業(yè)務(wù)支撐網(wǎng)資源池改造方案研究

張文迪+趙政+高潮

摘要近年來(lái)，隨著云計(jì)算、虛擬化技術(shù)的引入和網(wǎng)絡(luò)安全防護(hù)要求的持續(xù)提升，原有的網(wǎng)絡(luò)安全域劃分和安全防護(hù)能力已不能適應(yīng)業(yè)務(wù)發(fā)展的需要，需要通過(guò)本次業(yè)務(wù)支撐網(wǎng)資源池改造專項(xiàng)工作，實(shí)現(xiàn)軟硬分離、硬件通用化、功能軟件化、網(wǎng)絡(luò)扁平化、新功能可快速部署、基礎(chǔ)資源虛擬化、資源可動(dòng)態(tài)平滑擴(kuò)展等能力。擬討論業(yè)務(wù)支撐云資源池安全域改造方案，主要實(shí)現(xiàn)云計(jì)算資源池的安全改造。

關(guān)鍵詞資源池虛擬化安全域；改造

針對(duì)省內(nèi)大數(shù)據(jù)虛擬化資源池、4A及SMP資源池、客服及BOMC資源池和開(kāi)發(fā)測(cè)試資源池的網(wǎng)絡(luò)改造需求主要包括：1）劃分不同安全域，各域之間補(bǔ)充部署獨(dú)立的接入設(shè)備和安全防護(hù)設(shè)備；2）東西向流量做到相應(yīng)的安全防護(hù)；3）對(duì)不符合集中分組要求的已運(yùn)行虛擬資源，評(píng)估業(yè)務(wù)影響后，組織進(jìn)行必要的資源遷移。

1建設(shè)方案

1.1整體架構(gòu)

建設(shè)架構(gòu)如圖1所示。

基于現(xiàn)網(wǎng)資源，采用新增和替換設(shè)備的方式構(gòu)建8樓資源池二層數(shù)據(jù)中心網(wǎng)絡(luò)，使用虛擬網(wǎng)絡(luò)分組技術(shù)在資源池內(nèi)劃分獨(dú)立的邏輯子域，新建NFV安全資源池，域間安全隔離采用物理或者邏輯上進(jìn)行域間安全防護(hù)；在互聯(lián)網(wǎng)接口子域內(nèi)部新增三類獨(dú)立子域，進(jìn)行分類隔離防護(hù)；開(kāi)發(fā)測(cè)試子域新增敏感數(shù)據(jù)脫敏檢查設(shè)備，開(kāi)發(fā)測(cè)試子域與生產(chǎn)系統(tǒng)之間新增防繞行檢測(cè)設(shè)備。

1.2具體改造方案

由于現(xiàn)網(wǎng)絡(luò)設(shè)備和架構(gòu)無(wú)法對(duì)虛擬化資源池資源、物理資源和邏輯子域?qū)嵤┗玖６鹊脑L問(wèn)控制策略，故在八樓資源池新增2臺(tái)核心交換，替換現(xiàn)網(wǎng)2臺(tái)華為S9312為數(shù)據(jù)中心級(jí)交換機(jī)，采用虛擬化技術(shù)，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)、方便設(shè)備維護(hù)并提供安全保障。新增交換機(jī)支持VxLAN功能，實(shí)現(xiàn)不同VxLAN之間的三層互通，及VxLAN與VLAN之間的三層互通。

替換后的接入交換機(jī)做為VxLAN二層網(wǎng)關(guān)，實(shí)現(xiàn)相同VxLAN之間的二層互通，通過(guò)10GE鏈路上聯(lián)至新增核心交換機(jī)，服務(wù)器通過(guò)10GE鏈路上聯(lián)至接入交換機(jī)。新增核心交換機(jī)做為VxLAN三層網(wǎng)關(guān)。

八樓資源池虛擬化平臺(tái)部署vSwitch，每臺(tái)物理主機(jī)需部署一個(gè)vSwitch做為虛擬機(jī)的接入交換機(jī)，vSwitch結(jié)合VxLAN網(wǎng)絡(luò)做二層網(wǎng)關(guān)，對(duì)Ⅷ做邏輯劃分，實(shí)現(xiàn)報(bào)文封裝解封裝。

八樓安全管理子域內(nèi)新增NFV的安全資源池（支持X86架構(gòu)）。采用虛擬防火墻功能實(shí)現(xiàn)東西向流量的邏輯安全防護(hù)。

改造后，資源池內(nèi)部劃分成核心資源子域、接入資源子域和安全管理子域。現(xiàn)網(wǎng)測(cè)試區(qū)劃分至接入資源子域，4A和SMP系統(tǒng)劃分至安全管理子域中，其他業(yè)務(wù)系統(tǒng)劃分成核心資源子域。采用VxLAN實(shí)現(xiàn)各子域間的安全防護(hù)和訪問(wèn)管控。

改造后各子域流量訪問(wèn)如下描述：1）現(xiàn)網(wǎng)改造后核心資源子域和接入資源子域南北向流量通過(guò)現(xiàn)網(wǎng)出口物理防火墻進(jìn)行流量的控制與防護(hù)；2）改造后域間流量必須通過(guò)安全管理子域的調(diào)度實(shí)現(xiàn)預(yù)間訪問(wèn)，采用VxLAN和安全資源池內(nèi)的虛擬防火墻進(jìn)行安全隔離或防護(hù)；3）改造后同一域內(nèi)不同VxLAN業(yè)務(wù)流隔離方式有2種，根據(jù)不同業(yè)務(wù)配置不同的策略，第一種是通過(guò)VxLAN三層網(wǎng)關(guān)實(shí)現(xiàn)業(yè)務(wù)隔離，第二種是域內(nèi)流經(jīng)過(guò)VxLAN三層網(wǎng)關(guān)和安全資源池內(nèi)的虛擬防火墻進(jìn)行安全隔離或防護(hù)。

整個(gè)網(wǎng)絡(luò)分為underlay網(wǎng)絡(luò)和overlay網(wǎng)絡(luò)，把各域分配到不同的overlay網(wǎng)絡(luò)，承載不同域業(yè)務(wù)，從邏輯網(wǎng)絡(luò)層面劃分安全域。域間流量控制通過(guò)SDN流量調(diào)度，采用虛擬網(wǎng)絡(luò)分組技術(shù)實(shí)現(xiàn)安全防護(hù)，保障業(yè)務(wù)安全隔離。

2網(wǎng)絡(luò)規(guī)劃方案

2.1IP地址規(guī)劃

1）IP地址分配基本分為以下兩大類。網(wǎng)絡(luò)地址：包括網(wǎng)絡(luò)互聯(lián)地址（點(diǎn)對(duì)點(diǎn)鏈路或其他鏈路地址）、網(wǎng)絡(luò)設(shè)備本身地址（三層設(shè)備LOOPBACK地址和二層設(shè)備管理地址）；業(yè)務(wù)地址：包括內(nèi)部私網(wǎng)地址、對(duì)外服務(wù)公網(wǎng)IP地址，如虛擬主機(jī)地址、物理主機(jī)地址、存儲(chǔ)設(shè)備地址等。

2）地址分配原則。地址按照地址聚合原則分片分配，盡量做到地址高效聚合，減少路由表規(guī)模。

3）內(nèi)私網(wǎng)IP地址分配原則。根據(jù)不同的安全等級(jí)劃分到不同的資源池，不同的資源池分配不同的IP地址段；考慮到業(yè)務(wù)發(fā)展需要同一資源池內(nèi)的IP地址分配時(shí)需要使用VSLM和CIDR技術(shù)用于擴(kuò)展和節(jié)約IP地址使用。

4）對(duì)外服務(wù)公網(wǎng)IP地址分配原則。由于公網(wǎng)IP地址需求會(huì)少于內(nèi)部私網(wǎng)IP地址需求，公網(wǎng)IP地址分配原則建議采用類似城域網(wǎng)IP地址分配原則：（1）根據(jù)不同的業(yè)務(wù)系統(tǒng)分配不同的IP地址段；（2）同一中心的相同業(yè)務(wù)系統(tǒng)分配相同的IP地址段；（3）考慮到業(yè)務(wù)發(fā)展和擴(kuò)展性，建議每段IP地址充分預(yù)留。

例如：對(duì)外服務(wù)的云計(jì)算根據(jù)用戶和業(yè)務(wù)統(tǒng)一規(guī)劃IP地址，包括業(yè)務(wù)地址、設(shè)備管理地址、設(shè)備互連地址、管理平臺(tái)地址等。

在內(nèi)部使用私有IP地址，根據(jù)VLAN和業(yè)務(wù)分配地址段，并進(jìn)行一定比例的預(yù)留，以便于擴(kuò)展。對(duì)于有外網(wǎng)訪問(wèn)需求的業(yè)務(wù)，在防火墻上進(jìn)行IP地址轉(zhuǎn)換，提供公網(wǎng)IP地址池。

2.2 VxLAN規(guī)劃

云平臺(tái)根據(jù)用戶業(yè)務(wù)類型統(tǒng)一規(guī)劃VxLAN，物理機(jī)及虛擬機(jī)VxLAN規(guī)劃如下。

針對(duì)物理主機(jī)的VxLAN規(guī)劃相對(duì)簡(jiǎn)單。將承擔(dān)同樣角色的主機(jī)劃歸到一個(gè)VxLAN內(nèi)即可，如10臺(tái)主機(jī)都是WEB服務(wù)器，那么將這10臺(tái)主機(jī)劃在一個(gè)VxLAN內(nèi)，通過(guò)負(fù)載均衡設(shè)備實(shí)現(xiàn)業(yè)務(wù)響應(yīng)的輪循即可。

由于虛擬機(jī)的出現(xiàn)目前通用的方案是由虛擬交換機(jī)打VxLANtag，這樣到達(dá)鄰接交換機(jī)的數(shù)據(jù)流對(duì)應(yīng)不同虛擬機(jī)就由不同的VxLAN號(hào)了，根據(jù)VLAN號(hào)臨接交換機(jī)則可以進(jìn)行針對(duì)性的網(wǎng)絡(luò)策略配置。同一中心內(nèi)大的原則就是相同業(yè)務(wù)部署相同VxLAN。將位于兩中心的物理服務(wù)器規(guī)劃在同一VxLAN內(nèi)，則可以實(shí)現(xiàn)虛擬機(jī)的跨中心遷移了。

2.3 SDN控制平臺(tái)規(guī)劃

標(biāo)準(zhǔn)x86平臺(tái)部署和VxLAN云主控部署，支持集群設(shè)計(jì)最大32臺(tái)，具備高可靠和可用性。能夠管理5個(gè)VxLAN硬件網(wǎng)關(guān)，部署100個(gè)服務(wù)鏈節(jié)點(diǎn)；實(shí)現(xiàn)混合overlay部署（vSwitch虛擬化平臺(tái)部署和硬件部署），vSwitch管理64顆CPU，能與蘇研虛擬化平臺(tái)友好對(duì)接，提供物理主機(jī)和Ⅷ虛機(jī)同時(shí)接入overlay網(wǎng)絡(luò)。

3結(jié)論

通過(guò)支撐網(wǎng)資源池的改造，劃分不同安全域，各域之間補(bǔ)充部署獨(dú)立的接入設(shè)備和安全防護(hù)設(shè)備；對(duì)東西向流量做到相應(yīng)的安全防護(hù)；對(duì)不符合集中分組要求的已運(yùn)行虛擬資源，組織進(jìn)行必要的資源遷移。