貴州農(nóng)信網(wǎng)絡(luò)規(guī)劃交流

貴州農(nóng)信網(wǎng)絡(luò)規(guī)劃交流網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)方法兩地三中心網(wǎng)絡(luò)規(guī)劃概要設(shè)計(jì)目錄CustomerProfile業(yè)務(wù)架構(gòu)IT架構(gòu)應(yīng)用架構(gòu)數(shù)據(jù)架構(gòu)基礎(chǔ)設(shè)施架構(gòu)技術(shù)最佳實(shí)踐行業(yè)發(fā)展趨勢技術(shù)發(fā)展趨勢IT基礎(chǔ)架構(gòu)規(guī)劃架構(gòu)落地實(shí)施參考模型網(wǎng)絡(luò)設(shè)計(jì)方法——自頂而下總體設(shè)計(jì)業(yè)務(wù)戰(zhàn)略IT需求技術(shù)趨勢架構(gòu)規(guī)劃目標(biāo)演進(jìn)路線GA、CRD廣域網(wǎng)架構(gòu)總體設(shè)計(jì)現(xiàn)狀評估最佳實(shí)踐數(shù)據(jù)中心架構(gòu)總體設(shè)計(jì)業(yè)務(wù)連續(xù)災(zāi)備/雙活安全架構(gòu)設(shè)計(jì)虛擬化企業(yè)私有云詳細(xì)設(shè)計(jì)兩地三中心……數(shù)據(jù)中心行業(yè)趨勢雙活數(shù)據(jù)中心[基礎(chǔ)設(shè)施與布線架構(gòu)][功能分區(qū)設(shè)計(jì)][服務(wù)器/VM接入]

[存儲網(wǎng)絡(luò)設(shè)計(jì)][可靠性評估與計(jì)算][安全規(guī)劃與部署][DC互聯(lián)與大二層設(shè)計(jì)][QoS規(guī)劃與設(shè)計(jì)][骨干網(wǎng)健壯性量化評估][業(yè)務(wù)帶寬與鏈路選擇][多級骨干網(wǎng)扁平化策略與設(shè)計(jì)][關(guān)鍵業(yè)務(wù)多活部署策略]

[服務(wù)器/VM集群架構(gòu)]

[SAN擴(kuò)展與數(shù)據(jù)復(fù)制]

[LAN擴(kuò)展與二層互聯(lián)][站點(diǎn)選擇與網(wǎng)關(guān)設(shè)計(jì)]

網(wǎng)絡(luò)設(shè)計(jì)方法——從需求到方案H3C網(wǎng)絡(luò)架構(gòu)規(guī)劃的方法論基于企業(yè)架構(gòu)（EA,EnterpriseArchitecture），從企業(yè)的業(yè)務(wù)架構(gòu)出發(fā)，推導(dǎo)適應(yīng)業(yè)務(wù)發(fā)展的IT支撐能力。通過對數(shù)據(jù)架構(gòu)、應(yīng)用架構(gòu)、技術(shù)架構(gòu)的調(diào)研及分析，明確網(wǎng)絡(luò)的目標(biāo)以及基線架構(gòu)，根據(jù)差距分析制定解決方案，完成網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計(jì)。H3C采用的框架模型為在當(dāng)前國內(nèi)外大型金融機(jī)構(gòu)采用的TogafV9模型。網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)方法——圍繞需求展開預(yù)構(gòu)建柔性軟件定義低PUE敏捷XX行重點(diǎn)關(guān)注需求網(wǎng)絡(luò)通用關(guān)注需求靈活可擴(kuò)展可管理性能高可用設(shè)計(jì)需求兩地三中心架構(gòu)項(xiàng)目范圍高可用性廣域網(wǎng)架構(gòu)數(shù)據(jù)中心架構(gòu)運(yùn)維管理業(yè)界技術(shù)發(fā)展方向SDN融合架構(gòu)最佳實(shí)踐網(wǎng)絡(luò)現(xiàn)狀現(xiàn)有業(yè)務(wù)架構(gòu)現(xiàn)有網(wǎng)絡(luò)架構(gòu)現(xiàn)有基礎(chǔ)設(shè)施狀況物理與邏輯分離標(biāo)準(zhǔn)化、自動化動態(tài)調(diào)整、靈活部署資源統(tǒng)一調(diào)配網(wǎng)絡(luò)設(shè)計(jì)策略高可用性性能可管理性可擴(kuò)展性安全性靈活性網(wǎng)絡(luò)資源網(wǎng)絡(luò)分析常用要素網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)方法兩地三中心網(wǎng)絡(luò)規(guī)劃概要設(shè)計(jì)兩地三中心整體設(shè)計(jì)廣域網(wǎng)規(guī)劃設(shè)計(jì)數(shù)據(jù)中心規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)管理規(guī)劃設(shè)計(jì)目錄全行一朵云與統(tǒng)一資源池兩地三中心分布式多中心災(zāi)難備份系統(tǒng)的建設(shè)專用備援系統(tǒng)用于緊急狀態(tài)的恢復(fù)降低災(zāi)難風(fēng)險(xiǎn)對業(yè)務(wù)的影響加強(qiáng)生產(chǎn)的安全等級致力實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)無縫切換消除應(yīng)用應(yīng)急帶來的風(fēng)險(xiǎn)與損失數(shù)據(jù)中心間實(shí)現(xiàn)負(fù)載分擔(dān)單中心具有全業(yè)務(wù)承載能力多中心持續(xù)建設(shè)目標(biāo)--分布式多活數(shù)據(jù)中心?單純?yōu)膫?/p>

災(zāi)備與負(fù)載均衡?主備中心

雙活（多活）融合?滿足RPO

滿足RPO，最小RTO?資源固化

全局資源池化靈活調(diào)配?人工管理

資源調(diào)度自動化多個(gè)跨地域的分布式虛擬化數(shù)據(jù)中心地理分散的多個(gè)“云”網(wǎng)絡(luò)的平臺化地位日益重要強(qiáng)調(diào)風(fēng)險(xiǎn)管控，多中心持續(xù)建設(shè)與業(yè)務(wù)平滑切換基礎(chǔ)設(shè)施雙活前端業(yè)務(wù)雙活后端數(shù)據(jù)雙活災(zāi)備：4-5級（暖備）特征：特定業(yè)務(wù)同一時(shí)刻在單數(shù)據(jù)中心處理，網(wǎng)絡(luò)具有接替能力；把不同業(yè)務(wù)分在不同的數(shù)據(jù)中心可提高資源利用率；應(yīng)用為A/S模式，DC間切換需要手工干預(yù)；災(zāi)備：5-6級（熱備）特征：前端服務(wù)器（Web/App）雙活，服務(wù)器通常采用集群，需要心跳與DCI，可實(shí)現(xiàn)服務(wù)器集群跨中心自動切換；重點(diǎn)：集群設(shè)計(jì)、路由規(guī)劃規(guī)劃和DNS；災(zāi)備：5-6級（雙活）數(shù)據(jù)層（DB/存儲）雙活：數(shù)據(jù)庫跨中心雙活部署，或存儲跨中心實(shí)時(shí)復(fù)制；技術(shù)復(fù)雜度與成本高，對業(yè)務(wù)處理能力有影響部署的最大限制在于距離和帶寬（實(shí)際部署限于城域）雙活的層級與業(yè)務(wù)連續(xù)性分布式數(shù)據(jù)中心業(yè)務(wù)運(yùn)行狀態(tài)主備模式（Active-Standby）特點(diǎn)：生產(chǎn)中心完成所有的數(shù)據(jù)更新的業(yè)務(wù)通過數(shù)據(jù)復(fù)制技術(shù)將數(shù)據(jù)復(fù)制到災(zāi)備中心災(zāi)備中心除了承擔(dān)災(zāi)備的任務(wù)僅利用有限的資源完成一定的查詢業(yè)務(wù)災(zāi)備中心不進(jìn)行需要數(shù)據(jù)更新的業(yè)務(wù)備份中心的主機(jī)平時(shí)處于“備份”狀態(tài)混合雙活（Active-ActiveHybrid）特點(diǎn)：雙生產(chǎn)中心均需要完成數(shù)據(jù)更新的業(yè)務(wù)通過數(shù)據(jù)復(fù)制技術(shù)將數(shù)據(jù)復(fù)制到對方通過業(yè)務(wù)模塊或用戶的方式將業(yè)務(wù)分配到不同的中心平時(shí)主要的處理能力均分配給生產(chǎn)應(yīng)用系統(tǒng)使用出現(xiàn)災(zāi)難時(shí)，根據(jù)需要接管的方式，動態(tài)調(diào)度資源給備份系統(tǒng)使用備份中心的主機(jī)平時(shí)處于“備份”狀態(tài)，但主要的資源均動態(tài)分配給生產(chǎn)系統(tǒng)使用。沒有完全閑職的設(shè)備雙活（Active-Active）特點(diǎn)：業(yè)務(wù)或用戶按照服務(wù)需求（On－Demand）將業(yè)務(wù)分配到不同的中心平時(shí)主要的處理能力均分配給不同的中心跨雙生產(chǎn)中心建立共享的資源訪問方式跨雙生產(chǎn)中心建立高可用性集群通過數(shù)據(jù)復(fù)制技術(shù)將數(shù)據(jù)鏡像到對方出現(xiàn)災(zāi)難時(shí)，根據(jù)需要接管的方式，按照當(dāng)前的業(yè)務(wù)狀態(tài)動態(tài)調(diào)度服務(wù)和資源（BusinessResiliency)所有的中心、主機(jī)和存儲設(shè)備均處于生產(chǎn)狀態(tài)和實(shí)現(xiàn)負(fù)載分擔(dān)生產(chǎn)中心災(zāi)備中心生產(chǎn)中心災(zāi)備中心生產(chǎn)中心災(zāi)備中心業(yè)務(wù)A業(yè)務(wù)A業(yè)務(wù)A業(yè)務(wù)A業(yè)務(wù)A業(yè)務(wù)B業(yè)務(wù)B業(yè)務(wù)BP1~P5:P1~P5的目標(biāo)部署架構(gòu)為稻香湖、洋橋和武漢南湖A-A-A模式部署，并對外提供服務(wù)。每個(gè)站點(diǎn)負(fù)責(zé)不同區(qū)域或渠道的業(yè)務(wù)接入，各站點(diǎn)之間互為交叉?zhèn)浞蓐P(guān)系，可進(jìn)行快速接管。P6~P8:P6/P7/P8的目標(biāo)部署架構(gòu)為稻香湖、洋橋、武漢南湖實(shí)現(xiàn)A-Q-S模式部署。P9~P12:為就近利用產(chǎn)品服務(wù)層災(zāi)備數(shù)據(jù)，P9~P12的目標(biāo)部署架構(gòu)為武漢南湖、稻香湖實(shí)現(xiàn)A-S模式部署。分布式數(shù)據(jù)中心業(yè)務(wù)運(yùn)行狀態(tài)-舉例雙活需求分解與技術(shù)框架雙活需求分解業(yè)務(wù)雙活基于DNS前端雙活DB數(shù)據(jù)庫雙活數(shù)據(jù)同步復(fù)制Internet選擇Web/App雙活I(lǐng)ntranet選擇ISPDNSGSLB基于IP路由規(guī)劃容災(zāi)半徑?jīng)Q定技術(shù)可行性網(wǎng)關(guān)設(shè)計(jì)VRRP設(shè)計(jì)主機(jī)路由注入RHI/NQALISP負(fù)載均衡VIP分布式部署數(shù)據(jù)異步復(fù)制城域異地應(yīng)用系統(tǒng)訪問模式影響技術(shù)選擇是否是相同IP影響技術(shù)路線相同IP不同IP跨中心二層通信腦裂仲裁節(jié)點(diǎn)手工切換多數(shù)派存活EVI分布式數(shù)據(jù)中心建設(shè)概覽同城災(zāi)備中心:生產(chǎn)中心和災(zāi)難備份中心距離比較近，比較容易的實(shí)現(xiàn)數(shù)據(jù)的同步鏡像，可以保證數(shù)據(jù)完整性和數(shù)據(jù)零丟失可以防范火災(zāi)、建筑物破壞等可能遭遇的風(fēng)險(xiǎn)隱患，但對于戰(zhàn)爭、地震、水災(zāi)等隱患力不從心異地備份中心：生產(chǎn)中心和備份中心跨城域，距離比較遠(yuǎn)通過異步鏡像/復(fù)制備份數(shù)據(jù)無法保證數(shù)據(jù)零丟失如果遠(yuǎn)距離同步鏡像，則交易效率太低、通信成本很高兩地三中心：結(jié)合‘同城＋異地’的優(yōu)點(diǎn)在異地備份中心具有完整的災(zāi)難接管能力的情況下，建立同城備份站點(diǎn)，可使同城災(zāi)備中心具有應(yīng)用接管能力也可以讓同城災(zāi)備中心只是一個(gè)同步數(shù)據(jù)鏡像站點(diǎn)生產(chǎn)中心同城災(zāi)備中心生產(chǎn)中心異地備份中心生產(chǎn)中心同城災(zāi)備中心異地備份中心兩級多中心架構(gòu)：總部與區(qū)域兩級架構(gòu)，總部級數(shù)據(jù)中心互為主備，同時(shí)做為區(qū)域級中心的異地容災(zāi)中心，區(qū)域級數(shù)據(jù)中心作為生產(chǎn)中心，共享總部級異地災(zāi)備，保證災(zāi)難接管的能力，同時(shí)降低成本跨城域遠(yuǎn)距離容災(zāi)，異步復(fù)制/鏡像數(shù)據(jù)級無法保證數(shù)據(jù)零丟失，同步鏡像成本高區(qū)域級數(shù)據(jù)中心總部級數(shù)據(jù)中心區(qū)域級數(shù)據(jù)中心區(qū)域級數(shù)據(jù)中心區(qū)域級數(shù)據(jù)中心總部級數(shù)據(jù)中心總部級數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)方法兩地三中心網(wǎng)絡(luò)規(guī)劃概要設(shè)計(jì)兩地三中心整體設(shè)計(jì)廣域網(wǎng)規(guī)劃設(shè)計(jì)數(shù)據(jù)中心規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)管理規(guī)劃設(shè)計(jì)目錄應(yīng)用架構(gòu)發(fā)展推動廣域網(wǎng)架構(gòu)演進(jìn)應(yīng)用架構(gòu)MessagingBackbone孤立應(yīng)用簡單互聯(lián)EnterpriseApplicationIntegration(EAI)EnterpriseServiceBus虛擬化、云計(jì)算網(wǎng)絡(luò)架構(gòu)兩地三中心核心承載網(wǎng)大集中互聯(lián)互通平臺化虛擬化、層次化核心承載網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施邁向兩地三中心與云網(wǎng)融合網(wǎng)絡(luò)支持虛擬化、靈活擴(kuò)展架構(gòu)傳統(tǒng)銀行核心應(yīng)用基于ESB基礎(chǔ)設(shè)施轉(zhuǎn)向開放標(biāo)準(zhǔn)架構(gòu)：X86、虛擬化骨干廣域網(wǎng)設(shè)計(jì)核心任務(wù)廣域網(wǎng)架構(gòu)的可靠性廣域網(wǎng)架構(gòu)的可擴(kuò)展性骨干廣域網(wǎng)架構(gòu)的選擇關(guān)鍵流量的保障廣域鏈路的充分利用骨干廣域網(wǎng)的流量模型骨干廣域網(wǎng)架構(gòu)選擇——需求核心節(jié)點(diǎn)的選擇骨干廣域網(wǎng)架構(gòu)的可靠性數(shù)據(jù)中心的分布和定義骨干廣域網(wǎng)的可擴(kuò)展性是否有業(yè)務(wù)安全隔離需求骨干廣域網(wǎng)架構(gòu)的其他需求骨干廣域網(wǎng)架構(gòu)的選擇兩地三中心架構(gòu)核心網(wǎng)架構(gòu)以核心數(shù)據(jù)中心為廣域網(wǎng)核心節(jié)點(diǎn)整個(gè)廣域網(wǎng)圍繞著核心數(shù)據(jù)中心建設(shè)適合于核心數(shù)據(jù)中心較少的場景核心數(shù)據(jù)中心的變化會導(dǎo)致廣域網(wǎng)的巨大變化以核心廣域網(wǎng)為整個(gè)廣域網(wǎng)的核心“以不變應(yīng)萬變”的設(shè)計(jì)思想適合于多數(shù)據(jù)中心的場景核心數(shù)據(jù)中心的變化理論上不會導(dǎo)致廣域網(wǎng)的巨大變化骨干廣域網(wǎng)流量模型——需求業(yè)務(wù)的分類每類業(yè)務(wù)的詳細(xì)需求——帶寬、時(shí)延、質(zhì)量關(guān)鍵業(yè)務(wù)的保障各類業(yè)務(wù)流程梳理廣域網(wǎng)帶寬的充分利用骨干廣域網(wǎng)流量模型設(shè)計(jì)-傳統(tǒng)設(shè)計(jì)PE3PE1PPE4PE2PCE1CE2CE3CE4AS65000AS100AS200eBGPeBGPiBGP+IGP控制如何進(jìn)入核心網(wǎng)控制如何在核心網(wǎng)內(nèi)傳遞控制如何進(jìn)入核心網(wǎng)RRR3R1R4R2SW1SW2SW3SW4AS100AS200eBGP控制出口路由器的選擇控制選擇具體的廣域網(wǎng)鏈路控制出口路由器的選擇IGPIGP20M20M40M40M10M10M10M100MWANSDN—精細(xì)、靈活、動態(tài)流量調(diào)度智能路徑管理：關(guān)鍵業(yè)務(wù)保障自動流量優(yōu)化自動分流自動故障避免SLA精細(xì)流量調(diào)度全網(wǎng)流量優(yōu)化應(yīng)用場景（一）：自動流量優(yōu)化15M30M20M20M40M20M10M10M10M100M應(yīng)用場景（二）：自動分流20M20M5M?20M20M40M40M10M10M10M100M應(yīng)用場景（四）：關(guān)鍵業(yè)務(wù)保障20M20M40M40M10M10M10M100M應(yīng)用場景（四）：自動故障避免優(yōu)質(zhì)鏈路45M15M高優(yōu)先級視頻面向業(yè)務(wù)的RESTfulAPI接口WANSDN的實(shí)現(xiàn)數(shù)據(jù)中心數(shù)據(jù)中心終端用戶接入網(wǎng)骨干網(wǎng)DCI網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)APPs運(yùn)維APPs3rdAPPsH3CiMCOSS/BSS管理編排平臺應(yīng)用驅(qū)動網(wǎng)絡(luò)網(wǎng)絡(luò)適應(yīng)應(yīng)用ODL控制器全開放場景化全流程端到端可遷移南向標(biāo)準(zhǔn)協(xié)議（SNMP/MIB,Openflow,BGP-LS,BGPFlowspec,PCEP,NETCONF,…）網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)方法兩地三中心網(wǎng)絡(luò)規(guī)劃概要設(shè)計(jì)兩地三中心整體設(shè)計(jì)廣域網(wǎng)規(guī)劃設(shè)計(jì)數(shù)據(jù)中心規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)管理規(guī)劃設(shè)計(jì)目錄數(shù)據(jù)中心內(nèi)網(wǎng)絡(luò)的劃分?jǐn)?shù)據(jù)庫心跳網(wǎng)絡(luò)，主機(jī)雙機(jī)HA心跳網(wǎng)絡(luò)數(shù)據(jù)抽取用于大數(shù)據(jù)分析/數(shù)據(jù)備份帶外管理網(wǎng)，多數(shù)據(jù)中心統(tǒng)一運(yùn)維FC網(wǎng)絡(luò)、ServerSAN需要的IP網(wǎng)絡(luò)，F(xiàn)CIP網(wǎng)絡(luò)等數(shù)據(jù)中心中都哪些地方需要網(wǎng)絡(luò)數(shù)據(jù)中心內(nèi)各類資源的接入服務(wù)資源接入鏈路資源接入終端資源接入核心業(yè)務(wù)系統(tǒng)外圍生產(chǎn)系統(tǒng)BI類系統(tǒng)辦公類系統(tǒng)……業(yè)務(wù)終端辦公終端管理終端……廣域網(wǎng)專線外聯(lián)專線互聯(lián)網(wǎng)線路VPN線路……數(shù)據(jù)中心內(nèi)需要完成哪些資源的接入才能發(fā)揮作用舉例：傳統(tǒng)外聯(lián)區(qū)同時(shí)具備鏈路資源接入和服務(wù)資源接入的功能商業(yè)銀行數(shù)據(jù)中心發(fā)展及未來的演進(jìn)路線DC1.0面臨的需求是什么？01可靠性對網(wǎng)絡(luò)的需求表現(xiàn)為松耦合的架構(gòu)，極高的可靠性、故障域的縮小。03安全性建立良好的安全架構(gòu)，完善安全邊界的確定和安全防護(hù)方案。02結(jié)構(gòu)化的擴(kuò)展方式整個(gè)數(shù)據(jù)中心能按照某種既定的結(jié)構(gòu)進(jìn)行橫向的擴(kuò)展。區(qū)域劃分方案：分區(qū)模式比較客戶端到服務(wù)器的訪問只要經(jīng)過一個(gè)區(qū)域，但同一層服務(wù)器之間的互訪需要跨區(qū)優(yōu)點(diǎn)：風(fēng)險(xiǎn)分散，一個(gè)區(qū)域內(nèi)部故障或變更停機(jī)不會影響其他區(qū)域承載的業(yè)務(wù)擴(kuò)展性較強(qiáng)，當(dāng)應(yīng)用種類增加或者單個(gè)區(qū)域容量增加時(shí)，可以通過橫向拆分?jǐn)U容可管理性強(qiáng)：便于故障定位和應(yīng)急低時(shí)延：同一應(yīng)用各層服務(wù)器之間的流量在同一個(gè)區(qū)內(nèi)缺點(diǎn)：應(yīng)用層次之間無物理分離模式B：按應(yīng)用類型分區(qū)交換核心業(yè)務(wù)1DB1App1Web1業(yè)務(wù)2DB2App2Web2業(yè)務(wù)3DB3App3Web3客戶端到服務(wù)器的訪問要經(jīng)過三個(gè)區(qū)域，同一層服務(wù)器之間的互訪可在區(qū)域內(nèi)部完成優(yōu)點(diǎn)：每個(gè)區(qū)域只服務(wù)于應(yīng)用邏輯中的一個(gè)層面（web/app/sys)，應(yīng)用層次之間物理分離缺點(diǎn)：風(fēng)險(xiǎn)集中，一個(gè)區(qū)域內(nèi)部故障或變更，會影響全部的應(yīng)用擴(kuò)展性較弱，服務(wù)器數(shù)量較多時(shí)，單個(gè)區(qū)域很快會達(dá)到容量上限可管理性弱，不易進(jìn)行故障定位和應(yīng)急模式A：按應(yīng)用層次分區(qū)交換核心WebWeb3Web2Web1AppApp3App2App1DBDB3DB2DB1新一代大型EDC設(shè)計(jì)趨勢：模塊化“模塊化的數(shù)據(jù)中心”5種顆粒度的說明(由大到小)Zone表示數(shù)據(jù)中心所在城市Site表示數(shù)據(jù)中心的具體位置

Module表示數(shù)據(jù)中心的大樓Cell表示數(shù)據(jù)中心內(nèi)的一個(gè)單元，包括存儲、計(jì)算、網(wǎng)絡(luò)POD表示一組部署IT設(shè)備的機(jī)柜ZoneSiteModuleCellPodRackRack機(jī)柜(服務(wù)器、網(wǎng)絡(luò)、存儲)“模塊化的數(shù)據(jù)中心”是一種用標(biāo)準(zhǔn)、可重復(fù)構(gòu)建的單元來建設(shè)數(shù)據(jù)中心基礎(chǔ)設(shè)施的方法其中CELL與POD是結(jié)構(gòu)化布線及數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)的關(guān)注重點(diǎn)TIA-942-A定義的架構(gòu)化布線標(biāo)準(zhǔn)金融數(shù)據(jù)中心安全區(qū)的劃分?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)分區(qū)從總體上可分成不同安全級別的四個(gè)安全區(qū)：非安全區(qū)、半安全區(qū)、安全區(qū)、核心安全區(qū)非安全區(qū)（對外連接）半安全區(qū)DMZ核心安全區(qū)安全區(qū)安全邊界安全邊界安全邊界不受控制的區(qū)域，如對Internet公眾用戶、外聯(lián)第三方單位等提供服務(wù)的資源區(qū)域，企業(yè)的安全政策和標(biāo)準(zhǔn)無法強(qiáng)制執(zhí)行企業(yè)內(nèi)部網(wǎng)到核心安全區(qū)、安全區(qū)的過渡區(qū)域，外部網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)之間的過渡區(qū)域，用于分割它們之間的直接聯(lián)系，隱藏和保護(hù)內(nèi)部資源提供企業(yè)內(nèi)部重要程度一般的服務(wù)器和客戶端的接入，安全級別較高安全級別最高，包含了重要的應(yīng)用服務(wù)器，提供關(guān)鍵的業(yè)務(wù)應(yīng)用；包含企業(yè)網(wǎng)絡(luò)管理、系統(tǒng)管理、安全管理、流程管理等管理功能相關(guān)的模塊所集中的區(qū)域，具有很重要的意義，需要嚴(yán)格的安全策略；從外部網(wǎng)絡(luò)到核心安全區(qū)域應(yīng)通過半安全區(qū)進(jìn)行轉(zhuǎn)發(fā)，必須經(jīng)過嚴(yán)格的安全控制DC1.0傳統(tǒng)數(shù)據(jù)中心安全架構(gòu)互聯(lián)網(wǎng)接入?yún)^(qū)公眾用戶VPN維護(hù)用戶VPN辦公用戶合作伙伴外聯(lián)網(wǎng)接入?yún)^(qū)合作伙伴外聯(lián)DMZ專線VPN網(wǎng)關(guān)辦公VPN網(wǎng)關(guān)維護(hù)網(wǎng)銀、手機(jī)銀行電商DMZ門戶網(wǎng)站DMZ員工上網(wǎng)DMZ其他系統(tǒng)DMZ入侵防護(hù)防DDOS防病毒網(wǎng)關(guān)Internet園區(qū)網(wǎng)廣域接入OA生產(chǎn)其他總部機(jī)構(gòu)同城及異地中心分支機(jī)構(gòu)運(yùn)維管理服務(wù)區(qū)安全管理流程管理ECC堡壘機(jī)帶外管理其他業(yè)務(wù)三區(qū)辦公應(yīng)用決策應(yīng)用其他業(yè)務(wù)二區(qū)非核心系統(tǒng)業(yè)務(wù)一區(qū)核心業(yè)務(wù)應(yīng)用服務(wù)器業(yè)務(wù)處理體系渠道體系非安全區(qū)半安全區(qū)安全區(qū)核心安全區(qū)核心交換區(qū)內(nèi)聯(lián)區(qū)前置系統(tǒng)核心業(yè)務(wù)區(qū)核心業(yè)務(wù)系統(tǒng)密鑰管理平臺數(shù)據(jù)總線渠道管理平臺會計(jì)處理平臺資金運(yùn)營中間業(yè)務(wù)代理理財(cái)重要業(yè)務(wù)區(qū)決策支持系統(tǒng)風(fēng)險(xiǎn)分析系統(tǒng)管理網(wǎng)區(qū)視頻監(jiān)控視頻會議系統(tǒng)運(yùn)維區(qū)安全管理平臺網(wǎng)管系統(tǒng)廣域網(wǎng)接入?yún)^(qū)省際骨干接入互聯(lián)網(wǎng)接入?yún)^(qū)外聯(lián)區(qū)DMZ1DMZ2DMZ3DMZ1DMZ2辦公管理區(qū)資產(chǎn)管理系統(tǒng)準(zhǔn)生產(chǎn)區(qū)準(zhǔn)生產(chǎn)系統(tǒng)測試區(qū)測試系統(tǒng)培訓(xùn)環(huán)境數(shù)據(jù)中心互聯(lián)帶外管理區(qū)金融網(wǎng)Internet第三方接入第三方接入測試網(wǎng)安全服務(wù)安全服務(wù)安全服務(wù)安全服務(wù)安全服務(wù)安全服務(wù)安全服務(wù)安全服務(wù)安全服務(wù)安全服務(wù)安全服務(wù)互聯(lián)網(wǎng)接入外聯(lián)接入案例：XX銀行數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)A08-18A機(jī)房布局A08-10A08-09A08-01A07-18A07-10A07-09A07-01A06-08A06-07A05-16A05-12A05-09A05-08A05-07A04-08A04-07A03-10A03-09A03-01A02-18A02-10A02-09A02-01A01-18A01-10A01-09A01-01A06-06A06-05A05-06A05-05A06-04A06-03A05-04A05-03A06-02A06-01A05-02A05-01機(jī)架服務(wù)器x5刀片機(jī)x3機(jī)架服務(wù)器小型機(jī)機(jī)柜機(jī)架服務(wù)器小型機(jī)機(jī)柜小型機(jī)機(jī)柜機(jī)架服務(wù)器小型機(jī)機(jī)柜機(jī)架服務(wù)器x5刀片機(jī)x3機(jī)架服務(wù)器x5刀片機(jī)x3機(jī)架服務(wù)器x5刀片機(jī)x3機(jī)架服務(wù)器x5刀片機(jī)x3機(jī)架服務(wù)器x5刀片機(jī)x3機(jī)架服務(wù)器x5刀片機(jī)x3A04-06A04-05A04-04A04-03A04-02A04-01A03-12A03-11A03-14A03-13A03-16A03-15A06-14A06-13A06-12A06-11A06-10A06-09銅纜三相電存儲區(qū)三相電存儲區(qū)三相電存儲區(qū)空調(diào)側(cè)帶庫機(jī)柜A04-13A04-15A04-14A04-12綜合布線綜合布線綜合布線綜合布線綜合布線綜合布線綜合布線擴(kuò)展B路DCXDCX擴(kuò)展A路DCXDCX新網(wǎng)銀APP新網(wǎng)銀DB新網(wǎng)銀WEB新網(wǎng)銀WEB擴(kuò)展新網(wǎng)銀APP新網(wǎng)銀DB新網(wǎng)銀APP擴(kuò)展新網(wǎng)銀擴(kuò)展走廊側(cè)統(tǒng)一考核VMAXDC1.0數(shù)據(jù)中心機(jī)房典型分配方式DC2.0面臨的需求是什么01靈活性服務(wù)器虛擬化的帶入完成了邏輯業(yè)務(wù)與物理服務(wù)器的解耦和。03性能壓力服務(wù)器資源的充分利用以及高密接入，對于網(wǎng)絡(luò)的性能壓力也會越來越大。02標(biāo)準(zhǔn)化高密接入大量應(yīng)用系統(tǒng)向開放的X86服務(wù)器轉(zhuǎn)型，網(wǎng)絡(luò)架構(gòu)具有大規(guī)模網(wǎng)絡(luò)接入的能力。網(wǎng)絡(luò)資源池化設(shè)計(jì)物理資源與邏輯資源1:N映射基于資源池的數(shù)據(jù)中心打破物理資源與邏輯資源1:1的映射關(guān)系。一個(gè)PoD可以服務(wù)于多個(gè)ServiceZone。最理想的目標(biāo)即實(shí)現(xiàn)“任意服務(wù)器，部署于任意機(jī)架，為任意業(yè)務(wù)提供服務(wù)”業(yè)務(wù)區(qū)域與基礎(chǔ)設(shè)施的松耦合。這種共享模式的故障域范圍較大，一個(gè)PoD為多種業(yè)務(wù)服務(wù)，PoD設(shè)備的故障會導(dǎo)致多種業(yè)務(wù)受到影響。共享模式平滑擴(kuò)展能力強(qiáng)。網(wǎng)絡(luò)的資源池化設(shè)計(jì)管理網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)接入交換機(jī)生產(chǎn)網(wǎng)FC交換機(jī)X86Cluster考慮點(diǎn):多少個(gè)機(jī)柜組成一個(gè)POD設(shè)計(jì)多少種POD模型POD里面的服務(wù)器集群怎么規(guī)劃存儲資源是否要出現(xiàn)在POD內(nèi)部……標(biāo)準(zhǔn)化的POD設(shè)計(jì)網(wǎng)絡(luò)的性能的考慮。。。。。。業(yè)務(wù)二區(qū)業(yè)務(wù)三區(qū)未來擴(kuò)展。。。。。。。。。收斂比是多少收斂比是多少各級設(shè)備的收斂比選擇隨著服務(wù)器利用率的大幅增加，服務(wù)器網(wǎng)口的利用率會提升。高密度的X86服務(wù)器接入，導(dǎo)致接入層下行接口數(shù)量的大幅增加。Hadoop等分布式計(jì)算架構(gòu)的引入會大幅增加網(wǎng)絡(luò)的東西向流量。服務(wù)器網(wǎng)卡進(jìn)入10G時(shí)代，40G/10G的收斂比要小于10G/1G。極端案例：互聯(lián)網(wǎng)公司的數(shù)據(jù)中心在SPINE節(jié)點(diǎn)的收斂比大部分為1：1計(jì)算資源內(nèi)外聯(lián)隔離資源池辦公管理資源池互聯(lián)業(yè)務(wù)資源池………………………………服務(wù)器機(jī)房模塊………………………………服務(wù)器機(jī)房模塊………………………………服務(wù)器機(jī)房模塊……互聯(lián)后臺區(qū)互聯(lián)隔離一區(qū)互聯(lián)隔離二區(qū)L3匯聚L3匯聚L3匯聚辦公服務(wù)區(qū)管理服務(wù)區(qū)L3匯聚L3匯聚……二層網(wǎng)絡(luò)……二層網(wǎng)絡(luò)生產(chǎn)后臺資源池生產(chǎn)后臺區(qū)L3匯聚……二層網(wǎng)絡(luò)外聯(lián)隔離區(qū)L3匯聚內(nèi)聯(lián)隔離區(qū)L3匯聚……二層網(wǎng)絡(luò)電話銀行資源池電話銀行區(qū)L3匯聚……二層網(wǎng)絡(luò)NAS資源池NAS服務(wù)區(qū)L3匯聚……二層網(wǎng)絡(luò)XX銀行同城數(shù)據(jù)中心服務(wù)資源池的劃分“資源化”對應(yīng)機(jī)房布局的改變DC3.0面臨的需求是什么01融合性網(wǎng)絡(luò)、計(jì)算、存儲不再割裂、業(yè)務(wù)需要IT資源的統(tǒng)一交付。03自定義可以根據(jù)需要，靈活的重新定義各個(gè)業(yè)務(wù)所需要的IT資源。02快速自動化業(yè)務(wù)部署所需要的IT資源“0”時(shí)間提供。藍(lán)圖－金融IaaS云業(yè)務(wù)需要的是一個(gè)融合了所有基礎(chǔ)架構(gòu)資源的云云平臺計(jì)算存儲網(wǎng)絡(luò)-SDNOverlaySDNVLANSDN強(qiáng)控制、強(qiáng)管理弱控制、強(qiáng)管理OpenflowOVS-DBNETCONFMP-BGPVXLAN云-SDN技術(shù)分解基礎(chǔ)架構(gòu)管理平面（運(yùn)維平臺）云&租戶管理平面（業(yè)務(wù)平臺）VCFFabricH3CDataCenter基礎(chǔ)網(wǎng)絡(luò)架構(gòu)OpenStackOpenSourceCloudOSH3CCloudOpenStackBased可視化自動化軟件定義面向應(yīng)用分布式VCFFabricDirectorH3CDataCenter基礎(chǔ)設(shè)施管理平臺Overlay數(shù)據(jù)中心AEVPN數(shù)據(jù)中心BSpineLeafBorderSpineBorderLeafEVIH3CSDN整體解決方案強(qiáng)控制模型-基于Controller的控制平面基于Controller的控制平面若VTEP是虛擬設(shè)備，Controller從VMManager和vSwitch獲取VTEP及下掛VMIP/MAC信息若VTEP是物理設(shè)備，Controller和所有VxLANED設(shè)備建立連接關(guān)系，獲取VTEP及下掛VMIP/MAC信息VTEP第一次收到數(shù)據(jù)報(bào)文，上送給Controller，Controller確定VxLAN隧道信息，下發(fā)流表到VTEP，VTEP封裝VxLAN報(bào)文轉(zhuǎn)發(fā)流表在VTEP上可以定期老化，

達(dá)到動態(tài)建立隧道的效果，節(jié)省表項(xiàng)資源CoreCoreAggAggRouterRouterAccessAccessAccessAccessAccess①ToR設(shè)備實(shí)現(xiàn)VTEP，把報(bào)文封裝為VxLAN格式②核心設(shè)備實(shí)現(xiàn)VxLANIPGW，終結(jié)VxLAN報(bào)文，并進(jìn)入L3轉(zhuǎn)發(fā)④ToR設(shè)備實(shí)現(xiàn)VxLANGW，終結(jié)VxLAN報(bào)文，實(shí)現(xiàn)VxLAN和VLAN網(wǎng)絡(luò)互通vSwitchVCFC③Controller負(fù)責(zé)控制平面，下發(fā)流表，指導(dǎo)轉(zhuǎn)發(fā)VxLANFabricOpenFlow/NetconfVMManagerCSM隧道建立和VXLAN關(guān)聯(lián)：利用EVPN的BGPRR實(shí)現(xiàn)鄰居發(fā)現(xiàn)

，自動發(fā)現(xiàn)VXLAN網(wǎng)絡(luò)中的VTEP，并在有相同vxlan各VTEP之間自動創(chuàng)建VXLAN隧道，自動關(guān)聯(lián)VXLAN隧道和VXLAN地址同步：利用EVPN的MP-BGP路由協(xié)議完成MAC地址同步、主機(jī)路由同步兩個(gè)功能標(biāo)準(zhǔn)化：控制面使用EVPN，屬于標(biāo)準(zhǔn)協(xié)議：RFC7348+draft-sd-l2vnp-evpn-overlay，RFC7209，RFC7432VxLAN控制平面：EVPN，路由協(xié)議MP-BGPRRRRLeafLeafLeafEVPN地址同步VXLANNetworkEVPN地址同步VXLAN隧道建立弱控制模型-基于EVPN的控制平面M9KL5K面向私有云--靈活的網(wǎng)絡(luò)定義能力云平臺服務(wù)目錄開戶創(chuàng)建網(wǎng)絡(luò)云主機(jī)云存儲服務(wù)鏈業(yè)務(wù)策略插入服務(wù)鏈創(chuàng)建network創(chuàng)建subnet創(chuàng)建vRouter訪問目的IP、PORT，進(jìn)入服務(wù)鏈獲取租戶UUID選擇VM標(biāo)準(zhǔn)選擇存儲標(biāo)準(zhǔn)創(chuàng)建服務(wù)鏈UUID選擇vDC部署業(yè)務(wù)策略租戶租戶開通創(chuàng)建網(wǎng)絡(luò)負(fù)載均衡申請防火墻申請創(chuàng)建服務(wù)鏈業(yè)務(wù)策略創(chuàng)建流分類策略創(chuàng)建服務(wù)鏈UUID關(guān)聯(lián)tenant_id業(yè)務(wù)節(jié)點(diǎn)graph開通租戶分配租戶UUID創(chuàng)建VXLAN創(chuàng)建網(wǎng)關(guān)IP地址創(chuàng)建VLB創(chuàng)建VFW部署vFW、vLB的業(yè)務(wù)策略創(chuàng)建dstip、port的流分類策略，進(jìn)入服務(wù)鏈IT/DC運(yùn)維者TenantvDCVMSubnetVMStorageStorageWEBWEBStorageStorageNetworkRouterDBNetworkVMOVSVMStorageStorageS6800WEBWEBStorageStorageS12500-XDBvLBvFWS6800OVSS6800OVSvFW邏輯拓?fù)湮锢硗負(fù)鋠LBSubnetH3CSDN+：網(wǎng)絡(luò)自動化部署●設(shè)備加電，自動升級版本文件●自動配置IRF●自動整網(wǎng)路由可達(dá)，提供一個(gè)IP路由可達(dá)的三層網(wǎng)絡(luò)●自動化運(yùn)行過程拓?fù)鋭討B(tài)顯示自動配置過程顯示實(shí)時(shí)部署云平臺虛擬資源分配SpineLeafLeafLeafLeafDHCPTFTPVM1VM2Spine云平臺虛擬資源分配VXLANNetwork自動配置：大量設(shè)備基礎(chǔ)配置依據(jù)拓?fù)渥詣油瓿?，提供一個(gè)IP路由可達(dá)的三層網(wǎng)絡(luò)可視化：設(shè)備上線過程動態(tài)拓?fù)湔故緦?shí)時(shí)部署：面向應(yīng)用的虛擬網(wǎng)絡(luò)資源根據(jù)用戶需求實(shí)時(shí)分配和部署EVPN自動配置隧道自動建立地址自動同步VXLAN按需分配當(dāng)邏輯網(wǎng)絡(luò)的部署控制權(quán)移交后，物理網(wǎng)絡(luò)各節(jié)點(diǎn)高度同質(zhì)化。安全資源池與服務(wù)鏈vSW/OverlayGWvFWvIPSvLBvSW/OverlayGWVM1VM3靈活自定義服務(wù)鏈源目的SDNFabricOpenstackSDNControllerVM1VM2Vswitch(內(nèi)嵌防火墻)OverlayGWVM3VM4VM5VNI:33物理服務(wù)器1Vswitch(內(nèi)嵌防火墻)OverlayGW物理服務(wù)器2安全資源池VFWVLBvFWVIPSVIPS服務(wù)鏈的業(yè)務(wù)模式可以在虛擬化的環(huán)境中為每一項(xiàng)業(yè)務(wù)提供端到端的虛擬安全路徑，并將其可視化以便下發(fā)和更改。在沒有邊界的虛擬化網(wǎng)絡(luò)中，服務(wù)鏈能精確區(qū)分業(yè)務(wù)的安全需求。安全資源池為系統(tǒng)的安全資源橫向擴(kuò)容提供了平滑的解決方案。Page53鏈路資源接入?yún)^(qū)域變化趨勢鏈路資源接入?yún)^(qū)域主要有：外聯(lián)區(qū)、互聯(lián)網(wǎng)區(qū)、廣域網(wǎng)區(qū)復(fù)雜簡單混合區(qū)單一區(qū)為什么要做DMZ資源的內(nèi)移？單點(diǎn)接入多點(diǎn)接入用戶接入?yún)^(qū)域設(shè)計(jì)廣域網(wǎng)數(shù)據(jù)中心園區(qū)網(wǎng)數(shù)據(jù)中心終端接入?yún)^(qū)辦公互聯(lián)網(wǎng)區(qū)廣域網(wǎng)XXXX區(qū)廣域網(wǎng)數(shù)據(jù)中心園區(qū)網(wǎng)生產(chǎn)終端區(qū)Page55帶外管理網(wǎng)構(gòu)建覆蓋所有服務(wù)器和網(wǎng)絡(luò)設(shè)備的帶外管理網(wǎng)咯不同接入類型的管理端口共享一個(gè)帶