数据中心解决方案.ppt

数据中心解决方案,2019/4/17,Page 2,Contents,总体网络概述 数据中心业务实现 高可靠性 安全保护,数据中心网络概览,Page 3,三网分离的数据中心网络,业务网络、管理网络和备份网络流量分离，服务器通过不同的网卡分别接入不同的网络，通过数据中心骨干网络进行互联 分离的网络可以保证数据中心网络的高性能及高安全性，同时方便管理,Page 4,数据中心管理网络,管理网络全部采用单链路实现 服务器支持带内管理（网卡）和带外管理（KVM网络） 运维中心可以通过KVM直接管理数据中心里的服务器，也可以通过KVM操作网管系统，通过带内网管间接管理数据中心里的服务器,Page 5,数据中心存储备份网络,存储支持SAN和NAS存储，满足不同的业务需要（数据库和文件级） 备份时，服务器使用一个网卡连接备份网络，使用NAS存储时，可复用此网卡 备份网络一般通过GE/10GE/DWDM光纤网络连接二级数据中心进行异地数据备份，当然也可以直接进行本地备份,Page 6,数据中心业务网络典型组网模式,网络架构采用业界成熟的三层架构：接入、汇聚、核心 防火墙和负载均衡器采用外挂汇聚层交换机的方式进行部署，网络层次简单，高靠性,Page 7,T bit路由交换平台 10G接口连接外网 :9300/NE40E,FW、负载均衡器 IPS/IDS在此部署， 保证网络安全， 提高网络效率 :5300/9300,G bit数据接入， 大容量考虑引入堆叠 及上行端口聚合 ：5300系列,弹性的网络架构,接入层和汇聚层可以根据需要进行扩展 大型网络采用分区设计，共享一个核心层；整个网络分步建设、方面数据中心扩容及管理 交换机堆叠、链路聚合技术使网络扩容更加方便,Page 8,交换与路由层次划分,汇聚层交换机二层和三层网络的分界点，上面为三层路由，下面为二层交换 使用负载均衡的服务器，网关在负载均衡器，不使用负载均衡的服务器，网关在防火墙,Page 9,服务器的分区设计,服务器群根据业务的不同分为不同的业务区域，逻辑进行业务隔离 保障安全，防止跨区的越权访问和入侵、病毒感染 根据业务重要性的不同进行分区，可以提供不同的网络服务水平，提供QOS保障 多个业务区可共享一个汇聚层模块，也可能一个业务区应用多个汇聚层模块,Page 10,不同类型服务器的接入位置,中低端机架服务器，数量众多，通过接入层交换机接入； 高端服务器/大型机，数量较少且重要性高，直接接在汇聚层交换机上，保证带宽； 没有内置交换机的刀片服务器，通过接入层交换机接入； 内置交换机的刀片服务器，直接接在汇聚层交换机上，减少交换网络的层级，提升网络性能；,Page 11,高端服务器/大型机,服务器的三层架构,基于Web的应用程序一般采用Web、application、database 三层架构，各层之间通过防火墙进行安全隔离；处于性能考虑，web-app-db之间可以采取ACL实现 三种不同类型的服务器网络连接采用不同的VLAN来识别 三个VLAN的流量都经过负载均衡和防火墙，所以负载均衡和防火墙可以为三个层次所共用 三个层次也可以直接用物理网络进行划分，服务器之间部署交换机，同时附带防火墙和均衡器，网络层次过多，成本高，不推荐使用,Page 12,Page 13,Contents,总体网络概述 数据中心业务实现 高可靠性 安全保护,统一的数据业务承载,在同一组网模型下满足3种不同用户对防火墙和负载均衡器的需要,Page 14,防火墙和负载均衡部署,防火墙对内隔离不同的VLAN，提供三个VLAN接口（子接口），分别对应WEB、APP和DB,对外隔离不同的分区，通常有一个或多个接口（子接口），对应所属的分区VPN，如IDC分区的IDC VPN 或Internet 负载均衡对内对外都只有3接口（或子接口），分别对应WEB、APP、DB三个VLAN 负载均衡根据需要进行部署，单台服务器时 或者 APP与DB之间可能APP本身就进行了均衡操作，此时数据流不需要通过物理负载均衡器,Page 15,业务流流程逻辑设计,Internet Web，经过物理防火墙和负载均衡器 9 7 6 2 Web App，ACL作安全，经过负载均衡器 1 8 3 App DB，ACL作安全，不经过负载均衡 4 5,Page 16,业务流流程物理设计,Page 17,Internet Web，经过物理防火墙和负载均衡器 9 7 6 6 6 2 Web App，ACL作安全，经过负载均衡器 1 8 8 3 App DB，ACL作安全，不经过负载均衡 4 5,MPLS VPN 实现区域隔离和多站点互访,不同站点的同一分区间可以可以实现安全的互连互通，与在同一局域网无差别。这样可以连通位于不同城市的机房，消除信息孤岛。 同一类型的业务可以分布式部署在不同的站点，增加业务部署的灵活性 不同的分区间通过MPLS VPN实现路由的隔离，比只采用防火墙做隔离大大增加了安全性,Page 18,同一站点和不同站点间的跨区域访问,同一站点及不同站点的不同分区间的相互访问必须绕行Internet（物理上绕行核心路器）和经过防火墙的安全过滤 将来自其它区域访问当作来自Internet的访问，由防火墙过滤，确保安全,Page 19,数据中心虚拟化实现,分区的服务器属于不同的MPLS VPN，汇聚层的防火墙、负载均衡器通过虚拟化分别对应不同的MPLS VPN，实现同一设备为多个分区所共享 虚拟化实现资源合理分配，加强了可靠性，在某一分区遭受攻击，资源紧张的情况下，其它分区仍可以正常工作,Page 20,交换机虚拟化multi-VRF（MCE）,汇聚交换机通过部署multiVRF，把路由表分成多个逻辑路由，实现不同分区的三层业务隔离 转发引擎通过VPN ID索引不同的路由表，根据目的IP转发到上行口 配合防火墙和负载均衡的虚拟化实现汇聚层不同业务分区的业务隔离,Page 21,MPLS VPN起始点,QOS设计,总体上分6个优先级。 管理流量最高标记为5（EF） 其他按照业务重要程度和与客户签订的SLA来确定优先级等级 自有业务标记4（AF4）、3（AF3） 大客户金牌2 （AF2） 、银牌1 （AF1） 其他为0（BE）,Page 22,Page 23,Contents,总体网络概述 数据中心业务实现 高可靠性 安全保护,接入层可靠性设计,接入交换机到汇聚采用三角型的组网 汇聚层的防火墙、负载均衡器等设备可以为多个接入层交换机对所共用 冗余链路，倒换时间短 VLAN可以跨接入交换机，灵活性高，方便部署 可靠性： STP/RSTP/MSTP Smart Link/Monitor Link Loopback detection 服务器多网卡接入,Page 24,STP二层可靠性保护,VLAN trunk实现接入交换机之间的二层互通 MSTP破环防止转发风暴，同时应用多生成树实例，实现负载均衡 秒级的故障恢复 BPDU保护，防止边缘端口恶意攻击导致重新计算生成树 环路保护， 防止由于网络拥塞导致BPDU没有及时传送引起端口状态切换产生环路 根桥保护，保护根桥的指定端口免受虚假BPDU攻击导致状态切换 TC（topology change）保护，防止频繁的TC_BPDU报文导致ARP和MAC反复删除，引起CPU过载,Page 25,Smart link双归可靠性保护,Page 26,接入交换机双链路上行到汇聚交换机，实现双归保护 50ms的链路切换，双归应用场景可取代MSTP实现高可靠链路保护 独有的monitor link特性，可检测到汇聚交换机上行链路的端口状态（port3故障） 多Smart link实例实现业务的负载均衡,DLDP 和 环路检测,二层网络交换机各端口之间部署DLDP（device link detection protocol），用于检测单向链路是否存在 在部署STP的情况下，推荐部署，用于确保生成树正确，不发生环路 端口环路检测（Loopback detection），部署在接入交换机与服务器相连端口，防止用户组网或配置出现错误,Page 27,NIC Teaming 实现服务器多网卡捆绑,服务器双链路上行，实现双归保护 网络驱动程序将多个网卡捆绑成一个网卡 一个网卡失效，另一个接管它的MAC地址 服务器使用同一个IP进行访问,Page 28,汇聚层可靠性VRRP,汇聚交换机之间配置多个VRRP组实现备份和负载分担 负载均衡设备和防火墙之间分别建立VRRP组实现备份 上述VRRP组的心跳通过汇聚交换机之间的Trunk链路进行交互 BFD实现加快VRRP组心跳检测，实现50ms快速倒换,Page 29,VRRP条件下的故障切换,二层双归保护可以是MSTP或者Smart link 防火墙故障处理同负载均衡器 防火墙和负载均衡器同汇聚交换机之间的保护通过链路聚合完成,Page 30,链路聚合,聚合分为两种：静态聚合，动态聚合（LACP） 提供更高的带宽，同时进行负载分担 链路备份，提高可靠性,Page 31,核心层网络拓扑,对于中小型网络，推荐双核心备份 对于大型或可靠性要求较高的网络推荐环形组网（RRPP） 50ms的快速倒换 根据VLAN进行负载分担 三层网络可靠性通过IGP FC（路由快速收敛）实现秒级路由收敛,Page 32,Page 33,Contents,总体网络概述 数据中心业务实现 高可靠性 安全保护,安全设施部署保证内部业务网络安全,防火墙对非法报文进行过滤，同时通过双防火墙设计提升安全可靠性 IDS对所有的流量进行分析，发现异常，精确辨认攻击，向网络管理员上报告警；IDS建立相应的策略，配合防火墙进行工作 IPS可以对数据报文进行L2L7的深度检测，对蠕虫、病毒、DOS/DDOS等攻击进行防范，实现自动