郭文静，刘彦廷

（西安黄河机电有限公司信息中心，陕西 西安 710043）

0 引 言

随着云科技与大数据技术的飞速发展，构建企业级云数据中心成为大型公司或国企单位的信息化发展目标[1]。新型企业级云数据中心往往集合了几千台服务器，并在数据中心基础设置层针对网络的架构、安全效能、智能化管理及网络带宽等方面提出了全新要求，以不断推进云数据中心的结构化转型。

1 基于虚拟专网技术的企业级云数据中心的整体建设方案

1.1 建设目标

1.1.1 构建业务联合型共享云

构建业务联合型共享云，即把计算操作、保存及信息通信等功能板块集成在一套以太网环境中，使其能有效面对企业级云数据中心内部流量特征复杂、难以预控以及突发状况多等难题。

1.1.2 设置高密度万兆型端口

各台服务装置均采用10GE以上的局域网信号端口连入网络，能够有效地对上千台装置进行服务，并且实时调控网络中的广播与组网型风暴。

1.1.3 无阻塞型转换网络

无阻塞型转换网络可实现集群环境中全部服务装置的对等数据通信需求，并在任意节点之间构成相应的带宽。平台层的分布式应用代码则并不需要关注服务装置的节点数据能否连入相同的物理转换装置。

1.1.4 智能化监管功能

智能化监管可支持网络配置与监管，完成网络资源的智能化调整与新型设备的纳管与扩容功能。

1.2 整体设计方案

基于虚拟专网技术的企业级云数据中心的整体设计由Fabric形式下的Leaf+Spine的双层构造完成。其中，Spine交换装置承担路由反射功能，Leaf交换装置则包含服务装置接入、出口及安全型资源设置的功能。

1.2.1 基于虚拟专网技术的企业级云数据中心的整体设计模式

基于虚拟专网技术的企业级云数据中心的设计特征包括：顶层数据体系选用扩展型虚拟专网；下层网络体系选取Leaf交换装置互相交叠，并在Leaf和Spine间构成通信协议；Service Leaf转换装置的安全互享池是逻辑域间形成安全与负载的平衡；VxLan的交换装置可增强服务装置的接入性；Fabric控制装置能完成网络维护。

1.2.2 Leaf和Spine型物理组网结构

选用POD集中布置网络装备的模式[2]，以构成对面安装的Spine交换装置、边界Leaf交换装置、服务Leaf交换装置、核心层的网络周边配置、防火墙与均衡负载等。

1.2.3 矩形布局

基于虚拟专网技术的企业级云数据中心的机房布局为矩形架构，为保障制冷功能，可把多个机柜构成排列组，在各对机柜间设置空调，形成制冷环境。

1.2.4 TOR型布线方式

服务机组柜的布线方式是在各个服务装置配置多台10GE以上的局域网信号端口，并选取多对光纤跳线连入服务Leaf交换装置，以简化布线模式。

1.2.5 带外管理

在各列服务装置的首尾分别安置管理交换装置，并采用服务装置的IPMI接口、服务Leaf交换装置完成以太网的连接。交换装置选取双对上行端口连入网络机组中，完成带外监管。

2 基于虚拟专网技术的企业级云数据中心的关键技术

扩展型虚拟专网策略可在现有的数据中心物理网络架构上接入双层网络[3]。虚拟专网策略是一类双层的虚拟网络，其控制层面选用MP-IBGP报告双层虚拟网络的路由数据，并选取扩展虚拟专网封装模式完成报文的转发。

2.1 扩展虚拟专网的分工型网关模式

扩展虚拟专网的控制层面主要由Leaf交换装置与Spine交换装置搭建以太虚拟专网完成。Leaf与Spine交换装置的分工策略具体如下。

2.1.1 Leaf交换装置构成分布式网关

Leaf交换装置可完成扩展虚拟专网网关与隧道端点的功能，并构建虚拟专网的邻居关联，选用MP-iBGP协议完成扩展。

2.1.2 Spine交换装置的底层设备

Spine交换装置的底层设备并不参与顶层的虚拟专网转发，但能够承担双层网络中的BGP RR模式，能够将从Leaf交换装置获得的数据反射到周边Leaf交换装置，从而提高虚拟专网的交互率。

2.2 扩展虚拟专网的MAC地址与路由共享机理

2.2.1 扩展虚拟专网的隧道智能化搭建

本文采用扩展虚拟专网的BGP RR模式完成邻居发现，并在设备之间互通扩展虚拟专网数据，使全部VTEP装备均保存全网的扩展虚拟专网数据且扩展虚拟专网数据与下一跳装备关联。

2.2.2 扩展虚拟专网的智能化关联

在各个装备和具备同等扩展虚拟专网的下一跳装备构建通道，并把扩展虚拟专网通道与等价的扩展虚拟专网构建关联。

2.2.3 MAC地址的自学习

MAC与ARP地址的自学习主要由Leaf形成，在本地得到MAC与ARP地址后，与其他Leaf装置进行通信。

2.2.4 外部路由装置的自学习与同步

边界Leaf和外部防火墙或者路由装置进行互联，并构建静态或者动态的路由协议，以完成外部路由的学习，将消息通报给整个虚拟网络。

3 基于虚拟专网技术的企业级云数据中心的网络智能化与安全防护体系

3.1 基于虚拟专网技术的企业级云数据中心的网络智能化配置

基于虚拟专网技术的企业级云数据中心具有大量的网络装置，若使用人工完成各台设备的配置，需要编码大量的配置脚本，投入的物力与人力资本较高，且很难避免人为失误。选用网络智能化配置可提升设置准确度，完成操作标准化、可视化，从而减弱了技术难度。

3.1.1 顶层网络布局

顶层网络布局需要对IP地址、LOOPBACK的IP地址、网络的路由、虚拟局域网的地址进行规划。

3.1.2 Fabric Director服务装置智能化设置

利用Fabric Director实现底层的智能化设置。在Fabric Director中进行DHCP与TFTP的参数设定。按照预定的次序实现Leaf交换装置与Spine交换装置的供电，并智能化设定OSPF路由协定。

3.1.3 顶层设置

顶层设置主要包含VPN设置、虚拟转换接口设置、扩展虚拟专网设置及Leaf交换装置的端口局域网的属性设定。

3.2 基于虚拟专网技术的企业级云数据中心的安全防护体系

3.2.1 设置防火墙服务链的前提条件

将防火墙与服务Leaf交换装置构建三角互联，并设立扩展虚拟专网通道。构建防火墙服务链时，主要构建四类链路：第一类链路选用SDN控制管理装置保障其他三层可达，并在链路的防火墙上构建虚拟防火墙；第二类链路构建服务型管理链路；第三类链路和第四类链路构建互联通信链路。

3.2.2 构建防火墙服务链的进程

设定与虚拟防火墙相连的虚拟专网与局域网资源，并设置虚拟防火墙服务链路相互联的出口与入口，构建防火墙实例及服务链。

4 结 论

随着科技的迅速发展和各类数据量的不断增加，企业数据中心的建设标准逐步提高。现有的数据处理水平很难满足企业和各单位的需求，因此采用虚拟专网技术完成企业级云数据中心的建设具有重要研究意义。

本文首先给出了基于虚拟专网技术的企业级云数据中心的整体建设方案，分析了建设目标和整体设计方案，具体方案包括Leaf和Spine型物理组网结构、矩形布局、TOR型布线方式及带外管理；其次分析了关键技术，简述了Leaf交换装置构成分布式网关和Spine交换装置的底层设备，研究了扩展虚拟专网的MAC地址与路由共享机理、隧道智能化搭建和关联及MAC地址和外部路由装置的自学习与同步；最后给出了网络智能化与安全防护体系，给出了构建防火墙服务链的进程。