一、案例基本情况

(一)案例背景

根据中国移动通信集团有限公司(以下简称“中国移动”)确定的云计算体系划分,IT云主要面向公司内部IT系统提供基础设施云服务,主要涵盖了IT支撑系统和其他内部系统。2020年,为落实创世界一流“力量大厦”的战略要求,中国移动着力推动全网IT云资源池集中共享,以“扁平化架构、多点多活”为目标,最终形成“一云多中心”布局,承载全网IT系统,推动两级IT云统一管理、均衡发展。

中国移动通信集团有限公司天津分公司(以下简称“天津移动”)业支生产网承载天津移动全部的OA、BOSS、CRM等核心支持系统,由于业务需求,用户后续计划要支持IPv6功能,所以需要将现网改造成为SDN架构下的IPv6网络。

图1 现网架构图

图2 改造后SDN架构下的IPv6网络图

(二)案例实施目标

支撑天津移动IT云资源池的全部网络系统均由新华三承建,实现的工作目标为:一是网络能够承载IPv6业务Overlay层面自动化部署。二是实现网络设备的自动化部署,可通过拓扑的可视,提升运维管理效率;对接亚信云平台,实现业务的快速开通。三是以微分段方式实现东西向IPv6流量引入东西向资源池,实现IPv6业务隔离以及安全策略下发。

二、做法与经验

为确保该项目的顺利实施,新华三强化了工作实施的组织、人员、技术、保障等机制,具体如下:

(一)强化组织领导,压实工作责任。成立了专项工作组,统筹制定工作方案、调配技术服务人员,细化工作计划和阶段实施目标,对关键事项节点,采用倒排机制,定期讨论通报进展;同时,明确交付日期,倒排工作量,责任到个人,层层压实工作职责。

(二)聚焦总体目标,明确整体架构。该项目涉及Spine节点S12516F-AF交换机4台、Leaf节点交换机230台;部署多套数据中心SDN控制器、东西向以及南北向安全资源池;采用新华三最新应用驱动网络AD-DC5.3方案,构建敏捷、高质量、高可靠数据中心网络。

基于以上工作方向,新华三明确了天津移动IT云资源池整网网络架构:一是天津移动IT云资源池全网采用新华三AD-DC5.3方案,以S12516F-AF作为全网Spine/Border节点,为双Boder出口架构,上行连接中国全国一级IT云。二是全网新部署EVPN协议,位于通和南开S12516F-AF设备作为RR节点,全网所有Leaf节点与两台S12516F-AF建立BGP邻居部署EVPN,整网采用分布式网关组网;Overlay层承载IPv6业务,实现资源池IPv6业务赋能。三是服务链通过微分段PBR方式实现,部署Service-Leaf节点下带VFW1000实现东西向安全资源池保障业务互访安全性。

图3 项目组网方案

(三)紧盯工作节点,分步有序实施。按照项目整体实施方案,将本次项目实施工作分为六个步骤进行:强控业务迁移规划、新建弱控组网及承载业务逐步从强控迁移至弱控、两机房出口规划、弱控控制器和现网云平台对接、服务链部署。围绕上述六大步骤,细化了11个关键工作节点,最终保障项目顺利实施。

1.弱控方案控制器搭建。

控制器组网方案如下:


图4 控制器组网方案

2.现网部分交换机设备部分板块进行替换。

3.针对全网交换机版本升级。

4.全网EVPN协议部署。全网新部署EVPN协议,新建的移通和南开S12516F-AF设备作为RR节点,全网所有Leaf交换机打通Underlay网络。

图5 EVPN逻辑拓扑图

图6 EVPN路由转发原理

5.弱控服务链VFW1000虚拟防火墙搭建,弱控环境服务链采用PBR方式实现。

图7 弱控环境服务链采用PBR方式实现原理

6.开展业务割接。为降低割接风险,减少割接影响的业务范围,采用了强控弱控组网逐步过渡的割接方案。

7.现网Leaf交换机修改为弱控工作模式。

8.弱控控制器纳管交换机。

9.弱控控制器与第三方云管对接。

10.旧核心交换机设备退网。

11.弱控服务链业务迁移。

通过将项目工作进行分步、分节点实施,确保了工作推进的有序顺利开展,最大限度维护了客户利益。

三、成效与亮点

本项目通过对天津移动IT云资源池网络进行SDN改造,通过EVPN+VXLAN的Overlay技术,实现了租户间网络资源的逻辑隔离,可使不同的租户共用一张物理网络。还可实现跨机房的大二层网络互联需求,简化二层网络的部署复杂度,可通过拓扑的可视,提升运维管理效率。SDN的引入,可实现网络设备的自动化部署,安全设备L4-L7安全策略的自动化下发,出口等配置策略灵活的自动配置,大大缩短了网络业务的上线周期,从而降低整体项目的成本。承载天津移动O域、B域业务的Overlay网络,可支持IPv4、IPv6双栈业务的承载,满足用户需求,符合国家对网络的发展趋势。具体如下:

1.实现Overlay IPv6自动化,赋能IPv6。以自动化的方式部署IPv6,通过SDN控制器对接云平台,实现业务的快速开通快速上线,相比于传统的IPv6改造方式,开局以及维护更加敏捷智能。

2.微分段实现IPv6东西向服务链。Leaf设备全网支持微分段,可实现IPv6流量的东西流量引流,从而实现基于IPv6的服务链,保障IPv6业务的安全互访策略。

3.网络设备自动化部署,提升运维效率。实现网络设备的自动化部署,可通过拓扑的可视,提升运维管理效率,同时,控制器开放性强,能够对接第三方亚信云平台,实现业务的快速开通。