云计算数据中心建设解决方案

 

 

 

 

招标编号：****

投标单位名称：****

授权代表：****

投标日期：****

 

 

一、 详尽的技术服务与保障期方案

（一） 高效云计算平台与业务管理系统实施方案

1.1.1 项目概述与历史背景

1.1.1.1数据中心背景介绍

数据中心（英文拼写DataCenter,简写DC）是数据大集中而形成的集成IT应用环境，它是各种IT应用服务的提供中心，是数据计算、网络、存储的中心。数据中心实现了安全策略的统一部署，IT基础设施、业务应用和数据的统一运维管理。

当前，数据中心作为各行各业信息技术建设的核心项目，众多领域如运营商、电力能源、金融证券、大型企业、政府部门、交通运输、教育机构、制造业以及互联网服务提供商如网站和电子商务企业等，纷纷推进并完成了数据中心的构建。这一举措旨在通过整合和集中管理IT信息系统，显著提升内部运营与管理效率，并优化对外服务，从而有效控制IT基础设施的总体拥有成本(TCO)。数据中心的发展可细分为四个不同维度的进程。

企业级数据中心网络融合策略：依据业务需求，依托开放标准的IP架构，实现对多元化业务系统、网络资源及IT资产的有效整合，从而妥善解决数据中心构建的核心挑战。

智能驱动的数据中心运营：依托TCP/IP的开放架构，确保各类新兴业务和应用在数据中心的核心架构上实现顺畅部署与升级，满足用户灵活多变的需求，维持数据中心的稳定运行和服务连续性。安全、优化与集成的应用部署在数据中心上实现无缝衔接。

提升数据中心效率：传统孤岛式数据中心模型在扩展性上存在局限，核心资源的分配与业务需求动态变化不匹配，导致资源分布不均衡，进而增加了运营成本，现有资产未能实现最优利用，新业务部署面临挑战，业务连续性保障受到制约，且安全性面临潜在风险。虚拟化技术通过构建统一的资源池，实现了对网络、计算和存储资源的集中管理和精细化调控，从而简化运维管理，提升资源使用率，优化业务流程部署，并有效降低维护成本。

智能数据中心资源管理：借助先进的智能化管理平台，实现对资源的高效智能调控与分配，从而构建出一个高度自动化且智能化的数据中心架构。

1.1.1.2数据中心建设

的用户分布在全国各大城市，目前业务系统的部署主要集中在和，近年来随着业务的规模及多样化发展，企业对信息化的依赖程度越来越高，数据集中、业务小时高可靠支撑对数据中心的要求越来越高。经综合考虑，拟在新建数据中心，未来数据中心将成为的主中心，承载所有生产业务系统。数据中心是集团广域网汇聚中心，机房内原则上将不放置服务器。数据中心是灾备中心，主要功能是数据异地备份。

本提案的核心内容涵盖数据中心的网络构建与安全保障，以及实现与其他系统的互联功能。

1.1.2 项目实施策略

未来，数据中心将全面承载所有生产环境系统的运行重任。作为业务网络不可或缺的基石，数据中心网络专为核心业务系统服务器与存储设备构建安全稳定的接入环境。其建设目标主要包括：

网络层的高可用性：构成数据中心基石的网络，其高可靠性、高安全性及前瞻性是不可或缺的要素。

确保高可靠性：在选择产品和技术时，务必优先考虑其高度的可靠性，着重提升系统的适应性、容错能力和自我修复能力。这旨在维持网络基础设施的平稳运行与持续信赖。当前，关键业务应用的可用性和性能标准达到了前所未有的高度，尤为关键。

保障核心：网络基础设施设计着重于业务数据的高级保护。安全体系需沿端到端访问安全及网络L2至L7层的全方位防护进行规划，涵盖局部、整体直至智能化的安全维度，确保安全策略贯穿数据中心网络的每一个环节。

前瞻性构建：鉴于数据中心对业务持续发展的持久支撑作用，以及网络作为其基石的地位，数据中心网络的设计应虑及长远的效益。为此，我们主张选用主流且先进的技术与产品（例如数据中心专用设备、CEE、FCoE及虚拟化支持等），以确保基础架构在5至10年的期间内保持领先，从而有效保障投资的安全性。

易扩展一一的业务目前已向多元化发展，未来的业务范围会更多更广，业务系统频繁调整与扩展再所难免，因此数据中心网络平台必须能够适应业务系统的频繁调整，同时在性能上应至少能够满足未来年的业务发展。对于网络设备的选择和协议的部署，应遵循业界标准，保证良好的互通性和互操作性，支持业务的快速部署。

高效运维：作为高度集中的IT技术载体，数据中心设备众多且协议与应用部署日益繁复，对运维人员的专业技能和业务理解提出了严峻挑战。仅凭个人之力难以确保业务连续性。因此，迫切需要构建完善的运维管理平台，实现对数据中心IT资源的全面掌控，降低日常运维中的人为失误，并借助先进的工具在故障发生时迅速准确地定位问题。

1.1.2.1总体设计思路及原则

数据中心作为核心设施，为业务运营、日常行政及外部协作机构提供包括数据访问、OA系统与视频服务在内的多元支持，同时确保各业务单元之间的安全隔离。它并非孤立运行，而是与中心网络、网络汇聚点以及外部单位的网络环境相互协同，构成业务数据的传输命脉，整合计算与存储功能。为了实现数据中心网络的高度可用性、易于扩展和管理，其设计应遵循结构化、模块化和扁平化的理念。

结构化

通过结构化的网络设计，我们旨在优化上层协议的部署与网络管理，提升网络的效率，确保高度的可靠性。这种设计在冗余性和网络对称性两个关键维度得以体现，如图所示：

通过适度引入冗余，能够减轻设备和链路的单点故障风险，然而过量冗余可能导致网络结构复杂，不利于运营和维护。因此，常采取双节点双归属的对称网络设计，这有利于简化设备配置，提升拓扑清晰度，同时便利协议设计与分析。

在构建数据中心网络架构时，考虑到冗余和对称设计的必然引入，可能会形成网络环路。针对这一问题，我们可以通过以下策略来有效避免环路的影响：

1.启用STP和VRRP协议

尽管传统解决方案具备标准化协议和相对较低的设备需求，但其面临的主要问题是网络协议部署复杂，收敛速度较慢，链路带宽利用效率不高，且对运维管理带来较大的工作负担。因此，我们的设计策略摒弃了这种部署模式。

2.IRF网络设备N : 1虚拟化技术

借助H3CIRF技术，对同层设备进行水平整合，通过虚拟化手段将两台或更多设备合并为单一设备，从而实现统一的数据包转发和管理。这种设计消除了环路风险，无需额外配置如STP和VRRP等协议，简化了网络协议部署流程。设备及链路的收敛时间显著缩短至毫秒级别，同时采用了负载均衡的工作模式，极大地提高了资源利用率。

本设计策略旨在实现端到端的IRF部署，从而确保网络的高可靠性，并同时提升运维管理的简洁性。

模块化

在设计数据中心基础网络时，我们倾向于采用模块化策略，将数据中心划分为多个功能各异的区域，以便分别承载不同的功能或应用程序部署，从而确保整个架构具备可扩展性、灵活性与高可用性。根据服务器上应用的特性和功能需求，服务器的部署会针对各个特定区域进行。如图所示：

数据中心网络划分为网络接入区域、数据中心核心交换区域及服务器接入区域三个主要功能区块。在特定服务类型的驱动下，网络接入区域与服务器接入区域可能进一步细分为子区域，具体的划分详述请参照‘业务分区’章节的内容。

作为数据中心的核心组成部分，核心交换机设备被部署在数据中心核心区，其主要职责是支持各区域间的数据流通。因此，我们倾向于选择具有高度可靠性的数据中心专用设备来确保系统的稳定运行。

在实施模块化构建策略时，我们力求实现各模块之间的低耦合性，从而确保数据中心的业务具有高度的可扩展性。当需添加新业务系统或模块时，无需对核心或现有模块进行修改。此外，模块化设计的优势还体现在风险的有效分散上，一旦非核心区域的模块遭遇问题，不会波及到其他模块，最大限度地减小了数据中心故障的影响范围。

扁平化

数据中心的网络架构，根据接入设备的密集程度，主要区分为了两层结构与三层结构，具体示例如下图。

数据中心网络的传统布局通常基于三层结构设计，这种架构的优势在于能够确保网络的高效扩展，支持密集的服务器接入于同一区域。然而，三层架构的网络设备众多，给网络管理带来了复杂性，导致运维任务繁重。此外，其组网成本相对较高。

随着网络交换技术的持续进步，交换机的端口密度不断提升，这使得二层组网在扩展性和密度上充分迎合了企业数据中心服务器接入的需求。特别是在服务器虚拟化技术日益普及的背景下，二层架构的优势更加明显，它便于实现大规模VLAN间的互通，从而支持虚拟机的灵活部署与迁移。相比之下，二层架构显著简化了网络运营与维护的工作量。

考虑到诸多要素，我们选用二层扁平化网络架构来设计数据中心，旨在兼顾灵活性与高效管理性。

1.1.2.2业务分区

根据第3.2节所述的模块化设计原则，业务系统需实施分区。从技术层面上，其分区需遵循如下准则：

在设计中，首要关注的是区域间的访问控制安全性，力求每个应用程序的访问操作局限在一个特定区域之内。这样，一旦某个区域发生故障，只会对相应的应用类别造成影响，从而最大程度地降低区域间的业务关联性。

区域配置原则：随着区域数量的增长，运维管理和设备投资的复杂度随之提升，因此设定的运维区域总数上限为不超过20个。

区域内的服务器承载上限：受限于机房空间、子网范围及接入设备的容量限制，单区内的服务器数量一般不超过200台，这是其物理规模的硬性规定。

机房布局对接入层设备利用率的约束：鉴于多台接入交换机在每个机房的部署可能导致资源冗余，特别是交换机端口利用效率低下，因此建议控制安全区域的数量不宜过度分散。

防火墙性能的限制：区域之间的流量如果超过10G,则需要考虑通过防火墙横向扩容，或区域调整的方式分担流量。在实际的数据中心分区设计中，通常有以下三种分区方法：

业务功能划分依据：以业务系统的功能性模块（诸如生产、

根据企业的实际需求（包括实时业务与非实时业务的区分，以及ERP、营销、财务等业务系统的特性），对企业数据中心进行有效的分区划分，这种方法在业界被广泛采纳。

根据安全等保标准实施分域策略：依据业务系统安全等级的特性，三级系统独立构成专属区域，而二级系统则整合至统一安全域，这种方法适用于政府及电力行业数据中心的架构设计。

根据服务器种类划分区域：主要包括WEB服务区域、APP/中间件服务区域以及数据库服务区域。这种分区策略适用于互联网企业的数据中心架构。

根据业务系统分布调研所得信息，并考量各类用户类型的需求，数据中心的分区策略采取了功能导向的划分原则。具体分区设计如下：

各区域业务系统部署描述如下：

办公网络区域概述：该部分涉及数据中心大楼内的办公网络架构，主要包括终端设备的接入、楼层间的连接与集中汇聚功能。

区域网络接入点：与网络汇聚中心实现广域网络的互连，并作为网络出口

区域概述：本部分涉及与合作单位通过专用线路实现的互联，涵盖合作单位的业务前置服务器设施。

互联网接入服务区域：涵盖互联网出口，其中包括集团的官方网站服务器集群、电子邮件系统以及DNS服务器等相关设施。

该区域主要用于安置与业务相关的应用服务器，涵盖了诸如促销、管理信息系统（MIS）、商业智能（BI）等多个应用系统。

KTV应用程序承载区：此处配置针对KTV业务的一系列应用服务器，包含FTP、管理系统、Web服务以及数据库等相关应用系统。

影院应用模块：本区域集中安装针对院线运营的各类应用服务器，包含火凤凰及会员等系统。

OA及相关应用部署区：本区域承载了集团内部的一系列关键应用服务，其中包括办公自动化（OA）、即时通讯工具RTX、企业级协作平台泛微、文档管理、视频会议设施、文件共享、网络教育环境以及在线招投标等多元化系统。

区域任务：实施并配置企业范围内的ERP和财务应用程序服务器。

在其他应用场景：包括物业管理、房地产开发和酒店业务的专用服务器部署。

区域职能：本区域专司集团内部信息系统的技术研发与测试工作，以及新系统上线前的部署与检验任务。

灾备连接区域：该区域通过与中心的网络连接，旨在实现数据层面的异地灾备功能。同时，这里还适宜部署关键的本地系统备份应用程序。

运维管理体系：本区域主要负责数据中心网络、安全、服务器及存储等IT资源的高效运维，同时承载集团内部的域管理与身份认证服务的实施与维护。

核心功能区：作为数据中心网络架构的中枢，此区域专司各个分区间的数据流通，具备高度的交互效能，但并不承载服务器部署任务。

1.1.2.3 网络设计

根据既定的业务划分，本设计秉持结构化、模块化与扁平化的理念，致力于达成高可用性、可扩展性和易于管理的建设目标。以下是网络的整体拓扑结构图：

网络拓扑设计采取了扁平化的两层结构，直接连接至数据中心核心区域，确保高效通信和管理.

通过直接连接至服务器，我们采纳了扁平化的网络架构，其优势如下：

简化网络拓扑，降低网络运维的难度；

服务器区域具备构建大规模二层网络的优越性，特别适合未来虚拟机的海量部署与灵活迁移。

未来，服务器可通过直接增加成员交换机的方式实现与现有IRF虚拟组的无缝扩展，这一过程简便且利于灵活扩充。

在本项目的数据中心网络部署策略中，我们采纳了'分布式安全架构'，特别选用H3C SecBlade安全插件作为防火墙形式，旨在实现网络安全的深度融合。欲了解更多详细安全设计，敬请参阅'第3.5节：安全设计详解'。

该方案在构建过程中，特别应用了H3C独有的三项核心技术：IRF虚拟化、网络安全整合以及智能管理（具体细节请参考第五章第二节）。这些技术旨在提升数据中心的高可用性，同时优化网络运维流程，并提供智能化的管理工具平台，以实现运维效率的显著提升。

1.1.2.3.1 核心交换区

功能描述

核心交换区的主要职责在于高效地处理各服务器功能模块、内部办公网络、外部互联网以及广域网与局域网之间的数据流量传输，它作为纵向通信与横向服务流量的交融点。对于核心交换区，其关键特性包括高速转发性能和强大的可扩展性，以适应未来业务的迅速增长需求。

作为平台的核心组件，核心模块的功能至关重要。其可靠性直接决定了核心交换区设计的质量评估。因为任何非正常情况导致核心模块无法迅速恢复，都可能导致平台业务遭受长时间中断，带来显著的影响。

拓扑设计

设计要点

1. 高可靠

本项目建议采用高效能的数据中心级核心交换机，其配备双引擎及双电源系统，旨在确保网络设备的稳固运行与高可用性。

在网络架构设计方面，我们采纳双核心策略，通过两台设备的冗余配置。借助虚拟化技术，对硬件资源进行横向整合，将物理设备抽象为逻辑单一设备。同时，实现设备间的链路聚合，配合IRF分区交换机，实现了端到端的IRF部署。设备运行在双活模式下，显著缩短了链路或设备故障导致的服务切换时间（达到毫秒级别），确保即使面对单点故障，业务也能保持连续不间断。

为了实现故障下的无缝业务切换，各个功能模块通过'口'字型架构与核心模块进行冗余连接，确保单点链路或设备故障时能迅速由备份设备接管任务。

2. 高速传输

本次网络设计容量应保证未来年内的业务扩展，本设计采用“万兆到核心，千兆接入”的思路，核心模块对外接口为全万兆接口。

3. 易于扩展

根据'中心-边缘'架构的指导思想，核心组件应排除实施诸如访问控制策略（如访问控制列表、路由过滤等），以此确保核心模块业务的专业纯粹性和松散关联性。这种设计旨在在链接下级功能模块时，不对核心业务产生干扰，同时提升核心模块的稳定性。

4.智能分析

为了有效监控各区域业务流量的动态变化，我们计划在核心交换机上实施网络流量分析功能，实现实时洞察，以此作为后续网络优化和调优的决策支持。

1.1.2.3.2服务器接入区

功能描述

服务器接入区域负责实现服务器的局域网联接。根据第3.3节的业务划分原则，涉及服务器接入的区域涵盖应用区域、KTV应用区、影院应用区、ERP/财务应用区、开发测试区域、支持管理区域以及其他应用区域。尽管各区域配置的应用服务器种类各异，设备选型需求不同，但在网络架构规划上保持一致。因此，在方案设计过程中，我们将对所有区域的网络拓扑结构进行统一详述。

在影院应用区域部署院线WEB服务器时，服务器连接交换机的配置需额外包含FW插卡，同时强制安装IPS和SLB插卡，以确保系统的全面安全与负载均衡。

设计要点

在服务器接入交换机中，我们实施了双机部署策略，并借助IRF虚拟化技术，将两台物理设备合并为一个逻辑实体。这种虚拟化方法促使链路间实现跨设备捆绑，协同核心交换机共同构建端到端的IRF功能。同时，服务器的双网关被配置为双活模式(Active-Active)，增强了系统的高可用性。

在各服务器接入交换机上安装SecBladeFW模块，旨在实施本区域与其他区域间的访问控制策略。针对院线应用区域，我们采用FW+IPS+LB组合插卡方案进行部署。

服务器网关被部署在接入交换机上，其间OSPF动态路由在防火墙插卡与接入及核心交换机间运作，旨在实现FW的双机热备份功能。

1.1.2.3.3互联网区

功能描述

互联网区域主要承载集团的WEB服务器部署，包括院线WEB服务器（如需配置）。同时，该区域也负责集团内部DNS、FTP和E-mail等关键系统，这些服务需通过互联网向公众用户公开提供。

拓扑设计

设计要点

通过配置双运营商链路作为Internet出口，我们旨在提升用户的访问效率的同时，确保链路的备份与冗余性得以实现。

在服务器接入交换机的配置中，我们实施了双机冗余策略，并采用了IRF（Integrated Routing Fabric）虚拟化技术，对两台设备进行协同管理。

通过物理设备的虚拟化，构建出一个逻辑设备，支持跨网络链路聚合，并与服务器的双网卡协同运作，实现双活模式（Active-Active）

部署策略采用双层防火墙结构，首先，外层防火墙担当互联网与公共网络服务的隔离重任，如WEB、DNS、EMAIL和FTP等服务器，旨在实现各服务器的独立域划分，并通过设置DMZ区域确保系统的安全性。其次，内层防火墙负责公有服务器与数据中心内部其他服务器间的隔离，实施精细的区域间访问控制策略。具体配置上，外层防火墙选用独立设备，而内层防火墙则利用服务器接入交换机上的SecBladeFW插卡来实现这一功能。

4.由于Internet区部署了较多的网站等WEB服务器，因此需要部署LB和IPS设备。来保证负载分担和层安全过滤。

1.1.2.3.4 外联网区

功能描述

该区域专为连接与合作单位之间的专用网络线路而设计，同时承载了合作单位前置机服务器的部署任务。

拓扑设计

设计要点

通过部署双机服务器与交换机连接，我们采用了IRF虚拟化技术，将两台实体设备转化为一个逻辑单元。这种设计实现了跨网络链路的负载均衡捆绑，并与服务器的双网卡协同运作，支持主动-主动(Active-Active)的高可用性模式。

部署采用双层防火墙策略：外层防火墙专司前置机服务器与合作伙伴网络的物理隔绝，支持NAT功能。内层防火墙则负责前置机服务器与数据中心内部其他服务器的权限划分，实施内部区域间的访问控制规则。防火墙配置灵活，外层支持H3CSecBladeFW插卡，内层防火墙兼容非H3C的第三方安全设备，以增强系统的安全性保障。

在服务器与交换机接口处安装并配置SecBladeIPS插件，旨在实现网络层级的安全屏障功能。

1.1.2.3.5广域网接入区

功能描述

该区域旨在实现与网络汇聚中心的互联，以确保集团内部用户能够通过广域网便捷访问数据中心内的各类业务系统。同时，如需，亦可与数据中心建立连接.

拓扑设计

设计要点

采用双机部署策略于广域网出口路由器，配置双链路出口连接，以确保广域网出口的高可靠性。

路由器上安装了SecBladeFW专用插卡，用以实现防火墙功能。

1.1.2.3.6 灾备接入区

功能描述

灾备接入区域的主要功能在于构建数据中心与灾备中心之间的互联通道，旨在实现SAN（存储区域网络）和LAN（局域网）双中心间的无缝通信，确保数据的同步复制。通过整合两中心的VLAN第二层网络，我们实现了跨越数据中心的大型二层网络架构，这极大地便利了虚拟机业务的迁移以及跨地域服务器集群的操作。

拓扑设计

设计要点

灾备互连链路选用双路裸光纤在数据中心与灾备中心间建立，同时借助DWDM技术实现链路的高效复用。

数据存储备份通道通过光纤直接连接至DWDM波分设备，借助SAN网络实现两点间的高效通信。而对于LAN网络，其运作流程是：首先，在服务器网关交换机上设置VLANTrunk链接，随后将流量汇聚至汇接交换机，再经由DWDM设备，从而在双数据中心间实现大二层VLAN的顺畅互连。

通过部署IRF技术在汇接交换机上，实现双纤绑定策略，确保通信链路的高可用性。

在实现跨地域的二层网络连通后，支持网关设备在不同区域部署VRRP协议，从而确保在双中心服务器集群环境下，网关切换的稳定性和可靠性得以保障。

1.1.2.4安全设计

1.1.2.4.1安全设计原则

网络安全与本方案息息相关，我们采取了与网络区域划分同步的安全域设置策略，借助SecBlade安全插件实现了网络设备与安全功能的无缝整合。方案的安全部署策略遵循了广泛应用于实践的‘分布式安全架构’，如右图所示。

分布式安全部署具有以下优势：

分散安全防护策略：传统中心化的安全架构倾向于在核心交换机两侧部署防火墙，然而这种配置存在单一故障点风险。一旦防火墙发生故障，可能导致数据中心内部业务的全面中断。

任何单一区域的防火墙故障将导致该区域业务中断，进而使得整个数据中心的业务连续性面临挑战，风险和性能压力将被集中于防火墙。然而，通过分布式部署策略，防火墙故障仅影响其所属区域的业务运作，从而有效地实现了风险和性能的分散，提升了数据中心的整体可靠性。

设计灵活性：采用分部式安全架构，核心交换机通常不对业务区域设置直接的安全策略，这实现了核心区与各业务子区间的松耦合。当增加新模块或业务系统时，无需调整核心设备配置，从而降低核心区域故障的风险，确保了核心区的高可用性同时支持业务分区的动态扩展性。

优化安全策略实施：防火墙下沉至各个业务子区的边界，这样可以显著简化安全策略配置。基础设置仅需划分为两个核心区域（可信区域与非可信区域），并采取白名单策略推送，从而有效地减少了策略冲突的可能性。

安全控制板卡SecBlade FW模块

在数据中心网络架构中，防火墙设备扮演着守护内部系统的安全与可靠性的关键角色。通常，防火墙被部署于两大区域：数据中心出口地带与服务器区域。在数据中心出口区域设置防火墙，旨在确保来自互联网和合作伙伴的用户访问权限得到严格控制，防止未经授权的接入与网络侵袭。而在服务器区域，防火墙的部署有助于隔离不同服务器系统，同时通过定制化的防火墙策略，实现更为精细的访问权限管理。

尽管防火墙插卡装置置于交换机机箱内，其本质上被视为一个独立的实体。它通过交换机内部的10吉比特以太网接口与网络组件相连，具备作为二层透传设备和三层路由设备的部署灵活性。其与交换机之间的三层配置模式遵循了传统盒式设备的常规设定。

如上图FW三层部署所示，防火墙可以与宿主交换机直接建立三层连接，也可以与上游或下游设备建立三层连接，不同连接方式取决于用户的访问策略。可以通过静态路由和缺省路由实现三层互通，也可以通过OSPF这样的路由协议提供动态的路由机制。如果防火墙部署在服务器区域，可以将防火墙设计为服务器网关设备，这样所有访问服务器的三层流量都将经过防火墙设备，这种部署方式可以提供区域内部服务器之间访问的安全性。

在数据处理架构中，我们采取了分布式部署策略，对各业务系统进行了细致的划分，确保了整体的安全界限分明。为了提升SecBladeFW的配置效率和网关性能，所有服务器网关部署于接入交换机，而SecBladeFW插卡则专注于维护本分区与其他分区之间的安全规则。若需在本分区内的服务器间实施隔离，推荐在接入交换机上运用访问控制列表（ACL）来达成。参照下图说明：

针对仅安装了SecBladeFW模块的特定业务区域（例如：KTV、ERP/财务部门、开发测试环境、支持管理区域以及外联网部分），其内部安全架构布局概述如下图所示：

实现IRF虚拟化双机部署，通过接入交换机进行高效连接。SecBladeFW插卡在逻辑上被合并，仿佛它们共同安装于一台统一的交换机平台，进一步实现了跨设备链路聚合功能。

从逻辑角度看，每台接入交换机等同于集成了一台L2交换机和一台L3交换机的功能，并且服务器网关被配置在其中。

SecBlade通过10GE内部接口与交换机建立连接，并构建多个L3接口以引导流量，确保所有流经服务器的数据包经由防火墙进行过滤。两块FW插卡利用带外状态同步连线（心跳线）保持状态一致性，它们之间通过OSPF动态路由协议实现热备份或负载均衡（ECMP）策略。

SecBlade FW与IPS及LB的集成模块

对于数据中心的院线应用区、互联网应用区，需要涉及到FW+IPS+LB的组合部署，FW插卡的基本特性3.5.2章节已做描述，下面先介绍IPS和LB插卡的基本组网：

SecBladeIPS插件在数据中心内部构筑了更为坚固的安全防护体系。其深度检测功能有效抵御了来自应用层的各类安全威胁，包括病毒、蠕虫、程序漏洞及DDoS攻击，确保内部服务器的安全无虞。

IPS插卡凭借OAA（开放应用架构）技术与主机交换机协同工作。支持两种操作模式：一是传统地将需IPS处理的业务流量导向至IPS插卡进行处理，二是通过OAA在IPS的Web界面配置重定向策略。这两种途径都能达成一致的功能。鉴于不同交换机对OAA的兼容性各异，我们建议在本实施方案中优先考虑基于重定向策略引导流量。

作为2层透明转发设备的IPS插卡，其工作原理使得它不对报文进行任何修改，从而保持网络连通性上的完整性。在不影响整体网络功能的前提下，我们建议在设备部署流程中，将IPS的上线配置安排在最后，即在所有其他设备调试完毕，流量转发及高可用性设计已成功实现之后进行部署实施。

SecBlade IPS网结构流量图

SecBlade IPS采取非侵入式操作，仅作为流量分析设备。针对非Outsourcing of Application Awareness (OAA)模式，它依赖VLAN标识来区分内外部流量。因此，在网络架构规划中，必须确保从IPS插卡接收的业务流，无论是上行还是下行，都对应不同的VLAN。鉴于IPS插卡不具备冗余功能，合理的设计可以实现一定程度的故障切换，但在IPS发生故障时，流量重定向可能失效，导致临时性的服务中断。尽管如此，一旦恢复，业务流的连续性仍能得到保障。

SecBlade LB板卡设计

LB插卡拥有两项核心职能：一是服务器负载均衡，二是链路负载均衡。前者针对数据中心服务器区域，旨在提升性能并优化资源分配，提供卓越的扩展与利用率优化方案。后者专为多出口数据中心网络环境设计，高效地实现对广域网链路的资源调度，确保多链路的优化利用。

LB插卡的工作原理类似于防火墙，作为单独设备独立运行，通过传统的三层架构与交换机或其他下游设备建立连接。支持通过静态路由和默认路由实现三层网络的互连，同时也能借助于OSPF等动态路由协议，提供灵活的路由配置方案。

SecBlade LB在数据中心出口的部署策略

在数据中心出口区域，LB插卡的连接配置具有灵活性，可根据用户需求选择与宿主交换机建立三层链接，或者直接与下游设备如防火墙相连。这种选择旨在优化网络架构，如若所有从LLB流出的流量需经防火墙进行安全防护，防火墙可作为LLB的直连下一跳设备，从而简化整体网络设计，实现更精细的路由控制策略。

在构建双机热备网络结构时，至关重要的一点是确保两块LLB的出口配置完全一致，以确保业务切换后的无缝运行。

数据中心服务器区域中，负载均衡器（LB）负责实现服务器间的流量负载均衡。LB可作为服务器的网关设备，所有进出服务器的流量必须经过此设备处理。另外，也可将服务器网关安置于交换机，LB通过路由机制与服务器集群交互，这种部署策略允许对LB对服务器的访问权限进行精细管理。

组合部署

数据中心服务器区域的IPS+FW+SLB部署通常包含以下四种实施策略：

IPS可以根据需求灵活部署：如需全面保障流量安全，应部署于网络前端；若仅需保护核心业务区域，可选择置于防火墙（FW）之后。

作为服务器网关设备，SLB可以进行部署。对于要求更为严谨的服务器间防护策略，可以选择在SLB下游配置防火墙，以实现对服务器的独立隔离。

IRF堆叠技术的应用能够有效简化网络架构，同时降低管理维护和配置的复杂性，成为当前广泛采纳的部署策略。

我们建议采纳的网络架构方案为四部分组成，其逻辑拓扑结构详细见下图。

本项目网络架构设计的特点如下： - 双机配置的接入交换机与安全插卡采用OSPF动态路由协议，以提升网络的灵活性和效率。 - 交换机利用IRF技术增强系统的可靠性与管理效能。 - 安全插卡建立起与上游设备的三层连接，确保数据传输的安全防护。 - SLB插卡与接入交换机保持三层连接，同时作为服务器网关，执行服务器负载均衡任务，优化资源分配。

1.1.2.5 新技术应用

1.1.2.5.1FCoE

数据中心网络的基础架构——接入层：扮演着服务器与内外网络交互的核心角色。常见的网络类型包括用于LAN通信的以太网和针对存储需求的FC网络。为了兼容这两种网络，服务器通常配备独立的接口组件，如以太网网络接口卡(NIC)和光纤通道主机总线适配器(FCHBA)。然而，这种设备多样性带来了业务响应的局限性，提升了网络管理的复杂度，同时也相应地增加了设备投入成本和电力消耗等运营开支。

FCOE技术的核心创新在于将光纤通道(FCSAN)的通信通过以太网(Ethernet)进行封装与传输，从而实现了不同类型的网络——FCSAN与以太网LAN共享统一且集成的网络基础设施。这一融合有效解决了多网络共存时的兼容性和管理复杂性问题。尽管如此，传统以太网LAN与FCSAN在技术架构（拓扑设计）、高可用性保障机制以及流量处理模式上存在着显著的异质性。

FCOE技术的两种部署模式：

网络中部署FCOE技术有两种模式，如图所示：

从接入层至核心层的全面FCOE部署流程（参见上图）

FCoE技术的适用领域拓展至整个网络架构，不仅在接入层交换机上实现支持，汇聚和核心层交换机也同样具备FCoE功能。此外，存储设备也开始逐步配备FCoE接口，这一发展促使局域网（LAN）与存储区域网络（SAN）的无缝融合，从而简化了整体网络基础设施的构建和管理。

FCOE的部署定位在服务器网络接入层，具体如图b所示。其目标在于集成服务器的输入/输出功能，从而简化接入层的网络布线需求。为此，服务器需配备支持FCoE的10Gbps以太网控制器（10GECNA网卡），并通过它们与FCoE接入交换机（包括FCF或NPV类型）相连。接入层交换机进一步通过10 Gigabit Ethernet链路和光纤通道链路，与现有的局域网(LAN)和存储区域网络(SAN)相链接。

FCOE整网部署是数据中心网络未来发展趋势，由于FCoE标准发布不久，业界还没有出现较为成熟的支持全网端到端FCOE部署的方案和产品，成本也相对较高，因此FCOE的网络接入层部署是当前的主要应用模式。此外，从保护现有投资（已建设的FCSAN）角度出发问题，也建议现阶段只在网络接入层通过FCOE实现服务器I0整合，简化接入层线缆部署，而保留原有LAN骨干与原有FCSAN骨干的独立性。

数据中心FCoE部署：

在数据中心网络规划中，我们计划在OA服务器区域采用FCoE技术，此举旨在作为未来的技术储备，并考虑到OA服务器的潜在风险及性能要求相对较低，不会对企业的日常运营造成干扰。以下是OA服务器区域实施FCoE部署的网络架构示意图：

部署OA服务器时，采用了万兆CAN融合网卡，并将其与FCoE接入交换机相连。在此基础上，FCoE接入交换机上还配置了FC接口卡，以便与FCSAN交换机建立连接。FCoE上行至核心交换机的网络配置遵循与其他业务区域相同的链路组网策略。

虚拟机部署与迁移策略详解

随着虚拟机在数据中心的日益普及，其部署对网络设计产生了多维度的影响。

应用系统的部署面临网络流量的显著增长和突发性挑战。在传统的物理服务器架构中，单一应用承载的业务流量相对有限且稳定，网络设计与设备选择无需特殊考虑。然而，引入虚拟机后，服务器资源利用率得以提升，每台服务器承载的业务流量可能倍增。此外，当多套应用系统共处于同一物理服务器，业务流量的突发性问题也随之加剧。

管理虚拟机与虚拟交换机的复杂性日益凸显。在虚拟机部署完成后，部分通信流量会通过内置于服务器的软件虚拟交换机进行路由。然而，对这种内部虚拟交换机的配置与监控工作对于网络管理员来说颇具挑战性。

迁移后虚拟机的网络安全策略考量：当虚拟机从一个物理主机迁移到另一个时，原有的物理服务器网络接口上的访问控制列表(ACL)和服务质量(QoS)配置将不再适用。

在设计数据中心网络的过程中，我们将针对各相关问题逐一提出相应的解决策略。

服务器配备千兆下行接口，并与万兆带宽捆绑实现对核心区域的高效上行传输。在核心区域，我们特别选用了具备分布式入向大容量缓存的设备，通过优化带宽资源来有效应对业务流量的显著增长，同时借助缓存技术来预防网络突发和拥塞现象。

实现iMC网络管理平台的部署，此平台具备展示VMware虚拟机与虚拟交换机的拓扑结构功能，并支持对虚拟机性能的实时监控以及虚拟交换机的配置与管理。具体如图所示：

实现无缝虚拟机网络接入，通过配置VLAN访问控制列表（VLANACL），并将防火墙策略提升至网络层次。确保在虚拟机在本区域内的迁移过程中，网络连接与安全策略保持一致，如图所示。

iMC网络管理平台对VMotion功能的洞察与支持。H3C的iMC网络管理平台专注于VMotion技术的应用理解

我们已经实现了对VMware vCenter的API集成，当vCenter接收到VMotion事件时，

将通过iMC平台进行通知，以便该平台能够处理并将VM下的网络设备策略迁移

在网络架构中，我们的目标是确保网络策略能够随之动态调整，适应VM（虚拟机）的迁移，以便在不同设备或端口间无缝衔接。请参见以下示例图。

所示：

1.1.2.6数据中心管理

1.1.2.6.1数据中心管理设计原则

IT的传统核心职责包括人员、设备及流程的管控。数据中心运维体系建设的核心目标在于有效利用现有资源，整合信息与系统，实现科技的统筹规划与标准化运作。借助科技网络化的管理手段，能够同步提升运维日常作业效率和管理水平。其基本原则主要包括：

◆集中性原则

系统构建应遵循集成管理、数据整合与处理的核心策略，强调统一规划、标准化操作、设备标准化以及一体化的开发与应用。

◆先进性和成熟性原则

通过科学的方法（例如ITIL），结合适用的工具，进行系统的严谨规划与设计，以消除盲目性和随意性：在项目实施中，我们倾向于选用技术领先、具有行业标杆水平且已成熟稳定的技术手段和产品，构建高效的数据中心管理系统。

◆安全、保密性原则

在保障设备、网络及数据安全的前提下，系统安全管理注重全面性与保密性，采取多元化的策略与方法对业务运营信息的安全进行严密把控。

◆急用先行、稳步实施原则

在构建数据中心管理系统这一庞大的复杂工程中，我们应采取'急用先建'的策略，首先聚焦于迫切需求的系统的建设，同时兼顾信息化建设的整体布局，逐步推进系统的全面构建。

1.1.2.6.2 网络管理

(1)设备管理

数据中心的核心设备，如服务器、路由器、交换机以及安全防护设备（包括防火墙FW和入侵预防系统IPS）等，我们建议采用统一管理的策略，借助一个集成平台对数据中心的整体资源实施全面监控。一旦设备故障或警报触发，该平台能迅速定位问题来源。此平台需关注机柜状态、网络安全设备、实体服务器以及虚拟机资源，具体功能如图所示。

为了全面掌握服务器内部运行的数据库与中间件的状态，参照下图所示的全局平台是必不可少的。

在服务器部署阶段，应谨慎避免安装不必要的安全客户端软件，以确保信息的安全性不受泄露风险。

(2)拓扑管理

数据中心拓扑管理系统具备自动识别网络物理架构的能力，并集成了多元化的功能，包括分区拓扑、机房布局、机架配置、设备面板以及用户关联视图。通过精细划分全网设备，依据管理区域、楼层、机房、机架、面板和用户等标准，构建一体化的资源、业务与用户拓扑展示，从而便利管理员从多维度对数据中心的各类资源实施高效管理。

(3)配置管理

1)资源化的配置和软件管理

维护的配置模板库包含两类资源：网络设备的配置模板文件和用户常用的配置模板片段。配置模板文件能够作为设备的启动配置或运行配置进行部署。配置模板片段则不仅可以作为运行配置，还能通过激活'配置下发后自动将设备运行配置转化为启动配置'选项，实现启动配置的部署。这些模板支持参数化，允许在部署时根据设备的具体特性设定不同的参数值。

2)集中化的设备配置和软件信息展示

系统集成了全网设备的配置文件及软件版本信息的可视化展示，具体包含：设备实时软件版本、可进行升级的最新版本、最近备份的时间记录、以及设备自动备份设置的状态。此外，管理员能够通过本系统执行一系列设备管理操作，如设备配置部署、配置备份与恢复、软件升级与回滚、存储空间管理和软件基线化管理，极大地提升了管理员对网络设备状态的直观理解和控制能力。

3)基线化的设备配置变更审计

设备配置变更审计功能借助于备份历史与软件升级历史的精细化管理得以实现，确保配置文件和软件升级过程的可追溯性。我们实施了全面的配置文件和启动配置的版本控制，将每台设备的配置文件划分为三个明确阶段：基线配置、常规配置和草稿状态，以便管理员有效地识别和管理。此外，系统支持便捷的基线版本回滚操作，能够迅速恢复至原始的基线配置状态。同样，设备的软件管理也实现了基线化，每个设备都对应一个基准版本，包括基线审计和快速切换至基线版本的功能。

4)自动化的建立可追溯的网络配置

启用自动备份功能，旨在周期性自动化设备配置的历史存档，构建起可追踪的网络配置管理系统。管理员可根据设备特性自定义备份计划，包括每日、每周或每月的备份选项。此外，系统具备配置变更监控功能，一旦设备