公司数据中心网络系统解决方案

公司数据中心网络系统解决方案1.1、网络现状与需求分析此处添加客户公司目前的网络拓扑图XXX公司目前数据中心建于XXX，目前承担整个集团数据交换与存储的重任。现有网络拓扑结构如上。随着XXX公司的建设，现需在园区内建设一全新数据中心，用以在园区全面启动时顺利接管原数据中心的数据交换与存储重任。XXX公司数据中心的建设是为XXX公司办公、管理提供服务的，网络系统建设主要目标是在XXX公司管辖范围内，采用国际标准网络协议，建立在XXX公司内联网（BDFZ-Intranet）并通过高速信道与各地市分公司、中国互联网（China-NET）相连，同时建设信息资源管理中心。1.2、XXX公司数据中心网络建设目标XXX公司数据中心网络建设目标是将XXX公司的各种PC机、工作站等，通过高性能的网络，连接到各种服务器上，组成分布式的计算环境，使其成为提高办公、管理水平必不可少的网络支撑环境。本着建设一流数据中心的精神，我们提出了以下XXX公司网络建设目标：内部信息发布：XXX公司向各地分公司发布规章制度、规划、计划、通知等公开信息等。2）电子邮件：XXX公司内部的电子邮件的发送与接受。3）文件传输：XXX公司内部的文本文件、图象文件、语音文件等发送与接收。4）资源共享：文件共享、数据库共享等。6）接入因特网：通过专线接入ChinaNet、Internet，对外发布信息。1.3、设计的依据与原则1.3.1、设计依据1）中国教学和科研计算机网络（CERNET）工程技术规范书2）中华人民共和国计算机信息网络国际联网管理暂行规定3）有关的网络技术国际标准4）RFC有关文件1.3.2、设计原则1）开放原则采用开放标准；采用开放技术；采用开放结构；采用开放系统组件；2）可靠原则设计结果稳定可靠，具有高MIBF（平均无故障时间）和MTBR（平均无故障率），采用开放用户接口。3）实用原则实用有效是最主要的设计目标，设计结果能满足需求行之有效。提供容错设计，支持故障检测和恢复，可管理性强。4）安全原则安全措施有效可信，能够在多个层次上实现安全控制。5）先进原则设计思想先进；软硬件设备先进；网络结构先进。6）完整性原则考虑到系统的各方面因素，实现优化的网络设计、安全的数据管理、高效的信息处理、友好的用户界面。7）高效原则性能指标高，软硬件性能充分发挥。8）灵活原则系统配置灵活，备用和可选方案多，能够适应应用和技术发展需要。9）可扩展性能够在规模和性能两个方向上进行扩展，扩展后的性能有大幅度提高。10）模块化每种功能都由一定的模块来实现，方案只需要选择不同的模块，并将这些模块做相应的配置即可。1.4、XXX公司数据中心设计方案1.4.1、总体结构XXX公司数据中心拓朴图XXX公司数据中心采用两台XXX系列核心交换机构建整个IDC中心的核心交换区，在核心交换区以下，分为核心数据服务区与中间业务应用服务区两大服务区，以及XXX公司各大区的接入及广域网接入等接入区组成。其中数据服务的小型机区，以两台XXX交换机为接入交换机,接入核心交换区，在XXX交换机上添加防火墙模块与内容交换模块，以实现对小型机的安全保护、SSL卸载和负载均衡控制。在中间业务应用服务器区，以两台XXX交换机为汇聚交换机，以XXX为接入交换机,为应用服务器提供接入功能,并在XXX交换机上添加防火墙模块与内容交换模块,为整个中间业务应用服务器群提供保护与负载均衡控制，并且在此区域内通过ACS,MARS等设备,提供完善的管理与控制功能。1.4.2、核心交换模块☆流量分析主干网络作为XXX公司数据中心的运行核心，它决定整个XXX公司数据中心网络的性能。根据统计，一个运行良好、提供服务齐全的网络中，各子网间的通讯和子网内部通讯大约各占50%；而且随着多媒体技术的发展，多媒体主页、视频点播（多点广播）大量采用，这些都要占有大量主干带宽；以及虚拟网技术的采用，传统子网概念已经变化，使得一个子网可以分布于整个网络，导致子网内部通讯也要通过主干网络；因此经过主干网络的流量将占80%以上，这就要求主干网络必须具有极高的传输速率，最大限度的避免堵塞。作为主要的数据通道，主干网络的瘫痪就意味着整个网络的崩溃，因此主干网络必须采用已经标准化的技术，有极高的稳定性和冗余度。☆网络技术分析纵观目前计算机局域网技术，适合作为高速主干网结构的主要有：★千兆以太网千兆以太网是100Base-T的真正继承者。千兆以太网保留了大多数100Base-T的布线规则和CSMA/CD媒质访问方式，具有以下特点：从传统100Base-T以太网的升级较容易、投资少，与现有100Base-T网的集成也很简单。工业支持较强，竞争激烈，使产品价格相对较低。安装和配置简单，现有的管理工具依然可用。支持交换方式，有全双工方式通讯的产品。★万兆以太网万兆位以太网(10gige)801.3ae标准已由ieee于2002年6月批准，而且现在已在许多应用中进入大量部署阶段。在从千兆位以太网到万兆位以太网的演变过程中，为了适合如此广泛的可能应用，已进行了大量更改。这些更改中，最重要的更改与数据编码方式及万兆位以太网可以运行的物理连接类型有关。帧尺寸和格式都保持不变，以便第3层及更高层协议仍然完全兼容。万兆位以太网设计用于以全双工模式只在点到点（交换）链路上运行。这一点反映其作为主干/核心（与工作组不同）技术的角色。万兆位以太网当前不支持自动协商，因为它被假定用于纯万兆位以太网安装。★40G以太网建立XXX公司数据中心的网络系统应高起点，统一全面规划，并考虑到将来的扩展与投资的保护；因此，为适应XXX公司的发展，以可延展的方式提供更多的带宽，满足复杂的事务处理能力，XXX公司数据中心的主干采用领导高速网络发展------先进交换技术的万兆以太网为主干。1.4.3、广域网接入模块目前XXX公司XXX中心与各大区之间使用ATM链路连接，考虑到各大区的接入模式为ATM链路，故本次新中心广域网接入方式同样选择ATM方式，利用现有ATM链路与板卡，同时，由于ATM技术已经处于渐渐被淘汰的情况，电信MSTP与POS链路的快速发展，考虑到数据中心的高扩展性，广域网接入采用模块化方式，现选用ATM模块，在日后可方便的且经济的升级为MSTP或POS方式。广域网接入路由器XXX与核心交换机XX之间采用10G光纤链路相连，提供极高的数据交换能力，为数据中心的性能提供强有力的支持。根据前面分析，一个多媒体网络60%甚至80%以上的流量要经过路由，采用传统的路由方式连接各子网必须导致大量数据在路由器上汇集，发生堵塞，从而导致丢包，会大大限制多媒体应用，因此必须采用先进高效的路由技术，保证整个XXX公司数据网络在网络层畅通无阻。◆第三层交换技术分析第三层网络路由交换机的出现为大型多媒体网络提供了新的解决方案。通过使用第三层路由交换机，可以大大提高IP包的转发速度。第三层交换技术可以分为两类：基于包的交换和基于流的交换。基于包的交换采用与传统路由器相近的交换方式，对每一个包进行检查。目前的第三层交换机凭借先进的AISC技术，对IP包直接进行芯片道路级处理，速度大大高于路由器采用的基于CPU的处理方式，能够提供全线速的转发，避免发生堵塞和丢包；同时完全兼容路由器的RIP和EIGRP和OSPF协议，能够与传统路由器进行相互的自学习，掌握整个网络的路由信息。采用基于包交换的第三层交换机，网络的配置、设备和软件都不需要变动，能够实现基于包的安全控制。1.4.4、数据库服务器与中间业务服务器接入模块数据库服务器与中间业务服务器接入设备采用XXX高性能交换机，成熟的XXX交换机曾经做为数据中心的核心交换机主流产品，其强大的交换能力，720G背板带宽，以及高达99.99%的高可靠性，使之成为XXX公司IDC中心数据库服务器与中间业务服务器接入服务最有力的提供者，此外，依靠VSS技术，将两台XXX交换机虚拟成一台交换机，将背板带宽扩大为1.44T，同时将可靠性提高到99.999％的电信级别。数据库服务器与中间业务服务器通过千兆链路连接入汇聚交换机XXX之上，通过10G链路双上联入核心交换机XXX，并依靠跨机框链路捆绑技术，将因为链路故障造成的倒换1.4.6、外联网络接入模块XXX公司做为中国家电零售业的领军企业，其银联及各大商业银行有着相当频繁的业务来往，并且，随着XXX公司企业多元化发展，其各实业公司，都与IDC中心之间有着平凡的数据交换要求，故XXX公司IDC中心外联网络接入系统是其IDC中心极其重要的一部分，有着极高的数据交换要求以及响应的安全要求。为此，我们推荐XXX路由器的外联网络接入板卡为整个XXX公司IDC中心提供外联网络接入服务，其好处在于可以灵活的使用XXX上配置的防火墙等功能模块，为各种业务提供足够的安全保证1.4.7、带内带外网络管理接入模块网络管理对于一个大型化的网络是至关重要的，同时也具有挑战性。对XXX公司信息中心的管理主要采用基于IntelDeviceViewforWeb的管理方法，基于IntelDeviceViewforWindows的管理方法进行辅助管理，而基于telnet和终端仿真的管理方法作为备用。通过XXX提供的管理方法，可以设置完善的管理员安全策略，能够有效地防止非法用户窃取管理员权限，对网络进行任何改动。对于整个XXX公司数据中心网络的管理，我们采用CISCOWORKS2000作为网络管理软件，它是世界上使用最为广泛最为成功的网管软件之一，能对多个厂家提供的支持SNMP协议的交换机、集线器、路由器、打印机、PC机与工作站进行管理。这样我们可以查看网络上使用的硬件和软件的清单，诊断并解决远程工作站的问题，给网络用户快速分发最新软件，检查用户软件的License，检测客户机上的病毒，使用加密和解密保证网络的安全，监视服务器的性能并能设定报警值。由于IP、存储和互联基础设施上的可管理性能够利用先进的通用管理和诊断工具简化配置、调配、监控和变更控制，因而能减轻管理负担，增强流程的一致性，并改善数据中心小组之间的协作。另外，可管理性功能还能向管理应用提供网络设备的流量和接口信息，以便操作人员能够查看实时和历史网络状态。另外，操作人员还能利用思科或第三方管理工具实现网络的配置、监控和排障。思科数据中心网络架构提供先进的通用管理接口、功能和工具，不但能显著提高数据中心管理人员的运营效率，降低复杂性，缩短学习周期，还能提高服务水平，加快解决问题的进程。利用基于角色的访问控制，管理员可以将特定资源的管理控制分配给专人负责。思科数据中心网络架构包含五大可管理性：简单网络管理协议（SNMPV3）在IP交换和路由网络、存储网络和光网上支持统一的MIB格式，能够改善配置、资产管理和变更管理。嵌入式管理代理能够简化可管理性支持基于策略的自适应管理，能够在问题造成重大影响之前就快速予以解决，而且能够简化服务实施。例如，为CiscoCatalyst6500系列平台开发的新型CiscoView设备管理器代理能够改善基于策略的端到端配置。相似的CiscoIOS软件和SANOS命令行界面在管理器与设备之间提供一致的通信。标准通用信息模型和可扩展标记语言（XML）API通用高级诊断功能简化存储网络中第三方系统管理的实施。简化实时监控、历史统计数据收集和报告。另外思科安全监控、分析和响应系统（思科安全MARS）是一款基于设备的全功能解决方案，可提供针对您现有安全部署的、前所未有的了解和控制能力。思科安全MARS是思科安全管理生命周期的一个关键组件，可帮助您的安全和网络机构识别、管理和抵御安全威胁。它可充分利用您现有的网络和安全投资，来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持内部策略符合性，可作为整体法规符合性解决方案工具中一个不可缺少的部件。安全和网络管理员所面临的问题有：安全和网络信息过载性能不佳的攻击和故障识别、优先级划分和响应更高攻击先进程度、速度和修复成本满足法规符合性和审查要求较少的安全人员和预算思科安全MARS可通过以下功能满足其需要：集成网络智能，进行网络异常事件和安全事件的先进关联察看校正后的事件并自动执行调查通过全面充分利用网络和安全基础设施来防御攻击监控系统、网络和安全运行来帮助企业达到法规符合性以最低TCO提供一个易于部署和使用的、可扩展的设备1.5、高性能与高可靠性设计1.5.1、高性能设计在XXX公司数据中心网络中，主干线采用的是万兆位，因此需要主干设备要有较高的交换能力，拥有思科一代高密度万兆位连接，满足苏宁电器数据网络中的高通信量工作站、工作组和服务器的需求。通过现有铜线线缆或光纤集合工作站服务器群可以提高多媒体应用的运行速度，同时减少瓶颈并提供非堵塞性能。提供第二、第三、第四层无堵塞性能，强大的带宽整形功能和八个801.1优先级排队，以实现完善的第二、第三、第四层通信控制，最大的介质灵活性，保护了超5类线基础设施投资，并以光纤GBIC突破了距离的限制。在XXX公司数据中心网络中，采用的第三层交换机是基于包进行交换的，能够进行分布路由，为了避免发生堵塞，第三层交换机必须能够提供接近交换速度的路由能力。另外为了在整个网络上实现虚拟网划分，第三层交换机还必须支持分布式的虚拟网设置。在关键子网，保证与主干网络高速通道的足够带宽，以及冗余连接。根据以上分析，我们充分考虑了系统的性能价格比，采用了具有高可扩展性和稳定性、最标准的思科公司的全套网络产品。考虑到主干网络设备具有万兆以太的交换能力，同时支持链路汇聚功能，以保证网络的带宽，另外还要支持VLAN划分，提供灵活活的网络配置。并且在苏宁电器数据中心将要使用大量的光缆布线。1.5.2、高可靠性设计1.5.1.1、拓朴冗余XXX公司中心拓朴在设计阶段就充分考虑线路的冗余问题，以保证数据中心网络的高可靠性。在XXX公司中心内，所有核心设备之间链路都采用双链路冗余备份设计，保证在某一条链路故障时，不影响整个数据中心的数据交换业务。链路冗余在数据中心的交换机之间的连接均采用EtherChannel的设计以保证链路的冗余。EthernetChannel设计原则网络连接Channel设计原则核心设备之间互连2*10GE核心与分布设备互连2*10GE分布设备之间互连2*10GE分布与接入设备互连2*10GE 交换冗余交换区域的可靠性通过STP实现。被STP阻断的逻辑链路在线路或设备出现故障的情况下可以自动释放，形成新的拓扑结构，保证网络数据的正常传输。网关冗余 HSRP（热备份路由协议）是为网络接入设备提供三层网关冗余的技术。配置的HSRP网关向接入设备提供虚拟IP和MAC地址，并使用hello检测HSRP成员状态，确保网关冗余。分布层设备在连接普通接入时采用HSRP；HSRP优先级策略与STP的根网桥主备设置一致；HSRP设置Preempt，确保高优先级网关为激活状态路由冗余 网络物理链路的冗余设计为路由协议选择备份连接提供了基础。网络使用OSPF路由协议根据网络链路的metric计算最短路径。当设备或连接因故障中断时，OSPF会自动重新计算网络路径，并使用正常的连接保障数据通讯。考虑运行维护的简单性，配合STP的RootPrimary定义和HSRPPrimary定义，在网络设计上，将通过metric的调整，在分布层和核心层将数据流引导到冗余网络结构的一侧，而当设备或连接因故障中断时，OSPF会自动重新计算网络路径，并使用正常的连接保障数据通讯。1.5.1.2、设备冗余考虑到数据中心的特点，在XXX公司中心设计初期，就对设备冗余做了充分的考虑，核心设备采用可靠性最高的双机热备份模式，关键设备全部双机热备份，保证单一设备故障时，数据中心业务不受任何影响，彻底解决单点故障问题。引擎冗余数据中心的核心的交换机和路由器都使用两块冗余引擎，在两块冗余引擎上使用SSO的切换方式。SSO切换方式只需要3秒左右就可以完成切换，并且不用重新初始化板卡。网络连接RPRRPR+SSOSSO+NFS备份引擎自动切换是是是是同步startup-config是是是是同步running-config否是是是同步RIB&FIB否否是是同步二层链路状态否否是是同步路由协议Session否否否是切换时间长较短短短复杂程度低较低中高 电源冗余 信息中心的网络设备都需要支持两种电源冗余工作模式，建议使用Redundant模式（默认设置）。Combined模式一般用于电源更换或升级等特殊情况。模块和端口冗余 模块和端口冗余的通用原则同一机箱优先使用高编号槽位；同一模块优先使用高编号端口；上连链路优先使用高编号端口、下连链路优先使用低编号端口，互连链路尽量使用引擎上自带的端口；确保Channel中的两个端口端口使用不同模块，由于核心交换机只配置了一块10GE端口模块，20GEChannel只能使用同一模块的端口。1.5.1.3、端口的可靠性端口是网络设备互连的通道，思科提供多种端口功能协议。为了保障网络设备连接的可靠性，路由交换机端口应根据数据中心的通讯模式设计。协议路由端口（非Trunk）Trunk交换端口Vlan交换端口Auto-Negotiation禁止禁止，手工设置禁止DTP禁止启用禁止PAgP启用启用禁止UDLD启用启用禁止Vlan无Trunk模式，自动协商接入模式CDP启用启用禁止1.7、XXX公司数据中心网络虚拟化服务（此处为相应设备的亮点技术，根据具体项目不同编写）1.7.1、CISCONexus7000虚拟多机技术CiscoNexus7000系列交换机虚拟多机技术是一种网络系统虚拟化技术，将一台CiscoNexus7000系列交换机物理的划分为多个实体主机，通过对硬件资源，如控制引擎，交换背板的物理划分，实现将一台Nexus7000系列交换机划分为多个虚拟实体，以实现不同业务在核心层的隔离，并且，当CiscoNexus7000在满足数据中心本身的交换需求后，仍有大量资源空闲时，可以将空闲资源划分出来另作他用，有效的提高CiscoNexus7000做为网络核心的利用率，从而从侧面提升CiscoNexus7000的性能价格比。1.7.1、CISCO6509交换机VSS技术Cisco6500系列交换机虚拟交换系统（VSS）1440是一种网络系统虚拟化技术，将两台采用了VirtualSwitchingSupervisor720-10GVSS的CiscoCatalyst6500系列交换机组合为单一虚拟交换机。在VSS中，这两个交换机中的管理引擎的数据面板和交换阵列能同时激活，因此总系统交换能力可达1440Gbps。VSS成员通过虚拟交换机链路（VSL）连接。VSL在虚拟交换机成员之间使用标准万兆以太网连接（多达8条，以提供冗余性）。通过在VirtualSwitchingSupervisor720-10G或WS-X6708-10G模块的任意端口上使用万兆以太网上行链路，即能形成VSL。除在VSS成员间进行控制面板通信外，VSL也能传输普通用户流量。VSS支持所有采用集中或分布式（利用DFC3C或DFC3CXL）转发模式的CiscoCatalyst6500系列交换机。与传统的L2/L3网络设计相比，VSS1440提供了多项显著优势。大体说来，其优势可归纳为以下三个主要方面：VSS能够提高运营效率单管理点，包括配置文件和单一网关IP地址（无需HSRP/VRRP/GLBP）多机箱EtherChannel®（MEC）创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）底层物理交换机经由标准万兆以太网接口相连，在位置方面提供了灵活的部署选项VSS能够优化不间断通信机箱间状态化故障切换不会干扰需要使用网络状态信息的应用。凭借VSS，在一个虚拟交换机成员发生故障时，不再需要进行L2/L3重收敛，能在一秒内实现确定性虚拟交换机的恢复。与基于生成树协议的收敛不同，使用EtherChannel（801.3ad或PAgP）能在一秒内完成确定性L2链路恢复。VSS能够将系统带宽容量扩展到1.4Tbps在冗余CiscoCatalyst6500系列交换机上激活所有可用的L2带宽，在EtherChannel基础上进行精确的负载均衡。为冗余数据中心交换机上的服务器网络接口卡（NIC）提供基于标准的链路汇聚，实现最高服务器带宽吞吐率。消除了因非对称路由引起的单播洪泛，减少了园区内流量的跳数，从而节省了带宽。1.7.2、FWSM虚拟化技术及应用与思科6500交换机7600路由器结合，具有灵活的端口扩展能力。7600路由器配置防火墙模块后可以将7600路由器变成一台广域网防火墙。路由器上的所有端口均可以配置不同的安全级别。强大的防火墙性能，在单台65系列交换机7600路由器上可以插4块FWSM，每块FWSM的吞吐量为5.5Gbps,四块合计22Gbps。每个防火墙模块可支持256个虚拟防火墙，为数据中心提供了强大的灵活性。虚拟防火墙的资源可定制，每个虚拟防火墙占用的CPU、Memory以及其最大连接数等资源可以根据需要来定制，极大的增加了虚拟防火墙的安全性和可用性。支持高达256个801.1Q的VLAN，使大大增加了防火墙的使用灵活性。工作模式多样化，支持透明、路由、NAT、透明路由的混合模式的工作模式。支持多台防火墙主机的集群，支持Active/Active模式以及Standby模式。支持丰富的QOS特性1.8、XXX公司中心网络IP地址设计（IP地址规划，根据具体项目，具体设计，一般初期仅做初步描述）苏宁电器IDC中心网络IP地址的设计，将根据现有的业务系统进行统一的规划与设计，在实际允许的情况下兼容原有IP地址，为日后割接提供准备的基础。1.9、XXX公司中心网络路由协议设计（路由设计，根据具体项目具体设计，一般初期仅做初步描述）苏宁电器IDC中心网络路由协议建议使用OSPF协议与BGP协议，OSPF协议做为其应用主协议，BGP协议则运行在备份链路上，当主协议OSPF故障时，则由BGP协议替代，以保证其网络的连通性，减少协议倒换的时间。1.10、XXX公司中心网络安全设计（此处为相应安全的设备及技术，根据具体项目不同编写）1.10.1、CISCO6500及CISCO7600防火墙模块Cisco6500交换机和Cisco7600系列路由器的防火墙服务模块（FWSM）是一种高速的、集成化的服务模块，可以提供业界最快的防火墙数据传输速率：5Gb的吞吐量，100000CPS，以及一百万个并发连接。在一个设备中最多可以安装四个FWSM，因而每个设备最高可以提供20Gb的吞吐量。作为世界领先的CiscoPIX防火墙系列的一部分，FWSM可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。FWSM采用了CiscoPIX技术，并且运行CiscoPIX操作系统（OS）--一个实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法（ASA）的保护机制，它可以提供面向连接的全状态防火墙功能。利用ASA，FWSM可以根据源地址和目的地地址，随机的TCP序列号，端口号，以及其他TCP标志，为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略，控制所有输入和输出的流量。FWSM的主要优点防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护企业网络免受未经授权的外部接入的攻击，还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。FBI的统计数据显示，70%的安全问题都来自于企业内部。在FBI开展的调查中，五分之一的受访者表示，在过去12个月中，有入侵者闯入或者试图闯入他们的企业网络。大部分专家都认为，大多数网络入侵活动都没有被检测出来。集成模块FWSM安装在CiscoCatalyst6500系列交换机或者Cisco7600互联网路由器的内部，让这些设备的任何端口都可以充当防火墙端口，并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说，这种功能非常重要。CiscoCatalyst6500真正成为了那些需要各种智能化服务（例如防火墙接入、入侵检测、虚拟专用网（VPN））和多层LAN、WAN和MAN交换功能的客户的首选IP服务交换机。适应未来需要FWSM可以支持5Gb的吞吐量，因而可以提供无以伦比的性能，让用户无须对系统进行彻底的升级，就可以满足未来的要求。在Catalyst6500中最多可以添加三个FWSM，以满足用户不断发展的需求。可靠性FWSM建立在CiscoPIX技术的基础之上，并使用了同一个经过时间检验的CiscoPIX操作系统--一个安全的、实时的操作系统。FWSM可以利用行之有效的CiscoPIX技术检测分组，从而可以在同一个平台上提供性能和安全的独特组合。低廉的整体运营成本FWSM可以提供所有防火墙中最佳的性能价格比。CiscoCatalyst机型的SmartNet®合同中包含了维护成本。由于FWSM是基于CiscoPIX防火墙的，所以培训和管理成本都很低，而且由于它是集成在设备内部的，所以大大减少了需要管理的设备的数量。易用性CiscoPIX设备管理器的直观的图形化用户界面（GUI）可以用于管理和配置FWSM。在配置和监控方面，FWSM可以获得思科管理框架和CiscoAVVID（集成化语音、视频和数据体系结构）合作伙伴的支持。1.11、XXX公司中心网络QoS设计（QOS设计，根据实际情况设计，一般初期仅做初步描述）IPQoS(QualityofService)是指IP网络的一种能力，即在跨越多种底层网络技术（FR、ATM、Ethernet、SDH等）的IP网络上，为特定的业务提供其所需要的服务。衡量IPQoS的技术指标包括：1）带宽/吞吐量－指网络的两个节点之间特定应用业务流的平均速率；2）时延－指数据包在网络的两个节点之间传送的平均往返时间；3）抖动－指时延的变化；4）丢包率－指在网络传输过程中丢失报文的百分比，用来衡量网络正确转发用户数据的能力；5）可用性－指网络可以为用户提供服务的时间的百分比。本质上，要保证服务质量的最基本和最佳的手段是网络容量的扩容，通过增加链路带宽来保证网络轻载，出于网络的实际情况考虑，在有限的带宽前提下，在链路拥塞时，需要保证不同等级业务的服务质量，因此，需要在设备上支持对不同Qos等级的报文优先转发的队列调度机制。目前，QoS实现机制主要有两个：综合型业务（IntServ）模型和区分型业务（Diffserv）模型。集成服务模型通过RSVP协议针对每个业务流进行资源预留，提供端到端服务保证。这种服务模型在应用使用之前，首先需要进行资源的预留，针对每个流都要维护RSVP的软状态。这种服务模型的的优点在于能够提供细粒度的、严格的QoS服务，但是扩展性比较差，路由器难以维护大量的软状态和控制流。由于集成服务模型的缺点，现在集成服务模型已经很少使用，取而代之的是下面重点介绍的差分服务模型。差分服务类型对不同的流进行分类，对每个类提供不同的QoS服务。通过分类，维护软状态以及控制流的开销大幅度缩小，可扩展性比较高。它的缺点在于提供的服务是粗粒度的、不严格的QoS服务。综合考虑现有Qos技术，我们推荐苏宁电器IDC中心Qos改造采用以DiffServ为主的QOS技术，采用DSCP和IPPrecedence相兼容的标记方式。业务接入控制点设备实现业务的分类、标记和带宽控制，城域网骨干路由器根据DSCP等级标记按优先顺序进行IP包的转发。1.12、XXX公司数据中心网络管理设计（根据项目使用网管工具编写）思科安全监控、分析和响应系统（思科安全MARS）是一款基于设备的全功能解决方案，可提供针对您现有安全部署的、前所未有的了解和控制能力。思科安全MARS是思科安全管理生命周期的一个关键组件，可帮助您的安全和网络机构识别、管理和抵御安全威胁。它可充分利用您现有的网络和安全投资，来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持内部策略符合性，可作为整体法规符合性解决方案工具中一个不可缺少的部件。安全和网络管理员所面临的问题有：安全和网络信息过载性能不佳的攻击和故障识别、优先级划分和响应更高攻击先进程度、速度和修复成本满足法规符合性和审查要求较少的安全人员和预算思科安全MARS可通过以下功能满足其需要：集成网络智能，进行网络异常事件和安全事件的先进关联察看校正后的事件并自动执行调查通过全面充分利用网络和安全基础设施来防御攻击监控系统、网络和安全运行来帮助企业达到法规符合性以最低TCO提供一个易于部署和使用的、可扩展的设备思科安全MARS可将原始网络和安全数据转化为可操作的智能特性，以提交正确有效的安全事件并保持法规符合性。这一易于使用的威胁防御设备系列可利用已部署在您的基础设施中的网络和安全设备，使操作员可集中、检测、防御和报告重要威胁。深度防御问题信息安全已从互联网、周边防护发展为深度防御模式，在基础设施中部署了多项措施来抵御安全漏洞和攻击。鉴于攻击频率日益增加、攻击复杂度各不相同，以及攻击非常迅速，网络内部和周边间的界线逐渐模糊，因此这些措施是非常必要的。为试图利用漏洞发动攻击，每天攻击者都会对网络接入点和系统进行数千次探测。先进的混合攻击使用多种欺骗式攻击方法，以便从机构内外获得未授权系统访问和控制。蠕虫、零日攻击、病毒、特洛伊木马、间谍软件和攻击工具的普及可对最为坚固的基础设施构成挑战——导致防御作用时间缩短、出现停运和昂贵的修复措施。除服务器和网络设备数量较多外，每个安全组件都提供独立的事件记录和报警功能，以用于异常流量检测、威胁响应和分析。不幸的是，这就生成了大量的干扰、报警、日志文件和误报，需操作员辨别或高效利用它们——但这样的前提是有足够的时间和资源来分析和了解这些信息。此外，法规也要求严格数据保密、更高运营安全性和进行持续审查。先进的安全信息管理安全信息/事件管理（SIM）产品从逻辑上看来避免了这一问题——因为您无法对您不能测量出的信息加以管理。SIM使操作员拥有了集中操作的能力：汇总安全事件和记录，通过有限关联和查询技术来分析数据，并针对独立事件生成报警和报告。思科通过一个可扩展的企业威胁防御设备系列，解决了这些安全问题，弥补了管理的不足。思科安全MARS提供了一个易于部署和使用、经济有效、性能出众的安全命令和控制解决方案，对您的网络和安全基础设施投资构成补充。思科安全MARS是一个性能出众的可扩展威胁防御设备系列，通过结合网络智能、ContextCorrelationTM、SureVectorTM分析和AutoMitigateTM功能，来使公司能作好准备，识别、管理和消除网络攻击并保持法规符合性，从而增强已部署的网络设备和安全措施。思科安全MARS的主要特性和优势网络智能事件汇总和性能处理思科安全MARS了解路由器、交换机和防火墙的拓扑和设备配置，以及网络流量配置，实现了网络智能。通过该系统的集成网络发现功能，可构建一个包括设备配置和当前安全策略的拓扑图，使思科安全MARS能对您网络中的分组流建模。因为此设备不在内部运行，极少使用现有软件代理，所以对网络或系统性能的影响极小。这一设备集中汇总了来自各种常用网络设备（如路由器和交换机）、安全设备和应用（如防火墙、入侵检测、漏洞扫描器和防病毒软件）、主机（如Windows、Solaris和Linux系统日志）、应用（如数据库、Web服务器和验证服务器）以及网络流量（如CiscoNetFlow）的日志和事件。ContextCorrelationTM在接收到事件和数据时，可针对网络拓扑、所发现的设备配置、相同的源和目的地应用（跨NAT边界）和类似的攻击类型，来对信息进行标准化。相似的事件会进行实时分组，随后对其运用由系统和用户定义的关联规则，来识别事故。系统配备了全面的预定义规则，Protego会经常更新这些规则，它们能识别大多数混合攻击、零日攻击和蠕虫。一个图形化规则定义框架简化了用户为任何应用创建定制规则的过程。ContextCorrelation大大减少了原始事件数据、实现了响应优先级划分并可最大限度地发挥所部署的措施的作用。高性能汇总和整合。思科安全MARS解决方案可获取数千个原始事件，高效地对事件分类，实现前所未有的数据减少，并压缩这些信息以进行归档。管理大量安全事件需要一个安全、稳定的集中记录平台。思科安全MARS设备可安全地优化，接收极其大量的事件流量——每秒超过10000个事件或每秒超过30万个NetFlow事件。通过即将荣获专利的Protego内部处理逻辑和采用内嵌Oracle，这一切成为可能。所有数据库功能和调整都对用户透明。板载存储并可将历史数据档案持续压缩到NFS备用存储设备的功能，使思科安全MARS成为一个强大的安全日志/事件汇总解决方案。事件查看和有效防御思科安全MARS有助于加速和简化威胁识别、调查、校正和防御的过程。安全人员通常面临着所提交的事件需要耗时的分析才能解决问题和进行修复的情况。思科安全MARS具有一个功能强大的交互式安全管理控制台。操作员GUI提供了一个由实时热点、事故、攻击路径和具体调查组成的拓扑图，可使用户完全了解事件——立即确认有效威胁。SureVectorTM分析事件进程等过程，通过评估直至终端MAC地址的整个攻击路径，来确定威胁是否有效或是否已进行了防御。这一自动过程是由分析防火墙和入侵防御应用等设备记录、分析第三方漏洞评估数据，以及籍由思科安全MARS终端扫描来消除误报而完成的。用户可快速、精确地调整系统，来进一步减少误报。所有安全计划的最终目标是保持系统在线并正常运作——即防御安全违背、抑制事件并进行修复。凭借思科安全MARS，操作员可迅速了解攻击中涉及的所有组件，这可具体到受破坏的系统MAC地址。AutoMitigateTM功能可识别攻击路径上的阻塞点设备，并自动提供用户可用以防御威胁的适当设备命令。通过充分利用基础设施，可快速、准确地防御和抑制攻击。实时调查和法规符合性报告思科安全MARS具有一个易于使用的分析框架，简化了传统的安全工作流程，在日常运作和特殊审查时实现了自动的案例分配、调查、提交、通知和说明。它可图形化地重现攻击并检索所存储的事件数据，来分析以前的事件。此系统完全支持临时查询，可进行实时和持续数据采集。思科安全MARS提供大量的预定义报告，来满足运营需要，有助于达到法规符合性要求，包括Sarbox、GLBA、HTPPA、FISMA和BaselII。一个直观的报告生成器可以修改80多种标准报告或生成新报告，以一种无限制的方式，用数据、趋势和图表格式构建安全措施和修复计划、事件和网络活动、安全状态和审查，以及部门报告。此系统也能提供批报告和电子邮件报告。迅速部署和可扩展管理思科安全MARS置于一个TCP/IP网络上，可发送和接收系统日志、SNMP捕获，并通过标准安全协议或厂商特定协议，与已部署的网络和安全设备建立安全连接。只需将其插入网络即可。安装和部署思科安全MARS时无需其他硬件、操作系统补丁、许可或冗长的专业服务部署过程。您只需配置您的日志源，指向MARS设备，并通过基于Web的GUI定义任意网络和数据源。该设备由一个安全、基于Web的界面集中管理，它支持基于角色的管理。可选思科安全MARSGC设备集中了广泛的安全操作，可提供整个企业的单一视图，分发访问权限、配置、更新、定制规则和报告模板，并将复杂的调查与本地处理的加速查询和报告相结合。因为本地思科安全MARS设备可在整个企业中执行查询和规则，因此能高效地获得整合结果，快速、集中地在思科安全MARSGC中进行分析。这一可扩展架构提供了一个附加的分布处理和存储层。因此可实现更为经济有效的部署和更高可管理性，满足地理位置分散的大型机构的需求。1.13、设备概述（此处为相应的设备描述，根据不同项目，使用的不同设备描述）1.13.1、CISCO7010核心交换机CSICO7010是一款针对大规模数据中心应用而设计的核心交换机，它的吞吐量可以达到15Tbps。它目前可以支持10Gbps的以太网，将来根据需要可以升级到支持40Gbps/100Gbps以太网。它采用CSICONX-OS操作系统，创新之处在于可以支持端到端的大规模数据中心连接。它最大可以同时支持256个10Gbps以太网端口或384个10/100/1000Mbps以太网端口。1.13.1.1、CSICONX-OS操作系统集合了CSICO的大量创新的健壮、自愈、丰富的特征设置。内核的模块化、虚拟性和弹性设置支持其