整体网络构架草稿Word文档下载推荐.docx
《整体网络构架草稿Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《整体网络构架草稿Word文档下载推荐.docx(38页珍藏版)》请在冰豆网上搜索。
方案二:
一个整合的物理网络
与方案一中不同点:
1、生产运行生产运行办公网与智能设备网合并。
2、通过核心交换机的VS虚拟化进行业务分区,实现部分物理隔离。
互联网接入区设计
设计内容
互联网区实现同Internet的互联,包括内部用户访问互联网资源以及同异地用户沟通交流,出差用户访问全厂办公和数据中心业务网络。
全厂科研办公通过互联网运营商接入互联网,按需租用出口带宽,统一接入在信息中心数据机房内。
按用户业务、流量隔离需求,进行接入分区划分。
分为内网接入区、互联网接入区、外联网接入区、数据中心互联接入区四部分,可涵盖大部分接入场景。
易于维护管理、易于业务安全隔离、易于未来扩展
设计双运营商出口链路,实现出口链路备份和负载分担。
部署使用万兆高性能防火墙、IPS入侵防御检测、防病毒和VPN功能综合设备部署边界区域。
数据中心-整体分区逻辑架构
设计原则
模块化
p业务安全隔离
p支持分区/数据中心间TRILL以及VPLS大二层组网
层次化
p网络具备横向弹性,易扩展
p支持低时延、无阻塞业务部署
p高性能三层网络
p支持胖树结构组网
虚拟化
p虚拟机接入感知与自动化策略部署
pVS+CSS二维网络虚拟化能力
融合网络
p支持FCoE技术,融合存储与业务网络
整个架构分为三层和两体系:
基础设施服务层(IaaS)、平台服务层(PaaS)、应用软件服务层(SaaS)、信息安全体系和运营管理体系,其中信息安全体系和运营管理体系由信息安全管理平台和运营管理平台构成。
1、基础设施服务层包括硬件基础设施子层、虚拟化资源池化子层、资源调度与管理自动化子层。
硬件基础设施子层:
包括主机、存储、网络及其他硬件在内的硬件设备,它们是实现企业云平台的最基础资源。
虚拟化资源池化层:
通过虚拟化技术进行整合,形成一个对外提供对资源的池化管理(包括网络池、服务器池、存储池等),同时通过企业云平台,对外提供运行环境等基础服务。
资源调度与管理自动化子层:
在对资源(物理资源和虚拟资源)进行有效监控、管理的基础上,并且通过对服务模型的抽取,提供弹性计算、负载均衡、动态迁移、按需供给、自动化部署等功能,它是实现企业云平台的关键所在。
2、平台服务层主要在IaaS之上提供统一的平台化系统软件支撑服务,包括工作流引擎服务、通用报表等。
这一层不同于以往传统方式的平台服务,这些平台服务也要满足云架构的部署方式,通过虚拟化、集群、负载均衡等技术提供云状态服务,可以根据需要随时定制功能及相应的扩展。
3、应用软件服务层,是数据中心对外提供的终端服务,可以划分为基础服务和专业服务。
按照业务安全等级,对业务进行划分,并进行安全隔离。
基础服务提供统一数据采集、统一数据交换等功能,专业服务主要指基于政务外网的各种业务应用如视频会议、统一通信、多媒体发布等等。
它们通过应用部署模式和底层的稍微变化,都可以在云计算架构下实现灵活的扩展和管理:
按需服务是SaaS应用的核心理念,多租约SaaS应用可以满足不同用户的个性化需求,通过多个租约向用户提供有差别的服务,通过负载均衡满足大并发量用户服务访问等。
4、信息安全管理体系,针对企业云平台建设以高性能高可靠的网络安全一体化防护体系、虚拟化为技术支撑的安全防护体系、集中的安全服务中心应对无边界的安全防护、利用云安全模式加强云端和客户端的关联耦合和采用非技术手段补充等保障基于云计算的的安全。
5、运营管理体系:
保障基于云计算的的正常运行,提供故障管理、计费管理、性能管理、配置管理、安全管理等等。
安全缓冲区域方案
作为出口区域的安全缓冲区:
是互联网同内部网的中间地带,提供第一层网络防护。
同时作为边界防火墙实现对内部保护区和DMZ区的访问控制,并且提供内部地址转换服务(NAT),实现有限公网IP资源的合理利用;
提供端口映射服务,实现内部服务发布时的IP地址屏蔽。
边界区域第二级部署统一威胁防御网关,配置网络防病毒和上网行为审计模块服务,网络防病毒实现对网络流量中的木马、蠕虫、DoS攻击的查杀,上网行为审计实现内部用户上互联网时的行为审计。
为满足异地协同办公需求,出口区域设计支持SSLVPN和IPSECVPN两种方式为远程用户拨入内网的方式,出差用户使用SSLVPN认证采用基于证书加口令的双因素认证模式,为互联网用户访问DMZ服务等提供通道和安全策略。
SSLVPN终端支持笔记本、智能手机(苹果IOS和安卓系统)和IPAD,在满足安全要求的前提下,可实现基于虚拟桌面技术的桌面漫游。
812老厂区访问新厂设计使用边界出口防火墙提供的IPSECVPNsitetosite的隧道方式进行访问。
考虑到内网无线用户使用同一套SSLVPN系统的认证,为提升认证效率,SSLVPN网关通过千兆接口旁挂部署在全厂网的核心交换机上,此SSLVPN系统同时对互联网出差移动办公用户提供入网认证服务。
接口形态和链路:
互联网边界防火墙使用双千兆单模光口上联互联网双出口,使用多模万兆光口和核心区域互联,通过千兆光口和DMZ区域WAF链接;
统一威胁防御设备使用万兆和边界防火墙以及内网核心使用多模万兆互联。
核心交换层方案
设计目标
p核心层网络是数据中心的互联核心和枢纽。
p高速连接数据中心内部各个功能分区,如互联接入区,业务分区,内网接入区等。
设计要求
p高性能快速转发;
高密度10GE/40GE连接。
p高可靠性/可用性,支持不间断转发。
p可扩展性高,满足数据中心业务服务器、数据及存储扩展。
p收敛比尽可能小,可满足无阻塞交换。
p支持虚拟化技术,满足组网与隔离的灵活部署。
部署方案
p核心由两台高性能交换机组成。
p可选择部署CSS集群,简化管理与路由设计。
p根据分区隔离、流量隔离需求,采用CSS集群虚拟化(多虚一)技术和VS虚拟化(一虚多)技术。
根据实际使用需求估算和扩展性考虑,主干网带宽设计为10GB,支持扩展到40GB,全厂核心交换机部署在全厂数据中心,汇聚各个楼宇或地块之间的用户流量,提供三层路由功能,连接全厂外部网络到内部用户的“纵向流量”和不同汇聚地块用户之间的“横向流量”。
设计核心设备由2台具备数据中心功能的高端核心交换机构成,采用高可用结构,无单点故障,满足全厂网和数据中心环境的高稳定、高带宽、高并发、易管理、毫秒级故障恢复时间等需求。
全厂核心交换机部署虚拟集群技术,将这两台设备对外虚拟化为一台超大容量的交换机设备。
通过网络虚拟化技术,两台物理核心交换机在逻辑上是一台交换机,配置统一路由表转发表、VLAN访问控制策略。
部署两台融合数据中心和多业务能力的核心交换机通过10GB接口互联,部署虚拟化功能来简化核心网络结构,提高网络可靠性和核心网络的交换能力和互联带宽。
核心交换机属于整个全厂网络的中心,具备高转发性能和全面的多业务功能,至少支持MPLS/VPN(多协议标记交换/虚拟专网)、OSPF(开放式最短路径协议)、ISIS(分级链路状态路由协议)、BGP(边界网关协议)和FCOE/TRILL/VEPA等数据中心功能,融合全厂和数据中心特性,保护核心设备(产品使用周期长)现有投资。
核心交换机作为全厂网统一集中认证网关,在安全管理平台RADIUS的配合下为全厂网的有线和无线用户提供统一的WEB接入服务。
此认证方式要求所有经过核心设备的用户数据,均需要通过验证才可入网。
鉴于有线和无线用户均是WEB认证方式,方案设计使用支持WEB降噪机制的核心认证网关,此技术能力能够有效避免大量开机就会出现的的HTTP请求报文网络噪声对WEB认证的核心交换和后台的Portal服务器造成的具体压力,从而保证WEB认证速率,提升无线用户快速认证和极速上网的使用体验。
汇聚层交换机部署在各个地块的弱电设备机房的生产运行办公网络接入机柜中,汇聚该地块用户的二层流量,通过10GE光接口接入到核心交换机,并保证所有万兆接口都可以线速转发。
按照10个地块配置汇聚交换机,每个地块区域节点部署双万兆和双核心互联。
各地块用户有线网络接入设计千兆到桌面。
主要采用的技术
核心交换机CSS集群虚拟化(多虚一)技术
2台核心交换机,组成高集群带宽的CSS集群,集群采用通用的业务接口(10GE/40GE)连接。
带外部署DAD检测链路,集群心跳在堆叠管理通道中断后,关闭低优先级设备业务端口,避免出现双主。
支持本地优先转发,优化流量模型
核心交换机VS(VirtualSystem)虚拟化(一虚多)技术
VS的特征
交换机一虚多:
一台物理交换机对外表现为多台逻辑交换机。
VS间相互隔离:
VS独占分配给自己的系统资源,独立运行网络业务。
VS间相互隔离、互不影响。
与VRF等隔离方案相比转发层、控制层、管理层、系统资源全部隔离。
VS间资源可以端口组VS或端口VS为单位进行灵活分配。
优势:
交换机物理复用,按需灵活分配资源,提高设备利用率,节省设备成本。
网络业务划分不隔离,提高网络安全性及可靠性。
各个VS故障隔离。
客户需要部署2张相互独立的网络,分别运行不同的业务。
通过两台核心交换机部署VS一虚多,2张网络在核心层共用物理交换机、独享不同的VS,实现网络隔离。
VS配置为端口组模式,每个VS的性能与物理设备一致。
横向多网核心融合
数据中心大二层网络构架
层次化架构
p可靠性高:
汇聚区设备独立,冗余设计,避免单点故障。
p易于扩展:
易于模块化设计,易于业务扩展,故障隔离和故障定位。
p方便管理:
便于部署路由,安全控制策略。
核心层(厂区整网汇聚层):
交换核心,采用冗余性设计保证高可靠性,支持无阻塞数据交换。
同时,作为服务器网关,部署策略,实现分区内服务器分组间的胡同,实现出口区域的业务流量转发,路由汇聚及路由负载均衡,快速瘦脸。
高可扩展性,大容量。
网络增值业务,如:
安全控制、应用优化、负载均衡、SSL卸载等智能功能。
接入层:
服务器、主机、存储设施接入,网络智能服务初始分类,如QoS、ACL。
接入部署模式分为TOR、EOR/MOR。
接入设备:
各种业务服务器和接入设备,如DNS、APPS、DB等服务器,形态有大型机、机架式服务器、刀片服务器。
大二层网络技术
背景
p要求更高链路利用率降低投资。
p业务部署、迁移、集群要求更大的二层域。
p服务器虚拟化要求更高的东西向带宽。
云计算时代下,数据中心普遍采用服务器虚拟化技术,为了增大数据中心内业务可靠性、降低IT成本等,需要VM能够进行大范围的动态迁移,VM的MAC、IP在迁移时不能发生变化。
另外,服务器之间需要进行大量协同计算,从而产生很多东西向流量,要求网络支持胖树扁平组网方式,数据报文实现无阻塞转发。
这些业务需求,催生了大型二层网络的诞生,传统的MSTP协议无法满足大规模二层组网的需要。
二层技术比较
数据中心互联(新老厂区互联)逻辑架构
多种互联方式(挄业务互联方式分类)
p三层互联
p二层互联
p物理层互联
三层互联(本工程选择方案)
p通过IP网络MPLSVPN技术
p点到多点,实现DC间三层互通以及业务间隔离
二层互联
p通过IP网络VPLS、TRILL技术
p点到多点,实现业务分区跨DC二层扩展
物理层互联
p通过自建/租用传输设备戒SDH与线
p是存储与业务层的互联
p场景广泛,采用点到点互联
数据机房物理架构
基于POD(Pointofdelivery)的模块化设计
pPOD作为数据中心基本物理设计单元,通常包含服务器机柜、接入网络机柜、汇聚网络柜、以及相应的空调、UPS等弱电配套设施。
p灵活易扩展,提高投资利用率,提高能源利用率,适应于计算虚拟化需求。
基于POD模块化设计的IDC物理布局
p汇聚区域(POD):
由多个重复的POD组成。
每个POD包括服务器,存储和网络设备,完成一种戒者多种业务。
p核心区域:
连接多个POD,包括核心交换机,出口路由器等设备。
物理构架于逻辑构架的对应关系
p层次化
p模块化
企业业务网络分区
依据业务系统的关联性、安全要求、管理、规模等因素,将数据中心的服务器部署至不同分区。
业务分区间采用防火墙迚行隔离。
业务分区内子分区,采用逡辑隔离各个业务层次
每个分区具备业务服务器、交换机,以及防火墙、负载均衡器等业务设备。
分区上行连接数据中心交换核心。
业务分区
业务系统
防火墙
负载均衡
业务分区1
ERP系统(可再拆分、需衔接)
否
是
业务分区2
MES系统(可再拆分、需衔接)
三维数字工厂(可再拆分、需衔接)
业务分区3
数字生产监控系统、视频会议系统
业务分区4:
能源计费系统、SCADA系统
业务分区5
网络广播系统、多媒体发布系统、大屏显示系统
业务分区6
辐射监测系统、安全应急管理系统
企业门户系统
存储方案
方案设计的原则
源自技术先进性、可扩充性、高可靠性、高可用性、成熟性、可管理性的设计原则和总体设计思想,依靠业界优秀技术设计理念和产品,借鉴了包括在内的全球众多成功案例和实际经验,我们设计了整体的虚拟化存储解决方案。
技术先进性:
系统设计采用当前先进而成熟的技术,不仅可以满足本期工程的需求,也掌控未来的发展方向。
从技术角度出发着眼未来,确保用户获得技术成熟并且先进的产品方案。
可扩充性:
在系统设计时充分考虑可扩充性,从而确保新功能、新业务的增加在原有的系统平台上扩展和实现。
确保虚拟化存储设备对主机系统的广泛支撑能力。
高可靠性:
虚拟化存储平台具有高可靠性,具备先进的容灾的设计。
充分保证系统的高扩展能力和高容错能力,具有通道负载自动均衡能力和存储系统性能调节能力,同时提供极为充分的可靠性各项指标设计。
高可用性:
在线磁盘系统不停机情况下,实现不停机扩容、维护、升级等服务,提高性能以满足新的业务需求。
可管理性:
提供功能强大的管理软件对存储系统进行有效的管理。
可实施性:
选用成熟的技术,成熟的案例经验和设计方案,制定详细的技术实施方案。
方案设计的思路和架构
按照中核燃料高场厂区的应用需求。
我们将按照以下的思路进行系统构建:
建立完整的虚拟化存储解决方案,实现足以支撑当前以及未来存储空间需求的大容量在线存储系统。
实现数据的在线高可用性,避免由于逻辑故障、人为因素、意外事件导致的计划外停机。
配置企业级磁盘存储产品,将用户系统中的数据集中存储至核心存储中。
充分利用用户现有网络系统,实现数据高速共享。
为用户提供支撑多站点的容灾解决方案,使得分支机构数据得以自动的上传和汇总。
通过全球知名的HP品牌与全面的服务网络提供优质解决方案,以及最佳的产品组合和兼容性。
方案优势
高性能企业级虚拟化磁盘存储系统。
高扩展性:
最高支持大容量存储空间,降低扩容成本。
支持广泛的操作系统,为用户提供良好的系统兼容性。
提供简便管理人员维护环境,变化用户日常维护,发生情况后可以及时处理。
对于新版本服务器的支持,提供在线的存储升级,用户无需停止业务系统。
针对中核燃料高场厂区系统的存储建设,我们设计的方案通过磁盘阵列系统搭建完整的数据存储解决方案。
以上方案所采用的是业界非常成熟的技术,用户无须担心新技术的发展对产品的影响。
通过对核心数据的合理保护,增加了系统的安全可靠性。
存储FCOE技术
数据中心网络接入层是将服务器连接到网络的第一层基础设施,这里最常见的网络类型是用于局域网(LAN)连接的以太网,以及用于存储网络(SAN)连接的FC网络。
为支持不同类型网络,服务器需要为每种网络配置单独的接口卡,即以太网卡(NIC)和光纤通道主机总线适配器(FCHBA)。
多种类型的接口卡和网络设备削弱了业务灵活性,增加了数据中心网络管理复杂性、增加了设备成本、增加了电力等方面的开销。
FCOE技术,实现了用以太网承载FC报文,使得FCSAN和以太网LAN可共享同一个单一的、集成的网络基础设施,很好的解决了不同类型网络共存所带来的问题。
然而,传统以太网LAN和传统FCSAN具有不同的技术要求,在拓扑结构、高可用性、传输保障机制、流量模型等方面存在较大差别。
FCOE技术的两种部署模式:
FCOE技术在网络中有两种部署模式,如下图所示:
1.整网端到端(接入—汇聚—核心)的FCOE部署(上图a)。
FCoE技术的应用范围扩大到整网,除接入层交换机外,汇聚核心层交换机也支持FCoE功能;
除服务器外,存储设备也逐渐支持FCoE接口。
由此实现了LAN与SAN的融合,简化了整网基础设施。
2.FCOE只部署在服务器网络接入层(上图b)。
目的是实现服务器I/O整合,简化服务器网络接入层的线缆设施。
服务器安装支持FCoE的10GECNA网卡,并连接到接入层FCoE交换机(FCF或NPV),接入层交换机再分别通过10GE链路和FC链路连接到现有的LAN和SAN。
FCOE整网部署是数据中心网络未来发展趋势,由于FCoE标准发布不久,业界还没有出现较为成熟的支持全网端到端FCOE部署的方案和产品,成本也相对较高,因此FCOE的网络接入层部署是当前的主要应用模式。
此外,从保护XX现有投资(已建设的FCSAN)角度出发问题,也建议现阶段只在网络接入层通过FCOE实现服务器IO整合,简化接入层线缆部署,而保留原有LAN骨干与原有FCSAN骨干的独立性。
服务器部署万兆CAN融合网卡,连接FCoE接入交换机,同时在FCoE接入交换机上配置FC接口卡,与FCSAN交换机相连。
FCoE上行至核心交换机的链路组网与其它业务区相同。
服务器部署方案
典型服务器部署
服务器接入水平布线方式
TOR方式
服务器类型:
1U/2U/4U机架服务器、刀片服务器(直通)
适合场景:
高密度服务器机柜
布线:
简化服务器机柜不网络机柜间水平布线
维护:
接入设备多,网络管理维护复杂,电缆维护简单,扩展性好
EOR方式
1U/2U/4U机架服务器、刀片服务器(交换模块)
低密度服务器机柜,高密刀片机柜
布线复杂
接入设备少,维护简单,电缆维护复杂
接入方案
适用亍常见的多层业务、扩容较快的业务,供电密度较低,制冷条件,布线密度较低,未来扩容能力强,可在汇聚区内扩容1倍服务器数量。
每机架通常5~6台机架式服务器,构成低密度机架服务器部署。
EoR方式水平布线密度较高,ToR布线密度较低;
带外业务、设备管理网络、存储网络,
各级交换机规格要求
数据中心级核心交换机规格要求
1)数据中心级别核心交换机,clos架构,引擎插槽2个、业务插槽8个、交换网板插槽2个;
2)交换容量≥136Tbps,转发性能≥3600Mpps;
3)支持BGP4/4+、ISISv4/v6、OSPFv2/v3、支持MPLSPE;
4)配置支持FCoE融合网络、TRILL透明交换、CEE增强以太网(DCB)、支持VEPA;
支持虚拟化技术;
5)配置集中认证功能,实现不少于10万人802.1X和WEB方式的接入认证;
支持WEB降噪功能,保障核心设备和PORTAL服务器稳定可靠运行,提供权威机构测试报告。
6)配置:
(1)双引擎、1+1冗余电源,;
千兆光口44个(非复用),万兆SFP+光口52个;
配置24个万兆单模模块,24个万兆多模模块,4根万兆虚拟化专用线缆模块;
(2)配置虚拟化、FCOE、VEPA、TRILL数据中心功能软件授权;
(3)配置核心集中认证功能组件和Portal认证组件,认证许可3000。
汇聚交换机型号一规格要求
升级会员 