IDC網絡面臨的新挑戰(zhàn)

　　隨著云計算的快速興起，作為IDC（Internet Data Center，互聯(lián)網數(shù)據(jù)中心）市場主要玩家的各大運營商，都在加速建設依托云計算平臺的數(shù)據(jù)中心，將計算、存儲、網絡等資源作為服務提供給客戶，以提升IDC業(yè)務的盈利水平。

　　IDC網絡是云計算數(shù)據(jù)中心的核心，負責連接各種物理資源（服務器、存儲設備）和虛擬資源（虛擬機、虛擬存儲空間等）。近年來互聯(lián)網業(yè)務的發(fā)展日新月異，給IDC網絡帶來了不少新挑戰(zhàn)。

　　如何適應流量模型的巨大變化

　　在云計算時代，東西流量將成為數(shù)據(jù)中心內部的主導流量。在傳統(tǒng)的數(shù)據(jù)中心里，應用主要部署在單臺或少量幾臺服務器上，服務器之間通信較少，主要是向數(shù)據(jù)中心外部提供服務，因此網絡流量以南北流量為主。基于該流量模型，傳統(tǒng)的數(shù)據(jù)中心網絡采用流量逐級收斂的設計，一般從接入層到核心層的收斂比在1:3–1:20之間，這種設計方式在滿足流量需求的同時，降低了投資成本。但是，隨著搜索、網絡游戲、大型企業(yè)應用等業(yè)務的出現(xiàn)，單臺服務器無法完成巨大的計算任務，需要部署大規(guī)模集群計算，數(shù)千臺甚至數(shù)萬臺服務器協(xié)同工作，只有少量的服務器對外提供應用入口，而其余服務器負責應用計算，服務器之間的應用數(shù)據(jù)交換、狀態(tài)同步等流量將成為數(shù)據(jù)中心的主要流量。據(jù)預測，數(shù)據(jù)中心的網絡流量將從早期的“80%為南北向流量”，轉變?yōu)?ldquo;70%為東西向流量”。

　　盡管數(shù)據(jù)中心內部流量將以東西流量為主，但出口流量仍然會快速增長。據(jù)預測，全球數(shù)據(jù)中心IP流量年均增長率為33%，到2016年數(shù)據(jù)總量將增長到4.8ZB。運營商目前的數(shù)據(jù)中心出口流量超過200G的已經不在少數(shù)，中國電信西部數(shù)據(jù)中心的出口流量更是高達600G。

　　如何滿足10GE/40GE/100GE服務器端口接入

　　隨著服務器性能的提升以及虛擬機的部署，數(shù)據(jù)中心需要更多網絡接入帶寬。據(jù)IDC預測，2014年服務器10GE端口部署量將超過GE端口，成為市場主流，接入層上行將演進到40GE；未來10年接入端口將向40GE甚至100GE演進，數(shù)據(jù)中心網絡則需要提供更大的接入帶寬和交換容量，同時避免網絡的頻繁升級，減少對業(yè)務的影響。

　　虛擬機的部署對數(shù)據(jù)中心網絡的新要求

　　虛擬機技術實現(xiàn)了操作系統(tǒng)和硬件的解耦，能夠極大提升服務器的資源利用效率。目前虛擬機的部署已經非常普遍，超過50%的計算是在虛擬機上完成的。虛擬機的規(guī)模部署，不可避免地涉及到虛擬機在服務器間的動態(tài)遷移，這對網絡提出了新的要求：首先需要構建大二層網絡，從而實現(xiàn)設備的虛擬池化；其次要保證網絡的低時延和高帶寬，虛擬機遷移一般需要保證時延在5ms之內，高帶寬則有助于在短時間內完成遷移；能夠動態(tài)自動部署網絡策略的虛擬機感知技術也不可或缺。

　　如何滿足用戶對安全的訴求

　　近年來，網絡安全事故頻發(fā)，社交網站用戶名密碼泄漏、信用卡支付信息失竊、公司數(shù)據(jù)庫被盜等事件引起了廣泛關注，IDC作為互聯(lián)網的數(shù)據(jù)存儲和處理中心，面臨更多的安全攻擊。另一方面，IDC用戶越來越關注安全服務，Gartner的報告顯示，超過一半的用戶將安全服務放在了實施云計算考慮因素的首位。

　　云計算也給IDC網絡安全帶來了更大的挑戰(zhàn)：網絡邊界的模糊化、威脅種類的變化以及大流量的DDoS攻擊，將對IDC網絡產生巨大沖擊；虛擬化平臺運行在操作系統(tǒng)與物理設備之間，其本身設計存在的漏洞風險將成為云計算的致命弱點；由于用戶共享，不同安全需求的租戶可能運行在同一臺物理機上，這種租戶共享帶來的安全問題，傳統(tǒng)安全措施難以處理；在數(shù)據(jù)管理方面，應用系統(tǒng)和資源所有權的分離，導致云平臺管理員有可能訪問用戶數(shù)據(jù)，造成人為數(shù)據(jù)泄露。

　　構建面向未來的數(shù)據(jù)中心網絡

　　針對上述挑戰(zhàn)，華為推出Cloud Fabric數(shù)據(jù)中心網絡解決方案，全力幫助運營商構建面向未來的網絡基礎架構，讓網絡不再是阻礙云計算數(shù)據(jù)中心蓬勃發(fā)展的瓶頸。

　　彈性架構

　　為了應對數(shù)據(jù)中心東西流量的快速增長，以及未來服務器的升級換代，在數(shù)據(jù)中心設計時就應當選擇一種彈性的網絡架構。交換機作為數(shù)據(jù)中心網絡的核心設備，其性能、容量和演進能力將對整個網絡產生非常重要的影響。Cloud Fabric方案采用CE12800系列數(shù)據(jù)中心交換機，具有48T超大交換容量，T比特高密線卡，整網可達到360T的無阻塞交換，支持高密服務器接入，能滿足GE/10GE到40GE/100GE的4代服務器演進需求。

　　出口路由器NE5000E采用先進的無阻塞交換網絡架構，可提供海量交換容量和超高轉發(fā)性能，同時擁有強大的集群能力，“2+8”集群的系統(tǒng)吞吐量超過100Tbps，集群容量和擴展能力可充分滿足數(shù)據(jù)中心部署超大帶寬業(yè)務的需要。2013年4月，華為發(fā)布了1T路由線卡，該線卡可以支持高密度100GE、40GE端口，交換容量達到32Tbps。

　　可運營的虛擬化網絡

　　華為數(shù)據(jù)中心交換機的VS（Virtual System）技術架構，可實現(xiàn)設備“一虛多”的虛擬化能力，即在物理設備上劃分出多個邏輯或虛擬設備系統(tǒng)，每個VS承載不同業(yè)務或者服務于不同的用戶群，既實現(xiàn)了業(yè)務隔離，又增強了網絡可靠性和安全性；大幅提升設備的利用率，降低用戶成本；并可以實現(xiàn)多用戶群管理隔離，有效簡化運維。同時，網絡節(jié)點也支持“多虛一”應用，通過集群交換機系統(tǒng)（CSS），把多臺支持集群的交換機連接，組成一臺更大的交換機，從而簡化網絡的拓撲，提升網絡性能。

　　在網絡數(shù)據(jù)平面，Cloud Fabric方案通過標準的Trill協(xié)議構建大二層網絡，實現(xiàn)虛擬機的動態(tài)遷移。該方案支持超過500個Trill節(jié)點的超大規(guī)模二層網絡，網絡鏈路和節(jié)點故障收斂時間在500ms以內，最大支持16路負載分擔，充分滿足大規(guī)模數(shù)據(jù)中心對于網絡規(guī)模和性能的要求。在多數(shù)據(jù)中心互聯(lián)上，華為增強型Trill over VPLS方案充分利用成熟技術，部署簡單，可支持40–60個數(shù)據(jù)中心互聯(lián)，在更大的地理空間上構建統(tǒng)一的二層網絡，幫助運營商實現(xiàn)物理分散、邏輯統(tǒng)一的數(shù)據(jù)中心，有效整合IT資源，提升運營效率。

　　多層次的安全體系

　　Cloud Fabric方案擁有先進的安全架構，能夠全面解決數(shù)據(jù)中心的關鍵安全難題。同時，華為提供專業(yè)的安全咨詢和服務業(yè)務，幫助運營商評估和改善數(shù)據(jù)中心的安全性能。

　　華為數(shù)據(jù)中心安全架構分五個維度IAARC（Identification & Authentication、Access & Authorization、Audit Trail、Response & Recovery、Content Security），包括用戶的身份識別（你是誰）、接入控制（你能訪問什么）、審計和取證（行為有記錄可審計）、反應和恢復（業(yè)務響應及時性、業(yè)務可恢復性）、內容安全檢查（是否存在攻擊），針對這五個維度提供相應的安全解決方案，有效保障數(shù)據(jù)中心的平安運行。

　　同時，該架構提供對端、管、云三層業(yè)務的層次化安全防護，在端點接入上提供移動終端、VDI等終端接入安全方案；在網絡管道上提供邊界網絡、內部網絡、虛擬層網絡等層次化防護方案，實現(xiàn)多租戶的網絡隔離，抵御來自數(shù)據(jù)中心內部和外部的攻擊；在云端提供數(shù)據(jù)中心主要業(yè)務如Web、Email等的安全防護，并提供全方位的數(shù)據(jù)保護方案，包括文檔和數(shù)據(jù)庫安全、虛擬機全盤加密以及DLP。

　　開放易運維

　　IDC網絡涉及到與骨干網絡、其他IDC、服務器/存儲器的互聯(lián)互通，華為堅持采用Trill、VPLS等業(yè)界標準協(xié)議，提升網絡的可集成性，有效保護運營商的投資。

　　華為數(shù)據(jù)中心管理平臺U2000能夠統(tǒng)一管理交換機、路由器、OTN、防火墻等設備，提供E2E的物理/邏輯視圖，支持快速故障定位和靈活的業(yè)務發(fā)放；除了傳統(tǒng)的網絡管理功能，U2000還支持虛擬機感知，能在虛擬機的遷移中自動部署網絡策略。