传统城域网与数据中心规划和设计及网络安全设计.ppt

《传统城域网与数据中心规划和设计及网络安全设计.ppt》由会员分享，可在线阅读，更多相关《传统城域网与数据中心规划和设计及网络安全设计.ppt（60页珍藏版）》请在装配图网上搜索。

1、传统城域网与数据中心规划和设计及网络安全设计,一、传统城域网规划和设计 二、新一代数据中心规划和设计 三、网络安全设计,IP网络的发展趋势,、路由型网络：应采用高性能路由器平台的设备建设IP城域网的核心层/汇聚层 、扁平化网络：一、减少核心汇聚层的网络设备层面；二、降低接入层二层网络规模和级联，保证二层的QoS 、业务隔离：通过VLAN、ACL、隧道、MPLS VPN等技术，将不同的业务类型进行隔离，并保证业务的QoS 、业务控制：接入层二层网络保证带宽尽量不收敛，提供简单的QoS功能,城域网概述,WAN,WAN-MAN,MAN,Pico-Cell,MAN-LAN,PAN,LAN-PAN,0k

2、m,50km,2km,10m,Personal Operating Space,城域网需求分析,城域网总体需求分析从以下几点进行分析 、网络需求分析 IP城域骨干网性能要求 城域接入网性能需求 业务需求分析 需求总结 、技术分析 、网络设备选型,城域网建设总体目标,、高带宽 、高可靠性 、可扩展性和可升级性 、多协议支持 、易管理、易维护 、QoS 、安全性 、IP组播Multicast 、先进性,IP网络设计思路,设计思想决定了设计方法，而网络的结构，网络技术以及厂商和产品的选择皆源于设计方法，从而在根本上影响网络设计的成与败。 、核心层 、汇聚层 、接入层,IP城域网设计原则,为保证高性能

3、、高可靠、易扩展及高安全的网络运行长期稳定地升级发展,系统网络设计中应遵循下列原则 、先进性 、可扩展 、冗余性 、安全性 、可管理性 、可靠性 、标准化和开放性,城域网分层结构,、层次化的网络模型,城域网分层结构,在组网功能结构上分为三层：核心层、汇聚层、接入层。 、核心层： 核心层负责进行数据的快速转发和整个城域网路由表的维护，同时实现同骨干网的互连，与外部网络互连，提供城域数据出口。 核心层主要由传输网络和核心交换设备组成 核心节点设置应该考虑业务分布等客观条件，采用网状或者半网状拓扑结构。,城域网分层结构,、汇聚层 提供数据业务接入的区域汇聚，进行带宽和业务汇聚、收敛及分发；提供各种接

4、入技术的端口汇聚和终结功能；提供用户管理和业务控制功能功能； 功能：扩展核心层设备端口；扩大核心层节点的业务覆盖范围；汇聚接入节点；管理接入用户 一般由高性能大容量的三层交换设备组成,城域网分层结构,、接入层 通过各种接入技术和线路资源提供对用户的覆盖，完成用户数据的接入； 功能：各种类型的用户的接入，有时提供流量控制功能,组网方案,核心层对互连是至关重要的,因此核心层必须用冗余组件、冗余链路设计。 、设备选用高端路由器为核心层设备 汇聚层是汇总接入层的路由，设计时考虑汇聚层与核心层有冗余的链路网络设计。 、设备选用中端路由器或者高端路由交换机作为汇聚层的设备。 接入层 设备选用低端路由器或者

5、二层交换机作为接入层的设备。,组网方案,、组网案例,组网方案,、组网案例,城域网骨干网技术选择,、宽带光纤组网Cisco光通信体系 、城域波分系统(Metro DWDM) 、 MSTP/MSPP 、 DPT/RPR动态分组传送/弹性分组环 、 POS-Packet Over SDH 、 GE/10GE -千兆/万兆位以太网,城域网骨干网技术选择,RPR技术 、RPR一般采用双环结构，由两根反向光纤组成环形拓扑结构。其中一根顺时针，一根逆时针，节点在环上可从两个方向到达另一节点。每根光纤可以同时用来传输数据和同向控制信号，RPR环双向可用。,城域网骨干网主流技术,、RPR拓扑结构,城域网路由设计

6、,在选择路由协议时应考虑以下因素： 、静态路由与动态路由 、集中式算法与分布式算法 、单一路径与多条路径 、平面结构与层次化结构 、域内协议与域间协议 、链接状态及距离向量,城域网路由设计,一般来说，全网路由协议设计需考虑到以下几个方面 、静态路由与动态路由 、集中式算法与分布式算法 、单一路径与多条路径例如：OSPF支持多条路径。 、平面结构与层次化结构例如RIP为平面结构算法；OSPF则为层次化结构算法。 、链路状态或距离向量,IP地址规划,IP地址是整个网络系统运行的基石，IP地址规划不仅应该满足当前的需求，还应该充分的考虑系统将来的扩展性，以满足将来发展的需要。 、唯一性 、连续性 、

7、可扩展性 、灵活性,骨干网设备选型,主要设备选型建议产品功能全面，互操作性好，性能稳定可靠，产品线非常全面等几方面考虑 、产品技术成熟稳定可靠 、产品有丰富全面解决方案 、产品有非常强大的多层路由交换能力 、产品有丰富的业务端口，密度最高 、产品支持功能和业务特性最丰富 、最稳定和最成熟的产品 、有强劲的售后技术支持,核心层设备选择,、核心层 在该层应该无任何2层数据运行，设备的性能和功能应该齐全可靠。重点考虑可靠性、可扩展性和开放性。 要求支持40G 、10G/2.5G POS、10GE、GE等端口。 要求支持OSPF、ISIS、BGP，具备良好的路由转发处理能力，支持大容量路由表，支持 D

8、iffersrv/MPLS QOS，支持MPLS VPN、组播等协议。 交换容量在100G以上，完全分布式处理架构。,汇接层设备选择,、汇接层 全部由高/中端路由器组成，设备的性能和功能应该齐全可靠。 要求支持10G/2.5G POS、10GE、GE等端口。 要求支持OSPF、ISIS、BGP，具备良好的路由转发处理能力，支持大容量路由表，支持 Differsrv/MPLS QOS，支持MPLS VPN、组播等协议。 交换容量在40G以上，完全分布式处理架构。,接入层设备选择,、接入层 由BRAS与专线接入路由器AR组成。 BRAS:作为ADSL和LAN拨号用户的三层终结设备，上下行链路应该分

9、离。 。,核心交换机设备选择,、核心交换机 交换容量、背板带宽、处理能力、吞吐量 物理接口 功能齐全 逻辑容量,解决方案,、核心层路由器思科12000、7600、ASR9000、华为 NE5000E、NE40E、锐捷RG-RSR-M、RG-RSR77-X、RG-RSR-E系中兴ZXR10T8000、ZXR10M6000-S H3C CR16000-X、SR8800-F、阿尔卡特7750 、瞻博T1600 、T4000 、汇聚层路由器中兴ZXR106800、锐捷RG-RSR50E、RG-RSR30-X、华为NE20E-X6、NE16EX思科ASR 1000、7600 H3CSR6600-F、SR

10、6600-X、瞻博mx40、mx10 、接入层路由器中兴ZXR10ZSR、ZXR10ZSRV2、锐捷RG-RSR20、RG-RSR10、华为AR3200、AR2200思科4000、3900、 2900 H3C MSR 3600、MSR 2600、MSR 5600、瞻博acx2000、acx1000,解决方案,、核心交换机思科6500、6800 、H3C S7600 、S7500E、中兴ZXR10 8900E、锐捷RG-S8600、RG-S7800 、华为S12700、S9700、瞻博ZX9200 、汇聚层交换机华为S7700、锐捷RG-S5750、H3C S5800、思科4500、瞻EX821

11、6,案例分析,、华润银行数据中心方案 、江西省政务网方案 、江西省IP城域网方案 、忻州市党政城域网MPLS实施方案 、阳江供电局IP地址及节点命名方案 、岳阳市区县电子政务外网方案 、肇庆南方电网城域网络方案 、中国XX银行全国广域网方案 、深圳市IP 城域网组网方案 、城市便捷酒店数据中心建设方案,新一代数据中心设计与规划,第二部分新一代数据中心设计与规划,新一代数据中心的发展趋势,新一代数据中心的发展趋势 、数据中心集中化和使用者的分散化 、大规模虚拟化，云计算展开 、数据和存储融合 、SoA基于业务的数据中心架构 、绿色数据中心 、高速以太网,新一代数据中心面临解决问题,、能耗效率：能

12、源成本不断增加，数据中心面临能耗和散热的双重压力。 、资源整合：传统数据中心架构导致无法共享资源，服务器与存储性能得不到充分利用，庞杂的系统更是降低了运维效率。 、绿色成长：通过刀片、虚拟化、服务器整合等技术减少机器数量，简化IT 部署，实现数据中心的绿色成长。 、信息安全：数据中心面对众多新型病毒和安全隐患，安全策略及容灾计划亟待完善。,新一代数据中心虚拟化,、新一代数据中心虚拟化,新一代数据中心虚拟化,、网络虚拟化,新一代数据中心虚拟化,、服务器虚拟化,存储虚拟化,磁盘虚拟化,磁带、磁带机、 磁带库虚拟化,文件系统虚拟化,新一代数据中心虚拟化提供的资源,其他设备虚拟化,块虚拟化,传统网络架

13、构存在的问题,传统网络架构存在的问题 、网络的层次较多，处理效率低； 、汇聚层面设备一定存在处理性能和上行带宽的收敛比，汇聚设备会成为整个网络的瓶颈，出现拥塞、丢包等问题； 、在网络扩容时，带来投资成本的增加； 、网络设备之间的STP、LAG、路由处理、安全等，随着设备数量的增加，会成几何级数激增；,传统网络架构的问题,新一代数据中心与传统数据中心现状分析,云计算数据中心相比较传统数据中心对网络的要求有以下变化： 、 Server-Server流量成为主流，而且要求二层流量为主。 、站点内部物理服务器和虚拟机数量增大，导致二层拓扑变大。 、扩容、灾备和VM迁移要求数据中心多站点间大二层互通。

14、、数据中心多站点的选路问题受大二层互通影响更加复杂。 、 iSCSI/FCoE是数据中心以网络为核心演进的需求，也是不可或缺的一部分。,新一代层次化结构的优势,、简化管理 、转发性能提升 、部署维护简单 、网络扩展方便 、控制和转发平面的彻底分离 、加强故障隔离能力 、节约成本,新一代层次化结构的优势,、新型架构,传统数据中心架构设计,、核心层 、汇聚层 、接入层,传统数据中心结构设计,、传统架构,新一代数据中心结构设计,、新一代架构,新一代数据中心设计思路,、可扩展性 、快速 、简单 、安全 、可靠性 、结构化 、模块化 、扁平化,新一代数据中心的整体建设思路,新一代数据中心的整体建设思路

15、、可以使用单层结构交换机来支持小规模配置；使用两层结构交换机来满足企业园区及数据中心的大多数需求；使用三层结构交换机来支持超大规模的网络部署,新一代数据中心规划的步骤,数据中心规划的步骤 一般来说，数据中心的规划工作主要遵循以下步骤 、分析现状:分析当前IT基础设施和运行现状，评估当前环境在业务运营连续性、技术系统/应用程序和数据中心设施方面的情况，确定哪些方面需要改变，才能满足业务目标和建设新一代数据中心的驱动因素；,数据中心规划的步骤,、系统设计:提出满足需求的新一代数据中心设计，包括数据中心基础设施、关键技术、运行和支持管理系统； 、实施转换:形成从当前IT基础设施转换到新一代数据中心的

16、实施步骤；,新一代数据中心设计原则,在新一代数据中心的设计阶段中，应该遵循以下几个原则。 、坚持标准化与简易化 、实现模块化与集成化 、重视节能与节省空间 、确保高可靠性与高可用性 、数据中心各组成部分的设计,新一代数据中心设计目标,数据中心设计目标 、简化管理 、高效复用 、策略一致 、高可靠 、高安全 、易管理 、易扩展,解决方案,、核心层交换机思科Nexus 9000、Nexus7000、H3CS12500、S10500、华为12800、8800、锐捷RG-S12000、RG-N18018-X、中兴ZXR109900、ZXR108900E 瞻搏QFX10000 、汇聚层交换机Nexus

17、6000、Nexus 5000、H3CS9800、S9900华为、7800、6800、锐捷RG-S6220、RG-S6000C、中兴ZXR105960、瞻博QFX5100、 QFX3600 、接入层交换机Nexus 3000、Nexus 2000、H3C S6800、S5800、5500 、华为、5800、1800 、锐捷RG-S2900C、瞻博QFX3500,第三部分网络安全设计,网络安全设计,信息安全保障技术框架,将信息系统的信息保障技术层面分为了四个技术框架域： 、网络和基础设施：网络和基础设施的防护 、飞地边界：解决边界保护问题 、局域计算环境：主机的计算环境的保护 、支撑性基础设施：

18、安全的信息环境所需要的支撑平台,信息安全保障技术框架域,纵深防御的原则，即人、技术、操作相结合的多样性、多层叠的保护原则。如下图所示：,数据中心安全风险分析,数据中心的安全需求分析，主要体现在以下几个方面： 、物理服务器之间的安全 、虚拟服务器之间的安全 、数据中心之间数据传输的安全 、用户端/分支机构到数据中心访问的安全 、各个安全系统之间的协同安全,网络系统安全风险分析,、物理安全风险分析 、网络平台的安全风险分析:(整个网络结构和路由状况、公开服务器) 、系统的安全风险分析:(整个局域网、网络操作系统、网络硬件平台) 、来自局域网内部的威胁:(应用的安全风险、管理的安全风险、不满的内部员

19、工) 、来自互联网的威胁:(黑客攻击、恶意代码、病毒的攻击),设计目标,、有效控制、发现、处理非法的网络访问； 、保护在不安全网络上的数据传输的安全性； 、能有效的预防、发现、处理网络上传输的蠕虫病毒和其他的计算机病毒； 、能有效的预防、发现、处理网络上存在的恶意攻击和非授权访问； 、合理的安全体系架构和管理措施； 、实现网络系统安全系统的集中管理； 、有较强的扩展性。,安全设计思路,、第一维为应用层次维 、第二维为网络空间维 、第三维为业务流程维,安全设计思路,我们将首先通过网络的层次划分，把其安全系统划分成若干个安全层次，并针对每一个安全层次，分析其安全需求，提出安全解决方案，最后形成一个

20、全面的安全解决方案。,安全系统的设计原则,、全局性、均衡性、综合性设计原则 、可行性、可靠性、安全性 、适应性、可扩展性原则 、统一规划、分步实施原则 、易实现性和可管理性,解决方案,营运商防火墙思科ASA5585-X、华为USG9200、FortiGate3000和5000、山石E6360、E5960、瞻博SRX5600 、SRX5800 、H3C SecPath M9000 、 5000 、 大中型企业防火墙华为USG6600、思科ASA5400、FortiGate100和1000、山石E3600、山石E2800、瞻博SRX3600、SRX5400 、H3C SecPath F1000 中小型防火墙华为USG6500、USG6300、思科ASA5200、ASA5100、FortiGate-20和80、山石E1700、E1600、瞻博 SRX650、550、300 、H3C SecPath F100 营运商入侵防御系统思科8000、华为NIP6000D、华为NIP6000、FortiGate-3950B、3600、H3C SecPath T5000-S3、SecPath T1000-A 中小型企业入侵防御系统思科7000、华为NIP2000D/5000D、山石NIPS-1060 NIPS-1200、FortiGate-3240、1000 、H3C SecPath T200,