【正文】 u OSPF路由發(fā)布原則OSPF進(jìn)程內(nèi)的所有設(shè)備都使用Network方式發(fā)布業(yè)務(wù)網(wǎng)段，并且將業(yè)務(wù)網(wǎng)段接口配置成Silentinterface，不允許直接引入Direct路由。. VLAN規(guī)劃本次項(xiàng)目VLAN號(hào)段總體規(guī)劃如下：VLAN ID號(hào)段用途及業(yè)務(wù)規(guī)劃199預(yù)留，暫時(shí)不用100499各應(yīng)用區(qū)服務(wù)器接入VLAN500599核心交換機(jī)到各業(yè)務(wù)區(qū)域防火板之間的互聯(lián)VLAN600699各業(yè)務(wù)區(qū)域防火板到各業(yè)務(wù)區(qū)域接入交換機(jī)之間的互聯(lián)VLAN700799各業(yè)務(wù)區(qū)域內(nèi)交換機(jī)管理VLAN8004094預(yù)留VLAN. IP地址規(guī)劃數(shù)據(jù)中心各業(yè)務(wù)接入IP地址及VLAN規(guī)劃如下：地址段網(wǎng)關(guān)vlan id業(yè)務(wù)子業(yè)務(wù)安全區(qū)域，具體規(guī)劃如下：管理地址網(wǎng)絡(luò)設(shè)備名設(shè)備名稱系統(tǒng)名稱VLAN ID通用服務(wù)器區(qū)交換機(jī)管理地址開(kāi)發(fā)測(cè)試區(qū)交換機(jī)管理地址帶外網(wǎng)管區(qū)交換機(jī)管理地址. 路由規(guī)劃OSPF（Open Shortest Path First，開(kāi)放最短路徑優(yōu)先）是IETF組織開(kāi)發(fā)的一個(gè)基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議，目前針對(duì)IPv4協(xié)議使用的是OSPF Version 2（RFC 2328）。這種布局要求每個(gè)服務(wù)器機(jī)柜的服務(wù)器密度比較高，一般來(lái)說(shuō)都采用1U的服務(wù)器，對(duì)于一個(gè)42U的機(jī)柜，可接入20到30臺(tái)1RU服務(wù)。比如說(shuō)，服務(wù)器都是IBM的2U、4U的小型機(jī)，一個(gè)機(jī)柜42U，也就擺放612臺(tái)左右。l 缺點(diǎn)：當(dāng)服務(wù)器機(jī)柜列很長(zhǎng)時(shí)，末端機(jī)柜距離列頭柜太遠(yuǎn)，難以實(shí)現(xiàn)接入。（3）日志及事件管理數(shù)據(jù)中心內(nèi)部署了眾多的網(wǎng)絡(luò)和安全設(shè)備，一旦出現(xiàn)攻擊，將會(huì)引起攻擊路徑上的眾多設(shè)備產(chǎn)生告警事件及日志，需要一臺(tái)安全管理中心設(shè)備能夠?qū)?shù)據(jù)中心內(nèi)部產(chǎn)生的各種日志和事件進(jìn)行智能的關(guān)聯(lián)分析，便于運(yùn)維人員能夠迅速的找到問(wèn)題根源。 Web訪問(wèn)審計(jì)提供用戶按照站點(diǎn)地址和URI為條件進(jìn)行審計(jì)的功能?；趫?bào)文內(nèi)容對(duì)應(yīng)用進(jìn)行識(shí)別和分類，可針對(duì)百兆鏈路提供對(duì)常見(jiàn)P2P應(yīng)用的網(wǎng)絡(luò)占用帶寬趨勢(shì)圖和流量趨勢(shì)圖及應(yīng)用的詳細(xì)信息列表等報(bào)表，實(shí)現(xiàn)對(duì)此類應(yīng)用流量的監(jiān)控。支持網(wǎng)絡(luò)運(yùn)行設(shè)備的配置變化檢查，一旦配置發(fā)生變化，立刻以告警方式通知管理員關(guān)注。2）集中化的設(shè)備配置和軟件信息展示提供全網(wǎng)設(shè)備的配置文件、軟件版本信息集中式展示，包括設(shè)備的當(dāng)前軟件版本、最新可用于升級(jí)的軟件版本、最近備份時(shí)間、是否已加入自動(dòng)備份計(jì)劃等信息；可提供管理員對(duì)設(shè)備的集中操作包括設(shè)備配置部署、設(shè)備配置備份與恢復(fù)、設(shè)備軟件升級(jí)與恢復(fù)、設(shè)備空間管理、設(shè)備軟件基線化管理功能，極大的方便了管理員直觀的掌握當(dāng)前網(wǎng)絡(luò)的配置和軟件版本。數(shù)據(jù)中心運(yùn)維管理建設(shè)需要遵循的基本原則如下：w 集中性原則系統(tǒng)規(guī)劃、設(shè)計(jì)和建設(shè)要以管理系統(tǒng)集中、數(shù)據(jù)集中、處理集中為原則，統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)備、統(tǒng)一開(kāi)發(fā)與應(yīng)用。虛擬機(jī)從一臺(tái)物理服務(wù)器遷移到另一臺(tái)物理服務(wù)器之后，網(wǎng)絡(luò)接入交換機(jī)上針對(duì)原物理服務(wù)器的端口策略（ACL、QoS等）將全部失效。OA服務(wù)器區(qū)FCoE部署組網(wǎng)拓?fù)淙缦聢D所示：OA服務(wù)器部署萬(wàn)兆CAN融合網(wǎng)卡，連接FCoE接入交換機(jī)，同時(shí)在FCoE接入交換機(jī)上配置FC接口卡，與FC SAN交換機(jī)相連。FCoE技術(shù)的應(yīng)用范圍擴(kuò)大到整網(wǎng)，除接入層交換機(jī)外，匯聚核心層交換機(jī)也支持FCoE功能；除服務(wù)器外，存儲(chǔ)設(shè)備也逐漸支持FCoE接口。方案組網(wǎng)如下圖所示：從主中心和備份中心的網(wǎng)關(guān)層（本方案的接入交換機(jī)）拉出互聯(lián)鏈路，經(jīng)過(guò)“異地集群連通模塊”匯聚后上波分設(shè)備；異地集群連通模塊將需要進(jìn)行集群和遷移的服務(wù)器VLAN進(jìn)行Trunk，實(shí)現(xiàn)與大連雙中心的大二層VLAN互通，保證服務(wù)器可以實(shí)現(xiàn)跨數(shù)據(jù)中心的集群（MSCS）和遷移（VMotion）；數(shù)據(jù)中心內(nèi)部端到端部署IRF虛擬化，虛擬化后的網(wǎng)關(guān)設(shè)備與大連備份中心運(yùn)行VRRP，保證網(wǎng)關(guān)設(shè)備跨數(shù)據(jù)中心熱備。當(dāng)主數(shù)據(jù)中心發(fā)生災(zāi)難時(shí)，前端網(wǎng)絡(luò)將實(shí)現(xiàn)快速收斂，客戶端通過(guò)訪問(wèn)災(zāi)備中心以保障業(yè)務(wù)連續(xù)性。2. ERP流量ERP系統(tǒng)是XX集團(tuán)的關(guān)鍵業(yè)務(wù)，ERP服務(wù)器部署在數(shù)據(jù)中心，各站點(diǎn)分布多個(gè)ERP工作站訪問(wèn)數(shù)據(jù)中心的ERP服務(wù)器。另外還可以采用CRTP（IP /UDP/ RTP報(bào)文頭壓縮）技術(shù)，以提高鏈路的利用率。在實(shí)際應(yīng)用中，SP隊(duì)列調(diào)度算法與WRR調(diào)度算法可以同時(shí)應(yīng)用一個(gè)端口上，既保證關(guān)鍵業(yè)務(wù)的延時(shí)與抖動(dòng)，同時(shí)又保證各業(yè)務(wù)具有一定的帶寬保證。而數(shù)據(jù)又分ERP關(guān)鍵業(yè)務(wù)和其他業(yè)務(wù)，因此需要對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)進(jìn)行分類，才能更好地保障業(yè)務(wù)的開(kāi)展。網(wǎng)絡(luò)通過(guò)這些信息來(lái)進(jìn)行報(bào)文的分類、流量整形、流量監(jiān)管和排隊(duì)。u Integrated service：Intserv是一個(gè)綜合服務(wù)模型，它可以滿足多種QoS需求。SLB插卡與接入交換機(jī)建立三層連接關(guān)系，同時(shí)對(duì)下做為服務(wù)器網(wǎng)關(guān)設(shè)備提供服務(wù)器負(fù)載均衡功能。如圖所示，在數(shù)據(jù)中心服務(wù)器區(qū)，LB提供了服務(wù)器的負(fù)載均衡能力。服務(wù)器負(fù)載均衡為數(shù)據(jù)中心服務(wù)器區(qū)性能的擴(kuò)展和資源利用的優(yōu)化提供完美的解決方案。由于不同交換機(jī)設(shè)備對(duì)OAA的支持程度不同。兩塊SecBlade FW插卡邏輯上相當(dāng)于插在同一臺(tái)交換機(jī)上。防火墻與交換機(jī)之間的三層部署方式與傳統(tǒng)盒式設(shè)備類似。整個(gè)方案的安全部署采用了目前應(yīng)用廣泛的“分布式安全部署”方法，如下圖右側(cè)所示：分布式安全部署具有以下優(yōu)勢(shì)：u 分散風(fēng)險(xiǎn)：傳統(tǒng)的集中式安全部署一般將防火墻旁掛在核心交換機(jī)兩側(cè)，這樣一旦防火墻出現(xiàn)故障，數(shù)據(jù)中心內(nèi)的所有業(yè)務(wù)區(qū)都將不能訪問(wèn)，整個(gè)數(shù)據(jù)中心的所有業(yè)務(wù)均會(huì)中斷，風(fēng)險(xiǎn)和性能壓力都集中在防火墻上。. 災(zāi)備接入?yún)^(qū)u 功能描述災(zāi)備接入?yún)^(qū)用于實(shí)現(xiàn)數(shù)據(jù)中心與大連災(zāi)備中心的互連，實(shí)現(xiàn)SAN和LAN網(wǎng)絡(luò)雙中心的互通，保證數(shù)據(jù)同步復(fù)制。來(lái)保證負(fù)載分擔(dān)和L2~L7層安全過(guò)濾。u 設(shè)計(jì)要點(diǎn)1. 服務(wù)器接入交換機(jī)部署雙機(jī)，并采用IRF虛擬化，將兩臺(tái)物理設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，實(shí)現(xiàn)跨設(shè)務(wù)鏈路捆綁，與核心交換機(jī)配合實(shí)現(xiàn)端到端IRF。網(wǎng)絡(luò)架構(gòu)層面，采用雙核心設(shè)計(jì)，兩臺(tái)設(shè)備進(jìn)行冗余，并通過(guò)虛擬化技術(shù)進(jìn)行橫向整合，將兩臺(tái)物理設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，并實(shí)現(xiàn)跨設(shè)備的鏈路捆綁，所各分區(qū)的交換機(jī)IRF相配合，實(shí)現(xiàn)端到端IRF部署。詳細(xì)的安全設(shè)計(jì)參加“”章節(jié)。開(kāi)發(fā)測(cè)試區(qū)：此區(qū)域用于集團(tuán)內(nèi)部信息系統(tǒng)的開(kāi)發(fā)與測(cè)試，或新系統(tǒng)上線前的測(cè)試部署。外聯(lián)網(wǎng)接入應(yīng)用區(qū)：與合作單位的專線互連，此區(qū)域也包括合作單位的業(yè)務(wù)前置機(jī)服務(wù)器。從技術(shù)看，業(yè)務(wù)分區(qū)需要遵循以下原則：u 分區(qū)優(yōu)先考慮訪問(wèn)控制的安全性，單個(gè)應(yīng)用訪問(wèn)盡量在一個(gè)區(qū)域內(nèi)部完成，單個(gè)區(qū)域故障僅影響一類應(yīng)用，盡量減少區(qū)域間的業(yè)務(wù)耦合度；u 區(qū)域總數(shù)量的限制：但區(qū)域多則運(yùn)維管理的復(fù)雜度和設(shè)備投資增加，區(qū)域總數(shù)量有運(yùn)維上限不超過(guò)20個(gè)；u 單個(gè)區(qū)域內(nèi)服務(wù)器數(shù)量的限制：受機(jī)房空間、二層域大小、接入設(shè)備容量限制，單個(gè)區(qū)域內(nèi)服務(wù)器數(shù)量有限（通常不超過(guò)200臺(tái)）。u 扁平化數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)依據(jù)接入密度和分為三層架構(gòu)和二層架構(gòu)，如下圖所示：傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)通常采用三層架構(gòu)進(jìn)行組網(wǎng)，三層架構(gòu)可以保證網(wǎng)絡(luò)具備很好的擴(kuò)展性，同一個(gè)分區(qū)內(nèi)服務(wù)器接入密度高。因此不會(huì)引入環(huán)路，無(wú)需部署STP和VRRP等協(xié)議，簡(jiǎn)化網(wǎng)絡(luò)協(xié)議的部署，大大縮短設(shè)備和鏈路收斂時(shí)間（毫秒級(jí)），鏈路負(fù)載分擔(dān)方式工作，利用率大大提升。數(shù)據(jù)中心并不是孤立存在的，而是與大連中心、網(wǎng)絡(luò)匯聚中心外聯(lián)單位網(wǎng)絡(luò)等網(wǎng)絡(luò)區(qū)域相輔相成，數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)是業(yè)務(wù)數(shù)據(jù)的傳輸通道，將數(shù)據(jù)的計(jì)算和數(shù)據(jù)存儲(chǔ)有機(jī)的結(jié)合在一起。應(yīng)按照端到端訪問(wèn)安全、網(wǎng)絡(luò)L2L7層安全兩個(gè)維度對(duì)安全體系進(jìn)行設(shè)計(jì)規(guī)劃，從局部安全、全局安全到智能安全，將安全理念滲透到整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)中。但要保證高可靠，建議采用不同纜的多個(gè)光纖實(shí)現(xiàn)冗余。6. 大連中心與中心現(xiàn)有的互連線路保持不變，做為數(shù)據(jù)備份的鏈路備份。但中心原則上不部署業(yè)務(wù)系統(tǒng)服務(wù)器，僅做網(wǎng)絡(luò)匯聚；u 中心：數(shù)據(jù)中心將做為XX集團(tuán)的主數(shù)據(jù)中心，所有業(yè)務(wù)系統(tǒng)均部署在此數(shù)據(jù)中心內(nèi)，承載XX集團(tuán)所有生產(chǎn)系統(tǒng)；u 大連中心：做為數(shù)據(jù)中心內(nèi)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)備份中心，對(duì)關(guān)鍵生產(chǎn)系統(tǒng)的數(shù)據(jù)進(jìn)行災(zāi)備，原則上不部署業(yè)務(wù)系統(tǒng)服務(wù)器。用戶訪問(wèn)分析：辦公應(yīng)用的訪問(wèn)用戶單一，均為集團(tuán)內(nèi)部用戶。大連數(shù)據(jù)中心是災(zāi)備中心，主要功能是數(shù)據(jù)異地備份。u 數(shù)據(jù)中心應(yīng)用智能：基于TCP/IP的開(kāi)放架構(gòu)，保證各種新業(yè)務(wù)和應(yīng)用在數(shù)據(jù)中心的基礎(chǔ)體系架構(gòu)上平滑部署和升級(jí)，滿足用戶的多變需求，保證數(shù)據(jù)中心的持續(xù)服務(wù)和業(yè)務(wù)連續(xù)性。數(shù)據(jù)中心是當(dāng)前各行業(yè)的IT建設(shè)重點(diǎn)。. XX集團(tuán)數(shù)據(jù)中心建設(shè)XX集團(tuán)的商業(yè)用戶分布在全國(guó)各大城市，目前業(yè)務(wù)系統(tǒng)的部署主要集中在和大連，近年來(lái)隨著XX集團(tuán)業(yè)務(wù)的規(guī)模及多樣化發(fā)展，企業(yè)對(duì)信息化的依賴程度越來(lái)越高，數(shù)據(jù)集中、業(yè)務(wù)7*24小時(shí)高可靠支撐對(duì)數(shù)據(jù)中心的要求越來(lái)越高。2. 辦公應(yīng)用類u OAu 視頻會(huì)議u 圖檔u 文件u 其它流量特征分析：辦公應(yīng)用類服務(wù)器業(yè)務(wù)負(fù)載繁忙特征比較單一，繁忙時(shí)段集中在工作日的8小時(shí)內(nèi)，流量相對(duì)較穩(wěn)定。分析總結(jié)：1. 生產(chǎn)應(yīng)用類服務(wù)器的數(shù)量最多，而且此類服務(wù)器未來(lái)隨XX業(yè)務(wù)的發(fā)展，規(guī)模會(huì)越來(lái)越多，因此生產(chǎn)應(yīng)用類服務(wù)器的接入要充分考慮可擴(kuò)展性；2. 生產(chǎn)應(yīng)用類服務(wù)器的用戶訪問(wèn)類型最復(fù)雜，因此要充分考慮安全訪問(wèn)策略的設(shè)計(jì)；3. 生產(chǎn)應(yīng)用類服務(wù)器的流量特征最復(fù)雜，流量最大，而且突發(fā)性最強(qiáng)，因此要充分考慮網(wǎng)絡(luò)的緩沖能力；4. 辦公應(yīng)用類業(yè)務(wù)中，視頻會(huì)議對(duì)網(wǎng)絡(luò)的傳輸質(zhì)量最為敏感，方案設(shè)計(jì)要給予充分的QoS和帶寬保證。如上圖中紫色虛線數(shù)據(jù)流所示。考慮到可靠性，采用雙鏈路（不同運(yùn)營(yíng)商）；3. 合作單位專線出口：與合作單位專線互連，此出口的鏈路和帶寬取決與合作單位，在此不做分析；4. 數(shù)據(jù)備份出口：與大連數(shù)據(jù)中心互連，實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)備份與同步。網(wǎng)絡(luò)層的高可用至少包括高可靠、高安全和先進(jìn)性三個(gè)方面：u 高可靠：應(yīng)采用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)的應(yīng)變能力、容錯(cuò)能力和糾錯(cuò)能力，確保整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行穩(wěn)定、可靠。因此數(shù)據(jù)中心需要提供完善的運(yùn)維管理平臺(tái)，對(duì)數(shù)據(jù)中心IT資源進(jìn)行全局掌控，減少日常的運(yùn)維的人為故障。但此種部署方案網(wǎng)絡(luò)的協(xié)議部署復(fù)雜，收斂慢，鏈路帶寬利用率低，運(yùn)維管理工作量大。數(shù)據(jù)中心核心區(qū)用于承接各區(qū)域之間的數(shù)據(jù)交換，是整個(gè)數(shù)據(jù)中心的核心樞紐，因此核心交換機(jī)設(shè)備應(yīng)選用可靠性高的數(shù)據(jù)中心級(jí)設(shè)備部署。相比三層架構(gòu)，二層架構(gòu)可以大大簡(jiǎn)化網(wǎng)絡(luò)的運(yùn)維與管理。按照需求調(diào)研時(shí)了解的XX集團(tuán)業(yè)務(wù)系統(tǒng)分布情況，結(jié)合業(yè)務(wù)系統(tǒng)的用戶類型，數(shù)據(jù)中心的分區(qū)設(shè)計(jì)按照業(yè)務(wù)功能進(jìn)行分區(qū)。OA應(yīng)用區(qū)：此區(qū)域部署集團(tuán)內(nèi)部的OA應(yīng)用服務(wù)器，包括OA、RTX、泛微、圖檔、視頻會(huì)議、文件、網(wǎng)絡(luò)教學(xué)、網(wǎng)上招投標(biāo)等應(yīng)用系統(tǒng)。. 網(wǎng)絡(luò)設(shè)計(jì)結(jié)合上述的業(yè)務(wù)分區(qū)，按照結(jié)構(gòu)化、模塊化、扁平化的設(shè)計(jì)原則，實(shí)現(xiàn)高可用、易擴(kuò)展、易管理的建設(shè)目標(biāo)。因此，可靠性是衡量核心交換區(qū)設(shè)計(jì)的關(guān)鍵指標(biāo)。4. 智能分析針對(duì)各個(gè)區(qū)域的業(yè)務(wù)流量變化趨勢(shì)，本次在核心交換機(jī)上部署網(wǎng)絡(luò)流量分析模塊，可以實(shí)時(shí)感知，并作為網(wǎng)絡(luò)優(yōu)化及調(diào)整的依據(jù)。內(nèi)層防火墻用于實(shí)現(xiàn)公網(wǎng)服務(wù)器與數(shù)據(jù)中心內(nèi)部其它服務(wù)器之間的隔離，部署內(nèi)部區(qū)域間的訪問(wèn)控制策略。3. 服務(wù)器接入交換機(jī)上部署SecBlade IPS插卡，實(shí)現(xiàn)L2~L7層安全過(guò)濾。3. 匯接交換機(jī)部署IRF，實(shí)現(xiàn)雙纖捆綁，保證鏈路的可靠性。在數(shù)據(jù)中心服務(wù)器區(qū)域部署防火墻可以避免不同服務(wù)器系統(tǒng)之間的相互干擾，通過(guò)自定義防火墻策略還可以提供更詳細(xì)的訪問(wèn)機(jī)制。為簡(jiǎn)化SecBlade FW的配置，提高網(wǎng)關(guān)性能，將服務(wù)器的網(wǎng)關(guān)均部署在接入交換機(jī)上， SecBlade FW插卡僅部署本分區(qū)內(nèi)與其它分區(qū)之間的安全策略。通過(guò)IPS的深度檢測(cè)功能可以有效保護(hù)內(nèi)部服務(wù)器避免受到病毒、蠕蟲(chóng)、程序漏洞和DDOS等來(lái)自應(yīng)用層的安全威脅。所以在組網(wǎng)設(shè)計(jì)中需注意非OAA方式重定向到IPS插卡的業(yè)務(wù)流上下行流量需為不同VLAN。SecBlade LB在數(shù)據(jù)中心出口的部署如圖所示，在數(shù)據(jù)中心出口區(qū)域，LB插卡可以與宿主交換機(jī)連接三層連接關(guān)系，也可以直接和下游設(shè)備如防火墻等建立三層連接關(guān)系。u 通過(guò)IRF堆疊技術(shù)還可以進(jìn)一步簡(jiǎn)化組網(wǎng)結(jié)構(gòu)，提高管理維護(hù)和配置成本，是目前的流行部署方式。服務(wù)模型指的是一組端到端的QoS功能，目前有以下三種QoS服務(wù)模型：1. BestEffort service——盡力服務(wù)2. Integrated service（Intserv）——綜合服務(wù)3. Differentiated service（Diffserv）——區(qū)分服務(wù) u BestEffort service：盡力服務(wù)是最簡(jiǎn)單的服務(wù)模型。與Integrated service不同，它不需要信令，即應(yīng)用程序在發(fā)出報(bào)文前，不需要通知路由器。. QoS規(guī)劃CCITT最初給出定義：QoS是一