基于VXLAN技術的廣域網承載應用

曾楚軒，龍柯

（中國聯通廣東省分公司，廣東廣州，510600）

1 背景概述

廣東聯通china169網使用傳統的城域網架構，21個地市、科學城IDC、松山湖IDC以及深圳IDC專網按照地域和功能被劃分成24個AS域，各城域網與集團骨干網形成了hub-spoke結構，主要的跨域流量都需途經集團骨干網。由于china169網主要定位為互聯網訪問，傳統互聯網流量占據了絕大多數流量；此外也有少量的L2/L3 VPN流量，主要包括為承載網構建的L2 VPN的逃生通道流量、精品網訪問的L3 VPN流量以及RMS系統的L3 VPN流量，因為需要與傳統的IP流量隔離，VPN流量需要通過MPLS標簽轉發。現階段聯通集團骨干跨域方式存在MPLS不連續的問題，省內早期建設了一個覆蓋全省的大珠三角城域網，其主要承載跨域的L2/L3 VPN流量，大珠三角城域網城域網整體設備流量利用率極低，設備存在老舊問題。

2 現狀調研

隨著標簽技術的不斷發展，VXLAN技術使用IP頭取代傳統的MPLS頭作為標簽轉發，可解決集團骨干跨域MPLS不連續的問題，使得跨域流量也能承載在集團骨干上，提高了設備已經鏈路的利用率，降低了擴容和維護成本，降低了網絡的復雜性。目前，已經在全省21個地市部署VXLAN交換機并以此構建了VXLAN網絡，使地市大珠三角SR下線成為可能，也為城域網向下一代SDN網絡演進提供了實踐基礎。由于該方案僅在VXLAN頭尾節點對設備性能有要求，對中間設備無要求，組網架構清晰已便于維護。c

3 實現方案

3.1 組網方案

現網如下圖所示，由于互聯網訪問的源和目的通常不在一個城域網內，互聯網訪問會產生大量的跨域流量。從A城域網訪問B城域網的跨域流量可以通過兩種路徑，分別是A城域網-集團骨干-B城域網和A城域網-大珠三角城域網-B城域網。其中通過集團骨干跨域是跨域流量承載的主要方式。而部分特殊的L3/L2 VPN跨域流量，因為需要與IP流量隔離，必須采取標簽轉發的方式，現行條件下的主流標簽轉發方式是MPLS，要求從源到目的途經的每一臺設備都開啟MPLS，而集團跨域方式因為在集團骨干設備上未開啟MPLS導致L3/L2 VPN跨域量無法在此路徑上承載，只能通過大珠三角城域網承載。

圖1 廣東聯通城域網跨域流量現狀拓撲

改造后的廣東聯通VXLAN組網示意圖如下圖所示，以廣州VXLAN交換機為核心，其他20個地市VXLAN交換機與廣州VXLAN交換機之間構建VXLAN隧道邏輯連接，形成hub-spoke型組網，VXLAN交換機之間的流量交互仍然承載在集團跨域的路徑上。VXLAN隧道間使用VNI來區分不同業務，傳統vlan最大支持4096個虛擬網絡劃分，這在承載巨大且繁復的169網中顯然已經不夠用，VNI可以支持16M虛擬網絡的劃分，極大豐富的網絡的擴展性，且VNI可以和原vlan無縫對接，使網絡演進平滑過渡。

VXLAN交換機在城域網中的部署如上圖所示，每個地市城域網部署兩臺VXLAN交換機，每臺VXLAN交換機雙上聯至城域網核心，兩條上聯鏈路間流量實現負載均衡，在充分保證鏈路利用率的前提下可以實現冗余備份。同時，兩臺VXLAN交換機之間互為設備備份，避免出現單點故障，充分保障業務的安全。

圖2 廣東聯通VXLAN組網改造示意圖

完成VXLAN隧道的部署后，VXLAN通道可以承載之前承載在大珠三角的L3/L2 VPN業務（承載網逃生通道、精品網業務、RMS業務），也可以承載云公司跨DC的DCI業務及其他跨域接入業務。

3.2 業務承載方案

3.2.1 承載網逃生通道

使用靜態VXLAN通道代替承載網原MPLS L2VPN方案。其同時解決了利用大珠三城域網做逃生通道的資源稀缺問題和利用集團跨域做逃生通道的MPLS不連續問題。逃生通道流量承載在集團跨域的路徑上，而VXLAN技術通過使用IP頭取代MPLS頭做標簽，從而可以有效解決MPLS標簽無法跨域的問題，同時，城域網出口擁有豐富的傳輸資源，有效保障逃生通道的有效性。

由于該方案使用二層VXLAN技術，構建的是二層承載網逃生通道，承載網側無需修改配置，降低了配置的復雜性。同時，該方案復用了城域網鏈路，無需額外開通傳輸鏈路做逃生通道，提供了鏈路利用率，降低了擴容成本。

此外，由于在發生重大傳輸故障時有可能會導致城域網出口鏈路擁塞，承載網流量雖然可以通過城域網出口導出，但其中有部分重要流量，如語音的信令流量，如果發生中斷會導致掉話而嚴重影響業務，此類業務需要提供最高的保障等級。在部署次VXLAN方案時，會在VXLAN隧道頭端封裝VXLAN數據包時將承載網用于區分業務等級的QOS標記復制到三層頭部，而使得承載網的QOS策略能夠在城域網出口生效從而為承載網的高優先級流量提供最高等級的保障。

3.2.2 精品網業務通道

基于VXLAN的精品網跨域組網方案，其同時解決了使用大珠三城域網跨域的網絡復雜和成本過高的問題以及使用集體跨域MPLS不連續的問題。精品網的跨域流量承載在通過集團跨域的路徑上，利用VXLAN技術，標簽使用IP頭取代傳統的MPLS頭有效解決集團跨域MPLS不連續的問題，使精品網接入交換機通過VXLAN隧道直接連到大珠I設備，VXLAN隧道為精品網接入交換機和大珠I設備構建L2層通道，兩者通過IGP協議建立loopback可達性，通過建立iBGP鄰居收發業務路由，控制精品網訪問流量從大珠I設備進入精品網AS9929，該方案由于均采用專用設備，不再采用VPN隔離，大大簡化了途經設備的配置，降低了維護難度。此外，在精品網接入交換機和城域網CR之間新建物理線路，精品網接入交換機與城域網CR之間建立OSPF鄰居，精品網接入交換機通過OSPF發布業務路由，城域網CR向接入交換機下發默認路由，從而構建了公網的逃生通道，在精品網AS9929出口發生故障時可以切換至城域網CR出口，實現冗余備份。

3.3 主要技術原理及思路

VXLAN技術作為主流的Overlay技術，相較于其他Overlay技術（如NVGRE、STT）等，有著較明顯的優勢，其使用L2 over UDP的模式，不需要改變L2-L4報文的前提，使用現網設備即可實現多路徑負載均衡，得到了Cisco、華為、VMware等主流廠家的支持，在廣東聯通城域網中部署難度小。

VXLAN技術雖然已提出多年，以前主要應用于DC內解決VLAN不足問題，在運營商廣域網上大規模商用還是屬于首例。VXLAN技術屬于最新的標簽轉發技術，傳統的標簽轉發技術多是基于MPLS的，要求從源到目的途經的每一跳路由器都開啟MPLS，且不同廠家對MPLS的規范不完全相同，不同廠家的MPLS對接可能出現未知的問題，導致MPLS標簽技術部署時出現一定的局限性，廣東聯通互聯網集團跨域中因為集團設備未開啟MPLS導致標簽不連續的問題就是很好的例子。而VXLAN技術使用L2 over L4（MAC in UDP）的報文封裝方式，使用IP頭作為標簽轉發，僅對VXLAN隧道的頭尾節點有要求，VXLAN隧道中間段設備只需要支持IP轉發即可轉發VXLAN流量，極大降低了VXLAN技術的部署難度。使用VXLAN組網模式極大簡化了廣東聯通城域網的組網架構，降低了擴容和維護成本，也使后續不同業務的跨域接入成為可能，同時支持多達16M的虛擬網絡劃分，為今后業務的發展提供了無限可能。

4 建設方案的效果

該項目創造性地使用了VXLAN技術解決了傳統標簽技術在跨域時MPLS不連續導致無法轉發的問題，是全國電信運營商商用VXLAN架構網絡的首次嘗試，極大的簡化了網絡架構，為后續跨域組網提供了新的解決方案。

參考文獻

[1]SDN/NFV重構未來網絡電信運營商愿景與實踐[Z].

[2]VXLAN的技術發展和應用[Z].

[3]使用EVPN/VXLAN解決廣域網數據中心互聯[Z].