2017年11月,中共中央办公厅、 国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》。2018年5月,工信部就如何落实该行动计划公布了21项举措。当前,以信息技术为代表的新一轮科技和产业革命正在萌发,为经济社会发展注入了强劲动力,推动互联网、大数据、人工智能和实体经济深度融合,发展数字经济、共享经济,培育新增长点、形成新动能,IPv6作为信息技术的最底层支撑的基础设施,是其中关键一环。
近年来,作为管道的网络和新上市终端大部分都已经支持IPv6,瓶颈在IPv6环境中缺少应用,导致实际的IPv6流量占比一直没有起来。数据中心作为承载应用的基础设施架构,由于虚拟化,容器的大量使用,导致对IP地址的消耗过大,许多数据中心已经被迫开始采用IPv6,新型的云化网络IPv6该如何部署,华为CloudFabric云数据中心网解决方案试图给大家一些启示。
CloudFabric IPv6之初始阶段:高起点,超宽演进能力
数据中心的应用日新月异,服务器的生命周期一般为3到5年,网络设备的寿命一般为8到10年,因此数据中心基础网络设计一般要考虑适度的超前性,支撑不同接口速率的服务器同时接入网络,适应业务演进过程IPv4和IPv6不同流量占比情况,从而保持业务的持续性和稳定性。
CloudFabric基础网络方面,华为重点发展IPv6的超宽演进能力,华为CloudEngine数据中心交换机支持容量高达36端口密度且全面支持IPv6的100GE功能线卡,实现数据中心内部核心高效互联互通;在服务器接入层面,支持25GE的CE6860和CE6865盒式交换机,支持32和64固定端口CE8850和4插槽的CE8860的100GE端口交换机,华为现有交换机的服务器的接入能力从千兆万兆25GE直至到100GE,均已支持IPv6功能,可以有效支撑现网IPv4向IPv6网络的平滑演进。
华为在硬件平台、软件平台、光模块、标准等方面有大量的技术的储备,华为NE路由器IPv6早就已经规模商用,在CloudEngine交换机设计之初就是和NE路由器共平台设计,产品硬件就同时具备IPv4与IPv6的能力,而统一的软件平台VRP也全面支持IPv6控制与管理协议;在标准方面,华为在IETF IPv6领域新增工作组文稿上已经领先业界,成为贡献最大的厂商,并主导了IPv6过渡、组播、安全等标准。
早在2013年华为CloudEngine数据中心系列交换第一个版本某交通大学IPv6局点,就已经对如何在基础网络层面从传统的IPv4网络平滑地迁移到终极的IPv6网络进行了认证部署,在这一阶段积累了在IPv4和IPv6不同占比流量下各种表项分配比例,形成了非常好的实践数据。华为CloudFabric具备多种IPv4向IPv6的迁移技术,如双栈、IPv6 Over IPv4手动/GRE隧道,IPv6 Provider Edge等,是最早一批在数据中心交换机形态上全面实现IPv6过渡技术并获得了IPv6 Ready认证的厂商。
CloudFabric IPv6之发展阶段:很全面,极简部署能力
数据中心是用户的生产网,存放着核心数据,对外提供形形色色的各类服务,数据中心的IPv6演进应该是伴随着业务的改造逐步进行的了,数据中心最终目标是提供全面的IPv6业务,但是演进过程中提供IPv4/IPv6双栈的对外全面服务是基本要求。双栈数据中心遵循“IPv4的用户访问IPv4的应用,IPv6的用户访问IPv6的应用”原则,基于稳定性和安全隔离考虑,需要将应用系统服务器区和用户接入区按照”维持现有IPv4环境、隔离新建IPv6环境”原则建设,业务有序平稳逐步向IPv6迁移。华为CloudFabric云数据中心网基于IPv6 VxLAN的SDN自动化部署方案主要包括如下图两种模式。
“业务先行“的IPv6演进模式:租户部署在数据中心的业务先行IPv6化,要求网络设备利旧,或者说现有IPv4运维经验和工具不想太激进,在利旧物理underlay网络IPv4基础上平滑演进, 支持承载IPv6 Overlay业务。无论是基于WEB-APP-DB方式的层次化调用的B/S模式还是C/S模式的单层调用,对于一个上层应用来说,IPv6涉及的不仅仅是一个操作系统协议栈如TCP6/UDP6的修改,而是整个应用层对IPv6从第三层到第七层的端到端的适配,摸清楚业务系统适配的工作量是IPv6改造的难点和关键点。值得一提的是,利用IPv6 VxLAN over IPV4,不仅能够利旧已有的IPv4数据中心网络、保护大量投资,还有助于新的IPv6业务系统大规模扩展。
“网络先行“的IPv6演进模式:新建数据中心采用物理的Underlay IPv6网络, 承载租户IPv4/IPv6业务,对于WEB-APP-DB多层架构的纯IPv6应用的大型服务器群由于涉及的中间虚拟化平台,软件种类众多、功能丰富,应用在WEB层实现IPv6前端服务、APP,DB等后端服务仍然采用IPv4是一种稳健的过渡方式,这种混合部署的方式持续时间取决于业务IPv6改造的时间,华为CloudFabric IPv4 VxLAN over IPv6可以确保在云端应用系统与用户终端无感知的情况下,实现业务向IPv6网络的演进升级过程中最大程度的利旧现网服务器接入资源,给应用系统的改造预留足够的时间窗口,利于业务的平滑演进。
华为CloudFabric云数据中心网络将VxLan的物理Underlay网络和逻辑的Overlay网络的混合叠加组网在一个拓扑中实现,始终遵守的客户行为准则:我可以接受一个新世界,但尽量别损失我在旧世界已经拥有的价值,在还没有找到IPv6合理的显性商业盈利模式之前,尽量通过升级改造节省投资。
CloudFabric IPv6之加固阶段:很安全,网安联动能力
在IPv6的基础网络架构和SDN的自动化部署问题解决之后,数据中心的安全部署问题就日益提到重要的位置了。随着服务器的虚拟化和网络的大二层在云的部署环境中越来越普遍,传统的安全边界和可信区域逐步消失,云数据中心安全关注的焦点也从传统的南北向的安全转移到东西向安全。
微分段实现跨服务器东西向安全隔离由安全设备转移到交换机: 为了明确网络和安全团队的责任边界,典型的数据中心业务模型南北向的安全通常由防火墙来完成,而东西向隔离承担的角色可能包含防火墙,交换机,甚至服务器上的安全组,在交换机上实现比子网更细粒度如基于离散IP,虚拟主机名等的隔离,这个时候ACL表项规格就成为瓶颈,华为基于ACL做了大量算法优化的微分段技术实现了同样容量硬件情况下数十倍数量的隔离规格。
NSH(Network Service Head)业务链简化配置实现安全业务灵活编排:传统的基于策略路由的业务链在多跳安全设备的情况下,需要在每一跳设备来回路径进行双向策略路由引流,业务配置复杂度高,并且占用宝贵的ACL资源,CloudFabric基于VxLAN扩展头NSH标准协议将业务链的引流从控制面转移到转发面,节省了大量策略路由配置,同时可以和第三方安全设备标准对接。
由于安全等级保护制度对于安全设备异构的要求,一个数据中心通常会有多个厂家的安全设备,为最大发挥他们差异化优势,华为CloudFabric的Agile Controller-DCN网络控制器可以和华为SecoManager安全控制器联动,也可以和第三方的其它安全控制器联动,Agile Controller-DCN负责双向引流策略,而差异化的安全策略配置等功能由安全控制器负责。
随着IPv6在微分段,业务链,第三方VAS设备对接等安全功能实现,CloudFabric的网络和安全联动IPv6整体方案趋向完整且逐步成熟商用。
CloudFabric IPv6之延伸阶段:易集成,丰富生态能力
以IPv6为基础的下一代互联网是实现“端、管、云”的重要基础设施,物以网聚是形成开放产业生态体系的关键,华为CloudFabric形成了一个以“转发器+控制器”的Fabric级别的完备的多层次开放体系。
控制器丰富的北向生态能力:支持Vmware vRNI/vCenter、Microsoft SysCenter、 Mirantis、Redhat、K8S容器云;支持多DC、业务链等300多个北向开放API。
控制器异构的南向生态能力:支持F5、A10 、CheckPoint、PaloAlto、Fortinet等第三方VAS引流对接,编排业务链。
转发器开放易被集成:CloudEngine设备支持被Vmware NSX纳管,支持与MicroSoft Azure Stack的混合云集成,支持与Puppet、Ansible第三方管理工具对接。
当前,公有云主要提供商,CDN大型服务商,运营商都以惊人的速度加快部署IPv6,也许一个混合的多云世界很快将会出现。这也驱动了企业私有云加快向IPv6的演进,华为CloudFabric致力打造一个全天候多层次开放的IPv4/IPv6双栈混合云数据中心网基础设施架构。
总结
2017年6月华为CloudFabric被Gartner评为“数据中心网络挑战者”,2018年3月被Forrester评为“数据中心SDN网络硬件平台领导者”。截止到2018年5月,华为Cloud Fabric云数据中心网解决方案,已经服务于全球150+国家,2200+个数据中心. 其中云数据中心占比超过50%,CE12800累计全球销售20000+台。这表明华为云数据中心网络的全球领先市场地位。可以说,华为在IPv6领域拥有大量的实践经验,可以帮助客户平滑过渡到IPv6网络,构建超宽、极简、 安全、开放的IPv6数据中心网络基础架构,和我们的客户一起自信满满的迎接云计算、大数据,人工智能,物联网,5G的等各类接踵而至的数字化产业革命。