江苏龙网

  1. 首页 > 资讯 > 科技 > >

技术编程|网络架构,是数据中心的“神经脉络”( 二 )


如果遇到一种极端的情况 , 在多级数据中心使用MPLS V.PN网络对接 , 让前端和后端的流量“分流”时 , 这种前端和后端IP地址段一“交叉” , 分流就会显得极其麻烦 。
综上所述 , 每一种分区的方式 , 都有自己的优点和缺点 , 所以也要按照实际情况进行分区 。
03 数据中心常用网络架构
A.扁平化组网
对于功能单一 , 服务器数量小于300台的小型数据中心来说 , 通常情况下都会采用两层式的扁平化组网 。 也就是汇聚设备担任网关 , 接入设备就是一个二层设备 , 打通二层通道的功能 。 对于扁平化的组网 , 也分为比较传统的VRRP+MSTP , 和“堆叠+链路捆绑”两种方式进行组网设计 。
第一种就是VRRP+MSTP的结构 , 如下图所示:
相比起第一种非常传统的MSTP+VRRP的架构 , 第二种“胖树”结构 , 则是当前数据中心扁平化组网的常用结构 。 它的思路是:汇聚交换机必然堆叠 , 接入交换机按需堆叠 , 所有冗余链路必须捆绑 , 形成一个“胖树”状结构 。 它的优点就是 , 既保证了设备的冗余性 , 提升带宽性能 , 也能从根本上防止二层环路 。 但是 , 要实现设备的堆叠 , 这个对硬件有要求 , 所以 , 这种“胖树”状结构的组网 , 成本比起第一种来说要高不少 。

技术编程|网络架构,是数据中心的“神经脉络”
本文插图

B.三层组网架构
对于大型数据中心 , 功能多样 , 且要进行功能分区的场合 , 就会采用标准的三层架构 。
在这种组网方式中 , 交换核心区是整个数据中心网络的枢纽 , 核心设备通常部署2-4台大容量高端框式交换机 , 可以是独立部署 , 也可以通过堆叠技术后成组部署(但是考虑到核心和汇聚之间都是三层连接 , 且堆叠有一定裂开风险 , 所以一般核心都会采用独立部署的方式 , 即核心之间只和汇聚之间有互联 , 核心之间无互联)
分区内的汇聚层和接入层通过堆叠实现二层破环 。
下图为大家展示了一个当前主流的数据中心三层组网架构图:
刚才的拓扑图中 , 各个大区域之间的防火墙采用了旁路的连接方式 。 防火墙采用旁路连接的目的 , 也是为了提升可扩展性 , 并且可以兼容动态路由 。 而这种结构 , 要想实现核心—汇聚—接入之间的流量进入防火墙 , 就需要使用VRF在汇聚交换机上隔离路由了 。 所以 , VRF在这个地方 , 起到的作用是隔离路由 , 起到一个“化旁路为串联”的作用 。
本文的难点 , 也正好是汇聚交换机上使用VRF时 , 这个业务流的逻辑图如何画出 。 实际上 , 我本人在刚接到这个项目的时候 , 也是花了一段时间来理解这个VRF和旁路防火墙之间的关系的 。 下面我可以简单为大家说一下划业务流的方法 。
所谓“单一等保” , 实际上就是汇聚下方的所有业务网段可以直接访问 , 流量无需经过防火墙控制 。 在这种情况下 , 就只需要一个VRF , 把汇聚—核心和汇聚—防火墙之间的流量隔离开即可 。
物理连接图如下:
由于汇聚、接入 , 包括防火墙做了双机或者堆叠 , 所以在此时可以将汇聚、接入先暂时画成单个设备 , 这样物理结构就不会太复杂了 。
然后 , 去掉汇聚层设备的图标 , 用一个方框来代替 。 在方框内部添加两个小方框 , 代表两个拥有独立三层路由的虚拟设备 , 与核心连接的是全局路由 , 与接入连接的是VRF路由 。 然后 , 防火墙上“画出”两条线 , 分别与“全局路由”小框和“VRF”小框互联 。 防火墙与汇聚连接的两条线 , 可以是不同的物理接口 , 也可以是不同的子接口 。 如下图所示:
最后 , 去掉汇聚层设备位置的大方块 , 将防火墙“塞”在“全局路由”小框和“VRF”小框之间 , 这样 , 一个单一等保级别的 , 化旁路为串联的流量图就完成了 。
两个等保级别 , 这就要求了两个等保级别内的业务在互访时 , 流量需要经过防火墙 。 这里你就要记住:一个等保一个VRF , 不同等保级别的流量要放在不同的VRF内 。


推荐阅读


上一篇:行业互联网|「今日经开区」| 足音铿锵!盐城经开区高质量发展阔步前行

下一篇:手机使用技巧|终于搞明白了!手机弹出“系统更新”,究竟要不要更新?