XX数据中心网络及安全方案建议书

《XX数据中心网络及安全方案建议书》由会员分享，可在线阅读，更多相关《XX数据中心网络及安全方案建议书（92页珍藏版）》请在装配图网上搜索。

1、XX数据据中心网网络及安安全方案案建议书书修订记录录： XX集团数据中心网络及安全方案建议书 目录一、建设设背景- 3 -1.1.数据中中心背景景介绍- 3 -1.2.XX集集团数据据中心建建设- 3 -二、需求求分析- 5 -2.1.应用系系统分析析- 55 -2.2.流量模模型分析析- 88 -2.3.带宽分分析- 9 -三、方案案规划与与设计- 111 -3.1.数据中中心网络络建设目目标- 11 -3.2.总体设设计思路路及原则则- 112 -3.3.业务分分区- 14 -3.4.网络设设计- 16 -3.4.1.核核心交换换区- 17 -3.4.2.服服务器接接入区- 199 -3.

2、4.3.互互联网区区- 220 -3.4.4.外外联网区区- 221 -3.4.5.广广域网接接入区- 222 -3.4.6.灾灾备接入入区- 22 -3.5.安全设设计- 24 -3.5.1.安安全设计计原则- 244 -3.5.2.SSecBBladde FFW插卡卡部署- 255 -3.5.3.SSecBBladde FFW+IIPS+LB组组合部署署- 227 -3.6.QoSS设计- 31 -3.6.1.QQoS设设计原则则- 331 -3.6.2.QQoS服服务模型型选择- 311 -3.6.3.QQoS规规划- 32 -3.6.4.QQoS部部署- 34 -3.7.数据中中心互联

3、联- 337 -3.8.新技术术应用- 399 -3.8.1.FFCoEE- 339 -3.8.2.虚虚拟机(VM)部署与与迁移- 411 -3.9.数据中中心管理理- 444 -3.9.1.数数据中心心管理设设计原则则- 444 -3.9.2.网网络管理理- 444 -3.9.3.网网络监控控- 447 -四、方案案实施- 500 -4.1.网络布布线建议议- 550 -4.1.1.走走线方式式的选择择- 550 -4.1.2.网网络配线线方式- 522 -4.1.3.服服务器接接入方式式- 553 -4.1.4.机机房布线线建议- 566 -4.2.VLAAN规划划- 556 -4.3.I

4、P地址址规划- 577 -4.4.路由规规划- 58 -4.5.业务迁迁移- 60 -五、设备备介绍- 611 -5.1.设备清清单- 61 -5.2.H3CC特色技技术介绍绍- 665 -5.2.1.IIRF虚虚拟化- 655 -5.2.2.网网络安全全融合- 677 -5.3.产品介介绍- 69 -一、 建设背景景1.1. 数据中心心背景介介绍数据中心心（英文文拼写DDataa Ceenteer，简简写DCC）是数数据大集集中而形形成的集集成ITT应用环环境，它它是各种种IT应应用服务务的提供供中心，是是数据计计算、网网络、存存储的中中心。数数据中心心实现了了安全策策略的统统一部署署，IT

5、T基础设设施、业业务应用用和数据据的统一一运维管管理。数据中心心是当前前各行业业的ITT建设重重点。运运营商、电电力、能能源、金金融证券券、大型型企业、政政府、交交通、教教育、制制造业、网网站和电电子商务务公司等等正在进进行或已已完成数数据中心心建设，通通过数据据中心的的建设，实实现对IIT信息息系统的的整合和和集中管管理，提提升内部部的运营营和管理理效率以以及对外外的服务务水平，同同时降低低IT建建设的TTCO。数数据中心心的发展展可分为为四个层层面：u 数据中心心基础网网络整合合：根据据业务需需求，基基于开放放标准的的IP协议议，完成成对企业业现有异异构业务务系统、网网络资源源和ITT资源

6、的的整合，解解决如何何建设数数据中心心的问题题。u 数据中心心应用智智能：基基于TCCP/IIP的开开放架构构，保证证各种新新业务和和应用在在数据中中心的基基础体系系架构上上平滑部部署和升升级，满满足用户户的多变变需求，保保证数据据中心的的持续服服务和业业务连续续性。各各种应用用的安全全、优化化与集成成可以无无缝的部部署在数数据中心心之上。u 数据中心心虚拟化化：传统统的应用用孤岛式式的数据据中心模模型扩展展性差，核核心资源源的分配配与业务务应用发发展出现现不匹配配，使得得资源利利用不均均匀，导导致运行行成本提提高、现现有投资资无法达达到最优优化的利利用、新新业务部部署难度度增大、现现有业务务

7、持续性性得不到到保证、安安全面临临威胁。虚虚拟化通通过构建建共享的的资源池池，实现现对网络络资源、计计算计算算和存储储资源的的几种管管理、规规划和控控制，简简化管理理维护、提提高设备备资源利利用率、优优化业务务流程部部署、降降低维护护成本。u 数据中心心资源智智能：通通过智能能化管理理平台实实现对资资源的智智能化管管理，资资源智能能分配调调度，构构建高度度智能、自自动化数数据中心心。1.2. XX集团团数据中中心建设设XX集团团的商业业用户分分布在全全国各大大城市，目目前业务务系统的的部署主主要集中中在和大大连，近近年来随随着XXX集团业业务的规规模及多多样化发发展，企企业对信信息化的的依赖程

8、程度越来来越高，数数据集中中、业务务7*224小时时高可靠靠支撑对对数据中中心的要要求越来来越高。经经综合考考虑，拟拟在新建建数据中中心，未未来数据据中心将将成为XXX集团团的主中中心，承承载所有有生产业业务系统统。数据据中心是是集团广广域网汇汇聚中心心，机房房内原则则上将不不放置服服务器。大大连数据据中心是是灾备中中心，主主要功能能是数据据异地备备份。此方案主主要涉及及数据中中心的网网络及安安全的设设计与部部署，并并实现与与、大连连的互连连！二、 需求分析析二、2.1. 应用系统统分析XX集团团目前的的应用系系统主要要包括生生产应用用、办公公应用和和基础支支撑三大大类，这这三大类类的服务务器

9、的数数量占比比如下图图所示：在三大类类应用系系统中，每每一类又又可以细细分为多多个子类类，不同同的子类类应用在在流量特特征、规规模和用用户访问问类型上上存在较较大的差差别，这这些将会会影响到到网络及及安全的的方案设设计，下下面将进进行进一一步的分分析：1. 生产应用用类u ERPu 百货u KTVu 院线u 酒店u 商管u 地产u 网站流量特征征分析：不同类类的应用用，其业业务负载载繁忙特特征也有有显著区区别，其其中百货货、KTTV、网网站应用用周末繁繁忙；院院线应用用周二、周周六和周周日繁忙忙。繁忙忙时段网网络流量量明显上上升，而而且受外外界因素素（如新新片上映映、节假假日促销销等）影影响，

10、存存在不确确定的突突发流量量。规模分析析：从服服务器的的数量上上统计，上上述各类类应用的的服务器器数量占占比如下下图所示示：总体来看看，院线线类服务务器的数数量最多多，其次次为网站站、百货货和KTTV。用户访问问分析：上述应应用的访访问用户户相对多多样化，包包括集团团内部员员工（如如ERPP）、集集团外部部用户（如如百货、KKTV）和和互联网网公众用用户（网网站、院院线）。2. 办公应用用类u OAu 视频会议议u 图档u 文件u 其它流量特征征分析：办公应应用类服服务器业业务负载载繁忙特特征比较较单一，繁繁忙时段段集中在在工作日日的8小小时内，流流量相对对较稳定定。视频频会议对对网络的的质量

11、要要求最高高，服务务质量（QQoS）要要充分考考虑。规模分析析：从服服务器的的数量上上统计，办办公各类类应用的的服务器器数量占占比如下下图所示示：总体来看看，OAA服务器器的数量量最多，其其次为视视频会议议。用户访问问分析：办公应应用的访访问用户户单一，均均为集团团内部用用户。3. 基础支撑撑类u 域和身份份认证u DNSu 防病毒u 网管u 桌面管理理流量特征征分析：基础支支撑类服服务器业业务负载载繁忙特特征比较较单一，繁繁忙时段段集中在在工作日日的8小小时内。部部分服务务器（如如防病毒毒）的流流量特征征取决于于网络管管理员的的策略。规模分析析：基础础支撑类类物理服服务器数数量不会会很多，未

12、未来可能能会部署署很多的的虚拟服服务器，因因此此类类服务器器对网络络的扩展展要求要要对相低低，在此此不再做做进一步步的规模模分析。用户访问问分析：办公应应用的访访问用户户单一，均均为集团团内部用用户。分析总结结：1. 生产应用用类服务务器的数数量最多多，而且且此类服服务器未未来随XXX业务务的发展展，规模模会越来来越多，因因此生产产应用类类服务器器的接入入要充分分考虑可可扩展性性；2. 生产应用用类服务务器的用用户访问问类型最最复杂，因因此要充充分考虑虑安全访访问策略略的设计计；3. 生产应用用类服务务器的流流量特征征最复杂杂，流量量最大，而而且突发发性最强强，因此此要充分分考虑网网络的缓缓冲

13、能力力；4. 办公应用用类业务务中，视视频会议议对网络络的传输输质量最最为敏感感，方案案设计要要给予充充分的QQoS和和带宽保保证。5. 三大类应应用系统统中，所所有业务务均为77*244小时运运行，因因此在网网络的设设计中要要保证高高可靠，设设备和链链路均采采用冗余余设计，对对于生产产类关键键业务，要要保证设设备和链链路故障障恢复时时间在毫毫秒（mms）级级，避免免设备和和链路故故障导致致业务服服务中断断。2.2. 流量模型型分析XX集团团数据中中心建设设完成后后，集团团的数据据访问流流量模型型如下图图所示：1. 未来三中中心的定定位：u 中心：XXX集团团广域网网络汇聚聚中心，各各地XXX

14、集团均均与中心心互连。但但中心原原则上不不部署业业务系统统服务器器，仅做做网络汇汇聚；u 中心：数数据中心心将做为为XX集集团的主主数据中中心，所所有业务务系统均均部署在在此数据据中心内内，承载载XX集集团所有有生产系系统；u 大连中心心：做为为数据中中心内业业务系统统的数据据备份中中心，对对关键生生产系统统的数据据进行灾灾备，原原则上不不部署业业务系统统服务器器。当主主中心内内的数据据遭到损损坏后，可可直接使使用大连连中心的的备份数数据。2. 对于集团团内部用用户（含含集团各各城市分分支机构构）通过过集团广广域网络络，在中中心进行行网络汇汇聚后，再再到数据据中心访访问业务务系统。如如上图中中

15、红色虚虚线数据据流所示示；3. 合作单位位用户通通过专线线直接与与数据中中心连接接，实现现对业务务系统的的直接访访问，无无需经过过中心。如如上图中中绿色虚虚线数据据流所示示；4. 公众用户户直接通通过Innterrnett访问数数据中心心的WEEB系统统，无需需经过中中心。如如上图中中紫色虚虚线数据据流所示示。5. 大连备份份中心与与主中心心直接相相连，数数据备份份流量无无需通过过中心，提提高数据据备份的的可靠性性与效率率，缩短短时延。考考虑到未未来的双双活扩展展与数据据的实时时同步，建建议大连连备份中中心与主主中心之之后采用用裸纤或或DWDDM互连连，避免免出现带带宽瓶颈颈。6. 大连中心心

16、与中心心现有的的互连线线路保持持不变，做做为数据据备份的的链路备备份。同同时未来来可将部部分集团团内业务务部署到到大连中中心，实实现负载载分担。2.3. 带宽分析析数据中心心内部的的服务器器接入及及局域网网络均采采用典型型的“千兆接接入、万万兆到汇汇聚”方式，部部分服务务器（如如FCooE服务务器等）直直接采用用万兆接接入，链链路带宽宽不会成成为瓶颈颈，保证证网络的的收敛比比即可，在在此不做做带宽分分析。带宽分析析主要考考虑数据据中心的的网络出出口，对对于数据据中心而而言，网网络出口口有以下下四个：1. 集团广域域网出口口：与中中心互连连，满足足集团内内所有员员工对业业务系统统的访问问。考虑虑

17、到可靠靠性，采采用双链链路（不不同运营营商）；2. Inteerneet出口口：满足足公众业业务系统统通过互互联网对对外提供供服务。考考虑到可可靠性，采采用双链链路（不不同运营营商）；3. 合作单位位专线出出口：与与合作单单位专线线互连，此此出口的的链路和和带宽取取决与合合作单位位，在此此不做分分析；4. 数据备份份出口：与大连连数据中中心互连连，实现现关键业业务的数数据备份份与同步步。考虑虑到未来来的双活活扩展与与数据的的实时同同步，建建议采用用裸纤或或DWDDM互连连。若采采用裸纤纤或DWWDM，带带宽不会会成为瓶瓶颈，因因此也无无需分析析。但要要保证高高可靠，建建议采用用不同缆缆的多个个

18、光纤实实现冗余余。根据XXX集团现现有业务务系统的的用户数数量分析析，对数数据中心心网络出出口带宽宽估算如如下：业务系统统集团广域域网出口口Inteerneet出口口ERP按10000用户户设计，每每个用户户20KKbpss带宽，合合计200MbppsN/A集团/百百货/院院线网站站群N/A假设：1. 单个页面面3000KB2. 用户等待待容忍时时间为110秒3. 峰值并发发增长率率，通常常取300%按20000个并并发用户户计算，带带宽需求求：20000*3000KBB*1330%/10=78MMB/ss=7880MbbpsOA/图图档/邮邮件/文文件共享享按10000用户户设计，每每个用户

19、户50KKbpss带宽，合合计500MbppsN/A视频会议议平均每路路2Mbbps，按按50个个城市（550路），占占用1000Mbbps带带宽N/A基础支撑撑类忽略N/A合计170MMbpss780MMbpss按照上述述数据的的初步估估算，对对数据中中心网络络出口链链路选择择建议如如下：1. 广域网出出口带宽宽为1770Mbbps，至至少采用用两条1155MM POOS链路路，满足足带宽需需求的同同时实现现链路冗冗余；2. 互联网出出口带宽宽为7880Mbbps，建建议采用用两条千千兆链路路出口（两两个运营营商）。(注：上上述数据据为经验验数据，仅仅供参考考！)三、 方案规划划与设计计三、

20、3.1. 数据中心心网络建建设目标标XX数据据中心未未来将XXX集团团承载所所有生产产环境系系统。数数据中心心网络作作为业务务网络的的一个重重要组成成部分，为为核心业业务系统统服务器器和存储储设备提提供安全全可靠的的接入平平台。网网络建设设应达成成以下目目标：高可用网络络作为数数据中心心的基础础设施，网网络的高高可用直直接影响响到业务务系统的的可用性性。网络络层的高高可用至至少包括括高可靠靠、高安安全和先先进性三三个方面面：u 高可靠：应采用用高可靠靠的产品品和技术术，充分分考虑系系统的应应变能力力、容错错能力和和纠错能能力，确确保整个个网络基基础设施施运行稳稳定、可可靠。当当今，关关键业务务

21、应用的的可用性性与性能能要求比比任何时时候都更更为重要要。u 高安全：网络基基础设计计的安全全性，涉涉及到XXX业务务的核心心数据安安全。应应按照端端到端访访问安全全、网络络L2-L7层层安全两两个维度度对安全全体系进进行设计计规划，从从局部安安全、全全局安全全到智能能安全，将将安全理理念渗透透到整个个数据中中心网络络中。u 先进性：数据中中心将长长期支撑撑XX集集团的业业务发展展，而网网络又是是数据中中心的基基础支撑撑平台，因因此数据据中心网网络的建建设需要要考虑后后续的机机会成本本，采用用主流的的、先进进的技术术和产品品（如数数据中心心级设备备、CEEE、FFCoEE、虚拟拟化支持持等），

22、保保证基础础支撑平平台510年年内不会会被淘汰汰，从而而实现投投资的保保护。易扩展XXX集团的的业务目目前已向向多元化化发展，未未来的业业务范围围会更多多更广，业业务系统统频繁调调整与扩扩展再所所难免，因因此数据据中心网网络平台台必须能能够适应应业务系系统的频频繁调整整，同时时在性能能上应至至少能够够满足未未来510年年的业务务发展。对对于网络络设备的的选择和和协议的的部署，应应遵循业业界标准准，保证证良好的的互通性性和互操操作性，支支持业务务的快速速部署。易管理数据据中心是是IT技技术最为为密集的的地方，数数据中心心的设备备繁多，各各种协议议和应用用部署越越来越复复杂，对对运维人人员的要要求

23、也越越来越高高，单独独依赖运运维人员员个人的的技术能能力和业业务能力力是无法法保证业业务运行行的持续续性的。因因此数据据中心需需要提供供完善的的运维管管理平台台，对数数据中心心IT资资源进行行全局掌掌控，减减少日常常的运维维的人为为故障。同同时一旦旦出现故故障，能能够借助助工具直直观、快快速定位位。3.2. 总体设计计思路及及原则数据中心心为XXX集团业业务网络络、日常常办公与与外联单单位提供供数据访访问、OOA和视视频等服服务，以以及各业业务的安安全隔离离控制。数数据中心心并不是是孤立存存在的，而而是与大大连中心心、网络络汇聚中中心外联联单位网网络等网网络区域域相辅相相成，数数据中心心基础网

24、网络是业业务数据据的传输输通道，将将数据的的计算和和数据存存储有机机的结合合在一起起。为保保证数据据中心网网络的高高可用、易易扩展、易易管理，数数据中心心网络架架构需按按照结构构化、模模块化和和扁平化化的原则则设计：12u 结构化结构化的的网络设设计便于于上层协协议的部部署和网网络的管管理，提提高网络络的收敛敛速度，实实现高可可靠。数数据中心心网络结结构化设设计体现现在适当当的冗余余性和网网络的对对称性两两个方面面。如下下图所示示：冗余的引引入可以以消除设设备和链链路的单单点故障障，但是是过度的的冗余同同样会使使网络过过于复杂杂，不便便于运行行和维护护，因此此一般采采用双节节点双归归属的架架构

25、设计计网络结结构的对对称，可可以使得得网络设设备的配配置简化化、拓扑扑直观，有有助于协协议设计计分析。在数据中中心网络络设计时时，由于于引入了了冗余和和对称的的设计，这这必将引引入网络络的环路路，可通通过如下下建设思思路消除除环路影影响：1 启用STTP和VVRRPP协议传统解决决方案，标标准的协协议，设设备要求求较低。但但此种部部署方案案网络的的协议部部署复杂杂，收敛敛慢，链链路带宽宽利用率率低，运运维管理理工作量量大。本本方案设设计不采采用此方方法。2 IRF网网络设备备N:11虚拟化化技术通过H33C IIRF技技术对同同一层面面的设备备进行横横向整合合，将两两台或多多台设备备虚拟为为一

26、台设设务，统统一转发发、统一一管理，并并实现跨跨设备的的链路捆捆绑。因因此不会会引入环环路，无无需部署署STPP和VRRRP等等协议，简简化网络络协议的的部署，大大大缩短短设备和和链路收收敛时间间（毫秒秒级），链链路负载载分担方方式工作作，利用用率大大大提升。在本方案案的设计计中，将将采用端端到端的的IRFF部署，满满足网络络高可靠靠的同时时，简化化网络运运维管理理。u 模块化构建数据据中心基基础网络络时，应应采用模模块化的的设计方方法，将将数据中中心划分分为不同同的功能能区域，用用于实现现不同的的功能或或部署不不同的应应用，使使得整个个数据中中心的架架构具备备可伸缩缩性、灵灵活性、和和高可用

27、用性。数数据中心心中的服服务器将将会根据据服务器器上的应应用的用用户访问问特性和和应用的的功能不不同部署署在不同同的区域域中。如如下图所所示：数据中心心网络分分为网络络接入区区、数据据中心核核心交换换区和服服务器接接入区三三大功能能区域，其其中网络络接入区区和服务务器接入入区依据据服务类类型的不不同，可可进行子子区的细细分，详详细参见见“业务分分区”章节的的描述。数据中心心核心区区用于承承接各区区域之间间的数据据交换，是是整个数数据中心心的核心心枢纽，因因此核心心交换机机设备应应选用可可靠性高高的数据据中心级级设备部部署。在进行模模块化设设计时，尽尽量做到到各模块块之间松松耦合，这这样可以以很

28、好的的保证数数据中心心的业务务扩展性性，扩展展新的业业务系统统或模块块时不需需要对核核心或其其它模块块进行改改动。同同时模块块化设计计也可以以很好的的分散风风险，在在某一模模块（除除核心区区外）出出现故障障时不会会影响到到其它模模块，将将数据中中心的故故障影响响降到最最小。u 扁平化数据中心心的网络络架构依依据接入入密度和和分为三三层架构构和二层层架构，如如下图所所示：传统的数数据中心心网络通通常采用用三层架架构进行行组网，三三层架构构可以保保证网络络具备很很好的扩扩展性，同同一个分分区内服服务器接接入密度度高。但但三层架架构网络络设备较较多，不不便于网网络管理理，运维维工作量量大。同同时组网

29、网成本相相对较高高。随着网络络交换技技术的不不断发展展，交换换机的端端口接入入密度也也越来越越高，二二层组网网的扩展展性和密密度已经经能够很很好的满满足企业业数据中中心服务务器接入入的要求求。同时时在服务务器虚拟拟化技术术应用越越来越广广泛的趋趋势下，二二层架构构更容易易实现VVLANN的大二二层互通通，满足足虚拟机机的部署署和迁移移。相比比三层架架构，二二层架构构可以大大大简化化网络的的运维与与管理。综合上述述因素，数数据中心心的网络络设计采采用二层层扁平化化架构，满满足扩展展性的同同时，实实现易管管理。3.3. 业务分区区按照3.2章节节中的“模块化化”设计原原则，需需要对业业务系统统进行

30、分分区。从从技术看看，业务务分区需需要遵循循以下原原则：u 分区优先先考虑访访问控制制的安全全性，单单个应用用访问尽尽量在一一个区域域内部完完成，单单个区域域故障仅仅影响一一类应用用，尽量量减少区区域间的的业务耦耦合度；u 区域总数数量的限限制：但但区域多多则运维维管理的的复杂度度和设备备投资增增加，区区域总数数量有运运维上限限不超过过20个；u 单个区域域内服务务器数量量的限制制：受机机房空间间、二层层域大小小、接入入设备容容量限制制，单个个区域内内服务器器数量有有限（通通常不超超过2000台）。u 接入层设设备利用用率的限限制：受受机房布布局的影影响，如如果每个个机房都都要部署署多个安安全

31、区的的接入交交换机，会会导致接接入交换换机资源源浪费，端端口利用用率低，因因此安全全区的数数量不宜宜过多。u 防火墙性性能的限限制: 区域之之间的流流量如果果超过110G，则则需要考考虑通过过防火墙墙横向扩扩容，或或区域调调整的方方式分担担流量。在实际的的数据中中心分区区设计中中，通常常有以下下三种分分区方法法：1. 按照业务务功能进进行分区区：根据据业务系系统的功功能（如如生产、OOA、支支撑等）或或业务的的实时性性（实时时业务、非非实时业业务）或或者业务务系统的的功能（如如ERPP、营销销、财务务等）进进行分区区划分，此此分区方方法适合合大多数数企业数数据中心心；2. 按照安全全等保级级别

32、进行行分区：按照业业务系统统的安全全等级定定义进行行划分，如如“三级系系统独立立成域，二二级系统统统一成成域”，此分分区方法法适合政政府、电电力等行行业数据据中心；3. 按照服务务器类型型进行分分区：一一般分为为WEBB服务器器区、AAPP/中间件件服务器器区、DDB服务务器区。此此分区适适合互联联网企业业等数据据中心。按照需求求调研时时了解的的XX集集团业务务系统分分布情况况，结合合业务系系统的用用户类型型，数据据中心的的分区设设计按照照业务功功能进行行分区。分分区设计计如下：各区域业业务系统统部署描描述如下下：办公局域域网区：XX数数据中心心大楼办办公网络络，包括括终端、楼楼层接入入与汇聚

33、聚。广域网接接入区：与网络络汇聚中中心广域域网络互互连，网网络出口口。外联网接接入应用用区：与与合作单单位的专专线互连连，此区区域也包包括合作作单位的的业务前前置机服服务器。互联网接接入应用用区：互互联网出出口，此此区域也也包括集集团网站站群WEEB服务务器、集集团邮件件系统、DDNS服服务器等等。百货应用用区：此此区域部部署与百百货相关关的应用用服务器器，包括括百货促促销、MMIS、BBI等应应用系统统。KTV应应用区：此区域域部署与与KTVV相关的的应用服服务器，包包括FTTP、管管控、WWEB、DDB等应应用系统统。院线应用用区：此此区域部部署与院院线相关关的应用用服务器器，包括括火凤凰

34、凰、会员员等应用用系统。OA应用用区：此此区域部部署集团团内部的的OA应应用服务务器，包包括OAA、RTTX、泛泛微、图图档、视视频会议议、文件件、网络络教学、网网上招投投标等应应用系统统。ERP/财务应应用区：部署集集团内部部的ERRP和财财务应用用服务器器。其它应用用区：部部署商管管、地产产、酒店店等应用用服务器器。开发测试试区：此此区域用用于集团团内部信信息系统统的开发发与测试试，或新新系统上上线前的的测试部部署。灾备接入入应用区区：此区区域与大大连中心心互联，实实现数据据级的异异地灾备备。同时时此区域域可以部部署一些些本地的的重要系系统备份份应用。支撑管理理区：此此区域部部署数据据中心

35、网网络、安安全、服服务器、存存储等IIT资源源的运维维管理系系统，此此外包括括集团内内部的域域管理和和身份认认证服务务器。数据中心心核心区区：此区区域用于于实现各各分区之之间的数数据交互互，是数数据中心心网络平平台的核核心枢纽纽，无服服务器部部署。3.4. 网络设计计结合上述述的业务务分区，按按照结构构化、模模块化、扁扁平化的的设计原原则，实实现高可可用、易易扩展、易易管理的的建设目目标。网网络整体体拓扑如如下图所所示：整体网络络拓扑采采用扁平平化两层层组网架架构，从从数据中中心核心心区直接接到服务务器接入入，省去去了中间间的汇聚聚层，这这种扁平平化的网网络结构构有以下下优点：u 简化网络络拓

36、扑，降降低网络络运维的的难度；u 服务器区区容易构构建大二二层网络络，更适适合未来来的虚拟拟机大量量部署及及迁移；u 服务器接接入交换换机未来来的扩展展可直接接在现有有的IRRF虚拟拟组添加加成员交交换机，扩扩展方便便。对于数据据中心的的网络安安全部署署，在本本方案中中采用了了“分布式式安全部部署”的策略略，防火火墙形态态采用了了H3CC SeecBlladee安全插插卡，实实现网络络安全的的融合。详详细的安安全设计计参加“3.55安全设设计”章节。纵观整体体方案拓拓扑，在在此方案案设计与与部署时时共采用用了IRRF虚拟拟化、网网络安全全融合、智智能管理理三种HH3C特特有的关关键技术术(详细

37、细参见55.2章章节相关关介绍)，在保保证数据据中心的的高可靠靠的同时时，简化化网络运运维管理理，同时时提供了了智能化化的管理理工具平平台。3.4.1. 核心交换换区u 功能描述述核心交换换区的主主要功能能是完成成各服务务器功能能分区、办办公局域域网、外外联网、互互联网之之间数据据流量的的高速交交换，是是广域/局域纵纵向流量量与服务务功能分分区间横横向流量量的交汇汇点。核核心交换换区必须须具备高高速转发发的能力力，同时时还需要要有很强强的扩展展能力，以以便应对对未来业业务的快快速增长长。核心模块块是整个个平台的的枢纽。因因此，可可靠性是是衡量核核心交换换区设计计的关键键指标。否否则，一一旦核心

38、心模块出出现异常常而不能能及时恢恢复的话话，会造造成整个个平台业业务的长长时间中中断，影影响巨大大。u 拓扑设计计u 设计要点点1. 高可靠核心交换换设备选选用数据据中心级级核心交交换机，配配置双引引擎，双双电源，保保证网络络组件层层面的稳稳定性。网络架构构层面，采采用双核核心设计计，两台台设备进进行冗余余，并通通过虚拟拟化技术术进行横横向整合合，将两两台物理理设备虚虚拟化为为一台逻逻辑设备备，并实实现跨设设备的链链路捆绑绑，所各各分区的的交换机机IRFF相配合合，实现现端到端端IRFF部署。两两台设备备工作在在双活模模式，缩缩短链路路故障与与设备故故障的倒倒换时间间(毫秒秒级)，保保证出现现

39、单点故故障时不不中断业业务。为保证出出现单点点故障(链路/设备)时另一一台设备备能够完完全接管管业务，各各功能模模块通过过“口”字形上上行与核核心模块块互连。2. 高速传输输本次网络络设计容容量应保保证未来来355年内的的业务扩扩展，本本设计采采用“万兆到到核心，千千兆接入入”的思路路，核心心模块对对外接口口为全万万兆接口口。3. 易于扩展展按照“核核心边边缘架构构”的设计计原则，核核心模块块应避免免部署访访问控制制策略（如如ACLL、路由由过滤等等），保保证核心心模块业业务的单单纯性与与松耦合合，便于于下联功功能模块块扩展时时，不影影响核心心业务，同同时可以以提高核核心模块块的稳定定性。4.

40、 智能分析析针对各个个区域的的业务流流量变化化趋势，本本次在核核心交换换机上部部署网络络流量分分析模块块，可以以实时感感知，并并作为网网络优化化及调整整的依据据。3.4.2. 服务器接接入区u 功能描述述服务器接接入区用用于完成成服务器器的LAAN网络络接入，依依照3.3章节节的业务务分区设设计，涉涉及到服服务器接接入的业业务分区区包括百百货应用用区、KKTV应应用区、院院线应用用区、EERP/财务应应用区、开开发测试试区、支支撑管理理区、其其它应用用区，这这些区域域虽然部部署的应应用服务务器类型型不一样样，设备备的选型型要求也也不一样样，但对对于网络络拓扑设设计来说说是一样样的，因因此在方方

41、案设计计时，这这些区域域的网络络拓扑设设计将在在此统一一进行描描述。u 拓扑设计计注：院线线应用区区若部署署院线WWEB服服务器，则则服务器器接入交交换机上上除了部部署FWW插卡外外，还顼顼要部署署IPSS和SLLB插卡卡。u 设计要点点1. 服务器接接入交换换机部署署双机，并并采用IIRF虚虚拟化，将将两台物物理设备备虚拟化化为一台台逻辑设设备，实实现跨设设务链路路捆绑，与与核心交交换机配配合实现现端到端端IRFF。此外外服务器器双网关关配置成成双活模模式（AActiive-Acttivee），；2. 各服务器器接入交交换机上上部署SSecBBladde FFW插卡卡，用于于本区域域与其它它

42、区域的的访问控控制策略略部署。院院线应用用区部署署FW+IPSS+LBB插卡；3. 服务器网网关部署署在接入入交换机机上，防防火墙插插卡与接接入交换换机以及及核心交交换机之之间运行行OSPPF动态态路由，实实现FWW的双机机热备。3.4.3. 互联网区区u 功能描述述互联网区区用于部部署集团团WEBB服务器器、院线线WEBB服务器器（若需需要），以以及集团团的DNNS、FFTP、EE-maail等等需要通通过互联联网对公公众用户户提供服服务器的的应用系系统。u 拓扑设计计u 设计要点点1. Inteerneet出口口采用双双运营商商链路，保保证用户户访问效效率的同同时，实实现链路路的冗余余；2

43、. 服务器接接入交换换机部署署双机，并并采用IIRF虚虚拟化，将将两台物物理设备备虚拟化化为一台台逻辑设设备，实实现跨设设务链路路捆绑，与与服务器器双网卡卡配合实实现双活活(Acctivve-AActiive)；3. 采用双层层防火墙墙部署，外外层防火火墙用于于实现IInteerneet与WWEB、DDNS、EEmaiil、FFTP等等公网服服务器的的隔离，实实现公网网服务器器的分域域，并配配置DMMZ区域域保证安安全。内内层防火火墙用于于实现公公网服务务器与数数据中心心内部其其它服务务器之间间的隔离离，部署署内部区区域间的的访问控控制策略略。外层层防火墙墙采用独独立设备备、内层层防火墙墙采用

44、在在服务器器接入交交换机上上部署SSecBBladde FFW插卡卡。4. 由于Innterrnett区部署署了较多多的网站站等WEEB服务务器，因因此需要要部署LLB和IIPS设设备。来来保证负负载分担担和L22L77层安全全过滤。3.4.4. 外联网区区u 功能描述述外联网区区用于实实现与合合作单位位的专线线网络进进行互联联，并部部署合作作单位的的前置机机服务器器。u 拓扑设计计u 设计要点点1. 服务器接接入交换换机部署署双机，并并采用IIRF虚虚拟化，将将两台物物理设备备虚拟化化为一台台逻辑设设备，实实现跨设设务链路路捆绑，与与服务器器双网卡卡配合实实现双活活(Acctivve-AAc

45、tiive)；2. 采用双层层防火墙墙部署，外外层防火火墙用于于实现前前置机服服务器与与合作单单位网络络的隔离离，可部部署NAAT。内内层防火火墙用于于实现前前置机服服务器与与数据中中心内部部其它服服务器之之间的隔隔离，部部署内部部区域间间的访问问控制策策略。外外层防火火墙H33C SSecBBladde FFW插卡卡、内层层防火墙墙可采用用非H33C的第第三方FFW独立立设备进进行异构构，加强强安全性性。3. 服务器接接入交换换机上部部署SeecBlladee IPPS插卡卡，实现现L2L7层层安全过过滤。3.4.5. 广域网接接入区u 功能描述述广域网接接入区用用于实现现与网络络汇聚中中心

46、的互互连，保保证集团团内部用用户通过过广域网网访问数数据中心心内的业业务系统统。（必必要时也也可考虑虑与大连连数据中中心互联联）u 拓扑设计计u 设计要点点1. 广域网出出口路由由器部署署双机，出出口链路路为双链链路，保保证广域域网出口口高可靠靠；2. 防火墙采采用路由由器上部部署SeecBlladee FWW插卡。3.4.6. 灾备接入入区u 功能描述述灾备接入入区用于于实现数数据中心心与大连连灾备中中心的互互连，实实现SAAN和LLAN网网络双中中心的互互通，保保证数据据同步复复制。同同时通过过将两中中心的VVLANN二层打打通，实实现跨数数据中心心的大二二层网络络，便于于虚拟机机业务迁迁

47、移和跨跨地域服服务器集集群。u 拓扑设计计u 设计要点点1. 数据中心心与大连连灾备中中心之间间采用双双路裸纤纤做灾备备互连链链路，并并采用DDWDMM进行复复用。2. SAN网网络直接接通过光光纤上DDWDMM波分设设备，实实现数据据存储备备份通道道的互通通。LAAN网络络通过在在服务器器网关交交换机设设备上通通过VLLAN Truunk到到汇接交交换机，然然后再上上DWDDM设备备，实现现双中心心之间的的大二层层VLAAN互通通。3. 汇接交换换机部署署IRFF，实现现双纤捆捆绑，保保证链路路的可靠靠性。4. 跨地域的的二层打打通后，可可以实现现网关设设备跨地地域部署署VRRRP，保保证双

48、中中心服务务器集群群时网关关的切换换。3.5. 安全设计计3.5.1. 安全设计计原则安全与网网络密不不可分，本本方案中中的安全全设计部部署采用用了与网网络分区区相同的的安全域域划分，同同时采用用SeccBlaade安安全插卡卡实现了了网络与与安全设设备形态态的融合合。整个个方案的的安全部部署采用用了目前前应用广广泛的“分布式式安全部部署”方法，如如下图右右侧所示示：分布式安安全部署署具有以以下优势势：u 分散风险险：传统统的集中中式安全全部署一一般将防防火墙旁旁挂在核核心交换换机两侧侧，这样样一旦防防火墙出出现故障障，数据据中心内内的所有有业务区区都将不不能访问问，整个个数据中中心的所所有业

49、务务均会中中断，风风险和性性能压力力都集中中在防火火墙上。而而采用分分布式部部署后，防防火墙出出现故障障只会影影响到本本区域的的业务，进进而实现现风险和和性能的的分散，提提高了整整个数据据中心的的可靠性性；u 灵活扩展展：分部部式安全全部署，核核心交换换机原则则上不部部署任何何与业务务分区之之间的安安全策略略，可实实现核心心区与各各业务分分区之间间的松耦耦合，在在新增模模块或业业务系统统时，无无需更改改核心设设备的配配置，减减小核心心区出现现故障的的机率，保保证核心心区的高高可靠与与业务分分区的灵灵活扩展展；u 简化安全全策略部部署：防防火墙下下移到各各业务分分区的出出口，防防火墙上上部署的的

50、安全策策略可大大大简化化，默认认仅需要要划分两两个安全全域（受受信域与与非受信信域），采采用白名名单方式式下发策策略，减减少了策策略的交交叉。3.5.2. SecBBladde FFW插卡卡部署防火墙设设备在数数据中心心网络架架构中为为内部系系统提供供了安全全和可靠靠性保障障。防火火墙主要要部署在在数据中中心的两两个常见见区域中中：数据据中心出出口区域域和服务务器区域域。在数数据中心心出口区区域部署署防火墙墙可以保保障来自自Intternnet和和合作伙伙伴的用用户的安安全性，避避免未经经授权的的访问和和网络攻攻击。在在数据中中心服务务器区域域部署防防火墙可可以避免免不同服服务器系系统之间间的

51、相互互干扰，通通过自定定义防火火墙策略略还可以以提供更更详细的的访问机机制。防火墙插插卡设备备虽然部部署在交交换机框框中，但但仍然可可以看作作是一个个独立的的设备。它它通过交交换机内内部的110GEE接口与与网络设设备相连连，它可可以部署署为2层层透明设设备和三三层路由由设备。防防火墙与与交换机机之间的的三层部部署方式式与传统统盒式设设备类似似。 如上图FFW三层层部署所所示，防防火墙可可以与宿宿主交换换机直接接建立三三层连接接，也可可以与上上游或下下游设备备建立三三层连接接，不同同连接方方式取决决于用户户的访问问策略。可可以通过过静态路路由和缺缺省路由由实现三三层互通通，也可可以通过过OSP

52、PF这样样的路由由协议提提供动态态的路由由机制。如如果防火火墙部署署在服务务器区域域，可以以将防火火墙设计计为服务务器网关关设备，这这样所有有访问服服务器的的三层流流量都将将经过防防火墙设设备，这这种部署署方式可可以提供供区域内内部服务务器之间间访问的的安全性性。XX集团团数据中中内部，整整体安全全采用分分布式部部署设计计，已经经对不同同的业务务系统进进行了分分区，整整体安全全边界清清晰。为为简化SSecBBladde FFW的配配置，提提高网关关性能，将将服务器器的网关关均部署署在接入入交换机机上， SeccBlaade FW插插卡仅部部署本分分区内与与其它分分区之间间的安全全策略。若若本分

53、区区内各服服务器之之间有隔隔离需求求，建议议在接入入交换机机上采用用ACLL方式实实现。如如下图所所示：对于仅部部署SeecBlladee FWW插卡的的业务区区（如百百货、KKTV、EERP/财务、开开发测试试、支撑撑管理、外外联网区区），区区域内的的安全部部署逻辑辑拓扑如如下图所所示：u 接入交换换机双机机部署IIRF虚虚拟化，并并实现跨跨设备链链路捆绑绑。两块块SeccBlaade FW插插卡逻辑辑上相当当于插在在同一台台交换机机上。u 每台接入入交换机机逻辑上上均可以以看成一一台L22交换机机与一台台L3交交换机的的叠加，服服务器网网关部署署在交换换机上。u SecBBladde通过过

54、内部的的10GGE接口口与交换换机互连连，并创创建多个个L3接接口进行行引流，让让所有流流经服务务器的流流量均经经过FWW过滤。两两块FWW插卡通通过带外外状态同同步线（心心跳线）进进行状态态同步，FFW插卡卡之间通通过OSSPF动动态路由由实现热热备或负负载分担担（ECCMP）。3.5.3. SecBBladde FFW+IIPS+LB组组合部署署对于XXX数据中中心的院院线应用用区、互互联网应应用区，需需要涉及及到FWW+IPPS+LLB的组组合部署署，FWW插卡的的基本特特性3.5.22章节已已做描述述，下面面先介绍绍IPSS和LBB插卡的的基本组组网：u SecBBladde IIPS

55、基基本组网网设计SecBBladde IIPS插插卡为数数据中心心内部提提供了更更坚固的的安全保保护机制制。通过过IPSS的深度度检测功功能可以以有效保保护内部部服务器器避免受受到病毒毒、蠕虫虫、程序序漏洞和和DDOOS等来来自应用用层的安安全威胁胁。IPS插插卡通过过OAAA（开放放的应用用架构）技技术与宿宿主交换换机配合合使用。可可以通过过传统的的流量重重定向方方式将需需要IPPS处理理的业务务流重定定向到IIPS插插卡上处处理，也也可以通通过OAAA方式式在IPPS的WWeb页页面上配配置重定定向策略略，这两两种方式式都可以以实现相相同的功功能。由由于不同同交换机机设备对对OAAA的支持

56、持程度不不同。我我们推荐荐在本方方案中采采用重定定向策略略引流。由于IPPS插卡卡在整个个网络中中属于22层透明明转发设设备，不不会对报报文进行行任何修修改，整整个网络络从连通通性上看看加入IIPS后后不会产产生任何何变化影影响。因因此建议议实施的的时候将将其放在在最后进进行上线线配置，即即其他设设备都调调试OKK，流量量转发与与HA设设计都以以正常实实现情况况下再进进行IPPS的部部署实施施。SecBBladde IIPS组组网结构构流量图图SecBBladde IIPS不不会对报报文进行行任何修修改，对对于上IIPS处处理的报报文，非非OAAA方式只只能通过过VLAAN区分分流量是是属于外

57、外部域还还是内部部域。所所以在组组网设计计中需注注意非OOAA方方式重定定向到IIPS插插卡的业业务流上上下行流流量需为为不同VVLANN。由于于IPSS插卡不不具有双双机热备备功能，通通过组网网设计，部部分环境境可以做做到IPPS故障障的切换换，部分分环境中中当IPPS故障障后，重重定向功功能失效效，业务务流将不不能继续续受到IIPS的的安全保保护，流流量在短短暂中断断后仍然然可以保保证连续续性。u SecBBladde LLB板卡卡设计部部署LB插卡卡具备两两大主要要功能，服服务器负负载均衡衡和链路路负载均均衡，分分别应用用于数据据中心服服务器区区和Innterrnett出口区区域。服服务

58、器负负载均衡衡为数据据中心服服务器区区性能的的扩展和和资源利利用的优优化提供供完美的的解决方方案。链链路负载载均衡非非常有效效的部署署在数据据中心多多出口的的组网环环境中，可可以同时时对多条条广域网网链路优优化资源源利用。LB插卡卡的工作作方式与与防火墙墙的类似似，仍然然作为一一个独立立的设备备运行。通通过传统统的三层层方式与与交换机机或下游游设备相相连。可可以通过过静态路路由和缺缺省路由由实现三三层互通通，也可可以通过过OSPPF这样样的路由由协议提提供动态态的路由由机制。SecBBladde LLB在数数据中心心出口的的部署如图所示示，在数数据中心心出口区区域，LLB插卡卡可以与与宿主交交

59、换机连连接三层层连接关关系，也也可以直直接和下下游设备备如防火火墙等建建立三层层连接关关系。这这取决于于用户的的实际需需求，前前一种方方式可以以提供更更灵活的的路由控控制策略略，而后后一种方方式可以以简化组组网的复复杂结构构（例如如：如果果经LLLB下行行的流量量都要通通过防火火墙的安安全保护护，那么么可以将将防火墙墙直接作作为LLLB的下下一跳设设备）。需要注意意的是，在在双机热热备的组组网环境境中，两两块LLLB的出出口配置置必须相相同，这这样才能能保证业业务切换换后能正正常运行行。如图所示示，在数数据中心心服务器器区，LLB提供供了服务务器的负负载均衡衡能力。我我们可以以将LBB插卡作作

60、为服务务器的网网关设备备，这样样所有的的服务器器流量都都需经过过LB设设备。也也可以将将服务器器网关放放置在交交换机上上，LBB设备通通过路由由方式访访问服务务器群，这这样的部部署方式式可以灵灵活控制制LB对对服务器器的访问问。u 组合部署署在数据中中心服务务器区IIPS+FW+SLBB的部署署主要有有以下四四种方式式：u IPS如如果需要要保护所所有流量量可以部部署在前前端，如如果仅需需要保护护部分关关键区域域的业务务可以放放置在FFW后面面。u SLB可可以作为为服务器器网关设设备部署署，如果果服务器器间还需需要更严严格的防防护策略略可以将将防火墙墙部署在在SLBB下端作作为服务务器的隔隔

61、离设备备。u 通过IRRF堆叠叠技术还还可以进进一步简简化组网网结构，提提高管理理维护和和配置成成本，是是目前的的流行部部署方式式。本方案的的推荐采采用组网网四方案案，组网网逻辑拓拓扑如下下图所示示：在本案例例组网设设计中， 接入交交换机和和安全插插卡都为为双机部部署，使使用OSSPF动动态路由由协议。交交换机通通过IRRF方式式增强可可靠性和和管理性性，FWW插卡与与上游设设备建立立三层连连接关系系，提供供安全保保护功能能。SLLB插卡卡与接入入交换机机建立三三层连接接关系，同同时对下下做为服服务器网网关设备备提供服服务器负负载均衡衡功能。3.6. QoS设设计3.6.1. QoS设设计原则

62、则XX集团团网络整整网QooS设计计遵循以以下的原原则：u 正常情况况下QOOS是通通过带宽宽来保证证的。换换句话说说，即在在网络带带宽足够够高的情情况下，不不需要QQOS机机制。当当带宽利利用率达达到600可考考虑扩容容；u 网络设备备的容量量不能成成为瓶颈颈；u 网络/链链路故障障或网络络拥塞情情况下QQOS策策略生效效；u 任何时候候都优先先保证实实时业务务。3.6.2. QoS服服务模型型选择为了更有有效的利利用带宽宽，使关关键业务务得到无无阻塞的的应用，网网络需要要进行QQoS方方案的设设计实施施，首先先需要考考虑选择择合适的的技术框框架，也也即服务务模型。服服务模型型指的是是一组端端到端的的QoSS功能，目目前有以以下三种种QoSS服务模模型：1. Bestt-Effforrt sservvicee尽尽力服务务2. Inteegraatedd seerviice（IIntsservv）综合服服务3. Difffereentiiateed sservvicee（Diiffsservv）区分服服务u Bestt-Effforrt sservvicee：尽力服服务是最最简单的的服务模模型。应应用程序序可以在在任何时时候，发发出任意意数量的的报文，而而且不需