【摘要】 隨著云計(jì)算技術(shù)高速發(fā)展，傳統(tǒng)意義上的網(wǎng)絡(luò)建設(shè)在慢慢退出信息化的舞臺(tái)，同樣虛擬化技術(shù)在數(shù)據(jù)中心的建設(shè)中也得到越來(lái)越多的運(yùn)用。本文對(duì)虛擬化數(shù)據(jù)中心組網(wǎng)原則進(jìn)行了介紹，結(jié)合具體案例對(duì)虛擬化數(shù)據(jù)中心組網(wǎng)方案及典型業(yè)務(wù)流向進(jìn)行了分析。

【關(guān)鍵詞】 虛擬化數(shù)據(jù)中心 網(wǎng)絡(luò)虛擬化 VPC VDC

一、前言

虛擬化數(shù)據(jù)中心（VDC）是將傳統(tǒng)IDC與云計(jì)算技術(shù)相結(jié)合，應(yīng)用虛擬化、自動(dòng)化部署等技術(shù)構(gòu)建的向用戶(hù)提供服務(wù)的基礎(chǔ)IT設(shè)施。VDC將虛擬化的基礎(chǔ)設(shè)施如服務(wù)器、網(wǎng)絡(luò)及存儲(chǔ)設(shè)備作為服務(wù)提供，通過(guò)動(dòng)態(tài)資源分配和調(diào)度，提高資源利用能力和服務(wù)可靠性。與傳統(tǒng)數(shù)據(jù)中心相比，虛擬化數(shù)據(jù)中心在提升資源的利用率、加快業(yè)務(wù)部署能力、降低硬件設(shè)備成本和運(yùn)營(yíng)成本方面有著不可替代的優(yōu)勢(shì)。

二、虛擬化數(shù)據(jù)中心組網(wǎng)原則

2.1高安全性

按照數(shù)據(jù)中心業(yè)務(wù)功能和管理功能的要求，網(wǎng)絡(luò)須進(jìn)行分區(qū)設(shè)計(jì)，不同網(wǎng)絡(luò)區(qū)域的安全策略明晰，并且明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系，單個(gè)區(qū)域進(jìn)行安全策略實(shí)施不對(duì)其它區(qū)域造成影響。

2.2高可用性

組網(wǎng)結(jié)構(gòu)設(shè)計(jì)最大限度的隔離故障域，簡(jiǎn)化數(shù)據(jù)傳送路徑，加快故障收斂時(shí)間。

2.3易擴(kuò)展性

在出現(xiàn)新業(yè)務(wù)區(qū)需求的情況下，不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)不同區(qū)域和層次的功能按需建設(shè)，業(yè)務(wù)部署靈活。

2.4易管理性

網(wǎng)絡(luò)結(jié)構(gòu)清晰，便于維護(hù)，故障定位和解決快速、靈活。

三、組網(wǎng)方案實(shí)例

隨著虛擬化技術(shù)的不斷成熟，虛擬化數(shù)據(jù)中心建設(shè)規(guī)模逐漸擴(kuò)大。例如：某大型通信運(yùn)營(yíng)商為提高資源的利用率，拓展新的市場(chǎng)空間以及業(yè)務(wù)模式轉(zhuǎn)變，啟動(dòng)了虛擬化數(shù)據(jù)中心建設(shè)，規(guī)劃2個(gè)物理區(qū)域作為機(jī)房空間，總有效機(jī)柜100個(gè)左右，新增設(shè)備包括防火墻、交換機(jī)、路由器、負(fù)載均衡器等，其中防火墻為用戶(hù)提供地址轉(zhuǎn)換及網(wǎng)絡(luò)安全相關(guān)服務(wù)，交換機(jī)/路由器/負(fù)載均衡器為用戶(hù)提供組網(wǎng)能力和網(wǎng)絡(luò)帶寬。

按照虛擬數(shù)據(jù)中心業(yè)務(wù)功能和管理功能的規(guī)劃，網(wǎng)絡(luò)的設(shè)計(jì)采用分區(qū)的形式，一般可分為接入網(wǎng)絡(luò)區(qū)、網(wǎng)絡(luò)中心區(qū)、出口網(wǎng)絡(luò)區(qū)、業(yè)務(wù)網(wǎng)絡(luò)區(qū)、存儲(chǔ)網(wǎng)絡(luò)區(qū)、管理網(wǎng)絡(luò)區(qū)：（圖1）

接入網(wǎng)絡(luò)區(qū)

專(zhuān)線接入交換機(jī)承擔(dān)接入專(zhuān)線和傳遞路由流量的角色，相關(guān)的專(zhuān)線劃分到對(duì)應(yīng)的vlan，使得能夠與專(zhuān)線接入防火墻能夠正常通信；兩臺(tái)專(zhuān)線接入交換機(jī)之間互聯(lián)配置為二層trunk，同時(shí)兩臺(tái)接入交換機(jī)與兩臺(tái)核心交換機(jī)口字型互聯(lián)，且互聯(lián)端口配置為三層接口ip用于隔離其他二層網(wǎng)絡(luò)；另外，專(zhuān)線接入交換機(jī)與專(zhuān)線接入防火墻、核心交換機(jī)之間使用OSPF，使得核心交換機(jī)能夠?qū)W習(xí)到專(zhuān)線網(wǎng)絡(luò)的網(wǎng)段。

網(wǎng)絡(luò)中心區(qū)

網(wǎng)絡(luò)中心區(qū)包括核心交換機(jī)及業(yè)務(wù)防火墻，兩臺(tái)核心交換機(jī)之間運(yùn)用虛擬化技術(shù)實(shí)現(xiàn)二層組網(wǎng)，虛擬化技術(shù)主要包括VPC（Virtual port—channe1）和VDC（Virtual Device Context）技術(shù)。

3.1 VPC（Virtual port—channe1）

VPC是一個(gè)可以跨不同設(shè)備的port-channel技術(shù)，跨設(shè)備進(jìn)行端口聚合，增加鏈路帶寬，縮短故障收斂時(shí)間。

在傳統(tǒng)的網(wǎng)絡(luò)拓?fù)渲幸话銜?huì)使用雙鏈路上連的方式（如圖2）實(shí)現(xiàn)網(wǎng)絡(luò)的冗余，這種方式會(huì)產(chǎn)生環(huán)路，必須開(kāi)啟生成樹(shù)協(xié)議，這時(shí)會(huì)有一種鏈路是block狀態(tài)的，所以這種方式實(shí)現(xiàn)冗余并不會(huì)增加網(wǎng)絡(luò)帶寬。而VPC技術(shù)則允許下行設(shè)備通過(guò)port channel跨兩個(gè)不同的上行設(shè)備，部署方式如圖3所示，所有互聯(lián)鏈路進(jìn)行負(fù)載分擔(dān)，鏈路利用率100%（全部active，沒(méi)有Block），同時(shí)，在鏈路故障時(shí)，實(shí)現(xiàn)流量自動(dòng)切換，快速收斂。VPC技術(shù)本地生效，對(duì)鏈路對(duì)端設(shè)備沒(méi)有特殊要求，易于部署。

3.2 VDC（Virtual Device Context）

VDC技術(shù)可將一臺(tái)物理交換機(jī)物理分區(qū)為各自獨(dú)立的邏輯交換機(jī)，如可將核心交換機(jī)虛擬成2臺(tái)邏輯交換機(jī)，虛擬出的VDC具有獨(dú)立的容錯(cuò)能力和管理接口，可以分配獨(dú)立的地址，擁有各自獨(dú)立的接口資源管理。VDC可虛擬出獨(dú)立的控制面，如OSPF協(xié)議、BGP協(xié)議等，所有軟件協(xié)議均以VDC為單位進(jìn)行維護(hù)和控制。另外虛擬出的VDC還可以用來(lái)滿足異地計(jì)算資源的跨域互通。

另外，通過(guò)路由策略將需要特殊防護(hù)的用戶(hù)流量穿過(guò)業(yè)務(wù)防火墻，大大提高業(yè)務(wù)數(shù)據(jù)的安全性。

出口網(wǎng)絡(luò)區(qū)

出口路由器上行采用主備鏈路口字型與上聯(lián)網(wǎng)絡(luò)的匯聚路由器連接，下行也采用主備鏈路口字型與防火墻互聯(lián)，兩臺(tái)出口路由器與上聯(lián)網(wǎng)絡(luò)的匯聚路由器之間使用BGP路由協(xié)議；兩臺(tái)出口路由器之間鏈路采用二層trunk互通，兩臺(tái)設(shè)備之間下行對(duì)應(yīng)互聯(lián)網(wǎng)邊界防火墻配置VRRP（Virtual Router Redundancy Protocol）協(xié)議；為了更好的降低業(yè)務(wù)中斷時(shí)間，需要對(duì)VRRP配置相關(guān)的跟蹤接口進(jìn)行切換主備模式，實(shí)現(xiàn)故障時(shí)自動(dòng)切換。另外，通過(guò)部署防火墻有效提高出入口流量的安全。

業(yè)務(wù)網(wǎng)絡(luò)區(qū)

業(yè)務(wù)網(wǎng)絡(luò)區(qū)主要部署滿足業(yè)務(wù)系統(tǒng)的事務(wù)處理類(lèi)型應(yīng)用要求的服務(wù)器，一般要求配置處理能力較強(qiáng)的刀片服務(wù)器，并使用虛擬化引擎，以實(shí)現(xiàn)資源快速和靈活調(diào)度。同時(shí)，可根據(jù)各應(yīng)用系統(tǒng)自身安全防護(hù)的需求，將服務(wù)器進(jìn)一步分為核心生產(chǎn)區(qū)、測(cè)試區(qū)、接入維護(hù)區(qū)、內(nèi)部互聯(lián)區(qū)等安全域。

存儲(chǔ)網(wǎng)絡(luò)區(qū)

存儲(chǔ)網(wǎng)絡(luò)區(qū)包括基于IP的云存儲(chǔ)網(wǎng)絡(luò)和FC-SAN的集中式存儲(chǔ)。其中，基于IP的云存儲(chǔ)網(wǎng)絡(luò)能夠?yàn)樘摂M機(jī)和物理機(jī)等計(jì)算資源提供分布式文件存儲(chǔ)資源和日志詳單類(lèi)存儲(chǔ)資源；基于FC-SAN的集中式存儲(chǔ)能夠?yàn)樘摂M機(jī)和物理機(jī)等計(jì)算資源提供較高I/O性能的塊存儲(chǔ)資源，以滿足業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)存儲(chǔ)的需求。

管理網(wǎng)絡(luò)區(qū)

管理網(wǎng)絡(luò)區(qū)部署網(wǎng)管接口交換機(jī)，主要實(shí)現(xiàn)資源池內(nèi)部管理，所有的被管理設(shè)備都需要獨(dú)立的管理網(wǎng)絡(luò)，以實(shí)現(xiàn)設(shè)備的管理、調(diào)度、監(jiān)控。所有接入層設(shè)備的配置管理均可在管理匯聚交換機(jī)上實(shí)現(xiàn)，極大的減少了數(shù)據(jù)中心設(shè)備的管理節(jié)點(diǎn)（為傳統(tǒng)方式的1/10）。在布線上，實(shí)現(xiàn)了機(jī)架間一次布線，后期的布線維護(hù)只需要在機(jī)架內(nèi)進(jìn)行，大大降低了布線工作量，便于維護(hù)。這是傳統(tǒng)的接入方式無(wú)法實(shí)現(xiàn)的。

四、典型業(yè)務(wù)流走向分析

圖4 典型業(yè)務(wù)流走向示意圖

1、表示通過(guò)出口路由器的流量；2、表示通過(guò)出口路由器的明細(xì)的公網(wǎng)ip地址段路由，交互至邊界防火墻；3、表示互聯(lián)邊界防火墻通過(guò)相關(guān)策略控制、查詢(xún)NAT轉(zhuǎn)化表后將流量交互至核心交換機(jī)；4、表示核心交換機(jī)查詢(xún)路由表表轉(zhuǎn)發(fā)至與防火墻互聯(lián)的子接口；5、表示業(yè)務(wù)防火墻經(jīng)過(guò)IPS入侵檢測(cè)再將流量轉(zhuǎn)發(fā)至相應(yīng)的器（特殊客戶(hù)的服務(wù)器網(wǎng)關(guān)在業(yè)務(wù)防火墻上）。

五、結(jié)論

隨著數(shù)據(jù)中心業(yè)務(wù)的不斷豐富，VDC的建設(shè)需求將越來(lái)越多，組網(wǎng)方式也將更加多樣，從而使得虛擬化技術(shù)的優(yōu)勢(shì)得到進(jìn)一步發(fā)揮，可以預(yù)見(jiàn)，未來(lái)虛擬化數(shù)據(jù)中心將是云計(jì)算產(chǎn)業(yè)發(fā)展的新驅(qū)動(dòng)力。

作者簡(jiǎn)介：袁荔芬，中級(jí)工程師，通信項(xiàng)目設(shè)計(jì)師，主要從事數(shù)據(jù)、核心網(wǎng)工程設(shè)計(jì)工作。

聯(lián)系方式：電 話：13951856203

郵 箱：13951856203@139.cn

通信地址：江蘇省郵電規(guī)劃設(shè)計(jì)院有限責(zé)任公司南京市建鄴區(qū)楠溪江東街58號(hào) 210019