XXX集团数据中心网络设计v6.ppt

数据中心网络架构主要内容 数据中心局域网架构 数据中心网络架构参考模型 数据中心环路与无环路设计 数据中心应用部署模式 数据中心功能分区 数据中心主要区域设计 数据中心广域网/城域网架构 其他 设计原则 高可用性（Availability） 安全性（Security） 弹性（Resiliency） 高性能（Performance） 灵活性（Flexibility） 可维护性（Maintenance） 数据中心网络设计参考模型 三层架构 核心层 汇聚层 接入层 核心层主要功能 连接/隔离各功能区域 在各区域之间提供3层IP流量的高速交换 提供OSPF等三层路由协议 汇聚层主要功能 汇聚接入层流量及服务器访问 提供服务模块，如FW、SLB等 三层路由链接及二层广播域的边界 提供STP、Default Gateway 接入层主要功能 提供服务器的物理链接 支持NIC Teaming、Clustering、广播抑制。 三种接入方式 Layer 2 looped Layer 2 loop-free Layer 3 三层架构的物理部署 核心和汇聚交换机放置在MDA 接入交换机放置在HDA 环路设计（一） 二层环路模式 三角、方形 采用Spanning Tree Protocol 协议防止环路的产生 一半网络链路被阻止 环路设计（二） STP重新计算： 汇聚交换机故障 汇聚交换内联故障 服务模块故障 上联线路、端口故障 访问层交换机故障 网络故障转移时间 网络七层中部分层的Failover时间对比 无环路设计（一） 交换机集群技术 核心、汇聚层 对外表现为一台交换机 交换机堆叠技术 接入层 对外为一个STP节点 服务器接入2台交换机 无环路设计（二） 核心、汇聚及接入交换机均采用无环路设计 数据中心应用部署模式（一） 应用三层架构 WEB APP DB 隔离方法 不同汇聚层 防火墙 Vlan 数据中心应用部署模式（二） 应用之间隔离 不同应用的同一层之间隔离 Vlan、防火墙 作用： 防止广播风暴扩大 减少攻击及病毒的影响范围 数据中心功能分区 数据中心功能分区原则： 安全级别 服务器数量 业务功能 集团数据中心功能分区： 网络核心区 互联网边界 广域网边界 DMZ、APP、DB 办公区、监控区、维护区 测试开发区 管理区 存储区 总部、一级公司 招商局集团数据中心网络架构-环路 数据中心主要区域设计 核心层 汇聚层 接入层 边界 互联网边界 广域网边界 管理网络 存储网络 核心层设计要点 模块化 高万兆端口密度 支持交换机集群 高可用性、扩展性 支持40G/100G技术 汇聚层设计要点 具有核心层的所有功能 高的万兆端口密度 集成相应的服务模块及外挂服务设备 服务模块或设备 防火墙（可虚拟） 服务器负载均衡 流量分析 入侵检测 应用防护 垃圾邮件过滤 接入层设计要点 固定千兆端口 2个以上上联万兆端口 支持堆叠技术 支持三层交换功能 支持刀片服务器 满足双电源需求 互联网边界设计参考 互联网边界功能需求 线路由2个以上不同运营商提供 生产与办公/测试互联网物理分开 互联网服务 线路保护和优化：线路负载均衡、智能DNS、 远程访问：IPSec/SSL VPN 应用访问性能：流量控制、上网代理 安全：防火墙、入侵防护、网关防病毒、WEB过滤、上网行为管理、垃圾邮件网关等 互联网边界设计建议 WAN边界设计参考 WAN边界设计建议 管理网络 基础设施监控 系统网络监控 安全管理平台 防病毒服务器 时间服务器 补丁管理 管理员审计 KVM（带外）管理 备份服务器等 系统网络管理 通过设备管理端口连接至独立网络 通过防火墙，对管理数据流进行保护 通过安全审计等设备，实时记录管理员操作 与用户身份管理系统集成 时间服务器 所有网络设备的时间同步 所有服务器设备的时间同步 外部时间源可选择电信或互联网国家时间同步 带外管理IP KVM 服务器、网络设备转接后通过网线连接至KVM交换机 每台设备一条网线，需要在布线时预先部署 IP方式管理，与用户身份管理集成，防火墙隔离、用户审计 数据中心内存储网络 主要用途 数据备份 网络存储访问 IP层数据容灾 广域网规划（一） 生产数据中心 蛇口一级公司及下属公司 蛇口光纤网 香港总部、一级公司及下属公司 A中心为香港网络接入节点 跨境SDH连接至数据中心 国内一级公司及下属公司 申请SDH或DDN专线，自建MPLS网络 定义区域网络接入节点（如重庆） 互联网IPSec VPN连接（专线备份） 同城应用容灾中心 纳入蛇口光纤网（可考虑提速至10GB） 裸光纤（CWDM/DWDM），直连光纤交换机，数据备份 异地数据容灾中心 SDH连接至数据中心 广域网规划（二） 集团广域网规划（三） 广域网访