测试区 核心生产区
业务网络
接入维护区
管理接入交换机
SDN
光交换机
管理汇聚
管理网络
交换机
资源池管理平台
FC SA N 设备
存储网络
Hale Waihona Puke IP专网中国移发布的私有云规范规定了网络设置原则，安全规划原则，但是 在SDN、网络虚拟化、大二层组网等方向上缺乏一定的规划
1
IT云资源池网络架构规划—新技术引入之大二层组网 传统二层网络面临的挑战与L3的不足： 大二层组网的改进：
4
VB in VMM指的是Hypervisor内部的虚拟机交换机，比如VMware的vSwitch、VDS、Nexus1000v、Open Switch等。 VB in NIC指的是将原本连接到vSwitch上的虚拟机直接连接到服务器的硬件网卡上，从而提高转发效率和更低 的转发时延，具体的实现技术为SR-IOV，每个虚拟机的虚拟网卡对直接对应物理网卡的一个简化的PCIe设备， 每个网卡最多有256个。 VB in 交换机是指通过外部交换机直接管理虚拟网卡，具体到思科的实现上为VN-Tag技术，这样的好处为虚拟 网络的管理也由网络管理员完成，避免网管管理的黑匣子与末端问题。
IT云资源池网络架构规划
中国移动私有云资源池包括业务、存储和管 理三个网络平面: • 业务网络用于承载系统内的业务流量， 是资源池内业务层面的核心 • 存储网络提供FC SAN设备和云存储接口 • 管理网络分为接入交换设备和汇聚交换 设备；资源池管理系统提供网络、资源、 业务、运营等管理功能
根据应用系统对不同安全等级的需求，将资源 池划业务网络分为核心生产、DMZ、测试、接 入维护四个资源分区 分区之间针对不同的VLAN和IP地址段，在 防火墙上配置相应的安全策略进行隔离 分区之间通过基于核心交换机构建的大二层 网络实现资源灵活调整 不同资源分区通过VLAN+防火墙隔离：分区 内不同的业务系统使用不同的VLAN，所有 VLAN之间缺省是互相隔离的；不同VLAN如 有互访需求需要在防火墙上做策略允许其互 访 资源池配置双层异构防火墙： 外层防火墙主要对DMZ接口区访问Internet 的访问进行策略控制； 内层防火墙主要保证核心生产区的安全，并 对核心生产区与DMZ、测试区、接入维护区 的访问策略进行控制，内层防火墙可根据运 营单位划分虚拟防火墙，每个运营单位在分 配好的虚拟防火墙上配置系统相关安全策略
CMNET
CM N ET路由器 CM N ET出口路由器 网络 出口层 防火墙 D M Z区交换机
IP专网
A R
网管网
企业网
CE
支撑网
DMZ区
Por t al VPN 网关
核心交换机 核心层 汇聚交换机
汇聚层
负载均衡设备
存储核心交换机 存储汇聚交换机 存储接入交换机
接入交换机 业务接 入层 服务器
大二层组网 网络虚拟化
通过TRILL协议（FabricPath为TRILL的协议），是一种构建数据中心大 二层组网的技术协议，是IETF标准组织制定的一项标准技术，通过扩展 IS-IS路由协议实现二层路由。 因此二层组网方面，建议进入TRILL或者SPB协议的交换机，实现大二层 组网技术。
2
IT云资源池网络架构规划—新技术引入之网络虚拟化 网络虚拟化技术
3
IT云资源池网络架构规划—新技术引入之SDN
SDN技术是云计算的基础架构之一，每个IAAS平台都在或多或少的使用SDN
针对河北移动的SDN实施，可以结合网络虚拟 化现状，采用通用交换机+虚拟化vSwitch方案 的可以逐步引入OpenFlow解决方案，采用 Cisco VN-Tag网络虚拟化解决方案的，逐步引 入Cisco SDN解决方案体系（目前较好的形成 了基于Nexus 7000/5000、2000系列的解决方 案）