高校云计算中心网络架构设计与实现

宋文文，龚文涛

0 引言

在云计算大发展环境下，网络虚拟化技术与服务器虚拟化技术是结合使用的。物理服务器进行了虚拟化，一台物理机上运行着多个不同Vlan的虚拟机，虚拟机之间通过虚拟交换机与外界进行数据通信。在这种业务模式下网络电缆极大地减少，相对减少了许多交换机，节约了成本。虚拟化网络还可以提供快速配置和可扩展性方面的极大灵活性。部署新业务的不必在和传统服务器连接网络需要进行所有的电缆并进行配置等工作，因而可以节省大量的时间。通过虚拟化软件、在虚拟交换机上部署虚拟防火墙，可以快速在虚拟防火墙之后构建一个新的安全网络。

1 基于云的网络架构设计

因某大学网络是基于青岛校区和东营校区的 2个物理地域，学校云计算中心网络系统设计的目标为，建立一套高安全性、高冗余性、高可靠性的网络。同时新建的网络系统应该能够很好的与学校现有的网络系统相融合，在保证对现有网络的最小调整的基础上，建立高可用的云计算中心网络系统。

基于上述思路，青岛云计算中心网络结构，如图1所示：

图1 云计算中心网络设计图

青岛、东营两地的云计算网络，核心交换机使用无丢包数据中心级高性能网络交换机，为保证设备及线路的冗余性，应在青岛、东营两地的云计算网络核心分别配置2台核心交换机。两地的核心交换机之间通过2条155M链路互联，为云计算下的虚机漂移和数据双活提供基础条件。

服务器汇聚交换机应采用具有高速转发性能的数据中心级交换机，为服务器提供汇聚功能和高速网络链路。

云计算中心网络出口需要布置物理防火墙将云计算中心与外部接入网络进行逻辑隔离，保证云计算中心内部网络的安全。为了提高应用服务的使用效率，需要在防火墙之后云计算中心之前应布置负载均衡设备，使外来流量自动分配到能够提供最优服务的应用服务器之上。同时需要在网络中串接或采用旁路模式布置相应的安全审计，入侵检测、应用控制等网络安全设备保证网络的安全和操作的合法性。

2 云平台核心层设计

云计算中心网络建设需要采用高可靠大型数据中心级交换机，根据我校所对网络安全需求，每个网络中心应配置两台配置相同的核心交换机作为冗余设备，为服务器汇聚接入、不同用户群的接入提供冗余。

根据网络需求分析，核心交换机配置相应数量的万兆和千兆网络端口，这些端口可根据网络具体需求情况灵活分配给不同服务器或网络设备进行接入使用。

同一个云计算中心的两台核心交换机通过虚拟技术虚拟成一台核心交换机，这样可以简化日常维护及配置工作，同时虚拟后的交换机可以支持跨机箱的链路捆绑技术，对于下级交换机上联至两台核心交换机时，可以通过以太网链路捆绑技术，提高冗余能力和链路互联带宽，并大大降低了因生成树收敛带来的网络抖动时间。

2.1 核心层交换机端口链路捆绑设计

核心层交换机与其它设备互连都采用路由端口和三层交换方式，因此采用三层端口链路捆绑技术，如图2所示：

图2 三层端口链路捆绑

2.2 汇聚层交换机的端口捆绑设计

汇聚层交换机与下面的接入层采用二层端口的捆绑技术互连，如图3所示：

图3 二层端口的捆绑

3 数据中心接入层设计

FCOE交换机完成具有Fiber Channel SAN交换机的完整功能特性，即传统需要以太网卡、FC存储卡（HBA）、InfiniBand卡的主机，只需要一张FCoE的以太网卡（CNA）就可以实现3种网络的接入，如图4所示：

图4 FCOE架构与接入交换机连接

用户在操作系统上也可以看见虚拟化的以太网卡、HBA卡和InfiniBand卡，而它们共享万兆的高带宽。当部署虚拟服务器之后，所有虚拟机共享万兆网络出口，解决了部署虚拟化服务器面临的网络瓶颈问题。

FCOE交换机还可通过Fiber Channel接口连接传统的SAN网络，实现SAN/LAN的整合，通过这种整合和虚拟化实现资源的自由调度和最大化利用，同时成倍减少的网卡数节约了功耗，提高了可靠性，降低了维护成本。

云计算中心建设新增服务器采用 FCOE架构与接入交换机连接，现有服务器，可根据需要采用FCOE架构或仍然采用传统模式分别与以太网络及SAN存储网络相连。实现IP、SAN双网络的平滑过渡和升级。

4 数据中心路由的设计

青岛云计算中心核心层与汇聚层之间采用路由端口，实现三层交换。云计算中心内部使用OSPF路由协议动态进行路由的学习和分发。

分布汇聚层和接入层之间使用交换端口，实现二层交换。当前的主流虚拟机软件，如VMware、Virtual Server等都需要在二层交换下实现虚拟机迁移，因此在数据中心接入层使用二层交换将方便虚拟机的迁移和调度。而链路捆绑技术的使用，可以实现在二层结构下完全没有环路，从根本上解决了生成树算法收敛慢、不稳定、故障多的问题，也使得在一个数据中心内二层结构下的可扩展性与三层结构没有根本的区别。只要经过适当设计，接入层的二层部分将没有环路，快速生成树算法将只用于在误操作等极端情况下的防范手段，如图5所示：

图5 核心层与汇聚层之间采用路由端口图

实现三层交换，当 IEEE的改进生成树协议或者 IETF的二层路由协议技术成熟，二层结构还可以扩展到城域和广域网中去，扩大服务器虚拟化的调度范围，向云计算的理想迈进。

5 新旧网络的整合

我校云计算中心建设完成后，便可以为学校各个部门提供云服务，云计算中心核心交换机校园网的核心交换机进行万兆互联。云计算中心建立后，将存在大量学校其他部门的业务系统，为保证学校云计算中心的安全，需要在云计算中心及校园网之间放置防火墙对两者进行逻辑隔离。

网络融合步骤：

1) 新建云计算中心平台。

2) 云核心交换机与校园网核心交换机对接互联，核心业务网关保留在原校园网核心交换机上不变。

3) 应用迁移，将原数据中心业务迁移至云计算中心，对外服务IP地址保持不变

4) 所有需要迁移的业务系统平滑过渡至云计算中心。

5) 将业务系统Vlan网关迁移至新建云计算中心高性能数据中心交换机

6) 优化网络，整个云计算中心为单独的大的安全域，创建访问策略加强云计算中心的网络安全

6 总结

数据中心所需要的虚拟化是“融合的虚拟化”而非“孤岛式虚拟化”，如同网络是资源整合的核心，同样网络也是虚拟化融合的核心。总结如下：

具备虚机感知网络的设计：解决网络对服务器虚拟化实现的阻碍，包括接入层网络、服务器网卡和虚机Hypervisor平台的设计；

数据中心大二层结构设计：解决网络对虚机迁移、FCoE技术实现的阻碍，包括如何设计一个可扩展的大二层结构；

数据中心内逻辑结构设计：在以上网络虚拟化设计的基础上，可以对虚机标记、VLAN、VSAN、地址结构、路由结构的进行全面设计；

[1]Cisco IOS IP Command Reference,Volume 2 of 3:[M]Routing Protocols Release 12.2.

[2]Cisco OSPF Command and Configuration, [M]Handbook.

[3]The NIST Definition of Cloud, [M]ComputingNIST 2011.9

[4]查贵庭,彭其军.校园网安全威胁及安全系统构建.[J]计算机应用研究.2005 , (03) .

[5]蔡永泉.计算机网络安全理论与技术教程.[M]北京航空航天大学出版社.2003.

[6]周华强,刘奇超.校园网安全控制策略.[J]中国科教博览.2004 .(11) .

[7]邢西深,谢建军.校园网安全技术及应用.[J]计算机时代.2004 .(08) .

[8]杭州华三通讯技术有限公司.[J]路由交换技术..2011.4