【正文】 靠性技術(shù)，合理設(shè)計網(wǎng)絡(luò)冗余拓撲結(jié)構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地保證網(wǎng)絡(luò)系統(tǒng)的高效運行。要求要便于理解和操作，盡量采用全中文界面?？赏ㄟ^MPLS信令(如LDP，Label Distribute Protocol，標簽分配協(xié)議)或手工配置的方法建立好MPLS標記交換連接(Label Switched Path，簡稱LSP）以后，數(shù)據(jù)轉(zhuǎn)發(fā)過程中，在網(wǎng)絡(luò)入口進行流分類，根據(jù)數(shù)據(jù)流所屬的FEC選擇相應(yīng)的LSP，把需要通這條LSP的報文打上相應(yīng)的標簽，中間路由器在收到MPLS報文以后直接根據(jù)MPLS報頭的標簽進行轉(zhuǎn)發(fā)，而不用再通過IP報文頭的IP地址查找。2. L3 MPLS VPN實現(xiàn)原理在L3 MPLS VPN（又稱MPLS BGP VPN）的模型中，網(wǎng)絡(luò)由運營商的骨干網(wǎng)與用戶的各個Site組成，所謂VPN就是對site集合的劃分，一個VPN就對應(yīng)一個由若干site組成的集合。 每個PE根據(jù)BGP擴展發(fā)布的信息進行路由計算，生成每個相關(guān)VPN的路由表。在MPLS/BGP VPN中，屬于同一的VPN的兩個site之間轉(zhuǎn)發(fā)報文使用兩層標簽來解決，在入口PE上為報文打上兩層標簽，第一層（外層）標簽在骨干網(wǎng)內(nèi)部進行交換，代表了從PE到對端PE的一條隧道，VPN報文打上這層標簽，就可以沿著LSP到達對端PE，這時候就需要使用第二層（內(nèi)層）標簽，這層標簽指示了報文應(yīng)該到達哪個site，或者更具體一些，到達哪一個CE，這樣，根據(jù)內(nèi)層標簽，就可以找到轉(zhuǎn)發(fā)的接口。即通過建設(shè)一套傳輸二層PVC通道設(shè)備疊加一臺IP三層路由器建網(wǎng)的方式，這種方式無法實現(xiàn)雙機冗余、投資浪費、傳輸效率又底，因而很難未來業(yè)務(wù)發(fā)展需要。網(wǎng)絡(luò)采用MPLS技術(shù)組網(wǎng)，從邏輯上根據(jù)業(yè)務(wù)系統(tǒng)的不同分為郵政業(yè)務(wù)、視頻、OA、金融業(yè)務(wù)等幾個縱向VPN，每個VPN之間相當(dāng)于在二層隔離，各自擁有獨立的IP地址空間。電路帶寬擴容：將來市局的上聯(lián)主用帶寬從SDH捆綁2Mbps電路上擴展時，由于省中心配置了CPOS模塊，修改配置增加時隙即可，無須變更物理電路，市局則通過路由器上配的N個E1端口做鏈路捆綁，可支持到16Mbps（82Mbps捆綁，PPP MultiLink）。綜上，在本期工程中，我們采用的路由協(xié)議類型就是：骨干層MBGP＋OSPF、PE與CE互聯(lián)采用靜態(tài)路由與策略路由結(jié)合的方式, 這樣對整個網(wǎng)絡(luò)中的設(shè)備要求不是太高，并且很好的實現(xiàn)了MPLS VPN。由于RD與VRF相捆綁。其中AS號統(tǒng)一使用骨干AS的100，如果各業(yè)務(wù)間沒有互訪的需求，就將routetarget 的 export和import設(shè)為一致。對于PE與CE互聯(lián)，可以采用的路由協(xié)議有靜態(tài)路由、RIP、OSPF和EBGP等多種路由協(xié)議。兩種路由協(xié)議均是基于鏈路狀態(tài)計算的最短路徑路由協(xié)議，采用同一種最短路徑算法 (Dijkstra)，兩種協(xié)議在實現(xiàn)方法、網(wǎng)絡(luò)結(jié)構(gòu)上均相似。3. 靜態(tài)路由規(guī)劃各業(yè)務(wù)PE和CE之間運行靜態(tài)路由。 本次選用的核心路由器SR8800具備完善的安全機制：支持用戶分級管理和口令保護，對登錄用戶進行認證，并且不同級別的用戶有不同的配置權(quán)限，用戶認證方式包括：AAA認證、RADIUS認證等認證方式等。 H3C SecBlade FW是業(yè)內(nèi)第一款萬兆高性能防火墻模塊，可應(yīng)用于H3C S7500E/S9500交換機以及SR6600路由器。 H3C SecBlade FW支持先進的虛擬防火墻技術(shù)，通過在同一臺物理設(shè)備上劃分多個邏輯的防火墻實例來實現(xiàn)對用戶多個業(yè)務(wù)獨立安全策略部署的需求。3. 病毒和蠕蟲傳播的風(fēng)險：網(wǎng)絡(luò)設(shè)備和主機系統(tǒng)的操作系統(tǒng)存在諸多漏洞，在沒有及時打補丁的時候，會面臨惡意攻擊的威脅，如蠕蟲病毒的泛濫；同時應(yīng)用層程序也會收到病毒的影響導(dǎo)致，系統(tǒng)崩潰。驗證應(yīng)該使用加密方式。同時，交換機產(chǎn)品中提供了大量的安全特性，可以充分保障以太網(wǎng)的安全。(3)應(yīng)用層控制，在被允許訪問的流量中，還面臨應(yīng)用層威脅傳播的風(fēng)險，嚴重情況下會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。以入侵防御系統(tǒng) (IPS, Intrusion Prevention System ) 為代表的應(yīng)用層安全設(shè)備，作為防火墻的重要補充，很好的解決了應(yīng)用層防御的問題，并且變革了管理員構(gòu)建網(wǎng)絡(luò)防御的方式。為了解決現(xiàn)有安全防御體系中存在的不足，H3C推出了端點準入防御（Endpoint Admission Defense，EAD），旨在整合孤立的單點防御系統(tǒng)，加強對用戶的集中管理，統(tǒng)一實施系統(tǒng)的安全策略，提高網(wǎng)絡(luò)終端的主動抵抗能力。d) 管理與監(jiān)控——EAD提供了集接入策略、安全策略、服務(wù)策略、安全事件監(jiān)控于一體的用戶管理平臺，可以幫助網(wǎng)絡(luò)管理員定制基于用戶身份的、個性化的網(wǎng)絡(luò)安全策略。c) 可行性： QoS技術(shù)會影響設(shè)備的性能，DiffServ 方式對設(shè)備性能的影響低于TE方式。隨著未來電話網(wǎng)，有線電視，Internet的三網(wǎng)融合，數(shù)據(jù)設(shè)備越來越多的用于承載語音，視頻等一些實時、時延敏感業(yè)務(wù)，NGN/3G、VPN增值業(yè)務(wù)的開展，分層QOS有效地解決了多用戶的多業(yè)務(wù)的帶寬保證，最大限度的保護運營商的投資，必將作為一項重要的QOS特性擔(dān)任越來越重要的角色。第二，分析組網(wǎng)拓撲，合理劃分網(wǎng)絡(luò)層次，找出合適的分層QoS部屬點，把分層QoS模型中不同分層節(jié)點映射到實際的網(wǎng)絡(luò)中。由于DSCP向下兼容IP Precedence，而DSCP提供了進一步細分不同類型數(shù)據(jù)流的能力，可以滿足未來網(wǎng)絡(luò)擴展的需求，因而在省郵政采用DSCP進行數(shù)據(jù)流分類、而在市郵政采用IP Precedence進行數(shù)據(jù)流分類。當(dāng)今，企業(yè)關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與性能要求比任何時候都更為重要。216。網(wǎng)絡(luò)系統(tǒng)覆蓋整個數(shù)據(jù)中心，能否對其進行高效的管理和維護將直接影響企業(yè)業(yè)務(wù)系統(tǒng)的運作，因此需要采用智能管理技術(shù)實現(xiàn)網(wǎng)絡(luò)監(jiān)控和管理。例如在區(qū)域劃分上，如果一個應(yīng)用只會被建行內(nèi)部的用戶訪問，那么跟這個應(yīng)用相關(guān)的服務(wù)器就將部署在內(nèi)網(wǎng)區(qū)，那個被用戶直接訪問的服務(wù)器，例如Web Server或者位于前端的應(yīng)用服務(wù)器將會被在內(nèi)網(wǎng)區(qū)域的Web Server網(wǎng)段。需要說明的一點是，核心層在本案的分區(qū)模塊化設(shè)計中已被劃分到了核心區(qū)，但為便于說明，此處將核心區(qū)當(dāng)作服務(wù)器區(qū)網(wǎng)絡(luò)的核心層加以說明。在對應(yīng)用的可靠性和安全性要求非常高的場合，在各服務(wù)器層之間還要部署IPS設(shè)備，在WEB層與APP層之間還要部署服務(wù)器負載分擔(dān)或應(yīng)用優(yōu)化設(shè)備。使用鏈路聚合技術(shù)合并多個10GE端口，提供兩交換機之間的連通性。如果將來有可能擴展到四臺，則可以將另外兩臺與目前兩臺核心設(shè)備之間建立獨立的三層接口來實現(xiàn)。每個分區(qū)的邊緣設(shè)備都被連接到CoreSW1和CoreSW2網(wǎng)絡(luò)模塊上。4. 擴展性高端交換機和模塊都是擴展性很強的。例如收購了一家企業(yè)，需要將該企業(yè)的數(shù)據(jù)中心融合到當(dāng)前的數(shù)據(jù)中心，則需要增加新的核心的交換機設(shè)備。采用千兆和萬兆以太網(wǎng)鏈路連接，并應(yīng)用鏈路聚和/跨設(shè)備鏈路聚和以增加鏈路容量和可靠性。推薦服務(wù)器采用二層接入，將主匯聚交換機做為第一級服務(wù)器的默認網(wǎng)關(guān)以及STP的根節(jié)點，并將備份匯聚交換機設(shè)置為備用網(wǎng)關(guān)和備用STP根。Top of rack方式適合于服務(wù)器通過接入交換機再連接到匯聚交換機的兩層接入方式：在此方式下，如下圖所示的Top of rack方式配線服務(wù)器所有數(shù)據(jù)布線在本機架頂端接入交換機匯集，交換機少量(24)線纜上接匯聚層設(shè)備，如使用光纖則更便于空中走線。由于采用模塊化的體系架構(gòu)，因此分區(qū)都上連到核心區(qū)，同時在擴展能力強的分區(qū)中更有可能會有對服務(wù)器擴展。采用多種網(wǎng)絡(luò)安全技術(shù)實現(xiàn)前端網(wǎng)絡(luò)的安全防護：采用IP/MAC/端口綁定技術(shù)，防止IP仿冒；啟用多種ARP防攻擊機制，保證網(wǎng)絡(luò)不受侵害；路由協(xié)議啟用鄰居安全認證機制，保證路由協(xié)議不受攻擊； 設(shè)備訪問提供SSH機制，保證報文傳輸?shù)陌踩?；采用STP防護保護STP協(xié)議運行安全；采用風(fēng)暴抑制防止廣播風(fēng)暴沖擊網(wǎng)絡(luò)；采用ACL訪問控制技術(shù)防止非法訪問；采用基于狀態(tài)的包過濾實現(xiàn)狀態(tài)復(fù)雜的應(yīng)用層安全；防L3攻擊、防L4L7攻擊全面保護網(wǎng)絡(luò)各個層次；采用防病毒、防木馬技術(shù)保護網(wǎng)絡(luò)；能夠有效的防DOS/DDOS攻擊；采用密碼安全提高網(wǎng)絡(luò)設(shè)備登陸安全性。3. 關(guān)鍵鏈路、設(shè)備冗余備份，無單點故障。216。6. 除了產(chǎn)品高可用性外，還需要考慮服務(wù)器接入高可用、接入層到匯聚的高可用、匯聚層的高可用。 服務(wù)器負載分擔(dān)服務(wù)器負載分擔(dān)實現(xiàn)47層的負載均衡和冗余備份服務(wù)器負載分擔(dān)技術(shù)如同第二層交換跨越到了第三層交換一樣，為了進一步提高網(wǎng)絡(luò)的QoS引入了第四層交換的概念。第四層交換中數(shù)據(jù)包的傳輸不僅僅依據(jù)MAC地址（第二層交換）或源/目標IP地址（第三層路由），還要依據(jù)TCP/UDP端口地址（第四層地址）。對于某一個端口來說，在第四層交換時可以通過對端口進行交換來獲得較好的QoS，但是對于通過這個端口的傳輸流沒有辦法識別，只能對所有通過這個端口的傳輸流統(tǒng)一對待，而服務(wù)提供商或許需要其中的某些傳輸流具有高的QoS優(yōu)先處理權(quán)或者將某些流引向性能高的處理機中。面向網(wǎng)絡(luò)層的攻擊除了由于系統(tǒng)漏洞造成的應(yīng)用攻擊外，數(shù)據(jù)中心還要面對拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。常見的DDOS攻擊方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。這種交換機可以打開傳輸流的應(yīng)用/表示層，分析其中的內(nèi)容，因此可以根據(jù)應(yīng)用類型而非僅僅根據(jù)IP和端口號做出更智能的流向決策，如根據(jù)URL的具體內(nèi)容的識別交換。如同上面所描述的一樣，端口地址代表了不同的業(yè)務(wù)協(xié)議，所以第四層交換不僅僅進行了物理上的交換，還包括了業(yè)務(wù)上的交換；第四層交換的交換域是由源端和終端IP地址、TCP和UDP端口共同決定的，因此，第四層交換機是真正的“會話交換機”。OSI協(xié)議參考模型定義了7層結(jié)構(gòu)，網(wǎng)絡(luò)層之上是傳輸層。 MSTPMSTP技術(shù)多生成樹協(xié)議MSTP（Multiple Spanning Tree Protocol）是IEEE ,它引入了“實例”（Instance）的概念，提高網(wǎng)絡(luò)的可靠性，實現(xiàn)基于VLAN的負載均衡和冗余備份根保護和雙根冗余MSTP具有VLAN認知能力，可以實現(xiàn)負載均衡，可以實現(xiàn)類似RSTP的端口狀態(tài)快速切換，可以捆綁多個VLAN到一個實例中以降低資源占用率，并且可以很好地向下兼容STP/RSTP協(xié)議。216。5. 高可用的網(wǎng)絡(luò)設(shè)備支撐整個數(shù)據(jù)中心的高可用性，相關(guān)設(shè)備的軟硬件系統(tǒng)，包括引擎、接口板卡、鏈路層、IP層、傳輸層和應(yīng)用層，均需要提可靠性：216。 數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)架構(gòu)高可用設(shè)計說明隨著企業(yè)之間競爭的加劇，客戶對企業(yè)服務(wù)的要求越來越高，保證數(shù)據(jù)中心的高可用性，提供724小時網(wǎng)絡(luò)服務(wù)成為企業(yè)建網(wǎng)的首要目標，也是數(shù)據(jù)中心建設(shè)關(guān)注的第一要素。 接口板卡的擴展：如果本分區(qū)中增加了更多的服務(wù)器和接入交換機，可以通過增加匯聚交換機接口板卡滿足更多接入需求。3. 高可用性和冗余建議從以下幾個方面考慮高可用設(shè)計：① 接入層交換機成對部署，以支持服務(wù)器的多網(wǎng)卡雙歸屬接入方式② 在接入交換機與匯聚交換機之間部署全交叉的物理鏈路，以實現(xiàn)鏈路的可靠性。服務(wù)器接入的網(wǎng)絡(luò)的部署方式有兩種：扁平部署和分層多級部署。在匯聚層部署L4L7各業(yè)務(wù)模塊，包括安全設(shè)備（如千兆防火墻，千兆IPS，SSL網(wǎng)關(guān)設(shè)備），負載均衡設(shè)備，網(wǎng)絡(luò)流量分析設(shè)備，應(yīng)用優(yōu)化設(shè)備，流量清洗設(shè)備。5. 安全性通常建議不在核心區(qū)中實施訪問控制，這是因為它完成路由和交換的主要功能。同時交換機要有足夠數(shù)量的端口以滿足數(shù)據(jù)中心今后的發(fā)展需求。以免當(dāng)?shù)谝粋€交換機上的模塊或端口問題引起鏈路中斷時，第二個交換機能夠繼續(xù)數(shù)據(jù)的傳輸。每個交換機都有兩個引擎。有兩類連接連接到核心，一類是來自交換機（比如業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)）的連接，另一類是用防火墻連接（互聯(lián)網(wǎng)接入?yún)^(qū)）。如圖，對于服務(wù)器多級部署模型，每一級都部署單獨的接入交換機，級與級之間再部署防火墻以實現(xiàn)訪問控制隔離，這種部署模型的結(jié)構(gòu)比較清晰，擴展性好，但相對來說網(wǎng)絡(luò)管理較復(fù)雜，建設(shè)成本較高，適合大型數(shù)據(jù)中心服務(wù)器區(qū)的設(shè)計；對于服務(wù)器扁平部署模型而言，服務(wù)器的分級結(jié)構(gòu)是邏輯上的，需要依靠接入交換機的VLAN、匯聚層的防火墻多實例技術(shù)實現(xiàn)不同服務(wù)器級之間的隔離與訪問控制，扁平模型的好處是成本低，管理的設(shè)備較少，適合中小型數(shù)據(jù)中心服務(wù)器區(qū)設(shè)計。例如，如圖中當(dāng)前只有兩個服務(wù)器區(qū)，將來根據(jù)業(yè)務(wù)發(fā)展的需要，可以非常容易的增加新的區(qū)域或者新的交換機，而不需要對整個Server Farm的網(wǎng)絡(luò)架構(gòu)進行大的修改。對于區(qū)域而言，我們可以從各個區(qū)域的功能來預(yù)知這個區(qū)域?qū)蓴U展性等的要求，例如，部署業(yè)務(wù)應(yīng)用的區(qū)域可能會需要更高的可擴展性和可用性，而金融業(yè)務(wù)區(qū)將更注重安全性。 統(tǒng)一性。數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)要全面遵循業(yè)界標準，所推薦采用的設(shè)備、技術(shù)在互通性和互操作性上，可以支持企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)的快速布署。網(wǎng)絡(luò)的可用性指業(yè)務(wù)應(yīng)用系統(tǒng)每天能有多少小時，每周有多少天，每年有多少周可以為用戶提供服務(wù)，以及這些應(yīng)用在發(fā)生故障時可以多快恢復(fù)工作的時間。在省郵政RR2連接市郵政的端口和市郵政RR2連接數(shù)據(jù)中心的端口上，都采用CBWFQ，對不同的應(yīng)用保留相應(yīng)的帶寬如下：鏈路應(yīng)用描述線路的保證帶寬各條鏈路視頻/語音2M 營業(yè)類實時業(yè)務(wù)40%帶寬營業(yè)類文件傳輸業(yè)務(wù)20%帶寬非FTP/HTTP的OA應(yīng)用20%帶寬其它應(yīng)用（如FTP和HTTP）不保證在省郵政RR2連接市郵政的端口和市郵政RR2連接數(shù)據(jù)中心的端口上，都采用WRED；在發(fā)生擁塞時，對不同的DSCP值的數(shù)據(jù)包進行丟棄。一定要區(qū)分不同用戶的實際需求， 對需要進行SLA保障的業(yè)務(wù)有針對性的部署HQOS流量管理策略。報文流經(jīng)過下行業(yè)務(wù)處理引擎NP的優(yōu)先級映射或復(fù)雜流分類處理，每條流分配一個Flowid；根據(jù)Flowid，NP把該報文送入相應(yīng)隊列（用戶業(yè)務(wù)層），分層QoS處理引擎完成后續(xù)擁塞避免、多級調(diào)度、流量限速、流量統(tǒng)