1.2 组网架构

Q7.什么是传统网络架构？

目前，主流的数据中心传统网络架构为三层树形网络架构（见图 Q7-1）。基于此网络架构，可以将一个复杂的、大而全的网络进行有序管理。

网络架构划分成核心层、汇聚层和接入层三个层次。核心层主要用于网络的高速交换主干；汇聚层着重于提供基于策略的连接；接入层则负责将包括计算机、AP等在内的工作站接入网络中（见表Q7-1）。

Q8.什么是Leaf-Spine网络架构？

数据中心传统的网络是三层网络架构，一般包括核心层、汇聚层和接入层。业务大规模发展为数据中心带来了新的挑战，为解决数据中心内流量高速互联和数据中心规模不断扩大的问题，Leaf-Spine（Leaf-Spine Network Topology，叶脊网络架构）应运而生。传统三层树形网络架构如图 Q7-1 所示，Leaf-Spine 网络架构如图Q8-1所示。

在 Leaf-Spine 网络架构中有两个重要组件，Leaf（叶）交换机和 Spine（脊）交换机。其中，Spine（脊）交换机可以当作传统三层树形网络架构中的核心层L2/L3交换机，只是 Spine（脊）交换机不再是传统三层树形网络架构中的大型机箱式交换机，而是高端口密度的交换机。另外，Leaf（叶）交换机就是接入层 L2 交换机，Leaf（叶）交换机为服务器等终端设备提供网络连接，同时上联到Spine（脊）交换机。

但是，对于同一个Spine出现相同的VLAN（Virtual Local Area Network，虚拟局域网）配置，Spine（脊）交换机转发指路不清楚，接入设备的部署灵活度不足，此时需要引入OverLay网络（Overlay Network，叠加网络）技术来解决。

传统三层树形网络架构和Leaf-Spine网络架构对比如表Q8-1所示。

Q9.SDN+NFV的网络架构是什么？

传统 VNF（Virtualization Network Function，虚拟化网络功能）在部署过程中如果没有引入SDN（Software Defined Networking，软件定义网络），就不能批量配置网络数据，仍需要手动登录网络设备进行操作。通过人工创建虚拟网络资源不但对操作人员技能要求高，并且部署效率低、容易出错。

NFV（Network Functions Virtualization，网络功能虚拟化）引入SDN的本质目的是实现 VNF 连接自动化，部署开通端到端的自动化业务。SDN 控制器在ETSI（European Telecommunications Standards Institute，欧洲电信标准化协会）NFV 架构中的位置如图 Q9-1 所示，SDN 控制器负责管理云数据中的网络设备，包括 Leaf（叶）交换机、SDN 网关。SDN 控制器提供与VIM（Virtualized Infrastructure Manager，虚拟化基础设施管理器）对接的API（Application Programming Interface，应用程序编程接口），接收VIM发送的网络配置数据。

Q10.网络云组网大致分哪几层？每层的作用是什么？

网络云数据中心组网自下而上大致分为接入层、核心层和出口层，如图 Q10-1所示。

1.接入层

接入层部署 TOR（Top of Rank，接入交换机）和各类计算型服务器、存储设备，为上层业务提供计算、存储资源。

2.核心层

核心层部署 EOR（End of Row，核心交换机）和 DC GW（SDN 组网为SDN 网关），并按需配置内层防火墙、IDS/IPS （Intrusion Detection/Prevention System，入侵检测/防御系统）、WAF（Web Application Firewall，Web 应用防护系统）及负载均衡器等设备；EOR 向下汇聚所有接入层网络设备，保证接入层设备之间的高速交换，其中 DC GW（SDN 组网为 SDN 网关）作为资源池出口网关，向上与出口层设备互联。

3.出口层

出口层复用现网承载、传输网络组网设备。出口层作为网络云站点内部和外部网络互联互通的纽带，分别部署专用CE路由器接入现网IP承载网与CMNET （China Mobile Network，中国移动互联网），对外完成与外部设备的高速互联，对内负责与网络云站点核心层交换设备互联，完成与站点外部路由的信息转发和维护。

Q11.网络云资源池VLAN划分原则是什么？主要VLAN有哪些？

一、VLAN划分原则

（1）使用同一个VIM管理的硬件资源池，VLAN不能重复。

（2）预留一部分 VLAN（通常为 1024 个）作为公用 VLAN，包括硬件管理VLAN、VIM VLAN、存储 VLAN、SDN 控制器管理 VLAN、SDN 控制器业务VLAN、计算节点隧道VLAN等。

（3）各网络平面（存储、网络、硬件管理），除 VIM VLAN （含 PXE VLAN）外，一个VLAN内的MAC地址尽量不超过256个。

（4）计算服务器侧存储前端 VLAN 的划分应与 HA（Host Aggregate，主机集群）的划分对应，存储服务器侧前端 VLAN 和后端 VLAN 的划分应与存储池的划分对应。

二、主要VLAN

主要VLAN包括硬件管理VLAN、VIM VLAN、存储管理VLAN、存储前端 VLAN、存储后端 VLAN、SDN 控制器管理 VLAN、SDN 控制器业务VLAN、计算节点隧道VLAN等（见图Q11-1）。

网络云资源池分Ⅰ类资源池和Ⅱ类资源池。以Ⅰ类资源池为例，其内部管理VLAN 包括承载 VIM 对 NFVI 的管理流量、VIM 对 SDN 控制器的管理流量、VIM北向接口、SDN控制器对SDN GW及vSwitch（Virtual Switch，虚拟交换机）的管理流量等，具体包括以下VLAN。

1.VIM VLAN

VIM VLAN 用于实现 OpenStack 组件之间、VIM 与计算节点之间的资源管理在资源池内部疏通，该 VLAN 为资源池内公用 VLAN，VIM 复用该接口为Hypervisor/HostOS提供NTP服务。

2.MANO VLAN

MANO VLAN用于VIM与VNFM之间Vi-Vnfm接口（通过NFVO+转发）、VIM/PIM与NFVO之间Or-Vi接口的互通，通过IP承载网网管VPN疏通。

3.SDN控制器管理 VLAN

SDN控制器管理 VLAN是用于SDN控制器对SDN GW、vSwitch等节点设备管理的数据流。根据各厂家实现的不同，SDN 控制器管理 VLAN 包括通过 SDN 控制器管理网口进行管理、通过 SDN 控制器业务网口进行管理两种方式。

4.O＆M VLAN

O＆M VLAN分为资源池内NTP服务器与上级时间源之间接口的VLAN，以及PIM与分布式存储集群管理模块之间资源管理的VLAN。

5.管理类网元内部 VLAN

管理类网元内部 VLAN 用于 VIM 内部模块间通信流量及 SDN 控制器内部模块间通信流量。

6.硬件管理 VLAN

硬件管理 VLAN 由 PIM 和各物理硬件（服务器、TOR、EOR、防火墙等）管理接口（IPMI）组成，用于实现对资源池内物理硬件设备的管理，是资源池内的公用VLAN。

7.存储管理 VLAN

存储管理 VLAN 用于分布式存储管理节点与存储节点之间的存储管理、监控流量，VIM与分布式存储节点之间存储卷管理，为资源池内的公用VLAN。

8.存储后端 VLAN

存储后端 VLAN 用于同一存储池内分布式存储节点之间副本数据同步、数据重构和重均衡的流量，每个存储池分配一个VLAN。

9.存储前端 VLAN

存储前端 VLAN 用于各计算节点、物理机与分布式存储节点之间数据读写流量，是资源池内的公用 VLAN。计算服务器侧和存储服务器侧规划不同的VLAN。

10.组网及设备互联 VLAN

组网及设备互联 VLAN用于EOR与出口层各外部网络之间的互联；在部署DMZ（Demilitarized Zone，非军事化区、网络隔离区域）时，还需要部署VLAN （用于 TOR、EOR、防火墙之间的互联），以及计算节点服务器隧道 VLAN、组网设备互联VLAN等其他资源池组网及互联用VLAN。

Q12.在网络云SDN、非SDN组网中，DC GW的角色有何不同？

如图 Q12-1 所示，在 SDN 组网中，SDN GW 仅作为南北向流量出口及跨VPC（Virtual Private Cloud，虚拟私有云）流量节点，业务通过SDN控制器下发到SDN GW。

如图 Q12-2 所示，在非 SDN 组网中，DC GW 作为三层网关，东西向三层、南北向及跨 VPC 流量都需要经过配对路由器，并且需要手动进行相关业务配置。