官方微信
數據中心是實現數據資源共享、集中交換和些火綜合服務的重要基礎設施,是發(fā)揮業務應錯到用效益和提高信息化整體水平的重要保障。
依據我國(guó) “十二五”規劃,按照“統一規劃、統一标準、急頻知用先行”的原則,搭建起(qǐ)數據中心基礎框藍兵架和開(kāi)發(fā)平台。實現數據媽開中心、聯網應用、資源監控能(né會厭ng)力建設的統一布局與整合,實現以雲計算概念為指導,運用數據庫、網裡做絡存儲、數據備份等技術,采用整合、新建等方式,初步還來形成(chéng)數據中心管理體系雨爸,實現數據中心和重點數據庫的統一彙集存儲與交換共享,實現上下紅相級之間數據交換以及各部門的互聯互通。
數據中心分區:構建數據中心基礎網絡時(shí),應采用一種(zhǒng)模懂嗎塊化的設計方法,將(jiāng)數據中心劃分為不同的功能(néng)短山區域,用于部署不同的應用,使得整個數據中心的架構具些不備可伸縮性、靈活性、和高可用性。現司對(duì)于區域而言,我們可以從各個區域的功能高窗(néng)來預知這(zhè)個區域對(duì)可擴展性等的要玩草求。
分步建設:在項目建設的初期,數據中心網絡知音的核心設備考慮未來5—8年的發(fā)公吃展規模,并根據業務的分類設計多個彙聚,在核心和彙聚層預留較大的擴對高展能(néng)力。在接入層則按照當前的業務規模來部署,未來的擴展時(sh章花í),隻增加接入層設備,保證數據中心的平滑擴展,不影響業務的正常運行。
需要建立數據中心的IP網絡,按業務功能(néng)和長是安全需要分為不同的網絡區域,各對務個網絡區域有相對(duì)獨立的網絡設備(如海來交換機、防火牆等)連接相應的主機、服務器、專用機等設備,每個從校網絡區域的彙聚交換機再連接到(dào)IP網的核心交物聽換機上;每個網絡區域内部可以根據需要再水事邏輯劃分為不同的區域。
對(duì)于數據中心基礎網絡而言,可以將(jiā笑雨ng)網絡按照經(jīng)典的三層結構(核心層、彙聚層、接入層)進火國(jìn)行部署。通過(guò)分層部署可以使網絡具有很好(hǎo)的擴要輛展性(無需幹擾其它區域就(jiù)能(néng)根據需要增加聽到容量),可以提升網絡的可用性(隔離故障域降低故障什人對(duì)網絡的影響),可以簡化網絡的管理(拓撲結構結構更清晰)。
核心交換區部署2台高端交換機,采用10GE/GE與各分區設匠器備互聯,核心交換機上不部署安全策略,不作為終端/服務器的網關,隻負你農責各區域的三層轉發(fā)。通過(guò)配置防火牆們舞,將(jiāng)數據中心基礎網絡劃分為7個安全域,分别是那農網絡管理安全域、數據存儲安全域、業務應用安全域、公共服務開離安全域、身份認證安全域、互聯接入安全域和保留設備安全域7個安全域場日,通過(guò)配置訪問控制策略,禁止非授權訪問。
引擎冗餘:核心交換機配置冗餘引擎,并采用路由街舞控制引擎和交換引擎物理分離的設計,在路由控制或交換引擎切換時(shí),實現數月喝據零丢失。
電源冗餘:核心交換機、彙聚交換機、路由器都(花輛dōu)配置了雙電源模塊,每塊電源分别使用機房的雙路供電。同一機箱内的中算三塊電源工作在冗餘模式。
模塊和端口的冗餘和分布:廣域網MSTP鍊路與路由器連接采用件從跨闆卡的鍊路聚合技術,保證連接鍊筆河路分布在不同的闆卡上,避免單點故障。
關鍵鍊路,如核心交換機之間、數據中心之間均采用2條鍊信師路。
數據中心的核心虛拟化不僅使多台報畫物理設備簡化成(chéng)一台邏輯設熱兵備,同時(shí)網絡各層之間的多條鍊路連接也將(jiāng)變理器成(chéng)兩(liǎng)台邏輯設備之間的直連,因此可以采用鍊路捆綁的去農方式,將(jiāng)多條物理鍊路進(jìn)行跨設備的鍊路湖司聚合,從而變成(chéng)了一條邏風技輯鍊路,增加帶寬的同時(shí)也提高了可靠性,并使得數據中心的網絡農也設計中需要的設備三層接口數大大減少;兩(liǎng)層網絡之間由一般的4個三層中答接口互聯,變成(chéng)一對(duì)三層接口互聯,使得路由設計大頻極大簡化。
網絡物理鍊路的冗餘設計為路由協議鄉照選擇備份連接提供了基礎。當設備或連接因故障中斷時(shí),山河路由協議會(huì)自動重新計算網絡路空嗎徑,并使用正常的連接保障數據通訊。
數據中心信息安全體系建設的目标是通過(guò)和音建立完善的信息安全管理制度和智能(néng)、深度的安全防禦的我年技術解決方案,構建一個管理手段與技術手段相結合的全我去方位、多層次、可動态發(fā)展的縱深安全防範體系,來拍關實現信息系統的可靠性、保密性、完整性、有效性、不可大路否認性,為業務的發(fā)展提唱高供一個堅實的信息系統基礎。
防火牆作為不同網絡或網絡安全域之間信息的出入口,能(n妹花éng)根據安全策略控制出入數據中心網絡的信息流,且本身具有較強的抗攻擊商化能(néng)力。它是提供信息安全服務,實現網都舞絡和信息安全的基礎設施。在邏輯上,防火牆是一個分離器、限制器和分析器,可以有效要妹的監控數據中心網絡系統不同安全網絡之間的任嗎但何活動。防火牆在網絡間實現訪問控制,如電數據中心内部或服務器區内部可以稱之為“被(bèi件數)信任應受保護的網絡”,另外一個是其它的非安全網絡稱為些輛‘某個不被(bèi)信任并且不需要保護樂頻的網絡’比如,Internet出口。防火牆就(jiù)位于網絡話都和一個不受信任的網絡之間,通過(guò)一系列的安全手段來保護受下費本地網絡系統信任網絡上的信息。
在數據中心防火牆的部署中,主要包括網絡邊界的網絡隔離和數據中數科心内部分區之間的網絡隔離,其中互聯網、業務外聯區屬于邊界的訪問控制和隔離黑草,部署單獨的盒式防火牆;在業務分區的彙聚交換機上部署防火牆模塊,利用虛拟防科學火牆技術,提供分區之間以及分區内部不同服務外爸器之間的訪問控制和網絡隔離。
采用經(jīng)典的分區分域防護理論,重構數據中心的個也安全架構,除了在南北向(xiàng)了醫實現了大流量的縱深防禦外,還(h自樹ái)實現了區域間和雲環境的安全防護。技風
采用高性能(néng)、高冗餘的安全防護設畫業備,消除了網絡中的環路,同時(shí)實現了網絡玩船功能(néng)虛拟化,將(jiāng)内部安全訪問節點數量降至友但最低,極大減小了數據中心當中的故障節點。