概述

數據中心是實現數據資源共享、集中交換和綜合服務的重要基礎設施，是發揮業務應用效益和提高信息化整體水平的重要保障。

依據我國 “十二五”規劃，按照“統一規劃、統一標準、急用先行”的原則，搭建起數據中心基礎框架和開發平臺。實現數據中心、聯網應用、資源監控能力建設的統一布局與整合，實現以云計算概念為指導，運用數據庫、網絡存儲、數據備份等技術，采用整合、新建等方式，初步形成數據中心管理體系，實現數據中心和重點數據庫的統一匯集存儲與交換共享，實現上下級之間數據交換以及各部門的互聯互通。

設計思想

數據中心分區：構建數據中心基礎網絡時，應采用一種模塊化的設計方法，將數據中心劃分為不同的功能區域，用于部署不同的應用，使得整個數據中心的架構具備可伸縮性、靈活性、和高可用性。對于區域而言，我們可以從各個區域的功能來預知這個區域對可擴展性等的要求。

分步建設：在項目建設的初期，數據中心網絡的核心設備考慮未來5—8年的發展規模，并根據業務的分類設計多個匯聚，在核心和匯聚層預留較大的擴展能力。在接入層則按照當前的業務規模來部署，未來的擴展時，只增加接入層設備，保證數據中心的平滑擴展，不影響業務的正常運行。

業務分區

需要建立數據中心的IP網絡，按業務功能和安全需要分為不同的網絡區域，各個網絡區域有相對獨立的網絡設備（如交換機、防火墻等）連接相應的主機、服務器、專用機等設備，每個網絡區域的匯聚交換機再連接到IP網的核心交換機上；每個網絡區域內部可以根據需要再邏輯劃分為不同的區域。

對于數據中心基礎網絡而言，可以將網絡按照經典的三層結構（核心層、匯聚層、接入層）進行部署。通過分層部署可以使網絡具有很好的擴展性（無需干擾其它區域就能根據需要增加容量），可以提升網絡的可用性（隔離故障域降低故障對網絡的影響），可以簡化網絡的管理（拓撲結構結構更清晰）。

網絡拓撲

核心交換區部署2臺高端交換機，采用10GE/GE與各分區設備互聯，核心交換機上不部署安全策略，不作為終端/服務器的網關，只負責各區域的三層轉發。通過配置防火墻，將數據中心基礎網絡劃分為7個安全域，分別是網絡管理安全域、數據存儲安全域、業務應用安全域、公共服務安全域、身份認證安全域、互聯接入安全域和保留設備安全域7個安全域，通過配置訪問控制策略，禁止非授權訪問。

設備冗余

引擎冗余：核心交換機配置冗余引擎，并采用路由控制引擎和交換引擎物理分離的設計，在路由控制或交換引擎切換時，實現數據零丟失。

電源冗余：核心交換機、匯聚交換機、路由器都配置了雙電源模塊，每塊電源分別使用機房的雙路供電。同一機箱內的三塊電源工作在冗余模式。

模塊和端口的冗余和分布：廣域網MSTP鏈路與路由器連接采用跨板卡的鏈路聚合技術，保證連接鏈路分布在不同的板卡上，避免單點故障。

鏈路冗余

關鍵鏈路，如核心交換機之間、數據中心之間均采用2條鏈路。

數據中心的核心虛擬化不僅使多臺物理設備簡化成一臺邏輯設備，同時網絡各層之間的多條鏈路連接也將變成兩臺邏輯設備之間的直連，因此可以采用鏈路捆綁的方式，將多條物理鏈路進行跨設備的鏈路聚合，從而變成了一條邏輯鏈路，增加帶寬的同時也提高了可靠性，并使得數據中心的網絡設計中需要的設備三層接口數大大減少；兩層網絡之間由一般的4個三層接口互聯，變成一對三層接口互聯，使得路由設計極大簡化。

路由冗余

網絡物理鏈路的冗余設計為路由協議選擇備份連接提供了基礎。當設備或連接因故障中斷時，路由協議會自動重新計算網絡路徑，并使用正常的連接保障數據通訊。

數據中心安全

數據中心信息安全體系建設的目標是通過建立完善的信息安全管理制度和智能、深度的安全防御的技術解決方案，構建一個管理手段與技術手段相結合的全方位、多層次、可動態發展的縱深安全防范體系，來實現信息系統的可靠性、保密性、完整性、有效性、不可否認性，為業務的發展提供一個堅實的信息系統基礎。

防火墻作為不同網絡或網絡安全域之間信息的出入口，能根據安全策略控制出入數據中心網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效的監控數據中心網絡系統不同安全網絡之間的任何活動。防火墻在網絡間實現訪問控制，數據中心內部或服務器區內部可以稱之為“被信任應受保護的網絡”，另外一個是其它的非安全網絡稱為‘某個不被信任并且不需要保護的網絡’比如，Internet出口。防火墻就位于網絡和一個不受信任的網絡之間，通過一系列的安全手段來保護受本地網絡系統信任網絡上的信息。

在數據中心防火墻的部署中，主要包括網絡邊界的網絡隔離和數據中心內部分區之間的網絡隔離，其中互聯網、業務外聯區屬于邊界的訪問控制和隔離，部署單獨的盒式防火墻；在業務分區的匯聚交換機上部署防火墻模塊，利用虛擬防火墻技術，提供分區之間以及分區內部不同服務器之間的訪問控制和網絡隔離。

方案優勢

采用經典的分區分域防護理論，重構數據中心的安全架構，除了在南北向實現了大流量的縱深防御外，還實現了區域間和云環境的安全防護。

采用高性能、高冗余的安全防護設備，消除了網絡中的環路，同時實現了網絡功能虛擬化，將內部安全訪問節點數量降至最低，極大減小了數據中心當中的故障節點。