宋文文，龔文濤

0 引言

在云計算大發(fā)展環(huán)境下，網(wǎng)絡虛擬化技術(shù)與服務器虛擬化技術(shù)是結(jié)合使用的。物理服務器進行了虛擬化，一臺物理機上運行著多個不同Vlan的虛擬機，虛擬機之間通過虛擬交換機與外界進行數(shù)據(jù)通信。在這種業(yè)務模式下網(wǎng)絡電纜極大地減少，相對減少了許多交換機，節(jié)約了成本。虛擬化網(wǎng)絡還可以提供快速配置和可擴展性方面的極大靈活性。部署新業(yè)務的不必在和傳統(tǒng)服務器連接網(wǎng)絡需要進行所有的電纜并進行配置等工作，因而可以節(jié)省大量的時間。通過虛擬化軟件、在虛擬交換機上部署虛擬防火墻，可以快速在虛擬防火墻之后構(gòu)建一個新的安全網(wǎng)絡。

1 基于云的網(wǎng)絡架構(gòu)設計

因某大學網(wǎng)絡是基于青島校區(qū)和東營校區(qū)的 2個物理地域，學校云計算中心網(wǎng)絡系統(tǒng)設計的目標為，建立一套高安全性、高冗余性、高可靠性的網(wǎng)絡。同時新建的網(wǎng)絡系統(tǒng)應該能夠很好的與學?，F(xiàn)有的網(wǎng)絡系統(tǒng)相融合，在保證對現(xiàn)有網(wǎng)絡的最小調(diào)整的基礎上，建立高可用的云計算中心網(wǎng)絡系統(tǒng)。

基于上述思路，青島云計算中心網(wǎng)絡結(jié)構(gòu)，如圖1所示：

圖1 云計算中心網(wǎng)絡設計圖

青島、東營兩地的云計算網(wǎng)絡，核心交換機使用無丟包數(shù)據(jù)中心級高性能網(wǎng)絡交換機，為保證設備及線路的冗余性，應在青島、東營兩地的云計算網(wǎng)絡核心分別配置2臺核心交換機。兩地的核心交換機之間通過2條155M鏈路互聯(lián)，為云計算下的虛機漂移和數(shù)據(jù)雙活提供基礎條件。

服務器匯聚交換機應采用具有高速轉(zhuǎn)發(fā)性能的數(shù)據(jù)中心級交換機，為服務器提供匯聚功能和高速網(wǎng)絡鏈路。

云計算中心網(wǎng)絡出口需要布置物理防火墻將云計算中心與外部接入網(wǎng)絡進行邏輯隔離，保證云計算中心內(nèi)部網(wǎng)絡的安全。為了提高應用服務的使用效率，需要在防火墻之后云計算中心之前應布置負載均衡設備，使外來流量自動分配到能夠提供最優(yōu)服務的應用服務器之上。同時需要在網(wǎng)絡中串接或采用旁路模式布置相應的安全審計，入侵檢測、應用控制等網(wǎng)絡安全設備保證網(wǎng)絡的安全和操作的合法性。

2 云平臺核心層設計

云計算中心網(wǎng)絡建設需要采用高可靠大型數(shù)據(jù)中心級交換機，根據(jù)我校所對網(wǎng)絡安全需求，每個網(wǎng)絡中心應配置兩臺配置相同的核心交換機作為冗余設備，為服務器匯聚接入、不同用戶群的接入提供冗余。

根據(jù)網(wǎng)絡需求分析，核心交換機配置相應數(shù)量的萬兆和千兆網(wǎng)絡端口，這些端口可根據(jù)網(wǎng)絡具體需求情況靈活分配給不同服務器或網(wǎng)絡設備進行接入使用。

同一個云計算中心的兩臺核心交換機通過虛擬技術(shù)虛擬成一臺核心交換機，這樣可以簡化日常維護及配置工作，同時虛擬后的交換機可以支持跨機箱的鏈路捆綁技術(shù)，對于下級交換機上聯(lián)至兩臺核心交換機時，可以通過以太網(wǎng)鏈路捆綁技術(shù)，提高冗余能力和鏈路互聯(lián)帶寬，并大大降低了因生成樹收斂帶來的網(wǎng)絡抖動時間。

2.1 核心層交換機端口鏈路捆綁設計

核心層交換機與其它設備互連都采用路由端口和三層交換方式，因此采用三層端口鏈路捆綁技術(shù)，如圖2所示：

圖2 三層端口鏈路捆綁

2.2 匯聚層交換機的端口捆綁設計

匯聚層交換機與下面的接入層采用二層端口的捆綁技術(shù)互連，如圖3所示：

圖3 二層端口的捆綁

3 數(shù)據(jù)中心接入層設計

FCOE交換機完成具有Fiber Channel SAN交換機的完整功能特性，即傳統(tǒng)需要以太網(wǎng)卡、FC存儲卡（HBA）、InfiniBand卡的主機，只需要一張FCoE的以太網(wǎng)卡（CNA）就可以實現(xiàn)3種網(wǎng)絡的接入，如圖4所示：

圖4 FCOE架構(gòu)與接入交換機連接

用戶在操作系統(tǒng)上也可以看見虛擬化的以太網(wǎng)卡、HBA卡和InfiniBand卡，而它們共享萬兆的高帶寬。當部署虛擬服務器之后，所有虛擬機共享萬兆網(wǎng)絡出口，解決了部署虛擬化服務器面臨的網(wǎng)絡瓶頸問題。

FCOE交換機還可通過Fiber Channel接口連接傳統(tǒng)的SAN網(wǎng)絡，實現(xiàn)SAN/LAN的整合，通過這種整合和虛擬化實現(xiàn)資源的自由調(diào)度和最大化利用，同時成倍減少的網(wǎng)卡數(shù)節(jié)約了功耗，提高了可靠性，降低了維護成本。

云計算中心建設新增服務器采用 FCOE架構(gòu)與接入交換機連接，現(xiàn)有服務器，可根據(jù)需要采用FCOE架構(gòu)或仍然采用傳統(tǒng)模式分別與以太網(wǎng)絡及SAN存儲網(wǎng)絡相連。實現(xiàn)IP、SAN雙網(wǎng)絡的平滑過渡和升級。

4 數(shù)據(jù)中心路由的設計

青島云計算中心核心層與匯聚層之間采用路由端口，實現(xiàn)三層交換。云計算中心內(nèi)部使用OSPF路由協(xié)議動態(tài)進行路由的學習和分發(fā)。

分布匯聚層和接入層之間使用交換端口，實現(xiàn)二層交換。當前的主流虛擬機軟件，如VMware、Virtual Server等都需要在二層交換下實現(xiàn)虛擬機遷移，因此在數(shù)據(jù)中心接入層使用二層交換將方便虛擬機的遷移和調(diào)度。而鏈路捆綁技術(shù)的使用，可以實現(xiàn)在二層結(jié)構(gòu)下完全沒有環(huán)路，從根本上解決了生成樹算法收斂慢、不穩(wěn)定、故障多的問題，也使得在一個數(shù)據(jù)中心內(nèi)二層結(jié)構(gòu)下的可擴展性與三層結(jié)構(gòu)沒有根本的區(qū)別。只要經(jīng)過適當設計，接入層的二層部分將沒有環(huán)路，快速生成樹算法將只用于在誤操作等極端情況下的防范手段，如圖5所示：

圖5 核心層與匯聚層之間采用路由端口圖

實現(xiàn)三層交換，當 IEEE的改進生成樹協(xié)議或者 IETF的二層路由協(xié)議技術(shù)成熟，二層結(jié)構(gòu)還可以擴展到城域和廣域網(wǎng)中去，擴大服務器虛擬化的調(diào)度范圍，向云計算的理想邁進。

5 新舊網(wǎng)絡的整合

我校云計算中心建設完成后，便可以為學校各個部門提供云服務，云計算中心核心交換機校園網(wǎng)的核心交換機進行萬兆互聯(lián)。云計算中心建立后，將存在大量學校其他部門的業(yè)務系統(tǒng)，為保證學校云計算中心的安全，需要在云計算中心及校園網(wǎng)之間放置防火墻對兩者進行邏輯隔離。

網(wǎng)絡融合步驟：

1) 新建云計算中心平臺。

2) 云核心交換機與校園網(wǎng)核心交換機對接互聯(lián)，核心業(yè)務網(wǎng)關保留在原校園網(wǎng)核心交換機上不變。

3) 應用遷移，將原數(shù)據(jù)中心業(yè)務遷移至云計算中心，對外服務IP地址保持不變

4) 所有需要遷移的業(yè)務系統(tǒng)平滑過渡至云計算中心。

5) 將業(yè)務系統(tǒng)Vlan網(wǎng)關遷移至新建云計算中心高性能數(shù)據(jù)中心交換機

6) 優(yōu)化網(wǎng)絡，整個云計算中心為單獨的大的安全域，創(chuàng)建訪問策略加強云計算中心的網(wǎng)絡安全

6 總結(jié)

數(shù)據(jù)中心所需要的虛擬化是“融合的虛擬化”而非“孤島式虛擬化”，如同網(wǎng)絡是資源整合的核心，同樣網(wǎng)絡也是虛擬化融合的核心?？偨Y(jié)如下：

具備虛機感知網(wǎng)絡的設計：解決網(wǎng)絡對服務器虛擬化實現(xiàn)的阻礙，包括接入層網(wǎng)絡、服務器網(wǎng)卡和虛機Hypervisor平臺的設計；

數(shù)據(jù)中心大二層結(jié)構(gòu)設計：解決網(wǎng)絡對虛機遷移、FCoE技術(shù)實現(xiàn)的阻礙，包括如何設計一個可擴展的大二層結(jié)構(gòu)；

數(shù)據(jù)中心內(nèi)邏輯結(jié)構(gòu)設計：在以上網(wǎng)絡虛擬化設計的基礎上，可以對虛機標記、VLAN、VSAN、地址結(jié)構(gòu)、路由結(jié)構(gòu)的進行全面設計；

[1]Cisco IOS IP Command Reference,Volume 2 of 3:[M]Routing Protocols Release 12.2.

[2]Cisco OSPF Command and Configuration, [M]Handbook.

[3]The NIST Definition of Cloud, [M]ComputingNIST 2011.9

[4]查貴庭,彭其軍.校園網(wǎng)安全威脅及安全系統(tǒng)構(gòu)建.[J]計算機應用研究.2005 , (03) .

[5]蔡永泉.計算機網(wǎng)絡安全理論與技術(shù)教程.[M]北京航空航天大學出版社.2003.

[6]周華強,劉奇超.校園網(wǎng)安全控制策略.[J]中國科教博覽.2004 .(11) .

[7]邢西深,謝建軍.校園網(wǎng)安全技術(shù)及應用.[J]計算機時代.2004 .(08) .

[8]杭州華三通訊技術(shù)有限公司.[J]路由交換技術(shù)..2011.4