年轻人，我这有本能打通经脉的秘籍你要不要？

网络作为现代化云数据中心的经脉，同样联动周边的计算、存储、备份，提供源源不断的资源，可谓是业务生产力的引擎。但联动中的一环出现问题时，就会导致整个经脉的阻塞，严重影响了企业的业务。如何疏通网络的经脉？如何防患于未然？各位看官且往下看。

近两年，云计算发展迅猛。企业通过自建的私有云，结合外部的公有云、政务云，形成适合企业自身需求的混合云。在混合云为企业业务带来发展的同时，也给企业带来一些困惑。

上云给数据中心网络带来两个直接挑战：

• 主机虚拟化，有形变无形，如何界定保护？

• 传统网络，弊端尽显，缓慢、困难、复杂……

传统数据中心网络构架里，每个租户的服务器是看得见摸得着的。在云环境下，业务租户的服务器变为了一个个运行在硬件服务器上的虚拟机，一个租户的虚拟机、微服务，可能位于不同的硬件服务器上，这是形态的变化。从而引起租户的边界变化，从传统物理边界，变为动态、虚拟的逻辑的边界。

另外，因为一些历史原因会出现软硬件资源混合的情况。某些服务器不方便虚拟化，如历史遗留的数据库服务器，就需要和虚拟资源一起组成租户的计算资产。

因此，传统安全硬件要继续发挥作用，首先就要能够识别和保护虚拟的资产域，并且以动态的方式，切入到虚拟计算环境里面去。

数据中心的网络设备众多，部署周期较长。我们从部署网络交换机到完成网络测试，通常需要几天甚至几周，这还没有算上设计规划的时间。而且数据中心网络架构复杂，维护工作量大，我们需要按设备逐一维护。虽然这些问题目前也有很多方案可以克服，但是对于虚拟化和云计算的数据中心，以下三点是传统网络目前无法有效解决的。

虚拟化，甚至容器化之后，计算和存储资源就绪非常迅速，但是传统网络完成网络支持需要几个小时甚至几天的时间。这延迟了整个新业务上线的进度。

理论上我们可以通过网络自动化来解决第一个问题。但是传统网络依赖脚本和API来实现自动化，这需要大量的定制开发。

虚拟化、云计算数据中心内，传统网络与虚拟的计算资源以及虚拟网络之间缺乏关联。无法简单迅速的获得基于虚机的全网路径，一旦出现虚机的网络故障，那么需要排查虚拟网络和物理网络。

Dell EMC 开放网络概览

基于Dell EMC开放网络架构BigSwitch Cloud Fabric是一种经过特别设计的网络结构，支持物理及虚拟工作负载，允许自由选择协调软件，提供二层交换、三层路由以及4-7层服务插入与链合功能。其体系架构采用Spine-Leaf拓扑结构。Spine相当于机箱式交换机或路由器的背板。而Leaf则相当于机箱式路由器以及所有聚合交换机和边缘交换机中的线卡组合，每个物理Leaf交换机和Spine交换机相连接。BCF控制器的高可用性相当于核心路由器或机箱式交换机的管理卡，负责管理所有的BCF组件。除此之外，BCF控制器集群在标准服务器上运行，负责交换机的控制、管理和策略，面向企业级数据中心。

点击放大查看

单一的图形管理，提供基于概念验证的模型，可视化的流量分析，通过可编程的API接口，可自动编排下发，执行策略，无需人工干预，对于传统的网络割接，网络变更，可实现自动化安全的处理，大大提高了运维效率，降低因人为造成的配置错误。

超简便的BCF解决方案（点击放大查看）

VMware NSX虽然实现了数据中心大二层的网络，但由于其技术不关心底层硬件平台，在数据中心里仍然有硬件设备需要变更维护，因此网络管理员依然工作在松耦合的架构体系里，需要关注两套控制平面，易构的转发平面，不同的网络架构体系。同时还需要日常维护、排错，通过采用BCF集成在NSX的方案，为其提供单一的管理平面，提高效率的同时，使网络维护更加简单。

BCF与VMware集成

BCF控制器充当硬件的VTEP，实现数据中心之间以及私有云到公有云之间的应用双活，还可提供传输路径护航，实现跨站点的应用系统飘移和业务应用感知透明。

现代化数据中心系统设计图（点击放大查看）

Dell EMC BCF同时也支持替换OpenStack Neutron以及新的企业微服务K8S架构集成。通过BCF的集成插件，可统一管理物理网络和虚拟网络。业务网络变更策略通过BCF定义，可自动下发到物理和虚拟网络层进行自动化的配置部署，同时通过可视化的单一平台界面，可精准定位检测网络故障问题并快速处理，让用户投入更多的精力在业务本身而不是底层的架构。

Dell EMC基于南北的数据流量模型，分别提供Inline、Out of band两种服务链整合，对于出口的数据流量进行带外监测，对于入口方向的流量安全进行可视化的分析，通过打通物理网络和虚拟网络的边界，采用业务应用的引流方式，基于不同的数据流进行灵活的调整。

传统的数据中心链路从外网的Untrusted区域到内网的Trusted区域，一般会经过防火墙、IPS、Web Proxy等设备，这些设备昂贵，配置复杂，而且设备串联在一条数据链路上，单点故障就会造成整个数据链路中断。

如果要向现有网络中割接一台网络设备(防火墙、IPS或Web Proxy等)，一般情况下，会花费几个小时的时间。割接工作一般是在晚上或凌晨业务非繁忙时间，如果割接不成功，需要回退，准备下一次的割接。如果采用BMF动态服务链，那么防火墙、IPS或Web Proxy等网络设备是旁路部署在BMF控制器上，任何一台网络设备的故障不会造成数据链路的中断。同时配置工作在BMF控制器上完成，不影响原有网络设备和数据链路的正常工作，然后按计划推送配置和网络策略给这些网络设备，整个割接工作只需要几分钟。

Inline服务链整合

在规划和部署网络设备时，我们常遇到从入口的防火墙，到IPS、Web Proxy等设备，需要采用同样带宽和类型的网络端口，比如都是千兆或万兆，才能互联互通。如果采用BMF动态服务链，情况就不一样了，这些网络设备即使网络端口带宽和类型不一样，也能通过在BMF控制器上面配置使设备间互联互通。

不但如此，在防火墙、IPS和Web Proxy都是HA成对配置的情况下，BMF控制器能打通从Untrusted到Trusted区域，让前端网络设备到后端网络设备建立起跨设备的Port Channel，这样的好处是HA成对配置的防火墙、IPS和Web Proxy设备实现了链路的负载均衡，充分利用了链路带宽，提升网络质量的同时，节省了成本。

集中对数据中心网络整体的监控管理，引流大数据进行分析和研究。

戴尔易安信网络Big Monitoring Fabric解决方案

（点击放大查看）

这种方式的好处在于，通过池化安全能力，可以构建弹性、多样化且开放的安全池，且该方案本身符合云的特性。同时利用各种引流手段，能够灵活的实现安全防护。

云是利用资源的新的方式，安全本质并没有发生变化。但是，安全发挥作用的方式，需要根据云的变化而调整，才能继续有效。

Dell EMC开放网络全家福

某新型汽车行业用户车联网大数据服务平台。