资源预览内容
第1页 / 共66页
第2页 / 共66页
第3页 / 共66页
第4页 / 共66页
第5页 / 共66页
第6页 / 共66页
第7页 / 共66页
第8页 / 共66页
第9页 / 共66页
第10页 / 共66页
亲,该文档总共66页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
安全生产管理某某数据中心网络及安全方案建议书 XX集团数据中心网络及安全方案建议书 目录一、建设背景-3-1.1.数据中心背景介绍-3-1.2.XX集团数据中心建设-3-二、需求分析-5-2.1.应用系统分析-5-2.2.流量模型分析-8-2.3.带宽分析-9-三、方案规划与设计-11-3.1.数据中心网络建设目标-11-3.2.总体设计思路及原则-12-3.3.业务分区-14-3.4.网络设计-16-3.4.1.核心交换区-17-3.4.2.服务器接入区-19-3.4.3.互联网区-20-3.4.4.外联网区-21-3.4.5.广域网接入区-22-3.4.6.灾备接入区-22-3.5.安全设计-24-3.5.1.安全设计原则-24-3.5.2.SecBlade FW插卡部署-25-3.5.3.SecBlade FW+IPS+LB组合部署-27-3.6.QoS设计-31-3.6.1.QoS设计原则-31-3.6.2.QoS服务模型选择-31-3.6.3.QoS规划-32-3.6.4.QoS部署-34-3.7.数据中心互联-37-3.8.新技术应用-39-3.8.1.FCoE-39-3.8.2.虚拟机(VM)部署与迁移-41-3.9.数据中心管理-44-3.9.1.数据中心管理设计原则-44-3.9.2.网络管理-44-3.9.3.网络监控-47-四、方案实施-50-4.1.网络布线建议-50-4.1.1.走线方式的选择-50-4.1.2.网络配线方式-52-4.1.3.服务器接入方式-53-4.1.4.机房布线建议-56-4.2.VLAN规划-56-4.3.IP地址规划-57-4.4.路由规划-58-4.5.业务迁移-60-五、设备介绍-61-5.1.设备清单-61-5.2.H3C特色技术介绍-65-5.2.1.IRF虚拟化-65-5.2.2.网络安全融合-67-5.3.产品介绍-69-一、 建设背景1.1. 数据中心背景介绍数据中心(英文拼写DataCenter,简写DC)是数据大集中而形成的集成IT应用环境,它是各种IT应用服务的提供中心,是数据计算、网络、存储的中心。数据中心实现了安全策略的统一部署,IT基础设施、业务应用和数据的统一运维管理。数据中心是当前各行业的IT建设重点。运营商、电力、能源、金融证券、大型企业、政府、交通、教育、制造业、网站和电子商务公司等正在进行或已完成数据中心建设,通过数据中心的建设,实现对IT信息系统的整合和集中管理,提升内部的运营和管理效率以及对外的服务水平,同时降低IT建设的TCO。数据中心的发展可分为四个层面:u 数据中心基础网络整合:根据业务需求,基于开放标准的IP协议,完成对企业现有异构业务系统、网络资源和IT资源的整合,解决如何建设数据中心的问题。u 数据中心应用智能:基于TCP/IP的开放架构,保证各种新业务和应用在数据中心的基础体系架构上平滑部署和升级,满足用户的多变需求,保证数据中心的持续服务和业务连续性。各种应用的安全、优化与集成可以无缝的部署在数据中心之上。u 数据中心虚拟化:传统的应用孤岛式的数据中心模型扩展性差,核心资源的分配与业务应用发展出现不匹配,使得资源利用不均匀,导致运行成本提高、现有投资无法达到最优化的利用、新业务部署难度增大、现有业务持续性得不到保证、安全面临威胁。虚拟化通过构建共享的资源池,实现对网络资源、计算计算和存储资源的几种管理、规划和控制,简化管理维护、提高设备资源利用率、优化业务流程部署、降低维护成本。u 数据中心资源智能:通过智能化管理平台实现对资源的智能化管理,资源智能分配调度,构建高度智能、自动化数据中心。1.2. XX集团数据中心建设XX集团的商业用户分布在全国各大城市,目前业务系统的部署主要集中在和大连,近年来随着XX集团业务的规模及多样化发展,企业对信息化的依赖程度越来越高,数据集中、业务7*24小时高可靠支撑对数据中心的要求越来越高。经综合考虑,拟在新建数据中心,未来数据中心将成为XX集团的主中心,承载所有生产业务系统。数据中心是集团广域网汇聚中心,机房内原则上将不放置服务器。大连数据中心是灾备中心,主要功能是数据异地备份。此方案主要涉及数据中心的网络及安全的设计与部署,并实现与、大连的互连!二、 需求分析二、2.1. 应用系统分析XX集团目前的应用系统主要包括生产应用、办公应用和基础支撑三大类,这三大类的服务器的数量占比如下图所示:在三大类应用系统中,每一类又可以细分为多个子类,不同的子类应用在流量特征、规模和用户访问类型上存在较大的差别,这些将会影响到网络及安全的方案设计,下面将进行进一步的分析:1. 生产应用类u ERPu 百货u KTVu 院线u 酒店u 商管u 地产u 网站流量特征分析:不同类的应用,其业务负载繁忙特征也有显著区别,其中百货、KTV、网站应用周末繁忙;院线应用周二、周六和周日繁忙。繁忙时段网络流量明显上升,而且受外界因素(如新片上映、节假日促销等)影响,存在不确定的突发流量。规模分析:从服务器的数量上统计,上述各类应用的服务器数量占比如下图所示:总体来看,院线类服务器的数量最多,其次为网站、百货和KTV。用户访问分析:上述应用的访问用户相对多样化,包括集团内部员工(如ERP)、集团外部用户(如百货、KTV)和互联网公众用户(网站、院线)。2. 办公应用类u OAu 视频会议u 图档u 文件u 其它流量特征分析:办公应用类服务器业务负载繁忙特征比较单一,繁忙时段集中在工作日的8小时内,流量相对较稳定。视频会议对网络的质量要求最高,服务质量(QoS)要充分考虑。规模分析:从服务器的数量上统计,办公各类应用的服务器数量占比如下图所示:总体来看,OA服务器的数量最多,其次为视频会议。用户访问分析:办公应用的访问用户单一,均为集团内部用户。3. 基础支撑类u 域和身份认证u DNSu 防病毒u 网管u 桌面管理流量特征分析:基础支撑类服务器业务负载繁忙特征比较单一,繁忙时段集中在工作日的8小时内。部分服务器(如防病毒)的流量特征取决于网络管理员的策略。规模分析:基础支撑类物理服务器数量不会很多,未来可能会部署很多的虚拟服务器,因此此类服务器对网络的扩展要求要对相低,在此不再做进一步的规模分析。用户访问分析:办公应用的访问用户单一,均为集团内部用户。分析总结:1. 生产应用类服务器的数量最多,而且此类服务器未来随XX业务的发展,规模会越来越多,因此生产应用类服务器的接入要充分考虑可扩展性;2. 生产应用类服务器的用户访问类型最复杂,因此要充分考虑安全访问策略的设计;3. 生产应用类服务器的流量特征最复杂,流量最大,而且突发性最强,因此要充分考虑网络的缓冲能力;4. 办公应用类业务中,视频会议对网络的传输质量最为敏感,方案设计要给予充分的QoS和带宽保证。5. 三大类应用系统中,所有业务均为7*24小时运行,因此在网络的设计中要保证高可靠,设备和链路均采用冗余设计,对于生产类关键业务,要保证设备和链路故障恢复时间在毫秒(ms)级,避免设备和链路故障导致业务服务中断。2.2. 流量模型分析XX集团数据中心建设完成后,集团的数据访问流量模型如下图所示:1. 未来三中心的定位:u 中心:XX集团广域网络汇聚中心,各地XX集团均与中心互连。但中心原则上不部署业务系统服务器,仅做网络汇聚;u 中心:数据中心将做为XX集团的主数据中心,所有业务系统均部署在此数据中心内,承载XX集团所有生产系统;u 大连中心:做为数据中心内业务系统的数据备份中心,对关键生产系统的数据进行灾备,原则上不部署业务系统服务器。当主中心内的数据遭到损坏后,可直接使用大连中心的备份数据。2. 对于集团内部用户(含集团各城市分支机构)通过集团广域网络,在中心进行网络汇聚后,再到数据中心访问业务系统。如上图中红色虚线数据流所示;3. 合作单位用户通过专线直接与数据中心连接,实现对业务系统的直接访问,无需经过中心。如上图中绿色虚线数据流所示;4. 公众用户直接通过Internet访问数据中心的WEB系统,无需经过中心。如上图中紫色虚线数据流所示。5. 大连备份中心与主中心直接相连,数据备份流量无需通过中心,提高数据备份的可靠性与效率,缩短时延。考虑到未来的双活扩展与数据的实时同步,建议大连备份中心与主中心之后采用裸纤或DWDM互连,避免出现带宽瓶颈。6. 大连中心与中心现有的互连线路保持不变,做为数据备份的链路备份。同时未来可将部分集团内业务部署到大连中心,实现负载分担。2.3. 带宽分析数据中心内部的服务器接入及局域网络均采用典型的“千兆接入、万兆到汇聚”方式,部分服务器(如FCoE服务器等)直接采用万兆接入,链路带宽不会成为瓶颈,保证网络的收敛比即可,在此不做带宽分析。带宽分析主要考虑数据中心的网络出口,对于数据中心而言,网络出口有以下四个:1. 集团广域网出口:与中心互连,满足集团内所有员工对业务系统的访问。考虑到可靠性,采用双链路(不同运营商);2. Internet出口:满足公众业务系统通过互联网对外提供服务。考虑到可靠性,采用双链路(不同运营商);3. 合作单位专线出口:与合作单位专线互连,此出口的链路和带宽取决与合作单位,在此不做分析;4. 数据备份出口:与大连数据中心互连,实现关键业务的数据备份与同步。考虑到未来的双活扩展与数据的实时同步,建议采用裸纤或DWDM互连。若采用裸纤或DWDM,带宽不会成为瓶颈,因此也无需分析。但要保证高可靠,建议采用不同缆的多个光纤实现冗余。根据XX集团现有业务系统的用户数量分析,对数据中心网络出口带宽估算如下:业务系统集团广域网出口Internet出口ERP按1000用户设计,每个用户20Kbps带宽,合计20MbpsN/A集团/百货/院线网站群N/A假设:1. 单个页面300KB2. 用户等待容忍时间为10秒3. 峰值并发增长率,通常取30%按2000个并发用户计算,带宽需求:2000*300KB*130%/10=78MB/s=780MbpsOA/图档/邮件/文件共享按1000用户设计,每个用户50Kbps带宽,合计50MbpsN/A视频会议平均每路2Mbps,按50个城市(50路),占用100Mbps带宽N/A基础支撑类忽略N/A合计170Mbps780Mbps按照上述数据的初步估算,对数据中心网络出口链路选择建议如下:1. 广域网出口带宽为170Mbps,至少采用两条155MPOS链路,满足带宽需求的同时实现链路冗余;2. 互联网出口带宽为780Mbps,建议采用两条千兆链路出口(两个运营商)。(注:上述数据为经验数据,仅供参考!)三、 方案规划与设计三、3.1. 数据中心网络建设目标XX数据中心未来将XX集团承载所有生产环境系统。数据中心网络作为业务网络的一个重要组成部分,为核心业务系统服务器和存储设备提供安全可靠的接入平台。网络建设应达成以下目标:高可用网络作为数据中心的基础设施,网络的高可用直接
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号