1 云計算簡介

云計算是網格計算、分布式計算、并行計算、效用計算、網絡存儲、虛擬化、負載均衡等傳統計算機技術和網絡技術發展融合的產物。它旨在通過網絡把多個成本相對較低的計算實體整合成一個具有強大計算能力的完美系統， 并借助SaaS、PaaS、IaaS、MSP 等先進的商業模式把這強大的計算能力分布到終端用戶手中。云計算的一個核心理念就是通過不斷提高“云”的處理能力，進而減少用戶終端的處理負擔，最終使用戶終端簡化成一個單純的輸入輸出設備，并能按需享受“云”的強大計算處理能力。

云計算的核心思想，是將大量用網絡連接的計算資源統一管理和調度，構成一個計算資源池向用戶按需服務，故如何快速合理的對網絡資源進行調度是云計算須解決的關鍵問題。

2 快速調度網絡資源的關鍵

云計算網絡中，計算資源能夠按需擴展、靈活調度部署，這由虛擬機的遷移功能實現，虛擬化環境的計算資源必須在二層網絡范圍內實現透明化遷移。

透明環境不僅限于數據中心內部，對于多個數據中心共同提供的云計算服務，要求云計算的網絡對數據中心內部、數據中心之間均實現透明化交換，這種服務能力可以使客戶分布在云中的資源邏輯上相對集中，如在相同的一個或數個VLAN 內，而不必關心具體物理位置;對云服務供應商而言，透明化網絡可以在更大的范圍內優化計算資源的供應，提升云計算服務的運行效率、有效節省資源和成本。

因此運營商云計算網絡資源調度的關鍵就是構建大規模的二層網絡，包括單數據中心和多數據中心之間的二層網絡，覆蓋更多的資源范圍，同時虛擬主機所對應的交換機端口可以靈活的加入到用戶業務VLAN 中，實現二層互訪、業務遷移。

3 VPLS 技術介紹

VPLS(Virtual Private LAN Service，虛擬專用局域網服務)是在公用網絡中提供的一種點到多點的二層VPN 業務。VPLS 使地域上隔離的用戶站點能通過MAN 或WAN 相連， 并且使各個站點間的連接效果像在一個LAN 中一樣。

VPLS 提供二層VPN 服務。在VPLS 中，用戶是由多點網絡連接起來，不同于傳統VPN 提供的P2P 的連接服務。VPLS 實際上就是在PE上創建一系列的虛擬交換機租借給用戶，虛擬交換機的組網和傳統交換機完全相同， 這樣， 用戶就可以通過MAN 或WAN 來實現自己的LAN。

圖1 VPLS典型組網示意圖

4 大規模二層網絡構建碰到的問題及解決辦法

4.1 多拓撲二層網絡

為了構建一張高可靠的二層網絡，傳統的二層網絡擴展采用環形組網配合STP 生成樹協議來完成，但是隨著網絡規模的擴大和VLAN數量的增加，實際的網絡拓撲就會變得過于復雜。主要問題包括：1)網絡結構復雜，節點多，管理難度大

2)網絡內部流量大，核心鏈路壓力高

3)STP 生成樹、HSRP 冗余保護協議收斂速度慢

如何改變現有的網絡狀況，我們可以采用網絡虛擬化技術，將同一層次的多臺網絡設備虛擬成一臺邏輯設備， 破除了原先網絡的環路，同時網絡設備數量急劇減少，網絡拓撲變成了清晰簡單的樹形網絡。

典型的網絡虛擬化技術，例如IRF2，第二代智能彈性架技術。

IRF2 的核心思想是將多臺設備通過IRF 物理端口連接在一起，進行必要的配置后，虛擬化成一臺“虛擬設備”，通過該“虛擬設備”來實現多臺設備的協同工作、統一管理和不間斷維護。如圖2 所示：

圖2 IRF 技術實例

IRF2 技術大大改善2 層網絡性能，這主要表現在：

1)簡化網絡結構，減少設備數量

IRF2 形成以后，從邏輯上而言是一臺設備，有統一的轉發表項，包括MAC 表、ARP/ND 表、路由表和標簽信息等。每個成員設備都有完整的轉發能力，當它收到待轉發報文時，直接查詢本機的轉發表項得到報文的出接口，以及下一跳和封裝信息，然后將報文從正確的出接口送出去。這個出接口可以在本機上也可以在其它成員設備上。IRF2 通過IRF 端口將報文從一臺成員設備送到其它成員設備的過程對外界是完全屏蔽的，例如對于三層報文來說，跨設備轉發跳數上只增加1 跳，即表現為只經過了一個網絡設備。

IRF2 組網條件下，對整個網絡的配置管理發生了很大變化：原來的多臺物理設備現在成為一臺邏輯設備，也只有一個管理IP，其中所有的IRF 成員可以統一配置管理，不需要登錄到不同設備各自管理運維。

2)鏈路聚合，分攤核心鏈路壓力

IRF2 支持的新型分布式聚合技術可以跨設備配置鏈路備份，用戶可以將不同成員設備上的物理以太網端口配置成一個聚合端口，從而有效分攤核心鏈路流量壓力。

IRF2 每個成員設備都有完整的二/三層轉發能力， 當它收到待轉發的二/三層報文時， 可以通過查詢本機的二/三層轉發表得到報文的出接口，以及下一跳，然后將報文從正確的出接口發送出去。

IRF 端口采用多個IRF 物理端口聚合形成，既可以實現流量的負載分擔提高帶寬，又能夠進行互相備份。

3)STPHSPR 協議被取代

在虛擬化整合過程中， 被整合設備的互聯鏈路成為IRF2 的內部線路，對IRF2 系統外部來說不可見。虛擬化整合后的IRF2 系統，對外表現為單臺物理設備，因此，在保持網絡基本互聯條件下，可將一對IRF2 系統之間的多條線纜進行鏈路捆綁聚合動作， 從而將不同網絡層之間的網狀互聯簡化成單條邏輯鏈路。

使用IRF2 虛擬化后， 消除了原先網絡需要部署的STP 生成樹或HSRP 冗余保護協議，通過鏈路捆綁實現了鏈路和節點的保護倒換。4.2 分布式的虛擬端口組

隨著云計算規模的擴大， 同一業務組的虛擬機跨越多個交換機，形成同一個虛擬端口組分布在多個交換機上。虛擬端口組對應同一業務組的所有虛擬機，虛擬端口組的配置需要保持一致，包括端口基本配置、VLAN、QoS 及安全策略等， 對虛擬端口組內的一個端口的配置修改，可以自動同步到組內的所有端口上。

可以通過網絡設備配置管理平臺， 例如Solarwinds 配置管理模塊，實現在大二層網絡范圍內的統一管理，同時虛擬機動態遷移的時候網絡設備的配置也能夠保持同步。

4.3 虛擬交換機vSwitch

為了實現服務器內虛擬機之間以及虛擬機同其他網絡之間的通信，出現了虛擬交換機vSwitch，其實現的基本原理就是在服務器內部虛擬出一臺交換機，完成虛擬機的通訊要求，這也是現階段服務器虛擬化軟件VMWare、XEN 等采用的方法， 即VEB (Virtual EthernetBridge)。

現階段vSwitch 的實現方式存在多方面的不足：

1)服務器內部虛擬機的交換流量直接在服務器內部的vSwitch 上完成，流量不可見，沒有辦法做到流量監控;

2)服務器和網絡設備的管理界面不明確，隨之帶來業務部門和網絡部門管理上的不便;

3)沒有明確的安全域界面，不易部署安全策略。

通過VEPA 技術進行改進， 將服務器內部的vSwitch 改成一個邏輯通道，主要功能就是將虛擬機的流量轉到接入交換機，由接入交換機實現虛擬機之間的流量轉發，現有的交換機在轉發流量的時候都是不允許本端口轉發，也就是從本端口進來的流量不會從本端口再轉發出去，VEPA 就需要對現有的IEEE 802.1B 標準進行修改，允許交換機本端口轉發，實現虛擬機之間的相互通信。

通過VEPA 技術，明確了服務器和網絡設備的界面分工，所有的流量都通過網絡設備，可以通過端口鏡像等技術輕松實現虛擬機流量的監控，安全性得到保證，同時也明確了管理上的分工。

4.4 VLAN 擴展

隨著運營商IDC 云計算服務規模擴展到多中心， 用戶數量的增加，用于隔離用戶的VLAN 數量已不能滿足要求，需要對VLAN 進行擴展。

云計算VLAN 擴展方案一：QinQ 方案

QinQ 技術，也稱Stacked VLAN 或Double VLAN。標準出自IEEE802.1ad， 其實現將用戶私網VLAN Tag 封裝在公網VLAN Tag 中，使報文帶著兩層VLAN Tag 穿越運營商的骨干網絡(公網)。QinQ 技術通過在以太幀中堆疊兩個802.1Q 包頭， 有效地擴展了VLAN 數目，使VLAN 的數目最多可達4096x4096 個。

通過用戶VLAN 和運營商VLAN 的疊加實現VLAN 數量的擴展，配置簡單、易維護，但QinQ 方案接入網絡規模較小。

圖3 云計算VLAN 擴展--QinQ 方案

云計算VLAN 擴展方案二：VPLS 方案

VPLS 技術的核心就是采用三層信令、二層轉發，將VPLS 技術應用到數據中心內部，實現VLAN 數量的擴展，采用VPLS 技術后接入網絡規模大，可伸縮性強，但是VPLS 方案配置復雜，維護難度增大。

圖4 云計算VLAN 擴展--VPLS 方案

4.5 DC 之間資源調度

運營商云計算服務的一大特點就是規?；?，虛擬化資源池越大越好，通過規模化效應降低成本，一個數據中心不夠就利用多個數據中心，因此數據中心之間的互聯和資源調度就成了運營商IDC 在提供云計算服務時需要考慮的問題。

結合VLAN 擴展方式的不同，數據中心的擴展也有對應的兩種方案。

云計算DC 間擴展方案一：VPLS+QinQ 方案

數據中心內部采用QinQ 方式擴展VLAN 數量， 通過構建專用的VPLS 網絡將城域范圍甚至廣域范圍內的多個數據中心進行二層互聯，將云計算的資源池擴大到多個數據中心。

云計算DC 間擴展方案二：VPLS 方案

數據中心內部采用VPLS 方式擴展VLAN 數量， 建立VPLS 核心網通道實現多個數據中心的VPLS 互聯。