9.8.5 服务汇聚层高级设计

    在设计学习中,L3设计开始于核心层,它也是L2终止之处。服务汇聚层刚好就被安排在核心层之下,邻近汇聚层。图9-25描述了服务汇聚层设计的高级视图以及所有的物理拓扑情况。

    9.8.5 服务汇聚层高级设计 - 图1

    图 9-25 高级服务汇聚层设计

    图9-25中展示的高级服务汇聚层设计包括以下内容:

    ·2台Cat6K服务机箱:SC-1和SC-2,每一台都配备了一个防火墙服务模块(Firewall Services Module,FWSM)以及一个应用控制引擎服务模块(Application Control Engine Service Module,ACESM)。

    ·在FWSM和ACESM模块上分别创建了2个VDC:

    ·租户A的VDC

    ·租户B的VDC

    ·现在分别将FWSM和ACESM的单独“逻辑实例”分配给每个租户的VDC。

    ·为了实现HA,每个租户上都分配了一对FWSM和ACESM。

    ·IaaS供应者只希望为这些FWSM和ACESM提供最基本的配置管理,其他VDC的管理任务将由租户自己完成,并且在必要时,完善相关配置。租户还需要确定FWSM和ACESM的工作模式,究竟采用透明模式,还是采用路由模式。

    ·FWSM VDC为特定租户提供基本必须的安全保护。

    ·租户A利用ACESM VDC来实现APP1服务链(VM1和VM5)上的负载平衡,以及APP2服务链(VM2和VM6)上的负载平衡。

    ·SC-1拥有4条上行链路:

    ·上行链路1a和2a分配给租户A的VDC。

    ·上行链路1b和2b分配给租户B的VDC。

    ·如果核心层交换机为这些链路配置了vPC,就需要配置相应的端口通道。

    ·SC-2拥有4条上行链路:

    ·上行链路3a和4a分配给租户A的VDC。

    ·上行链路3b和4b分配给租户B的VDC。

    ·如果核心层交换机为这些链路配置了vPC,就需要配置相应的端口通道。

    ·两对WAN优化器(Riverbed虚拟Steelhead设备VSH-2050-H):

    ·CORE-1和CORE-2分别附加了一个WAN优化器,对租户A上的APP1和APP2网络传输进行优化(参见图9-18)。此时,由核心层交换机(CORE-1A和CORE-2A)上,租户A的VDC中运行的WCCPv2负责拦截和重定向。

    ·SC-1和SC-2分别附加了一个WAN优化器,对租户B上的APP1到APP4的网络传输进行优化(参见图9-18)。此时,由租户B的ACESM VDC负责拦截和重定向。

    ·租户A使用WCCPv2进行网络流拦截,因为它们对支持WCCPv2的核心层交换机(CORE-1A和CORE-2A)拥有控制权。更多有关在NX7K交换机(CORE-1A和CORE-2A)上配置WCCPv2的信息,请参见6.3节。

    ·租户B使用ACESM VDC而非WCCPv2进行网络流拦截,因为它们对核心层交换机没有拥有控制权。更多有关配置ACESM VDC以及实施拦截的内容,请参见6.5节。

    ·租户上的WAN优化器,在逻辑上建立了一个WAN优化器集群,以达到HA/弹性目标。

    ·方案中,WAN优化器为UCS或通用服务器的VM上运行的虚拟设备,也可以是实际的物理设备。只是,与从云IaaS出发,虚拟设备比物理设备更容易实现,可扩展性也更好。

    ·IaaS供应者只会对这些WAN优化器进行最简单的配置,租户需要自己来管理各自的WAN优化器,在必要时,完善配置(包括HA的配置),租户还需要配置相应的拦截机制(租户A采用WCCPv2,而租户B采用ACESM),对正确的网络流(在租户A上是APP1到APP2,在租户B上是APP1到APP4)实施重定向优化。

    说明:尽管Nexus 7000交换机支持WCCPv2功能,但是在本设计中并不做如此要求,因为已经为租户A分配了一个特定的核心层交换机VDC,换句话说,在核心层交换机CORE-1A和CORE-2A上,对租户A进行的WCCPv2配置可以被还原成普通的全局Ipv4地址空间。

    ·HSRP设置:

    ·租户A会将CORE-1A配置成主HSRP设备,将CORE-2A配置成从HSRP设备。

    ·IaaS供应者也会将CORE-1A配置成租户A的主HSRP设备,将CORE-2A配置成租户B的从HSRP设备。

    ·SC-1和SC-2(为了简便,未在图中标注)上的网络分析模块(Network Analysis Module,NAM)以及入侵检测系统服务模块(Intrusion Detection System Services Module,IDSM-2):

    ·在虚拟接入层(参见图9-18)的NX1KV交换机上实现ERSPAN源会话,ERSPAN源会话执行GRE封装并转发镜像网络流(从VLAN101、102、201和202)到相应的SC-1和SC-2上的ERSPAN目标会话,ERSPAN目标会话执行GRE封装并将镜像网络流转发至相应的NAM和IDSM。更多ERSPAN配置的内容,请参考9.2.2节。

    ·本例中,IaaS供应商利用NAM和IDSM来实现内部审计和安全监控,它们对租户是透明的。