(中国移动通信集团设计院有限公司安徽分公司,合肥 230041)
IT支撑云资源池网络路由规划
王猛
(中国移动通信集团设计院有限公司安徽分公司,合肥 230041)
随着云计算应用范围的不断扩大,某运营商省级IT支撑云平台已经开始进行跨BSS、OSS、MSS三大IT支撑系统的统一云资源池的建设。由于BSS、OSS、MSS等不同的IT系统,其对网络安全的要求不尽相同,当部署在统一云资源池中时, 其网络隔离和路由规划非常复杂。本文将针对典型的省级IT支撑云资源池,给出网络路由规划方案建议。
云计算;IT支撑系统;路由规划
随着云计算应用范围的不断扩大,某运营商省级IT支撑云平台已经开始进行跨业务支撑系统(BSS)、网管支撑系统(OSS)、管理支撑系统(MSS)三大IT支撑系统的统一云资源池的建设。由于BSS、OSS、MSS等不同的IT系统,其对网络安全的要求不尽相同,当部署在统一云资源池中,其网络隔离和路由规划非常复杂。本文将针对典型的省级IT支撑云资源池,给出网络路由规划方案建议。
随着云计算应用的逐步推进,按照某集团公司私有云建设的要求,省级私有云将集中建设涵盖三大IT支撑系统的支撑云资源池。而业务支撑系统、网管支撑系统、管理信息系统等三大支撑系统对网络安全的要求不尽相同,在资源池的网络路由规划中需要考虑不同系统的隔离要求。
本文将对典型省级IT支撑云资源池,在满足不同系统隔离和访问要求的前提下,提供网络路由规划方案。
典型省级IT支撑云资源池中,一般承载包括BSS、OSS、MSS在内的各类平台,以及云管理平台和测试平台。网络结构采用大二层方式组网,在物理架构和逻辑架构上已经具备良好的扩展性,资源池中各类主机和存储设备硬件通过汇聚交换机汇聚后接入核心交换机设备,核心交换机挂接具有虚拟化功能的防火墙,并通过一对互联路由器实现与原有的支撑系统DCN网络的互联。省级IT支撑云资源池的典型网络结构如图1所示。
根据业务和功能的不同,将整个网络分为6个部分:MSS、OSS、BSS、综合-1、综合-2、互联网接入,各部分统一分配连续的IP地址段,在不同的网络中根据不同的业务划分虚拟局域网(VLAN),各VLAN中的地址根据预期业务增量预留足够的IP地址。原则上各域之间不互通,域与域之间的通信必须是点对点通信;域内各主机之间的通信默认设置为限制访问。在防火墙上开启多个虚拟防火墙,把各域虚拟机的网关指到防火墙上,控制各域之间的相互访问。
图1 典型IT支撑云资源池网络结构图
按照大二层组网思路,资源池中业务系统之间通过VLAN实现二层隔离,业务网关终结在核心交换机。采用此种方式,既可以实现本资源池内的统一调度,还可以满足今后跨机房进行资源池的组网和调度。
互联路由器与其外连设备采用动态路由边界网关协议(BGP,Border Gateway Protocol)和开放式最短路径优先路由协议(OSPF,Open Shortest Path First)学习路由,同时划分多个VPN实例来实现不同网络的路由隔离。互联路由器与核心交换机之间起OSPF多实例,学习各个VPN实例中的详细路由。防火墙上起OSPF多进程学习核心交换机上各个VPN实例中的明细路由,同时各个OSPF进程不允许相互引入路由。
根据资源池中承载的业务类型,主要有以下5种访问需求,下面分别对每种访问需求,制定路由方案。
2.1 BSS、OSS、MSS各区域访问外部对应区域的路由规划(如图2所示)
需求说明:各自区域能访问外部的自己区域,但相互之间完全隔离,不能互访。路由方案:针对这些业务,根据不同的业务分为出外网、OSS、BSS、MSS、综合-1、综合-2,使用虚拟路由转发表(VRF,Virtual Routing Forwarding)区分各自区域,区域内使用VLAN区分具体业务,保证区域和业务之间相互独立,且区域之间不能互访。各自区域的VRF内部运行相对应的OSPF进程1、2、3、4、5,使其区域内部与外部路由互相学习,当内部需要跟外部互访时,直接通过核心交换和路由器访问。
2.2 BSS/OSS/MSS各区域之间互访的路由规划(如图3所示)
业务区域互访需求:各自区域内部不能互访,但有些业务需要访问其它区域(如OSS内某个业务访问BSS内的某个业务)。
路由方案:通过上一个最基本路由方案,可以实现OSS内某个业务访问外部区域。业务区域互访时,只需要互联路由器的OSS VRF实例在学习路由时,把外部OSS发布的默认路由也学习过来,使内部OSS访问BSS时,路由指向外部OSS。最后数据到达外部OSS,通过外部OSS的第三方出口防火墙绕行到BSS,从而实现跨区域互访。
图2 路由规划示意图:BSS/OSS/MSS各区域访问外部对应区域
图3 路由规划示意图:BSS/OSS/MSS各区域之间互访
路由说明:一个区域访问另一个区域,也可以使用本地防火墙实现,但设备配置复杂,管理难度大。如有此种需求也可以实现,如OSS访问BSS,只要OSSVRF内部用静态路由指向防火墙FW-3,从OSPF进程1跳转到OSPF进程2,然后回流到交换机的BSSVRF中,即可以实现OSS访问BSS。
该需求会导致区域内所有业务都能访问互联网,内部OSS因为有默认路由才能通过第三方出口访问BSS,需要第三方出口防火墙做跳转的访问规则,禁止通过这种方式访问互联网等未知区域。
2.3 BSS/OSS/MSS与综合-1不经防火墙互访的路由规划(如图4所示)
业务区域访问综合-1需求:云平台中部分测试业务需要跟某个业务区域互通,且安全性较高,不需要经过本地防火墙。如本地网管对服务器、虚拟机以及网络设备进行管理等。
路由方案:为使OSS、BSS、MSS能访问综合-1,需把OSS、BSS、MSS的VRF中所有路由引入到综合-1的VRF中(过滤掉默认路由等影响访问控制和安全的路由);而OSS、BSS、MSS要互相隔离不能学到其它区域的路由,所以在OSS、BSS、MSS的VRF中只引入综合-1的VRF里的直连路由。这样OSS、BSS、MSS都有去综合-1的路由,但OSS、BSS、MSS之间仍保持隔离,同时综合-1也有去往这3个区域的路由。
2.4 BSS、OSS、MSS与综合-2经过防火墙互访的路由规划(如图5所示)
业务区域访问综合-2需求:云平台中部分测试业务需要跟某个业务区域互通,且安全性较低,需要经过防火墙。
路由方案:为了使OSS、BSS、MSS能正常访问到综合-2,需要在OSS、BSS、MSS的VRF中使用静态路由,把去往综合-2的地址段全部指向FW3和FW4的虚拟网关(使用VRRP),在综合-2的VRF中使用默认路由也指向FW3和FW4的虚拟网关(使用VRRP),防火墙通过对应OSPF进程进行跳转,达到互访。
路由说明:防火墙FW-3和FW-4通过OSPF进程1、2、3、4拥有OSS、BSS、MSS、综合-2的所有路由,但考虑到访问控制和安全问题,防火墙中需要过滤掉学习过来的默认路由以及不需要访问的地址段的路由。
2.5 各区域经防火墙访问外部互联网的路由规划(如图6所示)
部分业务访问互联网需求:云平台中部分业务需要访问外网,这些业务需要跟其它区域隔离出来,并需要经过防火墙访问外网。
图4 路由规划示意图:BSS/OSS/MSS与综合-1不经防火墙互访
图5 路由规划示意图:BSS/OSS/MSS与综合-2经过防火墙互访
图6 路由规划示意图:各区域经防火墙访问外部互联网
路由方案:为了使出外网的业务正常访问互联网,同时又跟其它区域区分开,用一个VRF实例进行隔离,然后默认路由指向FW1和FW2的虚拟网关(使用VRRP),防火墙再用默认路由指向互联路由器上的互联网出口。
路由说明:出外网的VRF和防火墙之间使用一个VRF实例互联,同时OSPF进程5互相学习路由,防火墙跳转到互联路由器时使用公共区域互联。公共区域和出外网的VRF之间不互相引入路由,在公共区域使用静态路由把去往出外网的VRF里的网段指向防火墙,以保持来回路径一致。
随着云计算资源池的规模不断扩大,以及云资源池的跨局址部署,云平台的组网和路由规划将会更加复杂,其网络结构和路由规划的合理性将会直接影响到云平台的资源调度和管理的可行性和易用性。
云平台的组网和路由规划,需要在今后的应用实践中不断总结和完善,为云平台的大规模组网和应用积累经验。
Routing planning of IT support cloud resource pool network
WANG Meng
(China Mobile Group Design Institute Co., Ltd. Anhui Branch, Hefei 230041, China)
With the expansion of the application of cloud computing, some operator provincial IT support system has begun construction of cloud resource pool across BSS, OSS, MSS system. Because of the requirement of network security for IT system are not the same,when deployed in unif ed cloud resource pool, the network isolation and route planning is very complex. This paper will give a typical provincial IT support cloud resource pool network routing planning proposal.
cloud computing; IT support system; route planning
TN915
A
1008-5599(2014)08-0017-04
2014-06-16