H3C超算中心网络安全解决方案

1、H3C超级计算中心解决方案超级计算中心及其重要作用20世纪后半期，全世界范围掀起第三次产业革命的浪潮，人类开始迈入后工业社会一一信息社会。在信息经济时代，其先进生产力及科技发展的标志就是计算技术。时至今日，计算科学，尤其是以超级计算机（或高性能计算机）为基础的计算科学已经与理论研究、实验科学相并列，成为现代科学的三大支柱之超级计算机（高性能计算机）是指经过特殊优化设计的具备超强计算能力、存储能力和通讯能力的计算机系统。现代超级计算机基于先进的集群技术构建，能够支持大规模科学计算及工程计算，并在商业计算、互联网、电子政务、电子商务等领域拥有巨大发展潜力。超级计算在一个国家的发展中，特别是一些尖端

2、科技的发展中，发挥着不可替代的使用。生物科技,石油勘探，气象预报，国防技术，工业设计，城市规划等经济、社会发展的关键领域都离不开超级计算。各个国家，尤其是经济、科技水平比较发达的国家，都把促进超级计算的发展作为重要的规划内容。美国、日本和欧洲各国，为了增强其在国际上的综合竞争力，纷纷制定长期发展计划，政府投资建设与民间外包运营并举，竞相投入巨大人力、物力和财力建设超级计算中心。超级计算中心发展及应用水平正日益成为一个城市乃至一个国家科研实力、经济实力的重要标志之一。超级计算中心（超算中心）是指基于超级计算机系统对外提供计算资源、存储资源以及技术咨询等服务的机构或单位。超级计算中心发展趋势互联网

3、产业的快速发展将推动IT产业发生颠覆性变革，传统以PC为核心的应用模式很可能将不复存在，未来一切应用软件和数据存储都将依赖远端的大规模计算中心，这就是所谓的“云计算”！目前，全球各大IT厂商都将发展云计算技术作为最重要的目标，包括微软、Google、IBM等都推出了各自的云计算解决方案。“云计算”使得IT资源由分布趋于集中，大型IT中心建设将进入快速发展时期。资源整合有利于提高使用效率并易于管理，同时能够保证最佳的应用水平和服务支持能力。因此，未来IT资源将以“按需服Software as a service 、基础架构即服务务 On-Demand-Service ”模式展现给用户，包括软件即

4、服务Infrastructure as a Service以及平台即服务 Platform as a service等多种模式。超算中心作为拥有巨大计算资源、存储资源以及软件资源的机构，对科技发展的推动、对经济发展的 推动、对重大工程、项目和战略目标的不可替代作用等价值日益凸现。因此，未来政府主导的超算中心建公共服务”是未来超算中心的基本设将进入快速发展阶段，超算中心将成为政府基础设施建设的一部分， 属性。从这一点上来说，超算中心的目标和云计算的目标一致。此外，未来超算中心的应用模式将不断拓展，综合性超算中心的建设将成为主流。综合性超算中心可 以在以下领域发挥作用：科研类： 面向教育和科研领域

5、用户的科学计算应用企业类： 提供计算、存储和软件资源，对企业用户提供服务，按需付费政务类： IT 投资集中化，建设成政务信息计算中心金融类： 面向金融、证券等行业的海量数据挖掘电子商务类： 线上交易平台与商务智能数据处理类： 海量互联网数据的处理和分析。H3C 超级计算中心网络安全解决方案基于在 IT 领域的长期耕耘，纵观超算中心发展历程，H3C提出基于统一交换网、统一安全的超算中心网络安全解决方案。H3C超算中心网络安全解决方案电子政务网接入区j子政务外子政务外网互联网接入区负载均HPC区S12500S12500S12500办公终端接入区超算中心核心区，S12500电子政务共有计算区管理控制

6、区蕊題理系1统一交换网络超算中心自1973年面世以来，强大生命力和业务承载能力已经使得以太网已经成为通信网络的事实标准。近年万兆以太网在性能上大幅增强，2010年IEEE将发布100G和40G以太网，成为名副其实的“高性能通信网络”。在超级计算领域，09年6月发布的世界 TOP500超级计算机排名显示，282个站点采用以太网连接,占据的份额。通过统一的HPC集群通过全以太网连接前端网一主节点一计算网一计算节点一存储网一存储和管理网,网络通信架构、解决 HPC集群采用异构通信网络（计算网采用Infin iba nd 、存储网采用FC）的各种问题。高性能计算集群统一交换网络存储计算节点前端以太网管

7、卩理 以 太I网传统的超算中心网络结构异构复杂，接口不统一:前端网和管理网采用以太网;存储网米用FC;计算网用Infiniband超算中心通信网络复杂异构、接口不统一，导致超算中心运行时协议转换开销大、速率不匹配、存在 性能瓶颈、开发与部署周期长、无法满足业务快速灵活部署和性能的需求。超算中心通信网络一由繁化简传统异构网络核心层/前端网络/ LAN汇聚层接入层存储网络集群/刀片Infin iBa nd统一交换网络LAN 前端网络SAN存储HPC集群统一架构与接口1/EthernetUS讥T Cha nel超算中心一体化网络通过CEE（增强以太网）和标准IP协议融合前端、计算、存储和管理四张网络

8、,消除网络技术割裂所来的种种弊端。降低TCO 简化网络层次 增强业务灵活性 轻松部署 至简的维护 万兆以太网增强技术（RAMA和ToE）解决了带宽和性能的瓶颈CEE彻底解决了高性能计算大流量并发所带来的丢包问题彻底解决数据计算、交换、存储协议转换的性能瓶颈通过第二代智能弹性架构IRF II技术，使超算中心网络的性能以倍数级别灵活扩展,增强可靠性增强,简化配置，降低投入和维护成本。IRF II可实现分布式设备管理、分布式路由和跨设备链路聚合，部署IRF II除了提高超算中心网络的可用性，减少单点故障影响，还可以:分布式处理二三层协议，极大提高网络性能。每组当成一个逻辑 Fabric，配置管理更高

9、效。交换集群内设备软件版本同步升级，升级容易。整个交换集群的设备支持热插拔，灵活管理。交换集群实现倍数级的接入密度和背板交换能力，并提高组网的可靠性。对高端设备而言，可将多台设备当成一台设备进行管理，实现性能倍增，简化组网。部署IRF II后，无需再考虑 MSTP VRRP等协议，解决了传统设备和链路只能工作在主/备模式和利用率低于50%的性能瓶颈。统一安全超算中心H3C超算中心安全解决方案秉承了H3C 贯倡导的“统一安全理念”，将安全部署渗透到整个超算中心的设计、部署、运维中，为超算中心搭建起一个立体的、无缝的、统一的安全平台，真正做到了使超算中 心安全保护无处不在。H3C超算中心安全解决方

10、案的技术特色可用：安全多层保护、安全纵深防御、安全分区规划、 部署来概括：安全分层以超算中心数据资源为核心向外延伸有多层保护功能。 特性丰富的端点准入（EAD方案兼容性强、有丰富报表输出的安全管理方案灵活的VPN接入方式强大的DDoS防御方案（流量清洗）高性能硬件防火墙业界领先的反病毒软件以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS性能强大的应用优化设备多层保护的同时为超算中心网络提供了从链路层到应用层的多层防御体系，如图。交换机提供的安全特性构成安全超算中心的网络基础，提供数据链路层的攻击防御。超算中心网络边界安全定位在传输层与网络层的安全上，通过状态防火墙可以把安全信

11、任网络和非安全网络进行隔离，并提供对DDO舔口多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在 网络中的各种流量进行有效管理，从而达到对网络应用层的保护。在超算中心网络中存在不同业务种类和易受攻击程度不同的设备，按照这些业务种类和设备的情况制 定不同的安全策略和信任模型，将超算网络划分为不同区域，超算中心安全分区具体如下图。超算中心安全分区规划电子政务网接入区互联网接入区防火墙【- TT TI ,1 J PBB懸fli 翎S12500S12500办

12、公区iw电子政务区超算中心核心区Ml 审 I 带外网络区安全分层部署把超算中心分成网络安全、业务安全、管理安全三个安全控制区域，针对网络、业务、 管理对安全控制的不同需求进行分层次的安全部署，打破了超算中心安全部署困难的难题，便于采用不同 的安全设备、安全策略防范不同区域的安全隐患。超算中心安全分层部署核心交换机网络安全区域FWASEIPSAFCFWASEIPSAFC业务安全区域管理安全区域1核心交换机aFW ASEIPS AFCFWASE b IPSAFC前端卜业务网络政府客户区超算区扩展用户区安全保护区应用加速区共享存储区灾备区8J 4 J客户工作区网管监控区存储网络严程接入，F灾接 广银

13、行接.DCN 接Ji综合接入区后端管理网络H3C高性能计算万兆存储解决方案H3C基于端到端万兆体系架构的IP存储产品带宽飞跃。通过采用万兆技术，后端存储每个端口的IX3620I/O能力是传统存储系统的5倍。应用于超算中心,实现了存储设备性能及存储通道I/O对于通过I/O节点汇聚的高性能计算应用，倍的带宽接入后端存储网络。从I/O节点到万兆IP发存储通道，彻底解决高性能计算中的数据访问瓶颈。节点通过配置万兆 TOE卡，以高于传统存储系统的 5交换机，再到IX3620存储系统，采用全万兆的高速并IX3620具备4个万兆端口，通过链路聚合接入冗余万兆IP交换机，还能够实现数据访问链路的故障切换，进一

14、步提高系统可靠性。H3C超算中心相关产品IPS、LB等安全设备，提供业界最全、特H3C拥有超算中心核心、汇聚、接入交换机设备以及防火墙、性最丰富的超级计算中心网络、安全、存储产品线。H3C超算中心相关产品高扩展设计:采用IRF II技术便于部署实施、也便于今后进行大规模扩容核心S12518S12508接入S5800S9508E-VS9512ES5810S5820安全SecBladeSecBladeSecBladeSecBlade LB SecPathSecPathSecCenterFWIPSAFC/AFDF5000ASE5000A1000核心交换网络:汇聚交换网络:接入交换网络:安全优化设备:

15、存储设备:IX3620S12500系列核心交换机S9500E S7500E系列交换机S5800、S5500系列交换机IV5680UDM统一数据管理平台防火墙FW入侵检查IPS、负载均衡LB、流量清洗AFC应用加速ASE全管理SecCenterIX3600系列存储盘阵、IV5600系列存储虚拟化设备、UDM存储管理软件H3C HPC集群网络设计特点H3C超算中心HPC集群网络采用创新性的设计，提供如下三大特点:一体化设计:统一计算、存储、管理、前端网络高性能设计:采用100G核心交换机、多功能（安全优化等）汇集交换机、大缓存接入交换机等H3C HPC集群网络设计特点?高性能、咼扩展、一体化（统一计算、存储网络）IP存储网络多台1X3600 IP存储HUliTTTXTTT71-4 台 S12500N台S5800最大节点数=N*48千兆无阻塞交换（千兆接入、万兆汇聚）客户服务热线400-810-0504800-810-0504Hangzhou H3