海尔集团数据中心平台新建工程项目-技术方案书.docx

ECCO；i；隼 田 同 络海尔集团数据中心平台新建工程售前工程技术方案书版本:v1.0日期：2015-11ECCOiiiWeb业务特别是面向互联网用户的业务，带来更大的平安威胁：攻击来源更加组织化、产业化，可能来自互联网的任 何一个角落。业务系统组成更加复杂，操作系统、Web服务器、通 用APP引擎、数据库都可能有漏洞，任何一个漏洞都可能导致 相关的几个系统逐个被攻破。内部用户在访问Internet过程中被入侵，成为攻击的 桥梁。2. 2.3计算业务I .业务简介计算业务是需要高性能计算的业务，典型的有3D渲染、药物研究、基因分 析、Web搜索业务等。计算业务的典型模式是以大量的普通服务器协同工作组成 集群，共同完成一项计算任务。II,流量需求Master服务器将计算业务分发给大量Slave服务器处理，Slave服务器将处 理结果返回给Master服务器。对网络的流量需求如下：图表25计算业务流量示意图（服务器集群）Master Slave Slave SlaveSlave Slave SlaveSlave Slave Slave除非Master服务器在业务分发时有很好的调度机制，否那么，服务器返回的 处理结果会集中在一个很小的时间区间内同时到达Master服务器。数据流量瞬 间会超过Master服务器的接口带宽，造成丢包。因此需要网络进行流量缓存。技术方案书上海华讯网络系统ECCOiii2. 2.4云服务业务I .业务简介云服务也被称作云计算服务.云计算是一种模式，它能够方便地、按需地接 入网络，访问共享的、可配置的计算资源(例如：网络，服务器，存储，应用 和服务)，这些计算资源能够被快速的提供和释放，在此过程中，管理的开销或 与服务提供者的交互最少。云计算的业务模式可以分为基础设施即服务(laaS)、平台即服务(PaaS)、软 件即服务(SaaS) o云计算的部署模式可以分为私有云服务和公有云服务私有云是指企业自己使用的云，它所有的服务不是供别人使用只供自己内部 人员或分支机构使用。私有云的部署比拟适合于有众多分支机构的大型企业或政 府部门。相对于公有云，私有云部署在企业自身内部，因此其数据平安性、系统 可用性都可由自己控制。但其缺点是投资较大，尤其是一次性的建设投资较大。II .虚拟化需求云计算是以服务的形式灵活的提供虚拟资源，因此数据中心服务器和网络设 备的虚拟化成为必要选择。服务器虚拟化后，多虚拟机之间的交互流量需要进行 流量监控和必要的策略控制。虚拟机的灵活部署和动态迁移需要网络接入侧做相 应的调整，在迁移时保持业务不中断。网络设备要实现横向的虚拟化和纵向虚拟 化。横向虚拟化可以有效实现节点设备的冗余，同时多台独立的物理设备从逻辑 上整合成一台设备，可以简化网络拓扑，易管理。纵向虚拟化可以实现业务的隔 离，提供平安性。III .流量需求数据中心部署私云服务后，企业内部员工通过虚拟机访问外部网络，下行流 量会显著增加。数据中心网络设备收敛比设计应做相应调整。企业数据中心提供公有云服务，商业客户租用服务器会开展不同的业务，例 如WEB业务，计算业务，或办公数据业务等。实际部署时建议按照不同的租户业 务类型进行分区，便于采用统一的网络策略。IV .平安需求私有云主要部署于企业内部。员工通过桌面访问数据中心的服务器，进行日 常工作或访问外网。私有云将分散的园区IT资源整合入数据中心，进行集中管 理，统一部署平安策略，有效降低了运维本钱。部署私有云后，数据中心应加强 对下行流量和服务器内虚拟机间流量的监控和平安防护。公有云的租户情况比拟复杂，需要保证租户间的隔离。10技术方案书上海华讯网络系统ECCOiii第3章总体网络设计方案3.1 数据中心设计方案网络建设设计原那么3.1.1.1 考前须知网络稳定是前提。稳定不光是指网络设备的稳定，还要考虑网络架构的 稳定。网络平安要防范。平安的内容包括对网络病毒的防范、对网络攻击的防 范以及保证接入用户的平安。网络管理要便捷。网络管理既包括对于网络设备的管理，同时也包括对 网络用户的管理。网络效率是保证。要提升网络的利用效率，最大程度保护用户的投资。3.1.1.2 原那么高稳定可靠性网络是各种应用的统一通信平台，平均无故障时间以及故障恢复时间， 要保持在一个可容忍的许可范围之内。不但要考虑设备本身的冗余、容错能 力，还要从网络架构的合理设计上，保障网络的稳定可靠运行。 高平安制定统一的平安策略，整体考虑网络平台的平安性，构建全局平安网络。 保证关键数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。 轻松使用易管理对于网络的配置管理简单方便，对网络实行集中监测、分权管理，并统 一分配带宽资源，选用先进的网络管理平台，实现对整网设备、端口的管理、 流量统计分析，以及提供故障的自动报警。 良好可扩充性高性价比，满足目前需要，通过灵活性和模块化的方式平滑升级网络功 能和扩展网络规模，满足不断增长的教学和管理的网络需求。3.1.2 概述传统的数据中心网络的建设往往是按照业务、空间或者楼宇等不同的方式进 行建设，主要是根据需求部署设备，这样的结果往往导致服务器及存储设备、布 线、供电分配、冷却分配都十分混乱，无法有效的进行管控，业务扩展复杂。技术方案书上海华讯网络系统ECCOiii当前数据中心网络建设，本着灵活性，高可用，易管理的设计原那么，首先按 照业务需求和平安等级划分分区，各个分区连接到业务核心。在分区内部采用模 块化（POD）设计方法。1.1.1 .1 模块化（POD）POD （Point of Delivery）是成熟的设计理念和方法。POD既可以是物理的、 也可以是逻辑的数据中心功能模块，一个POD,可以包含机柜、服务器及网络设 备、以及相应的配套基础设施；特定的POD可以只包含网络资源，或者服务器资 源，或者存储资源。POD是数据中心建设的一个基本组件，一个业务分区可以由 一个或者几个POD组成，后续业务也将以POD为基本组件进行扩展。图表31POD示意图Rack模块化部署有如下优点：易扩展，灵活的模块化设计方式，根据业务需求扩展，缩短规划 部署周期。提高投资利用率，降低维护本钱。提高能源利用率，冷热通道别离，符合绿色与节能原那么要求。1.1.2 . 2 分区根据企业业务系统的相关性、平安性、管理、规模等因素，把数据中心的服 务器进行分区。分区划分应优先考虑综合布线及运维基础设施，根据业务应用层 次、业务应用类型进一步划分。一个分区往往部署一个独立业务，可由多个POD 组成；分区具备汇聚交换机，以及防火墙、负载均衡等业务设备，上行连接数据 中心交换核心区设备。技术方案书12海华讯网络系统ECCOiii图表3-2分区逻辑图图表3-2分区逻辑图1.1.3 数据中心网络架构规划根据数据中心建设的一般需求,数据中心可划分为以下几个重要分区:交换核心区,互联接入区,存储区,业务区,运营维护区。图表33数据中心的分区图核心业至区f业务区其他业务区0A噂开发测试生产业务区0A办公业务区 业务测试区运营维护区交换核心区与整体网络架构交换核心区是数据中心网络的核心，连接内部各个业务区域、企业的内部网 络、合作单位的网络、灾备中心和外部用户接入的网络等。考虑到不同的业务需 要不同的网络架构，核心区与整体网络架构应统一考虑设计。业务区业务区是部署服务器和应用系统的区域。出于平安和扩展性的考虑，可以根 据应用的类型分为：生产业务区、办公业务区，开发测试区等。A存储区存储区包括FC SAN和IP SAN的存储设备和网络。技术方案书13海华讯网络系统ECCOiii互联接入区互联接入区根据互联的用户类型分为：内网接入区，外联网接入区，互联网 接入区和数据中心互联区。内网接入区用于企业总部、分支机构的网络互联。外 联网接入区是合作单位通过城域专线、广域专线和的网络互联。互联网接入区实 现互联网公众用户的接入、出差员工通过互联网平安接入、没有通广域网的办公 点通过互联网平安接入。数据中心互联区是实现灾备数据中心互联的区域，主要 是以传输设备实现与同城灾备中心的互联，以广域网专线实现与异地灾备中心的 互联。运营维护区运营维护区实现对网络、服务器、应用系统、存储进行维护管理，包括故障 管理，配置管理，性能管理，平安管理等。管理可以分为带内管理和带外管理, 通常建议使用带外管理。1.1.3.1 交换核心区网络规划交换核心区是整个数据中心网络的枢纽，要求高可靠性，不间断持续转发。 要求10GE 40GE 100GE高密端口接入，无阻塞大容量交换。同时,，根据业务部署需求及整个数据中心规模，有三种组网推荐模式：典型 三层组网，大二层组网，大二层拓展组网。I.典型三层组网三层方式组网图如以下图所示。这种方式有核心层、汇聚层、接入层三层设备， 每个汇聚区各自部署防火墙等平安设备，一个汇聚区可以作为一个POD或者一个 分区存在。核心及汇聚设备都是通过CSS/iStack虚拟化技术后成组（两台）部 署，网关一般部署在汇聚交换机上，可以通过传统CSS/iStack及xSTP技术实现 二层破环；也可在汇聚层和接入层应用纵向虚拟化技术（如SVF： Switch Virtual Fabric）实现接入层的简单管理及节点扩展。说明：纵向虚拟化技术可实现由父节点对子节点统一管理，在部署，维护, 升级过程中仅需要配置父节点即可，子节点即插即用，同时，父子节点间可实现 自动链路破环。为了满足接入节点横向流量无阻塞，要求子节点具备本地流量转 发能力。14技术方案书上海华讯网络系统ECCOiii图表34核心/汇聚/接入三层方式组网图接入 设备SVF接入层汇短i翳型图图 QB髓0在实际部署过程中，还可以将核心层和汇聚层部署在VS系统上，共用一组 物理交换机。这样既不改动原有的分区结构与业务结构，保存原有的网络模型, 又能减少网络投资，简化运维。图表35纵向核心汇聚融合组网图核I?县革核I爆 慎属研方业务区办公业务区通常企业可能会有多张相互独立的网络，分别运行不同的业务（例如生产网 和办公网）。两张网需要四台核心交换机，投资大，但资源利用率相对较低。部 署VS技术，两张网络在核心层共用两台物理交换机、独享不同的VS,既能实现 网络隔离，又能充分灵活利用设备资源。15技术方案书上海华讯网络系统ECCOiii图表3-6横向多网核心融合组网图 S3!IXIX-'L3路由L2交换L3路由L2交换生产网办公网部雪生产网办公网国图 图图II.大二层组网大二层组网如以下图。当一组核心设备不满足业务需求，同时数据中心有大规 模横向流量时，可以采用大二层组网方式，该组网适用于需要大范围资源共享、 虚拟机大范围迁移的企业网络，也适用于hadoop等基于SaaS> PaaS云计算业 务。大二层组网网关设置在核心层，核心层以下应用TRILL技术实现无阻塞大二 层网络。图表37大二层组网方式L2交涉该组网的主要特点如下：1）高效转发，任何两台服务器间的通信不超过3台设备。2）使用TRILL技术实现链路负载分担，最多可以实现16条链路负载 分担，链路使用效率高。3）有效防止环路，快速收敛。16技术方案书上海华讯网络系统ECCOiii4）部署方便，网络规模可弹性扩展。III .大二层拓展组网大二层组拓展组网如以下图，不同的大二层业务部署在独立的POD、分区内, 尤其是在原有传统数据中心基础上进行云数据中心建设，新业务部署，可以采用 大二层拓展组网模式，该组网也是大二层组网络与典型三层组网的结合，网关设 置在汇聚设备上，汇聚层以下采用TRILL, xSTP技术构建无环网络，网关设置在 汇聚设备上。图表38大二层拓展组网该组网的主要特点如下：1）组网灵活，可依据不同业务类型灵活选择部署方式。2）有效与原有数据中心网络互相融合。3）通过网络层次的拓展，可构建更大规模的数据中心网络。IV .网络可靠性规划网络可靠性是数据中心网络设计原那么高可用的必要要求，网络可靠性是通过 设备，链路冗余实现的。假设组网采用网关在汇聚层，汇聚层和核心层之间采用三 层路由的方式，通过等价路径再辅助部署BFD快速检测故障，就能够保证链路故 障、设备故障的快速切换，同时也能够充分利用冗余链路。17技术方案书上海华讯网络系统ECCOiii图表39链路可靠性设计图表39链路可靠性设计在传统二层组网中，可以使用STP+VRRP的方案到达破环效果，但该方案有 收敛速度慢，链路利用率低，配置复杂等问题。集群+堆叠的无环网络方案可以解 决上面这些缺陷，核心/汇聚采用两台框式交换机集群，接入层采用盒式交换机 堆叠。接入层交换机和核心、汇聚层交换机间的链路进行链路捆绑。该方案在实 现减化管理和配置（集群和堆叠技术将需要管理的设备节点减少一半以上；组网 变得简洁不需要配置复杂的协议，包括STP/SmartLink/VRRP等）上，同时实现 设备及链路备份，提升网络可靠性。图表310集群+堆叠的无环网络核心层汇聚层接入层接入设备3.1.3. 2 数据中心接入区网络规划根据接入类型及服务类型划分多个不同的互联接入区域：内网接入区用于企 业总部、分支机构的网络互联；外联网接入区是合作单位通过城域专线、广域专 线和的网络互联；互联网接入区实现互联网公众用户的接入、出差员工通过互联 网平安接入、没有通广域网的办公点通过互联网平安接入；数据中心互联区是实 现灾备数据中心互联的区域，主要是以传输设备实现与同城灾备中心的互联，以 广域网专线实现与异地灾备中心的互联。数据中心互联是当前大型数据实现同城、 异地灾备的重要形式，有多种实现方案及技术，详细设计请参考多数据中心互 联规划一章。18技术方案书上海华讯网络系统第1章前言61文档目的61.2文档名称约定6第2章工程概述6工程背景62.1 现状和需求6数据业务6I .业务简介6,流量需求7II .可靠性需求7.平安需求72.1.1 WEB 业务7.业务简介7I ,流量需求8.可靠性需求8II .平安需求82.23计算业务9I .业务简介9.流量需求9技术方案书海华讯网络系统ECCO；i； .内部接入区图表311内部接入区设计数据中心核 心交换机园区核心交 换机数据中心核 心交换机园区核心交 换机本地园区由 核心早亘捋房入园区_二"M翳随口函蜜国脏第交换机国I国I电颊分手机均在内部接入分区的网络中，主要需要考虑线路双归、路由及设备的冗余备份。 而对于多分支机构互联，还应考虑多出口线路备份，并在出口考虑路由备份、负 载均衡。同时对于WAN链路，还应考虑部署QoS,以保证业务的服务质量。分支接入规划分支接入是指对于企业的分支机构（例如外研所、办事处等），通过专网或 公网方式，接入到企业的总部园区，实现分支与总部的互通。分支接入主要有专网方式、MPLS VPN方式、公网方式。A专网方式通过企业自建的广域专网，实现多分支之间的互联。这种 方式一般只适用于拥有自建骨干网的大型或特大型企业。 MPLS VPN方式通过租用运营商的MPLS VPN业务（L3VPN或者 L2VPN）,实现多分支之间的互联。这种方式经济高效，比拟适合有一 定数量分支机构，但是没有自建广域网的企业。公网方式是指不租用运营商的VPN业务，而是直接使用公共网络来 实现分支和总部之间的互联互通。公网方式比拟适合于只有少量小型 分支机构或者S0H0员工的企业。公网方式是通过不平安的公共网络接入的，因此关键是要保证数据的平安性。 公网方式是依靠在分支和总部园区网关之间构建点对点VPN,通过隧道方式来保 证数据的平安可靠传输。对于分支来说，公网方式所使用的VPN技术是GRE over IPSeCo GRE是常用1919技术方案书海华讯网络系统ECCOiii的隧道封装协议，可以很好的实现对于远程访问的数据承载，但是GRE只有简单 的密码验证，没有加密功能。而IPSec隧道加密功能很强，但是不能承载路由协 议，对于VPN的扩展性有较大影响。通过GRE和IPSec的结合，可以很好的实现 对于远程访问的数据流的承载和平安保护。>远程接入规划远程接入是指出差员工或者合作伙伴在非固定办公地点，例如酒店、机场等 场所，通过公网(例如Internet)接入园区网，并访问园区网中的内部资源。由于远程接入是通过不平安的公共网络接入的，因此关键是要保证远程访问 的平安性。远程接入是依靠在用户终端和园区网网关之间构建点对点VPN,通过 隧道方式来保证数据的平安可靠传输。远程接入所使用的VPN技术主要有L2Tp over IPSec、SSL VPN等方式。A L2Tp也是常用的隧道封装协议，并且具有很好的用户认证功能，但 是L2TP也没有加密功能。因此，也可以通过L2TP和IPSec的结合， 实现对于远程访问数据流的承载和平安保护。> SSL VPN是以HTTPS (Secure HTTP)为基础的VPN技术，工作在传 输层和应用层之间。SSL VPN充分利用了 SSL协议提供的基于证书的 身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通 信建立平安连接。SSL VPN广泛应用于基于Web的远程平安接入，为 用户远程访问公司内部网络提供了平安保证。II.外联网接入区图表312外联网接入区设计图表312外联网接入区设计合作伙伴*SSL VPNDMZ区内网区外联网接口皿L"、FW2题篇I1PS/IDSDNS. FTP.由于外联网接入区属于企业外部用户接入的区域，从网络信任关系上讲，安20技术方案书上海华讯网络系统ECCOiii全等级与DMZ相同，都属于非可信网络，不能直接与内部数据中心连接。访问权 限应限制在本区域内部及DMZ区域，内网访问应严格控制。外联网接入区部署LB,加快业务访问，提升用户体验。III.互联网接入区图表313互联网接入区设计Internet 用 anteinetSSL VPNIPS/IDSDMZ区DNS. FTP.外网接口内网区互联网接入区包括路由器、LB、FW、IPS/IDS. SSL VPN网关等设备。FW和IPS本身都是重要的网络设备，而且其位置一般都是作为网络的出口。 其位置和功能决定了防火墙和IPS设备应该具有非常高的可靠性。为了保证互联网接入区的可靠性,所有设备均需要成对部署，即两台路由器、 两台LB设备、两台FM两台VPN网关设备。这些成对的设备可以配置成负载分 担的方式，也可以配置成主备的方式，当一台设备出现问题的时候，另外一台能 单独工作，对业务的影响降到很低的程度。数据中心多ISP接入互联网时，一般采用负载均衡设备(LB)实现出入流量 的负载均衡。21技术方案书上海华讯网络系统ECCOiii3.1.3. 3典型业务分区网络规划图表314典型业务分区设计TOREOR/MORgW 冬存储* 耋I.物理组网规划接入层交换机部署在服务器机架内(TOR)或者独立的网络机柜中(E0R), 一般提供二层交换功能。TOR的部署模式一般适合高密度的机架服务器的接入；E0R模式一般适合低 密度的服务器，如小型机的接入。两者的区别如下表所示。部署方式TOREOR/MOR (Middle Of Rack)服务器类型1RU机架服 务器1RU机架服务器、刀片服务 器、小型机服务器数量1530台812 台适合场景高密度服务器 机柜低密度服务器机柜，服务器 机柜和网络机柜布线简化服务器机 柜与网络机柜 间布线布线复杂22技术方案书上海华讯网络系统ECCOiii服务器的接入方式分为下面四种情况:部署方式TOREOR/MOR (Middle Of Rack)维护接入设备多， 管理维护复杂 电缆维护简 单，扩展性好接入设备少，维护简单电缆 维护复杂中低端机架服务器，数量众多，通过接入层交换机接入。高端服务器/大型机，数量较少且重要性高，直接接在核心/汇聚层交换 机上，保证带宽。没有内置交换机的刀片服务器，通过接入层交换机接入。内置交换机的刀片服务器，直接接在核心/汇聚层交换机上，减少交换 网络的层级，提升网络性能。II .服务器多通道别离规划数据中心服务器10GE等I/O技术日益成熟，并逐渐大规模商用，但GE服务 器仍将会在一段时间内存在。GE服务器须采用多通道的方式，充分发挥CPU的 高性能。服务器多通道，相应的网络逻辑结构如以下图所示。图表315服务器多通道别离规划自;嚼曷：W向：I整个服务器区的网络架构是四网别离的架构，即网络可分为：业务网络、业 务管理网络、设备管理网络，存储网，四张网络物理隔离。服务器通过不同的网 卡分别接入不同的网络。III .服务器FCoE接入网络规划多个接入网络融合是服务器分区规划设计趋势，通过FCoE实现存储FC网络 和业务网络融合。可以减少服务器接口卡数量、电缆和接入网络设备数量，减少技术方案书23海华讯网络系统ECCOiii数据中心投资本钱；另外简化服务区布线，降低服务器区管理和维护本钱。详细 设计请参考存储融合网络规划一章。IV .可靠性规划服务器分区的可靠性包括网络可靠性、设备可靠性和服务器可靠性：网络可靠性通过集群+堆叠的无环网络提供，具体见核心区可靠性规划。设 备可靠性采用接入交换机堆叠。服务器可靠性是通过服务器双网卡来支持。服务器网络驱动程序将两个网卡捆绑成一个虚拟的网卡，对外提供一个唯一 的IP地址。需要服务器支持网卡聚合特性（NIC Teaming）：当一个网卡失效， 另一个网卡接管它的MAC地址。两个网卡采用主备或者负载分担的方式。双网卡主备方式对于主备方式的双网卡，两个网卡的MAC相同（如以下图，都是MAC1）。服务 器在发现主网卡故障后，切换到备网卡。并通过备网卡发出免费ARP。网络设备 必须正确处理这个免费ARP报文，才能将发给服务器的流量切换到新的转发路径 上。如以下图所示，主网卡故障后，转发路径需要从绿色曲线切换到紫色曲线。图表316双网卡主备方式接入层交换机在处理免费ARP报文时，需要将MAC1的出接口刷新到连接备 网卡的链路上，因此要求接入层交换机配置时将对应服务器主备网卡的两个端口 配置在同一个VLAN,不配置成链路捆绑（否那么不会刷新MAC1的出接口）。核心/汇聚层交换机在处理免费ARP报文时，由于核心/汇聚层交换机和接入 层交换机之间的是多条链路捆绑成的Trunk链路，因此，核心/汇聚层交换机不 会感知到变化。双网卡负载分担方式对于负载分担方式的双网卡，两个网卡的MAC相同（如以下图，都是MAC2）, 而且两个网卡都可以发送和接收流量。接入层交换机必须配置成堆叠，并将对应 服务器主备网卡的两个端口配置成链路捆绑。才能屏蔽MAC地址在两个交换机端 口间不断“跳跃”的处理。24技术方案书上海华讯网络系统ECCOiii如以下图所示，没有故障时转发路径时绿色曲线，两个网卡都有流量。左边网 卡故障后，转发路径需要从绿色曲线切换到紫色曲线。图表317双网卡负载分担方式由于汇聚层交换机和接入层交换机之间的是多条链路捆绑成的Trunk链路, 因此，汇聚层交换机感知不到接入层的变化，仍然会将流量发给左边的接入层交 换机。这个流量通过接入层交换机之间的堆叠链路转发给右边的接入层交换机, 由右边的接入层交换机转发给服务器。3.1.3. 4 存储分区规划图表318存储分区设计图表318存储分区设计小型机 二彳二二二节:二中二# 二二二；二"二*二二二二二二二二二;存储区1PSANFC SAN曷曷be盲8数据中心普遍采用集中式存储管理模式。存储设备和服务器之间通过直接的 高速网络联结，实现存储共享，备份，和容灾存储区依据服务器和操作系统的不同划分为封闭存储区和开放式存储 区。25封闭存储区主要应用于小型机。技术方案书海华讯网络系统ECCOiii 开放式存储区依据网络传输协议分为NAS IP SAN和FC SANo开放式存储区的集中存储池可以按服务等级分类。对于IP存储局部，如服务器之间的交互数据，可以通过目前运营商的 MPLS VPN或者VPLS虚拟专线，实现主备两个数据中心之间的互通；对于SAN存储局部，那么建议采用裸光纤甚至DWDM,提供主备数据中心 之间高速、低时延的互联互通，以满足存储数据的准实时备份需求。由于虚拟化的需求，极大的增加了服务器与存储的数据交换需求，对于 采用NAS方式的IP存储网络，至少要保证接入交换机采用10G的链路 接入。3.1.3. 5 管理分区规划图表3-19管理分区设计的甄 &二国证眼名器生杭一KVM KVM通电 SSBB 遇 0 i ,22 国；|j|带外网口0国OVd IP金故限中心业与河喧和住5故限中心业与河喧和住5灌产管理区网络设备可用带外网口，运行网管协议 实现网络管理、数据收集和实时监 控功能。系统管理员可远程控制服务器，实现无人机房管理。通过KVM转换器，客户端与服务器之间只传递键盘、鼠标和荧屏变化等交 互信息，客户端看到的只是服务器上应用运行的显示映像，防止跨域传输实体数 据，提升跨域访问平安性KVM认证服务器根据管理员的分工不同，授予其不同的访问权限，从而限制 其访问不同的设备.带外网管适于对平安性要求高的网络，如金融等，但组网本钱高。对平安性 要求不高的网络，可以使用带内网管。因当前数据中心规模越来越大，业务部署越来越复杂，数据中心运营及维护 成为一项重要且复杂的工作，详细的运营及维护建议及方案单独成章陈述，见网技术方案书26海华讯网络系统ECCO；i；络维护规划一章。方案整体特点3.1.4. 13.1.4. 1网络平安可信现代网络的平安性要求是日益增高，网络对平安的要求也比拟高。接入交换机利用基于协议、IP、MAC、端口及用户策略的二到四层以及时间 范围的ACL （接入访问控制列表）来完成用户的三层受控互访，通过对用户在单 位时间内的连接数量的限制，可以提供四层的用户平安；通过在交换机上实现用 户IP地址、MAC地址绑定技术防止MAC地址、IP地址的盗用。通过划分VLAN的方式，实现二层端口的隔离，保证非授权用户之间不能互 访，以防止各种问题的产生。通过MAC地址过滤可有效防止地址仿冒。通过广播 风暴抑制功能有效的抑制广播风暴的发生，防止对有效带宽的无端浪费。DCS- 3950系列交换机可以监视各个端口上发送和接收广播包的情况，一旦流经某端 的广播报文的数量超过预定的门限，将会触发交换机采取相应的保护措施（通 常是阻塞该端口并丢弃所有进入该端口的广播报文）；而此后当广播报文的数量 下降到预定门限之下后，交换机将解除保护措施。可以针对每个端口，或针对 所有端口设定门限。网络稳定可靠方案从设备本身、网络结构设计和平安防护三个方面确保了网络的高度稳定 可靠运行。核心设备本身具有强大的性能，支持LPM技术，极大地节约路由表项 空间，防止了存储溢出导致CPU利用率过高问题，保障设备的正常运行。同时, 各级设备支持丰富多样的功能，来抑制网络攻击、病毒的侵害。整网做到了全面 防护，确保了网络的稳定运行。采用先进的核心虚拟化技术架构设计：使用虚拟化前主用设管主用链第傍用设备27技术方案书上海华讯网络系统ECCOiii传统网络架构和虚拟化网络架构比照:¥术架 管理 性能 部署收敛稳定性传统分别配主备STP+VRRP复秒级(几十易震荡置N:N杂秒)虚拟化统一配负载分跨设备Port-毫秒级稳定置N: 1 担、双归 channel通过虚拟化技术实现整个虚拟化系统中设备之间的信息共享及表项同步，虚 拟化技术下的虚拟化系统整体性能及端口密度都得到了成倍的增长，突破了传统 网络结构中单台核心设备的性能及端口密度限制，通过虚拟化的带宽和可靠性, 保证了网络的稳定运行。该方案另外一个优点网络配置和维护简单，园区二层接入网，不需要配置复 杂的二层环网和保护倒换协议，二层链路故障直接感知快速切换，三层网络中多 个设备间共享路由表，网络故障路由收敛速度快。网络管理和维护难度大大降低, 此方案适应面广，扩展性强，是未来园区网的开展趋势。3.1.4. 3高性能数据转发高性能接入、核心及出口设备，保证全网线速转发。全面冗余设计，良好可扩展性核心交换机提供了足够的千兆接口，具备了冗余的性能；接入交换机支 持堆叠、级联等，可以提供丰富的端口资源；这样从网络主干的扩展，网络终端 接口的扩张等能够得到很好的响应，从而满足不断增长的教学和管理的网络需求。3. 2 地址及VLAN规划3.2.1 Ip地址规划IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空 间，又要表达出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高 路由算法的效率，加快路由变化的收敛速度。IP地址的分配应遵循以下几个原那么：(1)唯一性：一个IP网络中不能有两个主机采用相同的IP地址。(2)简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由2828技术方案书海华讯网络系统云服务业务10.业务简介10I ,虚拟化需求10量需求10II .平安需求10第3章总体网络设计方案113.1 数据中心设计方案113.1.1 网络建设设计原那么11考前须知113.1.1.1 原那么113.1.2 概述.11模块化(POD) 123.1.2.1 分区123.1.3 数据中心网络架构规划13交换核心区网络规划14I .典型三层组网14.大二层组网16II .大二层拓展组网17.网络可靠性规划173.1.3.1 数据中心接入区网络规划18I ,内部接入区19II外联网接入区20III.互联网接入区21222223II典型业务分区网络规划.物理组网规划I .服务器多通道别离规划技术方案书海华讯网络系统ECCOiii表。(3)连续性：连续地址在层次结构网络中易于进行路径叠合 (RouteSumarization),大大缩减路由表，提高路由算法的效率。(4)可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能 保证地址叠合所需的连续性。(5)灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术(VLSM Variable-Length Subnet Mask),以满足多种路由策略的优化，充分利用地址 空间。本工程中，各系统的IP地址建议使用新的连续网段。建议在各业务系统中 按照平安等级划分区域再细分为不同的网段。所以本工程实施前就必须对各业务 系统的IP资源进行充分统计。IP地址空间的分配，要与网络层次结构相适应, 既要有效地利用地址空间，又要表达出网络的可扩展性和灵活性，同时能满足路 由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。3. 3. 2 VLAN 规划在本次建设工程中，我们建议对于不同的子网，要通过三层VLAN方式进行 不同子网划分，通过三层VLAN划分，可以具备以下优点：控制网络上的广播假设所有设备都在一个vlan中。那么当某台设备发出一个广播报文，当这 个报文到达交换机以后会被交换机复制到除接收该报文的接口外的其余所有接 口。如果本来就只应该有一台设备对该广播报文进行处理和回复，那么其余设备 接收到该广播报文就是多余的，换句话说就是浪费了其余设备带宽。增加网络的平安性因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了 网络的利用率，确保了网络的平安保密性。有效和容易实现的方法是将网络分段 成几个不同的广播组，网络管理员限制VLAN中用户的数量，禁止未经允许的用 户访问VLAN中的应用。交换机上的端口可以基于应用类型和访问特权来进行分 组，被限制的应用程序和资源一般置于平安性较高的VLAN中。29技术方案书上海华讯网络系统ECCOiii3. 3网络协议规划3. 4. 1交换设计3.4.1.1 交换结构设计3.4.1.2 EC 设计EC(EtherChannel)设计原那么：EC(EtherChannel)中所有端口的速率和Duplex必须一致；使用手工方式来配置EC,将EC两端接口模式设为：ON；EC中所有端口必须在同一个VLAN中，或都是Trunk端口;负载均衡方式选择src-dst-mac 。3. 4.1.3 Trunk 设计交换设备间的二层链路的Trunk设计遵循以下原那么：分布层交换机之间使用Trunk互连；接入层和分布层交换机之间使用access模式互联；接入层交换机通过VLAN连接接入设备；交换设备间Trunk协议统一采用dotlq协议；Trunk两端的native-vlan必须设为一致，使用VLAN 1；Trunk两端接口的Speed和Duplex必须一致。30技术方案书上海华讯网络系统ECCO；i；生成树设计STP（生成树协议）是一个二层管理协议。在一个扩展的局域网中参与STP 的所有交换机之间通过交换桥协议数据单元BPDU （Bridge Protocol Data Unit）来实现；为稳定的生成树拓扑结构选择一个根桥；为每个交换网段选 择一台指定交换机；将冗余路径上的交换机置为Blocking,来消除网络中的 环路。IEEE 802. Id是最早关于STP的标准，它提供了网络的动态冗余切换机 制。STP使您能在网络设计中部署备份线路，并且保证：在主线路正常工作时，备份线路是关闭的。当主线路出现故障时自动使能备份线路，切换数据流。RSTP （Rapid Spanning Tree Protocol）是 STP 的扩展，其主要特点是 增加了端口状态快速切换的机制，能够实现网络拓扑的快速转换。根据网络建设内容，我们建议将主核心交换机设置为生成树的根、备核 交换机设置为生成树的辅根，其它接入交换机开启生成树服务。3.4.1.5 VTP 设计为了有