張文迪+趙政+高潮

摘要近年來，隨著云計算、虛擬化技術(shù)的引入和網(wǎng)絡(luò)安全防護要求的持續(xù)提升，原有的網(wǎng)絡(luò)安全域劃分和安全防護能力已不能適應(yīng)業(yè)務(wù)發(fā)展的需要，需要通過本次業(yè)務(wù)支撐網(wǎng)資源池改造專項工作，實現(xiàn)軟硬分離、硬件通用化、功能軟件化、網(wǎng)絡(luò)扁平化、新功能可快速部署、基礎(chǔ)資源虛擬化、資源可動態(tài)平滑擴展等能力。擬討論業(yè)務(wù)支撐云資源池安全域改造方案，主要實現(xiàn)云計算資源池的安全改造。

關(guān)鍵詞資源池虛擬化安全域；改造

針對省內(nèi)大數(shù)據(jù)虛擬化資源池、4A及SMP資源池、客服及BOMC資源池和開發(fā)測試資源池的網(wǎng)絡(luò)改造需求主要包括：1）劃分不同安全域，各域之間補充部署獨立的接入設(shè)備和安全防護設(shè)備；2）東西向流量做到相應(yīng)的安全防護；3）對不符合集中分組要求的已運行虛擬資源，評估業(yè)務(wù)影響后，組織進(jìn)行必要的資源遷移。

1建設(shè)方案

1.1整體架構(gòu)

建設(shè)架構(gòu)如圖1所示。

基于現(xiàn)網(wǎng)資源，采用新增和替換設(shè)備的方式構(gòu)建8樓資源池二層數(shù)據(jù)中心網(wǎng)絡(luò)，使用虛擬網(wǎng)絡(luò)分組技術(shù)在資源池內(nèi)劃分獨立的邏輯子域，新建NFV安全資源池，域間安全隔離采用物理或者邏輯上進(jìn)行域間安全防護；在互聯(lián)網(wǎng)接口子域內(nèi)部新增三類獨立子域，進(jìn)行分類隔離防護；開發(fā)測試子域新增敏感數(shù)據(jù)脫敏檢查設(shè)備，開發(fā)測試子域與生產(chǎn)系統(tǒng)之間新增防繞行檢測設(shè)備。

1.2具體改造方案

由于現(xiàn)網(wǎng)絡(luò)設(shè)備和架構(gòu)無法對虛擬化資源池資源、物理資源和邏輯子域?qū)嵤┗玖６鹊脑L問控制策略，故在八樓資源池新增2臺核心交換，替換現(xiàn)網(wǎng)2臺華為S9312為數(shù)據(jù)中心級交換機，采用虛擬化技術(shù)，簡化網(wǎng)絡(luò)結(jié)構(gòu)、方便設(shè)備維護并提供安全保障。新增交換機支持VxLAN功能，實現(xiàn)不同VxLAN之間的三層互通，及VxLAN與VLAN之間的三層互通。

替換后的接入交換機做為VxLAN二層網(wǎng)關(guān)，實現(xiàn)相同VxLAN之間的二層互通，通過10GE鏈路上聯(lián)至新增核心交換機，服務(wù)器通過10GE鏈路上聯(lián)至接入交換機。新增核心交換機做為VxLAN三層網(wǎng)關(guān)。

八樓資源池虛擬化平臺部署vSwitch，每臺物理主機需部署一個vSwitch做為虛擬機的接入交換機，vSwitch結(jié)合VxLAN網(wǎng)絡(luò)做二層網(wǎng)關(guān)，對Ⅷ做邏輯劃分，實現(xiàn)報文封裝解封裝。

八樓安全管理子域內(nèi)新增NFV的安全資源池（支持X86架構(gòu)）。采用虛擬防火墻功能實現(xiàn)東西向流量的邏輯安全防護。

改造后，資源池內(nèi)部劃分成核心資源子域、接入資源子域和安全管理子域。現(xiàn)網(wǎng)測試區(qū)劃分至接入資源子域，4A和SMP系統(tǒng)劃分至安全管理子域中，其他業(yè)務(wù)系統(tǒng)劃分成核心資源子域。采用VxLAN實現(xiàn)各子域間的安全防護和訪問管控。

改造后各子域流量訪問如下描述：1）現(xiàn)網(wǎng)改造后核心資源子域和接入資源子域南北向流量通過現(xiàn)網(wǎng)出口物理防火墻進(jìn)行流量的控制與防護；2）改造后域間流量必須通過安全管理子域的調(diào)度實現(xiàn)預(yù)間訪問，采用VxLAN和安全資源池內(nèi)的虛擬防火墻進(jìn)行安全隔離或防護；3）改造后同一域內(nèi)不同VxLAN業(yè)務(wù)流隔離方式有2種，根據(jù)不同業(yè)務(wù)配置不同的策略，第一種是通過VxLAN三層網(wǎng)關(guān)實現(xiàn)業(yè)務(wù)隔離，第二種是域內(nèi)流經(jīng)過VxLAN三層網(wǎng)關(guān)和安全資源池內(nèi)的虛擬防火墻進(jìn)行安全隔離或防護。

整個網(wǎng)絡(luò)分為underlay網(wǎng)絡(luò)和overlay網(wǎng)絡(luò)，把各域分配到不同的overlay網(wǎng)絡(luò)，承載不同域業(yè)務(wù)，從邏輯網(wǎng)絡(luò)層面劃分安全域。域間流量控制通過SDN流量調(diào)度，采用虛擬網(wǎng)絡(luò)分組技術(shù)實現(xiàn)安全防護，保障業(yè)務(wù)安全隔離。

2網(wǎng)絡(luò)規(guī)劃方案

2.1IP地址規(guī)劃

1）IP地址分配基本分為以下兩大類。網(wǎng)絡(luò)地址：包括網(wǎng)絡(luò)互聯(lián)地址（點對點鏈路或其他鏈路地址）、網(wǎng)絡(luò)設(shè)備本身地址（三層設(shè)備LOOPBACK地址和二層設(shè)備管理地址）；業(yè)務(wù)地址：包括內(nèi)部私網(wǎng)地址、對外服務(wù)公網(wǎng)IP地址，如虛擬主機地址、物理主機地址、存儲設(shè)備地址等。

2）地址分配原則。地址按照地址聚合原則分片分配，盡量做到地址高效聚合，減少路由表規(guī)模。

3）內(nèi)私網(wǎng)IP地址分配原則。根據(jù)不同的安全等級劃分到不同的資源池，不同的資源池分配不同的IP地址段；考慮到業(yè)務(wù)發(fā)展需要同一資源池內(nèi)的IP地址分配時需要使用VSLM和CIDR技術(shù)用于擴展和節(jié)約IP地址使用。

4）對外服務(wù)公網(wǎng)IP地址分配原則。由于公網(wǎng)IP地址需求會少于內(nèi)部私網(wǎng)IP地址需求，公網(wǎng)IP地址分配原則建議采用類似城域網(wǎng)IP地址分配原則：（1）根據(jù)不同的業(yè)務(wù)系統(tǒng)分配不同的IP地址段；（2）同一中心的相同業(yè)務(wù)系統(tǒng)分配相同的IP地址段；（3）考慮到業(yè)務(wù)發(fā)展和擴展性，建議每段IP地址充分預(yù)留。

例如：對外服務(wù)的云計算根據(jù)用戶和業(yè)務(wù)統(tǒng)一規(guī)劃IP地址，包括業(yè)務(wù)地址、設(shè)備管理地址、設(shè)備互連地址、管理平臺地址等。

在內(nèi)部使用私有IP地址，根據(jù)VLAN和業(yè)務(wù)分配地址段，并進(jìn)行一定比例的預(yù)留，以便于擴展。對于有外網(wǎng)訪問需求的業(yè)務(wù)，在防火墻上進(jìn)行IP地址轉(zhuǎn)換，提供公網(wǎng)IP地址池。

2.2 VxLAN規(guī)劃

云平臺根據(jù)用戶業(yè)務(wù)類型統(tǒng)一規(guī)劃VxLAN，物理機及虛擬機VxLAN規(guī)劃如下。

針對物理主機的VxLAN規(guī)劃相對簡單。將承擔(dān)同樣角色的主機劃歸到一個VxLAN內(nèi)即可，如10臺主機都是WEB服務(wù)器，那么將這10臺主機劃在一個VxLAN內(nèi)，通過負(fù)載均衡設(shè)備實現(xiàn)業(yè)務(wù)響應(yīng)的輪循即可。

由于虛擬機的出現(xiàn)目前通用的方案是由虛擬交換機打VxLANtag，這樣到達(dá)鄰接交換機的數(shù)據(jù)流對應(yīng)不同虛擬機就由不同的VxLAN號了，根據(jù)VLAN號臨接交換機則可以進(jìn)行針對性的網(wǎng)絡(luò)策略配置。同一中心內(nèi)大的原則就是相同業(yè)務(wù)部署相同VxLAN。將位于兩中心的物理服務(wù)器規(guī)劃在同一VxLAN內(nèi)，則可以實現(xiàn)虛擬機的跨中心遷移了。

2.3 SDN控制平臺規(guī)劃

標(biāo)準(zhǔn)x86平臺部署和VxLAN云主控部署，支持集群設(shè)計最大32臺，具備高可靠和可用性。能夠管理5個VxLAN硬件網(wǎng)關(guān)，部署100個服務(wù)鏈節(jié)點；實現(xiàn)混合overlay部署（vSwitch虛擬化平臺部署和硬件部署），vSwitch管理64顆CPU，能與蘇研虛擬化平臺友好對接，提供物理主機和Ⅷ虛機同時接入overlay網(wǎng)絡(luò)。

3結(jié)論

通過支撐網(wǎng)資源池的改造，劃分不同安全域，各域之間補充部署獨立的接入設(shè)備和安全防護設(shè)備；對東西向流量做到相應(yīng)的安全防護；對不符合集中分組要求的已運行虛擬資源，組織進(jìn)行必要的資源遷移。