韓丹

摘 要 隨著各家銀行的數(shù)據(jù)中心集中了大量的應(yīng)用和系統(tǒng)，業(yè)務(wù)需求的迅猛增長使得應(yīng)用的推出和升級(jí)速度不斷加快，數(shù)據(jù)中心不斷面臨著規(guī)模擴(kuò)張要求，并要求獲得更多的硬件、網(wǎng)絡(luò)和人力等資源。為了解決在業(yè)務(wù)運(yùn)行中遇到的問題：硬件資源利用率低、數(shù)據(jù)安全性缺乏保障、業(yè)務(wù)連續(xù)性、人員不夠等問題，對(duì)銀行金融信息中心對(duì)虛擬化技術(shù)在銀行信息化建設(shè)中的應(yīng)用進(jìn)行研究。

關(guān)鍵詞 銀行網(wǎng)絡(luò) 虛擬化技術(shù) 規(guī)劃

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

0引言

網(wǎng)絡(luò)虛擬化的作用主要是通過邏輯手段整合或共享物理設(shè)備、線路資源來提高資源利用率，從而更有效地利用網(wǎng)絡(luò)資源，實(shí)現(xiàn)對(duì)資源的快速部署以滿足業(yè)務(wù)的發(fā)展需要。網(wǎng)絡(luò)虛擬化主要包括網(wǎng)絡(luò)設(shè)備的虛擬化和數(shù)據(jù)路徑的虛擬化兩方面。

網(wǎng)絡(luò)設(shè)備的虛擬化技術(shù)主要有二層的VLAN、三層的VRF和思科Nexus7000交換機(jī)的VDC（Virtual Device Context）技術(shù)等。VLAN技術(shù)可將交換機(jī)的接口分成不同的邏輯組，每個(gè)邏輯組構(gòu)成一個(gè)二層廣播域，一個(gè)VLAN內(nèi)的設(shè)備在二層上可以互相通信，而VLAN之間的設(shè)備在二層上不能互相訪問。VRF技術(shù)可在1臺(tái)設(shè)備中設(shè)置多個(gè)路由表和轉(zhuǎn)發(fā)表，各自運(yùn)行相應(yīng)的路由協(xié)議。

Nexus7000運(yùn)行NX-OS操作系統(tǒng)，支持設(shè)備級(jí)虛擬化VDC技術(shù)，使用該技術(shù)可以將一臺(tái)Nexus7000交換機(jī)在邏輯上模擬成多臺(tái)虛擬交換機(jī)，VDC作為一個(gè)單獨(dú)的邏輯實(shí)體在交換機(jī)中運(yùn)行。VDC的特點(diǎn)如下：（1）數(shù)據(jù)平面隔離：每個(gè)物理接口同時(shí)只能被分配到一個(gè)VDC。（2）控制平面隔離：每個(gè)VDC都有自已的二層/三層的協(xié)議進(jìn)程。（3）管理平面隔離：每個(gè)VDC可以看成單獨(dú)的設(shè)備，能獨(dú)立地進(jìn)行管理。（4）每個(gè)VDC是獨(dú)立的故障隔離域，防止某個(gè)虛擬設(shè)備VDC上的問題影響運(yùn)行于同一個(gè)物理設(shè)備上的其他虛擬設(shè)備VDC。（5）每個(gè)VDC都有自己的配置文件，能獨(dú)自進(jìn)行維護(hù)。

數(shù)據(jù)路徑的虛擬化技術(shù)實(shí)現(xiàn)的是將一條物理鏈路劃分成多條邏輯鏈路，以達(dá)到鏈路復(fù)用和安全隔離的作用。如Vlan trunk技術(shù)，Vlan trunk是通過對(duì)以太幀插入VLAN標(biāo)識(shí)的方法來確保在網(wǎng)絡(luò)接口上二層地址空間的隔離，以實(shí)現(xiàn)在一條trunk鏈路上可以傳輸多個(gè)VLAN的數(shù)據(jù)。

以上幾種虛擬化技術(shù)是本次數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃中需要采用的，其中Nexus7000 VDC是新技術(shù)，本章重點(diǎn)對(duì)VDC的技術(shù)實(shí)現(xiàn)及在數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)中的部署做詳細(xì)闡述。

1VDC規(guī)劃和使用原則

數(shù)據(jù)中心局域網(wǎng)結(jié)構(gòu)是以高可用的交換核心為中心來互聯(lián)各個(gè)功能區(qū)域，各功能區(qū)域之間進(jìn)行安全隔離，功能區(qū)域內(nèi)的網(wǎng)絡(luò)結(jié)構(gòu)采用標(biāo)準(zhǔn)的層次化設(shè)計(jì)，要求區(qū)域網(wǎng)絡(luò)可靈活擴(kuò)展，同時(shí)降低綜合布線等日常變更操作的復(fù)雜程度，VDC虛擬化技術(shù)可以在一定程度上滿足這些需求。VDC的規(guī)劃原則如下：（1）在功能區(qū)域的區(qū)域核心交換機(jī)上采用VDC技術(shù)，交換核心不進(jìn)行VDC的劃分。（2）VDC之間進(jìn)行一定的安全隔離。（3）VDC進(jìn)行必要冗余設(shè)計(jì)并應(yīng)用相應(yīng)的高可用策略。

1.1VDC拓?fù)浣Y(jié)構(gòu)

數(shù)據(jù)中心標(biāo)準(zhǔn)服務(wù)器區(qū)、外聯(lián)區(qū)、FOVA區(qū)均使用了VDC虛擬化技術(shù)。VDC拓?fù)湟?guī)劃如下：（1）標(biāo)準(zhǔn)服務(wù)器區(qū)、外聯(lián)區(qū)每臺(tái)Nexus7010交換機(jī)創(chuàng)建2個(gè)VDC，其中1個(gè)VDC作為區(qū)域核心-VDC-2上聯(lián)4臺(tái)交換核心Nexus7018，另1個(gè)作為區(qū)域核心-VDC-3下聯(lián)接入層交換機(jī)Nexus5020，缺省VDC用于網(wǎng)絡(luò)管理。（2）FOVA區(qū)域每臺(tái)Nexus7010交換機(jī)創(chuàng)建3個(gè)VDC，包括缺省VDC在內(nèi)，4個(gè)VDC都需要使用。缺省VDC作為區(qū)域核心-VDC-1上聯(lián)四臺(tái)交換核心Nexus7018，下聯(lián)其它三個(gè)新建VDC，這三個(gè)新建VDC分別作為區(qū)域核心-VDC-2、區(qū)域核心-VDC-3和區(qū)域核心-VDC-4分屬于三個(gè)不同的FOVA區(qū)，它們分別下聯(lián)不同F(xiàn)OVA區(qū)域的接入層交換機(jī)。（3）各功能區(qū)域的不同區(qū)域核心-VDC之間采用防火墻技術(shù)進(jìn)行安全隔離。

1.2VDC劃分

Nexus7000交換機(jī)總是存在一個(gè)缺省的VDC，第一次登錄到Nexus7000交換機(jī)上，首先就進(jìn)入到缺省的VDC。缺省VDC的作用是創(chuàng)建和刪除其它VDC、給其它VDC分配資源、維護(hù)系統(tǒng)等，缺省VDC不能被刪除。目前NX-OS包括缺省VDC在內(nèi)最多可以支持4個(gè)VDC，即可以手工創(chuàng)建3個(gè)VDC。除非特別需要外，缺省VDC只用于管理，不用于實(shí)際生產(chǎn)。數(shù)據(jù)中心局域網(wǎng)結(jié)構(gòu)設(shè)計(jì)中，VDC的劃分如下：（1）FOVA區(qū)域每臺(tái)Nexus7010交換機(jī)新建3個(gè)VDC，其它區(qū)域每臺(tái)Nexus7010交換機(jī)新建2個(gè)VDC。（2）除FOVA區(qū)域外，其它功能區(qū)域的缺省VDC只用于系統(tǒng)管理和對(duì)其它VDC的管理。（3）在FOVA區(qū)域中，包括缺省VDC在內(nèi)的所有4個(gè)VDC用于實(shí)際生產(chǎn)。

1.3VDC資源

Nexus7000上可以對(duì)VDC分配的資源有兩種：物理資源和邏輯資源，并且要求以network-admin的用戶角色和權(quán)限來分配資源：

（1）物理資源分配。

Nexus7000上能對(duì)VDC分配的物理資源是接口，數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)中將使用的接口模塊是N7K-M132XP-12（32接口萬兆以太接口模塊）和N7K-M148GS-11（48接口千兆以太接口模塊），兩種模塊對(duì)VDC的接口資源的分配規(guī)則如下：

32接口萬兆以太網(wǎng)接口模塊必須四個(gè)接口一組分配到一個(gè)VDC。48接口千兆以太網(wǎng)接口模塊以一個(gè)接口或多個(gè)接口為單位進(jìn)行分配。

（2）邏輯資源分配。

Nexus7000上能對(duì)VDC分配的邏輯資源是VLANs、VRFs、Port-Channels、SPAN Sessions、IPv4 RIB和IPv6 RIB。對(duì)于一個(gè)VDC來說，系統(tǒng)缺省為它預(yù)留了每種邏輯資源可分配的最少量，即可以保證分配到的邏輯資源。

2VDC用戶角色

NX-OS缺省有四種用戶角色：network-admin、network-operator、vdc-admin、vdc-operator，每種用戶角色擁有不同的權(quán)限。network-admin具有最高的權(quán)限，可以管理包括缺省VDC在內(nèi)的所有VDC，對(duì)所有VDC具有讀寫權(quán)限，是設(shè)備管理員的角色。我行設(shè)備管理規(guī)劃采用network-admin用戶，配合ACS實(shí)現(xiàn)讀寫、只讀兩類用戶的授權(quán)。

2.1VDC帶外管理

NX-OS提供虛擬化的以太管理接口（mgmt0）以便可以通過帶外網(wǎng)管的方式來管理VDC。Nexus7018、Nexus7010和nexus5020采用這個(gè)以太管理接口進(jìn)行帶外管理。

另外，Nexus7018和Nexus7010也提供獨(dú)立的CMP（Connectivity Management Processor）處理器，CMP以太口能夠支持telnet/SSH功能，Nexus7018和Nexus7010采用CMP接口作為帶外網(wǎng)管的輔助和備份手段對(duì)設(shè)備進(jìn)行遠(yuǎn)程管理。

2.2VDC高可用策略

VDC的高可用策略（HA-policy）是指當(dāng)一個(gè)VDC出現(xiàn)問題時(shí)，NX-OS在高可用方面的處理方式。VDC的高可用策略規(guī)則如下：（1）Bringdown策略：當(dāng)某一個(gè)VDC出現(xiàn)問題時(shí)，掛起這個(gè)VDC，需要對(duì)物理設(shè)備重新引導(dǎo)才能進(jìn)行恢復(fù)。（2）Restart策略：當(dāng)某一個(gè)VDC出現(xiàn)問題時(shí)，刪除這個(gè)VDC，并用Startup配置文件重新創(chuàng)建VDC。（3）Switchover策略：在雙引擎的條件下，當(dāng)某一個(gè)VDC出現(xiàn)問題時(shí)，引擎會(huì)進(jìn)行切換。（4）reload策略：在單引擎的條件下，重新啟動(dòng)物理設(shè)備，并用Startup配置文件重新創(chuàng)建VDC。（5）VDC的缺省高可用策略：1）在雙引擎的條件下采用Switchover模式。2）在單引擎的條件下，采用Restart模式。3）缺省VDC的高可用策略不能改變。

數(shù)據(jù)中心局域網(wǎng)結(jié)構(gòu)規(guī)劃中，相關(guān)服務(wù)器區(qū)域的VDC都是冗余設(shè)計(jì)并且Nexus7018和Nexus7010都是雙引擎配置，VDC的高可用策略規(guī)劃如下：

缺省VDC的高可用策略不能改變，因此采用缺省高可用策略Switchover，即當(dāng)缺省VDC出現(xiàn)故障時(shí)，引擎進(jìn)行切換。其它VDC采用Restart模式，即當(dāng)任何一臺(tái)VDC出現(xiàn)故障時(shí)，刪除這個(gè)VDC，并用Startup配置文件重新創(chuàng)建VDC，這樣可以盡量不影響其它VDC的正常工作。