韓丹

摘 要 隨著各家銀行的數(shù)據(jù)中心集中了大量的應用和系統(tǒng)，業(yè)務需求的迅猛增長使得應用的推出和升級速度不斷加快，數(shù)據(jù)中心不斷面臨著規(guī)模擴張要求，并要求獲得更多的硬件、網(wǎng)絡和人力等資源。為了解決在業(yè)務運行中遇到的問題：硬件資源利用率低、數(shù)據(jù)安全性缺乏保障、業(yè)務連續(xù)性、人員不夠等問題，對銀行金融信息中心對虛擬化技術在銀行信息化建設中的應用進行研究。

關鍵詞 銀行網(wǎng)絡 虛擬化技術 規(guī)劃

中圖分類號：TP393 文獻標識碼：A

0引言

網(wǎng)絡虛擬化的作用主要是通過邏輯手段整合或共享物理設備、線路資源來提高資源利用率，從而更有效地利用網(wǎng)絡資源，實現(xiàn)對資源的快速部署以滿足業(yè)務的發(fā)展需要。網(wǎng)絡虛擬化主要包括網(wǎng)絡設備的虛擬化和數(shù)據(jù)路徑的虛擬化兩方面。

網(wǎng)絡設備的虛擬化技術主要有二層的VLAN、三層的VRF和思科Nexus7000交換機的VDC（Virtual Device Context）技術等。VLAN技術可將交換機的接口分成不同的邏輯組，每個邏輯組構成一個二層廣播域，一個VLAN內的設備在二層上可以互相通信，而VLAN之間的設備在二層上不能互相訪問。VRF技術可在1臺設備中設置多個路由表和轉發(fā)表，各自運行相應的路由協(xié)議。

Nexus7000運行NX-OS操作系統(tǒng)，支持設備級虛擬化VDC技術，使用該技術可以將一臺Nexus7000交換機在邏輯上模擬成多臺虛擬交換機，VDC作為一個單獨的邏輯實體在交換機中運行。VDC的特點如下：（1）數(shù)據(jù)平面隔離：每個物理接口同時只能被分配到一個VDC。（2）控制平面隔離：每個VDC都有自已的二層/三層的協(xié)議進程。（3）管理平面隔離：每個VDC可以看成單獨的設備，能獨立地進行管理。（4）每個VDC是獨立的故障隔離域，防止某個虛擬設備VDC上的問題影響運行于同一個物理設備上的其他虛擬設備VDC。（5）每個VDC都有自己的配置文件，能獨自進行維護。

數(shù)據(jù)路徑的虛擬化技術實現(xiàn)的是將一條物理鏈路劃分成多條邏輯鏈路，以達到鏈路復用和安全隔離的作用。如Vlan trunk技術，Vlan trunk是通過對以太幀插入VLAN標識的方法來確保在網(wǎng)絡接口上二層地址空間的隔離，以實現(xiàn)在一條trunk鏈路上可以傳輸多個VLAN的數(shù)據(jù)。

以上幾種虛擬化技術是本次數(shù)據(jù)中心網(wǎng)絡結構規(guī)劃中需要采用的，其中Nexus7000 VDC是新技術，本章重點對VDC的技術實現(xiàn)及在數(shù)據(jù)中心網(wǎng)絡結構中的部署做詳細闡述。

1VDC規(guī)劃和使用原則

數(shù)據(jù)中心局域網(wǎng)結構是以高可用的交換核心為中心來互聯(lián)各個功能區(qū)域，各功能區(qū)域之間進行安全隔離，功能區(qū)域內的網(wǎng)絡結構采用標準的層次化設計，要求區(qū)域網(wǎng)絡可靈活擴展，同時降低綜合布線等日常變更操作的復雜程度，VDC虛擬化技術可以在一定程度上滿足這些需求。VDC的規(guī)劃原則如下：（1）在功能區(qū)域的區(qū)域核心交換機上采用VDC技術，交換核心不進行VDC的劃分。（2）VDC之間進行一定的安全隔離。（3）VDC進行必要冗余設計并應用相應的高可用策略。

1.1VDC拓撲結構

數(shù)據(jù)中心標準服務器區(qū)、外聯(lián)區(qū)、FOVA區(qū)均使用了VDC虛擬化技術。VDC拓撲規(guī)劃如下：（1）標準服務器區(qū)、外聯(lián)區(qū)每臺Nexus7010交換機創(chuàng)建2個VDC，其中1個VDC作為區(qū)域核心-VDC-2上聯(lián)4臺交換核心Nexus7018，另1個作為區(qū)域核心-VDC-3下聯(lián)接入層交換機Nexus5020，缺省VDC用于網(wǎng)絡管理。（2）FOVA區(qū)域每臺Nexus7010交換機創(chuàng)建3個VDC，包括缺省VDC在內，4個VDC都需要使用。缺省VDC作為區(qū)域核心-VDC-1上聯(lián)四臺交換核心Nexus7018，下聯(lián)其它三個新建VDC，這三個新建VDC分別作為區(qū)域核心-VDC-2、區(qū)域核心-VDC-3和區(qū)域核心-VDC-4分屬于三個不同的FOVA區(qū)，它們分別下聯(lián)不同F(xiàn)OVA區(qū)域的接入層交換機。（3）各功能區(qū)域的不同區(qū)域核心-VDC之間采用防火墻技術進行安全隔離。

1.2VDC劃分

Nexus7000交換機總是存在一個缺省的VDC，第一次登錄到Nexus7000交換機上，首先就進入到缺省的VDC。缺省VDC的作用是創(chuàng)建和刪除其它VDC、給其它VDC分配資源、維護系統(tǒng)等，缺省VDC不能被刪除。目前NX-OS包括缺省VDC在內最多可以支持4個VDC，即可以手工創(chuàng)建3個VDC。除非特別需要外，缺省VDC只用于管理，不用于實際生產(chǎn)。數(shù)據(jù)中心局域網(wǎng)結構設計中，VDC的劃分如下：（1）FOVA區(qū)域每臺Nexus7010交換機新建3個VDC，其它區(qū)域每臺Nexus7010交換機新建2個VDC。（2）除FOVA區(qū)域外，其它功能區(qū)域的缺省VDC只用于系統(tǒng)管理和對其它VDC的管理。（3）在FOVA區(qū)域中，包括缺省VDC在內的所有4個VDC用于實際生產(chǎn)。

1.3VDC資源

Nexus7000上可以對VDC分配的資源有兩種：物理資源和邏輯資源，并且要求以network-admin的用戶角色和權限來分配資源：

（1）物理資源分配。

Nexus7000上能對VDC分配的物理資源是接口，數(shù)據(jù)中心網(wǎng)絡結構中將使用的接口模塊是N7K-M132XP-12（32接口萬兆以太接口模塊）和N7K-M148GS-11（48接口千兆以太接口模塊），兩種模塊對VDC的接口資源的分配規(guī)則如下：

32接口萬兆以太網(wǎng)接口模塊必須四個接口一組分配到一個VDC。48接口千兆以太網(wǎng)接口模塊以一個接口或多個接口為單位進行分配。

（2）邏輯資源分配。

Nexus7000上能對VDC分配的邏輯資源是VLANs、VRFs、Port-Channels、SPAN Sessions、IPv4 RIB和IPv6 RIB。對于一個VDC來說，系統(tǒng)缺省為它預留了每種邏輯資源可分配的最少量，即可以保證分配到的邏輯資源。

2VDC用戶角色

NX-OS缺省有四種用戶角色：network-admin、network-operator、vdc-admin、vdc-operator，每種用戶角色擁有不同的權限。network-admin具有最高的權限，可以管理包括缺省VDC在內的所有VDC，對所有VDC具有讀寫權限，是設備管理員的角色。我行設備管理規(guī)劃采用network-admin用戶，配合ACS實現(xiàn)讀寫、只讀兩類用戶的授權。

2.1VDC帶外管理

NX-OS提供虛擬化的以太管理接口（mgmt0）以便可以通過帶外網(wǎng)管的方式來管理VDC。Nexus7018、Nexus7010和nexus5020采用這個以太管理接口進行帶外管理。

另外，Nexus7018和Nexus7010也提供獨立的CMP（Connectivity Management Processor）處理器，CMP以太口能夠支持telnet/SSH功能，Nexus7018和Nexus7010采用CMP接口作為帶外網(wǎng)管的輔助和備份手段對設備進行遠程管理。

2.2VDC高可用策略

VDC的高可用策略（HA-policy）是指當一個VDC出現(xiàn)問題時，NX-OS在高可用方面的處理方式。VDC的高可用策略規(guī)則如下：（1）Bringdown策略：當某一個VDC出現(xiàn)問題時，掛起這個VDC，需要對物理設備重新引導才能進行恢復。（2）Restart策略：當某一個VDC出現(xiàn)問題時，刪除這個VDC，并用Startup配置文件重新創(chuàng)建VDC。（3）Switchover策略：在雙引擎的條件下，當某一個VDC出現(xiàn)問題時，引擎會進行切換。（4）reload策略：在單引擎的條件下，重新啟動物理設備，并用Startup配置文件重新創(chuàng)建VDC。（5）VDC的缺省高可用策略：1）在雙引擎的條件下采用Switchover模式。2）在單引擎的條件下，采用Restart模式。3）缺省VDC的高可用策略不能改變。

數(shù)據(jù)中心局域網(wǎng)結構規(guī)劃中，相關服務器區(qū)域的VDC都是冗余設計并且Nexus7018和Nexus7010都是雙引擎配置，VDC的高可用策略規(guī)劃如下：

缺省VDC的高可用策略不能改變，因此采用缺省高可用策略Switchover，即當缺省VDC出現(xiàn)故障時，引擎進行切換。其它VDC采用Restart模式，即當任何一臺VDC出現(xiàn)故障時，刪除這個VDC，并用Startup配置文件重新創(chuàng)建VDC，這樣可以盡量不影響其它VDC的正常工作。