数据中心设备方案.pdf

上传人:索**** 文档编号:76196109 上传时间:2023-03-08 格式:PDF 页数:27 大小:1.51MB
返回 下载 相关 举报
数据中心设备方案.pdf_第1页
第1页 / 共27页
数据中心设备方案.pdf_第2页
第2页 / 共27页
点击查看更多>>
资源描述

《数据中心设备方案.pdf》由会员分享,可在线阅读,更多相关《数据中心设备方案.pdf(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、XX数据中心项目设计方案Jrunion Technology Co.,Ltd.目录1.文档介绍.3 1.1.文档目的.3 1.2.文档范围.3 1.3.读者对象.3 2.数据中心总体规划.3 2.1.规划原则.3 3.业务功能区域划分.4 4.业务系统.4 5.数据中心整体架构.5 5.1.数据中心核心设备.6 5.2.数据中心接入层设备.6 5.3.数据中心内的网络连接.8 6.全网路由规划.9 6.1.总体网络拓扑结构.9 6.2.路由协议设计.9 6.3.网络核心区网络设计.10 6.4.业务区网络设计.11 7.全网安全策略规划.11 7.1.SERVER FARM 关键业务区防火墙部

2、署设计.12 7.2.SERVER FARM 普通业务区防火墙部署设计.16 7.3.SERVER FARM 业务区防火墙POLICY设计.18 7.4.SERVER FARM 业务区防火墙安全参数设计.19 7.5.SERVER FARM 区防火墙管理设计.19 8.关键业务的保障规划.19 8.1.多网卡服务器的业务保障.19 8.2.重要区域的虚拟服务器业务保障.20 9.网络设备安装规划.20 9.1.网络设备命名.20 9.2.设备安装注意事项.21 9.3.网络设备软件版本建议.22 9.4.设备管理安全控制.22 10.案例.24 10.1.泛欧证交所.24 10.2.渣打银行.

3、25 10.3.深圳发展银行.25 10.4.南华期货.26 10.5.中国农业银行.26 10.6.中国建设银行.27 10.7.中国人寿.27 10.8.新时代证券.27 1.文档介绍1.1.文档目的本文档是XX公司信息化基础设施提升数据中心及网络平台建设项目的工程施工文件,依据集团规划要求,进一步细化设计了数据中心的网络、网络安全等部分详细规划内容,分配了网络设备资源,为后续的工程实施和运维维护打下基础。1.2.文档范围本文档主要内容包括总体规划、网络资源分配、安全规划设计等部分。1.3.读者对象本文档主要面向负责设计和实施工程信息化基础设施提升数据中心及网络平台建设项目的网络设计人员、

4、维护人员、系统集成商网络工程师、技术人员(项目工程师,项目经理、系统工程师)等。2.数据中心总体规划2.1.规划原则本规范是根据现有的环境以及目前XX 集团业务对网络基础架构的需求而制定的。本规范的制定遵循以下基本原则:2.1.1.统一性数据中心网络结构的构建、网络规划和网络管理都建立在“一个整体”的基础之上。整体网络的设计和建设都是基于对XX的应用、数据流和用户访问的全面理解。2.1.2.标准性网络规范遵循业界公认的标准制度一个高兼容性网络结构,确保设备、技术的互通和互操作性,方便快速部署新的产品和技术,以适应业务的快速增长。2.1.3.安全性网络安全同时考虑生产系统和办公系统数据的完整和安

5、全。网络结构需要具有支持整套安全体系实施的能力,以确保用户、合作伙伴和员工生产、办公的安全。2.1.4.可靠性网络结构必须能够达到/超过业务系统对服务级别的要求。通过多层次的冗余连接考虑,以及设备自身的冗余支持使得整个架构在任意部分都能够满足业务系统不间断的连接需求。2.1.5.可扩展性网络结构在功能、容量、覆盖能力等各方面具有易扩展能力,以适应快速的业务发展对基础架构的要求。2.1.6.易管理性网络结构采用分层模块化设计,同时配合整体网络/系统管理,优化网络/系统管理和支持维护。3.业务功能区域划分1 核心业务区域为整个集团提供核心服务的硬件支撑环境和核心应用、数据库服务,主要的硬件包括核心

6、应用服务器、数据库服务器等。2 基础业务区域主要提供支持整个企业信息系统的基础服务,如内部邮件服务器、CA服务器和文件服务器等。非核心服务的硬件支撑环境和应用、数据库服务,主要的硬件包括应用服务器、数据库服务器等3 开发测试区域提供应用系统上线前的测试和开发,主要包含两类服务器:即测试服务器和开发服务器,在测试服务器的硬件配置方面采用和生产服务器相同操作系统的服务器设备。4 监控及运维管理区域为基础环境提供统一管理和维护的区域,这个区域的服务器主要是系统管理服务器和网管服务器。5 数据存储区域此区域部署企业存储设备和备份设备。4.业务系统业务系统名称服务端口应用模式业务描述1 XX业务B/S

7、or C/S 2 3 4 5.数据中心整体架构根据现在机房的布局,新机房整体分布在2 个区域。机房一有6 列服务器机柜,每列有12 个服务器机柜和一个弱电列头柜;机房二有1 列总配线机柜和5 列服务器机柜,每列有12 个服务器机柜和一个弱电列头柜。机房一业务区域服务器机柜列A 核心业务区域服务器机柜列B 核心业务区域服务器机柜列C 保留未分配服务器机柜列D 保留未分配服务器机柜列E 基础业务区域服务器机柜列F 基础业务区域机房二业务区域总配线机柜骨干网络设备区域服务器机柜列G 数据存储区域服务器机柜列H 保留未分配服务器机柜列I 开发测试区域服务器机柜列J 监控及运维管理区域整体以层次化结构设

8、计,万兆主干的基础上,给服务器设备提供具备万兆接入的接入层设备。整个布线系统采用开放式线槽上走线方式,线槽布置在机房内的热通道上方。机房内每排机柜设1 台列头配线柜。整个布线系统采用万兆光纤及六类非屏蔽布线系统,从网络列头柜至每台服务器机柜敷设12 根双绞线及12 对万兆多模光纤。从总配线机柜至每台网络列头柜敷设12 根六类非屏蔽双绞线及12 对万兆多模光纤、至每台服务器机柜敷设12 对万兆多模光纤。数据中心需要连接集团总部已有网络的广域网出口交换机、Internet出口交换机、原数据中心核心交换机。5.1.数据中心核心设备5.1.1.核心网络交换机在核心机房二的在总配线区,1 列机柜内,部署

9、两台EX8216交换机万兆双核心,各配置80 个线速万兆提供10列业务服务器机柜的网络连接。网络核心区:作为XX 数据中心网络的核心,为服务器接入网络、互联网区、园区网络、备份中心网络提供高速的路由交换功能,核心由2 台核心交换机构成其中:a两台均部署在数据中心的核心总配线区;b两台核心之间采用2 条 10G链路互连;核心交换和防火墙设备部署图:1 2 3 4 EX8216-1 5 6 EX8216-2 7 8 9 10 A 强电5.2.数据中心接入层设备5.2.1.接入区网络交换机数据中心的服务器接入区的列头交换机采用列末“End-of-Row”方式部署,由10 台 EX8208分别作为每列

10、服务器机柜的业务接入。每台 EX8208提供了 128 个万兆接口,其中近 120 个可作为业务接入,8 个线速万兆接口作为上行链接。同时配置的3 块 48 口千兆接口卡可提供144 个千兆级业务服务器接入。这样EX8208还空余一个槽位,可适时提供40 个万兆或48 个千兆接口卡的扩展。服务器区网络通过接入层交换机接入网络核心。其中,接入与核心之间均采用4 个 10G互连(一台接入交换机分别用 2 个 10G捆绑上行连接到两台不同的核心交换机),接入与核心采用全网OSPF设计模式。5.2.2.服务器接入区网络防火墙在核心业务区域和基础业务区域,每列服务器的接入交换机都会旁挂一台SRX3600

11、防火墙作为区域的防火墙,提供本区域内业务互访及对其他区域访问的安全隔离与控制。对于需要进行安全控制的业务可直接将网关部署在防火墙 SRX上,而无需通过SRX防火墙的业务,可直接将网关部署在交换机EX8208上。在开发测试区域,监控及运维管理区域,数据存储区域以及保留的H列服务器机柜,每两个业务接入区将共享旁挂一台SRX3600作为区域的防火墙。为保证两个业务接入区通过一台SRX防火墙进行安全隔离时相互不受影响,在 SRX3600防火墙上将部署虚拟化方式进行业务的隔离,不同区域的业务将不受影响,相互之间不会通过SRX防火墙互通。核心业务区域和基础业务区域列头交换机和汇聚防火墙设备部署图:A 1

12、EX8208 2 SRX3600 3 4 5 6 7 8 9 10 11 12 13 A 强电B 1 EX8208 2 SRX3600 3 4 5 6 7 8 9 10 11 12 13 B 强电E 1 EX8208 2 SRX3600 3 4 5 6 7 8 9 10 11 12 13 A 强电F 1 EX8208 2 SRX3600 3 4 5 6 7 8 9 10 11 12 13 B 强电开发测试区域,监控及运维管理区域,数据存储区域列头交换机和汇聚防火墙设备部署图:C 1 EX8208 2 SRX3600 3 4 5 6 7 8 9 10 11 12 13 A 强电D 1 EX820

13、8 2 3 4 5 6 7 8 9 10 11 12 13 B 强电G 1 2 3 4 5 6 7 8 9 10 11 12 13 A EX8208 SRX3600 强电H 1 EX8208 2 3 4 5 6 7 8 9 10 11 12 13 B 强电I 1 EX8208 2 SRX3600 3 4 5 6 7 8 9 10 11 12 13 A 强电J 1 EX8208 2 3 4 5 6 7 8 9 10 11 12 13 B 强电说明:由于出现两个业务区域不同列服务器机柜共享一台SRX防火墙系统,故上述业务区域将有一列布放汇聚防火墙,另有一列机柜位置为空。5.3.数据中心内的网络连接

14、区域机柜所在列服务器机柜数量列头柜数量(网络机柜)千兆电口数量/每机柜千兆光口数量/每机柜万兆光口数量/每机柜总配线区(网络核心区)96 96 80 服务器接入区1 12 1 12*8 12*4 12*8+8 2 12 1 12*8 12*4 12*8+8 3 12 1 12*8 12*4 12*8+8 4 12 1 12*8 12*4 12*8+8 5 12 1 12*8 12*4 12*8+8 6 12 1 12*8 12*4 12*8+8 7 12 1 12*8 12*4 12*8+8 8 12 1 12*8 12*4 12*8+8 9 12 1 12*8 12*4 12*8+8 10

15、12 1 12*8 12*4 12*8+8 6.全网路由规划6.1.总体网络拓扑结构数据中心网络建成后由网络核心区域、业务区域组成,整体架构采用双星型连接的网络拓扑结构,核心层采用2 台 Juniper的高端路由交换机EX8216 提供全网的快速路由交换,业务交换机采用Juniper的高端路由交换机EX8208提供服务器的高速接入,业务区交换机通过多链路双上连到网络核心区交换机提供高可靠性的网络连接。数据中心安全设备采用Juniper万兆高端防火墙SRX3600,在 5 个业务区各部署SRX3600防火墙,对进入相关区域的流量进行有选择的过滤。其中核心业务和基础业务区,每列服务器各一台SRX3

16、600防火墙,两列之间采用主备方式,在开发测试区域,监控及运维管理区域,数据存储区域以及其他预留区域,每两列服务器共用一台SRX3600防火墙。6.2.路由协议设计根据网络的优化设计策略,在选择及规划路由协议时需要按照这些因素进行考虑和设计。目前常用的路由协议有多种,有静态和动态两种,静态相对简单动态路由协议相对复杂,如RIP、IGRP、EIGRP、OSPF、IS-IS、BGP等等。一般来说分为:内部网关路由协议和外部网关路由协议。其中内部网关路由协议又可以分为:距离矢量路由协议(RIP、IGRP和 EIGRP);链路状态路由协议(OSPF和 IS-IS等)。外部网关路由协议主要指的是BGP路

17、由协议。在 IGP 路由协议的选择上,距离矢量路由协议主要特点是适合于小型网络,路由收敛较慢,可能会形成路由环路,链路带宽消耗较大等。IGRP、EIGRP是厂商私有的路由协议,所以尽量不要采用扩展性差的(RIP)和厂家的私有路由协议(IGRP和 EIGRP),尽量采用OSPF 或 IS-IS。基于对于XX集团网络和路由协议分析,可适合使用动态路由协议与静态路由协议相结合的方式(即核心交换区交换机与业务区交换机之间启用动态路由,防火墙与交换机之间用静态路由),进行网络路由的自适应调节。动态路由协议使用OSPF,使用 OSPF路由协议有以下优点:Servers Area 01Servers Are

18、a 02Servers Area 10Servers Area 09EX 8208 _01EX 8208_02EX 8208_09EX 8208_10EX 8216_01EX 8216 _02SRX3600_QY_1业务区域1SRX 3600_QY_5业务区域5网络核心区业务区域1OSPF路由协议使用链路状态触发更新机制,本地进行路由的计算。网络一旦产生故障,网络收敛时间短,可以迅速恢复网络通讯。2对网络地址规划的依从性上看,OSPF协议支持VLSM的路由广播方式。可以实现IP 地址的详细规划和更合理的利用。3OSPF协议使用链路触发更新机制,在网络收敛时,只发送相关链路状态信息,在设备本地进

19、行路由表的重新计算。发送数据量小,带宽占用量低。4OSPF协议可实现多路径的流量负载均衡,在网络的结构中,可以按照实际需求实现流量分配。5OSPF协议是一个结构化,层次分明的路由协议。适合数据中心的结构环境,同时,在网络扩展的过程中,可以实现网络模块的隔离,减少故障影响范围。6OSPF协议是国际标准的路由协议,所有主流厂商均可以实现在多厂商不同的设备上,通过 OSPF协议实现网络的联通。选用OSPF 协议,可以避免以后网络扩容升级的局限性。根据 XX集团的数据中心架构我们设计数据中心内部的所有交换机都在一个OSPF区域内,EX8216和 EX8208运行 OSPF的接口包括交换机的互联接口、业

20、务网关和交换机连接防火墙的3 层接口。考虑到防火墙作为安全防护设备,出于“简化结构,提高可管理性”的考虑,防火墙不参与OSPF,只与交换机互指静态路由,通过交换机重分布方法把静态路由发布到OSPF域内。OSPF 规划如下图:6.3.网络核心区网络设计核心层是数据业务流动的动脉,同时还担负着业务流动的总调度任务。核心网从功能上来看包括几个方面:1、为数据中心内互联提供高速路由,实现核心数据高速交换;2、实现数据中心系统管理;3、实现数据中心与外网的高速连接,实现全网数据中心业务资源共享;因而在核心层网络的整体结构上,我们与各个业务区用全互联的网络拓扑作为目前的连接方式,每台EX8216与业务区的

21、EX8208用 2 条万兆光纤互联,采用链路捆绑技术加大带宽利用率。如下图:6.4.业务区网络设计通过在业务区交换机上对应全网的安全结构划分VLAN,以有效保证网络业务的安全性,并对可能出现的网络病毒和攻击进行逻辑上的隔离。为了保证数据中心内部的大容量交换,每台EX8208交换机用 2 条万兆光纤链路通过链路捆绑上联到EX8216,目前设计的两台交换机负载均衡。如日后需要设置主次关系,如主用设备为EX8216-1,为了防止次优路径产生,可通过对EX8208上联链路 COST值调整,使流量主走EX8216-1 交换机,当EX8208 上联链路发生故障时候可以通过OSPF算法自动把流量切到EX82

22、16-2 上。EX8208上联 EX8216-1 链路的 COST 建议值为100,EX8208上联 EX8216-2 的链路 COST 建议值为100。EX8216-1 与 EX8216-2 的互联链路COST 建议值为50。EX8208-1 与 EX8208-2 的互联链路COST 建议值为20。每个业务区部署一台SRX3600汇聚防火墙,根据业务保护的需求,如果应用需要进行安全防护的业务则将网关设置在汇聚防火墙SRX3600上,如果不需要安全防护则将网关设置在EX8208 上(详细设计可参考“安全策略规划章节”,EX8208 与 SRX3600之间链路设置为TRUNK 模式,然后根据需要

23、把相应的不同安全需求的VLAN的 3 层接口配置到 EX8208或 SRX3600上。为了能让穿越业务区汇聚防火墙的数据返回EX8208交换机,需要在每个业务区防火墙与EX8208之间有 3 层连接,防火墙上通过静态路由把数据返回给EX8208。7.全网安全策略规划防火墙在网络中起到了区域隔离,安全控制的作用。在网络中通过部署防火墙可以达到访问控制和网络攻击防范的目的。EX 8216-1EX 8216-2EX 8208核心区防火墙负责控制本地数据与外网数据的交互,是本数据中心与其他数据中心互访流量的必经之路。考虑到 XX 网络整体结构中已部署多重安全保障策略,故在本数据中心的核心位置不再部署防

24、火墙安全系统,减少网络流的中间环节,重要业务的安全保障由各业务区域考虑防护。整体安全由集团网络总出口的安全平台进行统一防护。SERVER FARM 区由大量服务器组成,服务器连接到列头柜交换机EX8208,通过 EX8208连接核心交换机,在 EX8208交换机上旁挂SRX防火墙的连接结构。在本数据中心,核心业务区和基础业务区作为SERVER FARM 中的关键业务区,每个区域部署两台防火墙,分别在每个列头柜交换机EX8208上旁挂一台SRX防火墙。每类关键业务区域各占据两列业务机柜,连接方式参考“服务器接入区网络防火墙”部分的介绍。开放测试区、系统管理区、数据存储区为普通业务区,各业务区服务

25、器连接到列头柜交换机EX8208,通过 EX8208连接核心交换机。每两个业务区的选取其中一列的EX8208 交换机上旁挂一台SRX防火墙,连接方式参考“服务器接入区网络防火墙”部分的介绍。7.1.SERVER FARM 关键业务区防火墙部署设计核心业务区和基础业务区作为SERVER FARM 中的关键业务区,每个区域部署两台防火墙,在每个列头柜交换机EX8208上旁挂一台SRX防火墙。A 1 EX8208 2 SRX3600 3 4 5 6 7 8 9 10 11 12 13 A 强电B 1 EX8208 2 SRX3600 3 4 5 6 7 8 9 10 11 12 13 B 强电E 1

26、 EX822 SRX33 4 5 6 7 8 9 10 11 12 13 A 强电08 600 F 1 EX8208 2 SRX3600 3 4 5 6 7 8 9 10 11 12 13 B 强电7.1.1.HA设计为保障网络的高可用性,采用主/备模式对关键业务区防火墙进行部署。SRX防火墙采用控制和转发分离的架构设计,在HA部署时对应为控制平面和转发平面,因此需要两条心跳线:CONTROL LINK 和 DATA LINK,CONTROL LINK负责控制平面的数据同步,配置数据的同步和机箱管理进程等数据均通过CONTROL LINK 传输。DATA LINK 负责转发平面的数据同步,防火

27、墙会话状态的同步在DATA LINK 上传输。防火墙的HA设计为主/备方式,控制平面和转发平面在同一台防火墙上为ACTIVE状态,另一台防火墙为STANDBY 状态,当发生如下故障时执行防火墙切换:故障场景动作备注电源故障执行 FAILOVER 电源数量小于系统要求时连接核心交换机接口同时DOWN 任一条执行 FAILOVER 设置防火墙互联接口权重等于128 SPC板卡故障执行 FAILOVER RE故障或 SFB故障执行 FAILOVER NPC板卡故障执行 FAILOVER NPC关联的接口配置了MONITOR 7.1.2.防火墙 ZONE 设计防火墙面向内部业务网络的接口划入TRUST

28、 ZONE,面向外部网络的接口划入UNTRUST ZONE。7.1.3.防火墙接口互联设计SRX防火墙通过两个万兆端口双链路连接至EX8208交换机,两个端口分别放入TRUST和 UNTRUST ZONE,实现内、外网络的区域隔离。该区域SRX3600每台需要2 个万兆接口。Trust 接口配置为需要安全保护的业务vlan 的三层网关,负责需要保护的业务网段三层终结。Untrust接口对应为一个三层网络接口,直接与两台EX8208交换机 VRRP 后的三层地址互联。在交换机之间使用两条万兆链路配置LAG以实现接口捆绑,LAG内承载多个vlan 流量,负责三部分业务连接。1,Trust zone

29、内的保护vlan 段;2,Untrust zone 内的三层网络互联vlan,由于防火墙需要HA互联,则两台防火墙需要通过交换机与在一个 vlan 内互通;3,EX8208之间的三层互联接口,可提供OSPF互联保障,以实现网络的三层冗余保护。在本类业务区,各服务器列的SRX3600防火墙需通过两对光纤链路连接临近服务器列的SRX3600防火墙,各服务器列的EX8208需通过两对光纤链路连接临近服务器列的EX8208交换机,总数需4 对互联光纤。7.1.4.访问控制方式由于不同服务器的业务区别,其所要求的安全保护等级也不同,在本方案设计中,定义了两类服务器:一类是高安全级别服务器,这类服务器的所

30、有流量需要穿越SERVERFARM防火墙以得到安全保护。另一类是低安全级别服务器,这类服务器的访问数据不需要受到业务区防火墙的安全保护,直接穿越EX8208 交换机到达核心层,以得到更优的访问路径和传输效率。根据上述业务分解,在关键业务区域的业务可分为4 类:业务分类连接位置安全保护要求防火墙冗余保护业务网关位置业务 1 类EX8208-1 无-EX8208-1 业务 2 类EX8208-2 无-EX8208-2 业务 3 类EX8208-1 EX8208-2 无-EX8208-1 主EX8208-2 备业务 4 类EX8208-1 有有SRX3600-1主 SRX3600-2备EX8208-

31、2 有有SRX3600-1主 SRX3600-2备EX8208-1 EX8208-2 有有SRX3600-1主 SRX3600-2备上述设计是通过在不同级别的服务器上设置不同网关地址得到,对于低安全级别服务器,将网关地址指向EX8208的三层 VLAN接口地址,EX8208通过查询OSPF路由直接将报文转发至目的网络。对于高安全级别服务器,将网关地址指向SRX防火墙的TRUST接口地址,此时EX8208只起到二层透传的作用,在SRX防火墙上使用默认路由,下一跳指向EX8208与 SRX互联子接口的三层地址;同时在EX8208上需要回指静态路由将高安全级别服务器网段指向防火墙UNTRUST 子接

32、口地址,并将静态路由再发布到OSPF中。在防火墙上根据访问需求配置安全策略和防攻击参数。7.1.5.SERVER FARM 关键业务区的可靠性对于核心业务区域和基础业务区域部分,由于每列机柜目前只有一台接入列头交换机,单列服务器目前存在一定的单点故障,如果在该区域考虑部署双机或虚拟服务器的方式提供业务的可靠性,可将双机或虚拟服务器的不同物理硬件设备布放到不同的机柜列。针对这类在区域内不同机架(即不同的EX8208接入)有同一个业务vlan 时,业务流会如下图所示。如上图,在两列机柜内部署相同的业务网段,服务器连接到本列的接入交换机,两台接入交换机之间可同时提供业务 vlan 的连接。需防火墙安

33、全隔离的为VLAN-X,网关部署在防火墙SRX3600上,SRX3600-1为主,SRX3600-2为备用;而无需防火墙安全防护的为VLAN-Y,EX8208-1 为主用,EX8208-2 为备用。关键业务通过这种方式,任意一台服务器,接入交换机,防火墙或链路出现故障,均可在一定程度上保障业务的可靠性。当交换机相关板卡或端口以及主防火墙链路故障时,如下图:VlanX 的业务流将转移到右侧交换机/防火墙进行转发。32Copyright?2009 Juniper Networks,I Server Farm 多物理服务器连接-链路切换EX8208-2SRX3600-1PROTECTED SERVE

34、RUNPROTECTED SERVERL2 interfaceL2 interface+SVIL3 subinterface-untrustL3 subinterface-trustOSPFEX8208-1PROTECTED SERVERUNPROTECTED SERVEROSPFSRX3600-2VlanXVlanXMasterBackupVlanYVlanYMasterBackupChannel+trunk+vrrp当主防火墙设备故障时,如下图:VlanX 的业务流将转移到右侧交换机/防火墙进行转发。33Copyright?2009 Juniper Networks,I Server Fa

35、rm 多物理服务器连接-设备切换EX8208-2SRX3600-1PROTECTED SERVERUNPROTECTED SERVERL2 interfaceL2 interface+SVIL3 subinterface-untrustL3 subinterface-trustOSPFEX8208-1PROTECTED SERVERUNPROTECTED SERVEROSPFSRX3600-2VlanXVlanXMasterBackupVlanYVlanYMasterBackupChannel+trunk+vrrp对于该类业务区,只在单列机柜内部署的业务服务器也可通过上述方式进行连接和部署,提

36、供防火墙及出口链路的可靠性。但由于单列机柜内部署的限制,接入交换机EX8208相连接口/板卡,甚至整机出现故障的情况下,仍然会出现单点故障无法避免的情况。7.2.SERVER FARM 普通业务区防火墙部署设计开放测试区、系统管理区、数据存储区为普通业务区,各业务区服务器连接到列头柜交换机EX8208,通过 EX8208连接核心交换机。每两个业务区的选取其中一列的EX8208交换机上旁挂一台SRX防火墙。开发测试区域,监控及运维管理区域,数据存储区域列头交换机和汇聚防火墙设备部署图:G 1 SRX3600 2 EX8208 3 4 5 6 7 8 9 10 11 12 13 A 强电H 1 2

37、 EX8208 3 4 5 6 7 8 9 10 11 12 13 B 强电I 1 SRX3600 2 EX8208 3 4 5 6 7 8 9 10 11 12 13 A 强电J 1 2 EX8208 3 4 5 6 7 8 9 10 11 12 13 B 强电7.2.1.防火墙 ZONE 划分SRX防火墙基于ZONE 的概念区分安全隔离域,对于跨越不同ZONE 之间的访问流量,需要定义安全策略允许流量穿越。定义面向服务器方向的接口属于TRUST ZONE,面向核心交换机方向接口属于UNTRUST ZONE。7.2.2.防火墙接口互联设计该区域 SRX3600每台需要4 个万兆接口,SRX逻

38、辑上虚拟出两个路由区域,分别负责不同业务区域(对应各列EX8208)的业务连接与防护。每个虚拟区域各有两个万兆接口。(注:考虑到I/J列业务等级相对较低,该区域的防火墙配置2 个万兆接口,I/J列各连接一个万兆接口。)SRX防火墙通过两个万兆端口双链路连接至单台EX8208交换机,两个端口分别放入TRUST和 UNTRUST ZONE,实现内、外网络的区域隔离。Trust接口配置为多个子接口,每个接口为一个业务vlan 的三层网关,负责需要保护的业务网段三层终结。Untrust接口配置为三层网络接口,直接与EX8208交换机三层连接。在本类业务区,未物理放置防火墙的服务器列交换机需通过两对光纤

39、链路连接临近服务器列的SRX3600。(J 列监控及运维管理区域交换机需一对光纤连接至I 列的防火墙。)7.2.3.访问控制方式由于不同服务器的业务区别,其所要求的安全保护等级也不同,在本方案设计中,定义了两类服务器:一类是高安全级别服务器,这类服务器的所有流量需要穿越SERVERFARM防火墙以得到安全保护。另一类是低安全级别服务器,这类服务器的访问数据不需要受到防火墙的安全保护,直接穿越EX8208 交换机到达核心层,以得到更优的访问路径和传输效率。业务分类连接位置安全保护要求防火墙保护业务网关位置业务 1 类EX8208-1 无-EX8208-1 业务 2 类EX8208-1 有有SRX

40、3600-1 上述设计是通过在不同级别的服务器上设置不同网关地址得到,对于低安全级别服务器,将网关地址指向EX8208的三层 VLAN接口地址,EX8208通过查询OSPF路由直接将报文转发至目的网络。对于高安全级别服务器,将网关地址指向SRX防火墙的TRUST接口地址,此时EX8208只起到二层透传的作用,在SRX防火墙上使用默认路由,下一跳指向EX8208与 SRX互联子接口的三层地址;同时在EX8208上需要回指静态路由将高安全级别服务器网段指向防火墙UNTRUST 子接口地址,并将静态路由再发布到OSPF中。在防火墙上根据访问需求配置安全策略和防攻击参数。7.3.SERVER FARM

41、 业务区防火墙POLICY设计防火墙POLICY起到对数据流的访问控制作用,在SERVER FARM 区,需要对高安全级别服务器的出入流量进行策略控制,策略配置如下:SRC ZONE DST ZONE SRC ADD DST ADD SRC PORT DST PORT LOG 7.4.SERVER FARM 业务区防火墙安全参数设计在 SRX防火墙上可以设置多种安全参数以审查数据包的合法性、完整性以及判断是否为攻击流量,在SERVER FARM 区设计安全参数配置如下:参数状态TCP SYN-CHECK ON TCP SEQ-CHECK OFF SESSION LIMIT OFF TEAR D

42、ROP OFF SYN FLOOD OFF 7.5.SERVER FARM 区防火墙管理设计对设备通过各种方式进行管理可以起到监控状态、及时发现故障和统计分析的作用,本方案设计采用SYSLOG和 SNMP 两种协议对防火墙进行管理。SYSLOG 在防火墙中分为EVENT LOG 和 TRAFFIC LOG 两种,EVENT LOG 在设备状态改变、硬件或软件故障、配置变化时产生日志并发送到日志服务器。TRAFFIC LOG会在穿越防火墙的会话打开/关闭时记录会话信息,能够帮助网管人员进行统计分析和故障排查。SNMP 分为 GET,SET,TRAP三种操作,本方案设计只对SRX防火墙开放GET和

43、 TRAP两种操作,网管人员可以通过 GET方式从防火墙获取状态信息,当防火墙发生硬件故障、软件故障、状态变化时会主动发送TRAP消息到网管服务器。8.关键业务的保障规划8.1.多网卡服务器的业务保障对于部分服务器目前已配置多块网卡可提供多链路上行至接入交换机,目前可将不同网卡的上行链路连接到列头接入交换机的不同槽位板卡。这样无论服务器单块网卡或接入交换机的单块板卡,以及之间连接的链路出现故障,均可在一定程度上保证该服务器不会出现业务中断故障。例如数据库服务器(EXA-Data)该类服务器即可通过这种方式进行网络连接。但由于每列机柜目前只有台接入列头交换机,如需要进一步提供网络的可靠性,建议在

44、每列服务器机柜增加一台列头交换机。8.2.重要区域的虚拟服务器业务保障对于核心业务区域和基础业务区域部分,由于每列机柜目前只有台接入列头交换机,单列服务器目前存在一定的单点故障,如果在该区域考虑部署双机或虚拟服务器的方式提供业务的可靠性,可将双机或虚拟服务器的不同物理硬件设备布放到不同的机柜列。如上图,在两列机柜会部署相同的业务网段,服务器连接到本列的接入交换机,两台接入交换机之间共享VLAN。需防火墙安全隔离的为VLAN-X,网关部署在防火墙SRX3600上,SRX3600-1 为主,SRX3600-2为备用;而无需防火墙安全防护的为VLAN-Y,EX8208-1 为主用,EX8208-2

45、为备用。通过这种方式,任意一台服务器,接入交换机,防火墙或链路出现故障,均可在一定程度上保障业务的可靠性。9.网络设备安装规划9.1.网络设备命名9.1.1.设备命名规则为便于进行网络故障诊断和远程监测,将统一全辖网络设备的命名。设备命名规则将采用字母与数字结合的方法,采用等长命名规则,字段分隔符为“_”(下划线),具体规则为:字段 1_字段 2_字段 3_字段 4_字段 5 各字段含义如下:字段 1 楼层名称:SHC2 字段 2 机架所在列标识:A,B.字段 3 设备用途名称:WLHX 字段 4 设备型号:EX8216 字段 5 管理 IP 地址后一位9.1.2.命名示例网络核心区核心交换机

46、1 设备名称:SHC2_CORE_WLHX_EX8216_1 网络核心业务区交换机1 设备名称:SHC2_A_HXYW_EX8208_39.1.3.设备命名列表根据以上网络设备名称规则,按照以下表格形式,给出所有网络设备的名称,及相关用途和描述。序号设备名称设备型号所属区域1 SHC2_WLHX_EX8216_1 JuniperEX8216 网络核心2 SHC2_WLHX_EX8216_2 JuniperEX8216 网络核心3 SHC2_A_HXYW_EX8208_3 JuniperEX8208 核心业务区4 SHC2_B_HXYW_EX8208_4 JuniperEX8208 核心业务区7

47、 SHC2_C_EX8208_5 JuniperEX8208 C列保留8 SHC2_D_EX8208_6 JuniperEX8208 D列保留5 SHC2_E_JCYW_EX8208_7 JuniperEX8208 基础业务区6 SHC2_F_JCYW_EX8208_8 JuniperEX8208 基础业务区9 SHC2_G_SJCC_EX8208_9 JuniperEX8208 数据存储区10 SHC2_H_EX8208_10 JuniperEX8208 H列保留11 SHC2_I_KFCS_EX8208_11 JuniperEX8208 开发测试区12 SHC2_J_JKYW_EX8208

48、_12 JuniperEX8208 监控运维区13 SHC2_AB_HXYW_SRX3600_13_A JuniperSRX3600 核心业务区14 SHC2_AB_HXYW_SRX3600_13_B JuniperSRX3600 核心业务区15 SHC2_EF_JXYW_SRX3600_14_E JuniperSRX3600 基础业务区16 SHC2_EF_JXYW_SRX3600_14_F JuniperSRX3600 基础业务区17 SHC2_C_SRX3600_15 JuniperSRX3600 CD 列保留18 SHC2_G_SJCC_SRX3600_16 JuniperSRX360

49、0 数据存储区19 SHC2_J_KFCS_SRX3600_17 JuniperSRX3600 开发测试、监控运维区9.2.设备安装注意事项9.2.1.安装准备工作为了保证设备的顺利安装,安装准备工作应确认以下几点。在设备安装并固定之前,首先应对安装地点进行检查,确保安装地点是安全,干净,符合标准的场合,检查安装地点应考虑以下几点:所有设备安装地点应保证电源,空调,电路的准备,设备进风口应预留充足空间,以利于空气循环和过滤,设备前后面板应预留充足空间,以利于板卡的安装和路由器维护,温度和湿度应满足要求,避免电源线和板卡连线的交叉,检查电源供应适合设备要求,设备应充分接地。9.2.2.安装步骤现

50、场安装人员应该记录各项操作的结果。具体安装步骤请参考设备安装手册。步骤任务1 确认防静电程序2 准备和清理安装区域3 安装架准备就绪4 安装电源,接线板及保护接地5 设备拆除封箱6 设备安装上机架7 记录设备及板卡的序列号8 确认设备板卡及模块,安装在相应的机框内9 连接设备电源及保护接地10 连接机架内及机架间的通信电缆11 确认电缆连接相应的面板12 设备上电13 装载并确认操作系统14 配置网络设备15 完成硬件安装测试16 设备连接入网17 完成试运行测试18 完成安装记录9.3.网络设备软件版本建议设备型号软件版本Juniper EX8216 10.4R5.5 Juniper EX8

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 技术方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁