Dinesh Dutt是Cumulus Networks公司的首席科學家，是以太網(wǎng)絡行業(yè)領(lǐng)域的領(lǐng)導者，日前主持了Ivan Pepelnjak的以太網(wǎng)虛擬專用網(wǎng)絡(EVPN)網(wǎng)絡研討會。

Dinesh Dutt對正在興起的以太網(wǎng)虛擬專用網(wǎng)絡(EVPN)表達了自己的專業(yè)觀點。并討論了數(shù)據(jù)中心的實用性和局限性。

如今，數(shù)據(jù)中心架構(gòu)經(jīng)歷了許多設計階段，并正處于轉(zhuǎn)型過程中。在理想情況下，網(wǎng)絡技術(shù)經(jīng)歷了三個發(fā)展浪潮。如今處于第三個浪潮階段，它基于以太網(wǎng)虛擬專用網(wǎng)絡(EVPN)。在技術(shù)方面需要以某種方式進行傾斜，目前，網(wǎng)絡發(fā)展的重點是第三層網(wǎng)絡。隨著越來越多的企業(yè)采用葉片拓撲和葉脊拓撲結(jié)構(gòu)，以太網(wǎng)虛擬專用網(wǎng)絡(EVPN)成為了傳統(tǒng)應用程序在這種架構(gòu)上運行的技術(shù)。為了更好地理解，讓我們了解第三個浪潮的網(wǎng)絡機制。

數(shù)據(jù)中心的起點

第一個發(fā)展浪潮是嘗試建立一個類似于以往企業(yè)網(wǎng)絡設計方式的數(shù)據(jù)中心。它包括標準訪問、聚合和核心層，這導致了行架構(gòu)的終結(jié)。第一個發(fā)展浪潮由網(wǎng)絡中心的設備組成，以作為通往外部世界的門戶。

第一個發(fā)展浪潮的網(wǎng)絡架構(gòu)適用于從北到南的流量。這種類型的流量將流入和流出數(shù)據(jù)中心。但是，在數(shù)據(jù)中心內(nèi)部運行的許多應用程序需要交叉通信和相互通信的能力。另一方面，虛擬化是新的東西流量的重要推動力。

不幸的是，第一個浪潮的網(wǎng)絡設計無法有效地進行東西流通。出現(xiàn)了依賴于第二層網(wǎng)絡 (Layer2)引起的規(guī)模和可靠性問題。第二層網(wǎng)絡 (Layer2) 在許多情況下依賴于脆弱的協(xié)議，其中包括專有擴展。

整個訪問、聚合和核心架構(gòu)圍繞第二層網(wǎng)絡 (Layer2)交換模型進行構(gòu)建。這意味著使用第二層網(wǎng)絡 (Layer2)報頭轉(zhuǎn)發(fā)整個流量，直到它到達網(wǎng)絡中心，例如生成樹協(xié)議(STP)、多機架鏈路聚合(MLAG)、大量鏈路透明互連(TRILL)以及思科FabricPath等技術(shù)都圍繞著使用第二層網(wǎng)絡交換模型的思想構(gòu)建。

然而，與啟動第二層網(wǎng)絡 (Layer2)設計的健壯第三層網(wǎng)絡模型相比，第二層交換模型在網(wǎng)絡冗余、規(guī)模和可靠性方面表現(xiàn)出許多缺點。

第二層網(wǎng)絡 (Layer2)和第三層網(wǎng)絡 (Layer3)的主要區(qū)別在于數(shù)據(jù)包轉(zhuǎn)發(fā)的工作方式。在第三層網(wǎng)絡中，在媒體訪問控制(MAC)地址級別查找地址，并且由MAC地址執(zhí)行分組轉(zhuǎn)發(fā)。這與第三層網(wǎng)絡形成對比，在第三層網(wǎng)絡中，尋址在網(wǎng)絡層工作，網(wǎng)絡層是全球互聯(lián)網(wǎng)協(xié)議(IP)地址。

如何實現(xiàn)健壯的網(wǎng)絡

健壯的網(wǎng)絡規(guī)則不應包含單個故障域，這可能導致網(wǎng)絡分區(qū)。因此，企業(yè)需要考慮冗余設計。但是，當其在網(wǎng)絡中有冗余時，如何以不會導致循環(huán)的方式轉(zhuǎn)發(fā)數(shù)據(jù)包?

有利的是，第三層網(wǎng)絡具有所謂的路由協(xié)議，例如BGP、OSPF、IS-IS和Cisco的EIGRP。其路由協(xié)議支持構(gòu)建無環(huán)路轉(zhuǎn)發(fā)拓撲。

第二個方面是IP報頭中稱為生存時間(TTL)的字段。每次數(shù)據(jù)包遍歷第三層設備時，TTL減1。一旦TTL變?yōu)榱�，�?shù)據(jù)包就會被丟棄。

因此，在第三層網(wǎng)絡設計中，有兩種機制來防止環(huán)路的形成。首先是IP報頭中的TTL字段，其次是為給定前綴構(gòu)建無環(huán)路轉(zhuǎn)發(fā)路徑的路由協(xié)議。但是在第二層網(wǎng)絡中，人們并不擁有這樣的機制。

第二層網(wǎng)絡易用性模型

第二層網(wǎng)絡模型圍繞易用性模型構(gòu)建。在早期，路由協(xié)議被認為使用比較復雜。配置路由協(xié)議被認為是復雜的硬件數(shù)據(jù)包交換，因此從第二層網(wǎng)絡開始，吞吐量更高，延遲更低。，即使到今天，大多數(shù)供應商還要收取使用路由的額外許可費，但第二層網(wǎng)絡沒有這種費用。第二層網(wǎng)絡的引入遵循了完整的易連接性。

然而，第二層網(wǎng)絡模型也有一些非常危險的缺點。第二層網(wǎng)絡模型沒有可以構(gòu)建無環(huán)路轉(zhuǎn)發(fā)路徑協(xié)議。相反，它基于洪水泛濫。實質(zhì)上，如果第二層網(wǎng)絡交換機不知道目標MAC地址，它會將數(shù)據(jù)包溢出到數(shù)據(jù)包所在端口以外的所有端口，然后記錄源MAC地址。

需要在第二層網(wǎng)絡中具有冗余，以便單個故障域不會導致網(wǎng)絡分區(qū)或節(jié)點被黑洞化。為了避免這些問題，網(wǎng)絡需要冗余路徑。

但是，如果沒有生存時間(TTL)或機制來為給定前綴構(gòu)建無環(huán)路轉(zhuǎn)發(fā)路徑，則循環(huán)可能導致數(shù)據(jù)包永遠循環(huán)。它只是淹沒數(shù)據(jù)包，在冗余路徑的情況下，被淹沒的數(shù)據(jù)包可能導致完全的網(wǎng)絡崩潰。

防止第二層網(wǎng)絡中的環(huán)路

為了防止第二層網(wǎng)絡環(huán)路，引入了生成樹協(xié)議(STP)。生成樹查看所有冗余路徑，然后刪除它們。

生成樹協(xié)議構(gòu)建了一個適用于網(wǎng)絡中每個數(shù)據(jù)包的無環(huán)路拓撲，這與為每個源路由器構(gòu)建無環(huán)路拓撲的路由協(xié)議不同。

供應商引入了各種技巧，使生成樹的執(zhí)行效率更高，但導致網(wǎng)絡不穩(wěn)定的基本部分是洪水泛濫。它導致終端站遭受損失，這成為了DoS攻擊的可能性。

關(guān)閉失敗或打開失敗

路由協(xié)議未能關(guān)閉。如果路由協(xié)議不知道如何到達目的地，它將不會將數(shù)據(jù)包發(fā)送到該目的地。

但是，生成樹協(xié)議執(zhí)行相反的操作并且無法打開。生成樹的構(gòu)建方式是：“如果我沒有收到你的回復，那么我認為你需要一個我的數(shù)據(jù)包。如果我沒有聽到你的問候，這與后面的路由協(xié)議形成對比，我認為你不想和我通信。”

打開失敗在很多方面都是危險的。例如，導致單向連接的壞電纜或者加載的CPU無法及時發(fā)出hello數(shù)據(jù)包，可能會構(gòu)造一個環(huán)路。通過路由，TTL最終將終止數(shù)據(jù)包，從而阻止環(huán)路。但是，由于第二層網(wǎng)絡中沒有TTL，因此固有地創(chuàng)建了一個不穩(wěn)定的網(wǎng)絡。

第二層網(wǎng)絡具有較大的擴散半徑，并且沒有細粒度的故障域。單個鏈路故障可能會影響整個網(wǎng)絡。所有這些因素都認為第一次網(wǎng)絡浪潮的數(shù)據(jù)中心設計無效。更簡潔的設計是從第二層網(wǎng)絡交換模型轉(zhuǎn)向IP和網(wǎng)絡路由協(xié)議。

數(shù)據(jù)中心設計的第二個發(fā)展浪潮

第二個發(fā)展浪潮的數(shù)據(jù)中心設計是構(gòu)建可擴展的網(wǎng)絡，這些網(wǎng)絡是可預測的、強大的、并支持細粒度的故障域設計。除了有效支持東西流量以外，還需要盡可能多的轉(zhuǎn)發(fā)能力。屏蔽雙絞線(STP)阻止了額外帶寬的使用，因此必須使用替代協(xié)議。

這一挑戰(zhàn)與20世紀50年代早期的電話網(wǎng)絡面臨的挑戰(zhàn)沒有什么不同。貝爾實驗室Charles Clos博士采用Clos網(wǎng)絡拓撲解決了這個問題。Clos網(wǎng)絡拓撲可以擴展到多個層。其開創(chuàng)性的網(wǎng)絡規(guī)模公司使用具有低端口數(shù)的小型白盒交換機，因此它們需要8層Clos網(wǎng)絡。但是，對于大多數(shù)人來說，兩層就已經(jīng)足夠好。

數(shù)據(jù)中心設計的新浪潮被稱為葉片和葉脊，它本質(zhì)上是一個Clos網(wǎng)絡。該設計允許人們構(gòu)建不受單個單元規(guī)模限制的網(wǎng)絡。但是，如果你想到第二層網(wǎng)絡，那么規(guī)模就受到限制。

容量不僅受端口數(shù)量的控制，還受控制平臺的控制。此外，重要的是它能夠以多快的速度發(fā)送STP數(shù)據(jù)包，而不會有引起網(wǎng)絡崩潰的風險。然而，葉片網(wǎng)絡和葉脊網(wǎng)絡拓撲通過利用所有冗余鏈路的容量來實現(xiàn)高容量。使用此拓撲結(jié)構(gòu)可以完美地實現(xiàn)IP和路由，因為它不需要特定于供應商的障礙。

因此，通過切換到IP，第二層網(wǎng)絡的不穩(wěn)定性消失，可以實現(xiàn)具有IP轉(zhuǎn)發(fā)的高容量直接網(wǎng)絡。葉片和葉脊網(wǎng)絡拓撲設計提供了非常簡單的構(gòu)建塊。

遷移到白盒

所以現(xiàn)在，有機會建立非常簡單的IP轉(zhuǎn)發(fā)網(wǎng)絡。然而，行業(yè)巨頭當時進行了部署，例如思科或瞻博網(wǎng)絡，由于網(wǎng)絡拓撲現(xiàn)在非常簡單，因此不需要支付高額費用。

所需要的只是IP路由和轉(zhuǎn)發(fā)協(xié)議。其結(jié)果是人們開始看到白盒交換機的介紹。最初，白盒交換機并沒有采用很好的CPU，因此，像谷歌這樣的公司無法在它們上面運行路由協(xié)議。所有控制邏輯的集中化都是開箱即用的，使本地設備只對商用芯片進行編程。這導致了OpenFlow模型的興起。

隨著時間的推移，其他網(wǎng)絡規(guī)模公司設計了傳統(tǒng)的分布式路由協(xié)議來設置轉(zhuǎn)發(fā)而不是將其拉出到集中位置。

具有葉片和葉脊體系結(jié)構(gòu)的路由協(xié)議

首先，有兩種類型的路由協(xié)議：距離矢量和鏈路狀態(tài)。要了解它們之間的區(qū)別，人們需要知道它們?nèi)绾蝹鬟_信息。

通過距離矢量，可以告訴鄰居對整個世界的看法。然而，鏈接狀態(tài)協(xié)議通過將每個人的局部視角拼接在一起來拼湊成全局視角。

通常，網(wǎng)絡運營商更喜歡距離矢量上的鏈路狀態(tài)協(xié)議。這是因為在出現(xiàn)故障時，鏈路狀態(tài)協(xié)議更好更快解析到目的地的路徑。然而，距離矢量協(xié)議有時會混淆并遇到問題，例如計數(shù)到無窮大。

但是，在鏈接狀態(tài)的情況下，鏈接狀態(tài)數(shù)據(jù)庫規(guī)�？赡艹蔀閱栴}。它們具有區(qū)域或級別的概念，用于將域分解為層次結(jié)構(gòu)以避免擴展問題。

邊界網(wǎng)關(guān)協(xié)議(BGP)是一種距離向量的變體，稱為路徑向量協(xié)議。邊界網(wǎng)關(guān)協(xié)議(BGP)運行全球互聯(lián)網(wǎng)，并且操作簡單，卻是一種復雜成熟的協(xié)議，可能需要路由協(xié)議的所有部署和操作經(jīng)驗。它可以通過多種方式實現(xiàn)，其中包括開源路由套件。

數(shù)據(jù)中心設計的第三次發(fā)展浪潮

然而，仍然存在的問題是應用程序假設它們存在于原有的第一次發(fā)展浪潮模型中。應用程序假設他們在一個層中運行，他們通過廣播“hello”，可以與鄰居中的每個人交談。

但是，通過路由廣播“hello”，數(shù)據(jù)包被抑制并被丟棄。在第一次發(fā)展浪潮期間設計的應用仍然希望在原有基礎(chǔ)設施中那樣運行，即使它們處于第二次發(fā)展浪潮數(shù)據(jù)中心設計中。他們?nèi)匀恍枰獜V播“hello”，而不是采用服務發(fā)現(xiàn)的記錄DNS。

其結(jié)果是，需要找到一種方法將第一次發(fā)展浪潮應用與第二次發(fā)展浪潮的數(shù)據(jù)中心相結(jié)合，從而產(chǎn)生以太網(wǎng)虛擬專用網(wǎng)絡(EVPN)。它仍然圍繞fabric的概念構(gòu)建，但它是使用疊加層構(gòu)建的。疊加層給出了第一次發(fā)展浪潮應用程序位于第二層網(wǎng)絡中的錯覺。

網(wǎng)絡虛擬化

網(wǎng)絡虛擬化是用于產(chǎn)生上述錯覺的技術(shù)，并且通過分層(即創(chuàng)建覆蓋)來執(zhí)行。

網(wǎng)絡虛擬化構(gòu)建了一個網(wǎng)絡隧道，它與真實世界的隧道完全相同。除非以某種方式繞過或穿過隧道，否則現(xiàn)實世界隧道兩端的兩個端點無法通信。

在網(wǎng)絡中構(gòu)建隧道的方式基本上是通過向現(xiàn)有數(shù)據(jù)包添加另一層報頭來完成的。通常，眾所周知的層是多協(xié)議標簽交換(MPLS)，其是IP分組上的層。然而，多協(xié)議標簽交換(MPLS)在數(shù)據(jù)中心中是復雜的，這就導致了需求，為什么不使用基于IP的技術(shù)?這產(chǎn)生了虛擬可擴展LAN(VXLAN)。

那么進行一下總結(jié)：在第二層網(wǎng)絡中，我們有一個生成樹協(xié)議(STP)的控制平臺和使用路由協(xié)議的第三層網(wǎng)絡。在這里想到的問題是，什么樣的控制面板可以用于VXLAN?實質(zhì)上，虛擬可擴展LAN(VXLAN)的控制協(xié)議需要做兩件事。首先，哪些端點可用于隧道，即目的地到隧道的映射，其次，它需要告訴你在哪里以及有多少個隧道。以太網(wǎng)虛擬專用網(wǎng)絡(EVPN)就是答案。

為了創(chuàng)建錯覺，邊界網(wǎng)關(guān)協(xié)議(BGP)作為協(xié)議已經(jīng)支持MAC可達性信息的傳輸，而不僅僅是IP地址。在以太網(wǎng)虛擬專用網(wǎng)絡(EVPN)內(nèi)，邊界網(wǎng)關(guān)協(xié)議(BGP)是用于構(gòu)建虛擬隧道的控制平臺協(xié)議，使第一次發(fā)展浪潮的應用能夠在第二次發(fā)展浪潮的網(wǎng)絡上運行。

相關(guān)閱讀：

現(xiàn)在是提升數(shù)據(jù)中心安全的時候了

人工智能和光纖技術(shù)，如何影響數(shù)據(jù)中心？

標簽： dns idc idc資訊 安全 谷歌 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)協(xié)議 媒體 數(shù)據(jù)庫 通信 網(wǎng)絡 轉(zhuǎn)型

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。