互联网数据中心交换网络技术白皮书

互联网数据中心交换网络的设计 1 引言互联网数据中心 (internet data center,idc) 是指拥有包括高速宽带互联网接入高性能局域网络提供安全可靠的机房环境的设备系统专业化管理和完善的应用级服务的服务平台在这个平台上,IDC 服务商为企业 ISP ICP 和 ASP 等客户提供互联网基础平台服务以及各种增值服务作为业务承载与分发的基础网络系统, 就成为 IDC 平台的动脉随着中国 IDC 产业不断发展和业务需求多样化, 基础网络逐步发展出一套相对比较通用和开放的方案架构 2 当前主要的 IDC 基础网络架构虽然各 IDC 机房各有度身定制的业务需求, 网络设计也有各自的关于带宽规模安全和投资的考虑因素, 但最基本的关注点仍然集中在高可靠高性能高安全和可扩展性上 2.1 通用的 IDC 架构在整体设计上, 层次化和模块化是 IDC 架构的特征, 如图 1, 这种架构设计带来了整体网络安全和服务部署的灵活性, 给上层应用系统的部署也提供了良好的支撑图 1 IDC 层次化 & 模块化设计架构分区结构采用模块化的设计方法, 它将数据中心划分为不同的功能区域, 用于部署不同的应用, 使得整个数据中心的架构具备可伸缩性灵活性和高可用性数据中心的服务器根据用户的访问特性和核心应用功能, 分成不同组, 并部署在不同的区域中由于整个数据中心的很多服务是统一提供的, 例如数据备份和系统管理, 因此为保持架构的统一性, 避免不必要的资源浪费, 功能相似的服务将统一部署在特定的功能区域内, 例如与管理相关的服务器将被部署在管理区分区结构另一个特点是以 IDC 的客户群为单位进行划分, 将具体客户应用集中在一个物理或逻辑范围内, 便于以区域模块为单位, 提供管理和其它增值服务层次化是将 IDC 具体功能分布到相应网络层计算层和存储层, 分为数据中心前端网络和后端管理等网络本身根据不同的 IDC 规模, 可以有接入层汇聚层和核心层一般情况下, 数据中心网络分成标准的核心层汇聚层和接入层三层结构 1) 核心层 : 提供多个数据中心汇聚模块互联, 并连接园区网核心 ; 要求其具有高交换能力和突发流量适应能力 ; 大型数据中心核心要求多汇聚模块扩展能力, 中小型数据中心共用园区核心 ; 当前以 10G 接口为主, 高性能的将要求 4 到 8 个 10GE 端口捆绑 2) 汇聚层 : 为服务器群 (server farm) 提供高带宽出口 ; 要求提供大密度 GE/10GE 端口, 实现接入层互联 ; 具有较多槽位数提供增值业务模块部署 3) 接入层 : 支持高密度千兆接入和万兆接入 ; 接入总带宽和上行带宽存在收敛比和线速两种模式 ; 基于机架考虑,1RU 更具灵活部署能力 ; 支持堆叠, 更具扩展能力 ; 上行双链路冗余能力

图 2 IDC 整体架构图 2 注解 :FW---fire wall 防火墙 ASE---Application Speed-up Engine 应用加速引擎 IPS---Intrusion Prevention System 入侵防御系统 AFC---Anomaly Flow Cleaner 异常流量清洗层次化和模块化的方式较好地解决了 IDC 的灵活扩展要求, 在整体设计上的关键节点采用双机冗余和链路冗余的方案, 如图 2, 也可以极大提高系统可靠性冗余链路 : 在骨干网设备连接中, 单一链路的连接很容易实现, 但一个简单的故障就会造成网络的中断, 因此在实际网络组建的过程中, 为了保持网络的稳定性, 在多台交换机组成的网络环境中, 通常都使用一些备份连接, 以提高网络的健壮性和稳定性备份连接也称为备份链路或者冗余链路. 备份链路之间的交换机经常互相连接, 形成一个环路, 通过环路在一定程度上实现冗余此种设计对于 IDC 的增值服务带来了可操作性当前 IDC 增值业务发展迅速, 包括安全防护流量清洗内容监控和应用计费等, 具体实施部署则可依据主机单元和分区模块单元进行业务提供 2.2 IDC 内部的基础网络设计基本的网络模型是三层组网, 通常情况下, 以汇聚层为单位, 划分 IDC 的区域和模块, 安全防护地部署在每个分区模块内, 按需部署

图 3 IDC 单分区模块内部网络图 3 注解 LB---Load Balancer 负载均衡器常用的设计是以网络核心为全路由层, 而各分区服务器的二层终结在汇聚层交换机上, 汇聚层交换机与核心通过路由三层互联, 因此在 IDC 各个模块内, 以多生成树协议 MSTP(Multiple Spanning Tree Protocol) + 虚拟路由器冗余协议 (virtual router redundancy protocol, VRRP) 的方案, 形成了服务器群的高可靠接入除了产品高可用设计外,H3C 作为领先的网络解决方案提供商, 对数据中心高可用方案设计上进行了全面的验证, 具体可分为服务器接入高可用设计, 接入层到汇聚的高可用设计, 汇聚层的高可用设计 2.2.1 服务器接入高可用设计就是所谓的服务器多网卡接入为了实现接入高可用, 服务器通常采用多链路上行, 即服务器采用两块或两块以上的多网卡接入, 服务器中的网络驱动程序将两块或者多块网卡捆绑成一个虚拟的网卡, 如果一个网卡失效, 另一个网卡会接管它的 MAC 地址, 两块网卡使用同一个 IP 地址, 而且必须位于同一广播域, 即同一子网下服务器和接入交换机之间的连接方式有 4 种方式 : 网络可用性从右至左依次升高因此 H3C 推荐采用第一种接入方式, 这种连接方式的服务器采用交换机容错模式分别接入到两台机柜式交换机上, 并且将 VLAN Trunk 到两台设备上, 实现服务器的高可靠接入 2.2.2 接入到汇聚层高可用设计接入到汇聚层共有 4 种连接方式, 分别为倒 U 型接法 U 型接法三角型接法和矩形接法, 这里所谓不同类型的接法是以二层链路作为评判依据, 比如说矩形接法, 从接入到接入, 接入到汇聚汇聚到汇聚均为二层链路连接, 因此形成了矩形的二层链路接法

H3C 推荐三角型接法 : 因为 1) 链路冗余, 路径冗余, 故障收敛时间最短 2)VLAN 可以跨汇聚层交换机, 服务器部署灵活在实际部署中, 还可以根据实际情况选择如下方案 : 1)H3C IRF(intelligent resilient framework),h3c IRF 能够实现分布式设备管理分布式路由和跨设备链路聚合部署 H3C IRF, 除了提高网络的可用性, 减少单点故障影响, 还可以 :1 分布式处理二三层协议, 极大提高网络高性能 2 多台交换机组成一个逻辑 Fabric, 配置管理更高效 3 堆叠组内设备软件版本同步升级容易 4 整个堆叠组的设备支持热插拔, 灵活管理 2) 接入与汇聚采用 MSTP+VRRP: 提高可用性, 还可以做到链路的负载均衡 2.2.3 汇聚高可用性设计 1) 汇聚交换设备之间的 VRRP; 2) 安全应用优化设备之间的 VRRP: 可以内置或者旁挂到汇聚交换机上 ( 推荐旁挂, 而不是串连到网络中, 消除性能瓶颈 ) 利用 HRP 协议实现在 Master 和 Backup 防火墙设备之间备份关键配置命令和会话表状态信息的备份 HRP 协议承载在 VGMP 报文上通过指定的负载均衡算法, 对指向服务器的流量做负载均衡, 保证服务器群能够尽最大努力向外提供服务, 提升服务器的可用性, 提升服务器群的处理性能 2.3 当前网络架构的不足为了提高 IDC 基础网络适应性, 各方案提供商针对 STP/VRRP 的快速收敛与可靠计算, 不断进行技术优化, 对于故障恢复速度不断加快但是本方案架构的不足也是明显的 : 2.3.1 设计复杂性对于大型 IDC 来说, 每个汇聚模块下都将作 MSTP 的环路设计当实例数增多时, 链路故障及切换计算分析的复杂性增加, 网络设备为解决潜在的安全隐患需要增强的手段也要加强, 除了服务器 NIC(Network interface card) Teaming 的兼容性设计,BFD(Bidirectional Forwarding Detection 双向转发检测 ) For VRRP Root Guard Loop Guard BPDU(Bridge Protocol Data Unit 桥协议数据单元 ) Guard Port fast Uplink-fast Backbone-fast Dispute Mechanism Bridge Assurance 等诸多复杂特性将在网络配置额外的功能目标是为增强网络健壮性, 但是它们相互耦合, 使组网环境复杂化, 并消耗各个网络设备自身的计算与通信资源 ; 过多的状态机制通信量与计算量, 又引入了系统的不稳定因素由于局部设计已经带来 IDC 的架构复杂化, 在当前 IDC 虚拟化趋势下, 难以将服务器虚拟化后再将整个 IDC 资源的调配扩展到数据中心

图 4 复杂的接入与汇聚架构 2.3.2 带宽利用不足在当前网络架构下,MSTP 环路防止能力将使得接入交换机的上行链路只有一半处于工作状态, 即双归属的其中一条链路被阻塞了, 使链路利用率低下了 ; 当活动链路的流量接近设计门限时, 带宽升级成本是两倍关系, 即对于双归属的两边需要同质地进行升级当前网络技术也部分支持在 VRRP 的两个网关上进行流量负载分担的架构设计, 但是这同样使得设计复杂性, 使 IDC 故障定位引入了更复杂的网络环境, 由于这与服务器群的流量有关系, 负载分担的效果基本无法描述图 5 VRRP&MSTP 负载分担的架构 2.3.3 虚拟化支持有限为提升大量闲置服务器的资源利用率, 计算虚拟化技术已经逐步在 IDC 进行应用形成计算池, 并能在 IDC 范围内进行计算调配计算虚拟化能够极大提高 IDC 服务器利用率, 大幅降低 IDC 能耗及 TCO(Total cost of ownership 总体拥有成本 ) 但 MSTP&VRRP 的架构对虚拟机的迁移, 使之只能限制在一定的模块内, 即模块级的虚拟化能力, 在 IDC 虚拟化应用初期, 具有一定空间但伴随模块内部计算密度的不断增强, 业务流量不断增大, 现有的架构仍将带来带宽利用率不充分的问题

图 6 服务器虚拟化要求虚拟机在二层连通网络迁移 3 下一代 IDC 的架构设计 3.1 关键的驱动力虚拟化当前 IDC 普遍存在的问题是 : 规模越来越大, 服务器数量不断增加, 但是单台服务器利用率低下, 总体 IDC 的计算资源利用不充分虚拟化技术面向 IDC, 将计算资源池化, 按照 IDC 应用需要进行资源分配, 使得服务器上闲置的计算资源得以充分利用图 7 计算虚拟化 3.1.1 计算虚拟化的直接效果单位计算密度极大提升据统计, 服务器利用率从虚拟化前平均 15% 可提升到 50%-60%, 甚至可以更高某些拥有主流虚拟化技术的厂家可达到的物理服务器整合比为 8:1~20:1 物理服务器吞吐量增加一台物理服务器被虚拟化成多台虚拟机 (Virtual Machine VM) 后, 各 VM 对外吞吐量总和将比虚拟化前成数倍提升 3.1.2 对基础网络的影响虚拟化后, 相同网络单元接入的逻辑服务器密度增加, 业务流量增加, 相当于将一个原来大规模的网络业务, 合并到一个较小的网络单元进行承载, 网络本身的承载业务被扩展了, 网络服务器密度大量增加, 吞吐量极大增加, 局部网络故障带来的业务影响也扩大了范围和增加了严重性

图 8 计算虚拟化逻辑网络密度增加 3.2 网络虚拟化 N:1 的技术架构 N:1 即将多台网络设备虚拟化成一台设备使用智能弹性架构 (intelligent resilient framework, IRF) 技术, 用户可以将多台设备连接起来组成一个联合设备, 并将这些设备看作单一设备进行管理和使用我们称联合设备为 Fabric, 组成 Fabric 的每台设备为一个 Unit IRF 特性是一项构建智能弹性架构的技术, 包含分布式设备管理 (distributed device management,ddm) 分布式弹性路由 (distributed resilient routing, DRR) 和分布式链路聚合 (distributed link aggregation, DLA) 功能 1) DDM: 用户可以将整个 Fabric 作为一台整体设备进行管理用户可以通过连接到 Fabric 中任何一个端口任何一个 IP 地址来管理整个 Fabric, 而不需要关心自己具体连接到了哪个 Unit 上, 降低了管理成本 2) DRR:Fabric 的多个 Unit 在外界看来是一台单独的三层交换机整个 Fabric 作为一台设备进行路由功能和报文转发功能, 具有统一的 VLAN 接口路由表和三层转发表在某一个 Unit 发生故障时, 路由协议和数据转发不受影响, 可以减少业务中断 3) DLA: 用户可以将 Fabric 中不同 Unit 的多个端口进行聚合, 实现了对 Fabric 内统一的聚合管理这不仅可以使聚合的设置更加方便, 而且跨越设备的链路聚合也有效地避免了单点故障的发生使用 IRF 的主要优点是 :1) 可以对多台设备统一管理, 降低了管理成本 2) 可以通过增加设备来扩展端口数量和交换能力, 可使用户按需购买和平滑扩容, 在网络升级时最大限度地保护已有投资 3) 通过多台设备之间的互相备份, 增强了设备的可靠性, 避免了单点故障, 减少了业务中断 3.3 下一代 IDC 总体架构网络虚拟交换技术为 IDC 建设提供了一个新标准, 定义了新一代网络架构, 能够帮助 SP 在构建永续和高度可用的状态化网络的同时, 优化网络资源的使用网络虚拟化技术将在数据中心端到端总体设计中发挥重要作用图 9 IDC 单分区架构变迁 3.3.1 接入层虚拟化传统 IDC 接入层网络架构一种是以机架为单位, 提供单台交换机 Top of rack (TOR 机架顶部 ) 接入, 由于多数服务器的双归属设计, 一般以两台交换机为一组, 共同接入一个机架的服务器采用接入层虚拟化架构, 以服务器群接入的交换机组为单位进行网络 IRF 虚拟化, 将多台接入交换机虚拟化为一个接入单元, 逻辑上就将多个物理网络节点虚拟化成了一台交换机, 如图 10 所示 :

图 10 IDC Top of rack 接入此种拓扑传统架构多作二层接入, 并与汇聚交换机运行 MSTP+VRRP 协议 ; 虚拟化架构下, 多台交换机虚拟化组为一台逻辑设备, 直接与汇聚层交换机通过链路捆绑互联, 虽然仍是二层, 但是已经不需要生成树协议另一种接入架构是通过高密框式交换机将一排机架的服务器高密汇集接入, 称 end of row ( 排侧 ), 此种情况下有交换机二层接入 (MSTP+VRRP) 交换机三层接入不同情况 (VRRP), 使用虚拟化网络架构后, 将多台 ( 一般是两台左右 ) 框式设备虚拟化成一台, 简化了网络设计图 11 IDC end of row 接入 3.3.2 汇聚核心层虚拟化 IDC 的汇聚核心虚拟化不仅使多台物理设备简化成一台逻辑设备, 同时网络各层之间的多条链路连接也将变成两台逻辑设备之间的直连, 因此可以采用链路捆绑的方式, 将多条物理链路进行跨设备的链路聚合 (DLA), 从而变成了一条逻辑链路, 增加带宽的同时也提高了可靠性, 并使得 IDC 的网络设计中需要的设备三层接口数大大减少 ; 两层网络之间由一般的 4 个三层接口互联, 变成一对三层接口互联, 使得路由设计极大简化图 12 IDC 汇聚核心互联 3.3.3 虚拟化基础网络的数据中心网络设计在 2.2.2 节的传统设计中, 由于技术实现的选择,HA 的具体设计出现了多种网络设备连接方案这些方案虽然增加了实施的灵活性, 但总体上是复杂的而基于虚拟交换的端到端 IRF 设计中, 在网络架构上拓扑上开始体现设计的一致性和简捷性如图 13 所示

图 13 IDC 统一的 IDC 虚拟化架构设计在每个业务分区的接入层, 逻辑上已经不存在多台设备, 不考虑环路设计了基本设计思路是考虑二层接入还是三层接入, 而在基本拓扑一致情况时在设计工作量上无明显差异将多台接入交换机进行 IRF 虚拟化连接, 使能 IRF 功能 H3C 的 IRF 具有简单配置管理方式, 只要在连接端口使能此功能即可 ; 而采用特殊堆叠电缆连接的接口, 则能自动进行 IRF 智能互联服务器接入方式, 在 IRF 方式下, 基本原则是服务器的双网卡接在不同交换机上, 从而实现高可用性接入, 如图 14 所示图 14 IDC 统一的 IDC 虚拟化网络接入由于服务器网卡的互备份特性, 可按照一定接入负载分担特点, 将服务器 Acitve 的网卡分别接入 IRF 交换机组中的不同成员, 充分利用各设备的性能对于汇聚层交换机来说, 设计方式与接入 IRF 是一致的, 进行汇聚层交换机堆叠后, 将两层交换机用多条链路进行捆绑连接, 一般原则建议为偶数链路数, 有利于将数据流量均衡到各链路

图 15 虚拟化网络二层接入的 HA 设计图 15 给出了二层接入设计下的 HA 考虑基于虚拟化网络交换结构, 服务器流量经过网络接入与汇聚层路径十分清晰, 单逻辑链路的转发情况 B 当接入 IRF 一台交换机出现故障, 服务器网卡进行切换, 通过 IRF 另一台交换机即可恢复网络通信, 而汇聚层设备无需任何变化, 数据流仍从同一聚合链路进入网络对 C 的情况, 汇聚层设备出现单台故障, 服务器不感知, 只由接入交换机将流量转发到聚合链路, 汇聚层存活的交换机感知的仍是从现有聚合链路接收数据流对于 D 情况, 发生捆绑链路故障, 交换机会将数据流转发到捆绑组存活链路上, 对于 IRF 交换机组来说, 数据流转的逻辑接口并未改变 3.3.3 跨数据中心服务器集群网络设计数据中心容灾是当前企业 IT 建设的热门话题, 其中很关注的是服务器如何实现异地集群, 即不同 IDC 之间的服务器集群技术

图 16 虚拟化双数据中心服务器集群网络设计参考图 16 所示互联设计架构, 两个 IDC A 和 B 之间提供两种应用服务器集群互联,A1 与 B1 两个模块为一个跨越 IDC 集群,A2 与 B2 形成另一个集群当前主要的集群技术要求服务器之间二层连通, 本设计中采用 IRF 架构设计 IDC 各层网络, 同时在 IDC-A 和 IDC-B 各设计一个 IRF 堆叠作为集群的连通模块, 此两个 IRF 模块只工作在二层模式 A 中心的集群连通模块与 A1 A2 两个业务分区分别通过捆绑链路连接, 并将 A1 和 A2 要求连同的集群 VLAN 在集群连通模块上创建 ; 同理, 在 IDC-B 进行同样设计, 要求两个 IDC 的集群 VLAN ID 一致两个集群连通模块之间的连接可以是长距光纤直连 WDM 传输连接等运营商提供的透明传输此方式极大简化了多个中心之间服务器群二层连接设计方案, 总体架构结构明显设计的基本原则是不改变原数据中心的网络架构, 并要求模块化如果是基于 HA 的集群连接, 以 A1 和 B1 为例, 网络设计上可以将 A1 和 B1 的各自汇聚 IRF 交换机作为两台独立逻辑交换机, 在这两台逻辑交换机之间实际是可靠的多链路二层 ( 实际上是基于多链路捆绑的单条逻辑链路 ) 连接, 因此 A1 和 B1 的汇聚交换机是可以运行跨数据中心的 VRRP 协议的, 如同 A1 和 B1 在同一个数据中心内部一样, 而网络内部并未形成环路, 也消除了 STP 的复杂性 3.4 虚拟化 IDC 架构的优势端到端虚拟化 IDC 网络架构传统的 L2/L3 网络设计相比,IRF 提供了多项显著优势大体说来, 其优势可归纳为以下 3 个主要方面 : 1) 运营管理简化 IDC 全局网络虚拟化能够提高运营效率, 虚拟化的每一层交换机组被逻辑化为单管理点, 包括配置文件和单一网关 IP 地址, 无需 VRRP 2) 整体无环设计跨设备的链路聚合 DLA 创建了简单的无环路拓扑结构, 不再依靠生成树协议 (STP) 虚拟交换组内部经由标准万兆以太网接口相连, 无需特殊电缆, 在总体设计方面提供了灵活的部署能力 3) 进一步提高可靠性虚拟化能够优化不间断通信, 在一个虚拟交换机成员发生故障时, 不再需要进行 L2/L3 重收敛, 能快速实现确定性虚拟交换机的恢复

与 MSTP+VRRP 设计收敛不同, 使用虚拟化能在更短时间内完成确定性 L2 链路恢复, 同时不影响 L3 链路虚拟化能够在网络各层横向扩展, 有利于 IDC 的规模增大, 设计更简单, 完全不影响网络管理拓扑各层之间通过增加捆绑链路单元即可平滑增加带宽, 灵活性极强整个 IDC 几乎可以做到全局大二层互联, 对于部署需要二层互通的大型虚拟化计算技术提供了便利图 17 IDC 端到端虚拟化架构优势 4 虚拟化网络对绿色机房的适应性对于数据中心而言, 能耗是后续运维过程中极大投入的成本焦点, 当前绿色数据中心机房建设诸多方面努力也都体现在从各个角度对总体能耗提供有效的降低手段基础网络设备的能耗, 占整个数据中心能耗的不到 10%, 同时随着硬件技术和工艺发展, 网络设备性能与端口密度不断提高, 而基本功耗则上升与性能上升相比则显得不足道对于一般网络设备而言, 可工作的环境温度在 0-45 ( ) 范围内, 运行环境湿度要求为 :10%~90% 当前主流厂家的小型机工作温度环境要求 0-35 ( ), 工作湿度要求 :8%-80% 存储系统工作环境温度要求范围 0-40( ), 工作湿度范围 10%-80% 当前机房设计主流意见, 一般将机房内温度参考值定在 22±2( ) 附近, 机房湿度参考值定在 50% ±10% ( 不同季节地区略有差异 ) 一般企业的服务器仅能达到 15%~30% 系统利用率, 大部分的服务器能力并没有得到利用,IT 投资回报率偏低这样的企业数据中心, 相对来说, 计算性能密度并不高, 甚至可以认为是过低了, 然而能耗却并不因为性能利用率低而同比例的低服务器即使是空转, 也要消耗基础能耗, 作者了解到某次测试一款服务器空载下的功率为满负荷功率的 56% 对于企业自建数据中心来说, 一般都十分重视基础设施, 因此具有较好的 IT 设备运行环境, 从而在正常情况下很少存在局部热点为提高利用率降低能耗, 最佳方式就是服务器整合与虚拟化将多台服务器的应用整合到一起, 必然使得单台服务器利用率提高, 同时也带来了能耗的提高而研究表明, 服务器的利用率提高到 50% 时, 能耗只会增加不到 5% 在当前数据中心环境下, 适当减少物理服务器台数, 并利用虚拟化技术进行整合, 提高整体数据中心服务器利用率, 是现有数据中心向绿色迈进的低成本优选方案在适度保持机房总体温度上限 24 度左右, 允许局部温度低于设备标称正常高温限 5-10( ), 是现有数据中心可以探索的途径服务器虚拟化后带来的几个思考问题 : 服务器的虚拟机存在网络内迁移的需求, 从而要求数据中心的网络技术能够提供便于迁移的架构, 如大范围的网络二层连接, 当前可通过 IRF 堆叠技术来解决了服务器的整合, 必然引起业务访问的集中, 使得网络承载的流量大大增加, 因此要求网络有更强的

基础性能支持跨设备的链路捆绑, 是基础网络适应虚拟化趋势的技术提升软件 license 一般是与硬件关联的, 服务器整合能否同时带来软件投资的有效节省, 或许也会成为 TCO 研究的一个内容 5 结束语当前数据中心建设不断发展, 新的技术不断产生, 对于支撑数据中心的基础网络来说, 提升整体 IT 设计的灵活性, 简化 IT 运维管, 是基础网络演进的目标之一底层网络的虚拟化架构支持上层应用的不断发展要求, 在 H3C 的虚拟化 IDC 目标中, 将不断提供整体基础网络虚拟化架构方案的最佳实践, 实现 H3C 将 ITOIP 在虚拟化 IDC 的价值创新