查中泉，陶 偉，葉 楊

（廣州杰賽科技股份有限公司，廣州 510310）

目前，包括浙江移動、廣東移動和多地的移動公司都已經(jīng)啟動了系統(tǒng)云化應(yīng)用項目的改造。在經(jīng)過多年的集中建設(shè)之后，很多運(yùn)營商也基本形成了以B/O/M 系統(tǒng)為基礎(chǔ)的IT 支撐體系，以便更好地承擔(dān)企業(yè)運(yùn)營的任務(wù)。但是這些系統(tǒng)都不能夠在網(wǎng)絡(luò)安全防護(hù)的過程中發(fā)揮更好的作用，所以為了更好地適應(yīng)整體業(yè)務(wù)的發(fā)展需要，尤其需要就業(yè)務(wù)支撐網(wǎng)資源池改造的方案進(jìn)行全面的研究。

1 原本整體架構(gòu)的結(jié)構(gòu)

以現(xiàn)有的網(wǎng)絡(luò)資源為基礎(chǔ)，來充分構(gòu)建某運(yùn)營商核心機(jī)房資源池二層數(shù)據(jù)中心網(wǎng)絡(luò)。在這過程中勢必要新增或替換一些設(shè)備。另外，也可以通過有效地使用虛擬網(wǎng)絡(luò)分組技術(shù)在有限的資源池內(nèi)部劃分獨(dú)立的邏輯領(lǐng)域，并在之后建立一個安全的資源池。尤其需要注意在互聯(lián)網(wǎng)的接口處增加三個獨(dú)立的子域，之后才能夠更好地進(jìn)行分類隔離和防護(hù)。另外，還需要另外開發(fā)兩類設(shè)備來測試子域新增敏感數(shù)據(jù)和子域和生產(chǎn)系統(tǒng)之間的關(guān)系。原本整體框架如圖1所示。

圖1 原本框架結(jié)構(gòu)

2 改造后框架

雖然原有的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)架構(gòu)確實能夠在使用的過程中發(fā)揮相關(guān)的作用，但是卻沒有辦法對虛擬化資源池中的資源、物理資源和他其他基本粒度進(jìn)行有效的控制。因此，在后續(xù)結(jié)構(gòu)的改造過程中，可以通過在八樓資源池內(nèi)部增加兩臺核心交換機(jī)，之后在替換掉原有的2臺華為數(shù)據(jù)中心級的交換機(jī)，方便其更好地運(yùn)用虛擬化的技術(shù)，也給后續(xù)設(shè)備的維護(hù)提供了方便[1]。新增加的交換機(jī)一方面可以支持VxLAN 功能，另外一方面也能夠?qū)崿F(xiàn)不同VxLAN 結(jié)構(gòu)的互通。

在內(nèi)部的框架被改造之后，整個資源池內(nèi)部將被劃分成若干個核心的領(lǐng)域，以便更好地接入專業(yè)的子域和安全管理的子域內(nèi)部。另外，可以將現(xiàn)網(wǎng)測試區(qū)域內(nèi)部的內(nèi)容劃分到資源子域內(nèi)部，再將4A 和SMP 的系統(tǒng)更好地劃分到安全管理的領(lǐng)域內(nèi)部。這樣也就能夠更好地實現(xiàn)各個子域之間的安全防護(hù)和控制。

3 改造后各個子域流量訪問變化

在被改造之后，各個子域內(nèi)部流量的訪問結(jié)果如下：第一，核心和接入資源子域的南北流向都會因此出現(xiàn)在物理防火墻的入口，之后再對其流量進(jìn)行有效地防護(hù)和控制。第二，在被改造之后，所有域名之間的流量都需要通過專業(yè)的子域來更好地實現(xiàn)全面調(diào)度和訪問，并在之后有效地結(jié)合位于安全資源池內(nèi)部的防火墻來進(jìn)行安全隔離和有效防護(hù)。第三，在改造之后，即便處于同一域名內(nèi)部的VxLAN 業(yè)務(wù)主要可以通過兩種隔離的方式來進(jìn)行。一方面可以借助VxLAN 內(nèi)部的網(wǎng)管來隔離業(yè)務(wù)。另外一方面，也可以通過域名內(nèi)部VxLAN 三層網(wǎng)關(guān)和虛擬防火墻來全面進(jìn)行隔離和防護(hù)，并在之后取得更好的效果。

在使用的過程中，可以將整個網(wǎng)絡(luò)分成underlay 網(wǎng)絡(luò)和overlay 網(wǎng)絡(luò)。這樣兩個網(wǎng)絡(luò)本身都承載著不同的業(yè)務(wù)。在不同域名間采用不同的域間流量來全面進(jìn)行調(diào)度。并以虛擬網(wǎng)絡(luò)分組技術(shù)來更好地進(jìn)行安全防護(hù)，以便讓所有的業(yè)務(wù)能夠更好地被隔離開來。

4 網(wǎng)絡(luò)規(guī)劃方案

4.1 VxLAN 規(guī)劃

整個平臺需要根據(jù)用戶業(yè)務(wù)和虛擬機(jī)的類型在做出最全面的規(guī)劃。一般而言，只針對物理主機(jī)的VxLAN 規(guī)劃相對非常簡單。都可以將相同的角色劃歸到同一個VxLAN 內(nèi)部。如果10臺祝你內(nèi)部都有WEB 服務(wù)器，那么則需要及時將這10臺主機(jī)都劃分在VxLAN 的內(nèi)部，這樣才能夠有效地使得業(yè)務(wù)更好地響應(yīng)和循環(huán)。

因為現(xiàn)在虛擬機(jī)內(nèi)部出現(xiàn)的方案都是由虛擬交換機(jī)產(chǎn)生的。只有這樣，相鄰的交換機(jī)就會因此對應(yīng)到不同的虛擬機(jī)內(nèi)部，并產(chǎn)生不同類型的VxLAN 信號。大家在使用的過程中可以通過分析不同類型的VLAN 信號來制定針對性的網(wǎng)絡(luò)策略。如果正好所有的業(yè)務(wù)都位于同一個中心內(nèi)，則需要相同的業(yè)務(wù)和相同的VxLAN 相互聯(lián)系起來，這樣才能夠?qū)⑽挥谕恢行牡姆?wù)器有效地放置入同一個VxLAN 內(nèi)部。這樣就能夠讓虛擬機(jī)有效地進(jìn)行遷移。

4.2 SDN 控制平臺規(guī)劃

可以將標(biāo)準(zhǔn)的x86平臺和VxLAN 云主控同時實現(xiàn)有效地部署，這樣才能夠使得集群設(shè)計的規(guī)模達(dá)到最大，并使得整個集合都變得更加可靠和高效。被設(shè)計好的集群一般能夠同時管理5個硬件網(wǎng)關(guān)，并結(jié)合包括100個服務(wù)鏈接點(diǎn)，最終就能夠?qū)崿F(xiàn)混合性的部署[2]。vSwitch 軟件能夠在使用的過程中同時管理64顆CPU，并更好地實現(xiàn)與虛擬平臺的友好對接。相關(guān)的物理主機(jī)也就能夠和虛擬機(jī)器更好地結(jié)合在一起，并最終融入overlay 網(wǎng)絡(luò)內(nèi)部。

4.3 IP 地址的規(guī)劃

整個IP 地質(zhì)規(guī)劃主要由以下諸多方面組成，具體分類如下：

（1）地址分配原則。尤其需要有效按照聚合原則來分配地址，這樣才能夠在之后更好地實現(xiàn)高效地聚合，從而縮小路由表的規(guī)模。

（2）內(nèi)部網(wǎng)絡(luò)的IP 分配原則。在針對內(nèi)部網(wǎng)絡(luò)分配IP 地址時，需要先分析不同的安全等級，之后將其分配到不同類別的資源池內(nèi)部。另外，也需要將不同的資源池分配到不同的IP 地址內(nèi)部。如果需要將同一資源池內(nèi)的IP 地址有效地配合業(yè)務(wù)發(fā)展時，則需要配合使用VSLM 技術(shù)和CIDR 技術(shù)，這樣才能夠有效地節(jié)約IP 地址使用的空間。

（3）內(nèi)部私有IP 地址的原則。在內(nèi)部分配私有IP 地址的過程中，尤其需要根據(jù)VLAN 和業(yè)務(wù)內(nèi)容的不同來有效地分配到不同類型的地址段中，并將IP 地址更好地預(yù)留下來，以便在后續(xù)更好地擴(kuò)展IP 地址。必要時則需要在防火墻內(nèi)部有效地轉(zhuǎn)換IP 地址，這樣才能夠最終形成專一的IP 地址池。

5 結(jié)束語

只有通過有效地改造以支撐網(wǎng)為基礎(chǔ)的資源池，才能夠在各個子域之間來更好地布置獨(dú)立的安全設(shè)備，最終對東西的流向更好地進(jìn)行全方位的防護(hù)。必要時可以將組織內(nèi)部不必要的虛擬資源得以遷移出去。