集团云数据中心网络整体架构设计

1、集团云数据中心网络整体架构设计集团现网分为信息内网和信息外网，信息内网与信息外网之间物理隔离，通过网闸进数据摆渡。目前网络运行基本正常，但随着IT环境的日益复杂，规模日益增长，网络系统局部存在问题仍有待改善。信息内网承载全院用户访问自建业务系统和国网统推业务系统的内网流量；信息外网承载全院用户访问Inerent及对公网用户提供服务的流量；信息内网和信息外网的网络拓扑都采用星型，全网都采用静态路由实现互通。设备、链路、服务器接入有较多的单点，缺少冗余，可用性不高；网络架构层次不清晰，数据中心和办公网未有效隔离，数据中心没有进行功能区域划分；二层广播域跨越双中心，出现广播风暴会导致整网不可用；数据

2、中心没有进行功能区域划分，缺少统一的安全策略；安全防护手段比较单一，缺乏安全纵深；网络设备配置存在安全薄弱环节，业务流量的监控和分析手段不足；大数据相关业务的网络都为千兆，存在带宽瓶颈；带外管理网不完备，运维管理效率不高；网络基础服务没有统一的管理（DHCP、DNS、NTP等）需要注意的是 关键节点的设备和链路（A中心核心、南京院区、武汉院区） 采用冗余部署，具备一定的可用性；在网络出口部署防火墙对集团信息内网进行整体安全防护，专门的DMZ区对外提供服务，并部署WAF进行WEB安全防护；值得肯定的是安全性性能可用性信息内网的网络核心为A中心的两台S7506E，通过中电飞华的链路连接各个院区（武

3、汉院区例外），A中心院区内网用户的网关在核心交换机上，其他各院区的用户网关均在本地的汇聚交换机上，通过出口的一组Juniper防火墙实现安全防护，访问国网公司信息内网的业务系统。可用性安全性可管理信息外网的网络核心为A中心的两台S7506E，通过中电飞华的链路连接各个院区（武汉院区例外），A中心院区内网用户的网关在核心交换机上，其他各院区的用户网关均在本地的汇聚交换机上，有线用户和无线用户的Internet出口分离，部署了部分安全设备实现安全防护。设备、链路、服务器接入有较多的单点，缺少冗余，可用性不高；网络架构层次不清晰，数据中心和办公网未有效隔离，数据中心没有进行功能区域划分；二层广播域跨

4、越双中心，出现广播风暴会导致整网不可用；数据中心没有进行功能区域划分，缺少统一的安全策略；安全防护手段比较单一，缺乏安全纵深；网络设备配置存在安全薄弱环节，业务流量的监控和分析手段不足；带外管理网不完备，运维管理效率不高；网络基础服务没有统一的管理（DHCP、DNS、NTP等）。需要注意的是 关键节点的设备和链路（A中心核心、南京院区、武汉院区） 采用冗余部署，有线侧Intenet出口双链路，通过LB进行负 载均衡，具备一定的可用性；有线用户网络出口部署了防火墙和IDS设备，对集团信息外网进行整体安全防护，通过专门的DMZ区对外提供服务，无线用户侧部署了上网行为管理和防火墙；值得肯定的是安全性

5、可用性可用性安全性可管理高可用性安全性可管理性灵活性可扩展性性能网络结构的高可用性，物理资源的冗余部署，逻辑关系的松耦合设计，不会因为任何一个网络模块发生故障而影响全局网络的畅通。网络安全区域合理规划，安全策略精细化部署，符合信息系统安全等级保护基本要求，全网的安全策略进行统一的管理，能够满足未来业务发展对安全的需求。网络的带宽、时延、抖动等性能指标满足业务系统的要求；采用业务功能模块化和网络拓扑层次化的设计方法，使得网络架构在功能、容量、覆盖能力等各方面具有易扩展能力，使其能够动态响应业务发展变化，快速满足业务和应用不断变化对网络基础架构的要求，配合业务的快速发展或变革。采用新技术和新特性时

6、，网络架构不需要调整或调整较小，满足业务与应用系统灵活多变的部署需求。网络简单、健壮，易于管理和维护，满足行业监管要求及日常运维的需求，并提供及时发现和排除网络故障的能力。集团的网络规划参考业界通用的高可用性、安全性、可扩展性、性能、灵活性和可管理性六个设计原则。核心网架构前端网络后端网络前后端网络分离接入汇聚核心网络松耦合DCDCDCWNWNWNWNBRBRBR标准化部署连接方式标准化协议部署标准化物理部署标准化模块化分区网络分层设计集团的网络采用松耦合设计，信息内网、外网和科研网均基于核心网架构，标准化设计和部署，数据中心内部前后端网络分离，模块化分区和分层设计，使集团的网络在业务可用性及连续性、快速响应、网络标准化、网络风险控制以及业务价值回报五个方面达到同业成熟期的能力。集团网络分为信息内网、信息外网和科研网，信息内网承载全院用户访问自建业务系