带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第三章软件定义访问运作方法3.2

简介: 带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第三章软件定义访问运作方法3.2

3.1   数据转发平面

 

软件定义访问通过使用虚拟可扩展局域网VXLAN技术构建叠加网络的数据平面。VXLAN封装和传输完整的二层数据帧并横跨底层网络,每个虚拟网络由 VXLAN网络标识符(VNI)进行标识。VXLAN封装还使用 SGT字段对网络进行微分段。

RFC7348定义了使用虚拟可扩展局域网(VXLAN)作为在三层网络之上叠加二层网络的一种方法(见图3-4。使用VXLAN,可以使用UDP/IP在三层网络上对原始二层数据帧进行标记并进行隧道传输。每个叠加网络都称为VXLAN网段,并使用 24VXLAN网络标识符进行标识,最多支持 1600万个 VXLAN网段。

image.png

 

3-4RFC7348VXLAN

软件定义访问网络交换矩阵使用 VXLAN数据平面传输完整的原始二层数据帧。另外使用位置 /  标识分离协议作为控制平面来解析终端到其所在位置的映射关系。软件定义访问网络交换矩阵采用VXLAN报头中的 16个保留位,以便传输多达 64000个可扩展组标签,详细信息请参考 VXLAN-GPO规范。

VNI实现了三层叠加网络到虚拟路由和转发实例的映射。而二层 VNI实现了 VLAN广播域的映射,二者均可为每个虚拟网络提供隔离数据和控制平面。可扩展组标签承载用户的组成员身份信息,并在虚拟网络内部提供数据平面微分段。

VXLAN     需要一个底层的传输网络(底层网络)承载,在连接到网络交换矩阵的终端之间提供通信,使用底层网络数据平面转发。图 3-5展示了 VXLAN封装网络中的数据转发平面。

软件定义访问网络交换矩阵不会更改二层或三层转发的语义,并且允许网络交换矩阵的边缘节点执行叠加路由或桥接功能。因此,边缘节点提供了一组不同的网关功能,如下。

 

image.png

 

3-5 网络交换矩阵数据转发平面操作

 

(1)  二层虚拟网络接口(L2VNI。在这种模式下,来自 L2VNI的数据帧将被桥接到另一个 L2接口。桥接将在桥接域的情境中完成。L2网关的实现将使用 VLAN作为桥接域,并将 L2VNI作为 VLAN的成员端口。边缘节点将在 VLAN中的 L2VNI和目标 L2端口之间桥接通信。

(2)  三层虚拟网络接口(L3VNI:在此模式下,来自 L3VNI的数据帧将被路由到另一个 L3接口。路由将在路由实例的情境中完成。L3网关的实现将使用VRF作为路由实例,并将 L3VNI作为 VRF的成员端口。边缘节点将在 VRF中的L3VNI和目标 L3接口之间路由通信。

为了提供客户端移动性和子网的拉伸,软件定义访问利用了分布式任播默认网关

如图 3-6所示。这将在网络交换矩阵中的每个边缘节点上配置三层接口默认网关例如,如果在网络交换矩阵中定义了 10.10.10.0/24子网,并且为该子网定义的默认网关是10.10.10.1,则该虚拟 IP地址(具有相应的虚拟 MAC地址)将在每个边缘节点上进行相同的编排。

 

 

 image.png


3-6 分布式任播默认网关

这大大简化了终端部署,便于其在网络交换矩阵基础架构中漫游,因为默认网关在任何网络交换矩阵的边缘节点上都是相同的。这也优化了通信转发,因为从终端到其他目标子网的通信总是在第一跃点进行三层转发。而对于一些传统的(非网络交换矩阵)拉伸子网解决方案,需要将流量在远程位置进行三层转发。

此外,底层网络可用于向叠加网络中的二层广播域内的终端传送多目标通信。这包括网络交换矩阵中的广播和多播通信。软件定义访问网络交换矩阵中的广播通信被映射到底层网络的多播组并发送到该广播域中的所有边缘节点。下面将详细介绍这一点。

目录
打赏
0
0
0
0
41
分享
相关文章
单位网络监控软件:Java 技术驱动的高效网络监管体系构建
在数字化办公时代,构建基于Java技术的单位网络监控软件至关重要。该软件能精准监管单位网络活动,保障信息安全,提升工作效率。通过网络流量监测、访问控制及连接状态监控等模块,实现高效网络监管,确保网络稳定、安全、高效运行。
72 11
公司监控软件:SAS 数据分析引擎驱动网络异常精准检测
在数字化商业环境中,企业网络系统面临复杂威胁。SAS 数据分析引擎凭借高效处理能力,成为网络异常检测的关键技术。通过统计分析、时间序列分析等方法,SAS 帮助企业及时发现并处理异常流量,确保网络安全和业务连续性。
60 11
Kubernetes Ingress:灵活的集群外部网络访问的利器
《Kubernetes Ingress:集群外部访问的利器-打造灵活的集群网络》介绍了如何通过Ingress实现Kubernetes集群的外部访问。前提条件是已拥有Kubernetes集群并安装了kubectl工具。文章详细讲解了Ingress的基本组成(Ingress Controller和资源对象),选择合适的版本,以及具体的安装步骤,如下载配置文件、部署Nginx Ingress Controller等。此外,还提供了常见问题的解决方案,例如镜像下载失败的应对措施。最后,通过部署示例应用展示了Ingress的实际使用方法。
77 2
公司网络监控软件:Zig 语言底层优化保障系统高性能运行
在数字化时代,Zig 语言凭借出色的底层控制能力和高性能特性,为公司网络监控软件的优化提供了有力支持。从数据采集、连接管理到数据分析,Zig 语言确保系统高效稳定运行,精准处理海量网络数据,保障企业信息安全与业务连续性。
56 4
动态DNS(DDNS)技术在当前网络环境中日益重要,它允许使用动态IP地址的设备通过固定域名访问
动态DNS(DDNS)技术在当前网络环境中日益重要,它允许使用动态IP地址的设备通过固定域名访问,即使IP地址变化,也能通过DDNS服务保持连接。适用于家庭网络远程访问设备及企业临时或移动设备管理,提供便捷性和灵活性。示例代码展示了如何使用Python实现基本的DDNS更新。尽管存在服务可靠性和安全性挑战,DDNS仍极大提升了网络资源的利用效率。
146 6
从零到一打造知识网络:你选对文档软件了吗?
在信息爆炸时代,学术工作者面临高效管理知识的挑战。传统文档管理软件难以满足“知识动态积累”与“多领域交叉”的需求。动态结构化看板通过多维度卡片化管理,以标签、层级和网状关联方式动态呈现文档和笔记,实现知识的系统化整合。例如多维标签系统和文档流动视图,能够帮助快速检索和关联资料,成为学术研究的“第二大脑”。
网络安全与信息安全:知识分享####
【10月更文挑战第21天】 随着数字化时代的快速发展,网络安全和信息安全已成为个人和企业不可忽视的关键问题。本文将探讨网络安全漏洞、加密技术以及安全意识的重要性,并提供一些实用的建议,帮助读者提高自身的网络安全防护能力。 ####
78 17
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
60 10
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
68 10
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等