如果把数据中心比作一个“人”,那么服务器和存储设备构成了数据中心的“器官”,而网络(交换机、路由器、防火墙)就是这个数据中心的“神经网络”。本文重点介绍数据中心的网络架构和总体设计。01.网络分区与平等保护一般情况下,企业基于灵活、安全、易管理的设计原则,会对数据中心网络的物理设备进行分区。通常,数据中心采用核心-汇聚-接入三层网络结构。核心用于所有流量的快速转发,而聚合在每个网络分区上充当网关。一般来说,在数据中心的网络分区中,每个区域会根据预期的流量和服务器数量分配不同的业务网段。同时,在一些防护要求高的区域,会设置防火墙等安全设备,控制进出该区域的流量,如下图:“多重防护”是等级防护的简称.有时,不同业务对服务器的保护级别是不同的。例如,后台存储、磁带库、数据库等服务器的安全与Web、前端、APP等不同。在数据中心网络中,防火墙的作用是划分“等级保险”,控制不同等级保险之间的相互访问。那么如何更好地理解“等待保护”的概念呢?在目前的数据中心网络架构中,既要考虑不同防护等级之间的流量控制,又要考虑路由设计的简单性和速度。目前,几乎所有数据中心的防火墙都采用旁路方式部署。然后配合汇聚交换机上的VRF进行流量控制。02.数据中心网络分区方式分区方式有以下三种。不同的分区方法各有优缺点,通常联合使用。A、按x86服务器、小型机、刀片机、大型机、虚拟机等服务器类型划分。如果完全按照服务器型号来分类,在实际应用中,可能某个企业的小型机使用量很大,而大型机几乎没有用,这会导致小型机的网络区域流量巨大,闲置主机。因此,在目前的数据中心,几乎不可能看到这样的区域分配。B、按应用级别划分。比如Web、APP是前端服务器,而数据库、存储、NFS是后端服务器。所以前端服务器在一个区域,后端服务器在一个区域。在一些企业数据中心,确实是这样分区的。比如所有的web服务器都放在“综合业务区”,数据库放在“生产管理区”(你也看得出来连区名都这么“模糊”)。这样划分的好处是便于管理,因为前端服务区和后端服务区不在一个保险里,前端服务区直接对着办公室,后端-端区服务于前端区,如下图所示:该区的设置方法优点是便于单独管理,缺点是运维工作量太大。比如前端上线了一个新的APP,后端需要相应的数据库支持。这时候系统运维人员就需要找到网络运维人员,让他们在后端区域的防火墙上激活相应的安全策略。考虑到前端和后端之间的连接存在很多非网络问题,而且前端和后端之间有防火墙,所以一旦前端和后端之间的通信出现问题前端和后端,网络运维人员很容易被“封杀”。C.按核心服务、公共服务、办公区、隔离区、开发测试区等应用类型划分。这种划分的好处是前端服务器和后端一个“功能性业务”的服务器都是同一个保险,前后端打通时,网络运维人员不会“背锅”。不过,这样划分会让网络规划有点“乱”。对于一些前期不太注意IP地址规划的管理员来说,可能会对前端服务器和后端服务器的IP地址规划造成一些困扰。例如核心服务器区IP地址段为10.114.128.0/21,这里有10.114.128.0/24---10.114.135.0/24,共16个C段。但是,对于无良的管理员来说,可能会将10.114.128.0/24用作前端IP地址,将10.114.129.0/24用作后端IP地址。这样的话,前后端的IP地址段就会“交叉”。.如果遇到一个极端的情况,在多级数据中心使用MPLSV.PN网络互联“分流”前后端流量时,一旦前后端IP地址段“交叉”,导流会显得极其麻烦。综上所述,每种分区方式各有优缺点,应根据实际情况进行分区。03.数据中心常用的网络架构A.扁平化组网对于功能单一、服务器少于300台的小型数据中心,通常采用两层扁平化组网。即汇聚设备作为网关,接入设备作为二层设备,起到二层通道的作用。对于扁平组网,也分为传统的VRRP+MSTP和“堆叠+链路捆绑”进行组网设计。第一种是VRRP+MSTP的结构,如下图所示:与第一种非常传统的MSTP+VRRP架构相比,第二种“胖树”结构是目前数据中心扁平化组网的常用方式。结构。它的思路是:汇聚交换机必须堆叠,接入交换机按需堆叠,所有冗余链路必须捆绑在一起,形成“胖树”结构。其优点是既保证了设备的冗余性,提高了带宽性能,又从根本上杜绝了二层环路。然而,要实现设备的堆叠,这需要硬件。因此,这种“胖树”网络结构的成本要比第一种高很多。B.三层网络架构对于功能多样、功能分区多的大型数据中心,将采用标准的三层架构。在这种组网方式下,交换核心区是整个数据中心网络的枢纽。核心设备通常部署2-4台大容量高端框式交换机,采用堆叠技术后可以独立部署也可以分组部署(但要考虑到核心和汇聚之间有三层连接,堆叠有有一定的破解风险,所以一般核心会独立部署,即核心只与汇聚互连,核心之间没有互连)分区内网络的汇聚层和接入层堆叠在二层打环。下图是目前主流的数据中心三层网络架构图:在刚才的拓扑图中,各个大区域之间的防火墙采用旁路连接方式。防火墙使用旁路连接的目的也是为了提高可扩展性和与动态路由兼容。在这种结构中,如果core-aggregation-access之间的流量进入防火墙,需要在汇聚交换机上使用VRF进行路由隔离。所以VRF在这个地方的作用就是隔离路由,起到“化旁为串”的作用。本文的难点在于如何画出VRF在汇聚交换机上使用时的业务流程逻辑图。其实刚接到这个项目的时候,我也是花了一段时间才明白这个VRF和绕过防火墙的关系。下面我就为大家简单说说规划业务流程的方法。所谓“单一保护”,其实就是汇聚下的所有业务网段都可以直接访问,流量不需要经过防火墙控制。在这种情况下,只需要一个VRF来隔离聚合核心和聚合防火墙之间的流量。物理连接图如下:由于汇聚接入包括防火墙是双机或者堆叠的,此时可以将汇聚接入暂时画成单台设备,这样物理结构就不会太复杂。然后,将汇聚层设备的图标删除,换成方框。在方框内添加两个小方框,分别代表两个独立三层路由的虚拟设备。全局路由连接到核心,VRF路由连接到接入。然后,在防火墙上“画”两条线,分别与“全局路由”框和“VRF”框互连。连接防火墙和汇聚的两条线路可以是不同的物理接口,也可以是不同的子接口。如下图所示:最后去掉汇聚层设备所在位置的大方框,将防火墙“塞”在“全局路由”和“VRF”的小方框之间。级联流程图已完成。两级防护,要求两级防护内的业务相互通信时,流量需要经过防火墙。这里大家要记住:每一级保护一个VRF,不同级别保护的流量必须放在不同的VRF中。绘制双层保证逻辑流量时,使用的方法与单层保证逻辑流量相同。第一步仍然是将双机结构改为单机结构。不同的是防火墙和汇聚之间需要画三条线。简而言之,聚合下有N个对等保护,在聚合和防火墙之间画了N+1条线。然后,将汇聚层设备的图标删除,换成方框。在方框内添加三个小方框,分别代表三个独立三层路由的虚拟设备,将接入层交换机替换为两个,分别代表1级和2级的接入。然后,去掉大盒子,把防火墙“塞”在“全局路由”小盒子和“VRF-1”、“VRF-2”小盒子之间,形成下图所示的结构:最后,把两个双层保护的“VRF”小方块分别连接到防火墙的两侧。这样就画出了双级保护旁路成串的业务流程逻辑图。根据标记的接口号和规划的IP地址,就可以编写配置脚本了。并且在系列的逻辑图画出来之后,就可以马上知道如何规划静态路由了。记住一件事:标有“Global”、“VRF-1”、“VRF-2”的接口其实都是汇聚交换机。记住这个方法,以后遇到绕过防火墙的时候,下面有N多条同等保护的业务流,也可以照着这个方法去葫芦娃。04、数据中心的未来发展随着大数据时代的到来,企业数据中心承载的业务越来越多,新业务上线速度也越来越快。为满足业务需求,传统数据中心网络将逐步向灵活、简洁、开放的新一代数据中心网络演进。A.弹性弹性是指网络能够实现灵活平滑的扩展,以满足业务持续发展的需要。弹性扩展包括设备级、系统级和数据中心级的扩展。设备级弹性扩展:网络设备需要具备持续平滑的扩展能力。例如,接入交换机可提供25GE/40GE的接入能力,核心交换机可提供100T以上的交换容量,高密度100GE/400GE接口。系统级弹性扩展:数据中心网络需要支持更大规模的二层网络。例如,它提供了接入X百万个10GE服务器的能力。数据中心级弹性扩展:数据中心互联网络必须能够支持多个数据中心的资源整合,实现更大规模虚拟机的跨数据中心迁移。B、简单简单就是让网络更好的为业务服务,能够根据业务调度网络资源。例如,能够实现网络资源和IT资源的统一呈现和管理,能够实现从业务到逻辑网络到物理网络的平滑过渡等。C.开放传统网络的管理和维护是封闭且独立于计算、存储等IT资源。网络打通后,可以打破原有的封闭环境,让网络设备与更多的SDN控制器、第三方管理插件、虚拟化平台等协同工作,打造更加灵活的端到端-端数据中心解决方案。
