让网络变得“智·动” 虚拟园区网2.0解决方案与应用

云计算借助SaaS、PaaS、IaaS、等不同的商业模式把这强大的计算能力分布到终端用户手中。

微软新发布系列软件产品，与原有产品相比较实现两项大的改变：一是随需接入，用户可以通过电脑、手机、浏览器都可以使用传统只能在电脑上面使用的产品；二是企业协作，可以多人同时处理一个文件，改变串行处理业务的工作方式等等：

虽然不能以偏概全，但是从这些有代表性的例子可以看出未来应用的发展趋势。当企业的上层应用架构已经开始了固定终端向多样化终端、固定空间向灵活空间、低效串行处理向高效实时并发处理的方式转变的时候，网络架构将如何搭建？网络认证方式、接入方式、收敛性设计、实时性等应该如何考虑，现实的应用发展使得我们不得不进行深入的思考。

而物联网、智慧地球等概念的提出，以及在电力、物流、安防等领域的应用，网络的接入信息点不再仅仅是人，更向更宽泛的对象发展，传感器、摄像头、激光扫描器等都是未来网络需要接入的对象。物联网对网络提出了新的要求：

对象标识：在IPv4地址资源已经枯竭的情况下，对于海量对象的接入，如何采用唯一标记进行标识？

应用互通：智能电网、物流定位等很多的单业务系统已经出现，然而物联网的魅力在于能够将不同的系统进行对接，产生更美妙的效果，如污染源监控系统和食品安全系统对接等。这就必然导致了异构网络融合、系统隔离和互通、应用的前端处理等诸多问题的产生，自然对网络架构提出了新的需求。

综合上述两个方面可以看出，无论是无边界随需而动的云计算网络，还是将接入对象由人向物发展的物联网，都对传统的网络架构提出了太多挑战。

一、 传统网络架构的弊端

空间局限：传统的网络架构很多情况都是基于特定的人处于在特定的空间、采用固定的设备等前提进行的设计，选用的技术很少考虑到人的移动性，甚至基于安全考虑采用了绑定等技术手段，虽然在一定程度上解决了一些问题，但是却是以丧失灵活性为代价，反而失去了业务的扩展能力。

结构复杂：传统的网络架构越来越复杂，低端小巧的接入层、高密可处理业务的汇聚层、超万兆的核心层，每个层面都有存在的价值。现有的网络架构事无巨细的将细节暴露在上层应用面前。很多的应用部署由于网络不能很好的屏蔽技术细节而增加难度甚至难于实施。

缺乏统一性：随着接入方式和接入对象的不同，安全、无线接入等各种个性化的需求越来越多，然而新需求尚未被完全的融合到网络中去，产生了诸多割裂的问题。

业务的开展最希望能够无视底层基础设施的差异，以松耦合的方式进行部署实施，如何使得网络的接入方式、流量规划、高可用设计、安全策略等对于业务来说像空气般透明，使得园区网络真正成为可进行业务弹性扩展的承载平台，是现在和未来园区网设计的主要出发点。

因此，当前对新方案的根本目标在于让网络更简单，更透明，这种简单不仅是网络架构简单，而且在新业务支持、组织架构调整等整体运维过程体现简单；这种透明也不仅是指网络协议少用，而且希望能够有效的简化网络结构，屏蔽底层差异性。

基于这种考虑，在园区网络中部署全虚拟化和多业务承载的技术方案成为2.0的焦点。虚拟化体现在对于网络的横向整合和纵向隔离，希冀将网络成为一个可池化的资源；多业务承载体现在对于用户使用可以屏蔽接入空间、手段、安全需求等个性化的网络差异，希冀将网络对于用户的接口更为简单，提高用户体验。

二、 虚拟园区网2.0方案相对于1.0的重点提升

虚拟园区网1.0解决方案适应于企业应用架构需求，解决了传统网络架构下空间局限的问题，任何人以任何方式均可无缝的接入园区网络。部分实现了企业园区网的动态接入，然而在园区网络的网络、安全等资源的动态调度，简化网络结构，统一部署等多方面还有相当的不足。

2.0解决方案在1.0方案的基础上，除了进行纵向隔离的虚拟化部署外，更采用横向整合的虚拟化技术，达到简化网络、灵活扩展的目的，并通过虚拟化技术使得各种模块化产品逐步成为虚拟组内可共享的资源，达到模块化向资源化的进一步过渡。

1. 横向整合以简化网络

简化网络可以从两个层面进行分析：简化园区网络拓扑和简化园区网络协议部署。

l 简化园区网络拓扑

图1 传统园区结构

如图1所示，这种经典的园区网设计将网络按接入、汇聚、核心规划成多层结构：为便于用户的扩展，一般将接入层网络设计为二层接入，并将用户端的三层网关设置在汇聚层设备上；同时为保证网关的HA能力，汇聚层采用双节点冗余组网；核心层也采用双节点组网以提升性能和冗余能力。

然而这种传统的园区网络结构渐渐难以满足新服务的要求：二层接入的网络导致接入层与汇聚层网络之间产生多环路，形成环网，企业IT业务的不断调整将环网规模扩大或复杂化；部分网络为降低复杂度，消除了环路，却因此带来了单链路、单点接入的低可用性。因此，迫切需要在保证多业务、灵活性、可靠性、简易性、扩展性的前提下，消除环路、简化网络拓扑。

虚拟园区网解决方案2.0通过将IRF2技术引入园区网络方案中，解决了上述问题。

图2 端到端的企业网络IRF2架构

如图2所示，在企业园区网络架构中，使用IRF2技术分别在网络汇聚与核心层各自进行横向整合，将多台冗余设备虚拟化为单台逻辑设备，形成一个网络管理与转发节点；在网络接入层复杂的接入环境中实行IRF2整合，将多达9个的物理网络节点虚拟化为单台设备，完全消除接入层环路，并形成捆绑链路的高带宽和可靠性上联。在这样的虚拟化下，网状的企业园区网络形成了一个非常简洁的架构，网络各层之间通过捆绑的单逻辑链路互联，消除了环路。不再需要在接入层设计复杂的生成树协议，也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。

端到端IRF2部署使园区网络形成了无环、树状、辐射型的网络拓扑结构，极大简化了运行维护管理工作。网络中数据流的宏观路径上与简化后的整体网络拓扑具有一致性，业务流在网络中的走向清晰明确。同时，每个IRF2节点本身的扩展(如增加该节点设备)既不会改变企业网络的逻辑结构，也不会影响上下层网络的协议交互。这种虚拟化网络展现出优化的整体架构。

l 简化园区网络协议部署

通过消除网络中接入、汇聚的网络环路，将环状网络转变成树形网络，网状的企业园区网络形成了一个非常简洁的架构，网络各层之间通过捆绑的单逻辑链路互联，消除了环路。不再需要在接入层设计复杂的生成树协议，也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。这是协议简化的一方面。

图3 IRF2结构下园区路由区域简化设计

另一方面，当传统园区的规模发展到一定程度，网络各部分均会形成网状网络结构，因此整网路由按区域划分进行设计。以OSPF为例，一般将网络核心和关键网络组件设置于area 0，而将网络子模块设置于area 1、2、3等区域。采用IRF2进行端到端虚拟化后，网络结构更加清晰，整网路由结构也相应得到简化。如图3所示，区域性的路由因为逻辑链路简化而形成了点到点、点到多点的简单结构，与网络设备相关的路由数量大幅减少，整网的路由计算量也大幅下降。同时，网络层之间的链路捆绑避免了单条物理链路故障时对上层路由的影响，使得端到端IRF2网络架构上形成了一个稳定的简化路由结构，网络规模的扩大并不会增加路由复杂性，这种路由结构不仅简化了网络路由设计、降低了设备要求、减轻设备负载，并且有助于企业网络长期规划和模块化扩展。

综上所述，通过采用横向整合的技术，既简化了协议部署，又保证网络的二层扩展，不会影响网络的逻辑拓扑和路由情况。使得对于网络的管理可以屏蔽二层的扩展，更好满足了园区网络的简化部署、低成本维护和自由扩展的需求。

2. 横向整合的灵活扩展

扩展性在网络接入层设计上一般具有较大难度。由于组织结构的发展，使得企业对IT基础相应快速发展的需求。在大规模模块化网络的扩展方式上，传统核心网络结构已经能够很好的支持，但在接入层常常会面临难以充分满足扩展性要求的难题，因为接入层网络拓扑复杂（其通常是二层接入方式），设备与端口的扩展会使网络结构进一步复杂化。

针对用户终端数量大规模增长，IRF2相关的应对方案是：在接入层的IRF2系统中增加成员进行端口扩展，以满足不断增长的接入端口数要求。扩展后的系统对网络其它部分并不产生影响，形成了平滑的扩展能力，而对上行带宽有更高要求的业务，可以通过增加IRF2系统的上行聚合链路成员数量来平滑升级带宽。

3. 多业务承载

部署了IRF2的接入环境可以提供丰富的网络服务设计，以对业务部署提供更好的支持。IRF2架构下的设备都支持H3C EAD端点准入安全解决方案，提供企业园区全面安全接入能力，通过基于身份的网络准入和动态策略下发，解决园区内移动办公应用的问题；PoE功能已经成为接入交换机的基本功能，同时随着新技术标准的不断推出，后续IRF2下将支持中、高功率的PoE标准，从而可提供企业网络有供电要求的各类新业务需求，如视频瘦终端（如PoE受电的终端）、视频电话、语音电话、无线接入AP等；集成的Voice VLAN功能为部署IRF2接入的IP语音提供了便利。

同时，通过MPLS VPN的部署，解决了多网融合，共用同一张物理网络的环境下IP地址重叠的问题，并为各种应用搭建了端到端的业务通道，并通过IRF2的部署，避免了双PE（MPLS VPN中的概念）情况下CE双上行规划的问题；组播VPN等网络服务的部署解决了监控业务在园区网络中融合组网和后续OA互通等问题......

凡此种种，都说明全虚拟化的虚拟园区网2.0解决方案通过IRF2的横向整合和VPN的纵向隔离技术，在园区网络向交换资源化的发展过程中，通过VPN、安全、无线、组播、语音等多种网络服务的不断递进，形成了对于OA、多媒体业务、监控网络、跨部门协作甚至于可控物联等业务进行良好支撑的园区网络架构。