XX數(shù)據(jù)中心網(wǎng)絡(luò)及安全方案建議書(shū)(H3C)

XX數(shù)據(jù)中心

網(wǎng)絡(luò)及平安方案建議書(shū)

HBC

ITolP艇決方案專(zhuān)家

杭州華三通信技術(shù)有限公司

2023年4月

修訂記錄:

版本修改內(nèi)容修改人審核人修改日期

VI.0初稿完成鄧世友2023-4-5

書(shū)目

一、建設(shè)背景...................................................-3-

1.1.數(shù)據(jù)中心背景介紹..............................................-3-

1.2.XX集團(tuán)數(shù)據(jù)中心建設(shè)............................................-3-

二、需求分析...................................................-5-

2.1.應(yīng)用系統(tǒng)分析...................................................-5-

2.2.流量模型分析...................................................-8-

2.3.帶寬分析.......................................................-9-

三、方案規(guī)劃與設(shè)計(jì)............................................-11-

3.1.數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo)..........................................-11-

3.2.總體設(shè)計(jì)思路及原則............................................-12-

3.3.業(yè)務(wù)分區(qū)......................................................-14-

3.4.網(wǎng)絡(luò)設(shè)計(jì)......................................................-16-

3.4.1.核心交換區(qū)........................................................-17-

3.4.2.服務(wù)器接入?yún)^(qū)......................................................-19-

3.4.3.互聯(lián)網(wǎng)區(qū)..........................................................-20-

3.4.4.外聯(lián)網(wǎng)區(qū)..........................................................-21-

3.4.5.廣域網(wǎng)接入?yún)^(qū)......................................................-22-

3.4.6.災(zāi)備接入?yún)^(qū)........................................................-22-

35平安設(shè)計(jì)......................................................-24-

3.5.1.平安設(shè)計(jì)原則......................................................-24-

3.5.2.SecBladeFW插卡部署...............................................-25-

3.5.3.SecBladeFW+IPS+LB組合部署........................................-27-

3.6.QoS設(shè)計(jì)......................................................-31-

3.6.1.QoS設(shè)計(jì)原則.......................................................-31-

3.6.2.QoS服務(wù)模型選擇..................................................-31-

3.6.3.QoS規(guī)劃..................................................-32-

3.6.4.QoS部署........................................................-34-

3.7.數(shù)據(jù)中心互聯(lián).......................................................-36-

3.8.新技術(shù)應(yīng)用.........................................................-38-

3.8.1.FCoE.......................................................................................................................-38-

3.8.2.虛擬機(jī)(VM)部署與遷移............................................-40-

3.9.數(shù)據(jù)中心管理.......................................................-42-

3.9.1.數(shù)據(jù)中心管理設(shè)計(jì)原則............................................-42-

3.9.2.網(wǎng)絡(luò)管理........................................................-42-

3.9.3.網(wǎng)絡(luò)監(jiān)控........................................................-45-

四、方案實(shí)施..................................................-47-

4.1.網(wǎng)絡(luò)布線(xiàn)建議.......................................................-47-

4.1.1.走線(xiàn)方式的選擇..................................................-47-

4.1.2.網(wǎng)絡(luò)配線(xiàn)方式....................................................-49-

4.1.3.服務(wù)器接入方式..................................................-50-

4.1.4.機(jī)房布線(xiàn)建議....................................................-53-

4.2.VLAN規(guī)劃.........................................................-53-

4.3.IP地址規(guī)劃.........................................................-54-

4.4.路由規(guī)劃...........................................................-55-

4.5.業(yè)務(wù)遷移...........................................................-57-

五、設(shè)備介紹.................................................-58-

5.1.設(shè)備清單...........................................................-58-

5.2.H3C特色技術(shù)介紹..................................................-62-

5.2.1.IRF虛擬化......................................................-62-

5.2.2.網(wǎng)絡(luò)平安融合...................................................-64-

5.3.產(chǎn)品介紹...........................................................-66-

建設(shè)背景

1.1.數(shù)據(jù)中心背景介紹

數(shù)據(jù)中心（英文拼法DataCenter,簡(jiǎn)寫(xiě)DC）是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境,

它是各種IT應(yīng)用服務(wù)的供應(yīng)中心，是數(shù)據(jù)計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)的中心。數(shù)據(jù)中心實(shí)現(xiàn)了平安

策略的統(tǒng)一部署，IT基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用和數(shù)據(jù)的統(tǒng)一運(yùn)維管理。

數(shù)據(jù)中心是當(dāng)前各行業(yè)的IT建設(shè)重點(diǎn)。運(yùn)營(yíng)商、電力、能源、金融證券、大型企業(yè)、

政府、交通、教化、制造業(yè)、網(wǎng)站和電子商務(wù)公司等正在進(jìn)行或已完成數(shù)據(jù)中心建設(shè)，通過(guò)

數(shù)據(jù)中心的建設(shè)，實(shí)現(xiàn)對(duì)IT信息系統(tǒng)的整合和集中管理，提升內(nèi)部的運(yùn)營(yíng)和管理效率以及

對(duì)外的服務(wù)水平，同時(shí)降低IT建設(shè)的TCO。數(shù)據(jù)中心的發(fā)展可分為四個(gè)層面：

?數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)整合：依據(jù)業(yè)務(wù)需求，基于開(kāi)放標(biāo)準(zhǔn)的IP協(xié)議，完成對(duì)企業(yè)現(xiàn)有異

構(gòu)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)資源和IT資源的整合，解決如何建設(shè)數(shù)據(jù)中心的問(wèn)題。

?數(shù)據(jù)中心應(yīng)用智能：基于TCP/IP的開(kāi)放架構(gòu)，保證各種新業(yè)務(wù)和應(yīng)用在數(shù)據(jù)中心的基

礎(chǔ)體系架構(gòu)上平滑部署和升級(jí)，滿(mǎn)足用戶(hù)的多變需求，保證數(shù)據(jù)中心的持續(xù)服務(wù)和業(yè)務(wù)

連續(xù)性。各種應(yīng)用的平安、優(yōu)化與集成可以無(wú)縫的部署在數(shù)據(jù)中心之上。

?數(shù)據(jù)中心虛擬化：傳統(tǒng)的應(yīng)用孤島式的數(shù)據(jù)中心模型擴(kuò)展性差，核心資源的安排與業(yè)務(wù)

應(yīng)用發(fā)展出現(xiàn)不匹配，使得資源利用不勻稱(chēng)，導(dǎo)致運(yùn)行成本提高、現(xiàn)有投資無(wú)法達(dá)到最

優(yōu)化的利用、新業(yè)務(wù)部署難度增大、現(xiàn)有業(yè)務(wù)持續(xù)性得不到保證、平安面臨威逼。虛擬

化通過(guò)構(gòu)建共享的資源池，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源、計(jì)算計(jì)算和存儲(chǔ)資源的幾種管理、規(guī)劃和

限制，簡(jiǎn)化管理維護(hù)、提高設(shè)備資源利用率、優(yōu)化業(yè)務(wù)流程部署、降低維護(hù)成本。

?數(shù)據(jù)中心資源智能:通過(guò)智能化管理平臺(tái)實(shí)現(xiàn)對(duì)資源的智能化管理，資源智能安排調(diào)度,

構(gòu)建高度智能、自動(dòng)化數(shù)據(jù)中心。

1.2.XX集團(tuán)數(shù)據(jù)中心建設(shè)

xx集團(tuán)的商業(yè)用戶(hù)分布在全國(guó)各大城市，目前業(yè)務(wù)系統(tǒng)的部署主要集中在和大連，近

年來(lái)隨著XX集團(tuán)業(yè)務(wù)的規(guī)模及多樣化發(fā)展，企業(yè)對(duì)信息化的依靠程度越來(lái)越高，數(shù)據(jù)集中、

業(yè)務(wù)7*24小時(shí)高牢靠支撐對(duì)數(shù)據(jù)中心的要求越來(lái)越高。經(jīng)綜合考慮，擬在新建數(shù)據(jù)中心，

將來(lái)數(shù)據(jù)中心將成為XX集團(tuán)的主中心，承載全部生產(chǎn)業(yè)務(wù)系統(tǒng)。數(shù)據(jù)中心是集團(tuán)廣域網(wǎng)匯

聚中心，機(jī)房?jī)?nèi)原則上將不放置服務(wù)器。大連數(shù)據(jù)中心是災(zāi)備中心，主要功能是數(shù)據(jù)異地備

份。

此方案主要涉及數(shù)據(jù)中心的網(wǎng)絡(luò)及平安的設(shè)計(jì)與部署，并實(shí)現(xiàn)與、大連的互連！

需求分析

2.1.應(yīng)用系統(tǒng)分析

xx集團(tuán)目前的應(yīng)用系統(tǒng)主要包括生產(chǎn)應(yīng)用、辦公應(yīng)用和基礎(chǔ)支撐三大類(lèi)，這三大類(lèi)的服

務(wù)器的數(shù)量占比如下圖所示：

在三大類(lèi)應(yīng)用系統(tǒng)中，每一類(lèi)又可以細(xì)分為多個(gè)子類(lèi)，不同的子類(lèi)應(yīng)用在流量特征、規(guī)

模和用戶(hù)訪(fǎng)問(wèn)類(lèi)型上存在較大的差別，這些將會(huì)影響到網(wǎng)絡(luò)及平安的方案設(shè)計(jì)，下面將進(jìn)行

進(jìn)一步的分析：

1.生產(chǎn)應(yīng)用類(lèi)

?ERP

?百貨

?KTV

?院線(xiàn)

?酒店

?商管

?地產(chǎn)

?網(wǎng)站

流量特征分析：不同類(lèi)的應(yīng)用,其業(yè)務(wù)負(fù)載繁忙特征也有顯著區(qū)分，其中百貨、KTV、

網(wǎng)站應(yīng)用周末繁忙；院線(xiàn)應(yīng)用周二、周六和周日繁忙。繁忙時(shí)段網(wǎng)絡(luò)流量明顯上升，而且受

外界因素（如新片上映、節(jié)假日促銷(xiāo)等）影響，存在不確定的突發(fā)流量。

規(guī)模分析：從服務(wù)器的數(shù)量上統(tǒng)計(jì),上述各類(lèi)應(yīng)用的服務(wù)器數(shù)量占比如下圖所示:

總體來(lái)看，院線(xiàn)類(lèi)服務(wù)器的數(shù)量最多，其次為網(wǎng)站、百貨和KTV。

用戶(hù)訪(fǎng)問(wèn)分析：上述應(yīng)用的訪(fǎng)問(wèn)用戶(hù)相對(duì)多樣化,包括集團(tuán)內(nèi)部員工（如ERP）、集團(tuán)

外部用戶(hù)（如百貨、KTV）和互聯(lián)網(wǎng)公眾用戶(hù)（網(wǎng)站、院線(xiàn)）。

2.辦公應(yīng)用類(lèi)

?0A

?視頻會(huì)議

?圖檔

?文件

?其它

流量特征分析：辦公應(yīng)用類(lèi)服務(wù)器業(yè)務(wù)負(fù)載繁忙特征比較單一,繁忙時(shí)段集中在工作日

的8小時(shí)內(nèi)，流量相對(duì)較穩(wěn)定。視頻會(huì)議對(duì)網(wǎng)絡(luò)的質(zhì)量要求最高，服務(wù)質(zhì)量（QoS）要充分

考慮。

規(guī)模分析：從服務(wù)器的數(shù)量上統(tǒng)計(jì)，辦公各類(lèi)應(yīng)用的服務(wù)器數(shù)量占比如下圖所示：

總體來(lái)看，0A服務(wù)器的數(shù)量最多，其次為視頻會(huì)議。

用戶(hù)訪(fǎng)問(wèn)分析：辦公應(yīng)用的訪(fǎng)問(wèn)用戶(hù)單一,均為集團(tuán)內(nèi)部用戶(hù)。

3.基礎(chǔ)支撐類(lèi)

?域和身份認(rèn)證

?DNS

?防病毒

?網(wǎng)管

?桌面管理

流量特征分析：基礎(chǔ)支撐類(lèi)服務(wù)器業(yè)務(wù)負(fù)載繁忙特征比較單一,繁忙時(shí)段集中在工作日

的8小時(shí)內(nèi)。部分服務(wù)器（如防病毒）的流量特征取決于網(wǎng)絡(luò)管理員的策略。

規(guī)模分析：基礎(chǔ)支撐類(lèi)物理服務(wù)器數(shù)量不會(huì)許多,將來(lái)可能會(huì)部署許多的虛擬服務(wù)器,

因此此類(lèi)服務(wù)器對(duì)網(wǎng)絡(luò)的擴(kuò)展要求要對(duì)相低，在此不再做進(jìn)一步的規(guī)模分析。

用戶(hù)訪(fǎng)問(wèn)分析：辦公應(yīng)用的訪(fǎng)問(wèn)用戶(hù)單一,均為集團(tuán)內(nèi)部用戶(hù)。

分析總結(jié)：

1.生產(chǎn)應(yīng)用類(lèi)服務(wù)器的數(shù)量最多，而且此類(lèi)服務(wù)器將來(lái)隨XX業(yè)務(wù)的發(fā)展，規(guī)模會(huì)越

來(lái)越多，因此生產(chǎn)應(yīng)用類(lèi)服務(wù)器的接入要充分考慮可擴(kuò)展性；

2.生產(chǎn)應(yīng)用類(lèi)服務(wù)器的用戶(hù)訪(fǎng)問(wèn)類(lèi)型最困難，因此要充分考慮平安訪(fǎng)問(wèn)策略的設(shè)計(jì)；

3.生產(chǎn)應(yīng)用類(lèi)服務(wù)器的流量特征最困難，流量最大，而且突發(fā)性最強(qiáng)，因此要充分考

慮網(wǎng)絡(luò)的緩沖實(shí)力；

4.辦公應(yīng)用類(lèi)業(yè)務(wù)中，視頻會(huì)議對(duì)網(wǎng)絡(luò)的傳輸質(zhì)量最為敏感，方案設(shè)計(jì)要賜予充分的

QoS和帶寬保證。

5.三大類(lèi)應(yīng)用系統(tǒng)中，全部業(yè)務(wù)均為7*24小時(shí)運(yùn)行，因此在網(wǎng)絡(luò)的設(shè)計(jì)中要保證高

牢靠，設(shè)備和鏈路均采納冗余設(shè)計(jì)，對(duì)于生產(chǎn)類(lèi)關(guān)鍵業(yè)務(wù)，要保證設(shè)備和鏈路故障

復(fù)原時(shí)間在毫秒(ms)級(jí)，避開(kāi)設(shè)備和鏈路故障導(dǎo)致業(yè)務(wù)服務(wù)中斷。

2.2.流量模型分析

xx集團(tuán)數(shù)據(jù)中心建設(shè)完成后，集團(tuán)的數(shù)據(jù)訪(fǎng)問(wèn)流量模型如下圖所示:

大連備份中心廊坊主中心

合作單位用戶(hù)公眾用戶(hù)

集團(tuán)內(nèi)部用戶(hù)

1.將來(lái)三中心的定位：

?中心：XX集團(tuán)廣域網(wǎng)絡(luò)匯聚中心,各地XX集團(tuán)均與中心互連。但中心原則上不

部署業(yè)務(wù)系統(tǒng)服務(wù)器，僅做網(wǎng)絡(luò)匯聚；

?空心_數(shù)據(jù)中心將做為XX集團(tuán)的主數(shù)據(jù)中心，全部業(yè)務(wù)系統(tǒng)均部署在此數(shù)據(jù)中心

內(nèi)，承載XX集團(tuán)全部生產(chǎn)系統(tǒng)；

?大連中心：做為數(shù)據(jù)中心內(nèi)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)備份中心,對(duì)關(guān)鍵生產(chǎn)系統(tǒng)的數(shù)據(jù)進(jìn)行

災(zāi)備，原則上不部署業(yè)務(wù)系統(tǒng)服務(wù)器。當(dāng)主中心內(nèi)的數(shù)據(jù)遭到損壞后，可干脆運(yùn)用

大連中心的備份數(shù)據(jù)。

2.對(duì)于集團(tuán)內(nèi)部用戶(hù)(含集團(tuán)各城市分支機(jī)構(gòu))通過(guò)集團(tuán)廣域網(wǎng)絡(luò)，在中心進(jìn)行網(wǎng)絡(luò)匯聚

后，再到數(shù)據(jù)中心訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)。如上圖中紅色虛線(xiàn)數(shù)據(jù)流所示；

3.合作單位用戶(hù)通過(guò)專(zhuān)線(xiàn)干脆與數(shù)據(jù)中心連接，實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)的干脆訪(fǎng)問(wèn)，無(wú)需經(jīng)過(guò)中

心。如上圖中綠色虛線(xiàn)數(shù)據(jù)流所示；

4.公眾用戶(hù)干脆通過(guò)Internet訪(fǎng)問(wèn)數(shù)據(jù)中心的WEB系統(tǒng)，無(wú)需經(jīng)過(guò)中心。如上圖中紫色虛

線(xiàn)數(shù)據(jù)流所示。

5.大連備份中心與主中心干脆相連，數(shù)據(jù)備份流量無(wú)需通過(guò)中心，提高數(shù)據(jù)備份的牢靠性

與效率，縮短時(shí)延?？紤]到將來(lái)的雙活擴(kuò)展與數(shù)據(jù)的實(shí)時(shí)同步，建議大連備份中心與主

中心之后采納裸纖或DWDM互連，避開(kāi)出現(xiàn)帶寬瓶頸。

6.大連中心與中心現(xiàn)有的互連線(xiàn)路保持不變，做為數(shù)據(jù)備份的鏈路備份。同時(shí)將來(lái)可將部

分集團(tuán)內(nèi)業(yè)務(wù)部署到大連中心，實(shí)現(xiàn)負(fù)載分擔(dān)。

2.3.帶寬分析

數(shù)據(jù)中心內(nèi)部的服務(wù)器接入及局域網(wǎng)絡(luò)均采納典型的“千兆接入、萬(wàn)兆到匯聚”方式，

部分服務(wù)器（如FCoE服務(wù)器等）干脆采納萬(wàn)兆接入，鏈路帶寬不會(huì)成為瓶頸，保證網(wǎng)絡(luò)的

收斂比即可，在此不做帶寬分析。

帶寬分析主要考慮數(shù)據(jù)中心的網(wǎng)絡(luò)出口，對(duì)于數(shù)據(jù)中心而言，網(wǎng)絡(luò)出口有以下四個(gè)：

1.集團(tuán)廣域網(wǎng)出口:與中心互連，滿(mǎn)足集團(tuán)內(nèi)全部員工對(duì)業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)。考慮到牢靠性，

采納雙鏈路（不同運(yùn)營(yíng)商）；

2.Internet出口：滿(mǎn)足公眾業(yè)務(wù)系統(tǒng)通過(guò)互聯(lián)網(wǎng)對(duì)外供應(yīng)服務(wù)?？紤]到牢靠性，采納雙鏈

路（不同運(yùn)營(yíng)商）；

3.合作單位專(zhuān)線(xiàn)出口：與合作單位專(zhuān)線(xiàn)互連,此出口的鏈路和帶寬取決與合作單位，在此

不做分析；

4.數(shù)據(jù)備份出口：與大連數(shù)據(jù)中心互連,實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)備份與同步?？紤]到將來(lái)的

雙活擴(kuò)展與數(shù)據(jù)的實(shí)時(shí)同步，建議采納裸纖或DWDM互連。若采納裸纖或DWDM,帶

寬不會(huì)成為瓶頸，因此也無(wú)需分析。但要保證高牢靠，建議采納不同纜的多個(gè)光纖實(shí)現(xiàn)

冗余。

依據(jù)XX集團(tuán)現(xiàn)有業(yè)務(wù)系統(tǒng)的用戶(hù)數(shù)量分析，對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)出口帶寬估算如下:

業(yè)務(wù)系統(tǒng)集團(tuán)廣域網(wǎng)出口Internet出口

ERP按1000用戶(hù)設(shè)計(jì)，每個(gè)用戶(hù)N/A

20Kbps帶寬，合計(jì)20Mbps

集團(tuán)/百貨/N/A假設(shè)：

院線(xiàn)網(wǎng)站群1.單個(gè)頁(yè)面300KB

2.用戶(hù)等待容忍時(shí)間為10秒

3.峰值并發(fā)增長(zhǎng)率，通常取30%

按2000個(gè)并發(fā)用戶(hù)計(jì)算，帶寬需求：

2000*300KB*l30%/10=78MB/s=780Mbps

OA/圖檔/郵按1000用戶(hù)設(shè)計(jì)，每個(gè)用戶(hù)N/A

件/文件共享50Kbps帶寬，合計(jì)50Mbps

視頻會(huì)議平均每路2Mbps,按50個(gè)城市N/A

（50路），占用100Mbps帶寬

基礎(chǔ)支撐類(lèi)忽視N/A

合計(jì)170Mbps780Mbps

依據(jù)上述數(shù)據(jù)的初步估算，對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)出口鏈路選擇建議如下：

1.廣域網(wǎng)出口帶寬為170Mbps,至少采納兩條155MPOS鏈路，滿(mǎn)足帶寬需求的同時(shí)

實(shí)現(xiàn)鏈路冗余;

2.互聯(lián)網(wǎng)出口帶寬為780Mbps,建議采納兩條千兆鏈路出口（兩個(gè)運(yùn)營(yíng)商）。

（注:上述數(shù)據(jù)為閱歷數(shù)據(jù),僅供參考!）

三、方案規(guī)劃與設(shè)計(jì)

3.1.數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo)

XX數(shù)據(jù)中心將來(lái)將XX集團(tuán)承載全部生產(chǎn)環(huán)境系統(tǒng)。數(shù)據(jù)中心網(wǎng)絡(luò)作為業(yè)務(wù)網(wǎng)絡(luò)的一

個(gè)重要組成部分，為核心業(yè)務(wù)系統(tǒng)服務(wù)器和存儲(chǔ)設(shè)備供應(yīng)平安牢靠的接入平臺(tái)。網(wǎng)絡(luò)建設(shè)應(yīng)

達(dá)成以下目標(biāo)：

高可用一一網(wǎng)絡(luò)作為數(shù)據(jù)中心的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)的高可用干脆影響到業(yè)務(wù)系統(tǒng)的可用

性。網(wǎng)絡(luò)層的高可用至少包括高牢靠、高平安和先進(jìn)性三個(gè)方面：

?高牢靠：應(yīng)采納高牢靠的產(chǎn)品和技術(shù),充分考慮系統(tǒng)的應(yīng)變實(shí)力、容錯(cuò)實(shí)力和糾錯(cuò)

實(shí)力，確保整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行穩(wěn)定、牢靠。當(dāng)今，關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與性

能要求比任何時(shí)候都更為重要。

?高平安：網(wǎng)絡(luò)基礎(chǔ)設(shè)計(jì)的平安性,涉及到XX業(yè)務(wù)的核心數(shù)據(jù)平安。應(yīng)依據(jù)端到端

訪(fǎng)問(wèn)平安、網(wǎng)絡(luò)L2-L7層平安兩個(gè)維度對(duì)平安體系進(jìn)行設(shè)計(jì)規(guī)劃，從局部平安、

全局平安到智能平安，將平安理念滲透到整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)中。

?先進(jìn)性：數(shù)據(jù)中心將長(zhǎng)期支撐XX集團(tuán)的業(yè)務(wù)發(fā)展,而網(wǎng)絡(luò)又是數(shù)據(jù)中心的基礎(chǔ)支

撐平臺(tái)，因此數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)須要考慮后續(xù)的機(jī)會(huì)成本，采納主流的、先進(jìn)的

技術(shù)和產(chǎn)品（如數(shù)據(jù)中心級(jí)設(shè)備、CEE、FCoE、虛擬化支持等），保證基礎(chǔ)支撐

平臺(tái)5?10年內(nèi)不會(huì)被淘汰，從而實(shí)現(xiàn)投資的愛(ài)護(hù)。

易擴(kuò)展一一XX集團(tuán)的業(yè)務(wù)目前已向多元化發(fā)展，將來(lái)的業(yè)務(wù)范圍會(huì)更多更廣，業(yè)務(wù)

系統(tǒng)頻繁調(diào)整與擴(kuò)展再所難免，因此數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)必需能夠適應(yīng)業(yè)務(wù)系統(tǒng)的頻繁調(diào)整，

同時(shí)在性能上應(yīng)至少能夠滿(mǎn)足將來(lái)5?10年的業(yè)務(wù)發(fā)展。對(duì)于網(wǎng)絡(luò)設(shè)備的選擇和協(xié)議的部

署，應(yīng)遵循業(yè)界標(biāo)準(zhǔn)，保證良好的互通性和互操作性，支持業(yè)務(wù)的快速部署。

易管理一一數(shù)據(jù)中心是IT技術(shù)最為密集的地方，數(shù)據(jù)中心的設(shè)備繁多，各種協(xié)議和應(yīng)

用部署越來(lái)越困難，對(duì)運(yùn)維人員的要求也越來(lái)越高，單獨(dú)依靠運(yùn)維人員個(gè)人的技術(shù)實(shí)力和業(yè)

務(wù)實(shí)力是無(wú)法保證業(yè)務(wù)運(yùn)行的持續(xù)性的。因此數(shù)據(jù)中心須要供應(yīng)完善的運(yùn)維管理平臺(tái)，對(duì)數(shù)

據(jù)中心IT資源進(jìn)行全局掌控，削減日常的運(yùn)維的人為故障。同時(shí)一旦出現(xiàn)故障，能夠借助

工具直觀(guān)、快速定位。

3.2.總體設(shè)計(jì)思路及原則

數(shù)據(jù)中心為XX集團(tuán)業(yè)務(wù)網(wǎng)絡(luò)、日常辦公與外聯(lián)單位供應(yīng)數(shù)據(jù)訪(fǎng)問(wèn)、OA和視頻等服務(wù),

以及各業(yè)務(wù)的平安隔離限制。數(shù)據(jù)中心并不是孤立存在的，而是與大連中心、網(wǎng)絡(luò)匯聚中心

外聯(lián)單位網(wǎng)絡(luò)等網(wǎng)絡(luò)區(qū)域相輔相成，數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)是業(yè)務(wù)數(shù)據(jù)的傳輸通道，將數(shù)據(jù)的計(jì)

算和數(shù)據(jù)存儲(chǔ)有機(jī)的結(jié)合在一起。為保證數(shù)據(jù)中心網(wǎng)絡(luò)的高可用、易擴(kuò)展、易管理，數(shù)據(jù)中

心網(wǎng)絡(luò)架構(gòu)需依據(jù)結(jié)構(gòu)化、模塊化和扁平化的原則設(shè)計(jì)：

?結(jié)構(gòu)化

結(jié)構(gòu)化的網(wǎng)絡(luò)設(shè)計(jì)便于上層協(xié)議的部署和網(wǎng)絡(luò)的管理，提高網(wǎng)絡(luò)的收斂速度，實(shí)現(xiàn)高牢

靠。數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)化設(shè)計(jì)體現(xiàn)在適當(dāng)?shù)娜哂嘈院途W(wǎng)絡(luò)的對(duì)稱(chēng)性?xún)蓚€(gè)方面。如下圖所示：

（不合理的冗余）（合理的冗余）

適當(dāng)?shù)娜哂嘈?/p>

網(wǎng)絡(luò)的對(duì)稱(chēng)性

冗余的引入可以消退設(shè)備和鏈路的單點(diǎn)故障，但是過(guò)度的冗余同樣會(huì)使網(wǎng)絡(luò)過(guò)于困難，

不便于運(yùn)行和維護(hù)，因此一般采納雙節(jié)點(diǎn)雙歸屬的架構(gòu)設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)的對(duì)稱(chēng)，可以使得網(wǎng)絡(luò)

設(shè)備的配置簡(jiǎn)化、拓?fù)渲庇^(guān)，有助于協(xié)議設(shè)計(jì)分析。

在數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)時(shí)，由于引入了冗余和對(duì)稱(chēng)的設(shè)計(jì)，這必將引入網(wǎng)絡(luò)的環(huán)路，可通

過(guò)如下建設(shè)思路消退環(huán)路影響：

1.啟用STP和VRRP協(xié)議

傳統(tǒng)解決方案，標(biāo)準(zhǔn)的協(xié)議，設(shè)備要求較低。但此種部署方案網(wǎng)絡(luò)的協(xié)議部署困難，收

斂慢，鏈路帶寬利用率低，運(yùn)維管理工作量大。本方案設(shè)計(jì)不采納此方法。

2.IRF網(wǎng)絡(luò)設(shè)備N(xiāo):1虛擬化技術(shù)

通過(guò)H3cIRF技術(shù)對(duì)同一層面的設(shè)備進(jìn)行橫向整合，將兩臺(tái)或多臺(tái)設(shè)備虛擬為一臺(tái)設(shè)

務(wù)，統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一管理，并實(shí)現(xiàn)跨設(shè)備的鏈路捆綁。因此不會(huì)引入環(huán)路，無(wú)需部署STP

和VRRP等協(xié)議，簡(jiǎn)化網(wǎng)絡(luò)協(xié)議的部署，大大縮短設(shè)備和鏈路收斂時(shí)間（毫秒級(jí)），鏈路

負(fù)載分擔(dān)方式工作，利用率大大提升。

傳統(tǒng)MSTP+VRRP部署方式IRF網(wǎng)絡(luò)N:1虛擬化部署

在本方案的設(shè)計(jì)中，將采納端到端的IRF部署，滿(mǎn)足網(wǎng)絡(luò)高牢靠的同時(shí)，簡(jiǎn)化網(wǎng)絡(luò)運(yùn)

維管理。

?模塊化

構(gòu)建數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)時(shí)，應(yīng)采納模塊化的設(shè)計(jì)方法，將數(shù)據(jù)中心劃分為不同的功能區(qū)

域，用于實(shí)現(xiàn)不同的功能或部署不同的應(yīng)用，使得整個(gè)數(shù)據(jù)中心的架構(gòu)具備可伸縮性、敏捷

性、和高可用性。數(shù)據(jù)中心中的服務(wù)器將會(huì)依據(jù)服務(wù)器上的應(yīng)用的用戶(hù)訪(fǎng)問(wèn)特性和應(yīng)用的功

能不同部署在不同的區(qū)域中。如下圖所示：

網(wǎng)絡(luò)接入?yún)^(qū)

X

互聯(lián)網(wǎng)接入廣域網(wǎng)接入外聯(lián)單位接入辦公局域網(wǎng)

接入

數(shù)據(jù)中心核心交換區(qū)

數(shù)據(jù)中心網(wǎng)絡(luò)分為網(wǎng)絡(luò)接入?yún)^(qū)、數(shù)據(jù)中心核心交換區(qū)和服務(wù)器接入?yún)^(qū)三大功能區(qū)域，其

中網(wǎng)絡(luò)接入?yún)^(qū)和服務(wù)器接入?yún)^(qū)依據(jù)服務(wù)類(lèi)型的不同，可進(jìn)行子區(qū)的細(xì)分，具體參見(jiàn)“業(yè)務(wù)分

區(qū)”章節(jié)的描述。

數(shù)據(jù)中心核心區(qū)用于承接各區(qū)域之間的數(shù)據(jù)交換，是整個(gè)數(shù)據(jù)中心的核心樞紐，因此核

心交換機(jī)設(shè)備應(yīng)選用牢靠性高的數(shù)據(jù)中心級(jí)設(shè)備部署。

在進(jìn)行模塊化設(shè)計(jì)時(shí)，盡量做到各模塊之間松耦合，這樣可以很好的保證數(shù)據(jù)中心的業(yè)

務(wù)擴(kuò)展性，擴(kuò)展新的業(yè)務(wù)系統(tǒng)或模塊時(shí)不須要對(duì)核心或其它模塊進(jìn)行改動(dòng)。同時(shí)模塊化設(shè)計(jì)

也可以很好的分散風(fēng)險(xiǎn)，在某一模塊（除核心區(qū)外）出現(xiàn)故障時(shí)不會(huì)影響到其它模塊，將數(shù)

據(jù)中心的故障影響降到最小。

?扁平化

數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)依據(jù)接入密度和分為三層架構(gòu)和二層架構(gòu)，如下圖所示：

三層架構(gòu)二層架構(gòu)

傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)通常米納三層架構(gòu)進(jìn)行組網(wǎng)，三層架構(gòu)可以保證網(wǎng)絡(luò)具備很好的擴(kuò)

展性，同一個(gè)分區(qū)內(nèi)服務(wù)器接入密度高。但三層架構(gòu)網(wǎng)絡(luò)設(shè)備較多，不便于網(wǎng)絡(luò)管理，運(yùn)維

工作量大。同時(shí)組網(wǎng)成本相對(duì)較高。

隨著網(wǎng)絡(luò)交換技術(shù)的不斷發(fā)展，交換機(jī)的端口接入密度也越來(lái)越高，二層組網(wǎng)的擴(kuò)展性

和密度已經(jīng)能夠很好的滿(mǎn)足企業(yè)數(shù)據(jù)中心服務(wù)器接入的要求。同時(shí)在服務(wù)器虛擬化技術(shù)應(yīng)用

越來(lái)越廣泛的趨勢(shì)下，二層架構(gòu)更簡(jiǎn)潔實(shí)現(xiàn)VLAN的大二層互通，滿(mǎn)足虛擬機(jī)的部署和遷

移。相比三層架構(gòu)，二層架構(gòu)可以大大簡(jiǎn)化網(wǎng)絡(luò)的運(yùn)維與管理。

綜合上述因素，數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計(jì)采納二層扁平化架構(gòu)，滿(mǎn)足擴(kuò)展性的同時(shí)，實(shí)現(xiàn)易

管理。

3.3.業(yè)務(wù)分區(qū)

依據(jù)3.2章節(jié)中的“模塊化”設(shè)計(jì)原則，須要對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行分區(qū)。從技術(shù)看，業(yè)務(wù)分

區(qū)須要遵循以下原則：

?分區(qū)優(yōu)先考慮訪(fǎng)問(wèn)限制的平安性，單個(gè)應(yīng)用訪(fǎng)問(wèn)盡量在一個(gè)區(qū)域內(nèi)部完成，單個(gè)區(qū)

域故障僅影響一類(lèi)應(yīng)用，盡量削減區(qū)域間的業(yè)務(wù)耦合度；

?區(qū)域總數(shù)量的限制：但區(qū)域多則運(yùn)維管理的困難度和設(shè)備投資增加，區(qū)域總數(shù)量有

運(yùn)維上限不超過(guò)20個(gè)；

?單個(gè)區(qū)域內(nèi)服務(wù)器數(shù)量的限制：受機(jī)房空間、二層域大小、接入設(shè)備容量限制，單

個(gè)區(qū)域內(nèi)服務(wù)器數(shù)量有限（通常不超過(guò)200臺(tái)）。

?接入層設(shè)備利用率的限制：受機(jī)房布局的影響，假如每個(gè)機(jī)房都要部署多個(gè)平安區(qū)

的接入交換機(jī)，會(huì)導(dǎo)致接入交換機(jī)資源奢侈，端口利用率低，因此平安區(qū)的數(shù)量不

宜過(guò)多。

?防火墻性能的限制：區(qū)域之間的流量假如超過(guò)10G,則須要考慮通過(guò)防火墻橫向擴(kuò)

容，或區(qū)域調(diào)整的方式分擔(dān)流量。

在實(shí)際的數(shù)據(jù)中心分區(qū)設(shè)計(jì)中，通常有以下三種分區(qū)方法：

1.依據(jù)業(yè)務(wù)功能進(jìn)行分區(qū)：依據(jù)業(yè)務(wù)系統(tǒng)的功能（如生產(chǎn)、OA、支撐等）或業(yè)務(wù)的

實(shí)時(shí)性（實(shí)時(shí)業(yè)務(wù)、非實(shí)時(shí)業(yè)務(wù)）或者業(yè)務(wù)系統(tǒng)的功能（如ERP、營(yíng)銷(xiāo)、財(cái)務(wù)等）

進(jìn)行分區(qū)劃分，此分區(qū)方法適合大多數(shù)企業(yè)數(shù)據(jù)中心；

2.依據(jù)平安等保級(jí)別進(jìn)行分區(qū)：依據(jù)業(yè)務(wù)系統(tǒng)的平安等級(jí)定義進(jìn)行劃分,如“三級(jí)系

統(tǒng)獨(dú)立成域，二級(jí)系統(tǒng)統(tǒng)一成域”，此分區(qū)方法適合政府、電力等行業(yè)數(shù)據(jù)中心;

3.依據(jù)服務(wù)器類(lèi)型進(jìn)行分區(qū)：一般分為WEB服務(wù)器區(qū)、APP/中間件服務(wù)器區(qū)、DB

服務(wù)器區(qū)。此分區(qū)適合互聯(lián)網(wǎng)企業(yè)等數(shù)據(jù)中心。

依據(jù)需求調(diào)研時(shí)了解的XX集團(tuán)業(yè)務(wù)系統(tǒng)分布狀況，結(jié)合業(yè)務(wù)系統(tǒng)的用戶(hù)類(lèi)型，數(shù)據(jù)中

心的分區(qū)設(shè)計(jì)依據(jù)業(yè)務(wù)功能進(jìn)行分區(qū)。分區(qū)設(shè)計(jì)如下：

支

撐

數(shù)據(jù)中心核心區(qū)管

理

區(qū)

各區(qū)域業(yè)務(wù)系統(tǒng)部署描述如下：

辦公局域網(wǎng)區(qū)：XX數(shù)據(jù)中心大樓辦公網(wǎng)絡(luò),包括終端、樓層接入與匯聚。

廣域網(wǎng)接入?yún)^(qū)：與網(wǎng)絡(luò)匯聚中心廣域網(wǎng)絡(luò)互連,網(wǎng)絡(luò)出口。

外聯(lián)網(wǎng)接入應(yīng)用區(qū)：與合作單位的專(zhuān)線(xiàn)互連,此區(qū)域也包括合作單位的業(yè)務(wù)前置機(jī)服務(wù)器。

互聯(lián)網(wǎng)接入應(yīng)用區(qū)：互聯(lián)網(wǎng)出口,此區(qū)域也包括集團(tuán)網(wǎng)站群WEB服務(wù)器、集團(tuán)郵件系統(tǒng)、

DNS服務(wù)器等。

百貨應(yīng)用區(qū)：此區(qū)域部署與百貨相關(guān)的應(yīng)用服務(wù)器,包括百貨促銷(xiāo)、MIS、BI等應(yīng)用系統(tǒng)。

KTV應(yīng)用區(qū)：此區(qū)域部署與KTV相關(guān)的應(yīng)用服務(wù)器,包括FTP、管控、WEB、DB等應(yīng)用

系統(tǒng)。

院線(xiàn)應(yīng)用區(qū)：此區(qū)域部署與院線(xiàn)相關(guān)的應(yīng)用服務(wù)器,包括火鳳凰、會(huì)員等應(yīng)用系統(tǒng)。

OA應(yīng)用區(qū)：此區(qū)域部署集團(tuán)內(nèi)部的0A應(yīng)用服務(wù)器,包括OA、RTX、泛微、圖檔、視頻

會(huì)議、文件、網(wǎng)絡(luò)教學(xué)、網(wǎng)上招投標(biāo)等應(yīng)用系統(tǒng)。

ERP/財(cái)務(wù)應(yīng)用區(qū)：部署集團(tuán)內(nèi)部的ERP和財(cái)務(wù)應(yīng)用服務(wù)器。

其它應(yīng)用區(qū)：部署商管、地產(chǎn)、酒店等應(yīng)用服務(wù)器。

開(kāi)發(fā)測(cè)試區(qū)：此區(qū)域用于集團(tuán)內(nèi)部信息系統(tǒng)的開(kāi)發(fā)與測(cè)試,或新系統(tǒng)上線(xiàn)前的測(cè)試部署。

災(zāi)備接入應(yīng)用區(qū)：此區(qū)域與大連中心互聯(lián),實(shí)現(xiàn)數(shù)據(jù)級(jí)的異地災(zāi)備。同時(shí)此區(qū)域可以部署一

些本地的重要系統(tǒng)備份應(yīng)用。

支撐管理區(qū)：此區(qū)域部署數(shù)據(jù)中心網(wǎng)絡(luò)、平安、服務(wù)器、存儲(chǔ)等IT資源的運(yùn)維管理系統(tǒng)，

此外包括集團(tuán)內(nèi)部的域管理和身份認(rèn)證服務(wù)器。

數(shù)據(jù)空心掾恒此區(qū)域用于實(shí)現(xiàn)各分區(qū)之間的數(shù)據(jù)交互,是數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)的核心樞紐,

無(wú)服務(wù)器部署。

3.4.網(wǎng)絡(luò)設(shè)計(jì)

結(jié)合上述的業(yè)務(wù)分區(qū)，依據(jù)結(jié)構(gòu)化、模塊化、扁平化的設(shè)計(jì)原則，實(shí)現(xiàn)高可用、易擴(kuò)展、

易管理的建設(shè)目標(biāo)。網(wǎng)絡(luò)整體拓?fù)淙缦聢D所示:

整體網(wǎng)絡(luò)拓?fù)洳杉{扁平化兩層組網(wǎng)架構(gòu)，從數(shù)據(jù)中心核心區(qū)干脆到服務(wù)器接入，省去了

中間的匯聚層，這種扁平化的網(wǎng)絡(luò)結(jié)構(gòu)有以下優(yōu)點(diǎn)：

?簡(jiǎn)化網(wǎng)絡(luò)拓?fù)?，降低網(wǎng)絡(luò)運(yùn)維的難度；

?服務(wù)器區(qū)簡(jiǎn)潔構(gòu)建大二層網(wǎng)絡(luò)，更適合將來(lái)的虛擬機(jī)大量部署及遷移；

?服務(wù)器接入交換機(jī)將來(lái)的擴(kuò)展可干脆在現(xiàn)有的IRF虛擬組添加成員交換機(jī)，擴(kuò)展

便利。

對(duì)于數(shù)據(jù)中心的網(wǎng)絡(luò)平安部署，在本方案中采納了''分布式平安部署”的策略，防火墻

形態(tài)采納了H3csecBlade平安插卡，實(shí)現(xiàn)網(wǎng)絡(luò)平安的融合。具體的平安設(shè)計(jì)參與“3.5平安

設(shè)計(jì)”章節(jié)。

縱觀(guān)整體方案拓?fù)?，在此方案設(shè)計(jì)與部署時(shí)共采納了IRF虛擬化、網(wǎng)絡(luò)平安融合、智

能管理三種H3C特有的關(guān)鍵技術(shù)（具體參見(jiàn)5.2章節(jié)相關(guān)介紹），在保證數(shù)據(jù)中心的高牢靠的

同時(shí)，簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維管理，同時(shí)供應(yīng)了智能化的管理工具平臺(tái)。

3.4.1.核心交換區(qū)

?功能描述

核心交換區(qū)的主要功能是完成各服務(wù)器功能分區(qū)、辦公局域網(wǎng)、外聯(lián)網(wǎng)、互聯(lián)網(wǎng)之間數(shù)

據(jù)流量的高速交換，是廣域/局域縱向流量與服務(wù)功能分區(qū)間橫向流量的交匯點(diǎn)。核心交換

區(qū)必需具備高速轉(zhuǎn)發(fā)的實(shí)力，同時(shí)還須要有很強(qiáng)的擴(kuò)展實(shí)力，以便應(yīng)對(duì)將來(lái)業(yè)務(wù)的快速增長(zhǎng)。

核心模塊是整個(gè)平臺(tái)的樞紐。因此，牢靠性是衡量核心交換區(qū)設(shè)計(jì)的關(guān)鍵指標(biāo)。否則，一旦

核心模塊出現(xiàn)異樣而不能剛好復(fù)原的話(huà)，會(huì)造成整個(gè)平臺(tái)業(yè)務(wù)的長(zhǎng)時(shí)間中斷，影響巨大。

?拓?fù)湓O(shè)計(jì)

辦公局域網(wǎng)廣域網(wǎng)外聯(lián)網(wǎng)區(qū)互聯(lián)網(wǎng)區(qū)

接入?yún)^(qū)接入?yún)^(qū)

多個(gè)萬(wàn)兆端口NetStram網(wǎng)絡(luò)流

捆綁，提高設(shè)量分析，實(shí)現(xiàn)全

備間橫向單寬網(wǎng)智能分析J

核心交換區(qū)

分區(qū)1分區(qū)2分區(qū)N支撐管理區(qū)

?設(shè)計(jì)要點(diǎn)

1.高牢靠

核心交換設(shè)備選用數(shù)據(jù)中心級(jí)核心交換機(jī)，配置雙引擎，雙電源，保證網(wǎng)絡(luò)組件層面的

穩(wěn)定性。

網(wǎng)絡(luò)架構(gòu)層面，采納雙核心設(shè)計(jì)，兩臺(tái)設(shè)備進(jìn)行冗余，并通過(guò)虛擬化技術(shù)進(jìn)行橫向整合,

將兩臺(tái)物理設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，并實(shí)現(xiàn)跨設(shè)備的鏈路捆綁，所各分區(qū)的交換機(jī)IRF

相協(xié)作，實(shí)現(xiàn)端到端IRF部署。兩臺(tái)設(shè)備工作在雙活模式，縮短鏈路故障與設(shè)備故障的倒換

時(shí)間（毫秒級(jí)），保證出現(xiàn)單點(diǎn)故障時(shí)不中斷業(yè)務(wù)。

為保證出現(xiàn)單點(diǎn)故障（鏈路/設(shè)備）時(shí)另一臺(tái)設(shè)備能夠完全接管業(yè)務(wù)，各功能模塊通過(guò)

“口”字形上行與核心模塊互連。

2.高速傳輸

本次網(wǎng)絡(luò)設(shè)計(jì)容量應(yīng)保證將來(lái)3?5年內(nèi)的業(yè)務(wù)擴(kuò)展，本設(shè)計(jì)采納“萬(wàn)兆到核心，千兆

接入”的思路，核心模塊對(duì)外接口為全萬(wàn)兆接口。

3.易于擴(kuò)展

依據(jù)“核心一邊緣架構(gòu)”的設(shè)計(jì)原則，核心模塊應(yīng)避開(kāi)部署訪(fǎng)問(wèn)限制策略(如ACL、路

由過(guò)濾等)，保證核心模塊業(yè)務(wù)的單純性與松耦合，便于下聯(lián)功能模塊擴(kuò)展時(shí)，不影響核心

業(yè)務(wù)，同時(shí)可以提高核心模塊的穩(wěn)定性。

4.智能分析

針對(duì)各個(gè)區(qū)域的業(yè)務(wù)流量改變趨勢(shì)，本次在核心交換機(jī)上部署網(wǎng)絡(luò)流量分析模塊，可以

實(shí)時(shí)感知，并作為網(wǎng)絡(luò)優(yōu)化及調(diào)整的依據(jù)。

3.4.2.服務(wù)器接入?yún)^(qū)

?功能描述

服務(wù)器接入?yún)^(qū)用于完成服務(wù)器的LAN網(wǎng)絡(luò)接入，依照3.3章節(jié)的業(yè)務(wù)分區(qū)設(shè)計(jì)，涉及到

服務(wù)器接入的業(yè)務(wù)分區(qū)包括百貨應(yīng)用區(qū)、KTV應(yīng)用區(qū)、院線(xiàn)應(yīng)用區(qū)、ERP/財(cái)務(wù)應(yīng)用區(qū)、開(kāi)發(fā)

測(cè)試區(qū)、支撐管理區(qū)、其它應(yīng)用區(qū)，這些區(qū)域雖然部署的應(yīng)用服務(wù)器類(lèi)型不一樣，設(shè)備的選

型要求也不一樣，但對(duì)于網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)來(lái)說(shuō)是一樣的，因此在方案設(shè)計(jì)時(shí)，這些區(qū)域的網(wǎng)絡(luò)

拓?fù)湓O(shè)計(jì)將在此統(tǒng)一進(jìn)行描述。

?拓?fù)湓O(shè)計(jì)

服務(wù)器接入?yún)^(qū)1

注：院線(xiàn)應(yīng)用區(qū)若部署院線(xiàn)WEB服務(wù)器，則服務(wù)器接入交換機(jī)上除了部署FW插卡外，還頊

要部署IPS和SLB插卡。

?設(shè)計(jì)要點(diǎn)

1.服務(wù)器接入交換機(jī)部署雙機(jī)，并采納IRF虛擬化，將兩臺(tái)物理設(shè)備虛擬化為一臺(tái)邏輯設(shè)

備，實(shí)現(xiàn)跨設(shè)務(wù)鏈路捆綁，與核心交換機(jī)協(xié)作實(shí)現(xiàn)端到端IRF。此外服務(wù)器雙網(wǎng)關(guān)配置

成雙活模式(Active-Active)，；

2.各服務(wù)器接入交換機(jī)上部署SecBladeFW插卡，用于本區(qū)域與其它區(qū)域的訪(fǎng)問(wèn)限制策略

部署。院線(xiàn)應(yīng)用區(qū)部署FW+IPS+LB插卡；

3.服務(wù)器網(wǎng)關(guān)部署在接入交換機(jī)上，防火墻插卡與接入交換機(jī)以及核心交換機(jī)之間運(yùn)行

OSPF動(dòng)態(tài)路由，實(shí)現(xiàn)FW的雙機(jī)熱備。

3.4.3.互聯(lián)網(wǎng)區(qū)

?功能描述

互聯(lián)網(wǎng)區(qū)用于部署集團(tuán)WEB服務(wù)器、院線(xiàn)WEB服務(wù)器(若須要)，以及集團(tuán)的DNS、FTP、

E-mail等須要通過(guò)互聯(lián)網(wǎng)對(duì)公眾用戶(hù)供應(yīng)服務(wù)器的應(yīng)用系統(tǒng)。

?拓?fù)湓O(shè)計(jì)

?設(shè)計(jì)要點(diǎn)

1.Internet出口采納雙運(yùn)營(yíng)商鏈路，保證用戶(hù)訪(fǎng)問(wèn)效率的同時(shí)，實(shí)現(xiàn)鏈路的冗余；

2.服務(wù)器接入交換機(jī)部署雙機(jī)，并采納IRF虛擬化，將兩臺(tái)物理設(shè)備虛擬化為一臺(tái)邏輯設(shè)

備，實(shí)現(xiàn)跨設(shè)務(wù)鏈路捆綁，與服務(wù)器雙網(wǎng)卡協(xié)作實(shí)現(xiàn)雙活(Active-Active)；

3.采納雙層防火墻部署，外層防火墻用于實(shí)現(xiàn)Internet與WEB、DNS、Email、FTP等公網(wǎng)

服務(wù)器的隔離，實(shí)現(xiàn)公網(wǎng)服務(wù)器的分域，并配置DMZ區(qū)域保證平安。內(nèi)層防火墻用于實(shí)

現(xiàn)公網(wǎng)服務(wù)器與數(shù)據(jù)中心內(nèi)部其它服務(wù)器之間的隔離，部署內(nèi)部區(qū)域間的訪(fǎng)問(wèn)限制策

略。外層防火墻采納獨(dú)立設(shè)備、內(nèi)層防火墻采納在服務(wù)器接入交換機(jī)上部署SecBladeFW

插卡。

4.由于Internet區(qū)部署了較多的網(wǎng)站等WEB服務(wù)器，因此須要部署LB和IPS設(shè)備。來(lái)保

證負(fù)載分擔(dān)和L2t7層平安過(guò)濾。

3.4.4.外聯(lián)網(wǎng)區(qū)

?功能描述

外聯(lián)網(wǎng)區(qū)用于實(shí)現(xiàn)與合作單位的專(zhuān)線(xiàn)網(wǎng)絡(luò)進(jìn)行互聯(lián)，并部署合作單位的前置機(jī)服務(wù)器。

?拓?fù)湓O(shè)計(jì)

合作單位銀行

?設(shè)計(jì)要點(diǎn)

1.服務(wù)器接入交換機(jī)部署雙機(jī)，并采納IRF虛擬化，將兩臺(tái)物理設(shè)備虛擬化為一臺(tái)邏輯設(shè)

備，實(shí)現(xiàn)跨設(shè)務(wù)鏈路捆綁，與服務(wù)器雙網(wǎng)卡協(xié)作實(shí)現(xiàn)雙活(Active-Active)；

2.采納雙層防火墻部署，外層防火墻用于實(shí)現(xiàn)前置機(jī)服務(wù)器與合作單位網(wǎng)絡(luò)的隔離，可部

署NAT。內(nèi)層防火墻用于實(shí)現(xiàn)前置機(jī)服務(wù)器與數(shù)據(jù)中心內(nèi)部其它服務(wù)器之間的隔離，部

署內(nèi)部區(qū)域間的訪(fǎng)問(wèn)限制策略。外層防火墻H3csecBladeFW插卡、內(nèi)層防火墻可采納

非H3C的第三方FW獨(dú)立設(shè)備進(jìn)行異構(gòu)，加強(qiáng)平安性。

3.服務(wù)器接入交換機(jī)上部署SecBladeIPS插卡，實(shí)現(xiàn)L2~L7層平安過(guò)濾。

3.4.5.廣域網(wǎng)接入?yún)^(qū)

?功能描述

廣域網(wǎng)接入?yún)^(qū)用于實(shí)現(xiàn)與網(wǎng)絡(luò)匯聚中心的互連，保證集團(tuán)內(nèi)部用戶(hù)通過(guò)廣域網(wǎng)訪(fǎng)問(wèn)數(shù)據(jù)

中心內(nèi)的業(yè)務(wù)系統(tǒng)。（必要時(shí)也可考慮與大連數(shù)據(jù)中心互聯(lián)）

?拓?fù)湓O(shè)計(jì)

?設(shè)計(jì)要點(diǎn)

1.廣域網(wǎng)出口路由器部署雙機(jī)，出口鏈路為雙鏈路，保證廣域網(wǎng)出口高牢靠;

2.防火墻采納路由器上部署SecBladeFW插卡。

3.4.6.災(zāi)備接入?yún)^(qū)

?功能描述

災(zāi)備接入?yún)^(qū)用于實(shí)現(xiàn)數(shù)據(jù)中心與大連災(zāi)備中心的互連,實(shí)現(xiàn)SAN和LAN網(wǎng)絡(luò)雙中心的互

通，保證數(shù)據(jù)同步復(fù)制。同時(shí)通過(guò)將兩中心的VLAN二層打通，實(shí)現(xiàn)跨數(shù)據(jù)中心的大二層網(wǎng)

絡(luò)，便于虛擬機(jī)業(yè)務(wù)遷移和跨地域服務(wù)器集群。

?拓?fù)湓O(shè)計(jì)

大

連

備

份

中

心

?設(shè)計(jì)要點(diǎn)

1.數(shù)據(jù)中心與大連災(zāi)備中心之間采納雙路裸纖做災(zāi)備互連鏈路，并采納DWDM進(jìn)行復(fù)用。

2.SAN網(wǎng)絡(luò)干脆通過(guò)光纖上DWDM波分設(shè)備，實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)備份通道的互通。LAN網(wǎng)絡(luò)通過(guò)

在服務(wù)器網(wǎng)關(guān)交換機(jī)設(shè)備上通過(guò)VLANTrunk到匯接交換機(jī)，然后再上DWDM設(shè)備，實(shí)現(xiàn)

雙中心之間的大二層VLAN互通。

3.匯接交換機(jī)部署IRF,實(shí)現(xiàn)雙纖捆綁，保證鏈路的牢靠性。

4.跨地域的二層打通后，可以實(shí)現(xiàn)網(wǎng)關(guān)設(shè)備跨地域部署VRRP,保證雙中心服務(wù)器集群時(shí)網(wǎng)

關(guān)的切換。

3.5.平安設(shè)計(jì)

3.5.1.平安設(shè)計(jì)原則

平安與網(wǎng)絡(luò)密不行分，本方案中的平安設(shè)計(jì)部署采納了與網(wǎng)絡(luò)分區(qū)相同的平安域劃分,

同時(shí)采納SecBlade平安插卡實(shí)現(xiàn)了網(wǎng)絡(luò)與平安設(shè)備形態(tài)的融合。整個(gè)方案的平安部署采納

了目前應(yīng)用廣泛的“分布式平安部署”方法，如下圖右側(cè)所示：

集中式安全部署分布式安全部署

安全區(qū)1安全區(qū)3

VLAN1VLAN2VLAN2VLAN1VLAN2

VLAN3VLAN，

T

、、、網(wǎng)絡(luò)核心層

安全區(qū)4安全區(qū)6

VLAN1VLAN2VLANVLAN1VLAN2

安全區(qū)

安全設(shè)備集中部署在安全設(shè)備下移到各業(yè)4

核心區(qū)

務(wù)區(qū)出口，分布式在VLAN1VLAN2

、各服務(wù)器接入層

分布式平安部署具有以下優(yōu)勢(shì):

?分散風(fēng)險(xiǎn)：傳統(tǒng)的集中式平安部署一般將防火墻旁?huà)煸诤诵慕粨Q機(jī)兩側(cè),這樣一旦防火

墻出現(xiàn)故障，數(shù)據(jù)中心內(nèi)的全部業(yè)務(wù)區(qū)都將不能訪(fǎng)問(wèn)，整個(gè)數(shù)據(jù)中心的全部業(yè)務(wù)均會(huì)中

斷，風(fēng)險(xiǎn)和性能壓力都集中在防火墻上。而采納分布式部署后，防火墻出現(xiàn)故障只會(huì)影

響到本區(qū)域的業(yè)務(wù)，進(jìn)而實(shí)現(xiàn)風(fēng)險(xiǎn)和性能的分散，提高了整個(gè)數(shù)據(jù)中心的牢靠性；

?敏捷擴(kuò)展：分部式平安部署,核心交換機(jī)原則上不部署任何與業(yè)務(wù)分區(qū)之間的平安策略,

可實(shí)現(xiàn)核心區(qū)與各業(yè)務(wù)分區(qū)之間的松耦合，在新增模塊或業(yè)務(wù)系統(tǒng)時(shí)，無(wú)需更改核心設(shè)

備的配置，減小核心區(qū)出現(xiàn)故障的機(jī)率，保證核心區(qū)的高牢靠與業(yè)務(wù)分區(qū)的敏捷擴(kuò)展；

?簡(jiǎn)化平安策略部署：防火墻下移到各業(yè)務(wù)分區(qū)的出口,防火墻上部署的平安策略可大大

簡(jiǎn)化，默認(rèn)僅須要?jiǎng)澐謨蓚€(gè)平安域（受信域與非受信域），采納白名單方式下發(fā)策略,

削減了策略的交叉。

3.5.2.SecBladeFW插卡部署

防火墻設(shè)備在數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)中為內(nèi)部系統(tǒng)供應(yīng)了平安和牢靠性保障。防火墻主要部

署在數(shù)據(jù)中心的兩個(gè)常見(jiàn)區(qū)域中：數(shù)據(jù)中心出口區(qū)域和服務(wù)器區(qū)域。在數(shù)據(jù)中心出口區(qū)域部

署防火墻可以保障來(lái)自Internet和合作伙伴的用戶(hù)的平安性，避開(kāi)未經(jīng)授權(quán)的訪(fǎng)問(wèn)和網(wǎng)絡(luò)

攻擊。在數(shù)據(jù)中心服務(wù)器區(qū)域部署防火墻可以避開(kāi)不同服務(wù)器系統(tǒng)之間的相互干擾，通過(guò)自

定義防火墻策略還可以供應(yīng)更具體的訪(fǎng)問(wèn)機(jī)制。

防火墻插卡設(shè)備雖然部署在交換機(jī)框中，但仍舊可以看作是一個(gè)獨(dú)立的設(shè)備。它通過(guò)交

換機(jī)內(nèi)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連，它可以部署為2層透亮設(shè)備和三層路由設(shè)備。防火

墻與交換機(jī)之間的三層部署方式與傳統(tǒng)盒式設(shè)備類(lèi)似。

如上圖FW三層部署所示，防火墻可以與宿主交換機(jī)干脆建立三層連接，也可以與上游

或下游設(shè)備建立三層連接，不同連接方式取決于用戶(hù)的訪(fǎng)問(wèn)策略?？梢酝ㄟ^(guò)靜態(tài)路由和缺省

路由實(shí)現(xiàn)三層互通，也可以通過(guò)OSPF這樣的路由協(xié)議供應(yīng)動(dòng)態(tài)的路由機(jī)制。假如防火墻部

署在服務(wù)器區(qū)域，可以將防火墻設(shè)計(jì)為服務(wù)器網(wǎng)關(guān)設(shè)備，這樣全部訪(fǎng)問(wèn)服務(wù)器的三層流量都

將經(jīng)過(guò)防火墻設(shè)備，這種部署方式可以供應(yīng)區(qū)域內(nèi)部服務(wù)器之間訪(fǎng)問(wèn)的平安性。

XX集團(tuán)數(shù)據(jù)中內(nèi)部，整體平安采納分布式部署設(shè)計(jì)，己經(jīng)對(duì)不同的業(yè)務(wù)系統(tǒng)進(jìn)行了分

區(qū)，整體平安邊界清晰。為簡(jiǎn)化SecBladeFW的配置，提高網(wǎng)關(guān)性能，將服務(wù)器的網(wǎng)關(guān)均部

署在接入交換機(jī)上，SecBladeFW插卡僅部署本分區(qū)內(nèi)與其它分區(qū)之間的平安策略。若本

分區(qū)內(nèi)各服務(wù)器之間有隔離需求，建議在接入交換機(jī)上采納ACL方式實(shí)現(xiàn)。如下圖所示：

分區(qū)2

對(duì)于僅部署SecBladeFW插卡的業(yè)務(wù)區(qū)（如百貨、KTV、ERP/財(cái)務(wù)、開(kāi)發(fā)測(cè)試、支撐管

理、外聯(lián)網(wǎng)區(qū)），區(qū)域內(nèi)的平安部署邏輯拓?fù)淙缦聢D所示:

?接入交換機(jī)雙機(jī)部署IRF虛擬化，并實(shí)現(xiàn)跨設(shè)備鏈路捆綁。兩塊SecBladeFW插卡邏輯

上相當(dāng)于插在同一臺(tái)交換機(jī)上。

?每臺(tái)接入交換機(jī)邏輯上均可以看成一臺(tái)L2交換機(jī)與一臺(tái)L3交換機(jī)的疊加，服務(wù)器網(wǎng)關(guān)

部署在交換機(jī)上。

?SecBlade通過(guò)內(nèi)部的10GE接口與交換機(jī)互連，并創(chuàng)建多個(gè)L3接口進(jìn)行引流，讓全部

流經(jīng)服務(wù)器的流量均經(jīng)過(guò)FW過(guò)濾。兩塊FW插卡通過(guò)帶外狀態(tài)同步線(xiàn)（心跳線(xiàn)）進(jìn)行狀

態(tài)同步，F(xiàn)W插卡之間通過(guò)OSPF動(dòng)態(tài)路由實(shí)現(xiàn)熱備或負(fù)載分擔(dān)(ECMP)o

3.5.3.SecBladeFW+IPS+LB組合部署

對(duì)于XX數(shù)據(jù)中心的院線(xiàn)應(yīng)用區(qū)、互聯(lián)網(wǎng)應(yīng)用區(qū)，須要涉及到FW+IPS+LB的組合部署，

FW插卡的基本特性3.5.2章節(jié)已做描述，下面先介紹IPS和LB插卡的基本組網(wǎng)：

?SecBladeIPS基本組網(wǎng)設(shè)計(jì)

SecBladeIPS插卡為數(shù)據(jù)中心內(nèi)部供應(yīng)了更堅(jiān)實(shí)的平安愛(ài)護(hù)機(jī)制。通過(guò)IPS的深度檢

測(cè)功能可以有效愛(ài)護(hù)內(nèi)部服務(wù)器避開(kāi)受到病毒、蠕蟲(chóng)、程序漏洞和DDOS等來(lái)自應(yīng)用層的平

安威逼。

IPS插卡通過(guò)OAA(開(kāi)放的應(yīng)用架構(gòu))技術(shù)與宿主交換機(jī)協(xié)作運(yùn)用。可以通過(guò)傳統(tǒng)的流

量重定向方式將須要IPS處理的業(yè)務(wù)流重定向到IPS插卡上處理，也可以通過(guò)OAA方式在

IPS的IVeb頁(yè)面上配置重定向策略，這兩種方式都可以實(shí)現(xiàn)相同的功能。由于不同交換機(jī)設(shè)

備對(duì)OAA的支持程度不同。我們舉薦在本方案中采納重定向策略引流。

由于IPS插卡在整個(gè)網(wǎng)絡(luò)中屬于2層透亮轉(zhuǎn)發(fā)設(shè)備，不會(huì)對(duì)報(bào)文進(jìn)行任何修改，整個(gè)網(wǎng)

絡(luò)從連通性上看加入IPS后不會(huì)產(chǎn)生任何改變影響。因此建議實(shí)施的時(shí)候?qū)⑵浞旁谧罱K進(jìn)行

上線(xiàn)配置，即其他設(shè)備都調(diào)試0K,流量轉(zhuǎn)發(fā)與HA設(shè)計(jì)都以正常實(shí)現(xiàn)狀況下再進(jìn)行IPS的部

署實(shí)施。

SecBladeIPS組網(wǎng)結(jié)構(gòu)流量圖

SecBladeIPS不會(huì)對(duì)報(bào)文進(jìn)行任何修改，對(duì)于上IPS處理的報(bào)文，非OAA方式只能通

過(guò)VLAN區(qū)分流量是屬于外部域還是內(nèi)部域。所以在組網(wǎng)設(shè)計(jì)中需留意非OAA方式重定向到

IPS插卡的業(yè)務(wù)流上下行流量需為不同VLAN。由于IPS插卡不具有雙機(jī)熱備功能，通過(guò)組網(wǎng)

設(shè)計(jì)，部分環(huán)境可以做到IPS故障的切換，部分環(huán)境中當(dāng)IPS故障后，重定向功能失效，業(yè)

務(wù)流將不能接著受到IPS的平安愛(ài)護(hù)，流量在短暫中斷后仍舊可以保證連續(xù)性。

?SecBladeLB板卡設(shè)計(jì)部署

LB插卡具備兩大主要功能，服務(wù)器負(fù)載均衡和鏈路負(fù)載均衡，分別應(yīng)用于數(shù)據(jù)中心服

務(wù)器區(qū)和Internet出口區(qū)域。服務(wù)器負(fù)載均衡為數(shù)據(jù)中心服務(wù)器區(qū)性能的擴(kuò)展和資源利用

的優(yōu)化供應(yīng)完備的解決方案。鏈路負(fù)載均衡特別有效的部署在數(shù)據(jù)中心多出口的組網(wǎng)環(huán)境

中，可以同時(shí)對(duì)多條廣域網(wǎng)鏈路優(yōu)化資源利用。

LB插卡的工作方式與防火墻的類(lèi)似，仍舊作為一個(gè)獨(dú)立的設(shè)備運(yùn)行。通過(guò)傳統(tǒng)的三層

方式與交換機(jī)或下游設(shè)備相連?？梢酝ㄟ^(guò)靜態(tài)路由和缺省路由實(shí)現(xiàn)三層互通，也可以通過(guò)

OSPF這樣的路由協(xié)議供應(yīng)動(dòng)態(tài)的路由機(jī)制。

SecBladeLB在數(shù)據(jù)中心出口的部署

如圖所示，在數(shù)據(jù)中心出口區(qū)域，LB插卡可以與宿主交換機(jī)連接三層連接關(guān)系，也可

以干脆和下游設(shè)備如防火墻等建立三層連接關(guān)系。這取決于用戶(hù)的實(shí)際需求，前一種方式可

以供應(yīng)更敏捷的路由限制策略，而后一種方式可以簡(jiǎn)化組網(wǎng)的困難結(jié)構(gòu)（例如：假如經(jīng)LLB

下行的流量都要通過(guò)防火墻的平安愛(ài)護(hù)，那么可以將防火墻干脆作為L(zhǎng)LB的下一跳設(shè)備）。

須要留意的是，在雙機(jī)熱備的組網(wǎng)環(huán)境中，兩塊LLB的出口配置必需相同，這樣才能保

證業(yè)務(wù)切換后能正常運(yùn)行。

ITT

如圖所示，在數(shù)據(jù)中心服務(wù)器區(qū)，LB供應(yīng)了服務(wù)器的負(fù)載均衡實(shí)力。我們可以將LB插

卡作為服務(wù)器的網(wǎng)關(guān)設(shè)備，這樣全部的服務(wù)器流量都需經(jīng)過(guò)LB設(shè)備。也可以將服務(wù)器網(wǎng)關(guān)

放置在交換機(jī)上，LB設(shè)備通過(guò)路由方式訪(fǎng)問(wèn)服務(wù)器群，這樣的部署方式可以敏捷限制LB對(duì)

服務(wù)器的訪(fǎng)問(wèn)。

.組合部署

在數(shù)據(jù)中心服務(wù)器區(qū)IPS+FW+SLB的部署主要有以下四種方式：

組網(wǎng)一組網(wǎng)二組網(wǎng)三組網(wǎng)四

非IRFIRF

?IPS假如須要愛(ài)護(hù)全部流量可以部署在前端，假如僅須要愛(ài)護(hù)部分關(guān)鍵區(qū)域的業(yè)務(wù)可以

放置在FW后面。

?SLB可以作為服務(wù)器網(wǎng)關(guān)設(shè)備部署，假如服務(wù)器間還須要更嚴(yán)格的防護(hù)策略可以將防火

墻部署在SLB下端作為服務(wù)器的隔離設(shè)備。

?通過(guò)IRF堆疊技術(shù)還可以進(jìn)一步簡(jiǎn)化組網(wǎng)結(jié)構(gòu)，提高管理維護(hù)和配置成本，是目前的流

行部署方式。

本方案的舉薦采納組網(wǎng)四方案，組網(wǎng)邏輯拓?fù)淙缦聢D所示：

FW

IPS

SLB

o

oVLANll

eVLAN15

oVLAN12

oVLAN13

VLAN20555.0

一雙機(jī)熱備心跳線(xiàn)

在本案例組網(wǎng)設(shè)計(jì)中，接入交換機(jī)和平安插卡都為雙機(jī)部署，運(yùn)用0SPF動(dòng)態(tài)路由協(xié)議。

交換機(jī)通過(guò)IRF方式增加牢靠性和管理性，F(xiàn)W插卡與上游設(shè)備建立三層連接關(guān)系，供應(yīng)平

安愛(ài)護(hù)功能。SLB插卡與接入交換機(jī)建立三層連接關(guān)系，同時(shí)對(duì)下做為服務(wù)器網(wǎng)關(guān)設(shè)備供應(yīng)

服務(wù)器負(fù)載均衡功能。

3.6.QoS設(shè)計(jì)

3.6.1.QoS設(shè)計(jì)原則

XX集團(tuán)網(wǎng)絡(luò)整網(wǎng)QoS設(shè)計(jì)遵循以下的原則：

?正常狀況下QOS是通過(guò)帶寬來(lái)保證的。換句話(huà)說(shuō)，即在網(wǎng)絡(luò)帶寬足夠高的狀況下,

不須要QOS機(jī)制。當(dāng)帶寬利用率達(dá)到60%可考慮擴(kuò)容；

?網(wǎng)絡(luò)設(shè)備的容量不能成為瓶頸；

?網(wǎng)絡(luò)/鏈路故障或網(wǎng)絡(luò)擁塞狀況下Q0S策略生效；

?任何時(shí)候都優(yōu)先保