XX数据中心网络及安全方案建议书(H3C)

XX数据中心

网络及平安方案建议书

HBC

ITolP艇决方案专家

杭州华三通信技术有限公司

2023年4月

修订记录:

版本修改内容修改人审核人修改日期

VI.0初稿完成邓世友2023-4-5

书目

一、建设背景...................................................-3-

1.1.数据中心背景介绍..............................................-3-

1.2.XX集团数据中心建设............................................-3-

二、需求分析...................................................-5-

2.1.应用系统分析...................................................-5-

2.2.流量模型分析...................................................-8-

2.3.带宽分析.......................................................-9-

三、方案规划与设计............................................-11-

3.1.数据中心网络建设目标..........................................-11-

3.2.总体设计思路及原则............................................-12-

3.3.业务分区......................................................-14-

3.4.网络设计......................................................-16-

3.4.1.核心交换区........................................................-17-

3.4.2.服务器接入区......................................................-19-

3.4.3.互联网区..........................................................-20-

3.4.4.外联网区..........................................................-21-

3.4.5.广域网接入区......................................................-22-

3.4.6.灾备接入区........................................................-22-

35平安设计......................................................-24-

3.5.1.平安设计原则......................................................-24-

3.5.2.SecBladeFW插卡部署...............................................-25-

3.5.3.SecBladeFW+IPS+LB组合部署........................................-27-

3.6.QoS设计......................................................-31-

3.6.1.QoS设计原则.......................................................-31-

3.6.2.QoS服务模型选择..................................................-31-

3.6.3.QoS规划..................................................-32-

3.6.4.QoS部署........................................................-34-

3.7.数据中心互联.......................................................-36-

3.8.新技术应用.........................................................-38-

3.8.1.FCoE.......................................................................................................................-38-

3.8.2.虚拟机(VM)部署与迁移............................................-40-

3.9.数据中心管理.......................................................-42-

3.9.1.数据中心管理设计原则............................................-42-

3.9.2.网络管理........................................................-42-

3.9.3.网络监控........................................................-45-

四、方案实施..................................................-47-

4.1.网络布线建议.......................................................-47-

4.1.1.走线方式的选择..................................................-47-

4.1.2.网络配线方式....................................................-49-

4.1.3.服务器接入方式..................................................-50-

4.1.4.机房布线建议....................................................-53-

4.2.VLAN规划.........................................................-53-

4.3.IP地址规划.........................................................-54-

4.4.路由规划...........................................................-55-

4.5.业务迁移...........................................................-57-

五、设备介绍.................................................-58-

5.1.设备清单...........................................................-58-

5.2.H3C特色技术介绍..................................................-62-

5.2.1.IRF虚拟化......................................................-62-

5.2.2.网络平安融合...................................................-64-

5.3.产品介绍...........................................................-66-

建设背景

1.1.数据中心背景介绍

数据中心（英文拼法DataCenter,简写DC）是数据大集中而形成的集成IT应用环境,

它是各种IT应用服务的供应中心，是数据计算、网络、存储的中心。数据中心实现了平安

策略的统一部署，IT基础设施、业务应用和数据的统一运维管理。

数据中心是当前各行业的IT建设重点。运营商、电力、能源、金融证券、大型企业、

政府、交通、教化、制造业、网站和电子商务公司等正在进行或已完成数据中心建设，通过

数据中心的建设，实现对IT信息系统的整合和集中管理，提升内部的运营和管理效率以及

对外的服务水平，同时降低IT建设的TCO。数据中心的发展可分为四个层面：

♦数据中心基础网络整合：依据业务需求，基于开放标准的IP协议，完成对企业现有异

构业务系统、网络资源和IT资源的整合，解决如何建设数据中心的问题。

♦数据中心应用智能：基于TCP/IP的开放架构，保证各种新业务和应用在数据中心的基

础体系架构上平滑部署和升级，满足用户的多变需求，保证数据中心的持续服务和业务

连续性。各种应用的平安、优化与集成可以无缝的部署在数据中心之上。

♦数据中心虚拟化：传统的应用孤岛式的数据中心模型扩展性差，核心资源的安排与业务

应用发展出现不匹配，使得资源利用不匀称，导致运行成本提高、现有投资无法达到最

优化的利用、新业务部署难度增大、现有业务持续性得不到保证、平安面临威逼。虚拟

化通过构建共享的资源池，实现对网络资源、计算计算和存储资源的几种管理、规划和

限制，简化管理维护、提高设备资源利用率、优化业务流程部署、降低维护成本。

♦数据中心资源智能:通过智能化管理平台实现对资源的智能化管理，资源智能安排调度,

构建高度智能、自动化数据中心。

1.2.XX集团数据中心建设

xx集团的商业用户分布在全国各大城市，目前业务系统的部署主要集中在和大连，近

年来随着XX集团业务的规模及多样化发展，企业对信息化的依靠程度越来越高，数据集中、

业务7*24小时高牢靠支撑对数据中心的要求越来越高。经综合考虑，拟在新建数据中心，

将来数据中心将成为XX集团的主中心，承载全部生产业务系统。数据中心是集团广域网汇

聚中心，机房内原则上将不放置服务器。大连数据中心是灾备中心，主要功能是数据异地备

份。

此方案主要涉及数据中心的网络及平安的设计与部署，并实现与、大连的互连！

需求分析

2.1.应用系统分析

xx集团目前的应用系统主要包括生产应用、办公应用和基础支撑三大类，这三大类的服

务器的数量占比如下图所示：

在三大类应用系统中，每一类又可以细分为多个子类，不同的子类应用在流量特征、规

模和用户访问类型上存在较大的差别，这些将会影响到网络及平安的方案设计，下面将进行

进一步的分析：

1.生产应用类

♦ERP

♦百货

♦KTV

♦院线

♦酒店

♦商管

♦地产

♦网站

流量特征分析：不同类的应用,其业务负载繁忙特征也有显著区分，其中百货、KTV、

网站应用周末繁忙；院线应用周二、周六和周日繁忙。繁忙时段网络流量明显上升，而且受

外界因素（如新片上映、节假日促销等）影响，存在不确定的突发流量。

规模分析：从服务器的数量上统计,上述各类应用的服务器数量占比如下图所示:

总体来看，院线类服务器的数量最多，其次为网站、百货和KTV。

用户访问分析：上述应用的访问用户相对多样化,包括集团内部员工（如ERP）、集团

外部用户（如百货、KTV）和互联网公众用户（网站、院线）。

2.办公应用类

♦0A

♦视频会议

♦图档

♦文件

♦其它

流量特征分析：办公应用类服务器业务负载繁忙特征比较单一,繁忙时段集中在工作日

的8小时内，流量相对较稳定。视频会议对网络的质量要求最高，服务质量（QoS）要充分

考虑。

规模分析：从服务器的数量上统计，办公各类应用的服务器数量占比如下图所示：

总体来看，0A服务器的数量最多，其次为视频会议。

用户访问分析：办公应用的访问用户单一,均为集团内部用户。

3.基础支撑类

♦域和身份认证

♦DNS

♦防病毒

♦网管

♦桌面管理

流量特征分析：基础支撑类服务器业务负载繁忙特征比较单一,繁忙时段集中在工作日

的8小时内。部分服务器（如防病毒）的流量特征取决于网络管理员的策略。

规模分析：基础支撑类物理服务器数量不会许多,将来可能会部署许多的虚拟服务器,

因此此类服务器对网络的扩展要求要对相低，在此不再做进一步的规模分析。

用户访问分析：办公应用的访问用户单一,均为集团内部用户。

分析总结：

1.生产应用类服务器的数量最多，而且此类服务器将来随XX业务的发展，规模会越

来越多，因此生产应用类服务器的接入要充分考虑可扩展性；

2.生产应用类服务器的用户访问类型最困难，因此要充分考虑平安访问策略的设计；

3.生产应用类服务器的流量特征最困难，流量最大，而且突发性最强，因此要充分考

虑网络的缓冲实力；

4.办公应用类业务中，视频会议对网络的传输质量最为敏感，方案设计要赐予充分的

QoS和带宽保证。

5.三大类应用系统中，全部业务均为7*24小时运行，因此在网络的设计中要保证高

牢靠，设备和链路均采纳冗余设计，对于生产类关键业务，要保证设备和链路故障

复原时间在毫秒(ms)级，避开设备和链路故障导致业务服务中断。

2.2.流量模型分析

xx集团数据中心建设完成后，集团的数据访问流量模型如下图所示:

大连备份中心廊坊主中心

合作单位用户公众用户

集团内部用户

1.将来三中心的定位：

♦中心：XX集团广域网络汇聚中心,各地XX集团均与中心互连。但中心原则上不

部署业务系统服务器，仅做网络汇聚；

♦空心_数据中心将做为XX集团的主数据中心，全部业务系统均部署在此数据中心

内，承载XX集团全部生产系统；

♦大连中心：做为数据中心内业务系统的数据备份中心,对关键生产系统的数据进行

灾备，原则上不部署业务系统服务器。当主中心内的数据遭到损坏后，可干脆运用

大连中心的备份数据。

2.对于集团内部用户(含集团各城市分支机构)通过集团广域网络，在中心进行网络汇聚

后，再到数据中心访问业务系统。如上图中红色虚线数据流所示；

3.合作单位用户通过专线干脆与数据中心连接，实现对业务系统的干脆访问，无需经过中

心。如上图中绿色虚线数据流所示；

4.公众用户干脆通过Internet访问数据中心的WEB系统，无需经过中心。如上图中紫色虚

线数据流所示。

5.大连备份中心与主中心干脆相连，数据备份流量无需通过中心，提高数据备份的牢靠性

与效率，缩短时延。考虑到将来的双活扩展与数据的实时同步，建议大连备份中心与主

中心之后采纳裸纤或DWDM互连，避开出现带宽瓶颈。

6.大连中心与中心现有的互连线路保持不变，做为数据备份的链路备份。同时将来可将部

分集团内业务部署到大连中心，实现负载分担。

2.3.带宽分析

数据中心内部的服务器接入及局域网络均采纳典型的“千兆接入、万兆到汇聚”方式，

部分服务器（如FCoE服务器等）干脆采纳万兆接入，链路带宽不会成为瓶颈，保证网络的

收敛比即可，在此不做带宽分析。

带宽分析主要考虑数据中心的网络出口，对于数据中心而言，网络出口有以下四个：

1.集团广域网出口:与中心互连，满足集团内全部员工对业务系统的访问。考虑到牢靠性，

采纳双链路（不同运营商）；

2.Internet出口：满足公众业务系统通过互联网对外供应服务。考虑到牢靠性，采纳双链

路（不同运营商）；

3.合作单位专线出口：与合作单位专线互连,此出口的链路和带宽取决与合作单位，在此

不做分析；

4.数据备份出口：与大连数据中心互连,实现关键业务的数据备份与同步。考虑到将来的

双活扩展与数据的实时同步，建议采纳裸纤或DWDM互连。若采纳裸纤或DWDM,带

宽不会成为瓶颈，因此也无需分析。但要保证高牢靠，建议采纳不同缆的多个光纤实现

冗余。

依据XX集团现有业务系统的用户数量分析，对数据中心网络出口带宽估算如下:

业务系统集团广域网出口Internet出口

ERP按1000用户设计，每个用户N/A

20Kbps带宽，合计20Mbps

集团/百货/N/A假设：

院线网站群1.单个页面300KB

2.用户等待容忍时间为10秒

3.峰值并发增长率，通常取30%

按2000个并发用户计算，带宽需求：

2000*300KB*l30%/10=78MB/s=780Mbps

OA/图档/邮按1000用户设计，每个用户N/A

件/文件共享50Kbps带宽，合计50Mbps

视频会议平均每路2Mbps,按50个城市N/A

（50路），占用100Mbps带宽

基础支撑类忽视N/A

合计170Mbps780Mbps

依据上述数据的初步估算，对数据中心网络出口链路选择建议如下：

1.广域网出口带宽为170Mbps,至少采纳两条155MPOS链路，满足带宽需求的同时

实现链路冗余;

2.互联网出口带宽为780Mbps,建议采纳两条千兆链路出口（两个运营商）。

（注:上述数据为阅历数据,仅供参考!）

三、方案规划与设计

3.1.数据中心网络建设目标

XX数据中心将来将XX集团承载全部生产环境系统。数据中心网络作为业务网络的一

个重要组成部分，为核心业务系统服务器和存储设备供应平安牢靠的接入平台。网络建设应

达成以下目标：

高可用一一网络作为数据中心的基础设施，网络的高可用干脆影响到业务系统的可用

性。网络层的高可用至少包括高牢靠、高平安和先进性三个方面：

♦高牢靠：应采纳高牢靠的产品和技术,充分考虑系统的应变实力、容错实力和纠错

实力，确保整个网络基础设施运行稳定、牢靠。当今，关键业务应用的可用性与性

能要求比任何时候都更为重要。

♦高平安：网络基础设计的平安性,涉及到XX业务的核心数据平安。应依据端到端

访问平安、网络L2-L7层平安两个维度对平安体系进行设计规划，从局部平安、

全局平安到智能平安，将平安理念渗透到整个数据中心网络中。

♦先进性：数据中心将长期支撑XX集团的业务发展,而网络又是数据中心的基础支

撑平台，因此数据中心网络的建设须要考虑后续的机会成本，采纳主流的、先进的

技术和产品（如数据中心级设备、CEE、FCoE、虚拟化支持等），保证基础支撑

平台5〜10年内不会被淘汰，从而实现投资的爱护。

易扩展一一XX集团的业务目前已向多元化发展，将来的业务范围会更多更广，业务

系统频繁调整与扩展再所难免，因此数据中心网络平台必需能够适应业务系统的频繁调整，

同时在性能上应至少能够满足将来5〜10年的业务发展。对于网络设备的选择和协议的部

署，应遵循业界标准，保证良好的互通性和互操作性，支持业务的快速部署。

易管理一一数据中心是IT技术最为密集的地方，数据中心的设备繁多，各种协议和应

用部署越来越困难，对运维人员的要求也越来越高，单独依靠运维人员个人的技术实力和业

务实力是无法保证业务运行的持续性的。因此数据中心须要供应完善的运维管理平台，对数

据中心IT资源进行全局掌控，削减日常的运维的人为故障。同时一旦出现故障，能够借助

工具直观、快速定位。

3.2.总体设计思路及原则

数据中心为XX集团业务网络、日常办公与外联单位供应数据访问、OA和视频等服务,

以及各业务的平安隔离限制。数据中心并不是孤立存在的，而是与大连中心、网络汇聚中心

外联单位网络等网络区域相辅相成，数据中心基础网络是业务数据的传输通道，将数据的计

算和数据存储有机的结合在一起。为保证数据中心网络的高可用、易扩展、易管理，数据中

心网络架构需依据结构化、模块化和扁平化的原则设计：

♦结构化

结构化的网络设计便于上层协议的部署和网络的管理，提高网络的收敛速度，实现高牢

靠。数据中心网络结构化设计体现在适当的冗余性和网络的对称性两个方面。如下图所示：

（不合理的冗余）（合理的冗余）

适当的冗余性

网络的对称性

冗余的引入可以消退设备和链路的单点故障，但是过度的冗余同样会使网络过于困难，

不便于运行和维护，因此一般采纳双节点双归属的架构设计网络结构的对称，可以使得网络

设备的配置简化、拓扑直观，有助于协议设计分析。

在数据中心网络设计时，由于引入了冗余和对称的设计，这必将引入网络的环路，可通

过如下建设思路消退环路影响：

1.启用STP和VRRP协议

传统解决方案，标准的协议，设备要求较低。但此种部署方案网络的协议部署困难，收

敛慢，链路带宽利用率低，运维管理工作量大。本方案设计不采纳此方法。

2.IRF网络设备N:1虚拟化技术

通过H3cIRF技术对同一层面的设备进行横向整合，将两台或多台设备虚拟为一台设

务，统一转发、统一管理，并实现跨设备的链路捆绑。因此不会引入环路，无需部署STP

和VRRP等协议，简化网络协议的部署，大大缩短设备和链路收敛时间（毫秒级），链路

负载分担方式工作，利用率大大提升。

传统MSTP+VRRP部署方式IRF网络N:1虚拟化部署

在本方案的设计中，将采纳端到端的IRF部署，满足网络高牢靠的同时，简化网络运

维管理。

♦模块化

构建数据中心基础网络时，应采纳模块化的设计方法，将数据中心划分为不同的功能区

域，用于实现不同的功能或部署不同的应用，使得整个数据中心的架构具备可伸缩性、敏捷

性、和高可用性。数据中心中的服务器将会依据服务器上的应用的用户访问特性和应用的功

能不同部署在不同的区域中。如下图所示：

网络接入区

X

互联网接入广域网接入外联单位接入办公局域网

接入

数据中心核心交换区

数据中心网络分为网络接入区、数据中心核心交换区和服务器接入区三大功能区域，其

中网络接入区和服务器接入区依据服务类型的不同，可进行子区的细分，具体参见“业务分

区”章节的描述。

数据中心核心区用于承接各区域之间的数据交换，是整个数据中心的核心枢纽，因此核

心交换机设备应选用牢靠性高的数据中心级设备部署。

在进行模块化设计时，尽量做到各模块之间松耦合，这样可以很好的保证数据中心的业

务扩展性，扩展新的业务系统或模块时不须要对核心或其它模块进行改动。同时模块化设计

也可以很好的分散风险，在某一模块（除核心区外）出现故障时不会影响到其它模块，将数

据中心的故障影响降到最小。

♦扁平化

数据中心的网络架构依据接入密度和分为三层架构和二层架构，如下图所示：

三层架构二层架构

传统的数据中心网络通常米纳三层架构进行组网，三层架构可以保证网络具备很好的扩

展性，同一个分区内服务器接入密度高。但三层架构网络设备较多，不便于网络管理，运维

工作量大。同时组网成本相对较高。

随着网络交换技术的不断发展，交换机的端口接入密度也越来越高，二层组网的扩展性

和密度已经能够很好的满足企业数据中心服务器接入的要求。同时在服务器虚拟化技术应用

越来越广泛的趋势下，二层架构更简洁实现VLAN的大二层互通，满足虚拟机的部署和迁

移。相比三层架构，二层架构可以大大简化网络的运维与管理。

综合上述因素，数据中心的网络设计采纳二层扁平化架构，满足扩展性的同时，实现易

管理。

3.3.业务分区

依据3.2章节中的“模块化”设计原则，须要对业务系统进行分区。从技术看，业务分

区须要遵循以下原则：

♦分区优先考虑访问限制的平安性，单个应用访问尽量在一个区域内部完成，单个区

域故障仅影响一类应用，尽量削减区域间的业务耦合度；

♦区域总数量的限制：但区域多则运维管理的困难度和设备投资增加，区域总数量有

运维上限不超过20个；

♦单个区域内服务器数量的限制：受机房空间、二层域大小、接入设备容量限制，单

个区域内服务器数量有限（通常不超过200台）。

♦接入层设备利用率的限制：受机房布局的影响，假如每个机房都要部署多个平安区

的接入交换机，会导致接入交换机资源奢侈，端口利用率低，因此平安区的数量不

宜过多。

♦防火墙性能的限制：区域之间的流量假如超过10G,则须要考虑通过防火墙横向扩

容，或区域调整的方式分担流量。

在实际的数据中心分区设计中，通常有以下三种分区方法：

1.依据业务功能进行分区：依据业务系统的功能（如生产、OA、支撑等）或业务的

实时性（实时业务、非实时业务）或者业务系统的功能（如ERP、营销、财务等）

进行分区划分，此分区方法适合大多数企业数据中心；

2.依据平安等保级别进行分区：依据业务系统的平安等级定义进行划分,如“三级系

统独立成域，二级系统统一成域”，此分区方法适合政府、电力等行业数据中心;

3.依据服务器类型进行分区：一般分为WEB服务器区、APP/中间件服务器区、DB

服务器区。此分区适合互联网企业等数据中心。

依据需求调研时了解的XX集团业务系统分布状况，结合业务系统的用户类型，数据中

心的分区设计依据业务功能进行分区。分区设计如下：

支

撑

数据中心核心区管

理

区

各区域业务系统部署描述如下：

办公局域网区：XX数据中心大楼办公网络,包括终端、楼层接入与汇聚。

广域网接入区：与网络汇聚中心广域网络互连,网络出口。

外联网接入应用区：与合作单位的专线互连,此区域也包括合作单位的业务前置机服务器。

互联网接入应用区：互联网出口,此区域也包括集团网站群WEB服务器、集团邮件系统、

DNS服务器等。

百货应用区：此区域部署与百货相关的应用服务器,包括百货促销、MIS、BI等应用系统。

KTV应用区：此区域部署与KTV相关的应用服务器,包括FTP、管控、WEB、DB等应用

系统。

院线应用区：此区域部署与院线相关的应用服务器,包括火凤凰、会员等应用系统。

OA应用区：此区域部署集团内部的0A应用服务器,包括OA、RTX、泛微、图档、视频

会议、文件、网络教学、网上招投标等应用系统。

ERP/财务应用区：部署集团内部的ERP和财务应用服务器。

其它应用区：部署商管、地产、酒店等应用服务器。

开发测试区：此区域用于集团内部信息系统的开发与测试,或新系统上线前的测试部署。

灾备接入应用区：此区域与大连中心互联,实现数据级的异地灾备。同时此区域可以部署一

些本地的重要系统备份应用。

支撑管理区：此区域部署数据中心网络、平安、服务器、存储等IT资源的运维管理系统，

此外包括集团内部的域管理和身份认证服务器。

数据空心掾恒此区域用于实现各分区之间的数据交互,是数据中心网络平台的核心枢纽,

无服务器部署。

3.4.网络设计

结合上述的业务分区，依据结构化、模块化、扁平化的设计原则，实现高可用、易扩展、

易管理的建设目标。网络整体拓扑如下图所示:

整体网络拓扑采纳扁平化两层组网架构，从数据中心核心区干脆到服务器接入，省去了

中间的汇聚层，这种扁平化的网络结构有以下优点：

♦简化网络拓扑，降低网络运维的难度；

♦服务器区简洁构建大二层网络，更适合将来的虚拟机大量部署及迁移；

♦服务器接入交换机将来的扩展可干脆在现有的IRF虚拟组添加成员交换机，扩展

便利。

对于数据中心的网络平安部署，在本方案中采纳了''分布式平安部署”的策略，防火墙

形态采纳了H3csecBlade平安插卡，实现网络平安的融合。具体的平安设计参与“3.5平安

设计”章节。

纵观整体方案拓扑，在此方案设计与部署时共采纳了IRF虚拟化、网络平安融合、智

能管理三种H3C特有的关键技术（具体参见5.2章节相关介绍），在保证数据中心的高牢靠的

同时，简化网络运维管理，同时供应了智能化的管理工具平台。

3.4.1.核心交换区

♦功能描述

核心交换区的主要功能是完成各服务器功能分区、办公局域网、外联网、互联网之间数

据流量的高速交换，是广域/局域纵向流量与服务功能分区间横向流量的交汇点。核心交换

区必需具备高速转发的实力，同时还须要有很强的扩展实力，以便应对将来业务的快速增长。

核心模块是整个平台的枢纽。因此，牢靠性是衡量核心交换区设计的关键指标。否则，一旦

核心模块出现异样而不能刚好复原的话，会造成整个平台业务的长时间中断，影响巨大。

♦拓扑设计

办公局域网广域网外联网区互联网区

接入区接入区

多个万兆端口NetStram网络流

捆绑，提高设量分析，实现全

备间横向单宽网智能分析J

核心交换区

分区1分区2分区N支撑管理区

♦设计要点

1.高牢靠

核心交换设备选用数据中心级核心交换机，配置双引擎，双电源，保证网络组件层面的

稳定性。

网络架构层面，采纳双核心设计，两台设备进行冗余，并通过虚拟化技术进行横向整合,

将两台物理设备虚拟化为一台逻辑设备，并实现跨设备的链路捆绑，所各分区的交换机IRF

相协作，实现端到端IRF部署。两台设备工作在双活模式，缩短链路故障与设备故障的倒换

时间（毫秒级），保证出现单点故障时不中断业务。

为保证出现单点故障（链路/设备）时另一台设备能够完全接管业务，各功能模块通过

“口”字形上行与核心模块互连。

2.高速传输

本次网络设计容量应保证将来3〜5年内的业务扩展，本设计采纳“万兆到核心，千兆

接入”的思路，核心模块对外接口为全万兆接口。

3.易于扩展

依据“核心一边缘架构”的设计原则，核心模块应避开部署访问限制策略(如ACL、路

由过滤等)，保证核心模块业务的单纯性与松耦合，便于下联功能模块扩展时，不影响核心

业务，同时可以提高核心模块的稳定性。

4.智能分析

针对各个区域的业务流量改变趋势，本次在核心交换机上部署网络流量分析模块，可以

实时感知，并作为网络优化及调整的依据。

3.4.2.服务器接入区

♦功能描述

服务器接入区用于完成服务器的LAN网络接入，依照3.3章节的业务分区设计，涉及到

服务器接入的业务分区包括百货应用区、KTV应用区、院线应用区、ERP/财务应用区、开发

测试区、支撑管理区、其它应用区，这些区域虽然部署的应用服务器类型不一样，设备的选

型要求也不一样，但对于网络拓扑设计来说是一样的，因此在方案设计时，这些区域的网络

拓扑设计将在此统一进行描述。

♦拓扑设计

服务器接入区1

注：院线应用区若部署院线WEB服务器，则服务器接入交换机上除了部署FW插卡外，还顼

要部署IPS和SLB插卡。

♦设计要点

1.服务器接入交换机部署双机，并采纳IRF虚拟化，将两台物理设备虚拟化为一台逻辑设

备，实现跨设务链路捆绑，与核心交换机协作实现端到端IRF。此外服务器双网关配置

成双活模式(Active-Active)，；

2.各服务器接入交换机上部署SecBladeFW插卡，用于本区域与其它区域的访问限制策略

部署。院线应用区部署FW+IPS+LB插卡；

3.服务器网关部署在接入交换机上，防火墙插卡与接入交换机以及核心交换机之间运行

OSPF动态路由，实现FW的双机热备。

3.4.3.互联网区

♦功能描述

互联网区用于部署集团WEB服务器、院线WEB服务器(若须要)，以及集团的DNS、FTP、

E-mail等须要通过互联网对公众用户供应服务器的应用系统。

♦拓扑设计

♦设计要点

1.Internet出口采纳双运营商链路，保证用户访问效率的同时，实现链路的冗余；

2.服务器接入交换机部署双机，并采纳IRF虚拟化，将两台物理设备虚拟化为一台逻辑设

备，实现跨设务链路捆绑，与服务器双网卡协作实现双活(Active-Active)；

3.采纳双层防火墙部署，外层防火墙用于实现Internet与WEB、DNS、Email、FTP等公网

服务器的隔离，实现公网服务器的分域，并配置DMZ区域保证平安。内层防火墙用于实

现公网服务器与数据中心内部其它服务器之间的隔离，部署内部区域间的访问限制策

略。外层防火墙采纳独立设备、内层防火墙采纳在服务器接入交换机上部署SecBladeFW

插卡。

4.由于Internet区部署了较多的网站等WEB服务器，因此须要部署LB和IPS设备。来保

证负载分担和L2t7层平安过滤。

3.4.4.外联网区

♦功能描述

外联网区用于实现与合作单位的专线网络进行互联，并部署合作单位的前置机服务器。

♦拓扑设计

合作单位银行

♦设计要点

1.服务器接入交换机部署双机，并采纳IRF虚拟化，将两台物理设备虚拟化为一台逻辑设

备，实现跨设务链路捆绑，与服务器双网卡协作实现双活(Active-Active)；

2.采纳双层防火墙部署，外层防火墙用于实现前置机服务器与合作单位网络的隔离，可部

署NAT。内层防火墙用于实现前置机服务器与数据中心内部其它服务器之间的隔离，部

署内部区域间的访问限制策略。外层防火墙H3csecBladeFW插卡、内层防火墙可采纳

非H3C的第三方FW独立设备进行异构，加强平安性。

3.服务器接入交换机上部署SecBladeIPS插卡，实现L2~L7层平安过滤。

3.4.5.广域网接入区

♦功能描述

广域网接入区用于实现与网络汇聚中心的互连，保证集团内部用户通过广域网访问数据

中心内的业务系统。（必要时也可考虑与大连数据中心互联）

♦拓扑设计

♦设计要点

1.广域网出口路由器部署双机，出口链路为双链路，保证广域网出口高牢靠;

2.防火墙采纳路由器上部署SecBladeFW插卡。

3.4.6.灾备接入区

♦功能描述

灾备接入区用于实现数据中心与大连灾备中心的互连,实现SAN和LAN网络双中心的互

通，保证数据同步复制。同时通过将两中心的VLAN二层打通，实现跨数据中心的大二层网

络，便于虚拟机业务迁移和跨地域服务器集群。

♦拓扑设计

大

连

备

份

中

心

♦设计要点

1.数据中心与大连灾备中心之间采纳双路裸纤做灾备互连链路，并采纳DWDM进行复用。

2.SAN网络干脆通过光纤上DWDM波分设备，实现数据存储备份通道的互通。LAN网络通过

在服务器网关交换机设备上通过VLANTrunk到汇接交换机，然后再上DWDM设备，实现

双中心之间的大二层VLAN互通。

3.汇接交换机部署IRF,实现双纤捆绑，保证链路的牢靠性。

4.跨地域的二层打通后，可以实现网关设备跨地域部署VRRP,保证双中心服务器集群时网

关的切换。

3.5.平安设计

3.5.1.平安设计原则

平安与网络密不行分，本方案中的平安设计部署采纳了与网络分区相同的平安域划分,

同时采纳SecBlade平安插卡实现了网络与平安设备形态的融合。整个方案的平安部署采纳

了目前应用广泛的“分布式平安部署”方法，如下图右侧所示：

集中式安全部署分布式安全部署

安全区1安全区3

VLAN1VLAN2VLAN2VLAN1VLAN2

VLAN3VLAN，

T

、、、网络核心层

安全区4安全区6

VLAN1VLAN2VLANVLAN1VLAN2

安全区

安全设备集中部署在安全设备下移到各业4

核心区

务区出口，分布式在VLAN1VLAN2

、各服务器接入层

分布式平安部署具有以下优势:

♦分散风险：传统的集中式平安部署一般将防火墙旁挂在核心交换机两侧,这样一旦防火

墙出现故障，数据中心内的全部业务区都将不能访问，整个数据中心的全部业务均会中

断，风险和性能压力都集中在防火墙上。而采纳分布式部署后，防火墙出现故障只会影

响到本区域的业务，进而实现风险和性能的分散，提高了整个数据中心的牢靠性；

♦敏捷扩展：分部式平安部署,核心交换机原则上不部署任何与业务分区之间的平安策略,

可实现核心区与各业务分区之间的松耦合，在新增模块或业务系统时，无需更改核心设

备的配置，减小核心区出现故障的机率，保证核心区的高牢靠与业务分区的敏捷扩展；

♦简化平安策略部署：防火墙下移到各业务分区的出口,防火墙上部署的平安策略可大大

简化，默认仅须要划分两个平安域（受信域与非受信域），采纳白名单方式下发策略,

削减了策略的交叉。

3.5.2.SecBladeFW插卡部署

防火墙设备在数据中心网络架构中为内部系统供应了平安和牢靠性保障。防火墙主要部

署在数据中心的两个常见区域中：数据中心出口区域和服务器区域。在数据中心出口区域部

署防火墙可以保障来自Internet和合作伙伴的用户的平安性，避开未经授权的访问和网络

攻击。在数据中心服务器区域部署防火墙可以避开不同服务器系统之间的相互干扰，通过自

定义防火墙策略还可以供应更具体的访问机制。

防火墙插卡设备虽然部署在交换机框中，但仍旧可以看作是一个独立的设备。它通过交

换机内部的10GE接口与网络设备相连，它可以部署为2层透亮设备和三层路由设备。防火

墙与交换机之间的三层部署方式与传统盒式设备类似。

如上图FW三层部署所示，防火墙可以与宿主交换机干脆建立三层连接，也可以与上游

或下游设备建立三层连接，不同连接方式取决于用户的访问策略。可以通过静态路由和缺省

路由实现三层互通，也可以通过OSPF这样的路由协议供应动态的路由机制。假如防火墙部

署在服务器区域，可以将防火墙设计为服务器网关设备，这样全部访问服务器的三层流量都

将经过防火墙设备，这种部署方式可以供应区域内部服务器之间访问的平安性。

XX集团数据中内部，整体平安采纳分布式部署设计，己经对不同的业务系统进行了分

区，整体平安边界清晰。为简化SecBladeFW的配置，提高网关性能，将服务器的网关均部

署在接入交换机上，SecBladeFW插卡仅部署本分区内与其它分区之间的平安策略。若本

分区内各服务器之间有隔离需求，建议在接入交换机上采纳ACL方式实现。如下图所示：

分区2

对于仅部署SecBladeFW插卡的业务区（如百货、KTV、ERP/财务、开发测试、支撑管

理、外联网区），区域内的平安部署逻辑拓扑如下图所示:

♦接入交换机双机部署IRF虚拟化，并实现跨设备链路捆绑。两块SecBladeFW插卡逻辑

上相当于插在同一台交换机上。

♦每台接入交换机逻辑上均可以看成一台L2交换机与一台L3交换机的叠加，服务器网关

部署在交换机上。

♦SecBlade通过内部的10GE接口与交换机互连，并创建多个L3接口进行引流，让全部

流经服务器的流量均经过FW过滤。两块FW插卡通过带外状态同步线（心跳线）进行状

态同步，FW插卡之间通过OSPF动态路由实现热备或负载分担(ECMP)o

3.5.3.SecBladeFW+IPS+LB组合部署

对于XX数据中心的院线应用区、互联网应用区，须要涉及到FW+IPS+LB的组合部署，

FW插卡的基本特性3.5.2章节已做描述，下面先介绍IPS和LB插卡的基本组网：

♦SecBladeIPS基本组网设计

SecBladeIPS插卡为数据中心内部供应了更坚实的平安爱护机制。通过IPS的深度检

测功能可以有效爱护内部服务器避开受到病毒、蠕虫、程序漏洞和DDOS等来自应用层的平

安威逼。

IPS插卡通过OAA(开放的应用架构)技术与宿主交换机协作运用。可以通过传统的流

量重定向方式将须要IPS处理的业务流重定向到IPS插卡上处理，也可以通过OAA方式在

IPS的IVeb页面上配置重定向策略，这两种方式都可以实现相同的功能。由于不同交换机设

备对OAA的支持程度不同。我们举荐在本方案中采纳重定向策略引流。

由于IPS插卡在整个网络中属于2层透亮转发设备，不会对报文进行任何修改，整个网

络从连通性上看加入IPS后不会产生任何改变影响。因此建议实施的时候将其放在最终进行

上线配置，即其他设备都调试0K,流量转发与HA设计都以正常实现状况下再进行IPS的部

署实施。

SecBladeIPS组网结构流量图

SecBladeIPS不会对报文进行任何修改，对于上IPS处理的报文，非OAA方式只能通

过VLAN区分流量是属于外部域还是内部域。所以在组网设计中需留意非OAA方式重定向到

IPS插卡的业务流上下行流量需为不同VLAN。由于IPS插卡不具有双机热备功能，通过组网

设计，部分环境可以做到IPS故障的切换，部分环境中当IPS故障后，重定向功能失效，业

务流将不能接着受到IPS的平安爱护，流量在短暂中断后仍旧可以保证连续性。

♦SecBladeLB板卡设计部署

LB插卡具备两大主要功能，服务器负载均衡和链路负载均衡，分别应用于数据中心服

务器区和Internet出口区域。服务器负载均衡为数据中心服务器区性能的扩展和资源利用

的优化供应完备的解决方案。链路负载均衡特别有效的部署在数据中心多出口的组网环境

中，可以同时对多条广域网链路优化资源利用。

LB插卡的工作方式与防火墙的类似，仍旧作为一个独立的设备运行。通过传统的三层

方式与交换机或下游设备相连。可以通过静态路由和缺省路由实现三层互通，也可以通过

OSPF这样的路由协议供应动态的路由机制。

SecBladeLB在数据中心出口的部署

如图所示，在数据中心出口区域，LB插卡可以与宿主交换机连接三层连接关系，也可

以干脆和下游设备如防火墙等建立三层连接关系。这取决于用户的实际需求，前一种方式可

以供应更敏捷的路由限制策略，而后一种方式可以简化组网的困难结构（例如：假如经LLB

下行的流量都要通过防火墙的平安爱护，那么可以将防火墙干脆作为LLB的下一跳设备）。

须要留意的是，在双机热备的组网环境中，两块LLB的出口配置必需相同，这样才能保

证业务切换后能正常运行。

ITT

如图所示，在数据中心服务器区，LB供应了服务器的负载均衡实力。我们可以将LB插

卡作为服务器的网关设备，这样全部的服务器流量都需经过LB设备。也可以将服务器网关

放置在交换机上，LB设备通过路由方式访问服务器群，这样的部署方式可以敏捷限制LB对

服务器的访问。

.组合部署

在数据中心服务器区IPS+FW+SLB的部署主要有以下四种方式：

组网一组网二组网三组网四

非IRFIRF

♦IPS假如须要爱护全部流量可以部署在前端，假如仅须要爱护部分关键区域的业务可以

放置在FW后面。

♦SLB可以作为服务器网关设备部署，假如服务器间还须要更严格的防护策略可以将防火

墙部署在SLB下端作为服务器的隔离设备。

♦通过IRF堆叠技术还可以进一步简化组网结构，提高管理维护和配置成本，是目前的流

行部署方式。

本方案的举荐采纳组网四方案，组网逻辑拓扑如下图所示：

FW

IPS

SLB

o

oVLANll

eVLAN15

oVLAN12

oVLAN13

VLAN20555.0

一双机热备心跳线

在本案例组网设计中，接入交换机和平安插卡都为双机部署，运用0SPF动态路由协议。

交换机通过IRF方式增加牢靠性和管理性，FW插卡与上游设备建立三层连接关系，供应平

安爱护功能。SLB插卡与接入交换机建立三层连接关系，同时对下做为服务器网关设备供应

服务器负载均衡功能。

3.6.QoS设计

3.6.1.QoS设计原则

XX集团网络整网QoS设计遵循以下的原则：

♦正常状况下QOS是通过带宽来保证的。换句话说，即在网络带宽足够高的状况下,

不须要QOS机制。当带宽利用率达到60%可考虑扩容；

♦网络设备的容量不能成为瓶颈；

♦网络/链路故障或网络拥塞状况下Q0S策略生效；

♦任何时候都优先保