XX数据中心
网络及安全方案建议书
修订记录:
名目
一、 建设背景 - 2 - 1.1. 数据中心背景介绍 - 2 - 1.2. XX集团数据中心建设 - 3 - 二、 需求分析 - 4 -
2.1. 应用系统分析 - 4 - 2.2. 流量模型分析 - 6 -
2.3. 带宽分析 - 7 -
三、 方案规划与设计 - 8 -
3.1. 数据中心网络建设目标 - 8 - 3.2. 总体设计思路及原则 - 10 -
3.3. 业务分区 - 12 - 3.4.
网络设计 - 13 -
3.4.1. 核心交换区 - 14 - 3.4.2. 服务器接入区 - 15 -
3.4.3. 互联网区 - 16 - 3.4.4. 外联网区 - 16 - 3.4.5. 广域网接入区 - 17 -
3.4.6. 灾备接入区 - 17 - 3.5.
安全设计 - 19 -
3.5.1. 安全设计原则
- 19 - 3.5.2. SecBlade FW插卡部署 - 19 -
3.5.3. SecBlade FW+IPS+LB组合部署3.6.
QoS设计 - 24 -
3.6.1. QoS设计原则 - 24 -
3.6.2. QoS服务模型选择 - 24 -
3.6.3. QoS规划 - 25 - 3.6.4. QoS部署 - 27 -
- 21 - 3.7. 3.8.
数据中心互联 - 30 -
新技术应用 - 31 -
3.8.1. FCoE - 31 -
3.8.2. 虚拟机(VM)部署与迁移 - 32 - 3.9.
数据中心治理
- 34 -
3.9.1. 数据中心治理设计原则 - 34 - 3.9.2. 网络治理 - 34 - 3.9.3. 网络监控 - 37 - 四、 方案实施 - 39 - 4.1.
网络布线建议
- 39 - - 39 - - 42 -
4.1.1. 走线方式的选择 - 39 - 4.1.2. 网络配线方式 4.1.4. 机房布线建议 4.2. 4.3. 4.4. 4.5. 5.1. 5.2.
4.1.3. 服务器接入方式 - 40 -
VLAN规划 - 42 - IP地址规划 - 42 - 路由规划 - 44 - 业务迁移 - 45 - 设备清单 - 46 -
H3C特色技术介绍 - 50 -
- 52 -
五、 设备介绍 - 46 -
5.2.1. IRF虚拟化 - 50 - 5.2.2. 网络安全融合 5.3.
建设背景
数据中心背景介绍
数据中心(英文拼写Data Center,简写DC)是数据大集中而形成的集成IT应用环境,它是各种IT应用服务的提供中心,是数据运算、网络、
产品介绍 - 53 -
储备的中心。数据中心实现了安全策略的统一部署,IT基础设施、业务应用和数据的统一运维治理。
数据中心是当前各行业的IT建设重点。运营商、电力、能源、金融证券、大型企业、政府、交通、教育、制造业、网站和电子商务公司等正在进行或已完成数据中心建设,通过数据中心的建设,实现对IT信息系统的整合和集中治理,提升内部的运营和治理效率以及对外的服务水平,同时降低IT建设的TCO。数据中心的进展可分为四个层面:
数据中心基础网络整合:按照业务需求,基于开放标准的IP协议,完成对企业现有异构业务系统、网络资源和IT资源的整合,解决如何建设数据中心的咨询题。
数据中心应用智能:基于TCP/IP的开放架构,保证各种新业务和应用在数据中心的基础体系架构上平滑部署和升级,满足用户的多变需求,保证数据中心的连续服务和业务连续性。各种应用的安全、优化与集成能够无缝的部署在数据中心之上。
数据中心虚拟化:传统的应用孤岛式的数据中心模型扩展性差,核心资源的分配与业务应用进展显现不匹配,使得资源利用不平均,导致运行成本提升、现有投资无法达到最优化的利用、新业务部署难度增大、现有业务连续性得不到保证、安全面临威逼。虚拟化通过构建共享的资源池,实现对网络资源、运算运算和储备资源的几种治理、规划和操纵,简化治理爱护、提升设备资源利用率、优化业务流程部署、降低爱护成本。
数据中心资源智能:通过智能化治理平台实现对资源的智能化治理,资源智能分配调度,构建高度智能、自动化数据中心。
XX集团数据中心建设
XX集团的商业用户分布在全国各大都市,目前业务系统的部署要紧集中在和大连,近年来随着XX集团业务的规模及多样化进展,企业对信息化的依靠程度越来越高,数据集中、业务7*24小时高可靠支撑对数据中心的要求越来越高。经综合考虑,拟在新建数据中心,以后数据中心将成为XX集团的主中心,承载所有生产业务系统。数据中心是集团广域网汇聚中
心,机房内原则上将不放置服务器。大连数据中心是灾备中心,要紧功能是数据异地备份。
此方案要紧涉及数据中心的网络及安全的设计与部署,并实现与、大连的互连!
需求分析 应用系统分析
XX集团目前的应用系统要紧包括生产应用、办公应用和基础支撑三大类,这三大类的服务器的数量占例如下图所示:
在三大类应用系统中,每一类又能够细分为多个子类,不同的子类应用在流量特点、规模和用户访咨询类型上存在较大的差不,这些将会阻碍到网络及安全的方案设计,下面将进行进一步的分析:
生产应用类 ERP 百货 KTV 院线 酒店 商管 地产 网站
流量特点分析:不同类的应用,其业务负载繁忙特点也有明显区不,其中百货、KTV、网站应用周末繁忙;院线应用周二、周六和周日繁忙。繁忙时段网络流量明显上升,而且受外界因素(如新片上映、节假日促销等)阻碍,存在不确定的突发流量。
规模分析:从服务器的数量上统计,上述各类应用的服务器数量占例如下图所示:
总体来看,院线类服务器的数量最多,其次为网站、百货和KTV。 用户访咨询分析:上述应用的访咨询用户相对多样化,包括集团内部职员(如ERP)、集团外部用户(如百货、KTV)和互联网公众用户(网站、院线)。
办公应用类 OA 视频会议 图档 文件 其它
流量特点分析:办公应用类服务器业务负载繁忙特点比较单一,繁忙时段集中在工作日的8小时内,流量相对较稳固。视频会议对网络的质量要求最高,服务质量(QoS)要充分考虑。
规模分析:从服务器的数量上统计,办公各类应用的服务器数量占例如下图所示:
总体来看,OA服务器的数量最多,其次为视频会议。
用户访咨询分析:办公应用的访咨询用户单一,均为集团内部用户。
基础支撑类 域和身份认证 DNS 防病毒 网管 桌面治理
流量特点分析:基础支撑类服务器业务负载繁忙特点比较单一,繁忙时段集中在工作日的8小时内。部分服务器(如防病毒)的流量特点取决于网络治理员的策略。
规模分析:基础支撑类物理服务器数量可不能专门多,以后可能会部署专门多的虚拟服务器,因此此类服务器对网络的扩展要求要对相低,在此不再做进一步的规模分析。
用户访咨询分析:办公应用的访咨询用户单一,均为集团内部用户。
分析总结:
生产应用类服务器的数量最多,而且此类服务器以后随XX业务的进展,规模会越来越多,因此生产应用类服务器的接入要充分考虑可扩展性;
生产应用类服务器的用户访咨询类型最复杂,因此要充分考虑安全访咨询策略的设计;
生产应用类服务器的流量特点最复杂,流量最大,而且突发性最强,因此要充分考虑网络的缓冲能力;
办公应用类业务中,视频会议对网络的传输质量最为敏锐,方案设计要给予充分的QoS和带宽保证。
三大类应用系统中,所有业务均为7*24小时运行,因此在网络的设计中要保证高可靠,设备和链路均采纳冗余设计,关于生产类关键业务,要保证设备和链路故障复原时刻在毫秒(ms)级,幸免设备和链路故障导致业务服务中断。
流量模型分析
XX集团数据中心建设完成后,集团的数据访咨询流量模型如下图所示:
以后三中心的定位:
中心:XX集团广域网络汇聚中心,各地XX集团均与中心互连。但中心原则上不部署业务系统服务器,仅做网络汇聚;
中心:数据中心将做为XX集团的主数据中心,所有业务系统均部署在此数据中心内,承载XX集团所有生产系统;
大连中心:做为数据中心内业务系统的数据备份中心,对关键生产系统的数据进行灾备,原则上不部署业务系统服务器。当主中心内的数据遭到损坏后,可直截了当使用大连中心的备份数据。
关于集团内部用户(含集团各都市分支机构)通过集团广域网络,在中心进行网络汇聚后,再到数据中心访咨询业务系统。如上图中红色虚线数据流所示;
合作单位用户通过专线直截了当与数据中心连接,实现对业务系统的直截了当访咨询,无需通过中心。如上图中绿色虚线数据流所示;
公众用户直截了当通过Internet访咨询数据中心的WEB系统,无需通过中心。如上图中紫色虚线数据流所示。
大连备份中心与主中心直截了当相连,数据备份流量无需通过中心,提升数据备份的可靠性与效率,缩短时延。考虑到以后的双活扩展与数据的实时同步,建议大连备份中心与主中心之后采纳裸纤或DWDM互连,幸免显现带宽瓶颈。
大连中心与中心现有的互连线路保持不变,做为数据备份的链路备份。同时以后可将部分集团内业务部署到大连中心,实现负载分担。
带宽分析
数据中心内部的服务器接入及局域网络均采纳典型的“千兆接入、万兆到汇聚”方式,部分服务器(如FCoE服务器等)直截了当采纳万兆接入,链路带宽可不能成为瓶颈,保证网络的收敛比即可,在此不做带宽分析。
带宽分析要紧考虑数据中心的网络出口,关于数据中心而言,网络出口有以下四个:
集团广域网出口:与中心互连,满足集团内所有职员对业务系统的访咨询。考虑到可靠性,采纳双链路(不同运营商);
Internet出口:满足公众业务系统通过互联网对外提供服务。考虑到可靠性,采纳双链路(不同运营商);
合作单位专线出口:与合作单位专线互连,此出口的链路和带宽取决与合作单位,在此不做分析;
数据备份出口:与大连数据中心互连,实现关键业务的数据备份与同步。考虑到以后的双活扩展与数据的实时同步,建议采纳裸纤或DWDM互连。若采纳裸纤或DWDM,带宽可不能成为瓶颈,因此也无需分析。但要保证高可靠,建议采纳不同缆的多个光纤实现冗余。
按照XX集团现有业务系统的用户数量分析,对数据中心网络出口带宽估算如下:
业务系统 ERP 集团广域网出口 按1000用户设计,每个用户20Kbps带宽,合计20Mbps 集团/百货/院线网站群 N/A 假设: 1. 单个页面300KB 2. 用户等待容忍时刻为10秒 3. 峰值并发增长率,通常取30% 按2000个并发用户运算,带宽需求: 2000*300KB*130%/10=78MB/s=780Mbps OA/图档/邮按1000用户设计,每个用户N/A Internet出口 N/A 件/文件共享 50Kbps带宽,合计50Mbps 视频会议 平均每路2Mbps,按50个都市(50路),占用100Mbps带宽 基础支撑类 忽略 N/A N/A 合计 170Mbps 780Mbps 按照上述数据的初步估算,对数据中心网络出口链路选择建议如下: 广域网出口带宽为170Mbps,至少采纳两条155M POS链路,满足带宽需求的同时实现链路冗余;
互联网出口带宽为780Mbps,建议采纳两条千兆链路出口(两个运营商)。
(注:上述数据为体会数据,仅供参考!) 方案规划与设计 数据中心网络建设目标
XX数据中心以后将XX集团承载所有生产环境系统。数据中心网络作为业务网络的一个重要组成部分,为核心业务系统服务器和储备设备提供安全可靠的接入平台。网络建设应达成以下目标:
高可用――网络作为数据中心的基础设施,网络的高可用直截了当阻碍到业务系统的可用性。网络层的高可用至少包括高可靠、高安全和先进性三个方面:
高可靠:应采纳高可靠的产品和技术,充分考虑系统的应变能力、容错能力和纠错能力,确保整个网络基础设施运行稳固、可靠。当今,关键业务应用的可用性与性能要求比任何时候都更为重要。
高安全:网络基础设计的安全性,涉及到XX业务的核心数据安全。应按照端到端访咨询安全、网络L2-L7层安全两个维度对安全体系进行设计规划,从局部安全、全局安全到智能安全,将安全理念渗透到整个数据中心网络中。
先进性:数据中心将长期支撑XX集团的业务进展,而网络又是数据中心的基础支撑平台,因此数据中心网络的建设需要考虑后续的机会成本,采纳主流的、先进的技术和产品(如数据中心级设备、CEE、FCoE、虚拟化支持等),保证基础支撑平台5~10年内可不能被剔除,从而实现投资的爱护。
易扩展――XX集团的业务目前已向多元化进展,以后的业务范畴会更多更广,业务系统频繁调整与扩展再所难免,因此数据中心网络平台必须能够适应业务系统的频繁调整,同时在性能上应至少能够满足以后5~10年的业务进展。关于网络设备的选择和协议的部署,应遵循业界标准,保证良好的互通性和互操作性,支持业务的快速部署。
易治理――数据中心是IT技术最为密集的地点,数据中心的设备繁多,各种协议和应用部署越来越复杂,对运维人员的要求也越来越高,单独依靠运维人员个人的技术能力和业务能力是无法保证业务运行的连续性的。因此数据中心需要提供完善的运维治理平台,对数据中心IT资源进行全局掌控,减少日常的运维的人为故障。同时一旦显现故障,能够借助工具直观、快速定位。
总体设计思路及原则
数据中心为XX集团业务网络、日常办公与外联单位提供数据访咨询、OA和视频等服务,以及各业务的安全隔离操纵。数据中心并不是孤立存在的,而是与大连中心、网络汇聚中心外联单位网络等网络区域相辅相成,数据中心基础网络是业务数据的传输通道,将数据的运算和数据储备有机的结合在一起。为保证数据中心网络的高可用、易扩展、易治理,数据中心网络架构需按照结构化、模块化和扁平化的原则设计:
结构化
结构化的网络设计便于上层协议的部署和网络的治理,提升网络的收敛速度,实现高可靠。数据中心网络结构化设计体现在适当的冗余性和网络的对称性两个方面。如下图所示:
冗余的引入能够排除设备和链路的单点故障,然而过度的冗余同样会使网络过于复杂,不便于运行和爱护,因此一样采纳双节点双归属的架构设计网络结构的对称,能够使得网络设备的配置简化、拓扑直观,有助于协议设计分析。
在数据中心网络设计时,由于引入了冗余和对称的设计,这必将引入网络的环路,可通过如下建设思路排除环路阻碍:
启用STP和VRRP协议
传统解决方案,标准的协议,设备要求较低。但此种部署方案网络的协议部署复杂,收敛慢,链路带宽利用率低,运维治理工作量大。本方案设计不采纳此方法。
IRF网络设备N:1虚拟化技术
通过H3C IRF技术对同一层面的设备进行横向整合,将两台或多台设备虚拟为一台设务,统一转发、统一治理,并实现跨设备的链路捆绑。因此可不能引入环路,无需部署STP和VRRP等协议,简化网络协议的部署,大大缩短设备和链路收敛时刻(毫秒级),链路负载分担方式工作,利用率大大提升。
在本方案的设计中,将采纳端到端的IRF部署,满足网络高可靠的同时,简化网络运维治理。
模块化
构建数据中心基础网络时,应采纳模块化的设计方法,将数据中心划分为不同的功能区域,用于实现不同的功能或部署不同的应用,使得整个数据中心的架构具备可伸缩性、灵活性、和高可用性。数据中心中的服务器将会按照服务器上的应用的用户访咨询特性和应用的功能不同部署在不同的区域中。如下图所示:
数据中心网络分为网络接入区、数据中心核心交换区和服务器接入区三大功能区域,其中网络接入区和服务器接入区依据服务类型的不同,可进行子区的细分,详细参见“业务分区”章节的描述。
数据中心核心区用于承接各区域之间的数据交换,是整个数据中心的核心枢纽,因此核心交换机设备应选用可靠性高的数据中心级设备部署。
在进行模块化设计时,尽量做到各模块之间松耦合,如此能够专门好的保证数据中心的业务扩展性,扩展新的业务系统或模块时不需要对核心或其它模块进行改动。同时模块化设计也能够专门好的分散风险,在某一模块(除核心区外)显现故障时可不能阻碍到其它模块,将数据中心的故障阻碍降到最小。
扁平化
数据中心的网络架构依据接入密度和分为三层架构和二层架构,如下图所示:
传统的数据中心网络通常采纳三层架构进行组网,三层架构能够保证网络具备专门好的扩展性,同一个分区内服务器接入密度高。但三层架构网络设备较多,不便于网络治理,运维工作量大。同时组网成本相对较高。
随着网络交换技术的持续进展,交换机的端口接入密度也越来越高,二层组网的扩展性和密度差不多能够专门好的满足企业数据中心服务器接
入的要求。同时在服务器虚拟化技术应用越来越广泛的趋势下,二层架构更容易实现VLAN的大二层互通,满足虚拟机的部署和迁移。相比三层架构,二层架构能够大大简化网络的运维与治理。
综合上述因素,数据中心的网络设计采纳二层扁平化架构,满足扩展性的同时,实现易治理。
业务分区
按照3.2章节中的“模块化”设计原则,需要对业务系统进行分区。从技术看,业务分区需要遵循以下原则:
分区优先考虑访咨询操纵的安全性,单个应用访咨询尽量在一个区域内部完成,单个区域故障仅阻碍一类应用,尽量减少区域间的业务耦合度;
防火墙性能的限制: 区域之间的流量如果超过10G,则需要考虑通过防火墙横向扩容,或区域调整的方式分担流量。
在实际的数据中心分区设计中,通常有以下三种分区方法:
按照业务功能进行分区:按照业务系统的功能(如生产、OA、支撑等)或业务的实时性(实时业务、非实时业务)或者业务系统的功能(如ERP、营销、财务等)进行分区划分,此分区方法适合大多数企业数据中心;
按照安全等保级不进行分区:按照业务系统的安全等级定义进行划分,如“三级系统独立成域,二级系统统一成域”,此分区方法适合政府、电力等行业数据中心;
按照服务器类型进行分区:一样分为WEB服务器区、APP/中间件服务器区、DB服务器区。此分区适合互联网企业等数据中心。
按照需求调研时了解的XX集团业务系统分布情形,结合业务系统的用户类型,数据中心的分区设计按照业务功能进行分区。分区设计如下:
各区域业务系统部署描述如下:
办公局域网区:XX数据中心大楼办公网络,包括终端、楼层接入与汇聚。
广域网接入区:与网络汇聚中心广域网络互连,网络出口。
外联网接入应用区:与合作单位的专线互连,此区域也包括合作单位的业务前置机服务器。
互联网接入应用区:互联网出口,此区域也包括集团网站群WEB服务器、集团邮件系统、DNS服务器等。
百货应用区:此区域部署与百货有关的应用服务器,包括百货促销、MIS、BI等应用系统。
KTV应用区:此区域部署与KTV有关的应用服务器,包括FTP、管控、WEB、DB等应用系统。
院线应用区:此区域部署与院线有关的应用服务器,包括火凤凰、会员等应用系统。
OA应用区:此区域部署集团内部的OA应用服务器,包括OA、RTX、泛微、图档、视频会议、文件、网络教学、网上招投标等应用系统。
ERP/财务应用区:部署集团内部的ERP和财务应用服务器。 其它应用区:部署商管、地产、酒店等应用服务器。
开发测试区:此区域用于集团内部信息系统的开发与测试,或新系统上线前的测试部署。
灾备接入应用区:此区域与大连中心互联,实现数据级的异地灾备。同时此区域能够部署一些本地的重要系统备份应用。
支撑治理区:此区域部署数据中心网络、安全、服务器、储备等IT资源的运维治理系统,此外包括集团内部的域治理和身份认证服务器。
数据中心核心区:此区域用于实现各分区之间的数据交互,是数据中心网络平台的核心枢纽,无服务器部署。
网络设计
结合上述的业务分区,按照结构化、模块化、扁平化的设计原则,实现高可用、易扩展、易治理的建设目标。网络整体拓扑如下图所示:
整体网络拓扑采纳扁平化两层组网架构,从数据中心核心区直截了当到服务器接入,省去了中间的汇聚层,这种扁平化的网络结构有以下优点:
简化网络拓扑,降低网络运维的难度;
服务器区容易构建大二层网络,更适合以后的虚拟机大量部署及迁移; 服务器接入交换机以后的扩展可直截了当在现有的IRF虚拟组添加成员交换机,扩展方便。
关于数据中心的网络安全部署,在本方案中采纳了“分布式安全部署”的策略,防火墙形状采纳了H3C SecBlade安全插卡,实现网络安全的融合。详细的安全设计参加“3.5安全设计”章节。
纵观整体方案拓扑,在此方案设计与部署时共采纳了IRF虚拟化、网络安全融合、智能治理三种H3C特有的关键技术(详细参见5.2章节有关介绍),在保证数据中心的高可靠的同时,简化网络运维治理,同时提供了智能化的治理工具平台。
核心交换区 功能描述
核心交换区的要紧功能是完成各服务器功能分区、办公局域网、外联网、互联网之间数据流量的高速交换,是广域/局域纵向流量与服务功能分区间横向流量的交汇点。核心交换区必须具备高速转发的能力,同时还需要有专门强的扩展能力,以便应对以后业务的快速增长。
核心模块是整个平台的枢纽。因此,可靠性是衡量核心交换区设计的关键指标。否则,一旦核心模块显现专门而不能及时复原的话,会造成整个平台业务的长时刻中断,阻碍庞大。
拓扑设计
设计要点 高可靠
核心交换设备选用数据中心级核心交换机,配置双引擎,双电源,保证网络组件层面的稳固性。
网络架构层面,采纳双核心设计,两台设备进行冗余,并通过虚拟化技术进行横向整合,将两台物理设备虚拟化为一台逻辑设备,并实现跨设备的链路捆绑,所各分区的交换机IRF相配合,实现端到端IRF部署。两
台设备工作在双活模式,缩短链路故障与设备故障的倒换时刻(毫秒级),保证显现单点故障时不中断业务。
为保证显现单点故障(链路/设备)时另一台设备能够完全接管业务,各功能模块通过“口”字形上行与核心模块互连。
高速传输
此次网络设计容量应保证以后3~5年内的业务扩展,本设计采纳“万兆到核心,千兆接入”的思路,核心模块对外接口为全万兆接口。
易于扩展
按照“核心-边缘架构”的设计原则,核心模块应幸免部署访咨询操纵策略(如ACL、路由过滤等),保证核心模块业务的单纯性与松耦合,便于下联功能模块扩展时,不阻碍核心业务,同时能够提升核心模块的稳固性。
智能分析
针对各个区域的业务流量变化趋势,此次在核心交换机上部署网络流量分析模块,能够实时感知,并作为网络优化及调整的依据。
服务器接入区 功能描述
服务器接入区用于完成服务器的LAN网络接入,按照3.3章节的业务分区设计,涉及到服务器接入的业务分区包括百货应用区、KTV应用区、院线应用区、ERP/财务应用区、开发测试区、支撑治理区、其它应用区,这些区域尽管部署的应用服务器类型不一样,设备的选型要求也不一样,但关于网络拓扑设计来讲是一样的,因此在方案设计时,这些区域的网络拓扑设计将在此统一进行描述。
拓扑设计
注:院线应用区若部署院线WEB服务器,则服务器接入交换机上除了部署FW插卡外,还顼要部署IPS和SLB插卡。
设计要点
服务器接入交换机部署双机,并采纳IRF虚拟化,将两台物理设备虚拟化为一台逻辑设备,实现跨设务链路捆绑,与核心交换机配合实现端到端IRF。此外服务器双网关配置成双活模式(Active-Active),;
各服务器接入交换机上部署SecBlade FW插卡,用于本区域与其它区域的访咨询操纵策略部署。院线应用区部署FW+IPS+LB插卡;
服务器网关部署在接入交换机上,防火墙插卡与接入交换机以及核心交换机之间运行OSPF动态路由,实现FW的双机热备。
互联网区 功能描述 拓扑设计
设计要点
Internet出口采纳双运营商链路,保证用户访咨询效率的同时,实现链路的冗余;
服务器接入交换机部署双机,并采纳IRF虚拟化,将两台物理设备虚拟化为一台逻辑设备,实现跨设务链路捆绑,与服务器双网卡配合实现双活(Active-Active);
采纳双层防火墙部署,外层防火墙用于实现Internet与WEB、DNS、Email、FTP等公网服务器的隔离,实现公网服务器的分域,并配置DMZ区域保证安全。内层防火墙用于实现公网服务器与数据中心内部其它服务器之间的隔离,部署内部区域间的访咨询操纵策略。外层防火墙采纳独立设备、内层防火墙采纳在服务器接入交换机上部署SecBlade FW插卡。
由于Internet区部署了较多的网站等WEB服务器,因此需要部署LB和IPS设备。来保证负载分担和L2~L7层安全过滤。
外联网区 功能描述
外联网区用于实现与合作单位的专线网络进行互联,并部署合作单位的前置机服务器。
拓扑设计
设计要点
服务器接入交换机部署双机,并采纳IRF虚拟化,将两台物理设备虚拟化为一台逻辑设备,实现跨设务链路捆绑,与服务器双网卡配合实现双活(Active-Active);
采纳双层防火墙部署,外层防火墙用于实现前置机服务器与合作单位网络的隔离,可部署NAT。内层防火墙用于实现前置机服务器与数据中心内部其它服务器之间的隔离,部署内部区域间的访咨询操纵策略。外层防火墙H3C SecBlade FW插卡、内层防火墙可采纳非H3C的第三方FW独立设备进行异构,加大安全性。
服务器接入交换机上部署SecBlade IPS插卡,实现L2~L7层安全过滤。 广域网接入区 功能描述
广域网接入区用于实现与网络汇聚中心的互连,保证集团内部用户通过广域网访咨询数据中心内的业务系统。(必要时也可考虑与大连数据中心互联)
拓扑设计
设计要点
广域网出口路由器部署双机,出口链路为双链路,保证广域网出口高可靠;
防火墙采纳路由器上部署SecBlade FW插卡。
灾备接入区 功能描述
灾备接入区用于实现数据中心与大连灾备中心的互连,实现SAN和LAN网络双中心的互通,保证数据同步复制。同时通过将两中心的VLAN
二层打通,实现跨数据中心的大二层网络,便于虚拟机业务迁移和跨地域服务器集群。
拓扑设计
设计要点
数据中心与大连灾备中心之间采纳双路裸纤做灾备互连链路,并采纳DWDM进行复用。
SAN网络直截了当通过光纤上DWDM波分设备,实现数据储备备份通道的互通。LAN网络通过在服务器网关交换机设备上通过VLAN Trunk到汇接交换机,然后再上DWDM设备,实现双中心之间的大二层VLAN互通。
汇接交换机部署IRF,实现双纤捆绑,保证链路的可靠性。
跨地域的二层打通后,能够实现网关设备跨地域部署VRRP,保证双中心服务器集群时网关的切换。
安全设计 安全设计原则
安全与网络密不可分,本方案中的安全设计部署采纳了与网络分区相同的安全域划分,同时采纳SecBlade安全插卡实现了网络与安全设备形状的融合。整个方案的安全部署采纳了目前应用广泛的“分布式安全部署”方法,如下图右侧所示:
分布式安全部署具有以下优势:
分散风险:传统的集中式安全部署一样将防火墙旁挂在核心交换机两侧,如此一旦防火墙显现故障,数据中心内的所有业务区都将不能访咨询,整个数据中心的所有业务均会中断,风险和性能压力都集中在防火墙上。而采纳分布式部署后,防火墙显现故障只会阻碍到本区域的业务,进而实现风险和性能的分散,提升了整个数据中心的可靠性;
灵活扩展:分部式安全部署,核心交换机原则上不部署任何与业务分区之间的安全策略,可实现核心区与各业务分区之间的松耦合,在新增模块或业务系统时,无需更换核心设备的配置,减小核心区显现故障的机率,保证核心区的高可靠与业务分区的灵活扩展;
简化安全策略部署:防火墙下移到各业务分区的出口,防火墙上部署的安全策略可大大简化,默认仅需要划分两个安全域(受信域与非受信域),采纳白名单方式下发策略,减少了策略的交叉。
SecBlade FW插卡部署
防火墙设备在数据中心网络架构中为内部系统提供了安全和可靠性保证。防火墙要紧部署在数据中心的两个常见区域中:数据中心出口区域和服务器区域。在数据中心出口区域部署防火墙能够保证来自Internet和合作伙伴的用户的安全性,幸免未经授权的访咨询和网络攻击。在数据中心服务器区域部署防火墙能够幸免不同服务器系统之间的相互干扰,通过自定义防火墙策略还能够提供更详细的访咨询机制。
防火墙插卡设备尽管部署在交换机框中,但仍旧能够看作是一个独立的设备。它通过交换机内部的10GE接口与网络设备相连,它能够部署为2层透亮设备和三层路由设备。防火墙与交换机之间的三层部署方式与传统盒式设备类似。
如上图FW三层部署所示,防火墙能够与宿主交换机直截了当建立三层连接,也能够与上游或下游设备建立三层连接,不同连接方式取决于用户的访咨询策略。能够通过静态路由和缺省路由实现三层互通,也能够通过OSPF如此的路由协议提供动态的路由机制。如果防火墙部署在服务器区域,能够将防火墙设计为服务器网关设备,如此所有访咨询服务器的三层流量都将通过防火墙设备,这种部署方式能够提供区域内部服务器之间访咨询的安全性。
XX集团数据中内部,整体安全采纳分布式部署设计,差不多对不同的业务系统进行了分区,整体安全边界清晰。为简化SecBlade FW的配置,提升网关性能,将服务器的网关均部署在接入交换机上, SecBlade FW插卡仅部署本分区内与其它分区之间的安全策略。若本分区内各服务器之间有隔离需求,建议在接入交换机上采纳ACL方式实现。如下图所示:
关于仅部署SecBlade FW插卡的业务区(如百货、KTV、ERP/财务、开发测试、支撑治理、外联网区),区域内的安全部署逻辑拓扑如下图所示:
接入交换机双机部署IRF虚拟化,并实现跨设备链路捆绑。两块SecBlade FW插卡逻辑上相当于插在同一台交换机上。
每台接入交换机逻辑上均能够看成一台L2交换机与一台L3交换机的叠加,服务器网关部署在交换机上。
SecBlade通过内部的10GE接口与交换机互连,并创建多个L3接口进行引流,让所有流经服务器的流量均通过FW过滤。两块FW插卡通过带外状态同步线(心跳线)进行状态同步,FW插卡之间通过OSPF动态路由实现热备或负载分担(ECMP)。
SecBlade FW+IPS+LB组合部署
关于XX数据中心的院线应用区、互联网应用区,需要涉及到FW+IPS+LB的组合部署,FW插卡的差不多特性3.5.2章节已做描述,下面先介绍IPS和LB插卡的差不多组网:
SecBlade IPS差不多组网设计
SecBlade IPS插卡为数据中心内部提供了更牢固的安全爱护机制。通过IPS的深度检测功能能够有效爱护内部服务器幸免受到病毒、蠕虫、程序漏洞和DDOS等来自应用层的安全威逼。
IPS插卡通过OAA(开放的应用架构)技术与宿主交换机配合使用。能够通过传统的流量重定向方式将需要IPS处理的业务流重定向到IPS插卡上处理,也能够通过OAA方式在IPS的Web页面上配置重定向策略,这两种方式都能够实现相同的功能。由于不同交换机设备对OAA的支持程度不同。我们举荐在本方案中采纳重定向策略引流。
由于IPS插卡在整个网络中属于2层透亮转发设备,可不能对报文进行任何修改,整个网络从连通性上看加入IPS后可不能产生任何变化阻碍。因此建议实施的时候将其放在最后进行上线配置,即其他设备都调试OK,流量转发与HA设计都以正常实现情形下再进行IPS的部署实施。
SecBlade IPS组网结构流量图
SecBlade IPS可不能对报文进行任何修改,关于上IPS处理的报文,非OAA方式只能通过VLAN区分流量是属于外部域依旧内部域。因此在组网设计中需注意非OAA方式重定向到IPS插卡的业务流上下行流量需为不同VLAN。由于IPS插卡不具有双机热备功能,通过组网设计,部分环境能够做到IPS故障的切换,部分环境中当IPS故障后,重定向功能失效,业务流将不能连续受到IPS的安全爱护,流量在短暂中断后仍旧能够保证连续性。
SecBlade LB板卡设计部署
LB插卡具备两大要紧功能,服务器负载均衡和链路负载均衡,分不应用于数据中心服务器区和Internet出口区域。服务器负载均衡为数据中心服务器区性能的扩展和资源利用的优化提供完美的解决方案。链路负载均衡专门有效的部署在数据中心多出口的组网环境中,能够同时对多条广域网链路优化资源利用。
LB插卡的工作方式与防火墙的类似,仍旧作为一个独立的设备运行。通过传统的三层方式与交换机或下游设备相连。能够通过静态路由和缺省路由实现三层互通,也能够通过OSPF如此的路由协议提供动态的路由机制。
SecBlade LB在数据中心出口的部署
如图所示,在数据中心出口区域,LB插卡能够与宿主交换机连接三层连接关系,也能够直截了当和下游设备如防火墙等建立三层连接关系。这取决于用户的实际需求,前一种方式能够提供更灵活的路由操纵策略,而后一种方式能够简化组网的复杂结构(例如:如果经LLB下行的流量都要通过防火墙的安全爱护,那么能够将防火墙直截了当作为LLB的下一跳设备)。
需要注意的是,在双机热备的组网环境中,两块LLB的出口配置必须相同,如此才能保证业务切换后能正常运行。
如图所示,在数据中心服务器区,LB提供了服务器的负载均衡能力。我们能够将LB插卡作为服务器的网关设备,如此所有的服务器流量都需通过LB设备。也能够将服务器网关放置在交换机上,LB设备通过路由方式访咨询服务器群,如此的部署方式能够灵活操纵LB对服务器的访咨询。
组合部署
在数据中心服务器区IPS+FW+SLB的部署要紧有以下四种方式:
IPS如果需要爱护所有流量能够部署在前端,如果仅需要爱护部分关键区域的业务能够放置在FW后面。
SLB能够作为服务器网关设备部署,如果服务器间还需要更严格的防护策略能够将防火墙部署在SLB下端作为服务器的隔离设备。
通过IRF堆叠技术还能够进一步简化组网结构,提升治理爱护和配置成本,是目前的流行部署方式。
本方案的举荐采纳组网四方案,组网逻辑拓扑如下图所示:
在本案例组网设计中, 接入交换机和安全插卡都为双机部署,使用OSPF动态路由协议。交换机通过IRF方式增强可靠性和治理性,FW插卡与上游设备建立三层连接关系,提供安全爱护功能。SLB插卡与接入交换机建立三层连接关系,同时对下做为服务器网关设备提供服务器负载均衡功能。
QoS设计 QoS设计原则
XX集团网络整网QoS设计遵循以下的原则:
正常情形下QOS是通过带宽来保证的。换句话讲,即在网络带宽足够高的情形下,不需要QOS机制。当带宽利用率达到60%可考虑扩容;
网络设备的容量不能成为瓶颈;
网络/链路故障或网络拥塞情形下QOS策略生效; 任何时候都优先保证实时业务。
QoS服务模型选择
为了更有效的利用带宽,使关键业务得到无堵塞的应用,网络需要进行QoS方案的设计实施,第一需要考虑选择合适的技术框架,也即服务模型。服务模型指的是一组端到端的QoS功能,目前有以下三种QoS服务模型:
Best-Effort service——尽力服务
Integrated service(Intserv)——综合服务 Differentiated service(Diffserv)——区分服务
Best-Effort service:尽力服务是最简单的服务模型。应用程序能够在任何时候,发出任意数量的报文,而且不需要事先获得批准,也不需要通知网络。网络则尽最大的可能性来发送报文,但对时延、可靠性等不提供任何保证。
Integrated service:Intserv是一个综合服务模型,它能够满足多种QoS需求。这种服务模型在发送报文前,需要向网络申请特定的服务。那个要求是通过信令(signal)来完成的,应用程序第一通知网络它自己的流量参数和需要的特定服务质量要求,包括带宽、时延等,应用程序一样在收到网络的确认信息,即网络差不多为那个应用程序的报文预留了资源后,发送报文。而应用程序发出的报文应该操纵在流量参数描述的范畴内。
Differentiated service:Diffserv即区不服务模型,它能够满足不同的QoS需求。与Integrated service不同,它不需要信令,即应用程序在发出报文前,不需要通知路由器。网络不需要为每个流爱护状态,它按照每个报文指定的QoS,来提供特定的服务。能够用不同的方法来指定报文的QoS,如IP包的优先级位(IP Precedence)、报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和排队。
这三种服务模型中,只有Intserv与Diffserv这两种能提供多服务的QoS保证。从技术上看,Intserv需要网络对每个流均坚持一个软状态,因此会导致设备性能的下降,或实现相同的功能需要更高性能的设备,另外,还需要全网设备都能提供一致的技术才能实现QoS。而Diffserv则没有这方面的缺陷,且处理效率高,部署及实施能够分布进行,它只是在构建网络时,需要对网络中的路由器设置相应的规则。
关于XX集团广域网的QoS,我们建议采纳Diffserv方式进行部署。 QoS规划
CCITT最初给出定义:QoS是一个综合指标,用于衡量使用一个服务中意程度。QoS性能特点是用户可见的,使用用户可明白得的语言表示为一组参数,如传输延迟、延迟抖动、安全性、可靠性等。
XX集团网络中要紧包括数据、视频两种业务应用。而数据又分ERP关键业务和其他业务,因此需要对现有业务系统进行分类,才能更好地保证业务的开展。
业务分类和标记
针对XX集团的要求,对其要紧的流量进行划分和标记,具体如下:
IP 业务类型 业务特点 Precedence 网络操纵协议 (hello、SLA) 适用于网络爱护与治理报文的可7 靠传输,要求低丢包率 对时延、抖动较敏锐;带宽需求视频会议 高;需要可估量的时延和丢包率 5 34(AF41) 5 56(CS7) 7 IP DSCP 802.1p 适合重要数据业务,低丢包、高优ERP 先级 名目同步和策略适合一般数据业务,低丢包、 下发 邮件系统及尽力而为(Best effort)转发 Internet应用 0 0 0 1 9(AF11) 1 3 24(AF31) 3 流量监管和整形
在完成区分业务应用类型后,需要对整个广域网进行流量的监管和整形,关于XX集团广域网络SDH来讲,出口带宽是有限的,而入口带宽总是大于出口带宽,需要对入口和出口进行限制和整形,以保证关键流量的顺利转发。
队列治理
在Diffserv体系的队列治理中,同样按照不同的边界范畴采纳不同的队列治理技术。
局域网要紧基于以太网的组网方式,以太网实现的QoS功能要紧是能够支持那些对延时和抖动要求较高的业务流。目前业界在以太网络交换机实现的Qos队列治理技术要紧采纳严格优先级SP(Strict-Priority)队列调度算法、加权轮循WRR(Weighted Round Robin)调度算法。SP队列调度算法,是针对关键业务型应用设计的。关键业务有一重要的特点,即在拥塞发生时要求优先获得服务以减小响应的延迟。WRR队列调度算法在队列之间进行轮番调度,保证每个队列都得到一定的服务时刻。在实际应用中,SP队列调度算法与WRR调度算法能够同时应用一个端口上,既保证关键业务的延时与抖动,同时又保证各业务具有一定的带宽保证。
广域网一样采纳路由器组网,目前路由器要紧支持的队列治理技术包括PQ、CQ、WFQ、CBQ/LLQ,由于PQ、CQ、WFQ的种种咨询题,目前通常采纳CBQ/LLQ做为骨干层的队列治理机制。CBWFQ\\LLQ,有一个低时延队列 - LLQ,用来支撑EF类业务,被绝对优先发送(优先级低于RTP实时队列);另外有63个BQ,用来支撑AF类业务,能够保证每一个队列的带宽及可控的时延;还有一个FIFO/WFQ,对应BE业务,使用接口剩
余带宽进行发送。然而请注意,由于涉及到复杂的流分类,关于高速接口(GE以上)启用CBQ\\LLQ特性系统资源存在一定的开销。
另外如果边缘层与骨干层的接入采纳低速的链路接入,因此也必须考虑相应的队列治理技术。如果接入带宽>=2M,则需采纳骨干层一样的调度技术,即CBQ/LLQ。如果接入带宽<2M,则需要考虑采纳链路有效机制。可采纳LFI(链路的分段及交叉)技术幸免大报文长期占用链路带宽,采纳LFI以后,数据报文(非RTP实时队列和LLQ中的报文)在发送前被分片、逐一发送,而现在如果有语音报文到达则被优先发送,从而保证了语音等实时业务的时延与抖动。另外还能够采纳CRTP(IP /UDP/ RTP报文头压缩)技术,以提升链路的利用率。
拥塞幸免
建议采纳WRED加权丢弃技术,实现拥塞幸免。
WRED(Weighted early random detection)提供了对拥塞的操纵,它不是等待缓冲区填满然后显现尾部丢弃,而是不停地监控缓冲的深度,并能够按照IP header中的IP Precedence有选择地早期丢弃一些级不较低的TCP连接的包,保证关键数据的传送,并幸免当缓冲满溢时丢弃大量的数据包。要紧特点:一、WRED利用活动队列治理,解决尾部删除的缺点;二、WRED要紧在TCP为主的IP网络中使用,因为UDP通信流不像TCP一样具有对分组删除具有响应能力;三、WRED把非IP通信流看成优先级为0,最低优先级,因此,非IP通信流放在一个丢弃桶中,比IP通信更容易删除,这在大多数重要通信流(非)IP通信流时可能遇到咨询题,然而这现象在DCN网络中通常可不能显现。
QoS部署
对与XX集团的整体QoS部署,我们建议按照不同层次进行部署,涉及局域网设备和广域网设备,来实现对集团关键业务的保证。
如上图所示,将网络的各个层次启用QoS,保证关键业务流的快速转发。关于XX集团需要保证的业务——视频业务和ERP业务,其优先级是不同的,按照实施体会,下面对其做详细的QoS设计:
视频流量
站点实现方法:在站点的出口路由器上配置QoS策略,第一启用ACL识不视频流(如视频会议终端的IP地址),打上优先级DSCP标记AF41;再启用CBQ(基于类的队列),将其引入CBQ的紧急队列,由CBQ进行队列调度,抢占足够带宽,优先转发紧急队列中的报文,直到发送完后才发送其他类对应的队列的报文。
数据中心实现方法:MCU通过交换机直截了当连入路由器,在路由器上启用ACL识不视频流(如视频会议终端的IP地址),打上优先级DSCP标记AF41;并启用CBWFQ和PQ,将视频流放入到PQ的高优先队列中,优先转发,直到发送完后才发送其他类对应的队列的报文。
ERP流量
ERP系统是XX集团的关键业务,ERP服务器部署在数据中心,各站点分布多个ERP工作站访咨询数据中心的ERP服务器。由于中间的网络设备连接专门多,要做到端到端的QoS,需要在不同的设备上启用QoS。在局域网高带宽和多厂家设备混合组网的情形(如防火墙采纳国产设备),一样在数据中心内部局域网内不启用QoS,以下将介绍两种方式:
第一种方式:端到端的QoS
站点实现方法:在站点的ERP工作站接入交换机上启用QoS,通过ACL识不ERP流量(如:源地址+目的地址),打上DSCP优先级AF31,并启用SP(严格优先级),将其优先发送,经核心交换机、防火墙至路由器,所经各设备同时启用QoS,保证其优先转发;再通过路由器启用CBQ(基于类的队列),将ERP流量放入到中优先级队列,抢占低优先级队列的带宽,发送报文。
数据中心实现方法:在数据中心ERP服务器接入交换机启用QoS,通过ACL识不ERP流量(如:源地址+目的地址),打上DSCP优先级AF31,并启用SP(严格优先级),将其优先发送,经核心交换机、防火墙至路由器,所经各设备同时启用QoS,保证其优先转发;再通过路由器启用CBWFQ(基于类的加权)+PQ,将ERP流量放入到中优先级队列,抢占低优先级队列的带宽,发送报文。
第二种方式:广域网路由器启用QoS
站点实现方法:在站点的路由器上配置QoS策略,第一启用ACL识不ERP流(如:源地址+目的地址),打上优先级DSCP标记AF31;再启用CBQ(基于类的队列),将其引入CBQ的中优先级队列,由CBQ进行队列调度,抢占低优先级的带宽,优先转发报文。
数据中心实现方法:在出口路由器上启用ACL识不ERP流(如:源地址+目的地址),打上优先级DSCP标记AF31;并启用CBWFQ和PQ,将ERP放入到PQ的中优先队列中,优先转发。
为简化网络部署,XX集团的QoS建议采纳第二种方法!
数据中心互联
数据中心的互联包括以下三种类型:
三层互联:也称为数据中心前端网络互联,所谓“前端网络”是指数据中心面向企业园区网或企业广域网的出口。不同数据中心(主中心、灾备中心)的前端网络通过IP技术实现互联,园区或分支的客户端通过前端网络访咨询各数据中心。当主数据中心发生灾难时,前端网络将实现快速收敛,客户端通过访咨询灾备中心以保证业务连续性。
二层互联:也称为数据中心服务器网络互联(以下简称DCI)。在不同的数据中心服务器网络接入层,构建一个跨数据中心的大二层网络(VLAN),以满足服务器集群或虚拟机动态迁移等场景对二层网络接入的需求。
SAN互联:也称为后端储备网络互联。借助传输技术(DWDM、SDH等)实现主中心和灾备中心间磁盘阵列的数据复制。
如下图所示:
三层互联和SAN互联,目前均已有专门成熟的通用方案,在此将不再进行描述,本章节重点关注数据中心服务器网络二层互联方案。
关于数据中心与大连灾备中心的二层互联,有两种方案可供选择,这两种方案均为标准协议方案,能够专门好的与大连现中心及第三方设备互联。
基于裸纤的DCI方案:
此方案要求数据中心与大连灾备中心的互联链路采纳裸纤/DWDM,保证链路的私有性与高性能带宽。方案组网如下图所示:
从主中心和备份中心的网关层(本方案的接入交换机)拉出互联链路,通过“异地集群连通模块”汇聚后上波分设备;
异地集群连通模块将需要进行集群和迁移的服务器VLAN进行Trunk,实现与大连双中心的大二层VLAN互通,保证服务器能够实现跨数据中心的集群(MSCS)和迁移(VMotion);
数据中心内部端到端部署IRF虚拟化,虚拟化后的网关设备与大连备份中心运行VRRP,保证网关设备跨数据中心热备。
基于IP广域网DCI方案:
此方案可借用广域IP三层传输线路实现与大连双中心的二层互联,线路成本相对较低,但线路带宽可能成为瓶颈。方案组网如下图所示:
从主中心和备份中心的网关层(本方案的接入交换机)拉出互联链路,通过“DCI PE设备”汇聚后承载到广域IP网络;
在IP核心网上,两端PE间建立GRE隧道,实现两PE背靠背互联,这种方案的好处的可建立 IPSEC 爱护私密性与完整性;
综合上述两种方案,举荐采纳方案1,幸免互联带宽和时延成为应用的瓶颈!
新技术应用 FCoE
数据中心网络接入层是将服务器连接到网络的第一层基础设施,那个地点最常见的网络类型是用于局域网(LAN)连接的以太网,以及用于储备网络(SAN)连接的FC网络。为支持不同类型网络,服务器需要为每种网络配置单独的接口卡,即以太网卡(NIC)和光纤通道主机总线适配器(FC HBA)。多种类型的接口卡和网络设备削弱了业务灵活性,增加了数据中心网络治理复杂性、增加了设备成本、增加了电力等方面的开销。
FCOE技术,实现了用以太网承载FC报文,使得FC SAN和以太网LAN可共享同一个单一的、集成的网络基础设施,专门好的解决了不同类型网络共存所带来的咨询题。然而,传统以太网LAN和传统FC SAN具有不同的技术要求,在拓扑结构、高可用性、传输保证机制、流量模型等方面存在较大差不。
FCOE技术的两种部署模式:
FCOE技术在网络中有两种部署模式,如下图所示:
整网端到端(接入—汇聚—核心)的FCOE部署(上图a)。FCoE技术的应用范畴扩大到整网,除接入层交换机外,汇聚核心层交换机也支持FCoE功能;除服务器外,储备设备也逐步支持FCoE接口。由此实现了LAN与SAN的融合,简化了整网基础设施。
FCOE只部署在服务器网络接入层(上图b)。目的是实现服务器I/O整合,简化服务器网络接入层的线缆设施。服务器安装支持FCoE的10GE CNA网卡,并连接到接入层FCoE交换机(FCF或NPV),接入层交换机再分不通过10GE链路和FC链路连接到现有的LAN和SAN。
FCOE整网部署是数据中心网络以后进展趋势,由于FCoE标准公布不久,业界还没有显现较为成熟的支持全网端到端FCOE部署的方案和产品,成本也相对较高,因此FCOE的网络接入层部署是当前的要紧应用模式。此外,从爱护XX现有投资(已建设的FC SAN)角度动身咨询题,也建议现时期只在网络接入层通过FCOE实现服务器IO整合,简化接入层线缆部署,而保留原有LAN骨干与原有FC SAN骨干的独立性。
数据中心FCoE部署:
在数据中心网络设计中,FCoE技术将部署在OA服务器区,一方面为今后做技术储备,另一方面OA服务器的风险及性能压力相对较低,可不能阻碍到企业的生产运作。OA服务器区FCoE部署组网拓扑如下图所示:
OA服务器部署万兆CAN融合网卡,连接FCoE接入交换机,同时在FCoE接入交换机上配置FC接口卡,与FC SAN交换机相连。FCoE上行至核心交换机的链路组网与其它业务区相同。
虚拟机(VM)部署与迁移
虚拟机在数据中心的部署越来越广泛,虚拟机的部署将会对网络设计产生以下几个方面的阻碍:
网络流量和突发性加剧。传统一台物理服务器部署一个应用系统,业务流量相对较小而且稳固,网络设计与设备选型无专门要求。在部署了虚拟机之后,服务器的利用率得以提升,同时一台服务器产生的业务流量将会成倍提升,同时一台物理服务器上部署多个应用系统,业务流的突发性也会加剧。
虚拟机与虚拟交换机的治理难度增大。部署虚拟机之后,虚拟机的部分流量将通过内部虚拟交换机转发,虚拟交换机是位于服务器内的软件,网络治理员配置和监控困难。
虚拟机迁移与网络安全策略的感知。虚拟机从一台物理服务器迁移到另一台物理服务器之后,网络接入交换机上针对原物理服务器的端口策略(ACL、QoS等)将全部失效。
在数据中心网络设计时将分不针对上述几个方面咨询题,提出相应的解决方案。
服务器千兆接入,多万兆捆绑上行到核心区。核心区选用分布式入方向大缓存设备,从带宽上解决业务流量倍升咨询题,从缓存上解决网络突发和拥塞咨询题;
部署iMC网络治理平台,该平台能够显示VMware虚拟机与虚拟交换机拓扑,并能够对虚拟机进行性能监控,对虚拟交换机进行配置和治理。如下图示:
构建无差异虚拟机接入网络,部署VLAN ACL,同时将防火墙策略上移,保证虚拟机在本区域内迁移时,网络和安全策略无差异,如下图所示:
iMC网络治理平台对VMotion的感知。H3C iMC网络治理平台针对VMware vCenter做了API接口,vCenter获得VMotion事件后,会通知iMC平台,iMC平台可将网络设备上针对VM下发的策略迁移到网络中其它设备或端口上,实现网络策略随VM迁移而动。如下图所示:
数据中心治理
数据中心治理设计原则
人、设备、流程的治理是IT的要紧传统任务,数据中心运维治理建设的重点在于利用好现有资源,整合信息及其系统,实现科技的整体规划和标准治理。同时,借助于科技网络化的治理工具,能够达到提升运维日常工作效率和治理效率的双重功效。数据中心运维治理建设需要遵循的差不多原则如下:
集中性原则
系统规划、设计和建设要以治理系统集中、数据集中、处理集中为原则,统一规划、统一标准、统一设备、统一开发与应用。
先进性和成熟性原则
用科学的方法(如ITIL)及工具进行系统规划和设计,幸免盲目性和随意性;选择技术先进、具有一定代表水平同时成熟的技术方法和产品来建设数据中心治理系统。
安全、保密性原则
从设备安全、网络安全、数据安全等多角度考虑治理系统的安全性和保密性,采纳多种手段对安全性和保密性进行操纵来确保企业业务经营信息的安全。
急用先行、稳步实施原则
数据中心治理系统是一个庞大复杂的系统工程,在系统建设过程中,应遵循急用先行的原则,优先建设急需的系统,同时要考虑到信息化建设的全局,逐步完成系统建设。
网络治理 (1)设备治理
数据中心设备要紧包括服务器、路由器、交换机、安全(FW、IPS)等基础设施,建议按照统一治理的原则,由一套治理平台来对数据中心的全局资源进行监控,显现故障或告擎后能够快速找到故障点。这一个全局
的平台需要监控机柜、网络安全设备、服务器及虚拟机资源的状态,如下图所示:
关于服务器内运行的数据库、中间件,也需要在那个全局的平台上了解其运行状态,如下图所示:
对服务器的状态监控在部署时应注意幸免在服务器上安全客户端软件,以防信息的泄漏。
(2)拓扑治理
数据中心拓扑治理不仅能够自动发觉网络物理拓扑结构,还需要提供分区拓扑、机房拓扑、机架拓扑、设备面板、用户拓扑等功能,可将全网设备按照不同的治理区域、楼层、机房、机架、面板、用户等进行划分,建立资源、业务与用户的统一拓扑视图,方便治理员从各个维度对数据中心的各种资源进行治理。
(3)配置治理
1)资源化的配置和软件治理
配置模板库爱护网络设备配置模板文件、用户常用的配置模板片段两种资源;配置模板文件可部署为设备的启动配置或者运行配置;配置模板片断可部署为设备的运行配置,也可通过启用“下发命令后将设备运行配置储存为启动配置”选项部署为启动配置,同时配置内容能够带有参数,在部署时按照设备的差异设置不同的值。
2)集中化的设备配置和软件信息展现
提供全网设备的配置文件、软件版本信息集中式展现,包括设备的当前软件版本、最新可用于升级的软件版本、最近备份时刻、是否已加入自动备份打算等信息;可提供治理员对设备的集中操作包括设备配置部署、设备配置备份与复原、设备软件升级与复原、设备空间治理、设备软件基线化治理功能,极大的方便了治理员直观的把握当前网络的配置和软件版本。
3)基线化的设备配置变更审计
通过配置备份历史和软件升级历史的治理,实现基线化的设备配置变更审计功能,使配置文件治理和软件升级治理具有了可回溯性。提供设备运行配置和启动配置的基线化版本治理,将每个设备有关的配置文件划分为三种版本:基线、一般、草稿。便于治理员识不、治理。并可快速复原至基线配置。提供设备软件基线化版本治理,每个设备能够指定一个基线版本,提供基线审计及快速复原至基线版本功能。
4)自动化的建立可追溯的网络配置
通过启动自动备份功能,关心治理员周期性自动地完成设备配置的历史备份,自动建立起可追溯的网络配置。用户能够针对不同的设备设置不同的备份周期和备份时刻点,支持按天、周、月周期备份。支持网络运行设备的配置变化检查,一旦配置发生变化,赶忙以告警方式通知治理员关注。
(4)安全治理 1)智能分析与联动
对来自于网络、安全、操作系统、数据库、储备等设施的安全信息与事件进行分析,关联和聚类常见的安全咨询题,过滤重复信息,发觉隐藏的安全咨询题,使治理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口,并能按照预先制定的策略做出快速的响应,保证网络安全。
2)日志治理
采纳主动收集、被动接收等多种方式,提供有价值的集中化日志治理,并对不同类型格式的日志进行归一化处理。同时,采纳高聚合压缩技术对海量事件进行储备,并可通过自动压缩、加密和储存日志文件到DAS、NAS或SAN等外部储备系统,幸免重要安全事件的丢失。
2)完善的报告
提供设备、主机、应用系统、漏洞、网络流量、主机资产、法规遵从(如SOX、HIPAA、GLBA、FISMA等法案和条例)七大类报告,差不多覆盖了所有安全有关的信息,并支持以PDF、HTML、WORD、TXT等多种格式输出;同时可通过Web界面进行定制报告,定制内容包括数据的时刻范畴、数据的来源设备、生成周期、输出类型等。
网络监控 (1)流量监控
数据中心是各种流量的汇聚点,流量状态复杂,为了更好的把握数据中心的实际运行状况,为后续的升级及扩容提供数据支撑。需要在数据中心部署网络流量分析系统。从多个角度对网络流量进行分析,并生成报表,包括基于接口的总体流量趋势报表、应用带宽占用趋势报表、节点(包括源、目的IP)流量报表、会话流量报表共四大类报表。
基于报文内容对应用进行识不和分类,可针对百兆链路提供对常见P2P应用的网络占用带宽趋势图和流量趋势图及应用的详细信息列表等报表,实现对此类应用流量的监控。
通过流量原始日志对特定节点、协议、端口、时刻范畴内的流量趋势、来源、目的和会话进行审计,给出对应的通信明细(包括流量、包数、包长等),并可按照来源IP、目的IP、端口等进行分类统计,以便跟踪解决网络流量专门咨询题。
(2)网络监控
网络监控要紧实现以下功能: 故障监控
检测、隔离、更正网络咨询题并从这些咨询题中复原。直观、快速定位咨询题。
性能监控
分析和操纵整个网络的数据吞吐,为终端用户提供连续的可靠的服务,同时为网络优化提供数据支撑。
7层应用审计
提供了七层应用审计功能,基于报文内容对应用进行识不和分类,进而提供对常见P2P应用和即时通讯应用的网络应用信息列表等报表,实现对此类应用流量的监控,和应用分析功能一起完善的提供对各类应用(包括使用固定协议端口和动态协商端口)的监控分析功能。
NAT地址转换审计
提供用户按照通用审计条件的基础上按照NAT IP和NAT 端口进行日志审计的功能。审计结果支持按照各个字段进行分组排序的功能及审计结果的储存。
Web访咨询审计
提供用户按照站点地址和URI为条件进行审计的功能。审计结果支持按照各个字段进行分组排序的功能及审计结果的储存。
文件传输审计
提供用户按照FTP用户名、文件名、传输方式为条件进行审计的功能。审计结果支持按照各个字段进行分组排序的功能及审计结果的储存。
邮件审计
提供用户按照发件人、收件人、主题为条件进行审计的功能。审计结果支持按照各个字段进行分组排序的功能及审计结果的储存。
审计报表
提供专业的报表,包括访咨询站点、会话数、应用分布、未知应用的TopN报表,SMTP、HTTP、FTP的应用分析报表,每种报表都能够按照天、周等周期和图形、列表等形式输出。通过使用这些自带的报表,治理员能够专门清晰的了解当前用户对网络的使用情形。
(3)日志及事件治理
数据中心内部署了众多的网络和安全设备,一旦显现攻击,将会引起攻击路径上的众多设备产生告警事件及日志,需要一台安全治理中心设备能够对数据中心内部产生的各种日志和事件进行智能的关联分析,便于运维人员能够迅速的找到咨询题根源。
安全治理中心能够提供对全网海量的安全事件和日志的集中收集与统一分析,兼容异构网络中多厂商的各种设备,对收集数据高度聚合储备及归一化处理,实时监控全网安全状况,同时能够按照不同用户需求提供丰富的自动报告,提供具有讲服力的网络安全状况与政策符合性审计报告,系统自动执行以上收集、监控、告警、报告、归档等所有任务,使IT及安全治理员脱离繁琐的手工治理工作,极大提升效率,能够集中精力用于更有价值的活动,保证网络安全。
方案实施 网络布线建议 走线方式的选择
数据中心机房走线方式一样有以下三种: 下走线
下走线是将强电线缆和数据线缆部置在高架地板下,如下图所示:
此种走线方式机房整体简洁美观,但不便于后期的线路爱护,早期有较多的中小型机房采纳了此种走线方式。
架空走线
架空走线是从天花板上悬挂配线框,实现强电、光纤和弱电的分层部署,如下图所示:
此种走线方式能够专门好的规避线缆间的电磁干扰,走线密度也能够做得较高,适合大规模的数据中心机房,但对机房的层高有较高的要求。
上走线
此种走线方式是在机柜顶端架设走线槽进行布线,如下图所示:
这种走线方式是目前中小机房的主流走线方式,后期爱护方便。 关于上述三种走线方式,其优劣时对例如下表所示:
综合多方面考虑,结合数据中心机房的建筑要求,建议采纳上走线方式!
网络配线方式
机房布线方式也有三种:直连式布线,分布式布线,POD方式布线。 1)直连式布线
特点:网络机柜独立排列,服务器机柜直截了当通过布线连接网络机柜
优点:适合小型数据中心,或者小型业务区域,结构简单,容易实施 缺点:不适合大型数据中心或业务区域,服务器密度增高后会造成电缆重叠,容易拥塞,不易爱护
2)分布式布线——列头柜布线
特点:网络设备列头柜汇聚,列头柜连接到服务器机柜,由列头柜上行连接到网络核心机柜组
优点:分布式列头柜设计,没有线缆重叠,连接线缆短,传输性好,网络层次性好,容易扩展,成本低、治理方便,空气流通性好,便于散热。适合于中、大型数据中心。
缺点:当服务器机柜列专门长时,末端机柜距离列头柜太远,难以实现接入。
3)POD(Point Of Delivery)布线——机柜组布线
特点:网络机柜放置在一组服务器机柜中间,对应到一个服务器区域 优点:两边机柜的电缆都向中间集中,幸免了最远端电缆到列头机柜的网线超出规定了距离,同时各机柜传输效率较为平均,布线距离较短,节约了布线成本。适合于大型数据中心。
服务器接入方式
服务器接入方式分为三种:EoR(End Of Row),ToR(Top Of Rack),Blade Chassis。
EoR方式:
这是一种比较传统的布线方式,在数据中心的机房中服务器机柜差不多上成排的摆放,每排服务器机柜的最边缘摆放1到2个网络设备机柜。
所有的服务器机柜的上部安装有配线架,这些配线架直通每排机柜最边端的网络机柜上的配线架。网络机柜中安装接入交换机,服务器通过机柜中的配线架接入到网络机柜中的交换机。
这种布局通常用在服务器机柜中的服务器密度不是专门高的情形。例如讲,服务器差不多上IBM的2U、4U的小型机,一个机柜42U,也就摆放6-12台左右。
当前大部分机房都按这种方式布线,这种布线的要紧咨询题是从各机柜到列头柜需要铺设大量的铜缆,专门是从离列头柜最远端的服务器机柜,会拉出一大捆网线。因此对Eod of roW还有一种改进的方法叫做middle of row。也确实是在一排服务器机柜的中间摆放1-2个网络机柜,如此的布局可方便网线的铺设和爱护。
ToR方式:
如图,这种方式确实是在标准的42U的服务器机柜的最上面安装接入交换机。服务器的网口都接入到机柜上部的交换机上。那个接入交换机再通过铜缆或光线接入到网络机柜的汇聚或核心交换机上。这种组网的好处是简化布线,从服务器机柜到列头柜只有专门少的电缆。
这种布局要求每个服务器机柜的服务器密度比较高,一样来讲都采纳1U的服务器,关于一个42U的机柜,可接入20到30台1RU服务。这种布局能够用在一些对接入密度比较高的IDC机房。
从网络设计上看,TOR布局中每台交换机上的VLAN/子网可不能太多,在网络规划的时候也尽量幸免让一个VLAN跨了多台交换机,因此TOR布局时一个VLAN范畴可不能太大,所包含的端口可不能太多。但关于EOR来讲,一个VLAN范畴可能会更大,包含的端口更多。
还有一点,TOR布局的交换机数量多,EOR布局的交换机数量少,因此两者的爱护治理工作量也不同。
Blade Chassis方式:
关于刀片服务器,服务器上连模块有刀片交换机和直通模块两种,如下图所示:
为简化网络层次,刀片服务器建议采纳直通模块的方式上联,网络配线依旧选择EOR方式,保持统一。
机房布线建议
数据中心数据中型数据中心,具体走线和布线方案需要按照数据中心实际情形进行选择。
能够选择较为传统的方式:地下走线+列头柜布线+EoR服务器接入的方式。
VLAN规划
此次项目VLAN号段总体规划如下:
VLAN ID号段 1-99 100-499 500-599 600-699 700-799 800-4094 用途及业务规划 预留,临时不用 各应用区服务器接入VLAN 核心交换机到各业务区域防火板之间的互联VLAN 各业务区域防火板到各业务区域接入交换机之间的互联VLAN 各业务区域内交换机治理VLAN 预留VLAN
IP地址规划
1、数据中心各业务接入IP地址及VLAN规划如下:
地址段 网关 vlan id 业务 子业务 安全区域 5、各区域内交换机治理地址使用10.124.111.128/25地址段,具体规划如下:
治理地址 网络设备名 设备名称 系统名称 VLAN ID 通用服务器区交换机治理地址 开发测试区交换机治理地址 带外网管区交换机治理地址
路由规划
OSPF(Open Shortest Path First,开放最短路径优先)是IETF组织开发的一个基于链路状态的内部网关协议,目前针对IPv4协议使用的是OSPF Version 2(RFC 2328)。与所有链路状态路由协议相同,OSPF协议相比距离矢量(Distance-Vector,D-V)算法(如RIP)的动态路由协议,具有更快的收敛速度,能够支持更大的网络,不易受到错误路由信息阻碍的特点,是一种适用范畴广、支持验证、无自环、功能完善的动态路由协议。
基于开放性、可扩展性和成熟性原则,山西省电力公司信息内网数据中心改造项目全网采纳OSPF作为IGP路由协议。
OSPF 进程号规划
OSPF支持多进程,此次工程使用进程号为30001。 OSPF Router ID规划
手工指定每台设备的Router ID,且Router ID设置成与该设备的Loopback地址相同。
OSPF 链路Cost规划
为确保设备选择最优路径进行报文转发,幸免迂回路径的产生,统一规划网络中OSPF链路的Cost值,链路Cost=[参考带宽/实际链路带宽],参考带宽为40G,各种接口的链路的开销如下表所示:
接口类型 N×10GE(主用链路) N×10GE(备用链路) 10GE(主用链路) 10GE(备用链路) 2.5G(主用链路) 2.5G(备用链路) N×GE(主用链路) N×GE(备用链路) GE(主用链路) GE(主用链路) Cost 4/N 4/N×2 4 4×2 16 16×2 40/N 40/N×2 40 40×2 设备三层互连接口的网络类型设置为p2p,加快路由收敛。 OSPF区域规划
核心交换机和各个功能分区的汇聚接入交换机组成OSPF的骨干区域。数据中心各个区域要紧为接入服务器,不再规划路由区域。
OSPF路由公布原则
OSPF进程内的所有设备都使用Network方式公布业务网段,同时将业务网段接口配置成Silent-interface,不承诺直截了当引入Direct路由。
业务迁移
在构建了跨数据中心大二层网络后,业务系统的迁移能够采取先迁服务器,后迁网关的方式进行。将需要迁移的服务器VLAN Trunk到数据中心,并构建跨数据中心VRRP虚拟网关,保证服务器迁移到数据中心后,无需更换网络的任何配置即可连通业务。
(详细待沟通后补充!) 设备介绍 设备清单
产品代码 核心区 LS-12508-AC-1 LSTM1MRPNC1 LSTM1GP48LEB1 LSTM1XP8LEB1 LSTM1SF08B1 XFP-SX-MM850 SFP-GE-SX-MM850-A LSTM2FANH LSTM1KSGD0 LSTM1HGB08 LSTM2PSRA LSTM2PEMC6 LSTM1SPCABLE1 SV-PS-HPSDS 小计 广域网接入区 SR-Z+M+A-6 SPE-1020 PIC-PH2G6L LIS-SR8800-H3 SFP-GE-SX-MM850-A SFP-622M-LX-SM1310 IM-FW 小计 外联网区 LS-7506E LSQM1AC1400 LSQM1SRPB0 H3C S12508 路由交换机主机(AC-1) H3C S12500 治理及路由处理板-带OAM模块 48端口千兆以太网光接口业务板(LEB)-(SFP,LC) 8端口万兆以太网光接口业务板(LEB)-(XFP,LC) S12508交换网板 光模块-XFP-10G-多模模块-(850nm,300m,LC) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 风扇框模块-08 安装滑道附件-350mm~500mm 后盖板-08 交流电源模块-2000W 交流电源进线模块-6端口16A插座标准型 单相交流电源线-6根-3m-(IEC320-C19) 高端产品软件部署服务 2套 SR8805主机+双交流电源+双主控 双路业务处理板 2端口OC-12c/STM-4c POS光口(SFP,LC)+6端口千兆以太网光接口卡(SFP,LC) H3C SR8800 主机软件 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 622M SFP光模块-(1310nm,15km,LC) H3C SR8800 防火墙业务处理板 2套 H3C S7506E 以太网交换机主机 H3C S7500E 交流电源模块,1400W H3C S7500E Salience VI交换路由引擎 项目名称 数量 1 2 1 1 9 8 10 2 1 1 6 1 1 1 2 1 1 1 1 4 1 1 2 1 2 2 LSQM1FWBSC0 LS-LSQM1IPSSC0+1Y LSQM1GV48SD0 LSQM1TGX4SD0 LSQM1GP48SD0 SFP-GE-SX-MM850-A XFP-SX-MM850 小计 互联网区 LS-7510E LSQM1AC1400 LSQM1SRPB0 LSQM1FWBSC0 LSQM1LBSC0 LS-LSQM1IPSSC0+1Y LSQM1GV48SD0 LSQM1TGX4SD0 LSQM1GP48SD0 SFP-GE-SX-MM850-A XFP-SX-MM850 RT-6604+BKEB+2 RPE-X1+2 AC650-H3 LIS-SR6600-STANDARD-H3 RT-SPE-FWM-H3 RT-FIP-210-H3 RT-HIM-8GBE-WAN-H3 NS-Z+M-1 SFP-GE-SX-MM850-A NSQM1GT8C40 NSQM1XP20 XFP-SX-MM850 LSQM1AC650 NSQM1FWM0 小计 开发测试区 H3C S7500E 防火墙业务板模块 H3C 7500E-千兆入侵防备系统模块,含一年特点库升级,一年病毒库升级 H3C S7500E 48端口千兆以太网电接口模块(RJ45),PoE Plus H3C S7500E 4端口万兆以太网光接口模块(XFP,LC) H3C S7500E 48端口千兆以太网光接口模块(SFP,LC) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 光模块-XFP-10G-多模模块-(850nm,300m,LC) 2套 H3C S7510E 以太网交换机主机 H3C S7500E 交流电源模块,1400W H3C S7500E Salience VI交换路由引擎 H3C S7500E 防火墙业务板模块 H3C S7500E-千兆负载均衡业务模块 H3C 7500E-千兆入侵防备系统模块,含一年特点库升级,一年病毒库升级 H3C S7500E 48端口千兆以太网电接口模块(RJ45),PoE Plus H3C S7500E 4端口万兆以太网光接口模块(XFP,LC) H3C S7500E 48端口千兆以太网光接口模块(SFP,LC) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 光模块-XFP-10G-多模模块-(850nm,300m,LC) SR6604路由器机框捆绑SR6600机箱附件与两个RT-RPE-X1模块与两个LSQM1AC650电源模块(0235A0FR*1+0231A984*1+0231A761*2+0231A79R*2) H3C SR6600主机软件费用(标准版) H3C SR6600 千兆防火墙业务板模块 灵活接口平台210,2 HIM 插槽,2 10/100/1000M WAN 端口 (RJ45 and SFP Combo) 8端口千兆以太网电口接口模块 H3C SecPath F5000-A5主机系统,含主机机框和主控模块 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) H3C SecPath F5000-A5,12端口千兆以太网业务单元,(8RJ45+4Combo) H3C SecPath F5000-A5,2端口万兆以太网业务单元,(2XFP) 光模块-XFP-10G-多模模块-(850nm,300m,LC) H3C PSR650A 交流电源模块,650W H3C iMC SecCenter组件-Firewall Manager防火墙治理系统-纯软件(CD) 2套 1 1 1 1 1 24 4 2 1 2 2 1 1 1 1 1 1 24 4 1 1 1 1 1 1 4 1 1 2 2 1 2 H3C S5800-60C-PWR L3以太网交换机主机,支持48个LS-5800-60C-PWR-H3 10/100/1000BASE-T端口,支持4个100/1000BASE-X SFP端口,支持2个接口模块扩展插槽,1个OSM插槽,PoE+,1个PoE+模块插槽,无电源 LSWM1SP4P LSWM1FW10 SFP-XG-SX-MM850-A LSWM1AC300 LSWM3STK 小计 4端口万兆以太网SFP+光接口模块 H3C S5800 系列-防火墙模块-OSM Slot SFP+ 万兆模块(850nm,300m,LC) 300W交流系统电源模块 SFP+电缆3m 2套 H3C S7506E 以太网交换机主机 H3C S7500E 交流电源模块,1400W H3C S7500E Salience VI交换路由引擎 H3C S7500E 防火墙业务板模块 H3C S7500E 48端口千兆以太网电接口模块(RJ45),PoE Plus H3C S7500E 4端口万兆以太网光接口模块(XFP,LC) H3C S7500E 48端口千兆以太网光接口模块(SFP,LC) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 光模块-XFP-10G-多模模块-(850nm,300m,LC) 2套 H3C S7506E 以太网交换机主机 H3C S7500E 交流电源模块,1400W H3C S7500E Salience VI交换路由引擎 H3C S7500E 防火墙业务板模块 H3C S7500E 48端口千兆以太网电接口模块(RJ45),PoE Plus H3C S7500E 4端口万兆以太网光接口模块(XFP,LC) H3C S7500E 48端口千兆以太网光接口模块(SFP,LC) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 光模块-XFP-10G-多模模块-(850nm,300m,LC) 2套 H3C S7510E 以太网交换机主机 H3C S7500E 交流电源模块,1400W H3C S7500E Salience VI交换路由引擎 H3C S7500E 防火墙业务板模块 H3C S7500E-千兆负载均衡业务模块 H3C 7500E-千兆入侵防备系统模块,含一年特点库升级,一年病毒库升级 H3C S7500E 48端口千兆以太网电接口模块(RJ45),PoE Plus H3C S7500E 4端口万兆以太网光接口模块(XFP,LC) 1 1 4 1 1 2 1 2 2 1 1 1 1 24 4 2 1 2 2 1 1 1 1 24 4 2 1 2 2 1 1 1 1 1 1 百货应用区 LS-7506E LSQM1AC1400 LSQM1SRPB0 LSQM1FWBSC0 LSQM1GV48SD0 LSQM1TGX4SD0 LSQM1GP48SD0 SFP-GE-SX-MM850-A XFP-SX-MM850 小计 KTV应用区 LS-7506E LSQM1AC1400 LSQM1SRPB0 LSQM1FWBSC0 LSQM1GV48SD0 LSQM1TGX4SD0 LSQM1GP48SD0 SFP-GE-SX-MM850-A XFP-SX-MM850 小计 院线应用区 LS-7510E LSQM1AC1400 LSQM1SRPB0 LSQM1FWBSC0 LSQM1LBSC0 LS-LSQM1IPSSC0+1Y LSQM1GV48SD0 LSQM1TGX4SD0 LSQM1GP48SD0 SFP-GE-SX-MM850-A XFP-SX-MM850 小计 H3C S7500E 48端口千兆以太网光接口模块(SFP,LC) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 光模块-XFP-10G-多模模块-(850nm,300m,LC) 2套 H3C S7506E 以太网交换机主机 H3C S7500E 交流电源模块,1400W H3C S7500E Salience VI交换路由引擎 H3C S7500E 防火墙业务板模块 H3C S7500E 48端口千兆以太网电接口模块(RJ45),PoE Plus H3C S7500E 4端口万兆以太网光接口模块(XFP,LC) H3C S7500E 48端口千兆以太网光接口模块(SFP,LC) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 光模块-XFP-10G-多模模块-(850nm,300m,LC) 2套 H3C S7506E 以太网交换机主机 H3C S7500E 交流电源模块,1400W H3C S7500E Salience VI交换路由引擎 H3C S7500E 防火墙业务板模块 H3C S7500E 48端口千兆以太网电接口模块(RJ45),PoE Plus H3C S7500E 4端口万兆以太网光接口模块(XFP,LC) H3C S7500E 48端口千兆以太网光接口模块(SFP,LC) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 光模块-XFP-10G-多模模块-(850nm,300m,LC) 2套 H3C S5820X-28C L3以太网交换机主机,支持14个10G/1G 1 24 4 2 1 2 2 1 1 1 1 24 4 2 1 2 2 1 1 1 1 24 4 2 ERP/财务应用区 LS-7506E LSQM1AC1400 LSQM1SRPB0 LSQM1FWBSC0 LSQM1GV48SD0 LSQM1TGX4SD0 LSQM1GP48SD0 SFP-GE-SX-MM850-A XFP-SX-MM850 小计 其它应用区 LS-7506E LSQM1AC1400 LSQM1SRPB0 LSQM1FWBSC0 LSQM1GV48SD0 LSQM1TGX4SD0 LSQM1GP48SD0 SFP-GE-SX-MM850-A XFP-SX-MM850 小计 OA应用区(FCoE) LS-5820X-28C-H3 BASE-X SFP+端口,支持4个10/100/1000 BASE-T端口,支持2个接口模块扩展插槽,1个OSM插槽,无电源 1 LSWM1FC4P0 SFP-XG-SX-MM850-A LSWM1AC300 LSWM1FAN LSWM3STK 小计 支撑治理区 H3C S5800 系列-4端口2/4/8G FC接口模块 SFP+ 万兆模块(850nm,300m,LC) 300W交流系统电源模块 风扇模块 SFP+电缆3m 2套 H3C S5800-60C-PWR L3以太网交换机主机,支持48个1 14 1 1 1 2 LS-5800-60C-PWR-H3 10/100/1000BASE-T端口,支持4个100/1000BASE-X SFP端口,支持2个接口模块扩展插槽,1个OSM插槽,PoE+,1个PoE+模块插槽,无电源 2 LSWM1SP4P LSWM1FW10 4端口万兆以太网SFP+光接口模块 H3C S5800 系列-防火墙模块-OSM Slot 2 2 SFP-XG-SX-MM850-A LSWM1AC300 LSWM3STK SWP-IMC-IMP LIS-IMC-IMPD-200 SWP-IMC-IMP-PFS SWP-IMC-NTA LIS-IMC-NTAB-2 SWP-IMC-IAR SWP-IMC-APM LIS-IMC-APMD-200 SV-PS-CTD-iAR SV-PS-BS1-1Y-iAR NS-SecCenter A1000-S SV-PS-Sec-Imp-A1000 SV-PS-Sec-Adj-A1000 小计 灾备接入区 SFP+ 万兆模块(850nm,300m,LC) 300W交流系统电源模块 SFP+电缆3m H3C iMC-智能治理平台标准版(不含节点)-纯软件(DVD) H3C iMC-智能治理平台标准版治理200节点License费用 H3C iMC-智能治理平台专业版(不含节点)-纯软件(DVD) H3C iMC-NTA网络流量分析组件-纯软件(CD) H3C iMC-NTA网络流量分析组件治理2台设备License费用 H3C iMC-iAR智能分析报表组件-纯软件(DVD) H3C iMC-APM应用治理组件(不含监控点)-纯软件(CD) H3C iMC-APM应用治理组件治理200个监控点License费用 iAR智能分析报表-专项服务-定制模板开发(1模板) iAR智能分析报表-首年综合服务-随设备购买 H3C SecCenter A1000 安全治理中心(含2个A类License及10个B类License) 安全治理中心系列-A1000-安全治理中心部署 安全治理中心系列-A1000-安全策略优化 1套 H3C S5820X-28C L3以太网交换机主机,支持14个10G/1G 8 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 LS-5820X-28C-H3 BASE-X SFP+端口,支持4个10/100/1000 BASE-T端口,支持2个接口模块扩展插槽,1个OSM插槽,无电源 1 SFP-XG-SX-MM850-A LSWM1AC300 LSWM3STK 小计 带外治理区 LS-Z5-2 小计 SFP+ 万兆模块(850nm,300m,LC) 300W交流系统电源模块 SFP+电缆3m 2套 LS-5120-48P-EI-H3*5组合 1套 10 1 1 2 1 1
H3C特色技术介绍 IRF虚拟化 IRF简介
以太网是广播性质的网络,一旦链路成环路专门容易导致广播风暴,耗尽网络链路及设备资源。然而在传统的数据中心网络部署中,为了保证网络设备和链路的高可靠,往往通过引入双机热备、双链路双归属的冗余
方式组网,引入MSTP+VRRP协议来实现链路和设备网关的热备,这种部署方式必定会带来网络环路和复杂度的增加。
为了便于描述,那个“虚拟设备”也称为IRF。因此,本文中的IRF有两层意思,一个是指IRF技术,一个是指IRF设备。
IRF的优点
提升可靠性。IRF的高可靠性体现在多个方面:其一、IRF由多台成员设备组成,Master设备负责IRF的运行、治理和爱护,Slave设备在作为备份的同时也能够处理业务。一旦Master设备故障,系统会迅速自动选举新的Master,以保证业务不中断,从而实现了设备的1:N备份;其二、IRF虚拟化设备可实现跨设备的链路聚合,与上、下层设备之间的链路聚合功能,多条链路之间能够互为备份也能够进行负载分担,从而进一步提升了IRF的可靠性;其三、IRF的成员设备切换和链路切换时刻均为毫秒级,相比传统的MSTP+VRRP协议的秒~十秒的收剑时刻,网络的故障自愈时刻有了数量级的提升。
简化治理。IRF形成之后,用户通过任意成员设备的任意端口都能够登录IRF系统,对IRF内所有成员设备进行统一治理。此外,由于多台设备虚拟为一台设备,现在的网络逻辑拓扑简化为点到点的直连,排除了传统的组网环路,因此可大大简化乃至排除MSTP协议的部署,IRF设备对外表现为一个网关,也无需部署VRRP协议。同时,由于IRF进行了N:1的横向整合,网络中设备的数量将大大减少,路由协议的邻居关系、设备Loopback地址、网络接口互连地址也会随之减少,达到节约网络IP资源并简化了网络运维的目的。
强大的网络扩展能力。通过增加IRF成员设备,能够轻松自如的扩展IRF的端口数、带宽。因为各成员设备都有CPU,能够独立处理协议报文、进行报文转发,因此IRF还能够轻松自如的扩展处理能力。
IRF组网应用
数据中心实际组网中,在部署IRF虚拟化整合之后,对上、下层设备来讲,它们确实是一台设备,数据中心网络从服务器网卡接入至汇聚、核
心交换机,二层链路可实现端到端捆绑。IRF可部署在核心层、汇聚层和接入层,如下图所示:
IRF与第三方设备兼容
IRF尽管为H3C的专利技术,但技术的私有性仅仅局限IRF虚拟设备内,IRF虚拟设备对外提供的接口仍旧是采纳LACP标准链路捆绑协议(IEEE 802.3ad),因此能够专门好的与第三方厂商设备及现网中不支持IRF的H3C老设备实现互通兼容,如下图所示:
H3C IRF技术目前差不多在国内各大数据中心得到了广泛的应用,技术成熟稳固得到了宽敞用户的一致认可。此次山西省电力公司数据中心网络改造项目中,此技术将部署到核心区和服务器接入区。
网络安全融合 网络安全融合简介
数据中心是企业IT的核心资产,安全的要求在持续提升,在传统的数据中心网络安全部署时,往往是网络与安全各自为战,在网络边界或关键节点串接安全设备(如FW、IPS、LB等)。随着数据中心部署的安全设备的种类和数量也越来越多,这将导致数据中心机房布线、空间、能耗、运维治理等成本越来越高。
H3C数据中心网络安全融合产品方案(SecBlade)能够专门好的解决上述咨询题,SecBlade安全插卡(FW、IPS、LB、SSL VPN等)可直截了当插在H3C交换机的业务槽位,通过交换机背板互连实现流量转发,共用交换机电源、风扇等基础部件。达到简化机房布线、节约机架空间、简化治理的目的。
H3C SecBlade插卡形状如下图所示:
融合部署优点
互连带宽高。SecBlade系列安全插卡采纳背板总线与交换机进行互连,背板总线带宽一样可超过40Gbps,相比传统的独立安全设备采纳一般千兆
以太网接口进行互连,在互连带宽上有了专门大的提升,而且无需增加布线、光纤和光模块成本。
减少单点故障。由于SecBlade安全插卡采纳背板与交换机互连,因此互连线路可靠性高,可不能存在互连线路故障点。此外,交换机的背板具备健康检测机制,在透亮模式部署的安全插卡(如IPS、ACG)上可按照业务要求配置“二层回退”功能,当检测到SecBlade插卡显现故障时,交换机可直截了当对原先通过SecBlade安全插卡的流量进行旁路,使业务流不中断,幸免设备级的单点故障。
业务接口灵活。SecBlade系列安全插卡上不对外提供业务接口(仅提供配置治理接口),当交换机上插有SecBlade安全插卡时,交换机上原有的所有业务接口均可配置为安全业务接口。现在再也无需担忧安全业务接口不够而带来网络安全部署的局限性。
性能平滑扩展。当一台交换机上的一块SecBlade安全插卡的性能不够时,能够再插入一块或多块SecBlade插卡实现性能的平滑叠加。而且所有SecBlade插卡均支持热插拔,在进行扩展时无需停机中断现有的业务。
网络安全融合组网部署
在实际的数据中心组网部署时,通过在汇聚接入交换机上部署FW、LB插卡,能够让原本数据中心复杂分层的“蝶形”组网拓扑(如下图左侧所示)大大简化。同时启用虚拟防火墙的功能,将一块SecBlade FW插卡划分为多个实例分配到不同的服务器区实现安全访咨询操纵,达到网络拓扑扁平化、减少物理布线连接、便于运维治理的目的,而最终实现的逻辑功能与左侧完全一致。
产品介绍
参见附件中的产品彩页!
因篇幅问题不能全部显示,请点此查看更多更全内容