引领时代 共赢未来

一创网安服务互联网行业十余年,与中国互联网共同成长,为互联网用户提供超大规模、超高性能、稳定易运维的ICT基础设施,有力支撑了中国互联网的高速发展。

服务热线

010-85950487


互联网数据中心网络解决方案

数据中心规模的提升直接导致组网复杂度的跨越式升级。而在新基建大潮之下,企业和社会对各类数字基础设施的需求则有增无减。要让数据和业务在数据中心内畅行无阻,一张能够与数据中心规模相匹配的高效网络是关键。而组建高效网络的第一步便是选对网络架构。

三种数据中心场景,三种组网模型

伴随数字化转型的深入,“场景化”一度成为近两年的热词。而就在计算和存储设备还在为不同场景的需求和设计绞尽脑汁时,网络的场景化却早已在业内成为共识。

正如面对不同的通行需求人们会修建不同等级的公路,工程师们也早已根据数据中心的不同规模和应用规划了匹配的组网方案。

场景1:中小型数据中心

两级Clos架构是应用应用较早、较普遍的网络架构,现如今依然是很多行业客户的首选。对于规模总体有限的中小型数据中心来说,借由规格不断提升的交换机,我们仍能以这种简单结构组成可靠的网络。而这也正是两级Clos架构能够在中小型数据中心内大行其道的主要原因。

典型的两级Clos架构:H3C AD-DC应用驱动数据中心解决方案

在两级Clos架构中,整网设备只有两种角色,此种架构的优点是数据转发路径短,跨Leaf一跳可达,路径和时延具有很强的一致性。统一的接入方式也给上线部署和水平扩展带来了很大的便利条件,例如BGP协议的部署,策略的控制,日常维护和问题排查等。

两级Clos架构对Spine交换机的性能和可靠性要求很高,一般采用数据中心框式核心交换机产品。框式核心交换机有独立的控制平面、转发平面和支撑系统,而且采用冗余设计,这使得整个系统在可靠性上远高于盒式交换机。

两级Clos架构在和商用SDN控制器方案的适配上更成熟,结合SDN控制器可快速构建基于EVPN的网络Overlay方案,降低东西向和南北向服务链的部署难度,满足云场景下网络对VM、裸金属、容器等全形态计算资源联动的需求。

另外,该架构也同样适用于大型企业在各地部署的汇聚机房和边缘机房,用于构建边缘计算网络,缓解主干网络压力和降低访问时延。

场景2:大中型数据中心

两级Clos架构所支撑的服务器规模一般小于20000台,三级Clos架构的引入解决了两级Clos架构在网络规模上的瓶颈。三级Clos架构在两级Clos架构的中间增加了一级汇聚交换机(Pod Spine),由一组Pod Spine交换机和其下连的所有Leaf交换机一起组成一个Pod,通过Spine层交换机将多个Pod互连组成整个网络。增加Pod的数量即可实现网络的水平扩展,大幅提升了网络的扩展能力。同时,以Pod为单位进行业务部署,在适配多种业务需求、提供差异化服务等方面,三级Clos架构更具灵活性。

此外由于高密汇聚交换机Pod Spine的引入,Spine层的框式核心交换机突破了个位数限制,可以部署数十台,Spine层框式核心交换机提供的总端口数可用于连接数十个Pod,整个网络可以支撑服务器规模超过10万台。


另外,通过调整Pod内Pod Spine交换机的上、下行端口比例,可以灵活定义每个Pod的收敛比,在满足不同业务需求的同时还有助于降低成本,避免不必要的浪费。

场景3:大型、超大型数据中心

互联网企业总是能刷新人们对“海量”一词的认知,无论是在商业模式层面还是在基础架构层面都是如此。每分钟几亿乃至几十亿的业务对数据中心的规模提出了更高的要求,而这也带动了网络结构的再一次进化。基于盒式设备的多平面组网架构,是当前头部互联网公司采用的新架构,用于组建大规模和超大规模的数据中心网络。


不同于三级Clos架构中每台Pod Spine都需要和所有Spine层交换机全互联;新架构中的Spine层交换机被分成多组(组数与每个Pod中Pod Spine交换机数量一致),每组中的Spine交换机均可构成一个独立平面,而每个Pod中的Pod Spine交换机只需和对应平面中的Spine交换机全互联即可。

这样,整个Spine层便可连接更多的Pod,构建出支撑数十万级别服务器的超大规模网络。并且,随着盒式交换机性能的提升,该架构还可以持续的提升容量空间。

同时,由于Spine和Pod Spine使用的设备相同,整个网络在功能性、转发延迟等方面均具备高度一致性。这就为业务部署和网络调优创造了巨大的优势。并且,整个网络从100G组网向200G、400G组网以及后续更高速组网的演进上能保持同步。

未来数据中心网络

01、可视化的网络管理

从以上三种不同规模的数据中心组网方案中我们可以发现,无论何种架构,管理都是一个不可不谈的核心问题。那么,问题接踵而至:如何以更低的成本,实现更高效的网络管理?

看得到交通情况,我们才能更好地管理公路;网络的可视化也是高效管理的前提。

在实际应用中,网络可视化技术不但能够完成端到端的流量监控、风险预警、协助故障排查;更可以通过数据积累和分析,实现数据中心网络架构的优化设计。

02、智能网卡将成为网络的新末端

未来,智能网卡将是DCN网络中重要的组成部分,具备可编程能力的智能网卡在释放CPU资源、实现高性能转发的同时,还拥有隧道封装/解封装、虚拟交换、加解密、RDMA等功能,随着业务场景和需求的增加,越来越多的数据平面功能将由智能网卡来完成,打破了基于服务器或交换机各自实现的局限性,有望做到性能、功能和灵活性的完美平衡。

数字时代,网络进步永不停歇

中国用70年时间修出了近500万公里的各类公路,而这直接促进了社会的经济腾飞。同样的,在数据中心的发展过程中,企业对高效网络的追求也永无止境。作为数字化解决方案的领导者,对业务价值、数据中心和网络之间的关系也有着深刻的洞见。高效数据中心网络所串起的是数字时代之中,从数据到业务再到价值的整个链条。


互联网MAN/DCI网络解决方案

人们总说技术改变世界,但实际上,改变世界的是思想;而技术则是思想得以实践的支撑。现在,每个人都知道,未来将是数字化的。但如果要对数字化本身追根溯源,那么一切都还要从云计算说起。

不同角色的人群看待云计算,都会有不同的视角,得到的利益也不尽相同。从企业经营角度,云计算将以往的固定资产投资变为了经营成本,这大大提升了企业经营的灵活性;从技术角度,云计算则将以往庞大且复杂的系统拆分成了一个个小单元,在让不可能成为可能的同时,也让软件和应用的有了快速迭代的基础……而从更宏观的经济运行系统来看,云计算则代表了一种全新的系统构建思路——分布式。

通过将以往的大系统拆分成一连串相互独立但却可以互相协作的小单元,每个环节的效率提升不仅让宏观的系统效率有了大幅提高,人们也能够通过不同小系统的相互接驳与组合创造出更多样、更精妙的大型系统。

现如今,这样的思路正在全社会各个领域全面开花。而在ICT领域内部,各项系统也都在向分布式方向演进,分布式的计算存储、分布式的应用、分布式的中间件、分布式的数据库;而作为连接这些要素的基础,网络的分布式也在如火如荼。

当SR遇到MPLS

01、MPLS的优势与缺点

MPLS(Multiprotocol Label Switching):多协议标签交换技术,是为了提高网络设备转发速度而提出的技术,与传统IP路由器方式相比,它在数据转发时,只在网络边缘分析IP报文头,而不用在每一跳都查看目的IP报文头,节约了处理时间。

MPLS技术支持多层标签,理论上标签可以无限嵌套;同时,MPLS的首节点可以将目标IP转为MPLS标签,后续便能够基于标签进行转发。这样的特性使其在VPN、流量工程、QoS等方面得到广泛应用。

另一方面,以MPLS为基础,人们还开发出了提升转发效率的DP标签分发协议、方便管理的RSVP-TE基于流量工程的资源预留协议等多种扩展。

传统MPLS网络和SD-WAN网络之间的5年内的成本分析

不过MPLS也存在着协议复杂度高、运维困难、无法实现链路负载均衡、设备价格昂贵等固有缺点。而且,作为一种已有20多年历史的协议,MPLS也很难应用于目前的云环境当中。

02、当MPLS遇到SR

SR(Segment Routing):是一种源路由协议,也称为分段路由协议。由源节点来为应用报文指定路径,并将路径转换成一个有序的Segment列表封装到报文头中;由此,路径的中间节点只需要根据报文头中指定的路径进行转发,效率更高。而在与IPv6技术融合之后,SR也顺理成章的进化为SRv6.

相比传统MPLS网络,SR具有更简单的控制平面及更易扩展的数据平面。在集成MPLS技术优势的同时,SR也能适配IPv6、SDN等技术的发展,为SD-WAN网络提供了一种灵活高效的控制手段。SR技术具有使用简单、容易扩展的特点,能够更好的实现流量调度和路径优化,提供应用驱动的网络服务,保障关键业务质量,均衡流量分布,提高专线利用率,降低线路成本。

而在管理层面,SR技术还发展出了不同于传统RSVP-TE基于隧道接口的全新管理方式——SR Policy。

本质上,SR Policy不是隧道接口而是Segment列表,Segment列表对数据包在网络中的任意转发路径进行编码,列表中的Segment可以支持IGP Segment、IGP Flex-Algo Segment、BGP Segment等。当SR网络的源节点和目的节点之间存在多条路径时,合理利用SR Policy选择转发路径,不仅可以方便管理员对网络进行管理和规划,还可以有效地减轻网络设备的转发压力。

03、SR技术典型应用场景

1、实时数据传输

拥有多个分支结构的企业,受限于传统广域网,经常出现网络延迟严重导致的跨境访问不稳定,由此带来的便是丢包、移动端及PC端显示缓慢。SR技术搭载SD-WAN网络架构可以有效的帮助企业实现多数据中心之间的同步,提供接近物理光缆级别的品质保证,有效提升传输性能,并大幅降低网络租用成本。

2、综合办公

SR技术可以有效保障企业远程办公的质量,可以为企业客户快速部署不受远程通信影响的加速网络,提升远程网络传输的质量;满足视频会议、远程桌面应用等跨地、跨境办公的品质,提升业务敏捷性。由此,企业也可节省专线成本,降低运维压力。

3、在线直播及短视频

SR技术可以为视频直播、在线教育、短视频提供有力保障,解决传统网络环境下容易发生的网络延迟、视频卡顿、抖动、丢包等问题,为直播等大流量实时互动提供流畅的网络环境。同时,SR+SD-WAN的网络架构方案也可提供动态网络加速服务,弥补了CDN的不足。

4、数据灾备

SR技术的智能选路能力既支持数据快速传输,又可以结合SD-WAN控制器迅速定位故障点,让性灾备功能的实现更简单。依托SR技术建设的“数据灾备”+“线路灾备”的双活热备模式,可在出现问题时,有效确保网络和应用的正常使用;让数据同传和切换从小时级降低至分钟级,切实保障了实时业务数据的及时备份,保障了灾备系统的平稳切换。

SRv6与SR Policy在大型CSP中的最佳实践

目前,SRv6级SR Policy相结合已经成为行业共识。而作为新一代网络技术的倡导者,一创网安更率先将SR及其衍生技术融入产品,且已经在众多大型云项目中获得最佳实践。

在某大型云服务商的多个同城数据中心园区项目中,每个园区均为一个单独的AZ(Availabe Zone,可用区)。为了提升业务可靠性,该云服务商的用户通常会将业务部署在多个AZ之中。而这就需要核心路由器利用SR技术来进行高效、高可靠的流量调度。

经过调研,该云服务商最终选择了支持100/400G接口互联的一创网安核心路由器来构建核心MAN网络。

基于这套网络架构,用户可在MAN网络部署SR-TE技术实现智能流量调度。同时,为了使用多条链路分担负载负载分担,公司则在MAN核心层设备之间使用了平行标签的分配方式。

MAN核心层和MAN汇聚层位于同一个自治域,MAN核心层设备和MAN汇聚层设备之间建立p2p ISIS邻居并开启ISIS SR。MAN汇聚层设备作为SR头节点,每组MAN汇聚设备使用了Anycast标签(Anycast标签即为不带N标记的节点标签,将前缀SID的Node-SID标志位置为0,表示前缀SID为到达一组SR节点的SID),支持三级哈希流量调度,并通过SR Policy方式引流。

通过部署SR技术,公司帮助该云服务提供商实现了数据中心园区骨干网络的流量调度功能,而SR Policy技术的应用则在实现SR-TE策略的功能的同时帮助用户摆脱了SR-TE隧道接口体系的束缚。用户流量按指定SLA精细化调度到不同SR-TE路径,可进行多级哈希,提高了数据中心园区骨干网的带宽利用率,增强了数据中心园区骨干网络的可靠性、容错率及健壮性;永不不仅获得了更高的投资回报比,更进一步推进了网络的精细化运营。


互联网园区网络解决方案

1. 数字化时代园区网发展的趋势

在数字化时代,传统园区网的接入的形态从移动终端逐步向物联网终端变化,园区网是业务的承载网络,随着物联业务的发展,业务种类爆炸性增长,业务变更更加频繁,网络运维复杂度逐渐升高。构造一个弹性、易扩展、易管理、易维护的SDN网络是数字化转型中园区网络发展的必由之路。并且将AI、大数据技术引入园区网络运维,使网络运维变的更加高效和智能更是园区网络发展的趋势;

2. 传统园区网络运维面临的挑战

传统园区网络中,我们一般是基于地理位置做网络划分,如果我们员工在园区中从A栋 移动到B栋,网络会断开连接,需要重新获取地址,针对新的地址需要部署新的安全策略;员工从办公位跑到会议室里边开会,需要共享胶片和资源,相关的权限需要继续保持;员工从市场部门跑到研发部门后,共享技术资料和交流;员工从总部出差到分支希望一些重要的业务权限不变;在当前移动性很频繁的场景中,企业如何保证一致性的用户体验是个很大挑战。用户一旦移动后,传统的方案会导致IP地址变化,针对IP地址作安全策略的防火墙等主流安全设备,必须调整相应的安全策略,这给不同品牌的网络产品和安全产品联动提出了前所未有的挑战,如何保证用户在移动后,IP地址会相应变化,用户仍然享有同样的安全防护权限?这是传统网络和安全同时需要亟待解决的艰难问题。

IDC的统计数据表明到2020年,物联网连接将达到300亿的联接规模。建设智慧园区的一项核心技术需求是物联网;在园区网络中除了传统PC、笔记本、PAD和phone这些智能终端,基于以太网的物联网终端(宽带物联终端)也将大规模增长。还有一些哑终端比如办公网中的打印机、IP电话、摄像头、智能插座等等。

大量物联终端接入网络时,如何提供批量、快速的部署,和统一简单的管理,也是一大挑战。

相信对于大部分的网络运维工程师来说,面对业务种类越来越多,规模越来越大的园区网络,如何应对各种安全威胁,实现业务快速部署上线,快速处理故障,也是一大挑战,我们在传统园区经常会碰到的一个问题:比如有线网和无线网是分裂的,有各自的管理,各自的监控。如果网络有了扩容和业务新增的需求,需要对网络进行调整,会涉及到很多的人工联调,非常的费时费力,而且中间任意一个环节出问题都会影响原有业务。同时呢,在业务越来越多的情况下,怎样做到各业务之间安全隔离,以及不同用户有合适的权限,对网络做一个合适的分段也是一个很大的挑战。总体来说,传统园区网络运维是一个效率低,高成本的一个状态。

以上这些问题就是我们传统园区网络中遇到的挑战,接下来我们看一下全新的智能园区解决方案是如何解决我们遇到的这些挑战。


3. 智能园区网络AD-Capmus

什么是AD-Campus?简单来说是一个SDN架构的解决方案,是一个应用驱动的智能园区网络,目的是弱化底层物理网络,使运维人员更专注于网络应用,自上而下的驱动整个园区网络的运维,它具有对网络进行全局统一管理、控制和智能分析、业务编排的能力。其整体的方案架构如下:


从下往上,依次是物理层、网络层、控制层和管理编排层。物理层和我们传统网络一样,包含硬件网络设备,如交换机、 路由器、 无线AC和AP,以及服务器等硬件设备;网络层在underlay网络基础上抽象出Overlay网络,实现各个业务的逻辑隔离。关于overlay后边会有更详细的讲述。再往上是控制器层:包含网络控制平台,网络分析平台和终端接入认证系统,主要实现网络自动部署,策略下发,用户管理和运维等一些列工作。顶端是管理编排层:依赖于我们的平台 SNACenter,可以安装多个组件,为管理员提供统一的业务配置与网络状态呈现的入口,为我们网络的设计、策略、部署和保障提供交互和呈现的界面。


互联网智慧计算解决方案

聊起服务器,大家首先想到的就是“三大件”,即CPU, 内存,硬盘,但是作为服务器不可或缺的部件,网卡也应该占据一席之地,网卡的功能主要有两个:

一是将服务器的数据封装为帧,并通过网线将数据发送到网络上去;

二是接收网络上其它设备传过来的帧,并将帧重新组合成数据,发送到所在的服务器中。

网卡最主要的参数是速率带宽,代表着服务器网络的整体处理能力。云计算,大数据处理,高速存储的需求推动了网络带宽的发展,云上客户对网络速度及网络带宽的关注度不断提升。业务对数据中心的流量产生巨大的冲击,企业需要大量,大带宽的服务器组成集群系统,协同完成工作。网卡从1G到10G普及用了十年时间,到现在很多IDC机房用的还是千兆网络,但是从10G到25G成加速普及的趋势,只用了不到3年时间,互联网头部公司已经基本切换到25G网络,并且已经开始部署50G和100G。

随着网卡速率越来越高,业务对延时的要求越来越低,传统的x86服务器已经不能满足业务的需求,于是出现了如DPDK这种软件的解决方案,采用轮训方式和在用户态实现数据包处理,可以明显提高服务器网络性能。DPDK好处就是投入少,收益大,传统网卡加上软件套件就可以实现性能提升,缺点在于需要专门划出一部分CPU核来处理数据包。但是随着VXLAN等overlay协议以及OpenFlow、Open vSwitch(OVS)等虚拟交换技术的引入,使得基于服务器的网络数据平面的复杂性急剧增加,传统网卡固定功能的流量处理功能无法适应SDN和NFV ,而且网络接口带宽的增加意味着在软件中执行这些功能会占用大量的CPU资源, 和当前云计算的理念背道而驰,于是智能网卡的概念应运而生。

不同于传统网卡,智能网卡同时具备高性能及可编程的能力,既能处理高速的网络数据流,又能对网卡进行编程,实现定制化的处理逻辑。

智能网卡的三种形式

目前,智能网卡设计采用以下三种形式之一:

1. 多核智能网卡,基于包含多个CPU内核的ASIC

2. 基于现场可编程门阵列(FPGA)的智能网卡

3. SOC,即片上系统,它将硬件可编程FPGA与ASIC网络控制器相结合

不同的实现方式在成本、可编程性和灵活性方面各有优劣,ASIC具有价格优势,但灵活性有限,尽管基于ASIC的NIC相对容易配置,但最终功能将受到基于ASIC中定义的功能的限制,某些较复杂的负载可能无法得到支持, 相比之下,FPGA NIC是高度可编程的,并且可以相对有效地支持几乎任何功能,不过FPGA问题是编程难度大且价格昂贵,对一些小客户不太友好,针对更复杂的用例,SOC是较佳的SmartNIC选择,价格与性能兼具、易于编程且高度灵活。

具体说来,智能网卡为数据中心网络提供了几项重要优势,包括:

1.通过直接在网络接口卡上执行任务来加速网络、存储和计算任务,消除了在服务器上运行这些工作负载的需要,并释放了CPU周期,从而显着提高服务器性能并降低总体功耗,进而降低总体拥有成本。

2.卸载日益复杂的网络任务,包括诸如VxLAN等复杂隧道协议和OVS虚拟交换机等,使服务器处理器能够执行实际的创收性任务。

3.通过在更快速的硬件而不是较慢的软件中去执行卸载功能,从而提高有效网络带宽和吞吐量,并提供附加的、灵活的功能,以适应新的和不断变化的网络和存储协议。

其实智能网卡在大型互联网公司及头部CSP上已经开始应用,核心思想就是把业务负载卸载到专用硬件上,如微软在Azure上使用FPGA来实现CPU卸载、网络加速,而AWS甚至 发展出一套Nitro 架构来实现VPC, EBS,存储等业务的硬件卸载,国内阿里巴巴的神龙架构思想类似,其架构核心就是一块MOC卡,整个Hypervisor完完全全运行在这张卡上面,服务器的CPU和内存完全可以释放出来给客户。

一创网安研发的加速架构,是业界先进的实现前后端同时智能加速的超融合架构。以智能加速卡为核心前后端到端全程加速、主机侧损耗为零,相同核数CPU条件下,对比非加速方案,可以多创建50%以上的虚拟机,每虚拟机成本降低30%以上,IOPS性能提升10倍以上。同时拥有业界超短IO路径的无损网络,网络时延从毫秒级降低到纳秒级。可同时承载虚拟化,裸金属,容器,函数计算的全运行态。

超融合架构UIS在最新版本中采用了智能网卡,把存储、网络的处理完全下沉到智能加速卡上,几乎全部CPU资源都可以用于计算,大大提升了算力,相比当前超融合方案,具备更高的性能和更低的TCO总体拥有成本。

010-85950487

一创网安科技 版权所有 京公网安备 11010602105058号

京ICP备2023009062号-1

Powered by MetInfo 7.8 ©2008-2025  mituo.cn
网站首页
行业方案
技术方案
产品方案
业务咨询
京公网安备 11010602105058号