盧 泉，林 同/Lu Quan，Lin Tong

（中國電信股份有限公司廣州研究院 廣州510630）

1 引言

云計算是目前最熱門的互聯(lián)網(wǎng)技術(shù)之一。從概念上看，最基本的云計算就是把應(yīng)用資源（程序或基礎(chǔ)設(shè)施）從本地搬到網(wǎng)絡(luò)上，由高性能服務(wù)器集群集中進行計算處理，用戶只需要通過網(wǎng)絡(luò)（一般是Web）訪問相應(yīng)資源，就可得到需要的結(jié)果輸出。這里說的網(wǎng)絡(luò)，可以是公有的互聯(lián)網(wǎng)，也可以是私有的局域網(wǎng)?？傮w來說，現(xiàn)在流行的云計算服務(wù)分為3 類，分別是SaaS（Software as a Service，軟件即服務(wù)）、PaaS（Platform as a Service，平臺即服務(wù)）和IaaS（Infrastructure as a Service，基礎(chǔ)設(shè)施即服務(wù)），也就是美國國家標(biāo)準(zhǔn)與技術(shù)研究院定義的SPI。從全球來看，雖然國外云計算的發(fā)展比國內(nèi)領(lǐng)先，但由于國內(nèi)中小型企業(yè)對云計算資源的需求相當(dāng)強勁，知名企業(yè)和政府機構(gòu)合作的云計算中心在火速建設(shè)中，與國際應(yīng)用的距離正在不斷縮小。

由于云計算是由集中式高性能服務(wù)器處理的，處理速度比在用戶本地快，用戶感知結(jié)果的主要瓶頸是云服務(wù)器訪問的網(wǎng)絡(luò)速度，用戶與服務(wù)器之間的網(wǎng)絡(luò)訪問速度越快，用戶體驗就越好。因此，提高網(wǎng)絡(luò)訪問速度成為云計算發(fā)展中需要解決的重要問題之一。

2 云資源訪問現(xiàn)狀

企業(yè)訪問的云資源服務(wù)一般分為兩類：一類是互聯(lián)網(wǎng)上的公有云資源服務(wù)，如亞馬遜的EC2（Elastic Compute Cloud，彈性計算云）和S3（Simple Storage Service，簡單存儲服務(wù)），由于是第三方提供的企業(yè)級應(yīng)用，一般來說是按租期收費的；另一類是局域網(wǎng)的私有云資源服務(wù)，通常由企業(yè)自己建設(shè)和維護，由于投資建設(shè)成本和維護成本比較高，一般的中小型企業(yè)，特別是小型互聯(lián)網(wǎng)企業(yè)在多數(shù)情況下不會采用?？傮w來說，大型企業(yè)通常會混合使用公有云資源和私有云資源，中小型企業(yè)一般只使用公有云資源。由于企業(yè)對公有云的需求巨大，對運營商來說，通過骨干網(wǎng)優(yōu)勢實現(xiàn)企業(yè)對公有云資源的高速訪問具有重大意義。

現(xiàn)階段在大多數(shù)情況下，企業(yè)客戶主要通過互聯(lián)網(wǎng)訪問公有云資源。由于互聯(lián)網(wǎng)盡力而為的設(shè)計理念，企業(yè)數(shù)據(jù)與個人上網(wǎng)流量混合承載，在承載網(wǎng)擁塞的情況下，企業(yè)客戶對云資源的訪問質(zhì)量將嚴(yán)重劣化。特別地，如果企業(yè)要訪問的云服務(wù)器處在地理位置相隔較遠的不同區(qū)域，由于互聯(lián)網(wǎng)骨干的原因，傳輸距離越長，體驗會越差。

目前，大型電信運營商的三層VPN 已實現(xiàn)全球覆蓋。由于VPN 與互聯(lián)網(wǎng)承載網(wǎng)絡(luò)相對隔離，在VPN 內(nèi)的流量相當(dāng)于內(nèi)網(wǎng)流量，其訪問速度將大大提高。因此，可采用基于三層VPN的方案在網(wǎng)絡(luò)層提高企業(yè)客戶對公有云資源的訪問質(zhì)量和體驗。

3 云服務(wù)訪問加速方案說明

通過三層VPN實現(xiàn)對云資源服務(wù)訪問的加速，需要解決兩個關(guān)鍵問題：一是VPN 路由與互聯(lián)網(wǎng)路由的互聯(lián)互通； 二是VPN 流量與互聯(lián)網(wǎng)流量的隔離，以保障企業(yè)數(shù)據(jù)的安全性。

在此提出兩個云服務(wù)訪問加速方案：一是互聯(lián)網(wǎng)路由器對接VPN 方案，二是公有云私有化方案。

3.1 互聯(lián)網(wǎng)路由器對接VPN 方案

互聯(lián)網(wǎng)路由器對接VPN 方案（以下簡稱“互聯(lián)網(wǎng)對接方案”）是通過PE（VPN 邊緣設(shè)備）與SR（互聯(lián)網(wǎng)接入設(shè)備）互聯(lián)來實現(xiàn)VPN 客戶訪問公有云。

企業(yè)客戶流量必須經(jīng)過一臺放在PE 與SR 之間的防火墻。這樣，防火墻起到兩個作用：一是能按每個VPN 客戶的不同需求解決安全性問題；二是通過NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）把VPN 客戶的私網(wǎng)源地址轉(zhuǎn)換為SR的公網(wǎng)地址，并在互聯(lián)網(wǎng)上傳遞。另外，由于PE 上有很多邏輯上隔離VPN的客戶存在，為了實現(xiàn)端到端的隔離，防火墻上也需要通過類似VR（Virtual Router）或VRF（Virtual Routing Forwarding，虛擬路由轉(zhuǎn)發(fā)）技術(shù)把不同客戶流量隔離開，使不同客戶之間不能互相訪問，并針對每個VR/VRF 自定義不同的出口策略。按照這樣的思路，可在網(wǎng)絡(luò)覆蓋范圍內(nèi)選取適當(dāng)?shù)膹?fù)數(shù)個節(jié)點進行相應(yīng)改造。由于某些國家或地區(qū)的互聯(lián)網(wǎng)流量受所在國特殊法律法規(guī)的監(jiān)督（以下簡稱“特殊區(qū)域”），所以在每個方案中都要特殊處理。

互聯(lián)網(wǎng)對接方案可以根據(jù)客戶需求分為兩個子方案： 子方案1 滿足客戶CE 只訪問離CE 最近的防火墻站點所連接的公有云服務(wù)器；子方案2 滿足客戶CE 訪問公有云服務(wù)器的防火墻站點是可以任意指定的。

（1）子方案1

子方案1 是基于BGP 來實現(xiàn)的，如圖1所示，方案要點如下。

①對于SR B 與防火墻，兩者通過一個物理鏈路相連。對于使用IPv4 互聯(lián)的企業(yè)客戶，在防火墻中分配一個全局的虛擬子接口給所有來自VPN的IPv4 流量共用。這里需要防火墻支持從不同客戶的VR/VRF 到全局VR的源NAT；對于使用IPv6 互聯(lián)的企業(yè)客戶，要為每個客戶VPN 分配一個基于VR/VRF的封裝802.1q的邏輯子接口，并通過IPv6 地址與SR 互聯(lián)。SR 只在全局下分配相應(yīng)封裝802.1q的子接口通過IPv4/IPv6 與防火墻互聯(lián)。FW的每個邏輯子接口通過靜態(tài)IPv4/IPv6 默認路由指向SR B。

②對于FW 與PE B，F(xiàn)W 與PE B 基于Option A（RFC4364中定義）標(biāo)準(zhǔn)建立BGP 連接。然后，F(xiàn)W往PE B 按每個VRF/VR 通過BGP 下發(fā)默認路由。由于三層VPN 業(yè)務(wù)是基于全球的，所以防火墻系統(tǒng)肯定是多節(jié)點部署的。為了讓客戶CE 收到最接近自己的防火墻發(fā)布的默認路由，必須在一定范圍內(nèi)適當(dāng)部署路由反射器。

圖1 互聯(lián)網(wǎng)路由器對接VPN 子方案1

③對于靠近CE的PE 和CE，一般來說，靠近CE的PE 不需要做額外配置；對特殊區(qū)域的CE，靠近CE的PE 需要進行特殊配置，做法有多種，這里只列舉一種，例如把非特殊區(qū)域的防火墻站點劃分歸于BGP AS#65535，特殊區(qū)域的防火墻站點與CE同一個AS 號。在特殊區(qū)域的PE VRF中配置Route-Map，過濾來自BGP AS#65535的默認路由，只接受特殊區(qū)域發(fā)布的默認路由。CE 如果使用BGP與PE 互聯(lián)，則無需額外配置；如果使用靜態(tài)路由互聯(lián)，則需要增加一條靜態(tài)默認路由指向PE。

（2）子方案2

子方案2的特點在于可人工指定互聯(lián)網(wǎng)出口的防火墻站點，具體部署如圖2所示，方案要點如下。

①實現(xiàn)原理： 從CE 向防火墻站點的流量走的路由為全程靜態(tài)路由，從防火墻向CE 返回的流量走的路由是BGP 發(fā)布的明細VPN 網(wǎng)段路由。

②對于SR B 與防火墻，配置同子方案1。

③對于防火墻和PE B，兩者基于Option A 建立BGP 鄰居關(guān)系后，PE B 還需在每個VRF中配置IPv4/IPv6 靜態(tài)默認路由指向FW。

④對于靠近CE的PE 與CE，PE 要按VRF 配置一條靜態(tài)默認路由指向需求的互聯(lián)網(wǎng)出口防火墻站點；CE的配置同子方案1。對于特殊區(qū)域的CE，PE的靜態(tài)路由只能指向特殊區(qū)域內(nèi)部署的防火墻。

3.2 公有云私有化方案

圖2 互聯(lián)網(wǎng)路由器對接VPN 子方案2

考慮到三層VPN的封閉性及安全性，直接把公有云服務(wù)供應(yīng)商在不同地區(qū)部署的服務(wù)器集群分別連接到VPN中，即公有云私有化，這也是一種縮短訪問時延的優(yōu)選方案。運營商只需解決管道搭建問題和安全性問題就能實現(xiàn)公有云接入業(yè)務(wù)。管道問題的解決是通過在全球范圍選取節(jié)點PE 搭建通道，連接云服務(wù)商，云服務(wù)器需針對每個VPN 為云服務(wù)器分配接入VPN的私網(wǎng)地址；安全性問題的解決還是通過防火墻來實現(xiàn)。由此衍生出兩種方案，本文只列舉每種方案對接的云服務(wù)商中的一個。出現(xiàn)多個云服務(wù)商要求連接時，只需按方案分配多組端口連接就可以實現(xiàn)。防火墻策略配置可以根據(jù)不同云服務(wù)進行個性化訂制。特殊區(qū)域的CE只能訪問部署服務(wù)器在特殊區(qū)域的云服務(wù)供應(yīng)商。

公有云私有化方案根據(jù)具體互聯(lián)技術(shù)的不同又可分為兩個子方案。子方案1（如圖3所示）是在一個POP的兩個PE 下面，通過主備線路分別連接兩臺防火墻，防火墻之間通過堆疊方式合并為一臺邏輯防火墻，防火墻與兩臺PE 之間按VR/VRF 通過BGP Option A 互聯(lián)，防火墻與云服務(wù)供應(yīng)商的邊緣設(shè)備Edge 通過兩條主備鏈路進行BGP Option A互聯(lián)；主備線路通過BGP 不同的MED 值實現(xiàn)?？拷麮E的PE 與CE 之間若使用BGP 互聯(lián)，則不需要額外配置；若使用靜態(tài)路由互聯(lián)，CE 需要增加目的為云服務(wù)器私網(wǎng)地址的靜態(tài)路由。

子方案2（如圖4所示）是在子方案1的基礎(chǔ)上，引入二層鏈路聚合保護，提高鏈路使用率和冗余性。在防火墻與Edge 設(shè)備之間啟用LACP，使兩條物理鏈路捆綁為一條邏輯線路； 在PE 與防火墻之間、兩個PE 之間采用跨機架LACP 技術(shù)，把PE與FW 之間的兩條鏈路捆綁為一條邏輯線路。

4 分析與討論

對于互聯(lián)網(wǎng)對接VPN 方案中的子方案1，其優(yōu)點是動態(tài)路由收斂，缺點是要部署多點路由反射器，有一定的成本，配置相對復(fù)雜，且由于下發(fā)默認路由是動態(tài)的，會與VPN 域內(nèi)已部署的默認路由沖突；子方案2 減少了子方案1 下發(fā)默認路由的影響范圍，且可以任意指定出口，但由于是靜態(tài)路由，沿路配置繁瑣并且缺乏故障時動態(tài)收斂特性。互聯(lián)網(wǎng)對接方案對于訪問公有云服務(wù)及類似的產(chǎn)品開發(fā)具有一定的啟發(fā)意義，但由于部署步驟復(fù)雜，將來實際落地的可能性不大。

圖3 公有云私有化子方案1

圖4 公有云私有化子方案2

對于公有云私有化方案，無論是動態(tài)路由收斂還是安全性都達到了運營商要求的程度，而且Option A 互聯(lián)已經(jīng)是很成熟的做法，基本沒有開發(fā)難度和成本?？傮w來說，子方案1 比子方案2 更容易實現(xiàn)，維護相對簡單，影響業(yè)務(wù)質(zhì)量的關(guān)鍵就落在云服務(wù)供應(yīng)商的選擇上。

5 結(jié)束語

在不久的將來，云計算會滲透到人們生活的方方面面。各國電信運營商都在不遺余力地推進自己的云計算業(yè)務(wù)發(fā)展，例如通過與廠商合作，部署基于云計算的智能化城市方案等。筆者認為，運營商通過三層VPN 與云計算結(jié)合，現(xiàn)階段的目標(biāo)客戶可能只是企業(yè)客戶，但未來10年，待物聯(lián)網(wǎng)和大數(shù)據(jù)得到商用并普及時，目標(biāo)客戶就會逐漸從單一的企業(yè)擴展到汽車、機器人、手機等其他移動設(shè)備供應(yīng)商，因此，本文提出的方案將具有廣闊的發(fā)展和應(yīng)用前景。

[1]ROSEN E，REKHTER Y.RFC 4364 BGP/MPLS IP Virtual Private Networks (VPNs)[Z].2006.