数据中心解决方案

数据中心解决方案2020/4/11Page2Contents•总体网络概述•数据中心业务实现•高可靠性•安全保护数据中心网络概览Page3互联网防火墙汇聚交换机核心路由器IDS/IPS备份数据中心服务器群网络运维中心SAN交换机磁盘阵列…DWDM负载均衡器IDC业务区企业应用区电信业务区NMSKVMSW管理网络接入层交换机业务网络备份和存储网络数据中心网络模块SAN存储备份服务器MPLS骨干网三网分离的数据中心网络•业务网络、管理网络和备份网络流量分离，服务器通过不同的网卡分别接入不同的网络，通过数据中心骨干网络进行互联•分离的网络可以保证数据中心网络的高性能及高安全性，同时方便管理Page4业务网络NAS/备份网络SAN存储网络网管网络HBA带内网管带外网管网管网络业务网络备份存储网络DC骨干网数据中心管理网络•管理网络全部采用单链路实现•服务器支持带内管理（网卡）和带外管理（KVM网络）•运维中心可以通过KVM直接管理数据中心里的服务器，也可以通过KVM操作网管系统，通过带内网管间接管理数据中心里的服务器Page5IDC业务区企业应用区电信业务区网管系统防病毒服务器KVM认证中心KVM交换机汇聚数据交换机网络运维中心InternetKVM交换机数据中心存储备份网络•存储支持SAN和NAS存储，满足不同的业务需要（数据库和文件级）•备份时，服务器使用一个网卡连接备份网络，使用NAS存储时，可复用此网卡•备份网络一般通过GE/10GE/DWDM光纤网络连接二级数据中心进行异地数据备份，当然也可以直接进行本地备份Page6SAN交换机磁盘阵列备份服务器磁带库磁盘阵列备份数据中心DWDMZone1Zone2Zone3存储网络NAS/备份网络数据中心业务网络典型组网模式•网络架构采用业界成熟的三层架构：接入、汇聚、核心•防火墙和负载均衡器采用外挂汇聚层交换机的方式进行部署，网络层次简单，高靠性Page7AggregationAccessCoreInternetMPLSbackboneTbit路由交换平台10G接口连接外网:9300/NE40EFW、负载均衡器IPS/IDS在此部署，保证网络安全，提高网络效率:5300/9300Gbit数据接入，大容量考虑引入堆叠及上行端口聚合：5300系列弹性的网络架构•接入层和汇聚层可以根据需要进行扩展•大型网络采用分区设计，共享一个核心层；整个网络分步建设、方面数据中心扩容及管理•交换机堆叠、链路聚合技术使网络扩容更加方便Page8InternetMPLSbackboneAggregationModule1AggregationModule2AggregationModulenScalingScalingServerFarmAccessLayer交换与路由层次划分•汇聚层交换机二层和三层网络的分界点，上面为三层路由，下面为二层交换•使用负载均衡的服务器，网关在负载均衡器，不使用负载均衡的服务器，网关在防火墙Page9InternetMPLSbackboneL3路由L2交换服务器的分区设计•服务器群根据业务的不同分为不同的业务区域，逻辑进行业务隔离•保障安全，防止跨区的越权访问和入侵、病毒感染•根据业务重要性的不同进行分区，可以提供不同的网络服务水平，提供QOS保障•多个业务区可共享一个汇聚层模块，也可能一个业务区应用多个汇聚层模块Page10InternetMPLSbackbone防火墙聚合交换机核心路由器IDS/IPSIDC业务区企业应用业务区电信业务区网络模块服务器群接入交换机接入交换机负载均衡器接入交换机不同类型服务器的接入位置•中低端机架服务器，数量众多，通过接入层交换机接入；•高端服务器/大型机，数量较少且重要性高，直接接在汇聚层交换机上，保证带宽；•没有内置交换机的刀片服务器，通过接入层交换机接入；•内置交换机的刀片服务器，直接接在汇聚层交换机上，减少交换网络的层级，提升网络性能；Page11InternetMPLSbackboneRunAttentionFaultRemoteSPPresentStandbyPowerPowerhprp74xxRunAttentionFaultRemoteSPPresentStandbyPowerPowerhprp74xxRunAttentionFaultRemoteSPPresentStandbyPowerPowerhprp74xxRunAttentionFaultRemoteSPPresentStandbyPowerPowerhprp74xxRunAttentionFaultRemoteSPPresentStandbyPowerPowerhprp74xx没有内置交换机的刀片服务器RunAttentionFaultRemoteSPPresentStandbyPowerPowerhprp74xxRunAttentionFaultRemoteSPPresentStandbyPowerPowerhprp74xxRunAttentionFaultRemoteSPPresentStandbyPowerPowerhprp74xxRunAttentionFaultRemoteSPPresentStandbyPowerPowerhprp74xxRunAttentionFaultRemoteSPPresentStandbyPowerPowerhprp74xx内置交换机的刀片服务器中低端机架服务器高端服务器/大型机服务器的三层架构•基于Web的应用程序一般采用Web、application、database三层架构，各层之间通过防火墙进行安全隔离；处于性能考虑，web-app-db之间可以采取ACL实现•三种不同类型的服务器网络连接采用不同的VLAN来识别•三个VLAN的流量都经过负载均衡和防火墙，所以负载均衡和防火墙可以为三个层次所共用•三个层次也可以直接用物理网络进行划分，服务器之间部署交换机，同时附带防火墙和均衡器，网络层次过多，成本高，不推荐使用Page12WEBVLANAPPVLANDBVLANWEBAPPDB数据中心核心Internet数据流WEBAPPDB物理防火墙ACL实现ACL实现Page13Contents•总体网络概述•数据中心业务实现•高可靠性•安全保护统一的数据业务承载•在同一组网模型下满足3种不同用户对防火墙和负载均衡器的需要Page14逻辑图物理连接图L3linkTrunkTrunkTrunk汇聚交换机心跳线心跳线心跳线（1）不需要（3）只需要FW（2）需要FW和LB①②③④⑤⑥⑦⑧⑨接入交换机①①①④②⑤③⑥⑤⑦⑧⑨黄线：Trunk链路黑线：L3链路（1）不需要（3）只需要FW（2）需要FW和LB防火墙和负载均衡部署•防火墙对内隔离不同的VLAN，提供三个VLAN接口（子接口），分别对应WEB、APP和DB,对外隔离不同的分区，通常有一个或多个接口（子接口），对应所属的分区VPN，如IDC分区的IDCVPN或Internet•负载均衡对内对外都只有3接口（或子接口），分别对应WEB、APP、DB三个VLAN•负载均衡根据需要进行部署，单台服务器时或者APP与DB之间可能APP本身就进行了均衡操作，此时数据流不需要通过物理负载均衡器Page15WEBAPP对应各VLAN的接口对应各VLAN的接口DBWEBAPPDB对应各VLAN的接口对应各VPNInstance的接口VPN1Internet………虚拟化设备业务流流程逻辑设计•Internet→Web，经过物理防火墙和负载均衡器9→7→6→2•Web→App，ACL作安全，经过负载均衡器1→8→3•App→DB，ACL作安全，不经过负载均衡4→5Page16汇聚交换机接入交换机心跳线心跳线WebserverDatabaseserverApplicationserver①②③④⑤⑥⑦⑧互连Trunk⑩9逻辑连接图黄线：Trunk链路1112业务流流程物理设计Page17物理连接图①④②⑤③⑥⑦⑧⑨WebserverDatabaseserverApplicationserver⑩黄线：Trunk链路互连Trunk12116’8’6’’汇聚交换机接入交换机Internet→Web，经过物理防火墙和负载均衡器9→7→6→6’→6’’→2Web→App，ACL作安全，经过负载均衡器1→8→8’→3App→DB，ACL作安全，不经过负载均衡4→5MPLSVPN实现区域隔离和多站点互访•不同站点的同一分区间可以可以实现安全的互连互通，与在同一局域网无差别。这样可以连通位于不同城市的机房，消除信息孤岛。•同一类型的业务可以分布式部署在不同的站点，增加业务部署的灵活性•不同的分区间通过MPLSVPN实现路由的隔离，比只采用防火墙做隔离大大增加了安全性Page18Internet/MPLSbackboneIDCVPNDataCenterADataCenterBIDCVPNEnterpriseVPNTelecomVPNManagementVPNEnterpriseVPNTelecomVPNManagementVPN同一站点和不同站点间的跨区域访问•同一站点及不同站点的不同分区间的相互访问必须绕行Internet（物理上绕行核心路器）和经过防火墙的安全过滤•将来自其它区域访问当作来自Internet的访问，由防火墙过滤，确保安全Page19Internet/MPLSbackboneIDCVPNDataCenterAEnterpriseVPNTelecomVPNManagementVPNInternet/MPLSbackboneIDCVPNDataCenterADataCenterBIDCVPNEnterpriseVPNTelecomVPNManagementVPNEnterpriseVPNTelecomVPNManagementVPN数据中心虚拟化实现•分区的服务器属于不同的MPLSVPN，汇聚层的防火墙、负载均衡器通过虚拟化分别对应不同的MPLSVPN，实现同一设备为多个分区所共享•虚拟化实现资源合理分配，加强了可靠性，在某一分区遭受攻击，资源紧张的情况下，其它分区仍可以正常工作Page20MPLSBackboneAggregationModule1BlueVRFRedVRFGreenVRFPEPEDCCoreInternetAggregationModulen交换机虚拟化multi-VRF（MCE）•汇聚交换机通过部署multi－VRF，把路由表分成多个逻辑路由，实现不同分区的三层业务隔离•转发引擎通过VPNID索引不同的路由表，根据目的IP转发到上行口•配合防火墙和负载均衡的虚拟化实现汇聚层不同业务分区的业务隔离Page21分区2分区3分区1MPLSCOREVRF1VRF2VRF3MPLSVPN起始点QOS设计•总体上分6个优先级。•管理流量最高标记为5（EF）•其他按照业务重要程度和与客户签订的SLA来确定优先级等级自有业务标记4（AF4）、3（AF3）大客户金牌2（AF2）、银牌1（AF1）其他为0（BE）Page22增值业务自有业务大客户其他接入设备端口根据所接业务标记Internet/MPLSbackbone入口根据源和目的IP标记Page23Contents•总体网络概述•数据中心业务实现•高可靠性•安全保护接入层可靠性设计•接入交换机到汇聚采用三角型的组网•汇聚层的防火墙、负载均衡器等设备可以为多个接入层交换机对所共用•冗余链路，倒换时间短•VLAN可以跨接入交换机，灵活性高，方便部署•可靠性：STP/RSTP/MSTPSmartLink/MonitorLinkLoopbackdetection服务器多网卡接入Page24AggregationLayer3Layer2三角环路.1QTrunkVlan2Vlan3Vlan2MSTPSmartlinkSmartlinkLoopbackdetectionLoopbackdetectionSTP二层可靠性保护•V