XX數(shù)據(jù)中心網(wǎng)絡(luò)及安全方案建議書(H3C)_第1頁
XX數(shù)據(jù)中心網(wǎng)絡(luò)及安全方案建議書(H3C)_第2頁
XX數(shù)據(jù)中心網(wǎng)絡(luò)及安全方案建議書(H3C)_第3頁
XX數(shù)據(jù)中心網(wǎng)絡(luò)及安全方案建議書(H3C)_第4頁
XX數(shù)據(jù)中心網(wǎng)絡(luò)及安全方案建議書(H3C)_第5頁
已閱讀5頁,還剩64頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

XX數(shù)據(jù)中心

網(wǎng)絡(luò)及平安方案建議書

HBC

ITolP艇決方案專家

杭州華三通信技術(shù)有限公司

2023年4月

修訂記錄:

版本修改內(nèi)容修改人審核人修改日期

VI.0初稿完成鄧世友2023-4-5

書目

一、建設(shè)背景...................................................-3-

1.1.數(shù)據(jù)中心背景介紹..............................................-3-

1.2.XX集團數(shù)據(jù)中心建設(shè)............................................-3-

二、需求分析...................................................-5-

2.1.應(yīng)用系統(tǒng)分析...................................................-5-

2.2.流量模型分析...................................................-8-

2.3.帶寬分析.......................................................-9-

三、方案規(guī)劃與設(shè)計............................................-11-

3.1.數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標..........................................-11-

3.2.總體設(shè)計思路及原則............................................-12-

3.3.業(yè)務(wù)分區(qū)......................................................-14-

3.4.網(wǎng)絡(luò)設(shè)計......................................................-16-

3.4.1.核心交換區(qū)........................................................-17-

3.4.2.服務(wù)器接入?yún)^(qū)......................................................-19-

3.4.3.互聯(lián)網(wǎng)區(qū)..........................................................-20-

3.4.4.外聯(lián)網(wǎng)區(qū)..........................................................-21-

3.4.5.廣域網(wǎng)接入?yún)^(qū)......................................................-22-

3.4.6.災(zāi)備接入?yún)^(qū)........................................................-22-

35平安設(shè)計......................................................-24-

3.5.1.平安設(shè)計原則......................................................-24-

3.5.2.SecBladeFW插卡部署...............................................-25-

3.5.3.SecBladeFW+IPS+LB組合部署........................................-27-

3.6.QoS設(shè)計......................................................-31-

3.6.1.QoS設(shè)計原則.......................................................-31-

3.6.2.QoS服務(wù)模型選擇..................................................-31-

3.6.3.QoS規(guī)劃..................................................-32-

3.6.4.QoS部署........................................................-34-

3.7.數(shù)據(jù)中心互聯(lián).......................................................-36-

3.8.新技術(shù)應(yīng)用.........................................................-38-

3.8.1.FCoE.......................................................................................................................-38-

3.8.2.虛擬機(VM)部署與遷移............................................-40-

3.9.數(shù)據(jù)中心管理.......................................................-42-

3.9.1.數(shù)據(jù)中心管理設(shè)計原則............................................-42-

3.9.2.網(wǎng)絡(luò)管理........................................................-42-

3.9.3.網(wǎng)絡(luò)監(jiān)控........................................................-45-

四、方案實施..................................................-47-

4.1.網(wǎng)絡(luò)布線建議.......................................................-47-

4.1.1.走線方式的選擇..................................................-47-

4.1.2.網(wǎng)絡(luò)配線方式....................................................-49-

4.1.3.服務(wù)器接入方式..................................................-50-

4.1.4.機房布線建議....................................................-53-

4.2.VLAN規(guī)劃.........................................................-53-

4.3.IP地址規(guī)劃.........................................................-54-

4.4.路由規(guī)劃...........................................................-55-

4.5.業(yè)務(wù)遷移...........................................................-57-

五、設(shè)備介紹.................................................-58-

5.1.設(shè)備清單...........................................................-58-

5.2.H3C特色技術(shù)介紹..................................................-62-

5.2.1.IRF虛擬化......................................................-62-

5.2.2.網(wǎng)絡(luò)平安融合...................................................-64-

5.3.產(chǎn)品介紹...........................................................-66-

建設(shè)背景

1.1.數(shù)據(jù)中心背景介紹

數(shù)據(jù)中心(英文拼法DataCenter,簡寫DC)是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境,

它是各種IT應(yīng)用服務(wù)的供應(yīng)中心,是數(shù)據(jù)計算、網(wǎng)絡(luò)、存儲的中心。數(shù)據(jù)中心實現(xiàn)了平安

策略的統(tǒng)一部署,IT基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用和數(shù)據(jù)的統(tǒng)一運維管理。

數(shù)據(jù)中心是當(dāng)前各行業(yè)的IT建設(shè)重點。運營商、電力、能源、金融證券、大型企業(yè)、

政府、交通、教化、制造業(yè)、網(wǎng)站和電子商務(wù)公司等正在進行或已完成數(shù)據(jù)中心建設(shè),通過

數(shù)據(jù)中心的建設(shè),實現(xiàn)對IT信息系統(tǒng)的整合和集中管理,提升內(nèi)部的運營和管理效率以及

對外的服務(wù)水平,同時降低IT建設(shè)的TCO。數(shù)據(jù)中心的發(fā)展可分為四個層面:

?數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)整合:依據(jù)業(yè)務(wù)需求,基于開放標準的IP協(xié)議,完成對企業(yè)現(xiàn)有異

構(gòu)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)資源和IT資源的整合,解決如何建設(shè)數(shù)據(jù)中心的問題。

?數(shù)據(jù)中心應(yīng)用智能:基于TCP/IP的開放架構(gòu),保證各種新業(yè)務(wù)和應(yīng)用在數(shù)據(jù)中心的基

礎(chǔ)體系架構(gòu)上平滑部署和升級,滿足用戶的多變需求,保證數(shù)據(jù)中心的持續(xù)服務(wù)和業(yè)務(wù)

連續(xù)性。各種應(yīng)用的平安、優(yōu)化與集成可以無縫的部署在數(shù)據(jù)中心之上。

?數(shù)據(jù)中心虛擬化:傳統(tǒng)的應(yīng)用孤島式的數(shù)據(jù)中心模型擴展性差,核心資源的安排與業(yè)務(wù)

應(yīng)用發(fā)展出現(xiàn)不匹配,使得資源利用不勻稱,導(dǎo)致運行成本提高、現(xiàn)有投資無法達到最

優(yōu)化的利用、新業(yè)務(wù)部署難度增大、現(xiàn)有業(yè)務(wù)持續(xù)性得不到保證、平安面臨威逼。虛擬

化通過構(gòu)建共享的資源池,實現(xiàn)對網(wǎng)絡(luò)資源、計算計算和存儲資源的幾種管理、規(guī)劃和

限制,簡化管理維護、提高設(shè)備資源利用率、優(yōu)化業(yè)務(wù)流程部署、降低維護成本。

?數(shù)據(jù)中心資源智能:通過智能化管理平臺實現(xiàn)對資源的智能化管理,資源智能安排調(diào)度,

構(gòu)建高度智能、自動化數(shù)據(jù)中心。

1.2.XX集團數(shù)據(jù)中心建設(shè)

xx集團的商業(yè)用戶分布在全國各大城市,目前業(yè)務(wù)系統(tǒng)的部署主要集中在和大連,近

年來隨著XX集團業(yè)務(wù)的規(guī)模及多樣化發(fā)展,企業(yè)對信息化的依靠程度越來越高,數(shù)據(jù)集中、

業(yè)務(wù)7*24小時高牢靠支撐對數(shù)據(jù)中心的要求越來越高。經(jīng)綜合考慮,擬在新建數(shù)據(jù)中心,

將來數(shù)據(jù)中心將成為XX集團的主中心,承載全部生產(chǎn)業(yè)務(wù)系統(tǒng)。數(shù)據(jù)中心是集團廣域網(wǎng)匯

聚中心,機房內(nèi)原則上將不放置服務(wù)器。大連數(shù)據(jù)中心是災(zāi)備中心,主要功能是數(shù)據(jù)異地備

份。

此方案主要涉及數(shù)據(jù)中心的網(wǎng)絡(luò)及平安的設(shè)計與部署,并實現(xiàn)與、大連的互連!

需求分析

2.1.應(yīng)用系統(tǒng)分析

xx集團目前的應(yīng)用系統(tǒng)主要包括生產(chǎn)應(yīng)用、辦公應(yīng)用和基礎(chǔ)支撐三大類,這三大類的服

務(wù)器的數(shù)量占比如下圖所示:

在三大類應(yīng)用系統(tǒng)中,每一類又可以細分為多個子類,不同的子類應(yīng)用在流量特征、規(guī)

模和用戶訪問類型上存在較大的差別,這些將會影響到網(wǎng)絡(luò)及平安的方案設(shè)計,下面將進行

進一步的分析:

1.生產(chǎn)應(yīng)用類

?ERP

?百貨

?KTV

?院線

?酒店

?商管

?地產(chǎn)

?網(wǎng)站

流量特征分析:不同類的應(yīng)用,其業(yè)務(wù)負載繁忙特征也有顯著區(qū)分,其中百貨、KTV、

網(wǎng)站應(yīng)用周末繁忙;院線應(yīng)用周二、周六和周日繁忙。繁忙時段網(wǎng)絡(luò)流量明顯上升,而且受

外界因素(如新片上映、節(jié)假日促銷等)影響,存在不確定的突發(fā)流量。

規(guī)模分析:從服務(wù)器的數(shù)量上統(tǒng)計,上述各類應(yīng)用的服務(wù)器數(shù)量占比如下圖所示:

總體來看,院線類服務(wù)器的數(shù)量最多,其次為網(wǎng)站、百貨和KTV。

用戶訪問分析:上述應(yīng)用的訪問用戶相對多樣化,包括集團內(nèi)部員工(如ERP)、集團

外部用戶(如百貨、KTV)和互聯(lián)網(wǎng)公眾用戶(網(wǎng)站、院線)。

2.辦公應(yīng)用類

?0A

?視頻會議

?圖檔

?文件

?其它

流量特征分析:辦公應(yīng)用類服務(wù)器業(yè)務(wù)負載繁忙特征比較單一,繁忙時段集中在工作日

的8小時內(nèi),流量相對較穩(wěn)定。視頻會議對網(wǎng)絡(luò)的質(zhì)量要求最高,服務(wù)質(zhì)量(QoS)要充分

考慮。

規(guī)模分析:從服務(wù)器的數(shù)量上統(tǒng)計,辦公各類應(yīng)用的服務(wù)器數(shù)量占比如下圖所示:

總體來看,0A服務(wù)器的數(shù)量最多,其次為視頻會議。

用戶訪問分析:辦公應(yīng)用的訪問用戶單一,均為集團內(nèi)部用戶。

3.基礎(chǔ)支撐類

?域和身份認證

?DNS

?防病毒

?網(wǎng)管

?桌面管理

流量特征分析:基礎(chǔ)支撐類服務(wù)器業(yè)務(wù)負載繁忙特征比較單一,繁忙時段集中在工作日

的8小時內(nèi)。部分服務(wù)器(如防病毒)的流量特征取決于網(wǎng)絡(luò)管理員的策略。

規(guī)模分析:基礎(chǔ)支撐類物理服務(wù)器數(shù)量不會許多,將來可能會部署許多的虛擬服務(wù)器,

因此此類服務(wù)器對網(wǎng)絡(luò)的擴展要求要對相低,在此不再做進一步的規(guī)模分析。

用戶訪問分析:辦公應(yīng)用的訪問用戶單一,均為集團內(nèi)部用戶。

分析總結(jié):

1.生產(chǎn)應(yīng)用類服務(wù)器的數(shù)量最多,而且此類服務(wù)器將來隨XX業(yè)務(wù)的發(fā)展,規(guī)模會越

來越多,因此生產(chǎn)應(yīng)用類服務(wù)器的接入要充分考慮可擴展性;

2.生產(chǎn)應(yīng)用類服務(wù)器的用戶訪問類型最困難,因此要充分考慮平安訪問策略的設(shè)計;

3.生產(chǎn)應(yīng)用類服務(wù)器的流量特征最困難,流量最大,而且突發(fā)性最強,因此要充分考

慮網(wǎng)絡(luò)的緩沖實力;

4.辦公應(yīng)用類業(yè)務(wù)中,視頻會議對網(wǎng)絡(luò)的傳輸質(zhì)量最為敏感,方案設(shè)計要賜予充分的

QoS和帶寬保證。

5.三大類應(yīng)用系統(tǒng)中,全部業(yè)務(wù)均為7*24小時運行,因此在網(wǎng)絡(luò)的設(shè)計中要保證高

牢靠,設(shè)備和鏈路均采納冗余設(shè)計,對于生產(chǎn)類關(guān)鍵業(yè)務(wù),要保證設(shè)備和鏈路故障

復(fù)原時間在毫秒(ms)級,避開設(shè)備和鏈路故障導(dǎo)致業(yè)務(wù)服務(wù)中斷。

2.2.流量模型分析

xx集團數(shù)據(jù)中心建設(shè)完成后,集團的數(shù)據(jù)訪問流量模型如下圖所示:

大連備份中心廊坊主中心

合作單位用戶公眾用戶

集團內(nèi)部用戶

1.將來三中心的定位:

?中心:XX集團廣域網(wǎng)絡(luò)匯聚中心,各地XX集團均與中心互連。但中心原則上不

部署業(yè)務(wù)系統(tǒng)服務(wù)器,僅做網(wǎng)絡(luò)匯聚;

?空心_數(shù)據(jù)中心將做為XX集團的主數(shù)據(jù)中心,全部業(yè)務(wù)系統(tǒng)均部署在此數(shù)據(jù)中心

內(nèi),承載XX集團全部生產(chǎn)系統(tǒng);

?大連中心:做為數(shù)據(jù)中心內(nèi)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)備份中心,對關(guān)鍵生產(chǎn)系統(tǒng)的數(shù)據(jù)進行

災(zāi)備,原則上不部署業(yè)務(wù)系統(tǒng)服務(wù)器。當(dāng)主中心內(nèi)的數(shù)據(jù)遭到損壞后,可干脆運用

大連中心的備份數(shù)據(jù)。

2.對于集團內(nèi)部用戶(含集團各城市分支機構(gòu))通過集團廣域網(wǎng)絡(luò),在中心進行網(wǎng)絡(luò)匯聚

后,再到數(shù)據(jù)中心訪問業(yè)務(wù)系統(tǒng)。如上圖中紅色虛線數(shù)據(jù)流所示;

3.合作單位用戶通過專線干脆與數(shù)據(jù)中心連接,實現(xiàn)對業(yè)務(wù)系統(tǒng)的干脆訪問,無需經(jīng)過中

心。如上圖中綠色虛線數(shù)據(jù)流所示;

4.公眾用戶干脆通過Internet訪問數(shù)據(jù)中心的WEB系統(tǒng),無需經(jīng)過中心。如上圖中紫色虛

線數(shù)據(jù)流所示。

5.大連備份中心與主中心干脆相連,數(shù)據(jù)備份流量無需通過中心,提高數(shù)據(jù)備份的牢靠性

與效率,縮短時延。考慮到將來的雙活擴展與數(shù)據(jù)的實時同步,建議大連備份中心與主

中心之后采納裸纖或DWDM互連,避開出現(xiàn)帶寬瓶頸。

6.大連中心與中心現(xiàn)有的互連線路保持不變,做為數(shù)據(jù)備份的鏈路備份。同時將來可將部

分集團內(nèi)業(yè)務(wù)部署到大連中心,實現(xiàn)負載分擔(dān)。

2.3.帶寬分析

數(shù)據(jù)中心內(nèi)部的服務(wù)器接入及局域網(wǎng)絡(luò)均采納典型的“千兆接入、萬兆到匯聚”方式,

部分服務(wù)器(如FCoE服務(wù)器等)干脆采納萬兆接入,鏈路帶寬不會成為瓶頸,保證網(wǎng)絡(luò)的

收斂比即可,在此不做帶寬分析。

帶寬分析主要考慮數(shù)據(jù)中心的網(wǎng)絡(luò)出口,對于數(shù)據(jù)中心而言,網(wǎng)絡(luò)出口有以下四個:

1.集團廣域網(wǎng)出口:與中心互連,滿足集團內(nèi)全部員工對業(yè)務(wù)系統(tǒng)的訪問。考慮到牢靠性,

采納雙鏈路(不同運營商);

2.Internet出口:滿足公眾業(yè)務(wù)系統(tǒng)通過互聯(lián)網(wǎng)對外供應(yīng)服務(wù)??紤]到牢靠性,采納雙鏈

路(不同運營商);

3.合作單位專線出口:與合作單位專線互連,此出口的鏈路和帶寬取決與合作單位,在此

不做分析;

4.數(shù)據(jù)備份出口:與大連數(shù)據(jù)中心互連,實現(xiàn)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)備份與同步??紤]到將來的

雙活擴展與數(shù)據(jù)的實時同步,建議采納裸纖或DWDM互連。若采納裸纖或DWDM,帶

寬不會成為瓶頸,因此也無需分析。但要保證高牢靠,建議采納不同纜的多個光纖實現(xiàn)

冗余。

依據(jù)XX集團現(xiàn)有業(yè)務(wù)系統(tǒng)的用戶數(shù)量分析,對數(shù)據(jù)中心網(wǎng)絡(luò)出口帶寬估算如下:

業(yè)務(wù)系統(tǒng)集團廣域網(wǎng)出口Internet出口

ERP按1000用戶設(shè)計,每個用戶N/A

20Kbps帶寬,合計20Mbps

集團/百貨/N/A假設(shè):

院線網(wǎng)站群1.單個頁面300KB

2.用戶等待容忍時間為10秒

3.峰值并發(fā)增長率,通常取30%

按2000個并發(fā)用戶計算,帶寬需求:

2000*300KB*l30%/10=78MB/s=780Mbps

OA/圖檔/郵按1000用戶設(shè)計,每個用戶N/A

件/文件共享50Kbps帶寬,合計50Mbps

視頻會議平均每路2Mbps,按50個城市N/A

(50路),占用100Mbps帶寬

基礎(chǔ)支撐類忽視N/A

合計170Mbps780Mbps

依據(jù)上述數(shù)據(jù)的初步估算,對數(shù)據(jù)中心網(wǎng)絡(luò)出口鏈路選擇建議如下:

1.廣域網(wǎng)出口帶寬為170Mbps,至少采納兩條155MPOS鏈路,滿足帶寬需求的同時

實現(xiàn)鏈路冗余;

2.互聯(lián)網(wǎng)出口帶寬為780Mbps,建議采納兩條千兆鏈路出口(兩個運營商)。

(注:上述數(shù)據(jù)為閱歷數(shù)據(jù),僅供參考!)

三、方案規(guī)劃與設(shè)計

3.1.數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標

XX數(shù)據(jù)中心將來將XX集團承載全部生產(chǎn)環(huán)境系統(tǒng)。數(shù)據(jù)中心網(wǎng)絡(luò)作為業(yè)務(wù)網(wǎng)絡(luò)的一

個重要組成部分,為核心業(yè)務(wù)系統(tǒng)服務(wù)器和存儲設(shè)備供應(yīng)平安牢靠的接入平臺。網(wǎng)絡(luò)建設(shè)應(yīng)

達成以下目標:

高可用一一網(wǎng)絡(luò)作為數(shù)據(jù)中心的基礎(chǔ)設(shè)施,網(wǎng)絡(luò)的高可用干脆影響到業(yè)務(wù)系統(tǒng)的可用

性。網(wǎng)絡(luò)層的高可用至少包括高牢靠、高平安和先進性三個方面:

?高牢靠:應(yīng)采納高牢靠的產(chǎn)品和技術(shù),充分考慮系統(tǒng)的應(yīng)變實力、容錯實力和糾錯

實力,確保整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施運行穩(wěn)定、牢靠。當(dāng)今,關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與性

能要求比任何時候都更為重要。

?高平安:網(wǎng)絡(luò)基礎(chǔ)設(shè)計的平安性,涉及到XX業(yè)務(wù)的核心數(shù)據(jù)平安。應(yīng)依據(jù)端到端

訪問平安、網(wǎng)絡(luò)L2-L7層平安兩個維度對平安體系進行設(shè)計規(guī)劃,從局部平安、

全局平安到智能平安,將平安理念滲透到整個數(shù)據(jù)中心網(wǎng)絡(luò)中。

?先進性:數(shù)據(jù)中心將長期支撐XX集團的業(yè)務(wù)發(fā)展,而網(wǎng)絡(luò)又是數(shù)據(jù)中心的基礎(chǔ)支

撐平臺,因此數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)須要考慮后續(xù)的機會成本,采納主流的、先進的

技術(shù)和產(chǎn)品(如數(shù)據(jù)中心級設(shè)備、CEE、FCoE、虛擬化支持等),保證基礎(chǔ)支撐

平臺5?10年內(nèi)不會被淘汰,從而實現(xiàn)投資的愛護。

易擴展一一XX集團的業(yè)務(wù)目前已向多元化發(fā)展,將來的業(yè)務(wù)范圍會更多更廣,業(yè)務(wù)

系統(tǒng)頻繁調(diào)整與擴展再所難免,因此數(shù)據(jù)中心網(wǎng)絡(luò)平臺必需能夠適應(yīng)業(yè)務(wù)系統(tǒng)的頻繁調(diào)整,

同時在性能上應(yīng)至少能夠滿足將來5?10年的業(yè)務(wù)發(fā)展。對于網(wǎng)絡(luò)設(shè)備的選擇和協(xié)議的部

署,應(yīng)遵循業(yè)界標準,保證良好的互通性和互操作性,支持業(yè)務(wù)的快速部署。

易管理一一數(shù)據(jù)中心是IT技術(shù)最為密集的地方,數(shù)據(jù)中心的設(shè)備繁多,各種協(xié)議和應(yīng)

用部署越來越困難,對運維人員的要求也越來越高,單獨依靠運維人員個人的技術(shù)實力和業(yè)

務(wù)實力是無法保證業(yè)務(wù)運行的持續(xù)性的。因此數(shù)據(jù)中心須要供應(yīng)完善的運維管理平臺,對數(shù)

據(jù)中心IT資源進行全局掌控,削減日常的運維的人為故障。同時一旦出現(xiàn)故障,能夠借助

工具直觀、快速定位。

3.2.總體設(shè)計思路及原則

數(shù)據(jù)中心為XX集團業(yè)務(wù)網(wǎng)絡(luò)、日常辦公與外聯(lián)單位供應(yīng)數(shù)據(jù)訪問、OA和視頻等服務(wù),

以及各業(yè)務(wù)的平安隔離限制。數(shù)據(jù)中心并不是孤立存在的,而是與大連中心、網(wǎng)絡(luò)匯聚中心

外聯(lián)單位網(wǎng)絡(luò)等網(wǎng)絡(luò)區(qū)域相輔相成,數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)是業(yè)務(wù)數(shù)據(jù)的傳輸通道,將數(shù)據(jù)的計

算和數(shù)據(jù)存儲有機的結(jié)合在一起。為保證數(shù)據(jù)中心網(wǎng)絡(luò)的高可用、易擴展、易管理,數(shù)據(jù)中

心網(wǎng)絡(luò)架構(gòu)需依據(jù)結(jié)構(gòu)化、模塊化和扁平化的原則設(shè)計:

?結(jié)構(gòu)化

結(jié)構(gòu)化的網(wǎng)絡(luò)設(shè)計便于上層協(xié)議的部署和網(wǎng)絡(luò)的管理,提高網(wǎng)絡(luò)的收斂速度,實現(xiàn)高牢

靠。數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)化設(shè)計體現(xiàn)在適當(dāng)?shù)娜哂嘈院途W(wǎng)絡(luò)的對稱性兩個方面。如下圖所示:

(不合理的冗余)(合理的冗余)

適當(dāng)?shù)娜哂嘈?/p>

網(wǎng)絡(luò)的對稱性

冗余的引入可以消退設(shè)備和鏈路的單點故障,但是過度的冗余同樣會使網(wǎng)絡(luò)過于困難,

不便于運行和維護,因此一般采納雙節(jié)點雙歸屬的架構(gòu)設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)的對稱,可以使得網(wǎng)絡(luò)

設(shè)備的配置簡化、拓撲直觀,有助于協(xié)議設(shè)計分析。

在數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計時,由于引入了冗余和對稱的設(shè)計,這必將引入網(wǎng)絡(luò)的環(huán)路,可通

過如下建設(shè)思路消退環(huán)路影響:

1.啟用STP和VRRP協(xié)議

傳統(tǒng)解決方案,標準的協(xié)議,設(shè)備要求較低。但此種部署方案網(wǎng)絡(luò)的協(xié)議部署困難,收

斂慢,鏈路帶寬利用率低,運維管理工作量大。本方案設(shè)計不采納此方法。

2.IRF網(wǎng)絡(luò)設(shè)備N:1虛擬化技術(shù)

通過H3cIRF技術(shù)對同一層面的設(shè)備進行橫向整合,將兩臺或多臺設(shè)備虛擬為一臺設(shè)

務(wù),統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一管理,并實現(xiàn)跨設(shè)備的鏈路捆綁。因此不會引入環(huán)路,無需部署STP

和VRRP等協(xié)議,簡化網(wǎng)絡(luò)協(xié)議的部署,大大縮短設(shè)備和鏈路收斂時間(毫秒級),鏈路

負載分擔(dān)方式工作,利用率大大提升。

傳統(tǒng)MSTP+VRRP部署方式IRF網(wǎng)絡(luò)N:1虛擬化部署

在本方案的設(shè)計中,將采納端到端的IRF部署,滿足網(wǎng)絡(luò)高牢靠的同時,簡化網(wǎng)絡(luò)運

維管理。

?模塊化

構(gòu)建數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)時,應(yīng)采納模塊化的設(shè)計方法,將數(shù)據(jù)中心劃分為不同的功能區(qū)

域,用于實現(xiàn)不同的功能或部署不同的應(yīng)用,使得整個數(shù)據(jù)中心的架構(gòu)具備可伸縮性、敏捷

性、和高可用性。數(shù)據(jù)中心中的服務(wù)器將會依據(jù)服務(wù)器上的應(yīng)用的用戶訪問特性和應(yīng)用的功

能不同部署在不同的區(qū)域中。如下圖所示:

網(wǎng)絡(luò)接入?yún)^(qū)

X

互聯(lián)網(wǎng)接入廣域網(wǎng)接入外聯(lián)單位接入辦公局域網(wǎng)

接入

數(shù)據(jù)中心核心交換區(qū)

數(shù)據(jù)中心網(wǎng)絡(luò)分為網(wǎng)絡(luò)接入?yún)^(qū)、數(shù)據(jù)中心核心交換區(qū)和服務(wù)器接入?yún)^(qū)三大功能區(qū)域,其

中網(wǎng)絡(luò)接入?yún)^(qū)和服務(wù)器接入?yún)^(qū)依據(jù)服務(wù)類型的不同,可進行子區(qū)的細分,具體參見“業(yè)務(wù)分

區(qū)”章節(jié)的描述。

數(shù)據(jù)中心核心區(qū)用于承接各區(qū)域之間的數(shù)據(jù)交換,是整個數(shù)據(jù)中心的核心樞紐,因此核

心交換機設(shè)備應(yīng)選用牢靠性高的數(shù)據(jù)中心級設(shè)備部署。

在進行模塊化設(shè)計時,盡量做到各模塊之間松耦合,這樣可以很好的保證數(shù)據(jù)中心的業(yè)

務(wù)擴展性,擴展新的業(yè)務(wù)系統(tǒng)或模塊時不須要對核心或其它模塊進行改動。同時模塊化設(shè)計

也可以很好的分散風(fēng)險,在某一模塊(除核心區(qū)外)出現(xiàn)故障時不會影響到其它模塊,將數(shù)

據(jù)中心的故障影響降到最小。

?扁平化

數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)依據(jù)接入密度和分為三層架構(gòu)和二層架構(gòu),如下圖所示:

三層架構(gòu)二層架構(gòu)

傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)通常米納三層架構(gòu)進行組網(wǎng),三層架構(gòu)可以保證網(wǎng)絡(luò)具備很好的擴

展性,同一個分區(qū)內(nèi)服務(wù)器接入密度高。但三層架構(gòu)網(wǎng)絡(luò)設(shè)備較多,不便于網(wǎng)絡(luò)管理,運維

工作量大。同時組網(wǎng)成本相對較高。

隨著網(wǎng)絡(luò)交換技術(shù)的不斷發(fā)展,交換機的端口接入密度也越來越高,二層組網(wǎng)的擴展性

和密度已經(jīng)能夠很好的滿足企業(yè)數(shù)據(jù)中心服務(wù)器接入的要求。同時在服務(wù)器虛擬化技術(shù)應(yīng)用

越來越廣泛的趨勢下,二層架構(gòu)更簡潔實現(xiàn)VLAN的大二層互通,滿足虛擬機的部署和遷

移。相比三層架構(gòu),二層架構(gòu)可以大大簡化網(wǎng)絡(luò)的運維與管理。

綜合上述因素,數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計采納二層扁平化架構(gòu),滿足擴展性的同時,實現(xiàn)易

管理。

3.3.業(yè)務(wù)分區(qū)

依據(jù)3.2章節(jié)中的“模塊化”設(shè)計原則,須要對業(yè)務(wù)系統(tǒng)進行分區(qū)。從技術(shù)看,業(yè)務(wù)分

區(qū)須要遵循以下原則:

?分區(qū)優(yōu)先考慮訪問限制的平安性,單個應(yīng)用訪問盡量在一個區(qū)域內(nèi)部完成,單個區(qū)

域故障僅影響一類應(yīng)用,盡量削減區(qū)域間的業(yè)務(wù)耦合度;

?區(qū)域總數(shù)量的限制:但區(qū)域多則運維管理的困難度和設(shè)備投資增加,區(qū)域總數(shù)量有

運維上限不超過20個;

?單個區(qū)域內(nèi)服務(wù)器數(shù)量的限制:受機房空間、二層域大小、接入設(shè)備容量限制,單

個區(qū)域內(nèi)服務(wù)器數(shù)量有限(通常不超過200臺)。

?接入層設(shè)備利用率的限制:受機房布局的影響,假如每個機房都要部署多個平安區(qū)

的接入交換機,會導(dǎo)致接入交換機資源奢侈,端口利用率低,因此平安區(qū)的數(shù)量不

宜過多。

?防火墻性能的限制:區(qū)域之間的流量假如超過10G,則須要考慮通過防火墻橫向擴

容,或區(qū)域調(diào)整的方式分擔(dān)流量。

在實際的數(shù)據(jù)中心分區(qū)設(shè)計中,通常有以下三種分區(qū)方法:

1.依據(jù)業(yè)務(wù)功能進行分區(qū):依據(jù)業(yè)務(wù)系統(tǒng)的功能(如生產(chǎn)、OA、支撐等)或業(yè)務(wù)的

實時性(實時業(yè)務(wù)、非實時業(yè)務(wù))或者業(yè)務(wù)系統(tǒng)的功能(如ERP、營銷、財務(wù)等)

進行分區(qū)劃分,此分區(qū)方法適合大多數(shù)企業(yè)數(shù)據(jù)中心;

2.依據(jù)平安等保級別進行分區(qū):依據(jù)業(yè)務(wù)系統(tǒng)的平安等級定義進行劃分,如“三級系

統(tǒng)獨立成域,二級系統(tǒng)統(tǒng)一成域”,此分區(qū)方法適合政府、電力等行業(yè)數(shù)據(jù)中心;

3.依據(jù)服務(wù)器類型進行分區(qū):一般分為WEB服務(wù)器區(qū)、APP/中間件服務(wù)器區(qū)、DB

服務(wù)器區(qū)。此分區(qū)適合互聯(lián)網(wǎng)企業(yè)等數(shù)據(jù)中心。

依據(jù)需求調(diào)研時了解的XX集團業(yè)務(wù)系統(tǒng)分布狀況,結(jié)合業(yè)務(wù)系統(tǒng)的用戶類型,數(shù)據(jù)中

心的分區(qū)設(shè)計依據(jù)業(yè)務(wù)功能進行分區(qū)。分區(qū)設(shè)計如下:

數(shù)據(jù)中心核心區(qū)管

區(qū)

各區(qū)域業(yè)務(wù)系統(tǒng)部署描述如下:

辦公局域網(wǎng)區(qū):XX數(shù)據(jù)中心大樓辦公網(wǎng)絡(luò),包括終端、樓層接入與匯聚。

廣域網(wǎng)接入?yún)^(qū):與網(wǎng)絡(luò)匯聚中心廣域網(wǎng)絡(luò)互連,網(wǎng)絡(luò)出口。

外聯(lián)網(wǎng)接入應(yīng)用區(qū):與合作單位的專線互連,此區(qū)域也包括合作單位的業(yè)務(wù)前置機服務(wù)器。

互聯(lián)網(wǎng)接入應(yīng)用區(qū):互聯(lián)網(wǎng)出口,此區(qū)域也包括集團網(wǎng)站群WEB服務(wù)器、集團郵件系統(tǒng)、

DNS服務(wù)器等。

百貨應(yīng)用區(qū):此區(qū)域部署與百貨相關(guān)的應(yīng)用服務(wù)器,包括百貨促銷、MIS、BI等應(yīng)用系統(tǒng)。

KTV應(yīng)用區(qū):此區(qū)域部署與KTV相關(guān)的應(yīng)用服務(wù)器,包括FTP、管控、WEB、DB等應(yīng)用

系統(tǒng)。

院線應(yīng)用區(qū):此區(qū)域部署與院線相關(guān)的應(yīng)用服務(wù)器,包括火鳳凰、會員等應(yīng)用系統(tǒng)。

OA應(yīng)用區(qū):此區(qū)域部署集團內(nèi)部的0A應(yīng)用服務(wù)器,包括OA、RTX、泛微、圖檔、視頻

會議、文件、網(wǎng)絡(luò)教學(xué)、網(wǎng)上招投標等應(yīng)用系統(tǒng)。

ERP/財務(wù)應(yīng)用區(qū):部署集團內(nèi)部的ERP和財務(wù)應(yīng)用服務(wù)器。

其它應(yīng)用區(qū):部署商管、地產(chǎn)、酒店等應(yīng)用服務(wù)器。

開發(fā)測試區(qū):此區(qū)域用于集團內(nèi)部信息系統(tǒng)的開發(fā)與測試,或新系統(tǒng)上線前的測試部署。

災(zāi)備接入應(yīng)用區(qū):此區(qū)域與大連中心互聯(lián),實現(xiàn)數(shù)據(jù)級的異地災(zāi)備。同時此區(qū)域可以部署一

些本地的重要系統(tǒng)備份應(yīng)用。

支撐管理區(qū):此區(qū)域部署數(shù)據(jù)中心網(wǎng)絡(luò)、平安、服務(wù)器、存儲等IT資源的運維管理系統(tǒng),

此外包括集團內(nèi)部的域管理和身份認證服務(wù)器。

數(shù)據(jù)空心掾恒此區(qū)域用于實現(xiàn)各分區(qū)之間的數(shù)據(jù)交互,是數(shù)據(jù)中心網(wǎng)絡(luò)平臺的核心樞紐,

無服務(wù)器部署。

3.4.網(wǎng)絡(luò)設(shè)計

結(jié)合上述的業(yè)務(wù)分區(qū),依據(jù)結(jié)構(gòu)化、模塊化、扁平化的設(shè)計原則,實現(xiàn)高可用、易擴展、

易管理的建設(shè)目標。網(wǎng)絡(luò)整體拓撲如下圖所示:

整體網(wǎng)絡(luò)拓撲采納扁平化兩層組網(wǎng)架構(gòu),從數(shù)據(jù)中心核心區(qū)干脆到服務(wù)器接入,省去了

中間的匯聚層,這種扁平化的網(wǎng)絡(luò)結(jié)構(gòu)有以下優(yōu)點:

?簡化網(wǎng)絡(luò)拓撲,降低網(wǎng)絡(luò)運維的難度;

?服務(wù)器區(qū)簡潔構(gòu)建大二層網(wǎng)絡(luò),更適合將來的虛擬機大量部署及遷移;

?服務(wù)器接入交換機將來的擴展可干脆在現(xiàn)有的IRF虛擬組添加成員交換機,擴展

便利。

對于數(shù)據(jù)中心的網(wǎng)絡(luò)平安部署,在本方案中采納了''分布式平安部署”的策略,防火墻

形態(tài)采納了H3csecBlade平安插卡,實現(xiàn)網(wǎng)絡(luò)平安的融合。具體的平安設(shè)計參與“3.5平安

設(shè)計”章節(jié)。

縱觀整體方案拓撲,在此方案設(shè)計與部署時共采納了IRF虛擬化、網(wǎng)絡(luò)平安融合、智

能管理三種H3C特有的關(guān)鍵技術(shù)(具體參見5.2章節(jié)相關(guān)介紹),在保證數(shù)據(jù)中心的高牢靠的

同時,簡化網(wǎng)絡(luò)運維管理,同時供應(yīng)了智能化的管理工具平臺。

3.4.1.核心交換區(qū)

?功能描述

核心交換區(qū)的主要功能是完成各服務(wù)器功能分區(qū)、辦公局域網(wǎng)、外聯(lián)網(wǎng)、互聯(lián)網(wǎng)之間數(shù)

據(jù)流量的高速交換,是廣域/局域縱向流量與服務(wù)功能分區(qū)間橫向流量的交匯點。核心交換

區(qū)必需具備高速轉(zhuǎn)發(fā)的實力,同時還須要有很強的擴展實力,以便應(yīng)對將來業(yè)務(wù)的快速增長。

核心模塊是整個平臺的樞紐。因此,牢靠性是衡量核心交換區(qū)設(shè)計的關(guān)鍵指標。否則,一旦

核心模塊出現(xiàn)異樣而不能剛好復(fù)原的話,會造成整個平臺業(yè)務(wù)的長時間中斷,影響巨大。

?拓撲設(shè)計

辦公局域網(wǎng)廣域網(wǎng)外聯(lián)網(wǎng)區(qū)互聯(lián)網(wǎng)區(qū)

接入?yún)^(qū)接入?yún)^(qū)

多個萬兆端口NetStram網(wǎng)絡(luò)流

捆綁,提高設(shè)量分析,實現(xiàn)全

備間橫向單寬網(wǎng)智能分析J

核心交換區(qū)

分區(qū)1分區(qū)2分區(qū)N支撐管理區(qū)

?設(shè)計要點

1.高牢靠

核心交換設(shè)備選用數(shù)據(jù)中心級核心交換機,配置雙引擎,雙電源,保證網(wǎng)絡(luò)組件層面的

穩(wěn)定性。

網(wǎng)絡(luò)架構(gòu)層面,采納雙核心設(shè)計,兩臺設(shè)備進行冗余,并通過虛擬化技術(shù)進行橫向整合,

將兩臺物理設(shè)備虛擬化為一臺邏輯設(shè)備,并實現(xiàn)跨設(shè)備的鏈路捆綁,所各分區(qū)的交換機IRF

相協(xié)作,實現(xiàn)端到端IRF部署。兩臺設(shè)備工作在雙活模式,縮短鏈路故障與設(shè)備故障的倒換

時間(毫秒級),保證出現(xiàn)單點故障時不中斷業(yè)務(wù)。

為保證出現(xiàn)單點故障(鏈路/設(shè)備)時另一臺設(shè)備能夠完全接管業(yè)務(wù),各功能模塊通過

“口”字形上行與核心模塊互連。

2.高速傳輸

本次網(wǎng)絡(luò)設(shè)計容量應(yīng)保證將來3?5年內(nèi)的業(yè)務(wù)擴展,本設(shè)計采納“萬兆到核心,千兆

接入”的思路,核心模塊對外接口為全萬兆接口。

3.易于擴展

依據(jù)“核心一邊緣架構(gòu)”的設(shè)計原則,核心模塊應(yīng)避開部署訪問限制策略(如ACL、路

由過濾等),保證核心模塊業(yè)務(wù)的單純性與松耦合,便于下聯(lián)功能模塊擴展時,不影響核心

業(yè)務(wù),同時可以提高核心模塊的穩(wěn)定性。

4.智能分析

針對各個區(qū)域的業(yè)務(wù)流量改變趨勢,本次在核心交換機上部署網(wǎng)絡(luò)流量分析模塊,可以

實時感知,并作為網(wǎng)絡(luò)優(yōu)化及調(diào)整的依據(jù)。

3.4.2.服務(wù)器接入?yún)^(qū)

?功能描述

服務(wù)器接入?yún)^(qū)用于完成服務(wù)器的LAN網(wǎng)絡(luò)接入,依照3.3章節(jié)的業(yè)務(wù)分區(qū)設(shè)計,涉及到

服務(wù)器接入的業(yè)務(wù)分區(qū)包括百貨應(yīng)用區(qū)、KTV應(yīng)用區(qū)、院線應(yīng)用區(qū)、ERP/財務(wù)應(yīng)用區(qū)、開發(fā)

測試區(qū)、支撐管理區(qū)、其它應(yīng)用區(qū),這些區(qū)域雖然部署的應(yīng)用服務(wù)器類型不一樣,設(shè)備的選

型要求也不一樣,但對于網(wǎng)絡(luò)拓撲設(shè)計來說是一樣的,因此在方案設(shè)計時,這些區(qū)域的網(wǎng)絡(luò)

拓撲設(shè)計將在此統(tǒng)一進行描述。

?拓撲設(shè)計

服務(wù)器接入?yún)^(qū)1

注:院線應(yīng)用區(qū)若部署院線WEB服務(wù)器,則服務(wù)器接入交換機上除了部署FW插卡外,還頊

要部署IPS和SLB插卡。

?設(shè)計要點

1.服務(wù)器接入交換機部署雙機,并采納IRF虛擬化,將兩臺物理設(shè)備虛擬化為一臺邏輯設(shè)

備,實現(xiàn)跨設(shè)務(wù)鏈路捆綁,與核心交換機協(xié)作實現(xiàn)端到端IRF。此外服務(wù)器雙網(wǎng)關(guān)配置

成雙活模式(Active-Active),;

2.各服務(wù)器接入交換機上部署SecBladeFW插卡,用于本區(qū)域與其它區(qū)域的訪問限制策略

部署。院線應(yīng)用區(qū)部署FW+IPS+LB插卡;

3.服務(wù)器網(wǎng)關(guān)部署在接入交換機上,防火墻插卡與接入交換機以及核心交換機之間運行

OSPF動態(tài)路由,實現(xiàn)FW的雙機熱備。

3.4.3.互聯(lián)網(wǎng)區(qū)

?功能描述

互聯(lián)網(wǎng)區(qū)用于部署集團WEB服務(wù)器、院線WEB服務(wù)器(若須要),以及集團的DNS、FTP、

E-mail等須要通過互聯(lián)網(wǎng)對公眾用戶供應(yīng)服務(wù)器的應(yīng)用系統(tǒng)。

?拓撲設(shè)計

?設(shè)計要點

1.Internet出口采納雙運營商鏈路,保證用戶訪問效率的同時,實現(xiàn)鏈路的冗余;

2.服務(wù)器接入交換機部署雙機,并采納IRF虛擬化,將兩臺物理設(shè)備虛擬化為一臺邏輯設(shè)

備,實現(xiàn)跨設(shè)務(wù)鏈路捆綁,與服務(wù)器雙網(wǎng)卡協(xié)作實現(xiàn)雙活(Active-Active);

3.采納雙層防火墻部署,外層防火墻用于實現(xiàn)Internet與WEB、DNS、Email、FTP等公網(wǎng)

服務(wù)器的隔離,實現(xiàn)公網(wǎng)服務(wù)器的分域,并配置DMZ區(qū)域保證平安。內(nèi)層防火墻用于實

現(xiàn)公網(wǎng)服務(wù)器與數(shù)據(jù)中心內(nèi)部其它服務(wù)器之間的隔離,部署內(nèi)部區(qū)域間的訪問限制策

略。外層防火墻采納獨立設(shè)備、內(nèi)層防火墻采納在服務(wù)器接入交換機上部署SecBladeFW

插卡。

4.由于Internet區(qū)部署了較多的網(wǎng)站等WEB服務(wù)器,因此須要部署LB和IPS設(shè)備。來保

證負載分擔(dān)和L2t7層平安過濾。

3.4.4.外聯(lián)網(wǎng)區(qū)

?功能描述

外聯(lián)網(wǎng)區(qū)用于實現(xiàn)與合作單位的專線網(wǎng)絡(luò)進行互聯(lián),并部署合作單位的前置機服務(wù)器。

?拓撲設(shè)計

合作單位銀行

?設(shè)計要點

1.服務(wù)器接入交換機部署雙機,并采納IRF虛擬化,將兩臺物理設(shè)備虛擬化為一臺邏輯設(shè)

備,實現(xiàn)跨設(shè)務(wù)鏈路捆綁,與服務(wù)器雙網(wǎng)卡協(xié)作實現(xiàn)雙活(Active-Active);

2.采納雙層防火墻部署,外層防火墻用于實現(xiàn)前置機服務(wù)器與合作單位網(wǎng)絡(luò)的隔離,可部

署NAT。內(nèi)層防火墻用于實現(xiàn)前置機服務(wù)器與數(shù)據(jù)中心內(nèi)部其它服務(wù)器之間的隔離,部

署內(nèi)部區(qū)域間的訪問限制策略。外層防火墻H3csecBladeFW插卡、內(nèi)層防火墻可采納

非H3C的第三方FW獨立設(shè)備進行異構(gòu),加強平安性。

3.服務(wù)器接入交換機上部署SecBladeIPS插卡,實現(xiàn)L2~L7層平安過濾。

3.4.5.廣域網(wǎng)接入?yún)^(qū)

?功能描述

廣域網(wǎng)接入?yún)^(qū)用于實現(xiàn)與網(wǎng)絡(luò)匯聚中心的互連,保證集團內(nèi)部用戶通過廣域網(wǎng)訪問數(shù)據(jù)

中心內(nèi)的業(yè)務(wù)系統(tǒng)。(必要時也可考慮與大連數(shù)據(jù)中心互聯(lián))

?拓撲設(shè)計

?設(shè)計要點

1.廣域網(wǎng)出口路由器部署雙機,出口鏈路為雙鏈路,保證廣域網(wǎng)出口高牢靠;

2.防火墻采納路由器上部署SecBladeFW插卡。

3.4.6.災(zāi)備接入?yún)^(qū)

?功能描述

災(zāi)備接入?yún)^(qū)用于實現(xiàn)數(shù)據(jù)中心與大連災(zāi)備中心的互連,實現(xiàn)SAN和LAN網(wǎng)絡(luò)雙中心的互

通,保證數(shù)據(jù)同步復(fù)制。同時通過將兩中心的VLAN二層打通,實現(xiàn)跨數(shù)據(jù)中心的大二層網(wǎng)

絡(luò),便于虛擬機業(yè)務(wù)遷移和跨地域服務(wù)器集群。

?拓撲設(shè)計

?設(shè)計要點

1.數(shù)據(jù)中心與大連災(zāi)備中心之間采納雙路裸纖做災(zāi)備互連鏈路,并采納DWDM進行復(fù)用。

2.SAN網(wǎng)絡(luò)干脆通過光纖上DWDM波分設(shè)備,實現(xiàn)數(shù)據(jù)存儲備份通道的互通。LAN網(wǎng)絡(luò)通過

在服務(wù)器網(wǎng)關(guān)交換機設(shè)備上通過VLANTrunk到匯接交換機,然后再上DWDM設(shè)備,實現(xiàn)

雙中心之間的大二層VLAN互通。

3.匯接交換機部署IRF,實現(xiàn)雙纖捆綁,保證鏈路的牢靠性。

4.跨地域的二層打通后,可以實現(xiàn)網(wǎng)關(guān)設(shè)備跨地域部署VRRP,保證雙中心服務(wù)器集群時網(wǎng)

關(guān)的切換。

3.5.平安設(shè)計

3.5.1.平安設(shè)計原則

平安與網(wǎng)絡(luò)密不行分,本方案中的平安設(shè)計部署采納了與網(wǎng)絡(luò)分區(qū)相同的平安域劃分,

同時采納SecBlade平安插卡實現(xiàn)了網(wǎng)絡(luò)與平安設(shè)備形態(tài)的融合。整個方案的平安部署采納

了目前應(yīng)用廣泛的“分布式平安部署”方法,如下圖右側(cè)所示:

集中式安全部署分布式安全部署

安全區(qū)1安全區(qū)3

VLAN1VLAN2VLAN2VLAN1VLAN2

VLAN3VLAN,

T

、、、網(wǎng)絡(luò)核心層

安全區(qū)4安全區(qū)6

VLAN1VLAN2VLANVLAN1VLAN2

安全區(qū)

安全設(shè)備集中部署在安全設(shè)備下移到各業(yè)4

核心區(qū)

務(wù)區(qū)出口,分布式在VLAN1VLAN2

、各服務(wù)器接入層

分布式平安部署具有以下優(yōu)勢:

?分散風(fēng)險:傳統(tǒng)的集中式平安部署一般將防火墻旁掛在核心交換機兩側(cè),這樣一旦防火

墻出現(xiàn)故障,數(shù)據(jù)中心內(nèi)的全部業(yè)務(wù)區(qū)都將不能訪問,整個數(shù)據(jù)中心的全部業(yè)務(wù)均會中

斷,風(fēng)險和性能壓力都集中在防火墻上。而采納分布式部署后,防火墻出現(xiàn)故障只會影

響到本區(qū)域的業(yè)務(wù),進而實現(xiàn)風(fēng)險和性能的分散,提高了整個數(shù)據(jù)中心的牢靠性;

?敏捷擴展:分部式平安部署,核心交換機原則上不部署任何與業(yè)務(wù)分區(qū)之間的平安策略,

可實現(xiàn)核心區(qū)與各業(yè)務(wù)分區(qū)之間的松耦合,在新增模塊或業(yè)務(wù)系統(tǒng)時,無需更改核心設(shè)

備的配置,減小核心區(qū)出現(xiàn)故障的機率,保證核心區(qū)的高牢靠與業(yè)務(wù)分區(qū)的敏捷擴展;

?簡化平安策略部署:防火墻下移到各業(yè)務(wù)分區(qū)的出口,防火墻上部署的平安策略可大大

簡化,默認僅須要劃分兩個平安域(受信域與非受信域),采納白名單方式下發(fā)策略,

削減了策略的交叉。

3.5.2.SecBladeFW插卡部署

防火墻設(shè)備在數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)中為內(nèi)部系統(tǒng)供應(yīng)了平安和牢靠性保障。防火墻主要部

署在數(shù)據(jù)中心的兩個常見區(qū)域中:數(shù)據(jù)中心出口區(qū)域和服務(wù)器區(qū)域。在數(shù)據(jù)中心出口區(qū)域部

署防火墻可以保障來自Internet和合作伙伴的用戶的平安性,避開未經(jīng)授權(quán)的訪問和網(wǎng)絡(luò)

攻擊。在數(shù)據(jù)中心服務(wù)器區(qū)域部署防火墻可以避開不同服務(wù)器系統(tǒng)之間的相互干擾,通過自

定義防火墻策略還可以供應(yīng)更具體的訪問機制。

防火墻插卡設(shè)備雖然部署在交換機框中,但仍舊可以看作是一個獨立的設(shè)備。它通過交

換機內(nèi)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連,它可以部署為2層透亮設(shè)備和三層路由設(shè)備。防火

墻與交換機之間的三層部署方式與傳統(tǒng)盒式設(shè)備類似。

如上圖FW三層部署所示,防火墻可以與宿主交換機干脆建立三層連接,也可以與上游

或下游設(shè)備建立三層連接,不同連接方式取決于用戶的訪問策略。可以通過靜態(tài)路由和缺省

路由實現(xiàn)三層互通,也可以通過OSPF這樣的路由協(xié)議供應(yīng)動態(tài)的路由機制。假如防火墻部

署在服務(wù)器區(qū)域,可以將防火墻設(shè)計為服務(wù)器網(wǎng)關(guān)設(shè)備,這樣全部訪問服務(wù)器的三層流量都

將經(jīng)過防火墻設(shè)備,這種部署方式可以供應(yīng)區(qū)域內(nèi)部服務(wù)器之間訪問的平安性。

XX集團數(shù)據(jù)中內(nèi)部,整體平安采納分布式部署設(shè)計,己經(jīng)對不同的業(yè)務(wù)系統(tǒng)進行了分

區(qū),整體平安邊界清晰。為簡化SecBladeFW的配置,提高網(wǎng)關(guān)性能,將服務(wù)器的網(wǎng)關(guān)均部

署在接入交換機上,SecBladeFW插卡僅部署本分區(qū)內(nèi)與其它分區(qū)之間的平安策略。若本

分區(qū)內(nèi)各服務(wù)器之間有隔離需求,建議在接入交換機上采納ACL方式實現(xiàn)。如下圖所示:

分區(qū)2

對于僅部署SecBladeFW插卡的業(yè)務(wù)區(qū)(如百貨、KTV、ERP/財務(wù)、開發(fā)測試、支撐管

理、外聯(lián)網(wǎng)區(qū)),區(qū)域內(nèi)的平安部署邏輯拓撲如下圖所示:

?接入交換機雙機部署IRF虛擬化,并實現(xiàn)跨設(shè)備鏈路捆綁。兩塊SecBladeFW插卡邏輯

上相當(dāng)于插在同一臺交換機上。

?每臺接入交換機邏輯上均可以看成一臺L2交換機與一臺L3交換機的疊加,服務(wù)器網(wǎng)關(guān)

部署在交換機上。

?SecBlade通過內(nèi)部的10GE接口與交換機互連,并創(chuàng)建多個L3接口進行引流,讓全部

流經(jīng)服務(wù)器的流量均經(jīng)過FW過濾。兩塊FW插卡通過帶外狀態(tài)同步線(心跳線)進行狀

態(tài)同步,F(xiàn)W插卡之間通過OSPF動態(tài)路由實現(xiàn)熱備或負載分擔(dān)(ECMP)o

3.5.3.SecBladeFW+IPS+LB組合部署

對于XX數(shù)據(jù)中心的院線應(yīng)用區(qū)、互聯(lián)網(wǎng)應(yīng)用區(qū),須要涉及到FW+IPS+LB的組合部署,

FW插卡的基本特性3.5.2章節(jié)已做描述,下面先介紹IPS和LB插卡的基本組網(wǎng):

?SecBladeIPS基本組網(wǎng)設(shè)計

SecBladeIPS插卡為數(shù)據(jù)中心內(nèi)部供應(yīng)了更堅實的平安愛護機制。通過IPS的深度檢

測功能可以有效愛護內(nèi)部服務(wù)器避開受到病毒、蠕蟲、程序漏洞和DDOS等來自應(yīng)用層的平

安威逼。

IPS插卡通過OAA(開放的應(yīng)用架構(gòu))技術(shù)與宿主交換機協(xié)作運用??梢酝ㄟ^傳統(tǒng)的流

量重定向方式將須要IPS處理的業(yè)務(wù)流重定向到IPS插卡上處理,也可以通過OAA方式在

IPS的IVeb頁面上配置重定向策略,這兩種方式都可以實現(xiàn)相同的功能。由于不同交換機設(shè)

備對OAA的支持程度不同。我們舉薦在本方案中采納重定向策略引流。

由于IPS插卡在整個網(wǎng)絡(luò)中屬于2層透亮轉(zhuǎn)發(fā)設(shè)備,不會對報文進行任何修改,整個網(wǎng)

絡(luò)從連通性上看加入IPS后不會產(chǎn)生任何改變影響。因此建議實施的時候?qū)⑵浞旁谧罱K進行

上線配置,即其他設(shè)備都調(diào)試0K,流量轉(zhuǎn)發(fā)與HA設(shè)計都以正常實現(xiàn)狀況下再進行IPS的部

署實施。

SecBladeIPS組網(wǎng)結(jié)構(gòu)流量圖

SecBladeIPS不會對報文進行任何修改,對于上IPS處理的報文,非OAA方式只能通

過VLAN區(qū)分流量是屬于外部域還是內(nèi)部域。所以在組網(wǎng)設(shè)計中需留意非OAA方式重定向到

IPS插卡的業(yè)務(wù)流上下行流量需為不同VLAN。由于IPS插卡不具有雙機熱備功能,通過組網(wǎng)

設(shè)計,部分環(huán)境可以做到IPS故障的切換,部分環(huán)境中當(dāng)IPS故障后,重定向功能失效,業(yè)

務(wù)流將不能接著受到IPS的平安愛護,流量在短暫中斷后仍舊可以保證連續(xù)性。

?SecBladeLB板卡設(shè)計部署

LB插卡具備兩大主要功能,服務(wù)器負載均衡和鏈路負載均衡,分別應(yīng)用于數(shù)據(jù)中心服

務(wù)器區(qū)和Internet出口區(qū)域。服務(wù)器負載均衡為數(shù)據(jù)中心服務(wù)器區(qū)性能的擴展和資源利用

的優(yōu)化供應(yīng)完備的解決方案。鏈路負載均衡特別有效的部署在數(shù)據(jù)中心多出口的組網(wǎng)環(huán)境

中,可以同時對多條廣域網(wǎng)鏈路優(yōu)化資源利用。

LB插卡的工作方式與防火墻的類似,仍舊作為一個獨立的設(shè)備運行。通過傳統(tǒng)的三層

方式與交換機或下游設(shè)備相連??梢酝ㄟ^靜態(tài)路由和缺省路由實現(xiàn)三層互通,也可以通過

OSPF這樣的路由協(xié)議供應(yīng)動態(tài)的路由機制。

SecBladeLB在數(shù)據(jù)中心出口的部署

如圖所示,在數(shù)據(jù)中心出口區(qū)域,LB插卡可以與宿主交換機連接三層連接關(guān)系,也可

以干脆和下游設(shè)備如防火墻等建立三層連接關(guān)系。這取決于用戶的實際需求,前一種方式可

以供應(yīng)更敏捷的路由限制策略,而后一種方式可以簡化組網(wǎng)的困難結(jié)構(gòu)(例如:假如經(jīng)LLB

下行的流量都要通過防火墻的平安愛護,那么可以將防火墻干脆作為LLB的下一跳設(shè)備)。

須要留意的是,在雙機熱備的組網(wǎng)環(huán)境中,兩塊LLB的出口配置必需相同,這樣才能保

證業(yè)務(wù)切換后能正常運行。

ITT

如圖所示,在數(shù)據(jù)中心服務(wù)器區(qū),LB供應(yīng)了服務(wù)器的負載均衡實力。我們可以將LB插

卡作為服務(wù)器的網(wǎng)關(guān)設(shè)備,這樣全部的服務(wù)器流量都需經(jīng)過LB設(shè)備。也可以將服務(wù)器網(wǎng)關(guān)

放置在交換機上,LB設(shè)備通過路由方式訪問服務(wù)器群,這樣的部署方式可以敏捷限制LB對

服務(wù)器的訪問。

.組合部署

在數(shù)據(jù)中心服務(wù)器區(qū)IPS+FW+SLB的部署主要有以下四種方式:

組網(wǎng)一組網(wǎng)二組網(wǎng)三組網(wǎng)四

非IRFIRF

?IPS假如須要愛護全部流量可以部署在前端,假如僅須要愛護部分關(guān)鍵區(qū)域的業(yè)務(wù)可以

放置在FW后面。

?SLB可以作為服務(wù)器網(wǎng)關(guān)設(shè)備部署,假如服務(wù)器間還須要更嚴格的防護策略可以將防火

墻部署在SLB下端作為服務(wù)器的隔離設(shè)備。

?通過IRF堆疊技術(shù)還可以進一步簡化組網(wǎng)結(jié)構(gòu),提高管理維護和配置成本,是目前的流

行部署方式。

本方案的舉薦采納組網(wǎng)四方案,組網(wǎng)邏輯拓撲如下圖所示:

FW

IPS

SLB

o

oVLANll

eVLAN15

oVLAN12

oVLAN13

VLAN20555.0

一雙機熱備心跳線

在本案例組網(wǎng)設(shè)計中,接入交換機和平安插卡都為雙機部署,運用0SPF動態(tài)路由協(xié)議。

交換機通過IRF方式增加牢靠性和管理性,F(xiàn)W插卡與上游設(shè)備建立三層連接關(guān)系,供應(yīng)平

安愛護功能。SLB插卡與接入交換機建立三層連接關(guān)系,同時對下做為服務(wù)器網(wǎng)關(guān)設(shè)備供應(yīng)

服務(wù)器負載均衡功能。

3.6.QoS設(shè)計

3.6.1.QoS設(shè)計原則

XX集團網(wǎng)絡(luò)整網(wǎng)QoS設(shè)計遵循以下的原則:

?正常狀況下QOS是通過帶寬來保證的。換句話說,即在網(wǎng)絡(luò)帶寬足夠高的狀況下,

不須要QOS機制。當(dāng)帶寬利用率達到60%可考慮擴容;

?網(wǎng)絡(luò)設(shè)備的容量不能成為瓶頸;

?網(wǎng)絡(luò)/鏈路故障或網(wǎng)絡(luò)擁塞狀況下Q0S策略生效;

?任何時候都優(yōu)先保

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論