刘振栋++罗群

摘要：随着云技术的发展，云平台的广泛应用，服务器高可用集群技术和虚拟服务器动态迁移技术在数据中心中的应用更为广泛，大规模的计算、存储资源的互联互通对数据中心的结构及运行模式提出了新的要求，网络的架构、安全也尤为重要，本文在此前提下对云平台统一数据中心的网络设计进行探讨。

关键词：云平台；数据中心；网络设计

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）05-0013-02

Research and Discussion on the Network Design of the Unified Data Center of the Cloud Platform

LIU Zhen-dong， LUO Qun

（Chongqing Creation Vocational College， Chongqing 402160， China）

Abstract： With the development of cloud technology， the wide application of cloud platform， server and virtual server cluster technology and virtual server dynamic migration technology in the data center application is more extensive， large-scale computing， storage resources of the structure and operation mode of the data center.

Key words： Cloud platform； data center； network design

随着云技术的发展，各行各业云平台的建设与应用与日俱增。在云平台的建设过程中，建立统一数据中心尤为重要，建立快速、可靠、安全的网络基础平台是实现数据中心的重要环节。因此如何建立快捷、便利、安全、可靠的网络是值得探讨与研究的。

1 网络总体设计

云数据中心网络架构可采用扁平化二层网络架构（核心层、接入层），采用网络虚拟化技术，核心交换机承担着核心层和汇聚层的双重任务。

使用扁平化方式可降低网络复杂度，简化了网络拓扑，提高了转发效率。二层网络架构中，采用虚拟集群和堆叠技术，解决链路环路问题，提高了网络可靠性。核心交换机设置VLAN的IP地址，接入交换机划分VLAN，做二层转发。

2 三层网络设计

云平台下整体网络可划分为三层，分别为接入层、汇聚层、核心层。

1） 接入层：服务器和存储设备上行接入到接入层交换机。在接入交换机划分VLAN，将管理、业务、存储三个平面逻辑隔离。为简化组网提高组网可靠性，建议接入交换机采用堆叠方式。业务平面网络，用于承载虚拟机业务数据；管理平面网络，用于承载管理服务器以及资源服务器之间的内部管理消息流量；存储平面网络，用于承载服务器和磁盘阵列之间的专用数据访问。

2）汇聚层：接入交换机上行到汇聚层交换机。汇聚交换机建议采用交换机集群的方式，接入交换机采用ETH-TRUNK上行至汇聚交换机，汇聚交换机堆叠之后，无需启用VRRP功能，如果需要汇聚交换机提供网关功能，则直接将VLAN IF接口作为用户网关地址。

3）核心层：汇聚交换机上行接入核心层交换机。核心交换机也建议采用集群的方式。核心交换机采用OSPF或者静态路由的方式同上层设备进行对接：采用OSPF对接时，OSPF发布地址包括核心交换机互联地址，直连路由地址以及loopback地址；采用静态路由方式时，建议核心交换机同上级设备采用VRRP地址为网关地址。

云平台网络总体设计（单数据中心）如图1所示。

3 业务平面网络

业务网络分为核心层和接入层两层。核心层由2台核心交换机、2台LB、2台防火墙组成，接入层为堆叠的接入层交换机。虚拟机使用业务网络上，核心层负责完成内部虚拟机互访业务交换和出网的纵向业务转发。内部业务网络上，核心层负责完成出网纵向流量转发。

4 网络可靠性设计

1）网络路径全冗余：核心层交换设备通过使用交换机集群技术，保证对外与防火墙/NAT和对内汇聚交换机连接的冗余；汇聚层交换设备通过使用交换机集群技术，保证对外与核心层交换设备和数据中心内接入层交换机连接的冗余；接入交换机通过使用交换机堆叠技术，保证对外与汇聚层交换设备和对内虚拟网络层连接的冗余；虚拟网络层通过采用多网卡绑定等技术避免单个网卡故障引发的业务中断。

2）网络平面通信：系统通信平面划分为业务平面、存储平面和管理平面。为了保证各种网络平面数据的可靠性，不同平面间采用VLAN等技术进行隔离，单个平面故障不影响其余两个平面的正常工作。业务平面，主要为虚拟机虚拟网卡的通信平面，对外提供业务应用；存储平面，主要为iSCSI存储提供通信平面，并为虚拟机提供存储资源，但不直接与虚拟机通信，而通过虚拟化平台转换；管理平面，负责整个云计算系统的管理、业务部署、系统加载等流量的通信。

5 网络安全性设计

网络安全包括内网安全和网络边界安全。

1）内网安全：

平面隔离：业务、存储、管理三个平面采用物理隔离的方式进行部署，保证了各个平面之间的隔离和安全。

虚拟机网络隔离：提供虚拟私有云（Virtual Private Cloud）和安全组方案，可根据客户需求对虚拟机资源进行网络逻辑隔离。

2）边界网络的安全：

在云计算中心与互联网的边界部署防火墙，实现内网隐藏。防火墙通过NAT、安全域隔离和虚拟防火墙等技术，对计算中心不同业务的流量进行隔离和防护，并满足计算多业务发展的安全需求。

3）建立DMZ区：

在数据中心与外网访问之间设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于数据中心内部网络和外部网络之间的小网络区域内，在这个小网络区域内放置一些必须公开的服务器设施，如数据中心Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。

6 结束语

随着云平台的广泛应用，大规模的计算、存储资源的互联互通对数据中心的结构及运行模式提出了新的要求，网络的架构、安全也尤为重要，如何建设快速、可靠、安全的网络基础平台保证数据中心的得以实施，保证业务、存储、管理等方便运行的网络是值得我们探讨与研究的。

参考文献：

[1] 莫闯.云计算下的校园网数据中心网络设计[J].信息安全与技术，2013.

[2] 陈婕.高校数据中心发展战略探讨[J].电脑知识与技术，2013.

[3] 杭州华三通信技术有限公司.NGIP新一代网络建设理论与实践[M].北京：电子工业出版社，2011.13-19.

[4] 巫莉莉，黄志宏.高校云计算数据中心的构建解析[J].中国教育信息化，2011.