应收账款局域移动系统数据中心设计方案.doc

资源描述

应收账款局域移动系统数据中心设计方案 73 2020年5月29日文档仅供参考 `应收账款局域移动系统数据中心设计方案目录第1章前言 4 第2章概述 5 第3章网络设计原则 6 第4章总体架构设计 7 4.1 结构设计 7 4.1.1 结构设计策略 7 4.1.2 分区模块设计 7 4.1.3 分层设计 8 4.2 数据中心局域网拓朴 10 4.3 网络核心层 11 4.4 核心业务区 11 4.5 运行管理区 12 4.6 广域接入区 13 4.7 办公接入控制区 13 4.8 外联/网上业务区 14 4.9 设备选型推荐 15 4.9.1 H3C S7500E简介 16 4.9.2 AR28-80简介 20 第5章服务器接入设计 23 第6章 VLAN和SPANNING TREE设计 24 6.1 VLAN简述 24 6.2 VLAN注册协议(GVRP) 24 6.3 VLAN设计 26 6.4 STP设计 26 6.5 VRRP 27 第7章 IP地址设计 28 第8章路由选择和设计 29 8.1 路由协议选择 29 8.2 路由边界 30 8.3 路由协议设计(OSPF) 31 8.3.1 OSPF Area设计 31 8.3.2 OSPF Process ID 32 8.3.3 OSPF Router ID 32 8.3.4 OSPF链路Metric 32 8.3.5 OSPF MD5认证 32 8.3.6 选路规划 33 8.4 静态路由 33 第9章可靠性设计 33 9.1 可靠性概述 33 9.2 设备级可靠性设计 34 9.3 链路级可靠性设计 36 9.4 网络级可靠性设计 37 9.4.1 拓扑冗余 37 9.4.2 网关冗余 40 9.4.3 路由冗余 40 9.5 应用级可靠性设计 41 第10章网络安全 41 10.1 安全设计概述 41 10.2 安全管理中心设计 42 10.3 其它安全防护考虑 44 10.4 网络病毒控制 45 第11章网络管理 47 第12章数据中心存储 47 第1章前言随着社会生产力的不断发展,用户需求不断发展提高,市场也不断发展变化,谁能真正掌握市场迎合用户,谁就能够占领先机提高自己的核心竞争力。企业运营中关键资讯传递的畅通能够帮助企业充分利用关键资源,供应链、渠道管理,了解市场抓住商机,从而帮助企业维持甚至提高其竞争地位。作为网络上数据存储和流通中心的企业数据中心很显然拥有企业资讯流通最核心的地位,其越来越受到企业的重视。数据中心建设已经成为行业内的一个主要发展趋势,利用数据中心,企业不但能集中资源和信息加强资讯的流通以及新技术的采用,还能够改进对外服务水平提高企业的市场竞争力。一个好的数据中心在具有上述好处之外甚至还能够降低拥有成本。第2章概述随着企业对信息访问依赖性的增加,数据中心对企业日常业务影响也越来越大。一旦企业数据中心出现故障,将对企业日常业务的正常运作造成极大的冲击,给企业带来巨大的损失。数据中心的可靠性直接关系企业利益,处于非常重要的地位。一个高可靠的数据中心能够帮助企业在集中资源,提高业务服务水平的同时降低运行成本。可靠性已经成为衡量一个数据中心优劣的重要方面。针对数据生产中心稳定、可靠、高效运行的要求,本方案以高可靠性,高安全性和先进性为原则进行了重点设计。整体结构上,根据数据中心承载业务功能的特点,依据统一性,开放性,易扩展和可管理的特性要求,经过模块化层次化的构筑方法,以高可靠、高速率的交换结构为中心,连接生产区,外联区,接入区和MIS区等功能分区,并针对各个功能不同的业务应用需求和安全要求进行了针对性设计。在本项目设备万兆核心路由交换机作为平台构架的主要设备,经过高效的万兆交换技术实现骨干网络的高性能互联,同时,其安全联动、全面的业务支持以及电信级的高可靠特性,更保障本网络具备了有强大的业务支撑和性能扩展能力,能够满足数据中心未来的发展需要。第3章网络设计原则高可用性网络架构和设备均支持业务系统对服务级别高可靠性的要求,在网络分层部署的架构和设备体系选择以及相关配置上均充分按照高可用的系统设计。高安全性按照立体的安全体系进行设计,分布式部署,使网络具有统一的安全,支持全网的安全联动。先进性网络设备支持先进的高性能体系架构,支持高带宽的数据传输。统一性数据中心局域网是基于大集中”一个整体”基础上考虑。全网采用统一的架构、策略部署,QoS分类和设备形态,保证全网的可维护性。开放性本方案网络建设全面遵循业界标准,所推荐采用的设备、技术在互通性和互操作性上,能够支持本网络系统的快速布署。数据中心解决方案高可用技术总图第4章总体架构设计 4.1 结构设计 4.1.1 结构设计策略按照数据中心的结构,本方案采用以下策略设计 1、高可靠的设计思想融合在结构设计、路由设计、应用服务设计的各个层面; 2、针对业务网络应用需求实施全模块化分区设计; 3、依照工作重点和结构分工的整网三层体系结构; 4.1.2 分区模块设计网络按照业务应用需求,划分以下主要功能区: l 核心业务区 l 测试区 l 外联区/网上业务 l 广域接入区 l 运行管理区 l 办公接入控制区各个区以扩展模块的形式分别连接到数据中心高可靠的核心交换网络。数据中心分区架构示意图 4.1.3 分层设计按照网络核心,汇聚和接入的模型对数据中心以及之内的每一个功能区域按照层次化结构模型进行划分: 核心层构成整个数据中心生产局域网的高速交换核心,为各个功能分区提供高可靠高稳定和支持快速愈合的第三层接入服务。在核心层设计以高可靠,高速交换为主要原则; 汇聚层各个功能分区的交换核心是组成整个生产中心局域网的汇聚层。汇聚层提供各个分区内部接入层的汇聚,作为各个分区的对外接入,集中实现接入控制和安全控制; 接入层在各个分区主机和服务器的接入,具有高密度的接入能力。支持基于主机端口的访问控制,并针对接入的数据流进行标记工作,便于传输过程中逐级实现针对流量的QoS控制策略。数据中心分层设计示意图 4.2 数据中心局域网拓朴在数据中心的实际部署中,针对数据中心模型进一步细分各个功能分区。核心业务系统放置于IBM Power 740上,经过在IBM Power 740上划分多个分区来实现核心业务相关的不同功能。考虑到应收帐款居于移动系统是核心业务系统,属于数据中心的重中之重,因此物理上将核心业务生产区接入到核心层。测试区根据测试需要尽量与生产网络实现完全分离,根据实际需求确定是否需接入到核心层。生产外联区包括网上业务外联以及和合作伙伴的Extranet外联两种方式,在网络结构上和安全部署上有很大不同,因此在实际部署中分别设置2个接入区域连接到核心交换区。广域接入区设置一个单独的物理分区,提供各个一级分行的流量接入和汇聚。灾备接入区设置一个单独的物理分区,部署与北京灾备中心的连接和灾备策略的部署。办公服务区设置一个单独的物理分区,提供办公业务应用的服务。运行管理区设置一个单独的物理分区,提供数据中心和全网的管理和监控。 4.3 网络核心层网络核心层由2台万兆交换机构成,经过万兆实现各个功能分区的接入。同时2台交换机之间采用双万兆捆绑的方式实现高速互联。为了保证经过核心网络的流量和路径可控,并提高故障切换的效率,对各个功能分区实现三层接入的方式。为了保证各个功能分区的高可靠性,与各个功能分区的汇聚交换机采用双星型的结构连接。 4.4 核心业务区核心业务平台:由2台汇聚层交换机和2台接入层交换机构成,接入层交接机连接IBM POWER 740主机系统平台。连接方式:两台接入层交换设备经过两条千兆线路上联到汇聚层,两台汇聚层设备之间经过两条冗余的千兆线路实现互连,同时,各自经过两条千兆冗余线路分别上行到两台核心交换层交换机。 4.5 运行管理区运行管理区是生产中心主要的人员操作区,主要以各种管理配置平台为主。运行管理区:由2台汇聚层交换机和1台接入层交换机构成,接入层交接机连接各类业务、网络、配置管理系统; 连接方式:一台接入层交换设备经过双千兆线路上联到汇聚层,两台汇聚层设备之间经过两条冗余的千兆线路实现互连,同时,各自经过两条千兆冗余线路分别上行到两台核心交换层交换机。 4.6 广域接入区广域接入提供各个下联的接入,同时支持在接入边界部署安全控制策略。广域接入平台:由2台汇聚层交换机构成,直接接入路由设备。连接方式:汇聚层设备之间经过两条冗余的千兆线路实现互连,同时,各自经过两条千兆冗余线路分别上行到两台核心交换层交换机。在汇聚交换机侧支持部署防火墙和入侵检测设备,采用访问控制和安全联动相结合的方式对接入流量进行安全防护。 4.7 办公接入控制区办公接入控制区是生产区和办公用户及办公服务器所在功能区的隔离区,办公用户经过此区访问生产的相关资源。办公接入控制区:由2台汇聚层交换机构成。在汇聚交换机对外互连处部署防火墙和入侵检测设备,采用访问控制和安全联动相结合的方式对流量进行安全防护。连接方式:汇聚层设备之间经过两条冗余的千兆线路实现互连,同时,各自经过两条千兆冗余线路分别上行到两台核心交换层交换机。 4.8 外联/网上业务区外联区主要分为两大部分: Internet接入区域、合作伙伴接入区域,两大区域建立统一的汇聚层交换机,按照两大区域对安全级别的要求的不同,分别设置多层DMZ区域。在合作伙伴接入区域提供和各个金融服务机构的接入,会部署大量的外联前置系统,采用防火墙实现隔离,在DMZ区部署外联前置服务器。合作伙伴接入区域接入平台:由2台DMZ区接入交换机构成。在外联网接入和DMZ与汇聚层连接处部署高可用防火墙,并部署IDS设备实现安全联动。连接方式:汇聚层设备之间经过两条冗余的千兆线路实现互连,同时,各自经过两条千兆冗余线路分别上行到两台核心交换层交换机。互联网接入部分主要面向互联网的客户提供服务以及部分数据交换。此区域会有大量的互联网服务器如Web应用,DNS服务器等,同时还有大量的客户服务和应用处理服务器。考虑到Internet接入需要更高的安全因此将服务器分别部署在DMZ区和扩展DMZ区,并采用两层防火墙进行隔离,同时部署相应的IDS设备。 4.9 设备选型推荐针对数据中心建设的统一性原则,针对数据中心尽量采用相同的设备进行配置,从而保证数据中心整体的易维护和易扩展。针对数据中心大量服务器采用千兆接入,要求高效传输的特点,在骨干层和汇聚层间,以及部分汇聚和接入层间采用万兆连接,减少千兆捆绑带来的复杂配置,同时支持业务的快速增长。对于外联区,考虑到需要有大量的防火墙隔离,受制于外联广域网的限制,接入层和汇聚层之间采用千兆连接。针对上述分析数据中心在设备级的要求如下: l 电信级可靠性网络设备99.999%,支持热切换,热补丁 l 采用万兆技术,支持高密度万兆连接 l 支持安全联动 l 有效抵御网络资源消耗型病毒攻击(例如DOS/REDCODE等) l 全分布式线速处理 l 支持多业务的深度感知 l 支持MPLS VPN和IP V6功能扩展 l 支持外置冗余电源 l 大容量冗余交换背板结构 l 单机具有高扩展能力针对上述分析本项目的设备选型推荐列表如下: 数据中心核心交换机 H3C S7503E 数据中心汇聚层交换机 H3C S5120-52C-EI 运维管理区接入交换机 H3C S5120-52C-EI 其它功能区的接入交换机 H3C S5120-52C-EI 中端路由器 Quidway AR28-80 网络管理系统 H3C IMC 数据服务器 IBM Power 740 应用服务器 IBM System x3650 M3 设备数量配置如下: 名称设备配置情况 1、核心交换区核心层:2台H3C S7503E 2、核心业务区汇聚:2台H3C S5120,接入:2台H3C S5120 3、运维管理区汇聚:2台H3C S5120,接入:2台H3C S5120 4、广域网接入区 5、办公接入控制区 6、外联区、网上业务区 7、数据库服务器 IBM Power 740:2台 8、应用服务器 IBM System x3650 M3:6台 9、网元管理 Quidview DMG 4.9.1 H3C S7500E简介 H3C S7500E核心路由交换机 H3C S7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V5操作系统,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。H3C S7500E符合”限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。。 H3C S7500E系列产品,所有产品均支持冗余主控。H3C S7500E可广泛应用于城域网汇聚和边缘、园区网核心和汇聚以及配线间等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。产品特点丰富的业务,适应融合业务网络发展趋势 * 全面的MPLS业务能力 H3C S7500E所有产品均支持Multi-VRF特性,能够作为MCE设备使用;支持三层的MPLS VPN和二层的MPLS VPN(Martini、Kompella),可扩展支持VPLS技术;支持MPLS OAM特性,方便用户的管理和维护;与H3C MPLS VPN Manager配合,实现图形化的MPLS部署与维护。 * 线速的IPv4/IPv6业务能力 H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3C S7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3C S7500E已经经过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段金色认证,是成熟商用的IPv6产品。 * 有线无线一体化,有源无源一体化 H3C S7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块经过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。 H3C S7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;H3C S7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。 * 支持Portal认证 H3C S7500E支持大容量的Portal认证功能,能够在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;能够在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。灵活的配置,适应各种应用场景 * 配线间融合业务网络的最佳选择 H3C S7500E针对配线间的需求定制开发了SA板卡,单台设备能够提供480个千兆线速接口和4个万兆线速接口。H3C S7500E支持端点准入防御解决方案,解决终端安全问题;内置2800W电源直接提供PoE功能,对IP语音和无线接入提供良好的支持。 * 政府电力城域网边缘和汇聚的最佳选择 H3C S7500E支持Multi-VRF特性,为用户提供高可靠高性能的MCE设备;经过配置Salience VI-Turbo引擎,能够提供集中式MPLS业务功能,适合在城域网边缘作为高性价PE设备使用;经过配置EA类板卡,能够提供分布式线速的MPLS业务功能,适合在城域网汇聚层作为高性能的PE使用。 * IPv6网络的最佳选择 H3C S7500E所有Salience VI引擎都能够提供集中式IPv6功能,H3C S7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡,在整机满配置状态下实现线速无收敛,为高校用户提供了高性能低成本的双栈汇聚核心设备,同时也满足其它行业用户IPv6 Ready的需求。全方位的安全保障,抵御多种网络安全威胁 * 三平面安全保障机制 H3C S7500E提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSH V2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。 * 有线无线全面支持EAD H3C S7500E是EAD端点准入防御解决方案的重要组成部分,S7500E能够动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。 * 增强的ACL特性 H3C S7500E系列产品支持强大的ACL能力:支持标准和扩展ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,每板最大可支持9K条ACL,满足金融等行业访问权限严格控制的需求。电信级的高可靠性,保障用户业务长期稳定运行 * 电信级高可靠性设计 H3C S7500E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3C S7500E系列能够在恶劣的环境下长时间稳定运行,达到99.999％的电信级可靠性。 * 多业务高可靠性运行 H3C S7500E支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议,提供小于200ms的环网故障保护;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。经过上述技术,H3C S7500E能够在承载多业务的情况下不间断运行,实现业务的永续。 * 支持热补丁技术 H3C S7500E能够在不重启设备的前提下,经过热补丁技术,在线修改软件BUG,增加新的业务特性。H3C S7500E提供控制补丁单元状态切换的用户命令,使用户能够方便的加载、激活、去激活、运行或删除补丁单元。经过热补丁技术,降低了设备需要重启的次数,为客户提供更长的网络正常工作时间。基本规格交换机类型:路由交换机传输速率: 10/100/1000/10000 应用层级:三层交换方式存储:转发背板带宽(Gbps):1000Gbps 包转发率:274Mpps VLAN功能:支持系统内存:Flash:64MB;SDRAM:512MB;CF卡:256MB/512MB/1GB(可选) MAC地址表:128K 网管功能:支持 4.9.2 AR28-80简介 Quidway® AR 28-80模块化中心路由器是华为3Com公司Quidway® AR系列路由器中面向企业用户的网络产品,采用32位的微处理器技术,使用VRP(通用路由平台),提供了极其丰富的软件特性,支持哑终端接入服务器和金融POS接入功能,支持SNA/DLSw、VoIP特性等,提供丰富的备份方案及QoS特性;硬件采用模块化结构,具有更高的处理能力和更大的接入密度,具备MPLS VPN功能、DVPN功能、可平滑升级支持IPv6符合未来IP技术的发展潮流。Quidway®AR 28-80既适合于在中小型企业网中担当核心路由器,也能够在大型网络中担当汇聚层路由器。 Quidway® AR 28-80路由器外观图产品功能特性: u VRP操作平台: 华为3Com在成熟的VRP软件平台的基础上,结合AR28系列的硬件体系结构和软件业务要求,度身定做的的AR28系列的软件体系,完全继承了VRP平台的稳定性、成熟性和可靠性,所提供的软件业务均为VRP平台的成熟特性,同时能够随着VRP平台的不断发展同步提供新的特性。 u VPN解决方案: 支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN、MPLS L3VPN, MPLS L2VPN、华为动态VPN等多种VPN业务。 u 网络安全: 登录用户认证、RADIUS/HTACACS认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持(对接口/时间段/MAC地址的过滤)、CA认证(数字证书)、高性能NAT。 u 互连协议: 以太网、桥、帧中继、X.25、HDLC、SDLC、LAPB、SLIP、PPP、PPP头压缩、MP、ISDN、PPPoE Client、按需拨号、拨号串循环备份、PPP/ISDN回呼、L2TP建立二层隧道、GRE建立三层隧道、IPSEC建立三层隧道、xDSL宽带接入。 u 网络协议: DHCP、VLAN、IPX、DLSw、RIP-1/RIP-2、OSPF、BGP、策略路由、组播、路由负载分担、地址借用、TCP报文头压缩、路由策略。 u 应用层协议及业务特性: Telnet、SSH、Rlogin、dumb terminal、增强安全特性的终端接入服务器、金融POS接入服务,RTC、LPD、FTP、Ping及NTP应用层协议或业务特性。 u QOS: 流量分类和流量监管CAR/LR、流量整形GTS、拥塞管理PQ/CQ/WFQ/CBQ、拥塞避免WRED。 u 网络可靠性: 接口/子接口间的物理层备份,虚链路/虚模板/拨号接口/逻辑接口间的链路层备份,动态路由实现网络层备份、VRRP实现设备层备份。 u 系统可靠性: 支持dual image,能对image文件进行合法性判别,支持启动成功性自探测,支持装载image文件引导系统,支持从主image文件启动,支持从备份image文件启动。 u 语音特性: 静音压缩、舒适噪音、语音防抖动、音量调节、PBX交换机功能模拟、主叫号码识别、自动忙音检测、灵活VOIP选路与备份策略、IP传真、语音RADIUS、GK Client、IPHC、语音QoS。 u IPV6: 从当前的硬件体系结构和软件平台的基础上能够平滑升级到IPV6的软件版本, 全面支持IPv4和IPv6双协议栈,提供丰富的IPV6协议,支持多种IPv4向IPv6的过渡技术:手工配置隧道、自动配置隧道、6to4隧道、GRE隧道、实现NAT-PT等;支持IPv6静态路由,支持BGP4/BGP4+、RIPng、OSPF3、ISISv6等动态路由协议;支持ICMPv6 MIB、UDP6 MIB、TCP6 MIB、IPv6 MIB等。 u 配置管理: 中英文双语、命令分级保护、tracert/ping/debugging故障诊断功能、RMON、SNMPv1/v2c/v3、系统日志、可经过FTP或TFTP进行系统升级、可经过Console/AUX/X.25 PAD/Telnet/反向Telnet等方式进行配置。经过Quidview网管软件,能够对路由器进行远程配置,而且能够对主机程序经过Quidview进行在线升级。产品规格项目 AR 28-40 描述 AR 28-80 描述插槽 4 8 功能模块 LAN接口模块 1FE/2FE(10/100Base-TX快速以太网接口模块) 1SFX(100Base-FX以太网单模光接口模块) 1MFX(100Base-FX以太网多模光接口模块) 1GBE(1000Base-T千兆以太网模块) 1GEF(1000Base-SFP千兆以太网光模块) WAN接口模块 2/4SA(高速同异步串口模块) 8/16AS(异步串口模块) 2/4/8SAE(增强型同异步串口模块) 1/2/4E1(通道化cE1/PRI模块) 1/2/4E1-F(非通道化E1模块) 1/2/4T1(通道化的cT1/PRI模块) 1/2/4T1-F(非通道化T1模块) 1CE3(通道化E3模块) 1CT3(通道化T3模块) 6/12AM(模拟调制解调器模块) 4BS(ISDN BRI S/T接口模块) 155M 1ATM(ASM/AMM/ASL,155M 单模/多模/单模长距离光接口模块) ATM E3/T3(ATM E3/T3传输模块) 1/2ADSL(ADSL over POTS通信模块) 1/2ADSL-I(ADSL over ISDN通信模块) POS(155M 非通道化POS传输模块) CPOS(155M 通道化POS传输模块) 4/8端口E1 ATM IMA(高密度ATM E1 IMA E1 制式传输模块) 4/8端口T1 ATM IMA(高密度ATM E1 IMA T1 制式传输模块) 语音模块 2FXS/4FXS(FXS接口语音模块) 2FXO/4FXO(FXO接口语音模块) 2E&M/4E&M(E&M接口语音模块) E1VI(E1语音模块) T1VI(T1语音模块) POS接入模块 2/4/6FCM(快速连接MODEM模块) 其它模块 NDEC(网络数据加密模块) 处理器 MPC8245 300MHz MPC8245 300MHz 转发性能 110-120KPPS 110-120KPPS/130-150KPPS NVRAM 128KB FLASH 32MB SDRAM 缺省:128MB,最大:256MB 外型尺寸(mm)宽×深×高 440 × 400× 43 440 × 400× 86 重量 8kg 14kg 输入电压 AC 额定电压范围:100-240V;50/60Hz 最大电压范围:90-264V; 50/60Hz DC 额定电压范围:-48- -60V 最大电压范围:-36- -72V 最大功率 67W 114W 工作环境温度 0 ～ 40℃ 环境湿度 5 ～ 90% 不结露第5章服务器接入设计数据中心的服务器对可靠性要求较高,会有多种高可靠的接入方式,根据对主机接入的分类,主要分为三类:多主机群集,双机HA应用,单机多网卡。这三种方式均涉及到多网卡与交换机连接。因此针对群集和HA应用还有多VLAN的方式和同一VLAN的方式。针对多主机多VLAN的方式这类主机部署的应用属于重要应用,以核心业务应用为主。为保证可靠性至少选择在2台接入交换机上均做相同的VLAN和端口配置,实现端口1+1冗余,即保证单一接入设备能够承载全部主机连接,在工作时并将多主机同一业务对应端口接入相同VLAN中(根据切换方式不同可选择同一交换机或不同交换机)。针对多主机共享VLAN的方式,为保证可靠性至少选择在2台接入交换机上均做相同的VLAN和端口配置,实现端口1+1冗余,即保证单一接入设备能够承载全部主机连接,在工作时并将多主机对应业务端口分布到2台交换机。针对HA主机多VLAN的方式这类应用也属于重要应用,以各类基于开放平台的业务为主。为保证可靠性选择在2台接入交换机上做相同的VLAN和端口配置,实现端口1+1冗余,即保证单一接入设备能够承载全部主机连接,在工作时将双机对应端口部接入到不同交换机的对应VLAN中。针对HA主机单VLAN的方式这类应用也属于重要应用,以各类基于开放平台的业务为主。为保证可靠性选择在2台接入交换机上做相同的VLAN和端口配置,实现端口1+1冗余,即保证单一接入设备能够承载全部主机连接,在工作时将双机对应端口部接入到不同交换机的同一VLAN端口中。针对单机多VLAN方式单机应用一般数据次关键应用,以部分业务的前置服务器为主。针对单机多网卡多VLAN方式,也考虑将多VLAN在2台接入交换机上部署,实现VLAN端口1+1冗余。工作时将主机不同端口分别连接到不同交换机的对应VLAN端口。针对单机单VLAN方式这种方式是实现单机的网卡和链路备份,以部分业务的前置服务器为主。此种方式本身即是端口和链路备份,在2个交换机上均部署相同VLAN和对应端口,将这单机的2个端口分别连接到2个交换机的对应端口。第6章 VLAN和Spanning Tree设计 6.1 VLAN简述 VLAN(Virtual Local Area Network－虚拟局域网)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。VLAN在功能和操作上与传统LAN基本相同,能够提供一定范围内终端系统的互联。IEEE802.1Q是虚拟局域网的正式标准,定义了同一个物理链路上承载多个子网的数据流的方法。IEEE802.1Q定义了VLAN帧格式,为识别帧属于哪个VLAN提供了一个标准的方法。这个格式是统一标识VLAN的方法,有利于保证不同厂家设备配置的VLAN能够互通。 6.2 VLAN注册协议(GVRP) GVRP(GARP VLAN Registration Protocol)是VLAN注册协议。GVRP基于GARP的工作机制,是GARP的一种应用,维护交换机中的VLAN动态注册信息并传播该信息到其它的交换机中。所有支持GVRP特性的交换机能够接收来自其它交换机的VLAN注册信息,并动态更新本地的VLAN注册信息,包括当前的VLAN成员,这些VLAN成员能够经过哪个端口到达等。而且所有支持GVRP特性的交换机能够将本地VLAN注册信息向其它交换机传播,以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。GVRP传播的VLAN注册信息包括本地手工配置的静态注册信息和来自其它交换机的动态注册信息。对GVRP特性的支持使得不同交换机上的VLAN信息能够由协议动态维护和更新,只需要对少数交换机进行VLAN配置,就能够应用到整个交换网络,无需耗费大量时间进行拓扑分析和配置管理,协议会自动根据网络中VLAN的配置情况,动态地传播VLAN信息并配置在相应的端口上。根据VLAN注册信息,交换机了解到干道链路对端有哪些VLAN,自动配置干道链路,只允许对端交换机需要的VLAN在干道链路上传输。 GVRP注册类型功能 Normal 允许在该端口手工或动态创立、注册和注销VLAN; Fixed 允许手工创立和注册VLAN,而且防止VLAN的注销和在其它Trunk端口注册此端口所知的动态VLAN。这种情况下,GVRP就不会自动配置Trunk端口允许哪些VLAN报文能够经过; Forbidden 将注销VLAN1以外的所有VLAN,而且禁止在该端口上创立和注销任何其它VLAN; 注:VLAN1的注册类型必须是Fixed,且不能够更改。为了减少交换机之间的相互影响,数据中心的GVRP类型设计为Fixed。根据前文所述,数据中心网络分为多个功能分区,每个网络功能分区的接入层交换机将定义为Layer2交换机,Layer2和Layer3的边界位于每个网络功能分区的汇聚层交换机上。 Ø 接入层交换机经过VLAN连接接入设备; Ø 接入层和汇聚层交换机之间经过Trunk连接; Ø 汇聚层交换机之间经过Trunk连接。如下图: 6.3 VLAN设计建议数据中心生产相关VLAN依据以下规则进行定义: 对VLAN ID进行连续分配; 分配的VLAN ID与数据中心不同的功能分区进行对应; 办公相关VLAN的VLAN ID能够复用生产相关VLAN的VLAN ID; 数据中心网络设备互连VLAN (不包括生产外联区内部设备互连VLAN) 单独分区; 为了灵活的使用VLAN ID资源,相邻VLAN区的VLAN ID分配方式取反;例如,前一个VLAN分区分配方式为从低到高分配,后一个VLAN区就使用从高到低分配,反之亦然。 6.4 STP设计 STP(生成树协议)经过协商一条到根网桥的无环路径来避免和消除网络中环路,从而解决透明桥接冗余网络中的环路问题。STA(生成树算法)在网络中选择Root Bridge(根网桥)为参考点,经过发送BPDU(桥接协议数据单元)寻找冗余链路。生成树协议能够自动阻断或释放二层链路,确保到每个目的地都只有单一路径。尽管生成树协议能够在二层网络中防止桥接环路问题,但在实际环境中,也会引起一些其它问题。对于使用大型生成树会造成扩展性及稳定性的问题,能够经过划分VLAN和控制交换域范围等方式,提高STP的收敛速度,达到更快的恢复能力和更高的可靠性。建立根网桥生成树网络中最重要的设计之一是根网桥的放置。根网桥的恰当放置不但能够优化生成树协议所选择的路径,还能够为数据提供明确的路径,明确的路径使排错和配置网络变得更为容易。上海数据中心经过在汇聚层交换机上手工配置根网桥的主、备策略,确保生成树在二层链路形成最佳的树型拓扑。根网桥设置还能够经过调节路径开销、端口优先级、端口ID等方式实现。根据经验,推荐将汇聚层交换机设置成根网桥。 6.5 VRRP VRRP(Virtual Router Redundancy Protocol)是一种容错协议,其目的是利用备份机制来提高路由器与外界连接的可靠性。VRRP确保当主机的下一跳三层设备坏掉时能够及时的由另一台三层设备来代替,从而保持通讯的连续性和可靠性。VRRP中只定义了一种报文——VRRP报文,这是一种多播报文,由主设备定时发出来通告它的存在,使用这些报文能够检测虚拟设备各种参数,还能够用于主设备的选举。VRRP中定义了三种状态模型初始状态Initialize ,活动状态Master ,备份状态Backup,其中只有活动状态能够发送报文,而且报文也只有一种。VRRP报文是封装在IP报文上的,支持各种上层协议。同时VRRP还支持将真实接口IP地址设置为虚拟IP地址的做法。 1. 汇聚层设备在连接普通接入时采用VRRP; 2. VRRP优先级策略与STP的根网桥主备设置一致; 下图是VRRP拓扑设置的示意图: 第7章 IP地址设计 IP地址的合理设计是数据中心网络设计中的重要一环,大型计算机网络必须对ＩＰ地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必

展开阅读全文