概述

数据中心是实现数据资源共享、集中交换和综合服务的重要基础设施,是发挥业务应用效益和提高信息化整体水平的重要保障。

依据我国 “十二五”规划,按照“统一规划、统一标准、急用先行”的原则,搭建起数据中心基础框架和开发平台。实现数据中心、联网应用、资源监控能力建设的统一布局与整合,实现以云计算概念为指导,运用数据库、网络存储、数据备份等技术,采用整合、新建等方式,初步形成数据中心管理体系,实现数据中心和重点数据库的统?#25442;?#38598;存储与交换共享,实现上下级之间数据交换?#32422;案?#37096;门的互联互通。

设计思想

数据中心?#26234;?#26500;建数据中心基础网络?#20445;?#24212;采用一种模块化的设?#21697;?#27861;,将数据中心划分为不同的功能区域,用于部署不同的应用,使得整个数据中心的架构具备可伸缩性、灵活性、和高可用性。对于区域而言,我们可?#28304;?#21508;个区域的功能来预知这个区域对可扩展性等的要求。

分步建设:在项目建设的初期,数据中心网络的核心设备考虑未来5—8年的发展规模,并根据业务的分类设?#36139;?#20010;汇聚,在核心和汇聚层预留较大的扩展能力。在接入层则按照当前的业务规模来部署,未来的扩展?#20445;?#21482;增加接入层设备,保证数据中心的平滑扩展,?#25381;?#21709;业务的正常运行。

业务?#26234;?/H5>

需要建立数据中心的IP网络,按业务功能和安全需要分为不同的网络区域,各个网络区域有相对独立的网络设备(如交换机、防火墙等)连接相应的主机、服务器、专用机等设备,每个网络区域的汇聚交换机再连接到IP网的核心交换机上;每个网络区域内部可以根据需要再逻辑划分为不同的区域。

对于数据中心基础网络而言,可以将网络按照经典的三层结构(核心层、汇聚层、接入层)进行部署。通过分层部署可以使网络具有很好的扩展性(无需干扰其它区域就能根据需要增加容量),可以提升网络的可用性(隔离故障域降低故障对网络的影响),可?#32422;?#21270;网络的管理(拓扑结构结构更清晰)。

网络拓扑

核心交换区部署2台高端交换机,采用10GE/GE与各?#26234;?#35774;备互联,核心交换机上不部署安全策略,不作为终端/服务器的网关,只负责各区域的三层转发。通过配置防火墙,将数据中心基础网络划分为7个安全域,分别是网络管理安全域、数据存储安全域、业务应用安全域、公共服务安全域、身份?#29616;?#23433;全域、互联接入安全域和保留设备安全域7个安全域,通过配置访问控制策略,禁止非授权访问。

设备冗余

引擎冗余:核心交换机配置冗余引擎,并采用路由控制引擎和交换引擎物理分离的设计,在路由控制或交换引擎切换?#20445;?#23454;现数据零丢失。

电源冗余:核心交换机、汇聚交换机、路由器都配置了双电源模块,每块电源分别使用机房的双路供电。同?#25442;?#31665;内的三块电源工作在冗余模式。

模块和端口的冗余和分布:广域网MSTP链路与路由器连接采用跨板卡的链路聚合技术,保证连接链路分布在不同的板卡上,避免单点故障。

链路冗余

关键链路,如核心交换机之间、数据中心之间均采用2条链路。

数据中心的核心虚拟化不仅使多台物理设备简化成一台逻辑设备,同时网络各层之间的多条链路连接?#27493;?#21464;成两台逻辑设备之间的直连,因此可以采用链?#38450;?#32465;的方式,将多条物理链路进行跨设备的链路聚合,从而变成了一条逻辑链路,增加带宽的同时也提高了可靠性,并使得数据中心的网络设计中需要的设备三层接口数大大减少;两层网络之间由一般的4个三层接口互联,变成一对三层接口互联,使得路由设计极大简化。

路由冗余

网络物理链路的冗余设计为路由协议选择备份连接提供了基础。当设备或连接因故障中断?#20445;?#36335;由协议会自动重新计算网络路径,并使用正常的连接保障数据通讯。

数据中心安全

数据中心信息安全体系建设的目标是通过建立完善的信息安全管理?#36139;?#21644;智能、深度的安全防御的技术解决方案,构建一个管理手段与技术手段相结?#31995;?#20840;方位、多层次、可动态发展的纵深安全防范体系,来实?#20013;?#24687;系统的可靠性、保密性、完整性、有效性、不可否认性,为业务的发展提供一个坚实的信息系统基础。

防火墙作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入数据中心网络的信息流,且本身具有较强的?#26500;?#20987;能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效的监控数据中心网络系统不同安全网络之间的任何活动。防火墙在网络间实现访问控制,数据中心内部或服务器区内部可以称之为“被信任应受保护的网络?#20445;?#21478;外一个是其它的非安全网络称为‘某个不被信任并且不需要保护的网络’比如,Internet出口。防火墙就?#25381;?#32593;络和一个不受信任的网络之间,通过一系列的安全手段来保护受本地网络系统信任网络?#31995;?#20449;息。

在数据中心防火墙的部署中,主要包括网络边界的网络隔离和数据中心内部?#26234;?#20043;间的网络隔离,其中互联网、业务外联区属于边界的访问控制和隔离,部署单独的盒式防火墙;在业务?#26234;?#30340;汇聚交换机上部署防火墙模块,利用虚拟防火墙技术,提供?#26234;?#20043;间?#32422;胺智?#20869;部不同服务器之间的访问控制和网络隔离。

方案优势

采用经典的?#26234;?#20998;域防护理论,重构数据中心的安全架构,除了在南北向实现了大流量的纵深防御外,还实现了区域间和云环境的安全防护。

采用高性能、高冗余的安全防护设备,消除了网络中的环路,同时实现了网络功能虚拟化,将内部安全访?#24335;?#28857;数量降至最低,极大减小了数据中心当中的故障节点。


官方微信
版权所有 ? 2007-2016,鲁ICP备14031061号-1 山东新中天信息技术股份有限公司 保留所有权利
法律声明 | 隐私保护

多特蒙德财政收入
百人牛牛压注技巧 体彩软件 51pk10免费计划网站 时时彩全天免费人工计划 168娱乐3软件是骗局吗 重庆时时彩注册送38元 山东时时11选5走势 北京pk10赛车计划群 彩发发预测app 四肖三期必開稳定 腾讯21点 新葡 京娱乐网址 重庆时时开彩结果下载 风大娱乐 pk10赛车计划数据 pk10怎么分析冷热号码