（中國移動通信集團設計院有限公司安徽分公司，合肥 230041）

IT支撐云資源池網絡路由規(guī)劃

王猛

（中國移動通信集團設計院有限公司安徽分公司，合肥 230041）

隨著云計算應用范圍的不斷擴大，某運營商省級IT支撐云平臺已經開始進行跨BSS、OSS、MSS三大IT支撐系統(tǒng)的統(tǒng)一云資源池的建設。由于BSS、OSS、MSS等不同的IT系統(tǒng)，其對網絡安全的要求不盡相同，當部署在統(tǒng)一云資源池中時， 其網絡隔離和路由規(guī)劃非常復雜。本文將針對典型的省級IT支撐云資源池，給出網絡路由規(guī)劃方案建議。

云計算；IT支撐系統(tǒng)；路由規(guī)劃

隨著云計算應用范圍的不斷擴大，某運營商省級IT支撐云平臺已經開始進行跨業(yè)務支撐系統(tǒng)（BSS）、網管支撐系統(tǒng)（OSS）、管理支撐系統(tǒng)（MSS）三大IT支撐系統(tǒng)的統(tǒng)一云資源池的建設。由于BSS、OSS、MSS等不同的IT系統(tǒng)，其對網絡安全的要求不盡相同，當部署在統(tǒng)一云資源池中，其網絡隔離和路由規(guī)劃非常復雜。本文將針對典型的省級IT支撐云資源池，給出網絡路由規(guī)劃方案建議。

隨著云計算應用的逐步推進，按照某集團公司私有云建設的要求，省級私有云將集中建設涵蓋三大IT支撐系統(tǒng)的支撐云資源池。而業(yè)務支撐系統(tǒng)、網管支撐系統(tǒng)、管理信息系統(tǒng)等三大支撐系統(tǒng)對網絡安全的要求不盡相同，在資源池的網絡路由規(guī)劃中需要考慮不同系統(tǒng)的隔離要求。

本文將對典型省級IT支撐云資源池，在滿足不同系統(tǒng)隔離和訪問要求的前提下，提供網絡路由規(guī)劃方案。

1 IT支撐云資源池總體路由規(guī)劃

典型省級IT支撐云資源池中，一般承載包括BSS、OSS、MSS在內的各類平臺，以及云管理平臺和測試平臺。網絡結構采用大二層方式組網，在物理架構和邏輯架構上已經具備良好的擴展性，資源池中各類主機和存儲設備硬件通過匯聚交換機匯聚后接入核心交換機設備，核心交換機掛接具有虛擬化功能的防火墻，并通過一對互聯(lián)路由器實現(xiàn)與原有的支撐系統(tǒng)DCN網絡的互聯(lián)。省級IT支撐云資源池的典型網絡結構如圖1所示。

根據(jù)業(yè)務和功能的不同，將整個網絡分為6個部分：MSS、OSS、BSS、綜合-1、綜合-2、互聯(lián)網接入，各部分統(tǒng)一分配連續(xù)的IP地址段，在不同的網絡中根據(jù)不同的業(yè)務劃分虛擬局域網（VLAN），各VLAN中的地址根據(jù)預期業(yè)務增量預留足夠的IP地址。原則上各域之間不互通，域與域之間的通信必須是點對點通信；域內各主機之間的通信默認設置為限制訪問。在防火墻上開啟多個虛擬防火墻，把各域虛擬機的網關指到防火墻上，控制各域之間的相互訪問。

圖1 典型IT支撐云資源池網絡結構圖

按照大二層組網思路，資源池中業(yè)務系統(tǒng)之間通過VLAN實現(xiàn)二層隔離，業(yè)務網關終結在核心交換機。采用此種方式，既可以實現(xiàn)本資源池內的統(tǒng)一調度，還可以滿足今后跨機房進行資源池的組網和調度。

互聯(lián)路由器與其外連設備采用動態(tài)路由邊界網關協(xié)議（BGP，Border Gateway Protocol)和開放式最短路徑優(yōu)先路由協(xié)議（OSPF，Open Shortest Path First）學習路由，同時劃分多個VPN實例來實現(xiàn)不同網絡的路由隔離?；ヂ?lián)路由器與核心交換機之間起OSPF多實例，學習各個VPN實例中的詳細路由。防火墻上起OSPF多進程學習核心交換機上各個VPN實例中的明細路由，同時各個OSPF進程不允許相互引入路由。

2 IT支撐云資源池的路由方案設計

根據(jù)資源池中承載的業(yè)務類型，主要有以下5種訪問需求，下面分別對每種訪問需求，制定路由方案。

2.1 BSS、OSS、MSS各區(qū)域訪問外部對應區(qū)域的路由規(guī)劃(如圖2所示)

需求說明：各自區(qū)域能訪問外部的自己區(qū)域，但相互之間完全隔離，不能互訪。路由方案：針對這些業(yè)務，根據(jù)不同的業(yè)務分為出外網、OSS、BSS、MSS、綜合-1、綜合-2，使用虛擬路由轉發(fā)表（VRF，Virtual Routing Forwarding）區(qū)分各自區(qū)域，區(qū)域內使用VLAN區(qū)分具體業(yè)務，保證區(qū)域和業(yè)務之間相互獨立，且區(qū)域之間不能互訪。各自區(qū)域的VRF內部運行相對應的OSPF進程1、2、3、4、5，使其區(qū)域內部與外部路由互相學習，當內部需要跟外部互訪時，直接通過核心交換和路由器訪問。

2.2 BSS/OSS/MSS各區(qū)域之間互訪的路由規(guī)劃(如圖3所示)

業(yè)務區(qū)域互訪需求：各自區(qū)域內部不能互訪，但有些業(yè)務需要訪問其它區(qū)域（如OSS內某個業(yè)務訪問BSS內的某個業(yè)務）。

路由方案：通過上一個最基本路由方案，可以實現(xiàn)OSS內某個業(yè)務訪問外部區(qū)域。業(yè)務區(qū)域互訪時，只需要互聯(lián)路由器的OSS VRF實例在學習路由時，把外部OSS發(fā)布的默認路由也學習過來，使內部OSS訪問BSS時，路由指向外部OSS。最后數(shù)據(jù)到達外部OSS，通過外部OSS的第三方出口防火墻繞行到BSS，從而實現(xiàn)跨區(qū)域互訪。

圖2 路由規(guī)劃示意圖：BSS/OSS/MSS各區(qū)域訪問外部對應區(qū)域

圖3 路由規(guī)劃示意圖：BSS/OSS/MSS各區(qū)域之間互訪

路由說明：一個區(qū)域訪問另一個區(qū)域，也可以使用本地防火墻實現(xiàn)，但設備配置復雜，管理難度大。如有此種需求也可以實現(xiàn)，如OSS訪問BSS，只要OSSVRF內部用靜態(tài)路由指向防火墻FW-3，從OSPF進程1跳轉到OSPF進程2，然后回流到交換機的BSSVRF中，即可以實現(xiàn)OSS訪問BSS。

該需求會導致區(qū)域內所有業(yè)務都能訪問互聯(lián)網，內部OSS因為有默認路由才能通過第三方出口訪問BSS，需要第三方出口防火墻做跳轉的訪問規(guī)則，禁止通過這種方式訪問互聯(lián)網等未知區(qū)域。

2.3 BSS/OSS/MSS與綜合-1不經防火墻互訪的路由規(guī)劃(如圖4所示)

業(yè)務區(qū)域訪問綜合-1需求：云平臺中部分測試業(yè)務需要跟某個業(yè)務區(qū)域互通，且安全性較高，不需要經過本地防火墻。如本地網管對服務器、虛擬機以及網絡設備進行管理等。

路由方案：為使OSS、BSS、MSS能訪問綜合-1，需把OSS、BSS、MSS的VRF中所有路由引入到綜合-1的VRF中(過濾掉默認路由等影響訪問控制和安全的路由)；而OSS、BSS、MSS要互相隔離不能學到其它區(qū)域的路由，所以在OSS、BSS、MSS的VRF中只引入綜合-1的VRF里的直連路由。這樣OSS、BSS、MSS都有去綜合-1的路由，但OSS、BSS、MSS之間仍保持隔離，同時綜合-1也有去往這3個區(qū)域的路由。

2.4 BSS、OSS、MSS與綜合-2經過防火墻互訪的路由規(guī)劃（如圖5所示）

業(yè)務區(qū)域訪問綜合-2需求：云平臺中部分測試業(yè)務需要跟某個業(yè)務區(qū)域互通，且安全性較低，需要經過防火墻。

路由方案：為了使OSS、BSS、MSS能正常訪問到綜合-2，需要在OSS、BSS、MSS的VRF中使用靜態(tài)路由，把去往綜合-2的地址段全部指向FW3和FW4的虛擬網關（使用VRRP），在綜合-2的VRF中使用默認路由也指向FW3和FW4的虛擬網關（使用VRRP），防火墻通過對應OSPF進程進行跳轉，達到互訪。

路由說明：防火墻FW-3和FW-4通過OSPF進程1、2、3、4擁有OSS、BSS、MSS、綜合-2的所有路由，但考慮到訪問控制和安全問題，防火墻中需要過濾掉學習過來的默認路由以及不需要訪問的地址段的路由。

2.5 各區(qū)域經防火墻訪問外部互聯(lián)網的路由規(guī)劃(如圖6所示)

部分業(yè)務訪問互聯(lián)網需求：云平臺中部分業(yè)務需要訪問外網，這些業(yè)務需要跟其它區(qū)域隔離出來，并需要經過防火墻訪問外網。

圖4 路由規(guī)劃示意圖：BSS/OSS/MSS與綜合-1不經防火墻互訪

圖5 路由規(guī)劃示意圖：BSS/OSS/MSS與綜合-2經過防火墻互訪

圖6 路由規(guī)劃示意圖：各區(qū)域經防火墻訪問外部互聯(lián)網

路由方案：為了使出外網的業(yè)務正常訪問互聯(lián)網，同時又跟其它區(qū)域區(qū)分開，用一個VRF實例進行隔離，然后默認路由指向FW1和FW2的虛擬網關（使用VRRP），防火墻再用默認路由指向互聯(lián)路由器上的互聯(lián)網出口。

路由說明：出外網的VRF和防火墻之間使用一個VRF實例互聯(lián)，同時OSPF進程5互相學習路由，防火墻跳轉到互聯(lián)路由器時使用公共區(qū)域互聯(lián)。公共區(qū)域和出外網的VRF之間不互相引入路由，在公共區(qū)域使用靜態(tài)路由把去往出外網的VRF里的網段指向防火墻，以保持來回路徑一致。

3 結語

隨著云計算資源池的規(guī)模不斷擴大，以及云資源池的跨局址部署，云平臺的組網和路由規(guī)劃將會更加復雜，其網絡結構和路由規(guī)劃的合理性將會直接影響到云平臺的資源調度和管理的可行性和易用性。

云平臺的組網和路由規(guī)劃，需要在今后的應用實踐中不斷總結和完善，為云平臺的大規(guī)模組網和應用積累經驗。

Routing planning of IT support cloud resource pool network

WANG Meng
(China Mobile Group Design Institute Co., Ltd. Anhui Branch, Hefei 230041, China)

With the expansion of the application of cloud computing, some operator provincial IT support system has begun construction of cloud resource pool across BSS, OSS, MSS system. Because of the requirement of network security for IT system are not the same,when deployed in unif ed cloud resource pool, the network isolation and route planning is very complex. This paper will give a typical provincial IT support cloud resource pool network routing planning proposal.

cloud computing; IT support system; route planning

TN915

A

1008-5599（2014）08-0017-04

2014-06-16