基于VCF縱向虛擬技術(shù)網(wǎng)絡(luò)架構(gòu)優(yōu)化的探索與實(shí)踐

葉水勇，王 艷，方 軍，周高樂(lè)，溫永亮，羅志豐，郭小東

（國(guó)網(wǎng)黃山供電公司，安徽 黃山 245000）

0 引言

目前某公司局域網(wǎng)核心為 2 臺(tái) Cisco 6509 系列交換機(jī)，二者互為冗余備份和負(fù)載均衡，通過(guò)千兆光纖鏈路與局域網(wǎng)接入層設(shè)備實(shí)現(xiàn)互聯(lián)。2 臺(tái)核心交換機(jī)各配一塊FWSM 防火墻模塊， 兩塊防火墻模塊做故障切換，即遇到故障時(shí)能快速切換；服務(wù)器VLAN 和調(diào)度三區(qū)的OMS 系統(tǒng)放在防火墻模塊上，通過(guò)在FWSM 建立2 個(gè)虛擬防火墻，并配置安全策略對(duì)這些區(qū)域進(jìn)行安全防護(hù)。 由于核心設(shè)備的特殊性——長(zhǎng)時(shí)間不間斷運(yùn)行、 高負(fù)荷負(fù)載以及高吞吐量的數(shù)據(jù)處理， 因此對(duì)核心設(shè)備的性能、穩(wěn)定運(yùn)行等不容忽視［1-2］，可見(jiàn)核心設(shè)備重要地位顯而易見(jiàn)。

目前該公司2 臺(tái)局域網(wǎng)核心6509 系列交換機(jī)的運(yùn)行時(shí)間分別為2014年和2012年， 在設(shè)備的運(yùn)行期間，設(shè)備的風(fēng)扇、電源模塊、接口板卡等均出現(xiàn)過(guò)故障現(xiàn)象。 由于設(shè)備早已超出原廠的維保時(shí)間和設(shè)備的正常使用壽命，萬(wàn)一設(shè)備出現(xiàn)故障，將得不到廠家及時(shí)的技術(shù)支持， 其后果是整個(gè)公司信息系統(tǒng)癱瘓，業(yè)務(wù)全部中斷。

1 網(wǎng)絡(luò)存在的問(wèn)題分析

1.1 設(shè)備和鏈路帶寬利用率低

由于整個(gè)網(wǎng)絡(luò)系統(tǒng)采用VRRP+MSTP 組網(wǎng)，每個(gè)VRRP 組或MSTP 實(shí)例內(nèi)的兩臺(tái)核心設(shè)備都是主備關(guān)系，即在正常情況下只有主設(shè)備承擔(dān)數(shù)據(jù)轉(zhuǎn)發(fā)，備用設(shè)備和備用鏈路一直處于空閑狀態(tài)， 無(wú)法得到有效利用，設(shè)備和鏈路帶寬的利用率很低。

1.2 配置管理復(fù)雜

在二層網(wǎng)絡(luò)系統(tǒng)中部署MSTP 多生成樹(shù)時(shí)需要詳細(xì)規(guī)劃VLAN 和生成樹(shù)實(shí)例的歸屬， 在三層網(wǎng)絡(luò)系統(tǒng)中部署VRRP 實(shí)現(xiàn)熱備份時(shí)需要詳細(xì)規(guī)劃VRRP Master 的歸屬。 這樣整個(gè)網(wǎng)絡(luò)系統(tǒng)內(nèi)每臺(tái)設(shè)備都需要單獨(dú)配置和維護(hù)，日常運(yùn)維管理的難度和復(fù)雜度就非常大，從而降低了網(wǎng)絡(luò)架構(gòu)擴(kuò)展的靈活性［3-4］。

1.3 MSTP+GLBP組網(wǎng)收斂時(shí)間慢

為防止二層網(wǎng)絡(luò)系統(tǒng)產(chǎn)生網(wǎng)絡(luò)環(huán)路及網(wǎng)關(guān)冗余備份的要求，需在網(wǎng)絡(luò)系統(tǒng)中部署MSTP 和GLBP 協(xié)議。 由于協(xié)議本身的限制，GLBP+MSTP 組網(wǎng)的鏈路震蕩收斂時(shí)間往往需要數(shù)秒，收斂時(shí)間較長(zhǎng)，已無(wú)法滿足業(yè)務(wù)發(fā)展的需要。

針對(duì)上述存在的問(wèn)題， 公司將通過(guò)橫向堆疊與縱向堆疊等虛擬化技術(shù)對(duì)信息內(nèi)網(wǎng)網(wǎng)絡(luò)架構(gòu)進(jìn)行升級(jí)改造，從而提高公司信息內(nèi)網(wǎng)的安全性、穩(wěn)定性和可靠性。

2 虛擬交換技術(shù)的比較和選型

2.1 IRF虛擬交換的技術(shù)方案

智能彈性架構(gòu)技術(shù) IRF（Intelligent Resilient Framework）是一種通過(guò)智能彈性架構(gòu)的虛擬化技術(shù)，將多臺(tái)物理設(shè)備虛擬成1 臺(tái)邏輯設(shè)備，從而使多臺(tái)設(shè)備可以實(shí)現(xiàn)協(xié)同工作和不間斷的統(tǒng)一維護(hù)及管理［5-6］。 IRF 是在對(duì)網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)的連接方式不做任何改變的條件下， 通過(guò)智能彈性架構(gòu)的虛擬化技術(shù)將同一網(wǎng)絡(luò)層的多臺(tái)物理設(shè)備進(jìn)行橫向整合，最終形成1 臺(tái)邏輯設(shè)備，從而使多臺(tái)物理設(shè)備可以實(shí)現(xiàn)協(xié)同工作并統(tǒng)一進(jìn)行維護(hù)管理， 這樣就可以在邏輯上實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)架構(gòu)的優(yōu)化， 并提升網(wǎng)絡(luò)運(yùn)行整體的效率。 IRF 主要有環(huán)型和鏈型兩種橫向堆疊的拓?fù)溥B接方式， 設(shè)備可分為主（Master） 和備（Slave）兩種角色。

2.2 VCF虛擬交換的技術(shù)方案

虛擬融合框架技術(shù) VCF（Virtual Converged Framework）是對(duì)1 臺(tái)已經(jīng)形成的邏輯虛擬設(shè)備從縱向的角度進(jìn)行異步結(jié)構(gòu)的擴(kuò)展。 把1 臺(tái)盒式的設(shè)備當(dāng)成一塊遠(yuǎn)程的接口板融入到主設(shè)備的系統(tǒng)里，從而達(dá)到擴(kuò)展主設(shè)備系統(tǒng)的I／O 端口數(shù)量及實(shí)現(xiàn)對(duì)主設(shè)備系統(tǒng)進(jìn)行集中管控的目的［7-8］。

VCF 的設(shè)備可分為 PE（Port Extender） 和 CB（Controlling Bridge）兩種角色。 其中 PE 為縱向的擴(kuò)展設(shè)備（稱為遠(yuǎn)程的接口板或端口的擴(kuò)展器），CB 為控制設(shè)備；PE 設(shè)備在管理設(shè)備拓?fù)渖系哪芰](méi)有CB 設(shè)備強(qiáng)，不能替代 CB。 如圖1 所示，（a）是框式設(shè)備或是盒式設(shè)備各自形成IRF 堆疊橫向虛擬化系統(tǒng)，有環(huán)形堆疊和鏈型堆疊（虛線存在的情況）兩種拓?fù)湫问剑唬╞） 是框式設(shè)備與盒式設(shè)備形成VCF 縱向虛擬化系統(tǒng)（簡(jiǎn)稱 VCF Fabric）。

圖1 IRF 橫向虛擬化和VCF 縱向虛擬化對(duì)比圖

一般來(lái)說(shuō)IRF 橫向堆疊是由Master 來(lái)管理控制，系統(tǒng)端口的密度及轉(zhuǎn)發(fā)能力是隨著Slave 的增加而不斷增加。 對(duì)于VCF 縱向堆疊是由CB 來(lái)管理控制， 系統(tǒng)端口的密度是隨著PE 的增加而不斷增加，但系統(tǒng)轉(zhuǎn)發(fā)能力總體上是取決于CB 設(shè)備。

通過(guò)對(duì)上述兩種虛擬交換技術(shù)方案比較， 決定采用IRF 橫向堆疊與VCF 縱向堆疊技術(shù)對(duì)信息內(nèi)網(wǎng)網(wǎng)絡(luò)架構(gòu)進(jìn)行升級(jí)改造。

2.3 VCF的技術(shù)機(jī)制

在VCF 中一般是使用成本較低的盒式設(shè)備來(lái)作為PE，而使用處理能力比較強(qiáng)的框式設(shè)備或盒式設(shè)備來(lái)作為CB。 在實(shí)際使用中CB 一般是采用橫向堆疊，這樣可以使 PE 的上行實(shí)現(xiàn)冗余［9-10］。在圖2 中PE 為盒式設(shè)備，CB 為 IRF 堆疊，PE 與 CB 之間的互聯(lián)口又稱為縱向Fabric 口，PE 與CB 形成的堆疊設(shè)備對(duì)外來(lái)說(shuō)就相當(dāng)于1 臺(tái)設(shè)備，只有1 個(gè)管理點(diǎn)。整個(gè)拓?fù)浣▋蓚€(gè)方面：一方面是多臺(tái)CB 設(shè)備依據(jù)IRF 相關(guān)規(guī)則和拓?fù)溆?jì)算建立橫向堆疊； 另一方面是CB 通過(guò)縱向 Fabric 口向外發(fā)送HELLO 報(bào)文，根據(jù)PE 反饋信息建立縱向Fabric。

如圖3 所示， 縱向 Fabric 建立過(guò)程主要分為四步：第一步，完成擴(kuò)展板編號(hào)（SLot-ID）的分配和獲?。?1-12］。 CB 上 VCF Fabric 口會(huì)周期性地發(fā)送探測(cè)報(bào)文，一旦Slot-ID 分配完成則停止發(fā)送。第二步，完成軟件的加載。包括PE 發(fā)送加載請(qǐng)求，CB 提供版本文件描述信息， 以及確認(rèn)加載和加載完成等幾個(gè)子過(guò)程。 這其中Bootware（類似于個(gè)人電腦上的BIOS）和App（即主機(jī)軟件）的加載實(shí)現(xiàn)過(guò)程類似。 第三步，PE以下載后的版本重啟并完成在CB 的注冊(cè)。 第四步，CB 向PE 下發(fā)配置信息。

圖2 VCF 典型拓?fù)鋱D

圖3 PE 加入以及VCF 建立過(guò)程圖

如圖4 所示，PE 與 CB 之間的縱向 Fabric 口連接就相當(dāng)于框式設(shè)備的背板連接，PE 與CB 之間在邏輯上通常以HASH 的方式對(duì)多個(gè)物理線路進(jìn)行捆綁形成連接鏈路，從而使帶寬得到增加并使上、下行流量的收斂比保持在合適的水平上［13-14］。

圖4 VCF Fabric 連接方式圖

3 實(shí)施部署方案

此次網(wǎng)絡(luò)架構(gòu)優(yōu)化主要涉及兩部分的業(yè)務(wù)，一部分是核心設(shè)備上的業(yè)務(wù)， 一部分是防火墻板卡的業(yè)務(wù)。針對(duì)這種情況，此次網(wǎng)絡(luò)架構(gòu)優(yōu)化將通過(guò)兩部分實(shí)施完成： 將舊的兩臺(tái)C6509 核心交換機(jī)更換為國(guó)網(wǎng)采購(gòu)的兩臺(tái)H3C 10510 核心交換機(jī)， 并利用IRF2 技術(shù)實(shí)現(xiàn)核心層交換機(jī)虛擬化部署，加強(qiáng)核心網(wǎng)絡(luò)的可靠性和穩(wěn)定性； 將兩塊FWSM 防火墻模塊更換為兩臺(tái)啟明星辰USG-FW-1200SP，完成舊核心網(wǎng)絡(luò)設(shè)備上業(yè)務(wù)遷移至新的核心交換機(jī)， 并保證遷移后所有業(yè)務(wù)系統(tǒng)的正常運(yùn)行及整個(gè)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。

3.1 核心網(wǎng)絡(luò)設(shè)備虛擬化方案

原有大樓信息機(jī)房的兩臺(tái)信息內(nèi)網(wǎng)核心交換機(jī)由GLBP+MSTP 模式更換為兩臺(tái)H3C LS-10510E 交換機(jī)組成的IRF2 組網(wǎng)模式，實(shí)現(xiàn)虛擬化。 所有雙鏈路接入核心設(shè)備的鏈路更改為聚合鏈路， 實(shí)現(xiàn)邏輯上單鏈路接入，提升接入帶寬，并在邏輯上做到無(wú)環(huán)網(wǎng)絡(luò)運(yùn)行［15-16］。

3.1.1 核心層的架構(gòu)設(shè)計(jì)

核心設(shè)備采用兩臺(tái)H3C LS-10510E 交換機(jī)，并在每臺(tái)核心主干交換機(jī)上配置一塊具備萬(wàn)兆接口的板卡， 將每臺(tái)核心主干交換機(jī)上萬(wàn)兆模塊配有2 個(gè)10 GB 的以太網(wǎng)接口通過(guò)萬(wàn)兆尾釬實(shí)現(xiàn)互聯(lián)， 利用IRF 技術(shù)實(shí)現(xiàn)鏈路的冗余， 這樣就可以防止某臺(tái)核心設(shè)備的引擎出現(xiàn)故障時(shí)， 網(wǎng)絡(luò)不會(huì)出現(xiàn)雙激活的狀態(tài)。在這個(gè)IRF 中，通過(guò)板卡和引擎上的萬(wàn)兆接口將2 個(gè)機(jī)箱實(shí)現(xiàn)互聯(lián)， 并激活2 個(gè)機(jī)箱的交換陣列和數(shù)據(jù)平面，這樣當(dāng)1 個(gè)虛擬交換機(jī)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)系統(tǒng)就不需要利用L2／L3 協(xié)議進(jìn)行重收斂， 就可以在1 秒內(nèi)完成虛擬交換機(jī)的轉(zhuǎn)換， 保證網(wǎng)絡(luò)系統(tǒng)正常穩(wěn)定運(yùn)行。

3.1.2 接入層的架構(gòu)設(shè)計(jì)

每個(gè)接入層交換機(jī)都采用雙鏈路模式， 與核心交換機(jī)實(shí)現(xiàn)雙鏈路的冗余， 且采用STP 生成樹(shù)協(xié)議來(lái)防止網(wǎng)絡(luò)出現(xiàn)環(huán)路， 從而可以實(shí)現(xiàn)故障的自動(dòng)切換。 IRF 實(shí)現(xiàn)之后，兩條鏈路采用聚合的方式與核心互聯(lián)，充分利用兩條鏈路，使帶寬得以翻倍，一旦有鏈路中斷，會(huì)比生成樹(shù)協(xié)議更快的速度實(shí)現(xiàn)收斂。

3.2 防火墻遷移方案

公司原網(wǎng)絡(luò)架構(gòu)中， 通過(guò)部署在Cisco 6509 交換機(jī)上的防火墻模塊， 實(shí)現(xiàn)對(duì)現(xiàn)有網(wǎng)絡(luò)中服務(wù)器區(qū)的網(wǎng)絡(luò)安全防護(hù)，但考慮到安全性和穩(wěn)定性，決定將防護(hù)功能從原有交換模塊上剝離，通過(guò)本次改造，由兩臺(tái)啟明星辰USG-FW-1200SP 承擔(dān)起服務(wù)器區(qū)防護(hù)的任務(wù)， 為了更高的安全模式和對(duì)不同業(yè)務(wù)采用不同的安全策略，需將服務(wù)器區(qū)各業(yè)務(wù)系統(tǒng)（caiwu、server1、server2、OMS）的網(wǎng)關(guān)部署在防火墻，每個(gè)業(yè)務(wù)區(qū)單獨(dú)一條線路從核心交換區(qū)到防火墻， 所有訪問(wèn)服務(wù)器區(qū)的流量， 都通過(guò)防火墻進(jìn)行流量安全清洗后，重新灌回網(wǎng)絡(luò)。

4 實(shí)施效果

4.1 簡(jiǎn)化網(wǎng)絡(luò)的配置管理

主干設(shè)備升級(jí)改造后，兩臺(tái)主干設(shè)備就虛擬成1 臺(tái)設(shè)備，通過(guò)連接到某臺(tái)設(shè)備的Console 口就可以登錄到虛擬后的邏輯設(shè)備進(jìn)行配置管理， 配置1 次就可以完成對(duì)兩臺(tái)設(shè)備的配置， 而不需要對(duì)兩臺(tái)設(shè)備分別進(jìn)行配置。 只需配置1 個(gè)管理地址即可管理兩臺(tái)設(shè)備，原市公司、省公司和國(guó)網(wǎng)公司監(jiān)控的兩臺(tái)內(nèi)網(wǎng)核心設(shè)備的地址減少為1 個(gè)，節(jié)省了市公司、省公司和國(guó)網(wǎng)公司監(jiān)控軟件的節(jié)點(diǎn)數(shù)。

4.2 優(yōu)化網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)行

主干設(shè)備升級(jí)改造后， 原先雙鏈路上行至兩臺(tái)核心的接入設(shè)備可以通過(guò)配置鏈路聚合來(lái)消除二層環(huán)路、提高鏈路帶寬。同時(shí)可減少網(wǎng)絡(luò)設(shè)備之間存在的大量協(xié)議交互報(bào)文， 這樣當(dāng)網(wǎng)絡(luò)出現(xiàn)動(dòng)蕩時(shí)可以縮短收斂時(shí)間，簡(jiǎn)化網(wǎng)絡(luò)的運(yùn)行［17-18］。

4.3 提高網(wǎng)絡(luò)的運(yùn)行可靠性

主干設(shè)備升級(jí)改造后，一旦某臺(tái)設(shè)備出現(xiàn)故障，網(wǎng)絡(luò)系統(tǒng)運(yùn)行的各種協(xié)議、 配置信息會(huì)自動(dòng)備份轉(zhuǎn)移到另一臺(tái)設(shè)備上， 從而確保網(wǎng)絡(luò)系統(tǒng)中的各類業(yè)務(wù)不會(huì)出現(xiàn)中斷，實(shí)現(xiàn)設(shè)備的N-1 備份，提高網(wǎng)絡(luò)的運(yùn)行可靠性。

4.4 局域網(wǎng)性能得到優(yōu)化

現(xiàn)在通過(guò)雙鏈路連接內(nèi)網(wǎng)核心設(shè)備的局域網(wǎng)接入設(shè)備和匯聚設(shè)備都配置stp 協(xié)議來(lái)消除環(huán)路，雙上行鏈路只有1 條鏈路承載業(yè)務(wù)流量。 內(nèi)網(wǎng)核心在IRF+VCF 架構(gòu)形成后可以將以上設(shè)備的雙上行鏈路進(jìn)行鏈路的聚合， 兩條鏈路都承載業(yè)務(wù)流量并且互為備份，即消除了二層環(huán)路又提高了鏈路的帶寬。

5 結(jié)束語(yǔ)

本文針對(duì)公司信息內(nèi)網(wǎng)存在的網(wǎng)絡(luò)運(yùn)行問(wèn)題，通過(guò)采用IRF 橫向堆疊與VCF 縱向堆疊技術(shù)對(duì)信息內(nèi)網(wǎng)網(wǎng)絡(luò)架構(gòu)進(jìn)行升級(jí)改造。 網(wǎng)絡(luò)升級(jí)改造后，網(wǎng)絡(luò)中不再有空閑的熱備核心設(shè)備，信息內(nèi)網(wǎng)核心的性能提升1 倍；網(wǎng)絡(luò)中不再有空閑冗余光纖鏈路，所有接入上聯(lián)的兩條1 000 MB 的光纖聚合為1 條2 000 MB 的鏈路通道； 核心設(shè)備以及光纖的物理?yè)p壞，備用設(shè)備接替工作的中斷時(shí)間達(dá)到毫秒標(biāo)準(zhǔn)，滿足存儲(chǔ)系統(tǒng)及小機(jī)系統(tǒng)的網(wǎng)絡(luò)切換需求； 部分網(wǎng)絡(luò)得以簡(jiǎn)化，消除了大量生成樹(shù)協(xié)議，減少了網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)資源的內(nèi)耗。 從而有效提高公司信息網(wǎng)絡(luò)運(yùn)行的安全性、穩(wěn)定性和可靠性，為公司各業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行提供堅(jiān)強(qiáng)的保障。