集團網(wǎng)絡(luò)平臺建設(shè)方案建議書

......專業(yè)資料可編輯..... 專業(yè)資料可編輯..... 專業(yè)資料可編輯..... 專業(yè)資料可編輯..... 專業(yè)資料可編輯..... 專業(yè)資料可編輯..... 8 專業(yè)資料可編輯..... 專業(yè)資料可編輯..... 專業(yè)資料可編輯..... 專業(yè)資料可編輯..... 專業(yè)資料可編輯.....1.1.網(wǎng)絡(luò)分區(qū)的設(shè)計1.1.1.數(shù)據(jù)中心網(wǎng)絡(luò)分區(qū).業(yè)務(wù)與分區(qū)概述行建設(shè)/主要是根當前流行的數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)/通常按照業(yè)務(wù)和安全等級劃分少量幾個分區(qū)/各個分區(qū)連接到業(yè)務(wù)核心。在分區(qū)內(nèi)部參考模塊化POD設(shè)計方法/布局設(shè)計參考TIA-942標準。TIA-942標準參考了以往的建設(shè)經(jīng)驗/對數(shù)據(jù)中心的環(huán)境建設(shè)提出了更加嚴格的要求/使數(shù)據(jù)中心更加的標準據(jù)中心的服務(wù)器進行分區(qū)。專業(yè)資料可編輯.....PODPointofDelivery方法。POD既可以是模塊化的、也可以是物D模塊化部署的優(yōu)點：易擴展，靈活的模塊化設(shè)計方式，根據(jù)業(yè)務(wù)需求擴展，縮短規(guī)劃部署周期。提高投資利用率，降低維護成本。提高能源利用率，冷熱通道分離，符合綠色與節(jié)能原則要求。安全性原則：按照安全等級不同，劃分為不同分區(qū)。例如，為互聯(lián)網(wǎng)用戶、合作伙伴服務(wù)的服務(wù)器單獨分區(qū)，信息敏感的服務(wù)器單獨分區(qū)。高可用布局原則：業(yè)務(wù)關(guān)聯(lián)度高的服務(wù)器部署在同一個區(qū)域；業(yè)務(wù)關(guān)聯(lián)度低的服務(wù)器拆分成多個區(qū)域；可用性要求高的業(yè)務(wù)拆分成兩個對等區(qū)域。容量適度原則：根據(jù)運維管理經(jīng)驗，控制單個區(qū)域內(nèi)的服務(wù)數(shù)量，例如，500臺以內(nèi)。未獨立運維管理原則：業(yè)務(wù)流量、安全控制、組網(wǎng)協(xié)議方面有特殊要求的服務(wù)器單獨分區(qū)。專業(yè)資料可編輯.....分區(qū)方式：分區(qū)設(shè)計優(yōu)先考慮綜合布線及基礎(chǔ)設(shè)施運維因素；根據(jù)服務(wù)器類型、業(yè)務(wù)應(yīng)用層通常將業(yè)務(wù)區(qū)按應(yīng)用層次、按應(yīng)用類型兩種模式細分。兩種模式各有優(yōu)缺，通常結(jié)合使用。部署說客戶端到服務(wù)器的訪問要經(jīng)過三個區(qū)域客戶端到服務(wù)器的訪問只要經(jīng)過一個區(qū)明同一層服務(wù)器之間的互訪不需要跨區(qū)域域同一層服務(wù)器之間的互訪需要跨區(qū)域優(yōu)點每個區(qū)域只服務(wù)于應(yīng)用邏輯中的一個層ppDB應(yīng)用層次之間物理分離風險分散，一個區(qū)域內(nèi)部故障或變更停機不會影響其他區(qū)域承載的業(yè)務(wù)區(qū)域容量增加時，可以通過橫向拆分擴專業(yè)資料可編輯.....缺點缺點風險集中，一個區(qū)域內(nèi)部故障或變更，會影響全部應(yīng)用擴展性較弱，服務(wù)器數(shù)量較多時，單個區(qū)域易達到容量上限業(yè)務(wù)可管理性弱，不易進行故障定位和應(yīng)急容可管理性強：便于故障定位和應(yīng)急低時延：同一應(yīng)用各層服務(wù)器之間的流量在同一個區(qū)內(nèi)應(yīng)用層次之間無物理分離.典型的邏輯分區(qū)典型數(shù)據(jù)中心的分區(qū)如上圖所示核心區(qū)：是數(shù)據(jù)中心網(wǎng)絡(luò)的核心，連接內(nèi)部各個服務(wù)器區(qū)域、企業(yè)的內(nèi)部網(wǎng)絡(luò)、合作單位的網(wǎng)服務(wù)器區(qū)：部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。出于安全和擴展性的考慮，可以根據(jù)應(yīng)用的類型分專業(yè)資料可編輯.....存儲區(qū)：包括FCSAN和IPSAN的存儲設(shè)備和網(wǎng)絡(luò)。互聯(lián)區(qū)：是把企業(yè)內(nèi)部用戶和外部用戶接入到數(shù)據(jù)中心的區(qū)域。出于安全和擴展性的考慮，根據(jù)互聯(lián)的用戶類型分為：內(nèi)部互聯(lián)網(wǎng)絡(luò)，合作單位互聯(lián)網(wǎng)絡(luò)，Internet互聯(lián)網(wǎng)絡(luò)。內(nèi)網(wǎng)區(qū)：通過園區(qū)網(wǎng)、廣域網(wǎng)和企業(yè)總部、分支機構(gòu)的網(wǎng)絡(luò)互聯(lián)。Extranet區(qū)：通過城域?qū)＞€、廣域?qū)＞€和合作單位的網(wǎng)絡(luò)互聯(lián)。Internet區(qū)：實現(xiàn)互聯(lián)網(wǎng)公眾用戶的接入、出差員工通過互聯(lián)網(wǎng)安全接入、沒有通廣域網(wǎng)的辦公點通過互聯(lián)網(wǎng)安全接入。數(shù)據(jù)中心互聯(lián)區(qū)：是實現(xiàn)災(zāi)備數(shù)據(jù)中心互聯(lián)的區(qū)域，主要是以傳輸設(shè)備實現(xiàn)與同城災(zāi)備中心的互聯(lián)，以廣域網(wǎng)專線實現(xiàn)與異地災(zāi)備中心的互聯(lián)。專業(yè)資料可編輯......典型的物理分區(qū)如上圖所示的模塊化數(shù)據(jù)中心的架構(gòu)，采用以核心節(jié)點為“根”的星型拓撲，分為5大區(qū)域(核核心區(qū)：流量的樞紐。一般采用大容量，高性能數(shù)據(jù)中心交換機作為數(shù)據(jù)中心園區(qū)網(wǎng)的核心交。存儲區(qū)：多種連接方式，可以通過FCoE、IP或者光纖。支持多種存儲方式的使用?；ヂ?lián)區(qū)：分為四個獨立的互聯(lián)區(qū)域，各區(qū)域獨立擴展。災(zāi)備互聯(lián)網(wǎng)絡(luò)，保證業(yè)務(wù)平滑向其他數(shù)據(jù)中心擴展。管理區(qū)：管理網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)、存儲等。專業(yè)資料可編輯.....1.1.2.核心區(qū)的設(shè)計.物理組網(wǎng)方式核心區(qū)承擔了內(nèi)部數(shù)據(jù)流量和對外數(shù)據(jù)流量，連接著各個分區(qū)和業(yè)務(wù)或者服務(wù)器區(qū)，是數(shù)據(jù)中三層方式：如下圖所示，這種方式有核心層、匯聚層、接入層三層設(shè)備，每個匯聚區(qū)各自部署防火墻等安全設(shè)備。扁平化方式：如下圖所示，這種方式撤消了匯聚層，只有核心層和接入層。這種方式降低了網(wǎng)絡(luò)復(fù)雜度，簡化了網(wǎng)絡(luò)拓撲，提高了轉(zhuǎn)發(fā)效率。在數(shù)據(jù)中心發(fā)展擴容時，可以根據(jù)需要再演變到核心、匯聚、接入三層結(jié)構(gòu)。專業(yè)資料可編輯.....組網(wǎng)結(jié)構(gòu)采用兩層扁平化胖樹架構(gòu)。核心互聯(lián)可以使用三層互聯(lián)、VSU和TRILL三種組網(wǎng)方案對于扁平化，又可以有以下的幾種組網(wǎng)方式：路由方式：該方案采用三層路由組網(wǎng)方案，核心和接入間組成高效、均衡的，無阻塞網(wǎng)絡(luò)。適用于hadoop等基于SaaS、PaaS云計算環(huán)境的應(yīng)用和協(xié)同計算業(yè)務(wù)，流量收斂比小 (1:1~2:1)。本方案的主要特點如下：任何兩臺服務(wù)器間的通信不超過3臺設(shè)備。使用IP路由的ECMP，支持五元組HASH技術(shù)實現(xiàn)逐流負載分擔，鏈路利用率高。網(wǎng)絡(luò)規(guī)?？蓮椥詳U展。VSU方式：VSU是N:1網(wǎng)絡(luò)虛擬化技術(shù)。VSU可將多臺網(wǎng)絡(luò)設(shè)備(成員設(shè)備)虛擬化為一臺專業(yè)資料可編輯.....網(wǎng)絡(luò)設(shè)備(虛擬設(shè)備)，并將這些設(shè)備作為單一設(shè)備管理和使用。VSU虛擬化技術(shù)不僅使多臺物理設(shè)備簡化成一臺邏輯設(shè)備，同時網(wǎng)絡(luò)各層之間的多條鏈路連接也將變成兩臺邏輯設(shè)備之間的直連，因此可以將多條物理鏈路進行跨設(shè)備的鏈路聚合，從而變了一條邏輯鏈路，增加帶寬的同時也避免了由多條物理鏈路引起的環(huán)路問題。如下圖所示，將接入與核心交換機兩兩虛擬化，層與層之間采用跨設(shè)備鏈路捆綁方式互聯(lián)，整網(wǎng)物理拓撲沒有變化，但邏輯拓撲上變成了樹狀結(jié)構(gòu)，以太幀沿拓撲樹轉(zhuǎn)發(fā)，不存在二層環(huán)路，且?guī)捓寐首罡摺Ｓ肰SU構(gòu)建二層網(wǎng)絡(luò)的好處包括：簡化組網(wǎng)拓撲結(jié)構(gòu)，簡化管理減少了設(shè)備數(shù)量，減少管理工作量多臺設(shè)備合并后可以有效的提高性能多臺設(shè)備之間可以實現(xiàn)無縫切換，有效提高網(wǎng)絡(luò)HA性能VSU現(xiàn)框式交換機堆疊的容量最大為四臺，也就是說使用VSU構(gòu)建上圖的核心+接入網(wǎng)絡(luò)時，核心交換機最多可達4臺。舉例來說，核心層部署16業(yè)務(wù)槽的框式交換機，假設(shè)專業(yè)資料可編輯.....聚交換機可以在二層無阻塞的前提下接入13824臺(576*48/2=13824)雙網(wǎng)卡的千兆服務(wù)器，可滿足國內(nèi)絕大部分客戶的二層組網(wǎng)需求。少部分客戶期望其服務(wù)器資源池可以有效擴充到2萬臺甚至更大。這樣，就需要其他技術(shù)提供更大的網(wǎng)絡(luò)容量。TRILL方式：該方案應(yīng)用TRILL技術(shù)，由核心層和匯聚/接入層組成無阻塞網(wǎng)絡(luò)，可以部署TRILL到TOR邊緣，實現(xiàn)整個數(shù)據(jù)中心內(nèi)業(yè)務(wù)的二層交換。使用TRILL和網(wǎng)關(guān)疊加技術(shù)，組網(wǎng)與傳統(tǒng)二層方案一致，方案應(yīng)用TRILLOAM方案，維護與IP網(wǎng)絡(luò)一樣簡便。本方案適用于需要構(gòu)建大范圍的二層網(wǎng)絡(luò)的場合，例如需要大范圍資源共享、虛擬機大范圍遷移的企業(yè)網(wǎng)絡(luò)。本方案的主要特點如下：構(gòu)建整網(wǎng)大二層網(wǎng)絡(luò)，支持多路徑負載分擔，提高網(wǎng)絡(luò)的利用率?？梢赃M行整網(wǎng)的資源共享和虛擬機遷移。通過核心TRILL和網(wǎng)關(guān)的疊加，節(jié)省額外網(wǎng)關(guān)設(shè)備，降低網(wǎng)絡(luò)建設(shè)成本。專業(yè)資料可編輯.....等計算類業(yè)務(wù)為主，數(shù)據(jù)中心內(nèi)部東西向流量大，收斂比小，并且業(yè)務(wù)類型相對單一，組網(wǎng)結(jié)構(gòu)建議采用兩層扁平化的“路由方式”、“VSU方式”或“TRILL方式”。.可靠性規(guī)劃網(wǎng)絡(luò)可靠性由設(shè)備冗余、鏈路冗余來保證。如果接入層進三層，在接入層和核心層之間采用三層路由，則通過等價路徑和BFD快速故障檢測，就能夠保證鏈路故障、設(shè)備故障的快速切換，同時也能夠充分利用冗余鏈路。如果核心層進三層，這樣就需要解決接入層和核心層之間二層流量的環(huán)路問題?，F(xiàn)在一般推薦核心采用兩臺框式交換機集群。接入層采用盒式交換機，盒式交換機每兩臺VSU。接入層交換機和核心交換機間的鏈路進行鏈路聚合。這個方案有如下優(yōu)勢：簡化管理和配置：首先，VSU技術(shù)將需要管理的設(shè)備節(jié)點減少一半以上。其次，組網(wǎng)變得簡RP專業(yè)資料可編輯.....快速的故障收斂：鏈路故障收斂時間可控制在<10ms，大大降低了網(wǎng)絡(luò)鏈路/設(shè)備故障對業(yè)務(wù)帶寬利用率高：采用鏈路聚合的方式，帶寬利用率可以達到100％。擴容方便：當進行網(wǎng)絡(luò)升級時，只需要增加新設(shè)備既可，不需要更改網(wǎng)絡(luò)配置，平滑擴容，很好的保護了投資。提高可靠性：以單鏈路故障率為1小時/1千小時為例，增加到兩條鏈路，就可以將故障率降1小時/1千小時)*(1小時/1千小時)，等可靠性的另一個重要方面是設(shè)備可靠性，核心區(qū)設(shè)備一般為框式設(shè)備，在可靠性方面的要求包括：主控單元的備份；支持電源模塊的備份；需要提供模塊化的風扇設(shè)計，支持單風扇失效；支持所有模塊的熱插拔；支持CPU防攻擊；需要提供完善的各種告警功能。.安全規(guī)劃核心區(qū)部署防火墻，主要解決幾個安全問題：專業(yè)資料可編輯.....服務(wù)器區(qū)不同分區(qū)間互訪的控制，不同業(yè)務(wù)間的安全隔離分支機構(gòu)、園區(qū)網(wǎng)和服務(wù)器區(qū)之間互訪的控制，客戶端和服務(wù)器實現(xiàn)防火墻隔離1.1.3.服務(wù)器區(qū)的設(shè)計.EOR/TOR規(guī)劃接入層交換機部署在服務(wù)器機架內(nèi)或者獨立的網(wǎng)絡(luò)機柜中，部署在服務(wù)器機架內(nèi)的一般稱為TOR(TopOfRack)，部署在列頭柜中的一般稱為EOR(EndOfRow)，一般提供二層交換功能。TOR的部署模式一般適合高密度的機架服務(wù)器的接入；EOR模式一般適合低密度的服務(wù)器，如小型機的接入。兩者的區(qū)別如下表所示：部部署方式TOREOR/MOR(MiddleOf服務(wù)器類型服務(wù)器數(shù)據(jù)-12臺適合場景高密度服務(wù)器機柜低密度服務(wù)器機柜和網(wǎng)絡(luò)機柜布線簡化服務(wù)器機柜與網(wǎng)絡(luò)機柜布線復(fù)雜接入設(shè)備多，管理維護復(fù)接入設(shè)備少，維護簡單專業(yè)資料可編輯.....雜，電纜維護簡單，擴展性電纜維護復(fù)雜好服務(wù)器的接入方式分為下面四種情況：中低端機架服務(wù)器，數(shù)量眾多，通過接入層交換機接入。高端服務(wù)器/大型機，數(shù)量較少且重要性高，直接接在核心/匯聚層交換機上，保證帶寬。沒有內(nèi)置交換機的刀片服務(wù)器，通過接入層交換機接入。內(nèi)置交換機的刀片服務(wù)器，直接接在核心/匯聚層交換機上，減少交換網(wǎng)絡(luò)的層級，提升網(wǎng)絡(luò)性能。.服務(wù)器多通道接入規(guī)劃服務(wù)器的CPU技術(shù)多核化的趨勢，從單核到目前的128核，使得CPU處理能力大大提高。但服務(wù)器的IO的性能發(fā)展比較緩慢，遠遠趕不上CPU的發(fā)展。這就造成了IO的瓶頸。所以，服務(wù)器必須采用多通道的方式，采用物理隔離的多個網(wǎng)絡(luò)接口，才能充分發(fā)揮CPU的高性能專業(yè)資料可編輯.....上圖為服務(wù)器多通道分離示意圖。服務(wù)器包括四類接口，分別接入到業(yè)務(wù)網(wǎng)絡(luò)、網(wǎng)管/KVM網(wǎng)提高IO能力。不同類型的業(yè)務(wù)流量安全隔離。整個服務(wù)器區(qū)的網(wǎng)絡(luò)架構(gòu)是四網(wǎng)分離的架構(gòu)，即網(wǎng)絡(luò)可分為：業(yè)務(wù)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)、存儲網(wǎng)和.服務(wù)器FCoE接入規(guī)劃服務(wù)器通常要接入多個網(wǎng)絡(luò)，包括業(yè)務(wù)，存儲，計算等。服務(wù)器區(qū)管理和布線非常復(fù)雜。隨著10GE等服務(wù)器I/O技術(shù)成熟，服務(wù)器I/O不再是瓶頸。因此多個接入網(wǎng)絡(luò)隔合是服務(wù)器設(shè)計趨勢，F(xiàn)CoE是實現(xiàn)存儲FC網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)隔合的一種技術(shù)。FCoE(FibreChannelOverEthernet)是將光纖通道(存儲業(yè)務(wù))承載在以太網(wǎng)的協(xié)議。專業(yè)資料可編輯.....FCoE要求使用10GE網(wǎng)絡(luò)承載，并要求網(wǎng)絡(luò)是不能丟包。B實現(xiàn)網(wǎng)絡(luò)無丟包，DCB包括以下幾個關(guān)鍵技術(shù)：PFC(Priority-basedFlowControl)：基于優(yōu)先級進行流量控制，保證一些優(yōu)先級高的業(yè)務(wù)優(yōu)先使用網(wǎng)絡(luò)帶寬，從而保證在融合鏈路中存儲業(yè)務(wù)的零丟包。ETS(EnhancedTransmissionSelection)：用于避免一種流量類型的大規(guī)模流量猝發(fā)影響其它流量類型，為不同的流量類型提供最小帶寬保證。一種流量類型只有在其它流量類型帶寬不占用的情況下，才能使用分配帶寬之外的額外帶寬。這使多種流量類型可在同一網(wǎng)絡(luò)中和諧共CN(CongestionNotification)：用于降低引起擁塞的端點站的報文發(fā)送速率，從根源上避免擁塞，以減少丟包，保持網(wǎng)絡(luò)的暢通，并解決因擁塞引發(fā)報文重傳或流量控制，導(dǎo)致報文時延增加的問題。DCBX(DataCenterBridgingCapabilityExchangeProtocol)：用于和服務(wù)器CNA網(wǎng)卡自動專業(yè)資料可編輯.....FCoE方案如上圖所示。服務(wù)器使用CNA網(wǎng)卡連接交換機(TOR)。FCoE接入業(yè)務(wù)和存儲網(wǎng)絡(luò)融合，可以減少服務(wù)器接口卡數(shù)量、電纜和接入網(wǎng)絡(luò)設(shè)備數(shù)量，減少數(shù)據(jù)中心投資成本；另外簡化服務(wù)區(qū)布線，降低服務(wù)器區(qū)管理和維護成本；降低服務(wù)區(qū)的功耗。.可靠性規(guī)劃網(wǎng)絡(luò)可靠性通過VSU或堆疊的無環(huán)網(wǎng)絡(luò)提供，具體見核心區(qū)可靠性規(guī)劃。設(shè)備可靠性采用交換機VSU或堆疊。服務(wù)器可靠性是通過服務(wù)器雙網(wǎng)卡來支持。服務(wù)器網(wǎng)絡(luò)驅(qū)動程序?qū)蓚€網(wǎng)卡捆綁成一個虛擬的網(wǎng)卡，對外提供一個唯一的IP地址。需要服務(wù)器支持網(wǎng)卡聚合特性(NICTeaming)：當一個網(wǎng)卡失效，另一個網(wǎng)卡接管它的MAC地址。兩個網(wǎng)卡采用主備或者負載分擔的方式。雙網(wǎng)卡主備方式：對于主備方式的雙網(wǎng)卡，兩個網(wǎng)卡的MAC相同(如下圖，都是備必須正確處理這個免費ARP報文，才能將發(fā)給服務(wù)器的流量切換到新的轉(zhuǎn)發(fā)路徑上。專業(yè)資料可編輯.....如下圖所示，主網(wǎng)卡故障后，轉(zhuǎn)發(fā)路徑需要從藍色曲線切換到紅色曲線。因此，接入層交換機在處理免費ARP報文時，需要將MAC1的出接口刷新到連接備網(wǎng)卡的鏈路上，因此要求接入層交換機配置時將對應(yīng)服務(wù)器主備網(wǎng)卡的兩個端口配置在同一個VLAN，不配置成鏈路捆綁(否則不會刷新MAC1的出接口)。核心/匯聚層交換機在處理免費ARP報文時，由于核心/匯聚層交換機和接入層交換機之間的是多條鏈路捆綁成的AP鏈路，因此，核心/匯聚層交換機不會感知到變化。雙網(wǎng)卡負載分擔方式：對于負載分擔方式的雙網(wǎng)卡，兩個網(wǎng)卡的MAC相同(如下圖，都是MAC2)，而且兩個網(wǎng)卡都可以發(fā)送和接收流量。接入層交換機必須配置成堆疊，并將對應(yīng)服務(wù)器主備網(wǎng)卡的兩個端口配置成鏈路捆綁。才能屏蔽MAC地址在兩個交換機端口間不斷“跳躍”的處理。如下圖所示，沒有故障時轉(zhuǎn)發(fā)路徑時藍色曲線，兩個網(wǎng)卡都有流量。左邊網(wǎng)卡故障后，轉(zhuǎn)發(fā)路專業(yè)資料可編輯.....徑需要從藍色曲線切換到紅色曲線。由于核心/匯聚層交換機和接入層交換機之間的是多條鏈路捆綁成的AP鏈路，因此，核心/匯聚層交換機感知不到接入層的變化，仍然會將流量發(fā)給左邊的接入層交換機。這個流量通過接入層交換機之間的VSU鏈路轉(zhuǎn)發(fā)給右邊的接入層交換機，由右邊的接入層交換機轉(zhuǎn)發(fā)給服務(wù).流量模型規(guī)劃客戶客戶/服務(wù)器模式：C/S模式模型一層或二層描述前端是客戶機，通常是PC或其他終端，后端是服務(wù)器，部署在數(shù)據(jù)中心，服務(wù)器通過本機存儲或獨立的存儲設(shè)備存取數(shù)據(jù)優(yōu)點客戶機本地化處理信息缺點較差有文件存儲、郵件系統(tǒng)、業(yè)務(wù)集群模式：協(xié)同計算業(yè)務(wù)扁平化胖樹架構(gòu)流量主要是服務(wù)之間的流量，調(diào)度服務(wù)器將計算業(yè)務(wù)分發(fā)給大量計算服務(wù)器處理，計算服務(wù)器將處理結(jié)果返回給調(diào)度服務(wù)器。絡(luò)可擴展性強。對網(wǎng)絡(luò)時延和帶寬要求高，易形成瞬間峰值流量Web索業(yè)務(wù)。 成)、業(yè)務(wù)處理(應(yīng)用服務(wù)器負責完成)和數(shù)據(jù)庫 (數(shù)據(jù)庫服務(wù)器和存儲系好，業(yè)務(wù)系統(tǒng)的發(fā)展變化可以在Web或應(yīng)用服務(wù)器在實現(xiàn)，客戶端改變少。時延較長。商務(wù)等。專業(yè)資料可編輯.....典型的業(yè)務(wù)模式主要有以上幾種，這此業(yè)務(wù)模式在數(shù)據(jù)中心內(nèi)部的流量包括南北流量和東西流南北流量是數(shù)據(jù)中心內(nèi)部服務(wù)器與外部通信的流量，也稱為C/S流量，主要是客戶端和服務(wù)器之間的數(shù)據(jù)請求和應(yīng)答，也有少部分匯聚到匯聚分區(qū)間的流量，如下圖中的藍色曲線。東西向流量是數(shù)據(jù)中心內(nèi)部服務(wù)器之間的流量，又稱為S/S流量，如下圖中的紫色曲線。業(yè)務(wù)流量模型決定了數(shù)據(jù)中心所采用的網(wǎng)絡(luò)部署模型。以Web業(yè)務(wù)為例，一般有兩種部署模型：分層部署模型和扁平部署模型。區(qū)，建議采用分層部署模型。對于中小型數(shù)據(jù)中心，服務(wù)器總數(shù)不多，則建議采用扁平部署模型。流量模型決定設(shè)備的選型，而不同的設(shè)備在流量性能要求是不一樣：交換機和路由器進行二、三層報文的轉(zhuǎn)發(fā)，不處理連接和會話。其主要流量指標包括吞吐量、時延、丟包率等。專業(yè)資料可編輯.....按照存在時間的長短/可以分為短連接和長連接兩種。短連接是指持續(xù)時間較短的連接/一般為幾秒鐘。如HTTP訪問。短連接對設(shè)備的新建連接處理能力有要求。大文件、在線視頻流。長連接對設(shè)備的并發(fā)連接處理能力有要求。.安全規(guī)劃規(guī)劃思路：服務(wù)器區(qū)所面臨的主要威脅是非法業(yè)務(wù)訪問和黑客攻擊/其安全規(guī)劃主要可以從三個方面來進行考慮。訪問控制：訪問控制主要包括兩類：限制對服務(wù)器的非法訪問、實現(xiàn)不同業(yè)務(wù)之間隔離。限制對服務(wù)器的非法訪問/主要是通過在服務(wù)器連接的接入交換機或者防火墻配置ACL來限制非法IP地址的訪問。實現(xiàn)不同業(yè)務(wù)之間的隔離/主要是使用ACL或VLAN隔離不同業(yè)務(wù)/同一業(yè)務(wù)的Web、APP和DB也建議用VLAN隔離開。傳輸安全：傳輸安全可以使用SSLVPN等加密技術(shù)以及ACL控制非法訪問。管理安全：管理安全主要是使管理端和被管理端之間使用安全系數(shù)較高的方式/例如v部署建議：結(jié)合上述規(guī)劃思路/對于服務(wù)器區(qū)的安全部署/建議如下。匯聚層設(shè)備配置業(yè)務(wù)隔離：在匯聚層設(shè)備上配置VLAN對分區(qū)內(nèi)不同業(yè)務(wù)進行隔離/例專業(yè)資料可編輯.....如Web業(yè)務(wù)、App業(yè)務(wù)等。同時為了防止不同業(yè)務(wù)之間的非法訪問，需要設(shè)置ACL條可選擇部署ipfix進行流量分析和管理：通常可以使用帶外管理方式，配置專門的ipfix板卡，及時檢測到服務(wù)器的流量，調(diào)整安全或者管理、路由等策略，更好的了解業(yè)務(wù)需求，使服務(wù)器更好的工作。匯聚層采用旁掛方式部署高性能防火墻。防火墻可以是框式設(shè)備或者盒式防火墻?？梢詫Ψ阑饓M行虛擬化，把一個防火墻劃分不同的虛擬防火墻，每個虛擬防火墻為不同業(yè)務(wù)防護。關(guān)鍵業(yè)務(wù)核心服務(wù)器上游部署IPS進行應(yīng)用層攻擊防御。防火墻和IPS設(shè)備采用雙機熱備。.服務(wù)器負載均衡設(shè)計業(yè)務(wù)的負載均衡主要通過服務(wù)器負載均衡SLB(ServerLoadBalance)技術(shù)實現(xiàn)。SLB對一組服務(wù)器提供負載均衡業(yè)務(wù)，這一組服務(wù)器一般來說都處于同一個數(shù)據(jù)中心內(nèi)，并同時對外提供一組或多種相同或相似的服務(wù)。按照負載均衡方式的不同，SLB可以分為NAT模式和三角傳輸模式。專業(yè)資料可編輯.....客戶端將到VSIP的請求發(fā)送給服務(wù)器群前端的負載均衡設(shè)備，負載均衡設(shè)備上的虛服務(wù)接收客戶端請求，依次根據(jù)持續(xù)性功能、調(diào)度算法，選擇真實服務(wù)器，再通過網(wǎng)絡(luò)地址轉(zhuǎn)換，用真實服務(wù)器地址重寫請求報文的目標地址后，將請求發(fā)送給選定的真實服務(wù)器；真實服務(wù)器的響應(yīng)報文通過負載均衡設(shè)備時，報文的源地址被還原為虛服務(wù)的VSIP，再返回給客戶，完成整個負載調(diào)度過程。NAT方式的服務(wù)器負載均衡的工作流程圖如下圖所示：客戶端將到VSIP的請求發(fā)送給服務(wù)器群前端的負載均衡設(shè)備，負載均衡設(shè)備上的虛服務(wù)接收客戶端請求，依次根據(jù)持續(xù)性功能、調(diào)度算法，選擇真實服務(wù)器，再通過網(wǎng)絡(luò)地址轉(zhuǎn)換，用真實服務(wù)器地址重寫請求報文的目標地址后，將請求發(fā)送給選定的真實服務(wù)器；真實服務(wù)器的響應(yīng)報文通過負載均衡設(shè)備時，報文的源地址被還原為虛服務(wù)的VSIP，再返回給客戶，完成整個專業(yè)資料可編輯.....負載調(diào)度過程。Host發(fā)送服務(wù)請求報文VSIPLBDevice接收到請求報文后/借助持續(xù)性功能或調(diào)度算法計算出應(yīng)該將請求分發(fā)給哪臺Server-ServerIPServer接收并處理請求報文/返回響應(yīng)報文源IP為VSIP、目的IP為三角傳輸模式：相對于NAT組網(wǎng)方式/DR組網(wǎng)方式中只有客戶端的請求報文通過LB/服務(wù)器的響應(yīng)報文不經(jīng)示：一個真實IP/用于和LB通信/LB設(shè)備和真實服務(wù)器在同一個鏈路域內(nèi)。發(fā)送給VSIP的報文/由LB分發(fā)給相應(yīng)的真實服務(wù)器/從真實服務(wù)器返回給客戶端的報文直接通過交換機返專業(yè)資料可編輯.....DR方式的服務(wù)器負載均衡的工作流程圖如下圖所示：Host發(fā)送服務(wù)請求報文LB求LBDevice接收到請求報文后，借助持續(xù)性功能或調(diào)度算法計算出應(yīng)該將請求分發(fā)給哪-eviceServer接收并處理請求報文，返回響應(yīng)報文GeneralDevice收到響應(yīng)報文后，直接將報-從以上一系列的說明可以看出——負載均衡設(shè)備沒有采用傳統(tǒng)的轉(zhuǎn)發(fā)方式(查找路由表)來分發(fā)請求報文，而是通過修改目的MAC直接路由給服務(wù)器，DR方式也因此而得名。只有單邊報文經(jīng)過負載均衡設(shè)備，負載均衡設(shè)備負擔小，不易成為瓶頸，轉(zhuǎn)發(fā)性能更強，特別適合視頻點播業(yè)務(wù)。但是在服務(wù)器上除了配置私網(wǎng)地址需跟LB地址在同一網(wǎng)段外，還需要配置環(huán)回接口和VSIP，配置較為繁瑣。專業(yè)資料可編輯.....負載均衡設(shè)備的部署方式一般有如下幾種(對可靠性要求較高的場景，還可以采用負載均衡雙機熱備，并且配置為雙活模式或者主備模式)：負載均衡設(shè)備部署在核心層交換機上，采用旁掛方式部署，所有分區(qū)服務(wù)器可以共用負載均衡這種組網(wǎng)方式下，一般采用NAT負載均衡部署方式，需要負載均衡業(yè)務(wù)的來回程流量均需LBLB中小數(shù)據(jù)中心或者整個數(shù)據(jù)中心需要在一個二層的網(wǎng)絡(luò)環(huán)境，LB適合部署在核心交換機上。負載均衡設(shè)備部署在匯聚層交換上，采用旁掛方式部署，每分區(qū)獨立部署LB，可以實現(xiàn)精細化部署。分區(qū)部署LB，對LB的性能要求降低，并且具有更高的可靠性。服務(wù)器網(wǎng)關(guān)可以部署在匯聚層交換機上或者部署在LB上。專業(yè)資料可編輯.....1.1.4.存儲區(qū)的設(shè)計.存儲區(qū)網(wǎng)絡(luò)架構(gòu)存儲網(wǎng)絡(luò)包括IP存儲網(wǎng)和SAN存儲網(wǎng)。IP存儲網(wǎng)絡(luò)用于承載服務(wù)器訪問的NAS存儲的業(yè)務(wù)流量。NAS主要承載2種業(yè)務(wù)類型：第一種為特定應(yīng)用服務(wù)器與NAS存儲之間的數(shù)據(jù)交互的流量，第二種為虛擬化業(yè)務(wù)產(chǎn)生的大量.存儲區(qū)域基本規(guī)劃小型機存儲區(qū)：單獨分區(qū)開放應(yīng)用平臺區(qū)采用雙陣列、每個陣列雙核心結(jié)構(gòu)，保障高可用性邊緣設(shè)備與核心設(shè)備可采用多條鏈路捆綁連接，實現(xiàn)低超載比集中存儲池按服務(wù)等級分類IPIP過IP/MPLS網(wǎng)絡(luò)備份同步。專業(yè)資料可編輯.....管理區(qū)：對存儲網(wǎng)絡(luò)及存儲資源進行管理、調(diào)配。同城災(zāi)備：通過DWDM連接同城數(shù)據(jù)中心。主備數(shù)據(jù)中心之間要實現(xiàn)數(shù)據(jù)的實時或者準實時交互，建議：對于IP存儲部分，如服務(wù)器之間的交互數(shù)據(jù)，可以通過目前運營商的MPLSVPN或者VPLS虛擬專線，實現(xiàn)主備兩個數(shù)據(jù)中心之間的互通；對于SAN存儲部分，則建議采用裸光纖甚至DWDM，提供主備數(shù)據(jù)中心之間高速、低時延數(shù)據(jù)的準實時備份需求。由于虛擬化的需求，極大的增加了服務(wù)器與存儲的數(shù)據(jù)交換需求，對于采用NAS方式的IP存儲網(wǎng)絡(luò)，至少要保證接入交換機采用10G的鏈路接入。.可靠性規(guī)劃IP存儲網(wǎng)絡(luò)的可靠性規(guī)劃和服務(wù)器區(qū)業(yè)務(wù)網(wǎng)絡(luò)的可靠性規(guī)劃相同?？煽啃缘脑O(shè)計依然采用基.安全規(guī)劃SAN存儲可使用專用技術(shù)實現(xiàn)隔離。IP存儲網(wǎng)絡(luò)和服務(wù)器區(qū)的安全較為相似，訪問控制可以通過使用VLAN、VPN等技術(shù)對于用戶及不同的IP存儲區(qū)域進行劃分，嚴格控制存儲的訪問權(quán)限?？鐢?shù)據(jù)中心存儲數(shù)據(jù)訪問采用加密式。專業(yè)資料可編輯.....1.1.5.互聯(lián)區(qū)的設(shè)計.物理組網(wǎng)根據(jù)接入類型及服務(wù)類型劃分多個不同的互聯(lián)接入?yún)^(qū)域互聯(lián)網(wǎng)Internet接入：企業(yè)外部用戶通過Internet訪問數(shù)據(jù)中心。外聯(lián)(Extranet)接入：合作單位用戶通過廣域或局域網(wǎng)訪問數(shù)據(jù)中心。內(nèi)部(Intranet)接入：企業(yè)內(nèi)部用戶通過廣域或局域網(wǎng)訪問數(shù)據(jù)中心。.互聯(lián)網(wǎng)接入分區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)最主要的目標是部署豐富的安全控制機制，防范網(wǎng)絡(luò)攻擊等，實現(xiàn)Internet高風險區(qū)域客戶的應(yīng)用訪問。部署LB，加快業(yè)務(wù)訪問，提升體驗。可靠性規(guī)劃設(shè)備、兩臺FW、兩臺DDoS、兩臺IPS/IDS、兩臺VPN網(wǎng)關(guān)設(shè)備。這些成對的設(shè)備可以配置成負載分擔的方式，也可以配置成主備的方式，當一臺設(shè)備出現(xiàn)問題的時候，另外一臺能單獨工作，對業(yè)務(wù)的影響降到很低的程度安全規(guī)劃專業(yè)資料可編輯.....對這些威脅，首先需要部署防范DDoS攻擊的設(shè)備；然后配置防火墻安全策略來防范和抵御詳細的方案部署建議如下：出口部署Anti-DDoS設(shè)備，清洗異常流量攻擊。Anti-DDoS設(shè)備可以采用旁掛或者串接的部署方式。Anti-DDoS設(shè)備旁掛時，可以在出口路由器上采用鏡像進行引流。Internet區(qū)建議部署二道防火墻。兩道防火墻采用串行接入，每道防火墻均采用雙機熱備部署。第一道防火墻是對外網(wǎng)進行第一層隔離，要求抗攻擊能力強。第二道防火墻是實現(xiàn)互聯(lián)網(wǎng)與數(shù)據(jù)內(nèi)部業(yè)務(wù)區(qū)隔離，要求性能更高，通常只允許DMZ區(qū)的地址通過防火墻，防止非法防問進入。FW1防火墻設(shè)置NAT功能。NAT功能可以把接入IP地址轉(zhuǎn)換為內(nèi)網(wǎng)地址，然后再訪問服務(wù)器或者數(shù)據(jù)中心其它的分區(qū)網(wǎng)絡(luò)，從而屏蔽數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。在FW1防火墻內(nèi)側(cè)部署IDS/IPS設(shè)備。對摻雜在應(yīng)用數(shù)據(jù)流中的惡意代碼、攻擊行為、攻擊等進行偵測，如果檢測到攻擊，通知防火墻進行攔截。部署VPN網(wǎng)關(guān)設(shè)備，實現(xiàn)移動用戶的安全接入。專業(yè)資料可編輯.....通常包括SSLVPN網(wǎng)關(guān)和IPSecVPN網(wǎng)關(guān)。IPSecVPN主要適用Site-to-Site方式接入，而SSLVPN主要適用于基于web應(yīng)用的Client-to-Site方式接入。可以部署獨立的IPsecVPN網(wǎng)關(guān)和SSLVPN網(wǎng)關(guān)，也可以使用防火墻統(tǒng)一接入。負載均衡規(guī)劃上圖的LLB提供鏈路負載均衡；LB提供服務(wù)器負載均衡；還要以在路由器上旁掛GSLB (GlobalServerLoadBalance)，提供全局負載均衡。GSLB使多活數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境下，用戶總能快速訪問“距離最近”的數(shù)據(jù)中心，有效解決網(wǎng)絡(luò)，服務(wù)就近提供，達到更好的訪問質(zhì)量。其基本原理大致如下：如下：LocalDNSGSLB請求；2)GSLB-A、GSLB-B、GSLB-C將訪問LocalDNS的延遲時間等相關(guān)信息返回給GSLB-A匯專業(yè)資料可編輯.....總，并判斷最優(yōu)的地址返回給localDNS。3)以站點的響應(yīng)時間作為引導(dǎo)用戶的依據(jù)，用戶的訪問請求被導(dǎo)向到性能好，響應(yīng)時間快的點。鏈路負載均衡也稱LLB(LinkLoadBalance)，它用于數(shù)據(jù)中心多ISP接入Internet時，實現(xiàn)鏈路出入流量的負載均衡。LLB實現(xiàn)的鏈路負載均衡技術(shù)是動態(tài)智能的負載均衡。除了實現(xiàn)基本的鏈路“共享”外，還能夠根據(jù)目的網(wǎng)絡(luò)的就近性判斷，將出入流量智能引導(dǎo)到最優(yōu)的鏈路上，從而解決因運營商互通慢導(dǎo)