1、 数据中心网络架构设计 12月 目 录 1 建设背景 4 2 项目目标 4 3 需求分析 4 3.1 业务需求分析 4 3.2 其它需求 5 3.3 网络架构支持新技术发展趋势考虑 6 4 网络具体设计目标和需求描述 6 4.1 网络整体架构设计 6 4.2 网络架构设计需求 7 5 网络架构具体设计 8 5.1 总体网络架构设计 8 5.2 数据中心网络架构设计 9 5.3 广域网架构设计 11 5.3.1 数据中心互连关键骨干网架构 11 5.3.2 数据中心和同城灾备中心互连 11 5.3.3 数据中心和异地灾备
2、中心互连 12 5.3.4 广域网链路容灾设计 13 5.3.5 分支机构广域网架构 15 5.3.6 数据分流策略 16 5.4 数据中心网络关键架构设计 16 5.4.1 数据中心业务区架构设计 17 5.4.2 网银区架构设计 18 5.4.3 外联区架构设计 20 5.4.4 办公互联网区架构设计 22 5.4.5 运维管理区架构设计 24 5.4.6 托管区架构设计 27 1 建设背景 为了愈加好地为业务发展服务,提供高效、安全和稳定生产环境,并能够快速、灵活地响应新环境下金融业务开展,需要对数据中心进行重新计划和建设。 2 项目目标 此次网络计划
3、关键在考虑XX银行三到五年内业务发展需求,总体目标是根据“两地三中心”业务发展指导建设一个能适应未来业务发展高性能、高扩展性及智能化网络基础架构,以支持业务长久、安全、稳定、快速发展。 3 需求分析 3.1 业务需求分析 现在关键业务分为生产和OA两大类;生产业务包含关键及相关外围业务,OA是关键业务之外业务,关键是办公网业务、业务管控系统、视频监控系统等非关键业务。生产业务和OA业务布署在数据中心局域网不一样功效区域,物理隔离。 因为未来业务环境改变,关键业务需求包含: 业务改变需求 – 新产品和服务快速投产对网络灵活响应、快速布署响应及支持能力全部有新和更高要求,并需要降低对现有
4、应用带来冲击。 业务快速发展带来大量数据和用户 – 要求含有高扩展性网络架构,灵活支持不一样类型数据,同时需要平衡功效和成本,以求能够在成本有效前提下,满足突发业务传输和用户访问需求 特殊应用对网络要求 – 特殊应用如多媒体应用、集中提回、证券基金、Call Center等,或对网络延迟、传输能力等有要求,必需给予考虑,以确保网络服务质量。 网络安全机制 – 需要进行网络安全风险分析,网络安全需要同时考虑网络能够灵活和动态支持业务开展,平衡网络安全和业务需要功效 网络管理体系 – 整体网络管理体系必需要能够基于业务要求,有效地加强网络管控、管理和审计能力,提升确保网络服务指标和总体运行
5、效率,达成可视、可管和可控 3.2 其它需求 对金融行业来说,用户是生存基础,伴随国际及中国金融行业竞争加剧,现在国际金融行业已经形成了以“用户”为中心、以“服务”为导向发展模式,在这一模式下,金融行业经过对内部资源进行愈加全方面整合,为用户提供更为精细服务,从而为用户带来更佳业务体验。所以怎样整合内部资源,尤其是怎样利用信息科技手段使XX银行已经到来猛烈竞争中立于不败,已经是一个迫在眉睫任务。 根据“服务中心”理念对XX银行整体IT基础架构进行重新计划布局实际上是从整个发展理念上对IT基础架构未来建设计划指明方向,并依据不一样功效需求以提供“服务”视角来整合内部IT资源,从而为未来“综
6、合化”业务发展、“专业化”服务能力打下坚实基础。 依据“服务中心”理念,XX银行未来整体IT基础架构将由多个服务中心和为这些服务中心提供传输和接入服务关键网络组成,这些服务中心包含数据中心、灾备中心、开发中心、呼叫中心等等,依据其业务功效和服务领域不一样为XX银行全部业务部门提供其所需业务和IT服务。这种多服务中心架构能够灵活地为不一样需求单位提供所需业务和IT服务,包含后台业务处理、网络接入、数据处理及交换等,而且能够依据未来XX银行业务发展而进行动态调整。 这种多服务中心架构需要XX银行未来新一代网络架构含有以下能力提供支持: Ø 灵活接入要求 – 未来服务中心作为XX银行全部业务部
7、门共享资源,能够提供灵活接入方法,为所需要组员单位提供可靠、灵活调整性强接入要求,而且能够依据所提供服务不一样,提供不一样接入方法和能力,如数据中心和呼叫中心,因为其业务需求不一样,其要求接入方法和能力也将有所不一样。 Ø 高可用架构 – 服务中心将是XX银行业务处理、信息处理、数据交换极其关键部分,如数据中心、灾备中心等,这些服务中心作为XX银行整个架构中关键节点,需要含有高可用架构才能确保为业务发展提供连续、有质量确保服务。需要强调是,不仅需要考虑在服务中心内部高可用架构,更应该从整体业务高可用性进行计划。 Ø 满足业务对性能需求 – 未来服务中心将承载XX银行全部业务运行,而且依据
8、服务中心功效不一样,对性能需求也不一样,如集中提回等对实时性要求较高业务,视频会议、呼叫中心等对网络带宽要求较高应用等,必需依据服务中心功效和所提供服务不一样,进行不一样性能考虑和计划。 Ø 动态IT资源调度和配置 –多服务中心很关键一个需求就是能够适时为不停增加业务提供所需要服务,这就要求未来架构含有对IT资源进行动态调度和配置能力,从而降低未来业务发展成本,和总体IT运行成本,提升IT对业务发展支持能力。 3.3 网络架构支持新技术发展趋势考虑 网络架构计划必需考虑新技术发展趋势,多年新技术讨论关键是着重在虚拟化、云计算和动态架构等。这些新技术引进,对IT管理带来极大压力,在新技术引
9、进时,必需首先需要建设配套管理机制,技术实施在能达成预期效果过。但对企业而言,网络计划对新技术考虑必需基于业务需求,网络前瞻性应着重于网络灵活、动态及成本有效地支持业务力度,而不完全以新技术引进为衡量唯一原因。 虚拟化 – 打破传统资源独享概念,在物理资源中发明很多虚拟资源,基于用户提出请求,布署用户需要资源,达成资源共享,减低总体IT设备成本。 4 网络具体设计目标和需求描述 4.1 网络整体架构设计 依据对新业务环境和IT整体策略了解,考虑新技术发展趋势,新一代整体网络架构将是面向服务网络架构,支持平等多服务中心,提供一个有效和创新服务交付模式,将共享资源分离出来,以提升它们可移植
10、性,并能够充足利用愈加优化系统和网络资源以提升效率、适应业务环境改变,并降低整体成本。 整体计划表现以下关键特点: Ø 整合共享而安全独立网络架构,满足综合化业务环境并安全合规 一个整合统一网络环境支持整个银行业务部门。“整合”为综合化业务,融合产品和融合渠道开展提供了统一通信服务平台。同时,网络经过虚拟化及安全技术为各部门提供网络独立性,满足各部门安全合规性要求。 Ø 建设关键网,适应多服务中心环境,并快速响应业务环境改变 经过关键网建设,提供一个更灵活有弹性网络架构,支持多服务中心环境,并快速响应业务环境改变。关键网改变传统多星型架构,利用新组网技术,支持任意拓扑结构,按需分配带
11、宽资源和服务等级,从而使整体网络架构更具灵活性和弹性。 4.2 网络架构设计需求 网络架构具体设计需求: Ø 提供两地三中心架构设计 Ø 优化网络功效分区和网络关键架构,并提供各功效组件具体设计,满足以下需求: Ø 设计数据中心关键交换区, 构建一个SOA结构易扩展,高可用数据中心关键 Ø 依据安全分区,业务关键程度,应用耦合度等原因,优化服务器在网络功效区布署。 Ø 用户接入需求: 满足广域网用户,数据中心当地用户接入,远程用户接入,外联用户接入,运维管理用户接入等用户接入要求。 Ø 运维管理需求:设计运维管理区, 提供运维管理用服务器, 运维管理用户, 带内带外网络接入。
12、 Ø 内部用户上网需求:为用户上网提供互联网接入,和防DDOS, 入侵防御,防病毒,上网行为审计等安全服务。 Ø 数据中心间网络需求:设计数据中心间网络,满足主用数据中心、灾备中心和异地数据中心存放数据复制和备份要求,和灾备切换,灾备演练,网络多点接入需要网络环境。 Ø 提供NAS/备份网络设计,满足基于IP技术存放网络服务需求。 Ø 提供带外管理网络架构设计,满足主机和网络设备带外操作和管理要求。 网络安全设计需求: Ø 计划符合行业规范安全区 Ø 区分应用安全等级,区分不一样用户组和访问特征,进行有效访问安全控制 Ø 设备安全:优化设备安全服务, 提升设备本身安全 网
13、络管理设计需求: Ø 配置管理:实现配置变更标准化, 加强配置审计, 从而提升操作维护效率,降低人工操作失误,提升网络整体可用性 Ø 性能和用量管理:提升网络对性能预防性管理能力, 提升对资源合理分配和估计能力, 提供网络和应用服务水平 5 网络架构具体设计 5.1 总体网络架构设计 依据整体网络计划,需要建设三个数据中心,形成同城主备、异地灾备数据中心“两地三中心”模式。 图 1 两地三中心计划 主用数据中心在正常情况下支持XX银行全部IT业务和应用,布署全部IT系统和数据,是全部分支机构和外联单位汇聚中心。 同城双活数据中心布署和主用数据中心相同业务系统,和主用数据中心
14、组成镜像双活。在主中心发生灾难情况下,业务切换到双活数据中心,承载全部IT业务和应用。 异地灾备数据中心布署部分关键业务系统,同时提供主用数据中心全部数据业务备份。 5.2 数据中心网络架构设计 依据网络需求功效性需求,网络整体架构需要满足应用接入服务、用户接入服务、IP存放服务和管理服务;各功效组件经过网络服务总线连接成一个统一架构。 图 2 数据中心网络架构 Ø 应用服务:为全行全部业务和管理服务器提供接入服务,安全服务,负载均衡服务等,结合应用关键程度、业务特征、及应用之间耦合度,应用服务器模块可细分为各类服务器接入区域。 Ø 用户接入服务:依据不一样类型和不一样访问方法
15、用户,提供用户接入,安全等服务; Ø 存放服务:满足新数据中心存放计划,需要满足IP和FC需要存放网络和备份网络; Ø 关键区:搭建网络服务总线,将全部网络功效模块连接成一个统一架构; Ø 管理服务:满足日常操作运维需要运维人员接入,运维服务器接入,带外带内网络接入,运维管理服务将在多中心运行; Ø 数据中心互联:满足多中心环境下,数据中心间网络通信、存放复制及备份需求。 结合网络安全分区要求、系统架构特征、应用关键程度分类、应用耦合度及运维保障需求,对主用数据中心和同城双活数据中心网络分区设计以下: 图 3 数据中心内部模块架构 业务区:提供银行关键应用及支持柜面存取款业务
16、功效应用系统,多种实时和非实时交易类业务,管理信息系统,办公类及基础服务类应用,能够依据业务需求细分。 外联区:和第三方外联网络进行互联区域,包含和外联单位信息交互前置服务器及必需安全、网络设备 运维管理区:运维管理类应用及运维管理终端,布署在运维管理服务器区;运维管理区包含带外管理网络,满足服务器、网络设备各类带外运维管理需求。 业务互联网区:为来自Internet业务访问提供服务应用 办公互联网区:为内部职员或应用提供对外Internet访问或接入服务 托管区:其它业务实体提供托管服务应用 园区网:负责接入园区网(大楼局域网)各类用户 广域网区:银行各级机构广域网接入区域,包
17、含数据中心之间互联网络 关键交换区:数据中心服务总线,负责对各个组件区域流量进行高速转发 5.3 广域网架构设计 广域网架构中包含数据中心间关键骨干网络连接和分支行广域网连接架构。广域网架构设计在满足未来对网络需求基础上,考虑兼容现有广域架构,避免对现有广域网络进行较大改动。 5.3.1 数据中心互连关键骨干网架构 数据中心间互联骨干网络除承载数据中心间正常系统运维通信外,还需要考虑存放、备份网络连接,和双中心运行及中心互备模式下对关键骨干网需求。 5.3.2 数据中心和同城灾备中心互连 依据数据中心互联网络需求,互联线路既需要支持IP三层,二层以太网通信,又需要支持FC光纤通信
18、使用DWDM技术裸光纤线路能满足现有需求。 对于同城双活数据中心采取光纤直连方法。因为XX银行网络规模较小,二层广播尚不会造成巨大问题,所以能够直接经过光纤直连方法将各个业务区对应连接,即可实现业务区之间二层连接。 为了确保冗余性,在主用数据中心和同城灾备中心采取两条裸光纤进行互联,两数据中心各布署两台DWDM设备提供裸光纤接入。 对于异地灾备数据中心,则采取租用运行商IP线路方法连接。 主数据中心和同城灾备中心逻辑通道关键有三种类型: Ø FC通道:提供两数据中心存放复制和备份。 Ø 三层以太网通道:提供两数据中心之间三层互通,满足数据中心骨干网建立。 Ø 二层以太网通道:提
19、供两数据中心各对应网络功效区域之间二层互通,满足单系统切换需求。 图 4 数据中心互联拓扑 5.3.3 数据中心和异地灾备中心互连 异地数据中心二层连接传统上采取VPLS技术,不过现在EVPN已经开始替换VPLS来实现数据中心二层连接。EVPN是一个“将MAC地址封装在IP包里”技术,支持2层VLAN在任何传输链路上扩展。传输链路能够是基于包交换、基于标签交换或任何支持IP数据包其它类型协议。经过使用MAC进行路由标准,EVPN提供了基于2层链路覆盖链接,同时确保了两个互联2层域是隔离,也就是确保了两个互联数据中心2层域独立从而确保了故障域有效隔离、灵活自如扩展和负责均衡。EVPN关
20、键工作原理是经过控制协议来通告MAC地址可达信息(而不是经过数据平面学习)而且使用IP封装包交换技术处理并转发2层流量(而非使用电路交换)。这些是EVPN区分于其它传统2层VPN技术关键特征。传统2层VPN技术不仅严重限制了2层VPN网络扩展,同时,因为缺乏控制平面管控也制约LAN在不一样数据中心之间延伸。EVPN采取控制协议定义了MAC地址和经过网络关键可达下一跳IP地址之间映射关系。EVPN就像是经过MAC进行路由一样:目标地址是MAC地址、下一跳是IP地址,业务流量被封装进了IP包,这么业务流量就能够流过IP关键网络,经过MAC路由而抵达下一跳。所以,介于源主机MAC地址和目标主机MAC
21、地址之间流量经过覆盖封装就转变成了相关边界设备之间IP源地址和IP目标地址IP流量。这些数据采取封装处理方法进行传输而不是经过隧道方法进行传输,这是因为封装是能够动态改变。因为这些业务流量借助IP转发,所以EVPN在IP关键网里就变得十分高效,不仅能够优化负载均衡流量、复制组播流量,而且还能够快速地实现故障恢复。数据转发表里MAC地址和下一跳IP地址之间映射关系由控制协议通告,故而消除了未知单播数据包必需穿越数据中心间互联链路要求。控制协议含有可扩展性,除了必需具体MAC地址信息外,还包含VLAN、站点ID和关联IP地址。这些丰富信息,假如仅靠数据泛洪学习方法其中大部分是无法取得,不过对于实现
22、多宿主、负载均衡、抑制环路、当地FHRP及当地ARP转发等EVPN必备功效来说,却是至关关键信息。 EVPN关键优点表现在以下几点: • 支持All-Active 多宿主链路连接 • 支持L2和L3相结合 • 经过MP-BGP学习MAC • 支持自动发觉链路 • 灵活数据层面(IP/MPLS) • 有效控制BUM 图 5 异地数据中心互联拓扑 5.3.4 广域网链路容灾设计 广域网双活技术提议采取智能DNS技术,经过DNS重定向(GSLB)在多个数据中心之间实现负载分担,要求应用采取域名方法进行访问,能够实现数据中心双活健康路由注入(RHI),这是一个路由机制,它许
23、可两个数据中心使用同一个IP地址。这意味着同一个IP地址(主机路径)被公布为不一样metric。上游路由器能够同时看到两条路径,并将metric愈加好路径插入到其路由表中。适适用于经过IP访问应用,实现应用灾备。 每个数据中心分别布署一对GTM设备(本身HA,提供高可用性),在服务器区域布署动态广域网优化设备(WOM)。GTM设备提供DNS服务,在回复DNS请求时,将服务器IP返回给LDNS(用户使用DNS服务器,通常由运行商提供)。多台GTM设备之间建立可信连接,同时数据和各个数据中心状态。对于应用内部,两个数据中心全部有WEB、APP系统,全部将独立地处理流量,当访问应用层业务或关键数据
24、如:数据库信息)时,双数据中心需要经过内部网络进行数据交换,采取WOM(广域网优化设备)加速数据层面复制和同时。 图 6 数据中心广域网双活拓扑 不管是GTM能够经过ping包、检测端口、查看网页内容、交互式探测甚至自定义脚本方法对物理服务器状态进行检验。GTM会针对本数据中心内服务器状态进行检测,并将结果同时给广域网上其它GTM,从而在一定程度上降低由反复健康检测给服务器和广域网带宽造成压力。 两个数据中心GTM全部能够对外提供DNS知能解析功效,当收到一个从LDNS发来域名解析请求时,GTM会依据多种规则(如运行商IP列表、动态探测包测试、多个GTM之间共同维护LDNS状态库)
25、来判定从哪个链路、哪个中心回复用户请求会最快,然后选择那个链路/中心所在IP地址回复给用户,达成智能选路效果。 当对某套应用中某台服务器健康检验失败时,会对其标识为down,而不把后续任何流量再分配到该服务器上。假如某套应用中在第一数据中心服务器全部不可用时,GTM会经过DNS回应方法把用户请求导向第二数据中心,对于其它无影响应用能够依据用户要求继续保留在第一数据中心处理。于是,就能够实现基于应用数据中心切换。 多个数据中心,从技术上来说,其实并不区分,全部能够提供给用服务,只是依据承载流量能力方面人为分为主中心或备中心。在F5处理方案中,经过DNS智能解析方法依据用户实际需求把流量导向各
26、个数据中心,实现了多活数据中心共同承载业务流量架构。 5.3.5 分支机构广域网架构 分支行广域网是提供玉溪地域同城分支行,和异地分支行和数据中心,及灾备中心广域网连接。现在布署同城广域网链路关键是MSTP链路,异地关键是SDH链路,提议未来维持现有链路选型。 图 7 分支机构拓扑 在主用和同城双活数据中心均布署广域网汇聚路由器和玉溪汇聚路由器。广域网汇聚路由器经过DWDM设备连接,组成主用和同城双活数据中心之间骨干网。玉溪当地分支机构直接上连到玉溪汇聚路由器。 各异地分支机构链路经异地分行汇聚后,上连到主用和同城双活广域网汇聚路由器。在上联时,能够选择上联路由器和汇聚路由器分离
27、方法,也能够依据实际情况选择上联路由器和汇聚路由器复用方法。在汇聚网点较多时,提议采取分离模式。 5.3.6 数据分流策略 为了提升带宽利用率,并满足业务数据流可用性和带宽需求,提议对于分支行冗余广域网链路,依据不一样应用进行数据分流。 在分支行两条广域网链路上,将业务和其它应用进行数据分流,确保在正常情况下,业务流量使用连接主数据中心主链路,其它流量使用连接灾备中心冗余链路。 因为数据中心业务,办公等应用系统无法依据IP地址进行明确区分;而在分支行和网点,业务终端和办公终端是采取隔离方法,所以依据分支行用户端IP地址段,作为数据分流区分条件。 依据分支行不一样应用用户端IP地址段不
28、一样,分别在分支行广域网路由器及数据中心广域网路由器上经过对动态路由协议控制,实现不一样应用在冗余广域网链路上数据分流。 另外依据动态路由协议本身特征,两条链路能够相互提供备份。同时需要在分支行上联数据中心两条链路上两端全部利用QoS技术,确保在只有一条链路可用时,优先满足业务流量带宽需求。 5.4 数据中心网络关键架构设计 网络关键区由两台交换机组成,负责数据中心各区域之间数据交互流量高速转发。采取冗余关键交换机,结构数据中心网络关键,连接各业务区,实现各区域之间高速数据交互。数据中心关键交换机和各区域区域关键交换机之间经过不一样板卡端口进行互联,实现高速冗余传输。网络关键不运行诸如A
29、CL、QoS等消耗内存和CPU协议,也不作为服务器接入设备。 为了改善关键区域可管理性,同时提升可靠性,提议关键区域两台交换机运行虚拟化协议,将两台关键交换机虚拟化成一台。从而连接到两台关键交换机链路全部能够启用链路聚合,实现负载分担方法运行。 图 8 数据中心关键交换区拓扑 5.4.1 数据中心业务区架构设计 业务服务器区提供业务系统和办公系统相关服务器集中接入区。 业务服务器区从逻辑架构采取一层方法设计,提升网络转发效率,而且改善网络可维护和可管理性。其次,因为业务服务器区域需要考虑分布式布署TOR交换机,所以需要将TOR交换机和关键交换机虚拟化成一台,在逻辑上形成一层架构。
30、 关键层和业务区域之间串联防火墙,提供区域内部和外部相互访问安全控制。防火墙采取主备路由模式布署,Inside口和区域交换机集群三层互联,Outside口和关键交换机三层互联。两台防火墙组成集群,如单一设备管理。 区域交换机集群和数据中心关键进行三层交叉互联,运行动态路由协议。 图 9 数据中心业务区拓扑 5.4.2 网银区架构设计 网银区为关键为网上银行业务Web应用提供互联网接入和安全控制,和和数据中心内部服务器数据交互。未来也能够根据需要增加其它互联网业务。 网银区整体可分为三个层次:数据中心接入—DMZ—互联网接入,两层之间分别经过防火墙进行隔离。 图 10 数据
31、中心网银区逻辑拓扑 Internet接入:提供业务互联网DMZ区服务器Internet接入和安全控制,并为Internet用户提供Web服务。 内网关键区:提供业务互联网区DMZ和数据中心内部数据交互和安全控制。 DMZ:提供网银和相关电子商务服务器接入,服务器到内网和外网连接和安全控制。 图 11 数据中心网银区物理拓扑 DMZ全部服务器网关在当地负载均衡设备。 区域关键交换机采取集群模式布署,和内部防火墙三层互联,和外网防火墙二层互联。 防火墙均采取主备路由模式,主备设备之间使用HA接口相互同时配置和会话状态信息。在互联网出口防火墙上开启IPS和防病毒许可。 区
32、域关键交换机和数据中心关键交换机采取交叉三层全互联,运行动态路由协议。 当地负载均衡设备旁挂在区域关键交换机,全部采取二层互联,一条作为Inside接口,提供DMZ区域内部服务器负载均衡,同时作为区域汇聚交换机默认路由网关。另外一条链路作为Outside接口,作为互联网链路进入业务互联区DMZ网关。 区域汇聚交换机和Internet出口防火墙采取二层VLAN互联,并将全部VLAN透传到连接当地负载均衡设备Trunk接口上,当地负载均衡默认路由指向外网防火墙Inside接口,为DMZ服务器到Internet访问提供多出口间负载均衡。 外网防火墙作为数据中心Internet接入点,Outsi
33、de接口使用ISP公网地址,Inside接口和当地负载均衡设备进行三层互联,并提供数据中心内部地址到Internet地址转换。 广域网负载均衡旁路在Internet线路接入交换机上,使用每个ISP对应公网地址,为Internet用户到业务互联网区内部访问提供多条链路间负载均衡。 5.4.3 外联区架构设计 外联区提供数据中心到合作伙伴单位线路接入,数据交互及安全控制。 外联区和网银区域类似,逻辑上也分为三层:数据中心接入—DMZ—外联接入,两层之间分别经过防火墙进行隔离。 图 12 数据中心外联区逻辑拓扑 数据中心接入:提供外联区DMZ服务器和数据中心内部数据交互和安全控制。
34、 DMZ:提供外联相关应用前置服务器接入,及服务器分别到数据中心内部和外联单位连接和安全控制。 外联接入:提供外联单位线路接入,并提供外联区DMZ服务器和外联单位服务器数据交互。 Error! Reference source not found. 是外联区物理布署。DMZ全部服务器网关在防火墙DMZ口,服务器到数据中心内部和到外联单位访问,分别经过防火墙安全策略进行控制。 区域关键交换机和防火墙Inside接口三层互联,和数据中心关键交换机经过数据中心接入区防火墙采取交叉三层全互联,运行动态路由协议。 防火墙集群布署,采取路由模式,主备设备之间使用HA接口相互同时配置和会话状态信息。
35、 外联区防火墙和区域汇聚交换机三层互联,采取静态路由。 图 13 数据中心外联区物理拓扑 在进行外联时,需要考虑进行地址转换,关键是基于安全需要和避免地址冲突原因考虑,以下三种情况需要进行地址转换: 数据中心从内到外访问: a) 外联单位主动分配IP地址,在防火墙上转成对方提供IP。 数据中心从内到外访问: b) 外联单位提供IP地址和数据中心内部地址冲突,在外联路由器上转成行内计划外联地址。 c) 外联单位需要直接访问数据中心业务区服务器,需要在外联区防火墙,将外联单位源地址转换成计划好内部地址 对于外联单位需要同时接入到数据中心和灾备中心情况下,需要将两中心外联交换机
36、进行二层或三层互联,并运行动态路由协议,提供外联单位冗余线路动态切换。 对于外联单位需要同时接入到数据中心和灾备中心情况下,需要将两中心外联交换机进行二层或三层互联,并运行动态路由协议,提供外联单位冗余线路动态切换。 将两个中心区域汇聚交换机和外联路由器加入到OSPF进程。 将区域汇聚交换机到数据中心内部静态路由重分布到OSPF。 将外联路由器到连接双中心外联单位静态路由重分布到OSPF。 图 14 数据中心外联区容灾设计 5.4.4 办公互联网区架构设计 办公互联网区提供灾备中心所在园区办公用户互联网接入,和为职员在经过互联网到内网VPN接入。 区域整体可分为三个层次:数
37、据中心接入—DMZ—Internet接入,两层之间分别经过防火墙进行隔离。 图 15 数据中心办公互联网区逻辑拓扑 据中心接入:提供办公互联网区DMZ和数据中心内部数据交互和安全控制。 DMZ:提供上网代理服务器,网页过滤服务器,邮件前置服务器,邮件过滤服务器,VPN网关等办公上网前置服务器接入,及服务器分别到内网和外网连接和安全控制。 Internet接入:提供园区和分支行办公用户,及办公互联网DMZ区服务器Internet访问和安全控制,并为职员提供VPN接入。 外部防火墙设备启用UTM功效,提供防病毒、IPS、垃圾邮件过滤等功效。两套防火墙均采取主备集群路由模式,主备设备之
38、间使用HA接口相互同时配置和会话状态信息。 DMZ全部服务器网关在区域汇聚交换机。两台区域汇聚交换机启用虚拟化功效,双机虚拟成单台,和内部防火墙三层互联。 区域关键交换机和数据中心关键交换机采取交叉三层全互联,运行动态路由协议。 区域汇聚交换机和外部防火墙三层互联,外部防火墙作为区域汇聚交换机默认路由下一条网关。 在外部防火墙和链路负载均衡之间串联上网优化网关作为行为管理和审计设备,提供数据中心访问Internet数据安全,信息统计及带宽管理。上网行为管理设备作为二层设备布署,在故障或断电时,提供自动Bypass功效。 图 16 数据中心办公互联网区物理拓扑 5.4.5 运维管
39、理区架构设计 运维管理区提供数据中心运维管理类服务器,ECC终端接入,及服务器和网络设备带外管理接入。其中带外管理网同时作为服务器NAS和备份网络接入。 5.4.5.1 架构设计 运维管理区从逻辑架构上可分为三层:区域关键—区域汇聚—区域关键。 图 17 数据中心运维区逻辑拓扑 区域关键:提供区域内部和数据中心关键高速数据交互。 区域汇聚:作为运维服务器和ECC终端网关。 区域关键和区域汇聚之间串联防火墙,提供区域内部和外部相互访问安全控制。 区域接入又分为三个部分: Ø 运维服务器:提供数据中心运维管理服务器接入。 Ø ECC:提供数据中心集中监控和管理终端接入。
40、Ø 带外网 n 带外管理:提供数据中心服务器和网络设备带外管理,包含服务器带外管理网卡接入,服务器ILO网卡接入,网络设备带外管理端口,网络设备IP Console接入等。 n NAS:提供数据中心服务器到NAS存放网络接入。 n 备份:提供数据中心服务器备份网络接入支持。 带外网和运维管理服务器及ECC终端经过防火墙进行访问控制。 在物理架构设计中,带外管理网,NAS网和备份网共享一套网络设备。 图 18 数据中心运维区物理拓扑 运维管理服务器和ECC终端网关在区域汇聚交换机。 带外管理网,NAS网,备份网网关在带外汇聚交换机,带外汇聚交换机连接到区域关键交换机。运维服务
41、器,ECC终端和带外网络数据交互经过防火墙进行安全控制。 防火墙采取主备路由模式布署,Inside口和区域汇聚交换机三层互联,Outside口和区域关键交换机三层互联。 区域关键交换机和数据中心关键进行三层交叉互联,运行动态路由协议。 服务器带外管理网,NAS网,备份网共享同一张网卡,NAS服务器或存放设备直接接入到带外网络。 对于运维管理区防火墙和区域关键,采取单独接入在区域汇聚Console服务器进行带外管理,避免因区域防火墙故障,ECC无法进行带外管理。 因为带外管理网络,NAS网络,备份网络共享同一套网络设备,所以需要进行一定安全控制,提供各网络之间逻辑隔离,和同一网络内部,
42、不一样区域之间安全隔离。 在带外网中,对各个逻辑网络VLAN划分以下: Ø 每个服务器区服务器带外网,各自单独一个VLAN。 Ø 每个区域HMC各自单独使用一个VLAN。 Ø 每个区域ILO各自单独使用一个VLAN。 Ø 全部区域IP Console设备和KVM设备共享同一个VLAN。 Ø 经过定义ACL进行以下安全控制: Ø 各个逻辑网络之间不许可通信。 Ø 不一样区域带外管理网之间进行隔离。 Ø HMC网络只许可和ECC终端进行通信。 Ø ILO网络只许可和集中管理服务器和ECC终端进行通信。 Ø IP Console只许可和集中管理服务器和ECC终端进行通信。 5
43、4.5.2 被管设备接入 考虑到数据中心运维方法统一,提议从网络上定义数据中心各服务器和网络设备带内和带外接入方法规范。 Ø 服务器,包含PC服务器,刀片服务器,小型机等 n 带内管理接入:全部服务器接入生产网络网卡和IP地址用作带内管理。 n 带外管理接入: n PC服务器带外管理/NAS/备份网卡接入带外网络。 n 刀片机箱上管理模块接入带外网络。 n 小型机HMC服务器网卡接入带外网络。 n PC服务器ILO网卡接入带外网络。 Ø 网络设备,包含交换机,路由器,防火墙,负载均衡等设备。 n 带内管理接入: n 网络设备生产网络IP地址用作带内管理。 n 带外网络
44、网络设备,只使用带内管理。 n 业务区和托管区区域防火墙和业务互联网区,办公互联网区对外防火墙外层网络设备,无法进行带内管理。 n 带外管理接入 n 对于管理接口和业务接口共享同一路由表网络设备,管理接口接入带外网络,分配带外管理地址,并配置一条到ECC明细静态路由,下一条接口为管理接口。 n 对于管理接口和业务接口路由表隔离网络设备(使用VRF等方法进行逻辑隔离也属于这类型),管理接口接入带外网络,配置带外管理地址。 n 无专用管理端口网络设备,不使用业务端口接入带外网络。 n 运维管理区区域防火墙和关键交换机Console口单独接入到一台Console管理设备。此Console
45、管理设备直接接入到运维管理区汇聚交换机。 n 除运维管理区外全部网络设备Console口接入带外网络。 Ø 其它设备,比如存放设备,光纤交换机设备等提供非IP服务设备。 n 带外管理接入:全部设备管理口接入带外网络。 5.4.6 托管区架构设计 托管区从逻辑架构上可分为两层:数据中心接入— 区域关键。 图 19 数据中心托管区逻辑拓扑 Ø 数据中心接入区:提供区域内部和数据中心关键高速数据交互。 Ø 区域汇聚:作为托管服务器网关,并提供不一样托管单位服务器之间逻辑隔离。同时提供多种类型服务器集中接入。 区域关键和区域汇聚之间串联防火墙,提供区域内部和外部相互访问安全控制。 图 20 数据中心托管区物理拓扑 全部托管服务器网关在区域接入交换机 托管服务器和和区域外部数据交互经过防火墙进行安全控制。 防火墙采取主备集群路由模式布署,Inside口和区域接入交换机三层互联,Outside口和区域关键交换机三层互联。 区域关键交换机和数据中心关键进行三层交叉互联,运行动态路由协议。






