弱电工程数据中心的网络架构及其设计思路(附图)
数据中心网络架构设计两地三中心
0保数据中心内部网络的安全性 ,采取严格的安全管理措施,包 括访问控制、入侵检测、日志管
理等。
网络安全策略
通过部署防火墙、入侵防御系统、 网络审计系统等,防范外部攻击和 内部威胁,保障网络的安全性和稳 定性。
终端安全策略
对终端设备进行安全管理,包括防 病毒、防恶意软件、防黑客攻击等 ,确保终端设备的安全性和可靠性 。
访问控制策略
身份认证
采用多因素身份认证方法,如动 态口令、数字证书等,确保只有 授权用户能够访问数据中心网络
。
访问授权
根据用户的角色和权限,控制用 户对数据中心的访问,确保只有 合法的用户能够执行特定的操作
。
访问监控与审计
对用户的访问行为进行实时监控 和审计,及时发现并处理异常行 为,确保数据中心网络的安全性
挑战与目标
挑战
如何构建一个稳定、可靠、可扩展的 数据中心网络架构,同时满足业务需 求和跨地域容灾的需求。
目标
设计一个两地三中心的数据中心网络 架构,实现高可用性、可扩展性和业 务连续性。
02
数据中心网络架构概述
什么是两地三中心架构
两地三中心架构是一种数据中心网络架构,它包括两个地理位置相隔较远的城市 (称为“两地”)和三个数据中心(称为“三中心”),其中每个城市各有一个 数据中心,另一个数据中心位于两个城市之间的地理位置(称为“中”数据中心 )。
数据中心网络架构设计两地 三中心
汇报人: 2023-12-11
目录
• 项目背景 • 数据中心网络架构概述 • 网络拓扑结构 • 设备选择与配置 • 安全策略与访问控制
目录
• 网络管理与监控 • 容灾与备份计划 • 电力与环境设计 • 部署与优化策略
数据中心供配电系统架构
数据中心供配电系统架构数据中心供配电系统架构1. 引言为了确保数据中心正常运行并提供可靠的电力供应,一个完善的供配电系统是必不可少的。
本文档将介绍数据中心供配电系统的整体架构和各个组成部分的详细内容。
2. 数据中心电力需求分析2.1 数据中心负载需求分析2.2 数据中心电力密度分析2.3 数据中心容量规划3. 数据中心供电系统3.1 主电源接入3.2 主配电系统设计3.2.1 电源开关柜设计3.2.2 配电开关柜设计3.3 显性并行供电系统设计3.4 隐性并行供电系统设计4. 数据中心备用电源系统4.1 UPS系统设计4.1.1 UPS类型选择4.1.2 UPS容量规划4.1.3 UPS并联配置4.2 发电机组设计4.2.1 发电机组类型选择4.2.2 发电机组容量规划4.2.3 发电机组与UPS系统协同工作设计4.3 非常规备用电源设计4.3.1 可再生能源4.3.2 备用电池系统设计5. 数据中心配电系统5.1 配电回路设计5.1.1 低压配电回路设计5.1.2 中压配电回路设计5.2 配电柜设计5.2.1 低压配电柜设计5.2.2 中压配电柜设计5.3 配电线路保护设计5.3.1 过载保护5.3.2 短路保护5.3.3 接地保护6. 数据中心电力监控与管理6.1 电力监测系统设计6.2 遥控遥信系统设计6.3 电力管理系统设计附件:本文档所涉及的附件包括供配电系统的图纸、技术规范、设备清单等。
法律名词及注释:1. 供电:指向数据中心提供电力供应的行为。
2. 配电:指将输入电源进行合理分配,并提供给数据中心各个设备和部件使用的行为。
3. 主电源:指直接与电力公司的主网相连接的电源系统,为数据中心提供主要电力供应。
4. 备用电源:指在主电源发生故障或停电时,为数据中心提供备用电力供应的电源系统。
5. UPS:全称为不间断电源,是一种通过内部电池或蓄电池组提供电力,用于在主电源故障或停电时提供临时电力供应的设备。
弱电机房设计图纸(CAD版)
弱电机房设计图纸( CAD版)
仍是先发一个设计说明,也叫工程概括,这是必备的部分。
这是机房平面部署图,里面的部署的设备都做了详尽介绍!这样的图纸给你了如指掌的感觉,任何人一看就懂!
这是机柜摆列图,有了此图才能更好的规划机柜内的设备摆放,此图很有必需设计出来,特别发给施工队伍,施工队伍一看就理解了!省心省力!
这是机房配电箱系统图,弱电的设备供电管理是很重要的一部分,必定要提早设计好!
这是机房地面设备地点图,里面包括了设备的摆放地点,实行的尺寸和安装方式!
这是机房接地及地板下桥架平面图,里面包括了机房的接地系统的做法,不懂机房接地的能够看看此图!
这是机房电气及装修平面图,包括了机房装修的做法和电气装置的安装地点和方法!
这是机房弱电桥架,弱电桥架的施工方法和尺寸
这是机房空调安装平面图,简单的认识一下就能够!
此图为机房插座和照明平面图,一般的施工队伍都能够看理解,一般状况下,机房的插座和照明都由总包来做,没有总包的就由工程商来做!
此图好多的人都会忽视,机房工程的主要设备资料表,薛哥感觉很有必需!。
通用方案-数据中心网络建设方案
数据中心网络建设方案目录第一章数据中心现状分析 (3)第二章数据中心网络技术分析 (3)2.1 路由与交换 (3)2.2 EOR 与TOR (4)2.3网络虚拟化 (4)2.3。
1 网络多虚一技术 (4)2。
3.2网络一虚多技术 (6)2.4 VM互访技术(VEPA) (6)2。
5 虚拟机迁移网络技术 (10)第三章方案设计 (12)3.1网络总体规划 (12)3.2省级数据中心网络设计 (14)3.3市级数据中心网络设计 (15)3.4区县级数据中心网络设计 (15)3.5省、市、区/县数据中心互联设计 (15)3.5.1省、市数据中心互联 (15)3.5。
2市、区/县数据中心互联 (16)3.5。
3数据中心安全解决方案 (16)第四章方案的新技术特点 (17)4。
1量身定制的数据中心网络平台 (17)4.1。
1最先进的万兆以太网技术 (17)4.1.2硬件全线速处理技术 (17)4。
1.3 Extreme Direct Attach技术 (19)4。
1。
5 帮助虚机无缝迁移的XNV技术 (24)4。
1。
5环保节能的网络建设 (27)4.2 最稳定可靠的网络平台 (28)4.2.1 独有的模块化操作系统设计 (28)4。
2.2超强的QOS服务质量保证 (29)4。
3先进的网络安全设计 (31)4.3.1设备安全特性 (31)4。
3.2用户的安全接入 (32)4.3。
3智能化的安全防御措施 (33)4.3.4常用安全策略建议 (35)附录方案产品资料 (38)1.核心交换机BD 8800 (38)2.SummitX670系列产品 (42)3。
三层千兆交换机Summit X460 (52)4.核心路由器MP7500 (59)5。
汇聚路由器MP7200 (65)6.接入路由器MP3840 (70)7.接入路由器MP2824 (75)8。
MSG4000综合安全网关 (79)第一章数据中心现状分析云计算数据中心相比较传统数据中心对网络的要求有以下变化:1、Server—Server流量成为主流,而且要求二层流量为主。
数据中心机房设计方案(PPT100页) (分享)
数据中心建筑结构需求——建筑防火、保温建议
建筑防火建议
建筑保温建议
• 根据防火区域内设备的重要性和安全 性,建议设备机房、电信接入间等采用气 体灭火,电池室、配电间、 UPS设备。柴 油机房建议使用水喷雾系统。 • 气体灭火系统可以集中放置气体钢瓶 设施,集中输送灭火气体,高压排放。需 要灭火时,气体释放时的快速喷射产生高 压,要求建筑结构体能抵抗1200Pa/m2压 力。防火保护区分界面上,建筑结构墙体 或数据中心内饰墙体有足够的泄压口,用 于释放气体冲击压力,保护建筑及室内结 构体不被高压气体冲击损坏。
目录
项目简介
数据中心等级标准建议
数据中心建筑结构需求 数据中心需求规划 数据中心投资估算
数据中心等级标准建议——目前行业内流行的等级标准规范
国际通用标准— 《THE UPTIME INSTITUTE数据中心等级标准》
电信行业标准— 《TIA/EIA-942》
国家标准— 《数据中心设计规范》——GB 50174-2017
3 市 两路进线,但有一路与其 1、供数据中心使用的市电专缆
否
电 他建筑共用
2、2个不同路由
3、每路5150kva
4通 信
6459局接入
1、 2家以上运营商接入
否
2、专缆接入
3、路由分开
5柴 发
6运 输
1、无柴发机房
需要N+1台柴油发电机
否
2、机场区域禁止设单独油 库
1、货运电梯2吨载重能力 2、轿厢尺3.05*3.4m 3、货梯门1.85m
新建楼板区,标高6000mmm
原楼板加固 新建楼板区,标高6000mmm
三层平面
数据中心建筑结构需求——建筑平面标高
机柜布局图(数据中心) (1)
结构化大数据管理存储池 02 非结构化大数据计算存储池 03 非结构化大数据计算存储池 01 非结构化大数据管理存储池 02
1U 42 1U 41 1U 40 1U 39 1U 38 1U 37 1U 36 1U 35 1U 34 1U 33
数据机房BY-B0
42 1U 41 1U 40 1U 39 1U 38 1U 37 1U 36 1U 35 1U 34 1U 33 1U
CE6855(政务外网区业务 CE6855(政务外网区业务
1U 42 1U 41 1U 40 1U 39 1U 38 1U 37 1U 36 1U 35 1U 34 1U 33 1U 32 1U 31 1U 30 1U 29 1U 28 1U 27 1U 26 1U 25 1U 24 1U 23 1U 22 1U 21 1U 20 1U 19 1U 18
42 1U 41 1U 40 1U 39 1U 38 1U 37 1U 36 1U 35 1U 34 1U 33 1U 32 1U 31 1U 30 1U 29 1U 28 1U 27 1U 26 1U 25 1U 24 1U 23 1U 22 1U 21 1U 20 1U 19 1U 18 1U
32 1U 31 1U 30 1U 29 1U 28 1U 27 1U 26 1U 25 1U 24 1U 23 1U 22 1U 21 1U 20 1U 19 1U 18 1U 17 1U 16 1U 15 1U 14 1U 13 1U 12 1U 11 1U 10 1U 9 1U 8 1U 7 1U 6 1U 5 1U 4 1U 3 1U 2 1U 1 1U
数据机房BY-A0
CE6855 (融合数仓业务 CE5855 (融合数仓管理
结构化大数据计算存 结构化大数据计算存 结构化大数据计算存 结构化大数据管理存
机房弱电工程设计方案(DOC)
机房弱电工程设计方案机房弱电工程设计主要包括:机房综合布线系统、机房监控系统、机房门禁、机房配电线路布线以及防雷和接地系统。
机房综合布线系统设计机房综合布线系统为机柜与机柜之间、机柜服务器与信息终端之间、机房内部与机房外部之间通信的互连提供了一个高速连接的平台,使信息能够准确、髙速地在各种型号的计算机、服务器、终端设备以及各种通信设备之间传递,以数据信号传输为主,语音信号传输为辅,并可兼顾其他弱电信号的传输.布线系统分为非屏蔽布线系统和屏蔽布线系统。
1.非屏蔽布线系统设计的要点1)A、B级和C级机房的辅助房间、支持区的布线配置,按照现行国家标准《综合布线系统工程设计规范》(GB/T 50311)中规定的其他工作区配置进行设计.2) 为保证主机房(数据中心、运营商网络、云计算)的网络系统运行稳定可靠,A、B 级机房的交换机和服务器链路(设备线缆、跳线和配线设备)采用多模或单模光缆,并留有备份;其数据传输率为万兆或十万兆。
3) C级机房的交换机和服务器链路(设备线缆、跳线和配线设备)采用多模、单模光缆或六类4对(8芯)对绞电缆,并留有备份;其数据传输率为千兆或万兆。
4) 承担语音业务的主干子系统采用(类或五类4对(8芯)对绞电缆.5)配线机柜安放的具体位置要方便开启,便于以后的扩充及维护。
6) 线缆放人机柜中要防止电磁场对布线系统的干扰,机柜要接地。
7〉布线系统中线缆要用同一特性阻抗线缆;光缆要用同一芯径、同模的光缆.8) 当线缆铺设在隐蔽通风空间(如吊顶内或地板下)时,线缆易受到火灾的威胁或成为火灾的助燃物,且不易察觉,故在此情况下,应对线缆采取防火措施.9) 机房布线系统与本地公用电信网络互联互通时,主要考虑对不同电信运营商的选择和系统出口的安全.对于重要的电子信息系统机房,设置的网络与配线端口数量应至少满足两家以上电信运营商互联的需要,使得用户可以根据业务需求自由选择电信运营商.各家电信运营商的通信线路应采取不同的铺设路径,以保证线路的安全.2。
弱电工程中交换机的4种常用网络架构方式,入行前必须要懂?
弱电工程中交换机的4种常用网络架构方式,入行前必须要懂?交换机组网在我们弱电工程中经常碰到,常用的组网方式也是基本的三层架构,在我们项目中,一共有几种交换机组网方式经常用到呢?今天一起来看看吧!交换机(Switch)意为“开关”是一种用于电(光)信号转发的网络设备。
它可以为接入交换机的任意两个网络节点提供独享的电信号通路。
最常见的交换机是以太网交换机。
其他常见的还有电话语音交换机、光纤交换机等。
随着5G到来,新的物联网的到来,对交换机要求更高,同时需求量会便大。
交换机是使用非常广泛的网络设备,多台网络设备的局域网,交换机是必不可少的设备。
交换机的4种网络结构方式:01级联方式这是最常用的一种组网方式,它通过交换机上的级联口(UpLink)进行连接。
级联可以定义为两台或两台以上的交换机通过一定的方式相互连接。
根据需要,多台交换机可以以多种方式进行级联。
在较大的局域网例如园区网( 校园网) 中,多台交换机按照性能和用途一般形成总线型、树型或星型的级联结构。
需要注意的是交换机不能无限制级联,超过一定数量的交换机进行级联,最终会引起广播风暴,导致网络性能严重下降。
结构图:02端口聚合方式端口聚合将两个设备间多条物理链路捆绑在一起组成一条逻辑链路,从而达到带宽倍增的目的(这条逻辑链路带宽相当于物理链路带宽之和)。
除了增加带宽外,端口聚合还可以在多条链路上均衡分配流量,起到负载分担的作用;当一条或多条链路故障时,只要还有链路正常,流量将转移到其它的链路上,整个过程在几毫秒内完成,从而起到冗余的作用,增强了网络的稳定性和安全性。
结构图:03堆叠方式堆叠是指将一台以上的交换机组合起来共同工作,以便在有限的空间内提供尽可能多的端口。
多台交换机经过堆叠形成一个堆叠单元。
可堆叠的交换机性能指标中有一个" 最大可堆叠数" 的参数,它是指一个堆叠单元中所能堆叠的最大交换机数,代表一个堆叠单元中所能提供的最大端口密度。
某数据中心架构拓扑图
SAN交换机
生产卷
生产存储A
存储虚拟化设备
存储虚拟化设备
生产卷
存储虚拟化资源池内的 数据实时复制
副本卷
异构存储 B
存储虚拟化资源池
备份区存储
备份设备 备份设备 虚拟磁带库 物理磁带库
此课件下载可自行编辑修改,此课件供参考! 部分内容来源于网络,如有侵权请与我联系删除!
数据中心内部IT基础架构示意图
LAN
本地用户
生产区
数据中心以太网
远程用户
备份区
LAN
生产区小型机 Unix小型机
核心生产集群
开发测试集群、综合管理集群
......
பைடு நூலகம்应用环境 容灾迁移
......
X86服务器虚拟化资源池
高性能x86服务器
高性能x86服务器
备份区小型机 Unix小型机
SAN交换机
存储网络级联
数据中心网络架构三层分析
传统的数据中心主要是依据功能进行区域划分,例如WEB、APP、DB,办公区、业务区、内联区、外联区等等。
不同区域之间通过网关和安全设备互访,保证不同区域的可靠性、安全性。
同时,不同区域由于具有不同的功能,因此需要相互访问数据时,只要终端之间能够通信即可,并不一定要求通信双方处于同一VLAN或二层网络。
传统的数据中心网络技术,STP是二层网络中非常重要的一种协议。
用户构建网络时,为了保证可靠性,通常会采用冗余设备和冗余链路,这样就不可避免的形成环路。
而二层网络处于同一个广播域下,广播报文在环路中会反复持续传送,形成广播风暴,瞬间即可导致端口阻塞和设备瘫痪。
因此,为了防止广播风暴,就必须防止形成环路。
这样,既要防止形成环路,又要保证可靠性,就只能将冗余设备和冗余链路变成备份设备和备份链路。
即冗余的设备端口和链路在正常情况下被阻塞掉,不参与数据报文的转发。
只有当前转发的设备、端口、链路出现故障,导致网络不通的时候,冗余的设备端口和链路才会被打开,使得网络能够恢复正常。
实现这些自动控制功能的就是STP(Spanning Tree Protocol,生成树协议)。
由于STP的收敛性能等原因,一般情况下STP的网络规模不会超过100台交换机。
同时由于STP需要阻塞掉冗余设备和链路,也降低了网络资源的带宽利用率。
因此在实际网络规划时,从转发性能、利用率、可靠性等方面考虑,会尽可能控制STP网络范围。
大二层也是为了流通的要求随着数据大集中的发展和虚拟化技术的应用,数据中心的规模与日俱增,不仅对二层网络的区域范围要求也越来越大,在需求和管理水平上也提出了新的挑战。
数据中心区域规模和业务处理需求的增加,对于集群处理的应用越来越多,集群内的服务器需要在一个二层VLAN下。
同时,虚拟化技术的应用,在带来业务部署的便利性和灵活性基础上,虚拟机的迁移问题也成为必须要考虑的问题。
为了保证虚拟机承载业务的连续性,虚拟机迁移前后的IP地址不变,因此虚拟机的迁移范围需要在同一个二层VLAN下。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
弱电工程数据中心的网络架构及其设计思路如果把数据中心比作一个“人”,则服务器和存储设备构成了数据中心的“器官”,而网络(交换机,路由器,防火墙)就是这个数据中心的“神经脉络”。
本文就针对数据中心的网络架构和一般设计来说。
01正文01网络分区与等保一般情况下,本着灵活、安全、易管理的设计原则,企业都会对数据中心网络的物理设备进行分区。
通常情况下,数据中心都会采用核心—汇聚—接入三层的网络结构,核心用于所有流量的快速转发,而汇聚则是在每个网络分区上,担任网关的功能。
一般来说,数据中心的网络分区中,每一个区域会根据预期的流量和服务器的数量,分配不同的业务网段。
同时,在一些等保要求较高的区域,还会设置防火墙这样的安全设备,来控制进出这个区域的流量,如下图所示:“等保”是等级保护的简写,在设置数据中心服务器区域的时候,不同业务的服务器的等级保护是不一样的。
比如后台存储,带库,数据库这些服务器的等保和Web、前端、APP的等保就不一样。
而在数据中心网络中,防火墙的功能,就是用来划分“等保”,同时用来控制不同等保之间的互访。
那如何更好的来理解这个“等保”的概念呢?在目前的数据中心网络架构中,要考虑到不同等保之间的流量控制,又要考虑到在设计路由的时候的简便和快捷,目前数据中心的防火墙几乎都会采用旁路的方式来部署,再配合汇聚交换机上的VRF来控制流量。
02数据中心网络分区的方式分区的划分方式有以下三种,不同分区方式各有优缺点,通常结合使用。
A.按照服务器类型分区比如x86服务器、小型机、刀片机、大型机、虚拟机进行分类。
完全按照服务器型号分类的话,在实际应用中,可能某个企业小型机被大量使用,而大型机几乎没用,就会导致小型机的网络区域流量巨大而大型机这个区域闲置了。
所以,现在的数据中心,几乎看不见如此分配区域的情形了。
B.按照应用层次分区比如Web、APP是前端服务器,而数据库、存储、NFS这些是后端服务器,所以把前端服务器放在一个区域,后端服务器放在一个区域。
在有些企业的数据中心,也确实是这么分区的。
比如,所有的Web服务器放在“综合业务区”,把数据库就放在“生产管理区”(你也看出来,连区域名字都起得那么“模糊” )。
如此分区的好处是便于管理,因为前端服务区域和后端服务区域不在一个等保内,前端服务区域直接面对办公,后端区域则为前端区域服务,如下图所示:这种区域的设置方式的好处是便于分开管理,但是坏处也是运维起来屁事太多。
比如,前端新上线了一个APP,后端需要相应的数据库支持,此时系统运维人员就要找网络运维人员,请他们在后端区的防火墙上开通相应的安全策略。
考虑到前端和后端对接也有诸多非网络的问题,加上前端和后端之间又有防火墙的“阻碍”,所以一旦前端和后端的通信出了问题,网络运维人员就很容易“被背锅”了。
C.按照应用类型划分例如核心服务,公共服务,办公区域,隔离区域,开发测试区域进行划分。
这种分区的好处就是,一个“功能业务”的前端服务器和后端服务器都在一个等保内了,在前端和后端对接的时候,网络运维人员不至于因为防火墙策略的原因而“背锅”。
但是这样划分又会显得网络规划有点“混乱”。
对于一些对前期IP地址规划不太重视的管理员来说,可能会对前端服务器和后端服务器的IP地址规划带来些麻烦。
比如,给核心服务器区的IP地址段是10.114.128.0/21,在这里有10.114.128.0/24---10.114.135.0/24,整整16个C段。
但是对于不严谨的管理员来说,可能会让10.114.128.0/24做前端的IP地址,10.114.129.0/24做后端的IP地址,这样的话,前端和后端的IP地址段就“交叉”了。
如果遇到一种极端的情况,在多级数据中心使用MPLS V.PN网络对接,让前端和后端的流量“分流”时,这种前端和后端IP地址段一“交叉”,分流就会显得极其麻烦。
综上所述,每一种分区的方式,都有自己的优点和缺点,所以也要按照实际情况进行分区。
03数据中心常用网络架构A.扁平化组网对于功能单一,服务器数量小于300台的小型数据中心来说,通常情况下都会采用两层式的扁平化组网。
也就是汇聚设备担任网关,接入设备就是一个二层设备,打通二层通道的功能。
对于扁平化的组网,也分为比较传统的VRRP+MSTP,和“堆叠+链路捆绑”两种方式进行组网设计。
第一种就是VRRP+MSTP的结构,如下图所示:相比起第一种非常传统的MSTP+VRRP的架构,第二种“胖树”结构,则是当前数据中心扁平化组网的常用结构。
它的思路是:汇聚交换机必然堆叠,接入交换机按需堆叠,所有冗余链路必须捆绑,形成一个“胖树”状结构。
它的优点就是,既保证了设备的冗余性,提升带宽性能,也能从根本上防止二层环路。
但是,要实现设备的堆叠,这个对硬件有要求,所以,这种“胖树”状结构的组网,成本比起第一种来说要高不少。
B.三层组网架构对于大型数据中心,功能多样,且要进行功能分区的场合,就会采用标准的三层架构。
在这种组网方式中,交换核心区是整个数据中心网络的枢纽,核心设备通常部署2-4台大容量高端框式交换机,可以是独立部署,也可以通过堆叠技术后成组部署(但是考虑到核心和汇聚之间都是三层连接,且堆叠有一定裂开风险,所以一般核心都会采用独立部署的方式,即核心之间只和汇聚之间有互联,核心之间无互联)分区内的汇聚层和接入层通过堆叠实现二层破环。
下图为大家展示了一个当前主流的数据中心三层组网架构图:刚才的拓扑图中,各个大区域之间的防火墙采用了旁路的连接方式。
防火墙采用旁路连接的目的,也是为了提升可扩展性,并且可以兼容动态路由。
而这种结构,要想实现核心—汇聚—接入之间的流量进入防火墙,就需要使用VRF在汇聚交换机上隔离路由了。
所以,VRF在这个地方,起到的作用是隔离路由,起到一个“化旁路为串联”的作用。
本文的难点,也正好是汇聚交换机上使用VRF时,这个业务流的逻辑图如何画出。
实际上,我本人在刚接到这个项目的时候,也是花了一段时间来理解这个VRF和旁路防火墙之间的关系的。
下面我可以简单为大家说一下划业务流的方法。
所谓“单一等保”,实际上就是汇聚下方的所有业务网段可以直接访问,流量无需经过防火墙控制。
在这种情况下,就只需要一个VRF,把汇聚—核心和汇聚—防火墙之间的流量隔离开即可。
物理连接图如下:由于汇聚、接入,包括防火墙做了双机或者堆叠,所以在此时可以将汇聚、接入先暂时画成单个设备,这样物理结构就不会太复杂了。
然后,去掉汇聚层设备的图标,用一个方框来代替。
在方框内部添加两个小方框,代表两个拥有独立三层路由的虚拟设备,与核心连接的是全局路由,与接入连接的是VRF路由。
然后,防火墙上“画出”两条线,分别与“全局路由”小框和“VRF”小框互联。
防火墙与汇聚连接的两条线,可以是不同的物理接口,也可以是不同的子接口。
如下图所示:最后,去掉汇聚层设备位置的大方块,将防火墙“塞”在“全局路由”小框和“VRF”小框之间,这样,一个单一等保级别的,化旁路为串联的流量图就完成了。
两个等保级别,这就要求了两个等保级别内的业务在互访时,流量需要经过防火墙。
这里你就要记住:一个等保一个VRF,不同等保级别的流量要放在不同的VRF内。
在画双等保逻辑流量的时候,采用的方式和单一等保逻辑流量的方式是一样的。
第一步,仍然是把双机结构改成单机结构,所不同的是,防火墙和汇聚之间,需要画三条线。
总之,汇聚下面有N个等保,汇聚和防火墙之间就画N+1条线。
然后,去掉汇聚层设备的图标,用一个方框来代替。
在方框内部添加三个小方框,代表三个拥有独立三层路由的虚拟设备,接入层交换机换成两个,分别代表等保1的接入和等保2的接入。
然后,去掉大方框,将防火墙“塞”在“全局路由”小方框和“V RF-1”、“VRF-2”小方块之间,先形成如下图所示的结构:最后,将两个等保“VRF”的小方块,分别连接在防火墙的两边,这样,一个双等保的化旁路为串联的业务流逻辑图就画好了,根据标注的接口编号和规划的IP地址,就可以写配置脚本了。
而且串联的逻辑图画好以后,也立刻能够知道静态路由该如何规划了。
记住一点:“全局”、“VRF-1”、“VRF-2”上标注的接口,其实全是汇聚交换机的。
记住这个方式,以后遇到旁路防火墙,下面有N多个等保的业务流,也可以按照这个方式去照葫芦画瓢了。
04数据中心未来的发展随着大数据时代的到来,企业数据中心承载的业务越来越多,新业务上线越来越快。
为了满足业务的需要,传统数据中心网络将逐渐向具备弹性、简单和开放特征的新一代数据中心网络演进。
A.弹性弹性是指网络能够实现灵活、平滑扩展以适应业务不断发展的需要。
弹性扩展包括设备级、系统级和数据中心级的扩展。
设备级弹性扩展:网络设备需要具备持续的平滑扩容能力。
例如接入交换机可以提供25GE/40GE的接入能力,核心交换机能提供百T以上的交换容量,高密度的100GE/400GE接口等。
系统级弹性扩展:数据中心网络需要支持更大规模的二层网络。
例如提供X万台10GE服务器接入的能力。
数据中心级弹性扩展:数据中心互联网络要能够支持多个数据中心的资源整合,实现更大规模虚拟机跨数据中心迁移。
B.简单简单就在于要能够让网络更好的为业务服务,能够根据业务来调度网络资源,例如要能够实现网络资源和IT资源的统一呈现与管理,能够实现从业务到逻辑网络再到物理网络的平滑转换等。
C.开放传统网络的管理维护是封闭的,独立于计算、存储等IT资源。
网络开放以后,可以打破原有的封闭环境,使网络设备可以与更多的SDN控制器、第三方管理插件、虚拟化平台等协同工作,从而打造更灵活的端到端数据中心解决方案。