数据中心网络及安全方案规划与设计
1.1. 数据中心网络建设目标
XX数据中心未来将XX集团承载所有生产环境系统。

数据中心网络作为业务网络的一个重要组成部分，为核心业务系统服务器和存储设备提供安全可靠的接入平台。

网络建设应达成以下目标：
高可用――网络作为数据中心的基础设施，网络的高可用直接影响到业务系统的可用性。

网络层的高可用至少包括高可靠、高安全和先进性三个方面：
◆高可靠：应采用高可靠的产品和技术，充分考虑系统
的应变能力、容错能力和纠错能力，确保整个网络基
础设施运行稳定、可靠。

当今，关键业务应用的可用
性与性能要求比任何时候都更为重要。

◆高安全：网络基础设计的安全性，涉及到XX业务的
核心数据安全。

应按照端到端访问安全、网络L2-L7
层安全两个维度对安全体系进行设计规划，从局部安
全、全局安全到智能安全，将安全理念渗透到整个数
据中心网络中。

先进性：数据中心将长期支撑XX集团的业务发展，而网络又是数据中心的基础支撑平台，因此数据中心
网络的建设需要考虑后续的机会成本，采用主流的、
先进的技术和产品（如数据中心级设备、CEE、FCoE、虚拟化支持等），保证基础支撑平台5～10年内不会被
淘汰，从而实现投资的保护。

易扩展――XX集团的业务目前已向多元化发展，未来的业务范围会更多更广，业务系统频繁调整与扩展再所难免，因此数据中心网络平台必须能够适应业务系统的频繁调整，同时在性能上应至少能够满足未来5～10年的业务发展。

对于网络设备的选择和协议的部署，应遵循业界标准，保证良好的互通性和互操作性，支持业务的快速部署。

易管理――数据中心是IT技术最为密集的地方，数据中心的设备繁多，各种协议和应用部署越来越复杂，对运维人员的要求也越来越高，单独依赖运维人员个人的技术能力和
业务能力是无法保证业务运行的持续性的。

因此数据中心需要提供完善的运维管理平台，对数据中心IT资源进行全局掌控，减少日常的运维的人为故障。

同时一旦出现故障，能够借助工具直观、快速定位。

1.2. 总体设计思路及原则
数据中心为XX集团业务网络、日常办公与外联单位提供数据访问、OA和视频等服务，以及各业务的安全隔离控制。

数据中心并不是孤立存在的，而是与大连中心、网络汇聚中心外联单位网络等网络区域相辅相成，数据中心基础网络是业务数据的传输通道，将数据的计算和数据存储有机的结合在一起。

为保证数据中心网络的高可用、易扩展、易管理，数据中心网络架构需按照结构化、模块化和扁平化的原则设计：
结构化
结构化的网络设计便于上层协议的部署和网络的管理，提
高网络的收敛速度，实现高可靠。

数据中心网络结构化设计体现在适当的冗余性和网络的对称性两个方面。

如下图所示：
冗余的引入可以消除设备和链路的单点故障，但是过度的冗余同样会使网络过于复杂，不便于运行和维护，因此一般采用双节点双归属的架构设计网络结构的对称，可以使得网络设备的配置简化、拓扑直观，有助于协议设计分析。

在数据中心网络设计时，由于引入了冗余和对称的设计，这必将引入网络的环路，可通过如下建设思路消除环路影响：
1．启用STP和VRRP协议
传统解决方案，标准的协议，设备要求较低。

但此种部署
方案网络的协议部署复杂，收敛慢，链路带宽利用率低，运维管理工作量大。

本方案设计不采用此方法。

2．IRF网络设备N:1虚拟化技术
通过H3C IRF技术对同一层面的设备进行横向整合，将两台或多台设备虚拟为一台设务，统一转发、统一管理，并实现跨设备的链路捆绑。

因此不会引入环路，无需部署STP 和VRRP等协议，简化网络协议的部署，大大缩短设备和链路收敛时间（毫秒级），链路负载分担方式工作，利用率大大提升。

在本方案的设计中，将采用端到端的IRF部署，满足网络高可靠的同时，简化网络运维管理。

模块化
构建数据中心基础网络时，应采用模块化的设计方法，将数据中心划分为不同的功能区域，用于实现不同的功能或部署不同的应用，使得整个数据中心的架构具备可伸缩性、灵活性、和高可用性。

数据中心中的服务器将会根据服务器上的应用的用户访问特性和应用的功能不同部署在不同的区域中。

如下图所示：
数据中心网络分为网络接入区、数据中心核心交换区和服务器接入区三大功能区域，其中网络接入区和服务器接入区依据服务类型的不同，可进行子区的细分，详细参见“业务分区”章节的描述。

数据中心核心区用于承接各区域之间的数据交换，是整个数据中心的核心枢纽，因此核心交换机设备应选用可靠性高的数据中心级设备部署。

在进行模块化设计时，尽量做到各模块之间松耦合，这样可以很好的保证数据中心的业务扩展性，扩展新的业务系统或模块时不需要对核心或其它模块进行改动。

同时模块化设计也可以很好的分散风险，在某一模块（除核心区外）出现故障时不会影响到其它模块，将数据中心的故障影响降到最小。

扁平化
数据中心的网络架构依据接入密度和分为三层架构和二层架构，如下图所示：
传统的数据中心网络通常采用三层架构进行组网，三层架构可以保证网络具备很好的扩展性，同一个分区内服务器接入密度高。

但三层架构网络设备较多，不便于网络管理，运维工作量大。

同时组网成本相对较高。

随着网络交换技术的不断发展，交换机的端口接入密度也越来越高，二层组网的扩展性和密度已经能够很好的满足企业数据中心服务器接入的要求。

同时在服务器虚拟化技术应用越来越广泛的趋势下，二层架构更容易实现VLAN的大二层互通，满足虚拟机的部署和迁移。

相比三层架构，二层架构可以大大简化网络的运维与管理。

综合上述因素，数据中心的网络设计采用二层扁平化架构，满足扩展性的同时，实现易管理。

1.3. 业务分区
按照3.2章节中的“模块化”设计原则，需要对业务系统进行分区。

从技术看，业务分区需要遵循以下原则： 分区优先考虑访问控制的安全性，单个应用访问尽量
在一个区域内部完成，单个区域故障仅影响一类应用，尽量减少区域间的业务耦合度；
◆区域总数量的限制：但区域多则运维管理的复杂度和
设备投资增加，区域总数量有运维上限不超过20个；
◆单个区域内服务器数量的限制：受机房空间、二层域
大小、接入设备容量限制，单个区域内服务器数量有
限（通常不超过200台）。

◆接入层设备利用率的限制：受机房布局的影响，如果
每个机房都要部署多个安全区的接入交换机，会导致
接入交换机资源浪费，端口利用率低，因此安全区的
数量不宜过多。

◆防火墙性能的限制: 区域之间的流量如果超过10G，则
需要考虑通过防火墙横向扩容，或区域调整的方式分
担流量。

在实际的数据中心分区设计中，通常有以下三种分区方法：
1.按照业务功能进行分区：根据业务系统的功能（如生
产、OA、支撑等）或业务的实时性（实时业务、非实
时业务）或者业务系统的功能（如ERP、营销、财务
等）进行分区划分，此分区方法适合大多数企业数据
中心；
2.按照安全等保级别进行分区：按照业务系统的安全等
级定义进行划分，如“三级系统独立成域，二级系统
统一成域”，此分区方法适合政府、电力等行业数据中
心；
3.按照服务器类型进行分区：一般分为WEB服务器区、
APP/中间件服务器区、DB服务器区。

此分区适合互联
网企业等数据中心。

按照需求调研时了解的XX集团业务系统分布情况，结合业务系统的用户类型，数据中心的分区设计按照业务功能进行分区。

分区设计如下：
各区域业务系统部署描述如下：
办公局域网区：XX数据中心大楼办公网络，包括终端、楼层接入与汇聚。

广域网接入区：与网络汇聚中心广域网络互连，网络出口。

外联网接入应用区：与合作单位的专线互连，此区域也包括合作单位的业务前置机服务器。

互联网接入应用区：互联网出口，此区域也包括集团网站群WEB服务器、集团邮件系统、DNS服务器等。

百货应用区：此区域部署与百货相关的应用服务器，包括百货促销、MIS、BI等应用系统。

KTV应用区：此区域部署与KTV相关的应用服务器，包括
FTP、管控、WEB、DB等应用系统。

院线应用区：此区域部署与院线相关的应用服务器，包括火凤凰、会员等应用系统。

OA应用区：此区域部署集团内部的OA应用服务器，包括OA、RTX、泛微、图档、视频会议、文件、网络教学、网上招投标等应用系统。

ERP/财务应用区：部署集团内部的ERP和财务应用服务器。

其它应用区：部署商管、地产、酒店等应用服务器。

开发测试区：此区域用于集团内部信息系统的开发与测试，或新系统上线前的测试部署。

灾备接入应用区：此区域与大连中心互联，实现数据级的异地灾备。

同时此区域可以部署一些本地的重要系统备份应用。

支撑管理区：此区域部署数据中心网络、安全、服务器、存储等IT资源的运维管理系统，此外包括集团内部的域管理和身份认证服务器。

数据中心核心区：此区域用于实现各分区之间的数据交互，。