虚拟化数据中心组网方案浅析

【摘要】 随着云计算技术高速发展，传统意义上的网络建设在慢慢退出信息化的舞台，同样虚拟化技术在数据中心的建设中也得到越来越多的运用。本文对虚拟化数据中心组网原则进行了介绍，结合具体案例对虚拟化数据中心组网方案及典型业务流向进行了分析。

【关键词】 虚拟化数据中心 网络虚拟化 VPC VDC

一、前言

虚拟化数据中心（VDC）是将传统IDC与云计算技术相结合，应用虚拟化、自动化部署等技术构建的向用户提供服务的基础IT设施。VDC将虚拟化的基础设施如服务器、网络及存储设备作为服务提供，通过动态资源分配和调度，提高资源利用能力和服务可靠性。与传统数据中心相比，虚拟化数据中心在提升资源的利用率、加快业务部署能力、降低硬件设备成本和运营成本方面有着不可替代的优势。

二、虚拟化数据中心组网原则

2.1高安全性

按照数据中心业务功能和管理功能的要求，网络须进行分区设计，不同网络区域的安全策略明晰，并且明确不同网络区域之间的安全关系，单个区域进行安全策略实施不对其它区域造成影响。

2.2高可用性

组网结构设计最大限度的隔离故障域，简化数据传送路径，加快故障收敛时间。

2.3易扩展性

在出现新业务区需求的情况下，不改变原有网络结构，根据不同区域和层次的功能按需建设，业务部署灵活。

2.4易管理性

网络结构清晰，便于维护，故障定位和解决快速、灵活。

三、组网方案实例

随着虚拟化技术的不断成熟，虚拟化数据中心建设规模逐渐扩大。例如：某大型通信运营商为提高资源的利用率，拓展新的市场空间以及业务模式转变，启动了虚拟化数据中心建设，规划2个物理区域作为机房空间，总有效机柜100个左右，新增设备包括防火墙、交换机、路由器、负载均衡器等，其中防火墙为用户提供地址转换及网络安全相关服务，交换机/路由器/负载均衡器为用户提供组网能力和网络带宽。

按照虚拟数据中心业务功能和管理功能的规划，网络的设计采用分区的形式，一般可分为接入网络区、网络中心区、出口网络区、业务网络区、存储网络区、管理网络区：（图1）

接入网络区

专线接入交换机承担接入专线和传递路由流量的角色，相关的专线划分到对应的vlan，使得能够与专线接入防火墙能够正常通信；两台专线接入交换机之间互联配置为二层trunk，同时两台接入交换机与两台核心交换机口字型互联，且互联端口配置为三层接口ip用于隔离其他二层网络；另外，专线接入交换机与专线接入防火墙、核心交换机之间使用OSPF，使得核心交换机能够学习到专线网络的网段。

网络中心区

网络中心区包括核心交换机及业务防火墙，两台核心交换机之间运用虚拟化技术实现二层组网，虚拟化技术主要包括VPC（Virtual port―channe1）和VDC（Virtual Device Context）技术。

3.1 VPC（Virtual port―channe1）

VPC是一个可以跨不同设备的port-channel技术，跨设备进行端口聚合，增加链路带宽，缩短故障收敛时间。

在传统的网络拓扑中一般会使用双链路上连的方式（如图2）实现网络的冗余，这种方式会产生环路，必须开启生成树协议，这时会有一种链路是block状态的，所以这种方式实现冗余并不会增加网络带宽。而VPC技术则允许下行设备通过port channel跨两个不同的上行设备，部署方式如图3所示，所有互联链路进行负载分担，链路利用率100%（全部active，没有Block），同时，在链路故障时，实现流量自动切换，快速收敛。VPC技术本地生效，对链路对端设备没有特殊要求，易于部署。

3.2 VDC（Virtual Device Context）

VDC技术可将一台物理交换机物理分区为各自独立的逻辑交换机，如可将核心交换机虚拟成2台逻辑交换机，虚拟出的VDC具有独立的容错能力和管理接口，可以分配独立的地址，拥有各自独立的接口资源管理。VDC可虚拟出独立的控制面，如OSPF协议、BGP协议等，所有软件协议均以VDC为单位进行维护和控制。另外虚拟出的VDC还可以用来满足异地计算资源的跨域互通。

另外，通过路由策略将需要特殊防护的用户流量穿过业务防火墙，大大提高业务数据的安全性。

出口网络区

出口路由器上行采用主备链路口字型与上联网络的汇聚路由器连接，下行也采用主备链路口字型与防火墙互联，两台出口路由器与上联网络的汇聚路由器之间使用BGP路由协议；两台出口路由器之间链路采用二层trunk互通，两台设备之间下行对应互联网边界防火墙配置VRRP（Virtual Router Redundancy Protocol）协议；为了更好的降低业务中断时间，需要对VRRP配置相关的跟踪接口进行切换主备模式，实现故障时自动切换。另外，通过部署防火墙有效提高出入口流量的安全。

业务网络区

业务网络区主要部署满足业务系统的事务处理类型应用要求的服务器，一般要求配置处理能力较强的刀片服务器，并使用虚拟化引擎，以实现资源快速和灵活调度。同时，可根据各应用系统自身安全防护的需求，将服务器进一步分为核心生产区、测试区、接入维护区、内部互联区等安全域。

存储网络区

存储网络区包括基于IP的云存储网络和FC-SAN的集中式存储。其中，基于IP的云存储网络能够为虚拟机和物理机等计算资源提供分布式文件存储资源和日志详单类存储资源；基于FC-SAN的集中式存储能够为虚拟机和物理机等计算资源提供较高I/O性能的块存储资源，以满足业务系统对数据存储的需求。

管理网络区

管理网络区部署网管接换机，主要实现资源池内部管理，所有的被管理设备都需要独立的管理网络，以实现设备的管理、调度、监控。所有接入层设备的配置管理均可在管理汇聚交换机上实现，极大的减少了数据中心设备的管理节点（为传统方式的1/10）。在布线上，实现了机架间一次布线，后期的布线维护只需要在机架内进行，大大降低了布线工作量，便于维护。这是传统的接入方式无法实现的。

四、典型业务流走向分析

图4 典型业务流走向示意图

1、表示通过出口路由器的流量；2、表示通过出口路由器的明细的公网ip地址段路由，交互至边界防火墙；3、表示互联边界防火墙通过相关策略控制、查询NAT转化表后将流量交互至核心交换机；4、表示核心交换机查询路由表表转发至与防火墙互联的子接口；5、表示业务防火墙经过IPS入侵检测再将流量转发至相应的器（特殊客户的服务器网关在业务防火墙上）。

五、结论

随着数据中心业务的不断丰富，VDC的建设需求将越来越多，组网方式也将更加多样，从而使得虚拟化技术的优势得到进一步发挥，可以预见，未来虚拟化数据中心将是云计算产业发展的新驱动力。

作者简介：袁荔芬，中级工程师，通信项目设计师，主要从事数据、核心网工程设计工作。

联系方式：电 话：13951856203

邮 箱：

通信地址：江苏省邮电规划设计院有限责任公司南京市建邺区楠溪江东街58号 210019