基于虛擬專網技術的企業級云數據中心建設方案研究

郭文靜，劉彥廷

（西安黃河機電有限公司信息中心，陜西 西安 710043）

0 引 言

隨著云科技與大數據技術的飛速發展，構建企業級云數據中心成為大型公司或國企單位的信息化發展目標[1]。新型企業級云數據中心往往集合了幾千臺服務器，并在數據中心基礎設置層針對網絡的架構、安全效能、智能化管理及網絡帶寬等方面提出了全新要求，以不斷推進云數據中心的結構化轉型。

1 基于虛擬專網技術的企業級云數據中心的整體建設方案

1.1 建設目標

1.1.1 構建業務聯合型共享云

構建業務聯合型共享云，即把計算操作、保存及信息通信等功能板塊集成在一套以太網環境中，使其能有效面對企業級云數據中心內部流量特征復雜、難以預控以及突發狀況多等難題。

1.1.2 設置高密度萬兆型端口

各臺服務裝置均采用10GE以上的局域網信號端口連入網絡，能夠有效地對上千臺裝置進行服務，并且實時調控網絡中的廣播與組網型風暴。

1.1.3 無阻塞型轉換網絡

無阻塞型轉換網絡可實現集群環境中全部服務裝置的對等數據通信需求，并在任意節點之間構成相應的帶寬。平臺層的分布式應用代碼則并不需要關注服務裝置的節點數據能否連入相同的物理轉換裝置。

1.1.4 智能化監管功能

智能化監管可支持網絡配置與監管，完成網絡資源的智能化調整與新型設備的納管與擴容功能。

1.2 整體設計方案

基于虛擬專網技術的企業級云數據中心的整體設計由Fabric形式下的Leaf+Spine的雙層構造完成。其中，Spine交換裝置承擔路由反射功能，Leaf交換裝置則包含服務裝置接入、出口及安全型資源設置的功能。

1.2.1 基于虛擬專網技術的企業級云數據中心的整體設計模式

基于虛擬專網技術的企業級云數據中心的設計特征包括：頂層數據體系選用擴展型虛擬專網；下層網絡體系選取Leaf交換裝置互相交疊，并在Leaf和Spine間構成通信協議；Service Leaf轉換裝置的安全互享池是邏輯域間形成安全與負載的平衡；VxLan的交換裝置可增強服務裝置的接入性；Fabric控制裝置能完成網絡維護。

1.2.2 Leaf和Spine型物理組網結構

選用POD集中布置網絡裝備的模式[2]，以構成對面安裝的Spine交換裝置、邊界Leaf交換裝置、服務Leaf交換裝置、核心層的網絡周邊配置、防火墻與均衡負載等。

1.2.3 矩形布局

基于虛擬專網技術的企業級云數據中心的機房布局為矩形架構，為保障制冷功能，可把多個機柜構成排列組，在各對機柜間設置空調，形成制冷環境。

1.2.4 TOR型布線方式

服務機組柜的布線方式是在各個服務裝置配置多臺10GE以上的局域網信號端口，并選取多對光纖跳線連入服務Leaf交換裝置，以簡化布線模式。

1.2.5 帶外管理

在各列服務裝置的首尾分別安置管理交換裝置，并采用服務裝置的IPMI接口、服務Leaf交換裝置完成以太網的連接。交換裝置選取雙對上行端口連入網絡機組中，完成帶外監管。

2 基于虛擬專網技術的企業級云數據中心的關鍵技術

擴展型虛擬專網策略可在現有的數據中心物理網絡架構上接入雙層網絡[3]。虛擬專網策略是一類雙層的虛擬網絡，其控制層面選用MP-IBGP報告雙層虛擬網絡的路由數據，并選取擴展虛擬專網封裝模式完成報文的轉發。

2.1 擴展虛擬專網的分工型網關模式

擴展虛擬專網的控制層面主要由Leaf交換裝置與Spine交換裝置搭建以太虛擬專網完成。Leaf與Spine交換裝置的分工策略具體如下。

2.1.1 Leaf交換裝置構成分布式網關

Leaf交換裝置可完成擴展虛擬專網網關與隧道端點的功能，并構建虛擬專網的鄰居關聯，選用MP-iBGP協議完成擴展。

2.1.2 Spine交換裝置的底層設備

Spine交換裝置的底層設備并不參與頂層的虛擬專網轉發，但能夠承擔雙層網絡中的BGP RR模式，能夠將從Leaf交換裝置獲得的數據反射到周邊Leaf交換裝置，從而提高虛擬專網的交互率。

2.2 擴展虛擬專網的MAC地址與路由共享機理

2.2.1 擴展虛擬專網的隧道智能化搭建

本文采用擴展虛擬專網的BGP RR模式完成鄰居發現，并在設備之間互通擴展虛擬專網數據，使全部VTEP裝備均保存全網的擴展虛擬專網數據且擴展虛擬專網數據與下一跳裝備關聯。

2.2.2 擴展虛擬專網的智能化關聯

在各個裝備和具備同等擴展虛擬專網的下一跳裝備構建通道，并把擴展虛擬專網通道與等價的擴展虛擬專網構建關聯。

2.2.3 MAC地址的自學習

MAC與ARP地址的自學習主要由Leaf形成，在本地得到MAC與ARP地址后，與其他Leaf裝置進行通信。

2.2.4 外部路由裝置的自學習與同步

邊界Leaf和外部防火墻或者路由裝置進行互聯，并構建靜態或者動態的路由協議，以完成外部路由的學習，將消息通報給整個虛擬網絡。

3 基于虛擬專網技術的企業級云數據中心的網絡智能化與安全防護體系

3.1 基于虛擬專網技術的企業級云數據中心的網絡智能化配置

基于虛擬專網技術的企業級云數據中心具有大量的網絡裝置，若使用人工完成各臺設備的配置，需要編碼大量的配置腳本，投入的物力與人力資本較高，且很難避免人為失誤。選用網絡智能化配置可提升設置準確度，完成操作標準化、可視化，從而減弱了技術難度。

3.1.1 頂層網絡布局

頂層網絡布局需要對IP地址、LOOPBACK的IP地址、網絡的路由、虛擬局域網的地址進行規劃。

3.1.2 Fabric Director服務裝置智能化設置

利用Fabric Director實現底層的智能化設置。在Fabric Director中進行DHCP與TFTP的參數設定。按照預定的次序實現Leaf交換裝置與Spine交換裝置的供電，并智能化設定OSPF路由協定。

3.1.3 頂層設置

頂層設置主要包含VPN設置、虛擬轉換接口設置、擴展虛擬專網設置及Leaf交換裝置的端口局域網的屬性設定。

3.2 基于虛擬專網技術的企業級云數據中心的安全防護體系

3.2.1 設置防火墻服務鏈的前提條件

將防火墻與服務Leaf交換裝置構建三角互聯，并設立擴展虛擬專網通道。構建防火墻服務鏈時，主要構建四類鏈路：第一類鏈路選用SDN控制管理裝置保障其他三層可達，并在鏈路的防火墻上構建虛擬防火墻；第二類鏈路構建服務型管理鏈路；第三類鏈路和第四類鏈路構建互聯通信鏈路。

3.2.2 構建防火墻服務鏈的進程

設定與虛擬防火墻相連的虛擬專網與局域網資源，并設置虛擬防火墻服務鏈路相互聯的出口與入口，構建防火墻實例及服務鏈。

4 結 論

隨著科技的迅速發展和各類數據量的不斷增加，企業數據中心的建設標準逐步提高。現有的數據處理水平很難滿足企業和各單位的需求，因此采用虛擬專網技術完成企業級云數據中心的建設具有重要研究意義。

本文首先給出了基于虛擬專網技術的企業級云數據中心的整體建設方案，分析了建設目標和整體設計方案，具體方案包括Leaf和Spine型物理組網結構、矩形布局、TOR型布線方式及帶外管理；其次分析了關鍵技術，簡述了Leaf交換裝置構成分布式網關和Spine交換裝置的底層設備，研究了擴展虛擬專網的MAC地址與路由共享機理、隧道智能化搭建和關聯及MAC地址和外部路由裝置的自學習與同步；最后給出了網絡智能化與安全防護體系，給出了構建防火墻服務鏈的進程。