數(shù)據(jù)中心建設(shè)方案
《數(shù)據(jù)中心建設(shè)方案》由會員分享,可在線閱讀,更多相關(guān)《數(shù)據(jù)中心建設(shè)方案(96頁珍藏版)》請在裝配圖網(wǎng)上搜索。
數(shù)據(jù)中心 網(wǎng)絡(luò)建設(shè)方案 目 錄 第一章 數(shù)據(jù)中心現(xiàn)狀分析 4 第二章 數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)分析 4 2.1 路由與交換 4 2.2 EOR 與TOR 5 2.3網(wǎng)絡(luò)虛擬化 5 2.3.1 網(wǎng)絡(luò)多虛一技術(shù) 5 2.3.2網(wǎng)絡(luò)一虛多技術(shù) 7 2.4 VM互訪技術(shù)(VEPA) 7 2.5 虛擬機遷移網(wǎng)絡(luò)技術(shù) 11 第三章 方案設(shè)計 13 3.1網(wǎng)絡(luò)總體規(guī)劃 13 3.2省級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計 15 3.3市級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計 16 3.4區(qū)縣級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計 17 3.5省、市、區(qū)/縣數(shù)據(jù)中心互聯(lián)設(shè)計 18 3.5.1省、市數(shù)據(jù)中心互聯(lián) 18 3.5.2市、區(qū)/縣數(shù)據(jù)中心互聯(lián) 19 3.5.3數(shù)據(jù)中心安全解決方案 19 第四章 方案的新技術(shù)特點 21 4.1量身定制的數(shù)據(jù)中心網(wǎng)絡(luò)平臺 21 4.1.1最先進的萬兆以太網(wǎng)技術(shù) 21 4.1.2硬件全線速處理技術(shù) 22 4.1.3 Extreme Direct Attach技術(shù) 24 4.1.5 幫助虛機無縫遷移的XNV技術(shù) 29 4.1.5環(huán)保節(jié)能的網(wǎng)絡(luò)建設(shè) 33 4.2 最穩(wěn)定可靠的網(wǎng)絡(luò)平臺 34 4.2.1 獨有的模塊化操作系統(tǒng)設(shè)計 34 4.2.2超強的QOS服務(wù)質(zhì)量保證 35 4.3先進的網(wǎng)絡(luò)安全設(shè)計 37 4.3.1 設(shè)備安全特性 38 4.3.2用戶的安全接入 39 4.3.3智能化的安全防御措施 40 4.3.4常用安全策略建議 41 附錄 方案產(chǎn)品資料 45 1. 核心交換機BD 8800 45 2. SummitX670系列產(chǎn)品 49 3. 三層千兆交換機Summit X460 61 4. 核心路由器MP7500 69 5. 匯聚路由器MP7200 75 6. 接入路由器MP3840 81 7. 接入路由器MP2824 85 8. MSG4000綜合安全網(wǎng)關(guān) 90 第一章 數(shù)據(jù)中心現(xiàn)狀分析 云計算數(shù)據(jù)中心相比較傳統(tǒng)數(shù)據(jù)中心對網(wǎng)絡(luò)的要求有以下變化: 1、Server-Server流量成為主流,而且要求二層流量為主。 2、站點內(nèi)部物理服務(wù)器和虛擬機數(shù)量增大,導(dǎo)致二層拓?fù)渥兇蟆? 3、擴容、災(zāi)備和VM遷移要求數(shù)據(jù)中心多站點間大二層互通。 4、數(shù)據(jù)中心多站點的選路問題受大二層互通影響更加復(fù)雜。 5、iSCSI/FCoE是數(shù)據(jù)中心以網(wǎng)絡(luò)為核心演進的需求,也是不可或缺的一部分。 第二章 數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)分析 2.1 路由與交換 數(shù)據(jù)中心網(wǎng)絡(luò)方面,關(guān)注的重點是數(shù)據(jù)中心內(nèi)部服務(wù)器前后端網(wǎng)絡(luò),對于廣泛意義上的數(shù)據(jù)中心,如園區(qū)網(wǎng)、廣域網(wǎng)和接入網(wǎng)等內(nèi)容,不做過多擴散。 數(shù)據(jù)中心的網(wǎng)絡(luò)以交換以太網(wǎng)為主,只有傳統(tǒng)意義的匯聚層往上才是IP的天下。數(shù)據(jù)中心的以太網(wǎng)絡(luò)會逐步擴大,IP轉(zhuǎn)發(fā)的層次也會被越推越高。 數(shù)據(jù)中心網(wǎng)絡(luò)從設(shè)計伊始,主要著眼點就是轉(zhuǎn)發(fā)性能,因此基于CPU/NP轉(zhuǎn)發(fā)的路由器自然會被基于ASIC轉(zhuǎn)發(fā)的三層交換機所淘汰。傳統(tǒng)的Ethernet交換技術(shù)中,只有MAC一張表要維護,地址學(xué)習(xí)靠廣播,沒有什么太復(fù)雜的網(wǎng)絡(luò)變化需要關(guān)注,所以速率可以很快。而在IP路由轉(zhuǎn)發(fā)時,路由表、FIB表、ARP表一個都不能少,效率自然也低了很多。 云計算數(shù)據(jù)中心對轉(zhuǎn)發(fā)帶寬的需求更是永無止境,因此會以部署核心-接入二層網(wǎng)絡(luò)結(jié)構(gòu)為主。層次越多,故障點越多、延遲越高、轉(zhuǎn)發(fā)瓶頸也會越多。目前在一些ISP(InternetService Provider)的二層結(jié)構(gòu)大型數(shù)據(jù)中心里,由于傳統(tǒng)的STP需要阻塞鏈路浪費帶寬,而新的二層多路徑L2MP技術(shù)還不夠成熟,因此會采用全三層IP轉(zhuǎn)發(fā)來暫時作為過渡技術(shù),如接入層與核心層之間跑OSPF動態(tài)路由協(xié)議的方式。這樣做的缺點顯而易見,組網(wǎng)復(fù)雜,路由計算繁多,以后勢必會被Ethernet L2MP技術(shù)所取代。 新的二層多路徑技術(shù),不管是TRILL還是SPB都引入了二層ISIS控制平面協(xié)議來作為轉(zhuǎn)發(fā)路徑計算依據(jù),這樣雖然可以避免當(dāng)前以太網(wǎng)單路徑轉(zhuǎn)發(fā)和廣播環(huán)路的問題,但畢竟是增加了控制平面拓?fù)溥x路計算的工作,能否使其依然如以往Ethernet般高效還有待觀察。MPLS就是一個的前車之鑒,本想著幫IP提高轉(zhuǎn)發(fā)效率,沒想到卻在VPN路由隔離方面獲得真正應(yīng)用。 2.2 EOR 與TOR 數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備就是交換機,而交換機就分為機箱式與機架式兩種。當(dāng)前云計算以大量X86架構(gòu)服務(wù)器替代小型機和大型機,導(dǎo)致單獨機架Rack上的服務(wù)器數(shù)量增多。受工程布線的困擾,在大型數(shù)據(jù)中心內(nèi)EOR(End Of Row)結(jié)構(gòu)已經(jīng)逐步被TOR(Top Of Rack)結(jié)構(gòu)所取代。機架式交換機作為數(shù)據(jù)中心服務(wù)器第一接入設(shè)備的地位變得愈發(fā)不可動搖。而為了確保大量機架式設(shè)備的接入,匯聚和核心層次的設(shè)備首要解決的問題就是高密度接口數(shù)量,由此機箱式交換機也就占據(jù)了數(shù)據(jù)中心轉(zhuǎn)發(fā)核心的位置。 綜合來說,一般情況下數(shù)據(jù)中心以大型機箱式設(shè)備為核心,機架式設(shè)備為各個機柜的接入 2.3網(wǎng)絡(luò)虛擬化 云計算就是計算虛擬化,而存儲虛擬化已經(jīng)在SAN上實現(xiàn)得很好了,剩下網(wǎng)絡(luò)虛擬化了。云計算環(huán)境中,所有的服務(wù)資源都成為了一個對外的虛擬資源,那么網(wǎng)絡(luò)不管是從路徑提供還是管理維護的角度來說,都得跟著把一堆的機框盒子進行多虛一統(tǒng)一規(guī)劃。而云計算一虛多的時候,物理服務(wù)器都變成了很多的VM,網(wǎng)絡(luò)層面則需要對一虛多對通路建立和管理更精細(xì)化。 2.3.1 網(wǎng)絡(luò)多虛一技術(shù) 網(wǎng)絡(luò)多虛一技術(shù)。最早的網(wǎng)絡(luò)多虛一技術(shù)代表是交換機集群Cluster技術(shù),多以盒式小交換機為主,較為古老,當(dāng)前數(shù)據(jù)中心里面已經(jīng)很少見了。而新的技術(shù)則主要分為兩個方向,控制平面虛擬化與數(shù)據(jù)平面虛擬化。 控制平面虛擬化 顧名思義,控制平面虛擬化是將所有設(shè)備的控制平面合而為一,只有一個主體去處理整個虛擬交換機的協(xié)議處理,表項同步等工作。從結(jié)構(gòu)上來說,控制平面虛擬化又可以分為縱向與橫向虛擬化兩種方向。 縱向虛擬化指不同層次設(shè)備之間通過虛擬化合多為一,相當(dāng)于將下游交換機設(shè)備作為上游設(shè)備的接口擴展而存在,虛擬化后的交換機控制平面和轉(zhuǎn)發(fā)平面都在上游設(shè)備上,下游設(shè)備只有一些簡單的同步處理特性,報文轉(zhuǎn)發(fā)也都需要上送到上游設(shè)備進行。可以理解為集中式轉(zhuǎn)發(fā)的虛擬交換機橫向虛擬化多是將同一層次上的同類型交換機設(shè)備虛擬合一,,控制平面工作如縱向一般,都由一個主體去完成,但轉(zhuǎn)發(fā)平面上所有的機框和盒子都可以對流量進行本地轉(zhuǎn)發(fā)和處理,是典型分布式轉(zhuǎn)發(fā)結(jié)構(gòu)的虛擬交換機。 控制平面虛擬化從一定意義上來說是真正的虛擬交換機,能夠同時解決統(tǒng)一管理與接口擴展的需求。但是有一個很嚴(yán)重的問題制約了其技術(shù)的發(fā)展。服務(wù)器多虛一技術(shù)目前無法做到所有資源的靈活虛擬調(diào)配,而只能基于主機級別當(dāng)多機運行時,協(xié)調(diào)者的角色(等同于框式交換機的主控板控制平面)對同一應(yīng)用來說,只能主備,無法做到負(fù)載均衡。網(wǎng)絡(luò)設(shè)備虛擬化也同樣如此,以框式設(shè)備舉例,不管以后能夠支持多少臺設(shè)備虛擬合一,只要不能解決上述問題,從控制平面處理整個虛擬交換機運行的物理控制節(jié)點主控板都只能有一塊為主,其他都是備份角色(類似于服務(wù)器多虛一中的HA Cluster結(jié)構(gòu))。總而言之,虛擬交換機支持的物理節(jié)點規(guī)模永遠(yuǎn)會受限于此控制節(jié)點的處理能力。 數(shù)據(jù)平面虛擬化 數(shù)據(jù)平面的虛擬化,目前主要是TRILL和SPB,他們都是用L2 ISIS作為控制協(xié)議在所有設(shè)備上進行拓?fù)渎窂接嬎?,轉(zhuǎn)發(fā)的時候會對原始報文進行外層封裝,以不同的目的Tag在TRILL/SPB區(qū)域內(nèi)部進行轉(zhuǎn)發(fā)。對外界來說,可以認(rèn)為TRILL/SPB區(qū)域網(wǎng)絡(luò)就是一個大的虛擬交換機,Ethernet報文從入口進去后,完整的從出口吐出來,內(nèi)部的轉(zhuǎn)發(fā)過程對外是不可見且無意義的。 這種數(shù)據(jù)平面虛擬化多合一已經(jīng)是廣泛意義上的多虛一了,此方式在二層Ethernet轉(zhuǎn)發(fā)時可以有效的擴展規(guī)模范圍,作為網(wǎng)絡(luò)節(jié)點的N虛一來說,控制平面虛擬化目前N還在個位到十位數(shù)上晃悠,數(shù)據(jù)平面虛擬化的N已經(jīng)可以輕松達(dá)到百位的范疇。但其缺點也很明顯,引入了控制協(xié)議報文處理,增加了網(wǎng)絡(luò)的復(fù)雜度,同時由于轉(zhuǎn)發(fā)時對數(shù)據(jù)報文多了外層頭的封包解包動作,降低了Ethernet 的轉(zhuǎn)發(fā)效率。 從數(shù)據(jù)中心當(dāng)前發(fā)展來看,規(guī)模擴充是首位的,帶寬增長也是不可動搖的,因此在網(wǎng)絡(luò)多虛一方面,控制平面多虛一的各種技術(shù)除非能夠突破控制層多機協(xié)調(diào)工作的技術(shù)枷鎖,否則只有在中小型數(shù)據(jù)中心里面應(yīng)用,后期真正的大型云計算數(shù)據(jù)中心勢必是屬于TRILL/SPB此類數(shù)據(jù)平面多虛一技術(shù)的天地。 2.3.2網(wǎng)絡(luò)一虛多技術(shù) 網(wǎng)絡(luò)一虛多技術(shù),已經(jīng)根源久遠(yuǎn),從Ethernet的VLAN到IP的VPN都是已經(jīng)成熟技術(shù),F(xiàn)C里面則有對應(yīng)的VSAN技術(shù)。此類技術(shù)特點就是給轉(zhuǎn)發(fā)報文里面多插入一個Tag,供不同設(shè)備統(tǒng)一進行識別,然后對報文進行分類轉(zhuǎn)發(fā)。代表如只能手工配置的VLAN ID和可以自協(xié)商的MPLS Label。傳統(tǒng)技術(shù)都是基于轉(zhuǎn)發(fā)層面的,雖然在管理上也可以根據(jù)VPN進行區(qū)分,但是CPU/轉(zhuǎn)發(fā)芯片/內(nèi)存這些基礎(chǔ)部件都是只能共享的。 目前最新的一虛多技術(shù)是類似Extreme Networks在交換機系統(tǒng)中實現(xiàn)的Virtual Router,和VM一樣可以建立多個虛擬交換機并將物理資源獨立分配,目前的實現(xiàn)是最多可建立64個VR,其中有一個用做管理。 2.4 VM互訪技術(shù)(VEPA) 隨著虛擬化技術(shù)的成熟和x86 CPU性能的發(fā)展,越來越多的數(shù)據(jù)中心開始向虛擬化轉(zhuǎn)型。虛擬化架構(gòu)能夠在以下幾方面對傳統(tǒng)數(shù)據(jù)中心進行優(yōu)化: 提高物理服務(wù)器CPU利用率; 提高數(shù)據(jù)中心能耗效率; 提高數(shù)據(jù)中心高可用性; 加快業(yè)務(wù)的部署速度 正是由于這些不可替代的優(yōu)點,虛擬化技術(shù)正成為數(shù)據(jù)中心未來發(fā)展的方向。然而一個問題的解決,往往伴隨著另一些問題的誕生,數(shù)據(jù)網(wǎng)絡(luò)便是其中之一。隨著越來越多的服務(wù)器被改造成虛擬化平臺,數(shù)據(jù)中心內(nèi)部的物理網(wǎng)口越來越少,以往十臺數(shù)據(jù)庫系統(tǒng)就需要十個以太網(wǎng)口,而現(xiàn)在,這十個系統(tǒng)可能是駐留在一臺物理服務(wù)器內(nèi)的十個虛擬機,共享一條上聯(lián)網(wǎng)線。 這種模式顯然是不合適的,多個虛擬機收發(fā)的數(shù)據(jù)全部擠在一個出口上,單個操作系統(tǒng)和網(wǎng)絡(luò)端口之間不再是一一對應(yīng)的關(guān)系,從網(wǎng)管人員的角度來說,原來針對端口的策略都無法部署,增加了管理的復(fù)雜程度。 其次,目前的主流虛擬平臺上,都沒有獨立網(wǎng)管界面,一旦出現(xiàn)問題網(wǎng)管人員與服務(wù)器維護人員又要陷入無止盡的扯皮中。當(dāng)初虛擬化技術(shù)推行的一大障礙就是責(zé)任界定不清晰,現(xiàn)在這個問題再次阻礙了虛擬化的進一步普及。 接入層的概念不再僅僅針對物理端口,而是延伸到服務(wù)器內(nèi)部,為不同虛擬機之間的流量交換提供服務(wù),將虛擬機同網(wǎng)絡(luò)端口重新關(guān)聯(lián)起來。 做為X86平臺虛擬化的領(lǐng)導(dǎo)廠商,VMWare早已經(jīng)在其vsphere平臺內(nèi)置了虛擬交換機vswitch,甚至更進一步,實現(xiàn)了分布式虛擬交互機VDS(vnetwork distributed switch),為一個數(shù)據(jù)中心內(nèi)提供一個統(tǒng)一的網(wǎng)絡(luò)接入平臺,當(dāng)虛擬機發(fā)生vmotion時,所有端口上的策略都將隨著虛擬機移動。 虛擬以太網(wǎng)端口匯聚器(VEPA)是最新IEEE 802.1Qbg標(biāo)準(zhǔn)化工作的一個組成部分,其設(shè)計目標(biāo)是降低與高度虛擬化部署有關(guān)的復(fù)雜性。如果我們研究一下使用虛擬交換機的傳統(tǒng)方法就會發(fā)現(xiàn),它與VEPA方法存在很大的不同,VEPA使用戶可以深入了解虛擬化及聯(lián)網(wǎng)中的各項部署挑戰(zhàn)和需要考慮的因素。 當(dāng)您的物理主機上的監(jiān)視程序上有多臺虛擬機(每臺虛擬機都包含一套操作系統(tǒng)和多種應(yīng)用)時,這些虛擬機在相互通信和與外部世界通信時都要使用虛擬交換機。事實上,虛擬交換機是一種第2層交換機,通常以軟件的形式在監(jiān)視程序內(nèi)運行。每種監(jiān)視程序通常都有一個內(nèi)建的虛擬交換機。不同的監(jiān)視程序所含的虛擬交換機在能力方面也是千差萬別的。 當(dāng)虛擬交換機從聯(lián)網(wǎng)領(lǐng)域轉(zhuǎn)移到服務(wù)器領(lǐng)域時,就有必要針對虛擬環(huán)境對傳統(tǒng)的基于網(wǎng)絡(luò)的工具和解決方案進行重新測試、重新定性和重新部署。從某些方面來說,這種變化會對虛擬化的快速擴展和普及造成阻礙。 例如,傳統(tǒng)的網(wǎng)絡(luò)和服務(wù)器運營團隊是截然分開的,每個團隊都有自己的流程、工具和控制范圍。由于虛擬交換機的原因,聯(lián)網(wǎng)進入了服務(wù)器的范疇,因此像供應(yīng)虛擬機這樣的簡單任務(wù)也需要這些團隊之間開展額外的協(xié)調(diào)工作,從而確保虛擬交換機的配置與物理網(wǎng)絡(luò)配置保持一致。 由于缺乏網(wǎng)絡(luò)中虛擬機之間流量的可視性,因此涉及到虛擬機之間通信的故障查找和監(jiān)視也變成了一項極具挑戰(zhàn)性的工作。而且隨著虛擬機數(shù)量的增長,單個服務(wù)器中的虛擬機目前已經(jīng)達(dá)到8至12臺,并且會在不久的將來達(dá)到32至64臺,因此,保護虛擬機彼此不受干擾,以及不受外界威脅的侵害都變成了一項需要認(rèn)真考慮的問題。 從防火墻到IDS/IPS,基于網(wǎng)絡(luò)的傳統(tǒng)設(shè)備和工具都需要針對這些高度虛擬化的環(huán)境重新開發(fā)、重新認(rèn)證和重新部署,從而確保虛擬機之間通過虛擬交換機的通信能夠滿足法規(guī)一致性和安全方面的要求。 由于在虛擬交換機方面缺乏標(biāo)準(zhǔn),因此會增加涉及不同監(jiān)視技術(shù)的培訓(xùn)、互用性和管理開銷,進入使這些挑戰(zhàn)變得更加復(fù)雜。事實上,物理服務(wù)器正在變成一種全面的網(wǎng)絡(luò)環(huán)境,擁有自身的互用性、部署、認(rèn)證和測試要求。 有趣的是,這種趨勢與虛擬化最基本的優(yōu)勢之一是背道而馳的,即虛擬化能夠?qū)⒎?wù)器中過剩的容量以更高的效率來運行各類應(yīng)用。目前,這種“服務(wù)器中的網(wǎng)絡(luò)”很有可能演變成這些過剩容量的消費方,將CPU和內(nèi)存資源吞噬殆盡。 VEPA的方法 為應(yīng)用這些挑戰(zhàn),各方已經(jīng)提出了多種不同的解決方案,其中就包括VEPA。VEPA是一種虛擬交換機替代產(chǎn)品;它不僅進入了標(biāo)準(zhǔn)化進程,而且成為業(yè)界眾多廠商的一致選擇。 事實上,VEPA會將服務(wù)器上虛擬機生成的所有流量轉(zhuǎn)移到外部的網(wǎng)絡(luò)交換機上。外部網(wǎng)絡(luò)交換機接下來會為同一臺物理服務(wù)器上的虛擬機和基礎(chǔ)設(shè)施的其它部分提供連接。 實現(xiàn)這一功能的方法是將一種新型轉(zhuǎn)發(fā)模式融入物理交換機中,使流量能夠從來時的端口“原路返回”,從而簡化同一服務(wù)器上虛擬機之間的通信。 “原路返回”模式(或稱“反射中繼”)可以在需要時將包的單一副本反向發(fā)送至同一臺服務(wù)器上的目的地或目標(biāo)虛擬機。對于廣播或組播流量,VEPA能夠以本地方式向服務(wù)器上的虛擬機提供包復(fù)制能力。 傳統(tǒng)上,多數(shù)網(wǎng)絡(luò)交換機都不支持這種“原路返回”模式行為,因為它可能會在非虛擬世界中造成環(huán)路和廣播風(fēng)暴。然而,許多網(wǎng)絡(luò)廠商都開始支持這種行為,目的就是解決虛擬機交換的問題,而且使用簡單的軟件或固件升級即可實現(xiàn)。 IEEE的802.1Qbg工作組還努力將這種行為變成了標(biāo)準(zhǔn)。VEPA能夠以軟件的方式,作為監(jiān)視程序中的瘦層在服務(wù)器中實施,也可以作為網(wǎng)卡中的硬件來實施,在后一種情況下還可以與SR-IOV等PCIe I/O虛擬化技術(shù)結(jié)合使用。其中一個典型的例子就是Linux KVM監(jiān)視程序中提供的基于軟件的VEPA實施。 事實上,VEPA將交換功能移出了服務(wù)器,并且將其放回物理網(wǎng)絡(luò)中,而且讓外部網(wǎng)絡(luò)交換機能夠看到所有的虛擬機流量。通過將虛擬機交換移回物理網(wǎng)絡(luò),基于VEPA的方法使現(xiàn)有的網(wǎng)絡(luò)工具和流程可以在虛擬化和非虛擬化環(huán)境以及監(jiān)視程序技術(shù)中以相同的方式自由使用。 防火墻和IDS/IPS等基于網(wǎng)絡(luò)的設(shè)備,以及訪問控制列表(ACL)、服務(wù)質(zhì)量(QoS)和端口監(jiān)視等成熟的網(wǎng)絡(luò)交換機功能都可以直接用于虛擬機流量和虛擬機之間的交換,因此減少和消除了對虛擬網(wǎng)絡(luò)設(shè)備重新進行昂貴的質(zhì)量判定、測試和部署的需求。 此外,VEPA將網(wǎng)絡(luò)管理控制層重新交給了網(wǎng)絡(luò)管理員,為所有與虛擬機相關(guān)聯(lián)網(wǎng)功能的供應(yīng)、監(jiān)視和故障查找提供了一個單一控制點。 將網(wǎng)絡(luò)功能從服務(wù)器卸載至網(wǎng)絡(luò)交換機能夠帶來諸多的優(yōu)勢,例如釋放服務(wù)器資源并將其用于更多的應(yīng)用,同時還可在虛擬和非虛擬服務(wù)器之間提供線速交換;從1Gbps至10Gbps,甚至可以達(dá)到40Gbps和更高的100Gbps。 因此,基于VEPA的方法有助于擴大虛擬化部署,降低復(fù)雜性和成本,并且加快虛擬化的普及。 盡管基于VEPA的方法能夠帶來許多好處,但在某些環(huán)境下,虛擬機間流量的交換最好還是留在服務(wù)器內(nèi)部。例如,在有些環(huán)境下物理服務(wù)器要承擔(dān)虛擬機的巨大負(fù)荷,而且這些虛擬機之間的通信非常頻繁,因此為了將延遲降至最低程度,最好的方法是將虛擬機之間的流量留在服務(wù)器內(nèi)部。 在此類場景中,可能的方法之一是繞過基于監(jiān)視程序的軟件虛擬交換機,利用新型網(wǎng)卡提供的交換硬件能力,即SR-IOV等基于入向I/O虛擬化的能力。同樣,在使用這種方法時,也需要權(quán)衡考慮完全使用“服務(wù)器中的網(wǎng)絡(luò)”模型時的安全和成本問題。 隨著服務(wù)器虛擬化的廣泛普及,服務(wù)器內(nèi)和服務(wù)器間虛擬機交換流量的復(fù)雜性都在不斷提高?;赩EPA的虛擬機間流量交換方法能夠為基于虛擬交換機的傳統(tǒng)方法提供一種非常有趣且極具吸引力的替代方案。為了向網(wǎng)絡(luò)和服務(wù)器基礎(chǔ)設(shè)施提供支持VEPA的能力,此類技術(shù)的標(biāo)準(zhǔn)化工作正在緊鑼密鼓地進行當(dāng)中。 2.5 虛擬機遷移網(wǎng)絡(luò)技術(shù) 虛擬服務(wù)器能夠大幅度提升服務(wù)器計算資源利用率,但是仍然只發(fā)揮了虛擬化優(yōu)勢的很小一部分。虛擬化向網(wǎng)絡(luò)的延伸使虛擬機能夠在應(yīng)用程序運行的同時實現(xiàn)在物理服務(wù)器之間的漂移,并按需提供容量,無需增加昂貴且未盡其用的平臺。更重要的是,動態(tài)虛擬機的創(chuàng)建和移動讓管理員能夠迅速響應(yīng)新的請求,從而提高用戶的生產(chǎn)效率和客戶滿意度。但是目前傳統(tǒng)的網(wǎng)絡(luò)設(shè)備并不能滿足這種動態(tài)遷移的需求,這成為虛擬化進程中的瓶頸,而解決這一瓶頸就意味著虛擬化時代的真正到來。 將虛擬化優(yōu)勢延伸至網(wǎng)絡(luò),如何動態(tài)并經(jīng)濟有效地分配資源,來滿足高峰和低谷時的業(yè)務(wù)需求顯得至關(guān)重要。通常在一個工作日中,對計算資源的需求會從最小量開始增長。虛擬機可以立刻遷移至其它新啟動的服務(wù)器上去,以滿足需求。在工作日結(jié)束時,對計算資源的需求會降低,那時虛擬機可以遷回原來的服務(wù)器,并關(guān)閉不需要的服務(wù)器資源,以簡化管理并降低供電成本。在這個過程中,網(wǎng)絡(luò)的虛擬化至關(guān)重要,網(wǎng)絡(luò)可以使得虛擬機的動態(tài)遷移成為可能,還可以保證在任何情況下對于應(yīng)用的保護,甚至可以使得用戶感覺不到虛擬資源的擴展或縮小。 日常的虛擬機遷移只是虛擬機漂移技術(shù)的一種實踐應(yīng)用。當(dāng)服務(wù)器離線進行維護或發(fā)生故障時,虛擬機也可進行漂移以支持業(yè)務(wù)的連續(xù)性。為了利用這些優(yōu)勢,在硬件平臺間漂移虛擬機相關(guān)的網(wǎng)絡(luò)配置雖并不復(fù)雜,但卻至關(guān)重要且非常耗時。此外,當(dāng)虛擬機在數(shù)據(jù)中心內(nèi)漂移時,與每臺虛擬機相關(guān)的網(wǎng)絡(luò)層策略必須隨之漂移。這些策略控制著安全、服務(wù)質(zhì)量(QoS)等因素,并因用戶和應(yīng)用的具體情況而異。因此,為每個業(yè)務(wù)應(yīng)用維持相適應(yīng)的網(wǎng)絡(luò)策略對于業(yè)務(wù)運營而言至關(guān)重要。 虛擬機從一臺物理服務(wù)器漂移至另一臺之前,與之相關(guān)的網(wǎng)絡(luò)端口配置以及安全策略必須針對目標(biāo)服務(wù)器進行正確的設(shè)置,以滿足安全需求。如果數(shù)據(jù)中心存在大量的服務(wù)器和虛擬機遷移,那么手動配置會消耗大量的時間和資源。 利用網(wǎng)絡(luò)虛擬化的解決方案可使虛擬機遷移相關(guān)的網(wǎng)絡(luò)管理任務(wù)實現(xiàn)自動化,且無需大量的管理人員。 針對虛擬機漂移的自動化網(wǎng)絡(luò)管理 實現(xiàn)虛擬機漂移的網(wǎng)絡(luò)自動化最關(guān)鍵的,就是構(gòu)建一個包含智能軟件的網(wǎng)絡(luò)交換機,來對單個虛擬機進行配置。傳統(tǒng)的網(wǎng)絡(luò)交換機是通過一個物理端口來與它連接的服務(wù)器進行通信的。而包含智能軟件的交換機,則能夠?qū)崿F(xiàn)對單個虛擬機的感知,以及對每個虛擬機進行網(wǎng)絡(luò)配置,從而將單個虛擬機屬性擴展到整個網(wǎng)絡(luò)。當(dāng)虛擬機在整個網(wǎng)絡(luò)遷移時,交換機能夠追蹤這種遷移,并確保網(wǎng)絡(luò)設(shè)置與虛擬機一起實現(xiàn)遷移。 虛擬機感知的一個重要方面是能夠與多種架構(gòu)相兼容。被稱為虛擬機監(jiān)控器(VMM)是虛擬化軟件的重要組成之一,它能夠使多種操作系統(tǒng)在單一主機平臺中運行。目前可支持Citrix、微軟、VMwareXen,Oracle等虛擬化平臺。 由于數(shù)據(jù)中心通常運行不同的虛擬化架構(gòu),因此,具備兼容多個虛擬化架構(gòu)的能力至關(guān)重要。研究和開發(fā)部門或許更青睞某一款架構(gòu),因為它使用戶能夠更好地管理服務(wù)器;而數(shù)據(jù)管理員為了其他用戶也許會統(tǒng)一使用另一款來自指定廠商的虛擬化架構(gòu)?;蛘撸瑪?shù)據(jù)中心管理員因為價格或其他因素也許會選擇逐步遷移至其它廠商的架構(gòu),從而創(chuàng)建一個臨時的混合型環(huán)境。而網(wǎng)絡(luò)是承載這些架構(gòu)的基礎(chǔ),網(wǎng)絡(luò)的虛擬化同樣也需要對于混合環(huán)境提供很好的兼容性。 基于交換機的虛擬化產(chǎn)品也包含的有價值的特性: ? 跟蹤虛擬機的遷移,無需變更以太網(wǎng)數(shù)據(jù)包,最大限度提高資源利用率。 ? 內(nèi)置于交換機的智能軟件可以緩解網(wǎng)絡(luò)管理員的負(fù)擔(dān)? 該架構(gòu)能夠方便用戶在虛擬層中配置網(wǎng)絡(luò)設(shè)定,從而提高生產(chǎn)效率。 ? 同時支持多種虛擬化架構(gòu),最大限度提高靈活性。 ?管理平臺界面簡化管理。 針對虛擬化網(wǎng)絡(luò)的解決方案已成為現(xiàn)實。Extreme Networks公司的XNV技術(shù),能夠搜索虛擬機并使性能和安全設(shè)置與虛擬端口(而非物理端口)相聯(lián)系。使用管理員擁有粒度標(biāo)準(zhǔn)來監(jiān)測每臺虛擬機及其相關(guān)的虛擬端口。XNV還可監(jiān)測虛擬機的創(chuàng)建和遷移,并確保網(wǎng)絡(luò)設(shè)置隨著虛擬機遷移。這些功能都有助于降低由網(wǎng)絡(luò)配置錯誤引起的應(yīng)用宕機風(fēng)險,以及將敏感應(yīng)用暴露給未受權(quán)用戶的安全風(fēng)險。 綜上所述,數(shù)據(jù)中心的虛擬化,即“網(wǎng)絡(luò)感知”和開放性,是新的數(shù)據(jù)中心的必備能力,只有這樣,用戶才能優(yōu)化資源利用率,降低手動維護安全策略所造成的人工錯誤,因為虛擬化提高了數(shù)據(jù)中心的可用性,并降低了總體擁有成本。 第三章 方案設(shè)計 3.1網(wǎng)絡(luò)總體規(guī)劃 數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè),需要考慮到以下的一些因素:系統(tǒng)的先進程度、系統(tǒng)的穩(wěn)定性、可擴展性、系統(tǒng)的維護成本、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的配合度、與外界互連網(wǎng)絡(luò)的連通、建設(shè)成本的可接受程度。 網(wǎng)絡(luò)整體設(shè)計采用國際通行的TCP/IP協(xié)議,并達(dá)到以下目標(biāo): 1)系統(tǒng)可靠性和穩(wěn)定性 作為高性能園區(qū)網(wǎng)絡(luò),系統(tǒng)的高可靠性和穩(wěn)定性是網(wǎng)絡(luò)應(yīng)用環(huán)境正常運行的首要條件。在保證系統(tǒng)可靠性的基礎(chǔ)上,還要進一步提高系統(tǒng)的可用性。我們可以從以下幾個方面來提供保證。 網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)具有很高的平均無故障時間,并且在業(yè)界有廣泛的用戶基礎(chǔ); 關(guān)鍵網(wǎng)絡(luò)設(shè)備冗余工作,其關(guān)鍵部件可實現(xiàn)在線更換(熱拔插),故障的恢復(fù)時間在秒級間隔內(nèi)完成; 網(wǎng)絡(luò)在設(shè)備、拓?fù)湟约熬€路等方面均應(yīng)具有較高的可靠性,以保證每周7*24小時,每年365*24小時的正常工作。 2)開放性和標(biāo)準(zhǔn)化 為了保證在網(wǎng)絡(luò)時保證不同設(shè)備的互通性,所以網(wǎng)絡(luò)系統(tǒng)在設(shè)計時必須采用開放技術(shù)、支持國際標(biāo)準(zhǔn)協(xié)議,具有良好的互連互通性,保證支持同一廠家的不同系列的產(chǎn)品以及與不同廠商的不同網(wǎng)絡(luò)設(shè)備無縫連接和互操作的能力。 3)具有高處理能力、可擴展性 現(xiàn)支持各種高速網(wǎng)絡(luò)(快速以太網(wǎng)、千兆以太網(wǎng)、萬兆以太網(wǎng)等技術(shù)),提高對數(shù)據(jù)包的轉(zhuǎn)發(fā)能力和速度,提供足夠的網(wǎng)絡(luò)帶寬。支持各種協(xié)議并存,可靈活地構(gòu)成不同系統(tǒng),并可方便地從拓?fù)涞慕嵌群驮O(shè)備的角度擴展,方便升級以滿足將來業(yè)務(wù)增長的需要。 在網(wǎng)絡(luò)設(shè)計時,為了適應(yīng)用戶快速增長的需要,首先要滿足現(xiàn)有規(guī)模網(wǎng)絡(luò)用戶和應(yīng)用的需求,同時考慮未來業(yè)務(wù)發(fā)展、規(guī)模的擴大,應(yīng)該設(shè)計關(guān)鍵網(wǎng)絡(luò)設(shè)備具備擴展能力以及網(wǎng)絡(luò)實施新應(yīng)用的能力。 靈活擴充性:靈活的端口擴充能力,模塊擴充能力,滿足網(wǎng)絡(luò)規(guī)模的擴充。 支持新應(yīng)用的能力:產(chǎn)品具有支持新應(yīng)用的技術(shù)準(zhǔn)備,能夠符合實際要求的,方便快捷地實施新應(yīng)用。 4)系統(tǒng)的先進、成熟、實用性及可管理和可維護性 當(dāng)今世界,通信技術(shù)和計算機技術(shù)的發(fā)展日新月異,網(wǎng)絡(luò)設(shè)計既要適應(yīng)新技術(shù)發(fā)展的潮流,保證系統(tǒng)的先進性,也要兼顧技術(shù)的成熟性、實用性,選擇最合適的設(shè)備和技術(shù),降低由于新技術(shù)和新產(chǎn)品不成熟因素給用戶帶來的風(fēng)險。 在系統(tǒng)設(shè)計中,選擇先進的系統(tǒng)管理軟件是必不可少的。我們在這里采用我們通過這個統(tǒng)一的管理平臺的控制,監(jiān)控主機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)狀態(tài),簡化管理工作,提高了主機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的利用效率。提供先進而完善的網(wǎng)絡(luò)管理工具,監(jiān)控網(wǎng)絡(luò)故障,優(yōu)化網(wǎng)絡(luò)性能,實現(xiàn)一體化的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理基于SNMP,支持RMON和RMON2。 5)系統(tǒng)安全性和保密性 現(xiàn)在我們網(wǎng)絡(luò)內(nèi)接入的用戶對網(wǎng)絡(luò)的好奇心,促使會攻擊我們內(nèi)部網(wǎng)絡(luò),我們制訂統(tǒng)一的安全策略,整體考慮網(wǎng)絡(luò)平臺的安全性,能夠提供不同方式不同級別的安全策略,保證網(wǎng)絡(luò)重要用戶和數(shù)據(jù)服務(wù)器的安全性。 所以說安全性是網(wǎng)絡(luò)運行的生命線。合理的網(wǎng)絡(luò)安全控制,可以使應(yīng)用環(huán)境中的信息資源得到有效的保護。網(wǎng)絡(luò)可以阻止任何非法的操作;網(wǎng)絡(luò)設(shè)備可進行基于協(xié)議、基于MAC地址、基于IP地址的包過濾控制功能,不同的業(yè)務(wù),劃分到不同的虛網(wǎng)中。 6)保護用戶現(xiàn)有投資及效益性 在保證網(wǎng)絡(luò)整體性能的前提下,網(wǎng)絡(luò)設(shè)計充分保護用戶投資及效益性,利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級,在原設(shè)備的基礎(chǔ)上,進行網(wǎng)絡(luò)建設(shè),避免用戶投資的重復(fù)浪費,在滿足用戶需求和未來發(fā)展的趨勢情況下,采用性價比高的設(shè)備,構(gòu)筑經(jīng)濟可靠的網(wǎng)絡(luò)平臺,使新系統(tǒng)更有效地承擔(dān)繁重的任務(wù),能支持將來系統(tǒng)的維護和平滑升級。所采用的設(shè)備應(yīng)是當(dāng)今業(yè)界的主流產(chǎn)品,采用主流技術(shù)、標(biāo)準(zhǔn)協(xié)議,具有良好的互操作性,減少設(shè)備互連的問題,網(wǎng)絡(luò)維護的費用,使用戶的投資得到有效保護。 3.2省級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計 對于省級數(shù)據(jù)中心,一般規(guī)劃為大約五百臺高性能服務(wù)器,在這種模式下,可以規(guī)劃2-3層網(wǎng)絡(luò)連接模式(下圖為3層) 如上圖所示,一般情況下,大型數(shù)據(jù)中心采用2-3層網(wǎng)絡(luò)結(jié)構(gòu),以3層結(jié)構(gòu)為例,采用2臺高性能Extreme Networks BD8800核心交換機,提供48個四萬兆(40G接口),通過40G通道下聯(lián)到匯聚層Summit X670系列交換機。每臺Extreme Networks Summit X670交換機提供48-60個萬兆萬兆接口,并提供四萬兆接口上聯(lián),萬兆下聯(lián)Summit X460交換機,通過X460交換機使用千兆連接所有服務(wù)器。 但是對于新型的大型數(shù)據(jù)中心,萬兆網(wǎng)絡(luò)連接已經(jīng)成為主流,所以一般使用萬兆連接服務(wù)器,則直接將網(wǎng)絡(luò)簡化為如下2層: 萬兆以太網(wǎng)技術(shù)目前已成為建設(shè)大中型數(shù)據(jù)中心網(wǎng)絡(luò)的主流技術(shù)。為實現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)平臺的功能,并考慮網(wǎng)絡(luò)在性能、容量、擴展性、先進性和服務(wù)質(zhì)量等方面的要求,經(jīng)過對交換以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、萬兆以太網(wǎng)不同網(wǎng)絡(luò)架構(gòu)在VLAN(虛擬局域網(wǎng))技術(shù)、第三層或多層交換技術(shù)、QoS、ACL等方面的性能表現(xiàn)及成本分析,確定將高密度端口的萬兆以太網(wǎng)交換機作為整個信息網(wǎng)絡(luò)的接入設(shè)備。 通過將萬兆以太網(wǎng)、千兆以太網(wǎng)、VLAN技術(shù)、三層路由交換、局域網(wǎng)中的QoS、ACL技術(shù)與投資經(jīng)濟性實現(xiàn)完美的有機結(jié)合,建立一個具有成熟的先進技術(shù),同時又可簡便維護和安全使用的網(wǎng)絡(luò)。 在省級網(wǎng)絡(luò)設(shè)計中,我們最終推薦核心到接入交換機40G連接,接入到服務(wù)器10G連接。 3.3市級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計 市級數(shù)據(jù)中心一般采用小于100臺服務(wù)器,根據(jù)省級網(wǎng)絡(luò)的建設(shè)設(shè)計,我們同樣使用萬兆進行連接,這里采用一臺Summit X670系列交換機。每臺Extreme Networks Summit X670交換機提供64個萬兆萬兆接口,或者采用X670交換機堆疊,提供112個萬兆端口,如下圖所示: 3.4區(qū)縣級數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計 區(qū)縣級數(shù)據(jù)中心,一般采用普通企業(yè)級服務(wù)器,不進行大規(guī)模數(shù)據(jù)集中,所以一般只適用千兆進行接入,所以采用兩臺千兆交換機Extreme Networks Summit X460進行互聯(lián),通過冗余備份設(shè)置,千兆連接內(nèi)部所有服務(wù)器。 3.5省、市、區(qū)/縣數(shù)據(jù)中心互聯(lián)設(shè)計 對于大多數(shù)行業(yè)客戶如醫(yī)療、教育或政府等,其數(shù)據(jù)中心不只為本地市提供數(shù)據(jù)交換和處理,同時各級數(shù)據(jù)中心之間還需要進行數(shù)據(jù)的遠(yuǎn)程交換和共享,從而充分發(fā)揮多級數(shù)據(jù)中心架構(gòu)的優(yōu)勢,使各級數(shù)據(jù)中心協(xié)同工作、遠(yuǎn)程交換、數(shù)據(jù)共享和統(tǒng)一管理。因此省、市、區(qū)/縣數(shù)據(jù)中心的互聯(lián)也勢在必行。 3.5.1省、市數(shù)據(jù)中心互聯(lián) 省數(shù)據(jù)中心由于數(shù)據(jù)量較大,需要同時匯聚地市一級數(shù)據(jù)中心,因此在省數(shù)據(jù)中心推薦配置兩臺MP7508作為核心匯聚路由器,并互為備份。MP7508匯聚路由器通過1000M光接口連接省數(shù)據(jù)中心核心交換機BD8800,再通過1000M MSTP或155M SDH/ATM網(wǎng)絡(luò)分別連接各個地市數(shù)據(jù)中心上聯(lián)路由器MP7204,地市上聯(lián)路由器MP7204通過1000M光接口連接其核心交換機X670。由于MP7508和MP7204路由器的高性能,從而實現(xiàn)省、市數(shù)據(jù)中心的高速互聯(lián),其軟/硬件高可靠性設(shè)計以及每個節(jié)點采用雙機備份的方式,實現(xiàn)了數(shù)據(jù)傳輸?shù)母呖煽啃院头€(wěn)定性;另外我們可采用MPLS等安全技術(shù),進一步保證數(shù)據(jù)傳輸?shù)陌踩浴? 3.5.2市、區(qū)/縣數(shù)據(jù)中心互聯(lián) 根據(jù)不同的行業(yè)和應(yīng)用,市數(shù)據(jù)中心與區(qū)/縣數(shù)據(jù)中心之間數(shù)據(jù)流量不同,在數(shù)據(jù)流量較大的應(yīng)用中,市數(shù)據(jù)中心采用MP7204中心匯聚路由器通過100M或1000M MSTP線路連接各個區(qū)/縣數(shù)據(jù)中心MP3840匯聚路由器;對于數(shù)據(jù)流量較小的行業(yè)或應(yīng)用,市數(shù)據(jù)中心MP7204可采用155M SDH線路,采用2M復(fù)用的方式連接各個區(qū)/縣數(shù)據(jù)中心MP2824,區(qū)/縣數(shù)據(jù)中心可根據(jù)實際帶寬需求采用2M或N*2M鏈路捆綁方式接入市數(shù)據(jù)中心。同樣為了提高互聯(lián)的可靠性,地市匯聚路由器和區(qū)/縣上聯(lián)路由器均采用雙機雙線路冗余備份方式,確保數(shù)據(jù)傳輸?shù)母呖煽啃浴? 3.5.3數(shù)據(jù)中心安全解決方案 雖然數(shù)據(jù)中心處于一個相對安全的私有網(wǎng)絡(luò)環(huán)境,不同級別的數(shù)據(jù)中心也可通過運營商專有線路進行互聯(lián)互通,其內(nèi)部數(shù)據(jù)中心和傳輸線路上有一定的安全保障。同時為提高數(shù)據(jù)中心的開放度和利用率,以及遠(yuǎn)程管理等,其勢必要與外部網(wǎng)絡(luò)或internet進行數(shù)據(jù)的互聯(lián)互通,為外部或互聯(lián)網(wǎng)用戶提供數(shù)據(jù)業(yè)務(wù)和管理。因此在數(shù)據(jù)中心的邊界需要充分考慮其接入和互聯(lián)互通的安全性,需要有效的的邊界隔離,可以實現(xiàn)對非法訪問的阻斷;其二是有效的身份識別與訪問控制功能,可以實現(xiàn)對源地址的定位、識別和控制;其三是建立有效的對抗攻擊能力,實現(xiàn)對異常流量、惡意代碼、有目標(biāo)的滲透等情況的鑒別和防護;其四是建立深度應(yīng)用識別與攻擊檢測,對應(yīng)用數(shù)據(jù)包進行深度檢測,防范欺騙;其五是可以實現(xiàn)業(yè)務(wù)間隔離與帶寬資源控制,保障重要業(yè)務(wù)訪問;其六是保護數(shù)據(jù)傳輸安全,防止數(shù)據(jù)被竊聽和篡改;同時,還必須具有高可靠性的安全設(shè)備來防止由于高并發(fā)訪問量、系統(tǒng)故障等突發(fā)情況而帶來的訪問不便。此外,由于邊界是數(shù)據(jù)中心正常運行的重要節(jié)點,部署安全產(chǎn)品必須具有便于管理的特點,這就要求設(shè)備能夠適應(yīng)不同的網(wǎng)絡(luò)環(huán)境,配置盡量簡單方便,特征庫能夠自動升級,可以提供豐富的訪問審計功能,能夠?qū)α髁窟M行有效監(jiān)控,能夠提供豐富的攻擊統(tǒng)計,使數(shù)據(jù)中心系統(tǒng)管理員能夠充分掌握數(shù)據(jù)中心的安全態(tài)勢,為不斷地優(yōu)化安全策略提供依據(jù)。因此我們建議采用綜合的安全網(wǎng)關(guān)作為數(shù)據(jù)中心邊界接入和隔離,為其提供用戶安全接入、抗攻擊、入侵檢測、防病毒、高性能VPN、帶寬管理等綜合安全解決方案,避免了采用多廠家多型號的安全產(chǎn)品而帶來的管理和維護上的安全風(fēng)險。 以下為數(shù)據(jù)中心安全解決方案: 在省、市、區(qū)/縣數(shù)據(jù)中心邊界,我們采用MSG4000綜合安全網(wǎng)關(guān)作為外部移動用戶、遠(yuǎn)程管理以及第三方平臺等用戶和平臺的接入。MSG4000作為一款綜合安全產(chǎn)品,可根據(jù)用戶需求提供從100M到10G不同性能需求,省、市、區(qū)/縣數(shù)據(jù)中心可根據(jù)實際需要選用不同性能層次的MSG4000;同時MSG4000在功能上可為客戶提供安全防護、病毒過濾、入侵檢測、應(yīng)用識別、流量管理、WEB訪問控制、上網(wǎng)行為管理以及IPSEC/SSL VPN等功能,滿足客戶整個安全防護的需求,從而避免了由于設(shè)備數(shù)量、種類較多帶來的維護和管理上的不安全因素。 第四章 方案的新技術(shù)特點 4.1量身定制的數(shù)據(jù)中心網(wǎng)絡(luò)平臺 4.1.1最先進的萬兆以太網(wǎng)技術(shù) Extreme公司作為以太網(wǎng)技術(shù)的先驅(qū),一直致力于生產(chǎn)嚴(yán)格遵循業(yè)界標(biāo)準(zhǔn)的以及可與其他廠商兼容的產(chǎn)品,Extreme Networks是由100家國際知名網(wǎng)絡(luò)公司組成的千兆以太網(wǎng)聯(lián)盟和萬兆以太網(wǎng)聯(lián)盟的領(lǐng)導(dǎo)者。Extreme交換機的10GB以太網(wǎng)模塊在世界上第一個實現(xiàn)單跳網(wǎng)絡(luò)傳輸1 TB數(shù)據(jù)流量。Extreme公司一直走在10GB以太網(wǎng)交換技術(shù)開發(fā)的前沿,公司的發(fā)起人及首席技術(shù)官Steve Haddock現(xiàn)任IEEE 802.3ae任務(wù)小組副主席,該小組已經(jīng)為10-GB以太網(wǎng)開發(fā)了行業(yè)標(biāo)準(zhǔn)。Extreme Networks的Tony Lee自2000年3月起,在兩年任期內(nèi)擔(dān)任萬兆以太網(wǎng)聯(lián)盟主席,另一名Extreme Networks技術(shù)專家Ameet Dhillon目前則擔(dān)任萬兆以太網(wǎng)聯(lián)盟理事。Extreme交換機的擴充能力和高端交換性能標(biāo)志著基于標(biāo)準(zhǔn)的高性能以太網(wǎng)技術(shù)的重大進步。 萬兆以太網(wǎng)市場的全球市場占有率: Extreme在萬兆網(wǎng)絡(luò)應(yīng)用從初期就一直保持著市場領(lǐng)先地位 4.1.2硬件全線速處理技術(shù) 網(wǎng)絡(luò)業(yè)務(wù)的不斷增多,各種應(yīng)用的流行,對網(wǎng)絡(luò)也提出了新的要求,傳統(tǒng)的以太網(wǎng)交換機由于基于共享的設(shè)計理念,對于音頻、視頻以及數(shù)據(jù)的各種業(yè)務(wù)的傳輸是無法識別區(qū)分的,對于多媒體業(yè)務(wù)的開展需要更智能的設(shè)備來支撐。高速的網(wǎng)絡(luò)數(shù)據(jù)傳輸應(yīng)用已經(jīng)不是一個高級網(wǎng)絡(luò)唯一的重要指標(biāo)。網(wǎng)絡(luò)的發(fā)展方向是支持線速無阻塞地傳輸各種多媒體等高級應(yīng)用,在開啟各種網(wǎng)絡(luò)應(yīng)用和功能的情況下,保證網(wǎng)絡(luò)暢通。這也是Extreme公司的強大技術(shù)優(yōu)勢所在。 Extreme的智能網(wǎng)方案采用先進的組播技術(shù)和Qos保證機制,實現(xiàn)全線速的高質(zhì)量的業(yè)務(wù)運行。核心設(shè)備的大密度的高速端口使得網(wǎng)絡(luò)設(shè)備具有大容量的交換處理能力,以避免擁塞和延遲。Extreme采用無阻塞交換結(jié)構(gòu),基于先進路由交換機制,能夠提供線速處理能力。以此為基礎(chǔ),通過合理的網(wǎng)絡(luò)設(shè)計實現(xiàn)高性能的網(wǎng)絡(luò)。 Extreme的全線三層產(chǎn)品交換產(chǎn)品均可實現(xiàn)滿載情況下的二層線速幀交換和三層線速包轉(zhuǎn)發(fā)。應(yīng)該強調(diào)的是,實際運行的網(wǎng)絡(luò)需要配置很多控制功能,如 QoS處理、ACL、策略路由等,此時需要交換機耗費更多的資源以實現(xiàn)相應(yīng)的網(wǎng)絡(luò)控制處理功能。Extreme產(chǎn)品能夠保證性能和功能的一致實現(xiàn),即在打開諸多控制處理功能的前提下,依然保證數(shù)據(jù)包的真正線速處理和轉(zhuǎn)發(fā)。 Extreme的共享內(nèi)存式的交換背板結(jié)構(gòu)大大提高了組播轉(zhuǎn)發(fā)的效率,節(jié)省了交換矩陣的帶寬。其他網(wǎng)絡(luò)廠家的交換機支持的組播、ACL、Qos等都是基于軟件技術(shù)和CPU運算的,由于占用大量處理器和內(nèi)存資源,經(jīng)常會導(dǎo)致丟失數(shù)據(jù)包,在性能上能上都達(dá)不到無丟包的限速傳輸,不得不以添加昂貴的內(nèi)存條為代價。 Extreme主推的真正的線速網(wǎng)絡(luò)是性能和功能的全面線速,包括線速路由、線速ACL、線速Q(mào)os、線速組播,Extreme的網(wǎng)絡(luò)設(shè)備的Qos、組播、ACL都是通過專門的集成芯片來完成,不占運行用系統(tǒng)資源,這也是目前業(yè)界唯一能夠同時實現(xiàn)四種線速的全線速核心交換設(shè)備。國防大學(xué)在新網(wǎng)絡(luò)未來要承載各種多媒體為基礎(chǔ)的新應(yīng)用,影像方面需要應(yīng)用到組播、Qos技術(shù)都會在本方案的設(shè)計中得到卓越的性能表現(xiàn),優(yōu)異的全線速網(wǎng)絡(luò)設(shè)計能夠為科研和業(yè)務(wù)的效率提高作出巨大的貢獻(xiàn)。 組播結(jié)構(gòu) 傳統(tǒng)的組播結(jié)構(gòu) 可以看到在傳統(tǒng)組播結(jié)構(gòu)上,要實現(xiàn)組播組的發(fā)送需要組播發(fā)送端通過傳統(tǒng)的交換矩陣多次發(fā)送,這樣造成了組播數(shù)據(jù)在整個轉(zhuǎn)發(fā)過程中速度慢,同時對端口帶寬占用資源過大、占用時間過長,容易造成端口擁塞。 4.1.3 Extreme Direct Attach技術(shù) 今天的虛擬機管理程序利用一個內(nèi)部的“虛擬交換機”為在一個服務(wù)器內(nèi)部的虛擬機(VM)之間以及它們與外部網(wǎng)路之間提供網(wǎng)絡(luò)連接。這個虛擬交換機給數(shù)據(jù)中心網(wǎng)絡(luò)增加了第四個層級。 今天的許多刀片服務(wù)器利用一個內(nèi)部的“刀片交換機”來匯聚刀片服務(wù)器機箱內(nèi)的每個物理服務(wù)器的數(shù)據(jù)流量。這些交換機給網(wǎng)絡(luò)增加了第五個層級。 虛擬交換機和刀片交換機的組合把交換層級從3層提高到5五層,顯著提高了網(wǎng)絡(luò)延遲并增加了數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)元素,這也增加了數(shù)據(jù)中心管理的復(fù)雜性。 Extreme Networks的Direct Attached技術(shù)消除了虛擬交換機層,簡化網(wǎng)絡(luò)并提高網(wǎng)絡(luò)性能。Extreme Networks的BlackDiamond8800交換機中的8900系列交換模塊通過利用高密度板卡和布線系統(tǒng),消除刀片交換機并使數(shù)據(jù)中心得到簡化,從而使數(shù)據(jù)中心的層級數(shù)量從5層簡化為3層。 今天的數(shù)據(jù)中心網(wǎng)絡(luò)可以通過結(jié)構(gòu)化分“層”定義。通常情況下,有一個“網(wǎng)絡(luò)核心”,它是所有數(shù)據(jù)中心設(shè)備的中心連接點。這是數(shù)據(jù)中心網(wǎng)絡(luò)的“第一層級”。這個核心可能是一個交換機,或者更通常是由冗余交換機組成的集群來連接所有設(shè)備:網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器。而網(wǎng)絡(luò)的“第二層級”是匯聚交換機,它連接接入交換機和核心。這層常用于大型數(shù)據(jù)中心,一般沒有必要用在中型數(shù)據(jù)中心?!暗谌龑蛹墶钡慕粨Q機,通常被稱為接入層交換機,它直接連接服務(wù)器。這些接入交換機通常被稱為“架頂式交換機”或“行末式交換機”。 這種無論是兩個或三個層級的模式是已經(jīng)被多年使用,且廣為熟悉的。 目前數(shù)據(jù)中心有兩個重要的趨勢,它們正在改變數(shù)據(jù)中心網(wǎng)絡(luò)的實現(xiàn)方式,一個在物理方面,而另一個在虛擬化方面。這些趨勢給數(shù)據(jù)中心網(wǎng)絡(luò)增加了額外的層級。 趨勢一:虛擬化 在過去幾年的數(shù)據(jù)中心最重要的發(fā)展趨勢是虛擬化的應(yīng)用。虛擬化是一種技術(shù),使一臺物理服務(wù)器允許安裝多個虛擬服務(wù)器/虛擬機。這樣可以提高服務(wù)器利用率和有助于服務(wù)器的整合,對于災(zāi)難恢復(fù)和容量管理等有諸多好處。虛擬化在企業(yè)數(shù)據(jù)中心和主機托管數(shù)據(jù)中心中非常流行。而由于高性能計算集群或大型互聯(lián)網(wǎng)消費網(wǎng)站的自身性質(zhì),虛擬化不太可能應(yīng)用在這些領(lǐng)域。 虛擬交換機 虛擬化引入了“虛擬交換機”的概念。 在非虛擬化數(shù)據(jù)中心,每個服務(wù)器運行一個操作系統(tǒng),該操作系統(tǒng)管理的物理網(wǎng)絡(luò)連接到與其它用戶和服務(wù)器。在虛擬化環(huán)境中,有多個虛擬機運行在物理服務(wù)器上。這些虛擬機必須共享一個物理網(wǎng)絡(luò)連接,并且需要互相通信。這給虛擬交換機或“vSwitch的”概念帶來了用武之地。虛擬交換機是一個運行在服務(wù)器上的模擬2層網(wǎng)絡(luò)設(shè)備的軟件。虛擬交換機的功能是使一個服務(wù)器內(nèi)的虛擬機可以互相通訊并且可以與外界通訊。虛擬交換機仿造了二/三層交換機的一部分功能以實現(xiàn)上述通訊功能。虛擬機運行在虛擬化管理軟件中,所以它不是通用的。目前VMware、Microsoft和Citrix在自己的虛擬化管理軟件中都含有虛擬交換機。另外其它一些網(wǎng)絡(luò)廠商也推出了額外收費的虛擬交換機,例如Cisco的Nexus 1000。 一個需要注意的關(guān)鍵點是每個物理服務(wù)器都需要一個虛擬交換機。例如一個有40臺服務(wù)器的機柜需要40個虛擬交換機,一個有16個刀片的刀片服務(wù)器需要16個虛擬交換機。網(wǎng)絡(luò)中虛擬交換機的數(shù)量與網(wǎng)絡(luò)中運行虛擬化的服務(wù)器的數(shù)量是一一對應(yīng)的。這些虛擬機每一臺都需要管理和配置。 虛擬交換機的優(yōu)點: 虛擬交換機是由虛擬化管理軟件廠商發(fā)明的,用于虛擬機與網(wǎng)絡(luò)間進行通訊。直到現(xiàn)在,虛擬交換機還是虛擬機之間,虛擬機與其它服務(wù)器和用戶之間通訊的唯一手段。 虛擬交換機帶來的問題: 安全性:虛擬交換機的主要功能是滿足同一服務(wù)器內(nèi)部的虛擬機之間的通訊。因為虛擬交換機存在于服務(wù)器內(nèi)部,虛擬機和虛擬機之間的數(shù)據(jù)流量對于外界網(wǎng)絡(luò)是不可見的。這樣一些由非法虛擬機引發(fā)的安全問題很難被發(fā)現(xiàn)。 網(wǎng)絡(luò)與系統(tǒng)管理軟件的可見性:同樣由于虛擬機和虛擬機之間的數(shù)據(jù)流量對于外界網(wǎng)絡(luò)是不可見的,對于虛擬機和虛擬機之間的流量的管理和監(jiān)控非常困難。傳統(tǒng)的基于端口鏡像的網(wǎng)絡(luò)工具無法在這樣的環(huán)境中使用。 性能的不可預(yù)見性:虛擬交換機使用軟件而非線速的交換機硬件來進行數(shù)據(jù)的轉(zhuǎn)發(fā)。虛擬交換機的轉(zhuǎn)發(fā)性能,以至于服務(wù)器的網(wǎng)絡(luò)性能都取決于CPU的可用資源,而該資源又取決于虛擬機上的應(yīng)用程序。這與服務(wù)器的優(yōu)化是矛盾的:當(dāng)服務(wù)器通過虛擬化增加利用率時,服務(wù)器的網(wǎng)絡(luò)性能實際會下降,這與使用虛擬化優(yōu)化服務(wù)器的設(shè)想是相違背的。 額外的網(wǎng)絡(luò)層級:虛擬交換機為傳統(tǒng)的網(wǎng)絡(luò)增加了第四個層級。這樣增加了網(wǎng)絡(luò)的跳數(shù)從而增加了端到端的網(wǎng)絡(luò)延遲。 虛擬交換機與服務(wù)器一一對應(yīng)引起的擴展性問題:每個服務(wù)器都需要一個虛擬交換機,整個數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備數(shù)量大大增加。一個有40個服務(wù)器的機柜需要40個虛擬交換機,而只要一臺網(wǎng)絡(luò)交換機。這樣大大增加了數(shù)據(jù)中心內(nèi)需要管理和配置的網(wǎng)絡(luò)元素,增加了數(shù)據(jù)中心的運維成本。 管理的復(fù)雜性:每一個虛擬化管理軟件廠家都有一個和自己軟件配合的虛擬交換機。在一個使用多種虛擬化軟件的數(shù)據(jù)中心,需要對多種虛擬機管理進行人員培訓(xùn)和制定管理流程,增加了數(shù)據(jù)中心管理成本。 問責(zé)的沖突:到底由哪個部門來管理虛擬交換機呢?是因為虛擬交換機運行在服務(wù)器內(nèi)部而由服務(wù)器部門負(fù)責(zé)呢?還是因為它是網(wǎng)絡(luò)元素而由網(wǎng)絡(luò)部門負(fù)責(zé)呢?這些問題會帶來潛在的沖突,增加管理和實施解決方案的復(fù)雜度。 趨勢二:刀片服務(wù)器 刀片服務(wù)器為機架內(nèi)容納高密度服務(wù)器提供了解決方案。一個刀片服務(wù)器機箱可以容納16個服務(wù)器,一個標(biāo)準(zhǔn)機柜可以容納3個或4個刀片服務(wù)器機箱。這樣一個機柜可以容納48或64個高密度服務(wù)器,并且可以簡化管理。 刀片服務(wù)器帶來的挑戰(zhàn)是它在一個機柜內(nèi)制造了很高的布線密度,使為每臺服務(wù)器提供布線成為挑戰(zhàn)。正是這個原因,各個刀片服務(wù)器的廠商都制造一種插入刀片服務(wù)器機箱的“刀片交換機”。 刀片交換機的優(yōu)點: 刀片交換機的主要優(yōu)點是簡化了布線。刀片交換機連接所有的服務(wù)器,并上連到網(wǎng)絡(luò)的第三個層級。如果沒有刀片交換機,每個服務(wù)器需要一個以太網(wǎng)連接到第三級網(wǎng)絡(luò),這樣每個刀片服務(wù)器機箱就需要16根跳線。有了刀片交換機跳線數(shù)量減少為1到8根。 刀片交換機的問題: 刀片交換機給網(wǎng)絡(luò)帶來高復(fù)用比,這樣可能造成網(wǎng)絡(luò)擁塞并限制服務(wù)器的性能。一個典型的刀片交換機包含24個以上的端口或連接。其中16個端口用來連接服務(wù)器,另外8個端口用來連接接入層網(wǎng)絡(luò)設(shè)備。這樣造成2:1復(fù)用,使網(wǎng)絡(luò)最高性能減少50%。 從物理網(wǎng)絡(luò)的角度看,刀片交換機給網(wǎng)絡(luò)增加了“第五層級”。如我們前面討論的,每個網(wǎng)絡(luò)層級都因為轉(zhuǎn)發(fā)時延帶來端到端的延遲。這個額外的層級增加了網(wǎng)絡(luò)元素的數(shù)量,從而增加了成本,包括刀片交換機本身的成本和配置管理刀片交換機的時間成本。 因為刀片交換機是一個根據(jù)刀片服務(wù)器機箱定做的產(chǎn)品,它與數(shù)據(jù)中心匯聚和接入層級的獨立交換機相比通常具有不同的功能和管理結(jié)構(gòu)。這帶來的管理的復(fù)雜性,因為網(wǎng)絡(luò)管理員需要學(xué)習(xí)和管理不同的交換機系統(tǒng)和管理軟件。 刀片交換機同樣帶來組織管理上的問題。它是應(yīng)該由管理核心/匯聚/接入交換機的網(wǎng)絡(luò)部門管理?還是因為它在服務(wù)器內(nèi)部而由服務(wù)器部門管理?這個職責(zé)的混淆會在配置不兼容以及涉及多個部門在數(shù)據(jù)中心排錯時帶來問題。 虛擬化和刀片服務(wù)器趨勢的疊加效果是把網(wǎng)絡(luò)層級從3層增加到5層。當(dāng)虛擬交換機引入時增加了1層,刀片交換機引入時又增加了1層。 由于顯著地增加了網(wǎng)絡(luò)復(fù)用比以及端到端的延時,5層網(wǎng)絡(luò)的性能低于3層網(wǎng)絡(luò)。另外這樣還需要更多電力和冷卻能力并大大增加管理成本。 Direct Attach減少網(wǎng)絡(luò)層級 什么是Extreme Networks的Direct Attach? Direct Attach是Extreme Networks實現(xiàn)虛擬機在網(wǎng)絡(luò)中進行交換的技術(shù)。一些廠家通過在服務(wù)器中的虛擬交換機實現(xiàn)虛擬機數(shù)據(jù)交換。而Extreme Networks的Direct Attach技術(shù)把虛擬機之間的數(shù)據(jù)交換功能從服務(wù)器中遷移回網(wǎng)絡(luò)設(shè)備中。這樣使管理員可以在享受服務(wù)器虛擬化帶來的好處的同時利用成熟的、線速的網(wǎng)絡(luò)交換機處理虛擬機數(shù)據(jù)交換。 從本質(zhì)上講,Direct Attach允許虛擬機無需通過服務(wù)器內(nèi)的軟交換機直接連接到網(wǎng)絡(luò)。Direct Attach通過去掉虛擬交換機減少了網(wǎng)絡(luò)層級,從而節(jié)約成本,降低延時,減少網(wǎng)絡(luò)復(fù)用并且簡化了管理。最后它使管理員在無需考慮虛擬機管理軟件的情況下實施一致的網(wǎng)絡(luò)策略,保證網(wǎng)絡(luò)的安全且符合規(guī)定。 另外,高扇出的交換機模塊以及專用的布線方案可以使刀片服務(wù)器機箱中的服務(wù)器直接連接到數(shù)據(jù)中心網(wǎng)絡(luò),從而使數(shù)據(jù)中心網(wǎng)絡(luò)簡化。 Direct Attach如何工作 Direct Attach軟件包是ExtremeXOS的一個可加載模塊。它可以被安裝在基于ExtremeXOS的Extreme Networks的Summit系列堆疊交換機(包括Summit X450、Summit X480、Summit X650)和帶有8900系列模塊的BlackDiamond 8800交換機。 Direct Attach軟件把端口上的數(shù)據(jù)根據(jù)虛擬機進行分類,然后根據(jù)交換機中二/三層轉(zhuǎn)發(fā)協(xié)議進行轉(zhuǎn)發(fā)。雖然所有的數(shù)據(jù)包都從一臺物理服務(wù)器發(fā)送和接收,所有交換機策略仍然會針對每個虛擬機的數(shù)據(jù)流發(fā)生作用。 使用Direct Attach技術(shù)去掉虛擬交換機的好處 更高的可預(yù)見的性能:使用Direct Attach技術(shù)不需要服務(wù)器內(nèi)的軟件轉(zhuǎn)發(fā)數(shù)據(jù)包,所有的數(shù)據(jù)包都通過以太網(wǎng)交換機線速轉(zhuǎn)發(fā)。這樣無論服務(wù)器的負(fù)載如何,都可以保證可預(yù)見的性能。 更廣泛的網(wǎng)絡(luò)功能:當(dāng)今的以太網(wǎng)支持非常廣泛的功能,包括服務(wù)質(zhì)量、ACL安全等多年來開發(fā)的功能。使用Direct Attach技術(shù),這些功能可以針對數(shù)據(jù)中心內(nèi)的所有虛擬機生效。 管理更少的網(wǎng)絡(luò)元素:在一個有10個機柜,每個機柜有40個1U服務(wù)器的數(shù)據(jù)中心,使用Direct Attach技術(shù)只需要第三級的10個網(wǎng)絡(luò)元素而不需要第四級的網(wǎng)絡(luò)元素。如果不使用Direct Attach技術(shù),需要管理410個網(wǎng)絡(luò)元素,除了第三級的10的10個還有第四級的400個網(wǎng)絡(luò)元素!在這個實例中,減少了98%的需要管理、配置和維護的網(wǎng)絡(luò)元素。 增強的安全性:在使用虛擬交換機的情況下,虛擬機之間的數(shù)據(jù)流量永遠(yuǎn)不會流出服務(wù)器。這樣很難部署交換機的安全功能,例如ACL和在線的安全檢測設(shè)備。使用Direct Attach技術(shù),所有虛擬機和虛擬機之間的通信對交換機而言都是可見的,可以被安全策略如ACL、端口鏡像等進行處理。 易于管理:Direct Attach技術(shù)使數(shù)據(jù)中心內(nèi)的所有數(shù)據(jù)交換機的管理回歸到網(wǎng)絡(luò)管理員手中,消除了與服務(wù)器團隊的潛在沖突。 不同虛擬化管理軟件環(huán)境下的輕松管理:Direct Attach技術(shù)不依賴于虛擬化管理軟件,可以兼容絕大多數(shù)虛擬化管理軟件。這樣它可以在混合有多廠家虛擬化系統(tǒng)的數(shù)據(jù)中心良好工作。 交換機與布線系統(tǒng)設(shè)計 除了可以通過Direct Attach技術(shù)去掉虛擬交換機,這個Extreme Networks的解決方案還有另外的好處。BlackDiamond 8800交換機通過MRJ21技術(shù)提供高密度千兆接口解決方案。MRJ21技術(shù)把6個全帶寬的千兆接口集成到1根線纜中。使用這種技術(shù)制造的96口千兆模塊使1個機箱可以容納768個千兆接口,使刀片服務(wù)器可以輕松接入8800交換機。 Direct Attach布線系統(tǒng)可以把刀片服務(wù)器機箱內(nèi)的所有服務(wù)器直接連接到模塊化交換機的端口,而無需使用刀片交換機。一個有4個刀片服務(wù)器機箱,每個刀片服務(wù)器機箱有16個服務(wù)器的機柜內(nèi)的所有服務(wù)器都可以直接連接到1個BlackDiamond 8800交換機的8900系列模塊上。 這個高密度端口和高密度布線解決方案消除了使用刀片交換機的需求,從而消除了這個層級的網(wǎng)絡(luò)設(shè)備。 結(jié)論: Extreme Networks的Direct Attach技術(shù)和高扇出的服務(wù)器模塊可以被一起使用,也可以被單獨使用。如果一起使用您可以去掉虛擬交換機和刀片交換機,從而使網(wǎng)絡(luò)層級從5層減少到3層,進而建立一個更易于擴展、易于管理和降低成本的網(wǎng)絡(luò)架構(gòu)。 減少網(wǎng)絡(luò)層級的好處 l 更低的復(fù)用提高網(wǎng)絡(luò)性能使之更可預(yù)測 l 更少層級意味著更低延遲 l 更少的擁塞點意味著更可預(yù)測的性能 l 更少的網(wǎng)絡(luò)元素意味著更少的故障點 l 更少的網(wǎng)絡(luò)元素意味著更少的電力消耗 l 更少的交換機意味著更低的總體擁有成本- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
15 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該PPT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 數(shù)據(jù)中心 建設(shè) 方案
鏈接地址:http://www.hcyjhs8.com/p-9537555.html