局域网SDN硬核技术内幕 19 团结一切可以团结的力量

在园区网络建设实践中，旧网络改造比完全新建常见得多。

由于各种原因，用户往往期望将一些原有的设备继续利用。一般来说，有几种可能性：

1. 为了保护已有的投资，利用旧的接入层设备不替换；
2. 考虑到网络的稳定性，保留旧的核心设备；
3. 基于投资考虑，只替换部分区域设备；
4. 原有无线AP/AC部分保留，只替换有线网络设备；

在这三种场景下，我们应当怎么样尽量让用户体验到SDN的价值呢？

我们先看第一种场景。它的组网模型如下：

我们发现，这个组网模型与园区SDN网络标准组网的区别在于，接入利用了旧有的交换机。我们回忆一下，园区SDN网络标准模型对接入交换机的要求——仅需要支持VLAN Access和VLAN Trunk即可。

显然，我们需要解决的问题，就是实现在接入交换机上配置用户组对应的VLAN。这可以通过在SDN控制器上适配第三方款型实现，也可以通过Ansible一类的脚本操作实现。

在园区网改造实践中，这也是最多的一种异构混合组网形式。

模型2的组网如下：

我们回忆标准的园区SDN模型可以发现，在园区内部，VXLAN隧道实际上是建立于汇聚交换机之间，核心设备在这种场景下，只起三层IP转发作用，不查看VXLAN头部内容。因此，我们可以沿用第三方旧设备。

但是，对于出园区流量呢？

让我们再次回到数据中心OpenStack的模型——

在OpenStack的纯软SDN模型中，对于其他VM去Internet或广域网的流量，红色框中的OVS负责拆除VXLAN隧道，绿色框中的vFW和vLB提供边界防护策略、NAT等。

那么，我们也可以在园区网络中引入这个机制——

我们在核心与网络边界防火墙/路由器之间加入一台或一对支持VXLAN的交换机作为边界网关，边界网关和各汇聚交换机之间建立VXLAN隧道，构建分布式任意播网关。对于出入园区的流量，在边界网关拆除或添加VXLAN隧道。

这样，就完美解决了不动原有核心混合组网的问题。

第三种场景则更为简单。

逻辑上，SDN控制器可以将未改造区域，当作SDN区域外的网络。这样，在新汇聚与核心之间建立VXLAN隧道，与未改造部分互通时，在核心拆除/加入隧道即可。

第四种改造的方式则有一些特殊性。

我们知道，当采用集中转发的模式时，来自WLAN AP的用户，需要通过CAPWAP隧道，将数据发送到WLAN AC进行集中处理。

这样一来，相当于把所有的无线用户集中到核心上进行接入。当无线用户需要与其他用户通信时，可以通过在核心-汇聚之间的VXLAN隧道实现。而无线用户上外网时可以在核心上之间三层转发。

由于核心设备一般具有较大的表项，在绝大多数园区网络中，可以满足这样的需求。

总结：只有团结一切可以团结的力量，实现充分利用各种第三方设备，我们才能让园区SDN得到更多的认可。