面向高校云計算的MPLS VPN技術應用研究

陳健，于俊樂，史建政

（1.天津工業(yè)大學 應用技術學院，天津 300160；2.廊坊職業(yè)技術學院，河北 廊坊 065001）

0 引言

鑒于我國深入推進信息化發(fā)展，工信部2012年云計算白皮書[1]中預測2011年全球云計算服務規(guī)模約為900 億美元，雖然占全球ICT市場總量比例很小，但增長迅猛，未來幾年年均增長率預計將超過20%。高校面臨的機遇與挑戰(zhàn)是信息化業(yè)務和網(wǎng)絡架構的深入研究與發(fā)展，需引入云計算技術、數(shù)據(jù)中心處理技術等模式的優(yōu)化與創(chuàng)新，進一步促進發(fā)展云計算相關業(yè)務。就目前而言，高校的部分業(yè)務平臺存在上線時間較長、設備利用率偏低的情況，此時需要引入建設資源池、部署云計算環(huán)境，為新建、改造工程或擴容工程引入云計算提供資源。同時面對未來高校教學如何借助云計算更加高效地實現(xiàn)新業(yè)務地開展，以及對業(yè)務平臺地合理部署，提升高校信息化建設的水平將是亟待解決的問題，有其重要的實踐意義。

高校云計算業(yè)務的基本載體是高校的數(shù)據(jù)中心，它面對大數(shù)據(jù)時代信息極具膨脹的壓力，面對數(shù)據(jù)中心網(wǎng)絡的訪問流量成倍增加等壓力。傳統(tǒng)的網(wǎng)絡數(shù)據(jù)中心三層架構已經(jīng)不能滿足云計算的需求，對網(wǎng)絡性能及架構提出新的挑戰(zhàn)。IETF提出，基于MPLS的二層VPN技術是虛擬專用局域網(wǎng)業(yè)務VPLS結合了以太網(wǎng)技術[2]以及MPLS技術的優(yōu)勢，它可以通過運營商提供的MPLS網(wǎng)絡技術很方便地連接到地域上隔離的多個由以太網(wǎng)構成的局域網(wǎng)LAN。從而為高校研究多數(shù)據(jù)中心網(wǎng)絡架構提供了新的思路和技術路線。

圖1 云計算數(shù)據(jù)中心二層互聯(lián)拓撲設計Fig.1 Second layer of cloud computing data center interconnect topology design

本文是根據(jù)某職業(yè)技術學院的校園云計算數(shù)據(jù)中心以及云計算實驗室的實際需求和實踐，主要任務是分析和研究基于MPLS VPN云計算數(shù)據(jù)中心二層網(wǎng)絡互聯(lián)VPLS技術。該實踐從云計算數(shù)據(jù)中心基礎網(wǎng)絡入手，分析了網(wǎng)絡大二層技術，即虛擬交換機技術和隧道技術等。在此基礎之上深入分析和研究云計算數(shù)據(jù)中心的跨站點互聯(lián)等幾種模式、MPLS VPN網(wǎng)絡架構以及技術原理和技術路線。其重點是應用了MPLS L2 VPN技術中VPLS網(wǎng)絡技術的工作原理和技術路線[3]。VPLS大二層互聯(lián)技術穿越MPLS L3 VPN的應用實現(xiàn)方案；分析和總結應用VPLS技術[4]在校園云計算數(shù)據(jù)中心的網(wǎng)絡大二層互聯(lián)模式的優(yōu)勢和不足。

上述VPLS大二層互聯(lián)技術架構將高校的云計算虛擬資源通過VPLS互聯(lián)同一個虛擬局域網(wǎng)LAN內(nèi)，將云端資源無縫地融合到企業(yè)已有的IT設施中，實現(xiàn)高校云計算資源與已有IT設施的整合，從而實現(xiàn)高校虛擬私有云的連接，這為云計算數(shù)據(jù)中心網(wǎng)絡架構的虛擬化奠定了堅實的基礎，同時提供了一種新的思路。

1 云計算數(shù)據(jù)中心網(wǎng)絡架構的實踐

鑒于數(shù)據(jù)中心網(wǎng)絡定義說法不同，國防科技大學劉盛從功能范疇給出了定義：“數(shù)據(jù)中心網(wǎng)絡[5]是將物理設備（服務器、交換設備、基礎設置等）、互聯(lián)結構和計算、存儲、通信有機地結合，并向用戶提供高效、可靠和廉價服務的大規(guī)?；ヂ?lián)系統(tǒng)”。充分考慮該職業(yè)技術學院分別位于同城區(qū)不同的地理位置，在實踐中考慮了數(shù)據(jù)中心多中心方案的部署，虛擬機跨數(shù)據(jù)中心的遷移、災備、跨數(shù)據(jù)中心業(yè)務的負載分擔等需求，充分分析二層網(wǎng)絡的擴展不僅要在數(shù)據(jù)中心的邊界為止，還要考慮跨數(shù)據(jù)中心和設備機房的區(qū)域，延伸到同城備份中心、遠程災備中心等要素。在傳統(tǒng)的數(shù)據(jù)中心服務器和區(qū)域網(wǎng)絡設計中，一般將二層網(wǎng)絡的范圍限制在匯聚層以下，完成跨匯聚交換機的VLAN配置，這樣可以將二層網(wǎng)絡擴展到多臺接入的交換機，此方案為網(wǎng)絡服務器的接入層提供更靈活的擴展能力。鑒于目前服務器高可用集群技術的迅速發(fā)展、虛擬服務器動態(tài)遷移技術的迅速發(fā)展，得以廣泛應用于數(shù)據(jù)中心容災，即計算資源調(diào)配方面。以上兩種技術的應用，一是要求在數(shù)據(jù)中心內(nèi)實現(xiàn)大二層網(wǎng)絡接入，二是要求在數(shù)據(jù)中心間實現(xiàn)大范圍二層網(wǎng)絡擴展。

在實踐設計方案中，云計算數(shù)據(jù)中心實驗室配置一臺H3C S9500E核心交換機和兩臺S5800v2交換機，作為云平臺的網(wǎng)絡設計承載設備；云計算的安全防護設備是1臺千兆防火墻；同時配置了6臺高檔服務器，1臺高檔存儲服務器、與存儲連接方式為IP。充分考慮實驗室設備的配置既要滿足學生的實驗需求，也要使本院一些應用性服務可運營。另外，由于本院網(wǎng)絡基于大學城主校區(qū)和市內(nèi)3個分校區(qū)，位于大學城校區(qū)的是云計算數(shù)據(jù)中心，位于市區(qū)的是云計算實驗室，兩個主要的數(shù)據(jù)中心分別位于不同的地理位置。本院是租用聯(lián)通公司的MPLS L3 VPN骨干網(wǎng)與各校區(qū)相連，其主要任務是將原有的數(shù)據(jù)中心和新建的云計算實驗室實現(xiàn)二層互連互通。如圖1所示是本院的數(shù)據(jù)中心和云計算實驗室互聯(lián)方案。

2 技術應用分析

2.1 網(wǎng)絡二層互聯(lián)方案分析

目前網(wǎng)絡實施是選擇二層互聯(lián)方案的前提。首先在多個數(shù)據(jù)中心之間需要知道用戶具有哪些網(wǎng)絡資源，其次需要知道網(wǎng)絡資源的不同直接決定了用戶將采用何種組網(wǎng)方案。

鑒于大型互聯(lián)網(wǎng)企業(yè)、運營商一般采用DWDM或裸光纖傳輸資源，對應RRPP環(huán)網(wǎng)方案或HUB-SPOKE方案；中小企業(yè)客戶一般采用IP網(wǎng)絡，對應VPLS over GRE組網(wǎng)方案；大企業(yè)、運營商、政府機構、金融業(yè)務需求多，一般采用MPLS網(wǎng)絡對應VPLS組網(wǎng)方案[6]；要實現(xiàn)三層網(wǎng)絡連接與二層網(wǎng)絡的互通，則必須實現(xiàn)“L2 over L3”。對于實現(xiàn)L2 over L3技術有多種，例如：VPLS（MPLS L2VPN）是傳統(tǒng)的技術，CISCO OTV、H3C EVI是新興的技術，兩者都是借助于隧道的方式，即將二層數(shù)據(jù)報文封裝在三層報文中跨越中間的三層網(wǎng)絡，則實現(xiàn)兩地二層數(shù)據(jù)的互連互通。該隧道技術類似一個虛擬的橋貫穿于多個數(shù)據(jù)中心的二層網(wǎng)絡。另外軟件的L2 over L3技術解決方案也有部分虛擬化和軟件廠商提出，例如：VMware的VXLAN、微軟的NVGRE，vSwitch在虛擬化層中將二層數(shù)據(jù)封裝于UDP、GRE報文中，物理拓撲結構上構建一層虛擬化網(wǎng)絡層，從而擺脫對網(wǎng)絡設備層二層、三層的限制。

2.2 網(wǎng)絡性能需求分析

網(wǎng)絡二層互聯(lián)的最基本需求是時延和帶寬問題，網(wǎng)絡數(shù)據(jù)中心之間的二層互聯(lián)是實現(xiàn)虛擬機的集群異地應用和異地調(diào)度而設計，因此強調(diào)二層互聯(lián)時必須滿足虛擬機VMotion和集群存儲異地訪問的時延[7]要求，第一個受限是VMotion同步會話，第二個要求是存儲網(wǎng)絡。對于DC之間的存儲則要求實現(xiàn)同步訪問或鏡像訪問，數(shù)據(jù)中心互聯(lián)最核心需求之一是要求保證虛擬機跨DC的遷移。在vSphere5.0之前版本的VMotion對遷移鏈路帶寬有明確的要求，是帶寬不小于622M；而vSphere5.0版本的VMotion對遷移鏈路帶寬的要求是不小于250M。

2.3 提高可用性是二層互聯(lián)的關鍵因素

第一是提高網(wǎng)絡設備和鏈路HA的最有效的方式，即設計備份鏈路、備份節(jié)點。若是提高互聯(lián)帶寬的需求，則設計負載分擔的互聯(lián)路徑是一個較好方案，同時也能夠保證系統(tǒng)運行異常時實現(xiàn)業(yè)務的快速收斂，提高HA指標；第二是服務器的HA可以通過服務器集群來實現(xiàn)，即借助于集群軟件將網(wǎng)絡上的多臺服務器關聯(lián)在一起，提供一致性的服務，對外的實現(xiàn)為一臺邏輯服務器。大多數(shù)軟件商家（如微軟、veritas、HP、IBM等）的集群軟件基本都需要各服務器采用二層網(wǎng)絡互連，將集群中的服務器部署于不同數(shù)據(jù)中心，來實現(xiàn)跨數(shù)據(jù)中心的應用系統(tǒng)的容災。

3 關鍵技術路線分析與實施

實現(xiàn)云計算實驗室與校園網(wǎng)中的云數(shù)據(jù)中心網(wǎng)絡二層互連互通，一般使用光纖做二層透傳。即：首先實現(xiàn)將服務器網(wǎng)段擴展到新建機房，然后再實現(xiàn)出口和光纖的切換，這樣需要與運營商聯(lián)系，需要提供多條臨時光纖，支出一筆很大的費用，而且中斷時間較長、變更次數(shù)較多，又由于在同一個二層網(wǎng)絡有太多VLAN承載很容易造成環(huán)路，這樣實現(xiàn)多點二層網(wǎng)絡互通較為復雜。因此我們考慮到本院各校區(qū)相連租用的是聯(lián)通MPLS L3 VPN骨干網(wǎng)，方案可以考慮在新云計算實驗室和本院云計算數(shù)據(jù)中心增設VPLS PE設備，通過VPLS將兩個云數(shù)據(jù)中心的二層網(wǎng)絡打通，利用該方案還可以預先一次性建設好新舊網(wǎng)絡，無需搬遷過程所帶來的網(wǎng)絡變更，并且已有的網(wǎng)絡線路可以復用，同時節(jié)省了額外費用。從圖1所知，兩個數(shù)據(jù)中心的主干網(wǎng)絡已經(jīng)是MPLS L3 VPN的架構，可以在PE上進行MPLS打標簽和解標簽。這里的P設備制作標簽是透明轉(zhuǎn)發(fā)，只需將原MPLS當成VPLS的P設備即可，對VPLS CE的二層網(wǎng)絡數(shù)據(jù)在VPLS PE上打上標簽直接可在MPLS主干網(wǎng)上透明傳輸，在到達對端的VPLS PE上解標簽發(fā)送給CE就可以實現(xiàn)三層網(wǎng)絡上透明傳輸二層網(wǎng)絡數(shù)據(jù)了。

4 結論

云計算技術是IT產(chǎn)業(yè)的一場技術革命，已成為IT行業(yè)發(fā)展的方向，也成為教育教學領域發(fā)展的助推器，推動著高校信息化建設的水平，承載著海量教育教學資源，支撐著豐富多彩的校園文化，解決對大數(shù)據(jù)時代信息極具膨脹與訪問流量成倍增加的壓力等，這種變化使高校網(wǎng)絡基礎架構與運營的專業(yè)化程度不斷集中和提高。本文僅在云計算跨數(shù)據(jù)中心網(wǎng)絡架構進行了分析和實踐，通過MPLS VPN技術支持將內(nèi)部IT資源有機地結合為一個邏輯整體，構建高校虛擬私有云體系，實現(xiàn)高校云計算資源的無縫融合，為高校虛擬私有云和公有云的連接奠定基礎，提升高校獲得云計算所帶來的好處以及靈活性，同時獲得了最大的成本效益，并且保持了對整體IT基礎架構的控制。

雖然VPLS網(wǎng)絡在云計算和數(shù)據(jù)中心領域的研究取得了較大的進展，但云計算和數(shù)據(jù)中心虛擬網(wǎng)絡技術需要研究的問題還很多，還缺乏規(guī)模性的應用案例，需要在實踐中研究、在研究中實踐。例如：怎樣在云計算服務過程中保障用戶和設備的安全、高效地運行對現(xiàn)有網(wǎng)絡提出了新的要求；應用虛擬化技術提高網(wǎng)絡的利用率，使之具備靈活的可擴展性和管理。再如：高校在云計算應用中很多時候需要在不同的數(shù)據(jù)中心或站點之間進行數(shù)據(jù)傳輸（虛擬機遷移、大文件傳送）等,這就對VPN網(wǎng)絡提供高效的數(shù)據(jù)傳輸服務質(zhì)量QOS，如低時延、高帶寬、低抖動等，特別是對網(wǎng)絡流控問題、結構設計、交換架構設計、網(wǎng)絡融合技術、虛擬化技術、安全技術、綠色節(jié)能、以及高效的管理技術等，還有很大的研究空間。

[1]云計算白皮書[Z].工業(yè)與信息化部電信研究院,2012:11-43.

[2]Mare Lasserre,Vach Kompella,Niek Tingle,et al."Virtual Private LAN Serviees over MPLS".IETF draft—kompella-ppvpn-vpls-02,2003.

[3]張輝.基于MPLS L2 VPN的VPLS應用技術[J].應用技術,2004:48-50.

[4]劉盛.基于MPLS的VPN技術在數(shù)字化校園中的運用與研究[D].鄭州:河南理工大學,2010:28.

[5]劉盛.基于Kautz圖的數(shù)據(jù)中心網(wǎng)絡拓撲結構研究[D].長沙:國防科學技術大學,2010:13-14.

[6]畢立波,葛堅,何寶宏.VPLS技術的標準化現(xiàn)狀[J].電信網(wǎng)技術,2004:36-38.

[7]楊海軍.VPLS網(wǎng)絡中的保護倒換技術的研究和實現(xiàn)[D].杭州:杭州電子科技大學,2010:18.