云计算数据中心双线接入解决方案

1云计算数据中心双线接入解决方案龚学强摘要当今社会，人类已走进以信息技术为核心的知识经济时代，信息资源已成为与材料和能源同等重要的商业资源。Internet已成为支撑现代社会经济发展、社会进步和科技创新的最重要信息基础设施，是构筑云计算数据中心的重要基石。工信部副部长杨学山在“第三届中国云计算大会”开幕式上指出，发展云计算的一个基本的要求就是宽带，没有宽带，云计算就没有基础。本文详细阐述了云计算数据中心双线接入的解决方案，为用户提升访问体验。关键词：Internet，双线接入，uRPF，策略路由2一、引言云计算的快速便捷和资源按需使用等特性，更加快了信息资源的商业化。传统电子商务网站逐渐向电子商务云服务转变。无论是传统电子商务网站还是电子商务云服务，其前提是最终用户的体验。目前最终用户主要分为电信宽带用户和联通宽带用户，在云计算数据中心引入电信和联通双线后，如果没有预先在云计算数据中心边缘网络设备上配置策略路由，会出现联通宽带用户不能访问电信单线云服务器，同样的电信宽带用户也不能访问联通单线云服务器。本方案详细阐述了云计算数据中心引入电信联通双线，造成电信宽带用户不能访问联通单线云服务器和联通宽带用户不能访问电信单线云服务器的原因，以及解决这种现象的方法。二、路由器工作原理Internet是由上千万台设备组成的互联网，使用TCP/IP协议让不同的设备可以彼此通信，这些设备有：防火墙，路由器、交换机、服务器等。而路由器是Internet中最核心的设备。路由器是连接Internet中各局域网、广域网的设备，也称为互联网络的枢纽、交通警察。路由器系统构成了基于TCP/IP的国际互联网络Internet的主体脉络，也可以说，路由器构成了Internet的骨架。2.1IP数据包的转发路由器的主要功能之一，将每一个数据包由一个端口转发到另一个端口，路由器的每一个端口对应不同子网，而一条连线上两个路由器的两个端口的IP地址应该属于同一子网。设置端口IP地址时，如果路由器的其它端口已有这个子网，则出现错误提示，并显示对应的端口。当IP子网中的一台主机发送数据包给同一IP子网的另一台主机时，它将直接把数据包送到网络上，对方就能收到。而要发送给不同IP子网上的主机时，它要选择一个能3到达目的子网上的路由器，把数据包送给该路由器，如果没有找到这样的路由器，就把数据包送给一个称为“缺省网关（defaultgateway）”的路由器上。“缺省网关”是每台路由器上的一个配置参数（称之为默认路由），用来传送不知道往哪儿送的数据包。这样，通过路由器把知道如何传送的数据包正确转发出去，不知道的数据包送给“缺省网关”路由器，这样一级级地传送，数据包最终将送到目的地，送不到目的地的数据包则被路由器丢弃了，并向发送该包的主机发送一个通知，表明要去的目的地址“不可达”。转发行为既可以由硬件完成，也可以由软件完成，显然硬件转发的速度要快于软件转发的速度，无论那种转发都需要根据“路由表”来进行。2.2路由表路由器另一主要功能是建立和维护路由表（RoutingTable），或称路由择域信息库（RIB,RoutingInformationBase）。路由表中含有网络周边的拓扑信息。路由表建立的主要目标是为经过路由器的每个数据包寻找一条最佳的传输路径，并将该数据有效地传送到目的站点。由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作，在路由器中保存着各种传输路径的相关数据——路由表（RoutingTable），供路由选择时使用,表中包含的信息决定了数据转发的策略。路由表分为静态路由表和动态路由表。静态路由表是由网络工程师在路由器中手动配置的固定路由，明确地指定了包到达目的地必须经过的路径，除非网络工程师干预，否则静态路由不会发生变化。静态路由不能对网络的改变作出反应，所以一般说静态路由适用于网络规模不大、拓扑结构相对固定的网络。动态路由表是指动态路由协议(如RIP、EIGRP、OSPF、BGP等)自动建立路由表，当你去掉一条连线时，它会自动去掉与其相关的路由，并通告整个网络中的其他路由器更新其路由表。2.3网络地址转换路由器主要辅助功能之一，NAT—NetworkAddressTranslation，网络4地址转换，是将IP数据包头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络与公共网络通信。NAT的实现方式有三种，即静态转换、动态转换和端口多路复用。静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如网站服务器）的访问。动态转换是指将内部网络的私有IP地址转换为公有IP地址时，公有IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法公有IP地址。端口多路复用是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，PortAddressTranslation)。采用端口多路复用方式，内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。2.4策略路由路由器主要辅助功能之一，PBR—Policybasedrouting策略路由，一种比路由表更加灵活的数据包路由转发机制。应用了策略路由，路由器将通过具体的策略决定如何对需要路由的数据包进行处理，策略决定了一个数据包的下一跳转发路由器2.5单播反向路径转发路由器安全特性之一，uRPF—UnicastReversePathForwarding，单播反向路径转发，此功能是让路由器具备防IP欺骗或IP伪造的能力。当路由器从某个开启了uRPF的端口上收到数据包之后，检查该数据包的源IP地址，同时与路由表中的路由条目作对比，经过判断后，如果到达这个源IP的出口确实是这个开了uRPF的端口，则数据包被转发，否则被丢弃。5如图1所示：路由器从端口Gi0/0/1收到一个源IP为10.10.10.10的数据包，那么就将IP地址10.10.10.10和路由表作对比，只要去往10.10.10.10的出口不是Gi0/0/1（比如是Gi0/0/2），那么该数据包被丢弃。图1uRPFuRPF功能一般部署在运营商网络接入客户侧设备的边缘位置，也可以部署在运营商网络对接其他运营商设备的边缘位置设备。三、云计算数据中心双线接入了解路由器必要的工作原理后，我模拟了一个中国南北互联的网络拓扑（如图2），分析不同宽带用户访问不同线路云服务器的路径，为云计算数据中心设计出一种灵活高效的双线接入解决方案。6图2云计算数据中心双线接入拓扑拓扑说明：IDC-BR:云计算数据中心连接电信和联通的网络设备。T-BR:电信边界网络设备,U-BR:联通边界网络设备，开启uRPF安全特性。BR:电信和联通运营商之间的边界网络设备，开启uRPF安全特性。云计算数据中心的云服务器电信联通的宽带用户IP地址规划：名称私有IP地址电信IP地址联通IP地址掩码电信电信宽带用户-1.1.1.10-255.255.255.0T-BR-1.1.1.254-255.255.255.0100.1.1.254-255.255.255.0BR-1.1.1.1002.2.2.100255.255.255.0联通联通宽带用户--2.2.2.20255.255.255.07U-BR--2.2.2.254255.255.255.0--200.2.2.254255.255.255.0云计算数据中心IDC-BR172.16.10.254100.1.1.100200.2.2.100255.255.255.0ServerA172.16.10.10100.1.1.10-255.255.255.0ServerB172.16.10.20-200.2.2.20255.255.255.0ServerC172.16.10.30100.1.1.30200.2.2.30255.255.255.0注：云计算数据中心的服务器ABC的电信联通IP地址由IDC网络设备进行静态NAT转换。路由表名称目的路由下一跳地址备注电信宽带用户0.0.0.0/01.1.1.254默认路由T-BR2.2.2.0/241.1.1.100去往联通网络200.2.2.0/241.1.1.100BR100.1.1.0/241.1.1.254去往电信网络200.2.2.0/242.2.2.254去往联通网络联通宽带用户0.0.0.0/02.2.2.254默认路由U-BR1.1.1.0/242.2.2.100去往电信网络100.1.1.0/242.2.2.100IDC-BR1.1.1.0/24100.1.1.254去往电信网络2.2.2.0/24200.2.2.254去往联通网络3.1访问电信单线云服务器ServerA(172.16.10.10)对外发布只有电信IP地址(100.1.1.10)。电信宽带用户访问如图3所示，电信宽带用户查找路由表将请求数据包发送到T-BR，T-BR根据路由表传送到下一级IDC-BR，IDC-BR根据NAT规则将目的地址(100.1.1.10)替换成ServerA的私用IP地址(172.16.10.10)，发送到目的服务器。服务器返回给电信宽带用户的应答数据包按原路返回。8图3电信宽带用户访问电信单线服务器联通宽带用户访问时，查找路由表将请求数据包发送到U-BR，U-BR根据路由表传送到下一级BR，BR根据路由表传送到下一级T-BR（此时请求包从联通网络传送到电信网络中,BR是影响联通宽带用户访问体验的瓶颈），T-BR根据路由表传送到下一级IDC-BR，IDC-BR根据NAT规则将目的地址(100.1.1.10)替换成ServerA的私用IP地址(172.16.10.10)，发送到目的服务器。ServerA返回给联通宽带用户的应答包，如果没有应用策略路由，如图4所示，IDC-BR会根据路由表将应答包发送给U-BR，U-BR会根据uRPF的安全特性将此应答包丢弃。应用策略路由后，如图4所示，IDC-BR将此应答包发送给T-BR，此数据包来时访问的路线和回去的应答路线一致，不会受U-BR的uRFP安全特性的影响。9图4联通宽带用户访问电信单线服务器3.2访问联通单线云服务器ServerB(172.16.10.20)对外发布只有联通IP地址(200.2.2.20)。电信宽带用户访问时，查找路由表将请求数据包发送到T-BR，T-BR根据路由表传送到下一级BR，BR根据路由表传送到下一级U-BR（此时请求包从电信网络传送到联通网络中,BR是影响电信宽带用户访问体验的瓶颈），U-BR根据路由表传送到下一级IDC-BR，IDC-BR根据NAT规则将目的地址(200.2.2.20)替换成ServerA的私用IP地址(172.16.10.20)，发送到目的服务器。ServerB返回给电信宽带用户的应答包，如果没有应用策略路由，如图5所示，IDC-BR会根据路由表将应答包发送给T-BR，T-BR会根据uRPF的安全特性将此应答包丢弃。应用策略路由后，如图5所示，IDC-BR将此应答包发送给U-BR，这样此数据包来时访问的路线和回去的应答路线一致，不会受T-BR的uRFP安全特性的影响。10图5电信宽带用户访问联通单线服务器联通宽带用户访问如图6所示，联通宽带用户查找路由表将请求数据包发送到U-BR，U-BR根据路由表传送到下一级IDC-BR，IDC-BR根据NAT规则，将目的地址(200.2.2.20)替换成ServerC的私用IP地址(172.16.10.20)，发送到目的服务器。服务器返回给联通宽带用户的应答数据包按原路返回。11图6联通宽带用户访问联通单线服务器3.3访问电信联通双线云服务器ServerC(172.16.