1、電信IDC網(wǎng)絡(luò)解決方案-網(wǎng)絡(luò)需求和拓?fù)湓O(shè)計(jì)一、 IDC的業(yè)務(wù)發(fā)展和對(duì)網(wǎng)絡(luò)的需求IDC，Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心，是電信運(yùn)營(yíng)商運(yùn)營(yíng)的核心業(yè)務(wù)之一。IDC機(jī)房建設(shè)要求和維護(hù)要求很高，許多行業(yè)用戶無(wú)法承擔(dān)其高額費(fèi)用，即便有能力建設(shè)，也需要向運(yùn)營(yíng)商申請(qǐng)高出口帶寬，因此國(guó)內(nèi)外的IDC機(jī)房大都由運(yùn)營(yíng)商來(lái)出資建設(shè)和維護(hù)運(yùn)營(yíng)。行業(yè)用戶則通過(guò)租賃運(yùn)營(yíng)商機(jī)房資源，部署自己的服務(wù)業(yè)務(wù)，并由運(yùn)營(yíng)商為其提供設(shè)備維護(hù)等服務(wù)。當(dāng)前中國(guó)電信在全國(guó)各省均建有多個(gè)IDC機(jī)房，主要運(yùn)營(yíng)資源的租賃業(yè)務(wù)，例如VIP機(jī)房租賃、機(jī)架或服務(wù)器租賃、帶寬租賃等，同時(shí)也提供例如流量清洗、DDOS防攻擊、CDN內(nèi)容

2、加速等增值服務(wù)業(yè)務(wù)。從IDC的運(yùn)營(yíng)情況來(lái)看，目前限制IDC業(yè)務(wù)發(fā)展的主要瓶頸在于不斷上升的電費(fèi)以及越來(lái)越緊張的空間資源。隨著云計(jì)算技術(shù)的興起，特別是虛擬化技術(shù)的引入，不僅有效緩解了當(dāng)前的瓶頸，同時(shí)也帶來(lái)新的業(yè)務(wù)增長(zhǎng)點(diǎn)。在許多IDC機(jī)房開(kāi)始逐步建設(shè)云資源池，運(yùn)營(yíng)例如云主機(jī)、云存儲(chǔ)、云網(wǎng)絡(luò)等云業(yè)務(wù)。開(kāi)展云計(jì)算業(yè)務(wù)對(duì)IDC網(wǎng)絡(luò)建設(shè)提出了新的要求，總的來(lái)說(shuō)就是IDC網(wǎng)絡(luò)云化建設(shè)，主要有以下四點(diǎn)：l 服務(wù)器虛擬化要求建設(shè)大二層網(wǎng)絡(luò)云計(jì)算業(yè)務(wù)的主要技術(shù)特點(diǎn)是虛擬化，目前來(lái)看，主要是指服務(wù)器的虛擬化。服務(wù)器虛擬化的重要特點(diǎn)之一是可以根據(jù)物理資源等使用情況，在不同物理機(jī)之間進(jìn)行虛擬機(jī)遷移和擴(kuò)展。這種遷移和擴(kuò)展

3、要求不改變虛擬機(jī)的IP地址和MAC地址，因此只能在二層網(wǎng)絡(luò)中實(shí)現(xiàn)，當(dāng)資源池規(guī)模較大時(shí)，二層網(wǎng)絡(luò)的規(guī)模隨之增大。當(dāng)前IDC機(jī)房大力開(kāi)展云計(jì)算資源池建設(shè)，對(duì)于網(wǎng)絡(luò)而言，大二層網(wǎng)絡(luò)的建設(shè)是重要的基礎(chǔ)。l 不同租戶之間需二層隔離對(duì)于云計(jì)算業(yè)務(wù)而言，用戶規(guī)模很大，網(wǎng)絡(luò)的二層規(guī)模也很大，從IDC業(yè)務(wù)角度而言，不同租戶之間互相隔離是天然需求。在傳統(tǒng)的隔離實(shí)現(xiàn)中，VLAN隔離是非常常用的技術(shù)手段，但在一個(gè)大規(guī)模的二層網(wǎng)絡(luò)中使用VLAN來(lái)隔離不同租戶是不現(xiàn)實(shí)的。我們知道在一個(gè)局域網(wǎng)中，VLAN的最大數(shù)量為4096，而IDC的租戶數(shù)量卻遠(yuǎn)遠(yuǎn)超過(guò)這個(gè)數(shù)值。因此對(duì)于運(yùn)營(yíng)云計(jì)算業(yè)務(wù)的IDC網(wǎng)絡(luò)而言，如何在滿足大規(guī)模租戶

4、數(shù)量的同時(shí)實(shí)現(xiàn)租戶之間隔離是個(gè)需要重點(diǎn)考慮的問(wèn)題。l 云主機(jī)等業(yè)務(wù)的訪問(wèn)需要NAT設(shè)備針對(duì)云云主機(jī)業(yè)務(wù)租戶而言，運(yùn)營(yíng)商通常規(guī)劃私網(wǎng)IP地址給租戶使用，而實(shí)際使用者則位于公網(wǎng)，為實(shí)現(xiàn)公網(wǎng)和私網(wǎng)間的互訪，必須配置防火墻設(shè)備實(shí)現(xiàn)NAT功能，同時(shí)防火墻也實(shí)現(xiàn)了內(nèi)外網(wǎng)的隔離，起到保護(hù)內(nèi)網(wǎng)的作用。l 網(wǎng)絡(luò)需實(shí)現(xiàn)租戶帶寬限速需求運(yùn)營(yíng)商IDC機(jī)房的出口帶寬是有限的，租戶租賃的帶寬并不是沒(méi)有任何限制。在傳統(tǒng)業(yè)務(wù)中，因?yàn)榉?wù)器的接入端口固定，只要在接入層設(shè)備上做限速策略即可實(shí)現(xiàn)限速。對(duì)于云計(jì)算業(yè)務(wù)，二層網(wǎng)絡(luò)內(nèi)的遷移是一個(gè)常見(jiàn)特性，如何在二層網(wǎng)絡(luò)中實(shí)現(xiàn)帶寬限速也是網(wǎng)絡(luò)需要解決的重要問(wèn)題之一。二、 IDC網(wǎng)絡(luò)的層次架

5、構(gòu)傳統(tǒng)IDC網(wǎng)絡(luò)和云資源池IDC網(wǎng)絡(luò)有較大區(qū)別，但從邏輯拓?fù)涠裕伎梢苑譃樗膫€(gè)區(qū)域：l 出口路由區(qū)l 核心交換區(qū)l 接入網(wǎng)絡(luò)區(qū)l 增值業(yè)務(wù)區(qū)出口路由區(qū)出口路由區(qū)的主要功能是作為IDC機(jī)房的出口，與國(guó)干網(wǎng)和城域網(wǎng)互聯(lián)，完成外部網(wǎng)絡(luò)和IDC內(nèi)網(wǎng)的三層互通，通常由兩臺(tái)CR路由器組成。對(duì)于某些大型省份，在一個(gè)城市建設(shè)有多個(gè)IDC機(jī)房，若每個(gè)IDC機(jī)房都之間與國(guó)干網(wǎng)和城域網(wǎng)互聯(lián)，則會(huì)比較浪費(fèi)國(guó)干網(wǎng)和城域網(wǎng)設(shè)備的端口資源和線路資源，因此通常會(huì)再建設(shè)一個(gè)IDC路由骨干層網(wǎng)絡(luò)。骨干層中的兩臺(tái)CR路由器直接與國(guó)干網(wǎng)和城域網(wǎng)互聯(lián)，各機(jī)房IDC出口CR路由器則與骨干層出口路由器互聯(lián)。核心交換區(qū)核心交換區(qū)配置IDC

6、內(nèi)網(wǎng)核心交換機(jī)，作為接入層與出口路由區(qū)的互聯(lián)設(shè)備，起到匯聚流量的作用，同時(shí)IDC內(nèi)部流量互通也可以通過(guò)核心交換機(jī)完成。在云計(jì)算業(yè)務(wù)興起后，為擴(kuò)大二層網(wǎng)絡(luò)規(guī)模，同時(shí)提高內(nèi)網(wǎng)效率，網(wǎng)絡(luò)交換網(wǎng)絡(luò)大都采用核心層加接入層的扁平化組網(wǎng)，不再設(shè)置匯聚層。為了實(shí)現(xiàn)高密接入，核心交換機(jī)通常采用數(shù)據(jù)中心級(jí)設(shè)備，具有高吞吐、大緩存等特點(diǎn)，同時(shí)通過(guò)IRF2網(wǎng)絡(luò)虛擬化技術(shù)，將多臺(tái)核心交換機(jī)虛擬成一臺(tái)，既提高接入密度，又方便管理。接入網(wǎng)絡(luò)區(qū)接入網(wǎng)絡(luò)區(qū)下聯(lián)物理服務(wù)器，上聯(lián)核心交換機(jī)，主要部署千兆或萬(wàn)兆交換機(jī)。由于物理服務(wù)器數(shù)量多，且每臺(tái)物理服務(wù)器均有多個(gè)端口，這就要求接入層交換機(jī)需要實(shí)現(xiàn)高密接入。當(dāng)前，在IDC網(wǎng)絡(luò)中，接入

7、交換機(jī)通常以TOR方式在每個(gè)機(jī)柜部署兩臺(tái)，實(shí)現(xiàn)本機(jī)柜的服務(wù)器接入。接入交換機(jī)通常采用千兆下行（連接服務(wù)器），萬(wàn)兆上行（連接核心交換機(jī)）的連接方式，并通過(guò)IRF2技術(shù)進(jìn)行虛擬化部署。增值業(yè)務(wù)區(qū)增值業(yè)務(wù)區(qū)部署與增值業(yè)務(wù)相關(guān)的設(shè)備，包括防火墻、IPS、負(fù)載均衡等設(shè)備。這些設(shè)備通常以旁掛核心交換機(jī)的方式進(jìn)行設(shè)計(jì)，根據(jù)業(yè)務(wù)需求，在核心交換機(jī)上將流量引到增值業(yè)務(wù)區(qū)處理。對(duì)于云主機(jī)等業(yè)務(wù)，由于規(guī)劃使用私網(wǎng)IP網(wǎng)段，因此必須使用防火墻實(shí)現(xiàn)NAT轉(zhuǎn)換，該防火墻設(shè)備通常也以旁掛方式部署在核心交換機(jī)上。三、 IDC網(wǎng)絡(luò)的邏輯拓?fù)涓鶕?jù)IDC網(wǎng)絡(luò)的分層設(shè)計(jì)思路，設(shè)計(jì)IDC網(wǎng)絡(luò)邏輯拓?fù)淙缦拢簂 服務(wù)器的接入網(wǎng)關(guān)通常部署在

8、核心交換機(jī)上l 核心交換機(jī)與增值業(yè)務(wù)的FW等設(shè)備進(jìn)行三層互連l 核心交換機(jī)與出口CR路由器三層互連l CR路由器與外部網(wǎng)絡(luò)三層互連對(duì)于傳統(tǒng)IDC業(yè)務(wù)的VIP區(qū)域租戶而言，租戶租用了IDC機(jī)房的一片區(qū)域，在該區(qū)域內(nèi)租戶部署了自己的局域網(wǎng)。此時(shí)租戶網(wǎng)絡(luò)直連核心交換機(jī)，核心交換機(jī)實(shí)現(xiàn)與租戶網(wǎng)絡(luò)三層互連，如下圖所示。四、 IDC網(wǎng)絡(luò)接入?yún)^(qū)域設(shè)計(jì)接入?yún)^(qū)域?qū)崿F(xiàn)上連核心交換機(jī)，下連物理服務(wù)器的功能，從組網(wǎng)形式上，接入層和核心交換機(jī)之間互連有很多種實(shí)現(xiàn)方式，推薦使用以下兩種方式。l 虛擬化聚合互聯(lián)如下圖所示，核心交換機(jī)和接入層交換機(jī)都通過(guò)IRF2技術(shù)實(shí)現(xiàn)多虛一部署，通過(guò)跨設(shè)備鏈路聚合方式，實(shí)現(xiàn)接入層和核心交換機(jī)互連。這種方式的好處是不需要設(shè)計(jì)STP等復(fù)雜的二層