Juniper数据中心建设方案详细

《Juniper数据中心建设方案详细》由会员分享，可在线阅读，更多相关《Juniper数据中心建设方案详细（68页珍藏版）》请在装配图网上搜索。

1、新一代数据中心解决方案学习参考juniperNETWORKS1. 概述 32. 数据中心的发展趋势 42.1 数据中心集中化和使用者的分散化 422服务器的分析 5431.2 虚拟化 6431.3 存储 6431.4 SoA基于业务的数据中心架构 7431.5 绿色数据中心 7431.6 统一通信 7431.7 安全 83. 数据中心的建设策略 84. 网络架构的简化 94.1 传统网络架构的问题 94.2 Gartner的调研报告 124.3 Ju niper的方案一简化数据中心网络架构 144.3.1 EX4200VC技术 154.3.2 EX8200VC技术 214.4 网络架构简化的优

2、势 224.5 数据中心虚拟化 244.5.1 服务器虚拟化 244.5.2 网络虚拟化 285. 数据中心一体化安全 306. 主备数据中心考虑 367. 关于 FCoE 408. QoS考虑 438.1 QoS概述 438.2 Juniper的CoS机制支持和优势 449. 经济性考虑 4810. 降低管理维护成本 5211. 数据中心业务调度自动化 556. 概述对于任何机构而言，数据中心都好比是它的心脏。员工、合作伙伴和客户都 需要依赖数据中心里的数据和资源才能有效交流与合作。过去十年来，随着互联网和Web技术的兴起，数据中心的战略地位变得越来越重要， 因为它不但能提高 生产率，改善业

3、务流程，还能加快变革的进程。总之，数据中心已经成为IT部门保护、优化和发展业务的战略重点。要实现这些目标，数据中心建设面临着很多挑战。 过去几十年来，为适应经 济的迅猛增长，多数企业数据中心都经历了一个快速发展期。 数据中心运行的应 用越来越多，但很多应用都相互独立，而且在使用率低下、相关隔绝的不同环境 中运行。每个应用都追求性能的不断提高， 一般情况下，数据中心必须支持多种 操作系统、计算平台和存储系统。这种需要支持多个应用“孤岛”的分立式基础 设施不仅难以变化和扩展，而且管理、集成、安全和备份成本很高。传统的数据中心正变得过于复杂，成本高昂并且效率低下，逐步成为了企业 业务进一步发展的最大

4、的瓶颈。传统数据中心的体系架构已经有超过10年没有变化：部署了过多的交换节点，设计及实际运行中的大部分的是低性能、 低密度 的设备。而用户和应用的增长几乎一直都伴随着机柜和设备的增长。更为严重的是，这些升级在生产环境中引入了新的未经测试的操作系统，紧接着的是额外的投资开销、机架空间、电源消耗及管理费用，这些都直接导致了数据中心运维的 整体复杂性以及成本的大量增加。根据行业预测，70%的IT预算都花费在了现有应用环境的维护上。因此， IT机构必须提高运行效率，优化数据中心资源的利用率，才能将节省出来的资 金用于开展新的盈利型IT项目。另外，数据中心建设需要建立永续基础设施， 才能保护各种应用和服

5、务免受各种安全攻击和干扰的危害。与此同时，数据中心领域也在不断涌现出大量的创新，包括服务器虚拟化、 以太网存储、新的业务应用交付模式等。这些创新能够推进企业数据中心效益的进一步提升。数据中心的融合和虚拟化趋势加速了资源的优化及成本的下降。融合、虚拟化及存储对网络性能和安全都提出了更高的要求。而服务器虚拟化不仅大幅提高 了服务器资源的使用率，也大幅增加了网络内部的数据业务量。运行在虚拟服务器环境下的应用，要求更低的延迟、更高的吞吐量、更加强壮的服务质量（服务 质量（QoS）和极高的可靠性HA （HIGH AVAILABILITY）。传统的数据中心已经不 能满足每端口增加的业务量及性能要求。更进一

6、步，数据存储的高带宽和低延迟要求，以及更多的采用iSCSI和NAS则更增加了对网络架构的要求。而随着未 来FCoE （Fiber Channel over Ethernet以太网光纤隧道）的标准化，该技术必将对网络架构提出更高的带宽和性能要求。此外，如 SOA （Service Oriented Architecture 面向服务的架构）和WOA（Web Oriented Architecture面向 Web的架构）等新的应用架构，以及如云计算、桌面虚拟化和软件既服务 （SaaS Software as a Service） 等新的 业务，也对数据中心网络架构产生更高的性能和带宽要求。这些更高

7、的需求要求数据中心部署全新的高性能的网络平台，以提高数据中心的生产率，同时降低了 数据中心的新应用进入市场的时间和运维成本。7. 数据中心的发展趋势2.1数据中心集中化和使用者的分散化为了降低运行维护和数据整合的成本，简化操作，并符合法律法规的监管要求，越来越多的企业在考虑整合合并其数据中心。据Nemertes研究公司的报告称，超过50%勺公司在过去的12个月之内，合并其分散的数据中心为整合的集 中的大型数据中心，而这一趋势在今后的12个月内更加显著。整合的大型数据中心除了能够满足高可靠性的要求， 确保不间断的业务，同时还能够降低数据中 心的处理时延，并提供更高的安全保障。同时，企业数据中心的

8、设计还必须满足越来越分散的使用者 （分支机构、门 店或个人）的趋势，据 Nemertes的研究报告，企业中约 89%勺员工是工作在总 部以外的区域，如远程的分支机构。此外，虚拟化的趋势已进一步扩展了企业数据中心的使用者范围，包括企业的承建商，咨询顾问，业务伙伴和客户等等，这 些用户需要在世界任何地方、任意时间接入并使用数据中心的应用。因此，企业必须提供7X24小时的高可靠的用户的安全连接和使用，同时确保所有企业资源 和应用的安全性。云计算:革命性计算模式(billions)超大型数据中心(thousands)企业更为分散化分散式企业环境HomeBranch集中式数据中心数据更为集中化8 Cam

9、pusCopyright ? 2009 JuniperNetworks, Inc.Mobile2.2服务器的分析Gartner公司(2007)称，数据中心平均每年服务器保持了11%勺增长率，而存储则是22%这些快速的增长带来对数据中心的电力供应和冷却能力的巨大 压力。2007年的Forrester的报告也指出，51%勺企业将集中部署服务器作为 一个关键优先考虑事项。Gartner还报道指出，大多数企业的服务器都只运行了其能力20%因此，通过虚拟化新技术，能够更好地利用这些闲置浪费的资源。 此外，集中式部署的 数据中心的备份和安全问题必须得到解决，集中的数据中心也要求能够具备统 一、集中的管理解

10、决方案，从而减少时间和资源投入，以保持数据中心的可靠性 和可用性。2.3 虚拟化虚拟化是一种用于共享资源，使单一的物理资源划分为许多个别独立的资源 的技术手段。反过来虚拟化也可以使得多个独立的物理资源整合为一个统一的资 源。虚拟化的好处是在以最小的成本，创造更灵活的系统，可以轻松地提供灵活 的部署，先进的自动化，安全和易于管理的优势。虚拟化主要应用在四个主要资 源类别：服务器，存储，网络和最终用户桌面。服务器虚拟化让一台服务器通过如 VMware?或Microsoft Virtual Server 软件，虚拟化为多台机器。服务器虚拟化使IT管理人员能够灵活地管理 Server 上的工作负荷，并

11、提供相应的 HA和灾难恢复服务。存储虚拟化有助于使许多存储阵列、池和系统显示为一个单一的资源，提供 这些资源的无缝缩放，从而实现更加方便的数据迁移，提高资源利用率和简化的 管理规定。虚拟化的网络是通过不同的虚拟化技术，实现数据平面的虚拟化、控制平面的虚拟化和管理平面虚拟化。客户端虚拟化使IT管理人员能够提供快速的、无所不在的托管桌面访问， 以实现完全的安全、易于管理和升级。2.4存储随着企业越来越依赖于庞大的数据存储，可扩展，高性能的存储系统解决方案正成为当今企业的越来越重要的考虑方面。Fiber Cha nn el-光纤通道仍然保持着SAN市场的绝大部分。但随着千兆位以太网（GbE的日益流行

12、，部署和管 理基于以太网的NAS的方案使得iSCSI成为一个有吸引力的，低成本的选择。此 外，基于以太网NAS的解决方案更容易利用虚拟化的优势实现快速扩展，并提供 HA虽然4或8 Gbps的光纤通道提供了比千兆以太网更快的速度优势，但网络 接口卡（NIC）上通过TCP卸载功能能够大大提高iSCSI的性能。此外，较低成 本的10GE以太网iSCSI也提供了超越光纤通道的速率，从而满足高速存储需求。2.5 SoA基于业务的数据中心架构新兴企业正在越来越多地采用面向服务的架构（SOA的业务流程，通过各 个不同的独立的业务功能模块，构建大型的集成的应用系统。虚拟化技术在SOA的环境中得到了广泛的使用，

13、通过虚拟化技术，能够增加服务的可靠性，实现无 缝的扩展。在这种方式下，IT部门可以在不同的应用程序进程之间整合各种关键的技 术。在一个基于SOAK环境中，各个业务功能模块之间进行大量的，密集的信息交换和互通，这对数据中心的网络带宽会带来新的影响和冲击。2.6绿色数据中心随着业务和终端用户利用越来越多的网上资源，企业必须建立他们的IT架构去支持这些网上应用，但很多企业都面临着数据中心运行维护的成本问题。据权威统计，一个企业的平均存储需求每年都以 20-150%勺速度增长。其中，服务 器增长11%应用程序增长10%因此，承担众多业务应用的企业数据中心消耗 了翻倍的能源，并产生成倍的热量。美国环保局

14、的一个调查发现，2006年服务器设备电力消耗占美国全部电力消耗的1.5%。企业在电力上的花费比在硬件设备上的花费还要多。对于新建的数据中心而言，重要的是要确保数据中心网络基础设施能够实现 最大的能源利用和空间利用效率， 从而实现最低的运行维护成本。 绿色倡议，跟 踪。在设计一个数据中心时，必须考虑到电力和冷却资源的使用， 二氧化碳排放 量等这些关键因素。2.7 统一通信语音，视频和数据服务相结合的统一通信系统的采用正在快速增长。根据 Forrester研究（2006年）报告，北美所有公司的 46%经安装IP电话或视频 系统。统一通信的应用对数据中心提出了更高的性能和可靠新要求，不仅要充分考虑网

15、络的带宽供应，更要实现有效的服务质量（ QoS保障。2.8安全联邦调查局的统计显示，2006年至少72%勺公司遭遇过安全事故。2006年 Forrester 研究公司的调查发现，57%的企业将“升级安全环境”列为公司 IT 方面的首要任务。由于数据中心业务系统的的集中化和使用者份额分散化，远程用户被授予的网络接入范围日益广泛，因此必须在企业的数据中心提供有效的安全保障，如提供分支机构用户以安全的远程接入通信方式接入到数据中心，或者提供远程机构到核心网络之间的站点到站点通信。 另外，还必须考虑到数据中心内部不同应用 系统、不同虚拟机之间的安全，多个数据中心之间的连接的安全性，如主备数据中心之间的

16、流量安全等问题。8. 数据中心的建设策略Jun iper Networks 网络数据中心架构解决方案简化了数据中心的安全与网 络设计。通过消除传统架构中的多个交换节点， 全新的简化网络设计需要更少的 设备和互联链路-带来空间、电源、制冷以及管理的更高效率。设备的减少、性 能的提高以及高可用性，是通过具有线速性能的集群交换(Virtual Chassis)技术获得的。通过将传统的“杂乱式安全”设计整和到少量的高性能机箱式产品，解决方 案简化并提高了安全服务的部署效率。这些产品基于动态服务架构并通过单一操 作系统上的“真正服务集成”，使得新增安全服务部署速度的大幅提升成为可能。安全服务融合不仅使得

17、安全架构具有更高的能耗和空间效率，而且通过减少 被管理设备的总数使得运维更简便。全部安全服务的实现无需通过多个有限规模 和单一功能的设备，也大幅降低了整个网络的应用延迟。 通过提高跨越多个数据 中心的汇聚核心网络的扩展性，高级路由技术和平台实现了业务操作的灵活性。 数据中心也能在更低的复杂性下快速部署新的应用和支持新的服务，从而以更高的性能和更低的成本实现业务发展目标。新一代数据中心的整体建设思路：1。可扩展性：成长的提供可扩展的网络架构和数据中心处理能力。2。快速：能够支持任何通信应用程序或服务，提供高带宽，降低处理延迟3。可靠性：满足数据中心集中化后的高可靠性要求。4。安全：对数据中心的各

18、类应用和网络平台本身提供安全保障。5。简单：降低管理维护复杂性，降低成本。Up to an order of magnitude improvement n latencyCarrier class, no single paint af failure, no downtimeTightly integrated & vrtualized security servicesManaged as a srigle switchFrom tens to tens of 1,000s of ports9. 网络架构的简化9.1 传统网络架构的问题传统的数据中心网络架构采用了核心一汇聚一接入的三层网

19、络架构模型， 这 一方面是受到了传统的园区网络三层架构的建网模式的影响， 同时早期的设备也 无法满足核心一接入这样的二层架构所需要的端口密度和性能要求。在三层网络架构发展的时期，这种模式是必不可少的，因为局域网交换技术 力求满足大多数企业的交换性能需求，而功能分层是提高性能的一种行之有效的 方法。例如，骨干交换机的速度恰好能够支持大多数核心应用， 如果再让它去执 行复杂的路由或过滤任务（通常在软件中执行），运行速度定会急剧下降。因此, 这些功能被分配给了多个汇聚交换机，以便核心交换机能够专门执行简单的交换 任务，从而最大限度地提高性能。采用这种设计方法，大型网络会需要多个核心 交换层来进一步扩

20、大规模，每层通常执行不同的任务。使用这种方法创建的一些 参考设计至今仍被作为模板来使用，交换层能多达五个，每层都由多个设备组成。 这类配置中，用于连接交换机的以太网端口数量，通常与连接用户或服务器的端 口数量相同。随着这种方法日益成熟，交换机供应商开始寻求通过汇聚层提供更 加丰富的服务，不仅包括路由访问控制列表和其它低级别数据包处理功能，还包括防火墙和流量分析等其它功能一一这类功能通常由服务板卡提供，服务板卡可添加到所有的汇聚层交换机。在极端的情况下，供应商可能会将服务板卡添加到 每一个网络层次，以期改进服务/提高安全性；事实上，在各层复制相同的功能， 只会徒劳无功。而在当今的数据中心，如果继

21、续采用这种网络架构将存在以下几个方面的问题：1，网络的层次较多，处理效率低；多增加了一个汇聚的层面，就会额夕卜增加汇聚设备的处理时延、线路时延等；同时由于网络节点数量2,3,4,增多，也增加了部署成本和设备故障的几率；由于汇聚层面设备一定存在处理性能和上行带宽的收敛比，在数据 中心规模不断扩大的情况下，汇聚设备会成为整个网络的瓶颈，出 现拥塞、丢包等问题；在网络扩容时，不仅仅需要增加接入层的设备，同时也必须考虑到汇聚设备的性能和端口密度能否满足要求， 也需要进行相应的扩容, 带来投资成本的增加。网络设备之间的STR LAG路由处理、安全等等相互之间的交互信 息，随着设备数量的增加，会成几何级数

22、激增。a）以10台交换机为例，设备之间的交互量为10x（10-1）/2=45 ；b）而如果是100台交换机，交互量则上升至 4950;BOO200100Devieee400c）如果是1000台交换机，则交互量为499500,几乎无法正常管理和应 用的地步。5,早期数据中心的流量模型是 Client Server流量占绝大多数，而随着数据中心虚拟化的部署，新的数据中心流量模型中，大多数的流 量是在内部服务器之间进行通信，甚至能够达到整体流量的75%这种部署架构会导致服务器之间流量需要通过汇聚层甚至核心层设 备转发，效率低下，且性能很差。数据中心虚拟化与汇聚的因素需要重新考虑数据中心网络11111

23、1 111111 111111 111111 “即 1门口1 1ITTU TT1H19.2 Gartner的调研报告Gartner在最大限度减少网络交换层，显著降低成本报告中也指出，过去，针对交换机性能有限的环境,niiErIdriKi：Hl：Essninisinun壬了nnnninuimm计方法。如今，大容量交换机采用全新的设计方法， 从而降低园区及数据中心局 域网的成本和复杂性。过去三年来，局域网交换机市场发生了显著的变化。虽然企业的流量需求在 不断增长，但局域网交换机容量的增长速度更快。 此外，更复杂的功能不是在软 件中执行，而是直接嵌入到芯片中，这样可以通过交换机的所有端口“线速”提

24、供这些功能，同时不会影响交换性能。现在，最大型的企业级局域网交换机每秒 可处理超过一个T的交换容量，能够支持近1,000个1 Gbps以太网端口或者200 多个10 Gbps端口。与前几代产品相比，这些新型交换机中的服务板卡的数量呈 下降趋势。以前，交换机性能有限，我们创建了传统的局域网设计方法。当前，许多企 业在设计网络时，仍在沿用这种方法。在某些情况下，他们保留汇聚层只是为了 提供防火墙等服务模块，这与最初的设计理念完全背道而驰一一汇聚交换机的最 初目的是便于企业提供更多功能。现在，您可以根据新的市场条件，采用新的方法来设计局域网。由于所有的 交换机端口都能在不影响性能的情况下提供丰富的功

25、能，因此您可以放弃三层设计方法，而选择更为精简的拓扑结构。例如，可以使用单层交换机来支持小规模 配置；使用两层交换机来满足企业园区及数据中心的大多数需求；使用三层交换机来支持超大规模的网络部署（见图 2）。图2.全新的两层局域网设计资料来源：Gartner （2009年11月）减少交换层次的网络设计方法不会影响冗余功能，因为核心交换机通常作为完全冗余部署，具有永续特性，如冗余电源以及控制和交换矩阵等。在数据中心， 接入层通常也采用双冗余配置的部署模式，将服务器同时连接到两个交换机中。这种全新的精简方法设计局域网的主要优势在于， 能够减少网络中的交换机 和链路数量，从而降低前期购置成本和后期维护

26、成本。此外，精简的配置还能降 低电力和冷却需求，这对数据中心网络尤为重要。为了探寻这种设计方法潜在的成本优势，我们以支持4,800个10/100 Mbps以太网用户端口的网络为例。该网络将连接100个48端口的边缘交换机，每个交换机需要4条1 Gbps上行链路，总共需要400条1 Gbps上行链路。传统的三 层设计方法，会将这些边缘交换机与由8个汇聚交换机组成的中间层连接（4对 冗余配置），每个汇聚交换机支持50条1 Gbps上行链路，且需要（至少）2条 10 Gbps上行链路，其中每条链路与冗余配置的两台核心交换机中的一个交换机相连。如果将这些边缘交换机与核心层直接相连，则企业无需购买带有1

27、6个10Gbps上行链路端口的8个汇聚交换机机箱，同时核心交换机上的10 Gbps端口数量可相应减少16个。此时，我们仍需要400个1 Gbps端口，但它们将被部署 在核心层而不是汇聚交换机中。以 2009年第3季度的市场平均价格计算，相比 10.2万美元的用户端口和 3.8万美元的1 Gbps端口，仅减少32个10 Gbps端 口一项，就可节省5.6万美元的成本，这相当于节省了约 28%勺网络前期购置成 本。同时，电力和维护成本也会相应降低(而从成本分析来看，后期的设备使用 和维护成本要远高于设备的采购成本)。通过减少交换层数量，流量需要穿越的交换机数量也会减少，从而可以缩短延迟，提高应用性

28、能。此外，简单的配置还有助于简化网络管理，减少需要配置 的设备，以及需要排障的端口和线缆数量，并简化路由和虚拟局域网(VLAN)的 配置。4.3 Juniper的方案一简化数据中心网络架构在大量的数据中心环境中，需要部署大量的以太接入交换节点提供服务器连 接到网络核心。为减少交换节点，Ju niper Networks 数据中心架构解决方案采 用集群交换(Virtual Chassis)技术，支持高达10台的EX4200交换机互联，或 者最多8台EX8200互联，形成单一的、逻辑设备，实现整个数据中心网络架构 的最简化。虽然全部的交换机以单一平台运行，但在虚拟机箱配置中的每台独立 物理设备都有

29、其自身的电源输入和风扇盘阵，提供可靠的以太网交换能力。因此，由于采用了高性能的交换核心和网络边缘设备，同时通过VC技术实现了网络架构的简化，因此新的数据中心的网络可以采用核心一接入的二层架 构，从而提升效率、减少故障点、降低管理维护工作量。简化的数据中心网络物 理架构如下所示：FC SAN数据中心的交换机无论是以柜顶“Top-of-Rack ”方式还是以列末“ End-of-Row”方式部署，利用EX系列集群交换(Virtual Chssis)技术可以大幅减少交换机之间汇聚的连接和端口。 无需为每台物理交换设备配置冗余链路 以确保HA(HIGHAVAILABILITY)，仅为每个集群交换组配置

30、冗余互联链路即可。 和具体的配置有关，集群交换机箱组中的某些交换机可能没有上联链路，而是借助其他成员交换机的上联链路。在虚拟交换机配置方式下，所有物理交换机通过 一块高性能背板连接，并允许在故障时切换到互联的备份交换机。这样的配置显 著减少了确保网络连接冗余所需的链路数量，同时降低或消除了数据中心接入交换节点的生成树协议(Spanning Tree Protocol)的需求。作为柜顶“ Top-of-Rack ”或列末“ End-of-Row ”交换机的EX42O0直接连 接到数据中心的一对核心EX8200系列交换机。EX8200系列是具有非阻塞、高密 度性能、100GE ready的交换机，

31、单一机箱可提供高达 6.2/12.4Tbps的背板带 宽，单一机箱可支持高达128个线速万兆以太网接口或640个万兆以太网接口。 而通过EX8200的VC技术，能够实现VC机群更高的处理性能和端口密度。EX4200 VC 技术Juniper EX4200系列交换机支持虚拟机箱的集群技术，通过EX4200的专用集群接口或者上联的万兆接口，可以实现灵活的交换机集群功能。VC技术实现了最多10台EX4200交换机的集群，集群后的交换机即作为一 台逻辑上的模块化交换机，提供统一的配置、管理、维护、升级等功能，完全等 同于一台独立的机箱式交换机。EX200 tineVirtual Chassis 5wh

32、Ch： 1 RUi 24GbE(ns + 2 lOGbELegacy Agregjtmn Switch： 1215 Rack units (RUst 缺288 ObE gru + 4 lOGbEEX&SOOllne碗GbEpons + 4 IDGbEEXOOUneGbEports + 9 lOGbE相对于一般交换机的堆叠技术，VC集群技术具有如下的优势：通过专用的集群线缆，集群交换机具有 128Gbps的背板转发性能，大大 由于目前其他厂家的堆叠技术的背板容量；除了通过集群线缆实现交换机的 VC外，还可以通过交换机的10GE上联 接口实现交换机的vc这极大的方便了位于不同地理位置的多台交换机

33、之间的集群；集群后的交换机即为一台独立的模块化交换机，集群不需要通过STP协议来避免环路产生；集群后的交换机会选举出一台主用路由引擎和一台备用引擎，主备引擎之间可以通过NSR实现引擎切换0丢包；在集群中的一块引擎失效后，将自动在其他转发模块中选举出一块备用 引擎，保持整个集群的双引擎，从而保障整个交换集群的高可靠性；集群中除引擎模块外，其他交换模块作为转发模块，类似于机箱式交换 机的接口板卡；每块板卡均具备本地的转发能力，整个交换集群构成一 个完全的分布式转发的架构。每个交换模块均可通过液晶显示屏显示相应的信息，包括交换机模块在 集群中所处的插槽等信息，其使用方式与机箱式交换机没有区别。VC集

34、群中的不同交换模块上的端口可以灵活实现端口聚合 port-cha nnel 的功能；因此，通过VC技术，可以实现很方便地实现某个单体建筑内多台交换机的 集群和统一的管理，此时的 VC集群就可以当成一台单独的模块化交换机，提供 动态的双引擎的高可靠性和分布式转发的高性能。同时，VC相对于固定的机箱式交换机而言，具有更好的灵活性，可以完全 按照端口需求进行VC中交换模块数量的扩展。另外，由于VC中的每个交换机都 具有各自独立的上联GE或10GE接口模块，因此每个VC的双10GE上行接口可以 分布在不同的交换模块上，避免由于一台设备的故障导致两条上联链路的终端， 提供了更高的可靠性。在实际的数据中心

35、部署方案中，EX4200作为接入交换机，可以采用 Top of Rack或者End of Row两种部署模式。Top-of-Rack 部署方案在实际的数据中心部署架构中，为了提供大量高密度的服务器的高带宽接入，我们建议将EX4200系列交换机部署在服务器机架的顶端，即Top of Rack的部署方案，用以实现机架内部的服务器的接入。如图所示：为了满足服务器接入的高可靠性的需求，一般会采用服务器双网卡接入的方 案，在这种情况下，可以在每个机架中部署两台ToR交换机，分别提供服务器的 双上行网卡接入。而对于不同机架中的EX4200交换机，则可以通过VC技术实现接入交换机的虚拟化，即多台EX4200

36、虚拟化为一台逻辑设备，这样每个机架中的两台EX4200交换机就分属两个逻辑 VC交换集群。通过接入层交换机的虚拟化，可以简化网 络管理，提升接入层设备的可靠性，并优化数据中心的流量。如下所示：Rack 1Rack 2EX42ODyC2EX4200EX4200盅Servers接入层的EX4200的每个VC交换机集群则可通过多条10GELAG线路捆绑实 现到核心的EX8200的高带宽上联。可以根据每个VC所需要的上联带宽，决定上 联链路的数量。同时每个 VC的上联10GE端 口可以采用多台EX4200交换机的上 行接口，从而提高了可靠性，也有利于提升转发效率lO/lOO/lCMXiI I| BAS

37、E-T/TX |111 111 lil需要注意的是，EX4200的VC需要通过专用的VC线缆或者10GE接口实现设 备之间的互联。当采用VC线缆实现机架之间的EX4200相互之间的互联时，由于 每台EX4200都部署在各个机架的顶端，而VC线缆长度是有限的，因此需要考虑 到VC线缆的互联方式。我们建议采用如下的 VC连接方案：2个机架之间互联：3个机架之间互联:4个机架之间互联:5个机架之间互联:6个机架之间互联:7个机架之间互联:8个机架之间互联:9个机架之间互联:10个机架之间互联:通过这种方式互联，可以保证任意两台EX4200之间所需的VC线缆长度均小 于5米（考虑了机架顶到走线槽之间的

38、距离和机架之间的间隔） 。因此可以灵活 的实现同一排机架之间2-10台EX4200构成VC交换集群。End-of-Row 部署方案而当采用列末部署方案时，情况则变得更加简单，在列末的机架中，部署EX4200交换机，提供这一列机架内所有服务器的接入，而列末的 EX4200可以构 建VC交换集群。同样，为了提供服务器双网卡上联的需求， 可以将EX4200划分 为2个独立的VC如图所示。这种方式适合于服务器密度不大，每个机架接入端口需求不多的情况，同时还可以简化接入层 EX4200的VC连接。但需要在机房布线时，布放列末机柜到该列所有其他机柜服务器之间的线路。VC1VC2EX8200 VC技术EX8

39、200系列交换机同样可以通过 VC技术，实现2台、4台甚至8台设备虚 拟化为一台逻辑的设备。通过 Virtual Chassis虚拟化技术，能够提供EX8208之间、EX8216之间或者EX8208与EX8216混合的虚拟机箱，形成一个具备超过 1400个10/100/1000 BASE-T接口或者超过1200个10GE接口的单一的逻辑交换 平台。两台EX8200交换机之间通过10GE链路或者多个10GE捆绑链路实现相互之 间的互联，今后可以通过 100GE提供更高的互联带宽。而接入层的EX4200 VC的双上行的链路可通过LAG链路捆绑的方式实现上行链路的带宽倍增，并且避免 在接入层和核心设

40、备之间形成环路，也无需运行STP协议。Active XRE200Slandtry XRE200EX820O Virtual Chassis Switch2x10 GbE LAG-LLLLLEXS200 Virtual Chassis Switch2x10 GbE LAG与其他友商的虚拟化技术不同的是，Juniper EX8200 的Virtual Chassis技术采用了外置冗余引擎的架构，通过外置冗余引擎，可以实现：控制平面和转发平面的完全隔离，避免了相互之间的影响；而如果采用友商 的引擎内置在转发平面中的方案，则可能由于转发平面的问题导致控制平面 异常，造成主备引擎同步异常，甚至转发异常；

41、能够通过外置双引擎，实现2台、4台甚至8台EX8200的集群，并可实现在 线的平滑升级；而其他友商均只能实现 2台设备的虚拟化；引擎之间具有独立的互联心跳链路，避免了通过控制平面进行心跳侦测可能 的双主的问题（友商虚拟化方案中，当两台核心设备之间心跳线路中断时， 会导致两台核心设备都成为主用状态， 双主问题会引起整个数据中心核心转 发的混乱，从而导致整个数据中心的转发中断）；两台或者多台EX8200之间可以通过10GE或者10GE线路捆绑提供极高的互 联带宽，今后还可以通过100GE实现更高的互联带宽，避免跨机箱链路的瓶 颈（其他友商一般仅通过 2x10GE实现机箱互联，相比于设备的处理性能，

42、 20GE的互联带宽会成为极大的瓶颈）；这种方式借鉴了核心网路由器集群的方案，具有极高的可靠性和扩展能力， 更加适合于大型数据中心的部署需求。4.4网络架构简化的优势通过采用VC技术构建数据中心的核心节点和接入层设备，能够提供：1，简化管理：两台甚至多台 EX系列交换机可以虚拟化为一台逻辑设备,作为一个独立的设备进行管理，能够有效简化管理压力；整个数据中心 管理的逻辑设备数量大大减少；2，转发性能提升：通过 VC构架集群交换平台，能够实现核心设备性能的 叠加，与接入层交换机之间通过跨物理机箱的多万兆以太网捆绑技术， 项对于采用路由或生成树的负载均衡更均匀，切换速度也更快，更有利 于数据中心核心

43、网络的稳定可靠，同时也能够提高互联带宽；3，部署维护简单：在数据中心网络中，逻辑架构就是一个单独的核心交换 集群和多个接入交换集群之间的互联，网络架构做到了最简化，相互之 间没有复杂的协议交互，也避免了复杂低效的 STP协议。因此部署和维 护工作量和难度大大降低。4，网络扩展方便：如果接入层设备需要扩展端口，一种方案是在原有 VC中增加交换 机，最多可支持10台接入交换机构建成一个独立的 VC提供更高 密度的接入端口和更强的处理性能；在原有VC中增加新的交换模块 不会对在线业务造成影响，可以实现平滑升级；或者可以新增接入层交换机，构成新的 VC,新的VC通过新增的互 联链路连接到核心交换机上；

44、当核心节点的端口密度或者处理性能不能满足要求时，可以通过在 线增加EX8200交换机的方式，实现核心性能的升级；在原有的 EX8200集群中增加新的交换节点也不会影响到在线的业务，从而实 现平滑升级；最多可以支持8台EX8200构成一个逻辑集群，且能够支持EX8208与EX8216的混合集群；网络能够实现无缝的扩展，实现接入端口和处理性能的平滑提升， 满足企业快速发展的需求。5，控制和转发平面的彻底分离：EX8200的虚拟机箱技术采用了创新的外置 冗余引擎的方式构建逻辑的交换集群。通过外置冗余引擎，做到了真正 意义上的控制平面和转发平面分离。从根本上避免了控制和转发之间的 相互影响，提供了极高

45、的可靠性和稳定性。弓I擎的切换、升级和更换， 都不会影响到转发平面的数据转发；而任意一台机箱的故障，也不会影 响整个集群的控制和转发。4.5数据中心虚拟化4.5.1服务器虚拟化随着数据中心服务器虚拟化的逐步部署，需要数据中心的网络架构能够提供 针对虚拟化后流量模型的优化的转发。一种虚拟化的方案是采用VMware等方案实现单台物理服务器虚拟化为多台 逻辑的服务器，并在不同逻辑服务器上运行不同的应用系统，如下所示：虚拟化后的逻辑服务器之间可以通过服务器内部的虚拟交换机vSwitch的VLAN划分实现相互之间的隔离，虚拟交换机vSwitch通过物理的NIC网络接口实现和数据中心的EX4200接入交换

46、机之间的Trunk互联，通过VLANTAG实现不 同逻辑服务器的二层隔离。AatformGuest 06Separate VLANS orSubnets hcwlvig rm Hi pie vriu罩義i severs此时，为了实现虚拟服务器之间的相互的数据交互，必须提供VLA N间的三层路由功能。由于EX4200能够提供线速的三层转发功能，并且在数据中心的边 缘实现，因此能够提供最优化的逻辑服务器之间的线速的流量交互。（如果边缘设备不能提供三层路由功能，则需要流量经过数据中心的汇聚设备甚至核心设 备，才能实现三层的VLAN间路由功能，这种方式的效率是非常低的，也不符合 数据中心流量模型）。对

47、于这种虚拟化的方案，我们建议的服务器连接方案如 右图所示：一台物理服务器通过双网卡连接到数据中心边缘 的同一个VC的两台EX4200上，该物理服务器内部划分的多 个虚拟服务器之间通过 VLAN实现相互的二层隔离，并通过 Trunk连接到EX4200 VC上。而通过边缘的 EX4200 VC的三 层转发功能，虚拟服务器之间的交互流量无需通过核心层设 备，就能够实现网络边缘的、线速的、优化的数据转发。Front viewRea Zewedicatad VirtualVMMC4Virtual SwitchPort Group A i ,七iPort Groups i3132inr_nrjPortsH

48、ITSMembaiD;O RO la； Riinary Uplink module Mernbff HDI Roie. BadkirpSWAgfliVMNIC3VLAN 71Virtual MmehinesVLftN72EX Server Host另外一种服务器虚拟化的模式是通过 Hadoop等方案实现多台物理设备虚拟 化为一台逻辑设备，通过 Hadoop能够实现在由通用计算设备组成的大型集群 上执行分布式应用的框架，这是一种简化的分布式编程模式，能够让程序自动分 布到一个由普通机器组成的超大集群上并发执行。我们建议按照下图的方式实现服务器的接入，即多台的物理服务器接入到 EX4200VC上，

49、通过EX4200VC128Gbps的高速背板, 实现物理服务器之间高效的数据交互。 为了满足高可靠性的要求，每台物理服务 器均可通过双网卡实现到两个 EX4200 VC的上联。如下图所示：TORVCwlTORVC2RXklRxk 2RackNGt)E Or XQ)E uOtnh g AAOtlWf VC rftCii 0r CorAKgaTnEX4200GCkE Of KXjbE to another VC rg ar通过Juniper EX4200VC之间128Gbps的高带宽互联，能够充分满足逻辑集 群内物理交换机之间的高带宽互联和高效的数据转发机制， 而这些流量无需经过 核心设备的处理，

50、因此能够提高处理效率、降低转发时延，提升数据中心的效能。Access Layer (Vi rtuaL Chassis)TOR VC#1TOR VC #2RacklRack 2需要注意的是，由于数据中心服务器的虚拟化是依靠虚拟机的迁移技术来实 现与物理资源无关的资源共享和复用的，因此在实际部署数据中心网络和服务器 时，建议将有大量交互数据的物理/虚拟服务器尽量部署在同一个接入层 EX4200 VC内部，有利于发挥VC内部横向高带宽转发的优势。Virtual Chassis总结：Juniper数据中心简化的网络架构能够充分满足数据中心服务器虚拟 化后的新流量业务模型，即接近75%勺流量是在数据中心

51、内部服务器之间转发的 趋势，从而实现最优化的数据中心业务承载，降低时延并提高可靠性。4.5.2网络虚拟化在前面，我们提到了通过Juniper特有的Virtual Chassis技术，实现数据 中心接入层设备和核心层设备的多合一虚拟化功能。对于集中部署的数据中心平台而言，同样也存在将统一的物理网络平台虚拟化为多个逻辑上隔离的网络平 台，并分别承载不同的业务和应用系统的需求。Wrtu刮 lz 阳 oniwtvrark vnrwaiizaaonManagenwnrVlrtyaiizaOHiControl vimiaiizaQQoknprows Rootmo Utilization数据平面虚拟化的一个

52、最简单的例子就是使用 802.1Q VLAN的物理网络 接口标记，以提供多个相互隔离的网段。通过在一台独立的物理设备上使用诸如 VR虚拟路由器或者VRF则可以 实现控制平面的虚拟化，在单台路由器上实现多个路由域和协议。通过在一台设备上采用逻辑路由器 LR或者虚拟防火墙系统（VSYS,则 可以实现管理平面虚拟化。通过MPLS和VPLS技术，能够使得高速数据中心的骨干网络满足综合网 络架构的性能需求。另外，虚拟化技术也可让多台交换机整合为一台逻辑设备，从而简化设 备配置和管理，同时也提高了可靠性，减少潜在的性能瓶颈。通过Juniper EX系列交换机的Virtual Router特性，能够实现在一

53、张物理 的网络上划分为多个相互之间路由隔离的逻辑的业务平面，每个业务平面均有各 自独立的路由表和转发表，并且都能够基于硬件 ASIC实现线速的高性能转发。-LILLI10. 数据中心一体化安全传统的数据中心中采用分散式和叠加式的安全部署方案， 通过在网络中叠加 部署不同功能安全设备，来提供各个所需的安全功能。这种部署方案一方面导致 了网络架构的复杂化（这与数据中心建设简化的网络架构截然相反） ，导致管理 和维护工作量的增加和数据中心管理复杂程度的增加， 同时由于安全设备自身处 理性能和可靠性的问题，会成为整个数据中心的瓶颈和单点故障， 不利于数据中 心的不断扩展，也不利于数据中心的稳定可靠。F

54、C SAN在下一代数据中心中，通过将传统的叠加式部署的安全设计理念转变为采用 整合的功能融合的高性能机箱式产品，简化并提高了数据中心安全服务的部署效 率，并且提升了数据中心的安全保障能力。 这些产品基于动态服务架构并通过单 一操作系统上的“真正服务集成”，使得新增安全服务部署速度的大幅提升成为 可能。安全服务的融合不仅使得安全架构具有更高的能耗和空间效率，而且通过减少被管理设备的总数使得运维更简便。 全部安全服务的实现无需通过多个有限规 模和单一功能的设备，也大幅降低了整个网络的应用延迟。 通过提高跨越多个数 据中心的汇聚核心网络的扩展性，高级路由技术和平台实现了业务操作的灵活 性。数据中心也

55、能在更低的复杂性下快速部署新的应用和支持新的服务，从而以更高的性能和更低的成本实现业务发展目标。通过分析数据中心的安全需求，主要体现在以下几个方面:物理服务器之间的安全虚拟服务器之间的安全数据中心之间数据传输的安全用户端/分支机构到数据中心访问的安全ClientsGlobal High-Performance NetworkData Centers各个安全系统之间的协同安全DC之间VPLS传输IfDC to DCServer to Server服务器之间Clie nt to DCVMs之间用户端到DC直接协同安全防护数据中心安全防护具体的部署模式如下所示，改变原有的分布式部署安全设 备的方案，

56、而是通过在数据中心的核心位置部署高性能的 SRX系列防火墙，能够 实现对数据中心的全面的高性能的安全防护。 采用旁挂在核心设备上的方式能够 实现灵活的基于策略的安全防护功能，并且避免防火墙设备成为网络的性能瓶颈 和单点故障点。SERVERSWAN路由器SRXnjunosII口 口口口口 口 LUJmiQQQ Q口口 口口STORAGEFC SANJuniper SRX系列防火墙提供了可扩展的网络安全解决方案，适用于包括大 型数据中心、大型园区网边界、宽带移动用户、中小型企业In ternet边界、大型企业的内部网络安全域划分和控制，以至电子商务网站的服务器保护等等。 Juniper全功能防火墙

57、采用实时检测技术，可以防止入侵者和拒绝服务 (de ni al-of-service)的攻击。从防火墙硬件架构上考虑，Juniper SRX系列防火墙均采用安全优化的硬件, 比拼凑而成的软件类方案提供更高级的安全水平。SRX系列特性特性说明优势专用的硬件平台从一开始就构建在专用硬件上， 旨在支持网络和安全服务提供无与伦比的性能和灵活性来支持高速网络环境可扩展的性能基于动态服务架构，提供可扩展 的处理能力提供经济高效的简单解决方案， 利用新技术来执行适当的处理 任务系统和网络永续性提供运营商级硬件设计和公认的OS满足所有关键的高速网络部署 的可靠性需求高可用性(HA)支持主/备HA配置，使用专用

58、 的HA控制接口实现咼可用性和永续性，支持关 键网络接口灵活性采用模块化的CFM模块并且基 于动态服务架构，提供灵活的I/O选项，支持灵 活的I/O 配置和独立的I/O 可 扩展性，能够满足任何特殊的网 络要求网络分割提供安全区、VLAN和虚拟路由 器，管理员可以部署安全策略， 以便隔离客人和地区服务器或 数据库提供的功能可以为不同的内部、 外部和DMZ亚组定制特殊的安 全性和网络策略强大的路由引擎支持专用路由引擎，同时对数据 和控制平面实施物理和逻辑分 割允许部署整合后的路由和安全 设备，同时确保路由基础架构的 安全性一均通过一个专用管理 环境实现全面的威胁防护在JUNOS软件上提供高度集成

59、 的特性，包括数千兆位的防火墙、IPsec VPN IPS、DoS 和其 他服务提供无与伦比的集成能力，在各 级攻击环境中均可确保网络安 全SRX产品系列采用模块化架构，提供市场领先的灵活性和性价比，基于Juniper的动态服务架构，支持灵活地配置I/O卡(IOC)，使用户能够通过配置 系统在性能和端口密度之间实现理想均衡，并能够基于特定的网络要求对SRX业务网关进行定制部署。SRX系列支持高密度的千兆和万兆接口，提供高达120Gbps的防火墙处理性能和完善的IPS入侵检测和保护功能，并且提供完善的 安全保障服务来满足特定的业务需求。Juniper SRX系列防火墙的优势主要体现 在以下几个方

60、面：架构设计SRX系列的硬件平台汲取了瞻博网络超过 10年的各种产品设计经验。特别 的是，SRX系列的设计，采用了与瞻博网络MX系列以太业务路由器相似的架构。 MX系列与SRX系列的不同在于SRX系列需要实现安全业务服务。为实现该服务， 瞻博网络在SRX系列上开发了业务处理卡SPC这-强大的模块化、高速、高密度 计算卡，可在一个机箱中安装多块。增加更多的业务卡实现了性能的自动扩展。SRX系列实现了真正的控制和转发平面的分离。控制平面实现全部的管理和动态路由交互，与数据平面处理分离。数据平面是高性能交换背板，实现SPCs和接口卡之间业务的线速转发。这确保了机箱能以SPCs处理业务的最快速度进行转

61、发。可扩展的性能如上述章节所讨论，性能的扩展性是非常困难的。为解决该问题， SRX系列 的设计基于可扩展的硬件架构。这使得用户可从使用少量的安全处理卡开始， 然 后随着需求的提升，增加更多的SPC处理卡以扩展性能。每个新增的SPC处理卡 所带来的性能的增加是可以计算出来的，这使得企业可根据需求的增长来规划所 需的SPC处理卡的数量。这种类型的性能扩展正是数据中心所需要的。 这使得可在数据中心放心地部 署SRX系列业务网关，因其能够处理全部的、必要的会话。如果需要更高的性能， 可增加新的SPC卡。这减少了对低性能设备进行昂贵升级的需求。路由集成如前讨论，SRX系列平台基于瞻博网络大量的已有的经验和现有技术来设 计。其中包括了运行在分离的控制平面上的 JUNO歎件，这使得SRX系列可运行 路由协议，并与现有的基于 JUNOS软件的平台一样强大。时间验证的 JUNOS软 件已经运行在全世界成千上万的网络中，而实证优异的路由协议也被移植到 SRX系列设备。路由协议的整个配置和任何其他的基于JUNOS软件的设备都相同。所有的安全处理都在数据平面。由于是完全分离的，路由协议的收敛性能不受影 响。这使得SRX系列平台在该类产品中具有出众性能。 因此当SRX系列需要集成 到动态路由环境中时，无需任何忧虑。虚拟化由于最初的成因，JUNOF泛部署在需要的网