鸿鹄论坛企业数据中心设计建议方案.ppt

《鸿鹄论坛企业数据中心设计建议方案.ppt》由会员分享，可在线阅读，更多相关《鸿鹄论坛企业数据中心设计建议方案.ppt（37页珍藏版）》请在三一办公上搜索。

1、企业数据中心设计建议,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-1-,数据中心安全设计模型参考,低安全等级,移动用户,合作伙伴Extranet,网上服务Internet,办公类用户高风险等级1,中安全等级中高安全等级高安全等级,业务类前端业务后端服务器核心业务后台服务器,非业务/办公类前端非业务类后端后台数据库服务器,中风险等级2中风险等级3低风险等级4,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-2-,数据中心分区架构示意图,网管区,内网生产服,业务服务模块1业务服务器区,业务服务模块2业务服务器区,业务服务模块3业务服务器区

2、,测试网络测试区,办公接入模块,Internet安全控制Internet办公,务,器区,安全控制,安全控制,安全控制,安全控制,安全控制,安全控制,带内管理,安全控制带外管理Combat-Lab 企业级网络项目实战,交换核心安全控制外联区/网上业务企业边界区Internet/Extranet,互联网专家网络项目实战 v1.0-3-,集团业务模块,数据中心网络架构示意图,管理控制区,业务模块1,业务模块2,业务模块3,办公服务器模块,开发测试模块,安全管理,系统管理,服务器群组接入区,防火墙内容交换SSL加速器,防火墙内容交换SSL加速器,防火墙内容交换SSL加速器,防火墙内容交换SSL加速器,

3、防火墙内容交换SSL加速器,防火墙内容交换SSL加速器,防火墙内容交换SSL加速器,模拟环境,管理服务器,DMZ区,核心交换DMZ区,核心交换机的数量目标架构为四台核心,初期考虑到规模和投入建议两台核心,网络管理/其它,服务区,服务区,管理控制区,Internet办公区员工接入园区网络模块,外联区 外联区,Internet Extranet业务Internet 外联Extranet企业边界模块,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-4-,数据中心网络详细设计交换核心概要设计服务器区域概要设计边界区域设计数据中心员工接入开发测试区设计数据中心存储网络运维管理

4、,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-5-,数据中心高可用性网络架构建设层次化网络架构设计分层部署部署要点：根据应用系统架构，进行网络层次和区域划分模块化分层部署，增强系统弹性核心层与汇聚层通过万兆接口采用3层连接汇聚层与接入层通过万兆或千兆接口采用2层连接(接入层采用L2设计,也可以采用L3)多链路负载均衡设计，避免出现单点/多点故障,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-6-,数据中心核心层设计说明,核心层说明:数据中心核心层连接各个功能模块是网络的核心枢纽,连接各个模块的核心枢纽，实现多个模块之间的高速连接和数

5、据的快速转发,是数据中心网络最重要的部分;核心交换区域特性要求：高性能快速转发;高密度10GE连接高可靠性/可用性,10GE,EnterpriseNetwork,核心层双核架构10GE,超载比尽可能小可扩展性高3层互连但要考虑兼顾DCE技术的发展较高的稳定性满足数据中心数据和存储业务的发展Combat-Lab 企业级网络项目实战,NSB 网络交换总线Network Switch BusNetworkSwitch BUS互联网专家网络项目实战 v1.0-7-,Si,Si,数据中心核心层设计说明部署建议,标准设计参考:两台高性能设备为核心交换机,EnterpriseNetwork,核心设备、设备部

6、件、链路冗余设计核心层与分布层之间采用L3连接,本次架构,10GE,10GE 核心层,支持数据中心高密度10GE能力,有支持下一代数据中心DCE,FCOE等技术的能力,适合中等规模企业数据中心,Si,Si,汇聚层,初期建议采用这种模式,新一代核心层设计参考:四台高性能设备为核心,可以部署为双核心双总线核心设备、设备部件、链路冗余设计支持数据中心高密度10GE能力,有支持下一代数据中心,目标架构,EnterpriseNetwork,DCE,FCOE等技术的能力核心层与分布层之间采用L3连接核心区内部三角连接，和每个汇聚功能区交换机分别连接到,10GE,10GE,(左右)双核心适合大中规模企业数据

7、中心,对可靠性要求较高的数据中心将来的目标架构,汇聚层,核心层双核架构,根据需要可以初期采用通用设计,将来扩展时采用目标架构,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-8-,交换核心的参考设计,本次架构设计参考：,交换核心,结构设计：2台设备组建核心、选用最快速收敛的路由协议，2个物理区域部署，跨板卡连接同一区域，安全控制在接入层实现设备选择：选择高可靠设备;引擎、风扇1+1冗余、交换矩阵、电源N+1冗余；支持引擎不间断业务切换、支持不丢包传输和,10GE,10GE,二层多路径技术,需要高密度万兆板卡;建议部署思科数据中心,Si,Si,Si,Si,交换机Nex

8、us7000,Nexus7000支持DCE数据中心以太网技术,FCOE技术,支持高密端万兆接口,99.999%高可靠性设计;扩展考虑：具体配置端口数量可以业务需求部署相应模块端口运维要求：具备自监控能力、配置可自动回退,基于不同人员,功能区1,功能区1,的角色权限管理；可方便的扩展到目标架构:随着业务的扩展和对可靠性的增加,可以方便将现在的两台核心架构扩展到四台为核心的架构,可靠性将大大增加;随着数据中心技术发展：目前的Nexus已经支持I/O整合、FCoE、DCE、虚拟化技术,平滑满足数据中心的整合和发展;即使扩展到四台交换机核心,对各个汇聚功能区没有影响Combat-Lab 企业级网络项目

9、实战,Nexus 7000 系列 数据中心级核心交换机统一交换架构技术Unified fabriclossless无丢包矩阵结构,面向DCE FCoE高密度万兆接口,面向 40GbE/100GbE业务零中断的设计,99.999%可靠性不间断的系统操作目前4.1T交换能力 可达15Tb+交换能力互联网专家网络项目实战 v1.0-9-,数据中心网络详细设计交换核心设计服务器区域设计边界区域设计数据中心员工接入开发测试区设计数据中心存储网络运维管理,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-10-,业务服务器区设计需要考虑的问题业务服务器区是公司提供服务的业务服务器

10、区。因此需要考虑较高的可用性和更全面的安全防护措施。按照层次化模块化的设计理念，服务器区的网络可分为汇聚层和接入层两层，功能定位和设计思路各不相同。汇聚层：承上启下，连接核心层和接入层，为区域,内的服务器提供网络服务，主要的设计思路包括：,交换核心,采用服务模块的方式，提供防火墙，负载均衡，及SSL卸载等网络服务,10GE,10GE,访问业务服务区需要通过防火墙控制,业务区之间访问需要通过防火墙策略控制,具体的策略控制更具各个业务区要求而定,汇聚层,GE,服务模块,接入层：汇接服务器，上联到汇聚层。为了解决可用性和扩展性需求和可管理性需求，主要的设计思,路包括：服务器的高性能接入,可采用TOR

11、和EOR等组和设计.尽可能消除二层环路，提高可用性 高扩展性的服务器群,采用模块化交换机解决服务器物理布局扩展性问题,接入层,采用网络设备虚拟化和服务器虚拟化，提高可扩展性,服务器组1,服务器组2,考虑将来存储和IP网融合和统一I/O技术Combat-Lab 企业级网络项目实战,服务器区,互联网专家网络项目实战 v1.0-11-,客户端,端到服务器的,的访问,数据中心服务器区流量的超载比设计服务器区满足容量需求的主要方式是进行超载比设计。超载比是指网络设备downlink和uplink的带宽比例接入层超载比计算考虑的因素 服务器内部总线类型 服务器CPU数量，CPU核数量，网卡数量 服务器接口

12、是否双活 服务器磁盘I/O方式和应用类型汇聚层超载比计算考虑的因素系统架构板卡类型Uplink/downlink比例典型比例：4:1 up to 12:1推荐超载比,连接的服务器类型Web服务器App服务器,推荐建议12:16:1,DB服务器Combat-Lab 企业级网络项目实战,4:1,服务器之间互访互联网专家网络项目实战 v1.0-12-,业务服务区网络模块设计特性要求：高可靠性、高安全性、高扩展性、实现业务的分类和业务的接入和流量控制。设备部署建议:汇聚层建议部署:部署思科catalyst 6500 VSS交换机,部署内置防火墙模块和L4-L7应用负载 接入层部署：根据服务器的多少,可

13、以部署Cat4500/Cat4900(具体设备和端口根据需要选择)汇聚到核心层采用万兆连接,汇聚到接入层采用千兆连接,利用VSS做到负载均衡,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-13-,防火墙模块,业务服务器区网络模块设计-模式一每个VLAN的服务器应尽量控制在100台左右,接入设备,WEB服务器,应用服务器,数据库服务器,其它应用服务器,业务服务器,WEB,WEB,WEB,WEB,APP,APP,WEB,WEB,WEB,WEB,GE 光纤/TX,10/100/1000或GE,接入层,接入交换机,接入区交换机 根据端口和重要性而定,可选4500/4900

14、 或Nexus系列支持DCE/FCoE 千兆或万兆与分布交换机连接,汇聚层,汇聚交换机防火墙模块内容交换模块,10GE,10GE,10GEGE万兆主干10GE,GE,可选交换机:catalyst 6500安全模块 FWSM模块:控制对核心数据的访问 可支持255逻辑安全区域应用控制引擎内容交换模块 服务器负载均衡 应用快速部署高速万兆模块连接核心,核心层,核心交换机10GE,10GE,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-14-,业务服务器区网络模块设计-模式二考虑到数据网络和存储的整合,核心层高性能万兆核心,网络系统NSB10GE,10GE,核心数据区交

15、换机 参考配置:Nexus7000 万兆交换模块:与分布交换机连接,汇聚层1高性能万兆和千兆模块2网络安全和应用服务区,svcs1,10GE,10GE,L3,L2svcs2,核心数据区交换机 参考配置:Nexus7000 高密度万兆和千兆交换模块安全模块:参考配置Cat6500/FWSM模块/部署ASA5580高性能防火墙,应用控制引擎,接入层支持高密度GE,10GE上联vPC,高速万兆模块连接核心和接入层接入区交换机 在接入层部署参考配置N5K/7K或N5K/N2K,支持TOR/EOR灵活部署支持数据中心技术FCOE的融合,服务器群,SAN,Combat-Lab 企业级网络项目实战,Nexu

16、s 7000End-of-Row,Nexus 5000/2000Rack,Storage存储系统互联网专家网络项目实战 v1.0-15-,数据中心网络详细设计交换核心设计服务器区域设计边界区域设计数据中心员工接入开发测试区设计数据中心存储网络运维管理,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-16-,数据边界网络区设计说明,边界网络区设计说明:是企业内部对外,Entranet 连接(外联业务和Internet业务)的重要区域,外联网络区域主要包括:外联业务:实现同其第三方单位业务互通，通过Extranet访问其它单位和业务处理 最终用户、工程公司等外联 兼顾多

17、种外联方式:由于外联单位比较多,而且每个外联单位的管理要求不完全相同.需要具有灵活性。Internet业务:为出差，home office提供业务及办公服务；门户网站等。.企业边界网络区设计特性要求：风险较大,安全性要求高,高安全性,高可靠性,可扩展性,可管理性、DNS站点技术 考略到外联系统的特殊性,能整合的尽量整合，提高资源利用率 企业边界区域的安全性，建议在该区域配置两重防火墙，入侵防御系统,如果可能还需要部署防DDOS攻击系统和防病毒网关以及流量监控管理,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-17-,数据中心边界网络区设计说明外联区Extranet

18、 详细设计示意图交换核心核心交换区域DMZ,10GE,千兆上联,10GE,外联服务器,业务Internet,汇聚,交换机,外联服务器,外联Entranet区域,防火墙,交换机防火墙,外联服务器,ASA5500,IPS/IDS 交换机,防火墙虚拟接口/多端口,外联服务器安全/防病毒,设备外单位/合作管理设备自己管理,Combat-Lab 企业级网络项目实战,外联单位1,外联单位2,外联单位N互联网专家网络项目实战 v1.0-18-,数据中心边界网络区设计说明外联业务区设备部署建议:,部署两台接入交换机cat3750:考略到外联系统的特殊性,按照外联单位对线路,路由设备和安全的要求,外联单位的隔离

19、需要安全保障,在保持外联单位基本要求的情况下,将各个外联系统接入到接入交换机cat3750,考虑到整合,交换核心,和安全要求,需要在交换机cat3750分配一个单独的VLAN给每个外联业务系统;部署两台接入ASA5500防火墙,并配置虚拟端口功能:接入交换机与ASA5500防火墙配置IDS模块通过虚拟端口连接,相当于每个外联系统连接到防火墙一样,在ASA5500防火墙部署DMZ区,将外联服务器连接到DMZ区,DMZ需要两台交换机cat3750边界网络区的汇聚交换机Cat3750/4500:ASA5500防火墙连接到汇聚交换机,Internet业务也需要连接到汇聚交换机,汇聚交换机通过高速连接到

20、数据中心核心交换机,10GEDMZ区服务区外联区Internet业务Internet,10GEDMZ区服务区外联区Extranet外联Extranet,外联单位对线路,路由设备和安全的设备的基本要求跟据需求部署:建议采用“云火墙”Combat-Lab 企业级网络项目实战,外联网络模块互联网专家网络项目实战 v1.0-19-,数据中心边界网络区设计说明Internet业务:,Internet业务:,交换核心,为出差，home office提供业务及办公服务，用户通过Internet来访问此区域,风险相对,10GE,10GE,最大,对安全性保障要求高.,业务Internet参考建议:采用多层安全层

21、面建议采用“云火墙”Combat-Lab 企业级网络项目实战,DMZ区服务区外联区Internet业务Internet,DMZ区服务区外联区Extranet外联Extranet外联网络模块互联网专家网络项目实战 v1.0-20-,数据中心边界网络区设计说明业务Internet设计 参考架构,Internet运营商,差旅用户,外联区,DNS GSSDNS负载均衡,带DDoS防御服务中国SP1 中国SP2XM Eth XM Eth7606 7606,DNS GSSDNS负载均衡,L4-L7 Switch,DMZ区,外网防火墙防火墙异构设计,IDS,LAN Switch,L4-L7 Switch,L

22、DAP服务器DNS服务器安全代理服务器Web服务器,应用服务器,服务器区交换机,部署服务,网上业务服务区,数据库服务器安全审计服务器漏洞扫描,IDS,高性能三层路由和交换集成防火墙功能（含多个虚拟防火墙功能）集成了负载均衡功能,防火墙,内网区Combat-Lab 企业级网络项目实战,分布层交换机,后台应用系统后台数据系统互联网专家网络项目实战 v1.0-21-,数据中心网络详细设计交换核心设计服务器区域设计企业边界区域设计数据中心员工接入开发测试区设计数据中心存储网络运维管理,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-22-,数据中心员工接入网络模块设计说明员

23、工接入网络设计说明:满足数据中心内部员工的接入和管理需求,需要严格的安全控制和管理,企业内部员工访问内部系统:目前100+信息嗲点接入需求非本企业员工不允许通过此区域接入内部系统设计特性要求：安全性管理较高,员工访问的识别和分类,可管理性,高可靠性、可扩展性、QoS设备部署建议:员工接入区按照标准局域网接入设计,可以分为汇聚和接入层,在汇聚层需要考虑安全访问控制,接入层防范非法PC接入等;参考建议:汇聚层部署Cat4500交换机,配置两台ASA5500做安全控制,控制访问数据中心核心网络的安全参考建议:接入层部署cat3750/3560交换机,具体配置根据端口数量要求可以灵活选择为了保障接入安

24、全建议部署接入安全控制,如基于802.1x身份控制系统,中心部署AAA服务器为了实现应急通讯,我们建议部署基于IP的应急电话通讯系统,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-23-,Si,Si,数据中心员工接入网络模块设计,园区网络核心,交换核心,APP,APP,大楼局域网核心，配有高密度万兆模块和冗余设计,10GE,10GE,Si,Si,基础设施服务器:,分布层部署 模块化交换机,汇聚接入层交换机,根据情况会聚层也可以与接入层设备合用,ASA5500,汇聚交换机Cat4500,安全控制,Internet,如:DHCP/DNS服务器,AAA服务器统一通讯服务

25、器,局域网接入层部署接入交换机关键业务用户使用台式PC、IP电话，属于特定的关键业务安全区，专机专用。Combat-Lab 企业级网络项目实战,接入交换机Cat3750IP 电话使用IP电话满足应急电话通讯系统和满足内部通讯要求。,员工Internet 访问详细见员工访问互联网设计部分普通用户使用台式PC、桌面电话，属于特定的业务安全区，支持移动性,802.1X用户任证。互联网专家网络项目实战 v1.0-24-,数据中心网络详细设计交换核心设计服务器区域设计广域网区设计边界区域设计数据中心员工接入开发测试区设计数据中心存储网络运维管理,Combat-Lab 企业级网络项目实战,互联网专家网络项

26、目实战 v1.0-25-,数据中心开发测试网络模块设计说明开发测试网络模块设计说明:满足数据中心内部员工的开发测试的需求,同时还需要预留对合作伙伴的开发测试访问端口,但需要严格的安全控制和管理,企业内部员工开发测试访问接入需求非本企业员工(合作单位)有条件接入终端系统,只能访问测试区域,外部人员不能访问人保内部业务系统,要有严格的监督和安全控制以及管理流程网络设计特性要求：安全性管理较高,员工访问的识别和分类,可管理性,高可靠性、可扩展性、QoS设备部署建议:满足开发测试的要求,在安全允许范围内,外部人员有条件接入,不能访问人保内部业务系统,要有严格的监督和安全控制以及管理流程为了满足数据中心

27、未来发展,对先进技术的使用和测试部署参考建议:汇聚层部署Nexus5000/Cat4500交换机,配置两台ASA5500做安全控制,控制访问数据中心核心网络的安全部署参考建议:接入层部署Nexus2000/cat3750 交换机,具体配置根据端口数量要求可以灵活选择为了保障接入安全建议部署接入安全控制,严格端口控制和防火墙策略,也可以部署基于802.1x身份控制系统,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-26-,数据中心开发测试网络模块设计,园区网络核心大楼局域网核心，配有高密度万兆模块和冗余设计,交换核心,分布层部署 模块化交换机,汇聚接入层交换机,根据

28、情况会聚层也可以与接入层设备合用,10GESi,Si,汇聚交换机Cat4500/N5000,10GE,ASA5500,APP,APP,开发测试服务器:,服务器接入交换机,局域网接入层部署接入交换机,接入交换机Cat3750,FW 或ACl隔离,交换机Nexus2000,外部人员,不能访问人保内部业务系统,要有严格的监督和安全控制以及管理流程,内部开发测试用户使用笔记本/PC、IP电话，属于特定的测试业务安全区，专机专用。Combat-Lab 企业级网络项目实战,外部测试用户使用笔记本/PC，属于特定的接入安全区，只能访问测试区域,不能访问人保内部业务系统。互联网专家网络项目实战 v1.0-27

29、-,数据中心网络详细设计交换核心设计服务器区域设计广域网区设计企业边界区域设计数据中心员工接入开发测试区设计数据中心存储网络运维管理,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-28-,数据中心存储区域设计说明数据中心存储网络设计的目标统一规划,实现存储资源共享存储网络由集团统一管理、建设和维护满足业务的不断扩展的要求特性要求：资源共享、实现业务的连续性、统一管理、扩展性设计内容参考:存储网络设计通过存储虚拟化技术实现资源整合,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-29-,存储网络的发展利用存储虚拟化实现存储网络的优化,基于

30、应用/部门的存储”孤岛”ApplicationServersSAN Island for,DiskArrays,Department#1VSAN,Cisco MDS9000 Family,通过SVAN技术实现通用的存储空间的共享,Department#1Department,SAN Island forDepartment#2,Department#2VSAN,#3VSAN,使用存储虚拟化VSAN 技术 整合的存储阵列,SAN Island forDepartment#3独立的物理阵列每个存储孤岛的预留扩展端口无法利用数量众多的交换设备需要管理Combat-Lab 企业级网络项目实战,通用的冗

31、余物理基础架构无须过多的预留扩展端口 降低了投资成本$更少的交换设备需要管理无中断的分配预留的端口互联网专家网络项目实战 v1.0-30-,VSAN,VSAN,图例,数据中心存储架构设计规划-远期规划,业务平台1 业务平台2,业务平台N,应用服务器群,扩展 扩展VSAN1 VSAN2HBA HBA HBA HBA HBA HBA HBA HBA,跨中心连接,同城数据中心,存储区A,存储区B,IP存储区,SDH To异地灾备,DWDM,1616,16,16 16,16,16 16,1616,16,16 16,16,16 16,16NAS/FCIP/iSCSI,阵列A,陈列B,管理区,最高级,高级

32、,中级,一般,带库,光盘库,集中存储池应用平台区：采用双阵列、每个阵列双核心结构，保障高可用性,边缘设备与核心设备可采用多条链路捆绑连接，实现低超载比集中存储池按服务等级分类利用虚拟SAN实现网络分区，提高可用性IP存储区：单独分区,初期可以考虑与存储阵列整合。IP存储区可部署压缩加速设备，利用FCIP技术实现异地灾备。管理区：对存储网络及存储资源进行管理、调配同城灾备：通过DWDM连接同城数据中心或灾备中心初期可以部署阵列A,将来扩展时再部署阵列BCombat-Lab 企业级网络项目实战,存储交换机以太网交换机压缩加速设备存储设备互联网专家网络项目实战 v1.0-31-,数据中心存储架构设计

33、 现阶段利用SAN存储网络实现资源信息共享，提高可用性业务平台1 业务平台2 业务平台3 业务平台N应用服务,器群,HBA,HBA HBA,HBA HBA HBA,跨中心连接同城数据中心DWDM,存储区,阵列,IP存储区NAS/FCIP/iSCSI,SDH To异地灾备IP存储区也可以在存储矩阵的交换机中插FCIP模块,管理区,存储池,最高级,高级,中级,一般,带库,光盘库,集中存储池,通过SAN架构,利用虚拟SAN技术进行整合,实现存储网络分区，提高可用性把多个SAN 孤岛集中到一个单一的交换架构中降低了设备的投资及管理的复杂度统一的存储管理可集中进行灾难恢复计划:通过FCip技术实现异地容

34、灾的部署,IP存储区也可以在存储矩阵的交换机中插FCIP模块,节约成本对于不考虑虚拟存储技术的系统,则需要考虑多台物理交换机对于特殊要求存储业务（如上市公司特殊要求）,可以独立部署SAN网络系统(注:具体设备部署需要根据存储和服务器需要以及FC端口而定)Combat-Lab 企业级网络项目实战,图例存储交换机以太网交换机压缩加速设备存储设备互联网专家网络项目实战 v1.0-32-,数据中心网络详细设计 数据中心网络详细设计交换核心设计服务器区域设计广域网区设计企业边界区域设计数据中心员工接入开发测试区设计数据中心容灾和存储网络运维管理,Combat-Lab 企业级网络项目实战,互联网专家网络项

35、目实战 v1.0-33-,数据中心网络管理-功能设计参考IT服务流程管理安全运维管理系统管理/机房管理网络和故障信息管理拓扑管理和资产管理流量管理故障和告警管理配置管理性能管理报表管理日志采集和管理操作界面和接口日常网络维护的得力助手网元和事件为管理基础，全面的采集手段高效处理、压缩、整合事件事件关联分析主动预警、趋势分析统一、可定制的呈现界面,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-34-,数据中心网络管理-带外网管 带外管理,也称为OOB.（Out-of-Band）,其作用是提高运营效率(维护人员不需频繁到机房内部操作)显著减少宕机时间(对系统可靠性有很

36、正面的影响)带内与带外管理共存/互补关系带内网管:常态下故障管理、事件管理、配置管理、变更管理和性能管理带外网管:配置更改、故障排错和紧急访问手段带外网管是保证网络99.999%可用性的有效手段,Combat-Lab 企业级网络项目实战,互联网专家网络项目实战 v1.0-35-,服,主动管,主 务,动,动,数据中心网络管理-运维经验共享,网络设备审计信息收集备案 登陆、命令、配置信息基于角色的网络设备运维管理 层次化技术支持团队备品备件支撑 企业自建备件库 思科齐全备品备件支撑服务的协助网络设备软件版本标准化及入网机制的建立 思科高级专业服务协助下的IOS软件版本评估、推荐、管理网络设备配置标

37、准化 思科高级专业服务协助下的设备配置标准化、优质化定期网络健康检查 网络单点故障风险点分析 网络链路、设备健康状况评估 主动网络风险点改进及变更技术支撑Combat-Lab 企业级网络项目实战,价值理就是Best Practice发现规则和创造制度 被的能力混乱变被动响应为主动优化注:经验来自思科内部互联网专家网络项目实战 v1.0-36-,Si,Si,数据中心运维管理模块设计参考运维管理需要建立一个统一管理平台来提高管理水平,需要在技术、流程和组织架构/人员等多方面考虑,从技术平台上应该考虑:网络和故障管理,安全运维管理,系统/应用/数据管理,环境/机房,以及IT服务流程管理管理等.,园区

38、网络核心大楼局域网核心，配有安全服务,交换核心,网络流量分析管理,和流量监控模块,10GE,10GE,Catalyst NAM模块Netflow,分布层部署 模块化交换机,汇聚接入层交换机,根据情况会聚层也可以与接入层设备合用管理系统服务器:,汇聚交换机Cat3750ASA5500,数据中心机房相关的其它管理系统,APP,APP,APP,APP,基础环境管理平台,设备级监控管理Cisco Works/CIC,安全监控、分析、响应CS-MARS/ACS AAA,系统/应用/信息管理,服务流程管理NCM,网络/故障管理(基础)安全运维管理(基础)Combat-Lab 企业级网络项目实战,系统管理,IT服务流程管理(可选)互联网专家网络项目实战 v1.0-37-,