IDC网络技术方案

《IDC网络技术方案》由会员分享，可在线阅读，更多相关《IDC网络技术方案（22页珍藏版）》请在装配图网上搜索。

1、江苏有线昆山IDC网络技术方案1.1数据中心网络建设需求111现有IDC机房网络分析江苏有线昆山分公司现有数据中心机房网络采用传统以太网技术构建，基础 架构为二层组网结构，核心设备为一台华为 NE80 路由器,接入交换机为各种主 流品牌交换机（H3C,HUAWEI,DLINK等），网管和非网管交换机都有。随着各 类业务应用对业务需求的深入发展，业务部门对资源的需求正以几何级数增长， 传统的IT基础架构方式给管理员和未来业务的扩展带来巨大挑战。具体而言存 在如下问题：维护管理难：在传统构架的网络中进行业务扩容、迁移或增加新的服务 功能越来越困难，每一次变更都将牵涉相互关联的、不同时期按不同初 衷

2、建设的多种物理设施，涉及多个不同领域、不同服务方向，工作繁琐、 维护困难，而且容易出现漏洞和差错。比如数据中心新增加一个业务类 型，需要调整新的应用访问控制需求，此时管理员不仅要了解新业务的 逻辑访问策略,还要精通物理的防火墙实体的部署、连接、安装，要考虑 是增加新的防火墙端口、还是需要添置新的防火墙设备，要考虑如何以 及何处接入，有没有相应的接口，如何跳线以及随之而来的VLAN、路 由等等.当这样的网络资源需求在短期内累积，将极易在使得系统维护的 质量和稳定性下降，同时反过来减慢新业务的部署，进而阻碍公司业务 的推进和发展。 资源利用率低：传统架构方式对底层资源的投入与在上层业务所收到的 效

3、果很难得到同比发展，最普遍的现象就是忙的设备不堪重负,闲的设备 资源储备过多，二者相互之间又无法借用和共用。这是由于对底层网络 建设是以功能单元为中心进行建设的 ,并不考虑上层业务对底层资源调 用的优化，这使得对网络的投入往往无法取得同样的业务应用效果的改 善，反而浪费了较多的资源和维护成本。 服务策略不一致：传统架构最严重的问题是这种以孤立的设备功能为中 心的设计思路无法真正从整个系统角度制订统一的服务策略，比如安全 策略、高可用性策略、业务优化策略等等,造成跨平台策略的不一致性， 从而难以将所投入的产品能力形成合力为上层业务提供强大的服务支 撑。因此，按传统底层基础设施所提供的服务能力已无

4、法适应当前业务急剧扩展 所需的资源要求，本次数据中心建设必须从根本上改变传统思路，遵照一种崭新 的体系结构思路来构造新的数据中心 IT 基础架构.112 IDC机房网络目标架构面向服务的设计思想已经成为Web2。0下解决来自业务变更、业务急剧发 展所带来的资源和成本压力的最佳途径。从业务层面上主流的IT厂商如IBM、 BEA等就提出了摒弃传统的“面向组件(Component)”的开发方式，而转向“面向服务”的开发方式，即应用软件应当看起来是由相互独立、松耦合的服务 构成，而不是对接口要求严格、变更复杂、复用性差的紧耦合组件构成，这样可 以以最小的变动、最佳的需求沟通方式来适应不断变化的业务需求

5、增长.鉴于此， 江苏有线昆山分公司数据中心业务应用正在朝“面向服务的架构 Service Oriented Architecture (SOA) ”转型。与业务的SOA相适应，支撑业务运行 的底层基础设施也应当向“面向服务的设计思想转变，构造“面向服务的数据 中心”( Service Oriented Data Center， SODC)。传统组网观念是根据功能需求的变化实现对应的硬件功能盒子堆砌而构建 企业网络的，这非常类似于传统软件开发的组件堆砌，被已经证明为是一种较低 效率的资源调用方式，而如果能够将整个网络的构建看成是由封装完好、相互耦 合松散、但能够被标准化和统一调度的“服务组成，那

6、么业务层面的变更、物 理资源的复用都将是轻而易举的事情。SODC就是要求当SOA架构下业务的变 更，导致软件部分的服务模块的组合变化时，松耦合的网络服务也能根据应用的 变化自动实现重组以适配业务变更所带来的资源要求的变化,而尽可能少的减少 复杂硬件的相关性，从运行维护、资源复用效率和策略一致性上彻底解决传统设 计带来的顽疾.具体而言SODC应形成这样的资源调用方式：底层资源对于上层应用就象 由服务构成的“资源池”，需要什么服务就自动的会由网络调用相关物理资源来 实现，管理员和业务用户不需要或几乎可以看不见物理设备的相互架构关系以及 具体存在方式.SODC的框架原型应如下所示：在图中,隔在物理架

7、构和用户之间的“交互服务层”实现了向上提供服务、 向下屏蔽复杂的物理结构的作用,使得网络使用者看到的网络不是由复杂的基础 物理功能实体构成的,而是一个个智能服务安全服务、移动服务、计算服务、 存储服务等等，至于这些服务是由哪些实际存在的物理资源所提供，管理员 和上层业务都无需关心，交互服务层解决了一切资源的调度和高效复用问题。SODC和SOA构成的数据中心IT架构必将是整个数据中心未来发展的趋 势，虽然实现真正理想的SODC和SOA融合的架构将是一个长期的历程，但在 向该融合框架迈进的每一步实际上都将会形成对网络灵活性、网络维护、资源利 用效率、投资效益等等方面的巨大改善。因此ADC公司本次数

8、据中心的网络建 设，要求尽可能的遵循如上所述的新一代面向服务的数据中心设计框架。1.2IDC 机房网络设计目标在基于SODC的设计框架下，江苏有线昆山分公司新一代数据中心应实现如下设计目标: 简化管理:使上层业务的变更作用于物理设施的复杂度降低，能够最低限 度的减少了物理资源的直接调度，使维护管理的难度和成本大大降低。 高效复用：使得物理资源可以按需调度，物理资源得以最大限度的重用, 减少建设成本，提高使用效率。即能够实现总硬件资源占用量降低了， 而每个业务得到的服务反而更有充分的资源保证了。 策略一致：降低具体设备个体的策略复杂性，最大程度的在设备层面以 上建立统一、抽象的服务,每一个被充分

9、抽象的服务都按找上层调用的目 标进行统一的规范和策略化，这样整个 IT 将可以达到理想的服务规则 和策略的一致性.1.3IDC 机房技术需求SODC 架构是一种资源调度的全新方式，资源被调用方式是面向服务而非 象以前一样面向复杂的物理底层设施进行设计的，而其中交互服务层是基于服务 调用的关键环节。交互服务层的形成是由网络智能化进一步发展而实现的，它是 底层的物理网络通过其内在的智能服务功能，使得其上的业务层面看不到底层复 杂的结构，不用关心资源的物理调度，从而最大化的实现资源的共享和复用 .要 形成 SODC 要求的交互服务层，必须对网络提出以下要求:1.3.1 整合能力SODC 要求将数据中

10、心所需的各种资源实现基于网络的整合，这是后续上 层业务能看到底层网络提供各类 SODC 服务的基础。整合的概念不是简单的功 能增多，虽然整合化的一个体现是很多独立设备的功能被以特殊硬件的方式整合 到网络设备中，但其真正的核心思想是将资源尽可能集中化以便于跨平台的调 用，而物理存在方式则可自由的根据需要而定。数据中心网络所必须提供的资源包括:智能业务网络所必须的智能功能，比如服务质量保证、安全访问控制、 设备智能管理等等； 数据中心的三大资源网络：高性能计算网络；存储交换网络；数据应用 网络。这两类资源的整合将是检验新一代数据中心网络SODC能力的重要标准。1.3.2 虚拟化能力虚拟化其实就是把

11、已整合的资源以一种与物理位置、物理存在、物理状态等 无关的方式进行调用,是从物理资源到服务形态的质变过程。虚拟化是实现物理 资源复用、降低管理维护复杂度、提高设备利用率的关键，同时也是为未来自动 实现资源协调和配置打下基础。新一代数据中心网络要求能够提供多种方式的虚拟化能力,不仅仅是传统的 网络虚拟化（比如 VLAN、 VPN 等），还必须做到： 交换虚拟化 智能服务虚拟化 服务器虚拟化第2章IDC机房网络技术实现根据以上新一代数据中心网络的技术要求，必须对传统数据中心所使用的常 规以太网技术进行革新，数据中心级以太网（Data Center Ether net，简称DCE） 技术由此诞生。D

12、CE之前也被一些厂商称为汇聚型增强以太网技术（Co nverged En ha need Ether net,简称CEE）,是兼容传统以太网协议并按新一代数据中心的传输要求, 对其进行全面革新的一系列标准和技术的总称。因此，为达到江苏有线昆山分公 司的新一代数据中心的建设目标,必须摒弃传统以太网技术,而采用新一代的 DCE（CEE）技术进行组网。具体而言，本次江苏有线昆山分公司数据中心所采用的DCE技术，可以达到 以下的技术目标。2.1整合能力2.1.1 一体化交换技术DCE 技术的重要目标是实现传统数据中心最大程度的资源整合，从而实现 面向服务的数据中心SODC的最终目标。在传统数据中心中存

13、在三种网络:使用 光纤存储交换机的存储交换网络（Fiber Channel SAN），便于实现CPU、内存资 源并行化处理的高性能计算网络（多采用高带宽低延迟的InfiniBand技术），以及 传统的数据局域网。DCE技术将这三种网络实现在统一的传输平台上，即DCE 将使用一种交换技术同时实现远程存储、远程并行计算处理和传统数据网络功 能。这样才能最大化的实现三种资源的整合,从而便于实现跨平台的资源调度和 虚拟化服务，提高投资的有效性，同时还降低了管理成本。江苏有线昆山分公司业务的特点不需要超级计算功能，因此本次项目要实现 存储网络和传统数据网络的双网合一，使用DCE技术实现二者的一体化交换.

14、 当前在以太网上融合传统局域网和存储网络唯一成熟技术标准是Fiber Channel Over Ether net技术（FCoE），它已在标准上给出了如何把存储网（SAN）的数据 帧封装在以太网帧内进行转发的相关技术协议。由于该项技术的简单性、高效率、 经济性,目前已经形成相对成熟的包括存储厂商、网络设备厂商、主机厂商、网 卡厂商的生态链。本次数据中心建设将做好FCoE的基础设施准备，并将在下一阶段完成基于FCoE技术的双网融合。2.1.2 无丢弃以太网技术为保证一体化交换的实现，DCE改变了传统以太网无连接、无保障的Best Effort传输行为，即保证主机在通过以太网进行磁盘读写等操作、高

15、性能计算所 要求的远程内存访问、并行处理等操作，不会发生任何不可预料的传输失败，达 到真正的“无丢包以太网目标。DCE在网络中以硬件及软件的形式实现了以下 技术： 通过基于IEEE 802。lp类别通道的PAUSE 功能来提供基于数据流类别的流量控制IEEE 802。1Qaz 标准定义基于 IEEE 802.1p 流量类别的带宽管理以及这些流量的优先级 别定义IEEE 802。1Qau标准定义如何管理网络中的 拥塞(BCN/QCN)基于优先级类别的流控在DCE的理念中是非常重要的一环，通过它和 拥塞管理的相互合作,我们可以构造出“不丢包的以太网”架构;这对今 天的我们来说，它的诱惑无疑是不可阻

16、挡的。不丢包的以太网络提供一 个安全的平台，它让我们把一些以前无法安心放置到数据网络上的重要 应用能安心的应用到这个DCE的数据平台。带宽管理在以太网络中提供类似于类似帧中继(Frame Relay)的带宽控 制能力，它可以确保一些重要的业务应用能获得必须的网络带宽；同时 保证网络链路带宽利用的最大化. 拥塞管理可以提供在以太网络中的各种拥塞发现和定位能力，这在非连 接的网络中无疑是一个巨大的挑战；可以说在目前的所有非连接的网络 中，这是一个崭新的应用;目前的研究方向主要集中在后向拥塞管理 (BCN)和量化拥塞管理(QCN)这两个方面。2.1.3 性能支撑能力为保证实现一体化交换和资源整合,D

17、CE还必须对传统以太网的性能和可扩 展性的进行革新。首先为保证三网合一后的带宽资源，万兆以太网技术只是DCE核心层带宽 的起点而正在发展中的40G/100G以太网才是DCE技术将来的主流带宽因此， 要保证我们今天采购的设备能有5年以上的生命周期，就必须考虑硬件的可扩展 能力。这也就是说从投资保护和工程维护的角度出发，我们需要一个100G平台 的硬体设备，即每个设备的槽位至少要支持100G的流量（全双工每槽位 200Gbps）,只有这样才能维持该设备5年的生命周期同时从经济性的角度来 考虑，如果能达到400G的平台是最理想的。另外存储网络和高性能计算所要求的通过网络实现的远程磁盘读写、内存同 步

18、的性能需求，DCE设备必须提供比传统以太网设备低几个数量级的端口间转 发延迟。 DCE 要求的核心层的三层转发延迟应可达到 30us 以下，接入层的二层 转发延迟应可在34us以下。这都是传统以太网技术无法实现的性能指标要求.2.1.4 智能服务的整合能力众所周知，应用的复杂度是在不断的提升，同时伴随着网络的融合，应用对 网络的交互可以预见的是网络的复杂度也将不断的提升。这也印证我们的判断: 应用对网络的控制将逐步增强，网络同时也在为应用而优化。因此构建一个单业务的简单 L2 转发网络并不是网络设备的设计方向；全业 务的设备和多业务融合的网络才是我们所需要的环境。那么我们需要什么样的全业务呢，

19、很明显Data Center Ether net是一个必 备的项目，同时我们至少还需要其它的基本业务属性来保障一个多业务网络的运 行，如:服务质量保证QoS访问列表控制ACL 虚拟交换机的实现 Virtual Switch 网络流量分析 Netflow CPU抗攻击保护CoPP远程无人值守管理CMP嵌入式事件管理EEM当然，所有这些业务的实现都是在不影响转发性能的前提条件下的。失去这 个大前提，多业务的实现就变得毫无意义。所以设计一个好的产品就必须顾全多业务、融合网络这个大前提。如何使这 些复杂的业务处理能够在高达100G甚至是400G的线路卡上获得线速处理的性 能是考验一个硬件平台的重要技术

20、指标。最终的胜出者无疑就是能够用最小的代价来换取最大业务实现和性能的设 备平台。2.2虚拟化能力DCE对网络虚拟化不仅仅是传统意义上的VLAN和VPN,为实现SODC 的交互服务层资源调度方式,DCE还能够做到以下的虚拟化能力。2.2.1 虚拟交换技术虚拟交换技术可以实现当我们使用交换机资源时,我们可以不用关心交换服 务的物理存在方式,它可能是由一台交换机提供,也可能是两台交换机设备 ,甚 至可以是一个交换机中的几个虚拟交换机之一.思科的 DCE 技术就提供了将两 个物理交换机虚拟为一台交换机的虚拟交换系统（VPC）技术，以及将一个交换 机虚拟化为多个交换机的虚拟设备（VDC）技术。（一）虚拟

21、交换系统（VPC）VPC 技术可将网络的双核心虚拟化为单台设备，虚拟交换机性能倍增、管 理复杂度反而减半。具体有如下优势： 单一管理界面：管理界面完全为单台设备管理方式，管理和维护工作量 减轻一半； 性能翻倍：虚拟交换系统具备两台叠加的性能，与其它交换机通过跨物 理机箱的双千兆以太网或双万兆以太网捆绑技术，远比依靠路由或生成 树的负载均衡更均匀，带宽和核心吞吐量均做到真正的翻倍。 协议简单:虚拟交换系统与其它设备间的动态路由协议完全是单台设备与其它设备的协议关系，需维护的路由邻居关系数以二次方根下降，在 本系统中可达 45 倍下降，工作量和部署难度大大降低；虚拟交换系统 同时作为单台设备参与生

22、成树计算关系，生成树计算和维护量以二次方 根下降，在本系统中可达 45 倍下降,工作量和部署难度大大降低。 冗余可靠：虚拟交换系统形成虚拟单机箱、物理双引擎的跨机箱冗余引 擎系统，下连接入交换机原来需要用动态路由或生成树实现冗余切换 的，在 VPC 下全都可以用简单的链路捆绑实现负载均衡和冗余，无论 是链路还是引擎,冗余切换比传统方式更加迅捷平滑，保持上层业务稳定 运行。以前两个单引擎机箱的其中一台更换引擎，一定会导致数据的丢 失，而虚拟交换系统里任意一台更换引擎，数据可以保证0 丢失。（二）虚拟设备系统（VDC）VDC 技术则可以实现将一台交换机划分为多个虚拟的子交换机，每个交换 机拥有独立

23、的配置界面，独立的生成树、路由、 SNMP、VRRP 等协议进程,甚 至独立的资源分配（内存、TCAM、转发表等等）。它与VSS配合，将在实现更 加灵活的、与物理设备无关的跨平台资源分配能力，为数据中心这种底层设施资 源消耗型网络提供更经济高效的组网方式，也为管理和运营智能化自动化创造条 件。物理设备虚拟成若干个逻辑上的独立设备的图示：2.2.2 网络服务虚拟化在服务资源整合以及设备虚拟化的基础之上， DCE 要求每个虚拟化的网络 应用区都有自己的业务服务设施，比如自己的防火墙、IDS、负载均衡器、SSL 加速、网络服务,这些如果都是物理上独占式分配的，将是高成本、低效率且 难于维护管理的.D

24、CE网络在提供这些网络智能服务时都可以以虚拟化的方式实 现各类服务的资源调用，思科的 DCE 网络中就可以实现虚拟防火墙、虚拟 IDS、 虚拟负载均衡器、虚拟SSL VPN网络等等，从而实现网络智能服务的虚拟 化。2.2.3 服务器虚拟化服务器虚拟化可以使上层业务应用仅仅根据自己所需的计算资源占用要求 来对CPU、内存、I/O和应用资源等实现自由调度，而无须考虑该应用所在的物 理关联和位置。当前商用化最为成功的服务器虚拟化解决方案是 VMWare 的 VMotion 系列，微软的 Virtual Server 和许多其它第三方厂商（如 Intel、AMD 等） 也正在加入，使得服务器虚拟化的解

25、决方案将越来越完善和普及.然而人们越来越意识到服务器虚拟化的系统解决方案中除了应用、主机、操 作系统的角色外,网络将是一个更为至关重要的角色。网络将把各个自由联系成 为一个整体，网络将是实现自由虚拟化的桥梁.服务器虚拟化需要 DCE 能够提供 以下能力:资源的整合:业务应用运行所依赖的物理计算环境都需要网络实现连 接，然而在传统网络中，传输数据的数据网、互连 CPU 和内存的计算 网、互连存储的存储网都是孤立的，这就无法真正实现与物理无关的服 务器资源调度，因此实现真正意义上彻底的服务器虚拟化，前面提到的 DCE 三网一体化交换架构是必须的条件. 网络的虚拟机意识:传统网络是不具备虚拟机意识的

26、，即在网络上传递 的信息是无法区别它是来自于哪个虚拟机，也无法在网络上根据虚拟机 来提供相应的网络服务,当虚拟机迁移，也没有相应的网络跟踪手段保证 服务的全局一致性。不过这些都是DCE正在解决的问题，一些DCE的 领导厂商，比如思科，已经在推出的商用化DCE产品中提供了相应的 虚拟机标识机制，并且思科已经联合 VMware 等厂商将这些协议提交 IEEE 实现标准化. 虚拟机迁移的网络环境：服务器虚拟化是依靠虚拟机的迁移技术实现与 物理资源无关的资源共享和复用的.虚拟机迁移需要一个二层环境，这导 致迁移范围被局限在传统的 VLAN 内。我们知道 Web2。 0、云计算等 概念都需要无处不在的数

27、据中心，那么如何实现二层网络的跨地域延展 呢？传统的L2 MPLS技术太复杂，于是IEEE和IETF正在制定二层多 路径（即二层延展）的新标准，DCE的领导厂商思科公司也提出了一种新 的协议标准Cisco Over the Top Virtualization（OTV）来解决跨城域或广 域网的二层延展性问题,从而为服务器虚拟化提供可扩展的网络支撑.2.3自动化自动化是 SODC 架构中上层自动优化的实现服务调用必须条件。在高度整 合化和虚拟化的基础上，服务的部署完全不需要物理上的动作，资源在虚拟化平 台上可以与物理设施无关的进行分配和整合，这样我们只需要将一定的业务策略 输入给智能网络的策略服

28、务器，一切的工作都可以按系统自身最优化的方式进行计算、评估、决策和调配实现.现在商用的 DCE 自动化解决方案包括管理自动化 和业务部署自动化。江苏有线昆山分公司数据中心将在后续的建设中逐步完善自动化管理和自 动化业务部署,但需要在本期通过 DCE 技术的实施打下未来自动化部署的坚实 基础。2.4绿色数据中心DCE 技术的整合化、虚拟化和自动化本身就是在达到同样业务能力的要求 下实现高效率利用硬件资源、减少总硬件投入、节约维护管理成本等方面的最佳 途径，这本身也是绿色数据中心的必要条件.另外 DCE 产品必须在硬件实现上实现低功耗、高效率,包括利用最新半导体工艺（越小纳米的芯片要比大纳米的芯片

29、省电）降低逻辑电路的复杂度（在接入层使用二层设备往往要比三层设备省 电） 减少通用集成电路的空转（使用定制化的专业设计的芯片往往比通用芯 片省电）等等由此可见，对于一台网络设备，在业务能力相当的前提条件下，越小的功耗 就代表越先进的技术。在DCE设备一般可以做到维持三层的全业务万兆吞吐功 耗小于25W、二层的万兆吞吐功耗小于13W综上所述，在本次江苏有线昆山分公司新一代数据中心网络的建设中，将采 用不同于传统以太网技术的DCE以太网技术，构建面向服务的高效能数据中心 网络平台。第3章数据中心网络改造建议3.1总体网络结构本次江苏有线昆山分公司数据中心网络的建设将采用新一代的 DCE 技术， 并

30、使用DCE技术的代表厂商Cisco公司的Nexus系列产品。网络结构将采用大 型数据中心典型的层次化、模块化组网结构。3.1.1 层次化结构的优势采用层次化结构有如下好处： 节约成本：园区网络意味着巨大的业务投资正确设计的园区网络可以提 高业务效率和降低运营成本. 便于扩展：一个模块化的或者层次化的网络由很多更加便于复制、改造 和扩展的模块所构成，在添加或者移除一个模块时，并不需要重新设计 整个网络。每个模块可以在不影响其他模块或者网络核心的情况下投入 使用或者停止使用. 加强故障隔离能力：通过将网络分为多个可管理的小型组件,企业可以大 幅度简化故障定位和排障处理时效。3.1.2 标准的网络分

31、层结构层次化结构包括二个功能部分,即接入层、核心层，各层次定位分别如下 核心层：是企业数据交换网络的骨干，本层的设计目的是实现快速的数 据交换,并且提供高可靠性和快速的路由收敛。 接入层:负责提供服务器、用户终端、存储设施等等的网络第一级接入功能，另外网络智能服务的初始分类，比如安全标识、QoS分类将也是这 一层的基本功能。313 IDC机房网络结构根据业界企业网络最佳设计实践参考，在边缘节点端口较少的小型网络中, 可以考虑将核心层与分布层合并，小型网络的网络规模主要由接入层交换机决 定。江苏有线昆山分公司的业务应用特点又决定了核心层将相对接入的网络模块 较少，只有VOD服务器接入、数据中心汇

32、聚接入、广域网接入等三块如果采用 单独的大容量物理核心设备将造成浪费,而如果采用低端核心设备则会对业务相 对繁忙的数据中心汇聚形成瓶颈,也影响网络整体的稳定性.鉴于此，我们采用核 心层设备Cisco Nexus 7000（IDC机房已有）作为核心，但虚拟化为两套交换 机，一套用于全网核心，一套用于数据中心汇聚.这样做的优势如下：逻辑上仍然是清晰的两套设备，完全保持了前述网络分层结构的优势。在性能上实现了网络核心和数据中心汇聚交换机资源的共享和复用，非 常好的解决了核心层数据量和数据中心数据量可能存在较大差异的问 题。 以较低的投入升级了数据中心汇聚交换机的能力（相当于可以与核心层 复用 4Tb

33、ps 以上的交换能力），适于下一阶段要进行的数据中心双网融 合的资源需求。 减少了设备数量，降低了设备投入成本、功耗开销和维护管理的复杂度。 充分利用原有的NEXUS 7000交换机，发挥最大使用效率。314 IDC机房网络设备统计与规划位置业务功能网络交换机规划数量备注机架1DHCP，网站32 口千兆万兆自 适应电口接入交 换机2机架2智慧昆山等32 口千兆万兆自 适应电口接入交 换机2机架3华数老系统32 口千兆万兆自 适应电口接入交 换机2机架4华数老系统32 口千兆万兆自 适应电口接入交 换机2机架5VOD服务器原有 nexus 7018核心交换机2机架6托管服务器无机架7托管服务器无

34、机架8业务系统服务器原有 nexus 7018核心交换机2机架9托管服务器无3.2IDC 机房网络设计本次我们采用原有的 Cisco Nexus 7018 系列大型 DCE 交换机,每台Nexus7000划分为两个VDC (虚拟交换机)，一个虚拟交换机作为ADC公司 全网核心，另一个虚拟交换机作为数据中心的分布汇聚层交换机.本次每台N7018实配48个万兆端口，这些端口都可在物理上划分为属于全 网核心的虚拟交换机和属于数据中心汇聚的虚拟交换机，每个虚拟交换机从软件 进程到配置界面都各自独立，但可以共享和复用总的交换机资源。每个虚拟交换机都支持vPC技术(Virtual Port-Cha nn

35、el),即可以实现跨交换 机的端口捆绑,这样在下级交换机上连属于不同机箱的虚拟交换机时，可以把分 别连向不同机箱的万兆链路用与IEEE 802。3ad兼容的技术实现以太网链路捆 绑，提高冗余能力和链路互连带宽的同时，大大简化网络维护。核心层虚拟交换机与其它设备互连都采用路由端口和三层交换方式，因此采 用vPC进行链路捆绑时使用三层端口链路捆绑技术。如图所示：使用 Cisco Nexus 2000 系列 DCE 接入交换机,可以实现数据中心接入层的 分级设计.本次建议IDC使用具备32个1G/10G以太网端口、8个万兆上连端口的Nexus 2232FT.Nexus 2000是NEXUS 7018

36、系列的交换矩阵延展器，通过部署 在机柜(Top of the Rack，ToR)的Nexus 2232FT，可以将本地接入的高密度 服务器上连到nexus 7018上,通过连接多台Nexus 2232FT，NEXUS 7018可 以将惊人交换能力延展到多个机柜，实现高性能、高密度、低延迟的 DCE 服务 器群接入能力。而且作为NEXUS 7018的延展设备,Nexus 2232FT无需自身进 行复杂配置，所有管理和配置都可在其上游的NEXUS 7018上完成，大大简化 了多机柜、高密度服务器接入设备的管理复杂度。Nexus 2000都是按柜顶(Top of the Rack,ToR)交换机的尺

37、寸设计,12U 的高度内紧凑的集成了高密度的 DCE 端口，但同时提供可热插拔的冗余风扇组 和冗余电源系统，其可靠性远非其它传统以太网中固定接口小交换机所可比.3.3数据中心地址路由设计核心层和接入层之间使用交换端口，实现二层交换。如前所述，当前的主流 虚拟机软件，如VMware、Virtual Server等都需要在二层交换下实现虚拟机迁 移，因此在数据中心接入层使用二层交换将方便虚拟机的迁移和调度。当前由于 Cisco独特的虚拟交换机技术和vPC跨设备端口捆绑技术的使用，可以实现在二 层结构下完全没有环路,从根本上解决了生成树算法收敛慢、不稳定、故障多的 问题，也使得在一个数据中心内二层结

38、构下的可扩展性与三层结构没有根本的区 别.如下图所示，只要经过适当设计,本项目接入层的二层部分将没有环路，快速 生成树算法将只用于在误操作等极端情况下的防范手段。当 IEEE 的改进生成树协议或者 IETF 的二层路由协议技术成熟，或者直接 使用思科当前就可以提供的OTV技术，二层结构还可以扩展到城域和广域网中 去，扩大服务器虚拟化的调度范围，向云计算的理想迈进.分布汇聚层的智能服务机箱相关的地址和逻辑设计将在后面专项的智能服 务介绍中详细阐述。3.3.1 VLAN/VSAN 和地址规划Nexus 7018和2000将可以把主机服务器和存储设备一并接入统一交换， 其中数据网络部分实现传统的VL

39、AN设计，而存储网络则支持VSAN。在 DCE 的一体化交换架构下,数据网络部分的逻辑结构设计(地址和路由) 与分层设计的传统网络完全兼容，因此用户现有的主机、服务器在割接到新数据 中心时无需变更地址，实现平滑过度。3.4 数据中心设计技术优势类别DCE方案性能核心和汇聚的性能- N7000 是 16Tbps；- 100G以太网平台；- 每插槽550Gbps；接入层性能- 万兆端口全线性；- 千兆端口基本线性（1。2： 1）;总体服务质量- 先进的软硬件机制，保证不丢 包的以太网可靠性核心- NXOS操作系统的稳定性， 更彻底的多线程保护机制；- 支持vPC技术保证双核心可 靠性；接入层- 所

40、有接入层支持双电源、可在 线更换的风扇系统；- NX-OS操作系统，稳定的模 块化操作系统安全性核心-分布式控制平面保护能力接入层-丰富的二层安全机制-不支持三层安全保护机制可管理 性核心和汇聚- vDC能力- vPC能力- 普通终端Con sole 口-特殊的无需协议栈的网管端 口- 被管理物理实体2套，管理简 单接入层- 采用FEX （虚拟交换矩阵延 展），通过N7000管理N2000- 被管理实体4套，管理简单可选管理系统- CiscoWorks- Cisco Fabric Man ager- Cisco Data Center Network Man ager管理成熟性- 已部署100

41、0多套，正逐步成 熟3.4.1 下一代数据中心技术优势类别DCE方案整合化一体化交换能力- 支持 体化交换技术：数据以太网、 高性能计算网络、存储局域网（SAN） 三网整合- 支持ANSI FCoE标准- 实现咼带宽、大容里、低延迟、无丢 弃技术，整合SAN网络- 实现咼带宽、大容里、低延迟、无丢 弃技术，代替InfiniBand技术无丢弃的以太网技术-支持优先流量控制（根据优先级的暂 停帧支持）- 支持IEEE 802。1Qaz （带宽管理）- 移植SAN Credit技术实现帧流控- IEEE 802。1Qau标准的拥塞管理 （BCN/QCN）低延迟- 端口到端口的低延迟能力（二层3us,

42、 三层30us）咼吞吐能力- 面向100G以太网的技术- 16T吞吐能力虚拟化系统虚拟化- 使用VDC （虚拟设备）和VPC （虚拟 父换系统）两种技术核心和汇聚采用VDC智能服务机箱使用VPC网络虚拟化- 支持VDC和VPC网络智能服务虚拟化-防火墙系统、负载均衡系统等支持虚 拟化服务器虚拟化- 一体化交换保证存储和计算资源整合 程度咼- 网络支持VNlink,有虚拟机策略迁 移能力- 提供高吞吐、低延迟、可扩展的二层 接入环境，利于虚拟机迁移自动化业务部署自动化- 一体化交换、资源整合能力，具备虚 拟机意识的虚拟化能力，保证基于服 务器和应用业务部署的自动化实现绿色数 据中心资源利用率-

43、VDC技术减少核心和汇聚设备的硬 件数量，资源复用率高- 支扌寸 体化交换技术，减少网络硬件 和服务器网卡数量，提高硬件复用率， 减少能耗低能耗半导体工艺- 基本采用专业设计定制的芯片，不使 用通用芯片，避免通用器件中大量无 用器件的能耗- 采用更新的低能耗半导体工艺，整合 FCoE的Nuova芯片以太网网卡比分 立的以太网卡和存储HBA卡能耗更 低设备送风方式- 专为高密度数据中心机房设计，从核 心到接入都按取新的数据中心机房制 冷方式优化万兆端口能耗- 专为高密度万兆端口设计，接入层米 用分布式交换矩阵延展技术，减少万 兆布线距离，可大量采用低能耗、低成本的10GE BASECU SFP+

44、线缆接入层产品定位-按新 代虚拟化数据中心优化，其接 入层设备具备高密度万兆线和千兆的 线性处理能力，适于运行VMware等平 台，但去掉功耗较大、接入层不需要 的功能,如三层交换、复杂的路由协 议、MPLS等3.5相关网络设备介绍Cisco Nexus 2000 系列交换机介绍为了将Nexus 7018的服务延展到更多机柜，提供更高密度的DCE接入，但又无需增加管理上 的负担，思科提供了 Nexus 2000Nexus7000专用的延展器，它提供高密度的千兆或万兆本 地接入,然后用几乎线性的性能完成万兆的上连 ,而所有管理则完全放在上连的 Nexus5000 上，从而提供了最佳性价比、且支持

45、VN-link等高级DCE功能的数据中心接入解决方案.Cisco NXOS 数据中心级操作系统简介产品概述Cisco NX-OS是一个数据中心级的操作系统，该操作系统体现模块化设计、永续性和可维护 性。在业界成熟的Cisco SANOS软件的基础上，Cisco NX-OS确保持续的可用性，并为 承担关键业务的数据中心环境设立标准。Cisco NXOS的自行恢复和高度模块化的设计实 现对业务无影响的运行，提供出色的运营灵活性。Cisco NX-OS 是面向数据中心的需要而设计的，它所提供的强大、丰富的特性集,不仅能满足当前数据中心的路由、交换和存储网络要求，还能满足未来的数据中心需求凭借XML界

46、面和类似Cisco IOS软件的CLI, Cisco NXOS为相关网络标准和各种真正数据中心级思 科创新的实施提供鼎力支持。特性和优势灵活性和可扩展性软件兼容性：Cisco NXOS 4。0能与运行各种Cisco IOS软件操作系统的思科产品互操 作。Cisco NXOS 4.0也能与遵循本产品简介中所列举的网络标准的网络OS互操作。整个数据中心通用的软件:Cisco NX-OS简化数据中心的操作环境，提供一个统一的OS, 能够在数据中心网络的各个区域运行，包括局域网、SAN和第四到七层网络服务. 模块化软件设计：Cisco NXOS能够在SMP、多核CPU和分布式线卡处理器上支持分布 式多

47、线程处理功能。硬件表编程等需要大量计算的任务能卸载给分布在多个线卡上的专 用处理器。Cisco NX-OS模块化进程在独立受保护内存空间中逐个按需启用.因此，只有 当一个特性启用后,进程才会启动，开始分配系统资源.模块化进程由实时预先排程器管 理，有助于确保及时处理关键功能。虚拟设备环境(VDC)： Cisco NX-OS能够将OS和硬件资源划分为模拟虚拟设备的虚拟 环境。每个VDC拥有其自身的软件进程、专用硬件资源(接口)和独立的管理环境。VDC 有助于将分立网络整合为一个通用基础设施,保留物理上独立的网络的管理界限划分和 故障隔离特性,并提供单一基础设施所拥有的多种运营成本优势。可用性持续

48、系统运营:Cisco NX-OS提供持续的系统运营，维护、升级和部署软件认证，同时不 会造成服务中断。通过将进程模块化、模块化修补、思科运行中软件升级(ISSU)功能 和不间断转发(NSF)平稳重启相结合，极大地降低软件升级和其他操作所带来的影响。思科ISSU：思科ISSU利用冗余引擎在平台上提供透明的软件升级功能，极大地缩短停 机时间，使客户能够在极少影响或不影响网络运营的情况下,集成最新的特性和功能。迅速开发增强特性和故障修复：Cisco NX-OS的模块化特性使新的特性、增强特性和故 障修复能够迅速地集成入软件。因此，模块化修复功能能够在极短的时间内完成开发、 测试和交付使用，满足紧迫的

49、时间要求利用ISSU,这些更新镜像能在不干扰正常运行的 情况下安装。 进程应急启动:关键进程在受保护的内存空间中运行，独立于其他进程和内核，从而提 供精确的服务分隔和故障隔离，支持模块化修补和升级，以及快速重启功能.各进程能够 分别重启,不会丢失状态信息,不会影响数据转发，因此，在升级或故障后，进程会在数 毫秒内重启，而不会影响邻近的设备或服务。利用基于标准的NSF平稳重启机制，拥有大量 状态信息(如IP路由协议)的进程能够得以重启；其他进程则借助本地永久存储服务(PSS)维持其状态。 状态化引擎故障切换:冗余引擎始终保持同步，支持快速的状态化引擎故障切换。它具 有先进的检验功能，有助于确保故

50、障切换后整个分布式架构中状态的统一性和可靠性。可靠的进程间通信：Cisco NXOS提供进程间可靠的通信功能，能够确保故障过程中和 出现不利情况下，所有信息都得以传送和正确地发挥作用.该通信功能有助于确保进程同 步化和状态的一致性，这些进程能够在分布于多个引擎和I/O模块上的处理器上启用。 冗余交换以太网带外信道(EOBC):Cisco NX-OS能充分利用冗余EOBC来支持控制和I/O 模块处理器间的通信。 基于网络的可用性：通过提供工具和功能，使故障切换和回退透明、迅速，从而优化网 络收敛。例如，Cisco NX-OS提供生成树协议增强特性，如BPDU防护、环路防护、根防 护、BPDU过滤

51、器和网桥保证,以确保生成树协议控制平面的状态正常；UDLD协议；路 由协议NSF平稳重启；毫秒间隔的FHRP;SPF优化，如LSA Pacing和iSPF;以及带可调整计 数器的I EEE 802.3ad链路汇聚。可维护性故障排除和诊断:Cisco NXOS拥有独特的可维护性功能,使网络操作员能够根据网络 趋势和事件提前采取行动，从而增强网络规划，缩短网络运营中心(NOC)和厂商的响 应时间。呼叫到家、思科通用在线诊断(GOLD )和Cisco NX-OS嵌入式事件管理器(EEM) 是Cisco NX-OS用于提高可维护性的部分特性。交换端口分析器（SPAN）： SPAN特性允许管理员在不对运

52、营造成影响的情况下，将SPAN 进程流量导向连接一个外部分析器的SPAN目的地端口，从而对端口 （称为SPA N源端口） 间的所有流量进行分析。嵌入式数据包分析器:Cisco NX-OS拥有一个内置数据包分析器，用于控制平面流量的监 控和故障排除。该数据包分析器以常用的Wireshark开放源网络协议分析器为基础而构 建。 智能呼叫到家：智能呼叫到家特性能够持续监控软硬件，并通过电子邮件发送关键系统 事件通知。它拥有多种消息格式，能与寻呼机服务、标准电子邮件和基iXML的自动分 析应用等出色兼容.它提供报警分组功能和可定制目的地功能。该特性有多种用途，例如 直接寻呼网络支持工程师、发送电子邮件

53、给NOC,以及利用思科自动通知服务直接开启 一个思科技术支持中心（TAC）案例等。这一特性向实现自治系统运营迈出重要的一步， 使网络设备在出现问题时能通知IT，确保故障得以迅速地解决，缩短解决时间，最大限 度地延长系统正常运行时间。思科GOLD：思科GOLD是一个诊断套件，负责检验硬件和内部数据路径是否按设计要 求运行。思科GOLD特性集包括引导时间诊断、持续监控，以及按需和定期测试等这个 业界领先的诊断子系统能够执行对当今连续运行环境十分重要的快速故障隔离和持续 系统监控功能。 思科EEM：思科EEM是一项强大的设备和系统管理技术，集成在Cisco NXOS之中。 思科EEM能够帮助客户充分

54、利用思科软件的网络智能优势，使其能根据发生的网络事 件，定制所采取的行动。 Cisco Netflow： Netflow是Cisco NXOS中的一个组件，它支持版本5和版本9输出， 以及灵活N etflow配置模式和基于硬件的样本Netflow,提高可扩展性。可管理性 可编程XML界面：在NETCONF业界标准的基础上，Cisco NXOS XML界面为设备提 供一个统一的API，使客户能快速开发和创建工具，增强网络性能. SNMP协议:Cisco NX-OS符合SNMP版本1、2和3的规定，支持广泛的管理信息库（MIB）。 配置验证和回退：凭借Cisco NXOS，系统操作员能够在应用配置

55、前，验证配置的一致 性和所需硬件资源的可用性。因此，设备能预配置，之后再应用经过验证的配置。配置 还包括检查点，以使管理员能根据需要回退到以前的完善配置。 基于角色的访问控制（RBAC）：凭借RBAC, Cisco NX-OS使管理员能分配用户角色， 限制用户对交换机的操作.管理员能够定制接入功能,仅允许必要用户访问网络。 思科数据中心网络管理器（DCNM）:思科DCNM是一个专门用于数据中心网络运营的 管理解决方案。它大幅延长整个数据中心基础设施的正常运行时间，提高可靠性，因而 能够支持业务连续性.思科DCNM是为Cisco NXOS产品系列专门设计的。 连接管理处理器（CMP）支持：Cis

56、co NXOS支持利用CMP对平台实施“熄灯式远程 管理。通过提供NX-OS控制台带外接入信道，CMP为运营提供有力支持。流量路由、转发和管理以太网交换：Cisco NX-OS支持高密度、高性能的以太网系统，提供全面的数据中心级 以太网交换特性集。该特性集包括IEEE 802.1D2004快速和多生成树协议（802。1w和 802.1s）、IEEE 802.1Q VLAN和中继、支持16,000名用户的VLAN、IEEE 802。3ad链路汇 聚、私有V LAN、跨机箱私有VLAN、主动和标准模式UDLD，以及流量抑制（单播、组 播和广播）。生成树协议利用生成树环境中的ISSU、BPDU防护、

57、环路防护、根防护、BPDU 过滤器、网桥保证和巨型帧支持，实现透明升级。 IP和路由：Cisco NXOS支持广泛的IP版本4和6 （IPv4和v6）服务及路由协议。这些协 议的实施完全符合最新标准的要求，提供先进的增强特性和参数，如4字节ASN和增量 SPF，并且无需使用率低下的传统功能，其出色实施能够提高特性速度和系统稳定性。所 有单播协议都支持不间断转发平稳重启（NSF-GR）。所有协议都支持各种类型的接口， 包括以太网接口、交换虚拟接口（SVI）和子接口、端口信道、隧道接口和环回接口. IP组播：Cisco NX-OS提供业界领先的IP组播特性集.Cisco NXOS 4。0的实施为未

58、来开 发支持组播的丰富网络功能奠定基础。 Cisco NX-OS去除已废弃的功能，如PIM密集模式，这是体现操作系统的前瞻性发展方 向的一个实例。 服务质量（QoS）： Cisco NXOS支持多种QoS机制，包括分类、标记、队列、监管和调 度。所有QoS特性都支持模块化QoS CLI （MQC）。MQC能用于在各种思科平台上提供统 一的配置.网络安全 Cisco TrustSec:作为Cisco TrustSec安全套件的一个组件，Cisco NXOS提供出色的 数据保密性和完整性，利用128位高级加密标准（AES）支持标准的IEEE 802。1AE链路层 加密。链路层加密保证端到端数据私密

59、性，允许按照加密路径添加安全服务设备。安全组 访问控制列表（SGACL ）是网络访问控制的一个新模式，是在安全组标记而非IP地址的 基础上构建的，能够支持更加精确的策略，且因为具有拓扑结构独立性，使管理更加方便。 其他网络安全特性：除Cisco TrustSec以外，Cisco NXOS 4.0还提供以下安全特性：- 数据路径入侵检测系统（IDS），用于协议遵从性检查- 控制平面限速 （CoPP）-MD5路由协议验证- 思科集成安全特性，包括动态ARP检测（DAI）、DHCP电子欺骗和IP源防护- AAA 和 T ACACS+-SSH协议版本2- SNMPv 3 支持- 端口安全- IEEE

60、802.1X 验证和 RADIUS 支持- 第二层思科网络准入控制（NAC）局域网端口 IP- 由命名ACL （基于端口的ACL PACL、基于VLAN的ACL VACL和基于路由器的ACL RACL）支持的、基于MAC和IPv4地址的策略3.6IDC 机房网络设备清单型号描述数量备注N2K C2232TM-EN2K-C2232TM-E-10GE(32xl/10GT+8xl0GE )， airflow/power optic接入交换 机11配置万兆上联单模 模块，每台2个，规 划1台2232为备 用设备LN7K ADV1K9=Nexus 7000 Adv LANEnterprise Lic(VDC ， CTS ONLY ) eDelivery软件许可2现有N7018交换机 虚拟化软件许可