V tokratnem zapisu “prekrivno in spodnje omrežje” sledi obširnejši pregled različnih tipov le-teh, ki je vsebinsko nadaljevanje prvega bloga Omrežna virtualizacija v podatkovnih centrih, kjer sem predstavil tudi povezavo med prekrivnim in spodnjim omrežjem, ko govorimo o omrežni virtualizaciji.

Tipi spodnjega omrežja (underlay)

Omrežje podatkovnega centra, ki ga imenujemo fabric, temelji na arhitekturi Clos. Ta predstavlja matriko prepletenih internih povezav med omrežnimi napravami, ki skupaj sestavljajo fabric.

 

Sploščena arhitektura omogoča enako oddaljene končne točke in non-blocking jedro, ki podpira promet z nizkimi zakasnitvami in visoko prepustnostjo, tako za smer vzhod-zahod, kot tudi smer sever-jug.

Obstajajo različne fabric arhitekture

  • Ethernet fabric

Omogoča upravljanje celotnega fabrica kot ene naprave (npr. Virtual Chassis Fabric-VCF in Junos Fusion). Prednosti pred tradicionalnimi omrežji access-aggregation-core so v tem, da ni potrebna uporaba STP (protokola spanning tree) za preprečevanje zank. Podprta je uporaba vseh poti in razporeditev bremena. Upravljanje je pregledno, posredovanje je distribuirano brez uporabe protokolov kontrolne ravnine. Slabosti so v omejeni podpori števila vmesnikov, v primeru potrebe po razširitvi, ki presega sistemske omejitve.

  • MPLS fabric

MPLS se uporablja za povezavo vseh naprav v spodnjem omrežju v Clos fabric. Koncept fizične arhitekture, ki se uporablhja za IP fabric, se uporablja tudi za MPLS fabric. Funkcionalnosti MPLS uporabljajo lastnosti usmerjevalnih protokolov in prometnega inženiringa. Vendar se moramo zavedati, da morajo v tem primeru vse naprave podpirati MPLS. Signalizacijski protokoli MPLS kot so LDP, RSVP, ali BGP-LU se lahko uporabljajo za zagotavljanje podomrežja MPLS. LDP/RSVP imajo prednost, ker so poznane, zraven pa imamo granularno LSP statistiko in rezervacije. Zaradi uporabe mešanih LDP/RSVP LSP-jev med stikali TOR pride do omejene skalabilnosti kontrolne ravnine, saj moramo ohranjati stanja LSP-jev na tranzitnih napravah. Druga slabost je v upravljanju različnih protokolov in pomanjkanju determinističnih label.

  • IP fabric

IP služi za podomrežje in povezuje vse naprave v Clos fabric, kar zagotavlja arhitekturo odprtega standarda, ki ima sploščeno posredovanje, horizontalno skalabilnost in non-blocking hrbtenica/list (spine/leaf) arhitekturo. Vlogi lista in hrbtenice sta dodeljeni omrežnim napravam v fabricu, ki so povezane v hierarhično obliko (3-stopenjski Clos) in prenašajo tuneliran promet prekrivne ravnine na podlagi usmerjanja zunanje glave paketa. Naprave-listi ponujajo povezave za dostop, medtem ko so naprave-hrbtenica namenjene agregaciji. Običajen večstopenjski IP fabric model predstavlja 3-stopenjski Clos (trije nivoji: prva in tretja stopnja (list), druga stopnja (hrbtenica)) in 5-stopenjski Clos (trije nivoji prva in peta stopnja (list), druga in četrta stopnja (spine) in tretja stopnja (fabric/super hrbtenica, ki omogoča povezljivost med hrbteničnimi stikali), kot je prikazano na sliki 3.

 

Slika: 3-stopenjski / 5-stopenjski Clos
Slika: 3-stopenjski / 5-stopenjski Clos

 

Odprti standard zagotavlja podporo različnih ponudnikov opreme. IP Clos fabric je horizontalno skalabilen, saj je možno dodati več listov in hrbtenic, da zadostimo potrebni kapaciteti brez kakršnih koli večjih sprememb v arhitekturi in tako omogočimo podporo povečanega prometa vzhod-zahod. Vsaka list naprav je povezana z vsako hrbtenico. Povezave temeljijo na usmerjanju prometa med list/hrbtenica napravami. Prav to zagotavlja omejen vpliv napake na celoten fabric. S pomočjo protokola ECMP je na voljo več poti med katerimakoli list napravama, saj sta povezani na več hrbteničnih povezav. L3 fabric preprečuje nastanek zank. Vsako napravo je potrebno upravljati posebej. To pomanjkljivost je možno odpraviti s pomočjo orodij za avtomatizacijo.

 

Usmerjavalni protokoli, ki omogočajo kontrolno ravnino v IP fabricu so

  • IGP (OSPF/ISIS)

Protokola, ki ohranjata stanje povezav OSPF/ISIS, uporabljata poplavanje za odkrivanje najkrajšega drevesa. V primeru večjega omrežja, lahko predstavlja velikost LSDB ozko grlo. Prav tako je potrebno konfigurirati različne protokole, da se lahko povežemo v omrežje WAN. Sposobnosti prometnega inženiringa so tudi omejene (primer preusmeritve prometa iz hrbtenice v času vzdrževanja predstavlja velik izziv).

  • iBGP

Zahteva popolno povezljivost vseh naprav (vsake z vsako), saj le tako lahko zagotovimo izmenjavo podatkov (peering sessions). To predstavlja omejeno skalabilnost zaradi povečanja konfiguracije in upravljanja naprav. Funkcija BGP route reflection lahko pomaga odpraviti te težave, toda na osnovi algoritma BGP path selection, se bo oglaševalo samo posamezne najboljše poti do klienta. Obstajajo še dodatni mehanizmi (npr. add-path), ki lahko izboljšajo zanesljivost, vendar na koncu povečajo kompleksnost.

  • eBGP

Ima boljšo vgrajeno funkcijo izogibanja zankam (AS_PATH) in pomnjenje različni poti. Vsako list/hrbtenica vozlišče je lahko svoj AS v distribuirani usmerjevalni domeni. Uporaba 4-bytnih ASov prepreči izrabo števil AS, ki jih uporabljajo naprave v fabricu. Funkcionalnost je bila predvidena za rast in podporo velikemu številu enot in prefixov, skupaj z enostavno interakcijo protokolov BGP, ki je uporabljen v podatkovnem centru, kot tudi za povezave WAN. Boljše sposobnosti prometnega inženiringa omogočajo enostavnejšo migracijo prometa z uporabo atributov BGP (primer preusmeritve prometa iz hrbtenice v času vzdrževanja dosežemo z as-path-prepend ali s spremenljivko community). Zaradi ustrezne konfiguracije politik in sosedov, je prisotna kompleksnost, ki jo lahko odpravimo s pomočjo orodji za avtomatizacijo.

 

Tipi prekrivnega omrežja (‘overlay’)

Prekrivno omrežje (overlay) skrbi za komunikacijske kanale med aplikacijami/storitvami tenanta, s pomočjo priprave logičnih/virtualnih tunelov. Podpira L2 način (L2 overlay – raztegne L2 omrežje, tako, da se lahko uporabi  isto podomrežje IP) in L3 način (L3 overlays – uparaba L3 omrežja) transporta med storitvami, katerega se spodnje omrežje (underlay) ne zaveda. Tunelska enkapsulacija vsebuje tenant ID, ki je funkcija prekrivnega omrežja (overlay) in deluje kot demultiplekser, s katerim je možno razbrati različne prometne tokove, ki se prenašaju znotraj tunela. Vsak prometni tok predstavlja drugo storitev.

 

Posamezen komunikacijski kanal je sestavljen iz kontrolne ravnine, ki izmenjuje topološke informacije (MAC naslovi/IP usmerjevalne poti) aplikacije tenanta, in enkapsulacije podatkovne ravnine, ki enkapsulira in posreduje promet med izvornimi in ponornimi točkami tunela, znotraj virtualnih tunelov.

 

Primeri enkapsulacije podatkovne ravnine vključujejo MPLSoMPLS, MPLSoGRE, MPLSoUDP in VXLAN

  • MPLSoMPLS

Enkapsulacija podatkovne ravnine uporablja podomrežje MPLS. Labele so sestavljene iz notranje in zunanje labele MPLS. Čeprav MPLS ponuja prednosti glede prometnega inženiringa, predstavlja po drugi strani presežek pri sami uporabi v podatkovnih centrih.

  • MPLSoGRE

Je uporaben način v primeru, da tranzitne naprave ne podpirajo MPLS-a. Notranja labela MPLS je enkapsulirana v GRE in prenešena preko fizične povezave IP. Porazdeljevanje bremena je omejeno, saj morajo omrežne naprave poznati polje GRE za porazdeljevanje bremena.

  • MPLSoUDP

Podoben je MPLSoGRE, le da uporablja IP enkapsulacijo paketov MPLS, ki uporabljajo glavo UDP. Večina obstoječih usmerjevalnikov je sposobna distribuirati promet IP preko ECMP in/ali LAG povezav, na osnovi hash vrednosti t. i five-tuple UDP in TCP paketov (glede na izvorni in ponorni naslov IP, izvorna in ponorna vrata in protokol). Tukaj se uporablja vrednost izvornih vrat glave UDP, kot informacija, ki jo lahko obstoječa infrastruktura za porazdeljevanje bremena uporablja za natančno  ECMP porazdeljevanje bremena prometa MPLS preko podomrežji IP.

Se uporablja za transport podatkovnih paketov preko podomrežja IP, ki zagotavlja povezljivost med končnimi tunelskimi točkami VXLAN Tunnel End Points (VTEPs). VXLAN uporablja MAC naslove znotraj enkapsulacije UDP ter tako raztegne Layer 2 segment. Na ta način omogoča Layer 2 nadomrežje preko Layer 3 omrežja. Glede na skrb povezano s skalabilnostjo in kompleksnostjo multicast poplavnih mehanizmov, ki se uporabljajo za učenje naslovov MAC, sta v takem primeru kot kontrolna ravnina uporabljena OVSDB ali EVPN. Ker za sam VXLAN (ali UDP ali GRE) ne poskrbi za varnost, se lahko za zagotavljanje zasebnosti podatkov uporabi IPsec, v primeru ko se ne zaupa spodnjemu transportnemu omrežju IP.

 

Primera kontrolne ravnine predstavljata OVSDB in EVPN

  • OVSDB

OVSDB je protokol upravljalske ravnine, ki opredeli podatke in kako se ti izmenjujejo, ne pa tudi kaj se s z njimi naredi. Primarno je bil pripravljen za centraliziran kontroler z upravljavsko funkcijo, ki podpira programabilnost. Sposoben je konfigurirati strojne naprave ter uvažati/izvažati dinamično naučene naslove. Inteligenca je vsebovana v podatkovne sheme. Njegova slabost je v tem, da nima sposobnosti neodvisnega odločanja o usmerjevalnih poteh, ki vplivajo na stanje posredovanja paketov. Na drugi strani temelji EVPN na kontrolni ravnini usmerjevalnega protokola podobnega MP-BGP in ponuja distribuirano kontrolno ravnino ali pa deluje s centraliziranim kontrolerjem. BGP ima vgrajeno podporo za skalabilnost in atribute, ki sestavljajo politiko usmerjanja, kar omogoča bogato funkcionalnost.

  • EVPN

Učenje MAC naslovov med PE-ji se doseže z uporabo kontrolne ravnine. EVPN ponuja fleksibilno izbiro enkapsulacije podatkovne ravnine in MP-BGP kontrolne ravnine (različni tipi EVPN usmerjanj), ki podpira izmenjavo MAC/IP naslovov. Podpora vseh aktivnih multihoming povezav omogoča učinkovitejšo izrabo več CE-PE povezav za prometno distribucijo in visoko razpoložljivost. Avtomatična izbira DF (Designated Forwarder), odkrivanje PE-jev povezanih z več povezavami in avtomatično odkrivanje sosedov znotraj istega VPNa omogoča enostavnejše in hitrejše upravljanje. Hitra konvergenca, aliasing, MAC Mass withdraw, MAC mobility, podpora za oglaševanje /32 host usmerjevalnih poti omogoča prometno optimizacijo in VM mobilnost (VMTO), zadrževanje naslovov ARP in podpora distribuciji anycast prehodov je le nekaj od mnogih prednosti EVPN.

 

Podatkovni centri so središče vsakega informacijskega sistema, saj vam omogočajo celovitost ter razpoložljivost podatkov ter informacijskega sistema. Ponudite naprednejše storitve svojim uporabnikom z implementacijo sodobnih konceptov, pri čemer vas bo naša strokovna ekipa za omrežne sisteme usmerila na pravo pot.