扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
云计算借助SaaS、PaaS、IaaS、等不同的商业模式把这强大的计算能力分布到终端用户手中。
微软新发布系列软件产品,与原有产品相比较实现两项大的改变:一是随需接入,用户可以通过电脑、手机、浏览器都可以使用传统只能在电脑上面使用的产品;二是企业协作,可以多人同时处理一个文件,改变串行处理业务的工作方式等等:
虽然不能以偏概全,但是从这些有代表性的例子可以看出未来应用的发展趋势。当企业的上层应用架构已经开始了固定终端向多样化终端、固定空间向灵活空间、低效串行处理向高效实时并发处理的方式转变的时候,网络架构将如何搭建?网络认证方式、接入方式、收敛性设计、实时性等应该如何考虑,现实的应用发展使得我们不得不进行深入的思考。
而物联网、智慧地球等概念的提出,以及在电力、物流、安防等领域的应用,网络的接入信息点不再仅仅是人,更向更宽泛的对象发展,传感器、摄像头、激光扫描器等都是未来网络需要接入的对象。物联网对网络提出了新的要求:
对象标识:在IPv4地址资源已经枯竭的情况下,对于海量对象的接入,如何采用唯一标记进行标识?
应用互通:智能电网、物流定位等很多的单业务系统已经出现,然而物联网的魅力在于能够将不同的系统进行对接,产生更美妙的效果,如污染源监控系统和食品安全系统对接等。这就必然导致了异构网络融合、系统隔离和互通、应用的前端处理等诸多问题的产生,自然对网络架构提出了新的需求。
综合上述两个方面可以看出,无论是无边界随需而动的云计算网络,还是将接入对象由人向物发展的物联网,都对传统的网络架构提出了太多挑战。
一、 传统网络架构的弊端
空间局限:传统的网络架构很多情况都是基于特定的人处于在特定的空间、采用固定的设备等前提进行的设计,选用的技术很少考虑到人的移动性,甚至基于安全考虑采用了绑定等技术手段,虽然在一定程度上解决了一些问题,但是却是以丧失灵活性为代价,反而失去了业务的扩展能力。
结构复杂:传统的网络架构越来越复杂,低端小巧的接入层、高密可处理业务的汇聚层、超万兆的核心层,每个层面都有存在的价值。现有的网络架构事无巨细的将细节暴露在上层应用面前。很多的应用部署由于网络不能很好的屏蔽技术细节而增加难度甚至难于实施。
缺乏统一性:随着接入方式和接入对象的不同,安全、无线接入等各种个性化的需求越来越多,然而新需求尚未被完全的融合到网络中去,产生了诸多割裂的问题。
业务的开展最希望能够无视底层基础设施的差异,以松耦合的方式进行部署实施,如何使得网络的接入方式、流量规划、高可用设计、安全策略等对于业务来说像空气般透明,使得园区网络真正成为可进行业务弹性扩展的承载平台,是现在和未来园区网设计的主要出发点。
因此,当前对新方案的根本目标在于让网络更简单,更透明,这种简单不仅是网络架构简单,而且在新业务支持、组织架构调整等整体运维过程体现简单;这种透明也不仅是指网络协议少用,而且希望能够有效的简化网络结构,屏蔽底层差异性。
基于这种考虑,在园区网络中部署全虚拟化和多业务承载的技术方案成为2.0的焦点。虚拟化体现在对于网络的横向整合和纵向隔离,希冀将网络成为一个可池化的资源;多业务承载体现在对于用户使用可以屏蔽接入空间、手段、安全需求等个性化的网络差异,希冀将网络对于用户的接口更为简单,提高用户体验。
二、 虚拟园区网2.0方案相对于1.0的重点提升
虚拟园区网1.0解决方案适应于企业应用架构需求,解决了传统网络架构下空间局限的问题,任何人以任何方式均可无缝的接入园区网络。部分实现了企业园区网的动态接入,然而在园区网络的网络、安全等资源的动态调度,简化网络结构,统一部署等多方面还有相当的不足。
2.0解决方案在1.0方案的基础上,除了进行纵向隔离的虚拟化部署外,更采用横向整合的虚拟化技术,达到简化网络、灵活扩展的目的,并通过虚拟化技术使得各种模块化产品逐步成为虚拟组内可共享的资源,达到模块化向资源化的进一步过渡。
1. 横向整合以简化网络
简化网络可以从两个层面进行分析:简化园区网络拓扑和简化园区网络协议部署。
l 简化园区网络拓扑
图1 传统园区结构
如图1所示,这种经典的园区网设计将网络按接入、汇聚、核心规划成多层结构:为便于用户的扩展,一般将接入层网络设计为二层接入,并将用户端的三层网关设置在汇聚层设备上;同时为保证网关的HA能力,汇聚层采用双节点冗余组网;核心层也采用双节点组网以提升性能和冗余能力。
然而这种传统的园区网络结构渐渐难以满足新服务的要求:二层接入的网络导致接入层与汇聚层网络之间产生多环路,形成环网,企业IT业务的不断调整将环网规模扩大或复杂化;部分网络为降低复杂度,消除了环路,却因此带来了单链路、单点接入的低可用性。因此,迫切需要在保证多业务、灵活性、可靠性、简易性、扩展性的前提下,消除环路、简化网络拓扑。
虚拟园区网解决方案2.0通过将IRF2技术引入园区网络方案中,解决了上述问题。
图2 端到端的企业网络IRF2架构
如图2所示,在企业园区网络架构中,使用IRF2技术分别在网络汇聚与核心层各自进行横向整合,将多台冗余设备虚拟化为单台逻辑设备,形成一个网络管理与转发节点;在网络接入层复杂的接入环境中实行IRF2整合,将多达9个的物理网络节点虚拟化为单台设备,完全消除接入层环路,并形成捆绑链路的高带宽和可靠性上联。在这样的虚拟化下,网状的企业园区网络形成了一个非常简洁的架构,网络各层之间通过捆绑的单逻辑链路互联,消除了环路。不再需要在接入层设计复杂的生成树协议,也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。
端到端IRF2部署使园区网络形成了无环、树状、辐射型的网络拓扑结构,极大简化了运行维护管理工作。网络中数据流的宏观路径上与简化后的整体网络拓扑具有一致性,业务流在网络中的走向清晰明确。同时,每个IRF2节点本身的扩展(如增加该节点设备)既不会改变企业网络的逻辑结构,也不会影响上下层网络的协议交互。这种虚拟化网络展现出优化的整体架构。
l 简化园区网络协议部署
通过消除网络中接入、汇聚的网络环路,将环状网络转变成树形网络,网状的企业园区网络形成了一个非常简洁的架构,网络各层之间通过捆绑的单逻辑链路互联,消除了环路。不再需要在接入层设计复杂的生成树协议,也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。这是协议简化的一方面。
图3 IRF2结构下园区路由区域简化设计
另一方面,当传统园区的规模发展到一定程度,网络各部分均会形成网状网络结构,因此整网路由按区域划分进行设计。以OSPF为例,一般将网络核心和关键网络组件设置于area 0,而将网络子模块设置于area 1、2、3等区域。采用IRF2进行端到端虚拟化后,网络结构更加清晰,整网路由结构也相应得到简化。如图3所示,区域性的路由因为逻辑链路简化而形成了点到点、点到多点的简单结构,与网络设备相关的路由数量大幅减少,整网的路由计算量也大幅下降。同时,网络层之间的链路捆绑避免了单条物理链路故障时对上层路由的影响,使得端到端IRF2网络架构上形成了一个稳定的简化路由结构,网络规模的扩大并不会增加路由复杂性,这种路由结构不仅简化了网络路由设计、降低了设备要求、减轻设备负载,并且有助于企业网络长期规划和模块化扩展。
综上所述,通过采用横向整合的技术,既简化了协议部署,又保证网络的二层扩展,不会影响网络的逻辑拓扑和路由情况。使得对于网络的管理可以屏蔽二层的扩展,更好满足了园区网络的简化部署、低成本维护和自由扩展的需求。
2. 横向整合的灵活扩展
扩展性在网络接入层设计上一般具有较大难度。由于组织结构的发展,使得企业对IT基础相应快速发展的需求。在大规模模块化网络的扩展方式上,传统核心网络结构已经能够很好的支持,但在接入层常常会面临难以充分满足扩展性要求的难题,因为接入层网络拓扑复杂(其通常是二层接入方式),设备与端口的扩展会使网络结构进一步复杂化。
针对用户终端数量大规模增长,IRF2相关的应对方案是:在接入层的IRF2系统中增加成员进行端口扩展,以满足不断增长的接入端口数要求。扩展后的系统对网络其它部分并不产生影响,形成了平滑的扩展能力,而对上行带宽有更高要求的业务,可以通过增加IRF2系统的上行聚合链路成员数量来平滑升级带宽。
3. 多业务承载
部署了IRF2的接入环境可以提供丰富的网络服务设计,以对业务部署提供更好的支持。IRF2架构下的设备都支持H3C EAD端点准入安全解决方案,提供企业园区全面安全接入能力,通过基于身份的网络准入和动态策略下发,解决园区内移动办公应用的问题;PoE功能已经成为接入交换机的基本功能,同时随着新技术标准的不断推出,后续IRF2下将支持中、高功率的PoE标准,从而可提供企业网络有供电要求的各类新业务需求,如视频瘦终端(如PoE受电的终端)、视频电话、语音电话、无线接入AP等;集成的Voice VLAN功能为部署IRF2接入的IP语音提供了便利。
同时,通过MPLS VPN的部署,解决了多网融合,共用同一张物理网络的环境下IP地址重叠的问题,并为各种应用搭建了端到端的业务通道,并通过IRF2的部署,避免了双PE(MPLS VPN中的概念)情况下CE双上行规划的问题;组播VPN等网络服务的部署解决了监控业务在园区网络中融合组网和后续OA互通等问题......
凡此种种,都说明全虚拟化的虚拟园区网2.0解决方案通过IRF2的横向整合和VPN的纵向隔离技术,在园区网络向交换资源化的发展过程中,通过VPN、安全、无线、组播、语音等多种网络服务的不断递进,形成了对于OA、多媒体业务、监控网络、跨部门协作甚至于可控物联等业务进行良好支撑的园区网络架构。
三、 虚拟园区网的整体部署
图4 虚拟园区网的整体部署
整合横向虚拟化及纵向虚拟化技术后,虚拟园区网的整体部署情况如图4所示,在接入层、汇聚层、核心层通过IRF2技术进行横向整合,整合后,安全模块通过板卡的形式灵活部署在汇聚层交换机,DC前端交换机及Internet出口前端的交换机上。
整网通过MPLS/VPN或MCE多跳技术进行路径虚拟化,完成对网络资源的隔离。
通过部署横向虚拟化及纵向虚拟化技术完成了整体的虚拟园区网架构。
四、 虚拟园区网最佳实践
1. 政务行政中心最佳实践
某市新行政中心园区,由几十栋楼宇组成,建成后将有上百家局委办入住,其网络部分将会承载电子政务等各种应用。此园区的信息化建设不仅要求提供统一的平台环境,而且需要以此为契机完成电子政务的整合与发展。
此次园区建设意义大、难度高,尤其在可靠性、扩展性方面需要着重考虑:
l 现网几万个信息点,整网几百台设备,管理、维护难度大。
l 出于可靠性考虑,全网冗余部署,造成网络环路繁多,需部署VRRP+MSTP避免广播风暴。
l 无线、安全需求众多,尤其是互联网出口,需要重点进行安全考虑。
l 上百家局委办的业务既有独立业务需求,又有共享业务需求。在电子政务整合的发展过程中,网络需要具备灵活性,需要适应业务的调整。
图5 政务中心最佳实践
通过虚拟园区网2.0的部署,满足了客户的需求:
l 全网横向整合。通过核心、汇聚、接入的设备虚拟化,将网络的管理和转发节点降低到原来的六分之一,降低了管理和维护的难度。
l 提供无缝扩展能力。通过设备虚拟化,可以保证接入、汇聚、核心设备横向扩展的时候,网络逻辑拓扑不发生变化。达到了网络的平滑扩展。
l 消除网络环路。通过设备虚拟化,将全冗余网络中的环路彻底消除,避免了VRRP+MSTP的协议部署。并提供了更高的收敛速度。
l 降低网络中路由处理。通过设备虚拟化,降低了网络设备路由邻居的数量,进而降低现网路由数目为传统方案的一半以下。
l 全网有线无线网络一体化设计、网络安全一体化设计、通过虚拟化环境下的模块化部署,实现了网络业务的资源化部署。
l 通过纵向隔离的MPLS VPN部署,既满足了现有情况下的业务隔离和共享访问的需求,同时也对未来的业务发展提供了很好的扩展性。
通过虚拟园区网2.0解决方案的部署,解决了某市行政中心的业务需求,并提供了与传统网络架构相比更透明的网络架构,更易扩展的网络方案。
2. 企业园区最佳实践
某新建生产型厂区业务类型清晰,但是随着业务的发展,对于新建园区的网络架构提出诸多需求:
l 现网分为办公、生产、监控等几大类业务,需要进行业务隔离。
l 现网MIS系统需要监控网络和办公系统进行互通,所以需要业务上进行互通。
l 现网无线和安全需求明显,需要整体考虑。
l 为保证可靠性,全网冗余部署,存在大量的网络环路。
图6 企业园区最佳实践
通过虚拟园区网2.0解决方案进行方案部署,满足了客户网络需求:
l 采用MPLS VPN进行网络的纵向分割,保证了办公、生产和监控业务的逻辑隔离。
l 通过共享VPN等技术,满足办公和监控业务的业务互访。
l 整体设计有线和无线、网络和安全,同通过管理平台统一管理。
l 通过设备的横向整合,消除了网络环路,避免了VRRP+MSTP协议的部署,同时降低了网络中路由数量,并提高了网络收敛速度。
通过虚拟园区网2.0解决方案的部署,解决了企业园区内业务隔离和互访的需求,并提供了逻辑架构稳定的网络方案,满足了业务现在和未来的网络需求,为企业园区的信息化建设提供了良好的支撑。
五、 结束语
园区虚拟化解决方案2.0作为下一代的企业园区网的建网思路,提供了一整套完整的实现虚拟化的方案。在设备层面整合了设备及链路资源,在逻辑层面整合了路径及安全服务资源。这样通过横向虚拟化技术提升网络的可管理性,可靠性及性能,通过纵向虚拟化技术实现了终端接入的安全和访问权限控制、业务数据传输的安全隔离、应用资源的按需分配、集中的网络管理和策略部署。
在企业IT业务变得更复杂,更重要的同时,作为承载关键业务的企业网需要对这些变化不断适应,满足企业业务发展的需要。可以预见通过进一步的整合及对企业网网络资源的虚拟化,下一代的园区网将会更大程度的将成熟的技术通过虚拟化等技术屏蔽在底层,逻辑上更为简化,将整个园区网整合为一个矩阵,其网络资源、安全等服务资源都可动态划分并逻辑隔离,通过这种方式提供更加强劲的业务承载能力,以不断满足企业IT发展的需求。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台