銀行網絡虛擬化技術規劃

韓丹

摘 要 隨著各家銀行的數據中心集中了大量的應用和系統，業務需求的迅猛增長使得應用的推出和升級速度不斷加快，數據中心不斷面臨著規模擴張要求，并要求獲得更多的硬件、網絡和人力等資源。為了解決在業務運行中遇到的問題：硬件資源利用率低、數據安全性缺乏保障、業務連續性、人員不夠等問題，對銀行金融信息中心對虛擬化技術在銀行信息化建設中的應用進行研究。

關鍵詞 銀行網絡 虛擬化技術 規劃

中圖分類號：TP393 文獻標識碼：A

0引言

網絡虛擬化的作用主要是通過邏輯手段整合或共享物理設備、線路資源來提高資源利用率，從而更有效地利用網絡資源，實現對資源的快速部署以滿足業務的發展需要。網絡虛擬化主要包括網絡設備的虛擬化和數據路徑的虛擬化兩方面。

網絡設備的虛擬化技術主要有二層的VLAN、三層的VRF和思科Nexus7000交換機的VDC（Virtual Device Context）技術等。VLAN技術可將交換機的接口分成不同的邏輯組，每個邏輯組構成一個二層廣播域，一個VLAN內的設備在二層上可以互相通信，而VLAN之間的設備在二層上不能互相訪問。VRF技術可在1臺設備中設置多個路由表和轉發表，各自運行相應的路由協議。

Nexus7000運行NX-OS操作系統，支持設備級虛擬化VDC技術，使用該技術可以將一臺Nexus7000交換機在邏輯上模擬成多臺虛擬交換機，VDC作為一個單獨的邏輯實體在交換機中運行。VDC的特點如下：（1）數據平面隔離：每個物理接口同時只能被分配到一個VDC。（2）控制平面隔離：每個VDC都有自已的二層/三層的協議進程。（3）管理平面隔離：每個VDC可以看成單獨的設備，能獨立地進行管理。（4）每個VDC是獨立的故障隔離域，防止某個虛擬設備VDC上的問題影響運行于同一個物理設備上的其他虛擬設備VDC。（5）每個VDC都有自己的配置文件，能獨自進行維護。

數據路徑的虛擬化技術實現的是將一條物理鏈路劃分成多條邏輯鏈路，以達到鏈路復用和安全隔離的作用。如Vlan trunk技術，Vlan trunk是通過對以太幀插入VLAN標識的方法來確保在網絡接口上二層地址空間的隔離，以實現在一條trunk鏈路上可以傳輸多個VLAN的數據。

以上幾種虛擬化技術是本次數據中心網絡結構規劃中需要采用的，其中Nexus7000 VDC是新技術，本章重點對VDC的技術實現及在數據中心網絡結構中的部署做詳細闡述。

1VDC規劃和使用原則

數據中心局域網結構是以高可用的交換核心為中心來互聯各個功能區域，各功能區域之間進行安全隔離，功能區域內的網絡結構采用標準的層次化設計，要求區域網絡可靈活擴展，同時降低綜合布線等日常變更操作的復雜程度，VDC虛擬化技術可以在一定程度上滿足這些需求。VDC的規劃原則如下：（1）在功能區域的區域核心交換機上采用VDC技術，交換核心不進行VDC的劃分。（2）VDC之間進行一定的安全隔離。（3）VDC進行必要冗余設計并應用相應的高可用策略。

1.1VDC拓撲結構

數據中心標準服務器區、外聯區、FOVA區均使用了VDC虛擬化技術。VDC拓撲規劃如下：（1）標準服務器區、外聯區每臺Nexus7010交換機創建2個VDC，其中1個VDC作為區域核心-VDC-2上聯4臺交換核心Nexus7018，另1個作為區域核心-VDC-3下聯接入層交換機Nexus5020，缺省VDC用于網絡管理。（2）FOVA區域每臺Nexus7010交換機創建3個VDC，包括缺省VDC在內，4個VDC都需要使用。缺省VDC作為區域核心-VDC-1上聯四臺交換核心Nexus7018，下聯其它三個新建VDC，這三個新建VDC分別作為區域核心-VDC-2、區域核心-VDC-3和區域核心-VDC-4分屬于三個不同的FOVA區，它們分別下聯不同FOVA區域的接入層交換機。（3）各功能區域的不同區域核心-VDC之間采用防火墻技術進行安全隔離。

1.2VDC劃分

Nexus7000交換機總是存在一個缺省的VDC，第一次登錄到Nexus7000交換機上，首先就進入到缺省的VDC。缺省VDC的作用是創建和刪除其它VDC、給其它VDC分配資源、維護系統等，缺省VDC不能被刪除。目前NX-OS包括缺省VDC在內最多可以支持4個VDC，即可以手工創建3個VDC。除非特別需要外，缺省VDC只用于管理，不用于實際生產。數據中心局域網結構設計中，VDC的劃分如下：（1）FOVA區域每臺Nexus7010交換機新建3個VDC，其它區域每臺Nexus7010交換機新建2個VDC。（2）除FOVA區域外，其它功能區域的缺省VDC只用于系統管理和對其它VDC的管理。（3）在FOVA區域中，包括缺省VDC在內的所有4個VDC用于實際生產。

1.3VDC資源

Nexus7000上可以對VDC分配的資源有兩種：物理資源和邏輯資源，并且要求以network-admin的用戶角色和權限來分配資源：

（1）物理資源分配。

Nexus7000上能對VDC分配的物理資源是接口，數據中心網絡結構中將使用的接口模塊是N7K-M132XP-12（32接口萬兆以太接口模塊）和N7K-M148GS-11（48接口千兆以太接口模塊），兩種模塊對VDC的接口資源的分配規則如下：

32接口萬兆以太網接口模塊必須四個接口一組分配到一個VDC。48接口千兆以太網接口模塊以一個接口或多個接口為單位進行分配。

（2）邏輯資源分配。

Nexus7000上能對VDC分配的邏輯資源是VLANs、VRFs、Port-Channels、SPAN Sessions、IPv4 RIB和IPv6 RIB。對于一個VDC來說，系統缺省為它預留了每種邏輯資源可分配的最少量，即可以保證分配到的邏輯資源。

2VDC用戶角色

NX-OS缺省有四種用戶角色：network-admin、network-operator、vdc-admin、vdc-operator，每種用戶角色擁有不同的權限。network-admin具有最高的權限，可以管理包括缺省VDC在內的所有VDC，對所有VDC具有讀寫權限，是設備管理員的角色。我行設備管理規劃采用network-admin用戶，配合ACS實現讀寫、只讀兩類用戶的授權。

2.1VDC帶外管理

NX-OS提供虛擬化的以太管理接口（mgmt0）以便可以通過帶外網管的方式來管理VDC。Nexus7018、Nexus7010和nexus5020采用這個以太管理接口進行帶外管理。

另外，Nexus7018和Nexus7010也提供獨立的CMP（Connectivity Management Processor）處理器，CMP以太口能夠支持telnet/SSH功能，Nexus7018和Nexus7010采用CMP接口作為帶外網管的輔助和備份手段對設備進行遠程管理。

2.2VDC高可用策略

VDC的高可用策略（HA-policy）是指當一個VDC出現問題時，NX-OS在高可用方面的處理方式。VDC的高可用策略規則如下：（1）Bringdown策略：當某一個VDC出現問題時，掛起這個VDC，需要對物理設備重新引導才能進行恢復。（2）Restart策略：當某一個VDC出現問題時，刪除這個VDC，并用Startup配置文件重新創建VDC。（3）Switchover策略：在雙引擎的條件下，當某一個VDC出現問題時，引擎會進行切換。（4）reload策略：在單引擎的條件下，重新啟動物理設備，并用Startup配置文件重新創建VDC。（5）VDC的缺省高可用策略：1）在雙引擎的條件下采用Switchover模式。2）在單引擎的條件下，采用Restart模式。3）缺省VDC的高可用策略不能改變。

數據中心局域網結構規劃中，相關服務器區域的VDC都是冗余設計并且Nexus7018和Nexus7010都是雙引擎配置，VDC的高可用策略規劃如下：

缺省VDC的高可用策略不能改變，因此采用缺省高可用策略Switchover，即當缺省VDC出現故障時，引擎進行切換。其它VDC采用Restart模式，即當任何一臺VDC出現故障時，刪除這個VDC，并用Startup配置文件重新創建VDC，這樣可以盡量不影響其它VDC的正常工作。