局域网SDN技术硬核内幕 - 14 三 从物到人——SDN走进园区网络

首先，让我们小结一下数据中心SDN技术的来龙去脉和内涵外延：

为了突破CPU主频的物理上限对服务器计算能力演进的限制，在服务器中普遍采用了多核多CPU技术。虚拟化技术则是将多核多CPU能力发挥到极限的手段。

随着虚拟化的大规模部署，出现了OpenStack为代表的云平台，其Nova组件可以实现大批量虚拟机的自动分配和管理。OpenStack的Neutron组件则可以为每个运行了大量虚拟机的租户(VPC)，提供一张虚拟化的网络，对内实现虚拟机互联互通，对外实现虚拟机业务的对外发布。

Neutron通过三大关键技术实现虚拟网络：

1. NFV(Network Function Virtualization)，通过OVS(虚拟交换机)，iptables(虚拟防火墙)，ha-proxy/nginx (虚拟LB)实现网络中交换机、防火墙、LB的功能；
2. Overlay，通过VXLAN/NVGRE等二层隧道技术，让二层子网穿越IP网络互通；
3. EVPN，通过对MP-BGP的扩展实现让各个虚拟交换机同步VM信息，避免网络中广播泛洪过多；

为了提升网络性能，网络设备厂商通过对Neutron的ML2、Router、FWaaS、LBaaS等组件提供驱动插件，实现硬件交换机、防火墙、LB接管各虚拟化网元功能。实际上驱动插件后端向硬件设备下发配置，都是通过SDN控制器，使用Netconf协议实现的。

让我们延伸一下思路，园区网络中，和虚拟化同步出现的，是什么技术？

对了，是无线网络(WLAN)，有时也叫做Wi-Fi。

数据中心的网络模型是这样的，大家已经很熟悉了：

园区网络引入无线网络后，模型是这样的：

我们看到，无线网络的出现，让用户摆脱了网线的束缚，使得无线办公成为了可能。随之而来的需求，是用户期望，无论漫游到哪里，所拥有的访问权限和网络资源使用量策略也随之而移动，而不会因为接入位置而改变。

一个例子是，笔者在研发部门工作期间，被紧急派去生产线出差解决产品故障，在生产线现场却无法访问研发服务器，只好通过其他方式获取需要的资源。这是因为，传统网络中，用户获取到的IP地址和接入位置是强相关的，如下图所示：

我们看到的现象是，同一用户在不同区域，获取不同网段IP，导致访问权限不一致。

那么，问题的本质是什么呢？

让我们看一看：

在网络中，访问权限一般通过ACL实现，访问权限 = IP网段；

但是，由于用户接入的位置是有可能漫游的，因此，IP网段 ≠ 用户组；

结果就是，用户组 ≠ 访问权限，无法满足同一用户组权限一致的需求。

我们有两种解决方案：

A：在交换机识别用户组并赋予访问权限；

B：设法让IP网段 = 用户组，网段跨越汇聚层网关。

明天开始，我们来看看怎么样实现这样的解决方案。