互联网数据中心(Internet Data Center)简称IDC。就是运营商利用已有的互联网通信资源,建立标准化的电信专业级机房环境,为个人、企业、公司、政府等提供服务器托管服务、服务器租用服务以及相关增值服务等方面的全方位服务。
当前的热门话题,云计算或云服务,也可理解为IDC服务的延伸。以前用户租用的是一台台物理服务器,现在租用的是虚拟机,是软件平台甚至是应用程序。公认的三个云计算服务层次是IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)和SaaS(Software as a Service),分别对应硬件资源、平台资源和应用资源。目前国内的云服务状况是,IaaS处于成熟阶段,能够规模部署,PaaS处于开发阶段, SaaS可以提供的服务还非常少。
对于服务器出租或托管服务,租户通常都有以下要求:
1. 租用公网IP地址,能够从Internet上进行访问;
2. 租用满足业务要求的公网带宽;
3. 与其它租户的设备二层隔离;
4. 能够灵活方便的进行二层扩容。
而运营商也希望:
1. 能够灵活的给租户分配IP地址;
2. 租户退租的IP地址能够很容易的分配给其他租户扩容使用。
现实中的租户有大有小,有租用1台2台的,也有租用10台8台的,因为租户之间有着二层隔离的需求,需要给每个租户分配单独的IP网段。为了满足租户扩容的需求,还需要在这个网段内预留多个IP地址。如果某个租户扩容比较快,预留的地址不够用了,那么只能分配第二个IP网段地址或更改原来的小网段到一个大网段。而租户通常都很难容忍更换服务器IP地址,尤其是已经提供服务很长时间的服务器的IP地址。而使用两个网段地址,跨三层互联,使得同一租户内部的服务器迁移、数据库同步等变得困难重重。租户退租的IP地址,因为和现有租户的IP地址不同网段,不能作为现有租户扩容使用,只能留给新租户。
SuperVlan技术简介
Super VLAN又称为VLAN聚合(VLAN Aggregation),其原理是一个Super VLAN和多个Sub VLAN关联,Super VLAN不能加入物理端口,但可以创建对应的Super VLAN虚接口,Super VLAN接口下可以配置IP地址;Sub VLAN可以加入物理端口,但不能创建对应的Sub VLAN接口,所有Sub VLAN内的端口共用Super VLAN的VLAN虚接口IP地址,不同Sub VLAN之间二层相互隔离。当Sub VLAN内的用户需要进行三层通信时,将使用Super VLAN的IP地址作为网关地址,这样多个Sub VLAN共享一个网关地址,从而节省了IP地址资源。
SuperVlan技术在IDC中的应用
从上面介绍的SuperVLAN技术,我们大概能够判断出我们在IDC中遇到的种种问题有了答案。但在实际使用中也需要仔细规划。下面举例说明:
在不使用SuperVLAN技术的情况下,假如有5个租户,分别租用了1台、2台、4台、8台和15台主机。为了今后扩容方便,要求每个租户至少预留一倍的IP地址,即达到100的地址扩展冗余。那么5个租户分别需要2/4/8/16/30个主机地址。那么分给不同的租户不同的IP网段的掩码为29、29、28、27、26,占用了半个C的网段。5个租户的IP地址扩展冗余度为:500%、200%、250%、275%、287.5%。
如果使用了SuperVLAN的技术,在同样的需求情况下,5个租户通过Sub VLAN进行隔离,IP地址使用同一个网段。那么5个租户总需求是1+2+4+8+15共30个IP地址,要求100%的扩展冗余,那么需要预留60个地址。共分配一个26位掩码的IP网段就够了。
SuperVLAN部署在IDC后,带来如下好处:
1. IP地址分配管理方便,不必每个租户划分一个IP网段;
2. 多租户共用一个网关,节省了网关IP地址;
3. 多租户使用同一IP扩容地址池,扩容变得灵活方便;
4. 租户退租的IP地址,返回扩容地址池,既可以作为新租户使用的IP地址,也可分配给原有租户作为扩容的IP地址。
SuperVlan的配置示例
1.组网图如下:
图1 SuperVLAN配置示例组网图
2.组网图说明如下:
租户一有两台主机,分别连接在交换机的GE3/0/1和GE3/0/2上,属于vlan2;租户二有两台主机,分别连接在交换机的GE3/0/3和GE3/0/4上,属于vlan3;租户三有两台主机,分别连接在交换机的GE3/0/5和GE3/0/6上,属于vlan5;Vlan-int10作为租户的共同网关存在。
3.主要配置说明如下:
# 创建VLAN 10,配置VLAN接口的IP地址为10.0.0.1/24。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] interface Vlan-interface 10
[Sysname-Vlan-interface10] ip address 10.0.0.1 255.255.255.0
# 创建VLAN 2,并添加端口GigabitEthernet3/0/1和端口GigabitEthernet3/0/2。
[Sysname] vlan 2
[Sysname-vlan2] port GigabitEthernet 3/0/1 GigabitEthernet 3/0/2
# 创建VLAN 3,并添加端口GigabitEthernet3/0/3和端口GigabitEthernet3/0/4。
[Sysname-vlan2] quit
[Sysname] vlan 3
[Sysname-vlan3] port GigabitEthernet 3/0/3 GigabitEthernet 3/0/4
# 创建VLAN 5,并添加端口GigabitEthernet3/0/5和端口GigabitEthernet3/0/6。
[Sysname-vlan3] quit
[Sysname] vlan 5
[Sysname-vlan5] port GigabitEthernet 3/0/5 GigabitEthernet 3/0/6
# 指定VLAN 10为Super VLAN,VLAN 2、VLAN 3和VLAN 5为Sub VLAN。
[Sysname-vlan5] quit
[Sysname] vlan 10
[Sysname-vlan10] supervlan
[Sysname-vlan10] subvlan 2 3 5
[Sysname-vlan10] quit
[Sysname] quit
SuperVlan技术在IDC中应用的相关问题及解决方案
1. IDC的租户的主机大多作为服务器给Internet上的用户提供服务,有些时候租户间的主机也需要相互访问。
解决方案:
在SuperVLAN的虚vlan接口上启用本地ARP代理,从而实现租户间主机的二层隔离,三层访问的需求。
参考前文所举的组网例子,配置如下:
[Sysname-Vlan-interface10] local-proxy-arp enable
2. 开启本地ARP代理后,会导致该SuperVLAN的所有Sub VLAN之间都可以进行三层互通。
解决方案:
如果租户有三层隔离的需求,需要在交换机上配置ACL进行隔离。
3. 如果同一个SuperVLAN下的sub vlan分接到不同的交换机,是否可以在多台设备上同时配置同一个Super VLAN?
解决方案:
不能在多台设备上同时配置同一个SuperVLAN。
H3C公司的DCSW(数据中心交换机)支持IRF堆叠,即可以把多台DCSW虚拟成一台交换机,再配置一个统一的SuperVlan就可以了。
或者把所有的SubVlan最终汇总到一台DCSW,最终在这台交换机上配置SuperVLAN。