宋文文，龔文濤

0 引言

在云計(jì)算大發(fā)展環(huán)境下，網(wǎng)絡(luò)虛擬化技術(shù)與服務(wù)器虛擬化技術(shù)是結(jié)合使用的。物理服務(wù)器進(jìn)行了虛擬化，一臺物理機(jī)上運(yùn)行著多個不同Vlan的虛擬機(jī)，虛擬機(jī)之間通過虛擬交換機(jī)與外界進(jìn)行數(shù)據(jù)通信。在這種業(yè)務(wù)模式下網(wǎng)絡(luò)電纜極大地減少，相對減少了許多交換機(jī)，節(jié)約了成本。虛擬化網(wǎng)絡(luò)還可以提供快速配置和可擴(kuò)展性方面的極大靈活性。部署新業(yè)務(wù)的不必在和傳統(tǒng)服務(wù)器連接網(wǎng)絡(luò)需要進(jìn)行所有的電纜并進(jìn)行配置等工作，因而可以節(jié)省大量的時間。通過虛擬化軟件、在虛擬交換機(jī)上部署虛擬防火墻，可以快速在虛擬防火墻之后構(gòu)建一個新的安全網(wǎng)絡(luò)。

1 基于云的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

因某大學(xué)網(wǎng)絡(luò)是基于青島校區(qū)和東營校區(qū)的 2個物理地域，學(xué)校云計(jì)算中心網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的目標(biāo)為，建立一套高安全性、高冗余性、高可靠性的網(wǎng)絡(luò)。同時新建的網(wǎng)絡(luò)系統(tǒng)應(yīng)該能夠很好的與學(xué)校現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)相融合，在保證對現(xiàn)有網(wǎng)絡(luò)的最小調(diào)整的基礎(chǔ)上，建立高可用的云計(jì)算中心網(wǎng)絡(luò)系統(tǒng)。

基于上述思路，青島云計(jì)算中心網(wǎng)絡(luò)結(jié)構(gòu)，如圖1所示：

圖1 云計(jì)算中心網(wǎng)絡(luò)設(shè)計(jì)圖

青島、東營兩地的云計(jì)算網(wǎng)絡(luò)，核心交換機(jī)使用無丟包數(shù)據(jù)中心級高性能網(wǎng)絡(luò)交換機(jī)，為保證設(shè)備及線路的冗余性，應(yīng)在青島、東營兩地的云計(jì)算網(wǎng)絡(luò)核心分別配置2臺核心交換機(jī)。兩地的核心交換機(jī)之間通過2條155M鏈路互聯(lián)，為云計(jì)算下的虛機(jī)漂移和數(shù)據(jù)雙活提供基礎(chǔ)條件。

服務(wù)器匯聚交換機(jī)應(yīng)采用具有高速轉(zhuǎn)發(fā)性能的數(shù)據(jù)中心級交換機(jī)，為服務(wù)器提供匯聚功能和高速網(wǎng)絡(luò)鏈路。

云計(jì)算中心網(wǎng)絡(luò)出口需要布置物理防火墻將云計(jì)算中心與外部接入網(wǎng)絡(luò)進(jìn)行邏輯隔離，保證云計(jì)算中心內(nèi)部網(wǎng)絡(luò)的安全。為了提高應(yīng)用服務(wù)的使用效率，需要在防火墻之后云計(jì)算中心之前應(yīng)布置負(fù)載均衡設(shè)備，使外來流量自動分配到能夠提供最優(yōu)服務(wù)的應(yīng)用服務(wù)器之上。同時需要在網(wǎng)絡(luò)中串接或采用旁路模式布置相應(yīng)的安全審計(jì)，入侵檢測、應(yīng)用控制等網(wǎng)絡(luò)安全設(shè)備保證網(wǎng)絡(luò)的安全和操作的合法性。

2 云平臺核心層設(shè)計(jì)

云計(jì)算中心網(wǎng)絡(luò)建設(shè)需要采用高可靠大型數(shù)據(jù)中心級交換機(jī)，根據(jù)我校所對網(wǎng)絡(luò)安全需求，每個網(wǎng)絡(luò)中心應(yīng)配置兩臺配置相同的核心交換機(jī)作為冗余設(shè)備，為服務(wù)器匯聚接入、不同用戶群的接入提供冗余。

根據(jù)網(wǎng)絡(luò)需求分析，核心交換機(jī)配置相應(yīng)數(shù)量的萬兆和千兆網(wǎng)絡(luò)端口，這些端口可根據(jù)網(wǎng)絡(luò)具體需求情況靈活分配給不同服務(wù)器或網(wǎng)絡(luò)設(shè)備進(jìn)行接入使用。

同一個云計(jì)算中心的兩臺核心交換機(jī)通過虛擬技術(shù)虛擬成一臺核心交換機(jī)，這樣可以簡化日常維護(hù)及配置工作，同時虛擬后的交換機(jī)可以支持跨機(jī)箱的鏈路捆綁技術(shù)，對于下級交換機(jī)上聯(lián)至兩臺核心交換機(jī)時，可以通過以太網(wǎng)鏈路捆綁技術(shù)，提高冗余能力和鏈路互聯(lián)帶寬，并大大降低了因生成樹收斂帶來的網(wǎng)絡(luò)抖動時間。

2.1 核心層交換機(jī)端口鏈路捆綁設(shè)計(jì)

核心層交換機(jī)與其它設(shè)備互連都采用路由端口和三層交換方式，因此采用三層端口鏈路捆綁技術(shù)，如圖2所示：

圖2 三層端口鏈路捆綁

2.2 匯聚層交換機(jī)的端口捆綁設(shè)計(jì)

匯聚層交換機(jī)與下面的接入層采用二層端口的捆綁技術(shù)互連，如圖3所示：

圖3 二層端口的捆綁

3 數(shù)據(jù)中心接入層設(shè)計(jì)

FCOE交換機(jī)完成具有Fiber Channel SAN交換機(jī)的完整功能特性，即傳統(tǒng)需要以太網(wǎng)卡、FC存儲卡（HBA）、InfiniBand卡的主機(jī)，只需要一張F(tuán)CoE的以太網(wǎng)卡（CNA）就可以實(shí)現(xiàn)3種網(wǎng)絡(luò)的接入，如圖4所示：

圖4 FCOE架構(gòu)與接入交換機(jī)連接

用戶在操作系統(tǒng)上也可以看見虛擬化的以太網(wǎng)卡、HBA卡和InfiniBand卡，而它們共享萬兆的高帶寬。當(dāng)部署虛擬服務(wù)器之后，所有虛擬機(jī)共享萬兆網(wǎng)絡(luò)出口，解決了部署虛擬化服務(wù)器面臨的網(wǎng)絡(luò)瓶頸問題。

FCOE交換機(jī)還可通過Fiber Channel接口連接傳統(tǒng)的SAN網(wǎng)絡(luò)，實(shí)現(xiàn)SAN/LAN的整合，通過這種整合和虛擬化實(shí)現(xiàn)資源的自由調(diào)度和最大化利用，同時成倍減少的網(wǎng)卡數(shù)節(jié)約了功耗，提高了可靠性，降低了維護(hù)成本。

云計(jì)算中心建設(shè)新增服務(wù)器采用 FCOE架構(gòu)與接入交換機(jī)連接，現(xiàn)有服務(wù)器，可根據(jù)需要采用FCOE架構(gòu)或仍然采用傳統(tǒng)模式分別與以太網(wǎng)絡(luò)及SAN存儲網(wǎng)絡(luò)相連。實(shí)現(xiàn)IP、SAN雙網(wǎng)絡(luò)的平滑過渡和升級。

4 數(shù)據(jù)中心路由的設(shè)計(jì)

青島云計(jì)算中心核心層與匯聚層之間采用路由端口，實(shí)現(xiàn)三層交換。云計(jì)算中心內(nèi)部使用OSPF路由協(xié)議動態(tài)進(jìn)行路由的學(xué)習(xí)和分發(fā)。

分布匯聚層和接入層之間使用交換端口，實(shí)現(xiàn)二層交換。當(dāng)前的主流虛擬機(jī)軟件，如VMware、Virtual Server等都需要在二層交換下實(shí)現(xiàn)虛擬機(jī)遷移，因此在數(shù)據(jù)中心接入層使用二層交換將方便虛擬機(jī)的遷移和調(diào)度。而鏈路捆綁技術(shù)的使用，可以實(shí)現(xiàn)在二層結(jié)構(gòu)下完全沒有環(huán)路，從根本上解決了生成樹算法收斂慢、不穩(wěn)定、故障多的問題，也使得在一個數(shù)據(jù)中心內(nèi)二層結(jié)構(gòu)下的可擴(kuò)展性與三層結(jié)構(gòu)沒有根本的區(qū)別。只要經(jīng)過適當(dāng)設(shè)計(jì)，接入層的二層部分將沒有環(huán)路，快速生成樹算法將只用于在誤操作等極端情況下的防范手段，如圖5所示：

圖5 核心層與匯聚層之間采用路由端口圖

實(shí)現(xiàn)三層交換，當(dāng) IEEE的改進(jìn)生成樹協(xié)議或者 IETF的二層路由協(xié)議技術(shù)成熟，二層結(jié)構(gòu)還可以擴(kuò)展到城域和廣域網(wǎng)中去，擴(kuò)大服務(wù)器虛擬化的調(diào)度范圍，向云計(jì)算的理想邁進(jìn)。

5 新舊網(wǎng)絡(luò)的整合

我校云計(jì)算中心建設(shè)完成后，便可以為學(xué)校各個部門提供云服務(wù)，云計(jì)算中心核心交換機(jī)校園網(wǎng)的核心交換機(jī)進(jìn)行萬兆互聯(lián)。云計(jì)算中心建立后，將存在大量學(xué)校其他部門的業(yè)務(wù)系統(tǒng)，為保證學(xué)校云計(jì)算中心的安全，需要在云計(jì)算中心及校園網(wǎng)之間放置防火墻對兩者進(jìn)行邏輯隔離。

網(wǎng)絡(luò)融合步驟：

1) 新建云計(jì)算中心平臺。

2) 云核心交換機(jī)與校園網(wǎng)核心交換機(jī)對接互聯(lián)，核心業(yè)務(wù)網(wǎng)關(guān)保留在原校園網(wǎng)核心交換機(jī)上不變。

3) 應(yīng)用遷移，將原數(shù)據(jù)中心業(yè)務(wù)遷移至云計(jì)算中心，對外服務(wù)IP地址保持不變

4) 所有需要遷移的業(yè)務(wù)系統(tǒng)平滑過渡至云計(jì)算中心。

5) 將業(yè)務(wù)系統(tǒng)Vlan網(wǎng)關(guān)遷移至新建云計(jì)算中心高性能數(shù)據(jù)中心交換機(jī)

6) 優(yōu)化網(wǎng)絡(luò)，整個云計(jì)算中心為單獨(dú)的大的安全域，創(chuàng)建訪問策略加強(qiáng)云計(jì)算中心的網(wǎng)絡(luò)安全

6 總結(jié)

數(shù)據(jù)中心所需要的虛擬化是“融合的虛擬化”而非“孤島式虛擬化”，如同網(wǎng)絡(luò)是資源整合的核心，同樣網(wǎng)絡(luò)也是虛擬化融合的核心?？偨Y(jié)如下：

具備虛機(jī)感知網(wǎng)絡(luò)的設(shè)計(jì)：解決網(wǎng)絡(luò)對服務(wù)器虛擬化實(shí)現(xiàn)的阻礙，包括接入層網(wǎng)絡(luò)、服務(wù)器網(wǎng)卡和虛機(jī)Hypervisor平臺的設(shè)計(jì)；

數(shù)據(jù)中心大二層結(jié)構(gòu)設(shè)計(jì)：解決網(wǎng)絡(luò)對虛機(jī)遷移、FCoE技術(shù)實(shí)現(xiàn)的阻礙，包括如何設(shè)計(jì)一個可擴(kuò)展的大二層結(jié)構(gòu)；

數(shù)據(jù)中心內(nèi)邏輯結(jié)構(gòu)設(shè)計(jì)：在以上網(wǎng)絡(luò)虛擬化設(shè)計(jì)的基礎(chǔ)上，可以對虛機(jī)標(biāo)記、VLAN、VSAN、地址結(jié)構(gòu)、路由結(jié)構(gòu)的進(jìn)行全面設(shè)計(jì)；

[1]Cisco IOS IP Command Reference,Volume 2 of 3:[M]Routing Protocols Release 12.2.

[2]Cisco OSPF Command and Configuration, [M]Handbook.

[3]The NIST Definition of Cloud, [M]ComputingNIST 2011.9

[4]查貴庭,彭其軍.校園網(wǎng)安全威脅及安全系統(tǒng)構(gòu)建.[J]計(jì)算機(jī)應(yīng)用研究.2005 , (03) .

[5]蔡永泉.計(jì)算機(jī)網(wǎng)絡(luò)安全理論與技術(shù)教程.[M]北京航空航天大學(xué)出版社.2003.

[6]周華強(qiáng),劉奇超.校園網(wǎng)安全控制策略.[J]中國科教博覽.2004 .(11) .

[7]邢西深,謝建軍.校園網(wǎng)安全技術(shù)及應(yīng)用.[J]計(jì)算機(jī)時代.2004 .(08) .

[8]杭州華三通訊技術(shù)有限公司.[J]路由交換技術(shù)..2011.4