基于VXLAN+SDN的数字资源多维一体整合

张学川 胡斌

【摘要】    随着多年数字化资源建设积累，许多数字化建设推进较早的政府机关和企业，均面临数字化资源分批建设导致的新老系统混用，数字资源多次扩容，机房物理位置不统一，基础资源分散等现状。导致资源管理复杂，无法统一管理调度等问题。本文提出了一种使用VXLAN+SDN技术的数字资源多维一体整合方案，充分利用既有网络设备实现数字资源的整合，使其能够更加高效稳定地支撑各项业务的发展，并改善用户接入体验，增强资源及用户管理便捷性和安全性，同时为未来扩展提供良好的网络基础。

【关键词】    SDN    VXLAN    数据中心    多维一体

引言：

某省会城市某行政区经过多年数字化建设，当前已经具备相对完善的数字化基础资源，支撑着该区城市治理、政务服务及政务办公等多方面的事务运行。而随着新基建及新型智慧城市建设的蓬勃发展，对于数字化基础资源的要求也越来越高，由于当前资源的建设已经经过了较长时间，因为场所受限及分批建设等历史原因，分布在了多个地点，资源管理复杂，难以实现多维资源的统一管理调度，发挥其最大价值。

基于以上现状，拟针对现有数字化资源进行统一整合，充分利用既有网络设备的多维资源的一体化整合，使其能够更加高效稳定地支撑该区各项业务的发展，助力新基建、新型智慧城市的建设。

一、数字化基础资源现状

如图所示，当前该区的数字化资源整体分为数据中心机房及政务网两类，其中数据中心机房分布式在三个区域，分别是管委会数据中心机房、租赁的运营商IDC数据中心及新建政务中心数据中心机房，而政务网则服务于管委会、新建政务中心、分区政务中心及多个分中心及街道的人员办公。

当前的基础资源部署存在以下问题：

1.现有基础资源分布较为散乱，缺乏统一规划，管理复杂，难以进行统一调度。

2.网络结构较为复杂，不同办公地点的网络策略及用户权限缺乏统一管理，用户接入受位置影响，难以实现灵活的网络服务。

3.当前所有机房及分中心网络均依靠管委会的政务网核心交换机进行流量交互，核心交换机对于整网影响较大，需要更为稳定高效的架构。

二、多维一体整合方案总体规划

数字化基础资源平台作为区业务重要的承载层，在云计算环境下，对于计算资源池的需求越来越普遍。随着计算虚拟化，存储虚拟化的完善，网络成为了云计算中的瓶颈，对于网络虚拟化的需求也越发高涨。故本次方案中将会采用SDN+VXLAN技术的overlay网络方案，构建虚拟化和自动化的大二层网络。在具体设计中会结合区用户的需求部署SDN控制器、SDN网络设备，并且实现SDN网络与区现有云平台及安全系统的对接整合。针对该区数字化基础资源的整合优化，将会按照以下几点进行整体设计规划：

2.1网络架构优化

对当前整体的网络架构进行优化，将原有的网络改造为“1个核心+2个模块”的模块化网络，建成云数据中心机房网络模块及政务网网络模块，分别承载该区内数据中心业务流量及政务网办公业务流量。两个模块间可以通过网络核心进行互联访问，通过以上优化，能够大大优化网络的架构，增强网络的可管理性，也更加便于后期進行网络扩容，同时通过架构优化，还能够提升网络的整体流量转发规划，便于进行SDN网络部署。

2.2资源整合

通过云计算+SDN网络技术将分布在不同地区的基础资源整合，最终实现资源的多维一体化管理，使未来的资源使用方能够通过自助门户进行资源的便捷申请，资源管理者能够通过云平台对所有资源进行统一的运维监控，提升资源的利用效率，降低运维复杂度，实现资源一网总用。

2.3网络服务质量提升

本次方案将同时对区政务网进行升级改造，提升区内用户的网络服务感知。

2.4资源发展规划

进行资源整合规划时，不仅考虑当前业务需求，还考虑未来5-10年的区内广大用户的发展需要，及后续资源平台发展及扩容的便利性。保证整合后的多维一体化资源平台能够支持区业务及用户的长期使用及发展需求。

三、维一体整合技术路线

3.1 SDN

SDN（软件定义网络）网络架构，核心思想是将网络设备的控制层面与转发层面分离，将控制层从网络设备转移到外部计算设备，使底层基础设施对应用和网络服务而言是透明的、抽象的，网络可被视为一个逻辑的或虚拟的实体，以实现对网络流量的灵活控制。这种框架中可以包含多种接口协议。

在本项目中，SDN技术主要用于overlay网络的管理和流表下发，以及后续提供与云平台的对接接口功能，这也与目前SDN主流技术路线相契合。

本次方案中的SDN方案包括了数据中心网络SDN技术及政务网SDN两部分，部署模式为集群部署SDN控制器，并且通过SDN控制器与现有的云平台及统一管理平台实现对接，实现一体化管理。

3.2网络虚拟化技术实现

为了满足高新区内应用系统中云计算、虚拟化的需求及用户管理的需求，本次方案的网络方案中还会使用网络虚拟化技术实现整网大二层的建设需求。

当前，网络虚拟化主要基于Overlay技术实现。通过在现有物理网络上叠加一个软件定义的逻辑网络，原有网络尽量不做改造，通过定义其上的逻辑网络来实现业务逻辑，解决原有数据中心的网络问题。Overlay网络是将（业务的）二层网络构架在（传统网络的）三层/四层报文中进行传递的网络技术，是物理网络向云和虚拟化的深度延伸，使云资源池化能力可以摆脱物理网络的限制，实现云网融合。

实现网络虚拟化主要有VXLAN、NVGRE、STT这三种技术。目前比较成熟、用的最多的是VXLAN （虚拟可扩展局域网），它是基于三层网络结构来构建二层虚拟网络，通过该技术将处于不同网段的网络设备整合在同一个逻辑链路层网络中。

在本次网络设计中，规划的VXLAN网络边缘设备支持VXLAN组网能力，满足VXLAN组网需求，同时其他网络设备可以采用传统设备;并且针对已经采用服务器虚拟化的场景，还能通过部署在服务器内的vSwitch部署VXLAN网络。

四、网络整合方案

根据前面网络整体设计思路，本次多维一体化资源整合的整体详细设计如图4所示：

本方案基于现有基础资源情况进行逐步优化改造，原有的网络系统中既有办公网络也有数据中心网络，而改造后的网络分为了彻底隔离的两个大的网络区域，数据中心网络及政务网网络。

数据中心网络及电子政务网分别具备各自独立的接入、汇聚、核心。其中政务网网络包含了管委会、政务中心、代管区政务中心及多个分中心的政务网网络，所有网络最终通过分别部署于管委会及政务中心的两组核心网络进行统一流量交互。

數据中心网络则包括了管委会政务中心及运营商IDC机房，三个数据中心的核心间采用环形组网涉及，充分保证互联互通，提升网络可靠性，两个网络间通过核心冗余的互联线路进行互联，实现区内办公人员对于业务系统的访问需求。

4.1数据中心网络整体组网方案

本次机房数据中心网络总体架构如下：

三个数据中心机房间采用环网组网，保证整体机房资源的稳定性。多中心间采用大二层技术，一方面实现了接入层服务器资源池化，便于构建数据中心大二层的服务环境，实现业务区域与基础设施的松耦合。同时另一方面将底层计算资源进行池化，为上层多种服务提供大容量的计算能力。

同时，按照网络整体设计方案，本次项目中的数据中心网络采用SDN+ VXLAN的方案进行总体设计。

在SDN+VXLAN的网络结构中，将会部署一对SDN网络控制器集群，控制器集群通过Openflow+ Netconf协议与数据中心网络支持SDN的交换机进行管理控制，实现网络配置的自动化及与云平台的集成，最终实现资源的自动化部署。

4.2政务网整合方案

政务网的设计主要是为了满足该行政区办公用户的办公接入需求。而在日常办公中最为重要的是接入便利性及安全性。

便利性：会碰到策略如何跟随，体验如何保持不变等问题。用户都希望在位置迁移后他们相应的业务权限不变。

安全性：需要实现对用户进行审计。在传统网络状态下，达不到见IP地址即见用户，单独审计IP的效果。

而本此项目中的政务网设计解决了传统园区网络中遇到的问题，使用SDN等技术对传统网络进行改造优化，满足高新区用户的办公需求。

本项目政务网整体设计拓扑参见图4.1 政务网部分。将所有政务网进行统一整合，各个分区的网络架构不会进行大的变动，会在核心层将管委会及政务中心的核心进行协议堆叠，同时作为核心对外提供服务，提升网络的可靠性。

同时，政务网将会采用SDN+VXLAN的方案机型优化改造，整体网络为“核心+汇聚+接入”的3层架构，与数据中心网络不同，政务网的控制器主要是用于下发网络配置及进行网络规则管理

4.2.1政务网功能设计

1.位址分离/名址绑定

将IP地址与物理位置解耦，不管用户移动到哪里，IP地址都能随身携带。IP地址不光能承担路由连通性的技术功能，还具有身份和业务的标识功能。

对于分散在不同大楼的同部门人员， SDN控制器可以为他们分派同一个网段的地址，前缀一样，这样做策略时，可以针对IP前缀做一条策略即可，网管大大简化，真正实现IP即用户，网段即业务，审计更简单。

2.策略随行

本次政务网架构，用户分组和IP网段严格对应。用户未入网时，网络的策略控制内容已经完整清晰地确定。进行安全策略管理时，组间策略就是网段到网段的acl，而不需要维护IP到组的对应关系，组间策略只需要一条acl即可完成，极大降低对设备的acl需求，简化配置及维护的工作量。

3.业务按需交付

在政务网中，可以做到4-7层服务节点的部署和底层网络位置无关，任意位置部署，形成资源池，方便地增删改。在控制器上直观的图形化拖拽编排方式。定义一条流的起点和终点，中间直观地拖拽插入需要经过的4-7层组件，然后一键下发即可配置到对应网络设备上。

4.自动化

首先由于是一个无差别的网络，同样角色的设备配置基本是一样的，可以根据设备角色设定少量的模板，一种角色的设备尽管数量很多，但由于共享同一个角色，共享一个配置模板，整网模板数量只有少量几种。

其次采用精心设计的自动化流程，确保设备开箱上电，即插即用，无人工干预即可自己完成上电，加载版本，下载配置，基础共性的业务跑通。

之后是少量的基于图形化界面的批量配置/个性化配置的工作，完成特定业务的部署。

4.2.2政务网详细设计

针对本次数据中心网络建设，前一章节已经做出了整体的规划和设计，在本章节主要针对具体的每个层次部分做出详细的规划设计。

1.核心层设计

本次方案中，两台原位核心交换机通过两条40G链路实现互联，虚拟化为一台设备，实现配置、表项的统一，两台设备能够通过一个IP进行统一管理，并且具备分裂检测机制，能够满足业务的高可靠需求。

虚拟化后的政务网核心交换机与内外核心间将这4条链路进行链路捆绑，以此实现网络的高可靠性，无论是这四台设备间的任意几条互联链路出现故障，还是某台设备出现故障，都能够保障业务不会终端，具备高可靠性。

2.汇聚区设计

本次数据中心建设机房分布在3个楼层的机房中，考虑结构的层次性和清晰性以及结合现有布线等情况，特在本次数据中心网络中设计了机房汇聚层。

在本次方案设计中，在此区域部署2台高性能数据中心级交换机设备，汇聚设备采用虚拟化的方式部署，将2台设备虚拟化成1台设备，接入交换机到汇聚交换机采用的双链路上联，等同于双链路连接到1台汇聚设备上，能够实现跨设备链路聚合。

两台交换机组成虚拟化集群以后，管理员可以实现对两台交换机统一管理，而不需要分别连接到两台交换机分别进行配置和管理。从而简化了管理流程。

同时为了简化管理，在园区网的接入交换机和汇聚交换机间还部署了纵向虚拟化功能，这个功能能够将接入交换机配置为汇聚交换机的接入板卡，统一由汇聚交换机进行同理，并且同步相应的表项。

3.接入区设计

本次政务网接入能力将从百兆網络升级为千兆网络，同时这些交换机还支持VXLAN功能。

五、多维一体资源整合管理方案

5.1基础资源云化服务方案

对于该区当前具备的及未来将要上线的业务资源，本次方案将在机房网络整合后对所以的计算、存储、网络、安全乃至部分数据库、中间件等基础资源进行统一整合，并最终通过云服务的模式提供给区内用户。

通过整合现有资源后，区内用户可以通过平台选择所需要的资源情况，并提交申请，通过管理员进行资源审批，最终由平台自动下发资源。

5.2基础资源云化管理方案

云平台能够提供面向云租户用户和云监管人员的统一接入门户，通过界面集成、数据集成及功能集成等技术将各个子系统中的功能和信息有效组织起来，提供统一的信息服务功能入口，提供用户、授权、认证管理，并根据需求定制开发各种呈现内容。

不同的用户在完成登录认证后，根据其角色、权限等展示不同的个性化界面。

统一门户实现用户对资源操作的统一化接入，实现用户资源操作的安全监管，用户只能通过门户进行资源远程访问、电源、性能管和配置管理，用户的资源操作具有流程定制和日志记录。

六、与安全资源对接

6.1 SDN网络安全

本次方案中，将采用SDN技术进行网络系统的搭建，因此SDN网络与安全设备的相应对接配合是本次方案中的重要组成部分。包括SDN控制器及SDN交换机两部分：

1. SDN控制器：

本次方案中部署在虚拟化平台中，采用集群的方式进行冗余热备部署，保证SDN控制器的可靠性。

2. SDN交换机：

本方案中SDN交换机采用了两种部署模式，虚拟化平台中部署软件交换机vSwitch，数据库等物理主机平台，部署支持SDN功能的物理接入交换机，能够满足复杂情况下的SDN网络及传统网络的融合部署。

6.2数据审计

对于区数据中心网络所承载的系统及数据的安全审核，也是本次SDN网络安全方案的重要组成部分。本次网络部署了独立的安全审计区域，在这个区域内部署了针对系统留的审计设备系统。

七、结束语

本文在新基建及新型智慧城市建设的蓬勃发展，对于数字化基础资源的要求也越来越高的背景下。提出了一种使用VXLAN+SDN技术的数字资源多维一体整合方案，解决了政府机关和大中型企业因为逐步升级、分批建设等历史原因，分布在了多个地点、新老混搭的数字基础资源整合问题。

充分利用既有网络设备实现了多维资源的一体化整合、调度及管理，使其能够更加高效稳定地支撑该区各项业务的发展，助力新基建、新型智慧城市的建设。同时，利用SDN技术，极大的确保了政务网用户使用的灵活性、可管理性和安全性。

参  考  文  献

[1]王颖，庞志鹏.基于SDN的云数据中心网络[J ].通讯世界，2017（16）： 3-4.

[2]张届新，吴志明，基于VxLAN 组网的云数据中心互联方案 [J]- 电信科学，2016（12）：122-128

[3] IETF. Virtual eXtensible local area network （VxLAN）： a framework for overlaying virtualized layer 2 networks over layer 3 networks： IETF RFC7348 [EB/OL]. （2014-08-01）[2016-06-22]. https：//tools.ietf.org/html/rfc7348.

[4]韦乐平. SDN的战略性思考[J ].电信科学， 2015， 31（1）：7-12.

[5]李翔，基于VXLAN和SDN的云数据中心解决方案，[J]- 电子科学技术，2015，2（5）：587-592