私有云中国保险资产管理业协会私有云平台实施方案_V40_1211-欧唯特信息44906.docx

《私有云中国保险资产管理业协会私有云平台实施方案_V40_1211-欧唯特信息44906.docx》由会员分享，可在线阅读，更多相关《私有云中国保险资产管理业协会私有云平台实施方案_V40_1211-欧唯特信息44906.docx（151页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国保险资产管管理业协会私有云平台实施施方案项目名称：中国国保险资产管管理业协会私私有云平台搭搭建项目2015年122月11日目录第1章 总体初步设计、工作方案11.1. 总体框架设计11.2. 技术路线21.2.1. 基础网络21.2.2. 基础设施31.2.3. 服务支撑31.2.4. 应用迁移41.2.5. 信息安全41.3. 实施产品清单51.4. 实施工作内容7第2章 网络技术实施方案82.1. 总体网络架构设计82.2. 网络子系统92.2.1. 云平台数据中心网络设计92.2.2. IP地址规划102.2.3. 路由协议设计122.2.4. VPN设计122.2.5. QOS设计

2、122.2.6. 可靠性设计162.2.7. 安全性设计172.2.8. 网管设计192.2.9. 云平台IDC虚拟化部署20第3章 云平台机房技术实施方案243.1. 系统概述243.2. 云平台机房概述253.2.1. 建设标准253.2.2. 地理位置273.2.3. 电力系统283.2.4. 制冷303.2.5. 消防313.2.6. 安保监控323.3. 数据中心机柜资源规划33第4章 云基础设施（IAAS层）技术实施方案354.1. 云计算基础架构体系354.1.1. 设计原则354.1.2. 系统总体架构364.2. 云计算中心网络层设计444.2.1. 设计思路444.3. 云

3、平台网络系统整体架构464.3.1. 整体架构设计思想464.3.2. 云平台内网网络系统设计484.3.3. 云平台中心核心交换区494.3.4. 云平台中心云资源池区504.3.5. 云平台中心运维管理区514.3.6. 外联安全接入区514.3.7. 云平台内网接入网络设计524.3.8. 云平台内网网络系统设计总结534.3.9. 云平台网络关键技术支撑544.4. 虚拟网络规划554.5. 服务器设备清单56第5章 软硬件实施详细方案585.1. 华为防火墙安装部署585.1.1. 配置备防火墙上的NAT585.1.2. 配置双机热备份模式595.2. 华为服务器安装部署615.2.

4、1. 服务器安装流程615.2.2. 服务器上架安装625.2.3. 配置RAID645.3. 浪潮存储AS520-E安装部署695.3.1. 设备登陆695.3.2. 创建资源池695.3.3. 创建RAID705.3.4. 自动镜像故障迁移715.3.5. 创建主机组715.4. VMware vCAC安装部署725.4.1. 部署VCAC Indentity725.4.2. 部署VCAC Appliance755.4.3. 安装配置工具785.5. VMware vSphere安装部署805.5.1. 方案拓扑805.5.2. 方案构成部分详细说明815.5.3. 硬件资源分配835.6

5、. Windows域控部署1015.6.1. 数据中心父域控搭建1015.6.2. 协会内网新建子域103第6章 项目管理计划1046.1. 云平台部署流程1046.2. 项目管理计划1056.3. 项目人员职责105-第93页 -第1章 总体初步设计、工工作方案1.1. 总体框架设计本次中国保险资资产管理业协协会私有云平平台实施工作作方案将针对对计算服务整整体架构中的的云计算资源源，通过对底底层服务器硬硬件及存储资资源实现虚拟拟化聚合部署署，配合以云云计算管理平平台、监控平台、资源调度平平台，实现云云计算中基础础架构即服务务（IaaSS）部分，同同时该IaaaS平台也为为以后计算中中心提供更

6、高高层次的云计计算服务，如如PaaS，SSaaS服务务提供了良好好的基础平台台，也为中国保险险资产管理业业协会今后部部署其他业务务系统，及现现有系统扩展展提供良好的的扩展性。协会私有云平台台的总体框架架由七大核心心组件构成：运维服务、业务应用系统、基础设设施、平台虚拟化、计算资源、计算资源管理、云管理平台。推推进系统的建建设，服务是是宗旨，应用用是关键，支支撑是依托，信信息资源是核核心，基础设设施是承载，运维和标准化体系是保障。图 1 协会IaaSS云平台系统统总体框架图图基础设施基础设施平台建建设是协会云云平台的基础础和前提。包包括网络支撑撑环境建设和和硬件支撑环环境建设。基基于高规格数数据

7、中心，满满足协会设备托管管、应用系统统访问的需求求，并具备为为协会提供虚拟拟服务器和存存储的服务能能力以及。计算资源构建协会云平台台计算资源池池，实现业务务运行过程中中需要的各类类数据资源和和信息资源的的集中存储和和管理。建立立资源目录体体系，为各保保险行业客户户提供信息查查询和共享服服务。 计算资源管理针对协会云平台台计算资源池池资源使用情情况与系统负负载程度，手动、自动调整资资源分配，将空闲资源充充分利用，实现硬件资资源高效运行行。业务应用系统另类投资项目应应用系统建设设，是协会云云平台系统建建设的主要内内容，围绕需需要开展的各各项业务，以以另类投资系统统开发与云托管管为主线，以以资源整合

8、与应用支支撑为基础，建建立信息共享享机制和业务务协同体系，为协会注册会员单位提供数据交换服务。运维服务体系云平台运维服务务是协会云平台建设项目的重要保障系系统。系统的的服务体系根根据对象分为为两大类，数数据中心及线线路运维服务务，实现协会与保险单单位实现信息息公开、网上上办事和会员员服务；云平台台运维服务，实实现各类应用用系统的在私有云环境境下的虚拟机机运维，监控和告警警服务。平台虚拟化采用业界领先的的虚拟化技术术，将另类投资系统统在虚拟化平平台部署。后续其他业业务系统平滑滑迁移和备份份。云管理平台VCAC私有云云管理平台是协会云平台建设的核心，通过VCAAC对私有云云资源的监控控、调度、自自

9、助门户、统统计分析等功功能搭建协会会信息系统从从传统IT到到云架构的转转型，同时作作为今后业务务系统的托管管平台。 1.2. 技术路线1.2.1. 基础网络搭建云平台基础础网络，通过防火墙墙、VPN技技术实现另类类投资等业务务系统与协会内网VPPN远程连接接，内网采用OOSPF/BBGP的动态态路由协议；外网采用IIPSec VPN技术术实现端到端端的可靠传输输。防火墙、核心交换机机全部采用冗冗余架构，避免单点故故障的风险，打打造稳定安全全的云平台基基础网络。1.2.2. 基础设施通过云计算、虚虚拟化技术实实现数据中心心的建设，提提高资源利用用率，避免复复杂的系统集集成和大规模模的设备占用用空

10、间，降低低投资成本，简简化管理复杂杂性，能对整整体系统运行行环境进行统统一监管和动动态分配，从从而降低计算算管理和运行行成本。协会会云平台数据据中心按照TT3+标准进行选址、选型。按照系统的高可可用性要求，本本次项目拟采采用新一代的的可自愈的基基础设施。本本次设计考虑虑到安全及最最优成本的同同时提高系统统资源利用率率，并为未来来“云”模式式下的协会应用提供供无缝的迁移移和过渡能力。在在数据中心的的建设中引入入云计算、虚拟化技术术，在数据中心搭建云平台，通通过服务器虚虚拟化，有效效降低业务系系统建设的硬硬件投入实现现硬件资源管管理和使用的的集约化。经测算，置五台台高性能物理服服务器作为计计算资源

11、，通通过在服务器器上安装配置置虚拟化平台台软件，在单单个物理服务务器实体上，充充分使用设备备的空余资源源，利用管理理调度平台生生成多个独立立的虚拟服务务器。每一个个虚拟服务器器从功能、性性能和操作方方式上等同于于传统的单台台物理服务器器。每个虚拟拟机可以独立立的装配置不不同的操作系系统而互不影影响，从而大大大提高资源源利用率，降降低成本，增增强了系统和和应用的可用用性，提高系系统的灵活性性和快速响应应，实现了服服务器虚拟架架构的整合。而而对于现有物物理服务器上上的应用，可可以通过迁移移工具完整的的迁移到虚拟拟化环境中，无无需重新部署署，所有配置置保持原样。1.2.3. 服务支撑云平台日常运维维

12、服务包括：基础架构管管理，云平台台管理，网络络运维，服务务器运维，监监控服务，基基础云资源监监控服务。对于突发事件，欧唯特信息息系统根据故故障的严重程程度和影响程程度的不同，将将故障级别由由低到高分为为三级故障、二二级故障和一一级故障。当当故障没有在在规定时限内内恢复或解决决时，故障级级别将自动升升级。当故障障不能使用有有效的远程支支持方式进行行解决时，欧欧唯特信息系系统公司将派派遣工程师赶赶往用户现场场，协助进行行现场故障诊诊断及现场故故障排除。1.2.4. 应用迁移通过云迁移技术术将现有应用系统统的无缝切换换到云服务平平台。1.2.5. 信息安全按照等级保护要要求，通过访访问控制、入入侵防

13、范、恶恶意代码防范范、资源控制制等方面来实实现信息安全全。1.3. 实施产品清单单产品品牌型号配置数量服务器（计算节节点）华为RH2288HH V32颗10核CPPU，CPUU型号为E55-26500 v3；内内存128GG，硬盘3000G*2 10K SSAS/RAAID/8GGb HBAA*2/4pport 11G 网卡/RW-DVVD5台服务器（管理节节点）华为RH2288HH V31颗8核CPUU，CPU型型号为E5-2609 v3；内存存16G，硬硬盘300GG*2 100K SASS/RAIDD/8Gb HBA*22/4porrt 1G 网卡/RWW-DVD1台附件华为RH2288

14、HH V3服务务器内存 16G单条*444条存储服务器浪潮AS520E-M117TB净容量量，支持内置置高速缓存 32G CCache，双双控制器（AActivee-Actiive）,板板载8个1GGb iSCCSI主机接接口，2个224Gb SSAS宽端口口，RAIDD级别：0/1/10/5/6/550/60，支支持自动分层层，自动精简简配置，卷复复制，卷镜像像，快照技术术等。1台光纤交换机博科BROCADEE SAN Switcch2台冗余。单台台激活16口口,带16根根线2台网络交换机华为华为网络交换机机S57000-28C-SI-ACC三层千兆以太网网交换机，背背板带宽：1160Gbp

15、ps，包转发发率65.55Mpps，224个10/100/11000以太太网口，可堆堆叠2台防火墙华为华为USG63360防火墙墙VPN防火墙,网络吞吐量量：300MMbps ,并发连接数数：1300000 ,用用户数限制：无用户数限限制 ,安全全过滤带宽：170Mbbps ,33+1个管理理快速以太网网端口、可升升级到5个快快速以太网端端口、1个SSSM 扩展展插槽 2台基础虚拟化软件件VMwarevSphereeVMware vSpheere 6 Std标准版1套虚拟化管理平台台VMwarevCenterrVMwarevCenterr Std标准版1套云管理平台软件件VMwarevClou

16、dVCAC Sttandarrd Verrsion标准版1套机柜租赁世纪互联北京大兴星光影影视城数据中中心 16A机柜1个公网带宽双线BGP5M独享双线BBGP16个公网IPP5M1.4. 实施工作内容工作项目服务名称服务内容需求分析业务分析，需求求调研l 私有云环境需求求分析，环境调研。前前期云集成方方案设计云平台设计私有云平台规划划设计l 私有云平台基础础架构设计l 私有云平台管理理流程设计l 私有云平台Poortal需需求分析l 及该阶段项目管管理云平台部署私有云平台安装装，配置l 私有云平台基础础架构部署l 私有云平台管理理流程实施l 私有云平台Poortal部部署及实施阶阶段项目管理

17、理工作系统环境部署私有云平台底层层环境安装部部署，策略配置l 私有云平台网络络环境安装部部署及调试私私有云计算资资源部署调试试l 私有云存储资源源部署调试l 默认监控平台部部署私有云基础架架构系统集成成测试l 及项目管理工作作应用环境测试与与部署为业务系统上线线部署OS及及配合上线l 操作系统安装装及系统调优优l CBP 监控服服务部署l 配合应用系统上上线测试l 项目管理系统集成测试私有云平台与业业务系统联调调测试l 准备SIT（系系统集成测试试） 环境l 与应用部门联调调测试l 项目管理UAT最终验收测试l 准备UAT测试试环境与应用用部门联调执执行UAT测测试l 项目管理第2章 网络技术

18、实施方方案2.1. 总体网络架构设设计协会云平台项目目的总体架构构概括为四层层。四层为计计算层、网络络层、平台层层、应用层，网网络拓扑如下下。图 2 总体网络络架构设计 计算层计算层网络主要要包括物理服服务器、存储储设备网络传传输。通过冗余部部署的光纤交交换机，实现高速数数据存储网络络，为云平台提提供高速，稳定的计算算网络。 网络层网络层主要完成成对数据的可可靠性传送，主主要负责互联联网、VPN以及及今后与各个个保险机构专专线互联。设计采用5MM互联网出口口基础上搭建建VPN与协协会内网安全全互联。互联联网出口采用用二台下一代代防火墙实现冗余部署署，避免单点点故障风险。 平台层平台层基于云计计

19、算技术和中中间件技术，主主要包括IaaaS层以及及运维支撑层，通通过云计算和虚拟拟化技术，具具有灵活的可可扩展性，主主要实现虚拟拟化环境下各各个虚拟机直直接网络传输输。 应用层应用层由迁移到到云平台的原原有应用和新新建应用组成成。通过二台台冗余的核心心千兆交换机机，实现应用服服务器之间高高速、稳定的的内部网络传传输。通过其内置置的HA功能能实现冗余部部署，防止单单点故障产生生。2.2. 网络子系统云平台IDC网网络也采用三三层结构进行行设计，即：IDC出口口层、核心交交换层、接入入层。详细设设计建议见后后续各章节。2.2.1. 云平台数据中心心网络设计本着高先进性与与实用性、可可靠性、高安安全

20、性、高扩扩展性以及遵遵循开放标准准的设计原则则，云平台数数据中心交换换网解决方案案采用流行两两层网络结构构。1.出口层采用双机冗余部部署方式，部部署1对防火火墙。2台防火墙墙间通过链路互联联；向内通过过千兆链路连接接2台核心交交换机。即：对外通过过5M互联网网线路连接互联网或VPPN连接到协协会内部网络络心，通过千兆兆链路连接平台台内网。防火墙主要实现现如下功能： 连接不同的网络络，掌握全网网路由，实现现必要的路由由策略控制； 围绕云平台信息息资源，负责责各方向流量量的高速转发发； 提供不同业务所所需的QoSS保证，实施施基于聚合规规则的流量控控制策略； 提供IPv4、IIPv6网络络互联互通

21、过过渡技术功能能。2.核心交换换层采用双机冗余部部署方式，部部署1对核心心交换机。22台核心交换换机间通过双双千兆链路互联联，向下通过过千兆链路连接接接入层交换换机，向上通通过千兆链路连接接上行防火墙墙。在此网络架构中中，服务器网网络接口连接接在核心交换换机上，数据据中心内部基基于二层网络络进行通讯，数数据中心与外外连网络基于于三层网络进进行通讯。核心交换机主要要实现如下功功能： 作为内部服务器器网关。 作为云数据中心心网络中枢，负负责内网横向和纵纵向流量的高高速转发；3.IDC网网络设备产品品推荐本期云平台数据据中心网络建设设，各主要网网络设备配置置如下表：网络设备华为网络交换机机S5700

22、0-28C-SI-ACC三层千兆以太网网交换机，背背板带宽：1160Gbpps，包转发发率65.55Mpps，224个10/100/11000以太太网口，可堆堆叠2台华为USG63360防火墙墙VPN防火墙,网络吞吐量量：300MMbps ,并发连接数数：1300000 ,用用户数限制：无用户数限限制 ,安全全过滤带宽：170Mbbps ,33+1个管理理快速以太网网端口、可升升级到5个快快速以太网端端口、1个SSSM 扩展展插槽 2台2.2.2. IP地址规划2.2.2.1. IP地址总体规规划为满足后期业务务的承载需求求，首先需要要对全网的IIP地址进行行一个科学精精确的规划： 为后期的网

23、络拓拓展、业务拓拓展等工作提提供支持； 实现接入点的精精确绑定，保保证接入点用用户可定位、可可溯源、可隔隔离； 为业务的可识别别、可分流和和端到端的QQoS保障提提供支撑； 统一规范，为其其他业务统一一的策略部署署、新业务统统一部署打下下基础； 实现每接入点/每用户/每每业务/按需需分配IP地地址； 规划初中期采用用IPv4地地址，后期可可以根据需求求采用IPvv6地址。1.IPv44地址规划本次针对内网、外外网地址规划划，全网部署署10.0.0.0/88网段，其中中内网部署110.0.11.1100.0.5.254段地地址、外网部部署10.00.6.110.2555.2555.255段段地址

24、。云平平台IDC采采用公网IPPv4地址，地地址规模为11个C类。2.2.2.2. 云平台IDC网网络IP地址址规划 网络设备VLAAN地址IDC网络设备备VLAN地址址采用保留IIPv4地址址，在内网地地址段中选择择一段，建议议在10.00.1.0/16地址段段进行分配，具具体见下表：设备VLAN地址防火墙10.0.1.1/32、110.0.11.2/322核心交换机10.0.1.3/32、110.0.11.4/322接入交换机10.0.1.5/32、110.0.11.6/322 网络设备互联地地址IDC网络设备备间、IDCC网络设备与与外联设备间间互联地址在在10.0.5.0/244范围内

25、选择择。 服务器地址虚拟化服务器地地址采用私网IP地址址。2.2.3. 路由协议设计 路由协议设计原原则内网、外网各分分配一个保留留的自治域编编号。内或外网IGPP协议建议采采用OSPFF或IS-IIS协议中的的一种协议，内内网 IGPP协议建议运运行于所有路路由器；网内设备和互联联链路路由信信息采用IGGP协议进行行通告； 内部IGP规划划由于IDC网络络三层网络规规模都不大，设设备数量有限限（少于500台），优先先考虑OSPPF。2.2.4. VPN设计为了增强安全性性，协会内网可以以通过VPNN与云数据中心心内业务系统互互联。建议在在协会防火墙墙和云数据中中心防火墙启用用IPSecc V

26、PN实现安安全连接。2.2.5. QOS设计2.2.5.1. QOS模型设计计IETF提出了了许多QoSS服务模型和和协议，其中中比较突出的的有IntSServ (Integgratedd Servvices)模型和DiiffSerrv （Diiffereentiatted Seervicees）模型。DiffSerrv（区分服服务）模型的的业务流被划划分成不同的的区分服务类类。一个业务务流的区分服服务类由其IIP包头中的的区分服务标标记字段（DDifferrent SServicce Codde Poiint，简称称DSCP）来来表示。区分分服务只包含含有限数量的的业务级别，状状态信息的数数

27、量少，因此此实现简单，扩扩展性较好。目目前，区分服服务是业界认认同的IP骨骨干网的QooS解决方案案，尽管IEETF为每个个标准的PHHB都定义了了推荐的DSSCP值，但但是设备厂家家可以重新定定义DSCPP与PHB之之间的映射关关系，用户可可根据网络实实际运维需要要进行灵活定定义。DifffServv对聚合的业业务类提供QQoS保证，可可扩展性好，便便于在大规模模网络中使用用。2.2.5.2. QOS规划方案案1. 流量分类及标记记流量分类是将数数据报文划分分为多个优先先级或多个服服务类。网络管理者可以以设置流量分分类的策略，这这个策略除可可以包括IPP报文的IPP优先级或DDSCP值、88

28、02.1pp的CoS值值等带内信令令，还可以包包括输入接口口、源IP地地址、目的IIP地址、MMAC地址、IIP协议或应应用程序的端端口号等。对于网络协议控控制管理、语语音、视频类类数据流，可可以根据协议议类型来进行行分类和标记记。除此之外外，在接入交交换机侧，也也可以根据网网络的规划，将将不同的业务务数据流放入入不同的VLLAN之中，不不同业务的IIP地址空间间不相同，也也可以根据源源IP地址及及目的IP地地址，在入口口处对进入网网络的IP报报文进行分类类和标记。流量分类后就打打标记。所谓谓标记就是根根据SLA以以及流分类的的结果对业务务流打上类别别标记。目前前RFC定义义了六类标准准业务即

29、：EEF、AF11-AF4、BBE，并且通通过定义各类类业务的PHHB（Perr-hopBBehaviior）明确确了这六类业业务的服务实实现要求，即即设备处理各各类业务的具具体实现要求求。从业务的的外在表现看看，基本上可可认为EF流流要求低时延延、低抖动、低低丢包率，对对应于实际应应用中的Viideo、语语音、会议电电视等实时业业务；AF流流要求较低的的延迟、低丢丢包率、高可可靠性，对应应于数据可靠靠性要求高的的业务如电子子商务、企业业VPN等；对BE流则则不保证最低低信息速率和和时延，对应应于传统互联联网业务。在某些情况下需需要重标记DDSCP。例例如在Inggress点点业务流量进进入以

30、前已经经有了DSCCP标记（如如上游域是DDSCP域的的情形，或者者用户自己进进行了DSCCP的标记），但但是根据SLLA，又需要要对DSCPP进行重新标标记。分类标记将携带带在IP报文文中，作为后后续QoS处处理的依据。2. 队列技术及拥塞塞管理拥塞管理是指在在网络发生拥拥塞时，如何何进行管理和和控制。处理理的方法是使使用队列技术术，具体过程程包括队列的的创建、报文文的分类、将将报文送入不不同的队列、队队列调度等。当当接口没有发发生拥塞时，报报文到达接口口后立即被发发送出去，当当报文到达的的速度超过接接口发送报文文的速度时，接接口就发生了了拥塞。拥塞塞管理就会将将这些报文进进行分类，送送入不

31、同的队队列；而队列列调度将对不不同优先级的的报文进行分分别处理，优优先级高的报报文会得到优优先处理。常常用的队列有有FIFO、PPQ、CQ、WWFQ、CBBWFQ、等等。 PQ需要先对报文进进行分类，然然后按报文的的类别将报文文送入PQ相相应的队列。在在报文出队列列的时候，PPQ首先让高高优先队列中中的报文出队队，直到高优优先队列中的的报文发送完完，才发送中中优先队列中中的报文，同同样直到发送送完中优先队队列中的报文文，才能发送送低优先队列列的报文。这样，分类时属属于较高优先先级队列的报报文将会得到到优先发送，而而较低优先级级的报文将会会在发生拥塞塞时被较高优优先级的报文文抢先，使得得关键业务

32、的的报文能够得得到优先处理理，非关键业业务的报文在在网络处理完完关键业务后后的空闲中得得到处理。这这样处理既保保证了关键业业务的优先，又又充分利用了了网络资源。由于PQ总是保保证高优先级级的报文得到到优先转发，所所以当高优先先级的流量过过多时，可能能会造成低优优先级的流量量没有转发机机会，所以使使用PQ时应应该合理规划划各个优先级级的流量，适适当限制高优优先级的流量量，使低优先先级的流量也也获得一定的的发送机会。 CBWFQ/LLLQCBWFQ按照照报文进入网网络设备的端端口、报文的的协议、是否否匹配ACLL来对报文进进行分类。每每个流量类别别对应一个队队列，支持664个流量类类别，不同类类别

33、的报文送送入不同的队队列。对于不不匹配任何类类别的报文，则则被送入默认认队列。队列列采用WRRR算法进行轮轮询。可以为每个流量量类别定制一一定的传输特特性，如带宽宽、传输权值值、传输限制制等。为一个个队列指定的的带宽通常是是指在带宽拥拥塞时为该队队列所保证的的带宽。调度度器按照分配配给每个流量量类别的权值值保证每个队队列分配到一一定的带宽，可可以对每个队队列为每个流流量类别设置置长度限制，长长度限制是在在该类别队列列中允许的最最大分组数量量，如果队列列达到了长度度限制，分组组丢弃策略生生效，CBWWFQ可以和和队尾丢弃、WWRED等丢丢弃机制相结结合。这样，在端口不不发生拥塞的的情况下，可可以

34、使各个流流量类别的报报文能获得一一定的带宽，在在端口拥塞的的情况下，又又可以保证属属于优先队列列的报文不会会占用超出规规定的带宽，保保护其他报文文得到相应的的带宽。CBWFQ允许许为分配给每每个流量类别别的带宽提供供确定性的或或硬的担担保。对于高高速链路或骨骨干网来说重重点是带宽分分配的硬性担担保，CBWWFQ是一种种功能强大的的QoS工具具。网络拥塞会导致致网络性能的的降低和带宽宽得不到高效效的使用，为为了避免拥塞塞，队列可以以通过丢弃数数据包避免在在任何可能的的地方出现拥拥塞。队列管管理的主要目目的就是通过过合理控制BBufferr的使用，对对可能出现的的拥塞进行控控制。其常用用的方法是采

35、采用RED/WRED算算法，在Buuffer的的使用率超过过一定门限后后对部分级别别较低的报文文进行早期丢丢弃，以避免免在拥塞时直直接进行末尾尾丢弃引起著著名的TCPP全局同步问问题，同时保保护级别较高高的业务不受受拥塞的影响响。2.2.5.3. QOS部署建议议根据承载多业务务要求，对不不同业务需实实施不同的QQoS策略。在网络发生拥塞塞的时候，采采用队列的策策略来调度每每种业务，使使得每种业务务获取预先设设定的服务质质量参数。目目前队列调度度机制有先进进先出、优先先、加权轮循循以及带有优优先队列的加加权轮循等。为了支持多个业业务等级，设设备将不同等等级的分组放放入不同的队队列中。设备备在处

36、理过程程中，按照一一定的队列调调度算法，决决定从哪个队队列中取出数数据分组进行行服务。队列列调度算法的的好坏直接影影响路由器的的性能和QooS效果。2.2.6. 可靠性设计整个云平台数据据中心网络的的高可靠性是是大规模云数数据中心网络络建设成功的的关键，对于于重要节点比比如核心设备备双机部署，提提高单点可靠靠性；网络设设备的关键部部件，比如防防火墙、交换换机等都采用用冗余设计，控控制层面和数数据层面分离离等提高设备备自身的可靠靠性；对于整整个网络，部部署快速故障障检测协议，能能快速感知并并自动恢复，提提高整网的可可靠性；软件件的在线升级级和热补丁是是可靠性设计计的重要后盾盾。2.2.6.1.

37、设备高可靠性以太网存在两个个不同的操作作平面：控制制平面和数据据平面。控制制平面主要是是指通讯协议议、MAC信信息和其它协协议报文，还还包括网络设设备本身的主主机软件，控控制平面用来来实现网络元元素之间的通通信。控制平平面一般和用用户数据共享享通信链路。数据平面主要是是指以太网承承载的各种业业务，如语音音、媒体流、办办公数据等VVPN业务等等。这些业务务对于以太网网是数据转发发，主要是流流量的冲击，内内部一般不采采用过多的安安全控制策略略。2.2.6.2. 协议高可靠性1.链路聚合合链路聚合也称为为链路捆绑、端端口聚集或链链路聚集，就就是将多个端端口聚合在一一起形成一个个汇聚组，以以实现出/入

38、入负荷在各成成员端口中的的分担。从外外面看起来，一一个汇聚组好好象就是一个个端口。链路路聚合的工作作方式支持静静态Trunnk方式及动动态LACPP方式，通过过配置可以实实现多条链路路的负载分担担及相互备份份。MC-LLAG支持跨跨主机的链路路捆绑，可用用于双归场景景中的主备保保护。链路聚合的优点点：1)增加网络络带宽，端口口聚合可以将将多个连接的的端口捆绑成成为一个逻辑辑连接，捆绑绑后的带宽是是每个独立端端口的带宽总总和；2)提高网络络连接的可靠靠性。当一条条链路故障，流流量会自动在在剩下的链路路间重新分配配；3)避免二层层环路。2.2.7. 安全性设计2.2.7.1. 网路安全风险分分析据

39、ISCA统计计，随着安全全威胁的升级级，全球每年年由信息安全全问题导致的的损失约数百百亿美金，其其中源于内部部的威胁达660%，来自自外部的威胁胁达40%。图 3 网络安全威胁分析云平台数据中心心是企业信息息化系统的基基石，是企业业业务集中化化部署、发布布、存储的区区域，如果数数据中心不可可用，公司运运作可能被削削弱或被完全全停止。因此此，网络安全全对数据中心心来说至关重重要。但一直直以来，数据据中心都是一一个安全措施施严重不足的的区域。根据据客户调查、层层出不穷的安安全威胁和日日益增长的专专利信息保护护需求，企业业必须为数据据中心提供足足够的安全保保障，防止来来自内部的攻攻击无论论是有意还是

40、是无意导致。云平台数据中心心主要面临来来自以下几个个方面的风险险：数据机密风风险：企业和和个人数据托托管后如何保保证数据的机机密性。访问权限风风险：多用户户场景下，不不同用户之间间的访问控制制，以及单个个用户的权限限管理和控制制。用户行为为监控。管理权限风风险：企业托托管业务和数数据的管理权权限与责任划划分。数据恢复风风险：大规模模数据的备份份和恢复。应用威胁风风险：多用户户多途径接入入，多种应用用共存的场景景下安全防护护策略有效性性。2.2.7.2. 网路安全建设思思路云平台数据中心心网络安全不不仅仅是把安安全设备简单单地叠加到整整个网络，网网络安全是一一个整体，需需要把安全融融合到网络的的

41、每个部分。依依此下面提出出有一体化、分分层次、综合合全面的网络络安全建设思思路。思路一：网络安安全建设需要要全局视图，提提供一体化安安全解决方案案。图 4 一体化安安全解决方案案图思路二：网络安安全架构建设设是分层次的的，在不同环环节都要进行行防护。图 5 分层次的网络安全架构图思路三：网络安安全体系不是是安全设备的的简单叠加，需需要综合全面面考虑技术以以及设备。2.2.8. 网管设计基于云平台数据据中心网络稳稳定运行要求求高、大规模模的信息数据据、高并发、跨跨系统等特性性，数据中心心网络智能运运维架构重点点强调统一网网管（针对信信息量庞大）、远远程运维、网网络全方位监监控和故障定定位与处理（

42、针针对网络稳定定运行要求高高）以实现“智智能网管系统统保障数据中中心网络稳定定运行”的目目标。2.2.8.1. 网络全方位监控控管理欧唯特提供丰富富的性能监控控对象，全方方位诊断网络络；同时提供供数据转发透透视化，实现现精细化的流流量管理，为为网络升级和和客户拓展提提供依据。具具体监控内容容如下： 网元性能，针对对不同类型网网元本身性能能指标进行监监控 端口性能，针对对不同类型网网元的不同类类型端口的性性能指标进行行监控 链路性能，针对对网元之间的的链路的性能能指标进行监监控 业务性能，针对对业务的性能能进行监控 网络可用率：网网络可用率 = 网络可可用时间/总总时间指IP层的可达达性，可以通

43、通过增加冗余余设备、冗余余线路和有效效的管理来提提高。要实现现三个九的可可用率，即999.9%，那那么一个网络络在一个月内内的断网时间间就不能超过过45分钟；对于四个九九，即99.99%，指指一个网络在在一个月内的的断网时间不不能超过5分分钟。大部分分运营商的网网络可用率为为三个九；部部分可以达到到四个九；通通常网络设备备的可用率在在99.999%以上；链链路的可用率率在99.99%以上。2.2.8.2. 快速故障定位与与处理欧唯特具有业界界领先的告警警相关性分析析系统，在网网络出现紧急急故障的情况况下，可根据据网络资源及及业务关系，自自动完成根源源告警及衍生生告警的分析析定位，缩短短故障处理

44、时时间。网络告告警及业务数数据之间可实实现多样化的的关联、导航航，快速了解解和评估网络络运行状况。同同时，对重要要客户的业务务，可设置单单独的故障提提示及处理功功能，便于运运营商对不同同的客户提供供差异化的服服务。2.2.9. 云平台IDC虚虚拟化部署云平台数据中心心网络需要通通过网络虚拟拟化，提升网网络利用率、可可靠性及可扩扩展性。设备备支持数据中中心网络端到到端的虚拟化化，本项目的的虚拟化可以以划分为如下下图所示的几几个层次：图 6 数据中心端端到端的虚拟拟化从VM层到网络络层依次为： 技术A，边缘虚虚拟化: VVM与接入交交换机之间采采用IEEEE 802.1Qbg, IEEEE 802

45、.1Qbr，满满足VM迁移移、交换需求求 技术B，二层多多路径: TTRILL, SPB，实实现大规模VVM迁移网络络 技术C/D：光光纤互联 oor L2ooL3( VVPLS, OTV, NVO3 )实现跨域域VM迁移网网络，提升整整网利用率，用用于做数据中中心的异地容容灾备份，一一般建专线或或在公网建隧隧道等多种方方式实现互联联，这期招投投标项目里面面没有提这个个需求，故不不详述，但建建议后期增加加建设，可以以提高数据中中心的整体可可靠性。 其他：机架集群群N:1虚拟拟化，VSCC, ZTEE Virttual SSwitchhing CClusteer，支持44台虚拟为11台，简化网网

46、络拓扑，提提升网络性能能。2.2.9.1. 接入网络边缘虚虚拟化图 7 VM接入网网络边缘虚拟化在云平台数据中中心的服务器器层面，往往往将一个物理理服务器虚拟拟为多个虚拟拟服务器（VVM）。使用用VM有以下下几个优点：1)提升服务务器资源利用用率2)VM迁移移实现业务均均衡和快速恢恢复3)VM之间间做安全策略略可以通过在接入入交换机上实实现网络边缘缘及接口的虚虚拟化，将VVM交换功能能交还给网络络，达到如下下目的：1)释放CPPU资源2)网络统一一管理、监控控3)支持根据据VM标识进进行端口还回回转发2.2.9.2. 后期虚拟机迁移移方案虚拟化是云平台台数据中心应应用的重点，也也是云平台数数据中心网络络设计需要考考虑的重点内内容，目前主主要的虚拟机机迁移方式有有冷迁移和热热迁移两种，简简要的分析如如下：冷迁移热迁移需求固定时间（流量量波谷）进行行迁移，用户户业务中断业务