IDC中心建设方案.doc

xxx公司数据中心建设项目方案建议书江苏鸿信系统集成有限公司2008年7月目 录第一部分、xxx公司数据中心简介31.1、xxx公司概况31.2、项目背景31.3、设计原则31.3.1、高效实用性41.3.2、先进性、成熟性41.3.3、开放与标准化原则41.3.4、可扩展性及易升级性51.3.5、良好的可管理性和可维护性51.3.6、具有最佳的性能价格比51.3.7、具有高可靠性和安全性51.4、xxx公司数据中心建设整体目标81.5、可行性分析81.5.1、技术方面的可行性81.5.2、经济方面的可行性9第二部分、xxx公司数据中心网络系统解决方案92.1、网络现状与需求分析92.2、xxx公司数据中心网络建设目标112.3、设计的依据与原则112.3.1、设计依据112.3.2、设计原则122.4、xxx公司数据中心设计方案142.4.1、总体结构142.4.2、核心交换模块152.4.3、广域网接入模块172.4.4、数据库服务器与中间业务服务器接入模块182.4.6、外联网络接入模块182.4.7、带内带外网络管理接入模块192.5、高性能与高可靠性设计222.5.1、高性能设计222.5.2、高可靠性设计242.7、xxx公司数据中心网络虚拟化服务（此处为相应设备的亮点技术，根据具体项目不同编写）292.7.1、cisco nexus7000虚拟多机技术292.7.1、cisco 6509交换机vss技术292.7.2、fwsm虚拟化技术及应用312.8、xxx公司中心网络ip地址设计（ip地址规划，根据具体项目，具体设计，一般初期仅做初步描述）322.9、xxx公司中心网络路由协议设计（路由设计，根据具体项目具体设计，一般初期仅做初步描述）322.10、xxx公司中心网络安全设计（此处为相应安全的设备及技术，根据具体项目不同编写）322.10.1、cisco6500及cisco7600防火墙模块322.11、xxx公司中心网络qos设计（qos设计，根据实际情况设计，一般初期仅做初步描述）352.12、xxx公司数据中心网络管理设计（根据项目使用网管工具编写）362.13、设备概述（此处为相应的设备描述，根据不同项目，使用的不同设备描述）422.13.1、cisco 7010核心交换机422.13.2、csico 7609 边缘路由器452.13.3、csico 4948-10ge 边缘交换机46第三部分、xxx公司数据中心割接方案（割接方案，根据项目内容确定有无割接）473.1、实施方案目标（此处为割接的最终目标）473.2、实施前的准备工作473.2.1、实施方案中涉及设备配置做必要的备份；473.2.2割接实施中新增光路，尾纤布放及板卡资源调配：483.3、具体实施方案493.3.1、大区与雨花idc7609接入路由器之间的协议调整493.3.2、当前xxx网络拓扑及应用：503.3.3、实施前后路由情况比较；513.4、割接实施的必要回退513.5、总结523.6、机房无忧（以下内容为公司相应的服务产品介绍，根据客户情况，可选择相应产品进行推荐。）533.7、网管专家（以下内容为公司相应的服务产品介绍，根据客户情况，可选择相应产品进行推荐。）55第一部分、xxx公司数据中心简介1.1 、xxx公司概况此处添加客户公司介绍。1.2 、项目背景此处添加该项目的背景情况。1.3、设计原则xxx公司数据中心的建设将是一项关系到xxx公司的重大网络工程，它的设计必须遵循以下原则：1.3.1、高效实用性作为一个系统，实用性永远是放在第一位的。我们的根本原则就是能最大限度地满足xxx公司数据中心系统建设实际的需要。方案所推荐的主要技术和产品具有成熟、稳定、实用的特点，并充分满足xxx公司各个下属单位接入的需要。1.3.2、先进性、成熟性作为一个系统，先进性是系统赖以生存发展的基础。只有先进的系统，才能充分发挥计算机的能力，才能发展，才能体现良好的低投入高产出的投资收益。方案所推荐的千兆/万兆以太网技术及多层交换负载均衡等技术是目前世界上先进的网络技术。（此处添加与项目相关的关键性技术亮点的名称，）1.3.3、开放与标准化原则只有开放的系统，才能充分发挥计算机的能力，只有坚持标准化的系统，才能保护用户的投资，才能体现良好的可扩展性和互操作能力。从国内外的一些系统建设的实际经验和教训来看，开放性与标准化原则如不能保证，则会在系统的使用阶段出现后期使用的维护困难，系统维护费用加大，甚至必须重复投资等问题。为了与这些专用系统互联，所耗费的代价甚至与新建系统不相上下，形成了一种“食之无味，弃之可惜”的“鸡肋”现象。本系统是一个开放的系统，网络产品具开放性，采用tcp/ip协议作为主协议。主要产品，如服务器，网络等都支持开放的client/server结构，并且，所选产品都遵循相应的标准。1.3.4、可扩展性及易升级性面对中国it的飞速发展，系统的计算机设备和网络设备必须有非常好的扩充性。并且，随着世界网络技术的不断发展，主干网络设备应能平滑升级。因此，在设计中，应当保证系统结构模块化，软硬件平台可以积木式拚装，如：交换机可通过添加功能模块扩充交换能力和服务能力等等。服务器类的设备也应选用扩充性极强的设备。1.3.5、良好的可管理性和可维护性xxx公司数据中心系统是由多种设备组成的较为复杂的系统，因此我们着重考虑所选产品具有良好的可管理性和可维护性，所选产品具有良好的可管理性和可维护性。1.3.6、具有最佳的性能价格比我们仔细分析讨论了xxx公司数据中心的需求，力求设计紧贴用户需求，在设计上寻求最佳的性能价格比。1.3.7、具有高可靠性和安全性本方案所采用的主要产品采用可靠性设计，服务器采用高可靠性技术。力求系统安全、可靠、稳定的运行。系统的安全性是保证整个系统正常运转的前提条件和基础，也是xxx公司数据中心系统的重要要求之一。1）系统安全用户口令、存取权限体系完善，系统具有基本的安全管理机制，如：用户标识、口令检查、存取权限制度，为满足这一需求，选用nt操作系统，其多用户、多任务，适于大系统的维护管理，并且提供了完备的权限管理功能，符合c2安全级标准。此外，选用客户/服务器体系结构，数据可统一保存在服务器上，有利于系统数据的安全保密和一致性，保证系统的正常运行。除操作系统的安全性以外，大型关系数据库的权限管理和应用程序也为系统提供了相应的安全机制。2）硬件设备安全分析 环境安全运行环境中具有防静电、避雷、温度、湿度、防火等方面的安全措施。故在整个系统设计中，要严格按照机房设计标准建造机房，并对计算机系统采用不间断电源（ups）保护，确保整个系统在运行过程中，造成不必要的系统损坏。 硬件设备安全性在网络主设备及主服务器的选择上，考虑到其可靠性，如：网络接口冗余、支持热插拔、电源可实现均衡负载和冗余、热备份等。3）软件安全保密操作系统、系统程序、应用软件运行稳定，在应用软件开发中，遵循安全、可靠、实用的原则，在充分利用现有的系统支持软件基础上，进行应用软件的设计、开发。权限控制体系完备：根据nt操作系统的权限管理体系，可建立完善的权限管理机制。防病毒、防非法入侵：主机系统采用的是具有很强防病毒干扰能力的操作系统，利用其严格权限管理机制，可以防止病毒、防非法入浸。4）数据安全 备份策略若有备份系统，可及时将数据从运行系统中传送到备份系统。另外，对关键数据要定期作磁带备份，以保证数据的安全完整。 防止传输、存取错误选用具有可靠传输能力的网络结构，网络协议采用tcp/ip协议，该协议支持可靠的数据传输，可以在收到数据的同时，进行差错检测，并在发现错误时建立重传过程。 防止信息泄漏由于采用符合国际标准的c2安全级操作系统和大型关系数据库，可以做到操作系统、数据库、应用程序三级保护。 保证数据完整性系统结构选用client/server体系结构，数据库选用大型关系数据库，系统数据统一存放在主机数据库中，并配有数据库提供的数据恢复、错误处理功能，可充分保证数据的一致性和完整性。1.4、xxx公司数据中心建设整体目标整个系统的建设，应用是关键。通过建立信息系统的基础结构，进而全面实现办公自动化、网络化、电子化、全面信息共享。信息系统的建设是xxx公司信息化进程中的一个里程碑，它提高了xxx公司在行政和管理方面的效率，并且利用网络为xxx公司庞大用户群提供优质的多元化服务，因而推动和加速了整个行业的信息化发展。1.5、可行性分析目标和方案的可行性，可从以下几个方面进行分析：1.5.1、技术方面的可行性技术人员具有所需的技术水平，能够高效的管理和运维数据中心网络；基础管理技术满足系统开发要求；组织系统可以合理组织人、财、物及提供售后服务支持；硬件可满足本系统需要；软件可满足本系统需要；1.5.2、经济方面的可行性数据中心建设的投入是一项复杂的综合性工程，建设时间长，投资费用高，因此，必须做到项目的总体规划，分系统、分步骤进行，并考虑前后建设的连续性，避免重复性投资和资源浪费。对于计划投入开展的项目，要预算充分，按期达标。第二部分、xxx公司数据中心网络系统解决方案2.1、网络现状与需求分析此处添加客户公司目前的网络拓扑图xxx公司目前数据中心建于xxx，目前承担整个集团数据交换与存储的重任。现有网络拓扑结构如上。随着xxx公司的建设，现需在园区内建设一全新数据中心，用以在园区全面启动时顺利接管原数据中心的数据交换与存储重任。xxx公司数据中心的建设是为xxx公司办公、管理提供服务的，网络系统建设主要目标是在xxx公司管辖范围内，采用国际标准网络协议，建立在xxx公司内联网（bdfz-intranet）并通过高速信道与各地市分公司、中国互联网（china-net）相连，同时建设信息资源管理中心。2.2、xxx公司数据中心网络建设目标xxx公司数据中心网络建设目标是将xxx公司的各种pc机、工作站等，通过高性能的网络，连接到各种服务器上，组成分布式的计算环境，使其成为提高办公、管理水平必不可少的网络支撑环境。本着建设一流数据中心的精神，我们提出了以下xxx公司网络建设目标：内部信息发布：xxx公司向各地分公司发布规章制度、规划、计划、通知等公开信息等。2）电子邮件：xxx公司内部的电子邮件的发送与接受。3）文件传输：xxx公司内部的文本文件、图象文件、语音文件等发送与接收。4）资源共享：文件共享、数据库共享等。6）接入因特网：通过专线接入chinanet、internet，对外发布信息。2.3、设计的依据与原则2.3.1、设计依据1）中国教学和科研计算机网络（cernet）工程技术规范书2）中华人民共和国计算机信息网络国际联网管理暂行规定3）有关的网络技术国际标准4）rfc有关文件2.3.2、设计原则1）开放原则采用开放标准；采用开放技术；采用开放结构；采用开放系统组件；2）可靠原则设计结果稳定可靠，具有高mibf（平均无故障时间）和mtbr（平均无故障率），采用开放用户接口。3）实用原则实用有效是最主要的设计目标，设计结果能满足需求行之有效。提供容错设计，支持故障检测和恢复，可管理性强。4）安全原则安全措施有效可信，能够在多个层次上实现安全控制。5）先进原则设计思想先进；软硬件设备先进；网络结构先进。6）完整性原则考虑到系统的各方面因素，实现优化的网络设计、安全的数据管理、高效的信息处理、友好的用户界面。7）高效原则性能指标高，软硬件性能充分发挥。8）灵活原则系统配置灵活，备用和可选方案多，能够适应应用和技术发展需要。9）可扩展性能够在规模和性能两个方向上进行扩展，扩展后的性能有大幅度提高。10）模块化每种功能都由一定的模块来实现，方案只需要选择不同的模块，并将这些模块做相应的配置即可。2.4、xxx公司数据中心设计方案2.4.1、总体结构xxx公司数据中心拓朴图xxx公司数据中心采用两台xxx系列核心交换机构建整个idc中心的核心交换区，在核心交换区以下，分为核心数据服务区与中间业务应用服务区两大服务区，以及xxx公司各大区的接入及广域网接入等接入区组成。其中数据服务的小型机区，以两台xxx交换机为接入交换机,接入核心交换区，在xxx交换机上添加防火墙模块与内容交换模块，以实现对小型机的安全保护、ssl卸载和负载均衡控制。在中间业务应用服务器区，以两台xxx交换机为汇聚交换机，以xxx为接入交换机,为应用服务器提供接入功能,并在xxx交换机上添加防火墙模块与内容交换模块,为整个中间业务应用服务器群提供保护与负载均衡控制，并且在此区域内通过acs,mars等设备,提供完善的管理与控制功能。2.4.2、核心交换模块 流量分析主干网络作为xxx公司数据中心的运行核心，它决定整个xxx公司数据中心网络的性能。根据统计，一个运行良好、提供服务齐全的网络中，各子网间的通讯和子网内部通讯大约各占50%；而且随着多媒体技术的发展，多媒体主页、视频点播（多点广播）大量采用，这些都要占有大量主干带宽；以及虚拟网技术的采用，传统子网概念已经变化，使得一个子网可以分布于整个网络，导致子网内部通讯也要通过主干网络；因此经过主干网络的流量将占80%以上，这就要求主干网络必须具有极高的传输速率，最大限度的避免堵塞。作为主要的数据通道，主干网络的瘫痪就意味着整个网络的崩溃，因此主干网络必须采用已经标准化的技术，有极高的稳定性和冗余度。 网络技术分析纵观目前计算机局域网技术，适合作为高速主干网结构的主要有： 千兆以太网千兆以太网是100base-t的真正继承者。千兆以太网保留了大多数100base-t的布线规则和csma/cd媒质访问方式，具有以下特点：l 从传统100base-t以太网的升级较容易、投资少，与现有100base-t网的集成也很简单。l 工业支持较强，竞争激烈，使产品价格相对较低。l 安装和配置简单，现有的管理工具依然可用。l 支持交换方式，有全双工方式通讯的产品。 万兆以太网万兆位以太网(10gige)802.3ae标准已由ieee于2002年6月批准，而且现在已在许多应用中进入大量部署阶段。在从千兆位以太网到万兆位以太网的演变过程中，为了适合如此广泛的可能应用，已进行了大量更改。这些更改中，最重要的更改与数据编码方式及万兆位以太网可以运行的物理连接类型有关。帧尺寸和格式都保持不变，以便第3层及更高层协议仍然完全兼容。万兆位以太网设计用于以全双工模式只在点到点（交换）链路上运行。这一点反映其作为主干/核心（与工作组不同）技术的角色。万兆位以太网当前不支持自动协商，因为它被假定用于纯万兆位以太网安装。 40g以太网建立xxx公司数据中心的网络系统应高起点，统一全面规划，并考虑到将来的扩展与投资的保护；因此，为适应xxx公司的发展，以可延展的方式提供更多的带宽，满足复杂的事务处理能力，xxx公司数据中心的主干采用领导高速网络发展-先进交换技术的万兆以太网为主干。2.4.3、广域网接入模块目前xxx公司xxx中心与各大区之间使用atm链路连接，考虑到各大区的接入模式为atm链路，故本次新中心广域网接入方式同样选择atm方式，利用现有atm链路与板卡，同时，由于atm技术已经处于渐渐被淘汰的情况，电信mstp与pos链路的快速发展，考虑到数据中心的高扩展性，广域网接入采用模块化方式，现选用atm模块，在日后可方便的且经济的升级为mstp或pos方式。广域网接入路由器xxx与核心交换机xx之间采用10g光纤链路相连，提供极高的数据交换能力，为数据中心的性能提供强有力的支持。根据前面分析，一个多媒体网络60%甚至80%以上的流量要经过路由，采用传统的路由方式连接各子网必须导致大量数据在路由器上汇集，发生堵塞，从而导致丢包，会大大限制多媒体应用，因此必须采用先进高效的路由技术，保证整个xxx公司数据网络在网络层畅通无阻。 第三层交换技术分析第三层网络路由交换机的出现为大型多媒体网络提供了新的解决方案。通过使用第三层路由交换机，可以大大提高ip包的转发速度。第三层交换技术可以分为两类：基于包的交换和基于流的交换。基于包的交换采用与传统路由器相近的交换方式，对每一个包进行检查。目前的第三层交换机凭借先进的aisc技术，对ip包直接进行芯片道路级处理，速度大大高于路由器采用的基于cpu的处理方式，能够提供全线速的转发，避免发生堵塞和丢包；同时完全兼容路由器的rip 和eigrp和ospf协议，能够与传统路由器进行相互的自学习，掌握整个网络的路由信息。采用基于包交换的第三层交换机，网络的配置、设备和软件都不需要变动，能够实现基于包的安全控制。2.4.4、数据库服务器与中间业务服务器接入模块数据库服务器与中间业务服务器接入设备采用xxx高性能交换机，成熟的xxx交换机曾经做为数据中心的核心交换机主流产品，其强大的交换能力，720g背板带宽，以及高达99.99%的高可靠性，使之成为xxx公司idc中心数据库服务器与中间业务服务器接入服务最有力的提供者，此外，依靠vss技术，将两台xxx交换机虚拟成一台交换机，将背板带宽扩大为1.44t，同时将可靠性提高到99.999的电信级别。数据库服务器与中间业务服务器通过千兆链路连接入汇聚交换机xxx之上，通过10g链路双上联入核心交换机xxx，并依靠跨机框链路捆绑技术，将因为链路故障造成的倒换2.4.6、外联网络接入模块xxx公司做为中国家电零售业的领军企业，其银联及各大商业银行有着相当频繁的业务来往，并且，随着xxx公司企业多元化发展，其各实业公司，都与idc中心之间有着平凡的数据交换要求，故xxx公司idc中心外联网络接入系统是其idc中心极其重要的一部分，有着极高的数据交换要求以及响应的安全要求。为此，我们推荐xxx路由器的外联网络接入板卡为整个xxx公司idc中心提供外联网络接入服务，其好处在于可以灵活的使用xxx上配置的防火墙等功能模块，为各种业务提供足够的安全保证2.4.7、带内带外网络管理接入模块网络管理对于一个大型化的网络是至关重要的，同时也具有挑战性。对xxx公司信息中心的管理主要采用基于intel device view for web的管理方法，基于intel device view for windows的管理方法进行辅助管理，而基于telnet和终端仿真的管理方法作为备用。通过xxx提供的管理方法，可以设置完善的管理员安全策略，能够有效地防止非法用户窃取管理员权限，对网络进行任何改动。对于整个xxx公司数据中心网络的管理，我们采用cisco works2000作为网络管理软件，它是世界上使用最为广泛最为成功的网管软件之一，能对多个厂家提供的支持snmp协议的交换机、集线器、路由器、打印机、pc机与工作站进行管理。这样我们可以查看网络上使用的硬件和软件的清单，诊断并解决远程工作站的问题，给网络用户快速分发最新软件，检查用户软件的license，检测客户机上的病毒，使用加密和解密保证网络的安全，监视服务器的性能并能设定报警值。由于ip、存储和互联基础设施上的可管理性能够利用先进的通用管理和诊断工具简化配置、调配、监控和变更控制，因而能减轻管理负担，增强流程的一致性，并改善数据中心小组之间的协作。另外，可管理性功能还能向管理应用提供网络设备的流量和接口信息，以便操作人员能够查看实时和历史网络状态。另外，操作人员还能利用思科或第三方管理工具实现网络的配置、监控和排障。思科数据中心网络架构提供先进的通用管理接口、功能和工具，不但能显著提高数据中心管理人员的运营效率，降低复杂性，缩短学习周期，还能提高服务水平，加快解决问题的进程。利用基于角色的访问控制，管理员可以将特定资源的管理控制分配给专人负责。思科数据中心网络架构包含五大可管理性： 简单网络管理协议（snmp v3） 在ip交换和路由网络、存储网络和光网上支持统一的mib格式，能够改善配置、资产管理和变更管理。 嵌入式管理代理能够简化可管理性支持基于策略的自适应管理，能够在问题造成重大影响之前就快速予以解决，而且能够简化服务实施。例如，为cisco catalyst 6500 系列平台开发的新型ciscoview 设备管理器代理能够改善基于策略的端到端配置。 相似的cisco ios软件和 san os命令行界面在管理器与设备之间提供一致的通信。 标准通用信息模型和可扩展标记语言（xml）api 通用高级诊断功能简化存储网络中第三方系统管理的实施。简化实时监控、历史统计数据收集和报告。另外思科安全监控、分析和响应系统（思科安全mars）是一款基于设备的全功能解决方案，可提供针对您现有安全部署的、前所未有的了解和控制能力。思科安全mars是思科安全管理生命周期的一个关键组件，可帮助您的安全和网络机构识别、管理和抵御安全威胁。它可充分利用您现有的网络和安全投资，来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持内部策略符合性，可作为整体法规符合性解决方案工具中一个不可缺少的部件。安全和网络管理员所面临的问题有： 安全和网络信息过载 性能不佳的攻击和故障识别、优先级划分和响应 更高攻击先进程度、速度和修复成本 满足法规符合性和审查要求 较少的安全人员和预算思科安全mars可通过以下功能满足其需要： 集成网络智能，进行网络异常事件和安全事件的先进关联 察看校正后的事件并自动执行调查 通过全面充分利用网络和安全基础设施来防御攻击 监控系统、网络和安全运行来帮助企业达到法规符合性 以最低tco提供一个易于部署和使用的、可扩展的设备2.5、高性能与高可靠性设计2.5.1、高性能设计在xxx公司数据中心网络中，主干线采用的是万兆位，因此需要主干设备要有较高的交换能力，拥有思科一代高密度万兆位连接，满足苏宁电器数据网络中的高通信量工作站、工作组和服务器的需求。通过现有铜线线缆或光纤集合工作站服务器群可以提高多媒体应用的运行速度，同时减少瓶颈并提供非堵塞性能。提供第二、第三、第四层无堵塞性能，强大的带宽整形功能和八个802.1优先级排队，以实现完善的第二、第三、第四层通信控制，最大的介质灵活性，保护了超5类线基础设施投资，并以光纤gbic突破了距离的限制。在xxx公司数据中心网络中，采用的第三层交换机是基于包进行交换的，能够进行分布路由，为了避免发生堵塞，第三层交换机必须能够提供接近交换速度的路由能力。另外为了在整个网络上实现虚拟网划分，第三层交换机还必须支持分布式的虚拟网设置。在关键子网，保证与主干网络高速通道的足够带宽，以及冗余连接。根据以上分析，我们充分考虑了系统的性能价格比，采用了具有高可扩展性和稳定性、最标准的思科公司的全套网络产品。考虑到主干网络设备具有万兆以太的交换能力，同时支持链路汇聚功能，以保证网络的带宽，另外还要支持vlan划分，提供灵活活的网络配置。并且在苏宁电器数据中心将要使用大量的光缆布线。2.5.2、高可靠性设计2.5.2.1、拓朴冗余xxx公司中心拓朴在设计阶段就充分考虑线路的冗余问题，以保证数据中心网络的高可靠性。在xxx公司中心内，所有核心设备之间链路都采用双链路冗余备份设计，保证在某一条链路故障时，不影响整个数据中心的数据交换业务。链路冗余在数据中心的交换机之间的连接均采用ether channel的设计以保证链路的冗余。ethernet channel设计原则网络连接channel设计原则核心设备之间互连2*10ge核心与分布设备互连2*10ge分布设备之间互连2*10ge分布与接入设备互连2*10ge交换冗余交换区域的可靠性通过stp实现。被stp阻断的逻辑链路在线路或设备出现故障的情况下可以自动释放，形成新的拓扑结构，保证网络数据的正常传输。网关冗余hsrp（热备份路由协议）是为网络接入设备提供三层网关冗余的技术。配置的hsrp网关向接入设备提供虚拟ip和mac地址，并使用hello检测hsrp成员状态，确保网关冗余。分布层设备在连接普通接入时采用hsrp；hsrp优先级策略与stp的根网桥主备设置一致；hsrp设置preempt ，确保高优先级网关为激活状态路由冗余网络物理链路的冗余设计为路由协议选择备份连接提供了基础。 网络使用ospf路由协议根据网络链路的metric计算最短路径。当设备或连接因故障中断时，ospf会自动重新计算网络路径，并使用正常的连接保障数据通讯。考虑运行维护的简单性，配合stp的root primary定义和hsrp primary定义，在网络设计上，将通过metric的调整，在分布层和核心层将数据流引导到冗余网络结构的一侧，而当设备或连接因故障中断时，ospf会自动重新计算网络路径，并使用正常的连接保障数据通讯。2.5.2.2、设备冗余考虑到数据中心的特点，在xxx公司中心设计初期，就对设备冗余做了充分的考虑，核心设备采用可靠性最高的双机热备份模式，关键设备全部双机热备份，保证单一设备故障时，数据中心业务不受任何影响，彻底解决单点故障问题。引擎冗余数据中心的核心的交换机和路由器都使用两块冗余引擎，在两块冗余引擎上使用sso的切换方式。sso切换方式只需要3秒左右就可以完成切换，并且不用重新初始化板卡 。网络连接rprrpr+ssosso+nfs备份引擎自动切换是是是是同步startup-config是是是是同步running-config否是是是同步rib&fib否否是是同步二层链路状态否否是是同步路由协议session否否否是切换时间长较短短短复杂程度低较低中高电源冗余信息中心的网络设备都需要支持两种电源冗余工作模式，建议使用redundant模式（默认设置）。combined模式一般用于电源更换或升级等特殊情况。模块和端口冗余模块和端口冗余的通用原则- 同一机箱优先使用高编号槽位；- 同一模块优先使用高编号端口；- 上连链路优先使用高编号端口、下连链路优先使用低编号端口，互连链路尽量使用引擎上自带的端口；- 确保channel中的两个端口端口使用不同模块，由于核心交换机只配置了一块10ge端口模块，20ge channel只能使用同一模块的端口。2.5.2.3、端口的可靠性端口是网络设备互连的通道，思科提供多种端口功能协议。为了保障网络设备连接的可靠性，路由交换机端口应根据数据中心的通讯模式设计。协议路由端口（非trunk）trunk交换端口vlan交换端口auto-negotiation禁止禁止，手工设置禁止dtp禁止启用禁止pagp启用启用禁止udld启用启用禁止vlan无trunk模式，自动协商接入模式cdp启用启用禁止2.7、xxx公司数据中心网络虚拟化服务（此处为相应设备的亮点技术，根据具体项目不同编写）2.7.1、cisco nexus7000虚拟多机技术cisco nexus 7000系列交换机虚拟多机技术是一种网络系统虚拟化技术，将一台cisco nexus 7000系列交换机物理的划分为多个实体主机，通过对硬件资源，如控制引擎，交换背板的物理划分，实现将一台nexus 7000系列交换机划分为多个虚拟实体，以实现不同业务在核心层的隔离，并且，当cisco nexus 7000在满足数据中心本身的交换需求后，仍有大量资源空闲时，可以将空闲资源划分出来另作他用，有效的提高cisco nexus 7000做为网络核心的利用率，从而从侧面提升cisco nexus 7000的性能价格比。2.7.1、cisco 6509交换机vss技术cisco6500系列交换机虚拟交换系统（vss）1440是一种网络系统虚拟化技术，将两台采用了virtual switching supervisor 720-10g vss的cisco catalyst 6500系列交换机组合为单一虚拟交换机。在vss中，这两个交换机中的管理引擎的数据面板和交换阵列能同时激活，因此总系统交换能力可达1440gbps。vss成员通过虚拟交换机链路（vsl）连接。vsl在虚拟交换机成员之间使用标准万兆以太网连接（多达8条，以提供冗余性）。通过在virtual switching supervisor 720-10g或ws-x6708-10g模块的任意端口上使用万兆以太网上行链路，即能形成vsl。除在vss成员间进行控制面板通信外，vsl也能传输普通用户流量。vss支持所有采用集中或分布式（利用dfc3c或dfc3cxl）转发模式的cisco catalyst 6500系列交换机。与传统的l2/l3网络设计相比，vss 1440提供了多项显著优势。大体说来，其优势可归纳为以下三个主要方面： l vss能够提高运营效率 单管理点，包括配置文件和单一网关ip地址（无需hsrp/ vrrp/glbp） 多机箱etherchannel （mec）创建了简单的无环路拓扑结构，不再依靠生成树协议（stp） 底层物理交换机经由标准万兆以太网接口相连，在位置方面提供了灵活的部署选项 l vss能够优化不间断通信 机箱间状态化故障切换不会干扰需要使用网络状态信息的应用。凭借vss，在一个虚拟交换机成员发生故障时，不再需要进行l2/l3重收敛，能在一秒内实现确定性虚拟交换机的恢复。 与基于生成树协议的收敛不同，使用etherchannel（802.3ad或pagp）能在一秒内完成确定性l2链路恢复。 l vss能够将系统带宽容量扩展到1.4 tbps 在冗余cisco catalyst 6500系列交换机上激活所有可用的l2带宽，在etherchannel基础上进行精确的负载均衡。 为冗余数据中心交换机上的服务器网络接口卡（nic）提供基于标准的链路汇聚，实现最高服务器带宽吞吐率。 消除了因非对称路由引起的单播洪泛，减少了园区内流量的跳数，从而节省了带宽。 2.7.2、fwsm虚拟化技术及应用与思科6500交换机7600路由器结合，具有灵活的端口扩展能力。7600路由器配置防火墙模块后可以将7600路由器变成一台广域网防火墙。路由器上的所有端口均可以配置不同的安全级别。强大的防火墙性能，在单台65系列交换机7600路由器上可以插4块fwsm，每块fwsm的吞吐量为5.5gbps,四块合计22 gbps。每个防火墙模块可支持256个虚拟防火墙，为数据中心提供了强大的灵活性。虚拟防火墙的资源可定制，每个虚拟防火墙占用的cpu、memory以及其最大连接数等资源可以根据需要来定制，极大的增加了虚拟防火墙的安全性和可用性。支持高达256个802.1q的 vlan，使大大增加了防火墙的使用灵活性。工作模式多样化，支持透明、路由、nat、透明路由的混合模式的工作模式。支持多台防火墙主机的集群，支持active/active模式以及standby模式。支持丰富的qos特性2.8、xxx公司中心网络ip地址设计（ip地址规划，根据具体项目，具体设计，一般初期仅做初步描述）苏宁电器idc中心网络ip地址的设计，将根据现有的业务系统进行统一的规划与设计，在实际允许的情况下兼容原有ip地址，为日后割接提供准备的基础。2.9、xxx公司中心网络路由协议设计（路由设计，根据具体项目具体设计，一般初期仅做初步描述）苏宁电器idc中心网络路由协议建议使用ospf协议与bgp协议，ospf协议做为其应用主协议，bgp协议则运行在备份链路上，当主协议ospf故障时，则由bgp协议替代，以保证其网络的连通性，减少协议倒换的时间。2.10、xxx公司中心网络安全设计（此处为相应安全的设备及技术，根据具体项目不同编写）2.10.1、cisco6500及cisco7600防火墙模块cisco6500交换机和cisco 7600系列路由器的防火墙服务模块（fwsm）是一种高速的、集成化的服务模块，可以提供业界最快的防火墙数据传输速率：5gb的吞吐量，100000cps，以及一百万个并发连接。在一个设备中最多可以安装四个fwsm，因而每个设备最高可以提供20gb的吞吐量。作为世界领先的cisco pix防火墙系列的一部分，fwsm可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。 fwsm采用了cisco pix技术，并且运行cisco pix操作系统（os）-一个实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法（asa）的保护机制，它可以提供面向连接的全状态防火墙功能。利用asa，fwsm可以根据源地址和目的地地址，随机的tcp序列号，端口号，以及其他tcp标志，为一个会话流创建一个连接表条目。fwsm可以通过对这些连接表条目实施安全策略，控制所有输入和输出的流量。 l fwsm的主要优点防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护企业网络免受未经授权的外部接入的攻击，还可以防止未经授权的用户接入企业网络的子网、工作组和lan。fbi的统计数据显示，70%的安全问题都来自于企业内部。在fbi开展的调查中，五分之一的受访者表示，在过去12个月中，有入侵者闯入或者试图闯入他们的企业网络。大部分专家都认为，大多数网络入侵活动都没有被检测出来。l 集成模块 fwsm安装在cisco catalyst 6500系列交换机或者cisco 7600互联网路由器的内部，让这些设备的任何端口都可以充当防火墙端口，并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说，这种功能非常重要。cisco catalyst 6500 真正成为了那些需要各种智能化服务（例如防火墙接入、入侵检测、虚拟专用网（vpn）和多层lan、wan和man交换功能的客户的首选ip服务交换机。l 适应未来需要fwsm可以支持5gb的吞吐量，因而可以提供无以伦比的性能，让用户无须对系统进行彻底的升级，就可以满足未来的要求。在catalyst 6500中最多可以添加三个fwsm，以满足用户不断发展的需求。l 可靠性fwsm建立在cisco pix技术的基础之上，并使用了同一个经过时间检验的cisco pix操作系统-一个安全的、实时的操作系统。fwsm可以利用行之有效的cisco pix技术检测分组，从而可以在同一个平台上提供性能和安全的独特组合。 l 低廉的整体运营成本fwsm可以提供所有防火墙中最佳的性能价格比。cisco catalyst机型的smartnet 合同中包含了维护成本。由于fwsm是基于cisco pix防火墙的，所以培训和管理成本都很低，而且由于它是集成在设备内部的，所以大大减少了需要管理的设备的数量。l 易用性cisco pix 设备管理器的直观的图形化用户界面（gui）可以用于管理和配置fwsm。在配置和监控方面，fwsm可以获得思科管理框架和cisco avvid（集成化语音、视频和数据体系结构）合作伙伴的支持。2.11、xxx公司中心网络qos设计（qos设计，根据实际情况设计，一般初期仅做初步描述）ip qos ( quality of service ) 是指ip网络的一种能力，即在跨越多种底层网络技术（fr、atm、ethernet、sdh等）的ip网络上，为特定的业务提供其所需要的服务。衡量ip qos的技术指标包括：1）带宽/吞吐量 指网络的两个节点之间特定应用业务流的平均速率；2）时延 指数据包在网络的两个节点之间传送的平均往返时间；3）抖动 指时延的变化；4）丢包率 指在网络传输过程中丢失报文的百分比，用来衡量网络正确转发用户数据的能力；5）可用性 指网络可以为用户提供服务的时间的百分比。本质上，要保证服务质量的最基本和最佳的手段是网络容量的扩容，通过增加链路带宽来保证网络轻载，出于网络的实际情况考虑，在有限的带宽前提下，在链路拥塞时，需要保证不同等级业务的服务质量，因此，需要在设备上支持对不同qos等级的报文优先转发的队列调度机制。目前，qos实现机制主要有两个：综合型业务（intserv）模型和区分型业务（diffserv）模型。集成服务模型通过rsvp协议针对每个业务流进行资源预留，提供端到端服务保证。这种服务模型在应用使用之前，首先需要进行资源的预留，针对每个流都要维护rsvp的软状态。这种服务模型的的优点在于能够提供细粒度的、严格的qos服务，但是扩展性比较差，路由器难以维护大量的软状态和控制流。由于集成服务模型的缺点，现在集成服务模型已经很少使用，取而代之的是下面重点介绍的差分服务模型。差分服务类型对不同的流进行分类，对每个类提供不同的qos服务。通过分类，维护软状态以及控制流的开销大幅度缩小，可扩展性比较高。它的缺点在于提供的服务是粗粒度的、不严格的qos服务。综合考虑现有qos技术，我们推荐苏宁电器idc中心qos改造采用以diffserv为主的qos技术，采用dscp和ip precedence相兼容的标记方式。业务接入控制点设备实现业务的分类、标记和带宽控制，城域网骨干路由器根据dscp等级标记按优先顺序进行ip包的转发。2.12、xxx公司数据中心网络管理设计（根据项目使用网管工具编写）思科安全监控、分析和响应系统（思科安全mars）是一款基于设备的全功能解决方案，可提供针对您现有安全部署的、前所未有的了解和控制能力。思科安全mars是思科安全管理生命周期的一个关键组件，可帮助您的安全和网络机构识别、管理和抵御安全威胁。它可充分利用您现有的网络和安全投资，来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持内部策略符合性，可作为整体法规符合性解决方案工具中一个不可缺少的部件。安全和网络管理员所面临的问题有：l 安全和网络信息过载l 性能不佳的攻击和故障识别、优先级划分和响应l 更高攻击先进程度、速度和修复成本l 满足法规符合性和审查要求l 较少的安全人员和预算思科安全mars可通过以下功能满足其需要：l 集成网络智能，进行网络异常事件和安全事件的先进关联l 察看校正后的事件并自动执行调查l 通过全面充分利用网络和安全基础设施来防御攻击l 监控系统、网络和安全运行来帮助企业达到法规符合性l 以最低tco提供一个易于部署和使用的、可扩展的设备思科安全mars可将原始网络和安全数据转化为可操作的智能特性，以提交正确有效的安全事件并保持法规符合性。这一易于使用的威胁防御设备系列可利用已部署在您的基础设施中的网络和安全设备，使操作员可集中、检测、防御和报告重要威胁。l 深度防御问题信息安全已从互联网、周边防护发展为深度防御模式，在基础设施中部署了多项措施来抵御安全漏洞和攻击。鉴于攻击频率日益增加、攻击复杂度各不相同，以及攻击非常迅速，网络内部和周边间的界线逐渐模糊，因此这些措施是非常必要的。为试图利用漏洞发动攻击，每天攻击者都会对网络接入点和系统进行数千次探测。先进的混合攻击使用多种欺骗式攻击方法，以便从机构内外获得未授权系统访问和控制。蠕虫、零日攻击、病毒、特洛伊木马、间谍软件和攻击工具的普及可对最为坚固的基础设施构成挑战导致防御作用时间缩短、出现停运和昂贵的修复措施。除服务器和网络设备数量较多外，每个安全组件都提供独立的事件记录和报警功能，以用于异常流量检测、威胁响应和分析。不幸的是，这就生成了大量的干扰、报警、日志文件和误报，需操作员辨别或高效利用它们但这样的前提是有足够的时间和资源来分析和了解这些信息。此外，法规也要求严格数据保密、更高运营安全性和进行持续审查。l 先进的安全信息管理安全信息/事件管理（sim）产品从逻辑上看来避免了这一问题因为您无法对您不能测量出的信息加以管理。sim使操作员拥有了集中操作的能力：汇总安全事件和记录，通过有限关联和查询技术来分析数据，并针对独立事件生成报警和报告。思科通过一个可扩展的企业威胁防御设备系列，解决了这些安全问题，弥补了管理的不足。思科安全mars提供了一个易于部署和使用、经济有效、性能出众的安全命令和控制解决方案，对您的网络和安全基础设施投资构成补充。思科安全mars是一个性能出众的可扩展威胁防御设备系列，通过结合网络智能、contextcorrelationtm、surevectortm分析和automitigatetm功能，来使公司能作好准备，识别、管理和消除网络攻击并保持法规符合性，从而增强已部署的网络设备和安全措施。l 思科安全mars的主要特性和优势 网络智能事件汇总和性能处理思科安全mars了解路由器、交换机和防火墙的拓扑和设备配置，以及网络流量配置，实现了网络智能。通过该系统的集成网络发现功能，可构建一个包括设备配置和当前安全策略的拓扑图，使思科安全mars能对您网络中的分组流建模。因为此设备不在内部运行，极少使用现有软件代理，所以对网络或系统性能的影响极小。这一设备集中汇总了来自各种常用网络设备（如路由器和交换机）、安全设备和应用（如防火墙、入侵检测、漏洞扫描器和防病毒软件）、主机（如windows、solaris和linux系统日志）、应用（如数据库、web服务器和验证服务器）以及网络流量（如cisco netflow）的日志和事件。conte