昨天我们提到了,一些厂商发现,通过MPLS V**可以实现园区网络的切片,把不同组的用户加入不同切片,来实现权限跟随用户。
但这么做的弊端也很明显,接入层交换机一般为低成本的设备,对VRF的支持很有限。即使是近一两年推出的CISCO Catalyst 9200,也仅支持4个VRF。因此,工程师们想到了更优的方案——EV** VXLAN方案。
事实上,在EV** VXLAN刚刚成为RFC标准的时候,业界以H3C为代表的厂商,就已经发布了基于EV** VXLAN的园区网SDN方案。
它的部署方式如下图:
怎么样,这是不是和数据中心EV** VXLAN方案一模一样?
对了,核心相当于数据中心的Spine,承担高速转发的角色;
汇聚相当于数据中心的TOR,承担VXLAN网关和策略控制的角色;
接入相当于数据中心的OVS,承担打VLAN标签的角色;
而园区EV** VXLAN与数据中心EV** VXLAN方案的区别在于,园区解决的是终端漫游接入问题,而不是VM漫游(迁移)问题。
在前面,我们提到,VM上线和迁移的时候,云平台(Nova)会感知这个事件,并通过Neutron的层次化端口绑定机制,向SDN控制器同步这一事件。在园区网中,谁感知到终端的接入和漫游呢?
对了,是认证(AAA)服务器。
在园区网络中,为了保证安全,所有用户需要通过802.1x/Portal/MAC等方式进行认证。
如图,用户在认证时,认证点(汇聚交换机)向Radius发起认证请求,继而Radius会根据用户所在用户组下发VLAN。
同时,Radius与SDN控制器进行联动,SDN控制器向汇聚交换机下发EV**配置,汇聚交换机建立VXLAN隧道:
这样的方案只需要接入交换机支持SNMP和VLAN即可,汇聚交换机需要支持VXLAN,大大降低了接入层成本,甚至可以与第三方接入交换机混合组网,有利于利用旧有设备,在网络改造场景优势巨大。
当然,园区网络还有更多有趣的VXLAN组网方式,这,就需要下回分解了。
