XXX公司數(shù)據(jù)中心建設(shè)項(xiàng)目設(shè)計(jì)方案

1 第一部分、 司數(shù)據(jù)中心簡(jiǎn)介 此處添加客戶公司介紹。 項(xiàng)目背景 此處添加該項(xiàng)目的背景情況。 設(shè)計(jì)原則 司 數(shù)據(jù)中心的建設(shè)將是一項(xiàng)關(guān)系到 司 的重大網(wǎng)絡(luò)工程，它的設(shè)計(jì)必須遵循以下原則： 高效實(shí)用性 作為一個(gè)系統(tǒng)，實(shí)用性永遠(yuǎn)是放在第一位的。我們的根本原則就是能最大限度地滿足 司 數(shù)據(jù)中心系統(tǒng)建設(shè)實(shí)際的需要。方案所推薦的主要技術(shù)和產(chǎn)品具有成熟、穩(wěn)定、實(shí)用的特點(diǎn)，并充分滿足司 各個(gè)下屬單位接入的需要。 2 先 進(jìn)性、成熟性 作為一個(gè)系統(tǒng)，先進(jìn)性是系統(tǒng)賴以生存發(fā)展的基礎(chǔ)。只有先進(jìn)的系統(tǒng)，才能充分發(fā)揮計(jì)算機(jī)的能力，才能發(fā)展，才能體現(xiàn)良好的低投入高產(chǎn)出的投資收益。 方案所推薦的 千兆 /萬(wàn)兆 以太網(wǎng)技術(shù)及多層交換 負(fù)載均衡等 技術(shù)是目前世界上先進(jìn)的網(wǎng)絡(luò)技術(shù)。 （此處添加與項(xiàng)目相關(guān)的關(guān)鍵性技術(shù)亮點(diǎn)的名稱，） 開(kāi)放與標(biāo)準(zhǔn)化原則 只有開(kāi)放的系統(tǒng)，才能充分發(fā)揮計(jì)算機(jī)的能力，只有堅(jiān)持標(biāo)準(zhǔn)化的系統(tǒng)，才能保護(hù)用戶的投資，才能體現(xiàn)良好的可擴(kuò)展性和互操作能力。 從國(guó)內(nèi)外的一些系統(tǒng)建設(shè)的實(shí)際經(jīng)驗(yàn)和教訓(xùn)來(lái)看，開(kāi)放性與標(biāo)準(zhǔn)化原則如不能保證，則 會(huì)在系統(tǒng)的使用階段出現(xiàn)后期使用的維護(hù)困難，系統(tǒng)維護(hù)費(fèi)用加大，甚至必須重復(fù)投資等問(wèn)題。為了與這些專用系統(tǒng)互聯(lián)，所耗費(fèi)的代價(jià)甚至與新建系統(tǒng)不相上下，形成了一種“食之無(wú)味，棄之可惜”的“雞肋”現(xiàn)象。 本系統(tǒng)是一個(gè)開(kāi)放的系統(tǒng)，網(wǎng)絡(luò)產(chǎn)品具開(kāi)放性，采用 P 協(xié)議作為主協(xié)議。主要產(chǎn)品，如服務(wù)器，網(wǎng)絡(luò)等都支持開(kāi)放的構(gòu)，并且，所選產(chǎn)品都遵循相應(yīng)的標(biāo)準(zhǔn)。 3 可擴(kuò)展性及易升級(jí)性 面對(duì)中國(guó) 飛速發(fā)展，系統(tǒng)的計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)設(shè)備必須有非常好的擴(kuò)充性。并且，隨著世界網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，主 干網(wǎng)絡(luò)設(shè)備應(yīng)能平滑升級(jí)。因此，在設(shè)計(jì)中，應(yīng)當(dāng)保證系統(tǒng)結(jié)構(gòu)模塊化，軟硬件平臺(tái)可以積木式拚裝，如：交換機(jī)可通過(guò)添加功能模塊擴(kuò)充交換能力和 服務(wù)能力 等等。服務(wù)器類的設(shè)備也應(yīng)選用擴(kuò)充性極強(qiáng)的設(shè)備。 良好的可管理性和可維護(hù)性 司 數(shù)據(jù)中心系統(tǒng)是由多種設(shè)備組成的較為復(fù)雜的系統(tǒng)，因此我們著重考慮所選產(chǎn)品具有良好的可管理性和可維護(hù)性，所選產(chǎn)品具有良好的可管理性和可維護(hù)性。 具有最佳的性能價(jià)格比 我們仔細(xì)分析討論了 司 數(shù)據(jù)中心 的需求，力求設(shè)計(jì)緊貼用戶需求，在設(shè)計(jì)上尋求最佳的性能價(jià)格比。 具有高可靠性和安全性 本方案所采用的主要產(chǎn)品采用可靠性設(shè)計(jì)，服務(wù)器采用高可靠性技術(shù)。力求系統(tǒng)安全、可靠、穩(wěn)定的運(yùn)行。系統(tǒng)的安全性是保證整個(gè)系統(tǒng)正常運(yùn)轉(zhuǎn)的前提條件和基礎(chǔ)，也是 司 數(shù)據(jù)中心系統(tǒng)的重要要求之一。 1）系統(tǒng)安全 4 用戶口令、存取權(quán)限體系完善，系統(tǒng)具有基本的安全管理機(jī)制，如：用戶標(biāo)識(shí)、口令檢查、存取權(quán)限制度，為滿足這一需求，選用作系統(tǒng)，其多用戶、多任務(wù)，適于大系統(tǒng)的維護(hù)管理，并且提供了完備的權(quán)限管理功能，符合 全級(jí)標(biāo)準(zhǔn)。此外，選用客戶 /服務(wù)器體系結(jié)構(gòu)，數(shù)據(jù)可統(tǒng)一保存在服務(wù)器上，有 利于系統(tǒng)數(shù)據(jù)的安全保密和一致性，保證系統(tǒng)的正常運(yùn)行。除操作系統(tǒng)的安全性以外，大型關(guān)系數(shù)據(jù)庫(kù)的權(quán)限管理和應(yīng)用程序也為系統(tǒng)提供了相應(yīng)的安全機(jī)制。 2）硬件設(shè)備安全分析 環(huán)境安全 運(yùn)行環(huán)境中具有防靜電、避雷、溫度、濕度、防火等方面的安全措施。故在整個(gè)系統(tǒng)設(shè)計(jì)中，要嚴(yán)格按照機(jī)房設(shè)計(jì)標(biāo)準(zhǔn)建造機(jī)房，并對(duì)計(jì)算機(jī)系統(tǒng)采用不間斷電源（ 護(hù)，確保整個(gè)系統(tǒng)在運(yùn)行過(guò)程中，造成不必要的系統(tǒng)損壞。 硬件設(shè)備安全性 在網(wǎng)絡(luò)主設(shè)備及主服務(wù)器的選擇上，考慮到其可靠性，如：網(wǎng)絡(luò)接口冗余、支持熱插拔、電源可實(shí)現(xiàn)均衡負(fù)載和冗余、 熱備份等。 3）軟件安全保密 操作系統(tǒng)、系統(tǒng)程序、應(yīng)用軟件運(yùn)行穩(wěn)定，在應(yīng)用軟件開(kāi)發(fā)中，遵循安全、可靠、實(shí)用的原則，在充分利用現(xiàn)有的系統(tǒng)支持軟件基礎(chǔ)上，進(jìn)行應(yīng)用軟件的設(shè)計(jì)、開(kāi)發(fā)。 5 權(quán)限控制體系完備：根據(jù) 作系統(tǒng)的權(quán)限管理體系，可建立完善的權(quán)限管理機(jī)制。 防病毒、防非法入侵：主機(jī)系統(tǒng)采用的是具有很強(qiáng)防病毒干擾能力的操作系統(tǒng)，利用其嚴(yán)格權(quán)限管理機(jī)制，可以防止病毒、防非法入浸。 4）數(shù)據(jù)安全 備份策略 若有備份系統(tǒng)，可及時(shí)將數(shù)據(jù)從運(yùn)行系統(tǒng)中傳送到備份系統(tǒng)。另外，對(duì)關(guān)鍵數(shù)據(jù)要定期作磁帶備份，以保證數(shù)據(jù)的安全完 整。 防止傳輸、存取錯(cuò)誤 選用具有可靠傳輸能力的網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)協(xié)議采用 P 協(xié)議，該協(xié)議支持可靠的數(shù)據(jù)傳輸，可以在收到數(shù)據(jù)的同時(shí)，進(jìn)行差錯(cuò)檢測(cè)，并在發(fā)現(xiàn)錯(cuò)誤時(shí)建立重傳過(guò)程。 防止信息泄漏 由于采用符合國(guó)際標(biāo)準(zhǔn)的 全級(jí)操作系統(tǒng)和大型關(guān)系數(shù)據(jù)庫(kù)，可以做到操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用程序三級(jí)保護(hù)。 保證數(shù)據(jù)完整性 系統(tǒng)結(jié)構(gòu)選用 系結(jié)構(gòu)，數(shù)據(jù)庫(kù)選用大型關(guān)系數(shù)據(jù)庫(kù)，系統(tǒng)數(shù)據(jù)統(tǒng)一存放在主機(jī)數(shù)據(jù)庫(kù)中，并配有數(shù)據(jù)庫(kù)提供的數(shù)據(jù)恢復(fù)、錯(cuò)誤處理功能，可充分保證數(shù)據(jù)的一致性和完整性。 6 據(jù)中心建設(shè)整體目標(biāo) 整個(gè)系統(tǒng)的建設(shè)，應(yīng)用是關(guān)鍵。 通過(guò)建立信息系統(tǒng)的基礎(chǔ)結(jié)構(gòu)，進(jìn)而全面實(shí)現(xiàn)辦公自動(dòng)化、網(wǎng)絡(luò)化、電子化、全面信息共享。信息系統(tǒng)的建設(shè)是 司 信息化進(jìn)程中的一個(gè)里程碑，它提高了 司 在行政和管理方面的效率，并且利用網(wǎng)絡(luò)為 司 龐大用戶群提供優(yōu)質(zhì)的多元化服務(wù)，因而推動(dòng)和加速了整個(gè) 行 業(yè)的信息化發(fā)展。 可行性分析 目標(biāo)和方案的可行性，可從以下幾個(gè)方面進(jìn)行分析： 技術(shù)方面的可行性 技術(shù)人員具有所需的技術(shù)水平 ， 能夠高效的管理和運(yùn)維數(shù)據(jù)中心網(wǎng)絡(luò) ； 基礎(chǔ)管理技術(shù) 滿足系統(tǒng)開(kāi)發(fā)要求； 組織系統(tǒng)可以合理組織人、財(cái)、物及提供售后服務(wù)支持； 硬件可滿足本系統(tǒng)需要； 軟件可滿足本系統(tǒng)需要； 經(jīng)濟(jì)方面的可行性 數(shù)據(jù)中心 建設(shè)的投入是一項(xiàng)復(fù)雜的綜合性工程，建設(shè)時(shí)間長(zhǎng)，投資費(fèi)用高，因此，必須做到項(xiàng)目的總體規(guī)劃，分系統(tǒng)、分步驟進(jìn)行，并考慮前后建設(shè)的連續(xù)性，避免重復(fù)性投資和資源浪費(fèi)。對(duì)于計(jì)劃投 7 入開(kāi)展的項(xiàng)目，要預(yù)算充分，按期達(dá)標(biāo)。 第二部分、 司 數(shù)據(jù)中心 網(wǎng)絡(luò)系統(tǒng)解決方案 網(wǎng)絡(luò) 現(xiàn)狀與 需求分析 此處添加客戶公司目前的網(wǎng)絡(luò)拓?fù)鋱D 司 目前數(shù)據(jù)中心建于 目前承擔(dān)整個(gè)集團(tuán)數(shù)據(jù)交換與存儲(chǔ)的重任。 現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如上。 隨著 司 的建設(shè)，現(xiàn)需在園區(qū)內(nèi)建設(shè)一全新數(shù)據(jù)中心，用以在園區(qū)全面啟動(dòng)時(shí)順利接管原數(shù)據(jù)中心的數(shù)據(jù)交換與存儲(chǔ)重任 。 司 數(shù)據(jù)中心的建設(shè)是為 司 辦公、管理提供服務(wù)的，網(wǎng)絡(luò)系統(tǒng)建設(shè)主要目標(biāo)是在 司 管轄范圍內(nèi)，采用國(guó)際標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，建立在 司 內(nèi)聯(lián)網(wǎng)（ 通過(guò)高速信道與各地市分公司、中國(guó)互聯(lián)網(wǎng)（ 連，同時(shí)建設(shè)信息資源管理中心。 據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo) 司 數(shù)據(jù)中心 網(wǎng)絡(luò)建設(shè)目標(biāo)是將 司 的各種 、工作站等，通過(guò)高性能的網(wǎng)絡(luò)，連接到各種服務(wù)器上，組成分布式的計(jì)算環(huán)境，使其成為提高辦公、管理水平必不可少的網(wǎng)絡(luò)支撐環(huán)境。 8 本著建設(shè)一流數(shù)據(jù)中心的精神，我們提出了以下 司 網(wǎng)絡(luò)建設(shè)目標(biāo)： 內(nèi)部信息發(fā)布： 司 向各地分公司發(fā)布規(guī)章制度、規(guī)劃、計(jì)劃、通知等公開(kāi)信息等。 2）電子郵件： 司 內(nèi)部的電子郵件的發(fā)送與接受。 3）文件傳輸： 司 內(nèi)部的文本文件、圖象文件、語(yǔ)音文件等發(fā)送與接收。 4）資源共享：文件共享、數(shù)據(jù)庫(kù)共享 等。 6）接入因特網(wǎng)：通過(guò) 專線 接入 外發(fā)布信息。 設(shè)計(jì)的依據(jù)與原則 設(shè)計(jì)依據(jù) 1）中國(guó)教學(xué)和科研計(jì)算機(jī)網(wǎng)絡(luò)（ 程技術(shù)規(guī)范書 2）中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 3）有關(guān)的網(wǎng)絡(luò)技術(shù)國(guó)際標(biāo)準(zhǔn) 4） 關(guān)文件 設(shè)計(jì)原則 1）開(kāi)放原則 采用開(kāi)放標(biāo)準(zhǔn)； 采用開(kāi)放技術(shù)； 9 采用開(kāi)放結(jié)構(gòu)； 采用開(kāi)放系統(tǒng)組件； 2）可靠原則 設(shè)計(jì)結(jié)果穩(wěn)定可靠，具有高 均無(wú)故障時(shí)間）和 均無(wú)故障率），采用開(kāi)放用戶接口。 3）實(shí)用原則 實(shí)用有效是最主要的設(shè)計(jì)目 標(biāo)，設(shè)計(jì)結(jié)果能滿足需求行之有效。提供容錯(cuò)設(shè)計(jì)，支持故障檢測(cè)和恢復(fù)，可管理性強(qiáng)。 4）安全原則 安全措施有效可信，能夠在多個(gè)層次上實(shí)現(xiàn)安全控制。 5）先進(jìn)原則 設(shè)計(jì)思想先進(jìn)； 軟硬件設(shè)備先進(jìn)； 網(wǎng)絡(luò)結(jié)構(gòu)先進(jìn)。 6）完整性原則 考慮到系統(tǒng)的各方面因素，實(shí)現(xiàn)優(yōu)化的網(wǎng)絡(luò)設(shè)計(jì)、安全的數(shù)據(jù)管理、高效的信息處理、友好的用戶界面。 7）高效原則 性能指標(biāo)高，軟硬件性能充分發(fā)揮。 8）靈活原則 系統(tǒng)配置靈活，備用和可選方案多，能夠適應(yīng)應(yīng)用和技術(shù)發(fā)展需要。 10 9）可擴(kuò)展性 能夠在規(guī)模和性能兩個(gè)方向上進(jìn)行擴(kuò)展，擴(kuò)展后的性能有大幅度提高。 10）模塊化 每種功能都由一定的模塊來(lái)實(shí)現(xiàn)，方案只需要選擇不同的模塊，并將這些模 塊做相應(yīng)的配置即可。 據(jù)中心設(shè)計(jì)方案 總體結(jié)構(gòu) 司 數(shù)據(jù)中心拓樸圖 11 司 數(shù)據(jù)中心采用兩臺(tái) 列核心交換機(jī)構(gòu)建整個(gè) 心交換區(qū) ， 在核心交換區(qū)以下 ， 分為核心數(shù)據(jù)服務(wù)區(qū)與中間業(yè)務(wù)應(yīng)用服務(wù)區(qū)兩大服務(wù)區(qū) ， 以及 司 各大區(qū)的接入及廣域網(wǎng)接入等接入?yún)^(qū)組成 。 其中數(shù)據(jù)服務(wù)的小型機(jī)區(qū) ， 以兩臺(tái) 換機(jī)為接入交換機(jī) ,接入核心交換區(qū) ， 在 換機(jī) 上添加防火墻模塊與內(nèi)容 交換模塊 ，以實(shí)現(xiàn)對(duì)小型機(jī)的 安全保護(hù)、 載和 負(fù) 載均衡控制 。 在中間業(yè)務(wù)應(yīng)用服務(wù)器區(qū) ， 以兩臺(tái) 換機(jī)為匯聚交換機(jī) ， 以接入交換機(jī) ,為應(yīng)用服務(wù)器提供 接入功能 ,并在 換機(jī)上添加防火墻模塊與內(nèi)容交換模塊 ,為整個(gè)中間業(yè)務(wù)應(yīng)用服務(wù)器群提供保護(hù)與負(fù)載均衡控制，并且在此區(qū)域內(nèi)通過(guò) 設(shè)備 ,提供完善的管理與控制功能。 核心交換模塊 流量分析 主干網(wǎng)絡(luò)作為 司 數(shù)據(jù)中心的運(yùn)行核心，它決定整個(gè) 據(jù)中心網(wǎng)絡(luò)的性能。根據(jù)統(tǒng)計(jì)，一個(gè)運(yùn)行良好、提供服務(wù)齊全的網(wǎng)絡(luò)中，各子網(wǎng)間 的通訊和子網(wǎng)內(nèi)部通訊大約各占 50%；而且隨著多媒體技術(shù)的發(fā)展，多媒體主頁(yè)、視頻點(diǎn)播（多點(diǎn)廣播）大量采用，這些都要占有大量主干帶寬；以及虛擬網(wǎng)技術(shù)的采用，傳統(tǒng)子網(wǎng)概念已經(jīng)變化，使得一個(gè)子網(wǎng)可以分布于整個(gè)網(wǎng)絡(luò)，導(dǎo)致子網(wǎng)內(nèi)部通訊也要通過(guò)主干網(wǎng)絡(luò)；因此經(jīng)過(guò)主干網(wǎng)絡(luò)的流量將占 80%以上，這就要求 12 主干網(wǎng)絡(luò)必須具有極高的傳輸速率，最大限度的避免堵塞。作為主要的數(shù)據(jù)通道，主干網(wǎng)絡(luò)的癱瘓就意味著整個(gè)網(wǎng)絡(luò)的崩潰，因此主干網(wǎng)絡(luò)必須采用已經(jīng)標(biāo)準(zhǔn)化的技術(shù)，有極高的穩(wěn)定性和冗余度。 網(wǎng)絡(luò)技術(shù)分析 縱觀目前計(jì)算機(jī)局域網(wǎng)技術(shù)，適合作為 高速主干網(wǎng)結(jié)構(gòu)的主要有： 千兆 以太網(wǎng) 千兆以太網(wǎng)是 100真正繼承者。千兆以太網(wǎng)保留了大多數(shù) 100有以下特點(diǎn)： 從傳統(tǒng) 100太網(wǎng)的升級(jí)較容易、投資少，與現(xiàn)有100的集成也很簡(jiǎn)單。 工業(yè)支持較強(qiáng)，競(jìng)爭(zhēng)激烈，使產(chǎn)品價(jià)格相對(duì)較低。 安裝和配置簡(jiǎn)單，現(xiàn)有的管理工具依然可用。 支持交換方式，有全雙工方式通訊的產(chǎn)品。 萬(wàn)兆以太網(wǎng) 萬(wàn)兆位以太網(wǎng) (10準(zhǔn)已由 2002 年 6 月批準(zhǔn)，而且現(xiàn)在已 在許多應(yīng)用中進(jìn)入大量部署階段。在從千兆位以太網(wǎng)到萬(wàn)兆位以太網(wǎng)的演變過(guò)程中，為了適合如此廣泛的可能應(yīng)用，已進(jìn)行了大量更改。這些更改中，最重要的更改與數(shù)據(jù)編碼方式及萬(wàn)兆位以太網(wǎng)可以運(yùn)行的物理連接類型有關(guān)。幀尺寸和格式都保持不變，以便第3 層及更高層協(xié)議仍然完全兼容。 萬(wàn)兆位以太網(wǎng)設(shè)計(jì)用于以全雙工模式只在點(diǎn)到點(diǎn)（交換）鏈路上運(yùn)行。這一點(diǎn)反映其作為主干 /核心 （與工作組不同）技術(shù)的角色。 13 萬(wàn)兆位以太網(wǎng)當(dāng)前不支持自動(dòng)協(xié)商，因?yàn)樗患俣ㄓ糜诩內(nèi)f兆位以太網(wǎng)安裝。 40G 以太網(wǎng) 建立 司 數(shù)據(jù) 中心的網(wǎng)絡(luò)系統(tǒng)應(yīng)高起點(diǎn)，統(tǒng) 一全面規(guī)劃，并考慮到將來(lái)的擴(kuò)展與投資的保護(hù)；因此，為適應(yīng) 司 的發(fā)展，以可延展的方式提供更多的帶寬，滿足復(fù)雜的事務(wù)處理能力， 據(jù) 中心的主干采用領(lǐng)導(dǎo)高速網(wǎng)絡(luò)發(fā)展 兆以太網(wǎng)為主干。 廣域網(wǎng)接入模塊 目前 司 心與各大區(qū)之間使用 路連接，考慮到各大區(qū)的接入模式為 路，故本次新中心廣域網(wǎng)接入方式同樣選擇 式，利用現(xiàn)有 路與板卡，同時(shí)，由于 信 路的快速發(fā)展，考慮到數(shù)據(jù)中心的高擴(kuò) 展性，廣域網(wǎng)接入采用模塊化方式，現(xiàn)選用 塊，在日后可方便的且經(jīng)濟(jì)的升級(jí)為 式。 廣域網(wǎng)接入路由器 核心交換機(jī) 間采用 10G 光纖鏈路相連，提供極高的數(shù)據(jù)交換能力，為數(shù)據(jù)中心的性能提供強(qiáng)有力的支持。 根據(jù)前面分析，一個(gè)多媒體網(wǎng)絡(luò) 60%甚至 80%以上的流量要經(jīng)過(guò)路由，采用傳統(tǒng)的路由方式連接各子網(wǎng)必須導(dǎo)致大量數(shù)據(jù)在路由器上 14 匯集，發(fā)生堵塞，從而導(dǎo)致丟包，會(huì)大大限制多媒體應(yīng)用，因此必須采用先進(jìn)高效的路由技術(shù)，保證整個(gè) 司 數(shù)據(jù)網(wǎng)絡(luò)在網(wǎng)絡(luò)層暢通無(wú)阻。 第三層交換技術(shù)分析 第三層網(wǎng)絡(luò) 路由交換機(jī)的出現(xiàn)為大型多媒體網(wǎng)絡(luò)提供了新的解決方案。通過(guò)使用第三層路由交換機(jī)，可以大大提高 的轉(zhuǎn)發(fā)速度。 第三層交換技術(shù)可以分為兩類：基于包的交換和基于流的交換。 基于包的交換 采用與傳統(tǒng)路由器相近的交換方式，對(duì)每一個(gè)包進(jìn)行檢查。目前的第三層交換機(jī)憑借先進(jìn)的 術(shù)，對(duì) 直接進(jìn)行芯片道路級(jí)處理，速度大大高于路由器采用的基于 處理方式，能夠提供全線速的轉(zhuǎn)發(fā)，避免發(fā)生堵塞和丟包；同時(shí)完全兼容路由器的 議，能夠與傳統(tǒng)路由器進(jìn)行相互的自學(xué)習(xí)，掌握整個(gè)網(wǎng)絡(luò)的路由信息。采 用基于包交換的第三層交換機(jī)，網(wǎng)絡(luò)的配置、設(shè)備和軟件都不需要變動(dòng)，能夠?qū)崿F(xiàn)基于包的安全控制。 數(shù)據(jù)庫(kù)服務(wù)器 與中間業(yè)務(wù)服務(wù)器 接入模塊 數(shù)據(jù)庫(kù)服務(wù)器與中間業(yè)務(wù)服務(wù)器接入設(shè)備采用 性能交換機(jī)， 成熟的 換機(jī)曾經(jīng)做為數(shù)據(jù)中心的核心交換機(jī)主流產(chǎn)品，其強(qiáng)大的交換能力， 720G 背板帶寬，以及高達(dá) 高可靠性，使之成為 司 心數(shù)據(jù)庫(kù)服務(wù)器與中間業(yè)務(wù)服務(wù)器接入服務(wù)最有力的提供者，此外，依靠 術(shù)，將兩臺(tái) 換機(jī)虛擬 15 成一臺(tái)交換機(jī)，將背板帶寬擴(kuò)大為 電信級(jí)別。 數(shù)據(jù)庫(kù)服務(wù)器與中間業(yè)務(wù)服務(wù)器通過(guò)千兆鏈路連接入?yún)R聚交換機(jī)上，通過(guò) 10G 鏈路雙上聯(lián)入核心交換機(jī) 依靠跨機(jī)框鏈路捆綁技術(shù)，將因?yàn)殒溌饭收显斐傻牡箵Q 外聯(lián)網(wǎng)絡(luò)接入模塊 為中國(guó)家電零售業(yè)的領(lǐng)軍企業(yè)，其銀聯(lián)及各大商業(yè)銀行有著相當(dāng)頻繁的業(yè)務(wù)來(lái)往，并且，隨著 業(yè)多元化發(fā)展，其各實(shí)業(yè)公司，都與 著極高的數(shù)據(jù)交換要求以及響應(yīng)的安全要求。為此，我 們推薦 好處在于可以靈活的使用 各種業(yè)務(wù)提供足夠的安全保證 帶內(nèi)帶外網(wǎng)絡(luò)管理接入模塊 網(wǎng)絡(luò)管理對(duì)于一個(gè)大型化的網(wǎng)絡(luò)是至關(guān)重要的，同時(shí)也具有挑戰(zhàn)性。對(duì) 息中心的管理主要采用基于 于 基于 過(guò) 以設(shè)置完善的管理員安全策略，能夠有效地防 16 止非法用戶竊取管理員權(quán)限，對(duì)網(wǎng)絡(luò)進(jìn)行任何改動(dòng)。 對(duì)于整個(gè) 據(jù)中心網(wǎng)絡(luò)的管理，我們采用 是世界上使用最為廣泛最為成功的網(wǎng)管軟件之一，能對(duì)多個(gè)廠家提供的支持 線器、路由器、打印機(jī)、 樣我們可以查看網(wǎng)絡(luò)上使用的硬件和軟件的清單，診斷并解決遠(yuǎn)程工作站的問(wèn)題，給網(wǎng)絡(luò)用戶快速分發(fā)最新軟件，檢查用戶軟件的 測(cè)客戶機(jī)上的病毒，使用加密和解密保證網(wǎng)絡(luò) 的安全，監(jiān)視服務(wù)器的性能并能設(shè)定報(bào)警值。 由于 儲(chǔ)和互聯(lián)基礎(chǔ)設(shè)施上的可管理性能夠利用先進(jìn)的通用管理和診斷工具簡(jiǎn)化配置、調(diào)配、監(jiān)控和變更控制，因而能減輕管理負(fù)擔(dān)，增強(qiáng)流程的一致性，并改善數(shù)據(jù)中心小組之間的協(xié)作。另外，可管理性功能還能向管理應(yīng)用提供網(wǎng)絡(luò)設(shè)備的流量和接口信息，以便操作人員能夠查看實(shí)時(shí)和歷史網(wǎng)絡(luò)狀態(tài)。另外，操作人員還能利用思科或第三方管理工具實(shí)現(xiàn)網(wǎng)絡(luò)的配置、監(jiān)控和排障。 思科數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)提供先進(jìn)的通用管理接口、功能和工具，不但能顯著提高數(shù)據(jù)中心管理人員的運(yùn)營(yíng)效率，降低復(fù)雜性，縮短學(xué)習(xí)周期， 還能提高服務(wù)水平，加快解決問(wèn)題的進(jìn)程。利用基于角色的訪問(wèn)控制，管理員可以將特定資源的管理控制分配給專人負(fù)責(zé)。 思科數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)包含五大可管理性： 17 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（ 3） 在 儲(chǔ)網(wǎng)絡(luò)和光網(wǎng)上支持統(tǒng)一的 夠改善配置、資產(chǎn)管理和變更管理。 嵌入式管理代理能夠簡(jiǎn)化可管理性 支持基于策略的自適應(yīng)管理，能夠在問(wèn)題造成重大影響之前就快速予以解決，而且能夠簡(jiǎn)化服務(wù)實(shí)施。例如，為 500 系列平臺(tái)開(kāi)發(fā)的新型 備管理器代理能夠改 善基于策略的端到端配置。 相似的 在管理器與設(shè)備之間提供一致的通信。 標(biāo)準(zhǔn)通用信息模型和可擴(kuò)展標(biāo)記語(yǔ)言（ 通用高級(jí)診斷功能 簡(jiǎn)化存儲(chǔ)網(wǎng)絡(luò)中第三方系統(tǒng)管理的實(shí)施。 簡(jiǎn)化實(shí)時(shí)監(jiān)控、歷史統(tǒng)計(jì)數(shù)據(jù)收集和報(bào)告。 另外思科安全監(jiān)控、分析和響應(yīng)系統(tǒng)（思科安全 一款基于設(shè)備的全功能解決方案，可提供針對(duì)您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全 幫助您的安全和網(wǎng)絡(luò)機(jī)構(gòu)識(shí)別、管理和抵御安全 18 威脅。它 可充分利用您現(xiàn)有的網(wǎng)絡(luò)和安全投資，來(lái)識(shí)別、隔離被攻擊的組件和建議對(duì)其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個(gè)不可缺少的部件。 安全和網(wǎng)絡(luò)管理員所面臨的問(wèn)題有： 安全和網(wǎng)絡(luò)信息過(guò)載 性能不佳的攻擊和故障識(shí)別、優(yōu)先級(jí)劃分和響應(yīng) 更高攻擊先進(jìn)程度、速度和修復(fù)成本 滿足法規(guī)符合性和審查要求 較少的安全人員和預(yù)算 思科安全 集成網(wǎng)絡(luò)智能，進(jìn)行網(wǎng)絡(luò)異常事件和安全事件的先進(jìn)關(guān)聯(lián) 察看校正后的事件并自動(dòng)執(zhí)行調(diào)查 通過(guò)全面充分利用網(wǎng)絡(luò)和安全基礎(chǔ)設(shè) 施來(lái)防御攻擊 監(jiān)控系統(tǒng)、網(wǎng)絡(luò)和安全運(yùn)行來(lái)幫助企業(yè)達(dá)到法規(guī)符合性 以最低 擴(kuò)展的設(shè)備 19 高性能與高可靠性設(shè)計(jì) 性能設(shè)計(jì) 在 司 數(shù)據(jù)中心網(wǎng)絡(luò)中， 主干線采用的是萬(wàn) 兆位，因此需要主干設(shè)備要有較高的交換能力，擁有 思科一代高密度萬(wàn) 兆位連接，滿足蘇寧電器數(shù)據(jù)網(wǎng)絡(luò)中的高通信量工作站、工作組和服務(wù)器的需求。通過(guò)現(xiàn)有銅線線纜或光纖集合工作站服務(wù)器群可以提高多媒體應(yīng)用的運(yùn)行速度，同時(shí)減少瓶頸并提供非堵塞性能。提供第二、第三、第四層無(wú)堵塞性能，強(qiáng)大的帶寬整形功能和八個(gè) 先級(jí)排隊(duì)，以實(shí)現(xiàn)完善的第二、第三、第四層通信控制，最大的介質(zhì)靈活性，保護(hù)了超 5 類線基礎(chǔ)設(shè)施投資，并以光纖 破了距離的限制。 在 司 數(shù)據(jù)中心網(wǎng)絡(luò)中，采用的第三層交換機(jī)是基于包進(jìn)行交換的，能夠進(jìn)行分布路由，為了避免發(fā)生堵塞，第三層交換機(jī)必須能夠提供接近交換速度的路由能力。另外為了在整個(gè)網(wǎng)絡(luò)上實(shí)現(xiàn)虛擬網(wǎng)劃分，第三層交換機(jī)還必須支持分布式的虛擬網(wǎng)設(shè)置。在關(guān)鍵子網(wǎng)，保證與主干網(wǎng)絡(luò)高速通道的足夠帶寬，以及冗余連接。 根據(jù)以上分析，我們充分考慮了系統(tǒng)的性能價(jià)格比，采用了具有高可擴(kuò)展性和 穩(wěn)定性、最標(biāo)準(zhǔn) 的思科公司的全套網(wǎng)絡(luò)產(chǎn)品。考慮到主干網(wǎng)絡(luò)設(shè)備具有萬(wàn) 兆以太的交換能力，同時(shí)支持鏈路匯聚功能，以保證網(wǎng)絡(luò)的帶寬，另外還要支持 分，提供靈活活的網(wǎng)絡(luò)配置。并且在蘇寧電器數(shù)據(jù)中心將要使用大量的光纜布線 。 20 可靠性設(shè)計(jì) 樸冗余 司 中心拓樸在設(shè)計(jì)階段就充分考慮線路的冗余問(wèn)題，以保證數(shù)據(jù)中心網(wǎng)絡(luò)的高可靠性。 在 司 中心內(nèi)，所有核心設(shè)備之間鏈路 都采用雙鏈路冗余備份設(shè)計(jì)，保證在某一條鏈路故障時(shí)，不影響整個(gè)數(shù)據(jù)中心的數(shù)據(jù)交換業(yè)務(wù)。 鏈路冗余 在 數(shù)據(jù) 中心的交換機(jī)之間的連接均 采用 設(shè)計(jì)以保證鏈路的冗余。 計(jì)原則 21 網(wǎng)絡(luò)連接 計(jì)原則 核心設(shè)備之間互連 2*10心與分布設(shè)備互連 2*10布設(shè)備之間互連 2*10布與接入設(shè)備互連 2*10換冗余 交換區(qū)域的可靠性通過(guò) 現(xiàn)。被 斷的邏輯鏈路在線路或設(shè)備出現(xiàn)故障的情況下可以自動(dòng)釋放，形成新的拓?fù)浣Y(jié)構(gòu)，保證網(wǎng)絡(luò)數(shù)據(jù)的正常傳輸。 網(wǎng)關(guān)冗余 備份路由協(xié)議）是為網(wǎng)絡(luò)接入設(shè)備提供三層網(wǎng)關(guān)冗余的技術(shù)。配置 的 關(guān)向接入設(shè)備提供虛擬 址，并使用 測(cè) 員狀態(tài)，確保網(wǎng)關(guān)冗余。 分布層設(shè)備在連接普通接入時(shí)采用 先級(jí)策略與 根網(wǎng)橋主備設(shè)置一致； 置 確保高優(yōu)先級(jí)網(wǎng)關(guān)為激活狀態(tài) 路由冗余 網(wǎng)絡(luò)物理鏈路的冗余設(shè)計(jì)為路由協(xié)議選擇備份連接提供了基礎(chǔ)。 網(wǎng)絡(luò)使用 由協(xié)議根據(jù)網(wǎng)絡(luò)鏈路的 算最短路徑。 22 當(dāng)設(shè)備或連接因故障中斷時(shí)， 自動(dòng)重新計(jì)算網(wǎng)絡(luò)路徑，并使用正常的連接保障數(shù)據(jù)通訊。 考慮運(yùn)行維護(hù)的簡(jiǎn)單性，配合 義和 義，在網(wǎng)絡(luò)設(shè)計(jì)上，將通過(guò) 調(diào)整，在分布層和核心層將數(shù)據(jù)流引導(dǎo)到冗余網(wǎng)絡(luò)結(jié)構(gòu)的一側(cè)，而當(dāng)設(shè)備或連接因故障中斷時(shí)， 自動(dòng)重新計(jì)算網(wǎng)絡(luò)路徑，并使用正常的連接保障數(shù)據(jù)通訊。 備冗余 考慮到數(shù)據(jù)中心的特點(diǎn)，在 司 中心設(shè)計(jì)初期，就對(duì)設(shè)備冗余做了充分的考慮，核心設(shè)備采用可靠性最高的雙機(jī)熱備份模式，關(guān)鍵設(shè)備全部雙機(jī)熱備份，保證單一設(shè)備故障時(shí)，數(shù)據(jù)中心業(yè)務(wù)不受任何影響，徹底解決單點(diǎn)故障問(wèn)題。 引擎冗余 數(shù)據(jù)中心的核心的交 換機(jī)和路由器都使用兩塊冗余引擎，在兩塊冗余引擎上使用 切換方式。 換方式只需要 3 秒左右就可以完成切換，并且不用重新初始化板卡 。 網(wǎng)絡(luò)連接 23 備份引擎自動(dòng)切換 是 是 是 是 同步 是 是 是 同步 是 是 是 同步 否 是 是 同步二層鏈路狀態(tài) 否 否 是 是 同 步 路 由 協(xié) 議 否 否 是 切換時(shí)間 長(zhǎng) 較短 短 短 復(fù)雜程度 低 較低 中 高 電源冗余 信息中心的網(wǎng)絡(luò)設(shè)備都需要支持兩種電源冗余工作模式，建議使用 式（默認(rèn)設(shè)置）。 式一般用于電源更換或升級(jí)等特殊情況。 模塊和端口冗余 模塊和端口冗余的通用原則 同一機(jī)箱優(yōu)先使用高編號(hào)槽位； 同一模塊優(yōu)先使用高編號(hào)端口； 24 上連鏈路優(yōu)先使用高編號(hào)端口、下連鏈路優(yōu)先使用低編號(hào)端口，互連鏈路盡量使用引擎上自帶的端口； 確保 的兩個(gè)端口端口使用不同模塊，由于核心交換機(jī)只配置了一塊 10口模塊， 20能使用同一模塊的端口 。 口的可靠性 端口是網(wǎng)絡(luò)設(shè)備互連的通道，思科提供多種端口功能協(xié)議。為了保障網(wǎng)絡(luò)設(shè)備連接的可靠性，路由交換機(jī)端口應(yīng)根據(jù) 數(shù)據(jù) 中心的通訊模式設(shè)計(jì)。 協(xié)議 路由端口（非 換端口 換端口 止 禁止，手工設(shè)置 禁止 止 啟用 禁止 用 啟用 禁止 用 啟用 禁止 式，自動(dòng)協(xié)商 接入模式 用 啟用 禁止 25 司 數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化服務(wù) （此處為相應(yīng)設(shè)備的亮點(diǎn)技術(shù)，根據(jù)具體項(xiàng)目不同編寫） 擬多機(jī)技術(shù) 000 系列交換機(jī)虛擬 多機(jī)技術(shù) 是一種網(wǎng)絡(luò)系統(tǒng)虛擬化技術(shù)，將 一 臺(tái) 000 系列交換機(jī) 物理的劃分為多個(gè)實(shí)體主機(jī)，通過(guò)對(duì)硬件資源，如控制引擎，交換背板的物理劃分，實(shí)現(xiàn)將一臺(tái) 000 系列交換 機(jī)劃分為 多個(gè)虛擬實(shí)體，以實(shí)現(xiàn)不同業(yè)務(wù)在核心層的隔離，并且，當(dāng) 000 在滿足數(shù)據(jù)中心本身的交換需求后，仍有大量資源空閑時(shí)，可以將空閑資源劃分出 來(lái)另作他用，有效的提高 000 做為網(wǎng)絡(luò)核心的利用率，從而從側(cè)面提升 000 的性能價(jià)格比。 509 交換機(jī) 術(shù) 列交換機(jī)虛擬交換系統(tǒng)（ 1440 是一種網(wǎng)絡(luò)系統(tǒng)虛擬化技術(shù)，將兩臺(tái)采用了 20500 系列交換機(jī)組合為單一虛擬交換機(jī)。在 ，這兩個(gè)交換機(jī)中的管理引擎的數(shù)據(jù)面板和交換陣列能同時(shí)激活，因此總系 統(tǒng)交換能力可達(dá) 1440 員通過(guò)虛擬交換機(jī)鏈路（ 接。 虛擬交換機(jī)成員之間使用標(biāo)準(zhǔn)萬(wàn)兆以太網(wǎng)連接（多達(dá) 8 條，以提供冗余性）。通過(guò)在 206 意端口上使用萬(wàn)兆以太網(wǎng)上行鏈路，即能形成 在 員間進(jìn)行控制面板通信外， 能傳輸普通用戶流量。 持所有采用集中或分布式（利用 發(fā)模式的 500 系列交換機(jī)。 與傳統(tǒng) 的 3 網(wǎng)絡(luò)設(shè)計(jì)相比， 440 提供了多項(xiàng)顯著優(yōu)勢(shì)。大體說(shuō)來(lái)，其優(yōu)勢(shì)可歸納為以下三個(gè)主要方面： 夠提高運(yùn)營(yíng)效率 單管理點(diǎn)，包括配置文件和單一網(wǎng)關(guān) 址（無(wú)需 多機(jī)箱 （ 建了簡(jiǎn)單的無(wú)環(huán)路拓?fù)浣Y(jié)構(gòu)，不再依靠生成樹(shù)協(xié)議（ 底層物理交換機(jī)經(jīng)由標(biāo)準(zhǔn)萬(wàn)兆以太網(wǎng)接口相連，在位置方面提供了靈活的部署選項(xiàng) 夠優(yōu)化不間斷通信 機(jī)箱間狀態(tài)化故障切換不會(huì)干擾需要使用網(wǎng)絡(luò)狀態(tài)信息的應(yīng)用。憑借 一個(gè)虛擬交換機(jī)成 員發(fā)生故障時(shí)，不再需要進(jìn)行 3 重收斂，能在一秒內(nèi)實(shí)現(xiàn)確定性虛擬交換機(jī)的恢復(fù)。 與基于生成樹(shù)協(xié)議的收斂不同，使用 在一秒內(nèi)完成確定性 路恢復(fù)。 夠?qū)⑾到y(tǒng)帶寬容量擴(kuò)展到 在冗余 500 系列交換機(jī)上激活所有可用的 27 寬，在 礎(chǔ)上進(jìn)行精確的負(fù)載均衡。 為冗余數(shù)據(jù)中心交換機(jī)上的服務(wù)器網(wǎng)絡(luò)接口卡（ 供基于標(biāo)準(zhǔn)的鏈路匯聚，實(shí)現(xiàn)最高服務(wù)器帶寬吞吐率。 消除了因非對(duì)稱 路由引起的單播洪泛，減少了園區(qū)內(nèi)流量的跳數(shù)，從而節(jié)省了帶寬。 擬化技術(shù)及應(yīng)用 與思科 6500 交換機(jī) 7600 路由器結(jié)合，具有靈活的端口擴(kuò)展能力。7600 路由器配置防火墻模塊后可以將 7600 路由器變成一臺(tái)廣域網(wǎng)防火墻。路由器上的所有端口均可以配置不同的安全級(jí)別。 強(qiáng)大的防火墻性能，在單臺(tái) 65 系列交換機(jī) 7600 路由器上可以插4 塊 塊 吞吐量為 塊合計(jì) 22 每個(gè)防火墻模塊可支持 256 個(gè)虛擬防火墻，為數(shù)據(jù)中心提供了強(qiáng)大的靈活性。 虛擬防火墻的資源可定制，每個(gè)虛擬防火墻占用的 大的增加了虛擬防火墻的安全性和可用性。 支持高達(dá) 256 個(gè) 大大增加了防火墻的使用靈活性。 工作模式多樣化，支持透明、路由、 明路由的混合模式的工作模式。 支持多臺(tái)防火墻主機(jī)的集群，支持 式以及 8 模式。 支持豐富的 性 司 中心網(wǎng)絡(luò) 據(jù)具體項(xiàng)目，具體設(shè)計(jì) ，一般初期僅做初步描述 ） 蘇寧電 器 心網(wǎng)絡(luò) 址的設(shè)計(jì)，將根據(jù)現(xiàn)有的業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一的規(guī)劃與設(shè)計(jì)，在實(shí)際允許的情況下兼容原有 址，為日后割接提供準(zhǔn)備的基礎(chǔ)。 司 中心網(wǎng)絡(luò)路由協(xié)議設(shè)計(jì) （路由設(shè)計(jì)，根據(jù)具體項(xiàng)目具體設(shè)計(jì) ，一般初期僅做初步描述 ） 蘇寧電器 心網(wǎng)絡(luò)路由協(xié)議建議使用 議與 議， 議做為其應(yīng)用主協(xié)議， 議則運(yùn)行在備份鏈路上，當(dāng)主協(xié)議 障時(shí)，則由 議替代，以保證其網(wǎng)絡(luò)的連通性，減少協(xié)議倒換的時(shí)間。 司 中心網(wǎng)絡(luò)安全設(shè)計(jì) （此處為相應(yīng) 安全 的 設(shè)備及技術(shù) ， 根據(jù)具體項(xiàng)目不同編寫） 火墻模塊 換機(jī)和 600 系列路由器的防火墻服務(wù)模塊（ 一種高速的、集成化的服務(wù)模塊，可以提供業(yè)界最快的防火墻數(shù)據(jù)傳輸速率： 5吞吐量， 100000及一百萬(wàn)個(gè)并 29 發(fā)連接。在一個(gè)設(shè)備中最多可以安裝四個(gè) 而每個(gè)設(shè)備最高可以提供 20吞吐量。作為世界領(lǐng)先的 火墻系列的一部分， 以為大型企業(yè)和服務(wù)供應(yīng)商提供無(wú)以倫比的安全性、可靠性和性能。 用了 術(shù)，并且運(yùn)行 作系統(tǒng)（ 固的嵌入式系統(tǒng)，可以消除安全漏洞，防止各種可能導(dǎo)致性能降低的損耗。這個(gè)系統(tǒng)的核心是一種基于自適應(yīng)安全算法（ 保護(hù)機(jī)制，它可以提供面向連接的全狀態(tài)防火墻功能。利用 以根據(jù)源地址和目的地地址，隨機(jī)的 列號(hào)，端口號(hào)，以及其他 志，為一個(gè)會(huì)話流創(chuàng)建一個(gè)連接表?xiàng)l目。以通過(guò)對(duì)這些連接表?xiàng)l目實(shí)施安全策略，控制所有輸入和輸出的流量。 主要優(yōu)點(diǎn) 防火墻的傳統(tǒng)角色已經(jīng)發(fā)生了變化。 今天的防火墻不僅可以保護(hù)企業(yè)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的外部接入的攻擊，還可以防止未經(jīng)授權(quán)的用戶接入企業(yè)網(wǎng)絡(luò)的子網(wǎng)、工作組和 統(tǒng)計(jì)數(shù)據(jù)顯示， 70%的安全問(wèn)題都來(lái)自于企業(yè)內(nèi)部。在 展的調(diào)查中，五分之一的受訪者表示，在過(guò)去 12 個(gè)月中，有入侵者闖入或者試圖闖入他們的企業(yè)網(wǎng)絡(luò)。大部分專家都認(rèn)為，大多數(shù)網(wǎng)絡(luò)入侵活動(dòng)都沒(méi)有被檢測(cè)出來(lái)。 集成模塊 裝在 500 系列交換機(jī)或者 600 互聯(lián)網(wǎng)路由器的內(nèi)部，讓這些設(shè)備的任何端口都可以充當(dāng)防火墻端口， 30 并且在網(wǎng)絡(luò)基礎(chǔ)設(shè) 施中集成了狀態(tài)防火墻安全。對(duì)于那些機(jī)架空間非常有限的系統(tǒng)來(lái)說(shuō)，這種功能非常重要。 500 真正成為了那些需要各種智能化服務(wù)（例如防火墻接入、入侵檢測(cè)、虛擬專用網(wǎng)（ 和多層 換功能的客戶的首選務(wù)交換機(jī)。 適應(yīng)未來(lái)需要 以支持 5吞吐量，因而可以提供無(wú)以倫比的性能，讓用戶無(wú)須對(duì)系統(tǒng)進(jìn)行徹底的升級(jí)，就可以滿足未來(lái)的要求。在500 中最多可以添加三個(gè) 滿足用戶不斷發(fā)展的需求。 可靠性 立在 術(shù)的基礎(chǔ)之上，并使用了同一個(gè)經(jīng)過(guò)時(shí)間檢驗(yàn)的 作系統(tǒng) 時(shí)的操作系統(tǒng)。以利用行之有效的 術(shù)檢測(cè)分組，從而可以在同一個(gè)平臺(tái)上提供性能和安全的獨(dú)特組合。 低廉的整體運(yùn)營(yíng)成本 以提供所有防火墻中最佳的性能價(jià)格比。 合同中包含了維護(hù)成本。由于 基于 火墻的，所以培訓(xùn)和管理成本都很低，而且由于它是集成在設(shè)備內(nèi)部的，所以大大減少了需要管理的設(shè)備的數(shù)量。 易用性 備管理器的直觀的圖形化用戶界面（ 以用于 31 管理和配置 配置和監(jiān)控方面， 以獲得思科管理框架和 成化語(yǔ)音、視頻和數(shù)據(jù)體系結(jié)構(gòu)）合作伙伴的支持。 心網(wǎng)絡(luò) 據(jù)實(shí)際情況設(shè)計(jì) ，一般初期僅做初步描述 ） 是指 絡(luò)的一種能力，即在跨越多種底層網(wǎng)絡(luò)技術(shù)（ ）的 絡(luò)上，為特定的業(yè)務(wù)提供其所需要的服務(wù)。衡量 技術(shù)指標(biāo)包括： 1）帶寬 /吞吐量 指網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)之間特定應(yīng)用業(yè)務(wù)流的平均速率； 2）時(shí)延 指數(shù)據(jù)包在網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)之間傳送的平均往返時(shí)間； 3）抖動(dòng) 指時(shí)延的變化； 4）丟包率 指在網(wǎng)絡(luò)傳輸過(guò)程中丟失報(bào)文的百分比，用來(lái)衡量網(wǎng)絡(luò)正確轉(zhuǎn)發(fā)用戶數(shù)據(jù)的能力； 5）可用性 指網(wǎng)絡(luò)可以為用戶提供服務(wù)的時(shí)間的百分比。 本質(zhì)上，要保證服務(wù)質(zhì)量的最基本和最佳的手段是網(wǎng)絡(luò)容量的擴(kuò)容，通過(guò)增加鏈路帶寬來(lái)保證網(wǎng)絡(luò)輕載， 出于網(wǎng)絡(luò)的實(shí)際情況考慮，在有限的帶寬前提下，在鏈路擁塞時(shí)，需要保證不同等級(jí)業(yè)務(wù)的服務(wù)質(zhì)量，因此，需要在 設(shè)備上 支持對(duì)不同 級(jí)的報(bào)文優(yōu)先轉(zhuǎn)發(fā)的隊(duì)列調(diào)度 機(jī)制 。 32 目前， 現(xiàn)機(jī)制主要有兩個(gè)：綜合型業(yè)務(wù)（ 型和區(qū)分型業(yè)務(wù)（ 型。 集成服務(wù)模型通過(guò) 議針對(duì)每個(gè)業(yè)務(wù)流進(jìn)行資源預(yù)留，提供端到端服務(wù)保證。這種服務(wù)模型在應(yīng)用使用之前，首先需要進(jìn)行資源的預(yù)留，針對(duì)每個(gè)流都要維護(hù) 軟狀態(tài)。這種服務(wù)模型的的優(yōu)點(diǎn)在于能夠提供細(xì)粒度的、嚴(yán)格的 是擴(kuò)展性比較差，路由器難以維護(hù)大量的軟狀態(tài)和控制流。由于集成服務(wù)模型的缺點(diǎn)，現(xiàn)在集成服務(wù)模型已經(jīng)很少使用，取 而代之的是下面重點(diǎn)介紹的差分服務(wù)模型。差分服務(wù)類型對(duì)不同的流進(jìn)行分類，對(duì)每個(gè)類提供不同的 務(wù)。通過(guò)分類，維護(hù)軟狀態(tài)以及控制流的開(kāi)銷大幅度縮小，可擴(kuò)展性比較高。它的缺點(diǎn)在于提供的服務(wù)是粗粒度的、不嚴(yán)格的 務(wù)。 綜合考慮現(xiàn)有 術(shù)，我們推薦蘇寧電器 心 造采用以 主的 術(shù)，采用 兼容的標(biāo)記方式。業(yè)務(wù)接入控制點(diǎn)設(shè)備實(shí)現(xiàn)業(yè)務(wù)的分類、標(biāo)記和帶寬控制，城域網(wǎng)骨干路由器根據(jù) P 包的轉(zhuǎn)發(fā)。 數(shù)據(jù)中心網(wǎng)絡(luò)管理設(shè)計(jì) （根據(jù)項(xiàng)目使用網(wǎng)管工具編寫） 思科安全監(jiān)控、分析和響應(yīng)系統(tǒng)（思科安全 一款基于設(shè)備的全功能解決方案，可提供針對(duì)您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全 思科安全管理生命周期的一個(gè)關(guān)鍵組件，可幫助您的安全和網(wǎng)絡(luò)機(jī)構(gòu)識(shí)別、管理和抵御安全威脅。 33 它可充分利用您現(xiàn)有的網(wǎng)絡(luò)和安全投資，來(lái)識(shí)別、隔離被攻擊的組件和建議對(duì)其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個(gè)不可缺少的部件。 安全和網(wǎng)絡(luò)管理員所面臨的問(wèn)題有： 安全和網(wǎng)絡(luò)信息過(guò) 載 性能不佳的攻擊和故障識(shí)別、優(yōu)先級(jí)劃分和響應(yīng) 更高攻擊先進(jìn)程度、速度和修復(fù)成本 滿足法規(guī)符合性和審查要求 較少的安全人員和預(yù)算 思科安全 通過(guò)以下功能滿足其需要： 集成網(wǎng)絡(luò)智能，進(jìn)行網(wǎng)絡(luò)異常事件和安全事件的先進(jìn)關(guān)聯(lián) 察看校正后的事件并自動(dòng)執(zhí)行調(diào)查 通過(guò)全面充分利用網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施來(lái)防御攻擊 監(jiān)控系統(tǒng)、網(wǎng)絡(luò)和安全運(yùn)行來(lái)幫助企業(yè)達(dá)到法規(guī)符合性 以最低 供一個(gè)易于部署和使用的、可擴(kuò)展的設(shè)備 思科安全 提交正確有效的安全事件并保持法規(guī)符合性。這 一易于使用的威脅防御設(shè)備系列可利用已部署在您的基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)和安全設(shè)備，使操作員可集中、檢測(cè)、防御和報(bào)告重要威脅。 深度防御問(wèn)題 信息安全已從互聯(lián)網(wǎng)、周邊防護(hù)發(fā)展為深度防御模式，在基礎(chǔ)設(shè)施中部署了多項(xiàng)措施來(lái)抵御安全漏洞和攻擊。鑒于攻擊頻率日益增 34 加、攻擊復(fù)雜度各不相同，以及攻擊非常迅速，網(wǎng)絡(luò)內(nèi)部和周邊間的界線逐漸模糊，因此這些措施是非常必要的。 為試圖利用漏洞發(fā)動(dòng)攻擊，每天攻擊者都會(huì)對(duì)網(wǎng)絡(luò)接入點(diǎn)和系統(tǒng)進(jìn)行數(shù)千次探測(cè)。先進(jìn)的混合攻擊使用多種欺騙式攻擊方法，以便從機(jī)構(gòu)內(nèi)外獲得未授權(quán)系統(tǒng)訪問(wèn)和控制。蠕蟲(chóng)、零日攻擊 、病毒、特洛伊木馬、間諜軟件和攻擊工具的普及可對(duì)最為堅(jiān)固的基礎(chǔ)設(shè)施構(gòu)成挑戰(zhàn) 導(dǎo)致防御作用時(shí)間縮短、出現(xiàn)停運(yùn)和昂貴的修復(fù)措施。 除服務(wù)器和網(wǎng)絡(luò)設(shè)備數(shù)量較多外，每個(gè)安全組件都提供獨(dú)立的事件記錄和報(bào)警功能，以用于異常流量檢測(cè)、威脅響應(yīng)和分析。不幸的是，這就生成了大量的干擾、報(bào)警、日志文件和誤報(bào)，需操作員辨別或高效利用它們 但這樣的前提是有足夠的時(shí)間和資源來(lái)分析和了解這些信息。此外，法規(guī)也要求嚴(yán)格數(shù)據(jù)保密、更高運(yùn)營(yíng)安全性和進(jìn)行持續(xù)審查。 先進(jìn)的安全信息管理 安全信息 /事件管理（ 品從邏輯上看來(lái)避免了這一 問(wèn)題 因?yàn)槟鸁o(wú)法對(duì)您不能測(cè)量出的信息加以管理。 操作員擁有了集中操作的能力：匯總安全事件和記錄，通過(guò)有限關(guān)聯(lián)和查詢技術(shù)來(lái)分析數(shù)據(jù)，并針對(duì)獨(dú)立事件生成報(bào)警和報(bào)告。 思科通過(guò)一個(gè)可擴(kuò)展的企業(yè)威脅防御設(shè)備系列，解決了這些安全問(wèn)題，彌補(bǔ)了管理的不足。思科安全 供了一個(gè)易于部署和使用、經(jīng)濟(jì)有效、性能出眾的安全命令和控制解決方案，對(duì)您的網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施投資構(gòu)成補(bǔ)充。思科安全 一個(gè)性能出眾的 35 可 擴(kuò) 展 威 脅 防 御 設(shè) 備 系 列 ， 通 過(guò) 結(jié) 合 網(wǎng) 絡(luò) 智 能 、析和 能，來(lái)使公司能作好準(zhǔn)備，識(shí)別、管理和消除網(wǎng)絡(luò)攻擊并保持法規(guī)符合性，從而增強(qiáng)已部署的網(wǎng)絡(luò)設(shè)備和安全措施。 思科安全 主要特性和優(yōu)勢(shì) 網(wǎng)絡(luò)智能事件匯總和性能處理 思科安全 換機(jī)和防火墻的拓?fù)浜驮O(shè)備配置，以及網(wǎng)絡(luò)流量配置，實(shí)現(xiàn)了網(wǎng)絡(luò)智能。通過(guò)該系統(tǒng)的集成網(wǎng)絡(luò)發(fā)現(xiàn)功能，可構(gòu)建一個(gè)包括設(shè)備配置和當(dāng)前安全策略的拓?fù)鋱D，使思科安全對(duì)您網(wǎng)絡(luò)中的分組流建模。因?yàn)榇嗽O(shè)備不在內(nèi)部運(yùn)行，極少使用現(xiàn)有軟件代理，所以對(duì)網(wǎng)絡(luò)或系統(tǒng)性能的影響極小。 這一設(shè)備集中匯 總了來(lái)自各種常用網(wǎng)絡(luò)設(shè)備（如路由器和交換機(jī)）、安全設(shè)備和應(yīng)用（如防火墻、入侵檢測(cè)、漏洞掃描器和防病毒軟件）、主機(jī)（如 統(tǒng)日志）、應(yīng)用（如數(shù)據(jù)庫(kù)、 務(wù)器和驗(yàn)證服務(wù)器）以及網(wǎng)絡(luò)流量（如 日志和事件。 接收到事件和數(shù)據(jù)時(shí)，可針對(duì)網(wǎng)絡(luò)拓?fù)?、所發(fā)現(xiàn)的設(shè)備配置、相同的源和目的地應(yīng)用（跨 界）和類似的攻擊類型，來(lái)對(duì)信息進(jìn)行標(biāo)準(zhǔn)化。相似的事件會(huì)進(jìn)行實(shí)時(shí)分組，隨后對(duì)其運(yùn)用由系統(tǒng)和用戶定義的關(guān)聯(lián)規(guī)則，來(lái)識(shí) 別事故。系統(tǒng)配備了全面的預(yù)定義規(guī)則， 經(jīng)常更新這些規(guī)則，它們能識(shí)別大多數(shù)混合攻擊、零日攻擊和蠕蟲(chóng)。一個(gè)圖形化規(guī)則定義框架簡(jiǎn)化了用戶 36 為任何應(yīng)用創(chuàng)建定制規(guī)則的過(guò)程。 大減少了原始事件數(shù)據(jù)、實(shí)現(xiàn)了響應(yīng)優(yōu)先級(jí)劃分并可最大限度地發(fā)揮所部署的措施的作用。 高性能匯總和整合。思科安全 決方案可獲取數(shù)千個(gè)原始事件，高效地對(duì)事件分類，實(shí)現(xiàn)前所未有的數(shù)據(jù)減少，并壓縮這些信息以進(jìn)行歸檔。管理大量安全事件需要一個(gè)安全、穩(wěn)定的集中記錄平臺(tái)。思科安全 備可安全地優(yōu)化，接 收極其大量的事件流量 每秒超過(guò) 10000 個(gè)事件或每秒超過(guò) 30 萬(wàn)個(gè)