搜索
企业数据中心设计建议Combat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-1-数据中心安全设计模型参考办公类用户移动用户合作伙伴网上服务低安全等级高风险等级1InternetExtranet中安全等级中风险等级2非业务/办公类前端业务类前端中高安全等级中风险等级3业务后端服务器非业务类后端高安全等级低风险等级4核心业务后台服务器后台数据库服务器Combat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-2-高安全等级低风险等级4核心业务后台服务器后台数据库服务器数据中心分区架构示意图测试网络业务服务模块1业务服务模块2业务服务模块3Internet办公网管区测试区安全控制业务服务器区办公接入模块Internet内网生产服测试网络业务服务模块1业务服务器区业务服务器区业务服务模块2业务服务模块3带内管理安全控制安全控制服务器区安全控制安全控制安全控制安全控制管理安全控制带外交换核心安全控制带外管理外联区/网上业务企业边界区Internet/ExtranetCombat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-3-数据中心网络架构示意图业务模块1业务模块2办公服务器模块集团业务模块开发测试模块安全管理管理控制区系统管理业务模块3防火墙内容交换SSL加速器防火墙内容交换SSL加速器防火墙内容交换SSL加速器防火墙内容交换SSL加速器防火墙内容交换SSL加速器防火墙内容交换SSL加速器服务器群组接入区模拟环境管理管理防火墙内容交换SSL加速器SSL加速器SSL加速器入区核心核心交换机的数量目标架构管理服务器核交换核交换机的数量目标架构为四台核心,初期考虑到规模和投入建议两台核心DMZ区服务区DMZ区服务区业务Internet外联区Internet服务区外联区Extranet服务区外联Extranet企业边界模块网络管理/其它管理控制区员工接入办公区InternetCombat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-4-企业边界模块控制区员接园区网络模块数据中心网络详细设计–交换核心概要设计服务器区域概要设计–服务器区域概要设计–边界区域设计数据中心员工接入–数据中心员工接入–开发测试区设计–数据中心存储–网络运维管理Combat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-5-层次化网络架构设计数据中心高可用性网络架构建设分层部署部署要点:根据应用系统架构,进行网络层次和区域划分模块化分层部署增强系统弹性模块化分层部署,增强系统弹性核心层与汇聚层通过万兆接口采用3层连接汇聚层与接入层通过万兆或千兆接口采用2层连接(接入层采用L2设计,也可以采用L3)Combat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-6-多链路负载均衡设计,避免出现单点/多点故障数据中心核心层设计说明Enterprise核心层说明:核心层Network核心层说明:数据中心核心层连接各个功能模块是网络的核心枢纽,连接各个模块的核心枢纽,实现多个模块之间的高速连接和数据的快速转发,是数据中心网络最重要的部分;核心层双核架构核心交换区域特性要求:高性能快速转发;高密度10GE连接10GE10GENSB网络交换总线NetworkSwitchBus高可靠性/可用性超载比尽可能小可扩展性高NetworkSwitchBus可扩展性高3层互连但要考虑兼顾DCE技术的发展较高的稳定性满足数据中心数据和存储业务的发展NetworkSwitchBUS满足数据中心数据和存储业务的发展SwitchBUSCombat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-7-部署建议数据中心核心层设计说明标准设计参考:EnterpriseNetwork两台高性能设备为核心交换机,核心设备、设备部件、链路冗余设计核心层与分布层之间采用L3连接•支持数据中心高密度10GE能力,有支持下一代数据中心本次架构10GE10GE核心层支持数据中心高密度10GE能力,有支持下代数据中心DCE,FCOE等技术的能力适合中等规模企业数据中心初期建议采用这种模式SiSiSiSi汇聚层新一代核心层设计参考:•四台高性能设备为核心,可以部署为双核心双总线•核心设备、设备部件、链路冗余设计EnterpriseNetwork•支持数据中心高密度10GE能力,有支持下一代数据中心DCE,FCOE等技术的能力•核心层与分布层之间采用L3连接•核心区内部三角连接,和每个汇聚功能区交换机分别连接到目标架构10GE10GE核部角接,和每汇聚能换机分别接到(左右)双核心•适合大中规模企业数据中心,对可靠性要求较高的数据中心•将来的目标架构核心层双核架构SiSiSiSi汇聚层Combat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-8-根据需要可以初期采用通用设计,将来扩展时采用目标架构交换核心的参考设计本次架构设计参考:结构设计:2台设备组建核心、选用最快速收敛的路由协议,2个物理区域部署,跨板卡连接同一区域,安全控制在接入层实交换核心10GE10GE个物理区域部署,跨板卡连接同区域,安全控制在接入层实现设备选择:选择高可靠设备;引擎、风扇1+1冗余、交换矩阵、电源N+1冗余;支持引擎不间断业务切换、支持不丢包传输和二层多路径技术,需要高密度万兆板卡;建议部署思科数据中心交换机Nexus7000,Nexus7000支持DCE数据中心以太网技术,FCOE技术,支持高密端功能区1……SiSiSiSi功能区1SiSiSiSi万兆接口,99.999%高可靠性设计;扩展考虑:具体配置端口数量可以业务需求部署相应模块端口运维要求:具备自监控能力、配置可自动回退,基于不同人员的角色权限管理;可方便的扩展到目标架构:随着业务的扩展和对可靠性的增加,可以方便将现在的两台核Nexus7000系列–数据中心级核心交换机统一交换架构技术’Unifiedfabric’无丢包矩阵结构面向心架构扩展到四台为核心的架构,可靠性将大大增加;随着数据中心技术发展:目前的Nexus已经支持I/O整合、FCoE、DCE、虚拟化技术,平滑满足数据中心的整合和发展;lossless无丢包矩阵结构,面向DCEFCoE高密度万兆接口,面向40GbE/100GbE业务零中断的设计,99.999%可靠性不间断的系统操作Combat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-9-即使扩展到四台交换机核心,对各个汇聚功能区没有影响目前4.1T交换能力可达15Tb+交换能力数据中心网络详细设计–交换核心设计服务器区域设计–服务器区域设计–边界区域设计数据中心员工接入–数据中心员工接入–开发测试区设计–数据中心存储–网络运维管理Combat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-10-业务服务器区设计需要考虑的问题业务服务器区是公司提供服务的业务服务器区。因此需要考虑较高的可用性和更全面的安全防护措施。按照层次化模块化的设计理念,服务器区的网络可分为汇聚层和接入层两层,功能定位和设计思路各不相同。汇聚层:承上启下,连接核心层和接入层,为区域内的服务器提供网络服务,主要的设计思路包括:采用服务模块的方式,提供防火墙,负载均衡及SSL卸载等网络服务交换核心10GE10GE汇聚层服务模块,及SSL卸载等网络服务访问业务服务区需要通过防火墙控制,业务区之间访问需要通过防火墙策略控制,具体的策略控制更具各个业务区要求而定GE接入层略控制更具各个务区要求而定接入层:汇接服务器,上联到汇聚层。为了解决可用性和扩展性需求和可管理性需求,主要的设计思路包括:服务器的高性能接入,可采用TOR和EOR等组和设计.尽可能消除二层环路,提高可用性服务器组1服务器组2高扩展性的服务器群,采用模块化交换机解决服务器物理布局扩展性问题采用网络设备虚拟化和服务器虚拟化,提高可扩展性Combat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-11-扩展性考虑将来存储和IP网融合和统一I/O技术服务器区数据中心服务器区流量的超载比设计服务器区满足容量需求的主要方式是进行超载比设计。超载比是指网络设备downlink和uplink的带宽比例接入层超载比计算考虑的因素•服务器内部总线类型•服务器CPU数量,CPU核数量,网卡数量•服务器接口是否双活服务器接口是否双活•服务器磁盘I/O方式和应用类型汇聚层超载比计算考虑的因素•系统架构的访问的访问系统架构•板卡类型•Uplink/downlink比例典型比例:4:1upto12:1端到服务器的端到服务器的推荐超载比客户端客户端连接的服务器类型推荐建议服务器之间互访服务器之间互访Web服务器12:1App服务器6:1DB服务器4:1Combat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-12-服务器业务服务区网络模块设计特性要求:高可靠性、高安全性、高扩展性、实现业务的分类和业务的接入和流量控制。设备部署建议:汇聚层建议部署:部署思科catalyst6500VSS交换机,部署内置防火墙模块和L4-L7应用负载汇聚层建议部署部署科y交换机,部署内防火墙模块和应用负载接入层部署:根据服务器的多少,可以部署Cat4500/Cat4900(具体设备和端口根据需要选择)汇聚到核心层采用万兆连接,汇聚到接入层采用千兆连接,利用VSS做到负载均衡Combat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-13-业务服务器区网络模块设计-模式一每个VLAN的服务器应尽量控制在100台左右接入设备接入设备WEB服务器应用服务器数据库服务器每个VLAN的服务器应尽量控制在100台左右其它应用服务器业务服务器WEBWEBWEBWEBAPPAPP10/100/1000或GEWEBWEBWEBWEB业务服务器接入层接入层GE光纤/TX10/100/1000或GE接入区交换机•根据端口和重要性而定,可选4500/4900或Nexus系列支持DCE/FCoE接入交换机10GE10GEGEDCE/FCoE•千兆或万兆与分布交换机连接汇聚交换机可选交换机:catalyst6500安全模块•FWSM模块:控制对核心数据的访问汇聚层汇聚层GE防火墙模块内容交换模块防火墙模块内容交换模块万兆主干汇聚交换机•FWSM模块:控制对核心数据的访问•可支持255逻辑安全区域应用控制引擎•服务器负载均衡•应用快速部署高速万兆模块连接核心核心层核心层10GE10GE10GE10GE核心交换机高速万兆模块连接核心Combat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-14-0G考虑到数据网络和存储的整合业务服务器区网络模块设计-模式二核心层考虑到数据存储核心数据区交换机参考配置N7000网络系统NSB汇聚层核心层高性能万兆核心10GE10GE•参考配置:Nexus7000•万兆交换模块:与分布交换机连接核心数据区交换机10GE10GE汇聚层1 高性能万兆和千兆模块2 网络安全和应用服务区L3,L2安全模块:参考配置核心数据区交换机•参考配置:Nexus7000•高密度万兆和千兆交换模块应用服务区10GE上联vPCsvcs2svcs1安全模块参考配置Cat6500/FWSM模块/部署ASA5580高性能防火墙应用控制引擎高速万兆模块连接核心和接入层接入层支持高密度GE支持TOR/EOR灵活部署10GE上联vPC高速万兆模块连接核心和接入层接入区交换机•在接入层部署参考配置N5K/7K或N5K/N2K支持TOR/EOR灵活部署支持数据中心技术FCOE 的融合服务器群SANCombat-Lab企业级网络项目实战互联网专家网络项目实战v1.0-15-StorageNexus7000End-of-RowNexus5000/2000Rack存储系统数据中心网络详细设计–交换核心设计服务器区域设计–服务器区域设