2.3.2 边缘节点
网络交换矩阵边缘节点(如图 2-6所示)负责将终端连接到网络交换矩阵,并封装/解封装和转发从这些终端到网络交换矩阵的通信。网络交换矩阵边缘节点在网络交换矩阵的外围运行,是用户连接和策略实施的所在地。需要注意的是,终端不必直接连接到网络交换矩阵的边缘节点,也可以连接到扩展节点。
有关网络交换矩阵边缘节点的重要注意事项是它们如何处理用于终端设备的子网。在默认情况下,在软件定义访问网络交换矩阵中承载的所有子网都是在边缘节点上设置的。例如,如果在给定的网络交换矩阵中设置了子网10.10.10.0/24,则该子网将在该网络交换矩阵中的所有边缘节点上进行定义,而位于该子网中的主机可以放在该网络交换矩阵内的任何边缘节点上。这实质上是在该网络交换矩阵的所有边缘节点之间“拉伸”了这些子网,从而简 化了 IP地址的分配,进而可以部署较少但掩码更大的IP子网。
图 2-6 网络交换矩阵边缘节点
软件定义访问网络交换矩阵边缘节点相当于传统的园区网络设计中的接入层交换机。边缘节点在实现三层访问设计的同时增加了以下网络交换矩阵功能。
(1) 终端注册。交换矩阵边缘节点检测到用户终端后,会将其添加到本地主机跟踪数据库(称为终端 EID表)。边缘节点设备还会发出 LISP映射注册消息,以便将检测到的终端通知控制平面节点并将其填充到中心主机跟踪数据库(HTDB)。
(2) 将用户映射到虚拟网络。通过将终端分配到与 LISP实例关联的VLAN,可将该终端放入虚拟网络。可以使用静态或动态802.1x方式将终端映射到 VLAN中。同时为其分配SGT以实现在交换矩阵边缘节点为终端提供网络分段和策略执行功能。
(3) 三层任播网关。在每个边缘节点使用通用网关(具有相同的 IP和 MAC地址),使终端共享同一个 EID子网,实现跨越不同 RLOC的最佳转发路径和移动性。
(4) LISP 转发。与典型的基于路由的决策不同,网络交换矩阵边缘节点通过查询映射服务器来确定与目标IP关联的 RLOC,并使用该信息封装相关流量的 VXLAN报头。如果无法解析目标 RLOC,流量将被发送到默认的网络交换矩阵边缘节点,并使用边缘节点上的全局路由表来决定如何转发。从映射服务器接收到的响应存储在 LISP映射缓存中,它被合并到思科快速转发表中并安装在节点交换机硬件中。如果在网络交换矩阵边缘节点接收到未在本地连接的终端的VXLAN封装流量,接收边缘节点将通过发送 LISP征求映射请求到发送该流量的网络交换矩阵边缘节点来触发新的映射请求。这一机制解决了终端可能出现在不同的网络交换矩阵边缘节点交换机上的情况。
(5) XLAN封装/解封装。网络交换矩阵边缘节点使用与目标 IP地址关联的 RLOC为流量封装 VXLAN报头。类似地,在目的地RLOC处接收的 VXLAN流量被解封装。流量的封装和解封装使端点的位置能够改变并且被网络中的不同边缘节点和RLOC封装,而端点本身不必在自身封装内改变其地址。
2.3.3 中间节点
网络交换矩阵的中间节点是纯粹的三层转发设备,属于将边缘节点与边界节点进行互联的三层网络的一部分,连接网络交换矩阵边缘节点和网络交换矩阵边界节点,为转发叠加网络流量提供基于三层的底层网络互联服务。
在使用核心层、分布层和接入层的三层园区设计中,中间节点相当于分布层交换机,但中间节点的数量并不限于单个设备层。中间节点仅在网络交换矩阵内部路由 IP流量。中间节点无须参与 VXLAN封装 /解封装或 LISP控制平面消息方面相关的操作,网络交换矩阵对于中间节点的要求仅仅是支持转发大尺寸 IP数据报文,以便能够传输内嵌了VXLAN信息的 IP数据报文。
