局域网SDN硬核技术内幕 22 亢龙有悔——规格与限制(下)

首先，我们来回顾一下昨天和前天的内容：

数据中心中，随着大规模虚拟化和容器化，在最坏的情况下，TOR交换机理论上有可能需要学习全网VM的MAC或FIB表项。因此，如果一个POD内服务器数量较多，MAC或FIB表项有可能成为规格的瓶颈，需要通过合理规划租户虚拟机所在的物理位置，来避免出现超规格的现象。

而在园区中，没有这么大规模的用户接入，主要的限制是为无线漫游用户配置的AC口，以及为控制用户组之间访问需要配置的ACL。

昨天留下的两个问题：

1. 尽量不要通过交换机ACL实现访问控制； 答案是显而易见的。在使用ACL实现访问控制的情况下，ACL的资源消耗与安全组个数的平方成正比。在安全组较多的情况下，需要使用ACL规格较高的交换机，而提升总体成本；
2. 尽量不要使用多台盒式堆叠，而采用框式交换机； 由于堆叠后，会使堆叠组(逻辑系统)的物理口数加倍，由于静态VXLAN AC的数量为物理口 * 安全组数量，堆叠台数超过4台很容易将交换机的VXLAN AC资源消耗殆尽。 为什么框式交换机不会有这样的限制呢？ 实际上，这个命题并非完全正确。

框式交换机的实现，有集中式与分布式两种。

集中式的框式交换机，以Catalyst 9400，Catalyst 9600为代表，交换ASIC在主控引擎上，线卡只有phy芯片，所有转发都需要上主控ASIC引擎。如下图所示：

对于此种情况，框式交换机的VXLAN AC口数量也受到主控交换引擎ASIC的限制。

而以H3C为代表的主流交换机厂商使用分布式设计，架构如下图所示：

图中，Fabric Module可以集成在主控上，也可以通过独立交换网板的形式提供。由于每个线卡上均有以太网交换ASIC，有n个线卡的交换机理论上VXLAN资源数是每ASIC的n倍。

所以，严格地说，只有分布式转发的框式交换机，可以利用这一特点，承担较多的安全组+无线转发。

那么，如果对于没有条件或基于成本考虑，不使用成本较高的高端盒式交换机或框式交换机作为汇聚的情况呢？

我们还有最后一招——无线集中式转发。

回忆我们第19期的文章最后一张图：

如果我们采用集中式转发，是不是等同于将无线用户“乾坤大挪移”到了旁挂在核心的无线控制器上呢？

实际上，由于所有的无线用户无论如何漫游，我们只需要在核心交换机连接无线控制器的物理接口上，为无线用户所在的所有安全组配置VXLAN AC就可以了！也就是说，如果使用2个40G以太网物理口连接无线控制器，在80个安全组的情况下，我们只需要在核心交换机上消耗160个VXLAN AC资源就可以了！

接下来，我们需要解决的是ACL资源的问题。

我们知道，在园区网络实际部署中，绝大多数用户的业务是访问数据中心和园区内部服务器，而园区用户之间互访的业务是非常少的。

因此，我们可以在所有汇聚交换机上配置默认策略为deny any，只有允许互访的业务才在ACL中放行。由于园区用户之间互访业务很少，访问矩阵实际上是稀疏矩阵，这样可以大大节约ACL资源。

当然，这种规避措施，也是有代价的。集中转发会增加无线用户的时延，无线控制器的吞吐量也有可能限制所有无线用户的总带宽。但在绝大多数场景下可以满足客户的需求。

明天，我们将介绍局域网SDN技术的未来发展，敬请期待！