在云计算环境下，传统的服务器和存储资源都被虚拟化，形成IT 资源池，“池”中的资源可按用户的需求进行切割和迁移，在这种全新的应用模式推动下，海航集团建设了新一代适合云计算的网络平台。

如图1 所示，整个网络纵向分为外联区、核心层、汇聚层和接入层。初看其结构与传统网络相似，其实最大的改变在“服务器区”，使得该网络对云计算特性的支撑有显著的提高。

云的特点是主机（物理机或者虚拟机）资源可以灵活调配以达到业务部署快捷灵活的目的。传统网络难以支撑该需求，而图1 中的数据中心服务器区网络则能很好的支撑该需求。该区架构具备了以下云网络的主要特征：

网络二层扁平化

云计算环境下不论是物理主机加入集群工作组，还是虚拟机的在线迁移都是主机灵活调用的表现，而要支撑这样的需求，网络必须是二层环境，否则将造成业务部署、扩展困难，甚至是业务中断。而海航集团的数据中心网络采用两级结构：核心层+ 汇聚/ 接入，一个大范围的二层环境为主机的灵活调配铺平道路。

同时结合IRF2 智能弹性架构技术实现了L2MP（二层链路多路径），充分满足带宽与故障快速收敛的需求。

合适收敛比链路

核心层与汇聚/ 接入之间采用万兆组网，根据每台汇聚/ 接入挂接主机的数量，规划合适的上行带宽，如汇聚/ 接入40个GE 接主机，则采用1 个10GE 与核心相联，构成1:4 的收

敛比，保证主机之间流量交互对带宽的需求。当然该应用中的S5500 交换机实际可以支持4 个10GE 上联，最终达到1:1无收敛的最佳状态。在大量采用虚拟桌面的情况下，服务区主机之间的横向交互流量会大大增加，低收敛比链路将是业务顺畅运转的保证。

防火墙的部署与池化

云的特点是灵活，而防火墙实现的是控制隔离，如何平衡灵活与控制这对看似矛盾的需求？

可将防火墙的部署位置上移到主机所在的二层网络之外，在核心层部署虚拟化的防火墙（如图1 中在核心交换机S12500 上部署高吞吐能力的防火墙板）。这样，主机在二层网络内调配，不受防火墙策略的控制，因此灵活性不受影响；同时可以根据需要在核心层的防火墙资源池中虚拟出防火墙实例，对出入主机的流量进行安全过滤，安全性也有了保障，从而实现灵活与安全的统一。

新需求与新技术

通过以上分析可以看出，相对传统数据中心网络，云网络带来许多新的挑战。除了以上提到的革新外，还包括以下几点。

从物理服务器互联到虚拟服务器互联

传统数据中心连接的对象主要是物理服务器，在云计算环境下，连接的对象变成了虚拟服务器( 以下简称虚拟机或VM)。对于物理服务器，以前靠IP、MAC、VLAN、端口来进行转发，但对于虚拟机来说，这些信息不是固定的，怎么去连接？这就要求要从基础网络架构上去变化。

从尽力传递网络到严格服务质量网络

网络既连接计算，又连接存储，存储尤其要求无损网络来保证数据在传输链路上严格不丢包。因此，必须把传统以太网络改造成高品质的增强以太网络。

从孤立的管理到智能联动管理

在虚拟机应用环境下，所有的应用实现都是动态的，但虚拟机不能独自工作，必须动态的调动网络、存储资源，在动态的网络架构中，想实现灵活的业务生成，计算 、存储、网

络三者必须能有机调度，从静态割裂的管理到联动管理。

解决之道

在云计算这种全新的部署模式下，H3C 对数据中心产品及解决方案进行了不断的优化和创新，结合海航集团的实际业务，采用标准化、虚拟化和智能化的网络安全及管理方案，支撑海航信息“SaaS+IaaS”云战略。对上述几个需求H3C提出了解决之道。

虚拟机接入网络VEPA

VEPA—虚拟以太网端口聚合器的简称。当服务器虚拟化为数个虚拟机后，这数个虚拟机本身之间需要进行数据交互，同时又跟外部网络相连。如图2 所示，在传统的实现方案中，需要CPU 仿真出软件交换机（如VMware vSwitch），然后通过服务器网卡连接到数据中心交换机上。这种用服务器CPU 仿真软件交换机会带来以下几个方面的问题：

◆增加CPU 资源的负担，性能也差；功能不全面，否则会占用更多的CPU 资源。

◆虚拟化软件的厂商仿真交换机，对网络的认识不够深入导致虚拟机功能有缺失；

◆服务器中有网络，网络中要考虑服务器。使传统的网络管理界面复杂，责任不清，这种交叉使很多制度、策略无法一致性的开展。

业界最优的解决方法是通过外部支持VEPA 的交换机在服务器之外实现虚拟机之间的接入及互联。不仅解放了服务器的性能，给服务器减负，同时利用成熟的网络技术提高网络性

能，而且数据中心的复杂度得到降低，计算和网络的边界变得很清晰，能够实现一致的控制策略。H3C 将会在2012 年推出基于VEPA（802.1Qbg）标准的交换机产品，并对现网设备具有良好兼容性。

                                    

融合增强以太网CEE

如图3 所示左侧图，传统服务器都必须配置以太网接口和存储网络接口(FC)，在高性能计算的场景下还会出现其他种类的网络接口，不同种类的网络接口从配置、管理到工作方式都不相同，这种情况极大的限制了数据中心网络规模的扩展，在大规模部署虚拟机的情况下，现有存储网络的扩展能力已难以满足大量主机连接的要求。在这种情况下必须对数据中心的网络技术进行改进，融合型增强以太网CEE 是整合数据中心IO 的技术集合，满足无丢包以太网传输的要求，在CEE 之上可采用FCoE 技术实现数据中心LAN 和SAN 的整合，便于云计算环境下网络平台的规模扩展（如图3 右侧图所示）。

考虑到目前FCoE技术产业链还不够成熟，国内成熟应用案例较少，因此在海航数据中心网络方案中，仍建议采用LAN 和SAN异构的传统组网，在部分非生产业务区（如测试区、管理区）采用H3C S5820X 支持CEE 特性的交换机，为FCoE 整合网络技术做试点和技术积累。

智能联动管理

如图4 左侧图所示，传统的管理方式中网络、存储、计算的管理相互割裂，相互间无法关联，难以通过统一的资源调度平台进行IT 资源的管理和服务安排，出现故障后定位时间

长，业务连续性较差。为实现云计算环境下计算、存储、网络资源的统一管理与调度，并保证虚拟资源迁移后，网络策略能够“随虚而动”。可以通过H3C iMC 平台完成不同种类设备间配置的协同，比如网络设备可通过iMC 平台了解到服务器部署的虚拟机数量、种类及配置，进而自动完成交换机的相关配置，这样iMC 平台作为基础资源的管理平台，开放接口给调度平台进行管理，真正实现IT 服务的资源化，实现对数据中心从基础设施到服务运维的全面管理，大大简化了管理难度（如图4 右侧图所示）。海航海口、北京中心园区网平台部署了H3C iMC 智能管理平台，实现了人、设备、资源的统一管理。