数据中心网络规划设计

Nexus 7000 核心交换机
Catalyst 2960S 接入交换机
容灾网络
数据中心生产网络
园区网络
内网和园区网设计
• • • • 全网为了安全隔离400个用户，有两个方法，一个是N7000上做ACL，一个是通过 VLAN二层隔绝。 ACL有维护管理的复杂性问题，VLAN有大二层的生成树和广播问 题。两个只能选择一个。目前流量不大的时候VLAN的方式比较好一些。 所有的客户通过二层接入，IP地址全部由园区指定，避免地址重复问题。 客户流量大部分是通向云平台的虚机的，同时有上网需求，需要上网的，在防火墙 上配置网关地址。 防火墙会有大量的路由交换和上网流量，同时NAT和PAT也在防火墙上实现，这一点 会是网络的瓶颈和隐患。 云平台管理系统分配单独的虚拟防火墙，其他客户分为金牌客户配置单独虚拟墙， 银牌客户共用一个虚拟墙，用户之间靠防火墙控制。
银牌客户
vlan101 vlan1
vlan108 金牌客户 vlan8
路由设计
• • • NAT和PAT由出口防火墙实现 2台7604和2台N7K之间走动态路由 保证流量从一台SCE出的要从同一台进来。
ISP1
ISP2
Cisco 7604 Router
Cisco 7604 Router
Nexus 7000 核心交换机
存在问题： 1. 出口NAT如果由7604做， 性能会有问题。 2. 拿出一片防火墙模块做, 那么内网的透明墙和外网的NAT都只有单个，没有冗余 3. 另外找两台防火墙做出口NAT和PAT。
方案二
总体方案设计
ISP1 ISP2 Cisco 7604 Router Cisco 7604 Router
Catalyst 2960S 接入交换机
容灾网络
பைடு நூலகம்
数据中心生产网络
园区网络
Nexus 7000
vlan101 vlan1
vlan108 vlan8
vlan201
vlan200
负载均衡器
• • • 云平台管理系统单独配置一个虚拟负载均衡器 金牌客户单独配置负载均衡器 银牌客户共用负载均衡器，靠ACL隔离。（不建议使用，最好将来扩展license，所 有用户单独使用负载均衡器）
云平台 管理系 统
出口路由等效图
• 运营商静态路由指入 • 将内网的客户分为两部分，一部分使用电信的公网地址，一部分使用联通的公网地 址，分别用不同的防火墙实现，实现电信地址NAT的防火墙的路由指向电信出口路 由器，实现联通地址NAT的防火墙路由指向联通出口路由器 • 网络出口无法冗余。
静态路由
静态路由
方案一
总体方案设计
ISP1 ISP2
Cisco 7604 Router
Cisco 7604 Router
Nexus 7000 核心交换机
Catalyst 2960S 接入交换机
容灾网络
数据中心生产网络
园区网络
内网和园区网逻辑设计
• • • 使用透明墙模式，但是每个透明墙可以有8对进出。 网关设在N7000上，可以考虑使用HSRP。为了防止流量不经过防火墙直接到网关， 使用桥模式，每个用户使用两个VLAN，但是一个网段，由防火墙修改VLAN ID。 金牌客户单独使用一个虚拟墙，银牌客户最多8个公用一个虚拟墙。最多的情况下， 全网40X8=320个用户，需要消耗640个VLAN号。
•
Nexus 7000 路由网关
内网流量 园区网 二层到核心
负载均衡器
• • • 云平台管理系统单独配置一个虚拟负载均衡器 金牌客户单独配置负载均衡器，银牌客户共用负载均衡器 银牌客户的VIP和用户在一个vlan，用户的缺省网关放在防火墙上提供安全隔离
负载均衡 负载均衡 金牌客 户 Nexus 7000 银牌客 户
Nexus 7000
Catalyst 2960
流控设计
• 流控设备由于必须要防止不对称流量，以及在PAT之前，所以在这个设计中，只能 放在防火墙内部 • 这样会限制通往防火墙的带宽为1G，将来流量扩展，只能更改设备来实现。 • 为了简化设计， 能不能在初期不考虑放置流控设备
Nexus 7000 核心交换机