《云计算数据中心网络建设方案设计.doc》由会员分享,可在线阅读,更多相关《云计算数据中心网络建设方案设计.doc(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、云计算数据中心网络建设方案设计1.1网络总体规划131.2省级数据中心网络设计151.3市级数据中心网络设计161.4区县级数据中心网络设计171.5省、市、区/县数据中心互联设计181.5.1省、市数据中心互联181.5.2市、区/县数据中心互联191.5.3数据中心安全解决方案191.1网络总体规划数据中心网络的建设,需要考虑到以下的一些因素:系统的先进程度、系统的稳定性、可扩展性、系统的维护成本、应用系统和网络系统的配合度、与外界互连网络的连通、建设成本的可接受程度。网络整体设计采用国际通行的TCPIP协议,并达到以下目标:1)系统可靠性和稳定性作为高性能园区网络,系统的高可靠性和稳定性
2、是网络应用环境正常运行的首要条件。在保证系统可靠性的基础上,还要进一步提高系统的可用性。我们可以从以下几个方面来提供保证。 网络设备、主机系统具有很高的平均无故障时间,并且在业界有广泛的用户基础; 关键网络设备冗余工作,其关键部件可实现在线更换(热拔插),故障的恢复时间在秒级间隔内完成; 网络在设备、拓扑以及线路等方面均应具有较高的可靠性,以保证每周7*24小时,每年365*24小时的正常工作。2)开放性和标准化为了保证在网络时保证不同设备的互通性,所以网络系统在设计时必须采用开放技术、支持国际标准协议,具有良好的互连互通性,保证支持同一厂家的不同系列的产品以及与不同厂商的不同网络设备无缝连接
3、和互操作的能力。3)具有高处理能力、可扩展性现支持各种高速网络(快速以太网、千兆以太网、万兆以太网等技术),提高对数据包的转发能力和速度,提供足够的网络带宽。支持各种协议并存,可灵活地构成不同系统,并可方便地从拓扑的角度和设备的角度扩展,方便升级以满足将来业务增长的需要。在网络设计时,为了适应用户快速增长的需要,首先要满足现有规模网络用户和应用的需求,同时考虑未来业务发展、规模的扩大,应该设计关键网络设备具备扩展能力以及网络实施新应用的能力。灵活扩充性:灵活的端口扩充能力,模块扩充能力,满足网络规模的扩充。支持新应用的能力:产品具有支持新应用的技术准备,能够符合实际要求的,方便快捷地实施新应用
4、。4)系统的先进、成熟、实用性及可管理和可维护性当今世界,通信技术和计算机技术的发展日新月异,网络设计既要适应新技术发展的潮流,保证系统的先进性,也要兼顾技术的成熟性、实用性,选择最合适的设备和技术,降低由于新技术和新产品不成熟因素给用户带来的风险。在系统设计中,选择先进的系统管理软件是必不可少的。我们在这里采用我们通过这个统一的管理平台的控制,监控主机系统、网络系统、应用系统状态,简化管理工作,提高了主机系统和网络系统的利用效率。提供先进而完善的网络管理工具,监控网络故障,优化网络性能,实现一体化的网络管理。网络管理基于SNMP,支持RMON和RMON2。5)系统安全性和保密性现在我们网络内
5、接入的用户对网络的好奇心,促使会攻击我们内部网络,我们制订统一的安全策略,整体考虑网络平台的安全性,能够提供不同方式不同级别的安全策略,保证网络重要用户和数据服务器的安全性。所以说安全性是网络运行的生命线。合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护。网络可以阻止任何非法的操作;网络设备可进行基于协议、基于MAC地址、基于IP地址的包过滤控制功能,不同的业务,划分到不同的虚网中。6)保护用户现有投资及效益性在保证网络整体性能的前提下,网络设计充分保护用户投资及效益性,利用现有的网络设备或做必要的升级,在原设备的基础上,进行网络建设,避免用户投资的重复浪费,在满足用户需求和未来发
6、展的趋势情况下,采用性价比高的设备,构筑经济可靠的网络平台,使新系统更有效地承担繁重的任务,能支持将来系统的维护和平滑升级。所采用的设备应是当今业界的主流产品,采用主流技术、标准协议,具有良好的互操作性,减少设备互连的问题,网络维护的费用,使用户的投资得到有效保护。1.2省级数据中心网络设计对于省级数据中心,一般规划为大约五百台高性能服务器,在这种模式下,可以规划2-3层网络连接模式(下图为3层)如上图所示,一般情况下,大型数据中心采用2-3层网络结构,以3层结构为例,采用2台高性能Extreme Networks BD8800核心交换机,提供48个四万兆(40G接口),通过40G通道下联到汇
7、聚层Summit X670系列交换机。每台Extreme Networks Summit X670交换机提供48-60个万兆万兆接口,并提供四万兆接口上联,万兆下联Summit X460交换机,通过X460交换机使用千兆连接所有服务器。但是对于新型的大型数据中心,万兆网络连接已经成为主流,所以一般使用万兆连接服务器,则直接将网络简化为如下2层:万兆以太网技术目前已成为建设大中型数据中心网络的主流技术。为实现数据网络平台的功能,并考虑网络在性能、容量、扩展性、先进性和服务质量等方面的要求,经过对交换以太网、快速以太网、千兆以太网、万兆以太网不同网络架构在VLAN(虚拟局域网)技术、第三层或多层交
8、换技术、QoS、ACL等方面的性能表现及成本分析,确定将高密度端口的万兆以太网交换机作为整个信息网络的接入设备。通过将万兆以太网、千兆以太网、VLAN技术、三层路由交换、局域网中的QoS、ACL技术与投资经济性实现完美的有机结合,建立一个具有成熟的先进技术,同时又可简便维护和安全使用的网络。在省级网络设计中,我们最终推荐核心到接入交换机40G连接,接入到服务器10G连接。1.3市级数据中心网络设计 市级数据中心一般采用小于100台服务器,根据省级网络的建设设计,我们同样使用万兆进行连接,这里采用一台Summit X670系列交换机。每台Extreme Networks Summit X670交
9、换机提供64个万兆万兆接口,或者采用X670交换机堆叠,提供112个万兆端口,如下图所示:1.4区县级数据中心网络设计区县级数据中心,一般采用普通企业级服务器,不进行大规模数据集中,所以一般只适用千兆进行接入,所以采用两台千兆交换机Extreme Networks Summit X460进行互联,通过冗余备份设置,千兆连接内部所有服务器。1.5省、市、区/县数据中心互联设计对于大多数行业客户如医疗、教育或政府等,其数据中心不只为本地市提供数据交换和处理,同时各级数据中心之间还需要进行数据的远程交换和共享,从而充分发挥多级数据中心架构的优势,使各级数据中心协同工作、远程交换、数据共享和统一管理。
10、因此省、市、区/县数据中心的互联也势在必行。1.5.1省、市数据中心互联省数据中心由于数据量较大,需要同时汇聚地市一级数据中心,因此在省数据中心推荐配置两台MP7508作为核心汇聚路由器,并互为备份。MP7508汇聚路由器通过1000M光接口连接省数据中心核心交换机BD8800,再通过1000M MSTP或155M SDH/ATM网络分别连接各个地市数据中心上联路由器MP7204,地市上联路由器MP7204通过1000M光接口连接其核心交换机X670。由于MP7508和MP7204路由器的高性能,从而实现省、市数据中心的高速互联,其软/硬件高可靠性设计以及每个节点采用双机备份的方式,实现了数据
11、传输的高可靠性和稳定性;另外我们可采用MPLS等安全技术,进一步保证数据传输的安全性。1.5.2市、区/县数据中心互联根据不同的行业和应用,市数据中心与区/县数据中心之间数据流量不同,在数据流量较大的应用中,市数据中心采用MP7204中心汇聚路由器通过100M或1000M MSTP线路连接各个区/县数据中心MP3840汇聚路由器;对于数据流量较小的行业或应用,市数据中心MP7204可采用155M SDH线路,采用2M复用的方式连接各个区/县数据中心MP2824,区/县数据中心可根据实际带宽需求采用2M或N*2M链路捆绑方式接入市数据中心。同样为了提高互联的可靠性,地市汇聚路由器和区/县上联路由
12、器均采用双机双线路冗余备份方式,确保数据传输的高可靠性。1.5.3数据中心安全解决方案虽然数据中心处于一个相对安全的私有网络环境,不同级别的数据中心也可通过运营商专有线路进行互联互通,其内部数据中心和传输线路上有一定的安全保障。同时为提高数据中心的开放度和利用率,以及远程管理等,其势必要与外部网络或internet进行数据的互联互通,为外部或互联网用户提供数据业务和管理。因此在数据中心的边界需要充分考虑其接入和互联互通的安全性,需要有效的的边界隔离,可以实现对非法访问的阻断;其二是有效的身份识别与访问控制功能,可以实现对源地址的定位、识别和控制;其三是建立有效的对抗攻击能力,实现对异常流量、恶
13、意代码、有目标的渗透等情况的鉴别和防护;其四是建立深度应用识别与攻击检测,对应用数据包进行深度检测,防范欺骗;其五是可以实现业务间隔离与带宽资源控制,保障重要业务访问;其六是保护数据传输安全,防止数据被窃听和篡改;同时,还必须具有高可靠性的安全设备来防止由于高并发访问量、系统故障等突发情况而带来的访问不便。此外,由于边界是数据中心正常运行的重要节点,部署安全产品必须具有便于管理的特点,这就要求设备能够适应不同的网络环境,配置尽量简单方便,特征库能够自动升级,可以提供丰富的访问审计功能,能够对流量进行有效监控,能够提供丰富的攻击统计,使数据中心系统管理员能够充分掌握数据中心的安全态势,为不断地优
14、化安全策略提供依据。因此我们建议采用综合的安全网关作为数据中心边界接入和隔离,为其提供用户安全接入、抗攻击、入侵检测、防病毒、高性能VPN、带宽管理等综合安全解决方案,避免了采用多厂家多型号的安全产品而带来的管理和维护上的安全风险。以下为数据中心安全解决方案:在省、市、区/县数据中心边界,我们采用MSG4000综合安全网关作为外部移动用户、远程管理以及第三方平台等用户和平台的接入。MSG4000作为一款综合安全产品,可根据用户需求提供从100M到10G不同性能需求,省、市、区/县数据中心可根据实际需要选用不同性能层次的MSG4000;同时MSG4000在功能上可为客户提供安全防护、病毒过滤、入侵检测、应用识别、流量管理、WEB访问控制、上网行为管理以及IPSEC/SSL VPN等功能,满足客户整个安全防护的需求,从而避免了由于设备数量、种类较多带来的维护和管理上的不安全因素。