数据中心私有云解决方案

1、数据中心私有云解决方案日期：七月 22密级：内部公开杭州华三通信技术有限公司浙江省政务云案例介绍企业数据中心运营商数据中心传统数据中心面临的困境 管理策略分散缺乏统一的集中化IT构建策略，无法对数据中心内的基础设施进行监控、管理、报告和远程访问。 硬件利用率低CPU利用率：10% 25%一台服务器、一个操作系统、一种业务应用 运维成本上升服务器、存储、网络数量急剧膨胀占地空间、电力供应、散热制冷、维护管理成本上升 业务部署缓慢提交变更请求与进行运营变更之间存在较长延迟硬件选型、采购、上架安装、操作系统和应用程序安装、网络配置、数据中心的虚拟化云架构资源调度网络计算存储基础数据中心融合数据中心云

2、数据中心自适应全虚拟化 融合010203IO融合硬件融合计算虚拟化网络虚拟化存储虚拟化弹性业务赓续多租户接入层web层APP层DB层edge routersroutingswitchesauthentication, ,intrusion detect, web cache1st level firewall2nd level firewallload balancingswitchesweb serversweb page storage(NAS)databaseSQL serversstorage areanetwork(SAN)applicationserversfiles(NAS)sw

3、itchesswitchesinternetinternet网络池化internetinternet存储池化FW 资源池服务器池化IPS 资源池虚拟化环境下，原有分散部署的多层次设备将逐步资源池化并通过虚拟化技术实现多通道防护，因此在高性能、弹性可扩展、虚拟化等方面提出了新的要求实践：从“多设备”到“资源池”大类小类特征举例非硬件辅助虚拟化Container-based：基于容器的虚拟化VM无OS，共享系统OS，VMM驻留OS内核OPEN VZ，思科NX-OSHost-based：基于主机的虚拟化VM有独立OS，VMM作为系统OS一种应用Vmware server and workstatio

4、nParavirtualization：准虚拟化VM有独立os，VMM直接和硬件接口，但VM的OS需要修改XenFull virtualization：完全虚拟化VM有独立OS，不做任何修改，VM的OS代码仿真执行/代码转换Vmware ESX、KVM硬件辅助虚拟化分CPU/内存/IO等直接在硬件上提供虚拟化能力，简化软件的实现Intel的VT-x/VT-I:指令虚拟化/灵活迁移VT-d：VM的os直接处理中断和DMAVT-c：VMDq，SR-IOV硬件分区虚拟化分为物理分区和逻辑分区主要用于大型机，硬件资源直接做物理或逻辑分区，每个分区运行各自的OSIBM S/370 SI-PP & PP-

5、SIIBM system z LParHP nPartitions变革的起始服务器虚拟化服务器虚拟化技术发展阶段实验阶段全面发展应用阶段服务器虚拟化对计算的影响AppOperating System未更改过的应用未更改过的OS虚拟硬件每台机器上只有单一的操作系统镜像每个操作系统只有一个应用程序软件必须与硬件相结合每台机器上有多个应用软件相对于硬件独立虚拟化前虚拟化后vSwitchvSwitch迁移SwitchServerServer虚拟化前虚拟化后服务器所有流量均经过网络服务器与交换机互连端口固定策略分析VM部分流量在vSwitch内部交换VM动态迁移服务器虚拟化对网络接入层面的影响策略分析服

6、务器虚拟化对存储设计的影响采用共享存储设计方案，方案虚拟机在物理设备间的迁移池化存储资源大量使用IP存储浙江省政务云案例介绍企业数据中心运营商数据中心数据中心云平台建设步骤评估规划实施优化任务：全面盘点客户IT资产，评估基础设施工作负载容量状态，确定业务、财务和技术需求。交付件：评估报告及针对客户需求的H3C建议。任务：根据客户需求制定详细的方案与计划，确定项目角色与职责、关键日期与里程碑等。交付件：体系结构设计报告、配置指南、验收测试用例、关键内部流程认定。任务：依据规划和方案设计安装和配置，并按照规划阶段确定的验收标准进行测试。交付件：正常运行的虚拟化和云计算环境、配置说明、规划与实施之间

7、的差异性报告以及验收负责人的验收报告。任务：售后服务支持。借助基于基准阈值异常检测和警告功能，监控虚拟资源利用率，不断进行容量和业务流程优化。交付件：优化前后性能报告。云数据中心建设评估内容完整的基础设施资源清单型号、数量、性能指标、业务需求哪些业务不适合于虚拟化哪些业务需要HA和灾备保障服务器整合比是否可以利旧，如何利旧需要新购置的服务器硬件规格与数量项目实施计划与建议项目实施路线图与风险评估分批次迁移策略时间任务阶段一项目开工需求收集容量与财务评估发布评估报告阶段二阶段三阶段四阶段五业务应用虚拟化适应性矩阵高中低中低适合虚拟化特别适合虚拟化 热备环境的备机 防病毒服务器域控服务器 终端管理

8、服务器 办公服务器 企业级文件服务器 数据库主机（用户量较大） 企业级Web服务器 企业级应用服务器 企业级数据库服务器 用户较少使用用途单一的服务器 开发测试服务器 NT服务器（Windows 2000） 部门级文件服务器数据库主机 （用户数量较小） 支持并发方式部署的Web服务器 小型应用服务器 小型数据库服务器小型消息传递类服务器不适合虚拟化可以虚拟化系统资源利用率/需求并发用户规模私有云建设关注四个方面计算资源池设计网络资源池设计存储资源池设计管理设计云数据中心方案规划设计原则核心业务无法虚拟化业务(小机)非核心业务（X86）研发/生产系统物理机环境运行独立双机集群部署H3C CAS虚

9、拟化环境运行集群方式部署自助式服务部署专属虚拟机模板预配置OS、应用软件云数据中心设计原则数据中心建设的IT资产盘点（例）业务分布IBM X336 8837 16CHP ProLiant DL380 G729IBM System x365011747邮件系统门户网站人力资源会计管理视频监控影像资料ERP安全策略OA自动化办公IT需求生产管理数据中心建设的IT资产分析（例）CPU大于15%仅有4种业务系统（财务管理系统、OA自动化办公系统、微软Lync即时通信系统、生产管理系统）关键应用系统业务增长较快，普通应用系统相对平稳数据中心建设的IT整合策略（例）IBM X336 8837 16CH3C

10、 R390已停产硬件配置低后期维护费用高IBM System x3650淘汰处理，降低空间、电力、运营成本新采购CPU支持Intel-VT技术5台单独安装4种关键业务12台虚拟化运行其余业务单独管理机安装CAS已停产计算资源池设计整合比服务器硬件配置CPU性能：核数越多，主频越高，所能支持的虚拟机数量越多。内存大小：内存容量越大，所能支持的虚拟机数量越多。HBA卡：建议采用4Gb或8Gb的HBA卡，以减少链路影响。本地磁盘：内置的本地磁盘可用性和I/O吞吐能力都较弱，推荐使用外置高性能磁盘阵列。应用负载大小与业务关键程度应用负载越大，能同时运行的虚拟机数量越少。业务越关键，建议同时运行的虚拟机

11、数量越少。考虑到HA和DRS所要求的资源冗余，总体资源使用率不超过2/3较合适。经验数据：双路6核 6VM/服务器，四路6核 10VM/服务器。整合比（单台服务器上虚拟机数量）的决定因素计算资源池设计物理集群部署业务网络与虚机迁移网络逻辑隔离虚拟化的物理主机集群常规部署小于32台按每机柜8台部署，同时考虑到跨机柜迁移冗余，建议以2个机柜构成物理机集群在具体业务部署可以按照4-8台服务器构建集群资源池，提高整体健壮性物理主机集群物理主机集群计算资源池设计VM部署云管理平台(物理服务器)云管理平台(物理服务器)CPU/内存/IOHypervisorVMVMCPU/内存/IOHypervisorVM

12、VMCPU/内存/IOHypervisorVMCPU/内存/IOHypervisorVMVM双机HA管理和监控心跳信号VM共享存储计算资源池设计高可靠性保障服务器集群存储网络共享存储共享存储RAID邮件系统门户网站文件系统H3Cloud CVKDHCPDNS安全评估H3Cloud CVK销存管理财务管理ERPH3Cloud CVK组播心跳计算资源池设计虚拟机高可用集群（HA）应用场景适用于对业务运行连续性要求较高的场合。当服务器或VM故障时，能够自动选择空闲服务器，并将VM在空闲服务器上重启。特性价值无需独占专门的备用服务器资源，减少灾备方案中的冗余投资。无专业集群软件的投入成本和应用复杂度。

13、计算资源池设计动态资源调度（DRS+）支持虚拟机与主机亲和性设置应用场景适用于可能存在持续性突发业务负载的场合。特性价值动态调整业务负载的分布，提升系统可用性。计算资源池设计 DRX动态资源扩展面向用户业务全面监控基于负载的资源弹性无缝伸缩自动化免人工干预实现多业务整合DRX操作系统业务应用操作系统业务应用操作系统业务应用计算资源池设计 DRX实现资源随需而动DRX实现资源随着业务负载的变化而变化提供应用资源传统部署DRX部署时间时间提供应用资源负载负载操作系统业务应用操作系统业务应用操作系统业务应用操作系统业务应用传统部署模式特点：部署单一应用按照最大资源需求建设资源利用率低增加资源缓慢DR

14、X特点：多业务共享资源池资源利用率高应用所需资源按需自动增加添加资源响应时间分钟级计算资源池设计 DRX扩展的对象WebApp/MiddlewareDatabase页面展示，适合DRX业务逻辑，适合DRX数据存取，涉及到数据一致性，暂不适合DRX具体到实际部署方式：WebAPPDBDBAPPWebWebAPPWebAPPDBWebAPPDRX不涉及数据一致性问题，特别适合DRXAPPWebDBAPPWebDRXDRXAPPWebWeb层和APP层分别进行DRX，适合DRX【使用场景】高峰时期时Web应用或单节点应用突发访问，例如：高校选课、税务报税等。H3C负载均衡设备H3C CVK虚拟化平台

15、业务分发服务器服务器服务器服务器创建新虚拟机1资源动态扩展业务负载超限新增资源注册2H3C CVM云管理平台服务计算资源池设计快速响应突发高峰业务负载超过门限后，云管理平台自动创建新虚拟机为业务扩展资源，并与LB配合提供服务私有云建设关注四个方面计算资源池设计网络资源池设计存储资源池设计管理设计大型数据中心实践管理中心H3C CASH3C iMC 骨干网计算资源池SAN灾备中心DCI链路网络管理员SAN存储开发测试区大数据区外联区XX区存储资源池开放服务器区计算资源池CallCenter主机区分布式存储数据中心分区设计思想Intranet 服务器区数据交换&测试服务器区数据中心管理区Extra

16、net 服务器区本区主要放置由内部用户访问的应用和数据库,是最重要的业务区域.本区主要放置为不同业务应用之间进行数据交换的中间业务应用.本区主要放置管理服务器,并可以连接到园区的管理系统里。本区主要放置被来自外联网络的合作方或通过VPN接入的合作方所访问的应用和数据库.Internet 服务器区本区主要放置Internet DMZ架构下的服务器如DNS等，也称为DMZ区.数据中心核心区Internet/VPN 接入区园区网本区部署网络存储设备: IP SAN或FC SAN。服务器通过高性能以太网交换机或FC交换机与磁盘柜联接数据存储功能区本区部署备份管理服务器及数据备份存储与网络系统，提供近线

17、、远程数据容灾与备份功能数据灾备功能区生产1区生产2区非生产区园区网核心区网络资源池设计关键节点高可靠使用IRF2前VLAN路由路径使用IRF2后配置文件IRF， N:1设备虚拟化技术，在不改变物理拓扑连接条件下，通过将网络同一层的多台物理设备整合为一台逻辑设备，从而实现多台设备的协同工作，统一管理，从逻辑上简化网络结构，并提升网络的整体效率：同层级多节点合一，通过跨设备链路捆绑，多链路被捆绑成单条逻辑链路；消除VLAN+MSTP/VRRP配置，配置简单，网络收敛时间大幅降低；单个物理节点、链路故障，不影响上层路由管理大幅降低网络资源池设计简化网络层级IRF3，纵向融合架构，在纵向维度上支持设

18、备扩展，把远端的盒式设备作为一块远距离接口板加入主设备系统，以达到扩展端口能力和进行集中控制管理的目的：将接入设备作为核心设备的板卡管理，和传统组网相比大大简化了管理节点数量；VCF扩展模块即插即用，通过在线增加VCF扩展模块即可实现网络扩展；将传统的两层物理架构压缩为逻辑上的一层，整个网络架构更为清晰简单。MDC， 1:N设备虚拟化技术，把一台交换机虚拟成N台互相独立的虚拟交换机，不同于传统的交换机虚拟化技术，MDC虚拟出的每台交换机之间物理隔离、安全隔离，拥有独立的硬件资源和管理权限：复用，多台MDC共用物理设备的资源，使物理资源能得到充分利用隔离， 同一台物理设备上的多个MDC具有独立的

19、软硬件资源，独立运行互不影响高伸缩性，可整合多个物理网络到一个物理设备上，也可以将一个物理设备扩展为多个逻辑网络缺省MDC 1非缺省MDC 3非缺省MDC 2非缺省MDC n缺省 MDC网络资源池设计提升设备复用率制约机房服务器部署密度的主要问题是电力而不是机架的物理空间；低密度电源区（46KW）不太可能部署4U高度以上的高计算密度服务器和刀片服务器（按照供电能力只能部署不多于两台服务器），因此部署8台以下的2U高度的机架式服务器会成为标准配置；高密度电源区会部署高计算密度服务器和刀片服务器，但数量在58台以下（因服务器功率与高度而异）；TOR布线考虑到将来业务量的增加及服务器的发展，10G接

20、入逐渐成为互联网发展的主流网络资源池设计物理机柜部署EOR布线网络资源池设计POD方式扩展区域：对应到一个服务器区域Pod：对应到接入交换机(EOR) 大小：取决于间距与密度 服务器机柜到网络机柜线缆长度：铜缆100m光纤200500m机架：服务器：受功率限制，每个机架630个服务器网络：取决于接入方式(TOR、EOR、Blade)存储：专门的机柜POD是一种业务提供模式，体现了数据中心业务扩展的途径网络资源池设计TIA-942逻辑结构图接入室 RM总配线区MDA路由器、核心LAN /SAN交换机、PBX等接服务商网或园区接服务商网或园区水平配线区HDALAN/SAN/KVM交换机机 房水平配

21、线区HDALAN/SAN/KVM交换机水平配线区HDALAN/SAN/KVM交换机水平配线区HDALAN/SAN/KVM交换机设备配线区 EDA机架/机柜设备配线区 EDA机架/机柜设备配线区 EDA机架/机柜设备配线区 EDA机架/机柜通信室TR办公&操作中心的LAN交换机运维办公室、办公、操作中心主干电缆主干电缆主干电缆主干电缆主干电缆主干电缆水平电缆水平电缆水平电缆区域配线区 ZDA水平电缆水平电缆水平电缆唯一不可放置有源设备的区域网络资源池设计服务器与网络的连接*按每服务器2Gbps带宽需求计算 刀片服务器刀片服务器采用网络模块连接网络，减少电缆数量，减化服务器连接，简化网络管理小型机

22、前端访问HA心跳线服务器间访问存储访问存储访问带外管理带外管理高端服务器根据具体应用场景前端网口多个服务器间访问网口多个一个管理网口一个或多个心跳互联存储网络接口 机架服务器网络接口需求：管理口：1x1GE业务口：2x1GE业务 2x1GE虚拟化存储口：2x8G FC HBA部署：双接口捆绑上行业务虚拟化迁移管理存储网络逻辑隔离网络资源池设计网口规划服务器 千兆网口万兆网口外接IP存储：建议至少3-4个网口1个用于管理网络；1个用于存储网络；（如业务量大，推荐升级为万兆网口）2个用于业务网络，双上行链路捆绑，提高链路吞吐量和可靠性。注：H3C R系列服务器默认配有4个千兆网口；根据实际需要，可

23、扩容2个万兆网口； iLO有专用网口，不需要占用服务器网口网络资源池设计流量规划一个vSwitch对应一个物理网口虚拟机生成一个vNIC，会关联到一个vSwitch上通过生成多个vNIC关联到不同vSwitch上，实现虚拟机上不同流量的划分可以为业务（存储）规划多个网口，来提升链路的传输率和可靠性vSwitch（管理）vSwitch（业务）vSwitch（存储）VMVM网络资源池设计IP网段规划服务器 #2服务器 #3业务网络管理网络iLO网络存储接入交换机链路聚合共享存储服务器 #1核心交换机+ FW/IPS/LB0050252/23082/24648/24WAN路由器总部办公PCPCPCP

24、C开发中心PCPCPCPC分支机构PCPCPCPC外联单位PCPCPCPC接入交换机H3Cloud CAS10112/2400共享存储RAID网络资源池设计基础安全DDOS检测防御SPAN/RSPAN/ERSPANNetStream高性能服务器低档服务器应用传输加密应用防火墙IPSVPNLBLB+SSLVLAN ACLIngress ACLEgress ACLuRPFiMC Sec Center转发数据流镜像监控流外部网络设备加固传输加密防火墙入侵检测与防御网络实时监控拒绝服务攻击VPN技术网络授权管理VLAN隔离双向NATProxyFWLBIPSNetStreamFWLBIPSNetStre

25、am与核心环形连接，拓扑简单适合安全和应用优化设备独立设备互联主备冗余设计2、业务设备旁挂3、业务交换集成网络资源池设计安全架构设计优点缺点场景与核心之间不能运行动态路由协议，只能配置静态路由Inline设备性能瓶颈强调安全隔离的业务区如网银与核心即可以环形也可全交叉拓扑，可以运行动态路由协议，灵活方便适合独立设备互联灵活实现按需流量牵引易保证整网性能优点缺点交换机策略复杂场景大型数据中心开放服务器区汇聚场景中小型数据中心开放服务器区汇聚与核心即可以环形也可全交叉拓扑，可以运行动态路由协议，灵活方便减少数据中心布线按需配置业务模块易满足高性能要求网络架构简化易运维管理1、井字型方案FWIPSL

26、BIPSLBVLAN1VLAN2VLAN3核心层汇聚层接入层按需防护优势简化整网安全策略按需引流，降低安全服务区负载对于不需安全处理的业务，降低传输时延及被阻断的风险安全服务区FWIPSLB安全服务区防火墙IPS服务器业务流交换机+SecBlade插卡，组成综合多业务处理平台对无须通过IPS的数据流直接Pass视频数据流交换机网络资源池设计按需防护主数据中心灾备中心存储SANLayer 2Layer 2Layer 3Layer 3Layer 2Layer 2SANDWDMDWDMDWDMServerServer存储 DCI核心网IP 网络分支园区三层互联二层互联SAN互联数据中心互联三种形式也

27、称为数据中心前端网络互联不同数据中心的前端网络通过IP技术实现互联，园区或分支客户端通过前端网络访问各数据中心。当主数据中心发生灾难时，通过前端网络快速收敛，使得客户端通过访问灾备中心以保障业务连续也称为数据中心后端服务器网络互联（以下简称DCI）。在不同的数据中心服务器网络接入层，构建一个跨数据中心的大二层网络，以满足服务器集群或虚拟机动态迁移等场景对二层网络接入的需求。也称为后端存储网络互联。通常借助传输技术（DWDM、SDH等）实现主中心和灾备中心间磁盘阵列的数据复制VXLAN 100vSwitch内置VTEPL2 GW内置VTEPL3 GW内置VTEPVXLAN 200vSwitch内

28、置VTEPL2 GW内置VTEPL3 GW内置VTEP网络资源池设计 大二层VxLAN网络物理网络主机DB服务器1服务器VM1VM2L2 GW内置VTEPL3 GW内置VTEP主机VM1VM2DB服务器2vSwitchvSwitch内置VTEPOverlay网络vSwitch内置VTEPL3 GW内置VTEPL2 GW内置VTEP私有云建设关注四个方面计算资源池设计网络资源池设计存储资源池设计管理设计存储功能区部署存储交换机SAN存储阵列HBASAN存储部署独立的SAN存储区域专用的存储交换机，冗余部署服务器HBA卡选择双通道存储服务器：足够的磁盘槽位，CPU、内存相对要求较低网络：10G以上

29、速率，延迟低的无损以太网考虑到性能要求，建议服务器配置独立网卡与存储网络连接，按照方式二部署。分布式存储部署分布式存储机柜服务器机柜存储交换机接入交换机零存储部署应用服务器除提供应用服务以外，同时以自身存储构成分布式存储，提供存储服务独立的网卡及交换设备用于存储交换。服务器磁盘资源及CPU内存等均要求较高共享存储设备服务器服务器SAN网络LAN网络网络机柜存储机柜服务器机柜网络机柜服务器机柜传统的计算虚拟化部署方案：两套系统：服务器、存储整列两套网络：LAN、SAN两套管理：虚机管理、磁盘管理服务器自带磁盘的利用率低服务器Zstor服务器LAN网络服务器机柜网络机柜Zstor服务器机柜零存储部

30、署方案：一套系统，只有服务器系统一套网络，只有LAN服务器的硬盘通过分布式存储技术，实现一个虚拟存储系统实现计算与存储融合，提高资源利用率计算与存储采用统一管理界面，简化管理虚拟存储系统存储资源池设计“零存储” 优化方案“零存储”方案即采用了分布式文件系统思路实现存储资源共享VMVMVMVM服务器VMVMVMVM服务器VMVMVMVM服务器VMVMVMVM服务器VMVMVMVM服务器vStor存储资源池设计“零存储” 优化方案存储资源池设计存储虚拟化拓扑结构对外业务网络集群数据交换网络集群管理网络云业务单元虚拟化虚拟化CVM云管理中心云业务单元云业务单元存储资源池设计分布式的数据存储模式Nod

31、e 2Node 3Node 1Data Module 2Data Module 1Data Module 3以三个节点、每个节点内3块磁盘为例集群节点4集群节点2集群节点3集群节点1 加入节点 集群节点4当新节点加入时已有数据自动重新均衡存储资源池设计自动负载均衡VM2VM1123456123456123456123456123456123456存储资源池设计高可用设计系统支持25个数据副本，副本跨节点、跨磁盘分布磁盘故障时，不影响虚拟机运行，数据自动重构节点故障时，虚拟机自动迁移，数据自动重构163624146能够容忍多块硬盘和节点故障Spare chunks存储资源池设计故障恢复以空闲的硬

32、盘作为热备,多对一重构，重构时间长，重构期间无保护，易造成数据丢失热备盘任意一块磁盘故障，剩余全部磁盘都参与重构，多对多重构，重构时间短，可靠性高传统RAID零存储数据重构的过程为：零存储每10分钟执行一次扫瞄本地的数据，如果发现数据丢失则立刻重构数据。也可通过手工命令行方式执行重构操作。私有云建设关注四个方面计算资源池设计网络资源池设计存储资源池设计管理设计管理层概述虚拟化管理层（Controller）虚拟化层 虚拟计算资源池虚拟存储资源池虚拟网络资源池云应用层业务编排自助服务门户云业务流程管理API接口层硬件基础设施层计算存储网络企业私有云业务云OpenStack帐务管理与报表虚拟存储资源

33、管理虚拟计算资源管理物理网络管理虚拟网络管理云管理Hypervisor硬件资源管理监控管理业务管理服务PortalAPI租户管理员业务用户A租户B租户D租户使用人C租户业务主管部门1部门2部门3部门4云管理员使用人业务主管使用人业务主管使用人业务主管云运营管理员流程管理设计流程管理运维管理员资源管理设计设备管理100多个厂商，6000多种类型网络设备深入的设备管理，堆叠设备、板卡、模块、风扇、电源等。支持设备仿真面板全面支持IPv6资源管理设计虚拟化管理CAS 、VMware、Hyper-V、KVM、等虚拟化全面支持集群、宿主机、vm等统一管理宿主机、vm资源分配情况，使用情况统一管理多虚拟化

34、平台管理深入的虚拟化管理虚拟拓扑虚拟机的拓扑和监控，能够正确处理外部的物理拓扑与内部的虚拟化拓扑虚拟化配置虚拟机创建、启动、关闭等。资源管理设计机房管理应用管理设计操作系统虚拟化数据库中间件统一通信应用MoreMoreLync应用服务器Web服务器More100余种应用。还在不断丰富中！更可自定义监控业务管理设计业务卡片实时反应业务系统的健康度、繁忙度、可用性、业务告警。业务水晶球掌握业务系统健康情况分布，全局了解整体业务现状。业务TOP N反应当前健康度低、业务繁忙、可用性低的前10个系统，提示管理者重点关注。IT工程师管理设计满足各层面的管理需要IT主管直观展现IT价值与业绩量化IT投资分

35、析实现IT从业务支撑向深度参与转变主动服务，快速排错。基于业务影响范围确定问题处理优先级提高运维效率。IP拓扑全网拓扑管理设计监控大屏浙江省政务云案例介绍企业数据中心运营商数据中心运营商大型IDC解决方案IPSec/SSL VPN远程访问运维支撑区交换+安全一体化移动核心路由器IDC内外网分界平面流量清洗IPS后台业务系统管理机柜1#机房：银行客户增值业务区网管监控区应用监控流量分析3#机房：政企客户5#机房：零租客户4#机房：互联网客户核心交换区中国电信网络中国联通网络2#机房：证券客户10 GEGE带宽整租模式面向互联网公司、大型政企客户租用整体机房空间或大量机架（甚至定制机架）租用出口层

36、设备多个高速端口带宽客户自带网络、安全、服务器等，整网接入面向中小客户客户自有服务器租用机架空间独享或共享低带宽运营商数据中心业务模式云资源出租模式运营商提供IaaS级服务对云资源采用计时计量收费提供安全增值业务提供自主服务平台托管零租模式运营商IDC建设思路（一）依据客户群需求，对客户群进行行业分类政府办公：政府办公网络和网站系统，要求高度机密，稳定的独享带宽，对信息内容进行周期性的检查；互联网公司：高带宽、高吞吐、高可靠性等要求，对线路质量要求严格；网络游戏：玩家的最近体验，对安全性、可靠性、带宽和时延要求非常高，客户技术能力比较强，主要需求是带宽和物理环境；大中型企业：各种电子商务和在线

37、交易的平台，访问量和数据量大，主要需求网络带宽、后台计算和数据库等资源，安全性比较高，需要SSL加密，防御各种端口扫描和DDoS攻击，保证各种在线交易等业务的安全。证券等金融业客户有部署卫星备份链路或容灾备份等要求；中小型企业：虚拟主机、主机租赁业务，作为中小型企业和个人用户展示自己的窗口，同时存在Web、E-Mail、FTP服务器等需求，无独立硬件资源。对业务进行整合，包装特色业务，满足客户需求虚拟主机：主要为中小型提供虚拟空间，如Web/Mail/DB；衡量指标主要为硬盘空间、数据库、最大Session数、最大用户数、最大TCP连接数，通常采用共享带宽；维护依靠FTP进行文件备份等操作；服

38、务器/机柜托管、租赁：根据客户业务需求、技术能力、资金和人力投入进行选择，采用用户工作区或SSL VPN进行远程监控和维护；机房托管：主要为政府和大型企业等VIP客户，资金和人力投入大；可在客户工作区进行网络监控和维护，甚至会有门禁系统；带宽服务：客户可采用专线等保证网络安全和业务的物理隔离，也可采用VPN或购买固定独享来获得安全高效的网络服务。运营商IDC建设思路（二）提供高效运营和特色服务实现业务增值，弥补传统业务盈利能力所有服务均可定制，满足个性化需求内容过滤防火墙防病毒防攻击：DDoS、TCP Sync Flood应用优化：应用加速、负载均衡安全访问控制：SSL加密、VPN隔离P2P限

39、流：BT漏洞扫描与补丁修复资源性能监控 运营商IDC建设思路（三）刀片机箱业务防火墙 网络出口层核心层汇聚层接入层机架式服务器IDS维护终端GEGECE路由器负载均衡出口路由器DMZ服务器CMNETIP专网DMZ区接入维护区核心生产区、测试区CMNET防火墙 光纤 五类线 S12508S7608-XS5830-106SS7608-XS5120-52CS12508FC交换机S7608-XS7608-XS5120-52CS5120-52CS7606-SFC线 管理线 管理区存储区VPN网关4*10GE4*10GE 4*10GE 4*10GE中国移动天津物流基地一级私有云湖南移动IDCKVM后台汇聚

40、交换机防火墙负载均衡流量清洗防火墙IPS/IDSH3C S12500核心交换机后台业务系统管理机柜基础业务区增值业务区ADC-SI业务区KVM网管监控区3*10 GE3*10 GE10 GE2*10 GE2*10 GE10 GEGESSL加速10 GE3*10 GE3*10 GE负载均衡防火墙IPS/IDSSSL加速10 GE10 GE10 GE10 GE10 GE2* GE2* GE2* GE2* GE10 GE10 GE10 GE10 GE2*10 GE2*10 GE2*10 GE2*10 GE2*10 GE2*10 GE2*10 GEGEGEGEGEGECMNET核心路由器浙江移动新一代

41、数据中心架构S12500嘉兴移动核心路由器流量清洗20GE检测10GE清洗千兆接入交换机48GE+2X10GE后台接入交换机48FE基础业务用户区增值业务用户区网管监控区漏洞扫描系统安全审计系统后台汇聚交换机DCN网络百兆防火墙服务器核心路由交换设备24X10GE+24GE+万兆防火墙核心交换区计费接口区T1600互联网接口区网管网接口区F5000山西移动数据业务网数据中心S12500+FW插卡+IPS插卡核心生产区CMNETSecCenter10GE WAN网管系统S5800-60C + FW计费系统各个业务系统S5800-60C + FW项目概述： 中国移动数据业务发展迅速，系统数量急剧增

42、加，规模不断扩大，导致网络互联架构日益复杂，安全威胁不断升级。从整体上提高数据业务系统的安全防护能力。方案特点： 在设计方案上，更关注整体网络的统一：将多个系统统一整合，建立数据中心的架构，既方便统一管理，也方便资源调整，改变长期以来的条带化分割系统的做法，使整体网络架构更为高效。逻辑分区的网络设计结构清晰，有利于安全域的划分，同时还保证了网络的可扩展性。采用数据中心级交换机构建高可靠、高性能核心交换区。并且采用安全与网络的融合方案及高性能安全产品。二长IDC红谷滩IDC8*10G接口4*10G接口IDC GSR12816-1S12500S12500ChinaNetChinaNet孺子路二长楼九江浔阳九江浔阳GSR12816-1GSR12816-1GSR12816-