IDC网络设计方案
IDC网络设计方案
1概述
如下图是整个IDC的建设框架,本章将阐述网络框架的建设以及网络管理。
网络架构运行在布线系统,供电系统等基础系统之上,同时为主机系统和应用系统提供平台。而在横向结构上,IDC的网络运行离不开网络管理和运营维护。网络架构的可靠,稳定,高效,安全,可扩展,可管理性将直接关系到上层的主机系统和应用系统,也将直接关系到IDC业务的顺利开展和运行。总之,网络架构是IDC建设框架中重要而又承上启下的一环,网络系统的设计是否完善将直接影响到IDC建设的质量。
IDC网络架构的整体设计框架如下图所示。
IDC的业务将包含接入业务,空间出租业务,托管业务,管理业务和增值业务。本章将在介绍IDC 网络设计的同时,阐述每个设计要点对IDC业务的影响和重要性。因为上图中整个IDC建设框架的最终目的是为了IDC业务的开展和拓展,在这个框架的每个部分都必须贯穿为IDC业务开展服务的宗旨。
本章将从托管服务,网络安全,Internet连接,内容交换,内容传送,后台连接和网络管理等方面具体阐述IDC网络解决方案对IDC业务的针对性设计。
2托管服务
IDC的基本业务包括网站托管(Web hosting)和主机托管(Co-location)两大类。其中网站托管分为共享式和独享式两种。由于其业务模式的不同,使得其在对网络设计时的要求也不相同。以下分别给出基于两种不同模式时的网络全貌。
2.1基于主机托管的IDC网络全貌
主机托管是IDC初期为其用户提供的一种基础服务。网站及企业用户自身拥有若干服务器,并把它放置在IDC的机房里,由客户自己进行维护。
主机托管业务的特点:投资降低,用户可使用已购买的服务器等设备,无需再作设备投资,并且可采用IDC提供的线路。
该业务适合于自身有较强的网络运行维护经验并在数据中心建立之前已投入人力物力建设了网站设备的大型企业用户。如著名的Yahoo、eBay、Amazon。com都采用了主机托管业务。
提供主机托管业务的IDC向其用户提供的业务主要包括与Internet网的连接以及提供独立安全的场地,这样对于IDC而言在进行网络设计时必须考虑提高网络连接的速度及可靠性,从而为用户提供高质量的服务。
对主机托管业务,IDC可为客户提供n x 100M或者千兆独占带宽的电信级专业机房租用服务,包括
?随时可扩充的独占带宽
?UPS不间断电源保障
?24小时实时摄像监控
?电源控制系统
?保安系统
?消防系统
以及可选的机柜出租:
?标准电信级机柜:高2M、深1M或1。2米、宽19英寸
?每台机柜提供独立电源控制
?高速以太网接口
?独立风扇设备
基于主机托管业务IDC的网络全貌如下图所示,网络分为Internet连接层、核心层和服务器接入层。
在提供主机托管服务给用户时,IDC服务提供商将负责提供Internet连接层、核心层、分布层及服务器接入层的设备并保障其稳定运行。用户则需要自己负责服务器以及包含防火墙等在内的内部网络。有关网络各层的描述,请参见后续相应章节。
2.2基于网站托管的IDC网络全貌
网站托管是IDC经过发展后而开展的一项业务。用户采用IDC提供的服务器来存放数据,运行软件。总体来讲数据中心的硬件设备主要包括:服务器阵列、网络设备(路由器、交换机)、机房
控制设备、防火系统、备用电源、空调设施等。数据服务中心的建设除了必须具有一定面积的机房和相当数量的服务器外,还必须对运维管理、安全系统、监控等设施、工具和专业服务进行深入的考虑。
提供网站托管业务的IDC向其用户提供的业务主要包括网络设施及网站托管,这样对于IDC而言在进行网络设计时必须考虑以下要素:
?提高服务器及Web应用的可访问性,这需要网络具有内容识别(Content Aware)的功能
?为方便租用主机的用户易于控制及管理其主机内容,提供相应的管理平台。
2.2.1独享式网站托管
IDC为用户提供专用主机,这更适合于具有复杂业务的站点。专用主机可以为这些关键应用提供高质量、安全的服务。对于这种业务模型,用户将其服务器包给了数据服务中心经营者,用户不必拥有计算机、网络方面的技术人员而享受数据服务中心所提供的全套专业服务。
为了保证服务质量,获得相应的高增值服务费用,IDC服务经营者通常与用户制定SLA(Service Level Agreement)。运营者遵照SLA上规定的条例保证服务的不间断、丢包率、网络响应时间。经营者通过提供例如:平台设计、服务监控、服务品质测试、网络安全管理和缓存等项增值服务加强市场竞争力。
对中小型网站而言,无论是从运营维护的角度,还是对整体业务收入而言,与场地租用的服务相比,独享主机服务更能吸引IDC的经营者。根据用户需求的不同,我们可以定义单机,双机集群或包括数据库服务器的独享主机服务包。其他作为独享主机托管服务的一部分还应包括:
?电信级高品质机房环境和设备
?可靠的供电系统
?恒温恒湿控制系统
?19英寸标准机架
?10M/100M共享或独占接口
?独立IP地址
?服务器配置
?服务器系统软件安装、调试
?24×7网络系统管理维护与技术支持
?24小时实时的服务器运行状态、流量监测
?详细的访问统计报告
?紧急状况的处理
2.2.2共享式网站托管
又可称为虚拟主机业务,是指在一种Internet的网站工作环境下,IDC的网络服务器可以容纳许多相互独立的多个网站和Email系统,并且由IDC提供管理维护服务。而每一位客户可以有条件地访问和控制服务器上的一小部分,从而用来构建自己的网站。
虚拟主机依托于一台服务器,多个网站可以在这台服务器上共享资源(硬盘空间、处理器以及内存空间),单独的一台服务器上可以同时运行多个虚拟主机。
虚拟主机是一种初级的网络系统方案,其用途主要是容纳一些中小型企业应用以及静态网页。在商业网站发展的早期阶段,是系统采取的主要解决方案。其业务需求的前提如下:
?建设网站系统需要高额的硬件费用;
?缺乏维护这些系统的有经验的专家;
?网站比较简单;
?交互应用程序较少;
?网络带宽的限制。
现在Internet上很多网站都采用虚拟主机系统方案。虚拟主机业务市场将会随着这个产业的发展而不断调整与变化,不断地满足如小型企业、社会团体以及其它仅需要一种简单的网页系统的需求。但由于这种业务模式的技术难度不大,所需投资较小,竞争也比较激烈,利润也较低。
在IDC网络建设初期,虚拟主机业务为服务提供商提供了巨大的市场机遇,而且它是实施其他增值服务(例如应用托管业务)的基础。
共享式网站托管是深受中、小企业欢迎的一个价廉物美的服务,内容包括:
?国际、国内域名代理申请
?URL域名解析
?FTP访问及其密码修改
?断点续传支持
?CGI/Perl支持,专用CGI-BIN目录
?Active X/VB Script支持
?JAVA Applet/Class支持
?防火墙保护
?服务器24小时不间断运行
?WEB设计服务
?WEB Counter计数器
?Banner广告条
?搜索引擎
?Email自动转发、回复及邮件列表支持
IDC可根据用户对以上功能的选择及对存储空间的要求,定义成不同级别的服务包提供给最终用户。
在基于网站托管业务IDC的网络全貌如下图所示,网络分为Internet连接层、核心层、分布层、服务器接入及后台管理平台。
在提供网站托管业务时,IDC服务提供商需提供并管理所有各层的设备,对于IDC的用户是完全透明的,从而用户可以专注于其业务而无需负责任何系统的管理。对于网络结构中各层的详细描述,请参见后续相应章节。
3网络安全
众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理上的无政府状态,逐渐使Internet自身的安全受到严重威胁,与它有关的安全事故屡有发生。对网络安全的威胁主要表现在:拒绝服务、非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。
IDC以Internet技术体系作为基础,主要特点是以TCP/IP为传输协议和以浏览器/WEB为处理模式。所以我们在IDC的设计中必须充分重视安全问题,尽可能的减少安全漏洞。此外,我们还应该根据IDC的客户需求提供不同的安全服务,同时最大限度的保证IDC 网络管理中心(NOC)自身的安全。
3.1 IDC的安全需求
我们把对于IDC的安全需求分为三类:分别是IDC基本服务,IDC增值服务,IDC NOC。
对于IDC基本服务的安全需求如下:
?AAA服务,提供认证,授权及审计的功能
?防Dos 黑客攻击功能
?线速ACL功能
对于IDC 增值服务的安全需求如下:
?AAA服务,提供认证,授权及审计的功能
?防Dos 黑客攻击功能
?线速ACL功能
?防火墙及防火墙平滑切换功能
?入侵检测功能
?漏洞检测功能
?线速NAT
对于 IDC NOC的安全需求如下:
?AAA服务,提供认证,授权及审计的功能
?防Dos 黑客攻击功能
?线速ACL功能
?防火墙及防火墙平滑切换功能
?入侵检测功能
?漏洞检测功能
?线速NAT
?ACL的策略管理
?安全元件的策略管理
?VPN
3.1.1 AAA服务
所谓AAA是(Authentication、Authorization、Accounting)的缩写,即认证、授权、记帐功能,简单的说:
认证:用户身份的确认,确定允许哪些用户登录,对用户的身份的校验。
授权:当用户登录后允许该用户可以干什么,执行哪些操作的授权。
记帐:记录用户登录后干了些什么。
AAA功能的实施需要两部分的配合:支持AAA的网络设备、AAA服务器。RADIUS/TACACS+是实施AAA常用的协议,认证软件需要有完整的记帐功能,并且可以将USER 信息直接导入软件的用户数据库,极大方便的AAA服务的用户管理。
在使用AAA的功能后用户通过网络远程登录到网络设备上的基本过程如下:
用户执行远程登录命令(例如:Telnet),网络设备提示输入用户姓名、口令。
用户输入口令后,网络设备向AAA服务器查询该用户是否有权登录。
AAA服务器检索用户数据库,如果该用户允许登录则向网络设备返回PERMIT信息和该用户在该网络设备上可执行的命令同时将用户登录的时间、IP作详细记录;若不能在用户数据库中检索到该用户的信息则返回DENY信息,并可以根据设置向网管工作站发送SNMP的警告消息。
当网络设备得到AAA的应答后,可以根据应答的内容作出相应的操作,如果应答为DENY则关闭掉当前的SESSION进程;如果为PERMIT则根据AAA服务器返回的用户权限为该用户开启SESSION 进程,并将用户所执行的操作向AAA服务器进行报告。
通过AAA的实施我们可以方便的控制网络设备的安全性,同时结合ACL的设置限制能够进行远程登录的工作站的数量、IP地址降低网络设备受到攻击的可能性。
3.1.2防DoS黑客攻击
在拒绝服务(DoS)攻击中,恶意用户向服务器发送多个认证请求,使其满负载,并且所有请求的返回地址都是伪造的。当服务器企图将认证结果返回给用户时,它将无法找到这些用户。在这种情况下,服务器只好等待,有时甚至会等待1分钟才能关闭此次连接。当服务器关闭连接之后,攻击者又发送新的一批虚假请求,以上过程又重复发生,直到服务器因过载而拒绝提供服务。
分布式拒绝服务(DDOS)把DoS又向前发展了一步。DoS攻击需要攻击者手工操作,而DDOS则将这种攻击行为自动化。与其他分布式概念类似,分布式拒绝服务可以方便地协调从多台计算机上启动的进程。在这种情况下,就会有一股拒绝服务洪流冲击网络,并使其因过载而崩溃。
DDOS工作的基本概念如图所示。黒客(client)在不同的主机(handler)上安装大量的DoS服务程序,它们等待来自中央客户端(client)的命令,中央客户端随后通知全体受控服务程序(agent),并指示它们对一个特定目标发送尽可能多的网络访问请求。该工具将攻击一个目标的任务分配给所有可能的DoS服务程序,这就是它被叫做分布式DoS的原因。
实际的攻击并不仅仅是简单地发送海量信息,而是采用DDOS的变种工具,这些工具可以利用网络协议的缺陷使攻击力更强大或者使追踪攻击者变得更困难。首先,现在的DDOS工具基本上都可以伪装源地址。它们发送原始的IP包(raw IP packet),由于Internet协议本身的缺陷,IP包中包括的源地址是可以伪装的,这也是追踪DDOS攻击者很困难的主要原因。其次,DDOS 也可以利用协议的缺陷,例如,它可以通过SYN打开半开的TCP连接,这是一个很老且早已为人所熟知的协议缺陷。为了使攻击力更强,DDOS通常会利用任何一种通过发送单独的数据包就能探测到的协议缺陷,并利用这些缺陷进行攻击。
防范攻击的措施
1。过滤进网和出网的流量
网络服务提供商应该实施进网流量过滤措施,目的是阻止任何伪造IP地址的数据包进入网络,从而从源头阻止诸如DDOS这样的分布式网络攻击的发生或削弱其攻击效果。
2。采用网络入侵检测系统IDS
当系统收到来自奇怪或未知地址的可疑流量时,网络入侵检测系统IDS(Intrusion Detection Systems)能够给系统管理人员发出报警信号,提醒他们及时采取应对措施,如切断连接或反向跟踪等。
3。具体措施
在路由器和Web交换机上,
它将丢弃下列类型的数据帧:
?长度太短;
?帧被分段;
?源地址与目的地址相同;
?源地址为我们的内部地址,或源地址为子网广播地址;
?源地址不是单播地址;
?源地址是环回地址;
?目的地址是环回地址;
?目的地址不是有效的单播或组播地址
此外,
?对于HTTP数据流,WEB交换机必须在HTTP流启动后的16秒内接受一个有效的帧,否则它将丢弃这个帧并中断这个流;
?对于TCP数据流,WEB交换机必须在16秒内接受一个返回的ack,否则它将终止这个TCP流;
?对于任意尝试过8次以上SYN的数据流,WEB交换机将终止这个流,并且停止处理同样SYN,源地址,目的地址及端口号对的数据流。
在核心交换机上我们可以用线速的ACL来达到上述类似的帧丢弃策略,我们还可以用CAR的方法对ping及SYN的数据流进行带宽控制,以预防DDOS的攻击。
3.1.3漏洞检测
漏洞检测(Vulnerability Scanner)就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。
安全扫描服务器可以对网络设备进行自动的安全漏洞检测和分析,并且在实行过程中支持基于策略的安全风险管理过程。另外,互联网扫描执行预定的或事件驱动的网络探测,包括对网络通信
服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测,从而去识别能被入侵者利用来进入网络的漏洞。
安全扫描服务器同时能进行系统扫描。系统扫描通过对企业内部操作系统安全弱点的完全的分析,帮助组织管理安全风险。系统扫描通过比较规定的安全策略和实际的主机配置来发现潜在的安全风险,包括缺少安全补丁、词典中可猜的口令、不适当的用户权限、不正确的系统登录权限、不安全的服务配置和代表攻击的可疑的行为。系统安全扫描还可以修复有问题的系统,自动产生文件所有权和文件权限的修复脚本。
安全扫描服务器能提供实时入侵检测和实时报警。当收到安全性消息时,图形用户界面上相应的主机状态颜色和安全性消息组的图标都应有相应变化,以帮助操作人员快速地确定报警的原因和范畴。
3.1.4入侵检测
入侵检测(Intrude Detection)具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。实时入侵检测系统解决方案,用于检测、报告和终止整个网络中未经授权的活动。它可以在Internet和内部网环境中操作,保护整个网络。
入侵检测系统包括两个部件: Sensor和Director。Sensor不影响网络性能,它分析各个数据包的内容和上下文,决定流量是否未经授权。如果一个网络的数据流遇到未经授权的活动,例如SATAN攻击、PING攻击或秘密的研究项目代码字,Sensor可以实时检测政策违规,给Director 管理控制台转发告警,并从网络删除入侵者。
基于网络的实时入侵检测系统,能够监控整个数据网络,需要是具备最新攻击检测功能的稳健的全天候监控和应答系统,能在本地、地区和总部监视控制台之间指导和转发告警的分布式入侵检测系统。同时需要能够允许部署大量Sensor和Director的可伸缩的体系结构,在大型网络环境中提供全面的覆盖面,与现有网络管理工具和实践平滑集成的入侵检测系统。
入侵检测系统通常具有的关键特性包括:
?对合法流量/网络使用透明的实时入侵检测
?对未经授权活动的实时应对可以阻止黑客访问网络或终止违规会话
?全面的攻击签名目录可以检测广泛的攻击,检测基于内容和上下文的攻击
?支持广泛的速度和接口类型,包括10/100 Mbps以太网、令牌环网和FDDI
?告警包括攻击者和目的地IP地址、目的地端口、攻击介绍以及捕获的攻击前键入的字符
?适合特大规模分布式网络的可伸缩性
3.1.5专用VLAN
IDC环境是一个典型的多客户的服务器群结构,每个托管客户从一个公共的数据中心中的一系列服务器上提供Web服务。这样,属于不同客户的服务器之间的安全就显得至关重要。一个保证托管客户之间安全的通用方法就是给每个客户分配一个VLAN和相关的IP子网。通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶意的行为和Ethernet的信息探听。然而,这种分配每个客户单一VLAN和IP子网的模型造成了巨大的扩展方面的局限。这些局限主要有以下几方面:
?VLAN的限制:LAN交换机固有的VLAN数目的限制
?复杂的STP:对于每个VLAN,一个相关的Spanning-tree的拓扑都需要管理
?IP地址的紧缺:IP子网的划分势必造成一些地址的浪费
?路由的限制:如果使用HSRP,每个子网都需相应的缺省网关的配置
在一个IDC中,流量的流向几乎都是在服务器与客户之间,而服务器间的横向的通信几乎没有。Cisco在IP地址管理方案中引入了一种新的VLAN机制,服务器同在一个子网中,但服务器只能与自己的缺省网关通信。这一新的VLAN特性就是专用VLAN (private VLAN,pVLAN)。这种特性是Cisco公司的专有技术,但特别适用于IDC。
专用VLAN是第2层的机制,在同一个2层域中有两类不同安全级别的访问端口。与服务器连接的端口称作专用端口(private port),一个专用端口限定在第2层,它只能发送流量到混杂端口,也只能检测从混杂端口来的流量。混杂端口(promiscuous port)没有专用端口的限定,它与路由器或第3层交换机接口相连。简单地说,在一个专用VLAN内,专用端口收到的流量只能发往混杂端口,混杂端口收到的流量可以发往所有端口(混杂端口和专用端口)。
下图示出了同一专用VLAN中两类端口的关系。
专用VLAN的应用在多客户的数据中心是非常有效的,因为IDC的网络中,服务器只需与自己的缺省网关连接,一个专用VLAN不需要多个VLAN和IP子网就提供了这样的安全连接。在这一模型中,所有的服务器都接入专用VLAN,从而实现了所有服务器与缺省网关的连接,而与专用VLAN内的其他服务器没有任何访问。目前,Cisco的Catalyst Switch 6000/6500系列交换机支持专用VLAN。
4 Internet连接
作为IDC网络与公共IP骨干网络的接口,Internet连接层提供了IDC与公共IP网的桥梁,它的运行情况直接关系到IDC为其用户所提供的服务的质量,这就要求该层的设备必须具有以下的特点:
·高速的路由交换能力
·对各种高级路由协议(如BGP等)的全面支持
·具备丰富的接口类型
·完善的QOS支持能力
在Internet连接层配置高端路由器,使用高速连接到IP骨干网,并以全冗余方式与核心层互连。借助于这些高端路由器的高性能及丰富的特性,提供全冗余、高速、高性能网络核心。
4.1骨干接入
作为IDC网络与公共IP骨干网络的接口,Internet连接层提供了IDC与公共IP网的桥梁,它的运行情况直接关系到IDC为其用户所提供的服务的质量,这就要求该层的设备必须具有以下的特点:
·高速的路由交换能力
·对各种高级路由协议(如BGP等)的全面支持
·具备丰富的接口类型
·完善的QOS支持能力
在Internet连接层配置高端路由器,使用高速连接到IP骨干网,并以全冗余方式与核心层互连。借助于这些高端路由器的高性能及丰富的特性,提供全冗余、高速、高性能网络核心。
4.2带宽管理
在IDC的业务中,通常针对提供不同的带宽收取不同的费用,所以带宽管理成为Internet连接中提供服务质量的重要保证。
4.2.1识别网络流量
IDC的带宽管理需要支持多种协议和应用程序,并且可以根据自己的需要,自行设定相应的标准来区分更多的类型。可以通过应用、服务、协议、端口数、URL或通配符(用于Web通信)、主机名称、优先权、以及IP或MAC地址对通信量进行分类。只有这样才能对用户提供完善的带宽管理机制。
像HTTP、FTP和Telnet这样的IP协议,以及像SNA、NetBIOS和AppleTalk这样的非IP协议,带宽管理都应该能自动识别,并根据用户的需要进行有效的处理。例如,你可以将SAP/R3通信量根据一个特定客户式特定服务器隔开,使TN3270交互式通信量与打印通信量分开,甚至把一个H。323视频会议的数据信道和控制信道区分开来。
4.2.2保证应用性能
带宽管理需要保证关键的和交互式的应用获得其所需要的带宽,同时限制普通应用对带宽的需求。每种通信类型映射到一项特定的带宽分配政策上,确保每种通信类型得到一个适当的带宽。
速率政策(Rate policies)限制或保证每个单独对话的带宽,抑制那些贪婪的应用通信,或者保护对时延敏感的流量。比如,一个HTTP cap会使Web游览避免使用他人的带宽。而且获得保证的音频或视频流动速率,避免出现恼人的不稳定性。速率政策是为应用提供没有被使用的带宽,所以,昂贵的带宽从不会被浪费。
4.2.3测量、分析和生成报表
网络管理员在制订一项带宽管理策略之前及之后必须分析其网络应用通信的模式,以测量其是否成功。带宽管理将跟踪平均和高峰通信量水平,计算在重新传输上所浪费的带宽比例,突出最主要用户和应用程序,并且测量性能。网络总结以及特定上下文的报表提供了对网络趋势的轻松访问。响应时间特征允许你测量性能,设置可接受性标准,并跟踪响应质量是否坚持了标准。
4.2.4流量控制和监视控制
IDC的带宽管理是非常复杂的业务和技术控制,所以,需要一个简单易用的进行操作的管理界面。通过这一界面,网络管理员可在任何时候、任何地方,通过网络来配置、控制和监控带宽分配情况。
4.2.5轻松部署
硬件带宽管理器通常位于网络瓶颈上,通常在路由器和核心交换机之间。为了网络性能的考虑,带宽管理器需要与现有的网络顺利集成,不需要任何新的协议或者重新配置路由器,也不需要修改拓朴结构和桌面。它不能是一个网络故障点,如果带宽管理器发生故障或者被关掉,它需要会像一根电缆一样发挥作用。用于IDC的硬件带宽管理器在当前市场上主要有Alteon公司、Packeteer公司和Intel公司的带宽管理器。
利用路由器和交换机的特定QOS(Quality of Service)技术,也能实现带宽管理。比如Cisco 公司的CAR(Committed Access Rate)技术。
对本地带宽管理也可以通过四层交换机来实现。Foundry,Alteon和Cisco公司的四层交换机都支持本地带宽管理。
5内容交换
内容交换提供数据流的负载均衡以提高IDC的网络性能,特别是服务器的响应性能。内容交换同时对应用层的数据提供适当的控制以满足应用的要求,比如对SSL(Security Socket Layer)连接的控制。这在本节将有具体阐述。
5.1基于IP的负载均衡
数据中心的服务提供商除了向客户提供一些基本的主机托管和网站托管服务外,还需要提供一些更高级别的增值服务来吸引用户、拓展市场。作为数据中心托管用户的主体,例如ICP网站、电子商务网站、企业网站等,它们托管或租用在数据中心的大部分服务器都是基于Internet TCP/IP 协议的应用服务器,例如WWW服务器、FTP服务器等。对于这些用户而言,如何保证这些关键服务器的高可靠性、高可用性和可扩展性是非常重要的。因此,如果数据中心的服务提供商能够给客户提供这种高可用性服务,就可以像保险公司的保险费一样,来向客户收取一定的增值服务费用!并且对数据中心的各种类型用户都带来好处:对主机租用用户来讲,他们的服务器硬件本身都是租用数据中心的,因此自然希望数据中心能够对服务器系统的可用性提出更高的保证;对主
机托管用户来讲,尽管服务器是自身携带的,但是除了极少部分大的网站有资金、有技术能力来自行解决关键服务器系统的高可用性问题外,大多数的网站并不具备这样的条件,他们希望数据中心服务提供商能够作为他们的Virtual IT部门,能够给他们提供一个完善的解决方案。
下面我们以数据中心中最为普遍的服务-WWW服务为例,来详细讲解如何实现Internet服务的高可用性,即关键服务器系统的高可用性。
以前作为一个网站通常采用的方式是WWW服务器由一台硬件配置非常高的UNIX服务器来担当,尽管成本昂贵,但这样做仍然不能保证它的可靠性、可用性、可维护性:一是因为一台服务器仍作不到硬件级的完全容错,保证不了可靠性;二是因为一台服务器的网络带宽有限,保证不了可用性;三是因为当这台服务器进行硬件或软件升级时,不可避免地要中断WWW服务,保证不了可维护性。
基于上述原因,人们提出了DNS轮询方案(DNS-Round-Robin)试图解决WWW服务的可用性问题,即多台WWW镜像主机在DNS中对应同一域名,当用户访问WWW,要求DNS服务器解析域名时,DNS服务器按DNS请求的先后顺序把域名依次解析成其中一台WWW主机的IP地址,从而把任务平均分担到数台WWW主机上,来提高WWW服务的整体性能。它的优点是:实现简单、实施容易、成本低;但是,它的缺点也非常明显:不是真正意义上的负载均衡,DNS服务器将HTTP请求平均地分配到后台的WWW服务器上,而不考虑每个WWW服务器当前的负载情况;如果后台的WWW
服务器的配置和处理能力不同,最慢的WWW服务器将成为系统的瓶颈,处理能力强的服务器不能充分发挥作用;另外未考虑容错,如果后台的某一台WWW服务器出现故障,DNS服务器仍会把DNS 请求分配到这台故障服务器上,导致对客户端的不能响应。而这最后一个缺点是致命的,有可能造成相当一部分客户不能访问WWW服务,并且由于DNS缓存的原因,造成的恶劣后果要持续相当长一段时间(一般DNS刷新周期约24小时)。
此外,还有一些基于群集(Cluster)技术的软件解决方案来保证WWW服务的高可用性。它的通用做法是通过在操作系统的基础上安装操作系统厂商的群集软件或第三方的群集软件(绝大多数支持WWW服务的群集),例如Microsoft Cluster Server、Turbo Linux、Cluster Server等,来做到应用级的互为备份或负载平衡。互为备份(Active/Standby)方式下,其中一台服务器缺省处于活动状态(Active/Primary),而另一台处于睡眠状态(Standby/Backup),当主服务器系统死机或应用不能正常服务时,备份服务器会自动变成活动状态,从而接管原主服务器的任务,保证应用能够继续服务。负载平衡方式下,可以有多台服务器,每一个服务器都承担一定的应用。它们之间即可以互为备份,也可以有专门一台备份服务器,它在群集正常时不承担任何任务,但是当群集中的某一台服务器发生故障时,它会自动激活,从而接管故障服务器的任务。但是,它也存在以下缺点:安装、配置复杂,难于维护和管理;群集软件与服务器的硬件平台和操作系统密切相关,不能做到设备无关性和无缝升级;实现负载平衡的算法简单,一般是根据轮询(Round Robin),有些WWW群集软件可支持设定权重(Weighting)算法,但权重(weighting)是人为设定,并不能客观反映每一台服务器的HTTP请求响应能力以及当前负载情况;与硬件实现方案(Layer4的负载平衡交换设备)比较起来,性能较低,另外支持的Web Site的规模较小(WWW 服务器最多可以到16台);不能实现HTTPS等特殊应用的负载平衡(这是因为在HTTPS应用中,客户端和服务器端要进行身份验证、交换证书和密钥,所以客户端和服务器端应一一对应,同一客户的请求应由同一台服务器来处理)。当然更为重要的一点是,作为数据中心的托管用户,他们往往不希望数据中心服务提供商在他们的服务器上安装任何软件!
正因为上述的解决方案存在这样或那样的问题,因此,随着Internet技术的发展,出现了基于应用、甚至基于内容的负载平衡设备,即我们通常所说的第四层、第七层智能负载平衡设备。它们通过硬件技术或专用的ASIC芯片来实现WWW等应用服务器的负载均衡和高可用性解决方案。通过这种技术可以提高WWW服务器的整体处理能力,并提高整个服务器系统的可靠性、可用性、可维护性、可扩展性,保证WWW服务质量的QOS,提供基于URL、基于内容的交换(当采用第七层负载平衡设备时),最终用一组低处理能力、低实现成本的主机提供大规模、高性能、可扩展的WWW服务。
以下是关于采用第四层负载平衡设备实现WWW服务的负载平衡的一般介绍:在第四层负载平衡设备上设置WWW服务的虚拟IP地址(Virtual IP Address),这个虚拟IP地址是DNS服务器中解析到的WWW服务器的IP地址,对客户端是可见的。当客户访问此WWW应用时,客户端的HTTP
请求会先被第四层负载平衡设备接收到,它会基于第四层交换技术实时检测后台WWW服务器的负载,根据设定的算法进行快速交换,交给当前最可用、负载最轻的服务器来处理。常见的算法有以下几种:轮询(Round Robin)、权重(Weighting)、最少连接(Least connection)、随机(Random)、响应时间(Response Time)等。通过这种技术可将大量的、并发性的用户请求分配到多个服务器来处理,从而降低单个服务器的负载,避免服务器的死机或响应延迟过大!另外,这种负载平衡设备还可以几乎实时地检测到后台服务器的硬件、操作系统、网络甚至应用级别的状态,从而避免客户的请求被失效的服务器处理。
5.2应用负载均衡
第七层应用负载平衡设备是近一、两年才出现的最新技术,它主要用于实现WWW应用的负载平衡和服务质量保证。它与第四层负载平衡设备比较起来:第七层负载平衡设备不仅能检查TCP/IP 数据包的TCP、UDP端口号(Transportation Layer),从而转发给后台的某一个服务器来处理,而且它能从会话层(Session Layer)以上来分析HTTP请求的URL,根据URL的不同将不同的HTTP 请求交给不同的服务器来处理(可以具体到某一类文件,甚至某一个文件),甚至同一个URL
请求可以让多个服务器来响应以分担负载(当客户访问某一个URL,发起HTTP请求时,它实际上要与服务器建立多个会话连接,得到多个对象-Object,例如。txt/。gif/。jpg文档,当这些对象都下载到本地后,才组成一个完整的页面)。
5.3跨地域负载均衡
前面讲述的都是关于如何在本地局域网实现WWW等应用服务器的负载平衡,那么如何实现应用服务器的广域网上的负载平衡,从而保证应用的冗灾备份,以及如何有效的根据客户的地域分布、广域网络的连通状态或延迟时间来将客户定向到他们最适合访问的站点呢?这些都涉及到广域
网的负载平衡技术(Global Server Load Balance),常见的广域网负载平衡产品都是基于DNS 重定向原理来实现的,即当客户访问某一个网站时,例如www。mysite。com时,客户的关于这个网站的DNS域名解析请求会被这个广域网的负载平衡设备来处理,而这个广域网的负载平衡设备会基于客户端的IP地址范围、客户端与各节点的网络延迟、各节点的状态及负载等参数,然后根据一定的算法来判断那个节点最适合用户访问,从而将这个节点的IP地址或VIP地址返回给客户。常见的广域网负载平衡算法有:轮询(Round-Robin)、加权轮询(Weighted Round -Robin)、随机(Random)、最少连接数(Least Connection)、最低CPU利用率(Lowest CPU Utilization)、HTTP重定向(HTTP Redirection)等。
政府数据中心建设方案
政府数据中心建设方案
第一章概述 1.1 背景 为认真贯彻国家、省对电子政务建设要求的精神,根据《XX省“十一五”国民经济和社会信息化发展规划》,结合我省电子政务建设的实际情况和发展需要,特制定本方案。 1.2 目的 1、建设统一的电子政务网络平台。 我省电子政务网络由政务内网和政务外网组成。政务内网是党政机关办公业务网络,与互联网物理隔离,主要满足各级政务部门内部办公、管理、协调、监督以及决策需要,同时满足有关政务部门特殊办公需要。政务外网是党政机关公共业务网络,主要满足各级政务部门进行社会管理、公共服务等面向社会服务的需要。 目前,XX省政务内网已经建成并运行良好,政务外网正在规划建设,通过统一的政府数据中心建设,建成全省统一的电子政务外网,省委、省政府各部门和有关单位的业务应用系统,都要基于全省统一的政务网络资源,按需要分别在政务内网和政务外网部署。 2、统筹规划电子政务基础设施建设,避免重复建设,提高整体使用效益。 政府数据中心为省政府各部门和有关单位的信息化建设提供统一的计算机机房、电子政务网络、服务器、存储设备、网络和应用系统安全、数据备份、公共地理信息和基础软件等信息化基础设施,避免重复建设,降低系统建设成本。同时利用XX省综合信息中心技术人才资源,进行系统的运行维护,降低系统的运行维护成本。 3、建设统一的电子政务安全平台。 目前,各政府部门分散建设,安全漏洞和隐患多,通过政府数据中心建设,
全省建设统一的电子政务安全平台,高标准建设信息安全基础设施,加强和规范电子政务网络信任体系建设,建立有效的身份认证、授权管理和责任认定机制。建立健全信息安全监测系统,提高对网络攻击、病毒入侵的防范能力和网络失泄密的检查发现能力。统筹规划电子政务应急响应与灾难备份建设。完善密钥管理基础设施,充分利用密码、访问控制等技术保护电子政务安全,提高全省各项电子政务应用系统的网络和信息安全,完善网络和信息安全保障体系,保障电子政务系统的网络和信息安全。 4、提升政务信息资源开发利用水平。 通过统一的政府数据中心建设,整合各部门和有关单位的政务信息资源,为政务公开、业务协同、辅助决策、公共服务等提供信息支持。 5、完善电子政务标准化体系。 通过统一的政府数据中心的建设,贯彻国家、省和我省电子政务建设标准和规范,建立健全电子政务标准实施机制。 1.3 意义 政务数据中心的建设将进一步加快推进我省电子政务建设。电子政务建设有利于深化行政管理体制改革,提高执政能力;为党委、人大、政府、政协、政府部门和有关单位履行职能提供技术手段;有利于全面落实科学发展观,构建社会主义和谐社会,加快推进改革开放和社会主义现代化建设。 第二章业务状况分析 2.1 现状分析 2.1.1 电子政务建设现状 近几年,我省围绕全面实施“阳光政务”工程,加强电子政务基础设施建设。电子政务内网进一步完善,形成了覆盖全省的政务办公网络,实现了网上公文传递、处理。电子政务外网建设稳步推进,初步建成了政务公开信息传送系统,实
IDC机房工程设计方案
IDC机房工程设计方案 1、机房工程设计概述 数据中心基础设施的建设,很重要的一个环节就是计算机机房的建设。计算机机房工程不仅集建筑、电气、安装、网络等多个专业技术于一体,更需要丰富的工程实施和管理经验。计算机房设计及施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行,是否能保证各类信息通讯畅通无阻。 由于计算机机房的环境必须满足计算机等各种微机电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。所以,一个合格的现代化计算机机房,应该是一个安全可靠、舒适实用、节能高效和具有可扩充性的机房。 本方案项目包括装修工程、配电工程、空调工程、设备监控工程、闭路电视工程、安全工程、消防工程等七大部分。本方案书根据国家标准及行业标准设计和施工。 1.1 设计原则 吉通上海公司数据中心机房是吉通上海公司的基础设施,数据中心的设计必须满足当前各项需求应用,又面向未来快速增长的发
展需求,因此必须是高质量的、高安全可靠灵活的、开放的。我们在进行设计时,遵循以下设计原则: 实用性和先进性: 采用先进成熟的技术和设备,满足当前的需求,兼顾未来的业务需求,尽可能采用最先进的技术、设备和材料,以适应高速的数据传输需要,使整个系统在一段时期内保持技术的先进性,并具有良好的发展潜力,以适应未来信息产业业务的发展和技术升级的需要。 安全可靠性: 为保证各项业务应用,网络必须具有高可靠性,决不能出现单点故障。要对数据中心机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控及安全保密等技术措施提高电脑机房的安全可靠性。 灵活性及可扩展性: 吉通上海公司一个快速发展的信息产业公司,所以其数据中心机房必须具有良好的灵活性及可扩展性,能够根据今后业务不断深入发展的需要,扩大设备容量和提高用户数量和质量的功能。具备支持多种网络传输、多种物理接口的能力,提供技术升级、设备更新的灵活性。
数据中心网络系统设计方案范本
数据中心网络系统 设计方案
数据中心高可用网络系统设计 数据中心作为承载企业业务的重要IT基础设施,承担着稳定运行和业务创新的重任。伴随着数据的集中,企业数据中心的建设及运维给信息部门带来了巨大的压力,“数据集中就意味着风险集中、响应集中、复杂度集中……”,数据中心出现故障的情况几乎不可避免。因此,数据中心解决方案需要着重关注如何尽量减小数据中心出现故障后对企业关键业务造成的影响。为了实现这一目标,首先应该要了解企业数据中心出现故障的类型以及该类型故障产生的影响。影响数据中心的故障主要分为如下几类: 硬件故障 软件故障 链路故障 电源/环境故障 资源利用问题 网络设计问题 本文针对网络的高可用设计做详细的阐述。 高可用数据中心网络设计思路
数据中心的故障类型众多,但故障所导致的结果却大同小异。即数据中心中的设备、链路或server发生故障,无法对外提供正常服务。缓解这些问题最简单的方式就是冗余设计,能够经过对设备、链路、Server提供备份,从而将故障对用户业务的影响降低到最小。 可是,一味的增加冗余设计是否就能够达到缓解故障影响的目的?有人可能会将网络可用性与冗余性等同起来。事实上,冗余性只是整个可用性架构中的一个方面。一味的强调冗余性有可能会降低可用性,减小冗余所带来的优点,因为冗余性在带来好处的同时也会带来一些如下缺点: 网络复杂度增加 网络支撑负担加重 配置和管理难度增加 因此,数据中心的高可用设计是一个综合的概念。在选用高可靠设备组件、提高网络的冗余性的同时,还需要加强网络构架及协议部署的优化,从而实现真正的高可用。设计一个高可用的数据中心网络,可参考类似OSI七层模型,在各个层面保证高可用,最终实现数据中心基础网络系统的高可用,如图1所示。
中小型企业网络规划设计与方案(完整版)
2015~2016学年上半年期末考核《局域网组建管理》 铝业公司网络设计作品文档
目录 第1章需求分析 (4) 1.1 实施背景 (4) 1.2 网络应用需求 (4) 1.3 网络性能需求 (6) 1.4 信息点统计 (6) 第2章网络总体设计 (7) 2.1 网络设计总体要求 (7) 2.1布线的设计 (8) 2.2 楼宇间互连的介质选择 (9) 2.3 主干网带宽的考虑 (9) 2.4 客户机的带宽分析 (10) 2.5网络三层结构设计 (11) 2.5.1核心交换机设备选型 (12) 2.5.2接入层交换机备选型 (14) 2.5.3 路由器设备选型 (15) 2.5.4无线路由器设备选型 (16) 第3章网络设备配置清单 (18) 3.1 PC配置 (18) 3.2路由器配置 (20)
3.3交换机配置 (21) 4.项目总结 (22) 4.1本项目运行情况 (22) 4.2项目不足 (23)
第1章需求分析 1.1 实施背景 一家生产铝业贸易公司,为拟搭建高性能千兆网络,实现网络互通,共享信息,展示企业的计算机企业网。 1.选用技术先进、具有容错能力的网络产品。 2.具有较好的可扩展性,为今后的网络扩容作好准备。 3.采用OA办公,做到集数据、图像、声音三位一体,提高企业管理效率、降低企业信息传递成本 4.设备选型上必须在技术上具有先进性,通用性,且必须便于管理,维护。应具备未来良好的可扩展性,可升级性,保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品,同时也要有好的售后服务. 所以,为了能满足现在的需求,同时又能便未来规模的扩展和网络的升级。本网络应采用现在较新的网络技术。研发技术部和信息部需要较高的网络通信质量,所以必须采用较好的服务器和较高的带宽。宿舍楼为一般用户使用,所以没必要要求太高的网络。还设置wlan无线局域网络,以便使用移动网络设备。 1.2 网络应用需求 公司网络需求主要有以下几点:
数据中心网络系统设计方案
数据中心高可用网络系统设计 数据中心作为承载企业业务的重要IT基础设施,承担着稳定运行和业务创新的重任。伴随着数据的集中,企业数据中心的建设及运维给信息部门带来了巨大的压力,“数据集中就意味着风险集中、响应集中、复杂度集中……”,数据中心出现故障的情况几乎不可避免。因此,数据中心解决方案需要着重关注如何尽量减小数据中心出现故障后对企业关键业务造成的影响。为了实现这一目标,首先应该要了解企业数据中心出现故障的类型以及该类型故障产生的影响。影响数据中心的故障主要分为如下几类: ?硬件故障 ?软件故障 ?链路故障 ?电源/环境故障 ?资源利用问题 ?网络设计问题 本文针对网络的高可用设计做详细的阐述。 高可用数据中心网络设计思路 数据中心的故障类型众多,但故障所导致的结果却大同小异。即数据中心中的设备、链路或server发生故障,无法对外提供正常服务。缓解这些问题最简单的方式就是冗余设计,可以通过对设备、链路、Server提供备份,从而将故障对用户业务的影响降低到最小。 但是,一味的增加冗余设计是否就可以达到缓解故障影响的目的?有人可能会将网络可用性与冗余性等同起来。事实上,冗余性只是整个可用性架构中的一个方面。一味的强调冗余性有可能会降低可用性,减小冗余所带来的优点,因为冗余性在带来好处的同时也会带来一些如下缺点: ?网络复杂度增加 ?网络支撑负担加重
配置和管理难度增加 因此,数据中心的高可用设计是一个综合的概念。在选用高可靠设备组件、提高网络的冗余性的同时,还需要加强网络构架及协议部署的优化,从而实现真正的高可用。设计一个高可用的数据中心网络,可参考类似OSI七层模型,在各个层面保证高可用,最终实现数据中心基础网络系统的高可用,如图1所示。 图1 数据中心高可用系统设计层次模型 数据中心网络架构高可用设计 企业在进行数据中心架构规划设计时,一般需要按照模块化、层次化原则进行,避免在后续规模越来越大的情况再进行大规模的整改,造成时间与投资浪费。 模块化设计 模块化设计是指在对一定范围内的不同功能或相同功能不同性能、不同规格的应用进行功能分析的基础上,划分并设计出一系列功能模块,模块之间松耦合,力求在满足业务应用要求的基础上使网络稳定可靠、易于扩展、结构简单、易于维护。 不同企业的应用系统可能有一定的差异。在网络层面,根据应用系统的重要性、流量特征和用户特征的不同,可大致分为以下几个区域,如图2所示。
机房建设方案及报价清单
机房建设技术方案/工程报价配置清单
目录 第一章机房工程建设方案 (3) 1、前言 (3) 1.1 工程概况 (3) 1.2 数据中心机房建设目标 (3) 2、土建建设方案 (4) 2.1 设计依据 (4) 2.2 设计要求 (5) 2.3 地面装修说明 (5) 2.4 吊顶装修说明 (5) 2.5 隔断墙体装修说明 (5) 2.6 墙体装修说明 (5) 2.7 门窗装修说明 (5) 3、空调通风系统设计 (6) 3.1 设计依据 (6) 3.2 空调改造方案 (6) 3.3 空调技术要求 (6) 3.3 室内空调参数 (7) 3.4 机房新风系统 (7) 4、电气设计说明 (8) 4.1设计依据 (8) 4.2供电电源 (8) 4.3不间断电源系统设计 (9) 4.4配电设计 (10) 4.5照明设计说明 (11) 5、机房安全系统设计 (11) 5.1 设计依据 (11) 5.2防雷接地设计说明 (12) 5.3、消防报警及灭火系统 (13) 5.4机房保安监控系统 (13) 5.5 机房门禁系统 (13) 6、机房设备总控系统设计概述 (13) 7、机综合布线系统设计概述房 (15) 7.1设计依据 (15) 7.2机房综合布线 (16) 7.3 KVM网络管理 (16) 7.4机柜 (16) 第二章机房建设工程报价清单明细表 (16)
第一章机房工程建设方案 1、前言 数据中心基础设施的建设,很重要的一个环节就是计算机机房的建设。计算机机房工程不仅集建筑、电气、安装、网络等多个专业技术于一体,更需要丰富的工程实施和管理经验。计算机房设计与施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行,是否能保证各类信息通讯畅通无阻。 计算机机房既要保障机房设备安全可靠的正常运行,延长计算机系统使用寿命,又能为系统管理员创造一个舒适的工作环境,能够满足系统管理人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。所以,一个合格的现代化计算机机房,应该是一个安全可靠、舒适实用、节能高效和具有可扩充性的机房。 1.1 工程概况 xxx机房面积大约为50m2左右,拟改造成国家标准机房,作为大楼的数据中心。 中心机房按功能划分配电区、气体灭火区、网络机房、主控间、办公间。 1.2 数据中心机房建设目标 京南物流供应链信息管理系统机房的需求,将设计目标分析如下: 机房建设将以国家A类标准进行建设 机房土建装修设计(将满足机房防尘、防潮、抗静电、电磁屏蔽等机房环境需求) 机房供配电系统设计(将满足机房高质量、持续、稳定供电需求) 机房精密空调系统设计(将满足机房温度调节、湿度调界、风量调节等需求) 机房安全系统(将满足机房防盗、门禁、防雷接地、消防灭火等物理安全需求) 机房环境监控系统(将满足机房设备运行情况监控) 机房KVM管理(将满足机房内服务器、网络设备管理需求)
湖南省县级国土资源局数据中心与网络建设方案详细
省县级国土资源局 数据中心与网络建设方案 省国土资源厅信息化工作办公室 二○○八年七月
目录 1. 前言 2. 目标任务 2.1 基本目标 2.2 配置要求 3. 建设依据 4. 建设容 5. 综合布线 5.1 位置选择 5.2 信息点和交换机 5.3 布线设计 5.4 主机房 6. 网络系统 6.1 总体结构 6.2 网络结构 6.3 网络核心层 6.4 网络接入层 6.5服务器区(数据中心) 7.安全系统 7.1安全配置 7.2安全管理 8. 计算机机房 8.1机房装饰设计 8.2 供、配电系统设计 8.3防雷系统设计 9. 经费概算
1、前言 数据中心和网络系统是国土资源电子政务运行的基础,是各级国土资源信息远程交换与共享的基础平台。全省国土资源工作会议上省厅明确要求今年底要实现省、市、县三级联网。国土资源部在2008年6月召开的国土资源业务网建设研讨会上,也提出了2008年年底实现我国中东部地区联网到县的基本要求。 2、目标任务 2.1基本目标 根据国土资源部和厅党组的要求,建设好县级国土资源数据中心和网络系统,在2008年底前实现国家、省、市、县四级联网,基本形成全省国土资源信息交换体系,为全省电子政务的运行提供基础保障。 2.2配置要求 方案一:基本配置,主要配置以下容: (1)至少保证1套与互联网物理隔离的网,1台路由器与市局联网; (2)至少配置3台网服务器,其中数据库服务器配置RAID和2T以上存储空间; (3)1台物理隔离网闸保证联网安全,1套网络版杀毒软件保证终端桌面安全; (4)具有基本防尘、防潮和控温的简易机房,1组机柜存放设备,有简单的防雷措施;
中小型公司网络设计方案
企业网络规划和设计方案 目录 一、工程概况 (2) 1、工程详述 (2) 2、项目工期 (3) 二、需求分析 (3) 1、网络要求 (3) 2、系统要求 (4) 3、用户要求 (5) 4、设备要求 (6) 三、网络系统设计规划 (6) 1、网络设计指导原则 (6) 2、网络设计总体目标 (6) 3、网络通信联网协议 (7) 4、网络IP 地址规划 (8) 5、网络技术方案设计 (8) 6、网络应用系统选择 (12) 7、网络安全系统设计 (13) 8、网络管理维护设计 (14)
四、网络布线系统设计 (14) 1、布线系统总体结构设计 (14) 2、工作区子系统设计 (15) 3、水平子系统设计 (15) 4、管理子系统设计 (15) 5、干线子系统设计 (16) 6、设备间子系统设计 (16) 7、建筑群子系统设计 (16) 一、工程概况 1、工程详述 集团总部公司有1000 台PC;公司共有多个部门,不同部门的相互访问要有限制,公司有自己的内部网页与外部网站;公司有自己的OA 系统;公司中的台机能上互联网;核心技术采用VPN;集团包括六家子公司,包括集团总部在内共有2000多名员工;集团网内部覆盖7栋建筑物,分别是集团总部和子公司的办公和生产经营场所,每栋建筑高7层,都具有一样的内部物理结构。一层设有本建筑的机房,少量的信息点,供未来可能的需求使用,目前并不使用(不
包括集团总部所在的楼)。二层和三层,每层楼布有96个信息点。四层到七层,每层楼布有48个信息点,共3024个信息点。。每层楼有一个设备间。楼内综合布线的垂直子系统采用多模光纤,每层楼到一层机房有两条12芯室内多模光纤。每栋建筑和集团总部之间通过两条12芯的室外单模光纤连接。要求将除一层以外的全部信息点接入网络,但目前不用的信息点关闭。 2、项目工期 2009年5月28日-------2009年6月28日 二、需求分析 1、网络要求 满足集团信息化的要求,为各类应用系统提供方便、快捷的信息通路;具有良好的性能,能够支持大容量和实时性的各类应用;能够可靠运行,具有较低的故障率和维护要求。提供网络安全机制,满足集团信息安全的要求,具有较高的性价比,未来升级扩展容易,保护用户投资;用户使用简单、维护容易,为用户提供良好的售后服务。 主干网负责各个子网和应用服务的连接,为信息交换提供有效的高速通道。系统主干采用万兆以太网10000M交换,下属子网采用千兆以太网,网络协议采用TCP/IP协议,整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服
数据中心机房建设方案精品
【关键字】方案、建议、情况、方法、环节、条件、动力、前提、空间、领域、效益、质量、增长、监控、监测、运行、基层、地方、问题、系统、机制、有效、务必、深入、充分、现代、合理、良好、健康、快速、持续、配合、执行、保持、统一、发展、建设、建立、提出、了解、措施、特点、位置、关键、安全、稳定、网络、理想、地位、基础、需要、权威、环境、工程、项目、负担、能力、需求、方式、作用、办法、标准、结构、水平、主体、最大限度 XXXXXX公司数据机房 建设方案 2011年9月15日星期四
设计原则及需求分析 数据中心基础设施的建设,很重要的一个环节就是计算机机房的建设。计算机机房工程不仅集建筑、电气、安装、网络等多个专业技术于一体,更需要丰富的工程实施和管理经验。计算机房设计与施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行,是否能保证各类信息通讯畅通无阻。 由于计算机机房的环境必须满足计算机等各种微机电子设备 和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。所以,一个合格的现代化计算机机房,应该是一个安全可靠、舒适实用、节能高效和具有可扩充性的机房。 本方案项目包括装修工程、配电工程、空调工程、设备监控工程、闭路电视工程、安全工程、消防工程等七大部分。本方案书根据国家标准及行业标准设计和施工。 1.1.设计原则 数据中心机房是XXXXX公司的基础设施,数据中心的设计必须满足当前各项需求应用,又面向未来快速增长的发展需求,因此必须是高质量的、高安全可靠灵活的、开放的。我们在进行设计时,遵循以下设计原则: 实用性和先进性:
数据中心机房建设方案
XXXXXX公司数据机房建设方案 2011年9月15日星期四
设计原则及需求分析 数据中心基础设施的建设,很重要的一个环节就是计算机机房的建设。计算机机房工程不仅集建筑、电气、安装、网络等多个专业技术于一体,更需要丰富的工程实施和管理经验。计算机房设计与施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行,是否能保证各类信息通讯畅通无阻。 由于计算机机房的环境必须满足计算机等各种微机电子设备 和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。所以,一个合格的现代化计算机机房,应该是一个安全可靠、舒适实用、节能高效和具有可扩充性的机房。 本方案项目包括装修工程、配电工程、空调工程、设备监控工程、闭路电视工程、安全工程、消防工程等七大部分。本方案书根据国家标准及行业标准设计和施工。
1.1.设计原则 数据中心机房是XXXXX公司的基础设施,数据中心的设计必须满足当前各项需求应用,又面向未来快速增长的发展需求,因此必须是高质量的、高安全可靠灵活的、开放的。我们在进行设计时,遵循以下设计原则: 实用性和先进性: 采用先进成熟的技术和设备,满足当前的需求,兼顾未来的业务需求,尽可能采用最先进的技术、设备和材料,以适应高速的数据传输需要,使整个系统在一段时期内保持技术的先进性,并具有良好的发展潜力,以适应未来信息产业业务的发展和技术升级的需要。 安全可靠性: 为保证各项业务应用,网络必须具有高可靠性,决不能出现单点故障。要对数据中心机房布局、结构设计、设备选型、日常维护等
各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保密等技术措施提高电脑机房的安全可靠性。 灵活性与可扩展性: XXXXX公司一个快速发展的产业公司,所以其数据中心机房必须具有良好的灵活性与可扩展性,能够根据今后业务不断深入发展的需要,扩大设备容量和提高用户数量和质量的功能。具备支持多种网络传输、多种物理接口的能力,提供技术升级、设备更新的灵活性。 标准化: 在数据中心机房系统结构设计,基于国际标准和国家颁布的有关标准,包括各种建筑、机房设计标准,电力电气保障标准以及计算机局域网、广域网标准,坚持统一规范的原则,从而为未来的业务发展,设备增容奠定基础。 工程的可分期性: 在该IDC项目设计中,数据中心机房的工程和设备都为模块化结构,相当于将该工程分期实施,而各期工程可以无缝结合,不造成重复施工和浪费 经济性/投资保护:
大型企业数据中心建设方案
目录 第1章总述 (4) 1.1XXX公司数据中心网络建设需求 (4) 1.1.1 传统架构存在的问题 (4) 1.1.2 XXX公司数据中心目标架构 (5) 1.2XXX公司数据中心设计目标 (6) 1.3XXX公司数据中心技术需求 (7) 1.3.1 整合能力 (7) 1.3.2 虚拟化能力 (7) 1.3.3 自动化能力 (8) 1.3.4 绿色数据中心要求 (8) 第2章XXX公司数据中心技术实现 (9) 2.1整合能力 (9) 2.1.1 一体化交换技术 (9) 2.1.2 无丢弃以太网技术 (10) 2.1.3 性能支撑能力 (11) 2.1.4 智能服务的整合能力 (11) 2.2虚拟化能力 (12) 2.2.1 虚拟交换技术 (12) 2.2.2 网络服务虚拟化 (14) 2.2.3 服务器虚拟化 (14) 2.3自动化 (15) 2.4绿色数据中心 (16) 第3章XXX公司数据中心网络设计 (17) 3.1总体网络结构 (17) 3.1.1 层次化结构的优势 (17) 3.1.2 标准的网络分层结构 (17) 3.1.3 XXX公司的网络结构 (18) 3.2全网核心层设计 (19) 3.3数据中心分布层设计 (20) 3.3.1 数据中心分布层虚拟交换机 (20) 3.3.2 数据中心分布层智能服务机箱 (21) 3.4数据中心接入层设计 (22) 3.5数据中心地址路由设计 (25) 3.5.1 核心层 (25) 3.5.2 分布汇聚层和接入层 (25) 3.5.3 VLAN/VSAN和地址规划 (26) 第4章应用服务控制与负载均衡设计 (27) 4.1功能介绍 (27) 4.1.1 基本功能 (27)
XX公司网络设计方案
XX通信公司网络设计 方案 院系:信息技术学院 年级:10级 班级:网络工程 姓名:杨梦娇201007111222 刘青201007111221 郝静晓201007111215
一、项目背景 XX 公司是一家小型企业,是一家大致有200人的通信公 司。公司组织结构如下: 二、用户需求分析及网络功能 为了能让公司更好的与现代社会的发展接轨, 更快的获取 市场信息及为了让外界了解该本公司的相关信息特组建企业网,以实现对“公司档案管理”、“产品信息”、“供求信息”等进行计算机网络化管理。 根据公司现有规模,业务需要及发展范围建立的网络有如下功能: a)用户公司需要连接内部网络,各部门员工的终端能实现连通。 b)所有公司员工都能够访问远程分支机构(远程分支机构的网络不在此项目中)。c)公司财务部门的数据很重要, 希望有一定的安全措施。 总经理 销售部 副总经理 财务部 人事行政部市场部 技术支持部
d)网络设备要求高速、运行稳定。 e)根据用户的需求描述,可以分析出,用户公司需要使 用交换机连接所以客户端。 f)需要路由器连接远程分支机构 g)需要在交换机上划分VLAN,VLAN之间需要配置单臂 路由实现互通。 主干网接入全球互联信息网外接(Internet),各子网再接入主干通信网。主干网接入Internet的方式可是有线综合宽带网,速率可在100Mbps左右。主干为千兆光纤线路,其它线路为超五类双绞线。 三、网络结构设计 1.根据公司大楼的结构特点制定详细的网络连接图,其中 包括如下信息: a)网络上个信息电(即办公点)的分布图,工作空间大 小与距离 b)电源插座的位置,包括目前正在使用的插座的设备 c)所有不可移动的物品的位置(如支撑柱,分隔墙,内 置柜等) d)所有办公家具的当前位置 e)所有计算机和类似打印机的外部设备的位置 f)门和窗口的位置 g)通风管道和目前电线的位置
数据中心机房建设工程初步设计方案
数据中心机房建设工程 初步设计 方 案 书 2014-10
方案设计依据和标准 1、供电参数 电压变动范围220V±5%;频率变化范围50HZ±0.2;波形失真率≤±5%。 2、机房环境要求 开机时: 温度夏季23℃±2℃冬季20℃±2℃变化率<5℃/h 不得凝露; 湿度 45%---65%。 停机时: 温度 5℃---35℃变化率<5℃/h 不得凝露; 湿度 40%---70%;磁场干扰环境场强≤800A/M。 3、照明度要求 普通照明:机房区照度应不小于500LUX,机房应无眩光; 应急事故照明:照度应为普通照明照度1/10; 应急疏散照明:照度应不小于5LUX 4、防火要求 机房装修材料应采用阻燃和非燃材料,且应能防潮、吸音、不起尘、抗静电。防火区四周应采用具有防火性能的材料,主要区域在吊顶内、静电地板下、吊顶与静电地板之间采用自动消防报警灭火系统。 5、地线系统 交流工作接地、安全工作接地、直流工作接地电阻≤1Ω; 防雷接地电阻≤1Ω。 6、机房工程设计和施工依据的国家标准及行业标准 1、《计算站场地技术条件》GB2887-2000 2、《计算站场地安全要求》GB9361-88 3、《电子信息系统机房设计规范》GB50174-2008 4、《计算机机房用活动地板技术条件》GB6650—86 5、《电子计算机机房设计规范》GB50174-93 6、《电子计算机机房工程施工及验收规范》ST/T30003-93 7、《民用建筑设计规范》JFJ/T16/92 8、《建筑内部装修设计防火规范》GB50222-95 9、《通风与空调工程施工及验收规范》GB50243-2002 10、《供配电系统设计规范》GB50052-95 11、《民用建筑照明设计规范》GBJ133-90 12、《建筑物防雷设计规范》GB50057-94 13、《低压配电设计规范》(GB50054-95)
中小型企业网络规划设计方案
湖南工业职业技术学院工程项目实践报告 项目名称:企业网络规划与设计院(系):信息工程系 专业:计算机网络 班级:s2011-2-22 学生姓名:朱佳才 指导教师:黄晗文 完成时间:2014.3.23
目录 一、工程概况 ..................................................................................... 错误!未定义书签。 二、需求分析 (2) 1、用户要求 (2) 2、稳定可靠需求 (3) 三、网络系统设计规划 (4) 1、网络设计总体目标 (4) 2、网络IP 地址规划及VLAN划分 (5) 3、网络方案设计拓扑图 (5) 4、网络平面设计图 (6) 5、网络方案设计 (6) 6、设备选择 (7) 7、网络安全系统设计 (7) 四、网络布线系统设计 (8) 1、布线系统总体结构设计 (8) 五、主要代码 (8) 六、总结 (9)
一.工程概况 公司有一栋独立大楼,高4层,每层面积2000平方米。由研发技术部(成员60人,分成硬件(25)和软件(35)2大部门)、生产部(主要产品是手持电子产品,110人,管理人员10人)和市场部(30个销售,10个工程师)组成。还有一般企业都有的后勤部门和财务部门等。公司管理层组成:董事会,1个总经理,3个副总经理。3个总监。 二.需求分析 1. 用户需求 公司网络需求主要有以下几点: (1).1层为市场部和后勤部; 2层为生产部; 3层为研发技术部; 4层为公司内部管理人员办公室和财务部。 (2). 各部门都有各自独立的文件服务器,且文件服务器通常不允许跨 部门访问。.但管理层办公室可以访问四个部门的文件服务器。 (3). 公司内部的计算机间采用公司内部的电子邮件系统和IM(即时 通讯)系统联系。 (4). 公司内部网络与Interner之间采用10M光纤接入。 (5). 公司内部架设Web服务器,对Internet提供公司的形象和电子商 务服务。
NIKE 项目数据中心网络架构方案
NIKE 项目数据中心网络架构方案概述 (2) 2.系统需求分析 (2) 3.企业网络信息系统设计思路 (2) 4.企业网络信息系统建设原则 (2) 5. 系统技术实现细节 (3) 5.1 网络拓扑图 (3) 5.2 Nike项目服务器技术实现细节 (4) 5.2.1双机备份方案 (4) 5.2.1.1.双机备份方案描述 (4) 5.2.1.2.双机备份方案的原理 (4) 5.2.1.3.双机备份方案的适用范畴 (4) 5.2.1.4.双机备份的方式及优缺点 (4)
5.2.1.5双机方案建议 (4) 5.2.1.6磁盘阵列备份模式示意图 (5) 5.2.1.7双机方案网络拓扑图 (5) 5.2.1.8双机热备工作原理 (6) 6.备份 (6) 7.建议配置方案及设备清单..................................................7-8 1.概述 21世纪世界竞争的焦点将是信息的竞争,社会和经济的进展对信息资源、信息技术和信息产业的依靠程度越来越大,信息技术的进展对政治、经济、科技、教育、军事等诸多方面的进展产生了重大的阻碍,信息化是世界各国进展经济的共同选择,信息化程度已成为衡量一个国家,一个行业现代化的重要标志。 2.系统需求分析
由于此方案是专为NIKE项目数据中心设计,此数据中心是为数据信息提供传递、处理、储备服务的,为了满足企业高效运作关于正常运行时刻的要求,因此,此数据中心在通信、电源、冷却、线缆与安全方面都必须要做到专门可靠和安全,并可适应持续的增长与变化的要求。 3.系统设计思路 企业网络信息系统的建设是为企业业务的进展服务,综合考虑公司信息系统当前背景和状况,其建设设计要紧应达到如下目标: 1) 系统的设计应能满足公司对公用信息资源的共享需求,满足3PL及 客户查询数据的共享需求,并为实现公用信息资源共享提供良好的网络环境,概括而言之确实是能让有关人员顺利流畅的访咨询数据中心的Nike X pDX Server及我司的TMS等有关系统。与此同时,系统的建设还需要考虑到投入和产出两者间的关系,注意强调成本节约,提升效费比的咨询题。 2) 系统的设计必须充分考虑到建成后系统的治理爱护咨询题。为此设计应强调系统的统一集中治理,尽量减少资源的分散治理,注重提升信息系统平台运营爱护的工作效率。 3) 系统的设计还需要考虑建成后资源的合理利用咨询题,必须保证建成系统资源要紧服务于设定需求,保证设计数据流量在网络中流畅通行。因此,必须保证只有设计的数据流量才能优先在网络中传递,关于设计外数据流量(例如互联网网页访咨询、网络下载、网络视频、网络音频、P2P、IM谈天)应通过技术手段限制其传递或被低优先级处理。 4) 在目前数据信息交流频繁,生产信息化程度日益提升的时代,信息系统建设设计还应考虑到建立一套高效的网络防病毒、防垃圾邮件系统,部署在生产网络的外缘,企业网络靠近外网的最前端进行爱护,争取把网络安全风险因素隔离在网络的最边缘处,实现网络安全性的最大化。专门是像我司如此的企业,存在3PL及外围客户网络组网互联的情形,应加大对病毒的防备工作,幸免网络病毒在网内交叉传播的情形发生。
IDC机房建设方案
数据中心建设方案 目录 综述 (2) IDC网络建设 (5) IDC网络建设 (6) IDC基础系统建设 (11) IDC应用服务系统建设 (26) IDC综合管理系统 (34) IDC计费系统 (38) IDC计费系统 (42) 技术服务 (46) IDC机房系统设计说明 (54) 一期实施内容建议 (62)
综述 经历了ISP/ICP飞速发展,.COM公司的风靡后,一种新的服务模式--互联网数据中心(Internet Data Center,缩写为IDC)正悄然兴起。它在国外吸引着像AT&T、AO- 、IBM、Exodus、UUNET等大公司的巨资投入;国内不但四大电信运营商中国电信、中国网通、中国联通、中国吉通开始做跑马圈地,一些专业服务商如清华万博、首都在线和世纪互联等,也参与了角逐。 IDC(Internet Data Center) - Internet数据中心,它是传统的数据中心与Internet的结合,它除了具有传统的数据中心所具有的特点外,如数据集中、主机运行可靠等,还应具有访问方式的变化、要做到7x24服务、反应速度快等。IDC是一个提供资源外包服务的基地,它应具有非常好的机房环境、安全保证、网络带宽、主机的数量和主机的性能、大的存储数据空间、软件环境以及优秀的服务性能。 IDC作为提供资源外包服务的基地,它可以为企业和各类网站提供专业化的服务器托管、空间租用、网络批发带宽甚至ASP、EC等业务。简单地理解,IDC是对入驻(Hosting)企业、商户或网站服务器群托管的场所;是各种模式电子商务赖以安全运作的基础设施,也是支持企业及其商业联盟(其分销商、供应商、客户等)实施价值链管理的平台。形象地说,IDC是个高品质机房,在其建设方面,对各个方面都有很高的要求。 IDC的总体结构如下图所示:
数据中心建设架构设计
数据中心架构建设计方案建议书 1、数据中心网络功能区分区说明 1.1 功能区说明 图1:数据中心网络拓扑图 数据中心网络通过防火墙和交换机等网络安全设备分隔为个功能区:互联网区、应用服务器区、核心数据区、存储数据区、管理区和测试区。可通过在防火墙上设置策略来灵活控制各功能区之间的访问。各功能区拓扑结构应保持基本一致,并可根据需要新增功能区。 在安全级别的设定上,互联网区最低,应用区次之,测试区等,核心数据区和存储数据区最高。 数据中心网络采用冗余设计,实现网络设备、线路的冗余备份以保证较高的可靠性。
1.2 互联网区网络 外联区位于第一道防火墙之外,是数据中心网络的Internet接口,提供与Internet高速、可靠的连接,保证客户通过Internet访问支付中心。 根据中国南电信、北联通的网络分割现状,数据中心同时申请中国电信、中国联通各1条Internet线路。实现自动为来访用户选择最优的网络线路,保证优质的网络访问服务。当1条线路出现故障时,所有访问自动切换到另1条线路,即实现线路的冗余备份。 但随着移动互联网的迅猛发展,将来一定会有中国移动接入的需求,互联区网络为未来增加中国移动(铁通)链路接入提供了硬件准备,无需增加硬件便可以接入更多互联网接入链路。 外联区网络设备主要有:2台高性能链路负载均衡设备F5 LC1600,此交换机不断能够支持链路负载,通过DNS智能选择最佳线路给接入用户,同时确保其中一条链路发生故障后,另外一条链路能够迅速接管。互联网区使用交换机可以利用现有二层交换机,也可以通过VLAN方式从核心交换机上借用端口。 交换机具有端口镜像功能,并且每台交换机至少保留4个未使用端口,以便未来网络入侵检测器、网络流量分析仪等设备等接入。 建议未来在此处部署应用防火墙产品,以防止黑客在应用层上对应用系统的攻击。 1.3 应用服务器区网络 应用服务器区位于防火墙内,主要用于放置WEB服务器、应用服务器等。所有应用服务器和web服务器可以通过F5 BigIP1600实现服务器负载均衡。 外网防火墙均应采用千兆高性能防火墙。防火墙采用模块式设计,具有端口扩展能力,以满足未来扩展功能区的需要。 在此区部署服务器负载均衡交换机,实现服务器的负载均衡。也可以采用 F5虚拟化版本,即无需硬件,只需要使用软件就可以象一台虚拟服务器一样,运行在vmwareESXi上。 1.4 数据库区 数据库区在物理上和应用服务器在一个位置,但可以通过防火墙的通过逻辑隔离,将应用服务器和数据库服务器分离。 实际上应用服务器和数据库服务器都是通过VMware服务器虚拟化上创建的虚拟服务器,但可以通过交换机策略将两者逻辑分开。
中小企业网络规划与设计的方案
一个中小企业网络规划与设计的方案 网络工程设计方案需要一个中小企业网络规划与设计的方案 (1) 公司有 1000 台 PC (2) 公司共有多个部门,不同部门的相互访问要求有限制,公司有若干个跨省的分公司 (3) 公司有自己的内部网页与外部网站 (4) 公司有自己的 OA 系统 (5) 公司中的每台机能上互联网 (6)核心技术采用VPN 根据以上 6 个方面的要求说明提出一个网络设计方案 目录 前言 一、项目概述 二、需求概述 三、网络需求 1.布线结构需求 2.网络设备需求 3.IP地址规划 四、系统需求 1.系统要求 2.网络和应用服务 五、存储备份系统需求 1.总体要求 2.存储备份系统建设目标
3.存储系统需求 4.备份系统需求 六、网络安全需求 1.网络安全体系要求 2.网络安全设计模型 前言 根据项目招标书的招标要求来细化为可执行的详细需求分析说明书,主要为针对项目需求进行深入的分析,确定详细的需求状况以及需求模型,作为制定技术设计方案、技术实施方案、技术测试方案、技术验收方案的技术指导和依据 一、项目概述 1. 网络部分的总体要求: 满足集团信息化的要求,为各类应用系统提供方便、快捷的信息通路。 良好的性能,能够支持大容量和实时性的各类应用。 能够可靠的运行,较低的故障率和维护要求。 提供安全机制,满足保护集团信息安全的要求。 具有较高的性价比。 未来升级扩展容易,保护用户投资。 用户使用简单、维护容易。 良好的售后服务支持。 2. 系统部分的总体要求: 易于配置:所有的客户端和服务器系统应该是易于配置和管理的,并保障客户端的方便使用; 更广泛的设备支持:所有操作系统及选择的服务应尽量广泛的支持各种硬件设备; 稳定性及可靠性:系统的运行应具有高稳定性,保障7*24的高性能无故障运行。 可管理性:系统中应提供尽量多的管理方式和管理工具,便于系统管理员在任何位置方便的对整个系统进行管理;
大型数据中心网络体系规划设计与实现方案
技术与应用 echnology & Application T 53 2009年3 月 ■文/中国建设银行信息技术管理部 戴春辉 窦 彤 数据中心网络设计与实现 数 据集中后,所有银行业务和网点都依赖网络来支持其对数据中心中主机的访问。此外,未来的新型应用, 如网上培训、IP 电话、可视电话等应用也对网络提出高带宽、高服务质量以及支持多点广播等要求。因此,数据中心的网络建设必须能够最大化满足上述要求,适应未来新业务和技术的发展。 一、数据中心网络设计原则 网络的可靠性。银行业务的特点决定了其网络必须有极高的可用性,能最大限度地支持各业务系统正常运行。在网络设计上,合理组织网络架构,做到设备冗余、链路冗余,保证网络具有快速故障自愈能力,实现网络通讯不中断。 网络具有良好的可用性、灵活性。支持国际上各种通用的网络协议和标准,支持大型的动态路由协议及策略路由功能,保证与其他网络(如公共数据网、金融网络等)之间的平滑连接。 网络的可扩展性。根据未来业务的增长和变化,在不变动现有网络架构的前提下,可以平滑地扩展和升级。 网络安全性。制订统一的网络安全策略,整体考虑网络平台的安全性。 网络可集中管理。对网络实行集中监测、分权管理,构建网络管理平台,提供故障自动报警,具有对设备、端口等的管理和流量统计分析功能。 保证网络服务质量。保证对统一的网络带宽资源进行合理调配,当网络拥塞发生时,保障银行关键业务和用户数据的传输。提供对数据传输的服务质量(QoS)和优先级控制等,以保证骨干网上各类业务的QoS。 二、数据中心网络实现 1.网络技术 数据中心网络设计实现的技术基础如下。(1)路由交换技术 目前,在银行的网络设计中,绝大部分网络通信都是基于TCP/IP 协议及相关技术的。路由交换技术是构建IP 网络的基础技术,是网络互联的基础。在数据中心网络中,大面积使用高性能、高可靠的三层交换机,用以构建多个不同的功能分区。分区间相互隔离,通过1G/10G 接口连接高速的核心交换区。 网络互联路由协议主要有OSPF、RIPv2和BGP。在数据中心局域网中主要使用OSPF 路由协议,以达到快速收敛的目的;而在边界或与分支机构广域互联,通常使用BGP 路由协议,以实现对网络的有效管理。 (2)负载均衡技术 负载均衡建立在现有网络结构之上,提供了一种廉价、有效、透明的方法,扩展网络设备和服务器的带宽,增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。负载均衡技术主要有软/硬件负载均衡,本地/全局负载均衡。在数据中心主要使用硬件负载均衡解决方案。 (3)防火墙技术 当前银行网络主要使用状态检测型防火墙,集成了包过滤防火墙、电路层防火墙和应用防火墙三种技术,只有符合安全规则的网络连接和访问才可以通过防火墙,有效隔离各个安全区域,保障核心数据的安全性。 (4)入侵检测技术 入侵检测技术(IDS)从计算机系统或网络中收集、分析信息,检测任何企图破坏计算机资源完整性、机密性和