數據中心網絡建設目標

 XX數據中心未來將XX集團承載所有生產環境系統。數據中心網絡作為業務網絡的一個重要組成部分，為核心業務系統服務器和存儲設備提供安全可靠的接入平臺。網絡建設應達成以下目標：

高可用：網絡作為數據中心的基礎設施，網絡的高可用直接影響到業務系統的可用性。網絡層的高可用至少包括高可靠、高安全和先進性三個方面：

 高可靠：應采用高可靠的產品和技術，充分考慮系統的應變能力、容錯能力和糾錯能力，確保整個網絡基礎設施運行穩定、可靠。當今，關鍵業務應用的可用性與性能要求比任何時候都更為重要。

高安全：網絡基礎設計的安全性，涉及到XX業務的核心數據安全。應按照端到端訪問安全、網絡L2-L7層安全兩個維度對安全體系進行設計規劃，從局部安全、全局安全到智能安全，將安全理念滲透到整個數據中心網絡中。

先進性：數據中心將長期支撐XX集團的業務發展，而網絡又是數據中心的基礎支撐平臺，因此數據中心網絡的建設需要考慮后續的機會成本，采用主流的、先進的技術和產品（如數據中心級設備、CEE、FCoE、虛擬化支持等），保證基礎支撐平臺5～10年內不會被淘汰，從而實現投資的保護。

易擴展――XX集團的業務目前已向多元化發展，未來的業務范圍會更多更廣，業務系統頻繁調整與擴展再所難免，因此數據中心網絡平臺必須能夠適應業務系統的頻繁調整，同時在性能上應至少能夠滿足未來5～10年的業務發展。對于網絡設備的選擇和協議的部署，應遵循業界標準，保證良好的互通性和互操作性，支持業務的快速部署。

易管理――數據中心是IT技術最為密集的地方，數據中心的設備繁多，各種協議和應用部署越來越復雜，對運維人員的要求也越來越高，單獨依賴運維人員個人的技術能力和業務能力是無法保證業務運行的持續性的。因此數據中心需要提供完善的運維管理平臺，對數據中心IT資源進行全局掌控，減少日常的運維的人為故障。同時一旦出現故障，能夠借助工具直觀、快速定位。

總體設計思路及原則

數據中心為XX集團業務網絡、日常辦公與外聯單位提供數據訪問、OA和視頻等服務，以及各業務的安全隔離控制。數據中心并不是孤立存在的，而是與大連中心、網絡匯聚中心外聯單位網絡等網絡區域相輔相成，數據中心基礎網絡是業務數據的傳輸通道，將數據的計算和數據存儲有機的結合在一起。為保證數據中心網絡的高可用、易擴展、易管理，數據中心網絡架構需按照結構化、模塊化和扁平化的原則設計：

結構化

結構化的網絡設計便于上層協議的部署和網絡的管理，提高網絡的收斂速度，實現高可靠。數據中心網絡結構化設計體現在適當的冗余性和網絡的對稱性兩個方面。

 冗余的引入可以消除設備和鏈路的單點故障，但是過度的冗余同樣會使網絡過于復雜，不便于運行和維護，因此一般采用雙節點雙歸屬的架構設計網絡結構的對稱，可以使得網絡設備的配置簡化、拓撲直觀，有助于協議設計分析。

模塊化

構建數據中心基礎網絡時，應采用模塊化的設計方法，將數據中心劃分為不同的功能區域，用于實現不同的功能或部署不同的應用，使得整個數據中心的架構具備可伸縮性、靈活性、和高可用性。數據中心中的服務器將會根據服務器上的應用的用戶訪問特性和應用的功能不同部署在不同的區域中。

數據中心網絡分為網絡接入區、數據中心核心交換區和服務器接入區三大功能區域，其中網絡接入區和服務器接入區依據服務類型的不同，可進行子區的細分，詳細參見“業務分區”章節的描述。

數據中心核心區用于承接各區域之間的數據交換，是整個數據中心的核心樞紐，因此核心交換機設備應選用可靠性高的數據中心級設備部署。

在進行模塊化設計時，盡量做到各模塊之間松耦合，這樣可以很好的保證數據中心的業務擴展性，擴展新的業務系統或模塊時不需要對核心或其它模塊進行改動。同時模塊化設計也可以很好的分散風險，在某一模塊（除核心區外）出現故障時不會影響到其它模塊，將數據中心的故障影響降到最小。

 扁平化

數據中心的網絡架構依據接入密度和分為三層架構和二層架構。

傳統的數據中心網絡通常采用三層架構進行組網，三層架構可以保證網絡具備很好的擴展性，同一個分區內服務器接入密度高。但三層架構網絡設備較多，不便于網絡管理，運維工作量大。同時組網成本相對較高。

隨著網絡交換技術的不斷發展，交換機的端口接入密度也越來越高，二層組網的擴展性和密度已經能夠很好的滿足企業數據中心服務器接入的要求。同時在服務器虛擬化技術應用越來越廣泛的趨勢下，二層架構更容易實現VLAN的大二層互通，滿足虛擬機的部署和遷移。相比三層架構，二層架構可以大大簡化網絡的運維與管理。

綜合上述因素，數據中心的網絡設計采用二層扁平化架構，滿足擴展性的同時，實現易管理。

網絡拓撲

業務分區設計

需要對業務系統進行分區。從技術看，業務分區需要遵循以下原則：

分區優先考慮訪問控制的安全性，單個應用訪問盡量在一個區域內部完成，單個區域故障僅影響一類應用，盡量減少區域間的業務耦合度；

區域總數量的限制：但區域多則運維管理的復雜度和設備投資增加，區域總數量有運維上限不超過20個；

單個區域內服務器數量的限制：受機房空間、二層域大小、接入設備容量限制，單個區域內服務器數量有限（通常不超過200臺）。

接入層設備利用率的限制：受機房布局的影響，如果每個機房都要部署多個安全區的接入交換機，會導致接入交換機資源浪費，端口利用率低，因此安全區的數量不宜過多。

防火墻性能的限制: 區域之間的流量如果超過10G，則需要考慮通過防火墻橫向擴容，或區域調整的方式分擔流量。

在實際的數據中心分區設計中，通常有以下三種分區方法：

1.        按照業務功能進行分區：根據業務系統的功能（如生產、OA、支撐等）或業務的實時性（實時業務、非實時業務）或者業務系統的功能（如ERP、營銷、財務等）進行分區劃分，此分區方法適合大多數企業數據中心；

2.        按照安全等保級別進行分區：按照業務系統的安全等級定義進行劃分，如“三級系統獨立成域，二級系統統一成域”，此分區方法適合政府、電力等行業數據中心；

3.        按照服務器類型進行分區：一般分為WEB服務器區、APP/中間件服務器區、DB服務器區。此分區適合互聯網企業等數據中心。

按照需求調研時了解的XX集團業務系統分布情況，結合業務系統的用戶類型，數據中心的分區設計按照業務功能進行分區。

各區域業務系統部署描述如下：

辦公局域網區：XX數據中心大樓辦公網絡，包括終端、樓層接入與匯聚。

廣域網接入區：與網絡匯聚中心廣域網絡互連，網絡出口。

外聯網接入應用區：與合作單位的專線互連，此區域也包括合作單位的業務前置機服務器。

互聯網接入應用區：互聯網出口，此區域也包括集團網站群WEB服務器、集團郵件系統、DNS服務器等。

百貨應用區：此區域部署與百貨相關的應用服務器，包括百貨促銷、MIS、BI等應用系統。

KTV應用區：此區域部署與KTV相關的應用服務器，包括FTP、管控、WEB、DB等應用系統。

院線應用區：此區域部署與院線相關的應用服務器，包括火鳳凰、會員等應用系統。

OA應用區：此區域部署集團內部的OA應用服務器，包括OA、RTX、泛微、圖檔、視頻會議、文件、網絡教學、網上招投標等應用系統。

ERP/財務應用區：部署集團內部的ERP和財務應用服務器。

其它應用區：部署商管、地產、酒店等應用服務器。

開發測試區：此區域用于集團內部信息系統的開發與測試，或新系統上線前的測試部署。

災備接入應用區：此區域與大連中心互聯，實現數據級的異地災備。同時此區域可以部署一些本地的重要系統備份應用。

支撐管理區：此區域部署數據中心網絡、安全、服務器、存儲等IT資源的運維管理系統，此外包括集團內部的域管理和身份認證服務器。

數據中心核心區：此區域用于實現各分區之間的數據交互，是數據中心網絡平臺的核心樞紐，無服務器部署。