數(shù)據(jù)中心（Data Center，DC）是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境，是各種IT應(yīng)用業(yè)務(wù)的提供中心，是數(shù)據(jù)計算、網(wǎng)絡(luò)傳輸、存儲的中心。數(shù)據(jù)中心實現(xiàn)了IT基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用、數(shù)據(jù)的統(tǒng)一、安全策略的統(tǒng)一部署與運維管理。數(shù)據(jù)中心是當(dāng)前運營商和各行業(yè)的 IT 建設(shè)重點。運營商、大型企業(yè)、金融證券、政府、能源、電力、交通、教育、制造業(yè)、網(wǎng)站和電子商務(wù)公司等正在進行或已完成數(shù)據(jù)中心建設(shè)，通過數(shù)據(jù)中心的建設(shè)，實現(xiàn)對 IT 信息系統(tǒng)的整合和集中管理，提升內(nèi)部的運營和管理效率以及對外的服務(wù)水平，同時降低IT 建設(shè)的 TCO?？v覽數(shù)據(jù)中心的發(fā)展史，數(shù)據(jù)中心的建設(shè)主要分為四個層面。

設(shè)計目標

1、高效性：為了滿足平臺業(yè)務(wù)應(yīng)用系統(tǒng)的高并發(fā)、快速的虛擬機遷移、視頻文件以及大文件的上傳下載等要求，設(shè)計一個高帶寬、低延時、快速收斂并避免環(huán)路出現(xiàn)的網(wǎng)絡(luò)平臺是一個基本的設(shè)計目標。

2、高可靠性：高可用性是數(shù)據(jù)中心網(wǎng)絡(luò)平臺的設(shè)計目標之一，關(guān)鍵和核心部分不能出現(xiàn)單點故障。

3、可擴展性：具備良好的擴展能力也是數(shù)據(jù)中心網(wǎng)絡(luò)的設(shè)計目標之一，在核心、骨干網(wǎng)絡(luò)設(shè)備上要留有余量，充分考慮今后業(yè)務(wù)應(yīng)用增加的網(wǎng)絡(luò)需求。

4、靈活性、易維護性：要求網(wǎng)絡(luò)平臺能夠靈活簡便的對網(wǎng)絡(luò)資源進行調(diào)配。因此，網(wǎng)絡(luò)管理的靈活性和易維護性也是網(wǎng)絡(luò)平臺的設(shè)計目標之一。通過減少網(wǎng)絡(luò)配置節(jié)點、簡化網(wǎng)絡(luò)配置，降低網(wǎng)絡(luò)管理的人力開銷，從而易于網(wǎng)絡(luò)資源的調(diào)整和分配。

5、先進性：整體架構(gòu)應(yīng)當(dāng)保持穩(wěn)定而不應(yīng)當(dāng)頻繁調(diào)整。在設(shè)計網(wǎng)絡(luò)平臺的架構(gòu)的時候，設(shè)計目標之一應(yīng)該是保證網(wǎng)絡(luò)架構(gòu)和采用技術(shù)的先進性，3年內(nèi)只做規(guī)模擴充，而不做架構(gòu)調(diào)整。

6、安全性：保證各業(yè)務(wù)系統(tǒng)的信息安全是建設(shè)數(shù)據(jù)中心的一個基本前提，因此安全性也是網(wǎng)絡(luò)平臺需要考慮的設(shè)計目標之一。由于網(wǎng)絡(luò)安全域的劃分與隔離很大程度上依賴網(wǎng)絡(luò)結(jié)構(gòu)的合理性，因此在設(shè)計網(wǎng)絡(luò)架構(gòu)的時候需要考慮整體網(wǎng)絡(luò)安全性，便于安全方案進行安全域的劃分和安全域間訪問控制。

?   基礎(chǔ)網(wǎng)絡(luò)設(shè)計解決方案：

分區(qū)，即把用戶的整個IT系統(tǒng)按照關(guān)聯(lián)性、管理等方面的需求劃分為多個業(yè)務(wù)板塊系統(tǒng)，而每個系統(tǒng)有自己單獨的核心交換，服務(wù)器，安全邊界設(shè)備等，需要逐級訪問控制，良好的邏輯分區(qū)設(shè)計與安全域劃分成為數(shù)據(jù)中心網(wǎng)絡(luò)的必備基礎(chǔ)。

根據(jù)企業(yè)自身特點，依據(jù)業(yè)務(wù)系統(tǒng)的相關(guān)性、數(shù)據(jù)流的訪問要求和系統(tǒng)安全控制的要求等，可以把數(shù)據(jù)中心的服務(wù)器與業(yè)務(wù)系統(tǒng)分成內(nèi)網(wǎng)區(qū)（Intranet）、外聯(lián)區(qū)（Extranet）和互聯(lián)網(wǎng)區(qū)（Internet）等，并在此基礎(chǔ)上對業(yè)務(wù)流程進行深入細化。

分層的主要是根據(jù)內(nèi)外部分流原則，把數(shù)據(jù)中心網(wǎng)絡(luò)分成標準的核心層、匯聚層和接入層三層結(jié)構(gòu)。服務(wù)器與業(yè)務(wù)系統(tǒng)之間的流量大部分在單個功能分區(qū)內(nèi)部，不需要經(jīng)過核心；分區(qū)之間的流量才經(jīng)過核心，而且在每個分區(qū)的匯聚層交換機上做互訪控制策略會更容易、對核心的壓力會更好、故障影響范圍更小、故障恢復(fù)更快。

?   數(shù)據(jù)中心高可用解決方案：

隨著市場競爭的日益加劇，客戶對信息系統(tǒng)的依賴性和要求越來越高，保證數(shù)據(jù)中心的高可用性，提供7×24小時網(wǎng)絡(luò)服務(wù)成為建網(wǎng)的首要目標，也是數(shù)據(jù)中心建設(shè)關(guān)注的第一要素。

導(dǎo)致網(wǎng)絡(luò)不可用，即網(wǎng)絡(luò)故障的原因主要有兩類：

1. 不可控因素，如自然災(zāi)害、戰(zhàn)爭、大停電、人為破壞等

通過建設(shè)生產(chǎn)中心、本地備份中心、異地容災(zāi)中心，即兩地三中心模式，通過良好的整體規(guī)劃設(shè)計，保證不可控因素影響下數(shù)據(jù)中心的高可用。

2. 可控因素，如設(shè)備故障、鏈路故障、網(wǎng)絡(luò)擁塞、維護誤操作、惡意攻擊等。

在選擇產(chǎn)品設(shè)計上應(yīng)考慮諸多因素，包括物理設(shè)備、鏈路層、IP層、傳輸層和應(yīng)用層，全方位的提高網(wǎng)絡(luò)可用性。

硬件設(shè)備冗余，如設(shè)備雙主控、單板熱插拔、冗余電源、冗余風(fēng)扇。

物理鏈路冗余，如以太網(wǎng)鏈路聚合等。

環(huán)網(wǎng)技術(shù)，如：RPR、RRPP等技術(shù)。

二層路徑冗余，如：MSTP、SmartLink。

三層路徑冗余，如：VRRP、ECMP、動態(tài)路由快速收斂。

快速故障檢測技術(shù)，如：BFD等。

不間斷轉(zhuǎn)發(fā)技術(shù)，如GR等。

一、服務(wù)器接入高可用設(shè)計

也稱服務(wù)器多網(wǎng)卡接入。為了實現(xiàn)接入高可用，服務(wù)器通常采用多鏈路上行，即服務(wù)器的兩塊甚至多網(wǎng)卡接入，服務(wù)器中的網(wǎng)絡(luò)驅(qū)動程序?qū)蓧K或者多塊網(wǎng)卡捆綁成一個虛擬的網(wǎng)卡，如果一個網(wǎng)卡失效，另一個網(wǎng)卡會接管它的MAC地址，兩塊網(wǎng)卡使用一個IP地址，而且必須位于同一廣播域，即同一子網(wǎng)下。服務(wù)器和接入交換機之間的連接方式有幾種方式：

網(wǎng)絡(luò)可用性從左至右依次升高。推薦采用第四種接入方式。第四種連接方式服務(wù)器采用交換機容錯模式分別接入到兩臺機柜式交換機上，并且將VLAN Trunk到兩臺設(shè)備上，實現(xiàn)服務(wù)器的高可靠接入。

二、接入到匯聚高可用設(shè)計

接入到匯聚層共有四種連接方式，分別為倒U型接法、U型接法、三角型接法和矩形接法，這里所謂不同類型的接法是以二層鏈路作為評判依據(jù)，比如說矩形接法，從接入到接入，接入到匯聚、匯聚到匯聚均為二層鏈路連接，因此形成了矩形的二層鏈路接法。

三、 匯聚高可用性設(shè)計

1）匯聚交換設(shè)備之間的VRRP；

2）安全、應(yīng)用優(yōu)化設(shè)備之間的VRRP：可以內(nèi)置或者旁掛到匯聚交換機上(推薦旁掛，而不是串連到網(wǎng)絡(luò)中，消除性能瓶頸)。利用HRP協(xié)議實現(xiàn)在Master和Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息的備份。HRP協(xié)議承載在VGMP報文上。通過指定的負載均衡算法，對指向服務(wù)器的流量做負載均衡，保證服務(wù)器群能盡最大努力向外提供服務(wù)，提升服務(wù)器的可用性，提升服務(wù)器群的處理性能。

?   數(shù)據(jù)中心虛擬化解決方案：

隨著業(yè)務(wù)的持續(xù)發(fā)展、系統(tǒng)的更新升級、設(shè)備的不斷增多、能耗的大幅飚升，數(shù)據(jù)中心面臨著資源分配與業(yè)務(wù)發(fā)展無法完美匹配的難題：

1、業(yè)務(wù)系統(tǒng)日益增多：需要更多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，運行的業(yè)務(wù)系統(tǒng)不斷的發(fā)生變化，資源和設(shè)備分配之間的矛盾日趨激烈；

2、設(shè)備多，部署繁雜：在數(shù)據(jù)大集中的趨勢下，數(shù)據(jù)中心機房內(nèi)的IT基礎(chǔ)設(shè)施規(guī)模非常龐大，而且還將持續(xù)不斷的增加、部署難度大幅增加；

3、投資持續(xù)增加： IT基礎(chǔ)設(shè)施規(guī)模的成倍增加，在數(shù)據(jù)中心投入的硬件成本、軟件成本、人力成本等水漲船高；

4、運維成本和能耗高：設(shè)備增多，能耗和運維成本自然隨之增加，不符合綠色數(shù)據(jù)中心的發(fā)展趨勢，能耗已經(jīng)成為數(shù)據(jù)中心運維的沉重經(jīng)濟負擔(dān)。

所以，為了降低TCO，需要對數(shù)據(jù)中心進行整合。這也帶來了一系列難題：

1、 安全性：多種業(yè)務(wù)集成在一套設(shè)備上，安全性需要保證；

2、 資源合理分配：不同的業(yè)務(wù)對數(shù)據(jù)中心資源也有不同的需求，要保證各個業(yè)務(wù)合理的使用資源。

虛擬化能夠解決這些難題，虛擬化用多個物理實體創(chuàng)建一個邏輯實體，或者用一個物理實體創(chuàng)建多個邏輯實體。實體可以是計算、存儲、網(wǎng)絡(luò)或應(yīng)用資源。

虛擬化實質(zhì)：隔離。虛擬化技術(shù)將不同的業(yè)務(wù)隔離開來，彼此不能互訪，從而保證業(yè)務(wù)的安全需求；將不同的業(yè)務(wù)的資源隔離開來，從而保證業(yè)務(wù)對于數(shù)據(jù)中心資源的需求。

虛擬化解決方案可包括三部分：

網(wǎng)絡(luò)虛擬化

計算虛擬化

存儲虛擬化

數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化特色：數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化和客戶端虛擬化（EAD）、園區(qū)網(wǎng)虛擬化形成網(wǎng)絡(luò)端到端的虛擬化訪問路徑。

?   安全解決方案：

數(shù)據(jù)中心承載著用戶的核心業(yè)務(wù)和機密數(shù)據(jù)，同時為內(nèi)部、外部、合作伙伴等客戶提供業(yè)務(wù)交互和數(shù)據(jù)交換，因此數(shù)據(jù)中心的安全必須與業(yè)務(wù)系統(tǒng)實現(xiàn)融合，并且能夠平滑的部署在網(wǎng)絡(luò)中。數(shù)據(jù)中心的安全建設(shè)中的主要思想之一就是層次化的分級安全，把IT的安全分成多個等級，劃分不同的安全域，這與數(shù)據(jù)中心對安全的內(nèi)在要求是相輔相成的。

在深入分析IT安全形勢的基礎(chǔ)上，基于狀態(tài)演進的安全模型，把IT的安全分成：

單機安全：單機安全強調(diào)權(quán)限管理、病毒防護、數(shù)據(jù)備份

局部安全：局部安全強調(diào)遠程接入、入侵檢測、安全融合、安全協(xié)作

深度安全：深度安全強調(diào)容災(zāi)備份、深度抵御、安全審計、流量分析

統(tǒng)一安全：統(tǒng)一安全強調(diào)風(fēng)險管理、企業(yè)內(nèi)控、統(tǒng)一規(guī)劃、統(tǒng)一管理

隨著安全狀態(tài)的演進，安全向著應(yīng)用智能的安全方向發(fā)展。

在任何情況下，信息只存在于三種狀態(tài)之一：

計算：計算是信息被創(chuàng)建、修改、刪除、查詢以及深度處理的過程。

通訊：通訊是信息在不同的環(huán)境之間以及環(huán)境內(nèi)部傳遞的過程。

存儲：信息被以某種形式臨時或者永久性保存的過程。

安全的目標就是在保證數(shù)據(jù)在這三種狀態(tài)下的安全。

信息的安全狀態(tài)決定安全的策略，對于數(shù)據(jù)中心來講，信息的安全策略包括訪問

控制策略、補丁管理策略、攻擊抵御策略、滲透抵御策略、病毒控制策略、流量控制策略、風(fēng)險管理策略。

安全分區(qū)

安全策略的基礎(chǔ)是基于業(yè)務(wù)的邏輯分區(qū)和安全域劃分，數(shù)據(jù)中心業(yè)務(wù)安全分區(qū)的優(yōu)勢：

增加新功能區(qū)更容易

不同區(qū)域可實施不同的安全策略

每個分區(qū)按照需求可獨立的擴展

發(fā)生故障易定位易恢復(fù)等優(yōu)點。

因此，按照分區(qū)的思想，數(shù)據(jù)中心按照業(yè)務(wù)類型分為不同的邏輯區(qū)域，每個分區(qū)制定不同的安全策略和信任模型，劃分為不同安全級別的安全域。從實際部署上看，又分成：

邊界訪問控制

深度智能防御

智能安全管理

1）邊界訪問控制

邊界控制對數(shù)據(jù)中心是最基本的要求，控制各類用戶對數(shù)據(jù)中心的訪問。隨著安全狀態(tài)的演進，安全向著應(yīng)用智能的安全方向發(fā)展。

2）深度智能防御

針對數(shù)據(jù)中心的各類DDoS攻擊、木馬、黑客入侵層出不窮，傳統(tǒng)的IDS產(chǎn)品只能對部分事件進行檢測，無法做到實時分析和防御，因此應(yīng)選用可進行深度分析，能精確、實時地識別并阻斷或限制黑客、蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、協(xié)議異常、網(wǎng)絡(luò)釣魚、P2P、IM、網(wǎng)游等網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用的IDS產(chǎn)品，從而可為客戶網(wǎng)絡(luò)提供三大保護功能：保護網(wǎng)絡(luò)應(yīng)用、保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施、保護網(wǎng)絡(luò)性能。

3）智能安全管理

數(shù)據(jù)中心除了大量的網(wǎng)絡(luò)設(shè)備在運行外，更多是各類服務(wù)器、操作系統(tǒng)之間的業(yè)務(wù)交互，海量的告警、監(jiān)控、SNMP、WMI等消息不斷的在網(wǎng)絡(luò)中傳播，必須要要對這些安全事件、網(wǎng)絡(luò)事件、系統(tǒng)事件、應(yīng)用事件進行統(tǒng)一的收集和管理，并通智能化的分析把原始數(shù)據(jù)轉(zhuǎn)換、篩選為智能安全的有效信息。

?   運維管理解決方案

運維區(qū)分三個方面對數(shù)據(jù)中心進行運維：

1.   建設(shè)全網(wǎng)管理平臺，實現(xiàn)全網(wǎng)的分級分權(quán)管理。通過網(wǎng)管系統(tǒng)對全網(wǎng)的拓撲和設(shè)備進行管理，具有設(shè)備仿真面板所見即所得和對第三方主流設(shè)備管理的能力，可以管理管理大規(guī)模的無線管理網(wǎng)絡(luò)，對設(shè)備配置變更、收集軟件版本為多臺設(shè)備統(tǒng)一批量配置和升級，大大節(jié)省管理員的工作量。

2.   建立統(tǒng)一運維審計系統(tǒng)，實現(xiàn)分級分權(quán)的管理。對其操作的過程進行記錄，防止人為誤操作等，在發(fā)生事故后可以通過錄像追究相應(yīng)人的責(zé)任和迅速的恢復(fù)系統(tǒng)。

3.   建立全網(wǎng)的威脅偵測系統(tǒng)利用基于云安全、多協(xié)議關(guān)聯(lián)分析和代碼比對技術(shù)，通過協(xié)議和應(yīng)用的關(guān)聯(lián)分析，快速定位高危節(jié)點和攻擊型態(tài)，轉(zhuǎn)化成詳細的報告并提供處理措施進行落實。可以對企業(yè)網(wǎng)絡(luò)安全環(huán)境進行智能分析，對于現(xiàn)有的防毒架構(gòu)提升更高層次的管理指標，從而大大提高網(wǎng)絡(luò)、數(shù)據(jù)的安全系數(shù)，真正達到事半功倍的效果。

具備統(tǒng)一監(jiān)控管理平臺，可提供拓撲視圖、拓撲監(jiān)控、拓撲告警等功能，幫助用戶實時了解網(wǎng)絡(luò)的組網(wǎng)情況和設(shè)備運行狀態(tài)。

可對服務(wù)器進行統(tǒng)一管理：

基本信息管理：通過機架圖等可視化方式，提供服務(wù)器以及各部件基本信息、健康狀態(tài)的展示功能，并可通過遠程KVM和虛擬媒體遠程操作服務(wù)器。

性能分析：提供網(wǎng)口性能、服務(wù)器功耗、CPU占用率/內(nèi)存占用率、創(chuàng)建分析任務(wù)和時間段性能等多個指標分析。

可對存儲進行統(tǒng)一管理：

提供系統(tǒng)內(nèi)部物理和邏輯組件間的關(guān)聯(lián)關(guān)系可視化展示，以便故障發(fā)生時能夠精確定位。

塊存儲：存儲陣列前端端口、控制器、RAID組、LUN、硬盤之間的邏輯關(guān)系。

文件存儲：NAS引擎前端端口、NAS引擎節(jié)點、文件系統(tǒng)、文件存儲池、數(shù)據(jù)磁盤、以及存儲單元上的LUN和硬盤之間的邏輯關(guān)系。

從性能負載、指標異常、告警趨勢等多角度分析存儲設(shè)備的運行狀況，提供簡單直觀的健康度綜合評分，及早發(fā)現(xiàn)系統(tǒng)性能瓶頸和運行風(fēng)險，大幅度提升效率。

對網(wǎng)絡(luò)的統(tǒng)一管理：

提供網(wǎng)絡(luò)設(shè)備的基本管理功能，將單個網(wǎng)元的相關(guān)信息和維護操作入口集中在一個管理頁面中，便于用戶針對單個網(wǎng)元的監(jiān)控和維護。

通過周期檢測網(wǎng)絡(luò)中各種業(yè)務(wù)質(zhì)量性能，并以歷史數(shù)據(jù)圖表、告警、報表等多種形式展現(xiàn)給用戶，為網(wǎng)絡(luò)維護者提供可以量化的網(wǎng)絡(luò)質(zhì)量數(shù)據(jù)。

提供圖形化、向?qū)?、端到端的業(yè)務(wù)部署能力，幫助用戶快速開通新VPN業(yè)務(wù)、增加新的VPN接入點以及調(diào)整已有的VPN業(yè)務(wù)，提升用戶業(yè)務(wù)維護的效率。支持對Full-mesh、Hub-Sopke、MCE、自定義組網(wǎng)類型的業(yè)務(wù)開通，支持在PE-CE間部署OSPF、ISIS、靜態(tài)以及EBGP路由協(xié)議。

支持深入分析網(wǎng)絡(luò)中的流量數(shù)據(jù)并提供詳細的流量數(shù)據(jù)分析報告，并實時監(jiān)控全網(wǎng)流量。

提供針對操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等日志的集中采集、分析和存儲功能。日志系統(tǒng)將采集、過濾、歸并、存儲、監(jiān)控、告警、查詢和報表功能統(tǒng)一結(jié)合，方便用戶從海量日志信息中快速定位異常現(xiàn)象和安全趨勢分析。