私有云平台搭建项目实施方案

XXX协会

私有云平台搭建项目实施方案

目录

第1章总体初步设计、工作方案..........................................................1

1.1.总体框架设计...................................................................1

1.2.技术路线.......................................................................2

1.2.1.基础网络...................................................................2

1.2.2.基础设施...................................................................2

1.2.3.服务支撑....................................................................3

1.2.4.应用迁移....................................................................4

1.2.5.信息安全...................................................................4

1.3.实施产品清单...................................................................5

1.4.实施工作内容...................................................................7

第2章网络技术实施方案................................................................8

2.1.总体网络架构设计...............................................................8

2.2.网络子系统.....................................................................9

2.2.1.云平台数据中心网络设计.....................................................9

2.2.2.IP地址规划...............................................................10

2.2.3.路由协议设计..........................................................12

2.2.4.VPN设计..................................................................12

2.2.5.QOS设计..................................................................12

2.2.6.可靠性设计............................................................15

2.2.7,安全性设计................................................................17

2.2.8.网管设计..................................................................19

2.2.9.云平台IDC虚拟化部署......................................................20

第3章云平台机房技术实施方案.........................................................23

3.1.系统概述......................................................................23

3.2.云平台机房概述...............................................................24

3.2.1.建设标准..................................................................24

3.2.2.地理位置..................................................................26

3.2.3.电力系统..................................................................27

3.2.4.制冷......................................................................29

3.2.5.消防......................................................................30

3.2.6.安保监控..................................................................31

3.3.数据中心机柜资源规划.........................................................32

第4章云基础设施（IAAS层）技术实施方案...............................................34

4.1.云计算基础架构体系............................................................34

4.1.1.设计原则.................................................................34

7.1.2.系统总体架构...............................................................35

4.2.云计算中心网络层设计...........................................................43

4.2.1.设计思路.......................................................................43

4.3.云平台网络系统整体架构.........................................................45

4.3.1.整体架构设计思想..............................................................45

4.3.2.云平台内网网络系统设计........................................................47

4.3.3.云平台中心核心交换区..........................................................48

4.3.4.云平台中心云资源池区..........................................................49

4.3.5.云平台中心运维管理区..........................................................49

4.3.6.外联安全接入区................................................................50

4.3.7.云平台内网接入网络设计........................................................51

4.3.8.云平台内网网络系统设计总结....................................................52

4.3.9.云平台网络关键技术支撑........................................................53

4.4.虚拟网络规划...................................................................54

4.5.服务器设备清单.................................................................55

第5章软硬件实施详细方案.............................................................57

5.1.华为防火墙安装部署.............................................................57

5.1.1.配置备防火墙上的NAT.........................................................................................................57

5.1.2.配置双机热备份模式............................................................58

5.2.华为服务器安装部署...........................................................60

5.2.1.版务器安装流程...............................................................60

5.2.2.服务器上架安装................................................................61

5.2.3.配置RAID.............................................................................................................................63

5.3.浪潮存储AS520-E安装部署.....................................................68

5.3.1.设备登陆......................................................................68

5.3.2.创建资源池....................................................................68

5.3.3.创建RAID.............................................................................................................................69

5.3.4.自动镜像故障迁移.........................................................70

5.3.5,创建主机组.....................................................................70

5.4.VMWAREvCAC安装部署.............................................................71

5.4.1.部署VCACIndentity...........................................................................................................71

5.4.2.部署VCACAppliance...........................................................................................................74

5.4.3.安装配置7：具...................................................................77

5.5.VMWAREVSPHERE安装部署...........................................................79

5.5.1.方案拓扑.......................................................................79

5.5.2.方案构成部分详细说明..........................................................80

5.5.3.硬件资源分配..................................................................82

5.6.WINDOWS域控部署...............................................................100

5.6.1.数据中心父域控搭建...........................................................100

5.6.2.协会内网新建子域.............................................................102

第6章项目管理计划..................................................................103

6.1.云平台部署流程...............................................................103

6.2.项目管理计划..................................................................104

6.3.项目人员职责.................................................................105

第1章总体初步设计、工作方案

1.1.总体框架设计

本次XXX协会私有云平台实施工作方案将针对计算服务整体架构中的云计

算资源，通过对底层服务器硬件及存储资源实现虚拟化聚合部署，配合以云计

算管理平台、监控平台、资源调度平台，实现云计算中基础架构即服务

(laaS)部分，同时该laaS平台也为以后计算中心提供更高层次的云计算服

务，如PaaS,SaaS服务提供了良好的基础平台，也为XXX协会今后部署其他

业务系统，及现有系统扩展提供良好的扩展性。

协会私有云平台的总体框架由七大核心组件构成：运维服务、业务应用系

统、基础设施、平台虚拟化、计算资源、计算资源管理、云管理平台。推进系

统的建设，服务是宗旨，应用是关键，支撑是依托，信息资源是核心，基础设

施是承载，运维和标准化体系是保障。

动态奏源管理

图1协会laaS云平台系统总体框架图

基础设施平台建设是协会云平台的基础和前提。包括网络支撑

环境建设和硬件支撑环境建设。基于高规格数据中心，满足协

基础设施

会设备托管、应用系统访问的需求，并具各为协会提供虚拟服

务器和存储的服务能力以及。

构建协会云平台计算资源池，实现业务运行过程中需要的各类

计算资嫄数据资源和信息资源的集中存储和管理。建立资源目录体系，

为各保险行业客户提供信息查询和共享服务。

针对协会云平台计算资源池资源使用情况与系统负载程度，手

计算资源管理动、自动调整资源分配，将空闲资源充分利用，实现硬件资源

高效运行。

另类投资项目应用系统建设，是协会云平台系统建设的主要内

容，围绕需要开展的各项业务，以另类投资系统开发与云托管

业务应用系统

为主线，以资源整合与应用支撑为基础，建立信息共享机制和

业务协同体系，为协会注册会员单位提供数据交换服务。

云平台运维服务是协会云平台建设项目的直要保障系统。系统

的服务体系根据对象分为两大类，数据中心及线路运维服务，

运维服务体系实现协会与保险单位实现信息公开、网上办事和会员服务；云

平台运维服务，实现各类应用系统的在私有云环境下的虚拟机

运维，监控和告警服务。

采用业界领先的虚拟化技术，将另类投资系统在虚拟化平台部

平台虚拟化

署。后续其他业务系统平滑迁移和备份。

VCAC私有云管理平台是协会云平台建设的咳心，通过VCAC对

私有云资源的监控、调度、自助门户、统计分析等功能搭建协

云管理平台

会信息系统从传统IT到云架构的转型，同时作为今后业务系

统的托管平台。

1.2.技术路线

1.2.1.基础网络

搭建云平台基础网络，通过防火墙、VPN技术实现另类投资等业务系统与

协会内网VPN远程连接，内网采用OSPF/BGP的动态路由协议；外网采用IPSec

VPN技术实现端到端的可靠传输。防火墙、核心交换机全部采用冗余架构，避

免单点故障的风险，打造稳定安全的云平台基础网络。

1.2.2.基础设施

通过云计算、虚拟化技术实现数据中心的建设，提高资源利用率，避免复

杂的系统集成和大规模的设备占用空间，降低投资成本，简化管理复杂性，能

对整体系统运行环境进行统一监管和动态分配，从而降低计算管理和运行成

本。协会云平台数据中心按照T3+标准进行选址、选型。

按照系统的高可用性要求，本次项目拟采用新一代的可自愈的基础设施。

本次设计考虑到安全及最优成本的同时提高系统资源利用率，并为未来“云”

模式下的协会应用提供无缝的迁移和过渡能力。在数据中心的建设中引入云计

算、虚拟化技术，在数据中心搭建云平台，通过服务器虚拟化，有效降低业务

系统建设的硬件投入实现硬件资源管理和使用的集约化。

经测算，置五台高性能物理服务器作为计算资源，通过在服务器上安装配

置虚拟化平台软件，在单个物理服务器实体上，充分使用设备的空余资源，利

用管理调度平台生成多个独立的虚拟服务器。每一个虚拟服务器从功能、性能

和操作方式上等同于传统的单台物理服务器。每个虚拟机可以独立的装配置不

同的操作系统而互不影响，从而大大提高资源利用率，降低成本，增强了系统

和应用的可用性，提高系统的灵活性和快速响应，实现了服务器虚拟架构的整

合。而对于现有物理服务器上的应用，可以通过迁移工具完整的迁移到虚拟化

环境中，无需重新部署，所有配置保持原样。

1.2.3.服务支撑

云平台日常运维服务包括：基础架构管理，云平台管理，网络运维，服务

器运维，监控服务，基础云资源监控服务。

对于突发事件，欧唯特信息系统根据故障的严重程度和影响程度的不同，将

故障级别由低到高分为三级故障、二级故障和一级故障。当故障没有在规定时限

内恢复或解决时，故障级别将自动升级。当故障不能使用有效的远程支持方式进

行解决时，欧唯特信息系统公司将派遣工程师赶往用户现场，协助进行现场故障

诊断及现场故障排除。

1.2.4.应用迁移

通过云迁移技术将现有应用系统的无缝切换到云服务平台。

1.2.5.信息安全

按照等级保护要求，通过访问控制、入侵防范、恶意代码防范、资源控制

等方面来实现信息安全。

1.3.实施产品清单

产品品牌型号配置数量

2颗10核CPU,CPU型号为

E5-2650v3；内存128G,硬

服务器（计

华为RH2288HV3盘300G*210KSAS/RAID/8Gb5台

算节点）

HBA*2/4port1G网卡/RW-

DVD

1颗8核CPU,CPU型号为E5-

2609v3；内存16G,硬盘

服务器（管

华为RH2288HV3300G*210KSAS/RAID/8Gb1台

理节点）

HBA*2/4port1G网卡/RW-

DVD

RH2288HV3服

附件华为16G单条*44条

务器内存

17TB净容量，支持内置高速

缓存32GCache,双控制器

（Active-Active）,板载8个

1GbiSCSI主机接口，2个

存储服务器浪潮AS520E-M11台

24GbSAS宽端口，RAID级别：

0/1/10/5/6/50/60，支持自动

分层，自动精简配置，卷复制，

卷镜像，快照技术等。

2台冗余。单台激活16口，带

BROCADESAN

光纤交换机博科16根线2台

Switch

华为网络交换三层千兆以太网交换机，背板

机S5700-28C-带宽：160Gbps,包转发率

网络交换机华为2台

SI-AC65.5Mpps,24个10/100/1000

以太网口，可堆叠

VPN防火墙，网络吞吐量：

300Mbps,并发连接数:

130000，用户数限制：无用

华为USG6360户数限制，安全过滤带宽：

防火墙华为2台

防火墙170Mbps,3+1个管理快速以

太网端口、可升级到5个快

速以太网端口、1个SSM扩

展插槽

VMware

基础虚拟化VMware

vSphere6标准版1套

软件vSphere

Std

虚拟化管理VMwareVMware

标准版1套

平台vCentervCenterStd

VCAC

云管理平台VMware

Standard标准版1套

软件vCloud

Version

北京大兴星光

世纪互

机柜租赁影视城数据中16A机柜1个

联

心

5M独享双线

公网带宽双线BGP16个公网IP5M

BGP

1.4.实施工作内容

工作项目服务名称服务内容

•私有云环境需求分析，环境调研。前

需求分析业务分析，需求调研

期云集成方案设计

•私有云平台基础架构设计

•私有云平台管理流程设计

云平台设计私有云平台规划设计

•私有云平台Portal需求分析

•及该阶段项目管理

•私有云平台基础架构部署

•私有云平台管理流程实施

云平台部署私有云平台安装，配置

•私有云平台Portal部署及实施阶段

项目管理工作

•私有云平台网络环境安装部署及调试

私有云计算资源部署调试

系统环境部私有云平台底层环境安装部•私有云存储资源部署调试

署署，策略配置•默认监控平台部署私有云基础架构系

统集成测试

•及项目管理工作

•操作系统安装及系统调优

应用环境测为业务系统上线部署OS及配•CBP监控服务出署

试与部署合上线•配合应用系统上线测试

•项目管理

•准备SIT（系统集成测试）环境

系统集成测私有云平台与业务系统联调测

•与应用部门联调测试

试试

•项目管理

•准备UAT测试环境与应用部门联调执

UAT最终验收测试行UAT测试

•项目管理

第2章网络技术实施方案

2.1.总体网络架构设计

协会云平台项目的总体架构概括为四层。四层为计算层、网络层、平台

层、应用层，网络拓扑如下。

图2总体网络架构设计

A计算层

计算层网络主要包括物理服务器、存储设备网络传输。通过冗余部署的光

纤交换机，实现高速数据存储网络，为云平台提供高速，稳定的计算网络。

>网络层

网络层主要完成对数据的可靠性传送，主要负责互联网、VPN以及今后与

各个保险机构专线互联。设计采用5M互联网出口基础上搭建VPN与协会内网安

全互联。互联网出口采用二台下一代防火墙实现冗余部署，避免单点故障风

险。

>平台层

平台层基于云计算技术和中间件技术，主要包括laaS层以及运维支撑层，

通过云计算和虚拟化技术，具有灵活的可扩展性，主要实现虚拟化环境下各个

虚拟机直接网络传输。

>应用层

应用层由迁移到云平台的原有应用和新建应用组成。通过二台冗余的核心

千兆交换机，实现应用服务器之间高速、稳定的内部网络传输。通过其内置的

HA功能实现冗余部署，防止单点故障产生。

2.2.网络子系统

云平台IDC网络也采用三层结构进行设计，即：IDC出口层、核心交换

层、接入层。详细设计建议见后续各章节。

2.2.1.云平台数据中心网络设计

本着高先进性与实用性、可靠性、高安全性、高扩展性以及遵循开放标准

的设计原则，云平台数据中心交换网解决方案采用流行两层网络结构。

1.出口层

采用双机冗余部署方式，部署1对防火墙。2台防火墙间通过链路互联；

向内通过千兆链路连接2台核心交换机。即：对外通过5M互联网线路连接互联

网或VPN连接到协会内部网络心，通过千兆链路连接平台内网。

防火墙主要实现如下功能：

>连接不同的网络，掌握全网路由，实现必要的路由策略控制；

>围绕云平台信息资源，负责各方向流量的高速转发;

>提供不同业务所需的QoS保证，实施基于聚合规则的流量控制策略；

>提供IPv4、IPv6网络互联互通过渡技术功能。

2.核心交换层

采用双机冗余部署方式，部署1对核心交换机。2台核心交换机间通过双

千兆链路互联，向下通过千兆链路连接接入层交换机，向上通过千兆链路连接

上行防火墙。

在此网络架构中，服务器网络接口连接在核心交换机上，数据中心内部基

于二层网络进行通讯，数据中心与外连网络基于三层网络进行通讯。

核心交换机主要实现如下功能：

>作为内部服务器网关。

>作为云数据中心网络中枢，负责内网横向和纵向流量的高速转发；

3.IDC网络设备产品推荐

本期云平台数据中心网络建设，各主要网络设备配置如下表:

三层千兆以太网交换机，背板带宽：

华为网络交换机S5700-

160Gbps,包转发率65.5Mpps,24个2台

28C-SI-AC

10/100/1000以太网口，可堆叠

网络设备VPN防火墙，网络吞吐量：300Mbps,并发连接

数：130000，用户数限制：无用户数限制，女

华为USG6360防火墙全过滤带宽：170Mbps,3+1个管理快速以太2台

网端口、可升级到5个快速以太网端口、1个

SSM扩展插槽

2.2.2.IP地址规划

.IP地址总体规划

为满足后期业务的承载需求，首先需要对全网的IP地址进行一个科学精确

的规划：

>为后期的网络拓展、业务拓展等工作提供支持;

>实现接入点的精确绑定，保证接入点用户可定位、可溯源、可隔离；

>为业务的可识别、可分流和端到端的QoS保障提供支撑；

>统一规范，为其他业务统一的策略部署、新业务统一部署打下基础；

>实现每接入点/每用户/每业务/按需分配IP地址；

>规划初中期采用IPv4地址，后期可以根据需求采用IPv6地址。

1.IPv4地址规划

本次针对内网、外网地址规划，全网部署10.0.0.0/8网段，其中内网部署

10.0.1.T10.0.5.254段地址、外网部署10.0.6.T10.255.255.255段地址。

玄平台IDC采用公网IPv4地址，地址规模为1个C类。

2・2・2・2.云平台IDC网络IP地址规划

>网络设备VLAN地址

IDC网络设备VLAN地址采用保留IPv4地址，在内网地址段中选择一段,

建议在10.0.1.0/16地址段进行分配，具体见下表：

设备VLAN地址

防火墙/32、10.0.1.2/32

核心交换机/32、10.0.1.4/32

接入交换机10.0.1.5/32、10.0.1.6/32

>网络设备互联地址

IDC网络设备间、IDC网络设备与外联设备间互联地址在10.0.5.0/24范围

内选择。

>服务器地址

虚拟化服务器地址采用私网IP地址。

2.2.3.路由协议设计

>路由协议设计原则

内网、外网各分配一个保留的自治域编号。

内或外网IGP协议建议采用OSPF或IS-IS协议中的一种协议，内网IGP

协议建议运行于所有路由器；

网内设备和互联链路路由信息采用IGP协议进行通告；

>内部IGP规划

由于IDC网络三层网络规模都不大，设备数量有限(少于50台)，优先考

虑OSPFo

2.2.4.VPN设计

为了增强安全性，协会内网可以通过VPN与云数据中心内业务系统互联。

建议在协会防火墙和云数据中心防火墙启用IPSecVPN实现安全连接。

2.2.5.QOS设计

.QOS模型设计

IETF提出了许多QoS服务模型和协议，其中比较突出的有IntServ

(IntegratedServices)模型和DiffServ(DifferentiatedServices)模

型。

DiffServ(区分服务)模型的业务流被划分成不同的区分服务类。一个业

务流的区分服务类由其IP包头中的区分服务标记字段(DifferentService

CodePoint,简称DSCP)来表示。区分服务只包含有限数量的业务级别，状态

信息的数量少，因此实现简单，扩展性较好。目前，区分服务是业界认同的IP

骨干网的QoS解决方案，尽管IETF为每个标准的PHB都定义了推荐的DSCP

值，但是设备厂家可以重新定义DSCP与PHB之间的映射关系，用户可根据网络

实际运维需要进行灵活定义。DiffServ对聚合的业务类提供QoS保证，可扩展

性好，便于在大规模网络中使用。

.QOS规划方案

1.流量分类及标记

流量分类是将数据报文划分为多个优先级或多个服务类C

网络管理者可以设置流量分类的策略，这个策略除可以包括IP报文的IP

优先级或DSCP值、802.Ip的CoS值等带内信令，还可以包括输入接口、源IP

地址、目的IP地址、MAC地址、IP协议或应用程序的端口号等。

对于网络协议控制管理、语音、视频类数据流，可以根据协议类型来进行

分类和标记。除此之外，在接入交换机侧，也可以根据网络的规划，将不同的

业务数据流放入不同的VLAN之中，不同业务的IP地址空间不相同，也可以根

据源IP地址及目的IP地址，在入口处对进入网络的IP报文进行分类和标记。

流量分类后就打标记。所谓标记就是根据SLA以及流分类的结果对业务流

打上类别标记。目前RFC定义了六类标准业务即：EF、AF1-AF4.BE,并且通过

定义各类业务的PHB(Per-hopBehavior)明确了这六类业务的服务实现要求，

即设备处理各类业务的具体实现要求。从业务的外在表现看，基本上可认为EF

流要求低时延、低抖动、低丢包率，对应于实际应用中的Video、语音、会议

电视等实时业务；AF流要求较低的延迟、低丢包率、高可靠性，对应于数据可

靠性要求高的业务如电子商务、企业VPN等；对BE流则不保证最低信息速率和

时延，对应于传统互联网业务。

在某些情况下需要重标记DSCP。例如在Ingress点业务流量进入以前已经

有了DSCP标记(如上游域是DSCP域的情形，或者用户自己进行了DSCP的标

记)，但是根据SLA,又需要对DSCP进行重新标记。

分类标记将携带在IP报文中，作为后续QoS处理的依据。

2.队列技术及拥塞管理

拥塞管理是指在网络发生拥塞时，如何进行管理和控制,处理的方法是使

用队列技术，具体过程包括队列的创建、报文的分类、将报文送入不同的队

列、队列调度等。当接口没有发生拥塞时，报文到达接口后立即被发送出去，

当报文到达的速度超过接口发送报文的速度时，接口就发生了拥塞。拥塞管理

就会将这些报文进行分类，送入不同的队列；而队列调度将对不同优先级的报

文进行分别处理，优先级高的报文会得到优先处理。常用的队列有FIFO、PQ、

CQ、WFQ、CBWFQ、等。

>PQ

需要先对报文进行分类，然后按报文的类别将报文送入PQ相应的队列。在

报文出队列的时候，PQ首先让高优先队列中的报文出队，直到高优先队列中的

报文发送完，才发送中优先队列中的报文，同样直到发送完中优先队列中的报

文，才能发送低优先队列的报文。

这样，分类时属于较高优先级队列的报文将会得到优先发送，而较低优先

级的报文将会在发生拥塞时被较高优先级的报文抢先，使得关键业务的报文能

够得到优先处理，非关键业务的报文在网络处理完关键业务后的空闲中得到处

理。这样处理既保证了关键业务的优先，又充分利用了网络资源。

由于PQ总是保证高优先级的报文得到优先转发，所以当高优先级的流量过

多时，可能会造成低优先级的流量没有转发机会，所以使用PQ时应该合理规划

各个优先级的流量，适当限制高优先级的流量，使低优先级的流量也获得一定

的发送机会。

>CBWFQ/LLQ

CBWFQ按照报文进入网络设备的端口、报文的协议、是否匹配ACL来对报

文进行分类。每个流量类别市应一个队列，支持64个流量类别，不同类别的报

文送入不同的队列。对于不匹配任何类别的报文，则被送入默认队列。队列采

用WRR算法进行轮询。

可以为每个流量类别定制一定的传输特性，如带宽、传输权值、传输限制

等。为一个队列指定的带宽通常是指在带宽拥塞时为该队列所保证的带宽。调

度器按照分配给每个流量类别的权值保证每个队列分配到一定的带宽，可以对

每个队列为每个流量类别设置长度限制，长度限制是在该类别队列中允许的最

大分组数量，如果队列达到了长度限制，分组丢弃策略生效，CBWFQ可以和队

尾丢弃、WRED等丢弃机制相结合。

这样，在端口不发生拥塞的情况下，可以使各个流量类别的报文能获得一

定的带宽，在端口拥塞的情况下，又可以保证属于优先队列的报文不会占用超

出规定的带宽，保护其他报文得到相应的带宽。

CBWFQ允许为分配给每个流量类别的带宽提供确定性的或〃硬〃的担保。对

于高速链路或骨干网来说重点是带宽分配的硬性担保，CBWFQ是一种功能强大

的QoS工具。

网络拥塞会导致网络性能的降低和带宽得不到高效的使用，为了避免拥

塞，队列可以通过丢弃数据包避免在任何用能的地方出现拥塞。队列管理的主

要目的就是通过合理控制Buffer的使用，对可能出现的拥塞进行控制。其常用

的方法是采用RED/WRED算法，在Buffer的使用率超过一定门限后对部分级别

较低的报文进行早期丢弃，以避免在拥塞时直接进行末尾丢弃引起著名的TCP

全局同步问题，同时保护级别较高的业务不受拥塞的影响。

2・2・5.3.QOS部署建议

根据承载多业务要求，充不同业务需实施不同的QoS策略。

在网络发生拥塞的时候，采用队列的策略来调度每种业务，使得每种业务

获取预先设定的服务质量参数。目前队列调度机制有先进先出、优先、加权轮

循以及带有优先队列的加权轮循等。

为了支持多个业务等级，设备将不同等级的分组放入不同的队列中。设备

在处理过程中，按照一定的队列调度算法，决定从哪个队列中取出数据分组进

行服务。队列调度算法的好坏直接影响路由器的性能和QoS效果。

2.2.6.可靠性设计

整个云平台数据中心网络的高可靠性是大规模云数据中心网络建设成功的

关键，对于重要节点比如核心设备双机部署，提高单点可靠性；网络设备的关

键部件，比如防火墙、交换机等都采用冗余设计，控制层面却数据层面分离等

提高设备自身的可靠性；对于整个网络，部署快速故障检测协议，能快速感知

并自动恢复，提高整网的可靠性；软件的在线升级和热补丁是可靠性设计的重

要后盾。

2.2.6.1.设备高可靠性

以太网存在两个不同的操作平面：控制平面和数据平面c控制平面主要是

指通讯协议、MAC信息和其它协议报文，还包括网络设备本身的主机软件，控

制平面用来实现网络元素之间的通信。控制平面一般和用户数据共享通信链

路。

数据平面主要是指以太网承载的各种业务，如语音、媒体流、办公数据等

VPN业务等。这些业务对于以太网是数据转发，主要是流量的冲击，内部一般

不采用过多的安全控制策略。

2.2.6.2.协议高可靠性

1.链路聚合

链路聚合也称为链路捆绑、端口聚集或链路聚集，就是将多个端口聚合在

一起形成一个汇聚组，以实现出/入负荷在各成员端口中的分担。从外面看起

来，一个汇聚组好象就是一个端口。链路聚合的工作方式支持静态Trunk方式

及动态LACP方式，通过配置可以实现多条链路的负载分担及相互备份。MC-LAG

支持跨主机的链路捆绑，可用于双归场景中的主备保护。

链路聚合的优点：

1）增加网络带宽，端口聚合可以将多个连接的端口捆绑成为一个逻辑连

接，捆绑后的带宽是每个独立端口的带宽总和；

2）提高网络连接的可靠性。当一条链路故障，流量会自动在剩下的链路间

重新分配；

3）避免二层环路。

2.2.7.安全性设计

2.2.7.1.网路安全风险分析

据ISCA统计，随着安全威胁的升级，全球每年由信息安全问题导致的损失

约数百亿美金，其中源于内部的威胁达60%,来自外部的威胁达40机

图3网络安全威胁分析

云平台数据中心是企业信息化系统的基石，是企业业务集中化部署、发

布、存储的区域，如果数据中心不可用，公司运作可能被削弱或被完全停止。

因此，网络安全对数据中心来说至关重要。但一直以来，数据中心都是一个安

全措施严重不足的区域。根据客户调查、层出不穷的安全威胁和日益增长的专

利信息保护需求，企业必须为数据中心提供足够的安全保障，防止来自内部的

攻击一一无论是有意还是无意导致。

云平台数据中心主要面临来自以下几个方面的风险：

■数据机密风险：企业和个人数据托管后如何保证数据的机密性。

■访问权限风险：多用户场景下，不同用户之间的访叵控制，以及单个用

户的权限管理和控制。用户行为监控。

■管理权限风险：企业托管业务和数据的管理权限与责任划分。

■数据恢复风险：大规模数据的备份和恢复。

■应用威胁风险：多用户多途径接入，多种应用共存的场景下安全防护策

略有效性。

2272网路安全建设思路

云平台数据中心网络安全不仅仅是把安全设备简单地叠加到整个网络，网

络安全是一个整体，需要把安全融合到网络的每个部分。依此下面提出有一体

化、分层次、综合全面的网络安全建设思路。

思路一：网络安全建设需要全局视图，提供一体化安全解决方案。

下划线.接入

权限控制

网络

一体化控制

图4一体化安全解决方案图

思路二：网络安全架构建设是分层次的，在不同环节都要进行防护。

分层次

图5分层次的网络安全架构图

思路三：网络安全体系不是安全设备的简单叠加，需要综合全面考虑技术

以及设备。

2.2.8,网管设计

基于云平台数据中心网络稳定运行要求高、大规模的信息数据、高并发、

跨系统等特性，数据中心网络智能运维架构重点强调统一网管（针对信息量庞

大）、远程运维、网络全方位监控和故障定位与处理（针对网络稳定运行要求

高）以实现“智能网管系统保障数据中心网络稳定运行”的目标。

2.2.8.1.网络全方位监控管理

欧唯特提供丰富的性能监控对象，全方位诊断网络；同时提供数据转发透

视化，实现精细化的流量管理，为网络升级和客户拓展提供依据。具体监控内

容如下：

>网元性能，针对不同类型网元本身性能指标进行监控

>端口性能，针对不同类型网元的不同类型端口的性能指标进行监控

>链路性能，针对网元之间的链路的性能指标进行监控

>业务性能，针对业务的性能进行监控

>网络可用率：网络可用率二网络可用时间/总时间

指IP层的可达性，可以通过增加冗余设备、冗余线路和有效的管理来提

高。要实现三个九的可用率，即99.9%,那么一个网络在一个月内的断网时间

就不能超过45分钟：对于四个九，即99.99%,指一个网络在一个月内的断网

时间不能超过5分钟。大部分运营商的网络可用率为三个九；部分可以达到四

个九；通常网络设备的可用率在99.99%以上；链路的可用率在99.9%以上。

2.2・82快速故障定位与处理

欧唯特具有业界领先的告警相关性分析系统，在网络出现紧急故障的情况

下，可根据网络资源及业务关系，自动完成根源告警及衍生告警的分析定位，

缩短故障处理时间。网络告警及业务数据之间可实现多样化的关联、导航，快

速了解和评估网络运行状况。同时，对重要客户的业务，可设置单独的故障提

示及处理功能，便于运营商这不同的客户提供差异化的服务C

2.2.9.云平台IDC虚拟化部署

云平台数据中心网络需要通过网络虚拟化，提升网络利用率、可靠性及可

扩展性。设备支持数据中心网络端到端的虚拟化，木项目的虚拟化可以划分为

如下图所示的几个层次：

图6数据中心端到端的虚拟化

从VM层到网络层依次为：

>技术A,边缘虚拟化：VM与接入交换机之间采用IEEE802.IQbg,

IEEE802.IQbr,满足VM迁移、交换需求

>技术B,二层多路径：TRILL,SPB,实现大规模VM迁移网络

>技术C/D：光纤互联orL2oL3(VPLS,OTV,NV03)实现跨域VM迁移

网络，提升整网利用率，用于做数据中心的异地容灾备份，一般建专

线或在公网建醋道等多种方式实现互联，这期招投标项目里面没有提

这个需求，故不详述，但建议后期增加建设，可以提高数据中心的整

体可靠性。

其他：机架集群N:1虚拟化,VSC,ZTEVirtualSwitching

Cluster,支持4台虚拟为1台，简化网络拓扑，提升网络性能。

2.2.9.1.接入网络边缘虚拟化

图7VM接入网络边缘虚拟化

在云平台数据中心的服务器层面，往往将一个物理服务器虚拟为多个虚拟

服务器使用VM有以下几个优点：

1）提升服务器资源利用率

2）VM迁移实现业务均衡和快速恢复

3）VM之间做安全策略

可以通过在接入交换机上实现网络边缘及接口的虚拟化，将VM交换功能交

还给网络，达到如下目的：

1）释放CPU资源

2）网络统一管理、监控

3）支持根据VM标识进行端口还回转发

2N.9.2.后期虚拟机迁移方案

虚拟化是云平台数据中心应用的重点，也是云平台数据中心网络设计需要

考虑的重点内容，目前主要的虚拟机迁移方式有冷迁移和热迁移两种，简要的

分析如下：

需求固定时间（流量波谷）进行迁移，用户业务中断业务不中断

服务器MAC/IP可改变MAC/IP地址不改变

12方案

L3/L2网络均可

共享存储网络；统一

统一管理平台

方案