基于云計算的虛擬化技術在企業網絡中的應用①

陶志勇, 張 錦, 陽王東, 何先亮

1(長沙民政職業技術學院 軟件學院, 長沙 410004)

2(湖南大學 軟件學院, 長沙 410082)

3(湖南師范大學, 長沙 410012)

隨著現代企業的不斷發展與壯大, 企業網絡規模也不斷的增大, 進而使企業網絡的復雜性日益凸顯, 同時對企業網絡的可靠性、穩定性、擴展性以及可管理與維護性提出了新的要求. 如何增強企業網絡的穩定性與可靠性及使企業網絡便于管理與維護, 是當下企業網絡的建設中亟待解決的問題[1,2].

在傳統方式構建的企業網絡中, 為了加強企業二層與三層網絡的可靠性與穩定性, 采用生成樹協議(Spanning Tree Protocol, STP)[3]與虛擬路由器冗余協議 (Virtual Router Redundancy Protocol, VRRP)[4]技術來實現. STP主要用于在企業二層網絡中消除環路, 并提供冗余鏈路的二層網絡技術; 而VRRP在企業網絡中是為用戶提供網關冗余的技術. STP與VRRP技術都有一個共性, 部署復雜、難于實現, 隨著用戶對企業網絡的要求越來越高, 其可靠性與穩定性已滿足不了企業網絡發展的需要[5,6].

智能彈性架構技術 (Intelligent Resilient Framework,IRF)[7,8]是一種采用云計算的虛擬化技術, 其核心思想是將其多臺物理設備互連后, 通過其配置后, 虛擬成一臺邏輯設備, 進而融合多臺設備的硬件與軟件資源的處理能力, 使多臺物理設備進行統一的管理與調度. 本文針對采用STP與VRRP技術部署的企業網絡存在可靠性與穩定性差, 管理及維護困難等問題, 提出在企業網絡中采用云計算的IRF技術解決方案, 并通過仿真實驗進行實踐證明其方案在可靠性與穩定性、管理與維護性方面要優于傳統方式構建的企業網絡[9,10].

1 設計思想與操作步驟

以往在企業網絡中組網時, 為了增強接入層與匯聚層網絡的可靠性與穩定性, 在接入層與匯聚層設備間采用STP來阻塞冗余鏈路, 一旦主鏈路出問題啟用冗余鏈路來恢復網絡的連通性. 同時, 為使用戶能不間斷訪問外部網絡, 在匯聚層設備上采用VRRP技術為用戶提供網關的冗余. 采用上述技術在接入層與匯聚層設備部署復雜, 難于管理, 主、備設備間的切換以秒為單位, 無法滿足可靠性業務的要求. 為了解決上述問題, 一種改進設計思路是, 在接入層與匯聚層設備上采用云計算的虛擬化IRF技術, 將接入層的多臺物理設備虛擬成一臺邏輯設備并與匯聚層虛擬的邏輯設備相連, 進而為用戶提供設備級的冗余. 同時, 為加強接入層與匯聚層鏈路的可靠性, 采用鏈路聚合技術, 實現鏈路冗余的同時, 實現交互數據時的負載分擔, 如圖1所示.

圖1 傳統方式與IRF虛擬化方式組網對比

通過圖1的對比可以看出, 采用IRF技術后, 將原來接入層的八臺物理設備虛擬成了兩臺邏輯設備, 匯聚層的四臺物理設備虛擬成了兩臺邏輯設備. 接入層與匯聚層的物理設備虛擬成功后, 可以通過直接管理虛擬的邏輯設備來管理實際的物理設備, 虛擬化后在主設備中的配置信息可以同步到備用設備, 大大的減少了對網絡設備的配置, 同時也方便了網絡的管理. 采用IRF技術將物理設備虛擬成功后, 不同于STP與VRRP技術構建的傳統網絡, 采用STP與VRRP的方式只是在二、三層網絡中實現鏈路的冗余, 而IRF技術構建的網絡實現將多臺物理設備虛擬成一臺邏輯設備, 實現了設備級的冗余. 采用IRF技術后, 使得主、備設備之間的切換時間是毫秒級的, 用戶根本感知不到設備之間的切換, 而采用STP與VRRP技術主備之間的切換是以秒級為單位的, IRF技術的采用使得網絡具有更好的穩定性與可靠性. 此外, 采用此方式節約了接入層與匯聚層互連的鏈路成本. 該技術具體的實現思路如下:

(1) 將接入層多臺物理設備或匯聚層的多臺物理設備互連后, 規劃好各接入層與匯聚層物理設備的成員編號, 進而標識在虛擬化后設備的身份; (2) 配置設備在虛擬化時的優先級, 通過優先級的操控使不同的物理設備在虛擬化后扮演不同的角色; (3) 將物理設備的物理端口與邏輯端口綁定, 并在物理設備中激活虛擬化的配置, 讓其物理設備通過競選后, 形成虛擬的網絡資源池; (4) 為避免虛擬的網絡資源池分裂后產生沖突, 啟用虛擬資源池分裂檢測機制.

虛擬的網絡資源池形成后, 在接入層與匯聚層都只有一臺虛擬的邏輯設備, 無需部署復雜的STP與VRRP技術, 并實現了設備級的冗余備份, 在簡化部署與管理維護的同時, 使可靠性從鏈路級的冗余備份提升到了設備級的冗余備份, 并且以后需要拓展網絡時,只需要將設備加入到虛擬資源池中即可正常使用, 具有完美的強性擴展, 有效的加強了企業網絡的擴展性、穩定性與可靠性.

2 方案評估

2.1 評估方案分析

為驗證其設計思想的可行性與實踐性, 在某企業網絡的改造方案中將其設計思想實踐應用于方案中,驗證其方案的可行性. 該企業為了加強網絡的可靠性與穩定性, 在接入層設備采用雙上行的方式與匯聚層設備相連, 為消除接入層與匯聚層設備中的環路, 在接入層與匯聚層設備上運行STP來阻塞冗余鏈路, 并通過冗余鏈路給主鏈路提供備份. 為了給用戶提供訪問本網絡以外的通信, 采用VRRP提供網關的冗余備份,企業網絡拓撲如圖2所示.

圖2 傳統方式組網拓撲

該企業網絡部署完成交互運行一段時間后, 存在有以下幾個問題. (1) 當 STP 的主鏈路出現故障時, 切換到備用鏈路所花費的時間過長, 影響數據的正常傳輸. (2) 主鏈路正常工作時, 備用鏈路閑置, 導致資源浪費. (3) VRRP 主、備網關的切換以秒為單位, 使用戶訪問外部網絡時會暫時失去連通性.

隨著企業業務規模的擴大, 一些關鍵業務對可用性、可靠性的要求越來越高, 現有的網絡架構滿足不了企業業務的需求, 企業希望對現有網絡進行改造與升級, 保證其關鍵業務的可用性與可靠性. 針對該企業的業務需求, 一種改進思想是在接入層與匯聚層分別采用基于云計算的網絡設備虛擬化技術, 將多臺設備虛擬成一臺, 提供冗余的同時, 加強了網絡的可靠性.同時, 為了增強接入層與匯聚層設備互連時的可用性與可靠性, 在接入層和匯聚層設備上采用動態鏈路聚合方式將多條物理鏈路捆綁成一條邏輯鏈路, 增加通信鏈路帶寬的同時, 提高了網絡的可用性與可靠性. 考慮到一旦虛擬池中的設備分裂, 各物理設備有相同的信息會引起沖突的問題, 在物理設備虛擬成功后, 配置相應的檢測機制, 虛擬池中的物理設備只要產生分裂,將備用設備使其只能傳送協議報文, 不能發送數據報文, 進而保障網絡的正常運行. 具體的實現拓撲如圖3所示.

圖3 仿真實驗拓撲

根據上述拓撲, 將仿真實驗的設備名稱及端口的規劃如表1所示.

表1 各設備端口分配及互連表

仿真實驗的拓撲與端口互連規劃完成后, 具體的實現過程分為設備虛擬化、動態鏈路聚合、虛擬化設備分裂檢測三個步驟來完成.

(1) 設備虛擬化

設備虛擬化是否成功, 是該方案成功的關鍵, 在本方案設計中, 需要將匯聚層與接入層設備進行虛擬化,即將SW1與SW2, SW3與SW4通過IRF技術將兩臺物理設備虛擬成一臺邏輯設備. 在本方案中以匯聚層設備為例, 將設備進行虛擬化, 而接入層虛擬化的方式與匯聚層一模一樣, 在此不再贅述.

匯聚層的設備在虛擬化前需要做虛擬化前的準備工作, 由于兩臺設備初始化時的成員編號相同, 在此通過 irf member 1 renumber 2 命令將 SW2 的成員編號修改為2, 并將SW1、SW2兩臺設備相連的XGE1/0/50端口人為的設置為關閉狀態, 以免影響后續虛擬結果的狀態. 上述工作完成后, 通過表2中的配置完成虛擬化的配置.

在SW2上完成與SW1相同的配置后, 兩臺物理設備通過上述配置會虛擬成一臺邏輯設備, 邏輯設備的虛擬成功為企業網絡提供了設備級的冗余, 打破了生成樹協議只能提供鏈路級冗余的瓶頸, 這種設備級的冗余與生成樹協議最大的區別在于主、備間設備的切換是毫秒級的, 為用戶重要業務數據的交互提供了可用性與可靠性, 并為本方案最終是否能成功實現打下了夯實的基礎.

(2) 動態鏈路聚合

匯聚層與接入層邏輯設備的虛擬成功只是為本層數據交互提供了可用性與可靠性, 并沒有為匯聚層與接入層數據交互提供可用性與可靠性. 為解決該問題,通過在步驟一中已成功虛擬的邏輯設備上配置動態鏈路聚合, 進而實現在匯聚層與接入層實現多鏈路的捆綁, 具體的配置如表3所示.

表2 SW1 虛擬化的配置

表3 聚合的配置

SW3的配置與SW1的配置相同, 在此不再描述,通過在兩臺虛擬化的邏輯設備上配置鏈路聚合后, 進而將匯聚層與接入層之間的多條物理鏈路捆綁成一條邏輯鏈路, 增加了通信鏈路帶寬資源的同時, 提高了業務數據交互的可靠性, 為企業重要業務數據在匯聚層與接入層間交互提供了保障.

(3) 虛擬化設備分裂檢測

匯聚層與接入層的虛擬邏輯設備產生后, 如果兩臺物理設備相連的物理鏈路出現故障, 網絡中會產生兩臺一模一樣的配置設備, 引起地址沖突等問題, 直接影響到網絡的正常使用. 為了避免產生該問題, 利用動態鏈路聚合中發送聚合控制報文的同時, 攜帶一個邏輯設備分裂的檢測報文. 如果兩臺相連的物理設備鏈路出現故障, 系統會將邏輯設備中的備用設備設置為Recovery狀態, 同時會讓備用設備的所有業務端口只能處理控制報文, 不能處理數據報文, 避免產生地址沖突等問題. 同時, 當鏈路恢復正常時, 會將其 Recovery狀態的備用設備重啟重新加入到虛擬的邏輯設備中來,并恢復其端口數據報文的正常交互. 該功能的具體實現需要在主設備的鏈路聚合端口開啟mad enable配置, 就能實現鏈路故障時的分裂檢測, 通過上述功能的實現有效的保障了企業網絡業務的正常使用.

2.2 方案測試與性能對比

方案通過設備虛擬化、動態鏈路聚合、虛擬化設備分裂檢測三個步驟的完成即已實現了該方案的設計思路, 設計及實現是否正確以及該方案存在哪些優勢,是評價該方案可行性、先進性的關鍵所在, 下面將對其方案進行性能測試與分析對比.

(1) 性能測試

本方案及實現成功的關鍵主要取決于虛擬邏輯設備的構建是否正確, 為了驗證其是否正確, 通過在SW1與SW2以及SW3與SW4中運行display irf指令來進行檢測, 得到的結果如圖4所示.

上述指令的測試結果表明匯聚層與接入層的虛擬邏輯設備已構建, 并且SW1作為匯聚層虛擬邏輯設備的主設備, SW2 反之, SW3 與 SW4 情況與 SW1、SW2相同. 虛擬邏輯設備的正常構建, 意味著已在本層提供了設備級冗余, 滿足本層業務數據交互可用性與高可靠的要求.

上述測試結果只是證明虛擬邏輯設備的構建為本層設備的數據交互提供了可用性與可靠性, 而對于匯聚層與接入層間數據通信時是否提供了可用性與可靠性通過在 SW1 上輸入 display link-aggregation verbose指令進行測試, 得到結果如圖5所示.

圖4 虛擬化結果

圖5 聚合結果狀態

上述結果表明在匯聚層與接入層的虛擬邏輯設備上配置的動態鏈路聚合正常, 在匯聚層與接入層間構建了一條邏輯通道, 為匯聚層與接入層間數據通信提供了多條物理鏈路, 保障了數據交互時的可用性與可靠性.

虛擬邏輯設備的形成為本層設備間數據的交互提供了可用性與可靠性, 但是一旦兩臺本層的物理設備鏈路故障, 會導致兩臺設備的配置一模一樣, 引起整個網絡的混亂, 因此在本方案中采用了檢測機制, 來保障網絡的正常運轉, 下面是檢測機制是否生效的測試,圖6是在 SW1 是輸入 display mad verbose 的測試結果.

上述測試結果表明虛擬邏輯設備的分裂檢測機制已正常啟動, 只要兩臺物理設備相互連接的鏈路出現故障, 檢測機制就能偵聽到, 并迅速將虛擬邏輯設備的從設備設置為Recovery狀態, 使其不能處理數據報文,只能處理控制報文, 不影響其企業網絡的正常運轉.

(2) 性能對比

網絡設備虛擬化、動態鏈路聚合、虛擬化設備的檢測機制其測試結果的正確性已充分表明其方案的可行性、可操作性. 采用該方案構建的企業網絡相比傳統方式構建的企業網絡, 在以下方面存在有明顯優勢,如表4所示.

圖6 MAD 結果狀態

表4 虛擬方式與傳統方式的對比

上述對比分析結果表明采用虛擬化技術構建的企業網絡相比傳統方式構建的企業網絡在其網絡部署、可管理性、擴展性、可行性與可靠性等方面要優于傳統方式. 因此, 該方式在構建企業網絡時更受青瞇.

3 結束語

傳統方式構建的企業網絡由于部署難、擴展困難、可用性與可靠性差已滿足不了企業網絡的需要.針對該問題, 本文提出了在企業網絡中采用虛擬化技術的方式來構建企業內部網絡. 為了評估該方案的可行性, 以虛擬仿真的驗證了該設計思想, 并從可用性、可靠性、可擴展性等對角與傳統方式構建的企業網絡進行了對比分析, 分析結果表明, 采用該方式構建的企業網絡更具有優勢, 為企業構建一個穩定、可靠、安全的網絡提供了解決方案.