小型数据中心网络及机房建设方案正文目录第一章网络建设方案 51. 建设原则 52. 建设目标 63. 总体架构及建设内容7 3.1 总体架构方案7 3.2 建设方案8 3.2.1 小型数据中心机房网络建设方案8 3.3 网络可靠性设计10 3.3.1 设备级的可靠性10 3.3.2 链路级的可靠性11 3.3.3 网络级的可靠性11 3.3.4 业务可靠性12 3.4 网络安全建设13 3.4.1 总体安全策略13 3.4.2 区域边界安全要求16 3.4.3 安全管理中心要求18 3.4.4 网络与基础设施安全要求19 3.4.5 网络安全部署23 3.4.5.1防火墙23 3.4.5.2入侵防御检测24 3.4.5.3 上网行为管理24 3.4.6 交换及WLAN部署24 3.4.6.1 核心及汇聚交换机25 3.4.6.2 接入交换机25 3.4.6.3无线AP 25 3.4.6.5 无线控制器25 第二章机房建设方案27 1. 设计依据272. 建设原则283. 建设目标304. 建设内容315. 建设方案32 5.1 机房装饰装修32 5.2 机房配电系统建设35 5.2.1 机房配电系统需求分析35 5.2.2 机房配电系统设计36 5.2.3 UPS供电系统要求39 5.3 机房防雷接地建设方案41 5.3.1 雷电的表现形式41 5.3.2 雷电干扰的入侵路径41 5.3.3 机房总电源防雷（第II级）42 5.3.4 UPS前端电源防雷（第III级）42 5.3.5 重要电子设备电源防雷（精细保护）43 5.3.6 机房等电位实施原则43 5.3.7 机房接地系统实施43 5.4 机房空调及新风系统建设方案44 5.4.1 空调系统说明44 5.4.2 机房环境特点45 5.4.3 机房空调的要求45 5.4.4 空调的上下水实施47 5.4.5 机房新风系统建设48 5.5 机房消防系统建设方案49 5.6 机房动力环境监控系统建设方案50 5.6.1 动力环境监控系统需求分析50 5.6.2 配电监测系统51 5.6.3 UPS监控51 5.6.4 空调监控52 5.6.5 漏水监测525.6.6 温湿度监控52 5.6.7 消防检测子系统53 5.6.8 报警方式53 5.6.9 实施原则53 5.7 综合布线规划54第一章网络建设方案1.建设原则本工程根据国家、地方相关法规、技术标准规范的要求，结合实际情况，秉着积极借鉴国内外先进经验和技术，安全可靠、节俭实用、易于扩展和便于管理维护的原则进行。

本次建设遵循的原则如下：1）“先进性”原则，采用当今国内、国际上成熟和先进的计算机高速网络技术，采用有关的国际标准、国家标准、主流的行业标准和规范，符合信息网络技术的发展方向，使新建立的核心网络系统能够最大限度地适应今后可预见技术的发展变化和园区业务发展的需要。

性能上应能适应现在日新月异发展的网络应用，特别是对数据、多媒体等多元信息传输的适应能力等，从而使网络平台在较长时间内不落后。

2）“可靠性”原则，运行可靠是计算机网络系统建设的一个先决条件，各种服务器和计算机系统应具有长期的重负荷稳定运行和相对较强的抗干扰能力，必须采用多方面的措施，如尽量采用成熟而通用的技术和产品、在系统设计和软硬件选配中尽量简化及优化、对系统关键部分做适当的冗余考虑等，使系统具有良好的可靠性。

3）“安全性”原则，计算机网络系统必须按照多重保护、多层次实现、多个安全单元以及动态发展等安全性策略，在服务器平台方案和部署设计上，应体现较为完善的网内安全隔离和网间互联安全保护等原则，在设备及软件的选型配置上，应对其所具备的安全技术和保护能力等加以充分考虑，形成安全系统机制，并提供有效的备份应急措施，为进行严格的信息安全管理提供技术基础和手段。

4）“实用性”原则，在网络系统的设计和建设过程中，要尽量采取成熟的、有成功先例的技术，合理选用系统设备和系统软件，优化系统性能价格比，精心设计、科学施工，避免采用过高和华而不实的技术、设备和软件，避免失误，避免重复劳动，求的资金投入的最大效益。

5）“开放性”原则，网络系统设计过程中，要坚持标准化和开放的原则，采用广为流行的国家标准和国际标准，使不同生产厂商的硬件、软件产品能融为一体，为信息系统开发提供良好的开发平台。

6）“扩展性”原则，随着园区信息化的不断发展，园区网络信息系统及应用的规模和水平将会不断发展变化，这就要求计算机网络系统能够适应这些发展变化。

另一方面，计算机网络和通信技术发展迅速，新的技术不断涌现，新的需求不断增加。

因此，建成的计算机网络系统应具备良好的可升级性、可扩展性，以适应不断发展的应用需要、跟上不断进步的技术水平。

7）“管理性”原则，系统应支持先进有效的管理策略，提供良好的管理工具或手段能够实时监视服务器各种设备的工作情况，并在安全和系统故障方面进行预警，提交日志和分析报告，及时发现故障点，为平衡负载、优化服务、排除故障提供手段和依据。

随着网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，因此建成后的网络系统应能保证QoS。

由于网络中包含许许多多媒体应用通信，会存在许多广播信息，占用大量带宽资源。

所以在本次核心网络建造项目中，网络系统应能支持IP组播，以尽量减少网络中不必要的广播，节省主干的带宽，提高网络工作效率。

2.建设目标为满足小型园区日常数据信息计算、交换和存储需求，本次数据中心建设需满足以下目标：（1）简化管理：使上层业务的变更作用于物理设施的复杂度降低，能够最低限度的减少了物理资源的直接调度，使维护管理的难度和成本大大降低。

（2）高效复用：使得物理资源可以按需调度，物理资源得以最大限度的重用，减少建设成本，提高使用效率。

即能够实现总硬件资源占用量降低了，而每个业务得到的服务反而更有充分的资源保证了。

（3）策略一致：降低具体设备个体的策略复杂性，最大程度的在设备层面以上建立统一、抽象的服务，每一个被充分抽象的服务都按找上层调用的目标进行统一的规范和策略化，这样整个IT将可以达到理想的服务规则和策略的一致性。

3.总体架构及建设内容3.1 总体架构方案小型数据中心网络总体架构采用的是分级的互连网络架构模型(hierarchical inter-networking model)，这个架构模型包含了以下三层：（1）Access Layer(接入层)，也就是Edge Layer。

接入交换机通常位于机架顶部，所以它们也被称为ToR(Top of Rack)交换机，通过它们可物理连接各服务器。

（2）Aggregation Layer(汇聚层)，也就是Distribution Layer。

汇聚交换机汇聚来自接入层的流量，执行策略，路由汇聚及路由负载均衡，快速收敛，同时也提供其它的网络智能服务，比如安全控制、应用优化、负载分担、SSL卸载等智能功能。

汇聚交换机是L2和L3网络的分界点，汇聚交换机以下的是L2网络，以上是L3网络。

每组汇聚交换机管理一个POD(Point Of Delivery)，每个POD内都是独立的VLAN网络。

服务器在POD内迁移不必修改IP地址和默认网关，因为一个POD对应一个L2广播域。

另外，汇聚交换机和接入交换机之间通常使用STP(Spanning Tree Protocol)。

STP使得对于一个VLAN网络只有一个汇聚层交换机可用，其他的汇聚层交换机在出现故障时才被使用。

（3）Core Layer(核心层)：核心交换机为进出数据中心的包提供高速的转发，为多个汇聚层提供连接性，核心交换机为通常为整个网络提供一个弹性的L3路由网络。

3.2 建设方案3.2.1 小型数据中心机房网络建设方案本次方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层进行网络设备设计部署，在汇聚层交换机，通过模块化（业务单板）方式提供WLAN AC控制器负载均衡器等增值业务功能，满足园区未来不断增长的业务需求。

本方案的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双归接入核心交换机，交换机之间采用TRUNK链路保证链路级可靠性。

网络拓扑如下图所示：图1-1 小型数据中心机房网络拓扑图本期工程新增设备如下表所示：3.3 网络可靠性设计网络的可靠性是一个从端到端的全程概念，单纯提高某一层面的可靠性并不能对网络整体的可靠性有很大改善。

网络的可靠性最终要从设备、链路、网络、业务等各层次保证。

3.3.1 设备级的可靠性设备级的可靠性包括设备本身的健壮性及对周围环境的适应能力，可靠的设备应该对关键部件（如主控板，交换背板，电源等）进行冗余备份，并且可以在恶劣的环境下长时间稳定运行。

设备级可靠性的另外一个重要方面就是设备在线升级能力及容错能力，容错能力体现在如设备发生故障时，可自动平滑的启动备份部件，不对业务造成影响。

要保证应急指挥信息网的可靠性，对于汇聚层，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到电信级的可靠运行。

设备的高可靠性从硬件、软件、保护机制等几个方面体现：（1）采用分布式的体系架构分布式体系结构是提高可靠性的基础，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。

（2）关键部件冗余采用分布式体系下，对设备的关键部件，如主控管理单元、交换转发单元等，进行冗余构造配置，保证系统在工作中不会全部失效。

（3）实时热备份机制在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。

（4）热插拔特性核心和汇聚层设备的任意单板需要支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的7×24小时不间断运行。

（5）冗余电源支持冗余电源负载分担及备份供电可保障系统具有可靠的能量源。

3.3.2 链路级的可靠性链路级的可靠性包括链路本身的可靠性，包括良好的线路质量，及链路的备份技术，如采用一些物理线路捆绑技术提供线路的可靠性，也可以采用其它链路/线路保护技术，如环网技术。

3.3.3 网络级的可靠性设计合适的拓扑，如避免采用单星型结构以避免单点故障；网络设计模块化，各功能区域相对独立，任一区域的故障不会扩散到其它区域；路由可靠性：首先根据网络特点选择合理的路由协议，避免路由环路，减少路由振荡，并且保护某个网络节点失效后网络快速自愈。