数据中心解决方案ppt课件.ppt

数据中心解决方案 2020 4 2 1 Page2 Contents 总体网络概述数据中心业务实现高可靠性安全保护 2 数据中心网络概览 Page3 3 三网分离的数据中心网络 业务网络 管理网络和备份网络流量分离 服务器通过不同的网卡分别接入不同的网络 通过数据中心骨干网络进行互联分离的网络可以保证数据中心网络的高性能及高安全性 同时方便管理 Page4 4 数据中心管理网络 管理网络全部采用单链路实现服务器支持带内管理 网卡 和带外管理 KVM网络 运维中心可以通过KVM直接管理数据中心里的服务器 也可以通过KVM操作网管系统 通过带内网管间接管理数据中心里的服务器 Page5 5 数据中心存储备份网络 存储支持SAN和NAS存储 满足不同的业务需要 数据库和文件级 备份时 服务器使用一个网卡连接备份网络 使用NAS存储时 可复用此网卡备份网络一般通过GE 10GE DWDM光纤网络连接二级数据中心进行异地数据备份 当然也可以直接进行本地备份 Page6 6 数据中心业务网络典型组网模式 网络架构采用业界成熟的三层架构 接入 汇聚 核心防火墙和负载均衡器采用外挂汇聚层交换机的方式进行部署 网络层次简单 高靠性 Page7 Tbit路由交换平台10G接口连接外网 9300 NE40E FW 负载均衡器IPS IDS在此部署 保证网络安全 提高网络效率 5300 9300 Gbit数据接入 大容量考虑引入堆叠及上行端口聚合 5300系列 7 弹性的网络架构 接入层和汇聚层可以根据需要进行扩展大型网络采用分区设计 共享一个核心层 整个网络分步建设 方面数据中心扩容及管理交换机堆叠 链路聚合技术使网络扩容更加方便 Page8 8 交换与路由层次划分 汇聚层交换机二层和三层网络的分界点 上面为三层路由 下面为二层交换使用负载均衡的服务器 网关在负载均衡器 不使用负载均衡的服务器 网关在防火墙 Page9 9 服务器的分区设计 服务器群根据业务的不同分为不同的业务区域 逻辑进行业务隔离保障安全 防止跨区的越权访问和入侵 病毒感染根据业务重要性的不同进行分区 可以提供不同的网络服务水平 提供QOS保障多个业务区可共享一个汇聚层模块 也可能一个业务区应用多个汇聚层模块 Page10 10 不同类型服务器的接入位置 中低端机架服务器 数量众多 通过接入层交换机接入 高端服务器 大型机 数量较少且重要性高 直接接在汇聚层交换机上 保证带宽 没有内置交换机的刀片服务器 通过接入层交换机接入 内置交换机的刀片服务器 直接接在汇聚层交换机上 减少交换网络的层级 提升网络性能 Page11 高端服务器 大型机 11 服务器的三层架构 基于Web的应用程序一般采用Web application database三层架构 各层之间通过防火墙进行安全隔离 处于性能考虑 web app db之间可以采取ACL实现三种不同类型的服务器网络连接采用不同的VLAN来识别三个VLAN的流量都经过负载均衡和防火墙 所以负载均衡和防火墙可以为三个层次所共用三个层次也可以直接用物理网络进行划分 服务器之间部署交换机 同时附带防火墙和均衡器 网络层次过多 成本高 不推荐使用 Page12 12 Page13 Contents 总体网络概述数据中心业务实现高可靠性安全保护 13 统一的数据业务承载 在同一组网模型下满足3种不同用户对防火墙和负载均衡器的需要 Page14 14 防火墙和负载均衡部署 防火墙对内隔离不同的VLAN 提供三个VLAN接口 子接口 分别对应WEB APP和DB 对外隔离不同的分区 通常有一个或多个接口 子接口 对应所属的分区VPN 如IDC分区的IDCVPN或Internet负载均衡对内对外都只有3接口 或子接口 分别对应WEB APP DB三个VLAN负载均衡根据需要进行部署 单台服务器时或者APP与DB之间可能APP本身就进行了均衡操作 此时数据流不需要通过物理负载均衡器 Page15 15 业务流流程逻辑设计 Internet Web 经过物理防火墙和负载均衡器9 7 6 2Web App ACL作安全 经过负载均衡器1 8 3App DB ACL作安全 不经过负载均衡4 5 Page16 16 业务流流程物理设计 Page17 Internet Web 经过物理防火墙和负载均衡器9 7 6 6 6 2Web App ACL作安全 经过负载均衡器1 8 8 3App DB ACL作安全 不经过负载均衡4 5 17 MPLSVPN实现区域隔离和多站点互访 不同站点的同一分区间可以可以实现安全的互连互通 与在同一局域网无差别 这样可以连通位于不同城市的机房 消除信息孤岛 同一类型的业务可以分布式部署在不同的站点 增加业务部署的灵活性不同的分区间通过MPLSVPN实现路由的隔离 比只采用防火墙做隔离大大增加了安全性 Page18 18 同一站点和不同站点间的跨区域访问 同一站点及不同站点的不同分区间的相互访问必须绕行Internet 物理上绕行核心路器 和经过防火墙的安全过滤将来自其它区域访问当作来自Internet的访问 由防火墙过滤 确保安全 Page19 19 数据中心虚拟化实现 分区的服务器属于不同的MPLSVPN 汇聚层的防火墙 负载均衡器通过虚拟化分别对应不同的MPLSVPN 实现同一设备为多个分区所共享虚拟化实现资源合理分配 加强了可靠性 在某一分区遭受攻击 资源紧张的情况下 其它分区仍可以正常工作 Page20 20 交换机虚拟化multi VRF MCE 汇聚交换机通过部署multi VRF 把路由表分成多个逻辑路由 实现不同分区的三层业务隔离转发引擎通过VPNID索引不同的路由表 根据目的IP转发到上行口配合防火墙和负载均衡的虚拟化实现汇聚层不同业务分区的业务隔离 Page21 MPLSVPN起始点 21 QOS设计 总体上分6个优先级 管理流量最高标记为5 EF 其他按照业务重要程度和与客户签订的SLA来确定优先级等级自有业务标记4 AF4 3 AF3 大客户金牌2 AF2 银牌1 AF1 其他为0 BE Page22 22 Page23 Contents 总体网络概述数据中心业务实现高可靠性安全保护 23 接入层可靠性设计 接入交换机到汇聚采用三角型的组网汇聚层的防火墙 负载均衡器等设备可以为多个接入层交换机对所共用冗余链路 倒换时间短VLAN可以跨接入交换机 灵活性高 方便部署可靠性 STP RSTP MSTPSmartLink MonitorLinkLoopbackdetection服务器多网卡接入 Page24 24 STP二层可靠性保护 VLANtrunk实现接入交换机之间的二层互通MSTP破环防止转发风暴 同时应用多生成树实例 实现负载均衡秒级的故障恢复BPDU保护 防止边缘端口恶意攻击导致重新计算生成树环路保护 防止由于网络拥塞导致BPDU没有及时传送引起端口状态切换产生环路根桥保护 保护根桥的指定端口免受虚假BPDU攻击导致状态切换TC topologychange 保护 防止频繁的TC BPDU报文导致ARP和MAC反复删除 引起CPU过载 Page25 25 Smartlink双归可靠性保护 Page26 接入交换机双链路上行到汇聚交换机 实现双归保护50ms的链路切换 双归应用场景可取代MSTP实现高可靠链路保护独有的monitorlink特性 可检测到汇聚交换机上行链路的端口状态 port3故障 多Smartlink实例实现业务的负载均衡 26 DLDP和环路检测 二层网络交换机各端口之间部署DLDP devicelinkdetectionprotocol 用于检测单向链路是否存在在部署STP的情况下 推荐部署 用于确保生成树正确 不发生环路端口环路检测 Loopbackdetection 部署在接入交换机与服务器相连端口 防止用户组网或配置出现错误 Page27 27 NICTeaming实现服务器多网卡捆绑 服务器双链路上行 实现双归保护网络驱动程序将多个网卡捆绑成一个网卡一个网卡失效 另一个接管它的MAC地址服务器使用同一个IP进行访问 Page28 28 汇聚层可靠性VRRP 汇聚交换机之间配置多个VRRP组实现备份和负载分担负载均衡设备和防火墙之间分别建立VRRP组实现备份上述VRRP组的心跳通过汇聚交换机之间的Trunk链路进行交互BFD实现加快VRRP组心跳检测 实现50ms快速倒换 Page29 29 VRRP条件下的故障切换 二层双归保护可以是MSTP或者Smartlink防火墙故障处理同负载均衡器防火墙和负载均衡器同汇聚交换机之间的保护通过链路聚合完成 Page30 30 链路聚合 聚合分为两种 静态聚合 动态聚合 LACP 提供更高的带宽 同时进行负载分担链路备份 提高可靠性 Page31 31 核心层网络拓扑 对于中小型网络 推荐双核心备份对于大型或可靠性要求较高的网络推荐环形组网 RRPP 50ms的快速倒换根据VLAN进行负载分担三层网络可靠性通过IGPFC 路由快速收敛 实现秒级路由收敛 Page32 32 Page33 Contents 总体网络概述数据中心业务实现高可靠性安全保护 33 安全设施部署保证内部业务网络安全 防火墙对非法报文进行过滤 同时通过双防火墙设计提升安全可靠性IDS对所有的流量进行分析 发现异常 精确辨认攻击 向网络管理员上报告警 IDS建立相应的策略 配合防火墙进行工作IPS可以对数据报文进行L2 L7的深度检测 对蠕虫 病毒 DOS DDOS等攻击进行防范 实现