李小康^1,2，廖建新^1,2，沈奇威^1,2，曹予飞²

(1. 北京邮电大学网络与交换技术国家重点实验室，100876，

2. 东信北邮信息技术有限公司，100191)

摘要：VLAN（Virtual Local Area Network，虚拟局域网）划分和IP池管理是IaaS（Infrastructure as a Service，基础设施即服务）云资源池对网络资源进行分配的重要环节，合理规划管理VLAN和IP地址对于提高网络安全性、稳定性、高效性有非常重要的意义。本文从工程实践角度，将传统的VLAN及IP地址分配方式与云计算资源池网络自动化的特点相结合，进行实际应用方面的设计，有着重要的实践意义。

关键字：IaaS，资源池，VLAN，IP

VLAN Classification and IP Pool Management

in IaaS Cloud Resource Pools

Li Xiaokang^1,2，Liao Jianxin^1,2，Shen Qiwei^1,2，Cao Yufei²

(1.State Key Labof Networking and Switching Technology, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2.EBUPT Information Technology Co. Ltd, Beijing 100191, China)

【Abstract】VLAN(Virtual Local Area Network) classification and IP pool management are important parts of network resources allocation in IaaS (Infrastructure as a Service) cloud resource pool management. It has a very important significance in the improvement of network security, stability, efficiency to appropriately manage VLAN and IP address. From the perspective of engineering practice, this article combines the traditional VLAN and IP address allocation with the characteristics of cloud computing resource pools network automation to realize the practical application, thus has important practical significance.

【Keywords】 IaaS, resource pool, VLAN, IP

1.      引言

IaaS（Infrastructure as a Service，基础设施即服务）资源池系统是一个能够对各种云计算IT资源进行管理、部署、调度的资源池管理平台及包括计算、存储及网络等各种资源相关系统或设备组成的实体集群。资源池管理平台是移动私有云建设的核心组成部分，平台纳管了资源池内部各种计算资源、存储资源以及网络资源，将原本静态分配的IT基础设施抽象为便于管理、易于调度、按需分配的资源，可根据需要动态改变资源分配的规模，快速适应不同应用的扩容需求，实现“弹性”资源分配的能力。

VLAN（Virtual Local Area Network，虚拟局域网）资源和IP资源作为两种基本的网络资源，如何对这两种资源进行合理规划和管理是资源池管理平台需要关注的问题。资源池内网络的规划是一个庞大的工程，需要综合考虑网络结构、软硬件设施、机房拓扑、安全策略等各方面的因素。良好的VLAN和IP地址规划能够确保网络的最优化运行，发挥网络的最大效率，高效地利用有限的网络资源。对于资源池中的网络资源管理有着重要的实践意义^[1]。

本文通过对VLAN 、IP分配方式的分析，进行了对资源池自动化网络管理的基础技术研究。

2.      相关术语

为了更好地理解文中的设计思想，下面简单阐述一下资源池中与网络资源相关的一些概念^[2]。

21 

22 

2.1.  安全域

安全域就是通过防火墙在物理上隔离的安全区域，通常一个安全域对应着一个防火墙。资源池内部，按照安全策略和资源用途将各种资源划分到不同的安全域内，不同安全域之间在防火墙上做访问策略，进行域间隔离。例如一个用户想在资源池内部申请虚拟机部署一个Web应用程序，一个比较好的实现方式就是把需要用户直接访问的服务器（比如Web前段代理服务器），放在DMZ（Deilitarizedzone，隔离区）安全域内，因为这个区域的安全等级相对较低；而业务核心服务器（比如后台业务服务器、数据库服务器）则放置到INSIDE区域，这个区域的安全等级相对较高，并且对于Web应用的用户来说，是不可见的。这样既能保证应用的安全性也能够便于管理员进行资源规划和管理。

2.2.  VLAN池

VLAN池就是由网络管理员划分给资源池可用的VLAN编号段，通常是一个安全域对应一个或者多个VLAN池。在安全域内部，每一个申请资源的业务系统都会被划分到一个VLAN内。一方面是因为业务系统内部的各个服务器之间有互访的需求，在同一VLAN内部可以比较方便地实现各个服务器之间的互访；另一方面是因为不同业务系统之间需要有访问权限控制，在防火墙中做VLAN互访策略，有需要互访的业务系统之间可以允许VLAN互通，反之，可以禁止互通。在资源池最初规划的时候，VLAN资源是作为若干个VLAN编号段分配给不同的安全域的，在不同安全域内申请计算资源的时候需要先申请一个属于本安全域的可用的VLAN编号，再将VLAN编号配置到安全域对应的防火墙中。

2.3.  IP池

IP池就是由网络管理员划分给资源池可用的IP地址段，通常是一个安全域对应一个或者多个IP池。由于VLAN的容量是无法预知的，申请到的VLAN编号需要与IP地址段建立对应关系，只能通过申请VLAN的业务系统所需要的服务器主机数来确定，所以在分配了VLAN编号之后，需要在IP池中找到一个满足VLAN容量的IP地址段。进而从申请到的IP地址段中分配VLAN的网络地址、网关地址、广播地址、主机地址等。分配好以后，再将VLAN网络地址、网关地址、子网掩码等信息添加到安全域对应的防火墙中，至此VLAN才算真正配置完成。

3.      VLAN划分

2. 

3. 

3.1.  VLAN简介

以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detect，载波侦听多路访问/冲突检测）的共享通讯介质的数据网络通讯技术，当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降，甚至网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突（Collision）严重的问题，但仍然不能隔离广播报文。在这种情况下出现了VLAN（Virtual Local Area Network，虚拟局域网）技术，这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通。这样，广播报文被限制在一个VLAN内^[3]。

VLAN的划分不受物理位置的限制，不在同一物理位置范围的主机可以属于同一个VLAN；一个VLAN包含的用户可以连接在同一个交换机上，也可以跨越交换机，甚至可以跨越路由器。

VLAN的优点如下：

1)          限制广播域

广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

2)          增强局域网的安全性

VLAN间的二层报文是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需通过路由器或三层交换机等三层设备。

3)          灵活构建虚拟工作组

用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。