張文迪+趙政+高潮

摘要近年來，隨著云計算、虛擬化技術的引入和網(wǎng)絡安全防護要求的持續(xù)提升，原有的網(wǎng)絡安全域劃分和安全防護能力已不能適應業(yè)務發(fā)展的需要，需要通過本次業(yè)務支撐網(wǎng)資源池改造專項工作，實現(xiàn)軟硬分離、硬件通用化、功能軟件化、網(wǎng)絡扁平化、新功能可快速部署、基礎資源虛擬化、資源可動態(tài)平滑擴展等能力。擬討論業(yè)務支撐云資源池安全域改造方案，主要實現(xiàn)云計算資源池的安全改造。

關鍵詞資源池虛擬化安全域；改造

針對省內(nèi)大數(shù)據(jù)虛擬化資源池、4A及SMP資源池、客服及BOMC資源池和開發(fā)測試資源池的網(wǎng)絡改造需求主要包括：1）劃分不同安全域，各域之間補充部署獨立的接入設備和安全防護設備；2）東西向流量做到相應的安全防護；3）對不符合集中分組要求的已運行虛擬資源，評估業(yè)務影響后，組織進行必要的資源遷移。

1建設方案

1.1整體架構

建設架構如圖1所示。

基于現(xiàn)網(wǎng)資源，采用新增和替換設備的方式構建8樓資源池二層數(shù)據(jù)中心網(wǎng)絡，使用虛擬網(wǎng)絡分組技術在資源池內(nèi)劃分獨立的邏輯子域，新建NFV安全資源池，域間安全隔離采用物理或者邏輯上進行域間安全防護；在互聯(lián)網(wǎng)接口子域內(nèi)部新增三類獨立子域，進行分類隔離防護；開發(fā)測試子域新增敏感數(shù)據(jù)脫敏檢查設備，開發(fā)測試子域與生產(chǎn)系統(tǒng)之間新增防繞行檢測設備。

1.2具體改造方案

由于現(xiàn)網(wǎng)絡設備和架構無法對虛擬化資源池資源、物理資源和邏輯子域?qū)嵤┗玖６鹊脑L問控制策略，故在八樓資源池新增2臺核心交換，替換現(xiàn)網(wǎng)2臺華為S9312為數(shù)據(jù)中心級交換機，采用虛擬化技術，簡化網(wǎng)絡結構、方便設備維護并提供安全保障。新增交換機支持VxLAN功能，實現(xiàn)不同VxLAN之間的三層互通，及VxLAN與VLAN之間的三層互通。

替換后的接入交換機做為VxLAN二層網(wǎng)關，實現(xiàn)相同VxLAN之間的二層互通，通過10GE鏈路上聯(lián)至新增核心交換機，服務器通過10GE鏈路上聯(lián)至接入交換機。新增核心交換機做為VxLAN三層網(wǎng)關。

八樓資源池虛擬化平臺部署vSwitch，每臺物理主機需部署一個vSwitch做為虛擬機的接入交換機，vSwitch結合VxLAN網(wǎng)絡做二層網(wǎng)關，對Ⅷ做邏輯劃分，實現(xiàn)報文封裝解封裝。

八樓安全管理子域內(nèi)新增NFV的安全資源池（支持X86架構）。采用虛擬防火墻功能實現(xiàn)東西向流量的邏輯安全防護。

改造后，資源池內(nèi)部劃分成核心資源子域、接入資源子域和安全管理子域?，F(xiàn)網(wǎng)測試區(qū)劃分至接入資源子域，4A和SMP系統(tǒng)劃分至安全管理子域中，其他業(yè)務系統(tǒng)劃分成核心資源子域。采用VxLAN實現(xiàn)各子域間的安全防護和訪問管控。

改造后各子域流量訪問如下描述：1）現(xiàn)網(wǎng)改造后核心資源子域和接入資源子域南北向流量通過現(xiàn)網(wǎng)出口物理防火墻進行流量的控制與防護；2）改造后域間流量必須通過安全管理子域的調(diào)度實現(xiàn)預間訪問，采用VxLAN和安全資源池內(nèi)的虛擬防火墻進行安全隔離或防護；3）改造后同一域內(nèi)不同VxLAN業(yè)務流隔離方式有2種，根據(jù)不同業(yè)務配置不同的策略，第一種是通過VxLAN三層網(wǎng)關實現(xiàn)業(yè)務隔離，第二種是域內(nèi)流經(jīng)過VxLAN三層網(wǎng)關和安全資源池內(nèi)的虛擬防火墻進行安全隔離或防護。

整個網(wǎng)絡分為underlay網(wǎng)絡和overlay網(wǎng)絡，把各域分配到不同的overlay網(wǎng)絡，承載不同域業(yè)務，從邏輯網(wǎng)絡層面劃分安全域。域間流量控制通過SDN流量調(diào)度，采用虛擬網(wǎng)絡分組技術實現(xiàn)安全防護，保障業(yè)務安全隔離。

2網(wǎng)絡規(guī)劃方案

2.1IP地址規(guī)劃

1）IP地址分配基本分為以下兩大類。網(wǎng)絡地址：包括網(wǎng)絡互聯(lián)地址（點對點鏈路或其他鏈路地址）、網(wǎng)絡設備本身地址（三層設備LOOPBACK地址和二層設備管理地址）；業(yè)務地址：包括內(nèi)部私網(wǎng)地址、對外服務公網(wǎng)IP地址，如虛擬主機地址、物理主機地址、存儲設備地址等。

2）地址分配原則。地址按照地址聚合原則分片分配，盡量做到地址高效聚合，減少路由表規(guī)模。

3）內(nèi)私網(wǎng)IP地址分配原則。根據(jù)不同的安全等級劃分到不同的資源池，不同的資源池分配不同的IP地址段；考慮到業(yè)務發(fā)展需要同一資源池內(nèi)的IP地址分配時需要使用VSLM和CIDR技術用于擴展和節(jié)約IP地址使用。

4）對外服務公網(wǎng)IP地址分配原則。由于公網(wǎng)IP地址需求會少于內(nèi)部私網(wǎng)IP地址需求，公網(wǎng)IP地址分配原則建議采用類似城域網(wǎng)IP地址分配原則：（1）根據(jù)不同的業(yè)務系統(tǒng)分配不同的IP地址段；（2）同一中心的相同業(yè)務系統(tǒng)分配相同的IP地址段；（3）考慮到業(yè)務發(fā)展和擴展性，建議每段IP地址充分預留。

例如：對外服務的云計算根據(jù)用戶和業(yè)務統(tǒng)一規(guī)劃IP地址，包括業(yè)務地址、設備管理地址、設備互連地址、管理平臺地址等。

在內(nèi)部使用私有IP地址，根據(jù)VLAN和業(yè)務分配地址段，并進行一定比例的預留，以便于擴展。對于有外網(wǎng)訪問需求的業(yè)務，在防火墻上進行IP地址轉(zhuǎn)換，提供公網(wǎng)IP地址池。

2.2 VxLAN規(guī)劃

云平臺根據(jù)用戶業(yè)務類型統(tǒng)一規(guī)劃VxLAN，物理機及虛擬機VxLAN規(guī)劃如下。

針對物理主機的VxLAN規(guī)劃相對簡單。將承擔同樣角色的主機劃歸到一個VxLAN內(nèi)即可，如10臺主機都是WEB服務器，那么將這10臺主機劃在一個VxLAN內(nèi)，通過負載均衡設備實現(xiàn)業(yè)務響應的輪循即可。

由于虛擬機的出現(xiàn)目前通用的方案是由虛擬交換機打VxLANtag，這樣到達鄰接交換機的數(shù)據(jù)流對應不同虛擬機就由不同的VxLAN號了，根據(jù)VLAN號臨接交換機則可以進行針對性的網(wǎng)絡策略配置。同一中心內(nèi)大的原則就是相同業(yè)務部署相同VxLAN。將位于兩中心的物理服務器規(guī)劃在同一VxLAN內(nèi)，則可以實現(xiàn)虛擬機的跨中心遷移了。

2.3 SDN控制平臺規(guī)劃

標準x86平臺部署和VxLAN云主控部署，支持集群設計最大32臺，具備高可靠和可用性。能夠管理5個VxLAN硬件網(wǎng)關，部署100個服務鏈節(jié)點；實現(xiàn)混合overlay部署（vSwitch虛擬化平臺部署和硬件部署），vSwitch管理64顆CPU，能與蘇研虛擬化平臺友好對接，提供物理主機和Ⅷ虛機同時接入overlay網(wǎng)絡。

3結論

通過支撐網(wǎng)資源池的改造，劃分不同安全域，各域之間補充部署獨立的接入設備和安全防護設備；對東西向流量做到相應的安全防護；對不符合集中分組要求的已運行虛擬資源，組織進行必要的資源遷移。