数据中心建设方案设计

数据中心建设方案设计数据中心建设方案设计127/127数据中心建设方案设计范文模范指导学习数据中心网络建设方案word版本整理分享范文模范指导学习word版本整理分享范文模范指导学习目录第一章数据中心现状解析5第二章数据中心网络技术解析5路由与交换52.2EOR与TOR6网络虚假化7网络多虚一技术7网络一虚多技术92.4VM互访技术（VEPA）9虚假机迁移网络技术15第三章方案设计18网络整体规划18省级数据中心网络设计20市级数据中心网络设计22区县级数据中心网络设计23省、市、区/县数据中心互联设计23省、市数据中心互联24市、区/县数据中心互联25数据中心安全解决方案26第四章方案的新技术特色28量身定制的数据中心网络平台28最先进的万兆以太网技术28word版本整理分享范文模范指导学习硬件全线速办理技术294.1.3ExtremeDirectAttach技术31帮助虚机无缝迁移的XNV技术39环保节能的网络建设43最牢固可靠的网络平台45独有的模块化操作系统设计45超强的QOS服务质量保证464.3先进的网络安全设计49设施安全特色50用户的安全接入51智能化的安全防守措施53常用安全策略建议55附录方案产品资料601.核心交换机BD8800602.SummitX670系列产品663.三层千兆交换机SummitX460784.核心路由器MP7500865.汇聚路由器MP7200966.接入路由器MP38401057.接入路由器MP28241138.MSG4000综合安全网关121word版本整理分享范文模范指导学习第一章数据中心现状解析云计算数据中心对照较传统数据中心对网络的要求有以下变化：1、Server-Server流量成为主流，而且要求二层流量为主。2、站点内部物理服务器和虚假机数量增大，以致二层拓扑变大。3、扩容、灾备和VM迁移要求数据中心多站点间大二层互通。4、数据中心多站点的选路问题受大二层互通影响更加复杂。5、iSCSI/FCoE是数据中心以网络为核心演进的需求，也是不能或缺的一部分。第二章数据中心网络技术解析路由与交换数据中心网络方面，关注的重点是数据中心内部服务器前后端网络，对于宽泛意义上的数据中心，如园区网、广域网和接入网等内容，不做过多扩散。数据中心的网络以交换以太网为主，只有传统意义的汇聚层往上才是IP的天下。数据中心的以太网络会逐渐扩大，IP转发的层次也会被越推越高。数据中心网络从设计伊始，主要着眼点就是转发性能，所以基于CPU/NP转发的路由器自然会被基于ASIC转发的三层交换机所裁汰。传统的Ethernet交换技术中，只有MAC一张表要保护，地址学习靠广播，没有什么太复杂的网络变化需要关注，所以速率能够很快。而在IP路由转发时，路由表、FIB表、ARPword版本整理分享范文模范指导学习表一个都不能够少，效率自然也低了好多。云计算数据中心对转发带宽的需求更是永无止境，所以会以部署核心-接入二层网络结构为主。层次越多，故障点越多、延缓越高、转发瓶颈也会越多。当前在一些ISP（InternetServiceProvider）的二层结构大型数据中心里，由于传统的STP需要拥塞链路浪费带宽，而新的二层多路径L2MP技术还不够成熟，所以会采用全三层IP转发来临时作为过渡技术，如接入层与核心层之间跑OSPF动向路由协议的方式。这样做的缺点不问可知，组网复杂，路由计算众多，以后必然会被EthernetL2MP技术所取代。新的二层多路径技术，无论是TRILL还是SPB都引入了二层ISIS控制平面协议来作为转发路径计算依照，这样诚然能够防范当前以太网单路径转发和广播环路的问题，但毕竟是增加了控制平面拓扑选路计算的工作，可否使其依旧如过去Ethernet般高效还有待观察。MPLS就是一个的覆车之鉴，本想着帮IP提升转发效率，没想到却在VPN路由隔断方面获取真实应用。2.2EOR与TOR数据中心网络设施就是交换机，而交换机就分为机箱式与机架式两种。当前云计算以大量X86架构服务器取代小型机和大型机，以致单独机架Rack上的服务器数量增加。受工程布线的困扰，在大型数据中心内EOR（EndOfRow）结构已经逐渐被TOR（TopOfRack）结构所取代。机架式交换机作为数据中心服务器第一接入设施的地位变得愈发不能摇动。而为了保证大量机架式设施的接入，汇聚和核心层次的设施首要解决的问题就是高密度接口数量，由此机箱式交换机也就占有了数据中心转发核心的地址。word版本整理分享范文模范指导学习综合来说，一般情况下数据中心以大型机箱式设施为核心，机架式设施为各个机柜的接入2.3网络虚假化云计算就是计算虚假化，而储藏虚假化已经在SAN上实现得很好了，剩下网络虚假化了。云计算环境中，全部的服务资源都成为了一个对外的虚假资源，那么网络无论是从路径供给还是管理保护的角度来说，都得随着把一堆的机框盒子进行多虚一一致规划。而云计算一虚多的时候，物理服务器都变成了好多的VM，网络层面则需要对一虚多对通路成立和管理更精巧化。网络多虚一技术网络多虚一技术。最早的网络多虚一技术代表是交换机集群Cluster技术，多以盒式小交换机为主，较为古老，当前数据中心里面已经很少见了。而新的技术则主要分为两个方向，控制平面虚假化与数据平面虚假化。控制平面虚假化顾名思义，控制平面虚假化是将全部设施的控制平面合而为一，只有一个主体去办理整个虚假交换机的协议办理，表项同步等工作。从结构上来说，控制平面虚假化又能够分为纵向与横向虚假化两种方向。纵向虚假化指不同样层次设施之间经过虚假化合多为一，相当于将下游交换机设施作为上游设施的接口扩展而存在，虚假化后的交换机控制平面和转发平面都在上游设施上，下游设施只有一些简单的同步办理特色，报文转发也都需要上送到上游设施进行。能够理解为集中式转发的虚假交换机横向虚假化多是word版本整理分享范文模范指导学习将同一层次上的同种类交换机设施虚假合一，，控制平面工作如纵向一般，都由一个主体去完成，但转发平面上全部的机框和盒子都能够对流量进行当地转发和办理，是典型分布式转发结构的虚假交换机。控制平面虚假化从必然意义上来说是真实的虚假交换机，能够同时解决统一管理与接口扩展的需求。但是有一个很严重的问题限制了其技术的发展。服务器多虚一技术当前无法做到全部资源的灵便虚假分派，而只能基于主机级别当多机运转时，协调者的角色（等同于框式交换机的主控板控制平面）对同一应用来说，只能主备，无法做到负载均衡。网络设施虚假化也同样这样，以框式设施举例，无论今后能够支持多少台设施虚假合一，只要不能够解决上述问题，从控制平面办理整个虚假交换机运转的物理控制节点主控板都只能有一块为主，其他都是备份角色（近似于服务器多虚一中的HACluster结构）。总而言之，虚假交换机支持的物理节点规模永远会受限于此控制节点的办理能力。数据平面虚假化数据平面的虚假化，当前主若是TRILL和SPB，他们都是用L2ISIS作为控制协议在全部设施进步行拓扑路径计算，转发的时候会对原始报文进行外层封装，以不同样的目的Tag在TRILL/SPB地区内部进行转发。对外界来说，能够以为TRILL/SPB地区网络就是一个大的虚假交换机，Ethernet报文从入口进去后，完整的从出口吐出来，内部的转发过程对外是不能见且没心义的。这类数据平面虚假化多合一已经是宽泛意义上的多虚一了，此方式在二层Ethernet转发时能够有效的扩展规模范围，作为网络节点的N虚一来说，控制平面虚假化当前N还在个位到十位数上晃悠，数据平面虚假化的N已经能够轻松达到百位的范围。但其缺点也很显然，引入了控制协议报文办理，增加了网word版本整理分享范文模范指导学习络的复杂度，同时由于转发时对数据报文多了外层头的封包解包动作，降低了Ethernet的转发效率。从数据中心当前发展来看，规模扩大是首位的，带宽增加也是不能摇动的，所以在网络多虚一方面，控制平面多虚一的各种技术除非能够打破控制层多机协调工作的技术枷锁，否则只有在中小型数据中心里面应用，后期真实的大型云计算数据中心必然是属于TRILL/SPB此类数据平面多虚一技术的天地。2.3.2网络一虚多技术网络一虚多技术，已经根源长久，从Ethernet的VLAN到IP的VPN都是已经成熟技术，FC里面则有对应的VSAN技术。此类技术特色就是给转发报文里面多插入一个Tag，供不同样设施一致进行鉴别，尔后对报文进行分类转发。代表如只妙手工配置的VLANID和能够自协商的MPLSLabel。传统技术都是基于转发层面的，诚然在管理上也能够依照VPN进行划分，但是CPU/转发芯片/内存这些基础部件都是只能共享的。当前最新的一虚多技术是近似ExtremeNetworks在交换机系统中实现的VirtualRouter，和VM同样能够成立多个虚假交换机并将物理资源独立分派，当前的实现是最多可成立64个VR，其中有一个用做管理。2.4VM互访技术（VEPA）随着虚假化技术的成熟和x86CPU性能的发展，越来越多的数据中心开始向虚假化转型。虚假化架构能够在以下几方面对传统数据中心进行优化：word版本整理分享范文模范指导学习提升物理服务器CPU利用率；提升数据中心能耗效率；提升数据中心高可用性；加快业务的部署速度正是由于这些不能取代的优点，虚假化技术正成为数据中心将来发展的方向。但是一个问题的解决，经常陪同着另一些问题的出生，数据网络即是其中之一。随着越来越多的服务器被改造成虚假化平台，数据中心内部的物理网口越来越少，过去十台数据库系统就需要十个以太网口，而现在，这十个系统可能是驻留在一台物理服务器内的十个虚假机，共享一条上联网线。这类模式显然是不合适的，多个虚假机收发的数据全部挤在一个出口上，单个操作系统和网络端口之间不再是一一对应的关系，从网管人员的角度来说，原来针对端口的策略都无法部署，增加了管理的复杂程度。其次，当前的主流虚假平台上，都没有独立网管界面，一旦出现问题网管人员与服务器保护人员又要坠入无止尽的扯皮中。当初虚假化技术推行的一大阻拦就是责任界定不清楚，现在这个问题再次阻拦了虚假化的进一步普及。接入层的看法不再可是针对物理端口，而是延伸到服务器内部，为不同样虚拟机之间的流量交换供给服务，将虚假机同网络端口重新关系起来。做为X86平台虚假化的领导厂商，VMWare早已经在其vsphere平台内置了虚假交换机vswitch，甚至更进一步，实现了分布式虚假交互机VDSvnetworkdistributedswitch），为一个数据中心内供给一个一致的网络接入平台，当虚假机发生vmotion时，全部端口上的策略都将随着虚假机搬动。word版本整理分享范文模范指导学习虚假以太网端口汇聚器（VEPA）是最新标准化工作的一个构成部分，其设计目标是降低与高度虚假化部署相关的复杂性。若是我们研究一下使用虚假交换机的传统方法就会发现，它与VEPA方法存在很大的不同样，VEPA使用户能够深入认识虚假化及联网中的各项部署挑战和需要考虑的要素。当您的物理主机上的督查程序上有多台虚假机（每台虚假机都包括一套操作系统和多种应用）时，这些虚假机在互相通讯和与外面世界通讯时都要使用虚拟交换机。事实上，虚假交换机是一种第2层交换机，平常以软件的形式在监视程序内运转。每种督查程序平常都有一个内建的虚假交换机。不同样的督查程序所含的虚假交换机在能力方面也是千差万其他。当虚假交换机从联网领域转移到服务器领域时，就有必要针对虚假环境对传统的基于网络的工具和解决方案进行重新测试、重新定性和重新部署。从某些方面来说，这类变化会对虚假化的迅速扩展和普及造成阻拦。比方，传统的网络和服务器运营团队是截然分开的，每个团队都有自己的流程、工具和控制范围。由于虚假交换机的原因，联网进入了服务器的范围，因此像供给虚假机这样的简单任务也需要这些团队之间睁开额外的协调工作，从而保证虚假交换机的配置与物理网络配置保持一致。由于缺乏网络中虚假机之间流量的可视性，所以涉及到虚假机之间通讯的故障查找和督查也变成了一项极具挑战性的工作。而且随着虚假机数量的增加，单个服务器中的虚假机当前已经达到8至12台，而且会在不久的将来达到32至64台，所以，保护虚假机互相不受搅乱，以及不受外界威胁的伤害都变成了一项需要认真考虑的问题。word版本整理分享范文模范指导学习从防火墙到IDS/IPS，基于网络的传统设施和工具都需要针对这些高度虚假化的环境重新开发、重新认证和重新部署，进而保证虚假机之间经过虚假交换机的通讯能够满足法规一致性和安全方面的要求。由于在虚假交换机方面缺乏标准，所以会增加涉及不同样督查技术的培训、互用性和管理开销，进入使这些挑战变得更加复杂。事实上，物理服务器正在变成一种全面的网络环境，拥有自己的互用性、部署、认证和测试要求。幽默的是，这类趋势与虚假化最基本的优势之一是分道扬镳的，即虚假化能够将服务器中节余的容量以更高的效率来运转各种应用。当前，这类“服务器中的网络”很有可能演变成这些节余容量的花销方，将CPU和内存资源吞噬殆尽。VEPA的方法为应用这些挑战，各方已经提出了多种不同样的解决方案，其中就包括VEPA。VEPA是一种虚假交换机取代产品；它不但进入了标准化进度，而且成为业界众多厂商的一致选择。事实上，VEPA会将服务器上虚假机生成的全部流量转移到外面的网络交换机上。外面网络交换机接下来会为同一台物理服务器上的虚假机和基础设施的其他部分供给连接。实现这一功能的方法是将一种新式转发模式融入物理交换机中，使流量能够向来时的端口“原路返回”，进而简化同一服务器上虚假机之间的通讯。word版本整理分享范文模范指导学习“原路返回”模式（或称“反射中继”）能够在需要时将包的单一副本反向发送至同一台服务器上的目的地或目标虚假机。对于广播或组播流量，VEPA能够以当地方式向服务器上的虚假机供给包复制能力。传统上，多数网络交换机都不支持这类“原路返回”模式行为，由于它可能会在非虚假世界中造成环路和广播风暴。但是，好多网络厂商都开始支持这类行为，目的就是解决虚假机交换的问题，而且使用简单的软件或固件升级即可实现。IEEE的802.1Qbg工作组还努力将这类行为变成了标准。VEPA能够以软件的方式，作为督查程序中的瘦层在服务器中推行，也能够作为网卡中的硬件来推行，在后一种情况下还能够够与SR-IOV等PCIeI/O虚假化技术结合使用。其中一个典型的例子就是LinuxKVM督查程序中供给的基于软件的VEPA推行。事实上，VEPA将交换功能移出了服务器，而且将其放回物理网络中，而且让外面网络交换机能够看到全部的虚假机流量。经过将虚假机交换移回物理网络，基于VEPA的方法使现有的网络工具和流程能够在虚假化和非虚假化环境以及督查程序技术中以同样的方式自由使用。防火墙和IDS/IPS等基于网络的设施，以及接见控制列表（ACL）、服务质量（QoS）和端口督查等成熟的网络交换机功能都能够直接用于虚假机流量和虚假机之间的交换，所以减少和除掉了对虚假网络设施重新进行昂贵的质量判定、测试和部署的需求。word版本整理分享范文模范指导学习其他，VEPA将网络管理控制层重新交给了网络管理员，为全部与虚假机相关系网功能的供给、督查和故障查找供给了一个单一控制点。将网络功能从服务器卸载至网络交换机能够带来诸多的优势，比方释放服务器资源并将其用于更多的应用，同时还可在虚假和非虚假服务器之间供给线速交换；从1Gbps至10Gbps，甚至能够达到40Gbps和更高的100Gbps。所以，基于VEPA的方法有助于扩大虚假化部署，降低复杂性和成本，而且加快虚假化的普及。尽管基于VEPA的方法能够带来好多好处，但在某些环境下，虚假机间流量的交换最好还是留在服务器内部。比方，在有些环境下物理服务器要肩负虚假机的巨大负荷，而且这些虚假机之间的通讯特别频频，所以为了将延缓降至最低程度，最好的方法是将虚假机之间的流量留在服务器内部。在此类场景中，可能的方法之一是绕过基于督查程序的软件虚假交换机，利用新式网卡供给的交换硬件能力，即SR-IOV等基于入向I/O虚假化的能力。同样，在使用这类方法时，也需要权衡考虑完满使用“服务器中的网络”模型时的安全和成本问题。随着服务器虚假化的宽泛普及，服务器内和服务器间虚假机交换流量的复杂性都在不停提升。基于VEPA的虚假机间流量交换方法能够为基于虚假交换机的传统方法供给一种特别幽默且极具吸引力的取代方案。为了向网络和服务器基础设施供给支持VEPA的能力，此类技术的标准化工作正在紧锣密鼓地进行当中。word版本整理分享范文模范指导学习虚假机迁移网络技术虚假服务器能够大幅度提升服务器计算资源利用率，但是依旧只发挥了虚拟化优势的很小一部分。虚假化向网络的延伸使虚假机能够在应用程序运转的同时实现在物理服务器之间的漂移，并按需供给容量，无需增加昂贵且未尽其用的平台。更重要的是，动向虚假机的创办和搬动让管理员能够迅速响应新的央求，进而提升用户的生产效率和客户满意度。但是当前传统的网络设施其实不能满足这类动向迁移的需求，这成为虚假化进度中的瓶颈，而解决这一瓶颈就意味着虚假化时代的真实到来。将虚假化优势延伸至网络，如何动向并经济有效地分派资源，来满足巅峰和低谷时的业务需求显得至关重要。平常在一个工作日中，对计算资源的需求会从最小量开始增加。虚假机能够立刻迁移至其他新启动的服务器上去，以满足需求。在工作日结束时，对计算资源的需求会降低，那时虚假机能够迁回原来的服务器，并关闭不需要的服务器资源，以简化管理并降低供电成本。在这个过程中，网络的虚假化至关重要，网络能够使得虚假机的动向迁移成为可能，还能够够保证在任何情况下对于应用的保护，甚至能够使得用户感觉不到虚假资源的扩展或减小。平常的虚假机迁移可是虚假机漂移技术的一种实践应用。当服务器离线进行保护或发生故障时，虚假机也可进行漂移以支持业务的连续性。为了利用这些优势，在硬件平台间漂移虚假机相关的网络配置虽其实不复杂，但却至关重要且特别耗时。其他，当虚假机在数据中心内漂移时，与每台虚假机相关的网络层策略必定随之漂移。这些策略控制着安全、服务质量(QoS)等要素，并因用户和应用的详细情况而异。所以，为每个业务应用保持相适应的网络策略对于业word版本整理分享范文模范指导学习务运营而言至关重要。虚假机从一台物理服务器漂移至另一台从前，与之相关的网络端口配置以及安全策略必定针对目标服务器进行正确的设置，以满足安全需求。若是数据中心存在大量的服务器和虚假机迁移，那么手动配置会耗费大量的时间和资源。利用网络虚假化的解决方案可使虚假机迁移相关的网络管理任务实现自动化，且无需大量的管理人员。针对虚假机漂移的自动化网络管理实现虚假机漂移的网络自动化最重点的，就是成立一个包括智能软件的网络交换机，来对单个虚假机进行配置。传统的网络交换机是经过一个物理端口来与它连接的服务器进行通讯的。而包括智能软件的交换机，则能够实现对单个虚假机的感知，以及对每个虚假机进行网络配置，进而将单个虚假机属性扩展到整个网络。当虚假机在整个网络迁移时，交换机能够追踪这类迁移，并确保网络设置与虚假机一起实现迁移。虚假机感知的一个重要方面是能够与多种架构相兼容。被称为虚假机监控器(VMM)是虚假化软件的重要构成之一，它能够使多种操作系统在单一主机平台中运转。当前可支持Citrix、微软、VMwareXen，Oracle等虚假化平台。由于数据中心平常运转不同样的虚假化架构，所以，具备兼容多个虚假化架构的能力至关重要。研究和开发部门也许更喜欢某一款架构，由于它使用户能够更好地管理服务器;而数据管理员为了其他用户也许会一以致用另一款来自指定厂商的虚假化架构。也许，数据中心管理员由于价格或其他要素也许会选择逐渐迁移至其他厂商的架构，进而创办一个临时的混淆型环境。而网络是承载word版本整理分享范文模范指导学习这些架构的基础，网络的虚假化同样也需要对于混淆环境供给很好的兼容性。基于交换机的虚假化产品也包括的有价值的特色：?追踪虚假机的迁移，无需更正以太网数据包，最大限度提升资源利用率。内置于交换机的智能软件能够缓解网络管理员的负担?该架构能够方便用户在虚假层中配置网络设定，进而提升生产效率。同时支持多种虚假化架构，最大限度提升灵便性。?管理平台界面简化管理。针对虚假化网络的解决方案已成为现实。ExtremeNetworks企业的XNV技术，能够找寻虚假机并使性能和安全设置与虚假端口(而非物理端口)相联系。使用管理员拥有粒度标准来监测每台虚假机及其相关的虚假端口。XNV还可监测虚假机的创办和迁移，并保证网络设置随着虚假机迁移。这些功能都有助于降低由网络配置错误惹起的应用宕机风险，以及将敏感觉用裸露给未授权用户的安全风险。综上所述，数据中心的虚假化，即“网络感知”和开放性，是新的数据中心的必备能力，只有这样，用户才能优化资源利用率，降低手动保护安全策略所造成的人工错误，由于虚假化提升了数据中心的可用性，并降低了整体拥有成本。word版本整理分享范文模范指导学习第三章方案设计3.1网络整体规划数据中心网络的建设，需要考虑到以下的一些要素：系统的先进度度、系统的牢固性、可扩展性、系统的保护成本、应用系统和网络系统的配合度、与外界互连网络的连通、建设成本的可接受程度。网络整体设计采用国际通行的TCP／IP协议，并达到以下目标：1）系统可靠性和牢固性作为高性能园区网络，系统的高可靠性和牢固性是网络应用环境正常运转的首要条件。在保证系统可靠性的基础上，还要进一步提升系统的可用性。我们能够从以下几个方面来供给保证。网络设施、主机系统拥有很高的平均无故障时间，而且在业界有宽泛的用户基础；重点网络设施冗余工作，其重点部件可实现在线更换（热拔插），故障的恢复时间在秒级间隔内完成；网络在设施、拓扑以及线路等方面均应拥有较高的可靠性，以保证每周7*24小时，每年365*24小时的正常工作。2）开放性和标准化为了保证在网络时保证不同样设施的互通性，所以网络系统在设计时必定采用开放技术、支持国际标准协议，拥有优秀的互连互通性，保证支持同一厂家的不同样系列的产品以及与不同样厂商的不同样网络设施无缝连接和互操作的能力。3）拥有高办理能力、可扩展性word版本整理分享范文模范指导学习现支持各种高速网络（迅速以太网、千兆以太网、万兆以太网等技术），提升对数据包的转发能力和速度，供给足够的网络带宽。支持各种协议并存，可灵便地构成不同样系统，并可方便地从拓扑的角度和设施的角度扩展，方便升级以满足将来业务增加的需要。在网络设计时，为了适应用户迅速增加的需要，第一要满足现有规模网络用户和应用的需求，同时考虑将来业务发展、规模的扩大，应该设计重点网络设施具备扩展能力以及网络推行新应用的能力。灵便扩大性：灵便的端口扩大能力，模块扩大能力，满足网络规模的扩充。支持新应用的能力：产品拥有支持新应用的技术准备，能够吻合实质要求的，方便快捷地推行新应用。4）系统的先进、成熟、合用性及可管理和可保护性现在世界，通讯技术和计算机技术的发展日异月新，网络设计既要适应新技术发展的潮流，保证系统的先进性，也要兼顾技术的成熟性、合用性，选择最合适的设施和技术，降低由于新技术和新产品不能熟要素给用户带来的风险。在系统设计中，选择先进的系统管理软件是必不能少的。我们在这里采用我们经过这个一致的管理平台的控制，监控主机系统、网络系统、应用系统状态，简化管理工作，提升了主机系统和网络系统的利用效率。供给先进而完满的网络管理工具，监控网络故障，优化网络性能，实现一体化的网络管理。网络管理基于SNMP，支持RMON和RMON2。5）系统安全性和保密性word版本整理分享范文模范指导学习现在我们网络内接入的用户对网络的好奇心，促使会攻击我们内部网络，我们拟定一致的安全策略，整体考虑网络平台的安全性，能够供给不同样方式不同级其他安全策略，保证网络重要用户和数据服务器的安全性。所以说安全性是网络运转的生命线。合理的网络安全控制，能够使应用环境中的信息资源获取有效的保护。网络能够阻拦任何非法的操作；网络设施可进行基于协议、基于MAC地址、基于IP地址的包过滤控制功能，不同样的业务，划分到不同样的虚网中。6）保护用户现有投资及效益性在保证网络整体性能的前提下，网络设计充分保护用户投资及效益性，利用现有的网络设施或做必要的升级，在原设施的基础上，进行网络建设，防范用户投资的重复浪费，在满足用户需求和将来发展的趋势情况下，采用性价比高的设施，修筑经济可靠的网络平台，使新系统更有效地肩负深重的任务，能支持将来系统的保护和圆滑升级。所采用的设施应是现在业界的主流产品，采用主流技术、标准协议，拥有优秀的互操作性，减少设施互连的问题，网络维护的花销，使用户的投资获取有效保护。3.2省级数据中心网络设计对于省级数据中心，一般规划为大体五百台高性能服务器，在这类模式下，能够规划2-3层网络连接模式（以下图为3层）word版本整理分享范文模范指导学习如上图所示，一般情况下，大型数据中心采用2-3层网络结构，以3层结构为例，采用2台高性能ExtremeNetworksBD8800核心交换机，供给48个四万兆（40G接口），经过40G通道下联到汇聚层SummitX670系列交换机。每台ExtremeNetworksSummitX670交换机供给48-60个万兆万兆接口，并供给四万兆接口上联，万兆下联SummitX460交换机，经过X460交换机使用千兆连接全部服务器。但是对于新式的大型数据中心，万兆网络连接已经成为主流，所以一般使用万兆连接服务器，则直接将网络简化为以下2层：万兆以太网技术当前已成为建设大中型数据中心网络的主流技术。为实现数据网络平台的功能，并考虑网络在性能、容量、扩展性、先进性和服务质量等方面的要求，经过对交换以太网、迅速以太网、千兆以太网、万兆以太网不word版本整理分享范文模范指导学习同网络架构在VLAN（虚假局域网）技术、第三层或多层交换技术、QoS、ACL等方面的性能表现及成本解析，确定将高密度端口的万兆以太网交换机作为整个信息网络的接入设施。经过将万兆以太网、千兆以太网、VLAN技术、三层路由交换、局域网中的QoS、ACL技术与投资经济性实现圆满的有机结合，成立一个拥有成熟的先进技术，同时又可简略保护和安全使用的网络。在省级网络设计中，我们最后介绍核心到接入交换机40G连接，接入到服务器10G连接。3.3市级数据中心网络设计市级数据中心一般采用小于100台服务器，依照省级网络的建设设计，我们同样使用万兆进行连接，这里采用一台SummitX670系列交换机。每台ExtremeNetworksSummitX670交换机供给64个万兆万兆接口，也许采用X670交换机堆叠，提供112个万兆端口，以以下图所示：word版本整理分享范文模范指导学习3.4区县级数据中心网络设计区县级数据中心，一般采用一般企业级服务器，不进行大规模数据集中，所以一般只合用千兆进行接入，所以采用两台千兆交换机ExtremeNetworksSummitX460进行互联，经过冗余备份设置，千兆连接内部全部服务器。3.5省、市、区/县数据中心互联设计对于大多数行业客户如医疗、教育或政府等，其数据中心不但为当地市提供数据交换和办理，同时各级数据中心之间还需要进行数据的远程交换和共享，进而充分发挥多级数据中心架构的优势，使各级数据中心共同工作、远程交换、数据共享和一致管理。所以省、市、区/县数据中心的互联也势在必行。word版本整理分享范文模范指导学习3.5.1省、市数据中心互联省数据中心由于数据量较大，需要同时汇聚地市一级数据中心，所以在省数据中心介绍配置两台MP7508作为核心汇聚路由器，并互为备份。MP7508汇聚路由器经过1000M光接口连接省数据中心核心交换机BD8800，再经过1000MMSTP或155MSDH/ATM网络分别连接各个地市数据中心上联路由器MP7204，地市上联路由器MP7204经过1000M光接口连接其核心交换机X670。由于MP7508和MP7204路由器的高性能，进而实现省、市数据中心的高速互联，其软/硬件高可靠性设计以及每个节点采用双机备份的方式，实现了数据传输的高可靠性和牢固性；其他我们可采用MPLS等安全技术，进一步保证数据传输的安全性。word版本整理分享范文模范指导学习3.5.2市、区/县数据中心互联依照不同样的行业和应用,市数据中心与区/县数据中心之间数据流量不同样，在数据流量较大的应用中，市数据中心采用MP7204中心汇聚路由器经过100M或1000MMSTP线路连接各个区/县数据中心MP3840汇聚路由器；对于数据流量较小的行业或应用，市数据中心MP7204可采用155MSDH线路，采用2M复用的方式连接各个区/县数据中心MP2824，区/县数据中心可依照实质带宽需求采用2M或N*2M链路捆绑方式接入市数据中心。同样为了提升互联的可靠性，地市汇聚路由器和区/县上联路由器均采用双机双线路冗余备份方式，保证数据传输的高可靠性。word版本整理分享范文模范指导学习3.5.3数据中心安全解决方案诚然数据中心处于一个相对安全的私有网络环境，不同样级其他数据中心也可经过运营商专有线路进行互联互通，其内部数据中心和传输线路上有必然的安全保障。同时为提升数据中心的开放度和利用率，以及远程管理等，其必然要与外面网络或internet进行数据的互联互通，为外面或互联网用户供给数据业务和管理。所以在数据中心的界线需要充分考虑其接入和互联互通的安全性，需要有效的的界线隔断，能够实现对非法接见的阻断；其二是有效的身份鉴别与接见控制功能，能够实现对源地址的定位、鉴别和控制；其三是成立有效的抗衡攻击能力，实现对异常流量、恶意代码、有目标的浸透等情况的鉴别和防护；其四是成立深度应用鉴别与攻击检测，对应用数据包进行深度检测，防范欺骗；其五是能够实现业务间隔断与带宽资源控制，保障重要业务接见；其六是保护数据传输安全，防范数据被窃听和篡改；同时，还必定拥有高可靠性的安全设施来防范由于高并发接见量、系统故障等突发情况而带来的接见不便。其他，由于界线是数据中心正常运转的重要节点，部署安全产品必定拥有便于管理的特色，这就要求设施能够适应不同样的网络环境，配置尽量简单方便，特征库能够自动升级，能够供给丰富的接见审计功能，能够对流量进行有效监控，能够供给丰富的攻击统计，使数据中心系统管理员能够充分掌握数据中心的安全态势，为不停地优化安全策略供给依照。所以我们建议采用综合的安全网关作为数据中心界线接入和隔断，为其供给用户安全接入、抗攻击、入侵检测、防病毒、高性能VPN、带宽管理等综合安全解决方案，防范了采用多厂家多型号的安全产品而带来的管理和保护上的安全风险。word版本整理分享范文模范指导学习以下为数据中心安全解决方案：在省、市、区/县数据中心界线，我们采用MSG4000综合安全网关作为外部搬动用户、远程管理以及第三方平台等用户和平台的接入。MSG4000作为一款综合安全产品，可依照用户需求供给从100M到10G不同样性能需求，省、市、区/县数据中心可依照实质需要采用不同样性能层次的MSG4000；同时MSG4000在功能上可为客户供给安全防范、病毒过滤、入侵检测、应用鉴别、流量管理、WEB接见控制、上网行为管理以及IPSEC/SSLVPN等功能，满足客户整个安全防范的需求，进而防范了由于设施数量、种类很多带来的保护和管理上的不安全要素。word版本整理分享范文模范指导学习第四章方案的新技术特色4.1量身定制的数据中心网络平台4.1.1最先进的万兆以太网技术Extreme企业作为以太网技术的前驱，向来致力于生产严格依照业界标准的以及可与其他厂商兼容的产品，ExtremeNetworks是由100家国际有名网络公司构成的千兆以太网缔盟和万兆以太网缔盟的领导者。Extreme交换机的10GB以太网模块在世界上第一个实现单跳网络传输1TB数据流量。Extreme企业一直走在10GB以太网交换技术开发的前沿，企业的倡导人及首席技术官SteveHaddock现任任务小组副主席，该小组已经为10-GB以太网开发了行业标准。ExtremeNetworks的TonyLee自2000年3月起，在两年任期内担当万兆以太网缔盟主席，另一名ExtremeNetworks技术专家AmeetDhillon当前则担当万兆以太网缔盟理事。Extreme交换机的扩大能力和高端交换性能标志住基于标准的高性能以太网技术的重要进步。万兆以太网市场的全球市场占有率：word版本整理分享范文模范指导学习Extreme在万兆网络应用从初期就向来保持着市场当先地位4.1.2硬件全线速办理技术网络业务的不停增加，各种应用的流行，对网络也提出了新的要求，传统的以太网交换机由于基于共享的设计理念，对于音频、视频以及数据的各种业务的传输是无法鉴别划分的，对于多媒体业务的睁开需要更智能的设施来支撑。高速的网络数据传输应用已经不是一个高级网络唯一的重要指标。网络的发展方向是支持线速无拥塞地传输各种多媒体等高级应用，在开启各种网络应用和功能的情况下，保证网络畅达。这也是Extreme企业的富强技术优势所在。Extreme的智能网方案采用先进的组播技术和Qos保证体系，实现全线速的高质量的业务运转。核心设施的大密度的高速端口使得网络设施拥有大容量的交换办理能力，以防范拥挤和延缓。Extreme采用无拥塞交换结构，基于先进路由交换体系，能够供给线速办理能力。以此为基础，经过合理的网络设计实现高性能的网络。Extreme的全线三层产品交换产品均可实现满载情况下的二层线速帧交换和三层线速包转发。应该重申的是，实质运转的网络需要配置好多控制功能，如QoS办理、ACL、策略路由等，此时需要交换机耗费更多的资源以实现相应的网络控制办理功能。Extreme产品能够保证性能和功能的一致实现，即在打word版本整理分享范文模范指导学习开诸多控制办理功能的前提下，依旧保证数据包的真实线速办理和转发。Extreme的共享内存式的交换背板结构大大提升了组播转发的效率，节约了交换矩阵的带宽。其他网络厂家的交换机支持的组播、ACL、Qos等都是基于软件技术和CPU运算的，由于占用大量办理器和内存资源，经常会以致扔掉数据包，在性能上能上都达不到无丢包的限速传输，不得不以增加昂贵的内存条为代价。Extreme主推的真实的线速网络是性能和功能的全面线速，包括线速路由、线速ACL、线速Qos、线速组播，Extreme的网络设施的Qos、组播、ACL都是经过特地的集成芯片来完成，不占运转用系统资源，这也是当前业界唯一能够同时实现四种线速的全线速核心交换设施。国防大学在新网络将来要承载各种多媒体为基础的新应用，影像方面需要应用到组播、Qos技术都会在本方案的设计中获取优秀的性能表现，优秀的全线速网络设计能够为科研和业务的效率提升作出巨大的贡献。组播结构word版本整理分享范文模范指导学习传统的组播结构能够看到在传统组播结构上，要实现组播组的发送需要组播发送端经过传统的交换矩阵多次发送，这样造成了组播数据在整个转发过程中速度慢，同时对端口带宽占用资源过大、占用时间过长，简单造成端口拥挤。4.1.3ExtremeDirectAttach技术今天的虚假机管理程序利用一个内部的“虚假交换机”为在一个服务器内部的虚假机（VM）之间以及它们与外面网路之间供给网络连接。这个虚假交换机给数据中心网络增加了第四个层级。今天的好多刀片服务器利用一个内部的“刀片交换机”来汇聚刀片服务器机箱内的每个物理服务器的数据流量。这些交换机给网络增加了第五个层级。虚假交换机和刀片交换机的组合把交换层级从3层提升到5五层，显然提升了网络延缓并增加了数据中心内的网络元素，这也增加了数据中心管理的复杂性。ExtremeNetworks的DirectAttached技术除掉了虚假交换机层，简化网络并提升网络性能。ExtremeNetworks的BlackDiamond?8800交换机中的8900系列交换模块经过利word版本整理分享范文模范指导学习用高密度板卡和布线系统，除掉刀片交换机并使数据中心获取简化，进而使数据中心的层级数量从5层简化为3层。今天的数据中心网络能够经过结构化分“层”定义。平常情况下，有一个“网络核心”，它是全部数据中心设施的中心连接点。这是数据中心网络的“第一层级”。这个核心可能是一个交换机，也许更平常是由冗余交换机构成的集群来连接全部设施：网络设施、安全设施和服务器。而网络的“第二层级”是汇聚交换机，它连接接入交换机和核心。这层常用于大型数据中心，一般没有必要用在中型数据中心。“第三层级”的交换机，平常被称为接入层交换机，它直接连接服务器。这些接入交换机平常被称为“架顶式交换机”或“行末式交换机”。这类无论是两个或三个层级的模式是已经被多年使用，且广为熟悉的。当前数据中心有两个重要的趋势，它们正在改变数据中心网络的实现方式，一个在物理方面，而另一个在虚假化方面。这些趋势给数据中心网络增加了额外的层级。趋势一：虚假化在过去几年的数据中心最重要的发展趋势是虚假化的应用。虚假化是一种技术，使一台物理服务器赞同安装多个虚假服务器/虚假机。这样能够提升服务器利用率和有助于服务器的整合，对于灾祸恢复和容量管理等有诸多好处。虚假化在企业数据中心和主机托管数据中心中特别流行。而由于高性能计算集群或大型互联网花销网站的自己性质，虚假化不太可能应用在这些领域。虚假交换机虚假化引入了“虚假交换机”的看法。在非虚假化数据中心，每个服务器运转一个操作系统，该操作系统管理的物理网络连接到与其他用户和服务器。在虚假化环境中，有多个虚假机运转在物理服务器上。这些虚word版本整理分享范文模范指导学习拟机必定共享一个物理网络连接，而且需要互相通讯。这给虚假交换机或“vSwitch的”看法带来了用武之地。虚假交换机是一个运转在服务器上的模拟2层网络设施的软件。虚假交换机的功能是使一个服务器内的虚假机能够互相通讯而且能够与外界通讯。虚假交换机仿造了二/三层交换机的一部分功能以实现上述通讯功能。虚假机运转在虚假化管理软件中，所以它不是通用的。当前VMware、Microsoft和Citrix在自己的虚假化管理软件中都含有虚假交换机。其他其他一些网络厂商也推出了额外收费的虚假交换机，比方Cisco的Nexus1000。一个需要注意的重点点是每个物理服务器都需要一个虚假交换机。比方一个有40台服务器的机柜需要40个虚假交换机，一个有16个刀片的刀片服务器需要16个虚假交换机。网络中虚假交换机的数量与网络中运转虚假化的服务器的数量是一一对应的。这些虚假机每一台都需要管理和配置。虚假交换机的优点：虚假交换机是由虚假化管理软件厂商发明的，用于虚假机与网络间进行通讯。直到现在，虚假交换机还是虚假机之间，虚假机与其他服务器和用户之间通讯的唯一手段。虚假交换机带来的问题：安全性：虚假交换机的主要功能是满足同一服务器内部的虚假机之间的通讯。由于虚拟交换机存在于服务器内部，虚假机和虚假机之间的数据流量对于外界网络是不能见的。这样一些由非法虚假机惹起的安全问题很难被发现。网络与系统管理软件的可见性：同样由于虚假机和虚假机之间的数据流量对于外界网络是不能见的，对于虚假机和虚假机之间的流量的管理和监控特别困难。传统的基于端口镜像的网络工具无法在这样的环境中使用。性能的不能预示性：虚假交换机使用软件而非线速的交换机硬件来进行数据的转发。word版本整理分享范文模范指导学习虚假交换机的转发性能，以致于服务器的网络性能都取决于CPU的可用资源，而该资源又取决于虚假机上的应用程序。这与服务器的优化是矛盾的：当服务器经过虚假化增加利用率时，服务器的网络性能实质会下降，这与使用虚假化优化服务器的设想是相违犯的。额外的网络层级：虚假交换机为传统的网络增加了第四个层级。这样增加了网络的跳数进而增加了端到端的网络延缓。虚假交换机与服务器一一对应惹起的扩展性问题：每个服务器都需要一个虚假交换机，整个数据中心的网络设施数量大大增加。一个有40个服务器的机柜需要40个虚假交换机，而只要一台网络交换机。这样大大增加了数据中心内需要管理和配置的网络元素，增加了数据中心的运维成本。管理的复杂性：每一个虚假化管理软件厂家都有一个和自己软件配合的虚假交换机。在一个使用多种虚假化软件的数据中心，需要对多种虚假机管理进行人员培训和拟定管理流程，增加了数据中心管理成本。问责的矛盾：终究由哪个部门来管理虚假交换机呢？是由于虚假交换机运转在服务器内部而由服务器部门负责呢？还是由于它是网络元素而由网络部门负责呢？这些问题会带来潜藏的矛盾，增加管理和推行解决方案的复杂度。趋势二：刀片服务器刀片服务器为机架内容纳高密度服务器供给认识决方案。一个刀片服务器机箱能够容纳16个服务器，一个标准机柜能够容纳3个或4个刀片服务器机箱。这样一个机柜能够容纳48或64个高密度服务器，而且能够简化管理。刀片服务器带来的挑战是它在一个机柜内制造了很高的布线密度，使为每台服务器提供布线成为挑战。正是这个原因，各个刀片服务器的厂商都制造一种插入刀片服务器机箱的“刀片交换机”。word版本整理分享范文模范指导学习刀片交换机的优点：刀片交换机的主要优点是简化了布线。刀片交换机连接全部的服务器，并上连到网络的第三个层级。若是没有刀片交换机，每个服务器需要一个以太网连接到第三级网络，这样每个刀片服务器机箱就需要16根跳线。有了刀片交换机跳线数量减少为1到8根。刀片交换机的问题：刀片交换机给网络带来高复用比，这样可能造成网络拥挤并限制服务器的性能。一个典型的刀片交换机包括24个以上的端口或连接。其中16个端口用来连接服务器，其他8个端口用来连接接入层网络设施。这样造成2:1复用，使网络最高性能减少50％。从物理网络的角度看，刀片交换机给网络增加了“第五层级”。如我们前面谈论的，每个网络层级都由于转发时延带来端到端的延缓。这个额外的层级增加了网络元素的数量，进而增加了成本，包括刀片交换机自己的成本和配置管理刀片交换机的时间成本。由于刀片交换机是一个依照刀片服务器机箱定做的产品，它与数据中心汇聚和接入层级的独立交换机对照平常拥有不同样的功能和管理结构。这带来的管理的复杂性，由于网络管理员需要学习和管理不同样的交换机系统和管理软件。刀片交换机同样带来组织管理上的问题。它是应该由管理核心/汇聚/接入交换机的网络部门管理？还是由于它在服务器内部而由服务器部门管理？这个职责的混淆会在配置不兼容以及涉及多个部门在数据中心排错时带来问题。虚假化和刀片服务器趋势的叠加收效是把网络层级从3层增加到5层。当虚假交换机引入时增加了1层，刀片交换机引入时又增加了1层。由于显然地增加了网络复用比以及端到端的延时，5层网络的性能低于3层网络。其他这样还需要更多电力和冷却能力并大大增加管理成本。word版本整理分享范文模范指导学习DirectAttach减少网络层级什么是ExtremeNetworks的DirectAttach？DirectAttach是ExtremeNetworks实现虚假机在网络中进行交换的技术。一些厂家通过在服务器中的虚假交换机实现虚假机数据交换。而ExtremeNetworks的DirectAttach技术把虚假机之间的数据交换功能从服务器中迁移回网络设施中。这样使管理员能够在享受服务器虚假化带来的好处的同时利用成熟的、线速的网络交换机办理虚假机数据交换。从实质上讲，DirectAttach赞同虚假机无需经过服务器内的软交换机直接连接到网络。DirectAttach经过去掉虚假交换机减少了网络层级，进而节约成本，降低延时，减少网络复用而且简化了管理。最后它使管理员在无需考虑虚假机管理软件的情况下推行一致的网络策略，保证网络的安全且吻合规定。其他，高扇出的交换机模块以及专用的布线方案能够使刀片服务器机箱中的服务器直接连接到数据中心网络，进而使数据中心网络简化。DirectAttach如何工作DirectAttach软件包是ExtremeXOS的一个可加载模块。它能够被安装在基于ExtremeXOS的ExtremeNetworks的Summit系列堆叠交换机（包括SummitX450、SummitX480、SummitX650）和带有8900系列模块的BlackDiamond8800交换机。DirectAttach软件把端口上的数据依照虚假机进行分类，尔后依照交换机中二/三层转发协议进行转发。诚然全部的数据包都从一台物理服务器发送和接收，全部交换机策略仍然会针对每个虚假机的数据流发生作用。使用DirectAttach技术去掉虚假交换机的好处更高的可预示的性能：使用DirectAttach技术不需要服务器内的软件转发数据包，所word版本整理分享范文模范指导学习有的数据包都经过以太网交换机线速转发。这样无论服务器的负载如何，都能够保证可预见的性能。更宽泛的网络功能：现在的以太网支持特别宽泛的功能，包括服务质量、ACL安全等多年来开发的功能。使用DirectAttach技术，这些功能能够针对数据中心内的全部虚假机见效。管理更少的网络元素：在一个有10个机柜，每个机柜有40个1U服务器的数据中心，使用DirectAttach技术只要要第三级的10个网络元素而不需要第四级的网络元素。若是不使用DirectAttach技术，需要管理410个网络元素，除了第三级的10的10个还有第四级的400个网络元素！在这个实例中，减少了98％的需要管理、配置和保护的网络元素。加强的安全性：在使用虚假交换机的情况下，虚假机之间的数据流量永远不会流出服务器。这样很难部署交换机的安全功能，比方ACL和在线的安全检测设施。使用DirectAttach技术，全部虚假机和虚假机之间的通讯对交换机而言都是可见的，能够被安全策略如ACL、端口镜像等进行办理。易于管理：DirectAttach技术使数据中心内的全部数据交换机的管理回归到网络管理员手中，除掉了与服务器团队的潜藏矛盾。不同样虚假化管理软件环境下的轻松管理：DirectAttach技术不依赖于虚假化管理软件，能够兼容绝大多数虚假化管理软件。这样它能够在混淆有多厂家虚假化系统的数据中心良好工作。交换机与布线系统设计除了能够经过DirectAttach技术去掉虚假交换机，这个ExtremeNetworks的解决方案还有其他的好处。BlackDiamond8800交换机经过MRJ21技术供给高密度千兆接口解决方案。MRJ21技术把6个全带宽的千兆接口集成到1根线缆中。使用这类技术制造的96口word版本整理分享范文模范指导学习千兆模块使1个机箱能够容纳768个千兆接口，使刀片服务器能够轻松接入8800交换机。DirectAttach布线系统能够把刀片服务器机箱内的全部服务器直接连接到模块化交换机的端口，而无需使用刀片交换机。一个有4个刀片服务器机箱，每个刀片服务器机箱有16个服务器的机柜内的全部服务器都能够直接连接到1个BlackDiamond8800交换机的8900系列模块上。这个高密度端口和高密度布线解决方案除掉了使用刀片交换机的需求，进而除掉了这个层级的网络设施。结论：ExtremeNetworks的DirectAttach技术和高扇出的服务器模块能够被一起使用，也可以被单独使用。若是一起使用您能够去掉虚假交换机和刀片交换机，进而使网络层级从5层减少到3层，进而成立一个更易于扩展、易于管理和降低成本的网络架构。减少网络层级的好处更低的复用提升网络性能使之更可展望更少层级意味着更低延缓更少的拥挤点意味着更可展望的性能更少的网络元素意味着更少的故障点更少的网络元素意味着更少的电力耗费更少的交换机意味着更低的整体拥有成本DirectAttach技术如何减少网络层级word版本整理分享范文模范指导学习去掉虚假交换机去掉刀片交换器帮助虚机无缝迁移的XNV技术数据中心里服务器虚假化的宽泛采用推动了整合，降低了能耗，并提升了可用性和灵便性。但是，服务器虚假化也带来了一系列网络运转的挑战：从进行虚机交换的配置，到管理虚机在网络中的迁移，到供给虚机在网络上的地址及可见性信息。今天，网络管理员几乎没有合适的工具为他们供给虚机环境下的可视性、控制和更深层次的信息。极进网络的XNV供给了服务器虚假环境在网络层面的可见性和控制，而且与详细采用的虚假平台没关，也无需对服务器的操作保护环境做任何改动。这赞同网络管理员能够有效的对高度虚假化的数据中心环境进行督查、推行、故障诊断，同时又能防范错误、降低应用的宕机时间、改进业务质量和响应时间。服务器虚假化赞同一个操作系统和其上全部的应用能够完满从基层硬件上抽取出来。这不能是能够让多个虚假主机运转在一个物理服务器上，而且赞同虚假主机从一台服务器迁移到另一台服务器——用于业务负载均衡或容错。虚拟主机的搬动能够由服务器管理员手工完成，或由管理工具（如：管理业务负载均衡）自动完成。进一步说，在一台服务器上的两个虚假主机之间的流量由基于软件的二层交换机（称为虚假交换机）在当地完成交换。word版本整理分享范文模范指导学习这些服务器环境的变化给网络管理员带来了一系列挑战：传统上，网络策略，如接见控制列表（ACL），服务质量（QoS）和流量控制的策略都是在交换机的物理端口上推行，并照射到相连的服务器及其应用特色。但是，由于有了虚假化，多个虚假主机遇和同一个物理网络端口相连。这样，这些策略必定和一个物理端口下的多个虚假端口和虚假主机相般配。而且，传统的故障诊断工具，如：物理网络端口上的包计数器和统计，也需要工作于虚假的端口。若是没有这些能力，就很难进行故障诊断和达到相应的服务等级要求（SLA）。2.虚假化给数据中心增加了动向的元素。虚假主机能够从一台服务器搬动到另一台服务器——操作却特别简单，点击一下鼠标，或由自动化管理工具自动完成（如负载均衡工具）。但是，网络的配置——比方网络端口上对应某个安装了多个虚假主机的服务器——却不能够搬动，追踪和随从虚假主机在服务器间的搬动。这会以致业务性能不能够有头有尾，降低或中断业务的可达性，以及一些安全和合规性的挑战。这反过来以致SLA不能够获取满足，增加了人力的介入（服务器管理和网络管理员之间的协调），和数据中心的管理效率下降。虚假主机的创办、配置、激活、迁移和禁止等操作平常由服务器管理员经过工具来完成。而网络管理员其实不认识虚假主机的生命周期情况。这意味着，在任何时候，网络管理员都不知道哪台交换机上连接了一个新的虚机，哪个虚机在数据中心里被创办了，某个虚机的网络特色等。但是，即便在在高度虚假化的数据中心里，网络管理员也同样经常会需要进行虚机层面的某个应用的网络诊断。若是不认识虚机的生命周期信息，这样的诊断将既悲伤又漫长。也导致更长的应用宕机时间，也无法满足SLA。word版本整理分享范文模范指导学习演进网络，以适应服务器虚假化上述挑战的解决之道就在于演进网络，使之能高效的应付服务器的虚假化。有几个重要的方面与之相关：将网络层面的可视性引入虚机的生命周期：从服务器管理员创办一个虚机开始，到它被激活，迁移及最后被禁止，需要给网络管理员供给完满的可见性（当前的和历史的）。能够正确定位虚机在网络中的地址——在哪一台交换机的哪一个端口，以及虚机的属性和地址历史信息，及整个网络中的全部虚机的网络信息清单，这些能够极大的简化故障诊断、减少服务器和网络管理员的协调工作量，最后降低应用的宕机时间供给更好的SLA响应。在虚机层面配置网络策略：网络的业务能力如ACL、QoS、流量限制、计数器和统计不但需要在网络和交换机端口层面能够配置，还需要在每一个单独的虚机层面（或虚假端口）层面可配置。这样能够赞同更精准的配置虚机及其应用和服务，同时帮助在整个网络供给强健的安全性和合规性的计量。实质上，这还能够帮助其他的网络技术能更快的应用于虚假环境。而且，也有助于卸载服务器的CPU（进行网络流量办理的部分），以将CPU资源释放来用于应用和更多的虚机。自动的动向追踪和执行虚机网络策略：这对于支持虚假化的网络的有效性特别重点。由于虚机能够在服务器间动向的迁移，网络需要能够追踪虚机的迁移，并实时自动的迁移网络上针对虚机的属性和策略到虚机迁移的目标交换机上。这些要求必定是自动化的，才能降低配置的错误，减少服务的中断时间。供给这个级其他自动化能够极大的降低网络和服务器管理员的互相依赖性，极大的简化和理顺数据中心的保护工作。word版本整理分享范文模范指导学习Hypervisor没关的运转：好多数据中心开始部署多种不同样的虚假化技术。将网络功能从服务器转移到网络中的一个好处是，能够方便的支持混淆的虚假化环境。一旦网络上供给某种了网络功能，就相当于在多个虚假平台上都具备了，而且无需更正服务器操作环境。5.投资保护：虚假化能够在已有的服务器基础设施上睁开。同样的，在现有的网络基础设施上虚假化相关的业务能力的支持也很重要，这能够降低硬件设施升级的需要，供给更好的投资保护。这也让管理员能够逐渐推行他们的虚拟化计划，而不是一次性整体取代。今天的网络缺乏上述相应的工具和能力，所以对数据中心迅速引入虚假化形成了阻拦。在数据中心进行上述的网络演进能够提升支持虚假化的有效性。进一步说，数据中心管理员能够将各种规模的数据中心逐渐的从物理的到虚假的模型依照他们自己的步伐进行迁移，不需要大规模取代设施也不需要完整的更正操作保护流程。XNV：将虚机生命周期管理引入网络XNV是基于ExtremeXOS的交换机产品和EPICenter管理软件中的一套需要授权使用的软件功能。包括极进网络的网络推行和管理工具。XNV将高度虚假化的数据中心的可视化、控制和自动化引入网络。XNV带来以下功能：XNV供给了集中化的基于网络的虚机清单、虚机地址历史信息和虚机网络策略配置功能。XNV经过EPICenter来实现这一点——EPICenter经过标准API接口与虚机管理平台，如VMWarevCenter或其他，进行通讯。2.XNV供给集中化的网络配置和针对于各个虚机的分布式的网络策略。XNV经过在EPICenter集中管理的虚假端口策略（VirtualPortProfile，与各个word版本整理分享范文模范指导学习虚机关系）的框架来实现这一点。VPP用于为每一个单独的虚机配置ACL，QoS，流量限制和其他策略。VPP的执行则是在运转ExtremeOS、并使用了XNV的网络交换机上。XNV能够在虚机从一台服务器迁移到另一台服务器时自动追踪它，并实时自动迁移相应这个虚机的VPP到目标交换机上去——VPP将在这台交换机上自动逼迫执行。XNV不需要对服务器的运转环境做任何更正，并能够同时与多种hypervisor技术兼容。总结服务器虚假化带来一系列网络的挑战。为了应付这些挑战，落实虚假化的好处，网络必定做一些根本性的改变。从为虚机运转环境供给网络级的可见性和可视性，到将网络功能移植到虚机层面，到自动追踪虚机的迁移和调整、执行虚机的网络策略，网络需要重新定义，需要主动参加虚假化。XNV为极进网络的数据中心产品供给了一个软件的升级包，使得网络能够有效的应付虚假化，无论采用的是何种hypervisor方案都无需改变服务器的操作环境。XNV为虚假主机的生命周期供给了基于网络的可视性，控制和自动化。XNV还为网络管理员供给了一条从现有的网络基础设施升级到虚假化的道路，而无需完整取代设施。这类升级路子能够保护现有投资，简略易行。4.1.5环保节能的网络建设成立数据中心网络，不能是考虑初期的采买成本，后续的操作和使用成本也是必不能少的，一个好的产品方案，无论初期采买还是后续保护使用，都要word版本整理分享范文模范指导学习为客户着想，如何以最低的成本进行信息化应用，进而提升整体运营效率，提高经济效益。在能源日益紧张的今天，节能环保也纳入了网络设计中间，成为一个优秀方案的必备要素。对于国防大学，作为IT基础设施的网络建设，Extreme为用户追求低耗电、高性能网络解决方案。所供给以太网局域网交换机的节能表现比其他品牌产品更胜一筹，相应为用户减少中心计房用于散热所需空调压力。（以以下图表数据根源于全球专业的第三方评测机构TollyGroup2008年的测试报告）以上的图标数据分别显示，Extreme的核心设施在同样模块数据流压力测试的情况下，能耗和其他品牌产品的比较。（包括空载、千兆交换、万兆交换情word版本整理分享范文模范指导学习况下，）能够显然的看出，该产品的能耗可是同类产品的1/4~1/3，这样的产品方案，为用户节约了大量的电力花销投入(包括设施自己耗费的以及由于散热需要配置空调设施采买成本和使用成本)，进而提升了整体的运营效率。最牢固可靠的网络平台独有的模块化操作系统设计本方案中的全部的交换机均采用新一代模块化多线程操作系统XOS。XOS支持动向内核加载（KLM），采用独立进度内存保护运转模式，支持对称多办理（SMP）和标准POSIXAPI及XML技术。经过使用模块化多线程操作系统XOS，核心网络设施能够供给更多的可靠性、拓展性和安全性能力，如：无中断切换（HitlessFailover）。设施主从管理模块之间的切换不会导致已有数据流传输的中断。（其他厂商设施在冗余交换管理引擎间故障切换需要1～3秒的时间）无中断软件升级（HitlessSoftwareUpgarde）。不用重新启动设施及实现软件版本的升级与新版本软件启用。（其他厂商设施升级软件后需要重启整个设施）动向停止/重启模块。在某个模块出现的故障的情况下，设施将自动进行故障模块的单独重新启动。进度和线程的自动重启动。系统中某个进度或线程出现故障时不会影响到其他进度和线程的运转。在不用整台设施重新启动的前提下，设施能够自动实现对故障进度的重启动。（其他厂家设施各个模块和进度之间互相影响，某一个模块出问题整word版本整理分享范文模范指导学习个系统要重启，全部功能被迫停机一次）DoS攻击的自动检测和预防交互式威胁阻断挂钩(hook)支持软件模块下载，无中断在线功能扩大。不用中断设施的运转，即能完成系统软件中某个功能模块的升级。POSIXAPI和XML技术保证了用户的个性化功能扩展可由用户配置的CLI命令接口(TCL)。用户能够依照自己的习惯定制命令行界面。多平台的运转能力。用户能够将XOS运转在任何其他的Linux设施平台上（PC、服务器），并能供给全部的网络设施功能。对SMP（对称多办理）的支持，为高优先级应用（如：视频会议、实时监控、IP电话）的睁开供给了更好的保障。4.2.2超强的QOS服务质量保证针对国防大学信息网络今后还要睁开多种影像应用（特别在演习网中间），端到端的Qos保证必不能少。Extreme的方案拥有富强的Qos保证技术：多媒体应用在将来网络应用中将占主要地位，新一代数据网络上推行的重要基础为带宽的大幅扩展和采用硬件承办理技术的设施性能的提高。由于多媒体应用对延和缓抖动的敏感性以及IP网络自己的全力而为的特色，在保证带宽和性能的基础上，网络平台好要拥有优秀的QoS保证能力。word版本整理分享范文模范指导学习本方案中网络产品供给多种带宽管理方式和策略，无论是核心层、汇聚层还是接入层接入交换机均拥有基于物理端口、MAC地址、IP地址、TCP端口等推行带宽控制策略和流量分类管理的能力。Extreme产品设计的追求目标之一就是为在以太网和IP技术上供给牢固的QoS能力，其核心层和汇聚层产品的每端口控制队列最少也达到8个，便管理人员对各种网络服务方式进行更加认真的优先级分类，同时设施采用了基于16个粒度的带宽管理方式，能够将带宽细分成总带宽的1/16，进而供给了优秀的网络传输控制解决方案。经过Extreme企业的IP-TDM技术，能够在网络中定义近似专线的数据通道，保证应用的延缓可控制在固定的数值之内，进而为IP电话、视频会议、视频监控和实时控制等应用的顺利睁开供给优秀的保证能力。特别高的物理QOS队列。交换机支持每端口8个队列。更多的队列意味着更细的业务种类差异。8个队列意味着8个不同样优先级带宽保证的业务种类。8个硬件端口优先级：优先级应用方式1控制网络传输、路由、STP等2VoIP对延缓敏感的语音技术，小型数据包3数据储藏对延缓敏感的语音技术，大型数据包4http也许网上网站之间的传输贸易5Oracle/SQL网站之间的数据传输6E-MAIL收发邮件7视频传输网络培训也许视频会议8预留优先级为将来可能的应用也许网络管理员制定的拥有特别性的应用预留word版本整理分享范文模范指导学习业务最强的分组分类能力。Extreme8810能够依照IP数据包前80字节的任一位或组合进行分类，所以能够实现最细的业务分类能力，轻易划分不同样种类的流量。全Diff-Serv标准的分组分类能力。交换机均能支持全64个级其他Diffserv分类、重写(remark)标准及8个802.1p分类重写(remark)标准。保证QOS的全网推行且与其他厂家兼容。业界唯一的最小带宽保证，最高带宽容速能力。每个QOS队列均能保证最小的保证带宽，及最高的赞同带宽，及最高的突发带宽。最小带宽保证低优先级的流量不被“饿死”，最高带宽保证该类流量不超量使用，最高突发带宽赞同在网络没有瓶颈时能够以最高带宽使用，达到最高的性能。基于双向速率协商体系的划分服务以及双向带宽管理和分派方式保证了用户的投资和带宽需要；同时利用流量鉴别技术和队列技术对用户的数据传输质量和服务级别进行定义，依照用户的投资供给差异服务。自动QOS照射能力，简化QOS的全网部署。QOS部署要求全网内实施，也就是说QOS起自客户PC，终于服务器，所以接入层交换机还需word版本整理分享范文模范指导学习鉴别来自PC的QOS表记，尔后自动照射到相应的队列，Extreme8810具备QOS自动照射能力。这样，全部的QOS配置仅需在网络边缘经过网管推行QOS策略。Extreme的QOS办理，包括鉴别，分类，标志，重写，队列，调换，限速在内，均为ASIC办理，保证不引入额外的时延。经过组合QOS及web/802.1x认证技术，依照不同样的用户名指定不同样的QOS及带宽等级。以下图是8810和同类产品在不同样数据吞吐量情况下高优先级业务的优先级保证，无论流量大小，Extreme的产品高优先级的业务不受影响。4.3先进的网络安全设计一般来说，网络安全表现在以下几个主要方面：网络设施的安全word版本整理分享范文模范指导学习网络管理系统的安全网络业务的安全数据传输的安全用户网络的安全以上几个方面又是在网络的不同样层面来实现的，即骨干层面、管理层面、业务层面、用户接入层面来分别实现。Extreme从以下几个方面着手来保证网络的安全：设施安全特色方案中的网络设施自己也采用了多项先进的安全特色来保证对病毒和攻击的免疫能力。本方案中采用的Extreme网络设施，使用LPM转发技术。差异于和其他厂家的传统三层交换机使用基于流表的方式（IPHostForwarding）来完成数据包的迅速转发。基于流表的迅速转发体系要求为每个目的地成立一个转公布项，而流表的成立方式，使得每个新数据流的第一个数据包必定经过CPU进行办理，当网络上出现扫描攻击的时候，会以致流表的迅速溢出，惹起CPU负载迅速上升，并最后以致网络设施性能下降，使得整个网络不能够进行正常的数据包传输。经过使用LPM转发技术，能够大大减少迅速转公布的大小，提升每条迅速转公布表项覆盖的范围，进而很好地解决了流表溢出所带来的问题，大大提升了网络系统抗击病毒攻击的能力，提升了网络系统的可靠性，并最后保证了网络的高性能和高扩展性。其他，接见控制列表是网络设施数据流量主要过滤的手段，是网络设施的安word版本整理分享范文模范指导学习全防范的重要功能之一。ACL能够依照数据流的MAC地址、IP地址、端口号、ICMP信息、TCP/UDP端口号进行鉴别，并进行相应数据扔掉、过滤、转发策略（QOS）的推行。有效加强了网络传输的可控性，是网络安全规划的一项主要手段。但是接见控制列表对数据包的过滤若是经过交换机的CPU来实现，则会造成数据包转发较大的延缓，有再大的背板带宽和好多厂商宣称的线速性能也没有实质意义，转发根本无法达到线速的数据包转发。只有采用基于硬件的ASCI芯片技术实现的数据包过滤才能够满足线速转发的要求。在当前网络安整天趋恶化、网络攻击及网络病毒日益泛滥的今天，接见控制列表的作用特别重要。在网络设施的选择中，有些厂商甚至连基本的VLAN间接见控制都无法实现，而宣传功能齐全的情况层见迭出。所以，能够供给真实声威的第三方测试报告将为我校的设施选择供给一份可靠的依照。4.3.2用户的安全接入网络的安全防范，除了设施自己的安全性外，系统的安全准入是网络安全的第一道关口。若是一个局域网内装有无法保证网络安全的端点设施，会造成网络安全碰到威胁，所以带来好多灾过以及财务影响。要防范发生这些威胁网络安全的事件，可是把网络端口关闭或是不让人们在办公大楼里连接上网络是不够的。真实有效的接见控制必定要采用主动，在任何威胁进入到内部的网络资源前，就必定要能很好地保证全部端点设施的安全，不用担忧任何威胁的侵入。Extreme的最新内网安全设施SentriantAG200能够满足这个需求。它能w