方案 數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案

通用方案數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案

第一章數(shù)據(jù)中心現(xiàn)狀分析

云計(jì)算數(shù)據(jù)中心相比較傳統(tǒng)數(shù)據(jù)中心對(duì)網(wǎng)絡(luò)的要求有以下變化：

1、Server-Server流量成為主流，而且要求二層流量為主。

2、站點(diǎn)部物理服務(wù)器和虛擬機(jī)數(shù)量增大,導(dǎo)致二層拓?fù)渥兇蟆?/p>

3、擴(kuò)容、災(zāi)備和VM遷移要求數(shù)據(jù)中心多站點(diǎn)間大二層互通。

4、數(shù)據(jù)中心多站點(diǎn)的選路問題受大二層互通影響更加復(fù)雜。

5.iSCSI/FCoE是數(shù)據(jù)中心以網(wǎng)絡(luò)為核心演進(jìn)的需求，也是不可或缺的一部

分。

第二章數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)分析

2.1路由與交換

數(shù)據(jù)中心網(wǎng)絡(luò)方面，關(guān)注的重點(diǎn)是數(shù)據(jù)中心部服務(wù)器前后端網(wǎng)絡(luò)，對(duì)于廣泛

意義上的數(shù)據(jù)中心，如它區(qū)網(wǎng)、廣域網(wǎng)和接入網(wǎng)等容，不做過多擴(kuò)散。

數(shù)據(jù)中心的網(wǎng)絡(luò)以交換以太網(wǎng)為主，只有傳統(tǒng)意義的匯聚層往上才是IP的

天下。數(shù)據(jù)中心的以太網(wǎng)絡(luò)會(huì)逐步擴(kuò)大,IP轉(zhuǎn)發(fā)的層次也會(huì)被越推越高。

數(shù)據(jù)中心網(wǎng)絡(luò)從設(shè)計(jì)伊始，主要著眼點(diǎn)就是轉(zhuǎn)發(fā)性能，因此基于CPU/NP轉(zhuǎn)發(fā)

的路由器自然會(huì)被基于ASIC轉(zhuǎn)發(fā)的三層交換機(jī)所淘汰。傳統(tǒng)的Ethernet交換技

術(shù)中，只有MAC一表要維護(hù)，地址學(xué)習(xí)靠廣播,沒有什么太復(fù)雜的網(wǎng)絡(luò)變化需要關(guān)

注,所以速率可以很快。而在IP路由轉(zhuǎn)發(fā)時(shí)，路由表、FIB表、ARP表一個(gè)都不能

少，效率自然也低了很多。

云計(jì)算數(shù)據(jù)中心對(duì)轉(zhuǎn)發(fā)帶寬的需求更是永無止境，因此會(huì)以部署核心-接入

二層網(wǎng)絡(luò)結(jié)構(gòu)為主。層次越多，故障點(diǎn)越多、延遲越高、轉(zhuǎn)發(fā)瓶頸也會(huì)越多。目

前在一些ISP(InternetServiceProvider的二層結(jié)構(gòu)大型數(shù)據(jù)中心里，由于傳

統(tǒng)的STP需要阻塞鏈路浪費(fèi)帶寬，而新的二層多路徑L2Mp技術(shù)還不夠成熟，因此

1/76

會(huì)采用全三層IP轉(zhuǎn)發(fā)來暫時(shí)作為過渡技術(shù)，如接入層與核心層之間跑OSPF動(dòng)態(tài)

路由協(xié)議的方式。這樣做的缺點(diǎn)顯而易見，組網(wǎng)復(fù)雜,路由計(jì)算繁多，以后勢(shì)必會(huì)

被EthernetL2MP技術(shù)所取代。

新的二層多路徑技術(shù)，不管是TRILL還是SPB都引入了二層ISIS控制平面協(xié)

議來作為轉(zhuǎn)發(fā)路徑計(jì)算依據(jù)，這樣雖然可以避免當(dāng)前以太網(wǎng)單路徑轉(zhuǎn)發(fā)和廣播環(huán)路

的問題，但畢竟是增加了控制平面拓?fù)溥x路計(jì)算的工作，能否使其依然如以往

Ethernet般高效還有待觀察。MPLS就是一個(gè)的前車之鑒，本想著幫IP提高轉(zhuǎn)發(fā)

效率，沒想到卻在VPN路由隔離方面獲得真正應(yīng)用。

2.2EOR與TOR

數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備就是交換機(jī)，而交換機(jī)就分為機(jī)箱式與機(jī)架式兩種。當(dāng)前

云計(jì)算以大量X86架構(gòu)服務(wù)器替代小型機(jī)和大型機(jī),導(dǎo)致單獨(dú)機(jī)架Rack上的服務(wù)

器數(shù)量增多。受工程布線的困擾，在大型數(shù)據(jù)中心EOR(EndOfRow結(jié)構(gòu)已經(jīng)逐

步被TOR(TopOfRack結(jié)構(gòu)所取代。機(jī)架式交換機(jī)作為數(shù)據(jù)中心服務(wù)器第一接

入設(shè)備的地位變得愈發(fā)不可動(dòng)搖。而為了確保大量機(jī)架式設(shè)備的接入，匯聚和核

心層次的設(shè)備首要解決的問題就是高密度接口數(shù)量，由此機(jī)箱式交換機(jī)也就占據(jù)

了數(shù)據(jù)中心轉(zhuǎn)發(fā)核心的位置。

綜合來說，一般情況下數(shù)據(jù)中心以大型機(jī)箱式設(shè)備為核心，機(jī)架式設(shè)備為各

個(gè)機(jī)柜的接入

2.3網(wǎng)絡(luò)虛擬化

云計(jì)算就是計(jì)算虛擬化，而存儲(chǔ)虛擬化已經(jīng)在SAN上實(shí)現(xiàn)得很好了，剩下網(wǎng)絡(luò)

虛擬化了。云計(jì)算環(huán)境中，所有的服務(wù)資源都成為了一個(gè)對(duì)外的虛擬資源，那么網(wǎng)絡(luò)

不管是從路徑提供還是管理維護(hù)的角度來說,都得跟著把一堆的機(jī)框盒子進(jìn)行多

虛一統(tǒng)一規(guī)劃。而云計(jì)算一虛多的時(shí)候，物理服務(wù)器都變成了很多的VM,網(wǎng)絡(luò)層

面則需要對(duì)一虛多對(duì)通路建立和管理更精細(xì)化。

2176

2.3.1網(wǎng)絡(luò)多虛一技術(shù)

網(wǎng)絡(luò)多虛一技術(shù)。最早的網(wǎng)絡(luò)多虛一技術(shù)代表是交換機(jī)集群Cluster技術(shù),

多以盒式小交換機(jī)為主，較為古老，當(dāng)前數(shù)據(jù)中心里面已經(jīng)很少見了。而新的技術(shù)

則主要分為兩個(gè)方向，控制平面虛擬化與數(shù)據(jù)平面虛擬化。

控制平面虛擬化

顧名思義，控制平面虛擬化是將所有設(shè)備的控制平面合而為一，只有一個(gè)主

體去處理整個(gè)虛擬交換機(jī)的協(xié)議處理，表項(xiàng)同步等工作。從結(jié)構(gòu)上來說，控制平面

虛擬化又可以分為縱向與橫向虛擬化兩種方向。

縱向虛擬化指不同層次設(shè)備之間通過虛擬化合多為一，相當(dāng)于將下游交換機(jī)

設(shè)備作為上游設(shè)備的接口擴(kuò)展而存在，虛擬化后的交換機(jī)控制平面和轉(zhuǎn)發(fā)平面都

在上游設(shè)備上，下游設(shè)備只有一些簡(jiǎn)單的同步處理特性，報(bào)文轉(zhuǎn)發(fā)也都需要上送

到上游設(shè)備進(jìn)行。可以理解為集中式轉(zhuǎn)發(fā)的虛擬交換機(jī)橫向虛擬化多是將同一層次

上的同類型交換機(jī)設(shè)備虛擬合一，，控制平面工作如縱向一般，都由一個(gè)主體去完

成，但轉(zhuǎn)發(fā)平面上所有的機(jī)框和盒子都可以對(duì)流量進(jìn)行本地轉(zhuǎn)發(fā)和處理，是典型

分布式轉(zhuǎn)發(fā)結(jié)構(gòu)的虛擬交換機(jī)。

控制平面虛擬化從一定意義上來說是真正的虛擬交換機(jī)，能夠同時(shí)解決統(tǒng)一

管理與接口擴(kuò)展的需求。但是有一個(gè)很嚴(yán)重的問題制約了其技術(shù)的發(fā)展。服務(wù)器

多虛一技術(shù)目前無法做到所有資源的靈活虛擬調(diào)配，而只能基于主機(jī)級(jí)別當(dāng)多機(jī)運(yùn)

行時(shí)，協(xié)調(diào)者的角色［等同于框式交換機(jī)的主控板控制平面對(duì)同一應(yīng)用來說，

只能主備，無法做到負(fù)載均衡。網(wǎng)絡(luò)設(shè)備虛擬化也同樣如此，以框式設(shè)備舉例，不

管以后能夠支持多少臺(tái)設(shè)備虛擬合一，只要不能解決上述問題，從控制平面處理

整個(gè)虛擬交換機(jī)運(yùn)行的物理控制節(jié)點(diǎn)主控板都只能有一塊為主，其他都是備份角

色（類似于服務(wù)器多虛一中的HACluster結(jié)構(gòu)?？偠灾?虛擬交換機(jī)支持的物

理節(jié)點(diǎn)規(guī)模永遠(yuǎn)會(huì)受限于此控制節(jié)點(diǎn)的處理能力。

數(shù)據(jù)平面虛擬化

數(shù)據(jù)平面的虛擬化，目前主要是TRILL和SPB,他們都是用L2ISIS作為控制

協(xié)議在所有設(shè)備上進(jìn)行拓?fù)渎窂接?jì)算，轉(zhuǎn)發(fā)的時(shí)候會(huì)對(duì)原始報(bào)文進(jìn)行外層封裝，

以不同的目的Tag在TRILL/SPB區(qū)域部進(jìn)行轉(zhuǎn)發(fā)。對(duì)外界來說，可以認(rèn)為

TRILL/SPB區(qū)域網(wǎng)絡(luò)就是一個(gè)大的虛擬交換機(jī),Ethernet報(bào)文從入口進(jìn)去后，完

3/76

整的從出口吐出來，部的轉(zhuǎn)發(fā)過程對(duì)外是不可見且無意義的。

這種數(shù)據(jù)平面虛擬化多合一已經(jīng)是廣泛意義上的多虛一了，此方式在二層

Ethernet轉(zhuǎn)發(fā)時(shí)可以有效的擴(kuò)展規(guī)模圍，作為網(wǎng)絡(luò)節(jié)點(diǎn)的N虛一來說，控制平面

虛擬化目前N還在個(gè)位到十位數(shù)上晃悠，數(shù)據(jù)平面虛擬化的N已經(jīng)可以輕松達(dá)到

百位的疇。但其缺點(diǎn)也很明顯，引入了控制協(xié)議報(bào)文處理，增加了網(wǎng)絡(luò)的復(fù)雜度,

同時(shí)由于轉(zhuǎn)發(fā)時(shí)對(duì)數(shù)據(jù)報(bào)文多了外層頭的封包解包動(dòng)作，降低了Ethernet

的轉(zhuǎn)發(fā)效率。

從數(shù)據(jù)中心當(dāng)前發(fā)展來看，規(guī)模擴(kuò)充是首位的，帶寬增長(zhǎng)也是不可動(dòng)搖的，因

此在網(wǎng)絡(luò)多虛一方面，控制平面多虛一的各種技術(shù)除非能夠突破控制層多機(jī)協(xié)調(diào)

工作的技術(shù)枷鎖，否則只有在中小型數(shù)據(jù)中心里面應(yīng)用，后期真正的大型云計(jì)算

數(shù)據(jù)中心勢(shì)必是屬于TRILL/SPB此類數(shù)據(jù)平面多虛一技術(shù)的天地。

2.3.2網(wǎng)絡(luò)一虛多技術(shù)

網(wǎng)絡(luò)一虛多技術(shù)，已經(jīng)根源久遠(yuǎn)，從Ethernet的VLAN到IP的VPN都是已經(jīng)

成熟技術(shù),FC里面則有對(duì)應(yīng)的VSAN技術(shù)。此類技術(shù)特點(diǎn)就是給轉(zhuǎn)發(fā)報(bào)文里面多

插入一個(gè)Tag,供不同設(shè)備統(tǒng)一進(jìn)行識(shí)別，然后對(duì)報(bào)文進(jìn)行分類轉(zhuǎn)發(fā)。代表如只能

手工配置的VLANID和可以自協(xié)商的MPLSLabel0傳統(tǒng)技術(shù)都是基于轉(zhuǎn)發(fā)層面

的，雖然在管理上也可以根據(jù)VPN進(jìn)行區(qū)分，但是CPU/轉(zhuǎn)發(fā)芯片/存這些基礎(chǔ)部件

都是只能共享的。

目前最新的一虛多技術(shù)是類似ExtremeNetworks在交換機(jī)系統(tǒng)中實(shí)現(xiàn)的

VirtualRouter,和VM一樣可以建立多個(gè)虛擬交換機(jī)并將物理資源獨(dú)立分配，目

前的實(shí)現(xiàn)是最多可建立64個(gè)VR,其中有一個(gè)用做管理。

2.4VM互訪技術(shù)（VEPA

隨著虛擬化技術(shù)的成熟和x86CPU性能的發(fā)展,越來越多的數(shù)據(jù)中心開始向

虛擬化轉(zhuǎn)型。虛擬化架構(gòu)能夠在以下幾方面對(duì)傳統(tǒng)數(shù)據(jù)中心進(jìn)行優(yōu)化：

提高物理服務(wù)器CPU利用率;

提高數(shù)據(jù)中心能耗效率；

提高數(shù)據(jù)中心高可用性；

4/76

加快業(yè)務(wù)的部署速度

正是由于這些不可替代的優(yōu)點(diǎn)，虛擬化技術(shù)正成為數(shù)據(jù)中心未來發(fā)展的方

向。然而一個(gè)問題的解決，往往伴隨著另一些問題的誕生，數(shù)據(jù)網(wǎng)絡(luò)便是其中之

一。隨著越來越多的服務(wù)器被改造成虛擬化平臺(tái)，數(shù)據(jù)中心部的物理網(wǎng)口越來越

少，以往十臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)就需要十個(gè)以太網(wǎng)口，而現(xiàn)在，這十個(gè)系統(tǒng)可能是駐留在

一臺(tái)物理服務(wù)器的十個(gè)虛擬機(jī)，共享一條上聯(lián)網(wǎng)線。

這種模式顯然是不合適的，多個(gè)虛擬機(jī)收發(fā)的數(shù)據(jù)全部擠在一個(gè)出口上，單

個(gè)操作系統(tǒng)和網(wǎng)絡(luò)端口之間不再是一一對(duì)應(yīng)的關(guān)系，從網(wǎng)管人員的角度來說，原

來針對(duì)端口的策略都無法部署，增加了管理的復(fù)雜程度。

其次，目前的主流虛擬平臺(tái)上，都沒有獨(dú)立網(wǎng)管界面，一旦出現(xiàn)問題網(wǎng)管人員

與服務(wù)器維護(hù)人員又要陷入無止盡的扯皮中。當(dāng)初虛擬化技術(shù)推行的一大障礙就

是責(zé)任界定不清晰,現(xiàn)在這個(gè)問題再次阻礙了虛擬化的進(jìn)一步普及。

接入層的概念不再僅僅針對(duì)物理端口，而是延伸到服務(wù)器部，為不同虛擬機(jī)

之間的流量交換提供服務(wù)，將虛擬機(jī)同網(wǎng)絡(luò)端口重新關(guān)聯(lián)起來。

做為X86平臺(tái)虛擬化的領(lǐng)導(dǎo)廠商,VMWare早已經(jīng)在其vsphere平臺(tái)置了虛擬

交換機(jī)vswitch,甚至更進(jìn)一步，實(shí)現(xiàn)了分布式虛擬交互機(jī)VDS（vnetwork

distributedswitch,為一個(gè)數(shù)據(jù)中心提供一個(gè)統(tǒng)一的網(wǎng)絡(luò)接入平臺(tái)，當(dāng)虛擬機(jī)

發(fā)生vmotion時(shí),所有端口上的策略都將隨著虛擬機(jī)移動(dòng)。

虛擬以太網(wǎng)端口匯聚器（VEPA是最新IEEE802.IQbg標(biāo)準(zhǔn)化工作的一個(gè)組成

部分，其設(shè)計(jì)目標(biāo)是降低與高度虛擬化部署有關(guān)的復(fù)雜性。如果我們研究一下使

用虛擬交換機(jī)的傳統(tǒng)方法就會(huì)發(fā)現(xiàn)，它與VEPA方法存在很大的不同,VEPA使用戶

可以深入了解虛擬化及聯(lián)網(wǎng)中的各項(xiàng)部署挑戰(zhàn)和需要考慮的因素。

當(dāng)您的物理主機(jī)上的監(jiān)視程序上有多臺(tái)虛擬機(jī)（每臺(tái)虛擬機(jī)都包含一套操作

系統(tǒng)和多種應(yīng)用時(shí)，這些虛擬機(jī)在相互通信和與外部世界通信時(shí)都要使用虛擬交

換機(jī)。事實(shí)上，虛擬交換機(jī)是一種第2層交換機(jī)，通常以軟件的形式在監(jiān)視程序運(yùn)

行。每種監(jiān)視程序通常都有一個(gè)建的虛擬交換機(jī)。不同的監(jiān)視程序所含的虛擬交

換機(jī)在能力方面也是千差萬(wàn)別的。

當(dāng)虛擬交換機(jī)從聯(lián)網(wǎng)領(lǐng)域轉(zhuǎn)移到服務(wù)器領(lǐng)域時(shí),就有必要針對(duì)虛擬環(huán)境對(duì)傳

統(tǒng)的基于網(wǎng)絡(luò)的工具和解決方案進(jìn)行重新測(cè)試、重新定性和重新部署。從某些方

面來說，這種變化會(huì)對(duì)虛擬化的快速擴(kuò)展和普及造成阻礙。

5176

例如，傳統(tǒng)的網(wǎng)絡(luò)和服務(wù)器運(yùn)營(yíng)團(tuán)隊(duì)是截然分開的，每個(gè)團(tuán)隊(duì)都有自己的流程、

工具和控制圍。由于虛擬交換機(jī)的原因，聯(lián)網(wǎng)進(jìn)入了服務(wù)器的疇，因此像供應(yīng)虛擬

機(jī)這樣的簡(jiǎn)單任務(wù)也需要這些團(tuán)隊(duì)之間開展額外的協(xié)調(diào)工作，從而確保虛擬交換

機(jī)的配置與物理網(wǎng)絡(luò)配置保持一致。

由于缺乏網(wǎng)絡(luò)中虛擬機(jī)之間流量的可視性，因此涉及到虛擬機(jī)之間通信的故

障查找和監(jiān)視也變成了一項(xiàng)極具挑戰(zhàn)性的工作。而且隨著虛擬機(jī)數(shù)量的增長(zhǎng)，單

個(gè)服務(wù)器中的虛擬機(jī)目前已經(jīng)達(dá)到8至12臺(tái)，并且會(huì)在不久的將來達(dá)到32至64

臺(tái)，因此，保護(hù)虛擬機(jī)彼此不受干擾，以及不受外界威脅的侵害都變成了一項(xiàng)需要

認(rèn)真考慮的問題。

從防火墻到IDS/IPS,基于網(wǎng)絡(luò)的傳統(tǒng)設(shè)備和工具都需要針對(duì)這些高度虛擬

化的環(huán)境重新開發(fā)、重新認(rèn)證和重新部署，從而確保虛擬機(jī)之間通過虛擬交換機(jī)

的通信能夠滿足法規(guī)一致性和安全方面的要求。

由于在虛擬交換機(jī)方面缺乏標(biāo)準(zhǔn)，因此會(huì)增加涉及不同監(jiān)視技術(shù)的培訓(xùn)、互

用性和管理開銷，進(jìn)入使這些挑戰(zhàn)變得更加復(fù)雜。事實(shí)上，物理服務(wù)器正在變成一

種全面的網(wǎng)絡(luò)環(huán)境,擁有自身的互用性、部署、認(rèn)證和測(cè)試要求。

有趣的是，這種趨勢(shì)與虛擬化最基本的優(yōu)勢(shì)之一是背道而馳的，即虛擬化能夠

將服務(wù)器中過剩的容量以更高的效率來運(yùn)行各類應(yīng)用。目前，這種"服務(wù)器中的網(wǎng)

絡(luò)”很有可能演變成這些過剩容量的消費(fèi)方，將CPU和存資源吞噬殆盡。

VEPA的方法

為應(yīng)用這些挑戰(zhàn)，各方已經(jīng)提出了多種不同的解決方案，其中就包括VEPAo

VEPA是一種虛擬交換機(jī)替代產(chǎn)品；它不僅進(jìn)入了標(biāo)準(zhǔn)化進(jìn)程，而且成為業(yè)界眾多

廠商的一致選擇。

事實(shí)上,VEPA會(huì)將服務(wù)器上虛擬機(jī)生成的所有流量轉(zhuǎn)移到外部的網(wǎng)絡(luò)交換機(jī)

上。外部網(wǎng)絡(luò)交換機(jī)接下來會(huì)為同一臺(tái)物理服務(wù)器上的虛擬機(jī)和基礎(chǔ)設(shè)施的其它部

分提供連接。

實(shí)現(xiàn)這一功能的方法是將一種新型轉(zhuǎn)發(fā)模式融入物理交換機(jī)中，使流量能夠

從來時(shí)的端口"原路返回"，從而簡(jiǎn)化同一服務(wù)器上虛擬機(jī)之間的通信。

"原路返回"模式（或稱"反射中繼"可以在需要時(shí)將包的單一副本反向發(fā)送至

同一臺(tái)服務(wù)器上的目的地或目標(biāo)虛擬機(jī)。對(duì)于廣播或組播流量,VEPA能夠以本地

方式向服務(wù)器上的虛擬機(jī)提供包復(fù)制能力。

6/76

傳統(tǒng)上，多數(shù)網(wǎng)絡(luò)交換機(jī)都不支持這種"原路返回"模式行為，因?yàn)樗赡軙?huì)在

非虛擬世界中造成環(huán)路和廣播風(fēng)暴。然而，許多網(wǎng)絡(luò)廠商都開始支持這種行為，目

的就是解決虛擬機(jī)交換的問題，而且使用簡(jiǎn)單的軟件或固件升級(jí)即可實(shí)現(xiàn)。

IEEE的802.IQbg工作組還努力將這種行為變成了標(biāo)準(zhǔn)。VEPA能夠以軟件的

方式，作為監(jiān)視程序中的瘦層在服務(wù)器中實(shí)施，也可以作為網(wǎng)卡中的硬件來實(shí)施,

在后一種情況下還可以與SR-I0V等PCIeI/O虛擬化技術(shù)結(jié)合使用。其中一個(gè)典

型的例子就是LinuxKVM監(jiān)視程序中提供的基于軟件的VEPA實(shí)施。

事實(shí)上,VEPA將交換功能移出了服務(wù)器，并且將其放回物理網(wǎng)絡(luò)中，而且讓外

部網(wǎng)絡(luò)交換機(jī)能夠看到所有的虛擬機(jī)流量。通過將虛擬機(jī)交換移回物理網(wǎng)絡(luò)，基于

VEPA的方法使現(xiàn)有的網(wǎng)絡(luò)工具和流程可以在虛擬化和非虛擬化環(huán)境以及監(jiān)視程

序技術(shù)中以相同的方式自由使用。

防火墻和IDS/IPS等基于網(wǎng)絡(luò)的設(shè)備，以及訪問控制列表（ACL、服務(wù)質(zhì)量（QoS

和端口監(jiān)視等成熟的網(wǎng)絡(luò)交換機(jī)功能都可以直接用于虛擬機(jī)流量和虛擬機(jī)之間

的交換，因此減少和消除了對(duì)虛擬網(wǎng)絡(luò)設(shè)備重新進(jìn)行昂貴的質(zhì)量判定、測(cè)試和部

署的需求。

此外,VEPA將網(wǎng)絡(luò)管理控制層重新交給了網(wǎng)絡(luò)管理員，為所有與虛擬機(jī)相關(guān)

聯(lián)網(wǎng)功能的供應(yīng)、監(jiān)視和故障查找提供了一個(gè)單一控制點(diǎn)。

將網(wǎng)絡(luò)功能從服務(wù)器卸載至網(wǎng)絡(luò)交換機(jī)能夠帶來諸多的優(yōu)勢(shì),例如釋放服務(wù)

器資源并將其用于更多的應(yīng)用，同時(shí)還可在虛擬和非虛擬服務(wù)器之間提供線速交

換；從IGbps至lOGbps,甚至可以達(dá)到40Gbps和更高的100Gbpso

因此，基于VEPA的方法有助于擴(kuò)大虛擬化部署，降低復(fù)雜性和成本，并且加快

虛擬化的普及。

盡管基于VEPA的方法能夠帶來許多好處，但在某些環(huán)境下，虛擬機(jī)間流量的

交換最好還是留在服務(wù)器部。例如，在有些環(huán)境下物理服務(wù)器要承擔(dān)虛擬機(jī)的巨大

負(fù)荷，而且這些虛擬機(jī)之間的通信非常頻繁，因此為了將延遲降至最低程度，最好

的方法是將虛擬機(jī)之間的流量留在服務(wù)器部。

在此類場(chǎng)景中，可能的方法之一是繞過基于監(jiān)視程序的軟件虛擬交換機(jī)，利

用新型網(wǎng)卡提供的交換硬件能力，即SR-IOV等基于入向I/O虛擬化的能力。同樣,

在使用這種方法時(shí)，也需要權(quán)衡考慮完全使用"服務(wù)器中的網(wǎng)絡(luò)"模型時(shí)的安全和

成本問題。

7176

隨著服務(wù)器虛擬化的廣泛普及，服務(wù)器和服務(wù)器間虛擬機(jī)交換流量的復(fù)雜性

都在不斷提高?；赩EPA的虛擬機(jī)間流量交換方法能夠?yàn)榛谔摂M交換機(jī)的傳

統(tǒng)方法提供一種非常有趣且極具吸引力的替代方案。為了向網(wǎng)絡(luò)和服務(wù)器基礎(chǔ)設(shè)施

提供支持VEPA的能力，此類技術(shù)的標(biāo)準(zhǔn)化工作正在緊鑼密鼓地進(jìn)行當(dāng)中。

2.5虛擬機(jī)遷移網(wǎng)絡(luò)技術(shù)

虛擬服務(wù)器能夠大幅度提升服務(wù)器計(jì)算資源利用率，但是仍然只發(fā)揮了虛擬

化優(yōu)勢(shì)的很小一部分。虛擬化向網(wǎng)絡(luò)的延伸使虛擬機(jī)能夠在應(yīng)用程序運(yùn)行的同時(shí)

實(shí)現(xiàn)在物理服務(wù)器之間的漂移，并按需提供容量，無需增加昂貴且未盡其用的平

臺(tái)。更重要的是，動(dòng)態(tài)虛擬機(jī)的創(chuàng)建和移動(dòng)讓管理員能夠迅速響應(yīng)新的請(qǐng)求,從而提

高用戶的生產(chǎn)效率和客戶滿意度。但是目前傳統(tǒng)的網(wǎng)絡(luò)設(shè)備并不能滿足這種動(dòng)態(tài)

遷移的需求，這成為虛擬化進(jìn)程中的瓶頸，而解決這一瓶頸就意味著虛擬化時(shí)代

的真正到來。

將虛擬化優(yōu)勢(shì)延伸至網(wǎng)絡(luò)，如何動(dòng)態(tài)并經(jīng)濟(jì)有效地分配資源，來滿足高峰和

低谷時(shí)的業(yè)務(wù)需求顯得至關(guān)重要。通常在一個(gè)工作日中，對(duì)計(jì)算資源的需求會(huì)從

最小量開始增長(zhǎng)。虛擬機(jī)可以立刻遷移至其它新啟動(dòng)的服務(wù)器上去，以滿足需求。在

工作日結(jié)束時(shí)，對(duì)計(jì)算資源的需求會(huì)降低，那時(shí)虛擬機(jī)可以遷回原來的服務(wù)器，并

關(guān)閉不需要的服務(wù)器資源,以簡(jiǎn)化管理并降低供電成本。在這個(gè)過程中，網(wǎng)絡(luò)的虛

擬化至關(guān)重要，網(wǎng)絡(luò)可以使得虛擬機(jī)的動(dòng)態(tài)遷移成為可能，還可以保證在任何情

況下對(duì)于應(yīng)用的保護(hù)，甚至可以使得用戶感覺不到虛擬資源的擴(kuò)展或縮小。

日常的虛擬機(jī)遷移只是虛擬機(jī)漂移技術(shù)的一種實(shí)踐應(yīng)用。當(dāng)服務(wù)器離線進(jìn)行

維護(hù)或發(fā)生故障時(shí)，虛擬機(jī)也可進(jìn)行漂移以支持業(yè)務(wù)的連續(xù)性。為了利用這些優(yōu)

勢(shì)，在硬件平臺(tái)間漂移虛擬機(jī)相關(guān)的網(wǎng)絡(luò)配置雖并不復(fù)雜，但卻至關(guān)重要且非常

耗時(shí)。此外，當(dāng)虛擬機(jī)在數(shù)據(jù)中心漂移時(shí),與每臺(tái)虛擬機(jī)相關(guān)的網(wǎng)絡(luò)層策略必須隨之

漂移。這些策略控制著安全、服務(wù)質(zhì)量＜QoS＞等因素，并因用戶和應(yīng)用的具體情況

而異。因此，為每個(gè)業(yè)務(wù)應(yīng)用維持相適應(yīng)的網(wǎng)絡(luò)策略對(duì)于業(yè)務(wù)運(yùn)營(yíng)而言至關(guān)重要。

虛擬機(jī)從一臺(tái)物理服務(wù)器漂移至另一臺(tái)之前，與之相關(guān)的網(wǎng)絡(luò)端口配置以及

安全策略必須針對(duì)目標(biāo)服務(wù)器進(jìn)行正確的設(shè)置，以滿足安全需求。如果數(shù)據(jù)中心

存在大量的服務(wù)器和虛擬機(jī)遷移，那么手動(dòng)配置會(huì)消耗大量的時(shí)間和資源。

8/76

利用網(wǎng)絡(luò)虛擬化的解決方案可使虛擬機(jī)遷移相關(guān)的網(wǎng)絡(luò)管理任務(wù)實(shí)現(xiàn)自動(dòng)

化，且無需大量的管理人員。

針對(duì)虛擬機(jī)漂移的自動(dòng)化網(wǎng)絡(luò)管理

實(shí)現(xiàn)虛擬機(jī)漂移的網(wǎng)絡(luò)自動(dòng)化最關(guān)鍵的，就是構(gòu)建一個(gè)包含智能軟件的網(wǎng)絡(luò)

交換機(jī)，來對(duì)單個(gè)虛擬機(jī)進(jìn)行配置。傳統(tǒng)的網(wǎng)絡(luò)交換機(jī)是通過一個(gè)物理端口來與

它連接的服務(wù)器進(jìn)行通信的。而包含智能軟件的交換機(jī)，則能夠?qū)崿F(xiàn)對(duì)單個(gè)虛擬

機(jī)的感知，以及對(duì)每個(gè)虛擬機(jī)進(jìn)行網(wǎng)絡(luò)配置，從而將單個(gè)虛擬機(jī)屬性擴(kuò)展到整個(gè)

網(wǎng)絡(luò)。當(dāng)虛擬機(jī)在整個(gè)網(wǎng)絡(luò)遷移時(shí)，交換機(jī)能夠追蹤這種遷移，并確保網(wǎng)絡(luò)設(shè)置與虛

擬機(jī)一起實(shí)現(xiàn)遷移。

虛擬機(jī)感知的一個(gè)重要方面是能夠與多種架構(gòu)相兼容。被稱為虛擬機(jī)監(jiān)控器

〈VMM＞是虛擬化軟件的重要組.成之一，它能夠使多種操作系統(tǒng)在單一主機(jī)平臺(tái)中

運(yùn)行。目前可支持Citrix、微軟、VMwareXen,Orac1e等虛擬化平臺(tái)。

由于數(shù)據(jù)中心通常運(yùn)行不同的虛擬化架構(gòu)，因此，具備兼容多個(gè)虛擬化架構(gòu)

的能力至關(guān)重要。研究和開發(fā)部門或許更青睞某一款架構(gòu)，因?yàn)樗褂脩裟軌蚋?/p>

好地管理服務(wù)器；而數(shù)據(jù)管理員為了其他用戶也許會(huì)統(tǒng)一使用另一款來自指定廠

商的虛擬化架構(gòu)?；蛘?數(shù)據(jù)中心管理員因?yàn)閮r(jià)格或其他因素也許會(huì)選擇逐步遷

移至其它廠商的架構(gòu)，從而創(chuàng)建一個(gè)臨時(shí)的混合型環(huán)境。而網(wǎng)絡(luò)是承載這些架構(gòu)

的基礎(chǔ)，網(wǎng)絡(luò)的虛擬化同樣也需要對(duì)于混合環(huán)境提供很好的兼容性。

基于交換機(jī)的虛擬化產(chǎn)品也包含的有價(jià)值的特性：

?跟蹤虛擬機(jī)的遷移，無需變更以太網(wǎng)數(shù)據(jù)包，最大限度提高資源利用率。

?置于交換機(jī)的智能軟件可以緩解網(wǎng)絡(luò)管理員的負(fù)擔(dān)*該架構(gòu)能夠方便用戶在

虛擬層中配置網(wǎng)絡(luò)設(shè)定,從而提高生產(chǎn)效率。

?同時(shí)支持多種虛擬化架構(gòu)，最大限度提高靈活性。

?管理平臺(tái)界面簡(jiǎn)化管理。

針對(duì)虛擬化網(wǎng)絡(luò)的解決方案已成為現(xiàn)實(shí)。ExtremeNetworks公司的XNV技

術(shù)，能夠搜索虛擬機(jī)并使性能和安全設(shè)置與虛擬端口〈而非物理端口〉相聯(lián)系。使

用管理員擁有粒度標(biāo)準(zhǔn)來監(jiān)測(cè)每臺(tái)虛擬機(jī)及其相關(guān)的虛擬端口。XNV還可監(jiān)測(cè)虛

擬機(jī)的創(chuàng)建和遷移,并確保網(wǎng)絡(luò)設(shè)置隨著虛擬機(jī)遷移。這些功能都有助于降低由

網(wǎng)絡(luò)配置錯(cuò)誤引起的應(yīng)用宕機(jī)風(fēng)險(xiǎn)，以及將敏感應(yīng)用暴露給未受權(quán)用戶的安全風(fēng)

9/76

險(xiǎn)。

綜上所述，數(shù)據(jù)中心的虛擬化，即"網(wǎng)絡(luò)感知"和開放性，是新的數(shù)據(jù)中心的必

備能力，只有這樣，用戶才能優(yōu)化資源利用率，降低手動(dòng)維護(hù)安全策略所造成的人

工錯(cuò)誤，因?yàn)樘摂M化提高了數(shù)據(jù)中心的可用性，并降低了總體擁有成本。

第三章方案設(shè)計(jì)

3.1網(wǎng)絡(luò)總體規(guī)劃

數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)，需要考慮到以下的一些因素：系統(tǒng)的先進(jìn)程度、系統(tǒng)

的穩(wěn)定性、可擴(kuò)展性、系統(tǒng)的維護(hù)成本、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的配合度、與外界

互連網(wǎng)絡(luò)的連通、建設(shè)成本的可接受程度。

網(wǎng)絡(luò)整體設(shè)計(jì)采用國(guó)際通行的TCP/IP協(xié)議，并達(dá)到以下目標(biāo)：

1系統(tǒng)可靠性和穩(wěn)定性

作為高性能色區(qū)網(wǎng)絡(luò)，系統(tǒng)的高可靠性和穩(wěn)定性是網(wǎng)絡(luò)應(yīng)用環(huán)境正常運(yùn)行的

首要條件。在保證系統(tǒng)可靠性的基礎(chǔ)上，還要進(jìn)一步提高系統(tǒng)的可用性。我們可

以從以下幾個(gè)方面來提供保證。

＞網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)具有很高的平均無故障時(shí)間，并且在業(yè)界有廣泛的用戶

基礎(chǔ)；

＞關(guān)鍵網(wǎng)絡(luò)設(shè)備冗余工作，其關(guān)鍵部件可實(shí)現(xiàn)在線更換（熱拔插,故障的恢復(fù)時(shí)

間在秒級(jí)間隔完成；

＞網(wǎng)絡(luò)在設(shè)備、拓?fù)湟约熬€路等方面均應(yīng)具有較高的可靠性，以保證每周7*24

小時(shí)，每年365*24小時(shí)的正常工作。

2開放性和標(biāo)準(zhǔn)化

為了保證在網(wǎng)絡(luò)時(shí)保證不同設(shè)備的互通性，所以網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)時(shí)必須采用

開放技術(shù)、支持國(guó)際標(biāo)準(zhǔn)協(xié)議，具有良好的互連互通性,保證支持同一廠家的不同系

列的產(chǎn)品以及與不同廠商的不同網(wǎng)絡(luò)設(shè)備無縫連接和互操作的能力。

3具有高處理能力、可擴(kuò)展性

現(xiàn)支持各種高速網(wǎng)絡(luò)1快速以太網(wǎng)、千兆以太網(wǎng)、萬(wàn)兆以太網(wǎng)等技術(shù)，提高

對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)能力和速度，提供足夠的網(wǎng)絡(luò)帶寬。支持各種協(xié)議并存，可靈活地

10/76

構(gòu)成不同系統(tǒng)，并可方便地從拓?fù)涞慕嵌群驮O(shè)備的角度擴(kuò)展，方便升級(jí)以滿足將

來業(yè)務(wù)增長(zhǎng)的需要。

在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，為了適應(yīng)用戶快速增長(zhǎng)的需要，首先要滿足現(xiàn)有規(guī)模網(wǎng)絡(luò)用

戶和應(yīng)用的需求，同時(shí)考慮未來業(yè)務(wù)發(fā)展、規(guī)模的擴(kuò)大，應(yīng)該設(shè)計(jì)關(guān)鍵網(wǎng)絡(luò)設(shè)備具

備擴(kuò)展能力以及網(wǎng)絡(luò)實(shí)施新應(yīng)用的能力。

靈活擴(kuò)充性：靈活的端口擴(kuò)充能力，模塊擴(kuò)充能力，滿足網(wǎng)絡(luò)規(guī)模的擴(kuò)充。

支持新應(yīng)用的能力：產(chǎn)品具有支持新應(yīng)用的技術(shù)準(zhǔn)備，能夠符合實(shí)際要求的，

方便快捷地實(shí)施新應(yīng)用。

4系統(tǒng)的先進(jìn)、成熟、實(shí)用性及可管理和可維護(hù)性

當(dāng)今世界，通信技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展日新月異，網(wǎng)絡(luò)設(shè)計(jì)既要適應(yīng)新技

術(shù)發(fā)展的潮流，保證系統(tǒng)的先進(jìn)性，也要兼顧技術(shù)的成熟性、實(shí)用性，選擇最合適

的設(shè)備和技術(shù)，降低由于新技術(shù)和新產(chǎn)品不成熟因素給用戶帶來的風(fēng)險(xiǎn)。

在系統(tǒng)設(shè)計(jì)中，選擇先進(jìn)的系統(tǒng)管理軟件是必不可少的。我們?cè)谶@里采用我

們通過這個(gè)統(tǒng)一的管理平臺(tái)的控制，監(jiān)控主機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)狀態(tài)，

簡(jiǎn)化管理工作，提高了主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的利用效率。提供先進(jìn)而完善的網(wǎng)絡(luò)

管理工具，監(jiān)控網(wǎng)絡(luò)故障，優(yōu)化網(wǎng)絡(luò)性能，實(shí)現(xiàn)一體化的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理基于

SNMP,支持RMON和RM0N2。

5系統(tǒng)安全性和性

現(xiàn)在我們網(wǎng)絡(luò)接入的用戶對(duì)網(wǎng)絡(luò)的好奇心，促使會(huì)攻擊我們部網(wǎng)絡(luò)，我們制

訂統(tǒng)一的安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性，能夠提供不同方式不同級(jí)別的

安全策略，保證網(wǎng)絡(luò)重要用戶和數(shù)據(jù)服務(wù)器的安全性。

所以說安全性是網(wǎng)絡(luò)運(yùn)行的生命線。合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境

中的信息資源得到有效的保護(hù)。網(wǎng)絡(luò)可以阻止任何非法的操作；網(wǎng)絡(luò)設(shè)備可進(jìn)行

基于協(xié)議、基于MAC地址、基于IP地址的包過濾控制功能，不同的業(yè)務(wù)，劃分到

不同的虛網(wǎng)中。

6保護(hù)用戶現(xiàn)有投資及效益性

在保證網(wǎng)絡(luò)整體性能的前提下，網(wǎng)絡(luò)設(shè)計(jì)充分保護(hù)用戶投資及效益性，利用

現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí)，在原設(shè)備的基礎(chǔ)上，進(jìn)行網(wǎng)絡(luò)建設(shè)，避免用戶投

資的重復(fù)浪費(fèi)，在滿足用戶需求和未來發(fā)展的趨勢(shì)情況下，采用性價(jià)比高的設(shè)備，

11/76

構(gòu)筑經(jīng)濟(jì)可靠的網(wǎng)絡(luò)平臺(tái)，使新系統(tǒng)更有效地承擔(dān)繁重的任務(wù)，能支持將來系統(tǒng)

的維護(hù)和平滑升級(jí)。所采用的設(shè)備應(yīng)是當(dāng)今業(yè)界的主流產(chǎn)品，采用主流技術(shù)、標(biāo)

準(zhǔn)協(xié)議，具有良好的互操作性，減少設(shè)備互連的問題，網(wǎng)絡(luò)維護(hù)的費(fèi)用，使用戶的

投資得到有效保護(hù)。

3.2省級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)

對(duì)于省級(jí)數(shù)據(jù)中心，一般規(guī)劃為大約五百臺(tái)高性能服務(wù)器，在這種模式下，可

以規(guī)劃2-3層網(wǎng)絡(luò)連接模式（下圖為3層

如上圖所示，一般情況下，大型數(shù)據(jù)中心采用2-3層網(wǎng)絡(luò)結(jié)構(gòu)，以3層結(jié)構(gòu)為

例，采用2臺(tái)高性能ExtremeNetworksBD8800核心交換機(jī)，提供48個(gè)四萬(wàn)兆（40G

接口，通過40G通道下聯(lián)到匯聚層SummitX670系列交換機(jī)。每臺(tái)Extreme

NetworksSummitX670交換機(jī)提供48-60個(gè)萬(wàn)兆萬(wàn)兆接口，并提供四萬(wàn)兆接口上

聯(lián)，萬(wàn)兆下聯(lián)SummitX460交換機(jī)，通過X460交換機(jī)使用千兆連接所有服務(wù)器。

但是對(duì)于新型的大型數(shù)據(jù)中心，萬(wàn)兆網(wǎng)絡(luò)連接已經(jīng)成為主流，所以一般使用

萬(wàn)兆連接服務(wù)器，則直接將網(wǎng)絡(luò)簡(jiǎn)化為如下2層：

萬(wàn)兆以太網(wǎng)技術(shù)目前已成為建設(shè)大中型數(shù)據(jù)中心網(wǎng)絡(luò)的主流技術(shù)。為實(shí)現(xiàn)數(shù)

據(jù)網(wǎng)絡(luò)平臺(tái)的功能，并考慮網(wǎng)絡(luò)在性能、容量、擴(kuò)展性、先進(jìn)性和服務(wù)質(zhì)量等方

面的要求，經(jīng)過對(duì)交換以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、萬(wàn)兆以太網(wǎng)不同網(wǎng)絡(luò)

架構(gòu)在VLAN（虛擬局域網(wǎng)技術(shù)、第三層或多層交換技術(shù)、QoS、ACL等方面的性

能表現(xiàn)及成本分析，確定將高密度端口的萬(wàn)兆以太網(wǎng)交換機(jī)作為整個(gè)信息網(wǎng)絡(luò)的

接入設(shè)備。

通過將萬(wàn)兆以太網(wǎng)、千兆以太網(wǎng)、VLAN技術(shù)、三層路由交換、局域網(wǎng)中的

QoS、ACL技術(shù)與投資經(jīng)濟(jì)性實(shí)現(xiàn)完美的有機(jī)結(jié)合，建立一個(gè)具有成熟的先進(jìn)技術(shù)，

同時(shí)又可簡(jiǎn)便維護(hù)和安全使用的網(wǎng)絡(luò)。

在省級(jí)網(wǎng)絡(luò)設(shè)計(jì)中，我們最終推薦核心到接入交換機(jī)40G連接，接入到服務(wù)

器10G連接。

3.3市級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)

市級(jí)數(shù)據(jù)中心一般采用小于100臺(tái)服務(wù)器，根據(jù)省級(jí)網(wǎng)絡(luò)的建設(shè)設(shè)計(jì)，我們

12/76

同樣使用萬(wàn)兆進(jìn)行連接，這里米用一臺(tái)SummitX670系列交換機(jī)。每臺(tái)Extreme

NetworksSummitX670交換機(jī)提供64個(gè)萬(wàn)兆萬(wàn)兆接口，或者采用X670交換機(jī)堆疊，提供112

個(gè)萬(wàn)兆端口，如下圖所示：

3.4區(qū)縣級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)

區(qū)縣級(jí)數(shù)據(jù)中心，一般采用普通企業(yè)級(jí)服務(wù)器，不進(jìn)行大規(guī)模數(shù)據(jù)集中，所以

一般只適用千兆進(jìn)行接入，所以采用兩臺(tái)千兆交換機(jī)ExtremeNetworksSummit

X460進(jìn)行互聯(lián)，通過冗余備份設(shè)置，千兆連接部所有服務(wù)器。

3.5省、市、區(qū)/縣數(shù)據(jù)中心互聯(lián)設(shè)計(jì)

對(duì)于大多數(shù)行業(yè)客戶如醫(yī)療、教育或政府等，其數(shù)據(jù)中心不只為本地市提供

數(shù)據(jù)交換和處理，同時(shí)各級(jí)數(shù)據(jù)中心之間還需要進(jìn)行數(shù)據(jù)的遠(yuǎn)程交換和共享，從

而充分發(fā)揮多級(jí)數(shù)據(jù)中心架構(gòu)的優(yōu)勢(shì),使各級(jí)數(shù)據(jù)中心協(xié)同工作、遠(yuǎn)程交換、數(shù)

據(jù)共享和統(tǒng)一管理。因此省、市、區(qū)/縣數(shù)據(jù)中心的互聯(lián)也勢(shì)在必行。

3.5.1省、市數(shù)據(jù)中心互聯(lián)

省數(shù)據(jù)中心由于數(shù)據(jù)量較大，需要同時(shí)匯聚地市一級(jí)數(shù)據(jù)中心，因此在省數(shù)

據(jù)中心推薦配置兩臺(tái)MP7508作為核心匯聚路由器，并互為備份。MP7508匯聚路

由器通過1000M光接口連接省數(shù)據(jù)中心核心交換機(jī)BD8800,再通過1000MMSTP

或155MSDH/ATM網(wǎng)絡(luò)分別連接各個(gè)地市數(shù)據(jù)中心上聯(lián)路由器MP7204,地市上聯(lián)

路由器MP7204通過1000M光接口連接其核心交換機(jī)X670。由于MP7508和MP7204

路由器的高性能,從而實(shí)現(xiàn)省、市數(shù)據(jù)中心的高速互聯(lián)，其軟/硬件高可靠性設(shè)計(jì)

以及每個(gè)節(jié)點(diǎn)采用雙機(jī)備份的方式，實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)母呖煽啃院头€(wěn)定性；另外

我們可采用MPLS等安全技術(shù)，進(jìn)一步保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

3.5.2市、區(qū)/縣數(shù)據(jù)中心互聯(lián)

根據(jù)不同的行業(yè)和應(yīng)用，市數(shù)據(jù)中心與區(qū)/縣數(shù)據(jù)中心之間數(shù)據(jù)流量不同，在

數(shù)據(jù)流量較大的應(yīng)用中，市數(shù)據(jù)中心采用MP7204中心匯聚路由器通過100M或

100CM嶇IP線路連接各個(gè)區(qū)/縣數(shù)據(jù)中心MP3840匯聚路由器；對(duì)于數(shù)據(jù)流量較小

的行業(yè)或應(yīng)用，市數(shù)據(jù)中心MP7204可采用155MSDH線路，采用2M復(fù)用的方式連

接各個(gè)區(qū)/縣數(shù)據(jù)中心MP2824,區(qū)/縣數(shù)據(jù)中心可根據(jù)實(shí)際帶寬需求采用2M或

13/76

N*2M鏈路捆綁方式接入市數(shù)據(jù)中心。同樣為了提高互聯(lián)的可靠性，地市匯聚路由

器和區(qū)/縣上聯(lián)路由器均采用雙機(jī)雙線路冗余備份方式，確保數(shù)據(jù)傳輸?shù)母呖煽?/p>

性。

3.5.3數(shù)據(jù)中心安全解決方案

雖然數(shù)據(jù)中心處于一個(gè)相對(duì)安全的私有網(wǎng)絡(luò)環(huán)境，不同級(jí)別的數(shù)據(jù)中心也可

通過運(yùn)營(yíng)商專有線路進(jìn)行互聯(lián)互通，其部數(shù)據(jù)中心和傳輸線路上有一定的安全保

障。同時(shí)為提高數(shù)據(jù)中心的開放度和利用率，以及遠(yuǎn)程管理等,其勢(shì)必要與外部網(wǎng)絡(luò)

或internet進(jìn)行數(shù)據(jù)的互聯(lián)互通，為外部或互聯(lián)網(wǎng)用戶提供數(shù)據(jù)業(yè)務(wù)和管理。因

此在數(shù)據(jù)中心的邊界需要充分考慮其接入和互聯(lián)互通的安全性，需要有效的的邊

界隔離，可以實(shí)現(xiàn)對(duì)非法訪問的阻斷；其二是有效的身份識(shí)別與訪問控制功能，可

以實(shí)現(xiàn)對(duì)源地址的定位、識(shí)別和控制；其三是建立有效的對(duì)抗攻擊能力，實(shí)現(xiàn)對(duì)異

常流量、惡意代碼、有目標(biāo)的滲透等情況的鑒別和防護(hù)；其四是建立深度應(yīng)用識(shí)別

與攻擊檢測(cè),對(duì)應(yīng)用數(shù)據(jù)包進(jìn)行深度檢測(cè)，防欺騙；其五是可以實(shí)現(xiàn)業(yè)務(wù)間隔離與帶寬

資源控制,保障重要業(yè)務(wù)訪問；其六是保護(hù)數(shù)據(jù)傳輸安全，防止數(shù)據(jù)被竊聽和篡改；同

時(shí)，還必須具有高可靠性的安全設(shè)備來防止由于高并發(fā)訪問量、系統(tǒng)故障等突發(fā)情況

而帶來的訪問不便。此外,由于邊界是數(shù)據(jù)中心正常運(yùn)行的重要節(jié)點(diǎn)，部署安全產(chǎn)品必

須具有便于管理的特點(diǎn),這就要求設(shè)備能夠適應(yīng)不同的網(wǎng)絡(luò)環(huán)境,配置盡量簡(jiǎn)單方便，

特征庫(kù)能夠自動(dòng)升級(jí)，可以提供豐富的訪問審計(jì)功能，能夠?qū)α髁窟M(jìn)行有效監(jiān)控，能夠

提供豐富的攻擊統(tǒng)計(jì)，使數(shù)據(jù)中心系統(tǒng)管理員能夠充分掌握數(shù)據(jù)中心的安全態(tài)勢(shì)，為不

斷地優(yōu)化安全策略提供依據(jù)。因此我們建議采用綜合的安全網(wǎng)關(guān)作為數(shù)據(jù)中心邊界接

入和隔離，為其提供用戶安全接入、抗攻擊、入侵檢測(cè)、防病毒、高性能VPN、帶寬

管理等綜合安全解決方案，避免了采用多廠家多型號(hào)的安全產(chǎn)品而帶來的管理和

維護(hù)上的安全風(fēng)險(xiǎn)。

以下為數(shù)據(jù)中心安全解決方案：

在省、市、區(qū)/縣數(shù)據(jù)中心邊界，我們采用MSG4000綜合安全網(wǎng)關(guān)作為外部移

動(dòng)用戶、遠(yuǎn)程管理以及第三方平臺(tái)等用戶和平臺(tái)的接入。MSG4000作為一款綜合安

全產(chǎn)品，可根據(jù)用戶需求提供從100M到10G不同性能需求，省、市、區(qū)/縣數(shù)據(jù)中心

可根據(jù)實(shí)際需要選用不同性能層次的MSG4000；同時(shí)MSG4000在功能上可為客戶

提供安全防護(hù)、病毒過濾、入侵檢測(cè)、應(yīng)用識(shí)別、流量管理、WEB訪問控制、上網(wǎng)

行為管理以及IPSEC/SSLVPN等功能，滿足客戶整個(gè)安全防護(hù)的需求，從而避免了由

于設(shè)備數(shù)量、種類較多帶來的維護(hù)和管理上的不安全因素。

14/76

第四章方案的新技術(shù)特點(diǎn)

4.1量身定制的數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)

4.1.1最先進(jìn)的萬(wàn)兆以太網(wǎng)技術(shù)

Extreme公司作為以太網(wǎng)技術(shù)的先驅(qū)，一直致力于生產(chǎn)嚴(yán)格遵循業(yè)界標(biāo)準(zhǔn)的以

及可與其他廠商兼容的產(chǎn)品，ExtremeNetworks是由100家國(guó)際知名網(wǎng)絡(luò)公司組成

的千兆以太網(wǎng)聯(lián)盟和萬(wàn)兆以太網(wǎng)聯(lián)盟的領(lǐng)導(dǎo)者。Extreme交換機(jī)的10GB以太網(wǎng)模

塊在世界上第一個(gè)實(shí)現(xiàn)單跳網(wǎng)絡(luò)傳輸1TB數(shù)據(jù)流量。Extreme公司一直走在10GB以

太網(wǎng)交換技術(shù)開發(fā)的前沿,公司的發(fā)起人及首席技術(shù)官SteveHaddock現(xiàn)任

IEEE802.3ae任務(wù)小組副主席，該小組已經(jīng)為10-GB以太網(wǎng)開發(fā)了行業(yè)標(biāo)準(zhǔn)。

ExtremeNetworks的TonyLee自2000年3月起，在兩年任期擔(dān)任萬(wàn)兆以太網(wǎng)聯(lián)

盟主席，另一名ExtremeNetworks技術(shù)專家AmeetDhillon目前則擔(dān)任萬(wàn)兆以太

網(wǎng)聯(lián)盟理事。Extreme交換機(jī)的擴(kuò)充能力和高端交換性能標(biāo)志著基于標(biāo)準(zhǔn)的高性能

以太網(wǎng)技術(shù)的重大進(jìn)步。

萬(wàn)兆以太網(wǎng)市場(chǎng)的全球市場(chǎng)占有率：

Extreme在萬(wàn)兆網(wǎng)絡(luò)應(yīng)用從初期就一直保持著市場(chǎng)領(lǐng)先地位

4.1.2硬件全線速處理技術(shù)

網(wǎng)絡(luò)業(yè)務(wù)的不斷增多，各種應(yīng)用的流行，對(duì)網(wǎng)絡(luò)也提出了新的要求，傳統(tǒng)的以

太網(wǎng)交換機(jī)由于基于共享的設(shè)計(jì)理念，對(duì)于音頻、視頻以及數(shù)據(jù)的各種業(yè)務(wù)的傳

輸是無法識(shí)別區(qū)分的，對(duì)于多媒體業(yè)務(wù)的開展需要更智能的設(shè)備來支撐。高速的

網(wǎng)絡(luò)數(shù)據(jù)傳輸應(yīng)用已經(jīng)不是一個(gè)高級(jí)網(wǎng)絡(luò)唯一的重要指標(biāo)。網(wǎng)絡(luò)的發(fā)展方向是支

持線速無阻塞地傳輸各種多媒體等高級(jí)應(yīng)用，在開啟各種網(wǎng)絡(luò)應(yīng)用和功能的情況

下，保證網(wǎng)絡(luò)暢通。這也是Extreme公司的強(qiáng)大技術(shù)優(yōu)勢(shì)所在。

Extreme的智能網(wǎng)方案采用先進(jìn)的組播技術(shù)和Qos保證機(jī)制，實(shí)現(xiàn)全線速的

高質(zhì)量的業(yè)務(wù)運(yùn)行。核心設(shè)備的大密度的高速端口使得網(wǎng)絡(luò)設(shè)備具有大容量的交

換處理能力，以避免擁塞和延遲。Extreme采用無阻塞交換結(jié)構(gòu)，基于先進(jìn)路由交

15/76

換機(jī)制，能夠提供線速處理能力。以此為基礎(chǔ),通過合理的網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)高性能的

網(wǎng)絡(luò)。

Extreme的全線三層產(chǎn)品交換產(chǎn)品均可實(shí)現(xiàn)滿載情況下的二層線速幀交換

和三層線速包轉(zhuǎn)發(fā)。應(yīng)該強(qiáng)調(diào)的是，實(shí)際運(yùn)行的網(wǎng)絡(luò)需要配置很多控制功能，如

QoS處理、ACL、策略路由等，此時(shí)需要交換機(jī)耗費(fèi)更多的資源以實(shí)現(xiàn)相應(yīng)的網(wǎng)絡(luò)

控制處理功能。Extreme產(chǎn)品能夠保證性能和功能的一致實(shí)現(xiàn)，即在打開諸多控

制處理功能的前提下，依然保證數(shù)據(jù)包的真正線速處理和轉(zhuǎn)發(fā)。

Extreme的共享存式的交換背板結(jié)構(gòu)大大提高了組播轉(zhuǎn)發(fā)的效率，節(jié)省了交

換矩陣的帶寬。其他網(wǎng)絡(luò)廠家的交換機(jī)支持的組播、ACL、Qos等都是基于軟件

技術(shù)和CPU運(yùn)算的，由于占用大量處理器和存資源，經(jīng)常會(huì)導(dǎo)致丟失數(shù)據(jù)包，在性

能上能上都達(dá)不到無丟包的限速傳輸，不得不以添加昂貴的存條為代價(jià)。Extreme

主推的真正的線速網(wǎng)絡(luò)是性能和功能的全面線速，包括線速路由、線速ACL、線

速Q(mào)os、線速組播,Extreme的網(wǎng)絡(luò)設(shè)備的Qos,組播、ACL都是通過專門的集成

芯片來完成，不占運(yùn)行用系統(tǒng)資源，這也是目前業(yè)界唯一能夠同時(shí)實(shí)現(xiàn)四種線速

的全線速核心交換設(shè)備。國(guó)防大學(xué)在新網(wǎng)絡(luò)未來要承載各種多媒體為基礎(chǔ)的新應(yīng)

用，影像方面需要應(yīng)用到組播、Qos技術(shù)都會(huì)在本方案的設(shè)計(jì)中得到卓越的性能

表現(xiàn)，優(yōu)異的全線速網(wǎng)絡(luò)設(shè)計(jì)能夠?yàn)榭蒲泻蜆I(yè)務(wù)的效率提高作出巨大的貢獻(xiàn)。

組播結(jié)構(gòu)

傳統(tǒng)的組播結(jié)構(gòu)

可以看到在傳統(tǒng)組播結(jié)構(gòu)上，要實(shí)現(xiàn)組播組的發(fā)送需要組播發(fā)送端通過傳統(tǒng)的交

換矩陣多次發(fā)送，這樣造成了組播數(shù)據(jù)在整個(gè)轉(zhuǎn)發(fā)過程中速度慢，同時(shí)對(duì)端口帶

寬占用資源過大、占用時(shí)間過長(zhǎng)，容易造成端口擁塞。

4.1.3ExtremeDirectAttach技術(shù)

今天的虛擬機(jī)管理程序利用一個(gè)部的"虛擬交換機(jī)"為在一個(gè)服務(wù)器部的虛擬機(jī)（VM之間

以及它們與外部網(wǎng)路之間提供網(wǎng)絡(luò)連接。這個(gè)虛擬交換機(jī)給數(shù)據(jù)中心網(wǎng)絡(luò)增加了第四個(gè)層級(jí)。

今天的許多刀片服務(wù)器利用一個(gè)部的“刀片交換機(jī)"來匯聚刀片服務(wù)器機(jī)箱的每個(gè)物理服

務(wù)器的數(shù)據(jù)流量。這些交換機(jī)給網(wǎng)絡(luò)增加了第五個(gè)層級(jí)。

16/76

虛擬交換機(jī)和刀片交換機(jī)的組合把交換層級(jí)從3層提高到5五層，顯著提高了網(wǎng)絡(luò)延遲并增

加了數(shù)據(jù)中心的網(wǎng)絡(luò)元素，這也增加了數(shù)據(jù)中心管理的復(fù)雜性。

ExtremeNetworks的DirectAttached技術(shù)消除了虛擬交換機(jī)層，簡(jiǎn)化網(wǎng)絡(luò)并提高網(wǎng)絡(luò)

性能。ExtremeNetworks的BlackDiamond8800交換機(jī)中的8900系列交換模塊通過利用

高密度板卡和布線系統(tǒng)，消除刀片交換機(jī)并使數(shù)據(jù)中心得到簡(jiǎn)化，從而使數(shù)據(jù)中心的層級(jí)數(shù)

量從5層簡(jiǎn)化為3層。

今天的數(shù)據(jù)中心網(wǎng)絡(luò)可以通過結(jié)構(gòu)化分"層"定義。通常情況下，有一個(gè)"網(wǎng)絡(luò)核心"，它是所

有數(shù)據(jù)中心設(shè)備的中心連接點(diǎn)。這是數(shù)據(jù)中心網(wǎng)絡(luò)的“第一層級(jí)"。這個(gè)核心可能是一個(gè)交換機(jī)，或

者更通常是由冗余交換機(jī)組成的集群來連接所有設(shè)備：網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器。而網(wǎng)絡(luò)的

"第二層級(jí)”是匯聚交換機(jī),它連接接入交換機(jī)和核心。這層常用于大型數(shù)據(jù)中心,一般沒有必要

用在中型數(shù)據(jù)中心。"第三層級(jí)"的交換機(jī)，通常被稱為接入層交換機(jī)，它直接連接服務(wù)器。這

些接入交換機(jī)通常被稱為"架頂式交換機(jī)"或"行末式交換機(jī)"。

這種無論是兩個(gè)或三個(gè)層級(jí)的模式是已經(jīng)被多年使用，且廣為熟悉的。

目前數(shù)據(jù)中心有兩個(gè)重要的趨勢(shì)，它們正在改變數(shù)據(jù)中心網(wǎng)絡(luò)的實(shí)現(xiàn)方式，一個(gè)在物理方

面，而另一個(gè)在虛擬化方面。這些趨勢(shì)給數(shù)據(jù)中心網(wǎng)絡(luò)增加了額外的層級(jí)。

趨勢(shì)一：虛擬化

在過去幾年的數(shù)據(jù)中心最重要的發(fā)展趨勢(shì)是虛擬化的應(yīng)用。虛擬化是一種技術(shù)，使一臺(tái)物

理服務(wù)器允許安裝多個(gè)虛擬服務(wù)器/虛擬機(jī)。這樣可以提高服務(wù)器利用率和有助于服務(wù)器的整

合,對(duì)于災(zāi)難恢復(fù)和容量管理等有諸多好處。虛擬化在企業(yè)數(shù)據(jù)中心和主機(jī)托管數(shù)據(jù)中心中非

常流行。而由于高性能計(jì)算集群或大型互聯(lián)網(wǎng)消費(fèi)的自身性質(zhì)，虛擬化不太可能應(yīng)用在這些領(lǐng)

域。

虛擬交換機(jī)

虛擬化引入了"虛擬交換機(jī)”的概念。

在非虛擬化數(shù)據(jù)中心，每個(gè)服務(wù)器運(yùn)行一個(gè)操作系統(tǒng)，該操作系統(tǒng)管理的物理網(wǎng)絡(luò)連接

到與其它用戶和服務(wù)器。在虛擬化環(huán)境中，有多個(gè)虛擬機(jī)運(yùn)行在物理服務(wù)器上。這些虛擬機(jī)必

須共享一個(gè)物理網(wǎng)絡(luò)連接,并且需要互相通信。這給虛擬交換機(jī)或"vSwitch的”概念帶來了用

武之地。虛擬交換機(jī)是一個(gè)運(yùn)行在服務(wù)器上的模擬2層網(wǎng)絡(luò)設(shè)備的軟件。虛擬交換機(jī)的功能是

使一個(gè)服務(wù)器的虛擬機(jī)可以互相通訊并且可以與外界通訊。虛擬交換機(jī)仿造了二/三層交換機(jī)

的一部分功能以實(shí)現(xiàn)上述通訊功能。虛擬機(jī)運(yùn)行在虛擬化管理軟件中，所以它不是通用的。目

前VMware、Microsoft和Citrix在自己的虛擬化管理軟件中都含有虛擬交換機(jī)。

17/76

另外其它一些網(wǎng)絡(luò)廠商也推出了額外收費(fèi)的虛擬交換機(jī)，例如Cisco的NexuslOOOo

一個(gè)需要注意的關(guān)鍵點(diǎn)是每個(gè)物理服務(wù)器都需要一個(gè)虛擬交換機(jī)。例如一個(gè)有40臺(tái)服務(wù)器

的機(jī)柜需要40個(gè)虛擬交換機(jī)，一個(gè)有16個(gè)刀片的刀片服務(wù)器需要16個(gè)虛擬交換機(jī)。網(wǎng)絡(luò)中

虛擬交換機(jī)的數(shù)量與網(wǎng)絡(luò)中運(yùn)行虛擬化的服務(wù)器的數(shù)量是一一對(duì)應(yīng)的。這些虛擬機(jī)每一臺(tái)都需要

管理和配置。

虛擬交換機(jī)的優(yōu)點(diǎn)：

虛擬交換機(jī)是由虛擬化管理軟件廠商發(fā)明的，用于虛擬機(jī)與網(wǎng)絡(luò)間進(jìn)行通訊。直到現(xiàn)在，

虛擬交換機(jī)還是虛擬機(jī)之間，虛擬機(jī)與其它服務(wù)器和用戶之間通訊的唯一手段。

虛擬交換機(jī)帶來的問題：

安全性：虛擬交換機(jī)的主要功能是滿足同一服務(wù)器部的虛擬機(jī)之間的通訊。因?yàn)樘摂M交換

機(jī)存在于服務(wù)器部，虛擬機(jī)和虛擬機(jī)之間的數(shù)據(jù)流量對(duì)于外界網(wǎng)絡(luò)是不可見的。這樣一些由非法

虛擬機(jī)引發(fā)的安全問題很難被發(fā)現(xiàn)。

網(wǎng)絡(luò)與系統(tǒng)管理軟件的可見性：同樣由于虛擬機(jī)和虛擬機(jī)之間的數(shù)據(jù)流量對(duì)于外界網(wǎng)絡(luò)是

不可見的，對(duì)于虛擬機(jī)和虛擬機(jī)之間的流量的管理和監(jiān)控非常困難。傳統(tǒng)的基于端口鏡像的網(wǎng)

絡(luò)工具無法在這樣的環(huán)境中使用。

性能的不可預(yù)見性：虛擬交換機(jī)使用軟件而非線速的交換機(jī)硬件來進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)。虛擬

交換機(jī)的轉(zhuǎn)發(fā)性能，以至于服務(wù)器的網(wǎng)絡(luò)性能都取決于CPU的可用資源，而該資源又取決于虛

擬機(jī)上的應(yīng)用程序。這與服務(wù)器的優(yōu)化是矛盾的：當(dāng)服務(wù)器通過虛擬化增加利用率時(shí)，服務(wù)

器的網(wǎng)絡(luò)性能實(shí)際會(huì)下降,這與使用虛擬化優(yōu)化服務(wù)器的設(shè)想是相違背的。

額外的網(wǎng)絡(luò)層級(jí)：虛擬交換機(jī)為傳統(tǒng)的網(wǎng)絡(luò)增加了第四個(gè)層級(jí)。這樣增加了網(wǎng)絡(luò)的跳數(shù)從

而增加了端到端的網(wǎng)絡(luò)延遲。

虛擬交換機(jī)與服務(wù)器一一對(duì)應(yīng)引起的擴(kuò)展性問題：每個(gè)服務(wù)器都需要一個(gè)虛擬交換機(jī)，

整個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備數(shù)量大大增加。一個(gè)有40個(gè)服務(wù)器的機(jī)柜需要40個(gè)虛擬交換機(jī)，

而只要一臺(tái)網(wǎng)絡(luò)交換機(jī)。這樣大大增加了數(shù)據(jù)中心需要管理和配置的網(wǎng)絡(luò)元素，增加了數(shù)據(jù)中

心的運(yùn)維成本。

管理的復(fù)雜性：每一個(gè)虛擬化管理軟件廠家都有一個(gè)和自己軟件配合的虛擬交換機(jī)。在一

個(gè)使用多種虛擬化軟件的數(shù)據(jù)中心，需要對(duì)多種虛擬機(jī)管理進(jìn)行人員培訓(xùn)和制定管理流程，增加了

數(shù)據(jù)中心管理成本。

問責(zé)的沖突：到底由哪個(gè)部門來管理虛擬交換機(jī)呢？是因?yàn)樘摂M交換機(jī)運(yùn)行在服務(wù)器部而由

服務(wù)器部門負(fù)責(zé)呢？還是因?yàn)樗蔷W(wǎng)絡(luò)元素而由網(wǎng)絡(luò)部門負(fù)責(zé)呢？這些問題會(huì)帶來潛

18/76

在的沖突，增加管理和實(shí)施解決方案的復(fù)雜度。

趨勢(shì)二：刀片服務(wù)器

刀片服務(wù)器為機(jī)架容納高密度服務(wù)器提供了解決方案。一個(gè)刀片服務(wù)器機(jī)箱可以容納

16個(gè)服務(wù)器，一個(gè)標(biāo)準(zhǔn)機(jī)柜可以容納3個(gè)或4個(gè)刀片服務(wù)器機(jī)箱。這樣一個(gè)機(jī)柜可以容納48

或64個(gè)高密度服務(wù)器,并且可以簡(jiǎn)化管理。

刀片服務(wù)器帶來的挑戰(zhàn)是它在一個(gè)機(jī)柜制造了很高的布線密度，使為每臺(tái)服務(wù)器提供布線

成為挑戰(zhàn)。正是這個(gè)原因，各個(gè)刀片服務(wù)器的廠商都制造一種插入刀片服務(wù)器機(jī)箱的"刀片交換機(jī)

O

刀片交換機(jī)的優(yōu)點(diǎn)：

刀片交換機(jī)的主要優(yōu)點(diǎn)是簡(jiǎn)化了布線。刀片交換機(jī)連接所有的服務(wù)器，并上連到網(wǎng)絡(luò)的第

三個(gè)層級(jí)。如果沒有刀片交換機(jī)，每個(gè)服務(wù)器需要一個(gè)以太網(wǎng)連接到第三級(jí)網(wǎng)絡(luò)，這樣每個(gè)刀片服

務(wù)器機(jī)箱就需要16根跳線。有了刀片交換機(jī)跳線數(shù)量減少為1到8根。

刀片交換機(jī)的問題：

刀片交換機(jī)給網(wǎng)絡(luò)帶來高復(fù)用比，這樣可能造成網(wǎng)絡(luò)擁塞并限制服務(wù)器的性能。一個(gè)典型

的刀片交換機(jī)包含24個(gè)以上的端口或連接。其中16個(gè)端口用來連接服務(wù)器，另外8個(gè)端口

用來連接接入層網(wǎng)絡(luò)設(shè)備。這樣造成2:1復(fù)用,使網(wǎng)絡(luò)最高性能減少50%。

從物理網(wǎng)絡(luò)的角度看，刀片交換機(jī)給網(wǎng)絡(luò)增加了"第五層級(jí)"。如我們前面討論的，每個(gè)網(wǎng)絡(luò)

層級(jí)都因?yàn)檗D(zhuǎn)發(fā)時(shí)延帶來端到端的延遲。這個(gè)額外的層級(jí)增加了網(wǎng)絡(luò)元素的數(shù)量,從而增加了成

本，包括刀片交換機(jī)本身的成本和配置管理刀片交換機(jī)的時(shí)間成本。

因?yàn)榈镀粨Q機(jī)是一個(gè)根據(jù)刀片服務(wù)器機(jī)箱定做的產(chǎn)品，它與數(shù)據(jù)中心匯聚和接入層級(jí)的

獨(dú)立交換機(jī)相比通常具有不同的功能和管理結(jié)構(gòu)。這帶來的管理的復(fù)雜性，因?yàn)榫W(wǎng)絡(luò)管理員需

要學(xué)習(xí)和管理不同的交換機(jī)系統(tǒng)和管理軟件。

刀片交換機(jī)同樣帶來組織管理上的問題。它是應(yīng)該由管理核心/匯聚/接入交換機(jī)的網(wǎng)絡(luò)

部門管理？還是因?yàn)樗诜?wù)器部而由服務(wù)器部門管理？這個(gè)職責(zé)的混淆會(huì)在配置不兼容

以及涉及多個(gè)部門在數(shù)據(jù)中心排錯(cuò)時(shí)帶來問題。

虛擬化和刀片服務(wù)器趨勢(shì)的疊加效果是把網(wǎng)絡(luò)層級(jí)從3層增加到5層。當(dāng)虛擬交換機(jī)引

入時(shí)增加了1層,刀片交換機(jī)引入時(shí)又增加了1層。

由于顯著地增加了網(wǎng)絡(luò)復(fù)用比以及端到端的延時(shí),5層網(wǎng)絡(luò)的性能低于3層網(wǎng)絡(luò)。另外

這樣還需要更多電力和冷卻能力并大大增加管理成本。

DirectAttach減少網(wǎng)絡(luò)層級(jí)

19/76

什么是ExtremeNetworks的DirectAttach?

DirectAttach是ExtremeNetworks實(shí)現(xiàn)虛擬機(jī)在網(wǎng)絡(luò)中進(jìn)行交換的技術(shù)。一些廠家

通過在服務(wù)器中的虛擬交換機(jī)實(shí)現(xiàn)虛擬機(jī)數(shù)據(jù)交換。而ExtremeNetworks的DirectAttach

技術(shù)把虛擬機(jī)之間的數(shù)據(jù)交換功能從服務(wù)器中遷移回網(wǎng)絡(luò)設(shè)備中。這樣使管理員可以在享受服

務(wù)器虛擬化帶來的好處的同時(shí)利用成熟的、線速的網(wǎng)絡(luò)交換機(jī)處理虛擬機(jī)數(shù)據(jù)交換。

從本質(zhì)上講,DirectAttach允許虛擬機(jī)無需通過服務(wù)器的軟交換機(jī)直接連接到網(wǎng)絡(luò)。

DirectAttach通過去掉虛擬交換機(jī)減少了網(wǎng)絡(luò)層級(jí),從而節(jié)約成本，降低延時(shí)，減少網(wǎng)絡(luò)復(fù)

用并且簡(jiǎn)化了管理。最后它使管理員在無需考慮虛擬機(jī)管理軟件的情況下實(shí)施一致的網(wǎng)絡(luò)策略，

保證網(wǎng)絡(luò)的安全且符合規(guī)定。

另外，高扇出的交換機(jī)模塊以及專用的布線方案可以使刀片服務(wù)器機(jī)箱中的服務(wù)器直接

連接到數(shù)據(jù)中心網(wǎng)絡(luò)，從而使數(shù)據(jù)中心網(wǎng)絡(luò)簡(jiǎn)化。

DirectAttach如何工作

DirectAttach軟件包是ExtremeXOS的一個(gè)可加載模塊。它可以被安裝在基于

ExtremeXOS的ExtremeNetworks的Summit系列堆疊交換機(jī)（包括SummitX450,SummitX480、

SummitX650和帶有8900系列模塊的BlackDiamond8800交換機(jī)。

DirectAttach軟件把端口上的數(shù)據(jù)根據(jù)虛擬機(jī)進(jìn)行分類，然后根據(jù)交換機(jī)中二/三層轉(zhuǎn)

發(fā)協(xié)議進(jìn)行轉(zhuǎn)發(fā)。雖然所有的數(shù)據(jù)包都從一臺(tái)物理服務(wù)器發(fā)送和接收，所有交換機(jī)策略仍然會(huì)

針對(duì)每個(gè)虛擬機(jī)的數(shù)據(jù)流發(fā)生作用。

使用DirectAttach技術(shù)去掉虛擬交換機(jī)的好處

更高的可預(yù)見的性能：使用DirectAttach技術(shù)不需要服務(wù)器的軟件轉(zhuǎn)發(fā)數(shù)據(jù)包，所有

的數(shù)據(jù)包都通過以太網(wǎng)交換機(jī)線速轉(zhuǎn)發(fā)。這樣無論服務(wù)器的負(fù)載如何，都可以保證可預(yù)見的性

能。

更廣泛的網(wǎng)絡(luò)功能：當(dāng)今的以太網(wǎng)支持非常廣泛的功能，包括服務(wù)質(zhì)量、ACL安全等多年

來開發(fā)的功能。使用DirectAttach技術(shù),這些功能可以針對(duì)數(shù)據(jù)中心的所有虛擬機(jī)生效。

管理更少的網(wǎng)絡(luò)元素：在一個(gè)有10個(gè)機(jī)柜，每個(gè)機(jī)柜有40個(gè)1U服務(wù)器的數(shù)據(jù)中心，使

用DirectAttach技術(shù)只需要第三級(jí)的10個(gè)網(wǎng)絡(luò)元素而不需要第四級(jí)的網(wǎng)絡(luò)元素。如果不

使用DirectAttach技術(shù)，需要管理410個(gè)網(wǎng)絡(luò)元素，除了第三級(jí)的10的10個(gè)還有第四級(jí)的

400個(gè)網(wǎng)絡(luò)元素！在這個(gè)實(shí)例中，減少了98%的需要管理、配置和維護(hù)的網(wǎng)絡(luò)元素。

增強(qiáng)的安全性：在使用虛擬交換機(jī)的情況下，虛擬機(jī)之間的數(shù)據(jù)流量永遠(yuǎn)不會(huì)流出服務(wù)器。

這樣很難部署交換機(jī)的安全功能，例如ACL和在線的安全檢測(cè)設(shè)備。使用DirectAttach

20/76

技術(shù)，所有虛擬機(jī)和虛擬機(jī)之間的通信對(duì)交換機(jī)而言都是可見的，可以被安全策略如ACL,端

口鏡像等進(jìn)行處理。

易于管理：DirectAttach技術(shù)使數(shù)據(jù)中心的所有數(shù)據(jù)交換機(jī)的管理回歸到網(wǎng)絡(luò)管理員

手中，消除了與服務(wù)器團(tuán)隊(duì)的潛在沖突。

不同虛擬化管理軟件環(huán)境下的輕松管理:DirectAttach技術(shù)不依賴于虛擬化管理軟件，

可以兼容絕大多數(shù)虛擬化管理軟件。這樣它可以在混合有多廠家虛擬化系統(tǒng)的數(shù)據(jù)中心良好工作。

交換機(jī)與布線系統(tǒng)設(shè)計(jì)

除了可以通過DirectAttach技術(shù)去掉虛擬交換機(jī)，這個(gè)ExtremeNetworks的解決方案還

有另外的好處。BlackDiamond8800交換機(jī)通過MRJ21技術(shù)提供高密度千兆接口解決方案。

MRJ21技術(shù)把6個(gè)全帶寬的千兆接口集成到1根線纜中。使用這種技術(shù)制造的96口千兆模

塊使1個(gè)機(jī)箱可以容納768個(gè)千兆接口，使刀片服務(wù)器可以輕松接入8800交換機(jī)。

DirectAttach布線系統(tǒng)可以把刀片服務(wù)器機(jī)箱的所有服務(wù)器直接連接到模塊化交換機(jī)

的端口，而無需使用刀片交換機(jī)。一個(gè)有4個(gè)刀片服務(wù)器機(jī)箱，每個(gè)刀片服務(wù)器機(jī)箱有16個(gè)

服務(wù)器的機(jī)柜的所有服務(wù)器都可以直接連接到1個(gè)BlackDiamond8800交換機(jī)的8900系列

模塊上。

這個(gè)高密度端口和高密度布線解決方案消除了使用刀片交換機(jī)的需求，從而消除了這個(gè)層

級(jí)的網(wǎng)絡(luò)設(shè)備。

結(jié)論：

ExtremeNetworks的DirectAttach技術(shù)和高扇出的服務(wù)器模塊可以被一起使用，也可

以被單獨(dú)使用。如果一起使用您可以去掉虛擬交換機(jī)和刀片交換機(jī)，從而使網(wǎng)絡(luò)層級(jí)從5層

減少到3層，進(jìn)而建立一個(gè)更易于擴(kuò)展、易于管理和降低成本的網(wǎng)絡(luò)架構(gòu)。

減少網(wǎng)絡(luò)層級(jí)的好處

?更低的復(fù)用提高網(wǎng)絡(luò)性能使之更可預(yù)測(cè)

?更少層級(jí)意味著更低延遲

?更少的擁塞點(diǎn)意味著更可預(yù)測(cè)的性能

?更少的網(wǎng)絡(luò)元素意味著更少的故障點(diǎn)

?更少的網(wǎng)絡(luò)元素意味著更少的電力消耗

?更少的交換機(jī)意味著更低的總體擁有成本

DirectAttach技術(shù)如何減少網(wǎng)絡(luò)層級(jí)

?去掉虛擬交換機(jī)

?去掉刀片交換器

21/76

4.1.5幫助虛機(jī)無縫遷移的XNV技術(shù)

數(shù)據(jù)中心里服務(wù)器虛擬化的廣泛采用推動(dòng)了整合，降低了能耗，并提高了可

用性和靈活性。然而，服務(wù)器虛擬化也帶來了一系列網(wǎng)絡(luò)運(yùn)行的挑戰(zhàn)：從進(jìn)行虛

機(jī)交換的配置，到管理虛機(jī)在網(wǎng)絡(luò)中的遷移，到提供虛機(jī)在網(wǎng)絡(luò)上的位置及可見性

信息。今天，網(wǎng)絡(luò)管理員幾乎沒有合適的工具為他們提供虛機(jī)環(huán)境下的可視性、控

制和更深層次的信息。

極進(jìn)網(wǎng)絡(luò)的XNV提供了服務(wù)器虛擬環(huán)境在網(wǎng)絡(luò)層面的可見性和控制，并且與

具體采用的虛擬平臺(tái)無關(guān)，也無需對(duì)服務(wù)器的操作維護(hù)環(huán)境做任何改動(dòng)。這允許

網(wǎng)絡(luò)管理員可以有效的對(duì)高度虛擬化的數(shù)據(jù)中心環(huán)境進(jìn)行監(jiān)視、實(shí)施、故障診斷，

同時(shí)又能避免錯(cuò)誤、降低應(yīng)用的宕機(jī)時(shí)間、改進(jìn)業(yè)務(wù)質(zhì)量和響應(yīng)時(shí)間。

服務(wù)器虛擬化允許一個(gè)操作系統(tǒng)和其上所有的應(yīng)用可以完全從底層硬件上

抽取出來。這不僅僅可以讓多個(gè)虛擬主機(jī)運(yùn)行在一個(gè)物理服務(wù)器上，而且允許虛

擬主機(jī)從一臺(tái)服務(wù)器遷移到另一臺(tái)服務(wù)器一一用于業(yè)務(wù)負(fù)載均衡或容錯(cuò)。虛擬主

機(jī)的移動(dòng)可以由服務(wù)器管理員手工完成，或由管理工具（如：管理業(yè)務(wù)負(fù)載均衡

自動(dòng)完成。進(jìn)一步說，在一臺(tái)服務(wù)器上的兩個(gè)虛擬主機(jī)之間的流量由基于軟件的

二層交換機(jī)1稱為虛擬交換機(jī)在本地完成交換。

這些服務(wù)器環(huán)境的變化給網(wǎng)絡(luò)管理員帶來了一系列挑戰(zhàn)：

1.傳統(tǒng)上，網(wǎng)絡(luò)策略，如訪問控制列表（ACL,服務(wù)質(zhì)量（QoS和流量控制的策

略都是在交換機(jī)的物理端口上實(shí)施，并映射到相連的服務(wù)器及其應(yīng)用特征。然而，

由于有了虛擬化，多個(gè)虛擬主機(jī)會(huì)和同一個(gè)物理網(wǎng)絡(luò)端口相連。這樣，這些策略必

須和一個(gè)物理端口下的多個(gè)虛擬端口和虛擬主機(jī)相匹配。而且，傳統(tǒng)的故障診斷

工具，如：物理網(wǎng)絡(luò)端口上的包計(jì)數(shù)器和統(tǒng)計(jì)，也需要工作于虛擬的端口。如果沒

有這些能力，就很難進(jìn)行故障診斷和達(dá)到相應(yīng)的服務(wù)等級(jí)要求1SLA。

2.虛擬化給數(shù)據(jù)中心增加了動(dòng)態(tài)的元素。虛擬主機(jī)可以從一臺(tái)服務(wù)器移動(dòng)

到另一臺(tái)服務(wù)器一一操作卻非常簡(jiǎn)單，點(diǎn)擊一下鼠標(biāo)，或由自動(dòng)化管理工具自動(dòng)

完成（如負(fù)載均衡工具。但是，網(wǎng)絡(luò)的配置一一例如網(wǎng)絡(luò)端口上對(duì)應(yīng)某個(gè)安裝了

多個(gè)虛擬主機(jī)的服務(wù)器一一卻不能移動(dòng)，跟蹤和跟隨虛擬主機(jī)在服務(wù)器間的移

動(dòng)。這會(huì)導(dǎo)致業(yè)務(wù)性能不能始終如一，降低或中斷業(yè)務(wù)的可達(dá)性，以及一些安