摘 要：企業(yè)構(gòu)建私有云平臺時會綜合考慮解決方案是否可以基于企業(yè)現(xiàn)有IT設(shè)施進(jìn)行部署與優(yōu)化、是否可以降低運(yùn)營成本、網(wǎng)絡(luò)安全性能否達(dá)到更高級別等因素，虛擬私有云可較好實(shí)現(xiàn)。本文基于云計(jì)算與VPN等理論，構(gòu)建了基于VPLS的企業(yè)級VPC架構(gòu)，重點(diǎn)闡述在VPC部署實(shí)驗(yàn)中引入VPN控制器技術(shù)解決通過VPLS自動構(gòu)建與重構(gòu)VPN的方法，通過與傳統(tǒng)VPN的比較，得出基于VPLS的VPC可有效改善VPN性能、提高安全性的結(jié)論。

關(guān)鍵詞：虛擬私有云架構(gòu)；虛擬專用局域網(wǎng)服務(wù)；云計(jì)算；VPN構(gòu)建

中圖分類號：TP393.1

面向智慧校園和企業(yè)實(shí)際應(yīng)用的內(nèi)外網(wǎng)互轉(zhuǎn)技術(shù)中，VPN（Virtual Private Network，虛擬專用網(wǎng)）技術(shù)應(yīng)用非常廣泛，它可以實(shí)現(xiàn)跨網(wǎng)絡(luò)、跨平臺、跨地域的高效互通和資源共享。企業(yè)與學(xué)校搭建私有VPN平臺，可以最大程度的保持現(xiàn)有網(wǎng)絡(luò)，降低網(wǎng)絡(luò)優(yōu)化門檻和運(yùn)營成本，有效實(shí)現(xiàn)企業(yè)和學(xué)校內(nèi)現(xiàn)有基礎(chǔ)網(wǎng)絡(luò)設(shè)施與體系的高度融合。虛擬私有云有著與虛擬專用網(wǎng)相似的概念和技術(shù)思路，在現(xiàn)有云平臺基礎(chǔ)上，建立跨越內(nèi)部云平臺和外部云平臺的連接通道，實(shí)現(xiàn)跨服務(wù)提供商、跨平臺的靈活、高效、安全的互聯(lián)互通。本文將VPN與云計(jì)算技術(shù)相結(jié)合，構(gòu)建基于VPLS的虛擬私有云網(wǎng)絡(luò)框架，實(shí)現(xiàn)面向智慧校園與企業(yè)應(yīng)用的虛擬私有云，并將其在鹽城工業(yè)職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)中進(jìn)行部署，驗(yàn)證本文所提方案的正確性與適用性。

1 相關(guān)技術(shù)與原理

1.1 虛擬私有云

云計(jì)算概念在2007年Google公司的一個內(nèi)部項(xiàng)目中被提出，因?yàn)槠淅砟畹膭?chuàng)新，受到諸多IT企業(yè)的關(guān)注，并投入大量資金開展應(yīng)用研究。云計(jì)算的概念至今未有確切定義，目前廣泛認(rèn)可的是美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會（NIST）給出的定義：云計(jì)算是一種按使用量付費(fèi)的模式，該模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互[1]。NIST對云計(jì)算的基本特征、服務(wù)模式和部署模型也進(jìn)行說明，認(rèn)為云計(jì)算從所提供的服務(wù)模式，可分為三種方式：軟件即服務(wù)（Software as a Service，SaaS）、平臺即服務(wù)（Platform as a Service，PaaS）和基礎(chǔ)設(shè)施即服務(wù)（Infrastructure as a Service，IaaS）[2]。從部署方式上可將其分為公有云、私有云、社區(qū)云和混合云等[4]。

2009年，亞馬遜Web服務(wù)提出了一種新型的云計(jì)算部署模型：虛擬私有云（Virtual Private Cloud，VPC）。它是公有云與私有云的結(jié)合體，將企業(yè)現(xiàn)有IT基礎(chǔ)設(shè)施與亞馬遜EC2公有云服務(wù)進(jìn)行整合，企業(yè)IT技術(shù)人員通過VPN將企業(yè)數(shù)據(jù)中心（內(nèi)部云）與亞馬遜的公眾服務(wù)計(jì)算機(jī)資源池（外部云）連接起來，將企業(yè)的加密需求與亞馬遜的安全混合云服務(wù)有效整合，使VPC兼?zhèn)渌接性婆c公有云兩者安全、靈活等優(yōu)點(diǎn)，構(gòu)建安全、廉價的企業(yè)級私有云應(yīng)用平臺。

我校近些年基于云計(jì)算構(gòu)建了多種類型的云平臺，推出了多種形式的云應(yīng)用，完成我校一些基本的云計(jì)算和存儲任務(wù)。本文研究內(nèi)容采用IaaS服務(wù)模式，引入VPN思想，基于VPN的虛擬專用局域網(wǎng)服務(wù)（Virtual Private LAN Service，VPLS）構(gòu)建企業(yè)級的虛擬私有云平臺。

1.2 虛擬專用網(wǎng)

虛擬專用網(wǎng)（VPN）是指在公共電信網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，通過使用隧道技術(shù)和安全技術(shù)在用戶成員之間提供安全可靠的通信[5]。虛擬專用網(wǎng)是使邏輯上安全隔離的用戶能夠在物理上共用同一網(wǎng)絡(luò)，依托ISP提供的通信鏈路，將分散的用戶接入企業(yè)內(nèi)部私有網(wǎng)絡(luò)，實(shí)現(xiàn)安全的遠(yuǎn)程或移動訪問，是目前企事業(yè)單位實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)網(wǎng)絡(luò)互聯(lián)、資源互用的主要方式，特別是在強(qiáng)調(diào)移動辦公的當(dāng)下，VPN成為了構(gòu)建移動辦公網(wǎng)絡(luò)應(yīng)用的首選技術(shù)。另外，VPN網(wǎng)絡(luò)構(gòu)建不需要架設(shè)專用線路，只需在現(xiàn)有ISP網(wǎng)絡(luò)基礎(chǔ)和企事業(yè)單位現(xiàn)有IT設(shè)施基礎(chǔ)上建設(shè)，成本較低。

多協(xié)議標(biāo)記交換（MPLS）VPN技術(shù)可向VPN連接用戶發(fā)布跨網(wǎng)絡(luò)與平臺的不同QoS等級、地址空間利用等區(qū)別于傳統(tǒng)VPN的連接服務(wù)。MPLS VPN有二層和三層兩種模型，兩者各有優(yōu)缺點(diǎn)，實(shí)際使用時需要ISP根據(jù)用戶需要、運(yùn)營成本、服務(wù)質(zhì)量、網(wǎng)絡(luò)現(xiàn)狀、網(wǎng)絡(luò)后續(xù)規(guī)劃等進(jìn)行綜合考慮與分析。本文網(wǎng)絡(luò)框架基于二層MPLS VPN網(wǎng)絡(luò)，實(shí)現(xiàn)虛擬私有局域網(wǎng)服務(wù)（VPLS），通過構(gòu)建虛擬局域交換網(wǎng)，實(shí)現(xiàn)基于用戶路由MAC地址的客戶端數(shù)據(jù)存儲轉(zhuǎn)發(fā)。

2 架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)

基于VPLS的虛擬私有云網(wǎng)絡(luò)框架設(shè)計(jì)原則主要有：（1）不同用戶間網(wǎng)絡(luò)連接可以有效、安全隔離；（2）基于底層網(wǎng)絡(luò)對用戶的透明特性，簡化用戶管理流程，提高系統(tǒng)安全性；（3）用戶的分散性與資源的集中性相結(jié)合，提高資源利用率，便于網(wǎng)絡(luò)部署與管理；（4）滿足用戶的個性需求，提高系統(tǒng)自主性；（5）保持系統(tǒng)的高擴(kuò)展性，為網(wǎng)絡(luò)擴(kuò)容提供接口；（6）基于現(xiàn)有網(wǎng)絡(luò)與設(shè)施構(gòu)建網(wǎng)絡(luò)，節(jié)約成本。

基于上述原則，我們設(shè)計(jì)構(gòu)建了基于VPLS的VPC網(wǎng)絡(luò)框架，如圖1所示。企業(yè)和用戶都通過租用ISP提供的VPN實(shí)現(xiàn)與公有云的數(shù)據(jù)連接，云服務(wù)提供商為企業(yè)數(shù)據(jù)中心提供多個虛擬機(jī)，并將虛擬機(jī)通過VLAN技術(shù)進(jìn)行安全有效的互通與隔離，構(gòu)建基于VPLS的企業(yè)級云端（云計(jì)算、云存儲）虛擬私有云平臺。企業(yè)通過VPN實(shí)現(xiàn)企業(yè)私有云平臺的管理與維護(hù)，用戶通過ISP提供的VPN連接企業(yè)加密的虛擬私有云完成連接、創(chuàng)建與管理工作。

3 VPN部署實(shí)驗(yàn)

為了檢驗(yàn)上文網(wǎng)絡(luò)架構(gòu)的正確性與適用性，我們在鹽城工業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)中心進(jìn)行了基于圖1所示VPC網(wǎng)絡(luò)架構(gòu)的VPN部署實(shí)驗(yàn)。VPN系統(tǒng)的部署主要基于注重網(wǎng)絡(luò)安全、云端與現(xiàn)有基礎(chǔ)設(shè)施無縫融合、結(jié)點(diǎn)的動態(tài)配置等原則實(shí)施，技術(shù)層面上的部署難點(diǎn)主要是VPN結(jié)點(diǎn)的動態(tài)自動配置。

3.1 VPN結(jié)點(diǎn)自動配置

在VPN自動配置的技術(shù)攻關(guān)中，我們借鑒文獻(xiàn)[2]引入了集中式的VPN控制器技術(shù)，極大提高了VPN自動配置效率，提升了企業(yè)VPC的靈活度，降低了網(wǎng)絡(luò)管理的復(fù)雜度。VPN控制器能夠?qū)崿F(xiàn)與VPC中所有站點(diǎn)的BGP會話，維護(hù)VPLS結(jié)點(diǎn)間的連接配置關(guān)系。VPN控件器以集中的方式控制VPLS結(jié)點(diǎn)間的隧道連接，確保用戶VPN資源與其他用戶與網(wǎng)絡(luò)的安全有效隔離。

當(dāng)需要在VPC資源池中增加一個資源結(jié)點(diǎn)時，首先，需要選定與資源結(jié)點(diǎn)有效連接的ISP提供的邊緣路由器（此路由器中存放著與當(dāng)前所屬VPN關(guān)聯(lián)的虛擬路由轉(zhuǎn)發(fā)表，路由轉(zhuǎn)發(fā)表通過一個個關(guān)聯(lián)的特殊路由標(biāo)識區(qū)分所屬的VPN）；然后，云平臺的每個資源結(jié)點(diǎn)都需要向VPN控制器發(fā)布自己的路由標(biāo)識，VPN控制器根據(jù)所接收到的路由標(biāo)識動態(tài)將其分配關(guān)聯(lián)到相應(yīng)的企業(yè)VPC所屬的VPN中。最后，VPN控制器通過BGP協(xié)議將重構(gòu)后的路由配置信息傳回給與新增加資源結(jié)點(diǎn)相連接的VPN邊緣路由器，VPN網(wǎng)絡(luò)的任何拓?fù)浣Y(jié)構(gòu)改變都可通過集中式的VPN控制器得到快速、合理、有效重構(gòu)與配置。

這個技術(shù)可以改變傳統(tǒng)VPN網(wǎng)絡(luò)中增加結(jié)點(diǎn)時需要人工路由配置與網(wǎng)絡(luò)維護(hù)的情況，方便VPN網(wǎng)絡(luò)的拓展與重構(gòu)，有效提高工作效率，節(jié)約成本。

3.2 VPC部署測試

我們將基于VPLS的虛擬私有云框架在鹽城工業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)中心進(jìn)行了部署與測試，并將相關(guān)研究成果應(yīng)用到測試中。

本次測試服務(wù)器采用的是聯(lián)想RD650（Xeon E5-2609 V3），測試主機(jī)采用的是聯(lián)想TD350（Xeon E5-2609 v3）；測試使用的虛擬化平臺為VMware公司的產(chǎn)品VMware vSphere 5.0，服務(wù)器安裝VMware CenterServer 5.0，測試主機(jī)安裝VMware ESX 5.0。采用IBM公司的IBM SmartCloud Foundation為私有云平臺。采用DELL公司的開源數(shù)據(jù)庫性能測試工具DVD Store V2為測試軟件，實(shí)際模擬數(shù)據(jù)庫使用過程，通過測試數(shù)據(jù)內(nèi)存被改寫的速度檢測平臺網(wǎng)絡(luò)性能。利用網(wǎng)絡(luò)測試工具，對VPN網(wǎng)絡(luò)的NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議）、XWindow、Http和Gopher等進(jìn)行了測試與比對。

通過對傳統(tǒng)VPN部署與基于虛擬私有云VPN部署的網(wǎng)絡(luò)運(yùn)行效率與效果的比較，我們發(fā)現(xiàn)，基于VPLS的VPC框架下的VPN網(wǎng)絡(luò)中因?yàn)閂PN控制器技術(shù)的應(yīng)用，表現(xiàn)得效率更高、成本更低、網(wǎng)絡(luò)更安全，在網(wǎng)絡(luò)結(jié)點(diǎn)自動配置方面優(yōu)勢明顯。

4 結(jié)束語

云計(jì)算被譽(yù)為最值得期待的技術(shù)革命，企事業(yè)單位根據(jù)企業(yè)現(xiàn)有IT基礎(chǔ)設(shè)施基礎(chǔ)，構(gòu)建適合自身業(yè)務(wù)發(fā)展需求的虛擬私有云平臺，基于VPN實(shí)現(xiàn)遠(yuǎn)程和移動辦公，已成為信息技術(shù)發(fā)展的必然。本文借鑒VPN的思想，提出的基于VPLS的VPC網(wǎng)絡(luò)架構(gòu)，可有效解決企業(yè)基于現(xiàn)有設(shè)施優(yōu)化網(wǎng)絡(luò)配置、降低運(yùn)營成本的實(shí)際需求。后續(xù)研究中，我們將對基于本文所述VPC框架構(gòu)建VPN的安全性、QoS、網(wǎng)絡(luò)拓?fù)浜涂蓴U(kuò)展性等問題開展進(jìn)一步研究。

參考文獻(xiàn)：

[1]Peter Mell，Timothy Grance.The NIST Definition of Cloud Computing.NIST SP 800-145，2011：7.

[2]丁靖宇，樂嘉錦，金耀輝.基于VPN實(shí)現(xiàn)企業(yè)虛擬私有云的體系架構(gòu)[J].計(jì)算機(jī)應(yīng)用與軟件，2011（08）：212-215+264.

[3]徐小龍，涂群，BESSIS Nik.SATVPC：Secure-agent-based trustworthy virtual private cloud model in open computing environments[J].Journal of Central South University，2014（08）：3186-3196.

[4]馮英才.基于VPN的IaaS云接入系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].中山大學(xué)，2012.

[5]J.C.Snader.“VPNs Illustrated： Tunnels，VPNs， and IPSec”，Addison-wesley，2005.

作者簡介：顧大明（1979-），男，江蘇鹽城人，講師，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)、云計(jì)算應(yīng)用。

作者單位：鹽城工業(yè)職業(yè)技術(shù)學(xué)院 機(jī)電工程學(xué)院，江蘇鹽城 224005

基金項(xiàng)目：本文系鹽城工業(yè)職業(yè)技術(shù)學(xué)院2014年校級科研立項(xiàng)課題（項(xiàng)目編號：ygy1411）階段研究成果之一。