IDC中心建設(shè)方案.doc

xxx公司數(shù)據(jù)中心建設(shè)項(xiàng)目方案建議書(shū)江蘇鴻信系統(tǒng)集成有限公司2008年7月目 錄第一部分、xxx公司數(shù)據(jù)中心簡(jiǎn)介31.1、xxx公司概況31.2、項(xiàng)目背景31.3、設(shè)計(jì)原則31.3.1、高效實(shí)用性41.3.2、先進(jìn)性、成熟性41.3.3、開(kāi)放與標(biāo)準(zhǔn)化原則41.3.4、可擴(kuò)展性及易升級(jí)性51.3.5、良好的可管理性和可維護(hù)性51.3.6、具有最佳的性能價(jià)格比51.3.7、具有高可靠性和安全性51.4、xxx公司數(shù)據(jù)中心建設(shè)整體目標(biāo)81.5、可行性分析81.5.1、技術(shù)方面的可行性81.5.2、經(jīng)濟(jì)方面的可行性9第二部分、xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)解決方案92.1、網(wǎng)絡(luò)現(xiàn)狀與需求分析92.2、xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo)112.3、設(shè)計(jì)的依據(jù)與原則112.3.1、設(shè)計(jì)依據(jù)112.3.2、設(shè)計(jì)原則122.4、xxx公司數(shù)據(jù)中心設(shè)計(jì)方案142.4.1、總體結(jié)構(gòu)142.4.2、核心交換模塊152.4.3、廣域網(wǎng)接入模塊172.4.4、數(shù)據(jù)庫(kù)服務(wù)器與中間業(yè)務(wù)服務(wù)器接入模塊182.4.6、外聯(lián)網(wǎng)絡(luò)接入模塊182.4.7、帶內(nèi)帶外網(wǎng)絡(luò)管理接入模塊192.5、高性能與高可靠性設(shè)計(jì)222.5.1、高性能設(shè)計(jì)222.5.2、高可靠性設(shè)計(jì)242.7、xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化服務(wù)（此處為相應(yīng)設(shè)備的亮點(diǎn)技術(shù)，根據(jù)具體項(xiàng)目不同編寫）292.7.1、cisco nexus7000虛擬多機(jī)技術(shù)292.7.1、cisco 6509交換機(jī)vss技術(shù)292.7.2、fwsm虛擬化技術(shù)及應(yīng)用312.8、xxx公司中心網(wǎng)絡(luò)ip地址設(shè)計(jì)（ip地址規(guī)劃，根據(jù)具體項(xiàng)目，具體設(shè)計(jì)，一般初期僅做初步描述）322.9、xxx公司中心網(wǎng)絡(luò)路由協(xié)議設(shè)計(jì)（路由設(shè)計(jì)，根據(jù)具體項(xiàng)目具體設(shè)計(jì)，一般初期僅做初步描述）322.10、xxx公司中心網(wǎng)絡(luò)安全設(shè)計(jì)（此處為相應(yīng)安全的設(shè)備及技術(shù)，根據(jù)具體項(xiàng)目不同編寫）322.10.1、cisco6500及cisco7600防火墻模塊322.11、xxx公司中心網(wǎng)絡(luò)qos設(shè)計(jì)（qos設(shè)計(jì)，根據(jù)實(shí)際情況設(shè)計(jì)，一般初期僅做初步描述）352.12、xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)管理設(shè)計(jì)（根據(jù)項(xiàng)目使用網(wǎng)管工具編寫）362.13、設(shè)備概述（此處為相應(yīng)的設(shè)備描述，根據(jù)不同項(xiàng)目，使用的不同設(shè)備描述）422.13.1、cisco 7010核心交換機(jī)422.13.2、csico 7609 邊緣路由器452.13.3、csico 4948-10ge 邊緣交換機(jī)46第三部分、xxx公司數(shù)據(jù)中心割接方案（割接方案，根據(jù)項(xiàng)目?jī)?nèi)容確定有無(wú)割接）473.1、實(shí)施方案目標(biāo)（此處為割接的最終目標(biāo)）473.2、實(shí)施前的準(zhǔn)備工作473.2.1、實(shí)施方案中涉及設(shè)備配置做必要的備份；473.2.2割接實(shí)施中新增光路，尾纖布放及板卡資源調(diào)配：483.3、具體實(shí)施方案493.3.1、大區(qū)與雨花idc7609接入路由器之間的協(xié)議調(diào)整493.3.2、當(dāng)前xxx網(wǎng)絡(luò)拓?fù)浼皯?yīng)用：503.3.3、實(shí)施前后路由情況比較；513.4、割接實(shí)施的必要回退513.5、總結(jié)523.6、機(jī)房無(wú)憂（以下內(nèi)容為公司相應(yīng)的服務(wù)產(chǎn)品介紹，根據(jù)客戶情況，可選擇相應(yīng)產(chǎn)品進(jìn)行推薦。）533.7、網(wǎng)管專家（以下內(nèi)容為公司相應(yīng)的服務(wù)產(chǎn)品介紹，根據(jù)客戶情況，可選擇相應(yīng)產(chǎn)品進(jìn)行推薦。）55第一部分、xxx公司數(shù)據(jù)中心簡(jiǎn)介1.1 、xxx公司概況此處添加客戶公司介紹。1.2 、項(xiàng)目背景此處添加該項(xiàng)目的背景情況。1.3、設(shè)計(jì)原則xxx公司數(shù)據(jù)中心的建設(shè)將是一項(xiàng)關(guān)系到xxx公司的重大網(wǎng)絡(luò)工程，它的設(shè)計(jì)必須遵循以下原則：1.3.1、高效實(shí)用性作為一個(gè)系統(tǒng)，實(shí)用性永遠(yuǎn)是放在第一位的。我們的根本原則就是能最大限度地滿足xxx公司數(shù)據(jù)中心系統(tǒng)建設(shè)實(shí)際的需要。方案所推薦的主要技術(shù)和產(chǎn)品具有成熟、穩(wěn)定、實(shí)用的特點(diǎn)，并充分滿足xxx公司各個(gè)下屬單位接入的需要。1.3.2、先進(jìn)性、成熟性作為一個(gè)系統(tǒng)，先進(jìn)性是系統(tǒng)賴以生存發(fā)展的基礎(chǔ)。只有先進(jìn)的系統(tǒng)，才能充分發(fā)揮計(jì)算機(jī)的能力，才能發(fā)展，才能體現(xiàn)良好的低投入高產(chǎn)出的投資收益。方案所推薦的千兆/萬(wàn)兆以太網(wǎng)技術(shù)及多層交換負(fù)載均衡等技術(shù)是目前世界上先進(jìn)的網(wǎng)絡(luò)技術(shù)。（此處添加與項(xiàng)目相關(guān)的關(guān)鍵性技術(shù)亮點(diǎn)的名稱，）1.3.3、開(kāi)放與標(biāo)準(zhǔn)化原則只有開(kāi)放的系統(tǒng)，才能充分發(fā)揮計(jì)算機(jī)的能力，只有堅(jiān)持標(biāo)準(zhǔn)化的系統(tǒng)，才能保護(hù)用戶的投資，才能體現(xiàn)良好的可擴(kuò)展性和互操作能力。從國(guó)內(nèi)外的一些系統(tǒng)建設(shè)的實(shí)際經(jīng)驗(yàn)和教訓(xùn)來(lái)看，開(kāi)放性與標(biāo)準(zhǔn)化原則如不能保證，則會(huì)在系統(tǒng)的使用階段出現(xiàn)后期使用的維護(hù)困難，系統(tǒng)維護(hù)費(fèi)用加大，甚至必須重復(fù)投資等問(wèn)題。為了與這些專用系統(tǒng)互聯(lián)，所耗費(fèi)的代價(jià)甚至與新建系統(tǒng)不相上下，形成了一種“食之無(wú)味，棄之可惜”的“雞肋”現(xiàn)象。本系統(tǒng)是一個(gè)開(kāi)放的系統(tǒng)，網(wǎng)絡(luò)產(chǎn)品具開(kāi)放性，采用tcp/ip協(xié)議作為主協(xié)議。主要產(chǎn)品，如服務(wù)器，網(wǎng)絡(luò)等都支持開(kāi)放的client/server結(jié)構(gòu)，并且，所選產(chǎn)品都遵循相應(yīng)的標(biāo)準(zhǔn)。1.3.4、可擴(kuò)展性及易升級(jí)性面對(duì)中國(guó)it的飛速發(fā)展，系統(tǒng)的計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)設(shè)備必須有非常好的擴(kuò)充性。并且，隨著世界網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，主干網(wǎng)絡(luò)設(shè)備應(yīng)能平滑升級(jí)。因此，在設(shè)計(jì)中，應(yīng)當(dāng)保證系統(tǒng)結(jié)構(gòu)模塊化，軟硬件平臺(tái)可以積木式拚裝，如：交換機(jī)可通過(guò)添加功能模塊擴(kuò)充交換能力和服務(wù)能力等等。服務(wù)器類的設(shè)備也應(yīng)選用擴(kuò)充性極強(qiáng)的設(shè)備。1.3.5、良好的可管理性和可維護(hù)性xxx公司數(shù)據(jù)中心系統(tǒng)是由多種設(shè)備組成的較為復(fù)雜的系統(tǒng)，因此我們著重考慮所選產(chǎn)品具有良好的可管理性和可維護(hù)性，所選產(chǎn)品具有良好的可管理性和可維護(hù)性。1.3.6、具有最佳的性能價(jià)格比我們仔細(xì)分析討論了xxx公司數(shù)據(jù)中心的需求，力求設(shè)計(jì)緊貼用戶需求，在設(shè)計(jì)上尋求最佳的性能價(jià)格比。1.3.7、具有高可靠性和安全性本方案所采用的主要產(chǎn)品采用可靠性設(shè)計(jì)，服務(wù)器采用高可靠性技術(shù)。力求系統(tǒng)安全、可靠、穩(wěn)定的運(yùn)行。系統(tǒng)的安全性是保證整個(gè)系統(tǒng)正常運(yùn)轉(zhuǎn)的前提條件和基礎(chǔ)，也是xxx公司數(shù)據(jù)中心系統(tǒng)的重要要求之一。1）系統(tǒng)安全用戶口令、存取權(quán)限體系完善，系統(tǒng)具有基本的安全管理機(jī)制，如：用戶標(biāo)識(shí)、口令檢查、存取權(quán)限制度，為滿足這一需求，選用nt操作系統(tǒng)，其多用戶、多任務(wù)，適于大系統(tǒng)的維護(hù)管理，并且提供了完備的權(quán)限管理功能，符合c2安全級(jí)標(biāo)準(zhǔn)。此外，選用客戶/服務(wù)器體系結(jié)構(gòu)，數(shù)據(jù)可統(tǒng)一保存在服務(wù)器上，有利于系統(tǒng)數(shù)據(jù)的安全保密和一致性，保證系統(tǒng)的正常運(yùn)行。除操作系統(tǒng)的安全性以外，大型關(guān)系數(shù)據(jù)庫(kù)的權(quán)限管理和應(yīng)用程序也為系統(tǒng)提供了相應(yīng)的安全機(jī)制。2）硬件設(shè)備安全分析 環(huán)境安全運(yùn)行環(huán)境中具有防靜電、避雷、溫度、濕度、防火等方面的安全措施。故在整個(gè)系統(tǒng)設(shè)計(jì)中，要嚴(yán)格按照機(jī)房設(shè)計(jì)標(biāo)準(zhǔn)建造機(jī)房，并對(duì)計(jì)算機(jī)系統(tǒng)采用不間斷電源（ups）保護(hù)，確保整個(gè)系統(tǒng)在運(yùn)行過(guò)程中，造成不必要的系統(tǒng)損壞。 硬件設(shè)備安全性在網(wǎng)絡(luò)主設(shè)備及主服務(wù)器的選擇上，考慮到其可靠性，如：網(wǎng)絡(luò)接口冗余、支持熱插拔、電源可實(shí)現(xiàn)均衡負(fù)載和冗余、熱備份等。3）軟件安全保密操作系統(tǒng)、系統(tǒng)程序、應(yīng)用軟件運(yùn)行穩(wěn)定，在應(yīng)用軟件開(kāi)發(fā)中，遵循安全、可靠、實(shí)用的原則，在充分利用現(xiàn)有的系統(tǒng)支持軟件基礎(chǔ)上，進(jìn)行應(yīng)用軟件的設(shè)計(jì)、開(kāi)發(fā)。權(quán)限控制體系完備：根據(jù)nt操作系統(tǒng)的權(quán)限管理體系，可建立完善的權(quán)限管理機(jī)制。防病毒、防非法入侵：主機(jī)系統(tǒng)采用的是具有很強(qiáng)防病毒干擾能力的操作系統(tǒng)，利用其嚴(yán)格權(quán)限管理機(jī)制，可以防止病毒、防非法入浸。4）數(shù)據(jù)安全 備份策略若有備份系統(tǒng)，可及時(shí)將數(shù)據(jù)從運(yùn)行系統(tǒng)中傳送到備份系統(tǒng)。另外，對(duì)關(guān)鍵數(shù)據(jù)要定期作磁帶備份，以保證數(shù)據(jù)的安全完整。 防止傳輸、存取錯(cuò)誤選用具有可靠傳輸能力的網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)協(xié)議采用tcp/ip協(xié)議，該協(xié)議支持可靠的數(shù)據(jù)傳輸，可以在收到數(shù)據(jù)的同時(shí)，進(jìn)行差錯(cuò)檢測(cè)，并在發(fā)現(xiàn)錯(cuò)誤時(shí)建立重傳過(guò)程。 防止信息泄漏由于采用符合國(guó)際標(biāo)準(zhǔn)的c2安全級(jí)操作系統(tǒng)和大型關(guān)系數(shù)據(jù)庫(kù)，可以做到操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用程序三級(jí)保護(hù)。 保證數(shù)據(jù)完整性系統(tǒng)結(jié)構(gòu)選用client/server體系結(jié)構(gòu)，數(shù)據(jù)庫(kù)選用大型關(guān)系數(shù)據(jù)庫(kù)，系統(tǒng)數(shù)據(jù)統(tǒng)一存放在主機(jī)數(shù)據(jù)庫(kù)中，并配有數(shù)據(jù)庫(kù)提供的數(shù)據(jù)恢復(fù)、錯(cuò)誤處理功能，可充分保證數(shù)據(jù)的一致性和完整性。1.4、xxx公司數(shù)據(jù)中心建設(shè)整體目標(biāo)整個(gè)系統(tǒng)的建設(shè)，應(yīng)用是關(guān)鍵。通過(guò)建立信息系統(tǒng)的基礎(chǔ)結(jié)構(gòu)，進(jìn)而全面實(shí)現(xiàn)辦公自動(dòng)化、網(wǎng)絡(luò)化、電子化、全面信息共享。信息系統(tǒng)的建設(shè)是xxx公司信息化進(jìn)程中的一個(gè)里程碑，它提高了xxx公司在行政和管理方面的效率，并且利用網(wǎng)絡(luò)為xxx公司龐大用戶群提供優(yōu)質(zhì)的多元化服務(wù)，因而推動(dòng)和加速了整個(gè)行業(yè)的信息化發(fā)展。1.5、可行性分析目標(biāo)和方案的可行性，可從以下幾個(gè)方面進(jìn)行分析：1.5.1、技術(shù)方面的可行性技術(shù)人員具有所需的技術(shù)水平，能夠高效的管理和運(yùn)維數(shù)據(jù)中心網(wǎng)絡(luò)；基礎(chǔ)管理技術(shù)滿足系統(tǒng)開(kāi)發(fā)要求；組織系統(tǒng)可以合理組織人、財(cái)、物及提供售后服務(wù)支持；硬件可滿足本系統(tǒng)需要；軟件可滿足本系統(tǒng)需要；1.5.2、經(jīng)濟(jì)方面的可行性數(shù)據(jù)中心建設(shè)的投入是一項(xiàng)復(fù)雜的綜合性工程，建設(shè)時(shí)間長(zhǎng)，投資費(fèi)用高，因此，必須做到項(xiàng)目的總體規(guī)劃，分系統(tǒng)、分步驟進(jìn)行，并考慮前后建設(shè)的連續(xù)性，避免重復(fù)性投資和資源浪費(fèi)。對(duì)于計(jì)劃投入開(kāi)展的項(xiàng)目，要預(yù)算充分，按期達(dá)標(biāo)。第二部分、xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)解決方案2.1、網(wǎng)絡(luò)現(xiàn)狀與需求分析此處添加客戶公司目前的網(wǎng)絡(luò)拓?fù)鋱Dxxx公司目前數(shù)據(jù)中心建于xxx，目前承擔(dān)整個(gè)集團(tuán)數(shù)據(jù)交換與存儲(chǔ)的重任。現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如上。隨著xxx公司的建設(shè)，現(xiàn)需在園區(qū)內(nèi)建設(shè)一全新數(shù)據(jù)中心，用以在園區(qū)全面啟動(dòng)時(shí)順利接管原數(shù)據(jù)中心的數(shù)據(jù)交換與存儲(chǔ)重任。xxx公司數(shù)據(jù)中心的建設(shè)是為xxx公司辦公、管理提供服務(wù)的，網(wǎng)絡(luò)系統(tǒng)建設(shè)主要目標(biāo)是在xxx公司管轄范圍內(nèi)，采用國(guó)際標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，建立在xxx公司內(nèi)聯(lián)網(wǎng)（bdfz-intranet）并通過(guò)高速信道與各地市分公司、中國(guó)互聯(lián)網(wǎng)（china-net）相連，同時(shí)建設(shè)信息資源管理中心。2.2、xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo)xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo)是將xxx公司的各種pc機(jī)、工作站等，通過(guò)高性能的網(wǎng)絡(luò)，連接到各種服務(wù)器上，組成分布式的計(jì)算環(huán)境，使其成為提高辦公、管理水平必不可少的網(wǎng)絡(luò)支撐環(huán)境。本著建設(shè)一流數(shù)據(jù)中心的精神，我們提出了以下xxx公司網(wǎng)絡(luò)建設(shè)目標(biāo)：內(nèi)部信息發(fā)布：xxx公司向各地分公司發(fā)布規(guī)章制度、規(guī)劃、計(jì)劃、通知等公開(kāi)信息等。2）電子郵件：xxx公司內(nèi)部的電子郵件的發(fā)送與接受。3）文件傳輸：xxx公司內(nèi)部的文本文件、圖象文件、語(yǔ)音文件等發(fā)送與接收。4）資源共享：文件共享、數(shù)據(jù)庫(kù)共享等。6）接入因特網(wǎng)：通過(guò)專線接入chinanet、internet，對(duì)外發(fā)布信息。2.3、設(shè)計(jì)的依據(jù)與原則2.3.1、設(shè)計(jì)依據(jù)1）中國(guó)教學(xué)和科研計(jì)算機(jī)網(wǎng)絡(luò)（cernet）工程技術(shù)規(guī)范書(shū)2）中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定3）有關(guān)的網(wǎng)絡(luò)技術(shù)國(guó)際標(biāo)準(zhǔn)4）rfc有關(guān)文件2.3.2、設(shè)計(jì)原則1）開(kāi)放原則采用開(kāi)放標(biāo)準(zhǔn)；采用開(kāi)放技術(shù)；采用開(kāi)放結(jié)構(gòu)；采用開(kāi)放系統(tǒng)組件；2）可靠原則設(shè)計(jì)結(jié)果穩(wěn)定可靠，具有高mibf（平均無(wú)故障時(shí)間）和mtbr（平均無(wú)故障率），采用開(kāi)放用戶接口。3）實(shí)用原則實(shí)用有效是最主要的設(shè)計(jì)目標(biāo)，設(shè)計(jì)結(jié)果能滿足需求行之有效。提供容錯(cuò)設(shè)計(jì)，支持故障檢測(cè)和恢復(fù)，可管理性強(qiáng)。4）安全原則安全措施有效可信，能夠在多個(gè)層次上實(shí)現(xiàn)安全控制。5）先進(jìn)原則設(shè)計(jì)思想先進(jìn)；軟硬件設(shè)備先進(jìn)；網(wǎng)絡(luò)結(jié)構(gòu)先進(jìn)。6）完整性原則考慮到系統(tǒng)的各方面因素，實(shí)現(xiàn)優(yōu)化的網(wǎng)絡(luò)設(shè)計(jì)、安全的數(shù)據(jù)管理、高效的信息處理、友好的用戶界面。7）高效原則性能指標(biāo)高，軟硬件性能充分發(fā)揮。8）靈活原則系統(tǒng)配置靈活，備用和可選方案多，能夠適應(yīng)應(yīng)用和技術(shù)發(fā)展需要。9）可擴(kuò)展性能夠在規(guī)模和性能兩個(gè)方向上進(jìn)行擴(kuò)展，擴(kuò)展后的性能有大幅度提高。10）模塊化每種功能都由一定的模塊來(lái)實(shí)現(xiàn)，方案只需要選擇不同的模塊，并將這些模塊做相應(yīng)的配置即可。2.4、xxx公司數(shù)據(jù)中心設(shè)計(jì)方案2.4.1、總體結(jié)構(gòu)xxx公司數(shù)據(jù)中心拓樸圖xxx公司數(shù)據(jù)中心采用兩臺(tái)xxx系列核心交換機(jī)構(gòu)建整個(gè)idc中心的核心交換區(qū)，在核心交換區(qū)以下，分為核心數(shù)據(jù)服務(wù)區(qū)與中間業(yè)務(wù)應(yīng)用服務(wù)區(qū)兩大服務(wù)區(qū)，以及xxx公司各大區(qū)的接入及廣域網(wǎng)接入等接入?yún)^(qū)組成。其中數(shù)據(jù)服務(wù)的小型機(jī)區(qū)，以兩臺(tái)xxx交換機(jī)為接入交換機(jī),接入核心交換區(qū)，在xxx交換機(jī)上添加防火墻模塊與內(nèi)容交換模塊，以實(shí)現(xiàn)對(duì)小型機(jī)的安全保護(hù)、ssl卸載和負(fù)載均衡控制。在中間業(yè)務(wù)應(yīng)用服務(wù)器區(qū)，以兩臺(tái)xxx交換機(jī)為匯聚交換機(jī)，以xxx為接入交換機(jī),為應(yīng)用服務(wù)器提供接入功能,并在xxx交換機(jī)上添加防火墻模塊與內(nèi)容交換模塊,為整個(gè)中間業(yè)務(wù)應(yīng)用服務(wù)器群提供保護(hù)與負(fù)載均衡控制，并且在此區(qū)域內(nèi)通過(guò)acs,mars等設(shè)備,提供完善的管理與控制功能。2.4.2、核心交換模塊 流量分析主干網(wǎng)絡(luò)作為xxx公司數(shù)據(jù)中心的運(yùn)行核心，它決定整個(gè)xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)的性能。根據(jù)統(tǒng)計(jì)，一個(gè)運(yùn)行良好、提供服務(wù)齊全的網(wǎng)絡(luò)中，各子網(wǎng)間的通訊和子網(wǎng)內(nèi)部通訊大約各占50%；而且隨著多媒體技術(shù)的發(fā)展，多媒體主頁(yè)、視頻點(diǎn)播（多點(diǎn)廣播）大量采用，這些都要占有大量主干帶寬；以及虛擬網(wǎng)技術(shù)的采用，傳統(tǒng)子網(wǎng)概念已經(jīng)變化，使得一個(gè)子網(wǎng)可以分布于整個(gè)網(wǎng)絡(luò)，導(dǎo)致子網(wǎng)內(nèi)部通訊也要通過(guò)主干網(wǎng)絡(luò)；因此經(jīng)過(guò)主干網(wǎng)絡(luò)的流量將占80%以上，這就要求主干網(wǎng)絡(luò)必須具有極高的傳輸速率，最大限度的避免堵塞。作為主要的數(shù)據(jù)通道，主干網(wǎng)絡(luò)的癱瘓就意味著整個(gè)網(wǎng)絡(luò)的崩潰，因此主干網(wǎng)絡(luò)必須采用已經(jīng)標(biāo)準(zhǔn)化的技術(shù)，有極高的穩(wěn)定性和冗余度。 網(wǎng)絡(luò)技術(shù)分析縱觀目前計(jì)算機(jī)局域網(wǎng)技術(shù)，適合作為高速主干網(wǎng)結(jié)構(gòu)的主要有： 千兆以太網(wǎng)千兆以太網(wǎng)是100base-t的真正繼承者。千兆以太網(wǎng)保留了大多數(shù)100base-t的布線規(guī)則和csma/cd媒質(zhì)訪問(wèn)方式，具有以下特點(diǎn)：l 從傳統(tǒng)100base-t以太網(wǎng)的升級(jí)較容易、投資少，與現(xiàn)有100base-t網(wǎng)的集成也很簡(jiǎn)單。l 工業(yè)支持較強(qiáng)，競(jìng)爭(zhēng)激烈，使產(chǎn)品價(jià)格相對(duì)較低。l 安裝和配置簡(jiǎn)單，現(xiàn)有的管理工具依然可用。l 支持交換方式，有全雙工方式通訊的產(chǎn)品。 萬(wàn)兆以太網(wǎng)萬(wàn)兆位以太網(wǎng)(10gige)802.3ae標(biāo)準(zhǔn)已由ieee于2002年6月批準(zhǔn)，而且現(xiàn)在已在許多應(yīng)用中進(jìn)入大量部署階段。在從千兆位以太網(wǎng)到萬(wàn)兆位以太網(wǎng)的演變過(guò)程中，為了適合如此廣泛的可能應(yīng)用，已進(jìn)行了大量更改。這些更改中，最重要的更改與數(shù)據(jù)編碼方式及萬(wàn)兆位以太網(wǎng)可以運(yùn)行的物理連接類型有關(guān)。幀尺寸和格式都保持不變，以便第3層及更高層協(xié)議仍然完全兼容。萬(wàn)兆位以太網(wǎng)設(shè)計(jì)用于以全雙工模式只在點(diǎn)到點(diǎn)（交換）鏈路上運(yùn)行。這一點(diǎn)反映其作為主干/核心（與工作組不同）技術(shù)的角色。萬(wàn)兆位以太網(wǎng)當(dāng)前不支持自動(dòng)協(xié)商，因?yàn)樗患俣ㄓ糜诩內(nèi)f兆位以太網(wǎng)安裝。 40g以太網(wǎng)建立xxx公司數(shù)據(jù)中心的網(wǎng)絡(luò)系統(tǒng)應(yīng)高起點(diǎn)，統(tǒng)一全面規(guī)劃，并考慮到將來(lái)的擴(kuò)展與投資的保護(hù)；因此，為適應(yīng)xxx公司的發(fā)展，以可延展的方式提供更多的帶寬，滿足復(fù)雜的事務(wù)處理能力，xxx公司數(shù)據(jù)中心的主干采用領(lǐng)導(dǎo)高速網(wǎng)絡(luò)發(fā)展-先進(jìn)交換技術(shù)的萬(wàn)兆以太網(wǎng)為主干。2.4.3、廣域網(wǎng)接入模塊目前xxx公司xxx中心與各大區(qū)之間使用atm鏈路連接，考慮到各大區(qū)的接入模式為atm鏈路，故本次新中心廣域網(wǎng)接入方式同樣選擇atm方式，利用現(xiàn)有atm鏈路與板卡，同時(shí)，由于atm技術(shù)已經(jīng)處于漸漸被淘汰的情況，電信mstp與pos鏈路的快速發(fā)展，考慮到數(shù)據(jù)中心的高擴(kuò)展性，廣域網(wǎng)接入采用模塊化方式，現(xiàn)選用atm模塊，在日后可方便的且經(jīng)濟(jì)的升級(jí)為mstp或pos方式。廣域網(wǎng)接入路由器xxx與核心交換機(jī)xx之間采用10g光纖鏈路相連，提供極高的數(shù)據(jù)交換能力，為數(shù)據(jù)中心的性能提供強(qiáng)有力的支持。根據(jù)前面分析，一個(gè)多媒體網(wǎng)絡(luò)60%甚至80%以上的流量要經(jīng)過(guò)路由，采用傳統(tǒng)的路由方式連接各子網(wǎng)必須導(dǎo)致大量數(shù)據(jù)在路由器上匯集，發(fā)生堵塞，從而導(dǎo)致丟包，會(huì)大大限制多媒體應(yīng)用，因此必須采用先進(jìn)高效的路由技術(shù)，保證整個(gè)xxx公司數(shù)據(jù)網(wǎng)絡(luò)在網(wǎng)絡(luò)層暢通無(wú)阻。 第三層交換技術(shù)分析第三層網(wǎng)絡(luò)路由交換機(jī)的出現(xiàn)為大型多媒體網(wǎng)絡(luò)提供了新的解決方案。通過(guò)使用第三層路由交換機(jī)，可以大大提高ip包的轉(zhuǎn)發(fā)速度。第三層交換技術(shù)可以分為兩類：基于包的交換和基于流的交換?；诎慕粨Q采用與傳統(tǒng)路由器相近的交換方式，對(duì)每一個(gè)包進(jìn)行檢查。目前的第三層交換機(jī)憑借先進(jìn)的aisc技術(shù)，對(duì)ip包直接進(jìn)行芯片道路級(jí)處理，速度大大高于路由器采用的基于cpu的處理方式，能夠提供全線速的轉(zhuǎn)發(fā)，避免發(fā)生堵塞和丟包；同時(shí)完全兼容路由器的rip 和eigrp和ospf協(xié)議，能夠與傳統(tǒng)路由器進(jìn)行相互的自學(xué)習(xí)，掌握整個(gè)網(wǎng)絡(luò)的路由信息。采用基于包交換的第三層交換機(jī)，網(wǎng)絡(luò)的配置、設(shè)備和軟件都不需要變動(dòng)，能夠?qū)崿F(xiàn)基于包的安全控制。2.4.4、數(shù)據(jù)庫(kù)服務(wù)器與中間業(yè)務(wù)服務(wù)器接入模塊數(shù)據(jù)庫(kù)服務(wù)器與中間業(yè)務(wù)服務(wù)器接入設(shè)備采用xxx高性能交換機(jī)，成熟的xxx交換機(jī)曾經(jīng)做為數(shù)據(jù)中心的核心交換機(jī)主流產(chǎn)品，其強(qiáng)大的交換能力，720g背板帶寬，以及高達(dá)99.99%的高可靠性，使之成為xxx公司idc中心數(shù)據(jù)庫(kù)服務(wù)器與中間業(yè)務(wù)服務(wù)器接入服務(wù)最有力的提供者，此外，依靠vss技術(shù)，將兩臺(tái)xxx交換機(jī)虛擬成一臺(tái)交換機(jī)，將背板帶寬擴(kuò)大為1.44t，同時(shí)將可靠性提高到99.999的電信級(jí)別。數(shù)據(jù)庫(kù)服務(wù)器與中間業(yè)務(wù)服務(wù)器通過(guò)千兆鏈路連接入?yún)R聚交換機(jī)xxx之上，通過(guò)10g鏈路雙上聯(lián)入核心交換機(jī)xxx，并依靠跨機(jī)框鏈路捆綁技術(shù)，將因?yàn)殒溌饭收显斐傻牡箵Q2.4.6、外聯(lián)網(wǎng)絡(luò)接入模塊xxx公司做為中國(guó)家電零售業(yè)的領(lǐng)軍企業(yè)，其銀聯(lián)及各大商業(yè)銀行有著相當(dāng)頻繁的業(yè)務(wù)來(lái)往，并且，隨著xxx公司企業(yè)多元化發(fā)展，其各實(shí)業(yè)公司，都與idc中心之間有著平凡的數(shù)據(jù)交換要求，故xxx公司idc中心外聯(lián)網(wǎng)絡(luò)接入系統(tǒng)是其idc中心極其重要的一部分，有著極高的數(shù)據(jù)交換要求以及響應(yīng)的安全要求。為此，我們推薦xxx路由器的外聯(lián)網(wǎng)絡(luò)接入板卡為整個(gè)xxx公司idc中心提供外聯(lián)網(wǎng)絡(luò)接入服務(wù)，其好處在于可以靈活的使用xxx上配置的防火墻等功能模塊，為各種業(yè)務(wù)提供足夠的安全保證2.4.7、帶內(nèi)帶外網(wǎng)絡(luò)管理接入模塊網(wǎng)絡(luò)管理對(duì)于一個(gè)大型化的網(wǎng)絡(luò)是至關(guān)重要的，同時(shí)也具有挑戰(zhàn)性。對(duì)xxx公司信息中心的管理主要采用基于intel device view for web的管理方法，基于intel device view for windows的管理方法進(jìn)行輔助管理，而基于telnet和終端仿真的管理方法作為備用。通過(guò)xxx提供的管理方法，可以設(shè)置完善的管理員安全策略，能夠有效地防止非法用戶竊取管理員權(quán)限，對(duì)網(wǎng)絡(luò)進(jìn)行任何改動(dòng)。對(duì)于整個(gè)xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)的管理，我們采用cisco works2000作為網(wǎng)絡(luò)管理軟件，它是世界上使用最為廣泛最為成功的網(wǎng)管軟件之一，能對(duì)多個(gè)廠家提供的支持snmp協(xié)議的交換機(jī)、集線器、路由器、打印機(jī)、pc機(jī)與工作站進(jìn)行管理。這樣我們可以查看網(wǎng)絡(luò)上使用的硬件和軟件的清單，診斷并解決遠(yuǎn)程工作站的問(wèn)題，給網(wǎng)絡(luò)用戶快速分發(fā)最新軟件，檢查用戶軟件的license，檢測(cè)客戶機(jī)上的病毒，使用加密和解密保證網(wǎng)絡(luò)的安全，監(jiān)視服務(wù)器的性能并能設(shè)定報(bào)警值。由于ip、存儲(chǔ)和互聯(lián)基礎(chǔ)設(shè)施上的可管理性能夠利用先進(jìn)的通用管理和診斷工具簡(jiǎn)化配置、調(diào)配、監(jiān)控和變更控制，因而能減輕管理負(fù)擔(dān)，增強(qiáng)流程的一致性，并改善數(shù)據(jù)中心小組之間的協(xié)作。另外，可管理性功能還能向管理應(yīng)用提供網(wǎng)絡(luò)設(shè)備的流量和接口信息，以便操作人員能夠查看實(shí)時(shí)和歷史網(wǎng)絡(luò)狀態(tài)。另外，操作人員還能利用思科或第三方管理工具實(shí)現(xiàn)網(wǎng)絡(luò)的配置、監(jiān)控和排障。思科數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)提供先進(jìn)的通用管理接口、功能和工具，不但能顯著提高數(shù)據(jù)中心管理人員的運(yùn)營(yíng)效率，降低復(fù)雜性，縮短學(xué)習(xí)周期，還能提高服務(wù)水平，加快解決問(wèn)題的進(jìn)程。利用基于角色的訪問(wèn)控制，管理員可以將特定資源的管理控制分配給專人負(fù)責(zé)。思科數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)包含五大可管理性： 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（snmp v3） 在ip交換和路由網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)和光網(wǎng)上支持統(tǒng)一的mib格式，能夠改善配置、資產(chǎn)管理和變更管理。 嵌入式管理代理能夠簡(jiǎn)化可管理性支持基于策略的自適應(yīng)管理，能夠在問(wèn)題造成重大影響之前就快速予以解決，而且能夠簡(jiǎn)化服務(wù)實(shí)施。例如，為cisco catalyst 6500 系列平臺(tái)開(kāi)發(fā)的新型ciscoview 設(shè)備管理器代理能夠改善基于策略的端到端配置。 相似的cisco ios軟件和 san os命令行界面在管理器與設(shè)備之間提供一致的通信。 標(biāo)準(zhǔn)通用信息模型和可擴(kuò)展標(biāo)記語(yǔ)言（xml）api 通用高級(jí)診斷功能簡(jiǎn)化存儲(chǔ)網(wǎng)絡(luò)中第三方系統(tǒng)管理的實(shí)施。簡(jiǎn)化實(shí)時(shí)監(jiān)控、歷史統(tǒng)計(jì)數(shù)據(jù)收集和報(bào)告。另外思科安全監(jiān)控、分析和響應(yīng)系統(tǒng)（思科安全mars）是一款基于設(shè)備的全功能解決方案，可提供針對(duì)您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全mars是思科安全管理生命周期的一個(gè)關(guān)鍵組件，可幫助您的安全和網(wǎng)絡(luò)機(jī)構(gòu)識(shí)別、管理和抵御安全威脅。它可充分利用您現(xiàn)有的網(wǎng)絡(luò)和安全投資，來(lái)識(shí)別、隔離被攻擊的組件和建議對(duì)其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個(gè)不可缺少的部件。安全和網(wǎng)絡(luò)管理員所面臨的問(wèn)題有： 安全和網(wǎng)絡(luò)信息過(guò)載 性能不佳的攻擊和故障識(shí)別、優(yōu)先級(jí)劃分和響應(yīng) 更高攻擊先進(jìn)程度、速度和修復(fù)成本 滿足法規(guī)符合性和審查要求 較少的安全人員和預(yù)算思科安全mars可通過(guò)以下功能滿足其需要： 集成網(wǎng)絡(luò)智能，進(jìn)行網(wǎng)絡(luò)異常事件和安全事件的先進(jìn)關(guān)聯(lián) 察看校正后的事件并自動(dòng)執(zhí)行調(diào)查 通過(guò)全面充分利用網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施來(lái)防御攻擊 監(jiān)控系統(tǒng)、網(wǎng)絡(luò)和安全運(yùn)行來(lái)幫助企業(yè)達(dá)到法規(guī)符合性 以最低tco提供一個(gè)易于部署和使用的、可擴(kuò)展的設(shè)備2.5、高性能與高可靠性設(shè)計(jì)2.5.1、高性能設(shè)計(jì)在xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)中，主干線采用的是萬(wàn)兆位，因此需要主干設(shè)備要有較高的交換能力，擁有思科一代高密度萬(wàn)兆位連接，滿足蘇寧電器數(shù)據(jù)網(wǎng)絡(luò)中的高通信量工作站、工作組和服務(wù)器的需求。通過(guò)現(xiàn)有銅線線纜或光纖集合工作站服務(wù)器群可以提高多媒體應(yīng)用的運(yùn)行速度，同時(shí)減少瓶頸并提供非堵塞性能。提供第二、第三、第四層無(wú)堵塞性能，強(qiáng)大的帶寬整形功能和八個(gè)802.1優(yōu)先級(jí)排隊(duì)，以實(shí)現(xiàn)完善的第二、第三、第四層通信控制，最大的介質(zhì)靈活性，保護(hù)了超5類線基礎(chǔ)設(shè)施投資，并以光纖gbic突破了距離的限制。在xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)中，采用的第三層交換機(jī)是基于包進(jìn)行交換的，能夠進(jìn)行分布路由，為了避免發(fā)生堵塞，第三層交換機(jī)必須能夠提供接近交換速度的路由能力。另外為了在整個(gè)網(wǎng)絡(luò)上實(shí)現(xiàn)虛擬網(wǎng)劃分，第三層交換機(jī)還必須支持分布式的虛擬網(wǎng)設(shè)置。在關(guān)鍵子網(wǎng)，保證與主干網(wǎng)絡(luò)高速通道的足夠帶寬，以及冗余連接。根據(jù)以上分析，我們充分考慮了系統(tǒng)的性能價(jià)格比，采用了具有高可擴(kuò)展性和穩(wěn)定性、最標(biāo)準(zhǔn)的思科公司的全套網(wǎng)絡(luò)產(chǎn)品?？紤]到主干網(wǎng)絡(luò)設(shè)備具有萬(wàn)兆以太的交換能力，同時(shí)支持鏈路匯聚功能，以保證網(wǎng)絡(luò)的帶寬，另外還要支持vlan劃分，提供靈活活的網(wǎng)絡(luò)配置。并且在蘇寧電器數(shù)據(jù)中心將要使用大量的光纜布線。2.5.2、高可靠性設(shè)計(jì)2.5.2.1、拓樸冗余xxx公司中心拓樸在設(shè)計(jì)階段就充分考慮線路的冗余問(wèn)題，以保證數(shù)據(jù)中心網(wǎng)絡(luò)的高可靠性。在xxx公司中心內(nèi)，所有核心設(shè)備之間鏈路都采用雙鏈路冗余備份設(shè)計(jì)，保證在某一條鏈路故障時(shí)，不影響整個(gè)數(shù)據(jù)中心的數(shù)據(jù)交換業(yè)務(wù)。鏈路冗余在數(shù)據(jù)中心的交換機(jī)之間的連接均采用ether channel的設(shè)計(jì)以保證鏈路的冗余。ethernet channel設(shè)計(jì)原則網(wǎng)絡(luò)連接channel設(shè)計(jì)原則核心設(shè)備之間互連2*10ge核心與分布設(shè)備互連2*10ge分布設(shè)備之間互連2*10ge分布與接入設(shè)備互連2*10ge交換冗余交換區(qū)域的可靠性通過(guò)stp實(shí)現(xiàn)。被stp阻斷的邏輯鏈路在線路或設(shè)備出現(xiàn)故障的情況下可以自動(dòng)釋放，形成新的拓?fù)浣Y(jié)構(gòu)，保證網(wǎng)絡(luò)數(shù)據(jù)的正常傳輸。網(wǎng)關(guān)冗余hsrp（熱備份路由協(xié)議）是為網(wǎng)絡(luò)接入設(shè)備提供三層網(wǎng)關(guān)冗余的技術(shù)。配置的hsrp網(wǎng)關(guān)向接入設(shè)備提供虛擬ip和mac地址，并使用hello檢測(cè)hsrp成員狀態(tài)，確保網(wǎng)關(guān)冗余。分布層設(shè)備在連接普通接入時(shí)采用hsrp；hsrp優(yōu)先級(jí)策略與stp的根網(wǎng)橋主備設(shè)置一致；hsrp設(shè)置preempt ，確保高優(yōu)先級(jí)網(wǎng)關(guān)為激活狀態(tài)路由冗余網(wǎng)絡(luò)物理鏈路的冗余設(shè)計(jì)為路由協(xié)議選擇備份連接提供了基礎(chǔ)。 網(wǎng)絡(luò)使用ospf路由協(xié)議根據(jù)網(wǎng)絡(luò)鏈路的metric計(jì)算最短路徑。當(dāng)設(shè)備或連接因故障中斷時(shí)，ospf會(huì)自動(dòng)重新計(jì)算網(wǎng)絡(luò)路徑，并使用正常的連接保障數(shù)據(jù)通訊?？紤]運(yùn)行維護(hù)的簡(jiǎn)單性，配合stp的root primary定義和hsrp primary定義，在網(wǎng)絡(luò)設(shè)計(jì)上，將通過(guò)metric的調(diào)整，在分布層和核心層將數(shù)據(jù)流引導(dǎo)到冗余網(wǎng)絡(luò)結(jié)構(gòu)的一側(cè)，而當(dāng)設(shè)備或連接因故障中斷時(shí)，ospf會(huì)自動(dòng)重新計(jì)算網(wǎng)絡(luò)路徑，并使用正常的連接保障數(shù)據(jù)通訊。2.5.2.2、設(shè)備冗余考慮到數(shù)據(jù)中心的特點(diǎn)，在xxx公司中心設(shè)計(jì)初期，就對(duì)設(shè)備冗余做了充分的考慮，核心設(shè)備采用可靠性最高的雙機(jī)熱備份模式，關(guān)鍵設(shè)備全部雙機(jī)熱備份，保證單一設(shè)備故障時(shí)，數(shù)據(jù)中心業(yè)務(wù)不受任何影響，徹底解決單點(diǎn)故障問(wèn)題。引擎冗余數(shù)據(jù)中心的核心的交換機(jī)和路由器都使用兩塊冗余引擎，在兩塊冗余引擎上使用sso的切換方式。sso切換方式只需要3秒左右就可以完成切換，并且不用重新初始化板卡 。網(wǎng)絡(luò)連接rprrpr+ssosso+nfs備份引擎自動(dòng)切換是是是是同步startup-config是是是是同步running-config否是是是同步rib&fib否否是是同步二層鏈路狀態(tài)否否是是同步路由協(xié)議session否否否是切換時(shí)間長(zhǎng)較短短短復(fù)雜程度低較低中高電源冗余信息中心的網(wǎng)絡(luò)設(shè)備都需要支持兩種電源冗余工作模式，建議使用redundant模式（默認(rèn)設(shè)置）。combined模式一般用于電源更換或升級(jí)等特殊情況。模塊和端口冗余模塊和端口冗余的通用原則- 同一機(jī)箱優(yōu)先使用高編號(hào)槽位；- 同一模塊優(yōu)先使用高編號(hào)端口；- 上連鏈路優(yōu)先使用高編號(hào)端口、下連鏈路優(yōu)先使用低編號(hào)端口，互連鏈路盡量使用引擎上自帶的端口；- 確保channel中的兩個(gè)端口端口使用不同模塊，由于核心交換機(jī)只配置了一塊10ge端口模塊，20ge channel只能使用同一模塊的端口。2.5.2.3、端口的可靠性端口是網(wǎng)絡(luò)設(shè)備互連的通道，思科提供多種端口功能協(xié)議。為了保障網(wǎng)絡(luò)設(shè)備連接的可靠性，路由交換機(jī)端口應(yīng)根據(jù)數(shù)據(jù)中心的通訊模式設(shè)計(jì)。協(xié)議路由端口（非trunk）trunk交換端口vlan交換端口auto-negotiation禁止禁止，手工設(shè)置禁止dtp禁止啟用禁止pagp啟用啟用禁止udld啟用啟用禁止vlan無(wú)trunk模式，自動(dòng)協(xié)商接入模式cdp啟用啟用禁止2.7、xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化服務(wù)（此處為相應(yīng)設(shè)備的亮點(diǎn)技術(shù)，根據(jù)具體項(xiàng)目不同編寫）2.7.1、cisco nexus7000虛擬多機(jī)技術(shù)cisco nexus 7000系列交換機(jī)虛擬多機(jī)技術(shù)是一種網(wǎng)絡(luò)系統(tǒng)虛擬化技術(shù)，將一臺(tái)cisco nexus 7000系列交換機(jī)物理的劃分為多個(gè)實(shí)體主機(jī)，通過(guò)對(duì)硬件資源，如控制引擎，交換背板的物理劃分，實(shí)現(xiàn)將一臺(tái)nexus 7000系列交換機(jī)劃分為多個(gè)虛擬實(shí)體，以實(shí)現(xiàn)不同業(yè)務(wù)在核心層的隔離，并且，當(dāng)cisco nexus 7000在滿足數(shù)據(jù)中心本身的交換需求后，仍有大量資源空閑時(shí)，可以將空閑資源劃分出來(lái)另作他用，有效的提高cisco nexus 7000做為網(wǎng)絡(luò)核心的利用率，從而從側(cè)面提升cisco nexus 7000的性能價(jià)格比。2.7.1、cisco 6509交換機(jī)vss技術(shù)cisco6500系列交換機(jī)虛擬交換系統(tǒng)（vss）1440是一種網(wǎng)絡(luò)系統(tǒng)虛擬化技術(shù)，將兩臺(tái)采用了virtual switching supervisor 720-10g vss的cisco catalyst 6500系列交換機(jī)組合為單一虛擬交換機(jī)。在vss中，這兩個(gè)交換機(jī)中的管理引擎的數(shù)據(jù)面板和交換陣列能同時(shí)激活，因此總系統(tǒng)交換能力可達(dá)1440gbps。vss成員通過(guò)虛擬交換機(jī)鏈路（vsl）連接。vsl在虛擬交換機(jī)成員之間使用標(biāo)準(zhǔn)萬(wàn)兆以太網(wǎng)連接（多達(dá)8條，以提供冗余性）。通過(guò)在virtual switching supervisor 720-10g或ws-x6708-10g模塊的任意端口上使用萬(wàn)兆以太網(wǎng)上行鏈路，即能形成vsl。除在vss成員間進(jìn)行控制面板通信外，vsl也能傳輸普通用戶流量。vss支持所有采用集中或分布式（利用dfc3c或dfc3cxl）轉(zhuǎn)發(fā)模式的cisco catalyst 6500系列交換機(jī)。與傳統(tǒng)的l2/l3網(wǎng)絡(luò)設(shè)計(jì)相比，vss 1440提供了多項(xiàng)顯著優(yōu)勢(shì)。大體說(shuō)來(lái)，其優(yōu)勢(shì)可歸納為以下三個(gè)主要方面： l vss能夠提高運(yùn)營(yíng)效率 單管理點(diǎn)，包括配置文件和單一網(wǎng)關(guān)ip地址（無(wú)需hsrp/ vrrp/glbp） 多機(jī)箱etherchannel （mec）創(chuàng)建了簡(jiǎn)單的無(wú)環(huán)路拓?fù)浣Y(jié)構(gòu)，不再依靠生成樹(shù)協(xié)議（stp） 底層物理交換機(jī)經(jīng)由標(biāo)準(zhǔn)萬(wàn)兆以太網(wǎng)接口相連，在位置方面提供了靈活的部署選項(xiàng) l vss能夠優(yōu)化不間斷通信 機(jī)箱間狀態(tài)化故障切換不會(huì)干擾需要使用網(wǎng)絡(luò)狀態(tài)信息的應(yīng)用。憑借vss，在一個(gè)虛擬交換機(jī)成員發(fā)生故障時(shí)，不再需要進(jìn)行l(wèi)2/l3重收斂，能在一秒內(nèi)實(shí)現(xiàn)確定性虛擬交換機(jī)的恢復(fù)。 與基于生成樹(shù)協(xié)議的收斂不同，使用etherchannel（802.3ad或pagp）能在一秒內(nèi)完成確定性l2鏈路恢復(fù)。 l vss能夠?qū)⑾到y(tǒng)帶寬容量擴(kuò)展到1.4 tbps 在冗余cisco catalyst 6500系列交換機(jī)上激活所有可用的l2帶寬，在etherchannel基礎(chǔ)上進(jìn)行精確的負(fù)載均衡。 為冗余數(shù)據(jù)中心交換機(jī)上的服務(wù)器網(wǎng)絡(luò)接口卡（nic）提供基于標(biāo)準(zhǔn)的鏈路匯聚，實(shí)現(xiàn)最高服務(wù)器帶寬吞吐率。 消除了因非對(duì)稱路由引起的單播洪泛，減少了園區(qū)內(nèi)流量的跳數(shù)，從而節(jié)省了帶寬。 2.7.2、fwsm虛擬化技術(shù)及應(yīng)用與思科6500交換機(jī)7600路由器結(jié)合，具有靈活的端口擴(kuò)展能力。7600路由器配置防火墻模塊后可以將7600路由器變成一臺(tái)廣域網(wǎng)防火墻。路由器上的所有端口均可以配置不同的安全級(jí)別。強(qiáng)大的防火墻性能，在單臺(tái)65系列交換機(jī)7600路由器上可以插4塊fwsm，每塊fwsm的吞吐量為5.5gbps,四塊合計(jì)22 gbps。每個(gè)防火墻模塊可支持256個(gè)虛擬防火墻，為數(shù)據(jù)中心提供了強(qiáng)大的靈活性。虛擬防火墻的資源可定制，每個(gè)虛擬防火墻占用的cpu、memory以及其最大連接數(shù)等資源可以根據(jù)需要來(lái)定制，極大的增加了虛擬防火墻的安全性和可用性。支持高達(dá)256個(gè)802.1q的 vlan，使大大增加了防火墻的使用靈活性。工作模式多樣化，支持透明、路由、nat、透明路由的混合模式的工作模式。支持多臺(tái)防火墻主機(jī)的集群，支持active/active模式以及standby模式。支持豐富的qos特性2.8、xxx公司中心網(wǎng)絡(luò)ip地址設(shè)計(jì)（ip地址規(guī)劃，根據(jù)具體項(xiàng)目，具體設(shè)計(jì)，一般初期僅做初步描述）蘇寧電器idc中心網(wǎng)絡(luò)ip地址的設(shè)計(jì)，將根據(jù)現(xiàn)有的業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一的規(guī)劃與設(shè)計(jì)，在實(shí)際允許的情況下兼容原有ip地址，為日后割接提供準(zhǔn)備的基礎(chǔ)。2.9、xxx公司中心網(wǎng)絡(luò)路由協(xié)議設(shè)計(jì)（路由設(shè)計(jì)，根據(jù)具體項(xiàng)目具體設(shè)計(jì)，一般初期僅做初步描述）蘇寧電器idc中心網(wǎng)絡(luò)路由協(xié)議建議使用ospf協(xié)議與bgp協(xié)議，ospf協(xié)議做為其應(yīng)用主協(xié)議，bgp協(xié)議則運(yùn)行在備份鏈路上，當(dāng)主協(xié)議ospf故障時(shí)，則由bgp協(xié)議替代，以保證其網(wǎng)絡(luò)的連通性，減少協(xié)議倒換的時(shí)間。2.10、xxx公司中心網(wǎng)絡(luò)安全設(shè)計(jì)（此處為相應(yīng)安全的設(shè)備及技術(shù)，根據(jù)具體項(xiàng)目不同編寫）2.10.1、cisco6500及cisco7600防火墻模塊cisco6500交換機(jī)和cisco 7600系列路由器的防火墻服務(wù)模塊（fwsm）是一種高速的、集成化的服務(wù)模塊，可以提供業(yè)界最快的防火墻數(shù)據(jù)傳輸速率：5gb的吞吐量，100000cps，以及一百萬(wàn)個(gè)并發(fā)連接。在一個(gè)設(shè)備中最多可以安裝四個(gè)fwsm，因而每個(gè)設(shè)備最高可以提供20gb的吞吐量。作為世界領(lǐng)先的cisco pix防火墻系列的一部分，fwsm可以為大型企業(yè)和服務(wù)供應(yīng)商提供無(wú)以倫比的安全性、可靠性和性能。 fwsm采用了cisco pix技術(shù)，并且運(yùn)行cisco pix操作系統(tǒng)（os）-一個(gè)實(shí)時(shí)的、牢固的嵌入式系統(tǒng)，可以消除安全漏洞，防止各種可能導(dǎo)致性能降低的損耗。這個(gè)系統(tǒng)的核心是一種基于自適應(yīng)安全算法（asa）的保護(hù)機(jī)制，它可以提供面向連接的全狀態(tài)防火墻功能。利用asa，fwsm可以根據(jù)源地址和目的地地址，隨機(jī)的tcp序列號(hào)，端口號(hào)，以及其他tcp標(biāo)志，為一個(gè)會(huì)話流創(chuàng)建一個(gè)連接表?xiàng)l目。fwsm可以通過(guò)對(duì)這些連接表?xiàng)l目實(shí)施安全策略，控制所有輸入和輸出的流量。 l fwsm的主要優(yōu)點(diǎn)防火墻的傳統(tǒng)角色已經(jīng)發(fā)生了變化。今天的防火墻不僅可以保護(hù)企業(yè)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的外部接入的攻擊，還可以防止未經(jīng)授權(quán)的用戶接入企業(yè)網(wǎng)絡(luò)的子網(wǎng)、工作組和lan。fbi的統(tǒng)計(jì)數(shù)據(jù)顯示，70%的安全問(wèn)題都來(lái)自于企業(yè)內(nèi)部。在fbi開(kāi)展的調(diào)查中，五分之一的受訪者表示，在過(guò)去12個(gè)月中，有入侵者闖入或者試圖闖入他們的企業(yè)網(wǎng)絡(luò)。大部分專家都認(rèn)為，大多數(shù)網(wǎng)絡(luò)入侵活動(dòng)都沒(méi)有被檢測(cè)出來(lái)。l 集成模塊 fwsm安裝在cisco catalyst 6500系列交換機(jī)或者cisco 7600互聯(lián)網(wǎng)路由器的內(nèi)部，讓這些設(shè)備的任何端口都可以充當(dāng)防火墻端口，并且在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中集成了狀態(tài)防火墻安全。對(duì)于那些機(jī)架空間非常有限的系統(tǒng)來(lái)說(shuō)，這種功能非常重要。cisco catalyst 6500 真正成為了那些需要各種智能化服務(wù)（例如防火墻接入、入侵檢測(cè)、虛擬專用網(wǎng)（vpn）和多層lan、wan和man交換功能的客戶的首選ip服務(wù)交換機(jī)。l 適應(yīng)未來(lái)需要fwsm可以支持5gb的吞吐量，因而可以提供無(wú)以倫比的性能，讓用戶無(wú)須對(duì)系統(tǒng)進(jìn)行徹底的升級(jí)，就可以滿足未來(lái)的要求。在catalyst 6500中最多可以添加三個(gè)fwsm，以滿足用戶不斷發(fā)展的需求。l 可靠性fwsm建立在cisco pix技術(shù)的基礎(chǔ)之上，并使用了同一個(gè)經(jīng)過(guò)時(shí)間檢驗(yàn)的cisco pix操作系統(tǒng)-一個(gè)安全的、實(shí)時(shí)的操作系統(tǒng)。fwsm可以利用行之有效的cisco pix技術(shù)檢測(cè)分組，從而可以在同一個(gè)平臺(tái)上提供性能和安全的獨(dú)特組合。 l 低廉的整體運(yùn)營(yíng)成本fwsm可以提供所有防火墻中最佳的性能價(jià)格比。cisco catalyst機(jī)型的smartnet 合同中包含了維護(hù)成本。由于fwsm是基于cisco pix防火墻的，所以培訓(xùn)和管理成本都很低，而且由于它是集成在設(shè)備內(nèi)部的，所以大大減少了需要管理的設(shè)備的數(shù)量。l 易用性cisco pix 設(shè)備管理器的直觀的圖形化用戶界面（gui）可以用于管理和配置fwsm。在配置和監(jiān)控方面，fwsm可以獲得思科管理框架和cisco avvid（集成化語(yǔ)音、視頻和數(shù)據(jù)體系結(jié)構(gòu)）合作伙伴的支持。2.11、xxx公司中心網(wǎng)絡(luò)qos設(shè)計(jì)（qos設(shè)計(jì)，根據(jù)實(shí)際情況設(shè)計(jì)，一般初期僅做初步描述）ip qos ( quality of service ) 是指ip網(wǎng)絡(luò)的一種能力，即在跨越多種底層網(wǎng)絡(luò)技術(shù)（fr、atm、ethernet、sdh等）的ip網(wǎng)絡(luò)上，為特定的業(yè)務(wù)提供其所需要的服務(wù)。衡量ip qos的技術(shù)指標(biāo)包括：1）帶寬/吞吐量 指網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)之間特定應(yīng)用業(yè)務(wù)流的平均速率；2）時(shí)延 指數(shù)據(jù)包在網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)之間傳送的平均往返時(shí)間；3）抖動(dòng) 指時(shí)延的變化；4）丟包率 指在網(wǎng)絡(luò)傳輸過(guò)程中丟失報(bào)文的百分比，用來(lái)衡量網(wǎng)絡(luò)正確轉(zhuǎn)發(fā)用戶數(shù)據(jù)的能力；5）可用性 指網(wǎng)絡(luò)可以為用戶提供服務(wù)的時(shí)間的百分比。本質(zhì)上，要保證服務(wù)質(zhì)量的最基本和最佳的手段是網(wǎng)絡(luò)容量的擴(kuò)容，通過(guò)增加鏈路帶寬來(lái)保證網(wǎng)絡(luò)輕載，出于網(wǎng)絡(luò)的實(shí)際情況考慮，在有限的帶寬前提下，在鏈路擁塞時(shí)，需要保證不同等級(jí)業(yè)務(wù)的服務(wù)質(zhì)量，因此，需要在設(shè)備上支持對(duì)不同qos等級(jí)的報(bào)文優(yōu)先轉(zhuǎn)發(fā)的隊(duì)列調(diào)度機(jī)制。目前，qos實(shí)現(xiàn)機(jī)制主要有兩個(gè)：綜合型業(yè)務(wù)（intserv）模型和區(qū)分型業(yè)務(wù)（diffserv）模型。集成服務(wù)模型通過(guò)rsvp協(xié)議針對(duì)每個(gè)業(yè)務(wù)流進(jìn)行資源預(yù)留，提供端到端服務(wù)保證。這種服務(wù)模型在應(yīng)用使用之前，首先需要進(jìn)行資源的預(yù)留，針對(duì)每個(gè)流都要維護(hù)rsvp的軟狀態(tài)。這種服務(wù)模型的的優(yōu)點(diǎn)在于能夠提供細(xì)粒度的、嚴(yán)格的qos服務(wù)，但是擴(kuò)展性比較差，路由器難以維護(hù)大量的軟狀態(tài)和控制流。由于集成服務(wù)模型的缺點(diǎn)，現(xiàn)在集成服務(wù)模型已經(jīng)很少使用，取而代之的是下面重點(diǎn)介紹的差分服務(wù)模型。差分服務(wù)類型對(duì)不同的流進(jìn)行分類，對(duì)每個(gè)類提供不同的qos服務(wù)。通過(guò)分類，維護(hù)軟狀態(tài)以及控制流的開(kāi)銷大幅度縮小，可擴(kuò)展性比較高。它的缺點(diǎn)在于提供的服務(wù)是粗粒度的、不嚴(yán)格的qos服務(wù)。綜合考慮現(xiàn)有qos技術(shù)，我們推薦蘇寧電器idc中心qos改造采用以diffserv為主的qos技術(shù)，采用dscp和ip precedence相兼容的標(biāo)記方式。業(yè)務(wù)接入控制點(diǎn)設(shè)備實(shí)現(xiàn)業(yè)務(wù)的分類、標(biāo)記和帶寬控制，城域網(wǎng)骨干路由器根據(jù)dscp等級(jí)標(biāo)記按優(yōu)先順序進(jìn)行ip包的轉(zhuǎn)發(fā)。2.12、xxx公司數(shù)據(jù)中心網(wǎng)絡(luò)管理設(shè)計(jì)（根據(jù)項(xiàng)目使用網(wǎng)管工具編寫）思科安全監(jiān)控、分析和響應(yīng)系統(tǒng)（思科安全mars）是一款基于設(shè)備的全功能解決方案，可提供針對(duì)您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全mars是思科安全管理生命周期的一個(gè)關(guān)鍵組件，可幫助您的安全和網(wǎng)絡(luò)機(jī)構(gòu)識(shí)別、管理和抵御安全威脅。它可充分利用您現(xiàn)有的網(wǎng)絡(luò)和安全投資，來(lái)識(shí)別、隔離被攻擊的組件和建議對(duì)其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個(gè)不可缺少的部件。安全和網(wǎng)絡(luò)管理員所面臨的問(wèn)題有：l 安全和網(wǎng)絡(luò)信息過(guò)載l 性能不佳的攻擊和故障識(shí)別、優(yōu)先級(jí)劃分和響應(yīng)l 更高攻擊先進(jìn)程度、速度和修復(fù)成本l 滿足法規(guī)符合性和審查要求l 較少的安全人員和預(yù)算思科安全mars可通過(guò)以下功能滿足其需要：l 集成網(wǎng)絡(luò)智能，進(jìn)行網(wǎng)絡(luò)異常事件和安全事件的先進(jìn)關(guān)聯(lián)l 察看校正后的事件并自動(dòng)執(zhí)行調(diào)查l 通過(guò)全面充分利用網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施來(lái)防御攻擊l 監(jiān)控系統(tǒng)、網(wǎng)絡(luò)和安全運(yùn)行來(lái)幫助企業(yè)達(dá)到法規(guī)符合性l 以最低tco提供一個(gè)易于部署和使用的、可擴(kuò)展的設(shè)備思科安全mars可將原始網(wǎng)絡(luò)和安全數(shù)據(jù)轉(zhuǎn)化為可操作的智能特性，以提交正確有效的安全事件并保持法規(guī)符合性。這一易于使用的威脅防御設(shè)備系列可利用已部署在您的基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)和安全設(shè)備，使操作員可集中、檢測(cè)、防御和報(bào)告重要威脅。l 深度防御問(wèn)題信息安全已從互聯(lián)網(wǎng)、周邊防護(hù)發(fā)展為深度防御模式，在基礎(chǔ)設(shè)施中部署了多項(xiàng)措施來(lái)抵御安全漏洞和攻擊。鑒于攻擊頻率日益增加、攻擊復(fù)雜度各不相同，以及攻擊非常迅速，網(wǎng)絡(luò)內(nèi)部和周邊間的界線逐漸模糊，因此這些措施是非常必要的。為試圖利用漏洞發(fā)動(dòng)攻擊，每天攻擊者都會(huì)對(duì)網(wǎng)絡(luò)接入點(diǎn)和系統(tǒng)進(jìn)行數(shù)千次探測(cè)。先進(jìn)的混合攻擊使用多種欺騙式攻擊方法，以便從機(jī)構(gòu)內(nèi)外獲得未授權(quán)系統(tǒng)訪問(wèn)和控制。蠕蟲(chóng)、零日攻擊、病毒、特洛伊木馬、間諜軟件和攻擊工具的普及可對(duì)最為堅(jiān)固的基礎(chǔ)設(shè)施構(gòu)成挑戰(zhàn)導(dǎo)致防御作用時(shí)間縮短、出現(xiàn)停運(yùn)和昂貴的修復(fù)措施。除服務(wù)器和網(wǎng)絡(luò)設(shè)備數(shù)量較多外，每個(gè)安全組件都提供獨(dú)立的事件記錄和報(bào)警功能，以用于異常流量檢測(cè)、威脅響應(yīng)和分析。不幸的是，這就生成了大量的干擾、報(bào)警、日志文件和誤報(bào)，需操作員辨別或高效利用它們但這樣的前提是有足夠的時(shí)間和資源來(lái)分析和了解這些信息。此外，法規(guī)也要求嚴(yán)格數(shù)據(jù)保密、更高運(yùn)營(yíng)安全性和進(jìn)行持續(xù)審查。l 先進(jìn)的安全信息管理安全信息/事件管理（sim）產(chǎn)品從邏輯上看來(lái)避免了這一問(wèn)題因?yàn)槟鸁o(wú)法對(duì)您不能測(cè)量出的信息加以管理。sim使操作員擁有了集中操作的能力：匯總安全事件和記錄，通過(guò)有限關(guān)聯(lián)和查詢技術(shù)來(lái)分析數(shù)據(jù)，并針對(duì)獨(dú)立事件生成報(bào)警和報(bào)告。思科通過(guò)一個(gè)可擴(kuò)展的企業(yè)威脅防御設(shè)備系列，解決了這些安全問(wèn)題，彌補(bǔ)了管理的不足。思科安全mars提供了一個(gè)易于部署和使用、經(jīng)濟(jì)有效、性能出眾的安全命令和控制解決方案，對(duì)您的網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施投資構(gòu)成補(bǔ)充。思科安全mars是一個(gè)性能出眾的可擴(kuò)展威脅防御設(shè)備系列，通過(guò)結(jié)合網(wǎng)絡(luò)智能、contextcorrelationtm、surevectortm分析和automitigatetm功能，來(lái)使公司能作好準(zhǔn)備，識(shí)別、管理和消除網(wǎng)絡(luò)攻擊并保持法規(guī)符合性，從而增強(qiáng)已部署的網(wǎng)絡(luò)設(shè)備和安全措施。l 思科安全mars的主要特性和優(yōu)勢(shì) 網(wǎng)絡(luò)智能事件匯總和性能處理思科安全mars了解路由器、交換機(jī)和防火墻的拓?fù)浜驮O(shè)備配置，以及網(wǎng)絡(luò)流量配置，實(shí)現(xiàn)了網(wǎng)絡(luò)智能。通過(guò)該系統(tǒng)的集成網(wǎng)絡(luò)發(fā)現(xiàn)功能，可構(gòu)建一個(gè)包括設(shè)備配置和當(dāng)前安全策略的拓?fù)鋱D，使思科安全mars能對(duì)您網(wǎng)絡(luò)中的分組流建模。因?yàn)榇嗽O(shè)備不在內(nèi)部運(yùn)行，極少使用現(xiàn)有軟件代理，所以對(duì)網(wǎng)絡(luò)或系統(tǒng)性能的影響極小。這一設(shè)備集中匯總了來(lái)自各種常用網(wǎng)絡(luò)設(shè)備（如路由器和交換機(jī)）、安全設(shè)備和應(yīng)用（如防火墻、入侵檢測(cè)、漏洞掃描器和防病毒軟件）、主機(jī)（如windows、solaris和linux系統(tǒng)日志）、應(yīng)用（如數(shù)據(jù)庫(kù)、web服務(wù)器和驗(yàn)證服務(wù)器）以及網(wǎng)絡(luò)流量（如cisco netflow）的日志和事件。conte