【正文】 但為便于說明，此處將核心區(qū)當作服務器區(qū)網(wǎng)絡的核心層加以說明。服務器區(qū)網(wǎng)絡拓撲中，匯聚層為多個服務器接入層模塊（交換機）提供流量匯聚功能，匯聚層的一個重要的角色是做為WEB層服務器的網(wǎng)關(guān)。在對應用的可靠性和安全性要求非常高的場合，在各服務器層之間還要部署IPS設備，在WEB層與APP層之間還要部署服務器負載分擔或應用優(yōu)化設備。核心的作用就是未各個區(qū)域提供無阻塞的高速轉(zhuǎn)發(fā)，對于各區(qū)域之間的訪問控制策略建議部署在各區(qū)域匯聚交換機或邊界防火墻上。使用鏈路聚合技術(shù)合并多個10GE端口，提供兩交換機之間的連通性。每個區(qū)交換機將使用單獨的VLAN，VLAN跨越兩個交換機，上行鏈接到核心。如果將來有可能擴展到四臺，則可以將另外兩臺與目前兩臺核心設備之間建立獨立的三層接口來實現(xiàn)。2. 交換機電源。每個分區(qū)的邊緣設備都被連接到CoreSW1和CoreSW2網(wǎng)絡模塊上。4. 交換機的機箱。4. 擴展性高端交換機和模塊都是擴展性很強的。數(shù)據(jù)中心核心區(qū)的擴展分為核心設備上板卡的擴展以及核心區(qū)整個設備的擴展：例如收購了一家企業(yè)，需要將該企業(yè)的數(shù)據(jù)中心融合到當前的數(shù)據(jù)中心，則需要增加新的核心的交換機設備。 內(nèi)網(wǎng)服務器區(qū)設計說明內(nèi)網(wǎng)服務器區(qū)是企業(yè)主要業(yè)務系統(tǒng)的運行平臺，承載著企業(yè)的核心業(yè)務，具有系統(tǒng)復雜、重要性極高、訪問頻繁、業(yè)務流量大、安全要求高、管理控制策略復雜等諸多特點，因此，內(nèi)網(wǎng)服務器區(qū)的設計必須要做到：l 高性能：萬兆核心、無收斂、吞吐量高、快速響應、服務器負載均衡，確保大流量突發(fā)情況下不丟包；l 高可用：網(wǎng)絡采用全冗余設計，對各種故障和誤操作具有良好的魯棒性；l 高安全：對各種訪問做到精細控制，防止各種非法和越權(quán)訪問；l 易于管理：各種控制和隔離策略要靈活部署，做到對網(wǎng)絡設備、服務器系統(tǒng)、存儲等系統(tǒng)的全面管理，同時管理數(shù)據(jù)流與業(yè)務數(shù)據(jù)流保持隔離。采用千兆和萬兆以太網(wǎng)鏈路連接，并應用鏈路聚和/跨設備鏈路聚和以增加鏈路容量和可靠性。為了前端網(wǎng)絡結(jié)構(gòu)更加緊湊高效，部分設備可以采用插卡方式實現(xiàn)，如插卡式防火墻，插卡式IPS，插卡式應用優(yōu)化設備，插卡負載均衡設備。推薦服務器采用二層接入，將主匯聚交換機做為第一級服務器的默認網(wǎng)關(guān)以及STP的根節(jié)點，并將備份匯聚交換機設置為備用網(wǎng)關(guān)和備用STP根。服務器分層多級部署方案如下圖所示，該方案有利于提高網(wǎng)絡對業(yè)務系統(tǒng)擴展性和靈活性。Top of rack方式適合于服務器通過接入交換機再連接到匯聚交換機的兩層接入方式：在此方式下，如下圖所示的Top of rack方式配線服務器所有數(shù)據(jù)布線在本機架頂端接入交換機匯集，交換機少量(24)線纜上接匯聚層設備，如使用光纖則更便于空中走線。④ 將VRRP＋MSTP做為高可用最佳組合方式。由于采用模塊化的體系架構(gòu)，因此分區(qū)都上連到核心區(qū)，同時在擴展能力強的分區(qū)中更有可能會有對服務器擴展。 業(yè)務板卡的擴展：在匯聚交換機上增加相應的業(yè)務板卡以滿足新增業(yè)務需求。采用多種網(wǎng)絡安全技術(shù)實現(xiàn)前端網(wǎng)絡的安全防護：采用IP/MAC/端口綁定技術(shù)，防止IP仿冒；啟用多種ARP防攻擊機制，保證網(wǎng)絡不受侵害；路由協(xié)議啟用鄰居安全認證機制，保證路由協(xié)議不受攻擊； 設備訪問提供SSH機制，保證報文傳輸?shù)陌踩?；采用STP防護保護STP協(xié)議運行安全；采用風暴抑制防止廣播風暴沖擊網(wǎng)絡；采用ACL訪問控制技術(shù)防止非法訪問；采用基于狀態(tài)的包過濾實現(xiàn)狀態(tài)復雜的應用層安全；防L3攻擊、防L4L7攻擊全面保護網(wǎng)絡各個層次；采用防病毒、防木馬技術(shù)保護網(wǎng)絡；能夠有效的防DOS/DDOS攻擊；采用密碼安全提高網(wǎng)絡設備登陸安全性。通過建設生產(chǎn)中心、本地備份中心和異地容災中心，即“兩地三中心”模式，通過良好的整體規(guī)劃設計，保證不可控因素影響下數(shù)據(jù)中心的高可用，保證故障情況下業(yè)務系統(tǒng)的持續(xù)。3. 關(guān)鍵鏈路、設備冗余備份，無單點故障。216。216。216。6. 除了產(chǎn)品高可用性外，還需要考慮服務器接入高可用、接入層到匯聚的高可用、匯聚層的高可用。為了使VRRP工作，首先要創(chuàng)建一個虛擬IP地址和MAC地址，這樣在這個網(wǎng)絡中就加入了一個虛擬網(wǎng)關(guān)。 服務器負載分擔服務器負載分擔實現(xiàn)47層的負載均衡和冗余備份服務器負載分擔技術(shù)如同第二層交換跨越到了第三層交換一樣，為了進一步提高網(wǎng)絡的QoS引入了第四層交換的概念。傳輸層有很多的協(xié)議，常用的有TCP,UDP協(xié)議。第四層交換中數(shù)據(jù)包的傳輸不僅僅依據(jù)MAC地址（第二層交換）或源/目標IP地址（第三層路由），還要依據(jù)TCP/UDP端口地址（第四層地址）。第七層交換技術(shù)可以定義為數(shù)據(jù)包的傳送不僅僅依據(jù)MAC地址（第二層交換）或源/目標IP地址（第三層路由）以及TCP/UDP端口（第四層地址），而是可以根據(jù)內(nèi)容（表示/應用層）進行傳送。對于某一個端口來說，在第四層交換時可以通過對端口進行交換來獲得較好的QoS，但是對于通過這個端口的傳輸流沒有辦法識別，只能對所有通過這個端口的傳輸流統(tǒng)一對待，而服務提供商或許需要其中的某些傳輸流具有高的QoS優(yōu)先處理權(quán)或者將某些流引向性能高的處理機中。它可保護數(shù)據(jù)中心中關(guān)鍵應用和保密數(shù)據(jù)；增強數(shù)據(jù)中心的運營效率，并迅速創(chuàng)建新的安全應用環(huán)境來支持新的業(yè)務流程。面向網(wǎng)絡層的攻擊除了由于系統(tǒng)漏洞造成的應用攻擊外，數(shù)據(jù)中心還要面對拒絕服務攻擊（DoS）和分布式拒絕服務攻擊（DDoS）的挑戰(zhàn)。對網(wǎng)絡基礎(chǔ)設施的攻擊數(shù)據(jù)中心象一座擁有巨大財富的城堡，然而堅固的堡壘最容易從內(nèi)部被攻破，來自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。常見的DDOS攻擊方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。 數(shù)據(jù)中心面對的安全挑戰(zhàn)面向應用層的攻擊常見的應用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應用攻擊莫過于“蠕蟲”。這種交換機可以打開傳輸流的應用/表示層，分析其中的內(nèi)容，因此可以根據(jù)應用類型而非僅僅根據(jù)IP和端口號做出更智能的流向決策，如根據(jù)URL的具體內(nèi)容的識別交換。高層由于和應用相關(guān)，這時候的交換就有了智能性，交換機具有了區(qū)別各種高層應用和識別內(nèi)容的能力。如同上面所描述的一樣，端口地址代表了不同的業(yè)務協(xié)議，所以第四層交換不僅僅進行了物理上的交換，還包括了業(yè)務上的交換；第四層交換的交換域是由源端和終端IP地址、TCP和UDP端口共同決定的，因此，第四層交換機是真正的“會話交換機”。這些業(yè)務通常由一些諸如HTTP，F(xiàn)TP，NFS，Telnet等協(xié)議來表示，而協(xié)議的類型由TCP或UDP端口地址來決定。OSI協(xié)議參考模型定義了7層結(jié)構(gòu)，網(wǎng)絡層之上是傳輸層。一個虛擬網(wǎng)關(guān)由一個主設備（Master）和若干個備份設備（Backup）組成，主設備實現(xiàn)真正的轉(zhuǎn)發(fā)功能。 MSTPMSTP技術(shù)多生成樹協(xié)議MSTP（Multiple Spanning Tree Protocol）是IEEE ,它引入了“實例”（Instance）的概念，提高網(wǎng)絡的可靠性，實現(xiàn)基于VLAN的負載均衡和冗余備份根保護和雙根冗余MSTP具有VLAN認知能力，可以實現(xiàn)負載均衡，可以實現(xiàn)類似RSTP的端口狀態(tài)快速切換，可以捆綁多個VLAN到一個實例中以降低資源占用率，并且可以很好地向下兼容STP/RSTP協(xié)議。216。216。216。5. 高可用的網(wǎng)絡設備支撐整個數(shù)據(jù)中心的高可用性，相關(guān)設備的軟硬件系統(tǒng)，包括引擎、接口板卡、鏈路層、IP層、傳輸層和應用層，均需要提可靠性：216?；诠收显虻姆诸?，數(shù)據(jù)中心設計和設備選擇上要做如下考慮：1. 采用 “分區(qū)”理念，從網(wǎng)絡構(gòu)架上保證數(shù)據(jù)中心高可用性和故障隔離。 數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡架構(gòu)高可用設計說明隨著企業(yè)之間競爭的加劇，客戶對企業(yè)服務的要求越來越高，保證數(shù)據(jù)中心的高可用性，提供724小時網(wǎng)絡服務成為企業(yè)建網(wǎng)的首要目標，也是數(shù)據(jù)中心建設關(guān)注的第一要素。 采用服務器分層多級部署：建議采用服務器分層多級部署方案，以提高網(wǎng)絡對業(yè)務系統(tǒng)擴展性和靈活性5. 安全性安全部署主要包括各服務器區(qū)的訪問控制以及數(shù)據(jù)中心廣域網(wǎng)接入?yún)^(qū)或互聯(lián)網(wǎng)接入?yún)^(qū)的安全控制。 接口板卡的擴展：如果本分區(qū)中增加了更多的服務器和接入交換機，可以通過增加匯聚交換機接口板卡滿足更多接入需求。到核心分區(qū)的上連端口支持10Gbps的傳輸速度。3. 高可用性和冗余建議從以下幾個方面考慮高可用設計：① 接入層交換機成對部署，以支持服務器的多網(wǎng)卡雙歸屬接入方式② 在接入交換機與匯聚交換機之間部署全交叉的物理鏈路，以實現(xiàn)鏈路的可靠性。服務器間部署應用優(yōu)化設備可實現(xiàn)多級服務器之間的流量分擔，以減少服務器的負載。服務器接入的網(wǎng)絡的部署方式有兩種：扁平部署和分層多級部署。接入層設備可以應用智能堆疊（IRF）技術(shù)增強接入設備的端口密度和可靠性。在匯聚層部署L4L7各業(yè)務模塊，包括安全設備（如千兆防火墻，千兆IPS，SSL網(wǎng)關(guān)設備），負載均衡設備，網(wǎng)絡流量分析設備，應用優(yōu)化設備，流量清洗設備。1. 物理設備和鏈路分區(qū)中包含了兩臺互連的匯聚交換機，成對部署的接入交換機，和相應的服務器。5. 安全性通常建議不在核心區(qū)中實施訪問控制，這是因為它完成路由和交換的主要功能。同時交換機要有足夠數(shù)量的端口以滿足數(shù)據(jù)中心今后的發(fā)展需求。前提是每個VLAN在兩臺交換機上都有配置，而且每個分區(qū)的邊緣設備都上連到CoreSW1和CoreSW2交換機上。以免當?shù)谝粋€交換機上的模塊或端口問題引起鏈路中斷時，第二個交換機能夠繼續(xù)數(shù)據(jù)的傳輸。當任何一個電源故障時，那么另外一個能夠保證交換機的繼續(xù)運行。每個交換機都有兩個引擎。每個上行鏈接VLAN都在兩個交換機中配置。有兩類連接連接到核心，一類是來自交換機（比如業(yè)務系統(tǒng)服務器區(qū)）的連接，另一類是用防火墻連接（互聯(lián)網(wǎng)接入?yún)^(qū)）。萬兆核心網(wǎng)絡為數(shù)據(jù)中心提供了更高效、快速、可靠的數(shù)據(jù)交換網(wǎng)絡。如圖，對于服務器多級部署模型，每一級都部署單獨的接入交換機，級與級之間再部署防火墻以實現(xiàn)訪問控制隔離，這種部署模型的結(jié)構(gòu)比較清晰，擴展性好，但相對來說網(wǎng)絡管理較復雜，建設成本較高，適合大型數(shù)據(jù)中心服務器區(qū)的設計；對于服務器扁平部署模型而言，服務器的分級結(jié)構(gòu)是邏輯上的，需要依靠接入交換機的VLAN、匯聚層的防火墻多實例技術(shù)實現(xiàn)不同服務器級之間的隔離與訪問控制，扁平模型的好處是成本低，管理的設備較少，適合中小型數(shù)據(jù)中心服務器區(qū)設計。這些L4－L7服務設備可以采用獨立的盒式設備或者采用匯聚交換機上服務模塊（板卡）。例如，如圖中當前只有兩個服務器區(qū)，將來根據(jù)業(yè)務發(fā)展的需要，可以非常容易的增加新的區(qū)域或者新的交換機，而不需要對整個Server Farm的網(wǎng)絡架構(gòu)進行大的修改。2. 數(shù)據(jù)中心服務器區(qū)分層、分級設計思想對于數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡而言，無論是采用服務器扁平部署模式還是服務器多級部署模式，都可以將網(wǎng)絡按照經(jīng)典的三層結(jié)構(gòu)（接入層、匯聚層、核心層）進行部署。對于區(qū)域而言，我們可以從各個區(qū)域的功能來預知這個區(qū)域?qū)蓴U展性等的要求，例如，部署業(yè)務應用的區(qū)域可能會需要更高的可擴展性和可用性，而金融業(yè)務區(qū)將更注重安全性。數(shù)據(jù)中心中的服務器將會根據(jù)服務器上的應用的用戶訪問特性和應用的核心功能分成不同組部署在不同的區(qū)域中，但是由于整個數(shù)據(jù)中心的很多服務是統(tǒng)一提供的，例如數(shù)據(jù)備份和系統(tǒng)管理，所以為保持架構(gòu)的統(tǒng)一性，避免資源不必要的重復浪費，一些功能相似的服務將統(tǒng)一部署在特定的功能區(qū)域內(nèi)，例如與管理相關(guān)的服務器將被部署在管理區(qū)。 統(tǒng)一性。216。數(shù)據(jù)中心網(wǎng)絡建設要全面遵循業(yè)界標準，所推薦采用的設備、技術(shù)在互通性和互操作性上，可以支持企業(yè)數(shù)據(jù)中心網(wǎng)絡系統(tǒng)的快速布署。網(wǎng)絡基礎(chǔ)設計的安全性，設計到企業(yè)的核心數(shù)據(jù)安全。網(wǎng)絡的可用性指業(yè)務應用系統(tǒng)每天能有多少小時，每周有多少天，每年有多少周可以為用戶提供服務，以及這些應用在發(fā)生故障時可以多快恢復工作的時間。 高可用性。在省郵政RR2連接市郵政的端口和市郵政RR2連接數(shù)據(jù)中心的端口上，都采用CBWFQ，對不同的應用保留相應的帶寬如下：鏈路應用描述線路的保證帶寬各條鏈路視頻/語音2M 營業(yè)類實時業(yè)務40%帶寬營業(yè)類文件傳輸業(yè)務20%帶寬非FTP/HTTP的OA應用20%帶寬其它應用（如FTP和HTTP）不保證在省郵政RR2連接市郵政的端口和市郵政RR2連接數(shù)據(jù)中心的端口上，都采用WRED；在發(fā)生擁塞時，對不同的DSCP值的數(shù)據(jù)包進行丟棄。優(yōu)先級分類針對郵政的應用情況，可以把需要使用QOS的各種應用劃分為5類：l 視頻/語音： 這類數(shù)據(jù)對延時也非常敏感，但屬于多媒體業(yè)務，可以定義為最高優(yōu)先級；l 營業(yè)類實時業(yè)務： 這類數(shù)據(jù)的特點是交易包長度固定，交易時限要求實時，上下行數(shù)據(jù)流量基本對等，因為是網(wǎng)絡中的關(guān)鍵應用，所以應定義為次優(yōu)先級；l 營業(yè)類報表業(yè)務： 這類數(shù)據(jù)的特點是數(shù)據(jù)流量大，網(wǎng)絡要求實時性不高，定時傳輸。一定要區(qū)分不同用戶的實際需求， 對需要進行SLA保障的業(yè)務有針對性的部署HQOS流量管理策略。SR8800的Crossbar交換網(wǎng)支持VOQ和E2E流控技術(shù)，可有效避免報文的頭阻塞（HOL），并且在Crossbar上實現(xiàn)了報文的“區(qū)分服務”。報文流經(jīng)過下行業(yè)務處理引擎NP的優(yōu)先級映射或復雜流分類處理，每條流分配一個Flowid；根據(jù)Flowid，NP把該報文送入相應隊列（用戶業(yè)務層），分層QoS處理引擎完成后續(xù)擁塞避免、多級調(diào)度、流量限速、流量統(tǒng)計的處理。上圖形象的說明了分層QoS解決多用戶的多業(yè)務帶寬保證原理，接口就像一個大的水管，每個用戶從大管子中分一個小管子，大管子就能對小管子進行流量管理，而每個用戶又對其自己的小管子再細分出不同的流，對不同的流進行不同的處理。 HQoS部署原則1. HQoS原理介紹傳統(tǒng)的QoS在流量管理方案的特點：a) 傳統(tǒng)的QoS流量管理是基于端口帶寬進行調(diào)度的；b) 傳統(tǒng)的QoS流量管理只能進行一級的隊列調(diào)度。 系統(tǒng)QoS設計