比亞迪IT信息化建設(shè)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)方案

. . 比亞迪汽車公司比亞迪汽車公司 ITIT 信息化建設(shè)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)方案信息化建設(shè)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)方案 2015-052015-05 . . 目目 錄錄 第第 1 1 章章 總述總述.5 1.1 比亞迪公司數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)需求.5 1.1.1 傳統(tǒng)架構(gòu)存在的問題.5 1.1.2 數(shù)據(jù)中心目標(biāo)架構(gòu)設(shè)計(jì).6 1.2 數(shù)據(jù)中心設(shè)計(jì)目標(biāo).7 1.3 數(shù)據(jù)中心技術(shù)需求.8 1.3.1 整合能力.8 1.3.2 虛擬化能力.8 1.3.3 自動(dòng)化能力.9 1.3.4 綠色數(shù)據(jù)中心要求.9 第第 2 2 章章 比亞迪網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)比亞迪網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).10 2.1 比亞迪網(wǎng)絡(luò)系統(tǒng)概述現(xiàn)狀.10 2.2 改造后設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)概述.11 第第 3 3 章章 比亞迪網(wǎng)絡(luò)系統(tǒng)技術(shù)實(shí)現(xiàn)方式比亞迪網(wǎng)絡(luò)系統(tǒng)技術(shù)實(shí)現(xiàn)方式.14 3.1 綠色數(shù)據(jù)中心.14 3.2 局域網(wǎng)技術(shù)概況.15 3.3 服務(wù)器計(jì)算中心網(wǎng)絡(luò)結(jié)構(gòu).17 3.4 整合能力.18 3.4.1 一體化交換技術(shù).18 3.4.2 無丟棄以太網(wǎng)技術(shù).19 3.4.3 性能支撐能力.20 3.4.4 智能服務(wù)的整合能力.20 3.5 虛擬化能力.21 3.5.1 服務(wù)器虛擬化.22 3.6 自動(dòng)化.22 第第 4 4 章章 比亞迪公司無線網(wǎng)絡(luò)接入網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)（建議）比亞迪公司無線網(wǎng)絡(luò)接入網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)（建議）.24 4.1 概述.24 4.2 無線部分設(shè)計(jì).24 4.3 無線網(wǎng)絡(luò)性能設(shè)計(jì).26 4.3.1 無線網(wǎng)絡(luò)的頻點(diǎn)覆蓋設(shè)計(jì).30 4.3.2 天線的選擇.33 4.3.3 無線網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)設(shè)計(jì).37 第第 5 5 章章 網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)計(jì).40 5.1 網(wǎng)絡(luò)安全部署思路.40 5.1.1 網(wǎng)絡(luò)安全整體架構(gòu).40 5.1.2 網(wǎng)絡(luò)平臺(tái)建設(shè)所必須考慮的安全問題.42 5.2 網(wǎng)絡(luò)設(shè)備級(jí)安全.42 5.2.1 防蠕蟲病毒的等 Dos 攻擊.42 5.2.2 防 VLAN 的脆弱性配置.43 . . 5.2.3 防止 DHCP 相關(guān)攻擊.44 5.3 網(wǎng)絡(luò)級(jí)安全.45 5.3.1 安全域的劃分.45 5.3.2 防火墻部署設(shè)計(jì).46 5.3.3 防火墻策略設(shè)計(jì).47 5.3.4 防火墻性能和擴(kuò)展性設(shè)計(jì).48 5.4 網(wǎng)絡(luò)的智能主動(dòng)防御.50 5.4.1 網(wǎng)絡(luò)準(zhǔn)入控制.50 5.4.2 桌面安全管理.51 5.4.3 智能的監(jiān)控、分析和威脅響應(yīng)系統(tǒng).53 第第 6 6 章章 服務(wù)質(zhì)量保證設(shè)計(jì)服務(wù)質(zhì)量保證設(shè)計(jì).57 6.1 服務(wù)質(zhì)量保證設(shè)計(jì)分類.57 6.2 數(shù)據(jù)中心服務(wù)質(zhì)量設(shè)計(jì).57 6.2.1 帶寬及設(shè)備吞吐量設(shè)計(jì).57 6.2.2 低延遲設(shè)計(jì).59 6.2.3 無丟棄設(shè)計(jì).60 6.3 非數(shù)據(jù)中心網(wǎng)絡(luò)的服務(wù)質(zhì)量設(shè)計(jì).61 6.3.1 QoS 實(shí)施方案.62 6.3.2 分析業(yè)務(wù)需求.63 6.3.3 QoS 策略的制定和部署.65 6.3.4 評(píng)測(cè)和調(diào)整.70 6.4 QOS 策略管理.71 6.4.1 QoS 自動(dòng)配置.71 6.4.2 QoS 策略管理器解決方案.71 第第 7 7 章章 佳眾聯(lián)科技介紹佳眾聯(lián)科技介紹.74 7.1 技術(shù)支持服務(wù)原則.74 7.1.1 技術(shù)支持服務(wù)特色.74 7.2 技術(shù)支持服務(wù)目標(biāo).75 7.3 技術(shù)支持維護(hù)服務(wù).75 7.3.1 技術(shù)服務(wù)工作流程.75 7.3.2 技術(shù)服務(wù)進(jìn)度管理.76 7.3.3 技術(shù)服務(wù)文檔提交.77 7.4 設(shè)備保修維護(hù)服務(wù).77 7.4.1 設(shè)備保修工作流程.77 7.4.2 設(shè)備保修進(jìn)度管理.78 7.4.3 設(shè)備保修文檔提交.78 7.5 定期網(wǎng)絡(luò)巡檢服務(wù).78 7.5.1 定期巡檢工作流程.78 7.5.2 定期巡檢進(jìn)度管理.79 7.5.3 定期巡檢文檔提交.80 7.6 現(xiàn)場(chǎng)支持維護(hù)服務(wù).80 7.6.1 現(xiàn)場(chǎng)服務(wù)工作流程.80 7.6.2 現(xiàn)場(chǎng)服務(wù)進(jìn)度管理.81 . . 7.6.3 現(xiàn)場(chǎng)服務(wù)文檔提交.81 7.7 軟件升級(jí)維護(hù)服務(wù).82 7.7.1 軟件升級(jí)工作流程.82 7.7.2 軟件升級(jí)進(jìn)度管理.82 7.7.3 軟件升級(jí)文檔提交.83 7.8 售前技術(shù)支持服務(wù).83 7.8.1 售前服務(wù)工作流程.83 7.8.2 售前服務(wù)進(jìn)度管理.83 7.8.3 售前服務(wù)文檔提交.84 7.9 專業(yè)技術(shù)培訓(xùn)服務(wù).84 7.9.1 培訓(xùn)服務(wù)工作流程.84 7.9.2 培訓(xùn)服務(wù)進(jìn)度管理.85 . . 第第 1 1 章章 總述總述 1.11.1 比亞迪公司數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)需求比亞迪公司數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)需求 1.1.11.1.1 傳統(tǒng)架構(gòu)存在的問題傳統(tǒng)架構(gòu)存在的問題 比亞迪公司現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)采用傳統(tǒng)以太網(wǎng)技術(shù)構(gòu)建，隨著各類業(yè)務(wù)應(yīng)用對(duì) IT 需求的深入 發(fā)展，業(yè)務(wù)部門對(duì)資源的需求正以幾何級(jí)數(shù)增長，傳統(tǒng)的 IT 基礎(chǔ)架構(gòu)方式給管理員和未來業(yè)務(wù)的 擴(kuò)展帶來巨大挑戰(zhàn)。具體而言存在如下問題： 維護(hù)管理難：維護(hù)管理難：在傳統(tǒng)構(gòu)架的網(wǎng)絡(luò)中進(jìn)行業(yè)務(wù)擴(kuò)容、遷移或增加新的服務(wù)功能越來越困難， 每一次變更都將牽涉相互關(guān)聯(lián)的、不同時(shí)期按不同初衷建設(shè)的多種物理設(shè)施，涉及多個(gè) 不同領(lǐng)域、不同服務(wù)方向，工作繁瑣、維護(hù)困難，而且容易出現(xiàn)漏洞和差錯(cuò)。比如數(shù)據(jù) 中心新增加一個(gè)業(yè)務(wù)類型，需要調(diào)整新的應(yīng)用訪問控制需求，此時(shí)管理員不僅要了解新 業(yè)務(wù)的邏輯訪問策略，還要精通物理的防火墻實(shí)體的部署、連接、安裝，要考慮是增加 新的防火墻端口、還是需要添置新的防火墻設(shè)備，要考慮如何以及何處接入，有沒有相 應(yīng)的接口，如何跳線，以及隨之而來的 VLAN、路由等等，如果網(wǎng)絡(luò)中還有諸如地址轉(zhuǎn)換、 7 層交換等等服務(wù)與之相關(guān)聯(lián)，那將是非常繁雜的任務(wù)。當(dāng)這樣的 IT 資源需求在短期內(nèi) 累積，將極易在使得系統(tǒng)維護(hù)的質(zhì)量和穩(wěn)定性下降，同時(shí)反過來減慢新業(yè)務(wù)的部署，進(jìn) 而阻礙公司業(yè)務(wù)的推進(jìn)和發(fā)展。 資源利用率低：資源利用率低：傳統(tǒng)架構(gòu)方式對(duì)底層資源的投入與在上層業(yè)務(wù)所收到的效果很難得到同 比發(fā)展，最普遍的現(xiàn)象就是忙的設(shè)備不堪重負(fù)，閑的設(shè)備資源儲(chǔ)備過多，二者相互之間 又無法借用和共用。這是由于對(duì)底層網(wǎng)絡(luò)建設(shè)是以功能單元為中心進(jìn)行建設(shè)的，并不考 慮上層業(yè)務(wù)對(duì)底層資源調(diào)用的優(yōu)化，這使得對(duì)網(wǎng)絡(luò)的投入往往無法取得同樣的業(yè)務(wù)應(yīng)用 效果的改善，反而浪費(fèi)了較多的資源和維護(hù)成本。 服務(wù)策略不一致：服務(wù)策略不一致： 傳統(tǒng)架構(gòu)最嚴(yán)重的問題是這種以孤立的設(shè)備功能為中心的設(shè)計(jì)思路無 法真正從整個(gè)系統(tǒng)角度制訂統(tǒng)一的服務(wù)策略，比如安全策略、高可用性策略、業(yè)務(wù)優(yōu)化 策略等等，造成跨平臺(tái)策略的不一致性，從而難以將所投入的產(chǎn)品能力形成合力為上層 業(yè)務(wù)提供強(qiáng)大的服務(wù)支撐。 因此，按傳統(tǒng)底層基礎(chǔ)設(shè)施所提供的服務(wù)能力已無法適應(yīng)當(dāng)前業(yè)務(wù)急劇擴(kuò)展所需的資源要求， 本次數(shù)據(jù)中心建設(shè)必須從根本上改變傳統(tǒng)思路，遵照一種嶄新的體系結(jié)構(gòu)思路來構(gòu)造新的數(shù)據(jù)中 心 IT 基礎(chǔ)架構(gòu)。 . . 1.1.21.1.2 數(shù)據(jù)中心目標(biāo)架構(gòu)設(shè)計(jì)數(shù)據(jù)中心目標(biāo)架構(gòu)設(shè)計(jì) 面向服務(wù)的設(shè)計(jì)思想已經(jīng)成為 Web2.0 下解決來自業(yè)務(wù)變更、業(yè)務(wù)急劇發(fā)展所帶來的資源和成 本壓力的最佳途徑。從業(yè)務(wù)層面上主流的 IT 廠商如 IBM、BEA 等就提出了摒棄傳統(tǒng)的“面向組件 （Component）”的開發(fā)方式，而轉(zhuǎn)向“面向服務(wù)”的開發(fā)方式，即應(yīng)用軟件應(yīng)當(dāng)看起來是由相互 獨(dú)立、松耦合的服務(wù)構(gòu)成，而不是對(duì)接口要求嚴(yán)格、變更復(fù)雜、復(fù)用性差的緊耦合組件構(gòu)成，這 樣可以以最小的變動(dòng)、最佳的需求溝通方式來適應(yīng)不斷變化的業(yè)務(wù)需求增長。鑒于此，比亞迪公 司數(shù)據(jù)中心業(yè)務(wù)應(yīng)用正在朝“面向服務(wù)的架構(gòu) Service Oriented Architecture（SOA）”轉(zhuǎn)型。 與業(yè)務(wù)的 SOA 相適應(yīng)，比亞迪公司提出支撐業(yè)務(wù)運(yùn)行的底層基礎(chǔ)設(shè)施也應(yīng)當(dāng)向“面向服務(wù)”的設(shè) 計(jì)思想轉(zhuǎn)變，構(gòu)造“面向服務(wù)的數(shù)據(jù)中心”（Service Oriented Data Center，SODC）。 傳統(tǒng)組網(wǎng)觀念是根據(jù)功能需求的變化實(shí)現(xiàn)對(duì)應(yīng)的硬件功能盒子堆砌而構(gòu)建企業(yè)網(wǎng)絡(luò)的，這非 常類似于傳統(tǒng)軟件開發(fā)的組件堆砌，被已經(jīng)證明為是一種較低效率的資源調(diào)用方式，而如果能夠 將整個(gè)網(wǎng)絡(luò)的構(gòu)建看成是由封裝完好、相互耦合松散、但能夠被標(biāo)準(zhǔn)化和統(tǒng)一調(diào)度的“服務(wù)”組 成，那么業(yè)務(wù)層面的變更、物理資源的復(fù)用都將是輕而易舉的事情。SODC 就是要求當(dāng) SOA 架構(gòu)下 業(yè)務(wù)的變更，導(dǎo)致軟件部分的服務(wù)模塊的組合變化時(shí)，松耦合的網(wǎng)絡(luò)服務(wù)也能根據(jù)應(yīng)用的變化自 動(dòng)實(shí)現(xiàn)重組以適配業(yè)務(wù)變更所帶來的資源要求的變化，而盡可能少的減少復(fù)雜硬件的相關(guān)性，從 運(yùn)行維護(hù)、資源復(fù)用效率和策略一致性上徹底解決傳統(tǒng)設(shè)計(jì)帶來的頑疾。 具體而言 SODC 應(yīng)形成這樣的資源調(diào)用方式：底層資源對(duì)于上層應(yīng)用就象由服務(wù)構(gòu)成的“資源 池”，需要什么服務(wù)就自動(dòng)的會(huì)由網(wǎng)絡(luò)調(diào)用相關(guān)物理資源來實(shí)現(xiàn)，管理員和業(yè)務(wù)用戶不需要或幾 乎可以看不見物理設(shè)備的相互架構(gòu)關(guān)系以及具體存在方式。SODC 的框架原型應(yīng)如下所示： . . 在圖中，隔在物理架構(gòu)和用戶之間的“交互服務(wù)層”實(shí)現(xiàn)了向上提供服務(wù)、向下屏蔽復(fù)雜的 物理結(jié)構(gòu)的作用，使得網(wǎng)絡(luò)使用者看到的網(wǎng)絡(luò)不是由復(fù)雜的基礎(chǔ)物理功能實(shí)體構(gòu)成的，而是一個(gè) 個(gè)智能服務(wù)安全服務(wù)、移動(dòng)服務(wù)、計(jì)算服務(wù)、存儲(chǔ)服務(wù)等等，至于這些服務(wù)是由哪些實(shí) 際存在的物理資源所提供，管理員和上層業(yè)務(wù)都無需關(guān)心，交互服務(wù)層解決了一切資源的調(diào)度和 高效復(fù)用問題。 SODC 和 SOA 構(gòu)成的數(shù)據(jù)中心 IT 架構(gòu)必將是整個(gè)數(shù)據(jù)中心未來發(fā)展的趨勢(shì)，雖然實(shí)現(xiàn)真正理想 的 SODC 和 SOA 融合的架構(gòu)將是一個(gè)長期的歷程，但在向該融合框架邁進(jìn)的每一步實(shí)際上都將會(huì)形 成對(duì)網(wǎng)絡(luò)靈活性、網(wǎng)絡(luò)維護(hù)、資源利用效率、投資效益等等方面的巨大改善。因此比亞迪公司本 次數(shù)據(jù)中心的網(wǎng)絡(luò)建設(shè)，要求盡可能的遵循如上所述的新一代面向服務(wù)的數(shù)據(jù)中心設(shè)計(jì)框架。 1.21.2 數(shù)據(jù)中心設(shè)計(jì)目標(biāo)數(shù)據(jù)中心設(shè)計(jì)目標(biāo) 在基于 SODC 的設(shè)計(jì)框架下，比亞迪公司新一代數(shù)據(jù)中心應(yīng)實(shí)現(xiàn)如下設(shè)計(jì)目標(biāo)： 簡化管理：簡化管理：使上層業(yè)務(wù)的變更作用于物理設(shè)施的復(fù)雜度降低，能夠最低限度的減少了物 理資源的直接調(diào)度，使維護(hù)管理的難度和成本大大降低。 高效復(fù)用：高效復(fù)用：使得物理資源可以按需調(diào)度，物理資源得以最大限度的重用，減少建設(shè)成本， 提高使用效率。即能夠?qū)崿F(xiàn)總硬件資源占用量降低了，而每個(gè)業(yè)務(wù)得到的服務(wù)反而更有 充分的資源保證了。 . . 策略一致：策略一致：降低具體設(shè)備個(gè)體的策略復(fù)雜性，最大程度的在設(shè)備層面以上建立統(tǒng)一、抽 象的服務(wù)，每一個(gè)被充分抽象的服務(wù)都按找上層調(diào)用的目標(biāo)進(jìn)行統(tǒng)一的規(guī)范和策略化， 這樣整個(gè) IT 將可以達(dá)到理想的服務(wù)規(guī)則和策略的一致性。 1.31.3 數(shù)據(jù)中心技術(shù)需求數(shù)據(jù)中心技術(shù)需求 SODC 架構(gòu)是一種資源調(diào)度的全新方式，資源被調(diào)用方式是面向服務(wù)而非象以前一樣面向復(fù)雜 的物理底層設(shè)施進(jìn)行設(shè)計(jì)的，而其中交互服務(wù)層是基于服務(wù)調(diào)用的關(guān)鍵環(huán)節(jié)。交互服務(wù)層的形成 是由網(wǎng)絡(luò)智能化進(jìn)一步發(fā)展而實(shí)現(xiàn)的，它是底層的物理網(wǎng)絡(luò)通過其內(nèi)在的智能服務(wù)功能，使得其 上的業(yè)務(wù)層面看不到底層復(fù)雜的結(jié)構(gòu)，不用關(guān)心資源的物理調(diào)度，從而最大化的實(shí)現(xiàn)資源的共享 和復(fù)用。要形成 SODC 要求的交互服務(wù)層，必須對(duì)網(wǎng)絡(luò)提出以下要求： 1.3.11.3.1 整合能力整合能力 SODC 要求將數(shù)據(jù)中心所需的各種資源實(shí)現(xiàn)基于網(wǎng)絡(luò)的整合，這是后續(xù)上層業(yè)務(wù)能看到底層網(wǎng) 絡(luò)提供各類 SODC 服務(wù)的基礎(chǔ)。整合的概念不是簡單的功能增多，雖然整合化的一個(gè)體現(xiàn)是很多獨(dú) 立設(shè)備的功能被以特殊硬件的方式整合到網(wǎng)絡(luò)設(shè)備中，但其真正的核心思想是將資源盡可能集中 化以便于跨平臺(tái)的調(diào)用，而物理存在方式則可自由的根據(jù)需要而定。 數(shù)據(jù)中心網(wǎng)絡(luò)所必須提供的資源包括： 智能業(yè)務(wù)網(wǎng)絡(luò)所必須的智能功能，比如服務(wù)質(zhì)量保證、安全訪問控制、設(shè)備智能管理等 等； 數(shù)據(jù)中心的三大資源網(wǎng)絡(luò)：高性能計(jì)算網(wǎng)絡(luò)；存儲(chǔ)交換網(wǎng)絡(luò)；數(shù)據(jù)應(yīng)用網(wǎng)絡(luò)。 這兩類資源的整合將是檢驗(yàn)新一代數(shù)據(jù)中心網(wǎng)絡(luò) SODC 能力的重要標(biāo)準(zhǔn)。 1.3.21.3.2 虛擬化能力虛擬化能力 虛擬化其實(shí)就是把已整合的資源以一種與物理位置、物理存在、物理狀態(tài)等無關(guān)的方式進(jìn)行 調(diào)用，是從物理資源到服務(wù)形態(tài)的質(zhì)變過程。虛擬化是實(shí)現(xiàn)物理資源復(fù)用、降低管理維護(hù)復(fù)雜度、 提高設(shè)備利用率的關(guān)鍵，同時(shí)也是為未來自動(dòng)實(shí)現(xiàn)資源協(xié)調(diào)和配置打下基礎(chǔ)。 . . 新一代數(shù)據(jù)中心網(wǎng)絡(luò)要求能夠提供多種方式的虛擬化能力，不僅僅是傳統(tǒng)的網(wǎng)絡(luò)虛擬化（比 如 VLAN、VPN 等），還必須做到： 交換虛擬化 智能服務(wù)虛擬化 服務(wù)器虛擬化 1.3.31.3.3 自動(dòng)化能力自動(dòng)化能力 自動(dòng)化是 SODC 架構(gòu)中上層自動(dòng)優(yōu)化的實(shí)現(xiàn)服務(wù)調(diào)用必須條件。在高度整合化和虛擬化的基礎(chǔ) 上，服務(wù)的部署完全不需要物理上的動(dòng)作，資源在虛擬化平臺(tái)上可以與物理設(shè)施無關(guān)的進(jìn)行分配 和整合，這樣我們只需要將一定的業(yè)務(wù)策略輸入給智能網(wǎng)絡(luò)的策略服務(wù)器，一切的工作都可以按 系統(tǒng)自身最優(yōu)化的方式進(jìn)行計(jì)算、評(píng)估、決策和調(diào)配實(shí)現(xiàn)。 這部分需要做到兩方面的自動(dòng)化： 網(wǎng)絡(luò)管理的自動(dòng)化 業(yè)務(wù)部署的自動(dòng)化 1.3.41.3.4 綠色數(shù)據(jù)中心要求綠色數(shù)據(jù)中心要求 當(dāng)前的能源日趨緊張，能源的價(jià)格也飛揚(yáng)直上；綠地（綠地（GreenGreen FieldField）是我們每個(gè)人都關(guān)心的 議題。如何最大限度的利用能源、降低功耗，以最有效率方式實(shí)現(xiàn)高性能、高穩(wěn)定性的服務(wù)是新 一代的數(shù)據(jù)中心必須考慮的問題。 . . 第第 2 2 章章比亞迪網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)比亞迪網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 2.12.1 比亞迪網(wǎng)絡(luò)系統(tǒng)概述現(xiàn)狀比亞迪網(wǎng)絡(luò)系統(tǒng)概述現(xiàn)狀 如下圖所示，分析過后不難發(fā)現(xiàn)，網(wǎng)絡(luò)系統(tǒng)分散的比較開，每個(gè)業(yè)務(wù)系統(tǒng)都有自己獨(dú)立 的區(qū)域，幾乎可以成為每個(gè)業(yè)務(wù)系統(tǒng)都有自己獨(dú)立的環(huán)境，這種方式在系統(tǒng)維護(hù)上造成了很大的 成本浪費(fèi)和人工浪費(fèi)。 按照第二章程描述的一些網(wǎng)絡(luò)系統(tǒng)架構(gòu)設(shè)計(jì)的理念來看，可以先將業(yè)務(wù)系統(tǒng)做一次大整合， 將所有系統(tǒng)都部署在同一個(gè)區(qū)域內(nèi)，此區(qū)域獨(dú)立出來專門提供業(yè)務(wù)服務(wù)的接入，再以后的業(yè)務(wù)發(fā) 展規(guī)劃上考慮，以后新業(yè)務(wù)也可以部署在本區(qū)域內(nèi)。 網(wǎng)絡(luò)的外聯(lián)也是比較多的，和服務(wù)器一樣的情況是分散的比較開，也可以考慮將需要外聯(lián)的 業(yè)務(wù)及鏈路整合到一起，獨(dú)立出來一個(gè)區(qū)域，將其專門的接入外聯(lián)鏈路業(yè)務(wù)，在接入外聯(lián)業(yè)務(wù)后 經(jīng)過一道或多道防火墻后才能進(jìn)去其他區(qū)域訪問服務(wù)器或終端。 經(jīng)過對(duì)網(wǎng)絡(luò)系統(tǒng)拓?fù)浞治?，首先推薦的網(wǎng)絡(luò)優(yōu)化方案是將現(xiàn)有網(wǎng)絡(luò)系統(tǒng)上的業(yè)務(wù)整合，然 后分區(qū)，每個(gè)區(qū)域都有自己不同的功能，每個(gè)區(qū)域負(fù)責(zé)自己的功能，在管理及維護(hù)系統(tǒng)時(shí)，判斷 問題故障有一個(gè)直觀的判斷及故障目標(biāo)鎖定的好處。 數(shù)據(jù)集中的需求 滿足全行數(shù)據(jù)集中的需要，網(wǎng)絡(luò)骨干需要具有高速交換效率、高穩(wěn)定性、高可靠性和可伸縮 . . 性，適應(yīng)拓?fù)浣Y(jié)構(gòu)的變化。 業(yè)務(wù)隔離的需求 根據(jù)業(yè)務(wù)特點(diǎn)和重要級(jí)別，不同業(yè)務(wù)之間要求相互安全隔離，可以為不同的業(yè)務(wù)或應(yīng)用系統(tǒng) 分配不同的 IP 網(wǎng)段，并在各網(wǎng)段之間實(shí)現(xiàn)業(yè)務(wù)的隔離。如業(yè)務(wù)系統(tǒng)可劃分業(yè)務(wù)網(wǎng)段、辦公自動(dòng) 化網(wǎng)段、外接業(yè)務(wù)網(wǎng)段、語音網(wǎng)段、視頻網(wǎng)段等，明確各類業(yè)務(wù)的優(yōu)先級(jí)，從而在邏輯上將各類 業(yè)務(wù)分開，并保證其可靠傳輸。 網(wǎng)絡(luò)分區(qū)的需求 為簡化網(wǎng)絡(luò)中各部分的相關(guān)性，便于網(wǎng)絡(luò)的實(shí)施及運(yùn)維管理，在網(wǎng)絡(luò)的構(gòu)建中，通過定義不 同的功能模塊，將整體網(wǎng)絡(luò)分為多個(gè)不同的功能區(qū)域，通過清晰定義不同功能區(qū)域的應(yīng)用，來實(shí) 現(xiàn)整體網(wǎng)絡(luò)結(jié)構(gòu)的可靠性、可擴(kuò)展性、高可用性等。 可管理性的需求 網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行離不開有效的管理，在設(shè)計(jì)時(shí)要求充分考慮網(wǎng)絡(luò)的可管理性，要求能實(shí) 現(xiàn)對(duì)包含網(wǎng)絡(luò)設(shè)備、應(yīng)用程序、服務(wù)器、數(shù)據(jù)庫、存儲(chǔ)、SAN 交換機(jī)等所有設(shè)備的管理,。采用兩 級(jí)網(wǎng)管模式：集中監(jiān)控、分權(quán)管理。即在數(shù)據(jù)中心建立網(wǎng)管中心，統(tǒng)一調(diào)度網(wǎng)絡(luò)資源，各責(zé)任人 管理所屬機(jī)構(gòu)網(wǎng)絡(luò)，形成覆蓋全行的分布式網(wǎng)絡(luò)管理系統(tǒng)。 2.22.2 改造后設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)概述改造后設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)概述 根據(jù)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)現(xiàn)有業(yè)務(wù)，可以將網(wǎng)絡(luò)系統(tǒng)分布成為一下幾個(gè)區(qū)域： 互聯(lián)網(wǎng)互聯(lián)網(wǎng)/VPN/VPN 接入?yún)^(qū)接入?yún)^(qū) 負(fù)責(zé)外聯(lián)分支結(jié)構(gòu)接入、vpn 撥入、互聯(lián)網(wǎng)訪問，以現(xiàn)有網(wǎng)絡(luò)系統(tǒng) 中心業(yè)務(wù)服務(wù)器區(qū)中心業(yè)務(wù)服務(wù)器區(qū) 一線生產(chǎn)業(yè)務(wù)服務(wù)器合并到一個(gè)區(qū)域接入、VMs 和小機(jī)接入工作，如果業(yè)務(wù)不同分工的訪 問需求可以使用 vlan 技術(shù)將部分不同訪問級(jí)別的業(yè)務(wù)隔離，配合 acl 的控制來進(jìn)行業(yè)務(wù) 級(jí)別隔離。 存儲(chǔ)區(qū)存儲(chǔ)區(qū) 提供系統(tǒng)服務(wù)器的存儲(chǔ)工作，負(fù)責(zé)數(shù)據(jù)災(zāi)備工作。如果部署服務(wù)器虛擬化或桌面虛擬化 本區(qū)域是必不可少的一個(gè)區(qū)域。 . . 無線控制區(qū)（推薦）無線控制區(qū)（推薦） 負(fù)責(zé)廠區(qū)、辦公樓，等等地區(qū)的 AP 接入控制工作，統(tǒng)一的管理 AP 工作 網(wǎng)絡(luò)管理區(qū)（推薦）網(wǎng)絡(luò)管理區(qū)（推薦） 負(fù)責(zé)數(shù)據(jù)中心網(wǎng)絡(luò)管理工作 廠區(qū)接入?yún)^(qū)廠區(qū)接入?yún)^(qū) 廠區(qū)和辦公樓的終端、手持掃描器、手機(jī)等等終端的接入工作 不同的區(qū)域根據(jù)業(yè)務(wù)的不同都有不同的訪問需求，將各個(gè)區(qū)域互聯(lián)起來，最方便管理及高 可靠性考慮，使用防火墻是最為妥當(dāng)?shù)脑O(shè)備。如今業(yè)界稱之為 下一代防火墻的性能及處理能力以 及是上一代防火墻的好幾十倍，在網(wǎng)絡(luò)轉(zhuǎn)發(fā)，會(huì)話聯(lián)立，會(huì)話半開，會(huì)話全開等等性能上也提升 了好多。所以核心位置部署兩臺(tái)核心防火墻。 在現(xiàn)有網(wǎng)絡(luò)系統(tǒng)中是有很多防火墻接入到了 25M 的電信互聯(lián)網(wǎng)線路上，當(dāng)經(jīng)過分析發(fā)現(xiàn)其 實(shí)都是有同一根電信的鏈路分支出來來的不同 IP 地址來提供服務(wù)，其實(shí)是可以將此部分整合成為 2 個(gè)防火墻 A/S 結(jié)構(gòu)，來提供互聯(lián)網(wǎng)訪問/發(fā)布服務(wù)。整合后通過技術(shù)策略保持原有的安全服務(wù)可 以保持原樣不變。 整合所有部署的服務(wù)器都?xì)w納為服務(wù)區(qū)去，或許此部分是工作量最大的一個(gè)動(dòng)作，但是規(guī)劃 . . 的執(zhí)行起來也沒有那么復(fù)雜，通過 vlan 及 ACL、route-map 等策略可以保證到原有服務(wù)器享有的 安全及被訪問策略。在服務(wù)區(qū)如果考慮高可靠性的時(shí)候，建議采購新服務(wù)器核心交換機(jī)，對(duì)于服 務(wù)器現(xiàn)對(duì)出一種 DCE（無丟包）交換機(jī)，可以對(duì)服務(wù)器連接交換機(jī)可靠性。 根據(jù)以上新一代數(shù)據(jù)中心網(wǎng)絡(luò)的技術(shù)要求，必須對(duì)傳統(tǒng)數(shù)據(jù)中心所使用的常規(guī)以太網(wǎng)技術(shù)進(jìn) 行革新，數(shù)據(jù)中心級(jí)以太網(wǎng)（Data Center Ethernet，簡稱 DCE）技術(shù)由此誕生。 DCE 之前也被一些廠商稱為匯聚型增強(qiáng)以太網(wǎng)技術(shù)（Converged Enhanced Ethernet，簡稱 CEE），是兼容傳統(tǒng)以太網(wǎng)協(xié)議并按新一代數(shù)據(jù)中心的傳輸要求，對(duì)其進(jìn)行全面革新的一系列標(biāo)準(zhǔn) 和技術(shù)的總稱。因此，為達(dá)到比亞迪公司的新一代數(shù)據(jù)中心的建設(shè)目標(biāo)，必須摒棄傳統(tǒng)以太網(wǎng)技 術(shù)，而采用新一代的 DCE（CEE）技術(shù)進(jìn)行組網(wǎng)。 . . 第第 3 3 章章比亞迪網(wǎng)絡(luò)系統(tǒng)技術(shù)實(shí)現(xiàn)方式比亞迪網(wǎng)絡(luò)系統(tǒng)技術(shù)實(shí)現(xiàn)方式 分布匯聚層和接入層之間使用交換端口，實(shí)現(xiàn)二層交換。如前所述，當(dāng)前的主流虛擬機(jī)軟件， 如 VMware、Virtual Server 等都需要在二層交換下實(shí)現(xiàn)虛擬機(jī)遷移，因此在數(shù)據(jù)中心接入層使用 二層交換將方便虛擬機(jī)的遷移和調(diào)度。當(dāng)前由于 Cisco 獨(dú)特的 VSS 虛擬交換機(jī)技術(shù)和 vPC 跨設(shè)備 端口捆綁技術(shù)的使用，可以實(shí)現(xiàn)在二層結(jié)構(gòu)下完全沒有環(huán)路，從根本上解決了生成樹算法收斂慢、 不穩(wěn)定、故障多的問題，也使得在一個(gè)數(shù)據(jù)中心內(nèi)二層結(jié)構(gòu)下的可擴(kuò)展性與三層結(jié)構(gòu)沒有根本的 區(qū)別。如下圖所示，只要經(jīng)過適當(dāng)設(shè)計(jì)，本項(xiàng)目接入層的二層部分將沒有環(huán)路，快速生成樹算法 將只用于在誤操作等極端情況下的防范手段。 當(dāng) IEEE 的