【文章內(nèi)容簡介】 鍵技術(shù) (詳細參見 章節(jié)相關(guān)介紹 )，在保證數(shù)據(jù)中心的高可靠的同時，簡化網(wǎng)絡運維管理，同時提供了智能化的管理工具平臺。 . 核心交換區(qū) ? 功能描述 核心交換區(qū) 的主要功能是完成 各服務器功能分區(qū)、辦公局域網(wǎng)、 外聯(lián)網(wǎng) 、互聯(lián)網(wǎng) 之間數(shù)據(jù)流量的高速交換，是廣域 /局域縱向流量與服務功能分區(qū)間橫向流量的交匯點。核心交換區(qū)必須具備高速轉(zhuǎn)發(fā)的能力，同時還需要有很強的擴展能力，以便應對未來業(yè)務的快速增長。 核心模塊是整個平臺的樞紐。因此，可靠性是衡量核心交換區(qū)設計的關(guān)鍵指標。否則，一旦核心模塊出現(xiàn)異常而不能及時恢復的話，會造成整個平臺業(yè)務的長時間中斷，影響巨大。 ? 拓撲 設計 ? 設計要點 1. 高可靠 核心交換 設備選用數(shù)據(jù)中心級核心交換機，配置雙引擎，雙電源，保證網(wǎng)絡組件層面的穩(wěn)定性。 高校 數(shù)據(jù)中心網(wǎng)絡及安全方案建議書 14 網(wǎng)絡架構(gòu)層面，采用雙核心設計，兩臺設備進行冗余，并通過虛擬化技術(shù)進行橫向整合，將兩臺物理設備虛擬化為一臺邏輯設備，并實現(xiàn)跨設備的鏈路捆綁，所各分區(qū)的交換機 IRF相配合，實現(xiàn)端到端 IRF 部署 。 兩臺設備工作在雙活模式，縮短鏈路故障與設備故障的倒換時間 (毫秒級 )，保證出現(xiàn)單點故障時不中斷業(yè)務。 為保證出現(xiàn)單點故障 (鏈路 /設備 )時另一臺設備能夠完全接管業(yè)務，各功能模塊通過 “ 口 ”字形 上行與核心模塊互連。 2. 高速傳輸 本次網(wǎng)絡設計容量應保證未來 3～ 5 年內(nèi)的業(yè)務擴展，本設計采用“萬兆到核心，千兆接入”的思路，核心模塊對外接口為全萬兆接口。 3. 易于擴展 按照“核心－邊緣架構(gòu)”的設計原則，核心模塊應避免部署訪問控制策略（如 ACL、路由過濾等），保證核心模塊業(yè)務的單純性 與松耦合 ，便于下聯(lián)功能模塊擴展時， 不 影響核心業(yè)務，同時可以提高核心模塊的穩(wěn)定性。 4. 智能分析 針對各個區(qū)域的業(yè)務流量變化趨勢，本次在核心交換機上 部署網(wǎng)絡流量分析模塊，可以實時感知，并作為網(wǎng)絡優(yōu)化及調(diào)整的依據(jù)。 . 服務器接入 區(qū) ? 功能描述 服務器接 入 區(qū) 用于完成服務器的 LAN 網(wǎng)絡接入，依照 章節(jié)的業(yè)務分區(qū)設計，涉及到服務器接入的業(yè)務分區(qū)包括 應用區(qū)、 ERP/財務應用區(qū)、開發(fā)測試區(qū)、支撐管理區(qū)、其它應用區(qū)，這些區(qū)域雖然部署的應用服務器類型不一樣，設備的選型要求也不一樣，但對于網(wǎng)絡拓撲設計來說是一樣的，因此在方案設計時，這些區(qū)域的網(wǎng)絡拓撲設計將在此統(tǒng)一進行描述 。 ? 拓撲 設計 高校 數(shù)據(jù)中心網(wǎng)絡及安全方案建議書 15 注： 應用區(qū) 若部署院線 WEB 服務器， 則 服務器接入交換機上除了部署 FW 插卡外，還頊要部署 IPS 和 SLB 插卡。 ? 設計要點 1. 服務器接入交換機部署雙機，并采用 IRF 虛擬化，將兩臺物理設備虛擬化為一臺邏輯設備，實現(xiàn)跨設務鏈路捆綁，與核心交換 機 配合實現(xiàn)端到端 IRF。此外服務器雙網(wǎng)關(guān)配置成雙活模式（ ActiveActive）， ； 2. 各服務器接入交換機上部署 SecBlade FW 插卡，用于本區(qū)域與其它區(qū)域的訪問控制策略部署。 應用區(qū)部署 FW+IPS+LB 插卡； 3. 服務器網(wǎng)關(guān)部署在接入交換機上，防火墻插卡與接入交換機以及核心交換機之間運行OSPF 動態(tài)路由，實現(xiàn) FW 的雙機熱備。 . 互聯(lián)網(wǎng) 區(qū) ? 功能描述 互聯(lián)網(wǎng)區(qū)用于部署 學校 WEB 服務器 以及 學校 的 DNS、 FTP、 Email 等需要通過互聯(lián)網(wǎng)對公眾用戶提供服務器的應用系統(tǒng) 。 ? 拓撲 設計 高校 數(shù)據(jù)中心網(wǎng)絡及安全方案建議書 16 ? 設計要點 1. Inter 出口采用雙運營商鏈路，保證用戶訪問效率的同時，實現(xiàn)鏈路的冗余； 2. 服務器接入交換機部署雙機，并采用 IRF 虛擬化，將兩臺物理設備虛擬化為一臺邏輯設備，實現(xiàn)跨設務鏈路捆綁，與 服務器雙網(wǎng)卡配合實現(xiàn)雙活 (ActiveActive)； 3. 采用雙層防火墻部署，外層防火墻用于實現(xiàn) Inter 與 WEB、 DNS、 Email、 FTP 等公網(wǎng)服務器的隔離，實現(xiàn)公網(wǎng)服務器的分域，并配置 DMZ 區(qū)域保證安全。內(nèi)層防火墻用于實現(xiàn)公網(wǎng)服務器與數(shù)據(jù)中心內(nèi)部其它服務器之間的隔離，部署內(nèi)部區(qū)域間的訪問控制策略。外層防火墻采用獨立設備、內(nèi)層防火墻采用在服務器接入交換機上部署 SecBlade FW 插卡。 4. 由于 Inter 區(qū)部署了較多的網(wǎng)站等 WEB 服務器，因此需要部署 LB 和 IPS 設備。 來保證負載分擔和 L2~L7 層安全過濾。 . 外聯(lián)網(wǎng) 區(qū) ? 功能描述 外 聯(lián)網(wǎng)區(qū)用于 實現(xiàn)與合作單 位的專線網(wǎng)絡進行互聯(lián)，并部署合作單位的前置機服務器 。 高校 數(shù)據(jù)中心網(wǎng)絡及安全方案建議書 17 ? 拓撲 設計 ? 設計要點 1. 服務器接入交換機部署雙機，并采用 IRF 虛擬化，將兩臺物理設備虛擬化為一臺邏輯設備，實現(xiàn)跨設務鏈路捆綁，與 服務器雙網(wǎng)卡配合實現(xiàn)雙活 (ActiveActive)； 2. 采用雙層防火墻部署，外層防火墻用于實現(xiàn) 前置機 服務器 與合作單位網(wǎng)絡 的隔離， 可部署 NAT。內(nèi)層防火墻用于實現(xiàn)前置機 服務器與數(shù)據(jù)中心內(nèi)部其它服務器之間的隔離，部署內(nèi)部區(qū)域間的訪問控制策略。外層防火墻 H3C SecBlade FW 插卡、內(nèi)層防火墻可采用非 H3C 的第三方 FW 獨立設備進行異構(gòu)，加強安全性 。 3. 服務器接入交換機上 部署 SecBlade IPS 插卡，實現(xiàn) L2~L7 層安全過濾。 . 廣域網(wǎng)接入 區(qū) ? 功能描述 廣域網(wǎng)接入 區(qū)用于實現(xiàn)與 網(wǎng)絡匯聚中 心的互連，保證 學校 內(nèi)部用戶通過廣域網(wǎng)訪問數(shù)據(jù)中心內(nèi)的業(yè)務系統(tǒng)。 ? 拓撲 設計 高校 數(shù)據(jù)中心網(wǎng)絡及安全方案建議書 18 ? 設計要點 1. 廣域網(wǎng)出口路由器部署雙機，出口鏈路為雙鏈路，保證廣域網(wǎng)出口高可靠 ； 2. 防火墻 采用路由器上部署 SecBlade FW 插卡。 . 災備接入?yún)^(qū) ? 功能描述 災備接入?yún)^(qū)用于實現(xiàn)數(shù)據(jù)中心與大連災備中心的互連，實現(xiàn) SAN和 LAN 網(wǎng)絡雙中心的互通，保證數(shù)據(jù)同步復制。同時通過將兩中心的 VLAN 二層打通，實現(xiàn)跨數(shù)據(jù)中心的大二層網(wǎng)絡，便于虛擬機業(yè)務遷移和跨地域服務器集群。 ? 拓撲 設計 高校 數(shù)據(jù)中心網(wǎng)絡及安全方案建議書 19 ? 設計要點 1. 數(shù)據(jù)中心與大連災備中心之間采用雙路裸纖做災備互連鏈路，并采用 DWDM 進行復用。 2. SAN 網(wǎng)絡直接通過光纖上 DWDM 波分設備，實現(xiàn)數(shù)據(jù)存儲備份通道的互通。 LAN 網(wǎng)絡通過在服務器網(wǎng)關(guān)交換機設備上通過 VLAN Trunk 到匯接交換機，然后再上 DWDM 設備，實現(xiàn)雙中心之間的大二層 VLAN 互通 。 3. 匯接交換機部署 IRF，實現(xiàn)雙纖捆綁，保證鏈路的可靠性 。 4. 跨地域的二層打通后，可以實現(xiàn)網(wǎng)關(guān)設備跨地域部署 VRRP，保證雙中心服務器集群時網(wǎng)關(guān)的切換。 高校 數(shù)據(jù)中心網(wǎng)絡及安全方案建議書 20 . 安全設計 . 安全設計原則 安全與網(wǎng)絡密不可分，本方案中的安全設計部署采用了與網(wǎng)絡分區(qū)相同的安全域劃分，同時采用 SecBlade 安全插卡實現(xiàn)了網(wǎng)絡與安全設備形態(tài)的融合。整個方案的安全部署采用了目前應用廣泛的“分布式安全部署”方法，如下圖右側(cè)所示： 分布式安全部署具有以下優(yōu)勢： ? 分散風險： 傳統(tǒng)的集中式安全部署一般將防火墻旁掛在核心交換機兩側(cè)，這樣一旦防火墻出現(xiàn)故障，數(shù)據(jù)中心內(nèi)的所有業(yè)務區(qū)都將不能訪問，整個數(shù)據(jù)中心的所有業(yè)務均會中斷，風險和性能壓力都集中在防火墻上。而采用分布式部署后，防火墻出現(xiàn)故障只會影響到本區(qū)域的業(yè)務，進而實現(xiàn)風險和性能的分散，提高了整個數(shù)據(jù)中心的可靠性； ? 靈活擴展： 分部式安全部署，核心交換機原則上不部署任何與業(yè)務分區(qū)之間的安全策略，可實現(xiàn)核心區(qū)與各業(yè)務分區(qū)之間的松耦合，在新增模塊或業(yè)務系統(tǒng)時，無需更改核心設備的配置，減小核心區(qū)出現(xiàn)故障的機率，保證核心區(qū)的高可靠與業(yè)務分區(qū)的 靈活擴展； ? 簡化安全策略部署： 防火墻下移到各業(yè)務分區(qū)的出口，防火墻上部署的安全策略可大大簡化，默認僅需要劃分兩個安全域（受信域與非受信域），采用白名單方式下發(fā)策略，減少了策略的交叉。 . SecBlade FW 插卡部署 防火墻設備在數(shù)據(jù)中心網(wǎng)絡架構(gòu)中為內(nèi)部系統(tǒng)提供了安全和可靠性保障。防火墻主要部高校 數(shù)據(jù)中心網(wǎng)絡及安全方案建議書 21 署在數(shù)據(jù)中心的兩個常見區(qū)域中：數(shù)據(jù)中心出口區(qū)域和服務器區(qū)域。在數(shù)據(jù)中心出口區(qū)域部署防火墻可以保障來自 Inter 和合作伙伴的用戶的安全性，避免未經(jīng)授權(quán)的訪問和網(wǎng)絡攻擊。在數(shù)據(jù)中心服務器區(qū)域部署防火墻可以避免不同服務 器系統(tǒng)之間的相互干擾，通過自定義防火墻策略還可以提供更詳細的訪問機制。 防火墻插卡設備雖然部署在交換機框中，但仍然可以看作是一個獨立的設備。它通過交換機內(nèi)部的 10GE 接口與網(wǎng)絡設備相連，它可以部署為 2 層透明設備和三層路由設備。防火墻與交換機之間的三層部署方式與傳統(tǒng)盒式設備類似。 如上圖 FW 三層部署 所示，防火墻可以與宿主交換機直接建立三層連接，也可以與上游或下游設備建立三層連接，不同連接方式取決于用戶的訪問策略。可以通過靜態(tài)路由和缺省路由實現(xiàn)三層互通，也可以通過 OSPF 這樣的路由協(xié)議提供動態(tài)的路由機制。如果防火墻部署在服務器區(qū)域，可以將防火墻設計為服務器網(wǎng)關(guān)設備，這樣所有訪問服務器的三層流量都將經(jīng)過防火墻設備，這種部署方式可以提供 區(qū)域內(nèi)部 服務器之間訪問的安全性。 數(shù)據(jù)中內(nèi)部，整體安全采用分布式部署設計，已經(jīng)對不同的業(yè)務系統(tǒng)進行了分區(qū)，整體安全邊界清晰。為簡化 SecBlade FW 的配置，提高網(wǎng)關(guān)性能 ， 將服務器的網(wǎng)關(guān)均部署在接入交換機上， SecBlade FW 插卡僅部署本分區(qū)內(nèi)與其它分區(qū)之間的安全策略。若本分區(qū)內(nèi)各服務器之間有隔離需求，建議 在接入交換機上采用 ACL 方式實現(xiàn)。如下圖所示： 高校 數(shù)據(jù)中心網(wǎng)絡及安全方案建議書 22 對于僅部署 SecBlade FW 插卡的業(yè)務區(qū)（如 ERP/財務、開發(fā)測試、支撐管理、外聯(lián)網(wǎng)區(qū) ） ，區(qū)域內(nèi)的安全部署邏輯拓撲如下圖所示： ? 接入交換機雙機部署 IRF 虛擬化，并實現(xiàn)跨設備鏈路捆綁。兩塊 SecBlade FW 插卡邏輯上相當于插在同一臺交換機上。 ? 每臺接入交換機邏輯上均可以看成一臺 L2 交換機與一臺 L3 交換機的疊加，服務器網(wǎng)關(guān)部署在交換機上。 ? SecBlade 通過內(nèi)部的 10GE 接口與交換機互連，并創(chuàng)建多個 L3 接口 進行引流，讓所有流經(jīng)服務器的流量均經(jīng)過 FW 過濾。兩塊 FW 插卡通過帶外狀態(tài)同步線（心跳線）進行狀高校 數(shù)據(jù)中心網(wǎng)絡及安全方案建議書 23 態(tài)同步， FW 插卡之間通過 OSPF 動態(tài)路由實現(xiàn)熱備或負載分擔（ ECMP）。 . SecBlade FW+IPS+LB 組合部署 對于 數(shù)據(jù)中心的 應用區(qū)、互聯(lián)網(wǎng)應用區(qū)，需要涉及到 FW+IPS+LB 的組合部署， FW 插卡的基本特性 章節(jié)已做描述，下面先介紹 IPS 和 LB 插卡的基本組網(wǎng)： ? SecBlade IPS 基本組網(wǎng)設計 SecBlade IPS 插卡為數(shù)據(jù)中心內(nèi)部提供了更堅固的安全保護機制。通過 IPS 的深度檢測功能可以有效保護內(nèi)部服務器避免受到病毒、蠕蟲、程序漏洞和 DDOS 等來自應用層的安全威脅。 IPS 插卡通過 OAA（開放的應用架構(gòu)）技術(shù)與宿主交換機配合使用。 可以 通過傳統(tǒng)的流量重定向方式將需要 IPS 處理的業(yè)務流重定向到 IPS 插卡上處理，也可以通過 OAA 方式在IPS 的 Web 頁面上配置重定向策略，這兩種方式都可以實現(xiàn)相同的功能。由于不同交換機設備對 OAA 的支持程度 不同。我們推薦在 本方案中采用重定向策略引流。 由于 IPS 插卡在整個網(wǎng)絡中屬于 2 層透明轉(zhuǎn)發(fā)設備，不會對報文進行任何修改，整個網(wǎng)絡從連通性上看加入 IPS 后不會產(chǎn)生任何變化影響。因此建議實施的時候?qū)⑵浞旁谧詈筮M行上線配置，即其他設備都調(diào)試 OK，流量轉(zhuǎn)發(fā)與 HA 設計都以正常實現(xiàn)情況下再進行 IPS 的部署實施。 SecBlade IPS 組網(wǎng)結(jié)構(gòu)流量圖 SecBlade IPS 不會對報文進行任何修改，對于上 IPS 處理的報文，非 OAA 方式只能通過 VLAN 區(qū)分流量是屬于外部域還是內(nèi)部域。所以在組網(wǎng)設計中需注意非 OAA 方式重定向到IPS 插卡的業(yè)務流上下行流量需為不同 VLAN。由于 IPS 插卡不具有雙機熱備功能，通過組網(wǎng)設計，部分環(huán)境可以做到 IPS 故障的切換，部分環(huán)境中當 IPS 故障后，重定向功能失效，業(yè)高校 數(shù)據(jù)中心網(wǎng)絡及安全方案建議書 24 務流將不能繼續(xù)受到 IPS 的安全保護，流量在短暫中斷后仍然可以保證連續(xù)性。 ? SecBlade LB 板卡設計部署 LB 插卡具備兩大主要功能，服務器負載均衡和鏈路負載均衡，分別應用于數(shù)據(jù)中心 服務器區(qū)和 Inter 出口區(qū)域。服務器負載均衡為數(shù)據(jù)中心服務器區(qū)性能的擴展和資源利用的優(yōu)化提供完美的解決方案。鏈路負載均衡非常有效的部署在數(shù)據(jù)中心多出口的組網(wǎng)環(huán)境中，可以同時對多條廣域網(wǎng)鏈路優(yōu)化資源利用。 LB