XXX公司數(shù)據(jù)中心建設項目設計方案

1 第一部分、 司數(shù)據(jù)中心簡介 此處添加客戶公司介紹。 項目背景 此處添加該項目的背景情況。 設計原則 司 數(shù)據(jù)中心的建設將是一項關系到 司 的重大網(wǎng)絡工程，它的設計必須遵循以下原則： 高效實用性 作為一個系統(tǒng)，實用性永遠是放在第一位的。我們的根本原則就是能最大限度地滿足 司 數(shù)據(jù)中心系統(tǒng)建設實際的需要。方案所推薦的主要技術和產(chǎn)品具有成熟、穩(wěn)定、實用的特點，并充分滿足司 各個下屬單位接入的需要。 2 先 進性、成熟性 作為一個系統(tǒng)，先進性是系統(tǒng)賴以生存發(fā)展的基礎。只有先進的系統(tǒng)，才能充分發(fā)揮計算機的能力，才能發(fā)展，才能體現(xiàn)良好的低投入高產(chǎn)出的投資收益。 方案所推薦的 千兆 /萬兆 以太網(wǎng)技術及多層交換 負載均衡等 技術是目前世界上先進的網(wǎng)絡技術。 （此處添加與項目相關的關鍵性技術亮點的名稱，） 開放與標準化原則 只有開放的系統(tǒng)，才能充分發(fā)揮計算機的能力，只有堅持標準化的系統(tǒng)，才能保護用戶的投資，才能體現(xiàn)良好的可擴展性和互操作能力。 從國內(nèi)外的一些系統(tǒng)建設的實際經(jīng)驗和教訓來看，開放性與標準化原則如不能保證，則 會在系統(tǒng)的使用階段出現(xiàn)后期使用的維護困難，系統(tǒng)維護費用加大，甚至必須重復投資等問題。為了與這些專用系統(tǒng)互聯(lián)，所耗費的代價甚至與新建系統(tǒng)不相上下，形成了一種“食之無味，棄之可惜”的“雞肋”現(xiàn)象。 本系統(tǒng)是一個開放的系統(tǒng)，網(wǎng)絡產(chǎn)品具開放性，采用 P 協(xié)議作為主協(xié)議。主要產(chǎn)品，如服務器，網(wǎng)絡等都支持開放的構，并且，所選產(chǎn)品都遵循相應的標準。 3 可擴展性及易升級性 面對中國 飛速發(fā)展，系統(tǒng)的計算機設備和網(wǎng)絡設備必須有非常好的擴充性。并且，隨著世界網(wǎng)絡技術的不斷發(fā)展，主 干網(wǎng)絡設備應能平滑升級。因此，在設計中，應當保證系統(tǒng)結構模塊化，軟硬件平臺可以積木式拚裝，如：交換機可通過添加功能模塊擴充交換能力和 服務能力 等等。服務器類的設備也應選用擴充性極強的設備。 良好的可管理性和可維護性 司 數(shù)據(jù)中心系統(tǒng)是由多種設備組成的較為復雜的系統(tǒng)，因此我們著重考慮所選產(chǎn)品具有良好的可管理性和可維護性，所選產(chǎn)品具有良好的可管理性和可維護性。 具有最佳的性能價格比 我們仔細分析討論了 司 數(shù)據(jù)中心 的需求，力求設計緊貼用戶需求，在設計上尋求最佳的性能價格比。 具有高可靠性和安全性 本方案所采用的主要產(chǎn)品采用可靠性設計，服務器采用高可靠性技術。力求系統(tǒng)安全、可靠、穩(wěn)定的運行。系統(tǒng)的安全性是保證整個系統(tǒng)正常運轉(zhuǎn)的前提條件和基礎，也是 司 數(shù)據(jù)中心系統(tǒng)的重要要求之一。 1）系統(tǒng)安全 4 用戶口令、存取權限體系完善，系統(tǒng)具有基本的安全管理機制，如：用戶標識、口令檢查、存取權限制度，為滿足這一需求，選用作系統(tǒng)，其多用戶、多任務，適于大系統(tǒng)的維護管理，并且提供了完備的權限管理功能，符合 全級標準。此外，選用客戶 /服務器體系結構，數(shù)據(jù)可統(tǒng)一保存在服務器上，有 利于系統(tǒng)數(shù)據(jù)的安全保密和一致性，保證系統(tǒng)的正常運行。除操作系統(tǒng)的安全性以外，大型關系數(shù)據(jù)庫的權限管理和應用程序也為系統(tǒng)提供了相應的安全機制。 2）硬件設備安全分析 環(huán)境安全 運行環(huán)境中具有防靜電、避雷、溫度、濕度、防火等方面的安全措施。故在整個系統(tǒng)設計中，要嚴格按照機房設計標準建造機房，并對計算機系統(tǒng)采用不間斷電源（ 護，確保整個系統(tǒng)在運行過程中，造成不必要的系統(tǒng)損壞。 硬件設備安全性 在網(wǎng)絡主設備及主服務器的選擇上，考慮到其可靠性，如：網(wǎng)絡接口冗余、支持熱插拔、電源可實現(xiàn)均衡負載和冗余、 熱備份等。 3）軟件安全保密 操作系統(tǒng)、系統(tǒng)程序、應用軟件運行穩(wěn)定，在應用軟件開發(fā)中，遵循安全、可靠、實用的原則，在充分利用現(xiàn)有的系統(tǒng)支持軟件基礎上，進行應用軟件的設計、開發(fā)。 5 權限控制體系完備：根據(jù) 作系統(tǒng)的權限管理體系，可建立完善的權限管理機制。 防病毒、防非法入侵：主機系統(tǒng)采用的是具有很強防病毒干擾能力的操作系統(tǒng)，利用其嚴格權限管理機制，可以防止病毒、防非法入浸。 4）數(shù)據(jù)安全 備份策略 若有備份系統(tǒng)，可及時將數(shù)據(jù)從運行系統(tǒng)中傳送到備份系統(tǒng)。另外，對關鍵數(shù)據(jù)要定期作磁帶備份，以保證數(shù)據(jù)的安全完 整。 防止傳輸、存取錯誤 選用具有可靠傳輸能力的網(wǎng)絡結構，網(wǎng)絡協(xié)議采用 P 協(xié)議，該協(xié)議支持可靠的數(shù)據(jù)傳輸，可以在收到數(shù)據(jù)的同時，進行差錯檢測，并在發(fā)現(xiàn)錯誤時建立重傳過程。 防止信息泄漏 由于采用符合國際標準的 全級操作系統(tǒng)和大型關系數(shù)據(jù)庫，可以做到操作系統(tǒng)、數(shù)據(jù)庫、應用程序三級保護。 保證數(shù)據(jù)完整性 系統(tǒng)結構選用 系結構，數(shù)據(jù)庫選用大型關系數(shù)據(jù)庫，系統(tǒng)數(shù)據(jù)統(tǒng)一存放在主機數(shù)據(jù)庫中，并配有數(shù)據(jù)庫提供的數(shù)據(jù)恢復、錯誤處理功能，可充分保證數(shù)據(jù)的一致性和完整性。 6 據(jù)中心建設整體目標 整個系統(tǒng)的建設，應用是關鍵。 通過建立信息系統(tǒng)的基礎結構，進而全面實現(xiàn)辦公自動化、網(wǎng)絡化、電子化、全面信息共享。信息系統(tǒng)的建設是 司 信息化進程中的一個里程碑，它提高了 司 在行政和管理方面的效率，并且利用網(wǎng)絡為 司 龐大用戶群提供優(yōu)質(zhì)的多元化服務，因而推動和加速了整個 行 業(yè)的信息化發(fā)展。 可行性分析 目標和方案的可行性，可從以下幾個方面進行分析： 技術方面的可行性 技術人員具有所需的技術水平 ， 能夠高效的管理和運維數(shù)據(jù)中心網(wǎng)絡 ； 基礎管理技術 滿足系統(tǒng)開發(fā)要求； 組織系統(tǒng)可以合理組織人、財、物及提供售后服務支持； 硬件可滿足本系統(tǒng)需要； 軟件可滿足本系統(tǒng)需要； 經(jīng)濟方面的可行性 數(shù)據(jù)中心 建設的投入是一項復雜的綜合性工程，建設時間長，投資費用高，因此，必須做到項目的總體規(guī)劃，分系統(tǒng)、分步驟進行，并考慮前后建設的連續(xù)性，避免重復性投資和資源浪費。對于計劃投 7 入開展的項目，要預算充分，按期達標。 第二部分、 司 數(shù)據(jù)中心 網(wǎng)絡系統(tǒng)解決方案 網(wǎng)絡 現(xiàn)狀與 需求分析 此處添加客戶公司目前的網(wǎng)絡拓撲圖 司 目前數(shù)據(jù)中心建于 目前承擔整個集團數(shù)據(jù)交換與存儲的重任。 現(xiàn)有網(wǎng)絡拓撲結構如上。 隨著 司 的建設，現(xiàn)需在園區(qū)內(nèi)建設一全新數(shù)據(jù)中心，用以在園區(qū)全面啟動時順利接管原數(shù)據(jù)中心的數(shù)據(jù)交換與存儲重任 。 司 數(shù)據(jù)中心的建設是為 司 辦公、管理提供服務的，網(wǎng)絡系統(tǒng)建設主要目標是在 司 管轄范圍內(nèi)，采用國際標準網(wǎng)絡協(xié)議，建立在 司 內(nèi)聯(lián)網(wǎng)（ 通過高速信道與各地市分公司、中國互聯(lián)網(wǎng)（ 連，同時建設信息資源管理中心。 據(jù)中心網(wǎng)絡建設目標 司 數(shù)據(jù)中心 網(wǎng)絡建設目標是將 司 的各種 、工作站等，通過高性能的網(wǎng)絡，連接到各種服務器上，組成分布式的計算環(huán)境，使其成為提高辦公、管理水平必不可少的網(wǎng)絡支撐環(huán)境。 8 本著建設一流數(shù)據(jù)中心的精神，我們提出了以下 司 網(wǎng)絡建設目標： 內(nèi)部信息發(fā)布： 司 向各地分公司發(fā)布規(guī)章制度、規(guī)劃、計劃、通知等公開信息等。 2）電子郵件： 司 內(nèi)部的電子郵件的發(fā)送與接受。 3）文件傳輸： 司 內(nèi)部的文本文件、圖象文件、語音文件等發(fā)送與接收。 4）資源共享：文件共享、數(shù)據(jù)庫共享 等。 6）接入因特網(wǎng)：通過 專線 接入 外發(fā)布信息。 設計的依據(jù)與原則 設計依據(jù) 1）中國教學和科研計算機網(wǎng)絡（ 程技術規(guī)范書 2）中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定 3）有關的網(wǎng)絡技術國際標準 4） 關文件 設計原則 1）開放原則 采用開放標準； 采用開放技術； 9 采用開放結構； 采用開放系統(tǒng)組件； 2）可靠原則 設計結果穩(wěn)定可靠，具有高 均無故障時間）和 均無故障率），采用開放用戶接口。 3）實用原則 實用有效是最主要的設計目 標，設計結果能滿足需求行之有效。提供容錯設計，支持故障檢測和恢復，可管理性強。 4）安全原則 安全措施有效可信，能夠在多個層次上實現(xiàn)安全控制。 5）先進原則 設計思想先進； 軟硬件設備先進； 網(wǎng)絡結構先進。 6）完整性原則 考慮到系統(tǒng)的各方面因素，實現(xiàn)優(yōu)化的網(wǎng)絡設計、安全的數(shù)據(jù)管理、高效的信息處理、友好的用戶界面。 7）高效原則 性能指標高，軟硬件性能充分發(fā)揮。 8）靈活原則 系統(tǒng)配置靈活，備用和可選方案多，能夠適應應用和技術發(fā)展需要。 10 9）可擴展性 能夠在規(guī)模和性能兩個方向上進行擴展，擴展后的性能有大幅度提高。 10）模塊化 每種功能都由一定的模塊來實現(xiàn)，方案只需要選擇不同的模塊，并將這些模 塊做相應的配置即可。 據(jù)中心設計方案 總體結構 司 數(shù)據(jù)中心拓樸圖 11 司 數(shù)據(jù)中心采用兩臺 列核心交換機構建整個 心交換區(qū) ， 在核心交換區(qū)以下 ， 分為核心數(shù)據(jù)服務區(qū)與中間業(yè)務應用服務區(qū)兩大服務區(qū) ， 以及 司 各大區(qū)的接入及廣域網(wǎng)接入等接入?yún)^(qū)組成 。 其中數(shù)據(jù)服務的小型機區(qū) ， 以兩臺 換機為接入交換機 ,接入核心交換區(qū) ， 在 換機 上添加防火墻模塊與內(nèi)容 交換模塊 ，以實現(xiàn)對小型機的 安全保護、 載和 負 載均衡控制 。 在中間業(yè)務應用服務器區(qū) ， 以兩臺 換機為匯聚交換機 ， 以接入交換機 ,為應用服務器提供 接入功能 ,并在 換機上添加防火墻模塊與內(nèi)容交換模塊 ,為整個中間業(yè)務應用服務器群提供保護與負載均衡控制，并且在此區(qū)域內(nèi)通過 設備 ,提供完善的管理與控制功能。 核心交換模塊 流量分析 主干網(wǎng)絡作為 司 數(shù)據(jù)中心的運行核心，它決定整個 據(jù)中心網(wǎng)絡的性能。根據(jù)統(tǒng)計，一個運行良好、提供服務齊全的網(wǎng)絡中，各子網(wǎng)間 的通訊和子網(wǎng)內(nèi)部通訊大約各占 50%；而且隨著多媒體技術的發(fā)展，多媒體主頁、視頻點播（多點廣播）大量采用，這些都要占有大量主干帶寬；以及虛擬網(wǎng)技術的采用，傳統(tǒng)子網(wǎng)概念已經(jīng)變化，使得一個子網(wǎng)可以分布于整個網(wǎng)絡，導致子網(wǎng)內(nèi)部通訊也要通過主干網(wǎng)絡；因此經(jīng)過主干網(wǎng)絡的流量將占 80%以上，這就要求 12 主干網(wǎng)絡必須具有極高的傳輸速率，最大限度的避免堵塞。作為主要的數(shù)據(jù)通道，主干網(wǎng)絡的癱瘓就意味著整個網(wǎng)絡的崩潰，因此主干網(wǎng)絡必須采用已經(jīng)標準化的技術，有極高的穩(wěn)定性和冗余度。 網(wǎng)絡技術分析 縱觀目前計算機局域網(wǎng)技術，適合作為 高速主干網(wǎng)結構的主要有： 千兆 以太網(wǎng) 千兆以太網(wǎng)是 100真正繼承者。千兆以太網(wǎng)保留了大多數(shù) 100有以下特點： 從傳統(tǒng) 100太網(wǎng)的升級較容易、投資少，與現(xiàn)有100的集成也很簡單。 工業(yè)支持較強，競爭激烈，使產(chǎn)品價格相對較低。 安裝和配置簡單，現(xiàn)有的管理工具依然可用。 支持交換方式，有全雙工方式通訊的產(chǎn)品。 萬兆以太網(wǎng) 萬兆位以太網(wǎng) (10準已由 2002 年 6 月批準，而且現(xiàn)在已 在許多應用中進入大量部署階段。在從千兆位以太網(wǎng)到萬兆位以太網(wǎng)的演變過程中，為了適合如此廣泛的可能應用，已進行了大量更改。這些更改中，最重要的更改與數(shù)據(jù)編碼方式及萬兆位以太網(wǎng)可以運行的物理連接類型有關。幀尺寸和格式都保持不變，以便第3 層及更高層協(xié)議仍然完全兼容。 萬兆位以太網(wǎng)設計用于以全雙工模式只在點到點（交換）鏈路上運行。這一點反映其作為主干 /核心 （與工作組不同）技術的角色。 13 萬兆位以太網(wǎng)當前不支持自動協(xié)商，因為它被假定用于純?nèi)f兆位以太網(wǎng)安裝。 40G 以太網(wǎng) 建立 司 數(shù)據(jù) 中心的網(wǎng)絡系統(tǒng)應高起點，統(tǒng) 一全面規(guī)劃，并考慮到將來的擴展與投資的保護；因此，為適應 司 的發(fā)展，以可延展的方式提供更多的帶寬，滿足復雜的事務處理能力， 據(jù) 中心的主干采用領導高速網(wǎng)絡發(fā)展 兆以太網(wǎng)為主干。 廣域網(wǎng)接入模塊 目前 司 心與各大區(qū)之間使用 路連接，考慮到各大區(qū)的接入模式為 路，故本次新中心廣域網(wǎng)接入方式同樣選擇 式，利用現(xiàn)有 路與板卡，同時，由于 信 路的快速發(fā)展，考慮到數(shù)據(jù)中心的高擴 展性，廣域網(wǎng)接入采用模塊化方式，現(xiàn)選用 塊，在日后可方便的且經(jīng)濟的升級為 式。 廣域網(wǎng)接入路由器 核心交換機 間采用 10G 光纖鏈路相連，提供極高的數(shù)據(jù)交換能力，為數(shù)據(jù)中心的性能提供強有力的支持。 根據(jù)前面分析，一個多媒體網(wǎng)絡 60%甚至 80%以上的流量要經(jīng)過路由，采用傳統(tǒng)的路由方式連接各子網(wǎng)必須導致大量數(shù)據(jù)在路由器上 14 匯集，發(fā)生堵塞，從而導致丟包，會大大限制多媒體應用，因此必須采用先進高效的路由技術，保證整個 司 數(shù)據(jù)網(wǎng)絡在網(wǎng)絡層暢通無阻。 第三層交換技術分析 第三層網(wǎng)絡 路由交換機的出現(xiàn)為大型多媒體網(wǎng)絡提供了新的解決方案。通過使用第三層路由交換機，可以大大提高 的轉(zhuǎn)發(fā)速度。 第三層交換技術可以分為兩類：基于包的交換和基于流的交換。 基于包的交換 采用與傳統(tǒng)路由器相近的交換方式，對每一個包進行檢查。目前的第三層交換機憑借先進的 術，對 直接進行芯片道路級處理，速度大大高于路由器采用的基于 處理方式，能夠提供全線速的轉(zhuǎn)發(fā)，避免發(fā)生堵塞和丟包；同時完全兼容路由器的 議，能夠與傳統(tǒng)路由器進行相互的自學習，掌握整個網(wǎng)絡的路由信息。采 用基于包交換的第三層交換機，網(wǎng)絡的配置、設備和軟件都不需要變動，能夠?qū)崿F(xiàn)基于包的安全控制。 數(shù)據(jù)庫服務器 與中間業(yè)務服務器 接入模塊 數(shù)據(jù)庫服務器與中間業(yè)務服務器接入設備采用 性能交換機， 成熟的 換機曾經(jīng)做為數(shù)據(jù)中心的核心交換機主流產(chǎn)品，其強大的交換能力， 720G 背板帶寬，以及高達 高可靠性，使之成為 司 心數(shù)據(jù)庫服務器與中間業(yè)務服務器接入服務最有力的提供者，此外，依靠 術，將兩臺 換機虛擬 15 成一臺交換機，將背板帶寬擴大為 電信級別。 數(shù)據(jù)庫服務器與中間業(yè)務服務器通過千兆鏈路連接入?yún)R聚交換機上，通過 10G 鏈路雙上聯(lián)入核心交換機 依靠跨機框鏈路捆綁技術，將因為鏈路故障造成的倒換 外聯(lián)網(wǎng)絡接入模塊 為中國家電零售業(yè)的領軍企業(yè)，其銀聯(lián)及各大商業(yè)銀行有著相當頻繁的業(yè)務來往，并且，隨著 業(yè)多元化發(fā)展，其各實業(yè)公司，都與 著極高的數(shù)據(jù)交換要求以及響應的安全要求。為此，我 們推薦 好處在于可以靈活的使用 各種業(yè)務提供足夠的安全保證 帶內(nèi)帶外網(wǎng)絡管理接入模塊 網(wǎng)絡管理對于一個大型化的網(wǎng)絡是至關重要的，同時也具有挑戰(zhàn)性。對 息中心的管理主要采用基于 于 基于 過 以設置完善的管理員安全策略，能夠有效地防 16 止非法用戶竊取管理員權限，對網(wǎng)絡進行任何改動。 對于整個 據(jù)中心網(wǎng)絡的管理，我們采用 是世界上使用最為廣泛最為成功的網(wǎng)管軟件之一，能對多個廠家提供的支持 線器、路由器、打印機、 樣我們可以查看網(wǎng)絡上使用的硬件和軟件的清單，診斷并解決遠程工作站的問題，給網(wǎng)絡用戶快速分發(fā)最新軟件，檢查用戶軟件的 測客戶機上的病毒，使用加密和解密保證網(wǎng)絡 的安全，監(jiān)視服務器的性能并能設定報警值。 由于 儲和互聯(lián)基礎設施上的可管理性能夠利用先進的通用管理和診斷工具簡化配置、調(diào)配、監(jiān)控和變更控制，因而能減輕管理負擔，增強流程的一致性，并改善數(shù)據(jù)中心小組之間的協(xié)作。另外，可管理性功能還能向管理應用提供網(wǎng)絡設備的流量和接口信息，以便操作人員能夠查看實時和歷史網(wǎng)絡狀態(tài)。另外，操作人員還能利用思科或第三方管理工具實現(xiàn)網(wǎng)絡的配置、監(jiān)控和排障。 思科數(shù)據(jù)中心網(wǎng)絡架構提供先進的通用管理接口、功能和工具，不但能顯著提高數(shù)據(jù)中心管理人員的運營效率，降低復雜性，縮短學習周期， 還能提高服務水平，加快解決問題的進程。利用基于角色的訪問控制，管理員可以將特定資源的管理控制分配給專人負責。 思科數(shù)據(jù)中心網(wǎng)絡架構包含五大可管理性： 17 簡單網(wǎng)絡管理協(xié)議（ 3） 在 儲網(wǎng)絡和光網(wǎng)上支持統(tǒng)一的 夠改善配置、資產(chǎn)管理和變更管理。 嵌入式管理代理能夠簡化可管理性 支持基于策略的自適應管理，能夠在問題造成重大影響之前就快速予以解決，而且能夠簡化服務實施。例如，為 500 系列平臺開發(fā)的新型 備管理器代理能夠改 善基于策略的端到端配置。 相似的 在管理器與設備之間提供一致的通信。 標準通用信息模型和可擴展標記語言（ 通用高級診斷功能 簡化存儲網(wǎng)絡中第三方系統(tǒng)管理的實施。 簡化實時監(jiān)控、歷史統(tǒng)計數(shù)據(jù)收集和報告。 另外思科安全監(jiān)控、分析和響應系統(tǒng)（思科安全 一款基于設備的全功能解決方案，可提供針對您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全 幫助您的安全和網(wǎng)絡機構識別、管理和抵御安全 18 威脅。它 可充分利用您現(xiàn)有的網(wǎng)絡和安全投資，來識別、隔離被攻擊的組件和建議對其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個不可缺少的部件。 安全和網(wǎng)絡管理員所面臨的問題有： 安全和網(wǎng)絡信息過載 性能不佳的攻擊和故障識別、優(yōu)先級劃分和響應 更高攻擊先進程度、速度和修復成本 滿足法規(guī)符合性和審查要求 較少的安全人員和預算 思科安全 集成網(wǎng)絡智能，進行網(wǎng)絡異常事件和安全事件的先進關聯(lián) 察看校正后的事件并自動執(zhí)行調(diào)查 通過全面充分利用網(wǎng)絡和安全基礎設 施來防御攻擊 監(jiān)控系統(tǒng)、網(wǎng)絡和安全運行來幫助企業(yè)達到法規(guī)符合性 以最低 擴展的設備 19 高性能與高可靠性設計 性能設計 在 司 數(shù)據(jù)中心網(wǎng)絡中， 主干線采用的是萬 兆位，因此需要主干設備要有較高的交換能力，擁有 思科一代高密度萬 兆位連接，滿足蘇寧電器數(shù)據(jù)網(wǎng)絡中的高通信量工作站、工作組和服務器的需求。通過現(xiàn)有銅線線纜或光纖集合工作站服務器群可以提高多媒體應用的運行速度，同時減少瓶頸并提供非堵塞性能。提供第二、第三、第四層無堵塞性能，強大的帶寬整形功能和八個 先級排隊，以實現(xiàn)完善的第二、第三、第四層通信控制，最大的介質(zhì)靈活性，保護了超 5 類線基礎設施投資，并以光纖 破了距離的限制。 在 司 數(shù)據(jù)中心網(wǎng)絡中，采用的第三層交換機是基于包進行交換的，能夠進行分布路由，為了避免發(fā)生堵塞，第三層交換機必須能夠提供接近交換速度的路由能力。另外為了在整個網(wǎng)絡上實現(xiàn)虛擬網(wǎng)劃分，第三層交換機還必須支持分布式的虛擬網(wǎng)設置。在關鍵子網(wǎng)，保證與主干網(wǎng)絡高速通道的足夠帶寬，以及冗余連接。 根據(jù)以上分析，我們充分考慮了系統(tǒng)的性能價格比，采用了具有高可擴展性和 穩(wěn)定性、最標準 的思科公司的全套網(wǎng)絡產(chǎn)品。考慮到主干網(wǎng)絡設備具有萬 兆以太的交換能力，同時支持鏈路匯聚功能，以保證網(wǎng)絡的帶寬，另外還要支持 分，提供靈活活的網(wǎng)絡配置。并且在蘇寧電器數(shù)據(jù)中心將要使用大量的光纜布線 。 20 可靠性設計 樸冗余 司 中心拓樸在設計階段就充分考慮線路的冗余問題，以保證數(shù)據(jù)中心網(wǎng)絡的高可靠性。 在 司 中心內(nèi)，所有核心設備之間鏈路 都采用雙鏈路冗余備份設計，保證在某一條鏈路故障時，不影響整個數(shù)據(jù)中心的數(shù)據(jù)交換業(yè)務。 鏈路冗余 在 數(shù)據(jù) 中心的交換機之間的連接均 采用 設計以保證鏈路的冗余。 計原則 21 網(wǎng)絡連接 計原則 核心設備之間互連 2*10心與分布設備互連 2*10布設備之間互連 2*10布與接入設備互連 2*10換冗余 交換區(qū)域的可靠性通過 現(xiàn)。被 斷的邏輯鏈路在線路或設備出現(xiàn)故障的情況下可以自動釋放，形成新的拓撲結構，保證網(wǎng)絡數(shù)據(jù)的正常傳輸。 網(wǎng)關冗余 備份路由協(xié)議）是為網(wǎng)絡接入設備提供三層網(wǎng)關冗余的技術。配置 的 關向接入設備提供虛擬 址，并使用 測 員狀態(tài)，確保網(wǎng)關冗余。 分布層設備在連接普通接入時采用 先級策略與 根網(wǎng)橋主備設置一致； 置 確保高優(yōu)先級網(wǎng)關為激活狀態(tài) 路由冗余 網(wǎng)絡物理鏈路的冗余設計為路由協(xié)議選擇備份連接提供了基礎。 網(wǎng)絡使用 由協(xié)議根據(jù)網(wǎng)絡鏈路的 算最短路徑。 22 當設備或連接因故障中斷時， 自動重新計算網(wǎng)絡路徑，并使用正常的連接保障數(shù)據(jù)通訊。 考慮運行維護的簡單性，配合 義和 義，在網(wǎng)絡設計上，將通過 調(diào)整，在分布層和核心層將數(shù)據(jù)流引導到冗余網(wǎng)絡結構的一側，而當設備或連接因故障中斷時， 自動重新計算網(wǎng)絡路徑，并使用正常的連接保障數(shù)據(jù)通訊。 備冗余 考慮到數(shù)據(jù)中心的特點，在 司 中心設計初期，就對設備冗余做了充分的考慮，核心設備采用可靠性最高的雙機熱備份模式，關鍵設備全部雙機熱備份，保證單一設備故障時，數(shù)據(jù)中心業(yè)務不受任何影響，徹底解決單點故障問題。 引擎冗余 數(shù)據(jù)中心的核心的交 換機和路由器都使用兩塊冗余引擎，在兩塊冗余引擎上使用 切換方式。 換方式只需要 3 秒左右就可以完成切換，并且不用重新初始化板卡 。 網(wǎng)絡連接 23 備份引擎自動切換 是 是 是 是 同步 是 是 是 同步 是 是 是 同步 否 是 是 同步二層鏈路狀態(tài) 否 否 是 是 同 步 路 由 協(xié) 議 否 否 是 切換時間 長 較短 短 短 復雜程度 低 較低 中 高 電源冗余 信息中心的網(wǎng)絡設備都需要支持兩種電源冗余工作模式，建議使用 式（默認設置）。 式一般用于電源更換或升級等特殊情況。 模塊和端口冗余 模塊和端口冗余的通用原則 同一機箱優(yōu)先使用高編號槽位； 同一模塊優(yōu)先使用高編號端口； 24 上連鏈路優(yōu)先使用高編號端口、下連鏈路優(yōu)先使用低編號端口，互連鏈路盡量使用引擎上自帶的端口； 確保 的兩個端口端口使用不同模塊，由于核心交換機只配置了一塊 10口模塊， 20能使用同一模塊的端口 。 口的可靠性 端口是網(wǎng)絡設備互連的通道，思科提供多種端口功能協(xié)議。為了保障網(wǎng)絡設備連接的可靠性，路由交換機端口應根據(jù) 數(shù)據(jù) 中心的通訊模式設計。 協(xié)議 路由端口（非 換端口 換端口 止 禁止，手工設置 禁止 止 啟用 禁止 用 啟用 禁止 用 啟用 禁止 式，自動協(xié)商 接入模式 用 啟用 禁止 25 司 數(shù)據(jù)中心網(wǎng)絡虛擬化服務 （此處為相應設備的亮點技術，根據(jù)具體項目不同編寫） 擬多機技術 000 系列交換機虛擬 多機技術 是一種網(wǎng)絡系統(tǒng)虛擬化技術，將 一 臺 000 系列交換機 物理的劃分為多個實體主機，通過對硬件資源，如控制引擎，交換背板的物理劃分，實現(xiàn)將一臺 000 系列交換 機劃分為 多個虛擬實體，以實現(xiàn)不同業(yè)務在核心層的隔離，并且，當 000 在滿足數(shù)據(jù)中心本身的交換需求后，仍有大量資源空閑時，可以將空閑資源劃分出 來另作他用，有效的提高 000 做為網(wǎng)絡核心的利用率，從而從側面提升 000 的性能價格比。 509 交換機 術 列交換機虛擬交換系統(tǒng)（ 1440 是一種網(wǎng)絡系統(tǒng)虛擬化技術，將兩臺采用了 20500 系列交換機組合為單一虛擬交換機。在 ，這兩個交換機中的管理引擎的數(shù)據(jù)面板和交換陣列能同時激活，因此總系 統(tǒng)交換能力可達 1440 員通過虛擬交換機鏈路（ 接。 虛擬交換機成員之間使用標準萬兆以太網(wǎng)連接（多達 8 條，以提供冗余性）。通過在 206 意端口上使用萬兆以太網(wǎng)上行鏈路，即能形成 在 員間進行控制面板通信外， 能傳輸普通用戶流量。 持所有采用集中或分布式（利用 發(fā)模式的 500 系列交換機。 與傳統(tǒng) 的 3 網(wǎng)絡設計相比， 440 提供了多項顯著優(yōu)勢。大體說來，其優(yōu)勢可歸納為以下三個主要方面： 夠提高運營效率 單管理點，包括配置文件和單一網(wǎng)關 址（無需 多機箱 （ 建了簡單的無環(huán)路拓撲結構，不再依靠生成樹協(xié)議（ 底層物理交換機經(jīng)由標準萬兆以太網(wǎng)接口相連，在位置方面提供了靈活的部署選項 夠優(yōu)化不間斷通信 機箱間狀態(tài)化故障切換不會干擾需要使用網(wǎng)絡狀態(tài)信息的應用。憑借 一個虛擬交換機成 員發(fā)生故障時，不再需要進行 3 重收斂，能在一秒內(nèi)實現(xiàn)確定性虛擬交換機的恢復。 與基于生成樹協(xié)議的收斂不同，使用 在一秒內(nèi)完成確定性 路恢復。 夠?qū)⑾到y(tǒng)帶寬容量擴展到 在冗余 500 系列交換機上激活所有可用的 27 寬，在 礎上進行精確的負載均衡。 為冗余數(shù)據(jù)中心交換機上的服務器網(wǎng)絡接口卡（ 供基于標準的鏈路匯聚，實現(xiàn)最高服務器帶寬吞吐率。 消除了因非對稱 路由引起的單播洪泛，減少了園區(qū)內(nèi)流量的跳數(shù)，從而節(jié)省了帶寬。 擬化技術及應用 與思科 6500 交換機 7600 路由器結合，具有靈活的端口擴展能力。7600 路由器配置防火墻模塊后可以將 7600 路由器變成一臺廣域網(wǎng)防火墻。路由器上的所有端口均可以配置不同的安全級別。 強大的防火墻性能，在單臺 65 系列交換機 7600 路由器上可以插4 塊 塊 吞吐量為 塊合計 22 每個防火墻模塊可支持 256 個虛擬防火墻，為數(shù)據(jù)中心提供了強大的靈活性。 虛擬防火墻的資源可定制，每個虛擬防火墻占用的 大的增加了虛擬防火墻的安全性和可用性。 支持高達 256 個 大大增加了防火墻的使用靈活性。 工作模式多樣化，支持透明、路由、 明路由的混合模式的工作模式。 支持多臺防火墻主機的集群，支持 式以及 8 模式。 支持豐富的 性 司 中心網(wǎng)絡 據(jù)具體項目，具體設計 ，一般初期僅做初步描述 ） 蘇寧電 器 心網(wǎng)絡 址的設計，將根據(jù)現(xiàn)有的業(yè)務系統(tǒng)進行統(tǒng)一的規(guī)劃與設計，在實際允許的情況下兼容原有 址，為日后割接提供準備的基礎。 司 中心網(wǎng)絡路由協(xié)議設計 （路由設計，根據(jù)具體項目具體設計 ，一般初期僅做初步描述 ） 蘇寧電器 心網(wǎng)絡路由協(xié)議建議使用 議與 議， 議做為其應用主協(xié)議， 議則運行在備份鏈路上，當主協(xié)議 障時，則由 議替代，以保證其網(wǎng)絡的連通性，減少協(xié)議倒換的時間。 司 中心網(wǎng)絡安全設計 （此處為相應 安全 的 設備及技術 ， 根據(jù)具體項目不同編寫） 火墻模塊 換機和 600 系列路由器的防火墻服務模塊（ 一種高速的、集成化的服務模塊，可以提供業(yè)界最快的防火墻數(shù)據(jù)傳輸速率： 5吞吐量， 100000及一百萬個并 29 發(fā)連接。在一個設備中最多可以安裝四個 而每個設備最高可以提供 20吞吐量。作為世界領先的 火墻系列的一部分， 以為大型企業(yè)和服務供應商提供無以倫比的安全性、可靠性和性能。 用了 術，并且運行 作系統(tǒng)（ 固的嵌入式系統(tǒng)，可以消除安全漏洞，防止各種可能導致性能降低的損耗。這個系統(tǒng)的核心是一種基于自適應安全算法（ 保護機制，它可以提供面向連接的全狀態(tài)防火墻功能。利用 以根據(jù)源地址和目的地地址，隨機的 列號，端口號，以及其他 志，為一個會話流創(chuàng)建一個連接表條目。以通過對這些連接表條目實施安全策略，控制所有輸入和輸出的流量。 主要優(yōu)點 防火墻的傳統(tǒng)角色已經(jīng)發(fā)生了變化。 今天的防火墻不僅可以保護企業(yè)網(wǎng)絡免受未經(jīng)授權的外部接入的攻擊，還可以防止未經(jīng)授權的用戶接入企業(yè)網(wǎng)絡的子網(wǎng)、工作組和 統(tǒng)計數(shù)據(jù)顯示， 70%的安全問題都來自于企業(yè)內(nèi)部。在 展的調(diào)查中，五分之一的受訪者表示，在過去 12 個月中，有入侵者闖入或者試圖闖入他們的企業(yè)網(wǎng)絡。大部分專家都認為，大多數(shù)網(wǎng)絡入侵活動都沒有被檢測出來。 集成模塊 裝在 500 系列交換機或者 600 互聯(lián)網(wǎng)路由器的內(nèi)部，讓這些設備的任何端口都可以充當防火墻端口， 30 并且在網(wǎng)絡基礎設 施中集成了狀態(tài)防火墻安全。對于那些機架空間非常有限的系統(tǒng)來說，這種功能非常重要。 500 真正成為了那些需要各種智能化服務（例如防火墻接入、入侵檢測、虛擬專用網(wǎng)（ 和多層 換功能的客戶的首選務交換機。 適應未來需要 以支持 5吞吐量，因而可以提供無以倫比的性能，讓用戶無須對系統(tǒng)進行徹底的升級，就可以滿足未來的要求。在500 中最多可以添加三個 滿足用戶不斷發(fā)展的需求。 可靠性 立在 術的基礎之上，并使用了同一個經(jīng)過時間檢驗的 作系統(tǒng) 時的操作系統(tǒng)。以利用行之有效的 術檢測分組，從而可以在同一個平臺上提供性能和安全的獨特組合。 低廉的整體運營成本 以提供所有防火墻中最佳的性能價格比。 合同中包含了維護成本。由于 基于 火墻的，所以培訓和管理成本都很低，而且由于它是集成在設備內(nèi)部的，所以大大減少了需要管理的設備的數(shù)量。 易用性 備管理器的直觀的圖形化用戶界面（ 以用于 31 管理和配置 配置和監(jiān)控方面， 以獲得思科管理框架和 成化語音、視頻和數(shù)據(jù)體系結構）合作伙伴的支持。 心網(wǎng)絡 據(jù)實際情況設計 ，一般初期僅做初步描述 ） 是指 絡的一種能力，即在跨越多種底層網(wǎng)絡技術（ ）的 絡上，為特定的業(yè)務提供其所需要的服務。衡量 技術指標包括： 1）帶寬 /吞吐量 指網(wǎng)絡的兩個節(jié)點之間特定應用業(yè)務流的平均速率； 2）時延 指數(shù)據(jù)包在網(wǎng)絡的兩個節(jié)點之間傳送的平均往返時間； 3）抖動 指時延的變化； 4）丟包率 指在網(wǎng)絡傳輸過程中丟失報文的百分比，用來衡量網(wǎng)絡正確轉(zhuǎn)發(fā)用戶數(shù)據(jù)的能力； 5）可用性 指網(wǎng)絡可以為用戶提供服務的時間的百分比。 本質(zhì)上，要保證服務質(zhì)量的最基本和最佳的手段是網(wǎng)絡容量的擴容，通過增加鏈路帶寬來保證網(wǎng)絡輕載， 出于網(wǎng)絡的實際情況考慮，在有限的帶寬前提下，在鏈路擁塞時，需要保證不同等級業(yè)務的服務質(zhì)量，因此，需要在 設備上 支持對不同 級的報文優(yōu)先轉(zhuǎn)發(fā)的隊列調(diào)度 機制 。 32 目前， 現(xiàn)機制主要有兩個：綜合型業(yè)務（ 型和區(qū)分型業(yè)務（ 型。 集成服務模型通過 議針對每個業(yè)務流進行資源預留，提供端到端服務保證。這種服務模型在應用使用之前，首先需要進行資源的預留，針對每個流都要維護 軟狀態(tài)。這種服務模型的的優(yōu)點在于能夠提供細粒度的、嚴格的 是擴展性比較差，路由器難以維護大量的軟狀態(tài)和控制流。由于集成服務模型的缺點，現(xiàn)在集成服務模型已經(jīng)很少使用，取 而代之的是下面重點介紹的差分服務模型。差分服務類型對不同的流進行分類，對每個類提供不同的 務。通過分類，維護軟狀態(tài)以及控制流的開銷大幅度縮小，可擴展性比較高。它的缺點在于提供的服務是粗粒度的、不嚴格的 務。 綜合考慮現(xiàn)有 術，我們推薦蘇寧電器 心 造采用以 主的 術，采用 兼容的標記方式。業(yè)務接入控制點設備實現(xiàn)業(yè)務的分類、標記和帶寬控制，城域網(wǎng)骨干路由器根據(jù) P 包的轉(zhuǎn)發(fā)。 數(shù)據(jù)中心網(wǎng)絡管理設計 （根據(jù)項目使用網(wǎng)管工具編寫） 思科安全監(jiān)控、分析和響應系統(tǒng)（思科安全 一款基于設備的全功能解決方案，可提供針對您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全 思科安全管理生命周期的一個關鍵組件，可幫助您的安全和網(wǎng)絡機構識別、管理和抵御安全威脅。 33 它可充分利用您現(xiàn)有的網(wǎng)絡和安全投資，來識別、隔離被攻擊的組件和建議對其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個不可缺少的部件。 安全和網(wǎng)絡管理員所面臨的問題有： 安全和網(wǎng)絡信息過 載 性能不佳的攻擊和故障識別、優(yōu)先級劃分和響應 更高攻擊先進程度、速度和修復成本 滿足法規(guī)符合性和審查要求 較少的安全人員和預算 思科安全 通過以下功能滿足其需要： 集成網(wǎng)絡智能，進行網(wǎng)絡異常事件和安全事件的先進關聯(lián) 察看校正后的事件并自動執(zhí)行調(diào)查 通過全面充分利用網(wǎng)絡和安全基礎設施來防御攻擊 監(jiān)控系統(tǒng)、網(wǎng)絡和安全運行來幫助企業(yè)達到法規(guī)符合性 以最低 供一個易于部署和使用的、可擴展的設備 思科安全 提交正確有效的安全事件并保持法規(guī)符合性。這 一易于使用的威脅防御設備系列可利用已部署在您的基礎設施中的網(wǎng)絡和安全設備，使操作員可集中、檢測、防御和報告重要威脅。 深度防御問題 信息安全已從互聯(lián)網(wǎng)、周邊防護發(fā)展為深度防御模式，在基礎設施中部署了多項措施來抵御安全漏洞和攻擊。鑒于攻擊頻率日益增 34 加、攻擊復雜度各不相同，以及攻擊非常迅速，網(wǎng)絡內(nèi)部和周邊間的界線逐漸模糊，因此這些措施是非常必要的。 為試圖利用漏洞發(fā)動攻擊，每天攻擊者都會對網(wǎng)絡接入點和系統(tǒng)進行數(shù)千次探測。先進的混合攻擊使用多種欺騙式攻擊方法，以便從機構內(nèi)外獲得未授權系統(tǒng)訪問和控制。蠕蟲、零日攻擊 、病毒、特洛伊木馬、間諜軟件和攻擊工具的普及可對最為堅固的基礎設施構成挑戰(zhàn) 導致防御作用時間縮短、出現(xiàn)停運和昂貴的修復措施。 除服務器和網(wǎng)絡設備數(shù)量較多外，每個安全組件都提供獨立的事件記錄和報警功能，以用于異常流量檢測、威脅響應和分析。不幸的是，這就生成了大量的干擾、報警、日志文件和誤報，需操作員辨別或高效利用它們 但這樣的前提是有足夠的時間和資源來分析和了解這些信息。此外，法規(guī)也要求嚴格數(shù)據(jù)保密、更高運營安全性和進行持續(xù)審查。 先進的安全信息管理 安全信息 /事件管理（ 品從邏輯上看來避免了這一 問題 因為您無法對您不能測量出的信息加以管理。 操作員擁有了集中操作的能力：匯總安全事件和記錄，通過有限關聯(lián)和查詢技術來分析數(shù)據(jù)，并針對獨立事件生成報警和報告。 思科通過一個可擴展的企業(yè)威脅防御設備系列，解決了這些安全問題，彌補了管理的不足。思科安全 供了一個易于部署和使用、經(jīng)濟有效、性能出眾的安全命令和控制解決方案，對您的網(wǎng)絡和安全基礎設施投資構成補充。思科安全 一個性能出眾的 35 可 擴 展 威 脅 防 御 設 備 系 列 ， 通 過 結 合 網(wǎng) 絡 智 能 、析和 能，來使公司能作好準備，識別、管理和消除網(wǎng)絡攻擊并保持法規(guī)符合性，從而增強已部署的網(wǎng)絡設備和安全措施。 思科安全 主要特性和優(yōu)勢 網(wǎng)絡智能事件匯總和性能處理 思科安全 換機和防火墻的拓撲和設備配置，以及網(wǎng)絡流量配置，實現(xiàn)了網(wǎng)絡智能。通過該系統(tǒng)的集成網(wǎng)絡發(fā)現(xiàn)功能，可構建一個包括設備配置和當前安全策略的拓撲圖，使思科安全對您網(wǎng)絡中的分組流建模。因為此設備不在內(nèi)部運行，極少使用現(xiàn)有軟件代理，所以對網(wǎng)絡或系統(tǒng)性能的影響極小。 這一設備集中匯 總了來自各種常用網(wǎng)絡設備（如路由器和交換機）、安全設備和應用（如防火墻、入侵檢測、漏洞掃描器和防病毒軟件）、主機（如 統(tǒng)日志）、應用（如數(shù)據(jù)庫、 務器和驗證服務器）以及網(wǎng)絡流量（如 日志和事件。 接收到事件和數(shù)據(jù)時，可針對網(wǎng)絡拓撲、所發(fā)現(xiàn)的設備配置、相同的源和目的地應用（跨 界）和類似的攻擊類型，來對信息進行標準化。相似的事件會進行實時分組，隨后對其運用由系統(tǒng)和用戶定義的關聯(lián)規(guī)則，來識 別事故。系統(tǒng)配備了全面的預定義規(guī)則， 經(jīng)常更新這些規(guī)則，它們能識別大多數(shù)混合攻擊、零日攻擊和蠕蟲。一個圖形化規(guī)則定義框架簡化了用戶 36 為任何應用創(chuàng)建定制規(guī)則的過程。 大減少了原始事件數(shù)據(jù)、實現(xiàn)了響應優(yōu)先級劃分并可最大限度地發(fā)揮所部署的措施的作用。 高性能匯總和整合。思科安全 決方案可獲取數(shù)千個原始事件，高效地對事件分類，實現(xiàn)前所未有的數(shù)據(jù)減少，并壓縮這些信息以進行歸檔。管理大量安全事件需要一個安全、穩(wěn)定的集中記錄平臺。思科安全 備可安全地優(yōu)化，接 收極其大量的事件流量 每秒超過 10000 個事件或每秒超過 30 萬個