數(shù)據(jù)中心解決實施方案

1、.wd.wd.wd.數(shù)據(jù)中心解決實施方案前言數(shù)據(jù)中心Data Center，DC是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境，是各種IT應(yīng)用業(yè)務(wù)的提供中心，是數(shù)據(jù)計算、網(wǎng)絡(luò)傳輸、存儲的中心。數(shù)據(jù)中心實現(xiàn)了IT根基設(shè)施、業(yè)務(wù)應(yīng)用、數(shù)據(jù)的統(tǒng)一、安全策略的統(tǒng)一部署與運維管理。數(shù)據(jù)中心是當(dāng)前運營商和各行業(yè)的IT建設(shè)重點。運營商、大型企業(yè)、金融證券、政府、能源、電力、交通、教育、制造業(yè)、網(wǎng)站和電子商務(wù)公司等正在進展或已完成數(shù)據(jù)中心建設(shè)，通過數(shù)據(jù)中心的建設(shè)，實現(xiàn)對IT信息系統(tǒng)的整合和集中管理，提升內(nèi)部的運營和管理效率以及對外的服務(wù)水平，同時降低IT建設(shè)的TCO。H3C長期致力于IP技術(shù)與產(chǎn)品的研究、開發(fā)、生產(chǎn)、銷

2、售及服務(wù)。H3C不但擁有全線以太網(wǎng)交換機和路由器產(chǎn)品，還在網(wǎng)絡(luò)安全、IP存儲、IP監(jiān)控、語音視訊、WLAN、SOHO及軟件管理系統(tǒng)等領(lǐng)域穩(wěn)健成長。目前，網(wǎng)絡(luò)產(chǎn)品中國市場份額第一，安全產(chǎn)品中國市場份額位居三甲，IP存儲亞太市場份額第一，IP監(jiān)控技術(shù)全球領(lǐng)先，H3C已經(jīng)從單一網(wǎng)絡(luò)設(shè)備供應(yīng)商轉(zhuǎn)變?yōu)槎喈a(chǎn)品IToIP解決方案供應(yīng)商。H3C長期保持對數(shù)據(jù)中心領(lǐng)域的關(guān)注，持續(xù)投入力量于數(shù)據(jù)中心解決方案的研發(fā)，融合了網(wǎng)絡(luò)、安全、IP存儲、軟件管理系統(tǒng)、IP監(jiān)控等產(chǎn)品的基于IToIP架構(gòu)的數(shù)據(jù)中心解決方案，有效地解決了用戶在數(shù)據(jù)中心建設(shè)中遇到的各種難題，已經(jīng)在各行各業(yè)的數(shù)據(jù)中心建設(shè)中廣泛應(yīng)用。基于H3C在數(shù)據(jù)通

3、信領(lǐng)域的長期研發(fā)與技術(shù)積累，縱觀數(shù)據(jù)中心開展歷程，數(shù)據(jù)中心的開展可分為四個層面：數(shù)據(jù)中心根基網(wǎng)絡(luò)整合： 根據(jù)業(yè)務(wù)需求，基于開放標(biāo)準(zhǔn)的IP協(xié)議，完成對企業(yè)現(xiàn)有異構(gòu)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)資源和IT資源的整合，解決如何建設(shè)數(shù)據(jù)中心的問題。 數(shù)據(jù)中心根基網(wǎng)絡(luò)的設(shè)計以功能分區(qū)、網(wǎng)絡(luò)分層和服務(wù)器分級為原那么和特點。通過多種高可用技術(shù)和良好網(wǎng)絡(luò)設(shè)計，實現(xiàn)數(shù)據(jù)中心可靠運行，保證業(yè)務(wù)的永續(xù)性；數(shù)據(jù)中心應(yīng)用智能：基于TCP/IP的開放架構(gòu)，保證各種新業(yè)務(wù)和應(yīng)用在數(shù)據(jù)中心的根基體系架構(gòu)上平滑部署和升級，滿足用戶的多變需求，保證數(shù)據(jù)中心的持續(xù)服務(wù)和業(yè)務(wù)連續(xù)性。各種應(yīng)用的安全、優(yōu)化與集成可以無縫的部署在數(shù)據(jù)中心之上。數(shù)據(jù)中心虛

4、擬化：傳統(tǒng)的應(yīng)用孤島式的數(shù)據(jù)中心模型擴展性差，核心資源的分配與業(yè)務(wù)應(yīng)用開展出現(xiàn)不匹配，使得資源利用不均勻，導(dǎo)致運行成本提高、現(xiàn)有投資無法到達最優(yōu)化的利用、新業(yè)務(wù)部署難度增大、現(xiàn)有業(yè)務(wù)持續(xù)性得不到保證、安全面臨威脅。虛擬H3C 數(shù)據(jù)中心解決方案 網(wǎng)絡(luò)產(chǎn)品部化通過構(gòu)建共享的資源池，實現(xiàn)對網(wǎng)絡(luò)資源、計算計算和存儲資源的幾種管理、規(guī)劃和控制，簡化管理維護、提高設(shè)備資源利用率、優(yōu)化業(yè)務(wù)流程部署、降低維護成本。數(shù)據(jù)中心資源智能：通過智能化管理平臺實現(xiàn)對資源的智能化管理，資源智能分配調(diào)度，構(gòu)建高度智能、自動化數(shù)據(jù)中心。 1 數(shù)據(jù)中心根基網(wǎng)絡(luò)整合1.1 數(shù)據(jù)中心根基網(wǎng)絡(luò)設(shè)計隨著業(yè)務(wù)的快速開展，企業(yè)泛指運營商、

5、企業(yè)和行業(yè)用戶的業(yè)務(wù)應(yīng)用和數(shù)據(jù)正在從分散部署走向大集中，作為業(yè)務(wù)承載體的IT設(shè)施的部署模型隨之發(fā)生翻天覆地的變化，互聯(lián)互通已經(jīng)不能滿足流程整合后的業(yè)務(wù)持續(xù)開展的需求。網(wǎng)絡(luò)是連接所有數(shù)據(jù)中心IT組件的唯一通用實體，構(gòu)建堅實的網(wǎng)絡(luò)根基設(shè)施將為數(shù)據(jù)中心業(yè)務(wù)永續(xù)、管理與運維提供保障。通常來講，用戶的業(yè)務(wù)可分為多個子系統(tǒng)，彼此之間會有數(shù)據(jù)共享、業(yè)務(wù)互訪、數(shù)據(jù)訪問控制與隔離的需求，根據(jù)業(yè)務(wù)相關(guān)性和流程需要，需要采用模塊化設(shè)計，實現(xiàn)低耦合、高內(nèi)聚，保證系統(tǒng)和數(shù)據(jù)的安全性、可靠性、靈活擴展性、易于管理。數(shù)據(jù)中心根基網(wǎng)絡(luò)設(shè)計原那么為分區(qū)、分層和分級設(shè)計。一、數(shù)據(jù)中心分區(qū)設(shè)計原那么分區(qū)，即把用戶的整個IT系統(tǒng)按照

6、關(guān)聯(lián)性、管理等方面的需求劃分為多個業(yè)務(wù)板塊系統(tǒng)，而每個系統(tǒng)有自己單獨的核心交換，服務(wù)器，安全邊界設(shè)備等，需要逐級訪問控制，良好的邏輯分區(qū)設(shè)計與安全域劃分成為數(shù)據(jù)中心網(wǎng)絡(luò)的必備根基。根據(jù)企業(yè)自身特點，依據(jù)業(yè)務(wù)系統(tǒng)的相關(guān)性、數(shù)據(jù)流的訪問要求和系統(tǒng)安全控制的要求等，可以把數(shù)據(jù)中心的服務(wù)器與業(yè)務(wù)系統(tǒng)分成內(nèi)網(wǎng)區(qū)Intranet、外聯(lián)區(qū)Extranet和互聯(lián)網(wǎng)區(qū)Internet等，并在此根基上對業(yè)務(wù)流程進展深入細化。H3C數(shù)據(jù)中心解決方案Intranet區(qū)企業(yè)內(nèi)部訪問的數(shù)據(jù)中心區(qū)域，通常稱為內(nèi)網(wǎng)區(qū)，對外部網(wǎng)絡(luò)不可見。Extranet區(qū)企業(yè)提供應(yīng)合作伙伴訪問的數(shù)據(jù)中心區(qū)域，通常稱為外聯(lián)區(qū)；通過VPN接入實現(xiàn)

7、對服務(wù)器群的訪問和不同企業(yè)的隔離。Internet區(qū)企業(yè)提供應(yīng)internet用戶訪問的數(shù)據(jù)中心區(qū)域，也常稱為DMZ區(qū)，外部用戶通過公網(wǎng)訪問，一般就是放在企業(yè)門戶網(wǎng)站的服務(wù)器群。二、數(shù)據(jù)中心分層設(shè)計原那么分層的主要是根據(jù)內(nèi)外局部流原那么，把數(shù)據(jù)中心網(wǎng)絡(luò)分成標(biāo)準(zhǔn)的核心層、會聚層和接入層三層構(gòu)造。服務(wù)器與業(yè)務(wù)系統(tǒng)之間的流量大局部在單個功能分區(qū)內(nèi)部，不需要經(jīng)過核心；分區(qū)之間的流量才經(jīng)過核心，而且在每個分區(qū)的會聚層交換機上做互訪控制策略會更容易、對核心的壓力會更好、故障影響范圍更小、故障恢復(fù)更快。核心層 核心層提供多個數(shù)據(jù)中心會聚模塊互聯(lián)，并連接園區(qū)網(wǎng)核心；要求其具有高交換能力和突發(fā)流量適應(yīng)能力；大型

8、數(shù)據(jù)中心核心要求多會聚模塊擴展能力，中小型數(shù)據(jù)中心共用園區(qū)核心；當(dāng)前以10GE接口為主，高性能要求4-8 10GE捆綁。會聚層 為服務(wù)器群server farm對外提供高帶寬出口；要求提供大密度GE/10GE端口實現(xiàn)接入層互聯(lián)；具有較多槽位數(shù)提供增值業(yè)務(wù)模塊部署。網(wǎng)絡(luò)產(chǎn)品部接入層 H3C 數(shù)據(jù)中心解決方案 支持高密度千兆接入、萬兆接入；接入總帶寬和上行帶寬存在收斂比、線速兩種模式；基于機架考慮，1RU更具靈活部署能力；支持堆疊，更具擴展能力；上行雙鏈路冗余能力。業(yè)界主流做法是在會聚層部署各類安全、應(yīng)用優(yōu)化業(yè)務(wù)，如在交換機上集成防火墻、負載均衡、應(yīng)用加速板卡。三、服務(wù)器接入分級設(shè)計原那么目前的應(yīng)

9、用訪問架構(gòu)已經(jīng)逐步由傳統(tǒng)的客戶機/服務(wù)器簡稱C/S架構(gòu)向瀏覽器/服務(wù)器簡稱B/S的變遷，B/S的應(yīng)用訪問架構(gòu)要求采用三級的服務(wù)器架構(gòu)，從整體來看包括三個層次：Web層負責(zé)應(yīng)用界面的提供，承受客戶端請求并返回最終結(jié)果，是業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的對外界面。如IIS、Apache服務(wù)器等等。Application層負責(zé)數(shù)據(jù)的計算、業(yè)務(wù)流程整合，如常見的WebLogic、J2EE等中間件技術(shù)。Database層負責(zé)數(shù)據(jù)的存儲，供業(yè)務(wù)系統(tǒng)進展讀寫和隨機調(diào)用。如MS SQL Server、Oracle 9i、IBM DB2等等。網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案三級之間通過交換網(wǎng)絡(luò)的互連，層層的安全保護，形成構(gòu)造清

10、晰的易于部署的服務(wù)器接入架構(gòu)。三級之間的互連又分成縱向和扁平兩種構(gòu)造。縱向構(gòu)造清晰、管理簡單，扁平構(gòu)造節(jié)省投資。四、H3C數(shù)據(jù)中心根基網(wǎng)絡(luò)設(shè)計優(yōu)勢安全性好 容易明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系，可以單獨對每個區(qū)域進展安全實施，不會對其它區(qū)域造成影響。 擴展性好 可根據(jù)不同區(qū)域和層次的功能按需建設(shè)，業(yè)務(wù)部署靈活，可以非常方便的增加新 Server Farm區(qū)，而不改變原有的網(wǎng)絡(luò)構(gòu)造。提高可用性 可以最大限度的隔離故障域，簡化數(shù)據(jù)路徑，加快故障收斂時間。 易管理 網(wǎng)絡(luò)構(gòu)造清晰，日常的運維變得更加簡單，問題定位容易。 1.2 數(shù)據(jù)中心高可用解決方案隨著市場競爭的日益加劇，客戶對信息系統(tǒng)的依賴性和要求越

11、來越高，保證數(shù)據(jù)中心的高可用性，提供724小時網(wǎng)絡(luò)服務(wù)成為建網(wǎng)的首要目標(biāo)，也是數(shù)據(jù)中心建設(shè)關(guān)注的第一要素。網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案導(dǎo)致網(wǎng)絡(luò)不可用，即網(wǎng)絡(luò)故障的原因主要有兩類：1. 不可控因素，如自然災(zāi)害、戰(zhàn)爭、大停電、人為破壞等通過建設(shè)生產(chǎn)中心、本地備份中心、異地容災(zāi)中心，即“兩地三中心模式，通過良好的整體規(guī)劃設(shè)計，保證不可控因素影響下數(shù)據(jù)中心的高可用。2. 可控因素，如設(shè)備故障、鏈路故障、網(wǎng)絡(luò)擁塞、維護誤操作、惡意攻擊等。H3C在相關(guān)產(chǎn)品設(shè)計上考慮了諸多因素，提供了全系列的解決方案，包括物理設(shè)備、鏈路層、IP層、傳輸層和應(yīng)用層，全方位的提高網(wǎng)絡(luò)可用性。硬件設(shè)備冗余，如設(shè)備雙主控、單板

12、熱插拔、冗余電源、冗余風(fēng)扇。 物理鏈路冗余，如以太網(wǎng)鏈路聚合等。 環(huán)網(wǎng)技術(shù)，如：RPR、RRPP等技術(shù)。二層路徑冗余，如：MSTP、SmartLink。三層路徑冗余，如：VRRP、ECMP、動態(tài)路由快速收斂?？焖俟收蠙z測技術(shù)，如：BFD等。不連續(xù)轉(zhuǎn)發(fā)技術(shù)，如GR等。除了產(chǎn)品高可用性外，H3C在數(shù)據(jù)中心整體設(shè)計上提供完整的高可用方案，具體可分為：服務(wù)器接入高可用設(shè)計，接入層到會聚的高可用設(shè)計，會聚層的高可用設(shè)計。一、服務(wù)器接入高可用設(shè)計也稱服務(wù)器多網(wǎng)卡接入。為了實現(xiàn)接入高可用，服務(wù)器通常采用多鏈路上行，即服務(wù)器的兩塊甚至多網(wǎng)卡接入，服務(wù)器中的網(wǎng)絡(luò)驅(qū)動程序?qū)蓧K或者多塊網(wǎng)卡捆綁成一個虛擬的網(wǎng)卡，如

13、果一個網(wǎng)卡失效，另一個網(wǎng)卡會接收它的MAC地址，兩塊網(wǎng)卡使用一個IP地址，而且必須位于同一播送域，即同一子網(wǎng)下。服務(wù)器和接入交換機之間的連接方式有幾種方式：網(wǎng)絡(luò)可用性從左至右依次升高。推薦采用第四種接入方式。第四種連接方式服務(wù)器采用交換機容錯模式分別接入到兩臺機柜式交換機上，并且將VLAN Trunk到兩臺設(shè)備上，實現(xiàn)服務(wù)器的高可靠接入。二、接入到會聚高可用設(shè)計網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案接入到會聚層共有四種連接方式，分別為倒U型接法、U型接法、三角型接法和矩形接法，這里所謂不同類型的接法是以二層鏈路作為評判依據(jù)，比方說矩形接法，從接入到接入，接入到會聚、會聚到會聚均為二層鏈路連接，因此形

14、成了矩形的二層鏈路接法。H3C推薦三角型接法：鏈路冗余，路徑冗余，故障收斂時間最短。VLAN 可以跨會聚層交換機，服務(wù)器部署靈活。在實際部署中，還可以根據(jù)實際情況選擇如下方案：H3C IRFIntelligent Resilient Framework，H3C IRF能夠?qū)崿F(xiàn)分布式設(shè)備管理、分布式路由和跨設(shè)備鏈路聚合。部署H3C IRF，除了提高網(wǎng)絡(luò)的可用性，減少單點故障影響，還可以：分布式處理二三層協(xié)議，極大提高網(wǎng)絡(luò)高性能。每組當(dāng)成一個邏輯Fabric，配置管理更高效。堆疊組內(nèi)設(shè)備軟件版本同步升級，升級容易。整個堆疊組的設(shè)備支持熱插拔，靈活管理。接入與會聚采用MSTP+VRRP：提高可用性，

15、還可以做到鏈路的負載均衡。網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案網(wǎng)絡(luò)產(chǎn)品部三、會聚高可用性設(shè)計1會聚交換設(shè)備之間的VRRP；2安全、應(yīng)用優(yōu)化設(shè)備之間的VRRP：可以內(nèi)置或者旁掛到會聚交換機上(推薦旁掛，而不是串連到網(wǎng)絡(luò)中，消除性能瓶頸)。利用HRP協(xié)議實現(xiàn)在Master和Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息的備份。HRP協(xié)議承載在VGMP報文上。通過指定的負載均衡算法，對指向服務(wù)器的流量做負載均衡，保證服務(wù)器群能盡最大努力向外提供服務(wù)，提升服務(wù)器的可用性，提升服務(wù)器群的處理性能。2 數(shù)據(jù)中心應(yīng)用智能2.1 應(yīng)用智能數(shù)據(jù)中心模型今天，WEB2.0大潮開場涌現(xiàn)，如Flickr、Yo

16、uTuBe、BLOG、WIKI、PODCAST，互聯(lián)網(wǎng)在第一次泡沫迸裂后又重現(xiàn)生機。這些新應(yīng)用的背后英雄就是WEB技術(shù)，如果講WEB1.0解決的是“人機交互界面的標(biāo)準(zhǔn)化問題，WEB2.0那么更進一步解決了“應(yīng)用數(shù)據(jù)交互的標(biāo)準(zhǔn)化問題，而WEB2.0的技術(shù)根基是XML協(xié)議和一系列相關(guān)WEB技術(shù)。Web 2.0時代的最大特點是每個人可成為數(shù)據(jù)的提供者。在今后的幾年內(nèi)，WEB應(yīng)用的普及必將帶來另外一個新的標(biāo)準(zhǔn)化，那就是基于WEB技術(shù)的應(yīng)用標(biāo)準(zhǔn)化，如果用OSI的模型來描述的話，那么是會話層和表示層的標(biāo)準(zhǔn)化?！耙坏?biāo)準(zhǔn)化，即可網(wǎng)絡(luò)化意味著這些標(biāo)準(zhǔn)化的應(yīng)用處理功能將集成到網(wǎng)絡(luò)設(shè)備中，新的業(yè)務(wù)呼喚新的應(yīng)用智能

17、網(wǎng)絡(luò)。企業(yè)業(yè)務(wù)和數(shù)據(jù)從分散部署走向大集中，數(shù)據(jù)中心的數(shù)據(jù)量急劇膨脹，數(shù)據(jù)中心的重要性受到空前的重視，應(yīng)用優(yōu)化、網(wǎng)絡(luò)安全、應(yīng)用安全設(shè)備大規(guī)模部署，融合了應(yīng)用安全、應(yīng)用優(yōu)化能力的應(yīng)用智能數(shù)據(jù)中心越來越受到用戶的歡迎。順應(yīng)潮流的開展，多業(yè)務(wù)集成交換機成為數(shù)據(jù)中心建設(shè)的必備組件。應(yīng)用安全涵蓋：應(yīng)用層認證、授權(quán)和審計 應(yīng)用層加密SSL)和集中PKI部署應(yīng)用層防火墻HTTP/XML防火墻，SAML安全斷言標(biāo)記語言應(yīng)用層內(nèi)容安全：病毒、入侵等等 應(yīng)用優(yōu)化涵蓋： H3C 數(shù)據(jù)中心解決方案 應(yīng)用負載均衡 基于硬件的應(yīng)用緩存、壓縮和交換 應(yīng)用協(xié)議優(yōu)化HTTP/TCP協(xié)議優(yōu)化融合應(yīng)用安全、應(yīng)用優(yōu)化的應(yīng)用智能數(shù)據(jù)中心

18、模型：2.2 應(yīng)用智能之安全數(shù)據(jù)中心承載著用戶的核心業(yè)務(wù)和機密數(shù)據(jù)，同時為內(nèi)部、外部、合作伙伴等客戶提供業(yè)務(wù)交互和數(shù)據(jù)交換，因此數(shù)據(jù)中心的安全必須與業(yè)務(wù)系統(tǒng)實現(xiàn)融合，并且能夠平滑的部署在網(wǎng)絡(luò)中。數(shù)據(jù)中心的安全建設(shè)中的主要思想之一就是層次化的分級安全，把IT的安全分成多個等級，劃分不同的安全域，這與數(shù)據(jù)中心對安全的內(nèi)在要求是相輔相成的。在深入分析IT安全形勢的根基上，H3C提出基于狀態(tài)演進的安全模型，把IT的安全分成：單機安全：單機安全強調(diào)權(quán)限管理、病毒防護、數(shù)據(jù)備份 局部安全：局部安全強調(diào)遠程接入、入侵檢測、安全融合、安全協(xié)作 深度安全：深度安全強調(diào)容災(zāi)備份、深度抵御、安全審計、流量分析 統(tǒng)一

19、安全：統(tǒng)一安全強調(diào)風(fēng)險管理、企業(yè)內(nèi)控、統(tǒng)一規(guī)劃、統(tǒng)一管理 網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案網(wǎng)絡(luò)產(chǎn)品部隨著安全狀態(tài)的演進，安全向著應(yīng)用智能的安全方向開展。在任何情況下，信息只存在于三種狀態(tài)之一：計算：計算是信息被創(chuàng)立、修改、刪除、查詢以及深度處理的過程。 通訊：通訊是信息在不同的環(huán)境之間以及環(huán)境內(nèi)部傳遞的過程。 存儲：信息被以某種形式臨時或者永久性保存的過程。 安全的目標(biāo)就是在保證數(shù)據(jù)在這三種狀態(tài)下的安全。 信息的安全狀態(tài)決定安全的策略，對于數(shù)據(jù)中心來講，信息的安全策略包括訪問控制策略、補丁管理策略、攻擊抵御策略、滲透抵御策略、病毒控制策略、流量控制策略、風(fēng)險管理策略。 安全分區(qū) 安全策略的根基

20、是基于業(yè)務(wù)的邏輯分區(qū)和安全域劃分，數(shù)據(jù)中心業(yè)務(wù)安全分區(qū)的優(yōu)勢： 增加新功能區(qū)更容易 不同區(qū)域可實施不同的安全策略 每個分區(qū)按照需求可獨立的擴展 發(fā)生故障易定位易恢復(fù)等優(yōu)點。 因此，按照分區(qū)的思想，數(shù)據(jù)中心按照業(yè)務(wù)類型分為不同的邏輯區(qū)域，每個分區(qū)制定不 同的安全策略和信任模型，劃分為不同安全級別的安全域。從實際部署上看，又分成： 邊界訪問控制 深度智能防御 智能安全管理 1邊界訪問控制邊界控制對數(shù)據(jù)中心是最 基本的要求，控制各類用戶對數(shù)據(jù)中心的訪問。隨著安全狀態(tài)的演進，安全向著應(yīng)用智能的安全方向開展。H3C SecBlade II萬兆防火墻與核心、會聚交換機實現(xiàn)多業(yè)務(wù)集成，數(shù)據(jù)交互通過背板直接進

21、展，具有高性能和高可靠的雙重優(yōu)勢，防止交換機在線部署的性能瓶頸和單點故障；與防火墻旁掛部署方式相比，又具有配置策略簡單、不改變數(shù)據(jù)轉(zhuǎn)發(fā)路徑、流量轉(zhuǎn)發(fā)過程清晰、部署維護簡單等諸多優(yōu)點。2深度智能防御針對數(shù)據(jù)中心的各類DDoS攻擊、木馬、黑客入侵層出不窮，傳統(tǒng)的IDS產(chǎn)品只能對局部事件進展檢測，無法做到實時分析和防御，H3C IPS業(yè)界領(lǐng)先，以在線或者旁路的方式H3C數(shù)據(jù)中心解決方案部署在客戶網(wǎng)絡(luò)的關(guān)鍵路徑上可以實現(xiàn)在線防御，也可配置Layer2-back二層回退，通過對流經(jīng)該關(guān)鍵路徑上的網(wǎng)絡(luò)數(shù)據(jù)流進展2到7層的深度分析，能準(zhǔn)確、實時地識別并阻斷或限制黑客、蠕蟲、病毒、木馬、DoS/DDoS、掃描

22、、間諜軟件、協(xié)議異常、網(wǎng)絡(luò)釣魚、P2P、IM、網(wǎng)游等網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用，從而可為客戶網(wǎng)絡(luò)提供三大保護功能：保護網(wǎng)絡(luò)應(yīng)用、保護網(wǎng)絡(luò)根基設(shè)施、保護網(wǎng)絡(luò)性能。H3C IPS系列產(chǎn)品還具有強大、實用的帶寬管理和URL過濾功能，可為客戶帶來IPS之外的更高附加價值。3智能安全管理數(shù)據(jù)中心除了大量的網(wǎng)絡(luò)設(shè)備在運行外，更多是各類服務(wù)器、操作系統(tǒng)之間的業(yè)務(wù)交互，海量的告警、監(jiān)控、SNMP、WMI等消息不斷的在網(wǎng)絡(luò)中傳播，必須要要對這些安全事件、網(wǎng)絡(luò)事件、系統(tǒng)事件、應(yīng)用事件進展統(tǒng)一的收集和管理，并通智能化的分析把原始數(shù)據(jù)轉(zhuǎn)換、篩選為智能安全的有效信息。H3C SecCenter可管理近100家主流廠家的安全與網(wǎng)

23、絡(luò)產(chǎn)品、1000+種報表的自動或手工生成、流量與攻擊的實時監(jiān)控、海量事件關(guān)聯(lián)和威脅分析、安全審計分析與追蹤溯源?？傊?，H3C通訊安全目標(biāo)是提供面向業(yè)務(wù)的端到端的安全保障，覆蓋客戶端、網(wǎng)絡(luò)和數(shù)據(jù)中心的服務(wù)器和存儲系統(tǒng)。網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案2.3 應(yīng)用智能之優(yōu)化隨著Internet和用戶業(yè)務(wù)的不斷開展，Web應(yīng)用已經(jīng)成為服務(wù)器主要的數(shù)據(jù)處理任務(wù)。HTTP協(xié)議用于在服務(wù)器和客戶端之間傳輸基于Web的數(shù)據(jù)。TCP協(xié)議那么為HTTP提供有保障的連接和糾錯功能。TCP雖然是非常理想的傳輸機制，但它也存在缺點，在傳輸Web數(shù)據(jù)時，TCP協(xié)議消耗了大量的資源，導(dǎo)致服務(wù)器性能不佳。數(shù)據(jù)中心的性能瓶頸

24、日趨凸現(xiàn)，為了解決諸如此類的性能問題，出現(xiàn)了流量管理產(chǎn)品，比方能夠深度識別和管理的P2P流量的路由器，產(chǎn)品工作在網(wǎng)絡(luò)層解決數(shù)據(jù)傳輸中的應(yīng)用優(yōu)化問題；負載均衡設(shè)備，產(chǎn)品的目標(biāo)是解決服務(wù)器訪問的瓶頸問題，但是這些產(chǎn)品缺乏以解決數(shù)據(jù)中心應(yīng)用層的性能問題，因此H3C應(yīng)用優(yōu)化設(shè)備應(yīng)運而生，它采用先進的連接收理技術(shù)進展TCP 卸載和傳輸層端到端優(yōu)化，考慮到SSL、壓縮、加密等更多并發(fā)處理，極大的提高了數(shù)據(jù)中心的數(shù)據(jù)訪問性能。GET A;GET B;GET CGET A;GET B;GET DGET C;GET D;GET EGET B;GET A;GET DGET C;GET D;GET EGET A;G

25、ET B;GET CGET E;GET B;GET CGET F;GET E;GET GGET F;GET A;GET CGET A;GET B;GET CGET C;GET D;GET E服務(wù)器TCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP Session H3C SecPath ASE系列產(chǎn)品是采用全硬件架構(gòu)NPFPGA設(shè)計的，通過不同的內(nèi)置硬件模塊實現(xiàn)TCP優(yōu)化、內(nèi)容壓縮、負載均衡、SSL加速等技術(shù)，到達應(yīng)用加

26、速的目的。使用ASE，可以為目前不堪重負的數(shù)據(jù)中心減輕過重的負載，同時ASE可以根據(jù)數(shù)據(jù)中心的具體需要，與其它產(chǎn)品配合形成一體化解決方案。SecPath ASE產(chǎn)品的應(yīng)用場景如以以下圖所示：網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案ASE將web加速、SSL卸載和加速、壓縮、TCP優(yōu)化、負載均衡、防DDos攻擊等技術(shù)集成在一個硬件平臺上，并且每個功能模塊都是由專有的硬件芯片運行。利用全硬件加速處理技術(shù)來幫助企業(yè)提高應(yīng)用性能，最大可使Web服務(wù)器的性能提升10倍。同時，SecPath ASE還可以提供高可用性負載均衡、快速與超智能的第4-7層交換、精細的互動控制以及其它諸多特性，為數(shù)據(jù)中心網(wǎng)絡(luò)提供最好的

27、保護。ASE在客戶端和服務(wù)器中間扮演了雙重角色，面對客戶端時，ASE表現(xiàn)為一個服務(wù)器；而在面對服務(wù)器時，它表現(xiàn)為一個客戶端。面對客戶端時，ASE的職責(zé)是處理所有的客戶端連接，它專注于處理由客戶端發(fā)起的連接請求并維護這些連接；面對服務(wù)器時，ASE創(chuàng)立了少量但長期的連接到服務(wù)器，并重復(fù)利用這些連接不斷傳遞新的對象數(shù)據(jù)。GET A;GET B;GET CGET A;GET B;GET DGET C;GET D;GET EGET B;GET A;GET DGET C;GET D;GET EGET A;GET B;GET CGET E;GET B;GET CGET F;GET E;GET GGET F;

28、GET A;GET CGET A;GET B;GET CGET C;GET D;GET EGET A;GET B;GET CGET D;GET E;GET FGET D;GET D;GETCGET B;GET B;GETFGET B;GET E;GET FGET G;GET A;GET B應(yīng)用加速服務(wù)器ASE使用各種算法來判斷何時需要建設(shè)一個新的連接到服務(wù)器，或已有的連接何時需要延續(xù)。使用ASE后，連接合并的優(yōu)勢就表達出來了：1) ASE處理了所有客戶端的連接，服務(wù)器不再需要創(chuàng)立和釋放連接；2) 連接合并后，服務(wù)器只需要處理少量的TCP會話；3) ASE屏蔽了各種方式的客戶端WAN接入，防止了

29、服務(wù)器受到延遲、沖突、丟包等客戶端因素的影響；4) ASE與服務(wù)器建設(shè)少量連接，傳輸大量對象，到達了最大資源利用。同時ASE與服務(wù)器在一個局域網(wǎng)中，大大降低了客戶端到服務(wù)器的延時，就好似將客戶端搬到服務(wù)器的局域網(wǎng)中一樣；ASE 連接和請求處理機制及其強大的處理能力能夠保護服務(wù)器免于超載，使得服務(wù)器可以充分發(fā)揮其潛力，而由ASE 處理頂峰負荷。SecPath ASE的單臂部署方案采用單臂模式，可以將ASE旁路部署在網(wǎng)絡(luò)內(nèi)部，不需要改變網(wǎng)絡(luò)原有部署。訪問Web服務(wù)器資源的用戶首先要被牽引到應(yīng)用加速設(shè)備ASE上，連接終結(jié)后，ASE再與后臺服務(wù)器進展服務(wù)請求。網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案SecP

30、ath ASE系列單臂應(yīng)用部署圖由于單臂模式無需改變網(wǎng)絡(luò)環(huán)境，因此在大大提高應(yīng)用運行速度的同時，也保證了應(yīng)用的可靠性。減少網(wǎng)絡(luò)維護工作量和日常運營成本。SecPath ASE的在線部署方案將ASE部署在服務(wù)器群前端，串行接入網(wǎng)絡(luò)，為用戶提供應(yīng)用加速和負載均衡功能，實現(xiàn)對網(wǎng)絡(luò)應(yīng)用的性能提升。SecPath ASE系列在線應(yīng)用部署圖在線部署ASE可以為用戶提供一個應(yīng)用加速通路，ASE對遠程用戶的連接進展終結(jié)，實現(xiàn)應(yīng)用加速與負載均衡。使用在線部署模式時，SecPath ASE實現(xiàn)對非HTTP協(xié)議的透明轉(zhuǎn)發(fā)，確保服務(wù)器上其他服務(wù)的正常應(yīng)用。同時訪問Web服務(wù)器資源的用戶訪問的是應(yīng)用加速設(shè)備，終端用戶并

31、沒有與Web服務(wù)器直接連接，防止了后端服務(wù)器遭受DDOS攻擊。網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案2.4應(yīng)用智能之負載均衡作為業(yè)務(wù)網(wǎng)絡(luò)的心臟，數(shù)據(jù)中心面臨著眾多的挑戰(zhàn)。擴展性、靈活性、高性能、可靠性和安全性，無一不是對數(shù)據(jù)中心的要求。尤其重要的一點是：在訪問請求急劇增長的時候，服務(wù)器仍要保證快速、穩(wěn)定的傳送應(yīng)用到客戶端。如果不在數(shù)據(jù)中心配置負載均衡，將會導(dǎo)致服務(wù)器負載不均，局部負載很重的機器仍然不斷的處理新來的業(yè)務(wù)請求，出現(xiàn)性能下降、響應(yīng)時間變慢，甚至出現(xiàn)宕機。而其它的服務(wù)器可能長期處于輕載或空閑狀態(tài)，導(dǎo)致數(shù)據(jù)中心整體性能不高、資源利用率不高、整體投資得不到保證。配置負載均衡后，將解決服務(wù)器任務(wù)

32、調(diào)度和資源占用不均衡的狀態(tài)，提高性能的同時提高業(yè)務(wù)系統(tǒng)的整體魯棒性。SecBlade LB(Load Balance)業(yè)務(wù)模塊是一款高性能負載均衡產(chǎn)品，該業(yè)務(wù)模塊創(chuàng)新性地實現(xiàn)了應(yīng)用優(yōu)化與網(wǎng)絡(luò)交換設(shè)備的完美融合。具有即插即用、擴展性強的特點，降低了用戶管理難度，減少了維護成本。通過對各種應(yīng)用進展識別和區(qū)分，并對服務(wù)器、防火墻進展安康檢測和性能檢測，采用網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案自適應(yīng)智能算法將各種應(yīng)用訪問請求均衡分發(fā)至不同設(shè)備上.極大地提高了應(yīng)用訪問速度,為企業(yè)和運營商網(wǎng)絡(luò)提供了一個高性能、經(jīng)濟高效的負載均衡解決方案。LB設(shè)備與會聚層交換機之間有兩條鏈路或鏈路聚合組，這兩條鏈路組分別為L

33、3鏈路和L2鏈路，服務(wù)器網(wǎng)關(guān)指向LB設(shè)備，對于需要負載均衡的流量，會聚層將VSIP的下一跳指向LB，而LB的缺省路由指向會聚層交換機。網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案3數(shù)據(jù)中心虛擬化隨著業(yè)務(wù)的持續(xù)開展、系統(tǒng)的更新升級、設(shè)備的不斷增多、能耗的大幅飚升，數(shù)據(jù)中心面臨著資源分配與業(yè)務(wù)開展無法完美匹配的難題：1、業(yè)務(wù)系統(tǒng)日益增多：需要更多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，運行的業(yè)務(wù)系統(tǒng)不斷的發(fā)生變化，資源和設(shè)備分配之間的矛盾日趨劇烈；2、設(shè)備多，部署繁雜：在數(shù)據(jù)大集中的趨勢下，數(shù)據(jù)中心機房內(nèi)的IT根基設(shè)施規(guī)模非常龐大，而且還將持續(xù)不斷的增加、部署難度大幅增加；3、投資持續(xù)增加：IT根基設(shè)施規(guī)模的成倍增加，在數(shù)據(jù)中

34、心投入的硬件成本、軟件成本、人力成本等水漲船高；4、運維成本和能耗高：設(shè)備增多，能耗和運維成本自然隨之增加，不符合綠色數(shù)據(jù)中心的開展趨勢，能耗已經(jīng)成為數(shù)據(jù)中心運維的沉重經(jīng)濟負擔(dān)；所以，為了降低TCO，需要對數(shù)據(jù)中心進展整合。這也帶來了一系列難題：1、安全性：多種業(yè)務(wù)集成在一套設(shè)備上，安全性需要保證；網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案2、資源合理分配：不同的業(yè)務(wù)對數(shù)據(jù)中心資源也有不同的需求，要保證各個業(yè)務(wù)合理的使用資源。虛擬化能夠解決這些難題，虛擬化用多個物理實體創(chuàng)立一個邏輯實體，或者用一個物理實體創(chuàng)立多個邏輯實體。實體可以是計算、存儲、網(wǎng)絡(luò)或應(yīng)用資源。虛擬化實質(zhì)：隔離。虛擬化技術(shù)將不同的業(yè)務(wù)隔

35、離開來，彼此不能互訪，從而保證業(yè)務(wù)的安全需求；將不同的業(yè)務(wù)的資源隔離開來，從而保證業(yè)務(wù)對于數(shù)據(jù)中心資源的需求。H3C的虛擬化解決方案可包括三局部：網(wǎng)絡(luò)虛擬化 計算虛擬化 存儲虛擬化 數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化和園區(qū)虛擬化結(jié)合，將數(shù)據(jù)中心的訪問與網(wǎng)絡(luò)接入的終端用戶認證、安全檢查和動態(tài)授權(quán)結(jié)合，確保了數(shù)據(jù)中心的安全與靈活訪問。數(shù)據(jù)中心的核心交換機兼做園區(qū)虛擬化VPN的PE，會聚交換機做相應(yīng)的MCE，結(jié)果把園區(qū)虛擬化終結(jié)在數(shù)據(jù)中心上。在數(shù)據(jù)中心的接入交換機上配置VLAN實現(xiàn)業(yè)務(wù)的邏輯隔離，并且讓每個VLAN和會聚交換機MCE的相應(yīng)路由表形成對應(yīng)關(guān)系。這樣數(shù)據(jù)中心的虛擬化通過數(shù)據(jù)中心的接入、會聚、核心設(shè)備貫穿到園區(qū)虛擬化中，形成網(wǎng)絡(luò)端到端的虛擬化。數(shù)據(jù)中心防火墻支持虛擬化功能，可以集成或者旁掛在數(shù)據(jù)中心會聚交換機上，配合網(wǎng)絡(luò)虛擬化完成數(shù)據(jù)中心資源的虛擬化。數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化特色：數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化和客戶端虛擬化EAD、園區(qū)網(wǎng)虛擬網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案