【正文】 式可以提供更靈活的路由控制策略，而后一種方式可以簡化組網(wǎng)的復(fù)雜結(jié)構(gòu)（例如：如果經(jīng)LLB下行的流量都要通過防火墻的安全保護，那么可以將防火墻直接作為LLB的下一跳設(shè)備）。由于IPS插卡不具有雙機熱備功能，通過組網(wǎng)設(shè)計，部分環(huán)境可以做到IPS故障的切換，部分環(huán)境中當(dāng)IPS故障后，重定向功能失效，業(yè)務(wù)流將不能繼續(xù)受到IPS的安全保護，流量在短暫中斷后仍然可以保證連續(xù)性。IPS插卡通過OAA（開放的應(yīng)用架構(gòu)）技術(shù)與宿主交換機配合使用。若本分區(qū)內(nèi)各服務(wù)器之間有隔離需求，建議在接入交換機上采用ACL方式實現(xiàn)。防火墻插卡設(shè)備雖然部署在交換機框中，但仍然可以看作是一個獨立的設(shè)備。4. 跨地域的二層打通后，可以實現(xiàn)網(wǎng)關(guān)設(shè)備跨地域部署VRRP，保證雙中心服務(wù)器集群時網(wǎng)關(guān)的切換。. 廣域網(wǎng)接入?yún)^(qū)u 功能描述廣域網(wǎng)接入?yún)^(qū)用于實現(xiàn)與網(wǎng)絡(luò)匯聚中心的互連，保證集團內(nèi)部用戶通過廣域網(wǎng)訪問數(shù)據(jù)中心內(nèi)的業(yè)務(wù)系統(tǒng)。外層防火墻采用獨立設(shè)備、內(nèi)層防火墻采用在服務(wù)器接入交換機上部署SecBlade FW插卡。. 服務(wù)器接入?yún)^(qū)u 功能描述服務(wù)器接入?yún)^(qū)用于完成服務(wù)器的LAN網(wǎng)絡(luò)接入，涉及到服務(wù)器接入的業(yè)務(wù)分區(qū)包括百貨應(yīng)用區(qū)、KTV應(yīng)用區(qū)、院線應(yīng)用區(qū)、ERP/財務(wù)應(yīng)用區(qū)、開發(fā)測試區(qū)、支撐管理區(qū)、其它應(yīng)用區(qū)，這些區(qū)域雖然部署的應(yīng)用服務(wù)器類型不一樣，設(shè)備的選型要求也不一樣，但對于網(wǎng)絡(luò)拓撲設(shè)計來說是一樣的，因此在方案設(shè)計時，這些區(qū)域的網(wǎng)絡(luò)拓撲設(shè)計將在此統(tǒng)一進行描述。否則，一旦核心模塊出現(xiàn)異常而不能及時恢復(fù)的話，會造成整個平臺業(yè)務(wù)的長時間中斷，影響巨大。網(wǎng)絡(luò)整體拓撲如下圖所示：整體網(wǎng)絡(luò)拓撲采用扁平化兩層組網(wǎng)架構(gòu)，從數(shù)據(jù)中心核心區(qū)直接到服務(wù)器接入，省去了中間的匯聚層，這種扁平化的網(wǎng)絡(luò)結(jié)構(gòu)有以下優(yōu)點：u 簡化網(wǎng)絡(luò)拓撲，降低網(wǎng)絡(luò)運維的難度；u 服務(wù)器區(qū)容易構(gòu)建大二層網(wǎng)絡(luò)，更適合未來的虛擬機大量部署及遷移；u 服務(wù)器接入交換機未來的擴展可直接在現(xiàn)有的IRF虛擬組添加成員交換機，擴展方便。ERP/財務(wù)應(yīng)用區(qū)：部署集團內(nèi)部的ERP和財務(wù)應(yīng)用服務(wù)器。分區(qū)設(shè)計如下：各區(qū)域業(yè)務(wù)系統(tǒng)部署描述如下：辦公局域網(wǎng)區(qū)：XX數(shù)據(jù)中心大樓辦公網(wǎng)絡(luò)，包括終端、樓層接入與匯聚。綜合上述因素，數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計采用二層扁平化架構(gòu)，滿足擴展性的同時，實現(xiàn)易管理。在進行模塊化設(shè)計時，盡量做到各模塊之間松耦合，這樣可以很好的保證數(shù)據(jù)中心的業(yè)務(wù)擴展性，擴展新的業(yè)務(wù)系統(tǒng)或模塊時不需要對核心或其它模塊進行改動。本方案設(shè)計不采用此方法。同時一旦出現(xiàn)故障，能夠借助工具直觀、快速定位。當(dāng)今，關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與性能要求比任何時候都更為重要。考慮到未來的雙活擴展與數(shù)據(jù)的實時同步，建議采用裸纖或DWDM互連。5. 大連備份中心與主中心直接相連，數(shù)據(jù)備份流量無需通過中心，提高數(shù)據(jù)備份的可靠性與效率，縮短時延。5. 三大類應(yīng)用系統(tǒng)中，所有業(yè)務(wù)均為7*24小時運行，因此在網(wǎng)絡(luò)的設(shè)計中要保證高可靠，設(shè)備和鏈路均采用冗余設(shè)計，對于生產(chǎn)類關(guān)鍵業(yè)務(wù)，要保證設(shè)備和鏈路故障恢復(fù)時間在毫秒（ms）級，避免設(shè)備和鏈路故障導(dǎo)致業(yè)務(wù)服務(wù)中斷。視頻會議對網(wǎng)絡(luò)的質(zhì)量要求最高，服務(wù)質(zhì)量（QoS）要充分考慮。經(jīng)綜合考慮，擬在新建數(shù)據(jù)中心，未來數(shù)據(jù)中心將成為XX集團的主中心，承載所有生產(chǎn)業(yè)務(wù)系統(tǒng)。運營商、電力、能源、金融證券、大型企業(yè)、政府、交通、教育、制造業(yè)、網(wǎng)站和電子商務(wù)公司等正在進行或已完成數(shù)據(jù)中心建設(shè)，通過數(shù)據(jù)中心的建設(shè)，實現(xiàn)對IT信息系統(tǒng)的整合和集中管理，提升內(nèi)部的運營和管理效率以及對外的服務(wù)水平，同時降低IT建設(shè)的TCO。數(shù)據(jù)中心的發(fā)展可分為四個層面：u 數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)整合：根據(jù)業(yè)務(wù)需求，基于開放標(biāo)準(zhǔn)的IP協(xié)議，完成對企業(yè)現(xiàn)有異構(gòu)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)資源和IT資源的整合，解決如何建設(shè)數(shù)據(jù)中心的問題。數(shù)據(jù)中心是集團廣域網(wǎng)匯聚中心，機房內(nèi)原則上將不放置服務(wù)器。規(guī)模分析：從服務(wù)器的數(shù)量上統(tǒng)計，辦公各類應(yīng)用的服務(wù)器數(shù)量占比如下圖所示：總體來看，OA服務(wù)器的數(shù)量最多，其次為視頻會議。. 流量模型分析XX集團數(shù)據(jù)中心建設(shè)完成后，集團的數(shù)據(jù)訪問流量模型如下圖所示：1. 未來三中心的定位：u 中心：XX集團廣域網(wǎng)絡(luò)匯聚中心，各地XX集團均與中心互連?？紤]到未來的雙活擴展與數(shù)據(jù)的實時同步，建議大連備份中心與主中心之后采用裸纖或DWDM互連，避免出現(xiàn)帶寬瓶頸。若采用裸纖或DWDM，帶寬不會成為瓶頸，因此也無需分析。u 高安全：網(wǎng)絡(luò)基礎(chǔ)設(shè)計的安全性，涉及到XX業(yè)務(wù)的核心數(shù)據(jù)安全。. 總體設(shè)計思路及原則數(shù)據(jù)中心為XX集團業(yè)務(wù)網(wǎng)絡(luò)、日常辦公與外聯(lián)單位提供數(shù)據(jù)訪問、OA和視頻等服務(wù)，以及各業(yè)務(wù)的安全隔離控制。2． IRF網(wǎng)絡(luò)設(shè)備N:1虛擬化技術(shù)通過H3C IRF技術(shù)對同一層面的設(shè)備進行橫向整合，將兩臺或多臺設(shè)備虛擬為一臺設(shè)務(wù)，統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一管理，并實現(xiàn)跨設(shè)備的鏈路捆綁。同時模塊化設(shè)計也可以很好的分散風(fēng)險，在某一模塊（除核心區(qū)外）出現(xiàn)故障時不會影響到其它模塊，將數(shù)據(jù)中心的故障影響降到最小。. 業(yè)務(wù)分區(qū)“模塊化”設(shè)計原則，需要對業(yè)務(wù)系統(tǒng)進行分區(qū)。廣域網(wǎng)接入?yún)^(qū)：與網(wǎng)絡(luò)匯聚中心廣域網(wǎng)絡(luò)互連，網(wǎng)絡(luò)出口。其它應(yīng)用區(qū)：部署商管、地產(chǎn)、酒店等應(yīng)用服務(wù)器。對于數(shù)據(jù)中心的網(wǎng)絡(luò)安全部署，在本方案中采用了“分布式安全部署”的策略，防火墻形態(tài)采用了H3C SecBlade安全插卡，實現(xiàn)網(wǎng)絡(luò)安全的融合。u 拓撲設(shè)計u 設(shè)計要點1. 高可靠核心交換設(shè)備選用數(shù)據(jù)中心級核心交換機，配置雙引擎，雙電源，保證網(wǎng)絡(luò)組件層面的穩(wěn)定性。u 拓撲設(shè)計注：院線應(yīng)用區(qū)若部署院線WEB服務(wù)器，則服務(wù)器接入交換機上除了部署FW插卡外，還頊要部署IPS和SLB插卡。4. 由于Internet區(qū)部署了較多的網(wǎng)站等WEB服務(wù)器，因此需要部署LB和IPS設(shè)備。（必要時也可考慮與大連數(shù)據(jù)中心互聯(lián)）u 拓撲設(shè)計u 設(shè)計要點1. 廣域網(wǎng)出口路由器部署雙機，出口鏈路為雙鏈路，保證廣域網(wǎng)出口高可靠；2. 防火墻采用路由器上部署SecBlade FW插卡。. 安全設(shè)計. 安全設(shè)計原則安全與網(wǎng)絡(luò)密不可分，本方案中的安全設(shè)計部署采用了與網(wǎng)絡(luò)分區(qū)相同的安全域劃分，同時采用SecBlade安全插卡實現(xiàn)了網(wǎng)絡(luò)與安全設(shè)備形態(tài)的融合。它通過交換機內(nèi)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連，它可以部署為2層透明設(shè)備和三層路由設(shè)備。如下圖所示： 對于僅部署SecBlade FW插卡的業(yè)務(wù)區(qū)（如百貨、KTV、ERP/財務(wù)、開發(fā)測試、支撐管理、外聯(lián)網(wǎng)區(qū)），區(qū)域內(nèi)的安全部署邏輯拓撲如下圖所示：u 接入交換機雙機部署IRF虛擬化，并實現(xiàn)跨設(shè)備鏈路捆綁?？梢酝ㄟ^傳統(tǒng)的流量重定向方式將需要IPS處理的業(yè)務(wù)流重定向到IPS插卡上處理，也可以通過OAA方式在IPS的Web頁面上配置重定向策略，這兩種方式都可以實現(xiàn)相同的功能。u SecBlade LB板卡設(shè)計部署LB插卡具備兩大主要功能，服務(wù)器負載均衡和鏈路負載均衡，分別應(yīng)用于數(shù)據(jù)中心服務(wù)器區(qū)和Internet出口區(qū)域。需要注意的是，在雙機熱備的組網(wǎng)環(huán)境中，兩塊LLB的出口配置必須相同，這樣才能保證業(yè)務(wù)切換后能正常運行。交換機通過IRF方式增強可靠性和管理性，F(xiàn)W插卡與上游設(shè)備建立三層連接關(guān)系，提供安全保護功能。網(wǎng)絡(luò)則盡最大的可能性來發(fā)送報文，但對時延、可靠性等不提供任何保證?？梢杂貌煌姆椒▉碇付▓笪牡腝oS，如IP包的優(yōu)先級位（IP Precedence)、報文的源地址和目的地址等。XX集團網(wǎng)絡(luò)中主要包括數(shù)據(jù)、視頻兩種業(yè)務(wù)應(yīng)用。WRR隊列調(diào)度算法在隊列之間進行輪流調(diào)度，保證每個隊列都得到一定的服務(wù)時間?？刹捎肔FI（鏈路的分段及交叉）技術(shù)避免大報文長期占用鏈路帶寬，采用LFI以后，數(shù)據(jù)報文（非RTP實時隊列和LLQ中的報文）在發(fā)送前被分片、逐一發(fā)送，而此時如果有語音報文到達則被優(yōu)先發(fā)送，從而保證了語音等實時業(yè)務(wù)的時延與抖動。數(shù)據(jù)中心實現(xiàn)方法：MCU通過交換機直接連入路由器，在路由器上啟用ACL識別視頻流（如視頻會議終端的IP地址），打上優(yōu)先級DSCP標(biāo)記AF41；并啟用CBWFQ和PQ，將視頻流放入到PQ的高優(yōu)先隊列中，優(yōu)先轉(zhuǎn)發(fā)，直到發(fā)送完后才發(fā)送其他類對應(yīng)的隊列的報文。不同數(shù)據(jù)中心（主中心、災(zāi)備中心）的前端網(wǎng)絡(luò)通過IP技術(shù)實現(xiàn)互聯(lián)，園區(qū)或分支的客戶端通過前端網(wǎng)絡(luò)訪問各數(shù)據(jù)中心。u 基于裸纖的DCI方案：此方案要求數(shù)據(jù)中心與大連災(zāi)備中心的互聯(lián)鏈路采用裸纖/DWDM，保證鏈路的私有性與高性能帶寬。u FCOE技術(shù)的兩種部署模式:FCOE技術(shù)在網(wǎng)絡(luò)中有兩種部署模式，如下圖所示：1. 整網(wǎng)端到端（接入—匯聚—核心）的FCOE部署（上圖a）。u 數(shù)據(jù)中心FCoE部署：在數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計中，F(xiàn)CoE技術(shù)將部署在OA服務(wù)器區(qū)，一方面為將來做技術(shù)儲備，另一方面OA服務(wù)器的風(fēng)險及性能壓力相對較低，不會影響到企業(yè)的生產(chǎn)運作。u 虛擬機遷移與網(wǎng)絡(luò)安全策略的感知。同時，借助于科技網(wǎng)絡(luò)化的管理工具，可以達到提高運維日常工作效率和管理效率的雙重功效。（3）配置管理1）資源化的配置和軟件管理配置模板庫維護網(wǎng)絡(luò)設(shè)備配置模板文件、用戶常用的配置模板片段兩種資源；配置模板文件可部署為設(shè)備的啟動配置或者運行配置；配置模板片斷可部署為設(shè)備的運行配置，也可通過啟用“下發(fā)命令后將設(shè)備運行配置保存為啟動配置”選項部署為啟動配置，并且配置內(nèi)容可以帶有參數(shù)，在部署時根據(jù)設(shè)備的差異設(shè)置不同的值。用戶可以針對不同的設(shè)備設(shè)置不同的備份周期和備份時間點，支持按天、周、月周期備份。從多個角度對網(wǎng)絡(luò)流量進行分析，并生成報表，包括基于接口的總體流量趨勢報表、應(yīng)用帶寬占用趨勢報表、節(jié)點（包括源、目的IP）流量報表、會話流量報表共四大類報表。審計結(jié)果支持按照各個字段進行分組排序的功能及審計結(jié)果的保存。通過使用這些自帶的報表，管理員可以非常清楚的了解當(dāng)前用戶對網(wǎng)絡(luò)的使用情況。適合于中、大型數(shù)據(jù)中心。這種布局通常用在服務(wù)器機柜中的服務(wù)器密度不是很高的情況。這種組網(wǎng)的好處是簡化布線，從服務(wù)器機柜到列頭柜只有很少的電纜?？梢赃x擇較為傳統(tǒng)的方式：地下走線+列頭柜布線+EoR服務(wù)器接入的方式。數(shù)據(jù)中心各個區(qū)域主要為接入服務(wù)器，不再規(guī)劃路由區(qū)域。. 業(yè)務(wù)遷移在構(gòu)建了跨數(shù)據(jù)中心大二層網(wǎng)絡(luò)后，業(yè)務(wù)系統(tǒng)的遷移可以采取先遷服務(wù)器，后遷網(wǎng)關(guān)的方式進行。與所有鏈路狀態(tài)路由協(xié)議相同，OSPF協(xié)議相比距離矢量（DistanceVector，DV）算法（如RIP）的動態(tài)路由協(xié)議，具有更快的收斂速度，可以支持更大的網(wǎng)絡(luò)，不易受到錯誤路由信息影響的特點，是一種適用范圍廣、支持驗證、無自環(huán)、功能完善的動態(tài)路由協(xié)議。這種布局可以用在一些對接入密度比較高的IDC機房。當(dāng)前大部分機房都按這種方式布線，這種布線的主要問題是從各機柜到列頭柜需要鋪設(shè)大量的銅纜，尤其是從離列頭柜最遠端的服務(wù)器機柜，會拉出一大捆網(wǎng)線。3）POD(Point Of Delivery)布線——機柜組布線l 特點：網(wǎng)絡(luò)機柜放置在一組服務(wù)器機柜中間，對應(yīng)到一個服務(wù)器區(qū)域l 優(yōu)點：兩邊機柜的電纜都向中間集中，避免了最遠端電纜到列頭機柜的網(wǎng)線超出規(guī)定了距離，并且各機柜傳輸效率較為平均，布線距離較短，節(jié)省了布線成本。安全管理中心能夠提供對全網(wǎng)海量的安全事件和日志的集中收集與統(tǒng)一分析，兼容異構(gòu)網(wǎng)絡(luò)中多廠商的各種設(shè)備，對收集數(shù)據(jù)高度聚合存儲及歸一化處理，實時監(jiān)控全網(wǎng)安全狀況，同時能夠根據(jù)不同用戶需求提供豐富的自動報告，提供具有說服力的網(wǎng)絡(luò)安全狀況與政策符合性審計報告，系統(tǒng)自動執(zhí)行以上收集、監(jiān)控、告警、報告、歸檔等所有任務(wù)，使IT及安全管理員脫離繁瑣的手工管理工作，極大提高效率，能夠集中精力用于更有價值的活動，保障網(wǎng)絡(luò)安全。審計結(jié)果支持按照各個字段進行分組排序的功能及審計結(jié)果的保存。通過流量原始日志對特定節(jié)點、協(xié)議、端口、時間范圍內(nèi)的流量趨勢、來源、目的和會話進行審計，給出對應(yīng)的通信明細（包括流量、包數(shù)、包長等），并可根據(jù)來源IP、目的IP、端口等進行分類統(tǒng)計，以便跟蹤解決網(wǎng)絡(luò)流量異常問題。（4）安全管理1）智能分析與聯(lián)動對來自于網(wǎng)絡(luò)、安全、操作系統(tǒng)、數(shù)據(jù)庫、存儲等設(shè)施的安全信息與事件進行分析，關(guān)聯(lián)和聚類常見的安全問題，過濾重復(fù)信息，發(fā)現(xiàn)隱藏的安全問題，使管理員能夠輕松了解突發(fā)事件的起因、發(fā)生位置、被攻擊設(shè)備和端口，并能根據(jù)預(yù)先制定的策略做出快速的響應(yīng)，保障網(wǎng)絡(luò)安全。3）基線化的設(shè)備配置變更審計通過配置備份歷史和軟件升級歷史的管理，實現(xiàn)基線化的設(shè)備配置變更審計功能，使配置文件管理和軟件升級管理具有了可回溯性。w 先進性和成熟性原則用科學(xué)的方法（如ITIL）及工具進行系統(tǒng)規(guī)劃和設(shè)計，避免盲目性和隨意性；選擇技術(shù)先進、具有一定代表水平并且成熟的技術(shù)方法和產(chǎn)品來建設(shè)數(shù)據(jù)中心管理系統(tǒng)。在數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計時將分別針對上述幾個方面問題，提出相應(yīng)的解決方案。FCoE上行至核心交換機的鏈路組網(wǎng)與其它業(yè)務(wù)區(qū)相同。由此實現(xiàn)了LAN與SAN的融合，簡化了整網(wǎng)基礎(chǔ)設(shè)施。u 基于IP廣域網(wǎng)DCI方案：此方案可借用廣域IP三層傳輸線路實現(xiàn)與大連雙中心的二層互聯(lián)，線路成本相對較低，但線路帶寬可能成為瓶頸。u 二層互聯(lián)：也稱為數(shù)據(jù)中心服務(wù)器網(wǎng)絡(luò)互聯(lián)（以下簡稱DCI）。由于中間的網(wǎng)絡(luò)設(shè)備連接很多，要做到端到端的QoS，需要在不同的設(shè)備上啟用QoS。u 擁塞避免建議采用WRED加權(quán)丟棄技術(shù)，實現(xiàn)擁塞避免。廣域網(wǎng)一般采用路由器組網(wǎng)，目前路由器主要支持的隊列管理技術(shù)包括PQ、CQ、WFQ、CBQ/LLQ，由于PQ、CQ、WFQ的種種問題，目前通常采用CBQ/LLQ做為骨干層的隊列管理機制。u 業(yè)務(wù)分類和標(biāo)記針對XX集團的要求，對其主要的流量進行劃分和標(biāo)記，具體如下：業(yè)務(wù)類型業(yè)務(wù)特征IP PrecedenceIP DSCP網(wǎng)絡(luò)控制協(xié)議（hello、SLA）適用于網(wǎng)絡(luò)維護與管理報文的可靠傳輸，要求低丟包率756（CS7）7視頻會議對時延、抖動較敏感；帶寬需求高；需要可預(yù)計的時延和丟包率534(AF41)5ERP適合重要數(shù)據(jù)業(yè)務(wù),低丟包、高優(yōu)先級32