Dinesh Dutt是Cumulus Networks公司的首席科學家，是以太網(wǎng)絡(luò)行業(yè)領(lǐng)域的領(lǐng)導(dǎo)者，日前主持了Ivan Pepelnjak的以太網(wǎng)虛擬專用網(wǎng)絡(luò)(EVPN)網(wǎng)絡(luò)研討會。

Dinesh Dutt對正在興起的以太網(wǎng)虛擬專用網(wǎng)絡(luò)(EVPN)表達了自己的專業(yè)觀點。并討論了數(shù)據(jù)中心的實用性和局限性。

如今，數(shù)據(jù)中心架構(gòu)經(jīng)歷了許多設(shè)計階段，并正處于轉(zhuǎn)型過程中。在理想情況下，網(wǎng)絡(luò)技術(shù)經(jīng)歷了三個發(fā)展浪潮。如今處于第三個浪潮階段，它基于以太網(wǎng)虛擬專用網(wǎng)絡(luò)(EVPN)。在技術(shù)方面需要以某種方式進行傾斜，目前，網(wǎng)絡(luò)發(fā)展的重點是第三層網(wǎng)絡(luò)。隨著越來越多的企業(yè)采用葉片拓撲和葉脊拓撲結(jié)構(gòu)，以太網(wǎng)虛擬專用網(wǎng)絡(luò)(EVPN)成為了傳統(tǒng)應(yīng)用程序在這種架構(gòu)上運行的技術(shù)。為了更好地理解，讓我們了解第三個浪潮的網(wǎng)絡(luò)機制。

[[243982]]

數(shù)據(jù)中心的起點

第一個發(fā)展浪潮是嘗試建立一個類似于以往企業(yè)網(wǎng)絡(luò)設(shè)計方式的數(shù)據(jù)中心。它包括標準訪問、聚合和核心層，這導(dǎo)致了行架構(gòu)的終結(jié)。第一個發(fā)展浪潮由網(wǎng)絡(luò)中心的設(shè)備組成，以作為通往外部世界的門戶。

第一個發(fā)展浪潮的網(wǎng)絡(luò)架構(gòu)適用于從北到南的流量。這種類型的流量將流入和流出數(shù)據(jù)中心。但是，在數(shù)據(jù)中心內(nèi)部運行的許多應(yīng)用程序需要交叉通信和相互通信的能力。另一方面，虛擬化是新的東西流量的重要推動力。

不幸的是，第一個浪潮的網(wǎng)絡(luò)設(shè)計無法有效地進行東西流通。出現(xiàn)了依賴于第二層網(wǎng)絡(luò) (Layer2)引起的規(guī)模和可靠性問題。第二層網(wǎng)絡(luò) (Layer2) 在許多情況下依賴于脆弱的協(xié)議，其中包括專有擴展。

整個訪問、聚合和核心架構(gòu)圍繞第二層網(wǎng)絡(luò) (Layer2)交換模型進行構(gòu)建。這意味著使用第二層網(wǎng)絡(luò) (Layer2)報頭轉(zhuǎn)發(fā)整個流量，直到它到達網(wǎng)絡(luò)中心，例如生成樹協(xié)議(STP)、多機架鏈路聚合(MLAG)、大量鏈路透明互連(TRILL)以及思科FabricPath等技術(shù)都圍繞著使用第二層網(wǎng)絡(luò)交換模型的思想構(gòu)建。

然而，與啟動第二層網(wǎng)絡(luò) (Layer2)設(shè)計的健壯第三層網(wǎng)絡(luò)模型相比，第二層交換模型在網(wǎng)絡(luò)冗余、規(guī)模和可靠性方面表現(xiàn)出許多缺點。

第二層網(wǎng)絡(luò) (Layer2)和第三層網(wǎng)絡(luò) (Layer3)的主要區(qū)別在于數(shù)據(jù)包轉(zhuǎn)發(fā)的工作方式。在第三層網(wǎng)絡(luò)中，在媒體訪問控制(MAC)地址級別查找地址，并且由MAC地址執(zhí)行分組轉(zhuǎn)發(fā)。這與第三層網(wǎng)絡(luò)形成對比，在第三層網(wǎng)絡(luò)中，尋址在網(wǎng)絡(luò)層工作，網(wǎng)絡(luò)層是全球互聯(lián)網(wǎng)協(xié)議(IP)地址。

如何實現(xiàn)健壯的網(wǎng)絡(luò)

健壯的網(wǎng)絡(luò)規(guī)則不應(yīng)包含單個故障域，這可能導(dǎo)致網(wǎng)絡(luò)分區(qū)。因此，企業(yè)需要考慮冗余設(shè)計。但是，當其在網(wǎng)絡(luò)中有冗余時，如何以不會導(dǎo)致循環(huán)的方式轉(zhuǎn)發(fā)數(shù)據(jù)包?

有利的是，第三層網(wǎng)絡(luò)具有所謂的路由協(xié)議，例如BGP、OSPF、IS-IS和Cisco的EIGRP。其路由協(xié)議支持構(gòu)建無環(huán)路轉(zhuǎn)發(fā)拓撲。

第二個方面是IP報頭中稱為生存時間(TTL)的字段。每次數(shù)據(jù)包遍歷第三層設(shè)備時，TTL減1。一旦TTL變?yōu)榱?，?shù)據(jù)包就會被丟棄。

因此，在第三層網(wǎng)絡(luò)設(shè)計中，有兩種機制來防止環(huán)路的形成。首先是IP報頭中的TTL字段，其次是為給定前綴構(gòu)建無環(huán)路轉(zhuǎn)發(fā)路徑的路由協(xié)議。但是在第二層網(wǎng)絡(luò)中，人們并不擁有這樣的機制。

第二層網(wǎng)絡(luò)易用性模型

第二層網(wǎng)絡(luò)模型圍繞易用性模型構(gòu)建。在早期，路由協(xié)議被認為使用比較復(fù)雜。配置路由協(xié)議被認為是復(fù)雜的硬件數(shù)據(jù)包交換，因此從第二層網(wǎng)絡(luò)開始，吞吐量更高，延遲更低。，即使到今天，大多數(shù)供應(yīng)商還要收取使用路由的額外許可費，但第二層網(wǎng)絡(luò)沒有這種費用。第二層網(wǎng)絡(luò)的引入遵循了完整的易連接性。

然而，第二層網(wǎng)絡(luò)模型也有一些非常危險的缺點。第二層網(wǎng)絡(luò)模型沒有可以構(gòu)建無環(huán)路轉(zhuǎn)發(fā)路徑協(xié)議。相反，它基于洪水泛濫。實質(zhì)上，如果第二層網(wǎng)絡(luò)交換機不知道目標MAC地址，它會將數(shù)據(jù)包溢出到數(shù)據(jù)包所在端口以外的所有端口，然后記錄源MAC地址。

需要在第二層網(wǎng)絡(luò)中具有冗余，以便單個故障域不會導(dǎo)致網(wǎng)絡(luò)分區(qū)或節(jié)點被黑洞化。為了避免這些問題，網(wǎng)絡(luò)需要冗余路徑。

但是，如果沒有生存時間(TTL)或機制來為給定前綴構(gòu)建無環(huán)路轉(zhuǎn)發(fā)路徑，則循環(huán)可能導(dǎo)致數(shù)據(jù)包永遠循環(huán)。它只是淹沒數(shù)據(jù)包，在冗余路徑的情況下，被淹沒的數(shù)據(jù)包可能導(dǎo)致完全的網(wǎng)絡(luò)崩潰。

防止第二層網(wǎng)絡(luò)中的環(huán)路

為了防止第二層網(wǎng)絡(luò)環(huán)路，引入了生成樹協(xié)議(STP)。生成樹查看所有冗余路徑，然后刪除它們。

生成樹協(xié)議構(gòu)建了一個適用于網(wǎng)絡(luò)中每個數(shù)據(jù)包的無環(huán)路拓撲，這與為每個源路由器構(gòu)建無環(huán)路拓撲的路由協(xié)議不同。

供應(yīng)商引入了各種技巧，使生成樹的執(zhí)行效率更高，但導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定的基本部分是洪水泛濫。它導(dǎo)致終端站遭受損失，這成為了DoS攻擊的可能性。

關(guān)閉失敗或打開失敗

路由協(xié)議未能關(guān)閉。如果路由協(xié)議不知道如何到達目的地，它將不會將數(shù)據(jù)包發(fā)送到該目的地。

但是，生成樹協(xié)議執(zhí)行相反的操作并且無法打開。生成樹的構(gòu)建方式是：“如果我沒有收到你的回復(fù)，那么我認為你需要一個我的數(shù)據(jù)包。如果我沒有聽到你的問候，這與后面的路由協(xié)議形成對比，我認為你不想和我通信。”

打開失敗在很多方面都是危險的。例如，導(dǎo)致單向連接的壞電纜或者加載的CPU無法及時發(fā)出hello數(shù)據(jù)包，可能會構(gòu)造一個環(huán)路。通過路由，TTL最終將終止數(shù)據(jù)包，從而阻止環(huán)路。但是，由于第二層網(wǎng)絡(luò)中沒有TTL，因此固有地創(chuàng)建了一個不穩(wěn)定的網(wǎng)絡(luò)。

第二層網(wǎng)絡(luò)具有較大的擴散半徑，并且沒有細粒度的故障域。單個鏈路故障可能會影響整個網(wǎng)絡(luò)。所有這些因素都認為第一次網(wǎng)絡(luò)浪潮的數(shù)據(jù)中心設(shè)計無效。更簡潔的設(shè)計是從第二層網(wǎng)絡(luò)交換模型轉(zhuǎn)向IP和網(wǎng)絡(luò)路由協(xié)議。

數(shù)據(jù)中心設(shè)計的第二個發(fā)展浪潮

第二個發(fā)展浪潮的數(shù)據(jù)中心設(shè)計是構(gòu)建可擴展的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)是可預(yù)測的、強大的、并支持細粒度的故障域設(shè)計。除了有效支持東西流量以外，還需要盡可能多的轉(zhuǎn)發(fā)能力。屏蔽雙絞線(STP)阻止了額外帶寬的使用，因此必須使用替代協(xié)議。

這一挑戰(zhàn)與20世紀50年代早期的電話網(wǎng)絡(luò)面臨的挑戰(zhàn)沒有什么不同。貝爾實驗室Charles Clos博士采用Clos網(wǎng)絡(luò)拓撲解決了這個問題。Clos網(wǎng)絡(luò)拓撲可以擴展到多個層。其開創(chuàng)性的網(wǎng)絡(luò)規(guī)模公司使用具有低端口數(shù)的小型白盒交換機，因此它們需要8層Clos網(wǎng)絡(luò)。但是，對于大多數(shù)人來說，兩層就已經(jīng)足夠好。

數(shù)據(jù)中心設(shè)計的新浪潮被稱為葉片和葉脊，它本質(zhì)上是一個Clos網(wǎng)絡(luò)。該設(shè)計允許人們構(gòu)建不受單個單元規(guī)模限制的網(wǎng)絡(luò)。但是，如果你想到第二層網(wǎng)絡(luò)，那么規(guī)模就受到限制。

容量不僅受端口數(shù)量的控制，還受控制平臺的控制。此外，重要的是它能夠以多快的速度發(fā)送STP數(shù)據(jù)包，而不會有引起網(wǎng)絡(luò)崩潰的風險。然而，葉片網(wǎng)絡(luò)和葉脊網(wǎng)絡(luò)拓撲通過利用所有冗余鏈路的容量來實現(xiàn)高容量。使用此拓撲結(jié)構(gòu)可以完美地實現(xiàn)IP和路由，因為它不需要特定于供應(yīng)商的障礙。

因此，通過切換到IP，第二層網(wǎng)絡(luò)的不穩(wěn)定性消失，可以實現(xiàn)具有IP轉(zhuǎn)發(fā)的高容量直接網(wǎng)絡(luò)。葉片和葉脊網(wǎng)絡(luò)拓撲設(shè)計提供了非常簡單的構(gòu)建塊。

遷移到白盒

所以現(xiàn)在，有機會建立非常簡單的IP轉(zhuǎn)發(fā)網(wǎng)絡(luò)。然而，行業(yè)巨頭當時進行了部署，例如思科或瞻博網(wǎng)絡(luò)，由于網(wǎng)絡(luò)拓撲現(xiàn)在非常簡單，因此不需要支付高額費用。

所需要的只是IP路由和轉(zhuǎn)發(fā)協(xié)議。其結(jié)果是人們開始看到白盒交換機的介紹。最初，白盒交換機并沒有采用很好的CPU，因此，像谷歌這樣的公司無法在它們上面運行路由協(xié)議。所有控制邏輯的集中化都是開箱即用的，使本地設(shè)備只對商用芯片進行編程。這導(dǎo)致了OpenFlow模型的興起。

隨著時間的推移，其他網(wǎng)絡(luò)規(guī)模公司設(shè)計了傳統(tǒng)的分布式路由協(xié)議來設(shè)置轉(zhuǎn)發(fā)而不是將其拉出到集中位置。

具有葉片和葉脊體系結(jié)構(gòu)的路由協(xié)議

首先，有兩種類型的路由協(xié)議：距離矢量和鏈路狀態(tài)。要了解它們之間的區(qū)別，人們需要知道它們?nèi)绾蝹鬟_信息。

通過距離矢量，可以告訴鄰居對整個世界的看法。然而，鏈接狀態(tài)協(xié)議通過將每個人的局部視角拼接在一起來拼湊成全局視角。

通常，網(wǎng)絡(luò)運營商更喜歡距離矢量上的鏈路狀態(tài)協(xié)議。這是因為在出現(xiàn)故障時，鏈路狀態(tài)協(xié)議更好更快解析到目的地的路徑。然而，距離矢量協(xié)議有時會混淆并遇到問題，例如計數(shù)到無窮大。

但是，在鏈接狀態(tài)的情況下，鏈接狀態(tài)數(shù)據(jù)庫規(guī)?？赡艹蔀閱栴}。它們具有區(qū)域或級別的概念，用于將域分解為層次結(jié)構(gòu)以避免擴展問題。

邊界網(wǎng)關(guān)協(xié)議(BGP)是一種距離向量的變體，稱為路徑向量協(xié)議。邊界網(wǎng)關(guān)協(xié)議(BGP)運行全球互聯(lián)網(wǎng)，并且操作簡單，卻是一種復(fù)雜成熟的協(xié)議，可能需要路由協(xié)議的所有部署和操作經(jīng)驗。它可以通過多種方式實現(xiàn)，其中包括開源路由套件。

數(shù)據(jù)中心設(shè)計的第三次發(fā)展浪潮

然而，仍然存在的問題是應(yīng)用程序假設(shè)它們存在于原有的第一次發(fā)展浪潮模型中。應(yīng)用程序假設(shè)他們在一個層中運行，他們通過廣播“hello”，可以與鄰居中的每個人交談。

但是，通過路由廣播“hello”，數(shù)據(jù)包被抑制并被丟棄。在第一次發(fā)展浪潮期間設(shè)計的應(yīng)用仍然希望在原有基礎(chǔ)設(shè)施中那樣運行，即使它們處于第二次發(fā)展浪潮數(shù)據(jù)中心設(shè)計中。他們?nèi)匀恍枰獜V播“hello”，而不是采用服務(wù)發(fā)現(xiàn)的記錄DNS。

其結(jié)果是，需要找到一種方法將第一次發(fā)展浪潮應(yīng)用與第二次發(fā)展浪潮的數(shù)據(jù)中心相結(jié)合，從而產(chǎn)生以太網(wǎng)虛擬專用網(wǎng)絡(luò)(EVPN)。它仍然圍繞fabric的概念構(gòu)建，但它是使用疊加層構(gòu)建的。疊加層給出了第一次發(fā)展浪潮應(yīng)用程序位于第二層網(wǎng)絡(luò)中的錯覺。

網(wǎng)絡(luò)虛擬化

網(wǎng)絡(luò)虛擬化是用于產(chǎn)生上述錯覺的技術(shù)，并且通過分層(即創(chuàng)建覆蓋)來執(zhí)行。

網(wǎng)絡(luò)虛擬化構(gòu)建了一個網(wǎng)絡(luò)隧道，它與真實世界的隧道完全相同。除非以某種方式繞過或穿過隧道，否則現(xiàn)實世界隧道兩端的兩個端點無法通信。

在網(wǎng)絡(luò)中構(gòu)建隧道的方式基本上是通過向現(xiàn)有數(shù)據(jù)包添加另一層報頭來完成的。通常，眾所周知的層是多協(xié)議標簽交換(MPLS)，其是IP分組上的層。然而，多協(xié)議標簽交換(MPLS)在數(shù)據(jù)中心中是復(fù)雜的，這就導(dǎo)致了需求，為什么不使用基于IP的技術(shù)?這產(chǎn)生了虛擬可擴展LAN(VXLAN)。

那么進行一下總結(jié)：在第二層網(wǎng)絡(luò)中，我們有一個生成樹協(xié)議(STP)的控制平臺和使用路由協(xié)議的第三層網(wǎng)絡(luò)。在這里想到的問題是，什么樣的控制面板可以用于VXLAN?實質(zhì)上，虛擬可擴展LAN(VXLAN)的控制協(xié)議需要做兩件事。首先，哪些端點可用于隧道，即目的地到隧道的映射，其次，它需要告訴你在哪里以及有多少個隧道。以太網(wǎng)虛擬專用網(wǎng)絡(luò)(EVPN)就是答案。

為了創(chuàng)建錯覺，邊界網(wǎng)關(guān)協(xié)議(BGP)作為協(xié)議已經(jīng)支持MAC可達性信息的傳輸，而不僅僅是IP地址。在以太網(wǎng)虛擬專用網(wǎng)絡(luò)(EVPN)內(nèi)，邊界網(wǎng)關(guān)協(xié)議(BGP)是用于構(gòu)建虛擬隧道的控制平臺協(xié)議，使第一次發(fā)展浪潮的應(yīng)用能夠在第二次發(fā)展浪潮的網(wǎng)絡(luò)上運行。