電信IDC網(wǎng)絡解決方案-網(wǎng)絡需求和拓撲設計

1、.電信IDC網(wǎng)絡解決方案-網(wǎng)絡需求和拓撲設計一、 IDC的業(yè)務發(fā)展和對網(wǎng)絡的需求IDC，Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心，是電信運營商運營的核心業(yè)務之一。IDC機房建設要求和維護要求很高，許多行業(yè)用戶無法承擔其高額費用，即便有能力建設，也需要向運營商申請高出口帶寬，因此國內(nèi)外的IDC機房大都由運營商來出資建設和維護運營。行業(yè)用戶則通過租賃運營商機房資源，部署自己的服務業(yè)務，并由運營商為其提供設備維護等服務。當前中國電信在全國各省均建有多個IDC機房，主要運營資源的租賃業(yè)務，例如VIP機房租賃、機架或服務器租賃、帶寬租賃等，同時也提供例如流量清洗、DDOS防攻擊、CDN內(nèi)

2、容加速等增值服務業(yè)務。從IDC的運營情況來看，目前限制IDC業(yè)務發(fā)展的主要瓶頸在于不斷上升的電費以及越來越緊張的空間資源。隨著云計算技術的興起，特別是虛擬化技術的引入，不僅有效緩解了當前的瓶頸，同時也帶來新的業(yè)務增長點。在許多IDC機房開始逐步建設云資源池，運營例如云主機、云存儲、云網(wǎng)絡等云業(yè)務。開展云計算業(yè)務對IDC網(wǎng)絡建設提出了新的要求，總的來說就是IDC網(wǎng)絡云化建設，主要有以下四點：l 服務器虛擬化要求建設大二層網(wǎng)絡云計算業(yè)務的主要技術特點是虛擬化，目前來看，主要是指服務器的虛擬化。服務器虛擬化的重要特點之一是可以根據(jù)物理資源等使用情況，在不同物理機之間進行虛擬機遷移和擴展。這種遷移和擴

3、展要求不改變虛擬機的IP地址和MAC地址，因此只能在二層網(wǎng)絡中實現(xiàn)，當資源池規(guī)模較大時，二層網(wǎng)絡的規(guī)模隨之增大。當前IDC機房大力開展云計算資源池建設，對于網(wǎng)絡而言，大二層網(wǎng)絡的建設是重要的基礎。l 不同租戶之間需二層隔離對于云計算業(yè)務而言，用戶規(guī)模很大，網(wǎng)絡的二層規(guī)模也很大，從IDC業(yè)務角度而言，不同租戶之間互相隔離是天然需求。在傳統(tǒng)的隔離實現(xiàn)中，VLAN隔離是非常常用的技術手段，但在一個大規(guī)模的二層網(wǎng)絡中使用VLAN來隔離不同租戶是不現(xiàn)實的。我們知道在一個局域網(wǎng)中，VLAN的最大數(shù)量為4096，而IDC的租戶數(shù)量卻遠遠超過這個數(shù)值。因此對于運營云計算業(yè)務的IDC網(wǎng)絡而言，如何在滿足大規(guī)模租

4、戶數(shù)量的同時實現(xiàn)租戶之間隔離是個需要重點考慮的問題。l 云主機等業(yè)務的訪問需要NAT設備針對云云主機業(yè)務租戶而言，運營商通常規(guī)劃私網(wǎng)IP地址給租戶使用，而實際使用者則位于公網(wǎng)，為實現(xiàn)公網(wǎng)和私網(wǎng)間的互訪，必須配置防火墻設備實現(xiàn)NAT功能，同時防火墻也實現(xiàn)了內(nèi)外網(wǎng)的隔離，起到保護內(nèi)網(wǎng)的作用。l 網(wǎng)絡需實現(xiàn)租戶帶寬限速需求運營商IDC機房的出口帶寬是有限的，租戶租賃的帶寬并不是沒有任何限制。在傳統(tǒng)業(yè)務中，因為服務器的接入端口固定，只要在接入層設備上做限速策略即可實現(xiàn)限速。對于云計算業(yè)務，二層網(wǎng)絡內(nèi)的遷移是一個常見特性，如何在二層網(wǎng)絡中實現(xiàn)帶寬限速也是網(wǎng)絡需要解決的重要問題之一。二、 IDC網(wǎng)絡的層次

5、架構(gòu)傳統(tǒng)IDC網(wǎng)絡和云資源池IDC網(wǎng)絡有較大區(qū)別，但從邏輯拓撲而言，都可以分為四個區(qū)域：l 出口路由區(qū)l 核心交換區(qū)l 接入網(wǎng)絡區(qū)l 增值業(yè)務區(qū)出口路由區(qū)出口路由區(qū)的主要功能是作為IDC機房的出口，與國干網(wǎng)和城域網(wǎng)互聯(lián)，完成外部網(wǎng)絡和IDC內(nèi)網(wǎng)的三層互通，通常由兩臺CR路由器組成。對于某些大型省份，在一個城市建設有多個IDC機房，若每個IDC機房都之間與國干網(wǎng)和城域網(wǎng)互聯(lián)，則會比較浪費國干網(wǎng)和城域網(wǎng)設備的端口資源和線路資源，因此通常會再建設一個IDC路由骨干層網(wǎng)絡。骨干層中的兩臺CR路由器直接與國干網(wǎng)和城域網(wǎng)互聯(lián)，各機房IDC出口CR路由器則與骨干層出口路由器互聯(lián)。核心交換區(qū)核心交換區(qū)配置ID

6、C內(nèi)網(wǎng)核心交換機，作為接入層與出口路由區(qū)的互聯(lián)設備，起到匯聚流量的作用，同時IDC內(nèi)部流量互通也可以通過核心交換機完成。在云計算業(yè)務興起后，為擴大二層網(wǎng)絡規(guī)模，同時提高內(nèi)網(wǎng)效率，網(wǎng)絡交換網(wǎng)絡大都采用核心層加接入層的扁平化組網(wǎng)，不再設置匯聚層。為了實現(xiàn)高密接入，核心交換機通常采用數(shù)據(jù)中心級設備，具有高吞吐、大緩存等特點，同時通過IRF2網(wǎng)絡虛擬化技術，將多臺核心交換機虛擬成一臺，既提高接入密度，又方便管理。接入網(wǎng)絡區(qū)接入網(wǎng)絡區(qū)下聯(lián)物理服務器，上聯(lián)核心交換機，主要部署千兆或萬兆交換機。由于物理服務器數(shù)量多，且每臺物理服務器均有多個端口，這就要求接入層交換機需要實現(xiàn)高密接入。當前，在IDC網(wǎng)絡中，接

7、入交換機通常以TOR方式在每個機柜部署兩臺，實現(xiàn)本機柜的服務器接入。接入交換機通常采用千兆下行（連接服務器），萬兆上行（連接核心交換機）的連接方式，并通過IRF2技術進行虛擬化部署。增值業(yè)務區(qū)增值業(yè)務區(qū)部署與增值業(yè)務相關的設備，包括防火墻、IPS、負載均衡等設備。這些設備通常以旁掛核心交換機的方式進行設計，根據(jù)業(yè)務需求，在核心交換機上將流量引到增值業(yè)務區(qū)處理。對于云主機等業(yè)務，由于規(guī)劃使用私網(wǎng)IP網(wǎng)段，因此必須使用防火墻實現(xiàn)NAT轉(zhuǎn)換，該防火墻設備通常也以旁掛方式部署在核心交換機上。三、 IDC網(wǎng)絡的邏輯拓撲根據(jù)IDC網(wǎng)絡的分層設計思路，設計IDC網(wǎng)絡邏輯拓撲如下：l 服務器的接入網(wǎng)關通常部署

8、在核心交換機上l 核心交換機與增值業(yè)務的FW等設備進行三層互連l 核心交換機與出口CR路由器三層互連l CR路由器與外部網(wǎng)絡三層互連對于傳統(tǒng)IDC業(yè)務的VIP區(qū)域租戶而言，租戶租用了IDC機房的一片區(qū)域，在該區(qū)域內(nèi)租戶部署了自己的局域網(wǎng)。此時租戶網(wǎng)絡直連核心交換機，核心交換機實現(xiàn)與租戶網(wǎng)絡三層互連，如下圖所示。四、 IDC網(wǎng)絡接入?yún)^(qū)域設計接入?yún)^(qū)域?qū)崿F(xiàn)上連核心交換機，下連物理服務器的功能，從組網(wǎng)形式上，接入層和核心交換機之間互連有很多種實現(xiàn)方式，推薦使用以下兩種方式。l 虛擬化聚合互聯(lián)如下圖所示，核心交換機和接入層交換機都通過IRF2技術實現(xiàn)多虛一部署，通過跨設備鏈路聚合方式，實現(xiàn)接入層和核心交換機互連。這種方式的好處是不需要設計STP等復雜的二層網(wǎng)