【正文】 機上（可以接入帶內管理網絡，也可以接入帶外管理網）。 內網服務器區(qū)設計說明內網服務器區(qū)是企業(yè)主要業(yè)務系統(tǒng)的運行平臺，承載著企業(yè)的核心業(yè)務，具有系統(tǒng)復雜、重要性極高、訪問頻繁、業(yè)務流量大、安全要求高、管理控制策略復雜等諸多特點，因此，內網服務器區(qū)的設計必須要做到：l 高性能：萬兆核心、無收斂、吞吐量高、快速響應、服務器負載均衡，確保大流量突發(fā)情況下不丟包；l 高可用：網絡采用全冗余設計，對各種故障和誤操作具有良好的魯棒性；l 高安全：對各種訪問做到精細控制，防止各種非法和越權訪問；l 易于管理：各種控制和隔離策略要靈活部署，做到對網絡設備、服務器系統(tǒng)、存儲等系統(tǒng)的全面管理，同時管理數(shù)據流與業(yè)務數(shù)據流保持隔離。內網服務器區(qū)上行與數(shù)據中心核心直接相連，內部又可分為三層的服務器架構，包括Web前置服務器、中間件應用服務器和后臺數(shù)據庫服務器，在三層服務器間分別部署防火墻進行安全保護，并在DB后端與存儲區(qū)互聯(lián)，保障數(shù)據的快速訪問和安全可靠。1. 物理設備和鏈路分區(qū)中包含了兩臺互連的匯聚交換機，成對部署的接入交換機，和相應的服務器。網絡設備采用框式分布轉發(fā)交換機作為匯聚層設備，二/三層千兆盒式交換機作為接入交換機機。采用千兆和萬兆以太網鏈路連接，并應用鏈路聚和/跨設備鏈路聚和以增加鏈路容量和可靠性。2. 拓撲和協(xié)議在匯聚層，匯聚層設備采用雙鏈路上聯(lián)到兩臺核心設備，可以在匯聚層應用智能堆疊技術。在匯聚層部署L4L7各業(yè)務模塊，包括安全設備（如千兆防火墻，千兆IPS，SSL網關設備），負載均衡設備，網絡流量分析設備，應用優(yōu)化設備，流量清洗設備。各種業(yè)務模塊（如負載均衡設備、VPN網關等）采用單臂旁掛或雙臂旁掛方式部署。為了前端網絡結構更加緊湊高效，部分設備可以采用插卡方式實現(xiàn)，如插卡式防火墻，插卡式IPS，插卡式應用優(yōu)化設備，插卡負載均衡設備。在接入層，兩臺接入交換機成對部署，在接入交換機與匯聚交換機之間部署全交叉的物理鏈路，以實現(xiàn)拓撲的可靠性。接入層設備可以應用智能堆疊（IRF）技術增強接入設備的端口密度和可靠性。服務器采用服務器雙網卡交換機容錯接入前端網絡。推薦服務器采用二層接入，將主匯聚交換機做為第一級服務器的默認網關以及STP的根節(jié)點，并將備份匯聚交換機設置為備用網關和備用STP根。將VRRP＋MSTP做為高可用最佳組合方式。服務器接入的網絡的部署方式有兩種：扁平部署和分層多級部署。服務器扁平部署模型如上圖所示，服務器的分級結構是邏輯上的，需要依靠接入交換機的VLAN、匯聚層的防火墻多實例技術實現(xiàn)不同服務器級之間的隔離與訪問控制，扁平模型的好處是成本低，管理的設備較少，適合中小型數(shù)據中心服務器區(qū)設計。服務器分層多級部署方案如下圖所示，該方案有利于提高網絡對業(yè)務系統(tǒng)擴展性和靈活性。對于采用多級架構（WEBAPPDB）的應用系統(tǒng)，多級部署模式為每一級服務器提供了單獨的接入層交換機（WEB接入交換機、APP接入交換機、DB接入交換機），各級服務器間采用防火墻控制服務器各級之間的流量路徑，并隔離不同的應用環(huán)境。服務器間部署應用優(yōu)化設備可實現(xiàn)多級服務器之間的流量分擔，以減少服務器的負載。服務器接入網絡的實際配線方式主要有兩種：Top of rack方式和End of row方式。Top of rack方式適合于服務器通過接入交換機再連接到匯聚交換機的兩層接入方式：在此方式下，如下圖所示的Top of rack方式配線服務器所有數(shù)據布線在本機架頂端接入交換機匯集，交換機少量(24)線纜上接匯聚層設備，如使用光纖則更便于空中走線。End of row方式適合于服務器之間連接到框式匯聚層交換的一層接入方式：在此方式下，如下圖所示的End of row方式配線通過機架式交換機進行超大密度服務器接入，交換機單獨機架配置,匯集走線密度高，某些情況考慮地下走線，需要處理好散熱問題。3. 高可用性和冗余建議從以下幾個方面考慮高可用設計：① 接入層交換機成對部署，以支持服務器的多網卡雙歸屬接入方式② 在接入交換機與匯聚交換機之間部署全交叉的物理鏈路，以實現(xiàn)鏈路的可靠性。③ 當服務器采用二層接入時，應將主匯聚交換機做為第一級服務器的默認網關以及STP的根節(jié)點，并將備份匯聚交換機設置為備用網關和備用STP根。④ 將VRRP＋MSTP做為高可用最佳組合方式。4. 擴展性高端交換機和模塊都是擴展性很強的。到核心分區(qū)的上連端口支持10Gbps的傳輸速度。同時交換機要有足夠數(shù)量的端口以滿足數(shù)據中心今后的發(fā)展需求。由于采用模塊化的體系架構，因此分區(qū)都上連到核心區(qū)，同時在擴展能力強的分區(qū)中更有可能會有對服務器擴展。 接口板卡的擴展：如果本分區(qū)中增加了更多的服務器和接入交換機，可以通過增加匯聚交換機接口板卡滿足更多接入需求。 業(yè)務板卡的擴展：在匯聚交換機上增加相應的業(yè)務板卡以滿足新增業(yè)務需求。 采用服務器分層多級部署：建議采用服務器分層多級部署方案，以提高網絡對業(yè)務系統(tǒng)擴展性和靈活性5. 安全性安全部署主要包括各服務器區(qū)的訪問控制以及數(shù)據中心廣域網接入區(qū)或互聯(lián)網接入區(qū)的安全控制。服務區(qū)的安全控制在服務器區(qū)匯聚層設備（防火墻、交換機）上實現(xiàn)，廣域網區(qū)和互聯(lián)網區(qū)的安全控制在相應接入設備（路由器、防火墻）上實現(xiàn)。采用多種網絡安全技術實現(xiàn)前端網絡的安全防護：采用IP/MAC/端口綁定技術，防止IP仿冒；啟用多種ARP防攻擊機制，保證網絡不受侵害；路由協(xié)議啟用鄰居安全認證機制，保證路由協(xié)議不受攻擊； 設備訪問提供SSH機制，保證報文傳輸?shù)陌踩?；采用STP防護保護STP協(xié)議運行安全；采用風暴抑制防止廣播風暴沖擊網絡；采用ACL訪問控制技術防止非法訪問；采用基于狀態(tài)的包過濾實現(xiàn)狀態(tài)復雜的應用層安全；防L3攻擊、防L4L7攻擊全面保護網絡各個層次；采用防病毒、防木馬技術保護網絡；能夠有效的防DOS/DDOS攻擊；采用密碼安全提高網絡設備登陸安全性。6. 管理每個交換機上的管理端口都會連接到數(shù)據中心管理分區(qū)的交換機上（可以接入帶內管理網絡，也可以接入帶外管理網）。 數(shù)據中心基礎網絡架構高可用設計說明隨著企業(yè)之間競爭的加劇，客戶對企業(yè)服務的要求越來越高，保證數(shù)據中心的高可用性，提供724小時網絡服務成為企業(yè)建網的首要目標，也是數(shù)據中心建設關注的第一要素。導致網絡不可用，即網絡故障的原因主要有兩類：l 不可控因素，如自然災害、戰(zhàn)爭、大停電、人為破壞等。通過建設生產中心、本地備份中心和異地容災中心，即“兩地三中心”模式，通過良好的整體規(guī)劃設計，保證不可控因素影響下數(shù)據中心的高可用，保證故障情況下業(yè)務系統(tǒng)的持續(xù)。l 可控因素，如設備故障、鏈路故障、網絡擁塞、維護誤操作、惡意攻擊等?；诠收显虻姆诸?，數(shù)據中心設計和設備選擇上要做如下考慮：1. 采用 “分區(qū)”理念，從網絡構架上保證數(shù)據中心高可用性和故障隔離。2. 獨立的帶內帶外管理網，保證數(shù)據和管理分離，保障設備的可管理性。3. 關鍵鏈路、設備冗余備份，無單點故障。4. 負載均衡產品的引入保證47層的負載均衡。5. 高可用的網絡設備支撐整個數(shù)據中心的高可用性，相關設備的軟硬件系統(tǒng)，包括引擎、接口板卡、鏈路層、IP層、傳輸層和應用層，均需要提可靠性：216。 硬件設備冗余，如設備雙主控、單板熱插拔、冗余電源、冗余風扇。216。 物理鏈路冗余，如以太網鏈路聚合等。216。 環(huán)網技術，如：RPR、RRPP等技術。216。 二層路徑冗余，如：MSTP。216。 三層路徑冗余，如：VRRP、ECMP、動態(tài)路由快速收斂。216。 快速故障檢測技術，如：BFD等。216。 不間斷轉發(fā)技術，如GR等。6. 除了產品高可用性外，還需要考慮服務器接入高可用、接入層到匯聚的高可用、匯聚層的高可用。 鏈路捆綁/端口捆綁鏈路捆綁可以提高網絡的可靠性，實現(xiàn)基于物理端口的負載均衡和冗余備份端口捆綁技術鏈路聚合Link aggregation也稱主干（Trunking）或捆綁技術（Bonding），其實質是將兩臺設備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據通路，提高鏈路的可用性，提高鏈路帶寬，只要還存在能正常工作的成員，整個傳輸鏈路就不會失效，最大帶寬等于各成員帶寬之和鏈路級負載分擔，按需增長的帶寬。 MSTPMSTP技術多生成樹協(xié)議MSTP（Multiple Spanning Tree Protocol）是IEEE ,它引入了“實例”（Instance）的概念，提高網絡的可靠性，實現(xiàn)基于VLAN的負載均衡和冗余備份根保護和雙根冗余MSTP具有VLAN認知能力，可以實現(xiàn)負載均衡，可以實現(xiàn)類似RSTP的端口狀態(tài)快速切換，可以捆綁多個VLAN到一個實例中以降低資源占用率，并且可以很好地向下兼容STP/RSTP協(xié)議。 VRRP實現(xiàn)三層的負載均衡和冗余備份VRRP技術VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是一種容錯協(xié)議，它保證當主機的下一跳設備壞掉時，可以及時的由另一臺設備來代替，從而保持通訊的連續(xù)性和可靠性。為了使VRRP工作，首先要創(chuàng)建一個虛擬IP地址和MAC地址，這樣在這個網絡中就加入了一個虛擬網關。而這個網絡上的主機與虛擬網關通信，無需了解這個網絡上物理設備的任何信息。一個虛擬網關由一個主設備（Master）和若干個備份設備（Backup）組成，主設備實現(xiàn)真正的轉發(fā)功能。當主設備出現(xiàn)故障時，備份設備成為新的主設備，接替它的工作。 服務器負載分擔服務器負載分擔實現(xiàn)47層的負載均衡和冗余備份服務器負載分擔技術如同第二層交換跨越到了第三層交換一樣，為了進一步提高網絡的QoS引入了第四層交換的概念。第二層與第三層交換在解決局域網和網絡互聯(lián)的QoS問題了發(fā)揮了很好的作用，但是對于當前的網絡來說還是不夠的，還需要進一步提高性能，這就需要在更高層上引入交換的概念。OSI協(xié)議參考模型定義了7層結構，網絡層之上是傳輸層。傳輸層主要是負責端對端的通信。傳輸層有很多的協(xié)議，常用的有TCP,UDP協(xié)議。這些協(xié)議承載了許多不同的業(yè)務。這些業(yè)務通常由一些諸如HTTP，F(xiàn)TP，NFS，Telnet等協(xié)議來表示，而協(xié)議的類型由TCP或UDP端口地址來決定。就如同第二層的傳輸是依靠MAC地址來尋址，第三層的傳輸是依靠IP地址來尋址，那么第四層的主要表示就是端口地址，只有端口地址可以區(qū)分數(shù)據包是由哪個協(xié)議傳送的。第四層交換中數(shù)據包的傳輸不僅僅依據MAC地址（第二層交換）或源/目標IP地址（第三層路由），還要依據TCP/UDP端口地址（第四層地址）。也就是說第四層交換除了考慮三層的邏輯地址外還要考慮對端口地址的交換。如同上面所描述的一樣，端口地址代表了不同的業(yè)務協(xié)議，所以第四層交換不僅僅進行了物理上的交換，還包括了業(yè)務上的交換；第四層交換的交換域是由源端和終端IP地址、TCP和UDP端口共同決定的，因此，第四層交換機是真正的“會話交換機”。在第四層交換大大提高了網絡性能和QoS保證之后，在更高的層次上同樣引入了交換的概念，也可以稱之為第七層交換技術，或者高層智能交換。第七層交換技術可以定義為數(shù)據包的傳送不僅僅依據MAC地址（第二層交換）或源/目標IP地址（第三層路由）以及TCP/UDP端口（第四層地址），而是可以根據內容（表示/應用層）進行傳送。這時候的交換突破了一般意義上的交換概念，開始進入以進程和內容級別為主的交換范圍。高層由于和應用相關，這時候的交換就有了智能性，交換機具有了區(qū)別各種高層應用和識別內容的能力。這時的交換機不僅能根據數(shù)據包的IP地址或者端口地址來傳送數(shù)據，而且還能打開數(shù)據包，進入數(shù)據包內部根據包中的信息作出負載均衡、內容識別等判斷。對于某一個端口來說，在第四層交換時可以通過對端口進行交換來獲得較好的QoS，但是對于通過這個端口的傳輸流沒有辦法識別，只能對所有通過這個端口的傳輸流統(tǒng)一對待，而服務提供商或許需要其中的某些傳輸流具有高的QoS優(yōu)先處理權或者將某些流引向性能高的處理機中。而第七層的智能性交換能夠實現(xiàn)進一步的控制，即對所有傳輸流和內容的控制。這種交換機可以打開傳輸流的應用/表示層，分析其中的內容，因此可以根據應用類型而非僅僅根據IP和端口號做出更智能的流向決策，如根據URL的具體內容的識別交換。 數(shù)據中心網絡安全設計H3C數(shù)據中心安全解決方案為數(shù)據中心提供了建立在全線速網絡基礎上的防護攻擊所需的邊界安全、深度防御及構架安全解決之道。它可保護數(shù)據中心中關鍵應用和保密數(shù)據；增強數(shù)據中心的運營效率，并迅速創(chuàng)建新的安全應用環(huán)境來支持新的業(yè)務流程。通過擁有一個高度永續(xù)、有效、可調整的數(shù)據中心網絡，可緩解競爭壓力、拓展市場范圍、加速新服務的面世，面向未來提供一條高效安全的可持續(xù)發(fā)展之路。 數(shù)據中心面對的安全挑戰(zhàn)面向應用層的攻擊常見的應用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應用攻擊莫過于“蠕蟲”。應用攻擊的共同特點是利用了軟件系統(tǒng)在設計上的缺陷，其傳播都基于現(xiàn)有的業(yè)務端口，因此應用攻擊可以毫不費力的躲過那些傳統(tǒng)的或者具有少許深度檢測功能的防火墻。面向網絡層的攻擊除了由于系統(tǒng)漏洞造成的應用攻擊外，數(shù)據中心還要面對拒絕服務攻擊（DoS）和分布式拒絕服務攻擊（DDoS）的挑戰(zhàn)。DOS/DDOS是一種傳統(tǒng)的網絡攻擊方式，然而其破壞力卻十分強勁。常見的DDOS攻擊方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已發(fā)現(xiàn)的DOS攻擊程序有ICMP Smurf、UDP 反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。對網絡基礎設施的攻擊數(shù)據中心象一座擁有巨大財富的城堡，然而堅固的堡壘最容易從內部被攻破，來自數(shù)據中心內部的攻擊也更具破壞性。“木桶的裝水量取決于最短的木板”，涉及內網安全防護的部件產品非常多，從接入層設備到匯聚