数据中心基础网络设计培训

数据中心基础网络设计培训2024/3/26数据中心基础网络设计培训概述数据中心基础网络架构数据中心基础网络设计总结目录数据中心基础网络设计培训H3C企业网方案的体系架构DatacenterWAN/MAN/internetCampusBranch1Branch2Teleworker数据中心基础网络设计培训业务交换机核心交换机接入交换机互联网边缘外部网互联网边缘和外部网大楼小型园区网络大型分支机构MSRMSR大楼园区网络城域以太网家庭办公室小型机构MSRMSR运营商2运营商1VPN互联网大型主数据中心扩展式多层设计数据中心核心区精简式多层设计园区核心数据中心管理区webwebAPPAPPDBDBDBIV5000DBwebAPPNASSANHPC数据中心管理f服务器广域网灾备数据中心WEBAPP园区核心WEBAPPWEBAPP广域网IP/MPLS路由器防火墙IPSAPPC服务器IP万兆存储存储虚拟化设备存储阵列10GE链路GE链路广域网链路SDH/WDMH3C数据中心全景架构概图数据中心基础网络设计培训数据中心在企业网络中的位置PSTNAAARemoteAccessSP1SP2InternetVPNInternetServerFarmDMZCoreSwitchesExtranetServerFarmIntranetServerFarmPartnersCampusVPN&PrivateWAN数据中心数据中心基础网络设计培训数据中心的核心任务以数据为中心如高密度的数据存储、ERP、数据仓库等应用；传统上的数据库应用目前仍然占整个数据中心的各类应用的主要部分，企业级数据中心绝大多数是围绕着企业内部业务系统，其核心任务仍是以存储业务系统的数据为主以Web为中心如高密度的网络、网络服务处理等面向Web的应用，通过网络传输和处理数据的服务逐渐受到关注，在数据中心的核心任务中扮演着越来越重要的角色。从时间序列来看，在近期建设完成的以及目前正在建设中的企业级数据中心中，把面向Web的应用作为核心任务的比例也呈逐渐增加的趋势以计算为中心如数据转换、计算网格、高性能计算等。常规计算应用已经向服务器集群过渡数据中心基础网络设计培训灾备存储计算网络网络是数据(&容灾)中心访问必备模块计算是业务数据中心必备模块，容灾中心可选存储是数据中心必备模块，但是在多中心结构下，可选择DC载体灾备是数据中心可选模块数据中心解决方案构成---数据中心组成元素数据中心基础网络设计培训概述数据中心基础网络架构数据中心基础网络设计总结目录数据中心网络基础架构数据中心基础架构的演进关于分布式数据中心数据中心基础网络设计培训数据中心分区设计思想Intranet服务器区数据交换&测试服务器区数据中心管理区Extranet服务器区园区网核心区本区主要放置由内部用户访问的应用和数据库,是最重要的业务区域本区主要放置为不同业务应用之间进行数据交换的中间业务应用.本区主要放置管理服务器,并可以连接到园区的管理系统里。本区主要放置被来自外联网络的合作方或通过VPN接入的合作方所访问的应用和数据库.Internet服务器区本区主要放置InternetDMZ架构下的服务器如DNS等，也称为DMZ区数据中心核心区Internet/VPN接入区企业园区网企业数据中心本区部署网络存储设备:IPSAN或FCSAN。服务器通过高性能以太网交换机或FC交换机与磁盘柜联接数据存储功能区本区部署备份管理服务器及数据备份存储与网络系统，提供近线、远程数据容灾与备份功能数据灾备功能区生产1区生产2区非生产区数据中心基础网络设计培训数据中心内部---server前端网络结构主机接入模块业务服务器模块办公服务器模块上线前测试模块EE&DLSW+服务器群组接入区业务Internet外联区DMZ区Internet服务区外联区DMZ区Extranet服务区外联Extranet外联区DMZ区Internet服务区办公Internet核心交换一级骨干网络省分行数据中心间同城网络外连网络模块广域网络模块ECC办公区园区网络模块办公区主机管理终端管理控制区开放平台管理终端网络管理终端管理控制区数据中心基础网络设计培训数据中心内部的安全边界数据中心基础网络设计培训aggregation4aggregation3通用数据中心网络构架aggregation2CampusCoreFWLBSSLNAMFWLBSSLNAMNICTeaming集群NICTeaming接入刀片服务器Passthroughmainframe刀片集成switch三层接入DCCoreDCaggregationDCaccess数据中心基础网络设计培训数据中心基础网络接入层架构应用架构的变迁B/S（Browser/Server）是随着Internet技术的兴起，对C/S结构的一种变化或者改进的三层结构。数据库+业务处理＋界面两层结构C/S，由两部分构成：前端是客户机，通常是PC后端是服务器，运行数据库管理系统，提供数据库的查询和管理B/SC/SSQL请求AppGUIDBServerHTML/HTTPWEBbrowserWEBServerAppServerDBServer数据中心基础网络设计培训PresentationserviceWebbrowserClientPCCitrixpresentationApplicationServiceDatabaseServiceWEBserviceInternet/IntranetIntranetDMZTrust/Parttrust数据中心基础网络接入层架构—多层应用间的安全隔离数据中心基础网络设计培训多层应用部署的展开模式WebserversApplicationserversDatabaseservers独立业务设备分层组网模式WebserversApplicationserversDatabaseservers集成业务模块分层组网模式FWLBAFCNAMFWLBAFCNAMFWLBAFCNAMFWLBAFCNAMFWLBAFCNAMFWLBAFCNAM数据中心基础网络设计培训多层应用架构的扁平化部署FWLBIPSNetStreamFWLBIPSNetStreamWEBServersAppServersDBServers应用系统分层部署模式WebserversApplicationserversDatabaseservers应用系统分层部署模式FWLBAFCNAMFWLBAFCNAMFWLBAFCNAMFWLBAFCNAMFWLBAFCNAMFWLBAFCNAMWEBServersAppServersDBServers数据中心基础网络设计培训数据中心基础网络高可用设计WAN/InternetWEBServersapplicationServersdatabaseServers出口路由器核心层汇聚层网络高可用设计硬件设备冗余，双主控、单板热插拔、冗余电源、冗余风扇物理链路冗余，以太网链路聚合环网技术，RPR、RRPP二层路径冗余，MSTP、SmartLink三层路径冗余，VRRP、ECMP、动态路由快速收敛快速故障检测技术，BFD不间断转发技术，GR路径可用检查，L3Monitor安全高可用设计硬件设备冗余，冗余引擎、冗余电源、冗余风扇设备之间状态热备份数据中心基础网络设计培训数据服务器集群网络WEBServersapplicationServersdatabaseServers出口路由器SAN负载均衡集群:所有服务器在线工作主要解决单机性能问题具备一定扩展性、容错能力高可用HA集群:服务器主备模式主要面向高要求HA环境常见HA集群MicrosoftMSCSVeritasClusterServer(Local)SolarisSunClusterEnterpriseOracleRAC(RealAppl.Cluster)HPMC/ServiceGuardHPNonStopIBMHACMP/HAGEOEMS/LegatoAutomatedAvailabilityMgrLB集群HA集群HA/LB集群HA集群对网络的要求各集群节点具有VIP地址集群互联需要扩展二层VLAN进行连接专用心跳互联集群可伸缩扩展：本地集群、远程集群数据中心基础网络设计培训数据中心服务器集群网络逻辑结构SANSAN企业广域网集群采用VLAN扩展L2互联存储同步/异步数据复制大部分集群实现要求使用共用VLAN提供成员之间的二层直连用于集群心跳的连通性、或集群VIP的访问可达异地L2网络扩展有助于集群的分布式部署，提高容灾能力但带来了网络设计的复杂性网络交换虚拟化技术将提供全局VLAN扩展的简洁性数据中心基础网络设计培训数据中心网络解决方案---IRF集群采用VLAN扩展L2互联MSTP+VRRP本地IRF简化了数据中心内部设计，将二层连同扩展到整个分区去除了MSTP/VRRP的复杂设计，通过IRF进一步增强HA能力异地L2网络扩展借助远距设备的IRF整合功能，将L2互联扩展到两个数据中心IRF-1IRF-2RemoteIRFNon-IRFLocalIRF数据中心基础网络设计培训概述数据中心基础网络架构数据中心基础网络设计总结目录数据中心网络基础架构数据中心基础架构的演进关于分布式数据中心数据中心基础网络设计培训H3C数据中心基础网络架构的演进策略不断演化增强的基础架构传统基础网络架构虚拟化与万兆以太网DC统一交换融合数据中心提供传统DC建设方案技术特点业务集成高性能交换架构初步业务融合LANIPCIP-SANIRF可扩展接入VRF端到端虚拟化产品组合950075E5600/5500满足DC虚拟化趋势技术特点虚拟化ChassisIRFBoxIRF全DC调度与交换多级业务队列超大调度缓存满足万兆数据中心趋势全万兆DC架构万兆网络万兆安全万兆存储产品组合1250095E/75E5800系列满足统一交换与100G趋势技术特点端到端虚拟化全DC级IRF虚拟化网络实例统一交换DCDCE40G&100G产品组合1250095E/75E5800系列V1.0V2.0/2.5V3.0数据中心基础网络设计培训H3C数据中心基础网络解决方案PhaseICampusCoreFWLBSSLNAMDCCoreDCAggregationDCAccessFWLBSSLNAMCampusCoreFWLBSSLNAMDCCoreDCAggregationFWLBSSLNAMWAN/MANIP存储容灾链路产品组合95007500E56005500EI5500SI数据中心基础网络设计培训H3C数据中心基础网络解决方案PhaseIIEnterpriseS12500S9500S7500EFWLBSSLNTAFWLBSSLNTAS7500EIRFS7500EIRFS5500EIIRFDCboxS12500S12500S95007500ES5810-SDCbox5500EI-IRFDCbox数据中心基础网络设计培训H3C数据中心基础网络解决方案DC2.5EnterpriseS12500DCboxS12500S12500SANS7500ES9500ES7500ES9500E数据中心基础网络设计培训概述数据中心基础网络架构数据中心基础网络设计总结目录数据中心网络基础架构数据中心基础架构的演进关于分布式数据中心数据中心基础网络设计培训北京生产中心分行一级骨干路由器核心交换机二级骨干路由器DWDMDWDMFC交换机磁盘阵列汇聚交换机核心交换机汇聚交换机骨干路由器IBMP590电信ATM10M上海备份中心SDH北京同城灾备中心FC交换机磁盘阵列汇聚交换机核心交换机汇聚交换机骨干路由器同步PPRCHAGEOSDHSDH远程异步PPRCFC交换机磁盘阵列汇聚交换机核心交换机汇聚交换机骨干路由器IBMP590网通联通ATM/SDHATM10M每个数据中心分别配置R1、R2路由器。一级分行R1连接业务中心R1，承载业务数据。一级分行R2连接异地备份中心的R1，承载OA数据，同时为生产链路做备份。一级分行R3连接业务同城灾备中心，为生产和OA做备份链路。R1R2R1R2R1R2R1R3R2IBMP590数据中心----两地三中心数据中心基础网络设计培训两地三中心模式的路由规划生产中心同城灾备中心异地备份中心分支EBGPEBGPEBGPEBGPIBGPIBGPIBGPIBGPEBGPEBGPEBGPEBGP新数据中心新数据中心怎样与现网融合？？数据中心基础网络设计培训业务后台的互联核心网A平面B平面分支机构城域网业务中心业务中心数据中心基础网络设计培训概述数据中心基础网络架构数据中心基础网络设计总结目录结构化、标准化、模块化思路Intranetserverfarm设计外联平台设计安全与优化设计不同规模和类型的数据中心数据中心基础网络设计培训数据中心设计的结构化适当的冗余性网络的对称性FWLBNSFWLBNS网络业务的适度分隔办公终端PC服务器区办公区核心一般进行双节点冗余性设计过度的冗余不便于运行维护对称性有助于拓扑直观有助于协议设计分析有利于网络的策略部署减少对关键业务的影响缩小故障范围数据中心基础网络设计培训数据中心结构化安全&优化模型安全管理入侵防护防火墙“拒绝服务”(DOS)反病毒InternetInternetVPN/campus端点准入数据中心应用优化L2交换机：BPDUGuard、端口隔离、五元组绑定、802.1X等实现二层安全保护L2.5MPLS：网络隔离L3路由器/防火墙/AFC/SSL：访问控制和隔离、加密L4NTA“网络水表”流量异常分析L5～7

IPS应用层威胁识别和抵御：蠕虫、间谍软件、P2P、病毒、攻击等IP存储：数据安全（异地容灾，数据备份）安全管理用户管理(iMC)数据中心基础网络设计培训数据中心设计的模块化、标准化模块化数据中心以应用群为单位整合成模块部件根据数据中心不同业务区域性质设计安全模块要素安全模块可集中部署数据中心访问控制策略标准化对数据中心模块设计规范化相同架构要求的业务区采用同样的基础网络组件扩展数据中心区域可直接进行模块复制数据中心基础网络设计培训数据中心模块化分区设计原则业务需求以逻辑或数据中心物理区域进行业务规划，有助于业务在企业的开展与管理数据流根据数据流特征进行分区规划，尽量使得数据中心业务流流向可控、同一区域相似性强、流量可监测应用的逻辑功能不同应用的部署方式有区别，对网络配置需求不同，按应用逻辑特点进行分区模块化，便于维护管理差异性应用IT安全的需求数据中心分区，有助于区域的统一安全要求标准化管理一般情况下，数据中心网络划分为以下的分区(根据企业自身特点有所区别)：核心区提供各分区模块互联Intranet区企业内部业务系统部署区域集成区企业应用系统之间信息交换区域、信息共享区域外联业务区企业对外业务、互联网业务部署区测试区企业新应用上线测试区运营管理区企业IT运营中心存储区企业数据存储专区容灾备份区提供企业容灾、业务一致性数据中心基础网络设计培训核心交换区…

16个园区

…电信（上网）电信联通销售公司、售后点呼叫中心系统视频会议系统IP语音系统WEB、APP服务器DB服务器未来扩展服务器群区网络应用区开发测试区新总部大楼管理区ECC终端系统管理服务器DMZDMZinternet区Extranet区备份中心广域网区备份中心核心数据中心核心WAN/VPN/MPLS......Cat6509S9512ES9512ES75EFWIPSLLBS75EFWS75EFWS75ES9512EFWSLBS7506ES7506ES7506ES3600IRF7609SR6600数据中心、园区网一体化架构案例Cat3750新数据中心广域网区分公司/商务处/海外机构国内该生产基地数据中心基础网络设计培训数据中心、园区网分离架构案例NE40-8广域网区网银区InternetS7500E+FWAFCIPSFWWEBAPPDBMSR50外联区IPSFW前置机MSR50WANS75E+IPS插卡＋FW插卡S55EI办公服务器区生产服务器区网络控制管理区网管iMC/SecCenter地市联社NE20-E客户端接入区EAD办公Internet区办公核心区FWF100办公服务器生产业务服务器EADACG2000InternetIPST200生产测试区生产核心区办公园区网络FWF100S75E＋FW插卡S55EIIPST1000S55EIS55EISDHWANS95+FW插卡S7500E+FWSR88MSR数据中心网络S95+FW插卡数据中心基础网络设计培训概述数据中心基础网络架构数据中心基础网络设计总结目录结构化、标准化、模块化思路Intranetserverfarm设计外联平台设计安全与优化设计不同规模和类型的数据中心数据中心基础网络设计培训数据中心基础网络分层架构DCCore

提供多个DC汇聚模块互联，并连接园区核心要求高交换能力和突发流量适应能力大型DC核心要求多汇聚模块扩展能力中小型DC共用园区核心当前以10G接口为主DCAggregation

提供serverfarm对外流量高带宽出口大密度GE/10GE端口提供接入层互联较多槽位数提供增值业务模块部署接入业务二层终结要求:MSTP、VRRP、三层汇聚层数据交换有一定收敛比以汇聚模块作为业务扩展单元DCAccess高密度GE接入、万兆接入MSTP收敛比基于机架考虑1RU更具灵活部署能力堆叠更具扩展能力上行双链路冗余能力CampusCoreFWLBSSLNAMFWLBSSLNAMWEBServersapplicationServersdatabaseServersDCCoreDCAggregationDCAccess数据中心基础网络设计培训aggregation3aggregation2aggregation1数据中心基础网络核心CampusCore大中型数据中心需要设计独立的核心层核心层提供多业务分区互联数据中心应用分区1数据中心应用分区2数据中心应用分区3EnterpriseWAN/MAN关键应用数据中心需要设计独立的核心层可提供切合应用的流量架构中小型数据中心可与园区共用核心基于数据中心进行企业基础网络部属数据中心核心可直连园区适应本地大流量访问数据中心核心可直连广域网适应企业分布式流量特征数据中心基础网络设计培训数据中心汇聚层部署方式DCCoreDCAggregationFWLBIPSNetStreamFWLBIPSNetStreamDCAccessServerFarm井字型方案优点适合独立设备互联主备冗余设计拓扑简单缺点Inline设备性能瓶颈业务设备旁挂优点适合独立设备互联只对部分流量牵引易保证整网性能缺点交换机策略复杂业务交换集成减少数据中心布线按需配置业务模块易满足高性能要求网络架构简化易运维管理数据中心基础网络设计培训常见的传统接入设计拓扑L3L2二层无环路设计倒U型组网、不使能STP二层无环路设计U型组网、不使能STP矩形组网使能STP三角形组网使能STP1234不启用STP，好管理VLAN可以跨汇聚层交换机，服务器部署灵活必须通过链路聚合保证高可靠性汇聚交换机故障时，服务器不可达，无法实现高可靠接入不启用STP，好管理双active链路，接入交换机密度高VLAN不能跨汇聚层，服务器部署不灵活接入交换机间链路故障，VRRP心跳报文无法传递，整机做VRRP主备切换，故障收敛时间长双active链路，接入交换机密度高，VLAN可以跨汇聚层交换机有一半的接入层流量要通过汇聚交换机之间的链路。当接入交换机上行链路故障时，所有流量将从一侧的交换机上行。收敛比变小，网络易拥塞，降低网络高可用性。链路冗余，路径冗余，故障收敛时间最短VLAN可以跨汇聚层交换机，服务器部署灵活数据中心基础网络设计培训服务器与网络的连接----网口数量1RU多于2个GE业务口一个FE带外管理接口常见1RU机架式服务器最少三个网口两个业务网口一个管理网口可能带存储网络接口前端访问HA心跳线服务器间访问存储访问存储访问带外管理带外管理高端服务器根据具体应用场景前端网口---多个服务器间访问网口---多个一个管理网口一个或多个心跳互联存储网络接口多数情况下需要处理多网口捆绑、冗余的情况-----网口多归属数据中心基础网络设计培训服务器多网卡绑定（NICTeaming）Eth0：ActiveEth1：Standby主备模式Eth0：ActiveEth1-x：Active负载分担模式Eth0：ActiveEth1-x：Active统一的MAC，统一的IP支持静态聚合、802.3ad聚合Etherchannel/端口聚合模式IRF堆叠数据中心基础网络设计培训概述数据中心基础网络架构数据中心基础网络设计总结目录结构化、标准化、模块化思路Intranetserverfarm设计外联平台设计安全与优化设计不同规模和类型的数据中心数据中心基础网络设计培训数据中心Internet业务区安全与应用优化type-B企业的外联平台业务Internet（internetServerFarm）提供企业与自身业务经营的互联网业务如电子商务、网银、网上报税等外联Extranet（internetServerFarm）提供企业与合作伙伴的业务系统连接如商业银行的银联互联等多种外联业务平台依据企业业务要求可分离设计或合成设计安全是外联接入考虑的关键因素外联区设置WEB或前置服务器提供客户服务数据中心基础网络设计培训ServerFarm安全体系建议DDOS检测防御SPAN/RSPAN/ERSPANNetStream高性能服务器低档服务器应用传输加密应用防火墙IPSVPNLBLB+SSLVLANACLIngressACLEgressACLuRPFSecCenter转发数据流镜像监控流外部网络设备加固线路加密传输加密防火墙入侵检测与防御网络实时监控拒绝服务攻击网络渗透性防御VPN技术网络授权管理VLAN隔离双向NATProxy数据中心基础网络设计培训外联平台安全与应用优化部署模型InternetSRFDDOS攻击防御流量分析防火墙VPN服务入侵防御负载均衡&SSLExtranetSRF流量分析防火墙负载均衡&SSL服务器服务器数据中心基础网络设计培训Internet外网FW托管区边界FWIPS互联网接入区DMZ区业务托管区内网区LLB网银WEBDNS服务器FWSLB/SSLSLB/SSLAFC-DAFC-G链路分担IPS网流分析internetSRF的设计方案1CA网银APP网银DB数据中心核心层交换机内网FW数据中心基础网络设计培训Internet外网防火墙互联网接口DMZ区服务托管区内网区数据中心核心交换机内网边界FWAFC-DAFC-GSLBIPSSLBIPSFWIPSSSLSLBFWIPSSSLSLBLLBFWVPNLLBFWVPNCA系统网银APP网银DBWEBDNS服务器internetSRF的设计方案1（集成模式）数据中心基础网络设计培训Internet外网FWLLBAFC-DAFC-G链路分担网流分析接数据中心核心层交换机互联网接口DMZ区内网FW网银WEB服务器网银APP服务器网银DB服务器SLB/SSLSLB/SSLIPSIPSinternetSRF的设计方案2数据中心基础网络设计培训互联网接入DMZ区InternetAFC-DAFC-G链路分担流量分析防火墙IPSSLB/SSL接数据中心核心层交换机内网FWWEB服务器APP服务器DB服务器链路分担流量分析防火墙IPSSLB/SSLinternetSRF的设计方案2（集成模式）WEBAPPDB可利用虚拟FW特性，为每种服务器分配一个FW实例，增强服务器安全性FW虚拟化数据中心基础网络设计培训关于ExtranetSRF的设计方案ExtranetSRF同InternetSRF的设计思路基本相同。但在安全要求上ExtranetSRF相对弱些。ExtranetSRF出口常用路由器，通过专线与第三方连接。数据中心基础网络设计培训概述数据中心基础网络架构数据中心基础网络设计总结目录结构化、标准化、模块化思路Intranetserverfarm设计外联平台设计安全与优化设计不同规模和类型的数据中心数据中心基础网络设计培训数据中心高性能业务集成架构其它接口存储子件高性能系统其它业务处理X-core系统硬盘/CFNP/X-core系统CF高性能安全与优化模块的工作模式：主机路由模式FW、SLB、LLB、SSLVPN，AFC重定向模式IPS、ACG防火墙透明模式FW镜像模式NetStream，AFD数据中心基础网络设计培训防火墙设计IPS设计LB设计SSLVPN设计组合设计数据中心安全与优化设计数据中心基础网络设计培训独立防火墙双机设计DMZDMZAPPDBWEBWEBAPPDB出口单层FW出口双层Serverfarm单层Serverfarm多层数据中心基础网络设计培训防火墙双机热备批量备份：先运行的防火墙会将已经存在的会话及业务表项一次性同步到新加入的设备实时备份：防火墙在产生新表项后会及时备份到另一台设备双机热备同步数据信息：会话、NAT、ALG、ASPF、黑名单、H.323、SIP、ILS、RTSP、NBT、SQLNET等FW通过VRRP组实现主备或负载分担根据VRRP组状态进行切换FW同侧接口需二层可达FW组对上对下部署静态路由VRRP-1VRRP-2OSPF动态路由完成选路切换交换、路由设备进行路径选择FW所有业务接口使能动态路由数据中心基础网络设计培训防火墙SecBlade、SecPath部署比较Secblade接入chassis交换机独立防火墙旁挂chassis交换机独立防火墙inline心跳线心跳线心跳线不论采用何种部署方案，网络数据流的逻辑设计是相同的所有结构本质上都是inline方式，只是外在表现不同。数据中心基础网络设计培训CoreSwitch_1CoreSwitch_2FW_1FW_2L3L3L2L2DB_VLANAPP_VLANWEB_VLANWEBAPPDB运行MSTP防火墙旁挂：路由模式-设计1-AL2L2物理链路心跳互联所有服务器网关在防火墙上WEB/APP/DB间访问策略由FW控制接入交换机、汇聚层面向服务器侧二层接口运行MSTPFW对服务器运行VRRP，对外可运行动态路由或配VRRP汇聚核心全互联数据中心基础网络设计培训CoreSwitch_1CoreSwitch_2FW_1FW_2L2L2L3L3DB_VLANAPP_VLANWEB_VLANWEBAPPDB运行MSTP防火墙旁挂：路由模式-设计2L2L2物理链路心跳互联所有服务器网关在汇聚交换机上，相应接口运行VRRPWEB/APP/DB间访问策略由交换机控制，具有较高性能接入交换机、汇聚层面向服务器侧二层接口运行MSTPFW可运行动态路由FW远离服务器侧接口与核心交换机建立路由邻居FW近服务器侧接口与汇聚交换机建立路由邻居数据中心基础网络设计培训CoreSwitch_1CoreSwitch_2FW_1FW_2L3L3L2L2DB_VLANAPP_VLANWEB_VLANWEBAPPDB运行MSTPL2L2防火墙旁挂：透明模式-设计1-AL2L2物理链路FW工作在路由模式FW工作在透明模式所有服务器网关在汇聚交换机上，相应接口运行VRRPWEB/APP/DB间访问策略由FW控制接入交换机、汇聚层面向服务器侧二层接口运行MSTP汇聚核心全互联数据中心基础网络设计培训虚拟防火墙设计1-实例化SecBlade10G通道FW工作在路由模式FW工作在透明模式L3L2FW虚拟化实例交换机三层路由接口设计逻辑：按照独立防火墙需求部署配置规划：将连通VLAN对应到设计的链路数据中心基础网络设计培训虚拟防火墙设计2-双机连通SecBlade10G通道FW工作在路由模式FW工作在透明模式FW虚拟化实例交换机三层路由接口物理链路L2L2L3L3OutsideVLANInsideVLAN数据中心基础网络设计培训虚拟防火墙设计3-互联VLAN-透明模式L2L2OutsideVLANInsideVLANOutsideVLAN、InsideVLAN对称互通用于运行VRRPInsideVLAN还需要运行MSTP，FW过滤MSTP报文、透传VRRP报文V1000V1001V2000V2001V3000V3001V1000V1001V2000V2001V3000V3001多实例FW用于透明模式：L3L3数据中心基础网络设计培训防火墙设计IPS设计LB设计SSLVPN设计组合设计数据中心安全与优化设计数据中心基础网络设计培训IPS部署比较IPS插卡接入chassis交换机独立IPS旁挂chassis交换机独立IPS在线部署心跳线心跳线心跳线对于独立IPS设备不论采用何种部署方案，网络数据流的逻辑设计是相同的所有结构本质上都是inline方式，只是外在表现不同。交换机对数据进行重定向到IPSIPS处理“嵌入”在交换机转发中VLAN-1VLAN-2数据中心基础网络设计培训IPS插卡的工作机制C->S方向流量在交换机入口进行流量识别将识别的流量重定向到IPS所在交换机端口IPS处理完毕后右从该端口返回交换机继续正常的二三层转发IPSClientServerIPSClientServerIngress入口重定向Ingress入口重定向S->C方向流量在交换机入口进行流量识别将识别的流量重定向到IPS所在交换机端口IPS处理完毕后右从该端口返回交换机继续正常的二三层转发数据中心基础网络设计培训IPS与FW的位置关系Serverfarm外联出口服务器网络FW位于IPS更靠外的网络起到一定保护IPS作用FW用于隔离内外网IPS用于更深度防护内部服务器网络FW与IPS可根据网络拓扑调整位置关系FW主要用于服务器安全访问策略IPS用于深度防护关键应用系统FWFWIPSIPS数据中心基础网络设计培训防火墙设计IPS设计LB设计SSLVPN设计组合设计数据中心安全与优化设计数据中心基础网络设计培训我司LB的两种组网设计NAT方式的负载均衡LB设备使用NAT技术对报文的源、目的地址进行转换，使得客户端和真实服务器之间能通信。DR方式负载均衡LB设备与服务器群在同一VLAN，服务器除了本身的IP地址，还需要配置VIP（虚拟IP，用于接收由LB设备分发来的服务请求）数据中心基础网络设计培训LB部署比较LB插卡接入chassis交换机独立ASE旁挂chassis交换机心跳线LB设计模式类似FW路由模式可参考FW路由模式设计方法VLAN-1VLAN-2数据中心基础网络设计培训LB网络拓扑一ClientServerFarmSWITCH以太网端口只是LB的扩展端口VLAN-1VLAN-2VLANinterfaceVLAN-1VLAN-2数据中心基础网络设计培训LB网络拓扑二ClientServerFarmSWITCHVLAN-1VLAN-2VLANinterfaceVLAN-1VLAN-2L3L2VLAN-3L2L3VLAN-3数据中心基础网络设计培训LB网络拓扑三ClientServerFarmSWITCHVLAN-2VLAN-3VLANinterfaceVLAN-1VLAN-2L3VLAN-3L3VLAN-3VLAN-3VLAN-1L2L2数据中心基础网络设计培训防火墙设计IPS设计LB设计SSLVPN设计(略)组合设计数据中心安全与优化设计设计方式与FW/LB近似数据中心基础网络设计培训防火墙设计IPS设计LB设计SSLVPN设计组合设计数据中心安全与优化设计数据中心基础网络设计培训扩展式结构NS+FW+LB设计的多种组合模式三层转发二层转发FWLBABCDEFG关于FW和L3SW的顺序建议：对于intranetdatacenterL3SW位于FW外层对于internetdatacenterFW位于L3SW外层LBIn-lineLBOne-arm数据中心基础网络设计培训FW+LB最佳实践—配置部署：核心交换机(Switch9500/S12500)汇聚交换机(Switch9500/75E)集成业务板卡核心、汇聚交换机之间配置OSPF协议FW（防火墙板卡）作为Server的网关。FW配置静态路由，缺省网关指向汇聚交换机。两个FW之间运行VRRP，保证HA或是负载均衡LB（负载均衡板卡）单臂旁挂，配置静态路由，缺省网关指向汇聚交换机。两个LB之间运营VRRP，保证HA或是负载均衡接入交换机(S55EI)做二层接入优点：结构简单FW保证服务器之间的安全隔离缺点：LB没有安全保护，容易受到安全冲击适用场景：中型数据中心，服务器数量较多安全要求高，对成本不是很敏感流量很大，并发连接/新建连接数很高可用性要求较高服务器网关WEBVLANAPPVLANDBVLANLB单臂+FW路由数据中心基础网络设计培训FW+LB最佳实践—流量路径V1000V300V400V100V200V300V400V500FWLBL3接口C->S方向（紫色流量）1、数据流从核心交换机经过V1000进入汇聚交换机2、汇聚交换机根据目的(LB的VIP)将数据通过V100转发到LB3、LB作为代理终结报文。替换源地址()和目的地()之后通过V300返回汇聚交换机，下一跳是汇聚交换机()4、汇聚交换机继续进行三层转发到FW5、FW转发报文到V400的服务器()S->C方向1、服务器返回流量到FW（网关）2、FW转发数据到汇聚交换机(V300)3、汇聚交换机继续进行三层转发4、LB作为代理终结报文。替换源地址()和目的地(客户端地址)之后通过V100返回汇聚交换机5、汇聚交换机三层转发V500S->S方向（蓝色流量）1、数据流从接入、汇聚交换机二层转发(V500)进入FW2、FW过滤流量并三层转发3、数据流从FW经过汇聚、接入交换机二层转发(V400)到达服务器V200V100V1000数据中心基础网络设计培训FW+LB最佳实践—HAV1000V300V400FWLBV500V300FWLBV500V400V100V200V300V400V500L3接口VRRP1VRRP2Trunk部署：核心与汇聚交换机之间采用OSPF组网。当任一节点整机故障或链路故障时，整网依靠OSPF进行故障收敛。通过调整OSPF的hellotimer可以控制流量中断时间。两个LB之间运行VRRP，保证HA或是负载均衡。汇聚交换机上将去往服务器的下一跳指向LB的VRRP虚地址，当LB主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量，切换时间可控。两个FW之间运行VRRP，保证HA或是负载均衡。当主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量。切换时间也可控。汇聚交换机之间需要TrunkV100/V400/V500注意事项：为保证HA，使用了NQA、VRRP与OSPF等技术。这些协议收敛时间均可通过配置来调整。过短的收敛时间配置会导致网络中的大量协议报文消耗设备与带宽资源，并且会在流量较大或链路振荡时出现流量路径反复切换，从而引起整网振荡甚至风暴。建议此处配置收敛时间尽量考虑周全，根据实际组网环境多方面权衡。限制：LB要做源地址转换，使服务器得不到访问客户的源地址V1000V1000数据中心基础网络设计培训FW+SSLVPN最佳实践1—配置部署：核心交换机(Switch9500)汇聚交换机(Switch9500/75E)集成业务板卡核心、汇聚交换机之间配置OSPF协议FW（防火墙板卡）作为Server的网关。FW配置静态路由，缺省网关指向汇聚交换机。两个FW之间运行VRRP，保证HA或是负载均衡SSLVPN（SSLVPN板卡）单臂旁挂，配置静态路由，缺省网关指向汇聚交换机。两个SSLVPN之间运营VRRP，保证HA或是负载均衡接入交换机(S55EI)做二层接入优点：结构简单FW保证服务器之间的安全隔离缺点：SSLVPN没有安全保护，容易受到安全冲击适用场景：中小型数据中心安全要求高远程移动办公用户需要安全接入数据中心并控制权限服务器网关WEBVLANAPPVLANDBVLANSSLVPN单臂+FW路由数据中心基础网络设计培训FW+SSLVPN最佳实践1—流量路径C->S方向（紫色流量）1、数据流从核心交换机经过V100进入汇聚交换机，2、汇聚交换机根据目的地址将数据通过V200转发到SSLVPN3、SSLVPN作为代理终结报文。替换源地址()和目的地()之后通过V200返回汇聚交换机，下一跳是汇聚交换机()4、汇聚交换机继续进行三层转发到FW5、FW转发报文到V400的服务器()S->C方向1、服务器返回流量到FW（网关）2、FW转发数据到汇聚交换机(V300)3、汇聚交换机继续进行三层转发到SSLVPN4、SSLVPN作为代理终结报文。替换源地址()和目的地(客户端地址)之后通过V200返回汇聚交换机5、汇聚交换机三层转发(V100)S->S方向（蓝色流量）1、数据流从接入、汇聚交换机二层转发(V500)进入FW2、FW过滤流量并三层转发3、数据流从FW经过汇聚、接入交换机二层转发(V400)到达服务器V100V200V300V400L3接口V100V300V400FWV500SSLVPNV200V500数据中心基础网络设计培训FW+SSLVPN最佳实践1—HAV100V300V400FWSSLVPNV500V100V300FWV500V400V100V200V300V400V500L3接口VRRP1VRRP2Trunk部署：核心与汇聚交换机之间采用OSPF组网。当任一节点整机故障或链路故障时，整网依靠OSPF进行故障收敛。通过调整OSPF的hellotimer可以控制流量中断时间。两个SSLVPN之间运行VRRP，保证HA或是负载均衡。汇聚交换机上将去往服务器的下一跳指向SSLVPN的VRRP虚地址；汇聚交换机将SSLVPN直连网段路由向外发布。当SSLVPN主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量，切换时间可控。两个FW之间运行VRRP，保证HA或是负载均衡。当主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量。切换时间也可控。注意事项：过短的收敛时间配置会导致网络中的大量协议报文消耗设备与带宽资源，并且会在流量较大或链路振荡时出现流量路径反复切换，从而引起整网振荡甚至风暴。建议此处配置收敛时间尽量考虑周全，根据实际组网环境多方面权衡。限制：SSLVPN的75E板卡只能使用4个GE通道，10GE通道能够显示但无法使用，带宽资源受限；SSLVPN板卡在IP接入时目前不支持组播应用，对方案存在一定影响；SSLVPN板卡不支持带外管理；SSLVPN板卡不支持使用loopback接口地址作为SSLVPN服务地址；V200V200数据中心基础网络设计培训FW+SSLVPN最佳实践2—配置部署：核心交换机(Switch9500)汇聚交换机(Switch75E)集成业务板卡核心交换机和FW（防火墙板卡）之间配置OSPF协议汇聚交换机作为Server的网关，配置静态路由，缺省网关指向FW。两个汇聚交换机之间运行VRRP，保证HA或是负载均衡SSLVPN（SSLVPN板卡）在线部署，配置静态路由，缺省网关指向FW。两个SSLVPN之间运行VRRP，保证HA或是负载均衡接入交换机(S55EI)做二层接入优点：FW能够保护SSLVPN和服务器之间的安全缺点：防火墙在主路径上，需要承受一定路由压力，对性能有影响服务器之间缺乏安全隔离管理防火墙不能对SSLVPN通道内的数据进行安全防御适用场景：中小数据中心数据中心内部安全系数较高，重点防范外部攻击远程移动办公用户需要安全接入数据中心并控制权限服务器网关WEBVLANAPPVLANDBVLANSSLVPN在线+FW路由数据中心基础网络设计培训FW+SSLVPN最佳实践2—流量路径C->S方向（紫色流量）1、数据流从核心交换机经过V1000进入汇聚交换机并转发到FW（防火墙板卡）2、FW过滤数据后根据目的(SSLVPN的VIP)将数据通过V100转发到SSLVPN3、SSLVPN作为代理终结报文。替换源地址()和目的地()之后通过V200返回汇聚交换机，下一跳是汇聚交换机()4、汇聚交换机转发报文到V400的服务器()S->C方向1、服务器返回流量到汇聚交换机（网关）2、汇聚交换机转发数据到SSLVPN(V200)3、SSLVPN作为代理终结报文。替换源地址()和目的地(客户端地址)之后通过V100返回FW5、FW通过汇聚交换机转发数据S->S方向（蓝色流量）1、数据流从接入、汇聚交换机二层转发(V500)进入汇聚交换机2、汇聚交换机三层转发3、数据流经过汇聚、接入交换机二层转发(V400)到达服务器V100V200V300V400V500L3接口V1000V100FWSSLVPNV200V300V400V1000V500数据中心基础网络设计培训FW+SSLVPN最佳实践2—HA部署：核心与汇聚交换机之间采用OSPF组网。当任一节点整机故障或链路故障时，整网依靠OSPF进行故障收敛。通过调整OSPF的hellotimer可以控制流量中断时间。两个SSLVPN之间运行VRRP，保证HA或是负载均衡。汇聚交换机上将去往服务器的下一跳指向SSLVPN的VRRP虚地址；汇聚交换机将SSLVPN直连网段路由向外发布。当SSLVPN主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量，切换时间可控。两个FW之间运行VRRP，保证HA或是负载均衡。当主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量。切换时间也可控。注意事项：过短的收敛时间配置会导致网络中的大量协议报文消耗设备与带宽资源，并且会在流量较大或链路振荡时出现流量路径反复切换，从而引起整网振荡甚至风暴。建议此处配置收敛时间尽量考虑周全，根据实际组网环境多方面权衡。限制：SSLVPN的75E板卡只能使用4个GE通道，10GE通道能够显示但无法使用，带宽资源受限；SSLVPN板卡在IP接入时目前不支持组播应用，对方案存在一定影响；SSLVPN板卡不支持带外管理；SSLVPN板卡不支持使用loopback接口地址作为SSLVPN服务地址；V100V200V300V400V500L3接口TrunkV1000FWIPSFWIPSVRRPV300V100V200V200V100V1000V1000V300V400V400V500V500数据中心基础网络设计培训S75E+FW+IPS最佳实践1—配置部署：核心交换机(Switch9500)汇聚交换机(Switch9500/75E)集成业务板卡核心、汇聚交换机之间配置OSPF协议FW（防火墙板卡）作为Server的网关。FW配置静态路由，缺省网关指向汇聚交换机。两个FW之间运行VRRP，保证HA或是负载均衡IPS（入侵防御板卡）单臂旁挂，策略引流接入交换机(S55EI)做二层接入优点：FW保证服务器之间的安全隔离FW、IPS双重安全保护，安全系数高缺点：待补充适用场景：中型数据中心intranetserverfarm安全要求较高服务器网关WEBVLANAPPVLANDBVLANFW路由数据中心基础网络设计培训S75E+FW+IPS最佳实践1—流量路径V300V400V300V400V500FWIPSL3接口C->S方向（紫色流量）1、数据流从核心交换机经过V100进入汇聚交换机，下一跳是汇聚交换机（）2、在汇聚交换机入端口根据ACL策略将数据重定向到IPS（入侵防御板卡）3、IPS过滤数据后通过V100将数据返回汇聚交换机4、汇聚交换机继续进行三层转发到FW5、FW转发报文到V400的服务器()S->C方向（红色流量）1、服务器返回流量到FW（网关）2、FW转发数据到汇聚交换机(V300)3、在FW与汇聚交换机的入端口根据ACL策略将数据重定向到IPS（入侵防御板卡）4、IPS过滤数据后通过V300将数据返回汇聚交换机5、汇聚交换机根据路由三层转发V500S->S方向（蓝色流量）1、数据流从接入、汇聚交换机二层转发(V500)进入FW2、FW过滤流量并三层转发3、数据流从FW经过汇聚、接入交换机二层转发(V400)到达服务器V100V100数据中心基础网络设计培训S75E+FW+IPS最佳实践1—HAV300V400FWIPSV500V300FWIPSV500V400V300V400V500L3接口VRRP2Trunk部署：核心与汇聚交换机之间采用OSPF组网。当任一节点整机故障或链路故障时，整网依靠OSPF进行故障收敛。通过调整OSPF的hellotimer可以控制流量中断时间。IPS板卡采用OAA方式，当板卡CPU过高等故障时，采用二层回退方式直接转发流量，当板卡拔出或重启时，OAA会通知75E流量重定向策略失效，在75E交换机上直接转发。此两种故障导致流量中断时间均在1s左右。两个FW之间运行VRRP，保证HA或是负载均衡。当主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量。切换时间也可控。限制：IPS产品不能支持双机备份功能，当一块拔出后只能流量透明转发，无法转移到另外一块板卡进行业务处理；IPS板卡启动攻击策略防护后，在高新建低并发网络环境中性能下降较为明显；注意事项：过短的收敛时间配置会导致网络中的大量协议报文消耗设备与带宽资源，并且会在流量较大或链路振荡时出现流量路径反复切换，从而引起整网振荡甚至风暴。建议此处配置收敛时间尽量考虑周全，根据实际组网环境多方面权衡。V100V100V100数据中心基础网络设计培训S75E+FW+IPS最佳实践2—配置部署：核心交换机(Switch9500)汇聚交换机(Switch9500/75E)集成业务板卡核心交换机、FW和汇聚交换机之间配置OSPF协议IPS（入侵防御板卡）单臂旁挂，策略引流汇聚交换机是服务器的网关。两个汇聚交换机之间运行VRRP，保证HA或是负载均衡接入交换机(S55EI)做二层接入优点：结构简单，部署方便FW、IPS双重安全保护，安全系数高缺点：服务器之间缺少安全隔离保护FW的路由压力较大可用性略低适用场景：中型数据中心internetserverfarm安全要求较高服务器网关WEBVLANAPPVLANDBVLANFW路由数据中心基础网络设计培训S75E+FW+IPS最佳实践2—流量路径V300V400V200L3接口S->S方向（蓝色流量）1、数据流从V300进入汇聚交换机，在入端口根据ACL策略重定向到IPS2、IPS过滤流量并转发给汇聚交换机（V300）3、汇聚交换机三层转发数据流(V400)到达服务器C->S方向（紫色流量）1、数据流从核心交换机经过V100进入汇聚交换机，2、汇聚交换机将数据通过V100二层转发到FW3、FW根据路由转发数据，通过V200返回汇聚交换机，下一跳是汇聚交换机()4、在汇聚交换机连接FW的入端口处根据策略将数据重定向到IPS上5、IPS过滤数据后通过V200将数据返回汇聚交换机4、汇聚交换机进行三层转发到V300的服务器()S->C方向（红色流量）1、服务器返回流量到汇聚交换机（网关）2、在汇聚交换机连接服务器的入端口处根据策略将数据重定向到IPS上3、IPS过滤数据后通过V300将数据返回汇聚交换机4、汇聚交换机转发数据到FW(V200)3、FW将数据中通过汇聚交换机转发出去V100FWIPSV200V300V400V100数据中心基础网络设计培训S75E+FW+IPS最佳实践2—HAL3接口Trunk部署：核心、汇聚交换机和FW之间采用OSPF组网。当任一节点整机故障或链路故障时，整网依靠OSPF进行故障收敛。通过调整OSPF的hellotimer可以控制流量中断时间。IPS板卡采用OAA方式，当板卡CPU过高等故障时，采用二层回退方式直接转发流量，当板卡拔出或重启时，OAA会通知75E流量重定向策略失效，在75E交换机上直接转发。此两种故障导致流量中断时间均在1s左右。两个汇聚交换机之间运行VRRP，保证HA或是负载均衡。当主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量。切换时间也可控。注意事项：过短的收敛时间配置会导致网络中的大量协议报文消耗设备与带宽资源，并且会在流量较大或链路振荡时出现流量路径反复切换，从而引起整网振荡甚至风暴。建议此处配置收敛时间尽量考虑周全，根据实际组网环境多方面权衡。V300V400V200V100FWIPSFWIPSVRRPV300V300V400V400V100V100V200V200限制：IPS产品不能支持双机备份功能，当一块拔出后只能流量透明转发，无法转移到另外一块板卡进行业务处理；IPS板卡启动攻击策略防护后，在高新建低并发网络环境中性能下降较为明显；IPS板卡目前采用接口、VLAN及IP的全遍历方式下发ACL引流，导致ACL资源被极大浪费，实际应用服务器数量有限；数据中心基础网络设计培训概述数据中心基础网络架构数据中心基础网络设计总结目录结构化、标准化、模块化思路Intranetserverfarm设计外联平台设计安全与优化设计不同规模和类型的数据中心数据中心基础网络设计培训数据中心网络规模---国外划分方式工作组级ServerFarm部门级ServerFarm企业级ServerFarm网格型ServerFarm小型企业&工作组中小企业大型企业运营商～192服务器支撑小型工作组用户运作服务器群可能不在企业主数据中心位于企业分支机构或部门级机构每服务器1-2接口192-384GE端口192～1500服务器支撑大中型工作组用户运作服务器群可能不在企业主数据中心位于企业区域性机构每服务器1-2接口192-3000GE端口1500～4000服务器支撑企业运作服务器群物理整合位于企业总部、或其它地点，实现多中心备份容灾功能每服务器1-4接口1500-16000GE端口4000～10000服务器服务于互联网用户服务器群物理整合位置：地理分布式多活数据中心每服务器1-4接口16000-40000GE端口ServerFarm密度数据中心基础网络设计培训数据中心网络规模---国内情况SMB中小企业大型企业运营商～50服务器支撑小型工作组用户运作服务器群可能不在企业主数据中心位于企业分支机构或部门级机构每服务器1-2接口192-384GE端口50～200服务器200～4000服务器4000～10000服务器ServerFarm密度数据中心基础网络设计培训SMB级数据中心基本设计框架特点IRF数据中心FW提供统一安全：外联控制、DC访问控制Internet55EI数据中心基础网络设计培训中小型数据中心基本设计框架企业LAN&WANInternet较少分区简化企业网络DC与其它网络组件总体规划根据业务关键性设计成本敏感一般性安全要求DC核心是总体网络核心数据中心基础网络设计培训大型数据中心网络设计LAN核心LAN汇聚DC汇聚DC核心独立的DC核心设计性能万兆互联万兆密度流量突发扩展&HA模块化结构化标准化安全基于业务单元组合安全数据中心基础网络设计培训IDC基础架构—前端与后端网络分离前端业务网络向Internet用户提供各种服务后端业务网络的主要功能是向维护人员提供管