業務支撐網資源池改造方案研究

張文迪+趙政+高潮

摘要近年來，隨著云計算、虛擬化技術的引入和網絡安全防護要求的持續提升，原有的網絡安全域劃分和安全防護能力已不能適應業務發展的需要，需要通過本次業務支撐網資源池改造專項工作，實現軟硬分離、硬件通用化、功能軟件化、網絡扁平化、新功能可快速部署、基礎資源虛擬化、資源可動態平滑擴展等能力。擬討論業務支撐云資源池安全域改造方案，主要實現云計算資源池的安全改造。

關鍵詞資源池虛擬化安全域；改造

針對省內大數據虛擬化資源池、4A及SMP資源池、客服及BOMC資源池和開發測試資源池的網絡改造需求主要包括：1）劃分不同安全域，各域之間補充部署獨立的接入設備和安全防護設備；2）東西向流量做到相應的安全防護；3）對不符合集中分組要求的已運行虛擬資源，評估業務影響后，組織進行必要的資源遷移。

1建設方案

1.1整體架構

建設架構如圖1所示。

基于現網資源，采用新增和替換設備的方式構建8樓資源池二層數據中心網絡，使用虛擬網絡分組技術在資源池內劃分獨立的邏輯子域，新建NFV安全資源池，域間安全隔離采用物理或者邏輯上進行域間安全防護；在互聯網接口子域內部新增三類獨立子域，進行分類隔離防護；開發測試子域新增敏感數據脫敏檢查設備，開發測試子域與生產系統之間新增防繞行檢測設備。

1.2具體改造方案

由于現網絡設備和架構無法對虛擬化資源池資源、物理資源和邏輯子域實施基本粒度的訪問控制策略，故在八樓資源池新增2臺核心交換，替換現網2臺華為S9312為數據中心級交換機，采用虛擬化技術，簡化網絡結構、方便設備維護并提供安全保障。新增交換機支持VxLAN功能，實現不同VxLAN之間的三層互通，及VxLAN與VLAN之間的三層互通。

替換后的接入交換機做為VxLAN二層網關，實現相同VxLAN之間的二層互通，通過10GE鏈路上聯至新增核心交換機，服務器通過10GE鏈路上聯至接入交換機。新增核心交換機做為VxLAN三層網關。

八樓資源池虛擬化平臺部署vSwitch，每臺物理主機需部署一個vSwitch做為虛擬機的接入交換機，vSwitch結合VxLAN網絡做二層網關，對Ⅷ做邏輯劃分，實現報文封裝解封裝。

八樓安全管理子域內新增NFV的安全資源池（支持X86架構）。采用虛擬防火墻功能實現東西向流量的邏輯安全防護。

改造后，資源池內部劃分成核心資源子域、接入資源子域和安全管理子域?，F網測試區劃分至接入資源子域，4A和SMP系統劃分至安全管理子域中，其他業務系統劃分成核心資源子域。采用VxLAN實現各子域間的安全防護和訪問管控。

改造后各子域流量訪問如下描述：1）現網改造后核心資源子域和接入資源子域南北向流量通過現網出口物理防火墻進行流量的控制與防護；2）改造后域間流量必須通過安全管理子域的調度實現預間訪問，采用VxLAN和安全資源池內的虛擬防火墻進行安全隔離或防護；3）改造后同一域內不同VxLAN業務流隔離方式有2種，根據不同業務配置不同的策略，第一種是通過VxLAN三層網關實現業務隔離，第二種是域內流經過VxLAN三層網關和安全資源池內的虛擬防火墻進行安全隔離或防護。

整個網絡分為underlay網絡和overlay網絡，把各域分配到不同的overlay網絡，承載不同域業務，從邏輯網絡層面劃分安全域。域間流量控制通過SDN流量調度，采用虛擬網絡分組技術實現安全防護，保障業務安全隔離。

2網絡規劃方案

2.1IP地址規劃

1）IP地址分配基本分為以下兩大類。網絡地址：包括網絡互聯地址（點對點鏈路或其他鏈路地址）、網絡設備本身地址（三層設備LOOPBACK地址和二層設備管理地址）；業務地址：包括內部私網地址、對外服務公網IP地址，如虛擬主機地址、物理主機地址、存儲設備地址等。

2）地址分配原則。地址按照地址聚合原則分片分配，盡量做到地址高效聚合，減少路由表規模。

3）內私網IP地址分配原則。根據不同的安全等級劃分到不同的資源池，不同的資源池分配不同的IP地址段；考慮到業務發展需要同一資源池內的IP地址分配時需要使用VSLM和CIDR技術用于擴展和節約IP地址使用。

4）對外服務公網IP地址分配原則。由于公網IP地址需求會少于內部私網IP地址需求，公網IP地址分配原則建議采用類似城域網IP地址分配原則：（1）根據不同的業務系統分配不同的IP地址段；（2）同一中心的相同業務系統分配相同的IP地址段；（3）考慮到業務發展和擴展性，建議每段IP地址充分預留。

例如：對外服務的云計算根據用戶和業務統一規劃IP地址，包括業務地址、設備管理地址、設備互連地址、管理平臺地址等。

在內部使用私有IP地址，根據VLAN和業務分配地址段，并進行一定比例的預留，以便于擴展。對于有外網訪問需求的業務，在防火墻上進行IP地址轉換，提供公網IP地址池。

2.2 VxLAN規劃

云平臺根據用戶業務類型統一規劃VxLAN，物理機及虛擬機VxLAN規劃如下。

針對物理主機的VxLAN規劃相對簡單。將承擔同樣角色的主機劃歸到一個VxLAN內即可，如10臺主機都是WEB服務器，那么將這10臺主機劃在一個VxLAN內，通過負載均衡設備實現業務響應的輪循即可。

由于虛擬機的出現目前通用的方案是由虛擬交換機打VxLANtag，這樣到達鄰接交換機的數據流對應不同虛擬機就由不同的VxLAN號了，根據VLAN號臨接交換機則可以進行針對性的網絡策略配置。同一中心內大的原則就是相同業務部署相同VxLAN。將位于兩中心的物理服務器規劃在同一VxLAN內，則可以實現虛擬機的跨中心遷移了。

2.3 SDN控制平臺規劃

標準x86平臺部署和VxLAN云主控部署，支持集群設計最大32臺，具備高可靠和可用性。能夠管理5個VxLAN硬件網關，部署100個服務鏈節點；實現混合overlay部署（vSwitch虛擬化平臺部署和硬件部署），vSwitch管理64顆CPU，能與蘇研虛擬化平臺友好對接，提供物理主機和Ⅷ虛機同時接入overlay網絡。

3結論

通過支撐網資源池的改造，劃分不同安全域，各域之間補充部署獨立的接入設備和安全防護設備；對東西向流量做到相應的安全防護；對不符合集中分組要求的已運行虛擬資源，組織進行必要的資源遷移。