運(yùn)營(yíng)商支撐云資源池建設(shè)方案

1、運(yùn)營(yíng)商支撐云資源池建設(shè)方案IT支撐資源池云網(wǎng)絡(luò)方案支撐云資源池項(xiàng)目情況Part0項(xiàng)目背景云資源池建設(shè)情況系統(tǒng)X86服務(wù)器數(shù)量進(jìn)度信息系統(tǒng)部業(yè)支云管理信息化24已建分公司開(kāi)發(fā)平臺(tái)8已建NGBOSS&CRM 3.540在建桌面云系統(tǒng)4待建電子化渠道四期20在建數(shù)據(jù)部業(yè)務(wù)云ADC平臺(tái)、短信搜索等19套系統(tǒng)140已建網(wǎng)絡(luò)部網(wǎng)絡(luò)支撐云統(tǒng)一存儲(chǔ)100T在建目前，信息系統(tǒng)部業(yè)支云已有96臺(tái)X86服務(wù)器，網(wǎng)絡(luò)部網(wǎng)絡(luò)支撐云統(tǒng)一存儲(chǔ)100T，數(shù)據(jù)部業(yè)務(wù)云140臺(tái)X86服務(wù)器。本文件為支撐網(wǎng)云平臺(tái)資源池一期工程項(xiàng)目建議書(shū)，本期工程按照滿足支撐云資源需求進(jìn)行建設(shè)。本期工程將建設(shè)一朵基于IAAS模式的跨部門(mén)并涵蓋三大I

2、T支撐系統(tǒng)的支撐云，以滿足我公司各類支撐系統(tǒng)平臺(tái)的建設(shè)需求。積極試點(diǎn)和引入云計(jì)算技術(shù)，目前已經(jīng)在IT支撐系統(tǒng)、數(shù)據(jù)業(yè)務(wù)系統(tǒng)以及IDC數(shù)據(jù)中心等多個(gè)網(wǎng)絡(luò)中結(jié)合實(shí)際情況不同程度進(jìn)行了云計(jì)算的引入和應(yīng)用，積累了一定的建設(shè)和使用經(jīng)驗(yàn)。隨著云計(jì)算試點(diǎn)應(yīng)用的逐步推進(jìn)，決定進(jìn)行“支撐網(wǎng)云平臺(tái)資源池一期工程”的建設(shè)。項(xiàng)目背景項(xiàng)目概況和編制依據(jù)項(xiàng)目背景集團(tuán)公司私有云總體技術(shù)要求、私有云資源池系統(tǒng)技術(shù)要求、私有云管理平臺(tái)設(shè)備規(guī)范、私有云資源管理接口規(guī)范；安徽公司近期云計(jì)算建設(shè)模式及實(shí)施方案、私有云建設(shè)規(guī)范；信息系統(tǒng)部云平臺(tái)建設(shè)規(guī)范和運(yùn)維體系匯報(bào)；網(wǎng)絡(luò)部網(wǎng)管云建設(shè)思路。設(shè)計(jì)院項(xiàng)目組與安徽公司各相關(guān)部門(mén)調(diào)研溝通獲取的

3、相關(guān)資料和數(shù)據(jù)。編制依據(jù)系統(tǒng)定位系統(tǒng)定位：業(yè)務(wù)支撐系統(tǒng)、管理信息系統(tǒng)、網(wǎng)管支撐系統(tǒng)等三大IT支撐系統(tǒng)的的基于云計(jì)算技術(shù)的統(tǒng)一承載平臺(tái)。主機(jī)網(wǎng)絡(luò)存儲(chǔ)管理安全云資源池+云管理平臺(tái)支撐網(wǎng)云平臺(tái)業(yè)務(wù)支撐系統(tǒng)管理信息系統(tǒng)網(wǎng)管支撐系統(tǒng)一朵跨部門(mén)的IT支撐云演進(jìn)方向演進(jìn)方向：本期工程將建設(shè)一朵跨部門(mén)并涵蓋三大IT支撐系統(tǒng)的支撐云，未來(lái)支撐云平臺(tái)將與業(yè)務(wù)云平臺(tái)逐步演進(jìn)為一朵私有云。未來(lái)演進(jìn)成一朵私有云統(tǒng)籌規(guī)劃、條塊結(jié)合，分步實(shí)施。支撐云IDC資源池+IDC運(yùn)營(yíng)管理平臺(tái)統(tǒng)一業(yè)務(wù)生成環(huán)境資源池+管理平臺(tái)網(wǎng)絡(luò)支撐資源池+管理平臺(tái)業(yè)務(wù)支撐網(wǎng)資源池+管理支撐網(wǎng)資源池+管理平臺(tái)初期中期業(yè)務(wù)云遠(yuǎn)期云IDC公有云私有云云計(jì)算

4、演進(jìn)實(shí)施路線Part1一期規(guī)劃1、總體方案建設(shè)思路本期工程將建設(shè)一朵跨部門(mén)并涵蓋三大IT支撐系統(tǒng)的基于IAAS模式的支撐云，包括云資源池系統(tǒng)和云管理平臺(tái)。云資源池：在機(jī)房新增X86主機(jī)、SAN存儲(chǔ)和NAS存儲(chǔ)，以及虛擬化軟件和相應(yīng)的網(wǎng)絡(luò)、安全、備份設(shè)備系統(tǒng)，構(gòu)建支撐云資源池。云管理平臺(tái)：集中建設(shè)1套云管理平臺(tái)，對(duì)支撐云云資源池的統(tǒng)一管理和調(diào)度。私有云管理平臺(tái)資源池1、總體方案本期架構(gòu)本期網(wǎng)絡(luò)架構(gòu)根據(jù)公司關(guān)于省中心機(jī)房使用規(guī)劃的最新決策意見(jiàn)，本期設(shè)備集中部署在機(jī)房?jī)?nèi)。本期網(wǎng)絡(luò)架構(gòu)采用模塊化組網(wǎng)設(shè)計(jì)，分為業(yè)務(wù)網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)三個(gè)網(wǎng)絡(luò)平面。本期資源池主要包括主機(jī)資源池、存儲(chǔ)資源池以及網(wǎng)絡(luò)設(shè)備

5、等。1、總體方案目標(biāo)架構(gòu)目標(biāo)架構(gòu)：構(gòu)建和緯五路兩個(gè)資源池系統(tǒng)，由云管理平臺(tái)統(tǒng)一調(diào)度和管理 。2、主機(jī)資源池序號(hào)需求部門(mén)需求涵蓋范圍主機(jī)池規(guī)模X86主機(jī)（臺(tái)）虛擬化（CPU）1信息系統(tǒng)部4個(gè)系統(tǒng)平臺(tái)遷移+8個(gè)新建擴(kuò)容項(xiàng)目1404042網(wǎng)絡(luò)部7個(gè)系統(tǒng)平臺(tái)遷移+14個(gè)新建擴(kuò)容項(xiàng)目1082883資源池4個(gè)云資源池共用平臺(tái)3680總計(jì)284772X86主機(jī)資源池新增284臺(tái)X86主機(jī)新增772CPU虛擬化主機(jī)資源池虛擬化主機(jī)方案：新增284臺(tái)X86架構(gòu)服務(wù)器，采用虛擬化技術(shù)構(gòu)建主機(jī)資源池.3、存儲(chǔ)資源池存儲(chǔ)方案：根據(jù)本期需求，新增1套SAN存儲(chǔ)和1套NAS存儲(chǔ)，構(gòu)建存儲(chǔ)資源池。序號(hào)需求部門(mén)需求涵蓋范圍存

6、儲(chǔ)池規(guī)模SAN存儲(chǔ)（TB）NAS存儲(chǔ)（TB）1信息系統(tǒng)部4個(gè)系統(tǒng)平臺(tái)遷移+8個(gè)新建擴(kuò)容項(xiàng)目200602網(wǎng)絡(luò)部7個(gè)系統(tǒng)平臺(tái)遷移+14個(gè)新建擴(kuò)容項(xiàng)目15003資源池4個(gè)云資源池共用平臺(tái)250總計(jì)37560新增1套SAN存儲(chǔ)，容量375TB。新增1套NAS存儲(chǔ)，容量60TB。SAN云存儲(chǔ)NAS云存儲(chǔ)存儲(chǔ)資源池4、備份方案建設(shè)方案：新增備份服務(wù)器和+新增1套磁帶庫(kù)+擴(kuò)容利舊原有備份軟件和虛擬帶庫(kù)備份介質(zhì)。備份方案：采取VTL虛擬帶庫(kù)+磁帶庫(kù)的二級(jí)備份方式實(shí)現(xiàn)云平臺(tái)的數(shù)據(jù)備份。備份策略：核心數(shù)據(jù)：虛擬機(jī)操作系統(tǒng)系統(tǒng)及應(yīng)用、數(shù)據(jù)庫(kù)以及系統(tǒng)關(guān)鍵數(shù)據(jù)先備份到虛擬磁帶VTL中，經(jīng)VTL對(duì)原始數(shù)據(jù)進(jìn)行壓縮和重復(fù)數(shù)

7、據(jù)刪除處理后，再備份到后端的磁帶庫(kù)中。其余數(shù)據(jù)：除核心數(shù)據(jù)外，其余數(shù)據(jù)直接備份到磁帶庫(kù)中。本期將集中建設(shè)1套存儲(chǔ)備份系統(tǒng)，對(duì)云資源池的虛擬機(jī)和數(shù)據(jù)庫(kù)以及各系統(tǒng)關(guān)鍵數(shù)據(jù)進(jìn)行集中備份。新增新增利舊擴(kuò)容4、備份方案數(shù)據(jù)備份系統(tǒng)備份：每雙周進(jìn)行一次全備份，數(shù)據(jù)保存半年。包括物理機(jī)和虛擬機(jī)操作系統(tǒng)和程序文件。數(shù)據(jù)庫(kù)備份：每周進(jìn)行一次全備份，每天進(jìn)行一次增量備份，數(shù)據(jù)保留1個(gè)月。其他數(shù)據(jù)備份：其他重要文件和數(shù)據(jù)，每月進(jìn)行增量備份。數(shù)據(jù)恢復(fù)系統(tǒng)：直接恢復(fù)最新一次全備份數(shù)據(jù)，只需一次恢復(fù)即可。數(shù)據(jù)庫(kù)：先恢復(fù)全備份，再恢復(fù)增量備份。最多只需恢復(fù)7個(gè)備份介質(zhì)數(shù)據(jù)。其他數(shù)據(jù)：根據(jù)需要恢復(fù)具體文件所在的備份文件。數(shù)據(jù)

8、類型 全備周期 增備周期 保存時(shí)間 備份時(shí)間窗 系統(tǒng)備份 14天 NA182天 8小時(shí) 數(shù)據(jù)庫(kù)備份 7天 1天30天 8小時(shí)離線數(shù)據(jù)30天2年8小時(shí)5、安全方案防火墻部署：部署防火墻，實(shí)現(xiàn)系統(tǒng)防護(hù)。IPS入侵檢測(cè)：通過(guò)部署IPS設(shè)備及時(shí)發(fā)現(xiàn)入侵行為。負(fù)載均衡設(shè)備：對(duì)服務(wù)器進(jìn)行負(fù)載均衡，提高主機(jī)可靠性。虛擬機(jī)防病毒：對(duì)云平臺(tái)在虛擬機(jī)層面進(jìn)行病毒防護(hù)。本期資源池不設(shè)置外網(wǎng)統(tǒng)一出口區(qū)域，只與內(nèi)網(wǎng)DCN進(jìn)行互聯(lián)，需要訪問(wèn)外網(wǎng)的系統(tǒng)通過(guò)IT支撐系統(tǒng)中原有的統(tǒng)一互聯(lián)網(wǎng)出口實(shí)現(xiàn)訪問(wèn)。本期將部署防火墻、IPS、負(fù)載均衡器、虛擬機(jī)防病毒等設(shè)備進(jìn)行系統(tǒng)的安全防護(hù)和安全性的提升。6、安全方案安全域劃分私有云資源池系

9、統(tǒng)劃分為互聯(lián)網(wǎng)接口區(qū)、DMZ區(qū)域、內(nèi)部互聯(lián)區(qū)、核心交換區(qū)、業(yè)務(wù)區(qū)域、存儲(chǔ)區(qū)域和管理維護(hù)區(qū)共7個(gè)區(qū)域，進(jìn)行物理隔離。在業(yè)務(wù)區(qū)域中包括核心生產(chǎn)區(qū)、業(yè)務(wù)測(cè)在試區(qū)、接入維護(hù)區(qū)等，各個(gè)區(qū)域之間在接入層物理隔離，匯聚/核心層通過(guò)VLAN進(jìn)行邏輯隔離，在內(nèi)部防火墻上進(jìn)行安全訪問(wèn)策略控制。防火墻設(shè)置私有云資源池公網(wǎng)出口設(shè)置雙層異構(gòu)防火墻。內(nèi)層防火墻主要保證各業(yè)務(wù)系統(tǒng)核心生產(chǎn)區(qū)的安全，對(duì)核心生產(chǎn)區(qū)與DMZ、內(nèi)部互聯(lián)接口區(qū)、測(cè)試區(qū)、管理維護(hù)區(qū)的訪問(wèn)策略進(jìn)行控制，同時(shí)內(nèi)層防火墻可通過(guò)劃分虛擬防火墻的方式，將業(yè)務(wù)需求相似的業(yè)務(wù)系統(tǒng)劃分在同一個(gè)虛擬防火墻內(nèi)。外層防火墻主要對(duì)DMZ接口區(qū)訪問(wèn)Internet的訪問(wèn)進(jìn)行策略

10、控制。業(yè)務(wù)網(wǎng)絡(luò)的各安全域應(yīng)對(duì)應(yīng)部署在不同位置的防火墻的不同安全級(jí)別內(nèi)。本期將通過(guò)安全域劃分，對(duì)不同安全域采取不同的安全策略和進(jìn)行安全隔離。6、安全方案本期將通過(guò)VLAN劃分，對(duì)不同VLAN內(nèi)的應(yīng)用系統(tǒng)進(jìn)行隔離。每個(gè)安全域內(nèi)不同的業(yè)務(wù)系統(tǒng)使用不同的VLAN，所有VLAN之間缺省是互相隔離的，如果有互訪需求需要在防火墻上做策略允許其互訪，包括同一業(yè)務(wù)系統(tǒng)內(nèi)部不同安全域的互訪，也包括不同業(yè)務(wù)系統(tǒng)之間的互訪。Hardware PhysicalHypervisor (VMM)VM1VM2VM3Hardware PhysicalHypervisor (VMM)VM1VM2VM3VFW1VFW3VFW 安全

11、運(yùn)維管理平臺(tái)CMNET/DCN/外聯(lián)網(wǎng)絡(luò)服務(wù)器層虛機(jī)接入層多業(yè)務(wù)接入層安全防護(hù)層MDC1MDC2MDC3核心交換層用戶身份認(rèn)證網(wǎng)關(guān)【VPN網(wǎng)關(guān)】VRF1VRF3VRF支撐系統(tǒng)1類VLAN1-10VLAN11-30VLAN40-60支撐系統(tǒng)2類支撐系統(tǒng)3類7、云管理平臺(tái)本期將集中建設(shè)1套云管理平臺(tái)，對(duì)云資源池進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)資源的統(tǒng)一供給和靈活調(diào)度及全生命周期的管理。云管理平臺(tái)支持對(duì)多個(gè)資源池的統(tǒng)一管理。云管理平臺(tái)的核心功能主要包括運(yùn)營(yíng)管理和資源管理兩大功能子模塊：運(yùn)營(yíng)管理功能子模塊運(yùn)營(yíng)管理子模塊，負(fù)責(zé)基礎(chǔ)資源服務(wù)的運(yùn)營(yíng)管理，向用戶提供主機(jī)、存儲(chǔ)、網(wǎng)絡(luò)等資源供給服務(wù)，并通過(guò)調(diào)用資源管理功能子模

12、塊來(lái)管理資源池內(nèi)的資源，并為管理人員提供運(yùn)營(yíng)管理和系統(tǒng)管理功能。資源管理功能子模塊資源管理子模塊，負(fù)責(zé)監(jiān)控和管理主機(jī)、存儲(chǔ)、網(wǎng)絡(luò)、虛擬化平臺(tái)等各類IT資源或設(shè)備，接收并執(zhí)行來(lái)自運(yùn)營(yíng)管理功能子模塊的指令，根據(jù)指令有策略的完成資源調(diào)度、資源部署、資源操作和資源管理等任務(wù)，并向管理人員提供必要的資源管理和系統(tǒng)管理功能。云計(jì)算資源池1.2.3n資源管理功能運(yùn)營(yíng)管理功能云管理平臺(tái)7、云管理平臺(tái)功能組成：云管理平臺(tái)應(yīng)用主要由門(mén)戶應(yīng)用、運(yùn)營(yíng)管理、資源管理、系統(tǒng)接口、系統(tǒng)管理等5個(gè)部分組成。云管理平臺(tái)軟件需要定制化開(kāi)發(fā)。平臺(tái)組成：管理平臺(tái)主要運(yùn)營(yíng)管理服務(wù)器、資源管理服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、接口服務(wù)器、門(mén)戶應(yīng)用服

13、務(wù)器等5類主機(jī)和共享存儲(chǔ)以及管理局域網(wǎng)組成。建設(shè)方案：云管理平臺(tái)主要由（管理平臺(tái)服務(wù)器+SAN共享存儲(chǔ)+管理局域網(wǎng)+1套管理平臺(tái)軟件+數(shù)據(jù)庫(kù)和中間件）構(gòu)成。8、組網(wǎng)方案本期組網(wǎng)方案包括：1、新增1對(duì)管理匯聚交換機(jī)，實(shí)現(xiàn)管理和維護(hù)組網(wǎng)。2、新增2對(duì)業(yè)務(wù)匯聚交換機(jī)，實(shí)現(xiàn)新增主機(jī)資源池的組網(wǎng)。3、新增1對(duì)核心交換機(jī)，實(shí)現(xiàn)云資源池的核心層組網(wǎng)。4、新增1對(duì)NAS萬(wàn)兆交換機(jī)，實(shí)現(xiàn)NAS存儲(chǔ)組網(wǎng)。5、新增1對(duì)SAN光纖交換機(jī)，實(shí)現(xiàn)SAN存儲(chǔ)組網(wǎng)。交換機(jī)名稱單臺(tái)端口需求本期單臺(tái)最低配置建設(shè)配置檔次SAN光纖交換機(jī)115FC 192個(gè)FC 8GB端口集采配置I檔最大支持256口NAS存儲(chǔ)交換機(jī)2010GE48

14、個(gè)10GE集采配置數(shù)據(jù)中心級(jí)II檔業(yè)務(wù)匯聚交換機(jī)2810GE+14GE48個(gè)萬(wàn)兆+48個(gè)GE集采配置數(shù)據(jù)中心級(jí)II檔管理匯聚交換機(jī)410GE+75GE12個(gè)萬(wàn)兆+96個(gè)GE集采配置高端三層交換機(jī)云平臺(tái)核心交換機(jī)1210GE16個(gè)萬(wàn)兆+IPS+FW集采配置數(shù)據(jù)中心級(jí)I檔Part2實(shí)施情況組網(wǎng)拓?fù)銲RF2業(yè)務(wù)核心S12518+FW+IPSCR16KCR16KOSS業(yè)務(wù)網(wǎng)BSS業(yè)務(wù)網(wǎng)(包含經(jīng)分業(yè)務(wù)網(wǎng))MSS業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)IRF2數(shù)據(jù)云模塊S12508IRF2S12508IRF2業(yè)務(wù)接入業(yè)務(wù)網(wǎng)S12508ServerIRF2業(yè)務(wù)接入業(yè)務(wù)網(wǎng)S12508ServerIRF2業(yè)務(wù)接入業(yè)務(wù)網(wǎng)S12508S

15、erverIRF2業(yè)務(wù)接入業(yè)務(wù)網(wǎng)S12508ServerIRF2數(shù)據(jù)核心S12518核心互聯(lián)業(yè)務(wù)網(wǎng)NAS核心網(wǎng)NAS存儲(chǔ)節(jié)點(diǎn)經(jīng)分?jǐn)?shù)據(jù)網(wǎng)20G鏈路，流量未統(tǒng)計(jì)經(jīng)分?jǐn)?shù)據(jù)網(wǎng)WLAN視頻監(jiān)控網(wǎng)客戶感知檢測(cè)網(wǎng)數(shù)據(jù)核心網(wǎng)新增新增二期二期數(shù)據(jù)云模塊組網(wǎng)說(shuō)明匯聚交換機(jī)共8臺(tái)；設(shè)備型號(hào)為S12508；核心交換機(jī)共4臺(tái)；設(shè)備型號(hào)為S12518；同時(shí)配置了8塊SECBALDE FW插卡和4塊IPS插卡出口路由器為CR16018；通過(guò)匯聚路由器分別連接網(wǎng)管系統(tǒng)、BSS系統(tǒng)和MSS系統(tǒng)；云平臺(tái)匯聚交換機(jī)接如下幾類業(yè)務(wù): 1、OSS系統(tǒng) 2、BSS系統(tǒng) 3、MSS系統(tǒng) 4、訪問(wèn)互聯(lián)網(wǎng)的系統(tǒng) 5、USS系統(tǒng) 6、測(cè)試業(yè)務(wù)（

16、OSS、BSS、MSS三類）OSSBSSMSSUSS測(cè)試BSSMSSOSSS12518interossBSSmssossBSSmss總體設(shè)計(jì)方案云平臺(tái)內(nèi)部需求實(shí)現(xiàn)細(xì)節(jié)云平臺(tái)內(nèi)部和外部互訪需求實(shí)現(xiàn)細(xì)節(jié)云中心相同區(qū)域訪問(wèn)之間不需要經(jīng)過(guò)防火墻內(nèi)部業(yè)務(wù)需求實(shí)現(xiàn)（一）實(shí)現(xiàn)：1、采用VLAN隔離業(yè)務(wù),核心采用VRF進(jìn)行隔離VRF OSS VRF BSS VRF MSS 業(yè)務(wù)S12518數(shù)據(jù)S12518VLAN BSS VLAN OSS VLAN MSS VRF INTERNET VRF USS VLAN USSVLAN internet VRF 測(cè)試 VLAN 測(cè)試 USS業(yè)務(wù)訪問(wèn)云中心的OSS,BSS,

17、MSS直接通過(guò)S12518進(jìn)行轉(zhuǎn)發(fā)實(shí)現(xiàn)：1、使用RT的方式，在MP-BGP下引入直連路由，USS業(yè)務(wù)可訪問(wèn)云中心OSS、BSS、MSS數(shù)據(jù)S12518VRF OSS VRF BSS VRF MSS 業(yè)務(wù)S12518VLAN BSS VLAN OSS VLAN MSS VRF INTERNET VRF USSVLAN USSVLAN internet VRF 測(cè)試 VLAN 測(cè)試 內(nèi)部業(yè)務(wù)需求實(shí)現(xiàn)（二）測(cè)試業(yè)務(wù)訪問(wèn)云中心業(yè)務(wù)系統(tǒng)經(jīng)過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā)實(shí)現(xiàn)：1、在FW1-2上起vpn-instance：VRF-OSS、VRF-BSS、VRF-MSS，其互聯(lián)接口綁定相應(yīng)的vpn實(shí)例中去；2、FW3-4上

18、啟用NAT，用于映射某些數(shù)據(jù)業(yè)務(wù)3、VRF-測(cè)試和VRF-internet配置缺省路由指向FW1-2接口地址；VRF OSS VRF BSS VRF MSS 數(shù)據(jù)S12518VRF USS VRF 測(cè)試 FW-3/4OSPF 1OSPF 2OSPF 3VRF INTERNET FW-1/2OBM業(yè)務(wù)S12518內(nèi)部業(yè)務(wù)需求實(shí)現(xiàn)（三）云平臺(tái)內(nèi)部需求實(shí)現(xiàn)細(xì)節(jié)云平臺(tái)內(nèi)部和外部互訪需求實(shí)現(xiàn)細(xì)節(jié)內(nèi)外業(yè)務(wù)需求實(shí)現(xiàn)（一）云中心的OSS數(shù)據(jù)業(yè)務(wù)訪問(wèn)外部OSS網(wǎng)絡(luò)直接經(jīng)過(guò)數(shù)據(jù)S12518轉(zhuǎn)發(fā)，BSS、MSS相同實(shí)現(xiàn)：1、CR16008上啟用VRF，將和外部OSS，BSS，MSS的接口劃分至相應(yīng)的VRF2、數(shù)據(jù)S

19、12518互聯(lián)接口綁定至相應(yīng)的VRF，在CR16008和S12518之間啟用多實(shí)例的OSPF，S12518上相應(yīng)的OSPF實(shí)例可以學(xué)習(xí)到相應(yīng)vrf的外部相應(yīng)路由VRFOSSVRF OSS VRF BSS VRF BSS 數(shù)據(jù)S12518CR16008-1CR16008-2VRFBSSVRFMSS 云中心的OSS數(shù)據(jù)業(yè)務(wù)訪問(wèn)外部BSS網(wǎng)絡(luò)直接經(jīng)過(guò)數(shù)據(jù)S12518轉(zhuǎn)發(fā)，通過(guò)外網(wǎng)OSS，BSS，MSS內(nèi)部互通；BSS、MSS相同實(shí)現(xiàn)：1、CR16008上啟用VRF，將和外部OSS，BSS，MSS的接口劃分至相應(yīng)的VRF2、數(shù)據(jù)S12518互聯(lián)接口綁定至相應(yīng)的VRF，在CR16008和S12518之間

20、啟用多實(shí)例的OSPF，S12518上相應(yīng)的OSPF實(shí)例可以學(xué)習(xí)到相應(yīng)vrf的外部路由和缺省路由VRFOSSVRF OSS VRF BSS VRF MSS 數(shù)據(jù)S12518CR16008-1CR16008-2VRFBSSVRFMSS內(nèi)外業(yè)務(wù)需求實(shí)現(xiàn)（二） 云中心的數(shù)據(jù)訪問(wèn)互聯(lián)網(wǎng)的主機(jī)需經(jīng)過(guò)業(yè)務(wù)核心交換機(jī)的防火墻處理后轉(zhuǎn)發(fā)至相應(yīng)的外部網(wǎng)絡(luò)訪問(wèn)互聯(lián)網(wǎng)實(shí)現(xiàn)：1、防火墻上啟用VRF實(shí)例OSS、BSS、MSS和S12518上的VRF INTERNET（分為三個(gè)VRF，分別為OSS、BSS、MSS）互聯(lián)；2、防火墻和業(yè)務(wù)S12518之間啟用靜態(tài)路由或動(dòng)態(tài)路由，同時(shí)在防火墻上配置域間策略，實(shí)現(xiàn)INTERNET

21、 VRF只能訪問(wèn)外部的相應(yīng)的OSS、BSS、MSS區(qū)域VRFOSSVRF OSS VRF BSS VRF MSS 數(shù)據(jù)S12518CR16018-1CR16018-2VRFBSSVRFMSSVRF INTERNET FW-1&2內(nèi)外業(yè)務(wù)需求實(shí)現(xiàn)（三）實(shí)現(xiàn)：1、CR16008上啟用VRF，將和外部OSS，BSS，MSS互聯(lián)的接口劃分至相應(yīng)的VRF2、數(shù)據(jù)S12518互聯(lián)接口綁定至相應(yīng)的VRF，在CR16008和S12518之間啟用多實(shí)例的OSPF，F(xiàn)W3-4啟用OSPF多進(jìn)程，使用相應(yīng)的域間策略保證到外部系統(tǒng)的通信 數(shù)據(jù)測(cè)試業(yè)務(wù)訪問(wèn)云中心業(yè)務(wù)系統(tǒng)或訪問(wèn)外部網(wǎng)絡(luò)需經(jīng)過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā)VRFOSSVR

22、F OSS VRF BSS VRF MSS 數(shù)據(jù)S12518CR16018-1CR16018-2VRFBSSVRFMSSVRF 測(cè)試 FW-3&4內(nèi)外業(yè)務(wù)需求實(shí)現(xiàn)（四）Part3二期規(guī)劃二期規(guī)劃：多機(jī)房，大數(shù)據(jù)10G核心交換層1G匯聚交換層cluster1cluster2cluster3Hadoop大數(shù)據(jù)平臺(tái)Cluster 02*10G2*10G2*10G2*10G2*10G2*10G入口流量Gn/Gb4G/LTEWLAN寬帶BSS話單等MC信令互聯(lián)網(wǎng)數(shù)據(jù)支撐云項(xiàng)目總結(jié)一期已使用技術(shù)：1、使用N:1的IRF2虛擬化技術(shù)，將多臺(tái)數(shù)據(jù)中心交換機(jī)邏輯成1臺(tái)，各設(shè)備間具備統(tǒng)一的轉(zhuǎn)發(fā)表項(xiàng)和管理平面；2、

23、使用網(wǎng)絡(luò)安全融合技術(shù)，直接在核心交換機(jī)上安裝防FW、IPS板卡，并通過(guò)虛擬防火墻技術(shù)解決支撐云內(nèi)部虛擬機(jī)安全問(wèn)題；3、VRF技術(shù)，核心SW、出口Router開(kāi)啟VRF，保證業(yè)務(wù)間隔離需求；一期建議使用技術(shù)：A、使用1:N的MDC技術(shù)，便于將支撐系統(tǒng)從邏輯上分成幾大類接入；B、使用四框虛擬化技術(shù)，及跨廣域網(wǎng)的大二層擴(kuò)展技術(shù)EVI，滿足今后同城及異地機(jī)房間虛擬遷移的要求；IT支撐資源池云網(wǎng)絡(luò)方案支撐云資源池項(xiàng)目情況網(wǎng)絡(luò)設(shè)計(jì)概述支撐云整體網(wǎng)絡(luò)架構(gòu)采用分層分區(qū)設(shè)計(jì)縱向分為出口層、核心層、接入層、管理層；功能分區(qū)分為核心交換區(qū)、安全區(qū)、生產(chǎn)資源池區(qū)（細(xì)分為物理計(jì)算資源池和虛擬計(jì)算資源池）、存儲(chǔ)區(qū)、管理區(qū)

24、內(nèi)部網(wǎng)絡(luò)采用兩層扁平化設(shè)計(jì)：核心層+接入層，服務(wù)器網(wǎng)關(guān)部署在核心層設(shè)備上全網(wǎng)設(shè)備采用數(shù)據(jù)中心級(jí)交換機(jī)，支持網(wǎng)絡(luò)虛擬化技術(shù)，構(gòu)建端到端的無(wú)環(huán)大二層網(wǎng)絡(luò)，并實(shí)現(xiàn)跨設(shè)備鏈路聚合以及虛擬化后的設(shè)備的單一網(wǎng)元管理總體網(wǎng)絡(luò)共XX組共XX組10GE鏈路 GE鏈路（管理） 出口層核心層接入層管理調(diào)度層網(wǎng)管區(qū)虛機(jī)資源池物理資源池GE鏈路（業(yè)務(wù)） 整網(wǎng)使用數(shù)據(jù)中心級(jí)交換機(jī)，通過(guò)網(wǎng)絡(luò)虛擬化技術(shù)，搭建統(tǒng)一的核心交換平臺(tái)；各機(jī)房核心交換平臺(tái)，通過(guò)二層互聯(lián)方案邏輯成一個(gè)大平臺(tái)，虛擬機(jī)可以在多個(gè)機(jī)房間平滑遷移，達(dá)到多中心間負(fù)載均衡和互為災(zāi)備的目的；網(wǎng)絡(luò)安全融合一體化設(shè)計(jì)，簡(jiǎn)化整體架構(gòu)，節(jié)省安全投資成本；通過(guò)虛擬防火墻技術(shù)解

25、決支撐云內(nèi)部虛擬機(jī)安全問(wèn)題；支持高密度的40GE和100GE，滿足云計(jì)算、大數(shù)據(jù)等高帶寬需求；組網(wǎng)方案重點(diǎn)H3C IRF24臺(tái)設(shè)備虛擬成一臺(tái)上下層級(jí)的設(shè)備縱向虛擬化H3C MDCMultitenant Device ContextN:1橫向虛擬化N:1縱向虛擬化1:N虛擬化故障收斂時(shí)間縮短90%以上，運(yùn)維管理難度減少75%以上最全面的虛擬化技術(shù)IRF2.0系統(tǒng)物理連接示意多網(wǎng)卡服務(wù)器10GEIRF2.0系統(tǒng)邏輯連接示意802.3ad普通以太網(wǎng)接入交換機(jī)IRF接入交換機(jī)組802.3ad多網(wǎng)卡服務(wù)器普通以太網(wǎng)接入交換機(jī)IRF接入交換機(jī)組IRF2虛擬化技術(shù)，降低二層網(wǎng)絡(luò)成本：消除二層網(wǎng)絡(luò)環(huán)路問(wèn)題，避

26、免部署復(fù)雜的STP通過(guò)跨設(shè)備的鏈路聚合技術(shù)提高帶寬利用率，減少設(shè)備端口數(shù)保護(hù)倒換時(shí)間從2-4秒降到50mS以內(nèi)通用性好，上下游設(shè)備無(wú)需支持IRF虛擬化的設(shè)備邏輯上是一臺(tái)，作為一個(gè)網(wǎng)元設(shè)備進(jìn)行管理配置云計(jì)算資源池多物理集群協(xié)同工作，需要大二層網(wǎng)絡(luò)；云計(jì)算資源池虛擬主機(jī)在線遷移，也需要大二層網(wǎng)絡(luò)，否則云計(jì)算資源的靈活性與充分性就無(wú)從談起。橫向虛擬化-IRF2Multitenant Device Context (MDC)Multitenant Device Context (MDC)是什么?MDC技術(shù)是一種完全的1:N設(shè)備虛擬化技術(shù)，將一臺(tái)物理網(wǎng)絡(luò)設(shè)備通過(guò)軟件虛擬化成多臺(tái)邏輯網(wǎng)絡(luò)設(shè)備，虛擬化出來(lái)的

27、邏輯網(wǎng)絡(luò)設(shè)備簡(jiǎn)稱MDC（Multitenant Device Context）軟件上，MDC將網(wǎng)絡(luò)設(shè)備的控制平面、數(shù)據(jù)平面、管理平面進(jìn)行了完全的虛擬化硬件上，MDC將網(wǎng)絡(luò)設(shè)備的硬件資源進(jìn)行了虛擬化，不僅可以將板卡、端口等硬件資源劃分到獨(dú)立的邏輯設(shè)備，而且可配置每個(gè)邏輯設(shè)備的CPU、內(nèi)存、存儲(chǔ)空間等資源Multitenant Device Context (MDC)的優(yōu)點(diǎn)復(fù)用，多臺(tái)MDC共用物理設(shè)備的資源，使物理資源能得到充分利用隔離， 同一臺(tái)物理設(shè)備上的多個(gè)MDC具有獨(dú)立的軟硬件資源，獨(dú)立運(yùn)行互不影響高伸縮性，可整合多個(gè)物理網(wǎng)絡(luò)到一個(gè)物理設(shè)備上，也可以將一個(gè)物理設(shè)備擴(kuò)展為多個(gè)邏輯網(wǎng)絡(luò)H3C 1

28、:N 設(shè)備虛擬化技術(shù)構(gòu)建網(wǎng)絡(luò)資源池IRFOne Virtual DeviceActive MPUInterface cardStandby MPUInterface card。Device PoolDefault MDCMDC 2MDC nMDC 3IRF多虛一將多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)合并為網(wǎng)絡(luò)資源池MDC一虛多網(wǎng)絡(luò)資源的按需再分配IRF+MDC同城大二層擴(kuò)展技術(shù)：四框IRF服務(wù)器GE接入核心交換機(jī)2*S12518服務(wù)器GE接入DCN三層路由協(xié)議接入交換機(jī)接入交換機(jī) IRF2四臺(tái)虛擬成一臺(tái)三層網(wǎng)絡(luò)二層網(wǎng)絡(luò)三層網(wǎng)關(guān)跨機(jī)房光纖支撐系統(tǒng)支撐系統(tǒng)x大二層網(wǎng)絡(luò)區(qū)域核心交換機(jī)2*S12518緯五路機(jī)房機(jī)房EVIEV

29、I（Ethernet Virtual interconnection）是一種MACoIP技術(shù)，通過(guò)將MAC封裝在IP報(bào)文中實(shí)現(xiàn)跨IP網(wǎng)二層互通。EVI 設(shè)備實(shí)現(xiàn)ARP代理功能，EVI設(shè)備通過(guò)IRF和端口聚合技術(shù)實(shí)現(xiàn)高可用性站點(diǎn)A-合肥EVIIRFDCNEVIIRF站點(diǎn)B-淮南IRFIRFL3 linkL2 linkEVI Tunnel接入層核心層出口層IRFIRFEVI：Ethernet Virtual Interconnection，L2 over L3異地大二層擴(kuò)展技術(shù)：EVI云平臺(tái)安全建設(shè)方案Hardware PhysicalHypervisor (VMM)VM1VM2VM3Hardwa

30、re PhysicalHypervisor (VMM)VM1VM2VM3VFW1VFW3VFW 安全運(yùn)維管理平臺(tái)CMNET/DCN/外聯(lián)網(wǎng)絡(luò)服務(wù)器層虛機(jī)接入層多業(yè)務(wù)接入層安全防護(hù)層MDC1MDC2MDC3核心交換層用戶身份認(rèn)證網(wǎng)關(guān)【VPN網(wǎng)關(guān)】VRF1VRF3VRF支撐系統(tǒng)1類VLAN1-10VLAN11-30VLAN40-60支撐系統(tǒng)2類支撐系統(tǒng)3類虛擬防火墻有自己獨(dú)立的路由表，支持轉(zhuǎn)發(fā)多實(shí)例和路由多實(shí)例，允許不同的租戶地址空間重疊 可以設(shè)置分級(jí)管理，不同租戶的管理員可以登陸到不同的虛擬防火墻，看到獨(dú)立的管理界面，維護(hù)私有的防火墻路由和安全策略可以限定各虛擬防火墻資源使用能力（并發(fā)連接數(shù)、吞吐量）虛擬防火墻實(shí)例提供相互隔離的安全服務(wù)，具備私有的區(qū)域、域間、ACL規(guī)則組和NAT地址池，并且能夠?qū)⒔壎ń涌诩尤胨接袇^(qū)域 虛擬防火墻實(shí)例能夠提供地址綁定、黑名單、地址轉(zhuǎn)換、包過(guò)濾、統(tǒng)計(jì)、攻擊防范、ASPF和N