数据中心Spine-leaf网络规划设计方案

数据中心Spine-leaf网络规划设计方案 41.1总体网络架构 41.1.1二层网络架构设计 41.1.2功能分区模块化设计 5 6 72.1组网设计 7 8 8 94.1外联区设计 9 9 4.1.5远程接入区设计 4.2网络服务区设计 4.2.1应用场景 4.2.2网络架构 4.2.3数据流 4.3业务服务及运行管理区设计 4.3.1网络架构 4.3.3VPN(MCE方式)设计 5.1业务需求 5.3主备双中心容灾网络 245.4主备站点业务切换 25第1章网络总体架构设计1.1总体网络架构网络的层次较多，导致数据处理效率低，增加了处理时延和线路时延，同时也增加了部署成本由于汇聚层面设备一般存在处理性能和上行带宽的收敛比，在数据中心规模不断扩大的随着数据中心虚拟化的部署，新的数据中心流行通信，甚至能够达到整体流量的75%,这种部署架构会导致服务器之间流量需要通过汇聚层甚至●提高网络可靠性。二层网络结构，可以结合虚拟集群和堆叠技术，解决链路环数据中心的二层网络结构示意图如0所示：网络核心层考虑到数据中心的高安全性、高扩展能力和可管理性的业务需求，数据中心网络架构的总体规划遵循区域化、层次化和模块化的设计理念，实现网络层次更加清楚、功能更加明确，提高承载的业务系统的可扩展性、安全性和可管理能力。●层次化设计。数据中心的核心网络采用核心层、接入层的网络架构；层次化结构也利于网络的扩展和维护。●功能分区和模块化设计。网络架构按照功能，分为外联区(包括Internet接入区和远程接入区)、核心区及内网接入区；核心区包括网络服务区、等保三级业务区、等保二级业务区、开发测试区及运行管理区等功能模块。数据中心的网络功能分区架构如0所示。数据中心网络功能分区架构图数据中心网络功能分区架构图主数据中心外联区M数据中心整体网络拓扑如0所示：包括外联区、核心区及内网接入区等。提供给各级政府部门访问的数据中心区域。政府部门一般通过国家云外网采用器群(如：外部DNS/FTP/Web服务器),用于互联网用户访问；为了提高互联网出口的可靠性，出口路由器一般接入到2个不同的运营商。国内一般会选择中国电信第2章网络核心层设计数据中心网络核心层的规划图如0所示。S接入层：2台接入交换机采用堆叠技术，下行链路根据服务器的物理端口选择GE或10GE链路，上行链路选择10G或10G链路捆绑技术，上联到2台核心交换机，增加带宽的同时也提高了网络链路的可靠性。接入层设备可以根据业务需求，选择机架式、刀片内置式接入层接入层网络核心层的可靠性设计从设备级冗余和链路级冗余两方面来实现：从设备冗余角度考虑，2台核心交换机之间采用CSS虚拟集群技术，每组的2台接入交换机之间采用堆叠技术；从链路的冗余角度考虑，本方案中采用“集群+堆叠+链路捆绑”的二层网络无环络解决方案，如0所示：“集群+堆叠+链路捆绑”的二层网络无环路解决方案示意图自核心层核心交换机采用CSS虚拟集群技术，接入交换机采用堆叠技术；核心交换机与接入交换机间第3章存储网络设计数据中心存储网络规划示意图如0所示。图例服务器存储网络主要包括IPSAN存储网和FCSAN存储网。服务器存储网络与业务网络是物理隔离的，服务器的业务网卡和存储网卡是分别上联到业务网络和存储网络的对应TOR接入交换机上。由于虚拟化的需求，极大的增进了服务器与存储的数据交换，对于IPSAN存储网络，至少要保证接入交换机采用10G的链路接入。当采用IPSAN存储网络时：业务服务区服务器和IPSAN存储的存储网卡一般采用GE端口上联到TOR接入以太网交换机，各TOR接入交换机通过10GE链路或10GE链路捆绑上联到IPSAN存储汇聚交换机。当采用FCSAN存储网络时：业务服务区服务器的HBA卡和FCSAN存储的FC接口通过光纤链路上联到FC第4章网络功能区设计Internet接入区的网络架构示意图如0所示。Internet接入区网络架构图Internet接入区包括出口路由器、链路负载均衡LLB、防火墙、IPSec/SSLVPN接入网关、应用负载均衡、接入交换机等网络设备。●出口路由器：部署2台设备实现冗余，并分别上联到2个不同的运营商；出口路由器与运营商之间一般采用静态路由或BGP路由协议。能选择，实现负载均衡和冗余备份。络安全屏障。2台防火墙采用双机热备的方式进行部署，提高可靠性；防火墙采用路由模式，并与墙进行冗余连接。公共信息服务DMZ区部署在Internet接入区，用于部署提供政府公共服务的Web、DNS、FTP等应用；对于提供公共信息服务的应用及数据库主机一般部署在核心内网的公共服务区。备，实现公共信息服务器进行接入和应用的负载均衡。接入交换机部署2台，分别与2台出口防火墙进行应用场景数据中心一般承载着关键的业务系统，互联网的对外出口非常重要，如果只通过1条链路与运营商进中心的互联网出口一般需要与2个不同运营商进行互联，提高Internet网络出口的冗余性，并减轻网络出当数据中心的互联网出口与2个不同的运营商互联时，可以部署方案说明联通的互联网用户，会从与中国联通的互联链路进行互访；也可以根据用户的IP地址(本地DNS)进行路数据中心的LLB多出口链路选择可以从两个方面进行分析：一方面是互联网用户访问数据中心的AA运普商(主)8A中国联通A中国电A(主)应用场景户、移动用户通过Internet连接数据方案说明对于采用SSLVPN接入的移动用户，移动用户的客户端与数据中心的VPN网关设备通过安全认证，在互联网上形成一个安全的SSL加密隧道，VPN网关为客户端分配相应的内部IP地址，实现客户端对数据中心的互访。对于采用IPSec接入的分支机构，其VPN网关设备与数据中心的VPN网关设备通过安全认证，在互联网上形成一个安全的IPSec加密通道，实现整个分支机构或合作伙伴的办公网络与数据中心之间的业务互访。数据中心的出口防火墙，可以利用虚拟防火墙技术，为每个VPN业务分配一个虚拟防火墙，实现该业务与其它内部业务的安全隔离。远程接入区网络架构示意图如0所示。远程接入区网络架构图政务网络核心层据中远程接入区用来接入政府的各个部门，各个部门一般是采用MPLS-VPN的方式通过国家云外网进行接入；远程接入区还用于接入容灾数据中心，一般是通过专线或M该区域包括出口路由器、防火墙等设备。出口路由器：远程接入区部署2台出口路由器，实现设备冗余，提高可靠性；出口路由器与分●防火墙设备：对于分支机构、灾备中心与数据中心之间的业务互访进行安全控制；2台防火墙设备采用双机热备的方式进行部署，工作在路由模式，并与出口路由器运行静态路由协议；通过虚拟防火墙技术，可以实现VPN网络的隔离功能。通过网闸实现内网安全隔离的网络拓扑如0所示。政务内网政务内网4.2网络服务区设计需要在数据中心内网核心区提供安全防护的功能；有些业务系统，对性能、可靠性和可扩展性要求较高；数据中心的网络服务区网络架构0所示。网络核心层网络核心层网络服务区络服务区网络服务区共部署了2台防火墙和2台LB设备，为数据中心的多个服务器业务分区提供安全控制和2台防火墙和2台LB均采用双机热备的冗余方式进行部署；每台防火墙和LB都采用核心交换机旁挂的方式，并通过2条GE电路与核心交换机进行互联，分别用于承载入方向和出方向的流量。电路VLAN透传到防火墙设备(采用虚拟防火墙),进行三层终结；然后通过另一条互联电路路由到核心交换机，并通过路由的方式到达外联区的防火墙设备。该种情况业务系统的IP网关设置在防火墙上。各种业务数据流如0所示(需要根据实际业务需求决定，仅供参考)。yh网络核心层FW(备)号等保三级政务每等保二级政业务服务区s开发测试区一般应用核心应用钟网络事务过置结服务区●高性能服务器，数量较少且重要性高，部署数据中心核心应用系统(如：核心数据库系统),可以采用异构防火墙加强网络安全。4.3.2分平面设计数据中心网络分平面设计示意图如0所示。4.3.3VPN(MCE方式)设计应用场景对于国家政府机关，其下属各个政府部门往往都是一个单独的VPN,彼此需要通过物理或逻辑的方式方案说明数据中心的MCE方式组网示意图如0所示：首先是接入交换机通过VLAN的方式对VPN业务进行隔离，并表),并将与该VPN相对应的VLAN接口进行关联，这样该VPN形成一个单独的相互隔离的路由转发表，该VRF可以运行OSPF等动态路由协议。数据中心的出口路由器上可以启用PE的功能，建立与该VPN相对应的VRF,出口路由器和MCE之间通过与外网MPLS-VPN网络对接，将VPN业务路由通过MPLS网络进行传递。远端的VPN部门，可以通过CE设备接入到外网，通过MPLS-VPN网络构成端到端的VPN网络(不具备MPLS-VPN网络资源时，远端VPN部门也可通过专线直接接入到数据中心的出口路由器，关联到出口路由器设置的该VPN相对应的VRF中实现VPN功能)。MCE组网图矿键业务的7*24不间断运行。另外，数据中心满足不同地点的用户在访问业务应用时，可以实现相同的快系统及人为破坏引起的灾难。而异地容灾数据中心与主数据中心的距离较远(一般在100km以上),一般采(1)主备双中心模式主备双中心模式网络拓扑如0所示：容灾数据中心主数据中心路由器主数据中心与容灾数据中心，建议采用三层IP方式互联，实现统一运营和统一管理。建议在数据中心的网络边界分别部署2台防火墙和2台路由器，采用光纤直连、数据专线或者MPLS-VPN网络等方式进行互联。同城部署时，一般采用光纤直连或数据专线的方式进行互联；异地部署时，一般采用数据专线或MPLS-VPN网络的方式进行互联。防火墙采用双机热备的方式，并工作在透明模式。根据访问需求在防火墙上做详细的包过滤安全策略，对主数据中心和容灾数据中心之间的业务互访进行安全控制。(2)两地三中心模式两地三中心模式共部署一个主数据中心、一个同城容灾中心和一个异地容灾中心。同城容灾中心一般具有主数据中心基本等同的业务处理能力并通过高速链路实时同步数据，日常情况下可同时分担业务及管理系统的运行，并可切换运行；灾难情况下可在基本不丢失数据的情况下进行灾备应急切换，保持业务连续运行。异地容灾中心是指在异地的城市建立一个备份的灾备中心，一般用于双中心的数据备份，也可以用于应用级别的备份；当双中心出现自然灾害等原因而发生故障时，异地灾备中心可以通过备份数据实现业务的恢复或者实现业务的应急切换。两地三中心模式网络拓扑如0所示：两地三中心网络拓扑示意图对于两地三中心模式，主数据中心与同城容灾数据中心、异地容灾数据中心之间，建议采用三层IP方式互联，实现统一运营和统一管理。主数据中心与同城容灾数据中心一般采用光纤直连或高带宽的数据专线等方式进行互联；主数据中心与异地容灾数据中心一般采用数据专线或MPLS-VPN网络等方式进行互联。同城容灾中心与异地容灾中心之间一般也需要通过数据专线或MPLS-VPN网络等方式进行互联。建议在数据中心的网络边界分别部署2台防火墙和2台路由器，采用直连光纤、数据专线或者MPLS-VPN网络等方式进行互联。防火墙采用双机热备的方式，并工作在透明模式。根据访问需求在防火墙上做详细的包过滤安全策略，对主数据中心和容灾数据中心之间的业务互访进行安全控制。(3)分布式数据中心模式数据中心通常以大集中方式进行数据中心建设，一般只设立一个数据中心；但在某种场景下，比如大型的云网，需要建设分布式数据中心。分布式数据中心采用的是分层次的部署方式：上级政府部门成为一级数据中心，直接下属单位为二级数据中心，再下级单位为三级数据中心；分布式数据中心一般以两级数据中分布式数据中心的网络拓扑如