DCB1全局網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)方案v12

1、n4網(wǎng)絡(luò)設(shè)計(jì)文檔文檔信息項(xiàng)目名稱(chēng)：n4數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目文檔編號(hào)：dcb-nw-dc-011文件名稱(chēng)：n4網(wǎng)絡(luò)設(shè)計(jì)文檔簽發(fā)予：dcb it文檔狀態(tài)：正式文檔版本：vo. 2版本日期：2013/12/4撰寫(xiě)者：付遠(yuǎn)根撰寫(xiě)日期:2013/10/16審核者：陳勇審核日期:2013/10/20簽字日期：批準(zhǔn)：簽字日期： da chan bay terminals大鏟灣碼頭（一期）文檔編號(hào)：dcb-nw-dc-ool修改版本記錄本號(hào)日期修改人描述v0. 12013/10/16付遠(yuǎn)根提交文檔v0. 22013/12/4陳勇核對(duì)與更換相關(guān)內(nèi)容da chan bay terminals大鏟灣碼頭（一期）文檔編號(hào)

2、：dcb-nw-dc-ool目錄第一章：建設(shè)目標(biāo)41網(wǎng)絡(luò)建設(shè)冃標(biāo)4第二章：網(wǎng)絡(luò)冗余設(shè)計(jì)52網(wǎng)絡(luò)冗余設(shè)計(jì)概述52.2總體網(wǎng)絡(luò)拓?fù)?2.3總體網(wǎng)絡(luò)設(shè)計(jì)說(shuō)明72.4網(wǎng)絡(luò)冗余82.4.1 防火墻冗余. 82.4.2 交換機(jī)冗余.92.4.3 負(fù)載均衡設(shè)備冗余.11da chan bay terminals 大鏟灣碼頭（一期）文檔編號(hào)：dcb-nw-dc-ool第一章：建設(shè)目標(biāo)1.1網(wǎng)絡(luò)建設(shè)目標(biāo)深圳大鏟灣現(xiàn)代港口發(fā)展有限公司n4數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)，根據(jù)n4的要求全方位 考慮網(wǎng)絡(luò)的實(shí)用性、可靠性、安全保密性、可擴(kuò)充性、可維護(hù)性，在網(wǎng)絡(luò)系統(tǒng)的各個(gè) 層面和各階段制定了完善的標(biāo)準(zhǔn)、實(shí)施計(jì)劃、質(zhì)量保證、選型方法建議

3、、診斷流程、 實(shí)施建議和程序控制文檔。 da chan bay terminals大鏟灣碼頭（一期）文檔編號(hào)：dcb-nw-dc-ool第二章:網(wǎng)絡(luò)冗余設(shè)計(jì)2.1網(wǎng)絡(luò)冗余設(shè)計(jì)概述數(shù)據(jù)中心網(wǎng)絡(luò)是承載大鏟灣港口數(shù)據(jù)和運(yùn)用服務(wù)器的基本保證，在設(shè)計(jì)上我們遵 循高可靠性的原則，同時(shí)考慮到高可用性，可擴(kuò)充性，遷移性的標(biāo)準(zhǔn)。相關(guān)的網(wǎng)絡(luò)冗 余設(shè)計(jì)可分為以下4個(gè)部分:：防火墻冗余交換機(jī)冗余防火墻冗余操作交換機(jī)冗余操作負(fù)載均衡冗余操作下面我們將對(duì)上述各子系統(tǒng)進(jìn)行詳細(xì)的說(shuō)明。文檔編號(hào)：dcb-nw-dc-oolda chan bay terminals 大鏟灣碼頭（一期）2.2總體網(wǎng)絡(luò)拓?fù)湓诖箸P灣園區(qū)總體的網(wǎng)絡(luò)設(shè)計(jì)

4、屮，我們采用了三層架構(gòu)，核心網(wǎng)絡(luò)層選用兩臺(tái) juniper srx1400防火墻，分別部署在控制大樓了工程大樓，中間使用1ogb的光釬線 作為傳輸層面和控制層面心跳線，作為整個(gè)n4數(shù)據(jù)中心提供高效的路由轉(zhuǎn)發(fā)和安全的 防火墻控制；核心交換層選用兩臺(tái)思科nexus5548數(shù)據(jù)級(jí)交換機(jī)，也分別部署在控制 大樓和工程部大樓，中間通過(guò)兩條1ogb單模光纖進(jìn)行捆綁連接，上行通過(guò)1ogb的倆 倆使用兩根1ogb光釬鏈路與核心防火墻連接，為n4數(shù)據(jù)屮心服務(wù)器提供優(yōu)質(zhì)的網(wǎng)關(guān) 服務(wù)；接入層四臺(tái)cisco nexus 2232pp全32端口的10gb光口，在控制人樓和工程大 樓分別部署兩臺(tái)，一臺(tái)使用兩條10gb線路

5、連接木地核心交換機(jī)，另一臺(tái)也是用兩條 10gb線路連接另外機(jī)房核心交換機(jī)nexus 5545 （其中2條組成2x1 gb的etherchannel通道）。文檔編號(hào)：dcb-nw-dc-oolda chan bay terminals 大鏟灣碼頭（一期）在設(shè)計(jì)屮還部署了兩臺(tái)citrix netcaler mpx7500運(yùn)用負(fù)載均衡設(shè)備 旁掛在核心nexus 5548 ±面，用于對(duì)用戶端訪問(wèn)n4運(yùn)用的吋候提供負(fù)載均衡的功效。2.3總體網(wǎng)絡(luò)設(shè)計(jì)說(shuō)明高性能、高可靠的核心網(wǎng)絡(luò)核心交換層層由2臺(tái)cisco nexus 5548數(shù)據(jù)交換機(jī)組成，之間通過(guò)兩條10gb光纖 捆綁連接，接入層使用nexu

6、s 2232作為nexus 5558的遠(yuǎn)程線卡同樣使用兩條10gb光 釬捆綁連接，防火墻使用juniper srx1400與nexus5548倆倆使用兩條10gb光釬（共 4 條 1ogb ）廣播風(fēng)暴的抑止思科nexus系列數(shù)據(jù)交換機(jī)提供的vpc技術(shù)，不僅改善了廣播風(fēng)暴的控制問(wèn)題， 也實(shí)現(xiàn)stp的無(wú)block的兀余問(wèn)題?；诠饫w萬(wàn)兆主干網(wǎng)絡(luò)的無(wú)障礙連接大鏟灣港口的各類(lèi)功能建筑物既相互獨(dú)立又緊密聯(lián)系，每棟建筑及建筑內(nèi)部的信 息交換頻繁而且信息量巨大。在綜合分析比較了現(xiàn)在的主流的主干以太網(wǎng)技術(shù)后，我 們?cè)诤诵慕粨Q區(qū)域采用萬(wàn)兆光纖技術(shù)，在整個(gè)港口園區(qū)采用千兆的單模光纖組網(wǎng)?？煽勘Ｕ霞叭蒎e(cuò)能力為保障港

7、口 7x24小時(shí)不間斷服務(wù)，網(wǎng)絡(luò)和設(shè)備平均無(wú)故障時(shí)間及恢復(fù)時(shí)間，要保 持在一個(gè)可容忍的許可范圍z內(nèi)。在這種前提下，主干設(shè)備應(yīng)有一定的冗余度，同時(shí) 要求物理線路，數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層也有容錯(cuò)能力。因此，所有設(shè)備都采用雙核心的 的架構(gòu)，對(duì)等設(shè)備都分布在不同的機(jī)房，保證任何的單點(diǎn)故障不會(huì)影響用戶的使用。 網(wǎng)絡(luò)架構(gòu)通過(guò)物理上或者是邏輯上的手段將網(wǎng)絡(luò)系統(tǒng)層次化，能夠清楚的辨析到一個(gè)復(fù)朵 的網(wǎng)絡(luò)系統(tǒng)是如何由多個(gè)不同的子網(wǎng)互聯(lián)起來(lái)的，并且這種設(shè)計(jì)還能使網(wǎng)絡(luò)更易于擴(kuò) 展和易于管理。文檔編號(hào)：dcb-nw-dc-oolda chan bay terminals 大鏟灣碼頭（一期）n4數(shù)據(jù)屮心網(wǎng)絡(luò)設(shè)計(jì)采用三層結(jié)構(gòu)，

8、核心網(wǎng)絡(luò)層負(fù)責(zé)三層ospf路由、核心交換 層負(fù)責(zé)服務(wù)器的網(wǎng)關(guān)、接入層主要負(fù)責(zé)服務(wù)器的接了和物理冗余。2.4網(wǎng)絡(luò)冗余為保證大鏟灣網(wǎng)絡(luò)99.99%的高可靠性，我們?cè)谠O(shè)備選型和技術(shù)設(shè)計(jì)上充分考慮到 了冗余，分別從接入鏈路，核心防火墻網(wǎng)絡(luò)，核心交換網(wǎng)絡(luò)三部分進(jìn)行了詳細(xì)的冗余 設(shè)計(jì)。2.4.1防火墻冗余核心防火墻的冗余設(shè)計(jì)，我們將從核心防火墻和核心交換機(jī)兩方面詳細(xì)闡述。241.1防火墻冗余因此我們采用2臺(tái)juniper 1400-xge防火墻，每臺(tái)設(shè)備分別使用兩條 物理1oge光釬線與核心交換機(jī)nexus 5548的trunk端口相連，并將四條 物理鏈路倆倆綁定成邏輯端口 retho和rethl,并且兩

9、個(gè)邏輯reth端口分 配兩個(gè)子端口。冗余設(shè)置：1：兩條邏輯端口 reth 0和reth 1可以看成是兩條獨(dú)立的連接線，reth 0和reth 1 別分與nexus 5548建立ospf鄰居（同理對(duì)核心6509的ospf建立），實(shí)現(xiàn)雙鏈路負(fù)載， 不管哪個(gè)邏輯端口 reth失效，另一個(gè)邏輯端口來(lái)承接所有的網(wǎng)絡(luò)流量。2：邏輯端口 reth 0或reth 1使用兩條物理鏈路邏輯而成，且物理鏈路分布在不 同的機(jī)房，不管哪一物理鏈路條失效都不會(huì)影響邏輯端口 reth的活動(dòng)。3：防火墻的冗余采用jnos系統(tǒng)的特有集群模式j(luò)srp,高可用性集群jsrp將兩 天防火墻實(shí)現(xiàn)ha活動(dòng)狀態(tài)，也就是在正常情況下兩天防火

10、墻同時(shí)承載數(shù)據(jù)流，當(dāng)一臺(tái) 防火墻斷電或失效時(shí)，另一臺(tái)防火墻接管其業(yè)務(wù)流量，如果防火墻故障恢復(fù)后，又將文檔編號(hào)：dcb-nw-dc-ool da chan bay terminals 大鏟灣碼頭（一期）進(jìn)行數(shù)據(jù)流分流。設(shè)計(jì)如下圖所示:xe-d/o/8 juniper srx 1400xe-0/0/8ethl/29eth 1/29nexus 5548apeemine核心防火墻冗余設(shè)計(jì)示意圖2.4.2交換機(jī)冗余2.4.2.1交換機(jī)冗余n4數(shù)據(jù)中心使用兩臺(tái)nexus 5548和4臺(tái)nexus 2232組成，設(shè)備間兩兩使用雙鏈 路捆綁，兩兩z間鏈路達(dá)到20ge?？刂拼髽呛凸こ檀髽菣C(jī)房分別放置一臺(tái)nexu

11、s5548和兩臺(tái)nexus2232,其中一臺(tái) nexus2232連接木機(jī)房nexus5548，另一臺(tái)nexus2232連接另一個(gè)機(jī)房的nexus5548, 這樣服務(wù)器可用兩條線路分別接入同機(jī)房?jī)膳_(tái)nexus2232,實(shí)現(xiàn)某個(gè)機(jī)房核心 nexus5548出故障時(shí)也能通過(guò)劌一臺(tái)nexus5548出去。整個(gè)交換中心網(wǎng)絡(luò)是一個(gè)生成樹(shù)無(wú)環(huán)的網(wǎng)絡(luò)，不存在stp冗余，為保證和實(shí)現(xiàn)無(wú)stp冗余的設(shè)置就是核心網(wǎng)絡(luò)作用于同一個(gè)vpc domain中，通過(guò)peer line來(lái)控制可能文檔編號(hào)：dcb-nw-dc-ool da chan bay terminals大鏟灣碼頭（一期）成為環(huán)路端口的vpc成員，當(dāng)兩個(gè)端口

12、設(shè)置成同一個(gè)vpc成員時(shí)原來(lái)使用stp的時(shí)候 某一個(gè)端口一定會(huì)成為block端口，而使原block端口的端口在此將同吋為轉(zhuǎn)發(fā)狀 態(tài)。peer line心跳線路使用兩條10ge捆綁，兩條鏈路成負(fù)載均狀態(tài)，也就是任何一條 鏈路失效都不會(huì)使peer line心跳線失效。心跳peer line失效保護(hù)，當(dāng)兩條心跳線peer line同時(shí)失效時(shí),peer keepalive link 來(lái)接替peer line的作用。管理設(shè)備ifpccmincnexus5000心跳保護(hù)線路peer keepalive link文檔編號(hào)：dcb-nw-dc-oolpeer keepealive linkda chan bay terminals 大鏟灣碼頭（一期）2.4.3負(fù)載均衡設(shè)