基于IRF2網(wǎng)絡虛擬化技術(shù)在湖南煙草商業(yè)企業(yè)的應用

申玉華++唐紳

摘要：該文以湖南省永州市煙草公司為例，對湖南煙草商業(yè)系統(tǒng)的網(wǎng)絡現(xiàn)狀和不足進行了分析，介紹了當前主流的網(wǎng)絡虛擬化技術(shù)，并著重闡述了IRF2網(wǎng)絡虛擬化技術(shù)的技術(shù)體系架構(gòu)、工作原理和技術(shù)優(yōu)勢。提出了基于IRF2（Intelligent Resilient Framework Ⅱ，第2代智能彈性架構(gòu)）網(wǎng)絡虛擬化技術(shù)改造網(wǎng)絡架構(gòu)的構(gòu)想，并論述了網(wǎng)絡升級改造的總體設計架構(gòu)思路和關(guān)鍵的技術(shù)實現(xiàn)。應用效果表明，基于IRF2技術(shù)改造的網(wǎng)絡實現(xiàn)了業(yè)務層面數(shù)據(jù)流雙活和核心交換層的虛擬化，網(wǎng)絡層次更加分明，網(wǎng)絡故障的影響范圍更小，提高了網(wǎng)絡的穩(wěn)定性和安全性。

關(guān)鍵詞：煙草信息化；計算機網(wǎng)絡；網(wǎng)絡虛擬化；IRF2

中圖分類號：TP31 文獻標識碼：A 文章編號：1009-3044（2017）30-0246-03

隨著計算機技術(shù)和通信技術(shù)的融合和快速發(fā)展，網(wǎng)絡及應用技術(shù)日新月異，正在向應用多樣化、綜合化發(fā)展，大型企業(yè)對內(nèi)部網(wǎng)絡的安全性、穩(wěn)定性和易擴展性要求越來越高。網(wǎng)絡虛擬化技術(shù)在組網(wǎng)中的高可靠、低成本、易擴展的特性[1]，以及對網(wǎng)絡結(jié)構(gòu)的優(yōu)化能力和對設備管理運維效率的提升能力，使它被越來越多的運用在了大型局域網(wǎng)的組網(wǎng)和改造工程里。建設一個傳輸數(shù)據(jù)、語音、視頻、圖像為一體的、具有較大容量高速傳輸能力的、能適應未來網(wǎng)絡需求的、能將網(wǎng)絡安全和無線融合的、有可靠穩(wěn)定服務質(zhì)量保證的企業(yè)綜合網(wǎng)絡已經(jīng)是網(wǎng)絡發(fā)展的大趨勢。

1 湖南省永州市煙草公司當前的網(wǎng)絡系統(tǒng)現(xiàn)狀和不足

1.1 網(wǎng)絡系統(tǒng)現(xiàn)狀

湖南省永州市煙草公司現(xiàn)有網(wǎng)絡系統(tǒng)建設完成于2011年，到湖南省煙草公司的主干線路是電信的30M MSTP專線，到下屬各縣公司主干是電信的10M MSTP專線，市公司到省公司的備份鏈路是聯(lián)通的30M MSTP專線，市公司到縣公司的備份線路是移動的100M 專線，市公司到物流倉庫通過裸光纖線相連。永州煙草整個網(wǎng)絡采用OSPF動態(tài)路由協(xié)議，經(jīng)過手工配置備份路由器的cost值，正常情況下業(yè)務數(shù)據(jù)流通過主干鏈路傳輸?shù)绞」緮?shù)據(jù)中心，當主干鏈路故障后，OSPF動態(tài)路由協(xié)議通過自動收斂路由切換到備份鏈路。全省網(wǎng)絡采用三層結(jié)構(gòu)設計，永州市煙草公司位于中間層，起到了承上啟下的關(guān)鍵作用。永州煙草下屬的縣區(qū)級煙草公司、專賣局和煙站通過縣公司的核心路由器連接到市公司的核心路由器，市公司的核心路由器再通過和省公司核心路由器互聯(lián)，至今已運行將近五年，較好地滿足了永州煙草各業(yè)務系統(tǒng)正常運行的需要。

1.2 當前網(wǎng)絡中存在的不足

當前的網(wǎng)絡是環(huán)路接入拓撲模式，以多生成樹協(xié)議MSTP配合VRRP提供服務器接入的可靠性，同時，服務器又以多網(wǎng)卡連接網(wǎng)絡進一步提供冗余能力，建設前期雖然滿足了永州煙草各業(yè)務系統(tǒng)正常運行的需要，但隨著應用向多樣化、綜合化發(fā)展，在后期網(wǎng)絡運行過程中面臨的壓力和不足也是顯而易見的[2]。具體表現(xiàn)在：

1） 備份鏈路和備份設備基本處于空閑狀態(tài)。核心網(wǎng)絡設備和鏈路都是采用主從備份方式運行，當主設備或鏈路出現(xiàn)故障時，再將業(yè)務流量切換到備用設備或者備用鏈路上去，備份鏈路和設備長期閑置，資源無法合理利用。

2） 鏈路故障或設備故障導致數(shù)據(jù)業(yè)務流次優(yōu)路徑問題。市公司和縣公司訪問省公司的業(yè)務流都經(jīng)過市公司的核心路由器進行轉(zhuǎn)發(fā)，所有流量均通過次優(yōu)路徑進行轉(zhuǎn)發(fā)，且造成不必要的開銷，同時路由的收斂耗費的時間也會對業(yè)務流造成影響。核心交換機直接接入終端用戶和服務器，網(wǎng)絡結(jié)構(gòu)不夠清晰，層次不夠分明。

3） 視頻監(jiān)控流和業(yè)務數(shù)據(jù)流共用一個網(wǎng)絡，容易造成網(wǎng)絡擁塞。根據(jù)全省視頻監(jiān)控網(wǎng)建設的前期規(guī)劃，視頻監(jiān)控網(wǎng)的設備暫時接入到煙草業(yè)務內(nèi)網(wǎng)。由于視頻監(jiān)控的流量占用帶寬資源大，容易造成現(xiàn)有業(yè)務內(nèi)網(wǎng)的網(wǎng)絡擁塞。

4） 核心業(yè)務網(wǎng)和互聯(lián)網(wǎng)接入網(wǎng)沒有物理隔離。永州市煙草公司現(xiàn)有核心業(yè)務網(wǎng)和互聯(lián)網(wǎng)接入網(wǎng)沒有物理隔離，源自互聯(lián)網(wǎng)的安全攻擊將對永州煙草的信息安全造成嚴重威脅。

綜上所述，對企業(yè)網(wǎng)絡的優(yōu)化改造已是非常之必要，而引入網(wǎng)絡虛擬化設計技術(shù)，在不改變傳統(tǒng)網(wǎng)絡設計的物理拓撲、保證現(xiàn)有布線方式的前提下，實現(xiàn)網(wǎng)絡各層的橫向整合，完成永州煙草網(wǎng)絡的優(yōu)化提升是一個有效的方法。

2 IRF2網(wǎng)絡虛擬化技術(shù)解析

目前主流的網(wǎng)絡虛擬化技術(shù)主要有三種[3]：一是思科公司的VSS（Virtual Switch System，網(wǎng)絡虛擬交換系統(tǒng)），它是一種典型的網(wǎng)絡虛擬化技術(shù)，可以實現(xiàn)將多臺思科交換機虛擬成單臺交換機，使設備可用的端口數(shù)量、轉(zhuǎn)發(fā)能力、性能規(guī)格都倍增。二是華為公司的CSS（Cluster Switch System，集群交換機系統(tǒng)），它是網(wǎng)絡虛擬化的一種形態(tài)，同樣可實現(xiàn)把多臺支持集群的交換機鏈接起來，從而組成一臺更大的網(wǎng)絡交換設備。三是華三公司的IRF（Intelligent Resilient Framework，智能彈性架構(gòu)），它可將實際物理設備虛擬化為邏輯設備供用戶使用，目前的IRF2.0還是一種將多個設備虛擬為單一設備使用的通用虛擬化技術(shù)，此技術(shù)已經(jīng)應用于高、中、低端多個系列的交換機設備，而且通過IRF2.0技術(shù)形成的虛擬設備具有更高的擴展性、可靠性及性能。湖南煙草商業(yè)企業(yè)主要采用思科公司和華三公司的網(wǎng)絡設備購建自己的行業(yè)網(wǎng)絡，從網(wǎng)絡國產(chǎn)化、安全化和保護原有投資的角度考慮，本次引入IRF2網(wǎng)絡虛擬化技術(shù)對湖南煙草商業(yè)企業(yè)的網(wǎng)絡進行優(yōu)化改造。

IRF2作為通用的虛擬化技術(shù)平臺，對不同形態(tài)產(chǎn)品的采用相同技術(shù)架構(gòu)實現(xiàn)，便于整網(wǎng)運行特征一致性、升級能力一致性。以IRF2技術(shù)實現(xiàn)網(wǎng)絡各層的橫向整合，即將交換網(wǎng)絡每一層的多臺物理設備使用IRF技術(shù)形成一個統(tǒng)一的交換架構(gòu)，減少了邏輯上的設備數(shù)量。IRF2技術(shù)的軟件體系架構(gòu)如圖1所示，整個模塊分為：

圖1 IRF2基本體系架構(gòu)

1） IRF2虛擬化模塊：自動進行IRF2系統(tǒng)的拓撲收集、角色選舉，并將設備組虛擬成單一的邏輯設備，上層軟件所見只是一臺設備；

2） 硬件系統(tǒng)：IRF2組內(nèi)的硬件設備及組件，主要包括交換機、路由器及連接線路；

3） 設備管理層：提供對線卡、接口等各種設備資源的管理。這里的設備包括對硬件的抽象，也包括通過IRF2虛擬化發(fā)現(xiàn)的邏輯設備；

4） 系統(tǒng)管理與上層應用模塊：運行在IRF2系統(tǒng)上的所有管理、控制程序，包括各種路由協(xié)議模塊、鏈路層協(xié)議模塊等。

使用IRF2虛擬化技術(shù)后，消除了原先網(wǎng)絡需要部署的STP生成樹或VRRP冗余保護協(xié)議，通過鏈路捆綁實現(xiàn)了鏈路和節(jié)點的保護倒換。對于接入層設備來說，一般使用兩臺交換機對同類業(yè)務系統(tǒng)服務器進行接入，以滿足服務器的雙網(wǎng)卡上行要求。上行到IRF2系統(tǒng)的服務器所有網(wǎng)卡如同接入一臺交換機，適用于各種工作模式，特別是服務器的雙網(wǎng)卡捆綁方式。

采用IRF2組網(wǎng)，對整個網(wǎng)絡的配置管理發(fā)生了很大變化，原來的多臺物理設備現(xiàn)在成為一臺邏輯設備，只有一個管理IP，其中所有的IRF2成員可以統(tǒng)一配置管理，不需要登錄到不同設備各自管理運維。對于數(shù)據(jù)中心應用的多層架構(gòu)，采用端到端的IRF2設計技術(shù)進行改良，可以將大規(guī)模數(shù)據(jù)中心網(wǎng)狀網(wǎng)變成線性或樹狀輻射網(wǎng)，在網(wǎng)絡每一層具有靈活的擴展能力和簡單的配置管理方式[4]，大大提升網(wǎng)絡的運行管理效率。

3 網(wǎng)絡升級改造總體設計架構(gòu)思路

由于湖南省永州市煙草公司互聯(lián)網(wǎng)接入網(wǎng)、核心業(yè)務網(wǎng)及視頻監(jiān)控網(wǎng)三網(wǎng)承載的業(yè)務類型、安全等級的差異，設計對三個網(wǎng)絡實現(xiàn)隔離，互聯(lián)網(wǎng)安全等級較低且不承載核心業(yè)務，應與核心業(yè)務網(wǎng)及視頻監(jiān)控專網(wǎng)實現(xiàn)完全的物理隔離（包括管理功能的線路）。核心業(yè)務網(wǎng)與視頻監(jiān)控在網(wǎng)流量上實現(xiàn)分離，業(yè)務平臺上實現(xiàn)物理隔離，核心業(yè)務網(wǎng)部分用戶實現(xiàn)對視頻監(jiān)控網(wǎng)的單向訪問或限制源訪問，網(wǎng)絡升級改造總體架構(gòu)如圖2：

圖2 網(wǎng)絡優(yōu)化改造總體架構(gòu)圖

4 關(guān)鍵技術(shù)實現(xiàn)

從網(wǎng)絡優(yōu)化改造總體架構(gòu)圖（圖2）可看出，采用IRF2技術(shù)設計后消除了網(wǎng)絡環(huán)路，實現(xiàn)了互聯(lián)網(wǎng)接入網(wǎng)、核心業(yè)務網(wǎng)及視頻監(jiān)控網(wǎng)三網(wǎng)的邏輯隔離，核心層與匯聚層之間的連接簡化為只通過一個VLAN進行三層互聯(lián)了[5]，將本來全連接的網(wǎng)狀網(wǎng)變成了簡單的單邏輯鏈路連接。

4.1 改造后數(shù)據(jù)流向

改造后數(shù)量流向：項目建設完成后，永州市煙草公司本級到省局的業(yè)務數(shù)據(jù)流、縣局到省公司和市公司的業(yè)務數(shù)據(jù)流將通過主備鏈路雙活進行流量負載分擔，在單一鏈路、單一設備或極端情況下的設備故障都可以確保業(yè)務數(shù)據(jù)流的最優(yōu)路徑。具體情況如圖3所示：

圖3 網(wǎng)絡優(yōu)化改造后數(shù)據(jù)流向圖

核心路由器故障后數(shù)據(jù)流向（如圖3）：當市公司7606-1發(fā)生故障時，市公司匯聚交換機因為運行了IRF2，核心交換機會無縫的將現(xiàn)有流量直接分配給7606-2，而不會進行VRRP中的master與backup之間的選舉?？h公司路由器因為運行了IRF2，而不需要進行OSPF的收斂，而直接將業(yè)務數(shù)據(jù)流發(fā)送到縣局備份路由器2921-2，備份路由器2921-2再通過市公司備份路由器思科7606-2轉(zhuǎn)發(fā)到省公司和市公司數(shù)據(jù)中心。

市公司本級核心交換機故障后的數(shù)據(jù)流向（如圖3）：當市公司本級核心交換機故障時，因為2臺核心交換機H3C 7506E運行了IRF2，且上行與2臺現(xiàn)有的核心路由器7606形成米字形連接、下行與接入交換機H3C 5130形成交叉連接，市公司本級上行到省公司的業(yè)務數(shù)據(jù)流將無縫的分配給與之平行的另一臺核心交換機再轉(zhuǎn)發(fā)到省公司?？h公司到省公司的業(yè)務數(shù)據(jù)流不會產(chǎn)生影響，縣公司新增的2臺H3C MSR3651設備運行IRF2后，可以保障縣公司到市公司的業(yè)務數(shù)據(jù)流通過縣公司的備份路由器思科2921-2上行到市公司的備份路由器思科7606-2后再轉(zhuǎn)發(fā)至市公司的最優(yōu)路徑。

市公司核心路由器與市匯聚交換機對角故障后數(shù)據(jù)流分析：當市公司核心路由器與匯聚交換機對角故障時，因為將永州市煙草公司核心路由器與核心交換機相連的拓撲在原先的口字型拓撲基礎上，新升級到交叉型網(wǎng)絡拓撲結(jié)構(gòu)。因此，永州市煙草公司業(yè)務流量將不會受到影響。

4.2 市局匯聚交換機的冗余功能實現(xiàn)

永州市煙草公司本級核心路由器思科7606與新增核心交換機H3C7509-E相連的拓撲在原先的口字型拓撲基礎上，新升級成交叉型網(wǎng)絡拓撲結(jié)構(gòu)。將永州市煙草公司本級交換網(wǎng)絡層次由原來的單層結(jié)構(gòu)升級成核心交換層、接入交換層兩層結(jié)構(gòu)（如圖4）。將四臺接入層交換機雙上行到核心交換機上。以此來增加網(wǎng)絡的穩(wěn)定性和可擴展性。為了拓展核心交換機的轉(zhuǎn)發(fā)能力，又盡量不改變現(xiàn)有網(wǎng)絡。增加7506-2與7506-1組成IRF2，來滿足當前網(wǎng)絡冗余功能的需求。

圖4 使用IRF2技術(shù)交換機的冗余功能實現(xiàn)圖

為避免成員設備的單點故障影響到正常的業(yè)務轉(zhuǎn)發(fā)，在IRF2中配置跨框聚合端口進行業(yè)務轉(zhuǎn)發(fā)。為盡量降低IRF2分裂對業(yè)務造成的影響，在IRF2中配置LACP MAD檢測。LACP MAD 檢測使用的二層交換機必須為H3C的交換機設備且使用的軟件版本必須能夠識別、處理攜帶了ActiveID 值的LACPDU 協(xié)議報文。

4.3 縣公司接入交換機割接替換實現(xiàn)

各縣公司將原有的思科2950和H3C 5120交換機替換成為兩臺H3C MSR3651設備，與現(xiàn)有兩臺思科2921路由器形成口字形連接，從而提高縣公司的網(wǎng)絡穩(wěn)定性和冗余性。改選后具體拓撲如如圖5所示。

鑒于第二代智能彈性架構(gòu)IRF2技術(shù)具有管理簡便、網(wǎng)絡擴展能力強、可靠性高等優(yōu)點[6]，所以縣公司使用IRF2 技術(shù)構(gòu)建網(wǎng)絡接入層（即在MSR3651-1和MSR3651-2上配置IRF2 功能），接入層設備通過聚合雙鏈路上行。為了防止萬一IRF2鏈路故障導致IRF2分裂、網(wǎng)絡中存在兩個配置沖突的IRF2，需要啟用MAD檢測功能。因為成員設備比較少，我們采用BFD MAD 檢測方式來監(jiān)測IRF2 的狀態(tài)。通過配置 IRF2 優(yōu)先級，保證MSR3651-1 成為IRF 中的Master 設備。當 IRF2 鏈路出現(xiàn)故障后，首先修復IRF2 鏈路，然后重啟Recovery 狀態(tài)的設備，使其重新加入IRF2。

5 實施后的效果

從2015年6月到2016年11月，永州市煙草公司完成了市、縣、站三級網(wǎng)絡優(yōu)化升級，實現(xiàn)了市到縣業(yè)務骨干網(wǎng)（電信）和備份網(wǎng)（移動）鏈路的業(yè)務層面數(shù)據(jù)流雙活，業(yè)務內(nèi)網(wǎng)市、縣級的帶寬達到了110M，視頻監(jiān)控專網(wǎng)的帶寬每個煙站達到了50M，核心的會聚帶寬更是達到了4000M，滿足了省、市、縣、站四級大流量業(yè)務的需求；在核心業(yè)務上實現(xiàn)了核心交換層的虛擬化，建立了高可用的冗余網(wǎng)絡結(jié)構(gòu)，使服務器穩(wěn)定性提高加倍，網(wǎng)絡層次更加分明，網(wǎng)絡故障的影響范圍縮小，提高了網(wǎng)絡的穩(wěn)定性。2016年12月9日，湖南省煙草公司組織相關(guān)專家，對永州市局網(wǎng)絡優(yōu)化升級試點工作進行終驗評審，驗收委員會專家一致給予好評，認為永州市煙草公司網(wǎng)絡優(yōu)化升級試點項目為湖南全省煙草商業(yè)系統(tǒng)的網(wǎng)絡改造提供了接入標準和規(guī)范，也為全省的推廣實施提供了參考案例。優(yōu)化改造后的網(wǎng)絡已在永州市煙草公司及所屬10個縣分公司全面運行了近一年，取得了良好的經(jīng)濟和社會效益，目前已經(jīng)在長沙、衡陽、株洲等地陸續(xù)推廣應用。

參考文獻：

[1] 陳妍.基于IRF2技術(shù)的網(wǎng)絡虛擬化彈性架構(gòu)在電力企業(yè)的應用[D].華北電力大學（北京），2016.

[2] 鄒暾，侯杰華.煙草商業(yè)系統(tǒng)大數(shù)據(jù)處理架構(gòu)的設計與實現(xiàn)[J].計算技術(shù)與自動化，2014（4）：138-141.

[3] 白寧.網(wǎng)絡虛擬化技術(shù)：VSS、IRF2和CSS解析[J].百度文庫專業(yè)資料IT/計算機計算機硬件及網(wǎng)絡，2014.3.

[4] 秦麗娜.基于虛擬化IRF2技術(shù)的網(wǎng)絡可靠性分析[J].山西經(jīng)濟管理干部學院學報，2013（12）：100-103.

[5] 周振海，周林衛(wèi).利用IRF2虛擬化技術(shù)解決高性能網(wǎng)絡擁塞問題[J].信息與電腦：理論版，2015（1）：69-70.

[6] 郝亞平.基于IRF2技術(shù)的校園網(wǎng)升級方案設計[J].電腦知識與技術(shù)，2015（6）：15-17.endprint