大规模部署二层网络则带来的第一个问题就是二层环路问题。采用传统STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络时间慢等诸多问题，因此网络方案的设计需要重点考虑增强二层网络技术（如IRF/VSS、TRILL、VPLS等）的应用，以解决传统技术带来的问题。此外，云计算数据中心大二层网络由于虚拟机的迁移、集群，无序突发流量会大大增加，再另上业务系统的复杂性，使得突发流量还具有不可预测的特点，因此要求云计算数据中心设备具有超大缓存的特性。

　　针对二层环路的问题，H3C采用IRF2（第二代智能弹性架构）技术将多台网络设备虚拟化为一台，通过跨设备的链路消除网络环路，同时将这些设备作为一台统一管理、配置和使用。目前，基于增强的IRF2技术，H3C能将4台核心交换机虚拟化为1台，开创了核心设备虚拟化的新，在行业内处于领先地位。

　　如上图所示，IRF2虚拟化技术不仅可以将多台物理设备简化成一台逻辑设备，而且使得网络各层之间的多条链路连接也变成两台逻辑设备之间的直连，因此可以将多条物理链路进行跨设备的链路聚合从而变成一台逻辑链路，这样避免了由多条链路引起的环路问题。

　　在云计算下，由于计算、存储资源的“池”化，并以服务器形式租赁给多租户，而租户的业务特征对云运营管理者透明的。因此网络的流量模型将变的模糊，流量的突发性也变得无法预知。针对云计算中心的突发流量，H3C交换机创新的采用了“分布式大缓缓存”技术，如下图所示：

　　“大缓存”----S12500每万兆端口256MBBuffer，万兆全线速转发时可实现200ms的报文缓存，满足云计算数据中心高突发流量的需求；

　　“分布式”----将端口缓存由传统的Egress方向移至Ingress方向，在“多对一”的拥塞模型下，Ingress方向的缓存能力比传统Egress方向缓存提升了N倍（N为入端口数目）。可以更好的匹配云计算数据中心向多个WEB/APP服务器向单个DB服务器的流量模型。

　　1.3虚拟化动态安全

　　云计算将IT资源进行虚拟化和池化，这些资源将以服务的形式动态分配给租户使用。对于云计算网络层的安全防护，需要解决下图所示的两个问题：

　　位于同一物理服务器内的多个不同虚拟机之间的流量安全防护，此类流量有部分是直接通过vSwitch进行交互的，部署在外部网络层的防火墙策略将无法实现安全防护；

　　随着云计算中心内新租户的上线和业务变更，传统静态的防火墙部署方式已经不能满足，需要将防火墙也进行虚拟化并交付给租户使用。

　　H3C动态虚拟安全的构建主要分4个层面，一是基于VEPA或VLAN将VM流量引出并进行识别，为下一步给不同流量部署不同级别安全策略作准备；二是防火墙资源动态分配，这是动态安全最为核心的一个步骤。通过1虚多的虚拟化技术，将一台防火墙设备虚拟化为多个虚拟墙vFW，根据不同的需要动态分配；三是通过SecBlade防火墙插卡平滑扩展规格，在H3C的核心设备如S12500/S10500/S95E/S75E/S58等设备上都能插上防火墙业务模块，满足虚拟防火墙数量和性能平滑扩展，实现大规模的运营；四是防火墙资源池统一管理，虚拟化的防火墙资源池能够在防火墙管理平台上进行可视化的统一管理和操作。如下图所示：

　　1.4网络架构

　　为网络、安全资源能够被云计算运营平台良好的调度与管理，要求网络及安全设备、管理平台提供的API接口，云计算运营管理平台（CloudOS）能够通过API接口实现对网络资源的调度及管理。

　　H3CiMC网络管理平台将云计算网络资源封装成两类服务，可供云运营管理平台进行调用：

　　NaaS（网络即服务）：此服务将网络资源及策略封装成API接口，CloudOS在将计算、存储资源交付给租户使用时，可以调用此接口来绑定网络资源（如VLAN、带宽、安全策略等）。实现网络资源与租户的紧耦合，不同租户拥用不同的网络资源。

　　CaaS（连接即服务）：此服务将计算与网络的连接封装成API接口，与第三方的计算、及虚拟化平台进行信息交互，实现虚拟机的创建、迁移时网络的，并在网络管理平台上实现网络及虚拟交换机的管理。如下图所示：

　　三层互联。也称为数据中心前端网络互联，所谓“前端网络”是指数据中心面向企业园区网或企业广域网的出口。不同数据中心（主中心、灾备中心）的前端网络通过IP技术实现互联，园区或分支的客户端通过前端网络访问各数据中心。当主数据中心发生灾难时，前端网络将实现快速，客户端通过访问灾备中心以保障业务连续性。

　　二层互联。也称为数据中心服务器网络互联。在不同的数据中心服务器网络接入层，构建一个跨数据中心的大二层网络（VLAN），以满足服务器集群或虚拟机动态迁移等场景对二层网络接入的需求。

　　SAN互联。也称为后端存储网络互联。借助传输技术（DWDM、SDH等）实现主中心和灾备中心间磁盘阵列的数据复制。

　　传统的数据中心服务器区网络设计中，三层互联与SAN互联一般是具备的，但通常不具备二层互联通道。而在云计算数据中心互联时，为了实现跨数据中心的资源调度、业务集群和虚拟机迁移，就要求网络层不同的数据中心间VLAN二层互通。然且实现跨数据中心的网络二层互通，传统的技术方案会面临如下挑战：

　　2.1同城双中心

　　同城双中心的建设模式下，双中心之间通常采用裸纤或DWDM链路互联，因此链路质量和链路带宽较高，可以很好的满足业务双活及负载分担的需求。但是在此下，若直接将两个数据中心的VLAN打通，势必带来生成树的对接问题，整网的生成树协议运行更为复杂。

　　在此下，采用H3C的IRF2技术，将两个数据中心内均端到端部署IRF虚拟化，消除两个数据中心内的网络二层环路及生成树协议。两个数据中心对接时通过跨设备链路技术，不仅不会引入新的互联环路，同时还会提高互联带宽及网络的可靠性。如下图所示：