隨著數(shù)字化校園建設(shè)的不斷深化、用戶應(yīng)用的快速發(fā)展和信息孤島資源的逐漸整合，數(shù)據(jù)中心的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備不斷地增長和集中，使得數(shù)據(jù)中心的網(wǎng)絡(luò)系統(tǒng)變得非常復(fù)雜，服務(wù)器、存儲(chǔ)設(shè)備、虛擬機(jī)的增加也帶來了數(shù)據(jù)中心應(yīng)用資源的增加，數(shù)據(jù)中心資源管理以及虛擬化整合也成為亟待解決的問題。數(shù)據(jù)中心的虛擬化由此成為了數(shù)據(jù)中心建設(shè)的一個(gè)重要的發(fā)展趨勢(shì)。

    虛擬化數(shù)據(jù)中心被也稱為下一代數(shù)據(jù)中心，而支持其得以實(shí)現(xiàn)的核心技術(shù)包括：服務(wù)器虛擬化、存儲(chǔ)虛擬化以及網(wǎng)絡(luò)虛擬化。其中服務(wù)器的虛擬化是虛擬化數(shù)據(jù)中心的核心技術(shù)，借助不同應(yīng)用分配不同配置的虛擬機(jī)，虛擬機(jī)的應(yīng)用使得應(yīng)用服務(wù)的物理資源得以整合；存儲(chǔ)虛擬化是將不同的存儲(chǔ)資源虛擬成一個(gè)“存儲(chǔ)池”，把零散的存儲(chǔ)資源整合起來，然后再從“存儲(chǔ)池”中分配存儲(chǔ)容量，從而提高整體利用率，同時(shí)降低系統(tǒng)管理成本；網(wǎng)絡(luò)虛擬化是使用基于軟件的抽象從物理網(wǎng)絡(luò)元素中分離網(wǎng)絡(luò)流量的一種方式，它抽象隔離了網(wǎng)絡(luò)中的交換機(jī)、網(wǎng)絡(luò)端口、路由器以及其他物理元素的網(wǎng)絡(luò)流量。每個(gè)物理元素被網(wǎng)絡(luò)元素的虛擬表示形式所取代。管理員能夠?qū)μ摂M網(wǎng)絡(luò)元素進(jìn)行配置以滿足其獨(dú)特的需求。

    具有虛擬化功能的智能網(wǎng)絡(luò)與統(tǒng)一網(wǎng)絡(luò)的結(jié)合是保證服務(wù)器虛擬化性能和存儲(chǔ)虛擬化之關(guān)鍵。然而目前還沒有特別可行的虛擬化網(wǎng)絡(luò)方案，因此本文針對(duì)校園網(wǎng)建設(shè)的具體需求，提出了一種網(wǎng)絡(luò)虛擬化方案，目的在現(xiàn)有的虛擬化的平臺(tái)下，設(shè)計(jì)合理、健壯、安全的虛擬化網(wǎng)絡(luò)。

1 問題描述

    數(shù)據(jù)中心虛擬化的網(wǎng)絡(luò)涉及網(wǎng)絡(luò)物理設(shè)備的虛擬化即網(wǎng)絡(luò)虛擬化及在虛擬化平臺(tái)下虛擬化網(wǎng)絡(luò)的實(shí)現(xiàn)。目前存在如下兩個(gè)主要的問題。

    1．1問題1

    數(shù)據(jù)中心在出現(xiàn)虛擬化服務(wù)器模式之前，應(yīng)用程序與物理資源捆綁在一起，所需要的全部網(wǎng)絡(luò)功能均在服務(wù)器外部來完成。分組交換和路由選擇等操作以及防火墻和入侵防御等網(wǎng)絡(luò)安全功能均在遠(yuǎn)離主機(jī)服務(wù)器端的設(shè)備層中完成。在對(duì)主機(jī)資源進(jìn)行虛擬化時(shí)，將應(yīng)用程序與服務(wù)器的比例由1：1調(diào)整為N：1，有可能N個(gè)服務(wù)共享有限上聯(lián)網(wǎng)絡(luò)接口，從而導(dǎo)致單一網(wǎng)絡(luò)交換機(jī)數(shù)據(jù)流量成本增加，形成數(shù)據(jù)傳輸瓶頸，而且一旦該上聯(lián)的交換機(jī)出現(xiàn)故障，那么該主機(jī)下的所有服務(wù)將停止，如何合理、高效使用這些網(wǎng)絡(luò)接口，并提供可靠的冗余成為本文設(shè)計(jì)網(wǎng)絡(luò)必須考慮的問題。

    1．2問題2

    隨著越來越多的校園應(yīng)用系統(tǒng)服務(wù)器遷移或者搭建在虛擬化平臺(tái)上，數(shù)據(jù)中心內(nèi)部的物理網(wǎng)口越來越少，以往基本上每個(gè)提供web服務(wù)的系統(tǒng)就需要一個(gè)以太網(wǎng)口，而現(xiàn)在提供web服務(wù)的系統(tǒng)就是駐留在一臺(tái)物理服務(wù)器的一個(gè)虛擬機(jī)，并且X86 cpu性能的提供，往往一臺(tái)物理服務(wù)器可以跑上百個(gè)服務(wù)，而它們共享一條上聯(lián)網(wǎng)線。如果這些服務(wù)不加網(wǎng)絡(luò)上隔離，那么一個(gè)服務(wù)遭到攻擊，則會(huì)影響到整個(gè)虛擬主機(jī)的性能，同時(shí)使得其他的服務(wù)訪問收到影響。

2 方案1

    針對(duì)問題1，本文提出了外網(wǎng)整合的網(wǎng)絡(luò)虛擬化方案。

    2．1基本原理

    數(shù)據(jù)中心是數(shù)據(jù)中心架構(gòu)的核心領(lǐng)域，隨著數(shù)據(jù)中心業(yè)務(wù)的增加，為了管理的方便、數(shù)據(jù)中心的容災(zāi)、備份，根據(jù)數(shù)據(jù)中心業(yè)務(wù)的分類建立了多個(gè)子數(shù)據(jù)中心，其中各個(gè)數(shù)據(jù)中心之間借助虛擬化平臺(tái)vcenter來進(jìn)行管理，各個(gè)中心之間的數(shù)據(jù)交換需要外接的網(wǎng)絡(luò)來保證線路的暢通。

    結(jié)合網(wǎng)絡(luò)架構(gòu)虛擬化技術(shù)，將多臺(tái)網(wǎng)絡(luò)設(shè)備進(jìn)行連接，“橫向整合”起來組成一個(gè)“聯(lián)合設(shè)備”，并將這些網(wǎng)絡(luò)設(shè)備看作單一網(wǎng)絡(luò)設(shè)備進(jìn)行管理和使用。通過在接人層交換機(jī)使用堆疊交換機(jī)，可以與ESX虛擬交換機(jī)實(shí)現(xiàn)跨設(shè)備鏈路聚合，進(jìn)一步提高鏈路可靠性，從而實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的冗余、網(wǎng)口接口的擴(kuò)展。同時(shí)通過管理簡(jiǎn)單化、配置簡(jiǎn)單化、可跨設(shè)備鏈路聚合等極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)。

    網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 方案1網(wǎng)絡(luò)拓?fù)鋱D

    2．2方案描述

    本文選用以vware的Esxi搭建虛擬化數(shù)據(jù)中心，服務(wù)器選用intel的一體機(jī)，共配置了6片刀片，每片刀片配有4塊網(wǎng)卡，用于同虛擬機(jī)進(jìn)行管理和數(shù)據(jù)通信，并配置了兩個(gè)交換機(jī)模塊機(jī)，主要用于物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)之間傳遞數(shù)據(jù)。這里intel交換機(jī)的雙網(wǎng)卡分別連接到一個(gè)IRF系統(tǒng)的兩臺(tái)物理交換機(jī)pSwtichl和pSwitch2，利用IRF技術(shù)將這兩臺(tái)物理設(shè)備通過物理端口連接在一起，進(jìn)行必要的配置后，虛擬化成一臺(tái)“分布式設(shè)備”。

    ①IRF的設(shè)計(jì)

    IRF通常由多臺(tái)成員設(shè)備組成(如圖2所示)，采用兩臺(tái)H3C5500EI的交換機(jī)，其中一臺(tái)pSwitchl作為Master，Master設(shè)備負(fù)責(zé)IRF的運(yùn)行、管理和維護(hù)，pSwitch2作為Slave設(shè)備在作為備份的同時(shí)也可以處理業(yè)務(wù)。一旦Master設(shè)備故障，系統(tǒng)會(huì)迅速自動(dòng)選舉新的Master，以保證業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備的備份；同時(shí)兩個(gè)成員設(shè)備之間的IRF鏈路支持聚合功能，多條鏈路之間可以互為備份也可以進(jìn)行負(fù)載分擔(dān)，從而進(jìn)一步提高了IRF的可靠性。同時(shí)采用這種架構(gòu)可以擁有強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力。通過增加成員設(shè)備，可以輕松自如的擴(kuò)展IRF的端口數(shù)、帶寬。

圖2 IRF配置流程圖

    ②鏈路聚合

    為了實(shí)現(xiàn)網(wǎng)絡(luò)擴(kuò)展帶寬，使用鏈路聚合技術(shù)來整合數(shù)據(jù)中心一體機(jī)的一臺(tái)內(nèi)置intel Gigabit EthernetSwitch的上聯(lián)鏈路。將其中的2條鏈路捆綁在一起成為一條邏輯鏈路(如圖3所示)，使網(wǎng)絡(luò)帶寬由原來的單通道1 Gbit擴(kuò)展為2 Gbit，從而實(shí)現(xiàn)增加鏈路帶寬的目的。同時(shí)，這些捆綁在一起的鏈路通過相互間的動(dòng)態(tài)備份，可以有效地提高鏈路的可靠性。

    ③端口匯聚

    刀片服務(wù)器上的intel Gigabit Ethemet Switch配置，將外置的第1、2端口匯聚一個(gè)通道與外部的交換機(jī)連接，將Extl和Ext2接口加入LAGl聚合組(如圖4所示)。

圖3鏈路聚合  圖4刀片服務(wù)器的端口示意圖

    ④鏈路聚合以Cisco Catalyst 3750為例：

    將gI／O／1和gI／O／2匯聚為一個(gè)通道與刀片服務(wù)器上的交換機(jī)連接interface Port-channell

3 方案2

    針對(duì)上述問題2，本文提出了內(nèi)網(wǎng)整合的虛擬化網(wǎng)絡(luò)建設(shè)方案。

    3．1基本原理

    內(nèi)部網(wǎng)絡(luò)虛擬化通過在虛擬服務(wù)器內(nèi)部定義邏輯交換機(jī)以及網(wǎng)絡(luò)適配器，創(chuàng)建了一個(gè)或多個(gè)邏輯網(wǎng)絡(luò)。內(nèi)部虛擬化網(wǎng)絡(luò)能夠連接運(yùn)行在一臺(tái)服務(wù)器上的兩個(gè)或多個(gè)虛擬機(jī)，而且虛擬機(jī)之間的網(wǎng)絡(luò)流量不會(huì)經(jīng)過物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施。內(nèi)部網(wǎng)絡(luò)虛擬化最小化了物理網(wǎng)絡(luò)上的網(wǎng)絡(luò)流量，是讓服務(wù)器內(nèi)部相關(guān)的工作負(fù)載進(jìn)行網(wǎng)絡(luò)通信的一種更快和更有效的方式。

    為了服務(wù)的安全我們需要多網(wǎng)絡(luò)環(huán)境并存，通過在ESXi主機(jī)上配置vlan實(shí)現(xiàn)多網(wǎng)絡(luò)并存，實(shí)現(xiàn)不同部門或者不同應(yīng)用的多網(wǎng)絡(luò)并存，但是現(xiàn)實(shí)情況往往一個(gè)vlan下一個(gè)虛擬機(jī)被病毒入侵，往往會(huì)造成整個(gè)vlan網(wǎng)段的無法正常訪問，于是這里將PVLAN的技術(shù)引入，主要討論P(yáng)VLAN在虛擬化平臺(tái)上的實(shí)現(xiàn)與應(yīng)用。

    PVLAN即私有VLAN(private VLAN)，該技術(shù)在解決通信安全、防止廣播風(fēng)暴和浪費(fèi)ip地址方面的優(yōu)勢(shì)是顯而易見。對(duì)于保證接入網(wǎng)絡(luò)的各個(gè)虛擬機(jī)的數(shù)據(jù)通信的安全性是非常有效的。PVLAN采用兩層dan隔離技術(shù)，只有上層primary vlan全局可見，下層的輔助vlan(secndeary vlan)相互隔離。輔助vlan(secondary vlall)包含兩種類型：隔離vlan(isolated vlan)和公共vlan(community vlan)，見圖5所示。

圖5 PVLAN特性圖

    3．2方案描述

    Intel一體機(jī)中提供的內(nèi)置的物理交換機(jī)模塊和VDS(vnetwork distributed switch)分布式虛擬交換機(jī)。其中VDS與物理交換機(jī)一樣，包含一定數(shù)據(jù)量的端口，相同特性的端口集合就是端口組，邏輯上分為虛擬機(jī)端口組，主要用于虛擬機(jī)的網(wǎng)絡(luò)連接。

    3．3網(wǎng)絡(luò)拓?fù)?/strong>