2023企業(yè)數(shù)據(jù)中心設(shè)計(jì)方案

企業(yè)數(shù)據(jù)中心設(shè)計(jì)方案數(shù)據(jù)中心安全設(shè)計(jì)模型參考數(shù)據(jù)中心安全設(shè)計(jì)模型參考網(wǎng)上服務(wù)合作伙伴移動(dòng)用戶 辦公類用戶網(wǎng)上服務(wù)合作伙伴低安全等級(jí)

Extranet

Internet

高風(fēng)險(xiǎn)等級(jí)1中安全等級(jí)

業(yè)務(wù)類前端

非業(yè)務(wù)/辦公類前端

中風(fēng)險(xiǎn)等級(jí)2中高安全等級(jí)

業(yè)務(wù)后端服務(wù)器 非業(yè)務(wù)類后

中風(fēng)險(xiǎn)等級(jí)3高安全等級(jí)

核心業(yè)務(wù)后臺(tái)服務(wù)器 后臺(tái)數(shù)據(jù)庫(kù)服務(wù)

低風(fēng)險(xiǎn)等級(jí)4圖 圖網(wǎng)管區(qū)網(wǎng)管區(qū)辦公接入模塊Internet安全控制Internet辦公務(wù)器區(qū)安全控制安全控制安全控制安全控制安全控制 安全控制帶內(nèi)管理安全控制帶外管理安全控制外聯(lián)區(qū)/網(wǎng)上業(yè)務(wù)企業(yè)邊界區(qū)Internet/Extranet交換核心測(cè)試網(wǎng)絡(luò)測(cè)試區(qū)業(yè)務(wù)服務(wù)模塊3業(yè)務(wù)服務(wù)器區(qū)業(yè)務(wù)服務(wù)模塊2業(yè)務(wù)服務(wù)器區(qū)業(yè)務(wù)服務(wù)模塊1業(yè)務(wù)服務(wù)器區(qū)內(nèi)網(wǎng)生產(chǎn)服數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)示意圖數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)示意圖管理控制區(qū)

業(yè)務(wù)模塊1 業(yè)務(wù)模塊2

業(yè)務(wù)模塊3

開(kāi)發(fā)測(cè)試模塊安全系統(tǒng)組接

模擬環(huán)境

管理服務(wù)器

交換核心 核心交換機(jī)的數(shù)量目標(biāo)架為四臺(tái)核心,初期考慮到規(guī)模和投入建議兩臺(tái)核心交換DMZ區(qū) DMZ區(qū)網(wǎng)絡(luò)管理/其它

服務(wù)區(qū)

服務(wù)區(qū)Internet

辦

外聯(lián)區(qū)Internet

外聯(lián)區(qū)Extranet管理 員工接入

業(yè)務(wù)Internet 外聯(lián)Extranet園區(qū)網(wǎng)絡(luò)模塊

企業(yè)邊界模塊數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)––交換核心概要設(shè)計(jì)–服務(wù)器區(qū)域概要設(shè)計(jì)–邊界區(qū)域設(shè)計(jì)–數(shù)據(jù)中心員工接入–開(kāi)發(fā)測(cè)試區(qū)設(shè)計(jì)–數(shù)據(jù)中心存儲(chǔ)–網(wǎng)絡(luò)運(yùn)維管理數(shù)據(jù)中心高可用性網(wǎng)絡(luò)架構(gòu)建設(shè)數(shù)據(jù)中心高可用性網(wǎng)絡(luò)架構(gòu)建設(shè)層次化網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)分層部署部署要點(diǎn)：根據(jù)應(yīng)用系統(tǒng)架構(gòu)，進(jìn)行網(wǎng)絡(luò)層次和區(qū)域劃分模塊化分層部署，增強(qiáng)系統(tǒng)彈性核心層與匯聚層通過(guò)萬(wàn)兆接口采用3層連接匯聚層與接入層通過(guò)萬(wàn)兆或千兆接口采用2L2設(shè)計(jì),也可以采用L3)多鏈路負(fù)載均衡設(shè)計(jì)，避免出現(xiàn)單點(diǎn)/多點(diǎn)故障明 明核心核心層說(shuō)明:數(shù)據(jù)中心核心層連接各個(gè)功能模塊是網(wǎng)絡(luò)的核心樞紐,連接各個(gè)模塊的核心樞紐，實(shí)現(xiàn)多個(gè)模塊之間的高速連接和數(shù)據(jù)的快速轉(zhuǎn)發(fā),是數(shù)據(jù)中心網(wǎng)絡(luò)最重要的部分;EnterpriseNetwork核心層核心交換區(qū)域特性要求：高性能快速轉(zhuǎn)發(fā);高密度10GE連接10GE 10GE高可靠性/可用性超載比盡可能小

可擴(kuò)展性高可擴(kuò)展性高3層互連但要考慮兼顧DCE技術(shù)的發(fā)展較高的穩(wěn)定性滿足數(shù)據(jù)中心數(shù)據(jù)和存儲(chǔ)業(yè)務(wù)的發(fā)展NetworkSwitchBusNetworkSwitchBUS明 明部署建議標(biāo)準(zhǔn)設(shè)計(jì)參考: EnterpriseNetwork兩臺(tái)高性能設(shè)備為核心交換機(jī),核心設(shè)備、設(shè)備部件、鏈路冗余設(shè)計(jì)核心層與分布層之間采用L3連接支持?jǐn)?shù)據(jù)中心高密度10GE能力,有支持下一代數(shù)據(jù)中心DCE,FCOE等技術(shù)的能力適合中等規(guī)模企業(yè)數(shù)據(jù)中心初期建議采用這種模式新一代核心層設(shè)計(jì)參考:四臺(tái)高性能設(shè)備為核心,可以部署為雙核心雙總線核心設(shè)備、設(shè)備部件、鏈路冗余設(shè)計(jì)支持?jǐn)?shù)據(jù)中心高密度10GE能力,有支持下一代數(shù)據(jù)中心DCE,FCOE等技術(shù)的能力核心層與分布層之間采用L3連接核心區(qū)內(nèi)部三角連接，和每個(gè)匯聚功能區(qū)交換機(jī)分別連(左右)雙核心適合大中規(guī)模企業(yè)數(shù)據(jù)中心,對(duì)可靠性要求較高的數(shù)據(jù)中心

本次架構(gòu)目標(biāo)架構(gòu)

10GESi10GE10GE

EnterpriseNetwork

10GE核心層匯聚層10GE10GE核心層雙核架構(gòu)將來(lái)的目標(biāo)架構(gòu)

Si Si 匯聚層根據(jù)需要可以初期采用通用設(shè)計(jì)根據(jù)需要可以初期采用通用設(shè)計(jì),將來(lái)擴(kuò)展時(shí)采用目標(biāo)架構(gòu)計(jì) 計(jì)本次架構(gòu)設(shè)計(jì)參考：結(jié)構(gòu)設(shè)計(jì)：2現(xiàn)設(shè)備選擇：選擇高可靠設(shè)備;引擎、風(fēng)扇1+1電源N+1冗余；支持引擎不間斷業(yè)務(wù)切換、支持不丟包傳輸和交換機(jī)Nexus7000,

交換核心10GE 10GE……Nexus7000支持DCE數(shù)據(jù)中心以太網(wǎng)技術(shù),FCOE技術(shù),支持高密端 功能區(qū)1萬(wàn)兆接口,99.999高可靠性設(shè)計(jì);擴(kuò)展考慮：具體配置端口數(shù)量可以業(yè)務(wù)需求部署相應(yīng)模塊端口運(yùn)維要求：具備自監(jiān)控能力、配置可自動(dòng)回退,基于不同人員

功能區(qū)1的角色權(quán)限管理；可方便的擴(kuò)展到目標(biāo)架構(gòu):心架構(gòu)擴(kuò)展到四臺(tái)為核心的架構(gòu),可靠性將大大增加;隨著數(shù)據(jù)中心技術(shù)發(fā)展：目前的Nexus已經(jīng)支持I/O整合、FCoEDCE、虛擬化技術(shù),平滑滿足數(shù)據(jù)中心的整合和發(fā)展;

Nexus7000系列–數(shù)據(jù)中心級(jí)核心交換機(jī)統(tǒng)一交換架構(gòu)技術(shù)’Unifiedfabric’lossless無(wú)丟包矩陣結(jié)構(gòu),面向DCEFCoE高密度萬(wàn)兆接口,40GbE/100GbE業(yè)務(wù)零中斷的設(shè)計(jì)99.999%可靠性不間斷的系統(tǒng)操作即使擴(kuò)展到四臺(tái)交換機(jī)核心,對(duì)各個(gè)匯聚功能區(qū)沒(méi)有影響 目前4.1T交換能力可達(dá)15Tb+交換能力數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)––交換核心設(shè)計(jì)–服務(wù)器區(qū)域設(shè)計(jì)–邊界區(qū)域設(shè)計(jì)–數(shù)據(jù)中心員工接入–開(kāi)發(fā)測(cè)試區(qū)設(shè)計(jì)–數(shù)據(jù)中心存儲(chǔ)–網(wǎng)絡(luò)運(yùn)維管理題 題業(yè)務(wù)服務(wù)器區(qū)是公司提供服務(wù)的業(yè)務(wù)服務(wù)器區(qū)。因此需要考慮較高的可用性和更全面的安全防護(hù)措施。按照層次化模塊化的設(shè)計(jì)理念，服務(wù)器區(qū)的網(wǎng)絡(luò)可分為匯聚層和接入層兩層，功能定位和設(shè)計(jì)思路各不相同。匯聚層：承上啟下，連接核心層和接入層，為區(qū)域內(nèi)的服務(wù)器提供網(wǎng)絡(luò)服務(wù)，主要的設(shè)計(jì)思路包括：采用服務(wù)模塊的方式，提供防火墻，負(fù)載均衡，及SSL卸載等網(wǎng)絡(luò)服務(wù)訪問(wèn)業(yè)務(wù)服務(wù)區(qū)需要通過(guò)防火墻控制,業(yè)務(wù)區(qū)之間訪問(wèn)需要通過(guò)防火墻策略控制,具體的策略控制更具各個(gè)業(yè)務(wù)區(qū)要求而定接入層：匯接服務(wù)器，上聯(lián)到匯聚層。為了解決可用性和擴(kuò)展性需求和可管理性需求，主要的設(shè)計(jì)思路包括：服務(wù)器的高性能接入,可采用TOR和EOR等組和設(shè)計(jì).盡可能消除二層環(huán)路，提高可用性高擴(kuò)展性的服務(wù)器群,采用模塊化交換機(jī)解決服務(wù)器物理布局?jǐn)U展性問(wèn)題采用網(wǎng)絡(luò)設(shè)備虛擬化和服務(wù)器虛擬化，提高可擴(kuò)展性

匯聚層接入層

10GE 10GEGE服務(wù)模塊服務(wù)器組1 服務(wù)器組2考慮將來(lái)存儲(chǔ)和IP網(wǎng)融合和統(tǒng)一I/O技術(shù) 服務(wù)器區(qū)計(jì)計(jì)服務(wù)器區(qū)滿足容量需求的主要方式是進(jìn)行超載比設(shè)計(jì)。超載比是指網(wǎng)絡(luò)設(shè)備downlink和uplink的帶寬比例接入層超載比計(jì)算考慮的因素服務(wù)器內(nèi)部總線類型服務(wù)器CPU數(shù)量，CPU核數(shù)量，網(wǎng)卡數(shù)量服務(wù)器接口是否雙活客戶端到服務(wù)器的訪問(wèn)服務(wù)器磁盤I/O匯聚層超載比計(jì)算考慮的因素客戶端到服務(wù)器的訪問(wèn)的的器板卡類型Uplink/downlink比例典型比例：4:1upto12:1端端連接的服務(wù)器類型推薦建議連接的服務(wù)器類型推薦建議Web服務(wù)器12:1App服務(wù)器6:1DB服務(wù)器4:1業(yè)務(wù)服務(wù)區(qū)網(wǎng)絡(luò)模塊設(shè)計(jì)業(yè)務(wù)服務(wù)區(qū)網(wǎng)絡(luò)模塊設(shè)計(jì)特性要求：高可靠性、高安全性、高擴(kuò)展性、實(shí)現(xiàn)業(yè)務(wù)的分類和業(yè)務(wù)的接入和流量控制。設(shè)備部署建議:匯聚層建議部署:部署思科catalyst6500VSS交換機(jī),部署內(nèi)置防火墻模塊和L4-L7應(yīng)用負(fù)載接入層部署：根據(jù)服務(wù)器的多少,可以部署Cat4500/Cat4900匯聚到核心層采用萬(wàn)兆連接,匯聚到接入層采用千兆連接,利用VSS做到負(fù)載均衡一 一接入設(shè)備

應(yīng)用服務(wù)器

其它應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器WEB服務(wù)器業(yè)務(wù)服務(wù)器其它應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器WEB服務(wù)器

接入層匯聚層

GE光纖/TX 10/100/1000或接入交換機(jī)10GE 10GE GE匯聚交換機(jī)GE

接入?yún)^(qū)交換機(jī) 根據(jù)端口和重要性而定,可選4500/4900或Nexus系列支持DCE/FCoE千兆或萬(wàn)兆與分布交換機(jī)連接可選交換機(jī):catalyst6500安全模塊FWSM模塊:控制對(duì)核心數(shù)據(jù)的訪問(wèn)可支持255邏輯安全區(qū)域防火墻模塊內(nèi)容交換模塊

萬(wàn)兆主干10GE

防火墻模塊

應(yīng)用控制引擎服務(wù)器負(fù)載均衡應(yīng)用快速部署高速萬(wàn)兆模塊連接核心核心層

核心交換機(jī)10GE 10GE業(yè)務(wù)服務(wù)器區(qū)網(wǎng)絡(luò)模塊設(shè)計(jì)-模式二業(yè)務(wù)服務(wù)器區(qū)網(wǎng)絡(luò)模塊設(shè)計(jì)-模式二考慮到數(shù)據(jù)網(wǎng)絡(luò)和存儲(chǔ)的整合核心層高性能萬(wàn)兆核心匯聚層1高性能萬(wàn)兆和千兆模塊2網(wǎng)絡(luò)應(yīng)用服務(wù)區(qū)接入層支持高密度GE支持TOR/EOR靈活部署支持?jǐn)?shù)據(jù)中心技術(shù)的融合

網(wǎng)絡(luò)系統(tǒng)NSB 10GE 10GE svcs110GE上聯(lián)vPC服務(wù)器群

L3,L2svcs2

核心數(shù)據(jù)區(qū)交換機(jī):Nexus7000萬(wàn)兆交換模塊:與分布交換機(jī)連接核心數(shù)據(jù)區(qū)交換機(jī)參考配置Nexus7000高密度萬(wàn)兆和千兆交換模塊安全模塊:參考配置Cat6500/FWSM模塊/部署ASA5580高性能防火墻應(yīng)用控制引擎高速萬(wàn)兆模塊連接核心和接入層接入?yún)^(qū)交換機(jī)在接入層部署參考配置N5K/7K或N5K/N2KSANNexus7000End-of-Row

Nexus5000/2000Rack

Storage存儲(chǔ)系統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)––交換核心設(shè)計(jì)–服務(wù)器區(qū)域設(shè)計(jì)–邊界區(qū)域設(shè)計(jì)–數(shù)據(jù)中心員工接入–開(kāi)發(fā)測(cè)試區(qū)設(shè)計(jì)–數(shù)據(jù)中心存儲(chǔ)–網(wǎng)絡(luò)運(yùn)維管理數(shù)據(jù)邊界網(wǎng)絡(luò)區(qū)設(shè)計(jì)說(shuō)明數(shù)據(jù)邊界網(wǎng)絡(luò)區(qū)設(shè)計(jì)說(shuō)明邊界網(wǎng)絡(luò)區(qū)設(shè)計(jì)說(shuō)明:Entranet連接(外聯(lián)業(yè)務(wù)和Internet業(yè)務(wù))的重要區(qū)域,外聯(lián)網(wǎng)絡(luò)區(qū)域主要包括:外聯(lián)業(yè)務(wù):實(shí)現(xiàn)同其第三方單位業(yè)務(wù)互通，通過(guò)Extranet訪問(wèn)其它單位和業(yè)務(wù)處理最終用戶、工程公司等外聯(lián)兼顧多種外聯(lián)方式由于外聯(lián)單位比較多,而且每個(gè)外聯(lián)單位的管理要求不完全相同.需要具有靈活性。Internet業(yè)務(wù):為出差，homeoffice提供業(yè)務(wù)及辦公服務(wù)；門戶網(wǎng)站等。.企業(yè)邊界網(wǎng)絡(luò)區(qū)設(shè)計(jì)特性要求：風(fēng)險(xiǎn)較大,安全性要求高高安全性,,可擴(kuò)展性可管理性、DNS站點(diǎn)技術(shù)考略到外聯(lián)系統(tǒng)的特殊性,能整合的盡量整合，提高資源利用率企業(yè)邊界區(qū)域的安全性，建議在該區(qū)域配置兩重防火墻，入侵防御系統(tǒng)如果可能還需要部署防DDOS攻擊系統(tǒng)和防病毒網(wǎng)關(guān)以及流量監(jiān)控管理明 明外聯(lián)區(qū)Extranet詳細(xì)設(shè)計(jì)示意圖核心交換區(qū)域外聯(lián)Entranet區(qū)域

業(yè)務(wù)Internet防火墻ASA5500

千兆上聯(lián)

10GE匯聚防火墻防火墻虛擬接口/

交換機(jī)

外聯(lián)服務(wù)器外聯(lián)服務(wù)器外聯(lián)服務(wù)器IPS/IDS

交換機(jī)

安全/防病毒合作管理設(shè)備外單位/合作管理設(shè)備自己管理設(shè)備自己管理外聯(lián)單位N外聯(lián)單位1 外聯(lián)單位外聯(lián)單位N數(shù)據(jù)中心邊界網(wǎng)絡(luò)區(qū)設(shè)計(jì)說(shuō)明數(shù)據(jù)中心邊界網(wǎng)絡(luò)區(qū)設(shè)計(jì)說(shuō)明外聯(lián)業(yè)務(wù)區(qū)設(shè)備部署建議:部署兩臺(tái)接入交換機(jī)cat3750:考略到外聯(lián)系統(tǒng)的特殊性,按照外聯(lián)單位對(duì)線路,路由設(shè)備和安全的要求,外聯(lián)單位的隔離需要安全保障,在保持外聯(lián)單位基本要求的情況下,將各個(gè)外聯(lián)系統(tǒng)接入到接入交換機(jī)cat3750,考慮到整合和安全要求,需要在交換機(jī)cat3750分配一個(gè)單獨(dú)的VLAN給每個(gè)外聯(lián)業(yè)務(wù)系統(tǒng);部署兩臺(tái)接入ASA5500防火墻,并配置虛擬端口功能:接入交換機(jī)與ASA5500防火墻配置IDS模塊通過(guò)虛擬端口連接,相當(dāng)于每個(gè)外聯(lián)系統(tǒng)連接到防火墻一樣,在ASA5500防火墻部署DMZ區(qū),將外聯(lián)服務(wù)器連接到DMZ區(qū),DMZ需要兩臺(tái)交換機(jī)cat3750邊界網(wǎng)絡(luò)區(qū)的匯聚交換機(jī)Cat3750/4500ASA5500防火墻連接到匯聚交換機(jī)Internet業(yè)務(wù)也需要連接到匯聚交換機(jī),匯聚交換機(jī)通過(guò)高速連接到數(shù)據(jù)

交換核心10GE DMZ區(qū)DMZDMZ區(qū)

10GE中心核心交換機(jī)

外聯(lián)區(qū)

Internet

外聯(lián)區(qū)

Extranet業(yè)務(wù)Internet 外聯(lián)單位對(duì)線路,路由設(shè)備和安全的設(shè)備的基本要求跟據(jù)需求部署:建議采用“云火墻”

外聯(lián)網(wǎng)絡(luò)模塊明 明Internet業(yè)務(wù):InternetInternet業(yè)務(wù):交換核心?為出差，homeoffice提供業(yè)務(wù)及辦公服務(wù)，用戶通過(guò)Internet來(lái)訪問(wèn)此區(qū)域,風(fēng)險(xiǎn)相對(duì)最大,對(duì)安全性保障要求高.10GE 10GEDMZ區(qū)DMZ區(qū)???業(yè)務(wù)Internet參考建議:采用多層安全層面建議采用“云火墻”外聯(lián)區(qū)外聯(lián)區(qū)InternetExtranet 業(yè)務(wù)Internet外聯(lián)Extranet外聯(lián)網(wǎng)絡(luò)模塊 數(shù)據(jù)中心邊界網(wǎng)絡(luò)區(qū)設(shè)計(jì)說(shuō)業(yè)務(wù)Internet參考架構(gòu)Internet運(yùn)營(yíng)商帶DDoS防御服務(wù)

明明差旅用戶外聯(lián)區(qū)

DNSGSSDNS負(fù)載均衡

中國(guó)SP17606

中國(guó)SP2XMEth7606

DNSGSSDNS負(fù)載均衡外網(wǎng)防火墻

L4-L7Switch

LDAP服務(wù)器DNS服務(wù)器Web服務(wù)器安全代理服務(wù)器Web服務(wù)器防火墻異構(gòu)設(shè)計(jì) IDSLANSwitch服務(wù)器區(qū)交換機(jī)防火墻異構(gòu)設(shè)計(jì)IDSLANSwitch服務(wù)器區(qū)交換機(jī)L4-L7Switch部署服務(wù)網(wǎng)上業(yè)務(wù)服務(wù)區(qū) 高性能三層路由和交換網(wǎng)上業(yè)務(wù)服務(wù)區(qū)高性能三層路由和交換集成防火墻功能 （含多個(gè)虛擬防火墻功能）內(nèi)網(wǎng)區(qū)

數(shù)據(jù)庫(kù)服務(wù)器安全審計(jì)服務(wù)器漏洞掃描數(shù)據(jù)庫(kù)服務(wù)器安全審計(jì)服務(wù)器漏洞掃描

IDS

集成了負(fù)載均衡功能后臺(tái)應(yīng)用系統(tǒng)后臺(tái)數(shù)據(jù)系統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)––交換核心設(shè)計(jì)–服務(wù)器區(qū)域設(shè)計(jì)–企業(yè)邊界區(qū)域設(shè)計(jì)–數(shù)據(jù)中心員工接入–開(kāi)發(fā)測(cè)試區(qū)設(shè)計(jì)–數(shù)據(jù)中心存儲(chǔ)–網(wǎng)絡(luò)運(yùn)維管理數(shù)據(jù)中心員工接入網(wǎng)絡(luò)模塊設(shè)計(jì)說(shuō)明數(shù)據(jù)中心員工接入網(wǎng)絡(luò)模塊設(shè)計(jì)說(shuō)明員工接入網(wǎng)絡(luò)設(shè)計(jì)說(shuō)明:滿足數(shù)據(jù)中心內(nèi)部員工的接入和管理需求,需要嚴(yán)格的安全控制和管理,:目前100+信息嗲點(diǎn)接入需求非本企業(yè)員工不允許通過(guò)此區(qū)域接入內(nèi)部系統(tǒng)設(shè)計(jì)特性要求：安全性管理較高,員工訪問(wèn)的識(shí)別和分類可管理性,高可靠性、可擴(kuò)展性、QoS設(shè)備部署建議:員工接入?yún)^(qū)按照標(biāo)準(zhǔn)局域網(wǎng)接入設(shè)計(jì),可以分為匯聚和接入層,在匯聚層需要考慮安全訪問(wèn)控制,接入層防范非法PC接入等;參考建議匯聚層部署Cat4500交換機(jī),配置兩臺(tái)ASA5500做安全控制,控制訪問(wèn)數(shù)據(jù)中心核心網(wǎng)絡(luò)的安全參考建議:接入層部署cat3750/3560交換機(jī),具體配置根據(jù)端口數(shù)量要求可以靈活選擇為了保障接入安全建議部署接入安全控制,如基于802.1x身份控制系統(tǒng)中心部署AAA服務(wù)器為了實(shí)現(xiàn)應(yīng)急通訊,我們建議部署基于IP的應(yīng)急電話通訊系統(tǒng)數(shù)據(jù)中心員工接入網(wǎng)絡(luò)模塊設(shè)計(jì)數(shù)據(jù)中心員工接入網(wǎng)絡(luò)模塊設(shè)計(jì)園區(qū)網(wǎng)絡(luò)核心萬(wàn)兆模塊和冗余設(shè)計(jì)分布層部署模塊化交換機(jī),匯聚接入層交換機(jī),根據(jù)情況會(huì)聚層也可以與接入層設(shè)備

交換核心10GE 匯聚交換機(jī)Cat4500

SiSiSiSi安全控制 Internet

基礎(chǔ)設(shè)施服務(wù)器:如:DHCP/DNS服務(wù)器,AAA服務(wù)器統(tǒng)一通訊服務(wù)器合用 Si SiASA5500局域網(wǎng)接入層

接入交換機(jī)Cat3750

員工Internet訪問(wèn)詳細(xì)見(jiàn)員工訪問(wèn)互聯(lián)網(wǎng)設(shè)計(jì)部分屬于特定的關(guān)鍵業(yè)務(wù)安全區(qū)，專機(jī)專用。關(guān)鍵業(yè)務(wù)用戶使用臺(tái)式PC、屬于特定的關(guān)鍵業(yè)務(wù)安全區(qū)，專機(jī)專用。關(guān)鍵業(yè)務(wù)用戶使用臺(tái)式PC、IP電話，話通訊系統(tǒng)和滿足內(nèi)部通訊要求。IP電話使用IP電話滿足應(yīng)急電的業(yè)務(wù)安全區(qū)，支持移動(dòng)性,802.1X用戶任證。普通用戶使用臺(tái)式PC、桌面電話，屬于特定數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)––廣域網(wǎng)區(qū)設(shè)計(jì)–邊界區(qū)域設(shè)計(jì)–數(shù)據(jù)中心員工接入–開(kāi)發(fā)測(cè)試區(qū)設(shè)計(jì)–數(shù)據(jù)中心存儲(chǔ)–網(wǎng)絡(luò)運(yùn)維管理務(wù)器區(qū)域設(shè)計(jì)––交換核心設(shè)計(jì)數(shù)據(jù)中心開(kāi)發(fā)測(cè)試網(wǎng)絡(luò)模塊設(shè)計(jì)說(shuō)明數(shù)據(jù)中心開(kāi)發(fā)測(cè)試網(wǎng)絡(luò)模塊設(shè)計(jì)說(shuō)明開(kāi)發(fā)測(cè)試網(wǎng)絡(luò)模塊設(shè)計(jì)說(shuō)明:滿足數(shù)據(jù)中心內(nèi)部員工的開(kāi)發(fā)測(cè)試的需求,同時(shí)還需要預(yù)留對(duì)合作伙伴的開(kāi)發(fā)測(cè)試訪問(wèn)端口,但需要嚴(yán)格的安全控制和管理,企業(yè)內(nèi)部員工開(kāi)發(fā)測(cè)試訪問(wèn)接入需求 非本企業(yè)員工(合作單位)有條件接入終端系統(tǒng),只能訪問(wèn)測(cè)試區(qū)域,外部人員不能訪問(wèn)人保內(nèi)部業(yè)務(wù)系統(tǒng),要有嚴(yán)格的監(jiān)督和安全控制以及管理流程網(wǎng)絡(luò)設(shè)計(jì)特性要求：安全性管理較高,員工訪問(wèn)的識(shí)別和分類可管理性,高可靠性、可擴(kuò)展性、QoS設(shè)備部署建議:滿足開(kāi)發(fā)測(cè)試的要求,在安全允許范圍內(nèi),外部人員有條件接入,不能訪問(wèn)人保內(nèi)部業(yè)務(wù)系統(tǒng),要有嚴(yán)格的監(jiān)督和安全控制以及管理流程為了滿足數(shù)據(jù)中心未來(lái)發(fā)展,對(duì)先進(jìn)技術(shù)的使用和測(cè)試部署參考建議:匯聚層部署Nexus5000/Cat4500交換機(jī),配置兩臺(tái)ASA5500做安全控制,控制訪問(wèn)數(shù)據(jù)中心核心網(wǎng)絡(luò)的安全部署參考建議接入層部署Nexus2000/cat3750交換機(jī),具體配置根據(jù)端口數(shù)量要求可以靈活選擇為了保障接入安全建議部署接入安全控制,嚴(yán)格端口控制和防火墻策略,也可以部署基于802.1x身份控制系統(tǒng)數(shù)據(jù)中心開(kāi)發(fā)測(cè)試網(wǎng)絡(luò)模塊設(shè)計(jì)數(shù)據(jù)中心開(kāi)發(fā)測(cè)試網(wǎng)絡(luò)模塊設(shè)計(jì)園區(qū)網(wǎng)絡(luò)核心萬(wàn)兆模塊和冗余設(shè)計(jì)

交換核心10GE 10GE分布層部署模塊化交換機(jī),匯聚接入層交換機(jī),根據(jù)情況會(huì)聚層也可以與接入層設(shè)備合用

匯聚交換機(jī)Cat4500/N5000 Si Si ASA5500

開(kāi)發(fā)測(cè)試服務(wù)器:局域網(wǎng)接入層

接入交換機(jī)Cat3750

FW或ACl隔離

交換機(jī)

服務(wù)器接入交換機(jī)外部人員,統(tǒng),要有嚴(yán)格的監(jiān)督和安全控制以及管理流程內(nèi)部開(kāi)發(fā)測(cè)試用戶使用筆記本內(nèi)部開(kāi)發(fā)測(cè)試用戶使用筆記本/PC、IP電話，屬于特定的測(cè)試業(yè)務(wù)安全區(qū)，專機(jī)專用。外部測(cè)試用戶使用筆記本/PC，屬于特定的接入安全區(qū)，只能訪問(wèn)測(cè)試區(qū)域,部業(yè)務(wù)系統(tǒng)。數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)––交換核心設(shè)計(jì)–服務(wù)器區(qū)域設(shè)計(jì)–廣域網(wǎng)區(qū)設(shè)計(jì)–企業(yè)邊界區(qū)域設(shè)計(jì)–數(shù)據(jù)中心員工接入–開(kāi)發(fā)測(cè)試區(qū)設(shè)計(jì)–數(shù)據(jù)中心存儲(chǔ)–網(wǎng)絡(luò)運(yùn)維管理數(shù)據(jù)中心存儲(chǔ)區(qū)域設(shè)計(jì)說(shuō)明數(shù)據(jù)中心存儲(chǔ)區(qū)域設(shè)計(jì)說(shuō)明數(shù)據(jù)中心存儲(chǔ)網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)統(tǒng)一規(guī)劃,實(shí)現(xiàn)存儲(chǔ)資源共享存儲(chǔ)網(wǎng)絡(luò)由集團(tuán)統(tǒng)一管理、建設(shè)和維護(hù)滿足業(yè)務(wù)的不斷擴(kuò)展的要求特性要求：資源共享、實(shí)現(xiàn)業(yè)務(wù)的連續(xù)性、統(tǒng)一管理、擴(kuò)展性設(shè)計(jì)內(nèi)容參考:存儲(chǔ)網(wǎng)絡(luò)設(shè)計(jì)通過(guò)存儲(chǔ)虛擬化技術(shù)實(shí)現(xiàn)資源整合存儲(chǔ)網(wǎng)絡(luò)的發(fā)展存儲(chǔ)網(wǎng)絡(luò)的發(fā)展利用存儲(chǔ)虛擬化實(shí)現(xiàn)存儲(chǔ)網(wǎng)絡(luò)的優(yōu)化基于應(yīng)用/部門的存儲(chǔ)”孤島ApplicationServers

#1VSAN

CiscoMDS9000FamilyDisk

通過(guò)SVAN技術(shù)實(shí)現(xiàn)SANIslandforDepartment#1

Arrays

通用的存儲(chǔ)空間的共享SANIslandforDepartment#2

Department#2VSAN

Department#3VSAN使用存儲(chǔ)虛擬化VSAN技術(shù)整合的存儲(chǔ)陣列SANIslandforDepartment#3獨(dú)立的物理陣列每個(gè)存儲(chǔ)孤島的預(yù)留擴(kuò)展端口無(wú)法利用數(shù)量眾多的交換設(shè)備需要管理

通用的冗余物理基礎(chǔ)架構(gòu)無(wú)須過(guò)多的預(yù)留擴(kuò)展端口–降低了投資成本$$更少的交換設(shè)備需要管理無(wú)中斷的分配預(yù)留的端口數(shù)據(jù)中心存儲(chǔ)架構(gòu)設(shè)計(jì)規(guī)劃數(shù)據(jù)中心存儲(chǔ)架構(gòu)設(shè)計(jì)規(guī)劃-遠(yuǎn)期規(guī)劃業(yè)務(wù)平臺(tái)業(yè)務(wù)平臺(tái)1業(yè)務(wù)平臺(tái)2業(yè)務(wù)平臺(tái)N應(yīng)用服務(wù)器群SDHTo異地災(zāi)備1616161616161616161616161616161616NAS/FCIP/iSCSI陣列A管理區(qū)最高級(jí)高級(jí)中級(jí)一般帶庫(kù)光盤庫(kù)集中存儲(chǔ)池DWDM跨中心連接同城數(shù)據(jù)中心IP存儲(chǔ)區(qū)B區(qū)A存儲(chǔ)HBAHBAHBAHBAHBAHBAHBAVSANVSAN擴(kuò)展擴(kuò)展VSAN2VSAN1陳列B應(yīng)用平臺(tái)區(qū)：采用雙陣列、每個(gè)陣列雙核心結(jié)構(gòu)，保障高可用性邊緣設(shè)備與核心設(shè)備可采用多條鏈路捆綁連接，實(shí)現(xiàn)低超載比集中存儲(chǔ)池按服務(wù)等級(jí)分類利用虛擬SAN實(shí)現(xiàn)網(wǎng)絡(luò)分區(qū)，提高可用性?IP存儲(chǔ)區(qū)：?jiǎn)为?dú)分區(qū),初期可以考慮與存儲(chǔ)陣列整合。?IP存儲(chǔ)區(qū)可部署壓縮加速設(shè)備，利用FCIP技術(shù)實(shí)現(xiàn)異地災(zāi)備。管理區(qū)：對(duì)存儲(chǔ)網(wǎng)絡(luò)及存儲(chǔ)資源進(jìn)行管理、調(diào)配DWDM連接同城數(shù)據(jù)中心或?yàn)?zāi)備中心初期可以部署陣列A,將來(lái)擴(kuò)展時(shí)再部署陣列B

圖例存儲(chǔ)設(shè)備低了設(shè)備的投資及管理的復(fù)雜度段?存儲(chǔ)交換機(jī) –低了設(shè)備的投資及管理的復(fù)雜度段?存儲(chǔ)交換機(jī)業(yè)務(wù)平臺(tái)1 業(yè)務(wù)平臺(tái)2業(yè)務(wù)平臺(tái)1 業(yè)務(wù)平臺(tái)2業(yè)務(wù)平臺(tái)3業(yè)務(wù)平臺(tái)N應(yīng)用服務(wù)器群HBA存儲(chǔ)區(qū)IP存儲(chǔ)區(qū)SDHTo異地災(zāi)備同城數(shù)據(jù)中心DWDMNAS/FCIP/iSCSIIP存儲(chǔ)區(qū)也可以在存儲(chǔ)矩陣的交換機(jī)中插FCIP模塊陣列存儲(chǔ)池最高級(jí)高級(jí)中級(jí)一般帶庫(kù)光盤庫(kù)??集中存儲(chǔ)池通過(guò)SAN架構(gòu),利用虛擬SAN技術(shù)進(jìn)行整合,實(shí)現(xiàn)存儲(chǔ)網(wǎng)絡(luò)分區(qū)，提高可用性把多個(gè)SAN孤島集中到一個(gè)單一的交換架構(gòu)中圖例HBAHBAHBAHBAHBA管理區(qū)統(tǒng)一的存儲(chǔ)管理可集中進(jìn)行災(zāi)難恢復(fù)計(jì)劃:通過(guò)FCip技術(shù)實(shí)現(xiàn)異地容災(zāi)的部署IP存儲(chǔ)區(qū)也可以在存儲(chǔ)矩陣的交換機(jī)中插FCIP模塊節(jié)約成本對(duì)于不考慮虛擬存儲(chǔ)技術(shù)的系統(tǒng),則需要考慮多臺(tái)物理交換機(jī)對(duì)于特殊要求存儲(chǔ)業(yè)務(wù)（如上市公司特殊要求）,可以獨(dú)立部署SAN網(wǎng)絡(luò)系統(tǒng)(注:具體設(shè)備部署需要根據(jù)存儲(chǔ)和服務(wù)器需要以及FC端口而定)以太網(wǎng)交換機(jī)壓縮加速設(shè)備存儲(chǔ)設(shè)備數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)–交換核心設(shè)計(jì)–服務(wù)器區(qū)域設(shè)計(jì)–廣域網(wǎng)區(qū)設(shè)計(jì)企業(yè)邊界區(qū)域設(shè)計(jì)數(shù)據(jù)中心員工接入–開(kāi)發(fā)測(cè)試區(qū)設(shè)計(jì)–數(shù)據(jù)中心容災(zāi)和存儲(chǔ)–網(wǎng)絡(luò)運(yùn)維管理考 考???????IT服務(wù)流程管理安全運(yùn)維管理系統(tǒng)管理/機(jī)房管理網(wǎng)絡(luò)和故障信息管理拓?fù)涔芾砗唾Y產(chǎn)管理流量管理故障和告警管理配置管理性能管理報(bào)表管理日志采集和管理操作界面和接口日常網(wǎng)絡(luò)維護(hù)的得力助手網(wǎng)元和事件為管理基礎(chǔ)，全面的采集手段高效處理、壓縮、整合事件事件關(guān)聯(lián)分析主動(dòng)預(yù)警、趨勢(shì)分析統(tǒng)一、可定制的呈現(xiàn)界面管