李小康,廖建新,沈奇威,曹予飞
(1 北京邮电大学网络与交换技术国家重点实验室,北京 100876; 2 东信北邮信息技术有限公司,北京 100191)
IaaS云资源池中VLAN划分及IP池管理*
李小康1,2,廖建新1,2,沈奇威1,2,曹予飞2
(1 北京邮电大学网络与交换技术国家重点实验室,北京 100876; 2 东信北邮信息技术有限公司,北京 100191)
VLAN划分和IP池管理是IaaS云资源池对网络资源进行分配的重要环节,合理规划管理VLAN和IP地址对于提高网络安全性、稳定性、高效性有非常重要的意义。本文从工程实践角度,将传统的VLAN及IP地址分配方式与云计算资源池网络自动化的特点相结合,进行实际应用方面的设计,有着重要的实践意义。
IaaS;资源池;VLAN;IP
IaaS(基础设施即服务)资源池系统是一个能够对各种云计算IT资源进行管理、部署、调度的资源池管理平台及包括计算、存储及网络等各种资源相关系统或设备组成的实体集群。资源池管理平台是移动私有云建设的核心组成部分,平台纳管了资源池内部各种计算资源、存储资源以及网络资源,将原本静态分配的IT基础设施抽象为便于管理、易于调度、按需分配的资源,可根据需要动态改变资源分配的规模,快速适应不同应用的扩容需求,实现“弹性”资源分配的能力。
VLAN(虚拟局域网)资源和IP资源作为两种基本的网络资源,如何对这两种资源进行合理规划和管理是资源池管理平台需要关注的问题。资源池内网络的规划是一个庞大的工程,需要综合考虑网络结构、软硬件设施、机房拓扑、安全策略等各方面的因素。良好的VLAN和IP地址规划能够确保网络的最优化运行,发挥网络的最大效率,高效地利用有限的网络资源。对于资源池中的网络资源管理有着重要的实践意义[1]。
本文通过对VLAN、IP分配方式的分析,进行了对资源池自动化网络管理的基础技术研究。
为了更好地理解文中的设计思想,下面简单阐述一下资源池中与网络资源相关的一些概念[2]。
1.1 安全域
安全域就是通过防火墙在物理上隔离的安全区域,通常一个安全域对应着一个防火墙。资源池内部,按照安全策略和资源用途将各种资源划分到不同的安全域内,不同安全域之间在防火墙上做访问策略,进行域间隔离。例如一个用户想在资源池内部申请虚拟机部署一个Web应用程序,一个比较好的实现方式就是把需要用户直接访问的服务器(比如Web前段代理服务器),放在DMZ(隔离区)安全域内,因为这个区域的安全等级相对较低;而业务核心服务器(比如后台业务服务器和数据库服务器)则放置到INSIDE区域,这个区域的安全等级相对较高,并且对于Web应用的用户来说,是不可见的。这样既能保证应用的安全性也能够便于管理员进行资源规划和管理。
1.2 VLAN池
VLAN池就是由网络管理员划分给资源池可用的VLAN编号段,通常是一个安全域对应一个或者多个VLAN池。在安全域内部,每一个申请资源的业务系统都会被划分到一个VLAN内。一方面是因为业务系统内部的各个服务器之间有互访的需求,在同一VLAN内部可以比较方便地实现各个服务器之间的互访;另一方面是因为不同业务系统之间需要有访问权限控制,在防火墙中做VLAN互访策略,有需要互访的业务系统之间可以允许VLAN互通,反之,可以禁止互通。在资源池最初规划的时候,VLAN资源是作为若干个VLAN编号段分配给不同的安全域的,在不同安全域内申请计算资源的时候需要先申请一个属于本安全域的可用的VLAN编号,再将VLAN编号配置到安全域对应的防火墙中。
1.3 IP池
IP池就是由网络管理员划分给资源池可用的IP地址段,通常是一个安全域对应一个或者多个IP池。由于VLAN的容量是无法预知的,申请到的VLAN编号需要与IP地址段建立对应关系,只能通过申请VLAN的业务系统所需要的服务器主机数来确定,所以在分配了VLAN编号之后,需要在IP池中找到一个满足VLAN容量的IP地址段。进而从申请到的IP地址段中分配VLAN的网络地址、网关地址、广播地址、主机地址等。分配好以后,再将VLAN网络地址、网关地址、子网掩码等信息添加到安全域对应的防火墙中,至此VLAN才算真正配置完成。
2.1 VLAN简介
以太网是一种基于CSMA/CD(载波侦听多路访问/冲突检测)的共享通信介质的数据网络通信技术,当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降,甚至网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突(Collision)严重的问题,但仍然不能隔离广播报文。在这种情况下出现了VLAN技术,这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通。这样,广播报文被限制在一个VLAN内[3]。
VLAN的划分不受物理位置的限制,不在同一物理位置范围的主机可以属于同一个VLAN;一个VLAN包含的用户可以连接在同一个交换机上,也可以跨越交换机,甚至可以跨越路由器。
VLAN的优点如下:
(1)限制广播域:广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
(2)增强局域网的安全性:VLAN间的二层报文是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需通过路由器或3层交换机等3层设备。
(3)灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
图1 VLAN典型应用示意图
图1是资源池内典型的VLAN应用示意图。3台交换机放置在不同的地点,比如资源池内部不同区域的接入交换机。若建立各自独立的LAN,资源池的网络投资成本将很高并且灵活性大大降低;若共用资源池内部已有的LAN,又会导致不同业务系统信息安全无法保证。采用VLAN,可以实现各个业务系统共享LAN设施,同时保证各自的网络信息安全。
2.2 划分方式
VLAN根据划分方式不同可以分为不同类型,下面列出了6中最常见的VLAN类型[4]:基于端口的VLAN。基于MAC地址的VLAN。基于协议的VLAN。基于IP子网的VLAN。基于策略的VLAN。其它VLAN。
基于端口划分VLAN是最简单、最有效的划分方法。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就能转发指定VLAN的报文。该方法只需网络管理员对网络设备交换端口进行重新分配即可,不用考虑该端口所连接的设备。也正因为如此,基于端口划分VLAN是目前最常用的一种方式,在资源池的建设中也选择了这种方式划分VLAN。
2.3 配置实例
如图2所示,假如现在有两个业务系统Group1和Group2需要分别从资源池中的同一个安全域申请虚拟机资源,业务系统内部的虚拟机要求能够互访,并且这两个业务系统之间没有互访需求。下面通过配置示例详细阐述一下资源池内部进行VLAN划分的过程。
图2 VLAN划分组网图
2.3.1 配置思路
(1)创建VLAN,规划业务系统所属的VLAN。(2)配置端口属性,确定设备连接对象。
(3)关联端口和VLAN,将连接Group1的交换机端口划分到VLAN2,将连接Group2的交换机端口划分到VLAN3,隔离Group1和Group2间的访问。
2.3.2 数据准备
(1)防火墙连接用户的接口编号。(2)划分的VLAN ID。
2.3.3 操作步骤[5]
(1)步骤1 :创建VLAN。
[Eudemon] vlan batch 2 3 (2)步骤2: 配置端口属性。 [Eudemon] interface GigabitEthernet 1/0/1 [Eudemon-GigabitEthernet1/0/1] portswitch [Eudemon-GigabitEthernet1/0/1] undo shutdown [Eudemon-GigabitEthernet1/0/1] quit [Eudemon] interface GigabitEthernet 1/0/2 [Eudemon-GigabitEthernet1/0/2] portswitch [Eudemon-GigabitEthernet1/0/2] undo shutdown [Eudemon-GigabitEthernet1/0/2] quit [Eudemon] interface GigabitEthernet 1/0/3 [Eudemon-GigabitEthernet1/0/3] portswitch [Eudemon-GigabitEthernet1/0/4] undo shutdown [Eudemon-GigabitEthernet1/0/3] quit [Eudemon] interface GigabitEthernet 1/0/4 [Eudemon-GigabitEthernet1/0/4] portswitch [Eudemon-GigabitEthernet1/0/4] undo shutdown [Eudemon-GigabitEthernet1/0/4] quit (3)步骤3:配置接口加入Trust 安全区域。 [Eudemon] firewall zone trust [Eudemon-zone-trust] add interface GigabitEthernet 1/0/1 [Eudemon-zone-trust] add interface GigabitEthernet 1/0/2 [Eudemon-zone-trust] add interface GigabitEthernet 1/0/3 [Eudemon-zone-trust] add interface GigabitEthernet 1/0/4 [Eudemon-zone-trust] quit (4)步骤4 :关联端口和VLAN。 #向VLAN2 中加入端口GE1/0/1 和GE1/0/2 [Eudemon] vlan 2 [Eudemon-vlan2] port gigabitethernet 1/0/1 to 1/0/2 [Eudemon-vlan2] quit # 向VLAN3 中加入端口GE1/0/3 和GE1/0/4 [Eudemon] vlan 3 [Eudemon-vlan3] port gigabitethernet 1/0/3 to 1/0/4 [Eudemon-vlan3]quit (5)步骤5:验证配置结果。 上述配置完成后,执行display vlan命令可以查看VLAN状态。 [Eudemon] display vlan The total number of vlans is : 2 VLANID Type Status MAC Learning Broadcast/ Multicast/Unicast Property 2 common enable enable forward forward forward default 3 common enable enable forward forward forward default 从Group1内的任一台主机连接Group2内的任一台主机,无法Ping通。但是同一组内的主机可以互相Ping通,说明配置成功。 为了更加高效地分配和利用资源池中的IP地址,在VLAN编号在防火墙中配置完成之后,还需要将VLAN编号与IP池中的IP地址段建立对应关系。根据所需VLAN容量的大小,申请满足要求最小的可用IP地址段,并根据此IP地址段,确定VLAN的网络地址、网关地址、广播地址以及VLAN内的主机地址。 3.1 IP池管理方式 根据工程实施经验,资源池网络管理员通常会采用以下两种方式描述IP地址资源[6]:IP段子网地址和子网掩码;IP段起始地址和IP段终止地址。 这两种方式其实是等价的,例如一个IP地址资源池采用第一种方式描述为10.212.180.0/24,其中10.212.180.0为IP段子网地址,24为子网掩码;这个IP地址资源池可以等价转换为第二种描述形式为10.212.180.0~10.212.180.255,其中10.212.180.0为IP段起始地址,10.212.180.255为IP段终止地址。 为了统一这两种描述方式,同时也便于进行IP地址管理,我们只记录这些描述信息是不够的。在资源池内部,每一个IP地址条目都是一个IP地址资源,每个资源的使用情况需要记录下来,所以我们把这两种描述的IP资源池信息统一转换成可供资源池进行分配的IP地址条目信息,并记录每一个IP地址条目的使用情况、所属IP池、IP整数值(把IP地址转换成的十进制整数值,IP段划分算法中需要用到)等一些基本信息。文中所讲的IP池也就是指这些IP地址条目信息。 3.2 IP段划分算法 IP段划分主要目的是在IP池中找到一个能够满足VLAN容量的IP地址段,此地址段必须满足以下3个基本条件[7]:在IP池中未被使用过。能够组成一个子网。是IP池中满足条件的最小地址段。 基于以上3个基本原则,可以设计出一个IP段划分的算法,用以在IP池中查找满足条件的IP子网段。算法描述如下: 3.2.1 参数描述 此算法的目标就是从指定的IP池中分配一个能够满足VLAN容量的IP地址段,如果没有符合条件的IP地址段则返回空值,参数描述如表1所示。 3.2.2 操作步骤 步骤1:确定IP地址段大小。 在传入VLAN容量之后,第一步需要确定在IP池中划分多大的地址空间能够满足这个VLAN容量的要求。因为子网大小都是2的整数幂,为了满足“能够组成一个子网”的基本条件,IP地址段的大小必须是2的n次幂(n为自然数)。同时为了满足“是IP池中满足条件的最小地址段”的基本条件,IP地址段的大小需要介于VLAN容量和2倍VLAN容量之间,因为这时候所分的IP地址段是满足条件的最小地址段。 表1 IP段划分算法参数描述 步骤2:确定IP地址段起始地址。 为了使申请到的IP地址都属于一个子网,需要保证IP地址段起始地址为子网地址,即IP地址对应的整数值需要能够被等于IP地址段大小的整数整除。例如要在IP池10.212.180.0/24中申请一个大小为32的IP地址段,第1个可用的IP起始地址是10.212.180.0,第2个可用的IP起始地址是10.212.180.32,第3个可用的IP起始地址是10.212.180.64,依次类推。 步骤3:确定是否有连续的地址段。 找到起始IP地址之后,在IP池中连续向后查找数目等于IP段大小的IP地址条目。如果这些地址条目的使用状态都为可用,则分配成功,否则无法满足“在IP池中未被使用过”这个基本条件。此时需要继续按照步骤2寻找下一个IP段起始地址进行查找,直到找到满足条件的IP地址段,返回IP地址列表。或者检索完IP池都没有找到符合条件的IP地址段,返回空值。 图3 IP段划分算法流程图 3.2.3 算法流程图 根据操作步骤,可以画出IP段划分算法流程图,如图3所示。 3.3 IP地址回收 IP地址段分配给某个VLAN之后,只要VLAN还存在,IP池中的地址就属于被占用状态,其它VLAN申请IP地址段的时候就不能再使用这些被占用的IP地址。当VLAN被用户释放的时候,VLAN内对应的IP地址都会被释放,这些地址在IP池中的使用状态变为可用,下一次再划分IP地址段的时候又可以被其它VLAN使用。由此可以实现IP地址的重复利用,实现了资源的最优化利用和自动化管理的功能。 本文介绍的IaaS云资源池VLAN划分及IP池管理技术能够将网络管理员从传统的重复人工劳动中解放出来,高效快速地实现网络资源划分,在实现网络管理自动化上有着重要的实践价值。 [1] CMCC. 中国移动私有云资源池系统技术要求(V1.0.4)[S]. 2012. [2] BMC. BMC Cloud Lifecycle Management(Version 3.0)[S]. 2012. [3] 张保通, 安志远. 网络互联技术——路由、交换与远程访问[M].北京: 中国水利水电出版社, 2007: 144-179. [4] 谢希仁. 计算机网络[M]. 北京: 电子工业出版社, 2008:2642-267. [5] HUAWEI. HUAWEI Eudemon8000E防火墙CLI配置指南(V200R001)[Z]. 2012. [6] 锐捷网络.使用网络技术配置指南[M]. 北京:北京希望出版社,2005. [7] Cisco Systems公司. 思科网络技术学院教程[M]. 北京: 人民邮电出版社, 2002: 5372545. [8] (2007) The IEEE website(EB/OL). http://www.ieee.org/. News 长飞公司推出“全贝®+”低损耗单模光纤 近日,长飞公司推出全新的优于G.652.D光纤技术规范的“全贝+”低损耗单模光纤。作为“全贝R”低水峰G.652. D单模光纤的升级产品,实现了更低的衰减,光纤成缆后在1550 nm通信窗口的衰耗值低于0.185 dB/km,可以更好地满足运营商传输网络向100 G、超100 G长期演进的需求。 随着FTTH、云计算、移动互联网及物联网等的发展,大数据时代已经到来,超大带宽、超高速率、超长距离将成为干线网络发展的主流趋势。新技术层出不穷,对于最底层通信介质的光纤也同样提出了有别于传统网络的新的需求。长飞“全贝 +”低损耗光纤,可以降低线路综合损耗、成缆附加损耗,降低光缆在盘留、接头盒内的损耗,提供更多的线路损耗冗余;通过改善高速、大容量WDM系统OSNR,延长网络传输距离,带来投资、运维成本的降低。 长飞公司一直支持光纤的技术进步,依托公司的“光纤光缆制备技术国家重点实验室”,适时地推出了多种各具优势的通信光纤新产品,填补了国内空白,引领了中国光纤行业的发展。 在推动产品和技术创新的同时,作为全球光纤光缆行业的领先企业,长飞公司把产品的质量竞争力定义为自身发展的核心竞争力,将以质量竞争力持续领跑全球光纤光缆。继2013年4月底荣获B.I.D授予的“欧洲质量白金奖”后,6月,长飞公司又获得了由法国Otherways管理及顾问协会授予的代表高品质绩效及最佳客户满意度的全面客户满意度资质封印。这些奖项,充分肯定了长飞公司卓越的质量文化和业界领先的质量声誉。 VLAN classification and IP pool management in IaaS cloud resource pools LI Xiao-kang1,2, LIAO Jian-xin1,2, SHEN Qi-wei1,2, CAO Yu-fei2 (1 State Key Lab of Networking and Switching Technology, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2 EBUPT Information Technology Co., Ltd., Beijing 100191, China) VLAN classif i cation and IP pool management are important parts of network resources allocation in IaaS cloud resource pool management. It has a very important signif i cance in the improvement of network security, stability, efficiency to appropriately manage VLAN and IP address. From the perspective of engineering practice, this article combines the traditional VLAN and IP address allocation with the characteristics of cloud computing resource pools network automation to realize the practical application, thus has important practical signif i cance. IaaS; resource pool; VLAN; IP TP393 A 1008-5599(2013)08-0084-06 2013-07-16 国家973计划项目(No. 2013CB329100, 2013CB329102);国家自然科学基金(No. 61271019, 61101119, 61121001, 61072057,60902051);长江学者和创新团队发展计划资助(No. IRT1049)。3 IP地址管理
4 总结