1、.wd.wd.wd.數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案目錄 TOC o 1-3 h z HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367968 第一章數(shù)據(jù)中心現(xiàn)狀分析 PAGEREF _Toc299367968 h 4 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367969 第二章數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)分析 PAGEREF _Toc299367969 h 4 HYPERLINK C:UserszhangzaiqianDesktop通用方案-

2、數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367970 2.1 路由與交換 PAGEREF _Toc299367970 h 4 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367971 2.2 EOR 與TOR PAGEREF _Toc299367971 h 5 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367972 2.3網(wǎng)絡(luò)虛擬化 PAGEREF _Toc299367972 h 5 HYPERLINK C:Use

3、rszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367973 2.3.1 網(wǎng)絡(luò)多虛一技術(shù) PAGEREF _Toc299367973 h 5 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367974 2.3.2網(wǎng)絡(luò)一虛多技術(shù) PAGEREF _Toc299367974 h 7 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367975 2.4 VM互訪技術(shù)VEPA PAGER

4、EF _Toc299367975 h 7 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367976 2.5 虛擬機遷移網(wǎng)絡(luò)技術(shù) PAGEREF _Toc299367976 h 11 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367977 第三章方案設(shè)計 PAGEREF _Toc299367977 h 13 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _

5、Toc299367978 3.1網(wǎng)絡(luò)總體規(guī)劃 PAGEREF _Toc299367978 h 13 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367979 3.2省級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc299367979 h 15 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367980 3.3市級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc299367980 h 16 HYPERLINK C:Userszhangza

6、iqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367981 3.4區(qū)縣級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc299367981 h 17 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367982 3.5省、市、區(qū)/縣數(shù)據(jù)中心互聯(lián)設(shè)計 PAGEREF _Toc299367982 h 18 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367983 3.5.1省、市數(shù)據(jù)中心互聯(lián) PAGER

7、EF _Toc299367983 h 18 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367984 3.5.2市、區(qū)/縣數(shù)據(jù)中心互聯(lián) PAGEREF _Toc299367984 h 19 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367985 3.5.3數(shù)據(jù)中心安全解決方案 PAGEREF _Toc299367985 h 19 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)

8、建設(shè)方案.doc l _Toc299367986 第四章方案的新技術(shù)特點 PAGEREF _Toc299367986 h 21 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367987 4.1量身定制的數(shù)據(jù)中心網(wǎng)絡(luò)平臺 PAGEREF _Toc299367987 h 21 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367988 4.1.1最先進的萬兆以太網(wǎng)技術(shù) PAGEREF _Toc299367988 h 21 HYPE

9、RLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367989 4.1.2硬件全線速處理技術(shù) PAGEREF _Toc299367989 h 22 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367990 4.1.3 Extreme Direct Attach技術(shù) PAGEREF _Toc299367990 h 24 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _To

10、c299367991 4.1.5 幫助虛機無縫遷移的XNV技術(shù) PAGEREF _Toc299367991 h 29 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367992 4.1.5環(huán)保節(jié)能的網(wǎng)絡(luò)建設(shè) PAGEREF _Toc299367992 h 33 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367993 4.2 最穩(wěn)定可靠的網(wǎng)絡(luò)平臺 PAGEREF _Toc299367993 h 34 HYPERLINK C:U

11、serszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367994 4.2.1 獨有的模塊化操作系統(tǒng)設(shè)計 PAGEREF _Toc299367994 h 34 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367995 4.2.2超強的QOS服務(wù)質(zhì)量保證 PAGEREF _Toc299367995 h 35 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367996 4.3先進的

12、網(wǎng)絡(luò)安全設(shè)計 PAGEREF _Toc299367996 h 37 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367997 4.3.1設(shè)備安全特性 PAGEREF _Toc299367997 h 38 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367998 4.3.2用戶的安全接入 PAGEREF _Toc299367998 h 39 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)

13、中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299367999 4.3.3智能化的安全防御措施 PAGEREF _Toc299367999 h 40 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299368000 4.3.4常用安全策略建議 PAGEREF _Toc299368000 h 41 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299368001 附錄方案產(chǎn)品資料 PAGEREF _Toc299368001 h 45 HYPERLI

14、NK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299368002 1.核心交換機BD 8800 PAGEREF _Toc299368002 h 45 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299368003 2.SummitX670系列產(chǎn)品 PAGEREF _Toc299368003 h 49 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299368004 3.三層千

15、兆交換機Summit X460 PAGEREF _Toc299368004 h 61 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299368005 4.核心路由器MP7500 PAGEREF _Toc299368005 h 69 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299368006 5.會聚路由器MP7200 PAGEREF _Toc299368006 h 75 HYPERLINK C:UserszhangzaiqianDe

16、sktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299368007 6.接入路由器MP3840 PAGEREF _Toc299368007 h 81 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299368008 7.接入路由器MP2824 PAGEREF _Toc299368008 h 85 HYPERLINK C:UserszhangzaiqianDesktop通用方案-數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案.doc l _Toc299368009 8.MSG4000綜合安全網(wǎng)關(guān) PAGEREF _Toc29936

17、8009 h 90第一章數(shù)據(jù)中心現(xiàn)狀分析云計算數(shù)據(jù)中心相比較傳統(tǒng)數(shù)據(jù)中心對網(wǎng)絡(luò)的要求有以下變化：1、Server-Server流量成為主流，而且要求二層流量為主。2、站點內(nèi)部物理服務(wù)器和虛擬機數(shù)量增大，導(dǎo)致二層拓撲變大。3、擴容、災(zāi)備和VM遷移要求數(shù)據(jù)中心多站點間大二層互通。4、數(shù)據(jù)中心多站點的選路問題受大二層互通影響更加復(fù)雜。5、iSCSI/FCoE是數(shù)據(jù)中心以網(wǎng)絡(luò)為核心演進的需求，也是不可或缺的一局部。第二章數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)分析2.1路由與交換數(shù)據(jù)中心網(wǎng)絡(luò)方面，關(guān)注的重點是數(shù)據(jù)中心內(nèi)部服務(wù)器前后端網(wǎng)絡(luò)，對于廣泛意義上的數(shù)據(jù)中心，如園區(qū)網(wǎng)、廣域網(wǎng)和接入網(wǎng)等內(nèi)容，不做過多擴散。數(shù)據(jù)中心的網(wǎng)絡(luò)以

18、交換以太網(wǎng)為主，只有傳統(tǒng)意義的會聚層往上才是IP的天下。數(shù)據(jù)中心的以太網(wǎng)絡(luò)會逐步擴大，IP轉(zhuǎn)發(fā)的層次也會被越推越高。數(shù)據(jù)中心網(wǎng)絡(luò)從設(shè)計伊始，主要著眼點就是轉(zhuǎn)發(fā)性能，因此基于CPU/NP轉(zhuǎn)發(fā)的路由器自然會被基于ASIC轉(zhuǎn)發(fā)的三層交換機所淘汰。傳統(tǒng)的Ethernet交換技術(shù)中，只有MAC一張表要維護，地址學(xué)習(xí)靠播送，沒有什么太復(fù)雜的網(wǎng)絡(luò)變化需要關(guān)注，所以速率可以很快。而在IP路由轉(zhuǎn)發(fā)時，路由表、FIB表、ARP表一個都不能少，效率自然也低了很多。云計算數(shù)據(jù)中心對轉(zhuǎn)發(fā)帶寬的需求更是永無止境，因此會以部署核心-接入二層網(wǎng)絡(luò)構(gòu)造為主。層次越多，故障點越多、延遲越高、轉(zhuǎn)發(fā)瓶頸也會越多。目前在一些ISPIn

19、ternetService Provider的二層構(gòu)造大型數(shù)據(jù)中心里，由于傳統(tǒng)的STP需要阻塞鏈路浪費帶寬，而新的二層多路徑L2MP技術(shù)還不夠成熟，因此會采用全三層IP轉(zhuǎn)發(fā)來暫時作為過渡技術(shù)，如接入層與核心層之間跑OSPF動態(tài)路由協(xié)議的方式。這樣做的缺點顯而易見，組網(wǎng)復(fù)雜，路由計算繁多，以后勢必會被Ethernet L2MP技術(shù)所取代。新的二層多路徑技術(shù)，不管是TRILL還是SPB都引入了二層ISIS控制平面協(xié)議來作為轉(zhuǎn)發(fā)路徑計算依據(jù)，這樣雖然可以防止當前以太網(wǎng)單路徑轉(zhuǎn)發(fā)和播送環(huán)路的問題，但畢竟是增加了控制平面拓撲選路計算的工作，能否使其依然如以往Ethernet般高效還有待觀察。MPLS就是

20、一個的前車之鑒，本想著幫IP提高轉(zhuǎn)發(fā)效率，沒想到卻在VPN路由隔離方面獲得真正應(yīng)用。2.2 EOR 與TOR數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備就是交換機，而交換機就分為機箱式與機架式兩種。當前云計算以大量X86架構(gòu)服務(wù)器替代小型機和大型機，導(dǎo)致單獨機架Rack上的服務(wù)器數(shù)量增多。受工程布線的困擾，在大型數(shù)據(jù)中心內(nèi)EOREnd Of Row構(gòu)造已經(jīng)逐步被TORTop Of Rack構(gòu)造所取代。機架式交換機作為數(shù)據(jù)中心服務(wù)器第一接入設(shè)備的地位變得愈發(fā)不可動搖。而為了確保大量機架式設(shè)備的接入，會聚和核心層次的設(shè)備首要解決的問題就是高密度接口數(shù)量，由此機箱式交換機也就占據(jù)了數(shù)據(jù)中心轉(zhuǎn)發(fā)核心的位置。綜合來說，一般情況下數(shù)

21、據(jù)中心以大型機箱式設(shè)備為核心，機架式設(shè)備為各個機柜的接入2.3網(wǎng)絡(luò)虛擬化云計算就是計算虛擬化，而存儲虛擬化已經(jīng)在SAN上實現(xiàn)得很好了，剩下網(wǎng)絡(luò)虛擬化了。云計算環(huán)境中，所有的服務(wù)資源都成為了一個對外的虛擬資源，那么網(wǎng)絡(luò)不管是從路徑提供還是管理維護的角度來說，都得跟著把一堆的機框盒子進展多虛一統(tǒng)一規(guī)劃。而云計算一虛多的時候，物理服務(wù)器都變成了很多的VM，網(wǎng)絡(luò)層面那么需要對一虛多對通路建設(shè)和管理更精細化。2.3.1 網(wǎng)絡(luò)多虛一技術(shù)網(wǎng)絡(luò)多虛一技術(shù)。最早的網(wǎng)絡(luò)多虛一技術(shù)代表是交換機集群Cluster技術(shù)，多以盒式小交換機為主，較為古老，當前數(shù)據(jù)中心里面已經(jīng)很少見了。而新的技術(shù)那么主要分為兩個方向，控制平

22、面虛擬化與數(shù)據(jù)平面虛擬化?？刂破矫嫣摂M化顧名思義，控制平面虛擬化是將所有設(shè)備的控制平面合而為一，只有一個主體去處理整個虛擬交換機的協(xié)議處理，表項同步等工作。從構(gòu)造上來說，控制平面虛擬化又可以分為縱向與橫向虛擬化兩種方向?？v向虛擬化指不同層次設(shè)備之間通過虛擬化合多為一，相當于將下游交換機設(shè)備作為上游設(shè)備的接口擴展而存在，虛擬化后的交換機控制平面和轉(zhuǎn)發(fā)平面都在上游設(shè)備上，下游設(shè)備只有一些簡單的同步處理特性，報文轉(zhuǎn)發(fā)也都需要上送到上游設(shè)備進展?？梢岳斫鉃榧惺睫D(zhuǎn)發(fā)的虛擬交換機橫向虛擬化多是將同一層次上的同類型交換機設(shè)備虛擬合一，控制平面工作如縱向一般，都由一個主體去完成，但轉(zhuǎn)發(fā)平面上所有的機框和盒子

23、都可以對流量進展本地轉(zhuǎn)發(fā)和處理，是典型分布式轉(zhuǎn)發(fā)構(gòu)造的虛擬交換機。控制平面虛擬化從一定意義上來說是真正的虛擬交換機，能夠同時解決統(tǒng)一管理與接口擴展的需求。但是有一個很嚴重的問題制約了其技術(shù)的開展。服務(wù)器多虛一技術(shù)目前無法做到所有資源的靈活虛擬調(diào)配，而只能基于主機級別當多機運行時，協(xié)調(diào)者的角色等同于框式交換機的主控板控制平面對同一應(yīng)用來說，只能主備，無法做到負載均衡。網(wǎng)絡(luò)設(shè)備虛擬化也同樣如此，以框式設(shè)備舉例，不管以后能夠支持多少臺設(shè)備虛擬合一，只要不能解決上述問題，從控制平面處理整個虛擬交換機運行的物理控制節(jié)點主控板都只能有一塊為主，其他都是備份角色類似于服務(wù)器多虛一中的HA Cluster構(gòu)造

24、。總而言之，虛擬交換機支持的物理節(jié)點規(guī)模永遠會受限于此控制節(jié)點的處理能力。數(shù)據(jù)平面虛擬化數(shù)據(jù)平面的虛擬化，目前主要是TRILL和SPB，他們都是用L2 ISIS作為控制協(xié)議在所有設(shè)備上進展拓撲路徑計算，轉(zhuǎn)發(fā)的時候會對原始報文進展外層封裝，以不同的目的Tag在TRILL/SPB區(qū)域內(nèi)部進展轉(zhuǎn)發(fā)。對外界來說，可以認為TRILL/SPB區(qū)域網(wǎng)絡(luò)就是一個大的虛擬交換機，Ethernet報文從入口進去后，完整的從出口吐出來，內(nèi)部的轉(zhuǎn)發(fā)過程對外是不可見且無意義的。這種數(shù)據(jù)平面虛擬化多合一已經(jīng)是廣泛意義上的多虛一了，此方式在二層Ethernet轉(zhuǎn)發(fā)時可以有效的擴展規(guī)模范圍，作為網(wǎng)絡(luò)節(jié)點的N虛一來說，控制平面

25、虛擬化目前N還在個位到十位數(shù)上晃悠，數(shù)據(jù)平面虛擬化的N已經(jīng)可以輕松到達百位的范疇。但其缺點也很明顯，引入了控制協(xié)議報文處理，增加了網(wǎng)絡(luò)的復(fù)雜度，同時由于轉(zhuǎn)發(fā)時對數(shù)據(jù)報文多了外層頭的封包解包動作，降低了Ethernet的轉(zhuǎn)發(fā)效率。從數(shù)據(jù)中心當前開展來看，規(guī)模擴大是首位的，帶寬增長也是不可動搖的，因此在網(wǎng)絡(luò)多虛一方面，控制平面多虛一的各種技術(shù)除非能夠突破控制層多機協(xié)調(diào)工作的技術(shù)枷鎖，否那么只有在中小型數(shù)據(jù)中心里面應(yīng)用，后期真正的大型云計算數(shù)據(jù)中心勢必是屬于TRILL/SPB此類數(shù)據(jù)平面多虛一技術(shù)的天地。2.3.2網(wǎng)絡(luò)一虛多技術(shù)網(wǎng)絡(luò)一虛多技術(shù)，已經(jīng)根源長遠，從Ethernet的VLAN到IP的VPN

26、都是已經(jīng)成熟技術(shù)，F(xiàn)C里面那么有對應(yīng)的VSAN技術(shù)。此類技術(shù)特點就是給轉(zhuǎn)發(fā)報文里面多插入一個Tag，供不同設(shè)備統(tǒng)一進展識別，然后對報文進展分類轉(zhuǎn)發(fā)。代表如只能手工配置的VLAN ID和可以自協(xié)商的MPLS Label。傳統(tǒng)技術(shù)都是基于轉(zhuǎn)發(fā)層面的，雖然在管理上也可以根據(jù)VPN進展區(qū)分，但是CPU/轉(zhuǎn)發(fā)芯片/內(nèi)存這些根基部件都是只能共享的。目前最新的一虛多技術(shù)是類似Extreme Networks在交換機系統(tǒng)中實現(xiàn)的Virtual Router，和VM一樣可以建設(shè)多個虛擬交換機并將物理資源獨立分配，目前的實現(xiàn)是最多可建設(shè)64個VR，其中有一個用做管理。2.4 VM互訪技術(shù)VEPA隨著虛擬化技術(shù)的成

27、熟和x86 CPU性能的開展，越來越多的數(shù)據(jù)中心開場向虛擬化轉(zhuǎn)型。虛擬化架構(gòu)能夠在以下幾方面對傳統(tǒng)數(shù)據(jù)中心進展優(yōu)化：提高物理服務(wù)器CPU利用率；提高數(shù)據(jù)中心能耗效率；提高數(shù)據(jù)中心高可用性；加快業(yè)務(wù)的部署速度正是由于這些不可替代的優(yōu)點，虛擬化技術(shù)正成為數(shù)據(jù)中心未來開展的方向。然而一個問題的解決，往往伴隨著另一些問題的誕生，數(shù)據(jù)網(wǎng)絡(luò)便是其中之一。隨著越來越多的服務(wù)器被改造成虛擬化平臺，數(shù)據(jù)中心內(nèi)部的物理網(wǎng)口越來越少，以往十臺數(shù)據(jù)庫系統(tǒng)就需要十個以太網(wǎng)口，而現(xiàn)在，這十個系統(tǒng)可能是駐留在一臺物理服務(wù)器內(nèi)的十個虛擬機，共享一條上聯(lián)網(wǎng)線。這種模式顯然是不適宜的，多個虛擬機收發(fā)的數(shù)據(jù)全部擠在一個出口上，單個

28、操作系統(tǒng)和網(wǎng)絡(luò)端口之間不再是一一對應(yīng)的關(guān)系，從網(wǎng)管人員的角度來說，原來針對端口的策略都無法部署，增加了管理的復(fù)雜程度。其次，目前的主流虛擬平臺上，都沒有獨立網(wǎng)管界面，一旦出現(xiàn)問題網(wǎng)管人員與服務(wù)器維護人員又要陷入無止盡的扯皮中。當初虛擬化技術(shù)推行的一大障礙就是責(zé)任界定不清晰，現(xiàn)在這個問題再次阻礙了虛擬化的進一步普及。接入層的概念不再僅僅針對物理端口，而是延伸到服務(wù)器內(nèi)部，為不同虛擬機之間的流量交換提供服務(wù)，將虛擬機同網(wǎng)絡(luò)端口重新關(guān)聯(lián)起來。做為X86平臺虛擬化的領(lǐng)導(dǎo)廠商，VMWare早已經(jīng)在其vsphere平臺內(nèi)置了虛擬交換機vswitch，甚至更進一步，實現(xiàn)了分布式虛擬交互機VDSvnetwor

29、k distributed switch，為一個數(shù)據(jù)中心內(nèi)提供一個統(tǒng)一的網(wǎng)絡(luò)接入平臺，當虛擬機發(fā)生vmotion時，所有端口上的策略都將隨著虛擬機移動。虛擬以太網(wǎng)端口會聚器 HYPERLINK :/w .cn/searchview.aspx?searchtype=Content&searchstr=VEPA o VEPA的最新文章 t _blank VEPA是最新IEEE 802.1Qbg標準化工作的一個組成局部，其設(shè)計目標是降低與高度 HYPERLINK :/ cnw .cn/server-virtualization t _blank 虛擬化部署有關(guān)的復(fù)雜性。如果我們研究一下使用 HYPE

30、RLINK :/w .cn/searchview.aspx?searchtype=Content&searchstr=%D0%E9%C4%E2%BD%BB%BB%BB%BB%FA o 虛擬交換機的最新文章 t _blank 虛擬交換機的傳統(tǒng)方法就會發(fā)現(xiàn)，它與VEPA方法存在很大的不同，VEPA使用戶可以深入了解虛擬化及聯(lián)網(wǎng)中的各項部署挑戰(zhàn)和需要考慮的因素。當您的物理主機上的監(jiān)視程序上有多臺虛擬機每臺虛擬機都包含一套操作系統(tǒng)和多種應(yīng)用時，這些虛擬機在相互通信和與外部世界通信時都要使用虛擬交換機。事實上，虛擬交換機是一種第2層交換機，通常以軟件的形式在監(jiān)視程序內(nèi)運行。每種監(jiān)視程序通常都有一個內(nèi)建的

31、虛擬交換機。不同的監(jiān)視程序所含的虛擬交換機在能力方面也是千差萬別的。當虛擬交換機從聯(lián)網(wǎng)領(lǐng)域轉(zhuǎn)移到服務(wù)器領(lǐng)域時，就有必要針對虛擬環(huán)境對傳統(tǒng)的基于網(wǎng)絡(luò)的工具和解決方案進展重新測試、重新定性和重新部署。從某些方面來說，這種變化會對虛擬化的快速擴展和普及造成阻礙。例如，傳統(tǒng)的網(wǎng)絡(luò)和服務(wù)器運營團隊是截然分開的，每個團隊都有自己的流程、工具和控制范圍。由于虛擬交換機的原因，聯(lián)網(wǎng)進入了服務(wù)器的范疇，因此像供應(yīng)虛擬機這樣的簡單任務(wù)也需要這些團隊之間開展額外的協(xié)調(diào)工作，從而確保虛擬交換機的配置與物理網(wǎng)絡(luò)配置保持一致。由于缺乏網(wǎng)絡(luò)中虛擬機之間流量的可視性，因此涉及到虛擬機之間通信的故障查找和監(jiān)視也變成了一項極具挑

32、戰(zhàn)性的工作。而且隨著虛擬機數(shù)量的增長，單個服務(wù)器中的虛擬機目前已經(jīng)到達8至12臺，并且會在不久的將來到達32至64臺，因此，保護虛擬機彼此不受干擾，以及不受外界威脅的侵害都變成了一項需要認真考慮的問題。從防火墻到IDS/IPS，基于網(wǎng)絡(luò)的傳統(tǒng)設(shè)備和工具都需要針對這些高度虛擬化的環(huán)境重新開發(fā)、重新認證和重新部署，從而確保虛擬機之間通過虛擬交換機的通信能夠滿足法規(guī)一致性和安全方面的要求。由于在虛擬交換機方面缺乏標準，因此會增加涉及不同監(jiān)視技術(shù)的培訓(xùn)、互用性和管理開銷，進入使這些挑戰(zhàn)變得更加復(fù)雜。事實上，物理服務(wù)器正在變成一種全面的網(wǎng)絡(luò)環(huán)境，擁有自身的互用性、部署、認證和測試要求。有趣的是，這種趨勢

33、與虛擬化最 基本的優(yōu)勢之一是背道而馳的，即虛擬化能夠?qū)⒎?wù)器中過剩的容量以更高的效率來運行各類應(yīng)用。目前，這種“服務(wù)器中的網(wǎng)絡(luò)很有可能演變成這些過剩容量的消費方，將CPU和內(nèi)存資源吞噬殆盡。VEPA的方法為應(yīng)用這些挑戰(zhàn)，各方已經(jīng)提出了多種不同的解決方案，其中就包括VEPA。VEPA是一種虛擬交換機替代產(chǎn)品；它不僅進入了標準化進程，而且成為業(yè)界眾多廠商的一致選擇。事實上，VEPA會將服務(wù)器上虛擬機生成的所有流量轉(zhuǎn)移到外部的網(wǎng)絡(luò)交換機上。外部網(wǎng)絡(luò)交換機接下來會為同一臺物理服務(wù)器上的虛擬機和根基設(shè)施的其它局部提供連接。實現(xiàn)這一功能的方法是將一種新型轉(zhuǎn)發(fā)模式融入物理交換機中，使流量能夠從來時的端口“原

34、路返回，從而簡化同一服務(wù)器上虛擬機之間的通信。“原路返回模式或稱“反射中繼可以在需要時將包的單一副本反向發(fā)送至同一臺服務(wù)器上的目的地或目標虛擬機。對于播送或組播流量， HYPERLINK :/w .cn/searchview.aspx?searchtype=Content&searchstr=VEPA o VEPA的最新文章 t _blank VEPA能夠以本地方式向服務(wù)器上的虛擬機提供包復(fù)制能力。傳統(tǒng)上，多數(shù)網(wǎng)絡(luò)交換機都不支持這種“原路返回模式行為，因為它可能會在非虛擬世界中造成環(huán)路和播送風(fēng)暴。然而，許多網(wǎng)絡(luò)廠商都開場支持這種行為，目的就是解決虛擬機交換的問題，而且使用簡單的軟件或固件升級即

35、可實現(xiàn)。IEEE的802.1Qbg工作組還努力將這種行為變成了標準。VEPA能夠以軟件的方式，作為監(jiān)視程序中的瘦層在服務(wù)器中實施，也可以作為網(wǎng)卡中的硬件來實施，在后一種情況下還可以與SR-IOV等PCIe I/O HYPERLINK :/ cnw .cn/server-virtualization t _blank 虛擬化技術(shù)結(jié)合使用。其中一個典型的例子就是Linux KVM監(jiān)視程序中提供的基于軟件的VEPA實施。事實上，VEPA將交換功能移出了服務(wù)器，并且將其放回物理網(wǎng)絡(luò)中，而且讓外部網(wǎng)絡(luò)交換機能夠看到所有的虛擬機流量。通過將虛擬機交換移回物理網(wǎng)絡(luò)，基于VEPA的方法使現(xiàn)有的網(wǎng)絡(luò)工具和流程可

36、以在虛擬化和非虛擬化環(huán)境以及監(jiān)視程序技術(shù)中以一樣的方式自由使用。防火墻和IDS/IPS等基于網(wǎng)絡(luò)的設(shè)備，以及訪問控制列表ACL、服務(wù)質(zhì)量QoS和端口監(jiān)視等成熟的網(wǎng)絡(luò)交換機功能都可以直接用于虛擬機流量和虛擬機之間的交換，因此減少和消除了對虛擬網(wǎng)絡(luò)設(shè)備重新進展昂貴的質(zhì)量判定、測試和部署的需求。此外，VEPA將網(wǎng)絡(luò)管理控制層重新交給了網(wǎng)絡(luò)管理員，為所有與虛擬機相關(guān)聯(lián)網(wǎng)功能的供應(yīng)、監(jiān)視和故障查找提供了一個單一控制點。將網(wǎng)絡(luò)功能從服務(wù)器卸載至網(wǎng)絡(luò)交換機能夠帶來諸多的優(yōu)勢，例如釋放服務(wù)器資源并將其用于更多的應(yīng)用，同時還可在虛擬和非虛擬服務(wù)器之間提供線速交換；從1Gbps至10Gbps，甚至可以到達40Gb

37、ps和更高的100Gbps。因此，基于VEPA的方法有助于擴大虛擬化部署，降低復(fù)雜性和成本，并且加快虛擬化的普及。盡管基于VEPA的方法能夠帶來許多好處，但在某些環(huán)境下，虛擬機間流量的交換最好還是留在服務(wù)器內(nèi)部。例如，在有些環(huán)境下物理服務(wù)器要承擔(dān)虛擬機的巨大負荷，而且這些虛擬機之間的通信非常頻繁，因此為了將延遲降至最低程度，最好的方法是將虛擬機之間的流量留在服務(wù)器內(nèi)部。在此類場景中，可能的方法之一是繞過基于監(jiān)視程序的軟件 HYPERLINK :/w .cn/searchview.aspx?searchtype=Content&searchstr=%D0%E9%C4%E2%BD%BB%BB%BB

38、%BB%FA o 虛擬交換機的最新文章 t _blank 虛擬交換機，利用新型網(wǎng)卡提供的交換硬件能力，即SR-IOV等基于入向I/O虛擬化的能力。同樣，在使用這種方法時，也需要權(quán)衡考慮完全使用“服務(wù)器中的網(wǎng)絡(luò)模型時的安全和成本問題。隨著服務(wù)器虛擬化的廣泛普及，服務(wù)器內(nèi)和服務(wù)器間虛擬機交換流量的復(fù)雜性都在不斷提高。基于VEPA的虛擬機間流量交換方法能夠為基于虛擬交換機的傳統(tǒng)方法提供一種非常有趣且極具吸引力的替代方案。為了向網(wǎng)絡(luò)和服務(wù)器根基設(shè)施提供支持VEPA的能力，此類技術(shù)的標準化工作正在緊鑼密鼓地進展當中。2.5 虛擬機遷移網(wǎng)絡(luò)技術(shù)虛擬服務(wù)器能夠大幅度提升服務(wù)器計算資源利用率，但是仍然只發(fā)揮了

39、虛擬化優(yōu)勢的很小一局部。虛擬化向網(wǎng)絡(luò)的延伸使虛擬機能夠在應(yīng)用程序運行的同時實現(xiàn)在物理服務(wù)器之間的漂移，并按需提供容量，無需增加昂貴且未盡其用的平臺。更重要的是，動態(tài)虛擬機的創(chuàng)立和移動讓管理員能夠迅速響應(yīng)新的請求，從而提高用戶的生產(chǎn)效率和客戶滿意度。但是目前傳統(tǒng)的網(wǎng)絡(luò)設(shè)備并不能滿足這種動態(tài)遷移的需求，這成為虛擬化進程中的瓶頸，而解決這一瓶頸就意味著虛擬化時代的真正到來。將虛擬化優(yōu)勢延伸至網(wǎng)絡(luò)，如何動態(tài)并經(jīng)濟有效地分配資源，來滿足頂峰和低谷時的業(yè)務(wù)需求顯得至關(guān)重要。通常在一個工作日中，對計算資源的需求會從最小量開場增長。虛擬機可以立刻遷移至其它新啟動的服務(wù)器上去，以滿足需求。在工作日完畢時，對計算

40、資源的需求會降低，那時虛擬機可以遷回原來的服務(wù)器，并關(guān)閉不需要的服務(wù)器資源，以簡化管理并降低供電成本。在這個過程中，網(wǎng)絡(luò)的虛擬化至關(guān)重要，網(wǎng)絡(luò)可以使得虛擬機的動態(tài)遷移成為可能，還可以保證在任何情況下對于應(yīng)用的保護，甚至可以使得用戶感覺不到虛擬資源的擴展或縮小。日常的虛擬機遷移只是虛擬機漂移技術(shù)的一種實踐應(yīng)用。當服務(wù)器離線進展維護或發(fā)生故障時，虛擬機也可進展漂移以支持業(yè)務(wù)的連續(xù)性。為了利用這些優(yōu)勢，在硬件平臺間漂移虛擬機相關(guān)的網(wǎng)絡(luò)配置雖并不復(fù)雜，但卻至關(guān)重要且非常耗時。此外，當虛擬機在數(shù)據(jù)中心內(nèi)漂移時，與每臺虛擬機相關(guān)的網(wǎng)絡(luò)層策略必須隨之漂移。這些策略控制著安全、服務(wù)質(zhì)量(QoS)等因素，并因用

41、戶和應(yīng)用的具體情況而異。因此，為每個業(yè)務(wù)應(yīng)用維持相適應(yīng)的網(wǎng)絡(luò)策略對于業(yè)務(wù)運營而言至關(guān)重要。虛擬機從一臺物理服務(wù)器漂移至另一臺之前，與之相關(guān)的網(wǎng)絡(luò)端口配置以及安全策略必須針對目標服務(wù)器進展正確的設(shè)置，以滿足安全需求。如果數(shù)據(jù)中心存在大量的服務(wù)器和虛擬機遷移，那么手動配置會消耗大量的時間和資源。利用網(wǎng)絡(luò)虛擬化的解決方案可使虛擬機遷移相關(guān)的網(wǎng)絡(luò)管理任務(wù)實現(xiàn)自動化，且無需大量的管理人員。針對虛擬機漂移的自動化網(wǎng)絡(luò)管理實現(xiàn)虛擬機漂移的網(wǎng)絡(luò)自動化最關(guān)鍵的，就是構(gòu)建一個包含智能軟件的網(wǎng)絡(luò)交換機，來對單個虛擬機進展配置。傳統(tǒng)的網(wǎng)絡(luò)交換機是通過一個物理端口來與它連接的服務(wù)器進展通信的。而包含智能軟件的交換機，那

42、么能夠?qū)崿F(xiàn)對單個虛擬機的感知，以及對每個虛擬機進展網(wǎng)絡(luò)配置，從而將單個虛擬機屬性擴展到整個網(wǎng)絡(luò)。當虛擬機在整個網(wǎng)絡(luò)遷移時，交換機能夠追蹤這種遷移，并確保網(wǎng)絡(luò)設(shè)置與虛擬機一起實現(xiàn)遷移。虛擬機感知的一個重要方面是能夠與多種架構(gòu)相兼容。被稱為虛擬機監(jiān)控器(VMM)是虛擬化軟件的重要組成之一，它能夠使多種操作系統(tǒng)在單一主機平臺中運行。目前可支持Citrix、微軟、VMwareXen，Oracle等虛擬化平臺。由于數(shù)據(jù)中心通常運行不同的虛擬化架構(gòu)，因此，具備兼容多個虛擬化架構(gòu)的能力至關(guān)重要。研究和開發(fā)部門或許更青睞某一款架構(gòu)，因為它使用戶能夠更好地管理服務(wù)器;而數(shù)據(jù)管理員為了其他用戶也許會統(tǒng)一使用另一款

43、來自指定廠商的虛擬化架構(gòu)?；蛘?，數(shù)據(jù)中心管理員因為價格或其他因素也許會選擇逐步遷移至其它廠商的架構(gòu)，從而創(chuàng)立一個臨時的混合型環(huán)境。而網(wǎng)絡(luò)是承載這些架構(gòu)的根基，網(wǎng)絡(luò)的虛擬化同樣也需要對于混合環(huán)境提供很好的兼容性。基于交換機的虛擬化產(chǎn)品也包含的有價值的特性：跟蹤虛擬機的遷移，無需變更以太網(wǎng)數(shù)據(jù)包，最大限度提高資源利用率。內(nèi)置于交換機的智能軟件可以緩解網(wǎng)絡(luò)管理員的負擔(dān)該架構(gòu)能夠方便用戶在虛擬層中配置網(wǎng)絡(luò)設(shè)定，從而提高生產(chǎn)效率。同時支持多種虛擬化架構(gòu)，最大限度提高靈活性。管理平臺界面簡化管理。針對虛擬化網(wǎng)絡(luò)的解決方案已成為現(xiàn)實。Extreme Networks公司的XNV技術(shù)，能夠搜索虛擬機并使性能和

44、安全設(shè)置與虛擬端口(而非物理端口)相聯(lián)系。使用管理員擁有粒度標準來監(jiān)測每臺虛擬機及其相關(guān)的虛擬端口。XNV還可監(jiān)測虛擬機的創(chuàng)立和遷移，并確保網(wǎng)絡(luò)設(shè)置隨著虛擬機遷移。這些功能都有助于降低由網(wǎng)絡(luò)配置錯誤引起的應(yīng)用宕機風(fēng)險，以及將敏感應(yīng)用暴露給未受權(quán)用戶的安全風(fēng)險。綜上所述，數(shù)據(jù)中心的虛擬化，即“網(wǎng)絡(luò)感知和開放性，是新的數(shù)據(jù)中心的必備能力，只有這樣，用戶才能優(yōu)化資源利用率，降低手動維護安全策略所造成的人工錯誤，因為虛擬化提高了數(shù)據(jù)中心的可用性，并降低了總體擁有成本。第三章方案設(shè)計3.1網(wǎng)絡(luò)總體規(guī)劃數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)，需要考慮到以下的一些因素：系統(tǒng)的先進程度、系統(tǒng)的穩(wěn)定性、可擴展性、系統(tǒng)的維護成本、應(yīng)

45、用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的配合度、與外界互連網(wǎng)絡(luò)的連通、建設(shè)成本的可承受程度。網(wǎng)絡(luò)整體設(shè)計采用國際通行的TCPIP協(xié)議，并到達以下目標：1系統(tǒng)可靠性和穩(wěn)定性作為高性能園區(qū)網(wǎng)絡(luò)，系統(tǒng)的高可靠性和穩(wěn)定性是網(wǎng)絡(luò)應(yīng)用環(huán)境正常運行的首要條件。在保證系統(tǒng)可靠性的根基上，還要進一步提高系統(tǒng)的可用性。我們可以從以下幾個方面來提供保證。網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)具有很高的平均無故障時間，并且在業(yè)界有廣泛的用戶根基；關(guān)鍵網(wǎng)絡(luò)設(shè)備冗余工作，其關(guān)鍵部件可實現(xiàn)在線更換熱拔插，故障的恢復(fù)時間在秒級間隔內(nèi)完成；網(wǎng)絡(luò)在設(shè)備、拓撲以及線路等方面均應(yīng)具有較高的可靠性，以保證每周7*24小時，每年365*24小時的正常工作。2開放性和標準化為了保

46、證在網(wǎng)絡(luò)時保證不同設(shè)備的互通性，所以網(wǎng)絡(luò)系統(tǒng)在設(shè)計時必須采用開放技術(shù)、支持國際標準協(xié)議，具有良好的互連互通性，保證支持同一廠家的不同系列的產(chǎn)品以及與不同廠商的不同網(wǎng)絡(luò)設(shè)備無縫連接和互操作的能力。3具有高處理能力、可擴展性現(xiàn)支持各種高速網(wǎng)絡(luò)快速以太網(wǎng)、千兆以太網(wǎng)、萬兆以太網(wǎng)等技術(shù)，提高對數(shù)據(jù)包的轉(zhuǎn)發(fā)能力和速度，提供足夠的網(wǎng)絡(luò)帶寬。支持各種協(xié)議并存，可靈活地構(gòu)成不同系統(tǒng)，并可方便地從拓撲的角度和設(shè)備的角度擴展，方便升級以滿足將來業(yè)務(wù)增長的需要。在網(wǎng)絡(luò)設(shè)計時，為了適應(yīng)用戶快速增長的需要，首先要滿足現(xiàn)有規(guī)模網(wǎng)絡(luò)用戶和應(yīng)用的需求，同時考慮未來業(yè)務(wù)開展、規(guī)模的擴大，應(yīng)該設(shè)計關(guān)鍵網(wǎng)絡(luò)設(shè)備具備擴展能力以及網(wǎng)絡(luò)

47、實施新應(yīng)用的能力。靈活擴大性：靈活的端口擴大能力，模塊擴大能力，滿足網(wǎng)絡(luò)規(guī)模的擴大。支持新應(yīng)用的能力：產(chǎn)品具有支持新應(yīng)用的技術(shù)準備，能夠符合實際要求的，方便快捷地實施新應(yīng)用。4系統(tǒng)的先進、成熟、實用性及可管理和可維護性當今世界，通信技術(shù)和計算機技術(shù)的開展日新月異，網(wǎng)絡(luò)設(shè)計既要適應(yīng)新技術(shù)開展的潮流，保證系統(tǒng)的先進性，也要兼顧技術(shù)的成熟性、實用性，選擇最適宜的設(shè)備和技術(shù)，降低由于新技術(shù)和新產(chǎn)品不成熟因素給用戶帶來的風(fēng)險。在系統(tǒng)設(shè)計中，選擇先進的系統(tǒng)管理軟件是必不可少的。我們在這里采用我們通過這個統(tǒng)一的管理平臺的控制，監(jiān)控主機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)狀態(tài)，簡化管理工作，提高了主機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的利用

48、效率。提供先進而完善的網(wǎng)絡(luò)管理工具，監(jiān)控網(wǎng)絡(luò)故障，優(yōu)化網(wǎng)絡(luò)性能，實現(xiàn)一體化的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理基于SNMP，支持RMON和RMON2。5系統(tǒng)安全性和保密性現(xiàn)在我們網(wǎng)絡(luò)內(nèi)接入的用戶對網(wǎng)絡(luò)的好奇心，促使會攻擊我們內(nèi)部網(wǎng)絡(luò)，我們制訂統(tǒng)一的安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性，能夠提供不同方式不同級別的安全策略，保證網(wǎng)絡(luò)重要用戶和數(shù)據(jù)服務(wù)器的安全性。所以說安全性是網(wǎng)絡(luò)運行的生命線。合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的信息資源得到有效的保護。網(wǎng)絡(luò)可以阻止任何非法的操作；網(wǎng)絡(luò)設(shè)備可進展基于協(xié)議、基于MAC地址、基于IP地址的包過濾控制功能，不同的業(yè)務(wù)，劃分到不同的虛網(wǎng)中。6保護用戶現(xiàn)有投資及效益性在保證網(wǎng)

49、絡(luò)整體性能的前提下，網(wǎng)絡(luò)設(shè)計充分保護用戶投資及效益性，利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級，在原設(shè)備的根基上，進展網(wǎng)絡(luò)建設(shè)，防止用戶投資的重復(fù)浪費，在滿足用戶需求和未來開展的趨勢情況下，采用性價比高的設(shè)備，構(gòu)筑經(jīng)濟可靠的網(wǎng)絡(luò)平臺，使新系統(tǒng)更有效地承擔(dān)繁重的任務(wù)，能支持將來系統(tǒng)的維護和平滑升級。所采用的設(shè)備應(yīng)是當今業(yè)界的主流產(chǎn)品，采用主流技術(shù)、標準協(xié)議，具有良好的互操作性，減少設(shè)備互連的問題，網(wǎng)絡(luò)維護的費用，使用戶的投資得到有效保護。3.2省級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計對于省級數(shù)據(jù)中心，一般規(guī)劃為大約五百臺高性能服務(wù)器，在這種模式下，可以規(guī)劃2-3層網(wǎng)絡(luò)連接模式以以下圖為3層如上圖所示，一般情況下，大型數(shù)據(jù)中

50、心采用2-3層網(wǎng)絡(luò)構(gòu)造，以3層構(gòu)造為例，采用2臺高性能Extreme Networks BD8800核心交換機，提供48個四萬兆40G接口，通過40G通道下聯(lián)到會聚層Summit X670系列交換機。每臺Extreme Networks Summit X670交換機提供48-60個萬兆萬兆接口，并提供四萬兆接口上聯(lián)，萬兆下聯(lián)Summit X460交換機，通過X460交換機使用千兆連接所有服務(wù)器。但是對于新型的大型數(shù)據(jù)中心，萬兆網(wǎng)絡(luò)連接已經(jīng)成為主流，所以一般使用萬兆連接服務(wù)器，那么直接將網(wǎng)絡(luò)簡化為如下2層：萬兆以太網(wǎng)技術(shù)目前已成為建設(shè)大中型數(shù)據(jù)中心網(wǎng)絡(luò)的主流技術(shù)。為實現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)平臺的功能，并考慮

51、網(wǎng)絡(luò)在性能、容量、擴展性、先進性和服務(wù)質(zhì)量等方面的要求，經(jīng)過對交換以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、萬兆以太網(wǎng)不同網(wǎng)絡(luò)架構(gòu)在VLAN虛擬局域網(wǎng)技術(shù)、第三層或多層交換技術(shù)、QoS、ACL等方面的性能表現(xiàn)及成本分析，確定將高密度端口的萬兆以太網(wǎng)交換機作為整個信息網(wǎng)絡(luò)的接入設(shè)備。通過將萬兆以太網(wǎng)、千兆以太網(wǎng)、VLAN技術(shù)、三層路由交換、局域網(wǎng)中的QoS、ACL技術(shù)與投資經(jīng)濟性實現(xiàn)完美的有機結(jié)合，建設(shè)一個具有成熟的先進技術(shù)，同時又可簡便維護和安全使用的網(wǎng)絡(luò)。在省級網(wǎng)絡(luò)設(shè)計中，我們最終推薦核心到接入交換機40G連接，接入到服務(wù)器10G連接。3.3市級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計市級數(shù)據(jù)中心一般采用小于100臺服務(wù)器，

52、根據(jù)省級網(wǎng)絡(luò)的建設(shè)設(shè)計，我們同樣使用萬兆進展連接，這里采用一臺Summit X670系列交換機。每臺Extreme Networks Summit X670交換機提供64個萬兆萬兆接口，或者采用X670交換機堆疊，提供112個萬兆端口，如以以下圖所示：3.4區(qū)縣級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計區(qū)縣級數(shù)據(jù)中心，一般采用普通企業(yè)級服務(wù)器，不進展大規(guī)模數(shù)據(jù)集中，所以一般只適用千兆進展接入，所以采用兩臺千兆交換機Extreme Networks Summit X460進展互聯(lián)，通過冗余備份設(shè)置，千兆連接內(nèi)部所有服務(wù)器。3.5省、市、區(qū)/縣數(shù)據(jù)中心互聯(lián)設(shè)計對于大多數(shù)行業(yè)客戶如醫(yī)療、教育或政府等，其數(shù)據(jù)中心不只為本地市

53、提供數(shù)據(jù)交換和處理，同時各級數(shù)據(jù)中心之間還需要進展數(shù)據(jù)的遠程交換和共享，從而充分發(fā)揮多級數(shù)據(jù)中心架構(gòu)的優(yōu)勢，使各級數(shù)據(jù)中心協(xié)同工作、遠程交換、數(shù)據(jù)共享和統(tǒng)一管理。因此省、市、區(qū)/縣數(shù)據(jù)中心的互聯(lián)也勢在必行。3.5.1省、市數(shù)據(jù)中心互聯(lián)省數(shù)據(jù)中心由于數(shù)據(jù)量較大，需要同時會聚地市一級數(shù)據(jù)中心，因此在省數(shù)據(jù)中心推薦配置兩臺MP7508作為核心會聚路由器，并互為備份。MP7508會聚路由器通過1000M光接口連接省數(shù)據(jù)中心核心交換機BD8800，再通過1000M MSTP或155M SDH/ATM網(wǎng)絡(luò)分別連接各個地市數(shù)據(jù)中心上聯(lián)路由器MP7204，地市上聯(lián)路由器MP7204通過1000M光接口連接其核

54、心交換機X670。由于MP7508和MP7204路由器的高性能，從而實現(xiàn)省、市數(shù)據(jù)中心的高速互聯(lián)，其軟/硬件高可靠性設(shè)計以及每個節(jié)點采用雙機備份的方式，實現(xiàn)了數(shù)據(jù)傳輸?shù)母呖煽啃院头€(wěn)定性；另外我們可采用MPLS等安全技術(shù)，進一步保證數(shù)據(jù)傳輸?shù)陌踩浴?.5.2市、區(qū)/縣數(shù)據(jù)中心互聯(lián)根據(jù)不同的行業(yè)和應(yīng)用,市數(shù)據(jù)中心與區(qū)/縣數(shù)據(jù)中心之間數(shù)據(jù)流量不同，在數(shù)據(jù)流量較大的應(yīng)用中，市數(shù)據(jù)中心采用MP7204中心會聚路由器通過100M或1000M MSTP線路連接各個區(qū)/縣數(shù)據(jù)中心MP3840會聚路由器；對于數(shù)據(jù)流量較小的行業(yè)或應(yīng)用，市數(shù)據(jù)中心MP7204可采用155M SDH線路，采用2M復(fù)用的方式連接各個

55、區(qū)/縣數(shù)據(jù)中心MP2824，區(qū)/縣數(shù)據(jù)中心可根據(jù)實際帶寬需求采用2M或N*2M鏈路捆綁方式接入市數(shù)據(jù)中心。同樣為了提高互聯(lián)的可靠性，地市會聚路由器和區(qū)/縣上聯(lián)路由器均采用雙機雙線路冗余備份方式，確保數(shù)據(jù)傳輸?shù)母呖煽啃浴?.5.3數(shù)據(jù)中心安全解決方案雖然數(shù)據(jù)中心處于一個相對安全的私有網(wǎng)絡(luò)環(huán)境，不同級別的數(shù)據(jù)中心也可通過運營商專有線路進展互聯(lián)互通，其內(nèi)部數(shù)據(jù)中心和傳輸線路上有一定的安全保障。同時為提高數(shù)據(jù)中心的開放度和利用率，以及遠程管理等，其勢必要與外部網(wǎng)絡(luò)或internet進展數(shù)據(jù)的互聯(lián)互通，為外部或互聯(lián)網(wǎng)用戶提供數(shù)據(jù)業(yè)務(wù)和管理。因此在數(shù)據(jù)中心的邊界需要充分考慮其接入和互聯(lián)互通的安全性，需要有

56、效的的邊界隔離，可以實現(xiàn)對非法訪問的阻斷；其二是有效的身份識別與訪問控制功能，可以實現(xiàn)對源地址的定位、識別和控制；其三是建設(shè)有效的對抗攻擊能力，實現(xiàn)對異常流量、惡意代碼、有目標的滲透等情況的鑒別和防護；其四是建設(shè)深度應(yīng)用識別與攻擊檢測，對應(yīng)用數(shù)據(jù)包進展深度檢測，防范欺騙；其五是可以實現(xiàn)業(yè)務(wù)間隔離與帶寬資源控制，保障重要業(yè)務(wù)訪問；其六是保護數(shù)據(jù)傳輸安全，防止數(shù)據(jù)被竊聽和篡改；同時，還必須具有高可靠性的安全設(shè)備來防止由于高并發(fā)訪問量、系統(tǒng)故障等突發(fā)情況而帶來的訪問不便。此外，由于邊界是數(shù)據(jù)中心正常運行的重要節(jié)點，部署安全產(chǎn)品必須具有便于管理的特點，這就要求設(shè)備能夠適應(yīng)不同的網(wǎng)絡(luò)環(huán)境，配置盡量簡單方

57、便，特征庫能夠自動升級，可以提供豐富的訪問審計功能，能夠?qū)α髁窟M展有效監(jiān)控，能夠提供豐富的攻擊統(tǒng)計，使數(shù)據(jù)中心系統(tǒng)管理員能夠充分掌握數(shù)據(jù)中心的安全態(tài)勢，為不斷地優(yōu)化安全策略提供依據(jù)。因此我們建議采用綜合的安全網(wǎng)關(guān)作為數(shù)據(jù)中心邊界接入和隔離，為其提供用戶安全接入、抗攻擊、入侵檢測、防病毒、高性能VPN、帶寬管理等綜合安全解決方案，防止了采用多廠家多型號的安全產(chǎn)品而帶來的管理和維護上的安全風(fēng)險。以下為數(shù)據(jù)中心安全解決方案：在省、市、區(qū)/縣數(shù)據(jù)中心邊界，我們采用MSG4000綜合安全網(wǎng)關(guān)作為外部移動用戶、遠程管理以及第三方平臺等用戶和平臺的接入。MSG4000作為一款綜合安全產(chǎn)品，可根據(jù)用戶需求提供

58、從100M到10G不同性能需求，省、市、區(qū)/縣數(shù)據(jù)中心可根據(jù)實際需要選用不同性能層次的MSG4000；同時MSG4000在功能上可為客戶提供安全防護、病毒過濾、入侵檢測、應(yīng)用識別、流量管理、WEB訪問控制、上網(wǎng)行為管理以及IPSEC/SSL VPN等功能，滿足客戶整個安全防護的需求，從而防止了由于設(shè)備數(shù)量、種類較多帶來的維護和管理上的不安全因素。第四章方案的新技術(shù)特點4.1量身定制的數(shù)據(jù)中心網(wǎng)絡(luò)平臺4.1.1最先進的萬兆以太網(wǎng)技術(shù)Extreme公司作為以太網(wǎng)技術(shù)的先驅(qū)，一直致力于生產(chǎn)嚴格遵循業(yè)界標準的以及可與其他廠商兼容的產(chǎn)品，Extreme Networks是由100家國際知名網(wǎng)絡(luò)公司組成的

59、千兆以太網(wǎng)聯(lián)盟和萬兆以太網(wǎng)聯(lián)盟的領(lǐng)導(dǎo)者。Extreme交換機的10GB以太網(wǎng)模塊在世界上第一個實現(xiàn)單跳網(wǎng)絡(luò)傳輸1 TB數(shù)據(jù)流量。Extreme公司一直走在10GB以太網(wǎng)交換技術(shù)開發(fā)的前沿，公司的發(fā)起人及首席技術(shù)官Steve Haddock現(xiàn)任IEEE 802.3ae任務(wù)小組副主席，該小組已經(jīng)為10-GB以太網(wǎng)開發(fā)了行業(yè)標準。Extreme Networks的Tony Lee自2000年3月起，在兩年任期內(nèi)擔(dān)任萬兆以太網(wǎng)聯(lián)盟主席，另一名Extreme Networks技術(shù)專家Ameet Dhillon目前那么擔(dān)任萬兆以太網(wǎng)聯(lián)盟理事。Extreme交換機的擴大能力和高端交換性能標志著基于標準的高性

60、能以太網(wǎng)技術(shù)的重大進步。萬兆以太網(wǎng)市場的全球市場占有率：Extreme在萬兆網(wǎng)絡(luò)應(yīng)用從初期就一直保持著市場領(lǐng)先地位4.1.2硬件全線速處理技術(shù)網(wǎng)絡(luò)業(yè)務(wù)的不斷增多，各種應(yīng)用的流行，對網(wǎng)絡(luò)也提出了新的要求，傳統(tǒng)的以太網(wǎng)交換機由于基于共享的設(shè)計理念，對于音頻、視頻以及數(shù)據(jù)的各種業(yè)務(wù)的傳輸是無法識別區(qū)分的，對于多媒體業(yè)務(wù)的開展需要更智能的設(shè)備來支撐。高速的網(wǎng)絡(luò)數(shù)據(jù)傳輸應(yīng)用已經(jīng)不是一個高級網(wǎng)絡(luò)唯一的重要指標。網(wǎng)絡(luò)的開展方向是支持線速無阻塞地傳輸各種多媒體等高級應(yīng)用，在開啟各種網(wǎng)絡(luò)應(yīng)用和功能的情況下，保證網(wǎng)絡(luò)暢通。這也是Extreme公司的強大技術(shù)優(yōu)勢所在。Extreme的智能網(wǎng)方案采用先進的組播技術(shù)和Q