云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)項(xiàng)目方案設(shè)計(jì)

云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)項(xiàng)目方案設(shè)計(jì)1.1網(wǎng)絡(luò)總體規(guī)劃數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)，需要考慮到以下的一些因素：系統(tǒng)的先進(jìn)程度、系統(tǒng)的穩(wěn)定性、可擴(kuò)展性、系統(tǒng)的維護(hù)成本、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的配合度、與外界互連網(wǎng)絡(luò)的連通、建設(shè)成本的可接受程度。網(wǎng)絡(luò)整體設(shè)計(jì)采用國際通行的TCP／IP協(xié)議，并達(dá)到以下目標(biāo)：1）系統(tǒng)可靠性和穩(wěn)定性作為高性能園區(qū)網(wǎng)絡(luò)，系統(tǒng)的高可靠性和穩(wěn)定性是網(wǎng)絡(luò)應(yīng)用環(huán)境正常運(yùn)行的首要條件。在保證系統(tǒng)可靠性的基礎(chǔ)上，還要進(jìn)一步提高系統(tǒng)的可用性。我們可以從以下幾個(gè)方面來提供保證。網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)具有很高的平均無故障時(shí)間，并且在業(yè)界有廣泛的用戶基礎(chǔ)；關(guān)鍵網(wǎng)絡(luò)設(shè)備冗余工作，其關(guān)鍵部件可實(shí)現(xiàn)在線更換（熱拔插），故障的恢復(fù)時(shí)間在秒級間隔內(nèi)完成；網(wǎng)絡(luò)在設(shè)備、拓?fù)湟约熬€路等方面均應(yīng)具有較高的可靠性，以保證每周7*24小時(shí)，每年365*24小時(shí)的正常工作。2）開放性和標(biāo)準(zhǔn)化為了保證在網(wǎng)絡(luò)時(shí)保證不同設(shè)備的互通性，所以網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)時(shí)必須采用開放技術(shù)、支持國際標(biāo)準(zhǔn)協(xié)議，具有良好的互連互通性，保證支持同一廠家的不同系列的產(chǎn)品以及與不同廠商的不同網(wǎng)絡(luò)設(shè)備無縫連接和互操作的能力。3）具有高處理能力、可擴(kuò)展性現(xiàn)支持各種高速網(wǎng)絡(luò)（快速以太網(wǎng)、千兆以太網(wǎng)、萬兆以太網(wǎng)等技術(shù)），提高對數(shù)據(jù)包的轉(zhuǎn)發(fā)能力和速度，提供足夠的網(wǎng)絡(luò)帶寬。支持各種協(xié)議并存，可靈活地構(gòu)成不同系統(tǒng)，并可方便地從拓?fù)涞慕嵌群驮O(shè)備的角度擴(kuò)展，方便升級以滿足將來業(yè)務(wù)增長的需要。在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，為了適應(yīng)用戶快速增長的需要，首先要滿足現(xiàn)有規(guī)模網(wǎng)絡(luò)用戶和應(yīng)用的需求，同時(shí)考慮未來業(yè)務(wù)發(fā)展、規(guī)模的擴(kuò)大，應(yīng)該設(shè)計(jì)關(guān)鍵網(wǎng)絡(luò)設(shè)備具備擴(kuò)展能力以及網(wǎng)絡(luò)實(shí)施新應(yīng)用的能力。靈活擴(kuò)充性：靈活的端口擴(kuò)充能力，模塊擴(kuò)充能力，滿足網(wǎng)絡(luò)規(guī)模的擴(kuò)充。支持新應(yīng)用的能力：產(chǎn)品具有支持新應(yīng)用的技術(shù)準(zhǔn)備，能夠符合實(shí)際要求的，方便快捷地實(shí)施新應(yīng)用。4）系統(tǒng)的先進(jìn)、成熟、實(shí)用性及可管理和可維護(hù)性當(dāng)今世界，通信技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展日新月異，網(wǎng)絡(luò)設(shè)計(jì)既要適應(yīng)新技術(shù)發(fā)展的潮流，保證系統(tǒng)的先進(jìn)性，也要兼顧技術(shù)的成熟性、實(shí)用性，選擇最合適的設(shè)備和技術(shù)，降低由于新技術(shù)和新產(chǎn)品不成熟因素給用戶帶來的風(fēng)險(xiǎn)。在系統(tǒng)設(shè)計(jì)中，選擇先進(jìn)的系統(tǒng)管理軟件是必不可少的。我們在這里采用我們通過這個(gè)統(tǒng)一的管理平臺(tái)的控制，監(jiān)控主機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)狀態(tài)，簡化管理工作，提高了主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的利用效率。提供先進(jìn)而完善的網(wǎng)絡(luò)管理工具，監(jiān)控網(wǎng)絡(luò)故障，優(yōu)化網(wǎng)絡(luò)性能，實(shí)現(xiàn)一體化的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理基于SNMP，支持RMON和RMON2。5）系統(tǒng)安全性和保密性現(xiàn)在我們網(wǎng)絡(luò)內(nèi)接入的用戶對網(wǎng)絡(luò)的好奇心，促使會(huì)攻擊我們內(nèi)部網(wǎng)絡(luò)，我們制訂統(tǒng)一的安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性，能夠提供不同方式不同級別的安全策略，保證網(wǎng)絡(luò)重要用戶和數(shù)據(jù)服務(wù)器的安全性。所以說安全性是網(wǎng)絡(luò)運(yùn)行的生命線。合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的信息資源得到有效的保護(hù)。網(wǎng)絡(luò)可以阻止任何非法的操作；網(wǎng)絡(luò)設(shè)備可進(jìn)行基于協(xié)議、基于MAC地址、基于IP地址的包過濾控制功能，不同的業(yè)務(wù)，劃分到不同的虛網(wǎng)中。6）保護(hù)用戶現(xiàn)有投資及效益性在保證網(wǎng)絡(luò)整體性能的前提下，網(wǎng)絡(luò)設(shè)計(jì)充分保護(hù)用戶投資及效益性，利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級，在原設(shè)備的基礎(chǔ)上，進(jìn)行網(wǎng)絡(luò)建設(shè)，避免用戶投資的重復(fù)浪費(fèi)，在滿足用戶需求和未來發(fā)展的趨勢情況下，采用性價(jià)比高的設(shè)備，構(gòu)筑經(jīng)濟(jì)可靠的網(wǎng)絡(luò)平臺(tái)，使新系統(tǒng)更有效地承擔(dān)繁重的任務(wù)，能支持將來系統(tǒng)的維護(hù)和平滑升級。所采用的設(shè)備應(yīng)是當(dāng)今業(yè)界的主流產(chǎn)品，采用主流技術(shù)、標(biāo)準(zhǔn)協(xié)議，具有良好的互操作性，減少設(shè)備互連的問題，網(wǎng)絡(luò)維護(hù)的費(fèi)用，使用戶的投資得到有效保護(hù)。1.2省級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)對于省級數(shù)據(jù)中心，一般規(guī)劃為大約五百臺(tái)高性能服務(wù)器，在這種模式下，可以規(guī)劃2-3層網(wǎng)絡(luò)連接模式（下圖為3層） 如上圖所示，一般情況下，大型數(shù)據(jù)中心采用2-3層網(wǎng)絡(luò)結(jié)構(gòu)，以3層結(jié)構(gòu)為例，采用2臺(tái)高性能ExtremeNetworksBD8800核心交換機(jī)，提供48個(gè)四萬兆（40G接口），通過40G通道下聯(lián)到匯聚層SummitX670系列交換機(jī)。每臺(tái)ExtremeNetworksSummitX670交換機(jī)提供48-60個(gè)萬兆萬兆接口，并提供四萬兆接口上聯(lián)，萬兆下聯(lián)SummitX460交換機(jī)，通過X460交換機(jī)使用千兆連接所有服務(wù)器。 但是對于新型的大型數(shù)據(jù)中心，萬兆網(wǎng)絡(luò)連接已經(jīng)成為主流，所以一般使用萬兆連接服務(wù)器，則直接將網(wǎng)絡(luò)簡化為如下2層：萬兆以太網(wǎng)技術(shù)目前已成為建設(shè)大中型數(shù)據(jù)中心網(wǎng)絡(luò)的主流技術(shù)。為實(shí)現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)的功能，并考慮網(wǎng)絡(luò)在性能、容量、擴(kuò)展性、先進(jìn)性和服務(wù)質(zhì)量等方面的要求，經(jīng)過對交換以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、萬兆以太網(wǎng)不同網(wǎng)絡(luò)架構(gòu)在VLAN（虛擬局域網(wǎng)）技術(shù)、第三層或多層交換技術(shù)、QoS、ACL等方面的性能表現(xiàn)及成本分析，確定將高密度端口的萬兆以太網(wǎng)交換機(jī)作為整個(gè)信息網(wǎng)絡(luò)的接入設(shè)備。通過將萬兆以太網(wǎng)、千兆以太網(wǎng)、VLAN技術(shù)、三層路由交換、局域網(wǎng)中的QoS、ACL技術(shù)與投資經(jīng)濟(jì)性實(shí)現(xiàn)完美的有機(jī)結(jié)合，建立一個(gè)具有成熟的先進(jìn)技術(shù)，同時(shí)又可簡便維護(hù)和安全使用的網(wǎng)絡(luò)。在省級網(wǎng)絡(luò)設(shè)計(jì)中，我們最終推薦核心到接入交換機(jī)40G連接，接入到服務(wù)器10G連接。1.3市級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)市級數(shù)據(jù)中心一般采用小于100臺(tái)服務(wù)器，根據(jù)省級網(wǎng)絡(luò)的建設(shè)設(shè)計(jì)，我們同樣使用萬兆進(jìn)行連接，這里采用一臺(tái)SummitX670系列交換機(jī)。每臺(tái)ExtremeNetworksSummitX670交換機(jī)提供64個(gè)萬兆萬兆接口，或者采用X670交換機(jī)堆疊，提供112個(gè)萬兆端口，如下圖所示：1.4區(qū)縣級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì) 區(qū)縣級數(shù)據(jù)中心，一般采用普通企業(yè)級服務(wù)器，不進(jìn)行大規(guī)模數(shù)據(jù)集中，所以一般只適用千兆進(jìn)行接入，所以采用兩臺(tái)千兆交換機(jī)ExtremeNetworksSummitX460進(jìn)行互聯(lián)，通過冗余備份設(shè)置，千兆連接內(nèi)部所有服務(wù)器。 1.5省、市、區(qū)/縣數(shù)據(jù)中心互聯(lián)設(shè)計(jì) 對于大多數(shù)行業(yè)客戶如醫(yī)療、教育或政府等，其數(shù)據(jù)中心不只為本地市提供數(shù)據(jù)交換和處理，同時(shí)各級數(shù)據(jù)中心之間還需要進(jìn)行數(shù)據(jù)的遠(yuǎn)程交換和共享，從而充分發(fā)揮多級數(shù)據(jù)中心架構(gòu)的優(yōu)勢，使各級數(shù)據(jù)中心協(xié)同工作、遠(yuǎn)程交換、數(shù)據(jù)共享和統(tǒng)一管理。因此省、市、區(qū)/縣數(shù)據(jù)中心的互聯(lián)也勢在必行。1.5.1省、市數(shù)據(jù)中心互聯(lián)省數(shù)據(jù)中心由于數(shù)據(jù)量較大，需要同時(shí)匯聚地市一級數(shù)據(jù)中心，因此在省數(shù)據(jù)中心推薦配置兩臺(tái)MP7508作為核心匯聚路由器，并互為備份。MP7508匯聚路由器通過1000M光接口連接省數(shù)據(jù)中心核心交換機(jī)BD8800，再通過1000MMSTP或155MSDH/ATM網(wǎng)絡(luò)分別連接各個(gè)地市數(shù)據(jù)中心上聯(lián)路由器MP7204，地市上聯(lián)路由器MP7204通過1000M光接口連接其核心交換機(jī)X670。由于MP7508和MP7204路由器的高性能，從而實(shí)現(xiàn)省、市數(shù)據(jù)中心的高速互聯(lián)，其軟/硬件高可靠性設(shè)計(jì)以及每個(gè)節(jié)點(diǎn)采用雙機(jī)備份的方式，實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)母呖煽啃院头€(wěn)定性；另外我們可采用MPLS等安全技術(shù)，進(jìn)一步保證數(shù)據(jù)傳輸?shù)陌踩浴?.5.2市、區(qū)/縣數(shù)據(jù)中心互聯(lián)根據(jù)不同的行業(yè)和應(yīng)用,市數(shù)據(jù)中心與區(qū)/縣數(shù)據(jù)中心之間數(shù)據(jù)流量不同，在數(shù)據(jù)流量較大的應(yīng)用中，市數(shù)據(jù)中心采用MP7204中心匯聚路由器通過100M或1000MMSTP線路連接各個(gè)區(qū)/縣數(shù)據(jù)中心MP3840匯聚路由器；對于數(shù)據(jù)流量較小的行業(yè)或應(yīng)用，市數(shù)據(jù)中心MP7204可采用155MSDH線路，采用2M復(fù)用的方式連接各個(gè)區(qū)/縣數(shù)據(jù)中心MP2824，區(qū)/縣數(shù)據(jù)中心可根據(jù)實(shí)際帶寬需求采用2M或N*2M鏈路捆綁方式接入市數(shù)據(jù)中心。同樣為了提高互聯(lián)的可靠性，地市匯聚路由器和區(qū)/縣上聯(lián)路由器均采用雙機(jī)雙線路冗余備份方式，確保數(shù)據(jù)傳輸?shù)母呖煽啃浴?.5.3數(shù)據(jù)中心安全解決方案雖然數(shù)據(jù)中心處于一個(gè)相對安全的私有網(wǎng)絡(luò)環(huán)境，不同級別的數(shù)據(jù)中心也可通過運(yùn)營商專有線路進(jìn)行互聯(lián)互通，其內(nèi)部數(shù)據(jù)中心和傳輸線路上有一定的安全保障。同時(shí)為提高數(shù)據(jù)中心的開放度和利用率，以及遠(yuǎn)程管理等，其勢必要與外部網(wǎng)絡(luò)或internet進(jìn)行數(shù)據(jù)的互聯(lián)互通，為外部或互聯(lián)網(wǎng)用戶提供數(shù)據(jù)業(yè)務(wù)和管理。因此在數(shù)據(jù)中心的邊界需要充分考慮其接入和互聯(lián)互通的安全性，需要有效的的邊界隔離，可以實(shí)現(xiàn)對非法訪問的阻斷；其二是有效的身份識(shí)別與訪問控制功能，可以實(shí)現(xiàn)對源地址的定位、識(shí)別和控制；其三是建立有效的對抗攻擊能力，實(shí)現(xiàn)對異常流量、惡意代碼、有目標(biāo)的滲透等情況的鑒別和防護(hù)；其四是建立深度應(yīng)用識(shí)別與攻擊檢測，對應(yīng)用數(shù)據(jù)包進(jìn)行深度檢測，防范欺騙；其五是可以實(shí)現(xiàn)業(yè)務(wù)間隔離與帶寬資源控制，保障重要業(yè)務(wù)訪問；其六是保護(hù)數(shù)據(jù)傳輸安全，防止數(shù)據(jù)被竊聽和篡改；同時(shí)，還必須具有高可靠性的安全設(shè)備來防止由于高并發(fā)訪問量、系統(tǒng)故障等突發(fā)情況而帶來的訪問不便。此外，由于邊界是數(shù)據(jù)中心正常運(yùn)行的重要節(jié)點(diǎn)，部署安全產(chǎn)品必須具有便于管理的特點(diǎn)，這就要求設(shè)備能夠適應(yīng)不同的網(wǎng)絡(luò)環(huán)境，配置盡量簡單方便，特征庫能夠自動(dòng)升級，可以提供豐富的訪問審計(jì)功能，能夠?qū)α髁窟M(jìn)行有效監(jiān)控，能夠提供豐富的攻擊統(tǒng)計(jì)，使數(shù)據(jù)中心系統(tǒng)管理員能夠充分掌握數(shù)據(jù)中心的安全態(tài)勢，為不斷地優(yōu)化安全策略提供依據(jù)。因此我們建議采用綜合的安全網(wǎng)關(guān)作為數(shù)據(jù)中心邊界接入和隔離，為其提供用戶安全接入、抗攻擊、入侵檢測、防病毒、高性能VPN、帶寬管理等綜合安全解決方案，避免了采用多廠家多型號(hào)的安全產(chǎn)品而帶來的管理和維護(hù)上的安全風(fēng)險(xiǎn)。 以下為數(shù)據(jù)中心安全解決方案： 在省、市、區(qū)/縣數(shù)據(jù)中心邊界，我們采用MSG4000綜合安全網(wǎng)關(guān)作為外部移動(dòng)用戶、遠(yuǎn)程管理以及第三方平臺(tái)等用戶