新一代云数据中心-建设方案

1、新一代云数据中心建设方案 HYPERLINK /us/en/ o Juniper Networks 目 录 TOC o 1-3 h z u HYPERLINK l _Toc488910560 1.概述 PAGEREF _Toc488910560 h 4 HYPERLINK l _Toc488910561 2.数据中心的发展趋势 PAGEREF _Toc488910561 h 5 HYPERLINK l _Toc488910562 2.1数据中心集中化和使用者的分散化 PAGEREF _Toc488910562 h 5 HYPERLINK l _Toc488910563 2.2服务器的分析 PA

2、GEREF _Toc488910563 h 6 HYPERLINK l _Toc488910564 2.3虚拟化 PAGEREF _Toc488910564 h 7 HYPERLINK l _Toc488910565 2.4存储 PAGEREF _Toc488910565 h 8 HYPERLINK l _Toc488910566 2.5SoA基于业务的数据中心架构 PAGEREF _Toc488910566 h 8 HYPERLINK l _Toc488910567 2.6绿色数据中心 PAGEREF _Toc488910567 h 8 HYPERLINK l _Toc488910568 2

3、.7统一通信 PAGEREF _Toc488910568 h 9 HYPERLINK l _Toc488910569 2.8安全 PAGEREF _Toc488910569 h 9 HYPERLINK l _Toc488910570 3.数据中心的建设策略 PAGEREF _Toc488910570 h 10 HYPERLINK l _Toc488910571 4.网络架构的简化 PAGEREF _Toc488910571 h 11 HYPERLINK l _Toc488910572 4.1传统网络架构的问题 PAGEREF _Toc488910572 h 11 HYPERLINK l _To

4、c488910573 4.2Gartner的调研报告 PAGEREF _Toc488910573 h 14 HYPERLINK l _Toc488910574 4.3Juniper的方案简化数据中心网络架构 PAGEREF _Toc488910574 h 16 HYPERLINK l _Toc488910575 4.3.1EX4200 VC技术 PAGEREF _Toc488910575 h 18 HYPERLINK l _Toc488910576 4.3.2EX8200 VC技术 PAGEREF _Toc488910576 h 24 HYPERLINK l _Toc488910577 4.4

5、网络架构简化的优势 PAGEREF _Toc488910577 h 25 HYPERLINK l _Toc488910578 4.5数据中心虚拟化 PAGEREF _Toc488910578 h 27 HYPERLINK l _Toc488910579 4.5.1服务器虚拟化 PAGEREF _Toc488910579 h 27 HYPERLINK l _Toc488910580 4.5.2网络虚拟化 PAGEREF _Toc488910580 h 32 HYPERLINK l _Toc488910581 5.数据中心一体化安全 PAGEREF _Toc488910581 h 33 HYPER

6、LINK l _Toc488910582 6.主备数据中心考虑 PAGEREF _Toc488910582 h 41 HYPERLINK l _Toc488910583 7.关于FCoE PAGEREF _Toc488910583 h 44 HYPERLINK l _Toc488910584 8.QoS考虑 PAGEREF _Toc488910584 h 47 HYPERLINK l _Toc488910585 8.1QoS概述 PAGEREF _Toc488910585 h 47 HYPERLINK l _Toc488910586 8.2Juniper的CoS机制支持和优势 PAGEREF

7、_Toc488910586 h 49 HYPERLINK l _Toc488910587 9.经济性考虑 PAGEREF _Toc488910587 h 53 HYPERLINK l _Toc488910588 10.降低管理维护成本 PAGEREF _Toc488910588 h 58 HYPERLINK l _Toc488910589 11.数据中心业务调度自动化 PAGEREF _Toc488910589 h 62概述对于任何机构而言，数据中心都好比是它的心脏。员工、合作伙伴和客户都需要依赖数据中心里的数据和资源才能有效交流与合作。过去十年来，随着互联网和Web技术的兴起，数据中心的战略

8、地位变得越来越重要，因为它不但能提高生产率，改善业务流程，还能加快变革的进程。总之，数据中心已经成为IT 部门保护、优化和发展业务的战略重点。要实现这些目标，数据中心建设面临着很多挑战。过去几十年来，为适应经济的迅猛增长，多数企业数据中心都经历了一个快速发展期。数据中心运行的应用越来越多，但很多应用都相互独立，而且在使用率低下、相关隔绝的不同环境中运行。每个应用都追求性能的不断提高，一般情况下，数据中心必须支持多种操作系统、计算平台和存储系统。这种需要支持多个应用“孤岛”的分立式基础设施不仅难以变化和扩展，而且管理、集成、安全和备份成本很高。传统的数据中心正变得过于复杂，成本高昂并且效率低下，

9、逐步成为了企业业务进一步发展的最大的瓶颈。传统数据中心的体系架构已经有超过10年没有变化：部署了过多的交换节点，设计及实际运行中的大部分的是低性能、低密度的设备。而用户和应用的增长几乎一直都伴随着机柜和设备的增长。更为严重的是，这些升级在生产环境中引入了新的未经测试的操作系统，紧接着的是额外的投资开销、机架空间、电源消耗及管理费用，这些都直接导致了数据中心运维的整体复杂性以及成本的大量增加。根据行业预测，70% 的IT 预算都花费在了现有应用环境的维护上。因此，IT 机构必须提高运行效率，优化数据中心资源的利用率，才能将节省出来的资金用于开展新的盈利型IT 项目。另外，数据中心建设需要建立永续

10、基础设施，才能保护各种应用和服务免受各种安全攻击和干扰的危害。与此同时，数据中心领域也在不断涌现出大量的创新，包括服务器虚拟化、以太网存储、新的业务应用交付模式等。这些创新能够推进企业数据中心效益的进一步提升。数据中心的融合和虚拟化趋势加速了资源的优化及成本的下降。融合、虚拟化及存储对网络性能和安全都提出了更高的要求。而服务器虚拟化不仅大幅提高了服务器资源的使用率，也大幅增加了网络内部的数据业务量。运行在虚拟服务器环境下的应用，要求更低的延迟、更高的吞吐量、更加强壮的服务质量 (服务质量 (QoS) 和极高的可靠性HA (HIGH AVAILABILITY)。传统的数据中心已经不能满足每端口增

11、加的业务量及性能要求。更进一步，数据存储的高带宽和低延迟要求，以及更多的采用iSCSI和NAS，则更增加了对网络架构的要求。而随着未来FCoE (Fiber Channel over Ethernet以太网光纤隧道) 的标准化，该技术必将对网络架构提出更高的带宽和性能要求。此外，如SOA (Service Oriented Architecture面向服务的架构) 和WOA(Web Oriented Architecture面向Web的架构) 等新的应用架构，以及如云计算、桌面虚拟化和软件既服务 (SaaSSoftware as a Service) 等新的业务，也对数据中心网络架构产生更高的

12、性能和带宽要求。这些更高的需求要求数据中心部署全新的高性能的网络平台，以提高数据中心的生产率，同时降低了数据中心的新应用进入市场的时间和运维成本。数据中心的发展趋势数据中心集中化和使用者的分散化为了降低运行维护和数据整合的成本，简化操作，并符合法律法规的监管要求，越来越多的企业在考虑整合合并其数据中心。据Nemertes研究公司的报告称，超过50%的公司在过去的12个月之内，合并其分散的数据中心为整合的集中的大型数据中心，而这一趋势在今后的12个月内更加显著。整合的大型数据中心除了能够满足高可靠性的要求，确保不间断的业务，同时还能够降低数据中心的处理时延，并提供更高的安全保障。同时，企业数据中

13、心的设计还必须满足越来越分散的使用者（分支机构、门店或个人）的趋势，据Nemertes的研究报告，企业中约89%的员工是工作在总部以外的区域，如远程的分支机构。此外，虚拟化的趋势已进一步扩展了企业数据中心的使用者范围，包括企业的承建商，咨询顾问，业务伙伴和客户等等，这些用户需要在世界任何地方、任意时间接入并使用数据中心的应用。因此，企业必须提供7X24小时的高可靠的用户的安全连接和使用，同时确保所有企业资源和应用的安全性。服务器的分析Gartner公司（2007）称，数据中心平均每年服务器保持了11%的增长率，而存储则是22%。这些快速的增长带来对数据中心的电力供应和冷却能力的巨大压力。 20

14、07年的Forrester的报告也指出，51%的企业将集中部署服务器作为一个关键优先考虑事项。Gartner还报道指出，大多数企业的服务器都只运行了其能力20%，因此，通过虚拟化新技术，能够更好地利用这些闲置浪费的资源。此外，集中式部署的数据中心的备份和安全问题必须得到解决，集中的数据中心也要求能够具备统一、集中的管理解决方案，从而减少时间和资源投入，以保持数据中心的可靠性和可用性。虚拟化虚拟化是一种用于共享资源，使单一的物理资源划分为许多个别独立的资源的技术手段。反过来虚拟化也可以使得多个独立的物理资源整合为一个统一的资源。虚拟化的好处是在以最小的成本，创造更灵活的系统，可以轻松地提供灵活的

15、部署，先进的自动化，安全和易于管理的优势。虚拟化主要应用在四个主要资源类别：服务器，存储，网络和最终用户桌面。 服务器虚拟化让一台服务器通过如VMware 或Microsoft Virtual Server软件，虚拟化为多台机器。服务器虚拟化使IT管理人员能够灵活地管理Server上的工作负荷，并提供相应的HA和灾难恢复服务。 存储虚拟化有助于使许多存储阵列、池和系统显示为一个单一的资源，提供这些资源的无缝缩放，从而实现更加方便的数据迁移，提高资源利用率和简化的管理规定。 虚拟化的网络是通过不同的虚拟化技术，实现数据平面的虚拟化、控制平面的虚拟化和管理平面虚拟化。客户端虚拟化使IT管理人员能够

16、提供快速的、无所不在的托管桌面访问，以实现完全的安全、易于管理和升级。存储随着企业越来越依赖于庞大的数据存储，可扩展，高性能的存储系统解决方案正成为当今企业的越来越重要的考虑方面。Fiber Channel-光纤通道仍然保持着SAN市场的绝大部分。但随着千兆位以太网（GbE）的日益流行，部署和管理基于以太网的NAS的方案使得iSCSI成为一个有吸引力的，低成本的选择。此外，基于以太网NAS的解决方案更容易利用虚拟化的优势实现快速扩展，并提供HA。虽然4或8 Gbps的光纤通道提供了比千兆以太网更快的速度优势，但网络接口卡（NIC）上通过TCP卸载功能能够大大提高iSCSI的性能。此外，较低成本

17、的10GE以太网iSCSI也提供了超越光纤通道的速率，从而满足高速存储需求。SoA基于业务的数据中心架构新兴企业正在越来越多地采用面向服务的架构（SOA）的业务流程，通过各个不同的独立的业务功能模块，构建大型的集成的应用系统。虚拟化技术在SOA的环境中得到了广泛的使用，通过虚拟化技术，能够增加服务的可靠性，实现无缝的扩展。在这种方式下，IT部门可以在不同的应用程序进程之间整合各种关键的技术。在一个基于SOA的环境中，各个业务功能模块之间进行大量的，密集的信息交换和互通，这对数据中心的网络带宽会带来新的影响和冲击。绿色数据中心随着业务和终端用户利用越来越多的网上资源，企业必须建立他们的IT架构去

18、支持这些网上应用，但很多企业都面临着数据中心运行维护的成本问题。据权威统计，一个企业的平均存储需求每年都以20-150%的速度增长。其中，服务器增长11%，应用程序增长10%。因此，承担众多业务应用的企业数据中心消耗了翻倍的能源，并产生成倍的热量。美国环保局的一个调查发现，2006年服务器设备电力消耗占美国全部电力消耗的1.5%。企业在电力上的花费比在硬件设备上的花费还要多。对于新建的数据中心而言，重要的是要确保数据中心网络基础设施能够实现最大的能源利用和空间利用效率，从而实现最低的运行维护成本。绿色倡议，跟踪。在设计一个数据中心时，必须考虑到电力和冷却资源的使用，二氧化碳排放量等这些关键因素

19、。统一通信语音，视频和数据服务相结合的统一通信系统的采用正在快速增长。根据Forrester研究（2006年）报告，北美所有公司的46%已经安装IP电话或视频系统。统一通信的应用对数据中心提出了更高的性能和可靠新要求，不仅要充分考虑网络的带宽供应，更要实现有效的服务质量（QoS）保障。安全联邦调查局的统计显示，2006年至少72%的公司遭遇过安全事故。2006年Forrester研究公司的调查发现， 57%的企业将“升级安全环境”列为公司IT方面的首要任务。由于数据中心业务系统的的集中化和使用者份额分散化，远程用户被授予的网络接入范围日益广泛，因此必须在企业的数据中心提供有效的安全保障，如提供

20、分支机构用户以安全的远程接入通信方式接入到数据中心，或者提供远程机构到核心网络之间的站点到站点通信。另外，还必须考虑到数据中心内部不同应用系统、不同虚拟机之间的安全，多个数据中心之间的连接的安全性，如主备数据中心之间的流量安全等问题。数据中心的建设策略Juniper Networks网络数据中心架构解决方案简化了数据中心的安全与网络设计。通过消除传统架构中的多个交换节点，全新的简化网络设计需要更少的设备和互联链路带来空间、电源、制冷以及管理的更高效率。设备的减少、性能的提高以及高可用性，是通过具有线速性能的集群交换 (Virtual Chassis) 技术获得的。通过将传统的“杂乱式安全”设计

21、整和到少量的高性能机箱式产品，解决方案简化并提高了安全服务的部署效率。这些产品基于动态服务架构并通过单一操作系统上的“真正服务集成”，使得新增安全服务部署速度的大幅提升成为可能。安全服务融合不仅使得安全架构具有更高的能耗和空间效率，而且通过减少被管理设备的总数使得运维更简便。全部安全服务的实现无需通过多个有限规模和单一功能的设备，也大幅降低了整个网络的应用延迟。通过提高跨越多个数据中心的汇聚核心网络的扩展性，高级路由技术和平台实现了业务操作的灵活性。数据中心也能在更低的复杂性下快速部署新的应用和支持新的服务，从而以更高的性能和更低的成本实现业务发展目标。新一代数据中心的整体建设思路：1。可扩展

22、性：成长的提供可扩展的网络架构和数据中心处理能力。 2。快速：能够支持任何通信应用程序或服务，提供高带宽，降低处理延迟。 3。可靠性：满足数据中心集中化后的高可靠性要求。 4。安全：对数据中心的各类应用和网络平台本身提供安全保障。 5。简单：降低管理维护复杂性，降低成本。网络架构的简化传统网络架构的问题传统的数据中心网络架构采用了核心汇聚接入的三层网络架构模型，这一方面是受到了传统的园区网络三层架构的建网模式的影响，同时早期的设备也无法满足核心接入这样的二层架构所需要的端口密度和性能要求。在三层网络架构发展的时期，这种模式是必不可少的，因为局域网交换技术力求满足大多数企业的交换性能需求，而功能

23、分层是提高性能的一种行之有效的方法。例如，骨干交换机的速度恰好能够支持大多数核心应用，如果再让它去执行复杂的路由或过滤任务 (通常在软件中执行)，运行速度定会急剧下降。因此，这些功能被分配给了多个汇聚交换机，以便核心交换机能够专门执行简单的交换任务，从而最大限度地提高性能。采用这种设计方法，大型网络会需要多个核心交换层来进一步扩大规模，每层通常执行不同的任务。使用这种方法创建的一些参考设计至今仍被作为模板来使用，交换层能多达五个，每层都由多个设备组成。这类配置中，用于连接交换机的以太网端口数量，通常与连接用户或服务器的端口数量相同。随着这种方法日益成熟，交换机供应商开始寻求通过汇聚层提供更加丰

24、富的服务，不仅包括路由访问控制列表和其它低级别数据包处理功能，还包括防火墙和流量分析等其它功能这类功能通常由服务板卡提供，服务板卡可添加到所有的汇聚层交换机。在极端的情况下，供应商可能会将服务板卡添加到每一个网络层次，以期改进服务/提高安全性；事实上，在各层复制相同的功能，只会徒劳无功。而在当今的数据中心，如果继续采用这种网络架构将存在以下几个方面的问题：网络的层次较多，处理效率低；多增加了一个汇聚的层面，就会额外增加汇聚设备的处理时延、线路时延等；同时由于网络节点数量增多，也增加了部署成本和设备故障的几率；由于汇聚层面设备一定存在处理性能和上行带宽的收敛比，在数据中心规模不断扩大的情况下，汇

25、聚设备会成为整个网络的瓶颈，出现拥塞、丢包等问题；在网络扩容时，不仅仅需要增加接入层的设备，同时也必须考虑到汇聚设备的性能和端口密度能否满足要求，也需要进行相应的扩容，带来投资成本的增加。网络设备之间的STP、LAG、路由处理、安全等等相互之间的交互信息，随着设备数量的增加，会成几何级数激增。以10台交换机为例，设备之间的交互量为10 x(10-1)/2=45；而如果是100台交换机，交互量则上升至4950；如果是1000台交换机，则交互量为499500，几乎无法正常管理和应用的地步。早期数据中心的流量模型是ClientServer流量占绝大多数，而随着数据中心虚拟化的部署，新的数据中心流量模

26、型中，大多数的流量是在内部服务器之间进行通信，甚至能够达到整体流量的75%，这种部署架构会导致服务器之间流量需要通过汇聚层甚至核心层设备转发，效率低下，且性能很差。Gartner的调研报告Gartner在最大限度减少网络交换层，显著降低成本并提高效率的调研报告中也指出，过去，针对交换机性能有限的环境，我们创建了现有的局域网设计方法。如今，大容量交换机采用全新的设计方法，从而降低园区及数据中心局域网的成本和复杂性。过去三年来，局域网交换机市场发生了显著的变化。虽然企业的流量需求在不断增长，但局域网交换机容量的增长速度更快。此外，更复杂的功能不是在软件中执行，而是直接嵌入到芯片中，这样可以通过交换

27、机的所有端口“线速”提供这些功能，同时不会影响交换性能。现在，最大型的企业级局域网交换机每秒可处理超过一个T的交换容量，能够支持近1,000个1 Gbps以太网端口或者200多个10 Gbps端口。与前几代产品相比，这些新型交换机中的服务板卡的数量呈下降趋势。以前，交换机性能有限，我们创建了传统的局域网设计方法。当前，许多企业在设计网络时，仍在沿用这种方法。在某些情况下，他们保留汇聚层只是为了提供防火墙等服务模块，这与最初的设计理念完全背道而驰汇聚交换机的最初目的是便于企业提供更多功能。现在，您可以根据新的市场条件，采用新的方法来设计局域网。由于所有的交换机端口都能在不影响性能的情况下提供丰富

28、的功能，因此您可以放弃三层设计方法，而选择更为精简的拓扑结构。例如，可以使用单层交换机来支持小规模配置；使用两层交换机来满足企业园区及数据中心的大多数需求；使用三层交换机来支持超大规模的网络部署（见图2）。减少交换层次的网络设计方法不会影响冗余功能，因为核心交换机通常作为完全冗余部署，具有永续特性，如冗余电源以及控制和交换矩阵等。在数据中心，接入层通常也采用双冗余配置的部署模式，将服务器同时连接到两个交换机中。这种全新的精简方法设计局域网的主要优势在于，能够减少网络中的交换机和链路数量，从而降低前期购置成本和后期维护成本。此外，精简的配置还能降低电力和冷却需求，这对数据中心网络尤为重要。为了探

29、寻这种设计方法潜在的成本优势，我们以支持4,800个10/100 Mbps以太网用户端口的网络为例。该网络将连接100个48端口的边缘交换机，每个交换机需要4条1 Gbps上行链路，总共需要400条1 Gbps上行链路。传统的三层设计方法，会将这些边缘交换机与由8个汇聚交换机组成的中间层连接 (4对冗余配置)，每个汇聚交换机支持50条1 Gbps上行链路，且需要 (至少) 2条10 Gbps上行链路，其中每条链路与冗余配置的两台核心交换机中的一个交换机相连。如果将这些边缘交换机与核心层直接相连，则企业无需购买带有16个10 Gbps上行链路端口的8个汇聚交换机机箱，同时核心交换机上的10 Gb

30、ps端口数量可相应减少16个。此时，我们仍需要400个1 Gbps端口，但它们将被部署在核心层而不是汇聚交换机中。以2009年第3季度的市场平均价格计算，相比10.2万美元的用户端口和3.8万美元的1 Gbps端口，仅减少32个10 Gbps端口一项，就可节省5.6万美元的成本，这相当于节省了约28%的网络前期购置成本。同时，电力和维护成本也会相应降低（而从成本分析来看，后期的设备使用和维护成本要远高于设备的采购成本）。通过减少交换层数量，流量需要穿越的交换机数量也会减少，从而可以缩短延迟，提高应用性能。此外，简单的配置还有助于简化网络管理，减少需要配置的设备，以及需要排障的端口和线缆数量，并

31、简化路由和虚拟局域网 (VLAN) 的配置。Juniper的方案简化数据中心网络架构在大量的数据中心环境中，需要部署大量的以太接入交换节点提供服务器连接到网络核心。为减少交换节点，Juniper Networks数据中心架构解决方案采用集群交换(Virtual Chassis) 技术，支持高达10台的EX4200交换机互联，或者最多8台EX8200互联，形成单一的、逻辑设备，实现整个数据中心网络架构的最简化。虽然全部的交换机以单一平台运行，但在虚拟机箱配置中的每台独立物理设备都有其自身的电源输入和风扇盘阵，提供可靠的以太网交换能力。因此，由于采用了高性能的交换核心和网络边缘设备，同时通过VC技

32、术实现了网络架构的简化，因此新的数据中心的网络可以采用核心接入的二层架构，从而提升效率、减少故障点、降低管理维护工作量。简化的数据中心网络物理架构如下所示：数据中心的交换机无论是以柜顶“Top-of-Rack”方式还是以列末“End-of-Row”方式部署，利用EX系列集群交换 (Virtual Chssis) 技术可以大幅减少交换机之间汇聚的连接和端口。无需为每台物理交换设备配置冗余链路以确保HA(HIGH AVAILABILITY) ，仅为每个集群交换组配置冗余互联链路即可。和具体的配置有关，集群交换机箱组中的某些交换机可能没有上联链路，而是借助其他成员交换机的上联链路。在虚拟交换机配置方

33、式下，所有物理交换机通过一块高性能背板连接，并允许在故障时切换到互联的备份交换机。这样的配置显著减少了确保网络连接冗余所需的链路数量，同时降低或消除了数据中心接入交换节点的生成树协议 (Spanning Tree Protocol) 的需求。作为柜顶“Top-of-Rack”或列末“End-of-Row”交换机的EX4200，直接连接到数据中心的一对核心EX8200系列交换机。EX8200系列是具有非阻塞、高密度性能、100GE ready的交换机，单一机箱可提供高达6.2/12.4Tbps的背板带宽，单一机箱可支持高达128个线速万兆以太网接口或640个万兆以太网接口。而通过EX8200的V

34、C技术，能够实现VC机群更高的处理性能和端口密度。EX4200 VC技术Juniper EX4200系列交换机支持虚拟机箱的集群技术，通过EX4200的专用集群接口或者上联的万兆接口，可以实现灵活的交换机集群功能。VC技术实现了最多10台EX4200交换机的集群，集群后的交换机即作为一台逻辑上的模块化交换机，提供统一的配置、管理、维护、升级等功能，完全等同于一台独立的机箱式交换机。相对于一般交换机的堆叠技术，VC集群技术具有如下的优势：通过专用的集群线缆，集群交换机具有128Gbps的背板转发性能，大大由于目前其他厂家的堆叠技术的背板容量；除了通过集群线缆实现交换机的VC外，还可以通过交换机的

35、10GE上联接口实现交换机的VC，这极大的方便了位于不同地理位置的多台交换机之间的集群；集群后的交换机即为一台独立的模块化交换机，集群不需要通过STP协议来避免环路产生；集群后的交换机会选举出一台主用路由引擎和一台备用引擎，主备引擎之间可以通过NSR实现引擎切换0丢包；在集群中的一块引擎失效后，将自动在其他转发模块中选举出一块备用引擎，保持整个集群的双引擎，从而保障整个交换集群的高可靠性；集群中除引擎模块外，其他交换模块作为转发模块，类似于机箱式交换机的接口板卡；每块板卡均具备本地的转发能力，整个交换集群构成一个完全的分布式转发的架构。每个交换模块均可通过液晶显示屏显示相应的信息，包括交换机模

36、块在集群中所处的插槽等信息，其使用方式与机箱式交换机没有区别。VC集群中的不同交换模块上的端口可以灵活实现端口聚合port-channel的功能；因此，通过VC技术，可以实现很方便地实现某个单体建筑内多台交换机的集群和统一的管理，此时的VC集群就可以当成一台单独的模块化交换机，提供动态的双引擎的高可靠性和分布式转发的高性能。同时，VC相对于固定的机箱式交换机而言，具有更好的灵活性，可以完全按照端口需求进行VC中交换模块数量的扩展。另外，由于VC中的每个交换机都具有各自独立的上联GE或10GE接口模块，因此每个VC的双10GE上行接口可以分布在不同的交换模块上，避免由于一台设备的故障导致两条上联

37、链路的终端，提供了更高的可靠性。在实际的数据中心部署方案中，EX4200作为接入交换机，可以采用Top of Rack或者End of Row两种部署模式。Top-of-Rack部署方案在实际的数据中心部署架构中，为了提供大量高密度的服务器的高带宽接入，我们建议将EX4200系列交换机部署在服务器机架的顶端，即Top of Rack的部署方案，用以实现机架内部的服务器的接入。如图所示：为了满足服务器接入的高可靠性的需求，一般会采用服务器双网卡接入的方案，在这种情况下，可以在每个机架中部署两台ToR交换机，分别提供服务器的双上行网卡接入。而对于不同机架中的EX4200交换机，则可以通过VC技术实

38、现接入交换机的虚拟化，即多台EX4200虚拟化为一台逻辑设备，这样每个机架中的两台EX4200交换机就分属两个逻辑VC交换集群。通过接入层交换机的虚拟化，可以简化网络管理，提升接入层设备的可靠性，并优化数据中心的流量。如下所示：接入层的EX4200 的每个VC交换机集群则可通过多条10GE LAG线路捆绑实现到核心的EX8200的高带宽上联。可以根据每个VC所需要的上联带宽，决定上联链路的数量。同时每个VC的上联10GE端口可以采用多台EX4200交换机的上行接口，从而提高了可靠性，也有利于提升转发效率。需要注意的是，EX4200的VC需要通过专用的VC线缆或者10GE接口实现设备之间的互联。

39、当采用VC线缆实现机架之间的EX4200相互之间的互联时，由于每台EX4200都部署在各个机架的顶端，而VC线缆长度是有限的，因此需要考虑到VC线缆的互联方式。我们建议采用如下的VC连接方案：2个机架之间互联：3个机架之间互联：4个机架之间互联：5个机架之间互联：6个机架之间互联：7个机架之间互联：8个机架之间互联：9个机架之间互联：10个机架之间互联：通过这种方式互联，可以保证任意两台EX4200之间所需的VC线缆长度均小于5米（考虑了机架顶到走线槽之间的距离和机架之间的间隔）。因此可以灵活的实现同一排机架之间2-10台EX4200构成VC交换集群。End-of-Row部署方案而当采用列末部

40、署方案时，情况则变得更加简单，在列末的机架中，部署EX4200交换机，提供这一列机架内所有服务器的接入，而列末的EX4200可以构建VC交换集群。同样，为了提供服务器双网卡上联的需求，可以将EX4200划分为2个独立的VC，如图所示。这种方式适合于服务器密度不大，每个机架接入端口需求不多的情况，同时还可以简化接入层EX4200的VC连接。但需要在机房布线时，布放列末机柜到该列所有其他机柜服务器之间的线路。VC1VC2EX8200 VC技术EX8200系列交换机同样可以通过VC技术，实现2台、4台甚至8台设备虚拟化为一台逻辑的设备。通过Virtual Chassis虚拟化技术，能够提供EX820

41、8之间、EX8216之间或者EX8208与EX8216混合的虚拟机箱，形成一个具备超过1400个10/100/1000 BASE-T接口或者超过1200个10GE接口的单一的逻辑交换平台。两台EX8200交换机之间通过10GE链路或者多个10GE捆绑链路实现相互之间的互联，今后可以通过100GE提供更高的互联带宽。而接入层的EX4200 VC的双上行的链路可通过LAG链路捆绑的方式实现上行链路的带宽倍增，并且避免在接入层和核心设备之间形成环路，也无需运行STP协议。与其他友商的虚拟化技术不同的是，Juniper EX8200的Virtual Chassis技术采用了外置冗余引擎的架构，通过外置

42、冗余引擎，可以实现：控制平面和转发平面的完全隔离，避免了相互之间的影响；而如果采用友商的引擎内置在转发平面中的方案，则可能由于转发平面的问题导致控制平面异常，造成主备引擎同步异常，甚至转发异常；能够通过外置双引擎，实现2台、4台甚至8台EX8200的集群，并可实现在线的平滑升级；而其他友商均只能实现2台设备的虚拟化；引擎之间具有独立的互联心跳链路，避免了通过控制平面进行心跳侦测可能的双主的问题（友商虚拟化方案中，当两台核心设备之间心跳线路中断时，会导致两台核心设备都成为主用状态，双主问题会引起整个数据中心核心转发的混乱，从而导致整个数据中心的转发中断）；两台或者多台EX8200之间可以通过10

43、GE或者10GE线路捆绑提供极高的互联带宽，今后还可以通过100GE实现更高的互联带宽，避免跨机箱链路的瓶颈（其他友商一般仅通过2x10GE实现机箱互联，相比于设备的处理性能，20GE的互联带宽会成为极大的瓶颈）；这种方式借鉴了核心网路由器集群的方案，具有极高的可靠性和扩展能力，更加适合于大型数据中心的部署需求。网络架构简化的优势通过采用VC技术构建数据中心的核心节点和接入层设备，能够提供：简化管理：两台甚至多台EX系列交换机可以虚拟化为一台逻辑设备，作为一个独立的设备进行管理，能够有效简化管理压力；整个数据中心管理的逻辑设备数量大大减少；转发性能提升：通过VC构架集群交换平台，能够实现核心设

44、备性能的叠加，与接入层交换机之间通过跨物理机箱的多万兆以太网捆绑技术，项对于采用路由或生成树的负载均衡更均匀，切换速度也更快，更有利于数据中心核心网络的稳定可靠，同时也能够提高互联带宽；部署维护简单：在数据中心网络中，逻辑架构就是一个单独的核心交换集群和多个接入交换集群之间的互联，网络架构做到了最简化，相互之间没有复杂的协议交互，也避免了复杂低效的STP协议。因此部署和维护工作量和难度大大降低。网络扩展方便：如果接入层设备需要扩展端口，一种方案是在原有VC中增加交换机，最多可支持10台接入交换机构建成一个独立的VC，提供更高密度的接入端口和更强的处理性能；在原有VC中增加新的交换模块不会对在线

45、业务造成影响，可以实现平滑升级；或者可以新增接入层交换机，构成新的VC，新的VC通过新增的互联链路连接到核心交换机上；当核心节点的端口密度或者处理性能不能满足要求时，可以通过在线增加EX8200交换机的方式，实现核心性能的升级；在原有的EX8200集群中增加新的交换节点也不会影响到在线的业务，从而实现平滑升级；最多可以支持8台EX8200构成一个逻辑集群，且能够支持EX8208与EX8216的混合集群；网络能够实现无缝的扩展，实现接入端口和处理性能的平滑提升，满足企业快速发展的需求。控制和转发平面的彻底分离：EX8200的虚拟机箱技术采用了创新的外置冗余引擎的方式构建逻辑的交换集群。通过外置冗

46、余引擎，做到了真正意义上的控制平面和转发平面分离。从根本上避免了控制和转发之间的相互影响，提供了极高的可靠性和稳定性。引擎的切换、升级和更换，都不会影响到转发平面的数据转发；而任意一台机箱的故障，也不会影响整个集群的控制和转发。数据中心虚拟化服务器虚拟化随着数据中心服务器虚拟化的逐步部署，需要数据中心的网络架构能够提供针对虚拟化后流量模型的优化的转发。一种虚拟化的方案是采用VMware等方案实现单台物理服务器虚拟化为多台逻辑的服务器，并在不同逻辑服务器上运行不同的应用系统，如下所示：虚拟化后的逻辑服务器之间可以通过服务器内部的虚拟交换机vSwitch的VLAN划分实现相互之间的隔离，虚拟交换机

47、vSwitch通过物理的NIC网络接口实现和数据中心的EX4200接入交换机之间的Trunk互联，通过VLAN TAG实现不同逻辑服务器的二层隔离。此时，为了实现虚拟服务器之间的相互的数据交互，必须提供VLAN间的三层路由功能。由于EX4200能够提供线速的三层转发功能，并且在数据中心的边缘实现，因此能够提供最优化的逻辑服务器之间的线速的流量交互。（如果边缘设备不能提供三层路由功能，则需要流量经过数据中心的汇聚设备甚至核心设备，才能实现三层的VLAN间路由功能，这种方式的效率是非常低的，也不符合数据中心流量模型）。对于这种虚拟化的方案，我们建议的服务器连接方案如右图所示：一台物理服务器通过双网

48、卡连接到数据中心边缘的同一个VC的两台EX4200上，该物理服务器内部划分的多个虚拟服务器之间通过VLAN实现相互的二层隔离，并通过Trunk连接到EX4200 VC上。而通过边缘的EX4200 VC的三层转发功能，虚拟服务器之间的交互流量无需通过核心层设备，就能够实现网络边缘的、线速的、优化的数据转发。另外一种服务器虚拟化的模式是通过Hadoop等方案实现多台物理设备虚拟化为一台逻辑设备，通过Hadoop，能够实现在由通用计算设备组成的大型集群上执行分布式应用的框架，这是一种简化的分布式编程模式，能够让程序自动分布到一个由普通机器组成的超大集群上并发执行。在右图中，多台物理服务器通过Hado

49、op构成一台逻辑上的服务器集群，并实现分布式的应用执行。在这种模式下，一个逻辑集群内的多台物理服务器之间会有大量的交互数据需要通过网络平台转发和处理，并且考虑到应用系统的效率，要求物理服务器之间的交互数据能够高效、快速和低时延传输。我们建议按照下图的方式实现服务器的接入，即多台的物理服务器接入到EX4200 VC上，通过EX4200 VC 128Gbps的高速背板，实现物理服务器之间高效的数据交互。为了满足高可靠性的要求，每台物理服务器均可通过双网卡实现到两个EX4200 VC的上联。如下图所示：通过Juniper EX4200 VC之间128Gbps的高带宽互联，能够充分满足逻辑集群内物理交

50、换机之间的高带宽互联和高效的数据转发机制，而这些流量无需经过核心设备的处理，因此能够提高处理效率、降低转发时延，提升数据中心的效能。需要注意的是，由于数据中心服务器的虚拟化是依靠虚拟机的迁移技术来实现与物理资源无关的资源共享和复用的，因此在实际部署数据中心网络和服务器时，建议将有大量交互数据的物理/虚拟服务器尽量部署在同一个接入层EX4200 VC内部，有利于发挥VC内部横向高带宽转发的优势。总结：Juniper数据中心简化的网络架构能够充分满足数据中心服务器虚拟化后的新流量业务模型，即接近75%的流量是在数据中心内部服务器之间转发的趋势，从而实现最优化的数据中心业务承载，降低时延并提高可靠性

51、。网络虚拟化在前面，我们提到了通过Juniper特有的Virtual Chassis技术，实现数据中心接入层设备和核心层设备的多合一虚拟化功能。对于集中部署的数据中心平台而言，同样也存在将统一的物理网络平台虚拟化为多个逻辑上隔离的网络平台，并分别承载不同的业务和应用系统的需求。数据平面虚拟化的一个最简单的例子就是使用802.1Q VLAN的物理网络接口标记，以提供多个相互隔离的网段。通过在一台独立的物理设备上使用诸如VR虚拟路由器或者VRF，则可以实现控制平面的虚拟化，在单台路由器上实现多个路由域和协议。通过在一台设备上采用逻辑路由器LR或者虚拟防火墙系统（VSYS），则可以实现管理平面虚拟化

52、。通过MPLS和VPLS技术，能够使得高速数据中心的骨干网络满足综合网络架构的性能需求。另外，虚拟化技术也可让多台交换机整合为一台逻辑设备，从而简化设备配置和管理，同时也提高了可靠性，减少潜在的性能瓶颈。 通过Juniper EX系列交换机的Virtual Router特性，能够实现在一张物理的网络上划分为多个相互之间路由隔离的逻辑的业务平面，每个业务平面均有各自独立的路由表和转发表，并且都能够基于硬件ASIC实现线速的高性能转发。数据中心一体化安全传统的数据中心中采用分散式和叠加式的安全部署方案，通过在网络中叠加部署不同功能安全设备，来提供各个所需的安全功能。这种部署方案一方面导致了网络架构

53、的复杂化（这与数据中心建设简化的网络架构截然相反），导致管理和维护工作量的增加和数据中心管理复杂程度的增加，同时由于安全设备自身处理性能和可靠性的问题，会成为整个数据中心的瓶颈和单点故障，不利于数据中心的不断扩展，也不利于数据中心的稳定可靠。在下一代数据中心中，通过将传统的叠加式部署的安全设计理念转变为采用整合的功能融合的高性能机箱式产品，简化并提高了数据中心安全服务的部署效率，并且提升了数据中心的安全保障能力。这些产品基于动态服务架构并通过单一操作系统上的“真正服务集成”，使得新增安全服务部署速度的大幅提升成为可能。安全服务的融合不仅使得安全架构具有更高的能耗和空间效率，而且通过减少被管理设

54、备的总数使得运维更简便。全部安全服务的实现无需通过多个有限规模和单一功能的设备，也大幅降低了整个网络的应用延迟。通过提高跨越多个数据中心的汇聚核心网络的扩展性，高级路由技术和平台实现了业务操作的灵活性。数据中心也能在更低的复杂性下快速部署新的应用和支持新的服务，从而以更高的性能和更低的成本实现业务发展目标。通过分析数据中心的安全需求，主要体现在以下几个方面：物理服务器之间的安全虚拟服务器之间的安全数据中心之间数据传输的安全用户端/分支机构到数据中心访问的安全各个安全系统之间的协同安全数据中心安全防护具体的部署模式如下所示，改变原有的分布式部署安全设备的方案，而是通过在数据中心的核心位置部署高性

55、能的SRX系列防火墙，能够实现对数据中心的全面的高性能的安全防护。采用旁挂在核心设备上的方式能够实现灵活的基于策略的安全防护功能，并且避免防火墙设备成为网络的性能瓶颈和单点故障点。Juniper SRX系列防火墙提供了可扩展的网络安全解决方案，适用于包括大型数据中心、大型园区网边界、宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制，以至电子商务网站的服务器保护等等。Juniper全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。从防火墙硬件架构上考虑，Juniper SRX系列防火墙均采用安全优化的硬件，比拼凑而

56、成的软件类方案提供更高级的安全水平。SRX系列特性特性说明优势专用的硬件平台从一开始就构建在专用硬件上，旨在支持网络和安全服务提供无与伦比的性能和灵活性来支持高速网络环境可扩展的性能基于动态服务架构，提供可扩展的处理能力提供经济高效的简单解决方案，利用新技术来执行适当的处理任务系统和网络永续性提供运营商级硬件设计和公认的OS 满足所有关键的高速网络部署的可靠性需求高可用性(HA)支持主/ 备HA 配置，使用专用的HA 控制接口实现高可用性和永续性，支持关键网络接口灵活性采用模块化的CFM 模块并且基于动态服务架构，提供灵活的I/O 选项，支持灵活的I/O 配置和独立的I/O 可扩展性，能够满足

57、任何特殊的网络要求网络分割提供安全区、VLAN 和虚拟路由器，管理员可以部署安全策略，以便隔离客人和地区服务器或数据库提供的功能可以为不同的内部、外部和DMZ 亚组定制特殊的安全性和网络策略强大的路由引擎支持专用路由引擎，同时对数据和控制平面实施物理和逻辑分割允许部署整合后的路由和安全设备，同时确保路由基础架构的安全性均通过一个专用管理环境实现全面的威胁防护在JUNOS 软件上提供高度集成的特性，包括数千兆位的防火墙、IPsec VPN、IPS、DoS 和其他服务提供无与伦比的集成能力，在各级攻击环境中均可确保网络安全SRX产品系列采用模块化架构，提供市场领先的灵活性和性价比，基于Junipe

58、r的动态服务架构，支持灵活地配置I/O 卡(IOC)，使用户能够通过配置系统在性能和端口密度之间实现理想均衡，并能够基于特定的网络要求对SRX 业务网关进行定制部署。SRX系列支持高密度的千兆和万兆接口，提供高达120Gbps的防火墙处理性能和完善的IPS入侵检测和保护功能，并且提供完善的安全保障服务来满足特定的业务需求。Juniper SRX系列防火墙的优势主要体现在以下几个方面：架构设计SRX系列的硬件平台汲取了瞻博网络超过10年的各种产品设计经验。特别的是，SRX系列的设计，采用了与瞻博网络 MX系列以太业务路由器相似的架构。MX系列与SRX系列的不同在于SRX系列需要实现安全业务服务。

59、为实现该服务，瞻博网络在SRX系列上开发了业务处理卡SPC这强大的模块化、高速、高密度计算卡，可在一个机箱中安装多块。增加更多的业务卡实现了性能的自动扩展。SRX系列实现了真正的控制和转发平面的分离。控制平面实现全部的管理和动态路由交互，与数据平面处理分离。数据平面是高性能交换背板，实现SPCs和接口卡之间业务的线速转发。这确保了机箱能以SPCs处理业务的最快速度进行转发。可扩展的性能如上述章节所讨论，性能的扩展性是非常困难的。为解决该问题，SRX系列的设计基于可扩展的硬件架构。这使得用户可从使用少量的安全处理卡开始，然后随着需求的提升，增加更多的SPC处理卡以扩展性能。每个新增的SPC处理卡

60、所带来的性能的增加是可以计算出来的，这使得企业可根据需求的增长来规划所需的SPC处理卡的数量。这种类型的性能扩展正是数据中心所需要的。这使得可在数据中心放心地部署SRX系列业务网关，因其能够处理全部的、必要的会话。如果需要更高的性能，可增加新的SPC卡。这减少了对低性能设备进行昂贵升级的需求。路由集成如前讨论，SRX系列平台基于瞻博网络大量的已有的经验和现有技术来设计。其中包括了运行在分离的控制平面上的JUNOS软件，这使得SRX系列可运行路由协议，并与现有的基于JUNOS软件的平台一样强大。时间验证的JUNOS 软件已经运行在全世界成千上万的网络中，而实证优异的路由协议也被移植到SRX系列设