基于虛擬化技術的數(shù)值仿真與中央監(jiān)控系統(tǒng)網(wǎng)絡設計

仇玉雪，趙晶晶，邱逸昌，張海英，趙永平，原 奕，李 凱，周 樂

（北京衛(wèi)星環(huán)境工程研究所，北京 100094）

0 引言

“空間環(huán)境地面模擬裝置”（ 國家大科學工程項目）作為大型空間綜合環(huán)境地面模擬平臺，用于實現(xiàn)空間主要環(huán)境因素及其效應的模擬。該裝置共劃分為5 個系統(tǒng)：空間綜合環(huán)境模擬與研究系統(tǒng)，磁環(huán)境模擬與研究系統(tǒng)，空間等離子體環(huán)境模擬與研究系統(tǒng)，數(shù)值仿真與中央監(jiān)控系統(tǒng)及配套系統(tǒng)。數(shù)值仿真與中央監(jiān)控系統(tǒng)是“空間環(huán)境地面模擬裝置”中實驗設備的集中監(jiān)控樞紐和實驗數(shù)據(jù)的匯聚中心，為裝置及其運行的實驗提供全生命周期的管理與支持服務，包括數(shù)據(jù)采集、實驗和安全監(jiān)控、集中展示、數(shù)據(jù)存儲、運行管理、數(shù)值仿真、數(shù)據(jù)共享以及配套系統(tǒng)的監(jiān)管。該系統(tǒng)融合了8 類實驗分系統(tǒng)（綜合環(huán)境模擬分系統(tǒng)、空間生命科學分系統(tǒng)、微觀機理分析分系統(tǒng)、離子加速器分系統(tǒng)、器件離子輻照分系統(tǒng)、空間磁環(huán)境模擬與研究分系統(tǒng)、空間等離子體環(huán)境模擬與研究分系統(tǒng)、低能加速器輻射防護分系統(tǒng)），1 套配套系統(tǒng)（實驗區(qū)空調控制系統(tǒng)、低能區(qū)冷卻水控制系統(tǒng)、智能樓宇監(jiān)控系統(tǒng)和建筑信息模型）以及門禁、視頻、電話系統(tǒng)業(yè)務，是集多種實驗測控、高算仿真、多媒體等業(yè)務的多網(wǎng)融合系統(tǒng)。多種業(yè)務、多類別數(shù)據(jù)在同一張網(wǎng)絡中傳遞，各類業(yè)務要求邏輯隔離，不同業(yè)務的差異性在同一張物理網(wǎng)絡中疊加，根據(jù)業(yè)務需求變化而不斷調整的網(wǎng)絡拓撲，以及震蕩的網(wǎng)絡環(huán)路給網(wǎng)絡設計、實施、維護帶來了負擔，這些都對網(wǎng)絡可靠性提出更高的要求，對傳統(tǒng)網(wǎng)絡結構提出挑戰(zhàn)。

針對以上問題，本文提出采用網(wǎng)絡虛擬化技術對數(shù)值仿真與中央監(jiān)控系統(tǒng)網(wǎng)絡進行設計，構建多業(yè)務統(tǒng)一承載的網(wǎng)絡，以有效解決大規(guī)模網(wǎng)絡的復雜拓撲，簡化網(wǎng)絡規(guī)劃，降低設計復雜度，消除網(wǎng)絡環(huán)路，提升網(wǎng)絡帶寬，增強網(wǎng)絡的可靠性和安全性。

1 網(wǎng)絡虛擬化技術

網(wǎng)絡虛擬化的核心目標是通過虛擬化技術，將一個物理網(wǎng)絡分割為多個虛擬網(wǎng)絡，或者將多個物理網(wǎng)絡抽象為一個邏輯虛擬網(wǎng)絡，使不同的虛擬網(wǎng)絡之間的服務質量能夠得到不同級別的保障，從而為上層的應用提供網(wǎng)絡服務。在服務器領域啟用虛擬化技術，運行多臺虛擬機，可提升物理資源利用率，形成1∶N 虛擬化；將多臺服務器整合，對外提供服務，稱為N∶1 虛擬化。對于網(wǎng)絡，虛擬化技術應用有著類似體現(xiàn)，在一張網(wǎng)絡中采用虛擬化技術分割出彼此隔離的多個邏輯網(wǎng)絡，即1∶N 方式虛擬化的應用；同樣，將多臺獨立的設備在同一節(jié)點虛擬成一臺設備，簡化網(wǎng)絡結構，即N∶1 虛擬化。虛擬化技術軟件體系架構如圖1 所示，其中：虛擬化模塊的功能在于自動進行系統(tǒng)的拓撲結構收集、角色選舉，并將多臺設備虛擬成一臺邏輯設備；硬件系統(tǒng)是組成虛擬化節(jié)點的硬件設備；設備管理層可通過軟件對各節(jié)點上虛擬化設備的接口、板塊等資源進行管理；系統(tǒng)管理與上層應用模塊可對各種路由協(xié)議模塊、鏈路層協(xié)議模塊等進行管理和控制。

圖1 虛擬化技術軟件架構Fig. 1 Structure of the virtualization technology software

2 基于虛擬化技術的網(wǎng)絡拓撲

2.1 網(wǎng)絡橫向整合

數(shù)值仿真與中央監(jiān)控系統(tǒng)網(wǎng)絡采用星型拓撲結構搭建，各節(jié)點采用雙設備部署，利用網(wǎng)絡虛擬化技術對網(wǎng)絡橫向整合，實現(xiàn)1∶N 虛擬化。網(wǎng)絡拓撲如圖2 所示。

圖2 數(shù)值仿真與中央監(jiān)控系統(tǒng)網(wǎng)絡拓撲Fig. 2 Network topology of numerical simulation and central monitoring system

1）對圖中核心層、匯聚層交換機利用虛擬化技術進行橫向整合，整合后的網(wǎng)絡從邏輯上簡化了網(wǎng)絡架構，構成單一邏輯節(jié)點，從而使同一節(jié)點對多臺設備的管理簡化至對單一邏輯設備的管理，在設備管理地址分配、網(wǎng)關設定方面都起到了簡化作用，不必為邏輯設備中的多臺設備分別設置獨立的管理地址。

2）無需啟用虛擬路由冗余協(xié)議（virtual router redundancy protocol, VRRP）做路由冗余設置，可實現(xiàn)跨設備鏈路聚合功能，簡化了對多條物理鏈路的管理。通過聚合鏈路，可提升網(wǎng)絡帶寬，無需依賴生成樹協(xié)議（spanning tree protocol, STP）進行環(huán)路探測，避免網(wǎng)絡鏈路中環(huán)路的形成而導致的網(wǎng)絡不可用情況發(fā)生。

3）當單臺虛擬化節(jié)點交換機成員發(fā)生故障時，二層、三層拓撲無需進行重新收斂，路徑可靠性增強。虛擬化的思想是將多臺設備合并成單臺高密度端口的設備，因此節(jié)點內(nèi)有多個設備控制器，構成節(jié)點的設備分為master 和非master 設備，以及slave設備。master 與slave 設備保持同步關系，在業(yè)務處理方面，master 全面負責。當主設備master 出現(xiàn)故障，會從其他slave 中重新選出新主設備接替業(yè)務，因此網(wǎng)絡節(jié)點不會因master 設備故障而導致節(jié)點失效。在數(shù)值仿真與中央監(jiān)控系統(tǒng)網(wǎng)絡中采用基于鏈路狀態(tài)的路由協(xié)議——開放式最短路徑優(yōu)先（open shortest path first, OSPF）路由協(xié)議，當master收到鄰居路由節(jié)點發(fā)送的update 報文時，會觸發(fā)本地路由表更新，同時會立即轉發(fā)新路由信息給節(jié)點內(nèi)其他成員設備，其他成員設備也會立刻更新路由表，保證虛擬化節(jié)點內(nèi)各物理設備內(nèi)的路由信息同步；當slave 設備收到鄰居節(jié)點發(fā)來的路由更新時，會將報文發(fā)送給master 設備進行處理。如此，保證了路由信息處理統(tǒng)一通過master 設備進行，然后再更新、同步至各個節(jié)點內(nèi)其他設備。當master 出現(xiàn)故障時，新當選的master 可以無縫接手工作，不會影響到虛擬化節(jié)點的數(shù)據(jù)轉發(fā)工作。此種機制可以有效保證二、三層數(shù)據(jù)流不因節(jié)點內(nèi)master 故障而導致業(yè)務中斷。

2.2 網(wǎng)絡縱向隔離

數(shù)值仿真與中央監(jiān)控系統(tǒng)是一張物理連通，融合多種業(yè)務、多種數(shù)據(jù)的網(wǎng)絡，利用網(wǎng)絡虛擬化技術對網(wǎng)絡進行縱向隔離，實現(xiàn)N∶1 虛擬化。網(wǎng)絡結構如圖3 所示。

圖3 數(shù)值仿真與中央監(jiān)控系統(tǒng)業(yè)務縱向隔離網(wǎng)絡示意Fig. 3 Vertical segregation network of numerical simulation and central monitoring system services

將實驗分系統(tǒng)層中的實驗業(yè)務與配套業(yè)務層中的配套服務業(yè)務利用虛擬路由轉發(fā)（virtual routing and forwarding, VRF）技術進行網(wǎng)絡端到端隔離；將同一張網(wǎng)絡縱向按需分割成多個貫穿全網(wǎng)的邏輯通道，獨立業(yè)務間無需數(shù)據(jù)交換；部署在應用資源層的應用系統(tǒng)、高性能計算和數(shù)據(jù)存儲作為公共資源為不同業(yè)務提供服務，根據(jù)實際需求劃入不同VRF 域中，從而確保每個邏輯網(wǎng)絡中所承載的業(yè)務相互獨立。

3 基于虛擬化技術的數(shù)據(jù)中心網(wǎng)絡設計

根據(jù)計算業(yè)務需要，在數(shù)值仿真與中央監(jiān)控系統(tǒng)中規(guī)劃部署數(shù)據(jù)中心，向各類業(yè)務提供計算資源。傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡規(guī)劃設計依據(jù)高可靠思路，形成了冗余復雜的Mesh 網(wǎng)狀網(wǎng)結構。結構化網(wǎng)狀網(wǎng)的物理拓撲在保持高可靠、故障容錯、提升性能上有優(yōu)勢；但此類設計為通用設計方式，依賴純物理冗余拓撲結構的架構，導致設備間連接線路過于復雜，加大了實際運行中運維的工作量，同時，二層環(huán)路出現(xiàn)在網(wǎng)絡中的機率增加。Full Mesh的網(wǎng)絡拓撲結構、鏈路通斷、帶寬增減等狀態(tài)變化、節(jié)點設備故障會導致配置變化，使運維、排故更加復雜。利用網(wǎng)絡虛擬化技術可方便地簡化網(wǎng)絡邏輯架構，整合物理節(jié)點，支持上層應用的快速變化，為數(shù)據(jù)中心網(wǎng)絡結構設計提供良好的解決方案。

傳統(tǒng)數(shù)據(jù)中心服務器區(qū)交換網(wǎng)絡有無環(huán)設計和有環(huán)設計多種選擇方案，網(wǎng)絡拓撲如圖4 所示。

圖4 傳統(tǒng)的多種服務器區(qū)接入網(wǎng)絡拓撲Fig. 4 Traditional servers access to the network map

數(shù)值仿真與中央監(jiān)控系統(tǒng)數(shù)據(jù)中心采用環(huán)路接入拓撲，通過虛擬化設計方式，在不改變網(wǎng)絡物理拓撲結構、保持原布線方式的前提下，完成各層網(wǎng)絡橫向整合（如圖5 所示），即完成節(jié)點內(nèi)多設備組合成一個邏輯交換節(jié)點，被整合設備互連線纜成為設備虛擬化組內(nèi)部互聯(lián)線纜，對邏輯設備外部不可視，對邏輯組內(nèi)設備互聯(lián)接口省去IP 地址配置。

圖5 數(shù)據(jù)中心網(wǎng)絡虛擬化整合Fig. 5 Network virtualization structure of the data centre

虛擬化整合后的節(jié)點，多臺設備工作在同一邏輯組內(nèi)，每臺設備各自獨立的控制器通過設備間互聯(lián)鏈路進行通信，通過選舉出的主設備對整個邏輯組內(nèi)的所有設備進行管理和控制，其控制板負責邏輯組內(nèi)所有端口數(shù)據(jù)轉發(fā)，完成各網(wǎng)絡協(xié)議設置、地址配置。邏輯組內(nèi)多臺設備作為網(wǎng)絡節(jié)點工作時等同單臺設備，繼而簡化對設備配置及管理，同時，使不同網(wǎng)絡層之間的網(wǎng)狀互聯(lián)簡化成單條邏輯鏈路。對于接入服務器而言，多網(wǎng)卡上行接入到虛擬化節(jié)點內(nèi)多臺設備時，由于節(jié)點內(nèi)設備作為一個邏輯節(jié)點，所以可方便地啟用鏈路聚合技術，提供接入鏈路冗余以及帶寬擴展能力。當網(wǎng)絡節(jié)點單臺設備出現(xiàn)故障時，節(jié)點邏輯組內(nèi)存在單臺可用設備即可保證網(wǎng)絡節(jié)點不失效。由于服務器采用多鏈路與網(wǎng)絡節(jié)點連接并采用鏈路聚合協(xié)議，所以單條物理鏈路發(fā)生故障不會導致服務器與網(wǎng)絡節(jié)點間鏈路失效。測試結果表明：當單條物理鏈路或邏輯節(jié)點內(nèi)單臺設備發(fā)生故障時，網(wǎng)絡丟包率為0；在故障節(jié)點設備或故障鏈路恢復過程中，數(shù)據(jù)丟包為1～2 幀，這是因為在設備恢復或鏈路恢復時，節(jié)點內(nèi)設備會再次進行通信協(xié)商，物理鏈路再次聚合時同樣會由于協(xié)議協(xié)商導致數(shù)據(jù)丟幀，但不影響整個網(wǎng)絡通信及業(yè)務應用。通過虛擬化技術可提升網(wǎng)絡冗余度及容錯性，增加網(wǎng)絡可靠性。

4 基于虛擬化技術的網(wǎng)絡安全設計

IT 安全在網(wǎng)絡設計中至關重要，在安全設計中應充分考慮到網(wǎng)絡設備與安全設備的冗余性，但如此會出現(xiàn)多種復雜的設計拓撲，這對實現(xiàn)網(wǎng)絡安全性目標提出了挑戰(zhàn)。利用虛擬化技術可在簡化網(wǎng)絡結構的同時，簡化網(wǎng)絡設備與安全設備之間的對接設計，從而提升系統(tǒng)的安全性和可靠性。

防火墻是網(wǎng)絡安全中一種重要的技術手段和有效的防御工具，防火墻在網(wǎng)絡中的部署模式分為路由模式和透明模式，路由模式在傳統(tǒng)的部署方式中分為Active-Standby 和Active-Active 模式（如圖6 所示）。Active-Standby 模式是指：網(wǎng)絡中二層協(xié)議終止于匯聚層，匯聚和核心的網(wǎng)絡同處一個OSPF 域內(nèi)，為了保證負載均衡，采用多VRRP 組的部署方式；位于核心層和匯聚層間的防火墻接口均設置為三層接口，需要核心、匯聚、防火墻分別啟用兩組VRRP 組才能完成負載均衡功能（如圖6(a)所示）。Active-Active 模式是指：各防火墻作為獨立的路由節(jié)點與交換機組成OSPF 域，路由協(xié)議控制數(shù)據(jù)流經(jīng)的防火墻，雙防火墻相互同步會話信息，由圖6(b)可見12 個路由節(jié)點，至少有12 條路由。

圖6 防火墻路由模式Fig. 6 The firewall routing mode

在數(shù)值仿真與中央監(jiān)控系統(tǒng)中，防火墻采用Acitve-Acitve 方式部署，以提高網(wǎng)絡靈活性和防火墻設備利用率。以實驗分系統(tǒng)為例，在系統(tǒng)接口交換機與實驗監(jiān)控交換機之間部署雙防火墻（如圖7所示）以提升網(wǎng)絡節(jié)點可靠性。啟用網(wǎng)絡虛擬化技術后，實驗監(jiān)控交換機、實驗系統(tǒng)接口交換機、實驗監(jiān)控實時防火墻被整合為一臺邏輯設備，大幅減少了三層接口和路由數(shù)目，使網(wǎng)絡安全結構更為簡單。

圖7 防火墻網(wǎng)絡部署模式Fig. 7 The firewall network deployment mode

5 結束語

通過網(wǎng)絡虛擬化技術構建的數(shù)值仿真與中央監(jiān)控系統(tǒng)網(wǎng)絡，將各節(jié)點多臺網(wǎng)絡設備虛擬化成一臺邏輯設備進行管理和應用。此方式具備分布式設備管理、分布式彈性路由及分布式鏈路聚合特性，與傳統(tǒng)的網(wǎng)絡設計相比，起到簡化網(wǎng)絡設計、創(chuàng)建無環(huán)網(wǎng)絡結構、提高網(wǎng)絡安全性和可靠性、增強網(wǎng)絡可擴展性以及便于后期網(wǎng)絡運行管理的效果。