版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
XX數(shù)據(jù)中心
網(wǎng)絡(luò)及平安方案建議書
HBC
ITolP艇決方案專家
杭州華三通信技術(shù)有限公司
2023年4月
修訂記錄:
版本修改內(nèi)容修改人審核人修改日期
VI.0初稿完成鄧世友2023-4-5
書目
一、建設(shè)背景...................................................-3-
1.1.數(shù)據(jù)中心背景介紹..............................................-3-
1.2.XX集團數(shù)據(jù)中心建設(shè)............................................-3-
二、需求分析...................................................-5-
2.1.應(yīng)用系統(tǒng)分析...................................................-5-
2.2.流量模型分析...................................................-8-
2.3.帶寬分析.......................................................-9-
三、方案規(guī)劃與設(shè)計............................................-11-
3.1.數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標..........................................-11-
3.2.總體設(shè)計思路及原則............................................-12-
3.3.業(yè)務(wù)分區(qū)......................................................-14-
3.4.網(wǎng)絡(luò)設(shè)計......................................................-16-
3.4.1.核心交換區(qū)........................................................-17-
3.4.2.服務(wù)器接入?yún)^(qū)......................................................-19-
3.4.3.互聯(lián)網(wǎng)區(qū)..........................................................-20-
3.4.4.外聯(lián)網(wǎng)區(qū)..........................................................-21-
3.4.5.廣域網(wǎng)接入?yún)^(qū)......................................................-22-
3.4.6.災(zāi)備接入?yún)^(qū)........................................................-22-
35平安設(shè)計......................................................-24-
3.5.1.平安設(shè)計原則......................................................-24-
3.5.2.SecBladeFW插卡部署...............................................-25-
3.5.3.SecBladeFW+IPS+LB組合部署........................................-27-
3.6.QoS設(shè)計......................................................-31-
3.6.1.QoS設(shè)計原則.......................................................-31-
3.6.2.QoS服務(wù)模型選擇..................................................-31-
3.6.3.QoS規(guī)劃..................................................-32-
3.6.4.QoS部署........................................................-34-
3.7.數(shù)據(jù)中心互聯(lián).......................................................-36-
3.8.新技術(shù)應(yīng)用.........................................................-38-
3.8.1.FCoE.......................................................................................................................-38-
3.8.2.虛擬機(VM)部署與遷移............................................-40-
3.9.數(shù)據(jù)中心管理.......................................................-42-
3.9.1.數(shù)據(jù)中心管理設(shè)計原則............................................-42-
3.9.2.網(wǎng)絡(luò)管理........................................................-42-
3.9.3.網(wǎng)絡(luò)監(jiān)控........................................................-45-
四、方案實施..................................................-47-
4.1.網(wǎng)絡(luò)布線建議.......................................................-47-
4.1.1.走線方式的選擇..................................................-47-
4.1.2.網(wǎng)絡(luò)配線方式....................................................-49-
4.1.3.服務(wù)器接入方式..................................................-50-
4.1.4.機房布線建議....................................................-53-
4.2.VLAN規(guī)劃.........................................................-53-
4.3.IP地址規(guī)劃.........................................................-54-
4.4.路由規(guī)劃...........................................................-55-
4.5.業(yè)務(wù)遷移...........................................................-57-
五、設(shè)備介紹.................................................-58-
5.1.設(shè)備清單...........................................................-58-
5.2.H3C特色技術(shù)介紹..................................................-62-
5.2.1.IRF虛擬化......................................................-62-
5.2.2.網(wǎng)絡(luò)平安融合...................................................-64-
5.3.產(chǎn)品介紹...........................................................-66-
建設(shè)背景
1.1.數(shù)據(jù)中心背景介紹
數(shù)據(jù)中心(英文拼法DataCenter,簡寫DC)是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境,
它是各種IT應(yīng)用服務(wù)的供應(yīng)中心,是數(shù)據(jù)計算、網(wǎng)絡(luò)、存儲的中心。數(shù)據(jù)中心實現(xiàn)了平安
策略的統(tǒng)一部署,IT基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用和數(shù)據(jù)的統(tǒng)一運維管理。
數(shù)據(jù)中心是當(dāng)前各行業(yè)的IT建設(shè)重點。運營商、電力、能源、金融證券、大型企業(yè)、
政府、交通、教化、制造業(yè)、網(wǎng)站和電子商務(wù)公司等正在進行或已完成數(shù)據(jù)中心建設(shè),通過
數(shù)據(jù)中心的建設(shè),實現(xiàn)對IT信息系統(tǒng)的整合和集中管理,提升內(nèi)部的運營和管理效率以及
對外的服務(wù)水平,同時降低IT建設(shè)的TCO。數(shù)據(jù)中心的發(fā)展可分為四個層面:
?數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)整合:依據(jù)業(yè)務(wù)需求,基于開放標準的IP協(xié)議,完成對企業(yè)現(xiàn)有異
構(gòu)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)資源和IT資源的整合,解決如何建設(shè)數(shù)據(jù)中心的問題。
?數(shù)據(jù)中心應(yīng)用智能:基于TCP/IP的開放架構(gòu),保證各種新業(yè)務(wù)和應(yīng)用在數(shù)據(jù)中心的基
礎(chǔ)體系架構(gòu)上平滑部署和升級,滿足用戶的多變需求,保證數(shù)據(jù)中心的持續(xù)服務(wù)和業(yè)務(wù)
連續(xù)性。各種應(yīng)用的平安、優(yōu)化與集成可以無縫的部署在數(shù)據(jù)中心之上。
?數(shù)據(jù)中心虛擬化:傳統(tǒng)的應(yīng)用孤島式的數(shù)據(jù)中心模型擴展性差,核心資源的安排與業(yè)務(wù)
應(yīng)用發(fā)展出現(xiàn)不匹配,使得資源利用不勻稱,導(dǎo)致運行成本提高、現(xiàn)有投資無法達到最
優(yōu)化的利用、新業(yè)務(wù)部署難度增大、現(xiàn)有業(yè)務(wù)持續(xù)性得不到保證、平安面臨威逼。虛擬
化通過構(gòu)建共享的資源池,實現(xiàn)對網(wǎng)絡(luò)資源、計算計算和存儲資源的幾種管理、規(guī)劃和
限制,簡化管理維護、提高設(shè)備資源利用率、優(yōu)化業(yè)務(wù)流程部署、降低維護成本。
?數(shù)據(jù)中心資源智能:通過智能化管理平臺實現(xiàn)對資源的智能化管理,資源智能安排調(diào)度,
構(gòu)建高度智能、自動化數(shù)據(jù)中心。
1.2.XX集團數(shù)據(jù)中心建設(shè)
xx集團的商業(yè)用戶分布在全國各大城市,目前業(yè)務(wù)系統(tǒng)的部署主要集中在和大連,近
年來隨著XX集團業(yè)務(wù)的規(guī)模及多樣化發(fā)展,企業(yè)對信息化的依靠程度越來越高,數(shù)據(jù)集中、
業(yè)務(wù)7*24小時高牢靠支撐對數(shù)據(jù)中心的要求越來越高。經(jīng)綜合考慮,擬在新建數(shù)據(jù)中心,
將來數(shù)據(jù)中心將成為XX集團的主中心,承載全部生產(chǎn)業(yè)務(wù)系統(tǒng)。數(shù)據(jù)中心是集團廣域網(wǎng)匯
聚中心,機房內(nèi)原則上將不放置服務(wù)器。大連數(shù)據(jù)中心是災(zāi)備中心,主要功能是數(shù)據(jù)異地備
份。
此方案主要涉及數(shù)據(jù)中心的網(wǎng)絡(luò)及平安的設(shè)計與部署,并實現(xiàn)與、大連的互連!
需求分析
2.1.應(yīng)用系統(tǒng)分析
xx集團目前的應(yīng)用系統(tǒng)主要包括生產(chǎn)應(yīng)用、辦公應(yīng)用和基礎(chǔ)支撐三大類,這三大類的服
務(wù)器的數(shù)量占比如下圖所示:
在三大類應(yīng)用系統(tǒng)中,每一類又可以細分為多個子類,不同的子類應(yīng)用在流量特征、規(guī)
模和用戶訪問類型上存在較大的差別,這些將會影響到網(wǎng)絡(luò)及平安的方案設(shè)計,下面將進行
進一步的分析:
1.生產(chǎn)應(yīng)用類
?ERP
?百貨
?KTV
?院線
?酒店
?商管
?地產(chǎn)
?網(wǎng)站
流量特征分析:不同類的應(yīng)用,其業(yè)務(wù)負載繁忙特征也有顯著區(qū)分,其中百貨、KTV、
網(wǎng)站應(yīng)用周末繁忙;院線應(yīng)用周二、周六和周日繁忙。繁忙時段網(wǎng)絡(luò)流量明顯上升,而且受
外界因素(如新片上映、節(jié)假日促銷等)影響,存在不確定的突發(fā)流量。
規(guī)模分析:從服務(wù)器的數(shù)量上統(tǒng)計,上述各類應(yīng)用的服務(wù)器數(shù)量占比如下圖所示:
總體來看,院線類服務(wù)器的數(shù)量最多,其次為網(wǎng)站、百貨和KTV。
用戶訪問分析:上述應(yīng)用的訪問用戶相對多樣化,包括集團內(nèi)部員工(如ERP)、集團
外部用戶(如百貨、KTV)和互聯(lián)網(wǎng)公眾用戶(網(wǎng)站、院線)。
2.辦公應(yīng)用類
?0A
?視頻會議
?圖檔
?文件
?其它
流量特征分析:辦公應(yīng)用類服務(wù)器業(yè)務(wù)負載繁忙特征比較單一,繁忙時段集中在工作日
的8小時內(nèi),流量相對較穩(wěn)定。視頻會議對網(wǎng)絡(luò)的質(zhì)量要求最高,服務(wù)質(zhì)量(QoS)要充分
考慮。
規(guī)模分析:從服務(wù)器的數(shù)量上統(tǒng)計,辦公各類應(yīng)用的服務(wù)器數(shù)量占比如下圖所示:
總體來看,0A服務(wù)器的數(shù)量最多,其次為視頻會議。
用戶訪問分析:辦公應(yīng)用的訪問用戶單一,均為集團內(nèi)部用戶。
3.基礎(chǔ)支撐類
?域和身份認證
?DNS
?防病毒
?網(wǎng)管
?桌面管理
流量特征分析:基礎(chǔ)支撐類服務(wù)器業(yè)務(wù)負載繁忙特征比較單一,繁忙時段集中在工作日
的8小時內(nèi)。部分服務(wù)器(如防病毒)的流量特征取決于網(wǎng)絡(luò)管理員的策略。
規(guī)模分析:基礎(chǔ)支撐類物理服務(wù)器數(shù)量不會許多,將來可能會部署許多的虛擬服務(wù)器,
因此此類服務(wù)器對網(wǎng)絡(luò)的擴展要求要對相低,在此不再做進一步的規(guī)模分析。
用戶訪問分析:辦公應(yīng)用的訪問用戶單一,均為集團內(nèi)部用戶。
分析總結(jié):
1.生產(chǎn)應(yīng)用類服務(wù)器的數(shù)量最多,而且此類服務(wù)器將來隨XX業(yè)務(wù)的發(fā)展,規(guī)模會越
來越多,因此生產(chǎn)應(yīng)用類服務(wù)器的接入要充分考慮可擴展性;
2.生產(chǎn)應(yīng)用類服務(wù)器的用戶訪問類型最困難,因此要充分考慮平安訪問策略的設(shè)計;
3.生產(chǎn)應(yīng)用類服務(wù)器的流量特征最困難,流量最大,而且突發(fā)性最強,因此要充分考
慮網(wǎng)絡(luò)的緩沖實力;
4.辦公應(yīng)用類業(yè)務(wù)中,視頻會議對網(wǎng)絡(luò)的傳輸質(zhì)量最為敏感,方案設(shè)計要賜予充分的
QoS和帶寬保證。
5.三大類應(yīng)用系統(tǒng)中,全部業(yè)務(wù)均為7*24小時運行,因此在網(wǎng)絡(luò)的設(shè)計中要保證高
牢靠,設(shè)備和鏈路均采納冗余設(shè)計,對于生產(chǎn)類關(guān)鍵業(yè)務(wù),要保證設(shè)備和鏈路故障
復(fù)原時間在毫秒(ms)級,避開設(shè)備和鏈路故障導(dǎo)致業(yè)務(wù)服務(wù)中斷。
2.2.流量模型分析
xx集團數(shù)據(jù)中心建設(shè)完成后,集團的數(shù)據(jù)訪問流量模型如下圖所示:
大連備份中心廊坊主中心
合作單位用戶公眾用戶
集團內(nèi)部用戶
1.將來三中心的定位:
?中心:XX集團廣域網(wǎng)絡(luò)匯聚中心,各地XX集團均與中心互連。但中心原則上不
部署業(yè)務(wù)系統(tǒng)服務(wù)器,僅做網(wǎng)絡(luò)匯聚;
?空心_數(shù)據(jù)中心將做為XX集團的主數(shù)據(jù)中心,全部業(yè)務(wù)系統(tǒng)均部署在此數(shù)據(jù)中心
內(nèi),承載XX集團全部生產(chǎn)系統(tǒng);
?大連中心:做為數(shù)據(jù)中心內(nèi)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)備份中心,對關(guān)鍵生產(chǎn)系統(tǒng)的數(shù)據(jù)進行
災(zāi)備,原則上不部署業(yè)務(wù)系統(tǒng)服務(wù)器。當(dāng)主中心內(nèi)的數(shù)據(jù)遭到損壞后,可干脆運用
大連中心的備份數(shù)據(jù)。
2.對于集團內(nèi)部用戶(含集團各城市分支機構(gòu))通過集團廣域網(wǎng)絡(luò),在中心進行網(wǎng)絡(luò)匯聚
后,再到數(shù)據(jù)中心訪問業(yè)務(wù)系統(tǒng)。如上圖中紅色虛線數(shù)據(jù)流所示;
3.合作單位用戶通過專線干脆與數(shù)據(jù)中心連接,實現(xiàn)對業(yè)務(wù)系統(tǒng)的干脆訪問,無需經(jīng)過中
心。如上圖中綠色虛線數(shù)據(jù)流所示;
4.公眾用戶干脆通過Internet訪問數(shù)據(jù)中心的WEB系統(tǒng),無需經(jīng)過中心。如上圖中紫色虛
線數(shù)據(jù)流所示。
5.大連備份中心與主中心干脆相連,數(shù)據(jù)備份流量無需通過中心,提高數(shù)據(jù)備份的牢靠性
與效率,縮短時延。考慮到將來的雙活擴展與數(shù)據(jù)的實時同步,建議大連備份中心與主
中心之后采納裸纖或DWDM互連,避開出現(xiàn)帶寬瓶頸。
6.大連中心與中心現(xiàn)有的互連線路保持不變,做為數(shù)據(jù)備份的鏈路備份。同時將來可將部
分集團內(nèi)業(yè)務(wù)部署到大連中心,實現(xiàn)負載分擔(dān)。
2.3.帶寬分析
數(shù)據(jù)中心內(nèi)部的服務(wù)器接入及局域網(wǎng)絡(luò)均采納典型的“千兆接入、萬兆到匯聚”方式,
部分服務(wù)器(如FCoE服務(wù)器等)干脆采納萬兆接入,鏈路帶寬不會成為瓶頸,保證網(wǎng)絡(luò)的
收斂比即可,在此不做帶寬分析。
帶寬分析主要考慮數(shù)據(jù)中心的網(wǎng)絡(luò)出口,對于數(shù)據(jù)中心而言,網(wǎng)絡(luò)出口有以下四個:
1.集團廣域網(wǎng)出口:與中心互連,滿足集團內(nèi)全部員工對業(yè)務(wù)系統(tǒng)的訪問。考慮到牢靠性,
采納雙鏈路(不同運營商);
2.Internet出口:滿足公眾業(yè)務(wù)系統(tǒng)通過互聯(lián)網(wǎng)對外供應(yīng)服務(wù)??紤]到牢靠性,采納雙鏈
路(不同運營商);
3.合作單位專線出口:與合作單位專線互連,此出口的鏈路和帶寬取決與合作單位,在此
不做分析;
4.數(shù)據(jù)備份出口:與大連數(shù)據(jù)中心互連,實現(xiàn)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)備份與同步??紤]到將來的
雙活擴展與數(shù)據(jù)的實時同步,建議采納裸纖或DWDM互連。若采納裸纖或DWDM,帶
寬不會成為瓶頸,因此也無需分析。但要保證高牢靠,建議采納不同纜的多個光纖實現(xiàn)
冗余。
依據(jù)XX集團現(xiàn)有業(yè)務(wù)系統(tǒng)的用戶數(shù)量分析,對數(shù)據(jù)中心網(wǎng)絡(luò)出口帶寬估算如下:
業(yè)務(wù)系統(tǒng)集團廣域網(wǎng)出口Internet出口
ERP按1000用戶設(shè)計,每個用戶N/A
20Kbps帶寬,合計20Mbps
集團/百貨/N/A假設(shè):
院線網(wǎng)站群1.單個頁面300KB
2.用戶等待容忍時間為10秒
3.峰值并發(fā)增長率,通常取30%
按2000個并發(fā)用戶計算,帶寬需求:
2000*300KB*l30%/10=78MB/s=780Mbps
OA/圖檔/郵按1000用戶設(shè)計,每個用戶N/A
件/文件共享50Kbps帶寬,合計50Mbps
視頻會議平均每路2Mbps,按50個城市N/A
(50路),占用100Mbps帶寬
基礎(chǔ)支撐類忽視N/A
合計170Mbps780Mbps
依據(jù)上述數(shù)據(jù)的初步估算,對數(shù)據(jù)中心網(wǎng)絡(luò)出口鏈路選擇建議如下:
1.廣域網(wǎng)出口帶寬為170Mbps,至少采納兩條155MPOS鏈路,滿足帶寬需求的同時
實現(xiàn)鏈路冗余;
2.互聯(lián)網(wǎng)出口帶寬為780Mbps,建議采納兩條千兆鏈路出口(兩個運營商)。
(注:上述數(shù)據(jù)為閱歷數(shù)據(jù),僅供參考!)
三、方案規(guī)劃與設(shè)計
3.1.數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標
XX數(shù)據(jù)中心將來將XX集團承載全部生產(chǎn)環(huán)境系統(tǒng)。數(shù)據(jù)中心網(wǎng)絡(luò)作為業(yè)務(wù)網(wǎng)絡(luò)的一
個重要組成部分,為核心業(yè)務(wù)系統(tǒng)服務(wù)器和存儲設(shè)備供應(yīng)平安牢靠的接入平臺。網(wǎng)絡(luò)建設(shè)應(yīng)
達成以下目標:
高可用一一網(wǎng)絡(luò)作為數(shù)據(jù)中心的基礎(chǔ)設(shè)施,網(wǎng)絡(luò)的高可用干脆影響到業(yè)務(wù)系統(tǒng)的可用
性。網(wǎng)絡(luò)層的高可用至少包括高牢靠、高平安和先進性三個方面:
?高牢靠:應(yīng)采納高牢靠的產(chǎn)品和技術(shù),充分考慮系統(tǒng)的應(yīng)變實力、容錯實力和糾錯
實力,確保整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施運行穩(wěn)定、牢靠。當(dāng)今,關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與性
能要求比任何時候都更為重要。
?高平安:網(wǎng)絡(luò)基礎(chǔ)設(shè)計的平安性,涉及到XX業(yè)務(wù)的核心數(shù)據(jù)平安。應(yīng)依據(jù)端到端
訪問平安、網(wǎng)絡(luò)L2-L7層平安兩個維度對平安體系進行設(shè)計規(guī)劃,從局部平安、
全局平安到智能平安,將平安理念滲透到整個數(shù)據(jù)中心網(wǎng)絡(luò)中。
?先進性:數(shù)據(jù)中心將長期支撐XX集團的業(yè)務(wù)發(fā)展,而網(wǎng)絡(luò)又是數(shù)據(jù)中心的基礎(chǔ)支
撐平臺,因此數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)須要考慮后續(xù)的機會成本,采納主流的、先進的
技術(shù)和產(chǎn)品(如數(shù)據(jù)中心級設(shè)備、CEE、FCoE、虛擬化支持等),保證基礎(chǔ)支撐
平臺5?10年內(nèi)不會被淘汰,從而實現(xiàn)投資的愛護。
易擴展一一XX集團的業(yè)務(wù)目前已向多元化發(fā)展,將來的業(yè)務(wù)范圍會更多更廣,業(yè)務(wù)
系統(tǒng)頻繁調(diào)整與擴展再所難免,因此數(shù)據(jù)中心網(wǎng)絡(luò)平臺必需能夠適應(yīng)業(yè)務(wù)系統(tǒng)的頻繁調(diào)整,
同時在性能上應(yīng)至少能夠滿足將來5?10年的業(yè)務(wù)發(fā)展。對于網(wǎng)絡(luò)設(shè)備的選擇和協(xié)議的部
署,應(yīng)遵循業(yè)界標準,保證良好的互通性和互操作性,支持業(yè)務(wù)的快速部署。
易管理一一數(shù)據(jù)中心是IT技術(shù)最為密集的地方,數(shù)據(jù)中心的設(shè)備繁多,各種協(xié)議和應(yīng)
用部署越來越困難,對運維人員的要求也越來越高,單獨依靠運維人員個人的技術(shù)實力和業(yè)
務(wù)實力是無法保證業(yè)務(wù)運行的持續(xù)性的。因此數(shù)據(jù)中心須要供應(yīng)完善的運維管理平臺,對數(shù)
據(jù)中心IT資源進行全局掌控,削減日常的運維的人為故障。同時一旦出現(xiàn)故障,能夠借助
工具直觀、快速定位。
3.2.總體設(shè)計思路及原則
數(shù)據(jù)中心為XX集團業(yè)務(wù)網(wǎng)絡(luò)、日常辦公與外聯(lián)單位供應(yīng)數(shù)據(jù)訪問、OA和視頻等服務(wù),
以及各業(yè)務(wù)的平安隔離限制。數(shù)據(jù)中心并不是孤立存在的,而是與大連中心、網(wǎng)絡(luò)匯聚中心
外聯(lián)單位網(wǎng)絡(luò)等網(wǎng)絡(luò)區(qū)域相輔相成,數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)是業(yè)務(wù)數(shù)據(jù)的傳輸通道,將數(shù)據(jù)的計
算和數(shù)據(jù)存儲有機的結(jié)合在一起。為保證數(shù)據(jù)中心網(wǎng)絡(luò)的高可用、易擴展、易管理,數(shù)據(jù)中
心網(wǎng)絡(luò)架構(gòu)需依據(jù)結(jié)構(gòu)化、模塊化和扁平化的原則設(shè)計:
?結(jié)構(gòu)化
結(jié)構(gòu)化的網(wǎng)絡(luò)設(shè)計便于上層協(xié)議的部署和網(wǎng)絡(luò)的管理,提高網(wǎng)絡(luò)的收斂速度,實現(xiàn)高牢
靠。數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)化設(shè)計體現(xiàn)在適當(dāng)?shù)娜哂嘈院途W(wǎng)絡(luò)的對稱性兩個方面。如下圖所示:
(不合理的冗余)(合理的冗余)
適當(dāng)?shù)娜哂嘈?/p>
網(wǎng)絡(luò)的對稱性
冗余的引入可以消退設(shè)備和鏈路的單點故障,但是過度的冗余同樣會使網(wǎng)絡(luò)過于困難,
不便于運行和維護,因此一般采納雙節(jié)點雙歸屬的架構(gòu)設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)的對稱,可以使得網(wǎng)絡(luò)
設(shè)備的配置簡化、拓撲直觀,有助于協(xié)議設(shè)計分析。
在數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計時,由于引入了冗余和對稱的設(shè)計,這必將引入網(wǎng)絡(luò)的環(huán)路,可通
過如下建設(shè)思路消退環(huán)路影響:
1.啟用STP和VRRP協(xié)議
傳統(tǒng)解決方案,標準的協(xié)議,設(shè)備要求較低。但此種部署方案網(wǎng)絡(luò)的協(xié)議部署困難,收
斂慢,鏈路帶寬利用率低,運維管理工作量大。本方案設(shè)計不采納此方法。
2.IRF網(wǎng)絡(luò)設(shè)備N:1虛擬化技術(shù)
通過H3cIRF技術(shù)對同一層面的設(shè)備進行橫向整合,將兩臺或多臺設(shè)備虛擬為一臺設(shè)
務(wù),統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一管理,并實現(xiàn)跨設(shè)備的鏈路捆綁。因此不會引入環(huán)路,無需部署STP
和VRRP等協(xié)議,簡化網(wǎng)絡(luò)協(xié)議的部署,大大縮短設(shè)備和鏈路收斂時間(毫秒級),鏈路
負載分擔(dān)方式工作,利用率大大提升。
傳統(tǒng)MSTP+VRRP部署方式IRF網(wǎng)絡(luò)N:1虛擬化部署
在本方案的設(shè)計中,將采納端到端的IRF部署,滿足網(wǎng)絡(luò)高牢靠的同時,簡化網(wǎng)絡(luò)運
維管理。
?模塊化
構(gòu)建數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)時,應(yīng)采納模塊化的設(shè)計方法,將數(shù)據(jù)中心劃分為不同的功能區(qū)
域,用于實現(xiàn)不同的功能或部署不同的應(yīng)用,使得整個數(shù)據(jù)中心的架構(gòu)具備可伸縮性、敏捷
性、和高可用性。數(shù)據(jù)中心中的服務(wù)器將會依據(jù)服務(wù)器上的應(yīng)用的用戶訪問特性和應(yīng)用的功
能不同部署在不同的區(qū)域中。如下圖所示:
網(wǎng)絡(luò)接入?yún)^(qū)
X
互聯(lián)網(wǎng)接入廣域網(wǎng)接入外聯(lián)單位接入辦公局域網(wǎng)
接入
數(shù)據(jù)中心核心交換區(qū)
數(shù)據(jù)中心網(wǎng)絡(luò)分為網(wǎng)絡(luò)接入?yún)^(qū)、數(shù)據(jù)中心核心交換區(qū)和服務(wù)器接入?yún)^(qū)三大功能區(qū)域,其
中網(wǎng)絡(luò)接入?yún)^(qū)和服務(wù)器接入?yún)^(qū)依據(jù)服務(wù)類型的不同,可進行子區(qū)的細分,具體參見“業(yè)務(wù)分
區(qū)”章節(jié)的描述。
數(shù)據(jù)中心核心區(qū)用于承接各區(qū)域之間的數(shù)據(jù)交換,是整個數(shù)據(jù)中心的核心樞紐,因此核
心交換機設(shè)備應(yīng)選用牢靠性高的數(shù)據(jù)中心級設(shè)備部署。
在進行模塊化設(shè)計時,盡量做到各模塊之間松耦合,這樣可以很好的保證數(shù)據(jù)中心的業(yè)
務(wù)擴展性,擴展新的業(yè)務(wù)系統(tǒng)或模塊時不須要對核心或其它模塊進行改動。同時模塊化設(shè)計
也可以很好的分散風(fēng)險,在某一模塊(除核心區(qū)外)出現(xiàn)故障時不會影響到其它模塊,將數(shù)
據(jù)中心的故障影響降到最小。
?扁平化
數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)依據(jù)接入密度和分為三層架構(gòu)和二層架構(gòu),如下圖所示:
三層架構(gòu)二層架構(gòu)
傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)通常米納三層架構(gòu)進行組網(wǎng),三層架構(gòu)可以保證網(wǎng)絡(luò)具備很好的擴
展性,同一個分區(qū)內(nèi)服務(wù)器接入密度高。但三層架構(gòu)網(wǎng)絡(luò)設(shè)備較多,不便于網(wǎng)絡(luò)管理,運維
工作量大。同時組網(wǎng)成本相對較高。
隨著網(wǎng)絡(luò)交換技術(shù)的不斷發(fā)展,交換機的端口接入密度也越來越高,二層組網(wǎng)的擴展性
和密度已經(jīng)能夠很好的滿足企業(yè)數(shù)據(jù)中心服務(wù)器接入的要求。同時在服務(wù)器虛擬化技術(shù)應(yīng)用
越來越廣泛的趨勢下,二層架構(gòu)更簡潔實現(xiàn)VLAN的大二層互通,滿足虛擬機的部署和遷
移。相比三層架構(gòu),二層架構(gòu)可以大大簡化網(wǎng)絡(luò)的運維與管理。
綜合上述因素,數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計采納二層扁平化架構(gòu),滿足擴展性的同時,實現(xiàn)易
管理。
3.3.業(yè)務(wù)分區(qū)
依據(jù)3.2章節(jié)中的“模塊化”設(shè)計原則,須要對業(yè)務(wù)系統(tǒng)進行分區(qū)。從技術(shù)看,業(yè)務(wù)分
區(qū)須要遵循以下原則:
?分區(qū)優(yōu)先考慮訪問限制的平安性,單個應(yīng)用訪問盡量在一個區(qū)域內(nèi)部完成,單個區(qū)
域故障僅影響一類應(yīng)用,盡量削減區(qū)域間的業(yè)務(wù)耦合度;
?區(qū)域總數(shù)量的限制:但區(qū)域多則運維管理的困難度和設(shè)備投資增加,區(qū)域總數(shù)量有
運維上限不超過20個;
?單個區(qū)域內(nèi)服務(wù)器數(shù)量的限制:受機房空間、二層域大小、接入設(shè)備容量限制,單
個區(qū)域內(nèi)服務(wù)器數(shù)量有限(通常不超過200臺)。
?接入層設(shè)備利用率的限制:受機房布局的影響,假如每個機房都要部署多個平安區(qū)
的接入交換機,會導(dǎo)致接入交換機資源奢侈,端口利用率低,因此平安區(qū)的數(shù)量不
宜過多。
?防火墻性能的限制:區(qū)域之間的流量假如超過10G,則須要考慮通過防火墻橫向擴
容,或區(qū)域調(diào)整的方式分擔(dān)流量。
在實際的數(shù)據(jù)中心分區(qū)設(shè)計中,通常有以下三種分區(qū)方法:
1.依據(jù)業(yè)務(wù)功能進行分區(qū):依據(jù)業(yè)務(wù)系統(tǒng)的功能(如生產(chǎn)、OA、支撐等)或業(yè)務(wù)的
實時性(實時業(yè)務(wù)、非實時業(yè)務(wù))或者業(yè)務(wù)系統(tǒng)的功能(如ERP、營銷、財務(wù)等)
進行分區(qū)劃分,此分區(qū)方法適合大多數(shù)企業(yè)數(shù)據(jù)中心;
2.依據(jù)平安等保級別進行分區(qū):依據(jù)業(yè)務(wù)系統(tǒng)的平安等級定義進行劃分,如“三級系
統(tǒng)獨立成域,二級系統(tǒng)統(tǒng)一成域”,此分區(qū)方法適合政府、電力等行業(yè)數(shù)據(jù)中心;
3.依據(jù)服務(wù)器類型進行分區(qū):一般分為WEB服務(wù)器區(qū)、APP/中間件服務(wù)器區(qū)、DB
服務(wù)器區(qū)。此分區(qū)適合互聯(lián)網(wǎng)企業(yè)等數(shù)據(jù)中心。
依據(jù)需求調(diào)研時了解的XX集團業(yè)務(wù)系統(tǒng)分布狀況,結(jié)合業(yè)務(wù)系統(tǒng)的用戶類型,數(shù)據(jù)中
心的分區(qū)設(shè)計依據(jù)業(yè)務(wù)功能進行分區(qū)。分區(qū)設(shè)計如下:
支
撐
數(shù)據(jù)中心核心區(qū)管
理
區(qū)
各區(qū)域業(yè)務(wù)系統(tǒng)部署描述如下:
辦公局域網(wǎng)區(qū):XX數(shù)據(jù)中心大樓辦公網(wǎng)絡(luò),包括終端、樓層接入與匯聚。
廣域網(wǎng)接入?yún)^(qū):與網(wǎng)絡(luò)匯聚中心廣域網(wǎng)絡(luò)互連,網(wǎng)絡(luò)出口。
外聯(lián)網(wǎng)接入應(yīng)用區(qū):與合作單位的專線互連,此區(qū)域也包括合作單位的業(yè)務(wù)前置機服務(wù)器。
互聯(lián)網(wǎng)接入應(yīng)用區(qū):互聯(lián)網(wǎng)出口,此區(qū)域也包括集團網(wǎng)站群WEB服務(wù)器、集團郵件系統(tǒng)、
DNS服務(wù)器等。
百貨應(yīng)用區(qū):此區(qū)域部署與百貨相關(guān)的應(yīng)用服務(wù)器,包括百貨促銷、MIS、BI等應(yīng)用系統(tǒng)。
KTV應(yīng)用區(qū):此區(qū)域部署與KTV相關(guān)的應(yīng)用服務(wù)器,包括FTP、管控、WEB、DB等應(yīng)用
系統(tǒng)。
院線應(yīng)用區(qū):此區(qū)域部署與院線相關(guān)的應(yīng)用服務(wù)器,包括火鳳凰、會員等應(yīng)用系統(tǒng)。
OA應(yīng)用區(qū):此區(qū)域部署集團內(nèi)部的0A應(yīng)用服務(wù)器,包括OA、RTX、泛微、圖檔、視頻
會議、文件、網(wǎng)絡(luò)教學(xué)、網(wǎng)上招投標等應(yīng)用系統(tǒng)。
ERP/財務(wù)應(yīng)用區(qū):部署集團內(nèi)部的ERP和財務(wù)應(yīng)用服務(wù)器。
其它應(yīng)用區(qū):部署商管、地產(chǎn)、酒店等應(yīng)用服務(wù)器。
開發(fā)測試區(qū):此區(qū)域用于集團內(nèi)部信息系統(tǒng)的開發(fā)與測試,或新系統(tǒng)上線前的測試部署。
災(zāi)備接入應(yīng)用區(qū):此區(qū)域與大連中心互聯(lián),實現(xiàn)數(shù)據(jù)級的異地災(zāi)備。同時此區(qū)域可以部署一
些本地的重要系統(tǒng)備份應(yīng)用。
支撐管理區(qū):此區(qū)域部署數(shù)據(jù)中心網(wǎng)絡(luò)、平安、服務(wù)器、存儲等IT資源的運維管理系統(tǒng),
此外包括集團內(nèi)部的域管理和身份認證服務(wù)器。
數(shù)據(jù)空心掾恒此區(qū)域用于實現(xiàn)各分區(qū)之間的數(shù)據(jù)交互,是數(shù)據(jù)中心網(wǎng)絡(luò)平臺的核心樞紐,
無服務(wù)器部署。
3.4.網(wǎng)絡(luò)設(shè)計
結(jié)合上述的業(yè)務(wù)分區(qū),依據(jù)結(jié)構(gòu)化、模塊化、扁平化的設(shè)計原則,實現(xiàn)高可用、易擴展、
易管理的建設(shè)目標。網(wǎng)絡(luò)整體拓撲如下圖所示:
整體網(wǎng)絡(luò)拓撲采納扁平化兩層組網(wǎng)架構(gòu),從數(shù)據(jù)中心核心區(qū)干脆到服務(wù)器接入,省去了
中間的匯聚層,這種扁平化的網(wǎng)絡(luò)結(jié)構(gòu)有以下優(yōu)點:
?簡化網(wǎng)絡(luò)拓撲,降低網(wǎng)絡(luò)運維的難度;
?服務(wù)器區(qū)簡潔構(gòu)建大二層網(wǎng)絡(luò),更適合將來的虛擬機大量部署及遷移;
?服務(wù)器接入交換機將來的擴展可干脆在現(xiàn)有的IRF虛擬組添加成員交換機,擴展
便利。
對于數(shù)據(jù)中心的網(wǎng)絡(luò)平安部署,在本方案中采納了''分布式平安部署”的策略,防火墻
形態(tài)采納了H3csecBlade平安插卡,實現(xiàn)網(wǎng)絡(luò)平安的融合。具體的平安設(shè)計參與“3.5平安
設(shè)計”章節(jié)。
縱觀整體方案拓撲,在此方案設(shè)計與部署時共采納了IRF虛擬化、網(wǎng)絡(luò)平安融合、智
能管理三種H3C特有的關(guān)鍵技術(shù)(具體參見5.2章節(jié)相關(guān)介紹),在保證數(shù)據(jù)中心的高牢靠的
同時,簡化網(wǎng)絡(luò)運維管理,同時供應(yīng)了智能化的管理工具平臺。
3.4.1.核心交換區(qū)
?功能描述
核心交換區(qū)的主要功能是完成各服務(wù)器功能分區(qū)、辦公局域網(wǎng)、外聯(lián)網(wǎng)、互聯(lián)網(wǎng)之間數(shù)
據(jù)流量的高速交換,是廣域/局域縱向流量與服務(wù)功能分區(qū)間橫向流量的交匯點。核心交換
區(qū)必需具備高速轉(zhuǎn)發(fā)的實力,同時還須要有很強的擴展實力,以便應(yīng)對將來業(yè)務(wù)的快速增長。
核心模塊是整個平臺的樞紐。因此,牢靠性是衡量核心交換區(qū)設(shè)計的關(guān)鍵指標。否則,一旦
核心模塊出現(xiàn)異樣而不能剛好復(fù)原的話,會造成整個平臺業(yè)務(wù)的長時間中斷,影響巨大。
?拓撲設(shè)計
辦公局域網(wǎng)廣域網(wǎng)外聯(lián)網(wǎng)區(qū)互聯(lián)網(wǎng)區(qū)
接入?yún)^(qū)接入?yún)^(qū)
多個萬兆端口NetStram網(wǎng)絡(luò)流
捆綁,提高設(shè)量分析,實現(xiàn)全
備間橫向單寬網(wǎng)智能分析J
核心交換區(qū)
分區(qū)1分區(qū)2分區(qū)N支撐管理區(qū)
?設(shè)計要點
1.高牢靠
核心交換設(shè)備選用數(shù)據(jù)中心級核心交換機,配置雙引擎,雙電源,保證網(wǎng)絡(luò)組件層面的
穩(wěn)定性。
網(wǎng)絡(luò)架構(gòu)層面,采納雙核心設(shè)計,兩臺設(shè)備進行冗余,并通過虛擬化技術(shù)進行橫向整合,
將兩臺物理設(shè)備虛擬化為一臺邏輯設(shè)備,并實現(xiàn)跨設(shè)備的鏈路捆綁,所各分區(qū)的交換機IRF
相協(xié)作,實現(xiàn)端到端IRF部署。兩臺設(shè)備工作在雙活模式,縮短鏈路故障與設(shè)備故障的倒換
時間(毫秒級),保證出現(xiàn)單點故障時不中斷業(yè)務(wù)。
為保證出現(xiàn)單點故障(鏈路/設(shè)備)時另一臺設(shè)備能夠完全接管業(yè)務(wù),各功能模塊通過
“口”字形上行與核心模塊互連。
2.高速傳輸
本次網(wǎng)絡(luò)設(shè)計容量應(yīng)保證將來3?5年內(nèi)的業(yè)務(wù)擴展,本設(shè)計采納“萬兆到核心,千兆
接入”的思路,核心模塊對外接口為全萬兆接口。
3.易于擴展
依據(jù)“核心一邊緣架構(gòu)”的設(shè)計原則,核心模塊應(yīng)避開部署訪問限制策略(如ACL、路
由過濾等),保證核心模塊業(yè)務(wù)的單純性與松耦合,便于下聯(lián)功能模塊擴展時,不影響核心
業(yè)務(wù),同時可以提高核心模塊的穩(wěn)定性。
4.智能分析
針對各個區(qū)域的業(yè)務(wù)流量改變趨勢,本次在核心交換機上部署網(wǎng)絡(luò)流量分析模塊,可以
實時感知,并作為網(wǎng)絡(luò)優(yōu)化及調(diào)整的依據(jù)。
3.4.2.服務(wù)器接入?yún)^(qū)
?功能描述
服務(wù)器接入?yún)^(qū)用于完成服務(wù)器的LAN網(wǎng)絡(luò)接入,依照3.3章節(jié)的業(yè)務(wù)分區(qū)設(shè)計,涉及到
服務(wù)器接入的業(yè)務(wù)分區(qū)包括百貨應(yīng)用區(qū)、KTV應(yīng)用區(qū)、院線應(yīng)用區(qū)、ERP/財務(wù)應(yīng)用區(qū)、開發(fā)
測試區(qū)、支撐管理區(qū)、其它應(yīng)用區(qū),這些區(qū)域雖然部署的應(yīng)用服務(wù)器類型不一樣,設(shè)備的選
型要求也不一樣,但對于網(wǎng)絡(luò)拓撲設(shè)計來說是一樣的,因此在方案設(shè)計時,這些區(qū)域的網(wǎng)絡(luò)
拓撲設(shè)計將在此統(tǒng)一進行描述。
?拓撲設(shè)計
服務(wù)器接入?yún)^(qū)1
注:院線應(yīng)用區(qū)若部署院線WEB服務(wù)器,則服務(wù)器接入交換機上除了部署FW插卡外,還頊
要部署IPS和SLB插卡。
?設(shè)計要點
1.服務(wù)器接入交換機部署雙機,并采納IRF虛擬化,將兩臺物理設(shè)備虛擬化為一臺邏輯設(shè)
備,實現(xiàn)跨設(shè)務(wù)鏈路捆綁,與核心交換機協(xié)作實現(xiàn)端到端IRF。此外服務(wù)器雙網(wǎng)關(guān)配置
成雙活模式(Active-Active),;
2.各服務(wù)器接入交換機上部署SecBladeFW插卡,用于本區(qū)域與其它區(qū)域的訪問限制策略
部署。院線應(yīng)用區(qū)部署FW+IPS+LB插卡;
3.服務(wù)器網(wǎng)關(guān)部署在接入交換機上,防火墻插卡與接入交換機以及核心交換機之間運行
OSPF動態(tài)路由,實現(xiàn)FW的雙機熱備。
3.4.3.互聯(lián)網(wǎng)區(qū)
?功能描述
互聯(lián)網(wǎng)區(qū)用于部署集團WEB服務(wù)器、院線WEB服務(wù)器(若須要),以及集團的DNS、FTP、
E-mail等須要通過互聯(lián)網(wǎng)對公眾用戶供應(yīng)服務(wù)器的應(yīng)用系統(tǒng)。
?拓撲設(shè)計
?設(shè)計要點
1.Internet出口采納雙運營商鏈路,保證用戶訪問效率的同時,實現(xiàn)鏈路的冗余;
2.服務(wù)器接入交換機部署雙機,并采納IRF虛擬化,將兩臺物理設(shè)備虛擬化為一臺邏輯設(shè)
備,實現(xiàn)跨設(shè)務(wù)鏈路捆綁,與服務(wù)器雙網(wǎng)卡協(xié)作實現(xiàn)雙活(Active-Active);
3.采納雙層防火墻部署,外層防火墻用于實現(xiàn)Internet與WEB、DNS、Email、FTP等公網(wǎng)
服務(wù)器的隔離,實現(xiàn)公網(wǎng)服務(wù)器的分域,并配置DMZ區(qū)域保證平安。內(nèi)層防火墻用于實
現(xiàn)公網(wǎng)服務(wù)器與數(shù)據(jù)中心內(nèi)部其它服務(wù)器之間的隔離,部署內(nèi)部區(qū)域間的訪問限制策
略。外層防火墻采納獨立設(shè)備、內(nèi)層防火墻采納在服務(wù)器接入交換機上部署SecBladeFW
插卡。
4.由于Internet區(qū)部署了較多的網(wǎng)站等WEB服務(wù)器,因此須要部署LB和IPS設(shè)備。來保
證負載分擔(dān)和L2t7層平安過濾。
3.4.4.外聯(lián)網(wǎng)區(qū)
?功能描述
外聯(lián)網(wǎng)區(qū)用于實現(xiàn)與合作單位的專線網(wǎng)絡(luò)進行互聯(lián),并部署合作單位的前置機服務(wù)器。
?拓撲設(shè)計
合作單位銀行
?設(shè)計要點
1.服務(wù)器接入交換機部署雙機,并采納IRF虛擬化,將兩臺物理設(shè)備虛擬化為一臺邏輯設(shè)
備,實現(xiàn)跨設(shè)務(wù)鏈路捆綁,與服務(wù)器雙網(wǎng)卡協(xié)作實現(xiàn)雙活(Active-Active);
2.采納雙層防火墻部署,外層防火墻用于實現(xiàn)前置機服務(wù)器與合作單位網(wǎng)絡(luò)的隔離,可部
署NAT。內(nèi)層防火墻用于實現(xiàn)前置機服務(wù)器與數(shù)據(jù)中心內(nèi)部其它服務(wù)器之間的隔離,部
署內(nèi)部區(qū)域間的訪問限制策略。外層防火墻H3csecBladeFW插卡、內(nèi)層防火墻可采納
非H3C的第三方FW獨立設(shè)備進行異構(gòu),加強平安性。
3.服務(wù)器接入交換機上部署SecBladeIPS插卡,實現(xiàn)L2~L7層平安過濾。
3.4.5.廣域網(wǎng)接入?yún)^(qū)
?功能描述
廣域網(wǎng)接入?yún)^(qū)用于實現(xiàn)與網(wǎng)絡(luò)匯聚中心的互連,保證集團內(nèi)部用戶通過廣域網(wǎng)訪問數(shù)據(jù)
中心內(nèi)的業(yè)務(wù)系統(tǒng)。(必要時也可考慮與大連數(shù)據(jù)中心互聯(lián))
?拓撲設(shè)計
?設(shè)計要點
1.廣域網(wǎng)出口路由器部署雙機,出口鏈路為雙鏈路,保證廣域網(wǎng)出口高牢靠;
2.防火墻采納路由器上部署SecBladeFW插卡。
3.4.6.災(zāi)備接入?yún)^(qū)
?功能描述
災(zāi)備接入?yún)^(qū)用于實現(xiàn)數(shù)據(jù)中心與大連災(zāi)備中心的互連,實現(xiàn)SAN和LAN網(wǎng)絡(luò)雙中心的互
通,保證數(shù)據(jù)同步復(fù)制。同時通過將兩中心的VLAN二層打通,實現(xiàn)跨數(shù)據(jù)中心的大二層網(wǎng)
絡(luò),便于虛擬機業(yè)務(wù)遷移和跨地域服務(wù)器集群。
?拓撲設(shè)計
大
連
備
份
中
心
?設(shè)計要點
1.數(shù)據(jù)中心與大連災(zāi)備中心之間采納雙路裸纖做災(zāi)備互連鏈路,并采納DWDM進行復(fù)用。
2.SAN網(wǎng)絡(luò)干脆通過光纖上DWDM波分設(shè)備,實現(xiàn)數(shù)據(jù)存儲備份通道的互通。LAN網(wǎng)絡(luò)通過
在服務(wù)器網(wǎng)關(guān)交換機設(shè)備上通過VLANTrunk到匯接交換機,然后再上DWDM設(shè)備,實現(xiàn)
雙中心之間的大二層VLAN互通。
3.匯接交換機部署IRF,實現(xiàn)雙纖捆綁,保證鏈路的牢靠性。
4.跨地域的二層打通后,可以實現(xiàn)網(wǎng)關(guān)設(shè)備跨地域部署VRRP,保證雙中心服務(wù)器集群時網(wǎng)
關(guān)的切換。
3.5.平安設(shè)計
3.5.1.平安設(shè)計原則
平安與網(wǎng)絡(luò)密不行分,本方案中的平安設(shè)計部署采納了與網(wǎng)絡(luò)分區(qū)相同的平安域劃分,
同時采納SecBlade平安插卡實現(xiàn)了網(wǎng)絡(luò)與平安設(shè)備形態(tài)的融合。整個方案的平安部署采納
了目前應(yīng)用廣泛的“分布式平安部署”方法,如下圖右側(cè)所示:
集中式安全部署分布式安全部署
安全區(qū)1安全區(qū)3
VLAN1VLAN2VLAN2VLAN1VLAN2
VLAN3VLAN,
T
、、、網(wǎng)絡(luò)核心層
安全區(qū)4安全區(qū)6
VLAN1VLAN2VLANVLAN1VLAN2
安全區(qū)
安全設(shè)備集中部署在安全設(shè)備下移到各業(yè)4
核心區(qū)
務(wù)區(qū)出口,分布式在VLAN1VLAN2
、各服務(wù)器接入層
分布式平安部署具有以下優(yōu)勢:
?分散風(fēng)險:傳統(tǒng)的集中式平安部署一般將防火墻旁掛在核心交換機兩側(cè),這樣一旦防火
墻出現(xiàn)故障,數(shù)據(jù)中心內(nèi)的全部業(yè)務(wù)區(qū)都將不能訪問,整個數(shù)據(jù)中心的全部業(yè)務(wù)均會中
斷,風(fēng)險和性能壓力都集中在防火墻上。而采納分布式部署后,防火墻出現(xiàn)故障只會影
響到本區(qū)域的業(yè)務(wù),進而實現(xiàn)風(fēng)險和性能的分散,提高了整個數(shù)據(jù)中心的牢靠性;
?敏捷擴展:分部式平安部署,核心交換機原則上不部署任何與業(yè)務(wù)分區(qū)之間的平安策略,
可實現(xiàn)核心區(qū)與各業(yè)務(wù)分區(qū)之間的松耦合,在新增模塊或業(yè)務(wù)系統(tǒng)時,無需更改核心設(shè)
備的配置,減小核心區(qū)出現(xiàn)故障的機率,保證核心區(qū)的高牢靠與業(yè)務(wù)分區(qū)的敏捷擴展;
?簡化平安策略部署:防火墻下移到各業(yè)務(wù)分區(qū)的出口,防火墻上部署的平安策略可大大
簡化,默認僅須要劃分兩個平安域(受信域與非受信域),采納白名單方式下發(fā)策略,
削減了策略的交叉。
3.5.2.SecBladeFW插卡部署
防火墻設(shè)備在數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)中為內(nèi)部系統(tǒng)供應(yīng)了平安和牢靠性保障。防火墻主要部
署在數(shù)據(jù)中心的兩個常見區(qū)域中:數(shù)據(jù)中心出口區(qū)域和服務(wù)器區(qū)域。在數(shù)據(jù)中心出口區(qū)域部
署防火墻可以保障來自Internet和合作伙伴的用戶的平安性,避開未經(jīng)授權(quán)的訪問和網(wǎng)絡(luò)
攻擊。在數(shù)據(jù)中心服務(wù)器區(qū)域部署防火墻可以避開不同服務(wù)器系統(tǒng)之間的相互干擾,通過自
定義防火墻策略還可以供應(yīng)更具體的訪問機制。
防火墻插卡設(shè)備雖然部署在交換機框中,但仍舊可以看作是一個獨立的設(shè)備。它通過交
換機內(nèi)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連,它可以部署為2層透亮設(shè)備和三層路由設(shè)備。防火
墻與交換機之間的三層部署方式與傳統(tǒng)盒式設(shè)備類似。
如上圖FW三層部署所示,防火墻可以與宿主交換機干脆建立三層連接,也可以與上游
或下游設(shè)備建立三層連接,不同連接方式取決于用戶的訪問策略。可以通過靜態(tài)路由和缺省
路由實現(xiàn)三層互通,也可以通過OSPF這樣的路由協(xié)議供應(yīng)動態(tài)的路由機制。假如防火墻部
署在服務(wù)器區(qū)域,可以將防火墻設(shè)計為服務(wù)器網(wǎng)關(guān)設(shè)備,這樣全部訪問服務(wù)器的三層流量都
將經(jīng)過防火墻設(shè)備,這種部署方式可以供應(yīng)區(qū)域內(nèi)部服務(wù)器之間訪問的平安性。
XX集團數(shù)據(jù)中內(nèi)部,整體平安采納分布式部署設(shè)計,己經(jīng)對不同的業(yè)務(wù)系統(tǒng)進行了分
區(qū),整體平安邊界清晰。為簡化SecBladeFW的配置,提高網(wǎng)關(guān)性能,將服務(wù)器的網(wǎng)關(guān)均部
署在接入交換機上,SecBladeFW插卡僅部署本分區(qū)內(nèi)與其它分區(qū)之間的平安策略。若本
分區(qū)內(nèi)各服務(wù)器之間有隔離需求,建議在接入交換機上采納ACL方式實現(xiàn)。如下圖所示:
分區(qū)2
對于僅部署SecBladeFW插卡的業(yè)務(wù)區(qū)(如百貨、KTV、ERP/財務(wù)、開發(fā)測試、支撐管
理、外聯(lián)網(wǎng)區(qū)),區(qū)域內(nèi)的平安部署邏輯拓撲如下圖所示:
?接入交換機雙機部署IRF虛擬化,并實現(xiàn)跨設(shè)備鏈路捆綁。兩塊SecBladeFW插卡邏輯
上相當(dāng)于插在同一臺交換機上。
?每臺接入交換機邏輯上均可以看成一臺L2交換機與一臺L3交換機的疊加,服務(wù)器網(wǎng)關(guān)
部署在交換機上。
?SecBlade通過內(nèi)部的10GE接口與交換機互連,并創(chuàng)建多個L3接口進行引流,讓全部
流經(jīng)服務(wù)器的流量均經(jīng)過FW過濾。兩塊FW插卡通過帶外狀態(tài)同步線(心跳線)進行狀
態(tài)同步,F(xiàn)W插卡之間通過OSPF動態(tài)路由實現(xiàn)熱備或負載分擔(dān)(ECMP)o
3.5.3.SecBladeFW+IPS+LB組合部署
對于XX數(shù)據(jù)中心的院線應(yīng)用區(qū)、互聯(lián)網(wǎng)應(yīng)用區(qū),須要涉及到FW+IPS+LB的組合部署,
FW插卡的基本特性3.5.2章節(jié)已做描述,下面先介紹IPS和LB插卡的基本組網(wǎng):
?SecBladeIPS基本組網(wǎng)設(shè)計
SecBladeIPS插卡為數(shù)據(jù)中心內(nèi)部供應(yīng)了更堅實的平安愛護機制。通過IPS的深度檢
測功能可以有效愛護內(nèi)部服務(wù)器避開受到病毒、蠕蟲、程序漏洞和DDOS等來自應(yīng)用層的平
安威逼。
IPS插卡通過OAA(開放的應(yīng)用架構(gòu))技術(shù)與宿主交換機協(xié)作運用??梢酝ㄟ^傳統(tǒng)的流
量重定向方式將須要IPS處理的業(yè)務(wù)流重定向到IPS插卡上處理,也可以通過OAA方式在
IPS的IVeb頁面上配置重定向策略,這兩種方式都可以實現(xiàn)相同的功能。由于不同交換機設(shè)
備對OAA的支持程度不同。我們舉薦在本方案中采納重定向策略引流。
由于IPS插卡在整個網(wǎng)絡(luò)中屬于2層透亮轉(zhuǎn)發(fā)設(shè)備,不會對報文進行任何修改,整個網(wǎng)
絡(luò)從連通性上看加入IPS后不會產(chǎn)生任何改變影響。因此建議實施的時候?qū)⑵浞旁谧罱K進行
上線配置,即其他設(shè)備都調(diào)試0K,流量轉(zhuǎn)發(fā)與HA設(shè)計都以正常實現(xiàn)狀況下再進行IPS的部
署實施。
SecBladeIPS組網(wǎng)結(jié)構(gòu)流量圖
SecBladeIPS不會對報文進行任何修改,對于上IPS處理的報文,非OAA方式只能通
過VLAN區(qū)分流量是屬于外部域還是內(nèi)部域。所以在組網(wǎng)設(shè)計中需留意非OAA方式重定向到
IPS插卡的業(yè)務(wù)流上下行流量需為不同VLAN。由于IPS插卡不具有雙機熱備功能,通過組網(wǎng)
設(shè)計,部分環(huán)境可以做到IPS故障的切換,部分環(huán)境中當(dāng)IPS故障后,重定向功能失效,業(yè)
務(wù)流將不能接著受到IPS的平安愛護,流量在短暫中斷后仍舊可以保證連續(xù)性。
?SecBladeLB板卡設(shè)計部署
LB插卡具備兩大主要功能,服務(wù)器負載均衡和鏈路負載均衡,分別應(yīng)用于數(shù)據(jù)中心服
務(wù)器區(qū)和Internet出口區(qū)域。服務(wù)器負載均衡為數(shù)據(jù)中心服務(wù)器區(qū)性能的擴展和資源利用
的優(yōu)化供應(yīng)完備的解決方案。鏈路負載均衡特別有效的部署在數(shù)據(jù)中心多出口的組網(wǎng)環(huán)境
中,可以同時對多條廣域網(wǎng)鏈路優(yōu)化資源利用。
LB插卡的工作方式與防火墻的類似,仍舊作為一個獨立的設(shè)備運行。通過傳統(tǒng)的三層
方式與交換機或下游設(shè)備相連??梢酝ㄟ^靜態(tài)路由和缺省路由實現(xiàn)三層互通,也可以通過
OSPF這樣的路由協(xié)議供應(yīng)動態(tài)的路由機制。
SecBladeLB在數(shù)據(jù)中心出口的部署
如圖所示,在數(shù)據(jù)中心出口區(qū)域,LB插卡可以與宿主交換機連接三層連接關(guān)系,也可
以干脆和下游設(shè)備如防火墻等建立三層連接關(guān)系。這取決于用戶的實際需求,前一種方式可
以供應(yīng)更敏捷的路由限制策略,而后一種方式可以簡化組網(wǎng)的困難結(jié)構(gòu)(例如:假如經(jīng)LLB
下行的流量都要通過防火墻的平安愛護,那么可以將防火墻干脆作為LLB的下一跳設(shè)備)。
須要留意的是,在雙機熱備的組網(wǎng)環(huán)境中,兩塊LLB的出口配置必需相同,這樣才能保
證業(yè)務(wù)切換后能正常運行。
ITT
如圖所示,在數(shù)據(jù)中心服務(wù)器區(qū),LB供應(yīng)了服務(wù)器的負載均衡實力。我們可以將LB插
卡作為服務(wù)器的網(wǎng)關(guān)設(shè)備,這樣全部的服務(wù)器流量都需經(jīng)過LB設(shè)備。也可以將服務(wù)器網(wǎng)關(guān)
放置在交換機上,LB設(shè)備通過路由方式訪問服務(wù)器群,這樣的部署方式可以敏捷限制LB對
服務(wù)器的訪問。
.組合部署
在數(shù)據(jù)中心服務(wù)器區(qū)IPS+FW+SLB的部署主要有以下四種方式:
組網(wǎng)一組網(wǎng)二組網(wǎng)三組網(wǎng)四
非IRFIRF
?IPS假如須要愛護全部流量可以部署在前端,假如僅須要愛護部分關(guān)鍵區(qū)域的業(yè)務(wù)可以
放置在FW后面。
?SLB可以作為服務(wù)器網(wǎng)關(guān)設(shè)備部署,假如服務(wù)器間還須要更嚴格的防護策略可以將防火
墻部署在SLB下端作為服務(wù)器的隔離設(shè)備。
?通過IRF堆疊技術(shù)還可以進一步簡化組網(wǎng)結(jié)構(gòu),提高管理維護和配置成本,是目前的流
行部署方式。
本方案的舉薦采納組網(wǎng)四方案,組網(wǎng)邏輯拓撲如下圖所示:
FW
IPS
SLB
o
oVLANll
eVLAN15
oVLAN12
oVLAN13
VLAN20555.0
一雙機熱備心跳線
在本案例組網(wǎng)設(shè)計中,接入交換機和平安插卡都為雙機部署,運用0SPF動態(tài)路由協(xié)議。
交換機通過IRF方式增加牢靠性和管理性,F(xiàn)W插卡與上游設(shè)備建立三層連接關(guān)系,供應(yīng)平
安愛護功能。SLB插卡與接入交換機建立三層連接關(guān)系,同時對下做為服務(wù)器網(wǎng)關(guān)設(shè)備供應(yīng)
服務(wù)器負載均衡功能。
3.6.QoS設(shè)計
3.6.1.QoS設(shè)計原則
XX集團網(wǎng)絡(luò)整網(wǎng)QoS設(shè)計遵循以下的原則:
?正常狀況下QOS是通過帶寬來保證的。換句話說,即在網(wǎng)絡(luò)帶寬足夠高的狀況下,
不須要QOS機制。當(dāng)帶寬利用率達到60%可考慮擴容;
?網(wǎng)絡(luò)設(shè)備的容量不能成為瓶頸;
?網(wǎng)絡(luò)/鏈路故障或網(wǎng)絡(luò)擁塞狀況下Q0S策略生效;
?任何時候都優(yōu)先保
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 內(nèi)蒙古阿拉善盟2025屆高三壓軸卷數(shù)學(xué)試卷含解析
- 廣西賀州市2025屆高考數(shù)學(xué)四模試卷含解析
- 2025屆湖南省桃江縣一中高三下學(xué)期第六次檢測語文試卷含解析
- 2025屆廣東省清遠市陽山縣陽山中學(xué)高三第四次模擬考試英語試卷含解析
- 數(shù)據(jù)資產(chǎn)管理體系建設(shè)指南(雷澤佳編制-2024)
- 貴州省貴定縣第二中學(xué)2025屆高三考前熱身語文試卷含解析
- 江蘇省鹽城市、南京市2025屆高三第二次模擬考試語文試卷含解析
- 8.2《登高》課件 2024-2025學(xué)年統(tǒng)編版高中語文必修上冊
- 《教學(xué)與科研》課件
- 福建省晉江市平山中學(xué)2025屆高三第四次模擬考試語文試卷含解析
- (完整版)臨床檢驗基礎(chǔ)名詞解釋
- 深度分析澳洲資源量最大的皮爾巴拉地區(qū)礦床匯總
- 《工程與試驗》編委會章程
- 市政道路與橋梁銜接處設(shè)計及施工
- 【機械畢業(yè)論文】便攜式電火花小孔機結(jié)構(gòu)設(shè)計
- 實習(xí)錄用通知書
- DFMEA模板全解(完整版)
- 蘇教版二年級上冊《連乘連除乘除混合》PPT
- 頸動脈狹窄的治療策略CREST研究解讀
- 深圳市建筑工程消耗量定額2016[共70頁]
- (完整版)土石方挖運專項施工方案
評論
0/150
提交評論