XX銀行數(shù)據(jù)中心網(wǎng)路規(guī)劃方案

1、數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計2015年12月目 錄1建設(shè)背景42項目目標(biāo)43需求分析43.1業(yè)務(wù)需求分析43.2其他需求53.3網(wǎng)絡(luò)架構(gòu)支持新技術(shù)發(fā)展趨勢的考慮64網(wǎng)絡(luò)詳細(xì)設(shè)計目標(biāo)和需求描述64.1網(wǎng)絡(luò)整體架構(gòu)設(shè)計64.2網(wǎng)絡(luò)架構(gòu)設(shè)計需求75網(wǎng)絡(luò)架構(gòu)詳細(xì)設(shè)計85.1總體網(wǎng)絡(luò)架構(gòu)設(shè)計85.2數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計95.3廣域網(wǎng)架構(gòu)設(shè)計115.3.1數(shù)據(jù)中心互連核心骨干網(wǎng)架構(gòu)115.3.2數(shù)據(jù)中心和同城災(zāi)備中心互連115.3.3數(shù)據(jù)中心和異地災(zāi)備中心互連125.3.4廣域網(wǎng)鏈路容災(zāi)設(shè)計135.3.5分支機構(gòu)廣域網(wǎng)架構(gòu)155.3.6數(shù)據(jù)分流策略165.4數(shù)據(jù)中心網(wǎng)絡(luò)核心架構(gòu)設(shè)計165.4.1數(shù)據(jù)中心業(yè)務(wù)區(qū)架構(gòu)

2、設(shè)計175.4.2網(wǎng)銀區(qū)架構(gòu)設(shè)計185.4.3外聯(lián)區(qū)架構(gòu)設(shè)計205.4.4辦公互聯(lián)網(wǎng)區(qū)架構(gòu)設(shè)計225.4.5運維管理區(qū)架構(gòu)設(shè)計245.4.6托管區(qū)架構(gòu)設(shè)計271 建設(shè)背景為了更好地為業(yè)務(wù)發(fā)展服務(wù)，提供高效、安全和穩(wěn)定的生產(chǎn)環(huán)境，并能夠快速、靈活地響應(yīng)新環(huán)境下的金融業(yè)務(wù)的開展，需要對數(shù)據(jù)中心進行重新規(guī)劃和建設(shè)。2 項目目標(biāo)本次網(wǎng)絡(luò)規(guī)劃主要在考慮XX銀行三到五年內(nèi)的業(yè)務(wù)發(fā)展需求，總體目標(biāo)是按照“兩地三中心”的業(yè)務(wù)發(fā)展指導(dǎo)建設(shè)一個能適應(yīng)未來業(yè)務(wù)發(fā)展的高性能、高擴展性及智能化的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，以支持業(yè)務(wù)長期、安全、穩(wěn)定、快速發(fā)展。3 需求分析3.1 業(yè)務(wù)需求分析目前主要業(yè)務(wù)分為生產(chǎn)和OA兩大類；生產(chǎn)業(yè)務(wù)

3、包括核心及相關(guān)外圍業(yè)務(wù)，OA是核心業(yè)務(wù)之外的業(yè)務(wù)，主要是辦公網(wǎng)業(yè)務(wù)、業(yè)務(wù)管控系統(tǒng)、視頻監(jiān)控系統(tǒng)等非核心業(yè)務(wù)。生產(chǎn)業(yè)務(wù)和OA業(yè)務(wù)部署在數(shù)據(jù)中心局域網(wǎng)不同的功能區(qū)域，物理隔離。由于未來業(yè)務(wù)環(huán)境的變化，主要的業(yè)務(wù)需求包括：業(yè)務(wù)變化的需求 新產(chǎn)品和服務(wù)的快速投產(chǎn)對網(wǎng)絡(luò)的靈活響應(yīng)、快速的部署響應(yīng)及支持能力都有新的和更高的要求，并需要降低對現(xiàn)有應(yīng)用帶來沖擊。業(yè)務(wù)快速發(fā)展帶來的大量數(shù)據(jù)和用戶 要求具有高擴展性網(wǎng)絡(luò)架構(gòu)，靈活支持不同類型的數(shù)據(jù)，同時需要平衡功能和成本，以求能夠在成本有效的前提下，滿足突發(fā)業(yè)務(wù)的傳輸與用戶訪問的需求特殊應(yīng)用對網(wǎng)絡(luò)的要求 特殊應(yīng)用如多媒體應(yīng)用、集中提回、證券基金、Call Cent

4、er等，或?qū)W(wǎng)絡(luò)延遲、傳輸能力等有要求，必須予以考慮，以保證網(wǎng)絡(luò)服務(wù)質(zhì)量。網(wǎng)絡(luò)安全機制 需要進行網(wǎng)絡(luò)安全的風(fēng)險分析，網(wǎng)絡(luò)安全需要同時考慮網(wǎng)絡(luò)能夠靈活和動態(tài)的支持業(yè)務(wù)的開展，平衡網(wǎng)絡(luò)安全和業(yè)務(wù)需要的功能網(wǎng)絡(luò)管理體系 整體網(wǎng)絡(luò)管理體系必須要能夠基于業(yè)務(wù)的要求，有效地加強網(wǎng)絡(luò)管控、管理和審計能力，提升保證網(wǎng)絡(luò)服務(wù)指標(biāo)和總體運行效率，達到可視、可管和可控3.2 其他需求對金融行業(yè)來說，客戶是生存的基礎(chǔ)，隨著國際及國內(nèi)金融行業(yè)競爭的加劇，目前國際金融行業(yè)已經(jīng)形成了以“客戶”為中心、以“服務(wù)”為導(dǎo)向的發(fā)展模式，在這一模式下，金融行業(yè)通過對內(nèi)部資源進行更加全面的整合，為客戶提供更為精細(xì)的服務(wù)，從而為客戶帶來

5、更佳的業(yè)務(wù)體驗。因此如何整合內(nèi)部資源，特別是如何利用信息科技的手段使XX銀行已經(jīng)到來的激烈競爭中立于不敗，已經(jīng)是一個迫在眉睫的任務(wù)。按照“服務(wù)中心”的理念對XX銀行整體IT基礎(chǔ)架構(gòu)進行重新規(guī)劃布局實際上是從整個發(fā)展理念上對IT基礎(chǔ)架構(gòu)未來的建設(shè)規(guī)劃指明方向，并根據(jù)不同的功能需求以提供“服務(wù)”的視角來整合內(nèi)部IT資源，從而為未來“綜合化”的業(yè)務(wù)發(fā)展、“專業(yè)化”的服務(wù)能力打下堅實的基礎(chǔ)。根據(jù)“服務(wù)中心”的理念，XX銀行未來整體IT基礎(chǔ)架構(gòu)將由多個服務(wù)中心以及為這些服務(wù)中心提供傳輸和接入服務(wù)的核心網(wǎng)絡(luò)構(gòu)成，這些服務(wù)中心包括數(shù)據(jù)中心、災(zāi)備中心、開發(fā)中心、呼叫中心等等，根據(jù)其業(yè)務(wù)功能和服務(wù)領(lǐng)域的不同為X

6、X銀行的所有業(yè)務(wù)部門提供其所需的業(yè)務(wù)和IT服務(wù)。這種多服務(wù)中心的架構(gòu)能夠靈活地為不同需求單位提供所需的業(yè)務(wù)和IT服務(wù)，包括后臺業(yè)務(wù)處理、網(wǎng)絡(luò)接入、數(shù)據(jù)處理及交換等，并且能夠根據(jù)未來XX銀行業(yè)務(wù)的發(fā)展而進行動態(tài)的調(diào)整。這種多服務(wù)中心的架構(gòu)需要XX銀行未來新一代網(wǎng)絡(luò)架構(gòu)具備以下能力提供支持： 靈活的接入要求 未來服務(wù)中心作為XX銀行所有業(yè)務(wù)部門的共享資源，能夠提供靈活的接入方式，為所需要的成員單位提供可靠的、靈活調(diào)整性強的接入要求，并且能夠根據(jù)所提供服務(wù)的不同，提供不同的接入方式與能力，如數(shù)據(jù)中心與呼叫中心，由于其業(yè)務(wù)需求不同，其要求的接入方式與能力也將有所不同。 高可用的架構(gòu) 服務(wù)中心將是XX銀

7、行業(yè)務(wù)處理、信息處理、數(shù)據(jù)交換極其重要的部分，如數(shù)據(jù)中心、災(zāi)備中心等，這些服務(wù)中心作為XX銀行整個架構(gòu)中的重要節(jié)點，需要具備高可用的架構(gòu)才能保證為業(yè)務(wù)發(fā)展提供連續(xù)的、有質(zhì)量保證的服務(wù)。需要強調(diào)的是，不僅需要考慮在服務(wù)中心內(nèi)部的高可用架構(gòu)，更應(yīng)該從整體業(yè)務(wù)的高可用性進行規(guī)劃。 滿足業(yè)務(wù)對性能的需求 未來服務(wù)中心將承載XX銀行所有業(yè)務(wù)的運行，并且根據(jù)服務(wù)中心功能的不同，對性能的需求也不同，如集中提回等對實時性要求較高的業(yè)務(wù)，視頻會議、呼叫中心等對網(wǎng)絡(luò)帶寬要求較高的應(yīng)用等，必須根據(jù)服務(wù)中心功能和所提供服務(wù)的不同，進行不同的性能考慮和規(guī)劃。 動態(tài)的IT資源調(diào)度和配置 多服務(wù)中心非常重要的一個需求就是能

8、夠適時為不斷增加的業(yè)務(wù)提供所需要的服務(wù)，這就要求未來的架構(gòu)具備對IT資源進行動態(tài)的調(diào)度和配置的能力，從而降低未來業(yè)務(wù)發(fā)展的成本，以及總體的IT運營成本，提高IT對業(yè)務(wù)發(fā)展的支持能力。3.3 網(wǎng)絡(luò)架構(gòu)支持新技術(shù)發(fā)展趨勢的考慮網(wǎng)絡(luò)架構(gòu)規(guī)劃必須考慮新技術(shù)的發(fā)展趨勢，近年新技術(shù)的討論主要是著重在虛擬化、云計算和動態(tài)架構(gòu)等。這些新技術(shù)的引進，對IT管理帶來極大的壓力，在新技術(shù)的引進時，必須首先需要建設(shè)配套的管理機制，技術(shù)的實施在能達到預(yù)期的效果過。但對企業(yè)而言，網(wǎng)絡(luò)規(guī)劃對新技術(shù)的考慮必須基于業(yè)務(wù)的需求，網(wǎng)絡(luò)的前瞻性應(yīng)著重于網(wǎng)絡(luò)靈活、動態(tài)及成本有效地支持業(yè)務(wù)的力度，而不完全以新技術(shù)的引進為衡量的唯一因素。

9、虛擬化 打破傳統(tǒng)的資源獨享的概念，在物理資源中創(chuàng)造許多虛擬資源，基于用戶提出的請求，部署用戶需要的資源，達到資源共享，減低總體IT設(shè)備成本。4 網(wǎng)絡(luò)詳細(xì)設(shè)計目標(biāo)和需求描述4.1 網(wǎng)絡(luò)整體架構(gòu)設(shè)計根據(jù)對新業(yè)務(wù)環(huán)境和IT整體策略的理解，考慮新技術(shù)發(fā)展趨勢，新一代整體網(wǎng)絡(luò)架構(gòu)將是面向服務(wù)的網(wǎng)絡(luò)架構(gòu)，支持平等的多服務(wù)中心，提供一種有效和創(chuàng)新的服務(wù)交付模式，將共享資源分離出來，以提高它們的可移植性，并能夠充分利用更加優(yōu)化的系統(tǒng)和網(wǎng)絡(luò)資源以提高效率、適應(yīng)業(yè)務(wù)環(huán)境的變化，并降低整體成本。整體規(guī)劃體現(xiàn)以下重要的特點： 整合共享而安全獨立的網(wǎng)絡(luò)架構(gòu)，滿足綜合化業(yè)務(wù)環(huán)境并安全合規(guī)一個整合統(tǒng)一的網(wǎng)絡(luò)環(huán)境支持整個銀行

10、業(yè)務(wù)部門?！罢稀睘榫C合化業(yè)務(wù)，融合產(chǎn)品和融合渠道的開展提供了統(tǒng)一的通信服務(wù)平臺。同時，網(wǎng)絡(luò)通過虛擬化及安全技術(shù)為各部門提供網(wǎng)絡(luò)的獨立性，滿足各部門安全合規(guī)性要求。 建設(shè)核心網(wǎng)，適應(yīng)多服務(wù)中心環(huán)境，并快速響應(yīng)業(yè)務(wù)環(huán)境的變化通過核心網(wǎng)的建設(shè)，提供一個更靈活有彈性的網(wǎng)絡(luò)架構(gòu)，支持多服務(wù)中心的環(huán)境，并快速響應(yīng)業(yè)務(wù)環(huán)境的變化。核心網(wǎng)改變傳統(tǒng)多星型的架構(gòu)，利用新的組網(wǎng)技術(shù)，支持任意的拓?fù)浣Y(jié)構(gòu)，按需分配帶寬資源和服務(wù)等級，從而使整體網(wǎng)絡(luò)架構(gòu)更具靈活性和彈性。4.2 網(wǎng)絡(luò)架構(gòu)設(shè)計需求網(wǎng)絡(luò)架構(gòu)詳細(xì)設(shè)計需求： 提供兩地三中心架構(gòu)設(shè)計 優(yōu)化網(wǎng)絡(luò)功能分區(qū)和網(wǎng)絡(luò)核心架構(gòu)，并提供各功能組件的詳細(xì)設(shè)計，滿足以下需求: 設(shè)

11、計數(shù)據(jù)中心核心交換區(qū)， 構(gòu)建一個SOA結(jié)構(gòu)的易擴展，高可用的數(shù)據(jù)中心核心 根據(jù)安全分區(qū)，業(yè)務(wù)關(guān)鍵程度，應(yīng)用耦合度等因素，優(yōu)化服務(wù)器在網(wǎng)絡(luò)功能區(qū)的部署。 用戶接入需求: 滿足廣域網(wǎng)用戶，數(shù)據(jù)中心本地用戶接入，遠(yuǎn)程用戶接入，外聯(lián)用戶接入，運維管理用戶接入等用戶接入的要求。 運維管理需求：設(shè)計運維管理區(qū)， 提供運維管理用服務(wù)器， 運維管理用戶， 帶內(nèi)帶外網(wǎng)絡(luò)的接入。 內(nèi)部用戶上網(wǎng)需求：為用戶上網(wǎng)提供互聯(lián)網(wǎng)接入，以及防DDOS， 入侵防御，防病毒，上網(wǎng)行為審計等安全服務(wù)。 數(shù)據(jù)中心間網(wǎng)絡(luò)需求：設(shè)計數(shù)據(jù)中心間網(wǎng)絡(luò)，滿足主用數(shù)據(jù)中心、災(zāi)備中心和異地數(shù)據(jù)中心存儲數(shù)據(jù)復(fù)制和備份的要求，以及災(zāi)備切換，災(zāi)備演練，

12、網(wǎng)絡(luò)多點接入需要的網(wǎng)絡(luò)環(huán)境。 提供NAS/備份網(wǎng)絡(luò)的設(shè)計，滿足基于IP技術(shù)的存儲網(wǎng)絡(luò)服務(wù)的需求。 提供帶外管理網(wǎng)絡(luò)架構(gòu)設(shè)計，滿足主機和網(wǎng)絡(luò)設(shè)備帶外操作和管理的要求。網(wǎng)絡(luò)安全設(shè)計需求: 規(guī)劃符合行業(yè)規(guī)范的安全區(qū) 區(qū)別應(yīng)用的安全等級，區(qū)分不同的用戶組和訪問特征，進行有效的訪問安全控制 設(shè)備安全：優(yōu)化設(shè)備的安全服務(wù)， 提升設(shè)備本身的安全網(wǎng)絡(luò)管理設(shè)計需求： 配置管理：實現(xiàn)配置變更標(biāo)準(zhǔn)化， 加強配置審計， 從而提高操作維護效率，降低人工操作失誤，提升網(wǎng)絡(luò)整體可用性 性能和用量管理:提升網(wǎng)絡(luò)對性能的預(yù)防性管理能力， 提升對資源的合理分配和預(yù)測能力， 提供網(wǎng)絡(luò)和應(yīng)用服務(wù)水平5 網(wǎng)絡(luò)架構(gòu)詳細(xì)設(shè)計5.1 總體網(wǎng)

13、絡(luò)架構(gòu)設(shè)計根據(jù)整體的網(wǎng)絡(luò)規(guī)劃，需要建設(shè)三個數(shù)據(jù)中心，形成同城主備、異地災(zāi)備數(shù)據(jù)中心的“兩地三中心”模式。圖 1 兩地三中心規(guī)劃主用數(shù)據(jù)中心在正常情況下支持XX銀行所有的IT業(yè)務(wù)和應(yīng)用，部署所有IT系統(tǒng)和數(shù)據(jù)，是所有分支機構(gòu)和外聯(lián)單位的匯聚中心。同城雙活數(shù)據(jù)中心部署與主用數(shù)據(jù)中心相同的業(yè)務(wù)系統(tǒng)，與主用數(shù)據(jù)中心構(gòu)成鏡像雙活。在主中心發(fā)生災(zāi)難的情況下，業(yè)務(wù)切換到雙活數(shù)據(jù)中心，承載所有IT業(yè)務(wù)和應(yīng)用。異地災(zāi)備數(shù)據(jù)中心部署部分關(guān)鍵業(yè)務(wù)系統(tǒng)，同時提供主用數(shù)據(jù)中心的所有數(shù)據(jù)業(yè)務(wù)的備份。5.2 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計根據(jù)網(wǎng)絡(luò)需求功能性需求，網(wǎng)絡(luò)整體架構(gòu)需要滿足應(yīng)用接入服務(wù)、用戶接入服務(wù)、IP存儲服務(wù)和管理服務(wù)；

14、各功能組件通過網(wǎng)絡(luò)服務(wù)總線連接成一個統(tǒng)一的架構(gòu)。圖 2 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu) 應(yīng)用服務(wù)：為全行所有業(yè)務(wù)和管理服務(wù)器提供接入服務(wù)，安全服務(wù)，負(fù)載均衡服務(wù)等，結(jié)合應(yīng)用的關(guān)鍵程度、業(yè)務(wù)特性、及應(yīng)用之間的耦合度，應(yīng)用服務(wù)器模塊可細(xì)分為各類服務(wù)器接入?yún)^(qū)域。 用戶接入服務(wù)：根據(jù)不同類型和不同訪問方式的用戶，提供用戶接入，安全等服務(wù)； 存儲服務(wù)：滿足新數(shù)據(jù)中心存儲規(guī)劃，需要滿足IP和FC需要的存儲網(wǎng)絡(luò)和備份網(wǎng)絡(luò)； 核心區(qū)：搭建網(wǎng)絡(luò)服務(wù)總線，將所有網(wǎng)絡(luò)功能模塊連接成一個統(tǒng)一架構(gòu)； 管理服務(wù)：滿足日常操作運維需要的運維人員接入，運維服務(wù)器接入，帶外帶內(nèi)網(wǎng)絡(luò)接入，運維管理服務(wù)將在多中心運行； 數(shù)據(jù)中心互聯(lián)：滿足多中心

15、環(huán)境下，數(shù)據(jù)中心間網(wǎng)絡(luò)通信、存儲復(fù)制及備份的需求。結(jié)合網(wǎng)絡(luò)安全分區(qū)要求、系統(tǒng)架構(gòu)特征、應(yīng)用關(guān)鍵程度分類、應(yīng)用耦合度及運維保障的需求，對主用數(shù)據(jù)中心和同城雙活數(shù)據(jù)中心的網(wǎng)絡(luò)分區(qū)設(shè)計如下：圖 3 數(shù)據(jù)中心內(nèi)部模塊架構(gòu)業(yè)務(wù)區(qū)：提供銀行的核心應(yīng)用及支持柜面存取款業(yè)務(wù)功能的應(yīng)用系統(tǒng)，各種實時和非實時交易類業(yè)務(wù)，管理信息系統(tǒng)，辦公類及基礎(chǔ)服務(wù)類應(yīng)用，可以根據(jù)業(yè)務(wù)需求細(xì)分。外聯(lián)區(qū)：與第三方外聯(lián)網(wǎng)絡(luò)進行互聯(lián)的區(qū)域，包括與外聯(lián)單位信息交互的前置服務(wù)器及必要的安全、網(wǎng)絡(luò)設(shè)備運維管理區(qū)：運維管理類應(yīng)用及運維管理終端，部署在運維管理服務(wù)器區(qū)；運維管理區(qū)包括帶外管理網(wǎng)絡(luò)，滿足服務(wù)器、網(wǎng)絡(luò)設(shè)備的各類帶外運維管理需求。業(yè)務(wù)

16、互聯(lián)網(wǎng)區(qū)：為來自Internet的業(yè)務(wù)訪問提供服務(wù)的應(yīng)用辦公互聯(lián)網(wǎng)區(qū)：為內(nèi)部員工或應(yīng)用提供對外Internet訪問或接入服務(wù)托管區(qū)：其它業(yè)務(wù)實體提供托管服務(wù)應(yīng)用園區(qū)網(wǎng)：負(fù)責(zé)接入園區(qū)網(wǎng)（大樓局域網(wǎng)）的各類用戶廣域網(wǎng)區(qū)：銀行的各級機構(gòu)的廣域網(wǎng)接入?yún)^(qū)域，包括數(shù)據(jù)中心之間的互聯(lián)網(wǎng)絡(luò)核心交換區(qū)：數(shù)據(jù)中心的服務(wù)總線，負(fù)責(zé)對各個組件區(qū)域的流量進行高速轉(zhuǎn)發(fā)5.3 廣域網(wǎng)架構(gòu)設(shè)計廣域網(wǎng)架構(gòu)中包括數(shù)據(jù)中心間核心骨干網(wǎng)絡(luò)連接以及分支行廣域網(wǎng)連接架構(gòu)。廣域網(wǎng)架構(gòu)的設(shè)計在滿足未來對網(wǎng)絡(luò)的需求基礎(chǔ)上，考慮兼容現(xiàn)有的廣域架構(gòu)，避免對現(xiàn)有廣域網(wǎng)絡(luò)進行較大的改動。5.3.1 數(shù)據(jù)中心互連核心骨干網(wǎng)架構(gòu)數(shù)據(jù)中心間互聯(lián)骨干網(wǎng)絡(luò)除承

17、載數(shù)據(jù)中心間正常的系統(tǒng)運維通信外，還需要考慮存儲、備份網(wǎng)絡(luò)連接，以及雙中心運行及中心互備模式下對核心骨干網(wǎng)的需求。5.3.2 數(shù)據(jù)中心和同城災(zāi)備中心互連根據(jù)數(shù)據(jù)中心互聯(lián)網(wǎng)絡(luò)需求，互聯(lián)線路既需要支持IP三層，二層以太網(wǎng)通信，又需要支持FC光纖通信，使用DWDM技術(shù)的裸光纖線路能滿足現(xiàn)有需求。對于同城雙活數(shù)據(jù)中心采用光纖直連方式。由于XX銀行的網(wǎng)絡(luò)規(guī)模較小，二層廣播尚不會造成巨大問題，因此可以直接通過光纖直連方式將各個業(yè)務(wù)區(qū)對應(yīng)連接，即可實現(xiàn)業(yè)務(wù)區(qū)之間的二層連接。為了保證冗余性，在主用數(shù)據(jù)中心與同城災(zāi)備中心采用兩條裸光纖進行互聯(lián)，兩數(shù)據(jù)中心各部署兩臺DWDM設(shè)備提供裸光纖接入。對于異地災(zāi)備數(shù)據(jù)中心

18、，則采用租用運營商IP線路的方式連接。主數(shù)據(jù)中心與同城災(zāi)備中心的邏輯通道主要有三種類型： FC通道：提供兩數(shù)據(jù)中心存儲復(fù)制和備份。 三層以太網(wǎng)通道：提供兩數(shù)據(jù)中心之間的三層互通，滿足數(shù)據(jù)中心骨干網(wǎng)的建立。 二層以太網(wǎng)通道：提供兩數(shù)據(jù)中心各對應(yīng)網(wǎng)絡(luò)功能區(qū)域之間的二層互通，滿足單系統(tǒng)切換的需求。圖 4 數(shù)據(jù)中心互聯(lián)拓?fù)?.3.3 數(shù)據(jù)中心和異地災(zāi)備中心互連異地數(shù)據(jù)中心的二層連接傳統(tǒng)上采用VPLS技術(shù)，但是目前EVPN已經(jīng)開始替代VPLS來實現(xiàn)數(shù)據(jù)中心的二層連接。EVPN是一種“將MAC地址封裝在IP包里”的技術(shù)，支持2層VLAN在任何傳輸鏈路上的擴展。傳輸鏈路可以是基于包交換的、基于標(biāo)簽交換的或者

19、任何支持IP數(shù)據(jù)包的其他類型的協(xié)議。通過使用MAC進行路由的原則，EVPN提供了基于2層鏈路的覆蓋鏈接，同時保證了兩個互聯(lián)的2層域是隔離的，也就是保證了兩個互聯(lián)的數(shù)據(jù)中心2層域獨立從而確保了故障域的有效隔離、靈活自如的擴展和負(fù)責(zé)均衡。EVPN的核心工作原理是通過控制協(xié)議來通告MAC地址的可達信息（而不是通過數(shù)據(jù)平面學(xué)習(xí)）并且使用IP封裝的包交換技術(shù)處理并轉(zhuǎn)發(fā)2層流量（而非使用電路交換）。這些是EVPN區(qū)別于其他傳統(tǒng)的2層VPN技術(shù)的重要特征。傳統(tǒng)的2層VPN技術(shù)不但嚴(yán)重限制了2層VPN網(wǎng)絡(luò)的擴展，同時，由于缺少控制平面的管控也制約的LAN在不同數(shù)據(jù)中心之間的延伸。EVPN采用控制協(xié)議定義了MA

20、C地址和經(jīng)過網(wǎng)絡(luò)核心可達的下一跳IP地址之間的映射關(guān)系。EVPN就像是通過MAC進行路由一樣：目的地址是MAC地址、下一跳是IP地址，業(yè)務(wù)流量被封裝進了IP包，這樣業(yè)務(wù)流量就可以流過IP核心網(wǎng)絡(luò)，通過MAC路由而到達下一跳。因此，介于源主機MAC地址和目的主機MAC地址之間的流量通過覆蓋封裝就轉(zhuǎn)變成了相關(guān)邊界設(shè)備之間IP源地址和IP目的地址的IP流量。這些數(shù)據(jù)采用封裝處理的方式進行傳輸而不是通過隧道的方式進行傳輸，這是因為封裝是可以動態(tài)變化的。由于這些業(yè)務(wù)流量借助IP轉(zhuǎn)發(fā)，因此EVPN在IP核心網(wǎng)里就變得十分高效，不但可以優(yōu)化負(fù)載均衡流量、復(fù)制組播流量，而且還能夠快速地實現(xiàn)故障恢復(fù)。數(shù)據(jù)轉(zhuǎn)發(fā)表

21、里的MAC地址與下一跳IP地址之間的映射關(guān)系由控制協(xié)議通告，故而消除了未知的單播數(shù)據(jù)包必須穿越數(shù)據(jù)中心間互聯(lián)鏈路的要求?？刂茀f(xié)議具有可擴展性，除了必要的具體MAC地址信息外，還包括VLAN、站點ID和關(guān)聯(lián)IP地址。這些豐富的信息，如果僅靠數(shù)據(jù)泛洪學(xué)習(xí)方式其中大部分是無法獲得的，但是對于實現(xiàn)多宿主、負(fù)載均衡、抑制環(huán)路、本地FHRP及本地ARP轉(zhuǎn)發(fā)等EVPN必備功能來說，卻是至關(guān)重要的信息。EVPN主要的優(yōu)點體現(xiàn)在以下幾點： 支持All-Active 多宿主鏈路連接 支持L2和L3相結(jié)合 通過MP-BGP學(xué)習(xí)MAC 支持自動發(fā)現(xiàn)鏈路 靈活的數(shù)據(jù)層面(IP/MPLS) 有效控制BUM圖 5 異地數(shù)據(jù)

22、中心互聯(lián)拓?fù)?.3.4 廣域網(wǎng)鏈路容災(zāi)設(shè)計廣域網(wǎng)雙活的技術(shù)建議采用智能DNS技術(shù)，通過DNS重定向(GSLB)在多個數(shù)據(jù)中心之間實現(xiàn)負(fù)載分擔(dān)，要求應(yīng)用采用域名方式進行訪問，可以實現(xiàn)數(shù)據(jù)中心雙活健康路由注入(RHI)，這是一種路由機制，它允許兩個數(shù)據(jù)中心使用同一個IP地址。這意味著同一個IP地址(主機路徑)被發(fā)布為不同的metric。上游路由器可以同時看到兩條路徑，并將metric更好的路徑插入到其路由表中。適用于通過IP訪問的應(yīng)用，實現(xiàn)應(yīng)用的災(zāi)備。每個數(shù)據(jù)中心分別部署一對GTM設(shè)備(本身HA，提供高可用性)，在服務(wù)器區(qū)域部署動態(tài)廣域網(wǎng)優(yōu)化設(shè)備（WOM）。GTM設(shè)備提供DNS服務(wù)，在回復(fù)DNS請

23、求時，將服務(wù)器IP返回給LDNS(用戶使用的DNS服務(wù)器，一般由運營商提供)。多臺GTM設(shè)備之間建立可信連接，同步數(shù)據(jù)和各個數(shù)據(jù)中心狀態(tài)。對于應(yīng)用內(nèi)部，兩個數(shù)據(jù)中心都有WEB、APP系統(tǒng)，都將獨立地處理流量，當(dāng)訪問應(yīng)用層業(yè)務(wù)或核心數(shù)據(jù)（如：數(shù)據(jù)庫信息）時，雙數(shù)據(jù)中心需要通過內(nèi)部網(wǎng)絡(luò)進行數(shù)據(jù)交換，采用WOM（廣域網(wǎng)優(yōu)化設(shè)備）加速數(shù)據(jù)層面的復(fù)制和同步。圖 6 數(shù)據(jù)中心廣域網(wǎng)雙活拓?fù)錈o論是GTM可以通過ping包、檢測端口、查看網(wǎng)頁內(nèi)容、交互式探測甚至自定義腳本的方式對物理服務(wù)器狀態(tài)進行檢查。GTM會針對本數(shù)據(jù)中心內(nèi)的服務(wù)器狀態(tài)進行檢測，并將結(jié)果同步給廣域網(wǎng)上的其它GTM，從而在一定程度上減少由重復(fù)

24、健康檢測給服務(wù)器和廣域網(wǎng)帶寬造成的壓力。兩個數(shù)據(jù)中心的GTM都可以對外提供DNS知能解析的功能，當(dāng)收到一個從LDNS發(fā)來的域名解析請求時，GTM會根據(jù)各種規(guī)則(如運營商IP列表、動態(tài)探測包測試、幾個GTM之間共同維護的LDNS狀態(tài)庫)來判斷從哪個鏈路、哪個中心回復(fù)用戶的請求會最快，然后選擇那個鏈路/中心所在的IP地址回復(fù)給用戶，達到智能選路的效果。當(dāng)對某套應(yīng)用中某臺服務(wù)器的健康檢查失敗時，會對其標(biāo)記為down，而不把后續(xù)的任何流量再分配到該服務(wù)器上。如果某套應(yīng)用中在第一數(shù)據(jù)中心的服務(wù)器都不可用時，GTM會通過DNS回應(yīng)方式把客戶的請求導(dǎo)向第二數(shù)據(jù)中心，對于其它無影響的應(yīng)用可以根據(jù)用戶要求繼續(xù)保

25、留在第一數(shù)據(jù)中心處理。于是，就可以實現(xiàn)基于應(yīng)用的數(shù)據(jù)中心切換。多個數(shù)據(jù)中心，從技術(shù)上來說，其實并不區(qū)別，都可以提供應(yīng)用服務(wù)，只是根據(jù)承載流量能力方面人為的分為主中心或備中心。在F5的解決方案中，通過DNS智能解析方式根據(jù)用戶實際需求把流量導(dǎo)向各個數(shù)據(jù)中心，實現(xiàn)了多活數(shù)據(jù)中心共同承載業(yè)務(wù)流量的架構(gòu)。5.3.5 分支機構(gòu)廣域網(wǎng)架構(gòu)分支行廣域網(wǎng)是提供玉溪地區(qū)同城分支行，和異地分支行與數(shù)據(jù)中心，及災(zāi)備中心的廣域網(wǎng)連接。目前部署的同城廣域網(wǎng)鏈路主要是MSTP鏈路，異地主要是SDH鏈路，建議未來維持現(xiàn)有的鏈路選型。圖 7 分支機構(gòu)拓?fù)湓谥饔煤屯请p活數(shù)據(jù)中心均部署廣域網(wǎng)匯聚路由器和玉溪匯聚路由器。廣域網(wǎng)匯

26、聚路由器通過DWDM設(shè)備連接，構(gòu)成主用和同城雙活數(shù)據(jù)中心之間的骨干網(wǎng)。玉溪本地的分支機構(gòu)直接上連到玉溪匯聚路由器。各異地分支機構(gòu)的鏈路經(jīng)異地分行匯聚后，上連到主用和同城雙活廣域網(wǎng)匯聚路由器。在上聯(lián)時，可以選擇上聯(lián)路由器和匯聚路由器分離的方式，也可以根據(jù)實際情況選擇上聯(lián)路由器和匯聚路由器復(fù)用的方式。在匯聚的網(wǎng)點較多時，建議采用分離模式。5.3.6 數(shù)據(jù)分流策略為了提高帶寬利用率，并滿足業(yè)務(wù)數(shù)據(jù)流的可用性和帶寬需求，建議對于分支行的冗余廣域網(wǎng)鏈路，根據(jù)不同的應(yīng)用進行數(shù)據(jù)分流。在分支行的兩條廣域網(wǎng)鏈路上，將業(yè)務(wù)與其他應(yīng)用進行數(shù)據(jù)分流，保證在正常情況下，業(yè)務(wù)流量使用連接主數(shù)據(jù)中心的主鏈路，其他流量使用

27、連接災(zāi)備中心的冗余鏈路。由于數(shù)據(jù)中心的業(yè)務(wù)，辦公等應(yīng)用系統(tǒng)無法根據(jù)IP地址進行明確區(qū)分；而在分支行和網(wǎng)點，業(yè)務(wù)終端和辦公終端是采用隔離的方式，所以根據(jù)分支行的客戶端IP地址段，作為數(shù)據(jù)分流的區(qū)分條件。根據(jù)分支行不同應(yīng)用客戶端的IP地址段不同，分別在分支行廣域網(wǎng)路由器及數(shù)據(jù)中心廣域網(wǎng)路由器上通過對動態(tài)路由協(xié)議的控制，實現(xiàn)不同應(yīng)用在冗余廣域網(wǎng)鏈路上的數(shù)據(jù)分流。另外根據(jù)動態(tài)路由協(xié)議自身的特性，兩條鏈路可以相互提供備份。同時需要在分支行上聯(lián)數(shù)據(jù)中心兩條鏈路上的兩端都運用QoS技術(shù)，保證在只有一條鏈路可用時，優(yōu)先滿足業(yè)務(wù)流量的帶寬需求。5.4 數(shù)據(jù)中心網(wǎng)絡(luò)核心架構(gòu)設(shè)計網(wǎng)絡(luò)核心區(qū)由兩臺交換機組成，負(fù)責(zé)數(shù)據(jù)

28、中心各區(qū)域之間數(shù)據(jù)交互流量的高速轉(zhuǎn)發(fā)。采用冗余的核心交換機，構(gòu)造數(shù)據(jù)中心網(wǎng)絡(luò)核心，連接各業(yè)務(wù)區(qū)，實現(xiàn)各區(qū)域之間的高速數(shù)據(jù)交互。數(shù)據(jù)中心核心交換機與各區(qū)域的區(qū)域核心交換機之間通過不同板卡的端口進行互聯(lián)，實現(xiàn)高速冗余傳輸。網(wǎng)絡(luò)核心不運行諸如ACL、QoS等消耗內(nèi)存與CPU的協(xié)議，也不作為服務(wù)器的接入設(shè)備。為了改善核心區(qū)域的可管理性，同時提高可靠性，建議核心區(qū)域的兩臺交換機運行虛擬化協(xié)議，將兩臺核心交換機虛擬化成一臺。從而連接到兩臺核心交換機的鏈路都可以啟用鏈路聚合，實現(xiàn)負(fù)載分擔(dān)方式運行。圖 8 數(shù)據(jù)中心核心交換區(qū)拓?fù)?.4.1 數(shù)據(jù)中心業(yè)務(wù)區(qū)架構(gòu)設(shè)計業(yè)務(wù)服務(wù)器區(qū)提供業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)相關(guān)服務(wù)器的集

29、中接入?yún)^(qū)。業(yè)務(wù)服務(wù)器區(qū)從邏輯架構(gòu)采用一層方式設(shè)計，提高網(wǎng)絡(luò)的轉(zhuǎn)發(fā)效率，并且改善網(wǎng)絡(luò)的可維護和可管理性。另一方面，由于業(yè)務(wù)服務(wù)器區(qū)域需要考慮分布式部署TOR交換機，因此需要將TOR交換機和核心交換機虛擬化成一臺，在邏輯上形成一層架構(gòu)。核心層與業(yè)務(wù)區(qū)域之間串聯(lián)防火墻，提供區(qū)域內(nèi)部與外部相互訪問的安全控制。防火墻采用主備的路由模式部署，Inside口與區(qū)域交換機集群三層互聯(lián)，Outside口與核心交換機三層互聯(lián)。兩臺防火墻構(gòu)成集群，如單一設(shè)備管理。區(qū)域交換機集群與數(shù)據(jù)中心核心進行三層的交叉互聯(lián)，運行動態(tài)路由協(xié)議。圖 9 數(shù)據(jù)中心業(yè)務(wù)區(qū)拓?fù)?.4.2 網(wǎng)銀區(qū)架構(gòu)設(shè)計網(wǎng)銀區(qū)為主要為網(wǎng)上銀行業(yè)務(wù)的Web應(yīng)

30、用提供互聯(lián)網(wǎng)接入和安全控制，以及與數(shù)據(jù)中心內(nèi)部服務(wù)器的數(shù)據(jù)交互。未來也可以按照需要增加其他互聯(lián)網(wǎng)業(yè)務(wù)。網(wǎng)銀區(qū)整體可分為三個層次：數(shù)據(jù)中心接入DMZ互聯(lián)網(wǎng)接入，兩層之間分別通過防火墻進行隔離。圖 10 數(shù)據(jù)中心網(wǎng)銀區(qū)邏輯拓?fù)銲nternet接入：提供業(yè)務(wù)互聯(lián)網(wǎng)DMZ區(qū)服務(wù)器的Internet接入和安全控制，并為Internet用戶提供Web服務(wù)。內(nèi)網(wǎng)核心區(qū)：提供業(yè)務(wù)互聯(lián)網(wǎng)區(qū)的DMZ與數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)交互和安全控制。DMZ：提供網(wǎng)銀和相關(guān)電子商務(wù)服務(wù)器的接入，服務(wù)器到內(nèi)網(wǎng)和外網(wǎng)的連接和安全控制。圖 11 數(shù)據(jù)中心網(wǎng)銀區(qū)物理拓?fù)銬MZ所有服務(wù)器的網(wǎng)關(guān)位于本地負(fù)載均衡設(shè)備。區(qū)域核心交換機采用集群模式

31、部署，與內(nèi)部防火墻三層互聯(lián)，與外網(wǎng)防火墻二層互聯(lián)。防火墻均采用主備的路由模式，主備設(shè)備之間使用HA接口相互同步配置和會話狀態(tài)信息。在互聯(lián)網(wǎng)出口防火墻上開啟IPS和防病毒許可。區(qū)域核心交換機與數(shù)據(jù)中心核心交換機采用交叉的三層全互聯(lián)，運行動態(tài)路由協(xié)議。本地負(fù)載均衡設(shè)備旁掛在區(qū)域核心交換機，全部采用二層互聯(lián)，一條作為Inside接口，提供DMZ區(qū)域內(nèi)部服務(wù)器的負(fù)載均衡，同時作為區(qū)域匯聚交換機默認(rèn)路由的網(wǎng)關(guān)。另外一條鏈路作為Outside接口，作為互聯(lián)網(wǎng)鏈路進入業(yè)務(wù)互聯(lián)區(qū)DMZ的網(wǎng)關(guān)。區(qū)域匯聚交換機與Internet出口防火墻采用二層的VLAN互聯(lián)，并將所有VLAN透傳到連接本地負(fù)載均衡設(shè)備的Trun

32、k接口上，本地負(fù)載均衡的默認(rèn)路由指向外網(wǎng)防火墻的Inside接口，為DMZ服務(wù)器到Internet的訪問提供多出口間的負(fù)載均衡。外網(wǎng)防火墻作為數(shù)據(jù)中心Internet接入點，Outside接口使用ISP的公網(wǎng)地址，Inside接口與本地負(fù)載均衡設(shè)備進行三層互聯(lián)，并提供數(shù)據(jù)中心內(nèi)部地址到Internet的地址轉(zhuǎn)換。廣域網(wǎng)負(fù)載均衡旁路在Internet線路的接入交換機上，使用每個ISP對應(yīng)的公網(wǎng)地址，為Internet用戶到業(yè)務(wù)互聯(lián)網(wǎng)區(qū)內(nèi)部的訪問提供多條鏈路間負(fù)載均衡。5.4.3 外聯(lián)區(qū)架構(gòu)設(shè)計外聯(lián)區(qū)提供數(shù)據(jù)中心到合作伙伴單位的線路接入，數(shù)據(jù)交互及安全控制。外聯(lián)區(qū)與網(wǎng)銀區(qū)域類似，邏輯上也分為三層：

33、數(shù)據(jù)中心接入DMZ外聯(lián)接入，兩層之間分別通過防火墻進行隔離。圖 12 數(shù)據(jù)中心外聯(lián)區(qū)邏輯拓?fù)鋽?shù)據(jù)中心接入：提供外聯(lián)區(qū)的DMZ服務(wù)器與數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)交互和安全控制。DMZ：提供外聯(lián)相關(guān)應(yīng)用的前置服務(wù)器接入，及服務(wù)器分別到數(shù)據(jù)中心內(nèi)部和外聯(lián)單位的連接和安全控制。外聯(lián)接入：提供外聯(lián)單位的線路接入，并提供外聯(lián)區(qū)DMZ服務(wù)器與外聯(lián)單位服務(wù)器的數(shù)據(jù)交互。圖 13 是外聯(lián)區(qū)的物理部署。DMZ所有服務(wù)器的網(wǎng)關(guān)位于防火墻的DMZ口，服務(wù)器到數(shù)據(jù)中心內(nèi)部和到外聯(lián)單位的訪問，分別通過防火墻的安全策略進行控制。區(qū)域核心交換機與防火墻Inside接口三層互聯(lián)，與數(shù)據(jù)中心核心交換機通過數(shù)據(jù)中心接入?yún)^(qū)的防火墻采用交叉的

34、三層全互聯(lián)，運行動態(tài)路由協(xié)議。防火墻集群部署，采用路由模式，主備設(shè)備之間使用HA接口相互同步配置和會話狀態(tài)信息。外聯(lián)區(qū)防火墻與區(qū)域匯聚交換機三層互聯(lián)，采用靜態(tài)路由。圖 13 數(shù)據(jù)中心外聯(lián)區(qū)物理拓?fù)湓谶M行外聯(lián)時，需要考慮進行地址轉(zhuǎn)換，主要是基于安全需要和避免地址沖突的原因考慮，以下三種情況需要進行地址轉(zhuǎn)換：數(shù)據(jù)中心從內(nèi)到外訪問：a) 外聯(lián)單位主動分配IP地址，在防火墻上轉(zhuǎn)成對方提供的IP。數(shù)據(jù)中心從內(nèi)到外訪問：b) 外聯(lián)單位提供的IP地址與數(shù)據(jù)中心內(nèi)部地址沖突，在外聯(lián)路由器上轉(zhuǎn)成行內(nèi)規(guī)劃的外聯(lián)地址。c) 外聯(lián)單位需要直接訪問數(shù)據(jù)中心業(yè)務(wù)區(qū)服務(wù)器，需要在外聯(lián)區(qū)防火墻，將外聯(lián)單位的源地址轉(zhuǎn)換成規(guī)劃好

35、的內(nèi)部地址對于外聯(lián)單位需要同時接入到數(shù)據(jù)中心和災(zāi)備中心的情況下，需要將兩中心的外聯(lián)交換機進行二層或三層互聯(lián)，并運行動態(tài)路由協(xié)議，提供外聯(lián)單位冗余線路的動態(tài)切換。對于外聯(lián)單位需要同時接入到數(shù)據(jù)中心和災(zāi)備中心的情況下，需要將兩中心的外聯(lián)交換機進行二層或三層互聯(lián)，并運行動態(tài)路由協(xié)議，提供外聯(lián)單位冗余線路的動態(tài)切換。將兩個中心的區(qū)域匯聚交換機與外聯(lián)路由器加入到OSPF進程。將區(qū)域匯聚交換機到數(shù)據(jù)中心內(nèi)部的靜態(tài)路由重分布到OSPF。將外聯(lián)路由器到連接雙中心外聯(lián)單位的靜態(tài)路由重分布到OSPF。圖 14 數(shù)據(jù)中心外聯(lián)區(qū)容災(zāi)設(shè)計5.4.4 辦公互聯(lián)網(wǎng)區(qū)架構(gòu)設(shè)計辦公互聯(lián)網(wǎng)區(qū)提供災(zāi)備中心所在園區(qū)的辦公用戶互聯(lián)網(wǎng)接

36、入，以及為員工在通過互聯(lián)網(wǎng)到內(nèi)網(wǎng)的VPN接入。區(qū)域整體可分為三個層次：數(shù)據(jù)中心接入DMZInternet接入，兩層之間分別通過防火墻進行隔離。圖 15 數(shù)據(jù)中心辦公互聯(lián)網(wǎng)區(qū)邏輯拓?fù)鋼?jù)中心接入：提供辦公互聯(lián)網(wǎng)區(qū)的DMZ與數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)交互和安全控制。DMZ：提供上網(wǎng)代理服務(wù)器，網(wǎng)頁過濾服務(wù)器，郵件前置服務(wù)器，郵件過濾服務(wù)器，VPN網(wǎng)關(guān)等辦公上網(wǎng)前置服務(wù)器的接入，及服務(wù)器分別到內(nèi)網(wǎng)和外網(wǎng)的連接和安全控制。Internet接入：提供園區(qū)和分支行辦公用戶，及辦公互聯(lián)網(wǎng)DMZ區(qū)服務(wù)器的Internet訪問和安全控制，并為員工提供VPN接入。外部的防火墻設(shè)備啟用UTM功能，提供防病毒、IPS、垃圾郵件

37、過濾等功能。兩套防火墻均采用主備集群的路由模式，主備設(shè)備之間使用HA接口相互同步配置和會話狀態(tài)信息。DMZ所有服務(wù)器的網(wǎng)關(guān)位于區(qū)域匯聚交換機。兩臺區(qū)域匯聚交換機啟用虛擬化功能，雙機虛擬成單臺，與內(nèi)部防火墻三層互聯(lián)。區(qū)域核心交換機與數(shù)據(jù)中心核心交換機采用交叉的三層全互聯(lián)，運行動態(tài)路由協(xié)議。區(qū)域匯聚交換機與外部防火墻三層互聯(lián)，外部防火墻作為區(qū)域匯聚交換機默認(rèn)路由的下一條網(wǎng)關(guān)。在外部防火墻和鏈路負(fù)載均衡之間串聯(lián)上網(wǎng)優(yōu)化網(wǎng)關(guān)作為行為管理和審計設(shè)備，提供數(shù)據(jù)中心訪問Internet的數(shù)據(jù)安全，信息記錄及帶寬管理。上網(wǎng)行為管理設(shè)備作為二層設(shè)備部署，在故障或斷電時，提供自動Bypass功能。圖 16 數(shù)據(jù)中

38、心辦公互聯(lián)網(wǎng)區(qū)物理拓?fù)?.4.5 運維管理區(qū)架構(gòu)設(shè)計運維管理區(qū)提供數(shù)據(jù)中心運維管理類服務(wù)器，ECC終端接入，及服務(wù)器和網(wǎng)絡(luò)設(shè)備的帶外管理接入。其中帶外管理網(wǎng)同時作為服務(wù)器NAS和備份的網(wǎng)絡(luò)接入。5.4.5.1 架構(gòu)設(shè)計運維管理區(qū)從邏輯架構(gòu)上可分為三層：區(qū)域核心區(qū)域匯聚區(qū)域核心。圖 17 數(shù)據(jù)中心運維區(qū)邏輯拓?fù)鋮^(qū)域核心：提供區(qū)域內(nèi)部與數(shù)據(jù)中心核心的高速數(shù)據(jù)交互。區(qū)域匯聚：作為運維服務(wù)器和ECC終端的網(wǎng)關(guān)。區(qū)域核心與區(qū)域匯聚之間串聯(lián)防火墻，提供區(qū)域內(nèi)部與外部相互訪問的安全控制。區(qū)域接入又分為三個部分： 運維服務(wù)器：提供數(shù)據(jù)中心運維管理服務(wù)器的接入。 ECC：提供數(shù)據(jù)中心集中監(jiān)控和管理終端的接入。

39、帶外網(wǎng)n 帶外管理：提供數(shù)據(jù)中心服務(wù)器和網(wǎng)絡(luò)設(shè)備的帶外管理，包括服務(wù)器帶外管理網(wǎng)卡接入，服務(wù)器ILO網(wǎng)卡接入，網(wǎng)絡(luò)設(shè)備的帶外管理端口，網(wǎng)絡(luò)設(shè)備的IP Console接入等。n NAS：提供數(shù)據(jù)中心服務(wù)器到NAS存儲的網(wǎng)絡(luò)接入。n 備份：提供數(shù)據(jù)中心服務(wù)器備份的網(wǎng)絡(luò)接入支持。帶外網(wǎng)與運維管理服務(wù)器及ECC終端通過防火墻進行訪問控制。在物理架構(gòu)設(shè)計中，帶外管理網(wǎng)，NAS網(wǎng)和備份網(wǎng)共享一套網(wǎng)絡(luò)設(shè)備。圖 18 數(shù)據(jù)中心運維區(qū)物理拓?fù)溥\維管理服務(wù)器和ECC終端的網(wǎng)關(guān)位于區(qū)域匯聚交換機。帶外管理網(wǎng)，NAS網(wǎng)，備份網(wǎng)的網(wǎng)關(guān)位于帶外匯聚交換機，帶外匯聚交換機連接到區(qū)域核心交換機。運維服務(wù)器，ECC終端與帶外網(wǎng)絡(luò)的數(shù)據(jù)交互通過防火墻進行安全控制。防火墻采用主備的路由模式部署，Inside口與區(qū)域匯聚交換機三層互聯(lián)，Outside口與區(qū)域核心交換機三層互聯(lián)。區(qū)域核心交換機與數(shù)據(jù)中心核心進行三層的交叉互聯(lián)，運行動態(tài)路由協(xié)議。服務(wù)器的帶外管理網(wǎng)，NAS網(wǎng)，備份網(wǎng)共享同一張網(wǎng)卡，NAS服務(wù)器或存儲設(shè)備直接接入到帶外網(wǎng)絡(luò)。對于運維管理區(qū)的防火墻和區(qū)域核心，采用單獨接入在區(qū)域匯聚的Console服務(wù)器進行帶外管理，避免因區(qū)域防火墻故障，ECC無法進行帶外管理。由于帶外管理網(wǎng)絡(luò)，NAS網(wǎng)絡(luò)，備份網(wǎng)絡(luò)共享同一套網(wǎng)絡(luò)設(shè)備