《数据中心Spine-leaf网络规划设计方案.docx》由会员分享,可在线阅读,更多相关《数据中心Spine-leaf网络规划设计方案.docx(25页珍藏版)》请在三一办公上搜索。
1、数据中心SPine-leaf网络规划设计方案目录第1章网络总体架构设计41.1 总体网络架构41.1.1 二层网络架构设计4112功能分区模块化设计51.1.3 总体网络架构6第2章网络核心层设计72.1 组网设计72.2 可靠性设计8第3章存储网络设计8第4章网络功能区设计94.1 外联区设计94.1.1 Internet接入区设计94.1.2 公共信息服务DMZ区设计104.1.3 外网出口链路负载均衡114.1.41 PSecSSL接入设计134.1.42 程接入区设计144.1.43 网接入区设计154.2 网络服务区设计154.2.1 应用场景154.2.2 网络架构154.2.3
2、数据流164.3 业务服务及运行管理区设计174.3.1 网络架构174.3.2 分平面设计184.3.3 VPN(MCE方式)设计19第5章多数据中心互联设计205.1 业务需求215.2 多数据中心互联215.3 主备双中心容灾网络245.4 主备站点业务切换25第1章网络总体架构设计1.1 总体网络架构1.1.1 二层网络架构设计传统数据中心的网络架构采用核心层、汇聚层和接入层的三层网络架构,存在以下几个方面的问题: 网络的层次较多,导致数据处理效率低,增加了处理时延和线路时延,同时也增加了部署成本和设备故障的几率; 由于汇聚层面设备般存在处理性能和上行带宽的收敛比,在数据中心规模不断扩
3、大的情况下,汇聚设备会成为整个网络的瓶颈,导致出现拥塞、丢包等问题; 网络设备之间的STP、LAG、路由处理、安全等相互之间的交互信息,随着设备数量的增加,会成几何级数激增; 随着数据中心虚拟化的部署,新的数据中心流量模型中,大多数的流量是在内部服务器之间进行通信,甚至能够达到整体流量的75%,这种部署架构会导致服务器之间流量需要通过汇聚层甚至核心层设备转发,效率低下,且性能很差。为了解决上述存在的问题,数据中心核心网络建议采用核心层和接入层的的二层扁平化网络架构,二层扁平化的网络架构可以实现: 简化网络管理,降低投资成本,降低维护管理成本: 简化网络拓扑,降低网络复杂度,提高网络的性能,支撑
4、高性能的服务器流量; 提高网络利用率,支撑云计算技术的资源池动态调度; 提高网络可靠性。二层网络结构,可以结合虚拟集群和堆叠技术,解决链路环路问题,减少网络的故障收敛时间,从而提高网络可靠性; 绿色环保。简化二层网络还能降低电力和冷却需求,这对数据中心网络尤为重要。数据中心的二层网络结构示意图如O所示:二层网络架构设计图网络接入层1.1.2 功能分区模块化设计考虑到数据中心的高安全性、高扩展能力和可管理性的业务需求,数据中心网络架构的总体规划遵循区域化、层次化和模块化的设计理念,实现网络层次更加清楚、功能更加明确,提高承载的业务系统的可扩展性、安全性和可管理能力。 层次化设计。数据中心的核心网
5、络采用核心层、接入层的网络架构;层次化结构也利于网络的扩展和维护。 功能分区和模块化设计。网络架构按照功能,分为外联区(包括Internet接入区和远程接入区)、核心区及内网接入区;核心区包括网络服务区、等保三级业务区、等保二级业务区、开发测试区及运行管理区等功能模块。数据中心的网络功能分区架构如O所示。数据中心网络功能分区架构图网络触务区垢行管区核人子区MAfR接入层 接入层接入层接入层理-1作r t等保二级政务业务保圭住等保二线政务业务员开发利认区主数据中心1.1.3 总体网络架构数据中心整体网络拓扑如O所示:包括外联区、核心区及内网接入区等。总体网络架构图示意图外联区11111=m*电f
6、 政务外网Internet解灾数 Q中心主数据中心政务业务区SAX存储FCSANfztt开发“试风安全隔离 网网Internet接入区政务远程 接入区Serverli业务区图昵电0S3毒例H6MJC快文机接入交快HFC久校机Ik由AftKJtK防火除IS曜OiBiSJfrIoGe饿蹄u健芥N境GEttAFCttWi广域网HJe博Atfi发外联区远程接入区提供给各级政府部门访问的数据中心区域。政府部门一般通过国家云外网采用MPLS-VPN方式进行接入;另外,远程接入区也可用于容灾数据中心互联。Internet接入区提供给互联网用户访问的数据中心区域。Internet接入区的DMZ区,部署外部服务
7、器群(如:外部DNSFTPWeb服务器),用于互联网用户访问;为了提高互联网出口的可靠性,出口路由器一般接入到2个不同的运营商。国内一般会选择中国电信和中国联通两个运营商。内网接入区用于接入内网的数据中心区域,外网数据中心与内网互联需要通过网闸实现物理安全隔离。核心区核心区对外部网络不可见,主要为政府各部门用户提供业务服务。该区域包括:网络服务区、等保二级业务区、等保三级业务区、开发测试区及运行管理区。第2章网络核心层设计2.1 组网设计数据中心的网络核心层采用的是核心层、接入层的扁平化二层网络架构;扁平化网络设计降低了网络复杂度,简化了网络拓扑,提高了转发性能。数据中心网络核心层的规划图如O
8、所示。二层网络架构设计图网络接入层 核心层:2台核心交换机采用CSS虚拟集群技术,下行链路选择IoG链路捆绑技术与接入交换机互联,增加带宽的同时也提高了网络链路的可靠性。 接入层:2台接入交换机采用堆叠技术,下行链路根据服务器的物理端口选择GE或IOGE链路,上行链路选择IOG或IoG链路捆绑技术,上联到2台核心交换机,增加带宽的同时也提高了网络链路的可靠性。接入层设备可以根据业务需求,选择机架式、刀片内置式等不同的接入交换机类型和不同规格的配置。 核心交换机和接入交换机之间的四条跨框链路捆绑为一个Eth-Trunk组,网络架构变成树型模式,不需要启用STP协议,从根本上解决环路和SPanni
9、ng-tree收敛问题。2.2 可靠性设计网络核心层的可靠性设计从设备级冗余和链路级冗余两方面来实现:从设备冗余角度考虑,2台核心交换机之间采用CSS虚拟集群技术,每组的2台接入交换机之间采用堆叠技术;从链路的冗余角度考虑,核心交换机与接入交换机间的链路进行链路捆绑,大大提高网络高可靠性。接入交换机只运行L2层交换功能,核心交换机运行L3+L2层路由交换功能,这样就需要解决核心交换机和接入交换机之间二层网络环路问题。本方案中采用“集群+堆叠+链路捆绑”的二层网络无环络解决方案,如O所示:“集群+堆叠+链路捆绑”的二层网络无环路解决方案示意图集群10GE堆登线缆核心交换机采用CSS虚拟集群技术,
10、接入交换机采用堆叠技术;核心交换机与接入交换机间的链路进行链路捆绑,大大提高了网络的可靠性能。第3章存储网络设计数据中心存储网络规划示意图如O所示。存储网络规划示意图等保二级政等保三级政务业务区Server Farm务业务区BiiiServer Farm开发测试区IIIUServer Farm运行管理区inn!Server Farmti服务器存储网络主要包括IPSAN存储网和FCSAN存储网。服务器存储网络与业务网络是物理隔离的,服务器的业务网卡和存储网卡是分别上联到业务网络和存储网络的对应TOR接入交换机上。由于虚拟化的需求,极大的增进了服务器与存储的数据交换,对于IPSAN存储网络,至少要
11、保证接入交换机采用IoG的链路接入。当采用IPSAN存储网络时:业务服务区服务器和IPSAN存储的存储网卡一般采用GE端口上联到ToR接入以太网交换机,各TOR接入交换机通过IOGE链路或IOGE链路捆绑上联到IPSAN存储汇聚交换机。当采用FCSAN存储网络时:业务服务区服务器的HBA卡和FCSAN存储的FC接口通过光纤链路上联到FC交换机。第4章网络功能区设计4.1 外联区设计4.1.1 Internet接入区设计Internet接入区的网络架构示意图如0所示。Imernet接入区网络架构图Internet网络核心层Imernet接入区包括出口路由器、链路负载均衡LLB、防火墙、IPSeC
12、/SSLVPN接入网关、应用负载均衡、接入交换机等网络设备。 出口路由器:部署2台设备实现冗余,并分别上联到2个不同的运营商;出口路由器与运营商之间一般采用静态路由或BGP路由协议。 链路负载均衡LLB:部署2台设备实现冗余,2台LLB设备串接在出口路由器与出口防火墙之间上,每台LLB分别通过2条电路与出口路由器进行冗余连接;2台LLB采用双机热备的方式进行部署,并与出口路由器运行静态路由协议。LLB可以按照相应的策略,实现多互联网出口链路之间的智能选择,实现负载均衡和冗余备份。 防火墙:在网络层面,通过防火墙设备NAT技术隐藏内网拓扑,是Internet接入区的第一道网络安全屏障。2台防火墙
13、采用双机热备的方式进行部署,提高可靠性;防火墙采用路由模式,并与LLB设备之间运行静态路由协议。 IPSeC/SSLVPN安全网关设备:采用1台IPSeC/SSLVPN安全网关设备,同时支持IPSeCVPN和SSLVPN业务的接入;IPSeC/SSLVPN安全网关设备旁挂在出口防火墙上,并通过GE端口同时与2台防火墙进行冗余连接。4.1.2 公共信息服务DMZ区设计公共信息服务DMZ区部署在Internet接入区,用于部署提供政府公共服务的Web、DNS、FTP等应用;对于提供公共信息服务的应用及数据库主机一般部署在核心内网的公共服务区。云数据中心的公共信息服务DMZ区的服务器数量较多,一般需
14、要部署应用负载均衡设备和接入交换机设备,实现公共信息服务器进行接入和应用的负载均衡。接入交换机部署2台,分别与2台出口防火墙进行互联,连接在出口防火墙的DMZ接口;2台应用负载均衡设备采用旁挂的方式,分别通过2个GE端口与接入交换机进行互联。4.1.3 外网出口链路负载均衡应用场景数据中心一般承载着关键的业务系统,互联网的对外出口非常重要,如果只通过1条链路与运营商进行互联,意味着可能会出现的单点故障和脆弱的网络可靠性。为了提高数据中心的冗余性和可靠性,数据中心的互联网出口一般需要与2个不同运营商进行互联,提高Internet网络出口的冗余性,并减轻网络出口的传输瓶颈问题。当数据中心的互联网出
15、口与2个不同的运营商互联时,可以部署链路负载均衡设备LLB,实现数据中心2个互联网出口链路的智能选择,可以提高出口链路的利用率,实现出口链路的负载均衡和冗余备份。方案说明1.LB实时监控2条链路的负载状况及其健康状况来保证链路的高可用性。LLB可以根据链路状况和链路负载情况进行链路选择;可以根据互联网用户的所在的运营商的位置静态选择相应的出口链路,比如中国联通的互联网用户,会从与中国联通的互联链路进行互访:也可以根据用户的IP地址(本地DNS)进行路径就近性判断,动态进行链路选择,指引用户从最快的、最好的、最近的路径访问。数据中心的LLB多出口链路选择可以从两个方面进行分析:一方面是互联网用户
16、访问数据中心的inbound流量;另方面是数据中心访问互联网业务的outbound流量。以数据中心与中国联通和中国电信两个运营商互联为例对采用LLB设备进行方案说明。1.LB业务数据流如0所示。链路负载均衡设备的数据流示意图中国电区中国联通数据中。内部用户网络核心层l FW(符)联通川户访问数 据中心及数据中 心川户坊何联城 川户通过中国联 通的网络出口国除用户访问数超中心及数用中心用户访小国标用户进狞动态就近性判断.井根据结果进力中国电信成中国联通的出口链跑自动选择电伯用户访问数据中心及改站中心用户访问电信用户谩过中国电信的网络出口1) OUTBOUND流量设计OUtboUnd流量,LLB提
17、供智能的链路选择,国内用户的OUtboUnd流量策略: 网内用户访问属于联通网地址段的服务器,首选联通的出口链路; 网内用户访问属于电信地址段的服务器,首选电信的出口链路; 网内用户访问其它地址段的服务器,由负载均衡器基于动态就近性判断结果,自动的选择联通或电信链路。2) INBoUND流量设计Inbound访问的智能性,般通过LLB提供的智能DNS解析功能实现。建议采用静态负载和动态负载相结合的方式:当用户是来自国内的用户,根据用户的IP地址所属的运营商,采用静态的算法给用户端一条最快的链路;对于来自国外的用户,将采用动态算法,根据路径的传输时间等指标,计算出来一个最佳路径并提供给用户。国内
18、用户的MbOUnd流量: 属于联通地址段的用户访问服务器,首选联通的出口链路; 属于电信地址段的用户访问服务器,首选电信的出口链路; 其他地址段的用户访问服务器,由负载均衡器基于动态就近性判断结果,自动的选择链路。1.1.4 IPSeCZSSL接入设计应用场景数据中心的移动用户、远程办公用户等,需要通过互联网对数据中心进行远程访问,以实现远程办公需要;某些分支机构,由于资金或网络条件的限制,无法通过专线或MPLS-VPN的方式接入到数据中心,需要通过互联网的方式接入到数据中心。为了保证安全性,对于通过互联网接入数据中心的移动用户、远程办公用户、分支机构,可以考虑使用IPSec/SSLVPN等技
19、术进行接入。IPSecVPN接入方式比较适合Site-to-Site的方式接入,适用场景是分支机构通过Internet连接数据中心。SSLVPN接入方式比较适合Client-to-Site的方式,适用场景是远程办公用户、移动用户通过Internet连接数据中心。方案说明对于数据中心远程VPN接入需求,可以考虑部署1台统一的IPSeC/SSLVPN网关设备,同时提供IPSeCVPNSSLVPN两种接入功能。IPSeCVPN功能用于Site-to-Site方式接入,支持分支机构通过互联网进行远程接入;SSLVPN功能用于CIient-to-Site方式接入,支持移动用户、远程办公人员接入。IPSe
20、c/SSLVPN的用户接入示意图如0所示。IPSec/SSLVPN接入访问业务系统的数据流示意图Scncr Farm对于采用SSLVPN接入的移动用户,移动用户的客户端与数据中心的VPN网关设备通过安全认证,在互联网上形成一个安全的SSL加密隧道,VPN网关为客户端分配相应的内部IP地址,实现客户端对数据中心的互访。对于采用IPSeC接入的分支机构,其VPN网关设备与数据中心的VPN网关设备通过安全认证,在互联网上形成一个安全的IPSec加密通道,实现整个分支机构或合作伙伴的办公网络与数据中心之间的业务互访。数据中心的出口防火墙,可以利用虚拟防火墙技术,为每个VPN业务分配一个虚拟防火墙,实现
21、该业务与其它内部业务的安全隔离。1.1.5 远程接入区设计远程接入区网络架构示意图如O所示。远程接入区网络架构图远程接入区用来接入政府的各个部门,各个部门一般是采用MPLS-VPN的方式通过国家云外网进行接入;远程接入区还用于接入容灾数据中心,一般是通过专线或MPLS-VPN网络进行接入。该区域包括出口路由器、防火墙等设备。 出口路由器:远程接入区部署2台出口路由器,实现设备冗余,提高可靠性;出口路由器与分支机构、容灾中心互联,一般采用静态路由。 防火墙设备:对于分支机构、灾备中心与数据中心之间的业务互访进行安全控制;2台防火墙设备采用双机热备的方式进行部署,工作在路由模式,并与出口路由器运行
22、静态路由协议;通过虚拟防火墙技术,可以实现VPN网络的隔离功能。1.1.6 内网接入区设计根据中国国家保密局云保密管理指南的要求,涉密网与非涉密网之间应当进行物理隔离。内网属于涉密网,其承载的信息为涉密信息,而外网承载的信息为非涉密信息,内网与外网须用单向导入系统进行隔离。对于中国云网络系统,外网和内网要求物理隔离。当云外网数据中心与内网互联时,需要部署网闸设备实现高安全隔离。通过网闸实现内网安全隔离的网络拓扑如O所示。通过网闸实现内网安全隔离拓扑图4.2 网络服务区设计4.2.1 应用场景数据中心支撑着各种业务系统,各种业务系统对网络架构的要求也各不相同:对于高安全性业务系统,需要在数据中心
23、内网核心区提供安全防护的功能;有些业务系统,对性能、可靠性和可扩展性要求较高;一般的业务则没有特殊的要求。为了满足业务系统对网络功能要求,数据中心专门部署了网络服务区,针对性为各种业务系统提供相应的网络服务。网络服务区主要提供2种网络服务:一种是网络安全服务,通过部署防火墙设备实现;另外一种是应用负载均衡服务,为业务系统增强扩展性、可靠性和业务处理能力,该服务通过部署应用负载均衡设备LB实现。4.2.2 网络架构数据中心的网络服务区网络架构O所示。网络服务区网络架构图网络期务区网络服务区共部署了2台防火墙和2台LB设备,为数据中心的多个服务器业务分区提供安全控制和应用负载均衡服务。2台防火墙和
24、2台LB均采用双机热备的冗余方式进行部署;每台防火墙和LB都采用核心交换机旁挂的方式,并通过2条GE电路与核心交换机进行互联,分别用于承载入方向和出方向的流量。防火墙设备用于对安全级别较高的业务服务器分区进行安全防护。防火墙通过虚拟化技术,从逻辑上划分为多台防火墙,分别为需要安全防护的服务器分区提供独立的安全保障。每台虚拟防火墙都是VPN实例、安全实例和配置实例的综合体,为用户提供私有的路由转发服务、安全服务和配置管理服务。防火墙设备一般采用路由工作模式。1.B可以保障内部资源的容错性,内部任何一个应用节点出现问题都不会对用户造成任何的影响;LB可以增强业务扩展性,业务扩展时只需要增加相应的内
25、部服务器即可。1.B设备可以为部署在多台服务器上的应用系统,对外提供一个VIP服务地址,并实时监测各个内部服务器的负载状况。当客户端通过接入网络访问该应用系统时,业务数据流通过VIP服务地址首先到达LB,LB会根据一定的流量策略,比如轮循、比率、最小连接数等方式将业务请求自动提交给相应的服务器进行处理,从而实现负载均衡和冗余备份的功能。4.2.3 数据流通过部署防火墙和LB设备,网络服务区支持的业务数据流模型包括:第一种是没有特殊服务要求的业务系统。业务流的方向是通过接入层交换机,VLAN透传到核心交换机,在核心交换机进行三层终结,直接通过路由的方式到达外联区的防火墙设备;该种情况,业务系统的
26、IP网关设置在三层交换机上。第二种是只需要LB服务的业务系统。业务流通过接入层交换机,VLAN透传到核心交换机,并通过互联电路VLAN透传到LB设备,进行三层终结;然后通过另一条互联电路路由到核心交换机,并通过路由的方式到达外联区的防火墙设备;LB设备可以实现入流量的应用负载均衡,该种情况业务系统的IP网关设置在LB上。第三种是只需要防火墙服务的业务系统。业务流通过接入层交换机,VLAN透传到核心交换机,并通过互联电路VLAN透传到防火墙设备(采用虚拟防火墙),进行三层终结;然后通过另一条互联电路路由到核心交换机,并通过路由的方式到达外联区的防火墙设备。该种情况业务系统的IP网关设置在防火墙上
27、。第四种是同时需要防火墙和LB服务的业务系统。该业务流程相当于将第二种和第三种情况进行综合。业务流通过接入层交换机,VLAN透传到核心交换机,首先到达LB设备,再到达防火墙设备,然后通过核心交换机路由到出口防火墙;LB设备可以实现入流量的负载均衡的功能。该种情况,业务系统的IP网关设置在LB设备上。各种业务数据流如。所示(需要根据实际业务需求决定,仅供参考)。网络服务区数据流拓扑示意图4.3 业务服务及运行管理区设计业务服务区:是政府机关提供服务的业务区,需要考虑较高的可用性和更全面的安全防护措施;业务服务区包括等保二级业务区、等保三级业务区、开发测试区等。运行管理区:主要职责是对数据中心的软
28、/硬件系统进行统一运维和运营管理,提供安全管理的功能,并部署云计算管理平台。4.3.1 网络架构业务服务区及运行管理区的网络架构基本相同:按照层次化、模块化的设计理念,各个功能分区的业务主机通过相应的接入交换机进行汇接,双链路上联到网络核心交换机上。数据中心业务服务区及管理区的网络架构示意图如错误!未找到引用源。所示。业务服务区及管理区网络架构示意图服务器的接入方式分为下面四种情况: 中低端机架服务器,数量众多,通过置顶式接入层交换机(TOR)接入; 没有内置交换机的刀片服务器,通过置顶式接入层交换机(ToR)接入; 内置交换机的刀片服务器,直接上联到核心层交换机上,减少交换网络的层级; 高性
29、能服务器,数量较少且重要性高,部署数据中心核心应用系统(如:核心数据库系统),可以采用异构防火墙加强网络安全。各个业务功能分区可以通过网络服务区的防火墙进行安全控制;通过功能区的划分,也可以提高系统的可扩展能力。4.3.2 分平面设计数据中心的业务核心区采用的是网络分平面设计的网络架构,按照业务的类型将网络分成三个平面:业务平面、存储平面和管理平面,各个平面之间实现业务安全隔离。各个平面之间通过网络设备和网卡进行物理安全隔离或VLAN逻辑安全隔离,保证各种网络平面数据的安全性和可靠性,单个平面的故障不影响其余平面继续工作。每台主机通过不同的网络接口与业务平面、管理平面和存储平面进行互联,并在交
30、换机上通过VLAN进行隔离,其中存储平面采用单独的交换机进行接入。数据中心网络分平面设计示意图如O所示。网络平面设计示意图业务哂4.3.3 VPN(MCE方式)设计应用场景对于国家政府机关,其下属各个政府部门往往都是一个单独的VPN,彼此需要通过物理或逻辑的方式进行安全隔离。数据中心可以通过VLAN的方式实现VPN业务安全隔离;但VLAN是二层以太网技术,很难实现端到端的VPN网络。这种情况下,可以在数据中心的核心交换机上采用MCE的技术,实现各个VPN网络的安全隔离。核心交换机部署MCE功能,可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾。MCE的实现原理是在核心交换机上为每
31、个VPN网络创建和维护一个独立的路由转发表(MUlti-VRF);每个VRF与相应的VPN业务的VLAN端口号相关联,这样在1台核心交换机上会维护多个VPN的VRF,彼此实现安全隔离。通过MCE技术,核心交换机相当于虚拟出彼此隔离的多个网络设备,每个虚拟设备对应一个VPN,从而实现业务的安全隔离。MCE还通过与数据中心的出口路由器的配合,可以将每个VPN的业务路由通过外网MPLS-VPN承载网络进行传递,实现广域网范围内的端到端的VPN网络。方案说明数据中心的MCE方式组网示意图如O所示:首先是接入交换机通过VLAN的方式对VPN业务进行隔离,并将VLAN透传到核心交换机上;核心交换机启用MC
32、E功能,建立一个与该VPN相对应的VRF(路由转发表),并将与该VPN相对应的VLAN接口进行关联,这样该VPN形成一个单独的相互隔离的路由转发表,该VRF可以运行OSPF等动态路由协议。数据中心的出口路由器上可以启用PE的功能,建立与该VPN相对应的VRF,出口路由器和MCE之间通过VLAN等虚链路进行连接,PE上将该VPN对应的VLAN接口与VRF进行关联。PE可以通过OPtiOnA的方式与外网MPLS-VPN网络对接,将VPN业务路由通过MPLS网络进行传递。远端的VPN部门,可以通过CE设备接入到外网,通过MPLS-VPN网络构成端到端的VPN网络(不具备MPLS-VPN网络资源时,远
33、端VPN部门也可通过专线直接接入到数据中心的出口路由器,关联到出口路由器设置的该VPN相对应的VRF中实现VPN功能)。MCE组网图政府内部VPN数据中心miVPN-AVP、-A的CEi殳笛通过年;i!j按入, 井通MMPLS承载网将VPN-A业务 路由透传到数据中心,实现端创编 的 VPN.ffl说明PE I:隹立VPN-A相对应的 VR匕并将与MCE ”.取的与 VRF相对应的VLAN JZrti U盯VR卜进行关IRM时在 VRF上启川OSPF侍议:另外. 将该VR卜通过OpdonA的方 式I jMPLS承载网进行对接.MCH核心交换机)上部署 VP、-A相对应的VRF,并将 VPSA相
34、对应的VLAN三层 嫡IJ与VR卜进行关联,同时在VRF上R用OSPF协议接入交换机将VPNA相UW 的VLAN向卜M行透传MPLS承载网OPtiOnA 跨域OSPF多实例MCE!StackMCE是MPLS-VPN技术的简化版,不需要启用复杂的BGP和标签交换功能,对网络设备的要求低,并且降低了运维的难度;但如果需要配置VPN数量较多或者内部网络架构比较复杂时,需要手工配置的工作量较大,此时可以考虑在核心交换机启用MPLS-VPN(PE)功能,可以减少配置的工作量和复杂度。第5章多数据中心互联设计5.1 业务需求数据中心全天候7*24不间断的运行是至关重要的,特别是对于通过互联网提供业务的用户
35、。尽管数据中心内部采用冗余机制、安全防范工具以及先进的负载均衡技术,单个数据中心的运行方式仍然无法满足关键业务的7*24不间断运行。另外,数据中心满足不同地点的用户在访问业务应用时,可以实现相同的快速服务感受,也是非常重要的。单一数据中心已经无法满足业务的容灾备份和更大范围内的用户快速访问的需求,通过在不同物理位置构建多个数据中心的方式己经成为一个必然的选择。构建多数据中心,面临着网络架构如何搭建、多数据中心如何互联等问题;另外,还需要考虑实现多个数据中心间的协调工作,引导用户访问最优的站点,或者当某个站点出现灾难性故障后,引导用户通过访问容灾站点实现关键业务的访问。本方案主要考虑多数据中心最
36、常见的容灾数据中心设计场景。5.2 多数据中心互联多数据中心主要有三种常见建设模式:第一种是主备双中心的灾备模式;第二种是两地三中心的灾备模式;第三种是分布式数据中心模式。其中主备双中心和两地三中心的灾备模式较为常见。容灾数据中心按照与主数据中心的物理距离的不同,一般可分为同城容灾数据中心和异地容灾数据中心。同城容灾数据中心与主数据中心的距离比较近,通信线路质量较好,比较容易实现数据的同步镜像,保证高度的数据完整性和数据零丢失;同城容灾数据中心一般用于防范火灾、建筑物破坏、供电故障、计算机系统及人为破坏引起的灾难。而异地容灾数据中心与主数据中心的距离较远(一般在100km以上),一般采用异步镜
37、像;异地灾难备份不仅可以防范火灾、建筑物破坏等可能遇到的风险隐患,还能够防范战争、地震、水灾等风险。(1)主备双中心模式主备双中心模式共部署一个主数据中心和一个容灾数据中心。容灾数据中心可以部署在同城或异地,但同城部署较为常见。容灾数据中心一般可以实现应用级或数据级容灾。主备双中心模式网络拓扑如0所示:主备双中心模式网络拓扑示意图主数据中心与容灾数据中心,建议采用三层IP方式互联,实现统一运营和统一管理。建议在数据中心的网络边界分别部署2台防火墙和2台路由器,采用光纤直连、数据专线或者MPLS-VPN网络等方式进行互联。同城部署时,一般采用光纤直连或数据专线的方式进行互联;异地部署时,一般采用
38、数据专线或MPLS-VPN网络的方式进行互联。防火墙采用双机热备的方式,并工作在透明模式。根据访问需求在防火墙上做详细的包过滤安全策略,对主数据中心和容灾数据中心之间的业务互访进行安全控制。ffl说明主、备双中心之间的数据同步可以通过前端的三层IP网络或者后端存储的互联网络(SDH或WDM)实现,具体采用的数据同步方式需要根据业务实际情况确定。(2)两地三中心模式两地三中心模式共部署一个主数据中心、一个同城容灾中心和一个异地容灾中心。同城容灾中心一般具有主数据中心基本等同的业务处理能力并通过高速链路实时同步数据,日常情况下可同时分担业务及管理系统的运行,并可切换运行;灾难情况下可在基本不丢失数
39、据的情况下进行灾备应急切换,保持业务连续运行。异地容灾中心是指在异地的城市建立一个备份的灾备中心,一般用于双中心的数据备份,也可以用于应用级别的备份;当双中心出现自然灾害等原因而发生故障时,异地灾备中心可以通过备份数据实现业务的恢复或者实现业务的应急切换。两地三中心模式网络拓扑如O所示:两地三中心网络拓扑示意图异地容灾中心对于两地三中心模式,主数据中心与同城容灾数据中心、异地容灾数据中心之间,建议采用三层IP方式互联,实现统一运营和统一管理。主数据中心与同城容灾数据中心一般采用光纤直连或高带宽的数据专线等方式进行互联;主数据中心与异地容灾数据中心一般采用数据专线或MPLS-VPN网络等方式进行
40、互联。同城容灾中心与异地容灾中心之间一般也需要通过数据专线或MPLS-VPN网络等方式进行互联。建议在数据中心的网络边界分别部署2台防火墙和2台路由器,采用直连光纤、数据专线或者MPLS-VPN网络等方式进行互联。防火墙采用双机热备的方式,并工作在透明模式。根据访问需求在防火墙上做详细的包过滤安全策略,对主数据中心和容灾数据中心之间的业务互访进行安全控制。说明1 .主数据中心和同城容灾中心之间的数据同步可以通过前端的三层IP网络或者后端存储的互联网络(SDH或WDM)实现,具体采用的数据同步方式需要根据业务实除情况确定:2 .两地三中心之间的互联方式需要根据业务实际情况确定。(3)分布式数据中
41、心模式数据中心通常以大集中方式进行数据中心建设,一般只设立一个数据中心;但在某种场景下,比如大型的云网,需要建设分布式数据中心。分布式数据中心采用的是分层次的部署方式:上级政府部门成为一级数据中心,直接下属单位为二级数据中心,再下级单位为三级数据中心;分布式数据中心一般以两级数据中心为主。分布式数据中心的网络拓扑如O所示:上一级数据中心与下属机构数据中心之间,建议采用三层IP方式互联,实现统一运营和统一管理。建议在数据中心的网络边界分别部署2台防火墙和2台路由器,采用光纤直连、数据专线或者MPLS-VPN网络等方式进行互联。防火墙采用双机热备的方式,并工作在透明模式。根据访问需求在防火墙上做详
42、细的包过滤安全策略,对主数据中心和容灾数据中心之间的业务互访进行安全控制。5.3主备双中心容灾网络容灾中心网络架构容灾数据中心采用与主数据中心相类似的网络架构:核心网络采用核心层和接入层的二层扁平化网络架构;按照网络功能划分为外联区、网络服务区、业务区等分区。但相对主数据中心,网络架构相对简化,设备规格相对低一些。比如,外联区的互联网出口一般不采用多运营商互联,不需要部署LLB设备;分支机构一般不需要与容灾数据中心互联。具体网络结构需要根据用户的业务情况进行确定。容灾数据中心的网络拓扑如O所示,具体功能区描述和方案说明见主数据中心设计部分,这里不再进行介绍。容灾数据中心网络架构及互联示意图容灾
43、数据中心5.3.1 主备站点业务切换采用容灾数据中心的政府主备站点业务切换,可以通过部署全局负载均衡设备实现。全局负载均衡GSLB能够帮助用户通过将相同服务内容布署在处于不同物理地点的多个数据中心中得到更高的可用性、性能、以及更加经济和无懈可击的安全性,以便在全球范围内的客户获得更快的响应时间;并实现数据中心之间的负载均衡和冗余备份。GSLB功能一般基于智能DNS的方式实现,通过对不同用户端的域名请求,以灵活的流量分配算法与机制返回给用户最佳数据中心的应用服务IP地址,可以实现用户的就近访问以及多数据中心间的负载均衡及冗余备份功能。数据中心主、备站点GSLB功能实现的网络架构如O所示:主数据中
44、心和容灾数据中心各部署1台全局负载均衡设备,每台设备与相应的2台出口路由器进行冗余连接,提高可靠性;GSLB提供相应应用系统的服务IP的智能域名解析。主数据中心的GSLB会实时检测主数据中心和容灾数据中心的相关应用系统的健康状态,正常情况下会给用户返回主数据中心的服务IP地址;当主数据中心的GSLB检测到主数据中心的应用系统发生故障,业务不可用时,将给用户返回容灾中心的相应的应用系统的服务IP地址,用户将通过容灾数据中心实现业务互访。当主数据中心的GSLB发生故除或者互联网出口都出现故障时,用户会通过容灾数据中心GSLB的智能域名解析功能实现互联网用户的接入。GSLB实现主、备站点业务切换示意图互联网I. GSLB实时1中O所用金 统的他*状 .正例情况 蚣用户老同 AkJUUlJM 的股务IP检”主数据中心/外取区2.生产数据中C它用桑陵 故RGgLB黑刑很务不 可用.给用QjM&火中 W*F内部核。区容灾数据中心In1m*务务只)内修核C区口说明1.主数据中心和容灾中心之间的数据同步可以通过前端的三层IP网络或者后端存储的互联网络(SDH或WDM)实现,具体采用的数据同步方式需要根据业务实际情况确定:2.当多数据中心的关键核心业务采用应用级容灾备份,实现业务连续性需求的场景下,一般可以采用全局负载均衡(GSLB)设备。能耗降低50%o
