數(shù)據(jù)中心解決實(shí)施方案

1、.wd.wd.wd.數(shù)據(jù)中心解決實(shí)施方案前言數(shù)據(jù)中心Data Center，DC是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境，是各種IT應(yīng)用業(yè)務(wù)的提供中心，是數(shù)據(jù)計(jì)算、網(wǎng)絡(luò)傳輸、存儲(chǔ)的中心。數(shù)據(jù)中心實(shí)現(xiàn)了IT根基設(shè)施、業(yè)務(wù)應(yīng)用、數(shù)據(jù)的統(tǒng)一、安全策略的統(tǒng)一部署與運(yùn)維管理。數(shù)據(jù)中心是當(dāng)前運(yùn)營(yíng)商和各行業(yè)的IT建設(shè)重點(diǎn)。運(yùn)營(yíng)商、大型企業(yè)、金融證券、政府、能源、電力、交通、教育、制造業(yè)、網(wǎng)站和電子商務(wù)公司等正在進(jìn)展或已完成數(shù)據(jù)中心建設(shè)，通過(guò)數(shù)據(jù)中心的建設(shè)，實(shí)現(xiàn)對(duì)IT信息系統(tǒng)的整合和集中管理，提升內(nèi)部的運(yùn)營(yíng)和管理效率以及對(duì)外的服務(wù)水平，同時(shí)降低IT建設(shè)的TCO。H3C長(zhǎng)期致力于IP技術(shù)與產(chǎn)品的研究、開(kāi)發(fā)、生產(chǎn)、銷(xiāo)

2、售及服務(wù)。H3C不但擁有全線(xiàn)以太網(wǎng)交換機(jī)和路由器產(chǎn)品，還在網(wǎng)絡(luò)安全、IP存儲(chǔ)、IP監(jiān)控、語(yǔ)音視訊、WLAN、SOHO及軟件管理系統(tǒng)等領(lǐng)域穩(wěn)健成長(zhǎng)。目前，網(wǎng)絡(luò)產(chǎn)品中國(guó)市場(chǎng)份額第一，安全產(chǎn)品中國(guó)市場(chǎng)份額位居三甲，IP存儲(chǔ)亞太市場(chǎng)份額第一，IP監(jiān)控技術(shù)全球領(lǐng)先，H3C已經(jīng)從單一網(wǎng)絡(luò)設(shè)備供應(yīng)商轉(zhuǎn)變?yōu)槎喈a(chǎn)品IToIP解決方案供應(yīng)商。H3C長(zhǎng)期保持對(duì)數(shù)據(jù)中心領(lǐng)域的關(guān)注，持續(xù)投入力量于數(shù)據(jù)中心解決方案的研發(fā)，融合了網(wǎng)絡(luò)、安全、IP存儲(chǔ)、軟件管理系統(tǒng)、IP監(jiān)控等產(chǎn)品的基于IToIP架構(gòu)的數(shù)據(jù)中心解決方案，有效地解決了用戶(hù)在數(shù)據(jù)中心建設(shè)中遇到的各種難題，已經(jīng)在各行各業(yè)的數(shù)據(jù)中心建設(shè)中廣泛應(yīng)用?；贖3C在數(shù)據(jù)通

3、信領(lǐng)域的長(zhǎng)期研發(fā)與技術(shù)積累，縱觀(guān)數(shù)據(jù)中心開(kāi)展歷程，數(shù)據(jù)中心的開(kāi)展可分為四個(gè)層面：數(shù)據(jù)中心根基網(wǎng)絡(luò)整合： 根據(jù)業(yè)務(wù)需求，基于開(kāi)放標(biāo)準(zhǔn)的IP協(xié)議，完成對(duì)企業(yè)現(xiàn)有異構(gòu)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)資源和IT資源的整合，解決如何建設(shè)數(shù)據(jù)中心的問(wèn)題。 數(shù)據(jù)中心根基網(wǎng)絡(luò)的設(shè)計(jì)以功能分區(qū)、網(wǎng)絡(luò)分層和服務(wù)器分級(jí)為原那么和特點(diǎn)。通過(guò)多種高可用技術(shù)和良好網(wǎng)絡(luò)設(shè)計(jì)，實(shí)現(xiàn)數(shù)據(jù)中心可靠運(yùn)行，保證業(yè)務(wù)的永續(xù)性；數(shù)據(jù)中心應(yīng)用智能：基于TCP/IP的開(kāi)放架構(gòu)，保證各種新業(yè)務(wù)和應(yīng)用在數(shù)據(jù)中心的根基體系架構(gòu)上平滑部署和升級(jí)，滿(mǎn)足用戶(hù)的多變需求，保證數(shù)據(jù)中心的持續(xù)服務(wù)和業(yè)務(wù)連續(xù)性。各種應(yīng)用的安全、優(yōu)化與集成可以無(wú)縫的部署在數(shù)據(jù)中心之上。數(shù)據(jù)中心虛

4、擬化：傳統(tǒng)的應(yīng)用孤島式的數(shù)據(jù)中心模型擴(kuò)展性差，核心資源的分配與業(yè)務(wù)應(yīng)用開(kāi)展出現(xiàn)不匹配，使得資源利用不均勻，導(dǎo)致運(yùn)行成本提高、現(xiàn)有投資無(wú)法到達(dá)最優(yōu)化的利用、新業(yè)務(wù)部署難度增大、現(xiàn)有業(yè)務(wù)持續(xù)性得不到保證、安全面臨威脅。虛擬H3C 數(shù)據(jù)中心解決方案 網(wǎng)絡(luò)產(chǎn)品部化通過(guò)構(gòu)建共享的資源池，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源、計(jì)算計(jì)算和存儲(chǔ)資源的幾種管理、規(guī)劃和控制，簡(jiǎn)化管理維護(hù)、提高設(shè)備資源利用率、優(yōu)化業(yè)務(wù)流程部署、降低維護(hù)成本。數(shù)據(jù)中心資源智能：通過(guò)智能化管理平臺(tái)實(shí)現(xiàn)對(duì)資源的智能化管理，資源智能分配調(diào)度，構(gòu)建高度智能、自動(dòng)化數(shù)據(jù)中心。 1 數(shù)據(jù)中心根基網(wǎng)絡(luò)整合1.1 數(shù)據(jù)中心根基網(wǎng)絡(luò)設(shè)計(jì)隨著業(yè)務(wù)的快速開(kāi)展，企業(yè)泛指運(yùn)營(yíng)商、

5、企業(yè)和行業(yè)用戶(hù)的業(yè)務(wù)應(yīng)用和數(shù)據(jù)正在從分散部署走向大集中，作為業(yè)務(wù)承載體的IT設(shè)施的部署模型隨之發(fā)生翻天覆地的變化，互聯(lián)互通已經(jīng)不能滿(mǎn)足流程整合后的業(yè)務(wù)持續(xù)開(kāi)展的需求。網(wǎng)絡(luò)是連接所有數(shù)據(jù)中心IT組件的唯一通用實(shí)體，構(gòu)建堅(jiān)實(shí)的網(wǎng)絡(luò)根基設(shè)施將為數(shù)據(jù)中心業(yè)務(wù)永續(xù)、管理與運(yùn)維提供保障。通常來(lái)講，用戶(hù)的業(yè)務(wù)可分為多個(gè)子系統(tǒng)，彼此之間會(huì)有數(shù)據(jù)共享、業(yè)務(wù)互訪(fǎng)、數(shù)據(jù)訪(fǎng)問(wèn)控制與隔離的需求，根據(jù)業(yè)務(wù)相關(guān)性和流程需要，需要采用模塊化設(shè)計(jì)，實(shí)現(xiàn)低耦合、高內(nèi)聚，保證系統(tǒng)和數(shù)據(jù)的安全性、可靠性、靈活擴(kuò)展性、易于管理。數(shù)據(jù)中心根基網(wǎng)絡(luò)設(shè)計(jì)原那么為分區(qū)、分層和分級(jí)設(shè)計(jì)。一、數(shù)據(jù)中心分區(qū)設(shè)計(jì)原那么分區(qū)，即把用戶(hù)的整個(gè)IT系統(tǒng)按照

6、關(guān)聯(lián)性、管理等方面的需求劃分為多個(gè)業(yè)務(wù)板塊系統(tǒng)，而每個(gè)系統(tǒng)有自己?jiǎn)为?dú)的核心交換，服務(wù)器，安全邊界設(shè)備等，需要逐級(jí)訪(fǎng)問(wèn)控制，良好的邏輯分區(qū)設(shè)計(jì)與安全域劃分成為數(shù)據(jù)中心網(wǎng)絡(luò)的必備根基。根據(jù)企業(yè)自身特點(diǎn)，依據(jù)業(yè)務(wù)系統(tǒng)的相關(guān)性、數(shù)據(jù)流的訪(fǎng)問(wèn)要求和系統(tǒng)安全控制的要求等，可以把數(shù)據(jù)中心的服務(wù)器與業(yè)務(wù)系統(tǒng)分成內(nèi)網(wǎng)區(qū)Intranet、外聯(lián)區(qū)Extranet和互聯(lián)網(wǎng)區(qū)Internet等，并在此根基上對(duì)業(yè)務(wù)流程進(jìn)展深入細(xì)化。H3C數(shù)據(jù)中心解決方案Intranet區(qū)企業(yè)內(nèi)部訪(fǎng)問(wèn)的數(shù)據(jù)中心區(qū)域，通常稱(chēng)為內(nèi)網(wǎng)區(qū)，對(duì)外部網(wǎng)絡(luò)不可見(jiàn)。Extranet區(qū)企業(yè)提供應(yīng)合作伙伴訪(fǎng)問(wèn)的數(shù)據(jù)中心區(qū)域，通常稱(chēng)為外聯(lián)區(qū)；通過(guò)VPN接入實(shí)現(xiàn)

7、對(duì)服務(wù)器群的訪(fǎng)問(wèn)和不同企業(yè)的隔離。Internet區(qū)企業(yè)提供應(yīng)internet用戶(hù)訪(fǎng)問(wèn)的數(shù)據(jù)中心區(qū)域，也常稱(chēng)為DMZ區(qū)，外部用戶(hù)通過(guò)公網(wǎng)訪(fǎng)問(wèn)，一般就是放在企業(yè)門(mén)戶(hù)網(wǎng)站的服務(wù)器群。二、數(shù)據(jù)中心分層設(shè)計(jì)原那么分層的主要是根據(jù)內(nèi)外局部流原那么，把數(shù)據(jù)中心網(wǎng)絡(luò)分成標(biāo)準(zhǔn)的核心層、會(huì)聚層和接入層三層構(gòu)造。服務(wù)器與業(yè)務(wù)系統(tǒng)之間的流量大局部在單個(gè)功能分區(qū)內(nèi)部，不需要經(jīng)過(guò)核心；分區(qū)之間的流量才經(jīng)過(guò)核心，而且在每個(gè)分區(qū)的會(huì)聚層交換機(jī)上做互訪(fǎng)控制策略會(huì)更容易、對(duì)核心的壓力會(huì)更好、故障影響范圍更小、故障恢復(fù)更快。核心層 核心層提供多個(gè)數(shù)據(jù)中心會(huì)聚模塊互聯(lián)，并連接園區(qū)網(wǎng)核心；要求其具有高交換能力和突發(fā)流量適應(yīng)能力；大型

8、數(shù)據(jù)中心核心要求多會(huì)聚模塊擴(kuò)展能力，中小型數(shù)據(jù)中心共用園區(qū)核心；當(dāng)前以10GE接口為主，高性能要求4-8 10GE捆綁。會(huì)聚層 為服務(wù)器群server farm對(duì)外提供高帶寬出口；要求提供大密度GE/10GE端口實(shí)現(xiàn)接入層互聯(lián)；具有較多槽位數(shù)提供增值業(yè)務(wù)模塊部署。網(wǎng)絡(luò)產(chǎn)品部接入層 H3C 數(shù)據(jù)中心解決方案 支持高密度千兆接入、萬(wàn)兆接入；接入總帶寬和上行帶寬存在收斂比、線(xiàn)速兩種模式；基于機(jī)架考慮，1RU更具靈活部署能力；支持堆疊，更具擴(kuò)展能力；上行雙鏈路冗余能力。業(yè)界主流做法是在會(huì)聚層部署各類(lèi)安全、應(yīng)用優(yōu)化業(yè)務(wù)，如在交換機(jī)上集成防火墻、負(fù)載均衡、應(yīng)用加速板卡。三、服務(wù)器接入分級(jí)設(shè)計(jì)原那么目前的應(yīng)

9、用訪(fǎng)問(wèn)架構(gòu)已經(jīng)逐步由傳統(tǒng)的客戶(hù)機(jī)/服務(wù)器簡(jiǎn)稱(chēng)C/S架構(gòu)向?yàn)g覽器/服務(wù)器簡(jiǎn)稱(chēng)B/S的變遷，B/S的應(yīng)用訪(fǎng)問(wèn)架構(gòu)要求采用三級(jí)的服務(wù)器架構(gòu)，從整體來(lái)看包括三個(gè)層次：Web層負(fù)責(zé)應(yīng)用界面的提供，承受客戶(hù)端請(qǐng)求并返回最終結(jié)果，是業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的對(duì)外界面。如IIS、Apache服務(wù)器等等。Application層負(fù)責(zé)數(shù)據(jù)的計(jì)算、業(yè)務(wù)流程整合，如常見(jiàn)的WebLogic、J2EE等中間件技術(shù)。Database層負(fù)責(zé)數(shù)據(jù)的存儲(chǔ)，供業(yè)務(wù)系統(tǒng)進(jìn)展讀寫(xiě)和隨機(jī)調(diào)用。如MS SQL Server、Oracle 9i、IBM DB2等等。網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案三級(jí)之間通過(guò)交換網(wǎng)絡(luò)的互連，層層的安全保護(hù)，形成構(gòu)造清

10、晰的易于部署的服務(wù)器接入架構(gòu)。三級(jí)之間的互連又分成縱向和扁平兩種構(gòu)造。縱向構(gòu)造清晰、管理簡(jiǎn)單，扁平構(gòu)造節(jié)省投資。四、H3C數(shù)據(jù)中心根基網(wǎng)絡(luò)設(shè)計(jì)優(yōu)勢(shì)安全性好 容易明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系，可以單獨(dú)對(duì)每個(gè)區(qū)域進(jìn)展安全實(shí)施，不會(huì)對(duì)其它區(qū)域造成影響。 擴(kuò)展性好 可根據(jù)不同區(qū)域和層次的功能按需建設(shè)，業(yè)務(wù)部署靈活，可以非常方便的增加新 Server Farm區(qū)，而不改變?cè)械木W(wǎng)絡(luò)構(gòu)造。提高可用性 可以最大限度的隔離故障域，簡(jiǎn)化數(shù)據(jù)路徑，加快故障收斂時(shí)間。 易管理 網(wǎng)絡(luò)構(gòu)造清晰，日常的運(yùn)維變得更加簡(jiǎn)單，問(wèn)題定位容易。 1.2 數(shù)據(jù)中心高可用解決方案隨著市場(chǎng)競(jìng)爭(zhēng)的日益加劇，客戶(hù)對(duì)信息系統(tǒng)的依賴(lài)性和要求越

11、來(lái)越高，保證數(shù)據(jù)中心的高可用性，提供724小時(shí)網(wǎng)絡(luò)服務(wù)成為建網(wǎng)的首要目標(biāo)，也是數(shù)據(jù)中心建設(shè)關(guān)注的第一要素。網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案導(dǎo)致網(wǎng)絡(luò)不可用，即網(wǎng)絡(luò)故障的原因主要有兩類(lèi)：1. 不可控因素，如自然災(zāi)害、戰(zhàn)爭(zhēng)、大停電、人為破壞等通過(guò)建設(shè)生產(chǎn)中心、本地備份中心、異地容災(zāi)中心，即“兩地三中心模式，通過(guò)良好的整體規(guī)劃設(shè)計(jì)，保證不可控因素影響下數(shù)據(jù)中心的高可用。2. 可控因素，如設(shè)備故障、鏈路故障、網(wǎng)絡(luò)擁塞、維護(hù)誤操作、惡意攻擊等。H3C在相關(guān)產(chǎn)品設(shè)計(jì)上考慮了諸多因素，提供了全系列的解決方案，包括物理設(shè)備、鏈路層、IP層、傳輸層和應(yīng)用層，全方位的提高網(wǎng)絡(luò)可用性。硬件設(shè)備冗余，如設(shè)備雙主控、單板

12、熱插拔、冗余電源、冗余風(fēng)扇。 物理鏈路冗余，如以太網(wǎng)鏈路聚合等。 環(huán)網(wǎng)技術(shù)，如：RPR、RRPP等技術(shù)。二層路徑冗余，如：MSTP、SmartLink。三層路徑冗余，如：VRRP、ECMP、動(dòng)態(tài)路由快速收斂。快速故障檢測(cè)技術(shù)，如：BFD等。不連續(xù)轉(zhuǎn)發(fā)技術(shù)，如GR等。除了產(chǎn)品高可用性外，H3C在數(shù)據(jù)中心整體設(shè)計(jì)上提供完整的高可用方案，具體可分為：服務(wù)器接入高可用設(shè)計(jì)，接入層到會(huì)聚的高可用設(shè)計(jì)，會(huì)聚層的高可用設(shè)計(jì)。一、服務(wù)器接入高可用設(shè)計(jì)也稱(chēng)服務(wù)器多網(wǎng)卡接入。為了實(shí)現(xiàn)接入高可用，服務(wù)器通常采用多鏈路上行，即服務(wù)器的兩塊甚至多網(wǎng)卡接入，服務(wù)器中的網(wǎng)絡(luò)驅(qū)動(dòng)程序?qū)蓧K或者多塊網(wǎng)卡捆綁成一個(gè)虛擬的網(wǎng)卡，如

13、果一個(gè)網(wǎng)卡失效，另一個(gè)網(wǎng)卡會(huì)接收它的MAC地址，兩塊網(wǎng)卡使用一個(gè)IP地址，而且必須位于同一播送域，即同一子網(wǎng)下。服務(wù)器和接入交換機(jī)之間的連接方式有幾種方式：網(wǎng)絡(luò)可用性從左至右依次升高。推薦采用第四種接入方式。第四種連接方式服務(wù)器采用交換機(jī)容錯(cuò)模式分別接入到兩臺(tái)機(jī)柜式交換機(jī)上，并且將VLAN Trunk到兩臺(tái)設(shè)備上，實(shí)現(xiàn)服務(wù)器的高可靠接入。二、接入到會(huì)聚高可用設(shè)計(jì)網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案接入到會(huì)聚層共有四種連接方式，分別為倒U型接法、U型接法、三角型接法和矩形接法，這里所謂不同類(lèi)型的接法是以二層鏈路作為評(píng)判依據(jù)，比方說(shuō)矩形接法，從接入到接入，接入到會(huì)聚、會(huì)聚到會(huì)聚均為二層鏈路連接，因此形

14、成了矩形的二層鏈路接法。H3C推薦三角型接法：鏈路冗余，路徑冗余，故障收斂時(shí)間最短。VLAN 可以跨會(huì)聚層交換機(jī)，服務(wù)器部署靈活。在實(shí)際部署中，還可以根據(jù)實(shí)際情況選擇如下方案：H3C IRFIntelligent Resilient Framework，H3C IRF能夠?qū)崿F(xiàn)分布式設(shè)備管理、分布式路由和跨設(shè)備鏈路聚合。部署H3C IRF，除了提高網(wǎng)絡(luò)的可用性，減少單點(diǎn)故障影響，還可以：分布式處理二三層協(xié)議，極大提高網(wǎng)絡(luò)高性能。每組當(dāng)成一個(gè)邏輯Fabric，配置管理更高效。堆疊組內(nèi)設(shè)備軟件版本同步升級(jí)，升級(jí)容易。整個(gè)堆疊組的設(shè)備支持熱插拔，靈活管理。接入與會(huì)聚采用MSTP+VRRP：提高可用性，

15、還可以做到鏈路的負(fù)載均衡。網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案網(wǎng)絡(luò)產(chǎn)品部三、會(huì)聚高可用性設(shè)計(jì)1會(huì)聚交換設(shè)備之間的VRRP；2安全、應(yīng)用優(yōu)化設(shè)備之間的VRRP：可以?xún)?nèi)置或者旁?huà)斓綍?huì)聚交換機(jī)上(推薦旁?huà)?，而不是串連到網(wǎng)絡(luò)中，消除性能瓶頸)。利用HRP協(xié)議實(shí)現(xiàn)在Master和Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會(huì)話(huà)表狀態(tài)信息的備份。HRP協(xié)議承載在VGMP報(bào)文上。通過(guò)指定的負(fù)載均衡算法，對(duì)指向服務(wù)器的流量做負(fù)載均衡，保證服務(wù)器群能盡最大努力向外提供服務(wù)，提升服務(wù)器的可用性，提升服務(wù)器群的處理性能。2 數(shù)據(jù)中心應(yīng)用智能2.1 應(yīng)用智能數(shù)據(jù)中心模型今天，WEB2.0大潮開(kāi)場(chǎng)涌現(xiàn)，如Flickr、Yo

16、uTuBe、BLOG、WIKI、PODCAST，互聯(lián)網(wǎng)在第一次泡沫迸裂后又重現(xiàn)生機(jī)。這些新應(yīng)用的背后英雄就是WEB技術(shù)，如果講WEB1.0解決的是“人機(jī)交互界面的標(biāo)準(zhǔn)化問(wèn)題，WEB2.0那么更進(jìn)一步解決了“應(yīng)用數(shù)據(jù)交互的標(biāo)準(zhǔn)化問(wèn)題，而WEB2.0的技術(shù)根基是XML協(xié)議和一系列相關(guān)WEB技術(shù)。Web 2.0時(shí)代的最大特點(diǎn)是每個(gè)人可成為數(shù)據(jù)的提供者。在今后的幾年內(nèi)，WEB應(yīng)用的普及必將帶來(lái)另外一個(gè)新的標(biāo)準(zhǔn)化，那就是基于WEB技術(shù)的應(yīng)用標(biāo)準(zhǔn)化，如果用OSI的模型來(lái)描述的話(huà)，那么是會(huì)話(huà)層和表示層的標(biāo)準(zhǔn)化。“一旦標(biāo)準(zhǔn)化，即可網(wǎng)絡(luò)化意味著這些標(biāo)準(zhǔn)化的應(yīng)用處理功能將集成到網(wǎng)絡(luò)設(shè)備中，新的業(yè)務(wù)呼喚新的應(yīng)用智能

17、網(wǎng)絡(luò)。企業(yè)業(yè)務(wù)和數(shù)據(jù)從分散部署走向大集中，數(shù)據(jù)中心的數(shù)據(jù)量急劇膨脹，數(shù)據(jù)中心的重要性受到空前的重視，應(yīng)用優(yōu)化、網(wǎng)絡(luò)安全、應(yīng)用安全設(shè)備大規(guī)模部署，融合了應(yīng)用安全、應(yīng)用優(yōu)化能力的應(yīng)用智能數(shù)據(jù)中心越來(lái)越受到用戶(hù)的歡迎。順應(yīng)潮流的開(kāi)展，多業(yè)務(wù)集成交換機(jī)成為數(shù)據(jù)中心建設(shè)的必備組件。應(yīng)用安全涵蓋：應(yīng)用層認(rèn)證、授權(quán)和審計(jì) 應(yīng)用層加密SSL)和集中PKI部署應(yīng)用層防火墻HTTP/XML防火墻，SAML安全斷言標(biāo)記語(yǔ)言應(yīng)用層內(nèi)容安全：病毒、入侵等等 應(yīng)用優(yōu)化涵蓋： H3C 數(shù)據(jù)中心解決方案 應(yīng)用負(fù)載均衡 基于硬件的應(yīng)用緩存、壓縮和交換 應(yīng)用協(xié)議優(yōu)化HTTP/TCP協(xié)議優(yōu)化融合應(yīng)用安全、應(yīng)用優(yōu)化的應(yīng)用智能數(shù)據(jù)中心

18、模型：2.2 應(yīng)用智能之安全數(shù)據(jù)中心承載著用戶(hù)的核心業(yè)務(wù)和機(jī)密數(shù)據(jù)，同時(shí)為內(nèi)部、外部、合作伙伴等客戶(hù)提供業(yè)務(wù)交互和數(shù)據(jù)交換，因此數(shù)據(jù)中心的安全必須與業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)融合，并且能夠平滑的部署在網(wǎng)絡(luò)中。數(shù)據(jù)中心的安全建設(shè)中的主要思想之一就是層次化的分級(jí)安全，把IT的安全分成多個(gè)等級(jí)，劃分不同的安全域，這與數(shù)據(jù)中心對(duì)安全的內(nèi)在要求是相輔相成的。在深入分析IT安全形勢(shì)的根基上，H3C提出基于狀態(tài)演進(jìn)的安全模型，把IT的安全分成：?jiǎn)螜C(jī)安全：?jiǎn)螜C(jī)安全強(qiáng)調(diào)權(quán)限管理、病毒防護(hù)、數(shù)據(jù)備份 局部安全：局部安全強(qiáng)調(diào)遠(yuǎn)程接入、入侵檢測(cè)、安全融合、安全協(xié)作 深度安全：深度安全強(qiáng)調(diào)容災(zāi)備份、深度抵御、安全審計(jì)、流量分析 統(tǒng)一

19、安全：統(tǒng)一安全強(qiáng)調(diào)風(fēng)險(xiǎn)管理、企業(yè)內(nèi)控、統(tǒng)一規(guī)劃、統(tǒng)一管理 網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案網(wǎng)絡(luò)產(chǎn)品部隨著安全狀態(tài)的演進(jìn)，安全向著應(yīng)用智能的安全方向開(kāi)展。在任何情況下，信息只存在于三種狀態(tài)之一：計(jì)算：計(jì)算是信息被創(chuàng)立、修改、刪除、查詢(xún)以及深度處理的過(guò)程。 通訊：通訊是信息在不同的環(huán)境之間以及環(huán)境內(nèi)部傳遞的過(guò)程。 存儲(chǔ)：信息被以某種形式臨時(shí)或者永久性保存的過(guò)程。 安全的目標(biāo)就是在保證數(shù)據(jù)在這三種狀態(tài)下的安全。 信息的安全狀態(tài)決定安全的策略，對(duì)于數(shù)據(jù)中心來(lái)講，信息的安全策略包括訪(fǎng)問(wèn)控制策略、補(bǔ)丁管理策略、攻擊抵御策略、滲透抵御策略、病毒控制策略、流量控制策略、風(fēng)險(xiǎn)管理策略。 安全分區(qū) 安全策略的根基

20、是基于業(yè)務(wù)的邏輯分區(qū)和安全域劃分，數(shù)據(jù)中心業(yè)務(wù)安全分區(qū)的優(yōu)勢(shì)： 增加新功能區(qū)更容易 不同區(qū)域可實(shí)施不同的安全策略 每個(gè)分區(qū)按照需求可獨(dú)立的擴(kuò)展 發(fā)生故障易定位易恢復(fù)等優(yōu)點(diǎn)。 因此，按照分區(qū)的思想，數(shù)據(jù)中心按照業(yè)務(wù)類(lèi)型分為不同的邏輯區(qū)域，每個(gè)分區(qū)制定不 同的安全策略和信任模型，劃分為不同安全級(jí)別的安全域。從實(shí)際部署上看，又分成： 邊界訪(fǎng)問(wèn)控制 深度智能防御 智能安全管理 1邊界訪(fǎng)問(wèn)控制邊界控制對(duì)數(shù)據(jù)中心是最 基本的要求，控制各類(lèi)用戶(hù)對(duì)數(shù)據(jù)中心的訪(fǎng)問(wèn)。隨著安全狀態(tài)的演進(jìn)，安全向著應(yīng)用智能的安全方向開(kāi)展。H3C SecBlade II萬(wàn)兆防火墻與核心、會(huì)聚交換機(jī)實(shí)現(xiàn)多業(yè)務(wù)集成，數(shù)據(jù)交互通過(guò)背板直接進(jìn)

21、展，具有高性能和高可靠的雙重優(yōu)勢(shì)，防止交換機(jī)在線(xiàn)部署的性能瓶頸和單點(diǎn)故障；與防火墻旁?huà)觳渴鸱绞较啾?，又具有配置策略?jiǎn)單、不改變數(shù)據(jù)轉(zhuǎn)發(fā)路徑、流量轉(zhuǎn)發(fā)過(guò)程清晰、部署維護(hù)簡(jiǎn)單等諸多優(yōu)點(diǎn)。2深度智能防御針對(duì)數(shù)據(jù)中心的各類(lèi)DDoS攻擊、木馬、黑客入侵層出不窮，傳統(tǒng)的IDS產(chǎn)品只能對(duì)局部事件進(jìn)展檢測(cè)，無(wú)法做到實(shí)時(shí)分析和防御，H3C IPS業(yè)界領(lǐng)先，以在線(xiàn)或者旁路的方式H3C數(shù)據(jù)中心解決方案部署在客戶(hù)網(wǎng)絡(luò)的關(guān)鍵路徑上可以實(shí)現(xiàn)在線(xiàn)防御，也可配置Layer2-back二層回退，通過(guò)對(duì)流經(jīng)該關(guān)鍵路徑上的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)展2到7層的深度分析，能準(zhǔn)確、實(shí)時(shí)地識(shí)別并阻斷或限制黑客、蠕蟲(chóng)、病毒、木馬、DoS/DDoS、掃描

22、、間諜軟件、協(xié)議異常、網(wǎng)絡(luò)釣魚(yú)、P2P、IM、網(wǎng)游等網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用，從而可為客戶(hù)網(wǎng)絡(luò)提供三大保護(hù)功能：保護(hù)網(wǎng)絡(luò)應(yīng)用、保護(hù)網(wǎng)絡(luò)根基設(shè)施、保護(hù)網(wǎng)絡(luò)性能。H3C IPS系列產(chǎn)品還具有強(qiáng)大、實(shí)用的帶寬管理和URL過(guò)濾功能，可為客戶(hù)帶來(lái)IPS之外的更高附加價(jià)值。3智能安全管理數(shù)據(jù)中心除了大量的網(wǎng)絡(luò)設(shè)備在運(yùn)行外，更多是各類(lèi)服務(wù)器、操作系統(tǒng)之間的業(yè)務(wù)交互，海量的告警、監(jiān)控、SNMP、WMI等消息不斷的在網(wǎng)絡(luò)中傳播，必須要要對(duì)這些安全事件、網(wǎng)絡(luò)事件、系統(tǒng)事件、應(yīng)用事件進(jìn)展統(tǒng)一的收集和管理，并通智能化的分析把原始數(shù)據(jù)轉(zhuǎn)換、篩選為智能安全的有效信息。H3C SecCenter可管理近100家主流廠(chǎng)家的安全與網(wǎng)

23、絡(luò)產(chǎn)品、1000+種報(bào)表的自動(dòng)或手工生成、流量與攻擊的實(shí)時(shí)監(jiān)控、海量事件關(guān)聯(lián)和威脅分析、安全審計(jì)分析與追蹤溯源?？傊?，H3C通訊安全目標(biāo)是提供面向業(yè)務(wù)的端到端的安全保障，覆蓋客戶(hù)端、網(wǎng)絡(luò)和數(shù)據(jù)中心的服務(wù)器和存儲(chǔ)系統(tǒng)。網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心解決方案2.3 應(yīng)用智能之優(yōu)化隨著Internet和用戶(hù)業(yè)務(wù)的不斷開(kāi)展，Web應(yīng)用已經(jīng)成為服務(wù)器主要的數(shù)據(jù)處理任務(wù)。HTTP協(xié)議用于在服務(wù)器和客戶(hù)端之間傳輸基于Web的數(shù)據(jù)。TCP協(xié)議那么為HTTP提供有保障的連接和糾錯(cuò)功能。TCP雖然是非常理想的傳輸機(jī)制，但它也存在缺點(diǎn)，在傳輸Web數(shù)據(jù)時(shí)，TCP協(xié)議消耗了大量的資源，導(dǎo)致服務(wù)器性能不佳。數(shù)據(jù)中心的性能瓶頸

24、日趨凸現(xiàn)，為了解決諸如此類(lèi)的性能問(wèn)題，出現(xiàn)了流量管理產(chǎn)品，比方能夠深度識(shí)別和管理的P2P流量的路由器，產(chǎn)品工作在網(wǎng)絡(luò)層解決數(shù)據(jù)傳輸中的應(yīng)用優(yōu)化問(wèn)題；負(fù)載均衡設(shè)備，產(chǎn)品的目標(biāo)是解決服務(wù)器訪(fǎng)問(wèn)的瓶頸問(wèn)題，但是這些產(chǎn)品缺乏以解決數(shù)據(jù)中心應(yīng)用層的性能問(wèn)題，因此H3C應(yīng)用優(yōu)化設(shè)備應(yīng)運(yùn)而生，它采用先進(jìn)的連接收理技術(shù)進(jìn)展TCP 卸載和傳輸層端到端優(yōu)化，考慮到SSL、壓縮、加密等更多并發(fā)處理，極大的提高了數(shù)據(jù)中心的數(shù)據(jù)訪(fǎng)問(wèn)性能。GET A;GET B;GET CGET A;GET B;GET DGET C;GET D;GET EGET B;GET A;GET DGET C;GET D;GET EGET A;G

25、ET B;GET CGET E;GET B;GET CGET F;GET E;GET GGET F;GET A;GET CGET A;GET B;GET CGET C;GET D;GET E服務(wù)器TCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP Session H3C SecPath ASE系列產(chǎn)品是采用全硬件架構(gòu)NPFPGA設(shè)計(jì)的，通過(guò)不同的內(nèi)置硬件模塊實(shí)現(xiàn)TCP優(yōu)化、內(nèi)容壓縮、負(fù)載均衡、SSL加速等技術(shù)，到達(dá)應(yīng)用加

26、速的目的。使用ASE，可以為目前不堪重負(fù)的數(shù)據(jù)中心減輕過(guò)重的負(fù)載，同時(shí)ASE可以根據(jù)數(shù)據(jù)中心的具體需要，與其它產(chǎn)品配合形成一體化解決方案。SecPath ASE產(chǎn)品的應(yīng)用場(chǎng)景如以以下圖所示：網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案ASE將web加速、SSL卸載和加速、壓縮、TCP優(yōu)化、負(fù)載均衡、防DDos攻擊等技術(shù)集成在一個(gè)硬件平臺(tái)上，并且每個(gè)功能模塊都是由專(zhuān)有的硬件芯片運(yùn)行。利用全硬件加速處理技術(shù)來(lái)幫助企業(yè)提高應(yīng)用性能，最大可使Web服務(wù)器的性能提升10倍。同時(shí)，SecPath ASE還可以提供高可用性負(fù)載均衡、快速與超智能的第4-7層交換、精細(xì)的互動(dòng)控制以及其它諸多特性，為數(shù)據(jù)中心網(wǎng)絡(luò)提供最好的

27、保護(hù)。ASE在客戶(hù)端和服務(wù)器中間扮演了雙重角色，面對(duì)客戶(hù)端時(shí)，ASE表現(xiàn)為一個(gè)服務(wù)器；而在面對(duì)服務(wù)器時(shí)，它表現(xiàn)為一個(gè)客戶(hù)端。面對(duì)客戶(hù)端時(shí)，ASE的職責(zé)是處理所有的客戶(hù)端連接，它專(zhuān)注于處理由客戶(hù)端發(fā)起的連接請(qǐng)求并維護(hù)這些連接；面對(duì)服務(wù)器時(shí)，ASE創(chuàng)立了少量但長(zhǎng)期的連接到服務(wù)器，并重復(fù)利用這些連接不斷傳遞新的對(duì)象數(shù)據(jù)。GET A;GET B;GET CGET A;GET B;GET DGET C;GET D;GET EGET B;GET A;GET DGET C;GET D;GET EGET A;GET B;GET CGET E;GET B;GET CGET F;GET E;GET GGET F;

28、GET A;GET CGET A;GET B;GET CGET C;GET D;GET EGET A;GET B;GET CGET D;GET E;GET FGET D;GET D;GETCGET B;GET B;GETFGET B;GET E;GET FGET G;GET A;GET B應(yīng)用加速服務(wù)器ASE使用各種算法來(lái)判斷何時(shí)需要建設(shè)一個(gè)新的連接到服務(wù)器，或已有的連接何時(shí)需要延續(xù)。使用ASE后，連接合并的優(yōu)勢(shì)就表達(dá)出來(lái)了：1) ASE處理了所有客戶(hù)端的連接，服務(wù)器不再需要?jiǎng)?chuàng)立和釋放連接；2) 連接合并后，服務(wù)器只需要處理少量的TCP會(huì)話(huà)；3) ASE屏蔽了各種方式的客戶(hù)端WAN接入，防止了

29、服務(wù)器受到延遲、沖突、丟包等客戶(hù)端因素的影響；4) ASE與服務(wù)器建設(shè)少量連接，傳輸大量對(duì)象，到達(dá)了最大資源利用。同時(shí)ASE與服務(wù)器在一個(gè)局域網(wǎng)中，大大降低了客戶(hù)端到服務(wù)器的延時(shí)，就好似將客戶(hù)端搬到服務(wù)器的局域網(wǎng)中一樣；ASE 連接和請(qǐng)求處理機(jī)制及其強(qiáng)大的處理能力能夠保護(hù)服務(wù)器免于超載，使得服務(wù)器可以充分發(fā)揮其潛力，而由ASE 處理頂峰負(fù)荷。SecPath ASE的單臂部署方案采用單臂模式，可以將ASE旁路部署在網(wǎng)絡(luò)內(nèi)部，不需要改變網(wǎng)絡(luò)原有部署。訪(fǎng)問(wèn)Web服務(wù)器資源的用戶(hù)首先要被牽引到應(yīng)用加速設(shè)備ASE上，連接終結(jié)后，ASE再與后臺(tái)服務(wù)器進(jìn)展服務(wù)請(qǐng)求。網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案SecP

30、ath ASE系列單臂應(yīng)用部署圖由于單臂模式無(wú)需改變網(wǎng)絡(luò)環(huán)境，因此在大大提高應(yīng)用運(yùn)行速度的同時(shí)，也保證了應(yīng)用的可靠性。減少網(wǎng)絡(luò)維護(hù)工作量和日常運(yùn)營(yíng)成本。SecPath ASE的在線(xiàn)部署方案將ASE部署在服務(wù)器群前端，串行接入網(wǎng)絡(luò)，為用戶(hù)提供應(yīng)用加速和負(fù)載均衡功能，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用的性能提升。SecPath ASE系列在線(xiàn)應(yīng)用部署圖在線(xiàn)部署ASE可以為用戶(hù)提供一個(gè)應(yīng)用加速通路，ASE對(duì)遠(yuǎn)程用戶(hù)的連接進(jìn)展終結(jié)，實(shí)現(xiàn)應(yīng)用加速與負(fù)載均衡。使用在線(xiàn)部署模式時(shí)，SecPath ASE實(shí)現(xiàn)對(duì)非HTTP協(xié)議的透明轉(zhuǎn)發(fā)，確保服務(wù)器上其他服務(wù)的正常應(yīng)用。同時(shí)訪(fǎng)問(wèn)Web服務(wù)器資源的用戶(hù)訪(fǎng)問(wèn)的是應(yīng)用加速設(shè)備，終端用戶(hù)并

31、沒(méi)有與Web服務(wù)器直接連接，防止了后端服務(wù)器遭受DDOS攻擊。網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案2.4應(yīng)用智能之負(fù)載均衡作為業(yè)務(wù)網(wǎng)絡(luò)的心臟，數(shù)據(jù)中心面臨著眾多的挑戰(zhàn)。擴(kuò)展性、靈活性、高性能、可靠性和安全性，無(wú)一不是對(duì)數(shù)據(jù)中心的要求。尤其重要的一點(diǎn)是：在訪(fǎng)問(wèn)請(qǐng)求急劇增長(zhǎng)的時(shí)候，服務(wù)器仍要保證快速、穩(wěn)定的傳送應(yīng)用到客戶(hù)端。如果不在數(shù)據(jù)中心配置負(fù)載均衡，將會(huì)導(dǎo)致服務(wù)器負(fù)載不均，局部負(fù)載很重的機(jī)器仍然不斷的處理新來(lái)的業(yè)務(wù)請(qǐng)求，出現(xiàn)性能下降、響應(yīng)時(shí)間變慢，甚至出現(xiàn)宕機(jī)。而其它的服務(wù)器可能長(zhǎng)期處于輕載或空閑狀態(tài)，導(dǎo)致數(shù)據(jù)中心整體性能不高、資源利用率不高、整體投資得不到保證。配置負(fù)載均衡后，將解決服務(wù)器任務(wù)

32、調(diào)度和資源占用不均衡的狀態(tài)，提高性能的同時(shí)提高業(yè)務(wù)系統(tǒng)的整體魯棒性。SecBlade LB(Load Balance)業(yè)務(wù)模塊是一款高性能負(fù)載均衡產(chǎn)品，該業(yè)務(wù)模塊創(chuàng)新性地實(shí)現(xiàn)了應(yīng)用優(yōu)化與網(wǎng)絡(luò)交換設(shè)備的完美融合。具有即插即用、擴(kuò)展性強(qiáng)的特點(diǎn)，降低了用戶(hù)管理難度，減少了維護(hù)成本。通過(guò)對(duì)各種應(yīng)用進(jìn)展識(shí)別和區(qū)分，并對(duì)服務(wù)器、防火墻進(jìn)展安康檢測(cè)和性能檢測(cè)，采用網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案自適應(yīng)智能算法將各種應(yīng)用訪(fǎng)問(wèn)請(qǐng)求均衡分發(fā)至不同設(shè)備上.極大地提高了應(yīng)用訪(fǎng)問(wèn)速度,為企業(yè)和運(yùn)營(yíng)商網(wǎng)絡(luò)提供了一個(gè)高性能、經(jīng)濟(jì)高效的負(fù)載均衡解決方案。LB設(shè)備與會(huì)聚層交換機(jī)之間有兩條鏈路或鏈路聚合組，這兩條鏈路組分別為L(zhǎng)

33、3鏈路和L2鏈路，服務(wù)器網(wǎng)關(guān)指向LB設(shè)備，對(duì)于需要負(fù)載均衡的流量，會(huì)聚層將VSIP的下一跳指向LB，而LB的缺省路由指向會(huì)聚層交換機(jī)。網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案3數(shù)據(jù)中心虛擬化隨著業(yè)務(wù)的持續(xù)開(kāi)展、系統(tǒng)的更新升級(jí)、設(shè)備的不斷增多、能耗的大幅飚升，數(shù)據(jù)中心面臨著資源分配與業(yè)務(wù)開(kāi)展無(wú)法完美匹配的難題：1、業(yè)務(wù)系統(tǒng)日益增多：需要更多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，運(yùn)行的業(yè)務(wù)系統(tǒng)不斷的發(fā)生變化，資源和設(shè)備分配之間的矛盾日趨劇烈；2、設(shè)備多，部署繁雜：在數(shù)據(jù)大集中的趨勢(shì)下，數(shù)據(jù)中心機(jī)房?jī)?nèi)的IT根基設(shè)施規(guī)模非常龐大，而且還將持續(xù)不斷的增加、部署難度大幅增加；3、投資持續(xù)增加：IT根基設(shè)施規(guī)模的成倍增加，在數(shù)據(jù)中

34、心投入的硬件成本、軟件成本、人力成本等水漲船高；4、運(yùn)維成本和能耗高：設(shè)備增多，能耗和運(yùn)維成本自然隨之增加，不符合綠色數(shù)據(jù)中心的開(kāi)展趨勢(shì)，能耗已經(jīng)成為數(shù)據(jù)中心運(yùn)維的沉重經(jīng)濟(jì)負(fù)擔(dān)；所以，為了降低TCO，需要對(duì)數(shù)據(jù)中心進(jìn)展整合。這也帶來(lái)了一系列難題：1、安全性：多種業(yè)務(wù)集成在一套設(shè)備上，安全性需要保證；網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案2、資源合理分配：不同的業(yè)務(wù)對(duì)數(shù)據(jù)中心資源也有不同的需求，要保證各個(gè)業(yè)務(wù)合理的使用資源。虛擬化能夠解決這些難題，虛擬化用多個(gè)物理實(shí)體創(chuàng)立一個(gè)邏輯實(shí)體，或者用一個(gè)物理實(shí)體創(chuàng)立多個(gè)邏輯實(shí)體。實(shí)體可以是計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)或應(yīng)用資源。虛擬化實(shí)質(zhì)：隔離。虛擬化技術(shù)將不同的業(yè)務(wù)隔

35、離開(kāi)來(lái)，彼此不能互訪(fǎng)，從而保證業(yè)務(wù)的安全需求；將不同的業(yè)務(wù)的資源隔離開(kāi)來(lái)，從而保證業(yè)務(wù)對(duì)于數(shù)據(jù)中心資源的需求。H3C的虛擬化解決方案可包括三局部：網(wǎng)絡(luò)虛擬化 計(jì)算虛擬化 存儲(chǔ)虛擬化 數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化和園區(qū)虛擬化結(jié)合，將數(shù)據(jù)中心的訪(fǎng)問(wèn)與網(wǎng)絡(luò)接入的終端用戶(hù)認(rèn)證、安全檢查和動(dòng)態(tài)授權(quán)結(jié)合，確保了數(shù)據(jù)中心的安全與靈活訪(fǎng)問(wèn)。數(shù)據(jù)中心的核心交換機(jī)兼做園區(qū)虛擬化VPN的PE，會(huì)聚交換機(jī)做相應(yīng)的MCE，結(jié)果把園區(qū)虛擬化終結(jié)在數(shù)據(jù)中心上。在數(shù)據(jù)中心的接入交換機(jī)上配置VLAN實(shí)現(xiàn)業(yè)務(wù)的邏輯隔離，并且讓每個(gè)VLAN和會(huì)聚交換機(jī)MCE的相應(yīng)路由表形成對(duì)應(yīng)關(guān)系。這樣數(shù)據(jù)中心的虛擬化通過(guò)數(shù)據(jù)中心的接入、會(huì)聚、核心設(shè)備貫穿到園區(qū)虛擬化中，形成網(wǎng)絡(luò)端到端的虛擬化。數(shù)據(jù)中心防火墻支持虛擬化功能，可以集成或者旁?huà)煸跀?shù)據(jù)中心會(huì)聚交換機(jī)上，配合網(wǎng)絡(luò)虛擬化完成數(shù)據(jù)中心資源的虛擬化。數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化特色：數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化和客戶(hù)端虛擬化EAD、園區(qū)網(wǎng)虛擬網(wǎng)絡(luò)產(chǎn)品部H3C 數(shù)據(jù)中心解決方案