网络云资源池DMZ业务部署方案分析.pdfVIP

年第期

论文选粹20252

网络云资源池DMZ业务部署方案分析

秦越，云鹏，陆海永

（中通服咨询设计研究院有限公司，江苏省南京市210019）

摘要在运营商规划建设的原有可信区业务资源池基础上，针对新增DMZ（非可信）业

务的资源需求进行规划建设。在原有上链的CN2（承载网）和DCN（数据网）之外，接入互

联网后，将两种资源池的网络架构在业务形态、网络安全、数据配置等方面进行分析比较。

结果表明，新建DMZ资源池具有更高的安全性及可扩展性。

关键词网络云资源池；非可信；业务部署

独立的存储交换机下，应支持与计算、管理节点的三

0引言

层互通。业务平面网络承载业务服务器的东西向、南

近年来，各运营商响应国家数字化转型的号召，北向业务流量。

积极打造各自的“网络云资源池”。各运营商已经实网络云资源池的管理、存储、业务三个平面网络

现了网络上云的部署及商用，但技术体系不完善、标划分成接入、核心/汇聚、出口三层网络。接入层部

准化不足。容器、云原生化、SDN（软件定义网络）等署TOR（接入交换机）和各类服务器、存储设备。核

技术在网络云中的应用有限。资源池零散，总体规模心层部署EOR（核心交换机），向下汇聚所有接入层

偏小。现有网络上云建设效率低、规范化不足。网络设备，保证接入层设备之间的高速交换，向上与

各运营商吸取前期试点成果以及部署、建设、运出口层对接。出口层部署DCGW（数据中心网管）与

营的经验，在一定程度上推动了网络云建设的规范FW（防火墙）、IPS（入侵防御系统）、WAF（网络应用

化、标准化，也在一定程度上建成了具有统一承载、防火墙）以及LB（负载均衡器）等设备，对外与承载

统一架构、安全绿色的分布式网络云。但在资源池定网设备高速互联，负责与站点外部路由信息转发和

位、建设及业务部署等方面还存在一定问题，尤其是维护，对内与核心层设备互联。三平面三层网络架构

在业务部署方面，现有云资源池并不能满足全量业如图1所示。

务发展的要求，一些定制化的要求将资源池建设变网络云资源池的三平面三层网络实现物理隔离

得更加零散。如何通过业务驱动的方式使资源池互或逻辑隔离。在实现物理隔离时，服务器采用物理网

通，更有效地利用资源是仍需研究的课题。口、TOR和EOR/核心交换机物理设备组成网络平

面。在实现逻辑隔离时，TOR、EOR/核心交换机应采

1网络现状

用物理共用、逻辑隔离组网。业务平面应采用

网络云资源池采用“三平面三层”的网络架构。VLAN%/%VxLAN（虚拟局域网/虚拟扩展局域网）等

管理平面网络承载管理流量，包括管理节点至计算更精细的网络虚拟化技术，实现逻辑隔离。

节点、存储服务器的管理数据流、分布式存储集群内