带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第三章软件定义访问运作方法3.2

简介: 带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第三章软件定义访问运作方法3.2

3.1   数据转发平面

 

软件定义访问通过使用虚拟可扩展局域网VXLAN技术构建叠加网络的数据平面。VXLAN封装和传输完整的二层数据帧并横跨底层网络,每个虚拟网络由 VXLAN网络标识符(VNI)进行标识。VXLAN封装还使用 SGT字段对网络进行微分段。

RFC7348定义了使用虚拟可扩展局域网(VXLAN)作为在三层网络之上叠加二层网络的一种方法(见图3-4。使用VXLAN,可以使用UDP/IP在三层网络上对原始二层数据帧进行标记并进行隧道传输。每个叠加网络都称为VXLAN网段,并使用 24VXLAN网络标识符进行标识,最多支持 1600万个 VXLAN网段。

image.png

 

3-4RFC7348VXLAN

软件定义访问网络交换矩阵使用 VXLAN数据平面传输完整的原始二层数据帧。另外使用位置 /  标识分离协议作为控制平面来解析终端到其所在位置的映射关系。软件定义访问网络交换矩阵采用VXLAN报头中的 16个保留位,以便传输多达 64000个可扩展组标签,详细信息请参考 VXLAN-GPO规范。

VNI实现了三层叠加网络到虚拟路由和转发实例的映射。而二层 VNI实现了 VLAN广播域的映射,二者均可为每个虚拟网络提供隔离数据和控制平面。可扩展组标签承载用户的组成员身份信息,并在虚拟网络内部提供数据平面微分段。

VXLAN     需要一个底层的传输网络(底层网络)承载,在连接到网络交换矩阵的终端之间提供通信,使用底层网络数据平面转发。图 3-5展示了 VXLAN封装网络中的数据转发平面。

软件定义访问网络交换矩阵不会更改二层或三层转发的语义,并且允许网络交换矩阵的边缘节点执行叠加路由或桥接功能。因此,边缘节点提供了一组不同的网关功能,如下。

 

image.png

 

3-5 网络交换矩阵数据转发平面操作

 

(1)  二层虚拟网络接口(L2VNI。在这种模式下,来自 L2VNI的数据帧将被桥接到另一个 L2接口。桥接将在桥接域的情境中完成。L2网关的实现将使用 VLAN作为桥接域,并将 L2VNI作为 VLAN的成员端口。边缘节点将在 VLAN中的 L2VNI和目标 L2端口之间桥接通信。

(2)  三层虚拟网络接口(L3VNI:在此模式下,来自 L3VNI的数据帧将被路由到另一个 L3接口。路由将在路由实例的情境中完成。L3网关的实现将使用VRF作为路由实例,并将 L3VNI作为 VRF的成员端口。边缘节点将在 VRF中的L3VNI和目标 L3接口之间路由通信。

为了提供客户端移动性和子网的拉伸,软件定义访问利用了分布式任播默认网关

如图 3-6所示。这将在网络交换矩阵中的每个边缘节点上配置三层接口默认网关例如,如果在网络交换矩阵中定义了 10.10.10.0/24子网,并且为该子网定义的默认网关是10.10.10.1,则该虚拟 IP地址(具有相应的虚拟 MAC地址)将在每个边缘节点上进行相同的编排。

 

 

 image.png


3-6 分布式任播默认网关

这大大简化了终端部署,便于其在网络交换矩阵基础架构中漫游,因为默认网关在任何网络交换矩阵的边缘节点上都是相同的。这也优化了通信转发,因为从终端到其他目标子网的通信总是在第一跃点进行三层转发。而对于一些传统的(非网络交换矩阵)拉伸子网解决方案,需要将流量在远程位置进行三层转发。

此外,底层网络可用于向叠加网络中的二层广播域内的终端传送多目标通信。这包括网络交换矩阵中的广播和多播通信。软件定义访问网络交换矩阵中的广播通信被映射到底层网络的多播组并发送到该广播域中的所有边缘节点。下面将详细介绍这一点。

相关文章
|
16天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
81 7
|
1月前
|
网络协议 安全 网络安全
|
20天前
|
存储 数据安全/隐私保护 云计算
多云网络环境:定义、优势与挑战
多云网络环境:定义、优势与挑战
35 5
|
19天前
|
运维 物联网 网络虚拟化
网络功能虚拟化(NFV):定义、原理及应用前景
网络功能虚拟化(NFV):定义、原理及应用前景
39 3
|
19天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
31 2
|
2月前
|
安全 网络性能优化 网络安全
|
2月前
|
机器学习/深度学习 计算机视觉
TPAMI 2024:计算机视觉中基于图神经网络和图Transformers的方法和最新进展
【10月更文挑战第3天】近年来,图神经网络(GNNs)和图Transformers在计算机视觉领域取得显著进展,广泛应用于图像识别、目标检测和场景理解等任务。TPAMI 2024上的一篇综述文章全面回顾了它们在2D自然图像、视频、3D数据、视觉与语言结合及医学图像中的应用,并深入分析了其基本原理、优势与挑战。GNNs通过消息传递捕捉非欧式结构,图Transformers则结合Transformer模型提升表达能力。尽管存在图结构构建复杂和计算成本高等挑战,但这些技术仍展现出巨大潜力。论文详细内容见:https://arxiv.org/abs/2209.13232。
85 3
|
2月前
|
自动驾驶 物联网 5G
|
2月前
|
网络协议 Ubuntu 前端开发
好好的容器突然起不来,经定位是容器内无法访问外网了?测试又说没改网络配置,该如何定位网络问题
本文记录了一次解决前端应用集成到主应用后出现502错误的问题。通过与测试人员的沟通,最终发现是DNS配置问题导致的。文章详细描述了问题的背景、沟通过程、解决方案,并总结了相关知识点和经验教训,帮助读者学习如何分析和定位网络问题。
106 0
|
3月前
|
5G 网络安全 SDN
网络功能虚拟化(NFV)和软件定义网络(SDN):赋能5G网络灵活、智能演进的关键
网络功能虚拟化(NFV)和软件定义网络(SDN):赋能5G网络灵活、智能演进的关键
77 3