《数据中心项目解决方案ppt课件.ppt》由会员分享,可在线阅读,更多相关《数据中心项目解决方案ppt课件.ppt(37页珍藏版)》请在三一办公上搜索。
1、2022/11/11,数据中心解决方案,Page 2,Contents,总体网络概述数据中心业务实现高可靠性安全保护,数据中心网络概览,Page 3,三网分离的数据中心网络,业务网络、管理网络和备份网络流量分离,服务器通过不同的网卡分别接入不同的网络,通过数据中心骨干网络进行互联分离的网络可以保证数据中心网络的高性能及高安全性,同时方便管理,Page 4,数据中心管理网络,管理网络全部采用单链路实现服务器支持带内管理(网卡)和带外管理(KVM网络)运维中心可以通过KVM直接管理数据中心里的服务器,也可以通过KVM操作网管系统,通过带内网管间接管理数据中心里的服务器,Page 5,数据中心存储备
2、份网络,存储支持SAN和NAS存储,满足不同的业务需要(数据库和文件级)备份时,服务器使用一个网卡连接备份网络,使用NAS存储时,可复用此网卡备份网络一般通过GE/10GE/DWDM光纤网络连接二级数据中心进行异地数据备份,当然也可以直接进行本地备份,Page 6,数据中心业务网络典型组网模式,网络架构采用业界成熟的三层架构:接入、汇聚、核心防火墙和负载均衡器采用外挂汇聚层交换机的方式进行部署,网络层次简单,高靠性,Page 7,T bit路由交换平台10G接口连接外网:9300/NE40E,FW、负载均衡器IPS/IDS在此部署, 保证网络安全,提高网络效率:5300/9300,G bit数
3、据接入,大容量考虑引入堆叠及上行端口聚合:5300系列,弹性的网络架构,接入层和汇聚层可以根据需要进行扩展大型网络采用分区设计,共享一个核心层;整个网络分步建设、方面数据中心扩容及管理交换机堆叠、链路聚合技术使网络扩容更加方便,Page 8,交换与路由层次划分,汇聚层交换机二层和三层网络的分界点,上面为三层路由,下面为二层交换使用负载均衡的服务器,网关在负载均衡器,不使用负载均衡的服务器,网关在防火墙,Page 9,服务器的分区设计,服务器群根据业务的不同分为不同的业务区域,逻辑进行业务隔离保障安全,防止跨区的越权访问和入侵、病毒感染根据业务重要性的不同进行分区,可以提供不同的网络服务水平,提
4、供QOS保障多个业务区可共享一个汇聚层模块,也可能一个业务区应用多个汇聚层模块,Page 10,不同类型服务器的接入位置,中低端机架服务器,数量众多,通过接入层交换机接入;高端服务器/大型机,数量较少且重要性高,直接接在汇聚层交换机上,保证带宽;没有内置交换机的刀片服务器,通过接入层交换机接入;内置交换机的刀片服务器,直接接在汇聚层交换机上,减少交换网络的层级,提升网络性能;,Page 11,高端服务器/大型机,服务器的三层架构,基于Web的应用程序一般采用Web、application、database 三层架构,各层之间通过防火墙进行安全隔离;处于性能考虑,web-app-db之间可以采取
5、ACL实现三种不同类型的服务器网络连接采用不同的VLAN来识别三个VLAN的流量都经过负载均衡和防火墙,所以负载均衡和防火墙可以为三个层次所共用三个层次也可以直接用物理网络进行划分,服务器之间部署交换机,同时附带防火墙和均衡器,网络层次过多,成本高,不推荐使用,Page 12,Page 13,Contents,总体网络概述数据中心业务实现高可靠性安全保护,统一的数据业务承载,在同一组网模型下满足3种不同用户对防火墙和负载均衡器的需要,Page 14,防火墙和负载均衡部署,防火墙对内隔离不同的VLAN,提供三个VLAN接口(子接口),分别对应WEB、APP和DB,对外隔离不同的分区,通常有一个或
6、多个接口(子接口),对应所属的分区VPN,如IDC分区的IDC VPN 或Internet负载均衡对内对外都只有3接口(或子接口),分别对应WEB、APP、DB三个VLAN负载均衡根据需要进行部署,单台服务器时 或者 APP与DB之间可能APP本身就进行了均衡操作,此时数据流不需要通过物理负载均衡器,Page 15,业务流流程逻辑设计,Internet Web,经过物理防火墙和负载均衡器9 7 6 2Web App,ACL作安全,经过负载均衡器1 8 3App DB,ACL作安全,不经过负载均衡4 5,Page 16,业务流流程物理设计,Page 17,Internet Web,经过物理防火墙
7、和负载均衡器9 7 6 6 6 2Web App,ACL作安全,经过负载均衡器1 8 8 3App DB,ACL作安全,不经过负载均衡4 5,MPLS VPN 实现区域隔离和多站点互访,不同站点的同一分区间可以可以实现安全的互连互通,与在同一局域网无差别。这样可以连通位于不同城市的机房,消除信息孤岛。同一类型的业务可以分布式部署在不同的站点,增加业务部署的灵活性不同的分区间通过MPLS VPN实现路由的隔离,比只采用防火墙做隔离大大增加了安全性,Page 18,同一站点和不同站点间的跨区域访问,同一站点及不同站点的不同分区间的相互访问必须绕行Internet(物理上绕行核心路器)和经过防火墙的
8、安全过滤将来自其它区域访问当作来自Internet的访问,由防火墙过滤,确保安全,Page 19,数据中心虚拟化实现,分区的服务器属于不同的MPLS VPN,汇聚层的防火墙、负载均衡器通过虚拟化分别对应不同的MPLS VPN,实现同一设备为多个分区所共享虚拟化实现资源合理分配,加强了可靠性,在某一分区遭受攻击,资源紧张的情况下,其它分区仍可以正常工作,Page 20,交换机虚拟化multi-VRF(MCE),汇聚交换机通过部署multiVRF,把路由表分成多个逻辑路由,实现不同分区的三层业务隔离转发引擎通过VPN ID索引不同的路由表,根据目的IP转发到上行口配合防火墙和负载均衡的虚拟化实现汇
9、聚层不同业务分区的业务隔离,Page 21,MPLS VPN起始点,QOS设计,总体上分6个优先级。管理流量最高标记为5(EF)其他按照业务重要程度和与客户签订的SLA来确定优先级等级自有业务标记4(AF4)、3(AF3)大客户金牌2 (AF2) 、银牌1 (AF1) 其他为0(BE),Page 22,Page 23,Contents,总体网络概述数据中心业务实现高可靠性安全保护,接入层可靠性设计,接入交换机到汇聚采用三角型的组网汇聚层的防火墙、负载均衡器等设备可以为多个接入层交换机对所共用冗余链路,倒换时间短VLAN可以跨接入交换机,灵活性高,方便部署可靠性: STP/RSTP/MSTPSm
10、art Link/Monitor LinkLoopback detection服务器多网卡接入,Page 24,STP二层可靠性保护,VLAN trunk实现接入交换机之间的二层互通MSTP破环防止转发风暴,同时应用多生成树实例,实现负载均衡秒级的故障恢复BPDU保护,防止边缘端口恶意攻击导致重新计算生成树环路保护, 防止由于网络拥塞导致BPDU没有及时传送引起端口状态切换产生环路根桥保护,保护根桥的指定端口免受虚假BPDU攻击导致状态切换TC(topology change)保护,防止频繁的TC_BPDU报文导致ARP和MAC反复删除,引起CPU过载,Page 25,Smart link双归
11、可靠性保护,Page 26,接入交换机双链路上行到汇聚交换机,实现双归保护50ms的链路切换,双归应用场景可取代MSTP实现高可靠链路保护独有的monitor link特性,可检测到汇聚交换机上行链路的端口状态(port3故障)多Smart link实例实现业务的负载均衡,DLDP 和 环路检测,二层网络交换机各端口之间部署DLDP(device link detection protocol),用于检测单向链路是否存在在部署STP的情况下,推荐部署,用于确保生成树正确,不发生环路端口环路检测(Loopback detection),部署在接入交换机与服务器相连端口,防止用户组网或配置出现错误
12、,Page 27,NIC Teaming 实现服务器多网卡捆绑,服务器双链路上行,实现双归保护网络驱动程序将多个网卡捆绑成一个网卡一个网卡失效,另一个接管它的MAC地址服务器使用同一个IP进行访问,Page 28,汇聚层可靠性VRRP,汇聚交换机之间配置多个VRRP组实现备份和负载分担负载均衡设备和防火墙之间分别建立VRRP组实现备份上述VRRP组的心跳通过汇聚交换机之间的Trunk链路进行交互BFD实现加快VRRP组心跳检测,实现50ms快速倒换,Page 29,VRRP条件下的故障切换,二层双归保护可以是MSTP或者Smart link防火墙故障处理同负载均衡器防火墙和负载均衡器同汇聚交换
13、机之间的保护通过链路聚合完成,Page 30,链路聚合,聚合分为两种:静态聚合,动态聚合(LACP)提供更高的带宽,同时进行负载分担链路备份,提高可靠性,Page 31,核心层网络拓扑,对于中小型网络,推荐双核心备份对于大型或可靠性要求较高的网络推荐环形组网(RRPP)50ms的快速倒换根据VLAN进行负载分担三层网络可靠性通过IGP FC(路由快速收敛)实现秒级路由收敛,Page 32,Page 33,Contents,总体网络概述数据中心业务实现高可靠性安全保护,安全设施部署保证内部业务网络安全,防火墙对非法报文进行过滤,同时通过双防火墙设计提升安全可靠性IDS对所有的流量进行分析,发现异
14、常,精确辨认攻击,向网络管理员上报告警;IDS建立相应的策略,配合防火墙进行工作IPS可以对数据报文进行L2L7的深度检测,对蠕虫、病毒、DOS/DDOS等攻击进行防范,实现自动保护,Page 34,远程用户接入安全,IP SEC VPN和SSL VPN提供安全的远程访问功能。IP SEC VPN应用于远程固定网络的接入,SSL VPN应用于动态的用户接入(公司外部、家庭等的远程Internent接入)VPN网关终结VPN对用户进行认证VPN网关可能由单独的安全设备提供(与防火墙等集成一起的安全设备),也可由核心层路由器或者交换机提供该功能,Page 35,Thank you!,Page 36,知识回顾Knowledge Review,
