XXX公司數(shù)據(jù)中心建設(shè)項目設(shè)計方案

1 第一部分、 司數(shù)據(jù)中心簡介 此處添加客戶公司介紹。 項目背景 此處添加該項目的背景情況。 設(shè)計原則 司 數(shù)據(jù)中心的建設(shè)將是一項關(guān)系到 司 的重大網(wǎng)絡(luò)工程，它的設(shè)計必須遵循以下原則： 高效實用性 作為一個系統(tǒng)，實用性永遠是放在第一位的。我們的根本原則就是能最大限度地滿足 司 數(shù)據(jù)中心系統(tǒng)建設(shè)實際的需要。方案所推薦的主要技術(shù)和產(chǎn)品具有成熟、穩(wěn)定、實用的特點，并充分滿足司 各個下屬單位接入的需要。 2 先 進性、成熟性 作為一個系統(tǒng)，先進性是系統(tǒng)賴以生存發(fā)展的基礎(chǔ)。只有先進的系統(tǒng)，才能充分發(fā)揮計算機的能力，才能發(fā)展，才能體現(xiàn)良好的低投入高產(chǎn)出的投資收益。 方案所推薦的 千兆 /萬兆 以太網(wǎng)技術(shù)及多層交換 負載均衡等 技術(shù)是目前世界上先進的網(wǎng)絡(luò)技術(shù)。 （此處添加與項目相關(guān)的關(guān)鍵性技術(shù)亮點的名稱，） 開放與標(biāo)準(zhǔn)化原則 只有開放的系統(tǒng)，才能充分發(fā)揮計算機的能力，只有堅持標(biāo)準(zhǔn)化的系統(tǒng)，才能保護用戶的投資，才能體現(xiàn)良好的可擴展性和互操作能力。 從國內(nèi)外的一些系統(tǒng)建設(shè)的實際經(jīng)驗和教訓(xùn)來看，開放性與標(biāo)準(zhǔn)化原則如不能保證，則 會在系統(tǒng)的使用階段出現(xiàn)后期使用的維護困難，系統(tǒng)維護費用加大，甚至必須重復(fù)投資等問題。為了與這些專用系統(tǒng)互聯(lián)，所耗費的代價甚至與新建系統(tǒng)不相上下，形成了一種“食之無味，棄之可惜”的“雞肋”現(xiàn)象。 本系統(tǒng)是一個開放的系統(tǒng)，網(wǎng)絡(luò)產(chǎn)品具開放性，采用 P 協(xié)議作為主協(xié)議。主要產(chǎn)品，如服務(wù)器，網(wǎng)絡(luò)等都支持開放的構(gòu)，并且，所選產(chǎn)品都遵循相應(yīng)的標(biāo)準(zhǔn)。 3 可擴展性及易升級性 面對中國 飛速發(fā)展，系統(tǒng)的計算機設(shè)備和網(wǎng)絡(luò)設(shè)備必須有非常好的擴充性。并且，隨著世界網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，主 干網(wǎng)絡(luò)設(shè)備應(yīng)能平滑升級。因此，在設(shè)計中，應(yīng)當(dāng)保證系統(tǒng)結(jié)構(gòu)模塊化，軟硬件平臺可以積木式拚裝，如：交換機可通過添加功能模塊擴充交換能力和 服務(wù)能力 等等。服務(wù)器類的設(shè)備也應(yīng)選用擴充性極強的設(shè)備。 良好的可管理性和可維護性 司 數(shù)據(jù)中心系統(tǒng)是由多種設(shè)備組成的較為復(fù)雜的系統(tǒng)，因此我們著重考慮所選產(chǎn)品具有良好的可管理性和可維護性，所選產(chǎn)品具有良好的可管理性和可維護性。 具有最佳的性能價格比 我們仔細分析討論了 司 數(shù)據(jù)中心 的需求，力求設(shè)計緊貼用戶需求，在設(shè)計上尋求最佳的性能價格比。 具有高可靠性和安全性 本方案所采用的主要產(chǎn)品采用可靠性設(shè)計，服務(wù)器采用高可靠性技術(shù)。力求系統(tǒng)安全、可靠、穩(wěn)定的運行。系統(tǒng)的安全性是保證整個系統(tǒng)正常運轉(zhuǎn)的前提條件和基礎(chǔ)，也是 司 數(shù)據(jù)中心系統(tǒng)的重要要求之一。 1）系統(tǒng)安全 4 用戶口令、存取權(quán)限體系完善，系統(tǒng)具有基本的安全管理機制，如：用戶標(biāo)識、口令檢查、存取權(quán)限制度，為滿足這一需求，選用作系統(tǒng)，其多用戶、多任務(wù)，適于大系統(tǒng)的維護管理，并且提供了完備的權(quán)限管理功能，符合 全級標(biāo)準(zhǔn)。此外，選用客戶 /服務(wù)器體系結(jié)構(gòu)，數(shù)據(jù)可統(tǒng)一保存在服務(wù)器上，有 利于系統(tǒng)數(shù)據(jù)的安全保密和一致性，保證系統(tǒng)的正常運行。除操作系統(tǒng)的安全性以外，大型關(guān)系數(shù)據(jù)庫的權(quán)限管理和應(yīng)用程序也為系統(tǒng)提供了相應(yīng)的安全機制。 2）硬件設(shè)備安全分析 環(huán)境安全 運行環(huán)境中具有防靜電、避雷、溫度、濕度、防火等方面的安全措施。故在整個系統(tǒng)設(shè)計中，要嚴格按照機房設(shè)計標(biāo)準(zhǔn)建造機房，并對計算機系統(tǒng)采用不間斷電源（ 護，確保整個系統(tǒng)在運行過程中，造成不必要的系統(tǒng)損壞。 硬件設(shè)備安全性 在網(wǎng)絡(luò)主設(shè)備及主服務(wù)器的選擇上，考慮到其可靠性，如：網(wǎng)絡(luò)接口冗余、支持熱插拔、電源可實現(xiàn)均衡負載和冗余、 熱備份等。 3）軟件安全保密 操作系統(tǒng)、系統(tǒng)程序、應(yīng)用軟件運行穩(wěn)定，在應(yīng)用軟件開發(fā)中，遵循安全、可靠、實用的原則，在充分利用現(xiàn)有的系統(tǒng)支持軟件基礎(chǔ)上，進行應(yīng)用軟件的設(shè)計、開發(fā)。 5 權(quán)限控制體系完備：根據(jù) 作系統(tǒng)的權(quán)限管理體系，可建立完善的權(quán)限管理機制。 防病毒、防非法入侵：主機系統(tǒng)采用的是具有很強防病毒干擾能力的操作系統(tǒng)，利用其嚴格權(quán)限管理機制，可以防止病毒、防非法入浸。 4）數(shù)據(jù)安全 備份策略 若有備份系統(tǒng)，可及時將數(shù)據(jù)從運行系統(tǒng)中傳送到備份系統(tǒng)。另外，對關(guān)鍵數(shù)據(jù)要定期作磁帶備份，以保證數(shù)據(jù)的安全完 整。 防止傳輸、存取錯誤 選用具有可靠傳輸能力的網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)協(xié)議采用 P 協(xié)議，該協(xié)議支持可靠的數(shù)據(jù)傳輸，可以在收到數(shù)據(jù)的同時，進行差錯檢測，并在發(fā)現(xiàn)錯誤時建立重傳過程。 防止信息泄漏 由于采用符合國際標(biāo)準(zhǔn)的 全級操作系統(tǒng)和大型關(guān)系數(shù)據(jù)庫，可以做到操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序三級保護。 保證數(shù)據(jù)完整性 系統(tǒng)結(jié)構(gòu)選用 系結(jié)構(gòu)，數(shù)據(jù)庫選用大型關(guān)系數(shù)據(jù)庫，系統(tǒng)數(shù)據(jù)統(tǒng)一存放在主機數(shù)據(jù)庫中，并配有數(shù)據(jù)庫提供的數(shù)據(jù)恢復(fù)、錯誤處理功能，可充分保證數(shù)據(jù)的一致性和完整性。 6 據(jù)中心建設(shè)整體目標(biāo) 整個系統(tǒng)的建設(shè)，應(yīng)用是關(guān)鍵。 通過建立信息系統(tǒng)的基礎(chǔ)結(jié)構(gòu)，進而全面實現(xiàn)辦公自動化、網(wǎng)絡(luò)化、電子化、全面信息共享。信息系統(tǒng)的建設(shè)是 司 信息化進程中的一個里程碑，它提高了 司 在行政和管理方面的效率，并且利用網(wǎng)絡(luò)為 司 龐大用戶群提供優(yōu)質(zhì)的多元化服務(wù)，因而推動和加速了整個 行 業(yè)的信息化發(fā)展。 可行性分析 目標(biāo)和方案的可行性，可從以下幾個方面進行分析： 技術(shù)方面的可行性 技術(shù)人員具有所需的技術(shù)水平 ， 能夠高效的管理和運維數(shù)據(jù)中心網(wǎng)絡(luò) ； 基礎(chǔ)管理技術(shù) 滿足系統(tǒng)開發(fā)要求； 組織系統(tǒng)可以合理組織人、財、物及提供售后服務(wù)支持； 硬件可滿足本系統(tǒng)需要； 軟件可滿足本系統(tǒng)需要； 經(jīng)濟方面的可行性 數(shù)據(jù)中心 建設(shè)的投入是一項復(fù)雜的綜合性工程，建設(shè)時間長，投資費用高，因此，必須做到項目的總體規(guī)劃，分系統(tǒng)、分步驟進行，并考慮前后建設(shè)的連續(xù)性，避免重復(fù)性投資和資源浪費。對于計劃投 7 入開展的項目，要預(yù)算充分，按期達標(biāo)。 第二部分、 司 數(shù)據(jù)中心 網(wǎng)絡(luò)系統(tǒng)解決方案 網(wǎng)絡(luò) 現(xiàn)狀與 需求分析 此處添加客戶公司目前的網(wǎng)絡(luò)拓撲圖 司 目前數(shù)據(jù)中心建于 目前承擔(dān)整個集團數(shù)據(jù)交換與存儲的重任。 現(xiàn)有網(wǎng)絡(luò)拓撲結(jié)構(gòu)如上。 隨著 司 的建設(shè)，現(xiàn)需在園區(qū)內(nèi)建設(shè)一全新數(shù)據(jù)中心，用以在園區(qū)全面啟動時順利接管原數(shù)據(jù)中心的數(shù)據(jù)交換與存儲重任 。 司 數(shù)據(jù)中心的建設(shè)是為 司 辦公、管理提供服務(wù)的，網(wǎng)絡(luò)系統(tǒng)建設(shè)主要目標(biāo)是在 司 管轄范圍內(nèi)，采用國際標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，建立在 司 內(nèi)聯(lián)網(wǎng)（ 通過高速信道與各地市分公司、中國互聯(lián)網(wǎng)（ 連，同時建設(shè)信息資源管理中心。 據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo) 司 數(shù)據(jù)中心 網(wǎng)絡(luò)建設(shè)目標(biāo)是將 司 的各種 、工作站等，通過高性能的網(wǎng)絡(luò)，連接到各種服務(wù)器上，組成分布式的計算環(huán)境，使其成為提高辦公、管理水平必不可少的網(wǎng)絡(luò)支撐環(huán)境。 8 本著建設(shè)一流數(shù)據(jù)中心的精神，我們提出了以下 司 網(wǎng)絡(luò)建設(shè)目標(biāo)： 內(nèi)部信息發(fā)布： 司 向各地分公司發(fā)布規(guī)章制度、規(guī)劃、計劃、通知等公開信息等。 2）電子郵件： 司 內(nèi)部的電子郵件的發(fā)送與接受。 3）文件傳輸： 司 內(nèi)部的文本文件、圖象文件、語音文件等發(fā)送與接收。 4）資源共享：文件共享、數(shù)據(jù)庫共享 等。 6）接入因特網(wǎng)：通過 專線 接入 外發(fā)布信息。 設(shè)計的依據(jù)與原則 設(shè)計依據(jù) 1）中國教學(xué)和科研計算機網(wǎng)絡(luò)（ 程技術(shù)規(guī)范書 2）中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 3）有關(guān)的網(wǎng)絡(luò)技術(shù)國際標(biāo)準(zhǔn) 4） 關(guān)文件 設(shè)計原則 1）開放原則 采用開放標(biāo)準(zhǔn)； 采用開放技術(shù)； 9 采用開放結(jié)構(gòu)； 采用開放系統(tǒng)組件； 2）可靠原則 設(shè)計結(jié)果穩(wěn)定可靠，具有高 均無故障時間）和 均無故障率），采用開放用戶接口。 3）實用原則 實用有效是最主要的設(shè)計目 標(biāo)，設(shè)計結(jié)果能滿足需求行之有效。提供容錯設(shè)計，支持故障檢測和恢復(fù)，可管理性強。 4）安全原則 安全措施有效可信，能夠在多個層次上實現(xiàn)安全控制。 5）先進原則 設(shè)計思想先進； 軟硬件設(shè)備先進； 網(wǎng)絡(luò)結(jié)構(gòu)先進。 6）完整性原則 考慮到系統(tǒng)的各方面因素，實現(xiàn)優(yōu)化的網(wǎng)絡(luò)設(shè)計、安全的數(shù)據(jù)管理、高效的信息處理、友好的用戶界面。 7）高效原則 性能指標(biāo)高，軟硬件性能充分發(fā)揮。 8）靈活原則 系統(tǒng)配置靈活，備用和可選方案多，能夠適應(yīng)應(yīng)用和技術(shù)發(fā)展需要。 10 9）可擴展性 能夠在規(guī)模和性能兩個方向上進行擴展，擴展后的性能有大幅度提高。 10）模塊化 每種功能都由一定的模塊來實現(xiàn)，方案只需要選擇不同的模塊，并將這些模 塊做相應(yīng)的配置即可。 據(jù)中心設(shè)計方案 總體結(jié)構(gòu) 司 數(shù)據(jù)中心拓樸圖 11 司 數(shù)據(jù)中心采用兩臺 列核心交換機構(gòu)建整個 心交換區(qū) ， 在核心交換區(qū)以下 ， 分為核心數(shù)據(jù)服務(wù)區(qū)與中間業(yè)務(wù)應(yīng)用服務(wù)區(qū)兩大服務(wù)區(qū) ， 以及 司 各大區(qū)的接入及廣域網(wǎng)接入等接入?yún)^(qū)組成 。 其中數(shù)據(jù)服務(wù)的小型機區(qū) ， 以兩臺 換機為接入交換機 ,接入核心交換區(qū) ， 在 換機 上添加防火墻模塊與內(nèi)容 交換模塊 ，以實現(xiàn)對小型機的 安全保護、 載和 負 載均衡控制 。 在中間業(yè)務(wù)應(yīng)用服務(wù)器區(qū) ， 以兩臺 換機為匯聚交換機 ， 以接入交換機 ,為應(yīng)用服務(wù)器提供 接入功能 ,并在 換機上添加防火墻模塊與內(nèi)容交換模塊 ,為整個中間業(yè)務(wù)應(yīng)用服務(wù)器群提供保護與負載均衡控制，并且在此區(qū)域內(nèi)通過 設(shè)備 ,提供完善的管理與控制功能。 核心交換模塊 流量分析 主干網(wǎng)絡(luò)作為 司 數(shù)據(jù)中心的運行核心，它決定整個 據(jù)中心網(wǎng)絡(luò)的性能。根據(jù)統(tǒng)計，一個運行良好、提供服務(wù)齊全的網(wǎng)絡(luò)中，各子網(wǎng)間 的通訊和子網(wǎng)內(nèi)部通訊大約各占 50%；而且隨著多媒體技術(shù)的發(fā)展，多媒體主頁、視頻點播（多點廣播）大量采用，這些都要占有大量主干帶寬；以及虛擬網(wǎng)技術(shù)的采用，傳統(tǒng)子網(wǎng)概念已經(jīng)變化，使得一個子網(wǎng)可以分布于整個網(wǎng)絡(luò)，導(dǎo)致子網(wǎng)內(nèi)部通訊也要通過主干網(wǎng)絡(luò)；因此經(jīng)過主干網(wǎng)絡(luò)的流量將占 80%以上，這就要求 12 主干網(wǎng)絡(luò)必須具有極高的傳輸速率，最大限度的避免堵塞。作為主要的數(shù)據(jù)通道，主干網(wǎng)絡(luò)的癱瘓就意味著整個網(wǎng)絡(luò)的崩潰，因此主干網(wǎng)絡(luò)必須采用已經(jīng)標(biāo)準(zhǔn)化的技術(shù)，有極高的穩(wěn)定性和冗余度。 網(wǎng)絡(luò)技術(shù)分析 縱觀目前計算機局域網(wǎng)技術(shù)，適合作為 高速主干網(wǎng)結(jié)構(gòu)的主要有： 千兆 以太網(wǎng) 千兆以太網(wǎng)是 100真正繼承者。千兆以太網(wǎng)保留了大多數(shù) 100有以下特點： 從傳統(tǒng) 100太網(wǎng)的升級較容易、投資少，與現(xiàn)有100的集成也很簡單。 工業(yè)支持較強，競爭激烈，使產(chǎn)品價格相對較低。 安裝和配置簡單，現(xiàn)有的管理工具依然可用。 支持交換方式，有全雙工方式通訊的產(chǎn)品。 萬兆以太網(wǎng) 萬兆位以太網(wǎng) (10準(zhǔn)已由 2002 年 6 月批準(zhǔn)，而且現(xiàn)在已 在許多應(yīng)用中進入大量部署階段。在從千兆位以太網(wǎng)到萬兆位以太網(wǎng)的演變過程中，為了適合如此廣泛的可能應(yīng)用，已進行了大量更改。這些更改中，最重要的更改與數(shù)據(jù)編碼方式及萬兆位以太網(wǎng)可以運行的物理連接類型有關(guān)。幀尺寸和格式都保持不變，以便第3 層及更高層協(xié)議仍然完全兼容。 萬兆位以太網(wǎng)設(shè)計用于以全雙工模式只在點到點（交換）鏈路上運行。這一點反映其作為主干 /核心 （與工作組不同）技術(shù)的角色。 13 萬兆位以太網(wǎng)當(dāng)前不支持自動協(xié)商，因為它被假定用于純?nèi)f兆位以太網(wǎng)安裝。 40G 以太網(wǎng) 建立 司 數(shù)據(jù) 中心的網(wǎng)絡(luò)系統(tǒng)應(yīng)高起點，統(tǒng) 一全面規(guī)劃，并考慮到將來的擴展與投資的保護；因此，為適應(yīng) 司 的發(fā)展，以可延展的方式提供更多的帶寬，滿足復(fù)雜的事務(wù)處理能力， 據(jù) 中心的主干采用領(lǐng)導(dǎo)高速網(wǎng)絡(luò)發(fā)展 兆以太網(wǎng)為主干。 廣域網(wǎng)接入模塊 目前 司 心與各大區(qū)之間使用 路連接，考慮到各大區(qū)的接入模式為 路，故本次新中心廣域網(wǎng)接入方式同樣選擇 式，利用現(xiàn)有 路與板卡，同時，由于 信 路的快速發(fā)展，考慮到數(shù)據(jù)中心的高擴 展性，廣域網(wǎng)接入采用模塊化方式，現(xiàn)選用 塊，在日后可方便的且經(jīng)濟的升級為 式。 廣域網(wǎng)接入路由器 核心交換機 間采用 10G 光纖鏈路相連，提供極高的數(shù)據(jù)交換能力，為數(shù)據(jù)中心的性能提供強有力的支持。 根據(jù)前面分析，一個多媒體網(wǎng)絡(luò) 60%甚至 80%以上的流量要經(jīng)過路由，采用傳統(tǒng)的路由方式連接各子網(wǎng)必須導(dǎo)致大量數(shù)據(jù)在路由器上 14 匯集，發(fā)生堵塞，從而導(dǎo)致丟包，會大大限制多媒體應(yīng)用，因此必須采用先進高效的路由技術(shù)，保證整個 司 數(shù)據(jù)網(wǎng)絡(luò)在網(wǎng)絡(luò)層暢通無阻。 第三層交換技術(shù)分析 第三層網(wǎng)絡(luò) 路由交換機的出現(xiàn)為大型多媒體網(wǎng)絡(luò)提供了新的解決方案。通過使用第三層路由交換機，可以大大提高 的轉(zhuǎn)發(fā)速度。 第三層交換技術(shù)可以分為兩類：基于包的交換和基于流的交換。 基于包的交換 采用與傳統(tǒng)路由器相近的交換方式，對每一個包進行檢查。目前的第三層交換機憑借先進的 術(shù)，對 直接進行芯片道路級處理，速度大大高于路由器采用的基于 處理方式，能夠提供全線速的轉(zhuǎn)發(fā)，避免發(fā)生堵塞和丟包；同時完全兼容路由器的 議，能夠與傳統(tǒng)路由器進行相互的自學(xué)習(xí)，掌握整個網(wǎng)絡(luò)的路由信息。采 用基于包交換的第三層交換機，網(wǎng)絡(luò)的配置、設(shè)備和軟件都不需要變動，能夠?qū)崿F(xiàn)基于包的安全控制。 數(shù)據(jù)庫服務(wù)器 與中間業(yè)務(wù)服務(wù)器 接入模塊 數(shù)據(jù)庫服務(wù)器與中間業(yè)務(wù)服務(wù)器接入設(shè)備采用 性能交換機， 成熟的 換機曾經(jīng)做為數(shù)據(jù)中心的核心交換機主流產(chǎn)品，其強大的交換能力， 720G 背板帶寬，以及高達 高可靠性，使之成為 司 心數(shù)據(jù)庫服務(wù)器與中間業(yè)務(wù)服務(wù)器接入服務(wù)最有力的提供者，此外，依靠 術(shù)，將兩臺 換機虛擬 15 成一臺交換機，將背板帶寬擴大為 電信級別。 數(shù)據(jù)庫服務(wù)器與中間業(yè)務(wù)服務(wù)器通過千兆鏈路連接入?yún)R聚交換機上，通過 10G 鏈路雙上聯(lián)入核心交換機 依靠跨機框鏈路捆綁技術(shù)，將因為鏈路故障造成的倒換 外聯(lián)網(wǎng)絡(luò)接入模塊 為中國家電零售業(yè)的領(lǐng)軍企業(yè)，其銀聯(lián)及各大商業(yè)銀行有著相當(dāng)頻繁的業(yè)務(wù)來往，并且，隨著 業(yè)多元化發(fā)展，其各實業(yè)公司，都與 著極高的數(shù)據(jù)交換要求以及響應(yīng)的安全要求。為此，我 們推薦 好處在于可以靈活的使用 各種業(yè)務(wù)提供足夠的安全保證 帶內(nèi)帶外網(wǎng)絡(luò)管理接入模塊 網(wǎng)絡(luò)管理對于一個大型化的網(wǎng)絡(luò)是至關(guān)重要的，同時也具有挑戰(zhàn)性。對 息中心的管理主要采用基于 于 基于 過 以設(shè)置完善的管理員安全策略，能夠有效地防 16 止非法用戶竊取管理員權(quán)限，對網(wǎng)絡(luò)進行任何改動。 對于整個 據(jù)中心網(wǎng)絡(luò)的管理，我們采用 是世界上使用最為廣泛最為成功的網(wǎng)管軟件之一，能對多個廠家提供的支持 線器、路由器、打印機、 樣我們可以查看網(wǎng)絡(luò)上使用的硬件和軟件的清單，診斷并解決遠程工作站的問題，給網(wǎng)絡(luò)用戶快速分發(fā)最新軟件，檢查用戶軟件的 測客戶機上的病毒，使用加密和解密保證網(wǎng)絡(luò) 的安全，監(jiān)視服務(wù)器的性能并能設(shè)定報警值。 由于 儲和互聯(lián)基礎(chǔ)設(shè)施上的可管理性能夠利用先進的通用管理和診斷工具簡化配置、調(diào)配、監(jiān)控和變更控制，因而能減輕管理負擔(dān)，增強流程的一致性，并改善數(shù)據(jù)中心小組之間的協(xié)作。另外，可管理性功能還能向管理應(yīng)用提供網(wǎng)絡(luò)設(shè)備的流量和接口信息，以便操作人員能夠查看實時和歷史網(wǎng)絡(luò)狀態(tài)。另外，操作人員還能利用思科或第三方管理工具實現(xiàn)網(wǎng)絡(luò)的配置、監(jiān)控和排障。 思科數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)提供先進的通用管理接口、功能和工具，不但能顯著提高數(shù)據(jù)中心管理人員的運營效率，降低復(fù)雜性，縮短學(xué)習(xí)周期， 還能提高服務(wù)水平，加快解決問題的進程。利用基于角色的訪問控制，管理員可以將特定資源的管理控制分配給專人負責(zé)。 思科數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)包含五大可管理性： 17 簡單網(wǎng)絡(luò)管理協(xié)議（ 3） 在 儲網(wǎng)絡(luò)和光網(wǎng)上支持統(tǒng)一的 夠改善配置、資產(chǎn)管理和變更管理。 嵌入式管理代理能夠簡化可管理性 支持基于策略的自適應(yīng)管理，能夠在問題造成重大影響之前就快速予以解決，而且能夠簡化服務(wù)實施。例如，為 500 系列平臺開發(fā)的新型 備管理器代理能夠改 善基于策略的端到端配置。 相似的 在管理器與設(shè)備之間提供一致的通信。 標(biāo)準(zhǔn)通用信息模型和可擴展標(biāo)記語言（ 通用高級診斷功能 簡化存儲網(wǎng)絡(luò)中第三方系統(tǒng)管理的實施。 簡化實時監(jiān)控、歷史統(tǒng)計數(shù)據(jù)收集和報告。 另外思科安全監(jiān)控、分析和響應(yīng)系統(tǒng)（思科安全 一款基于設(shè)備的全功能解決方案，可提供針對您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全 幫助您的安全和網(wǎng)絡(luò)機構(gòu)識別、管理和抵御安全 18 威脅。它 可充分利用您現(xiàn)有的網(wǎng)絡(luò)和安全投資，來識別、隔離被攻擊的組件和建議對其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個不可缺少的部件。 安全和網(wǎng)絡(luò)管理員所面臨的問題有： 安全和網(wǎng)絡(luò)信息過載 性能不佳的攻擊和故障識別、優(yōu)先級劃分和響應(yīng) 更高攻擊先進程度、速度和修復(fù)成本 滿足法規(guī)符合性和審查要求 較少的安全人員和預(yù)算 思科安全 集成網(wǎng)絡(luò)智能，進行網(wǎng)絡(luò)異常事件和安全事件的先進關(guān)聯(lián) 察看校正后的事件并自動執(zhí)行調(diào)查 通過全面充分利用網(wǎng)絡(luò)和安全基礎(chǔ)設(shè) 施來防御攻擊 監(jiān)控系統(tǒng)、網(wǎng)絡(luò)和安全運行來幫助企業(yè)達到法規(guī)符合性 以最低 擴展的設(shè)備 19 高性能與高可靠性設(shè)計 性能設(shè)計 在 司 數(shù)據(jù)中心網(wǎng)絡(luò)中， 主干線采用的是萬 兆位，因此需要主干設(shè)備要有較高的交換能力，擁有 思科一代高密度萬 兆位連接，滿足蘇寧電器數(shù)據(jù)網(wǎng)絡(luò)中的高通信量工作站、工作組和服務(wù)器的需求。通過現(xiàn)有銅線線纜或光纖集合工作站服務(wù)器群可以提高多媒體應(yīng)用的運行速度，同時減少瓶頸并提供非堵塞性能。提供第二、第三、第四層無堵塞性能，強大的帶寬整形功能和八個 先級排隊，以實現(xiàn)完善的第二、第三、第四層通信控制，最大的介質(zhì)靈活性，保護了超 5 類線基礎(chǔ)設(shè)施投資，并以光纖 破了距離的限制。 在 司 數(shù)據(jù)中心網(wǎng)絡(luò)中，采用的第三層交換機是基于包進行交換的，能夠進行分布路由，為了避免發(fā)生堵塞，第三層交換機必須能夠提供接近交換速度的路由能力。另外為了在整個網(wǎng)絡(luò)上實現(xiàn)虛擬網(wǎng)劃分，第三層交換機還必須支持分布式的虛擬網(wǎng)設(shè)置。在關(guān)鍵子網(wǎng)，保證與主干網(wǎng)絡(luò)高速通道的足夠帶寬，以及冗余連接。 根據(jù)以上分析，我們充分考慮了系統(tǒng)的性能價格比，采用了具有高可擴展性和 穩(wěn)定性、最標(biāo)準(zhǔn) 的思科公司的全套網(wǎng)絡(luò)產(chǎn)品?？紤]到主干網(wǎng)絡(luò)設(shè)備具有萬 兆以太的交換能力，同時支持鏈路匯聚功能，以保證網(wǎng)絡(luò)的帶寬，另外還要支持 分，提供靈活活的網(wǎng)絡(luò)配置。并且在蘇寧電器數(shù)據(jù)中心將要使用大量的光纜布線 。 20 可靠性設(shè)計 樸冗余 司 中心拓樸在設(shè)計階段就充分考慮線路的冗余問題，以保證數(shù)據(jù)中心網(wǎng)絡(luò)的高可靠性。 在 司 中心內(nèi)，所有核心設(shè)備之間鏈路 都采用雙鏈路冗余備份設(shè)計，保證在某一條鏈路故障時，不影響整個數(shù)據(jù)中心的數(shù)據(jù)交換業(yè)務(wù)。 鏈路冗余 在 數(shù)據(jù) 中心的交換機之間的連接均 采用 設(shè)計以保證鏈路的冗余。 計原則 21 網(wǎng)絡(luò)連接 計原則 核心設(shè)備之間互連 2*10心與分布設(shè)備互連 2*10布設(shè)備之間互連 2*10布與接入設(shè)備互連 2*10換冗余 交換區(qū)域的可靠性通過 現(xiàn)。被 斷的邏輯鏈路在線路或設(shè)備出現(xiàn)故障的情況下可以自動釋放，形成新的拓撲結(jié)構(gòu)，保證網(wǎng)絡(luò)數(shù)據(jù)的正常傳輸。 網(wǎng)關(guān)冗余 備份路由協(xié)議）是為網(wǎng)絡(luò)接入設(shè)備提供三層網(wǎng)關(guān)冗余的技術(shù)。配置 的 關(guān)向接入設(shè)備提供虛擬 址，并使用 測 員狀態(tài)，確保網(wǎng)關(guān)冗余。 分布層設(shè)備在連接普通接入時采用 先級策略與 根網(wǎng)橋主備設(shè)置一致； 置 確保高優(yōu)先級網(wǎng)關(guān)為激活狀態(tài) 路由冗余 網(wǎng)絡(luò)物理鏈路的冗余設(shè)計為路由協(xié)議選擇備份連接提供了基礎(chǔ)。 網(wǎng)絡(luò)使用 由協(xié)議根據(jù)網(wǎng)絡(luò)鏈路的 算最短路徑。 22 當(dāng)設(shè)備或連接因故障中斷時， 自動重新計算網(wǎng)絡(luò)路徑，并使用正常的連接保障數(shù)據(jù)通訊。 考慮運行維護的簡單性，配合 義和 義，在網(wǎng)絡(luò)設(shè)計上，將通過 調(diào)整，在分布層和核心層將數(shù)據(jù)流引導(dǎo)到冗余網(wǎng)絡(luò)結(jié)構(gòu)的一側(cè)，而當(dāng)設(shè)備或連接因故障中斷時， 自動重新計算網(wǎng)絡(luò)路徑，并使用正常的連接保障數(shù)據(jù)通訊。 備冗余 考慮到數(shù)據(jù)中心的特點，在 司 中心設(shè)計初期，就對設(shè)備冗余做了充分的考慮，核心設(shè)備采用可靠性最高的雙機熱備份模式，關(guān)鍵設(shè)備全部雙機熱備份，保證單一設(shè)備故障時，數(shù)據(jù)中心業(yè)務(wù)不受任何影響，徹底解決單點故障問題。 引擎冗余 數(shù)據(jù)中心的核心的交 換機和路由器都使用兩塊冗余引擎，在兩塊冗余引擎上使用 切換方式。 換方式只需要 3 秒左右就可以完成切換，并且不用重新初始化板卡 。 網(wǎng)絡(luò)連接 23 備份引擎自動切換 是 是 是 是 同步 是 是 是 同步 是 是 是 同步 否 是 是 同步二層鏈路狀態(tài) 否 否 是 是 同 步 路 由 協(xié) 議 否 否 是 切換時間 長 較短 短 短 復(fù)雜程度 低 較低 中 高 電源冗余 信息中心的網(wǎng)絡(luò)設(shè)備都需要支持兩種電源冗余工作模式，建議使用 式（默認設(shè)置）。 式一般用于電源更換或升級等特殊情況。 模塊和端口冗余 模塊和端口冗余的通用原則 同一機箱優(yōu)先使用高編號槽位； 同一模塊優(yōu)先使用高編號端口； 24 上連鏈路優(yōu)先使用高編號端口、下連鏈路優(yōu)先使用低編號端口，互連鏈路盡量使用引擎上自帶的端口； 確保 的兩個端口端口使用不同模塊，由于核心交換機只配置了一塊 10口模塊， 20能使用同一模塊的端口 。 口的可靠性 端口是網(wǎng)絡(luò)設(shè)備互連的通道，思科提供多種端口功能協(xié)議。為了保障網(wǎng)絡(luò)設(shè)備連接的可靠性，路由交換機端口應(yīng)根據(jù) 數(shù)據(jù) 中心的通訊模式設(shè)計。 協(xié)議 路由端口（非 換端口 換端口 止 禁止，手工設(shè)置 禁止 止 啟用 禁止 用 啟用 禁止 用 啟用 禁止 式，自動協(xié)商 接入模式 用 啟用 禁止 25 司 數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化服務(wù) （此處為相應(yīng)設(shè)備的亮點技術(shù)，根據(jù)具體項目不同編寫） 擬多機技術(shù) 000 系列交換機虛擬 多機技術(shù) 是一種網(wǎng)絡(luò)系統(tǒng)虛擬化技術(shù)，將 一 臺 000 系列交換機 物理的劃分為多個實體主機，通過對硬件資源，如控制引擎，交換背板的物理劃分，實現(xiàn)將一臺 000 系列交換 機劃分為 多個虛擬實體，以實現(xiàn)不同業(yè)務(wù)在核心層的隔離，并且，當(dāng) 000 在滿足數(shù)據(jù)中心本身的交換需求后，仍有大量資源空閑時，可以將空閑資源劃分出 來另作他用，有效的提高 000 做為網(wǎng)絡(luò)核心的利用率，從而從側(cè)面提升 000 的性能價格比。 509 交換機 術(shù) 列交換機虛擬交換系統(tǒng)（ 1440 是一種網(wǎng)絡(luò)系統(tǒng)虛擬化技術(shù)，將兩臺采用了 20500 系列交換機組合為單一虛擬交換機。在 ，這兩個交換機中的管理引擎的數(shù)據(jù)面板和交換陣列能同時激活，因此總系 統(tǒng)交換能力可達 1440 員通過虛擬交換機鏈路（ 接。 虛擬交換機成員之間使用標(biāo)準(zhǔn)萬兆以太網(wǎng)連接（多達 8 條，以提供冗余性）。通過在 206 意端口上使用萬兆以太網(wǎng)上行鏈路，即能形成 在 員間進行控制面板通信外， 能傳輸普通用戶流量。 持所有采用集中或分布式（利用 發(fā)模式的 500 系列交換機。 與傳統(tǒng) 的 3 網(wǎng)絡(luò)設(shè)計相比， 440 提供了多項顯著優(yōu)勢。大體說來，其優(yōu)勢可歸納為以下三個主要方面： 夠提高運營效率 單管理點，包括配置文件和單一網(wǎng)關(guān) 址（無需 多機箱 （ 建了簡單的無環(huán)路拓撲結(jié)構(gòu)，不再依靠生成樹協(xié)議（ 底層物理交換機經(jīng)由標(biāo)準(zhǔn)萬兆以太網(wǎng)接口相連，在位置方面提供了靈活的部署選項 夠優(yōu)化不間斷通信 機箱間狀態(tài)化故障切換不會干擾需要使用網(wǎng)絡(luò)狀態(tài)信息的應(yīng)用。憑借 一個虛擬交換機成 員發(fā)生故障時，不再需要進行 3 重收斂，能在一秒內(nèi)實現(xiàn)確定性虛擬交換機的恢復(fù)。 與基于生成樹協(xié)議的收斂不同，使用 在一秒內(nèi)完成確定性 路恢復(fù)。 夠?qū)⑾到y(tǒng)帶寬容量擴展到 在冗余 500 系列交換機上激活所有可用的 27 寬，在 礎(chǔ)上進行精確的負載均衡。 為冗余數(shù)據(jù)中心交換機上的服務(wù)器網(wǎng)絡(luò)接口卡（ 供基于標(biāo)準(zhǔn)的鏈路匯聚，實現(xiàn)最高服務(wù)器帶寬吞吐率。 消除了因非對稱 路由引起的單播洪泛，減少了園區(qū)內(nèi)流量的跳數(shù)，從而節(jié)省了帶寬。 擬化技術(shù)及應(yīng)用 與思科 6500 交換機 7600 路由器結(jié)合，具有靈活的端口擴展能力。7600 路由器配置防火墻模塊后可以將 7600 路由器變成一臺廣域網(wǎng)防火墻。路由器上的所有端口均可以配置不同的安全級別。 強大的防火墻性能，在單臺 65 系列交換機 7600 路由器上可以插4 塊 塊 吞吐量為 塊合計 22 每個防火墻模塊可支持 256 個虛擬防火墻，為數(shù)據(jù)中心提供了強大的靈活性。 虛擬防火墻的資源可定制，每個虛擬防火墻占用的 大的增加了虛擬防火墻的安全性和可用性。 支持高達 256 個 大大增加了防火墻的使用靈活性。 工作模式多樣化，支持透明、路由、 明路由的混合模式的工作模式。 支持多臺防火墻主機的集群，支持 式以及 8 模式。 支持豐富的 性 司 中心網(wǎng)絡(luò) 據(jù)具體項目，具體設(shè)計 ，一般初期僅做初步描述 ） 蘇寧電 器 心網(wǎng)絡(luò) 址的設(shè)計，將根據(jù)現(xiàn)有的業(yè)務(wù)系統(tǒng)進行統(tǒng)一的規(guī)劃與設(shè)計，在實際允許的情況下兼容原有 址，為日后割接提供準(zhǔn)備的基礎(chǔ)。 司 中心網(wǎng)絡(luò)路由協(xié)議設(shè)計 （路由設(shè)計，根據(jù)具體項目具體設(shè)計 ，一般初期僅做初步描述 ） 蘇寧電器 心網(wǎng)絡(luò)路由協(xié)議建議使用 議與 議， 議做為其應(yīng)用主協(xié)議， 議則運行在備份鏈路上，當(dāng)主協(xié)議 障時，則由 議替代，以保證其網(wǎng)絡(luò)的連通性，減少協(xié)議倒換的時間。 司 中心網(wǎng)絡(luò)安全設(shè)計 （此處為相應(yīng) 安全 的 設(shè)備及技術(shù) ， 根據(jù)具體項目不同編寫） 火墻模塊 換機和 600 系列路由器的防火墻服務(wù)模塊（ 一種高速的、集成化的服務(wù)模塊，可以提供業(yè)界最快的防火墻數(shù)據(jù)傳輸速率： 5吞吐量， 100000及一百萬個并 29 發(fā)連接。在一個設(shè)備中最多可以安裝四個 而每個設(shè)備最高可以提供 20吞吐量。作為世界領(lǐng)先的 火墻系列的一部分， 以為大型企業(yè)和服務(wù)供應(yīng)商提供無以倫比的安全性、可靠性和性能。 用了 術(shù)，并且運行 作系統(tǒng)（ 固的嵌入式系統(tǒng)，可以消除安全漏洞，防止各種可能導(dǎo)致性能降低的損耗。這個系統(tǒng)的核心是一種基于自適應(yīng)安全算法（ 保護機制，它可以提供面向連接的全狀態(tài)防火墻功能。利用 以根據(jù)源地址和目的地地址，隨機的 列號，端口號，以及其他 志，為一個會話流創(chuàng)建一個連接表條目。以通過對這些連接表條目實施安全策略，控制所有輸入和輸出的流量。 主要優(yōu)點 防火墻的傳統(tǒng)角色已經(jīng)發(fā)生了變化。 今天的防火墻不僅可以保護企業(yè)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的外部接入的攻擊，還可以防止未經(jīng)授權(quán)的用戶接入企業(yè)網(wǎng)絡(luò)的子網(wǎng)、工作組和 統(tǒng)計數(shù)據(jù)顯示， 70%的安全問題都來自于企業(yè)內(nèi)部。在 展的調(diào)查中，五分之一的受訪者表示，在過去 12 個月中，有入侵者闖入或者試圖闖入他們的企業(yè)網(wǎng)絡(luò)。大部分專家都認為，大多數(shù)網(wǎng)絡(luò)入侵活動都沒有被檢測出來。 集成模塊 裝在 500 系列交換機或者 600 互聯(lián)網(wǎng)路由器的內(nèi)部，讓這些設(shè)備的任何端口都可以充當(dāng)防火墻端口， 30 并且在網(wǎng)絡(luò)基礎(chǔ)設(shè) 施中集成了狀態(tài)防火墻安全。對于那些機架空間非常有限的系統(tǒng)來說，這種功能非常重要。 500 真正成為了那些需要各種智能化服務(wù)（例如防火墻接入、入侵檢測、虛擬專用網(wǎng)（ 和多層 換功能的客戶的首選務(wù)交換機。 適應(yīng)未來需要 以支持 5吞吐量，因而可以提供無以倫比的性能，讓用戶無須對系統(tǒng)進行徹底的升級，就可以滿足未來的要求。在500 中最多可以添加三個 滿足用戶不斷發(fā)展的需求。 可靠性 立在 術(shù)的基礎(chǔ)之上，并使用了同一個經(jīng)過時間檢驗的 作系統(tǒng) 時的操作系統(tǒng)。以利用行之有效的 術(shù)檢測分組，從而可以在同一個平臺上提供性能和安全的獨特組合。 低廉的整體運營成本 以提供所有防火墻中最佳的性能價格比。 合同中包含了維護成本。由于 基于 火墻的，所以培訓(xùn)和管理成本都很低，而且由于它是集成在設(shè)備內(nèi)部的，所以大大減少了需要管理的設(shè)備的數(shù)量。 易用性 備管理器的直觀的圖形化用戶界面（ 以用于 31 管理和配置 配置和監(jiān)控方面， 以獲得思科管理框架和 成化語音、視頻和數(shù)據(jù)體系結(jié)構(gòu)）合作伙伴的支持。 心網(wǎng)絡(luò) 據(jù)實際情況設(shè)計 ，一般初期僅做初步描述 ） 是指 絡(luò)的一種能力，即在跨越多種底層網(wǎng)絡(luò)技術(shù)（ ）的 絡(luò)上，為特定的業(yè)務(wù)提供其所需要的服務(wù)。衡量 技術(shù)指標(biāo)包括： 1）帶寬 /吞吐量 指網(wǎng)絡(luò)的兩個節(jié)點之間特定應(yīng)用業(yè)務(wù)流的平均速率； 2）時延 指數(shù)據(jù)包在網(wǎng)絡(luò)的兩個節(jié)點之間傳送的平均往返時間； 3）抖動 指時延的變化； 4）丟包率 指在網(wǎng)絡(luò)傳輸過程中丟失報文的百分比，用來衡量網(wǎng)絡(luò)正確轉(zhuǎn)發(fā)用戶數(shù)據(jù)的能力； 5）可用性 指網(wǎng)絡(luò)可以為用戶提供服務(wù)的時間的百分比。 本質(zhì)上，要保證服務(wù)質(zhì)量的最基本和最佳的手段是網(wǎng)絡(luò)容量的擴容，通過增加鏈路帶寬來保證網(wǎng)絡(luò)輕載， 出于網(wǎng)絡(luò)的實際情況考慮，在有限的帶寬前提下，在鏈路擁塞時，需要保證不同等級業(yè)務(wù)的服務(wù)質(zhì)量，因此，需要在 設(shè)備上 支持對不同 級的報文優(yōu)先轉(zhuǎn)發(fā)的隊列調(diào)度 機制 。 32 目前， 現(xiàn)機制主要有兩個：綜合型業(yè)務(wù)（ 型和區(qū)分型業(yè)務(wù)（ 型。 集成服務(wù)模型通過 議針對每個業(yè)務(wù)流進行資源預(yù)留，提供端到端服務(wù)保證。這種服務(wù)模型在應(yīng)用使用之前，首先需要進行資源的預(yù)留，針對每個流都要維護 軟狀態(tài)。這種服務(wù)模型的的優(yōu)點在于能夠提供細粒度的、嚴格的 是擴展性比較差，路由器難以維護大量的軟狀態(tài)和控制流。由于集成服務(wù)模型的缺點，現(xiàn)在集成服務(wù)模型已經(jīng)很少使用，取 而代之的是下面重點介紹的差分服務(wù)模型。差分服務(wù)類型對不同的流進行分類，對每個類提供不同的 務(wù)。通過分類，維護軟狀態(tài)以及控制流的開銷大幅度縮小，可擴展性比較高。它的缺點在于提供的服務(wù)是粗粒度的、不嚴格的 務(wù)。 綜合考慮現(xiàn)有 術(shù)，我們推薦蘇寧電器 心 造采用以 主的 術(shù)，采用 兼容的標(biāo)記方式。業(yè)務(wù)接入控制點設(shè)備實現(xiàn)業(yè)務(wù)的分類、標(biāo)記和帶寬控制，城域網(wǎng)骨干路由器根據(jù) P 包的轉(zhuǎn)發(fā)。 數(shù)據(jù)中心網(wǎng)絡(luò)管理設(shè)計 （根據(jù)項目使用網(wǎng)管工具編寫） 思科安全監(jiān)控、分析和響應(yīng)系統(tǒng)（思科安全 一款基于設(shè)備的全功能解決方案，可提供針對您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全 思科安全管理生命周期的一個關(guān)鍵組件，可幫助您的安全和網(wǎng)絡(luò)機構(gòu)識別、管理和抵御安全威脅。 33 它可充分利用您現(xiàn)有的網(wǎng)絡(luò)和安全投資，來識別、隔離被攻擊的組件和建議對其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個不可缺少的部件。 安全和網(wǎng)絡(luò)管理員所面臨的問題有： 安全和網(wǎng)絡(luò)信息過 載 性能不佳的攻擊和故障識別、優(yōu)先級劃分和響應(yīng) 更高攻擊先進程度、速度和修復(fù)成本 滿足法規(guī)符合性和審查要求 較少的安全人員和預(yù)算 思科安全 通過以下功能滿足其需要： 集成網(wǎng)絡(luò)智能，進行網(wǎng)絡(luò)異常事件和安全事件的先進關(guān)聯(lián) 察看校正后的事件并自動執(zhí)行調(diào)查 通過全面充分利用網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施來防御攻擊 監(jiān)控系統(tǒng)、網(wǎng)絡(luò)和安全運行來幫助企業(yè)達到法規(guī)符合性 以最低 供一個易于部署和使用的、可擴展的設(shè)備 思科安全 提交正確有效的安全事件并保持法規(guī)符合性。這 一易于使用的威脅防御設(shè)備系列可利用已部署在您的基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)和安全設(shè)備，使操作員可集中、檢測、防御和報告重要威脅。 深度防御問題 信息安全已從互聯(lián)網(wǎng)、周邊防護發(fā)展為深度防御模式，在基礎(chǔ)設(shè)施中部署了多項措施來抵御安全漏洞和攻擊。鑒于攻擊頻率日益增 34 加、攻擊復(fù)雜度各不相同，以及攻擊非常迅速，網(wǎng)絡(luò)內(nèi)部和周邊間的界線逐漸模糊，因此這些措施是非常必要的。 為試圖利用漏洞發(fā)動攻擊，每天攻擊者都會對網(wǎng)絡(luò)接入點和系統(tǒng)進行數(shù)千次探測。先進的混合攻擊使用多種欺騙式攻擊方法，以便從機構(gòu)內(nèi)外獲得未授權(quán)系統(tǒng)訪問和控制。蠕蟲、零日攻擊 、病毒、特洛伊木馬、間諜軟件和攻擊工具的普及可對最為堅固的基礎(chǔ)設(shè)施構(gòu)成挑戰(zhàn) 導(dǎo)致防御作用時間縮短、出現(xiàn)停運和昂貴的修復(fù)措施。 除服務(wù)器和網(wǎng)絡(luò)設(shè)備數(shù)量較多外，每個安全組件都提供獨立的事件記錄和報警功能，以用于異常流量檢測、威脅響應(yīng)和分析。不幸的是，這就生成了大量的干擾、報警、日志文件和誤報，需操作員辨別或高效利用它們 但這樣的前提是有足夠的時間和資源來分析和了解這些信息。此外，法規(guī)也要求嚴格數(shù)據(jù)保密、更高運營安全性和進行持續(xù)審查。 先進的安全信息管理 安全信息 /事件管理（ 品從邏輯上看來避免了這一 問題 因為您無法對您不能測量出的信息加以管理。 操作員擁有了集中操作的能力：匯總安全事件和記錄，通過有限關(guān)聯(lián)和查詢技術(shù)來分析數(shù)據(jù)，并針對獨立事件生成報警和報告。 思科通過一個可擴展的企業(yè)威脅防御設(shè)備系列，解決了這些安全問題，彌補了管理的不足。思科安全 供了一個易于部署和使用、經(jīng)濟有效、性能出眾的安全命令和控制解決方案，對您的網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施投資構(gòu)成補充。思科安全 一個性能出眾的 35 可 擴 展 威 脅 防 御 設(shè) 備 系 列 ， 通 過 結(jié) 合 網(wǎng) 絡(luò) 智 能 、析和 能，來使公司能作好準(zhǔn)備，識別、管理和消除網(wǎng)絡(luò)攻擊并保持法規(guī)符合性，從而增強已部署的網(wǎng)絡(luò)設(shè)備和安全措施。 思科安全 主要特性和優(yōu)勢 網(wǎng)絡(luò)智能事件匯總和性能處理 思科安全 換機和防火墻的拓撲和設(shè)備配置，以及網(wǎng)絡(luò)流量配置，實現(xiàn)了網(wǎng)絡(luò)智能。通過該系統(tǒng)的集成網(wǎng)絡(luò)發(fā)現(xiàn)功能，可構(gòu)建一個包括設(shè)備配置和當(dāng)前安全策略的拓撲圖，使思科安全對您網(wǎng)絡(luò)中的分組流建模。因為此設(shè)備不在內(nèi)部運行，極少使用現(xiàn)有軟件代理，所以對網(wǎng)絡(luò)或系統(tǒng)性能的影響極小。 這一設(shè)備集中匯 總了來自各種常用網(wǎng)絡(luò)設(shè)備（如路由器和交換機）、安全設(shè)備和應(yīng)用（如防火墻、入侵檢測、漏洞掃描器和防病毒軟件）、主機（如 統(tǒng)日志）、應(yīng)用（如數(shù)據(jù)庫、 務(wù)器和驗證服務(wù)器）以及網(wǎng)絡(luò)流量（如 日志和事件。 接收到事件和數(shù)據(jù)時，可針對網(wǎng)絡(luò)拓撲、所發(fā)現(xiàn)的設(shè)備配置、相同的源和目的地應(yīng)用（跨 界）和類似的攻擊類型，來對信息進行標(biāo)準(zhǔn)化。相似的事件會進行實時分組，隨后對其運用由系統(tǒng)和用戶定義的關(guān)聯(lián)規(guī)則，來識 別事故。系統(tǒng)配備了全面的預(yù)定義規(guī)則， 經(jīng)常更新這些規(guī)則，它們能識別大多數(shù)混合攻擊、零日攻擊和蠕蟲。一個圖形化規(guī)則定義框架簡化了用戶 36 為任何應(yīng)用創(chuàng)建定制規(guī)則的過程。 大減少了原始事件數(shù)據(jù)、實現(xiàn)了響應(yīng)優(yōu)先級劃分并可最大限度地發(fā)揮所部署的措施的作用。 高性能匯總和整合。思科安全 決方案可獲取數(shù)千個原始事件，高效地對事件分類，實現(xiàn)前所未有的數(shù)據(jù)減少，并壓縮這些信息以進行歸檔。管理大量安全事件需要一個安全、穩(wěn)定的集中記錄平臺。思科安全 備可安全地優(yōu)化，接 收極其大量的事件流量 每秒超過 10000 個事件或每秒超過 30 萬個