IDC網(wǎng)絡(luò)面臨的新挑戰(zhàn)

　　隨著云計(jì)算的快速興起，作為IDC（Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心）市場(chǎng)主要玩家的各大運(yùn)營(yíng)商，都在加速建設(shè)依托云計(jì)算平臺(tái)的數(shù)據(jù)中心，將計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源作為服務(wù)提供給客戶，以提升IDC業(yè)務(wù)的盈利水平。

　　IDC網(wǎng)絡(luò)是云計(jì)算數(shù)據(jù)中心的核心，負(fù)責(zé)連接各種物理資源（服務(wù)器、存儲(chǔ)設(shè)備）和虛擬資源（虛擬機(jī)、虛擬存儲(chǔ)空間等）。近年來互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展日新月異，給IDC網(wǎng)絡(luò)帶來了不少新挑戰(zhàn)。

　　如何適應(yīng)流量模型的巨大變化

　　在云計(jì)算時(shí)代，東西流量將成為數(shù)據(jù)中心內(nèi)部的主導(dǎo)流量。在傳統(tǒng)的數(shù)據(jù)中心里，應(yīng)用主要部署在單臺(tái)或少量幾臺(tái)服務(wù)器上，服務(wù)器之間通信較少，主要是向數(shù)據(jù)中心外部提供服務(wù)，因此網(wǎng)絡(luò)流量以南北流量為主。基于該流量模型，傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)采用流量逐級(jí)收斂的設(shè)計(jì)，一般從接入層到核心層的收斂比在1:3–1:20之間，這種設(shè)計(jì)方式在滿足流量需求的同時(shí)，降低了投資成本。但是，隨著搜索、網(wǎng)絡(luò)游戲、大型企業(yè)應(yīng)用等業(yè)務(wù)的出現(xiàn)，單臺(tái)服務(wù)器無法完成巨大的計(jì)算任務(wù)，需要部署大規(guī)模集群計(jì)算，數(shù)千臺(tái)甚至數(shù)萬臺(tái)服務(wù)器協(xié)同工作，只有少量的服務(wù)器對(duì)外提供應(yīng)用入口，而其余服務(wù)器負(fù)責(zé)應(yīng)用計(jì)算，服務(wù)器之間的應(yīng)用數(shù)據(jù)交換、狀態(tài)同步等流量將成為數(shù)據(jù)中心的主要流量。據(jù)預(yù)測(cè)，數(shù)據(jù)中心的網(wǎng)絡(luò)流量將從早期的“80%為南北向流量”，轉(zhuǎn)變?yōu)?ldquo;70%為東西向流量”。

　　盡管數(shù)據(jù)中心內(nèi)部流量將以東西流量為主，但出口流量仍然會(huì)快速增長(zhǎng)。據(jù)預(yù)測(cè)，全球數(shù)據(jù)中心IP流量年均增長(zhǎng)率為33%，到2016年數(shù)據(jù)總量將增長(zhǎng)到4.8ZB。運(yùn)營(yíng)商目前的數(shù)據(jù)中心出口流量超過200G的已經(jīng)不在少數(shù)，中國(guó)電信西部數(shù)據(jù)中心的出口流量更是高達(dá)600G。

　　如何滿足10GE/40GE/100GE服務(wù)器端口接入

　　隨著服務(wù)器性能的提升以及虛擬機(jī)的部署，數(shù)據(jù)中心需要更多網(wǎng)絡(luò)接入帶寬。據(jù)IDC預(yù)測(cè)，2014年服務(wù)器10GE端口部署量將超過GE端口，成為市場(chǎng)主流，接入層上行將演進(jìn)到40GE；未來10年接入端口將向40GE甚至100GE演進(jìn)，數(shù)據(jù)中心網(wǎng)絡(luò)則需要提供更大的接入帶寬和交換容量，同時(shí)避免網(wǎng)絡(luò)的頻繁升級(jí)，減少對(duì)業(yè)務(wù)的影響。

　　虛擬機(jī)的部署對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的新要求

　　虛擬機(jī)技術(shù)實(shí)現(xiàn)了操作系統(tǒng)和硬件的解耦，能夠極大提升服務(wù)器的資源利用效率。目前虛擬機(jī)的部署已經(jīng)非常普遍，超過50%的計(jì)算是在虛擬機(jī)上完成的。虛擬機(jī)的規(guī)模部署，不可避免地涉及到虛擬機(jī)在服務(wù)器間的動(dòng)態(tài)遷移，這對(duì)網(wǎng)絡(luò)提出了新的要求：首先需要構(gòu)建大二層網(wǎng)絡(luò)，從而實(shí)現(xiàn)設(shè)備的虛擬池化；其次要保證網(wǎng)絡(luò)的低時(shí)延和高帶寬，虛擬機(jī)遷移一般需要保證時(shí)延在5ms之內(nèi)，高帶寬則有助于在短時(shí)間內(nèi)完成遷移；能夠動(dòng)態(tài)自動(dòng)部署網(wǎng)絡(luò)策略的虛擬機(jī)感知技術(shù)也不可或缺。

　　如何滿足用戶對(duì)安全的訴求

　　近年來，網(wǎng)絡(luò)安全事故頻發(fā)，社交網(wǎng)站用戶名密碼泄漏、信用卡支付信息失竊、公司數(shù)據(jù)庫(kù)被盜等事件引起了廣泛關(guān)注，IDC作為互聯(lián)網(wǎng)的數(shù)據(jù)存儲(chǔ)和處理中心，面臨更多的安全攻擊。另一方面，IDC用戶越來越關(guān)注安全服務(wù)，Gartner的報(bào)告顯示，超過一半的用戶將安全服務(wù)放在了實(shí)施云計(jì)算考慮因素的首位。

　　云計(jì)算也給IDC網(wǎng)絡(luò)安全帶來了更大的挑戰(zhàn)：網(wǎng)絡(luò)邊界的模糊化、威脅種類的變化以及大流量的DDoS攻擊，將對(duì)IDC網(wǎng)絡(luò)產(chǎn)生巨大沖擊；虛擬化平臺(tái)運(yùn)行在操作系統(tǒng)與物理設(shè)備之間，其本身設(shè)計(jì)存在的漏洞風(fēng)險(xiǎn)將成為云計(jì)算的致命弱點(diǎn)；由于用戶共享，不同安全需求的租戶可能運(yùn)行在同一臺(tái)物理機(jī)上，這種租戶共享帶來的安全問題，傳統(tǒng)安全措施難以處理；在數(shù)據(jù)管理方面，應(yīng)用系統(tǒng)和資源所有權(quán)的分離，導(dǎo)致云平臺(tái)管理員有可能訪問用戶數(shù)據(jù)，造成人為數(shù)據(jù)泄露。

　　構(gòu)建面向未來的數(shù)據(jù)中心網(wǎng)絡(luò)

　　針對(duì)上述挑戰(zhàn)，華為推出Cloud Fabric數(shù)據(jù)中心網(wǎng)絡(luò)解決方案，全力幫助運(yùn)營(yíng)商構(gòu)建面向未來的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，讓網(wǎng)絡(luò)不再是阻礙云計(jì)算數(shù)據(jù)中心蓬勃發(fā)展的瓶頸。

　　彈性架構(gòu)

　　為了應(yīng)對(duì)數(shù)據(jù)中心東西流量的快速增長(zhǎng)，以及未來服務(wù)器的升級(jí)換代，在數(shù)據(jù)中心設(shè)計(jì)時(shí)就應(yīng)當(dāng)選擇一種彈性的網(wǎng)絡(luò)架構(gòu)。交換機(jī)作為數(shù)據(jù)中心網(wǎng)絡(luò)的核心設(shè)備，其性能、容量和演進(jìn)能力將對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生非常重要的影響。Cloud Fabric方案采用CE12800系列數(shù)據(jù)中心交換機(jī)，具有48T超大交換容量，T比特高密線卡，整網(wǎng)可達(dá)到360T的無阻塞交換，支持高密服務(wù)器接入，能滿足GE/10GE到40GE/100GE的4代服務(wù)器演進(jìn)需求。

　　出口路由器NE5000E采用先進(jìn)的無阻塞交換網(wǎng)絡(luò)架構(gòu)，可提供海量交換容量和超高轉(zhuǎn)發(fā)性能，同時(shí)擁有強(qiáng)大的集群能力，“2+8”集群的系統(tǒng)吞吐量超過100Tbps，集群容量和擴(kuò)展能力可充分滿足數(shù)據(jù)中心部署超大帶寬業(yè)務(wù)的需要。2013年4月，華為發(fā)布了1T路由線卡，該線卡可以支持高密度100GE、40GE端口，交換容量達(dá)到32Tbps。

　　可運(yùn)營(yíng)的虛擬化網(wǎng)絡(luò)

　　華為數(shù)據(jù)中心交換機(jī)的VS（Virtual System）技術(shù)架構(gòu)，可實(shí)現(xiàn)設(shè)備“一虛多”的虛擬化能力，即在物理設(shè)備上劃分出多個(gè)邏輯或虛擬設(shè)備系統(tǒng)，每個(gè)VS承載不同業(yè)務(wù)或者服務(wù)于不同的用戶群，既實(shí)現(xiàn)了業(yè)務(wù)隔離，又增強(qiáng)了網(wǎng)絡(luò)可靠性和安全性；大幅提升設(shè)備的利用率，降低用戶成本；并可以實(shí)現(xiàn)多用戶群管理隔離，有效簡(jiǎn)化運(yùn)維。同時(shí)，網(wǎng)絡(luò)節(jié)點(diǎn)也支持“多虛一”應(yīng)用，通過集群交換機(jī)系統(tǒng)（CSS），把多臺(tái)支持集群的交換機(jī)連接，組成一臺(tái)更大的交換機(jī)，從而簡(jiǎn)化網(wǎng)絡(luò)的拓?fù)�，提升網(wǎng)絡(luò)性能。

　　在網(wǎng)絡(luò)數(shù)據(jù)平面，Cloud Fabric方案通過標(biāo)準(zhǔn)的Trill協(xié)議構(gòu)建大二層網(wǎng)絡(luò)，實(shí)現(xiàn)虛擬機(jī)的動(dòng)態(tài)遷移。該方案支持超過500個(gè)Trill節(jié)點(diǎn)的超大規(guī)模二層網(wǎng)絡(luò)，網(wǎng)絡(luò)鏈路和節(jié)點(diǎn)故障收斂時(shí)間在500ms以內(nèi)，最大支持16路負(fù)載分擔(dān)，充分滿足大規(guī)模數(shù)據(jù)中心對(duì)于網(wǎng)絡(luò)規(guī)模和性能的要求。在多數(shù)據(jù)中心互聯(lián)上，華為增強(qiáng)型Trill over VPLS方案充分利用成熟技術(shù)，部署簡(jiǎn)單，可支持40–60個(gè)數(shù)據(jù)中心互聯(lián)，在更大的地理空間上構(gòu)建統(tǒng)一的二層網(wǎng)絡(luò)，幫助運(yùn)營(yíng)商實(shí)現(xiàn)物理分散、邏輯統(tǒng)一的數(shù)據(jù)中心，有效整合IT資源，提升運(yùn)營(yíng)效率。

　　多層次的安全體系

　　Cloud Fabric方案擁有先進(jìn)的安全架構(gòu)，能夠全面解決數(shù)據(jù)中心的關(guān)鍵安全難題。同時(shí)，華為提供專業(yè)的安全咨詢和服務(wù)業(yè)務(wù)，幫助運(yùn)營(yíng)商評(píng)估和改善數(shù)據(jù)中心的安全性能。

　　華為數(shù)據(jù)中心安全架構(gòu)分五個(gè)維度IAARC（Identification & Authentication、Access & Authorization、Audit Trail、Response & Recovery、Content Security），包括用戶的身份識(shí)別（你是誰）、接入控制（你能訪問什么）、審計(jì)和取證（行為有記錄可審計(jì)）、反應(yīng)和恢復(fù)（業(yè)務(wù)響應(yīng)及時(shí)性、業(yè)務(wù)可恢復(fù)性）、內(nèi)容安全檢查（是否存在攻擊），針對(duì)這五個(gè)維度提供相應(yīng)的安全解決方案，有效保障數(shù)據(jù)中心的平安運(yùn)行。

　　同時(shí)，該架構(gòu)提供對(duì)端、管、云三層業(yè)務(wù)的層次化安全防護(hù)，在端點(diǎn)接入上提供移動(dòng)終端、VDI等終端接入安全方案；在網(wǎng)絡(luò)管道上提供邊界網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)、虛擬層網(wǎng)絡(luò)等層次化防護(hù)方案，實(shí)現(xiàn)多租戶的網(wǎng)絡(luò)隔離，抵御來自數(shù)據(jù)中心內(nèi)部和外部的攻擊；在云端提供數(shù)據(jù)中心主要業(yè)務(wù)如Web、Email等的安全防護(hù)，并提供全方位的數(shù)據(jù)保護(hù)方案，包括文檔和數(shù)據(jù)庫(kù)安全、虛擬機(jī)全盤加密以及DLP。

　　開放易運(yùn)維

　　IDC網(wǎng)絡(luò)涉及到與骨干網(wǎng)絡(luò)、其他IDC、服務(wù)器/存儲(chǔ)器的互聯(lián)互通，華為堅(jiān)持采用Trill、VPLS等業(yè)界標(biāo)準(zhǔn)協(xié)議，提升網(wǎng)絡(luò)的可集成性，有效保護(hù)運(yùn)營(yíng)商的投資。

　　華為數(shù)據(jù)中心管理平臺(tái)U2000能夠統(tǒng)一管理交換機(jī)、路由器、OTN、防火墻等設(shè)備，提供E2E的物理/邏輯視圖，支持快速故障定位和靈活的業(yè)務(wù)發(fā)放；除了傳統(tǒng)的網(wǎng)絡(luò)管理功能，U2000還支持虛擬機(jī)感知，能在虛擬機(jī)的遷移中自動(dòng)部署網(wǎng)絡(luò)策略。