化云为雨,H3C“云就绪”网络解决方案

化云为雨，H3C“云就绪”网络解决方案

从2007年开始的“纸上谈兵”到现在的“化云为雨”，云计算正在成为信息时代的工业革命，而云计算数据中心则是这场革命的发源地。H3C作为业界领先的IP网络设备提供商，顺应技术演进趋势，从2009年推出的新一代数据中心解决方案，到目前推出“云就绪”网络解决方案，在运营商、互联网、金融等各行各业取得了丰硕的成果。面对云计算带来的网络技术变革，H3C已做好准备化云为雨——“云就绪”。

云计算是利用新的技术手段实现以服务的形式基于网络提供IT类业务，该技术将有力推动资源的整合，提高资源利用率及使用效率。在云计算时代，互联网公司期望借助云计算(公有云)从个人消费者市场向企业IT 市场进军，如企业云备份中心、云杀毒中心；IT公司主要利用企业云技术和产品方案巩固已有市场优势、开拓新市场，如企业office云、CAD云；运营商则将云计算视为其从管道提供商向信息服务提供商转型的利器，充分利用其在网络和IDC领域的优势，从IaaS服务切入，逐步向PaaS、SaaS服务扩展，构建一个以“管道+信息”的云生态链，如针对移动互联网的彩铃彩信下载中心、针对企业用户的ICT云服务平台、云灾备中心。可以预见，互联网行业、IT行业和运营商的界限正逐渐模糊，未来互相渗透和竞争将成为常态。

当前，按照业务分类，运营商在三个领域，可以进行云计算部署。

1) 业务系统和支撑平台可以按照私有云模式部署；

2) IDC可以按照公有云模式部署，提供如云主机，云存储、云灾备等创新型服务；

3) 大型ICT项目可以按照私有云或者混合云模式部署，如电子政务云、政府共享灾备云、政务园区云、企业电子商务云等。

H3C在这三个领域的云计算中，都有着成功的应用，本文主要结合业务私有云和IDC公有云两种云计算在运营商网络的具体应用和建设模式，探讨H3C“云就绪”网络解决方案的部署和领先之道。

运营商的私有云建设，可在这些领域展开：1) 数据业务，包括彩铃、彩信、WAP、邮箱等；2) BSS/OSS 系统，包括计费及结算系统、营业与账务系统、客户服务和决策支持系统；3) OA系统，包括虚拟桌面、公文分发、企业知识平台等；4) 大型业务基地/园区的整体IT 系统，如物流基地、视频基地、音乐基地等。

这些领域的IT系统和平台，在传统建设模式下，存在不少弊端，主要有：1) 单一业务对应单一硬件平台，硬件使用率低下、重复投资较大；2) 众多业务系统导致众多割裂的硬件平台，管理难度大；3) 业务平台多导致硬件升级成本高，安全防护部署成本高，尤其是需要多种安全防护时；4) 网络互连复杂，每套系统都需要和内外部多张网络互连，没有形成一个整合的数据中心平台。

经过和国内众多运营商客户的深入沟通，在分析现有问题的基础上，H3C提出了在私有云建设时，向运营商提出了“业务系统数据中心化”的思路，通过虚拟化的网络平台整合，多种安全业务的融合和加固，灵活统一的网络、安全资源调度管理，在实践中总结出运营商私有云的最佳网络安全解决方案。这里以H3C在山西移动业务系统私有云建设项目中的网络、安全解决方案为例，来向读者展示“云就绪“网络带来的优势。

山西移动数据业务网承载了山西移动大量核心业务，如：彩铃、彩信、WAP等，山西移动原有数据业务系统都各自独立建设，没有集中化建设和管理，每

李 明 杭州华三通信技术有限公司

个业务系统都有单独的出口到互联网、网管系统和计费系统，网络复杂，各种硬件频繁升级、扩容，业务时常中断；同时随着数据业务发展迅速，系统数量急剧增加，规模不断扩大，导致网络互联架构日益复杂，安全威胁不断升级，原来各系统没有设置互联网接口区对从互联网进来的流量进行攻击保护，整体系统存在网络安全隐患；各业务系统单独建设防火墙，造成重复投资。为从整体上提高数据业务系统的整体业务性能、管理能力和安全防护能力，2010年初，山西移动率先响应集团要求的《中国移动数据业务系统集中化安全防护技术要求》，对数据业务系统进行改造，提出了按照私有云模式建设省级业务平台的想法。基于以上原因，山西移动在充分了解业界各厂商方案后，锁定H3C提供的新一代数据中心解决方案。改造前的山西移动业务系统平台如图1所示。

H3C向山西移动提出了私有云数据中心化业务平台建设模式，如图2所示。

在这种数据中心的建设模式

下，各系统的网络定义更加清晰：1) 核心生产区。本区域仅和该业务系统其它安全子域直接互联，不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域，如服务器群、数据库以及重要存储设备，外部不能通过互联网直接访问该区域内设备。2) 内部互联接口区。本区域放置的设备和公司

内部网络，如IP专网等连接，具体

包括与支撑系统、其它业务系统或

可信任的第三方互联的设备，如网

管采集设备。3) 互联网接口区。本

区域和互联网直接连接，主要放置

互联网直接访问的设备，如业务系

统门户(Portal)，该区域的设备具备

实现互联网与内部核心生产区数据

的转接作用。4) 核心交换区。负责

连接核心生产区、内部互联接口区

和外部互联接口区等安全区域。

整个平台和各个系统对应的安

全要求也更加清晰：1) 数据业务系

统之间互联安全要求不同数据业务

系统的核心生产区设备之间不能直

图2 山西移动私有云数据中心化业务平台

图1 改造前的山西移动数据业务网拓扑

接访问。2) 数据业务系统与支持系统之间互联安全要求数据业务系统与支撑系统之间需通过内部互联接口区进行互联并通过防火墙防护。支撑系统不能直接访问数据业务系统的核心生产区。3) 数据业务系统与互联网之间互联安全要求来自互联网的访问请求需通过部署在互联网接口区的设备进行处理或转发。互联网设备不能直接访问数据业务系统的核心生产区。4) 互联网接口区与互联网之间需要通过防火墙防护。5) 重要系统核心生产区与互联网接口区之间需要通过防火墙防

护，实现双重防火墙防护。

经过详细的需求分析，和与各生产业务系统部门的调研，H3C提出了私有云数据中心建设的思路：1) 以建设数据中心的思想建设数据业务网。2) 高可用性。采用数据中心级交换机构建核心交换区，主控板与交换网板物理分离，可靠性高；严格无阻塞的交换能力及分布式200ms缓存保证数据转发不丢包，业务不中断。3) 互联网接口区采用超万兆的防火墙，出口带宽得到保证。4) 采用网络虚拟化技术，使网络结构变得简单，管理方便。

5) 网络与安全融合，简化网络与管理。SecCenter安全管理中心，实现对全网安全设备的集中统一管理。6) 分区化的网络设计结构清晰，有利于安全域的划分，同时还保证了网络的可扩展性。

图3就是山西移动业务网私有云改造后的网络、安全结构。

通过这种改造，山西移动的业

务平台在以下方面得到了有效的增

强。1) 扩展性好。可根据不同区

域和层次的功能需求进行建设。业

务部署灵活，通过核心区可以非常

方便地增加新 Server Farm区。便

于部署云计算平台，最大程度上实

现了资源的统一利用，统一管理。

2) 突出重点安全。明确不同网络区

域之间的安全关系。可对每个区域

进行安全实施，不会对其它区域造

成影响。3) 提高可用性。最大限度

的隔离故障域，简化数据路径，加

快故障收敛时间。4) 易管理。网络

结构清晰，管理容易，问题定位容

易。目前这种以运营商省公司的私

有云建设模式，在中国电信，中国

移动都在积极进行，H3C的新一代

“云就绪”网络解决方案，已经在

包括山西移动，广东电信，浙江电

图3 山西移动业务网网络安全结构

信，安徽电信等众多省公司得到

应用。

公有云的建设，也是运营商云

计算战略的重要组成部分。从务实

的角度出发，运营商公有云市场的

核心竞争力是提供IaaS服务，而

IDC网络又正是提供IaaS服务的平

台，同时也是运营商的优势资源，

因此IDC作为运营商提供云计算的

基石，其价值正在凸显。但是IDC

的建设模式，也在经历一个从传统

建设模式向云计算迁移的过程，

其原因在于：1) 传统的IDC业务

主要在物理主机托管，网络带宽租

赁，简单安全防护三类业务，业务

类型少，赢利能力差。2) IDC软硬

件投入成本高，日常能耗成本高。

其客户，无论是大型互联网客户，

还是中小型客户，对业务需求、成

本控制都提出了新的要求，要求运

营商能提供更加灵活多样的弹性IT