业务就绪数据中心架构中的数据中心网络分区解决方案

解决方案概述 企业数据中心需要对容许传输的数据流量进行路径控制。 访问互联网应用的外部客户端通常会连接 到一个 Web 服务器群集。这些 Web 服务器随后将访问位于企业网络中不同位置的应用服务器、大 型机或者数据库。提供基于 Web 应用的公司并不希望外部客户端直接访问应用大型机或者数据库。 同样，普通的企业员工具有访问 Web 服务器的权限，而只有开发人员才能够访问应用服务器和数 据库服务器。 这些控制通常是通过路由器或者防火墙上的访问控制列表 （ACL） 实现的。 对于小型服务器群而言， 防火墙的使用可以简化 ACL 的配置，因为“静态”网络地址解析（NAT）配置可以控制穿越防火 墙的流量路径。这种方法的局限在于服务器群需要物理上紧密靠近防火墙，以便单个防火墙可以为 多个服务器群集控制流量路径。 这种方式不适用于像银行这样的大型企业客户。 在这种环境中， 每个服务器群集都是一个独立的 “构 成模块” （依据思科系统公司在多层设计中使用的术语） 。这意味着每个服务器群集都采用两个分布 层路由器连接到一个核心。 对于这种环境，ACL 通常配置在分布层路由器上，来限制到经授权对象的访问。这项工作通常非常 繁重，因为随着访问列表的逐渐增大，越来越难以理解它们的“意义” 。 解决这个问题的办法之一是使用多协议标签交换（MPLS ）VPN，它可以控制哪些“构成模块”的 可以相互通信。 流量的路径控制是基于路由功能而不是 ACL。 增加的安全保障可以通过访问列表来 提供。 在数据网络基础架构和存储基础架构中分别创建逻辑分区，然后将其结合在一起形成独立的、安全 的分区，这一能力可能会极大对现代的数据中心带来变革。安全是所有 IT 网络专业人员最关心的 问题之一，建立逻辑分区和把他们对应到 VPN 上的手段是一种功能强大的网络设计工具。Cisco Catalyst 6500 系列产品具有创建二层、三层 VLAN 的功能，它们可以对应到多个并行的 VPN 路由 和转发情况。这让网络管理人员能够利用同一套网络基础设施支持多个虚拟网络。这种能力可以被 用于将一个第二层广播域或者 VLAN 映射到 Cisco MDS 9500 多层导向器建立的一个虚拟存储局域 网（VSAN） ，从而在存储设备和服务器之间实现透明的、安全的通信。这种功能可以解决一些常见 的网络复杂性问题，例如 IP 地址的重叠和在同一套网络基础设施上隔离不同的网络设备（譬如隔 离同一个网络上的不同业务部门） 。 MPLS VPN 还可以用于其他场合，例如将使用同一套服务的用户加入到同一个网段中，同时允许在 网络基础设施的某个公共节点共享这些服务。例如，管理人员可以在接入层将拥有类似服务需求的 用户进行逻辑上的划分，同时又在不需要区分用户的数据中心将他们合并到一起。 业务就绪数据中心架构中的数据中心网络分区业务就绪数据中心架构中的数据中心网络分区 解决方案 业务就绪数据中心架构中的数据中心网络分区业务就绪数据中心架构中的数据中心网络分区 MPLS 为客户提供了部署多种高度可扩展的、灵活的网络设计的能力。Cisco Catalyst 6500 系列交换 机和 Cisco MDS 系列存储交换机可以提供和利用这些服务， 部署符合未来需要的、 先进的数据中心。 方法论 数据中心网络为 IT 组织架构提供了一个基础平台，支持业务目标的实现。从分析这些目标和它们 对网络的功能需求开始的方法论是成功的重要因素。本文的内容组织主要围绕着下面这两个目标： ? 共享已经在别处获得成功应用的技术，确定它们对你机构的可用性和有效性，来修正设计方案 和支持数据中心方面运行。 ? 将部署和运营模板追朔到推动作用的业务目标，进一步说明本文介绍的数据中心的立论。 这个方法论当在你自己的机构内部被实施时， 本流程最终可能不会形成一个完善的设计方案或者部 署计划，即使您已经制定了一个具体的目标。本文的主要目的是定义一个框架，指导未来的数据中 心规划、设计，产品和服务的选择和部署，以及运营支持。 这个框架包括三个领域： ? 业务目标和功能要求 ? 技术选择 ? 部署和运营模板 业务目标和功能要求 不同企业的业务目标可能会有所不同，因此在 IT 和使用网络服务的业务部门之间开展积极有效的 对话是必要的。这样做的目的是了解业务部门的需求、成本目标、风险承受能力和应用需求。不过， 大部分大型机构可能都面临着一些相同的问题。图 1 对 Infonetics Research 在 2003 年开展的一项调 查的结果进行了总结。 它列出了机构在数据中心方面共同关注的问题从业务目标到对数据中心 的功能要求。本调查提供了对常见问题的深入剖析。 图图 1 数据中心调查 安全 性能 数据中心资源的可用性 控制 管理的方便性 总拥有成本 对于托管服务供应商的信任 部署速度 企业策略 百分比 来源：Infonetics 2003 年度数据中心调查 业务就绪数据中心架构中的数据中心网络分区业务就绪数据中心架构中的数据中心网络分区 技术选择 技术的选择应该是对实现业务目标和满足功能要求的最佳工具的挑选。例如，在 LAN 技术领域， 相对于几年前常见的光纤分布式数据接口（FDDI）和令牌环网技术相比，市场目前更加倾向于千 兆位和万兆位以太网。 至于SAN延伸领域， 光纤通道是常见的选择， 但是iSCSI和IP光纤通道 （FCIP） 通过提供不同的成本结构和不同的优势，弥补了光纤通道的不足。只要我们将技术选择的原因对应 到业务目标和功能需求的基础上，就不难选出最佳的技术。 部署和运营模板 部署和运营模板包括： ? 物理和逻辑拓扑的结构图 ? 最佳实践指南和设备配置实例 ? 部署最佳实践、时间安排和项目计划 ? 服务水平协议 ? 运营支持模式 实际上，这包括了建设网络和指导未来设计所需要的全部。它包括必须定期改进以保持有效性的网 络未来战略蓝图以及对某个特定阶段或者没有明确阐述的项目的部署细节。 思科根据广泛的测试和验证，编写了一套数据中心设计最佳实践文档。本文最后的参考文献部分提 供了这些详细文档的链接。 业务目标 成功的机构必须能够迅速地适应变化。从功能上说，这意味着利用 IT 基础设施支持业务目标。迅速 地、经济地适应变化的能力需要一个由网络和存储设备共同构成的基础设施。这些设备配合到一起发 挥的作用应当大于各个组件单独发挥作用的总和。现代数据中心（如图 2 所示）几乎总是要保持 24 小时的运行，不容许任何停机。支持数据中心的设备必须具有很高的可用性，允许在不导致系统中断 的情况下进行改动。另外，企业越来越需要在不同的业务单位或者部门之间以逻辑方式共享数据中心 资源。安全地对数据中心进行分段和在网络、存储组件之间实现网络连续性的能力让不同的机构可以 利用同样高度可用的基础设施，以更低的成本不间断地保护数据中心的正常连续运行。 图图 2： 逻辑网络基础设施 城域网络 DWDM/ SONET/以太网 磁带 大型机 IP 通信 应用优化 数据库 服务器 SSL 第 2/3 层 应用 服务器 光纤 通道 SAN 存储网络 多层应用 Web 服务器 IP 网络基础设施 安全 1 防火墙 缓存 运营 远程数据中心 WAN/互联网 WAN/互联网 备用数据中心 内容 交换机 业务就绪数据中心架构中的数据中心网络分区业务就绪数据中心架构中的数据中心网络分区 Cisco Catalyst 6500 系列交换机在与 Cisco MDS 系列存储产品结合时，可以在现代数据中心中具备 多个虚拟路由和转发情况。 图2显示了连接到第二层、 第三层IP网络基础设施 （由Cisco Catalyst 6500 系列交换机构成）和后端存储网络（Cisco MDS 存储交换机）的服务器群。网络和存储基础设施的 虚拟化可以通过建立多个并行的、透明的、安全的重叠网络（每个代表一个 VPN） ，扩展这个数据 中心环境。根据指定环境的具体需要，这些 VPN 可以在第二层（数据链路层）和第三层（网络层） 建立。这可以实现多种网络设计方案，包括集成本地和远程数据中心无论设备之间的距离是近 是远。 配有一个 Cisco Catalyst 6500 系列 Supervisor Engine 720 的 Cisco Catalyst 6500 系列交换机可以提供 基于 MPLS 的 VPN。 越来越多的企业需要在一个共享式网络基础设施中提供专用网络。 MPLS VPN 在一定程度上可以满足这种需要。这些虚拟网络不仅可以共享同一个基础设施，而且还可以在任何 一个 VPN 中提供任意任意的连接，以及在不同的 VPN 之间保持安全的数据隔离。 确定这个解决方案是否适用于某个特定环境的主要依据包括： ? 机构的规模有多大？ ? 是否存在为某个共同基础设施提供分段功能的业务或者技术需要？ ? 网络的分段隔离是在 2 层还是 3 层？ ? 目前使用的 IP 寻址方式是否允许不同实体之间的 IP 重叠？ ? 用户是否都拥有同等的服务器资源访问权限？ 技术解决方案 思科提供的很多产品都有助于实现平稳的端到端部署。 思科提供了多种采用了可靠连接解决方案和 具有嵌入式智能的高性能产品。它们不仅可以互相操作，而且还为下一代服务平台的部署提供了一 个基础。这些范围广泛的思科产品可以为一个安全、高度可用、可靠、可扩展的数据中心和服务器 群集部署奠定基础。 两种可以提供以太网和光纤通道交换平台的思科产品是 Cisco Catalyst 6000 系列和 Cisco MDS 9000 系列。这些平台集成了思科率先推出的 VLAN 和 VSAN 技术等特有功能，可以提供增强的可扩展 性、安全性和灵活的“无需移动电缆”配置。增强的管理和诊断功能设计在这些平台中，让企业能 够提供和管理他们所承诺的 SLA。 Cisco Catalyst 6000 系列的主要特性 Cisco Catalyst 6000 系列是一个智能交换平台，可以提供市场领先的服务、性能、端口密度和可用 性，同时能够为企业和服务供应商市场提供投资保护。它的主要特性包括： ? 最大限度的网络正常运行时间在此平台上、电源、Supervisor Engine、交换矩阵和集成化网 络服务，冗余性可以提供 1 到 3 秒的状态保留故障切换以及在一个融合式网络环境中提供应 用和服务的连续性，最大限度地减少关键任务型数据和服务的中断。 ? 全面的网络安全这项特性可以在现有网络中集成经过验证的多千兆级思科安全解决方 案，包括入侵检测、防火墙、VPN 和安全套接字层（SSL） 。 ? 可扩展的性能这项特性可以利用分布式转发架构提供高达 400Mpps 的性能。 ? 可以保护投资的前瞻性架构这种架构可以在同一个机箱中支持三代可互换的热交换模 块，优化 IT 基础设施的利用率，最大限度地增加投资回报，并降低总拥有成本（TCO） 。 ? 运营一致性这项特性可以让 3、6、9 和 13 插槽机箱配置共用同一组模块、Cisco IOS 软 业务就绪数据中心架构中的数据中心网络分区业务就绪数据中心架构中的数据中心网络分区 件、Cisco Catalyst 操作系统和可能部署在网络中任何位置的网络管理工具。 ? 出色的服务集成和灵活性该系统可以将先进的服务（例如安全和内容）与融合式网络结 合到一起， 提供市场上范围最广泛的接口和密度从 10/100 和 10/100/1000 以太网到 10Gb； 从 DS-0 到 DS-48。它可以端到端地支持任何部署。 Cisco MDS 9000 系列的特性 ? 高可用性导向器Cisco MDS 9500 系列结合了不间断软件升级、状态保留重启和故障切换， 以及所有主要组件的完全冗余，因而为导向器级可用性树立了新的标准。它最多可以在单个机 箱中支持 224 个 2/1Gbps 自动感应光纤通道端口，并可以在单个机架中支持 768 个光纤通道端 口1.44Tbps 的内部系统带宽确保用户可以平稳地集成未来的 10Gbps 模块。 ? 业界最灵活的矩阵交换机Cisco MDS 9216 多层网络交换机最多可以在单个矩阵交换配置 中支持 48 个 2/1Gbps 自动感应光纤通道端口。它的模块化设计提供了一个 3 机架单元（RU） 系统，其中包括 16 个 2/1Gbps 自动感应光纤通道端口。通过多种可选的 Cisco MDS 9000 系列 交换模块，它可以扩充到 48 个光纤通道端口。 ? 经济有效的智能矩阵Cisco MDS 9100 多层网络交换机可以通过一个紧凑的 1RU 机型，提 供成本、性能和企业级功能的完美平衡。具有 20 和 40 端口配置的 Cisco MDS 9100 多层网络 交换机可以满足中小型企业级存储环境对于成本、性能、可管理性和连通性的需求，同时还可 以完全兼容 Cisco MDS 9500 多层导向器，能够在大型数据中心核心边缘部署中实现端到端 的服务。 ? 先进的架构Cisco MDS 9000 系列架构可以提供通用的交换模块。它们可以被移植到 Cisco MDS 9500 系列的任何机型中或者 Cisco MDS 9216 多层网络交换机中。 ? 基于 TCO 的设计Cisco MDS 9000 系列所提供的高级管理工具可以降低总体 TCO。 它为单 个物理矩阵中的、基于硬件的隔离环境提供了 VSAN 技术，可以确保物理基础设施的共享，从 而进一步降低 TCO。 ? 多协议和多传输架构Cisco MDS 9000 系列的多层架构可以在一个与协议无关的交换矩阵 上支持一套统一的功能集。Cisco MDS 9500 多层导向器和 Cisco MDS 9216 多层网络交换机可 以在同一个系统中透明地集成光纤通道、iSCSI 和 FCIP。这些交换机的灵活架构有助于集成未 来的存储协议。 ? 智能网络服务Cisco MDS 9000 系列提供了 VSAN 技术，针对基于硬件的智能帧处理的 ACL，以及多种高级流量管理功能，例如光纤通道拥塞控制和覆盖整个矩阵的服务质量，从而 可以实现从 SAN 孤岛往整个企业的存储网络的转变。 ? 针对智能存储服务的开放平台Cisco MDS 9000 系列为托管智能存储服务提供了一个开放 的平台。这些服务包括基于网络的虚拟化和复制等。 ? 全面的安全框架Cisco MDS 9000 系列支持 RADIUS 身份验证、简单网络管理协议版本 3、 基于角色的访问控制、Secure Shell (SSH) 协议、安全文件传输协议、光纤通道安全协议、硬件 分区、逻辑单元编号分区、只读分区、ACL、端口安全和基于 VSAN 的访问控制等。 ? 先进的诊断功能Cisco MDS 9000 系列在业界率先推出了智能诊断、 协议、 解码和网络分析 工具，以及集成化的回呼功能，从而可以提供更高的可靠性、迅速解决问题的能力和更低的服 务成本。 ? 统一的存储管理Cisco MDS 9000 系列包括内置的存储管理功能。 所有这些功能都可以通过 一个命令行界面或者思科矩阵管理器实现。思科矩阵管理器是一种集中式管理工具，可以简化 对多个交换机和矩阵的管理。 ? 业界性能最高的交换机互联Cisco MDS 9000 系列最多可以在单个端口通道上支持 16 个 业务就绪数据中心架构中的数据中心网络分区业务就绪数据中心架构中的数据中心网络分区 2-Gbps 连接它们可以覆盖任何模块上的任何端口，从而提高可扩展性和永续性。 ? 灵活性和投资保护Cisco MDS 9000 系列可以在所有 Cisco MDS 9500 系列产品和 Cisco MDS 9216 多层矩阵交换机之间共享通用的交换模块。基础设施保护是通过在所有 Cisco MDS 9000 系列平台中使用统一的软件版本而提供的。 解决方案架构 图 3 显示了这个功能强大的、高度灵活的架构的构建方式，并在下面对其进行了详细的说明。 Cisco Catalyst 6500 系列交换机可以生成不同的虚拟路由和转发情况。而且，在与 Cisco MDS 系列 存储交换机结合时，它可以提供一个覆盖前端和后端系统的、功能强大的架构。图 3 显示了连接到 第二层、第三层 IP 网络基础设施（由 Cisco Catalyst 6500 系列交换机构成）和后端存储网络（Cisco MDS 存储交换机）的服务器群。网络和存储基础设施的虚拟化可以通过建立多个并行的、透明的、 安全的重叠网络（每个代表一个 VPN） ，扩展这个数据中心环境。根据指定环境的具体需要，这些 VPN 可以在第二层 （数据链路层） 和第三层 （网络层） 建立。 某个指定的 VPN 通常被称为一个 VRF （虚拟路由转发器） ，以表示它在公用路由基础设施中的唯一性。这可以实现多种网络设计方案， 包括集成本地和远程数据中心无论设备之间的距离是近是远。 配有一个 Supervisor Engine 720 的 Cisco Catalyst 6500 系列交换机可以提供多达 1000 个基于 MPLS 的 VPN。MPLS VPN 让共享基础设施可以同时为多个拥有重叠的 IP 地址和不同的服务策略要求的 虚拟网络提供连接。这些虚拟网络不仅可以共享同一个基础设施，而且还可以在任何一个 VPN 中 提供任意任意的连接，并在不同的 VPN 之间保持安全的数据隔离。 图 2 显示了这种技术的一个具体应用。它形象地表明了大中型数据中心的主要组成部分。数据中心 存在多种服务器，每个服务于一种独特的用途，而且每个都需要内部和外部用户群体具有不同的访 问权限。通常，用户及其权限的分类是通过路由器或者防火墙上的 ACL 实现的。但是，应用及其 所在的服务器划分得越细，就越难在保持必要分段的情况下成功地部署适当的访问控制策略。通过 部署 VPN，用户可以更加轻松地为特定的应用及其相关资源建立一个重叠网络。这时，仍然可以采 用基于 ACL 的安全保护，以建立一个额外的保护层。在图 2 中，一个共用的 VPN 被大型机和应用 图图 3 解决方案架构 企业园区 WAN 边缘 Web 服务 应用 服务器 大型机 核心 业务就绪数据中心架构中的数据中心网络分区业务就绪数据中心架构中的数据中心网络分区 服务器（VPN-B）所共享，用于双向通信，但对其他用户或者应用的访问是禁止的。这些通信都局 限于 VPN-B 内部，这代表了这个位于共用基础设施上方的专用网络所要求的特定策略。 图 2 显示了另外一些例子。 VPN-C 允许对万维网服务的外部访问。 它们可以访问必要的应用数据库 服务。另外一个 VPN 以 VPN-D 的形式显示，它让内部用户能够以不同于外部用户的策略和地址访 问万维网服务。 这些不同的 VPN 为网络内部的设备提供了独特的服务。否则，这些服务只能在全局共享基础设施 中才能实现。它们的特性包括： ? 防火墙服务的虚拟化可以集成一个 5Gbps 的防火墙服务模块。 它可以在逻辑上设置多个防 火墙环境，每个代表一个指定的 VPN。这可以提供一个高度可扩展的、高性能的选项，否则这 将需要大量的独立设备。 ? 路由协议边界网关协议（BGP） 、开放最短路径优先协议（OSPF）和路由信息协议（RIP） 。 ? 标准和扩展 ACL为第三层和第四层流量提供额外的保护层。 ? 单播反向路径转发防范分布式拒绝服务攻击。 ? 热备用路由器协议在某个指定网段中提供高度可用的路由资源。 ? 支持最大 9Kb 的巨型帧实现高性能的数据传输。 ? 交换端口分析工具通过流量监控诊断网络故障。 ? VLAN ACL能够在第二层拦截流量。 ? 思科发现协议发现相邻的思科设备。 基础设施中的共享设备可以弥补这些虚拟化设备的不足，例如服务器负载平衡、SSL 卸载和入侵检 测设备等。这些设备可以通过适当的网络配置，在不同的 VPN 之间共享，从而在不牺牲这种解决 方案所提供的划分水平的情况下，最大限度地利用资源。 通过思科的其他创新技术 （例如 VSAN） ， 存储基础设施能够与 Cisco MDS 9000 系列存储设备上的、 以数据中心的应用结合到一起。 VSAN 可以弥补 VLAN 的不足， 在服务器的后端实现存储设备的虚