XXX公司数据中心建设项目设计方案

1 第一部分、 司数据中心简介 此处添加客户公司介绍。 项目背景 此处添加该项目的背景情况。 设计原则 司 数据中心的建设将是一项关系到 司 的重大网络工程，它的设计必须遵循以下原则： 高效实用性 作为一个系统，实用性永远是放在第一位的。我们的根本原则就是能最大限度地满足 司 数据中心系统建设实际的需要。方案所推荐的主要技术和产品具有成熟、稳定、实用的特点，并充分满足司 各个下属单位接入的需要。 2 先 进性、成熟性 作为一个系统，先进性是系统赖以生存发展的基础。只有先进的系统，才能充分发挥计算机的能力，才能发展，才能体现良好的低投入高产出的投资收益。 方案所推荐的 千兆 /万兆 以太网技术及多层交换 负载均衡等 技术是目前世界上先进的网络技术。 （此处添加与项目相关的关键性技术亮点的名称，） 开放与标准化原则 只有开放的系统，才能充分发挥计算机的能力，只有坚持标准化的系统，才能保护用户的投资，才能体现良好的可扩展性和互操作能力。 从国内外的一些系统建设的实际经验和教训来看，开放性与标准化原则如不能保证，则 会在系统的使用阶段出现后期使用的维护困难，系统维护费用加大，甚至必须重复投资等问题。为了与这些专用系统互联，所耗费的代价甚至与新建系统不相上下，形成了一种“食之无味，弃之可惜”的“鸡肋”现象。 本系统是一个开放的系统，网络产品具开放性，采用 P 协议作为主协议。主要产品，如服务器，网络等都支持开放的构，并且，所选产品都遵循相应的标准。 3 可扩展性及易升级性 面对中国 飞速发展，系统的计算机设备和网络设备必须有非常好的扩充性。并且，随着世界网络技术的不断发展，主 干网络设备应能平滑升级。因此，在设计中，应当保证系统结构模块化，软硬件平台可以积木式拚装，如：交换机可通过添加功能模块扩充交换能力和 服务能力 等等。服务器类的设备也应选用扩充性极强的设备。 良好的可管理性和可维护性 司 数据中心系统是由多种设备组成的较为复杂的系统，因此我们着重考虑所选产品具有良好的可管理性和可维护性，所选产品具有良好的可管理性和可维护性。 具有最佳的性能价格比 我们仔细分析讨论了 司 数据中心 的需求，力求设计紧贴用户需求，在设计上寻求最佳的性能价格比。 具有高可靠性和安全性 本方案所采用的主要产品采用可靠性设计，服务器采用高可靠性技术。力求系统安全、可靠、稳定的运行。系统的安全性是保证整个系统正常运转的前提条件和基础，也是 司 数据中心系统的重要要求之一。 1）系统安全 4 用户口令、存取权限体系完善，系统具有基本的安全管理机制，如：用户标识、口令检查、存取权限制度，为满足这一需求，选用作系统，其多用户、多任务，适于大系统的维护管理，并且提供了完备的权限管理功能，符合 全级标准。此外，选用客户 /服务器体系结构，数据可统一保存在服务器上，有 利于系统数据的安全保密和一致性，保证系统的正常运行。除操作系统的安全性以外，大型关系数据库的权限管理和应用程序也为系统提供了相应的安全机制。 2）硬件设备安全分析 环境安全 运行环境中具有防静电、避雷、温度、湿度、防火等方面的安全措施。故在整个系统设计中，要严格按照机房设计标准建造机房，并对计算机系统采用不间断电源（ 护，确保整个系统在运行过程中，造成不必要的系统损坏。 硬件设备安全性 在网络主设备及主服务器的选择上，考虑到其可靠性，如：网络接口冗余、支持热插拔、电源可实现均衡负载和冗余、 热备份等。 3）软件安全保密 操作系统、系统程序、应用软件运行稳定，在应用软件开发中，遵循安全、可靠、实用的原则，在充分利用现有的系统支持软件基础上，进行应用软件的设计、开发。 5 权限控制体系完备：根据 作系统的权限管理体系，可建立完善的权限管理机制。 防病毒、防非法入侵：主机系统采用的是具有很强防病毒干扰能力的操作系统，利用其严格权限管理机制，可以防止病毒、防非法入浸。 4）数据安全 备份策略 若有备份系统，可及时将数据从运行系统中传送到备份系统。另外，对关键数据要定期作磁带备份，以保证数据的安全完 整。 防止传输、存取错误 选用具有可靠传输能力的网络结构，网络协议采用 P 协议，该协议支持可靠的数据传输，可以在收到数据的同时，进行差错检测，并在发现错误时建立重传过程。 防止信息泄漏 由于采用符合国际标准的 全级操作系统和大型关系数据库，可以做到操作系统、数据库、应用程序三级保护。 保证数据完整性 系统结构选用 系结构，数据库选用大型关系数据库，系统数据统一存放在主机数据库中，并配有数据库提供的数据恢复、错误处理功能，可充分保证数据的一致性和完整性。 6 据中心建设整体目标 整个系统的建设，应用是关键。 通过建立信息系统的基础结构，进而全面实现办公自动化、网络化、电子化、全面信息共享。信息系统的建设是 司 信息化进程中的一个里程碑，它提高了 司 在行政和管理方面的效率，并且利用网络为 司 庞大用户群提供优质的多元化服务，因而推动和加速了整个 行 业的信息化发展。 可行性分析 目标和方案的可行性，可从以下几个方面进行分析： 技术方面的可行性 技术人员具有所需的技术水平 ， 能够高效的管理和运维数据中心网络 ； 基础管理技术 满足系统开发要求； 组织系统可以合理组织人、财、物及提供售后服务支持； 硬件可满足本系统需要； 软件可满足本系统需要； 经济方面的可行性 数据中心 建设的投入是一项复杂的综合性工程，建设时间长，投资费用高，因此，必须做到项目的总体规划，分系统、分步骤进行，并考虑前后建设的连续性，避免重复性投资和资源浪费。对于计划投 7 入开展的项目，要预算充分，按期达标。 第二部分、 司 数据中心 网络系统解决方案 网络 现状与 需求分析 此处添加客户公司目前的网络拓扑图 司 目前数据中心建于 目前承担整个集团数据交换与存储的重任。 现有网络拓扑结构如上。 随着 司 的建设，现需在园区内建设一全新数据中心，用以在园区全面启动时顺利接管原数据中心的数据交换与存储重任 。 司 数据中心的建设是为 司 办公、管理提供服务的，网络系统建设主要目标是在 司 管辖范围内，采用国际标准网络协议，建立在 司 内联网（ 通过高速信道与各地市分公司、中国互联网（ 连，同时建设信息资源管理中心。 据中心网络建设目标 司 数据中心 网络建设目标是将 司 的各种 、工作站等，通过高性能的网络，连接到各种服务器上，组成分布式的计算环境，使其成为提高办公、管理水平必不可少的网络支撑环境。 8 本着建设一流数据中心的精神，我们提出了以下 司 网络建设目标： 内部信息发布： 司 向各地分公司发布规章制度、规划、计划、通知等公开信息等。 2）电子邮件： 司 内部的电子邮件的发送与接受。 3）文件传输： 司 内部的文本文件、图象文件、语音文件等发送与接收。 4）资源共享：文件共享、数据库共享 等。 6）接入因特网：通过 专线 接入 外发布信息。 设计的依据与原则 设计依据 1）中国教学和科研计算机网络（ 程技术规范书 2）中华人民共和国计算机信息网络国际联网管理暂行规定 3）有关的网络技术国际标准 4） 关文件 设计原则 1）开放原则 采用开放标准； 采用开放技术； 9 采用开放结构； 采用开放系统组件； 2）可靠原则 设计结果稳定可靠，具有高 均无故障时间）和 均无故障率），采用开放用户接口。 3）实用原则 实用有效是最主要的设计目 标，设计结果能满足需求行之有效。提供容错设计，支持故障检测和恢复，可管理性强。 4）安全原则 安全措施有效可信，能够在多个层次上实现安全控制。 5）先进原则 设计思想先进； 软硬件设备先进； 网络结构先进。 6）完整性原则 考虑到系统的各方面因素，实现优化的网络设计、安全的数据管理、高效的信息处理、友好的用户界面。 7）高效原则 性能指标高，软硬件性能充分发挥。 8）灵活原则 系统配置灵活，备用和可选方案多，能够适应应用和技术发展需要。 10 9）可扩展性 能够在规模和性能两个方向上进行扩展，扩展后的性能有大幅度提高。 10）模块化 每种功能都由一定的模块来实现，方案只需要选择不同的模块，并将这些模 块做相应的配置即可。 据中心设计方案 总体结构 司 数据中心拓朴图 11 司 数据中心采用两台 列核心交换机构建整个 心交换区 ， 在核心交换区以下 ， 分为核心数据服务区与中间业务应用服务区两大服务区 ， 以及 司 各大区的接入及广域网接入等接入区组成 。 其中数据服务的小型机区 ， 以两台 换机为接入交换机 ,接入核心交换区 ， 在 换机 上添加防火墙模块与内容 交换模块 ，以实现对小型机的 安全保护、 载和 负 载均衡控制 。 在中间业务应用服务器区 ， 以两台 换机为汇聚交换机 ， 以接入交换机 ,为应用服务器提供 接入功能 ,并在 换机上添加防火墙模块与内容交换模块 ,为整个中间业务应用服务器群提供保护与负载均衡控制，并且在此区域内通过 设备 ,提供完善的管理与控制功能。 核心交换模块 流量分析 主干网络作为 司 数据中心的运行核心，它决定整个 据中心网络的性能。根据统计，一个运行良好、提供服务齐全的网络中，各子网间 的通讯和子网内部通讯大约各占 50%；而且随着多媒体技术的发展，多媒体主页、视频点播（多点广播）大量采用，这些都要占有大量主干带宽；以及虚拟网技术的采用，传统子网概念已经变化，使得一个子网可以分布于整个网络，导致子网内部通讯也要通过主干网络；因此经过主干网络的流量将占 80%以上，这就要求 12 主干网络必须具有极高的传输速率，最大限度的避免堵塞。作为主要的数据通道，主干网络的瘫痪就意味着整个网络的崩溃，因此主干网络必须采用已经标准化的技术，有极高的稳定性和冗余度。 网络技术分析 纵观目前计算机局域网技术，适合作为 高速主干网结构的主要有： 千兆 以太网 千兆以太网是 100真正继承者。千兆以太网保留了大多数 100有以下特点： 从传统 100太网的升级较容易、投资少，与现有100的集成也很简单。 工业支持较强，竞争激烈，使产品价格相对较低。 安装和配置简单，现有的管理工具依然可用。 支持交换方式，有全双工方式通讯的产品。 万兆以太网 万兆位以太网 (10准已由 2002 年 6 月批准，而且现在已 在许多应用中进入大量部署阶段。在从千兆位以太网到万兆位以太网的演变过程中，为了适合如此广泛的可能应用，已进行了大量更改。这些更改中，最重要的更改与数据编码方式及万兆位以太网可以运行的物理连接类型有关。帧尺寸和格式都保持不变，以便第3 层及更高层协议仍然完全兼容。 万兆位以太网设计用于以全双工模式只在点到点（交换）链路上运行。这一点反映其作为主干 /核心 （与工作组不同）技术的角色。 13 万兆位以太网当前不支持自动协商，因为它被假定用于纯万兆位以太网安装。 40G 以太网 建立 司 数据 中心的网络系统应高起点，统 一全面规划，并考虑到将来的扩展与投资的保护；因此，为适应 司 的发展，以可延展的方式提供更多的带宽，满足复杂的事务处理能力， 据 中心的主干采用领导高速网络发展 兆以太网为主干。 广域网接入模块 目前 司 心与各大区之间使用 路连接，考虑到各大区的接入模式为 路，故本次新中心广域网接入方式同样选择 式，利用现有 路与板卡，同时，由于 信 路的快速发展，考虑到数据中心的高扩 展性，广域网接入采用模块化方式，现选用 块，在日后可方便的且经济的升级为 式。 广域网接入路由器 核心交换机 间采用 10G 光纤链路相连，提供极高的数据交换能力，为数据中心的性能提供强有力的支持。 根据前面分析，一个多媒体网络 60%甚至 80%以上的流量要经过路由，采用传统的路由方式连接各子网必须导致大量数据在路由器上 14 汇集，发生堵塞，从而导致丢包，会大大限制多媒体应用，因此必须采用先进高效的路由技术，保证整个 司 数据网络在网络层畅通无阻。 第三层交换技术分析 第三层网络 路由交换机的出现为大型多媒体网络提供了新的解决方案。通过使用第三层路由交换机，可以大大提高 的转发速度。 第三层交换技术可以分为两类：基于包的交换和基于流的交换。 基于包的交换 采用与传统路由器相近的交换方式，对每一个包进行检查。目前的第三层交换机凭借先进的 术，对 直接进行芯片道路级处理，速度大大高于路由器采用的基于 处理方式，能够提供全线速的转发，避免发生堵塞和丢包；同时完全兼容路由器的 议，能够与传统路由器进行相互的自学习，掌握整个网络的路由信息。采 用基于包交换的第三层交换机，网络的配置、设备和软件都不需要变动，能够实现基于包的安全控制。 数据库服务器 与中间业务服务器 接入模块 数据库服务器与中间业务服务器接入设备采用 性能交换机， 成熟的 换机曾经做为数据中心的核心交换机主流产品，其强大的交换能力， 720G 背板带宽，以及高达 高可靠性，使之成为 司 心数据库服务器与中间业务服务器接入服务最有力的提供者，此外，依靠 术，将两台 换机虚拟 15 成一台交换机，将背板带宽扩大为 电信级别。 数据库服务器与中间业务服务器通过千兆链路连接入汇聚交换机上，通过 10G 链路双上联入核心交换机 依靠跨机框链路捆绑技术，将因为链路故障造成的倒换 外联网络接入模块 为中国家电零售业的领军企业，其银联及各大商业银行有着相当频繁的业务来往，并且，随着 业多元化发展，其各实业公司，都与 着极高的数据交换要求以及响应的安全要求。为此，我 们推荐 好处在于可以灵活的使用 各种业务提供足够的安全保证 带内带外网络管理接入模块 网络管理对于一个大型化的网络是至关重要的，同时也具有挑战性。对 息中心的管理主要采用基于 于 基于 过 以设置完善的管理员安全策略，能够有效地防 16 止非法用户窃取管理员权限，对网络进行任何改动。 对于整个 据中心网络的管理，我们采用 是世界上使用最为广泛最为成功的网管软件之一，能对多个厂家提供的支持 线器、路由器、打印机、 样我们可以查看网络上使用的硬件和软件的清单，诊断并解决远程工作站的问题，给网络用户快速分发最新软件，检查用户软件的 测客户机上的病毒，使用加密和解密保证网络 的安全，监视服务器的性能并能设定报警值。 由于 储和互联基础设施上的可管理性能够利用先进的通用管理和诊断工具简化配置、调配、监控和变更控制，因而能减轻管理负担，增强流程的一致性，并改善数据中心小组之间的协作。另外，可管理性功能还能向管理应用提供网络设备的流量和接口信息，以便操作人员能够查看实时和历史网络状态。另外，操作人员还能利用思科或第三方管理工具实现网络的配置、监控和排障。 思科数据中心网络架构提供先进的通用管理接口、功能和工具，不但能显著提高数据中心管理人员的运营效率，降低复杂性，缩短学习周期， 还能提高服务水平，加快解决问题的进程。利用基于角色的访问控制，管理员可以将特定资源的管理控制分配给专人负责。 思科数据中心网络架构包含五大可管理性： 17 简单网络管理协议（ 3） 在 储网络和光网上支持统一的 够改善配置、资产管理和变更管理。 嵌入式管理代理能够简化可管理性 支持基于策略的自适应管理，能够在问题造成重大影响之前就快速予以解决，而且能够简化服务实施。例如，为 500 系列平台开发的新型 备管理器代理能够改 善基于策略的端到端配置。 相似的 在管理器与设备之间提供一致的通信。 标准通用信息模型和可扩展标记语言（ 通用高级诊断功能 简化存储网络中第三方系统管理的实施。 简化实时监控、历史统计数据收集和报告。 另外思科安全监控、分析和响应系统（思科安全 一款基于设备的全功能解决方案，可提供针对您现有安全部署的、前所未有的了解和控制能力。思科安全 帮助您的安全和网络机构识别、管理和抵御安全 18 威胁。它 可充分利用您现有的网络和安全投资，来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持内部策略符合性，可作为整体法规符合性解决方案工具中一个不可缺少的部件。 安全和网络管理员所面临的问题有： 安全和网络信息过载 性能不佳的攻击和故障识别、优先级划分和响应 更高攻击先进程度、速度和修复成本 满足法规符合性和审查要求 较少的安全人员和预算 思科安全 集成网络智能，进行网络异常事件和安全事件的先进关联 察看校正后的事件并自动执行调查 通过全面充分利用网络和安全基础设 施来防御攻击 监控系统、网络和安全运行来帮助企业达到法规符合性 以最低 扩展的设备 19 高性能与高可靠性设计 性能设计 在 司 数据中心网络中， 主干线采用的是万 兆位，因此需要主干设备要有较高的交换能力，拥有 思科一代高密度万 兆位连接，满足苏宁电器数据网络中的高通信量工作站、工作组和服务器的需求。通过现有铜线线缆或光纤集合工作站服务器群可以提高多媒体应用的运行速度，同时减少瓶颈并提供非堵塞性能。提供第二、第三、第四层无堵塞性能，强大的带宽整形功能和八个 先级排队，以实现完善的第二、第三、第四层通信控制，最大的介质灵活性，保护了超 5 类线基础设施投资，并以光纤 破了距离的限制。 在 司 数据中心网络中，采用的第三层交换机是基于包进行交换的，能够进行分布路由，为了避免发生堵塞，第三层交换机必须能够提供接近交换速度的路由能力。另外为了在整个网络上实现虚拟网划分，第三层交换机还必须支持分布式的虚拟网设置。在关键子网，保证与主干网络高速通道的足够带宽，以及冗余连接。 根据以上分析，我们充分考虑了系统的性能价格比，采用了具有高可扩展性和 稳定性、最标准 的思科公司的全套网络产品。考虑到主干网络设备具有万 兆以太的交换能力，同时支持链路汇聚功能，以保证网络的带宽，另外还要支持 分，提供灵活活的网络配置。并且在苏宁电器数据中心将要使用大量的光缆布线 。 20 可靠性设计 朴冗余 司 中心拓朴在设计阶段就充分考虑线路的冗余问题，以保证数据中心网络的高可靠性。 在 司 中心内，所有核心设备之间链路 都采用双链路冗余备份设计，保证在某一条链路故障时，不影响整个数据中心的数据交换业务。 链路冗余 在 数据 中心的交换机之间的连接均 采用 设计以保证链路的冗余。 计原则 21 网络连接 计原则 核心设备之间互连 2*10心与分布设备互连 2*10布设备之间互连 2*10布与接入设备互连 2*10换冗余 交换区域的可靠性通过 现。被 断的逻辑链路在线路或设备出现故障的情况下可以自动释放，形成新的拓扑结构，保证网络数据的正常传输。 网关冗余 备份路由协议）是为网络接入设备提供三层网关冗余的技术。配置 的 关向接入设备提供虚拟 址，并使用 测 员状态，确保网关冗余。 分布层设备在连接普通接入时采用 先级策略与 根网桥主备设置一致； 置 确保高优先级网关为激活状态 路由冗余 网络物理链路的冗余设计为路由协议选择备份连接提供了基础。 网络使用 由协议根据网络链路的 算最短路径。 22 当设备或连接因故障中断时， 自动重新计算网络路径，并使用正常的连接保障数据通讯。 考虑运行维护的简单性，配合 义和 义，在网络设计上，将通过 调整，在分布层和核心层将数据流引导到冗余网络结构的一侧，而当设备或连接因故障中断时， 自动重新计算网络路径，并使用正常的连接保障数据通讯。 备冗余 考虑到数据中心的特点，在 司 中心设计初期，就对设备冗余做了充分的考虑，核心设备采用可靠性最高的双机热备份模式，关键设备全部双机热备份，保证单一设备故障时，数据中心业务不受任何影响，彻底解决单点故障问题。 引擎冗余 数据中心的核心的交 换机和路由器都使用两块冗余引擎，在两块冗余引擎上使用 切换方式。 换方式只需要 3 秒左右就可以完成切换，并且不用重新初始化板卡 。 网络连接 23 备份引擎自动切换 是 是 是 是 同步 是 是 是 同步 是 是 是 同步 否 是 是 同步二层链路状态 否 否 是 是 同 步 路 由 协 议 否 否 是 切换时间 长 较短 短 短 复杂程度 低 较低 中 高 电源冗余 信息中心的网络设备都需要支持两种电源冗余工作模式，建议使用 式（默认设置）。 式一般用于电源更换或升级等特殊情况。 模块和端口冗余 模块和端口冗余的通用原则 同一机箱优先使用高编号槽位； 同一模块优先使用高编号端口； 24 上连链路优先使用高编号端口、下连链路优先使用低编号端口，互连链路尽量使用引擎上自带的端口； 确保 的两个端口端口使用不同模块，由于核心交换机只配置了一块 10口模块， 20能使用同一模块的端口 。 口的可靠性 端口是网络设备互连的通道，思科提供多种端口功能协议。为了保障网络设备连接的可靠性，路由交换机端口应根据 数据 中心的通讯模式设计。 协议 路由端口（非 换端口 换端口 止 禁止，手工设置 禁止 止 启用 禁止 用 启用 禁止 用 启用 禁止 式，自动协商 接入模式 用 启用 禁止 25 司 数据中心网络虚拟化服务 （此处为相应设备的亮点技术，根据具体项目不同编写） 拟多机技术 000 系列交换机虚拟 多机技术 是一种网络系统虚拟化技术，将 一 台 000 系列交换机 物理的划分为多个实体主机，通过对硬件资源，如控制引擎，交换背板的物理划分，实现将一台 000 系列交换 机划分为 多个虚拟实体，以实现不同业务在核心层的隔离，并且，当 000 在满足数据中心本身的交换需求后，仍有大量资源空闲时，可以将空闲资源划分出 来另作他用，有效的提高 000 做为网络核心的利用率，从而从侧面提升 000 的性能价格比。 509 交换机 术 列交换机虚拟交换系统（ 1440 是一种网络系统虚拟化技术，将两台采用了 20500 系列交换机组合为单一虚拟交换机。在 ，这两个交换机中的管理引擎的数据面板和交换阵列能同时激活，因此总系 统交换能力可达 1440 员通过虚拟交换机链路（ 接。 虚拟交换机成员之间使用标准万兆以太网连接（多达 8 条，以提供冗余性）。通过在 206 意端口上使用万兆以太网上行链路，即能形成 在 员间进行控制面板通信外， 能传输普通用户流量。 持所有采用集中或分布式（利用 发模式的 500 系列交换机。 与传统 的 3 网络设计相比， 440 提供了多项显著优势。大体说来，其优势可归纳为以下三个主要方面： 够提高运营效率 单管理点，包括配置文件和单一网关 址（无需 多机箱 （ 建了简单的无环路拓扑结构，不再依靠生成树协议（ 底层物理交换机经由标准万兆以太网接口相连，在位置方面提供了灵活的部署选项 够优化不间断通信 机箱间状态化故障切换不会干扰需要使用网络状态信息的应用。凭借 一个虚拟交换机成 员发生故障时，不再需要进行 3 重收敛，能在一秒内实现确定性虚拟交换机的恢复。 与基于生成树协议的收敛不同，使用 在一秒内完成确定性 路恢复。 够将系统带宽容量扩展到 在冗余 500 系列交换机上激活所有可用的 27 宽，在 础上进行精确的负载均衡。 为冗余数据中心交换机上的服务器网络接口卡（ 供基于标准的链路汇聚，实现最高服务器带宽吞吐率。 消除了因非对称 路由引起的单播洪泛，减少了园区内流量的跳数，从而节省了带宽。 拟化技术及应用 与思科 6500 交换机 7600 路由器结合，具有灵活的端口扩展能力。7600 路由器配置防火墙模块后可以将 7600 路由器变成一台广域网防火墙。路由器上的所有端口均可以配置不同的安全级别。 强大的防火墙性能，在单台 65 系列交换机 7600 路由器上可以插4 块 块 吞吐量为 块合计 22 每个防火墙模块可支持 256 个虚拟防火墙，为数据中心提供了强大的灵活性。 虚拟防火墙的资源可定制，每个虚拟防火墙占用的 大的增加了虚拟防火墙的安全性和可用性。 支持高达 256 个 大大增加了防火墙的使用灵活性。 工作模式多样化，支持透明、路由、 明路由的混合模式的工作模式。 支持多台防火墙主机的集群，支持 式以及 8 模式。 支持丰富的 性 司 中心网络 据具体项目，具体设计 ，一般初期仅做初步描述 ） 苏宁电 器 心网络 址的设计，将根据现有的业务系统进行统一的规划与设计，在实际允许的情况下兼容原有 址，为日后割接提供准备的基础。 司 中心网络路由协议设计 （路由设计，根据具体项目具体设计 ，一般初期仅做初步描述 ） 苏宁电器 心网络路由协议建议使用 议与 议， 议做为其应用主协议， 议则运行在备份链路上，当主协议 障时，则由 议替代，以保证其网络的连通性，减少协议倒换的时间。 司 中心网络安全设计 （此处为相应 安全 的 设备及技术 ， 根据具体项目不同编写） 火墙模块 换机和 600 系列路由器的防火墙服务模块（ 一种高速的、集成化的服务模块，可以提供业界最快的防火墙数据传输速率： 5吞吐量， 100000及一百万个并 29 发连接。在一个设备中最多可以安装四个 而每个设备最高可以提供 20吞吐量。作为世界领先的 火墙系列的一部分， 以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。 用了 术，并且运行 作系统（ 固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法（ 保护机制，它可以提供面向连接的全状态防火墙功能。利用 以根据源地址和目的地地址，随机的 列号，端口号，以及其他 志，为一个会话流创建一个连接表条目。以通过对这些连接表条目实施安全策略，控制所有输入和输出的流量。 主要优点 防火墙的传统角色已经发生了变化。 今天的防火墙不仅可以保护企业网络免受未经授权的外部接入的攻击，还可以防止未经授权的用户接入企业网络的子网、工作组和 统计数据显示， 70%的安全问题都来自于企业内部。在 展的调查中，五分之一的受访者表示，在过去 12 个月中，有入侵者闯入或者试图闯入他们的企业网络。大部分专家都认为，大多数网络入侵活动都没有被检测出来。 集成模块 装在 500 系列交换机或者 600 互联网路由器的内部，让这些设备的任何端口都可以充当防火墙端口， 30 并且在网络基础设 施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说，这种功能非常重要。 500 真正成为了那些需要各种智能化服务（例如防火墙接入、入侵检测、虚拟专用网（ 和多层 换功能的客户的首选务交换机。 适应未来需要 以支持 5吞吐量，因而可以提供无以伦比的性能，让用户无须对系统进行彻底的升级，就可以满足未来的要求。在500 中最多可以添加三个 满足用户不断发展的需求。 可靠性 立在 术的基础之上，并使用了同一个经过时间检验的 作系统 时的操作系统。以利用行之有效的 术检测分组，从而可以在同一个平台上提供性能和安全的独特组合。 低廉的整体运营成本 以提供所有防火墙中最佳的性能价格比。 合同中包含了维护成本。由于 基于 火墙的，所以培训和管理成本都很低，而且由于它是集成在设备内部的，所以大大减少了需要管理的设备的数量。 易用性 备管理器的直观的图形化用户界面（ 以用于 31 管理和配置 配置和监控方面， 以获得思科管理框架和 成化语音、视频和数据体系结构）合作伙伴的支持。 心网络 据实际情况设计 ，一般初期仅做初步描述 ） 是指 络的一种能力，即在跨越多种底层网络技术（ ）的 络上，为特定的业务提供其所需要的服务。衡量 技术指标包括： 1）带宽 /吞吐量 指网络的两个节点之间特定应用业务流的平均速率； 2）时延 指数据包在网络的两个节点之间传送的平均往返时间； 3）抖动 指时延的变化； 4）丢包率 指在网络传输过程中丢失报文的百分比，用来衡量网络正确转发用户数据的能力； 5）可用性 指网络可以为用户提供服务的时间的百分比。 本质上，要保证服务质量的最基本和最佳的手段是网络容量的扩容，通过增加链路带宽来保证网络轻载， 出于网络的实际情况考虑，在有限的带宽前提下，在链路拥塞时，需要保证不同等级业务的服务质量，因此，需要在 设备上 支持对不同 级的报文优先转发的队列调度 机制 。 32 目前， 现机制主要有两个：综合型业务（ 型和区分型业务（ 型。 集成服务模型通过 议针对每个业务流进行资源预留，提供端到端服务保证。这种服务模型在应用使用之前，首先需要进行资源的预留，针对每个流都要维护 软状态。这种服务模型的的优点在于能够提供细粒度的、严格的 是扩展性比较差，路由器难以维护大量的软状态和控制流。由于集成服务模型的缺点，现在集成服务模型已经很少使用，取 而代之的是下面重点介绍的差分服务模型。差分服务类型对不同的流进行分类，对每个类提供不同的 务。通过分类，维护软状态以及控制流的开销大幅度缩小，可扩展性比较高。它的缺点在于提供的服务是粗粒度的、不严格的 务。 综合考虑现有 术，我们推荐苏宁电器 心 造采用以 主的 术，采用 兼容的标记方式。业务接入控制点设备实现业务的分类、标记和带宽控制，城域网骨干路由器根据 P 包的转发。 数据中心网络管理设计 （根据项目使用网管工具编写） 思科安全监控、分析和响应系统（思科安全 一款基于设备的全功能解决方案，可提供针对您现有安全部署的、前所未有的了解和控制能力。思科安全 思科安全管理生命周期的一个关键组件，可帮助您的安全和网络机构识别、管理和抵御安全威胁。 33 它可充分利用您现有的网络和安全投资，来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持内部策略符合性，可作为整体法规符合性解决方案工具中一个不可缺少的部件。 安全和网络管理员所面临的问题有： 安全和网络信息过 载 性能不佳的攻击和故障识别、优先级划分和响应 更高攻击先进程度、速度和修复成本 满足法规符合性和审查要求 较少的安全人员和预算 思科安全 通过以下功能满足其需要： 集成网络智能，进行网络异常事件和安全事件的先进关联 察看校正后的事件并自动执行调查 通过全面充分利用网络和安全基础设施来防御攻击 监控系统、网络和安全运行来帮助企业达到法规符合性 以最低 供一个易于部署和使用的、可扩展的设备 思科安全 提交正确有效的安全事件并保持法规符合性。这 一易于使用的威胁防御设备系列可利用已部署在您的基础设施中的网络和安全设备，使操作员可集中、检测、防御和报告重要威胁。 深度防御问题 信息安全已从互联网、周边防护发展为深度防御模式，在基础设施中部署了多项措施来抵御安全漏洞和攻击。鉴于攻击频率日益增 34 加、攻击复杂度各不相同，以及攻击非常迅速，网络内部和周边间的界线逐渐模糊，因此这些措施是非常必要的。 为试图利用漏洞发动攻击，每天攻击者都会对网络接入点和系统进行数千次探测。先进的混合攻击使用多种欺骗式攻击方法，以便从机构内外获得未授权系统访问和控制。蠕虫、零日攻击 、病毒、特洛伊木马、间谍软件和攻击工具的普及可对最为坚固的基础设施构成挑战 导致防御作用时间缩短、出现停运和昂贵的修复措施。 除服务器和网络设备数量较多外，每个安全组件都提供独立的事件记录和报警功能，以用于异常流量检测、威胁响应和分析。不幸的是，这就生成了大量的干扰、报警、日志文件和误报，需操作员辨别或高效利用它们 但这样的前提是有足够的时间和资源来分析和了解这些信息。此外，法规也要求严格数据保密、更高运营安全性和进行持续审查。 先进的安全信息管理 安全信息 /事件管理（ 品从逻辑上看来避免了这一 问题 因为您无法对您不能测量出的信息加以管理。 操作员拥有了集中操作的能力：汇总安全事件和记录，通过有限关联和查询技术来分析数据，并针对独立事件生成报警和报告。 思科通过一个可扩展的企业威胁防御设备系列，解决了这些安全问题，弥补了管理的不足。思科安全 供了一个易于部署和使用、经济有效、性能出众的安全命令和控制解决方案，对您的网络和安全基础设施投资构成补充。思科安全 一个性能出众的 35 可 扩 展 威 胁 防 御 设 备 系 列 ， 通 过 结 合 网 络 智 能 、析和 能，来使公司能作好准备，识别、管理和消除网络攻击并保持法规符合性，从而增强已部署的网络设备和安全措施。 思科安全 主要特性和优势 网络智能事件汇总和性能处理 思科安全 换机和防火墙的拓扑和设备配置，以及网络流量配置，实现了网络智能。通过该系统的集成网络发现功能，可构建一个包括设备配置和当前安全策略的拓扑图，使思科安全对您网络中的分组流建模。因为此设备不在内部运行，极少使用现有软件代理，所以对网络或系统性能的影响极小。 这一设备集中汇 总了来自各种常用网络设备（如路由器和交换机）、安全设备和应用（如防火墙、入侵检测、漏洞扫描器和防病毒软件）、主机（如 统日志）、应用（如数据库、 务器和验证服务器）以及网络流量（如 日志和事件。 接收到事件和数据时，可针对网络拓扑、所发现的设备配置、相同的源和目的地应用（跨 界）和类似的攻击类型，来对信息进行标准化。相似的事件会进行实时分组，随后对其运用由系统和用户定义的关联规则，来识 别事故。系统配备了全面的预定义规则， 经常更新这些规则，它们能识别大多数混合攻击、零日攻击和蠕虫。一个图形化规则定义框架简化了用户 36 为任何应用创建定制规则的过程。 大减少了原始事件数据、实现了响应优先级划分并可最大限度地发挥所部署的措施的作用。 高性能汇总和整合。思科安全 决方案可获取数千个原始事件，高效地对事件分类，实现前所未有的数据减少，并压缩这些信息以进行归档。管理大量安全事件需要一个安全、稳定的集中记录平台。思科安全 备可安全地优化，接 收极其大量的事件流量 每秒超过 10000 个事件或每秒超过 30 万个