數(shù)據(jù)中心局域網(wǎng)改造建設方案

目錄TOC\o"1-4"\h\z\u第1章新一代數(shù)據(jù)中心的架構趨勢 61.1傳統(tǒng)數(shù)據(jù)中心架構的問題 61.2新一代數(shù)據(jù)中心的架構趨勢 7面向云計算的數(shù)據(jù)中心架構 7綠色數(shù)據(jù)中心 9災備數(shù)據(jù)中心架構 91.3新一代數(shù)據(jù)中心的技術要求 10整合化 11.一體化交換技術 12.高品質(zhì)以太網(wǎng)技術 13.智能效勞部署集中化技術 15虛擬化 17.網(wǎng)絡設備虛擬化技術 17.網(wǎng)絡智能效勞虛擬化技術 19.利用網(wǎng)絡技術實現(xiàn)融合的虛擬化 20自動化 211.3.4XX數(shù)據(jù)中心技術要求總結 22第2章XX數(shù)據(jù)中心局域網(wǎng)絡設計 242.1XX數(shù)據(jù)中心建設原那么 242.2總體網(wǎng)絡結構 25層次化結構的優(yōu)勢 25標準的網(wǎng)絡分層結構 252.2.3XX改造后網(wǎng)絡結構 262.3核心層與會聚層設計 28網(wǎng)絡轉發(fā)資源的池化 28智能效勞資源的池化 29核心/會聚層設計總結 312.4接入層設計 32以太網(wǎng)接入 32存儲網(wǎng)接入 37接入層設計總結 382.5網(wǎng)絡虛擬化和邏輯設計 39虛機感知網(wǎng)絡的設計 40.虛機系統(tǒng)內(nèi)交換機的改良 40.標準的硬件化虛機感知協(xié)議 41.虛機感知網(wǎng)絡的設計總結 42數(shù)據(jù)中心大二層結構設計 43.跨機箱的端口捆綁 44.二層多路徑〔L2MP〕 45.交換機虛擬集群技術 46.大二層設計技術選型總結 47數(shù)據(jù)中心內(nèi)部邏輯設計 48.VLAN設計 48.VSAN設計 49.地址結構和路由 50.虛機標記 50災備數(shù)據(jù)中心的邏輯結構 512.6新一代數(shù)據(jù)中心的自動化 522.6.1IT資源池 52.統(tǒng)一計算系統(tǒng) 53.資源統(tǒng)一集成 54智能業(yè)務調(diào)度系統(tǒng) 542.7新一代數(shù)據(jù)中心的高可用性 55設備可靠性 55網(wǎng)絡可靠性 55第3章XX數(shù)據(jù)中心外延設計 563.1互聯(lián)網(wǎng)接入?yún)^(qū) 563.2辦公區(qū) 563.3廣域專網(wǎng)接入?yún)^(qū) 563.4網(wǎng)絡運維中心 56第4章應用效勞控制與負載均衡設計 574.1功能介紹 57根本功能 57應用特點 58.虛擬化分區(qū) 58.性能和擴展性 59.平安功能 59.集成硬件加速協(xié)議控制功能 60.根底設施簡化 60.功能整合 60.管理功能 60.SSL加速 61.事務處理可視性 610.開放的硬件平臺 614.2應用優(yōu)化和負載均衡設計 61邏輯結構 61應用負載均衡的設計 63.方案一：串聯(lián)模式的應用負載均衡模塊ACE 63.方案二：單臂模式的應用負載均衡模塊ACE 64.應用負載均衡設計方案比擬 66地址和路由 66.ACE的路由設計 66.VIP地址變更的流程設計 68平安功能的設計 694.2.5SSL分流設計 70擴展性設計 71高可用性設計 71.路由模塊的冗余 71.防火墻模塊FWSM的冗余 72.應用負載均衡模塊ACE的冗余 72.效勞器的冗余 72.效勞器NICTeaming〔成組〕 73第5章網(wǎng)絡平安設計 745.1網(wǎng)絡平安部署思路 74網(wǎng)絡平安整體架構 74網(wǎng)絡平臺建設所必須考慮的平安問題 765.2網(wǎng)絡設備級平安 76防蠕蟲病毒的等Dos攻擊 76防VLAN的脆弱性配置 77防止DHCP相關攻擊 785.3網(wǎng)絡級平安 79設備的平安互連和接入 79平安域訪問控制 81.平安域的劃分 81.防火墻部署設計 81.防火墻策略設計 84基于效勞器角色的訪問控制 84數(shù)據(jù)中心內(nèi)部加密和完整性 865.4網(wǎng)絡的智能主動防御 88網(wǎng)絡準入控制 88桌面平安管理 89智能的監(jiān)控、分析和威脅響應系統(tǒng) 91第6章效勞質(zhì)量保證設計 956.1效勞質(zhì)量保證設計分類 956.2數(shù)據(jù)中心效勞質(zhì)量設計 96帶寬及設備吞吐量設計 96.設備吞吐能力 96.帶寬設計 96.DCB帶寬管理： 97低延遲設計 98無丟棄設計 99第7章網(wǎng)絡管理 1017.1網(wǎng)絡管理自動化 1017.2IT治理 101第8章附錄1：傳統(tǒng)數(shù)據(jù)中心和新一代數(shù)據(jù)中心方案比照 1028.1方案綜述 1028.2具體比擬： 103本錢比擬 103性能、效率和擴展性比擬： 104管理復雜度和成熟性： 1048.3比擬結果總結 104第9章附錄2：設備功能概述的技術要求 106文檔信息文檔編寫: 魏航審閱記錄審閱機構姓名職務發(fā)布歷史版本號發(fā)布日期發(fā)布人發(fā)布狀態(tài)備注0.32011-06-02魏航DraftInitialversion新一代數(shù)據(jù)中心的架構趨勢傳統(tǒng)數(shù)據(jù)中心架構的問題傳統(tǒng)的IT架構始終有一個80/20困境，即80％的精力本錢在建設和維護，20％的精力本錢在使用和優(yōu)化。長久以來企業(yè)把IT建設的精力過多的放在IT根底設施本身，而不是IT所能提供的根本價值〔即企業(yè)的應用和效勞〕。換句話說，IT實際上應當是一種工具和資源，就如同水、電、能源等等這些企業(yè)生產(chǎn)所需的工具和資源一樣，但企業(yè)使用的使用水、電從來不過多介入到取水、發(fā)電這些具體工作中去，而企業(yè)使用的IT資源整相反，形成建設和使用的倒掛。業(yè)界從互聯(lián)網(wǎng)云計算的概念得到啟發(fā)，開辟了嶄新的數(shù)據(jù)中心架構模式，以解決長期困擾的業(yè)務開展與根底資源的矛盾和瓶頸問題。即如果能夠把IT的資源當成用水用電一樣、并且以一種可量化其“質(zhì)”和“量”的標準效勞的方式交付給資源的使用者，就能從根本上解決問題。這種使用IT資源的方式最早形成在互聯(lián)網(wǎng)應用的交付過程中，互聯(lián)網(wǎng)應用的使用者往往不關心IT資源的具體存在形態(tài)〔象云一樣無時不在、無所不在〕，而只需要對互聯(lián)網(wǎng)應用的賬號賦予可度量的本錢，即可按該賬號所賦予的使用量、使用規(guī)那么和質(zhì)量來使用互聯(lián)網(wǎng)效勞。對于這種IT效勞的使用方式，我們就可以把更多的精力放在如何使用好它們，而不必浪費精力于IT資源本身。這就是最原本的云計算含意。云計算的重大意義在于解決了傳統(tǒng)IT中的建設和使用倒掛的80/20困境。但或出于平安、或出于制度，人們發(fā)現(xiàn)大局部行業(yè)并不可能把所有的行業(yè)應用以互聯(lián)網(wǎng)作為“云端”，需要把基于互聯(lián)網(wǎng)云計算的模式移植到企業(yè)專有網(wǎng)絡中，這就是“專有云”〔或稱私有云，PrivateCloud〕。專有云失去了互聯(lián)網(wǎng)資源的規(guī)模效應，是否還能繼承云計算應用優(yōu)勢呢？實際上云計算概念的引入，已經(jīng)重新定義了傳統(tǒng)專網(wǎng)中獲取資源的模式，即使沒有互聯(lián)網(wǎng)的資源規(guī)模效應前提，也可以從根本上扭轉剛剛提及的80/20資源應用的矛盾。我們先研究傳統(tǒng)IT架構是怎么導致80％精力消耗在資源的建設和維護的。具體而言存在如下問題：維護管理難，靈活性差：在傳統(tǒng)構架中業(yè)務與底層資源的關系是呈豎井方式〔Silo〕，網(wǎng)絡中進行業(yè)務擴容、遷移或增加新的效勞功能越來越困難，每一次變更都將牽涉相互關聯(lián)的、不同時期按不同初衷建設的多種物理設施，涉及多個不同領域、不同效勞方向，工作繁瑣、維護困難，而且容易出現(xiàn)漏洞和過失。比方數(shù)據(jù)中心新增加一個業(yè)務類型，需要調(diào)整新的應用訪問控制需求，此時管理員不僅要了解新業(yè)務的邏輯訪問策略，還要精通物理的防火墻實體的部署、連接、安裝，要考慮是增加新的防火墻端口、還是需要添置新的防火墻設備，要考慮如何以及何處接入，有沒有相應的接口，如何跳線，以及隨之而來的VLAN、路由等等，如果網(wǎng)絡中還有諸如地址轉換、7層交換等等效勞與之相關聯(lián)，那將是非常繁雜的任務。當這樣的IT資源需求在短期內(nèi)累積，將極易在使得系統(tǒng)維護的質(zhì)量和穩(wěn)定性下降，同時反過來減慢新業(yè)務的部署，進而阻礙公司業(yè)務的推進和開展。資源利用率低：傳統(tǒng)架構豎井方式對底層資源的投入與在上層業(yè)務所收到的效果很難得到同比開展，最普遍的現(xiàn)象就是忙的設備不堪重負，閑的設備資源儲藏過多，二者相互之間又無法借用和共用。這是由于對底層網(wǎng)絡建設是以功能單元為中心進行建設的，并不考慮上層業(yè)務對底層資源調(diào)用的優(yōu)化，這使得對網(wǎng)絡的投入往往無法取得同樣的業(yè)務應用效果的改善，反而浪費了較多的資源和維護本錢。效勞策略不一致：傳統(tǒng)豎井架構最嚴重的問題是這種以孤立的設備功能為中心的設計思路無法真正從整個系統(tǒng)角度制訂統(tǒng)一的效勞策略，比方平安策略、高可用性策略、業(yè)務優(yōu)化策略等等，造成跨平臺策略的不一致性，從而難以將所投入的產(chǎn)品能力形成合力為上層業(yè)務提供強大的效勞支撐。因此，按傳統(tǒng)底層根底設施所提供的效勞能力已無法適應當前業(yè)務急劇擴展所需的資源要求，導致人們用于建設和使用上的精力和本錢出現(xiàn)了倒掛。本次數(shù)據(jù)中心建設必須從根本上改變傳統(tǒng)思路，利用專有云計算提供的嶄新的體系結構思路來構造新的數(shù)據(jù)中心IT根底架構，下面詳細闡述。新一代數(shù)據(jù)中心的架構趨勢面向云計算的數(shù)據(jù)中心架構XX數(shù)據(jù)中心改造的目標是構建一個可持續(xù)開展的、新一代的面向云計算的數(shù)據(jù)中心架構。將數(shù)據(jù)中心的IT資源池化，通過智能的業(yè)務調(diào)度機制、以可計量的方式按需、保質(zhì)的取用資源，滿足業(yè)務需求的同時屏蔽底層的復雜性，使用戶可以把更多精力投入到IT資源的優(yōu)化應用上去。如下列圖所示：IT應用、效勞器計算、I/O網(wǎng)絡、存儲等資源的虛擬和池化、按需調(diào)用IT資源，實際上就是云計算的“架構即效勞”〔IaaS〕模式。這種架構下的數(shù)據(jù)中心相比之前的豎井化的傳統(tǒng)數(shù)據(jù)中心有如下明顯優(yōu)勢：隨需而動的業(yè)務靈活性：上層業(yè)務的變更作用于物理設施的復雜度降低，能夠最低限度的減少了物理資源的直接調(diào)度，使維護管理的難度和本錢大大降低。方便隨業(yè)務的調(diào)整和變遷而靈活供給所需資源，而根底架構保持穩(wěn)定不變。高效資源優(yōu)化復用：使得物理資源可以按需調(diào)度，物理資源得以最大限度的重用，減少建設本錢，提高使用效率。一方面總硬件資源占用量降低了，另一方面每個業(yè)務得到的效勞反而更有充分的資源保證了。全局策略一致性：統(tǒng)一的智能化調(diào)度屏蔽了具體設備個體的策略復雜性，能夠最大程度的在設備層面以上建立統(tǒng)一、一致的效勞體驗。根據(jù)上層業(yè)務對效勞要求的不同，可定義調(diào)用的條件和方式，從而方便的對不同業(yè)務提供相適應的策略和合規(guī)性約束，這樣整個IT將可以到達理想的效勞規(guī)那么和策略的一致性。高效節(jié)能、綠色環(huán)保：集約化的資源部署、智能優(yōu)化的資源調(diào)度以及按需增長的業(yè)務靈活性將提供最為經(jīng)濟、高效、節(jié)能、綠色環(huán)保的數(shù)據(jù)中心體系。這樣在專有云計算的架構下，我們構建的數(shù)據(jù)中心就有希望走出80/20的模式，從IT資源建設上節(jié)省下的時間、精力和本錢可以轉換為對IT資源更好的利用，從而有效的推動企業(yè)的生產(chǎn)力開展。綠色數(shù)據(jù)中心當前的能源日趨緊張，能源的價格也飛揚直上，如何最大限度的利用能源、降低功耗，以最有效率方式實現(xiàn)高性能、高穩(wěn)定性的效勞是新一代的數(shù)據(jù)中心必須考慮的問題。傳統(tǒng)的片面追求設備本身的低功耗是較為初級的綠色數(shù)據(jù)中心設計，須知功能架構不變，設備功耗越低、產(chǎn)出也越低，為滿足應用壓力，又不得不投入更多設備，反而造成總體效率低、難于維護管理。新一代的綠色數(shù)據(jù)中心應當是從架構上實現(xiàn)綠色環(huán)保的數(shù)據(jù)中心，依靠架構可以比單純設備級的方式取得更佳的節(jié)約效果。面向云計算的數(shù)據(jù)中心架構是當今最正確的綠色數(shù)據(jù)中心架構模式，主要有如下原因：資源池調(diào)用資源方式實現(xiàn)最大化的錯峰復用，實際投入的硬件設備可以大幅度減少；云計算的以業(yè)務為導向、按業(yè)務需求量精確調(diào)用資源的方式，可以最大化的優(yōu)化資源的利用率，節(jié)約能源；資源池組織資源的方式，實現(xiàn)了資源供給隨業(yè)務增長而同步增長，無須浪費能源支撐未來才可能用到的資源。總之，打破傳統(tǒng)架構，以新的云數(shù)據(jù)中心架構實現(xiàn)資源調(diào)用，才是最正確的數(shù)據(jù)中心實現(xiàn)綠色環(huán)保設計的模式。災備數(shù)據(jù)中心架構相對于傳統(tǒng)的兩地三中心的災備模式，新一代的數(shù)據(jù)中心是面向云效勞的架構。最終理想的云數(shù)據(jù)中心下的災備模式不限于三中心的固有模式，IT資源也不受制于固有的主中心、同城中心、異地中心等固有角色責任。該架構下企業(yè)把分布在各地的IT資源看成云，用戶可透明的使用IT效勞而無須關心效勞的具體實現(xiàn)位置，效勞不僅具備跨地域的健壯性，還應當具備調(diào)用的透明性和效勞體驗的一致性。這就對網(wǎng)絡提出了進一步的挑戰(zhàn)。具體而言新一代數(shù)據(jù)中心的災備網(wǎng)絡應具備：企業(yè)的云效勞應可以跨災備中心自由調(diào)度硬件資源，這需要災備中心之間的網(wǎng)絡平臺提供更豐富和透明的傳輸效勞，屏蔽地域上的分隔；災備中心之間與應用內(nèi)容相配合，提供更高傳輸效勞質(zhì)量和更高的帶寬利用效率；以標準網(wǎng)絡效勞的模式提供多數(shù)據(jù)中心之間的業(yè)務虛擬化和連續(xù)性，使用戶可透明的使用不同物理位置的云資源，具備效勞質(zhì)量的一致性體驗。新一代數(shù)據(jù)中心的技術要求面向云的數(shù)據(jù)中心架構表達的是一種資源調(diào)度的全新方式，資源調(diào)用方式是面向云效勞而非象以前一樣面向復雜的物理底層設施進行設計的，而其中的智能業(yè)務調(diào)度機制是關鍵的實現(xiàn)環(huán)節(jié)。智能業(yè)務調(diào)度機制是由網(wǎng)絡智能化進一步開展而實現(xiàn)的，要形成云計算要求的智能化資源調(diào)度，就需要達成以下目標：整合化：云計算智能資源調(diào)度的前提是“資源是可見的”，即上層業(yè)務所需IT資源能夠被盡可能多的整合到系統(tǒng)中，可不改變根底架構形態(tài)的方式實現(xiàn)對資源的訪問；虛擬化：被充分整合的資源如果能被以其存在的物理位置、物理狀態(tài)無關的方式所靈活調(diào)用，多用可多取，少用可少取，不用不取，用后釋放，那么這些整合的資源就形成了以上架構中的資源池，這一過程稱為資源的虛擬化，或稱“池化”。自動化：在IT資源的整合化、虛擬化根底之上，業(yè)務對底層資源的使用便可以有條件被智能系統(tǒng)自動的動態(tài)調(diào)用，也就是管理員將策略傳遞給智能系統(tǒng)，智能系統(tǒng)最優(yōu)化的計算和配置資源，自動完成相關物理資源的調(diào)度，最經(jīng)濟、最有效的完成效勞提供的任務，有限的資源可以最大化的提供效勞，而管理員的工作負擔、管理過失和漏洞降為最低，這是最理想化的資源調(diào)用模式，也是最終形成專有云計算關鍵性步驟。以上是構造面向云計算數(shù)據(jù)中心的技術趨向，雖然以上技術特性相互有較強的先后依存關系，但在實際數(shù)據(jù)中心建設過程中以上技術特性將可分別演進，并相互配合以達成云計算的目標。以下將針對XX的數(shù)據(jù)中心要求，給出以上個技術趨向所代表的典型技術。整合化如前所述，要形成云計算的資源池，必須使上層業(yè)務所需的IT資源在系統(tǒng)中是“可見的”，如同打印機從并口相連變成網(wǎng)絡相連，打印資源被更多的使用者“可見”，從而打印功能被充分復用；磁盤從直接連接〔DAS〕成為SAN連接，磁盤存儲資源也被更多的主機“可見”，從而存儲資源得到充分利用。這種資源共享化過程，就是資源的整合化。資源整合有需要經(jīng)歷兩個步驟：IT資源的網(wǎng)絡化：如同上面打印機和磁盤的例子，如果想讓資源端和資源使用端相互可見，那么采用公共的接口互連是最直接的方法，而最為普遍的公共連接接口就是網(wǎng)絡。在數(shù)據(jù)中心設計中，應盡可能的將IT智能資源網(wǎng)絡化，以到達通過網(wǎng)絡的資源調(diào)用的“可見性”。IT資源的集中化：即使資源是網(wǎng)絡化的，但如果資源物理部署過于分散，或資源完全存在于無法相連通且不兼容的網(wǎng)絡中，那么也將導致資源的“豎井化”，無法成為整合資源，更無法被虛擬化和智能化的調(diào)用。IT資源的網(wǎng)絡化和集中化對數(shù)據(jù)中心的設計提出的新的要求，傳統(tǒng)數(shù)據(jù)中心設計中有如下技術阻礙：傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡本身存在不同的網(wǎng)絡類型和協(xié)議，割裂了資源的共享：傳統(tǒng)數(shù)據(jù)中心經(jīng)常共存三種不同協(xié)議的網(wǎng)絡高性能計算網(wǎng)絡〔InfiniBand或其他專有技術〕；存儲交換網(wǎng)絡〔FiberChannel〕；數(shù)據(jù)應用網(wǎng)絡〔Ethernet〕。效勞器所需的資源雖然網(wǎng)絡化，但并沒有集中化，仍分散在不同的網(wǎng)絡環(huán)境中，傳輸資源無法統(tǒng)一調(diào)度和充分復用。并且多種且不兼容的網(wǎng)絡技術給數(shù)據(jù)中心帶來繁冗的布線、復雜的維護和過高的功耗。整合化對網(wǎng)絡的效勞品質(zhì)要求極高，傳統(tǒng)技術無法到達：資源整合在網(wǎng)絡中，對網(wǎng)絡的傳輸品質(zhì)提出更高要求，比方將存儲傳輸融合到現(xiàn)有數(shù)據(jù)中心網(wǎng)絡，就需要更高帶寬、更低延遲和極低的丟棄率，這在傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡上是無法實現(xiàn)的。傳統(tǒng)數(shù)據(jù)中心智能效勞分散部署，形成天然“資源豎井”：傳統(tǒng)數(shù)據(jù)中心設計受制于智能效勞設備〔比方防火墻、負載均衡、NAT等等〕的性能而不得不設置多個分散的設備為不同區(qū)域的用戶效勞，這些分散的設備為智能效勞資源共享設置了天然的豎井，使得資源雖然網(wǎng)絡可達、但無法集中調(diào)度和高效復用。新一代面向云的數(shù)據(jù)中心需要如下技術解決傳統(tǒng)數(shù)據(jù)中心的如上設計問題：一體化交換技術如前所述，在傳統(tǒng)數(shù)據(jù)中心中存在三種網(wǎng)絡：使用光纖存儲交換機的存儲交換網(wǎng)絡〔FiberChannelSAN〕，便于實現(xiàn)CPU、內(nèi)存資源并行化處理的高性能計算網(wǎng)絡〔多采用高帶寬低延遲的InfiniBand技術〕，以及傳統(tǒng)的數(shù)據(jù)以太網(wǎng)技術，這天然造成存儲資源、計算資源和數(shù)據(jù)應用資源的資源豎井。為解決這一問題，Cisco在2006年提出了在數(shù)據(jù)中心將這三種網(wǎng)絡協(xié)議統(tǒng)一在以太網(wǎng)上的設想，并積極推動相關技術的標準化和產(chǎn)品化，包括推動2008年的IEEEDataCenterBridging〔DCB〕和2010年的ANSIINCITST11的FiberChannelOverEthernet〔FCoE〕等關鍵技術的標準化，確立了數(shù)據(jù)中心的三網(wǎng)合一的“一體化交換”〔UnifiedFabric〕技術。由于一體化交換完全兼容傳統(tǒng)以太網(wǎng)，并提供更佳的效勞品質(zhì)和資源整合能力，因此一體化交換已經(jīng)成為新一代數(shù)據(jù)中心部署的根本網(wǎng)絡技術，僅Cisco一家廠商在全球已部署一體化交換端口700萬個〔截至2011年2月〕，各廠家都將其列為高端數(shù)據(jù)中心的主流傳輸技術。一體化交換如下所示：傳統(tǒng)網(wǎng)絡統(tǒng)一交換一體化交換技術將這三種網(wǎng)絡實現(xiàn)在統(tǒng)一的傳輸平臺上，即使用一種交換技術同時實現(xiàn)遠程存儲、遠程并行計算處理和傳統(tǒng)數(shù)據(jù)網(wǎng)絡功能。這樣才能最大化的實現(xiàn)三種資源的整合，從而便于實現(xiàn)跨平臺的資源調(diào)度和虛擬化效勞，提高投資的有效性，同時還降低了管理本錢。XX業(yè)務的特點不需要超級計算功能，因此本次工程要實現(xiàn)存儲網(wǎng)絡和傳統(tǒng)數(shù)據(jù)網(wǎng)絡的雙網(wǎng)合一，使用FCoE技術實現(xiàn)二者的一體化交換。當前在以太網(wǎng)上融合傳統(tǒng)局域網(wǎng)和存儲網(wǎng)絡唯一成熟技術標準是FiberChannelOverEthernet技術〔FCoE〕，它已在標準上給出了如何把存儲網(wǎng)(SAN)的數(shù)據(jù)幀封裝在以太網(wǎng)幀內(nèi)進行轉發(fā)的相關技術協(xié)議。由于該項技術的簡單性、高效率、經(jīng)濟性，目前已經(jīng)形成相對成熟的包括存儲廠商、網(wǎng)絡設備廠商、主機廠商、網(wǎng)卡廠商的生態(tài)鏈。具體的協(xié)議發(fā)布可參見FCoE的相關WebSites。()本次數(shù)據(jù)中心建設將對I/O整合程度較高的局部直接實施FCoE，而對其他局部效勞器端口提供FCoE-Ready的根底設施準備，并將在以后階段逐步完成基于FCoE技術的雙網(wǎng)融合改造。高品質(zhì)以太網(wǎng)技術為保證一體化交換的實現(xiàn)，統(tǒng)一交換必須提供高品質(zhì)的傳輸能力，區(qū)別于傳統(tǒng)以太網(wǎng)技術，必須能夠實現(xiàn)：〔一〕高性能、低延遲在新一代的數(shù)據(jù)中心設計中，效勞器的連接帶寬要傳輸存儲、內(nèi)存同步和數(shù)據(jù)等多個業(yè)務，而且后面要提到的虛擬化技術還需要效勞器的計算向高密度小型效勞器資源整合為一個大的計算資源池的方向開展，數(shù)據(jù)中心網(wǎng)絡正成為連接各個效勞器的CPU、內(nèi)存等資源的公共通道，成為“云計算機”的內(nèi)部總線。因此萬兆以太網(wǎng)技術將成為效勞器接入的主流帶寬，而正在開展中的40G/100G以太網(wǎng)也將在不久的將來成為效勞器的接入選擇之一。因此，要保證我們今天采購的設備能有5年以上的生命周期，就必須考慮硬件的可擴展能力。這也就是說從投資保護和工程維護的角度出發(fā)，本期我們需要效勞器的接入設備具備全面的萬兆接入能力，并保證一定密度的交換能力，只有這樣才能維持該設備5年的生命周期。另外存儲網(wǎng)絡和內(nèi)存復制等計算所要求的通過網(wǎng)絡實現(xiàn)的遠程磁盤讀寫、內(nèi)存同步的性能需求，統(tǒng)一交換設備必須提供比傳統(tǒng)以太網(wǎng)設備低幾個數(shù)量級的端口間轉發(fā)延遲，從數(shù)百納秒〔ns〕到幾個微秒〔us〕的級別，這都是傳統(tǒng)以太網(wǎng)技術無法實現(xiàn)的性能指標要求。〔二〕不丟幀的以太網(wǎng)傳統(tǒng)以太網(wǎng)的無連接、無保障的BestEffort傳輸行為使得在傳輸中丟幀是很常見的現(xiàn)象，而這在存儲的遠程讀寫操作、高性能計算的進程通信、遠程訪存等是絕不允許的，這也是存儲網(wǎng)絡、高性能計算網(wǎng)絡尋求非以太網(wǎng)技術解決的主要原因。隨著硬件技術的高速開展，特別是思科、博科等同時掌握高端以太網(wǎng)交換和存儲交換技術的大型網(wǎng)絡廠商的研發(fā)，使得統(tǒng)一交換技術得以在以太網(wǎng)協(xié)議上實現(xiàn)只能在SAN和InifiniBand網(wǎng)絡上才能獲得的效勞品質(zhì)。由于高性能計算和存儲傳輸都需要極為苛刻的延遲可預測性，傳統(tǒng)網(wǎng)絡中采用的200ms的大Buffer來改善丟包率的做法在數(shù)據(jù)中心是不現(xiàn)實的。統(tǒng)一交換技術采用了類似SANSwitch的精細控制流量和智能Buffer技術來保證關鍵業(yè)務的無丟棄。舉例統(tǒng)一交換的典型無丟棄技術：基于優(yōu)先級類別的流控(PriorityFlowControl)通過基于IEEE802.1p類別通道的PAUSE功能來提供基于數(shù)據(jù)流類別的流量控制帶寬管理IEEE802.1Qaz標準定義基于IEEE802.1p流量類別的帶寬管理以及這些流量的優(yōu)先級別定義擁塞管理IEEE802.1Qau標準定義如何管理網(wǎng)絡中的擁塞(BCN/QCN)基于優(yōu)先級類別的流控在DCB的理念中是非常重要的一環(huán)，通過它和擁塞管理的相互合作，我們可以構造出“不丟包的以太網(wǎng)”架構；這對今天的我們來說，它的誘惑無疑是不可阻擋的。不丟包的以太網(wǎng)絡提供一個平安的平臺，它讓我們把一些以前無法安心放置到數(shù)據(jù)網(wǎng)絡上的重要應用能安心的應用到這個DCB的數(shù)據(jù)平臺。帶寬管理在以太網(wǎng)絡中提供類似于類似幀中繼(FrameRelay)的帶寬控制能力，它可以確保一些重要的業(yè)務應用能獲得必須的網(wǎng)絡帶寬；同時保證網(wǎng)絡鏈路帶寬利用的最大化。擁塞管理可以提供在以太網(wǎng)絡中的各種擁塞發(fā)現(xiàn)和定位能力，這在非連接的網(wǎng)絡中無疑是一個巨大的挑戰(zhàn)；可以說在目前的所有非連接的網(wǎng)絡中，這是一個嶄新的應用；目前的研究方向主要集中在后向擁塞管理(BCN)和量化擁塞管理(QCN)這兩個方面。以上無丟棄技術都被定義在IEEEDCB協(xié)議族中。智能效勞部署集中化技術各類網(wǎng)絡智能效勞，比方平安訪問控制、平安檢測、協(xié)議分析、應用優(yōu)化和負載均衡等等是理所當然的IT資源的重要組成局部，因此資源整合也包括將這些網(wǎng)絡智能效勞無縫集成在根底設施內(nèi)以便于虛擬化調(diào)度。根據(jù)XX具體需求，本期建設應當考慮的須集成在根底架構內(nèi)的智能效勞包括：應用效勞優(yōu)化和負載均衡硬件化訪問控制〔防火墻〕實時入侵監(jiān)測〔IDS/IPS〕網(wǎng)絡流量統(tǒng)計網(wǎng)絡協(xié)議分析CPU抗攻擊保護遠程無人值守管理〔Lights-outManagement〕效勞嵌入式事件管理EEM效勞如前所述，傳統(tǒng)設計中由于擔憂智能效勞設施的性能而不得不化整為零、分散部署，這將導致這些效勞資源的利用將被豎井化，如下列圖所示是以防火墻為例的資源豎井，在接入層部署防火墻，雖然可以提高總防火墻吞吐容量，但資源卻被割裂在每個細小的豎井中，不僅效勞器部署缺乏靈活性，而且不同豎井內(nèi)的資源無法跨區(qū)復用，當一個區(qū)域繁忙時，其他空閑的區(qū)域的防火墻資源無法被借用，造成部署浪費。如此多分散的防火墻也會造成管理上的復雜性。資源豎井隨著硬件能力的提高，現(xiàn)在已經(jīng)有能力在數(shù)據(jù)中心做出數(shù)十G能力的防火墻，使得分散的防火墻部署可以集中化。集中化部署的最大優(yōu)勢是便于資源的集中調(diào)度和忙閑復用，而且通過虛擬化技術分配給不同區(qū)域用戶使用，便于統(tǒng)一管理。當需要增強性能時，只需在中心增加防火墻部署，不用觸及各區(qū)域架構，而整體都會得到性能的提升，形成真正的資源池。不僅各區(qū)域用戶使用可通過錯峰提高性能，而且統(tǒng)一管理和策略一致性也能方便實現(xiàn)，并且在投入本錢上也更廉價。如下列圖所示。資源池化當前XX現(xiàn)有系統(tǒng)已經(jīng)局部采用這一的智能化集中部署的方式，在本期改造中我們可以進一步加強資源池的總資源量，后面詳細設計中會有詳盡闡述。虛擬化虛擬化其實就是把已整合的資源以一種與物理位置、物理存在、物理狀態(tài)等無關的方式進行調(diào)用，是云計算架構中IT資源池形成的關鍵環(huán)節(jié)。虛擬化是實現(xiàn)物理資源復用、降低管理維護復雜度、提高設備利用率、保證全局效勞策略一致性的關鍵，同時也是為未來自動化資源調(diào)用和配置打下根底。在云計算架構的數(shù)據(jù)中心設計中，與IT資源相關的各個環(huán)節(jié)都應當有合理的虛擬化設計，這包括：應用/數(shù)據(jù)資源的虛擬化：典型產(chǎn)品和技術包括SOA，虛擬存儲、VSAN、NPIV/NPV等等；主機計算〔操作系統(tǒng)平臺〕虛擬化：典型產(chǎn)品和技術包括VMware，MSHyper-V，Citrix，……等等網(wǎng)絡虛擬化：包括虛擬網(wǎng)絡〔MPLSVPN、VLAN〕，虛擬網(wǎng)絡設備〔虛擬交換機、虛擬路由器等〕，虛擬網(wǎng)絡智能效勞〔虛擬防火墻，虛擬負載均衡等等〕從新一代數(shù)據(jù)中心網(wǎng)絡設計角度需考慮如下虛擬化技術：網(wǎng)絡設備虛擬化技術除了需要充分利用傳統(tǒng)的虛擬網(wǎng)絡技術〔如VPN、VLAN等〕對網(wǎng)絡作虛擬化以外，網(wǎng)絡設備自身的虛擬化那么是新一代數(shù)據(jù)中心的虛擬化熱點技術。設備虛擬化技術可將多個設備虛擬化為單臺邏輯設備〔所謂多合一〕，也包括可將單臺設備虛擬化為多個獨立管理的邏輯設備〔所謂一分多〕。靈活的設備虛擬化將網(wǎng)絡的轉發(fā)資源和物理單元解耦，使網(wǎng)絡徹底成為可自由配置的IT資源。如圖為設備二合一的虛擬化〔也稱“虛擬交換系統(tǒng)”〕，該技術有如下優(yōu)勢：單一管理界面：雖然有多臺物理設備，但管理界面完全為單臺設備管理方式，管理和維護工作量成倍減輕；性能翻倍：虛擬交換系統(tǒng)具備兩臺疊加的性能，與其它交換機通過跨物理機箱的雙千兆以太網(wǎng)或雙萬兆以太網(wǎng)捆綁技術，遠比依靠路由或生成樹的負載均衡更均勻，帶寬和核心吞吐量均做到真正的翻倍。協(xié)議簡單：虛擬交換系統(tǒng)與其它設備間的動態(tài)路由協(xié)議完全是單臺設備與其它設備的協(xié)議關系，需維護的路由鄰居關系數(shù)以二次方根下降，在本系統(tǒng)中可達4～5倍下降，工作量和部署難度大大降低；虛擬交換系統(tǒng)同時作為單臺設備參與生成樹計算關系，生成樹計算和維護量以二次方根下降，在本系統(tǒng)中可達4～5倍下降，工作量和部署難度大大降低。冗余可靠：虛擬交換系統(tǒng)形成虛擬單機箱、物理雙引擎的跨機箱冗余引擎系統(tǒng)，下連接入交換機原來需要用動態(tài)路由或生成樹實現(xiàn)冗余切換的，在虛擬交換系統(tǒng)下全都可以用簡單的鏈路捆綁實現(xiàn)負載均衡和冗余，無論是鏈路還是引擎，冗余切換比傳統(tǒng)方式更加迅捷平滑，保持上層業(yè)務穩(wěn)定運行。以前兩個單引擎機箱的其中一臺更換引擎，一定會導致數(shù)據(jù)的喪失，而虛擬交換系統(tǒng)里任意一臺更換引擎，數(shù)據(jù)可以保證0喪失。而對于大交換容量的設備也可通過一分多的虛擬化而實現(xiàn)將其分配給不同部門獨立使用，這樣不僅防止購置多個物理設備、節(jié)約本錢，而且各虛擬設備可錯峰復用、提高設備利用率，用時提取、用后資源退回，快速部署和撤除設備而無須變更網(wǎng)絡架構，形成交換轉發(fā)資源池。要實現(xiàn)真正的轉發(fā)資源池化，那么一分多的虛擬化技術須區(qū)別于傳統(tǒng)的虛擬網(wǎng)絡的一分多技術。主要不同在于一臺物理的交換機被劃分的多個虛擬子交換機必須擁有獨立的配置管理界面，獨立而完整的全套協(xié)議進程〔包括獨立的生成樹、路由、SNMP、VRRP等協(xié)議進程〕，而且還必須具備局部的獨立硬件資源分配，比方內(nèi)存、TCAM、硬件轉發(fā)表等等。如下列圖所示〔每個VDC就是一個虛擬子交換機〕：多合一和一分多的虛擬化相配合，實現(xiàn)了更加靈活的、與物理設備無關的跨平臺網(wǎng)絡資源分配和調(diào)度能力，將網(wǎng)絡轉發(fā)資源真正池化，成為云計算架構中的IT 資源池的重要組成局部，為管理和運營自動化創(chuàng)造奠定根底。網(wǎng)絡智能效勞虛擬化技術面向云計算的數(shù)據(jù)中心在智能效勞集中化部署的根底上，應能夠將其效勞虛擬化為多個獨立的邏輯設備，無論使用者在網(wǎng)絡的什么位置，都可得到屬于自己的在效勞資源，這樣智能效勞無須部署到接入層、也可為不同用戶組提供對應的效勞。實現(xiàn)在XX數(shù)據(jù)中心網(wǎng)絡中的智能效勞應包括防火墻、IDS、負載均衡、協(xié)議分析等等，它們都應當可被虛擬化。如同對一分多設備虛擬化的要求一樣，智能效勞設備的每個虛擬子設備也應當具備獨立的配置管理界面、獨立的資源界定、甚至獨立的協(xié)議進程。整合以及設備虛擬化的根底之上，云數(shù)據(jù)中心要求每個虛擬化的網(wǎng)絡應用區(qū)都有自己的業(yè)務效勞設施，比方自己的防火墻、IDS、負載均衡器、SSL加速、……網(wǎng)絡效勞，這些如果都是物理上獨占式分配的，將是高本錢、低效率且難于維護管理的。云數(shù)據(jù)中心網(wǎng)絡在提供這些網(wǎng)絡智能效勞時都可以以虛擬化的方式實現(xiàn)各類效勞的資源調(diào)用，比方虛擬防火墻、虛擬IDS、虛擬負載均衡器、虛擬SSLVPN網(wǎng)絡……等等，從而實現(xiàn)網(wǎng)絡智能效勞的虛擬化。利用網(wǎng)絡技術實現(xiàn)融合的虛擬化隨著虛擬化技術作為數(shù)據(jù)中心的熱點，越來越多的廠商在自己的優(yōu)勢產(chǎn)品中提供大量的虛擬化手段，但宏觀看各類虛擬化技術從不同角度、面對不同IT資源形成了相互沒有關聯(lián)、孤立設計的解決方案，這些孤島式的虛擬化技術在系統(tǒng)中疊加，不僅沒有帶來優(yōu)勢，反而帶來管理、擴展性和功能等方面的缺陷。比擬明顯的例子就是已在數(shù)據(jù)中心廣泛使用的效勞器虛擬化技術和其他虛擬化技術的矛盾：網(wǎng)絡不知虛機的存在，導致如下問題：虛擬動態(tài)的在線遷移〔比方VMware的VMotion〕使大量效勞器經(jīng)常變換接入的物理端口，而其網(wǎng)絡策略〔ACL、QoS、端口鏡像等〕無法以一種可擴展的方式為每個虛機設定；虛機的接入交換機往往是一個虛擬化軟件平臺里的軟交換機，功能簡單，消耗主機資源高，不能針對虛機進行高級網(wǎng)絡策略設定；網(wǎng)絡的物理接口往往對應大量虛機，無法分辨不同虛機的個性策略。虛機是一分多的虛擬化解決方案，而用戶有多合一虛擬化虛機需求：廣泛使用的VMware、Hyper-V、Patition等都是一分多的虛機模式，用戶需要高性能處理和跨地域的災備業(yè)務時需要多合一的虛機來完成任務。虛機遷移帶來網(wǎng)絡的二層可擴展性問題：虛機遷移需要二層環(huán)境，而傳統(tǒng)的二層環(huán)境是不可擴展的〔比方生成樹問題、負載均衡問題、故障切換問題等等〕。虛機受網(wǎng)絡制約無法跨地域遷移：虛機遷移需要低延遲、高吞吐的二層環(huán)境，這制約了虛機的遷移范圍，特別對于主備數(shù)據(jù)中心往往是在三層廣域網(wǎng)上實現(xiàn)連接的，虛機無法通過有效遷移充分利用底層資源。針對以上問題，需要借助網(wǎng)絡虛擬化技術來改善或提高效勞器虛擬化能力，實現(xiàn)網(wǎng)絡和效勞器融合的虛擬化解決方案。在本次設計中，需要考慮以下先進的融合虛擬化技術：數(shù)據(jù)中心網(wǎng)絡需具備虛機感知能力：能夠在網(wǎng)絡上以虛機為單位標定網(wǎng)絡智能策略，并隨虛機的遷移而遷移；將虛機的接入交換機從原來的軟交換機變?yōu)橛布粨Q機，提高交換性能、降低虛機所在主機的額外開銷；IEEE802.1Qbh和Qbg是兩個并行的虛機感知網(wǎng)絡的解決方案，但Qbg沒有得到VMware的支持，僅有IEEE802.1Qbh擁有從虛擬化軟件、網(wǎng)卡到物理接入交換機的全面商用化支持，因此將作為本次數(shù)據(jù)中心設計的首選技術要求。選取具備多機負載均衡能力的網(wǎng)絡：使用具備虛擬化能力的負載均衡設備提供多合一的虛機能力，并在管理上和一分多的虛機方式統(tǒng)一。這既可以實現(xiàn)多合一的高性能處理，又能夠實現(xiàn)跨地域的虛擬化，實現(xiàn)災備業(yè)務的統(tǒng)一效勞質(zhì)量體驗。數(shù)據(jù)中心采用具備高可擴展能力的大二層技術：主流的大二層擴展性技術有虛擬交換機的跨機箱端口捆綁，在拓撲中不出現(xiàn)環(huán)路，不采用生成樹完成鏈路備份和負載均衡；使用二層多路徑技術〔Layer2MultiPath，L2MP〕，在二層環(huán)境實現(xiàn)和三層路由網(wǎng)絡一樣的可擴展性，主流有IETFTRILL；使用交換設備虛擬化技術，從接入層到核心虛擬化為單一設備，沒有冗余環(huán)接的網(wǎng)絡存在，需要廠商特定的技術和產(chǎn)品支持。網(wǎng)絡設計應支持跨三層廣域網(wǎng)的二層環(huán)境，以解除虛機遷移的地域限制：傳統(tǒng)通過二層VPN技術〔如MPLSL2VPN技術〕對底層網(wǎng)絡要求較高〔比方必須支持二層VPN的高端路由器等〕，配置管理復雜，一些特定廠商技術支持專用于災備數(shù)據(jù)中心二層互連的簡單二層通道，建議作為優(yōu)選方案。自動化自動化是云計算架構中實現(xiàn)按需、按質(zhì)、定量供給IT資源滿足上層業(yè)務需求的關鍵一步，自動化的本質(zhì)是按業(yè)務需求對IT資源池中的資源實現(xiàn)自動、優(yōu)化的調(diào)度。理想的自動化情境中，業(yè)務的部署完全不需要物理上的動作，資源在虛擬化平臺上可以與物理設施無關的進行分配和整合，這樣我們只需要將一定的業(yè)務策略輸入給智能網(wǎng)絡的策略效勞器，一切的工作都可以按系統(tǒng)自身最優(yōu)化的方式進行計算、評估、決策和調(diào)配實現(xiàn)。如下列圖所示：業(yè)務部署自動化需要有非常成熟的IT資源池和智能化調(diào)度機制，首先IT資源池需要如前所述的資源整合化、虛擬化開展到一定程度，即IT資源已經(jīng)實現(xiàn)了高度整合和虛擬化；其次智能化調(diào)度機制必須依托于一個復雜性較低、穩(wěn)定性較好的資源池平臺，這就需要高度整合和虛擬化的資源必須實現(xiàn)在一個精簡化的、無廠商互操作障礙的架構中，以降低調(diào)用的復雜度。具體業(yè)務自動化所必須的條件如下：一個高度精簡整合化的資源池平臺，使資源調(diào)度復雜性能降至最低IT資源高度整合、虛擬化架構極度精簡和優(yōu)化融合多廠商、平滑互操作一套自動化調(diào)度管理系統(tǒng)與IT管理流程、業(yè)務流程相融合的跨平臺智能管理軟件，可根據(jù)業(yè)務定義進行最終的資源調(diào)度和分配XX數(shù)據(jù)中心技術要求總結根據(jù)XX本次數(shù)據(jù)中心改造的原那么和需求，應當采用面向云計算的架構對現(xiàn)有數(shù)據(jù)中心進行升級和改造，將架構即效勞〔IaaS〕作為本次專有云計算的根底效勞，為將來平臺即效勞〔PaaS〕和軟件即效勞〔SaaS〕等上層云效勞奠定根底。XX的本次數(shù)據(jù)中心改造的技術要求具有三個維度：IT資源的整合化、虛擬化和自動化，具體應包括如下關鍵技術環(huán)節(jié)：整合化：解決IT資源的網(wǎng)絡化和集中化。一體化交換技術：用一體化交換網(wǎng)絡〔UnifiedFabric〕解決傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡本身存在不同的網(wǎng)絡類型和協(xié)議，割裂了資源的共享的問題；高品質(zhì)以太網(wǎng)技術：使用高品質(zhì)以太網(wǎng)技術〔DataCenterBridging〕解決整合化對網(wǎng)絡的高效勞品質(zhì)要求；智能效勞集中化部署技術：使用集中化部署技術解決智能效勞部署分散化導致的“天然資源豎井”問題；虛擬化：在應用/數(shù)據(jù)、主機、網(wǎng)絡等IT資源充分虛擬化的根底上要特別重視實現(xiàn)如下關鍵的虛擬化：網(wǎng)絡設備虛擬化：改良傳統(tǒng)網(wǎng)絡虛擬化技術，使用多合一、一分多的網(wǎng)絡設備虛擬化技術形成更適于云計算資源調(diào)度要求的轉發(fā)資源池；智能效勞虛擬化：使網(wǎng)絡中的智能效勞和轉發(fā)平面一起完成虛擬化，包括虛擬防火墻、虛擬負載均衡、虛擬IDS等等；融合的虛擬化：利用網(wǎng)絡技術，融合和開展主機的虛擬化，包括：虛機感知網(wǎng)絡：已成熟商業(yè)化的IEEE802.1Qbh的虛擬感知網(wǎng)絡；虛擬負載均衡：使用可虛擬化的負載均衡實現(xiàn)多合一的主機虛擬化；大二層技術：利用可擴展的大二層技術延展虛機的調(diào)度范圍，包括跨機箱的端口捆綁技術、二層多路徑技術〔L2MP〕、設備多合一虛擬化技術等等；跨地域二層延展技術：使用跨地域的二層延展技術實現(xiàn)跨地域的虛機部署。自動化：與業(yè)務流程融合的智能IT資源調(diào)度，實現(xiàn)業(yè)務部署的自動化，必須具有：一個高度精簡整合化的資源池平臺：使資源調(diào)度復雜性能降至最低一套自動化調(diào)度管理系統(tǒng)：完成業(yè)務流程、IT流程和最終資源的實際調(diào)配。XX數(shù)據(jù)中心局域網(wǎng)絡設計XX數(shù)據(jù)中心建設原那么隨著中國國際電子商務中心業(yè)務的日益擴大，為了充分滿足當前和未來的業(yè)務需求，中國國際電子商務中心方案對現(xiàn)有的網(wǎng)絡進行合理規(guī)劃與升級，以此更好的滿足日益擴大的業(yè)務需求，更好的發(fā)揮中國國際電子商務中心在國民經(jīng)濟中的重要作用。本次外經(jīng)貿(mào)專用網(wǎng)工程擬在原有外經(jīng)貿(mào)專用網(wǎng)根底上統(tǒng)一規(guī)劃、統(tǒng)一實施，改造升級和擴容現(xiàn)有北京亦莊主中心、東單同城備份中心和廣州異地備份中心〔另期考慮〕三個網(wǎng)絡中心。設計及實施應充分遵循以下原那么：采用新一代的云計算標準建設新一代數(shù)據(jù)中心使用成熟的、商用化的云計算技術改造現(xiàn)有數(shù)據(jù)中心，建立一套穩(wěn)定和可持續(xù)開展的云計算數(shù)據(jù)中心架構，并在此架構上規(guī)劃未來5年的業(yè)務部署，以滿足業(yè)務長期持續(xù)的擴展能力，在運營和使用中收獲長期效益。構建新一代的綠色數(shù)據(jù)中心注重節(jié)能、環(huán)保和資源利舊，在設計上應站在較高的高度，利用云計算架構實現(xiàn)新一代的綠色數(shù)據(jù)中心。構建面向云效勞的高可靠性整個網(wǎng)絡系統(tǒng)必須有很高的平安性、可靠性和一定程度的冗余。要面向下一代的云計算災備系統(tǒng)架構進行數(shù)據(jù)中心設計。網(wǎng)絡的預見性和架構通用性隨著未來用戶應用規(guī)模的不斷擴大，設計必須具備一定的預見性和架構通用性，對于可預見的開展趨勢，網(wǎng)絡架構必須從當前設計中給予充分考慮，并提供無須進行大的架構改變而能適應未來5年網(wǎng)絡升級的穩(wěn)定、通用的架構，最大限度保護投資，獲得總擁有本錢優(yōu)勢?？傮w網(wǎng)絡結構XX數(shù)據(jù)中心局域網(wǎng)絡將采用層次化、模塊化的設計。層次化結構的優(yōu)勢采用層次化結構有如下好處：節(jié)約本錢：園區(qū)網(wǎng)絡意味著巨大的業(yè)務投資正確設計的園區(qū)網(wǎng)絡可以提高業(yè)務效率和降低運營本錢。便于擴展：一個模塊化的或者層次化的網(wǎng)絡由很多更加便于復制、改造和擴展的模塊所構成，在添加或者移除一個模塊時，并不需要重新設計整個網(wǎng)絡。每個模塊可以在不影響其他模塊或者網(wǎng)絡核心的情況下投入使用或者停止使用。加強故障隔離能力：通過將網(wǎng)絡分為多個可管理的小型組件，企業(yè)可以大幅度簡化故障定位和排障處理時效。符合運維管理的根本準那么：在運維管理中，對不同的變更有嚴格的系統(tǒng)影響評估，給予不同的變更流程。比方對核心系統(tǒng)的任何配置變更應經(jīng)過多級嚴格審查、制定嚴格回退預案、經(jīng)過專家和專門廠商技術人員的審批、并應在非生產(chǎn)時間完成，而對邊緣設備的變更那么由于其影響較小，那么會用比擬簡易的流程完成。如果沒有層次劃分，那么任何變更都將被看出對核心系統(tǒng)有直接影響的行為，企業(yè)IT維護管理的靈活性和可用性將大為降低。標準的網(wǎng)絡分層結構層次化結構包括三個功能局部，即接入層、分布層和核心層，各層次定位分別如下：核心層：是企業(yè)數(shù)據(jù)交換網(wǎng)絡的骨干，本層的設計目的是實現(xiàn)快速的數(shù)據(jù)交換，并且提供高可靠性和快速的路由收斂。分布層：也稱為會聚層。主要會聚來自接入層的流量和執(zhí)行策略，當?shù)谌龑訁f(xié)議被用于這一層時可以獲得路由負載均衡，快速收斂和可擴展性等好處。分布層還是網(wǎng)絡智能效勞的實施點，包括平安控制、應用優(yōu)化等智能功能都在此實施。接入層：負責提供效勞器、用戶終端、存儲設施等等的網(wǎng)絡第一級接入功能，另外網(wǎng)絡智能效勞的初始分類，比方平安標識、QoS分類將也是這一層的根本功能。XX改造后網(wǎng)絡結構XX數(shù)據(jù)中心提供數(shù)據(jù)效勞和災備的局域網(wǎng)網(wǎng)絡，現(xiàn)有結構如下：改造后結構如下：上圖中“核心交換區(qū)”是全網(wǎng)的核心層，來連接數(shù)據(jù)中心、網(wǎng)絡運維中心、辦公區(qū)、廣域網(wǎng)骨干接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)等幾個模塊。幾個模塊內(nèi)部采用扁平化的設計原那么，直接采用接入層路由器或交換機完本錢模塊的互連，但數(shù)據(jù)中心是一個非常龐大的區(qū)域模塊，結合XX的業(yè)務現(xiàn)狀及開展趨勢，我們可以看到未來幾年內(nèi)業(yè)務處于一個高速成長期，必須在本期網(wǎng)絡架構中充分考慮未來的可擴展性。另外從前面提到的運維管理準那么來看，位于不同層次的設備變更會引起不同運維管理要求，比方核心層的變更、會聚層的變更和接入層的變更都有不同的停機容忍度和變更管理流程，為防止任何變更都成為最影響關鍵生產(chǎn)業(yè)務的變化，我們應當在數(shù)據(jù)中心內(nèi)實現(xiàn)完整的層次化設計，即數(shù)據(jù)中心應有完整的核心層、會聚層和接入層，允許在接入層更為頻繁的變化，比方擴容、遷移，允許在會聚層完成智能業(yè)務的升級、區(qū)域的劃分，但核心層架構需要保持最大限度的穩(wěn)定，一般性的業(yè)務變更不應當影響核心層的結構變化。。核心層與會聚層設計網(wǎng)絡轉發(fā)資源的池化如前所述，全網(wǎng)必須有清晰的核心、會聚和接入的層次化結構，因此核心、會聚接入應當有相對獨立的管理界面、控制平面和數(shù)據(jù)平面。我們可以用分立的設備實現(xiàn)，但建議采用高端大容量的核心設備，提供15T以上的單機擴展交換容量，提供物理機虛擬為多個虛擬機的功能，虛擬機完全如同實際的物理機一樣擁有獨立的配置界面、獨立的控制平面和數(shù)據(jù)轉發(fā)平面，完全的故障隔離和單獨維護和重啟能力。如下列圖所示：這樣用一對高端大容量交換機虛擬化的實現(xiàn)冗余的核心層、冗余的會聚層設備，有如下優(yōu)勢：轉發(fā)資源完全虛擬化、池化，按需增加和削減虛機，無須改變物理和布線結構；虛機可實現(xiàn)錯峰復用，每個虛機峰值性能可達置整機總性能，比傳統(tǒng)使用中低端設備獨立部署獲得高幾倍的性能；物理設備資源使用效率充分發(fā)揮；總設備投入本錢從4臺變?yōu)閮膳_，電力本錢、管理本錢也同時降低；虛機管理平面、控制平面、數(shù)據(jù)平面仍各自獨立，保持層次結構，不影響運維層次隔離性。因此對物理核心和會聚設備有如下性能和功能的要求：需使用性能在4T以上的交換機構成，性能可擴展至15T；需支持一分多的虛擬交換機獨立的管理、控制和數(shù)據(jù)平面每虛機具備可根據(jù)用戶名賬號區(qū)分的獨立配置界面可單獨重啟、進行過失隔離對下連設備提供跨機箱的端口捆綁功能，即對端只要支持IEEE802.3ad，即可與核心層兩個物理機箱相連，且跨機箱實現(xiàn)端口捆綁；具備獨立的帶外管理接口，該管理代理獨立于交換機的系統(tǒng)軟硬件，實現(xiàn)Lights-outManagement虛擬交換機之間仍使用萬兆方式互連，建議采用4萬兆捆綁、交叉，以三層路由方式互連。智能效勞資源的池化會聚層要提供數(shù)據(jù)中心網(wǎng)絡的智能效勞，包括：應用效勞優(yōu)化和負載均衡全7層、基于上下文的訪問控制〔防火墻〕實時入侵監(jiān)測〔IDS/IPS〕網(wǎng)絡流量統(tǒng)計網(wǎng)絡協(xié)議分析NAT/GRE等智能封裝和轉發(fā)CPU抗攻擊保護嵌入式事件管理EEM效勞以上作為根本的網(wǎng)絡效勞資源都應當整合在數(shù)據(jù)中心網(wǎng)絡內(nèi)，為了使將來的管理更為簡便，組織架構和應用的變遷不至于導致網(wǎng)絡根底架構的頻繁變化，使虛擬化和自動化更為簡易的實現(xiàn)，智能效勞應當整合在網(wǎng)絡架構內(nèi)，并以虛擬化的方式提供給所需的業(yè)務部門。具體應當設計為：部署的物理位置要集中在會聚層：智能設備資源應當整合到網(wǎng)絡架構內(nèi)，即智能效勞部署的位置應當被所有需要的業(yè)務單位“可見”，而不應只被局部單位可見，否那么那么成為前述的“資源豎井”。比方：某接入層交換機串接的防火墻不可被其他接入層所利用，就屬于“資源豎井”。因此智能設備資源應集中設置于會聚層。智能效勞應內(nèi)置于設備或旁路接入到會聚層：智能效勞功能應當內(nèi)置于會聚層設備內(nèi)，或者以旁路方式接入會聚層，而不應當串接在各網(wǎng)絡層次之間冗余網(wǎng)狀的鏈路上。否那么不僅網(wǎng)絡結構變化影響智能效勞，而且智能效勞幾乎無法擴展。旁路接入方式必須開放和標準：旁路方式接入的智能效勞，必須能夠“雙臂”連接到兩個會聚層設備上，而且可實現(xiàn)鏈路捆綁。為了實現(xiàn)開放性的智能效勞接入，跨會聚設備的雙鏈路捆綁必須遵循標準的IEEE802.3ad。智能效勞功能必須支持虛擬化：智能效勞必須能夠虛擬化的提供給每個需要的業(yè)務部門，比方每個業(yè)務部門可得到自己的虛擬防火墻、虛擬負載均衡、虛擬IDS等。該虛擬智能效勞設備要求與前面虛擬交換機VDC相同，即：獨立的管理、控制和數(shù)據(jù)平面每虛機具備可根據(jù)用戶名賬號區(qū)分的獨立配置界面可單獨重啟、進行過失隔離基于以上，建議充分利舊現(xiàn)有的Catalyst6500交換機，內(nèi)置現(xiàn)有和本次擴展各類效勞模塊，以雙臂旁路接入的方式連接到會聚層，雙臂旁路采用幾條萬兆進行捆綁，可根據(jù)6500內(nèi)置效勞模塊吞吐性能決定，保證沒有網(wǎng)絡傳輸上的瓶頸。使用利舊的6500有如下優(yōu)勢：最大化的利舊和投資保護；當前的6500運行穩(wěn)定，性能充?！?20Gbps，遠高于當前業(yè)界的智能效勞性能〕，在未來也不會成為性能瓶頸；智能效勞模塊集中放置，便于一體化管理；雙6500可虛擬化為單機箱，簡化網(wǎng)絡連接和設備管理；6500內(nèi)置模塊均提供業(yè)界領先的虛擬化功能，可實現(xiàn)硬件的集中資源部署，分布到各使用單位的虛擬化智能效勞，如下列圖所示：整合的機箱實現(xiàn)整合的資源效勞，整合的資源效勞通過虛擬化給不同的業(yè)務部門或單位，每個單位使用相應的防火墻或負載均衡時，具備獨立的策略、獨立的資源要求、獨立的管理界面，完全不用關心是通過那個物理盒子來實現(xiàn)的。當業(yè)務調(diào)整、組織變遷，各種變更都不會導致硬件的復雜調(diào)整，只需軟件上進行資源的重新虛擬化劃分即可，管理非常簡單。與效勞模塊有關的詳細設計將在后面智能效勞的詳細設計中加以說明。核心/會聚層設計總結核心和會聚層設計要點如下：層次化設計：應實現(xiàn)核心層和會聚層的層次化設計；虛擬交換機池：可利用交換機的虛擬化特性實現(xiàn)核心層和會聚層的層次化，減少設備數(shù)量，提供設備資源利用率；智能效勞整合化：數(shù)據(jù)中心的智能效勞應整合到會聚層；智能效勞開放接入：數(shù)據(jù)中心的智能效勞應可以開放性的從會聚層接入，包括支持多廠商，跨會聚交換機端口捆綁以IEEE802.3ad為標準，支持智能效勞旁路接入等等；智能效勞虛擬化：智能效勞可被虛擬化到接入層的不同邏輯分組內(nèi)，具備邏輯獨立性〔虛擬化〕；智能效勞設備利舊：智能效勞可考慮使用既有的6500機箱承載多種效勞模塊，實現(xiàn)利舊和投資保護；接入層設計以太網(wǎng)接入新一代數(shù)據(jù)中心的效勞器接入已邁入了萬兆接入時代，主要有以下原因：資源整合、統(tǒng)一交換的需要：傳統(tǒng)的數(shù)據(jù)中心存儲資源、計算資源和數(shù)據(jù)應用資源分別處于三種分立的網(wǎng)絡中，造成天然的資源豎井，不利于資源整合化。而統(tǒng)一交換的網(wǎng)絡那么通過FCoE等技術實現(xiàn)了三網(wǎng)整合。三網(wǎng)整合需要更高的帶寬和網(wǎng)絡吞吐能力，10GE接口是效勞器資源整合的起點配置。10GE網(wǎng)卡節(jié)約布線、提高性能、性價比高：即使當前不采用FCoE技術，也可以通過10GE接口得到節(jié)約布線、提高性能、減少接入設備等優(yōu)勢，而10GE網(wǎng)卡的價格也大幅下降，是當前最具性價比的效勞器接入方式。眾多效勞器采用萬兆接入，需要高密度萬兆網(wǎng)絡接入能力，而傳統(tǒng)萬兆都采用光纖接入方式，有如下問題：功耗高：當密度非常大的時候，功耗將導致運行本錢的增加收發(fā)器價格高：當密度非常大的時候，將占的總投資本錢的1/2以上理線困難：最小彎折半徑受限，布線難度大當效勞器密度高時布線管理、變更跳線非常困難為了解決傳統(tǒng)萬兆光纖問題，一種新型的10GBaseCU1細銅纜萬兆標準成為效勞器甚至交換機互連的主流萬兆物理層標準，其有如下優(yōu)勢：低功耗：只相當于光纖的十分之一低本錢：收發(fā)器更加廉價，價格只相當于十到二十分之一易于理線：細同軸纜，幾乎可作任意彎折〔光纖做不到〕，易于理線機柜內(nèi)或同列內(nèi)的短布線更易于管理CU1細銅纜萬兆唯一缺點是布線距離限制〔最長10米〕，解決方案是采用形如下列圖的柜頂交換機替代傳統(tǒng)的機房集中式交換機，使用柜頂方式交換機還有如下優(yōu)勢：短布線易于管理：效勞器接線在柜內(nèi)或鄰柜完成，易于線路排錯和管理；模塊化接入結構：經(jīng)過柜頂交換機連接的效勞器連同機柜已經(jīng)形成一個完整的接入模塊，假設干模塊可形成一個接入群組“POD”，這種接入方式易于升級、擴展，便于排錯管理；一個接入層區(qū)塊〔POD〕柜頂交換機應選取按數(shù)據(jù)中心專業(yè)設備設計的交換機，1～2RU的高度，能夠提供可熱插拔的冗余風扇組和冗余電源系統(tǒng)，后風扇組進風、前端口面板出風的前后通風散熱設計。接入層大量的柜頂交換機不應當給管理上帶來負擔，與傳統(tǒng)柜頂交換機不同，新一代數(shù)據(jù)中心要求的柜頂交換機應當能夠集群化為一個邏輯的交換機，只需要一個管理地址、一個配置管理界面即可，這樣一個POD內(nèi)看起來只有一對冗余的交換機，如下列圖所示：柜頂交換機的集群化分為傳統(tǒng)堆疊式，交換矩陣擴展式兩種。交換矩陣擴展方式是更新先進的技術，相對傳統(tǒng)堆疊式交換機有如下優(yōu)勢：性能高：傳統(tǒng)堆疊方式多采用菊鏈級連方式互連，而級連帶寬不超過10GE，很容易產(chǎn)生瓶頸；而交換矩陣擴展方式那么采用高速的星型鏈路將各柜頂交換時機聚到一個中心交換矩陣上，將交換矩陣連接線卡的結構實現(xiàn)在多交換機的集群內(nèi)，是性能最高的交換機集群方式?？煽啃愿撸航粨Q矩陣擴展方式只有中心接入交換機運行復雜的操作系統(tǒng)，其他交換機結構似插槽式機箱中的線卡，沒有復雜的操作系統(tǒng)，整個集群象一個交換機那樣是一個整體；而傳統(tǒng)堆疊方式那么每個交換機都是獨立的交換機級連而成，任何一個個體的軟件故障都將涉及整個堆疊系統(tǒng)；功耗低：交換矩陣擴展方式除中心交換機外其他交換機皆為線卡工作方式，軟件簡單，耗電量低；而傳統(tǒng)堆疊方式那么每個交換機都運行完整操作系統(tǒng)，需要較多電力支持；易于管理：交換矩陣擴展方式除中心交換機外其他交換機都無須Console端口，如同機箱交換機的線卡一樣即插即用，配置都在中心接入交換機上完成，體驗和使用單一交換機一致；傳統(tǒng)堆疊方式那么是多個獨立交換機的復雜整合，需要較復雜的配置完成集群功能。因此推薦采用具有中心接入交換機的交換矩陣擴展方式的集群實現(xiàn)POD內(nèi)的接入。如圖，接入層的所有交換機都置于柜頂，其中中心接入交換機置于列中柜，其他接入層交換機放兩邊。中心接入交換機對POD外上連到數(shù)據(jù)中心會聚層，對POD內(nèi)一方面連接其他接入交換機，另一方面也可以在本地實現(xiàn)高性能效勞器的直接接入。POD對外上連的萬兆鏈路數(shù)量和其在下連的總端口數(shù)量呈一定的過載比，需根據(jù)具體業(yè)務類型選擇，詳見后面效勞質(zhì)量設計章節(jié)。一對中心接入交換機和互連的假設干接入層交換機構成一個接入?yún)^(qū)塊〔POD〕，可以是一排機柜，也可以是假設干排機柜。每個POD內(nèi)部可以較多的使用銅纜連接高密度的萬兆，也模塊化的實現(xiàn)了更為清晰的大規(guī)模效勞器連接，比方每個模塊結構清晰，模塊內(nèi)線路都是短距的，可以很方便進行線路診斷；在擴容時可以很方面的以模塊為單位實現(xiàn)平級擴容，而不影響原有模塊。如果當前效勞器的I/O密度還無法做到很高，也可以考慮僅局部機柜配置柜頂交換機，周邊機柜的效勞器連接到相鄰機柜，形如下列圖每4機柜配置一對柜頂接入交換機：如圖，如果柜頂交換機100/1000M電口密度不低于48端口，10GE密度不低于32端口，那么千兆電口接入效勞器每機柜最多可至10臺，萬兆接入效勞器每機柜最多可至8臺。對于少量千兆光端口接入的效勞器，由于10GE端口普遍支持千兆光模塊，因此也可以暫時從萬兆端口以千兆光模塊接入，以后升級無須變更網(wǎng)絡架構。接入交換機需對效勞器提供跨交換機的接入端口捆綁能力，如下列圖所示，這樣支持IEEE802.3ad技術的效勞器可以在兩臺接入交換機上實現(xiàn)多鏈路捆綁的冗余和負載均衡。因此用銅纜替代光纖，用短距跳線替代長距連接，用柜頂交換機替代集中式列頭柜交換機，用交換矩陣擴展式集群實現(xiàn)接入層模塊化的接入，是高帶寬高端口密度效勞器接入的必然開展趨勢。存儲網(wǎng)接入效勞器接入存儲網(wǎng)有兩種接入方式：FiberChannel：效勞器采用傳統(tǒng)的HBA卡通過FiberChannel〔FC〕接入SAN網(wǎng)絡FCoE：新一代數(shù)據(jù)中心的統(tǒng)一交換架構下，效勞器采用以太網(wǎng)和FC整合的I/O卡——CNA〔ConvergedNetworkAdapter〕接入FCoE交換機。采用FCoE接入方式是新一代數(shù)據(jù)中心整合化所必須的技術，已逐漸成為代表正確開展方向的主流存儲接入技術，后面章節(jié)有與傳統(tǒng)接入方式的詳細案例比照，其優(yōu)勢不再贅述。更重要的是，F(xiàn)CoE交換機兼容傳統(tǒng)FiberChannel的接入方式，也即傳統(tǒng)的效勞器可以把FCoE交換機作為普通SAN交換機、用傳統(tǒng)的FC接口實現(xiàn)接入，與傳統(tǒng)SAN接入沒有區(qū)別。為到達這種新舊技術并存的存儲網(wǎng)接入模式，F(xiàn)CoE交換機除提供完整的FCoE功能以外，還必須能夠到達如下要求：支持FC接口：FCoE交換機提供連接網(wǎng)絡的〔EPort〕、連接終端的〔FPort〕的FiberChannel接口，并支持NPV/NPIV；支持SAN交換功能：FCoE交換機提供完整的SAN交換機功能，并兼容主流的主機和存儲廠商產(chǎn)品，至少參加官方的EMC、IBM、HDS、NetApp對SAN交換機的產(chǎn)品兼容性列表；支持端口靈活分配：FCoE交換機提供靈活的端口設置，能夠將任意一個物理接口設置為普通10GE、FCoE10GE、FC1/2/4/8G來使用。無論傳統(tǒng)FC的效勞器還是使用CNAFCoE的效勞器，在接入交換機接入后，由該POD的中心交換機分別上連到以太網(wǎng)會聚/核心交換機和SAN存儲網(wǎng)匯核心交換機，F(xiàn)CoE鏈路在中心接入交換機處終結。其中上連到SAN核心交換機〔XX當前使用MDS9500系列〕應分為FabricA和B兩個平面，各自使用多個8G鏈路捆綁，實現(xiàn)冗余和負載均衡。這需要上連FC端口必須兼容已有的MDS導向器，且支持標準的基于IEEE802.3ad的端口捆綁協(xié)議。傳統(tǒng)效勞器和FCoE效勞器共存的解決方案，不僅解決了新舊技術的過度問題，而且減少了接入交換機類型、數(shù)量和復雜性，整合了網(wǎng)絡資源，提高了數(shù)據(jù)中心的資源部署效率，降低了功耗，部署連接圖如下所示：接入層設計總結接入層設計要點如下：萬兆接入和傳統(tǒng)接入共存的架構：采用適于高密度萬兆的效勞器接入架構，即1～2RU柜頂接入交換機分布式接入，但提供豐富的端口選擇：100/1000M，千兆光口，萬兆光/電口；柜頂交換機集群：柜頂交換機支持多臺虛擬化為1臺的集群虛擬化技術，以簡化管理，以采用交換矩陣擴展技術為優(yōu)選方式；效勞器跨交換機端口捆綁：效勞器端可對兩臺接入交換機實現(xiàn)跨交換機的端口捆綁，并使用標準的IEEE802.3ad協(xié)議；FCoE和傳統(tǒng)SAN接入并存架構：采用適于先進的FCoE技術的效勞器接入架構，即所有萬兆端口提供FCoE能力，但提供與傳統(tǒng)FC接入并存的部署設計，即FCoE交換機同時提供傳統(tǒng)FCSAN接入功能。FCoE和SAN功能都要有存儲廠商的認證；端口靈活性：提供較大比例的接入物理端口可在千兆光口、萬兆光/電口、FCoE端口、FC1/2/4/8G端口之間靈活轉換；部署靈活性：柜頂交換機部署密度、POD上連端口數(shù)量、用于上連和下連的FC端口類型和數(shù)量可根據(jù)業(yè)務需求靈活調(diào)配，模塊化擴展和升級；SAN互連的兼容性：上連的FC端口應完全兼容XX已有的MDS存儲交換機，并可實現(xiàn)多個8GFC的端口捆綁技術。網(wǎng)絡虛擬化和邏輯設計新一代數(shù)據(jù)中心網(wǎng)絡的邏輯架構是建立在融合的虛擬化架構根底上的，傳統(tǒng)的邏輯設計，包括VLAN規(guī)劃、路由和地址結構等，都應效勞于新的融合的虛擬化架構。如前所述，新一代數(shù)據(jù)中心所需要的虛擬化是“融合的虛擬化”而非“孤島式虛擬化”，如同網(wǎng)絡是資源整合的核心，同樣網(wǎng)絡也是虛擬化融合的核心。本節(jié)將詳細描述應提供怎樣的數(shù)據(jù)中心邏輯設計，以解決孤島式的虛擬化、實現(xiàn)融合的虛擬化架構。包括如下內(nèi)容：具備虛機感知網(wǎng)絡的設計：解決網(wǎng)絡對效勞器虛擬化實現(xiàn)的阻礙，包括接入層網(wǎng)絡、效勞器網(wǎng)卡和虛機Hypervisor平臺的設計；數(shù)據(jù)中心大二層結構設計：解決網(wǎng)絡對虛機遷移、FCoE技術實現(xiàn)的阻礙，包括如何設計一個可擴展的大二層結構；數(shù)據(jù)中心內(nèi)邏輯結構設計：在以上網(wǎng)絡虛擬化設計的根底上，可以對虛機標記、VLAN、VSAN、地址結構、路由結構的進行全面設計；災備數(shù)據(jù)中心間邏輯結構：解決了虛機遷移、應用集群化的地理范圍制約問題，包括跨廣域網(wǎng)的二層擴展技術的設計；虛機感知網(wǎng)絡的設計在網(wǎng)絡虛擬化、數(shù)據(jù)/應用虛擬化、計算虛擬化三大數(shù)據(jù)中心資源虛擬化技術中，計算的虛擬化技術處于重要的位置。計算虛擬化的代表技術包括效勞器虛擬化、虛機〔虛擬效勞器〕動態(tài)在線遷移等。其中虛機在線遷移技術可使效勞器不中斷業(yè)務的在線遷移，從而通過虛機在硬件平臺的動態(tài)分布而到達高效利用效勞器硬件資源目的。但該技術的使用中經(jīng)常遇到如下問題：虛擬動態(tài)的在線遷移〔比方VMware的VMotion〕使大量效勞器經(jīng)常變換接入的物理端口，而其網(wǎng)絡策略〔ACL、QoS、端口鏡像等〕無法以一種可擴展的方式為每個虛機設定；虛機的接入交換機往往是一個虛擬化軟件平臺里的軟交換機，功能簡單，消耗大量效勞器資源，性能低，不能針對虛機進行高級網(wǎng)絡策略設定；網(wǎng)絡的物理接口往往對應大量虛機，無法分辨不同虛機的個性策略。為解決上述問題，新一代數(shù)據(jù)中心的接入層必須具備虛機感知能力。業(yè)界成熟的有兩類解決方法：虛機系統(tǒng)內(nèi)交換機的改良最直接的方式是改良虛機系統(tǒng)平臺內(nèi)的軟交換機。Cisco與VMware聯(lián)合推出了一款內(nèi)置于VMwarevSphere系統(tǒng)內(nèi)的分布式交換機Nexus1000v，替代VMware原有的vSwitch和分布式交換機。該交換機使得在一個Cluster內(nèi)的主機上的所有虛機可以看成連接在單一的一臺智能化交換機上，如下列圖所示，它可實現(xiàn)：無論虛機如何遷移，配置在1000v交換機上的所有網(wǎng)絡策略〔ACL、QoS、端口鏡像等〕都隨虛機遷移而自動跟隨；1000v交換機具備所有CiscoNexus交換機的智能性，包括豐富的ACL、QoS、端口鏡像、Netflow等功能；網(wǎng)絡管理員可針對每一個虛機或虛機端口組在1000v交換機上單獨設定其獨有的策略，與網(wǎng)絡管理員在傳統(tǒng)交換機上為真實效勞器設定策略的命令行命令完全一致；策略設定后會自動在VMware內(nèi)形成虛機端口組〔PortGroup〕，也不影響VMware管理員原有使用習慣。標準的硬件化虛機感知協(xié)議由于對VMware內(nèi)已有的軟交換機的改良仍然沒有解決軟交換機消性能低、耗大量效勞器資源的問題，而且為了使協(xié)議更具備開放性和擴展性，IEEE推出了兩個虛機感知網(wǎng)絡的標準協(xié)議：IEEE802.1Qbh〔Hardware-basedVN-link〕和802.1Qbg〔VEPA〕。其中當前成熟的商用產(chǎn)品是IEEE802.1Qbh，而802.1Qbg由于得不到主流的虛機系統(tǒng)廠商、特別是缺乏VMware的支持〔802.1Qbh是VMware等廠商提交〕，因此還無法商用。無論是IEEE802.1Qbh還是802.1Qbg都必須具備三個環(huán)節(jié)的支持：虛機平臺〔比方VMware〕，效勞器網(wǎng)卡，接入交換機。目前只有IEEE802.1Qbh在三個環(huán)節(jié)上都有成熟的商用化產(chǎn)品，其實現(xiàn)原理如下列圖所示：左圖是使用Nexus1000v的虛機感知網(wǎng)絡，右圖為IEEE802.1Qbh，即硬件化VN-link，它在網(wǎng)卡和交換機端口上分別為每個虛機虛擬化出虛擬網(wǎng)卡〔vNIC〕和虛擬交換機端口〔vEth〕，將針對每個虛機的網(wǎng)絡策略寫在vEth或vNIC上，這些策略都將跟著虛機的遷移而自動跟隨，而且由于vEth和vNIC都是硬件完成，因此虛機的I/O通信擁有極高的性能、并且不額外占用宿主物理效勞器的主機資源。虛機感知網(wǎng)絡的設計總結根據(jù)數(shù)據(jù)中心設計的預見性和架構通用性原那么，網(wǎng)絡架構必須考慮到未來的主流趨勢。虛擬機的應用和業(yè)務整合是數(shù)據(jù)中心不可逆轉的趨勢，因此網(wǎng)絡設計必須考慮到對虛機的感知。而對虛機感知的網(wǎng)絡技術的選型來看，應從產(chǎn)業(yè)鏈成熟性和已有市場地位來判斷技術的可能主流方向，保證網(wǎng)絡架構能夠無須進行大的結構改變而能適應未來5年網(wǎng)絡升級和擴展。鑒于XX的虛機應用和業(yè)務整合集中在x86平臺上，應以該平臺絕對主流的VMware虛擬化平臺作為其他技術選型的主要依照，因此最優(yōu)的解決方案應當是保證在網(wǎng)絡設施上優(yōu)先支持IEEE802.1Qbh，而且能夠不改變網(wǎng)絡硬件架構可擴展支持IEEE802.1Qbg為補充。數(shù)據(jù)中心大二層結構設計新一代數(shù)據(jù)中心內(nèi)部的網(wǎng)絡邏輯結構的特點是“大二層結構”。所謂“大二層”是指所有VLAN都可以延展到所有會聚層、接入層交換機的VLAN結構，這與傳統(tǒng)數(shù)據(jù)中心VLAN往往終結在接入層交換機的做法不同。如下列圖所示：大二層網(wǎng)絡結構的需求是由如下原因決定的：效勞器虛擬化的要求：包括VMware在內(nèi)的所有主流效勞器虛擬化技術都能夠實現(xiàn)不同程度的虛機在線遷移，而虛機遷移前后其MAC/IP地址等不變，決定了其遷移的源和目的應在同一個VLAN，因此VLAN可擴展的范圍決定了虛擬化的程度和靈活性；網(wǎng)絡業(yè)務整合的需要：新一代數(shù)據(jù)中心網(wǎng)絡的要比傳統(tǒng)網(wǎng)絡更高的業(yè)務承載能力，包括FCoE、高性能計算〔HPC〕、各種集群化應用〔比方OracleRAC等〕等都需要純二層網(wǎng)絡來提供其業(yè)務所需的低延遲、高吞吐、MAC層直接交換的網(wǎng)絡環(huán)境；智能業(yè)務整合、集中部署的需求：為面向范圍更廣的接入層提供智能效勞資源池，智能效勞被要求集中化部署，這就需要有智能效勞要求的VLAN都能延展到智能效勞設施所在的會聚層。因此，大二層結構是新一代數(shù)據(jù)中心內(nèi)部邏輯設計的準那么，但二層網(wǎng)絡的擴展造成傳統(tǒng)二層技術在鏈路冗余能力、負載均衡能力、可擴展性和網(wǎng)絡穩(wěn)定性上面諸多問題，下面討論如何構造一個可擴展的大二層網(wǎng)絡?？鐧C箱的端口捆綁由于傳統(tǒng)二層網(wǎng)絡依靠生成樹〔或生成樹的改良協(xié)議，如快速生成樹、MSTP等〕來實現(xiàn)冗余鏈路的負載均衡和故障切換，不僅設計復雜、建設維護管理難度大，而且鏈路負載不均、故障收斂慢且穩(wěn)定性差。一種摒棄生成樹的設計就是跨機箱實現(xiàn)以太網(wǎng)端口捆綁，如下列圖所示：這樣設計之后，向任何一對冗余的物理機箱的連接都可看成是連向一個邏輯設備，多條冗余的鏈路可被捆綁為一條邏輯鏈路，邏輯鏈路內(nèi)各物理鏈路可負載均衡和高效能故障切換。進行跨機箱的端口捆綁要注意如下設計：雙活故障逃生：跨機箱端口捆綁機制的潛在風險是一旦核心機箱間通信故障或軟件Bug，那么會造成控制平面雙活，對不同跨機箱端口捆綁機制，雙活造成的影響不同，對于控制平面合并類型的機制，雙活會造成所有端口停止轉發(fā)的崩潰性后果；而對于雙機箱控制平面獨立的機制，那么雙活只會造成配置同步的暫時中斷，不影響當前的數(shù)據(jù)轉發(fā)。因此核心主干和POD中心接入交換機都應中選擇雙控制平面獨立的機制。對外端口捆綁協(xié)議兼容性：跨機箱的端口捆綁，捆綁協(xié)議本身應采用開放的IEEE802.3ad，這樣使被上連的設備感覺不到正在上連雙設備，而是感覺與一個設備進行多鏈路捆綁連接一樣。這樣的設計可提供更開放的互連擴展性?？鐧C箱數(shù)量：跨機箱端口捆綁一般是在兩個機箱實現(xiàn)，當對超過兩個的多機箱進行端口捆綁時，由于雙活甚至多活的幾率大增、多機箱間的協(xié)議和配置同步難度加大，系統(tǒng)會變得非常不穩(wěn)定，不適于在數(shù)據(jù)中心核心主干使用。如果要通過兩個以上的機箱的平行擴展提高主干的容量，應采用其他高擴展性技術，比方下一節(jié)將要提及的二層多路徑〔Layer2Multi-Path，L2MP〕。二層多路徑〔L2MP〕二層多路徑〔L2MP〕技術是將網(wǎng)絡層路由技術的高擴展性、冗余性、負載均衡能力和策略性等優(yōu)勢移植到以太網(wǎng)MAC層實現(xiàn)的技術，好比是為鏈路層提供了與網(wǎng)絡層一樣的高級路由能力。由于L2MP技術基于已經(jīng)成熟的路由協(xié)議技術，具備更強的拓撲適應性、更簡單的設置和管理〔幾乎即插即用〕、更開放架構〔IETFTRILL標準化〕，因此正在成為跨機箱捆綁機制的替代技術。以下比擬跨機箱的端口捆綁技術〔VirtualPortChannel，VPC〕和二層多路徑技術〔L2MP〕。二層多路徑技術已有基于標準版工作〔IETFTRILL〕的成熟商用產(chǎn)品，標準升級無須硬件變更，只需軟件升級。交換機虛擬集群技術局部高端數(shù)據(jù)中心廠商已經(jīng)推出了數(shù)據(jù)中心核心/會聚交換機與柜頂接入交換機虛擬化集群的技術，通過這種集群技術，所有柜頂交換機完全成為核心/會聚交換機的遠端板卡，整體將被看成一個完整的、高端口密度的交換機。由于核心/會聚交換機與柜頂交換機之間采用專有的交換矩陣擴展技術，與在同一機箱內(nèi)交換矩陣和線卡之間關系一樣，無須生成樹、端口捆綁或其他多路徑技術，整個數(shù)據(jù)中心工作起來象一個交換機一樣，因此不失為一種精簡架構的大二層解決方案。但這種解決方案也有其一些問題：接入層平面化：所有接入完全平面化，沒有層次化過載比設計，因而除非整個數(shù)據(jù)中心POD內(nèi)和POD之間的交換吞吐量根本沒有差異，否那么就會導致有的局部效率低、有的局部性能缺乏的問題；專有技術擴展受限：交換矩陣擴展是專有技術，在POD內(nèi)使用不會影響擴展性，而全數(shù)據(jù)中心用一種專有技術，其擴展性和擴展規(guī)模將受限；存儲網(wǎng)絡方案無平滑過度：不僅數(shù)據(jù)局部平面化，而且存儲的設計也隨之平面化，現(xiàn)有的矩陣擴展技術還不能解決在柜頂端提供傳統(tǒng)SAN接入交換的技術，必須采用FCoEMulti-hop或者另起單獨的存儲網(wǎng)絡來實現(xiàn)存儲互連。如果全數(shù)據(jù)中心都采用這種技術，那么存儲的設計將只能在最新的FCoEMulti-hop和最傳統(tǒng)的單獨SAN網(wǎng)絡之間選擇，沒有二者共存、平滑過度的選擇。因此DC-in-a-Box的模式雖然美好，但存在實際部署的問題，因此它可用來在局部POD內(nèi)部署，或解決數(shù)據(jù)中心少數(shù)規(guī)模限度可預測、需極度精簡化的POD部署需求。大二層設計技術選型總結根據(jù)以上分析，各類解決方案都有其適用的范圍和獨特優(yōu)勢，一個大型的數(shù)據(jù)中心不可能只使用一種方法完成大二層部署，因此建議遵循如下的技術選型原那么：在核心/會聚到個接入層設備之間采用L2MP：由于L2MP具備極強的擴展性和拓撲適應性，管理又相對簡單、即插即用，路由協(xié)議為根底的冗余和負載均衡方法是經(jīng)過考驗的穩(wěn)定方式，因此是用于網(wǎng)絡主干技術的最正確選擇；邊緣采用跨機箱端口捆綁：由于效勞器端、外接智能效勞設備〔防火