集团云数据中心网络整体架构设计
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
不高; 网络架构层次不清晰,数据中心和办公网未有效隔离,数据
中心没有进行功能区域划分; 二层广播域跨越双中心,出现广播风暴会导致整网不可用;
安全性 数据中心没有进行功能区域划分,缺少统一的安全策略;
安全防护手段比较单一,缺乏安全纵深; 网络设备配置存在安全薄弱环节,业务流量的监控和分析手
段不足;
高可用性
• 采用业务功能模块化和网络拓扑层次 化的设计方法,使得网络架构在功能、 容量、覆盖能力等各方面具有易扩展 能力,使其能够动态响应业务发展变 化,快速满足业务和应用不断变化对 网络基础架构的要求,配合业务的快 速发展或变革。
安全性 可扩展性
可管理性 灵活性
性能
• 网络结构的高可用性,物理资源的冗 余部署,逻辑关系的松耦合设计,不 会因为任何一个网络模块发生故障而 影响全局网络的畅通。
集团云数据中心网络整体架构设计
集团现网分为信息内网和信息外网,信息内网与信息外网之间物理隔离,通过网闸进数据摆渡。目 前网络运行基本正常,但随着IT环境的日益复杂,规模日益增长,网络系统局部存在问题仍有待改 善。
▪ 信息内网承载全院用户访问自建业务系统和国网统推业务系统的内网流量;信息外网承载全院用户访问Inerent及对公网 用户提供服务的流量;
性能 大数据相关业务的网络都为千兆,存在带宽瓶颈;
可管理 带外管理网不完备,运维管理效率不高; 网络基础服务没有统一的管理(DHCP、DNS、NTP等)
信息外网的网络核心为A中心的两台S7506E,通过中电飞华的链路连接各个院区(武汉院区例 外),A中心院区内网用户的网关在核心交换机上,其他各院区的用户网关均在本地的汇聚交换机 上,有线用户和无线用户的Internet出口分离,部署了部分安全设备实现安全防护。
谢 谢!
网络松耦合
DC
DC
WN
WN
WN BR
BR
DC WN
BR
核心网架构
物理部署标准化 连接方式标准化 协议部署标准化
标准化部署
前端网络 后端网络
前后端网络分离
模块化分区百度文库
核心
汇聚 接入
网络分层设计
集团网络分为信息内网、信息外网和科研网,信息内网承载全院用户访问自建业务系统和国网统 推业务系统的内网流量;信息外网承载全院用户访问Inerent及对公网用户提供服务的流量;科 研网承载各院所实验室的科研流量。三张网络物理上相互独立,互访需要经过隔离装置进行数据 摆渡。
▪ 信息内网和信息外网的网络拓扑都采用星型,全网都采用静态路由实现互通。
信息内网的网络核心为A中心的两台S7506E,通过中电飞华的链路连接各个院区(武汉院区例 外),A中心院区内网用户的网关在核心交换机上,其他各院区的用户网关均在本地的汇聚交换机 上,通过出口的一组Juniper防火墙实现安全防护,访问国网公司信息内网的业务系统。
可用性 设备、链路、服务器接入有较多的单点,缺少冗余,可用性 不高;
网络架构层次不清晰,数据中心和办公网未有效隔离,数据 中心没有进行功能区域划分;
二层广播域跨越双中心,出现广播风暴会导致整网不可用; 安全性 数据中心没有进行功能区域划分,缺少统一的安全策略;
安全防护手段比较单一,缺乏安全纵深; 网络设备配置存在安全薄弱环节,业务流量的监控和分析手
段不足; 可管理 带外管理网不完备,运维管理效率不高;
网络基础服务没有统一的管理(DHCP、DNS、NTP等)。
集团的网络规划参考业界通用的高可用性、安全性、可扩展性、性能、灵活性和可管理性六个设计 原则。
• 网络安全区域合理规划,安全策略精 细化部署,符合信息系统安全等级保 护基本要求,全网的安全策略进行统 一的管理,能够满足未来业务发展对 安全的需求。
• 网络简单、健壮,易于管理和维护, 满足行业监管要求及日常运维的需求, 并提供及时发现和排除网络故障的能 力。
• 网络的带宽、时延、抖动等性能指标 满足业务系统的要求;
• 采用新技术和新特性时,网络架构不 需要调整或调整较小,满足业务与应 用系统灵活多变的部署需求。
集团的网络采用松耦合设计,信息内网、外网和科研网均基于核心网架构,标准化设计和部署,数 据中心内部前后端网络分离,模块化分区和分层设计,使集团的网络在业务可用性及连续性、快速 响应、网络标准化、网络风险控制以及业务价值回报五个方面达到同业成熟期的能力。
值得肯定的是
可用性 关键节点的设备和链路(A中心核心、南京院区、武汉院区 ) 采用冗余部署,有线侧Intenet出口双链路,通过LB进行负
安全性 载均衡,具备一定的可用性; 有线用户网络出口部署了防火墙和IDS设备,对集团信息外 网进行整体安全防护,通过专门的DMZ区对外提供服务,
无线需用要户注侧部意署的了是上网行为管理和防火墙;
值得肯定的是
可用性 关键节点的设备和链路(A中心核心、南京院区、武汉院区
)
安全性
采用冗余部署,具备一定的可用性;
在网络出口部署防火墙对集团信息内网进行整体安全防护,
专门的DMZ区对外提供服务,并部署WAF进行WEB安全防
护;需要注意的是
可用性 设备、链路、服务器接入有较多的单点,缺少冗余,可用性