1、数据中心网络分级分域
　　•应用系统视角
　　 按照业务重要程度划分网络分区，不同网络分区对应不同级别的应用，边界部署不同颗粒度的安全策略。
　　 根据业务系统的层次模式，通常两种模式分别为“按应用分类分区”和“按应用层次分区” 。
　　 根据业务系统的关联程度，规划网络分区和部署位置。
　　 需要考虑应用系统云化资源池的灵活调度，以及容量扩展能力。
　　•网络运维视角 
　　 网络分区设计，需要考虑便于故障快速隔离和业务恢复。
　　 网络分区设计，需要考虑尽量简化网络运维的复杂程度。
　　•网络安全视角 
　　 风险等级不同的系统应部署在不同的物理区域，从风险等级高的区域访问风险等级低的区域需经过防火墙进行安全隔离；
　　 不同安全级别的网络划分不同的网络分区，内网与外网分离。
　　 风险等级相同的服务器区域之间，需考虑进行安全隔离，控制非授权访问，同时避免局部安全问题影响至多个应用系统。

2、硬件SDN 解决方案
2.1 典型组网
　　主机Overlay主要利用泛洪或广播机制实现网络构建和扩展，它将虚拟设备作为Overlay网络的边缘设备和网关设备，它的典型组网如下图所示：


　　该组网方案：
　　• 使用物理服务器的vSwitch实现VXLAN网络VTEP。
　　• 部署VCF Controller后可以集中控制VXLAN VTEP/GW。
　　• VCF Controller配合Hypervisor平台管理多形态Gateway。
　　该组网方案有以下优点：
　　• 适用于服务器虚拟化的场景，成本较低，VXLAN物理GW既可以用在核心位置，也可以在现有核心旁挂，保护已有投资。
　　• 控制面实现可以由高可靠的SDN Controller集群实现，提高了可靠性和可扩展性，避免了大规模的复杂部署。
　　• 网关组部署可以实现流量的负载分担和高可靠性传输。
　　支持分布式网关功能，使虚机迁移后不需要重新配置网关等网络参数，部署简单、灵活。
2.2网络基础架构
　　Overlay网络的基础架构如下图所示：
　　•VM（Virtual Machine，虚拟机）
　　•VTEP（VXLAN Tunnel End Point，VXLAN隧道端点）
　　•VNI(VXLAN Network Identifier，VXLAN网络标识符)
　　•VXLAN隧道
　　•VSI（Virtual Switching Instance，虚拟交换实例）
 
3、软件SDN解决方案
3.1 总体逻辑架构
　　• 管理面
　　管理面是超融合平台对外提供网络RESTful API接口的唯一出口，由中央管理面和本地管理面组成，支持第三方编排。采用无状态分布式设计，可以支持横向扩展、高并发、高可用以及负载均衡。
　　• 控制面：
　　采用中央控制器和本地控制面组成整个控制面。中央控制器运行在控制节点上，负责下发由管理面转化的配置，并将配置同步到不同节点中的本地控制面。
　　• 数据面：
　　负责执行数据转发，转发功能支持分布式虚拟交换机、边界虚拟路由器、分布式防火墙、边界虚拟交换机。
　　• 运维监控：
　　负责虚拟网络的状态监控，提供数据包跟踪、网口监控、流量监控等功能，为虚拟网络提供所画及所得的运维能力。
3.2经典网络设计模式

3.3 VPC网络设计模式
　　1. 用户可以创建多个租户VPC网络
　　2. 每个租户VPC，可以创建多个subnet子网
　　3. 子网之间通过vRouter三层互通
　　4. 子网之间可以配置ACL策略，实现网络隔离
　　5. 虚拟机可以配置安全组策略，通过增加企业专线，实现跨子网二层互通