基于虛擬化技術的數值仿真與中央監控系統網絡設計

仇玉雪，趙晶晶，邱逸昌，張海英，趙永平，原 奕，李 凱，周 樂

（北京衛星環境工程研究所，北京 100094）

0 引言

“空間環境地面模擬裝置”（ 國家大科學工程項目）作為大型空間綜合環境地面模擬平臺，用于實現空間主要環境因素及其效應的模擬。該裝置共劃分為5 個系統：空間綜合環境模擬與研究系統，磁環境模擬與研究系統，空間等離子體環境模擬與研究系統，數值仿真與中央監控系統及配套系統。數值仿真與中央監控系統是“空間環境地面模擬裝置”中實驗設備的集中監控樞紐和實驗數據的匯聚中心，為裝置及其運行的實驗提供全生命周期的管理與支持服務，包括數據采集、實驗和安全監控、集中展示、數據存儲、運行管理、數值仿真、數據共享以及配套系統的監管。該系統融合了8 類實驗分系統（綜合環境模擬分系統、空間生命科學分系統、微觀機理分析分系統、離子加速器分系統、器件離子輻照分系統、空間磁環境模擬與研究分系統、空間等離子體環境模擬與研究分系統、低能加速器輻射防護分系統），1 套配套系統（實驗區空調控制系統、低能區冷卻水控制系統、智能樓宇監控系統和建筑信息模型）以及門禁、視頻、電話系統業務，是集多種實驗測控、高算仿真、多媒體等業務的多網融合系統。多種業務、多類別數據在同一張網絡中傳遞，各類業務要求邏輯隔離，不同業務的差異性在同一張物理網絡中疊加，根據業務需求變化而不斷調整的網絡拓撲，以及震蕩的網絡環路給網絡設計、實施、維護帶來了負擔，這些都對網絡可靠性提出更高的要求，對傳統網絡結構提出挑戰。

針對以上問題，本文提出采用網絡虛擬化技術對數值仿真與中央監控系統網絡進行設計，構建多業務統一承載的網絡，以有效解決大規模網絡的復雜拓撲，簡化網絡規劃，降低設計復雜度，消除網絡環路，提升網絡帶寬，增強網絡的可靠性和安全性。

1 網絡虛擬化技術

網絡虛擬化的核心目標是通過虛擬化技術，將一個物理網絡分割為多個虛擬網絡，或者將多個物理網絡抽象為一個邏輯虛擬網絡，使不同的虛擬網絡之間的服務質量能夠得到不同級別的保障，從而為上層的應用提供網絡服務。在服務器領域啟用虛擬化技術，運行多臺虛擬機，可提升物理資源利用率，形成1∶N 虛擬化；將多臺服務器整合，對外提供服務，稱為N∶1 虛擬化。對于網絡，虛擬化技術應用有著類似體現，在一張網絡中采用虛擬化技術分割出彼此隔離的多個邏輯網絡，即1∶N 方式虛擬化的應用；同樣，將多臺獨立的設備在同一節點虛擬成一臺設備，簡化網絡結構，即N∶1 虛擬化。虛擬化技術軟件體系架構如圖1 所示，其中：虛擬化模塊的功能在于自動進行系統的拓撲結構收集、角色選舉，并將多臺設備虛擬成一臺邏輯設備；硬件系統是組成虛擬化節點的硬件設備；設備管理層可通過軟件對各節點上虛擬化設備的接口、板塊等資源進行管理；系統管理與上層應用模塊可對各種路由協議模塊、鏈路層協議模塊等進行管理和控制。

圖1 虛擬化技術軟件架構Fig. 1 Structure of the virtualization technology software

2 基于虛擬化技術的網絡拓撲

2.1 網絡橫向整合

數值仿真與中央監控系統網絡采用星型拓撲結構搭建，各節點采用雙設備部署，利用網絡虛擬化技術對網絡橫向整合，實現1∶N 虛擬化。網絡拓撲如圖2 所示。

圖2 數值仿真與中央監控系統網絡拓撲Fig. 2 Network topology of numerical simulation and central monitoring system

1）對圖中核心層、匯聚層交換機利用虛擬化技術進行橫向整合，整合后的網絡從邏輯上簡化了網絡架構，構成單一邏輯節點，從而使同一節點對多臺設備的管理簡化至對單一邏輯設備的管理，在設備管理地址分配、網關設定方面都起到了簡化作用，不必為邏輯設備中的多臺設備分別設置獨立的管理地址。

2）無需啟用虛擬路由冗余協議（virtual router redundancy protocol, VRRP）做路由冗余設置，可實現跨設備鏈路聚合功能，簡化了對多條物理鏈路的管理。通過聚合鏈路，可提升網絡帶寬，無需依賴生成樹協議（spanning tree protocol, STP）進行環路探測，避免網絡鏈路中環路的形成而導致的網絡不可用情況發生。

3）當單臺虛擬化節點交換機成員發生故障時，二層、三層拓撲無需進行重新收斂，路徑可靠性增強。虛擬化的思想是將多臺設備合并成單臺高密度端口的設備，因此節點內有多個設備控制器，構成節點的設備分為master 和非master 設備，以及slave設備。master 與slave 設備保持同步關系，在業務處理方面，master 全面負責。當主設備master 出現故障，會從其他slave 中重新選出新主設備接替業務，因此網絡節點不會因master 設備故障而導致節點失效。在數值仿真與中央監控系統網絡中采用基于鏈路狀態的路由協議——開放式最短路徑優先（open shortest path first, OSPF）路由協議，當master收到鄰居路由節點發送的update 報文時，會觸發本地路由表更新，同時會立即轉發新路由信息給節點內其他成員設備，其他成員設備也會立刻更新路由表，保證虛擬化節點內各物理設備內的路由信息同步；當slave 設備收到鄰居節點發來的路由更新時，會將報文發送給master 設備進行處理。如此，保證了路由信息處理統一通過master 設備進行，然后再更新、同步至各個節點內其他設備。當master 出現故障時，新當選的master 可以無縫接手工作，不會影響到虛擬化節點的數據轉發工作。此種機制可以有效保證二、三層數據流不因節點內master 故障而導致業務中斷。

2.2 網絡縱向隔離

數值仿真與中央監控系統是一張物理連通，融合多種業務、多種數據的網絡，利用網絡虛擬化技術對網絡進行縱向隔離，實現N∶1 虛擬化。網絡結構如圖3 所示。

圖3 數值仿真與中央監控系統業務縱向隔離網絡示意Fig. 3 Vertical segregation network of numerical simulation and central monitoring system services

將實驗分系統層中的實驗業務與配套業務層中的配套服務業務利用虛擬路由轉發（virtual routing and forwarding, VRF）技術進行網絡端到端隔離；將同一張網絡縱向按需分割成多個貫穿全網的邏輯通道，獨立業務間無需數據交換；部署在應用資源層的應用系統、高性能計算和數據存儲作為公共資源為不同業務提供服務，根據實際需求劃入不同VRF 域中，從而確保每個邏輯網絡中所承載的業務相互獨立。

3 基于虛擬化技術的數據中心網絡設計

根據計算業務需要，在數值仿真與中央監控系統中規劃部署數據中心，向各類業務提供計算資源。傳統的數據中心網絡規劃設計依據高可靠思路，形成了冗余復雜的Mesh 網狀網結構。結構化網狀網的物理拓撲在保持高可靠、故障容錯、提升性能上有優勢；但此類設計為通用設計方式，依賴純物理冗余拓撲結構的架構，導致設備間連接線路過于復雜，加大了實際運行中運維的工作量，同時，二層環路出現在網絡中的機率增加。Full Mesh的網絡拓撲結構、鏈路通斷、帶寬增減等狀態變化、節點設備故障會導致配置變化，使運維、排故更加復雜。利用網絡虛擬化技術可方便地簡化網絡邏輯架構，整合物理節點，支持上層應用的快速變化，為數據中心網絡結構設計提供良好的解決方案。

傳統數據中心服務器區交換網絡有無環設計和有環設計多種選擇方案，網絡拓撲如圖4 所示。

圖4 傳統的多種服務器區接入網絡拓撲Fig. 4 Traditional servers access to the network map

數值仿真與中央監控系統數據中心采用環路接入拓撲，通過虛擬化設計方式，在不改變網絡物理拓撲結構、保持原布線方式的前提下，完成各層網絡橫向整合（如圖5 所示），即完成節點內多設備組合成一個邏輯交換節點，被整合設備互連線纜成為設備虛擬化組內部互聯線纜，對邏輯設備外部不可視，對邏輯組內設備互聯接口省去IP 地址配置。

圖5 數據中心網絡虛擬化整合Fig. 5 Network virtualization structure of the data centre

虛擬化整合后的節點，多臺設備工作在同一邏輯組內，每臺設備各自獨立的控制器通過設備間互聯鏈路進行通信，通過選舉出的主設備對整個邏輯組內的所有設備進行管理和控制，其控制板負責邏輯組內所有端口數據轉發，完成各網絡協議設置、地址配置。邏輯組內多臺設備作為網絡節點工作時等同單臺設備，繼而簡化對設備配置及管理，同時，使不同網絡層之間的網狀互聯簡化成單條邏輯鏈路。對于接入服務器而言，多網卡上行接入到虛擬化節點內多臺設備時，由于節點內設備作為一個邏輯節點，所以可方便地啟用鏈路聚合技術，提供接入鏈路冗余以及帶寬擴展能力。當網絡節點單臺設備出現故障時，節點邏輯組內存在單臺可用設備即可保證網絡節點不失效。由于服務器采用多鏈路與網絡節點連接并采用鏈路聚合協議，所以單條物理鏈路發生故障不會導致服務器與網絡節點間鏈路失效。測試結果表明：當單條物理鏈路或邏輯節點內單臺設備發生故障時，網絡丟包率為0；在故障節點設備或故障鏈路恢復過程中，數據丟包為1～2 幀，這是因為在設備恢復或鏈路恢復時，節點內設備會再次進行通信協商，物理鏈路再次聚合時同樣會由于協議協商導致數據丟幀，但不影響整個網絡通信及業務應用。通過虛擬化技術可提升網絡冗余度及容錯性，增加網絡可靠性。

4 基于虛擬化技術的網絡安全設計

IT 安全在網絡設計中至關重要，在安全設計中應充分考慮到網絡設備與安全設備的冗余性，但如此會出現多種復雜的設計拓撲，這對實現網絡安全性目標提出了挑戰。利用虛擬化技術可在簡化網絡結構的同時，簡化網絡設備與安全設備之間的對接設計，從而提升系統的安全性和可靠性。

防火墻是網絡安全中一種重要的技術手段和有效的防御工具，防火墻在網絡中的部署模式分為路由模式和透明模式，路由模式在傳統的部署方式中分為Active-Standby 和Active-Active 模式（如圖6 所示）。Active-Standby 模式是指：網絡中二層協議終止于匯聚層，匯聚和核心的網絡同處一個OSPF 域內，為了保證負載均衡，采用多VRRP 組的部署方式；位于核心層和匯聚層間的防火墻接口均設置為三層接口，需要核心、匯聚、防火墻分別啟用兩組VRRP 組才能完成負載均衡功能（如圖6(a)所示）。Active-Active 模式是指：各防火墻作為獨立的路由節點與交換機組成OSPF 域，路由協議控制數據流經的防火墻，雙防火墻相互同步會話信息，由圖6(b)可見12 個路由節點，至少有12 條路由。

圖6 防火墻路由模式Fig. 6 The firewall routing mode

在數值仿真與中央監控系統中，防火墻采用Acitve-Acitve 方式部署，以提高網絡靈活性和防火墻設備利用率。以實驗分系統為例，在系統接口交換機與實驗監控交換機之間部署雙防火墻（如圖7所示）以提升網絡節點可靠性。啟用網絡虛擬化技術后，實驗監控交換機、實驗系統接口交換機、實驗監控實時防火墻被整合為一臺邏輯設備，大幅減少了三層接口和路由數目，使網絡安全結構更為簡單。

圖7 防火墻網絡部署模式Fig. 7 The firewall network deployment mode

5 結束語

通過網絡虛擬化技術構建的數值仿真與中央監控系統網絡，將各節點多臺網絡設備虛擬化成一臺邏輯設備進行管理和應用。此方式具備分布式設備管理、分布式彈性路由及分布式鏈路聚合特性，與傳統的網絡設計相比，起到簡化網絡設計、創建無環網絡結構、提高網絡安全性和可靠性、增強網絡可擴展性以及便于后期網絡運行管理的效果。