1. 引言
2019年,中国发布《中国IPv6发展状况》白皮书和“国家IPv6发展监测平台”。成立IPv6+技术创新工作组,明确IPv6+技术研究和产业实践“三步走”发展战略。分别是基于SRv6为网络提供部分编程能力、实现有条件保障用户体验的自治网络、利用应用驱动网络技术实现应用感知、高度自治的网络。IPv6+和云网发展目标明确,指标量化,三年大改观,五年形成不可逆转之势,2023年国内主要内容分发网络、数据中心、云服务平台、域名解析系统要完成改造,到2025年新增网站及应用规模部署单栈,到2030年完成IPv6全网单栈最终目标的演进过渡。
目前IPv6+校园网络建设模式混杂,没有形成系统体系;对于IPv6扩展性应用和研究不足,只是潜在的构建IPv6网络并使用,导致IPv6通道资源分配不足;IPv6运维管理体系不健全,运维难度增大;校内IPv6云端资源浪费,不能充分使用等。诸多的现象导致IPv6的推广难度层层阻碍。
为适应新时代的信息化发展方向,必须构建精简、高效可管可控的云网端融合体系,并逐步推进IPv6网络建设,伊犁师范大学已经构建IPv4/IPv6双栈数据中心,但是距离2030年全网单栈的目标甚远,因此要持续不断针对我校网络特点进行分阶段的研究和部署,向着云网端体系转变。利用SRv6、网络切片等IPv6+扩展编程协议,建立IPv6+通信网;利用APN6等相关技术实现一体可视化运维,从而构建云网端融合的IPv6+校园体系建设。
2. 设计理念
随着云计算技术和产业的发展,校内越来越多的校园业务和数据需要迁移到云端,数据中心存在计算功能、存储能力的IT基础设施资源,数据量不断增大,校内云网尚不能构成整体,也无法实现对云资源的端到端管控。因为数据安全性和数据带宽无法增加,同时校内云彼此之间是碎片化的孤岛,不能作为一个整体的IT资源池为师生提供服务。根据诸多因素设计体系,设计理念是用户可以利用IPv6+网络通道传输数据,在IPv6+云端给用户提供便捷和安全的网络环境,使校园网数据发挥作用。在当前“不可知、不可管、不可控、不能保证安全、提供尽力而为信息传输能力”的互联网基础设施,按照用户要求提供按需服务的能力,推进云与网络构成一个整体,实现IPv6+通道最大化利用、IPv6+云资源按需分配 [1] 。
2.1. 体系建设
为了实现校园网络IPv6+云网融合和建立便捷通道,利用IPv6+先进技术和超前理念 [2] ,建立一套校园网IPv6+云网端融合端网络体系,利用云计算架构采用虚拟化技术打造数据中心叶脊Spine-leaf体系架构,固移网络相结合,使学校网络逐渐分化为Underlay-SRv6通道和Overlay-云网融合通道。Underlay网络即传统数据中心的路由交换等物理设备,依然提供可靠的网络数据传输能力,Overlay则是在其基础网络上封装的业务网络,与服务更贴近。通过IPv6+等协议技术,给校园网络用户提供一个易用的网络服务。Underlay网络和Overlay网络即关联又解耦,两者相互关联又能独立演进。Underlay网络是网络的地基,承载网络不稳,业务便无SLA可言。数据中心网络架构在经历三层网络架构、胖树(Fat-Tree)型网络架构后,过渡到学校叶脊Spine-leaf体系架构,实现云网端相互协作,构建云网端融合新体系。
2.2. 实现方法
以智慧校园和双栈网络为基础,采用IPv6+技术体系,打造一张敏捷、弹性、智能的全业务综合校园网络基于智慧校园网 [3] 、通过SRv6和网络切片实现端到端网络通道,通过IPv6+技术、云网一体智慧运营,对校园内推动高质量 发展、精益化运营, 最终以云网端融合架构为根基不断扩展。其主要方法有三点:
一是构建IPv6+云网端融合平台,建立云网端数据中心承载网为业务运营层面提供北向接口,与具体业务内容解耦,无论业务如何变化,承载网都保持稳定。
二是建立IPv6通信网路,通过SRv6和网络切片等技术将同一物理网络上的不同业务进行“硬隔离”,满足业务差异化SLA诉求,适当部署“片中片”,实现精细化经营,激发网络潜能。
三是建立沉浸式一体化管理。打造一体化运营,包括运营平台和运营系统,拉通对接网络基础设施以及各个系统,提高可视化自助运维等服务化能力。
2.3. 关键技术
1) 网络架构采用叶脊Spine-leaf体系架构,Spine-Leaf体系架构是由Spine和Leaf这两个交换层组成的数据中心网络拓扑结构。Leaf层由访问交换机组成,汇聚来自服务器的流量,并直接连接到Spine或网络核心,Spine交换机在全网格拓扑中互连所有Leaf交换机。此架构使数据中心东西向流量和南北向流量能够快速转发,让师生网络体验更畅通。
2) 云网端体系以校园IPv4/IPv6双栈为基础,保持业务连续性。
3) 传输通道采用SRv6技术,IPv6地址作为路径节点信息,兼容传统的IPv6转发,自定义扩展信息,满足业务入云,云网数统一,网络可编程需求等新需求。利用Segment Routing分段标签机制实现对路径的标记和识别,做到快速转发;利用SRv6的分片技术实现分片管理,业务通道承载专属逻辑网络,做到精细化管理。
4) 可视化运维采用APN6技术,APN6的实现基础为IPv6,把IPv6数据报文封装为APN6,APN6通过IPv6扩展头将业务报文的相关应用信息(包括应用标识信息及其对网络的性能需求等)携带进入网络,使得网络具备感知应用的能力。
3. 研究思路
3.1. 构建IPv6+云网融合平台
目前校内网络架构为三层网络,即核心-汇聚-接入。根据调研存在以下弊端
1) 带宽浪费:为了防止环路,汇聚层和接入层之间通常会运行STP协议,使得接入交换机的上联链路中实际承载流量的只有一条。
2) 故障域较大:STP协议由于其本身的算法,在网络拓扑发生变更时需要重新收敛,容易发生故障,从而影响整个VLAN的网络。
3) 难以适应超大规模网络:在校园网数据中心云计算领域,网络规模扩大,数据中心分布在不同的地理位置,虚拟机要求能在任意地点创建,迁移,而保持其网络属性(IP,网关等)保持不变,需要支持大二层网络。
智慧校园的不断推进导致数据中心存在大量东西向流量,汇聚交换机和核心交换机的压力会大大增加,网络规模和性能也就限制在了汇聚层和核心层,同时部分汇聚交换机不支持IPv6,因此要从新设计网络架构,采用spine leaf——叶脊拓扑网络结构 [4] 。
网络层面:在IPv4/IPv6双栈网络为基础之上,使网关从汇聚上上移,网关部署到核心交换,同时配置DHCPv4/DHCPv6服务器。部署大二层IPv4/IPv6网络,保证IPv4/IPv6网络的畅通。
数据中心云端层面:向下定义硬件,建立超融合信创平台,建立超融合云为核心的硬件基础体系,具体为融合平台架构层原生化,运用云原生的架构,通过容器部署计算和存储资源池,建立IPv4/IPv6云网端超融合平台,做到元服务化,实现IPv4/IPv6相关资源和数据共享,部署IPv6+Pup (硬件UP)池、IPv6+ Vup (虚拟化UP)池以及IPv6+管理面CT云,实现IPv4/IPv6业务集中承,如图1所示。
在开发层:基于超融合平台云重构,通过低代码开发方式,让平台简单易用。
在应用层,校园平台利旧Vmvare系统迁移到云网端融合平台数据加速向云上迁移。最终形成校园网体系大脑–云、高速的传输通道–网、高速的计算处理–端,建立学校体系化数据结构。
通过云端、网端、端节点融合构建IPv6+云网端融合平台。承载数据计算能力、存储能力和IPv6相关业务能力,实现云中有网,网中有云,让学生在云网融端融合平台上得到快速体验。主要方法是通过建立基础设施云化,软件重构、数据向云迁移、算例向端迁移,
3.2. 建立IPV6+通信网络
1) 建立Srv6通道
结合SRv6 Policy技术 [5] ,在校园网络中利用Segment Routing的源路由机制,通过在头节点封装一个有序的指令列表来指导报文穿越网络。利用IPv6 128 bit地址的可编程能力,丰富SRv6指令表达的网络功能,标识转发路径的指令。实现校园网Ipv6业务的端到端需求。把校园网SRv6通道网络想象成一台分布式“计算机”,Segment列表好比程序,Segment就是指令,兼有寻址和行为能力。将用户意图翻译成Segment列表,并附在数据报文中,输入SRv6网络“计算机”,然后依次在不同的节点上执行Segment指令,比如切换到下一个Segment、压入或弹出Segment列表、关联L2/L3 VPN等,从而实现基本选路、VPN、OAM、Service Chaining、APN6 (App-aware IPv6 Networking)等不同层面的功能。如图2所示。
具体为通过在SRH中封装一系列的SRv6 Segment ID,显式地指导报文按照规划的路径转发,实现对转发路径端到端的细粒度控制,满足业务的高可靠、大带宽、低时延等SLA需求,预先在源节点(出口华为防火墙USG12004)封装好路径所要经过段的SID (Segment Identifier,段标识),当报文经过SR节点时,该节点根据报文的SID对报文进行转发。除源节点外,其它节点无需维护路径状态。IPv6 SR (SRv6)是指在IPv6网络中使用SR、将IPv6地址作为SID对报文进行转发。校内云数据中心访问外网或者终端访问校内数据中心,在每一跳路由上设计SID标签,根据标签进行转发实现高速传输,数据中心网关(BRAS)作为SRV6的目的节点,负责选择路径,并将路径转换成一个有序的SID列表封装到扩展报文头中,其它网关汇聚交换机或者出口网关配置成中间节点和Endpoint节点,做好节点的设置,网络根据SID快速选择路径,只要路径通直接跳过中间节点访问所需要的地址。在SID列表上,按照报文转发路径上节点从远到近的顺序进行排列,SID列表上,Segment List [0]表示路径的最后一个SID,Segment List [1]表示路径的倒数第二个SID,以此类推,设计数据中心网关(BRAS)到华为USG12400防火墙的具体SID,实现SRv6个根据SID标识选路。
IPv6 SR通过在BRAS、USG12400防火墙上对IPv6数据报文进行封装和解封装,使封装后的报文在开启IPv6 SR功能的网络在IPv6 SR隧道中传输进行传输。
2) 精细化资源分配
在SRv6的基础上进行逻辑网络切片 [5] ,业务和数据分离,确保业务承载在自己的专属逻辑网络里。通过 Flex和信道化子接口提供物理链路支持,为数据中心业务提供单独的资源分配。分别标识P、PE1、PE2、CE,PEI即BRAS,PE2即防火墙属于AS100,CE集核心交换之间建立双向SRv6,TE policy承载Evpn L3VPn v4业务,为了进一步进行业务隔离,之间进行网络切片,将SRv6业务运行在网络切片上。如图3所示。
Figure 3. SRv6 fine-grained configuration
图3. SRv6精细化配置
在网络切片场景,为BRAS添加Color,通过Color标识业务意图,转发时。在出接口的对用网络切片接口组中查找HBH头中相同的Slice的网络切片接口。头节点在数据封装时,除了封装SRV6报文头,还要封装HBH头,数据转发时、节点根据SRv6报文头中的目的地址查找出接口,然后根据HBH中的Slice ID在出接口对应的网络切片组中选择与HBH头中相同的Slice ID的网络切片接口,不同的网络切口用slice区分,根据需要创建实例。
同一个主接口类型下,有基础接口和网络切片接口,基础接口用于承载地址前缀,路由计算时使用,本身也可以用作网络切片接口使用,网络切片接口没有地址前缀,只指定该接口被划归为哪些网络切片,配置网络切片的基础接口后,当流量被引导到基础接口时,在根据其网络切片需求,从对应的网络切口转发,相关配置:
Inteeface g1/0/1
Network-slice 10 data-plane指定接口的slice Id
SRv6 TE policy与slice ID进行关联
Srv6-te policy1 endpoint 2001::1
Candidate-path preference 200
Network-slice data-plance
信道化子接口保证每个子接口的带宽承载不同类型的业务,提供数据隔离,用于网络切片,配置
#Interface g1/1
#Ipv6 enable
#Ipv6 add 2001::1
Flex 相关配置
针对四种业务通过FLEX技术区分不同业务,BRAS和防火墙针对四种业务进行区分,
配置接口的PHYNumber、Flexe Group,将Flexe接口映射成多个可定制带宽的Flexe逻辑接口
#Interface FLexE-40G1/1/1 对接的两端配置相同
#Phy-number 5 物理接口的PHY NuMber不能相同
创建FLEXE Group 并绑定Flexe物理接口
#Flexe group 1
#Flexe-groupnum 2345
#Binding interface flexe-40G1/1/1
#创建FLEXE Group 并绑定Flexe物理接口
#Flexe group 1
#Flexe-groupnum 2345
#Binding interface flexe-40G1/0/1
Flexe
配置Flexe 子卡的子时隙粒度及Flexe Client 的带宽配置模式
#set flexe sub-time-slot granula slot 1 card 1 1g
#slot 1
#flexe config-mode card 0 timeslot
#flexe config-mode card 0 bandwidth
配置Client ID及对应带宽
#Flexe client-instance 1 flexe-group 1 flexe-type full-function port-id 129
#Flexe-client 1
#Flexe-bandwidth 4
3.3. 沉浸式一体化管理
校园网IPv6+云网端数据的监控数据可以划分为管理平面数据(CPU的转速、设备温度、风扇转速)、控制平面数据(BGP邻居、MPLS邻居、路由信息)、数据平面数据(端口入方向流量,出方向流量),通过SNMP、CLI、Syslog、NetStrem、SFlow等工具实现 [6] 。
利用IPv6报文自带的可编程空间,引入APN6技术将应用信息(标识和网络性能需求)携带进入网络,APN6通过将应用的需求信息封装在数据分组中,使网络能感知应用及其需求,进行流量调度和资源调整,使能网络感知应用和需求,提供精细化的网络服务和精准的网络运维。
具体为:部署IPv6管理服务器,通过SNMPv3 (get, inform)获得域内各路由器上路由表,运行CPF算法重构网络结构,准确地确定域内各路由器上地址段与对应的到达接口之间的映射关系,然后管理服务器将映射关系下发到各路由器,过滤伪造源地址的报文。总体来说就是通过服务器的运算来实现地址段和接口间的映射关系。通过Native ipv6自带的编程空间携带应用信息,针对不同的应用流量精细化区分和网路内调度,通过APN6技术结合SRv6 policy,网络切片,精细的为某个/组关键应用和用户提供专属网路切片,提供差异化的SLA可靠性保障。集合IFIT技术相结合,实现应用化可视,实时性测量和故障快速定位,使能精准网络运维 [7] ,效果如图4所示。
Figure 4. Operation and maintenance effect diagram
图4. 运维效果图
4. 效果与展望
此项目建立IPv6+云网端融入平台体系,并完成基于SRv6 Policy的校园主干通道部署,构建一体化运维管理平台。IPv6相关数据业务在校园内畅通的同时也给师生创建良好的科研实验环境,做到“智能选路、一跳入云”的能力;实现端到端可视、云管端联动的IPv6网络管道;通过应用APN6应用感知技术,实现应用驱动型的智能运维管理平台;数据业务高精、高效、高覆盖,数据传输低时延、广覆盖、并节约非必要的计算和数据资源,提升了IPv6+校园网络体系价值。也开创了伊犁地区教育网行业SRv6实践的先河,网络体系有以下特点:
1) 简单直接:校园网内IPv4/IPv6络可达,体系的建设不依赖于网络本身的结构层次,利用IPv6自身的报文封装直接实现应用信息的携带。
2) 无缝融合:端侧/云侧和网络侧都基于IPv6,实现应用和网络的无缝融合。
3) 扩展性强:IPv6报文封装提供的可编程空间可以用来携带丰富的应用相关信息兼容性好:如果应用信息不被网络节点识别,报文即作为普通IPv6报文被转发。
4) 响应快速:应用信息传递和处理都基于转发平面,可以做到流驱动的直接响应
IPv6的可扩展性和灵活性众所周知,但是如何利用和开发一直是值得研究和思考的问题,我们将IPv6+技术充分应用到校园网当中,校园网具有独特的优势,它借助教育网充分可以充分发挥IPv6+的特点,同时随着校园网数据量的一步一步增大,云网端融合的建设也在逐步实施,通过IPv6+技术实现IPv6+的云网融合大大增加了网络通道的高速便捷性、安全性,同时更好的利用资源达到绿色低碳的效果,这只是第一步,IPv6+的特性和校园网络云网端融合怎么充分的应用,还要进一步研究和思考。
基金项目
2023YSYY008。
NOTES
*通讯作者。