数据中心网络建设方案模版

数据中心网络建设方案目录第一章数据中心现状分析4第二章数据中心网络技术分析42.1路由和交换42.2 EOR和TOR52.3网络虚拟化52.3.1网络的多虚拟一技术52.3.2网络一虚拟多技术72.4 VM互存取技术(VEPA)72.5虚拟机迁移网络技术11第三章程序设计133.1整个网络的计划133.2省级数据中心网络设计153.3市级数据中心网络设计163.4区县级数据中心网络设计173.5省、市、区/县数据中心互联设计183.5.1省，市数据中心互联183.5.2市、区/县数据中心互联193.5.3数据中心安全解决方案19第四章方案的新技术特点214.1定制的数据中心网络平台214.1.1最先进的10千兆以太网技术214.1.2硬件全线速度处理技术224.1.3 Extreme Direct Attach技术244.1.5支持虚拟机无缝迁移的XNV技术294.1.5环保节能网络建设334.2最稳定、最可靠的网络平台344.2.1独特的模块化操作系统设计344.2.2优异的QOS服务质量保证354.3高级网络安全设计374.3.1设备安全特性384.3.2用户安全访问394.3.3智能安全防御措施404.3.4一般性安全政策建议41附录程序产品资料451 .核心交换机BD 8800452.SummitX670系列产品493 .三层千兆位交换机Summit X460614 .核心路由器MP7500695 .精简路由器MP7200756 .访问接入路由器MP3840817 .访问路由器MP2824858.MSG4000综合安全网关90第一章数据中心现状分析在云计算数据中心，传统数据中心对网络的要求发生了如下变化1、Server-Server流量成为主流，双层流量成为主流。2 .站点中的物理服务器和虚拟机数量增加，双层拓扑增加。3 .扩展、灾难恢复和虚拟机迁移需要数据中心多个站点之间的双层互操作。4、数据中心多站点选择问题在双重交互的影响下变得更加复杂。iSCSI/FCoE是数据中心以网络为中心不断发展的需求，也是不可或缺的一部分。第二章数据中心网络技术分析2.1路由和交换在数据中心网络中，关注数据中心内部服务器的前端网络，注重在校园网、广域网、接入网等广义上不扩散数据中心内容。数据中心网络以交换以太网为中心，只有传统意义的聚合层才成为IP的世界。 数据中心的以太网网络逐渐扩大，IP传输水平也逐渐提高。因为数据中心网络从设计开始就主要关注传输性能，所以通过CPU/NP传输的路由器当然不能使用通过ASIC传输的三层交换机。 在以往的以太网交换技术中，仅维护MAC张的表，地址学习通过无线电进行，不需要注意不太复杂的网络变化，因此速度快。 当IP路由转发时，路由表、FIB表和ARP表都必须是至少的，并且效率自然降低。云计算数据中心对传输带宽的需求更加无限，因此，访问双层网络结构成为部署核心。 层次越多，故障点越多，延迟越高，传送瓶颈也越多。 在一些互联网服务提供商(ISP )双层结构的大型数据中心中，传统的STP需要阻塞链路以浪费带宽，但是新的双层多路径L2MP技术还不成熟，因此在接入层和核心层之间使用OSPF 这种缺点显而易见，网络复杂、路由计算众多，将来可能被以太网l2MP技术取代。新的第2层多径技术引入了第ISIS层控制平面协议作为TRILL和SPB传输路径计算的依据。 由此，虽然可以避免当前的以太网单路径传输和广播环路的问题，但是结果是控制面拓扑路由计算的工作增加，需要观察能否像以往的以太网那样有效地进行。 MPLS是一个前车之鉴，想要提高IP的传输效率，但在VPN路由的隔离上得到了真正的应用。2.2 EOR和TOR数据中心的网络设备是交换机，但交换机分为机箱和机架。 现在，云计算使用了大量X86体系结构服务器而不是小型机和大型机，因此每个机架的服务器数量都在增加。 为工程布线所困扰，大型数据中心的EOR(End Of Row )结构取代了TOR(Top Of Rack )结构。 机架式交换机在数据中心服务器上的地位日益不稳定。 为确保对大量机架设备的访问，聚合和核心级设备应解决的问题是高密度接口数，基于机箱的交换机占据了数据中心传输核心的位置。总而言之，数据中心通常以大型机箱型设备为核心，机架型设备是对每个机柜的访问2.3网络虚拟化云计算是计算虚拟化，存储虚拟化已经在SAN上实现，其馀网络虚拟化已经实现。 在云计算环境中，所有服务资源都是外部虚拟资源，因此从路径提供和管理角度来看，网络需要虚拟整合和规划多个机箱。 云计算虚拟化后，物理服务器变成了许多虚拟机，在网络级别，虚拟化对通道的建立和管理应该更加详细。2.3.1网络的多虚一技术互联网拥有许多虚拟技术。 最早的网络多虚拟一技术代表是交换机集群技术，多以盒式小型交换机为主，在当前的数据中心非常罕见。 新技术主要分为两个方向来控制平面虚拟化和数据平面虚拟化。控制平面虚拟化从名称可以看出，控制平面虚拟化是所有设备的控制平面的集成，只有一个代理处理整个虚拟交换机的协议处理、条目同步等。 在结构上，控制平面上的虚拟化可以分为纵向和横向虚拟化两个方向。纵向虚拟化指的是，在不同层的设备之间虚拟化较多，相当于将下游的交换机设备作为上游设备的接口进行扩展，虚拟化的交换机控制平面和传送平面位于上游设备上，下游设备只有很少的同步处理特性，信息传送也必须向上游设备发送。 可以被理解为集中传输的虚拟交换机的许多横向虚拟化是相同层的相同类型的交换机设备的虚拟化，从而如纵向一样，控制平面的工作完成了一个主体，但是传输平面上的所有帧和箱可以本地传输并处理业务的典型的分布式传输结构的特征在于控制平面虚拟化在某种意义上是真正的虚拟交换机，可以同时满足统一管理和接口扩展的需求。 但是，大问题制约了技术的发展。 服务器多虚拟化技术目前不能为所有资源提供灵活的虚拟资源调配。 在主机级别运行多机时，协调器的角色(等同于帧交换机的控制台控制平面)仅在同一应用中提供，不能平衡负载。 网络设备的虚拟化也同样，以帧设备为例，不管今后能支持多少台设备的虚拟整合，只要不能解决上述问题，从控制平面处理整个虚拟交换机的物理控制节点的控制台只有一个为主，其他都是备份角色(服务器的多虚拟化) 总之，虚拟交换机支持的物理节点的规模受此控制节点的处理能力限制。虚拟化数据平面数据面虚拟化现在主要是TRILL和SPB，他们将L2 ISIS作为控制协议在所有设备上进行拓扑路径计算，在传输时将原始消息封装到外部，并在不同的目标Tag上在TRILL/SPB区域内传输。 对于外部来说，TRILL/SPB区域网络是一个大的虚拟交换机，并且认为以太网消息在从入口进入之后完全从出口被排出，内部传输过程从外部看不到并且毫无意义。这种数据平面虚拟化的聚合已经是广义上的多虚一，该方案可以在双层以太网传输时有效地扩展规模范围，提到网络节点即n虚一，控制平面虚拟化当前还在n从1位摆动到10位，数据平面虚拟化的n很容易但是，其缺点也明显，导入了控制协议的消息处理，增加了网络的复杂性，同时，由于传输时针对数据消息外层报头的数据包解除动作变多，因此以太网降低的传输效率。从数据中心当前的发展来看，规模扩大是第一位的，带宽增长也不能动摇。 因此，在网络多虚拟性方面，控制面多虚拟性的各种技术只能应用于中小型数据中心，除非能够突破控制层多功能协调技术的束缚。 后期真正的大规模云计算数据中心必定是TRILL/SPB这样的数据平面多虚拟化技术的世界。2.3.2网络的虚拟多技术网络的虚拟多技术已经过时，从以太网的VLAN到IP的VPN已经成熟，在FC中有对应的VSAN技术。 这种技术的特征是在转发消息中插入一个Tag，用不同的设备统一识别，以分类转发消息。 表示只能与只能手动配置的VLAN ID进行自我协商的MPLS标签。 现有技术全部基于传输电平，在管理上也能够通过VPN来区别，但是，只能共享CPU/传输芯片/存储器这样的基本部件。当前最新的虚拟多技术类似于Extreme Networks在交换机系统中实现的Virtual Router，可以像VM一样构建多个虚拟交换机，独立分配物理资源，当前实现最多可构建64个VR2.4 VM互存取技术(VEPA )随着虚拟化技术的成熟和x86 CPU性能的发展，越来越多的数据中心开始转向虚拟化。 虚拟化体系结构可以优化传统数据中心，包括提高物理服务器的CPU利用率提高数据中心能效提高数据中心的高可用性加快业务部署从这种无可替代的优势出发，虚拟化技术将成为数据中心未来发展的方向。 然而，一个问题的解决方案往往伴随着另一个问题的产生，数据网络就是其中之一。 随着越来越多的服务器被改造成虚拟化平台，数据中心中的物理网络端口越来越少，以前10个数据库系统需要10个以太网端口，现在这10个系统在一台物理服务器中该模型显然是不合适的，多个虚拟机传输和接收的数据都被填充在一个出口中，单个操作系统和网络端口之间不再是一对一的关系，从网络管理员的角度来看，端口策略原本就不可能实施，管理复杂性很高其次，当前主流的虚拟平台没有独立的网络接口，如果出现问题，则网络管理员和服务器管理员还会遇到无限的故障。 最初，虚拟化技术推动的一个重大障碍是责任定义不明确，目前，这一问题再次阻碍了虚拟化的进一步推广。接入层概念不仅扩展到物理端口，还扩展到服务器内部，为不同虚拟机之间的流量交换提供服务，并重新连接虚拟机和网络端口。作为X86平台虚拟化的领导者，VMWare已在vsphere平台中集成了虚拟交换机vswitch，并提供分布式虚拟交互式VDS(vnetwork distributed switch )。 在数据中心中提供统一的网络访问平台，当虚拟机发生vmotion时，所有端口的策略将随虚拟机一起移动。虚拟以太网端口聚合器(VEPA )是最新IEEE 802.1Qbg标准化工作的一部分，旨在降低高级虚拟化部署的复杂性。 考虑传统的使用虚拟交换机的方法与VEPA方法大不相同，VEPA使用户能够了解虚拟化和网络部署面临的挑战和需要考虑的因素。如果物理主机上的监视器有多个虚拟机(每个虚拟机都包含操作系统和多个应用程序)，则这些虚拟机将彼此通信并使用虚拟交换机与外部世界通信。 事实上，虚拟交换机是第2层交换机，通常作为软件在监视器中运行。 每个显示器通常都有一个内置的虚拟交换机。 包含在不同监视器中的虚拟交换机在功能上也非常不同。如果虚拟交换机从网络区域迁移到服务器区域，则必须在虚拟环境中重新测试、重新认证和重新部署传统的基于网络的工具和解决方案。 在某种意义上，这种变化阻碍了虚拟化的快速扩展和推广。例如，传统的网络和服务器操作团队是完全分开的，每个团队都有自己的流程、工具和控制范围。 由于虚拟交换机导致网络进入服务器范围，因此在配置虚拟机等简单任务中，必须在团队之间添加协调工作，以确保虚拟交换机配置与物理网络配置的完整性。由于网络中虚拟机之间的通信可见性不足，发现和监视虚拟机之间的通信故障也变得非常困难。 另外，随着虚拟机数量的增加，1台服务器内的虚拟机现在已经达到812台，不久的将来可能会达到3264台，因此保护虚拟机彼此免受干扰，免受外部威胁已成为值得认真考虑的问题。从防火墙到IDS/IPS，传统的基于网络的设备和工具都需要重新开发、重新验证和重新部署这些高度虚拟化的环境，以确保通过虚拟机之间的虚拟交换机进行的通信满足管理一致性和安全性要求。由于虚拟交换机没有标准，因此各种监控技术的培训、互操作性和管理开销增加，这些挑战变得更加复杂。 事实上，物理服务器是一个完整的网络环境，具有独特的互操作性、部署、认证和测试要求。有趣的是，这种趋势和虚拟化的最基本优势之一是，虚拟化可以更高效地运行多种应用程序，从而使服务器容量过大。 现在，这个“服务器中的网络”，发展成为这些过剩容量的消费者，耗尽CPU和存储器资源的可能性很高。VEPA方法为了应用这些挑战，各方提出了包括VEPA在内的各种解决方案。 VEPA是虚拟交换机的替代产品。它不仅进入标准化流程，而且是业界许多制造商的一致选择。事实上，VEPA将服务器