高校云計算中心網絡架構設計與實現

宋文文，龔文濤

0 引言

在云計算大發展環境下，網絡虛擬化技術與服務器虛擬化技術是結合使用的。物理服務器進行了虛擬化，一臺物理機上運行著多個不同Vlan的虛擬機，虛擬機之間通過虛擬交換機與外界進行數據通信。在這種業務模式下網絡電纜極大地減少，相對減少了許多交換機，節約了成本。虛擬化網絡還可以提供快速配置和可擴展性方面的極大靈活性。部署新業務的不必在和傳統服務器連接網絡需要進行所有的電纜并進行配置等工作，因而可以節省大量的時間。通過虛擬化軟件、在虛擬交換機上部署虛擬防火墻，可以快速在虛擬防火墻之后構建一個新的安全網絡。

1 基于云的網絡架構設計

因某大學網絡是基于青島校區和東營校區的 2個物理地域，學校云計算中心網絡系統設計的目標為，建立一套高安全性、高冗余性、高可靠性的網絡。同時新建的網絡系統應該能夠很好的與學校現有的網絡系統相融合，在保證對現有網絡的最小調整的基礎上，建立高可用的云計算中心網絡系統。

基于上述思路，青島云計算中心網絡結構，如圖1所示：

圖1 云計算中心網絡設計圖

青島、東營兩地的云計算網絡，核心交換機使用無丟包數據中心級高性能網絡交換機，為保證設備及線路的冗余性，應在青島、東營兩地的云計算網絡核心分別配置2臺核心交換機。兩地的核心交換機之間通過2條155M鏈路互聯，為云計算下的虛機漂移和數據雙活提供基礎條件。

服務器匯聚交換機應采用具有高速轉發性能的數據中心級交換機，為服務器提供匯聚功能和高速網絡鏈路。

云計算中心網絡出口需要布置物理防火墻將云計算中心與外部接入網絡進行邏輯隔離，保證云計算中心內部網絡的安全。為了提高應用服務的使用效率，需要在防火墻之后云計算中心之前應布置負載均衡設備，使外來流量自動分配到能夠提供最優服務的應用服務器之上。同時需要在網絡中串接或采用旁路模式布置相應的安全審計，入侵檢測、應用控制等網絡安全設備保證網絡的安全和操作的合法性。

2 云平臺核心層設計

云計算中心網絡建設需要采用高可靠大型數據中心級交換機，根據我校所對網絡安全需求，每個網絡中心應配置兩臺配置相同的核心交換機作為冗余設備，為服務器匯聚接入、不同用戶群的接入提供冗余。

根據網絡需求分析，核心交換機配置相應數量的萬兆和千兆網絡端口，這些端口可根據網絡具體需求情況靈活分配給不同服務器或網絡設備進行接入使用。

同一個云計算中心的兩臺核心交換機通過虛擬技術虛擬成一臺核心交換機，這樣可以簡化日常維護及配置工作，同時虛擬后的交換機可以支持跨機箱的鏈路捆綁技術，對于下級交換機上聯至兩臺核心交換機時，可以通過以太網鏈路捆綁技術，提高冗余能力和鏈路互聯帶寬，并大大降低了因生成樹收斂帶來的網絡抖動時間。

2.1 核心層交換機端口鏈路捆綁設計

核心層交換機與其它設備互連都采用路由端口和三層交換方式，因此采用三層端口鏈路捆綁技術，如圖2所示：

圖2 三層端口鏈路捆綁

2.2 匯聚層交換機的端口捆綁設計

匯聚層交換機與下面的接入層采用二層端口的捆綁技術互連，如圖3所示：

圖3 二層端口的捆綁

3 數據中心接入層設計

FCOE交換機完成具有Fiber Channel SAN交換機的完整功能特性，即傳統需要以太網卡、FC存儲卡（HBA）、InfiniBand卡的主機，只需要一張FCoE的以太網卡（CNA）就可以實現3種網絡的接入，如圖4所示：

圖4 FCOE架構與接入交換機連接

用戶在操作系統上也可以看見虛擬化的以太網卡、HBA卡和InfiniBand卡，而它們共享萬兆的高帶寬。當部署虛擬服務器之后，所有虛擬機共享萬兆網絡出口，解決了部署虛擬化服務器面臨的網絡瓶頸問題。

FCOE交換機還可通過Fiber Channel接口連接傳統的SAN網絡，實現SAN/LAN的整合，通過這種整合和虛擬化實現資源的自由調度和最大化利用，同時成倍減少的網卡數節約了功耗，提高了可靠性，降低了維護成本。

云計算中心建設新增服務器采用 FCOE架構與接入交換機連接，現有服務器，可根據需要采用FCOE架構或仍然采用傳統模式分別與以太網絡及SAN存儲網絡相連。實現IP、SAN雙網絡的平滑過渡和升級。

4 數據中心路由的設計

青島云計算中心核心層與匯聚層之間采用路由端口，實現三層交換。云計算中心內部使用OSPF路由協議動態進行路由的學習和分發。

分布匯聚層和接入層之間使用交換端口，實現二層交換。當前的主流虛擬機軟件，如VMware、Virtual Server等都需要在二層交換下實現虛擬機遷移，因此在數據中心接入層使用二層交換將方便虛擬機的遷移和調度。而鏈路捆綁技術的使用，可以實現在二層結構下完全沒有環路，從根本上解決了生成樹算法收斂慢、不穩定、故障多的問題，也使得在一個數據中心內二層結構下的可擴展性與三層結構沒有根本的區別。只要經過適當設計，接入層的二層部分將沒有環路，快速生成樹算法將只用于在誤操作等極端情況下的防范手段，如圖5所示：

圖5 核心層與匯聚層之間采用路由端口圖

實現三層交換，當 IEEE的改進生成樹協議或者 IETF的二層路由協議技術成熟，二層結構還可以擴展到城域和廣域網中去，擴大服務器虛擬化的調度范圍，向云計算的理想邁進。

5 新舊網絡的整合

我校云計算中心建設完成后，便可以為學校各個部門提供云服務，云計算中心核心交換機校園網的核心交換機進行萬兆互聯。云計算中心建立后，將存在大量學校其他部門的業務系統，為保證學校云計算中心的安全，需要在云計算中心及校園網之間放置防火墻對兩者進行邏輯隔離。

網絡融合步驟：

1) 新建云計算中心平臺。

2) 云核心交換機與校園網核心交換機對接互聯，核心業務網關保留在原校園網核心交換機上不變。

3) 應用遷移，將原數據中心業務遷移至云計算中心，對外服務IP地址保持不變

4) 所有需要遷移的業務系統平滑過渡至云計算中心。

5) 將業務系統Vlan網關遷移至新建云計算中心高性能數據中心交換機

6) 優化網絡，整個云計算中心為單獨的大的安全域，創建訪問策略加強云計算中心的網絡安全

6 總結

數據中心所需要的虛擬化是“融合的虛擬化”而非“孤島式虛擬化”，如同網絡是資源整合的核心，同樣網絡也是虛擬化融合的核心。總結如下：

具備虛機感知網絡的設計：解決網絡對服務器虛擬化實現的阻礙，包括接入層網絡、服務器網卡和虛機Hypervisor平臺的設計；

數據中心大二層結構設計：解決網絡對虛機遷移、FCoE技術實現的阻礙，包括如何設計一個可擴展的大二層結構；

數據中心內邏輯結構設計：在以上網絡虛擬化設計的基礎上，可以對虛機標記、VLAN、VSAN、地址結構、路由結構的進行全面設計；

[1]Cisco IOS IP Command Reference,Volume 2 of 3:[M]Routing Protocols Release 12.2.

[2]Cisco OSPF Command and Configuration, [M]Handbook.

[3]The NIST Definition of Cloud, [M]ComputingNIST 2011.9

[4]查貴庭,彭其軍.校園網安全威脅及安全系統構建.[J]計算機應用研究.2005 , (03) .

[5]蔡永泉.計算機網絡安全理論與技術教程.[M]北京航空航天大學出版社.2003.

[6]周華強,劉奇超.校園網安全控制策略.[J]中國科教博覽.2004 .(11) .

[7]邢西深,謝建軍.校園網安全技術及應用.[J]計算機時代.2004 .(08) .

[8]杭州華三通訊技術有限公司.[J]路由交換技術..2011.4