数据中心网络及安全方案实施细则

一、数据中心网络及安全方案实施细则

1.1. 网络布线建议

1.1.1. 走线方式的选择

数据中心机房走线方式一般有以下三种：

1.下走线

下走线是将强电线缆和数据线缆部置在高架地板下，如下图所示：

此种走线方式机房整体简洁美观，但不便于后期的线路维护，早期有较多的中小型机房采用了此种走线方式。

2.架空走线

架空走线是从天花板上悬挂配线框，实现强电、光纤和弱电的分层部署，如下图所示：

此种走线方式可以很好的规避线缆间的电磁干扰，走线密度也可以做得较高，适合大规模的数据中心机房，但对机房的层高有较高的要求。

3.上走线

此种走线方式是在机柜顶端架设走线槽进行布线，如下图所示：

这种走线方式是目前中小机房的主流走线方式，后期维护方便。

对于上述三种走线方式，其优劣时对比如下表所示：

综合多方面考虑，结合数据中心机房的建筑要求，建议采用上走线方式！

1.1.

2. 网络配线方式

机房布线方式也有三种：直连式布线，分布式布线，POD 方式布线。

1）直连式布线

●特点：网络机柜独立排列，服务器机柜直接通过布线

连接网络机柜

●优点：适合小型数据中心，或者小型业务区域，结构

简单，容易实施

●缺点：不适合大型数据中心或业务区域，服务器密度

增高后会造成电缆重叠，容易拥塞，不易维护2）分布式布线——列头柜布线

●特点：网络设备列头柜汇聚，列头柜连接到服务器机

柜，由列头柜上行连接到网络核心机柜组

●优点：分布式列头柜设计，没有线缆重叠，连接线缆

短，传输性好，网络层次性好，容易扩展，成本低、管理方便，空气流通性好，便于散热。适合于中、大型数据中心。

●缺点：当服务器机柜列很长时，末端机柜距离列头柜

太远，难以实现接入。

3）POD(Point Of Delivery)布线——机柜组布线

●特点：网络机柜放置在一组服务器机柜中间，对应到

一个服务器区域

●优点：两边机柜的电缆都向中间集中，避免了最远端

电缆到列头机柜的网线超出规定了距离，并且各机柜

传输效率较为平均，布线距离较短，节省了布线成本。

适合于大型数据中心。

1.1.3. 服务器接入方式

服务器接入方式分为三种：EoR（End Of Row），ToR（Top Of Rack），Blade Chassis。

1）EoR方式：

这是一种比较传统的布线方式，在数据中心的机房中服务器机柜都是成排的摆放，每排服务器机柜的最边缘摆放1到2个网络设备机柜。

所有的服务器机柜的上部安装有配线架，这些配线架直通每排机柜最边端的网络机柜上的配线架。网络机柜中安装接入交换机，服务器通过机柜中的配线架接入到网络机柜中的交换机。

这种布局通常用在服务器机柜中的服务器密度不是很高的情况。比如说，服务器都是IBM的2U、4U的小型机，一个机柜42U，也就摆放6-12台左右。

当前大部分机房都按这种方式布线，这种布线的主要问题是从各机柜到列头柜需要铺设大量的铜缆，尤其是从离列头

柜最远端的服务器机柜，会拉出一大捆网线。因此对Eod of roW还有一种改进的方法叫做middle of row。也就是在一排服务器机柜的中间摆放1-2个网络机柜，这样的布局可方便网线的铺设和维护。

2）ToR方式：

如图，这种方式就是在标准的42U的服务器机柜的最上面安装接入交换机。服务器的网口都接入到机柜上部的交换机上。这个接入交换机再通过铜缆或光线接入到网络机柜的汇聚或核心交换机上。这种组网的好处是简化布线，从服务器机柜到列头柜只有很少的电缆。

这种布局要求每个服务器机柜的服务器密度比较高，一般

来说都采用1U的服务器，对于一个42U的机柜，可接入20到30台1RU服务。这种布局可以用在一些对接入密度比较高的IDC机房。

从网络设计上看，TOR布局中每台交换机上的VLAN/子网不会太多，在网络规划的时候也尽量避免让一个VLAN跨了多台交换机，所以TOR布局时一个VLAN范围不会太大，所包含的端口不会太多。但对于EOR来说，一个VLAN范围可能会更大，包含的端口更多。

还有一点，TOR布局的交换机数量多，EOR布局的交换机数量少，所以两者的维护管理工作量也不同。

3）Blade Chassis方式：

对于刀片服务器，服务器上连模块有刀片交换机和直通模块两种，如下图所示：

为简化网络层次，刀片服务器建议采用直通模块的方式上联，网络配线依然选择EOR方式，保持统一。

1.1.4. 机房布线建议

数据中心数据中型数据中心，具体走线和布线方案需要根据数据中心实际情况进行选择。

可以选择较为传统的方式：地下走线+列头柜布线+EoR服务器接入的方式。

1.2. VLAN规划

本次项目VLAN号段总体规划如下：

VLAN ID号段用途及业务规划

1-99 预留，暂时不用

100-499 各应用区服务器接入VLAN

核心交换机到各业务区域防火板之间500-599

的互联VLAN

各业务区域防火板到各业务区域接入600-699

交换机之间的互联VLAN

700-799 各业务区域内交换机管理VLAN

800-4094 预留VLAN

1.3. IP地址规划

1、数据中心各业务接入IP地址及VLAN规划如下：

地址段网关vlan 业务子业务安全区

id 域