（下）

http://www.h3c.com.cn/res/200910/13/20091013_854728_image010_650635_30008_0.png

图10 基于IRF2的VLAN、IP设计

如图10所示，在接入层配置了A-H共8个接入VLAN，用于数据中心8类服务器接入，分属到两个业务网关层。核心层与网关层(汇聚层)均采用IRF2实现每层两台设备的虚拟化整合，接入层分别采用两种方式：左边模块Top of  Rack接入不进行IRF2虚拟化；右边模块采用IRF2虚拟化横向整合。

对于VLAN A，服务器上联到两台Top of Rack交换机，每台交换机双上行捆绑到网关，逻辑上形成了一个倒V的拓扑，VLAN A在网关的IRF2系统上只需配置一个IP地址10.1.1.1/24。

对于VLAN H，由于右边模块下的Top of Rack交换机以IRF2形式接入服务器，服务器的双网卡所在的两个端口只表现为一台交换机同一VLAN H的两个端口，上行只有一个逻辑链路，因此VLAN H简单地通过此链路终结在汇聚层网关上，只需配置一个IP地址10.2.4.1/24.

核心层与汇聚层之间的连接也简化为只通过一个VLAN进行三层互联了，将本来full mesh全连接的网状网变成了简单的单逻辑链路连接。

http://www.h3c.com.cn/res/200910/13/20091013_854729_image011_650635_30008_0.png

图11 IRF2网络架构对路由设计的简化

图11左图的网络结构中，三层互联链路成网状，所需网段多，且一般一条物理链路对应一个互联网段，在运行动态路由、使能接入环路生成树条件下，任意物理链路的故障(Up/Down)都会引起网络路由的振荡、VRRP状态变化或生成树的重新计算，同时可能引起应用系统业务流的中断(在协议计算收敛条件下的业务恢复时间可达到数秒甚至分钟级)。

而图11右图采用IRF2的网络结构，网络节点之间以多链路捆绑组模式互联(普通方式下为1～4条物理链路)，捆绑组中任意一条物理链路发生故障(引起Up/Down)，由于整个捆绑组在逻辑上仍然有效，接口状态正常，整个网络拓扑没有变化，因此不会引发上层路由协议重计算，极大保持了网络稳定运行。同时基于IRF2的网络架构所需互联IP大量减少，减少了网络可管理的IP对象，也消除了潜在隐患。此结构中，动态路由设计面对的网络区域，也因架构横向整合而使得动态路由区域可能变成了简单的链状，参与路由计算的节点大量减少，设计上更简单和易稳定。

http://www.h3c.com.cn/res/200910/13/20091013_854730_image012_650635_30008_0.png

图12 面向server farm多层应用架构的IRF2组网

对于数据中心应用的多层架构，按图5的组网模式，采用IRF2技术进行改良。如图12所示，端到端的IRF2设计可以将大规模数据中心网状网变成线性/树状辐射网，在网络每一层具有灵活扩展能力、简单配置管理方式，提升网络的运行管理效率。

对于数据中心已有核心，扩建业务模块的网络设计，可在汇聚/网关层以下的网络层次使用IRF2技术进行构建。

http://www.h3c.com.cn/res/200910/13/20091013_854731_image013_650635_30008_0.png

图13 在现有数据中心采用IRF2架构扩建新业务模块

如图13左图，新建业务模块的网络连接与已有业务模块区可采用相同连接拓扑，新建业务模块通过IRF2消除本模块内的环路设计，网关/汇聚节点创建两个接口分别与核心两台设备连接，如图15右图，出入此新建业务模块的访问流量可通过两条(或多条)等价路由实现连通。

3.如何通过IRF2网络构建适应VMotion的虚拟化应用

VMware的VMotion是当前服务器虚拟化技术的热点内容，主要好处是解决了业务在运行过程中的动态迁移问题，使得应用可以根据计算容量需求动态调整计算资源。

http://www.h3c.com.cn/res/200910/13/20091013_854732_image014_650635_30008_0.png

图14 VMoiton过程示意

如图14所示，在VMotion过程中，选择好目的物理服务器后，启动迁移流程，VMWare虚拟系统将处于工作运行中的虚拟机(VM)的实时状态，包括内存、寄存器状态等信息同步拷贝到目的VM，并激活目的VM从而完成迁移。

VMotion过程对于网络设计本无特殊要求，但迁移的范围要求网络二层连通，即源VM与目的VM在同一VLAN内，这就要求VM虚拟化应用所在的网络是一个二层网络。如图15所示，VMotion的网络中存在三种VLAN：管理VLAN如VLAN 10，迁移VMotion VLAN如VLAN 20，VM业务VLAN如VLAN 105/106。

http://www.h3c.com.cn/res/200910/13/20091013_854733_image015_650635_30008_0.png

图15 VMotion的二层VLAN类型

传统MSTP的二层设计在小范围网络环境也基本满足VMotion的应用要求，但是随着VM 二层域规模的不断扩大，有些企业甚至要建数据中心范围内的二层网络，如果采用MSTP+VRRP构建数据中心网络，不论是前期规划还是建成后的运营都会极其复杂。

http://www.h3c.com.cn/res/200910/13/20091013_854734_image016_650635_30008_0.png

图16 基于IRF2的大规模VMotion网络架构

图16提供了端到端全面构建VMotion网络的方案。由于IRF2消除了环路和冗余网关协议带来的问题，整个网络可搭建一个大范围的二层互联平台，在此平台上合理部署相应的管理VLAN、VMotion VLAN和VM业务VLAN即可满足虚拟化业务需求。

在虚拟化环境中遇到的另一个问题是安全策略问题，有外部流量访问VM的安全策略，也有VM之间的安全策略。对此存在不同的部署意见，有的认为安全策略需要部署到服务器内部的vSwitch上，有的建议由安全设备如防火墙集中执行。

安全策略部署在服务器内的vsSwitch上，便于做到控制精细，并且在VM的迁移过程中，相应的控制策略也能跟随虚拟化系统软件的迁移功能随着VM到达相应的vSwitch。但根据思博伦测试专家的观点，策略在vSwitch上部署过多对于vSwitch性能有一定影响。同时，对大二层网络，策略过于分散，不利于运行维护。并且在当前企业数据中心运维架构中，服务器虚拟化带来的Switch管理归属成为问题。(是网络运营部门？还是应用运营部门？)

另一种集中式的控制策略部署在网络设备上。对IRF2构建的网络，如果对外部访问VM的流量进行策略控制，则可在所有VM的网关层设置入方向的ACL控制策略，如图16所示，控制集中、便于策略维护。

IRF2虚拟化在数据中心建设的实施已经是一种必然趋势，最佳实践的设计是落实IRF2的有效途径。IRF2并没有完全摒弃传统设计方法，而是对数据中心总体网络架构的优化，同时，IRF2的实施结果也是实现数据中心的虚拟化价值。