基于VxLAN的網(wǎng)絡(luò)分組策略研究與分析

孫 兵

(華為技術(shù)有限公司，江蘇 南京 210012)

0 引 言

企業(yè)網(wǎng)絡(luò)，終端由原來(lái)的有線(xiàn)連接接入、向WiFi無(wú)線(xiàn)連接演進(jìn)，終端類(lèi)型由PC機(jī)向便攜機(jī)、PAD和智能手機(jī)擴(kuò)展，辦公地點(diǎn)由固定場(chǎng)所辦公到移動(dòng)辦公和在家遠(yuǎn)程辦公拓展，接入終端設(shè)備歸屬由公司資產(chǎn)到個(gè)人資產(chǎn)，企業(yè)網(wǎng)絡(luò)由辦公網(wǎng)向物聯(lián)網(wǎng)延伸。企業(yè)網(wǎng)絡(luò)終端接入連接無(wú)線(xiàn)化、移動(dòng)化、物聯(lián)化，接入終端類(lèi)型豐富、接入地點(diǎn)多樣，導(dǎo)致傳統(tǒng)基于IP地址ACL、VLAN的網(wǎng)絡(luò)策略控制方式不能適應(yīng)新的網(wǎng)絡(luò)場(chǎng)景變化，因?yàn)榻K端的IP地址和VLAN會(huì)變化，傳統(tǒng)的網(wǎng)絡(luò)策略會(huì)隨之變化，這樣給企業(yè)IT運(yùn)維人員的網(wǎng)絡(luò)策略管理帶來(lái)很大的復(fù)雜度。因此，迫切需要一種更加簡(jiǎn)單高效、與網(wǎng)絡(luò)拓?fù)浜虸P /VLAN等網(wǎng)絡(luò)自身分配規(guī)劃無(wú)關(guān)的策略控制方案。

1 基于VxLAN的網(wǎng)絡(luò)分組策略方案

1.1 方案概述

新一代網(wǎng)絡(luò)策略控制方案的目標(biāo)是設(shè)計(jì)一種能夠滿(mǎn)足無(wú)論用戶(hù)身處何地、使用哪個(gè)IP地址，都可以保證該用戶(hù)獲得相同的網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限的技術(shù)解決方案。用戶(hù)從認(rèn)證設(shè)備接入時(shí)，會(huì)關(guān)聯(lián)映射一個(gè)安全組(又稱(chēng)策略組)，用以設(shè)置該用戶(hù)的安全策略；當(dāng)該用戶(hù)從其他設(shè)備(非認(rèn)證點(diǎn))其他地點(diǎn)接入網(wǎng)絡(luò)，會(huì)執(zhí)行相同的安全策略。該解決方案中的一項(xiàng)關(guān)鍵技術(shù)是，需要將用戶(hù)與安全組的關(guān)聯(lián)映射信息同步到其他設(shè)備上。同步方法有如下幾種:

(1)SDN方案的控制器Controller全局同步；

(2)通過(guò)專(zhuān)用協(xié)議在設(shè)備之間進(jìn)行擴(kuò)散同步(帶外方式)；

(3)通過(guò)用戶(hù)流量報(bào)文將安全組信息攜帶到其他設(shè)備(帶內(nèi)方式)。

上述方案前兩種需要額外增加同步機(jī)制和協(xié)議，第一種方案在Controller和網(wǎng)絡(luò)設(shè)備之間增加同步機(jī)制，第二種方案在網(wǎng)絡(luò)設(shè)備之間增加機(jī)制，方案復(fù)雜度相對(duì)高，且網(wǎng)絡(luò)規(guī)模大、設(shè)備數(shù)量多，同步機(jī)制本身的性能和網(wǎng)絡(luò)帶寬開(kāi)銷(xiāo)會(huì)是問(wèn)題。第三種方案不需要增加設(shè)備間額外的同步機(jī)制，僅僅在正常的用戶(hù)業(yè)務(wù)流量報(bào)文中增加安全組字段，沿途策略點(diǎn)設(shè)備進(jìn)行解析識(shí)別和策略執(zhí)行處理即可。該文設(shè)計(jì)的技術(shù)方案屬于上述第三種方案，由VxLAN報(bào)文頭攜帶安全組通過(guò)網(wǎng)絡(luò)擴(kuò)散到不同的網(wǎng)元設(shè)備中。

文獻(xiàn)[1-8]主要介紹傳統(tǒng)網(wǎng)絡(luò)策略的關(guān)鍵技術(shù)，仍然基于IP五元組來(lái)定義網(wǎng)絡(luò)策略，并結(jié)合集中策略管理和QOS聯(lián)動(dòng)形成增值業(yè)務(wù)。文獻(xiàn)[9]中IETF定義了VxLan協(xié)議報(bào)文頭部包含的策略組ID格式，可作為文中方案的詳細(xì)實(shí)現(xiàn)參考。文獻(xiàn)[10-15]重點(diǎn)論述了網(wǎng)絡(luò)策略集中管理的架構(gòu)，包括SDN方案架構(gòu)等，解決網(wǎng)絡(luò)策略跨設(shè)備同步的問(wèn)題。

1.2 方案場(chǎng)景

基于VxLAN的網(wǎng)絡(luò)分組策略方案場(chǎng)景如圖1所示。

圖1 基于VxLAN的網(wǎng)絡(luò)業(yè)務(wù)策略應(yīng)用場(chǎng)景

(1)用戶(hù)認(rèn)證通過(guò)網(wǎng)關(guān)設(shè)備認(rèn)證上線(xiàn)，網(wǎng)關(guān)攜帶用戶(hù)ID向控制器請(qǐng)求認(rèn)證結(jié)果，控制器分配用戶(hù)ID與安全組ID的映射關(guān)系，并下發(fā)至用戶(hù)認(rèn)證網(wǎng)關(guān)設(shè)備。

(2)用戶(hù)在網(wǎng)關(guān)設(shè)備通過(guò)認(rèn)證，用戶(hù)終端訪(fǎng)問(wèn)報(bào)文經(jīng)由網(wǎng)關(guān)設(shè)備時(shí)，在VxLAN頭部打上安全組ID標(biāo)識(shí)Group Policy ID，然后轉(zhuǎn)發(fā)出去，訪(fǎng)問(wèn)相應(yīng)的用戶(hù)業(yè)務(wù)。

(3)沿途VxLAN網(wǎng)關(guān)設(shè)備會(huì)解析報(bào)文中VxLAN頭部攜帶的安全組Group Policy ID信息，根據(jù)安全組查詢(xún)?cè)L問(wèn)策略，實(shí)施安全組間的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制。

該方案可以在企業(yè)網(wǎng)絡(luò)中實(shí)現(xiàn)與IP地址、MAC地址、VLAN等網(wǎng)絡(luò)屬性無(wú)關(guān)的網(wǎng)絡(luò)訪(fǎng)問(wèn)策略控制，替代的是使用安全組間的訪(fǎng)問(wèn)策略來(lái)控制，例如企業(yè)普通員工組不能訪(fǎng)問(wèn)人力資產(chǎn)組的信息資產(chǎn)，只有財(cái)務(wù)組員工才能訪(fǎng)問(wèn)財(cái)務(wù)數(shù)據(jù)庫(kù)服務(wù)器，等等。

安全組策略方案中，能夠做到不關(guān)心用戶(hù)終端的IP地址/VLAN、接入位置、接入方式(有線(xiàn)/無(wú)線(xiàn)/VPN等)，因此網(wǎng)絡(luò)規(guī)劃變化(IP網(wǎng)段或VLAN變化)或者接入位置接入方式發(fā)生變化(用戶(hù)出差、在家遠(yuǎn)程辦公等)，都不需要更改原先的安全組間策略配置，這相對(duì)傳統(tǒng)基于IP五元組的ACL控制方式有著極大的優(yōu)勢(shì)。此外安全組方案模型中，用戶(hù)ID與安全組ID是多對(duì)一映射模型，例如財(cái)務(wù)組包含100個(gè)員工、HR組包括200個(gè)員工，因此經(jīng)過(guò)匯聚后的組間策略數(shù)量規(guī)模會(huì)大大減少，降低企業(yè)IT人員的網(wǎng)絡(luò)訪(fǎng)問(wèn)策略日常管理維護(hù)復(fù)雜度。

1.3 方案原理

(1)方案架構(gòu)。

圖2 基于VxLAN的網(wǎng)絡(luò)業(yè)務(wù)策略組網(wǎng)架構(gòu)

圖2為典型Spine-Leaf架構(gòu)VxLAN組網(wǎng)，可使用集中式或分布式網(wǎng)關(guān)。Spine節(jié)點(diǎn)的設(shè)備使用設(shè)備間集群技術(shù)增加可靠性。Leaf設(shè)備作為VxLAN二層網(wǎng)關(guān)，用于傳統(tǒng)網(wǎng)絡(luò)與VxLAN網(wǎng)絡(luò)的二層互通。Spine設(shè)備作為VxLAN三層網(wǎng)關(guān)，負(fù)責(zé)不同網(wǎng)段的VxLAN網(wǎng)絡(luò)之間的通信，以及不同網(wǎng)段的VxLAN網(wǎng)絡(luò)與非VxLAN網(wǎng)絡(luò)之間的通信。

VxLAN攜帶用戶(hù)訪(fǎng)問(wèn)策略，通過(guò)VNI(VxLAN network identifier)攜帶安全組/策略組ID，接入交換機(jī)類(lèi)似數(shù)據(jù)中心中的TOR(top of rack)設(shè)備，作為VxLAN網(wǎng)關(guān)的VTEP(VxLAN tunnel endpoint)，且是VxLAN二層網(wǎng)關(guān)。匯聚/核心交換機(jī)作為VxLAN三層網(wǎng)關(guān)。

二層廣播抑制問(wèn)題，對(duì)于ARP的廣播請(qǐng)求報(bào)文，通過(guò)SDN Controller代理應(yīng)答的方式進(jìn)行處理。流程如下：

(a)SDN Controller在用戶(hù)上線(xiàn)認(rèn)證時(shí)緩存其{IP,MAC}映射關(guān)系，生成ARP緩存表。

(b)二層網(wǎng)關(guān)收到ARP請(qǐng)求報(bào)文，直接上送SDN Controller處理。

(c)SDN Controller向該接入設(shè)備下發(fā)對(duì)應(yīng)的ARP表項(xiàng)，如果Controller上ARP表項(xiàng)則進(jìn)行廣播處理。

(d)SDN Controller也可以選擇將ARP廣播報(bào)文修改為單播報(bào)文發(fā)給被請(qǐng)求設(shè)備，這樣可保證整個(gè)ARP請(qǐng)求/應(yīng)答鏈路上的設(shè)備都能使用ARP報(bào)文實(shí)現(xiàn)其他功能。

(e)ARP報(bào)文上送和下發(fā)可使用SDN OpenFlow協(xié)議。

通過(guò)在相同VNI之間建立VxLAN隧道實(shí)現(xiàn)相同安全組內(nèi)用戶(hù)互訪(fǎng)；不同VNI之間的互訪(fǎng)原本存在VxLAN三層網(wǎng)關(guān)上實(shí)現(xiàn)，可在三層網(wǎng)關(guān)引入安全組間策略，即利用源VNI和目的VNI之間的組間策略進(jìn)行網(wǎng)絡(luò)隔離或放行策略控制。

(2)方案流程。

基于VxLAN的網(wǎng)絡(luò)分組策略方案流程如圖3所示。

圖3 基于VxLAN的網(wǎng)絡(luò)業(yè)務(wù)策略方案流程時(shí)序圖

(a)控制器根據(jù)管理員配置，生成安全組與VNI的映射關(guān)系，依據(jù)安全組間策略生成VNI之間的互訪(fǎng)策略，并將VNI互訪(fǎng)策略下發(fā)到策略執(zhí)行點(diǎn)。

(b)控制器與認(rèn)證點(diǎn)設(shè)備交互，完成對(duì)接入用戶(hù)的認(rèn)證，依據(jù)認(rèn)證結(jié)果將用戶(hù)劃分到對(duì)應(yīng)的安全組。認(rèn)證點(diǎn)建議使用接入交換機(jī)，這樣便于直接獲取用戶(hù)終端接入的物理端口。

(c)控制器根據(jù)用戶(hù)所屬安全組，向接入設(shè)備下發(fā){Port,VNI}映射關(guān)系，接入設(shè)備依據(jù)該映射關(guān)系在對(duì)應(yīng)端口上配置VNI，保證接入用戶(hù)的所有流量都走該VNI標(biāo)識(shí)的VxLAN隧道。

(d)控制器完成所有設(shè)備的ARP代答，實(shí)現(xiàn)對(duì)ARP的廣播抑制?？刂破魃系腁RP緩存表在用戶(hù)認(rèn)證過(guò)程中獲取和下發(fā)。

(3)相同網(wǎng)段用戶(hù)的安全組互訪(fǎng)。

相同網(wǎng)段用戶(hù)的安全組互訪(fǎng)策略如圖4所示。

圖4 相同網(wǎng)段用戶(hù)的安全組互訪(fǎng)策略

(a)VxLAN網(wǎng)絡(luò)中，不同VNI的流量二層不互通，所以在接入設(shè)備就保證了不同安全組用戶(hù)之間的隔離。

(b)Site A中兩個(gè)相同網(wǎng)段的用戶(hù)A1和A3，屬于同一安全組，使用相同的VNI，在NVE1設(shè)備上實(shí)現(xiàn)互通。

(c)Site B中B2和Site E中E2也是同一安全組中相同網(wǎng)段的用戶(hù)，B2和E2使用相同的VNI，VTEP2和VTEP6之間建立VxLAN隧道實(shí)現(xiàn)互通，網(wǎng)關(guān)只為該隧道提供三層轉(zhuǎn)發(fā)通道。

(d)Site C中兩個(gè)不同安全組的用戶(hù)，使用不同的VNI接入NVE3，即使用同一網(wǎng)段也無(wú)法互通。

(4)不同網(wǎng)段用戶(hù)的安全組互訪(fǎng)。

不同網(wǎng)段用戶(hù)的安全組互訪(fǎng)策略如圖5所示。

圖5 不同網(wǎng)段用戶(hù)的安全組互訪(fǎng)策略

(a)VxLAN網(wǎng)絡(luò)中，不同VNI的流量經(jīng)過(guò)三層網(wǎng)關(guān)互通，VxLAN網(wǎng)絡(luò)與非VxLAN網(wǎng)絡(luò)也是通過(guò)三層網(wǎng)關(guān)互通。三層網(wǎng)關(guān)上VxLAN報(bào)文處理流程：先剝離外層VxLAN封裝，依據(jù)原始報(bào)文走三層流量轉(zhuǎn)發(fā)，重新進(jìn)行VxLAN封裝發(fā)出。

(b)在三層網(wǎng)關(guān)上執(zhí)行安全組間策略，控制器提前向三層網(wǎng)關(guān)設(shè)備下發(fā)VNI之間的訪(fǎng)問(wèn)策略，VxLAN報(bào)文在處理流程中，需判斷源VNI與目的VNI的訪(fǎng)問(wèn)策略，如允許訪(fǎng)問(wèn)則正常轉(zhuǎn)發(fā)，否則丟棄報(bào)文。源VNI在報(bào)文頭部中已攜帶，目的VNI通過(guò)報(bào)文內(nèi)層頭部目的IP查找獲得。

(c)Site A中兩個(gè)相同網(wǎng)段的用戶(hù)A1和A3，屬于同一安全組，使用相同的VNI，在網(wǎng)關(guān)上實(shí)現(xiàn)互通。

(d)Site B中B2和Site E中E2分屬不同安全組，網(wǎng)段也不同，通過(guò)三層網(wǎng)關(guān)轉(zhuǎn)發(fā)實(shí)現(xiàn)不同VNI之間互通，VNI之間的策略需預(yù)設(shè)為允許互通。

(e)Site C中兩個(gè)不同安全組的用戶(hù)，分屬不同安全組，在三層網(wǎng)關(guān)轉(zhuǎn)發(fā)時(shí)依據(jù)VNI之間策略，不允許互通。

(5)用戶(hù)移動(dòng)接入與QOS策略。

當(dāng)用戶(hù)接入位置發(fā)生變化時(shí)，需要重新上線(xiàn)認(rèn)證，原端口與VNI的綁定關(guān)系刪除，Controller為新接入端口下發(fā){Port，VNI}映射關(guān)系，新端口綁定VNI。策略執(zhí)行點(diǎn)設(shè)備不感知用戶(hù)接入位置的變化。用戶(hù)所屬安全組不變，其VNI不變，該用戶(hù)的權(quán)限也沒(méi)有發(fā)生變化。Controller通過(guò)QOS策略保證VIP安全組的優(yōu)先級(jí)，為VIP安全組對(duì)應(yīng)的VNI下發(fā)QOS策略。VIP用戶(hù)在接入Leaf節(jié)點(diǎn)時(shí)，根據(jù)VNI的QOS策略，修改內(nèi)外層IP頭部的DSCP，保證VIP用戶(hù)在整網(wǎng)中優(yōu)先級(jí)。

三層網(wǎng)關(guān)除了執(zhí)行不同VNI之間的組間策略，也可以執(zhí)行不同VNI之間的訪(fǎng)問(wèn)速率控制策略。例如限制Guest-VNI用戶(hù)訪(fǎng)問(wèn)Internet-VNI的速率。

1.4 方案效果評(píng)估

以某大型企業(yè)為例(50+分支機(jī)構(gòu)，15萬(wàn)員工接入，6000+物理服務(wù)器、每服務(wù)器運(yùn)行20個(gè)虛擬機(jī))來(lái)評(píng)估方案應(yīng)用效果。

該企業(yè)原始用戶(hù)和業(yè)務(wù)訪(fǎng)問(wèn)策略需求如下：

(1)企業(yè)終端類(lèi)型分為PC、IP Phone、TC云終端、打印機(jī)、物聯(lián)終端；用戶(hù)類(lèi)型分為研發(fā)、市場(chǎng)、財(cái)務(wù)、人力資源、訪(fǎng)客；

(2)用戶(hù)/終端認(rèn)證前策略：只能訪(fǎng)問(wèn)指定的認(rèn)證服務(wù)器、客戶(hù)端軟件下載服務(wù)器，不允許用戶(hù)/終端間互訪(fǎng)；

(3)PC策略：允許基于角色(研發(fā)、市場(chǎng)、財(cái)務(wù)、人力資源)的服務(wù)器業(yè)務(wù)資源訪(fǎng)問(wèn)，同一角色內(nèi)用戶(hù)間可以互訪(fǎng)，跨角色訪(fǎng)問(wèn)受控(默認(rèn)禁止跨角色訪(fǎng)問(wèn))；

(4)TC云終端策略：允許TC間互訪(fǎng)(TC的IP語(yǔ)音業(yè)務(wù))、TC只能訪(fǎng)問(wèn)服務(wù)器桌面云VM資源、TC不能訪(fǎng)問(wèn)其他業(yè)務(wù)服務(wù)器VM資源；

(5)IP Phone策略：允許IP Phone間互訪(fǎng)(IP語(yǔ)音業(yè)務(wù))、IP Phone不允許訪(fǎng)問(wèn)除了語(yǔ)音業(yè)務(wù)之外的服務(wù)器VM業(yè)務(wù)資源；

(6)打印機(jī)策略：不允許互訪(fǎng)、只能訪(fǎng)問(wèn)ePrint打印服務(wù)器；

(7)訪(fǎng)客用戶(hù)策略：只允許訪(fǎng)問(wèn)Internet，不能訪(fǎng)問(wèn)服務(wù)器所有企業(yè)業(yè)務(wù)資源，禁止訪(fǎng)客間終端互訪(fǎng)。

該企業(yè)的上述策略需求，長(zhǎng)期以來(lái)通過(guò)基于IP網(wǎng)段/IP地址的ACL技術(shù)方案來(lái)實(shí)施控制，因?yàn)樯婕暗?0+分支機(jī)構(gòu)，每個(gè)機(jī)構(gòu)又有多個(gè)辦公樓、多個(gè)用戶(hù)網(wǎng)關(guān)，每個(gè)機(jī)構(gòu)又有多種類(lèi)型終端和用戶(hù)接入，IP網(wǎng)段之間的互訪(fǎng)策略關(guān)系非常復(fù)雜，經(jīng)與企業(yè)IT運(yùn)維人員現(xiàn)場(chǎng)調(diào)研核實(shí)，實(shí)際有4萬(wàn)多條ACL網(wǎng)絡(luò)訪(fǎng)問(wèn)策略數(shù)量。分支機(jī)構(gòu)隨著辦公樓宇基建擴(kuò)展、人員擴(kuò)充，網(wǎng)絡(luò)規(guī)劃調(diào)整和網(wǎng)絡(luò)IP網(wǎng)段變更時(shí)有發(fā)生，按照當(dāng)前基于ACL的網(wǎng)絡(luò)策略模型及方案，會(huì)要求IT運(yùn)維人員能夠在4萬(wàn)多條已有的ACL策略中進(jìn)行精準(zhǔn)變更，這個(gè)ACL策略變更難度和復(fù)雜度都非常高，對(duì)日常網(wǎng)絡(luò)運(yùn)維是個(gè)巨大挑戰(zhàn)。IT運(yùn)維人員坦言，實(shí)際操作中已有的ACL策略根本不敢改變，害怕對(duì)已有業(yè)務(wù)產(chǎn)生影響，往往是網(wǎng)絡(luò)變化時(shí)會(huì)新增ACL策略，這樣長(zhǎng)期累積下來(lái)就會(huì)導(dǎo)致大量實(shí)際無(wú)用的僵尸ACL策略存在，無(wú)人敢問(wèn)津，不僅僅網(wǎng)絡(luò)策略管理維護(hù)難，也存在網(wǎng)絡(luò)安全隱患(僵尸ACL策略被惡意利用)。

通過(guò)與該企業(yè)IT運(yùn)維工程師交流，評(píng)估應(yīng)用文中所述分組策略方案，將企業(yè)IT的終端分為PC/TC/IP hone/打印機(jī)/訪(fǎng)客Guest幾個(gè)組，PC上用戶(hù)進(jìn)一步按照研發(fā)、市場(chǎng)、財(cái)務(wù)、人力資源分成四個(gè)組，服務(wù)器側(cè)VM同時(shí)匹配終端和用戶(hù)類(lèi)型進(jìn)行相應(yīng)分組。經(jīng)過(guò)細(xì)化分析設(shè)計(jì)、考慮后續(xù)業(yè)務(wù)擴(kuò)展，給該企業(yè)總共設(shè)計(jì)16個(gè)安全策略組，定義組間互訪(fǎng)策略(Permit/Deny)，并預(yù)留后續(xù)可能部署的組間訪(fǎng)問(wèn)速率限制，策略總數(shù)目會(huì)降低在512個(gè)以?xún)?nèi)。因?yàn)槭前凑战K端/用戶(hù)/業(yè)務(wù)類(lèi)型分組來(lái)定義網(wǎng)絡(luò)訪(fǎng)問(wèn)策略，與IP網(wǎng)段/IP地址無(wú)關(guān)，因此無(wú)論企業(yè)分支機(jī)構(gòu)和總部的物理網(wǎng)絡(luò)/IP網(wǎng)段如何變化，都不需要變更512條以?xún)?nèi)的既定組間訪(fǎng)問(wèn)策略。該方案的實(shí)際應(yīng)用價(jià)值獲得該企業(yè)IT運(yùn)維工程師的高度認(rèn)可。

1.5 企業(yè)園區(qū)網(wǎng)絡(luò)引入VxLAN策略面臨的問(wèn)題

典型園區(qū)組網(wǎng)普遍采用三層網(wǎng)絡(luò)架構(gòu)，有線(xiàn)無(wú)線(xiàn)業(yè)務(wù)共存，存在總部與分支互訪(fǎng)、遠(yuǎn)程VPN用戶(hù)接入等場(chǎng)景。無(wú)線(xiàn)接入的AP與接入交換機(jī)的互連，SSL VPN設(shè)備與出口路由器的互連，都可歸屬同一模式：?jiǎn)味丝谏隙嘤脩?hù)多業(yè)務(wù)流量混合承載。

VxLAN組網(wǎng)中，報(bào)文進(jìn)入VxLAN隧道的方式使用二層子接口，進(jìn)一步通過(guò)VLAN關(guān)聯(lián)。Spine-Leaf架構(gòu)VxLAN原本針對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)場(chǎng)景設(shè)計(jì)，網(wǎng)絡(luò)為VM提供服務(wù)，Leaf節(jié)點(diǎn)下面一般直接連接VM或者Open switch，這些設(shè)備可以通過(guò)Port或VLAN來(lái)區(qū)分，因此使用三種二層子接口方式接入VLAN即可滿(mǎn)足數(shù)據(jù)中心網(wǎng)絡(luò)場(chǎng)景。

園區(qū)網(wǎng)絡(luò)單端口上多用戶(hù)流量混合，如用VLAN識(shí)別不同用戶(hù)，則可以正常接入VxLAN，但需要接入設(shè)備具備基于VLAN區(qū)分用戶(hù)的能力，在用戶(hù)認(rèn)證過(guò)程中與Controller交互，為不同安全組用戶(hù)下發(fā)不同功能VLAN。另外一種更有效的方法是直接根據(jù)用戶(hù)ID來(lái)映射VNI，即認(rèn)證過(guò)程中Controller維護(hù){用戶(hù)ID，VNI}的映射關(guān)系。

2 結(jié)束語(yǔ)

以IP網(wǎng)絡(luò)接入的終端數(shù)量類(lèi)型和承載的業(yè)務(wù)等發(fā)生變化，傳統(tǒng)ACL網(wǎng)絡(luò)策略模型和方案面臨的重大挑戰(zhàn)作為問(wèn)題輸入，研究分析給出網(wǎng)絡(luò)分組策略方案。用戶(hù)和策略分組(安全組)映射關(guān)系的網(wǎng)絡(luò)級(jí)傳播同步機(jī)制是方案的關(guān)鍵，系統(tǒng)分析策略分組傳播的幾種備選方案，給出性能和通過(guò)效率高的帶內(nèi)同步方案(基于VxLAN的帶內(nèi)同步安全組)，詳細(xì)分析方案架構(gòu)、安全組映射和同步流程，結(jié)合VxLAN實(shí)際部署給出技術(shù)參考方案分析和設(shè)計(jì)。