業務支撐網資源池改造方案研究

查中泉，陶 偉，葉 楊

（廣州杰賽科技股份有限公司，廣州 510310）

目前，包括浙江移動、廣東移動和多地的移動公司都已經啟動了系統云化應用項目的改造。在經過多年的集中建設之后，很多運營商也基本形成了以B/O/M 系統為基礎的IT 支撐體系，以便更好地承擔企業運營的任務。但是這些系統都不能夠在網絡安全防護的過程中發揮更好的作用，所以為了更好地適應整體業務的發展需要，尤其需要就業務支撐網資源池改造的方案進行全面的研究。

1 原本整體架構的結構

以現有的網絡資源為基礎，來充分構建某運營商核心機房資源池二層數據中心網絡。在這過程中勢必要新增或替換一些設備。另外，也可以通過有效地使用虛擬網絡分組技術在有限的資源池內部劃分獨立的邏輯領域，并在之后建立一個安全的資源池。尤其需要注意在互聯網的接口處增加三個獨立的子域，之后才能夠更好地進行分類隔離和防護。另外，還需要另外開發兩類設備來測試子域新增敏感數據和子域和生產系統之間的關系。原本整體框架如圖1所示。

圖1 原本框架結構

2 改造后框架

雖然原有的網絡設備和網絡架構確實能夠在使用的過程中發揮相關的作用，但是卻沒有辦法對虛擬化資源池中的資源、物理資源和他其他基本粒度進行有效的控制。因此，在后續結構的改造過程中，可以通過在八樓資源池內部增加兩臺核心交換機，之后在替換掉原有的2臺華為數據中心級的交換機，方便其更好地運用虛擬化的技術，也給后續設備的維護提供了方便[1]。新增加的交換機一方面可以支持VxLAN 功能，另外一方面也能夠實現不同VxLAN 結構的互通。

在內部的框架被改造之后，整個資源池內部將被劃分成若干個核心的領域，以便更好地接入專業的子域和安全管理的子域內部。另外，可以將現網測試區域內部的內容劃分到資源子域內部，再將4A 和SMP 的系統更好地劃分到安全管理的領域內部。這樣也就能夠更好地實現各個子域之間的安全防護和控制。

3 改造后各個子域流量訪問變化

在被改造之后，各個子域內部流量的訪問結果如下：第一，核心和接入資源子域的南北流向都會因此出現在物理防火墻的入口，之后再對其流量進行有效地防護和控制。第二，在被改造之后，所有域名之間的流量都需要通過專業的子域來更好地實現全面調度和訪問，并在之后有效地結合位于安全資源池內部的防火墻來進行安全隔離和有效防護。第三，在改造之后，即便處于同一域名內部的VxLAN 業務主要可以通過兩種隔離的方式來進行。一方面可以借助VxLAN 內部的網管來隔離業務。另外一方面，也可以通過域名內部VxLAN 三層網關和虛擬防火墻來全面進行隔離和防護，并在之后取得更好的效果。

在使用的過程中，可以將整個網絡分成underlay 網絡和overlay 網絡。這樣兩個網絡本身都承載著不同的業務。在不同域名間采用不同的域間流量來全面進行調度。并以虛擬網絡分組技術來更好地進行安全防護，以便讓所有的業務能夠更好地被隔離開來。

4 網絡規劃方案

4.1 VxLAN 規劃

整個平臺需要根據用戶業務和虛擬機的類型在做出最全面的規劃。一般而言，只針對物理主機的VxLAN 規劃相對非常簡單。都可以將相同的角色劃歸到同一個VxLAN 內部。如果10臺祝你內部都有WEB 服務器，那么則需要及時將這10臺主機都劃分在VxLAN 的內部，這樣才能夠有效地使得業務更好地響應和循環。

因為現在虛擬機內部出現的方案都是由虛擬交換機產生的。只有這樣，相鄰的交換機就會因此對應到不同的虛擬機內部，并產生不同類型的VxLAN 信號。大家在使用的過程中可以通過分析不同類型的VLAN 信號來制定針對性的網絡策略。如果正好所有的業務都位于同一個中心內，則需要相同的業務和相同的VxLAN 相互聯系起來，這樣才能夠將位于同一中心的服務器有效地放置入同一個VxLAN 內部。這樣就能夠讓虛擬機有效地進行遷移。

4.2 SDN 控制平臺規劃

可以將標準的x86平臺和VxLAN 云主控同時實現有效地部署，這樣才能夠使得集群設計的規模達到最大，并使得整個集合都變得更加可靠和高效。被設計好的集群一般能夠同時管理5個硬件網關，并結合包括100個服務鏈接點，最終就能夠實現混合性的部署[2]。vSwitch 軟件能夠在使用的過程中同時管理64顆CPU，并更好地實現與虛擬平臺的友好對接。相關的物理主機也就能夠和虛擬機器更好地結合在一起，并最終融入overlay 網絡內部。

4.3 IP 地址的規劃

整個IP 地質規劃主要由以下諸多方面組成，具體分類如下：

（1）地址分配原則。尤其需要有效按照聚合原則來分配地址，這樣才能夠在之后更好地實現高效地聚合，從而縮小路由表的規模。

（2）內部網絡的IP 分配原則。在針對內部網絡分配IP 地址時，需要先分析不同的安全等級，之后將其分配到不同類別的資源池內部。另外，也需要將不同的資源池分配到不同的IP 地址內部。如果需要將同一資源池內的IP 地址有效地配合業務發展時，則需要配合使用VSLM 技術和CIDR 技術，這樣才能夠有效地節約IP 地址使用的空間。

（3）內部私有IP 地址的原則。在內部分配私有IP 地址的過程中，尤其需要根據VLAN 和業務內容的不同來有效地分配到不同類型的地址段中，并將IP 地址更好地預留下來，以便在后續更好地擴展IP 地址。必要時則需要在防火墻內部有效地轉換IP 地址，這樣才能夠最終形成專一的IP 地址池。

5 結束語

只有通過有效地改造以支撐網為基礎的資源池，才能夠在各個子域之間來更好地布置獨立的安全設備，最終對東西的流向更好地進行全方位的防護。必要時可以將組織內部不必要的虛擬資源得以遷移出去。