吴永娟 王振华 黄小红 来源：万方数据

关键字：虚拟化数据中心 虚拟化网络 私有虚拟局域网

信息化调查找茬投稿收藏评论好文推荐打印社区分享
 
为解决数据中心多网络设备、多网络端口的问题，采用IRF将多台网络设备进行连接，“横向整合”起来组成一个“联合设备”，实现跨设备链路聚合，增加带宽并提高链路可靠性。为解决数据中心各个虚拟机的安全性问题，在虚拟机网络内部采用PVLAN技术隔离各个虚拟机，提高网络的安全性。将两种方案应用于实际的校园数据中心网络建设中。测试结果表明，该方案能扩展网络端口数量和交换能力、增强网络的可靠性和提高网络的安全性。

    随着数字化校园建设的不断深化、用户应用的快速发展和信息孤岛资源的逐渐整合，数据中心的服务器、存储、网络设备不断地增长和集中，使得数据中心的网络系统变得非常复杂，服务器、存储设备、虚拟机的增加也带来了数据中心应用资源的增加，数据中心资源管理以及虚拟化整合也成为亟待解决的问题。数据中心的虚拟化由此成为了数据中心建设的一个重要的发展趋势。
 
    虚拟化数据中心被也称为下一代数据中心，而支持其得以实现的核心技术包括：服务器虚拟化、存储虚拟化以及网络虚拟化。其中服务器的虚拟化是虚拟化数据中心的核心技术，借助不同应用分配不同配置的虚拟机，虚拟机的应用使得应用服务的物理资源得以整合；存储虚拟化是将不同的存储资源虚拟成一个“存储池”，把零散的存储资源整合起来，然后再从“存储池”中分配存储容量，从而提高整体利用率，同时降低系统管理成本；网络虚拟化是使用基于软件的抽象从物理网络元素中分离网络流量的一种方式，它抽象隔离了网络中的交换机、网络端口、路由器以及其他物理元素的网络流量。每个物理元素被网络元素的虚拟表示形式所取代。管理员能够对虚拟网络元素进行配置以满足其独特的需求。
 
    具有虚拟化功能的智能网络与统一网络的结合是保证服务器虚拟化性能和存储虚拟化之关键。然而目前还没有特别可行的虚拟化网络方案，因此本文针对校园网建设的具体需求，提出了一种网络虚拟化方案，目的在现有的虚拟化的平台下，设计合理、健壮、安全的虚拟化网络。
 
1 问题描述
 
    数据中心虚拟化的网络涉及网络物理设备的虚拟化即网络虚拟化及在虚拟化平台下虚拟化网络的实现。目前存在如下两个主要的问题。
 
    1．1问题1
 
    数据中心在出现虚拟化服务器模式之前，应用程序与物理资源捆绑在一起，所需要的全部网络功能均在服务器外部来完成。分组交换和路由选择等操作以及防火墙和入侵防御等网络安全功能均在远离主机服务器端的设备层中完成。在对主机资源进行虚拟化时，将应用程序与服务器的比例由1：1调整为N：1，有可能N个服务共享有限上联网络接口，从而导致单一网络交换机数据流量成本增加，形成数据传输瓶颈，而且一旦该上联的交换机出现故障，那么该主机下的所有服务将停止，如何合理、高效使用这些网络接口，并提供可靠的冗余成为本文设计网络必须考虑的问题。
 
    1．2问题2
 
    随着越来越多的校园应用系统服务器迁移或者搭建在虚拟化平台上，数据中心内部的物理网口越来越少，以往基本上每个提供web服务的系统就需要一个以太网口，而现在提供web服务的系统就是驻留在一台物理服务器的一个虚拟机，并且X86 cpu性能的提供，往往一台物理服务器可以跑上百个服务，而它们共享一条上联网线。如果这些服务不加网络上隔离，那么一个服务遭到攻击，则会影响到整个虚拟主机的性能，同时使得其他的服务访问收到影响。
 
2 方案1
 
    针对问题1，本文提出了外网整合的网络虚拟化方案。
 
    2．1基本原理
 
    数据中心是数据中心架构的核心领域，随着数据中心业务的增加，为了管理的方便、数据中心的容灾、备份，根据数据中心业务的分类建立了多个子数据中心，其中各个数据中心之间借助虚拟化平台vcenter来进行管理，各个中心之间的数据交换需要外接的网络来保证线路的畅通。
 
    结合网络架构虚拟化技术，将多台网络设备进行连接，“横向整合”起来组成一个“联合设备”，并将这些网络设备看作单一网络设备进行管理和使用。通过在接人层交换机使用堆叠交换机，可以与ESX虚拟交换机实现跨设备链路聚合，进一步提高链路可靠性，从而实现网络设备的冗余、网口接口的扩展。同时通过管理简单化、配置简单化、可跨设备链路聚合等极大简化网络架构。
 
    网络拓扑如图1所示。
 
 

图1 方案1网络拓扑图
 
    2．2方案描述
 
    本文选用以vware的Esxi搭建虚拟化数据中心，服务器选用intel的一体机，共配置了6片刀片，每片刀片配有4块网卡，用于同虚拟机进行管理和数据通信，并配置了两个交换机模块机，主要用于物理网络和虚拟网络之间传递数据。这里intel交换机的双网卡分别连接到一个IRF系统的两台物理交换机pSwtichl和pSwitch2，利用IRF技术将这两台物理设备通过物理端口连接在一起，进行必要的配置后，虚拟化成一台“分布式设备”。
 ①IRF的设计
 
    IRF通常由多台成员设备组成(如图2所示)，采用两台H3C5500EI的交换机，其中一台pSwitchl作为Master，Master设备负责IRF的运行、管理和维护，pSwitch2作为Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保证业务不中断，从而实现了设备的备份；同时两个成员设备之间的IRF链路支持聚合功能，多条链路之间可以互为备份也可以进行负载分担，从而进一步提高了IRF的可靠性。同时采用这种架构可以拥有强大的网络扩展能力。通过增加成员设备，可以轻松自如的扩展IRF的端口数、带宽。
  图2 IRF配置流程图
 
    ②链路聚合
 
    为了实现网络扩展带宽，使用链路聚合技术来整合数据中心一体机的一台内置intel Gigabit EthernetSwitch的上联链路。将其中的2条链路捆绑在一起成为一条逻辑链路(如图3所示)，使网络带宽由原来的单通道1 Gbit扩展为2 Gbit，从而实现增加链路带宽的目的。同时，这些捆绑在一起的链路通过相互间的动态备份，可以有效地提高链路的可靠性。
 
    ③端口汇聚
 
    刀片服务器上的intel Gigabit Ethemet Switch配置，将外置的第1、2端口汇聚一个通道与外部的交换机连接，将Extl和Ext2接口加入LAGl聚合组(如图4所示)。
 

图3链路聚合  图4刀片服务器的端口示意图
 
    ④链路聚合以Cisco Catalyst 3750为例：
 
    将gI／O／1和gI／O／2汇聚为一个通道与刀片服务器上的交换机连接interface Port-channell
 
   
3 方案2
 
    针对上述问题2，本文提出了内网整合的虚拟化网络建设方案。
 
    3．1基本原理
 
    内部网络虚拟化通过在虚拟服务器内部定义逻辑交换机以及网络适配器，创建了一个或多个逻辑网络。内部虚拟化网络能够连接运行在一台服务器上的两个或多个虚拟机，而且虚拟机之间的网络流量不会经过物理网络基础设施。内部网络虚拟化最小化了物理网络上的网络流量，是让服务器内部相关的工作负载进行网络通信的一种更快和更有效的方式。
 
    为了服务的安全我们需要多网络环境并存，通过在ESXi主机上配置vlan实现多网络并存，实现不同部门或者不同应用的多网络并存，但是现实情况往往一个vlan下一个虚拟机被病毒入侵，往往会造成整个vlan网段的无法正常访问，于是这里将PVLAN的技术引入，主要讨论PVLAN在虚拟化平台上的实现与应用。
 
    PVLAN即私有VLAN(private VLAN)，该技术在解决通信安全、防止广播风暴和浪费ip地址方面的优势是显而易见。对于保证接入网络的各个虚拟机的数据通信的安全性是非常有效的。PVLAN采用两层dan隔离技术，只有上层primary vlan全局可见，下层的辅助vlan(secndeary vlan)相互隔离。辅助vlan(secondary vlall)包含两种类型：隔离vlan(isolated vlan)和公共vlan(community vlan)，见图5所示。
 
 

图5 PVLAN特性图
 
    3．2方案描述
 
    Intel一体机中提供的内置的物理交换机模块和VDS(vnetwork distributed switch)分布式虚拟交换机。其中VDS与物理交换机一样，包含一定数据量的端口，相同特性的端口集合就是端口组，逻辑上分为虚拟机端口组，主要用于虚拟机的网络连接。
 
    3．3网络拓扑
 
    方案2网络拓扑图如图6所示，为了满足不同需求的虚拟机用户之间的安全访问，需要先在pSwitch交换机建立了多个Vlan3010-P和Vlam3020-P，同时建立相应的辅助Vlan，分别是(Vlan3021-C1)(Vlan3022-I)(Vlan3011-C)(Vlan3012-I)，只需将需要互相隔离的VM划分到辅助Vlan3012．I或Vlan3022．I网段下即可，而如果需要某个服务(需要多台VM)同别的应用服务隔离，可以通过在一个主Vlan下建立多个Vlan—C来实现。下面的实例是建立一个PVLAN的实现过程。
  
 

图6方案2网络拓扑图
 
    具体的实例的实现步骤：
 
    ①物理交换机端的配置

 
    在刀片交换机上也建立这三个Vlan(3020，3021，3022)，并通过Vlan Trunk方式连接外部的接入交换机和Vmware中的虚拟分布式交换机。
 
    首先在Vmware的虚拟分布式交换机上需要进行编辑设置将两个辅助Vlan与主Vlan关联。在创建分布式虚拟端口组的配置中完成关联。
 
    再创建新的端口组的时候就可以选择这些辅助Vlan了。可以查看到端口组与专有Vlan的对应关系。
 
    随后在创建的VM中，通过添加网络设备，制定相应的Vlan网段，完成VM网络的配置。
 
    通过以上操作保证Vlan．C中的VM能够互相访问，多个Vlan—C之间互相隔离，Vlan—I中的VM相互隔离。最大限度的保证了VM的网络安全。
 
4 结语
 
    本文针对新一代的虚拟化的数据中心的网络问题进行分析，结合目前校园网数据中心的网络现状，提出基于外网及内网的解决方案。为了提高网络的冗余及可靠性，采用IRF技术；为了提高链路带宽，采用链路聚合的技术；为了加强虚拟机的网络访问安全性，采用PVLAN的技术，结合目前数据中心的实际架构进行实现。该方案达到了增强网络高可靠性，提高链路带宽，加强虚拟机网络安全的目的。而且随着新的VDC(虚拟化的数据中心)概念的提出，以上的解决方案对将来大型的数据中心的建设和维护做了很好的可行性的研究。