數(shù)據(jù)中心設(shè)備方案資料

1、XX數(shù)據(jù)中心項(xiàng)目設(shè)計(jì)方案Jrunion Technology Co., Ltd.目錄 TOC o 1-5 h z 文檔介紹 3 HYPERLINK l bookmark4 o Current Document 文檔目的 3 HYPERLINK l bookmark6 o Current Document 文檔范圍 3 HYPERLINK l bookmark8 o Current Document 讀者對(duì)象 3數(shù)據(jù)中心總體規(guī)劃 3 HYPERLINK l bookmark10 o Current Document 規(guī)劃原則 3業(yè)務(wù)功能區(qū)域劃分 4業(yè)務(wù)系統(tǒng) 4數(shù)據(jù)中心整體架構(gòu) 5數(shù)據(jù)中心核心設(shè)備

2、 6數(shù)據(jù)中心接入層設(shè)備 6數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)連接 8全網(wǎng)路由規(guī)劃 9總體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 9路由協(xié)議設(shè)計(jì) 9網(wǎng)絡(luò)核心區(qū)網(wǎng)絡(luò)設(shè)計(jì) 10業(yè)務(wù)區(qū)網(wǎng)絡(luò)設(shè)計(jì) 11全網(wǎng)安全策略規(guī)劃 11 HYPERLINK l bookmark42 o Current Document SERVER FARM!鍵業(yè)務(wù)區(qū)防火墻部署設(shè)計(jì) 12 HYPERLINK l bookmark70 o Current Document SERVER FARMH!業(yè)務(wù)區(qū)防火墻部署設(shè)計(jì) 16 HYPERLINK l bookmark76 o Current Document SERVER FARMk務(wù)區(qū)防火墻 POLICY設(shè)計(jì) 18 HYPER

3、LINK l bookmark78 o Current Document SERVER FARMk務(wù)區(qū)防火墻安全參數(shù)設(shè)計(jì) 19 HYPERLINK l bookmark80 o Current Document SERVER FAR就防火墻管理設(shè)計(jì) 19關(guān)鍵業(yè)務(wù)的保障規(guī)劃 19多網(wǎng)卡服務(wù)器的業(yè)務(wù)保障 19重要區(qū)域的虛擬服務(wù)器業(yè)務(wù)保障 20網(wǎng)絡(luò)設(shè)備安裝規(guī)劃 20網(wǎng)絡(luò)設(shè)備命名 20設(shè)備安裝注意事項(xiàng) 21網(wǎng)絡(luò)設(shè)備軟件版本建議 22設(shè)備管理安全控制 22 HYPERLINK l bookmark98 o Current Document 案例 24 HYPERLINK l bookmark100 o

4、Current Document 泛歐證交所 24渣打銀行 25 HYPERLINK l bookmark114 o Current Document 深圳發(fā)展銀行 25 HYPERLINK l bookmark118 o Current Document 南華期貨 26 HYPERLINK l bookmark120 o Current Document 中國(guó)農(nóng)業(yè)銀行 26中國(guó)建設(shè)銀行 27 HYPERLINK l bookmark122 o Current Document 中國(guó)人壽 27 HYPERLINK l bookmark124 o Current Document 新時(shí)代證券 2

5、7文檔介紹文檔目的本文檔是XX公司信息化基礎(chǔ)設(shè)施提升數(shù)據(jù)中心及網(wǎng)絡(luò)平臺(tái)建設(shè)項(xiàng)目的工程施工文件，依據(jù)集團(tuán)規(guī)劃要求，進(jìn) 一步細(xì)化設(shè)計(jì)了數(shù)據(jù)中心的網(wǎng)絡(luò)、網(wǎng)絡(luò)安全等部分詳細(xì)規(guī)劃內(nèi)容，分配了網(wǎng)絡(luò)設(shè)備資源，為后續(xù)的工程實(shí)施和運(yùn)維維護(hù)打下基礎(chǔ)。文檔范圍本文檔主要內(nèi)容包括總體規(guī)劃、網(wǎng)絡(luò)資源分配、安全規(guī)劃設(shè)計(jì)等部分。讀者對(duì)象維護(hù)本文檔主要面向負(fù)責(zé)設(shè)計(jì)和實(shí)施工程信息化基礎(chǔ)設(shè)施提升數(shù)據(jù)中心及網(wǎng)絡(luò)平臺(tái)建設(shè)項(xiàng)目的網(wǎng)絡(luò)設(shè)計(jì)人員、人員、系統(tǒng)集成商網(wǎng)絡(luò)工程師、技術(shù)人員（項(xiàng)目工程師，項(xiàng)目經(jīng)理、系統(tǒng)工程師）等。數(shù)據(jù)中心總體規(guī)劃2.1. 規(guī)劃原則本規(guī)范是根據(jù)現(xiàn)有的環(huán)境以及目前XX 集團(tuán)業(yè)務(wù)對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的需求而制定的。本規(guī)范的制定

6、遵循以下基本原則：統(tǒng)一性數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)的構(gòu)建、網(wǎng)絡(luò)規(guī)劃和網(wǎng)絡(luò)管理都建立在“一個(gè)整體”的基礎(chǔ)之上。整體網(wǎng)絡(luò)的設(shè)計(jì)和建設(shè)都是基于對(duì) 二對(duì)XX的應(yīng)用、數(shù)據(jù)流和用戶訪問的全面理解。標(biāo)準(zhǔn)性網(wǎng)絡(luò)規(guī)范遵循業(yè)界公認(rèn)的標(biāo)準(zhǔn)制度一個(gè)高兼容性網(wǎng)絡(luò)結(jié)構(gòu)，確保設(shè)備、技術(shù)的互通和互操作性，方便快速部署新的產(chǎn)品和技術(shù)，以適應(yīng)業(yè)務(wù)的快速增長(zhǎng)。安全性網(wǎng)絡(luò)安全同時(shí)考慮生產(chǎn)系統(tǒng)和辦公系統(tǒng)數(shù)據(jù)的完整和安全。網(wǎng)絡(luò)結(jié)構(gòu)需要具有支持整套安全體系實(shí)施的能力, 以確保用戶、合作伙伴和員工生產(chǎn)、辦公的安全。可靠性網(wǎng)絡(luò)結(jié)構(gòu)必須能夠達(dá)到/超過(guò)業(yè)務(wù)系統(tǒng)對(duì)服務(wù)級(jí)別的要求。通過(guò)多層次的冗余連接考慮，以及設(shè)備自身的冗余 支持使得整個(gè)架構(gòu)在任意部分都能夠滿

7、足業(yè)務(wù)系統(tǒng)不間斷的連接需求。可擴(kuò)展性網(wǎng)絡(luò)結(jié)構(gòu)在功能、容量、覆蓋能力等各方面具有易擴(kuò)展能力，以適應(yīng)快速的業(yè)務(wù)發(fā)展對(duì)基礎(chǔ)架構(gòu)的要求。易管理性網(wǎng)絡(luò)結(jié)構(gòu)采用分層模塊化設(shè)計(jì)，同時(shí)配合整體網(wǎng)絡(luò)/系統(tǒng)管理，優(yōu)化網(wǎng)絡(luò)/系統(tǒng)管理和支持維護(hù)。3.業(yè)務(wù)功能區(qū)域劃分1核心業(yè)務(wù)區(qū)域?yàn)檎麄€(gè)集團(tuán)提供核心服務(wù)的硬件支撐環(huán)境和核心應(yīng)用、數(shù)據(jù)庫(kù)服務(wù)，主要的硬件包括核心應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等。2基礎(chǔ)業(yè)務(wù)區(qū)域主要提供支持整個(gè)企業(yè)信息系統(tǒng)的基礎(chǔ)服務(wù)，如內(nèi)部郵件服務(wù)器、CA服務(wù)器和文件服務(wù)器等。非核心服務(wù)的硬件支撐環(huán)境和應(yīng)用、數(shù)據(jù)庫(kù)服務(wù)，主要的硬件包括應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等3開發(fā)測(cè)試區(qū)域提供應(yīng)用系統(tǒng)上線前的測(cè)試和開發(fā)，主要包含兩

8、類服務(wù)器：即測(cè)試 服務(wù)器和開發(fā)服務(wù)器，在測(cè)試服務(wù)器的硬件配置方面采用和生產(chǎn)服 務(wù)器相同操作系統(tǒng)的服務(wù)器設(shè)備。4監(jiān)控及運(yùn)維管 理區(qū)域?yàn)榛A(chǔ)環(huán)境提供統(tǒng)一管理和維護(hù)的區(qū)域，這個(gè)區(qū)域的服務(wù)器主要是系統(tǒng)管理服務(wù)器和網(wǎng)管服務(wù)器。5數(shù)據(jù)存儲(chǔ)區(qū)域此區(qū)域部署企業(yè)存儲(chǔ)設(shè)備和備份設(shè)備。4.業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)名稱服務(wù)端口應(yīng)用模式業(yè)務(wù)描述1XX業(yè)務(wù)B/S or C/S2345.數(shù)據(jù)中心整體架構(gòu)數(shù)據(jù)中心整體架構(gòu)0RX 劃。GEX1Sm*rFarni-j 船也存砧區(qū)域接入交糧機(jī)EX6206苗擰足折地管理區(qū)域JI媯Serve rFirmi-JServe rFarin-ESrverFarm-FiiStrvtrF?irm-CSer

9、ve rFarm-A10GEX2模心交強(qiáng)機(jī)EXB216_：SeirverFdIfhi-HSrrv*rF*riii-l 耳宏闡斌反M外聯(lián)出口段其他單位10GE1S6rverFaritn-D移心交換機(jī) EXa216根據(jù)現(xiàn)在機(jī)房的布局，新機(jī)房整體分布在2個(gè)區(qū)域。機(jī)房一有6列服務(wù)器機(jī)柜，每列有 12個(gè)服務(wù)器機(jī)柜和一個(gè)弱電列頭柜；機(jī)房二有 1列總配線機(jī)柜和5列服務(wù)器機(jī)柜，每列有 12個(gè)服務(wù)器機(jī)柜和一個(gè)弱電列頭柜。機(jī)房一業(yè)務(wù)區(qū)域服務(wù)器機(jī)柜列A核心業(yè)務(wù)區(qū)域服務(wù)器機(jī)柜列B核心業(yè)務(wù)區(qū)域服務(wù)器機(jī)柜列C保留未分配服務(wù)器機(jī)柜列D保留未分配服務(wù)器機(jī)柜列E基礎(chǔ)業(yè)務(wù)區(qū)域服務(wù)器機(jī)柜列F基礎(chǔ)業(yè)務(wù)區(qū)域機(jī)房二業(yè)務(wù)區(qū)域總配線機(jī)柜骨干

10、網(wǎng)絡(luò)設(shè)備區(qū)域服務(wù)器機(jī)柜列G數(shù)據(jù)存儲(chǔ)區(qū)域服務(wù)器機(jī)柜列H保留未分配服務(wù)器機(jī)柜列I開發(fā)測(cè)試區(qū)域服務(wù)器機(jī)柜列J監(jiān)控及運(yùn)維管理區(qū)域整體以層次化結(jié)構(gòu)設(shè)計(jì)，萬(wàn)兆主干的基礎(chǔ)上，給服務(wù)器設(shè)備提供具備萬(wàn)兆接入的接入層設(shè)備。整個(gè)布線系統(tǒng)采用開放式線槽上走線方式，線槽布置在機(jī)房?jī)?nèi)的熱通道上方。機(jī)房?jī)?nèi)每排機(jī)柜設(shè)1臺(tái)列頭配線柜。整個(gè)布線系統(tǒng)采用萬(wàn)兆光纖及六類非屏蔽布線系統(tǒng)，從網(wǎng)絡(luò)列頭柜至每臺(tái)服務(wù)器機(jī)柜敷設(shè)12根雙絞線及12對(duì)萬(wàn)兆多模光纖。從總配線機(jī)柜至每臺(tái)網(wǎng)絡(luò)列頭柜敷設(shè)12根六類非屏蔽雙絞線及12對(duì)萬(wàn)兆多模光纖、至每臺(tái)服務(wù)器機(jī)柜敷設(shè)12對(duì)萬(wàn)兆多模光纖。數(shù)據(jù)中心需要連接集團(tuán)總部已有網(wǎng)絡(luò)的廣域網(wǎng)出口交換機(jī)、Internet出

11、口交換機(jī)、原數(shù)據(jù)中心核心交換機(jī)。數(shù)據(jù)中心核心設(shè)備核心網(wǎng)絡(luò)交換機(jī)在核心機(jī)房二的在總配線區(qū)，1列機(jī)柜內(nèi)，部署兩臺(tái) EX8216交換機(jī)萬(wàn)兆雙核心，各配置80個(gè)線速萬(wàn)兆提供10列業(yè)務(wù)服務(wù)器機(jī)柜的網(wǎng)絡(luò)連接。網(wǎng)絡(luò)核心區(qū)：作為 XX數(shù)據(jù)中心網(wǎng)絡(luò)的核心，為服務(wù)器接入網(wǎng)絡(luò)、互聯(lián)網(wǎng)區(qū)、園區(qū)網(wǎng)絡(luò)、備份中心網(wǎng)絡(luò)提供高速的路由交換功能，核心由2臺(tái)核心交換機(jī)構(gòu)成其中：a.兩臺(tái)均部署在數(shù)據(jù)中心的核心總配線區(qū)；b.兩臺(tái)核心之間采用 2條10G鏈路互連；核心交換和防火墻設(shè)備部署圖:1234EX8216-156 EX8216-278910A強(qiáng)電數(shù)據(jù)中心接入層設(shè)備接入?yún)^(qū)網(wǎng)絡(luò)交換機(jī)數(shù)據(jù)中心的服務(wù)器接入?yún)^(qū)的列頭交換機(jī)采用列末“End-

12、of-Row ”方式部署，由10臺(tái)EX8208分別作為每列服務(wù)4個(gè)10G互連（一臺(tái)接入交換機(jī)器機(jī)柜的業(yè)務(wù)接入。 每臺(tái)EX8208提供了 128個(gè)萬(wàn)兆接口，其中近120個(gè)可作為業(yè)務(wù)接入，8個(gè)線速萬(wàn)兆接口作為上 行鏈接。同時(shí)配置的 3塊48 口千兆接口卡可提供 144個(gè)千兆級(jí)業(yè)務(wù)服務(wù)器接入。這樣 EX8208還空余一個(gè)槽位，可 適時(shí)提供40個(gè)萬(wàn)兆或48個(gè)千兆接口卡的擴(kuò)展。服務(wù)器區(qū)網(wǎng)絡(luò)通過(guò)接入層交換機(jī)接入網(wǎng)絡(luò)核心。其中，接入與核心之間均采用分別用2個(gè)10G捆綁上行連接到兩臺(tái)不同的核心交換機(jī)），接入與核心采用全網(wǎng) OSPF設(shè)計(jì)模式。服務(wù)器接入?yún)^(qū)網(wǎng)絡(luò)防火墻在核心業(yè)務(wù)區(qū)域和基礎(chǔ)業(yè)務(wù)區(qū)域，每列服務(wù)器的接入交

13、換機(jī)都會(huì)旁掛一臺(tái)SRX3600防火墻作為區(qū)域的防火墻，提供本區(qū)域內(nèi)業(yè)務(wù)互訪及對(duì)其他區(qū)域訪問的安全隔離與控制。對(duì)于需要進(jìn)行安全控制的業(yè)務(wù)可直接將網(wǎng)關(guān)部署在防火墻SRX上，而無(wú)需通過(guò) SRXW火墻的業(yè)務(wù)，可直接將網(wǎng)關(guān)部署在交換機(jī)EX8208上。在開發(fā)測(cè)試區(qū)域，監(jiān)控及運(yùn)維管理區(qū)域，數(shù)據(jù)存儲(chǔ)區(qū)域以及保留的H列服務(wù)器機(jī)柜，每?jī)蓚€(gè)業(yè)務(wù)接入?yún)^(qū)將共享旁掛一臺(tái)SRX3600作為區(qū)域的防火墻。為保證兩個(gè)業(yè)務(wù)接入?yún)^(qū)通過(guò)一臺(tái)SRXB火墻進(jìn)行安全隔離時(shí)相互不受影響，在SRX3600防火墻上將部署虛擬化方式進(jìn)行業(yè)務(wù)的隔離，不同區(qū)域的業(yè)務(wù)將不受影響，相互之間不會(huì)通過(guò)SRX防火墻互通。核心業(yè)務(wù)區(qū)域和基礎(chǔ)業(yè)務(wù)區(qū)域列頭交換機(jī)和匯

14、聚防火墻設(shè)備部署圖:1EX82082SRX3600345678910111213A強(qiáng)電B1EX82082SRX3600345678910111213B強(qiáng)電E1EX82082SRX3600345678910111213A強(qiáng)電F1EX82082SRX3600345678910111213B強(qiáng)電開發(fā)測(cè)試區(qū)域，監(jiān)控及運(yùn)維管理區(qū)域，數(shù)據(jù)存儲(chǔ)區(qū)域 列頭交換機(jī)和匯聚防火墻設(shè)備部署圖：C1EX82082SRX3600345678910111213A強(qiáng)電1EX82082345678910111213B強(qiáng)電12345678910111213AEX8208SRX3600強(qiáng)電1EX82 082345678910111

15、213B強(qiáng)電1EX82 082SRX3 600345678910111213A強(qiáng)電1EX82 082345678910111213B強(qiáng)電說(shuō)明：由于出現(xiàn)兩個(gè)業(yè)務(wù)區(qū)域不同列服務(wù)器機(jī)柜共享一臺(tái)SRXB火墻系統(tǒng)，故上述業(yè)務(wù)區(qū)域?qū)⒂幸涣胁挤艆R聚防火墻，另有一列機(jī)柜位置為空。5.3.數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)連接區(qū)域機(jī)柜所在 列服務(wù)器機(jī) 柜數(shù)量列頭柜數(shù)量（網(wǎng)絡(luò)機(jī) 柜）千兆電口數(shù) 量/每機(jī)柜千兆光口數(shù) 量/每機(jī)柜萬(wàn)兆光口數(shù) 量/每機(jī)柜總配線區(qū) （網(wǎng)絡(luò)核 心區(qū)）969680服務(wù)器接 入?yún)^(qū)112112*812*412*8+8212112*812*412*8+8312112*812*412*8+8412112*812*41

16、2*8+8512112*812*412*8+8612112*812*412*8+8712112*812*412*8+8812112*812*412*8+8912112*812*412*8+81012112*812*412*8+8.全網(wǎng)路由規(guī)劃總體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)SRX 3600_QY_5EXS208 09業(yè)務(wù)區(qū)域業(yè)務(wù)區(qū)域1業(yè)務(wù)區(qū)域5Servers AreaServers AreaServers AreaServers Area01020910冽絡(luò)核心區(qū)-9= SRX3600_QY_1E)8208 01E)8208 02E)8208 10數(shù)據(jù)中心網(wǎng)絡(luò)建成后由網(wǎng)絡(luò)核心區(qū)域、業(yè)務(wù)區(qū)域組成，整體架構(gòu)采用雙

17、星型連接的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，核心層采用2臺(tái)Juniper的高端路由交換機(jī) EX8216提供全網(wǎng)的快速路由交換，業(yè)務(wù)交換機(jī)采用Juniper的高端路由交換機(jī)EX8208提供服務(wù)器的高速接入，業(yè)務(wù)區(qū)交換機(jī)通過(guò)多鏈路雙上連到網(wǎng)絡(luò)核心區(qū)交換機(jī)提供高可靠性的網(wǎng)絡(luò)連接。數(shù)據(jù)中心安全設(shè)備采用 Juniper萬(wàn)兆高端防火墻 SRX3600在5個(gè)業(yè)務(wù)區(qū)各部署 SRX3600防火墻，對(duì)進(jìn)入相關(guān) 區(qū)域的流量進(jìn)行有選擇的過(guò)濾。其中核心業(yè)務(wù)和基礎(chǔ)業(yè)務(wù)區(qū)，每列服務(wù)器各一臺(tái)SRX3600防火墻，兩列之間采用主備方式，在開發(fā)測(cè)試區(qū)域，監(jiān)控及運(yùn)維管理區(qū)域，數(shù)據(jù)存儲(chǔ)區(qū)域以及其他預(yù)留區(qū)域，每?jī)闪蟹?wù)器共用一臺(tái)SRX3600防火墻。路由

18、協(xié)議設(shè)計(jì)根據(jù)網(wǎng)絡(luò)的優(yōu)化設(shè)計(jì)策略，在選擇及規(guī)劃路由協(xié)議時(shí)需要按照這些因素進(jìn)行考慮和設(shè)計(jì)。目前常用的路由協(xié)議有多種，有靜態(tài)和動(dòng)態(tài)兩種，靜態(tài)相對(duì)簡(jiǎn)單動(dòng)態(tài)路由協(xié)議相對(duì)復(fù)雜，如RIP、IGRP、EIGRR OSPF IS-IS、BGP等等。一般來(lái)說(shuō)分為：內(nèi)部網(wǎng)關(guān)路由協(xié)議和外部網(wǎng)關(guān)路由協(xié)議。其中內(nèi)部網(wǎng)關(guān)路由協(xié)議又可以分為：距離一矢量路由協(xié)議（RIP、IGRP和EIGRP ;鏈路狀態(tài)路由協(xié)議（OSP林口 IS-IS等）。外部網(wǎng)關(guān)路由協(xié)議主要指的是BGP路由協(xié)議。在IGP路由協(xié)議的選擇上，距離矢量路由協(xié)議主要特點(diǎn)是適合于小型網(wǎng)絡(luò)，路由收斂較慢，可能會(huì)形成路由環(huán)路，鏈路帶寬消耗較大等。IGRP、EIGRP是廠商

19、私有的路由協(xié)議，所以盡量不要采用擴(kuò)展性差的（RIP）和廠家的私有路由協(xié)議（IGRP和EIGRB,盡量采用 OSP成IS-IS 。基于對(duì)于XX集團(tuán)網(wǎng)絡(luò)和路由協(xié)議分析，可適合使用動(dòng)態(tài)路由協(xié)議與靜態(tài)路由協(xié)議相結(jié)合的方式（即核心交換區(qū)交換機(jī)與業(yè)務(wù)區(qū)交換機(jī)之間啟用動(dòng)態(tài)路由，防火墻與交換機(jī)之間用靜態(tài)路由），進(jìn)行網(wǎng)絡(luò)路由的自適應(yīng)調(diào)節(jié)。動(dòng)態(tài)路由協(xié)議使用 OSPF使用OSP曲由協(xié)議有以下優(yōu)點(diǎn)：OSPF路由協(xié)議使用鏈路狀態(tài)觸發(fā)更新機(jī)制，本地進(jìn)行路由的計(jì)算。網(wǎng)絡(luò)一旦產(chǎn)生故障，網(wǎng)絡(luò)收斂時(shí)間短， 可以迅速恢復(fù)網(wǎng)絡(luò)通訊。對(duì)網(wǎng)絡(luò)地址規(guī)劃的依從性上看，OSPF協(xié)議支持VLSM的路由廣播方式。可以實(shí)現(xiàn) IP地址的詳細(xì)規(guī)劃和更合

20、理的利用。OSPF協(xié)議使用鏈路觸發(fā)更新機(jī)制，在網(wǎng)絡(luò)收斂時(shí)，只發(fā)送相關(guān)鏈路狀態(tài)信息，在設(shè)備本地進(jìn)行路由表的重 新計(jì)算。發(fā)送數(shù)據(jù)量小，帶寬占用量低。OSP刖議可實(shí)現(xiàn)多路徑的流量負(fù)載均衡，在網(wǎng)絡(luò)的結(jié)構(gòu)中，可以按照實(shí)際需求實(shí)現(xiàn)流量分配。OSPF協(xié)議是一個(gè)結(jié)構(gòu)化，層次分明的路由協(xié)議。適合數(shù)據(jù)中心的結(jié)構(gòu)環(huán)境，同時(shí)，在網(wǎng)絡(luò)擴(kuò)展的過(guò)程中， 可以實(shí)現(xiàn)網(wǎng)絡(luò)模塊的隔離，減少故障影響范圍。OSP刖議是國(guó)際標(biāo)準(zhǔn)的路由協(xié)議，所有主流廠商均可以實(shí)現(xiàn)在多廠商不同的設(shè)備上，通過(guò)OSP刖議實(shí)現(xiàn)網(wǎng)絡(luò)的聯(lián)通。選用 OSP劭議，可以避免以后網(wǎng)絡(luò)擴(kuò)容升級(jí)的局限性。根據(jù)XX集團(tuán)的數(shù)據(jù)中心架構(gòu)我們?cè)O(shè)計(jì)數(shù)據(jù)中心內(nèi)部的所有交換機(jī)都在一個(gè)OSPF

21、區(qū)域內(nèi)，EX8216和EX8208運(yùn)行OSPF的接口包括交換機(jī)的互聯(lián)接口、業(yè)務(wù)網(wǎng)關(guān)和交換機(jī)連接防火墻的3層接口?？紤]到防火墻作為安全防護(hù)設(shè)備，出于“簡(jiǎn)化結(jié)構(gòu)，提高可管理性”的考慮，防火墻不參與 OSPF只與交換機(jī)互指靜態(tài)路由，通過(guò)交換機(jī)重分布 方法把靜態(tài)路由發(fā)布到 OSPFM內(nèi)。OSPFB劃如下圖：網(wǎng)絡(luò)核心區(qū)網(wǎng)絡(luò)設(shè)計(jì)核心層是數(shù)據(jù)業(yè)務(wù)流動(dòng)的動(dòng)脈，同時(shí)還擔(dān)負(fù)著業(yè)務(wù)流動(dòng)的總調(diào)度任務(wù)。核心網(wǎng)從功能上來(lái)看包括幾個(gè)方面：1、為數(shù)據(jù)中心內(nèi)互聯(lián)提供高速路由，實(shí)現(xiàn)核心數(shù)據(jù)高速交換；2、實(shí)現(xiàn)數(shù)據(jù)中心系統(tǒng)管理；3、實(shí)現(xiàn)數(shù)據(jù)中心與外網(wǎng)的高速連接，實(shí)現(xiàn)全網(wǎng)數(shù)據(jù)中心業(yè)務(wù)資源共享；因而在核心層網(wǎng)絡(luò)的整體結(jié)構(gòu)上，我們與各個(gè)業(yè)

22、務(wù)區(qū)用全互聯(lián)的網(wǎng)絡(luò)拓?fù)渥鳛槟壳暗倪B接方式，每臺(tái)EX8216與業(yè)務(wù)區(qū)的EX8208用2條萬(wàn)兆光纖互聯(lián)，采用鏈路捆綁技術(shù)加大帶寬利用率。如下圖：EX8216-1EX8216-2LLLLlEX8208業(yè)務(wù)區(qū)網(wǎng)絡(luò)設(shè)計(jì)通過(guò)在業(yè)務(wù)區(qū)交換機(jī)上對(duì)應(yīng)全網(wǎng)的安全結(jié)構(gòu)劃分VLAN以有效保證網(wǎng)絡(luò)業(yè)務(wù)的安全性，并對(duì)可能出現(xiàn)的網(wǎng)絡(luò)病毒和攻擊進(jìn)行邏輯上的隔離。為了保證數(shù)據(jù)中心內(nèi)部的大容量交換，每臺(tái)EX8208交換機(jī)用2條萬(wàn)兆光纖鏈路通過(guò)鏈路捆綁上聯(lián)到EX8216,目前設(shè)計(jì)的兩臺(tái)交換機(jī)負(fù)載均衡。如日后需要設(shè)置主次關(guān)系，如主用設(shè)備為EX8216-1,為了防止次優(yōu)路徑產(chǎn)生，可通過(guò)對(duì)EX8208上聯(lián)鏈路COST值調(diào)整，使流量主走E

23、X8216-1交換機(jī)，當(dāng) EX8208上聯(lián)鏈路發(fā)生故障時(shí)候可以通過(guò)OSPF算法自動(dòng)把流量切到EX8216-2 上。EX8208上聯(lián)EX8216-1鏈路的COS碇議值為100,EX8208上聯(lián)EX8216-2的鏈路 COS碇議值為100。EX8216-1與EX8216-2的互聯(lián)鏈路 COS碇議值為50。EX8208-1與EX8208-2的互聯(lián)鏈路 COS碇議值為20。每個(gè)業(yè)務(wù)區(qū)部署一臺(tái) SRX3600匯聚防火墻，根據(jù)業(yè)務(wù)保護(hù)的需求，如果應(yīng)用需要進(jìn)行安全防護(hù)的業(yè)務(wù)則將網(wǎng)關(guān) 設(shè)置在匯聚防火墻 SRX3600上，如果不需要安全防護(hù)則將網(wǎng)關(guān)設(shè)置在EX8208 （詳細(xì)設(shè)計(jì)可參考“安全策略規(guī)劃章節(jié)”，EX8

24、208與SRX3600之間鏈路設(shè)置為 TRUNK式，然后根據(jù)需要把相應(yīng)的不同安全需求的VLAN的3層接口配置到 EX8208或SRX3600上。為了能讓穿越業(yè)務(wù)區(qū)匯聚防火墻的數(shù)據(jù)返回EX8208交換機(jī)，需要在每個(gè)業(yè)務(wù)區(qū)防火墻與EX8208之間有3層連接，防火墻上通過(guò)靜態(tài)路由把數(shù)據(jù)返回給EX8208。.全網(wǎng)安全策略規(guī)劃防火墻在網(wǎng)絡(luò)中起到了區(qū)域隔離，安全控制的作用。在網(wǎng)絡(luò)中通過(guò)部署防火墻可以達(dá)到訪問控制和網(wǎng)絡(luò)攻擊防 范的目的。核心區(qū)防火墻負(fù)責(zé)控制本地?cái)?shù)據(jù)與外網(wǎng)數(shù)據(jù)的交互，是本數(shù)據(jù)中心與其他數(shù)據(jù)中心互訪流量的必經(jīng)之路?？紤] 到XX網(wǎng)絡(luò)整體結(jié)構(gòu)中已部署多重安全保障策略，故在本數(shù)據(jù)中心的核心位置不再部署

25、防火墻安全系統(tǒng)，減少網(wǎng)絡(luò) 流的中間環(huán)節(jié)，重要業(yè)務(wù)的安全保障由各業(yè)務(wù)區(qū)域考慮防護(hù)。整體安全由集團(tuán)網(wǎng)絡(luò)總出口的安全平臺(tái)進(jìn)行統(tǒng)一防護(hù)。SERVEfFARMK由大量服務(wù)器組成，服務(wù)器連接到列頭柜交換機(jī) EX8208,通過(guò)EX8208連接核心交換機(jī)，在EX8208 交換機(jī)上旁掛SRX防火墻的連接結(jié)構(gòu)。在本數(shù)據(jù)中心，核心業(yè)務(wù)區(qū)和基礎(chǔ)業(yè)務(wù)區(qū)作為SERVERFARMfr的關(guān)鍵業(yè)務(wù)區(qū)，每個(gè)區(qū)域部署兩臺(tái)防火墻，分別在每個(gè)列頭小I交換機(jī) EX8208上旁掛一臺(tái)SRX防火墻。每類關(guān)鍵業(yè)務(wù)區(qū)域各占據(jù)兩列業(yè)務(wù)機(jī)柜，連接方式參考“服 務(wù)器接入?yún)^(qū)網(wǎng)絡(luò)防火墻”部分的介紹。開放測(cè)試區(qū)、系統(tǒng)管理區(qū)、數(shù)據(jù)存儲(chǔ)區(qū)為普通業(yè)務(wù)區(qū)，各業(yè)務(wù)區(qū)

26、服務(wù)器連接到列頭柜交換機(jī)EX8208,通過(guò)EX8208連接核心交換機(jī)。每?jī)蓚€(gè)業(yè)務(wù)區(qū)的選取其中一列的EX8208交換機(jī)上旁掛一臺(tái) SRX防火墻，連接方式參考“服務(wù)器接入?yún)^(qū)網(wǎng)絡(luò)防火墻”部分的介紹。SERVER FAR陜鍵業(yè)務(wù)區(qū)防火墻部署設(shè)計(jì)核心業(yè)務(wù)區(qū)和基礎(chǔ)業(yè)務(wù)區(qū)作為SERVEFFARMfr的關(guān)鍵業(yè)務(wù)區(qū)，每個(gè)區(qū)域部署兩臺(tái)防火墻，在每個(gè)列頭柜交換機(jī)EX8208上旁掛一臺(tái) SRXW火墻。Server Farm關(guān)鍵業(yè)務(wù)區(qū)（核心業(yè)務(wù)/基礎(chǔ)業(yè)務(wù)）A1EX82082SRX3 600345678910111213A強(qiáng)電B1EX82082SRX3 600345678910111213B強(qiáng)電E1EX822SRX334

27、5678910111213A強(qiáng)電086001EX82082SRX3600345678910111213B強(qiáng)電HA 設(shè)計(jì)為保障網(wǎng)絡(luò)的高可用性，采用主/備模式對(duì)關(guān)鍵業(yè)務(wù)區(qū)防火墻進(jìn)行部署。SRXB火墻采用控制和轉(zhuǎn)發(fā)分離的架構(gòu)設(shè)計(jì)，在HA部署時(shí)對(duì)應(yīng)為控制平面和轉(zhuǎn)發(fā)平面，因此需要兩條心跳線：CONTROLINK和DATAJNK, CONTROLINK負(fù)責(zé)控制平面的數(shù)據(jù)同步，配置數(shù)據(jù)的同步和機(jī)箱管理進(jìn)程等數(shù)據(jù)均通過(guò)CONTROLINK傳輸。DATALINK負(fù)責(zé)轉(zhuǎn)發(fā)平面的數(shù)據(jù)同步，防火墻會(huì)話狀態(tài)的同步在DATALINK上傳輸。防火墻的 HA設(shè)計(jì)為主/備方式，控制平面和轉(zhuǎn)發(fā)平面在同一臺(tái)防火墻上為 ACTIVE

28、狀態(tài)，另一臺(tái)防火墻為 STANDB狀態(tài)，當(dāng)發(fā)生如下故障時(shí)執(zhí)行防火墻切換：故障場(chǎng)景動(dòng)作備注電源故障執(zhí)行 FAILOVER電源數(shù)量小于系統(tǒng)要求時(shí)連接核心交換機(jī)接口同時(shí) DOWN& 一條執(zhí)行 FAILOVER設(shè)置防火墻互聯(lián)接口權(quán)重等于128SPCS卡故障執(zhí)行 FAILOVERRE故障或SFB故障執(zhí)行 FAILOVERNPCS卡故障執(zhí)行 FAILOVERNPC關(guān)聯(lián)的接口配置了MONITOR防火墻ZON豉計(jì)防火墻面向內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)的接口劃入TRUST ZONE面向外部網(wǎng)絡(luò)的接口劃入U(xiǎn)NTRUST ZONE防火墻接口互聯(lián)設(shè)計(jì)SRX防火墻通過(guò)兩個(gè)萬(wàn)兆端口雙鏈路連接至EX8208交換機(jī)，兩個(gè)端口分別放入TRUS

29、TS UNTRUST ZONE實(shí)現(xiàn)內(nèi)、外網(wǎng)絡(luò)的區(qū)域隔離。該區(qū)域SRX3600每臺(tái)需要2個(gè)萬(wàn)兆接口。Trust接口配置為需要安全保護(hù)的業(yè)務(wù)vlan的三層網(wǎng)關(guān)，負(fù)責(zé)需要保護(hù)的業(yè)務(wù)網(wǎng)段三層終結(jié)。Untrust接口對(duì)應(yīng)為一個(gè)三層網(wǎng)絡(luò)接口，直接與兩臺(tái) EX8208交換機(jī)VRR由的三層地址互聯(lián)。在交換機(jī)之間使用兩條萬(wàn)兆鏈路配置LAG以實(shí)現(xiàn)接口捆綁，LAG內(nèi)承載多個(gè)vlan流量，負(fù)責(zé)三部分業(yè)務(wù)連接。Trust zone 內(nèi)的保護(hù) vlan 段；Untrust zone內(nèi)的三層網(wǎng)絡(luò)互聯(lián) vlan ,由于防火墻需要 HA互聯(lián)，則兩臺(tái)防火墻需要通過(guò)交換機(jī)與在 一個(gè)vlan內(nèi)互通；EX8208之間的三層互聯(lián)接口，可

30、提供OSPE聯(lián)保障，以實(shí)現(xiàn)網(wǎng)絡(luò)的三層冗余保護(hù)。在本類業(yè)務(wù)區(qū)，各服務(wù)器列的SRX3600防火墻需通過(guò)兩對(duì)光纖鏈路連接臨近服務(wù)器列的SRX3600防火墻，各服務(wù)器列的EX8208需通過(guò)兩對(duì)光纖鏈路連接臨近服務(wù)器列的EX8208交換機(jī)，總數(shù)需 4對(duì)互聯(lián)光纖。7.1.4.訪問控制方式由于不同服務(wù)器的業(yè)務(wù)區(qū)別，其所要求的安全保護(hù)等級(jí)也不同，在本方案設(shè)計(jì)中，定義了兩類服務(wù)器：一類是 高安全級(jí)別服務(wù)器，這類服務(wù)器的所有流量需要穿越SERVERFARM火墻以得到安全保護(hù)。另一類是低安全級(jí)別服務(wù)器，這類服務(wù)器的訪問數(shù)據(jù)不需要受到業(yè)務(wù)區(qū)防火墻的安全保護(hù)，直接穿越EX8208交換機(jī)到達(dá)核心層，以得到更優(yōu)的訪問路徑和

31、傳輸效率。根據(jù)上述業(yè)務(wù)分解，在關(guān)鍵業(yè)務(wù)區(qū)域的業(yè)務(wù)可分為4類:業(yè)務(wù)分類連接位直安全保護(hù)要求防火墻冗余保護(hù)業(yè)務(wù)網(wǎng)關(guān)位置業(yè)務(wù)1類EX8208-1無(wú)-EX8208-1業(yè)務(wù)2類EX8208-2無(wú)-EX8208-2業(yè)務(wù)3類EX8208-1EX8208-2無(wú)-EX8208-1 主EX8208-2 備業(yè)務(wù)4類EX8208-1有有SRX3600-1 主 SRX3600-2備EX8208-2有有SRX3600-1 主 SRX3600-2備EX8208-1EX8208-2有有SRX3600-1 主 SRX3600-2備Server Farm關(guān)鍵業(yè)務(wù)區(qū):單列內(nèi)業(yè)務(wù)網(wǎng)段的業(yè)務(wù)流LHPROTECTEO SERVER PR

32、OTECTED SERVERPROTECTE D SERVER (J MPROTECTEO SE RVE R上述設(shè)計(jì)是通過(guò)在不同級(jí)別的服務(wù)器上設(shè)置不同網(wǎng)關(guān)地址得到，對(duì)于低安全級(jí)別服務(wù)器，將網(wǎng)關(guān)地址指向EX8208的三層VLAN接口地址，EX8208通過(guò)查詢OSPF路由直接將報(bào)文轉(zhuǎn)發(fā)至目的網(wǎng)絡(luò)。對(duì)于高安全級(jí)別服務(wù)器，將網(wǎng)關(guān)地址指向 SRX防火墻的TRUS假口地址,此時(shí) EX8208只起到二層透?jìng)鞯淖饔茫赟RX防火墻上使用默認(rèn)路由，下一跳指向EX8208與SRX互聯(lián)子接口的三層地址；同時(shí)在EX8208上需要回指靜態(tài)路由將高安全級(jí)別服務(wù)器網(wǎng)段指向防火墻 UNTRUSTF接口地址，并將靜態(tài)路由再發(fā)布

33、到OSPF中。在防火墻上根據(jù)訪問需求配置安全策略和防攻擊參數(shù)。SERVER FARM!鍵業(yè)務(wù)區(qū)的可靠性對(duì)于核心業(yè)務(wù)區(qū)域和基礎(chǔ)業(yè)務(wù)區(qū)域部分，由于每列機(jī)柜目前只有一臺(tái)接入列頭交換機(jī)，單列服務(wù)器目前存在一 定的單點(diǎn)故障，如果在該區(qū)域考慮部署雙機(jī)或虛擬服務(wù)器的方式提供業(yè)務(wù)的可靠性，可將雙機(jī)或虛擬服務(wù)器的不同 物理硬件設(shè)備布放到不同的機(jī)柜列。針對(duì)這類在區(qū)域內(nèi)不同機(jī)架（即不同的EX8208接入）有同一個(gè)業(yè)務(wù) vlan時(shí)，業(yè)務(wù)流會(huì)如下圖所示。Server Farm關(guān)鍵業(yè)務(wù)區(qū):多列共享業(yè)務(wù)網(wǎng)段的業(yè)務(wù)流Channel+trunk+vrrpBackuanYlanXmmEX8208-2BackupUNPROTECT

34、ED SERVEROSPFEX8208-1MasterVlanYL2 interface 二 L2 interface+SVI 二UNPROTECTED SERVEROSPFL3 subinterface-untrustSRX3600-1SRX3600-2Master L3 subinterface-trustVlanXPROTECTED SERVERPROTECTED SERVER32Copyright ? 2009 Juniper Networks, Inc. HYPERLINK 如上圖，在兩列機(jī)柜內(nèi)部署相同的業(yè)務(wù)網(wǎng)段，服務(wù)器連接到本列的接入交換機(jī)，兩臺(tái)接入交換機(jī)之間可同時(shí)提供業(yè)務(wù)vlan

35、的連接。需防火墻安全隔離的為VLAN-X,網(wǎng)關(guān)部署在防火墻 SRX3600上,SRX3600-1為主，SRX3600-2為備用；而無(wú)需防火墻安全防護(hù)的為VLAN-Y, EX8208-1為主用，EX8208-2為備用。關(guān)鍵業(yè)務(wù)通過(guò)這種方式，任意一臺(tái)服務(wù)器，接入交換機(jī)，防火墻或鏈路出現(xiàn)故障，均可在一定程度上保障業(yè)務(wù)的可靠性。當(dāng)交換機(jī)相關(guān)板卡或端口以及主防火墻鏈路故障時(shí)，如下圖：VlanX的業(yè)務(wù)流將轉(zhuǎn)移到右側(cè)交換機(jī) /防火墻進(jìn)行轉(zhuǎn)發(fā)。Server Farm 多物理服務(wù)器連接-鏈路切換juniper當(dāng)主防火墻設(shè)備故障時(shí)，如下圖：VlanX的業(yè)務(wù)流將轉(zhuǎn)移到右側(cè)交換機(jī) /防火墻進(jìn)行轉(zhuǎn)發(fā)。Server Fa

36、rm 多物理服務(wù)器連接-設(shè)備切換OSPFChannel+trunk+vrrpL3 subinterface-untrustOSPFEX8208-2MasterVlanYtnSRX3600-1Master L3 subinterface-trustSRX3600-2BackupBackuplanXVlanXanYL2 interface/ L2 interface+SVI : jUNPROTECTED SERVERPROTECTE-D SERVERSERVERIECIEDEX8208-133Copyright ? 2009 Juniper Networks, Inc. HYPERLINK jun

37、iper-it 一對(duì)于該類業(yè)務(wù)區(qū)，只在單列機(jī)柜內(nèi)部署的業(yè)務(wù)服務(wù)器也可通過(guò)上述方式進(jìn)行連接和部署，提供防火墻及出口鏈路的可靠性。但由于單列機(jī)柜內(nèi)部署的限制，接入交換機(jī)EX8208相連接口 /板卡，甚至整機(jī)出現(xiàn)故障的情況下，仍然會(huì)出現(xiàn)單點(diǎn)故障無(wú)法避免的情況。SERVER FARK通業(yè)務(wù)區(qū)防火墻部署設(shè)計(jì)開放測(cè)試區(qū)、系統(tǒng)管理區(qū)、數(shù)據(jù)存儲(chǔ)區(qū)為普通業(yè)務(wù)區(qū)，各業(yè)務(wù)區(qū)服務(wù)器連接到列頭柜交換機(jī)EX8208,通過(guò)EX8208連接核心交換機(jī)。每?jī)蓚€(gè)業(yè)務(wù)區(qū)的選取其中一列的EX8208交換機(jī)上旁掛一臺(tái) SRX防火墻。Server Farm普通業(yè)務(wù)區(qū)開發(fā)測(cè)試區(qū)/監(jiān)控及運(yùn)維管理區(qū)/數(shù)據(jù)存儲(chǔ)區(qū)）開發(fā)測(cè)試區(qū)域，監(jiān)控及運(yùn)維管理區(qū)

38、域，數(shù)據(jù)存儲(chǔ)區(qū)域列頭交換機(jī)和匯聚防火墻設(shè)備部署圖:1SRX36002EX8208345678910111213A強(qiáng)電12EX8208345678910111213B強(qiáng)電1SRX36002EX8208345678910111213A強(qiáng)電12EX8208345678910111213B強(qiáng)電防火墻ZON戌IJ分SRX防火墻基于ZONE勺概念區(qū)分安全隔離域，對(duì)于跨越不同ZON乏間的訪問流量，需要定義安全策略允許流量穿越。定義面向服務(wù)器方向的接口屬于TRUST ZON E面向核心交換機(jī)方向接口屬于UNTRUST ZON E防火墻接口互聯(lián)設(shè)計(jì)該區(qū)域SRX3600每臺(tái)需要4個(gè)萬(wàn)兆接口， SRX邏輯上虛擬出兩

39、個(gè)路由區(qū)域，分別負(fù)責(zé)不同業(yè)務(wù)區(qū)域（對(duì)應(yīng)各列 EX8208）的業(yè)務(wù)連接與防護(hù)。每個(gè)虛擬區(qū)域各有兩個(gè)萬(wàn)兆接口。（注：考慮到I/J列業(yè)務(wù)等級(jí)相對(duì)較低，該區(qū)域的防火墻配置2個(gè)萬(wàn)兆接口， I/J列各連接一個(gè)萬(wàn)兆接口。）SRX防火墻通過(guò)兩個(gè)萬(wàn)兆端口雙鏈路連接至單臺(tái)EX8208交換機(jī)，兩個(gè)端口分別放入TRUSTS UNTRUST ZONE實(shí)現(xiàn)內(nèi)、外網(wǎng)絡(luò)的區(qū)域隔離。Trust接口配置為多個(gè)子接口，每個(gè)接口為一個(gè)業(yè)務(wù)vlan的三層網(wǎng)關(guān)，負(fù)責(zé)需要保護(hù)的業(yè)務(wù)網(wǎng)段三層終結(jié)。Untrust接口配置為三層網(wǎng)絡(luò)接口，直接與EX8208交換機(jī)三層連接。在本類業(yè)務(wù)區(qū)，未物理放置防火墻的服務(wù)器列交換機(jī)需通過(guò)兩對(duì)光纖鏈路連接臨近服

40、務(wù)器列的SRX3600 （ J列監(jiān)控及運(yùn)維管理區(qū)域交換機(jī)需一對(duì)光纖連接至I列的防火墻。）7.2.3.訪問控制方式由于不同服務(wù)器的業(yè)務(wù)區(qū)別，其所要求的安全保護(hù)等級(jí)也不同，在本方案設(shè)計(jì)中，定義了兩類服務(wù)器：一類是 高安全級(jí)別服務(wù)器，這類服務(wù)器的所有流量需要穿越SERVERFARM火墻以得到安全保護(hù)。另一類是低安全級(jí)別服務(wù)器，這類服務(wù)器的訪問數(shù)據(jù)不需要受到防火墻的安全保護(hù)，直接穿越EX8208交換機(jī)到達(dá)核心層，以得到更優(yōu)的訪問路徑和傳輸效率。業(yè)務(wù)分類連接位直安全保護(hù)要求防火墻保護(hù)業(yè)務(wù)網(wǎng)關(guān)位置業(yè)務(wù)1類EX8208-1無(wú)-EX8208-1業(yè)務(wù)2類EX8208-1有有SRX3600-1上述設(shè)計(jì)是通過(guò)在不同

41、級(jí)別的服務(wù)器上設(shè)置不同網(wǎng)關(guān)地址得到，對(duì)于低安全級(jí)別服務(wù)器，將網(wǎng)關(guān)地址指向EX8208的三層VLAN接口地址，EX8208通過(guò)查詢OSPF路由直接將報(bào)文轉(zhuǎn)發(fā)至目的網(wǎng)絡(luò)。對(duì)于高安全級(jí)別服務(wù)器，將網(wǎng)關(guān)地址指向 SRX防火墻的TRUS假口地址,此時(shí) EX8208只起到二層透?jìng)鞯淖饔茫赟RX防火墻上使用默認(rèn)路由，下一跳指向EX8208與SRX互聯(lián)子接口的三層地址；同時(shí)在EX8208上需要回指靜態(tài)路由將高安全級(jí)別服務(wù)器網(wǎng)段指向防火墻 UNTRUSTF接口地址，并將靜態(tài)路由再發(fā)布到OSPF中。在防火墻上根據(jù)訪問需求配置安全策略和防攻擊參數(shù)。SERVER FAR業(yè)務(wù)區(qū)防火墻POLICY設(shè)計(jì)防火墻POLICY

42、起到對(duì)數(shù)據(jù)流的訪問控制作用，在SERVER FARM；需要對(duì)高安全級(jí)別服務(wù)器的出入流量進(jìn)行SERVER FAR業(yè)務(wù)區(qū)防火墻安全參數(shù)設(shè)計(jì)在SRX防火墻上可以設(shè)置多種安全參數(shù)以審查數(shù)據(jù)包的合法性、完整性以及判斷是否為攻擊流量，在SERVERFARMK設(shè)計(jì)安全參數(shù)配置如下：參數(shù)狀態(tài)TCP SYN-CHECKONTCP SEQ-CHECKOFFSESSION LIMITOFFTEAR DROPOFFSYN FLOODOFFSERVER FAR睡防火墻管理設(shè)計(jì)對(duì)設(shè)備通過(guò)各種方式進(jìn)行管理可以起到監(jiān)控狀態(tài)、及時(shí)發(fā)現(xiàn)故障和統(tǒng)計(jì)分析的作用，本方案設(shè)計(jì)采用SYSLOG和SNM兩種協(xié)議對(duì)防火墻進(jìn)行管理。SYSLOG

43、fe防火墻中分為 EVENT LOG口 TRAFFIC LOGM種，EVENT LO比設(shè)備狀態(tài)改變、硬件或軟件故障、配置 變化時(shí)產(chǎn)生日志并發(fā)送到日志服務(wù)器。 TRAFFICLOG會(huì)在穿越防火墻的會(huì)話打開 /關(guān)閉時(shí)記錄會(huì)話信息，能夠幫助網(wǎng) 管人員進(jìn)行統(tǒng)計(jì)分析和故障排查。SNM盼為GET SET TRAP三種操作，本方案設(shè)計(jì)只對(duì)SRX防火墻開放 GETS TRAP兩種操作，網(wǎng)管人員可以通過(guò)GET方式從防火墻獲取狀態(tài)信息，當(dāng)防火墻發(fā)生硬件故障、軟件故障、狀態(tài)變化時(shí)會(huì)主動(dòng)發(fā)送TRAP消息到網(wǎng)管服務(wù)器。.關(guān)鍵業(yè)務(wù)的保障規(guī)劃多網(wǎng)卡服務(wù)器的業(yè)務(wù)保障對(duì)于部分服務(wù)器目前已配置多塊網(wǎng)卡可提供多鏈路上行至接入交換機(jī)

44、， 目前可將不同網(wǎng)卡的上行鏈路連接到列 頭接入交換機(jī)的不同槽位板卡。 這樣無(wú)論服務(wù)器單塊網(wǎng)卡或接入交換機(jī)的單塊板卡， 以及之間連接的鏈路出現(xiàn)故障, 均可在一定程度上保證該服務(wù)器不會(huì)出現(xiàn)業(yè)務(wù)中斷故障。例如數(shù)據(jù)庫(kù)服務(wù)器（EXA-Data）該類服務(wù)器即可通過(guò)這種方式進(jìn)行網(wǎng)絡(luò)連接。EX8208SERVER但由于每列機(jī)柜目前只有臺(tái)接入列頭交換機(jī)，如需要進(jìn)一步提供網(wǎng)絡(luò)的可靠性，建議在每列服務(wù)器機(jī)柜增加一 臺(tái)列頭交換機(jī)。重要區(qū)域的虛擬服務(wù)器業(yè)務(wù)保障對(duì)于核心業(yè)務(wù)區(qū)域和基礎(chǔ)業(yè)務(wù)區(qū)域部分，由于每列機(jī)柜目前只有臺(tái)接入列頭交換機(jī)，單列服務(wù)器目前存在一定 的單點(diǎn)故障，如果在該區(qū)域考慮部署雙機(jī)或虛擬服務(wù)器的方式提供業(yè)務(wù)的

45、可靠性，可將雙機(jī)或虛擬服務(wù)器的不同物 理硬件設(shè)備布放到不同的機(jī)柜列。Server Farm多物理服務(wù)器連接如上圖，在兩列機(jī)柜會(huì)部署相同的業(yè)務(wù)網(wǎng)段，服務(wù)器連接到本列的接入交換機(jī)，兩臺(tái)接入交換機(jī)之間共享 VLAN需防火墻安全隔離的為 VLAN-X,網(wǎng)關(guān)部署在防火墻 SRX3600上，SRX3600-1為主，SRX3600-2為備用；而無(wú)需防火墻安全防護(hù)的為 VLAN-Y EX8208-1為主用，EX8208-2為備用。通過(guò)這種方式，任意一臺(tái)服務(wù)器，接入交換機(jī)，防火墻或鏈路出現(xiàn)故障，均可在一定程度上保障業(yè)務(wù)的可靠性。.網(wǎng)絡(luò)設(shè)備安裝規(guī)劃網(wǎng)絡(luò)設(shè)備命名設(shè)備命名規(guī)則為便于進(jìn)行網(wǎng)絡(luò)故障診斷和遠(yuǎn)程監(jiān)測(cè)，將統(tǒng)一全

46、轄網(wǎng)絡(luò)設(shè)備的命名。設(shè)備命名規(guī)則將采用字母與數(shù)字結(jié)合的方 法，采用等長(zhǎng)命名規(guī)則，字段分隔符為“ 一（下劃線），具體規(guī)則為：字段1_字段2_字段3_字段4字段5各字段含義如下：字段1樓層名稱：SHC2字段2機(jī)架所在列標(biāo)識(shí)：A,B.字段3設(shè)備用途名稱：WLHX字段4設(shè)備型號(hào):EX8216字段5管理IP地址舟-位命名示例網(wǎng)絡(luò)核心區(qū)核心交換機(jī) 1設(shè)備名稱：SHC2_CORE_WLHX_EX8216_1網(wǎng)絡(luò)核心業(yè)務(wù)區(qū)交換機(jī) 1設(shè)備名稱：SHC2_A_HXYW_EX8208_3設(shè)備命名列表根據(jù)以上網(wǎng)絡(luò)設(shè)備名稱規(guī)則，按照以下表格形式，給出所有網(wǎng)絡(luò)設(shè)備的名稱，及相關(guān)用途和描述。序號(hào)設(shè)備名稱設(shè)備型號(hào)所屬區(qū)域1SH

47、C2_WLHX_EX8216_1JuniperEX8216網(wǎng)絡(luò)核心2SHC2_WLHX_EX8216_2JuniperEX8216網(wǎng)絡(luò)核心3SHC2_A_HXYW_EX8208_3JuniperEX8208核心業(yè)務(wù)區(qū)4SHC2_B_HXYW_EX8208_4JuniperEX8208核心業(yè)務(wù)區(qū)7SHC2_C_EX8208_5JuniperEX8208C列保留8SHC2_D_EX8208_6JuniperEX8208D列保留5SHC2_E_JCYW_EX8208_7JuniperEX8208基礎(chǔ)業(yè)務(wù)區(qū)6SHC2_F_JCYW_EX8208_8JuniperEX8208基礎(chǔ)業(yè)務(wù)區(qū)9SHC2_G_S

48、JCC_EX8208_9JuniperEX8208數(shù)據(jù)存儲(chǔ)區(qū)10SHC2_H_EX8208_10JuniperEX8208H列保留11SHC2_I_KFCS_EX8208_11JuniperEX8208開發(fā)測(cè)試區(qū)12SHC2_J_JKYW_EX8208_12JuniperEX8208監(jiān)控運(yùn)維區(qū)13SHC2_AB_HXYW_SRX3600_13_AJuniperSRX3600核心業(yè)務(wù)區(qū)14SHC2_AB_HXYW_SRX3600_13_BJuniperSRX3600核心業(yè)務(wù)區(qū)15SHC2_EF_JXYW_SRX3600_14_EJuniperSRX3600基礎(chǔ)業(yè)務(wù)區(qū)16SHC2_EF_JXYW_

49、SRX3600_14_FJuniperSRX3600基礎(chǔ)業(yè)務(wù)區(qū)17SHC2_C_SRX3600_15JuniperSRX3600CD列保留18SHC2_G_SJCC_SRX3600_16JuniperSRX3600數(shù)據(jù)存儲(chǔ)區(qū)19SHC2_J_KFCS_SRX3600_17JuniperSRX3600開發(fā)測(cè)試、監(jiān) 控運(yùn)維區(qū)9.2.設(shè)備安裝注意事項(xiàng)安裝準(zhǔn)備工作為了保證設(shè)備的順利安裝，安裝準(zhǔn)備工作應(yīng)確認(rèn)以下幾點(diǎn)。在設(shè)備安裝并固定之前，首先應(yīng)對(duì)安裝地點(diǎn)進(jìn)行檢 查，確保安裝地點(diǎn)是安全，干凈，符合標(biāo)準(zhǔn)的場(chǎng)合，檢查安裝地點(diǎn)應(yīng)考慮以下幾點(diǎn)：所有設(shè)備安裝地點(diǎn)應(yīng)保證電源，空調(diào)，電路的準(zhǔn)備，設(shè)備進(jìn)風(fēng)口應(yīng)預(yù)留充足空間

50、，以利于空氣循環(huán)和過(guò)濾，設(shè)備前后面板應(yīng)預(yù)留充足空間，以利于板卡的安裝和路由器維護(hù)，溫度和濕度應(yīng)滿足要求，避免電源線和板卡連線的交叉, 檢查電源供應(yīng)適合設(shè)備要求， 設(shè)備應(yīng)充分接地。安裝步驟現(xiàn)場(chǎng)安裝人員應(yīng)該記錄各項(xiàng)操作的結(jié)果。具體安裝步驟請(qǐng)參考設(shè)備安裝手冊(cè)。步驟任務(wù)1確認(rèn)防靜電程序2準(zhǔn)備和清理安裝區(qū)域3安裝架準(zhǔn)備就緒4安裝電源，接線板及保護(hù)接地5設(shè)備拆除封箱6設(shè)備安裝上機(jī)架7記錄設(shè)備及板卡的序列號(hào)8確認(rèn)設(shè)備板卡及模塊，安裝在相應(yīng)的機(jī)框內(nèi)9連接設(shè)備電源及保護(hù)接地10連接機(jī)架內(nèi)及機(jī)架間的通信電纜11確認(rèn)電纜連接相應(yīng)的面板12設(shè)備上電13裝載并確認(rèn)操作系統(tǒng)14配置網(wǎng)絡(luò)設(shè)備15完成硬件安裝測(cè)試16設(shè)備連接

51、入網(wǎng)17完成試運(yùn)行測(cè)試18完成安裝記錄網(wǎng)絡(luò)設(shè)備軟件版本建議設(shè)備型號(hào)軟件版本Juniper EX821610.4R5.5Juniper EX820810.4R5.5Juniper SRX360010.4R5.5設(shè)備管理安全控制用戶認(rèn)證、授權(quán)和審計(jì)不同的管理人員應(yīng)該有各自的用戶名和口令，即用戶名和口令不能共享，便于帳號(hào)管理和不被泄漏。用戶認(rèn)證 的實(shí)現(xiàn)方式可以分為：本地認(rèn)證和集中認(rèn)證。本地認(rèn)證是指用戶數(shù)據(jù)庫(kù)保存在網(wǎng)絡(luò)設(shè)備上，用戶認(rèn)證在本地實(shí)現(xiàn)。 集中認(rèn)證是指設(shè)置專門的集中認(rèn)證服務(wù)器，保存網(wǎng)絡(luò)中所有的用戶帳號(hào)，集中實(shí)現(xiàn)用戶認(rèn)證，常用的認(rèn)證協(xié)議有 RADIUS TACACS+用戶認(rèn)證應(yīng)采用集中認(rèn)證和本地

52、認(rèn)證相結(jié)合的方式，集中認(rèn)證為主用、本地認(rèn)證為備用。用戶授權(quán)是指對(duì)用戶進(jìn)行分權(quán)限管理。例如，我們把網(wǎng)絡(luò)管理用戶分為超級(jí)用戶和普通用戶。其中，超級(jí)用戶對(duì)網(wǎng)絡(luò)設(shè)備擁有查看和 配置的權(quán)限，普通用戶對(duì)網(wǎng)絡(luò)設(shè)備只擁有特定的查看權(quán)限。在集中認(rèn)證時(shí)，不同的用戶還可被限制只能訪問特定的 網(wǎng)絡(luò)設(shè)備。用戶審計(jì)是指認(rèn)證服務(wù)器端將用戶的認(rèn)證信息、授權(quán)信息和網(wǎng)絡(luò)行為記錄在日志中，以供日后查看和審計(jì)。卜表目前設(shè)定管理員帳號(hào)，其他帳號(hào)可待接管維護(hù)后自行設(shè)定root系統(tǒng)保留Superuseradmin安裝測(cè)試Superuser其他XX提供口令管理策略口令應(yīng)以密文的形式存儲(chǔ)在網(wǎng)絡(luò)設(shè)備中。口令設(shè)置原則為：口令設(shè)置不為空；2)根據(jù)用

53、戶角色要求口令長(zhǎng)度，一般需大于等于8位;口令由數(shù)字、大小寫字母、特殊符號(hào)等混合組成；不記錄在明顯的介質(zhì)上；5)定期更改?？刂平换ナ浇尤?CONSOLE遠(yuǎn)程登陸)控制設(shè)備的交互式接入，應(yīng)從以下方面采取措施：保證設(shè)備訪問的物理安全；2)采用用戶認(rèn)證和授權(quán)；設(shè)置會(huì)話空閑的超時(shí)參數(shù)；設(shè)置訪問控制列表，限制TELNET的連接請(qǐng)求來(lái)自指定的源 IP網(wǎng)段；5)盡量用SSH代替TELNET,采用SSH的好處是所有信息以加密的形式在網(wǎng)絡(luò)中傳輸。保證常用管理業(yè)務(wù)的安全對(duì)網(wǎng)絡(luò)設(shè)備來(lái)講，主要的管理業(yè)務(wù)是SNMP和HTTR對(duì)于SNMP應(yīng)注意以下幾點(diǎn)：避免使用缺省的snmp community ,設(shè)置高質(zhì)量的口令；所有設(shè)

54、備的snmp community 缺省值為SHJTjunos;4)配置ACL來(lái)限制能夠通過(guò) SNMP訪問網(wǎng)絡(luò)設(shè)備的網(wǎng)管服務(wù)器的IP地址。對(duì)于HTTP,應(yīng)注意以下幾點(diǎn)：盡量關(guān)閉HTTP服務(wù)；2)如需要開啟，應(yīng)采取如下措施：設(shè)置訪問控制列表，限制 HTTP的連接請(qǐng)求來(lái)自指定的源網(wǎng)段；設(shè)置用戶認(rèn)證，采用集中認(rèn)證和本地認(rèn)證相結(jié)合的方式。NTR同步網(wǎng)絡(luò)設(shè)備的時(shí)鐘為了便于網(wǎng)絡(luò)系統(tǒng)的設(shè)備管理和日常維護(hù)，對(duì)數(shù)據(jù)中心轄內(nèi)的所有交換機(jī)及防火墻統(tǒng)一網(wǎng)絡(luò)時(shí)鐘時(shí)鐘源：51 和 50對(duì)網(wǎng)絡(luò)設(shè)備的日志進(jìn)行審計(jì)分析主要包括以下內(nèi)容：收集網(wǎng)絡(luò)設(shè)備的SYSLOG；設(shè)置SYSLOG Server （通常位于網(wǎng)管工作站上）用于收集所

55、有網(wǎng)絡(luò)設(shè)備的SYSLOG；所有的SYSLOG可以送到專門的事件管理服務(wù)器上，進(jìn)行事件的壓縮、關(guān)聯(lián)和分析，有利于更好的故障定位和 處理。收集 SNMP Trap 通過(guò)網(wǎng)管工作站收集網(wǎng)絡(luò)設(shè)備的SNMP Trap 信息，便于及時(shí)的故障處理；收集用戶操作記錄 通過(guò) AAA 服務(wù)器，對(duì)用戶進(jìn)行認(rèn)證、授權(quán)和行為跟蹤，產(chǎn)生相應(yīng)的日志報(bào)告，以供安全審計(jì)。路由協(xié)議安全路由協(xié)議的安全包括兩部分：對(duì)路由協(xié)議的Routing Update 進(jìn)行認(rèn)證和流量控制。具體內(nèi)容如下：對(duì)路由協(xié)議的Routing Update 進(jìn)行認(rèn)證；對(duì)數(shù)據(jù)中心內(nèi)部和數(shù)據(jù)中心與一級(jí)分行之間設(shè)置路由認(rèn)證；采用密文形式的路由認(rèn)證。路由認(rèn)證的好處在于，防止Routing Update 的泄漏和干擾。使用訪問控制列表，控制Routing Update 流量的進(jìn)出。控制 Routing Update 流量的進(jìn)出，好處在于：防止路由環(huán)路、盡量減小網(wǎng)絡(luò)變化產(chǎn)生的影響、防止用戶訪問他們不應(yīng)該看到的網(wǎng)絡(luò)、減小路由表的大小。10. 案例泛歐證交所紐約-泛歐證券交易所，由紐約證券交易所集團(tuán)（總部位于紐約）和歐洲證券交易所（總部位于巴黎）合并組成。是全球規(guī)模最大、最具流動(dòng)性的證券交易集團(tuán)。每天全球各地及各類資產(chǎn)數(shù)十億計(jì)的交易與報(bào)價(jià)。為實(shí)現(xiàn)成本節(jié)省并提高管理效率。紐約- 泛歐證券交易所將全球的10 個(gè)數(shù)據(jù)中心整合為4 個(gè)。已有的