數(shù)據(jù)中心建設(shè)方案

《數(shù)據(jù)中心建設(shè)方案》由會(huì)員分享，可在線閱讀，更多相關(guān)《數(shù)據(jù)中心建設(shè)方案（96頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

數(shù)據(jù)中心 網(wǎng)絡(luò)建設(shè)方案  目 錄 第一章 數(shù)據(jù)中心現(xiàn)狀分析 4 第二章 數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)分析 4 2.1 路由與交換 4 2.2 EOR 與TOR 5 2.3網(wǎng)絡(luò)虛擬化 5 2.3.1 網(wǎng)絡(luò)多虛一技術(shù) 5 2.3.2網(wǎng)絡(luò)一虛多技術(shù) 7 2.4 VM互訪技術(shù)（VEPA） 7 2.5 虛擬機(jī)遷移網(wǎng)絡(luò)技術(shù) 11 第三章 方案設(shè)計(jì) 13 3.1網(wǎng)絡(luò)總體規(guī)劃 13 3.2省級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì) 15 3.3市級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì) 16 3.4區(qū)縣級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì) 17 3.5省、市、區(qū)/縣數(shù)據(jù)中心互聯(lián)設(shè)計(jì) 18 3.5.1省、市數(shù)據(jù)中心互聯(lián) 18 3.5.2市、區(qū)/縣數(shù)據(jù)中心互聯(lián) 19 3.5.3數(shù)據(jù)中心安全解決方案 19 第四章 方案的新技術(shù)特點(diǎn) 21 4.1量身定制的數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái) 21 4.1.1最先進(jìn)的萬兆以太網(wǎng)技術(shù) 21 4.1.2硬件全線速處理技術(shù) 22 4.1.3 Extreme Direct Attach技術(shù) 24 4.1.5 幫助虛機(jī)無縫遷移的XNV技術(shù) 29 4.1.5環(huán)保節(jié)能的網(wǎng)絡(luò)建設(shè) 33 4.2 最穩(wěn)定可靠的網(wǎng)絡(luò)平臺(tái) 34 4.2.1 獨(dú)有的模塊化操作系統(tǒng)設(shè)計(jì) 34 4.2.2超強(qiáng)的QOS服務(wù)質(zhì)量保證 35 4.3先進(jìn)的網(wǎng)絡(luò)安全設(shè)計(jì) 37 4.3.1 設(shè)備安全特性 38 4.3.2用戶的安全接入 39 4.3.3智能化的安全防御措施 40 4.3.4常用安全策略建議 41 附錄 方案產(chǎn)品資料 45 1. 核心交換機(jī)BD 8800 45 2. SummitX670系列產(chǎn)品 49 3. 三層千兆交換機(jī)Summit X460 61 4. 核心路由器MP7500 69 5. 匯聚路由器MP7200 75 6. 接入路由器MP3840 81 7. 接入路由器MP2824 85 8. MSG4000綜合安全網(wǎng)關(guān) 90 第一章 數(shù)據(jù)中心現(xiàn)狀分析 云計(jì)算數(shù)據(jù)中心相比較傳統(tǒng)數(shù)據(jù)中心對(duì)網(wǎng)絡(luò)的要求有以下變化： 1、Server-Server流量成為主流，而且要求二層流量為主。 2、站點(diǎn)內(nèi)部物理服務(wù)器和虛擬機(jī)數(shù)量增大，導(dǎo)致二層拓?fù)渥兇蟆? 3、擴(kuò)容、災(zāi)備和VM遷移要求數(shù)據(jù)中心多站點(diǎn)間大二層互通。 4、數(shù)據(jù)中心多站點(diǎn)的選路問題受大二層互通影響更加復(fù)雜。 5、iSCSI/FCoE是數(shù)據(jù)中心以網(wǎng)絡(luò)為核心演進(jìn)的需求，也是不可或缺的一部分。 第二章 數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)分析 2.1 路由與交換 數(shù)據(jù)中心網(wǎng)絡(luò)方面，關(guān)注的重點(diǎn)是數(shù)據(jù)中心內(nèi)部服務(wù)器前后端網(wǎng)絡(luò)，對(duì)于廣泛意義上的數(shù)據(jù)中心，如園區(qū)網(wǎng)、廣域網(wǎng)和接入網(wǎng)等內(nèi)容，不做過多擴(kuò)散。 數(shù)據(jù)中心的網(wǎng)絡(luò)以交換以太網(wǎng)為主，只有傳統(tǒng)意義的匯聚層往上才是IP的天下。數(shù)據(jù)中心的以太網(wǎng)絡(luò)會(huì)逐步擴(kuò)大，IP轉(zhuǎn)發(fā)的層次也會(huì)被越推越高。 數(shù)據(jù)中心網(wǎng)絡(luò)從設(shè)計(jì)伊始，主要著眼點(diǎn)就是轉(zhuǎn)發(fā)性能，因此基于CPU/NP轉(zhuǎn)發(fā)的路由器自然會(huì)被基于ASIC轉(zhuǎn)發(fā)的三層交換機(jī)所淘汰。傳統(tǒng)的Ethernet交換技術(shù)中，只有MAC一張表要維護(hù)，地址學(xué)習(xí)靠廣播，沒有什么太復(fù)雜的網(wǎng)絡(luò)變化需要關(guān)注，所以速率可以很快。而在IP路由轉(zhuǎn)發(fā)時(shí)，路由表、FIB表、ARP表一個(gè)都不能少，效率自然也低了很多。 云計(jì)算數(shù)據(jù)中心對(duì)轉(zhuǎn)發(fā)帶寬的需求更是永無止境，因此會(huì)以部署核心-接入二層網(wǎng)絡(luò)結(jié)構(gòu)為主。層次越多，故障點(diǎn)越多、延遲越高、轉(zhuǎn)發(fā)瓶頸也會(huì)越多。目前在一些ISP（InternetService Provider）的二層結(jié)構(gòu)大型數(shù)據(jù)中心里，由于傳統(tǒng)的STP需要阻塞鏈路浪費(fèi)帶寬，而新的二層多路徑L2MP技術(shù)還不夠成熟，因此會(huì)采用全三層IP轉(zhuǎn)發(fā)來暫時(shí)作為過渡技術(shù)，如接入層與核心層之間跑OSPF動(dòng)態(tài)路由協(xié)議的方式。這樣做的缺點(diǎn)顯而易見，組網(wǎng)復(fù)雜，路由計(jì)算繁多，以后勢(shì)必會(huì)被Ethernet L2MP技術(shù)所取代。 新的二層多路徑技術(shù)，不管是TRILL還是SPB都引入了二層ISIS控制平面協(xié)議來作為轉(zhuǎn)發(fā)路徑計(jì)算依據(jù)，這樣雖然可以避免當(dāng)前以太網(wǎng)單路徑轉(zhuǎn)發(fā)和廣播環(huán)路的問題，但畢竟是增加了控制平面拓?fù)溥x路計(jì)算的工作，能否使其依然如以往Ethernet般高效還有待觀察。MPLS就是一個(gè)的前車之鑒，本想著幫IP提高轉(zhuǎn)發(fā)效率，沒想到卻在VPN路由隔離方面獲得真正應(yīng)用。 2.2 EOR 與TOR 數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備就是交換機(jī)，而交換機(jī)就分為機(jī)箱式與機(jī)架式兩種。當(dāng)前云計(jì)算以大量X86架構(gòu)服務(wù)器替代小型機(jī)和大型機(jī)，導(dǎo)致單獨(dú)機(jī)架Rack上的服務(wù)器數(shù)量增多。受工程布線的困擾，在大型數(shù)據(jù)中心內(nèi)EOR（End Of Row）結(jié)構(gòu)已經(jīng)逐步被TOR（Top Of Rack）結(jié)構(gòu)所取代。機(jī)架式交換機(jī)作為數(shù)據(jù)中心服務(wù)器第一接入設(shè)備的地位變得愈發(fā)不可動(dòng)搖。而為了確保大量機(jī)架式設(shè)備的接入，匯聚和核心層次的設(shè)備首要解決的問題就是高密度接口數(shù)量，由此機(jī)箱式交換機(jī)也就占據(jù)了數(shù)據(jù)中心轉(zhuǎn)發(fā)核心的位置。 綜合來說，一般情況下數(shù)據(jù)中心以大型機(jī)箱式設(shè)備為核心，機(jī)架式設(shè)備為各個(gè)機(jī)柜的接入 2.3網(wǎng)絡(luò)虛擬化 云計(jì)算就是計(jì)算虛擬化，而存儲(chǔ)虛擬化已經(jīng)在SAN上實(shí)現(xiàn)得很好了，剩下網(wǎng)絡(luò)虛擬化了。云計(jì)算環(huán)境中，所有的服務(wù)資源都成為了一個(gè)對(duì)外的虛擬資源，那么網(wǎng)絡(luò)不管是從路徑提供還是管理維護(hù)的角度來說，都得跟著把一堆的機(jī)框盒子進(jìn)行多虛一統(tǒng)一規(guī)劃。而云計(jì)算一虛多的時(shí)候，物理服務(wù)器都變成了很多的VM，網(wǎng)絡(luò)層面則需要對(duì)一虛多對(duì)通路建立和管理更精細(xì)化。 2.3.1 網(wǎng)絡(luò)多虛一技術(shù) 網(wǎng)絡(luò)多虛一技術(shù)。最早的網(wǎng)絡(luò)多虛一技術(shù)代表是交換機(jī)集群Cluster技術(shù)，多以盒式小交換機(jī)為主，較為古老，當(dāng)前數(shù)據(jù)中心里面已經(jīng)很少見了。而新的技術(shù)則主要分為兩個(gè)方向，控制平面虛擬化與數(shù)據(jù)平面虛擬化。 控制平面虛擬化 顧名思義，控制平面虛擬化是將所有設(shè)備的控制平面合而為一，只有一個(gè)主體去處理整個(gè)虛擬交換機(jī)的協(xié)議處理，表項(xiàng)同步等工作。從結(jié)構(gòu)上來說，控制平面虛擬化又可以分為縱向與橫向虛擬化兩種方向。 縱向虛擬化指不同層次設(shè)備之間通過虛擬化合多為一，相當(dāng)于將下游交換機(jī)設(shè)備作為上游設(shè)備的接口擴(kuò)展而存在，虛擬化后的交換機(jī)控制平面和轉(zhuǎn)發(fā)平面都在上游設(shè)備上，下游設(shè)備只有一些簡(jiǎn)單的同步處理特性，報(bào)文轉(zhuǎn)發(fā)也都需要上送到上游設(shè)備進(jìn)行?？梢岳斫鉃榧惺睫D(zhuǎn)發(fā)的虛擬交換機(jī)橫向虛擬化多是將同一層次上的同類型交換機(jī)設(shè)備虛擬合一，，控制平面工作如縱向一般，都由一個(gè)主體去完成，但轉(zhuǎn)發(fā)平面上所有的機(jī)框和盒子都可以對(duì)流量進(jìn)行本地轉(zhuǎn)發(fā)和處理，是典型分布式轉(zhuǎn)發(fā)結(jié)構(gòu)的虛擬交換機(jī)。 控制平面虛擬化從一定意義上來說是真正的虛擬交換機(jī)，能夠同時(shí)解決統(tǒng)一管理與接口擴(kuò)展的需求。但是有一個(gè)很嚴(yán)重的問題制約了其技術(shù)的發(fā)展。服務(wù)器多虛一技術(shù)目前無法做到所有資源的靈活虛擬調(diào)配，而只能基于主機(jī)級(jí)別當(dāng)多機(jī)運(yùn)行時(shí)，協(xié)調(diào)者的角色（等同于框式交換機(jī)的主控板控制平面）對(duì)同一應(yīng)用來說，只能主備，無法做到負(fù)載均衡。網(wǎng)絡(luò)設(shè)備虛擬化也同樣如此，以框式設(shè)備舉例，不管以后能夠支持多少臺(tái)設(shè)備虛擬合一，只要不能解決上述問題，從控制平面處理整個(gè)虛擬交換機(jī)運(yùn)行的物理控制節(jié)點(diǎn)主控板都只能有一塊為主，其他都是備份角色（類似于服務(wù)器多虛一中的HA Cluster結(jié)構(gòu)）?？偠灾摂M交換機(jī)支持的物理節(jié)點(diǎn)規(guī)模永遠(yuǎn)會(huì)受限于此控制節(jié)點(diǎn)的處理能力。 數(shù)據(jù)平面虛擬化 數(shù)據(jù)平面的虛擬化，目前主要是TRILL和SPB，他們都是用L2 ISIS作為控制協(xié)議在所有設(shè)備上進(jìn)行拓?fù)渎窂接?jì)算，轉(zhuǎn)發(fā)的時(shí)候會(huì)對(duì)原始報(bào)文進(jìn)行外層封裝，以不同的目的Tag在TRILL/SPB區(qū)域內(nèi)部進(jìn)行轉(zhuǎn)發(fā)。對(duì)外界來說，可以認(rèn)為TRILL/SPB區(qū)域網(wǎng)絡(luò)就是一個(gè)大的虛擬交換機(jī)，Ethernet報(bào)文從入口進(jìn)去后，完整的從出口吐出來，內(nèi)部的轉(zhuǎn)發(fā)過程對(duì)外是不可見且無意義的。 這種數(shù)據(jù)平面虛擬化多合一已經(jīng)是廣泛意義上的多虛一了，此方式在二層Ethernet轉(zhuǎn)發(fā)時(shí)可以有效的擴(kuò)展規(guī)模范圍，作為網(wǎng)絡(luò)節(jié)點(diǎn)的N虛一來說，控制平面虛擬化目前N還在個(gè)位到十位數(shù)上晃悠，數(shù)據(jù)平面虛擬化的N已經(jīng)可以輕松達(dá)到百位的范疇。但其缺點(diǎn)也很明顯，引入了控制協(xié)議報(bào)文處理，增加了網(wǎng)絡(luò)的復(fù)雜度，同時(shí)由于轉(zhuǎn)發(fā)時(shí)對(duì)數(shù)據(jù)報(bào)文多了外層頭的封包解包動(dòng)作，降低了Ethernet 的轉(zhuǎn)發(fā)效率。 從數(shù)據(jù)中心當(dāng)前發(fā)展來看，規(guī)模擴(kuò)充是首位的，帶寬增長也是不可動(dòng)搖的，因此在網(wǎng)絡(luò)多虛一方面，控制平面多虛一的各種技術(shù)除非能夠突破控制層多機(jī)協(xié)調(diào)工作的技術(shù)枷鎖，否則只有在中小型數(shù)據(jù)中心里面應(yīng)用，后期真正的大型云計(jì)算數(shù)據(jù)中心勢(shì)必是屬于TRILL/SPB此類數(shù)據(jù)平面多虛一技術(shù)的天地。 2.3.2網(wǎng)絡(luò)一虛多技術(shù) 網(wǎng)絡(luò)一虛多技術(shù)，已經(jīng)根源久遠(yuǎn)，從Ethernet的VLAN到IP的VPN都是已經(jīng)成熟技術(shù)，F(xiàn)C里面則有對(duì)應(yīng)的VSAN技術(shù)。此類技術(shù)特點(diǎn)就是給轉(zhuǎn)發(fā)報(bào)文里面多插入一個(gè)Tag，供不同設(shè)備統(tǒng)一進(jìn)行識(shí)別，然后對(duì)報(bào)文進(jìn)行分類轉(zhuǎn)發(fā)。代表如只能手工配置的VLAN ID和可以自協(xié)商的MPLS Label。傳統(tǒng)技術(shù)都是基于轉(zhuǎn)發(fā)層面的，雖然在管理上也可以根據(jù)VPN進(jìn)行區(qū)分，但是CPU/轉(zhuǎn)發(fā)芯片/內(nèi)存這些基礎(chǔ)部件都是只能共享的。 目前最新的一虛多技術(shù)是類似Extreme Networks在交換機(jī)系統(tǒng)中實(shí)現(xiàn)的Virtual Router，和VM一樣可以建立多個(gè)虛擬交換機(jī)并將物理資源獨(dú)立分配，目前的實(shí)現(xiàn)是最多可建立64個(gè)VR，其中有一個(gè)用做管理。 2.4 VM互訪技術(shù)（VEPA） 隨著虛擬化技術(shù)的成熟和x86 CPU性能的發(fā)展，越來越多的數(shù)據(jù)中心開始向虛擬化轉(zhuǎn)型。虛擬化架構(gòu)能夠在以下幾方面對(duì)傳統(tǒng)數(shù)據(jù)中心進(jìn)行優(yōu)化： 提高物理服務(wù)器CPU利用率； 提高數(shù)據(jù)中心能耗效率； 提高數(shù)據(jù)中心高可用性； 加快業(yè)務(wù)的部署速度 正是由于這些不可替代的優(yōu)點(diǎn)，虛擬化技術(shù)正成為數(shù)據(jù)中心未來發(fā)展的方向。然而一個(gè)問題的解決，往往伴隨著另一些問題的誕生，數(shù)據(jù)網(wǎng)絡(luò)便是其中之一。隨著越來越多的服務(wù)器被改造成虛擬化平臺(tái)，數(shù)據(jù)中心內(nèi)部的物理網(wǎng)口越來越少，以往十臺(tái)數(shù)據(jù)庫系統(tǒng)就需要十個(gè)以太網(wǎng)口，而現(xiàn)在，這十個(gè)系統(tǒng)可能是駐留在一臺(tái)物理服務(wù)器內(nèi)的十個(gè)虛擬機(jī)，共享一條上聯(lián)網(wǎng)線。 這種模式顯然是不合適的，多個(gè)虛擬機(jī)收發(fā)的數(shù)據(jù)全部擠在一個(gè)出口上，單個(gè)操作系統(tǒng)和網(wǎng)絡(luò)端口之間不再是一一對(duì)應(yīng)的關(guān)系，從網(wǎng)管人員的角度來說，原來針對(duì)端口的策略都無法部署，增加了管理的復(fù)雜程度。 其次，目前的主流虛擬平臺(tái)上，都沒有獨(dú)立網(wǎng)管界面，一旦出現(xiàn)問題網(wǎng)管人員與服務(wù)器維護(hù)人員又要陷入無止盡的扯皮中。當(dāng)初虛擬化技術(shù)推行的一大障礙就是責(zé)任界定不清晰，現(xiàn)在這個(gè)問題再次阻礙了虛擬化的進(jìn)一步普及。 接入層的概念不再僅僅針對(duì)物理端口，而是延伸到服務(wù)器內(nèi)部，為不同虛擬機(jī)之間的流量交換提供服務(wù)，將虛擬機(jī)同網(wǎng)絡(luò)端口重新關(guān)聯(lián)起來。 做為X86平臺(tái)虛擬化的領(lǐng)導(dǎo)廠商，VMWare早已經(jīng)在其vsphere平臺(tái)內(nèi)置了虛擬交換機(jī)vswitch，甚至更進(jìn)一步，實(shí)現(xiàn)了分布式虛擬交互機(jī)VDS（vnetwork distributed switch），為一個(gè)數(shù)據(jù)中心內(nèi)提供一個(gè)統(tǒng)一的網(wǎng)絡(luò)接入平臺(tái)，當(dāng)虛擬機(jī)發(fā)生vmotion時(shí)，所有端口上的策略都將隨著虛擬機(jī)移動(dòng)。 虛擬以太網(wǎng)端口匯聚器（VEPA）是最新IEEE 802.1Qbg標(biāo)準(zhǔn)化工作的一個(gè)組成部分，其設(shè)計(jì)目標(biāo)是降低與高度虛擬化部署有關(guān)的復(fù)雜性。如果我們研究一下使用虛擬交換機(jī)的傳統(tǒng)方法就會(huì)發(fā)現(xiàn)，它與VEPA方法存在很大的不同，VEPA使用戶可以深入了解虛擬化及聯(lián)網(wǎng)中的各項(xiàng)部署挑戰(zhàn)和需要考慮的因素。 當(dāng)您的物理主機(jī)上的監(jiān)視程序上有多臺(tái)虛擬機(jī)（每臺(tái)虛擬機(jī)都包含一套操作系統(tǒng)和多種應(yīng)用）時(shí)，這些虛擬機(jī)在相互通信和與外部世界通信時(shí)都要使用虛擬交換機(jī)。事實(shí)上，虛擬交換機(jī)是一種第2層交換機(jī)，通常以軟件的形式在監(jiān)視程序內(nèi)運(yùn)行。每種監(jiān)視程序通常都有一個(gè)內(nèi)建的虛擬交換機(jī)。不同的監(jiān)視程序所含的虛擬交換機(jī)在能力方面也是千差萬別的。 當(dāng)虛擬交換機(jī)從聯(lián)網(wǎng)領(lǐng)域轉(zhuǎn)移到服務(wù)器領(lǐng)域時(shí)，就有必要針對(duì)虛擬環(huán)境對(duì)傳統(tǒng)的基于網(wǎng)絡(luò)的工具和解決方案進(jìn)行重新測(cè)試、重新定性和重新部署。從某些方面來說，這種變化會(huì)對(duì)虛擬化的快速擴(kuò)展和普及造成阻礙。 例如，傳統(tǒng)的網(wǎng)絡(luò)和服務(wù)器運(yùn)營團(tuán)隊(duì)是截然分開的，每個(gè)團(tuán)隊(duì)都有自己的流程、工具和控制范圍。由于虛擬交換機(jī)的原因，聯(lián)網(wǎng)進(jìn)入了服務(wù)器的范疇，因此像供應(yīng)虛擬機(jī)這樣的簡(jiǎn)單任務(wù)也需要這些團(tuán)隊(duì)之間開展額外的協(xié)調(diào)工作，從而確保虛擬交換機(jī)的配置與物理網(wǎng)絡(luò)配置保持一致。 由于缺乏網(wǎng)絡(luò)中虛擬機(jī)之間流量的可視性，因此涉及到虛擬機(jī)之間通信的故障查找和監(jiān)視也變成了一項(xiàng)極具挑戰(zhàn)性的工作。而且隨著虛擬機(jī)數(shù)量的增長，單個(gè)服務(wù)器中的虛擬機(jī)目前已經(jīng)達(dá)到8至12臺(tái)，并且會(huì)在不久的將來達(dá)到32至64臺(tái)，因此，保護(hù)虛擬機(jī)彼此不受干擾，以及不受外界威脅的侵害都變成了一項(xiàng)需要認(rèn)真考慮的問題。 從防火墻到IDS/IPS，基于網(wǎng)絡(luò)的傳統(tǒng)設(shè)備和工具都需要針對(duì)這些高度虛擬化的環(huán)境重新開發(fā)、重新認(rèn)證和重新部署，從而確保虛擬機(jī)之間通過虛擬交換機(jī)的通信能夠滿足法規(guī)一致性和安全方面的要求。 由于在虛擬交換機(jī)方面缺乏標(biāo)準(zhǔn)，因此會(huì)增加涉及不同監(jiān)視技術(shù)的培訓(xùn)、互用性和管理開銷，進(jìn)入使這些挑戰(zhàn)變得更加復(fù)雜。事實(shí)上，物理服務(wù)器正在變成一種全面的網(wǎng)絡(luò)環(huán)境，擁有自身的互用性、部署、認(rèn)證和測(cè)試要求。 有趣的是，這種趨勢(shì)與虛擬化最基本的優(yōu)勢(shì)之一是背道而馳的，即虛擬化能夠?qū)⒎?wù)器中過剩的容量以更高的效率來運(yùn)行各類應(yīng)用。目前，這種“服務(wù)器中的網(wǎng)絡(luò)”很有可能演變成這些過剩容量的消費(fèi)方，將CPU和內(nèi)存資源吞噬殆盡。 VEPA的方法 為應(yīng)用這些挑戰(zhàn)，各方已經(jīng)提出了多種不同的解決方案，其中就包括VEPA。VEPA是一種虛擬交換機(jī)替代產(chǎn)品；它不僅進(jìn)入了標(biāo)準(zhǔn)化進(jìn)程，而且成為業(yè)界眾多廠商的一致選擇。 事實(shí)上，VEPA會(huì)將服務(wù)器上虛擬機(jī)生成的所有流量轉(zhuǎn)移到外部的網(wǎng)絡(luò)交換機(jī)上。外部網(wǎng)絡(luò)交換機(jī)接下來會(huì)為同一臺(tái)物理服務(wù)器上的虛擬機(jī)和基礎(chǔ)設(shè)施的其它部分提供連接。 實(shí)現(xiàn)這一功能的方法是將一種新型轉(zhuǎn)發(fā)模式融入物理交換機(jī)中，使流量能夠從來時(shí)的端口“原路返回”，從而簡(jiǎn)化同一服務(wù)器上虛擬機(jī)之間的通信。 “原路返回”模式（或稱“反射中繼”）可以在需要時(shí)將包的單一副本反向發(fā)送至同一臺(tái)服務(wù)器上的目的地或目標(biāo)虛擬機(jī)。對(duì)于廣播或組播流量，VEPA能夠以本地方式向服務(wù)器上的虛擬機(jī)提供包復(fù)制能力。 傳統(tǒng)上，多數(shù)網(wǎng)絡(luò)交換機(jī)都不支持這種“原路返回”模式行為，因?yàn)樗赡軙?huì)在非虛擬世界中造成環(huán)路和廣播風(fēng)暴。然而，許多網(wǎng)絡(luò)廠商都開始支持這種行為，目的就是解決虛擬機(jī)交換的問題，而且使用簡(jiǎn)單的軟件或固件升級(jí)即可實(shí)現(xiàn)。 IEEE的802.1Qbg工作組還努力將這種行為變成了標(biāo)準(zhǔn)。VEPA能夠以軟件的方式，作為監(jiān)視程序中的瘦層在服務(wù)器中實(shí)施，也可以作為網(wǎng)卡中的硬件來實(shí)施，在后一種情況下還可以與SR-IOV等PCIe I/O虛擬化技術(shù)結(jié)合使用。其中一個(gè)典型的例子就是Linux KVM監(jiān)視程序中提供的基于軟件的VEPA實(shí)施。 事實(shí)上，VEPA將交換功能移出了服務(wù)器，并且將其放回物理網(wǎng)絡(luò)中，而且讓外部網(wǎng)絡(luò)交換機(jī)能夠看到所有的虛擬機(jī)流量。通過將虛擬機(jī)交換移回物理網(wǎng)絡(luò)，基于VEPA的方法使現(xiàn)有的網(wǎng)絡(luò)工具和流程可以在虛擬化和非虛擬化環(huán)境以及監(jiān)視程序技術(shù)中以相同的方式自由使用。 防火墻和IDS/IPS等基于網(wǎng)絡(luò)的設(shè)備，以及訪問控制列表（ACL）、服務(wù)質(zhì)量（QoS）和端口監(jiān)視等成熟的網(wǎng)絡(luò)交換機(jī)功能都可以直接用于虛擬機(jī)流量和虛擬機(jī)之間的交換，因此減少和消除了對(duì)虛擬網(wǎng)絡(luò)設(shè)備重新進(jìn)行昂貴的質(zhì)量判定、測(cè)試和部署的需求。 此外，VEPA將網(wǎng)絡(luò)管理控制層重新交給了網(wǎng)絡(luò)管理員，為所有與虛擬機(jī)相關(guān)聯(lián)網(wǎng)功能的供應(yīng)、監(jiān)視和故障查找提供了一個(gè)單一控制點(diǎn)。 將網(wǎng)絡(luò)功能從服務(wù)器卸載至網(wǎng)絡(luò)交換機(jī)能夠帶來諸多的優(yōu)勢(shì)，例如釋放服務(wù)器資源并將其用于更多的應(yīng)用，同時(shí)還可在虛擬和非虛擬服務(wù)器之間提供線速交換；從1Gbps至10Gbps，甚至可以達(dá)到40Gbps和更高的100Gbps。 因此，基于VEPA的方法有助于擴(kuò)大虛擬化部署，降低復(fù)雜性和成本，并且加快虛擬化的普及。 盡管基于VEPA的方法能夠帶來許多好處，但在某些環(huán)境下，虛擬機(jī)間流量的交換最好還是留在服務(wù)器內(nèi)部。例如，在有些環(huán)境下物理服務(wù)器要承擔(dān)虛擬機(jī)的巨大負(fù)荷，而且這些虛擬機(jī)之間的通信非常頻繁，因此為了將延遲降至最低程度，最好的方法是將虛擬機(jī)之間的流量留在服務(wù)器內(nèi)部。 在此類場(chǎng)景中，可能的方法之一是繞過基于監(jiān)視程序的軟件虛擬交換機(jī)，利用新型網(wǎng)卡提供的交換硬件能力，即SR-IOV等基于入向I/O虛擬化的能力。同樣，在使用這種方法時(shí)，也需要權(quán)衡考慮完全使用“服務(wù)器中的網(wǎng)絡(luò)”模型時(shí)的安全和成本問題。 隨著服務(wù)器虛擬化的廣泛普及，服務(wù)器內(nèi)和服務(wù)器間虛擬機(jī)交換流量的復(fù)雜性都在不斷提高?；赩EPA的虛擬機(jī)間流量交換方法能夠?yàn)榛谔摂M交換機(jī)的傳統(tǒng)方法提供一種非常有趣且極具吸引力的替代方案。為了向網(wǎng)絡(luò)和服務(wù)器基礎(chǔ)設(shè)施提供支持VEPA的能力，此類技術(shù)的標(biāo)準(zhǔn)化工作正在緊鑼密鼓地進(jìn)行當(dāng)中。 2.5 虛擬機(jī)遷移網(wǎng)絡(luò)技術(shù) 虛擬服務(wù)器能夠大幅度提升服務(wù)器計(jì)算資源利用率，但是仍然只發(fā)揮了虛擬化優(yōu)勢(shì)的很小一部分。虛擬化向網(wǎng)絡(luò)的延伸使虛擬機(jī)能夠在應(yīng)用程序運(yùn)行的同時(shí)實(shí)現(xiàn)在物理服務(wù)器之間的漂移，并按需提供容量，無需增加昂貴且未盡其用的平臺(tái)。更重要的是，動(dòng)態(tài)虛擬機(jī)的創(chuàng)建和移動(dòng)讓管理員能夠迅速響應(yīng)新的請(qǐng)求，從而提高用戶的生產(chǎn)效率和客戶滿意度。但是目前傳統(tǒng)的網(wǎng)絡(luò)設(shè)備并不能滿足這種動(dòng)態(tài)遷移的需求，這成為虛擬化進(jìn)程中的瓶頸，而解決這一瓶頸就意味著虛擬化時(shí)代的真正到來。 　　將虛擬化優(yōu)勢(shì)延伸至網(wǎng)絡(luò)，如何動(dòng)態(tài)并經(jīng)濟(jì)有效地分配資源，來滿足高峰和低谷時(shí)的業(yè)務(wù)需求顯得至關(guān)重要。通常在一個(gè)工作日中，對(duì)計(jì)算資源的需求會(huì)從最小量開始增長。虛擬機(jī)可以立刻遷移至其它新啟動(dòng)的服務(wù)器上去，以滿足需求。在工作日結(jié)束時(shí)，對(duì)計(jì)算資源的需求會(huì)降低，那時(shí)虛擬機(jī)可以遷回原來的服務(wù)器，并關(guān)閉不需要的服務(wù)器資源，以簡(jiǎn)化管理并降低供電成本。在這個(gè)過程中，網(wǎng)絡(luò)的虛擬化至關(guān)重要，網(wǎng)絡(luò)可以使得虛擬機(jī)的動(dòng)態(tài)遷移成為可能，還可以保證在任何情況下對(duì)于應(yīng)用的保護(hù)，甚至可以使得用戶感覺不到虛擬資源的擴(kuò)展或縮小。 　　日常的虛擬機(jī)遷移只是虛擬機(jī)漂移技術(shù)的一種實(shí)踐應(yīng)用。當(dāng)服務(wù)器離線進(jìn)行維護(hù)或發(fā)生故障時(shí)，虛擬機(jī)也可進(jìn)行漂移以支持業(yè)務(wù)的連續(xù)性。為了利用這些優(yōu)勢(shì)，在硬件平臺(tái)間漂移虛擬機(jī)相關(guān)的網(wǎng)絡(luò)配置雖并不復(fù)雜，但卻至關(guān)重要且非常耗時(shí)。此外，當(dāng)虛擬機(jī)在數(shù)據(jù)中心內(nèi)漂移時(shí)，與每臺(tái)虛擬機(jī)相關(guān)的網(wǎng)絡(luò)層策略必須隨之漂移。這些策略控制著安全、服務(wù)質(zhì)量(QoS)等因素，并因用戶和應(yīng)用的具體情況而異。因此，為每個(gè)業(yè)務(wù)應(yīng)用維持相適應(yīng)的網(wǎng)絡(luò)策略對(duì)于業(yè)務(wù)運(yùn)營而言至關(guān)重要。 　　虛擬機(jī)從一臺(tái)物理服務(wù)器漂移至另一臺(tái)之前，與之相關(guān)的網(wǎng)絡(luò)端口配置以及安全策略必須針對(duì)目標(biāo)服務(wù)器進(jìn)行正確的設(shè)置，以滿足安全需求。如果數(shù)據(jù)中心存在大量的服務(wù)器和虛擬機(jī)遷移，那么手動(dòng)配置會(huì)消耗大量的時(shí)間和資源。 　　利用網(wǎng)絡(luò)虛擬化的解決方案可使虛擬機(jī)遷移相關(guān)的網(wǎng)絡(luò)管理任務(wù)實(shí)現(xiàn)自動(dòng)化，且無需大量的管理人員。 　　針對(duì)虛擬機(jī)漂移的自動(dòng)化網(wǎng)絡(luò)管理 　　實(shí)現(xiàn)虛擬機(jī)漂移的網(wǎng)絡(luò)自動(dòng)化最關(guān)鍵的，就是構(gòu)建一個(gè)包含智能軟件的網(wǎng)絡(luò)交換機(jī)，來對(duì)單個(gè)虛擬機(jī)進(jìn)行配置。傳統(tǒng)的網(wǎng)絡(luò)交換機(jī)是通過一個(gè)物理端口來與它連接的服務(wù)器進(jìn)行通信的。而包含智能軟件的交換機(jī)，則能夠?qū)崿F(xiàn)對(duì)單個(gè)虛擬機(jī)的感知，以及對(duì)每個(gè)虛擬機(jī)進(jìn)行網(wǎng)絡(luò)配置，從而將單個(gè)虛擬機(jī)屬性擴(kuò)展到整個(gè)網(wǎng)絡(luò)。當(dāng)虛擬機(jī)在整個(gè)網(wǎng)絡(luò)遷移時(shí)，交換機(jī)能夠追蹤這種遷移，并確保網(wǎng)絡(luò)設(shè)置與虛擬機(jī)一起實(shí)現(xiàn)遷移。 　　虛擬機(jī)感知的一個(gè)重要方面是能夠與多種架構(gòu)相兼容。被稱為虛擬機(jī)監(jiān)控器(VMM)是虛擬化軟件的重要組成之一，它能夠使多種操作系統(tǒng)在單一主機(jī)平臺(tái)中運(yùn)行。目前可支持Citrix、微軟、VMwareXen，Oracle等虛擬化平臺(tái)。 　　由于數(shù)據(jù)中心通常運(yùn)行不同的虛擬化架構(gòu)，因此，具備兼容多個(gè)虛擬化架構(gòu)的能力至關(guān)重要。研究和開發(fā)部門或許更青睞某一款架構(gòu)，因?yàn)樗褂脩裟軌蚋玫毓芾矸?wù)器;而數(shù)據(jù)管理員為了其他用戶也許會(huì)統(tǒng)一使用另一款來自指定廠商的虛擬化架構(gòu)?；蛘?，數(shù)據(jù)中心管理員因?yàn)閮r(jià)格或其他因素也許會(huì)選擇逐步遷移至其它廠商的架構(gòu)，從而創(chuàng)建一個(gè)臨時(shí)的混合型環(huán)境。而網(wǎng)絡(luò)是承載這些架構(gòu)的基礎(chǔ)，網(wǎng)絡(luò)的虛擬化同樣也需要對(duì)于混合環(huán)境提供很好的兼容性。 　　基于交換機(jī)的虛擬化產(chǎn)品也包含的有價(jià)值的特性： 　　? 跟蹤虛擬機(jī)的遷移，無需變更以太網(wǎng)數(shù)據(jù)包，最大限度提高資源利用率。 　　? 內(nèi)置于交換機(jī)的智能軟件可以緩解網(wǎng)絡(luò)管理員的負(fù)擔(dān)? 該架構(gòu)能夠方便用戶在虛擬層中配置網(wǎng)絡(luò)設(shè)定，從而提高生產(chǎn)效率。 　　? 同時(shí)支持多種虛擬化架構(gòu)，最大限度提高靈活性。 ?管理平臺(tái)界面簡(jiǎn)化管理。 針對(duì)虛擬化網(wǎng)絡(luò)的解決方案已成為現(xiàn)實(shí)。Extreme Networks公司的XNV技術(shù)，能夠搜索虛擬機(jī)并使性能和安全設(shè)置與虛擬端口(而非物理端口)相聯(lián)系。使用管理員擁有粒度標(biāo)準(zhǔn)來監(jiān)測(cè)每臺(tái)虛擬機(jī)及其相關(guān)的虛擬端口。XNV還可監(jiān)測(cè)虛擬機(jī)的創(chuàng)建和遷移，并確保網(wǎng)絡(luò)設(shè)置隨著虛擬機(jī)遷移。這些功能都有助于降低由網(wǎng)絡(luò)配置錯(cuò)誤引起的應(yīng)用宕機(jī)風(fēng)險(xiǎn)，以及將敏感應(yīng)用暴露給未受權(quán)用戶的安全風(fēng)險(xiǎn)。 綜上所述，數(shù)據(jù)中心的虛擬化，即“網(wǎng)絡(luò)感知”和開放性，是新的數(shù)據(jù)中心的必備能力，只有這樣，用戶才能優(yōu)化資源利用率，降低手動(dòng)維護(hù)安全策略所造成的人工錯(cuò)誤，因?yàn)樘摂M化提高了數(shù)據(jù)中心的可用性，并降低了總體擁有成本。 第三章 方案設(shè)計(jì) 3.1網(wǎng)絡(luò)總體規(guī)劃 數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)，需要考慮到以下的一些因素：系統(tǒng)的先進(jìn)程度、系統(tǒng)的穩(wěn)定性、可擴(kuò)展性、系統(tǒng)的維護(hù)成本、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的配合度、與外界互連網(wǎng)絡(luò)的連通、建設(shè)成本的可接受程度。 網(wǎng)絡(luò)整體設(shè)計(jì)采用國際通行的TCP／IP協(xié)議，并達(dá)到以下目標(biāo)： 1）系統(tǒng)可靠性和穩(wěn)定性 作為高性能園區(qū)網(wǎng)絡(luò)，系統(tǒng)的高可靠性和穩(wěn)定性是網(wǎng)絡(luò)應(yīng)用環(huán)境正常運(yùn)行的首要條件。在保證系統(tǒng)可靠性的基礎(chǔ)上，還要進(jìn)一步提高系統(tǒng)的可用性。我們可以從以下幾個(gè)方面來提供保證。 網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)具有很高的平均無故障時(shí)間，并且在業(yè)界有廣泛的用戶基礎(chǔ)； 關(guān)鍵網(wǎng)絡(luò)設(shè)備冗余工作，其關(guān)鍵部件可實(shí)現(xiàn)在線更換（熱拔插），故障的恢復(fù)時(shí)間在秒級(jí)間隔內(nèi)完成； 網(wǎng)絡(luò)在設(shè)備、拓?fù)湟约熬€路等方面均應(yīng)具有較高的可靠性，以保證每周7*24小時(shí)，每年365*24小時(shí)的正常工作。 2）開放性和標(biāo)準(zhǔn)化 為了保證在網(wǎng)絡(luò)時(shí)保證不同設(shè)備的互通性，所以網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)時(shí)必須采用開放技術(shù)、支持國際標(biāo)準(zhǔn)協(xié)議，具有良好的互連互通性，保證支持同一廠家的不同系列的產(chǎn)品以及與不同廠商的不同網(wǎng)絡(luò)設(shè)備無縫連接和互操作的能力。 3）具有高處理能力、可擴(kuò)展性 現(xiàn)支持各種高速網(wǎng)絡(luò)（快速以太網(wǎng)、千兆以太網(wǎng)、萬兆以太網(wǎng)等技術(shù)），提高對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)能力和速度，提供足夠的網(wǎng)絡(luò)帶寬。支持各種協(xié)議并存，可靈活地構(gòu)成不同系統(tǒng)，并可方便地從拓?fù)涞慕嵌群驮O(shè)備的角度擴(kuò)展，方便升級(jí)以滿足將來業(yè)務(wù)增長的需要。 在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，為了適應(yīng)用戶快速增長的需要，首先要滿足現(xiàn)有規(guī)模網(wǎng)絡(luò)用戶和應(yīng)用的需求，同時(shí)考慮未來業(yè)務(wù)發(fā)展、規(guī)模的擴(kuò)大，應(yīng)該設(shè)計(jì)關(guān)鍵網(wǎng)絡(luò)設(shè)備具備擴(kuò)展能力以及網(wǎng)絡(luò)實(shí)施新應(yīng)用的能力。 靈活擴(kuò)充性：靈活的端口擴(kuò)充能力，模塊擴(kuò)充能力，滿足網(wǎng)絡(luò)規(guī)模的擴(kuò)充。 支持新應(yīng)用的能力：產(chǎn)品具有支持新應(yīng)用的技術(shù)準(zhǔn)備，能夠符合實(shí)際要求的，方便快捷地實(shí)施新應(yīng)用。 4）系統(tǒng)的先進(jìn)、成熟、實(shí)用性及可管理和可維護(hù)性 當(dāng)今世界，通信技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展日新月異，網(wǎng)絡(luò)設(shè)計(jì)既要適應(yīng)新技術(shù)發(fā)展的潮流，保證系統(tǒng)的先進(jìn)性，也要兼顧技術(shù)的成熟性、實(shí)用性，選擇最合適的設(shè)備和技術(shù)，降低由于新技術(shù)和新產(chǎn)品不成熟因素給用戶帶來的風(fēng)險(xiǎn)。 在系統(tǒng)設(shè)計(jì)中，選擇先進(jìn)的系統(tǒng)管理軟件是必不可少的。我們?cè)谶@里采用我們通過這個(gè)統(tǒng)一的管理平臺(tái)的控制，監(jiān)控主機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)狀態(tài)，簡(jiǎn)化管理工作，提高了主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的利用效率。提供先進(jìn)而完善的網(wǎng)絡(luò)管理工具，監(jiān)控網(wǎng)絡(luò)故障，優(yōu)化網(wǎng)絡(luò)性能，實(shí)現(xiàn)一體化的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理基于SNMP，支持RMON和RMON2。 5）系統(tǒng)安全性和保密性 現(xiàn)在我們網(wǎng)絡(luò)內(nèi)接入的用戶對(duì)網(wǎng)絡(luò)的好奇心，促使會(huì)攻擊我們內(nèi)部網(wǎng)絡(luò)，我們制訂統(tǒng)一的安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性，能夠提供不同方式不同級(jí)別的安全策略，保證網(wǎng)絡(luò)重要用戶和數(shù)據(jù)服務(wù)器的安全性。 所以說安全性是網(wǎng)絡(luò)運(yùn)行的生命線。合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的信息資源得到有效的保護(hù)。網(wǎng)絡(luò)可以阻止任何非法的操作；網(wǎng)絡(luò)設(shè)備可進(jìn)行基于協(xié)議、基于MAC地址、基于IP地址的包過濾控制功能，不同的業(yè)務(wù)，劃分到不同的虛網(wǎng)中。 6）保護(hù)用戶現(xiàn)有投資及效益性 在保證網(wǎng)絡(luò)整體性能的前提下，網(wǎng)絡(luò)設(shè)計(jì)充分保護(hù)用戶投資及效益性，利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí)，在原設(shè)備的基礎(chǔ)上，進(jìn)行網(wǎng)絡(luò)建設(shè)，避免用戶投資的重復(fù)浪費(fèi)，在滿足用戶需求和未來發(fā)展的趨勢(shì)情況下，采用性價(jià)比高的設(shè)備，構(gòu)筑經(jīng)濟(jì)可靠的網(wǎng)絡(luò)平臺(tái)，使新系統(tǒng)更有效地承擔(dān)繁重的任務(wù)，能支持將來系統(tǒng)的維護(hù)和平滑升級(jí)。所采用的設(shè)備應(yīng)是當(dāng)今業(yè)界的主流產(chǎn)品，采用主流技術(shù)、標(biāo)準(zhǔn)協(xié)議，具有良好的互操作性，減少設(shè)備互連的問題，網(wǎng)絡(luò)維護(hù)的費(fèi)用，使用戶的投資得到有效保護(hù)。 3.2省級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì) 對(duì)于省級(jí)數(shù)據(jù)中心，一般規(guī)劃為大約五百臺(tái)高性能服務(wù)器，在這種模式下，可以規(guī)劃2-3層網(wǎng)絡(luò)連接模式（下圖為3層） 如上圖所示，一般情況下，大型數(shù)據(jù)中心采用2-3層網(wǎng)絡(luò)結(jié)構(gòu)，以3層結(jié)構(gòu)為例，采用2臺(tái)高性能Extreme Networks BD8800核心交換機(jī)，提供48個(gè)四萬兆（40G接口），通過40G通道下聯(lián)到匯聚層Summit X670系列交換機(jī)。每臺(tái)Extreme Networks Summit X670交換機(jī)提供48-60個(gè)萬兆萬兆接口，并提供四萬兆接口上聯(lián)，萬兆下聯(lián)Summit X460交換機(jī)，通過X460交換機(jī)使用千兆連接所有服務(wù)器。 但是對(duì)于新型的大型數(shù)據(jù)中心，萬兆網(wǎng)絡(luò)連接已經(jīng)成為主流，所以一般使用萬兆連接服務(wù)器，則直接將網(wǎng)絡(luò)簡(jiǎn)化為如下2層： 萬兆以太網(wǎng)技術(shù)目前已成為建設(shè)大中型數(shù)據(jù)中心網(wǎng)絡(luò)的主流技術(shù)。為實(shí)現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)的功能，并考慮網(wǎng)絡(luò)在性能、容量、擴(kuò)展性、先進(jìn)性和服務(wù)質(zhì)量等方面的要求，經(jīng)過對(duì)交換以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、萬兆以太網(wǎng)不同網(wǎng)絡(luò)架構(gòu)在VLAN（虛擬局域網(wǎng)）技術(shù)、第三層或多層交換技術(shù)、QoS、ACL等方面的性能表現(xiàn)及成本分析，確定將高密度端口的萬兆以太網(wǎng)交換機(jī)作為整個(gè)信息網(wǎng)絡(luò)的接入設(shè)備。 通過將萬兆以太網(wǎng)、千兆以太網(wǎng)、VLAN技術(shù)、三層路由交換、局域網(wǎng)中的QoS、ACL技術(shù)與投資經(jīng)濟(jì)性實(shí)現(xiàn)完美的有機(jī)結(jié)合，建立一個(gè)具有成熟的先進(jìn)技術(shù)，同時(shí)又可簡(jiǎn)便維護(hù)和安全使用的網(wǎng)絡(luò)。 在省級(jí)網(wǎng)絡(luò)設(shè)計(jì)中，我們最終推薦核心到接入交換機(jī)40G連接，接入到服務(wù)器10G連接。 3.3市級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì) 市級(jí)數(shù)據(jù)中心一般采用小于100臺(tái)服務(wù)器，根據(jù)省級(jí)網(wǎng)絡(luò)的建設(shè)設(shè)計(jì)，我們同樣使用萬兆進(jìn)行連接，這里采用一臺(tái)Summit X670系列交換機(jī)。每臺(tái)Extreme Networks Summit X670交換機(jī)提供64個(gè)萬兆萬兆接口，或者采用X670交換機(jī)堆疊，提供112個(gè)萬兆端口，如下圖所示： 3.4區(qū)縣級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì) 區(qū)縣級(jí)數(shù)據(jù)中心，一般采用普通企業(yè)級(jí)服務(wù)器，不進(jìn)行大規(guī)模數(shù)據(jù)集中，所以一般只適用千兆進(jìn)行接入，所以采用兩臺(tái)千兆交換機(jī)Extreme Networks Summit X460進(jìn)行互聯(lián)，通過冗余備份設(shè)置，千兆連接內(nèi)部所有服務(wù)器。 3.5省、市、區(qū)/縣數(shù)據(jù)中心互聯(lián)設(shè)計(jì) 對(duì)于大多數(shù)行業(yè)客戶如醫(yī)療、教育或政府等，其數(shù)據(jù)中心不只為本地市提供數(shù)據(jù)交換和處理，同時(shí)各級(jí)數(shù)據(jù)中心之間還需要進(jìn)行數(shù)據(jù)的遠(yuǎn)程交換和共享，從而充分發(fā)揮多級(jí)數(shù)據(jù)中心架構(gòu)的優(yōu)勢(shì)，使各級(jí)數(shù)據(jù)中心協(xié)同工作、遠(yuǎn)程交換、數(shù)據(jù)共享和統(tǒng)一管理。因此省、市、區(qū)/縣數(shù)據(jù)中心的互聯(lián)也勢(shì)在必行。 3.5.1省、市數(shù)據(jù)中心互聯(lián) 省數(shù)據(jù)中心由于數(shù)據(jù)量較大，需要同時(shí)匯聚地市一級(jí)數(shù)據(jù)中心，因此在省數(shù)據(jù)中心推薦配置兩臺(tái)MP7508作為核心匯聚路由器，并互為備份。MP7508匯聚路由器通過1000M光接口連接省數(shù)據(jù)中心核心交換機(jī)BD8800，再通過1000M MSTP或155M SDH/ATM網(wǎng)絡(luò)分別連接各個(gè)地市數(shù)據(jù)中心上聯(lián)路由器MP7204，地市上聯(lián)路由器MP7204通過1000M光接口連接其核心交換機(jī)X670。由于MP7508和MP7204路由器的高性能，從而實(shí)現(xiàn)省、市數(shù)據(jù)中心的高速互聯(lián)，其軟/硬件高可靠性設(shè)計(jì)以及每個(gè)節(jié)點(diǎn)采用雙機(jī)備份的方式，實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)母呖煽啃院头€(wěn)定性；另外我們可采用MPLS等安全技術(shù)，進(jìn)一步保證數(shù)據(jù)傳輸?shù)陌踩浴? 3.5.2市、區(qū)/縣數(shù)據(jù)中心互聯(lián) 根據(jù)不同的行業(yè)和應(yīng)用,市數(shù)據(jù)中心與區(qū)/縣數(shù)據(jù)中心之間數(shù)據(jù)流量不同，在數(shù)據(jù)流量較大的應(yīng)用中，市數(shù)據(jù)中心采用MP7204中心匯聚路由器通過100M或1000M MSTP線路連接各個(gè)區(qū)/縣數(shù)據(jù)中心MP3840匯聚路由器；對(duì)于數(shù)據(jù)流量較小的行業(yè)或應(yīng)用，市數(shù)據(jù)中心MP7204可采用155M SDH線路，采用2M復(fù)用的方式連接各個(gè)區(qū)/縣數(shù)據(jù)中心MP2824，區(qū)/縣數(shù)據(jù)中心可根據(jù)實(shí)際帶寬需求采用2M或N*2M鏈路捆綁方式接入市數(shù)據(jù)中心。同樣為了提高互聯(lián)的可靠性，地市匯聚路由器和區(qū)/縣上聯(lián)路由器均采用雙機(jī)雙線路冗余備份方式，確保數(shù)據(jù)傳輸?shù)母呖煽啃浴? 3.5.3數(shù)據(jù)中心安全解決方案 雖然數(shù)據(jù)中心處于一個(gè)相對(duì)安全的私有網(wǎng)絡(luò)環(huán)境，不同級(jí)別的數(shù)據(jù)中心也可通過運(yùn)營商專有線路進(jìn)行互聯(lián)互通，其內(nèi)部數(shù)據(jù)中心和傳輸線路上有一定的安全保障。同時(shí)為提高數(shù)據(jù)中心的開放度和利用率，以及遠(yuǎn)程管理等，其勢(shì)必要與外部網(wǎng)絡(luò)或internet進(jìn)行數(shù)據(jù)的互聯(lián)互通，為外部或互聯(lián)網(wǎng)用戶提供數(shù)據(jù)業(yè)務(wù)和管理。因此在數(shù)據(jù)中心的邊界需要充分考慮其接入和互聯(lián)互通的安全性，需要有效的的邊界隔離，可以實(shí)現(xiàn)對(duì)非法訪問的阻斷；其二是有效的身份識(shí)別與訪問控制功能，可以實(shí)現(xiàn)對(duì)源地址的定位、識(shí)別和控制；其三是建立有效的對(duì)抗攻擊能力，實(shí)現(xiàn)對(duì)異常流量、惡意代碼、有目標(biāo)的滲透等情況的鑒別和防護(hù)；其四是建立深度應(yīng)用識(shí)別與攻擊檢測(cè)，對(duì)應(yīng)用數(shù)據(jù)包進(jìn)行深度檢測(cè)，防范欺騙；其五是可以實(shí)現(xiàn)業(yè)務(wù)間隔離與帶寬資源控制，保障重要業(yè)務(wù)訪問；其六是保護(hù)數(shù)據(jù)傳輸安全，防止數(shù)據(jù)被竊聽和篡改；同時(shí)，還必須具有高可靠性的安全設(shè)備來防止由于高并發(fā)訪問量、系統(tǒng)故障等突發(fā)情況而帶來的訪問不便。此外，由于邊界是數(shù)據(jù)中心正常運(yùn)行的重要節(jié)點(diǎn)，部署安全產(chǎn)品必須具有便于管理的特點(diǎn)，這就要求設(shè)備能夠適應(yīng)不同的網(wǎng)絡(luò)環(huán)境，配置盡量簡(jiǎn)單方便，特征庫能夠自動(dòng)升級(jí)，可以提供豐富的訪問審計(jì)功能，能夠?qū)α髁窟M(jìn)行有效監(jiān)控，能夠提供豐富的攻擊統(tǒng)計(jì)，使數(shù)據(jù)中心系統(tǒng)管理員能夠充分掌握數(shù)據(jù)中心的安全態(tài)勢(shì)，為不斷地優(yōu)化安全策略提供依據(jù)。因此我們建議采用綜合的安全網(wǎng)關(guān)作為數(shù)據(jù)中心邊界接入和隔離，為其提供用戶安全接入、抗攻擊、入侵檢測(cè)、防病毒、高性能VPN、帶寬管理等綜合安全解決方案，避免了采用多廠家多型號(hào)的安全產(chǎn)品而帶來的管理和維護(hù)上的安全風(fēng)險(xiǎn)。 以下為數(shù)據(jù)中心安全解決方案： 在省、市、區(qū)/縣數(shù)據(jù)中心邊界，我們采用MSG4000綜合安全網(wǎng)關(guān)作為外部移動(dòng)用戶、遠(yuǎn)程管理以及第三方平臺(tái)等用戶和平臺(tái)的接入。MSG4000作為一款綜合安全產(chǎn)品，可根據(jù)用戶需求提供從100M到10G不同性能需求，省、市、區(qū)/縣數(shù)據(jù)中心可根據(jù)實(shí)際需要選用不同性能層次的MSG4000；同時(shí)MSG4000在功能上可為客戶提供安全防護(hù)、病毒過濾、入侵檢測(cè)、應(yīng)用識(shí)別、流量管理、WEB訪問控制、上網(wǎng)行為管理以及IPSEC/SSL VPN等功能，滿足客戶整個(gè)安全防護(hù)的需求，從而避免了由于設(shè)備數(shù)量、種類較多帶來的維護(hù)和管理上的不安全因素。 第四章 方案的新技術(shù)特點(diǎn) 4.1量身定制的數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái) 4.1.1最先進(jìn)的萬兆以太網(wǎng)技術(shù) Extreme公司作為以太網(wǎng)技術(shù)的先驅(qū)，一直致力于生產(chǎn)嚴(yán)格遵循業(yè)界標(biāo)準(zhǔn)的以及可與其他廠商兼容的產(chǎn)品，Extreme Networks是由100家國際知名網(wǎng)絡(luò)公司組成的千兆以太網(wǎng)聯(lián)盟和萬兆以太網(wǎng)聯(lián)盟的領(lǐng)導(dǎo)者。Extreme交換機(jī)的10GB以太網(wǎng)模塊在世界上第一個(gè)實(shí)現(xiàn)單跳網(wǎng)絡(luò)傳輸1 TB數(shù)據(jù)流量。Extreme公司一直走在10GB以太網(wǎng)交換技術(shù)開發(fā)的前沿，公司的發(fā)起人及首席技術(shù)官Steve Haddock現(xiàn)任IEEE 802.3ae任務(wù)小組副主席，該小組已經(jīng)為10-GB以太網(wǎng)開發(fā)了行業(yè)標(biāo)準(zhǔn)。Extreme Networks的Tony Lee自2000年3月起，在兩年任期內(nèi)擔(dān)任萬兆以太網(wǎng)聯(lián)盟主席，另一名Extreme Networks技術(shù)專家Ameet Dhillon目前則擔(dān)任萬兆以太網(wǎng)聯(lián)盟理事。Extreme交換機(jī)的擴(kuò)充能力和高端交換性能標(biāo)志著基于標(biāo)準(zhǔn)的高性能以太網(wǎng)技術(shù)的重大進(jìn)步。 萬兆以太網(wǎng)市場(chǎng)的全球市場(chǎng)占有率： Extreme在萬兆網(wǎng)絡(luò)應(yīng)用從初期就一直保持著市場(chǎng)領(lǐng)先地位 4.1.2硬件全線速處理技術(shù) 網(wǎng)絡(luò)業(yè)務(wù)的不斷增多，各種應(yīng)用的流行，對(duì)網(wǎng)絡(luò)也提出了新的要求，傳統(tǒng)的以太網(wǎng)交換機(jī)由于基于共享的設(shè)計(jì)理念，對(duì)于音頻、視頻以及數(shù)據(jù)的各種業(yè)務(wù)的傳輸是無法識(shí)別區(qū)分的，對(duì)于多媒體業(yè)務(wù)的開展需要更智能的設(shè)備來支撐。高速的網(wǎng)絡(luò)數(shù)據(jù)傳輸應(yīng)用已經(jīng)不是一個(gè)高級(jí)網(wǎng)絡(luò)唯一的重要指標(biāo)。網(wǎng)絡(luò)的發(fā)展方向是支持線速無阻塞地傳輸各種多媒體等高級(jí)應(yīng)用，在開啟各種網(wǎng)絡(luò)應(yīng)用和功能的情況下，保證網(wǎng)絡(luò)暢通。這也是Extreme公司的強(qiáng)大技術(shù)優(yōu)勢(shì)所在。 Extreme的智能網(wǎng)方案采用先進(jìn)的組播技術(shù)和Qos保證機(jī)制，實(shí)現(xiàn)全線速的高質(zhì)量的業(yè)務(wù)運(yùn)行。核心設(shè)備的大密度的高速端口使得網(wǎng)絡(luò)設(shè)備具有大容量的交換處理能力，以避免擁塞和延遲。Extreme采用無阻塞交換結(jié)構(gòu)，基于先進(jìn)路由交換機(jī)制，能夠提供線速處理能力。以此為基礎(chǔ)，通過合理的網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)高性能的網(wǎng)絡(luò)。 Extreme的全線三層產(chǎn)品交換產(chǎn)品均可實(shí)現(xiàn)滿載情況下的二層線速幀交換和三層線速包轉(zhuǎn)發(fā)。應(yīng)該強(qiáng)調(diào)的是，實(shí)際運(yùn)行的網(wǎng)絡(luò)需要配置很多控制功能，如 QoS處理、ACL、策略路由等，此時(shí)需要交換機(jī)耗費(fèi)更多的資源以實(shí)現(xiàn)相應(yīng)的網(wǎng)絡(luò)控制處理功能。Extreme產(chǎn)品能夠保證性能和功能的一致實(shí)現(xiàn)，即在打開諸多控制處理功能的前提下，依然保證數(shù)據(jù)包的真正線速處理和轉(zhuǎn)發(fā)。 Extreme的共享內(nèi)存式的交換背板結(jié)構(gòu)大大提高了組播轉(zhuǎn)發(fā)的效率，節(jié)省了交換矩陣的帶寬。其他網(wǎng)絡(luò)廠家的交換機(jī)支持的組播、ACL、Qos等都是基于軟件技術(shù)和CPU運(yùn)算的，由于占用大量處理器和內(nèi)存資源，經(jīng)常會(huì)導(dǎo)致丟失數(shù)據(jù)包，在性能上能上都達(dá)不到無丟包的限速傳輸，不得不以添加昂貴的內(nèi)存條為代價(jià)。 Extreme主推的真正的線速網(wǎng)絡(luò)是性能和功能的全面線速，包括線速路由、線速ACL、線速Q(mào)os、線速組播，Extreme的網(wǎng)絡(luò)設(shè)備的Qos、組播、ACL都是通過專門的集成芯片來完成，不占運(yùn)行用系統(tǒng)資源，這也是目前業(yè)界唯一能夠同時(shí)實(shí)現(xiàn)四種線速的全線速核心交換設(shè)備。國防大學(xué)在新網(wǎng)絡(luò)未來要承載各種多媒體為基礎(chǔ)的新應(yīng)用，影像方面需要應(yīng)用到組播、Qos技術(shù)都會(huì)在本方案的設(shè)計(jì)中得到卓越的性能表現(xiàn)，優(yōu)異的全線速網(wǎng)絡(luò)設(shè)計(jì)能夠?yàn)榭蒲泻蜆I(yè)務(wù)的效率提高作出巨大的貢獻(xiàn)。 組播結(jié)構(gòu) 傳統(tǒng)的組播結(jié)構(gòu) 可以看到在傳統(tǒng)組播結(jié)構(gòu)上，要實(shí)現(xiàn)組播組的發(fā)送需要組播發(fā)送端通過傳統(tǒng)的交換矩陣多次發(fā)送，這樣造成了組播數(shù)據(jù)在整個(gè)轉(zhuǎn)發(fā)過程中速度慢，同時(shí)對(duì)端口帶寬占用資源過大、占用時(shí)間過長，容易造成端口擁塞。 4.1.3 Extreme Direct Attach技術(shù) 今天的虛擬機(jī)管理程序利用一個(gè)內(nèi)部的“虛擬交換機(jī)”為在一個(gè)服務(wù)器內(nèi)部的虛擬機(jī)（VM）之間以及它們與外部網(wǎng)路之間提供網(wǎng)絡(luò)連接。這個(gè)虛擬交換機(jī)給數(shù)據(jù)中心網(wǎng)絡(luò)增加了第四個(gè)層級(jí)。 今天的許多刀片服務(wù)器利用一個(gè)內(nèi)部的“刀片交換機(jī)”來匯聚刀片服務(wù)器機(jī)箱內(nèi)的每個(gè)物理服務(wù)器的數(shù)據(jù)流量。這些交換機(jī)給網(wǎng)絡(luò)增加了第五個(gè)層級(jí)。 虛擬交換機(jī)和刀片交換機(jī)的組合把交換層級(jí)從3層提高到5五層，顯著提高了網(wǎng)絡(luò)延遲并增加了數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)元素，這也增加了數(shù)據(jù)中心管理的復(fù)雜性。 Extreme Networks的Direct Attached技術(shù)消除了虛擬交換機(jī)層，簡(jiǎn)化網(wǎng)絡(luò)并提高網(wǎng)絡(luò)性能。Extreme Networks的BlackDiamond8800交換機(jī)中的8900系列交換模塊通過利用高密度板卡和布線系統(tǒng)，消除刀片交換機(jī)并使數(shù)據(jù)中心得到簡(jiǎn)化，從而使數(shù)據(jù)中心的層級(jí)數(shù)量從5層簡(jiǎn)化為3層。 今天的數(shù)據(jù)中心網(wǎng)絡(luò)可以通過結(jié)構(gòu)化分“層”定義。通常情況下，有一個(gè)“網(wǎng)絡(luò)核心”，它是所有數(shù)據(jù)中心設(shè)備的中心連接點(diǎn)。這是數(shù)據(jù)中心網(wǎng)絡(luò)的“第一層級(jí)”。這個(gè)核心可能是一個(gè)交換機(jī)，或者更通常是由冗余交換機(jī)組成的集群來連接所有設(shè)備：網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器。而網(wǎng)絡(luò)的“第二層級(jí)”是匯聚交換機(jī)，它連接接入交換機(jī)和核心。這層常用于大型數(shù)據(jù)中心，一般沒有必要用在中型數(shù)據(jù)中心?！暗谌龑蛹?jí)”的交換機(jī)，通常被稱為接入層交換機(jī)，它直接連接服務(wù)器。這些接入交換機(jī)通常被稱為“架頂式交換機(jī)”或“行末式交換機(jī)”。 這種無論是兩個(gè)或三個(gè)層級(jí)的模式是已經(jīng)被多年使用，且廣為熟悉的。 目前數(shù)據(jù)中心有兩個(gè)重要的趨勢(shì)，它們正在改變數(shù)據(jù)中心網(wǎng)絡(luò)的實(shí)現(xiàn)方式，一個(gè)在物理方面，而另一個(gè)在虛擬化方面。這些趨勢(shì)給數(shù)據(jù)中心網(wǎng)絡(luò)增加了額外的層級(jí)。 趨勢(shì)一：虛擬化 在過去幾年的數(shù)據(jù)中心最重要的發(fā)展趨勢(shì)是虛擬化的應(yīng)用。虛擬化是一種技術(shù)，使一臺(tái)物理服務(wù)器允許安裝多個(gè)虛擬服務(wù)器/虛擬機(jī)。這樣可以提高服務(wù)器利用率和有助于服務(wù)器的整合，對(duì)于災(zāi)難恢復(fù)和容量管理等有諸多好處。虛擬化在企業(yè)數(shù)據(jù)中心和主機(jī)托管數(shù)據(jù)中心中非常流行。而由于高性能計(jì)算集群或大型互聯(lián)網(wǎng)消費(fèi)網(wǎng)站的自身性質(zhì)，虛擬化不太可能應(yīng)用在這些領(lǐng)域。 虛擬交換機(jī) 虛擬化引入了“虛擬交換機(jī)”的概念。 在非虛擬化數(shù)據(jù)中心，每個(gè)服務(wù)器運(yùn)行一個(gè)操作系統(tǒng)，該操作系統(tǒng)管理的物理網(wǎng)絡(luò)連接到與其它用戶和服務(wù)器。在虛擬化環(huán)境中，有多個(gè)虛擬機(jī)運(yùn)行在物理服務(wù)器上。這些虛擬機(jī)必須共享一個(gè)物理網(wǎng)絡(luò)連接，并且需要互相通信。這給虛擬交換機(jī)或“vSwitch的”概念帶來了用武之地。虛擬交換機(jī)是一個(gè)運(yùn)行在服務(wù)器上的模擬2層網(wǎng)絡(luò)設(shè)備的軟件。虛擬交換機(jī)的功能是使一個(gè)服務(wù)器內(nèi)的虛擬機(jī)可以互相通訊并且可以與外界通訊。虛擬交換機(jī)仿造了二/三層交換機(jī)的一部分功能以實(shí)現(xiàn)上述通訊功能。虛擬機(jī)運(yùn)行在虛擬化管理軟件中，所以它不是通用的。目前VMware、Microsoft和Citrix在自己的虛擬化管理軟件中都含有虛擬交換機(jī)。另外其它一些網(wǎng)絡(luò)廠商也推出了額外收費(fèi)的虛擬交換機(jī)，例如Cisco的Nexus 1000。 一個(gè)需要注意的關(guān)鍵點(diǎn)是每個(gè)物理服務(wù)器都需要一個(gè)虛擬交換機(jī)。例如一個(gè)有40臺(tái)服務(wù)器的機(jī)柜需要40個(gè)虛擬交換機(jī)，一個(gè)有16個(gè)刀片的刀片服務(wù)器需要16個(gè)虛擬交換機(jī)。網(wǎng)絡(luò)中虛擬交換機(jī)的數(shù)量與網(wǎng)絡(luò)中運(yùn)行虛擬化的服務(wù)器的數(shù)量是一一對(duì)應(yīng)的。這些虛擬機(jī)每一臺(tái)都需要管理和配置。 虛擬交換機(jī)的優(yōu)點(diǎn)： 虛擬交換機(jī)是由虛擬化管理軟件廠商發(fā)明的，用于虛擬機(jī)與網(wǎng)絡(luò)間進(jìn)行通訊。直到現(xiàn)在，虛擬交換機(jī)還是虛擬機(jī)之間，虛擬機(jī)與其它服務(wù)器和用戶之間通訊的唯一手段。 虛擬交換機(jī)帶來的問題： 安全性：虛擬交換機(jī)的主要功能是滿足同一服務(wù)器內(nèi)部的虛擬機(jī)之間的通訊。因?yàn)樘摂M交換機(jī)存在于服務(wù)器內(nèi)部，虛擬機(jī)和虛擬機(jī)之間的數(shù)據(jù)流量對(duì)于外界網(wǎng)絡(luò)是不可見的。這樣一些由非法虛擬機(jī)引發(fā)的安全問題很難被發(fā)現(xiàn)。 網(wǎng)絡(luò)與系統(tǒng)管理軟件的可見性：同樣由于虛擬機(jī)和虛擬機(jī)之間的數(shù)據(jù)流量對(duì)于外界網(wǎng)絡(luò)是不可見的，對(duì)于虛擬機(jī)和虛擬機(jī)之間的流量的管理和監(jiān)控非常困難。傳統(tǒng)的基于端口鏡像的網(wǎng)絡(luò)工具無法在這樣的環(huán)境中使用。 性能的不可預(yù)見性：虛擬交換機(jī)使用軟件而非線速的交換機(jī)硬件來進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)。虛擬交換機(jī)的轉(zhuǎn)發(fā)性能，以至于服務(wù)器的網(wǎng)絡(luò)性能都取決于CPU的可用資源，而該資源又取決于虛擬機(jī)上的應(yīng)用程序。這與服務(wù)器的優(yōu)化是矛盾的：當(dāng)服務(wù)器通過虛擬化增加利用率時(shí)，服務(wù)器的網(wǎng)絡(luò)性能實(shí)際會(huì)下降，這與使用虛擬化優(yōu)化服務(wù)器的設(shè)想是相違背的。 額外的網(wǎng)絡(luò)層級(jí)：虛擬交換機(jī)為傳統(tǒng)的網(wǎng)絡(luò)增加了第四個(gè)層級(jí)。這樣增加了網(wǎng)絡(luò)的跳數(shù)從而增加了端到端的網(wǎng)絡(luò)延遲。 虛擬交換機(jī)與服務(wù)器一一對(duì)應(yīng)引起的擴(kuò)展性問題：每個(gè)服務(wù)器都需要一個(gè)虛擬交換機(jī)，整個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備數(shù)量大大增加。一個(gè)有40個(gè)服務(wù)器的機(jī)柜需要40個(gè)虛擬交換機(jī)，而只要一臺(tái)網(wǎng)絡(luò)交換機(jī)。這樣大大增加了數(shù)據(jù)中心內(nèi)需要管理和配置的網(wǎng)絡(luò)元素，增加了數(shù)據(jù)中心的運(yùn)維成本。 管理的復(fù)雜性：每一個(gè)虛擬化管理軟件廠家都有一個(gè)和自己軟件配合的虛擬交換機(jī)。在一個(gè)使用多種虛擬化軟件的數(shù)據(jù)中心，需要對(duì)多種虛擬機(jī)管理進(jìn)行人員培訓(xùn)和制定管理流程，增加了數(shù)據(jù)中心管理成本。 問責(zé)的沖突：到底由哪個(gè)部門來管理虛擬交換機(jī)呢？是因?yàn)樘摂M交換機(jī)運(yùn)行在服務(wù)器內(nèi)部而由服務(wù)器部門負(fù)責(zé)呢？還是因?yàn)樗蔷W(wǎng)絡(luò)元素而由網(wǎng)絡(luò)部門負(fù)責(zé)呢？這些問題會(huì)帶來潛在的沖突，增加管理和實(shí)施解決方案的復(fù)雜度。 趨勢(shì)二：刀片服務(wù)器 刀片服務(wù)器為機(jī)架內(nèi)容納高密度服務(wù)器提供了解決方案。一個(gè)刀片服務(wù)器機(jī)箱可以容納16個(gè)服務(wù)器，一個(gè)標(biāo)準(zhǔn)機(jī)柜可以容納3個(gè)或4個(gè)刀片服務(wù)器機(jī)箱。這樣一個(gè)機(jī)柜可以容納48或64個(gè)高密度服務(wù)器，并且可以簡(jiǎn)化管理。 刀片服務(wù)器帶來的挑戰(zhàn)是它在一個(gè)機(jī)柜內(nèi)制造了很高的布線密度，使為每臺(tái)服務(wù)器提供布線成為挑戰(zhàn)。正是這個(gè)原因，各個(gè)刀片服務(wù)器的廠商都制造一種插入刀片服務(wù)器機(jī)箱的“刀片交換機(jī)”。 刀片交換機(jī)的優(yōu)點(diǎn)： 刀片交換機(jī)的主要優(yōu)點(diǎn)是簡(jiǎn)化了布線。刀片交換機(jī)連接所有的服務(wù)器，并上連到網(wǎng)絡(luò)的第三個(gè)層級(jí)。如果沒有刀片交換機(jī)，每個(gè)服務(wù)器需要一個(gè)以太網(wǎng)連接到第三級(jí)網(wǎng)絡(luò)，這樣每個(gè)刀片服務(wù)器機(jī)箱就需要16根跳線。有了刀片交換機(jī)跳線數(shù)量減少為1到8根。 刀片交換機(jī)的問題： 刀片交換機(jī)給網(wǎng)絡(luò)帶來高復(fù)用比，這樣可能造成網(wǎng)絡(luò)擁塞并限制服務(wù)器的性能。一個(gè)典型的刀片交換機(jī)包含24個(gè)以上的端口或連接。其中16個(gè)端口用來連接服務(wù)器，另外8個(gè)端口用來連接接入層網(wǎng)絡(luò)設(shè)備。這樣造成2:1復(fù)用，使網(wǎng)絡(luò)最高性能減少50％。 從物理網(wǎng)絡(luò)的角度看，刀片交換機(jī)給網(wǎng)絡(luò)增加了“第五層級(jí)”。如我們前面討論的，每個(gè)網(wǎng)絡(luò)層級(jí)都因?yàn)檗D(zhuǎn)發(fā)時(shí)延帶來端到端的延遲。這個(gè)額外的層級(jí)增加了網(wǎng)絡(luò)元素的數(shù)量，從而增加了成本，包括刀片交換機(jī)本身的成本和配置管理刀片交換機(jī)的時(shí)間成本。 因?yàn)榈镀粨Q機(jī)是一個(gè)根據(jù)刀片服務(wù)器機(jī)箱定做的產(chǎn)品，它與數(shù)據(jù)中心匯聚和接入層級(jí)的獨(dú)立交換機(jī)相比通常具有不同的功能和管理結(jié)構(gòu)。這帶來的管理的復(fù)雜性，因?yàn)榫W(wǎng)絡(luò)管理員需要學(xué)習(xí)和管理不同的交換機(jī)系統(tǒng)和管理軟件。 刀片交換機(jī)同樣帶來組織管理上的問題。它是應(yīng)該由管理核心/匯聚/接入交換機(jī)的網(wǎng)絡(luò)部門管理？還是因?yàn)樗诜?wù)器內(nèi)部而由服務(wù)器部門管理？這個(gè)職責(zé)的混淆會(huì)在配置不兼容以及涉及多個(gè)部門在數(shù)據(jù)中心排錯(cuò)時(shí)帶來問題。 虛擬化和刀片服務(wù)器趨勢(shì)的疊加效果是把網(wǎng)絡(luò)層級(jí)從3層增加到5層。當(dāng)虛擬交換機(jī)引入時(shí)增加了1層，刀片交換機(jī)引入時(shí)又增加了1層。 由于顯著地增加了網(wǎng)絡(luò)復(fù)用比以及端到端的延時(shí)，5層網(wǎng)絡(luò)的性能低于3層網(wǎng)絡(luò)。另外這樣還需要更多電力和冷卻能力并大大增加管理成本。 Direct Attach減少網(wǎng)絡(luò)層級(jí) 什么是Extreme Networks的Direct Attach？ Direct Attach是Extreme Networks實(shí)現(xiàn)虛擬機(jī)在網(wǎng)絡(luò)中進(jìn)行交換的技術(shù)。一些廠家通過在服務(wù)器中的虛擬交換機(jī)實(shí)現(xiàn)虛擬機(jī)數(shù)據(jù)交換。而Extreme Networks的Direct Attach技術(shù)把虛擬機(jī)之間的數(shù)據(jù)交換功能從服務(wù)器中遷移回網(wǎng)絡(luò)設(shè)備中。這樣使管理員可以在享受服務(wù)器虛擬化帶來的好處的同時(shí)利用成熟的、線速的網(wǎng)絡(luò)交換機(jī)處理虛擬機(jī)數(shù)據(jù)交換。 從本質(zhì)上講，Direct Attach允許虛擬機(jī)無需通過服務(wù)器內(nèi)的軟交換機(jī)直接連接到網(wǎng)絡(luò)。Direct Attach通過去掉虛擬交換機(jī)減少了網(wǎng)絡(luò)層級(jí)，從而節(jié)約成本，降低延時(shí)，減少網(wǎng)絡(luò)復(fù)用并且簡(jiǎn)化了管理。最后它使管理員在無需考慮虛擬機(jī)管理軟件的情況下實(shí)施一致的網(wǎng)絡(luò)策略，保證網(wǎng)絡(luò)的安全且符合規(guī)定。 另外，高扇出的交換機(jī)模塊以及專用的布線方案可以使刀片服務(wù)器機(jī)箱中的服務(wù)器直接連接到數(shù)據(jù)中心網(wǎng)絡(luò)，從而使數(shù)據(jù)中心網(wǎng)絡(luò)簡(jiǎn)化。 Direct Attach如何工作 Direct Attach軟件包是ExtremeXOS的一個(gè)可加載模塊。它可以被安裝在基于ExtremeXOS的Extreme Networks的Summit系列堆疊交換機(jī)（包括Summit X450、Summit X480、Summit X650）和帶有8900系列模塊的BlackDiamond 8800交換機(jī)。 Direct Attach軟件把端口上的數(shù)據(jù)根據(jù)虛擬機(jī)進(jìn)行分類，然后根據(jù)交換機(jī)中二/三層轉(zhuǎn)發(fā)協(xié)議進(jìn)行轉(zhuǎn)發(fā)。雖然所有的數(shù)據(jù)包都從一臺(tái)物理服務(wù)器發(fā)送和接收，所有交換機(jī)策略仍然會(huì)針對(duì)每個(gè)虛擬機(jī)的數(shù)據(jù)流發(fā)生作用。 使用Direct Attach技術(shù)去掉虛擬交換機(jī)的好處 更高的可預(yù)見的性能：使用Direct Attach技術(shù)不需要服務(wù)器內(nèi)的軟件轉(zhuǎn)發(fā)數(shù)據(jù)包，所有的數(shù)據(jù)包都通過以太網(wǎng)交換機(jī)線速轉(zhuǎn)發(fā)。這樣無論服務(wù)器的負(fù)載如何，都可以保證可預(yù)見的性能。 更廣泛的網(wǎng)絡(luò)功能：當(dāng)今的以太網(wǎng)支持非常廣泛的功能，包括服務(wù)質(zhì)量、ACL安全等多年來開發(fā)的功能。使用Direct Attach技術(shù)，這些功能可以針對(duì)數(shù)據(jù)中心內(nèi)的所有虛擬機(jī)生效。 管理更少的網(wǎng)絡(luò)元素：在一個(gè)有10個(gè)機(jī)柜，每個(gè)機(jī)柜有40個(gè)1U服務(wù)器的數(shù)據(jù)中心，使用Direct Attach技術(shù)只需要第三級(jí)的10個(gè)網(wǎng)絡(luò)元素而不需要第四級(jí)的網(wǎng)絡(luò)元素。如果不使用Direct Attach技術(shù)，需要管理410個(gè)網(wǎng)絡(luò)元素，除了第三級(jí)的10的10個(gè)還有第四級(jí)的400個(gè)網(wǎng)絡(luò)元素！在這個(gè)實(shí)例中，減少了98％的需要管理、配置和維護(hù)的網(wǎng)絡(luò)元素。 增強(qiáng)的安全性：在使用虛擬交換機(jī)的情況下，虛擬機(jī)之間的數(shù)據(jù)流量永遠(yuǎn)不會(huì)流出服務(wù)器。這樣很難部署交換機(jī)的安全功能，例如ACL和在線的安全檢測(cè)設(shè)備。使用Direct Attach技術(shù)，所有虛擬機(jī)和虛擬機(jī)之間的通信對(duì)交換機(jī)而言都是可見的，可以被安全策略如ACL、端口鏡像等進(jìn)行處理。 易于管理：Direct Attach技術(shù)使數(shù)據(jù)中心內(nèi)的所有數(shù)據(jù)交換機(jī)的管理回歸到網(wǎng)絡(luò)管理員手中，消除了與服務(wù)器團(tuán)隊(duì)的潛在沖突。 不同虛擬化管理軟件環(huán)境下的輕松管理：Direct Attach技術(shù)不依賴于虛擬化管理軟件，可以兼容絕大多數(shù)虛擬化管理軟件。這樣它可以在混合有多廠家虛擬化系統(tǒng)的數(shù)據(jù)中心良好工作。 交換機(jī)與布線系統(tǒng)設(shè)計(jì) 除了可以通過Direct Attach技術(shù)去掉虛擬交換機(jī)，這個(gè)Extreme Networks的解決方案還有另外的好處。BlackDiamond 8800交換機(jī)通過MRJ21技術(shù)提供高密度千兆接口解決方案。MRJ21技術(shù)把6個(gè)全帶寬的千兆接口集成到1根線纜中。使用這種技術(shù)制造的96口千兆模塊使1個(gè)機(jī)箱可以容納768個(gè)千兆接口，使刀片服務(wù)器可以輕松接入8800交換機(jī)。 Direct Attach布線系統(tǒng)可以把刀片服務(wù)器機(jī)箱內(nèi)的所有服務(wù)器直接連接到模塊化交換機(jī)的端口，而無需使用刀片交換機(jī)。一個(gè)有4個(gè)刀片服務(wù)器機(jī)箱，每個(gè)刀片服務(wù)器機(jī)箱有16個(gè)服務(wù)器的機(jī)柜內(nèi)的所有服務(wù)器都可以直接連接到1個(gè)BlackDiamond 8800交換機(jī)的8900系列模塊上。 這個(gè)高密度端口和高密度布線解決方案消除了使用刀片交換機(jī)的需求，從而消除了這個(gè)層級(jí)的網(wǎng)絡(luò)設(shè)備。 結(jié)論： Extreme Networks的Direct Attach技術(shù)和高扇出的服務(wù)器模塊可以被一起使用，也可以被單獨(dú)使用。如果一起使用您可以去掉虛擬交換機(jī)和刀片交換機(jī)，從而使網(wǎng)絡(luò)層級(jí)從5層減少到3層，進(jìn)而建立一個(gè)更易于擴(kuò)展、易于管理和降低成本的網(wǎng)絡(luò)架構(gòu)。 減少網(wǎng)絡(luò)層級(jí)的好處 l 更低的復(fù)用提高網(wǎng)絡(luò)性能使之更可預(yù)測(cè) l 更少層級(jí)意味著更低延遲 l 更少的擁塞點(diǎn)意味著更可預(yù)測(cè)的性能 l 更少的網(wǎng)絡(luò)元素意味著更少的故障點(diǎn) l 更少的網(wǎng)絡(luò)元素意味著更少的電力消耗 l 更少的交換機(jī)意味著更低的總體擁有成本