銀行網絡虛擬化技術規劃

電子商務

作者：韓丹

摘 要 隨著各家銀行的數據中心集中了大量的應用和係統，業務需求的迅猛增長使得應用的推出和升級速度不斷加快，數據中心不斷麵臨著規模擴張要求，並要求獲得更多的硬件、網絡和人力等資源。為了解決在業務運行中遇到的問題：硬件資源利用率低、數據安全性缺乏保障、業務連續性、人員不夠等問題，對銀行金融信息中心對虛擬化技術在銀行信息化建設中的應用進行研究。

關鍵詞 銀行網絡 虛擬化技術 規劃

中圖分類號：TP393 文獻標識碼：A

0引言

網絡虛擬化的作用主要是通過邏輯手段整合或共享物理設備、線路資源來提高資源利用率，從而更有效地利用網絡資源，實現對資源的快速部署以滿足業務的發展需要。網絡虛擬化主要包括網絡設備的虛擬化和數據路徑的虛擬化兩方麵。

網絡設備的虛擬化技術主要有二層的VLAN、三層的VRF和思科Nexus7000交換機的VDC（Virtual Device Context）技術等。VLAN技術可將交換機的接口分成不同的邏輯組，每個邏輯組構成一個二層廣播域，一個VLAN內的設備在二層上可以互相通信，而VLAN之間的設備在二層上不能互相訪問。VRF技術可在1台設備中設置多個路由表和轉發表，各自運行相應的路由協議。

Nexus7000運行NX-OS操作係統，支持設備級虛擬化VDC技術，使用該技術可以將一台Nexus7000交換機在邏輯上模擬成多台虛擬交換機，VDC作為一個單獨的邏輯實體在交換機中運行。VDC的特點如下：（1）數據平麵隔離：每個物理接口同時隻能被分配到一個VDC。（2）控製平麵隔離：每個VDC都有自已的二層/三層的協議進程。（3）管理平麵隔離：每個VDC可以看成單獨的設備，能獨立地進行管理。（4）每個VDC是獨立的故障隔離域，防止某個虛擬設備VDC上的問題影響運行於同一個物理設備上的其他虛擬設備VDC。（5）每個VDC都有自己的配置文件，能獨自進行維護。

數據路徑的虛擬化技術實現的是將一條物理鏈路劃分成多條邏輯鏈路，以達到鏈路複用和安全隔離的作用。如Vlan trunk技術，Vlan trunk是通過對以太幀插入VLAN標識的方法來確保在網絡接口上二層地址空間的隔離，以實現在一條trunk鏈路上可以傳輸多個VLAN的數據。

以上幾種虛擬化技術是本次數據中心網絡結構規劃中需要采用的，其中Nexus7000 VDC是新技術，本章重點對VDC的技術實現及在數據中心網絡結構中的部署做詳細闡述。

1VDC規劃和使用原則

數據中心局域網結構是以高可用的交換核心為中心來互聯各個功能區域，各功能區域之間進行安全隔離，功能區域內的網絡結構采用標準的層次化設計，要求區域網絡可靈活擴展，同時降低綜合布線等日常變更操作的複雜程度，VDC虛擬化技術可以在一定程度上滿足這些需求。VDC的規劃原則如下：（1）在功能區域的區域核心交換機上采用VDC技術，交換核心不進行VDC的劃分。（2）VDC之間進行一定的安全隔離。（3）VDC進行必要冗餘設計並應用相應的高可用策略。

1.1VDC拓撲結構

數據中心標準服務器區、外聯區、FOVA區均使用了VDC虛擬化技術。VDC拓撲規劃如下：（1）標準服務器區、外聯區每台Nexus7010交換機創建2個VDC，其中1個VDC作為區域核心-VDC-2上聯4台交換核心Nexus7018，另1個作為區域核心-VDC-3下聯接入層交換機Nexus5020，缺省VDC用於網絡管理。（2）FOVA區域每台Nexus7010交換機創建3個VDC，包括缺省VDC在內，4個VDC都需要使用。缺省VDC作為區域核心-VDC-1上聯四台交換核心Nexus7018，下聯其它三個新建VDC，這三個新建VDC分別作為區域核心-VDC-2、區域核心-VDC-3和區域核心-VDC-4分屬於三個不同的FOVA區，它們分別下聯不同FOVA區域的接入層交換機。（3）各功能區域的不同區域核心-VDC之間采用防火牆技術進行安全隔離。

1.2VDC劃分

Nexus7000交換機總是存在一個缺省的VDC，第一次登錄到Nexus7000交換機上，首先就進入到缺省的VDC。缺省VDC的作用是創建和刪除其它VDC、給其它VDC分配資源、維護係統等，缺省VDC不能被刪除。目前NX-OS包括缺省VDC在內最多可以支持4個VDC，即可以手工創建3個VDC。除非特別需要外，缺省VDC隻用於管理，不用於實際生產。數據中心局域網結構設計中，VDC的劃分如下：（1）FOVA區域每台Nexus7010交換機新建3個VDC，其它區域每台Nexus7010交換機新建2個VDC。（2）除FOVA區域外，其它功能區域的缺省VDC隻用於係統管理和對其它VDC的管理。（3）在FOVA區域中，包括缺省VDC在內的所有4個VDC用於實際生產。