XX广电数据中心网络解决方案.docx
《XX广电数据中心网络解决方案.docx》由会员分享,可在线阅读,更多相关《XX广电数据中心网络解决方案.docx(17页珍藏版)》请在冰豆网上搜索。
XX广电数据中心网络解决方案
XX广电数据中心网络解决方案
1XX广电数据中心面临的挑战
“数据中心”建设是三网融合建设的重要组成部分,是广电网络运营商进行多业务运营转型,提升综合实力的主要任务。
作为定位在“多业务运营平台”基础之上的数据中心,它不仅作为IDC开展IDC业务,还对广电现有的宽带接入业务、互动数字电视视频业务、互动增值业务的发展产生积极作用,同时为广电的IT支撑系统提供运维保障。
当前广电数据中心面临的挑战是:
1)广电宽带用户需要的互联网内容与信息服务大部分在电信和联通的IP网内,导致广电巨大的入网流量带宽成本。
需要建设数据中心并部署一定规模的P2P、WEB应用缓存系统,从而尽可能将本地宽带用户的内容和服务请求终结在广电网内。
2)互动数字高清视频业务是广电运营商的核心业务,其发展方向是互动、高清、3D,该业务不仅需要大量丰富的高清互动视频媒体资源,同时还需要完善的视频内容分发网络(CDN),作为数据中心一个业务域,对大流量环境下的高带宽、高可靠、高稳定、易管理、节能环保要求较高。
3)IDC业务是运营商业务领域的重要组成部分,是信息化服务的趋势,IDC相关业务除了传统的系统托管业务、服务器和带宽等资源租赁业务、网络安全增值业务外,还将面向公众、企业等客户的云计算服务,承载这些业务,完善的数据中心基础设施是不可或缺的。
4)随着业务的发展,广电运营商需要逐步建设完备的IT支撑系统,包括相关的业务平台管理系统、内部管理系统,现阶段大部分的广电IT支撑系统还处在不断完善、持续建设的阶段,如果广电马上建设完善独立的IT支撑系统数据中心将是一种硬件资源、运维资源的潜在浪费,需要将其纳入到多业务数据中心,保障该系统的独立性和安全隔离,以逐步完善IT支撑系统。
根据对广电行业业务对数据中心的建设需求,汉柏科技提出了广电数据中心网络解决方案,对数据中心网络的总体架构、网络功能、可靠性、安全设计、服务质量设计进行了详细的描述,以指导建设一个高度可靠、安全、快速、可扩展的数据中心网络平台。
汉柏认为数据中心网络建设目标是:
在统筹广电数据中心项目业务需求和发展的基础上,兼顾远期发展目标,建设一个高度可靠、安全、快速、可扩展的基础网络平台,为各项业务提供优质高效的网络服务。
2数据中心业务规划
广电数据中心网络承载的业务众多,可按照业务类型初步规划如下:
1)自营交互应用业务
交互应用业务区承载了双向互动点播系统业务,是作为广电运营商“三网融合”的核心业务,在业务部署模式上采用的是分布式部署,即中央交互服务器与区域交互服务器是逻辑分开的。
2)IDC业务
包括大客户系统托管、游戏门户、视频门户、WEB门户等业务。
3)云计算业务
包括承载网、企业私有云、个人公有云、物联网等业务。
4)IT支撑系统
包括多业务管理系统、计费管理系统、用户管理系统、企业内部管理系统等业务。
3网络架构设计
3.1设计原则
广电数据中心网络设计原则如下:
●层次化
广电数据中心网络在网络层次设计上分为三层结构,即核心层、汇聚层、接入层。
●区域化
广电数据中心网络根据业务功能划分区域,各自独立,分别设计。
●高可靠性
系统的可靠性是网络健壮和稳定的重要因素之一,所以对网络系统的高可靠性设计必须全面考虑。
●可扩展性
随着网络技术的发展和应用规模的不断扩大,网络应具有平滑扩展的能力,这种扩展不应影响原有的应用。
广电数据中心网络系统应能够随时通过增加网络设备或模块来扩展、升级整个网络系统,同时保证原有设备的正常使用。
3.2整体网络架构
汉柏建议数据中心网络的网络架构采用分层、分区的模块化规划方法,即:
●根据不同的网络访问层次,将数据中心网络分为:
核心层、汇聚层和接入层。
●根据不同的业务功能,将数据中心网络在功能上分为:
交互业务区、IDC业务区、云计算业务区、IT支撑业务区。
整体拓扑结构如下:
核心交换区作为中心连接了各业务区汇聚接入交换机和骨干网、VOD承载网接入路由器,核心与汇聚之间以及核心与广域网之间采用口字型结构,以保证系统可靠性。
3.3层次化网络架构
核心交换区分外联核心交换区和内联核心交换区,各负责与广电骨干网和VOD承载网以及其它数据中心网络互联;作为数据中心网络的路由中心,与区域汇聚交换机三层连接,实现整个网络各个区域间的数据交换。
核心层交换机之间通过两条万兆链路捆绑互联,以实现稳定可靠的网络中心。
核心交换机建议采用汉柏万兆模块化交换机PT-6600系列交换机,通过万兆链路与汇聚交换机实现互联互通。
汉柏PT-6600系列适合为用户组建高性能、高安全、高可靠的数据中心。
PT-6600单机提供高达3.2T的交换容量和2381Mpps的转发能力,可以实现384个千兆或64个万兆以太网接口的全线速转发,满足了数据中心的高性能需求;PT-6600支持全方位的安全,通过加强设备自身的安全特性,提供内置的安全模块等多种方式,满足了数据中心的高安全需求;PT-6600支持不间断转发技术,支持所有模块的热插拔,再加上VRRP等冗余备份技术,满足了数据中心的高可靠需求。
汉柏PT-6600凭借其卓越的性能、全方位的安全以及电信级的可靠性,为数据中心建设提供了坚实可靠的网络基础平台。
汇聚层作为各个区域数据的汇聚中心,分担核心层的压力,为服务器群对外提供高带宽出口;要求提供高密度GE/10GE端口实现接入层互联;另外充分考虑扩展性需求,我们建议选用汉柏科技公司的PT-6600万兆交换机作为汇聚,以实现高密度、高性能的服务器接入。
接入层支持高密度千兆接入、万兆接入;接入总带宽和上行带宽存在收敛比,基于机架考虑,1U设备更具有灵活部署能力。
汉柏PT-3750E系列万兆路由交换机采用硬件领先的架构,可全线速转发各种类型的数据包,在IPv6方面处于业界领先的地位。
该系列产品全面支持各种单播路由和组播路由协议以及汉柏科技有限公司独有的扩展的多项功能,可满足于大型网络的需求。
不仅如此,PT-3750E系列交换机还借助芯片级的安全可靠转发能力和多样化的业务支持,以及较高的性价比,成为大型网络汇聚层和中型网络万兆核心层解决方案的最佳产品。
PT-3750E系列万兆路由交换机是汉柏科技有限公司强力推出的面向大型数据中心的高性能、高安全性、高可靠性的盒式万兆路由交换机,PT-3750E系列交换机支持灵活的千兆的双介质光、电组合端口形态,同时支持高达四个高性能的万兆扩展,标准的1U高度,满足汇聚产品向高性能、小型化、节能环保发展的趋势。
在性能和功能方面,PT-3750E系列交换机能够满足大型网络的组网需求,并具备丰富的智能和安全特性,特别适合于作为大型校园网、企业网、电子政务网、城域网的汇聚设备,以及中小型网络的核心设备。
3.4区域化业务接入网络架构
目前应用访问大部分已实现浏览器/服务(简称B/S)架构,该架构要求采用三级服务器访问模式,结合安全和管理方面需求,汉柏建议采用对外接入区和应用服务器接入区两个子区域实现业务服务器接入,其网络架构及流量模型如下:
两个业务子区域通过交换网络的互连,层层的安全保护,形成结构清晰的易于部署的服务器接入架构。
4网络功能性设计
4.1VLAN设计
广电数据中心网络系统属于交换网络,各业务数据由VLAN通道进行承载,汉柏建议VLAN设计分为如下三个部分:
●设备管理VLAN
●设备间互联VLAN
●业务VLAN
由于各业务区域广播域完全分开,因此对业务区域来说可以独立进行VLAN设计,建议VLAN设计与IP地址设计统筹考虑,如可以将VLAN编号与IP地址某一位设计成相同,以利于数据中心网络系统运行维护。
4.2IP地址设计
IP地址设计分设备管理地址设计、互联地址设计、业务地址设计,汉柏认为广电数据中心网络IP地址规划应按如下原则进行:
●IP地址规划主要涉及到网络资源利用的方便有效的管理网络的问题,合理的IP地址规划是有利于网络管理的;
●IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。
应充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布;
●IP地址的规划与划分应该考虑到网络的后续规模和业务上的发展,能够满足未来发展的需要;即要满足当前业务对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
●IP地址的分配需要有足够的灵活性,能够满足各种用户接入需要;
●地址分配是由业务驱动,按照业务量的大小分配各业务区域的地址段;
●IP地址的分配必须采用VLSM(变长掩码)技术,保证IP地址的利用效率;
●采用CIDR技术,通过IP地址聚合,以减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;
●充分合理利用分配的地址空间,提高地址的利用效率;
●IP地址规划应该是数据中心网络整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。
IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。
4.3路由设计
考虑到交互应用系统内Client-to-Server网络中服务器对负载均衡的需求,汉柏建议将Client-to-Server网络网关部署在负载均衡器上,而Server-to-Server网络中的服务器网关部署在区域防火墙上,由防火墙实现安全访问控制。
其它业务区域服务器网关均部署在汇聚交换机上,防火墙透明部署,并增加安全访问控制策略。
为了实现网关设备的动态切换,汉柏建议为网关设备部署VRRP协议,并叠加BFDforVRRP技术,实现网关快速切换。
汉柏建议各区域采用OSPF路由协议实现互联互通,路由策略设计如下:
1)对于外联核心交换机启用三个OSPF进程,分别与对外接入汇聚交换机、骨干网接入路由器、VOD承载网接入路由器建立邻居,分别学习到数据中心网络路由、骨干网路由及VOD承载网路由,然后将数据中心网络路由重分布到骨干网和VOD承载网,而骨干网和VOD承载网之间不重分布路由,以防止骨干网用户能够访问VOD承载网数据。
2)对于内联核心交换机启用两个进程,分别与应用服务器接入汇聚交换机和其他节点数据中心交换机建立邻居,在各路由区域内选择性重分布路由,以控制业务区域服务器与其它数据中心访问。
5网络可靠性设计
5.1设备级可靠性设计
本方案采用的汉柏设备为分布式体系结构,所有关键部件采用冗余设计,包括主控板、交换网、电源和风扇等;采用无源背板设计,避免机箱出现单点故障;所有单板支持热插拔功能,并且对其它单板上运行的业务无影响。
汉柏PT系列交换机采用“最长匹配、逐包转发”模式,能够抵御网络病毒的攻击;支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证;支持IP、VLAN、MAC和端口等多种组合绑定方式,防范地址盗用;支持广播报文抑制,有效控制ARP等非法广播流量对设备造成冲击;支持URPF,防止IP地址欺骗;支持报文安全过滤,防止非法侵入和恶意报文攻击等。
此外设备自身的可靠性还可以通过为关键设备配置冗余部件来实现,如将核心交换机和汇聚交换机配置为双引擎、双电源。
此外汉柏防火墙、入侵检测设备均支持双操作系统,当出现主操作系统不工作时,备操作系统立刻接管主操作系统,保证业务不发生中断。
5.2链路级可靠性设计
汉柏PT-6600及PT-3750E交换机均支持链路捆绑技术,对于核心交换机和汇聚交换机,互联链路采用了两条链路捆绑,这样当出现单条链路中断情况时,均可以通过协议的收敛机制实现数据交换无丢包。
网络互联方面,由于采用了OSPF路由协议,当非捆绑链路出现中断情况时,OSPF协议将重新计算出新的转发路径,保障数据转发不中断。
同时汉柏PT-6600及PT-3750E交换机均支持BFD技术,可将OSPF路由协议的收敛速度由秒级缩减到毫秒级,从而大大提高了整体网络的可靠性和应用的可用性。
6网络安全设计
6.1设计原则
汉柏认为数据中心网络安全需遵从如下设计原则:
(1)构建分域的控制体系
整个系统安全在总体架构上将按照分域保护思路进行,参考IATF信息安全技术框架,将交互应用公共支撑网络从结构上划分为不同的安全区域,各个安全区域内部的网络设备、服务器、应用系统形成单独的计算环境、各个安全区域之间的通道形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施;因此方案将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计,并通过统一的基础支撑平台来实现对基础安全设施的集中管理,构建分域的控制体系。
(2)构建纵深的防御体系
整个系统安全对交互应用公共支撑网络的通信网络、区域边界、计算环境,综合采用访问控制、入侵检测、安全审计、防病毒、集中数据备份等多种技术和措施,实现双向交互业务应用的可用性、完整性和保密性保护,并在此基础上实现综合集中的安全管理,并充分考虑各种技术的组合和功能的互补性,合理利用措施,从外到内形成一个纵深的安全防御体系,保障信息系统整体的安全保护能力。
(3)保证一致的安全强度
应采用分级的办法,采取强度一致的安全措施,并采取统一的防护策略,使各安全措施在作用和功能上相互补充,形成动态的防护体系。
在建设手段上,采取“大平台”的方式进行建设,在平台上实现各个级别信息系统的基本保护,比如多层的边界防护系统、统一的审计系统,综合的网管系统,然后在基本保护的基础上,再根据各个信息系统的重要程度,采取高强度的保护措施。
(4)实现集中的安全管理
网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。
建设一套覆盖全面、重点突出、持续运行的信息安全管理体系,该体系覆盖信息系统安全所要求的安全技术和安全运维等内容,符合信息系统的业务特性和发展战略,可持续发展与完善。
信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性,从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。
通过建设集中的安全管理平台,实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管,通过关联分析技术,使系统管理人员能够迅速发现问题,定位问题,有效应对安全事件的发生。
(5)系统冗余设计
如何保证数据中心对外正常提供服务是整个数据中心网络建设的重点,整个系统不应只考虑到安全设备的部署,还要系统的考虑到主干网络、分域网络、所有应用系统的冗余机制,以保证所有业务的正常访问。
(6)提升系统的保障能力
在技术措施和管理手段建设的同时,重视信息安全中“人”的重要作用,通过一系列的风险评估、安全加固提升系统的安全性,并通过安全培训和安全通告提高歌华有线自身技术人员的技术水平,使系统安全保障能力达到行业内一流的信息安全保障水平,支撑和保障信息系统和业务的安全稳定运行。
6.2安全域设计
传统解决方案中,终端用户可以访问自己前端WEB服务器,同时WEB服务器可以访问内部应用服务器,这样存在非常严重的安全隐患,一旦前端WEB服务器被互联网黑客植入木马,则黑客可通过“肉鸡”主机窃取高等级安全域中的信息数据。
针对网络中可能存在的“肉鸡”主机问题,应用安全域解决方案通过对用户主机的认证授权模式,确保客户主机在同一时间段只能访问某一个区域,如访问对外接入区域,则对外接入区域服务器不能访问其他的安全域中的服务器,保证了即使被植入木马的主机,不会被外界控制去访问其它服务器资源,从而降低网络中信息泄漏的概率。
按照区域的功能和应用的不同,汉柏建议数据中心网络划分为如下三个安全域:
●外联区;
●业务区(包括四个子区);
●内联区;
各安全域的边界规划如下图所示:
安全域边界规划描述如下:
●外联区与业务区属于不同安全域;
●内联区与业务区属于不同安全域;
●各业务安全子域属于不同安全域;
6.3防火墙系统设计
为实现安全域边界防护,需在安全域之间部署防火墙,汉柏建议广电数据中心网络防火墙部署方式如下图:
建议在外联区与业务区之间部署汉柏PA-5500-F45超万兆防火墙,流量较小的内联区与业务区之间部署汉柏PA-5500-F40万兆防火墙。
部署模式建议采用透明方式+安全策略,以达到更高的转发性能。
作为业界领先的安全防护产品,PA-5500-F45/40具有如下突出特点:
●专业的安全防护
PA-5500-F45/40不仅能够提供全面的地址转换、MAC地址绑定、访问控制策略、安全域划分、身份认证等边界防护功能,同时能够抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LANDIGMP2、IP碎片、源路由、端口扫描、IP-Spoofing等几十种常见攻击。
针对嵌入在各种应用(邮件、网页、FTP以及VoIP)中的攻击、病毒和恶意插件,PA-5500-F45/40能够在深度识别业务类别和用户行为的前提下,提供基于状态监测的应用层网关功能,结合强大的入侵检测机制和防病毒引擎,真正实现了边界、接入、行为和数据的多重安全防护。
●稳定和高性能
PA-5500-F45/40防火墙采用了基于汉柏多个专利技术的双安全操作系统,并对数据平面和控制平面进行了严格的区分。
对数据平面中各种需要高性能处理的功能,如地址转换、报文转发和访问控制策略进行了细致的优化处理;在控制平面上,支持链路状态信息的倒换机制、分布式应用和模块化的硬件架构,同时也对处理资源进行了保护,确保即使在极限网络压力下,PA-5500-F45/40仍然能够维持平稳的工作状态。
●万兆就绪
针对日益突出的视频传输、虚拟桌面和数据中心备份等大数据量传输,应用的飞速增长带来了带宽的提升需求,万兆接口的应用已经势不可挡。
同时,数据中心对设备的功耗和体积要求也越来越严格,更希望能够在相同的机架面积里面实现更高密度的连接。
借助出色的硬件平台研发能力,汉柏科技率先推出了全球第一款在1RU体积上实现万兆接口的防火墙,凭借突出的功耗控制和效能优化,为用户平滑过渡到万兆时代提供了最佳选择。
●内置交换芯片
PA-5500-F45/40在业内首次创新的采用了先进的防火墙+交换机的设计架构,采用高性能的千兆交换芯片,提供高达128Gbps的交换容量,不仅能够实现接口之间的L2/L3线速转发,还同时能够提供链路汇聚(802.3ad)、灵活的VLAN配置以及端口镜像等功能,内置的硬件ACL还能够配合防火墙,实现安全层面和转发层面依据硬件分离,提供更为全面的高性能安全接入功能。
●虚拟防火墙功能
传统的防火墙只能提供单一安全域的防护,而对于多个安全域的独立部署,需要多台防火墙才能实现,这造成了IT资源的极大浪费。
PA-5500-F45/40支持虚拟防火墙技术,能够在一台物理防火墙上划分出多个虚拟防火墙,每一台虚拟防火墙都能够实现独立的访问控制策略、VPN、身份认证和系统管理。
同时,系统还能够对多个虚拟防火墙进行统一的配置管理、软件升级。
对于用户来说,即提高了现有设备的利用率,又解决了网络部署复杂、扩展性差等问题。
●出色的能效比
PA-5500-F45/40采用了自主研发的高性能操作系统,并且针对报文转发、过滤以及VPN的关键处理进行了深入的优化设计,在同等硬件处理能力下,比通用的操作系统要高出至少30%的效能,对于提高用户IT资源利用率,降低能耗和节能减排给予了强有力的支持。
●精细的流量和业务管理
基于专利技术的流量识别,结合强大的深度业务识别技术,PowerAegis系列防火墙能够提供对包括HTTP、Mail、FTP等多种业务在内的精细化识别,根据既定的服务管理策略,对各种应用给予不同的差分化对待,确保了关键业务的正常运行,即提高了网络资源的利用效率和组织的生产效率,又降低了IT总成本和运维的风险。
6.4入侵检测系统设计
IDS的部署目的是为了监测来自不同网络对数据中心网络的访问,用以及时发现网络攻击并提供有效证据。
制定策略是使用IDS最重要的工作之一,良好的策略不仅可以让管理员及时捕捉到网络上正在发生的重大危害事件,而且使管理员不致被大量的无用信息所淹没,减轻工作负担。
如果是初次使用,对网络上存在些什么样的数据流可能不甚明确,这时可以采用包含事件较多的策略集,待运行一段时间后,对网络状况有了基本的了解,再在此策略集的基础上酌情删减。
汉柏建议IDS的部署方式如下图:
IDS建议采用两台汉柏PA-5500-U40旁路部署模式,两台IDS分别连接在核心交换机上,将核心交换机连接各业务区域端口的出入流量镜像到汉柏PA-5500-U40,由汉柏PA-5500-U40进行入侵检测。
汉柏PA-5500-U40主要特点如下:
1)业界领先的架构设计
●业界最佳的系统架构
PA-5500-U40采用了控制平面、转发平面和管理平面严格分离的系统架构,采用基于硬件ASIC的完成防火墙的所有功能,实现小包64字节线速的吞吐量,严格保障防火墙的转发性能;对于应用层安全,采用高性能的通用处理器,以应对实时变化的威胁和应用;对于管理数据,给予最高优先级的处理,即使在应用层处理负载较重的时候,仍然能够轻松对设备进行管理和配置。
●IronScreen双安全操作系统
PA-5500-U40采用了基于汉柏专利多核技术的双安全操作系统,独创性的提出了基于安全领域在多核上的SMP(对称多处理)软件模型,该模型成功的应用了阿比达定律,有效的降低串行化执行代码在总执行代码中的比例,极大地发挥了多核下的并行计算能力。
除此之外,PA-5500-U40使用了智能流分类系统,将大量的数据流均匀分散在不同的核上进行全流程处理,增加了数据Cache的命中率,极大的提高了系统的性能。
针对多核软件设计大量使用到的锁,汉柏设计并实现了自有专利的安全操作系统写时拷贝机制,使得90%的数据流在做并行化处理时都是免锁的,进一步保障了系统的稳定性和可靠性。
2)入侵检测和防御
PA-5500-U40采用了集成多种检测机制的高性能扫描引擎,包括特征库匹配、异常行为分析、协议检查等手段,结合汉柏强大的实时安全服务,能够主动识别各种DoS/DDoS攻击、协议的变种攻击、木马和后门程序,不仅能准确地检测入侵,实时的阻止恶意的攻击,并能够提供丰富完整的日志和定位信息,进行事后溯源工作。
3)Web安全
针对不断涌现的Web安全,PA-5500-U40也提供了一定程度的防护,不仅包括能够有效的识别或过滤出嵌入在Web页面中的JavaApplet、JavaScript、Cookie和ActiveX等信息,还能够提供关键字过滤和基于超过4000万域名的Web页面分类数据库,帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问,杜绝潜在的威胁。
4)数据泄漏防护
PA-5500-U40还提供了精细的数据泄漏防护(DLP)功能,支持用户定义各种规则的关键字和敏感词,支持包括Email、HTTP、FTP和IM在内的各种协议,对于银行卡帐号、身份信息、财务信息等关键数据,将其控制在可信网络的范围以内,避免恶意或者无意的数据泄漏造成不可弥补的错误。
5)丰富的应用支持和管理
PA-5500-U40采用了多重识别技术,首先基于强大的深度报文检测和多达1400种的业界最丰富的协议库,对绝大部分的应用进行模式匹配;其次采用了启发式学习和DFI技术,采用汉柏专利技术进行深层次的行为挖掘;最后,对伪装成HTTP报文的应用,进行一致性还原比对。
在这三重技术的保障下,将应用识别率,提高到远远超过了业界的其他竞争对手的程度。
升级会员 