数据中心网络规划设计
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Nexus 7000 核心交换机
Catalyst 2960S 接入交换机
容灾网络
数据中心生产网络
园区网络
内网和园区网设计
• • • • 全网为了安全隔离400个用户,有两个方法,一个是N7000上做ACL,一个是通过 VLAN二层隔绝。 ACL有维护管理的复杂性问题,VLAN有大二层的生成树和广播问 题。两个只能选择一个。目前流量不大的时候VLAN的方式比较好一些。 所有的客户通过二层接入,IP地址全部由园区指定,避免地址重复问题。 客户流量大部分是通向云平台的虚机的,同时有上网需求,需要上网的,在防火墙 上配置网关地址。 防火墙会有大量的路由交换和上网流量,同时NAT和PAT也在防火墙上实现,这一点 会是网络的瓶颈和隐患。 云平台管理系统分配单独的虚拟防火墙,其他客户分为金牌客户配置单独虚拟墙, 银牌客户共用一个虚拟墙,用户之间靠防火墙控制。
银牌客户
vlan101 vlan1
vlan108 金牌客户 vlan8
路由设计
• • • NAT和PAT由出口防火墙实现 2台7604和2台N7K之间走动态路由 保证流量从一台SCE出的要从同一台进来。
ISP1
ISP2
Cisco 7604 Router
Cisco 7604 Router
Nexus 7000 核心交换机
存在问题: 1. 出口NAT如果由7604做, 性能会有问题。 2. 拿出一片防火墙模块做, 那么内网的透明墙和外网的NAT都只有单个,没有冗余 3. 另外找两台防火墙做出口NAT和PAT。
方案二
总体方案设计
ISP1 ISP2 Cisco 7604 Router Cisco 7604 Router
Catalyst 2960S 接入交换机
容灾网络
பைடு நூலகம்
数据中心生产网络
园区网络
Nexus 7000
vlan101 vlan1
vlan108 vlan8
vlan201
vlan200
负载均衡器
• • • 云平台管理系统单独配置一个虚拟负载均衡器 金牌客户单独配置负载均衡器 银牌客户共用负载均衡器,靠ACL隔离。(不建议使用,最好将来扩展license,所 有用户单独使用负载均衡器)
云平台 管理系 统
出口路由等效图
• 运营商静态路由指入 • 将内网的客户分为两部分,一部分使用电信的公网地址,一部分使用联通的公网地 址,分别用不同的防火墙实现,实现电信地址NAT的防火墙的路由指向电信出口路 由器,实现联通地址NAT的防火墙路由指向联通出口路由器 • 网络出口无法冗余。
静态路由
静态路由
方案一
总体方案设计
ISP1 ISP2
Cisco 7604 Router
Cisco 7604 Router
Nexus 7000 核心交换机
Catalyst 2960S 接入交换机
容灾网络
数据中心生产网络
园区网络
内网和园区网逻辑设计
• • • 使用透明墙模式,但是每个透明墙可以有8对进出。 网关设在N7000上,可以考虑使用HSRP。为了防止流量不经过防火墙直接到网关, 使用桥模式,每个用户使用两个VLAN,但是一个网段,由防火墙修改VLAN ID。 金牌客户单独使用一个虚拟墙,银牌客户最多8个公用一个虚拟墙。最多的情况下, 全网40X8=320个用户,需要消耗640个VLAN号。
•
Nexus 7000 路由网关
内网流量 园区网 二层到核心
负载均衡器
• • • 云平台管理系统单独配置一个虚拟负载均衡器 金牌客户单独配置负载均衡器,银牌客户共用负载均衡器 银牌客户的VIP和用户在一个vlan,用户的缺省网关放在防火墙上提供安全隔离
负载均衡 负载均衡 金牌客 户 Nexus 7000 银牌客 户
Nexus 7000
Catalyst 2960
流控设计
• 流控设备由于必须要防止不对称流量,以及在PAT之前,所以在这个设计中,只能 放在防火墙内部 • 这样会限制通往防火墙的带宽为1G,将来流量扩展,只能更改设备来实现。 • 为了简化设计, 能不能在初期不考虑放置流控设备
Nexus 7000 核心交换机