數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)圖12是外聯(lián)區(qū)的物理部署。DMZ所有服務(wù)器的網(wǎng)關(guān)位于防火墻的DMZ口，服務(wù)器到數(shù)據(jù)中心內(nèi)部和到外聯(lián)單位的訪問，分別通過防火墻的安全策略進(jìn)行控制。區(qū)域核心交換機(jī)與防火墻Inside接口三層互聯(lián)，與數(shù)據(jù)中心核心交換機(jī)通過數(shù)據(jù)中心接入?yún)^(qū)的防火墻采用交叉的三層全互聯(lián)，運(yùn)行動(dòng)態(tài)路由協(xié)議。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第21頁。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第21頁。外聯(lián)區(qū)防火墻與區(qū)域匯聚交換機(jī)三層互聯(lián)，采用靜態(tài)路由。圖SEQ圖\*ARABIC12數(shù)據(jù)中心外聯(lián)區(qū)物理拓?fù)湓谶M(jìn)行外聯(lián)時(shí)，需要考慮進(jìn)行地址轉(zhuǎn)換，主要是基于安全需要和避免地址沖突的原因考慮，以下三種情況需要進(jìn)行地址轉(zhuǎn)換：數(shù)據(jù)中心從內(nèi)到外訪問：外聯(lián)單位主動(dòng)分配IP地址，在防火墻上轉(zhuǎn)成對(duì)方提供的IP。數(shù)據(jù)中心從內(nèi)到外訪問：外聯(lián)單位提供的IP地址與數(shù)據(jù)中心內(nèi)部地址沖突，在外聯(lián)路由器上轉(zhuǎn)成行內(nèi)規(guī)劃的外聯(lián)地址。外聯(lián)單位需要直接訪問數(shù)據(jù)中心業(yè)務(wù)區(qū)服務(wù)器，需要在外聯(lián)區(qū)防火墻，將外聯(lián)單位的源地址轉(zhuǎn)換成規(guī)劃好的內(nèi)部地址對(duì)于外聯(lián)單位需要同時(shí)接入到數(shù)據(jù)中心和災(zāi)備中心的情況下，需要將兩中心的外聯(lián)交換機(jī)進(jìn)行二層或三層互聯(lián)，并運(yùn)行動(dòng)態(tài)路由協(xié)議，提供外聯(lián)單位冗余線路的動(dòng)態(tài)切換。對(duì)于外聯(lián)單位需要同時(shí)接入到數(shù)據(jù)中心和災(zāi)備中心的情況下，需要將兩中心的外聯(lián)交換機(jī)進(jìn)行二層或三層互聯(lián)，并運(yùn)行動(dòng)態(tài)路由協(xié)議，提供外聯(lián)單位冗余線數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第22頁。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第22頁。將兩個(gè)中心的區(qū)域匯聚交換機(jī)與外聯(lián)路由器加入到OSPF進(jìn)程。將區(qū)域匯聚交換機(jī)到數(shù)據(jù)中心內(nèi)部的靜態(tài)路由重分布到OSPF。將外聯(lián)路由器到連接雙中心外聯(lián)單位的靜態(tài)路由重分布到OSPF。圖SEQ圖\*ARABIC13數(shù)據(jù)中心外聯(lián)區(qū)容災(zāi)設(shè)計(jì)辦公互聯(lián)網(wǎng)區(qū)架構(gòu)設(shè)計(jì)辦公互聯(lián)網(wǎng)區(qū)提供災(zāi)備中心所在園區(qū)的辦公用戶互聯(lián)網(wǎng)接入，以及為員工在通過互聯(lián)網(wǎng)到內(nèi)網(wǎng)的VPN接入。區(qū)域整體可分為三個(gè)層次：數(shù)據(jù)中心接入—DMZ—Internet接入，兩層之間分別通過防火墻進(jìn)行隔離。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第23頁。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第23頁。圖SEQ圖\*ARABIC14數(shù)據(jù)中心辦公互聯(lián)網(wǎng)區(qū)邏輯拓?fù)鋼?jù)中心接入：提供辦公互聯(lián)網(wǎng)區(qū)的DMZ與數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)交互和安全控制。DMZ：提供上網(wǎng)代理服務(wù)器，網(wǎng)頁過濾服務(wù)器，郵件前置服務(wù)器，郵件過濾服務(wù)器，VPN網(wǎng)關(guān)等辦公上網(wǎng)前置服務(wù)器的接入，及服務(wù)器分別到內(nèi)網(wǎng)和外網(wǎng)的連接和安全控制。Internet接入：提供園區(qū)和分支行辦公用戶，及辦公互聯(lián)網(wǎng)DMZ區(qū)服務(wù)器的Internet訪問和安全控制，并為員工提供VPN接入。外部的防火墻設(shè)備啟用UTM功能，提供防病毒、IPS、垃圾郵件過濾等功能。兩套防火墻均采用主備集群的路由模式，主備設(shè)備之間使用HA接口相互同步配置和會(huì)話狀態(tài)信息。DMZ所有服務(wù)器的網(wǎng)關(guān)位于區(qū)域匯聚交換機(jī)。兩臺(tái)區(qū)域匯聚交換機(jī)啟用虛擬化功能，雙機(jī)虛擬成單臺(tái)，與內(nèi)部防火墻三層互聯(lián)。區(qū)域核心交換機(jī)與數(shù)據(jù)中心核心交換機(jī)采用交叉的三層全互聯(lián)，運(yùn)行動(dòng)態(tài)路由協(xié)議。區(qū)域匯聚交換機(jī)與外部防火墻三層互聯(lián)，外部防火墻作為區(qū)域匯聚交換機(jī)默認(rèn)路由的下一條網(wǎng)關(guān)。在外部防火墻和鏈路負(fù)載均衡之間串聯(lián)上網(wǎng)優(yōu)化網(wǎng)關(guān)作為行為管理和審計(jì)設(shè)備，提供數(shù)據(jù)中心訪問Internet的數(shù)據(jù)安全，信息記錄及帶寬管理。上網(wǎng)行數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第24頁。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第24頁。圖SEQ圖\*ARABIC15數(shù)據(jù)中心辦公互聯(lián)網(wǎng)區(qū)物理拓?fù)溥\(yùn)維管理區(qū)架構(gòu)設(shè)計(jì)運(yùn)維管理區(qū)提供數(shù)據(jù)中心運(yùn)維管理類服務(wù)器，ECC終端接入，及服務(wù)器和網(wǎng)絡(luò)設(shè)備的帶外管理接入。其中帶外管理網(wǎng)同時(shí)作為服務(wù)器NAS和備份的網(wǎng)絡(luò)接入。架構(gòu)設(shè)計(jì)運(yùn)維管理區(qū)從邏輯架構(gòu)上可分為三層：區(qū)域核心—區(qū)域匯聚—區(qū)域核心。圖SEQ圖\*ARABIC16數(shù)據(jù)中心運(yùn)維區(qū)邏輯拓?fù)鋮^(qū)域核心：提供區(qū)域內(nèi)部與數(shù)據(jù)中心核心的高速數(shù)據(jù)交互。區(qū)域匯聚：作為運(yùn)維服務(wù)器和ECC終端的網(wǎng)關(guān)。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第25頁。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第25頁。區(qū)域接入又分為三個(gè)部分：運(yùn)維服務(wù)器：提供數(shù)據(jù)中心運(yùn)維管理服務(wù)器的接入。ECC：提供數(shù)據(jù)中心集中監(jiān)控和管理終端的接入。帶外網(wǎng)帶外管理：提供數(shù)據(jù)中心服務(wù)器和網(wǎng)絡(luò)設(shè)備的帶外管理，包括服務(wù)器帶外管理網(wǎng)卡接入，服務(wù)器ILO網(wǎng)卡接入，網(wǎng)絡(luò)設(shè)備的帶外管理端口，網(wǎng)絡(luò)設(shè)備的IPConsole接入等。NAS：提供數(shù)據(jù)中心服務(wù)器到NAS存儲(chǔ)的網(wǎng)絡(luò)接入。備份：提供數(shù)據(jù)中心服務(wù)器備份的網(wǎng)絡(luò)接入支持。帶外網(wǎng)與運(yùn)維管理服務(wù)器及ECC終端通過防火墻進(jìn)行訪問控制。在物理架構(gòu)設(shè)計(jì)中，帶外管理網(wǎng)，NAS網(wǎng)和備份網(wǎng)共享一套網(wǎng)絡(luò)設(shè)備。圖SEQ圖\*ARABIC17數(shù)據(jù)中心運(yùn)維區(qū)物理拓?fù)溥\(yùn)維管理服務(wù)器和ECC終端的網(wǎng)關(guān)位于區(qū)域匯聚交換機(jī)。帶外管理網(wǎng)，NAS網(wǎng)，備份網(wǎng)的網(wǎng)關(guān)位于帶外匯聚交換機(jī)，帶外匯聚交換機(jī)連接到區(qū)域核心交換機(jī)。運(yùn)維服務(wù)器，ECC終端與帶外網(wǎng)絡(luò)的數(shù)據(jù)交互通過防火墻進(jìn)行安全控制。防火墻采用主備的路由模式部署，Inside口與區(qū)域匯聚交換機(jī)三層互聯(lián)，Outside口與區(qū)域核心交換機(jī)三層互聯(lián)。區(qū)域核心交換機(jī)與數(shù)據(jù)中心核心進(jìn)行三層的交叉互聯(lián)，運(yùn)行動(dòng)態(tài)路由協(xié)議。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第26頁。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第26頁。對(duì)于運(yùn)維管理區(qū)的防火墻和區(qū)域核心，采用單獨(dú)接入在區(qū)域匯聚的Console服務(wù)器進(jìn)行帶外管理，避免因區(qū)域防火墻故障，ECC無法進(jìn)行帶外管理。由于帶外管理網(wǎng)絡(luò)，NAS網(wǎng)絡(luò)，備份網(wǎng)絡(luò)共享同一套網(wǎng)絡(luò)設(shè)備，所以需要進(jìn)行一定的安全控制，提供各網(wǎng)絡(luò)之間的邏輯隔離，以及同一網(wǎng)絡(luò)內(nèi)部，不同區(qū)域之間的安全隔離。在帶外網(wǎng)中，對(duì)各個(gè)邏輯網(wǎng)絡(luò)的VLAN劃分如下：每個(gè)服務(wù)器區(qū)的服務(wù)器帶外網(wǎng)，各自單獨(dú)一個(gè)VLAN。每個(gè)區(qū)域的HMC各自單獨(dú)使用一個(gè)VLAN。每個(gè)區(qū)域的ILO各自單獨(dú)使用一個(gè)VLAN。所有區(qū)域的IPConsole設(shè)備和KVM設(shè)備共享同一個(gè)VLAN。通過定義ACL進(jìn)行如下安全控制：各個(gè)邏輯網(wǎng)絡(luò)之間不允許通信。不同區(qū)域的帶外管理網(wǎng)之間進(jìn)行隔離。HMC網(wǎng)絡(luò)只允許與ECC終端進(jìn)行通信。ILO網(wǎng)絡(luò)只允許與集中管理服務(wù)器和ECC終端進(jìn)行通信。IPConsole只允許與集中管理服務(wù)器和ECC終端進(jìn)行通信。被管設(shè)備接入考慮到數(shù)據(jù)中心運(yùn)維方式的統(tǒng)一，建議從網(wǎng)絡(luò)上定義數(shù)據(jù)中心各服務(wù)器和網(wǎng)絡(luò)設(shè)備的帶內(nèi)和帶外接入方式的規(guī)范。服務(wù)器，包括PC服務(wù)器，刀片服務(wù)器，小型機(jī)等帶內(nèi)管理接入：所有服務(wù)器接入生產(chǎn)網(wǎng)絡(luò)的網(wǎng)卡和IP地址用作帶內(nèi)管理。帶外管理接入：PC服務(wù)器的帶外管理/NAS/備份網(wǎng)卡接入帶外網(wǎng)絡(luò)。刀片機(jī)箱上的管理模塊接入帶外網(wǎng)絡(luò)。小型機(jī)的HMC服務(wù)器網(wǎng)卡接入帶外網(wǎng)絡(luò)。PC服務(wù)器的ILO網(wǎng)卡接入帶外網(wǎng)絡(luò)。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第27頁。數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第27頁。帶內(nèi)管理接入：網(wǎng)絡(luò)設(shè)備的生產(chǎn)網(wǎng)絡(luò)IP地址用作帶內(nèi)管理。帶外網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備，只使用帶內(nèi)管理。業(yè)務(wù)區(qū)和托管區(qū)的區(qū)域防火墻和業(yè)務(wù)互聯(lián)網(wǎng)區(qū)，辦公互聯(lián)網(wǎng)區(qū)對(duì)外防火墻外層的網(wǎng)絡(luò)設(shè)備，無法進(jìn)行帶內(nèi)管理。帶外管理接入對(duì)于管理接口與業(yè)務(wù)接口的共享同一路由表的網(wǎng)絡(luò)設(shè)備，管理接口接入帶外網(wǎng)絡(luò)，分配帶外管理地址，并配置一條到ECC的明細(xì)靜態(tài)路由，下一條接口為管理接口。對(duì)于管理接口與業(yè)務(wù)接口路由表隔離的網(wǎng)絡(luò)設(shè)備（使用VRF等方式進(jìn)行邏輯隔離也屬于此類型），管理接口接入帶外網(wǎng)絡(luò)，配置帶外管理地址。無專用管理端口的網(wǎng)絡(luò)設(shè)備，不使用業(yè)務(wù)端口接入帶外網(wǎng)絡(luò)。運(yùn)維管理區(qū)的區(qū)域防火墻和核心交換機(jī)Console口單獨(dú)接入到一臺(tái)Console管理設(shè)備。此Console管理設(shè)備直接接入到運(yùn)維管理區(qū)的匯聚交換機(jī)。除運(yùn)維管理區(qū)外的所有網(wǎng)絡(luò)設(shè)備的Console口接入帶外網(wǎng)絡(luò)。其他設(shè)備，比如存儲(chǔ)設(shè)備，光纖交換機(jī)設(shè)備等提供非IP服務(wù)的設(shè)備。帶外管理接入：所有設(shè)備的管理口接入帶外網(wǎng)絡(luò)。托管區(qū)架構(gòu)設(shè)計(jì)托管區(qū)從邏輯架構(gòu)上可分為兩層：數(shù)據(jù)中心接入—區(qū)域核心。圖SEQ圖\*ARABIC18數(shù)據(jù)中心托管區(qū)邏輯拓?fù)鋽?shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)全文共28頁，當(dāng)前為第28頁。數(shù)據(jù)中心接入?yún)^(qū)：提供區(qū)域內(nèi)部與數(shù)據(jù)中心核心的高速數(shù)據(jù)交互。區(qū)域匯聚：作為托管服務(wù)器的網(wǎng)關(guān)，并提供不同托管單位服務(wù)器之間的邏輯隔離。同時(shí)提供各種類型服務(wù)器的集中接入。區(qū)域核心與區(qū)域匯聚之間串聯(lián)防火墻，提供區(qū)