融合数据中心网络解决方案白皮书

1、 融合数据中心网络解决方案白皮书目录 TOC o 1-4 h z u HYPERLINK l _Toc50541408 1.数据中心网络的设计 PAGEREF _Toc50541408 h 7 HYPERLINK l _Toc50541409 1.1.网络分区的设计 PAGEREF _Toc50541409 h 7 HYPERLINK l _Toc50541410 1.1.1.数据中心网络分区 PAGEREF _Toc50541410 h 7 HYPERLINK l _Toc50541411 .业务与分区概述 PAGEREF _Toc50541411 h 7 HYPERLINK l _Toc5

2、0541412 .典型的逻辑分区 PAGEREF _Toc50541412 h 9 HYPERLINK l _Toc50541413 .典型的物理分区 PAGEREF _Toc50541413 h 10 HYPERLINK l _Toc50541414 1.1.2.核心区的设计 PAGEREF _Toc50541414 h 10 HYPERLINK l _Toc50541415 .物理组网方式 PAGEREF _Toc50541415 h 10 HYPERLINK l _Toc50541416 .可靠性规划 PAGEREF _Toc50541416 h 13 HYPERLINK l _Toc5

3、0541417 .安全规划 PAGEREF _Toc50541417 h 14 HYPERLINK l _Toc50541418 1.1.3.服务器区的设计 PAGEREF _Toc50541418 h 14 HYPERLINK l _Toc50541419 .EOR/TOR规划 PAGEREF _Toc50541419 h 14 HYPERLINK l _Toc50541420 .服务器多通道接入规划 PAGEREF _Toc50541420 h 16 HYPERLINK l _Toc50541421 .服务器FCoE 接入规划 PAGEREF _Toc50541421 h 17 HYPER

4、LINK l _Toc50541422 .可靠性规划 PAGEREF _Toc50541422 h 18 HYPERLINK l _Toc50541423 .流量模型规划 PAGEREF _Toc50541423 h 19 HYPERLINK l _Toc50541424 .安全规划 PAGEREF _Toc50541424 h 20 HYPERLINK l _Toc50541425 .服务器负载均衡设计 PAGEREF _Toc50541425 h 21 HYPERLINK l _Toc50541426 1.1.4.存储区的设计 PAGEREF _Toc50541426 h 24 HYPER

5、LINK l _Toc50541427 .存储区网络架构 PAGEREF _Toc50541427 h 24 HYPERLINK l _Toc50541428 .存储区域基本规划 PAGEREF _Toc50541428 h 25 HYPERLINK l _Toc50541429 .可靠性规划 PAGEREF _Toc50541429 h 25 HYPERLINK l _Toc50541430 .安全规划 PAGEREF _Toc50541430 h 25 HYPERLINK l _Toc50541431 1.1.5.互联区的设计 PAGEREF _Toc50541431 h 26 HYPER

6、LINK l _Toc50541432 .物理组网 PAGEREF _Toc50541432 h 26 HYPERLINK l _Toc50541433 .互联网接入分区 PAGEREF _Toc50541433 h 26 HYPERLINK l _Toc50541434 .外联网接入分区 PAGEREF _Toc50541434 h 29 HYPERLINK l _Toc50541435 .内部接入分区 PAGEREF _Toc50541435 h 30 HYPERLINK l _Toc50541436 .分支与远程接入规划 PAGEREF _Toc50541436 h 31 HYPERLI

7、NK l _Toc50541437 1.1.6.管理区的设计 PAGEREF _Toc50541437 h 32 HYPERLINK l _Toc50541438 .物理组网 PAGEREF _Toc50541438 h 32 HYPERLINK l _Toc50541439 .可靠性规划 PAGEREF _Toc50541439 h 33 HYPERLINK l _Toc50541440 .安全规划 PAGEREF _Toc50541440 h 33 HYPERLINK l _Toc50541441 1.1.7.测试区的设计 PAGEREF _Toc50541441 h 34 HYPERLI

8、NK l _Toc50541442 .物理组网 PAGEREF _Toc50541442 h 34 HYPERLINK l _Toc50541443 .规划建议 PAGEREF _Toc50541443 h 34 HYPERLINK l _Toc50541444 1.2.基础网络协议的规划 PAGEREF _Toc50541444 h 35 HYPERLINK l _Toc50541445 1.2.1.VLAN/DNS/QoS的规划 PAGEREF _Toc50541445 h 35 HYPERLINK l _Toc50541446 .VLAN规划 PAGEREF _Toc50541446 h

9、 35 HYPERLINK l _Toc50541447 .DNS 规划 PAGEREF _Toc50541447 h 36 HYPERLINK l _Toc50541448 .QoS规划 PAGEREF _Toc50541448 h 38 HYPERLINK l _Toc50541449 1.2.2.IP /DHCP/路由/VPN规划 PAGEREF _Toc50541449 h 39 HYPERLINK l _Toc50541450 .IP规划 PAGEREF _Toc50541450 h 39 HYPERLINK l _Toc50541451 .DHCP规划 PAGEREF _Toc50

10、541451 h 40 HYPERLINK l _Toc50541452 .路由规划 PAGEREF _Toc50541452 h 40 HYPERLINK l _Toc50541453 .VPN规划 PAGEREF _Toc50541453 h 42 HYPERLINK l _Toc50541454 1.3.网络安全的规划 PAGEREF _Toc50541454 h 43 HYPERLINK l _Toc50541455 1.3.1.数据中心安全概述 PAGEREF _Toc50541455 h 43 HYPERLINK l _Toc50541456 .概述 PAGEREF _Toc505

11、41456 h 43 HYPERLINK l _Toc50541457 .网络安全问题分类 PAGEREF _Toc50541457 h 43 HYPERLINK l _Toc50541458 .数据中心的安全风险 PAGEREF _Toc50541458 h 44 HYPERLINK l _Toc50541459 .安全网络架构 PAGEREF _Toc50541459 h 44 HYPERLINK l _Toc50541460 1.3.2.数据中心安全设计原则 PAGEREF _Toc50541460 h 45 HYPERLINK l _Toc50541461 .设计原则 PAGEREF

12、_Toc50541461 h 45 HYPERLINK l _Toc50541462 .功能设计 PAGEREF _Toc50541462 h 46 HYPERLINK l _Toc50541463 .分区安全建议及应对 PAGEREF _Toc50541463 h 46 HYPERLINK l _Toc50541464 1.3.3.防火墙 PAGEREF _Toc50541464 h 47 HYPERLINK l _Toc50541465 .防火墙部署的方式 PAGEREF _Toc50541465 h 47 HYPERLINK l _Toc50541466 .防火墙虚拟化 PAGEREF

13、_Toc50541466 h 47 HYPERLINK l _Toc50541467 1.4.灾备的规划 PAGEREF _Toc50541467 h 47 HYPERLINK l _Toc50541468 1.4.1.灾备概述 PAGEREF _Toc50541468 h 47 HYPERLINK l _Toc50541469 .多中心互联概述 PAGEREF _Toc50541469 h 47 HYPERLINK l _Toc50541470 .容灾概述 PAGEREF _Toc50541470 h 48 HYPERLINK l _Toc50541471 .备份关系概述 PAGEREF _

14、Toc50541471 h 50 HYPERLINK l _Toc50541472 .网络架构概述 PAGEREF _Toc50541472 h 52 HYPERLINK l _Toc50541473 1.4.2.两地三中心的互联 PAGEREF _Toc50541473 h 55 HYPERLINK l _Toc50541474 .概述 PAGEREF _Toc50541474 h 55 HYPERLINK l _Toc50541475 .DWDM+SDH互联 PAGEREF _Toc50541475 h 55 HYPERLINK l _Toc50541476 .DWDM+WAN互联 PAG

15、EREF _Toc50541476 h 56 HYPERLINK l _Toc50541477 .WAN互联 PAGEREF _Toc50541477 h 56 HYPERLINK l _Toc50541478 1.4.3.数据同步 PAGEREF _Toc50541478 h 56 HYPERLINK l _Toc50541479 .数据备份概述 PAGEREF _Toc50541479 h 56 HYPERLINK l _Toc50541480 .数据复制技术 PAGEREF _Toc50541480 h 57 HYPERLINK l _Toc50541481 .同步网络的规划 PAGER

16、EF _Toc50541481 h 64 HYPERLINK l _Toc50541482 1.4.4.三层互联 PAGEREF _Toc50541482 h 68 HYPERLINK l _Toc50541483 .三层互联概述 PAGEREF _Toc50541483 h 68 HYPERLINK l _Toc50541484 .L3VPN 互联 PAGEREF _Toc50541484 h 68 HYPERLINK l _Toc50541485 .路由规划 PAGEREF _Toc50541485 h 69 HYPERLINK l _Toc50541486 .BGP设计 PAGEREF

17、_Toc50541486 h 69 HYPERLINK l _Toc50541487 1.4.5.二层互联 PAGEREF _Toc50541487 h 71 HYPERLINK l _Toc50541488 .二层互联概述 PAGEREF _Toc50541488 h 71 HYPERLINK l _Toc50541489 .裸光纤互联 PAGEREF _Toc50541489 h 72 HYPERLINK l _Toc50541490 .VPLS互联 PAGEREF _Toc50541490 h 72 HYPERLINK l _Toc50541491 .L2GRE互联 PAGEREF _T

18、oc50541491 h 73 HYPERLINK l _Toc50541492 1.4.6.路径优化 PAGEREF _Toc50541492 h 74 HYPERLINK l _Toc50541493 .智能DNS PAGEREF _Toc50541493 h 74 HYPERLINK l _Toc50541494 .健康路由注入 PAGEREF _Toc50541494 h 76 HYPERLINK l _Toc50541495 1.4.7.虚机跨中心迁移 PAGEREF _Toc50541495 h 76 HYPERLINK l _Toc50541496 .虚机跨中心迁移概述 PAGE

19、REF _Toc50541496 h 76 HYPERLINK l _Toc50541497 .虚机迁移的存储访问 PAGEREF _Toc50541497 h 76 HYPERLINK l _Toc50541498 .虚机迁移的网关优化 PAGEREF _Toc50541498 h 78 HYPERLINK l _Toc50541499 .跨中心服务器HA PAGEREF _Toc50541499 h 82 HYPERLINK l _Toc50541500 1.4.8.应用加速 PAGEREF _Toc50541500 h 84 HYPERLINK l _Toc50541501 .应用加速概

20、述 PAGEREF _Toc50541501 h 84 HYPERLINK l _Toc50541502 .应用加速方案 PAGEREF _Toc50541502 h 86 HYPERLINK l _Toc50541503 1.4.9.业务规划 PAGEREF _Toc50541503 h 86 HYPERLINK l _Toc50541504 .业务规划概述 PAGEREF _Toc50541504 h 86 HYPERLINK l _Toc50541505 .业务分布规划 PAGEREF _Toc50541505 h 87 HYPERLINK l _Toc50541506 .容灾业务设计

21、PAGEREF _Toc50541506 h 88 HYPERLINK l _Toc50541507 .容灾业务切换 PAGEREF _Toc50541507 h 90 HYPERLINK l _Toc50541508 1.5.网络管理的设计 PAGEREF _Toc50541508 h 91 HYPERLINK l _Toc50541509 1.5.1.物理组网 PAGEREF _Toc50541509 h 91 HYPERLINK l _Toc50541510 .网络管理概述 PAGEREF _Toc50541510 h 91 HYPERLINK l _Toc50541511 .带外管理网

22、络的设计 PAGEREF _Toc50541511 h 91 HYPERLINK l _Toc50541512 .带内管理网络的设计 PAGEREF _Toc50541512 h 92 HYPERLINK l _Toc50541513 1.5.2.管理方案 PAGEREF _Toc50541513 h 92 HYPERLINK l _Toc50541514 .多种布署架构 PAGEREF _Toc50541514 h 93 HYPERLINK l _Toc50541515 .综合业务管理 PAGEREF _Toc50541515 h 95 HYPERLINK l _Toc50541516 .流

23、量分析管理 PAGEREF _Toc50541516 h 96 HYPERLINK l _Toc50541517 .数据中心管理 PAGEREF _Toc50541517 h 97 HYPERLINK l _Toc50541518 .服务请求管理 PAGEREF _Toc50541518 h 97 HYPERLINK l _Toc50541519 1.5.3.故障处理 PAGEREF _Toc50541519 h 98 HYPERLINK l _Toc50541520 .网络设备故障处理 PAGEREF _Toc50541520 h 98 HYPERLINK l _Toc50541521 .服

24、务器故障处理 PAGEREF _Toc50541521 h 99 HYPERLINK l _Toc50541522 1.5.4.网络扩容 PAGEREF _Toc50541522 h 100 HYPERLINK l _Toc50541523 .网络扩容概述 PAGEREF _Toc50541523 h 100 HYPERLINK l _Toc50541524 .服务器扩容 PAGEREF _Toc50541524 h 100 HYPERLINK l _Toc50541525 .网络设备扩容 PAGEREF _Toc50541525 h 100 HYPERLINK l _Toc50541526

25、.链路带宽扩容 PAGEREF _Toc50541526 h 101 HYPERLINK l _Toc50541527 2.分支接入网络的规划 PAGEREF _Toc50541527 h 101 HYPERLINK l _Toc50541528 2.1.一级行网络的规划 PAGEREF _Toc50541528 h 101 HYPERLINK l _Toc50541529 2.1.1.网络拓扑 PAGEREF _Toc50541529 h 101 HYPERLINK l _Toc50541530 2.1.2.功能区划分 PAGEREF _Toc50541530 h 102 HYPERLINK

26、 l _Toc50541531 .生产上联区 PAGEREF _Toc50541531 h 103 HYPERLINK l _Toc50541532 .生产下联区 PAGEREF _Toc50541532 h 103 HYPERLINK l _Toc50541533 .运行管理区 PAGEREF _Toc50541533 h 106 HYPERLINK l _Toc50541534 .外联区 PAGEREF _Toc50541534 h 108 HYPERLINK l _Toc50541535 .办公区 PAGEREF _Toc50541535 h 109 HYPERLINK l _Toc50

27、541536 .MIS服务区 PAGEREF _Toc50541536 h 111 HYPERLINK l _Toc50541537 .测试区 PAGEREF _Toc50541537 h 111 HYPERLINK l _Toc50541538 .广域区 PAGEREF _Toc50541538 h 112 HYPERLINK l _Toc50541539 2.1.3.路由策略设计 PAGEREF _Toc50541539 h 113 HYPERLINK l _Toc50541540 .路由协议的选择 PAGEREF _Toc50541540 h 113 HYPERLINK l _Toc50

28、541541 .路由策略 PAGEREF _Toc50541541 h 114 HYPERLINK l _Toc50541542 2.1.4.安全策略设计 PAGEREF _Toc50541542 h 115 HYPERLINK l _Toc50541543 2.1.5.QOS策略设计 PAGEREF _Toc50541543 h 116 HYPERLINK l _Toc50541544 .数据流分类和标记 PAGEREF _Toc50541544 h 116 HYPERLINK l _Toc50541545 .QoS控制策略 PAGEREF _Toc50541545 h 117 HYPERL

29、INK l _Toc50541546 .QoS实现 PAGEREF _Toc50541546 h 119 HYPERLINK l _Toc50541547 2.1.6.网络管理设计 PAGEREF _Toc50541547 h 120 HYPERLINK l _Toc50541548 .网络运行管理模式 PAGEREF _Toc50541548 h 120 HYPERLINK l _Toc50541549 .设备管理方式 PAGEREF _Toc50541549 h 120 HYPERLINK l _Toc50541550 2.2.分行及网点网络的规划 PAGEREF _Toc50541550

30、 h 122 HYPERLINK l _Toc50541551 2.2.1.逻辑拓扑 PAGEREF _Toc50541551 h 122 HYPERLINK l _Toc50541552 .二级支行逻辑拓扑 PAGEREF _Toc50541552 h 122 HYPERLINK l _Toc50541553 .网点逻辑拓扑 PAGEREF _Toc50541553 h 123 HYPERLINK l _Toc50541554 2.2.2.物理拓扑 PAGEREF _Toc50541554 h 123 HYPERLINK l _Toc50541555 2.2.3.分行网点网络拓扑 PAGER

31、EF _Toc50541555 h 124 HYPERLINK l _Toc50541556 2.2.4.路由策略设计 PAGEREF _Toc50541556 h 124 HYPERLINK l _Toc50541557 .OSPF总体设计 PAGEREF _Toc50541557 h 124 HYPERLINK l _Toc50541558 .节点Area设计 PAGEREF _Toc50541558 h 125 HYPERLINK l _Toc50541559 .OSPF双线路备份策略设计 PAGEREF _Toc50541559 h 125 HYPERLINK l _Toc505415

32、60 .外联网 PAGEREF _Toc50541560 h 126 HYPERLINK l _Toc50541561 .离行自动设备 PAGEREF _Toc50541561 h 127 HYPERLINK l _Toc50541562 2.2.5.安全策略设计 PAGEREF _Toc50541562 h 127 HYPERLINK l _Toc50541563 .网络设备安全 PAGEREF _Toc50541563 h 127 HYPERLINK l _Toc50541564 .ACL部署原则 PAGEREF _Toc50541564 h 127 HYPERLINK l _Toc505

33、41565 2.2.6.QOS策略设计 PAGEREF _Toc50541565 h 127 HYPERLINK l _Toc50541566 .QOS服务架构 PAGEREF _Toc50541566 h 127 HYPERLINK l _Toc50541567 .QOS分类设计原则 PAGEREF _Toc50541567 h 128 HYPERLINK l _Toc50541568 2.2.7.终端设备接入的设计 PAGEREF _Toc50541568 h 128 HYPERLINK l _Toc50541569 .离行自助设备接入 PAGEREF _Toc50541569 h 128

34、 HYPERLINK l _Toc50541570 .POS接入 PAGEREF _Toc50541570 h 129 HYPERLINK l _Toc50541571 .柜台终端接入 PAGEREF _Toc50541571 h 130 HYPERLINK l _Toc50541572 .网银接入 PAGEREF _Toc50541572 h 131 HYPERLINK l _Toc50541573 .办公业务接入 PAGEREF _Toc50541573 h 131 HYPERLINK l _Toc50541574 .终端接入总结 PAGEREF _Toc50541574 h 132 HY

35、PERLINK l _Toc50541575 3.附录 PAGEREF _Toc50541575 h 134 HYPERLINK l _Toc50541576 3.1.方案问题的答复 PAGEREF _Toc50541576 h 134 HYPERLINK l _Toc50541577 3.1.1.基础网络架构方面的问题 PAGEREF _Toc50541577 h 134 HYPERLINK l _Toc50541578 3.1.2.路由架构方面的问题 PAGEREF _Toc50541578 h 136 HYPERLINK l _Toc50541579 3.1.3.大二层方面的问题 PAG

36、EREF _Toc50541579 h 136 HYPERLINK l _Toc50541580 3.1.4.安全策略方面的问题 PAGEREF _Toc50541580 h 137 HYPERLINK l _Toc50541581 3.1.5.数据流走向方面的问题 PAGEREF _Toc50541581 h 138 HYPERLINK l _Toc50541582 3.1.6.故障切换方面的问题 PAGEREF _Toc50541582 h 138 HYPERLINK l _Toc50541583 3.1.7.运维管理方面的问题 PAGEREF _Toc50541583 h 140 HYP

37、ERLINK l _Toc50541584 3.1.8.虚拟机切换方面的问题 PAGEREF _Toc50541584 h 140 HYPERLINK l _Toc50541585 3.1.9.存储备份方面的问题 PAGEREF _Toc50541585 h 140 HYPERLINK l _Toc50541586 3.1.10.外联、网银方面的问题 PAGEREF _Toc50541586 h 141 HYPERLINK l _Toc50541587 3.1.11.数据中心迁移方面的问题 PAGEREF _Toc50541587 h 142 HYPERLINK l _Toc50541588

38、3.2.产品建议 PAGEREF _Toc50541588 h 142 HYPERLINK l _Toc50541589 3.2.1.交换机路由器产品 PAGEREF _Toc50541589 h 142 HYPERLINK l _Toc50541590 .交换机产品 PAGEREF _Toc50541590 h 142 HYPERLINK l _Toc50541591 .路由器产品 PAGEREF _Toc50541591 h 142 HYPERLINK l _Toc50541592 3.2.2.安全产品 PAGEREF _Toc50541592 h 142 HYPERLINK l _Toc

39、50541593 .防火墙 PAGEREF _Toc50541593 h 142 HYPERLINK l _Toc50541594 .IDS/IDP PAGEREF _Toc50541594 h 142 HYPERLINK l _Toc50541595 3.2.3.C/DWDM产品 PAGEREF _Toc50541595 h 142 HYPERLINK l _Toc50541596 .友商产品 PAGEREF _Toc50541596 h 142 HYPERLINK l _Toc50541597 .其它产商产品 PAGEREF _Toc50541597 h 142 HYPERLINK l _

40、Toc50541598 3.2.4.负载均衡产品 PAGEREF _Toc50541598 h 144 HYPERLINK l _Toc50541599 .深信服AD系列产品 PAGEREF _Toc50541599 h 144 HYPERLINK l _Toc50541600 .云速网络EXbalance PAGEREF _Toc50541600 h 144 HYPERLINK l _Toc50541601 .F5 BIG-IP产品 PAGEREF _Toc50541601 h 144 HYPERLINK l _Toc50541602 .信安世纪 PAGEREF _Toc50541602 h

41、 144 HYPERLINK l _Toc50541603 3.3.案例分析 PAGEREF _Toc50541603 h 144 HYPERLINK l _Toc50541604 3.3.1.汉口银行 PAGEREF _Toc50541604 h 145 HYPERLINK l _Toc50541605 3.3.2.石嘴山银行 PAGEREF _Toc50541605 h 146 HYPERLINK l _Toc50541606 3.3.3.大连政务 PAGEREF _Toc50541606 h 149数据中心网络的设计网络分区的设计数据中心网络分区业务与分区概述传统的数据中心网络的建设往往

42、是按照业务、空间或者楼宇等不同的方式进行建设，主要是根据需求部署设备，这样的结果往往导致服务器及存储设备、布线、供电分配、冷却分配都十分混乱，无法有效的进行管控，业务扩展复杂。 当前流行的数据中心网络建设，通常按照业务和安全等级划分少量几个分区，各个分区连接到业务核心。在分区内部参考模块化 POD 设计方法，布局设计参考 TIA-942 标准。TIA-942 标准参考了以往的建设经验，对数据中心的环境建设提出了更加严格的要求，使数据中心更加的标准化。分区的定义：根据企业自身特点，依据业务系统的相关性、安全性、管理、规模等因素，把数据中心的服务器进行分区。 分区组成：分区具备汇聚交换机，以及防火

43、墙、负载均衡等业务设备。分区上行连接数据中心交换核心区设备。如下是两种分区的示例，一个分区可由多个POD组成，采用TOR或者EOR的布局方式。POD （Point of Delivery）是成熟的设计理念和方法。POD 既可以是模块化的、也可以是物理的、或者可以是逻辑的数据中心功能模块。根据企业的需求，每一个POD ，包含机柜、服务器及网络设备、以及相应的配套基础设施。 模块化部署的优点： 易扩展，灵活的模块化设计方式，根据业务需求扩展，缩短规划部署周期。 提高投资利用率，降低维护成本。 提高能源利用率，冷热通道分离，符合绿色与节能原则要求。数据中心网络分区原则：安全性原则：按照安全等级不同，

44、划分为不同分区。例如，为互联网用户、合作伙伴服务的服务器单独分区，信息敏感的服务器单独分区。高可用布局原则：业务关联度高的服务器部署在同一个区域；业务关联度低的服务器拆分成多个区域；可用性要求高的业务拆分成两个对等区域。容量适度原则：根据运维管理经验，控制单个区域内的服务数量，例如，500台以内。未来服务器数据增加、区域间流量增长后可考虑进一步拆分。独立运维管理原则：业务流量、安全控制、组网协议方面有特殊要求的服务器单独分区。分区方式：分区设计优先考虑综合布线及基础设施运维因素；根据服务器类型、业务应用层次、业务应用类型进一步划分。实际应用中，通常根据企业实际需求，使用多种模式混合使用。 We

45、b1Web2Web3App1App3DB3Pc serverDB1App3DB3小型机交换核心Web1Web2Web3Web4Web6Web交换核心Web5AppApp1 App2 App3 DBDB1 DB2 DB3 Web1DB1 App1 财务交换核心Web2生产办公Web2 DB2 App2 Web1Web2 DB2 App2 Web1按服务器类型分区按应用层次分区按应用类型分区为了能够实现业务服务器的安全隔离、容量扩展和分类管理等需求，通常将业务区按应用层次、按应用类型两种模式细分。两种模式各有优缺，通常结合使用。模式A：按应用层次分区模式B：按应用类型分区部署说明客户端到服务器的访

46、问要经过三个区域 同一层服务器之间的互访不需要跨区域客户端到服务器的访问只要经过一个区域同一层服务器之间的互访需要跨区域优点每个区域只服务于应用逻辑中的一个层面（Web/App/DB) 应用层次之间物理分离风险分散，一个区域内部故障或变更停机不会影响其他区域承载的业务 扩展性较强，当应用种类增加或者单个区域容量增加时，可以通过横向拆分扩容 可管理性强：便于故障定位和应急 低时延：同一应用各层服务器之间的流量在同一个区内缺点风险集中，一个区域内部故障或变更，会影响全部应用 扩展性较弱，服务器数量较多时，单个区域易达到容量上限 业务可管理性弱，不易进行故障定位和应急应用层次之间无物理分离典型的逻辑

47、分区典型数据中心的分区如上图所示核心区：是数据中心网络的核心，连接内部各个服务器区域、企业的内部网络、合作单位的网络、灾备中心和外部用户接入的网络等。 服务器区：部署服务器和应用系统的区域。出于安全和扩展性的考虑，可以根据应用的类型分为：生产业务区、办公业务区、测试业务区、DMZ区等。存储区：包括 FC SAN 和IP SAN 的存储设备和网络。互联区：是把企业内部用户和外部用户接入到数据中心的区域。出于安全和扩展性的考虑，根据互联的用户类型分为：内部互联网络，合作单位互联网络，Internet 互联网络。 内网区：通过园区网、广域网和企业总部、分支机构的网络互联。 Extranet区：通过城

48、域专线、广域专线和合作单位的网络互联。 Internet 区：实现互联网公众用户的接入、出差员工通过互联网安全接入、没有通广域网的办公点通过互联网安全接入。数据中心互联区：是实现灾备数据中心互联的区域，主要是以传输设备实现与同城灾备中心的互联，以广域网专线实现与异地灾备中心的互联。管理区：对网络、服务器、应用系统、存储管理的区域。包括故障管理，配置管理，性能管理，安全管理等。管理可以分为带内管理和带外管理，通常提倡使用带外管理。典型的物理分区如上图所示的模块化数据中心的架构，采用以核心节点为“根”的星型拓扑，分为 5大区域（核心区、服务器区、存储区、互联区和管理区），各个区域独立扩展。核心区：

49、流量的枢纽。一般采用大容量，高性能数据中心交换机作为数据中心园区网的核心交换机。服务器区：多个业务区独立扩展。以服务器为中心的数据、管理、存储网络独立扩展。存储区：多种连接方式，可以通过 FCoE、IP 或者光纤。支持多种存储方式的使用。互联区：分为四个独立的互联区域，各区域独立扩展。灾备互联网络，保证业务平滑向其他数据中心扩展。管理区：管理网络、服务器、应用系统、存储等。核心区的设计物理组网方式核心区承担了内部数据流量和对外数据流量，连接着各个分区和业务或者服务器区，是数据中心网络最重要的部分。核心区和服务器区的关系有两种物理组网方式：三层方式：如下图所示，这种方式有核心层、汇聚层、接入层三

50、层设备，每个汇聚区各自部署防火墙等安全设备。扁平化方式：如下图所示，这种方式撤消了汇聚层，只有核心层和接入层。这种方式降低了网络复杂度，简化了网络拓扑，提高了转发效率。在数据中心发展扩容时，可以根据需要再演变到核心、汇聚、接入三层结构。组网结构采用两层扁平化胖树架构。核心互联可以使用三层互联、VSU和TRILL三种组网方案对于扁平化，又可以有以下的几种组网方式：路由方式：该方案采用三层路由组网方案，核心和接入间组成高效、均衡的，无阻塞网络。适用于 hadoop 等基于 SaaS 、PaaS云计算环境的应用和协同计算业务，流量收敛比小（1:12:1）。本方案的主要特点如下： 任何两台服务器间的通

51、信不超过 3 台设备。 使用 IP 路由的 ECMP ，支持五元组 HASH 技术实现逐流负载分担，链路利用率高。 网络规模可弹性扩展。VSU方式： VSU是N:1网络虚拟化技术。VSU可将多台网络设备（成员设备）虚拟化为一台网络设备（虚拟设备），并将这些设备作为单一设备管理和使用。VSU虚拟化技术不仅使多台物理设备简化成一台逻辑设备，同时网络各层之间的多条链路连接也将变成两台逻辑设备之间的直连，因此可以将多条物理链路进行跨设备的链路聚合，从而变成了一条逻辑链路，增加带宽的同时也避免了由多条物理链路引起的环路问题。如下图所示，将接入与核心交换机两两虚拟化，层与层之间采用跨设备链路捆绑方式互联，

52、整网物理拓扑没有变化，但逻辑拓扑上变成了树状结构，以太帧沿拓扑树转发，不存在二层环路，且带宽利用率最高。简单来说，利用VSU构建二层网络的好处包括：简化组网拓扑结构，简化管理减少了设备数量，减少管理工作量多台设备合并后可以有效的提高性能多台设备之间可以实现无缝切换，有效提高网络HA性能目前，VSU技术实现框式交换机堆叠的容量最大为四台，也就是说使用VSU构建上图的核心+接入网络时，核心交换机最多可达4台。举例来说，核心层部署16业务槽的框式交换机，假设用于下行的是12块，并配置业界最先进的48端口线速万兆单板。核心交换机下行的万兆端口数量 48*12=576。接入交换机部署4万兆上行，48千兆

53、下行的盒式交换机。4台VSU后的汇聚交换机可以在二层无阻塞的前提下接入13824台（576*48/2 = 13824）双网卡的千兆服务器，可满足国内绝大部分客户的二层组网需求。少部分客户期望其服务器资源池可以有效扩充到2万台甚至更大。这样，就需要其他技术提供更大的网络容量。TRILL 方式：该方案应用 TRILL 技术，由核心层和汇聚/接入层组成无阻塞网络，可以部署 TRILL 到TOR 边缘，实现整个数据中心内业务的二层交换。使用 TRILL 和网关叠加技术，组网与传统二层方案一致，方案应用TRILL OAM 方案，维护与 IP 网络一样简便。 本方案适用于需要构建大范围的二层网络的场合，例

54、如需要大范围资源共享、虚拟机大范围迁移的企业网络。本方案的主要特点如下： 构建整网大二层网络，支持多路径负载分担，提高网络的利用率。 可以进行整网的资源共享和虚拟机迁移。 通过核心 TRILL 和网关的叠加，节省额外网关设备，降低网络建设成本。对于普通企业，建议采用三层方式或扁平化方式的“VSU方式”。对于互联网企业，由于以搜索等计算类业务为主，数据中心内部东西向流量大，收敛比小，并且业务类型相对单一，组网结构建议采用两层扁平化的“路由方式”、“VSU方式”或“TRILL方式”。可靠性规划网络可靠性由设备冗余、链路冗余来保证。如果接入层进三层，在接入层和核心层之间采用三层路由，则通过等价路径和

55、BFD 快速故障检测，就能够保证链路故障、设备故障的快速切换，同时也能够充分利用冗余链路。如果核心层进三层，这样就需要解决接入层和核心层之间二层流量的环路问题。现在一般推荐使用基于VSU的无环网络方案，不再使用传统的STP VRRP 方案。具体如下：核心采用两台框式交换机集群。接入层采用盒式交换机，盒式交换机每两台VSU。接入层交换机和核心交换机间的链路进行链路聚合。 这个方案有如下优势： 简化管理和配置：首先，VSU技术将需要管理的设备节点减少一半以上。 其次，组网变得简洁，不需要配置STP/REUP/VRRP等的协议。 快速的故障收敛：链路故障收敛时间可控制在VIP2。运营商返回对应VIP

56、2给用户。用户访问VIP2，实现对服务器的访问。负载均衡设备记录连接进入时候的ISP1线路，保证数据原路返回。同时 LLB 会随时监测每条链路的状况，当发现任何一条 ISP 链路故障时，都不会再把该ISP 的IP 地址解析给用户，从而保证业务 24*7 小时可用。服务器负载分担也称SLB（Server LoadBalance），它用于有效降低单台服务器的性能压力，降低服务器硬件升级成本，并提高业务可靠性，单台服务器故障不会导致业务瘫痪。关于服务器负载均衡请参见前文的章节。外联网接入分区由于 Extranet 区域属于企业外部用户接入的区域，从网络信任关系上讲，安全等级与DMZ相同，都属于非可信

57、网络，不能直接与内部数据中心连接。访问权限应限制在本区域内部及 DMZ区域，内网访问应严格控制。外联网分区主要的安全威胁是非法访问服务器、病毒、蠕虫攻击。针对这些威胁，建议的安全部署如下：建议在该区域部署两层防火墙。 一层在服务器之前，在防火墙上配置 ACL 等安全策略用来阻止非法访问服务器，同时需 要配置抵御病毒、蠕虫的攻击。 另外一层在服务器之后，用来实现内网和外网的隔离。 防火墙建议双机热备部署，保证业务可靠性。 在第一层防火墙上建议配置 NAT ，隐藏内部网络结构。IDS/IPS接到防火墙内侧，既进行入侵检测，又可以避免误报。 可以根据需要部署 VPN 网关，实现合作伙伴通过 Inte

58、rnet 接入。VPN 网关设备可以单独部署，也可以在防火墙上部署。内部接入分区内部接入分区用于企业内部用户通过广域或局域网访问数据中心。在内部接入分区的网络中，主要需要考虑线路双归、路由及设备的冗余备份。而对于多分支机构互联，还应考虑多出口线路备份，并在出口考虑路由备份、负载均衡。同时对于WAN链路，还应考虑部署 QoS，以保证业务的服务质量。可靠性规划：要部署独立的互联接入设备并部署 2 台进行热备，提供设备的可靠性。安全规划：内部网络属于比较安全的区域，是绿色区域，风险比较低。主要的安全风险来自非法业务访问、攻击核心服务器、病毒、蠕虫的攻击。另外根据人员分工不同，需要进行权限控制，从而限

59、制其访问不同的设备和使用业务方面的权限。 路由器上建议配置 VPN 对业务隔离。另外可以部署防火墙，配置 ACL 来限制对业务区的非法访问，启动防病毒、蠕虫功能来抵御攻击。分支与远程接入规划分支接入是指对于企业的分支机构（例如外研所、办事处等），通过专网或公网方式，接入到企业的总部园区，实现分支与总部的互通。分支接入主要有专网方式、MPLS VPN 方式、公网方式：专网方式：专网方式通过企业自建的广域专网，实现多分支之间的互联。这种方式一般只适用于拥有自建骨干网的大型或特大型企业。MPLS VPN方式： MPLS VPN 方式通过租用运营商的 MPLS VPN 业务（L3VPN或者 L2VPN

60、），实现多分支之间的互联。这种方式经济高效，比较适合有一定数量分支机构，但是没有自建广域网的企业。公网方式：公网方式是指不租用运营商的 VPN 业务，而是直接使用公共网络来实现分支和总部之间的互联互通。公网方式比较适合于只有少量小型分支机构或者 SOHO 员工的企业。 公网方式是通过不安全的公共网络接入的，因此关键是要保证数据的安全性。公网方式是依靠在分支和总部园区网关之间构建点对点 VPN ，通过隧道方式来保证数据的安全可靠传输。 对于分支来说，公网方式所使用的 VPN 技术是 GRE over IPSec。 GRE 是常用的隧道封装协议，可以很好的实现对于远程访问的数据承载，但是 GRE