局域网SDN技术硬核内幕 - 16 三 从物到人 园区用户漫游的EVPN实现

昨天我们提到了，一些厂商发现，通过MPLS V**可以实现园区网络的切片，把不同组的用户加入不同切片，来实现权限跟随用户。

但这么做的弊端也很明显，接入层交换机一般为低成本的设备，对VRF的支持很有限。即使是近一两年推出的CISCO Catalyst 9200，也仅支持4个VRF。因此，工程师们想到了更优的方案——EV** + VXLAN方案。

事实上，在EV**+VXLAN刚刚成为RFC标准的时候，业界以H3C为代表的厂商，就已经发布了基于EV**+VXLAN的园区网SDN方案。

它的部署方式如下图：

怎么样，这是不是和数据中心EV**+VXLAN方案一模一样？

对了，核心相当于数据中心的Spine，承担高速转发的角色；

汇聚相当于数据中心的TOR，承担VXLAN网关和策略控制的角色；

接入相当于数据中心的OVS，承担打VLAN标签的角色；

而园区EV**+VXLAN与数据中心EV**+VXLAN方案的区别在于，园区解决的是终端漫游接入问题，而不是VM漫游(迁移)问题。

在前面，我们提到，VM上线和迁移的时候，云平台(Nova)会感知这个事件，并通过Neutron的层次化端口绑定机制，向SDN控制器同步这一事件。在园区网中，谁感知到终端的接入和漫游呢？

对了，是认证(AAA)服务器。

在园区网络中，为了保证安全，所有用户需要通过802.1x/Portal/MAC等方式进行认证。

如图，用户在认证时，认证点(汇聚交换机)向Radius发起认证请求，继而Radius会根据用户所在用户组下发VLAN。

同时，Radius与SDN控制器进行联动，SDN控制器向汇聚交换机下发EV**配置，汇聚交换机建立VXLAN隧道：

这样的方案只需要接入交换机支持SNMP和VLAN即可，汇聚交换机需要支持VXLAN，大大降低了接入层成本，甚至可以与第三方接入交换机混合组网，有利于利用旧有设备，在网络改造场景优势巨大。

当然，园区网络还有更多有趣的VXLAN组网方式，这，就需要下回分解了。