IDC项目的需求

互联网数据中心（Internet Data Center）简称IDC。就是运营商利用已有的互联网通信资源，建立标准化的电信专业级机房环境，为个人、企业、公司、政府等提供服务器托管服务、服务器租用服务以及相关增值服务等方面的全方位服务。

当前的热门话题，云计算或云服务，也可理解为IDC服务的延伸。以前用户租用的是一台台物理服务器，现在租用的是虚拟机，是软件平台甚至是应用程序。公认的三个云计算服务层次是IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）和SaaS（Software as a Service），分别对应硬件资源、平台资源和应用资源。目前国内的云服务状况是，IaaS处于成熟阶段，能够规模部署，PaaS处于开发阶段， SaaS可以提供的服务还非常少。

对于服务器出租或托管服务，租户通常都有以下要求：

1. 租用公网IP地址，能够从Internet上进行访问；

2. 租用满足业务要求的公网带宽；

3. 与其它租户的设备二层隔离；

4. 能够灵活方便的进行二层扩容。

而运营商也希望：

1． 能够灵活的给租户分配IP地址；

2． 租户退租的IP地址能够很容易的分配给其他租户扩容使用。

现实中的租户有大有小，有租用1台2台的，也有租用10台8台的，因为租户之间有着二层隔离的需求，需要给每个租户分配单独的IP网段。为了满足租户扩容的需求，还需要在这个网段内预留多个IP地址。如果某个租户扩容比较快，预留的地址不够用了，那么只能分配第二个IP网段地址或更改原来的小网段到一个大网段。而租户通常都很难容忍更换服务器IP地址，尤其是已经提供服务很长时间的服务器的IP地址。而使用两个网段地址，跨三层互联，使得同一租户内部的服务器迁移、数据库同步等变得困难重重。租户退租的IP地址，因为和现有租户的IP地址不同网段，不能作为现有租户扩容使用，只能留给新租户。

SuperVlan技术简介

Super VLAN又称为VLAN聚合（VLAN Aggregation），其原理是一个Super VLAN和多个Sub VLAN关联，Super VLAN不能加入物理端口，但可以创建对应的Super VLAN虚接口，Super VLAN接口下可以配置IP地址；Sub VLAN可以加入物理端口，但不能创建对应的Sub VLAN接口，所有Sub VLAN内的端口共用Super VLAN的VLAN虚接口IP地址，不同Sub VLAN之间二层相互隔离。当Sub VLAN内的用户需要进行三层通信时，将使用Super VLAN的IP地址作为网关地址，这样多个Sub VLAN共享一个网关地址，从而节省了IP地址资源。

SuperVlan技术在IDC中的应用

从上面介绍的SuperVLAN技术，我们大概能够判断出我们在IDC中遇到的种种问题有了答案。但在实际使用中也需要仔细规划。下面举例说明：

在不使用SuperVLAN技术的情况下，假如有5个租户，分别租用了1台、2台、4台、8台和15台主机。为了今后扩容方便，要求每个租户至少预留一倍的IP地址，即达到100的地址扩展冗余。那么5个租户分别需要2/4/8/16/30个主机地址。那么分给不同的租户不同的IP网段的掩码为29、29、28、27、26，占用了半个C的网段。5个租户的IP地址扩展冗余度为：500%、200%、250%、275%、287.5%。

如果使用了SuperVLAN的技术，在同样的需求情况下，5个租户通过Sub VLAN进行隔离，IP地址使用同一个网段。那么5个租户总需求是1+2+4+8+15共30个IP地址，要求100%的扩展冗余，那么需要预留60个地址。共分配一个26位掩码的IP网段就够了。

SuperVLAN部署在IDC后，带来如下好处：

1． IP地址分配管理方便，不必每个租户划分一个IP网段；

2． 多租户共用一个网关，节省了网关IP地址；

3． 多租户使用同一IP扩容地址池，扩容变得灵活方便；

4． 租户退租的IP地址，返回扩容地址池，既可以作为新租户使用的IP地址，也可分配给原有租户作为扩容的IP地址。

SuperVlan的配置示例

1．组网图如下：

图1 SuperVLAN配置示例组网图

2．组网图说明如下：

租户一有两台主机，分别连接在交换机的GE3/0/1和GE3/0/2上，属于vlan2；租户二有两台主机，分别连接在交换机的GE3/0/3和GE3/0/4上，属于vlan3；租户三有两台主机，分别连接在交换机的GE3/0/5和GE3/0/6上，属于vlan5；Vlan-int10作为租户的共同网关存在。

3．主要配置说明如下：

# 创建VLAN 10，配置VLAN接口的IP地址为10.0.0.1/24。

<Sysname> system-view

[Sysname] vlan 10

[Sysname-vlan10] interface Vlan-interface 10

[Sysname-Vlan-interface10] ip address 10.0.0.1 255.255.255.0

# 创建VLAN 2，并添加端口GigabitEthernet3/0/1和端口GigabitEthernet3/0/2。

[Sysname] vlan 2

[Sysname-vlan2] port GigabitEthernet 3/0/1 GigabitEthernet 3/0/2

# 创建VLAN 3，并添加端口GigabitEthernet3/0/3和端口GigabitEthernet3/0/4。

[Sysname-vlan2] quit

[Sysname] vlan 3

[Sysname-vlan3] port GigabitEthernet 3/0/3 GigabitEthernet 3/0/4

# 创建VLAN 5，并添加端口GigabitEthernet3/0/5和端口GigabitEthernet3/0/6。

[Sysname-vlan3] quit

[Sysname] vlan 5

[Sysname-vlan5] port GigabitEthernet 3/0/5 GigabitEthernet 3/0/6

# 指定VLAN 10为Super VLAN，VLAN 2、VLAN 3和VLAN 5为Sub VLAN。

[Sysname-vlan5] quit

[Sysname] vlan 10

[Sysname-vlan10] supervlan

[Sysname-vlan10] subvlan 2 3 5

[Sysname-vlan10] quit

[Sysname] quit

SuperVlan技术在IDC中应用的相关问题及解决方案

1． IDC的租户的主机大多作为服务器给Internet上的用户提供服务，有些时候租户间的主机也需要相互访问。

解决方案：

在SuperVLAN的虚vlan接口上启用本地ARP代理，从而实现租户间主机的二层隔离，三层访问的需求。

参考前文所举的组网例子，配置如下：

[Sysname-Vlan-interface10] local-proxy-arp enable

2． 开启本地ARP代理后，会导致该SuperVLAN的所有Sub VLAN之间都可以进行三层互通。

解决方案：

如果租户有三层隔离的需求，需要在交换机上配置ACL进行隔离。

3． 如果同一个SuperVLAN下的sub vlan分接到不同的交换机，是否可以在多台设备上同时配置同一个Super VLAN？

解决方案：

不能在多台设备上同时配置同一个SuperVLAN。

H3C公司的DCSW（数据中心交换机）支持IRF堆叠，即可以把多台DCSW虚拟成一台交换机，再配置一个统一的SuperVlan就可以了。

或者把所有的SubVlan最终汇总到一台DCSW，最终在这台交换机上配置SuperVLAN。