量,主要分布于80與443端口,通常屬于一種輕量型的數(shù)據(jù)連接機制,但是在一定程度下,比如上傳或者下載,將會產生多種數(shù)據(jù)流進行傳遞,使得帶寬占用的不明朗,與資源管理的復雜性。
PaaS流量模型
PaaS屬于對外提供定制的軟件運行環(huán)境,往往會在系統(tǒng)開發(fā)與調試階段產生不同的數(shù)據(jù)流量,那么多與每項的程序調用所使用的流量區(qū)分,在這個平臺也會逐漸產生。
IaaS流量模型
IaaS這個層面所產生的流量就比較復雜,兩個維度,一個是屬于面向業(yè)務,多租戶,多業(yè)務的流量區(qū)分,在線存儲的服務,每個存儲通道所產生的流量區(qū)分,每個虛擬機所產生的流量的區(qū)分,對于整個網絡的流量區(qū)分與所需網絡的提供將會是一個逐漸演變的過程。
基于以上的流量區(qū)分與流量的安全性,我們應該在云數(shù)據(jù)中心網絡層面上去提前認識與使用,并結合業(yè)務實際需求去建設適合用戶的數(shù)據(jù)中心網絡。
二、相同數(shù)據(jù)中心二層網絡互通
隨著云計算落地數(shù)據(jù)中心,虛擬流量逐漸產生,數(shù)據(jù)中心的概念在逐漸模糊,同地域,不同地域,同資源池,不同資源區(qū)分等,本章節(jié)主要是講述,相同數(shù)據(jù)中心之間的網絡架構實現(xiàn),以新老技術為背景,進行實現(xiàn)與架構設計的分享。
1.1VPLS的實現(xiàn)
vpls對于傳統(tǒng)網絡來說,這個詞語并不陌生,在之前文章當中已經提及基本知識,本章不再對基本知識進行相關介紹,主要以架構設計與實現(xiàn)進行分享,我們都知道,MPLS-VPN,這個2.5層的網絡路由協(xié)議可以說是一種比較老舊的技術,但是在當前云計算的環(huán)境下,對于多業(yè)務的區(qū)分,多種虛擬流量的整合又重新興起到了現(xiàn)有的云計算網絡平臺,它們將會發(fā)揮它們在于邏輯網絡區(qū)分的優(yōu)勢,繼續(xù)發(fā)揮這個老司機的作用。之所以認為它是屬于相同數(shù)據(jù)中心的網絡通信協(xié)議,其實不難理解,MPLS也好VPLS也好,都是一種依靠LABLE傳遞的路由協(xié)議,那么對于租用運營商鏈路或者跨域其他鏈路資源來說,中間的設備必須具有LABLE的能力,整體來說,還是屬于一張私有的邏輯網絡,那么整個網絡其實可以理解為一個數(shù)據(jù)中心的整體,并沒有在廣域鏈路上進行完全的隔離與混合,那么在云背景下,對于二層網絡來說,vpls也即是再適合不過的一個流量區(qū)分的一個協(xié)議選擇了,其天生的VSI標示,就是對于每一個二層網絡進行相互隔離的一個基本機制,利用其VSI我們就可以對不同的流量或者云計算當中的每個虛擬網絡流量進行區(qū)分,本節(jié)將會以vpls為主,進行分享。
VPLS在個人業(yè)務中的應用
業(yè)務描述:
HSI(High Speed Internet)、VoIP(Voice Over IP)、BTV(Broadband TV)這些個人業(yè)務通常是通過運營商的城域網來承載業(yè)務流量的。
由于個人業(yè)務的業(yè)務網關(SR/BRAS等)部署在了城域出口,也就意味著用戶的二層報文需要透傳到業(yè)務網關(因為如果在PE上終結了二層報文,轉為三層路由轉發(fā)的話,承載在二層報文中的用戶信息將會丟失,而無法到達業(yè)務網關,導致業(yè)務網關無法對用戶實施控制),需要使用VPLS/VLL等技術透傳二層報文。當城域網部署主備業(yè)務網關時,用戶流量需要雙歸屬接入業(yè)務網關,此時必須使用VPLS技術才能實現(xiàn)。
組網描述:
個人業(yè)務(HSI、VoIP、BTV)依次通過城域網的接入層、匯聚層、核心層到達Internet網絡。如圖3是承載個人業(yè)務的典型組網。
HSI業(yè)務通過該承載網,訪問Internet網絡。
VoIP業(yè)務經過該承載網,向DHCP(Dynamic Host Configuration Protocol)Server申請IP地址。
BTV業(yè)務經過該承載網,向組播源申請組播服務。
圖2 個人業(yè)務(HSI、VoIP、BTV)
部署特性:
VPLS特性通常部署于PE設備之間,實現(xiàn)流量在PE設備之間的透明傳輸。根據(jù)圖1,以部署LDP方式的VPLS為例:
接入層設備的特性:
部署VLAN特性,用于區(qū)分不同類型的用戶。
部署PPPoEoA(PPPoE over AAL5)和PPPoA(PPP over AAL5)特性,實現(xiàn)HSI業(yè)務用戶的撥號接入。
部署組播VLAN、IGMP Snooping業(yè)務,實現(xiàn)組播業(yè)務分發(fā)。
匯聚層設備的特性:
PE設備部署IGP(Interior Gateway Protocol)協(xié)議,實現(xiàn)PE設備間路由互通。
PE設備部署MPLS基本功能,使得PE設備之間建立遠端會話。
PE設備部署MPLS L2VPN功能,同時建立VSI實例。
PE設備部署VPLS菊花鏈方式的組播業(yè)務,實現(xiàn)組播業(yè)務分發(fā)。
核心層設備的特性:
BRAS(Broadband Remote Access Server)設備部署認證、計費等特性,用于進行HSI業(yè)務的終結。
SR(Service Router)設備部署IGP協(xié)議,實現(xiàn)路由互通。
SR設備部署MPLS基本功能。
SR設備部署DHCP Relay功能,實現(xiàn)VoIP用戶通過DHCP Server獲得IP地址。
SR設備部署三層組播特性,實現(xiàn)與組播源之間業(yè)務的互通。
VPLS在企業(yè)業(yè)務中的應用
業(yè)務描述:
目前,很多企業(yè)的分布范圍日益擴大,公司員工的移動性也不斷增加,因此企業(yè)中立即消息、網絡會議的應用越來越廣泛。這些應用對端到端的數(shù)據(jù)通信技術有了更高的要求。端到端數(shù)據(jù)通信功能的實現(xiàn)依賴于一個能夠支持多點業(yè)務的網絡。同時,企業(yè)業(yè)務本身對數(shù)據(jù)保密的固有特點,多點傳輸時不僅要求能保證網絡可靠性,還要求提供透明、安全的數(shù)據(jù)通道。
在運營商建立的城域網中,企業(yè)的多個分支機構分布在不同區(qū)域。此時,需要將企業(yè)機構之間的二層業(yè)務報文通過城域網傳輸時通常會使用VPLS技術,實現(xiàn)分布在不同地區(qū)的企業(yè)內部之間的互通。
組網描述:
企業(yè)業(yè)務通過城域網傳輸。如圖1是承載企業(yè)業(yè)務的典型組網。某企業(yè)擁有多個分支機構,Site1、Site2、Site3是研發(fā)部門。通過部署VPLS特性,實現(xiàn)site之間二層網絡互通。
圖3 企業(yè)業(yè)務典型組網
部署特性:
VPLS特性通常部署于PE設備之間,實現(xiàn)流量在PE設備之間的透明傳輸。從企業(yè)用戶看來,公網類似一個二層交換機。根據(jù)圖1,以部署LDP方式的VPLS為例:
接入層設備的特性:
部署VLAN特性,用于區(qū)分不同類型的企業(yè)用戶。
匯聚層設備的特性:
PE設備部署IGP協(xié)議,實現(xiàn)PE設備間路由互通。
PE設備部署MPLS基本功能,使得PE設備之間建立遠端會話。
PE設備部署MPLS L2VPN功能,同時建立VSI實例。采用VPLS雙歸組網形式,實現(xiàn)對流量的保護。
PE設備部署MAC地址限制、報文流量抑制功能,實現(xiàn)對數(shù)據(jù)保護。
1.1.1 HVPLS
HVPLS(Hierarchical Virtual Private LAN Service),即分層VPLS,是一種實現(xiàn)VPLS網絡層次化的一種技術。
HVPLS 產生背景
以LDP方式為信令的VPLS,為了避免環(huán)路,其基本解決辦法都是在信令上建立所有站點的全連接,LDP建立所有站點之間的LDP會話的全連接。在進行數(shù)據(jù)轉發(fā)時,對于從PW來的報文,根據(jù)水平分割轉發(fā)的原理,將不會再向其他的PW轉發(fā)。如果一個VPLS有N臺PE設備,該VPLS就有N×(N-1)÷2個連接。當VPLS的PE增多時,VPLS的連接數(shù)就成N平方級數(shù)增加。假設有100個站點,站點間的LDP會話數(shù)目將是4950個。上述VPLS方案不能大規(guī)模的應用的真正缺點是提供VC的PE需要復制數(shù)據(jù)包,對于第一個未知單播報文和廣播、組播報文,每個PE設備需要向所有的對端設備廣播報文,這樣就會浪費帶寬。
為解決VPLS的全連接問題,增加網絡的可擴展性,產生了HVPLS組網方案。在協(xié)議draft-ietf-l2vpn_vpls_ldp中引入了HVPLS。HVPLS通過把網絡分級,每一級網絡形成全連接,分級間的設備通過PW來連接,分級之間的設備的數(shù)據(jù)轉發(fā)不遵守水平分割原則,而是可以相互轉發(fā)。
圖4 HVPLS MODEL
HVPLS的基本模型中,可以把PE分為兩種:
UPE:用戶的匯聚設備,即直接連接CE的設備稱為下層PE(Underlayer
PE),簡稱UPE。UPE只需要與基本VPLS全連接網絡的其中一臺PE建立連接。UPE支持路由和MPLS封裝。如果一個UPE連接多個CE,且具備基本橋接功能,那么數(shù)據(jù)幀轉發(fā)只需要在UPE進行,這樣減輕了SPE的負擔。
SPE:連結UPE并位于基本VPLS全連接網絡內部的核心設備稱為上層PE(Superstratum
PE),簡稱SPE。SPE與基本VPLS全連接網絡內部的其他設備都建立連接。
對于SPE來說,與之相連的UPE就像一個CE。從數(shù)據(jù)轉發(fā)的角度看,UPE與SPE之間建立的PW將作為SPE的AC,UPE將CE發(fā)送來的報文封裝兩層MPLS標簽,外層為LSP的標簽,該標簽經過接入網的不同設備時被交換;內層標簽為VC標簽,用于標識VC。SPE收到的報文包含兩層標簽,外層的公網標簽被直接彈出,SPE根據(jù)內層的標簽決定該AC接入哪個VSI并進行內層標簽交換。
HVPLS的接入方式
如圖4所示,UPE1作為匯聚設備,它只跟SPE1建立一條虛鏈路而接入鏈路PW,跟其他所有的對端都不建立虛鏈路。UPE與SPE之間的PW稱為U-PW,SPE間的PW稱為S-PW。
以CE1發(fā)送報文到CE2為例,數(shù)據(jù)轉發(fā)流程如下:
CE1發(fā)送報文給UPE1,報文的目的MAC地址是CE2;
UPE1負責將CE1發(fā)送的報文發(fā)給SPE1,UPE1為該報文打上兩層MPLS標簽,外層標簽標識UPE1與SPE1之間的LSP Tunnel ID,內層標簽標識UPE1與SPE1之間的VC ID;
UPE1與SPE1之間的LSR對用戶報文進行傳遞和標簽交換,最終在倒數(shù)第二跳報文的外層標簽被剝離;
SPE1收到報文后,根據(jù)MPLS內層標簽判斷報文所屬的VSI,發(fā)現(xiàn)該報文屬于VSI1;
SPE1去掉UPE1給用戶報文打上的MPLS內層標簽;
SPE1根據(jù)用戶報文的目的MAC,查找VSI的表項,發(fā)現(xiàn)該報文應該被發(fā)往SPE2。SPE1給該報文打上兩層MPLS標簽,外層標簽標識SPE1與SPE2之間的LSP Tunnel ID,內層標簽標識SPE1與SPE2之間的VC ID;
SPE1與SPE2之間的LSR對用戶報文進行傳遞和標簽交換,最終在倒數(shù)第二跳報文的外層標簽被剝離;
SPE2從S-PW側收到該報文后,根據(jù)內層MPLS標簽判斷報文所屬的VSI,發(fā)現(xiàn)該報文屬于VSI1,并去掉SPE1給該報文打上的內層MPLS標簽;
SPE2為該報文打上兩層MPLS標簽,外層標簽標識SPE2與UPE2之間的LSP Tunnel ID,內層標簽標識UPE2與SPE2之間的VC ID,并轉發(fā)該報文;
SPE2與UPE2之間的LSR對用戶報文進行傳遞和標簽交換,最終在倒數(shù)第二跳報文的外層標簽被剝離;
UPE2收到該報文后,去掉UPE2給用戶報文打上的MPLS內層標簽,根據(jù)用戶報文的目的MAC,查找VSI的表項,發(fā)現(xiàn)該報文應該被發(fā)往CE2,并轉發(fā)該報文。
CE1與CE4為本地CE之間交換數(shù)據(jù),如圖2所示。由于UPE本身具有橋接功能,UPE直接完成兩者間的報文轉發(fā),而無需將報文上送SPE1。不過對于從CE1發(fā)來的目的MAC未知的第一個報文或廣播報文,UPE1在廣播到CE4的同時,仍然會通過U-PW轉發(fā)給SPE1,由SPE1來完成報文的復制并轉發(fā)到各個對端CE。
HVPLS的環(huán)路避免
與VPLS的環(huán)路避免相比,H-VPLS中環(huán)路避免方法需要做如下調整:
只需要在SPE之間建立全連接(PW全連接),UPE和SPE之間不需要全連接。
每個SPE設備上,從與SPE連接的PW上收到的報文,不再向這個VSI關聯(lián)的、與其它SPE連接的PW轉發(fā),但可以向與UPE連接的PW轉發(fā)。
每個SPE設備上,從與UPE連接的PW上收到的報文,可以向這個VSI關聯(lián)的所有與其它SPE連接的PW轉發(fā)。
1.1.1.1配置LDP方式的HVPLS示例
組網需求:
企業(yè)機構,自建骨干網。分支Site1使用CE1連接UPE設備接入骨干網,分支Site2使用CE2連接UPE接入骨干網,分支Site3使用CE3連接普通PE1接入骨干網。現(xiàn)在Site1、Site2和Site3的用戶需要進行二層業(yè)務的互通,同時要求在穿越骨干網時保留二層報文中用戶信息。另外要求骨干網的UPE和SPE實現(xiàn)分層次的網絡結構。
配置思路:
采用如下的思路配置LDP方式的HVPLS基本功能:
為實現(xiàn)Site1、Site2和Site3的二層業(yè)務互通,同時在穿越骨干網時保留二層報文的用戶信息,故需要使用VPLS技術在骨干網透傳二層報文;
由于企業(yè)需要實現(xiàn)分層次的網絡結構,可以選擇LDP方式的HVPLS,形成層次化的網絡拓撲并實現(xiàn)各CE設備二層網絡的互通;
為實現(xiàn)PE間數(shù)據(jù)的公網傳輸,需要在骨干網上配置IGP路由協(xié)議實現(xiàn)互通;
VPLS實現(xiàn)依靠MPLS基本功能,故需要在骨干網上的設備配置MPLS基本功能和LDP;
為使PE間傳輸?shù)臄?shù)據(jù)不被公網感知,需要在PE間建立傳輸數(shù)據(jù)所使用的隧道;
為實現(xiàn)VPLS功能,需要在PE上使能MPLS L2VPN;
為實現(xiàn)LDP方式的VPLS,需要在PE上創(chuàng)建VSI,指定信令為LDP,然后在UPE和PE1上將VSI與AC接口綁定;
為實現(xiàn)層次化的HVPLS功能,需要在SPE上指定UPE為自己的下層PE,PE1為VSI對等體;在UPE和PE1上分別指定SPE為VSI對等體。
1.1.2 Martini VPLS
組網需求:
如圖1,某企業(yè)機構,自建骨干網。分支Site站點較少(舉例中只列出2個站點,其余省略),分支Site1使用CE1連接PE1設備接入骨干網,分支Site2使用CE2連接PE2接入骨干網。現(xiàn)在Site1和Site2的用戶需要進行二層業(yè)務的互通,同時要求在穿越骨干網時保留二層報文中用戶信息。
圖5 Martini方式配置VPLS
1.1.2.1 配置Marrtini VPLS的示例
采用如下的思路配置Martini方式VPLS的基本功能:
為實現(xiàn)Site1和Site2的二層業(yè)務互通,同時在穿越骨干網時保留二層報文的用戶信息,故需要使用VPLS技術在骨干網透傳二層報文;
由于企業(yè)網絡結構的Site站點較少,可以選擇Martini方式的VPLS,實現(xiàn)各CE設備二層網絡的互通;
為實現(xiàn)PE間數(shù)據(jù)的公網傳輸,需要在骨干網上配置IGP路由協(xié)議實現(xiàn)互通;
VPLS實現(xiàn)依靠MPLS基本功能,故需要在骨干網上的設備配置MPLS基本功能和LDP;
為使PE間傳輸?shù)臄?shù)據(jù)不被公網感知,需要在PE間建立傳輸數(shù)據(jù)所使用的隧道;
為實現(xiàn)VPLS功能,需要在PE上使能MPLS L2VPN;
為實現(xiàn)Martini方式VPLS,需要在PE上創(chuàng)建VSI,指定信令為LDP,然后將VSI與AC接口綁定。
1.2Fabrica-Path的實現(xiàn)
1) vPC+實現(xiàn)雙活的網關路由
如果在FabricPath網絡中單純的使用HSRP技術,HSRP虛擬IP地址所對應的虛擬MAC地址,只會映射到活動的網關的Switch ID。這樣FabricPath去往外部三層網絡的流量只會從活動網關轉發(fā)。但是如果在HSRP環(huán)境下啟用了vPC+技術,如圖8-33所示,HSRP的虛擬MAC地址會映射到vPC+虛擬交換機的Switch ID。并且在FabricPath路由表中會學習到去往虛擬交換機Switch ID的路由通過兩個網關進行負載均衡,真正實現(xiàn)了去往外部三層網絡的負載均衡。
圖6 外部網絡
1.3 Trill的實現(xiàn)
圖7 IP Network
通過TRILL協(xié)議構建扁平化二層網絡,實現(xiàn)整網無阻塞轉發(fā)及虛擬機的任意遷移。使用TRILL協(xié)議部署數(shù)據(jù)中心網絡時,首先在所有設備上配置TRILL基本功能,繼而根據(jù)網絡層次,進行如下處理:
接入層:
在用戶側配置CE VLAN接入服務器,配置后用戶流量可以通過TRILL網絡傳輸。如果服務器通過接入設備雙上行接入到TRILL網絡中,建議用戶在連接接入設備的邊緣RB上配置STP/RSTP/MSTP聯(lián)動TRILL功能進行破環(huán)。在網絡側,可以調整TRILL的路由選路和控制TRILL的網絡收斂來保證網絡高效轉發(fā)。
核心層:
在網絡側可以調整TRILL的路由選路和控制TRILL的網絡收斂來保證網絡高效轉發(fā)。在出口側,可以通過出口路由器連接企業(yè)其他網絡,或者在核心層設備上配置虛擬系統(tǒng)VS(Virtual System),使用其中一個VS作為出口網關,連接企業(yè)其他網絡。
三、 數(shù)據(jù)中心私有安全通道
VPN屬于目前云計算環(huán)境當中典型的鏈路加密方式,在整個云計算環(huán)境體系當中,SSL與IPsec VPN屬于最典型也是最廣泛使用的兩種VPN技術。
資源集中屬于云計算的一個天然的本質,統(tǒng)一的資源池化,但是整個云計算環(huán)境當中面臨的用戶與后臺服務之間在廣域網上的安全通道就面臨了直接的挑戰(zhàn),每個業(yè)務的網絡都有可能在整個互聯(lián)網上進行傳遞,公有云也好,私有云也好,統(tǒng)一面臨著安全問題,為了在整個網絡通道進行安全加密,我們多數(shù)人想到的都是VPN,因為VPN天然具備了兩種基本特性-長連接與加密。
長連接在VPN狀態(tài)的體現(xiàn)就是每條連接都是有狀態(tài)的連接,也就是通常會使用類似“三次握手”的機制保證它的連接性,加密技術使得整個數(shù)據(jù)報文在專遞過程當中,對于任何人來說都是不可見的狀態(tài),保證了傳輸?shù)陌踩浴?/div>
VPN的選擇有很多,對于多種選擇來說,目前比較廣泛的可靠性加密傳輸為IPsec與SSL兩種VPN技術,本節(jié)以SSL VPN與IPsec進行分享。
3.1 SSL VPN
SSL VPN同傳統(tǒng)的加密技術具備如下優(yōu)勢:
部署簡潔:
目前所有瀏覽器都將SSL作為基本功能之一所集成,在用戶訪問時,通常的加密將會自動建立,不再使每一個訪問者進行配置與維護,這種零客戶端的處理機制,都極大地使得安全訪問變得如此簡單。
訪問的精細控制
SSL VPN可以對加密的隧道進行區(qū)分,使得每個用戶可以區(qū)分不同的網絡流向,采用不同的加密方式,甚至可以提供用戶級別的鑒權機制,依據(jù)安全策略,保證授權的用戶訪問特定的資源限制,這在傳統(tǒng)的VPN當中實現(xiàn),基本是不可能的一種實現(xiàn)方式。
FIRWALL的穿越機制
因為SSL VPN工作在傳輸層之上,那么對于傳統(tǒng)的NAT與防火墻設備而言,用戶可以在任何地點安全訪問內部資源,而不會被傳統(tǒng)的相關防火墻所阻擋,并且在解決IP地址沖突方面優(yōu)越于其他VPN方式。
安全保護的可靠性
由于SSL VPN網關隔離了內網的服務與相關的客戶端,只通過WEB接口進行瀏覽,使得客戶端的大部分木馬無法傳染到所訪問的云服務器之上,保證了安全的可靠性機制。
SSL握手協(xié)議過程:
客戶機向服務器發(fā)出client hello消息,在該消息當中包含了SSL洗衣版本號,隨機數(shù),會話標識,(連接未建立時,此標識為空)、密碼算法組件配置、壓縮算法組件配置,以及其他服務器需要客戶機提供的基本SSL協(xié)議消息。
服務器端向客戶機發(fā)送 server hello 消息,在該消息當中包含了SSL協(xié)議版本號,隨機數(shù),會話標識,選擇的密碼算法,選擇的壓縮算法,以及其他的SSL協(xié)議信息。若服務器端要驗證客戶機的證書,將發(fā)送一個客戶證書請求,將這些內容發(fā)送結束后,發(fā)出server hello down消息作為對client hello回應的結束。
圖8 SSL握手協(xié)議過程
客戶機根據(jù)收到的信息來驗證服務器的身份,如果服務器的身份無法被驗證,那么客戶端就會收到警告信息,驗證通過進行下一步驗證同步。
客戶機與服務器使用master secret進行session keys(連接秘鑰)生成,它屬于對稱密鑰,在SSL會話過程中,用來進行數(shù)據(jù)的加密與解密,同時用于數(shù)據(jù)的完整性。
客戶機向服務器發(fā)送一條消息,聲明后面發(fā)送過來的數(shù)據(jù)幀將會使用加密秘鑰,接著還會再發(fā)出一條單獨的消息表明建立連接信任時客戶端的工作已經完成,至此SSL的握手協(xié)議正式結束,開始進行SSL會話,客戶機與服務器使用session keys來完成通信過程中數(shù)據(jù)的加密解密以及數(shù)據(jù)的完整性檢查。
SSL記錄協(xié)議:
在SSL協(xié)議中,所有的傳輸都會被封裝記錄,記錄是由記錄頭和長度不為0的記錄數(shù)據(jù)組成,所有SSL協(xié)議當中(包括握手協(xié)議、安全空白記錄和應用數(shù)據(jù))都是使用SSL記錄層協(xié)議進行記錄,并且其定義了記錄頭和記錄數(shù)據(jù)的相關格式。
SSL VPN分為多種類型,在基本技術框架的基礎上,可以細分為零客戶端,瘦客戶端和隧道模式三種,其中隧道模式可以用在沒有web瀏覽器的環(huán)境當中。
3.2 IPsec VPN
在傳統(tǒng)VPN方式當中,IPsec是目前部署最為廣泛的點對點VPN技術之一,點對多點為MPLS-VPN或者VPLS-VPN,當位于兩地的分支機構希望使用VPN技術進行通信時,一種情況就是向運營商申請專線資源,但是這種資源方式對于一般企業(yè)而言價格高昂,而且安全性問題無法得到確切的保證,IPsec就在這種情況之下孕育而出。IPsec將網關設備發(fā)往對端的數(shù)據(jù)打包加密后,在因特網上進行傳輸,對端網關設備收到數(shù)據(jù)包,解封裝后再發(fā)往目的客戶端,而整個過程對于客戶端來說都屬于無感知狀態(tài),效果跟租用運營商鏈路一樣,但是加密過程使得數(shù)據(jù)充分保持了安全性。
對于IPsec VPN,無論是哪種數(shù)據(jù)流,若一方進行了加密,而另一方沒有配,則無法通訊,對于GRE則,路由鄰居都無法建立。另一個概念是隧道模式和傳輸模式。所謂的隧道模式還是傳輸模式,是針對如ESP如何封裝數(shù)據(jù)包的,前提是ESP在最外面,如果都被Over到了GRE里,自然談不上什么隧道模式和傳輸模式(都為隧道模式)。只有當GRE Over IPsec的時候,才可以將模式改為傳輸模式。IPsec不支持組播,即不能傳遞路由協(xié)議,而GRE支持。
目前雖然IPsec VPN仍然為主流VPN方式,但是在云環(huán)境下,它也不得不去面臨其管理成本高昂、由于工作在OSI第三層上,而使其協(xié)議本身無法附帶高層的安全策略、網絡配置的復雜性等問題。
而SSL恰好解決了這些方面的原因,云計算的目的是向遠程用戶提供服務,但其實其多租戶的概念并不想讓自己的所有虛擬網絡暴露在整個平臺外,但是通過IPsec進行通訊時,很容易使得本地電腦上所附加的病毒、木馬等安全隱患直接帶到云環(huán)境當中的某個云主機上,SSL正好在遠程接入方面補齊了云環(huán)境下對于IPsec這個弊端所帶來的隱患問題。但是雖說IPsec年歲以大,但是寶刀未老,其安全特性依然還是使用在眾多網絡環(huán)境當中,其中以下兩點為IPsec使用的兩種最多的場景。
3.2.1 IPsec over GRE
IPsec Over GRE的主意為IPsec加密在里,GRE在外。先把需要加密的數(shù)據(jù)包封裝成IPsec包,然后再扔到GRE隧道里。作法是把IPsec的加密作用在隧道接口上,即為Tunnel口上監(jiān)控數(shù)據(jù)報文是否有需要加密的數(shù)據(jù)流,有則先加密封裝為IPsec包,然后封裝成GRE包進入隧道(那么顯而易見的是,GRE隧道始終存在,GRE整條VPN隧道并沒有被加密),同時,未在控制表內的數(shù)據(jù)流將以不加密的狀態(tài)直接走GRE的隧道,那么有些數(shù)據(jù)報文傳遞過程當中,可能并未真正加密,使得數(shù)據(jù)報文在傳遞過程當中,無法完全保證每條數(shù)據(jù)流量的安全性,同時,IPsec并不支持組播報文的傳遞,所以此種方式在企業(yè)網數(shù)據(jù)流量導向使用的比較少。
3.2.2 GRE over IPsec
GRE Over IPsec是指,先把數(shù)據(jù)封裝成GRE包,然后再封裝成IPsec報文。實現(xiàn)方式是在相應接口上進行流量監(jiān)控,檢測是否有需要加密的GRE流量,若是有相應流量運送過來,那么所有的這兩個端口的GRE數(shù)據(jù)流報文將會被加密封裝上IPsec包,然后再進行傳遞,這樣保證的是所有通過GRE隧道的數(shù)據(jù)報文都會被IPsec加密,包括隧道的建立和路由的建立和傳遞。采用此種方式可以解決IPsec在傳統(tǒng)點對點VPN當中,不支持組播的方式,同時解決了通過隧道傳遞的所有報文都進行了加密處理,完全的保證了每條流量的安全性。
圖9 GRE over IPsec
四、 跨數(shù)據(jù)中心二層網絡互通
在整個云計算網絡環(huán)境中,由于業(yè)務的批量部署,網絡的便捷性,對于2層網絡來說的需求正在逐年增加,越來越多的數(shù)據(jù)中心由單物理節(jié)點,向多個不同物理地域所演進,那么在此過程當中,2層網絡必然會隨之增大,甚至到了今天所面臨的跨越數(shù)據(jù)中心2層網絡通訊的挑戰(zhàn),云計算的到來也使得原有的3層主打的網絡模型變?yōu)榱烁屿`活方便的2層網絡模型,而云計算的多租戶,多業(yè)務模型使得每條業(yè)務都會擁有自己獨有的流量,又需要跨越數(shù)據(jù)中心,又需要2層網絡,同時需要多租戶,多業(yè)務基于流的隔離技術,前文已經介紹了許多關于2層流量的問題,包括VPLS VPN、Fabric-Path、TRILL等協(xié)議,都是基于流的區(qū)分2層協(xié)議,那么本節(jié)主要針對跨越不同物理地獄的2層協(xié)議進行說明。
3.1 OTV
Overlay Transport Virtualization (OTV) —-數(shù)據(jù)中心互聯(lián)解決方案
OTV是一個典型的在分布式地域的數(shù)據(jù)中心站點之間簡化2層擴展傳輸技術的工業(yè)解決方案. 使用OTV技術可以輕松在兩個站點部署Data Center Interconnect (DCI),而不需要改變或者重新配置現(xiàn)有的網絡.此外更要的,使用OTV技術可以將不同的地理域的數(shù)據(jù)中心站點構建統(tǒng)一的虛擬計算資源群集,實現(xiàn)工作主機的移動性,業(yè)務彈性以及較高的資源利用性. 主要的OTV特點包括:
在多個IP互聯(lián)的數(shù)據(jù)中心站點擴展2層LAN網絡
簡單的配置和選項:與現(xiàn)有的網絡無縫的接合,需要極少的配置(最少4條命令)
可靠的彈性:保留現(xiàn)有的3層故障邊界,提供自動的多宿主以及內置的防環(huán)機制
最大可用帶寬:使用等價多路徑以及優(yōu)化多播復制
除了在二層網絡環(huán)境下的特殊處理,OTV同時對三層路由也進行了相應的特殊處理,有針對性的優(yōu)化更改。數(shù)據(jù)中心局域網通常為了保證高可靠性,高穩(wěn)定性,通常會設置一個出口路由器作為網關,這些路由器上同時啟用了高HA機制保證網絡簡潔性,同時對下層設備提供一個VIP進行虛擬路由,保證3層網絡的HA問題,底層設備會協(xié)同處理數(shù)據(jù)報文發(fā)送到VIP所在的虛擬路由網關。
那么對于數(shù)據(jù)中心之間,不同地域,之間的通信,那么這些保證HA的相關心跳報文就會在不同數(shù)據(jù)中心之間傳遞,這樣就會發(fā)生一個不可避免的問題,那就是不同城域網或者數(shù)據(jù)中心的下層設備,就會認為所有出口路由器都處在相同的地域之中,數(shù)據(jù)包很可能會從一個SITE跨越距離很長的路段,傳遞到別的數(shù)據(jù)中心的出口路由器,OTV很好的解決了此類問題,當其將多個數(shù)據(jù)中心之間的鏈路打通后,OTV就會自動阻止不同區(qū)域的HSRP、VRRP、GLBP的信令包,從而使得每個數(shù)據(jù)中心的下層設備轉發(fā)不會傳遞到其他的區(qū)域,而是從本區(qū)域的VIP出口路由器向外發(fā)送相關報文,保證業(yè)務的高可用同時,使得流量更加易于管理。
在面對跨越數(shù)據(jù)中心網絡通訊的時候,OTV是個非常高效可靠的一款二層路由協(xié)議,其是一款專供跨越數(shù)據(jù)中心的二層互聯(lián)技術,對比VPLS有著配置簡化,邏輯清晰,在廣域網上搭建二層通道的能力正好應對了數(shù)據(jù)中心大二層網絡互聯(lián)的需求,不過從技術層面上去看,VPLS也有其天生特有的優(yōu)勢,就是MPLS-VPN的實踐程度與可靠性經過了大規(guī)模的驗證,但是VPLS依托于Lable封裝,那么其無法在普通的IP網絡上進行有效的搭建與透傳,而OTV恰恰解決了此問題。
3.2 EVN
EVN(Ethernet virtual Network)是一種基于VXLAN隧道的二層網絡互連VPN技術,EVN本身可以通過MP-BGP協(xié)議來傳遞二層網絡間的MAC地址信息,通過生成的MAC地址表項進行二層報文封裝的轉發(fā)。
隨著數(shù)據(jù)中心的業(yè)務發(fā)展,多個數(shù)據(jù)中心進行二層網絡互聯(lián)的需求逐漸旺盛,與傳統(tǒng)的vpls虛擬二層網絡來進行比較,EVN在跨越數(shù)據(jù)中心虛擬二層網絡互通方面有如下:
與VPLS相比,EVN技術可以解決上述問題:
1) EVN通過擴展BGP協(xié)議使二層網絡間的MAC地址學習和發(fā)布過程從數(shù)據(jù)平面轉移到控制平面。這樣可以使設備在管理MAC地址時像管理路由一樣,使目的MAC地址相同但下一跳不同的多條EVN路由實現(xiàn)負載分擔;
2) 在EVN網絡中PE設備之間是通過BGP協(xié)議實現(xiàn)相互通信的。BGP協(xié)議支持路由反射器功能,所以可以在運營商骨干網上部署路由反射器,所有PE設備與反射器建立鄰居關系,通過路由反射器來反射EVN路由,大大減少了網絡部署成本;
3) PE設備通過ARP協(xié)議學習本地和遠端的MAC地址信息以及其對應的IP地址,并將這些信息緩存至本地。當PE設備再收到其他ARP請求后,將先查找本地緩存的MAC地址信息,如果查找到對應信息,PE將返回ARP響應報文,避免ARP請求報文向其他PE設備廣播,減少網絡資源消耗;
4) EVN網絡中不再使用MPLS隧道,而是使用VXLAN隧道。VXLAN隧道可以在PE間的鄰居關系建立成功后通過EVN路由的傳播自動建立,大大減少了配置工作量。
配置EVN實現(xiàn)數(shù)據(jù)中心互聯(lián)示例
組網需求
如圖1所示,Site1和Site2內為二層數(shù)據(jù)中心網絡,用戶要求實現(xiàn)不同二層數(shù)據(jù)中心網絡間相互通信,并保證EVN網絡的可靠性。當運營商骨干網中存在大量PE設備時(舉例中只列出3個PE設備,其余省略),可以選擇在運營商骨干網內配置一臺設備作為EVN路由反射器,保證PE設備的全連接。
圖10 配置EVN實現(xiàn)數(shù)據(jù)中心互聯(lián)組網圖
配置思路
采用如下的思路配置EVN:
1) 骨干網上配置IGP實現(xiàn)各個PE以及RR設備之間的互通;
2) 配置隧道模式為VXLAN;
3) 配置PE上的EVN實例;
4) 配置PE與RR間的EVN BGP對等體關系;
5) 配置RR為動態(tài)路由反射器;
6) 配置各個PE與CE接口上的ESI;
7) 配置CE側接口;
8) 配置PE1和PE2的冗余模式,保證EVN網絡的可靠性。
3.4 虛實結合與混合云網絡
對于傳統(tǒng)的數(shù)據(jù)中心來說,都是各個物理服務器的之間的通訊,那么在云計算環(huán)境當中虛擬機與物理服務器之間的2層通訊問題逐漸的出現(xiàn),同時又一種新型的概念混合云的網絡模型逐漸展開,前文介紹了大量的2層網絡通訊協(xié)議,那么我們在面對那么多的網絡復雜場景下,云計算帶來的網絡特殊的部署模式將會變得對于每個網絡工程師所必須要知道了解的,本節(jié)主要以虛實結合與混合云網絡進行闡述分享。
3.4.1 虛實結合
虛實結合的網絡部署模型顧名思義就是云計算環(huán)境下虛擬機與物理機相互結合的網絡模型,那么對于傳統(tǒng)網絡來說,我們所要知道的就是如何掌控VLAN之間的通訊就可以實現(xiàn)虛擬機與物理機之間的通訊,那么在云計算新型大二層網絡環(huán)境下,所要實現(xiàn)VXLAN網絡之間的通訊,這時就是我們所必須要了解的一些新型模式。
1.VXLAN網絡與非VXLAN網絡通訊
在常見的網絡模型當中,我們很好解決VLAN的通訊問題,起SVI走路由或者配置成同一個廣播域即可,那么在此環(huán)境當中,這樣的通訊方式如果是基于2層VXLAN通訊就是個問題,我們要引入一個VXLAN L2GATEWAY的這樣一種機制,也就是說使得每個vlan對應的vlan id與VXLAN VNI所對應關聯(lián),使得2層網絡環(huán)境下,可以使得VXLAN與非VXLAN得轉換,使得傳統(tǒng)2層網絡與新型VXLAN2層網絡進行通訊。
圖11 云計算環(huán)境下虛實結合的網絡部署模型
3.4.2 混合云網絡
混合云網絡當中其實涵蓋了一種網絡就是2曾VXLAN與VLAN的概念,但是混合云網絡是一種更為現(xiàn)實復雜的網絡模型,其中不僅涵蓋了2層網絡,同時也涵蓋了3層網絡,那么對于公有云與私有云是一種混合云網絡,多個異構的私有云也是一種混合云網絡,同時我們也不得不面對原有的云網絡與新興的3層云網絡進行通訊,這些都是一個新的網絡模型需要每個網絡工程師進行思考的問題,其中一個就是安全性問題,在公有云與私有云當中的安全性問題,通常的情況下,我們會選擇專線接入,那么對于既保證安全性,又保證高帶寬低延遲的情況下,我們必須保留專線資源,但是還是要保持一定的安全性,同時降低成本,那么這種情況下,我們就可以選擇最后一公里的VPN接入專線的方式,這樣既保證安全性,又保證專線的高帶寬的本質,同時節(jié)省了運營商專線出局的一些資質困擾。
圖12 混合云網絡
有的時候我們也在考慮公網上跨越運營商的三層路由的通訊方式,那么網絡的最本質的通訊動作還是封裝與解封裝,這時候我們會面臨多個跨越數(shù)據(jù)中心的異構云資源池,有的資源池可能會使用的普通3層網絡數(shù)據(jù)報文,那么有的會采用新型的網絡數(shù)據(jù)中報文,比如VXLAN跨越運營商網絡,那么此時老舊設備并不知道我重新封裝的VXLAN報文,只知道外面的3層頭部信息,而且我們在配置出口交換機時都會使用SVI的技術,配置邏輯接口,將每個邏輯接口掛接在一個物理端口上,使得物理端口的損壞時,保證快速鏈路的切換,那么對于新的VXLAN網絡來說,我們怎么才能在向使用vlan那樣去使用SVI技術呢?這時候我們就需要引入一個新的概念VXLAN L3-GateWay,其實就是VXLAN的3層網關,其便可實現(xiàn)VXLAN啟用虛擬3層邏輯接口,并且掛接在物理端口上。
圖13 路由出網
五、 新興網絡技術的發(fā)展
對于傳統(tǒng)的路由與交換設備來說,在云計算的環(huán)境下,原有的網卡功能的使用將會被各種虛擬化業(yè)務所使用,在推動虛擬化發(fā)展的高速路程當中,眾多因素使得資源再利用變得尤為重要,大多數(shù)客戶都希望在進行虛擬化、私有數(shù)據(jù)中心云化之后,都可以使得自身的原有資源可以充分利用,網卡也不例外,往往通過云化之后的CPU都會利用率從原有百分之10提升到70進行使用,當越來越多的不同業(yè)務的虛擬機跑在同一個物理服務器上時,都會擁擠在相同的一個物理I/O通道內,對于高性能計算的環(huán)境當中,上層業(yè)務往往對于網絡的I/O非常敏感,不同業(yè)務的虛擬機往往會要求特殊的端口類型,如果模型匹配不對,性能就會大大折扣,而單一的物理網卡不可能對于上層每一個業(yè)務實現(xiàn)不同的網絡接口隊列模型,這就會影響到業(yè)務的性能瓶頸,新一代的網卡與網絡技術也就隨之孕育而出。那么隨著私有云不斷地升溫,原有的虛擬網絡方式帶給網絡節(jié)點的壓力也會逐漸加大,數(shù)據(jù)中心對于網絡的功能與性能變革也進行了時代的變化,從原有的純軟件或者純硬件的方式,逐漸轉變?yōu)橐攒浖x網絡為主,實現(xiàn)軟硬結合的新型網絡變化的趨勢,在漫談云計算網絡最后一篇中,筆者會主要描述云計算環(huán)境下誕生的一些新的網絡技術,以及應用的場景。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.lukmueng.com/
本文標題:云計算網絡的應用場景
本文網址:http://m.lukmueng.com/html/consultation/10839719860.html

關鍵詞標簽:
云計算網絡的應用場景,云計算 云計算網絡,ERP,ERP系統(tǒng),ERP軟件,ERP系統(tǒng)軟件,ERP管理系統(tǒng),ERP管理軟件,進銷存軟件,財務軟件,倉庫管理軟件,生產管理軟件,企業(yè)管理軟件,拓步,拓步ERP,拓步軟件,免費ERP,免費ERP軟件,免費ERP系統(tǒng),ERP軟件免費下載,ERP系統(tǒng)免費下載,免費ERP軟件下載,免費進銷存軟件,免費進銷存,免費財務軟件,免費倉庫管理軟件,免費下載,
本文轉自:e-works制造業(yè)信息化門戶網
本文來源于互聯(lián)網,拓步ERP資訊網本著傳播知識、有益學習和研究的目的進行的轉載,為網友免費提供,并盡力標明作者與出處,如有著作權人或出版方提出異議,本站將立即刪除。如果您對文章轉載有任何疑問請告之我們,以便我們及時糾正。聯(lián)系方式:QQ:10877846 Tel:0755-26405298。