數(shù)據(jù)中心建設(shè)方案

XXX數(shù)據(jù)中心建設(shè)方案目錄第1章總述 41.1XXX數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)需求 4傳統(tǒng)架構(gòu)存在的問題 4XXX數(shù)據(jù)中心目標(biāo)架構(gòu) 51.2XXX數(shù)據(jù)中心設(shè)計目標(biāo) 61.3XXX數(shù)據(jù)中心技術(shù)需求 7整合能力 7虛擬化能力 7自動化能力 8綠色數(shù)據(jù)中心要求 8第2章XXX數(shù)據(jù)中心技術(shù)實現(xiàn) 92.1整合能力 9一體化交換技術(shù) 9無丟棄以太網(wǎng)技術(shù) 10性能支撐能力 11智能效勞的整合能力 112.2虛擬化能力 12虛擬交換技術(shù) 12網(wǎng)絡(luò)效勞虛擬化 14效勞器虛擬化 142.3自動化 152.4綠色數(shù)據(jù)中心 16第3章XXX數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計 173.1總體網(wǎng)絡(luò)結(jié)構(gòu) 17層次化結(jié)構(gòu)的優(yōu)勢 17標(biāo)準(zhǔn)的網(wǎng)絡(luò)分層結(jié)構(gòu) 17XXX的網(wǎng)絡(luò)結(jié)構(gòu) 183.2全網(wǎng)核心層設(shè)計 193.3數(shù)據(jù)中心分布層設(shè)計 20數(shù)據(jù)中心分布層虛擬交換機(jī) 20數(shù)據(jù)中心分布層智能效勞機(jī)箱 203.4數(shù)據(jù)中心接入層設(shè)計 223.5數(shù)據(jù)中心地址路由設(shè)計 25核心層 25分布會聚層和接入層 253.5.3VLAN/VSAN和地址規(guī)劃 26第4章應(yīng)用效勞控制與負(fù)載均衡設(shè)計 274.1功能介紹 27根本功能 27應(yīng)用特點(diǎn) 284.2數(shù)據(jù)中心的應(yīng)用情況 324.2.1XXXX應(yīng)用1 324.2.2XXXX應(yīng)用n 334.3應(yīng)用優(yōu)化和負(fù)載均衡需求 334.3.1XXXX應(yīng)用的負(fù)載均衡要求 33開放式系統(tǒng)應(yīng)用的負(fù)載均衡要求 344.4應(yīng)用優(yōu)化和負(fù)載均衡設(shè)計 34智能效勞機(jī)箱設(shè)計 34應(yīng)用負(fù)載均衡的設(shè)計 37地址和路由 40平安功能的設(shè)計 434.4.5SSL分流設(shè)計 44擴(kuò)展性設(shè)計 45高可用性設(shè)計 46第5章網(wǎng)絡(luò)平安設(shè)計 495.1網(wǎng)絡(luò)平安部署思路 49網(wǎng)絡(luò)平安整體架構(gòu) 49網(wǎng)絡(luò)平臺建設(shè)所必須考慮的平安問題 505.2網(wǎng)絡(luò)設(shè)備級平安 51防蠕蟲病毒的等Dos攻擊 51防VLAN的脆弱性配置 52防止DHCP相關(guān)攻擊 535.3網(wǎng)絡(luò)級平安 53平安域的劃分 54防火墻部署設(shè)計 54防火墻策略設(shè)計 56防火墻性能和擴(kuò)展性設(shè)計 565.4網(wǎng)絡(luò)的智能主動防御 57網(wǎng)絡(luò)準(zhǔn)入控制 58桌面平安管理 59智能的監(jiān)控、分析和威脅響應(yīng)系統(tǒng) 61分布式威脅抑制系統(tǒng) 64第6章效勞質(zhì)量保證設(shè)計 676.1效勞質(zhì)量保證設(shè)計分類 676.2數(shù)據(jù)中心效勞質(zhì)量設(shè)計 67帶寬及設(shè)備吞吐量設(shè)計 67低延遲設(shè)計 69無丟棄設(shè)計 706.3非數(shù)據(jù)中心網(wǎng)絡(luò)的效勞質(zhì)量設(shè)計 716.3.1QoS實施方案 72分析業(yè)務(wù)需求 726.3.3QoS策略的制定和部署 75評測和調(diào)整 796.4QOS策略管理 806.4.1QoS自動配置 806.4.2QoS策略管理器解決方案 80第7章網(wǎng)絡(luò)管理和業(yè)務(wù)調(diào)度自動化 837.1MARS平安管理自動化 837.2VFrame業(yè)務(wù)部署自動化 83第8章兩種數(shù)據(jù)中心技術(shù)方案的綜合比照 848.1技術(shù)方案比照 84傳統(tǒng)技術(shù)領(lǐng)域比照 84下一代數(shù)據(jù)中心技術(shù)能力比擬 858.2技術(shù)效勞比照 878.3商務(wù)比照 888.4總結(jié) 88第9章數(shù)據(jù)中心網(wǎng)絡(luò)割接方案 89第10章附錄：新一代數(shù)據(jù)中心產(chǎn)品介紹 9010.1CiscoNexus7000系列10插槽交換機(jī)介紹 9010.2CiscoNexus5000/2000系列交換機(jī)介紹 9110.3CiscoNX-OS數(shù)據(jù)中心級操作系統(tǒng)簡介 93總述為進(jìn)一步推進(jìn)XXX信息化建設(shè)，以信息化推動XXX業(yè)務(wù)工作的改革與開展，需要建設(shè)XXX的新一代綠色高效能數(shù)據(jù)中心網(wǎng)絡(luò)。XXX數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)需求傳統(tǒng)架構(gòu)存在的問題XXX現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)采用傳統(tǒng)以太網(wǎng)技術(shù)構(gòu)建，隨著各類業(yè)務(wù)應(yīng)用對IT需求的深入開展，業(yè)務(wù)部門對資源的需求正以幾何級數(shù)增長，傳統(tǒng)的IT根底架構(gòu)方式給管理員和未來業(yè)務(wù)的擴(kuò)展帶來巨大挑戰(zhàn)。具體而言存在如下問題：維護(hù)管理難：在傳統(tǒng)構(gòu)架的網(wǎng)絡(luò)中進(jìn)行業(yè)務(wù)擴(kuò)容、遷移或增加新的效勞功能越來越困難，每一次變更都將牽涉相互關(guān)聯(lián)的、不同時期按不同初衷建設(shè)的多種物理設(shè)施，涉及多個不同領(lǐng)域、不同效勞方向，工作繁瑣、維護(hù)困難，而且容易出現(xiàn)漏洞和過失。比方數(shù)據(jù)中心新增加一個業(yè)務(wù)類型，需要調(diào)整新的應(yīng)用訪問控制需求，此時管理員不僅要了解新業(yè)務(wù)的邏輯訪問策略，還要精通物理的防火墻實體的部署、連接、安裝，要考慮是增加新的防火墻端口、還是需要添置新的防火墻設(shè)備，要考慮如何以及何處接入，有沒有相應(yīng)的接口，如何跳線，以及隨之而來的VLAN、路由等等，如果網(wǎng)絡(luò)中還有諸如地址轉(zhuǎn)換、7層交換等等效勞與之相關(guān)聯(lián)，那將是非常繁雜的任務(wù)。當(dāng)這樣的IT資源需求在短期內(nèi)累積，將極易在使得系統(tǒng)維護(hù)的質(zhì)量和穩(wěn)定性下降，同時反過來減慢新業(yè)務(wù)的部署，進(jìn)而阻礙公司業(yè)務(wù)的推進(jìn)和開展。資源利用率低：傳統(tǒng)架構(gòu)方式對底層資源的投入與在上層業(yè)務(wù)所收到的效果很難得到同比開展，最普遍的現(xiàn)象就是忙的設(shè)備不堪重負(fù)，閑的設(shè)備資源儲藏過多，二者相互之間又無法借用和共用。這是由于對底層網(wǎng)絡(luò)建設(shè)是以功能單元為中心進(jìn)行建設(shè)的，并不考慮上層業(yè)務(wù)對底層資源調(diào)用的優(yōu)化，這使得對網(wǎng)絡(luò)的投入往往無法取得同樣的業(yè)務(wù)應(yīng)用效果的改善，反而浪費(fèi)了較多的資源和維護(hù)本錢。效勞策略不一致：傳統(tǒng)架構(gòu)最嚴(yán)重的問題是這種以孤立的設(shè)備功能為中心的設(shè)計思路無法真正從整個系統(tǒng)角度制訂統(tǒng)一的效勞策略，比方平安策略、高可用性策略、業(yè)務(wù)優(yōu)化策略等等，造成跨平臺策略的不一致性，從而難以將所投入的產(chǎn)品能力形成合力為上層業(yè)務(wù)提供強(qiáng)大的效勞支撐。因此，按傳統(tǒng)底層根底設(shè)施所提供的效勞能力已無法適應(yīng)當(dāng)前業(yè)務(wù)急劇擴(kuò)展所需的資源要求，本次數(shù)據(jù)中心建設(shè)必須從根本上改變傳統(tǒng)思路，遵照一種嶄新的體系結(jié)構(gòu)思路來構(gòu)造新的數(shù)據(jù)中心IT根底架構(gòu)。XXX數(shù)據(jù)中心目標(biāo)架構(gòu)面向效勞的設(shè)計思想已經(jīng)成為Web2.0下解決來自業(yè)務(wù)變更、業(yè)務(wù)急劇開展所帶來的資源和本錢壓力的最正確途徑。從業(yè)務(wù)層面上主流的IT廠商如IBM、BEA等就提出了摒棄傳統(tǒng)的“面向組件〔Component〕”的開發(fā)方式，而轉(zhuǎn)向“面向效勞”的開發(fā)方式，即應(yīng)用軟件應(yīng)當(dāng)看起來是由相互獨(dú)立、松耦合的效勞構(gòu)成，而不是對接口要求嚴(yán)格、變更復(fù)雜、復(fù)用性差的緊耦合組件構(gòu)成，這樣可以以最小的變動、最正確的需求溝通方式來適應(yīng)不斷變化的業(yè)務(wù)需求增長。鑒于此，XXX數(shù)據(jù)中心業(yè)務(wù)應(yīng)用正在朝“面向效勞的架構(gòu)ServiceOrientedArchitecture〔SOA〕”轉(zhuǎn)型。與業(yè)務(wù)的SOA相適應(yīng)，XXX提出支撐業(yè)務(wù)運(yùn)行的底層根底設(shè)施也應(yīng)當(dāng)向“面向效勞”的設(shè)計思想轉(zhuǎn)變，構(gòu)造“面向效勞的數(shù)據(jù)中心”〔ServiceOrientedDataCenter，SODC〕。傳統(tǒng)組網(wǎng)觀念是根據(jù)功能需求的變化實現(xiàn)對應(yīng)的硬件功能盒子堆砌而構(gòu)建企業(yè)網(wǎng)絡(luò)的，這非常類似于傳統(tǒng)軟件開發(fā)的組件堆砌，被已經(jīng)證明為是一種較低效率的資源調(diào)用方式，而如果能夠?qū)⒄麄€網(wǎng)絡(luò)的構(gòu)建看成是由封裝完好、相互耦合松散、但能夠被標(biāo)準(zhǔn)化和統(tǒng)一調(diào)度的“效勞”組成，那么業(yè)務(wù)層面的變更、物理資源的復(fù)用都將是輕而易舉的事情。SODC就是要求當(dāng)SOA架構(gòu)下業(yè)務(wù)的變更，導(dǎo)致軟件局部的效勞模塊的組合變化時，松耦合的網(wǎng)絡(luò)效勞也能根據(jù)應(yīng)用的變化自動實現(xiàn)重組以適配業(yè)務(wù)變更所帶來的資源要求的變化，而盡可能少的減少復(fù)雜硬件的相關(guān)性，從運(yùn)行維護(hù)、資源復(fù)用效率和策略一致性上徹底解決傳統(tǒng)設(shè)計帶來的頑疾。具體而言SODC應(yīng)形成這樣的資源調(diào)用方式：底層資源對于上層應(yīng)用就象由效勞構(gòu)成的“資源池”，需要什么效勞就自動的會由網(wǎng)絡(luò)調(diào)用相關(guān)物理資源來實現(xiàn)，管理員和業(yè)務(wù)用戶不需要或幾乎可以看不見物理設(shè)備的相互架構(gòu)關(guān)系以及具體存在方式。SODC的框架原型應(yīng)如下所示：在圖中，隔在物理架構(gòu)和用戶之間的“交互效勞層”實現(xiàn)了向上提供效勞、向下屏蔽復(fù)雜的物理結(jié)構(gòu)的作用，使得網(wǎng)絡(luò)使用者看到的網(wǎng)絡(luò)不是由復(fù)雜的根底物理功能實體構(gòu)成的，而是一個個智能效勞——平安效勞、移動效勞、計算效勞、存儲效勞……等等，至于這些效勞是由哪些實際存在的物理資源所提供，管理員和上層業(yè)務(wù)都無需關(guān)心，交互效勞層解決了一切資源的調(diào)度和高效復(fù)用問題。SODC和SOA構(gòu)成的數(shù)據(jù)中心IT架構(gòu)必將是整個數(shù)據(jù)中心未來開展的趨勢，雖然實現(xiàn)真正理想的SODC和SOA融合的架構(gòu)將是一個長期的歷程，但在向該融合框架邁進(jìn)的每一步實際上都將會形成對網(wǎng)絡(luò)靈活性、網(wǎng)絡(luò)維護(hù)、資源利用效率、投資效益等等方面的巨大改善。因此XXX本次數(shù)據(jù)中心的網(wǎng)絡(luò)建設(shè)，要求盡可能的遵循如上所述的新一代面向效勞的數(shù)據(jù)中心設(shè)計框架。XXX數(shù)據(jù)中心設(shè)計目標(biāo)在基于SODC的設(shè)計框架下，XXX新一代數(shù)據(jù)中心應(yīng)實現(xiàn)如下設(shè)計目標(biāo)：簡化管理：使上層業(yè)務(wù)的變更作用于物理設(shè)施的復(fù)雜度降低，能夠最低限度的減少了物理資源的直接調(diào)度，使維護(hù)管理的難度和本錢大大降低。高效復(fù)用：使得物理資源可以按需調(diào)度，物理資源得以最大限度的重用，減少建設(shè)本錢，提高使用效率。即能夠?qū)崿F(xiàn)總硬件資源占用量降低了，而每個業(yè)務(wù)得到的效勞反而更有充分的資源保證了。策略一致：降低具體設(shè)備個體的策略復(fù)雜性，最大程度的在設(shè)備層面以上建立統(tǒng)一、抽象的效勞，每一個被充分抽象的效勞都按找上層調(diào)用的目標(biāo)進(jìn)行統(tǒng)一的標(biāo)準(zhǔn)和策略化，這樣整個IT將可以到達(dá)理想的效勞規(guī)那么和策略的一致性。XXX數(shù)據(jù)中心技術(shù)需求SODC架構(gòu)是一種資源調(diào)度的全新方式，資源被調(diào)用方式是面向效勞而非象以前一樣面向復(fù)雜的物理底層設(shè)施進(jìn)行設(shè)計的，而其中交互效勞層是基于效勞調(diào)用的關(guān)鍵環(huán)節(jié)。交互效勞層的形成是由網(wǎng)絡(luò)智能化進(jìn)一步開展而實現(xiàn)的，它是底層的物理網(wǎng)絡(luò)通過其內(nèi)在的智能效勞功能，使得其上的業(yè)務(wù)層面看不到底層復(fù)雜的結(jié)構(gòu)，不用關(guān)心資源的物理調(diào)度，從而最大化的實現(xiàn)資源的共享和復(fù)用。要形成SODC要求的交互效勞層，必須對網(wǎng)絡(luò)提出以下要求：整合能力SODC要求將數(shù)據(jù)中心所需的各種資源實現(xiàn)基于網(wǎng)絡(luò)的整合，這是后續(xù)上層業(yè)務(wù)能看到底層網(wǎng)絡(luò)提供各類SODC效勞的根底。整合的概念不是簡單的功能增多，雖然整合化的一個表達(dá)是很多獨(dú)立設(shè)備的功能被以特殊硬件的方式整合到網(wǎng)絡(luò)設(shè)備中，但其真正的核心思想是將資源盡可能集中化以便于跨平臺的調(diào)用，而物理存在方式那么可自由的根據(jù)需要而定。數(shù)據(jù)中心網(wǎng)絡(luò)所必須提供的資源包括：智能業(yè)務(wù)網(wǎng)絡(luò)所必須的智能功能，比方效勞質(zhì)量保證、平安訪問控制、設(shè)備智能管理等等；數(shù)據(jù)中心的三大資源網(wǎng)絡(luò)：高性能計算網(wǎng)絡(luò)；存儲交換網(wǎng)絡(luò)；數(shù)據(jù)應(yīng)用網(wǎng)絡(luò)。這兩類資源的整合將是檢驗新一代數(shù)據(jù)中心網(wǎng)絡(luò)SODC能力的重要標(biāo)準(zhǔn)。虛擬化能力虛擬化其實就是把已整合的資源以一種與物理位置、物理存在、物理狀態(tài)等無關(guān)的方式進(jìn)行調(diào)用，是從物理資源到效勞形態(tài)的質(zhì)變過程。虛擬化是實現(xiàn)物理資源復(fù)用、降低管理維護(hù)復(fù)雜度、提高設(shè)備利用率的關(guān)鍵，同時也是為未來自動實現(xiàn)資源協(xié)調(diào)和配置打下根底。新一代數(shù)據(jù)中心網(wǎng)絡(luò)要求能夠提供多種方式的虛擬化能力，不僅僅是傳統(tǒng)的網(wǎng)絡(luò)虛擬化〔比方VLAN、VPN等〕，還必須做到：交換虛擬化智能效勞虛擬化效勞器虛擬化自動化能力自動化是SODC架構(gòu)中上層自動優(yōu)化的實現(xiàn)效勞調(diào)用必須條件。在高度整合化和虛擬化的根底上，效勞的部署完全不需要物理上的動作，資源在虛擬化平臺上可以與物理設(shè)施無關(guān)的進(jìn)行分配和整合，這樣我們只需要將一定的業(yè)務(wù)策略輸入給智能網(wǎng)絡(luò)的策略效勞器，一切的工作都可以按系統(tǒng)自身最優(yōu)化的方式進(jìn)行計算、評估、決策和調(diào)配實現(xiàn)。這局部需要做到兩方面的自動化：網(wǎng)絡(luò)管理的自動化業(yè)務(wù)部署的自動化綠色數(shù)據(jù)中心要求當(dāng)前的能源日趨緊張，能源的價格也飛揚(yáng)直上；綠地〔GreenField〕是我們每個人都關(guān)心的議題。如何最大限度的利用能源、降低功耗，以最有效率方式實現(xiàn)高性能、高穩(wěn)定性的效勞是新一代的數(shù)據(jù)中心必須考慮的問題。XXX數(shù)據(jù)中心技術(shù)實現(xiàn)根據(jù)以上新一代數(shù)據(jù)中心網(wǎng)絡(luò)的技術(shù)要求，必須對傳統(tǒng)數(shù)據(jù)中心所使用的常規(guī)以太網(wǎng)技術(shù)進(jìn)行革新，數(shù)據(jù)中心級以太網(wǎng)〔DataCenterEthernet，簡稱DCE〕技術(shù)由此誕生。DCE之前也被一些廠商稱為會聚型增強(qiáng)以太網(wǎng)技術(shù)〔ConvergedEnhancedEthernet，簡稱CEE〕，是兼容傳統(tǒng)以太網(wǎng)協(xié)議并按新一代數(shù)據(jù)中心的傳輸要求，對其進(jìn)行全面革新的一系列標(biāo)準(zhǔn)和技術(shù)的總稱。因此，為到達(dá)XXX的新一代數(shù)據(jù)中心的建設(shè)目標(biāo)，必須摒棄傳統(tǒng)以太網(wǎng)技術(shù)，而采用新一代的DCE〔CEE〕技術(shù)進(jìn)行組網(wǎng)。具體而言，本次XXX數(shù)據(jù)中心所采用的DCE技術(shù)，可以到達(dá)以下的技術(shù)目標(biāo)。整合能力一體化交換技術(shù)DCE技術(shù)的重要目標(biāo)是實現(xiàn)傳統(tǒng)數(shù)據(jù)中心最大程度的資源整合，從而實現(xiàn)面向效勞的數(shù)據(jù)中心SODC的最終目標(biāo)。在傳統(tǒng)數(shù)據(jù)中心中存在三種網(wǎng)絡(luò)：使用光纖存儲交換機(jī)的存儲交換網(wǎng)絡(luò)〔FiberChannelSAN〕，便于實現(xiàn)CPU、內(nèi)存資源并行化處理的高性能計算網(wǎng)絡(luò)〔多采用高帶寬低延遲的InfiniBand技術(shù)〕，以及傳統(tǒng)的數(shù)據(jù)局域網(wǎng)。DCE技術(shù)將這三種網(wǎng)絡(luò)實現(xiàn)在統(tǒng)一的傳輸平臺上，即DCE將使用一種交換技術(shù)同時實現(xiàn)遠(yuǎn)程存儲、遠(yuǎn)程并行計算處理和傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)功能。這樣才能最大化的實現(xiàn)三種資源的整合，從而便于實現(xiàn)跨平臺的資源調(diào)度和虛擬化效勞，提高投資的有效性，同時還降低了管理本錢。XXX業(yè)務(wù)的特點(diǎn)不需要超級計算功能，因此本次工程要實現(xiàn)存儲網(wǎng)絡(luò)和傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的雙網(wǎng)合一，使用DCE技術(shù)實現(xiàn)二者的一體化交換。當(dāng)前在以太網(wǎng)上融合傳統(tǒng)局域網(wǎng)和存儲網(wǎng)絡(luò)唯一成熟技術(shù)標(biāo)準(zhǔn)是FiberChannelOverEthernet技術(shù)〔FCoE〕，它已在標(biāo)準(zhǔn)上給出了如何把存儲網(wǎng)(SAN)的數(shù)據(jù)幀封裝在以太網(wǎng)幀內(nèi)進(jìn)行轉(zhuǎn)發(fā)的相關(guān)技術(shù)協(xié)議。由于該項技術(shù)的簡單性、高效率、經(jīng)濟(jì)性，目前已經(jīng)形成相對成熟的包括存儲廠商、網(wǎng)絡(luò)設(shè)備廠商、主機(jī)廠商、網(wǎng)卡廠商的生態(tài)鏈。具體的協(xié)議發(fā)布可參見FCoE的相關(guān)WebSites。(w.fcoe:///fcoe)本次數(shù)據(jù)中心建設(shè)將做好FCoE的根底設(shè)施準(zhǔn)備，并將在下一階段完成基于FCoE技術(shù)的雙網(wǎng)融合。無丟棄以太網(wǎng)技術(shù)為保證一體化交換的實現(xiàn)，DCE改變了傳統(tǒng)以太網(wǎng)無連接、無保障的BestEffort傳輸行為，即保證主機(jī)在通過以太網(wǎng)進(jìn)行磁盤讀寫等操作、高性能計算所要求的遠(yuǎn)程內(nèi)存訪問、并行處理等操作，不會發(fā)生任何不可預(yù)料的傳輸失敗，到達(dá)真正的“無丟包”以太網(wǎng)目標(biāo)。DCE在網(wǎng)絡(luò)中以硬件及軟件的形式實現(xiàn)了以下技術(shù)：基于優(yōu)先級類別的流控(PriorityFlowControl)通過基于IEEE802.1p類別通道的PAUSE功能來提供基于數(shù)據(jù)流類別的流量控制帶寬管理IEEE802.1Qaz標(biāo)準(zhǔn)定義基于IEEE802.1p流量類別的帶寬管理以及這些流量的優(yōu)先級別定義擁塞管理IEEE802.1Qau標(biāo)準(zhǔn)定義如何管理網(wǎng)絡(luò)中的擁塞(BCN/QCN)基于優(yōu)先級類別的流控在DCE的理念中是非常重要的一環(huán)，通過它和擁塞管理的相互合作，我們可以構(gòu)造出“不丟包的以太網(wǎng)”架構(gòu)；這對今天的我們來說，它的誘惑無疑是不可阻擋的。不丟包的以太網(wǎng)絡(luò)提供一個平安的平臺，它讓我們把一些以前無法安心放置到數(shù)據(jù)網(wǎng)絡(luò)上的重要應(yīng)用能安心的應(yīng)用到這個DCE的數(shù)據(jù)平臺。帶寬管理在以太網(wǎng)絡(luò)中提供類似于類似幀中繼(FrameRelay)的帶寬控制能力，它可以確保一些重要的業(yè)務(wù)應(yīng)用能獲得必須的網(wǎng)絡(luò)帶寬；同時保證網(wǎng)絡(luò)鏈路帶寬利用的最大化。擁塞管理可以提供在以太網(wǎng)絡(luò)中的各種擁塞發(fā)現(xiàn)和定位能力，這在非連接的網(wǎng)絡(luò)中無疑是一個巨大的挑戰(zhàn)；可以說在目前的所有非連接的網(wǎng)絡(luò)中，這是一個嶄新的應(yīng)用；目前的研究方向主要集中在后向擁塞管理(BCN)和量化擁塞管理(QCN)這兩個方面。性能支撐能力為保證實現(xiàn)一體化交換和資源整合，DCE還必須對傳統(tǒng)以太網(wǎng)的性能和可擴(kuò)展性的進(jìn)行革新。首先為保證三網(wǎng)合一后的帶寬資源，萬兆以太網(wǎng)技術(shù)只是DCE核心層帶寬的起點(diǎn)。而正在開展中的40G/100G以太網(wǎng)才是DCE技術(shù)將來的主流帶寬。因此，要保證我們今天采購的設(shè)備能有5年以上的生命周期，就必須考慮硬件的可擴(kuò)展能力。這也就是說從投資保護(hù)和工程維護(hù)的角度出發(fā)，我們需要一個100G平臺的硬體設(shè)備，即每個設(shè)備的槽位至少要支持100G的流量〔全雙工每槽位200Gbps〕，只有這樣才能維持該設(shè)備5年的生命周期。同時從經(jīng)濟(jì)性的角度來考慮，如果能到達(dá)400G的平臺是最理想的。另外存儲網(wǎng)絡(luò)和高性能計算所要求的通過網(wǎng)絡(luò)實現(xiàn)的遠(yuǎn)程磁盤讀寫、內(nèi)存同步的性能需求，DCE設(shè)備必須提供比傳統(tǒng)以太網(wǎng)設(shè)備低幾個數(shù)量級的端口間轉(zhuǎn)發(fā)延遲。DCE要求的核心層的三層轉(zhuǎn)發(fā)延遲應(yīng)可到達(dá)30us以下，接入層的二層轉(zhuǎn)發(fā)延遲應(yīng)可在3～4us以下。這都是傳統(tǒng)以太網(wǎng)技術(shù)無法實現(xiàn)的性能指標(biāo)要求。智能效勞的整合能力眾所周知，應(yīng)用的復(fù)雜度是在不斷的提升，同時伴隨著網(wǎng)絡(luò)的融合，應(yīng)用對網(wǎng)絡(luò)的交互…可以預(yù)見的是網(wǎng)絡(luò)的復(fù)雜度也將不斷的提升。這也印證我們的判斷：應(yīng)用對網(wǎng)絡(luò)的控制將逐步增強(qiáng)，網(wǎng)絡(luò)同時也在為應(yīng)用而優(yōu)化。因此構(gòu)建一個單業(yè)務(wù)的簡單L2轉(zhuǎn)發(fā)網(wǎng)絡(luò)并不是網(wǎng)絡(luò)設(shè)備的設(shè)計方向；全業(yè)務(wù)的設(shè)備和多業(yè)務(wù)融合的網(wǎng)絡(luò)才是我們所需要的環(huán)境。那么我們需要什么樣的全業(yè)務(wù)呢，很明顯DataCenterEthernet是一個必備的工程，同時我們至少還需要其它的根本業(yè)務(wù)屬性來保障一個多業(yè)務(wù)網(wǎng)絡(luò)的運(yùn)行，如：效勞質(zhì)量保證 QoS訪問列表控制 ACL虛擬交換機(jī)的實現(xiàn) VirtualSwitch網(wǎng)絡(luò)流量分析 NetflowCPU抗攻擊保護(hù) CoPP遠(yuǎn)程無人值守管理 CMP嵌入式事件管理 EEM當(dāng)然，所有這些業(yè)務(wù)的實現(xiàn)都是在不影響轉(zhuǎn)發(fā)性能的前提條件下的。失去這個大前提，多業(yè)務(wù)的實現(xiàn)就變得毫無意義。所以設(shè)計一個好的產(chǎn)品就必須顧全多業(yè)務(wù)、融合網(wǎng)絡(luò)這個大前提。如何使這些復(fù)雜的業(yè)務(wù)處理能夠在高達(dá)100G甚至是400G的線路卡上獲得線速處理的性能是考驗一個硬件平臺的重要技術(shù)指標(biāo)。最終的勝出者無疑就是能夠用最小的代價來換取最大業(yè)務(wù)實現(xiàn)和性能的設(shè)備平臺。虛擬化能力DCE對網(wǎng)絡(luò)虛擬化不僅僅是傳統(tǒng)意義上的VLAN和VPN，為實現(xiàn)SODC的交互效勞層資源調(diào)度方式，DCE還能夠做到以下的虛擬化能力。虛擬交換技術(shù)虛擬交換技術(shù)可以實現(xiàn)當(dāng)我們使用交換機(jī)資源時，我們可以不用關(guān)心交換效勞的物理存在方式，它可能是由一臺交換機(jī)提供，也可能是兩臺交換機(jī)設(shè)備，甚至可以是一個交換機(jī)中的幾個虛擬交換機(jī)之一。思科的DCE技術(shù)就提供了將兩個物理交換機(jī)虛擬為一臺交換機(jī)的虛擬交換系統(tǒng)〔VSS〕技術(shù)，以及將一個交換機(jī)虛擬化為多個交換機(jī)的虛擬設(shè)備〔VDC〕技術(shù)?！惨弧程摂M交換系統(tǒng)〔VSS〕VSS技術(shù)可將網(wǎng)絡(luò)的雙核心虛擬化為單臺設(shè)備，比方使用的Cisco6509的9插槽設(shè)備將完全被虛擬化成為單臺18槽機(jī)箱的虛擬交換機(jī)。虛擬交換機(jī)性能倍增、管理復(fù)雜度反而減半。具體有如下優(yōu)勢：單一管理界面：管理界面完全為單臺設(shè)備管理方式，管理和維護(hù)工作量減輕一半；性能翻倍：虛擬交換系統(tǒng)具備兩臺疊加的性能，與其它交換機(jī)通過跨物理機(jī)箱的雙千兆以太網(wǎng)或雙萬兆以太網(wǎng)捆綁技術(shù)，遠(yuǎn)比依靠路由或生成樹的負(fù)載均衡更均勻，帶寬和核心吞吐量均做到真正的翻倍。協(xié)議簡單：虛擬交換系統(tǒng)與其它設(shè)備間的動態(tài)路由協(xié)議完全是單臺設(shè)備與其它設(shè)備的協(xié)議關(guān)系，需維護(hù)的路由鄰居關(guān)系數(shù)以二次方根下降，在本系統(tǒng)中可達(dá)4～5倍下降，工作量和部署難度大大降低；虛擬交換系統(tǒng)同時作為單臺設(shè)備參與生成樹計算關(guān)系，生成樹計算和維護(hù)量以二次方根下降，在本系統(tǒng)中可達(dá)4～5倍下降，工作量和部署難度大大降低。冗余可靠：虛擬交換系統(tǒng)形成虛擬單機(jī)箱、物理雙引擎的跨機(jī)箱冗余引擎系統(tǒng)，下連接入交換機(jī)原來需要用動態(tài)路由或生成樹實現(xiàn)冗余切換的，在VSS下全都可以用簡單的鏈路捆綁實現(xiàn)負(fù)載均衡和冗余，無論是鏈路還是引擎，冗余切換比傳統(tǒng)方式更加迅捷平滑，保持上層業(yè)務(wù)穩(wěn)定運(yùn)行。以前兩個單引擎機(jī)箱的其中一臺更換引擎，一定會導(dǎo)致數(shù)據(jù)的喪失，而虛擬交換系統(tǒng)里任意一臺更換引擎，數(shù)據(jù)可以保證0喪失?！捕程摂M設(shè)備系統(tǒng)〔VDC〕VDC技術(shù)那么可以實現(xiàn)將一臺交換機(jī)劃分為多個虛擬的子交換機(jī)，每個交換機(jī)擁有獨(dú)立的配置界面，獨(dú)立的生成樹、路由、SNMP、VRRP等協(xié)議進(jìn)程，甚至獨(dú)立的資源分配〔內(nèi)存、TCAM、轉(zhuǎn)發(fā)表等等〕。它與VSS配合，將在實現(xiàn)更加靈活的、與物理設(shè)備無關(guān)的跨平臺資源分配能力，為數(shù)據(jù)中心這種底層設(shè)施資源消耗型網(wǎng)絡(luò)提供更經(jīng)濟(jì)高效的組網(wǎng)方式，也為管理和運(yùn)營智能化自動化創(chuàng)造條件。物理設(shè)備虛擬成假設(shè)干個邏輯上的獨(dú)立設(shè)備的圖示：網(wǎng)絡(luò)效勞虛擬化在效勞資源整合以及設(shè)備虛擬化的根底之上，DCE要求每個虛擬化的網(wǎng)絡(luò)應(yīng)用區(qū)都有自己的業(yè)務(wù)效勞設(shè)施，比方自己的防火墻、IDS、負(fù)載均衡器、SSL加速、……網(wǎng)絡(luò)效勞，這些如果都是物理上獨(dú)占式分配的，將是高本錢、低效率且難于維護(hù)管理的。DCE網(wǎng)絡(luò)在提供這些網(wǎng)絡(luò)智能效勞時都可以以虛擬化的方式實現(xiàn)各類效勞的資源調(diào)用，思科的DCE網(wǎng)絡(luò)中就可以實現(xiàn)虛擬防火墻、虛擬IDS、虛擬負(fù)載均衡器、虛擬SSLVPN網(wǎng)絡(luò)……等等，從而實現(xiàn)網(wǎng)絡(luò)智能效勞的虛擬化。效勞器虛擬化效勞器虛擬化可以使上層業(yè)務(wù)應(yīng)用僅僅根據(jù)自己所需的計算資源占用要求來對CPU、內(nèi)存、I/O和應(yīng)用資源等實現(xiàn)自由調(diào)度，而無須考慮該應(yīng)用所在的物理關(guān)聯(lián)和位置。當(dāng)前商用化最為成功的效勞器虛擬化解決方案是VMWare的VMotion系列，微軟的VirtualServer和許多其它第三方廠商〔如Intel、AMD等〕也正在參加，使得效勞器虛擬化的解決方案將越來越完善和普及。然而人們越來越意識到效勞器虛擬化的系統(tǒng)解決方案中除了應(yīng)用、主機(jī)、操作系統(tǒng)的角色外，網(wǎng)絡(luò)將是一個更為至關(guān)重要的角色。網(wǎng)絡(luò)將把各個自由聯(lián)系成為一個整體，網(wǎng)絡(luò)將是實現(xiàn)自由虛擬化的橋梁。效勞器虛擬化需要DCE能夠提供以下能力：資源的整合：業(yè)務(wù)應(yīng)用運(yùn)行所依賴的物理計算環(huán)境都需要網(wǎng)絡(luò)實現(xiàn)連接，然而在傳統(tǒng)網(wǎng)絡(luò)中，傳輸數(shù)據(jù)的數(shù)據(jù)網(wǎng)、互連CPU和內(nèi)存的計算網(wǎng)、互連存儲的存儲網(wǎng)都是孤立的，這就無法真正實現(xiàn)與物理無關(guān)的效勞器資源調(diào)度，因此實現(xiàn)真正意義上徹底的效勞器虛擬化，前面提到的DCE三網(wǎng)一體化交換架構(gòu)是必須的條件。網(wǎng)絡(luò)的虛擬機(jī)意識：傳統(tǒng)網(wǎng)絡(luò)是不具備虛擬機(jī)意識的，即在網(wǎng)絡(luò)上傳遞的信息是無法區(qū)別它是來自于哪個虛擬機(jī)，也無法在網(wǎng)絡(luò)上根據(jù)虛擬機(jī)來提供相應(yīng)的網(wǎng)絡(luò)效勞，當(dāng)虛擬機(jī)遷移，也沒有相應(yīng)的網(wǎng)絡(luò)跟蹤手段保證效勞的全局一致性。不過這些都是DCE正在解決的問題，一些DCE的領(lǐng)導(dǎo)廠商，比方思科，已經(jīng)在推出的商用化DCE產(chǎn)品中提供了相應(yīng)的虛擬機(jī)標(biāo)識機(jī)制，并且思科已經(jīng)聯(lián)合VMware等廠商將這些協(xié)議提交IEEE實現(xiàn)標(biāo)準(zhǔn)化。虛擬機(jī)遷移的網(wǎng)絡(luò)環(huán)境：效勞器虛擬化是依靠虛擬機(jī)的遷移技術(shù)實現(xiàn)與物理資源無關(guān)的資源共享和復(fù)用的。虛擬機(jī)遷移需要一個二層環(huán)境，這導(dǎo)致遷移范圍被局限在傳統(tǒng)的VLAN內(nèi)。我們知道Web2.0、云計算等概念都需要無處不在的數(shù)據(jù)中心，那么如何實現(xiàn)二層網(wǎng)絡(luò)的跨地域延展呢？傳統(tǒng)的L2MPLS技術(shù)太復(fù)雜，于是IEEE和IETF正在制定二層多路徑〔即二層延展〕的新標(biāo)準(zhǔn)，DCE的領(lǐng)導(dǎo)廠商思科公司也提出了一種新的協(xié)議標(biāo)準(zhǔn)CiscoOvertheTopVirtualization(OTV)來解決跨城域或廣域網(wǎng)的二層延展性問題，從而為效勞器虛擬化提供可擴(kuò)展的網(wǎng)絡(luò)支撐。自動化自動化是SODC架構(gòu)中上層自動優(yōu)化的實現(xiàn)效勞調(diào)用必須條件。在高度整合化和虛擬化的根底上，效勞的部署完全不需要物理上的動作，資源在虛擬化平臺上可以與物理設(shè)施無關(guān)的進(jìn)行分配和整合，這樣我們只需要將一定的業(yè)務(wù)策略輸入給智能網(wǎng)絡(luò)的策略效勞器，一切的工作都可以按系統(tǒng)自身最優(yōu)化的方式進(jìn)行計算、評估、決策和調(diào)配實現(xiàn)?，F(xiàn)在商用的DCE自動化解決方案包括管理自動化和業(yè)務(wù)部署自動化。XXX數(shù)據(jù)中心將在后續(xù)的建設(shè)中逐步完善自動化管理和自動化業(yè)務(wù)部署，但需要在本期通過DCE技術(shù)的實施打下未來自動化部署的堅實根底。綠色數(shù)據(jù)中心DCE技術(shù)的整合化、虛擬化和自動化本身就是在到達(dá)同樣業(yè)務(wù)能力的要求下實現(xiàn)高效率利用硬件資源、減少總硬件投入、節(jié)約維護(hù)管理本錢等方面的最正確途徑，這本身也是綠色數(shù)據(jù)中心的必要條件。另外DCE產(chǎn)品必須在硬件實現(xiàn)上實現(xiàn)低功耗、高效率，包括利用最新半導(dǎo)體工藝 〔越小納米的芯片要比大納米的芯片省電〕降低邏輯電路的復(fù)雜度 〔在接入層使用二層設(shè)備往往要比三層設(shè)備省電〕減少通用集成電路的空轉(zhuǎn) 〔使用定制化的專業(yè)設(shè)計的芯片往往比通用芯片省電〕等等……由此可見，對于一臺網(wǎng)絡(luò)設(shè)備，在業(yè)務(wù)能力相當(dāng)?shù)那疤釛l件下，越小的功耗就代表越先進(jìn)的技術(shù)。在DCE設(shè)備一般可以做到維持三層的全業(yè)務(wù)萬兆吞吐功耗小于25W、二層的萬兆吞吐功耗小于13W。綜上所述，在本次XXX新一代數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)中，將采用不同于傳統(tǒng)以太網(wǎng)技術(shù)的DCE以太網(wǎng)技術(shù)，構(gòu)建面向效勞的高效能數(shù)據(jù)中心網(wǎng)絡(luò)平臺。XXX數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計總體網(wǎng)絡(luò)結(jié)構(gòu)本次XXX數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)將采用新一代的DCE技術(shù)，并使用DCE技術(shù)的代表廠商Cisco公司的Nexus系列產(chǎn)品。網(wǎng)絡(luò)結(jié)構(gòu)將采用大型數(shù)據(jù)中心典型的層次化、模塊化組網(wǎng)結(jié)構(gòu)。層次化結(jié)構(gòu)的優(yōu)勢采用層次化結(jié)構(gòu)有如下好處：節(jié)約本錢：園區(qū)網(wǎng)絡(luò)意味著巨大的業(yè)務(wù)投資正確設(shè)計的園區(qū)網(wǎng)絡(luò)可以提高業(yè)務(wù)效率和降低運(yùn)營本錢。便于擴(kuò)展：一個模塊化的或者層次化的網(wǎng)絡(luò)由很多更加便于復(fù)制、改造和擴(kuò)展的模塊所構(gòu)成，在添加或者移除一個模塊時，并不需要重新設(shè)計整個網(wǎng)絡(luò)。每個模塊可以在不影響其他模塊或者網(wǎng)絡(luò)核心的情況下投入使用或者停止使用。加強(qiáng)故障隔離能力：通過將網(wǎng)絡(luò)分為多個可管理的小型組件，企業(yè)可以大幅度簡化故障定位和排障處理時效。標(biāo)準(zhǔn)的網(wǎng)絡(luò)分層結(jié)構(gòu)層次化結(jié)構(gòu)包括三個功能局部，即接入層、分布層和核心層，各層次定位分別如下：核心層：是企業(yè)數(shù)據(jù)交換網(wǎng)絡(luò)的骨干，本層的設(shè)計目的是實現(xiàn)快速的數(shù)據(jù)交換，并且提供高可靠性和快速的路由收斂。分布層：也稱為會聚層。主要會聚來自接入層的流量和執(zhí)行策略，當(dāng)?shù)谌龑訁f(xié)議被用于這一層時可以獲得路由負(fù)載均衡，快速收斂和可擴(kuò)展性等好處。分布層還是網(wǎng)絡(luò)智能效勞的實施點(diǎn)，包括平安控制、應(yīng)用優(yōu)化等智能功能都在此實施。接入層：負(fù)責(zé)提供效勞器、用戶終端、存儲設(shè)施等等的網(wǎng)絡(luò)第一級接入功能，另外網(wǎng)絡(luò)智能效勞的初始分類，比方平安標(biāo)識、QoS分類將也是這一層的根本功能。XXX的網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)業(yè)界企業(yè)網(wǎng)絡(luò)最正確設(shè)計實踐參考，在邊緣節(jié)點(diǎn)端口較少的小型網(wǎng)絡(luò)中，可以考慮將核心層與分布層合并，小型網(wǎng)絡(luò)的網(wǎng)絡(luò)規(guī)模主要由接入層交換機(jī)決定。但對于XXX而言，結(jié)合XXX的業(yè)務(wù)現(xiàn)狀及開展趨勢，我們可以看到未來幾年內(nèi)業(yè)務(wù)處于一個高速成長期，必須在本期網(wǎng)絡(luò)架構(gòu)中充分考慮未來的可擴(kuò)展性。所以XXX企業(yè)內(nèi)部核心網(wǎng)絡(luò)層次結(jié)構(gòu)必須具有以上嚴(yán)格清晰的劃分，即具有清晰的核心層、會聚分布層、接入層等分層結(jié)構(gòu)，才能保證網(wǎng)絡(luò)的穩(wěn)定性、健壯性和可擴(kuò)展性，以適應(yīng)業(yè)務(wù)的開展。XXX的業(yè)務(wù)應(yīng)用特點(diǎn)又決定了核心層將相對接入的網(wǎng)絡(luò)模塊較少，只有樓層會聚接入、數(shù)據(jù)中心會聚接入、廣域網(wǎng)接入等三塊，如果采用單獨(dú)的大容量物理核心設(shè)備將造成浪費(fèi)，而如果采用低端核心設(shè)備那么會對業(yè)務(wù)相對繁忙的數(shù)據(jù)中心會聚形成瓶頸，也影響網(wǎng)絡(luò)整體的穩(wěn)定性。鑒于此，我們采用超大規(guī)模核心層設(shè)備CiscoNexus7000作為核心，但虛擬化為兩套交換機(jī)，一套用于全網(wǎng)核心，一套用于數(shù)據(jù)中心會聚。這樣做的優(yōu)勢如下：邏輯上仍然是清晰的兩套設(shè)備，完全保持了前述網(wǎng)絡(luò)分層結(jié)構(gòu)的優(yōu)勢。在性能上實現(xiàn)了網(wǎng)絡(luò)核心和數(shù)據(jù)中心會聚交換機(jī)資源的共享和復(fù)用，非常好的解決了核心層數(shù)據(jù)量和數(shù)據(jù)中心數(shù)據(jù)量可能存在較大差異的問題。以較低的投入升級了數(shù)據(jù)中心會聚交換機(jī)的能力〔相當(dāng)于可以與核心層復(fù)用4Tbps以上的交換能力〕，適于下一階段要進(jìn)行的數(shù)據(jù)中心雙網(wǎng)融合的資源需求。減少了設(shè)備數(shù)量，降低了設(shè)備投入本錢、功耗開銷和維護(hù)管理的復(fù)雜度。XXX新一代數(shù)據(jù)中心整體網(wǎng)絡(luò)結(jié)構(gòu)如下列圖所示：全網(wǎng)核心層設(shè)計本次我們采用能擴(kuò)展到15Tbps以上的CiscoNexus7000系列大型DCE交換機(jī)，每臺Nexus7000劃分為兩個VDC〔虛擬交換機(jī)〕，一個虛擬交換機(jī)作為XXX全網(wǎng)核心，另一個虛擬交換機(jī)作為數(shù)據(jù)中心的分布會聚層交換機(jī)。我們選擇的是10插槽Nexus7010，以雙機(jī)雙冗余方式部署在網(wǎng)絡(luò)核心。每臺當(dāng)前支持的最大交換容量為4Tbps，最大萬兆端口容量為256個，每插槽交換能力為230Gbps〔未來可擴(kuò)展到500Gbps以上〕，可以在未來擴(kuò)展40G/100G以太網(wǎng)。本次每臺N7010實配32個萬兆端口，48個千兆端口，這些端口都可在物理上劃分為屬于全網(wǎng)核心的虛擬交換機(jī)和屬于數(shù)據(jù)中心會聚的虛擬交換機(jī)，每個虛擬交換機(jī)從軟件進(jìn)程到配置界面都各自獨(dú)立，但可以共享和復(fù)用總的交換機(jī)資源。每個虛擬交換機(jī)都支持vPC技術(shù)〔VirtualPort-Channel〕，即可以實現(xiàn)跨交換機(jī)的端口捆綁，這樣在下級交換機(jī)上連屬于不同機(jī)箱的虛擬交換機(jī)時，可以把分別連向不同機(jī)箱的萬兆鏈路用與IEEE802.3ad兼容的技術(shù)實現(xiàn)以太網(wǎng)鏈路捆綁，提高冗余能力和鏈路互連帶寬的同時，大大簡化網(wǎng)絡(luò)維護(hù)。核心層虛擬交換機(jī)與其它設(shè)備互連都采用路由端口和三層交換方式，因此采用vPC進(jìn)行鏈路捆綁時使用三層端口鏈路捆綁技術(shù)。如下圖：數(shù)據(jù)中心分布層設(shè)計數(shù)據(jù)中心分布層虛擬交換機(jī)數(shù)據(jù)中心的分布會聚層交換機(jī)是采用上述Nexus7010內(nèi)單獨(dú)劃分處理的虛擬交換機(jī)實現(xiàn)。虛擬交換機(jī)之間通過外部互連，并同樣采用vPC的三層端口鏈路捆綁技術(shù)。分布會聚層虛擬交換機(jī)與下面的接入層采用二層端口的vPC跨機(jī)箱捆綁技術(shù)互連，如下列圖所示。數(shù)據(jù)中心分布層智能效勞機(jī)箱數(shù)據(jù)中心的網(wǎng)絡(luò)智能效勞由設(shè)計在分布層的智能效勞機(jī)箱提供〔Multi-ServicesChassis〕。單獨(dú)的效勞機(jī)箱可以不破壞高性能的一體化交換架構(gòu)形成的數(shù)據(jù)中心主干，有選擇的對三網(wǎng)合一的數(shù)據(jù)中心流量提供按需的網(wǎng)絡(luò)智能效勞。比方本地存儲流量沒有必要在傳輸過程中經(jīng)過數(shù)據(jù)應(yīng)用類防火墻的檢查〔存儲網(wǎng)內(nèi)有自己的平安訪問控制機(jī)制〕，這樣的設(shè)計比擬容易實現(xiàn)類似的FCoE流量的無干擾直達(dá)。智能效勞機(jī)箱采用CiscoCatalyst6500交換機(jī)，配置720G引擎和18個萬兆端口，內(nèi)置防火墻模塊〔FWSM〕、應(yīng)用控制模塊〔ACE〕，提供給用級平安訪問控制和應(yīng)用優(yōu)化、負(fù)載均衡功能。智能效勞機(jī)箱采用雙機(jī)冗余結(jié)構(gòu)，利用Catalyst6500的VSS虛擬交換機(jī)功能，兩個獨(dú)立的機(jī)箱完全可以看成為一個邏輯機(jī)箱，再通過共4個萬兆上連至2個N7000上的分布會聚層虛擬交換機(jī)上。VSS技術(shù)形成了一個具有1.44Tbps能力的智能效勞機(jī)箱，再通過N7000的vPC技術(shù)，那么形成了智能效勞機(jī)箱和N7000之間全雙工高達(dá)80Gbps的互連帶寬。由于N7000和6500VSS上都預(yù)留了足夠的萬兆端口，這個捆綁帶寬值根據(jù)未來智能效勞處理性能的需要還可以成倍的平滑升級。物理和邏輯的連接示意圖如下面所示。物理結(jié)構(gòu)圖邏輯結(jié)構(gòu)圖在一期實施中，智能效勞機(jī)箱內(nèi)智能效勞器硬件模塊的部署密度不高——每個機(jī)箱內(nèi)防火墻模塊、負(fù)載均衡模塊各一塊，這樣每個機(jī)箱內(nèi)使用引擎加速技術(shù)的防火墻模塊最大迸發(fā)吞吐量32Gbps，負(fù)載均衡模塊最大四層吞吐能力16Gbps〔而且不是所有都需要負(fù)載均衡〕，完全滿足當(dāng)前業(yè)務(wù)需求，因此可以在實施中簡化配置，改雙機(jī)箱VSS結(jié)構(gòu)為一主一備機(jī)箱方式，在以后隨業(yè)務(wù)需求上漲，業(yè)務(wù)模塊增多，再完善為雙機(jī)箱負(fù)載均衡的VSS模式。由于效勞機(jī)箱內(nèi)的防火墻模塊和應(yīng)用控制優(yōu)化模塊都支持虛擬化技術(shù)，因此還可以利用智能效勞虛擬化實現(xiàn)基于每個數(shù)據(jù)中心業(yè)務(wù)組的定制效勞策略和功能，使每個業(yè)務(wù)應(yīng)用使用所需資源時不必過度關(guān)注其物理存在方式，從而實現(xiàn)與物理無關(guān)的跨平臺智能效勞調(diào)用〔SODC的交互效勞調(diào)用〕，極大的提高資源利用效率，減少了物理設(shè)施維護(hù)的復(fù)雜度。這局部將在后面智能效勞的詳細(xì)設(shè)計中加以說明。數(shù)據(jù)中心接入層設(shè)計使用CiscoNexus5000和2000系列DCE接入交換機(jī)，可以實現(xiàn)數(shù)據(jù)中心接入層的分級設(shè)計。本次建議XXX使用的是具有將近1.2Tbps交換能力、初始配置有40個萬兆以太網(wǎng)端口的Nexus5020交換機(jī)，以及具備48個10/100/1000M以太網(wǎng)端口、4個萬兆上連端口的Nexus2148T。Nexus2000是5000系列的交換矩陣延展器，通過部署在柜頂〔TopoftheRack，ToR〕的2148T，可以將本地接入的高密度效勞器上連到5020，4個上連萬兆端口可以提供48個千兆端口中至少40個端口的全線性轉(zhuǎn)發(fā)能力，通過連接多臺2148T，5020可以將1.2T的驚人交換能力延展到多個機(jī)柜，實現(xiàn)高性能、高密度、低延遲的DCE效勞器群接入能力。而且作為5020的延展設(shè)備，2148T無需自身進(jìn)行復(fù)雜配置，所有管理和配置都可在其上游的5020上完成，大大簡化了多機(jī)柜、高密度效勞器接入設(shè)備的管理復(fù)雜度。Nexus5000和2000都是按柜頂〔TopoftheRack，ToR〕交換機(jī)的尺寸設(shè)計，1～2U的高度內(nèi)緊湊的集成了高密度的DCE端口，但同時提供可熱插拔的冗余風(fēng)扇組和冗余電源系統(tǒng)，其可靠性遠(yuǎn)非其它傳統(tǒng)以太網(wǎng)中固定接口小交換機(jī)所可比。Nexus5000是業(yè)界第一款商用化FCoE交換機(jī)，其所有萬兆以太網(wǎng)端口都支持FCoE。同時Nexus5000支持?jǐn)U展16個1~4GFiberChannel端口或8個1~8GFiberChannel端口，完全支持FiberChannelSAN交換機(jī)的完整功能特性。也即傳統(tǒng)需要以太網(wǎng)卡、FC存儲卡〔HBA〕、InfiniBand卡的主機(jī)，只需要一張F(tuán)CoE的以太網(wǎng)卡〔CNA〕就可以實現(xiàn)三種網(wǎng)絡(luò)的接入，用戶在操作系統(tǒng)上也可以看見虛擬化的以太網(wǎng)卡、HBA卡和InfiniBand卡，而它們共享萬兆的高帶寬，Nexus5000還可通過FiberChannel接口連接傳統(tǒng)的SAN網(wǎng)絡(luò)，實現(xiàn)SAN/LAN的整合，通過這種整合和虛擬化實現(xiàn)資源的自由調(diào)度和最大化利用，同時成倍減少的網(wǎng)卡數(shù)節(jié)約了功耗，提高了可靠性，降低了維護(hù)本錢。XXX的20個主機(jī)、效勞器機(jī)柜將分為兩列，每列選兩個列中柜〔MiddleoftheRow〕，柜內(nèi)部署Nexus5020，而每列其它8個普通機(jī)柜在柜頂〔ToR〕放置Nexus2148T。物理部署類似下列圖所示：普通的機(jī)柜內(nèi)放置千兆端口效勞器，每機(jī)柜可容納具有冗余網(wǎng)卡的千兆效勞器高達(dá)20個。每列的兩個列中柜〔MoR〕內(nèi)可放置具備萬兆以太網(wǎng)卡的高性能效勞器、萬兆FCoE卡的新型效勞器、具備FiberChannel卡〔HBA〕的效勞器和SAN交換機(jī)，甚至將來可以擴(kuò)展具備FCoE接口的盤陣。提供兩種實際物理接線的方法：方法1：交叉冗余鏈接每兩個普通機(jī)柜的設(shè)備都與另一個機(jī)柜的Nexus2148T冗余交叉上連，每個普通機(jī)柜柜頂〔ToR〕的Nexus2148T又通過4個萬兆交叉上連至本列的兩個列中柜〔MoR〕內(nèi)的Nexus5020，每列兩個列中柜〔MoR〕內(nèi)的Nexus5020冗余互連，并且再交叉上連至Nexus7000的虛擬交換機(jī)上。物理連接類似下列圖所示：方法2：以Nexus5000為單位的冗余和負(fù)載均衡這種方法保證對于每個Nexus2000而言只連接一個Nexus5000，防止跨越Nexus5000的負(fù)載均衡，也即防止負(fù)載均衡時偶發(fā)的在兩個Nexus5000互連的鏈路上產(chǎn)生流量。這種方法的優(yōu)點(diǎn)是負(fù)載均衡效果更好，防止兩個Nexus5000之間可能產(chǎn)生的擁塞〔雖然可能性比擬小〕，而且網(wǎng)絡(luò)結(jié)構(gòu)簡單，易于管理。但缺點(diǎn)是冗余能力不如方法1，由于方法1讓每一個Nexus2000交錯連接，所以可以容忍2000、5000同時出現(xiàn)故障。由于2000、5000同出故障的概率極低，而方案2更容易實施，管理復(fù)雜度更小，所以一期施工推薦使用方法2。在效勞器的分配應(yīng)盡量遵循相互業(yè)務(wù)緊密、訪問量大或需要相互進(jìn)行虛擬機(jī)遷移和調(diào)度的物理效勞器應(yīng)放置在同一柜列〔Row〕的原那么，即共用一對Nexus5000。上圖每個機(jī)柜的20臺效勞器可以完全實現(xiàn)雙網(wǎng)卡的LoadBalanceTeaming方式下的線性網(wǎng)絡(luò)接入，即每臺效勞器2G帶寬〔4G吞吐量〕的網(wǎng)絡(luò)接入能力。在一期實施中，為簡化效勞器端設(shè)計，可以效勞器網(wǎng)卡可以先采用Active/Standby的Teaming方式。數(shù)據(jù)中心地址路由設(shè)計核心層XXX數(shù)據(jù)中心核心層與分布會聚層之間采用路由端口，實現(xiàn)三層交換，建議使用OSPF路由協(xié)議。分布會聚層和接入層分布會聚層和接入層之間使用交換端口，實現(xiàn)二層交換。如前所述，當(dāng)前的主流虛擬機(jī)軟件，如VMware、VirtualServer等都需要在二層交換下實現(xiàn)虛擬機(jī)遷移，因此在數(shù)據(jù)中心接入層使用二層交換將方便虛擬機(jī)的遷移和調(diào)度。當(dāng)前由于Cisco獨(dú)特的VSS虛擬交換機(jī)技術(shù)和vPC跨設(shè)備端口捆綁技術(shù)的使用，可以實現(xiàn)在二層結(jié)構(gòu)下完全沒有環(huán)路，從根本上解決了生成樹算法收斂慢、不穩(wěn)定、故障多的問題，也使得在一個數(shù)據(jù)中心內(nèi)二層結(jié)構(gòu)下的可擴(kuò)展性與三層結(jié)構(gòu)沒有根本的區(qū)別。如下列圖所示，只要經(jīng)過適當(dāng)設(shè)計，本工程接入層的二層局部將沒有環(huán)路，快速生成樹算法將只用于在誤操作等極端情況下的防范手段。當(dāng)IEEE的改良生成樹協(xié)議或者IETF的二層路由協(xié)議技術(shù)成熟，或者直接使用思科當(dāng)前就可以提供的OTV技術(shù)，二層結(jié)構(gòu)還可以擴(kuò)展到城域和廣域網(wǎng)中去，擴(kuò)大效勞器虛擬化的調(diào)度范圍，向云計算的理想邁進(jìn)。分布會聚層的智能效勞機(jī)箱相關(guān)的地址和邏輯設(shè)計將在后面專項的智能效勞介紹中詳細(xì)闡述。VLAN/VSAN和地址規(guī)劃接入層內(nèi)的Nexus5000和2000將可以把主機(jī)效勞器和存儲設(shè)備一并接入統(tǒng)一交換，其中數(shù)據(jù)網(wǎng)絡(luò)局部實現(xiàn)傳統(tǒng)的VLAN設(shè)計，而存儲網(wǎng)絡(luò)那么支持VSAN。在DCE的一體化交換架構(gòu)下，數(shù)據(jù)網(wǎng)絡(luò)局部的邏輯結(jié)構(gòu)設(shè)計〔地址和路由〕與分層設(shè)計的傳統(tǒng)網(wǎng)絡(luò)完全兼容，因此用戶現(xiàn)有的主機(jī)、效勞器在割接到新數(shù)據(jù)中心時無需變更地址，實現(xiàn)平滑過度。應(yīng)用效勞控制與負(fù)載均衡設(shè)計功能介紹根本功能本工程我們在數(shù)據(jù)中心的分布會聚層的智能效勞機(jī)箱內(nèi)配置了Cisco應(yīng)用控制模塊(ApplicationControlEngine,ACE)，作為數(shù)據(jù)中心的重要網(wǎng)絡(luò)智能效勞，該模塊可為后臺應(yīng)用效勞器提供高性能表現(xiàn)和最高級別的體系控制和平安保護(hù)。ACE主要針對大型企業(yè)和電信用戶的效勞器集群環(huán)境，可以有效地對重要應(yīng)用數(shù)據(jù)的傳送進(jìn)行優(yōu)化和簡化，同時具備良好的性價比。ACE提供了如下的性能和功能：ACE提供四到七層數(shù)據(jù)包的內(nèi)容交換和負(fù)載均衡功能，為效勞器機(jī)群提供虛擬地址和端口。ACE在插入Catalyst6500后，交換機(jī)上的所有端口即可成為四層交換端口。ACE與Catalyst6509數(shù)據(jù)總線和交換矩陣都有連接，最高帶寬為16Gbps,每秒連接數(shù)為345000個。ACE不僅為效勞器提供負(fù)載均衡，還可為外部的防火墻、VPN集中器……等等網(wǎng)絡(luò)效勞設(shè)施提供負(fù)載均衡。ACE具備資源分配和隔離功能，是效勞器虛擬化的重要手段之一。在一個物理模塊中，ACE可以劃分為多個獨(dú)立的分區(qū)，每一個分區(qū)都可以分配給一個應(yīng)用或者一個用戶使用。另外，每一個分區(qū)都支持層次化的管理模式，提供了資源管理的靈活性和平安性。ACE支持基于角色的訪問控制(role-basedaccesscontrol),所有的用戶都被分配了相應(yīng)的角色(role),每個角色在分區(qū)內(nèi)被允許執(zhí)行相關(guān)的命令集。例如系統(tǒng)管理員角色(systemadminrole)可以執(zhí)行ACE所有的命令而應(yīng)用程序管理員角色(applicationadminrole)只能執(zhí)行和后臺應(yīng)用及內(nèi)容交換的命令等。ACE具有強(qiáng)大的平安功能，可以有效地保護(hù)后臺的應(yīng)用程序免受惡意攻擊。主要的技術(shù)包括：深層包檢測、雙向動態(tài)、靜態(tài)和基于策略的地址轉(zhuǎn)換(NAT/PAT)，訪問控制列表、TCP包頭驗證、TCP連接狀態(tài)監(jiān)控等。ACE支持多層次的冗余性，對關(guān)鍵業(yè)務(wù)提供最高等級的可用性保護(hù)。ACE是目前業(yè)界唯一可以實現(xiàn)以下三種高可用性保護(hù)的四層交換機(jī)機(jī)箱間冗余兩臺機(jī)箱間的ACE板卡可互為冗余保護(hù)板卡間冗余同一機(jī)箱內(nèi)的多個ACE板卡可互為冗余保護(hù)虛擬分區(qū)前冗余–同一ACE板卡內(nèi)的不同虛擬分區(qū)之前可互為保護(hù)ACE的冗余保護(hù)對動態(tài)的連接進(jìn)行保護(hù)，保證當(dāng)主業(yè)務(wù)板卡故障時業(yè)務(wù)連接仍然得以保持。硬件加速方式的協(xié)議控制，對常見協(xié)議提供有效的檢查、過濾和綁定。這些協(xié)議包括,RTSP,DNS,FTP,ICMP等。硬件方式實現(xiàn)ACL和NAT功能，最多支持一百萬個NAT轉(zhuǎn)換表項。應(yīng)用特點(diǎn)虛擬化分區(qū)虛擬分區(qū)實現(xiàn)了資源分段和隔離，使思科ACE可作為一個物理模塊中的多個獨(dú)立虛擬模塊運(yùn)行。憑借這個解決方案，企業(yè)能夠利用一個思科ACE模塊，為多達(dá)250個不同的企業(yè)機(jī)構(gòu)、應(yīng)用、或客戶和合作伙伴提供事先定義的效勞水平。虛擬分區(qū)使應(yīng)用根底設(shè)施能更好地用于業(yè)務(wù)運(yùn)營，同時減少設(shè)備并實現(xiàn)出色的控制。另外，每個虛擬分區(qū)還包括分級管理域，既能確保應(yīng)用的性能水平，又可使ACE模塊中的可用資源得到最大限度的利用。思科ACE為分散的管理提供集中的控制，從而為每個虛擬分區(qū)提供了基于模板的或可自定義的用戶訪問權(quán)限?；诮巧脑L問控制(RoleBasedAccessControl,RBAC)特性允許企業(yè)對管理角色進(jìn)行定義，限定管理員對模塊或虛擬分區(qū)內(nèi)特定功能的使用權(quán)。由于一個機(jī)構(gòu)中可能有多位管理員需要以不同級別〔例如，應(yīng)用管理、效勞器管理、網(wǎng)絡(luò)管理、平安管理等〕與思科ACE模塊互動，因此，對這些管理角色進(jìn)行準(zhǔn)確定義，使每個管理員群組都能夠在不影響其他群組的情況下順利地執(zhí)行任務(wù)，無疑是一項重要工作。通過與CiscoCatalyst6500的虛擬路由轉(zhuǎn)發(fā)(VRF)、防火墻模塊的虛擬化相集成，可支持從路由功能、防火墻到應(yīng)用控制負(fù)載均衡的端到端的智能效勞虛擬化〔如下列圖所示〕。性能和擴(kuò)展性思科ACE提供了業(yè)界最高水平的應(yīng)用供給能力。每個思科ACE模塊的吞吐率可高達(dá)16Gbps，每秒支持345,000個持續(xù)連接，可以輕松地處理大量數(shù)據(jù)文件、多媒體應(yīng)用和龐大的用戶群體。ACE系列模塊配備了“隨增長而投資”的付費(fèi)許可證，提供了最高16Gbps的可擴(kuò)展吞吐率，客戶無需為擴(kuò)充容量而全面升級系統(tǒng)。在設(shè)計上，ACE也為未來的增值效勞和擴(kuò)展功能預(yù)留了空間。實際上，通過在單一CiscoCatalyst6500機(jī)箱中安裝四個ACE模塊，它提供了業(yè)界最高水平的可擴(kuò)展性。思科ACE還提供了多層冗余性、可用性和可擴(kuò)展性，為您的關(guān)鍵業(yè)務(wù)提供最大限度的保護(hù)。它還是業(yè)內(nèi)唯一提供三種高可用性模式的產(chǎn)品：機(jī)箱間高可用性：一臺CiscoCatalyst6500中的ACE由對等CiscoCatalyst6500中的ACE保護(hù)。機(jī)箱內(nèi)高可用性：CiscoCatalyst6500中的一個ACE由同一CiscoCatalyst6500中的另一個ACE保護(hù)(CiscoCatalyst6500內(nèi)置了強(qiáng)大的冗余性)。分區(qū)之間高可用性：思科ACE支持在兩個模塊上配置的虛擬分區(qū)之間的高可用性，使特定分區(qū)能夠在不影響模塊中其他分區(qū)和應(yīng)用的根底上執(zhí)行故障切換。所有這些可用性模式均通過復(fù)制連接狀態(tài)和連接表，提供了快速的狀態(tài)化應(yīng)用冗余性。平安功能思科自防御網(wǎng)絡(luò)提供了多個級別的防御功能，使客戶可以高枕無憂。思科ACE可通過以下特性，保護(hù)數(shù)據(jù)中心和關(guān)鍵應(yīng)用免受惡意流量的影響：深度包檢測——報頭、URL和凈負(fù)荷雙向網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和端口地址轉(zhuǎn)換(PAT)支持靜態(tài)、動態(tài)和基于策略的NAT/PAT訪問控制列表(ACL)可選擇地允許端口間的哪些流量通過TCP連接狀態(tài)跟蹤用于UDP的虛擬連接狀態(tài)序列號隨機(jī)生成TCP報頭驗證TCP窗口尺寸檢查在建立會話時檢查單播反向路徑轉(zhuǎn)發(fā)(URPF)集成硬件加速協(xié)議控制功能在應(yīng)用供給領(lǐng)域尚屬首次面世，為許多常用數(shù)據(jù)中心協(xié)議，如、實時流協(xié)議(RTSP)、域名系統(tǒng)(DNS)、FTP和互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)，提供了有效的檢測、過濾和修復(fù)功能。擁有多達(dá)256,000個條目的大型可擴(kuò)展ACL能夠同時支持應(yīng)用希望獲得的前端可擴(kuò)展性〔用戶/客戶端應(yīng)用數(shù)量〕和后端可擴(kuò)展性〔效勞器/效勞器群數(shù)量〕。此外，多達(dá)1,000,000個條目的高性能、可擴(kuò)展NAT事件處理功能也支持許多大型數(shù)據(jù)中心的整合和應(yīng)用更快速的面世。虛擬分區(qū)那么可以使所有重疊的IP子網(wǎng)保持獨(dú)立，無需為保護(hù)數(shù)據(jù)中心而進(jìn)行費(fèi)用高昂的網(wǎng)絡(luò)重新設(shè)計、重新配置，或添加額外的設(shè)備。思科ACE也支持對于協(xié)議符合性的檢查，且可為平安分析提供事件記錄和報告。根底設(shè)施簡化第二至七層網(wǎng)絡(luò)集成——作為CiscoCatalyst6500機(jī)箱的一個模塊，思科ACE可以輕松地插入任何新型或現(xiàn)有的網(wǎng)絡(luò)，提供了一個第二至七層全面而豐富的解決方案。該解決方案支持Catalyst6500所支持的所有端口類型和數(shù)量，支持高達(dá)720Gbps的機(jī)箱吞吐率，可以輕松擴(kuò)展，來滿足最大型網(wǎng)絡(luò)的要求，此外，該集成解決方案也節(jié)省了所占空間。利用路由狀態(tài)注入(RHI)和自動狀態(tài)集成，可支持應(yīng)用和數(shù)據(jù)中心高可用性，而ACE虛擬分區(qū)通過開啟或關(guān)閉網(wǎng)絡(luò)中的物理接口可強(qiáng)制進(jìn)行故障切換。功能整合通過在一臺設(shè)備上整合內(nèi)容交換、SSL加速、數(shù)據(jù)中心平安等功能，思科ACE獲得了從bps到pps的性能顯著提升，縮短了應(yīng)用延遲。利用功能整合，TCP信息流只需終結(jié)一次，而無需在網(wǎng)絡(luò)上的四個或四個以上的位置進(jìn)行終結(jié)，既節(jié)省了時間，又減少了處理工作和內(nèi)存占用。加密和解密、負(fù)載均衡決策、平安性檢查和業(yè)務(wù)策略分配及驗證均在網(wǎng)絡(luò)中的單一地點(diǎn)完成，以較少的設(shè)備、簡化的網(wǎng)絡(luò)設(shè)計和更方便的管理，實現(xiàn)了更理想的應(yīng)用性能。管理功能思科ANM可對多個ACE模塊上的虛擬分區(qū)和層次化管理域進(jìn)行管理。這個基于效勞器的管理套件能對多個ACE模塊上的大量虛擬分區(qū)進(jìn)行發(fā)現(xiàn)、配置、監(jiān)控和報告，使部署完全透明化。基于模板的配置和審計與效勞激活/中止功能相配合，可快速實施應(yīng)用。通過匹配效勞API，可配置任務(wù)的RBAC組，允許多位管理員群組在多個ACE模塊和虛擬分區(qū)上同時進(jìn)行操作。SSL加速思科ACE解決方案集成了SSL加速技術(shù)，可卸載外部設(shè)備〔效勞器、設(shè)備等〕的SSL流量加密和解密工作，允許思科ACE對加密數(shù)據(jù)進(jìn)行更深入的檢查，并應(yīng)用平安和內(nèi)容交換策略。這一設(shè)置不僅使思科ACE可以作出更明智的策略決策，還可確保您的應(yīng)用供給平臺遵守內(nèi)部和外部法規(guī)。利用重加密功能，思科ACE解決方案在確保敏感數(shù)據(jù)端到端加密的同時，還可執(zhí)行智能策略。事務(wù)處理可視性憑借每秒處理350,000個系統(tǒng)日志的業(yè)界領(lǐng)先速度，思科ACE解決方案可記錄大量連接設(shè)置和斷接，它提供了事務(wù)處理級可視性，且不會影響數(shù)據(jù)傳輸性能。開放的硬件平臺利用兩個可現(xiàn)場升級的子卡插槽，未來的需要硬件化處理的新功能都可作為子卡插入ACE模塊，思科ACE模塊能支持未來的功能和更高可擴(kuò)展性。這種靈活性確保了思科ACE解決方案在今后的假設(shè)干年中，都可以隨著需求的開展而擴(kuò)展，無需實施全面的模塊升級，且?guī)缀趸蛲耆粫斐蓸I(yè)務(wù)中斷。數(shù)據(jù)中心的應(yīng)用情況在XXX相關(guān)部門的明確指導(dǎo)和大力協(xié)助下，我們在設(shè)計前期信息收集過程中，充分了解了XXX數(shù)據(jù)中心各應(yīng)用的根本情況及其對網(wǎng)絡(luò)層次的要求。目前XXX的數(shù)據(jù)中心效勞的應(yīng)用系統(tǒng)中有如下核心應(yīng)用：……其中需要特殊對待的主要是XXXX等幾種應(yīng)用應(yīng)用和開放式系統(tǒng)應(yīng)用，隨著工程向前推進(jìn)，應(yīng)用需求也可能會略有增加或發(fā)生變化，本設(shè)計文檔也會相應(yīng)地更新，確保達(dá)XXX數(shù)據(jù)中心網(wǎng)絡(luò)良好地效勞于各種業(yè)務(wù)應(yīng)用系統(tǒng)。XXXX應(yīng)用1目前，XXX數(shù)據(jù)中心共部署有X套XXXX實例，每套XXXX實例負(fù)責(zé)托管共有來自不同地理位置的X名最終用戶訪問的XXXX應(yīng)用，各套XXXX實例間相互獨(dú)立。XXXX客戶使用/S接入XXXX的WEB主頁，根據(jù)客戶在菜單中的選擇，XXXXWEB效勞器可建立到開放式系統(tǒng)或XXXX的連接。見圖“XXXX方框圖”。圖：……每套XXXX實例包括以下內(nèi)容：……XXXX應(yīng)用n……應(yīng)用優(yōu)化和負(fù)載均衡需求XXX系統(tǒng)應(yīng)用中，XXXX應(yīng)用和開放式系統(tǒng)應(yīng)用需要提供基于網(wǎng)絡(luò)的效勞器負(fù)載均衡：XXXX環(huán)境中的和S流量XXXXWEB效勞器和開放式系統(tǒng)效勞器之間的后臺流量〔效勞器到效勞器的流量〕。XXXX應(yīng)用的負(fù)載均衡要求最終用戶將S〔TCP端口443〕流量發(fā)送至AD/LDAP管理效勞器進(jìn)行認(rèn)證。SSL會話在AD效勞器上終接，且不需要效勞器負(fù)載均衡。最終用戶向VIP〔VirtualIP〕發(fā)出/SGET請求，ACE將對這些請求進(jìn)行負(fù)載均衡處理并轉(zhuǎn)發(fā)到WEB效勞器。在翻開XXXXweb主頁之后，根據(jù)應(yīng)用要求，最終用戶的流量可能會被重定向到一臺SSL效勞器上進(jìn)行數(shù)據(jù)加密。需要更多數(shù)據(jù)的時候，WEB效勞器可以建立與以下系統(tǒng)的直接連接：DB效勞器〔通過SQLRPC〕XXXX效勞器〔Unix，通過TCP套接字〕XXXX效勞器〔Unix，通過TCP套接字〕XXXX主機(jī)〔主機(jī)，通過TCP套接字〕OpenSystems〔Unix/Windows，通過信道接口〕XXXXDB效勞器以工作/備用模式運(yùn)行，不需要負(fù)載均衡。通常，客戶端的源IP保存在通往真實效勞器的流量路徑中，用于應(yīng)用記賬和管理目的。開放式系統(tǒng)應(yīng)用的負(fù)載均衡要求每臺開放式系統(tǒng)效勞器由16個LPAR組成，每個LPAR可以運(yùn)行多個應(yīng)用程序，如WEB、APP和DB。在一期建設(shè)中，30個開放式系統(tǒng)中只有局部應(yīng)用明確需要網(wǎng)絡(luò)層提供效勞器負(fù)載均衡。XXXXWeb效勞器到開放式系統(tǒng)的流量〔效勞器到效勞器或效勞器發(fā)起的流量〕將被負(fù)載均衡。應(yīng)用優(yōu)化和負(fù)載均衡設(shè)計智能效勞機(jī)箱設(shè)計物理連接ACE模塊和防火墻模塊是一期數(shù)據(jù)中心實施中效勞機(jī)箱提供的兩個主要網(wǎng)絡(luò)智能功能設(shè)備。在未來理想的設(shè)計藍(lán)圖中，兩個效勞機(jī)箱將通過VSS技術(shù)合并為虛擬的單一機(jī)箱，并同時實現(xiàn)內(nèi)部效勞模塊的冗余和負(fù)載均衡。而在本期中，由于效勞機(jī)箱內(nèi)智能效勞器硬件模塊的部署密度不高——每個機(jī)箱內(nèi)防火墻模塊、負(fù)載均衡模塊各一塊，這樣每個機(jī)箱內(nèi)使用引擎加速技術(shù)的防火墻模塊最大迸發(fā)吞吐量32Gbps，負(fù)載均衡模塊最大四層吞吐能力16Gbps〔而且不是所有都需要負(fù)載均衡〕，完全滿足當(dāng)前業(yè)務(wù)需求，因此可以在實施中簡化配置，改雙機(jī)箱VSS結(jié)構(gòu)為一主一備機(jī)箱方式，在以后隨業(yè)務(wù)需求上漲，業(yè)務(wù)模塊增多，再完善為雙機(jī)箱負(fù)載均衡的VSS模式。如下列圖所示：每個機(jī)箱雙萬兆上連到兩臺Nexus7000，建議如果有充裕萬兆端口可以每臺使用4個萬兆端口、雙雙上連到Nexus7000，這樣在Nexus7000使用vPC跨機(jī)箱捆綁技術(shù)后，整個拓?fù)鋵⒖捎每闯墒且粋€三角形結(jié)構(gòu)——每個智能效勞機(jī)箱上連帶寬40G〔雙工80G〕，效勞機(jī)箱之間帶寬20G〔雙工40G〕。邏輯結(jié)構(gòu)根據(jù)前面分析的數(shù)據(jù)中心業(yè)務(wù)特點(diǎn)，可以將數(shù)據(jù)中心劃分為n個業(yè)務(wù)區(qū)，每個業(yè)務(wù)區(qū)將有自己獨(dú)立的智能網(wǎng)絡(luò)效勞策略，比方對應(yīng)獨(dú)立的虛擬防火墻，對應(yīng)獨(dú)立的虛擬ACE，對應(yīng)獨(dú)立的虛擬路由VRF和虛擬局域網(wǎng)組VLANGroup。每個業(yè)務(wù)區(qū)在管理員給定的許可資源范圍內(nèi)充分共享和復(fù)用底層資源，以最低的管理和本錢代價實現(xiàn)高效復(fù)用。如下列圖所示：虛擬效勞區(qū)劃分的原那么如下：建議一個平安域?qū)?yīng)一個虛擬效勞區(qū)，這樣每個虛擬防火墻的策略將可用簡單化為入策略和出策略〔平安設(shè)計章節(jié)將詳細(xì)介紹〕虛擬防火墻、虛擬ACE、VRF、VLAN組一一對應(yīng)是最理想化的虛擬化模式，這樣將最大程度的實現(xiàn)與特定業(yè)務(wù)相關(guān)的從路由到應(yīng)用、再到平安的一整套虛擬化資源劃分策略同一業(yè)務(wù)一定要在一個虛擬效勞區(qū)中需要進(jìn)行虛擬機(jī)遷移的虛擬主機(jī)要在一個虛擬效勞區(qū)中劃分不宜過細(xì)，分區(qū)不宜過多，建議一期不超過5個分區(qū)效勞機(jī)箱相互之間、與Nexus7000之間的鏈路都采用二層交換方式，萬兆在捆綁后使用IEEE802.1Q封裝，通過VLAN標(biāo)記使不同的VLANGroup對應(yīng)到機(jī)箱內(nèi)不同的虛擬化效勞上去。上面的邏輯結(jié)構(gòu)對應(yīng)到前述的三角形拓?fù)渲袝吹揭粋€冗余的環(huán)路，在二層結(jié)構(gòu)中將會導(dǎo)致生成樹算法而關(guān)閉冗余鏈路，我們建議將IEEE802.1Q的VLANTrunking鏈路上進(jìn)行VLAN范圍設(shè)置，使效勞機(jī)箱互連的捆綁鏈路上的VLAN和每個效勞機(jī)箱上連Nexus7000的VLAN不同，前者的VLAN只用于效勞模塊相互間狀態(tài)、配置同步和故障時的臨時通道，這樣所有鏈路都會被充分利用，而也不會形成環(huán)路并需要生成樹算法收斂計算路徑。應(yīng)用負(fù)載均衡的設(shè)計ACE的核心功能是負(fù)載均衡效勞，在一般設(shè)計中有兩種提供負(fù)載均衡效勞的方式：串聯(lián)模式和單臂模式。以下為簡單起見，只對Active局部進(jìn)行描述，Standby局部的設(shè)計與Active局部完全相同，只有在Active局部或全部失效，才會由Standby來局部或全部接管，在后面“高可用性設(shè)計”局部有詳細(xì)討論。方案一：串聯(lián)模式的應(yīng)用負(fù)載均衡模塊ACE應(yīng)用負(fù)載均衡模塊ACE和防火墻模塊FWSM均以串連方式在網(wǎng)絡(luò)中部署。在橋接模式下串聯(lián)部署的ACE非常簡單，因為VIP〔VirtualIP〕直接位于客戶端和效勞器間的路徑上。在串聯(lián)模式ACE設(shè)計方案中，發(fā)往VIP的客戶端流量到達(dá)MSFC，MSFC執(zhí)行IP路由查詢，然后將流量轉(zhuǎn)發(fā)至FWSM。FWSM做平安控制策略后再將其轉(zhuǎn)發(fā)給ACE以作出負(fù)載均衡決策。選擇真實效勞器后，ACE執(zhí)行L2重寫〔效勞器NAT〕并將流量轉(zhuǎn)發(fā)至真實效勞器。真實效勞器發(fā)出的返回流量通過相同的路徑回到客戶端。如下列圖所示。串聯(lián)模式ACE的方案的特點(diǎn)：比擬容易做到虛擬防火墻、虛擬負(fù)載均衡理想的一一對應(yīng)〔如上圖〕FWSM放置在ACE和MSFC之間，不能利用ACE的路由動態(tài)插入RHI功能〔RHI后面將有介紹〕要在不同子網(wǎng)上實現(xiàn)新效勞器群的負(fù)載均衡，要在ACE上添加新的效勞器VLAN和客戶端VLAN效勞器備份等發(fā)往WEB效勞器的非負(fù)載均衡流量也都必須橋接通過ACE。其它沒有負(fù)載均衡必要的效勞器通信都必須通過ACE進(jìn)行方案二：單臂模式的應(yīng)用負(fù)載均衡模塊ACE在單臂模式ACE設(shè)計方案中，ACE僅通過一個VLAN連接到MSFC，并處于防火墻保護(hù)之外。從客戶端發(fā)往VIP地址的流量即需要負(fù)載均衡的流量從MSFC路由到ACE，ACE進(jìn)行負(fù)載均衡后，選擇真實效勞器后，執(zhí)行L3重寫〔效勞器NAT〕，并將流量轉(zhuǎn)發(fā)到FWSM進(jìn)行包檢查，然后再轉(zhuǎn)發(fā)到真實效勞器。在MSFC上配置PBR時，F(xiàn)WSM將發(fā)自真實效勞器的返回流量轉(zhuǎn)發(fā)到MSFC。PBR對流量進(jìn)行分類，隨后將其發(fā)回ACE。ACE為效勞器NAT執(zhí)行反向L3重寫，將流量發(fā)回MSFC，MSFC再將其轉(zhuǎn)發(fā)回客戶端。ACE單臂VLAN的默認(rèn)網(wǎng)關(guān)是MSFC接口IP，真實效勞器的默認(rèn)網(wǎng)關(guān)那么是FWSM上的接口IP。FWSM上定義了默認(rèn)路由來將效勞器流量轉(zhuǎn)發(fā)到MSFC。ACE單臂模式下，為了確保返回的流量能夠回到ACE，需要NAT或策略路由〔PBR〕，源NAT比擬簡單，但不適合使用源IP地址追蹤客戶端使用模式來進(jìn)行記賬和計費(fèi)的客戶。PBR防止了這一問題，但又帶來了其他問題，如路由復(fù)雜性、非負(fù)載均衡流量的非對稱路由和VRF支持等問題。單臂模式ACE方案的特點(diǎn)：最大的優(yōu)勢是可以對需要負(fù)載均衡的流量才經(jīng)過ACE，這樣大大提高了數(shù)據(jù)中心的可擴(kuò)展性可以配置RHI來動態(tài)地將VIP作為主機(jī)路由發(fā)布給MSFC，簡化配置，實現(xiàn)動態(tài)學(xué)習(xí)沒有FWSM的保護(hù)，但對于內(nèi)網(wǎng)而言并不關(guān)鍵，特別是ACE本身有極強(qiáng)的平安保護(hù)能力MSFC上需要源NAT或PBR，以確保由真實效勞器發(fā)送的返回流量可轉(zhuǎn)發(fā)回ACE比擬難實現(xiàn)虛擬化ACE與虛擬化防火墻的理想一一對應(yīng)模式，因為為實現(xiàn)該方式必須把ACE連到VRF上，而當(dāng)前在Cat6500上基于VRF的PBR還有一些限制應(yīng)用負(fù)載均衡設(shè)計方案比擬根據(jù)詳細(xì)的方案比擬，結(jié)合XXX數(shù)據(jù)中心網(wǎng)絡(luò)特點(diǎn)和各應(yīng)用要求，我們認(rèn)為當(dāng)前業(yè)務(wù)對使用虛擬化ACE的迫切程度遠(yuǎn)不及防火墻的虛擬化，而相對不需要使用ACE的數(shù)據(jù)中心業(yè)務(wù)流量還比擬多，因此我們推薦采用單臂模式ACE的方案。在將來業(yè)務(wù)開展，業(yè)務(wù)端到端虛擬化要求迫切，并且未來基于VRF的PBR比擬完善后，我們還可用比擬容易的切換到基于虛擬化ACE的單臂模式。地址和路由ACE的路由設(shè)計在以上設(shè)計中的虛擬防火墻和ACE模塊都將采用路由模式。路由實現(xiàn)如下列圖所示：〔一〕Inbound流量的路由設(shè)計效勞機(jī)箱Catalyst6500的MSFC將在Global路由上運(yùn)行與核心一致的OSPF協(xié)議。ACE和MSFC之間將使用路由動態(tài)插入〔RouteHealthInjection，RHI〕。RHI允許ACE將VIP作為主機(jī)路由插入到MSFC的IP路由表中，從而可以在整個網(wǎng)絡(luò)中公布該VIP地址的可用性。使用RHI有如下好處：易于管理維護(hù)：沒有RHI，要將流量轉(zhuǎn)發(fā)至新的VIP，MSFC上就可能需要手動定義的靜態(tài)路由。有了RHI，VIP可以作為主機(jī)路由自動公布，并插入到MSFCIP路由表中。動態(tài)自動更新維護(hù)：創(chuàng)立一個新的VIP時，僅當(dāng)效勞器群中至少有一個工作的真實效勞器時才會將主機(jī)路由插入到MSFCIP路由表中。如果效勞器群中的所有真實效勞器均處于非運(yùn)行狀態(tài)，主機(jī)路由便會從MSFCIP路由表中刪除。在虛擬防火墻和MSFC之間也可以采用RHI特性，同理每個虛擬防火墻都把自己的內(nèi)網(wǎng)口直連路由、自己指向內(nèi)網(wǎng)的靜態(tài)路由、NATPool等報告給MSFC，并在MSFC的OSPF中動態(tài)發(fā)布，無需人工在MSFC上配置大量指向內(nèi)網(wǎng)的靜態(tài)路由和繁瑣的日常靜態(tài)路由表維護(hù)工作。虛擬防火墻上將配置指向內(nèi)網(wǎng)的靜態(tài)路由、做NAT等，這些路由信息都將使用RHI特性報告給MSFC，并由MSFC發(fā)布出去。建議在地址設(shè)計時將每個虛擬防火墻內(nèi)部的各個VLAN的地址設(shè)計為連續(xù)且易于匯總的地址塊，這樣在每個虛擬防火墻上做的靜態(tài)路由工作將會降至最低。在虛擬防火墻內(nèi)還有VRF〔虛擬路由轉(zhuǎn)發(fā)〕，它直連并終結(jié)接入層的VLAN，有可能是一個VLAN，也可以是多個VLAN。數(shù)據(jù)中心接入層的效勞器將默認(rèn)網(wǎng)關(guān)設(shè)在VRF的對應(yīng)VLAN接口上〔VRRP或HSRP的虛擬IP地址〕。同一個平安域內(nèi)的VLAN之間的路由直接由VRF通過直連路由完成三層交換，讓防火墻解脫同平安等級流量轉(zhuǎn)發(fā)的負(fù)擔(dān)。這些VLAN對VRF都是直連網(wǎng)段，在VRF上無需設(shè)置任何指向內(nèi)部的靜態(tài)路由?！捕砄utbound流量的路由設(shè)計向外流量的路由那么非常簡單，主機(jī)通過默認(rèn)網(wǎng)關(guān)指向Active的VRFVLAN接口，VRF通過默認(rèn)路由指向Active的虛擬防火墻內(nèi)網(wǎng)口，虛擬防火墻通過默認(rèn)路由指向Active的MSFC內(nèi)部接口，ACE通過默認(rèn)路由指向Active的MSFC。其中VRF、MSFC將使用VRRP/HSRP，防火墻模塊、ACE模塊將運(yùn)行Active/Standby方式的冗余熱備協(xié)議。VIP地址變更的流程設(shè)計對于XXX數(shù)據(jù)中心的各個業(yè)務(wù)應(yīng)用中，可能一些應(yīng)用在工程初始階段不需要流量負(fù)載均衡，為了適應(yīng)未來的增長并提供給用系統(tǒng)冗余，可以使用以下兩種方法之一來將非負(fù)載均衡流量遷移至負(fù)載均衡環(huán)境中。方法一：新的VIP－在ACE等負(fù)載均衡器上，以及包括現(xiàn)有真實效勞器和新增效勞器的新效勞器群上定義一個新的VIP?，F(xiàn)有真實效勞器IP地址保持不變，而新的效勞器會分配到一個新的IP地址?！沧⒁猓罕匾獣r更新新的VIP的DNS效勞器的記錄〕。方法二：現(xiàn)有VIP－將現(xiàn)有真實效勞器IP移到ACE上作為新的VIP，為現(xiàn)有的真實效勞器和新增的真實效勞器分配新的IP地址?！沧⒁猓翰恍枰翫NS效勞器的記錄〕平安功能的設(shè)計除了效勞器負(fù)載均衡功能之外，ACE在3.0及以后的版本中還提供強(qiáng)大的應(yīng)用平安特性，使得單臂模式ACE方案中非處于防火墻保護(hù)之內(nèi)的ACE模塊的平安性得到了強(qiáng)有力的保障，這些功能包括：訪問控制列表ACL：ACL包括一系列語句，定義網(wǎng)絡(luò)流量的概況。每個條目允許或拒絕網(wǎng)絡(luò)流量〔入和出〕到達(dá)條目中規(guī)定的網(wǎng)絡(luò)各局部。除了一個執(zhí)行單元〔允許或禁止〕外，每個條目還包括一個基于源地址、目的地址、協(xié)議、協(xié)議特定參數(shù)等標(biāo)準(zhǔn)的過濾器單元。在每個ACL的最后都有一個隱式的拒絕全部的條目，因此在希望允許連接的每個接口上都必須配置一個ACL。否那么ACE將拒絕該接口上的全部流量。AAA：ACE模塊可執(zhí)行用戶身份認(rèn)證和記賬〔AAA〕效勞，為訪問ACE的用戶提供更高的平安性。AAA效勞使得可以使用多個AAA效勞器來控制哪些人可以訪問ACE，并跟蹤訪問ACE的每個用戶的操作。根據(jù)所提供的用戶名和口令組合，ACE可使用本地數(shù)據(jù)庫執(zhí)行本地用戶身份認(rèn)證，或者使用外部AAA效勞器來實現(xiàn)遠(yuǎn)程身份認(rèn)證和記賬。應(yīng)用協(xié)議檢查：在數(shù)據(jù)包通過ACE的時候，某些應(yīng)用需要對數(shù)據(jù)包的數(shù)據(jù)局部進(jìn)行特別處理。應(yīng)用協(xié)議探測有助于驗證協(xié)議的行為并識別流經(jīng)ACE的有害的或惡意的流量。根據(jù)通信流量策略的規(guī)定，ACE可接受或拒絕數(shù)據(jù)包，從而確保應(yīng)用和效勞的平安使用?？赡苄枰狝CE執(zhí)行、FTP、DNS、ICMP和RTSP協(xié)議的應(yīng)用檢測，作為將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的效勞器前的第一步。對于，ACE將執(zhí)行深層數(shù)據(jù)包檢查來監(jiān)控協(xié)議的狀態(tài)并根據(jù)用戶定義的流量策略來允許或拒絕流量通過。深層數(shù)據(jù)包檢查主要關(guān)注屬性，如報頭、URL以及有效負(fù)載等。對于FTP，ACE將執(zhí)行針對FTP會話的FTP明令檢查，從而允許您根據(jù)ACE限制特定命令。應(yīng)用檢測有助于識別TCP或UDP流中嵌入的IP地址信息的位置。這些檢測使ACE可以轉(zhuǎn)換嵌入的IP地址并更新受轉(zhuǎn)換影響的校驗和或者其他字段。TCP標(biāo)準(zhǔn)化：TCP標(biāo)準(zhǔn)化是一種第4層特性，包括ACE在數(shù)據(jù)流傳輸不同階段〔從最初的連接建立到連接關(guān)閉〕執(zhí)行的一系列檢查?？梢酝ㄟ^配置一個或多個高級TCP連接設(shè)置來控制很多分段檢查。ACE使用這些TCP連接設(shè)置來確定執(zhí)行哪些檢查，并根據(jù)檢查結(jié)果確定是否丟棄一個TCP分段。ACE會丟棄那些顯得異常和畸形的分段。這種特性可檢查發(fā)現(xiàn)非法或可疑〔如從效勞器發(fā)送到客戶端的一條SYN，或從客戶端發(fā)送到效勞器的一條SYN/ACK〕的分段，并根據(jù)配置的參數(shù)設(shè)置采取恰當(dāng)?shù)拇胧CE可使用TCP標(biāo)準(zhǔn)化來阻塞某種類型的網(wǎng)絡(luò)攻擊，如插入〔insertion〕攻擊和躲避〔evasion〕攻擊。插入攻擊是指設(shè)計一種機(jī)制，使檢查模塊接收終端系統(tǒng)拒絕的數(shù)據(jù)包。躲避攻擊是指設(shè)計一種機(jī)制，使檢查模塊拒絕被終端系統(tǒng)接受的數(shù)據(jù)包。ACE總是自動丟棄壞分段校驗和的數(shù)據(jù)包、壞TCP報頭或錯誤的有效負(fù)載長度的數(shù)據(jù)包、帶有可疑的TCP標(biāo)記〔如NULL、SYN/FIN或FIN/URG〕的數(shù)據(jù)包。網(wǎng)絡(luò)地址轉(zhuǎn)換：為了給效勞器提供平安性，還可以將效勞器的專用IP地址映射到一個全局可路由的IP地址?？蛻舳丝墒褂迷摰刂穪磉B接到效勞器。在這種情況下，從客戶端發(fā)送數(shù)據(jù)到效勞器時，ACE將把全局IP地址轉(zhuǎn)換為效勞器專用IP地址。相反，當(dāng)效勞器響應(yīng)客戶端的時候，ACE將把本地效勞器IP地址轉(zhuǎn)換為一個全局IP地址，以到達(dá)平安目的，這個過程稱為DNAT。我們建議在一期建設(shè)中由于本工程的數(shù)據(jù)中心處于內(nèi)網(wǎng)，來自外部的攻擊相對少，可以局部的使用ACE的這些平安特性作為自身保護(hù)和對防火墻的功能補(bǔ)充、負(fù)擔(dān)卸載〔比方對特定協(xié)議的檢查〕，不建議作為主要的平安手段使用。SSL分流設(shè)計ACE可以實現(xiàn)在網(wǎng)絡(luò)上協(xié)助完成SSL的分流，以減輕后臺效勞器操作SSL的壓力。平安套接層〔SSL〕是一種應(yīng)用層協(xié)議，為互聯(lián)網(wǎng)提供加密技術(shù)，依賴證書和私鑰/公鑰交換來實現(xiàn)這一層次的平安性，從而確保平安交易，如為電子商務(wù)網(wǎng)站傳輸信用卡號。通過結(jié)合私密性、身份認(rèn)證以及SSL數(shù)據(jù)完整性，SSL可在客戶端和效勞器之間提供平安的數(shù)據(jù)交易。ACE模塊通過一組特殊的SSL命令組來在客戶端和效勞器之間執(zhí)行加密功能。SSL功能包括效勞器認(rèn)證、私鑰公鑰生成、證書管理以及數(shù)據(jù)包加密和解密。ACE支持SSL第3.0版以及傳輸層平安〔TLS〕第1.0版。ACE可以理解并接受SSL2.0版的ClientHello消息〔該消息也稱為混合2/3hello消息〕，從而允許兩種版本的客戶端同ACE通信。在客戶在ClientHello第2.0版中指明SSL第3.0版時，ACE了解該客戶端可以支持SSL3.0版并返回一條3.0版的ServerHello消息。如果客戶端僅支持SSL第2.0版，那么ACE不能讓網(wǎng)絡(luò)流量通過。建議根據(jù)不同的應(yīng)用要求，可以有選擇的配置SSL分流〔off-lo