IDC網(wǎng)絡(luò)面臨的新挑戰(zhàn)

　　隨著云計算的快速興起，作為IDC（Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心）市場主要玩家的各大運營商，都在加速建設(shè)依托云計算平臺的數(shù)據(jù)中心，將計算、存儲、網(wǎng)絡(luò)等資源作為服務(wù)提供給客戶，以提升IDC業(yè)務(wù)的盈利水平。

　　IDC網(wǎng)絡(luò)是云計算數(shù)據(jù)中心的核心，負責連接各種物理資源（服務(wù)器、存儲設(shè)備）和虛擬資源（虛擬機、虛擬存儲空間等）。近年來互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展日新月異，給IDC網(wǎng)絡(luò)帶來了不少新挑戰(zhàn)。

　　如何適應(yīng)流量模型的巨大變化

　　在云計算時代，東西流量將成為數(shù)據(jù)中心內(nèi)部的主導流量。在傳統(tǒng)的數(shù)據(jù)中心里，應(yīng)用主要部署在單臺或少量幾臺服務(wù)器上，服務(wù)器之間通信較少，主要是向數(shù)據(jù)中心外部提供服務(wù)，因此網(wǎng)絡(luò)流量以南北流量為主�；�于該流量模型，傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)采用流量逐級收斂的設(shè)計，一般從接入層到核心層的收斂比在1:3–1:20之間，這種設(shè)計方式在滿足流量需求的同時，降低了投資成本。但是，隨著搜索、網(wǎng)絡(luò)游戲、大型企業(yè)應(yīng)用等業(yè)務(wù)的出現(xiàn)，單臺服務(wù)器無法完成巨大的計算任務(wù)，需要部署大規(guī)模集群計算，數(shù)千臺甚至數(shù)萬臺服務(wù)器協(xié)同工作，只有少量的服務(wù)器對外提供應(yīng)用入口，而其余服務(wù)器負責應(yīng)用計算，服務(wù)器之間的應(yīng)用數(shù)據(jù)交換、狀態(tài)同步等流量將成為數(shù)據(jù)中心的主要流量。據(jù)預測，數(shù)據(jù)中心的網(wǎng)絡(luò)流量將從早期的“80%為南北向流量”，轉(zhuǎn)變?yōu)?ldquo;70%為東西向流量”。

　　盡管數(shù)據(jù)中心內(nèi)部流量將以東西流量為主，但出口流量仍然會快速增長。據(jù)預測，全球數(shù)據(jù)中心IP流量年均增長率為33%，到2016年數(shù)據(jù)總量將增長到4.8ZB。運營商目前的數(shù)據(jù)中心出口流量超過200G的已經(jīng)不在少數(shù)，中國電信西部數(shù)據(jù)中心的出口流量更是高達600G。

　　如何滿足10GE/40GE/100GE服務(wù)器端口接入

　　隨著服務(wù)器性能的提升以及虛擬機的部署，數(shù)據(jù)中心需要更多網(wǎng)絡(luò)接入帶寬。據(jù)IDC預測，2014年服務(wù)器10GE端口部署量將超過GE端口，成為市場主流，接入層上行將演進到40GE；未來10年接入端口將向40GE甚至100GE演進，數(shù)據(jù)中心網(wǎng)絡(luò)則需要提供更大的接入帶寬和交換容量，同時避免網(wǎng)絡(luò)的頻繁升級，減少對業(yè)務(wù)的影響。

　　虛擬機的部署對數(shù)據(jù)中心網(wǎng)絡(luò)的新要求

　　虛擬機技術(shù)實現(xiàn)了操作系統(tǒng)和硬件的解耦，能夠極大提升服務(wù)器的資源利用效率。目前虛擬機的部署已經(jīng)非常普遍，超過50%的計算是在虛擬機上完成的。虛擬機的規(guī)模部署，不可避免地涉及到虛擬機在服務(wù)器間的動態(tài)遷移，這對網(wǎng)絡(luò)提出了新的要求：首先需要構(gòu)建大二層網(wǎng)絡(luò)，從而實現(xiàn)設(shè)備的虛擬池化；其次要保證網(wǎng)絡(luò)的低時延和高帶寬，虛擬機遷移一般需要保證時延在5ms之內(nèi)，高帶寬則有助于在短時間內(nèi)完成遷移；能夠動態(tài)自動部署網(wǎng)絡(luò)策略的虛擬機感知技術(shù)也不可或缺。

　　如何滿足用戶對安全的訴求

　　近年來，網(wǎng)絡(luò)安全事故頻發(fā)，社交網(wǎng)站用戶名密碼泄漏、信用卡支付信息失竊、公司數(shù)據(jù)庫被盜等事件引起了廣泛關(guān)注，IDC作為互聯(lián)網(wǎng)的數(shù)據(jù)存儲和處理中心，面臨更多的安全攻擊。另一方面，IDC用戶越來越關(guān)注安全服務(wù)，Gartner的報告顯示，超過一半的用戶將安全服務(wù)放在了實施云計算考慮因素的首位。

　　云計算也給IDC網(wǎng)絡(luò)安全帶來了更大的挑戰(zhàn)：網(wǎng)絡(luò)邊界的模糊化、威脅種類的變化以及大流量的DDoS攻擊，將對IDC網(wǎng)絡(luò)產(chǎn)生巨大沖擊；虛擬化平臺運行在操作系統(tǒng)與物理設(shè)備之間，其本身設(shè)計存在的漏洞風險將成為云計算的致命弱點；由于用戶共享，不同安全需求的租戶可能運行在同一臺物理機上，這種租戶共享帶來的安全問題，傳統(tǒng)安全措施難以處理；在數(shù)據(jù)管理方面，應(yīng)用系統(tǒng)和資源所有權(quán)的分離，導致云平臺管理員有可能訪問用戶數(shù)據(jù)，造成人為數(shù)據(jù)泄露。

　　構(gòu)建面向未來的數(shù)據(jù)中心網(wǎng)絡(luò)

　　針對上述挑戰(zhàn)，華為推出Cloud Fabric數(shù)據(jù)中心網(wǎng)絡(luò)解決方案，全力幫助運營商構(gòu)建面向未來的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，讓網(wǎng)絡(luò)不再是阻礙云計算數(shù)據(jù)中心蓬勃發(fā)展的瓶頸。

　　彈性架構(gòu)

　　為了應(yīng)對數(shù)據(jù)中心東西流量的快速增長，以及未來服務(wù)器的升級換代，在數(shù)據(jù)中心設(shè)計時就應(yīng)當選擇一種彈性的網(wǎng)絡(luò)架構(gòu)。交換機作為數(shù)據(jù)中心網(wǎng)絡(luò)的核心設(shè)備，其性能、容量和演進能力將對整個網(wǎng)絡(luò)產(chǎn)生非常重要的影響。Cloud Fabric方案采用CE12800系列數(shù)據(jù)中心交換機，具有48T超大交換容量，T比特高密線卡，整網(wǎng)可達到360T的無阻塞交換，支持高密服務(wù)器接入，能滿足GE/10GE到40GE/100GE的4代服務(wù)器演進需求。

　　出口路由器NE5000E采用先進的無阻塞交換網(wǎng)絡(luò)架構(gòu)，可提供海量交換容量和超高轉(zhuǎn)發(fā)性能，同時擁有強大的集群能力，“2+8”集群的系統(tǒng)吞吐量超過100Tbps，集群容量和擴展能力可充分滿足數(shù)據(jù)中心部署超大帶寬業(yè)務(wù)的需要。2013年4月，華為發(fā)布了1T路由線卡，該線卡可以支持高密度100GE、40GE端口，交換容量達到32Tbps。

　　可運營的虛擬化網(wǎng)絡(luò)

　　華為數(shù)據(jù)中心交換機的VS（Virtual System）技術(shù)架構(gòu)，可實現(xiàn)設(shè)備“一虛多”的虛擬化能力，即在物理設(shè)備上劃分出多個邏輯或虛擬設(shè)備系統(tǒng)，每個VS承載不同業(yè)務(wù)或者服務(wù)于不同的用戶群，既實現(xiàn)了業(yè)務(wù)隔離，又增強了網(wǎng)絡(luò)可靠性和安全性；大幅提升設(shè)備的利用率，降低用戶成本；并可以實現(xiàn)多用戶群管理隔離，有效簡化運維。同時，網(wǎng)絡(luò)節(jié)點也支持“多虛一”應(yīng)用，通過集群交換機系統(tǒng)（CSS），把多臺支持集群的交換機連接，組成一臺更大的交換機，從而簡化網(wǎng)絡(luò)的拓撲，提升網(wǎng)絡(luò)性能。

　　在網(wǎng)絡(luò)數(shù)據(jù)平面，Cloud Fabric方案通過標準的Trill協(xié)議構(gòu)建大二層網(wǎng)絡(luò)，實現(xiàn)虛擬機的動態(tài)遷移。該方案支持超過500個Trill節(jié)點的超大規(guī)模二層網(wǎng)絡(luò)，網(wǎng)絡(luò)鏈路和節(jié)點故障收斂時間在500ms以內(nèi)，最大支持16路負載分擔，充分滿足大規(guī)模數(shù)據(jù)中心對于網(wǎng)絡(luò)規(guī)模和性能的要求。在多數(shù)據(jù)中心互聯(lián)上，華為增強型Trill over VPLS方案充分利用成熟技術(shù)，部署簡單，可支持40–60個數(shù)據(jù)中心互聯(lián)，在更大的地理空間上構(gòu)建統(tǒng)一的二層網(wǎng)絡(luò)，幫助運營商實現(xiàn)物理分散、邏輯統(tǒng)一的數(shù)據(jù)中心，有效整合IT資源，提升運營效率。

　　多層次的安全體系

　　Cloud Fabric方案擁有先進的安全架構(gòu)，能夠全面解決數(shù)據(jù)中心的關(guān)鍵安全難題。同時，華為提供專業(yè)的安全咨詢和服務(wù)業(yè)務(wù)，幫助運營商評估和改善數(shù)據(jù)中心的安全性能。

　　華為數(shù)據(jù)中心安全架構(gòu)分五個維度IAARC（Identification & Authentication、Access & Authorization、Audit Trail、Response & Recovery、Content Security），包括用戶的身份識別（你是誰）、接入控制（你能訪問什么）、審計和取證（行為有記錄可審計）、反應(yīng)和恢復（業(yè)務(wù)響應(yīng)及時性、業(yè)務(wù)可恢復性）、內(nèi)容安全檢查（是否存在攻擊），針對這五個維度提供相應(yīng)的安全解決方案，有效保障數(shù)據(jù)中心的平安運行。

　　同時，該架構(gòu)提供對端、管、云三層業(yè)務(wù)的層次化安全防護，在端點接入上提供移動終端、VDI等終端接入安全方案；在網(wǎng)絡(luò)管道上提供邊界網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)、虛擬層網(wǎng)絡(luò)等層次化防護方案，實現(xiàn)多租戶的網(wǎng)絡(luò)隔離，抵御來自數(shù)據(jù)中心內(nèi)部和外部的攻擊；在云端提供數(shù)據(jù)中心主要業(yè)務(wù)如Web、Email等的安全防護，并提供全方位的數(shù)據(jù)保護方案，包括文檔和數(shù)據(jù)庫安全、虛擬機全盤加密以及DLP。

　　開放易運維

　　IDC網(wǎng)絡(luò)涉及到與骨干網(wǎng)絡(luò)、其他IDC、服務(wù)器/存儲器的互聯(lián)互通，華為堅持采用Trill、VPLS等業(yè)界標準協(xié)議，提升網(wǎng)絡(luò)的可集成性，有效保護運營商的投資。

　　華為數(shù)據(jù)中心管理平臺U2000能夠統(tǒng)一管理交換機、路由器、OTN、防火墻等設(shè)備，提供E2E的物理/邏輯視圖，支持快速故障定位和靈活的業(yè)務(wù)發(fā)放；除了傳統(tǒng)的網(wǎng)絡(luò)管理功能，U2000還支持虛擬機感知，能在虛擬機的遷移中自動部署網(wǎng)絡(luò)策略。