SDN新网络解决方案.pptx

1、SDN新网络解决方案目录新网络新技术新网络新技术H3C SDNH3C SDN产品体系产品体系H3C NFVH3C NFV产品架构产品架构H3C H3C 新网络解决方案新网络解决方案新网络解决方案案例新网络解决方案案例IT 建设模式进入新阶段传统IT服务器存储网络PCs移动化融合架构大数据云分散管理精细管理新IT对网络提出了新的要求软件化、可定义、自适应SDN新ITSDN发展趋势可编程可交付可扩展Software Defined NetworkService Defined NetworkSelf Defined NetworkNFV ISGVXLANNVGRESTTOpenFlowNVNFVS

2、DN新网络技术定义：网络虚拟化，也称Overlay网络，对物理网络进行隧道叠加，逻辑划分成虚拟网络分片，满足基于租户的个性化需求定义：网络功能虚拟化，软件和硬件解耦，虚拟化2-7层网络业务功能定义：软件定义网络，控制与转发分离，网络控制集中化，OpenFlow是SDN典型协议之一新网络技术Cloud Management SystemSDN APP虚拟化网络DCI互联云POPSDSVCF控制器分布式集群VNF ManagerWANSDN FabricSpineSpineFirewallLeafLeafLeafLeafLBRouterLeafSDN网络传统物理网络虚拟网络NFV支持Run in

3、VM和Run in物理服务器vSwitchNFVNFVDistributed FirewallDistributed L3Distributed L2vFWvNATvSRvLBvIPSvIDSvBRASvIMSvACvEPCvCPEvRANLegacy Network计算与存储资源虚拟化平台HypervisorDocker华三SDN/NFV新网络架构H3C VCF 架构的开放性 H3C VCF Controller 全融合控制器H3C VCF 应用合作联盟路由交换安全无线软件设备 H3C Comware V7 网络操作系统 H3C 云平台/资源管理平台 IMCH3C VCF SDK开放API开

4、放API开放API目录新网络新技术新网络新技术H3C SDNH3C SDN产品体系产品体系H3C NFVH3C NFV产品架构产品架构H3C H3C 新网络解决方案新网络解决方案新网络解决方案案例新网络解决方案案例SDN Controller产品形态VCFC纯软件一体机x86(64位)服务器，8G以上内存，Linux OS按节点数和功能收License费用基于UIS R390 G2服务器License配置方式与软件形态完全相同SDN技术实现控制平面（CP）转发平面（DP）CPDPCPDPCPDPCPCPDPCPDPCPDPCPDPCPDPCPDPCPDPCPDPCPDPCPDPCPDPCPDP

5、CPDPn传统网络设备的控制平面与转发平面不分离n设备之间通过控制协议交互转发信息nSDN 的思路是将网络设备的控制平面集中上收到Controllern网络设备上只保留转发平面（转发表项）n通过Controller实现网络统一部署和网络自动化Controller一个简单的类比NoImage硬件系统应用/市场NoImageNoImageNoImageNoImage开放、开源、标准化的南向和北向接口n北向接口：n采用标准的REST API接口实现与虚拟化管理平台、云平台、网络管理平台、上级SDN控制器、应用管理平台等第三方系统集成n采用Java API支持第三方SDN APPn南向接口：nNETC

6、ONF标准接口：主要用于特性配置和静态表项的下发,实现特性配置自动下发nOPENFLOW协议：下发OpenFlow标准流表、标准二三层转发表项等;PacketIn/PacketOut,实现收发包、首包上送建流表等nOVSDB：OVSDB数据库表直接转换成设备上的VXLAN配置和流表n支持OpenDayLight、IETF等标准化组织的标准协议SpineSpineService LeafLeafLeafLeafvSwitchOpenFlow/NetconfServiceServiceOVSDBThirdPartyH3CVCF Controller Cluster南向北向标准的REST API和J

7、ava/C API，与任意第三方系统集成SDN控制器控制云NoImageController云SDN APP典型场景虚拟机联动/多租户流量监视/拥塞发现/自动分流可编程/自定义路由自动化管理与运维数据中心流量工程(TE)流量识别与差异化调度业务QoS自动部署与保证自动化管理与运维广域网业务动态隔离及权限控制统一安全防护BYODWLAN/AC云园区网搬家的故事快速迁移的快速迁移的需求需求 VS VS 僵化僵化的网络的网络 一个IT运维人员的烦恼市场市场财务财务生产生产简单的业务隔离需求简单的业务隔离需求 VS VS 复杂的访问控制复杂的访问控制主管主管资源资源生产生产市场市场主管主管财务财务AD

8、Campus应用驱动的园区网极简运维极简运维柔性网络柔性网络位址分离/名址绑定统一网络业务路径可定义、开放网络自动化用户策略随行/一键部署最终目标：最终目标：对设备无命令行的手工配置，自动化对设备无命令行的手工配置，自动化最终目标：最终目标：业务部署（应用业务部署（应用/终端）与位置无关；开放终端）与位置无关；开放ACOverlay园区控制器ADCampus网络位址分离IP地址与位置解耦合AC汇聚接入核心传统方式的问题：nIP地址规划复杂/接入位置受限新方案的特色和优势：nIP可任意接入，与位置无关10.10.1.1010.10.1.2010.11.1.10 10.11.1.2010.10.1

9、.1010.10.1.20传统网络10.10.1010.0.0/16.0.0/16网网段段10.10.1111.0.0/16.0.0/16网网段段名址绑定基于用户名/组的IP分配园区出口核心交换机用户认证点交换机园区控制器DHCP用户名用户名用户组用户组所属所属VLANVLANIPIP组组A财务Vlan10I网段B市场Vlan20II网段C监控Vlan30III网段如上：前期针对用户做好IP策略规划1.用户首次认证成功上线分配VLAN2.根据VLAN绑定地址池DHCP获取IP3.控制器通知DHCP 服务器完成用户名与已分配IP的绑定4.用户后续第二次上线，也是先认证，下发业务vlan。5.终端

10、通过dhcp 申请地址，由于之前地址已经设置过绑定，只能申请到固定的地址，形成绑定u 可实现用户与IP绑定，也可实现用户组与IP组绑定u 针对视频终端等设备，可采用MAC认证的方式，实现基于业务的IP分配LANWAN统一网络多业务统一接入iBGiBGP P主主RRRR备备RRRRWAN园区控制器主园区主园区分支分支1 1分支分支N NABAB业务隔离点ACL/VRFu 二层VLAN隔离，三层链路VxLAN隔离u 无需关注整个广域网链路，轻松实现全网隔离u 隔离点少，相比MPLS对网络要求和运维更简单统一网络-有线无线统一u 无线本地转发：降低AC性能要求，满足11ac时代无线高带宽接入，流量不

11、迂回u 统一用户管理：有线用户与无线用户统一使用5W1H来统一划分用户组u 统一数据转发：AP流量本地转发和有线统一，统一流量监控u 统一策略执行：有线无线终端用户/IP统一分配，策略执行点统一（完全匹配前面的位址分离/名址绑定）uAP本地转发，AC只负责控制报文u通过无线承载网络位址分离，保障无线终端的跨三层漫游spineleafAccessAccessVxlan无线AC园区控制器开放网络-基于SDN封闭、僵化：应用对网络需求开发验证部署部署 单台配置，复杂，周期长核心汇聚接入接入园区控制器3rd APP3rd APP核心汇聚接入接入开放，可编程、灵活/简单：n3rd APP或自有APP直接

12、网络验证n部署整网配置，简单，周期短封闭的传统网络开放的ADCampus网络ADCampus Fabric自动化上线核心汇聚接入接入Overlay园区控制器汇聚层标准化配置：指定所有网关IP，用于应答主机请求汇聚层标准化配置：下行端口Trunk，ARP代答隔离广播域接入层设备标准化配置：动态VLAN下发、所有Trunk配置u 方案在汇聚层启用VXLAN，简化Underlay配置，同时将汇聚和接入设备VLAN配置统一并标准化。u 另外通过MP-BGP实现表项同步，同时启用指定网关ARP代答，控制广播域，保障大网可靠运行核心汇聚层简化：启用VETP，配置一个三层接口标准化配置：内部启用IGP协议，

13、保证VETP之间互通标准化配置：启用MP-BGP，完成Overlay表项同步策略随行核心汇聚接入接入服务器区资源组1资源组2资源组用户组策略集中管理：管理员定义安全组以及组间策略策略一键下发，实时生效用户认证上线时根据5W1H进入相应的用户安全组，分配IP并绑定，获得相应的访问权限用户移动后，认证后仍然会进入相同的安全组并获取绑定的IP，访问权限不变园区控制器研发研发ServersServers市场市场ServersServers公共公共ServersServersInternet Internet AccessAccessVIP组PERMITPERMITPERMITPERMIT研发组PERM

14、ITDENYPERMITDENY市场组DENYPERMITPERMITPERMIT访客组DENYDENYDENYPERMIT H3C VCF生态圈开放创新，合作共赢H3C VCF App Store应用商店H3CVCF SDK集成App向企业销售应用开发者H3C VCF企业从H3C App Store获取App为集成商开发AppH3CVCF SDK从H3C App Store获取App向H3C App Store提交App为企业开发App为H3C App Store开发App为H3C App Store开发App应用开发者集成商/渠道目录新网络新技术新网络新技术H3C SDNH3C SDN产品

15、体系产品体系H3C NFVH3C NFV产品架构产品架构H3C H3C 新网络解决方案新网络解决方案新网络解决方案案例新网络解决方案案例ServerHypervisorVSRvSwitchvBRASvFWvACvLBH3C NFV基于Comware V7平台，可以运行在服务器或虚机上，提供更胜于物理设备的功能和体验H3C NFV源自于Comware，不同于ComwareNFV并非万能NAMDHCPDNSNQANTPVPNWAASIPSFWACLNATLBVOIPSBCAAACDNPhysical Layer&I/OsApplicationNetwork ServiceForwardingL2/

16、3 FWDQOSMPLS FWDPFRTerminationPPPOEAAAAgentIPOETunneln擅长解决：n需要结合业务，需要精细部署，需要内容可见n业务分布式部署、高弹性n控制平面内容大于转发平面n冗余节点、高容错能力n不宜解决：n大流量高速转发、低延迟、高缓存n高端口密度、大带宽n拼单点性能HardwareHardware一个简单的类比1.初始投入很大：店面，设备，人力2.为应对客流高峰，大量资源闲置3.营业面积固定很难扩大营业规模1.初始投入小2.不受店面大小限制，规模扩展方便3.不受店面位置限制，覆盖范围更大H3C新网络产品家族NFV产品系列基础单元二-三层网络四-七层网络

17、控制层NFV Manager灵活功能控制器支持CAS/KVM/VMware等多Hypervisor虚拟路由、安全、无线控制器、BRAS等多种网络业务单元全系列裸金属形态独立部署/集群部署/融合部署融合VCFC虚拟资源及网络业务单元控制器集群vIPS*vFWvSRvACvLBvBRASH3C VSR产品介绍VSR专业路由器软件提供业界领先的多业务路由器功能路由协议(IPv4/IPv6)、组播、MPLS、VPN、NAT、QoS、防火墙、负载均衡、WAN优化、LISP、EVI、VXLAN、Openflow、VRRP、IRF Enterprise MPLSCPEOLTModemCPEHDInterne

18、tDSLAMONUCPESwitchBranchBranchHomeSMBSMBPrivate CloudvCPEvBRASVMVMVMVMvCGNATVMVMVMVMvFWvLBPublic CloudvPOP混合云互联TenantTenantNFV PoolVNFVNFVNFNFV PoolVNFVNFVNFvRRvRRvCPEvCPEH3C vFW产品介绍vFW专业防火墙软件提供灵活全面的L4-L7安全防护能力包过滤、状态防火墙、丰富的攻击防范技术、安全域、VPN、NAT、ALG、IPS、AV、安全日志 Hypervisor(vSwitch)Tenant BVDC2Tenant ADMZ

19、PCI compliantHIPAA compliantVDC1APPAPPH3C VCFC对租户内部VM间进行安全防护对租户进行边界安全防护H3C vLB产品介绍vLB专业负载均衡软件提供丰富完善的负载均衡算法和服务丰富的调度算法、高效的健康检测算法、4层服务器负载均衡、7层服务器负载均衡、TCP的连接复用功能、应用优化 Hypervisor(vSwitch)Tenant BVDC2Tenant ADMZPCI compliantHIPAA compliantVDC1H3C VCFCH3C vBRAS产品介绍vBRAS专业BRAS软件提供多种方式的宽带接入认证服务PPPoE、IPoE、Por

20、tal、AAA(和主流AAA系统对接)、QoS、NAT444、IPv4/IPv6双栈、MPLS L2VPN、L2TP VPDN、专线接入、组播 IPv4/IPv6 核心网络CPEOLTDSLAMModemCPEONU虚拟资源池vBRAS解决方案三阶段演进phase 1虚拟化 vBRAS功能覆盖物理BRAS 性能达到商用要求 基于IRF支持业务热备 支持VxLAN区分用户 开放接口（SNMP/NETCONF/TCL/Python）phase 2资源池化 基于云平台实现资源池化自动快速部署 流量灵活调度 Scale in/Scale out 状态实时监控 视频及4K业务卸载 开放接口（RESTfu

21、l）phase 3业务编排 资源统一管理、灵活调度 业务灵活定制、快速交付 开放接口（RESTful）Phase1 已经完成Phase2正在进行H3C vAC产品介绍vAC专业无线控制器软件提供高容量AP的接入服务802.11协议族、分层AC组网、集中认证+本地转发、VLAN组、AP组、AC内漫游、AC间漫游、AP功率自动调整、信道智能切换、智能AP负载分担、安全与接入控制、QoS、无线频谱管理、WIPS、CAPWAP标准管理协议 InternetAPAPAPAPMaster AC层Local AC层H3C 万象盒 All in oneCentOSKVMVNF一体机CPU：1颗 E5-2620

22、V3内存：1根 16G DDR4硬盘：1块 500G SATA盘虚拟化：CentOS+KVMvLB、vFW、vAC、VSR、vBRAS五种模式开箱即用多功能模式按需自由切换专业服务：传统非虚拟化服务器业务P2V迁移到VNF一体机定位于中小企业行业市场网络性能不可扩容第三方应用扩展能力VMVMVMH3C NFV Manager产品介绍NFV Orchestrator&OSS/BSSVCFC NFV ManagerVIMSouthbound REST APIsSNMP/NETCONF/CLI/TCL/Python HP NFV DirectorH3C IMCNorthbound REST APIs

23、VNFOSS/BSS3rd VNFScalingDeploymentHAConfigurationH3C新网络产品家族vSwitch 可编程、敏捷的虚拟交换机 运行在服务器主机Hypervisor内 高性能转发能力OpenFlow流表转发VLAN/VXLANL2 ForwardingDVR*状态防火墙功能*流量可视化端口镜像sFlowNetFlow*物理Network*Hyper-V规划中vSwitch友商对比对比项对比项我司我司S1020VS1020VVMwareVMwareCiscoCiscoOverlay模型主机、混合Overlay主机Overlay,不支持非虚拟化组网无混合Overla

24、y,主推网络OverlayUnderlay网络控制支持不支持支持转发流表控制方式控制器统一下发控制器统一下发物理设备通过BGP/ISIS自学习实现流表的下发北向协议支持OpenFlow/OVS-DB私有OpFlexVXLAN支持支持非标准VXLAN，私有虚拟环境VMware、KVM、XEN、CVK，后续规划支持Hyper-VVMwareVMware、KVM、Hyper-V目录新网络新技术新网络新技术H3C SDNH3C SDN产品体系产品体系H3C NFVH3C NFV产品架构产品架构H3C H3C 新网络解决方案新网络解决方案新网络解决方案案例新网络解决方案案例Overlay边缘设备边缘设备

25、Overlay数据报文的封装/解封装节点，决定了Overlay网络的规模Overlay数据平面提供数据平面提供基于VXLAN提供数据封装，基于承载网络传输Overlay控制平面提供 服务发现（Service Discovery）Overlay边缘设备发现彼此，并建立Overlay隧道关系地址通告和映射（Address Advertising and Mapping）Overlay边缘设备交换其学习到的主机可达性信息 隧道管理（Tunnel Management）管理Overlay边缘设备之间的虚拟连接关系Overlay网络是一个建立在已有网络上的虚拟网络，逻辑节点和逻辑链路构成了Overlay

26、网络目前基于SDN架构来实现Overlay网络是业界最流行最合理的方案Overlay网络物理承载网络主机承载网络控制平面Overlay边缘设备Overlay控制平面数据平面Payload封装Overlay边缘设备主机网络虚拟化：是用来创建虚拟网络的容器，这些容器之间在逻辑上彼此隔离，但共享相同的底层承载网络。物理网络向云和虚拟化的深度延伸，使网络资源池化能力可以摆脱物理网络的限制网络虚拟化了解Overlay工作原理姓名：张三姓名：李四张三-李四：信封1:李四收秘书A-秘书B：信封2：上海B地秘书B-李四：信封1：李四收张三-王五：信封:王五收北京北京A A地地上海上海B B地地广州广州C C地

27、地姓名：王五张三-王五：信封1:王五收秘书A-秘书C：信封2：广州C地秘书C-王五：信封1：王五收H3C Overlay为什么选择VXLANVXLAN技术可与传统网络设备完美兼容，并得到了主流商用芯片的支持。是当前市场认可度最高的Overlay技术名称名称支持者支持者方案简述方案简述产品形式产品形式网络虚拟网络虚拟化方式化方式数据新增数据新增报头长度报头长度技术特点技术特点VXLANVXLANH3C、Cisco、VMware、HP、Citrix、RedHat、BroadcomL2 over UDPH3C:S1020VCisco:N1000VBCM:Trident2VXLAN报头24 bit V

28、NI 50Byte不改变L2L4报文结构，现有网络设备即可支持多路径负载均衡NVGRENVGRE微软、HP、Broadcom、Dell、Emulex、IntelL2 over GRE微软:Hyper-V vSwitchBCM:TridentEmulex:网卡其他：OpenvSwitchNVGRE报头24 bit VSI42Byte问题：改变了GRE报文头，需要升级网络设备才能支持多路径负载均衡STTSTTNicira（被VMware收购）无状态TCPvSwitchSTT报头 64 bit Context ID5876Byte问题：改变了TCP报文头，当前无商用芯片支持，仅VMware纯虚拟化环

29、境可用，产业生态脆弱。Cisco等不支持H3C Overlay模型SDN Controller ClusterSDN Controller ClusterSDN Controller Cluster网络Overlay：n 物理设备为Overlay设备n 服务器无需支持Overlayn 支持虚拟化服务器和物理服务器接入主机Overlay：n 虚拟设备为Overlay设备n 适用服务器全虚拟化的场景n 物理网络无需改动混合Overlay：n 物理设备和虚拟设备都可以作为Overlay设备，灵活组网n 可接入各种形态服务器n 可以充分发挥硬件网关的高性能和虚拟网关的业务灵活性ServervDevic

30、eAgentVMVMServervDeviceAgentVMVMServervDeviceAgentVMVMServervDeviceAgentVMVMServervDeviceAgentVMVMNetwork OverlayHost OverlayHybrid OverlayH3C支持三种Overlay模型，用户可以根据需要选择合适的Overlay模型H3C新网络的应用场景VPCn VCF Controller集群必选，VCF Controller 实现对于VPC网络的总体控制，以及对VNF的生命周期管理n VXLAN GW必选，VXLAN GW包括vSwitch,S68,VSR等，实现虚拟

31、机，服务器等各种终端接入到VXLAN网络中n VXLAN IP GW必选，VXLAN IP GW包括S125-X,S98,VSR等，实现VXLAN网络和传统网络之间的互通n 云管理系统可选，负责计算，存储管理的云平台系统，目前主要包括OpenStack，VMware vCenter和H3C CSMn 虚拟化平台可选，vSwitch和VM运行的Hypervisor平台，目前主要包括CAS,VMware，KVM和XENn Service安全设备可选，包括VSR,vFW,vLB和M9000，安全插卡等设备，实现东西向和南北向服务链服务节点的功能n 多场景支持同时支持单数据中心与多数据中心场景S125

32、00-XS12500-XAggAggServerAccessS6800AccessHypervisorVMVMVMHypervisorVMVMVMM9000M9000VXLAN FabricVXLAN GWVXLAN IP GWH3C VCFC PlatformVXLAN VTEP、GW、VNF生命周期管理业务系统北向接口管理IMC云平台第三方云平台VCFC集群vSwitchvSwitchvFw/vLBvSwitchvFw/vLBvSwitchKVMvFw/vLBSR-IOV AdptvSwitchKVMvSwitchVSRvFW/vLBWANAccess虚拟网络自定义Hybrid混合组网统一

33、资源池网络自动化SpineRouterLeafLeafLeafLeafvNET服务链VMVMVMVMVMVMH3CvSwitchHypervisorVMVMVMH3CvSwitchHypervisorVMVMVMVXLAN FabricH3C VCFC clustervNETSlicesH3C VPC纯软件部署Spinep 包括VXLAN GW皆为纯软件实现，与物理网络无关p 直接管理到最接近VM的vPortp 业务特性更灵活H3C VPC纯硬件部署S12500-XS12500-XVCF ControllerClusterVXLAN FabricS6800S6800S6800S12500-XS

34、12500-XS12500-XS12500-X业务独立网关组1业务独立网关组2业务独立网关组nS6800OpenFlow+NETCONF不同业务采用独立的物理网关与安全隔离vFW/vLBvFW/vLBp 独立设计网关组，网关组内负载分担p 与云平台及服务器虚拟化无关p 服务器可任意接入DMZH3C VPC混合组网部署VSRvFWHypervisorVMVMVMvSwitch(VTEP)LeafWANControllerVXLAN VTEP、GW统一管理业务系统北向接口管理VCF Controller ClusterRouter客户云管理系统第三方计算、存储控制系统 NFV资源池vLBS6800

35、服务器R&DMKTS6800S6800VXLAN FabricS12500-XS12500-XHRS6800 客户通过自己的云管理系统进行统一的IT管理 每一个部门相当于一个内部租户，各部门网络通过VXLAN实现相互隔离，自定义构建自己的虚拟私有网络，简化整体网络的管理 通过软硬件网关设备，支持各部门的PC主机接入到虚拟网络 通过NFV实现安全业务的资源池化 所有软硬件设备都受到VCF控制器的统一控制 支持灵活自定义的服务链，实现对服务器、外网访问策略，易于对各部门网络的统一策略管理S12500-XVXLAN三层网关构建SDN的关键产品VCF控制器vSwitch虚拟交换机（VMware/KVM

36、/CAS）管控平台S9800VXLAN三层网关S6800VXLAN二层网关VCF控制器高端安全旗舰 M9006M9010M9014APPVMAPPVMAPPVM服务器1服务器2服务器3APPVMAPPVMAPPVM服务器1000服务器1001服务器1002VCFControllerVCF controllerRegion 10VCF controllerVCF controllerVCF controllerVCF controllerRegion 2Region 1Team主Leader网关网关北向统一IP地址备LeaderOpenStackIMCThird-party cloudH3C新网

37、络控制器的高可靠性nVCF控制器集群支持控制器数量的弹性扩展，可以根据网络规模动态伸缩n集群由主Leader控制器在北向提供统一的IP地址与所有上层软件进行交互，所有控制器位于同一二层网络，每个控制器拥有唯一的南向IPn集群南向通过划分Region管理网络设备，Region内部的控制器互为备份或负载分担nVCF控制器最大支持32台集群规模，每个控制器集群支持30K个服务器以及200K个虚拟机丰富的运维特性全面的统计功能：隧道流量、全面的统计功能：隧道流量、ARP/packet/ARP/packet/数据报数据报文等文等日志功能：系统日志、操作日志、诊断日志日志功能：系统日志、操作日志、诊断日志

38、链路诊断：端到端、分段Packet-in监控：流量统计、防攻击OpenFlowOpenFlow跟踪跟踪告警通知告警通知雷达探测和单播仿真ISSU不间断升级通过VCFC和IMC VFM组件实现Overlay与Underlay网络统一监控：整网物理拓扑图中可高亮显示租户、VXLAN内的所有设备 可支持Overlay路径分析，并且选定某设备后可展示使用该设备的所有租户、展示使用该设备的所有VXLAN。业务拓扑可展示某个租户或VXLAN的信息，隧道信息 检测VTEP节点之间的连通性 支持GW及Port的流量监控Overlay与Underlay网络统一管理基于SDN的服务链技术n 数据报文在网络中传递时

39、，需要经过各种安全服务节点，提供给用户安全、自定义的网络服务n 常见的服务节点（Ser vice Node）：防火墙（FW）、负载均衡(LB)、入侵检测（IPS）、VPN等n 服务链定义：SDN控制器对网络进行逻辑抽象，并实现对业务的灵活自定义编排；业务流量按照控制器的编排顺序经过一组抽象业务功能节点，完成对应业务功能的处理什么是服务链SDN Controller ClustervSwitchvSwitchAPPService NodesvSwitchvSwitchWEB服务链业务节点SpineSpineVXLAN NetworkLeafLeafLeafLeafLeafVMVMVMVMVMVM

40、VMVMVMVMVMVMNFV实现网络服务与网络拓扑解藕、与物理设备解藕、与转发流程解藕什么是服务链？体检服务台内科外科血常规B超心电图妇科体检项目清单体检项目清单-男男体检项目清单体检项目清单-女女体检项目清单体检项目清单-男男体检项目清单体检项目清单-女女体检项目清单体检项目清单-男男体检项目清单体检项目清单-女女体检项目清单体检项目清单-男男体检项目清单体检项目清单-女女体检项目清单体检项目清单-男男体检项目清单体检项目清单-女女体检项目清单体检项目清单-男男体检项目清单体检项目清单-女女体检项目清单体检项目清单-女女关系映射表关系映射表体检服务台流分类节点CF（Classificati

41、on）体检清单Path/Service table红绿线路径Flow table检查项服务节点SF（Service Function）服务链实现路径规划Overlay 逻辑网络2（For 租户Y）n“安全服务链”实现流量路径规划n 网络资源化与拓扑无关n 可实现构建统一的安全池Underlay物理网络Fabric源源目的目的FWFW池池IPSIPS池池源源目的目的Overlay 逻辑网络1（For 租户X）源源目的目的ControllerControllerControll Program Controll Program(Routing(Routing、ACL)ACL)服务链安全与灵活兼得传

42、统安全部署FW服务节点源目的IPSLB安全服务链部署源目的网关数据报文服务链标识数据流FWIPSLB引流回注引流回注数据流通过引流/回注来定义路径网关设备策略路由部署复杂，变更困难，难以维护虚拟机迁移受限，安全策略无法跟随通过报文封装来选择路径服务链定义、变更容易，无需部署策略路由虚拟机迁移灵活，安全策略不受位置、IP、VLAN限制服务节点服务节点零配置，自动化上线设备初次部署时无需预先加载配置文件，上电后自动到中心服务器获取配置文件。规则管理模块配置文件管理A000.0000.0000.0000B000.0000.0000.0000Z000.0000.0000.0000A.cfgB.cfg。

43、Z.cfgDHCP Discover&RequestDHCP offer IP+配置文件URL地址A A0:00:00:00:00:00;192.168.0.180;“A.cfg;配置下载与加载生成和上传配置文件配置设备标识与配置文件对应关系大型园区，接入设备位置分散、数量庞大，难于管理和维护通过零配置：l 所有配置工作在后端操作，不需专业技术人员到现场l 接入设备即坏即换，不需重新配置SDN APP西班牙电信1.将分布于千家万户的物理设备变为软件，在局端机房集中部署2.在局端按需生成虚拟媒体空间，家庭DLNA TV可直接点播私人媒体中心资源3.智能手机可控制家庭各类智能设备4.朋友/访客可以

44、方便的通过手机随时随地分享资源H3C DC-Galaxy演进路标同城集群跨城联盟端到端分布式数据中心DC-3DC-1DC-2WAN AreaVCF控制器集群region集群业务运维QoS每个数据中心一个控制器region多个数据中心组成集群，全局信息统一统一网络资源池，跨数据中心迁移统一界面，实现集中管理分散控制从IDC到广域网，实现端到端QoS保障VCF控制器集群VCF控制器集群H3C VCFC 集群H3C DC-Galaxy部署全系列可商用SDN解决方案行业解决方案运营商互联网金融政府企业公共事业能源统一网络控制器Comware-统一网络操作系统目录新网络新技术新网络新技术H3C SDNH

45、3C SDN产品体系产品体系H3C NFVH3C NFV产品架构产品架构H3C H3C 新网络解决方案新网络解决方案新网络解决方案案例新网络解决方案案例H3C新网络的最佳实践江西移动SDN VPCn H3C SDN VPC方案与中国移动SDN APP对接n 江西移动公司通信录、E文库、后勤综合平台、计划公文系统、BOSS需求审批、集客商机系统等业务系统上线运行，是国内运营商第一个上线正式业务的SDN VPC试点n 中国移动巴塞罗那2015MVC展会需求场景物理网络管理拓扑业务拓扑/虚拟网络业务流量流向2、实现私有云多业务系统的虚拟化网络创建及接入、实现网络运维自动化试点目标多个业务系统对应多个

46、虚拟网络，各个业务系统可以配置虚拟网络策略，监控流量针对上层云计算管理系统定制SDN APP对接，获取云业务系统所做的变更，根据通过SDN控制器自动下发相应的网络策略到SDN网络设备，完成网络配合迁移1、实现业支系统网络的智能流量调度试点目标验证SDN WAN重叠网方案的智能流量调度能力，通过集中的SDN APP和控制器对全网的链路质量进行监控，从全局的角度进行路由与流量调度的计算，然后将转发策略下发给各个设备，保证关键、非关键业务的端到端服务质量效果1：用户利用SDN APP快速创建虚拟网络，系统稳定运行拖拽节点设计自定义云业务开通批量创建虚机和存储创建网络阶段控制器查看网络/计算信息子网建

47、立成功网络建立成功虚机建立成功自研SDN APP、OpenStack、华三控制器、vCenter四大平台完整解决方案稳定运行整合四大平台效果2：虚拟网络的隔离性与性能完全可控同网段内/跨网段虚机间访问控制策略效果主机限速策略效果被限速的虚机进行iperf测试，吞吐为10Mbps正常虚机进行iperf测试，吞吐为800Mbps不匹配安全组规则的VM无法通信匹配安全组规则的VM正常通信效果3：SDN解决方案支持服务链功能用户自主开通对vLB配置，不同租户使用单独的vLB虚机SDN控制器自动将流量导引到vLB网元，实现业务链功能效果4：WAN链路利用率到达阈值时，系统自动切换流量1.两个FTP客户端

48、初始化会在1-2的链路上2.SDN1到SDN2之间为GE链路，两条25MB的流使其带宽利用率超过阀值35%，会切走其中一条流3.切走一条流以后，SDN1到SDN2链路达不到35%的利用率不会继续切换4.SDN1到SDN3之间的链路为20G，25MB的流量切到上面以后达不到切换阀值35%，切过去的流继续保留在这条链路上。切换前后无丢包流量调度前流量调度后总结：传统网络与SDN对比WEB/APPVCF ControllerVXLAN Fabric传统网络SDN网络L3VXLAN L3网关VXLAN L2网关VETPWEB/APPDB/物理服务器传统网络SDN网络转发路径跨三层需经网关转发，增加网关

49、设备压力SDN交换机流表转发，最短路径转发，同一POD点内不需要经过三层网关，减少网关设备压力易维护性每台设备都保存有自己的配置信息，维护需要登陆到每台设备进行配置和管理所有配置统一由SDN控制器下发，不需要每台进行配置可扩展性可扩展性差，业务系统因隔离需求，其扩展性受传统VLAN限制，只能扩展到4K可扩展性好，VXLAN最多可支持16M，可完全满足未来10年甚至更长时间的需求，并且可支持复杂组网环境，并且支持硬件L2/L3的VXLAN网关，不增加硬件投资成本安全灵活性传统网络安全部署固化通过服务链形态部署，灵活性更强，扩展性也更加强DB/物理服务器H3C新网络的最佳实践联通智慧城市云平台华三

50、SDN承载全国智慧城市业务SDN实现动态资源调度整合5省市云数据中心其他省市可弹性扩展北京（管理节点）广州西安济南上海n公有云无法满足租户精细化网络需求nH3C新网络VSR作为云平台的VPC网关，为租户在公有云中构建私有云n VSR实现了和中国电信云公司CloudStack平台的对接，实现租户定制化网络需求移动员工/远端接入私有云专有云厅局A的VPC厅局B的VPC虚拟机资源池MPLS/In ternet二层互联H3C新网络的最佳实践中国电信云公司资源统一管理SDN控制器物理设备虚拟设备云网融合方案交付的关键特性H3C新网络的最佳实践某互联网企业125XOpen vSwitchOpenFlow+