機房工程
數據中心網絡建設解決方案
IT網絡產品解決方案
方案簡介
數據中心(Data Center,DC)是數據大集中而形成的集成IT應用環境,是各種IT應用業務的提供中心,是數據計算、網絡傳輸、存儲的中心。數據中心實現了IT基礎設施、業務應用、數據的統一、安全策略的統一部署與運維管理。數據中心的網絡是連接所有數據中心IT組件的唯一通用實體,構建堅實的網絡基礎設施將為數據中心業務永續、管理與運維提供保障。
數據中心(Data Center,DC)是數據大集中而形成的集成IT應用環境,是各種IT應用業務的提供中心,是數據計算、網絡傳輸、存儲的中心。數據中心實現了IT基礎設施、業務應用、數據的統一、安全策略的統一部署與運維管理。數據中心的網絡是連接所有數據中心IT組件的唯一通用實體,構建堅實的網絡基礎設施將為數據中心業務永續、管理與運維提供保障。
隨著云計算及虛擬化的持續升溫,數據中心規模不斷膨脹,新的應用類型及數量急劇增長,業務系統也越來越復雜,使得數據中心網絡正在變得過于復雜、昂貴和低效,我公司長期保持對數據中心領域的關注,旨在為企業客戶提高硬件資源利用率、降低建設成本,實現對資源的統一調度、管理,為數據資源的有效整合提供一個基礎的硬件平臺,打造高效穩定的數據中心網絡。
方案簡介
隨著業務的快速發展,企業的業務應用和數據正在從分散部署走向大集中,作為業務承載體的IT設施的部署模型隨之發生翻天覆地的變化,互聯互通已經不能滿足流程整合后的業務持續發展的需求。由于數據中心網絡是生產運行環境的基礎,在方案設計時對于網絡系統性能、可靠性和安全性必須給予充分的考慮。
(一) 架構設計
根據客戶的需求調研,我們從網絡三層架構、扁平化大二層架構、Fabric網絡架構、SDN架構等中選擇對客戶最合適的網絡架構,分區、分層、分級進行設計。
(二) 產品選型
目前主流的服務器處理性能已經超出了千兆網卡的輸出能力,同時FC存儲網絡與IP網絡的融合,也要求IP網絡的接入速率達到FC的性能要求。僅僅通過鏈路聚合、增加等價路徑等技術手段已經無法滿足業務對網絡性能的需求時,提高網絡端口速率成為必然之選。
因此我方推薦萬兆網絡接入,采用國際主流的萬兆主干,核心層之間互聯采用一路或多路萬兆連接,形成主干萬兆或多萬兆帶寬。
核心設備選型上均要求具備足夠的背板處理能力,即使將來系統升級,也能保護用戶對于現有網絡基礎設施的投資。所有的核心設備推薦采用雙機冗余設計,部分關鍵設備如服務器群網絡核心交換機甚至做到雙機、雙引擎冗余,最大限度地解決單點故障的問題,提高系統整體可用性。通過集群協議,比如路由器或者防火墻的集群協議,如HSRP、VRRP 等,可以確保檢測到故障后進行快速的故障切換。
我方推薦數據中心的設計和數據電纜的連接應當避免單點故障的發生,例如對冗余的網段和端口應用不同的路由路徑和電纜結構,對廣域網的連接,建議采用多路ISP 線路。
我方推薦網絡升級擴容需考慮與現有系統的連接與整合。在網絡協議、IP 地址規范、線路和設備命名規范、網絡安全規范等方面完全遵照數據中心原有的成果。
(三) 網絡安全
網絡安全防范體系是動態變化的,需要以安全策略為核心,以安全技術作為支撐,以安全管理作為落實手段,并通過安全培訓加強所有人的安全意識。建議如下:
● 身份鑒別與授權:必須對身份機制謹慎部署,推薦采用認證服務器對數據訪問進行統一認證。
● 邊界安全:推薦在Internet和園區網之間、核心交換區、服務群接入網絡區等分別部署多級防火墻,對數據中心進行分級保護。
● 數據的保密性和完整性:推薦加密與校驗雙重安全加固,保證數據的保密性和完整性,防止數據的非授權訪問和修改。
● 安全監測:定期安全審查,建立完善的審計系統,保證受到入侵后有證可查,并有助于日后建立安全預警系統,抵御各種黑客攻擊。使用入侵檢測系統對進入數據中心、對外連接區內所有數據流動進行實時檢測入侵。
● 策略管理:推薦采用物理隔離、訪問控制、信息加密等多重安全策略、通過防火墻等安全產品監控網絡安全狀況、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。
(四) 網絡管理
我方推薦采用網絡管理軟件進行網絡性能監控、物理和虛擬服務器監控、網絡流量分析、設備配置管理、IP地址與交換機端口管理、防火墻日志分析等,滿足企業IT基礎架構的智能統一管理,從而形成企業整體的 IT 管理系統。在實施過程中,數據中心網絡設備需要根據現有網管系統的要求,配置相應的 SNMP 等網管協議。另外由于需要增加對整個數據中心網絡的監控,因此推薦對企業現有的網絡管理系統進行適當二次開發或修改。
二、 方案優勢
1、安全性好
容易明確不同網絡區域之間的安全關系,可以單獨對每個區域進行安全實施,不會對其它區域造成影響。
2、擴展性好
可根據不同區域和層次的功能按需建設,業務部署靈活,可以非常方便的增加新 Server Farm區,而不改變原有的網絡結構。
3、可用性
可以最大限度的隔離故障域,簡化數據路徑,加快故障收斂時間。
4、易管理
網絡結構清晰,日常的運維更加簡單,故障定位更容易。