集团网络平台建设方案建议书

......专业资料可编辑..... 专业资料可编辑..... 专业资料可编辑..... 专业资料可编辑..... 专业资料可编辑..... 专业资料可编辑..... 8 专业资料可编辑..... 专业资料可编辑..... 专业资料可编辑..... 专业资料可编辑..... 专业资料可编辑.....1.1.网络分区的设计1.1.1.数据中心网络分区.业务与分区概述行建设/主要是根当前流行的数据中心网络建设/通常按照业务和安全等级划分少量几个分区/各个分区连接到业务核心。在分区内部参考模块化POD设计方法/布局设计参考TIA-942标准。TIA-942标准参考了以往的建设经验/对数据中心的环境建设提出了更加严格的要求/使数据中心更加的标准据中心的服务器进行分区。专业资料可编辑.....PODPointofDelivery方法。POD既可以是模块化的、也可以是物D模块化部署的优点：易扩展，灵活的模块化设计方式，根据业务需求扩展，缩短规划部署周期。提高投资利用率，降低维护成本。提高能源利用率，冷热通道分离，符合绿色与节能原则要求。安全性原则：按照安全等级不同，划分为不同分区。例如，为互联网用户、合作伙伴服务的服务器单独分区，信息敏感的服务器单独分区。高可用布局原则：业务关联度高的服务器部署在同一个区域；业务关联度低的服务器拆分成多个区域；可用性要求高的业务拆分成两个对等区域。容量适度原则：根据运维管理经验，控制单个区域内的服务数量，例如，500台以内。未独立运维管理原则：业务流量、安全控制、组网协议方面有特殊要求的服务器单独分区。专业资料可编辑.....分区方式：分区设计优先考虑综合布线及基础设施运维因素；根据服务器类型、业务应用层通常将业务区按应用层次、按应用类型两种模式细分。两种模式各有优缺，通常结合使用。部署说客户端到服务器的访问要经过三个区域客户端到服务器的访问只要经过一个区明同一层服务器之间的互访不需要跨区域域同一层服务器之间的互访需要跨区域优点每个区域只服务于应用逻辑中的一个层ppDB应用层次之间物理分离风险分散，一个区域内部故障或变更停机不会影响其他区域承载的业务区域容量增加时，可以通过横向拆分扩专业资料可编辑.....缺点缺点风险集中，一个区域内部故障或变更，会影响全部应用扩展性较弱，服务器数量较多时，单个区域易达到容量上限业务可管理性弱，不易进行故障定位和应急容可管理性强：便于故障定位和应急低时延：同一应用各层服务器之间的流量在同一个区内应用层次之间无物理分离.典型的逻辑分区典型数据中心的分区如上图所示核心区：是数据中心网络的核心，连接内部各个服务器区域、企业的内部网络、合作单位的网服务器区：部署服务器和应用系统的区域。出于安全和扩展性的考虑，可以根据应用的类型分专业资料可编辑.....存储区：包括FCSAN和IPSAN的存储设备和网络。互联区：是把企业内部用户和外部用户接入到数据中心的区域。出于安全和扩展性的考虑，根据互联的用户类型分为：内部互联网络，合作单位互联网络，Internet互联网络。内网区：通过园区网、广域网和企业总部、分支机构的网络互联。Extranet区：通过城域专线、广域专线和合作单位的网络互联。Internet区：实现互联网公众用户的接入、出差员工通过互联网安全接入、没有通广域网的办公点通过互联网安全接入。数据中心互联区：是实现灾备数据中心互联的区域，主要是以传输设备实现与同城灾备中心的互联，以广域网专线实现与异地灾备中心的互联。专业资料可编辑......典型的物理分区如上图所示的模块化数据中心的架构，采用以核心节点为“根”的星型拓扑，分为5大区域(核核心区：流量的枢纽。一般采用大容量，高性能数据中心交换机作为数据中心园区网的核心交。存储区：多种连接方式，可以通过FCoE、IP或者光纤。支持多种存储方式的使用。互联区：分为四个独立的互联区域，各区域独立扩展。灾备互联网络，保证业务平滑向其他数据中心扩展。管理区：管理网络、服务器、应用系统、存储等。专业资料可编辑.....1.1.2.核心区的设计.物理组网方式核心区承担了内部数据流量和对外数据流量，连接着各个分区和业务或者服务器区，是数据中三层方式：如下图所示，这种方式有核心层、汇聚层、接入层三层设备，每个汇聚区各自部署防火墙等安全设备。扁平化方式：如下图所示，这种方式撤消了汇聚层，只有核心层和接入层。这种方式降低了网络复杂度，简化了网络拓扑，提高了转发效率。在数据中心发展扩容时，可以根据需要再演变到核心、汇聚、接入三层结构。专业资料可编辑.....组网结构采用两层扁平化胖树架构。核心互联可以使用三层互联、VSU和TRILL三种组网方案对于扁平化，又可以有以下的几种组网方式：路由方式：该方案采用三层路由组网方案，核心和接入间组成高效、均衡的，无阻塞网络。适用于hadoop等基于SaaS、PaaS云计算环境的应用和协同计算业务，流量收敛比小 (1:1~2:1)。本方案的主要特点如下：任何两台服务器间的通信不超过3台设备。使用IP路由的ECMP，支持五元组HASH技术实现逐流负载分担，链路利用率高。网络规模可弹性扩展。VSU方式：VSU是N:1网络虚拟化技术。VSU可将多台网络设备(成员设备)虚拟化为一台专业资料可编辑.....网络设备(虚拟设备)，并将这些设备作为单一设备管理和使用。VSU虚拟化技术不仅使多台物理设备简化成一台逻辑设备，同时网络各层之间的多条链路连接也将变成两台逻辑设备之间的直连，因此可以将多条物理链路进行跨设备的链路聚合，从而变了一条逻辑链路，增加带宽的同时也避免了由多条物理链路引起的环路问题。如下图所示，将接入与核心交换机两两虚拟化，层与层之间采用跨设备链路捆绑方式互联，整网物理拓扑没有变化，但逻辑拓扑上变成了树状结构，以太帧沿拓扑树转发，不存在二层环路，且带宽利用率最高。用VSU构建二层网络的好处包括：简化组网拓扑结构，简化管理减少了设备数量，减少管理工作量多台设备合并后可以有效的提高性能多台设备之间可以实现无缝切换，有效提高网络HA性能VSU现框式交换机堆叠的容量最大为四台，也就是说使用VSU构建上图的核心+接入网络时，核心交换机最多可达4台。举例来说，核心层部署16业务槽的框式交换机，假设专业资料可编辑.....聚交换机可以在二层无阻塞的前提下接入13824台(576*48/2=13824)双网卡的千兆服务器，可满足国内绝大部分客户的二层组网需求。少部分客户期望其服务器资源池可以有效扩充到2万台甚至更大。这样，就需要其他技术提供更大的网络容量。TRILL方式：该方案应用TRILL技术，由核心层和汇聚/接入层组成无阻塞网络，可以部署TRILL到TOR边缘，实现整个数据中心内业务的二层交换。使用TRILL和网关叠加技术，组网与传统二层方案一致，方案应用TRILLOAM方案，维护与IP网络一样简便。本方案适用于需要构建大范围的二层网络的场合，例如需要大范围资源共享、虚拟机大范围迁移的企业网络。本方案的主要特点如下：构建整网大二层网络，支持多路径负载分担，提高网络的利用率。可以进行整网的资源共享和虚拟机迁移。通过核心TRILL和网关的叠加，节省额外网关设备，降低网络建设成本。专业资料可编辑.....等计算类业务为主，数据中心内部东西向流量大，收敛比小，并且业务类型相对单一，组网结构建议采用两层扁平化的“路由方式”、“VSU方式”或“TRILL方式”。.可靠性规划网络可靠性由设备冗余、链路冗余来保证。如果接入层进三层，在接入层和核心层之间采用三层路由，则通过等价路径和BFD快速故障检测，就能够保证链路故障、设备故障的快速切换，同时也能够充分利用冗余链路。如果核心层进三层，这样就需要解决接入层和核心层之间二层流量的环路问题。现在一般推荐核心采用两台框式交换机集群。接入层采用盒式交换机，盒式交换机每两台VSU。接入层交换机和核心交换机间的链路进行链路聚合。这个方案有如下优势：简化管理和配置：首先，VSU技术将需要管理的设备节点减少一半以上。其次，组网变得简RP专业资料可编辑.....快速的故障收敛：链路故障收敛时间可控制在<10ms，大大降低了网络链路/设备故障对业务带宽利用率高：采用链路聚合的方式，带宽利用率可以达到100％。扩容方便：当进行网络升级时，只需要增加新设备既可，不需要更改网络配置，平滑扩容，很好的保护了投资。提高可靠性：以单链路故障率为1小时/1千小时为例，增加到两条链路，就可以将故障率降1小时/1千小时)*(1小时/1千小时)，等可靠性的另一个重要方面是设备可靠性，核心区设备一般为框式设备，在可靠性方面的要求包括：主控单元的备份；支持电源模块的备份；需要提供模块化的风扇设计，支持单风扇失效；支持所有模块的热插拔；支持CPU防攻击；需要提供完善的各种告警功能。.安全规划核心区部署防火墙，主要解决几个安全问题：专业资料可编辑.....服务器区不同分区间互访的控制，不同业务间的安全隔离分支机构、园区网和服务器区之间互访的控制，客户端和服务器实现防火墙隔离1.1.3.服务器区的设计.EOR/TOR规划接入层交换机部署在服务器机架内或者独立的网络机柜中，部署在服务器机架内的一般称为TOR(TopOfRack)，部署在列头柜中的一般称为EOR(EndOfRow)，一般提供二层交换功能。TOR的部署模式一般适合高密度的机架服务器的接入；EOR模式一般适合低密度的服务器，如小型机的接入。两者的区别如下表所示：部部署方式TOREOR/MOR(MiddleOf服务器类型服务器数据-12台适合场景高密度服务器机柜低密度服务器机柜和网络机柜布线简化服务器机柜与网络机柜布线复杂接入设备多，管理维护复接入设备少，维护简单专业资料可编辑.....杂，电缆维护简单，扩展性电缆维护复杂好服务器的接入方式分为下面四种情况：中低端机架服务器，数量众多，通过接入层交换机接入。高端服务器/大型机，数量较少且重要性高，直接接在核心/汇聚层交换机上，保证带宽。没有内置交换机的刀片服务器，通过接入层交换机接入。内置交换机的刀片服务器，直接接在核心/汇聚层交换机上，减少交换网络的层级，提升网络性能。.服务器多通道接入规划服务器的CPU技术多核化的趋势，从单核到目前的128核，使得CPU处理能力大大提高。但服务器的IO的性能发展比较缓慢，远远赶不上CPU的发展。这就造成了IO的瓶颈。所以，服务器必须采用多通道的方式，采用物理隔离的多个网络接口，才能充分发挥CPU的高性能专业资料可编辑.....上图为服务器多通道分离示意图。服务器包括四类接口，分别接入到业务网络、网管/KVM网提高IO能力。不同类型的业务流量安全隔离。整个服务器区的网络架构是四网分离的架构，即网络可分为：业务网络、管理网络、存储网和.服务器FCoE接入规划服务器通常要接入多个网络，包括业务，存储，计算等。服务器区管理和布线非常复杂。随着10GE等服务器I/O技术成熟，服务器I/O不再是瓶颈。因此多个接入网络隔合是服务器设计趋势，FCoE是实现存储FC网络和业务网络隔合的一种技术。FCoE(FibreChannelOverEthernet)是将光纤通道(存储业务)承载在以太网的协议。专业资料可编辑.....FCoE要求使用10GE网络承载，并要求网络是不能丢包。B实现网络无丢包，DCB包括以下几个关键技术：PFC(Priority-basedFlowControl)：基于优先级进行流量控制，保证一些优先级高的业务优先使用网络带宽，从而保证在融合链路中存储业务的零丢包。ETS(EnhancedTransmissionSelection)：用于避免一种流量类型的大规模流量猝发影响其它流量类型，为不同的流量类型提供最小带宽保证。一种流量类型只有在其它流量类型带宽不占用的情况下，才能使用分配带宽之外的额外带宽。这使多种流量类型可在同一网络中和谐共CN(CongestionNotification)：用于降低引起拥塞的端点站的报文发送速率，从根源上避免拥塞，以减少丢包，保持网络的畅通，并解决因拥塞引发报文重传或流量控制，导致报文时延增加的问题。DCBX(DataCenterBridgingCapabilityExchangeProtocol)：用于和服务器CNA网卡自动专业资料可编辑.....FCoE方案如上图所示。服务器使用CNA网卡连接交换机(TOR)。FCoE接入业务和存储网络融合，可以减少服务器接口卡数量、电缆和接入网络设备数量，减少数据中心投资成本；另外简化服务区布线，降低服务器区管理和维护成本；降低服务区的功耗。.可靠性规划网络可靠性通过VSU或堆叠的无环网络提供，具体见核心区可靠性规划。设备可靠性采用交换机VSU或堆叠。服务器可靠性是通过服务器双网卡来支持。服务器网络驱动程序将两个网卡捆绑成一个虚拟的网卡，对外提供一个唯一的IP地址。需要服务器支持网卡聚合特性(NICTeaming)：当一个网卡失效，另一个网卡接管它的MAC地址。两个网卡采用主备或者负载分担的方式。双网卡主备方式：对于主备方式的双网卡，两个网卡的MAC相同(如下图，都是备必须正确处理这个免费ARP报文，才能将发给服务器的流量切换到新的转发路径上。专业资料可编辑.....如下图所示，主网卡故障后，转发路径需要从蓝色曲线切换到红色曲线。因此，接入层交换机在处理免费ARP报文时，需要将MAC1的出接口刷新到连接备网卡的链路上，因此要求接入层交换机配置时将对应服务器主备网卡的两个端口配置在同一个VLAN，不配置成链路捆绑(否则不会刷新MAC1的出接口)。核心/汇聚层交换机在处理免费ARP报文时，由于核心/汇聚层交换机和接入层交换机之间的是多条链路捆绑成的AP链路，因此，核心/汇聚层交换机不会感知到变化。双网卡负载分担方式：对于负载分担方式的双网卡，两个网卡的MAC相同(如下图，都是MAC2)，而且两个网卡都可以发送和接收流量。接入层交换机必须配置成堆叠，并将对应服务器主备网卡的两个端口配置成链路捆绑。才能屏蔽MAC地址在两个交换机端口间不断“跳跃”的处理。如下图所示，没有故障时转发路径时蓝色曲线，两个网卡都有流量。左边网卡故障后，转发路专业资料可编辑.....径需要从蓝色曲线切换到红色曲线。由于核心/汇聚层交换机和接入层交换机之间的是多条链路捆绑成的AP链路，因此，核心/汇聚层交换机感知不到接入层的变化，仍然会将流量发给左边的接入层交换机。这个流量通过接入层交换机之间的VSU链路转发给右边的接入层交换机，由右边的接入层交换机转发给服务.流量模型规划客户客户/服务器模式：C/S模式模型一层或二层描述前端是客户机，通常是PC或其他终端，后端是服务器，部署在数据中心，服务器通过本机存储或独立的存储设备存取数据优点客户机本地化处理信息缺点较差有文件存储、邮件系统、业务集群模式：协同计算业务扁平化胖树架构流量主要是服务之间的流量，调度服务器将计算业务分发给大量计算服务器处理，计算服务器将处理结果返回给调度服务器。络可扩展性强。对网络时延和带宽要求高，易形成瞬间峰值流量Web索业务。 成)、业务处理(应用服务器负责完成)和数据库 (数据库服务器和存储系好，业务系统的发展变化可以在Web或应用服务器在实现，客户端改变少。时延较长。商务等。专业资料可编辑.....典型的业务模式主要有以上几种，这此业务模式在数据中心内部的流量包括南北流量和东西流南北流量是数据中心内部服务器与外部通信的流量，也称为C/S流量，主要是客户端和服务器之间的数据请求和应答，也有少部分汇聚到汇聚分区间的流量，如下图中的蓝色曲线。东西向流量是数据中心内部服务器之间的流量，又称为S/S流量，如下图中的紫色曲线。业务流量模型决定了数据中心所采用的网络部署模型。以Web业务为例，一般有两种部署模型：分层部署模型和扁平部署模型。区，建议采用分层部署模型。对于中小型数据中心，服务器总数不多，则建议采用扁平部署模型。流量模型决定设备的选型，而不同的设备在流量性能要求是不一样：交换机和路由器进行二、三层报文的转发，不处理连接和会话。其主要流量指标包括吞吐量、时延、丢包率等。专业资料可编辑.....按照存在时间的长短/可以分为短连接和长连接两种。短连接是指持续时间较短的连接/一般为几秒钟。如HTTP访问。短连接对设备的新建连接处理能力有要求。大文件、在线视频流。长连接对设备的并发连接处理能力有要求。.安全规划规划思路：服务器区所面临的主要威胁是非法业务访问和黑客攻击/其安全规划主要可以从三个方面来进行考虑。访问控制：访问控制主要包括两类：限制对服务器的非法访问、实现不同业务之间隔离。限制对服务器的非法访问/主要是通过在服务器连接的接入交换机或者防火墙配置ACL来限制非法IP地址的访问。实现不同业务之间的隔离/主要是使用ACL或VLAN隔离不同业务/同一业务的Web、APP和DB也建议用VLAN隔离开。传输安全：传输安全可以使用SSLVPN等加密技术以及ACL控制非法访问。管理安全：管理安全主要是使管理端和被管理端之间使用安全系数较高的方式/例如v部署建议：结合上述规划思路/对于服务器区的安全部署/建议如下。汇聚层设备配置业务隔离：在汇聚层设备上配置VLAN对分区内不同业务进行隔离/例专业资料可编辑.....如Web业务、App业务等。同时为了防止不同业务之间的非法访问，需要设置ACL条可选择部署ipfix进行流量分析和管理：通常可以使用带外管理方式，配置专门的ipfix板卡，及时检测到服务器的流量，调整安全或者管理、路由等策略，更好的了解业务需求，使服务器更好的工作。汇聚层采用旁挂方式部署高性能防火墙。防火墙可以是框式设备或者盒式防火墙。可以对防火墙进行虚拟化，把一个防火墙划分不同的虚拟防火墙，每个虚拟防火墙为不同业务防护。关键业务核心服务器上游部署IPS进行应用层攻击防御。防火墙和IPS设备采用双机热备。.服务器负载均衡设计业务的负载均衡主要通过服务器负载均衡SLB(ServerLoadBalance)技术实现。SLB对一组服务器提供负载均衡业务，这一组服务器一般来说都处于同一个数据中心内，并同时对外提供一组或多种相同或相似的服务。按照负载均衡方式的不同，SLB可以分为NAT模式和三角传输模式。专业资料可编辑.....客户端将到VSIP的请求发送给服务器群前端的负载均衡设备，负载均衡设备上的虚服务接收客户端请求，依次根据持续性功能、调度算法，选择真实服务器，再通过网络地址转换，用真实服务器地址重写请求报文的目标地址后，将请求发送给选定的真实服务器；真实服务器的响应报文通过负载均衡设备时，报文的源地址被还原为虚服务的VSIP，再返回给客户，完成整个负载调度过程。NAT方式的服务器负载均衡的工作流程图如下图所示：客户端将到VSIP的请求发送给服务器群前端的负载均衡设备，负载均衡设备上的虚服务接收客户端请求，依次根据持续性功能、调度算法，选择真实服务器，再通过网络地址转换，用真实服务器地址重写请求报文的目标地址后，将请求发送给选定的真实服务器；真实服务器的响应报文通过负载均衡设备时，报文的源地址被还原为虚服务的VSIP，再返回给客户，完成整个专业资料可编辑.....负载调度过程。Host发送服务请求报文VSIPLBDevice接收到请求报文后/借助持续性功能或调度算法计算出应该将请求分发给哪台Server-ServerIPServer接收并处理请求报文/返回响应报文源IP为VSIP、目的IP为三角传输模式：相对于NAT组网方式/DR组网方式中只有客户端的请求报文通过LB/服务器的响应报文不经示：一个真实IP/用于和LB通信/LB设备和真实服务器在同一个链路域内。发送给VSIP的报文/由LB分发给相应的真实服务器/从真实服务器返回给客户端的报文直接通过交换机返专业资料可编辑.....DR方式的服务器负载均衡的工作流程图如下图所示：Host发送服务请求报文LB求LBDevice接收到请求报文后，借助持续性功能或调度算法计算出应该将请求分发给哪-eviceServer接收并处理请求报文，返回响应报文GeneralDevice收到响应报文后，直接将报-从以上一系列的说明可以看出——负载均衡设备没有采用传统的转发方式(查找路由表)来分发请求报文，而是通过修改目的MAC直接路由给服务器，DR方式也因此而得名。只有单边报文经过负载均衡设备，负载均衡设备负担小，不易成为瓶颈，转发性能更强，特别适合视频点播业务。但是在服务器上除了配置私网地址需跟LB地址在同一网段外，还需要配置环回接口和VSIP，配置较为繁琐。专业资料可编辑.....负载均衡设备的部署方式一般有如下几种(对可靠性要求较高的场景，还可以采用负载均衡双机热备，并且配置为双活模式或者主备模式)：负载均衡设备部署在核心层交换机上，采用旁挂方式部署，所有分区服务器可以共用负载均衡这种组网方式下，一般采用NAT负载均衡部署方式，需要负载均衡业务的来回程流量均需LBLB中小数据中心或者整个数据中心需要在一个二层的网络环境，LB适合部署在核心交换机上。负载均衡设备部署在汇聚层交换上，采用旁挂方式部署，每分区独立部署LB，可以实现精细化部署。分区部署LB，对LB的性能要求降低，并且具有更高的可靠性。服务器网关可以部署在汇聚层交换机上或者部署在LB上。专业资料可编辑.....1.1.4.存储区的设计.存储区网络架构存储网络包括IP存储网和SAN存储网。IP存储网络用于承载服务器访问的NAS存储的业务流量。NAS主要承载2种业务类型：第一种为特定应用服务器与NAS存储之间的数据交互的流量，第二种为虚拟化业务产生的大量.存储区域基本规划小型机存储区：单独分区开放应用平台区采用双阵列、每个阵列双核心结构，保障高可用性边缘设备与核心设备可采用多条链路捆绑连接，实现低超载比集中存储池按服务等级分类IPIP过IP/MPLS网络备份同步。专业资料可编辑.....管理区：对存储网络及存储资源进行管理、调配。同城灾备：通过DWDM连接同城数据中心。主备数据中心之间要实现数据的实时或者准实时交互，建议：对于IP存储部分，如服务器之间的交互数据，可以通过目前运营商的MPLSVPN或者VPLS虚拟专线，实现主备两个数据中心之间的互通；对于SAN存储部分，则建议采用裸光纤甚至DWDM，提供主备数据中心之间高速、低时延数据的准实时备份需求。由于虚拟化的需求，极大的增加了服务器与存储的数据交换需求，对于采用NAS方式的IP存储网络，至少要保证接入交换机采用10G的链路接入。.可靠性规划IP存储网络的可靠性规划和服务器区业务网络的可靠性规划相同。可靠性的设计依然采用基.安全规划SAN存储可使用专用技术实现隔离。IP存储网络和服务器区的安全较为相似，访问控制可以通过使用VLAN、VPN等技术对于用户及不同的IP存储区域进行划分，严格控制存储的访问权限。跨数据中心存储数据访问采用加密式。专业资料可编辑.....1.1.5.互联区的设计.物理组网根据接入类型及服务类型划分多个不同的互联接入区域互联网Internet接入：企业外部用户通过Internet访问数据中心。外联(Extranet)接入：合作单位用户通过广域或局域网访问数据中心。内部(Intranet)接入：企业内部用户通过广域或局域网访问数据中心。.互联网接入分区互联网接入区最主要的目标是部署丰富的安全控制机制，防范网络攻击等，实现Internet高风险区域客户的应用访问。部署LB，加快业务访问，提升体验。可靠性规划设备、两台FW、两台DDoS、两台IPS/IDS、两台VPN网关设备。这些成对的设备可以配置成负载分担的方式，也可以配置成主备的方式，当一台设备出现问题的时候，另外一台能单独工作，对业务的影响降到很低的程度安全规划专业资料可编辑.....对这些威胁，首先需要部署防范DDoS攻击的设备；然后配置防火墙安全策略来防范和抵御详细的方案部署建议如下：出口部署Anti-DDoS设备，清洗异常流量攻击。Anti-DDoS设备可以采用旁挂或者串接的部署方式。Anti-DDoS设备旁挂时，可以在出口路由器上采用镜像进行引流。Internet区建议部署二道防火墙。两道防火墙采用串行接入，每道防火墙均采用双机热备部署。第一道防火墙是对外网进行第一层隔离，要求抗攻击能力强。第二道防火墙是实现互联网与数据内部业务区隔离，要求性能更高，通常只允许DMZ区的地址通过防火墙，防止非法防问进入。FW1防火墙设置NAT功能。NAT功能可以把接入IP地址转换为内网地址，然后再访问服务器或者数据中心其它的分区网络，从而屏蔽数据中心内部网络结构。在FW1防火墙内侧部署IDS/IPS设备。对掺杂在应用数据流中的恶意代码、攻击行为、攻击等进行侦测，如果检测到攻击，通知防火墙进行拦截。部署VPN网关设备，实现移动用户的安全接入。专业资料可编辑.....通常包括SSLVPN网关和IPSecVPN网关。IPSecVPN主要适用Site-to-Site方式接入，而SSLVPN主要适用于基于web应用的Client-to-Site方式接入。可以部署独立的IPsecVPN网关和SSLVPN网关，也可以使用防火墙统一接入。负载均衡规划上图的LLB提供链路负载均衡；LB提供服务器负载均衡；还要以在路由器上旁挂GSLB (GlobalServerLoadBalance)，提供全局负载均衡。GSLB使多活数据中心网络环境下，用户总能快速访问“距离最近”的数据中心，有效解决网络，服务就近提供，达到更好的访问质量。其基本原理大致如下：如下：LocalDNSGSLB请求；2)GSLB-A、GSLB-B、GSLB-C将访问LocalDNS的延迟时间等相关信息返回给GSLB-A汇专业资料可编辑.....总，并判断最优的地址返回给localDNS。3)以站点的响应时间作为引导用户的依据，用户的访问请求被导向到性能好，响应时间快的点。链路负载均衡也称LLB(LinkLoadBalance)，它用于数据中心多ISP接入Internet时，实现链路出入流量的负载均衡。LLB实现的链路负载均衡技术是动态智能的负载均衡。除了实现基本的链路“共享”外，还能够根据目的网络的就近性判断，将出入流量智能引导到最优的链路上，从而解决因运营商互通慢导