9.8.4 光纤模块高级设计

    光纤模块覆盖了核心层、汇聚层以及接入层的组件,DC LAN基础设施被进一步地分割成不同的虚拟上下文,为租户A和租户B提供服务。通过这种方式,能够实现租户A与租户B之间必要的安全隔离,整体的物理拓扑如图9-22所示。链路1a到6a和11a到16a属于租户A,链路1b到6b和11b到16b属于租户B。另外,DC LAN以多域、多层vPC设计为基础,同时还包括从核心层到汇聚层,以及汇聚层到接入层的vPC扩展。

    9.8.4 光纤模块高级设计 - 图1

    图 9-22 光纤模块物理拓扑

    由于租户A都是内部终端用户,企业“M”的IaaS供应者(IT管理部门)更希望这些用户能够自己管理各自的DC LAN基础设施,而IaaS供应者将只负责汇聚层以及核心层交换机的最简单配置工作。终端用户自己需要负责管理这些交换机,并且在需要时,进一步完善相关配置。图9-23展示了租户A的光纤模块高级设计视图。

    图9-23中展示的租户A高级别光纤模块设计内容包括:

    ·4台“逻辑”Nexus 7010交换机:

    ·核心层交换机:CORE-1A和CORE-2A。

    ·汇聚层交换机:AGG-1A和AGG-2A。

    ·租户A的虚拟设备上下文(Virtual Device Context,VDC):

    ·在CORE-1A和CORE-2A上。

    ·在AGG-1A和AGG-2A上。

    ·根据当前现有的4个物理交换机,租户A的VDC在逻辑上被划分成4个自主逻辑交换机,租户A能够直接管理这些交换机:

    ·CORE-1A源自物理交换机CORE-1,作为CORE-1内的独立逻辑实体运行。

    ·CORE-2A源自物理交换机CORE-2,作为CORE-2内的独立逻辑实体运行。

    9.8.4 光纤模块高级设计 - 图2

    图 9-23 租户A的高级别光纤模块设计

    ·AGG-1A源自物理交换机AGG-1,作为AGG-1内的独立逻辑实体运行。

    ·AGG-2A源自物理交换机AGG-2,作为AGG-2内的独立逻辑实体运行。

    ·CORE-1A和CORE-2A上vPC配置如下:

    ·属于VPC Domain 101。

    ·CORE-1A和CORE-2A之间的2条链路(5a和6a)通过对等链路端口通道1002连接。

    ·CORE-1A和CORE-2A上的VPC 100(端口通道100),连接来自AGG-1A的两条上行链路(1a和2a)。

    ·CORE-1A和CORE-2A上的VPC 100(端口通道100),连接来自AGG-2A的两条上行链路(3a和4a)。更多有关vPC配置的详细内容,请参考9.6节中关于“基本vPC配置”的内容。

    ·AGG-1A和AGG-2A上vPC配置如下:

    ·属于VPC Domain 102。

    ·AGG-1A上的VPC 100(端口通道100)连接通往CORE-1A和CORE-2A的上行链路(1a和2a)。

    ·AGG-2A上的VPC 100(端口通道100)连接通往CORE-1A和CORE-2A的上行链路(3a和4a)。

    ·AGG-1A和AGG-2A上的对等链路端口通道1001,连接来自AGG-1A和AGG-2A之间的两条链路(15a和16a)。

    ·AGG-1A和AGG-2A上的VPC 11(端口通道11),连接来自AC-SW1的两条上行链路(11a和12a)。

    ·AGG-1A和AGG-2A上的VPC 12(端口通道12),连接来自AC-SW2的两条上行链路(13a和14a)。更多有关vPC配置的详细内容,请参考9.6节中“基本vPC配置”的内容。

    ·AC-SW1和AC-SW2端口通道配置如下:

    ·AC-SW1上的标准端口通道11连接通往AGG-1A和AGG-2A的上上行链路(11a和12a)。

    ·AC-SW2上的标准端口通道12连接通往AGG-1A和AGG-2A的上上行链路(13a和14a)。更多有关vPC配置的详细内容,请参考端口通道配置。

    ·所有的端口通道都为trunk模式,只负责传输VLAN 101(VM1和VM5)以及VLAN 102(VM2和VM6)上的网络流(参见图9-18)。

    由于租户B属于外部用户,企业“M”的IaaS供应者(IT管理部门)决定不允许这些用户对其DC LAN基础设施拥有自主管理权限,所有管理都由IaaS供应商完成。图9-24展示了租户B的光纤模块设计高级视图。

    图9-24中展示的租户B高级别光纤模块设计内容包括:

    ·4台“逻辑”Nexus 7010交换机:

    ·核心层交换机:CORE-1和CORE-2。

    ·汇聚层交换机:AGG-1和AGG-2。

    ·物理交换机总是配置了一个VDC,也是默认的VDC,在这一设计方案中,所有4个交换机都在默认VDC内。

    ·由于默认VDC负责管理物理交换机以及4个VDC,因此有必要对默认VDC做进一步划分。可以分别在租户B特定的CORE-1和CORE-2上,通过L3接口(或交换机虚拟接口)相关联的VRF(例如,使用VRF-B)完成。

    说明:本书撰写之际,Nexus 7000系列交换机最多只能支持包括默认VDC的4个虚拟设备上下文(Virtual Device Context,VDC),企业“M”并不希望占用所有这些VDC,而是当发生租户B这类情况时,从中挑选一个实现L3的逻辑划分以便可以使用VRF而已。

    ·CORE-1和CORE-2上vPC配置如下:

    ·属于VPC Domain 201。

    ·CORE-1和CORE-2之间的2条链路(5b和6b)通过对等链路端口通道2002连接。

    ·CORE-1和CORE-2上的VPC 200(端口通道200),连接来自AGG-1的两条上行链路(1b和2b)。

    9.8.4 光纤模块高级设计 - 图3

    图 9-24 租户B的高级光纤模块设计

    ·CORE-1和CORE-2上的VPC 200(端口通道200),连接来自AGG-2的两条上行链路(3b和4b)。更多有关vPC配置的详细内容,请参考9.6节中“基本vPC配置”的内容。

    ·AGG-1和AGG-2上vPC配置如下:

    ·属于VPC Domain 202。

    ·AGG-1上的VPC 200(端口通道200)连接通往CORE-1和CORE-2的上行链路(1b和2b)。

    ·AGG-2上的VPC 200(端口通道200)连接通往CORE-1和CORE-2的上行链路(3b和4b)。

    ·AGG-1和AGG-2上的对等链路端口通道2001,连接来自AGG-1和AGG-2之间的两条链路(15b和16b)。

    ·AGG-1和AGG-2上的VPC 21(端口通道21),连接来自AC-SW1的两条上行链路(11b和12b)。

    ·AGG-1和AGG-2上的VPC 22(端口通道22),连接来自AC-SW2的两条上行链路(13b和14b)。更多有关vPC配置的详细内容,请参考9.6节中“基本vPC配置”的内容。

    ·AC-SW1和AC-SW2端口通道配置如下:

    ·AC-SW1上的标准端口通道21连接通往AGG-1和AGG-2的上上行链路(11b和12b)。

    ·AC-SW2上的标准端口通道22连接通往AGG-1和AGG-2的上上行链路(13b和14b)。更多有关vPC配置的详细内容,请参考端口通道配置。

    ·所有的端口通道都为trunk模式,只负责传输VLAN 201(VM3和VM4)以及VLAN 202(VM7和VM8)上的网络流(参见图9-18)。