高校云数据中心方案建议书

高校云数据中心方案建议书内容摘要：

键技术 (详细参见 章节相关介绍 )，在保证数据中心的高可靠的同时，简化网络运维管理，同时提供了智能化的管理工具平台。 . 核心交换区  功能描述 核心交换区 的主要功能是完成 各服务器功能分区、办公局域网、 外联网 、互联网 之间数据流量的高速交换，是广域 /局域纵向流量与服务功能分区间横向流量的交汇点。 核心交换区必须具备高速转发的能力，同时还需要有很强的扩展能力，以便应对未来业务的快速增长。 核心模块是整个平台的枢纽。 因此，可靠性是衡量核心交换区设计的关键指标。 否则，一旦核心模块出现异常而不能及时恢复的话，会造成整个平台业务的长时间中断，影响巨大。  拓扑 设计  设计要点 1. 高可靠 核心交换 设备选用数据中心级核心交换机，配置双引擎，双电源，保证网络组件层面的稳定性。 高校 数据中心网络及安全方案建议书 14 网络架构层面，采用双核心设计，两台设备进行冗余，并通过虚拟化技术进行横向整合，将两台物理设备虚拟化为一台逻辑设备，并实现跨设备的链路捆绑，所各分区的交换机 IRF相配合，实现端到端 IRF 部署。 两台设备工作在双活模式，缩短链路故障与设备故障的倒换时间 (毫秒级 )，保证出现单点故障时不中断业务。 为保证出现单点故障 (链路 /设备 )时另一台设备能够完全接管业务，各功能模块通过 “ 口 ”字形 上行与核心模块互连。 2. 高速传输 本次网络设计容量应保证未来 3～ 5 年内的业务扩展，本设计采用“万兆到核心，千兆接入”的思路，核心模块对外接口为全万兆接口。 3. 易于扩展 按照“核心－边缘架构”的设计原则，核心模块应避免部署访问控制策略（如 ACL、路由过滤等），保证核心模块业务的单纯性 与松耦合 ，便于下联功能模块扩展时， 不 影响核心业务，同时可以提高核心模块的稳定性。 4. 智能分析 针对各个区域的业务流量变化趋势，本次在核心交换机上 部署网络流量分析模块，可以实时感知，并作为网络优化及调整的依据。 . 服务器接入 区  功能描述 服务器接 入 区 用于完成服务器的 LAN 网络接入，依照 章节的业务分区设计，涉及到服务器接入的业务分区包括 应用区、 ERP/财务应用区、开发测试区、支撑管理区、其它应用区，这些区域虽然部署的应用服务器类型不一样，设备的选型要求也不一样，但对于网络拓扑设计来说是一样的，因此在方案设计时，这些区域的网络拓扑设计将在此统一进行描述。  拓扑 设计 高校 数据中心网络及安全方案建议书 15 注： 应用区 若部署院线 WEB 服务器， 则 服务器接入交换机上除了部署 FW 插卡外，还顼要部署 IPS 和 SLB 插卡。  设计要点 1. 服务器接入交换机部署双机，并采用 IRF 虚拟化，将两台物理设备虚拟化为一台逻辑设备，实现跨设务链路捆绑，与核心交换 机 配合实现端到端 IRF。 此外服务器双网关配置成双活模式（ ActiveActive）， ； 2. 各服务器接入交换机上部署 SecBlade FW 插卡，用于本区域与其它区域的访问控制策略部署。 应用区部署 FW+IPS+LB 插卡； 3. 服务器网关部署在接入交换机上，防火墙插卡与接入交换机以及核心交换机之间运行OSPF 动态路由，实现 FW 的双机热备。 . 互联网 区  功能描述 互联网区用于部署 学校 WEB 服务器 以及 学校 的 DNS、 FTP、 Email 等需要通过互联网对公众用户提供服务器的应用系统。  拓扑 设计 高校 数据中心网络及安全方案建议书 16  设计要点 1. Inter 出口采用双运营商链路，保证用户访问效率的同时，实现链路的冗余； 2. 服务器接入交换机部署双机，并采用 IRF 虚拟化，将两台物理设备虚拟化为一台逻辑设备，实现跨设务链路捆绑，与 服务器双网卡配合实现双活 (ActiveActive)； 3. 采用双层防火墙部署，外层防火墙用于实现 Inter 与 WEB、 DNS、 Email、 FTP 等公网服务器的隔离，实现公网服务器的分域，并配置 DMZ 区域保证安全。 内层防火墙用于实现公网服务器与数据中心内部其它服务器之间的隔离，部署内部区域间的访问控制策略。 外层防火墙采用独立设备、内层防火墙采用在服务器接入交换机上部署 SecBlade FW 插卡。 4. 由于 Inter 区部署了较多的网站等 WEB 服务器，因此需要部署 LB 和 IPS 设备。 来保证负载分担和 L2~L7 层安全过滤。 . 外联网 区  功能描述 外 联网区用于 实现与合作单 位的专线网络进行互联，并部署合作单位的前置机服务器。 高校 数据中心网络及安全方案建议书 17  拓扑 设计  设计要点 1. 服务器接入交换机部署双机，并采用 IRF 虚拟化，将两台物理设备虚拟化为一台逻辑设备，实现跨设务链路捆绑，与 服务器双网卡配合实现双活 (ActiveActive)； 2. 采用双层防火墙部署，外层防火墙用于实现 前置机 服务器 与合作单位网络 的隔离， 可部署 NAT。 内层防火墙用于实现前置机 服务器与数据中心内部其它服务器之间的隔离，部署内部区域间的访问控制策略。 外层防火墙 H3C SecBlade FW 插卡、内层防火墙可采用非 H3C 的第三方 FW 独立设备进行异构，加强安全性。 3. 服务器接入交换机上 部署 SecBlade IPS 插卡，实现 L2~L7 层安全过滤。 . 广域网接入 区  功能描述 广域网接入 区用于实现与 网络汇聚中 心的互连，保证 学校 内部用户通过广域网访问数据中心内的业务系统。  拓扑 设计 高校 数据中心网络及安全方案建议书 18  设计要点 1. 广域网出口路由器部署双机，出口链路为双链路，保证广域网出口高可靠 ； 2. 防火墙 采用路由器上部署 SecBlade FW 插卡。 . 灾备接入区  功能描述 灾备接入区用于实现数据中心与大连灾备中心的互连，实现 SAN和 LAN 网络双中心的互通，保证数据同步复制。 同时通过将两中心的 VLAN 二层打通，实现跨数据中心的大二层网络，便于虚拟机业务迁移和跨地域服务器集群。  拓扑 设计 高校 数据中心网络及安全方案建议书 19  设计要点 1. 数据中心与大连灾备中心之间采用双路裸纤做灾备互连链路，并采用 DWDM 进行复用。 2. SAN 网络直接通过光纤上 DWDM 波分设备，实现数据存储备份通道的互通。 LAN 网络通过在服务器网关交换机设备上通过 VLAN Trunk 到汇接交换机，然后再上 DWDM 设备，实现双中心之间的大二层 VLAN 互通。 3. 汇接交换机部署 IRF，实现双纤捆绑，保证链路的可靠性。 4. 跨地域的二层打通后，可以实现网关设备跨地域部署 VRRP，保证双中心服务器集群时网关的切换。 高校 数据中心网络及安全方案建议书 20 . 安全设计 . 安全设计原则 安全与网络密不可分，本方案中的安全设计部署采用了与网络分区相同的安全域划分，同时采用 SecBlade 安全插卡实现了网络与安全设备形态的融合。 整个方案的安全部署采用了目前应用广泛的“分布式安全部署”方法，如下图右侧所示： 分布式安全部署具有以下优势：  分散风险： 传统的集中式安全部署一般将防火墙旁挂在核心交换机两侧，这样一旦防火墙出现故障，数据中心内的所有业务区都将不能访问，整个数据中心的所有业务均会中断，风险和性能压力都集中在防火墙上。 而采用分布式部署后，防火墙出现故障只会影响到本区域的业务，进而实现风险和性能的分散，提高了整个数据中心的可靠性；  灵活扩展： 分部式安全部署，核心交换机原则上不部署任何与业务分区之间的安全策略，可实现核心区与各业务分区之间的松耦合，在新增模块或业务系统时，无需更改核心设备的配置，减小核心区出现故障的机率，保证核心区的高可靠与业务分区的 灵活扩展；  简化安全策略部署： 防火墙下移到各业务分区的出口，防火墙上部署的安全策略可大大简化，默认仅需要划分两个安全域（受信域与非受信域），采用白名单方式下发策略，减少了策略的交叉。 . SecBlade FW 插卡部署 防火墙设备在数据中心网络架构中为内部系统提供了安全和可靠性保障。 防火墙主要部高校 数据中心网络及安全方案建议书 21 署在数据中心的两个常见区域中：数据中心出口区域和服务器区域。 在数据中心出口区域部署防火墙可以保障来自 Inter 和合作伙伴的用户的安全性，避免未经授权的访问和网络攻击。 在数据中心服务器区域部署防火墙可以避免不同服务 器系统之间的相互干扰，通过自定义防火墙策略还可以提供更详细的访问机制。 防火墙插卡设备虽然部署在交换机框中，但仍然可以看作是一个独立的设备。 它通过交换机内部的 10GE 接口与网络设备相连，它可以部署为 2 层透明设备和三层路由设备。 防火墙与交换机之间的三层部署方式与传统盒式设备类似。 如上图 FW 三层部署 所示，防火墙可以与宿主交换机直接建立三层连接，也可以与上游或下游设备建立三层连接，不同连接方式取决于用户的访问策略。 可以通过静态路由和缺省路由实现三层互通，也可以通过 OSPF 这样的路由协议提供动态的路由机制。 如果防火墙部署在服务器区域，可以将防火墙设计为服务器网关设备，这样所有访问服务器的三层流量都将经过防火墙设备，这种部署方式可以提供 区域内部 服务器之间访问的安全性。 数据中内部，整体安全采用分布式部署设计，已经对不同的业务系统进行了分区，整体安全边界清晰。 为简化 SecBlade FW 的配置，提高网关性能 ， 将服务器的网关均部署在接入交换机上， SecBlade FW 插卡仅部署本分区内与其它分区之间的安全策略。 若本分区内各服务器之间有隔离需求，建议 在接入交换机上采用 ACL 方式实现。 如下图所示： 高校 数据中心网络及安全方案建议书 22 对于仅部署 SecBlade FW 插卡的业务区（如 ERP/财务、开发测试、支撑管理、外联网区 ） ，区域内的安全部署逻辑拓扑如下图所示：  接入交换机双机部署 IRF 虚拟化，并实现跨设备链路捆绑。 两块 SecBlade FW 插卡逻辑上相当于插在同一台交换机上。  每台接入交换机逻辑上均可以看成一台 L2 交换机与一台 L3 交换机的叠加，服务器网关部署在交换机上。  SecBlade 通过内部的 10GE 接口与交换机互连，并创建多个 L3 接口 进行引流，让所有流经服务器的流量均经过 FW 过滤。 两块 FW 插卡通过带外状态同步线（心跳线）进行状高校 数据中心网络及安全方案建议书 23 态同步， FW 插卡之间通过 OSPF 动态路由实现热备或负载分担（ ECMP）。 . SecBlade FW+IPS+LB 组合部署 对于 数据中心的 应用区、互联网应用区，需要涉及到 FW+IPS+LB 的组合部署， FW 插卡的基本特性 章节已做描述，下面先介绍 IPS 和 LB 插卡的基本组网：  SecBlade IPS 基本组网设计 SecBlade IPS 插卡为数据中心内部提供了更坚固的安全保护机制。 通过 IPS 的深度检测功能可以有效保护内部服务器避免受到病毒、蠕虫、程序漏洞和 DDOS 等来自应用层的安全威胁。 IPS 插卡通过 OAA（开放的应用架构）技术与宿主交换机配合使用。 可以 通过传统的流量重定向方式将需要 IPS 处理的业务流重定向到 IPS 插卡上处理，也可以通过 OAA 方式在IPS 的 Web 页面上配置重定向策略，这两种方式都可以实现相同的功能。 由于不同交换机设备对 OAA 的支持程度 不同。 我们推荐在 本方案中采用重定向策略引流。 由于 IPS 插卡在整个网络中属于 2 层透明转发设备，不会对报文进行任何修改，整个网络从连通性上看加入 IPS 后不会产生任何变化影响。 因此建议实施的时候将其放在最后进行上线配置，即其他设备都调试 OK，流量转发与 HA 设计都以正常实现情况下再进行 IPS 的部署实施。 SecBlade IPS 组网结构流量图 SecBlade IPS 不会对报文进行任何修改，对于上 IPS 处理的报文，非 OAA 方式只能通过 VLAN 区分流量是属于外部域还是内部域。 所以在组网设计中需注意非 OAA 方式重定向到IPS 插卡的业务流上下行流量需为不同 VLAN。 由于 IPS 插卡不具有双机热备功能，通过组网设计，部分环境可以做到 IPS 故障的切换，部分环境中当 IPS 故障后，重定向功能失效，业高校 数据中心网络及安全方案建议书 24 务流将不能继续受到 IPS 的安全保护，流量在短暂中断后仍然可以保证连续性。  SecBlade LB 板卡设计部署 LB 插卡具备两大主要功能，服务器负载均衡和链路负载均衡，分别应用于数据中心 服务器区和 Inter 出口区域。 服务器负载均衡为数据中心服务器区性能的扩展和资源利用的优化提供完美的解决方案。 链路负载均衡非常有效的部署在数据中心多出口的组网环境中，可以同时对多条广域网链路优化资源利用。 LB。