构建高可靠性的数据中心网络
构建高可靠性的数据中心网络
对数据中心网络来说,高可靠性是一项基本需求,路由交换设备中的所有功能特性都是建立于可靠性基础之上的。一个缺乏高可靠性设计的网络系统,轻则使得维护工作量增加,重则带来巨大的经济损失和政治影响。那么面对数据量飞涨和服务质量要求不断提升的现状,数据中心级的网络设备
究竟应该具备怎样的高可靠性?
要弄清楚网络设备应该具备怎样的高可靠性,我们首先
要明确网络的可靠性应该如何衡量。一个令人放心的网络首先不能频繁出现故障,IP承载网即使只出现很短时间的中断,都会影响业务运营,特别是实时性强、对丢包和时延敏感的业务。我们一般用平均无故障时间和平均修复时间这两个指标来考量网络的可靠性。对于高性能网络来说,一方面我们要提高网络设备硬件和软件本身的质量;另一方面,我们要以最快的速度发现故障,并将系统快速从故障状态中恢复出来,从而实现网络高可靠性。
明确了网络可靠性衡量标准,那么具体到网络设备而言,究竟要朝哪些方向努力,才能得到更高的可靠性衡量值呢?通过多年的经验积累,H3C公司认为,在产品的开发和生产过程中,提高网络设备的高可靠性,主要需要围绕着以下四个方面
来展开。首先是网络架构的高可靠性,一个普通的二、三层网络和一个虚拟化网络架构相比,其整体的可靠性、可用性是有天壤之别的;其次是设备本身的高可靠性,主要是指网络设备在系统设计和硬件架构上具备整体的高可靠能力;第三是设备所应用的软件系统的可靠性;最后则是软件维护的高可靠性,主要是指设备在软件修复或者版本升级过程中,不会影响到设备的正常运行。
前文我们从理论上讨论了提高网络设备可靠性的方法,而最能证明这些理论的,就是高端网络设备的实际表现。我们可以以主要针对数据中心核心应用的交换设备S12500为例,来实际感受一下网络的可靠性可以达到何种程度。在不久前基于思博伦平台所进行的性能测试中,S12500在二层单播、三层IPv4单播、三层IPv6单播、三层MPLS转发等多种情况下,均实现了100%吞吐量和零丢包。这样的测试成绩可以保证设备在未来的数据中心网络中放心应用。我们知道,在数据中心等核心网络应用中,网络设备面临的数据压力非常之大,在这种工作状态下设备是否能够“顶住压力”,将是维持网络正常状态的关键因素。
由于许多行业的数据中心提供的都是1年365天每天24小时的不间断服务,因此应该尽量消除设备与服务的临时中断,而对于网络设备的可靠性也必然有着更高要求,目前业内高端的网络产品设计也都是瞄准了这一目标来完成的。
高可靠性并不仅仅是一个概念,它能够给用户带来实实在在的商业价值。对于用户来说,网络的稳定可用可以节省维护费用,提高企业的工作效率,节省企业的生产成本,增强企业竞争力,对用户在快速变化的环境中取得成功来说都非常关键。在10G至100G网络正逐渐成为核心网络主流配置的趋势下,进一步提升网络的可靠性已是刻不容缓之事。相信在包括H3C在内网络设备商共同努力之下,网络的可靠性也将“水涨船高”,迈入一个新的层次。
WIFI+Portal认证解决方案_高可靠性
宽带连接世界,信息改变未来 WIFI+Portal认证解决方案 2013年02月
目录 1 概述 (3) 2 安朗WIFI+Portal认证系统解决方案 (3) 2.1 系统拓扑 (4) 2.2 系统容量估算 (4) 2.3 防火墙 (5) 2.4 负载均衡 (5) 2.5 Portal系统 (5) 2.6 AAA系统 (5) 2.7 Oracle数据库 (6) 2.8 磁盘阵列 (6) 3 方案特点 (6) 4 典型案例 (6) 4.1 广州电信本地WIFI认证平台 (6) 4.2 广交会WiFi+Portal 认证平台 (8) 广州安朗通信科技有限公司 2 / 9
1概述 随着智能手机和手持终端的不断普及,使用者需要随时随地上网获取信息。为了给客户更好的服务,越来越多的商家开始提供免费或者收费的WIFI接入服务。在酒店、餐饮、汽车4S店等行业,都开始都提供WIFI服务。 目前随着WIFI的接入增加,对于WIFI的认证也逐渐开始收到了更多的关注。特别是对于WIFI的Portal认证方式收到了越来越多的应用。对于电信运营商这一类的WIFI接入提供商来说,Portal认证系统的稳定可靠是优先考虑的,这就需要提供一个具有高可靠性的Portal 认证系统。 2安朗WIFI+Portal认证系统解决方案 为了满足高可靠性的需要,安朗WIFI+ Portal系统解决方案中包括防火墙、负载均衡、Portal系统、AAA系统、Orcale数据库(负载均衡工作模式)、磁盘阵列等部分。 广州安朗通信科技有限公司 3 / 9
广州安朗通信科技有限公司 4 / 9 2.1 系统拓扑 2.2 系统容量估算 这里的系统容量主要是指各个系统需要采用的Portal 服务器和AAA 服务器的计算以及系统所需带宽估算,负载均衡设备和防火墙容量的估算请参考各个厂家的估算公式。 系统带宽=页面文件大小×并发用户数 页面的连接数×并发用户数=Portal 系统需要支持的连接数 并发用户数/超时时间5秒(认证超时)=AAA 系统每秒需要处理认证请求数 需要的Portal 硬件数量= Portal 需要支持的连接数/单台Portal 支持的连接数
县级数据中心与网络建设 参 考 方 案
县级数据中心与网络建设参考方案 湖南省国土资源厅信息化工作办公室 二○○八年七月
1.前言 根据国土资源部和厅党组对于信息化建设的总体要求,在2008年底前实现部省市县四级联网,基本形成全省国土资源信息交换体系,为全省电子政务的运行提供硬件环境。据此,制定湖南省县级国土资源局数据中心与网络建设方案。 2.总体设计规划 2.1 设计目标 该设计旨在指导建立县级国土资源数据中心和覆盖县局的国土资源网络体系,为国土资源政务管理的网络化运行搭好硬件环境,为政务信息和基础数据的远程交换与共享打好基础,以满足国土资源管理和社会公众的需求。 2.2 设计原则 根据我省各县市级国土资源局具体情况,在系统的规划、设计和实施中遵循以下原则: 1网络安全性 网络中应有多种技术从内部和外部同时控制用户对网络资源的访问。可以用物理隔离、VLAN划分、MAC地址绑定等技术有效地保护内部信息,防止非法侵入和信息泄漏。有条件的还要利用防火墙控制外部对网络的访问。 2可扩展性 由于各个县局的发展情况和发展阶段不同,因此要求随着用户应
用规模的不断扩大,网络可以方便地扩充容量,支持更多的用户及应用。随着技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证用户现有的投资。 3 实用性 设计能基本满足县级国土资源局目前对硬件环境的应用要求,同时对发展条件较好的县市提出进一步发展的方向。 4 节省性原则 在充分满足以上要求的前提下,尽可能地节约投资,花好每一分钱,提供性价比最高的解决方案。 5 统一性原则 在系统的设计过程中,坚持“三个统一”,即统一规划,统一标准,统一出口。 统一规划:即系统的设计依据县级国土资源局长期发展目标并结合时代发展的需要进行综合考虑,统筹规划。 统一标准:采用统一的网络协议和接口等技术标准。 统一出口:设计统一的信息对外出口,各类信息由专门部门控制和负责,保证内部的数据安全。 3.需求分析 根据国家金土工程和湖南省金土工程建设的要求,在国土资源信息化建设的总体框架下,在2008年底前实现部省市县四级联网,基本形成全省国土资源信息交换体系,为全面实现电子政务的网上运行打好基础。 通过调查了解,各县国土资源局信息化建设情况不一,条件较好的县局已经建设好了两套物理隔离的局域网,部分县局由电信布设了一套外网线路,个别县局则暂还未开展信息化相关建设。本方案根据
数据中心网络系统设计方案范本
数据中心网络系统 设计方案
数据中心高可用网络系统设计 数据中心作为承载企业业务的重要IT基础设施,承担着稳定运行和业务创新的重任。伴随着数据的集中,企业数据中心的建设及运维给信息部门带来了巨大的压力,“数据集中就意味着风险集中、响应集中、复杂度集中……”,数据中心出现故障的情况几乎不可避免。因此,数据中心解决方案需要着重关注如何尽量减小数据中心出现故障后对企业关键业务造成的影响。为了实现这一目标,首先应该要了解企业数据中心出现故障的类型以及该类型故障产生的影响。影响数据中心的故障主要分为如下几类: 硬件故障 软件故障 链路故障 电源/环境故障 资源利用问题 网络设计问题 本文针对网络的高可用设计做详细的阐述。 高可用数据中心网络设计思路
数据中心的故障类型众多,但故障所导致的结果却大同小异。即数据中心中的设备、链路或server发生故障,无法对外提供正常服务。缓解这些问题最简单的方式就是冗余设计,能够经过对设备、链路、Server提供备份,从而将故障对用户业务的影响降低到最小。 可是,一味的增加冗余设计是否就能够达到缓解故障影响的目的?有人可能会将网络可用性与冗余性等同起来。事实上,冗余性只是整个可用性架构中的一个方面。一味的强调冗余性有可能会降低可用性,减小冗余所带来的优点,因为冗余性在带来好处的同时也会带来一些如下缺点: 网络复杂度增加 网络支撑负担加重 配置和管理难度增加 因此,数据中心的高可用设计是一个综合的概念。在选用高可靠设备组件、提高网络的冗余性的同时,还需要加强网络构架及协议部署的优化,从而实现真正的高可用。设计一个高可用的数据中心网络,可参考类似OSI七层模型,在各个层面保证高可用,最终实现数据中心基础网络系统的高可用,如图1所示。
网络可靠性设计
网络可靠性设计
目录 1.1 网络可靠性设计 (2) 1.1.1 网络解决方案可靠性的设计原则 (3) 1.1.2 网络可靠性的设计方法实例 (4) 1.1.3 网络可靠性设计总结 (9)
1.1网络可靠性设计 可靠性是指:设备在规定的条件下、在规定的时间内完成规定的功能的能力。对于网络系统的可靠性,除了耐久性外,还有容错性和可维护性方面的内容。 1)耐久性。是指设备运行的无故障性或寿命,专业名称叫MTBF(Mean Time Between Failure),即平均无故障时间,它是描述整个系统可靠性的重要指标。对于一个网络系统来说,MTBF是指整个网络的各组件(链路、节点)不间断无故障连续运行的平均时间。 2)容错性。专业名称叫MTTR(Mean Time to Repair),即系统平均恢复时间,是描述整个系统容错能力的指标。对于一个网络系统来说,MTTR是指当网络中的组件出现故障时,网络从故障状态恢复到正常状态所需的平均时间。 3)可维护性。在系统发生故障后,能够很快地定位问题并通过维护排除故障,这属于事后维护;根据系统告警提前发现问题(如CPU使用率过高,端口流量异常等),通过更换设备或调整网络结构来规避可能出现的故障,这属于预防维护。可维护性需要管理人员来实施,体现了管理的水平,也反映了系统可靠性的高低。
表示系统可靠性的公式为: MTBF / ( MTBF + MTTR ) * 100%。 从公式或以看出,提高MTBF或降低MTTR都可以提高网络可靠性。造成网络不可用的因素包括:设备软硬件故障、设备间链路故障、用户误操作、网络拥塞等。针对这些因素采取措施,使网络尽量不出故障,提高网络MTBF指标,从而提升整网的可靠性水平。 然而,网络中的故障总是不可避免的,所以设计和部署从故障中快速恢复的技术、缩小MTTR指标,同样是提升网络可靠性水平的手段。 在网络架构的设计中,充分保证整网运行的可靠性是基本原则之一。网络系统可靠性设计的核心思想则是,通过合理的组网结构设计和可靠性特性应用,保证网络系统具备有效备份、自动检测和快速恢复机制,同时关注不同类型网络的适应成本。 构建可靠的网络,需要从耐久性、容错性以及可维护性三个方面进行网络规划设计。而网络的规划设计是个系统工程,不同的设计方案的可靠性性效果不尽相同,这就需要以科学的方法进行设计,构建符合需要的可靠性网络。 1.1.1网络解决方案可靠性的设计原则 不同的网络,其可靠性的设计目标是不同的。网络解决方案的可靠性需要根据实际需求进行设计。高可靠性的网络不但涉及到网络架构、设备选型、协议选择、业务规划等技术层面的问题,还受用户现有网络状况、网络投资预算、用户管理水平等影响,因此在规划可靠性网络时需要因地制宜,综合考虑各方面的影响因素。
湖南省县级国土资源局数据中心与网络建设方案详细
省县级国土资源局 数据中心与网络建设方案 省国土资源厅信息化工作办公室 二○○八年七月
目录 1. 前言 2. 目标任务 2.1 基本目标 2.2 配置要求 3. 建设依据 4. 建设容 5. 综合布线 5.1 位置选择 5.2 信息点和交换机 5.3 布线设计 5.4 主机房 6. 网络系统 6.1 总体结构 6.2 网络结构 6.3 网络核心层 6.4 网络接入层 6.5服务器区(数据中心) 7.安全系统 7.1安全配置 7.2安全管理 8. 计算机机房 8.1机房装饰设计 8.2 供、配电系统设计 8.3防雷系统设计 9. 经费概算
1、前言 数据中心和网络系统是国土资源电子政务运行的基础,是各级国土资源信息远程交换与共享的基础平台。全省国土资源工作会议上省厅明确要求今年底要实现省、市、县三级联网。国土资源部在2008年6月召开的国土资源业务网建设研讨会上,也提出了2008年年底实现我国中东部地区联网到县的基本要求。 2、目标任务 2.1基本目标 根据国土资源部和厅党组的要求,建设好县级国土资源数据中心和网络系统,在2008年底前实现国家、省、市、县四级联网,基本形成全省国土资源信息交换体系,为全省电子政务的运行提供基础保障。 2.2配置要求 方案一:基本配置,主要配置以下容: (1)至少保证1套与互联网物理隔离的网,1台路由器与市局联网; (2)至少配置3台网服务器,其中数据库服务器配置RAID和2T以上存储空间; (3)1台物理隔离网闸保证联网安全,1套网络版杀毒软件保证终端桌面安全; (4)具有基本防尘、防潮和控温的简易机房,1组机柜存放设备,有简单的防雷措施;
数据中心信息安全解决方案模板
数据中心信息安全 解决方案
数据中心解决方案 (安全)
目录 第一章信息安全保障系统...................................... 错误!未定义书签。 1.1 系统概述 .................................................... 错误!未定义书签。 1.2 安全标准 .................................................... 错误!未定义书签。 1.3 系统架构 .................................................... 错误!未定义书签。 1.4 系统详细设计 ............................................ 错误!未定义书签。 1.4.1 计算环境安全 ...................................... 错误!未定义书签。 1.4.2 区域边界安全 ...................................... 错误!未定义书签。 1.4.3 通信网络安全 ...................................... 错误!未定义书签。 1.4.4 管理中心安全 ...................................... 错误!未定义书签。 1.5 安全设备及系统......................................... 错误!未定义书签。 1.5.1 VPN加密系统 ...................................... 错误!未定义书签。 1.5.2 入侵防御系统 ...................................... 错误!未定义书签。 1.5.3 防火墙系统 .......................................... 错误!未定义书签。 1.5.4 安全审计系统 ...................................... 错误!未定义书签。 1.5.5 漏洞扫描系统 ...................................... 错误!未定义书签。 1.5.6 网络防病毒系统 .................................. 错误!未定义书签。 1.5.7 PKI/CA身份认证平台 .......................... 错误!未定义书签。 1.5.8 接入认证系统 ...................................... 错误!未定义书签。
网络可靠性实现
高可用性技术(故障检测技术)在路由网络中的应用 国网电科院信息通信技术服务中心蓝鹏 VER1.0 引言:为了保证网络的不间断运行,特别是核心出口网络的高可用性,通常在部署较大规模网络时,会采取链路级备份、设备级备份等方式。技术上通常使用多管理引擎备份、浮动静态路由、VRRP、HSRP等。虽然这些技术给网络带来了一些备份作用,但是对于实时性要求较高的网络还会存在一些问题,本文结合在H3C路由器上的配置实例说明一些故障检测技术与传统技术的结合(联动)从而实现更为智能的高可用性解决方案。 关键字:可靠性故障检测技术NQA BFD TRACK 路由协议网络收敛 (一)、可靠性概述 随着网络的快速普及和应用的日益深入,网络中断可能影响大量业务,因此,作为业务承载主体的基础网络,其可靠性日益成为倍受关注的焦点。在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。 1.可靠性需求 可靠性需求根据其目标和实现方法的不同可分为三个级别,各级别的目标和实现方法如表 1 所示。 级别目标实现方法 1减少系统的软、硬件故障硬件:简化电路设计、提高生产工艺、进行可靠性试验 软件:软件可靠性设计、软件可靠性测试等 2即使发生故障,系统功能也不 设备和链路的冗余设计、部署倒换策略、提高倒换成功率受影响 3尽管发生故障导致功能受损, 提供故障检测、诊断、隔离和恢复技术 但系统能够快速恢复 表 1 在上述三个级别的可靠性需求中,第1级别需求的满足应在网络设备的设计和生产过程中予以考虑;第2级别需求的满足应在设计网络架构时予以考虑;第3级别需求则应在网络部署过程中,根据网络架构和业务特点采用相应的可靠性技术来予以满足。 2.可靠性度量 通常我们使用 MTBF ( Mean Time Between Failures ,平均故障间隔时间)和 MTTR ( Mean Timeto Repair ,平均修复时间)这两个技术指标来评价系统的可靠性。 (1).MTBF MTBF 是指一个系统无故障运行的平均时间,通常以小时为单位。 MTBF 越多,可靠性也就越高。 (2).MTTR MTTR 是指一个系统从故障发生到恢复所需的平均时间,广义的 MTTR 还涉及备件管理、客
数据中心建设架构设计
数据中心架构建设计方案建议书 1、数据中心网络功能区分区说明 功能区说明 图1:数据中心网络拓扑图 数据中心网络通过防火墙和交换机等网络安全设备分隔为个功能区:互联网区、应用服务器区、核心数据区、存储数据区、管理区和测试区。可通过在防火墙上设置策略来灵活控制各功能区之间的访问。各功能区拓扑结构应保持基本一致,并可根据需要新增功能区。 在安全级别的设定上,互联网区最低,应用区次之,测试区等,核心数据区和存储数据区最高。 数据中心网络采用冗余设计,实现网络设备、线路的冗余备份以保证较高的可靠性。 互联网区网络 外联区位于第一道防火墙之外,是数据中心网络的Internet接口,提供与Internet高速、可靠的连接,保证客户通过Internet访问支付中心。 根据中国南电信、北联通的网络分割现状,数据中心同时申请中国电信、中国联通各1条Internet线路。实现自动为来访用户选择最优的网络线路,保证优质的网络访问服务。当1条线路出现故障时,所有访问自动切换到另1条线路,即实现线路的冗余备份。
但随着移动互联网的迅猛发展,将来一定会有中国移动接入的需求,互联区网络为未来增加中国移动(铁通)链路接入提供了硬件准备,无需增加硬件便可以接入更多互联网接入链路。 外联区网络设备主要有:2台高性能链路负载均衡设备F5 LC1600,此交换机不断能够支持链路负载,通过DNS智能选择最佳线路给接入用户,同时确保其中一条链路发生故障后,另外一条链路能够迅速接管。互联网区使用交换机可以利用现有二层交换机,也可以通过VLAN方式从核心交换机上借用端口。 交换机具有端口镜像功能,并且每台交换机至少保留4个未使用端口,以便未来网络入侵检测器、网络流量分析仪等设备等接入。 建议未来在此处部署应用防火墙产品,以防止黑客在应用层上对应用系统的攻击。 应用服务器区网络 应用服务器区位于防火墙内,主要用于放置WEB服务器、应用服务器等。所有应用服务器和web服务器可以通过F5 BigIP1600实现服务器负载均衡。 外网防火墙均应采用千兆高性能防火墙。防火墙采用模块式设计,具有端口扩展能力,以满足未来扩展功能区的需要。 在此区部署服务器负载均衡交换机,实现服务器的负载均衡。也可以采用F5虚拟化版本,即无需硬件,只需要使用软件就可以象一台虚拟服务器一样,运行在vmware ESXi上。 数据库区
大型企业数据中心建设方案
目录 第1章总述 (4) 1.1XXX公司数据中心网络建设需求 (4) 1.1.1 传统架构存在的问题 (4) 1.1.2 XXX公司数据中心目标架构 (5) 1.2XXX公司数据中心设计目标 (6) 1.3XXX公司数据中心技术需求 (7) 1.3.1 整合能力 (7) 1.3.2 虚拟化能力 (7) 1.3.3 自动化能力 (8) 1.3.4 绿色数据中心要求 (8) 第2章XXX公司数据中心技术实现 (9) 2.1整合能力 (9) 2.1.1 一体化交换技术 (9) 2.1.2 无丢弃以太网技术 (10) 2.1.3 性能支撑能力 (11) 2.1.4 智能服务的整合能力 (11) 2.2虚拟化能力 (12) 2.2.1 虚拟交换技术 (12) 2.2.2 网络服务虚拟化 (14) 2.2.3 服务器虚拟化 (14) 2.3自动化 (15) 2.4绿色数据中心 (16) 第3章XXX公司数据中心网络设计 (17) 3.1总体网络结构 (17) 3.1.1 层次化结构的优势 (17) 3.1.2 标准的网络分层结构 (17) 3.1.3 XXX公司的网络结构 (18) 3.2全网核心层设计 (19) 3.3数据中心分布层设计 (20) 3.3.1 数据中心分布层虚拟交换机 (20) 3.3.2 数据中心分布层智能服务机箱 (21) 3.4数据中心接入层设计 (22) 3.5数据中心地址路由设计 (25) 3.5.1 核心层 (25) 3.5.2 分布汇聚层和接入层 (25) 3.5.3 VLAN/VSAN和地址规划 (26) 第4章应用服务控制与负载均衡设计 (27) 4.1功能介绍 (27) 4.1.1 基本功能 (27)
数据中心、网络安全
一、数据中心的作用: 用来在internet网络基础设施上传递、加速、展示、计算、存储数据信息。 二、数据中心的组成 1、基础环境: 主要指数据中心机房及建筑物布线等设施,包括电力、制冷、消防、门禁、监控、装修等; 2、硬件设备: 主要包括核心网络设备(华为、新华三(H3C)、锐捷网络、D-Link)、 网络安全设备包含防火墙、utm、vpn、防毒邮件过滤、IPS防入侵系统物理安全隔离、监管(华为、深信服、新华三、360、天融信、启明星辰) 服务器(戴尔、联想、华为) 存储(惠普、希捷、联想、群辉) 灾备设备、机柜及配套设施; 3、基础软件: 服务器操作系统软件、虚拟化软件、IaaS服务管理软件、数据库软件、防病毒软件等;4、应用支撑平台: 一般来讲是具有行业特点的统一软件平台,整合异构系统,互通数据资源;剩下的是具体应用软件了,多数应该做成与硬件无关的。最最重要的是,光靠软件硬件的罗列是无法构成一个好的数据中心,关键是如何设计、如何 三、网络安全的作用 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断 四、网络安全的组成 1、防火墙: 防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 2、IPS(防入侵系统) 监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 3、防毒墙 查杀病毒保护网络安全 4、抗DDOS 主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务 5、堡垒机 保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。 6、WAF网络防火墙 Web应用防护系统(也称为:网站应用级入侵防御系统 7、网闸 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
网络高可用性技术白皮书之一
网络高可用性技术白皮书(一) 杭州华三通信技术有限公司
目录 网络高可用性技术白皮书(一) (1) 1. 硬件冗余 (1) 1.1 主控冗余 (1) 1.2 单板热插拔 (2) 1.3 电源风扇冗余 (3) 2. 链路捆绑技术 (3) 3. 热补丁技术 (3) 4. IRF智能弹性架构 (4) 4.1 分布式设备管理 (5) 4.2 分布式路由 (7) 4.3 分布式链路聚合 (8)
网络高可用性技术白皮书 网络高可用性技术,基本都可以归入容错技术,即在网络出现故障(错误)时,确保网络能快速恢复。对目前常用的高可用性技术,可以作一个简单的归类: z单个设备上的硬件冗余,如双主控、单板热插拔、电源冗余、风扇冗余等; z链路捆绑,如以太网链路聚合、MP、MFR等; z环网技术,如RPR、RRPP; z STP、Smart Link、Flex Link等二层冗余技术; z冗余网关技术,如VRRP、HSRP、GLBP; z ECMP,浮动静态路由,动态路由快速收敛(如快速hello,iSPF); z不间断转发:NSF/SSO/GR; z MPLS 快速重路由; z快速故障检测技术,如BFD。 1. 硬件冗余 这里的硬件冗余指的是单台设备上的硬件冗余,一般有主控冗余、交换网冗余、单板热插拔和电源风扇冗余等,使用冗余部件可以在单个部件可靠性一定的情况下,提高整个设备的可用性。随着硬件技术的进步,目前很多设备交换网集成在主控板上,所以交换网冗余不单独介绍。 1.1主控冗余 在设备只有单主控的情况下,如果主控板故障,重起主控板需要加载映象文件、初始化配置、重新注册业务板,然后重建控制平面和转发平面表项,整个过程在5分钟左右,这个时间实在是太长了,特别对于网络中处于单点故障的节点来说更是如此,因为业务在这个过程中将完全中断。为了缩短这个时间,主控冗余应运而生。 主控冗余是指设备提供两块主控板,互为备份。因为主控冗余在控制和转发分离的架构下才能发挥最大的效用,这里先介绍一下控制和转发分离的概念。在控制和转发分离的架构中,控制平面负责各种协议,如路由协议(如RIP/OSPF/IS-IS/BGP)、标签分发协议(如LDP/RSVP-TE/BGP)等的处理,形成路由信息表(RIB)和标签信息表(LIB),从其中选择最优者,加上必要的二层信息,形成路由转发信息表(FIB)和标签转发信息表(LFIB),下发到转发平面,转发平面据此实现快速转发。控制平面的处理在主控板上进行,转发平面的处理既可以在主控板(集中式设备),也可以在业务板(分布式设备)。一旦实现了控制和转发分离,即使控制平面出现故障,转发平面的转发表项在短时间内可以认为仍然合理,继续转发数据而不会导致问题(如环路),当然,控制平面必须能快速恢复并重新和邻居建立协议会话,收敛后再对转发平面进行检查,对表项作必要更新,删除在新的会话环境下不再正确的转发表项。 在主控冗余的设备上,配备了两块主控板,一块实际起作用,称为Master,另一块备用,
数据中心建设模式分析
数据中心建设模式分析
目录 前言 (5) 第一章数据中心发展现状与趋势 (5) 1.1 国内数据中心现状 (5) 1.2 数据中心发展趋势 (9) 第二章数据中心可持续发展能力 (13) 2.1 什么是数据中心可持续发展能力...................................................................... 错误!未定义书签。 2.2 数据中心的生命周期.......................................................................................... 错误!未定义书签。 2.3 数据中心可持续发展能力分析.......................................................................... 错误!未定义书签。 3.1 数据中心业务定位 ............................................................................................. 错误!未定义书签。 3.2 数据中心建设规模 ............................................................................................. 错误!未定义书签。 3.3 数据中心建设标准 ............................................................................................. 错误!未定义书签。 3.4 数据中心指标体系 ............................................................................................. 错误!未定义书签。 3.5 数据中心选址 ..................................................................................................... 错误!未定义书签。 3.6 数据中心技术要求 ............................................................................................. 错误!未定义书签。第四章数据中心的节能与能效评价 ........................................................................... 错误!未定义书签。 4.1 数据中心的能耗审计.......................................................................................... 错误!未定义书签。 4.2 数据中心能耗测量指标...................................................................................... 错误!未定义书签。 4.3 数据中心节能目标 ............................................................................................. 错误!未定义书签。 4.4 节能技术方案举例 ............................................................................................. 错误!未定义书签。
高可靠性网络解决方案
2. 高可靠性网络解决方案 根据《中国证券经营机构营业部信息系统技术管理规范(试行)》第三章“硬件设施”中第四节“局域网络”的规定:网络结构应合理可靠、网络设备应兼具技术先进性和产品成熟性以及网络设备应用冗余备份的要求。我们凭借多年在证券网络系统集成方面丰富的工作经验,结合网卡容错技术(Adapter Fault Tolerance,AFT)、交换机扩展堆叠技术(Scalable Stacking Technolgy,SST)和IEEE链路冗余技术(Spanning-Tree Protocol,802.1D);使用100M服务器网卡、100M交换机、10M交换机和10M工作站网卡设计并实施了一种高可靠性网络方案。它实现了在服务器网卡端(100M NIC)和主干交换机(100M Switch)上能够自动容错的功能。 国内证券营业部当前流行的网络结构是服务器采用100M交换结构,直接连接到100M交换机上;工作站采用10M交换结构,直接连接到10M交换机连接构成100M网络主干(见图1)。 原有网络主要存在以下几种结构上的隐患: ①如果某服务器网卡崩溃,将引起此服务器与网络的数据传输中断。 ②如果100M交换机崩溃,将引起整个网络数据传输中断。 原有解决方案: ①在服务器上安装双网卡,如果主网卡崩溃,由人工装载备份网卡驱动。 ②另配备一台100M交换机,如果主交换机崩溃,由人工替换。 但它们都需要暂时中断网络运行,并且人工干预。为了解决以上问题。我设计了以下不间断自动解决方案: ①在每台服务器上安装两块100M服务器网卡,并将它们配置成容错状态。 ②配备两台主干交换机(100M交换机),分别连接每台服务器上的一块服务器网卡。同 时每台100M交换机都安装堆叠模块(Stack Module),两台交换机上的堆叠模块相 互连接起来,建立一条1GB链路。 ③根据工作站数量配备多台支干交换机(10M交换机),每台交换机都具有两个100M 端口。两个100M端口分别连接两台100M交换机,建立两条100M主干链路,配合 两台100M交换机间的堆叠链路,将其中一条建成冗余主干链路。
通用方案 数据中心网络建设方案
数据中心网络建设方案
目录 第一章数据中心现状分析 (4) 第二章数据中心网络技术分析 (4) 2.1 路由与交换 (4) 2.2 EOR 与TOR (5) 2.3网络虚拟化 (5) 2.3.1 网络多虚一技术 (5) 2.3.2网络一虚多技术 (7) 2.4 VM互访技术(VEPA) (7) 2.5 虚拟机迁移网络技术 (11) 第三章方案设计 (13) 3.1网络总体规划 (13) 3.2省级数据中心网络设计 (15) 3.3市级数据中心网络设计 (16) 3.4区县级数据中心网络设计 (17) 3.5省、市、区/县数据中心互联设计 (18) 3.5.1省、市数据中心互联 (18) 3.5.2市、区/县数据中心互联 (19) 3.5.3数据中心安全解决方案 (19) 第四章方案的新技术特点 (21) 4.1量身定制的数据中心网络平台 (21) 4.1.1最先进的万兆以太网技术 (21) 4.1.2硬件全线速处理技术 (22) 4.1.3 Extreme Direct Attach技术 (24) 4.1.5 帮助虚机无缝迁移的XNV技术 (29) 4.1.5环保节能的网络建设 (33) 4.2 最稳定可靠的网络平台 (34) 4.2.1 独有的模块化操作系统设计 (34) 4.2.2超强的QOS服务质量保证 (35) 4.3先进的网络安全设计 (37) 4.3.1设备安全特性 (38) 4.3.2用户的安全接入 (39) 4.3.3智能化的安全防御措施 (40) 4.3.4常用安全策略建议 (41) 附录方案产品资料 (45) 1.核心交换机BD 8800 (45) 2.SummitX670系列产品 (49) 3.三层千兆交换机Summit X460 (61) 4.核心路由器MP7500 (69) 5.汇聚路由器MP7200 (75) 6.接入路由器MP3840 (81)
如何提高企业网络安全可靠性
如何提高企业网络安全可靠性 LINUX服务器为妥 若有人问你,在中小企业的网络规划中,必须遵守的几个原则是什么?那么,可靠性,必定名列其中,而且是名列前茅的。可见,可靠性在中小企业网络建设中的重要性。但是,俗话说,站着说话不怕腰疼,要提高中小企业网络的可靠性不是嘴巴说说就可以完成的,是需要网络管理员拿出全部智慧来设计中小企业的网络应用才可以达到这个目标。 笔者虽然在中小企业网络管理设计中,对于可靠性有比较深刻的认识。但是,自认为还没有掌握到全部内容。下面,笔者就自己的在这方面的一些经验拿出来供大家参考。 一、服务器还是采用LINUX的好 随着信息化技术的普及,服务器在企业中的应用越来越广泛。如企业若采用ERP系统,则需要有ERP系统服务器;采用文件服务器的话,也需要有专门的服务器来支持这个网络应用。现在网络管理员面临着一个问题,就是该采用什么样的服务器操作系统?现在用的最多的是微软的服务器版本的操作系统与LINUX的开源的免费的服务器操作系统。 那我们该怎么选择呢?我个人倾向与LINUX的服务器操作系统,我现在在企业中部署的两个服务器,也都是采用这个免费的开源的操作系统。我为什么选择这个免费的操作系统呢,主要有以下原因。 一是我们都知道,微软的操作系统补丁太多,时不时的需要给操作系统打补丁。从这里也可以看出,微软的操作系统稳定性不容乐观。而这正式企业网络应用可靠性的最大杀手。 二是微软也不知道得罪了谁,跟其相关的网络应用成为了众多黑客等攻击的对象,什么病毒、木马都在其周围打转。而且攻击的不仅仅是其操作系统本身,还有其上面的相关应用。如SQL SERVER数据库系统、Exchange邮件服务器等等,都是其攻击的对象。相对而言,LINUX因为是开源的,而且其有很多技术专家在为其服务,所以,其仇家就没有这么多。针对LINUX服务器系统的攻击,跟微软的操作系统比起来,可以说是九牛一毛。 虽然LINUX在操作性上,没有微软操作系统那么简便,而且,也不是所有的网络应用都支持这个开源的操作系统。但是,企业网络可靠性的考虑,我还是会好不犹豫的选择LINUX的服务器操作系统。其在稳定性方便,要远远的超过微软的服务器操作系统。而且,还可以省去不断打补丁的烦恼;同时,还可以省一大笔软件的授权费用。这一举多得的事情,我们怎么能够放过呢? 服务器的可靠性,是整个企业网络应用可靠性的基础,我们在网络规划的时候,要引起充分的重视。 采用新技术要慎重 二、避免采用最新的技术 新的技术,对于企业来说,可能意味着高性能,但是,同时也意味着不稳定,是可靠性的又一个隐形杀手。在这方面,我的师傅给我讲过一个非常深刻的例子。 那时,我师傅是一个技术迷,是技术的崇拜者。是幸运也是不幸的是,那时候他在一家国有企业负责网络管理。我们知道,那时候的国有企业可是铁饭碗,而且,网络信息化那时候还是一个新名词。在网络信息化这一方面,国有企业是乐意投资的,因为这是一块活招牌,而且,国家在这方面也有资助。所以,我师傅在资金方面是不用愁的,这使得我师傅有足够的金钱去追从新技术。其实,这也怪不得我师傅,也是当时企业管理层的需要。 那时候,无线局域网刚出现,我师傅应企业管理层的需要,就迫不及待的花费巨资,对企业的网络进行大范围的改造。要知道,那时候无线网络设备刚出来的时候,不但价格昂贵,而且,其技术还不是很完善,存在很多问题,让我师傅吃足了苦头。
网络性能和可靠性优化方案及对策
网络性能和可靠性优化设计方案 当前整个社会已进入全面信息化时代,人们对网络的依赖性已越来越强,几乎成为工作、商业和生活中不可缺少的必需工具,但随之伴随而来也产生一些不容忽视的问题,网络系统可靠性就是其中一个主要的问题,网络的快速应用,一旦网络中断必将影响大量业务,甚至可能造成极其重大的社会影响和极大经济损失,因此,作为业务承载主体的基础网络,其可靠性日益成为倍受关注的焦点。在实际网络中,总会避免不了出现网络故障和服务中断的情况,因此,提高系统容错能力、提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。本文将主要研究网络可靠性影响因素及提升网络可靠性的方法,并对网络可靠性方案做出了归纳总结。 网络系统可靠性设计的核心思想则是,通过合理的组网结构设计和可靠性特性应用,保证网络系统具备有效备份、自动检测和快速恢复机制,同时关注不同类型网络的适应成本。为了保证网络的不间断运行,特别是核心出口网络的高可用性,通常在部署较大规模网络时,会采取链路级备份、设备级备份等方式。技术上通常使用多管理引擎备份、浮动静态路由、VRRP、HSRP、GLBP等。虽然这些技术给网络备份起到了一定的作用,但是对于实时性要求较高的网络还会存在一些问题,所以对网络系统进行科学优化设计是网络可靠运行的重要
基础。网络建设目标就是使网络系统能够满足用户应对网络各个方面的正常需求,以避免网络建成后可能出现的各种问题,网络的可靠性和冗余设计在网络建设中必须重点加以考虑。不同的网络,其可靠性的设计目标是不同的,网络解决方案的可靠性需要根据实际需求进行设计,高可靠性的网络不但涉及到网络架构、设备选型、协议选择、业务规划等技术层面的问题,还受用户现有网络状况、网络投资预算、用户管理水平等影响,因此在规划可靠性网络时需要因地制宜,综合考虑各方面的影响因素。 网络可靠性影响因素 网络可靠性是指设备在规定的条件(操作方式、维修方式、负载条件、温度、湿度、辐射等)下,在规定的时间(1000小时、一个季度等),网络保持连通和完成通信要求的能力。它反映了网络拓扑结构支持网络正常运行的能力,是计算机网络规划、设计与运行的重要参数之一。从现实层面讲,当前影响网络可靠性的外因素较多,且形式多样,容不确定性逐渐增加,诸如电子元件老化,传输介质及设备接口故障,软硬件配置因素失当、网络设计层次不恰当、用户非常规操作等等,这些因素的集聚均相应导致网络可靠性的下降。 网络设备及用户终端的影响。要保证网络可靠稳定运行,硬件设备的质量在其中起着很重要的作用,硬件的质量越好,网络运行的连续性和可靠性就会越高。尤其是网络核心和骨干层,其重要性不言而喻,
小型数据中心网络和机房建设方案
小型数据中心网络及机房建设方案
正文目录 第一章网络建设方案 5 1. 建设原则 5 2. 建设目标 6 3. 总体架构及建设内容7 3.1 总体架构方案7 3.2 建设方案8 3.2.1 小型数据中心机房网络建设方案8 3.3 网络可靠性设计10 3.3.1 设备级的可靠性10 3.3.2 链路级的可靠性11 3.3.3 网络级的可靠性11 3.3.4 业务可靠性12 3.4 网络安全建设13 3. 4.1 总体安全策略13 3.4.2 区域边界安全要求16 3.4.3 安全管理中心要求18 3.4.4 网络与基础设施安全要求19 3.4.5 网络安全部署23 3.4. 5.1防火墙23 3.4.5.2入侵防御检测24 3.4.5.3 上网行为管理24 3.4.6 交换及WLAN部署24 3.4. 6.1 核心及汇聚交换机25 3.4.6.2 接入交换机25 3.4.6.3无线AP 25 3.4.6.5 无线控制器25 第二章机房建设方案27 1. 设计依据27
2. 建设原则28 3. 建设目标30 4. 建设内容31 5. 建设方案32 5.1 机房装饰装修32 5.2 机房配电系统建设35 5.2.1 机房配电系统需求分析35 5.2.2 机房配电系统设计36 5.2.3 UPS供电系统要求39 5.3 机房防雷接地建设方案41 5.3.1 雷电的表现形式41 5.3.2 雷电干扰的入侵路径41 5.3.3 机房总电源防雷(第II级)42 5.3.4 UPS前端电源防雷(第III级)42 5.3.5 重要电子设备电源防雷(精细保护)43 5.3.6 机房等电位实施原则43 5.3.7 机房接地系统实施43 5.4 机房空调及新风系统建设方案44 5.4.1 空调系统说明44 5.4.2 机房环境特点45 5.4.3 机房空调的要求45 5.4.4 空调的上下水实施47 5.4.5 机房新风系统建设48 5.5 机房消防系统建设方案49 5.6 机房动力环境监控系统建设方案50 5. 6.1 动力环境监控系统需求分析50 5.6.2 配电监测系统51 5.6.3 UPS监控51 5.6.4 空调监控52 5.6.5 漏水监测52
数据中心云安全建设方案
若水公司 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。