企業(yè)數(shù)據(jù)中心設(shè)計建議方案

1、企業(yè)數(shù)據(jù)中心設(shè)計建議Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -1-數(shù)據(jù)中心安全設(shè)計模型參考移動用戶低安全等級辦公類用戶高風(fēng)險等級1網(wǎng)上服務(wù)Internet合作伙伴Extranet中安全等級中高安全等級高安全等級中風(fēng)險等級2中風(fēng)險等級3低風(fēng)險等級4業(yè)務(wù)類前端業(yè)務(wù)后端服務(wù)器核心業(yè)務(wù)后臺服務(wù)器非業(yè)務(wù)/辦公類前端非業(yè)務(wù)類后端后臺數(shù)據(jù)庫服務(wù)器Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -2-數(shù)據(jù)中心分區(qū)架構(gòu)示意圖網(wǎng)管區(qū)測試網(wǎng)絡(luò)測試區(qū)業(yè)務(wù)服務(wù)模塊1業(yè)務(wù)服務(wù)器區(qū)辦公接入模塊Internet安全控制Internet辦公內(nèi)網(wǎng)生產(chǎn)服業(yè)務(wù)服務(wù)模塊2業(yè)務(wù)

2、服務(wù)器區(qū)業(yè)務(wù)服務(wù)模塊3業(yè)務(wù)服務(wù)器區(qū)帶內(nèi)管理安全控制安全控制務(wù)器區(qū)安全控制安全控制安全控制安全控制交換核心安全控制外聯(lián)區(qū)/網(wǎng)上業(yè)務(wù)企業(yè)邊界區(qū)Internet/Extranet安全控制帶外管理Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -3-數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)示意圖業(yè)務(wù)模塊1業(yè)務(wù)模塊2辦公服務(wù)器模塊集團(tuán)業(yè)務(wù)模塊開發(fā)測試模塊安全管理管理控制區(qū)系統(tǒng)管理業(yè)務(wù)模塊3防火墻內(nèi)容交換SSL加速器防火墻內(nèi)容交換SSL加速器防火墻內(nèi)容交換SSL加速器防火墻內(nèi)容交換SSL加速器防火墻內(nèi)容交換SSL加速器防火墻內(nèi)容交換SSL加速器服務(wù)器群組接入?yún)^(qū)模擬環(huán)境防火墻內(nèi)容交換SSL加速器管理服務(wù)器

3、核心交換機(jī)的數(shù)量目標(biāo)架構(gòu)為四臺核心,初期考慮到規(guī)模和投入建議兩臺核心DMZ區(qū)服務(wù)區(qū)核心交換DMZ區(qū)服務(wù)區(qū)外聯(lián)區(qū) 外聯(lián)區(qū)Internet Extranet業(yè)務(wù)Internet 外聯(lián)Extranet企業(yè)邊界模塊網(wǎng)絡(luò)管理 /其它管理控制區(qū)Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -4-Internet辦公區(qū)員工接入園區(qū)網(wǎng)絡(luò)模塊數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計交換核心概要設(shè)計服務(wù)器區(qū)域概要設(shè)計邊界區(qū)域設(shè)計數(shù)據(jù)中心員工接入開發(fā)測試區(qū)設(shè)計數(shù)據(jù)中心存儲網(wǎng)絡(luò)運(yùn)維管理Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -5-Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)

4、專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -6-數(shù)據(jù)中心高可用性網(wǎng)絡(luò)架構(gòu)建設(shè)層次化網(wǎng)絡(luò)架構(gòu)設(shè)計分層部署部署要點(diǎn)：根據(jù)應(yīng)用系統(tǒng)架構(gòu)，進(jìn)行網(wǎng)絡(luò)層次和區(qū)域劃分模塊化分層部署，增強(qiáng)系統(tǒng)彈性核心層與匯聚層通過萬兆接口采用3層連接匯聚層與接入層通過萬兆或千兆接口采用2層連接 (接入層采用L2設(shè)計,也可以采用L3)多鏈路負(fù)載均衡設(shè)計，避免出現(xiàn)單點(diǎn)/多點(diǎn)故障數(shù)據(jù)中心核心層設(shè)計說明EnterpriseNetwork10GE核心層雙核架構(gòu)10GE核心層說明:數(shù)據(jù)中心核心層連接各個功能模塊是網(wǎng)絡(luò)的核心樞紐,連接各個模塊的核心樞紐，實現(xiàn)多個模塊之間的高速連接和數(shù)據(jù)的快速轉(zhuǎn)發(fā), 是數(shù)據(jù)中心網(wǎng)絡(luò)最重要的部分;核心交換區(qū)域特性要求：高性

5、能快速轉(zhuǎn)發(fā);高密度10GE連接高可靠性/可用性超載比盡可能小可擴(kuò)展性高3層互連但要考慮兼顧DCE技術(shù)的發(fā)展較高的穩(wěn)定性滿足數(shù)據(jù)中心數(shù)據(jù)和存儲業(yè)務(wù)的發(fā)展NSB 網(wǎng)絡(luò)交換總線Network Switch BusNetworkSwitch BUSCombat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -7-SiSiSi數(shù)據(jù)中心核心層設(shè)計說明部署建議EnterpriseNetwork標(biāo)準(zhǔn)設(shè)計參考: 兩臺高性能設(shè)備為核心交換機(jī),核心設(shè)備、設(shè)備部件、鏈路冗余設(shè)計核心層與分布層之間采用L3連接本次架構(gòu)10GE10GE 核心層支持?jǐn)?shù)據(jù)中心高密度10GE能力,有支持下一代數(shù)據(jù)中心DCE,FCO

6、E等技術(shù)的能力適合中等規(guī)模企業(yè)數(shù)據(jù)中心初期建議采用這種模式匯聚層新一代核心層設(shè)計參考: 四臺高性能設(shè)備為核心,可以部署為雙核心雙總線核心設(shè)備、設(shè)備部件、鏈路冗余設(shè)計EnterpriseNetwork支持?jǐn)?shù)據(jù)中心高密度10GE能力,有支持下一代數(shù)據(jù)中心DCE,FCOE等技術(shù)的能力核心層與分布層之間采用L3連接核心區(qū)內(nèi)部三角連接，和每個匯聚功能區(qū)交換機(jī)分別連接到目標(biāo)架構(gòu)10GE10GE(左右)雙核心適合大中規(guī)模企業(yè)數(shù)據(jù)中心,對可靠性要求較高的數(shù)據(jù)中心將來的目標(biāo)架構(gòu)核心層雙核架構(gòu)Si匯聚層Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -8-根據(jù)需要可以初期采用通用設(shè)計,

7、將來擴(kuò)展時采用目標(biāo)架構(gòu)交換核心的參考設(shè)計本次架構(gòu)設(shè)計參考：交換核心10GE10GE結(jié)構(gòu)設(shè)計：2臺設(shè)備組建核心、選用最快速收斂的路由協(xié)議，2個物理區(qū)域部署，跨板卡連接同一區(qū)域，安全控制在接入層實現(xiàn)設(shè)備選擇：選擇高可靠設(shè)備;引擎、風(fēng)扇1+1冗余、交換矩陣、電源N+1冗余；支持引擎不間斷業(yè)務(wù)切換、支持不丟包傳輸和二層多路徑技術(shù),需要高密度萬兆板卡;建議部署思科數(shù)據(jù)中心交換機(jī)Nexus7000,SiSi功能區(qū)1SiSiNexus7000支持DCE數(shù)據(jù)中心以太網(wǎng)技術(shù),FCOE技術(shù),支持高密端萬兆接口,99.999%高可靠性設(shè)計;擴(kuò)展考慮：具體配置端口數(shù)量可以業(yè)務(wù)需求部署相應(yīng)模塊端口運(yùn)維要求：具備自監(jiān)控能

8、力、配置可自動回退,基于不同人員的角色權(quán)限管理；可方便的擴(kuò)展到目標(biāo)架構(gòu):功能區(qū)1Nexus 7000 系列 數(shù)據(jù)中心級核心交換機(jī)隨著業(yè)務(wù)的擴(kuò)展和對可靠性的增加,可以方便將現(xiàn)在的兩臺核心架構(gòu)擴(kuò)展到四臺為核心的架構(gòu),可靠性將大大增加;隨著數(shù)據(jù)中心技術(shù)發(fā)展：目前的Nexus已經(jīng)支持I/O整合、FCoE、DCE、虛擬化技術(shù),平滑滿足數(shù)據(jù)中心的整合和發(fā)展;即使擴(kuò)展到四臺交換機(jī)核心,對各個匯聚功能區(qū)沒有影響Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)統(tǒng)一交換架構(gòu)技術(shù)Unified fabriclossless無丟包矩陣結(jié)構(gòu),面向DCE FCoE高密度萬兆接口,面向 40GbE/100GbE業(yè)務(wù)零中斷的設(shè)計,

9、99.999%可靠性不間斷的系統(tǒng)操作目前4.1T交換能力 可達(dá)15Tb+ 交換能力互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -9-數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計交換核心設(shè)計服務(wù)器區(qū)域設(shè)計邊界區(qū)域設(shè)計數(shù)據(jù)中心員工接入開發(fā)測試區(qū)設(shè)計數(shù)據(jù)中心存儲網(wǎng)絡(luò)運(yùn)維管理Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -10-業(yè)務(wù)服務(wù)器區(qū)設(shè)計需要考慮的問題業(yè)務(wù)服務(wù)器區(qū)是公司提供服務(wù)的業(yè)務(wù)服務(wù)器區(qū)。 因此需要考慮較高的可用性和更全面的安全防護(hù)措施。按照層次化模塊化的設(shè)計理念，服務(wù)器區(qū)的網(wǎng)絡(luò)可分為匯聚層和接入層兩層，功能定位和設(shè)計思路各不相同。 匯聚層：承上啟下，連接核心層和接入層，為區(qū)域內(nèi)的服務(wù)器提供網(wǎng)絡(luò)服

10、務(wù)，主要的設(shè)計思路包括：交換核心10GE10GE匯聚層服務(wù)模塊 采用服務(wù)模塊的方式，提供防火墻，負(fù)載均衡，及SSL卸載等網(wǎng)絡(luò)服務(wù)GE接入層 訪問業(yè)務(wù)服務(wù)區(qū)需要通過防火墻控制,業(yè)務(wù)區(qū)之間訪問需要通過防火墻策略控制,具體的策略控制更具各個業(yè)務(wù)區(qū)要求而定 接入層：匯接服務(wù)器，上聯(lián)到匯聚層。為了解決可用性和擴(kuò)展性需求和可管理性需求，主要的設(shè)計思服務(wù)器組1服務(wù)器組2路包括： 服務(wù)器的高性能接入,可采用TOR和EOR等組和設(shè)計. 盡可能消除二層環(huán)路，提高可用性 高擴(kuò)展性的服務(wù)器群,采用模塊化交換機(jī)解決服務(wù)器物理布局?jǐn)U展性問題 采用網(wǎng)絡(luò)設(shè)備虛擬化和服務(wù)器虛擬化，提高可擴(kuò)展性互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0

11、-11- 考慮將來存儲和IP網(wǎng)融合和統(tǒng)一I/O技術(shù)Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)服務(wù)器區(qū)連接的服務(wù)器類型推薦建議Web服務(wù)器12:1App服務(wù)器6:1DB服務(wù)器4:1的訪問端到服務(wù)器客戶數(shù)據(jù)中心服務(wù)器區(qū)流量的超載比設(shè)計服務(wù)器區(qū)滿足容量需求的主要方式是進(jìn)行超載比設(shè)計。超載比是指網(wǎng)絡(luò)設(shè)備downlink和uplink的帶寬比例接入層超載比計算考慮的因素服務(wù)器內(nèi)部總線類型服務(wù)器CPU數(shù)量，CPU核數(shù)量，網(wǎng)卡數(shù)量服務(wù)器接口是否雙活服務(wù)器磁盤I/O方式和應(yīng)用類型匯聚層超載比計算考慮的因素系統(tǒng)架構(gòu)板卡類型Uplink /downlink比例典型比例： 4:1 up to 12:1推薦超載比服務(wù)器

12、之間互訪Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -12-業(yè)務(wù)服務(wù)區(qū)網(wǎng)絡(luò)模塊設(shè)計特性要求：高可靠性、高安全性、高擴(kuò)展性、實現(xiàn)業(yè)務(wù)的分類和業(yè)務(wù)的接入和流量控制。設(shè)備部署建議: 匯聚層建議部署:部署思科catalyst 6500 VSS交換機(jī),部署內(nèi)置防火墻模塊和和L4-L7應(yīng)用負(fù)載 接入層部署：根據(jù)服務(wù)器的多少,可以部署Cat4500/Cat4900 (具體設(shè)備和端口根據(jù)需要選擇) 匯聚到核心層采用萬兆連接,匯聚到接入層采用千兆連接,利用VSS做到負(fù)載均衡Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -13-防火墻模塊業(yè)務(wù)服務(wù)器區(qū)網(wǎng)絡(luò)模

13、塊設(shè)計- 模式一每個VLAN的服務(wù)器應(yīng)盡量控制在100臺左右接入設(shè)備WEB服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器其它應(yīng)用服務(wù)器業(yè)務(wù)服務(wù)器WEBWEBWEBWEBAPPAPP10/100/1000或GEWEBWEBWEBWEB接入層GE 光纖/ TX接入交換機(jī)10GEGE接入?yún)^(qū)交換機(jī) 根據(jù)端口和重要性而定,可選4500/4900 或Nexus系列支持DCE/FCoE 千兆或萬兆與分布交換機(jī)連接匯聚層匯聚交換機(jī)防火墻模塊內(nèi)容交換模塊可選交換機(jī):catalyst 6500安全模塊 FWSM模塊:控制對核心數(shù)據(jù)的訪問 可支持255邏輯安全區(qū)域應(yīng)用控制引擎內(nèi)容交換模塊 服務(wù)器負(fù)載均衡 應(yīng)用快速部署高速萬兆模塊連接

14、核心核心層10GE10GEGE萬兆主干10GE10GE核心交換機(jī)10GECombat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -14-業(yè)務(wù)服務(wù)器區(qū)網(wǎng)絡(luò)模塊設(shè)計-模式二考慮到數(shù)據(jù)網(wǎng)絡(luò)和存儲的整合核心層高性能萬兆核心10GE10GE核心數(shù)據(jù)區(qū)交換機(jī) 參考配置 :Nexus7000 萬兆交換模塊:與分布交換機(jī)連接網(wǎng)絡(luò)系統(tǒng)NSB10GE10GE匯聚層1高性能萬兆和千兆模塊2網(wǎng)絡(luò)安全和應(yīng)用服務(wù)區(qū)10GE上聯(lián)vPCL3,L2svcs2svcs1核心數(shù)據(jù)區(qū)交換機(jī) 參考配置: Nexus7000 高密度萬兆和千兆交換模塊安全模塊:參考配置Cat6500/FWSM模塊/部署ASA5580高性

15、能防火墻應(yīng)用控制引擎高速萬兆模塊連接核心和接入層接入?yún)^(qū)交換機(jī)接入層支持高密度GE支持TOR/EOR靈活部署支持?jǐn)?shù)據(jù)中心技術(shù)FCOE的融合服務(wù)器群 在接入層部署參考配置N5K/7K或N5K/N2KSANCombat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)Nexus 7000End-of-RowNexus 5000/2000RackStorage存儲系統(tǒng)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -15-數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計交換核心設(shè)計服務(wù)器區(qū)域設(shè)計邊界區(qū)域設(shè)計數(shù)據(jù)中心員工接入開發(fā)測試區(qū)設(shè)計數(shù)據(jù)中心存儲網(wǎng)絡(luò)運(yùn)維管理Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -16-數(shù)據(jù)邊界網(wǎng)絡(luò)區(qū)設(shè)計說明E

16、ntranet 連接(外聯(lián)業(yè)務(wù)和Internet業(yè)務(wù))的重要區(qū)域,邊界網(wǎng)絡(luò)區(qū)設(shè)計說明:是企業(yè)內(nèi)部對外外聯(lián)網(wǎng)絡(luò)區(qū)域主要包括:務(wù):外聯(lián)業(yè)務(wù):實現(xiàn)同其第三方單位業(yè)務(wù)互通，通過Extranet訪問其它單位和業(yè)務(wù)處理 最終用戶、工程公司等外聯(lián) 兼顧多種外聯(lián)方式: 由于外聯(lián)單位比較多,而且每個外聯(lián)單位的管理要求不完全相同.需要具有靈活性。Internet業(yè)務(wù) 為出差，home office提供業(yè)務(wù)及辦公服務(wù)；門戶網(wǎng)站等。.企業(yè)邊界網(wǎng)絡(luò)區(qū)設(shè)計特性要求： 風(fēng)險較大,安全性要求高, 高安全性,高可靠性 ,可擴(kuò)展性, 可管理性、DNS站點(diǎn)技術(shù) 考略到外聯(lián)系統(tǒng)的特殊性,能整合的盡量整合，提高資源利用率 企業(yè)邊界區(qū)域

17、的安全性，建議在該區(qū)域配置兩重防火墻，入侵防御系統(tǒng), 如果可能還需要部署防DDOS攻擊系統(tǒng)和防病毒網(wǎng)關(guān)以及流量監(jiān)控管理Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -17-數(shù)據(jù)中心邊界網(wǎng)絡(luò)區(qū)設(shè)計說明外聯(lián)區(qū)Extranet 詳細(xì)設(shè)計示意圖交換核心核心交換區(qū)域DMZ10GE10GE外聯(lián)Entranet區(qū)域外聯(lián)服務(wù)器外聯(lián)服務(wù)器匯聚千兆上聯(lián)業(yè)務(wù)Internet交換機(jī)防火墻ASA5500外聯(lián)服務(wù)器交換機(jī)防火墻防火墻虛擬接口/多端口IPS/IDS 交換機(jī)外聯(lián)服務(wù)器安全/防病毒設(shè)備外單位/合作管理設(shè)備自己管理Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)外聯(lián)單位1外聯(lián)單位2外聯(lián)單位N互

18、聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -18-數(shù)據(jù)中心邊界網(wǎng)絡(luò)區(qū)設(shè)計說明外聯(lián)業(yè)務(wù)區(qū)設(shè)備部署建議:部署兩臺接入交換機(jī)cat3750:考略到外聯(lián)系統(tǒng)的特殊性,按照外聯(lián)單位對線路,路由設(shè)備和安全的要求,外聯(lián)單位的隔離需要安全保障,在保持外聯(lián)單位基本要求的情況下,將各個外聯(lián)系統(tǒng)接入到接入交換機(jī)cat3750,考慮到整合交換核心和安全要求,需要在交換機(jī)cat3750分配一個單獨(dú)的VLAN給每個外聯(lián)業(yè)務(wù)系統(tǒng);部署兩臺接入ASA5500防火墻,并配置虛擬端口功能:接入交換機(jī)與ASA5500防火墻配置IDS模塊通過虛擬端口連接,相當(dāng)于每個外聯(lián)系統(tǒng)連接到防火墻一樣,在ASA5500防火墻部署DMZ區(qū),將外聯(lián)服務(wù)器連接

19、到DMZ區(qū),DMZ需要兩臺交換機(jī)cat3750邊界網(wǎng)絡(luò)區(qū)的匯聚交換機(jī)Cat3750/4500: ASA5500防火墻連接到匯聚交換機(jī), Internet業(yè)務(wù)也需要連接到匯聚交換機(jī),匯聚交換機(jī)通過高速連接到數(shù)據(jù)中心核心交換機(jī)外聯(lián)單位對線路,路由設(shè)備和安全的設(shè)備的基本要求跟據(jù)需求部署:建議采用“云火墻”10GEDMZ區(qū)服務(wù)區(qū)外聯(lián)區(qū)Internet業(yè)務(wù)Internet10GEDMZ區(qū)服務(wù)區(qū)外聯(lián)區(qū)Extranet外聯(lián)Extranet外聯(lián)網(wǎng)絡(luò)模塊Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -19-數(shù)據(jù)中心邊界網(wǎng)絡(luò)區(qū)設(shè)計說明Internet業(yè)務(wù):Internet業(yè)務(wù):交換核心

20、10GE10GE為出差，home office提供業(yè)務(wù)及辦公服務(wù)，用戶通過Internet來訪問此區(qū)域,風(fēng)險相對最大,對安全性保障要求高. 業(yè)務(wù)Internet參考建議:DMZ區(qū)服務(wù)區(qū)DMZ區(qū)服務(wù)區(qū)采用多層安全層面建議采用“云火墻”外聯(lián)區(qū)Internet業(yè)務(wù)Internet外聯(lián)區(qū)Extranet外聯(lián)Extranet外聯(lián)網(wǎng)絡(luò)模塊Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -20-數(shù)據(jù)中心邊界網(wǎng)絡(luò)區(qū)設(shè)計說明業(yè)務(wù)Internet設(shè)計 參考架構(gòu)Internet運(yùn)營商外聯(lián)區(qū)差旅用戶帶DDoS防御服務(wù)中國SP1 中國SP2XM Eth XM Eth7606 7606DNS G

21、SSDNS負(fù)載均衡DNS GSSDNS負(fù)載均衡DMZ區(qū)L4-L7 Switch應(yīng)用服務(wù)器LAN Switch服務(wù)器區(qū)交換機(jī)IDSLDAP服務(wù)器DNS服務(wù)器安全代理服務(wù)器Web服務(wù)器部署服務(wù)L4-L7 Switch外網(wǎng)防火墻防火墻異構(gòu)設(shè)計網(wǎng)上業(yè)務(wù)服務(wù)區(qū)數(shù)據(jù)庫服務(wù)器安全審計服務(wù)器漏洞掃描IDS分布層交換機(jī)防火墻高性能三層路由和交換集成防火墻功能（含多個虛擬防火墻功能）集成了負(fù)載均衡功能內(nèi)網(wǎng)區(qū)Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)后臺應(yīng)用系統(tǒng)后臺數(shù)據(jù)系統(tǒng)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -21-數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計交換核心設(shè)計服務(wù)器區(qū)域設(shè)計企業(yè)邊界區(qū)域設(shè)計數(shù)據(jù)中心員工接入開發(fā)測試區(qū)設(shè)計數(shù)據(jù)中心存儲

22、網(wǎng)絡(luò)運(yùn)維管理Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -22-數(shù)據(jù)中心員工接入網(wǎng)絡(luò)模塊設(shè)計說明員工接入網(wǎng)絡(luò)設(shè)計說明:滿足數(shù)據(jù)中心內(nèi)部員工的接入和管理需求,需要嚴(yán)格的安全控制和管理,企業(yè)內(nèi)部員工訪問內(nèi)部系統(tǒng) :目前100+信息嗲點(diǎn)接入需求非本企業(yè)員工不允許通過此區(qū)域接入內(nèi)部系統(tǒng)設(shè)計特性要求：安全性管理較高,員工訪問的識別和分類, 可管理性,高可靠性、可擴(kuò)展性、QoS設(shè)備部署建議:員工接入?yún)^(qū)按照標(biāo)準(zhǔn)局域網(wǎng)接入設(shè)計,可以分為匯聚和接入層,在匯聚層需要考慮安全訪問控制,接入層防范非法PC接入等;參考建議: 匯聚層部署Cat4500交換機(jī),配置兩臺ASA5500做安全控制

23、,控制訪問數(shù)據(jù)中心核心網(wǎng)絡(luò)的安全參考建議:接入層部署cat3750/3560交換機(jī),具體配置根據(jù)端口數(shù)量要求可以靈活選擇為了保障接入安全建議部署接入安全控制,如基于802.1x身份控制系統(tǒng), 中心部署AAA服務(wù)器為了實現(xiàn)應(yīng)急通訊,我們建議部署基于IP的應(yīng)急電話通訊系統(tǒng)Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -23-數(shù)據(jù)中心員工接入網(wǎng)絡(luò)模塊設(shè)計Si園區(qū)網(wǎng)絡(luò)核心大樓局域網(wǎng)核心 ，配有高密度萬兆模塊和冗余設(shè)計APPAPP交換核心10GE10GESi匯聚交換機(jī)Cat4500基礎(chǔ)設(shè)施服務(wù)器:如:DHCP/DNS服務(wù)器,AAA服務(wù)器統(tǒng)一通訊服務(wù)器SiSi分布層部署 模塊化

24、交換機(jī),匯聚接入層交換機(jī),根據(jù)情況會聚層也可以與接入層設(shè)備合用ASA5500安全控制Internet員工Internet 訪問詳細(xì)見員工訪問互聯(lián)網(wǎng)設(shè)計部分普通用戶使用臺式PC、桌面電話，屬于特定的業(yè)務(wù)安全區(qū)，支持移動性,802.1X用戶任證。互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -24-局域網(wǎng)接入層部署接入交換機(jī)關(guān)鍵業(yè)務(wù)用戶使用臺式PC、IP電話，屬于特定的關(guān)鍵業(yè)務(wù)安全區(qū)，專機(jī)專用。Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)接入交換機(jī)Cat3750IP 電話使用IP電話滿足應(yīng)急電話通訊系統(tǒng)和滿足內(nèi)部通訊要求 。數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計交換核心設(shè)計服務(wù)器區(qū)域設(shè)計廣域網(wǎng)區(qū)設(shè)計邊界區(qū)域設(shè)計數(shù)據(jù)中心員工接入開發(fā)

25、測試區(qū)設(shè)計數(shù)據(jù)中心存儲網(wǎng)絡(luò)運(yùn)維管理Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -25-數(shù)據(jù)中心開發(fā)測試網(wǎng)絡(luò)模塊設(shè)計說明開發(fā)測試網(wǎng)絡(luò)模塊設(shè)計說明:滿足數(shù)據(jù)中心內(nèi)部員工的開發(fā)測試的需求,同時還需要預(yù)留對合作伙伴的開發(fā)測試訪問端口 但需要嚴(yán)格的安全控制和管理口, 理,企業(yè)內(nèi)部員工開發(fā)測試訪問接入需求非本企業(yè)員工(合作單位)有條件接入終端系統(tǒng),只能訪問測試區(qū)域,外部人員不能訪問人保內(nèi)部業(yè)務(wù)系統(tǒng),要有嚴(yán)格的監(jiān)督和安全控制以及管理流程網(wǎng)絡(luò)設(shè)計特性要求：安全性管理較高,員工訪問的識別和分類, 可管理性,高可靠性、可擴(kuò)展性、QoS設(shè)備部署建議:滿足開發(fā)測試的要求,在安全允許范圍內(nèi)

26、,外部人員有條件接入,不能訪問人保內(nèi)部業(yè)務(wù)系統(tǒng),要有嚴(yán)格的監(jiān)督和安全控制以及管理流程為了滿足數(shù)據(jù)中心未來發(fā)展,對先進(jìn)技術(shù)的使用和測試部署參考建議: 匯聚層部署Nexus5000/Cat4500交換機(jī),配置兩臺ASA5500做安全控制,控制訪問數(shù)據(jù)中心核心網(wǎng)絡(luò)的安全部署參考建議: 接入層部署Nexus2000/cat3750 交換機(jī),具體配置根據(jù)端口數(shù)量要求可以靈活選擇為了保障接入安全建議部署接入安全控制,嚴(yán)格端口控制和防火墻策略,也可以部署基于802.1x身份控制系統(tǒng)Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -26-數(shù)據(jù)中心開發(fā)測試網(wǎng)絡(luò)模塊設(shè)計園區(qū)網(wǎng)絡(luò)核心大樓局

27、域網(wǎng)核心 ，配有高密度萬兆模塊和冗余設(shè)計交換核心10GE匯聚交換機(jī)Cat4500/N5000Si10GESi分布層部署 模塊化交換機(jī),匯聚接入層交換機(jī),根據(jù)情況會聚層也可以與接入層設(shè)備合用開發(fā)測試服務(wù)器:服務(wù)器接入交換機(jī)APPAPPASA5500局域網(wǎng)接入層部署接入交換機(jī)接入交換機(jī)Cat3750交換機(jī)Nexus2000FW 或ACl隔離外部人員,不能訪問人保內(nèi)部業(yè)務(wù)系統(tǒng),要有嚴(yán)格的監(jiān)督和安全控制以及管理流程外部測試用戶使用筆記本/PC ，屬于特定的接入安全區(qū)，只能訪問測試區(qū)域,不能訪問人保內(nèi)部業(yè)務(wù)系統(tǒng)?；ヂ?lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -27-內(nèi)部開發(fā)測試用戶使用筆記本/PC、IP電話，屬于特

28、定的測試業(yè)務(wù)安全區(qū)，專機(jī)專用。Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計交換核心設(shè)計服務(wù)器區(qū)域設(shè)計廣域網(wǎng)區(qū)設(shè)計企業(yè)邊界區(qū)域設(shè)計數(shù)據(jù)中心員工接入開發(fā)測試區(qū)設(shè)計數(shù)據(jù)中心存儲網(wǎng)絡(luò)運(yùn)維管理Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -28-數(shù)據(jù)中心存儲區(qū)域設(shè)計說明數(shù)據(jù)中心存儲網(wǎng)絡(luò)設(shè)計的目標(biāo)統(tǒng)一規(guī)劃,實現(xiàn)存儲資源共享存儲網(wǎng)絡(luò)由集團(tuán)統(tǒng)一管理、建設(shè)和維護(hù)滿足業(yè)務(wù)的不斷擴(kuò)展的要求特性要求： 資源共享、實現(xiàn)業(yè)務(wù)的連續(xù)性、統(tǒng)一管理、擴(kuò)展性設(shè)計內(nèi)容參考:存儲網(wǎng)絡(luò)設(shè)計通過存儲虛擬化技術(shù)實現(xiàn)資源整合Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0

29、-29-存儲網(wǎng)絡(luò)的發(fā)展利用存儲虛擬化實現(xiàn)存儲網(wǎng)絡(luò)的優(yōu)化Department#1VSANCisco MDS9000 Family基于應(yīng)用/部門的存儲”孤島”ApplicationServersSAN Island forDiskArrays通過SVAN技術(shù)實現(xiàn)通用的存儲空間的共享SAN Island forDepartment #2Department #1Department#3VSAN使用存儲虛擬化VSAN 技術(shù) 整合的存儲陣列Department#2VSANSAN Island forDepartment #3獨(dú)立的物理陣列每個存儲孤島的預(yù)留擴(kuò)展端口無法利用數(shù)量眾多的交換設(shè)備需要管理Com

30、bat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)通用的冗余物理基礎(chǔ)架構(gòu)無須過多的預(yù)留擴(kuò)展端口 降低了投資成本 $更少的交換設(shè)備需要管理無中斷的分配預(yù)留的端口互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -30-VSANVSAN數(shù)據(jù)中心存儲架構(gòu)設(shè)計規(guī)劃-遠(yuǎn)期規(guī)劃存儲區(qū)AIP存儲區(qū)同城數(shù)據(jù)中心跨中心連接存儲區(qū)B業(yè)務(wù)平臺1 業(yè)務(wù)平臺2 業(yè)務(wù)平臺N擴(kuò)展 擴(kuò)展VSAN1 VSAN2HBA HBA HBA HBA HBA HBA HBA HBASDH To異地災(zāi)備應(yīng)用服務(wù)器群1616 161616 161616DWDM1616 161616 16161616NAS/FCIP/iSCSI陣列A陳列B管理區(qū)帶庫光盤庫集中存儲池最高級高

31、級一般中級應(yīng)用平臺區(qū)： 采用雙陣列、每個陣列雙核心結(jié)構(gòu)，保障高可用性邊緣設(shè)備與核心設(shè)備可采用多條鏈路捆綁連接，實現(xiàn)低超載比集中存儲池按服務(wù)等級分類存儲交換機(jī)圖例利用虛擬SAN實現(xiàn)網(wǎng)絡(luò)分區(qū)，提高可用性IP存儲區(qū)：單獨(dú)分區(qū) , 初期可以考慮與存儲陣列整合。IP存儲區(qū)可部署壓縮加速設(shè)備，利用FCIP技術(shù)實現(xiàn)異地災(zāi)備。管理區(qū)：對存儲網(wǎng)絡(luò)及存儲資源進(jìn)行管理、調(diào)配同城災(zāi)備：通過DWDM連接同城數(shù)據(jù)中心或災(zāi)備中心初期可以部署陣列A,將來擴(kuò)展時再部署陣列BCombat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)以太網(wǎng)交換機(jī)壓縮加速設(shè)備存儲設(shè)備互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -31-數(shù)據(jù)中心存儲架構(gòu)設(shè)計 現(xiàn)階段利用SAN存儲

32、網(wǎng)絡(luò)實現(xiàn)資源信息共享，提高可用性業(yè)務(wù)平臺1 業(yè)務(wù)平臺2 業(yè)務(wù)平臺3 業(yè)務(wù)平臺N應(yīng)用服務(wù)器群存儲區(qū)HBAHBA HBAHBA HBA HBA跨中心連接同城數(shù)據(jù)中心DWDM陣列IP存儲區(qū)NAS/FCIP/iSCSISDH To異地災(zāi)備IP存儲區(qū)也可以在存儲矩陣的交換機(jī)中插FCIP模塊管理區(qū)帶庫光盤庫最高級高級一般中級存儲池集中存儲池Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -32-通過SAN架構(gòu),利用虛擬SAN技術(shù)進(jìn)行整合,實現(xiàn)存儲網(wǎng)絡(luò)分區(qū)，提高可用性把多個SAN 孤島集中到一個單一的交換架構(gòu)中降低了設(shè)備的投資及管理的復(fù)雜度統(tǒng)一的存儲管理可集中進(jìn)行災(zāi)難恢復(fù)計劃:通過

33、FCip技術(shù)實現(xiàn)異地容災(zāi)的部署, IP存儲區(qū)也可以在存儲矩陣的交換機(jī)中插FCIP模塊, 節(jié)約成本對于不考慮虛擬存儲技術(shù)的系統(tǒng),則需要考慮多臺物理交換機(jī)對于特殊要求存儲業(yè)務(wù)（如上市公司特殊要求）,可以獨(dú)立部署SAN網(wǎng)絡(luò)系統(tǒng)(注:具體設(shè)備部署需要根據(jù)存儲和服務(wù)器需要以及FC端口而定)圖例存儲交換機(jī)以太網(wǎng)交換機(jī)壓縮加速設(shè)備存儲設(shè)備數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計 數(shù)據(jù)中心網(wǎng)絡(luò)詳細(xì)設(shè)計交換核心設(shè)計服務(wù)器區(qū)域設(shè)計廣域網(wǎng)區(qū)設(shè)計企業(yè)邊界區(qū)域設(shè)計數(shù)據(jù)中心員工接入開發(fā)測試區(qū)設(shè)計數(shù)據(jù)中心容災(zāi)和存儲網(wǎng)絡(luò)運(yùn)維管理Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -33-數(shù)據(jù)中心網(wǎng)絡(luò)管理-功能設(shè)計參考IT服務(wù)流程管理安全運(yùn)維管理系統(tǒng)管理/機(jī)房管理網(wǎng)絡(luò)和故障信息管理Combat-Lab 企業(yè)級網(wǎng)絡(luò)項目實戰(zhàn)互聯(lián)網(wǎng)專家網(wǎng)絡(luò)項目實戰(zhàn) v1.0 -34-拓?fù)涔芾砗唾Y產(chǎn)管理流量管理故障