XX云计算台
技术方案
第版
目录
第1章 总述 5
第2章XX数中心网络建设需求 6
21 传统架构存问题 6
22XX数中心目标架构 7
23XX数中心设计目标 8
24XX数中心技术需求 9
241 整合力 9
242 虚拟化力 9
243 动化力 10
244 绿色数中心求 10
第3章XX数中心技术实现 11
31 整合力 11
311 体化交换技术 11
312 丢弃太网技术 12
313 性支撑力 13
314 智服务整合力 13
32 虚拟化力 14
321 虚拟交换技术 14
322 网络服务虚拟化 16
323 服务器虚拟化 16
33 动化 17
34 绿色数中心 18
第4章XX云计算台网络设计 19
41 总体网络结构 19
411 层次化结构优势 19
412 标准网络分层结构 19
413XX云计算台数中心网络结构 20
42 数中心核心层设计 21
43 数中心分布层设计 22
431 数中心分布层虚拟交换机 22
432 数中心分布层智服务机箱 22
44 数中心接入层设计 24
第5章 应服务控制负载均衡设计 28
51 功介绍 28
511 基功 28
512 应特点 29
52 应优化负载均衡设计 33
521 智服务机箱设计 33
522 应负载均衡设计 36
523 安全功设计 39
524 SSL分流设计 41
525 扩展性设计 42
526 高性设计 43
第6章 网络安全设计 46
61 网络安全部署思路 46
611 网络安全整体架构 46
612 网络台建设必须考虑安全问题 47
62 网络设备级安全 48
621 防蠕虫病毒等Dos攻击 48
622 防VLAN脆弱性配置 49
623 防止DHCP相关攻击 50
63 网络级安全 50
631 安全域划分 51
632 防火墙部署设计 51
633 防火墙策略设计 53
634 防火墙性扩展性设计 53
64 网络智动防御 54
641 网络准入控制 55
642 桌面安全理 56
643 智监控分析威胁响应系统 58
644 分布式威胁抑制系统 61
第7章 服务质量保证设计 64
71 服务质量保证设计分类 64
72 数中心服务质量设计 64
721 带宽设备吞吐量设计 64
722 低延迟设计 66
723 丢弃设计 67
第8章 网络理业务调度动化 69
81 MARS安全理动化 69
82 VFrame业务部署动化 69
第9章 服务器(UCS)组件高性 70
91 思科统计算系统(UCS)简介 70
92 云计算基础思科UCS Manager简介 72
93 云计算扩展数中心横扩展 75
94 云计算安全纯硬件级容错 76
第10章 两种数中心技术方案综合 79
101 技术方案 79
1011 传统技术领域 79
1012 代数中心技术力较 80
102 技术服务 82
103 商务 83
104 总结 83
第11章 附录:新代数中心产品介绍 84
111 Cisco Nexus 7000 系列10插槽交换机介绍 84
112 Cisco Nexus 5000 2000系列交换机介绍 85
113 Cisco NXOS 数中心级操作系统简介 87
第1章 总述
进步提升客户满意度户提供更增值服务增强户产品忠诚度需XX包括电视机客户提供样增值应服务首期考虑提供视频点播服务未提供电子商务等样化应考虑潜客户数较需健壮弹性符合未趋势变化新代系统架构
XX电视机销售量20年保持国市场第尤网络电视稳居第潜户数数十万需绵阳建设充分面未应户发展新代数中心时户集中城市运营商托服务器充分利流量分发站点动选择等技术确保应优化型网站采方案
第2章 XX数中心网络建设需求
21 传统架构存问题
XX现数中心网络采传统太网技术构建着类业务应IT需求深入发展业务部门资源需求正级数增长传统IT基础架构方式理员未业务扩展带巨挑战具体言存问题:
l 维护理难:传统构架网络中进行业务扩容迁移增加新服务功越越困难次变更牵涉相互关联时期初衷建设种物理设施涉领域服务方工作繁琐维护困难容易出现漏洞差错数中心新增加业务类型需调整新应访问控制需求时理员仅解新业务逻辑访问策略精通物理防火墙实体部署连接安装考虑增加新防火墙端口需添置新防火墙设备考虑处接入没相应接口跳线VLAN路等等果网络中诸址转换7层交换等等服务相关联非常繁杂务样IT资源需求短期累积极易系统维护质量稳定性降时反减慢新业务部署进阻碍公司业务推进发展
l 资源利率低:传统架构方式底层资源投入层业务收效果难发展普遍现象忙设备堪重负闲设备资源储备二者相互间法底层网络建设功单元中心进行建设考虑层业务底层资源调优化
网络投入法取样业务应效果改善反浪费较资源维护成
l 服务策略致:传统架构严重问题种孤立设备功中心设计思路法真正整系统角度制订统服务策略安全策略高性策略业务优化策略等等造成跨台策略致性难投入产品力形成合力层业务提供强服务支撑
传统底层基础设施提供服务力已法适应前业务急剧扩展需资源求次数中心建设必须根改变传统思路遵种崭新体系结构思路构造新数中心IT基础架构
22 XX数中心目标架构
面服务设计思想已成Web20解决业务变更业务急剧发展带资源成压力佳途径业务层面流IT厂商IBMBEA等提出摒弃传统面组件(Component)开发方式转面服务开发方式应软件应起相互独立松耦合服务构成接口求严格变更复杂复性差紧耦合组件构成样变动佳需求沟通方式适应断变化业务需求增长鉴XX数中心业务应正面服务架构Service Oriented Architecture(SOA)转型业务SOA相适应XX提出支撑业务运行底层基础设施应面服务设计思想转变构造面服务数中心(Service Oriented Data CenterSODC)
传统组网观念根功需求变化实现应硬件功盒子堆砌构建企业网络非常类似传统软件开发组件堆砌已证明种较低效率资源调方式果够整网络构建成封装完相互耦合松散够标准化统调度服务组成业务层面变更物理资源复轻易举事情SODC求SOA架构业务变更导致软件部分服务模块组合变化时松耦合网络服务根应变化动实现重组适配业务变更带资源求变化少减少复杂硬件相关性运行维护资源复效率策略致性彻底解决传统设计带顽疾
具体言SODC应形成样资源调方式:底层资源层应象服务构成资源池需什服务动会网络调相关物理资源实现理员业务户需见物理设备相互架构关系具体存方式SODC框架原型应示:
图中隔物理架构户间交互服务层实现提供服务屏蔽复杂物理结构作网络者网络复杂基础物理功实体构成智服务——安全服务移动服务计算服务存储服务……等等服务实际存物理资源提供理员层业务需关心交互服务层解决切资源调度高效复问题
SODCSOA构成数中心IT架构必整数中心未发展趋势然实现真正理想SODCSOA融合架构长期历程该融合框架迈进步实际会形成网络灵活性网络维护资源利效率投资效益等等方面巨改善XX次数中心网络建设求遵循述新代面服务数中心设计框架
23 XX数中心设计目标
基SODC设计框架XX新代数中心应实现设计目标:
l 简化理:层业务变更作物理设施复杂度降低够低限度减少物理资源直接调度维护理难度成降低
l 高效复:物理资源需调度物理资源限度重减少建设成提高效率够实现总硬件资源占量降低业务服务反更充分资源保证
l 策略致:降低具体设备体策略复杂性程度设备层面建立统抽象服务充分抽象服务找层调目标进行统规范策略化样整IT达理想服务规策略致性
24 XX数中心技术需求
SODC架构种资源调度全新方式资源调方式面服务非象前样面复杂物理底层设施进行设计中交互服务层基服务调关键环节交互服务层形成网络智化进步发展实现底层物理网络通智服务功业务层面底层复杂结构关心资源物理调度化实现资源享复形成SODC求交互服务层必须网络提出求:
241 整合力
SODC求数中心需种资源实现基网络整合续层业务底层网络提供类SODC服务基础整合概念简单功增然整合化体现独立设备功特殊硬件方式整合网络设备中真正核心思想资源集中化便跨台调物理存方式根需定
数中心网络必须提供资源包括:
l 智业务网络必须智功服务质量保证安全访问控制设备智理等等
l 数中心三资源网络:高性计算网络存储交换网络数应网络
两类资源整合检验新代数中心网络SODC力重标准
242 虚拟化力
虚拟化实已整合资源种物理位置物理存物理状态等关方式进行调物理资源服务形态质变程虚拟化实现物理资源复降低理维护复杂度提高设备利率关键时未动实现资源协调配置基础
新代数中心网络求够提供种方式虚拟化力仅仅传统网络虚拟化(VLANVPN等)必须做:
l 交换虚拟化
l 智服务虚拟化
l 服务器虚拟化
243 动化力
动化SODC架构中层动优化实现服务调必须条件高度整合化虚拟化基础服务部署完全需物理动作资源虚拟化台物理设施关进行分配整合样需定业务策略输入智网络策略服务器切工作系统身优化方式进行计算评估决策调配实现
部分需做两方面动化:
l 网络理动化
l 业务部署动化
244 绿色数中心求
前源日趋紧张源价格飞扬直绿(Green Field)关心议题限度利源降低功耗效率方式实现高性高稳定性服务新代数中心必须考虑问题
第3章 XX数中心技术实现
根新代数中心网络技术求必须传统数中心常规太网技术进行革新数中心级太网(Data Center Ethernet简称DCE)技术诞生
DCE前厂商称汇聚型增强太网技术(Converged Enhanced Ethernet简称CEE)兼容传统太网协议新代数中心传输求进行全面革新系列标准技术总称达XX新代数中心建设目标必须摒弃传统太网技术采新代DCE(CEE)技术进行组网
具体言次XX数中心采DCE技术达技术目标
31 整合力
311 体化交换技术
DCE技术重目标实现传统数中心程度资源整合实现面服务数中心SODC终目标传统数中心中存三种网络:光纤存储交换机存储交换网络(Fiber Channel SAN)便实现CPU存资源行化处理高性计算网络(采高带宽低延迟InfiniBand技术)传统数局域网DCE技术三种网络实现统传输台DCE种交换技术时实现远程存储远程行计算处理传统数网络功样化实现三种资源整合便实现跨台资源调度虚拟化服务提高投资效性时降低理成
XX业务特点需超级计算功次项目实现存储网络传统数网络双网合DCE技术实现二者体化交换前太网融合传统局域网存储网络唯成熟技术标准Fiber Channel Over Ethernet技术(FCoE)已标准出存储网(SAN)数帧封装太网帧进行转发相关技术协议该项技术简单性高效率济性目前已形成相成熟包括存储厂商网络设备厂商机厂商网卡厂商生态链具体协议发布参见 FCoE 相关Web Sites (httpwwwfcoecom httpwwwt11orgfcoe )
次数中心建设做FCoE基础设施准备阶段完成基FCoE技术双网融合
312 丢弃太网技术
保证体化交换实现DCE改变传统太网连接保障Best Effort传输行保证机通太网进行磁盘读写等操作高性计算求远程存访问行处理等操作会发生预料传输失败达真正丢包太网目标DCE网络中硬件软件形式实现技术:
基优先级类流控(Priority Flow Control)
通基IEEE 8021p类通道PAUSE功提供基数流类流量控制
带宽理
IEEE 8021Qaz 标准定义基IEEE 8021p 流量类带宽理流量优先级定义
拥塞理
IEEE 8021Qau 标准定义理网络中拥塞(BCNQCN)
l 基优先级类流控DCE 理念中非常重环通拥塞理相互合作构造出丢包太网架构天说诱惑疑阻挡丢包太网络提供安全台前法安心放置数网络重应安心应DCE数台
l 带宽理太网络中提供类似类似帧中继(Frame Relay)带宽控制力确保重业务应获必须网络带宽时保证网络链路带宽利化
l 拥塞理提供太网络中种拥塞发现定位力非连接网络中疑巨挑战说目前非连接网络中崭新应目前研究方集中拥塞理(BCN)
量化拥塞理(QCN)两方面
313 性支撑力
保证实现体化交换资源整合DCE必须传统太网性扩展性进行革新
首先保证三网合带宽资源万兆太网技术DCE核心层带宽起点正发展中40G100G太网DCE技术流带宽保证天采购设备5年生命周期必须考虑硬件扩展力说投资保护工程维护角度出发需100G台硬体设备设备槽位少支持100G流量(全双工槽位200Gbps)样维持该设备5年生命周期时济性角度考虑果达400G台理想
外存储网络高性计算求通网络实现远程磁盘读写存步性需求DCE设备必须提供传统太网设备低数量级端口间转发延迟DCE求核心层三层转发延迟应达30us接入层二层转发延迟应3~4us传统太网技术法实现性指标求
314 智服务整合力
众周知应复杂度断提升时伴着网络融合应网络交互…预见网络复杂度断提升印证判断:应网络控制逐步增强网络时应优化
构建单业务简单L2转发网络网络设备设计方全业务设备业务融合网络需环境
需什样全业务呢明显Data Center Ethernet 必备项目时少需基业务属性保障业务网络运行:
l 服务质量保证 QoS
l 访问列表控制 ACL
l 虚拟交换机实现 Virtual Switch
l 网络流量分析 Netflow
l CPU抗攻击保护 CoPP
l 远程值守理 CMP
l 嵌入式事件理 EEM
然业务实现影响转发性前提条件失前提业务实现变毫意义
设计产品必须顾全业务融合网络前提复杂业务处理够高达100G甚400G线路卡获线速处理性考验硬件台重技术指标
终胜出者疑够代价换取业务实现性设备台
32 虚拟化力
DCE网络虚拟化仅仅传统意义VLANVPN实现SODC交互服务层资源调度方式DCE够做虚拟化力
321 虚拟交换技术
虚拟交换技术实现交换机资源时关心交换服务物理存方式台交换机提供两台交换机设备甚交换机中虚拟交换机思科DCE技术提供两物理交换机虚拟台交换机虚拟交换系统(VSS)技术交换机虚拟化交换机虚拟设备(VDC)技术
()虚拟交换系统(VSS)
VSS技术网络双核心虚拟化单台设备Cisco 65099插槽设备完全虚拟化成单台18槽机箱虚拟交换机虚拟交换机性倍增理复杂度反减半具体优势:
l 单理界面:理界面完全单台设备理方式理维护工作量减轻半
l 性翻倍:虚拟交换系统具备两台叠加性交换机通跨物理机箱双千兆太网双万兆太网捆绑技术远路生成树负载均衡更均匀带宽核心吞吐量均做真正翻倍
l 协议简单:虚拟交换系统设备间动态路协议完全单台设备设备协议关系需维护路邻居关系数二次方根降系统中达4~5倍降工作量部署难度降低虚拟交换系统时作单台设备参生成树计算关系生成树计算维护量二次方根降系统中达4~5倍降工作量部署难度降低
l 冗余:虚拟交换系统形成虚拟单机箱物理双引擎跨机箱冗余引擎系统连接入交换机原需动态路生成树实现冗余切换VSS全简单链路捆绑实现负载均衡冗余链路引擎冗余切换传统方式更加迅捷滑保持层业务稳定运行前两单引擎机箱中台更换引擎定会导致数丢失虚拟交换系统里意台更换引擎数保证0丢失
(二)虚拟设备系统(VDC)
VDC技术实现台交换机划分虚拟子交换机交换机拥独立配置界面独立生成树路SNMPVRRP等协议进程甚独立资源分配(存TCAM转发表等等)VSS配合实现更加灵活物理设备关跨台资源分配力数中心种底层设施资源消耗型网络提供更济高效组网方式理运营智化动化创造条件
物理设备虚拟成干逻辑独立设备图示:
322 网络服务虚拟化
服务资源整合设备虚拟化基础DCE求虚拟化网络应区业务服务设施防火墙IDS负载均衡器SSL加速……网络服务果物理独占式分配高成低效率难维护理DCE网络提供网络智服务时虚拟化方式实现类服务资源调思科DCE网络中实现虚拟防火墙虚拟IDS虚拟负载均衡器虚拟SSL VPN网络……等等实现网络智服务虚拟化
323 服务器虚拟化
服务器虚拟化层业务应仅仅根需计算资源占求CPU存IO应资源等实现调度须考虑该应物理关联位置前商化成功服务器虚拟化解决方案VMWareVMotion系列微软Virtual Server许第三方厂商(IntelAMD等)正加入服务器虚拟化解决方案越越完善普
然越越意识服务器虚拟化系统解决方案中应机操作系统角色外网络更关重角色网络联系成整体网络实现虚拟化桥梁服务器虚拟化需DCE够提供力:
l 资源整合:业务应运行赖物理计算环境需网络实现连接然传统网络中传输数数网互连CPU存计算网互连存储存储网孤立法真正实现物理关服务器资源调度实现真正意义彻底服务器虚拟化前面提DCE三网体化交换架构必须条件
l 网络虚拟机意识:传统网络具备虚拟机意识网络传递信息法区虚拟机法网络根虚拟机提供相应网络服务虚拟机迁移没相应网络踪手段保证服务全局致性DCE正解决问题DCE领导厂商思科已推出商化DCE产品中提供相应虚拟机标识机制思科已联合VMware等厂商协议提交IEEE实现标准化
l 虚拟机迁移网络环境:服务器虚拟化虚拟机迁移技术实现物理资源关资源享复虚拟机迁移需二层环境导致迁移范围局限传统VLAN知道Web20云计算等概念需处数中心实现二层网络跨域延展呢?传统L2 MPLS技术太复杂IEEEIETF正制定二层路径(二层延展)新标准DCE领导厂商思科公司提出种新协议标准Cisco Over the Top Virtualization(OTV)解决跨城域广域网二层延展性问题服务器虚拟化提供扩展网络支撑
33 动化
动化SODC架构中层动优化实现服务调必须条件高度整合化虚拟化基础服务部署完全需物理动作资源虚拟化台物理设施关进行分配整合样需定业务策略输入智网络策略服务器切工作系统身优化方式进行计算评估决策调配实现现商DCE动化解决方案包括理动化业务部署动化
XX数中心续建设中逐步完善动化理动化业务部署需期通DCE技术实施未动化部署坚实基础
34 绿色数中心
DCE技术整合化虚拟化动化身达样业务力求实现高效率利硬件资源减少总硬件投入节约维护理成等方面佳途径身绿色数中心必条件
外DCE产品必须硬件实现实现低功耗高效率包括
l 利新半导体工艺 (越纳米芯片纳米芯片省电)
l 降低逻辑电路复杂度 (接入层二层设备三层设备省电)
l 减少通集成电路空转 (定制化专业设计芯片通芯片省电)
l 等等……
见台网络设备业务力相前提条件越功耗代表越先进技术DCE设备般做维持三层全业务万兆吞吐功耗25W二层万兆吞吐功耗13W
第4章 XX云计算台网络设计
41 总体网络结构
次XX数中心网络建设采新代DCE技术DCE技术代表厂商Cisco公司Nexus系列产品网络结构采型数中心典型层次化模块化组网结构
(插入总体图)
411 层次化结构优势
采层次化结构处:
l 节约成:园区网络意味着巨业务投资正确设计园区网络提高业务效率降低运营成
l 便扩展:模块化者层次化网络更加便复制改造扩展模块构成添
加者移模块时需重新设计整网络模块影响模块者网络核心情况投入者停止
l 加强障隔离力:通网络分理型组件企业幅度简化障定位排障处理时效
412 标准网络分层结构
层次化结构包括三功部分接入层分布层核心层层次定位分:
l 核心层:企业数交换网络骨干层设计目实现快速数交换提供高性快速路收敛
l 分布层:称汇聚层汇聚接入层流量执行策略第三层协议层时获路负载均衡快速收敛扩展性等处分布层网络智服务实施点包括安全控制应优化等智功实施
l 接入层:负责提供服务器户终端存储设施等等网络第级接入功外网络智服务初始分类安全标识QoS分类层基功
413 XX云计算台数中心网络结构
根业界企业网络佳设计实践参考边缘节点端口较少型网络中考虑核心层分布层合型网络网络规模接入层交换机决定XX言结合XX业务现状发展趋势未年业务处高速成长期必须期网络架构中充分考虑未扩展性XX企业部核心网络层次结构必须具严格清晰划分具清晰核心层会聚分布层接入层等分层结构保证网络稳定性健壮性扩展性适应业务发展
XX业务应特点决定核心层相接入网络模块较少楼层汇聚接入数中心汇聚接入广域网接入等三块果采单独容量物理核心设备造成浪费果采低端核心设备会业务相繁忙数中心汇聚形成瓶颈影响网络整体稳定性鉴采超规模核心层设备Cisco Nexus 7000作核心虚拟化两套交换机套全网核心套数中心汇聚样做优势:
l 逻辑然清晰两套设备完全保持前述网络分层结构优势
l 性实现网络核心数中心汇聚交换机资源享复非常解决核心层数量数中心数量存较差异问题
l 较低投入升级数中心汇聚交换机力(相核心层复4Tbps交换力)适阶段进行数中心双网融合资源需求
l 减少设备数量降低设备投入成功耗开销维护理复杂度
XX新代数中心整体网络结构图示:
42 数中心核心层设计
次采扩展15TbpsCisco Nexus 7000系列型DCE交换机台Nexus7000划分两VDC(虚拟交换机)虚拟交换机作XX数中心核心虚拟交换机作数中心分布汇聚层交换机
选择10插槽Nexus7010双机双冗余方式部署网络核心台前支持交换容量4Tbps万兆端口容量256插槽交换力230Gbps(未扩展500Gbps)未扩展40G100G太网
次台N7010暂配32万兆端口48千兆端口端口物理划分属全网核心虚拟交换机属数中心汇聚虚拟交换机虚拟交换机软件进程配置界面独立享复总交换机资源
虚拟交换机支持vPC技术(Virtual PortChannel)实现跨交换机端口捆绑样级交换机连属机箱虚拟交换机时分连机箱万兆链路IEEE 8023ad兼容技术实现太网链路捆绑提高冗余力链路互连带宽时简化网络维护
核心层虚拟交换机设备互连采路端口三层交换方式采vPC进行链路捆绑时三层端口链路捆绑技术图示:
43 数中心分布层设计
431 数中心分布层虚拟交换机
数中心分布汇聚层交换机采述Nexus 7010单独划分处理虚拟交换机实现虚拟交换机间通外部互连样采vPC三层端口链路捆绑技术分布汇聚层虚拟交换机面接入层采二层端口vPC跨机箱捆绑技术互连图示
432 数中心分布层智服务机箱
数中心网络智服务设计分布层智服务机箱提供(MultiServices Chassis)单独服务机箱破坏高性体化交换架构形成数中心干选择三网合数中心流量提供需网络智服务存储流量没必传输程中数应类防火墙检查(存储网安全访问控制机制)样设计较容易实现类似FCoE流量干扰直达
智服务机箱采Cisco Catalyst 6500交换机暂配置720G引擎18万兆端口置防火墙模块(FWSM)应控制模块(ACE) 提供应级安全访问控制应优化负载均衡功
智服务机箱采双机冗余结构利Catalyst 6500VSS虚拟交换机功两独立机箱完全成逻辑机箱通4万兆连2N7000分布汇聚层虚拟交换机VSS技术形成具144Tbps力智服务机箱通N7000vPC技术形成智服务机箱N7000间全双工高达80Gbps互连带宽N70006500VSS预留足够万兆端口捆绑带宽值根未智服务处理性需成倍滑升级物理逻辑连接示意图面示
物理结构图 逻辑结构图
期实施中智服务机箱智服务器硬件模块部署密度高——机箱防火墙模块负载均衡模块块样机箱引擎加速技术防火墙模块迸发吞吐量32Gbps负载均衡模块四层吞吐力16Gbps(需负载均衡)完全满足前业务需求实施中简化配置改双机箱VSS结构备机箱方式业务需求涨业务模块增完善双
机箱负载均衡VSS模式
服务机箱防火墙模块应控制优化模块支持虚拟化技术利智服务虚拟化实现基数中心业务组定制服务策略功业务应需资源时必度关注物理存方式实现物理关跨台智服务调(SODC交互服务调)极提高资源利效率减少物理设施维护复杂度部分面智服务详细设计中加阐明
44 数中心接入层设计
Cisco Nexus 50002000系列DCE接入交换机实现数中心接入层分级设计
次建议XX具12Tbps交换力初始配置40万兆太网端口Nexus 5020交换机具备48101001000M太网端口4万兆连端口Nexus 2148TNexus 20005000系列交换矩阵延展器通部署柜顶(Top of the RackToR)2148T接入高密度服务器连50204连万兆端口提供48千兆端口中少40端口全线性转发力通连接台2148T502012T惊交换力延展机柜实现高性高密度低延迟DCE服务器群接入力作5020延展设备2148T需身进行复杂配置理配置游5020完成简化机柜高密度服务器接入设备理复杂度
Nexus 50002000柜顶(Top of the RackToR)交换机尺寸设计1~2U高度紧凑集成高密度DCE端口时提供热插拔冗余风扇组冗余电源系统性远非传统太网中固定接口交换机
Nexus 5000业界第款商化FCoE交换机万兆太网端口支持FCoE时Nexus 5000支持扩展161~4G Fiber Channel端口81~8G Fiber Channel端口完全支持Fiber Channel SAN交换机完整功特性传统需太网卡FC存储卡(HBA)InfiniBand卡机需张FCoE太网卡(CNA)实现三种网络接入户操作系统见虚拟化太网卡HBA卡InfiniBand卡享万兆高带宽Nexus 5000通Fiber Channel接口连接传统SAN网络实现SANLAN整合通种整合虚拟化实现资源调度化利
时成倍减少网卡数节约功耗提高性降低维护成
XX机服务器机柜分两列列选两列中柜(Middle of the Row)柜部署Nexus 5020列普通机柜柜顶(ToR)放置Nexus 2148T物理部署类似图示:
普通机柜放置千兆端口服务器机柜容纳具冗余网卡千兆服务器高达20列两列中柜(MoR)放置具备万兆太网卡高性服务器万兆FCoE卡新型服务器具备Fiber Channel卡(HBA)服务器SAN交换机甚扩展具备FCoE接口盘阵
提供两种实际物理接线方法:
方法1:交叉冗余链接
两普通机柜设备机柜Nexus 2148T冗余交叉连普通机柜柜顶(ToR)Nexus 2148T通4万兆交叉连列两列中柜(MoR)Nexus 5020列两列中柜(MoR)Nexus 5020冗余互连交叉连Nexus 7000虚拟交换机物理连接类似图示:
方法2:Nexus 5000单位冗余负载均衡
种方法保证Nexus 2000言连接Nexus 5000避免跨越Nexus 5000负载均衡避免负载均衡时偶发两Nexus 5000互连链路产生流量种方法优点负载均衡效果更避免两Nexus 5000间产生拥塞(然性较)网络结构简单易理缺点冗余力方法1
方法1Nexus 2000交错连接容忍20005000时出现障
20005000出障概率极低方案2更容易实施理复杂度更推荐方法2
服务器分配应量遵循相互业务紧密访问量需相互进行虚拟机迁移调度物理服务器应放置柜列(Row)原Nexus 5000
图机柜20台服务器完全实现双网卡Load Balance Teaming方式线性网络接入台服务器2G带宽(4G吞吐量)网络接入力期实施中简化服务器端设计服务器网卡先采ActiveStandbyTeaming方式
第5章 应服务控制负载均衡设计
51 功介绍
511 基功
项目数中心分布汇聚层智服务机箱配置Cisco 应控制模块 (Application Control Engine ACE)作数中心重网络智服务该模块台应服务器提供高性表现高级体系控制安全保护ACE针型企业电信户服务器集群环境效重应数传送进行优化简化时具备良性价
ACE提供性功:
l ACE 提供四七层数包容交换负载均衡功服务器机群提供虚拟址端口ACE插入Catalyst 6500交换机端口成四层交换端口ACECatalyst 6509数总线交换矩阵连接高带宽16Gbps秒连接数345000ACE仅服务器提供负载均衡外部防火墙VPN集中器……等等网络服务设施提供负载均衡
l ACE具备资源分配隔离功服务器虚拟化重手段物理模块中ACE划分独立分区分区分配应者户外分区支持层次化理模式提供资源理灵活性安全性ACE支持基角色访问控制
(rolebased access control) 户分配相应角色(role)角色分区允许执行相关命令集例系统理员角色(system admin role)执行ACE命令应程序理员角色(application admin role)执行台应容交换命令等
l ACE具强安全功效保护台应程序免受恶意攻击技术包括: HTTP深层包检测双动态静态基策略址转换(NATPAT)访问控制列表TCP包头验证TCP连接状态监控等
l ACE支持层次冗余性关键业务提供高等级性保护ACE目前业界唯实现三种高性保护四层交换机
n 机箱间冗余 两台机箱间ACE板卡互冗余保护
n 板卡间冗余 机箱ACE板卡互冗余保护
n 虚拟分区前冗余 –ACE板卡虚拟分区前互保护
l ACE冗余保护动态连接进行保护保证业务板卡障时业务连接然保持
l 硬件加速方式协议控制常见协议提供效检查滤绑定 协议包括HTTPRTSPDNSFTPICMP等硬件方式实现ACLNAT功支持百万NAT转换表项
512 应特点
5121 虚拟化分区
虚拟分区实现资源分段隔离思科ACE作物理模块中独立虚拟模块运行解决方案企业够利思科ACE模块达250企业机构应客户合作伙伴提供事先定义服务水虚拟分区应基础设施更业务运营时减少设备实现出色控制
外虚拟分区包括分级理域确保应性水ACE模块中资源限度利
思科ACE分散理提供集中控制虚拟分区提供基模板定义户访问权限基角色访问控制(Role Based Access Control RBAC)特性允许企业理角色进行定义限定理员模块虚拟分区特定功权机构中位理员需级(例应理服务器理网络理安全理等)思科ACE模块互动理角色进行准确定义理员群组够影响群组情况利执行务疑项重工作
通Cisco Catalyst 6500虚拟路转发(VRF)防火墙模块虚拟化相集成支持路功防火墙应控制负载均衡端端智服务虚拟化(图示)
5122 性扩展性
思科ACE提供业界高水应供应力思科ACE模块吞吐率高达16 Gbps秒支持345000持续连接轻松处理量数文件媒体应庞户群体ACE系列模块配备增长投资付费许证提供高16 Gbps扩展吞吐率客户需扩充容量全面升级系统设计ACE未增值服务扩展功预留空间实际通单Cisco Catalyst 6500机箱中安装四ACE模块提供业界高水扩展性
思科ACE提供层冗余性性扩展性您关键业务提供限度保护业唯提供三种高性模式产品:
l 机箱间高性:台Cisco Catalyst 6500中ACE等Cisco Catalyst 6500中ACE保护
l 机箱高性:Cisco Catalyst 6500中ACECisco Catalyst 6500中ACE保护(Cisco Catalyst 6500置强冗余性)
l 分区间高性:思科ACE支持两模块配置虚拟分区间高性特定分区够影响模块中分区应基础执行障切换
性模式均通复制连接状态连接表提供快速状态化应冗余性
5123 安全功
思科防御网络提供级防御功客户高枕忧思科ACE通特性保护数中心关键应免受恶意流量影响:
l HTTP深度包检测——HTTP报头URL净负荷
l 双网络址转换(NAT)端口址转换(PAT)
l 支持静态动态基策略NATPAT
l 访问控制列表(ACL)选择允许端口间流量通
l TCP连接状态踪
l UDP虚拟连接状态
l 序列号机生成
l TCP报头验证
l TCP窗口尺寸检查
l 建立会话时检查单播反路径转发(URPF)
5124 集成硬件加速协议控制功
应供应领域尚属首次面世许常数中心协议HTTP实时流协议(RTSP)域名系统(DNS) FTP互联网控制消息协议(ICMP)提供效检测滤修复功
拥达256000条目型扩展ACL够时支持应希获前端扩展性(户客户端应数量)端扩展性(服务器服务器群数量)外达1000000条目高性扩展NAT事件处理功支持许型数中心整合应更快速面世虚拟分区重叠IP子网保持独立需保护数中心进行费高昂网络重新设计重新配置添加额外设备
思科ACE支持协议符合性检查安全分析提供事件记录报告
5125 基础设施简化
第二七层网络集成——作Cisco Catalyst 6500机箱模块思科ACE轻松插入新型现网络提供第二七层全面丰富解决方案该解决方案支持Catalyst 6500支持端口类型数量支持高达720 Gbps机箱吞吐率轻松扩展满足型网络求外该集成解决方案节省占空间利路状态注入 (RHI)动状态集成支持应数中心高性ACE虚拟分区通开启关闭网络中物理接口强制进行障切换
5126 功整合
通台设备整合容交换SSL加速数中心安全等功思科ACE获bpspps性显著提升缩短应延迟利功整合TCP信息流需终结次需网络四四位置进行终结节省时间减少处理工作存占加密解密负载均衡决策安全性检查业务策略分配验证均网络中单点完成较少设备简化网络设计更方便理实现更理想应性
5127 理功
思科ANMACE模块虚拟分区层次化理域进行理基服务器理套件ACE模块量虚拟分区进行发现配置监控报告部署完全透明化基模板配置审计服务激活中止功相配合快速实施应通匹配服务API配置务RBAC组允许位理员群组ACE模块虚拟分区时进行操作
5128 SSL加速
思科ACE解决方案集成SSL加速技术卸载外部设备(服务器设备等)SSL流量加密解密工作允许思科ACE加密数进行更深入检查应安全容交换策略设置仅思科ACE作出更明智策略决策确保您应供应台遵守部外部法规利重加密功思科ACE解决方案确保敏感数端端加密时执行智策略
5129 事务处理视性
秒处理350000系统日志业界领先速度思科ACE解决方案记录量连接设置断接提供事务处理级视性会影响数传输性
51210 开放硬件台
利两现场升级子卡插槽未需硬件化处理新功作子卡插入ACE模块思科ACE模块支持未功更高扩展性种灵活性确保思科ACE解决方案干年中着需求发展扩展需实施全面模块升级完全会造成业务中断
52 应优化负载均衡设计
521 智服务机箱设计
5211 物理连接
ACE模块防火墙模块期数中心实施中服务机箱提供两网络智功设备未理想设计蓝图中两服务机箱通VSS技术合虚拟单机箱时实现部服务模块冗余负载均衡期中服务机箱智服务器硬件模块部署密度高——机箱防火墙模块负载均衡模块块样机箱引擎加速技术防火墙模块迸发吞吐量32Gbps负载均衡模块四层吞吐力16Gbps(需负载均衡)完全满足前业务需求实施中简化配置改双机箱VSS结构备机箱方式业务需求涨业务模块增完善双机箱负载均衡VSS模式图示:
机箱双万兆连两台Nexus 7000建议果富余万兆端口台4万兆端口双双连Nexus 7000样Nexus 7000vPC跨机箱捆绑技术整拓扑成三角形结构——智服务机箱连带宽40G(双工80G)服务机箱间带宽20G(双工40G)
5212 逻辑结构
根前面分析数中心业务特点数中心划分n业务区业务区独立智网络服务策略应独立虚拟防火墙应独立虚拟ACE应独立虚拟路VRF虚拟局域网组VLAN Group业务区理员定许资源范围充分享复底层资源低理成代价实现高效复图示:
虚拟服务区划分原:
n 建议安全域应虚拟服务区样虚拟防火墙策略简单化入策略出策略(安全设计章节详细介绍)
n 虚拟防火墙虚拟ACEVRFVLAN组应理想化虚拟化模式样程度实现特定业务相关路应安全整套虚拟化资源划分策略
n 业务定虚拟服务区中
n 需进行虚拟机迁移虚拟机虚拟服务区中
n 划分宜细分区宜建议期超5分区
服务机箱相互间Nexus 7000间链路采二层交换方式万兆捆绑IEEE 8021Q封装通VLAN标记VLAN Group应机箱虚拟化服务
面逻辑结构应前述三角形拓扑中会冗余环路二层结构中会导致生成树算法关闭冗余链路建议IEEE 8021QVLAN Trunking链路进行VLAN范围设置服务机箱互连捆绑链路VLAN服务机箱连Nexus 7000VLAN前者VLAN服务模块相互间状态配置步障时时通道样链路会充
分利会形成环路需生成树算法收敛计算路径
522 应负载均衡设计
ACE核心功负载均衡服务般设计中两种提供负载均衡服务方式:串联模式单臂模式
简单起见Active部分进行描述Standby部分设计Active部分完全相Active局部全部失效会Standby局部全部接面高性设计部分详细讨
5221 方案:串联模式应负载均衡模块ACE
应负载均衡模块ACE防火墙模块FWSM均串连方式网络中部署桥接模式串联部署ACE非常简单VIP(Virtual IP)直接位客户端服务器间路径
串联模式ACE设计方案中发VIP客户端流量达MSFCMSFC执行IP路查询然流量转发FWSMFWSM做安全控制策略转发ACE作出负载均衡决策选择真实服务器ACE执行L2重写(服务器NAT)流量转发真实服务器真实服务器发出返回流量通相路径回客户端图示
串联模式ACE方案特点:
n 较容易做虚拟防火墙虚拟负载均衡理想应(图)
n FWSM 放置ACEMSFC间利ACE路动态插入RHI功(RHI面介绍)
n 子网实现新服务器群负载均衡ACE添加新服务器VLAN客户端VLAN
n 服务器备份等发WEB服务器非负载均衡流量必须桥接通ACE
n 没负载均衡必服务器通信必须通ACE进行
5222 方案二:单臂模式应负载均衡模块ACE
单臂模式ACE设计方案中ACE仅通VLAN连接MSFC处防火墙保护外
客户端发VIP址流量需负载均衡流量MSFC路ACEACE进行负载均衡选择真实服务器执行L3重写(服务器NAT)流量转发FWSM进行包检查然转发真实服务器MSFC配置PBR时FWSM发真实服务器返回流量转发MSFCPBR流量进行分类发回ACEACE服务器NAT执行反L3重写流量发回MSFCMSFC转发回客户端ACE单臂VLAN默认网关MSFC接口IP真实服务器默认网关FWSM接口IPFWSM定义默认路服务器流量转发MSFC
ACE单臂模式确保返回流量够回ACE需NAT策略路(PBR)源NAT较简单适合源IP址追踪客户端模式进行记账计费客户PBR避免问题带问题路复杂性非负载均衡流量非称路VRF支持等问题
单臂模式ACE方案特点:
n 优势需负载均衡流量ACE样提高数中心扩展性
n 配置RHI动态VIP作机路发布MSFC简化配置实现动态学
n 没FWSM保护网言关键特ACE身极强安全保护力
n MSFC需源NATPBR确保真实服务器发送返回流量转发回ACE
n 较难实现虚拟化ACE虚拟化防火墙理想应模式实现该方式必须ACE连VRF前Cat6500基VRFPBR限制
5223 应负载均衡设计方案较
根详细方案较结合XX数中心网络特点应求认前业务虚拟化ACE迫切程度远防火墙虚拟化相需ACE数中心业务流量较推荐采单臂模式ACE方案业务发展业务端端虚拟化求迫切未基VRFPBR较完善较容易切换基虚拟化ACE单臂模式
523 安全功设计
服务器负载均衡功外ACE30版中提供强应安全特性单臂模式ACE方案中非处防火墙保护ACE模块安全性强力保障功包括:
l 访问控制列表ACL:ACL包括系列语句定义网络流量概况条目允许拒绝网络流量(入出)达条目中规定网络部分执行单元(允许禁止)外条目包括基源址目址协议协议特定参数等标准滤器单元ACL隐式拒绝全部条目希允许连接接口必须配置ACL否ACE拒绝该接口全部流量
l AAA:ACE模块执行户身份认证记账(AAA)服务访问ACE户提供更高安全性AAA服务AAA服务器控制访问ACE踪访问ACE户操作根提供户名口令组合ACE数库执行户身份认证者外部AAA服务器实现远程身份认证记账
l 应协议检查:数包通ACE时候某应需数包数部分进行特处理应协议探测助验证协议行识流ACE害恶意流量根通信流量策略规定ACE接受拒绝数包确保应服务安全需ACE执行HTTPFTPDNSICMPRTSP协议应检测作数包转发目服务器前第步HTTPACE执行深层数包检查监控HTTP协议状态根户定义流量策略允许拒绝流量通HTTP深层数包检查关注HTTP属性HTTP报头URL效负载等FTPACE执行针FTP会话FTP明令检查允许您根ACE限制特定命令应检测助识TCPUDP流中嵌入IP址信息位置检测ACE转换嵌入IP址更新受转换影响校验者字段
l TCP 标准化:TCP标准化种第4层特性包括ACE数流传输阶段(初连接建立连接关闭)执行系列检查通配置高级TCP连接设置控制分段检查ACETCP连接设置确定执行检查根检查结果确定否丢弃TCP分段ACE会丢弃显异常畸形分段种特性检查发现非法疑(服务器发送客户端条SYN客户端发送服务器条SYNACK)分段根配置参数设置采取恰措施ACETCP标准化阻塞某种类型网络攻击插入(insertion)攻击躲避(evasion)攻击插入攻击指设计种机制检查模块接收终端系统
拒绝数包躲避攻击指设计种机制检查模块拒绝终端系统接受数包ACE总动丢弃坏分段校验数包坏TCP报头错误效负载长度数包带疑TCP标记 ( NULLSYNFIN FINURG) 数包
l 网络址转换:服务器提供安全性服务器专IP址映射全局路IP址客户端该址连接服务器种情况客户端发送数服务器时ACE全局IP址转换服务器专IP址相反服务器响应客户端时候ACE服务器IP址转换全局IP址达安全目程称DNAT
建议期建设中项目数中心处网外部攻击相少部分ACE安全特性作身保护防火墙功补充负担卸载(特定协议检查)建议作安全手段
524 SSL分流设计
ACE实现网络协助完成SSL分流减轻台服务器操作SSL压力安全套接层(SSL)种应层协议互联网提供加密技术赖证书私钥公钥交换实现层次安全性确保安全交易电子商务网站传输信卡号通结合私密性身份认证SSL数完整性SSL客户端服务器间提供安全数交易
ACE模块通组特殊SSL命令组客户端服务器间执行加密功SSL功包括服务器认证私钥公钥生成证书理数包加密解密
ACE支持SSL第30版传输层安全(TLS)第10版ACE理解接受SSL 20版Client Hello消息(该消息称混合23 hello消息)允许两种版客户端ACE通信客户ClientHello 第20版中指明SSL第30版时ACE解该客户端支持SSL 30版返回条30版Server Hello消息果客户端仅支持SSL第20版ACE网络流量通
建议根应求选择配置SSL分流(offloading)功服务器提供数加密解密SSL Offloading情况客户端发送 HTTPS流量ACE VIPACE SSL 流量转发板(on-board)SSL模块进行加密明文流量发回ACE做出负载均衡决策然转发真实服务器真实服务器发出返回流量转发ACEACE明文流量发送SSL模块进行重新加密然加密流量发送回ACE
ACE转发回客户端终解脱服务器繁重SSL处理负担
525 扩展性设计
XX数中心网络设计中采业务功模块化网络拓扑层次化设计架构核心分布接入层模式种模式服务器负载均衡防火墙SSL卸载等网络服务分布层提供应承载设计中两关键部件性指标方案扩展性提供良支持
ACE提供业界高第47层性模块秒吞吐量达16Gbps支持连接数达345000条佳性250虚拟分区支持 ACE提供高应户群扩展性Catalyst 6500机箱中安装4ACE模块实现扩展性
表 1 ACE性容量
特性
高性配置
综合性
吞吐量
16 Gbps* 8 Gbps* 4 Gbps
秒通数包数
650万
秒处理系统日志数
350000
容交换性
秒连接数
345000完整交易速率
步连接
4 百万
SSL 加速
5K 10K 15K* SSL 交易秒 默认1000
容交换配置
虚拟服务器
4096
服务器群
16000
真实服务器
16000
VLAN 总量(客户端服务器)
4000
探测器
ICMPTCPUDPEchoFingerDNSTelnetFTPHTTPHTTPS
SMTPPOP3IMAPRADIUSScripted
ACL条目
256000接入控制单元
虚拟分区
250* 基报价包括5 虚拟分区
VLAN总数 (客户端服务器)
4000
* 需购买升级许
526 高性设计
数中心业务应较高性求求网络具支持业务永续性冗余力种冗余旨消设备连接障造成影响冗余特性设计适位置确保发生障时数客户端流服务器重XX数中心网络中机箱路模块ACE模块FWSM模块充分考虑冗余设计
5261 路模块冗余
Catalyst 6500机柜种硬件特性提供具弹性高性解决方案包括双电源双机箱系统
电源冗余模式运行种模式果电源出现障者机柜交流电源出现障余电源继续支持机柜运行
5262 防火墙模块FWSM冗余
FWSM支持状态障切换意味着TCP连接UDP流动防火墙模块复制备防火墙模块发生障时备模块变成模块继续已建立连接转发流量FWSM障切换时间约1~3秒
前面设计中提两服务机箱采备冗余设计两机箱防火墙模块通特定VLAN(Failover VLAN)交换心跳信号配置步够检测出设备否存障选择备设备FWSM间外特定VLAN (Stateful VLAN)复制防火墙正转发流量状态信息切换防火墙保留连接状态信息提供切换前中断业务服务
建议单独冗余物理端口实现Failover VLANStateful VLAN
5263 应负载均衡模块ACE冗余
应负载均衡设计中ACE模块状态冗余显尤重ACE状态障切换机箱支持XX数中心网络设计中样跨机柜等ACE模块间实现
支持种备配置创建FT VLAN接口传输心跳信号FT等设备定义心跳信号频率例100毫秒丢失10次心跳信号视等设备丢失障切换定时器户配置
建议单独冗余物理端口实现FT VLAN
5264 服务器冗余
服务器冗余实际负载均衡服务器群中台服务器组成负载均衡集群实现集群中服务器健康状况ACE进行实时动态监控通配置运行状况探测器(时作keepalives)指示ACE检查服务器服务器群运行状况创建探测器分配某真实服务器服务器群探测器类型中种:
l TCP
l ICMP
l Telnet
l FTP
l HTTP GET
l HTTP HEAD
根应求调整运行状况探测器参数时间间隔障检测(faildetect)通探测(passdetect)等满足需求
l 时间间隔: 秒单位探测间隔时间
l 失败探测: 记录真实服务器障前续错误数目
l 通探测: 两次探测服务器障间时间间隔单位秒
负载均衡器定期发出探测信息确定某服务器状态检查服务器响应阻止客户端达服务器网络问题根服务器响应负载均衡器服务器开始运行停止运行
根服务器群中服务器状态负载均衡器做出负载均衡决策
5265 服务器NIC Teaming(成组)
NIC接口服务器会存单点障NIC卡电缆连接交换机NIC成组NIC卡供应商开发种解决方案通提供特定驱动器消种单点障该方法允许两块NIC卡连接两接入交换机接入交换机模块端口果NIC卡出现障第二块NIC卡会接服务器IP址接运行出现中断NIC成组解决方案种类型包括ActiveStandby模式(备)ActiveActive(双活)模式
根单服务器业务量Teaming网络复杂度影响评估推进服务器NIC Teaming方式ActiveStandby模式(备)IP享MAC址
5266 高设计数流分析
交换机防火墙模块ACE模块处障点单独切换
前A机箱防火墙障机箱B防火墙接应业务A机箱VRFB机箱防火墙模块A机箱ACE完成数流处理AB机箱数流交互通AB间VLAN Trunking完成
5267 未高性扩展
前网络智服务机箱备模式工作未考虑利虚拟化技术部分虚拟区A机箱部分虚拟区B机箱样两机箱形成ActiveActice双活模式形成真正负载均衡冗余存设计然样方案会带非称路径处理等诸复杂设计建议系统智服务峰值处理量机箱法承载时升级种双活服务机箱模式
备双活思科支持通VSS技术两服务机箱虚拟化机箱实现更清晰智服务理更高性网络负载均衡力未考虑进步升级实施
第6章 网络安全设计
61 网络安全部署思路
611 网络安全整体架构
目前数安全解决方案质孤立没形成完整安全体系概念然已存安全防护技术防火墙入侵检测系统防病毒机加固等厂家鉴技术优势厚薄彼必须全局体系架构层次进行总体安全规划部署
XX次信息建设然仅包括数中心网楼层广域网中心部分改造建设必须全局架构高度进行统设计建议采目前国际新信息保障技术框架(IATF)安全体系结构明确提出需考虑3素:操作技术技术方案着重讨技术素操作需非技术领域(安全规章制度)方面进行解决
技术素方面IATF提出通框架信息系统信息保障技术层面分四技术框架域:
· 网络基础设施:网络基础设施防护
· 飞边界:解决边界保护问题
· 局域计算环境:机计算环境保护
· 支撑性基础设施:安全信息环境需支撑台
提出深防御IA原技术操作相结合样性层叠保护原图示:
安全技术应框架中位置图示:
次网络建设改造中需考虑安全问题图中网络基础设施保护边界保护两方面计算机环境(机)支撑台系统机建设业务应建设中需重点考虑安全问题
612 网络台建设必须考虑安全问题
高速发达网络台衍生现代网络病毒蠕虫DDoS攻击黑客入侵等等攻击手段果防护手段然停留计算环境信息资产保护处动需网络底层台建设开始安全防护特性置中SODC架构中安全智网络应层业务提供基服务
XX网络台安全角度安全设计分三层次:
设备级安全:需保证设备身安全设备身越越成攻击终目标
网络级安全:网络作信息传输台第时间保护信息资源力机会包括进行户接入认证授权审计防止非法接入进行传输加密防止信息泄漏窥测进行安全划分隔离防止授权访问等等
系统级动安全:智防御网络必须够实现谓先知先觉潜威胁演变安全攻击前加措施包括通准入控制健康机器接入网络通事前探测时分流防止规模DDoS攻击进行全局安全理等
XX应述三方面逐步实施
62 网络设备级安全
网络设备身安全包括设备身病毒蠕虫防御网络协议身防范措施项目涉网络设备协议环境面威胁相应解决方案:
621 防蠕虫病毒等Dos攻击
数中心然没直接连接Internet部专网中计算机法保证整周期会接触互联网种移动存储介质然会较面量网络蠕虫病毒威胁Red CodeSQL Slammer等等常变换特征防火墙完全进行滤般发作机理:
· 利Microdsoft OS应缓区溢出漏洞获机控制权
· 获机控制权安装病毒软件病毒软件机生成量IP址IP址发送量IP包
· 安全漏洞MS OS会受感染机生成量IP址IP址发送量IP包
· 导致阻塞网络带宽CPU利率升高等
· 直接网络设备发出错包网络设备CPU占率升高直引发协议错误甚宕机
需设备级保证受攻击时身健壮性次XX核心交换机Nexus 7000智服务机箱Catalyst 6500均支持硬件化控制面流量制功限制必须CPU亲进行处理信息流速求包速制阈值设定CPU健康工作范围根解决病毒包CPU资源占问题时影响数面正常数交换特Nexus 7000控制面保护机制板卡级分布式处理具备型IDC中规模DDoS防护力
外类蠕虫病毒会利伪造源IP址进行泛滥局域网核心交换机广域网骨干路器应支持转发包进行源址检查源址合法IP包会转发种技术称Unicast Reverse Forwarding(uRPF单播反转路径转发)该技术果通CPU实现千兆网络中具备实性次XX网络中万兆级三层端口支持通硬件完成uRPF功
622 防VLAN脆弱性配置
数中心安全域进行防火墙访问控制隔离时存VLAN然广泛采端口捆绑vPC等技术正常工作中拓扑简化甚完全避免环路网络VLAN关系复杂法工程完全杜绝诸网络障切换误操作造成时环路必运行生成树协议作二层网络中增加稳定性措施
前许软件具STP 功恶意户PC安装STP软件Switch相连引起STP重新计算成STP Root 流量会流恶意软件机 恶意户做包分析局域网交换机应具Root guard(根桥监控)功效防止Switch成STP Root项目允许二层生成树协议设备特接入层中启动Root Guard特性外Nexus50002000支持BPDU filters Bridge Assurance等生成树特性保证生成树安全稳定
恶意户编制特定STP软件Vlan加入会引起量STP重新计算引起网络抖动CPU占升高期接入层交换机端口设置BPDU Guard功旦某端口接收恶意户发STP BPDU禁止端口
(三)防止ARP表攻击效手段
项目量三层交换机发送数前工作方式路器样先查找ARP找目端MAC址信息发目病毒三层交换机发充ARP目端IP址恶意户机MAC应发目端包会发恶意户实现包窃听
Host配置静态ARP种防止方式理负担加重维护困难通信双方常更换时时更新
期三层交换机支持动态ARP Inspection功动态识DHCP记忆MAC址IP址正确应关系效防止ARP欺骗实际配置中配置Server网络设备实施ARP欺骗静态设定数量理较简单
623 防止DHCP相关攻击
项目中楼层网段会采DHCP Server服务器提供户端址面着种DHCP服务相关攻击方式:
l DHCP Server :某恶意户网段放DHCP 服务器时PC容易DHCP server分配IP址导致网
l 恶意客户端发起量DHCP请求DDos 攻击:恶意客户端发起量DHCP请求DDos 攻击会DHCP Server性耗CPU利率升高
l 恶意客户端伪造量MAC址恶意耗IP址池
应采技术应常见攻击:
· 防DHCP Server :次新采购户端接入交换机应支持DHCP Snooping VACL 允许指定DHCP Server服务通DHCP Server服务通Switch
· 防止恶意客户端发起量DHCP请求DDos 攻击:次新采购户端接入交换机应支持DHCP请求作流量限速防止恶意客户端发起量DHCP请求DDos 攻击防止DHCP ServerCPU利率升高
· 恶意客户端伪造量MAC址恶意耗IP址池:次新采购户端接入交换机应支持DHCP option 82 字段插入截断客户端DHCP请求插入交换机标识接口标识等发送DHCP Server外DHCP服务软件应支持针标识请求进行限量IP址分配者附加安全分配策略条件
63 网络级安全
网络级安全网络基础设施提供连通性服务基础增值安全服务网络台直接实现安全功采独立物理机实现具更强灵活性更性更方便理次数中心设计范围访问控制隔离(防火墙技术)
XX全网集团网络机构广域网互联网部楼层部数中心等具备明显安全求网络飞边界部署规需防火墙进行隔离文档仅讨数中心部分部防火墙安全控制设计
631 安全域划分
数中心安全域划分需建立数中心应业务分析基础前述虚拟服务区划分原致实际SODC虚拟化设计原虚拟服务区应应唯虚拟防火墙应唯安全域具体原:
l 业务定安全域
l 必进行安全审计访问控制区域必须安全域划分
l 需进行虚拟机迁移虚拟机安全域中
l 划分宜细安全等级致业务安全域进行建议期超5安全域
般划分:OA区应服务区数库区开发测试区等
632 防火墙部署设计
安全域流量需互访必须严格访问控制隔离果传统网络设计需网络应交换台间边缘部署防火墙设备进行安全保护样需量防火墙性受限外部连接接口带宽增加网络理复杂度未难扩展应置交换机高性防火墙模块考虑复杂连线方便进行安全域划分容易扩展理提高整体性
果安全域防火墙安全域考虑套出入策略
安全域复杂相互关系变成安全域出进关系样整防火墙策略变模块化清晰化简单化诊断策略问题时相关安全域专防火墙策略容易找问题次防火墙设计中充分虚拟防火墙技术
里虚拟防火墙功指物理防火墙虚拟划分独立防火墙虚拟防火墙完全独立配置界面策略执行策略显示等等操作象单独防火墙样虚拟防火墙应具独立理员分配资源连接数存数策略数带宽等等防止虚拟防火墙病毒意外占资源仅仅VLAN类技术划分防火墙法起策略独立性资源独立性目属里指虚拟防火墙
虚拟防火墙应配合虚拟三层交换机安全域部存IP子网间需三层交换机进行路安全域间样路应混路表中应安全域路表配置静态动态路协议独立路器样安全域相互间仅通虚拟防火墙互相连接安全域互连逻辑结构图示:
终应达虚拟化数交换中心效果交换机物理端口VLAN端口够充防火墙端口时安全域独立虚拟路器独立路表独立动态路协议安全域应专虚拟防火墙虚拟防火墙拥独立理员权限定义安全策略资源安全域理员负责区域虚拟防火墙策略控制理关心虚拟防火墙配置工作避免单区域安全策略配置错误区域造成影响根简化型数中心理维护难度
防火墙模块物理逻辑部署请参见前面智服务机箱设计节
633 防火墙策略设计
安全域间访问控制策略虚拟化设计需考虑安全域出方策略入方策略建议初始策略原设定然根业务需求断调整:
l 出方进行策略限制全部开
l 入方授权原开必服务
l 允许发部址双方ICMPICMP进行应检查(Inspect)
l 允许发部址Trace Route便网络诊断
l 关闭双方TCP Seq Randomization数中心防火墙该功提高转发效率
l 减少者进行NAT保证数中心址透明性便ACE提供服务
l 关闭natcontrol(默认)关闭xlate记录保证发连接数
l 虚拟防火墙资源进行限定:总连接数策略数吞吐量
l 基虚拟防火墙设定未完成连接数(Embryonic Connection)升级定义客户端未完成连接数
634 防火墙性扩展性设计
期项目建议采防火墙模块具55Gbps吞吐量100万发连接数秒10万新建连接数力高端防火墙系统表示:
表 FWSM性容量
特性
高性配置
综合性
55 Gbps
3 M pps
100万条步连接
秒100000条HTTPHTTPS连接
256000 前 NAT PAT转换
全局配置
VLAN接口
服务模块1000
路模式虚拟防火墙256VLAN
透明模式虚拟防火墙8VLAN
接入控制列表
单虚拟防火墙模式80000ACLs
虚拟防火墙
2050100250 虚拟防火墙许证
然双活模式项目防火墙系统提供高达11Gbps吞吐量作未数中心防火墙系统认应具备完全线性吞吐量力幸运次提供新版防火墙模块中提供高达32Gbps单模块吞吐力甚扩展300Gbps需防火墙模块实现思科新技术:SUP Acceleration(引擎加速)
数中心数量交互中占防火墙处理开销黑客攻击越权访问等拒绝流存储备份文件传输虚拟机映加载存步等等带宽消耗正常应信流特点持续稳定TCP连接UDP会话中传送力(Best Effort)进行数传送侵占巨带宽传统防火墙类流量会逐包进行检查处理导致防火墙部处理拥塞思科新代防火墙模块实现交换机资源提高防火墙模块身吞吐性实际防火墙流前包进行处理流通信流结流特征提取出送交换机交换机特征流续包进行识处理相流续部分交交换机完成样交换机资源防火墙资源实现真正融合提高安全访问控制处理速度前单防火墙模块实现实测55Gbps吞吐量资源整合技术数值实测已达32Gbps软件升级300Gbps防火墙模块正面服务数中心资源整合化典型技术实现客户带资源融合益处
全球型数中心实际环境中通调查发现信流余流量防火墙身55Gbps处理力绰绰余项目中期工程中采双活智
服务机箱足保证防火墙环节瓶颈未通2防火墙模块双活甚虚拟ACE实现4防火墙模块双负载均衡
64 网络智动防御
传统停补丁进行特征码升级动防御手段已法适应安全防御求必须网络动智感知网络中行事件发生严重果前时通知安全网络理员甚直接联动相关安全设备进行提早措施效减缓危害实现种智动防御系统需网络中进行部署:
· 桌面户接入进行感知相应措施
· 桌面户行进行分析感知
· 全网安全事件流量拓扑进行智分析关联感知
· 种信息进行综合分析然进行准确报告
· 报告时进行网络联动提早抑制威胁
整程需产品进行部署实现产品部署进行简述
641 网络准入控制
网络准入控制技术——Network Access Control(NAC)种网络智终端进行感知判断威胁性减少终端发起攻击种技术NAC类似前面提身份识安全接入控制技术机网络设备等接入判标准仅仅基户身份基该设备网络健康状态NAC允许机构实施机补救策略符合安全策略求疑系统放置隔离环境中(特定专软件升级VLAN)限制禁止访问生产网络等威胁消回生产网络通端点安全状态信息网络准入控制执行标准结合起 NAC机构够幅度提高计算基础设施安全性
XX实施准入控制需够实现求:
· 体化准入控制:仅仅线端准入控制实现包括线VPN接入准入控制应统系统准入控制需太网交换机线AP设备线控制器VPN集中器支持统准入控制
· 支持种准入控制形式:包括够支持基Infrastructure准入控制线局域网线局域网基实现IEEE 8021x动态VLAN准入控制路器防火墙VPN集中器等等实施基滤机制准入控制支持基网络专设备准入控制网络交换机路器厂商品牌设备构成异构网络实施基专线设备准入控制
· 身份标识相结合:准入控制机制应身份标识体化身份标识户相应准入控制策略身份识健康检查进行联系
· 独立客户机健康状态进行评估:够结合病毒厂商软件进行安全状态检查更独立客户端行进行检查包括操作系统补丁病毒软件版等应包括检查注册表疑记录非法修改等等够通客户机状态进行深度判断基脱离复杂第三方厂商病毒软件部署独立健康状态进行准确评估
· 提供动修复:准入控制系统应包括提供线动修复力包括种策略软件分发链接推送等
· 够发现动识印机IP电话等非常规NAC客户端
期数中心建设建议XX楼层接入完善化建设中考虑桌面准入控制解决方案
642 桌面安全理
准入控制种网络接入机智判断般接入瞬间进行检查动作户接入进行操作收发信息准入控制系统干预网络种病毒蠕虫黑客软件泛滥客户机身网行分开型企业网理员法真正控制户端行网络变脆弱事频发祸首理员头痛问题
XX着IT业务深化发展需样桌面安全理软件——基行特征保护终端技术客户端软件基行基特征码标记病毒识库里行危害系统阻止客户端软件行进行专家级分析样减少频繁客户端软件升级更重够防止终端免受谓零日攻击未解病毒蠕虫间谍软件恶意代码新变种危害外基应程序行实施种安全策略户进行意意系统危害进行理控制具体应功:
· 识恶意意安全行:种威胁行支持注册表修改正常存访问收机端口正常扫描邮件系统正常台调等等病毒户意意造成时提示户进行阻止提示户作条Log信息报告台安全智网
· 动统计PC安装应程序:统计客户机器安装应程序安装版否安装BT等软件然台安全智网报告
· 调查应程序运行情况:统计应程序运行生成相应报表报告台智网
· 禁止安装运行理员指定应程序:够禁止客户机安装运行符合公司策略应程序BT钓鱼软件等
· 保护敏感数允许复制拷贝:保护文件开阅读复制复制文件文件夹允许文件中拷贝粘贴容出非常防止机密信息泄漏方法
· 禁USB等移动设备:USB光驱等种移动设备常常引入病毒风险入口客户端理软件应设定允许特定客户机设备者设备什容允许读理员授权时访问
· 统计够控制应程序网络:统计应程序网络情况提供应程序网络控制制订应IP包QoS标记禁止访问指定网段禁止邮件附带机密文件等等
· 够准入控制相结合:够准入控制缝结合准入控制终端健康识包括否安装客户端安全理软件否制订相应安全级策略反客户端安全理软件根准入控制结果(隔离已允许进入网络)提供安全保护策略
· 中央集中控:客户端理软件中心进行软件分发中心网进行统策略设置维护升级集中控 维护简单
· 台报警报表:功时跳出窗口户解安全威胁询问户否阻止户时完全知详细情况报表报警等通台传送集中控智安全网控制台理员整户网络情况目然提早采取措施
功集中控服务器端理软件分布户机客户端软件构成通中心策略设置客户端软件分发客户端机工作模式设台告警报表模式减少前端户正常工作干扰理员解计算机安全运作情况根信息确定安全预防措施
建议逐步实施楼层网络优化改造项目中实施类似客户端桌面理控制
643 智监控分析威胁响应系统
XX已部署部署量种安全设备需参形成巨安全理挑战常见蠕虫早期发生时相关网络设备防火墙IDSIPS会异常记录产生会淹没数万计日志告警中理员难发现等爆发形成损失调查够爆发程信息难设备记录中分析爆发源头
XX网中心需智安全理系统应象精通网络安全设施专家帮助进行早期预警源头踪措施建议等等安全监控分析威胁响应系统(Monitor Analysis and Response SystemMARS)具体应包括样功:
· 监控安全设备:MARS系统够监控安全设备形成日志记录告警进行收集
· 监控网络拓扑形态:MARS系统够解整网络拓扑设备类型路表址表等等信息
· 监控网络流量:MARS系统够监控网络中种流量某特定TCPUDP端口号流量变化够采集设备Netflow 信息进行统计形成日常基线够识异常流量
· 监控网络设备:MARS系统够监控种厂商网络设备记录包括路器交换机VPN设备NAT等等
· 统进行分析功:MARS监控信息统进行分析特网络拓扑异常流量相关联种似分离事件相关联种重复错误报告删浩烟海问题报告浓缩成少量安全事报告供理员参考数十万告警仅剩十高中低优先级事报告
· 形象呈现:事报告理员清晰描述攻击源路径目标攻击次数等等网络拓扑图中述信息标识处理供理员参考
· 智专家建议:根发生安全事MARS理员进行智建议拓扑路径智分析告诉理员应处佳位置进行滤滤应采访问控制列表具体命令等等
· 远程修复:通常MARS动形成措施建议供理员选择旦理员意某措施措施写访问控制列表关闭端口会动发目标设备动完成修复
· 兼容厂商设备:MARS应流网络设备厂商安全设备厂商设备予支持少量非流厂商设备MARS简单定制予支持
MARS必须代安全信息理系统(SIMS)需增强功:
· 信息收集关联方式:MARS监控容仅仅安全设备记录包括网络拓扑流量信息安全事件相关联进行判断更准确
· 信息报告方式:MARS显示整网络拓扑够攻击形象标识拓扑图理员清晰掌握网络安全威胁波源头范围动进行防御
· 修复智化动化:MARS直接建议安全措施甚安全措施具体表现命令级理员需钮直接进行远程设置修复
图直观攻击拓扑显示
图攻击源位置直观显示:
图MARS抑制该攻击建议需点击Push攻击源交换机进行设置帮助抑制正发生攻击
建议XX考虑全局网络运营理时应部署MARS系统部署MARS时应时部署MARS兼容网络状态监控设施设施包括IDSIPS防火墙网络设备流量监控设备等建议XX未部署网络状态监控设施时应考虑部署原保证MARS系统作充分实现:
· IDSIPS求:作MARS信息源XX楼层局域网应部署硬件IDS监控核心局域网二级网络间应部署硬件IDS监控国家级干省级接入IDS应置少1G连接带宽外部IDS广域网接入路器应支持置外部IPS保证定性
· 防火墙求:前面安全域隔离方案部署防火墙防火墙应完整Log记录NAT记录够MARS兼容(目前推进数中心防火墙方案满足求)
· 网络设备求:网络干设备应具硬件化流量华芯片模块够支持Netflow硬件化采集够万兆核心交换板卡提供1:1取样(Sampling)力网络设备应安全事件(ACL滤NAT等)提供Log审计(目前Nexus 7000完全满足求)
· 兼容性求:网络设备(IDS防火墙中高档路器交换机等)应MARS系统兼容监控信息报告须定制MARS系统直接接受MARS系统控制实现安全响应少量兼容设备MARS系统应支持通定制化方式监控理(目前Cisco设备流国外厂商设备满足求国厂商设备需定制)
644 分布式威胁抑制系统
XX云计算台通广域网连接量托服务器样规模点分布式网络更难中心总部控制远程点安全接入广域网蠕虫病毒等威胁更敏感种病毒爆发广域网线路轻易塞满类业务法正常传输必须考虑分布广域网点进行力遏制实现分布式威胁抑制
孤立部署防火墙IDSIPS种解决办法会理成性功相互矛盾问题效抑制需较完善IDSIPS防火墙系统理难度成非常高
XX考虑形成MARS系统理核心网络设备置安全防御系统分布式威胁抑制系统 实现特征:
· 理:中心MARS系统分布方节点安全设施MARS拓扑发现报警收集事件分析报告直观威胁路径图形远程动修补等等功保证分散安全设施效理
· 成:MARS配合置IPS防火墙功路器节省单独购买IPS防火墙系统费
· 性功:MARS分布式攻击抑制解决方案核心网络设备置IPS防火墙等功果通软件CPU完成性功肯定具备实性果置专门IDSIPS硬件模块规模分散节点形成极高成投入MARS样解决矛盾:
o 通路器软件完成IPS会性功问题原IPS基状态特征码识系统需高速数流中提取特定识信息巨病毒特征码数库进行匹配果CPU完成性想知置软件IPS功开启少特征识码实际企业段时期会种少数病毒困扰网络中时发生着历史跨度极数百种病毒路器数包逐匹配完整病毒特征数库没必放省级节点MARS具样功网络中心硬件IDSIPS中探知前正发作种病毒然特征码收集推送级单位节点路器路器IPS仅仅装载种特征码然进行高效率识匹配种需进行匹配IPS成功解决低端路器病毒滤性问题动完成特征码升级维护
分布式威胁抑制实现机制图示:
MARS系统中心分布式威胁抑制系统求:
· 中心总部配置MARS系统
· 中心总部配置高性硬件IDSIPS模块单元设备
· 分布属单位中低端路器支持置IDSIPS功(软件硬件皆)MARS特征码推送功兼容
建议未实现XX全国网络规划改造时考虑实施种济简单时限度保证广域网线路稳定远程分布式威胁抑制解决方案
第7章 服务质量保证设计
71 服务质量保证设计分类
XX次网络服务质量保证(QoS)设计包括两方面:
l 数中心服务质量设计:采Data Center Ethernet技术DCE太网QoS设计
l 传统局域网广域网服务质量设计:部分业务类型复杂包括业务数IP电话视频会议等等加传统局域网广域网技术身机制带宽资源制约QoS设计重点部分IP QoS设计
72 数中心服务质量设计
次数中心采Data Center Ethernet(DCE)技术DCE设计目标未型数中心业务提供传输保障知道衡量QoS质量四素:带宽延迟延迟抖动丢弃率资源整合面服务数中心中带宽延迟丢弃率求非常苛刻达新代数中心设计目标必须DCE够满足带宽延迟抖动服务质量求
721 带宽设备吞吐量设计
保证资源整合网络传输带宽网络设备吞吐力必须实现DCE设计:
7211 设备吞吐力
选择设备必须够提供足够交换容量Nexus 7000具备4Tbps交换吞吐力插槽230Gbps(扩展500Gbps)接入层设备选择采接12Tbps交换力Nexus 5000交换延展设备Nexus 2000交换力线性延展服务器机柜
7212 带宽设计
首先数中心拓扑设计中规划带宽次设计中接入层列机柜基保证服务器接入网络线速台柜顶交换机(Nexus 2000)连时4万兆链路捆绑提供带宽保证外Nexus 500012Tbps交换力保证万兆汇聚瓶颈处理
数中心前规模带宽占服务器间存步行计算数备份融合SAN存储访问果够未支持FCoE存储机柜设计Nexus 5000接入万兆网卡高性服务器直接Nexus 5000机柜接入保证服务器机柜分配条件量资源耗费处理接入层Nexus 5000完成基保证带宽线性处理
接入层数中心汇聚层(Nexus 7000VDC)连接中定载载针跨越两Nexus 5000两列(称POD)间流量前Nexus 50007000间采4万兆万兆端口数量紧张情况扩容保证跨机箱vPC技术实现充分负载均衡端口捆绑考虑前服务器数量远没达完全载数量适安排服务器两列间流量基非常少部分带宽消耗型应列完成前载完全满足前少5年数处理量求
数中心服务机箱(Catalyst 6500)数中心汇聚(Nexus 7000 VDC)间前设计带宽机箱双万兆连(40Gbps全双工吞吐量)数值已超前机箱单防火墙模块引擎加速特性吞吐力(32Gbps)单ACE模块处理性(16Gbps)没连接瓶颈智服务扩容时互连带宽继续扩容通vPCVSS技术保证跨机箱捆绑充分负载均衡
数中心汇聚全网核心(Nexus 7000VDC间)通灵活万兆线路跳接方便扩容互连带宽根整股份公司数中心访问量评估前互连方式(全双工超80Gbps)完全满足少5年业务发展需求
7213 DCE带宽理:
理分析中带宽设计已完全满足次设计需完美设计保证网络中处处线性没载必济出现载位置通技术手段需带宽服务够保证优先获资源服务质量保证设计重点
次推荐DCE网络技术中已完全支持IEEE新带宽理技术8021Qaz ETS(Enhanced Transmission Selection)该技术保证载情况优先保证高性计算网存储网流量带宽般数业务灵活高效剩余效带宽图示11G10G载情况QoS优化带宽分配:
722 低延迟设计
DCE资源汇聚存储业务高性计算业务交换台传送DCE重求保证网络原低延迟低抖动力样太网获设备低延迟转发特性拥塞情况高级队列调度实现
期推荐采Nexus系列交换机特点CiscoMDS系列存储交换机实现SAN网络低延迟技术专利太网交换机获极低转发延迟三层端口端口转发延迟10~20us二层端口见转发延迟3us充分保证
远程存储读写远程存访问流畅性
带宽设计时样网络位置通充裕资源适进行带宽分配设计许关键位置然存载会带资源紧张出现突发预测资源分配够问题时需采高级队列理调度延迟敏感业务动出资源保证延迟极敏感业务服务质量受影响太网协调资源实现类似流量控制早常见端口暂停帧机制(IEEE 8023 Annex 31B)拥塞发生时通互连端口信息传递端口流量发送暂缓保证足够资源处理关键业务种传统控制方式导致物理端口业务暂停导致预料延迟
次采DCE网络支持IEEE新Priority Flow Control (IEEE 8021Qbb)技术图示达8种业务完全流量区保证迫切需资源存储访存类业务流低延迟优先性
8类业务常规QoS8021Q优先标识IP Precedence优先标识进行统定义
723 丢弃设计
资源缺乏会导致系统业务进行丢弃存储业务高性计算业务等丢弃极敏感业务机制延迟成功率苛刻求少量丢弃会业务效率产生极严重影响DCE
丢弃太网称许方面改善传统太网易丢弃简单流控行表现方面:
l Switch Fabric VoQ:SAN交换机交换矩阵运营商核心设备广泛采矩阵队列调度方式现该技术广泛DCE级设备效避免设备交换处理时头端堵塞现象保证高优先级流量丢弃
l 硬件化Credit 机制:传统SAN交换机硬件保证传输丢弃技术通收发双方互相沟通收发力计数器相互协商方发送接收力种高效沟通方式保证底层传输丢弃现该技术DCE级交换机采保证收发太网帧象收发存储FC帧样做丢弃
l Per Virtual Lane (VL) Credit:面技术物理端口级DCE中种硬件Credit技术端口Virtual Lane级意味着收发双方物理口实现业务采Credit参数实现流控求传统数进行种机制节约资源FCoE帧必须该机制收发物理接口存
l BCNQCN (IEEE 8021Qau):种拥塞控制机制特点网络中检测出拥塞然发信令源头降低载流量拥塞缓解保证优先业务丢包该技术ATM等精细流量理网络中图示
第8章 网络理业务调度动化
动化SODC架构中层动优化实现服务调必须条件高度整合化虚拟化基础服务部署完全需物理动作资源虚拟化台物理设施关进行分配整合样需定业务策略输入智网络策略服务器切工作系统身优化方式进行计算评估决策调配实现
作SODC种理想理业务调度方式完全动化需坚实DCE建设基础新型DCE网络建设稳定运行逐步实施动化措施
作SODC提出倡导厂商思科公司已商化理动化业务动化解决方案面简单介绍作未实施参考
81 MARS安全理动化
思科网络监测分析响应系统(Monitoring Analysis & Response SystemMARS)够感知网络中发生种安全事件包括网络拓扑设备配置址转换种安全设备记录流量状况分布……等等然加智分析关联滤终发现安全等级安全威胁形象表示理员拓扑图重时根安全事具体情况产生相应补救策略动完成网络相关设备配置实现真正动动安全防御MARS种动调底层资源实现安全服务机制前面安全设计中已介绍
82 VFrame业务部署动化
思科VFrame系统根输入业务逻辑动优化资源配置智网络中虚拟网虚拟防火墙服务器虚拟化软件虚拟存储虚拟负载均衡等设施动完成包括安全存储计算等数中心业务部署规划限度减少理复杂度提高物理资源效率理漏洞差错降低
两种动化服务部署技术XX数中心基础设施整合虚拟化部署定程度逐步进行实施
第9章 服务器(UCS)组件高性
91 思科统计算系统(UCS)简介
思科统计算系统代数中心台紧密结合系统中整合计算网络存储接入虚拟化功旨降低总体拥成(TCO)时提高业务灵活性该系统包含低延时丢包万兆太网统网络阵列台企业级x86 架构服务器集成扩展机箱台统理域中理资源(图1)
思科 UCS B 系列刀片服务器思科统计算系统重构建模块未数中心提供灵活扩展计算力时够帮助降低总体拥成(TCO)
思科 UCS B 系列刀片服务器构建工业标准服务器技术基础提供特性:
· 达两英特尔强系列 55005600 核处理器
· 两选前置热插拔 SAS 硬盘
· 支持达两双端口扩展卡连接提供高达 40 Gbps 冗余IO 吞吐率
· 工业标准 DDR3 存
· 通集成服务处理器实现远程理执行 思科 UCS Manager 软件中制定策略
· 通台服务器前面板控制台端口机键盘显示器鼠标(KVM)
· 通远程 KVM安全外壳(SSH)协议虚拟介质(vMedia)IPMI 协议实现带外理
思科 UCS B 系列包括两款刀片服务器产品:Cisco UCS B200 双插槽刀片服务器UCS B250 双插槽存扩展刀片服务器(图2)
思科 UCS B200 款半宽刀片服务器拥12 DIMM 插槽支持高达96 GB 存时支持扩展卡思科 UCS B250 M1 款全 宽刀片服务器拥48 DIMM 插槽支持高达384 GB 存时支持两扩展卡
目前思科已推出基新Intel XEON芯片4路 CPU服务器满足户应性求
92 云计算基础思科UCS Manager简介
思科统计算核心组件Cisco UCS Manager 采思科独创服务配置文件(Service Profile)技术技术配置Cisco UCS B 系列刀片服务器IO 属性(需解更信息请参阅Cisco UCS Manager 概览)服务配置文件中包含配置服务器部署应需基础设施策略包括功耗冷安全身份硬件状况太网存储网络策略等通服务配置文件减少手动配置步骤降低错误率时缩短服务器网络部署时间外服务配置文件够整思科统计算系统中改进策略致性连贯性
思科 UCS Manager 创建统理域视思科统计算系统中枢系统思科 UCS Manager 嵌入式设备理软件通直观图形户界面(GUI)命令行界面(CLI)XMLAPI作单逻辑实体系统进行端端理
思科 UCS Manager 关键特性服务配置文件配置思科统计算系统资源服务配置文件概念提高IT 工作效率业务灵活性现基础设施分钟配置完成必花费数天时间IT 员关注重点够维护转战略计划工作
思科 UCS Manager 服务配置文件配置服务器IO 连接服务配置文件服务器网络存储理员创建存储Cisco UCS 6100 系列互联阵列中数中心服务器难部署改变目通常花费天甚周时间实施问题出现服务器网络存储团队需仔细工协调确保设备实现互操作服务配置文件允许思科统计算系统中服务器视作裸计算力应工作负载中进行分配重新分配够更加动态高效数中心服务器处理力
裸计算力概念技术实现云计算关键概念通创新技术服务器物理位置已重服务器灵活调提供实现思科UCS Manager台服务器众唯性物理参数抽象化MAC址WWPNWWNNUUID等参数实体服务器剥离开台实体服务器具唯性参数成CPU存裸计算力样实体服务器机箱已重思科UCS Manager服务配置文件规定台服务器必需物理参数MAC址WWPNWWNN该服务器应属VLANSAN需台实体服务器投入时需配置文件某实体服务器关联该实体服务器具需唯性参数投入关联程中需考虑服务器具体位置需考虑物理配置(CPU型号存等)操作通思科UCS Manager图形化界面通XMLAPI第三方软件实现
通种方式思科统计算系统简化服务器部署实现资源灵活调台实体服务器需应场合切换时应切换应二需改变服务配置文件服务器身物理位置会变化时网络连接SAN连接需做物理重新跳线布线服务配置文件已标注种应属VLANVSAN实体服务器配置文件关联该服务器会动接入实现定义VLANVSAN里事实次布线思科UCS设计时考虑重方面物理损坏思科UCS保证意配置保持网络SAN连通性必做物理连接更改
思科 UCS Manager 安装Cisco UCS 6100 系列互联阵列动集群配置实现高性该理器仅参服务器配置工作参设备发现资产理配置诊断监控障检测审核统计数收集工作够系统配置信息导出配置理数库(CMDB)推进基信息技术基础设施库(ITIL)概念流程Cisco UCS Manager XML API 促进第三方配置工具间协调便Cisco UCS Manager 配置服务器部署虚拟机安装操作系统应软件
高度整合化虚拟化基础服务部署完全需物理动作资源虚拟化台物理设施关进行分配整合样需定业务策略输入智网络策略服务器切工作系统身优化方式进行计算评估决策调配实现
93 云计算扩展数中心横扩展
目前数中心必须强扩展力时增加系统理难度复杂性采思科统计算台解决问题需扩展时新刀片机箱接入6120XP6120XP置理软件会动发现新硬件根事先定义服务配置脚服务器进行设置新服务器应该接入VLAN服务器HBA卡应该接入VSAN分钟设置完成规模系统时理难度复杂度没增加图显示思科统计算系统较规模时架构示意图然服务器数量刀片机箱数量增加整体架构没改变服务器刀片机箱接入统交换台理统交换台置理软件实现时完全融合已网络存储环境:
94 云计算安全纯硬件级容错
现代数中心设备数量种类越越种应设备性求相总体言希越高越般说计划外宕机总会存里总结引起需宕机干关键素:
· 计划维护
· 元器件失效
· 软件障
· 操作失误
· 楼宇级灾难
· 城市级灾难
限度防止诸元器件失效等引起意外宕机通常会集群技术保证应持续性表列举常集群方式:
集群种类
定义作
高集群
High Availability Cluster – HA Cluster
两台者两台服务器通特定HA软件实现外服务高性连续性
负载均衡集群
Load Balance Cluster – LB Cluster
两台者两台服务器通特定LB软件实现规模请求负载分担处理
高性计算集群
High Performance Cluster – HPC
通量服务器相关HPC专业软件构建起够完成密集科学计算力
专业存储集群
Storage Cluster
两台者两台服务器通特定存储集群软件实现容量高性存储服务
通表出目前流集群技术OS 等级集群技术需操作系统应软件配合实现集群障切换操作系统层级集群说般需面操作系统
u Win 2008 server 障转移集群(Failover Cluster)
u Win 2008 server 网络负载均衡(NLB)
u Redhat 企业集群解决方案(RHCS)
u SUSE Enterprise HA extension
应级高集群数库等应方案需配合操作系统实现般会数库集群表示
u SQL 2008 障转移
u SQL 2008 数库镜
u Oracle Real Application Cluster( RAC )
综述实现传统意义高性解决方案需:
ü 软件支持(OS集群软件应软件集群)
ü 复杂设计配置
ü 专业培训
述需求意味着:
ü 更高软件成
ü 更高维护理成
ü 更高技术求专业培训
更时候客户寻求更加济灵活实现方法实现业务性 特应支持常见集群时候通常户开发应没考虑集群特殊需求集群特殊环境开发修改代码意味着量开发工作测试户法承担巨费开销时间花费
思科UCS实现传统意义全部高性解决方案思科够提供更灵活济性解决方案帮助客户实现基应性需求
思科独特裸计算力服务配置文件概念实现硬件级容错高攀服务配置里预先定义容包括:Service Profile服务器属性抽象包括:网络身份信息MAC 址WWNRAID 信息IO接口类型配置Firmware 版启动序 启动LUNs网络连接特性( VLan QoS VSan)等服务配置文件已应提供完整网络计算资源必须信息 帮助客户实现动态计算环境中实现快速部署迁移
户针已应建立独立服务器服务配置文件关联服务器组单服务器服务配置文件会寻找该组服务器资源服务器裸计算资源物理服务器具体位什方服务配置文件说质区关联完成服务器投入
正常工作程中 果该服务器出现障简单该服务器配置文件关联组服务器重新启动需配置运行配置文件定义唯性物理参数新服务器配置文件关联具障服务器物理参数样需调整系统参数VLANVSAN启动序等新服务器需重启23次实现操作系统重启应重启重启户应继续服务
样通服务配置文件重新关联降低服务器重新部署时间 更重样障切换需软件(操作系统户应)参纯硬件实现特适合云计算种允许单台服务器短时间中断需障切换需求
硬件级容错户采购昂贵集群软件需户掌握复杂技术实力实施维护复杂集群系统更重户应需做改动实现目前技术讲思科裸计算力服务配置文件实现
第10章 两种数中心技术方案综合
根两套方案详细描述进行横总结仅仅限技术包括户服务商务条件全方位进行
101 技术方案
技术传统性扩展性安全性理性等方面进行外需根前面新代数中心技术发展求阐述适应XX建设新代适SOA业务力数中心求出发面服务数中心技术求进行分析技术求前面详细描述分:整合化虚拟化动化绿色数中心力面进行较分析
1011 传统技术领域
类
方案1:DCE方案
方案2:传统太网方案
性
核心汇聚性
N700041Tbps
100G太网台
插槽230Gbps
Cat6500720Gbps
10G太网台
插槽80Gbps
接入层性
万兆端口全线性
千兆端口基线性(121)
万兆端口2:1载
千兆端口24:1载
总体服务质量
先进软硬件机制保证丢包太网
先进QoS机制少丢弃
扩展
核心汇聚
单机箱扩展15T
插槽扩展500G
单机箱扩展144T
插槽扩展160G
接入层
40万兆固定端口扩展52万兆端口全部已FCoE端口
扩展FiberChannel端口
次已配满法扩展
支持FCoEFiber Channel技术
性
核心汇聚
NXOS操作系统稳定性更彻底线程保护机制
支持vPC技术保证双核心性
IOS模块化操作系统微核结构传统IOS进程保护力增强
VSS技术保证双网性
接入层
接入层支持双电源线更换风扇系统
NXOS操作系统稳定模块化操作系统
接入层支持双电源线更换风扇系统
传统IOS支持模块化操作系统
安全性
核心汇聚
分布式控制面保护力
集中式控制面保护
接入层
丰富二层安全机制
支持三层安全保护机制
丰富二层安全机制
丰富三层安全机制
理性
核心汇聚
vDC力
vPC力
普通终端Console口
特殊需协议栈网端口
理物理实体2套理简单
VSS力
VSS力
普通终端Console口
专网端口
理物理实体4套理复杂
接入层
采FEX(虚拟交换矩阵延展)通N5000理N2000
理实体4套理简单
FEX虚拟延展功
理实体20套理复杂
理系统
CiscoWorks
Cisco Fabric Manager
Cisco Data Center Network Manager
CiscoWorks
理成熟性
已部署1000套正逐步成熟
年验证成熟性保证
1012 代数中心技术力较
类
方案1:DCE方案
方案2:传统太网方案
整合化
体化交换力
支持体化交换技术:数太网高性计算网络存储局域网(SAN)三网整合
数太网单技术
支持ANSI FCoE标准
实现高带宽容量低延迟丢弃技术整合SAN网络
实现高带宽容量低延迟丢弃技术代InfiniBand技术
丢弃太网技术
支持优先流量控制(根优先级暂停帧支持)
支持IEEE 8021Qaz(带宽理)
移植SAN Credit技术实现帧流控
IEEE 8021Qau 标准拥塞理(BCNQCN)
区分普通暂停帧技术
支持IEEE 8021Qaz
精确帧流控技术
传统基IP QoSIEEE 8021p排队流量理
低延迟
端口端口低延迟力(二层3us三层30us)
传统太网机技术存储转发方式延迟
高吞吐力
面100G太网技术
4T~15T吞吐力
面10G太网技术
720G~144T吞吐力
虚拟化
系统虚拟化
VDC(虚拟设备)VSS(虚拟交换系统)两种技术
Ø 核心汇聚采VDC
Ø 智服务机箱VSS
核心汇聚支持VSS支持VDC
网络虚拟化
支持VSSVPC
支持VSS
网络智服务虚拟化
防火墙系统负载均衡系统等支持虚拟化
防火墙系统负载均衡系统等支持虚拟化
服务器虚拟化
体化交换保证存储计算资源整合程度高
网络支持VNlink虚拟机策略迁移力
提供高吞吐低延迟扩展二层接入环境利虚拟机迁移
支持高资源整合度服务器虚拟化
支持VNlink虚拟机意识
提供扩展三层环境适传统业务应适虚拟机环境
动化
业务部署动化
体化交换资源整合力具备虚拟机意识虚拟化力保证基服务器应业务部署动化实现
支持体化交换虚拟机网络网络功部分实现动化难实现服务器业务应部署动化
绿色数中心
资源利率
VDC技术减少核心汇聚设备硬件数量资源复率高
支持体化交换技术减少网络硬件服务器网卡数量提高硬件复率减少耗
汇聚层设备整合智服务功硬件整合力传统网络提高需1+16000W功率电源支撑
体化交换力
低耗半导体工艺
基采专业设计定制芯片通芯片避免通器件中量器件耗
采更新低耗半导体工艺整合FCoENuova芯片太网网卡分立太网卡存储HBA卡耗更低
基采专业设计定制芯片通芯片避免通器件中量器件耗
采半导体工艺DCE稍早耗表现稍逊支持FCoE
设备送风方式
专高密度数中心机房设计核心接入新数中心机房制冷方式优化
侧送风适传统低密度机房
万兆端口耗
专高密度万兆端口设计接入层采分布式交换矩阵延展技术减少万兆布线距离量采低耗低成10GE BASE CU SFP+线缆
传统万兆接口支持10GBASECU SFP+线缆适接入层高密度部署
接入层产品定位
新代虚拟化数中心优化接入层设备具备高密度万兆线千兆线性处理力适运行VMware等台掉功耗较接入层需功三层交换复杂路协议MPLS等
传统太网设计思路高性高密度万兆千兆设备必然功复杂三层路设备三层设备端口功耗远高二层设备增加设备理成
102 技术服务
类
方案1:DCE方案
方案2:传统太网方案
安装实施
新技术原厂承诺集成商相配合现场服务
传统技术集成商提供现场服务原厂集成商通开Case实现远程支持
售技术支持
标准CSSP服务
新技术中国思科售服务支持中心(TAC)成立专门队伍保证DCE产品支持
标准CSSP服务
传统技术TAC走般性支持流程
备件保修服务
CSSP规定标准备件先行服务备件数量备件达时间均保证
CSSP规定标准备件先行服务备件数量备件达时间均保证
概念验证服务
DCE技术够提供远程客户概念验证测试中心服务(CPOC服务)
该项服务
103 商务
类
方案1:DCE方案
方案2:传统太网方案
次性投资
传统相略低
略高DCE方案
运行耗
低
中
维护理
物理设备少二层结构简单维护成控
传统技术维护理成控
升级扩展
100GEready未扩展成低
FCoE系统未融合成低
万兆服务器扩展力强
100GE扩展需更换核心设备
SAN网前数网分离前设备法实现未融合
万兆接入成较DCE方案高万兆服务器扩展力弱
104 总结
根技术方案1DCE适新型准备容纳更万兆服务器更高性存储网络VMware虚拟化服务器需求型数中心方案2更适
没较少万兆接入准备光纤通道技术做存储网络准备虚拟机技术传统数中心
商务刚果需求需传统数中心方案2具备更高性价果需求新型数中心样配置求(次数中心端口需求)反方案1价格方案2价格低
服务方面显然方案1够获原厂支持重视程度方案2程度弥补方案1产品投放时间短技术较新顾虑
XX已制定新代面服务业务架构数中心转变定发展目标方案1疑技术实现目标佳解决方案时服务商务相方案2重优势户郑重推荐采方案1作次XX新代数中心建设方案
第11章 附录:新代数中心产品介绍
111 Cisco Nexus 7000 系列10插槽交换机介绍
产品概述
Cisco® Nexus 7000系列交换机限度集成扩展性运营灵活性
Cisco Nexus 7000系列交换机模块化数中心级产品系列适高度扩展万兆太网网络交换矩阵架构速度扩展15Tbps 设计旨满足数关键务数中心求提供永续系统运营虚拟化服务Cisco Nexus 7000系列建立成熟操作系统助增强特性提供实时系统升级出色理性维护性 创新设计专门支持端端数中心连接IP存储IPC网络整合单太网交换矩阵
作第款代交换机台Cisco Nexus 7000系列10插槽机箱(图1)提供集成永续性专数中心性性扩展性易理性优化特性
· 图1 Cisco Nexus 7000系列10插槽机箱
特性优势
Cisco NXOS软件支持Cisco Nexus 7000系列10插槽机箱数中心提供系列丰富特性保证系统永续运营
· 前通风带10前面板接入垂直模块插槽集成电缆理系统够支持新老数中心安装运营冷
· 面数中心高性高性设计方法接口控制引擎模块采取前面板接入冗余电源风扇交换矩阵模块完全采端接入确保维护程中布线受影响
· 系统采两专控制引擎模块扩展完全分布式交换矩阵架构容纳5端安装交换矩阵模块配合10插槽机型机箱中板设计整系统提供高7 Tbps转发力
· 拥8IO模块插槽Cisco Nexus 7000系列10插槽机箱支持256万兆太网384千兆太网端口够满足型数中心部署需求
· 前通风确保Cisco Nexus 7000系列10插槽机箱数中心满足热通道冷通道部署求会增加复杂性分采两系统风扇架两交换矩阵风扇架进行冷风扇架配备冗余风扇独立变速风扇着周围温度动调整仅降低进行出色理设施耗实现佳交换机运行状态该系统风扇架设计冗余功进行热插拔时会影响系统果风扇风扇架发生障系统继续运行会冷效果造成重影响
· 集成电缆理架电缆正确整齐放边两边
· 系统拥选空气滤器确保流系统空气清洁添加空气滤器满足NEBS求
· 机箱顶端系列LED清晰提供系统组件状态显示提示操作员否需执行进步调查LED负责报告电源风扇交换矩阵控制引擎IO模块状态
· 电缆理盖选模块前门安装系统中布线模块受意外事件影响透明前门客户够查布线模块指示灯状态指示灯情况
112 Cisco Nexus 5000 2000系列交换机介绍
产品概述
Ciscoâ Nexus 5000系列数中心应提供支持线速低延迟零丢包万兆太网思科数中心太网太网光纤通道(FCoE)交换机(参见图1)
图1 Cisco Nexus 5000系列包括支持万兆太网思科数中心太网FCoECisco Nexus 5020
数中心中具强核处理器机架安装密集刀片服务器日益增机架计算密度激增虚拟化软件普推动万兆太网整合IO需: Cisco Nexus 5000系列完美支持应Cisco Nexus 5000系列具延迟低前通风面板端口特点适正迁移万兆太网数中心已准备部署统阵列支持通单链路联网局域网存储局域网服务器集群(采双链路实现冗余)数中心
交换机系列简洁架构端口支持万兆太网数包实施种服务保持致低延迟支持思科数中心太网功提高太网性效率扩展性特性该交换机损耗太网阵列支持流量类实现局域网存储局域网集群环境整合FCoE连接光纤通道保护现存储系统投资简化机架布线服务器支持标准万兆太网卡(NIC)外Cisco Nexus 5000系列融合网络适配器(CNA)整合式IO适配器集成太网NIC光纤通道机总线适配器(HBA)相结合透明迁移统网络阵列现实践理软件OS驱动程序协调致交换机系列第三方集成收发器Twinax布线解决方案集成机架级服务器提供非常济高效万兆太网连接需昂贵光收发器
实施网络服务数包Cisco Nexus 5000系列交换机阵列简洁技术支持统低延迟太网解决方案该产品系列专数中心环境设计采前通风网络端口位部交换操作更贴服务器量简化缩短布线交换机系列非常便维护采冗余热插拔电源风扇模块软件数中心级Cisco NXOS软件基础提供高性易理性
Cisco Nexus 5020 56端口交换机
Cisco Nexus 5020款2机架单元(2RU)万兆太网思科数中心太网FCoE 124 Gbps光纤通道交换机够极低延迟提供104Tbps吞吐率40固定万兆太网思科数中心太网FCoE SFP+端口通配置2扩展模块插槽增加支持12万兆太网思科数中心太网FCoE SFP+端口达16光纤通道交换机端口二者结合该交换机1串行控制台端口1带外101001000 Mbps太网理端口采热插拔1+1冗余电源热插拔4+1冗余风扇模块提供高前通风
扩展模块选项
Cisco Nexus 5000系列够支持扩展模块增加万兆太网思科数中心太网FCoE端口数目124 Gbps光纤通道交换机端口连接光纤通道存储局域网(SAN)实现两目Cisco Nexus 5020支持意两模块组合(参见图2):
l 1太网模块提供6万兆太网思科数中心太网FCoE SFP+端口
l 1光纤通道太网模块提供4万兆太网思科数中心太网FCoE SFP+端口4SFP接口提供
124 Gbps光纤通道连接端口
l 1光纤通道模块提供8SFP接口提供124 Gbps光纤通道端口便透明连接现光纤通道网络(未提供)
图2 左右:6端口万兆太网思科数中心太网FCoE模块4端口光纤通道4端口万兆太网思科数中心太网FCoE模块8端口光纤通道扩展模块
高效收发器布线选项
万兆太网高带宽传输提出巨挑战现已Cisco Nexus 5000收发器布线选项克服该产品系列支持创新Twinax铜布线解决方案连接标准SFP+连接器便机架较长电缆提供光布线(参见图3)
l 机架布线邻接机架布线Cisco Nexus 5000系列支持SFP+直连式万兆太网铜缆创新解决方案收发器Twinax电缆集成节低成低延迟解决方案中SFP+直连式万兆太网Twinax铜缆收发器仅01瓦(W)功率链路约025微秒延迟
l 需进行较长布线Cisco Nexus 5000系列支持模短距离SFP+光收发器光收发器功率约1W延迟01微秒
两种选项10GBASET相延迟更短效更高10GBASET标准功率48W间收发器链路延迟高达25微秒程度增加网络级功耗
图3 Cisco Nexus 5000 系列SFP+直连式万兆太网铜缆进行机架布线光传输解决方案支持更长连接
技术 电缆 距离 电源(边) 收发器延迟(链路)
SFP+铜缆
SFP+USR超短距离传输
SFP+SR短距离传输
整合式适配器兼容
思科合作伙伴已开发CAN服务器操作系统提供太网NIC光纤通道HBAIT部门完全透明方式两网络相操作系统驱动程序理软件佳实践部署
FCoE适配器参交换机动协商简化理助减少配置错误EmulexQlogic提供基ASIC定制融合网络适配器Intel提供基软件融合网络适配器
Nexus 2000——Nexus 5000交换矩阵延展器
Nexus 5000服务延展更机柜提供更高密度DCE接入需增加理负担思科提供Nexus 2000——Nexus5000专延展器提供高密度千兆万兆接入然线性性完成万兆连理完全放连Nexus5000提供佳性价支持VNlink等高级DCE功数中心接入解决方案
113 Cisco NXOS 数中心级操作系统简介
产品概述
Cisco NXOS数中心级操作系统该操作系统体现模块化设计永续性维护性业界成熟Cisco SANOS软件基础Cisco NXOS确保持续性承担关键业务数中心环境设立标准Cisco NXOS行恢复高度模块化设计实现业务影响运行提供出色运营灵活性
Cisco NXOS面数中心需设计提供强丰富特性集仅满足前数中心路交换存储网络求满足未数中心需求XML界面类似Cisco IOS®软件CLICisco NXOS相关网络标准种真正数中心级思科创新实施提供鼎力支持
特性优势
灵活性扩展性
· 软件兼容性:Cisco NXOS 40运行种Cisco IOS软件操作系统思科产品互操作Cisco NXOS 40遵循产品简介中列举网络标准网络OS互操作
· 整数中心通软件:Cisco NXOS简化数中心操作环境提供统OS够数中心网络区域运行包括局域网SAN第四七层网络服务
· 模块化软件设计:Cisco NXOS够SMP核CPU分布式线卡处理器支持分布式线程处理功硬件表编程等需量计算务卸载分布线卡专处理器Cisco NXOS模块化进程独立受保护存空间中逐需启特性启进程会启动开始分配系统资源模块化进程实时预先排程器理助确保时处理关键功
· 虚拟设备环境(VDC):Cisco NXOS够OS硬件资源划分模拟虚拟设备虚拟环境VDC拥身软件进程专硬件资源(接口)独立理环境VDC助分立网络整合通基础设施保留物理独立网络理界限划分障隔离特性提供单基础设施拥种运营成优势
性
· 持续系统运营:Cisco NXOS提供持续系统运营维护升级部署软件认证时会造成服务中断通进程模块化模块化修补思科运行中软件升级(ISSU)功间断转发(NSF)稳重启相结合极降低软件升级操作带影响
· 思科ISSU:思科ISSU利冗余引擎台提供透明软件升级功极缩短停机时间客户够极少影响影响网络运营情况集成新特性功
· 迅速开发增强特性障修复:Cisco NXOS模块化特性新特性增强特性障修复够迅速集成入软件模块化修复功够极短时间完成开发测试交付满足紧迫时间求利ISSU更新镜干扰正常运行情况安装
· 进程应急启动:关键进程受保护存空间中运行独立进程核提供精确服务分隔障隔离支持模块化修补升级快速重启功进程够分重启会丢失状态信息会影响数转发升级障进程会
数毫秒重启会影响邻设备服务利基标准NSF稳重启机制拥量状态信息(IP路协议)进程够重启进程助永久存储服务(PSS)维持状态
· 状态化引擎障切换:冗余引擎始终保持步支持快速状态化引擎障切换具先进检验功助确保障切换整分布式架构中状态统性性
· 进程间通信:Cisco NXOS提供进程间通信功够确保障程中出现利情况信息传送正确发挥作该通信功助确保进程步化状态致性进程够分布引擎IO模块处理器启
· 冗余交换太网带外信道(EOBC):Cisco NXOS充分利冗余EOBC支持控制IO模块处理器间通信
· 基网络性:通提供工具功障切换回退透明迅速优化网络收敛例Cisco NXOS提供生成树协议增强特性BPDU防护环路防护根防护BPDU滤器网桥保证确保生成树协议控制面状态正常UDLD协议路协议NSF稳重启毫秒间隔FHRPSPF优化LSA PacingiSPF带调整计数器IEEE 8023ad链路汇聚
维护性
· 障排诊断:Cisco NXOS拥独特维护性功网络操作员够根网络趋势事件提前采取行动增强网络规划缩短网络运营中心(NOC)厂商响应时间呼家思科通线诊断(GOLD)Cisco NXOS嵌入式事件理器(EEM)Cisco NXOS提高维护性部分特性
· 交换端口分析器(SPAN):SPAN特性允许理员运营造成影响情况SPAN进程流量导连接外部分析器SPAN目端口端口(称SPAN源端口)间流量进行分析
· 嵌入式数包分析器:Cisco NXOS拥置数包分析器控制面流量监控障排该数包分析器常Wireshark开放源网络协议分析器基础构建
· 智呼家:智呼家特性够持续监控软硬件通电子邮件发送关键系统事件通知拥种消息格式寻呼机服务标准电子邮件基XML动分析应等出色兼容提供报警分组功定制目功该特性种途例直接寻呼网络支持工程师发送电子邮件NOC利思科动通知服务直接开启思科技术支持中心(TAC)案例等特性实现治系统运营迈出重步网络设备出现问题时通知IT确保障迅速解决缩短解决时间限度延长系统正常运行时间
· 思科GOLD 思科GOLD诊断套件负责检验硬件部数路径否设计求运行思科GOLD特性集包括引导时间诊断持续监控需定期测试等业界领先诊断子系统够执行连续运行环境十分重快速障隔离持续系统监控功
· 思科EEM 思科EEM项强设备系统理技术集成Cisco NXOS中思科EEM够帮助客户充分利思科软件网络智优势根发生网络事件定制采取行动
· Cisco Netflow NetflowCisco NXOS中组件支持版5版9输出灵活Netflow配置模式基硬件样Netflow提高扩展性
理性
· 编程XML界面:NETCONF业界标准基础Cisco NXOS XML界面设备提供统API客户快速开发创建工具增强网络性
· SNMP协议:Cisco NXOS符合SNMP版123规定支持广泛理信息库(MIB)
· 配置验证回退:Cisco NXOS系统操作员够应配置前验证配置致性需硬件资源性设备预配置应验证配置配置包括检查点理员根需回退前完善配置
· 基角色访问控制(RBAC):RBACCisco NXOS理员分配户角色限制户交换机操作理员够定制接入功仅允许必户访问网络
· 思科数中心网络理器(DCNM):思科DCNM专门数中心网络运营理解决方案幅延长整数中心基础设施正常运行时间提高性够支持业务连续性思科DCNMCisco NXOS产品系列专门设计
· 连接理处理器(CMP)支持:Cisco NXOS支持利CMP台实施熄灯式远程理通提供NXOS控制台带外接入信道CMP运营提供力支持
流量路转发理
· 太网交换:Cisco NXOS支持高密度高性太网系统提供全面数中心级太网交换特性集该特性集包括IEEE 8021D2004 快速生成树协议(8021w8021s)IEEE 8021Q VLAN中继支持16000名户VLANIEEE 8023ad链路汇聚私VLAN跨机箱私VLAN动标准模式UDLD流量抑制(单播组播广播)生成树协议利生成树环境中ISSUBPDU防护环路防护根防护BPDU滤器网桥保证巨型帧支持实现透明升级
· IP路:Cisco NXOS支持广泛IP版46 (IPv4v6)服务路协议协议实施完全符合新标准求提供先进增强特性参数4字节ASN增量SPF需率低传统功出色实施够提高特性速度系统稳定性单播协议支持间断转发稳重启(NSFGR)协议支持种类型接口包括太网接口交换虚拟接口(SVI)子接口端口信道隧道接口环回接口
· IP组播:Cisco NXOS提供业界领先IP组播特性集Cisco NXOS 40实施未开发支持组播丰富网络功奠定基础
· Cisco NXOS已废弃功PIM密集模式体现操作系统前瞻性发展方实例
· 服务质量(QoS):Cisco NXOS支持种QoS机制包括分类标记队列监调度QoS特性支持模块化QoS CLI (MQC)MQC种思科台提供统配置
网络安全
· Cisco TrustSec 作Cisco TrustSec安全套件组件 Cisco NXOS提供出色数保密性完整性利128位高级加密标准(AES)支持标准IEEE 8021AE链路层加密链路层加密保证端端数私密性允许加密路径添加安全服务设备安全组访问控制列表(SGACL)网络访问控制新模式安全组标记非IP址基础构建够支持更加精确策略具拓扑结构独立性理更加方便
· 网络安全特性:Cisco TrustSec外Cisco NXOS 40提供安全特性:
数路径入侵检测系统(IDS)协议遵性检查
控制面限速(CoPP)
MD5路协议验证
思科集成安全特性包括动态ARP检测(DAI)DHCP电子欺骗IP源防护
AAATACACS+
SSH协议版2
SNMPv3支持
端口安全
IEEE 8021x验证RADIUS支持
第二层思科网络准入控制(NAC)局域网端口IP
命名ACL (基端口ACL [PACL]基VLANACL [VACL]基路器ACL [RACL])支持基MACIPv4址策略
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
XX云计算台
技术方案
第版
目录
第1章 总述 5
第2章XX数中心网络建设需求 6
21 传统架构存问题 6
22XX数中心目标架构 7
23XX数中心设计目标 8
24XX数中心技术需求 9
241 整合力 9
242 虚拟化力 9
243 动化力 10
244 绿色数中心求 10
第3章XX数中心技术实现 11
31 整合力 11
311 体化交换技术 11
312 丢弃太网技术 12
313 性支撑力 13
314 智服务整合力 13
32 虚拟化力 14
321 虚拟交换技术 14
322 网络服务虚拟化 16
323 服务器虚拟化 16
33 动化 17
34 绿色数中心 18
第4章XX云计算台网络设计 19
41 总体网络结构 19
411 层次化结构优势 19
412 标准网络分层结构 19
413XX云计算台数中心网络结构 20
42 数中心核心层设计 21
43 数中心分布层设计 22
431 数中心分布层虚拟交换机 22
432 数中心分布层智服务机箱 22
44 数中心接入层设计 24
第5章 应服务控制负载均衡设计 28
51 功介绍 28
511 基功 28
512 应特点 29
52 应优化负载均衡设计 33
521 智服务机箱设计 33
522 应负载均衡设计 36
523 安全功设计 39
524 SSL分流设计 41
525 扩展性设计 42
526 高性设计 43
第6章 网络安全设计 46
61 网络安全部署思路 46
611 网络安全整体架构 46
612 网络台建设必须考虑安全问题 47
62 网络设备级安全 48
621 防蠕虫病毒等Dos攻击 48
622 防VLAN脆弱性配置 49
623 防止DHCP相关攻击 50
63 网络级安全 50
631 安全域划分 51
632 防火墙部署设计 51
633 防火墙策略设计 53
634 防火墙性扩展性设计 53
64 网络智动防御 54
641 网络准入控制 55
642 桌面安全理 56
643 智监控分析威胁响应系统 58
644 分布式威胁抑制系统 61
第7章 服务质量保证设计 64
71 服务质量保证设计分类 64
72 数中心服务质量设计 64
721 带宽设备吞吐量设计 64
722 低延迟设计 66
723 丢弃设计 67
第8章 网络理业务调度动化 69
81 MARS安全理动化 69
82 VFrame业务部署动化 69
第9章 服务器(UCS)组件高性 70
91 思科统计算系统(UCS)简介 70
92 云计算基础思科UCS Manager简介 72
93 云计算扩展数中心横扩展 75
94 云计算安全纯硬件级容错 76
第10章 两种数中心技术方案综合 79
101 技术方案 79
1011 传统技术领域 79
1012 代数中心技术力较 80
102 技术服务 82
103 商务 83
104 总结 83
第11章 附录:新代数中心产品介绍 84
111 Cisco Nexus 7000 系列10插槽交换机介绍 84
112 Cisco Nexus 5000 2000系列交换机介绍 85
113 Cisco NXOS 数中心级操作系统简介 87
第1章 总述
进步提升客户满意度户提供更增值服务增强户产品忠诚度需XX包括电视机客户提供样增值应服务首期考虑提供视频点播服务未提供电子商务等样化应考虑潜客户数较需健壮弹性符合未趋势变化新代系统架构
XX电视机销售量20年保持国市场第尤网络电视稳居第潜户数数十万需绵阳建设充分面未应户发展新代数中心时户集中城市运营商托服务器充分利流量分发站点动选择等技术确保应优化型网站采方案
第2章 XX数中心网络建设需求
21 传统架构存问题
XX现数中心网络采传统太网技术构建着类业务应IT需求深入发展业务部门资源需求正级数增长传统IT基础架构方式理员未业务扩展带巨挑战具体言存问题:
l 维护理难:传统构架网络中进行业务扩容迁移增加新服务功越越困难次变更牵涉相互关联时期初衷建设种物理设施涉领域服务方工作繁琐维护困难容易出现漏洞差错数中心新增加业务类型需调整新应访问控制需求时理员仅解新业务逻辑访问策略精通物理防火墙实体部署连接安装考虑增加新防火墙端口需添置新防火墙设备考虑处接入没相应接口跳线VLAN路等等果网络中诸址转换7层交换等等服务相关联非常繁杂务样IT资源需求短期累积极易系统维护质量稳定性降时反减慢新业务部署进阻碍公司业务推进发展
l 资源利率低:传统架构方式底层资源投入层业务收效果难发展普遍现象忙设备堪重负闲设备资源储备二者相互间法底层网络建设功单元中心进行建设考虑层业务底层资源调优化
网络投入法取样业务应效果改善反浪费较资源维护成
l 服务策略致:传统架构严重问题种孤立设备功中心设计思路法真正整系统角度制订统服务策略安全策略高性策略业务优化策略等等造成跨台策略致性难投入产品力形成合力层业务提供强服务支撑
传统底层基础设施提供服务力已法适应前业务急剧扩展需资源求次数中心建设必须根改变传统思路遵种崭新体系结构思路构造新数中心IT基础架构
22 XX数中心目标架构
面服务设计思想已成Web20解决业务变更业务急剧发展带资源成压力佳途径业务层面流IT厂商IBMBEA等提出摒弃传统面组件(Component)开发方式转面服务开发方式应软件应起相互独立松耦合服务构成接口求严格变更复杂复性差紧耦合组件构成样变动佳需求沟通方式适应断变化业务需求增长鉴XX数中心业务应正面服务架构Service Oriented Architecture(SOA)转型业务SOA相适应XX提出支撑业务运行底层基础设施应面服务设计思想转变构造面服务数中心(Service Oriented Data CenterSODC)
传统组网观念根功需求变化实现应硬件功盒子堆砌构建企业网络非常类似传统软件开发组件堆砌已证明种较低效率资源调方式果够整网络构建成封装完相互耦合松散够标准化统调度服务组成业务层面变更物理资源复轻易举事情SODC求SOA架构业务变更导致软件部分服务模块组合变化时松耦合网络服务根应变化动实现重组适配业务变更带资源求变化少减少复杂硬件相关性运行维护资源复效率策略致性彻底解决传统设计带顽疾
具体言SODC应形成样资源调方式:底层资源层应象服务构成资源池需什服务动会网络调相关物理资源实现理员业务户需见物理设备相互架构关系具体存方式SODC框架原型应示:
图中隔物理架构户间交互服务层实现提供服务屏蔽复杂物理结构作网络者网络复杂基础物理功实体构成智服务——安全服务移动服务计算服务存储服务……等等服务实际存物理资源提供理员层业务需关心交互服务层解决切资源调度高效复问题
SODCSOA构成数中心IT架构必整数中心未发展趋势然实现真正理想SODCSOA融合架构长期历程该融合框架迈进步实际会形成网络灵活性网络维护资源利效率投资效益等等方面巨改善XX次数中心网络建设求遵循述新代面服务数中心设计框架
23 XX数中心设计目标
基SODC设计框架XX新代数中心应实现设计目标:
l 简化理:层业务变更作物理设施复杂度降低够低限度减少物理资源直接调度维护理难度成降低
l 高效复:物理资源需调度物理资源限度重减少建设成提高效率够实现总硬件资源占量降低业务服务反更充分资源保证
l 策略致:降低具体设备体策略复杂性程度设备层面建立统抽象服务充分抽象服务找层调目标进行统规范策略化样整IT达理想服务规策略致性
24 XX数中心技术需求
SODC架构种资源调度全新方式资源调方式面服务非象前样面复杂物理底层设施进行设计中交互服务层基服务调关键环节交互服务层形成网络智化进步发展实现底层物理网络通智服务功业务层面底层复杂结构关心资源物理调度化实现资源享复形成SODC求交互服务层必须网络提出求:
241 整合力
SODC求数中心需种资源实现基网络整合续层业务底层网络提供类SODC服务基础整合概念简单功增然整合化体现独立设备功特殊硬件方式整合网络设备中真正核心思想资源集中化便跨台调物理存方式根需定
数中心网络必须提供资源包括:
l 智业务网络必须智功服务质量保证安全访问控制设备智理等等
l 数中心三资源网络:高性计算网络存储交换网络数应网络
两类资源整合检验新代数中心网络SODC力重标准
242 虚拟化力
虚拟化实已整合资源种物理位置物理存物理状态等关方式进行调物理资源服务形态质变程虚拟化实现物理资源复降低理维护复杂度提高设备利率关键时未动实现资源协调配置基础
新代数中心网络求够提供种方式虚拟化力仅仅传统网络虚拟化(VLANVPN等)必须做:
l 交换虚拟化
l 智服务虚拟化
l 服务器虚拟化
243 动化力
动化SODC架构中层动优化实现服务调必须条件高度整合化虚拟化基础服务部署完全需物理动作资源虚拟化台物理设施关进行分配整合样需定业务策略输入智网络策略服务器切工作系统身优化方式进行计算评估决策调配实现
部分需做两方面动化:
l 网络理动化
l 业务部署动化
244 绿色数中心求
前源日趋紧张源价格飞扬直绿(Green Field)关心议题限度利源降低功耗效率方式实现高性高稳定性服务新代数中心必须考虑问题
第3章 XX数中心技术实现
根新代数中心网络技术求必须传统数中心常规太网技术进行革新数中心级太网(Data Center Ethernet简称DCE)技术诞生
DCE前厂商称汇聚型增强太网技术(Converged Enhanced Ethernet简称CEE)兼容传统太网协议新代数中心传输求进行全面革新系列标准技术总称达XX新代数中心建设目标必须摒弃传统太网技术采新代DCE(CEE)技术进行组网
具体言次XX数中心采DCE技术达技术目标
31 整合力
311 体化交换技术
DCE技术重目标实现传统数中心程度资源整合实现面服务数中心SODC终目标传统数中心中存三种网络:光纤存储交换机存储交换网络(Fiber Channel SAN)便实现CPU存资源行化处理高性计算网络(采高带宽低延迟InfiniBand技术)传统数局域网DCE技术三种网络实现统传输台DCE种交换技术时实现远程存储远程行计算处理传统数网络功样化实现三种资源整合便实现跨台资源调度虚拟化服务提高投资效性时降低理成
XX业务特点需超级计算功次项目实现存储网络传统数网络双网合DCE技术实现二者体化交换前太网融合传统局域网存储网络唯成熟技术标准Fiber Channel Over Ethernet技术(FCoE)已标准出存储网(SAN)数帧封装太网帧进行转发相关技术协议该项技术简单性高效率济性目前已形成相成熟包括存储厂商网络设备厂商机厂商网卡厂商生态链具体协议发布参见 FCoE 相关Web Sites (httpwwwfcoecom httpwwwt11orgfcoe )
次数中心建设做FCoE基础设施准备阶段完成基FCoE技术双网融合
312 丢弃太网技术
保证体化交换实现DCE改变传统太网连接保障Best Effort传输行保证机通太网进行磁盘读写等操作高性计算求远程存访问行处理等操作会发生预料传输失败达真正丢包太网目标DCE网络中硬件软件形式实现技术:
基优先级类流控(Priority Flow Control)
通基IEEE 8021p类通道PAUSE功提供基数流类流量控制
带宽理
IEEE 8021Qaz 标准定义基IEEE 8021p 流量类带宽理流量优先级定义
拥塞理
IEEE 8021Qau 标准定义理网络中拥塞(BCNQCN)
l 基优先级类流控DCE 理念中非常重环通拥塞理相互合作构造出丢包太网架构天说诱惑疑阻挡丢包太网络提供安全台前法安心放置数网络重应安心应DCE数台
l 带宽理太网络中提供类似类似帧中继(Frame Relay)带宽控制力确保重业务应获必须网络带宽时保证网络链路带宽利化
l 拥塞理提供太网络中种拥塞发现定位力非连接网络中疑巨挑战说目前非连接网络中崭新应目前研究方集中拥塞理(BCN)
量化拥塞理(QCN)两方面
313 性支撑力
保证实现体化交换资源整合DCE必须传统太网性扩展性进行革新
首先保证三网合带宽资源万兆太网技术DCE核心层带宽起点正发展中40G100G太网DCE技术流带宽保证天采购设备5年生命周期必须考虑硬件扩展力说投资保护工程维护角度出发需100G台硬体设备设备槽位少支持100G流量(全双工槽位200Gbps)样维持该设备5年生命周期时济性角度考虑果达400G台理想
外存储网络高性计算求通网络实现远程磁盘读写存步性需求DCE设备必须提供传统太网设备低数量级端口间转发延迟DCE求核心层三层转发延迟应达30us接入层二层转发延迟应3~4us传统太网技术法实现性指标求
314 智服务整合力
众周知应复杂度断提升时伴着网络融合应网络交互…预见网络复杂度断提升印证判断:应网络控制逐步增强网络时应优化
构建单业务简单L2转发网络网络设备设计方全业务设备业务融合网络需环境
需什样全业务呢明显Data Center Ethernet 必备项目时少需基业务属性保障业务网络运行:
l 服务质量保证 QoS
l 访问列表控制 ACL
l 虚拟交换机实现 Virtual Switch
l 网络流量分析 Netflow
l CPU抗攻击保护 CoPP
l 远程值守理 CMP
l 嵌入式事件理 EEM
然业务实现影响转发性前提条件失前提业务实现变毫意义
设计产品必须顾全业务融合网络前提复杂业务处理够高达100G甚400G线路卡获线速处理性考验硬件台重技术指标
终胜出者疑够代价换取业务实现性设备台
32 虚拟化力
DCE网络虚拟化仅仅传统意义VLANVPN实现SODC交互服务层资源调度方式DCE够做虚拟化力
321 虚拟交换技术
虚拟交换技术实现交换机资源时关心交换服务物理存方式台交换机提供两台交换机设备甚交换机中虚拟交换机思科DCE技术提供两物理交换机虚拟台交换机虚拟交换系统(VSS)技术交换机虚拟化交换机虚拟设备(VDC)技术
()虚拟交换系统(VSS)
VSS技术网络双核心虚拟化单台设备Cisco 65099插槽设备完全虚拟化成单台18槽机箱虚拟交换机虚拟交换机性倍增理复杂度反减半具体优势:
l 单理界面:理界面完全单台设备理方式理维护工作量减轻半
l 性翻倍:虚拟交换系统具备两台叠加性交换机通跨物理机箱双千兆太网双万兆太网捆绑技术远路生成树负载均衡更均匀带宽核心吞吐量均做真正翻倍
l 协议简单:虚拟交换系统设备间动态路协议完全单台设备设备协议关系需维护路邻居关系数二次方根降系统中达4~5倍降工作量部署难度降低虚拟交换系统时作单台设备参生成树计算关系生成树计算维护量二次方根降系统中达4~5倍降工作量部署难度降低
l 冗余:虚拟交换系统形成虚拟单机箱物理双引擎跨机箱冗余引擎系统连接入交换机原需动态路生成树实现冗余切换VSS全简单链路捆绑实现负载均衡冗余链路引擎冗余切换传统方式更加迅捷滑保持层业务稳定运行前两单引擎机箱中台更换引擎定会导致数丢失虚拟交换系统里意台更换引擎数保证0丢失
(二)虚拟设备系统(VDC)
VDC技术实现台交换机划分虚拟子交换机交换机拥独立配置界面独立生成树路SNMPVRRP等协议进程甚独立资源分配(存TCAM转发表等等)VSS配合实现更加灵活物理设备关跨台资源分配力数中心种底层设施资源消耗型网络提供更济高效组网方式理运营智化动化创造条件
物理设备虚拟成干逻辑独立设备图示:
322 网络服务虚拟化
服务资源整合设备虚拟化基础DCE求虚拟化网络应区业务服务设施防火墙IDS负载均衡器SSL加速……网络服务果物理独占式分配高成低效率难维护理DCE网络提供网络智服务时虚拟化方式实现类服务资源调思科DCE网络中实现虚拟防火墙虚拟IDS虚拟负载均衡器虚拟SSL VPN网络……等等实现网络智服务虚拟化
323 服务器虚拟化
服务器虚拟化层业务应仅仅根需计算资源占求CPU存IO应资源等实现调度须考虑该应物理关联位置前商化成功服务器虚拟化解决方案VMWareVMotion系列微软Virtual Server许第三方厂商(IntelAMD等)正加入服务器虚拟化解决方案越越完善普
然越越意识服务器虚拟化系统解决方案中应机操作系统角色外网络更关重角色网络联系成整体网络实现虚拟化桥梁服务器虚拟化需DCE够提供力:
l 资源整合:业务应运行赖物理计算环境需网络实现连接然传统网络中传输数数网互连CPU存计算网互连存储存储网孤立法真正实现物理关服务器资源调度实现真正意义彻底服务器虚拟化前面提DCE三网体化交换架构必须条件
l 网络虚拟机意识:传统网络具备虚拟机意识网络传递信息法区虚拟机法网络根虚拟机提供相应网络服务虚拟机迁移没相应网络踪手段保证服务全局致性DCE正解决问题DCE领导厂商思科已推出商化DCE产品中提供相应虚拟机标识机制思科已联合VMware等厂商协议提交IEEE实现标准化
l 虚拟机迁移网络环境:服务器虚拟化虚拟机迁移技术实现物理资源关资源享复虚拟机迁移需二层环境导致迁移范围局限传统VLAN知道Web20云计算等概念需处数中心实现二层网络跨域延展呢?传统L2 MPLS技术太复杂IEEEIETF正制定二层路径(二层延展)新标准DCE领导厂商思科公司提出种新协议标准Cisco Over the Top Virtualization(OTV)解决跨城域广域网二层延展性问题服务器虚拟化提供扩展网络支撑
33 动化
动化SODC架构中层动优化实现服务调必须条件高度整合化虚拟化基础服务部署完全需物理动作资源虚拟化台物理设施关进行分配整合样需定业务策略输入智网络策略服务器切工作系统身优化方式进行计算评估决策调配实现现商DCE动化解决方案包括理动化业务部署动化
XX数中心续建设中逐步完善动化理动化业务部署需期通DCE技术实施未动化部署坚实基础
34 绿色数中心
DCE技术整合化虚拟化动化身达样业务力求实现高效率利硬件资源减少总硬件投入节约维护理成等方面佳途径身绿色数中心必条件
外DCE产品必须硬件实现实现低功耗高效率包括
l 利新半导体工艺 (越纳米芯片纳米芯片省电)
l 降低逻辑电路复杂度 (接入层二层设备三层设备省电)
l 减少通集成电路空转 (定制化专业设计芯片通芯片省电)
l 等等……
见台网络设备业务力相前提条件越功耗代表越先进技术DCE设备般做维持三层全业务万兆吞吐功耗25W二层万兆吞吐功耗13W
第4章 XX云计算台网络设计
41 总体网络结构
次XX数中心网络建设采新代DCE技术DCE技术代表厂商Cisco公司Nexus系列产品网络结构采型数中心典型层次化模块化组网结构
(插入总体图)
411 层次化结构优势
采层次化结构处:
l 节约成:园区网络意味着巨业务投资正确设计园区网络提高业务效率降低运营成
l 便扩展:模块化者层次化网络更加便复制改造扩展模块构成添
加者移模块时需重新设计整网络模块影响模块者网络核心情况投入者停止
l 加强障隔离力:通网络分理型组件企业幅度简化障定位排障处理时效
412 标准网络分层结构
层次化结构包括三功部分接入层分布层核心层层次定位分:
l 核心层:企业数交换网络骨干层设计目实现快速数交换提供高性快速路收敛
l 分布层:称汇聚层汇聚接入层流量执行策略第三层协议层时获路负载均衡快速收敛扩展性等处分布层网络智服务实施点包括安全控制应优化等智功实施
l 接入层:负责提供服务器户终端存储设施等等网络第级接入功外网络智服务初始分类安全标识QoS分类层基功
413 XX云计算台数中心网络结构
根业界企业网络佳设计实践参考边缘节点端口较少型网络中考虑核心层分布层合型网络网络规模接入层交换机决定XX言结合XX业务现状发展趋势未年业务处高速成长期必须期网络架构中充分考虑未扩展性XX企业部核心网络层次结构必须具严格清晰划分具清晰核心层会聚分布层接入层等分层结构保证网络稳定性健壮性扩展性适应业务发展
XX业务应特点决定核心层相接入网络模块较少楼层汇聚接入数中心汇聚接入广域网接入等三块果采单独容量物理核心设备造成浪费果采低端核心设备会业务相繁忙数中心汇聚形成瓶颈影响网络整体稳定性鉴采超规模核心层设备Cisco Nexus 7000作核心虚拟化两套交换机套全网核心套数中心汇聚样做优势:
l 逻辑然清晰两套设备完全保持前述网络分层结构优势
l 性实现网络核心数中心汇聚交换机资源享复非常解决核心层数量数中心数量存较差异问题
l 较低投入升级数中心汇聚交换机力(相核心层复4Tbps交换力)适阶段进行数中心双网融合资源需求
l 减少设备数量降低设备投入成功耗开销维护理复杂度
XX新代数中心整体网络结构图示:
42 数中心核心层设计
次采扩展15TbpsCisco Nexus 7000系列型DCE交换机台Nexus7000划分两VDC(虚拟交换机)虚拟交换机作XX数中心核心虚拟交换机作数中心分布汇聚层交换机
选择10插槽Nexus7010双机双冗余方式部署网络核心台前支持交换容量4Tbps万兆端口容量256插槽交换力230Gbps(未扩展500Gbps)未扩展40G100G太网
次台N7010暂配32万兆端口48千兆端口端口物理划分属全网核心虚拟交换机属数中心汇聚虚拟交换机虚拟交换机软件进程配置界面独立享复总交换机资源
虚拟交换机支持vPC技术(Virtual PortChannel)实现跨交换机端口捆绑样级交换机连属机箱虚拟交换机时分连机箱万兆链路IEEE 8023ad兼容技术实现太网链路捆绑提高冗余力链路互连带宽时简化网络维护
核心层虚拟交换机设备互连采路端口三层交换方式采vPC进行链路捆绑时三层端口链路捆绑技术图示:
43 数中心分布层设计
431 数中心分布层虚拟交换机
数中心分布汇聚层交换机采述Nexus 7010单独划分处理虚拟交换机实现虚拟交换机间通外部互连样采vPC三层端口链路捆绑技术分布汇聚层虚拟交换机面接入层采二层端口vPC跨机箱捆绑技术互连图示
432 数中心分布层智服务机箱
数中心网络智服务设计分布层智服务机箱提供(MultiServices Chassis)单独服务机箱破坏高性体化交换架构形成数中心干选择三网合数中心流量提供需网络智服务存储流量没必传输程中数应类防火墙检查(存储网安全访问控制机制)样设计较容易实现类似FCoE流量干扰直达
智服务机箱采Cisco Catalyst 6500交换机暂配置720G引擎18万兆端口置防火墙模块(FWSM)应控制模块(ACE) 提供应级安全访问控制应优化负载均衡功
智服务机箱采双机冗余结构利Catalyst 6500VSS虚拟交换机功两独立机箱完全成逻辑机箱通4万兆连2N7000分布汇聚层虚拟交换机VSS技术形成具144Tbps力智服务机箱通N7000vPC技术形成智服务机箱N7000间全双工高达80Gbps互连带宽N70006500VSS预留足够万兆端口捆绑带宽值根未智服务处理性需成倍滑升级物理逻辑连接示意图面示
物理结构图 逻辑结构图
期实施中智服务机箱智服务器硬件模块部署密度高——机箱防火墙模块负载均衡模块块样机箱引擎加速技术防火墙模块迸发吞吐量32Gbps负载均衡模块四层吞吐力16Gbps(需负载均衡)完全满足前业务需求实施中简化配置改双机箱VSS结构备机箱方式业务需求涨业务模块增完善双
机箱负载均衡VSS模式
服务机箱防火墙模块应控制优化模块支持虚拟化技术利智服务虚拟化实现基数中心业务组定制服务策略功业务应需资源时必度关注物理存方式实现物理关跨台智服务调(SODC交互服务调)极提高资源利效率减少物理设施维护复杂度部分面智服务详细设计中加阐明
44 数中心接入层设计
Cisco Nexus 50002000系列DCE接入交换机实现数中心接入层分级设计
次建议XX具12Tbps交换力初始配置40万兆太网端口Nexus 5020交换机具备48101001000M太网端口4万兆连端口Nexus 2148TNexus 20005000系列交换矩阵延展器通部署柜顶(Top of the RackToR)2148T接入高密度服务器连50204连万兆端口提供48千兆端口中少40端口全线性转发力通连接台2148T502012T惊交换力延展机柜实现高性高密度低延迟DCE服务器群接入力作5020延展设备2148T需身进行复杂配置理配置游5020完成简化机柜高密度服务器接入设备理复杂度
Nexus 50002000柜顶(Top of the RackToR)交换机尺寸设计1~2U高度紧凑集成高密度DCE端口时提供热插拔冗余风扇组冗余电源系统性远非传统太网中固定接口交换机
Nexus 5000业界第款商化FCoE交换机万兆太网端口支持FCoE时Nexus 5000支持扩展161~4G Fiber Channel端口81~8G Fiber Channel端口完全支持Fiber Channel SAN交换机完整功特性传统需太网卡FC存储卡(HBA)InfiniBand卡机需张FCoE太网卡(CNA)实现三种网络接入户操作系统见虚拟化太网卡HBA卡InfiniBand卡享万兆高带宽Nexus 5000通Fiber Channel接口连接传统SAN网络实现SANLAN整合通种整合虚拟化实现资源调度化利
时成倍减少网卡数节约功耗提高性降低维护成
XX机服务器机柜分两列列选两列中柜(Middle of the Row)柜部署Nexus 5020列普通机柜柜顶(ToR)放置Nexus 2148T物理部署类似图示:
普通机柜放置千兆端口服务器机柜容纳具冗余网卡千兆服务器高达20列两列中柜(MoR)放置具备万兆太网卡高性服务器万兆FCoE卡新型服务器具备Fiber Channel卡(HBA)服务器SAN交换机甚扩展具备FCoE接口盘阵
提供两种实际物理接线方法:
方法1:交叉冗余链接
两普通机柜设备机柜Nexus 2148T冗余交叉连普通机柜柜顶(ToR)Nexus 2148T通4万兆交叉连列两列中柜(MoR)Nexus 5020列两列中柜(MoR)Nexus 5020冗余互连交叉连Nexus 7000虚拟交换机物理连接类似图示:
方法2:Nexus 5000单位冗余负载均衡
种方法保证Nexus 2000言连接Nexus 5000避免跨越Nexus 5000负载均衡避免负载均衡时偶发两Nexus 5000互连链路产生流量种方法优点负载均衡效果更避免两Nexus 5000间产生拥塞(然性较)网络结构简单易理缺点冗余力方法1
方法1Nexus 2000交错连接容忍20005000时出现障
20005000出障概率极低方案2更容易实施理复杂度更推荐方法2
服务器分配应量遵循相互业务紧密访问量需相互进行虚拟机迁移调度物理服务器应放置柜列(Row)原Nexus 5000
图机柜20台服务器完全实现双网卡Load Balance Teaming方式线性网络接入台服务器2G带宽(4G吞吐量)网络接入力期实施中简化服务器端设计服务器网卡先采ActiveStandbyTeaming方式
第5章 应服务控制负载均衡设计
51 功介绍
511 基功
项目数中心分布汇聚层智服务机箱配置Cisco 应控制模块 (Application Control Engine ACE)作数中心重网络智服务该模块台应服务器提供高性表现高级体系控制安全保护ACE针型企业电信户服务器集群环境效重应数传送进行优化简化时具备良性价
ACE提供性功:
l ACE 提供四七层数包容交换负载均衡功服务器机群提供虚拟址端口ACE插入Catalyst 6500交换机端口成四层交换端口ACECatalyst 6509数总线交换矩阵连接高带宽16Gbps秒连接数345000ACE仅服务器提供负载均衡外部防火墙VPN集中器……等等网络服务设施提供负载均衡
l ACE具备资源分配隔离功服务器虚拟化重手段物理模块中ACE划分独立分区分区分配应者户外分区支持层次化理模式提供资源理灵活性安全性ACE支持基角色访问控制
(rolebased access control) 户分配相应角色(role)角色分区允许执行相关命令集例系统理员角色(system admin role)执行ACE命令应程序理员角色(application admin role)执行台应容交换命令等
l ACE具强安全功效保护台应程序免受恶意攻击技术包括: HTTP深层包检测双动态静态基策略址转换(NATPAT)访问控制列表TCP包头验证TCP连接状态监控等
l ACE支持层次冗余性关键业务提供高等级性保护ACE目前业界唯实现三种高性保护四层交换机
n 机箱间冗余 两台机箱间ACE板卡互冗余保护
n 板卡间冗余 机箱ACE板卡互冗余保护
n 虚拟分区前冗余 –ACE板卡虚拟分区前互保护
l ACE冗余保护动态连接进行保护保证业务板卡障时业务连接然保持
l 硬件加速方式协议控制常见协议提供效检查滤绑定 协议包括HTTPRTSPDNSFTPICMP等硬件方式实现ACLNAT功支持百万NAT转换表项
512 应特点
5121 虚拟化分区
虚拟分区实现资源分段隔离思科ACE作物理模块中独立虚拟模块运行解决方案企业够利思科ACE模块达250企业机构应客户合作伙伴提供事先定义服务水虚拟分区应基础设施更业务运营时减少设备实现出色控制
外虚拟分区包括分级理域确保应性水ACE模块中资源限度利
思科ACE分散理提供集中控制虚拟分区提供基模板定义户访问权限基角色访问控制(Role Based Access Control RBAC)特性允许企业理角色进行定义限定理员模块虚拟分区特定功权机构中位理员需级(例应理服务器理网络理安全理等)思科ACE模块互动理角色进行准确定义理员群组够影响群组情况利执行务疑项重工作
通Cisco Catalyst 6500虚拟路转发(VRF)防火墙模块虚拟化相集成支持路功防火墙应控制负载均衡端端智服务虚拟化(图示)
5122 性扩展性
思科ACE提供业界高水应供应力思科ACE模块吞吐率高达16 Gbps秒支持345000持续连接轻松处理量数文件媒体应庞户群体ACE系列模块配备增长投资付费许证提供高16 Gbps扩展吞吐率客户需扩充容量全面升级系统设计ACE未增值服务扩展功预留空间实际通单Cisco Catalyst 6500机箱中安装四ACE模块提供业界高水扩展性
思科ACE提供层冗余性性扩展性您关键业务提供限度保护业唯提供三种高性模式产品:
l 机箱间高性:台Cisco Catalyst 6500中ACE等Cisco Catalyst 6500中ACE保护
l 机箱高性:Cisco Catalyst 6500中ACECisco Catalyst 6500中ACE保护(Cisco Catalyst 6500置强冗余性)
l 分区间高性:思科ACE支持两模块配置虚拟分区间高性特定分区够影响模块中分区应基础执行障切换
性模式均通复制连接状态连接表提供快速状态化应冗余性
5123 安全功
思科防御网络提供级防御功客户高枕忧思科ACE通特性保护数中心关键应免受恶意流量影响:
l HTTP深度包检测——HTTP报头URL净负荷
l 双网络址转换(NAT)端口址转换(PAT)
l 支持静态动态基策略NATPAT
l 访问控制列表(ACL)选择允许端口间流量通
l TCP连接状态踪
l UDP虚拟连接状态
l 序列号机生成
l TCP报头验证
l TCP窗口尺寸检查
l 建立会话时检查单播反路径转发(URPF)
5124 集成硬件加速协议控制功
应供应领域尚属首次面世许常数中心协议HTTP实时流协议(RTSP)域名系统(DNS) FTP互联网控制消息协议(ICMP)提供效检测滤修复功
拥达256000条目型扩展ACL够时支持应希获前端扩展性(户客户端应数量)端扩展性(服务器服务器群数量)外达1000000条目高性扩展NAT事件处理功支持许型数中心整合应更快速面世虚拟分区重叠IP子网保持独立需保护数中心进行费高昂网络重新设计重新配置添加额外设备
思科ACE支持协议符合性检查安全分析提供事件记录报告
5125 基础设施简化
第二七层网络集成——作Cisco Catalyst 6500机箱模块思科ACE轻松插入新型现网络提供第二七层全面丰富解决方案该解决方案支持Catalyst 6500支持端口类型数量支持高达720 Gbps机箱吞吐率轻松扩展满足型网络求外该集成解决方案节省占空间利路状态注入 (RHI)动状态集成支持应数中心高性ACE虚拟分区通开启关闭网络中物理接口强制进行障切换
5126 功整合
通台设备整合容交换SSL加速数中心安全等功思科ACE获bpspps性显著提升缩短应延迟利功整合TCP信息流需终结次需网络四四位置进行终结节省时间减少处理工作存占加密解密负载均衡决策安全性检查业务策略分配验证均网络中单点完成较少设备简化网络设计更方便理实现更理想应性
5127 理功
思科ANMACE模块虚拟分区层次化理域进行理基服务器理套件ACE模块量虚拟分区进行发现配置监控报告部署完全透明化基模板配置审计服务激活中止功相配合快速实施应通匹配服务API配置务RBAC组允许位理员群组ACE模块虚拟分区时进行操作
5128 SSL加速
思科ACE解决方案集成SSL加速技术卸载外部设备(服务器设备等)SSL流量加密解密工作允许思科ACE加密数进行更深入检查应安全容交换策略设置仅思科ACE作出更明智策略决策确保您应供应台遵守部外部法规利重加密功思科ACE解决方案确保敏感数端端加密时执行智策略
5129 事务处理视性
秒处理350000系统日志业界领先速度思科ACE解决方案记录量连接设置断接提供事务处理级视性会影响数传输性
51210 开放硬件台
利两现场升级子卡插槽未需硬件化处理新功作子卡插入ACE模块思科ACE模块支持未功更高扩展性种灵活性确保思科ACE解决方案干年中着需求发展扩展需实施全面模块升级完全会造成业务中断
52 应优化负载均衡设计
521 智服务机箱设计
5211 物理连接
ACE模块防火墙模块期数中心实施中服务机箱提供两网络智功设备未理想设计蓝图中两服务机箱通VSS技术合虚拟单机箱时实现部服务模块冗余负载均衡期中服务机箱智服务器硬件模块部署密度高——机箱防火墙模块负载均衡模块块样机箱引擎加速技术防火墙模块迸发吞吐量32Gbps负载均衡模块四层吞吐力16Gbps(需负载均衡)完全满足前业务需求实施中简化配置改双机箱VSS结构备机箱方式业务需求涨业务模块增完善双机箱负载均衡VSS模式图示:
机箱双万兆连两台Nexus 7000建议果富余万兆端口台4万兆端口双双连Nexus 7000样Nexus 7000vPC跨机箱捆绑技术整拓扑成三角形结构——智服务机箱连带宽40G(双工80G)服务机箱间带宽20G(双工40G)
5212 逻辑结构
根前面分析数中心业务特点数中心划分n业务区业务区独立智网络服务策略应独立虚拟防火墙应独立虚拟ACE应独立虚拟路VRF虚拟局域网组VLAN Group业务区理员定许资源范围充分享复底层资源低理成代价实现高效复图示:
虚拟服务区划分原:
n 建议安全域应虚拟服务区样虚拟防火墙策略简单化入策略出策略(安全设计章节详细介绍)
n 虚拟防火墙虚拟ACEVRFVLAN组应理想化虚拟化模式样程度实现特定业务相关路应安全整套虚拟化资源划分策略
n 业务定虚拟服务区中
n 需进行虚拟机迁移虚拟机虚拟服务区中
n 划分宜细分区宜建议期超5分区
服务机箱相互间Nexus 7000间链路采二层交换方式万兆捆绑IEEE 8021Q封装通VLAN标记VLAN Group应机箱虚拟化服务
面逻辑结构应前述三角形拓扑中会冗余环路二层结构中会导致生成树算法关闭冗余链路建议IEEE 8021QVLAN Trunking链路进行VLAN范围设置服务机箱互连捆绑链路VLAN服务机箱连Nexus 7000VLAN前者VLAN服务模块相互间状态配置步障时时通道样链路会充
分利会形成环路需生成树算法收敛计算路径
522 应负载均衡设计
ACE核心功负载均衡服务般设计中两种提供负载均衡服务方式:串联模式单臂模式
简单起见Active部分进行描述Standby部分设计Active部分完全相Active局部全部失效会Standby局部全部接面高性设计部分详细讨
5221 方案:串联模式应负载均衡模块ACE
应负载均衡模块ACE防火墙模块FWSM均串连方式网络中部署桥接模式串联部署ACE非常简单VIP(Virtual IP)直接位客户端服务器间路径
串联模式ACE设计方案中发VIP客户端流量达MSFCMSFC执行IP路查询然流量转发FWSMFWSM做安全控制策略转发ACE作出负载均衡决策选择真实服务器ACE执行L2重写(服务器NAT)流量转发真实服务器真实服务器发出返回流量通相路径回客户端图示
串联模式ACE方案特点:
n 较容易做虚拟防火墙虚拟负载均衡理想应(图)
n FWSM 放置ACEMSFC间利ACE路动态插入RHI功(RHI面介绍)
n 子网实现新服务器群负载均衡ACE添加新服务器VLAN客户端VLAN
n 服务器备份等发WEB服务器非负载均衡流量必须桥接通ACE
n 没负载均衡必服务器通信必须通ACE进行
5222 方案二:单臂模式应负载均衡模块ACE
单臂模式ACE设计方案中ACE仅通VLAN连接MSFC处防火墙保护外
客户端发VIP址流量需负载均衡流量MSFC路ACEACE进行负载均衡选择真实服务器执行L3重写(服务器NAT)流量转发FWSM进行包检查然转发真实服务器MSFC配置PBR时FWSM发真实服务器返回流量转发MSFCPBR流量进行分类发回ACEACE服务器NAT执行反L3重写流量发回MSFCMSFC转发回客户端ACE单臂VLAN默认网关MSFC接口IP真实服务器默认网关FWSM接口IPFWSM定义默认路服务器流量转发MSFC
ACE单臂模式确保返回流量够回ACE需NAT策略路(PBR)源NAT较简单适合源IP址追踪客户端模式进行记账计费客户PBR避免问题带问题路复杂性非负载均衡流量非称路VRF支持等问题
单臂模式ACE方案特点:
n 优势需负载均衡流量ACE样提高数中心扩展性
n 配置RHI动态VIP作机路发布MSFC简化配置实现动态学
n 没FWSM保护网言关键特ACE身极强安全保护力
n MSFC需源NATPBR确保真实服务器发送返回流量转发回ACE
n 较难实现虚拟化ACE虚拟化防火墙理想应模式实现该方式必须ACE连VRF前Cat6500基VRFPBR限制
5223 应负载均衡设计方案较
根详细方案较结合XX数中心网络特点应求认前业务虚拟化ACE迫切程度远防火墙虚拟化相需ACE数中心业务流量较推荐采单臂模式ACE方案业务发展业务端端虚拟化求迫切未基VRFPBR较完善较容易切换基虚拟化ACE单臂模式
523 安全功设计
服务器负载均衡功外ACE30版中提供强应安全特性单臂模式ACE方案中非处防火墙保护ACE模块安全性强力保障功包括:
l 访问控制列表ACL:ACL包括系列语句定义网络流量概况条目允许拒绝网络流量(入出)达条目中规定网络部分执行单元(允许禁止)外条目包括基源址目址协议协议特定参数等标准滤器单元ACL隐式拒绝全部条目希允许连接接口必须配置ACL否ACE拒绝该接口全部流量
l AAA:ACE模块执行户身份认证记账(AAA)服务访问ACE户提供更高安全性AAA服务AAA服务器控制访问ACE踪访问ACE户操作根提供户名口令组合ACE数库执行户身份认证者外部AAA服务器实现远程身份认证记账
l 应协议检查:数包通ACE时候某应需数包数部分进行特处理应协议探测助验证协议行识流ACE害恶意流量根通信流量策略规定ACE接受拒绝数包确保应服务安全需ACE执行HTTPFTPDNSICMPRTSP协议应检测作数包转发目服务器前第步HTTPACE执行深层数包检查监控HTTP协议状态根户定义流量策略允许拒绝流量通HTTP深层数包检查关注HTTP属性HTTP报头URL效负载等FTPACE执行针FTP会话FTP明令检查允许您根ACE限制特定命令应检测助识TCPUDP流中嵌入IP址信息位置检测ACE转换嵌入IP址更新受转换影响校验者字段
l TCP 标准化:TCP标准化种第4层特性包括ACE数流传输阶段(初连接建立连接关闭)执行系列检查通配置高级TCP连接设置控制分段检查ACETCP连接设置确定执行检查根检查结果确定否丢弃TCP分段ACE会丢弃显异常畸形分段种特性检查发现非法疑(服务器发送客户端条SYN客户端发送服务器条SYNACK)分段根配置参数设置采取恰措施ACETCP标准化阻塞某种类型网络攻击插入(insertion)攻击躲避(evasion)攻击插入攻击指设计种机制检查模块接收终端系统
拒绝数包躲避攻击指设计种机制检查模块拒绝终端系统接受数包ACE总动丢弃坏分段校验数包坏TCP报头错误效负载长度数包带疑TCP标记 ( NULLSYNFIN FINURG) 数包
l 网络址转换:服务器提供安全性服务器专IP址映射全局路IP址客户端该址连接服务器种情况客户端发送数服务器时ACE全局IP址转换服务器专IP址相反服务器响应客户端时候ACE服务器IP址转换全局IP址达安全目程称DNAT
建议期建设中项目数中心处网外部攻击相少部分ACE安全特性作身保护防火墙功补充负担卸载(特定协议检查)建议作安全手段
524 SSL分流设计
ACE实现网络协助完成SSL分流减轻台服务器操作SSL压力安全套接层(SSL)种应层协议互联网提供加密技术赖证书私钥公钥交换实现层次安全性确保安全交易电子商务网站传输信卡号通结合私密性身份认证SSL数完整性SSL客户端服务器间提供安全数交易
ACE模块通组特殊SSL命令组客户端服务器间执行加密功SSL功包括服务器认证私钥公钥生成证书理数包加密解密
ACE支持SSL第30版传输层安全(TLS)第10版ACE理解接受SSL 20版Client Hello消息(该消息称混合23 hello消息)允许两种版客户端ACE通信客户ClientHello 第20版中指明SSL第30版时ACE解该客户端支持SSL 30版返回条30版Server Hello消息果客户端仅支持SSL第20版ACE网络流量通
建议根应求选择配置SSL分流(offloading)功服务器提供数加密解密SSL Offloading情况客户端发送 HTTPS流量ACE VIPACE SSL 流量转发板(on-board)SSL模块进行加密明文流量发回ACE做出负载均衡决策然转发真实服务器真实服务器发出返回流量转发ACEACE明文流量发送SSL模块进行重新加密然加密流量发送回ACE
ACE转发回客户端终解脱服务器繁重SSL处理负担
525 扩展性设计
XX数中心网络设计中采业务功模块化网络拓扑层次化设计架构核心分布接入层模式种模式服务器负载均衡防火墙SSL卸载等网络服务分布层提供应承载设计中两关键部件性指标方案扩展性提供良支持
ACE提供业界高第47层性模块秒吞吐量达16Gbps支持连接数达345000条佳性250虚拟分区支持 ACE提供高应户群扩展性Catalyst 6500机箱中安装4ACE模块实现扩展性
表 1 ACE性容量
特性
高性配置
综合性
吞吐量
16 Gbps* 8 Gbps* 4 Gbps
秒通数包数
650万
秒处理系统日志数
350000
容交换性
秒连接数
345000完整交易速率
步连接
4 百万
SSL 加速
5K 10K 15K* SSL 交易秒 默认1000
容交换配置
虚拟服务器
4096
服务器群
16000
真实服务器
16000
VLAN 总量(客户端服务器)
4000
探测器
ICMPTCPUDPEchoFingerDNSTelnetFTPHTTPHTTPS
SMTPPOP3IMAPRADIUSScripted
ACL条目
256000接入控制单元
虚拟分区
250* 基报价包括5 虚拟分区
VLAN总数 (客户端服务器)
4000
* 需购买升级许
526 高性设计
数中心业务应较高性求求网络具支持业务永续性冗余力种冗余旨消设备连接障造成影响冗余特性设计适位置确保发生障时数客户端流服务器重XX数中心网络中机箱路模块ACE模块FWSM模块充分考虑冗余设计
5261 路模块冗余
Catalyst 6500机柜种硬件特性提供具弹性高性解决方案包括双电源双机箱系统
电源冗余模式运行种模式果电源出现障者机柜交流电源出现障余电源继续支持机柜运行
5262 防火墙模块FWSM冗余
FWSM支持状态障切换意味着TCP连接UDP流动防火墙模块复制备防火墙模块发生障时备模块变成模块继续已建立连接转发流量FWSM障切换时间约1~3秒
前面设计中提两服务机箱采备冗余设计两机箱防火墙模块通特定VLAN(Failover VLAN)交换心跳信号配置步够检测出设备否存障选择备设备FWSM间外特定VLAN (Stateful VLAN)复制防火墙正转发流量状态信息切换防火墙保留连接状态信息提供切换前中断业务服务
建议单独冗余物理端口实现Failover VLANStateful VLAN
5263 应负载均衡模块ACE冗余
应负载均衡设计中ACE模块状态冗余显尤重ACE状态障切换机箱支持XX数中心网络设计中样跨机柜等ACE模块间实现
支持种备配置创建FT VLAN接口传输心跳信号FT等设备定义心跳信号频率例100毫秒丢失10次心跳信号视等设备丢失障切换定时器户配置
建议单独冗余物理端口实现FT VLAN
5264 服务器冗余
服务器冗余实际负载均衡服务器群中台服务器组成负载均衡集群实现集群中服务器健康状况ACE进行实时动态监控通配置运行状况探测器(时作keepalives)指示ACE检查服务器服务器群运行状况创建探测器分配某真实服务器服务器群探测器类型中种:
l TCP
l ICMP
l Telnet
l FTP
l HTTP GET
l HTTP HEAD
根应求调整运行状况探测器参数时间间隔障检测(faildetect)通探测(passdetect)等满足需求
l 时间间隔: 秒单位探测间隔时间
l 失败探测: 记录真实服务器障前续错误数目
l 通探测: 两次探测服务器障间时间间隔单位秒
负载均衡器定期发出探测信息确定某服务器状态检查服务器响应阻止客户端达服务器网络问题根服务器响应负载均衡器服务器开始运行停止运行
根服务器群中服务器状态负载均衡器做出负载均衡决策
5265 服务器NIC Teaming(成组)
NIC接口服务器会存单点障NIC卡电缆连接交换机NIC成组NIC卡供应商开发种解决方案通提供特定驱动器消种单点障该方法允许两块NIC卡连接两接入交换机接入交换机模块端口果NIC卡出现障第二块NIC卡会接服务器IP址接运行出现中断NIC成组解决方案种类型包括ActiveStandby模式(备)ActiveActive(双活)模式
根单服务器业务量Teaming网络复杂度影响评估推进服务器NIC Teaming方式ActiveStandby模式(备)IP享MAC址
5266 高设计数流分析
交换机防火墙模块ACE模块处障点单独切换
前A机箱防火墙障机箱B防火墙接应业务A机箱VRFB机箱防火墙模块A机箱ACE完成数流处理AB机箱数流交互通AB间VLAN Trunking完成
5267 未高性扩展
前网络智服务机箱备模式工作未考虑利虚拟化技术部分虚拟区A机箱部分虚拟区B机箱样两机箱形成ActiveActice双活模式形成真正负载均衡冗余存设计然样方案会带非称路径处理等诸复杂设计建议系统智服务峰值处理量机箱法承载时升级种双活服务机箱模式
备双活思科支持通VSS技术两服务机箱虚拟化机箱实现更清晰智服务理更高性网络负载均衡力未考虑进步升级实施
第6章 网络安全设计
61 网络安全部署思路
611 网络安全整体架构
目前数安全解决方案质孤立没形成完整安全体系概念然已存安全防护技术防火墙入侵检测系统防病毒机加固等厂家鉴技术优势厚薄彼必须全局体系架构层次进行总体安全规划部署
XX次信息建设然仅包括数中心网楼层广域网中心部分改造建设必须全局架构高度进行统设计建议采目前国际新信息保障技术框架(IATF)安全体系结构明确提出需考虑3素:操作技术技术方案着重讨技术素操作需非技术领域(安全规章制度)方面进行解决
技术素方面IATF提出通框架信息系统信息保障技术层面分四技术框架域:
· 网络基础设施:网络基础设施防护
· 飞边界:解决边界保护问题
· 局域计算环境:机计算环境保护
· 支撑性基础设施:安全信息环境需支撑台
提出深防御IA原技术操作相结合样性层叠保护原图示:
安全技术应框架中位置图示:
次网络建设改造中需考虑安全问题图中网络基础设施保护边界保护两方面计算机环境(机)支撑台系统机建设业务应建设中需重点考虑安全问题
612 网络台建设必须考虑安全问题
高速发达网络台衍生现代网络病毒蠕虫DDoS攻击黑客入侵等等攻击手段果防护手段然停留计算环境信息资产保护处动需网络底层台建设开始安全防护特性置中SODC架构中安全智网络应层业务提供基服务
XX网络台安全角度安全设计分三层次:
设备级安全:需保证设备身安全设备身越越成攻击终目标
网络级安全:网络作信息传输台第时间保护信息资源力机会包括进行户接入认证授权审计防止非法接入进行传输加密防止信息泄漏窥测进行安全划分隔离防止授权访问等等
系统级动安全:智防御网络必须够实现谓先知先觉潜威胁演变安全攻击前加措施包括通准入控制健康机器接入网络通事前探测时分流防止规模DDoS攻击进行全局安全理等
XX应述三方面逐步实施
62 网络设备级安全
网络设备身安全包括设备身病毒蠕虫防御网络协议身防范措施项目涉网络设备协议环境面威胁相应解决方案:
621 防蠕虫病毒等Dos攻击
数中心然没直接连接Internet部专网中计算机法保证整周期会接触互联网种移动存储介质然会较面量网络蠕虫病毒威胁Red CodeSQL Slammer等等常变换特征防火墙完全进行滤般发作机理:
· 利Microdsoft OS应缓区溢出漏洞获机控制权
· 获机控制权安装病毒软件病毒软件机生成量IP址IP址发送量IP包
· 安全漏洞MS OS会受感染机生成量IP址IP址发送量IP包
· 导致阻塞网络带宽CPU利率升高等
· 直接网络设备发出错包网络设备CPU占率升高直引发协议错误甚宕机
需设备级保证受攻击时身健壮性次XX核心交换机Nexus 7000智服务机箱Catalyst 6500均支持硬件化控制面流量制功限制必须CPU亲进行处理信息流速求包速制阈值设定CPU健康工作范围根解决病毒包CPU资源占问题时影响数面正常数交换特Nexus 7000控制面保护机制板卡级分布式处理具备型IDC中规模DDoS防护力
外类蠕虫病毒会利伪造源IP址进行泛滥局域网核心交换机广域网骨干路器应支持转发包进行源址检查源址合法IP包会转发种技术称Unicast Reverse Forwarding(uRPF单播反转路径转发)该技术果通CPU实现千兆网络中具备实性次XX网络中万兆级三层端口支持通硬件完成uRPF功
622 防VLAN脆弱性配置
数中心安全域进行防火墙访问控制隔离时存VLAN然广泛采端口捆绑vPC等技术正常工作中拓扑简化甚完全避免环路网络VLAN关系复杂法工程完全杜绝诸网络障切换误操作造成时环路必运行生成树协议作二层网络中增加稳定性措施
前许软件具STP 功恶意户PC安装STP软件Switch相连引起STP重新计算成STP Root 流量会流恶意软件机 恶意户做包分析局域网交换机应具Root guard(根桥监控)功效防止Switch成STP Root项目允许二层生成树协议设备特接入层中启动Root Guard特性外Nexus50002000支持BPDU filters Bridge Assurance等生成树特性保证生成树安全稳定
恶意户编制特定STP软件Vlan加入会引起量STP重新计算引起网络抖动CPU占升高期接入层交换机端口设置BPDU Guard功旦某端口接收恶意户发STP BPDU禁止端口
(三)防止ARP表攻击效手段
项目量三层交换机发送数前工作方式路器样先查找ARP找目端MAC址信息发目病毒三层交换机发充ARP目端IP址恶意户机MAC应发目端包会发恶意户实现包窃听
Host配置静态ARP种防止方式理负担加重维护困难通信双方常更换时时更新
期三层交换机支持动态ARP Inspection功动态识DHCP记忆MAC址IP址正确应关系效防止ARP欺骗实际配置中配置Server网络设备实施ARP欺骗静态设定数量理较简单
623 防止DHCP相关攻击
项目中楼层网段会采DHCP Server服务器提供户端址面着种DHCP服务相关攻击方式:
l DHCP Server :某恶意户网段放DHCP 服务器时PC容易DHCP server分配IP址导致网
l 恶意客户端发起量DHCP请求DDos 攻击:恶意客户端发起量DHCP请求DDos 攻击会DHCP Server性耗CPU利率升高
l 恶意客户端伪造量MAC址恶意耗IP址池
应采技术应常见攻击:
· 防DHCP Server :次新采购户端接入交换机应支持DHCP Snooping VACL 允许指定DHCP Server服务通DHCP Server服务通Switch
· 防止恶意客户端发起量DHCP请求DDos 攻击:次新采购户端接入交换机应支持DHCP请求作流量限速防止恶意客户端发起量DHCP请求DDos 攻击防止DHCP ServerCPU利率升高
· 恶意客户端伪造量MAC址恶意耗IP址池:次新采购户端接入交换机应支持DHCP option 82 字段插入截断客户端DHCP请求插入交换机标识接口标识等发送DHCP Server外DHCP服务软件应支持针标识请求进行限量IP址分配者附加安全分配策略条件
63 网络级安全
网络级安全网络基础设施提供连通性服务基础增值安全服务网络台直接实现安全功采独立物理机实现具更强灵活性更性更方便理次数中心设计范围访问控制隔离(防火墙技术)
XX全网集团网络机构广域网互联网部楼层部数中心等具备明显安全求网络飞边界部署规需防火墙进行隔离文档仅讨数中心部分部防火墙安全控制设计
631 安全域划分
数中心安全域划分需建立数中心应业务分析基础前述虚拟服务区划分原致实际SODC虚拟化设计原虚拟服务区应应唯虚拟防火墙应唯安全域具体原:
l 业务定安全域
l 必进行安全审计访问控制区域必须安全域划分
l 需进行虚拟机迁移虚拟机安全域中
l 划分宜细安全等级致业务安全域进行建议期超5安全域
般划分:OA区应服务区数库区开发测试区等
632 防火墙部署设计
安全域流量需互访必须严格访问控制隔离果传统网络设计需网络应交换台间边缘部署防火墙设备进行安全保护样需量防火墙性受限外部连接接口带宽增加网络理复杂度未难扩展应置交换机高性防火墙模块考虑复杂连线方便进行安全域划分容易扩展理提高整体性
果安全域防火墙安全域考虑套出入策略
安全域复杂相互关系变成安全域出进关系样整防火墙策略变模块化清晰化简单化诊断策略问题时相关安全域专防火墙策略容易找问题次防火墙设计中充分虚拟防火墙技术
里虚拟防火墙功指物理防火墙虚拟划分独立防火墙虚拟防火墙完全独立配置界面策略执行策略显示等等操作象单独防火墙样虚拟防火墙应具独立理员分配资源连接数存数策略数带宽等等防止虚拟防火墙病毒意外占资源仅仅VLAN类技术划分防火墙法起策略独立性资源独立性目属里指虚拟防火墙
虚拟防火墙应配合虚拟三层交换机安全域部存IP子网间需三层交换机进行路安全域间样路应混路表中应安全域路表配置静态动态路协议独立路器样安全域相互间仅通虚拟防火墙互相连接安全域互连逻辑结构图示:
终应达虚拟化数交换中心效果交换机物理端口VLAN端口够充防火墙端口时安全域独立虚拟路器独立路表独立动态路协议安全域应专虚拟防火墙虚拟防火墙拥独立理员权限定义安全策略资源安全域理员负责区域虚拟防火墙策略控制理关心虚拟防火墙配置工作避免单区域安全策略配置错误区域造成影响根简化型数中心理维护难度
防火墙模块物理逻辑部署请参见前面智服务机箱设计节
633 防火墙策略设计
安全域间访问控制策略虚拟化设计需考虑安全域出方策略入方策略建议初始策略原设定然根业务需求断调整:
l 出方进行策略限制全部开
l 入方授权原开必服务
l 允许发部址双方ICMPICMP进行应检查(Inspect)
l 允许发部址Trace Route便网络诊断
l 关闭双方TCP Seq Randomization数中心防火墙该功提高转发效率
l 减少者进行NAT保证数中心址透明性便ACE提供服务
l 关闭natcontrol(默认)关闭xlate记录保证发连接数
l 虚拟防火墙资源进行限定:总连接数策略数吞吐量
l 基虚拟防火墙设定未完成连接数(Embryonic Connection)升级定义客户端未完成连接数
634 防火墙性扩展性设计
期项目建议采防火墙模块具55Gbps吞吐量100万发连接数秒10万新建连接数力高端防火墙系统表示:
表 FWSM性容量
特性
高性配置
综合性
55 Gbps
3 M pps
100万条步连接
秒100000条HTTPHTTPS连接
256000 前 NAT PAT转换
全局配置
VLAN接口
服务模块1000
路模式虚拟防火墙256VLAN
透明模式虚拟防火墙8VLAN
接入控制列表
单虚拟防火墙模式80000ACLs
虚拟防火墙
2050100250 虚拟防火墙许证
然双活模式项目防火墙系统提供高达11Gbps吞吐量作未数中心防火墙系统认应具备完全线性吞吐量力幸运次提供新版防火墙模块中提供高达32Gbps单模块吞吐力甚扩展300Gbps需防火墙模块实现思科新技术:SUP Acceleration(引擎加速)
数中心数量交互中占防火墙处理开销黑客攻击越权访问等拒绝流存储备份文件传输虚拟机映加载存步等等带宽消耗正常应信流特点持续稳定TCP连接UDP会话中传送力(Best Effort)进行数传送侵占巨带宽传统防火墙类流量会逐包进行检查处理导致防火墙部处理拥塞思科新代防火墙模块实现交换机资源提高防火墙模块身吞吐性实际防火墙流前包进行处理流通信流结流特征提取出送交换机交换机特征流续包进行识处理相流续部分交交换机完成样交换机资源防火墙资源实现真正融合提高安全访问控制处理速度前单防火墙模块实现实测55Gbps吞吐量资源整合技术数值实测已达32Gbps软件升级300Gbps防火墙模块正面服务数中心资源整合化典型技术实现客户带资源融合益处
全球型数中心实际环境中通调查发现信流余流量防火墙身55Gbps处理力绰绰余项目中期工程中采双活智
服务机箱足保证防火墙环节瓶颈未通2防火墙模块双活甚虚拟ACE实现4防火墙模块双负载均衡
64 网络智动防御
传统停补丁进行特征码升级动防御手段已法适应安全防御求必须网络动智感知网络中行事件发生严重果前时通知安全网络理员甚直接联动相关安全设备进行提早措施效减缓危害实现种智动防御系统需网络中进行部署:
· 桌面户接入进行感知相应措施
· 桌面户行进行分析感知
· 全网安全事件流量拓扑进行智分析关联感知
· 种信息进行综合分析然进行准确报告
· 报告时进行网络联动提早抑制威胁
整程需产品进行部署实现产品部署进行简述
641 网络准入控制
网络准入控制技术——Network Access Control(NAC)种网络智终端进行感知判断威胁性减少终端发起攻击种技术NAC类似前面提身份识安全接入控制技术机网络设备等接入判标准仅仅基户身份基该设备网络健康状态NAC允许机构实施机补救策略符合安全策略求疑系统放置隔离环境中(特定专软件升级VLAN)限制禁止访问生产网络等威胁消回生产网络通端点安全状态信息网络准入控制执行标准结合起 NAC机构够幅度提高计算基础设施安全性
XX实施准入控制需够实现求:
· 体化准入控制:仅仅线端准入控制实现包括线VPN接入准入控制应统系统准入控制需太网交换机线AP设备线控制器VPN集中器支持统准入控制
· 支持种准入控制形式:包括够支持基Infrastructure准入控制线局域网线局域网基实现IEEE 8021x动态VLAN准入控制路器防火墙VPN集中器等等实施基滤机制准入控制支持基网络专设备准入控制网络交换机路器厂商品牌设备构成异构网络实施基专线设备准入控制
· 身份标识相结合:准入控制机制应身份标识体化身份标识户相应准入控制策略身份识健康检查进行联系
· 独立客户机健康状态进行评估:够结合病毒厂商软件进行安全状态检查更独立客户端行进行检查包括操作系统补丁病毒软件版等应包括检查注册表疑记录非法修改等等够通客户机状态进行深度判断基脱离复杂第三方厂商病毒软件部署独立健康状态进行准确评估
· 提供动修复:准入控制系统应包括提供线动修复力包括种策略软件分发链接推送等
· 够发现动识印机IP电话等非常规NAC客户端
期数中心建设建议XX楼层接入完善化建设中考虑桌面准入控制解决方案
642 桌面安全理
准入控制种网络接入机智判断般接入瞬间进行检查动作户接入进行操作收发信息准入控制系统干预网络种病毒蠕虫黑客软件泛滥客户机身网行分开型企业网理员法真正控制户端行网络变脆弱事频发祸首理员头痛问题
XX着IT业务深化发展需样桌面安全理软件——基行特征保护终端技术客户端软件基行基特征码标记病毒识库里行危害系统阻止客户端软件行进行专家级分析样减少频繁客户端软件升级更重够防止终端免受谓零日攻击未解病毒蠕虫间谍软件恶意代码新变种危害外基应程序行实施种安全策略户进行意意系统危害进行理控制具体应功:
· 识恶意意安全行:种威胁行支持注册表修改正常存访问收机端口正常扫描邮件系统正常台调等等病毒户意意造成时提示户进行阻止提示户作条Log信息报告台安全智网
· 动统计PC安装应程序:统计客户机器安装应程序安装版否安装BT等软件然台安全智网报告
· 调查应程序运行情况:统计应程序运行生成相应报表报告台智网
· 禁止安装运行理员指定应程序:够禁止客户机安装运行符合公司策略应程序BT钓鱼软件等
· 保护敏感数允许复制拷贝:保护文件开阅读复制复制文件文件夹允许文件中拷贝粘贴容出非常防止机密信息泄漏方法
· 禁USB等移动设备:USB光驱等种移动设备常常引入病毒风险入口客户端理软件应设定允许特定客户机设备者设备什容允许读理员授权时访问
· 统计够控制应程序网络:统计应程序网络情况提供应程序网络控制制订应IP包QoS标记禁止访问指定网段禁止邮件附带机密文件等等
· 够准入控制相结合:够准入控制缝结合准入控制终端健康识包括否安装客户端安全理软件否制订相应安全级策略反客户端安全理软件根准入控制结果(隔离已允许进入网络)提供安全保护策略
· 中央集中控:客户端理软件中心进行软件分发中心网进行统策略设置维护升级集中控 维护简单
· 台报警报表:功时跳出窗口户解安全威胁询问户否阻止户时完全知详细情况报表报警等通台传送集中控智安全网控制台理员整户网络情况目然提早采取措施
功集中控服务器端理软件分布户机客户端软件构成通中心策略设置客户端软件分发客户端机工作模式设台告警报表模式减少前端户正常工作干扰理员解计算机安全运作情况根信息确定安全预防措施
建议逐步实施楼层网络优化改造项目中实施类似客户端桌面理控制
643 智监控分析威胁响应系统
XX已部署部署量种安全设备需参形成巨安全理挑战常见蠕虫早期发生时相关网络设备防火墙IDSIPS会异常记录产生会淹没数万计日志告警中理员难发现等爆发形成损失调查够爆发程信息难设备记录中分析爆发源头
XX网中心需智安全理系统应象精通网络安全设施专家帮助进行早期预警源头踪措施建议等等安全监控分析威胁响应系统(Monitor Analysis and Response SystemMARS)具体应包括样功:
· 监控安全设备:MARS系统够监控安全设备形成日志记录告警进行收集
· 监控网络拓扑形态:MARS系统够解整网络拓扑设备类型路表址表等等信息
· 监控网络流量:MARS系统够监控网络中种流量某特定TCPUDP端口号流量变化够采集设备Netflow 信息进行统计形成日常基线够识异常流量
· 监控网络设备:MARS系统够监控种厂商网络设备记录包括路器交换机VPN设备NAT等等
· 统进行分析功:MARS监控信息统进行分析特网络拓扑异常流量相关联种似分离事件相关联种重复错误报告删浩烟海问题报告浓缩成少量安全事报告供理员参考数十万告警仅剩十高中低优先级事报告
· 形象呈现:事报告理员清晰描述攻击源路径目标攻击次数等等网络拓扑图中述信息标识处理供理员参考
· 智专家建议:根发生安全事MARS理员进行智建议拓扑路径智分析告诉理员应处佳位置进行滤滤应采访问控制列表具体命令等等
· 远程修复:通常MARS动形成措施建议供理员选择旦理员意某措施措施写访问控制列表关闭端口会动发目标设备动完成修复
· 兼容厂商设备:MARS应流网络设备厂商安全设备厂商设备予支持少量非流厂商设备MARS简单定制予支持
MARS必须代安全信息理系统(SIMS)需增强功:
· 信息收集关联方式:MARS监控容仅仅安全设备记录包括网络拓扑流量信息安全事件相关联进行判断更准确
· 信息报告方式:MARS显示整网络拓扑够攻击形象标识拓扑图理员清晰掌握网络安全威胁波源头范围动进行防御
· 修复智化动化:MARS直接建议安全措施甚安全措施具体表现命令级理员需钮直接进行远程设置修复
图直观攻击拓扑显示
图攻击源位置直观显示:
图MARS抑制该攻击建议需点击Push攻击源交换机进行设置帮助抑制正发生攻击
建议XX考虑全局网络运营理时应部署MARS系统部署MARS时应时部署MARS兼容网络状态监控设施设施包括IDSIPS防火墙网络设备流量监控设备等建议XX未部署网络状态监控设施时应考虑部署原保证MARS系统作充分实现:
· IDSIPS求:作MARS信息源XX楼层局域网应部署硬件IDS监控核心局域网二级网络间应部署硬件IDS监控国家级干省级接入IDS应置少1G连接带宽外部IDS广域网接入路器应支持置外部IPS保证定性
· 防火墙求:前面安全域隔离方案部署防火墙防火墙应完整Log记录NAT记录够MARS兼容(目前推进数中心防火墙方案满足求)
· 网络设备求:网络干设备应具硬件化流量华芯片模块够支持Netflow硬件化采集够万兆核心交换板卡提供1:1取样(Sampling)力网络设备应安全事件(ACL滤NAT等)提供Log审计(目前Nexus 7000完全满足求)
· 兼容性求:网络设备(IDS防火墙中高档路器交换机等)应MARS系统兼容监控信息报告须定制MARS系统直接接受MARS系统控制实现安全响应少量兼容设备MARS系统应支持通定制化方式监控理(目前Cisco设备流国外厂商设备满足求国厂商设备需定制)
644 分布式威胁抑制系统
XX云计算台通广域网连接量托服务器样规模点分布式网络更难中心总部控制远程点安全接入广域网蠕虫病毒等威胁更敏感种病毒爆发广域网线路轻易塞满类业务法正常传输必须考虑分布广域网点进行力遏制实现分布式威胁抑制
孤立部署防火墙IDSIPS种解决办法会理成性功相互矛盾问题效抑制需较完善IDSIPS防火墙系统理难度成非常高
XX考虑形成MARS系统理核心网络设备置安全防御系统分布式威胁抑制系统 实现特征:
· 理:中心MARS系统分布方节点安全设施MARS拓扑发现报警收集事件分析报告直观威胁路径图形远程动修补等等功保证分散安全设施效理
· 成:MARS配合置IPS防火墙功路器节省单独购买IPS防火墙系统费
· 性功:MARS分布式攻击抑制解决方案核心网络设备置IPS防火墙等功果通软件CPU完成性功肯定具备实性果置专门IDSIPS硬件模块规模分散节点形成极高成投入MARS样解决矛盾:
o 通路器软件完成IPS会性功问题原IPS基状态特征码识系统需高速数流中提取特定识信息巨病毒特征码数库进行匹配果CPU完成性想知置软件IPS功开启少特征识码实际企业段时期会种少数病毒困扰网络中时发生着历史跨度极数百种病毒路器数包逐匹配完整病毒特征数库没必放省级节点MARS具样功网络中心硬件IDSIPS中探知前正发作种病毒然特征码收集推送级单位节点路器路器IPS仅仅装载种特征码然进行高效率识匹配种需进行匹配IPS成功解决低端路器病毒滤性问题动完成特征码升级维护
分布式威胁抑制实现机制图示:
MARS系统中心分布式威胁抑制系统求:
· 中心总部配置MARS系统
· 中心总部配置高性硬件IDSIPS模块单元设备
· 分布属单位中低端路器支持置IDSIPS功(软件硬件皆)MARS特征码推送功兼容
建议未实现XX全国网络规划改造时考虑实施种济简单时限度保证广域网线路稳定远程分布式威胁抑制解决方案
第7章 服务质量保证设计
71 服务质量保证设计分类
XX次网络服务质量保证(QoS)设计包括两方面:
l 数中心服务质量设计:采Data Center Ethernet技术DCE太网QoS设计
l 传统局域网广域网服务质量设计:部分业务类型复杂包括业务数IP电话视频会议等等加传统局域网广域网技术身机制带宽资源制约QoS设计重点部分IP QoS设计
72 数中心服务质量设计
次数中心采Data Center Ethernet(DCE)技术DCE设计目标未型数中心业务提供传输保障知道衡量QoS质量四素:带宽延迟延迟抖动丢弃率资源整合面服务数中心中带宽延迟丢弃率求非常苛刻达新代数中心设计目标必须DCE够满足带宽延迟抖动服务质量求
721 带宽设备吞吐量设计
保证资源整合网络传输带宽网络设备吞吐力必须实现DCE设计:
7211 设备吞吐力
选择设备必须够提供足够交换容量Nexus 7000具备4Tbps交换吞吐力插槽230Gbps(扩展500Gbps)接入层设备选择采接12Tbps交换力Nexus 5000交换延展设备Nexus 2000交换力线性延展服务器机柜
7212 带宽设计
首先数中心拓扑设计中规划带宽次设计中接入层列机柜基保证服务器接入网络线速台柜顶交换机(Nexus 2000)连时4万兆链路捆绑提供带宽保证外Nexus 500012Tbps交换力保证万兆汇聚瓶颈处理
数中心前规模带宽占服务器间存步行计算数备份融合SAN存储访问果够未支持FCoE存储机柜设计Nexus 5000接入万兆网卡高性服务器直接Nexus 5000机柜接入保证服务器机柜分配条件量资源耗费处理接入层Nexus 5000完成基保证带宽线性处理
接入层数中心汇聚层(Nexus 7000VDC)连接中定载载针跨越两Nexus 5000两列(称POD)间流量前Nexus 50007000间采4万兆万兆端口数量紧张情况扩容保证跨机箱vPC技术实现充分负载均衡端口捆绑考虑前服务器数量远没达完全载数量适安排服务器两列间流量基非常少部分带宽消耗型应列完成前载完全满足前少5年数处理量求
数中心服务机箱(Catalyst 6500)数中心汇聚(Nexus 7000 VDC)间前设计带宽机箱双万兆连(40Gbps全双工吞吐量)数值已超前机箱单防火墙模块引擎加速特性吞吐力(32Gbps)单ACE模块处理性(16Gbps)没连接瓶颈智服务扩容时互连带宽继续扩容通vPCVSS技术保证跨机箱捆绑充分负载均衡
数中心汇聚全网核心(Nexus 7000VDC间)通灵活万兆线路跳接方便扩容互连带宽根整股份公司数中心访问量评估前互连方式(全双工超80Gbps)完全满足少5年业务发展需求
7213 DCE带宽理:
理分析中带宽设计已完全满足次设计需完美设计保证网络中处处线性没载必济出现载位置通技术手段需带宽服务够保证优先获资源服务质量保证设计重点
次推荐DCE网络技术中已完全支持IEEE新带宽理技术8021Qaz ETS(Enhanced Transmission Selection)该技术保证载情况优先保证高性计算网存储网流量带宽般数业务灵活高效剩余效带宽图示11G10G载情况QoS优化带宽分配:
722 低延迟设计
DCE资源汇聚存储业务高性计算业务交换台传送DCE重求保证网络原低延迟低抖动力样太网获设备低延迟转发特性拥塞情况高级队列调度实现
期推荐采Nexus系列交换机特点CiscoMDS系列存储交换机实现SAN网络低延迟技术专利太网交换机获极低转发延迟三层端口端口转发延迟10~20us二层端口见转发延迟3us充分保证
远程存储读写远程存访问流畅性
带宽设计时样网络位置通充裕资源适进行带宽分配设计许关键位置然存载会带资源紧张出现突发预测资源分配够问题时需采高级队列理调度延迟敏感业务动出资源保证延迟极敏感业务服务质量受影响太网协调资源实现类似流量控制早常见端口暂停帧机制(IEEE 8023 Annex 31B)拥塞发生时通互连端口信息传递端口流量发送暂缓保证足够资源处理关键业务种传统控制方式导致物理端口业务暂停导致预料延迟
次采DCE网络支持IEEE新Priority Flow Control (IEEE 8021Qbb)技术图示达8种业务完全流量区保证迫切需资源存储访存类业务流低延迟优先性
8类业务常规QoS8021Q优先标识IP Precedence优先标识进行统定义
723 丢弃设计
资源缺乏会导致系统业务进行丢弃存储业务高性计算业务等丢弃极敏感业务机制延迟成功率苛刻求少量丢弃会业务效率产生极严重影响DCE
丢弃太网称许方面改善传统太网易丢弃简单流控行表现方面:
l Switch Fabric VoQ:SAN交换机交换矩阵运营商核心设备广泛采矩阵队列调度方式现该技术广泛DCE级设备效避免设备交换处理时头端堵塞现象保证高优先级流量丢弃
l 硬件化Credit 机制:传统SAN交换机硬件保证传输丢弃技术通收发双方互相沟通收发力计数器相互协商方发送接收力种高效沟通方式保证底层传输丢弃现该技术DCE级交换机采保证收发太网帧象收发存储FC帧样做丢弃
l Per Virtual Lane (VL) Credit:面技术物理端口级DCE中种硬件Credit技术端口Virtual Lane级意味着收发双方物理口实现业务采Credit参数实现流控求传统数进行种机制节约资源FCoE帧必须该机制收发物理接口存
l BCNQCN (IEEE 8021Qau):种拥塞控制机制特点网络中检测出拥塞然发信令源头降低载流量拥塞缓解保证优先业务丢包该技术ATM等精细流量理网络中图示
第8章 网络理业务调度动化
动化SODC架构中层动优化实现服务调必须条件高度整合化虚拟化基础服务部署完全需物理动作资源虚拟化台物理设施关进行分配整合样需定业务策略输入智网络策略服务器切工作系统身优化方式进行计算评估决策调配实现
作SODC种理想理业务调度方式完全动化需坚实DCE建设基础新型DCE网络建设稳定运行逐步实施动化措施
作SODC提出倡导厂商思科公司已商化理动化业务动化解决方案面简单介绍作未实施参考
81 MARS安全理动化
思科网络监测分析响应系统(Monitoring Analysis & Response SystemMARS)够感知网络中发生种安全事件包括网络拓扑设备配置址转换种安全设备记录流量状况分布……等等然加智分析关联滤终发现安全等级安全威胁形象表示理员拓扑图重时根安全事具体情况产生相应补救策略动完成网络相关设备配置实现真正动动安全防御MARS种动调底层资源实现安全服务机制前面安全设计中已介绍
82 VFrame业务部署动化
思科VFrame系统根输入业务逻辑动优化资源配置智网络中虚拟网虚拟防火墙服务器虚拟化软件虚拟存储虚拟负载均衡等设施动完成包括安全存储计算等数中心业务部署规划限度减少理复杂度提高物理资源效率理漏洞差错降低
两种动化服务部署技术XX数中心基础设施整合虚拟化部署定程度逐步进行实施
第9章 服务器(UCS)组件高性
91 思科统计算系统(UCS)简介
思科统计算系统代数中心台紧密结合系统中整合计算网络存储接入虚拟化功旨降低总体拥成(TCO)时提高业务灵活性该系统包含低延时丢包万兆太网统网络阵列台企业级x86 架构服务器集成扩展机箱台统理域中理资源(图1)
思科 UCS B 系列刀片服务器思科统计算系统重构建模块未数中心提供灵活扩展计算力时够帮助降低总体拥成(TCO)
思科 UCS B 系列刀片服务器构建工业标准服务器技术基础提供特性:
· 达两英特尔强系列 55005600 核处理器
· 两选前置热插拔 SAS 硬盘
· 支持达两双端口扩展卡连接提供高达 40 Gbps 冗余IO 吞吐率
· 工业标准 DDR3 存
· 通集成服务处理器实现远程理执行 思科 UCS Manager 软件中制定策略
· 通台服务器前面板控制台端口机键盘显示器鼠标(KVM)
· 通远程 KVM安全外壳(SSH)协议虚拟介质(vMedia)IPMI 协议实现带外理
思科 UCS B 系列包括两款刀片服务器产品:Cisco UCS B200 双插槽刀片服务器UCS B250 双插槽存扩展刀片服务器(图2)
思科 UCS B200 款半宽刀片服务器拥12 DIMM 插槽支持高达96 GB 存时支持扩展卡思科 UCS B250 M1 款全 宽刀片服务器拥48 DIMM 插槽支持高达384 GB 存时支持两扩展卡
目前思科已推出基新Intel XEON芯片4路 CPU服务器满足户应性求
92 云计算基础思科UCS Manager简介
思科统计算核心组件Cisco UCS Manager 采思科独创服务配置文件(Service Profile)技术技术配置Cisco UCS B 系列刀片服务器IO 属性(需解更信息请参阅Cisco UCS Manager 概览)服务配置文件中包含配置服务器部署应需基础设施策略包括功耗冷安全身份硬件状况太网存储网络策略等通服务配置文件减少手动配置步骤降低错误率时缩短服务器网络部署时间外服务配置文件够整思科统计算系统中改进策略致性连贯性
思科 UCS Manager 创建统理域视思科统计算系统中枢系统思科 UCS Manager 嵌入式设备理软件通直观图形户界面(GUI)命令行界面(CLI)XMLAPI作单逻辑实体系统进行端端理
思科 UCS Manager 关键特性服务配置文件配置思科统计算系统资源服务配置文件概念提高IT 工作效率业务灵活性现基础设施分钟配置完成必花费数天时间IT 员关注重点够维护转战略计划工作
思科 UCS Manager 服务配置文件配置服务器IO 连接服务配置文件服务器网络存储理员创建存储Cisco UCS 6100 系列互联阵列中数中心服务器难部署改变目通常花费天甚周时间实施问题出现服务器网络存储团队需仔细工协调确保设备实现互操作服务配置文件允许思科统计算系统中服务器视作裸计算力应工作负载中进行分配重新分配够更加动态高效数中心服务器处理力
裸计算力概念技术实现云计算关键概念通创新技术服务器物理位置已重服务器灵活调提供实现思科UCS Manager台服务器众唯性物理参数抽象化MAC址WWPNWWNNUUID等参数实体服务器剥离开台实体服务器具唯性参数成CPU存裸计算力样实体服务器机箱已重思科UCS Manager服务配置文件规定台服务器必需物理参数MAC址WWPNWWNN该服务器应属VLANSAN需台实体服务器投入时需配置文件某实体服务器关联该实体服务器具需唯性参数投入关联程中需考虑服务器具体位置需考虑物理配置(CPU型号存等)操作通思科UCS Manager图形化界面通XMLAPI第三方软件实现
通种方式思科统计算系统简化服务器部署实现资源灵活调台实体服务器需应场合切换时应切换应二需改变服务配置文件服务器身物理位置会变化时网络连接SAN连接需做物理重新跳线布线服务配置文件已标注种应属VLANVSAN实体服务器配置文件关联该服务器会动接入实现定义VLANVSAN里事实次布线思科UCS设计时考虑重方面物理损坏思科UCS保证意配置保持网络SAN连通性必做物理连接更改
思科 UCS Manager 安装Cisco UCS 6100 系列互联阵列动集群配置实现高性该理器仅参服务器配置工作参设备发现资产理配置诊断监控障检测审核统计数收集工作够系统配置信息导出配置理数库(CMDB)推进基信息技术基础设施库(ITIL)概念流程Cisco UCS Manager XML API 促进第三方配置工具间协调便Cisco UCS Manager 配置服务器部署虚拟机安装操作系统应软件
高度整合化虚拟化基础服务部署完全需物理动作资源虚拟化台物理设施关进行分配整合样需定业务策略输入智网络策略服务器切工作系统身优化方式进行计算评估决策调配实现
93 云计算扩展数中心横扩展
目前数中心必须强扩展力时增加系统理难度复杂性采思科统计算台解决问题需扩展时新刀片机箱接入6120XP6120XP置理软件会动发现新硬件根事先定义服务配置脚服务器进行设置新服务器应该接入VLAN服务器HBA卡应该接入VSAN分钟设置完成规模系统时理难度复杂度没增加图显示思科统计算系统较规模时架构示意图然服务器数量刀片机箱数量增加整体架构没改变服务器刀片机箱接入统交换台理统交换台置理软件实现时完全融合已网络存储环境:
94 云计算安全纯硬件级容错
现代数中心设备数量种类越越种应设备性求相总体言希越高越般说计划外宕机总会存里总结引起需宕机干关键素:
· 计划维护
· 元器件失效
· 软件障
· 操作失误
· 楼宇级灾难
· 城市级灾难
限度防止诸元器件失效等引起意外宕机通常会集群技术保证应持续性表列举常集群方式:
集群种类
定义作
高集群
High Availability Cluster – HA Cluster
两台者两台服务器通特定HA软件实现外服务高性连续性
负载均衡集群
Load Balance Cluster – LB Cluster
两台者两台服务器通特定LB软件实现规模请求负载分担处理
高性计算集群
High Performance Cluster – HPC
通量服务器相关HPC专业软件构建起够完成密集科学计算力
专业存储集群
Storage Cluster
两台者两台服务器通特定存储集群软件实现容量高性存储服务
通表出目前流集群技术OS 等级集群技术需操作系统应软件配合实现集群障切换操作系统层级集群说般需面操作系统
u Win 2008 server 障转移集群(Failover Cluster)
u Win 2008 server 网络负载均衡(NLB)
u Redhat 企业集群解决方案(RHCS)
u SUSE Enterprise HA extension
应级高集群数库等应方案需配合操作系统实现般会数库集群表示
u SQL 2008 障转移
u SQL 2008 数库镜
u Oracle Real Application Cluster( RAC )
综述实现传统意义高性解决方案需:
ü 软件支持(OS集群软件应软件集群)
ü 复杂设计配置
ü 专业培训
述需求意味着:
ü 更高软件成
ü 更高维护理成
ü 更高技术求专业培训
更时候客户寻求更加济灵活实现方法实现业务性 特应支持常见集群时候通常户开发应没考虑集群特殊需求集群特殊环境开发修改代码意味着量开发工作测试户法承担巨费开销时间花费
思科UCS实现传统意义全部高性解决方案思科够提供更灵活济性解决方案帮助客户实现基应性需求
思科独特裸计算力服务配置文件概念实现硬件级容错高攀服务配置里预先定义容包括:Service Profile服务器属性抽象包括:网络身份信息MAC 址WWNRAID 信息IO接口类型配置Firmware 版启动序 启动LUNs网络连接特性( VLan QoS VSan)等服务配置文件已应提供完整网络计算资源必须信息 帮助客户实现动态计算环境中实现快速部署迁移
户针已应建立独立服务器服务配置文件关联服务器组单服务器服务配置文件会寻找该组服务器资源服务器裸计算资源物理服务器具体位什方服务配置文件说质区关联完成服务器投入
正常工作程中 果该服务器出现障简单该服务器配置文件关联组服务器重新启动需配置运行配置文件定义唯性物理参数新服务器配置文件关联具障服务器物理参数样需调整系统参数VLANVSAN启动序等新服务器需重启23次实现操作系统重启应重启重启户应继续服务
样通服务配置文件重新关联降低服务器重新部署时间 更重样障切换需软件(操作系统户应)参纯硬件实现特适合云计算种允许单台服务器短时间中断需障切换需求
硬件级容错户采购昂贵集群软件需户掌握复杂技术实力实施维护复杂集群系统更重户应需做改动实现目前技术讲思科裸计算力服务配置文件实现
第10章 两种数中心技术方案综合
根两套方案详细描述进行横总结仅仅限技术包括户服务商务条件全方位进行
101 技术方案
技术传统性扩展性安全性理性等方面进行外需根前面新代数中心技术发展求阐述适应XX建设新代适SOA业务力数中心求出发面服务数中心技术求进行分析技术求前面详细描述分:整合化虚拟化动化绿色数中心力面进行较分析
1011 传统技术领域
类
方案1:DCE方案
方案2:传统太网方案
性
核心汇聚性
N700041Tbps
100G太网台
插槽230Gbps
Cat6500720Gbps
10G太网台
插槽80Gbps
接入层性
万兆端口全线性
千兆端口基线性(121)
万兆端口2:1载
千兆端口24:1载
总体服务质量
先进软硬件机制保证丢包太网
先进QoS机制少丢弃
扩展
核心汇聚
单机箱扩展15T
插槽扩展500G
单机箱扩展144T
插槽扩展160G
接入层
40万兆固定端口扩展52万兆端口全部已FCoE端口
扩展FiberChannel端口
次已配满法扩展
支持FCoEFiber Channel技术
性
核心汇聚
NXOS操作系统稳定性更彻底线程保护机制
支持vPC技术保证双核心性
IOS模块化操作系统微核结构传统IOS进程保护力增强
VSS技术保证双网性
接入层
接入层支持双电源线更换风扇系统
NXOS操作系统稳定模块化操作系统
接入层支持双电源线更换风扇系统
传统IOS支持模块化操作系统
安全性
核心汇聚
分布式控制面保护力
集中式控制面保护
接入层
丰富二层安全机制
支持三层安全保护机制
丰富二层安全机制
丰富三层安全机制
理性
核心汇聚
vDC力
vPC力
普通终端Console口
特殊需协议栈网端口
理物理实体2套理简单
VSS力
VSS力
普通终端Console口
专网端口
理物理实体4套理复杂
接入层
采FEX(虚拟交换矩阵延展)通N5000理N2000
理实体4套理简单
FEX虚拟延展功
理实体20套理复杂
理系统
CiscoWorks
Cisco Fabric Manager
Cisco Data Center Network Manager
CiscoWorks
理成熟性
已部署1000套正逐步成熟
年验证成熟性保证
1012 代数中心技术力较
类
方案1:DCE方案
方案2:传统太网方案
整合化
体化交换力
支持体化交换技术:数太网高性计算网络存储局域网(SAN)三网整合
数太网单技术
支持ANSI FCoE标准
实现高带宽容量低延迟丢弃技术整合SAN网络
实现高带宽容量低延迟丢弃技术代InfiniBand技术
丢弃太网技术
支持优先流量控制(根优先级暂停帧支持)
支持IEEE 8021Qaz(带宽理)
移植SAN Credit技术实现帧流控
IEEE 8021Qau 标准拥塞理(BCNQCN)
区分普通暂停帧技术
支持IEEE 8021Qaz
精确帧流控技术
传统基IP QoSIEEE 8021p排队流量理
低延迟
端口端口低延迟力(二层3us三层30us)
传统太网机技术存储转发方式延迟
高吞吐力
面100G太网技术
4T~15T吞吐力
面10G太网技术
720G~144T吞吐力
虚拟化
系统虚拟化
VDC(虚拟设备)VSS(虚拟交换系统)两种技术
Ø 核心汇聚采VDC
Ø 智服务机箱VSS
核心汇聚支持VSS支持VDC
网络虚拟化
支持VSSVPC
支持VSS
网络智服务虚拟化
防火墙系统负载均衡系统等支持虚拟化
防火墙系统负载均衡系统等支持虚拟化
服务器虚拟化
体化交换保证存储计算资源整合程度高
网络支持VNlink虚拟机策略迁移力
提供高吞吐低延迟扩展二层接入环境利虚拟机迁移
支持高资源整合度服务器虚拟化
支持VNlink虚拟机意识
提供扩展三层环境适传统业务应适虚拟机环境
动化
业务部署动化
体化交换资源整合力具备虚拟机意识虚拟化力保证基服务器应业务部署动化实现
支持体化交换虚拟机网络网络功部分实现动化难实现服务器业务应部署动化
绿色数中心
资源利率
VDC技术减少核心汇聚设备硬件数量资源复率高
支持体化交换技术减少网络硬件服务器网卡数量提高硬件复率减少耗
汇聚层设备整合智服务功硬件整合力传统网络提高需1+16000W功率电源支撑
体化交换力
低耗半导体工艺
基采专业设计定制芯片通芯片避免通器件中量器件耗
采更新低耗半导体工艺整合FCoENuova芯片太网网卡分立太网卡存储HBA卡耗更低
基采专业设计定制芯片通芯片避免通器件中量器件耗
采半导体工艺DCE稍早耗表现稍逊支持FCoE
设备送风方式
专高密度数中心机房设计核心接入新数中心机房制冷方式优化
侧送风适传统低密度机房
万兆端口耗
专高密度万兆端口设计接入层采分布式交换矩阵延展技术减少万兆布线距离量采低耗低成10GE BASE CU SFP+线缆
传统万兆接口支持10GBASECU SFP+线缆适接入层高密度部署
接入层产品定位
新代虚拟化数中心优化接入层设备具备高密度万兆线千兆线性处理力适运行VMware等台掉功耗较接入层需功三层交换复杂路协议MPLS等
传统太网设计思路高性高密度万兆千兆设备必然功复杂三层路设备三层设备端口功耗远高二层设备增加设备理成
102 技术服务
类
方案1:DCE方案
方案2:传统太网方案
安装实施
新技术原厂承诺集成商相配合现场服务
传统技术集成商提供现场服务原厂集成商通开Case实现远程支持
售技术支持
标准CSSP服务
新技术中国思科售服务支持中心(TAC)成立专门队伍保证DCE产品支持
标准CSSP服务
传统技术TAC走般性支持流程
备件保修服务
CSSP规定标准备件先行服务备件数量备件达时间均保证
CSSP规定标准备件先行服务备件数量备件达时间均保证
概念验证服务
DCE技术够提供远程客户概念验证测试中心服务(CPOC服务)
该项服务
103 商务
类
方案1:DCE方案
方案2:传统太网方案
次性投资
传统相略低
略高DCE方案
运行耗
低
中
维护理
物理设备少二层结构简单维护成控
传统技术维护理成控
升级扩展
100GEready未扩展成低
FCoE系统未融合成低
万兆服务器扩展力强
100GE扩展需更换核心设备
SAN网前数网分离前设备法实现未融合
万兆接入成较DCE方案高万兆服务器扩展力弱
104 总结
根技术方案1DCE适新型准备容纳更万兆服务器更高性存储网络VMware虚拟化服务器需求型数中心方案2更适
没较少万兆接入准备光纤通道技术做存储网络准备虚拟机技术传统数中心
商务刚果需求需传统数中心方案2具备更高性价果需求新型数中心样配置求(次数中心端口需求)反方案1价格方案2价格低
服务方面显然方案1够获原厂支持重视程度方案2程度弥补方案1产品投放时间短技术较新顾虑
XX已制定新代面服务业务架构数中心转变定发展目标方案1疑技术实现目标佳解决方案时服务商务相方案2重优势户郑重推荐采方案1作次XX新代数中心建设方案
第11章 附录:新代数中心产品介绍
111 Cisco Nexus 7000 系列10插槽交换机介绍
产品概述
Cisco® Nexus 7000系列交换机限度集成扩展性运营灵活性
Cisco Nexus 7000系列交换机模块化数中心级产品系列适高度扩展万兆太网网络交换矩阵架构速度扩展15Tbps 设计旨满足数关键务数中心求提供永续系统运营虚拟化服务Cisco Nexus 7000系列建立成熟操作系统助增强特性提供实时系统升级出色理性维护性 创新设计专门支持端端数中心连接IP存储IPC网络整合单太网交换矩阵
作第款代交换机台Cisco Nexus 7000系列10插槽机箱(图1)提供集成永续性专数中心性性扩展性易理性优化特性
· 图1 Cisco Nexus 7000系列10插槽机箱
特性优势
Cisco NXOS软件支持Cisco Nexus 7000系列10插槽机箱数中心提供系列丰富特性保证系统永续运营
· 前通风带10前面板接入垂直模块插槽集成电缆理系统够支持新老数中心安装运营冷
· 面数中心高性高性设计方法接口控制引擎模块采取前面板接入冗余电源风扇交换矩阵模块完全采端接入确保维护程中布线受影响
· 系统采两专控制引擎模块扩展完全分布式交换矩阵架构容纳5端安装交换矩阵模块配合10插槽机型机箱中板设计整系统提供高7 Tbps转发力
· 拥8IO模块插槽Cisco Nexus 7000系列10插槽机箱支持256万兆太网384千兆太网端口够满足型数中心部署需求
· 前通风确保Cisco Nexus 7000系列10插槽机箱数中心满足热通道冷通道部署求会增加复杂性分采两系统风扇架两交换矩阵风扇架进行冷风扇架配备冗余风扇独立变速风扇着周围温度动调整仅降低进行出色理设施耗实现佳交换机运行状态该系统风扇架设计冗余功进行热插拔时会影响系统果风扇风扇架发生障系统继续运行会冷效果造成重影响
· 集成电缆理架电缆正确整齐放边两边
· 系统拥选空气滤器确保流系统空气清洁添加空气滤器满足NEBS求
· 机箱顶端系列LED清晰提供系统组件状态显示提示操作员否需执行进步调查LED负责报告电源风扇交换矩阵控制引擎IO模块状态
· 电缆理盖选模块前门安装系统中布线模块受意外事件影响透明前门客户够查布线模块指示灯状态指示灯情况
112 Cisco Nexus 5000 2000系列交换机介绍
产品概述
Ciscoâ Nexus 5000系列数中心应提供支持线速低延迟零丢包万兆太网思科数中心太网太网光纤通道(FCoE)交换机(参见图1)
图1 Cisco Nexus 5000系列包括支持万兆太网思科数中心太网FCoECisco Nexus 5020
数中心中具强核处理器机架安装密集刀片服务器日益增机架计算密度激增虚拟化软件普推动万兆太网整合IO需: Cisco Nexus 5000系列完美支持应Cisco Nexus 5000系列具延迟低前通风面板端口特点适正迁移万兆太网数中心已准备部署统阵列支持通单链路联网局域网存储局域网服务器集群(采双链路实现冗余)数中心
交换机系列简洁架构端口支持万兆太网数包实施种服务保持致低延迟支持思科数中心太网功提高太网性效率扩展性特性该交换机损耗太网阵列支持流量类实现局域网存储局域网集群环境整合FCoE连接光纤通道保护现存储系统投资简化机架布线服务器支持标准万兆太网卡(NIC)外Cisco Nexus 5000系列融合网络适配器(CNA)整合式IO适配器集成太网NIC光纤通道机总线适配器(HBA)相结合透明迁移统网络阵列现实践理软件OS驱动程序协调致交换机系列第三方集成收发器Twinax布线解决方案集成机架级服务器提供非常济高效万兆太网连接需昂贵光收发器
实施网络服务数包Cisco Nexus 5000系列交换机阵列简洁技术支持统低延迟太网解决方案该产品系列专数中心环境设计采前通风网络端口位部交换操作更贴服务器量简化缩短布线交换机系列非常便维护采冗余热插拔电源风扇模块软件数中心级Cisco NXOS软件基础提供高性易理性
Cisco Nexus 5020 56端口交换机
Cisco Nexus 5020款2机架单元(2RU)万兆太网思科数中心太网FCoE 124 Gbps光纤通道交换机够极低延迟提供104Tbps吞吐率40固定万兆太网思科数中心太网FCoE SFP+端口通配置2扩展模块插槽增加支持12万兆太网思科数中心太网FCoE SFP+端口达16光纤通道交换机端口二者结合该交换机1串行控制台端口1带外101001000 Mbps太网理端口采热插拔1+1冗余电源热插拔4+1冗余风扇模块提供高前通风
扩展模块选项
Cisco Nexus 5000系列够支持扩展模块增加万兆太网思科数中心太网FCoE端口数目124 Gbps光纤通道交换机端口连接光纤通道存储局域网(SAN)实现两目Cisco Nexus 5020支持意两模块组合(参见图2):
l 1太网模块提供6万兆太网思科数中心太网FCoE SFP+端口
l 1光纤通道太网模块提供4万兆太网思科数中心太网FCoE SFP+端口4SFP接口提供
124 Gbps光纤通道连接端口
l 1光纤通道模块提供8SFP接口提供124 Gbps光纤通道端口便透明连接现光纤通道网络(未提供)
图2 左右:6端口万兆太网思科数中心太网FCoE模块4端口光纤通道4端口万兆太网思科数中心太网FCoE模块8端口光纤通道扩展模块
高效收发器布线选项
万兆太网高带宽传输提出巨挑战现已Cisco Nexus 5000收发器布线选项克服该产品系列支持创新Twinax铜布线解决方案连接标准SFP+连接器便机架较长电缆提供光布线(参见图3)
l 机架布线邻接机架布线Cisco Nexus 5000系列支持SFP+直连式万兆太网铜缆创新解决方案收发器Twinax电缆集成节低成低延迟解决方案中SFP+直连式万兆太网Twinax铜缆收发器仅01瓦(W)功率链路约025微秒延迟
l 需进行较长布线Cisco Nexus 5000系列支持模短距离SFP+光收发器光收发器功率约1W延迟01微秒
两种选项10GBASET相延迟更短效更高10GBASET标准功率48W间收发器链路延迟高达25微秒程度增加网络级功耗
图3 Cisco Nexus 5000 系列SFP+直连式万兆太网铜缆进行机架布线光传输解决方案支持更长连接
技术 电缆 距离 电源(边) 收发器延迟(链路)
SFP+铜缆
SFP+USR超短距离传输
SFP+SR短距离传输
整合式适配器兼容
思科合作伙伴已开发CAN服务器操作系统提供太网NIC光纤通道HBAIT部门完全透明方式两网络相操作系统驱动程序理软件佳实践部署
FCoE适配器参交换机动协商简化理助减少配置错误EmulexQlogic提供基ASIC定制融合网络适配器Intel提供基软件融合网络适配器
Nexus 2000——Nexus 5000交换矩阵延展器
Nexus 5000服务延展更机柜提供更高密度DCE接入需增加理负担思科提供Nexus 2000——Nexus5000专延展器提供高密度千兆万兆接入然线性性完成万兆连理完全放连Nexus5000提供佳性价支持VNlink等高级DCE功数中心接入解决方案
113 Cisco NXOS 数中心级操作系统简介
产品概述
Cisco NXOS数中心级操作系统该操作系统体现模块化设计永续性维护性业界成熟Cisco SANOS软件基础Cisco NXOS确保持续性承担关键业务数中心环境设立标准Cisco NXOS行恢复高度模块化设计实现业务影响运行提供出色运营灵活性
Cisco NXOS面数中心需设计提供强丰富特性集仅满足前数中心路交换存储网络求满足未数中心需求XML界面类似Cisco IOS®软件CLICisco NXOS相关网络标准种真正数中心级思科创新实施提供鼎力支持
特性优势
灵活性扩展性
· 软件兼容性:Cisco NXOS 40运行种Cisco IOS软件操作系统思科产品互操作Cisco NXOS 40遵循产品简介中列举网络标准网络OS互操作
· 整数中心通软件:Cisco NXOS简化数中心操作环境提供统OS够数中心网络区域运行包括局域网SAN第四七层网络服务
· 模块化软件设计:Cisco NXOS够SMP核CPU分布式线卡处理器支持分布式线程处理功硬件表编程等需量计算务卸载分布线卡专处理器Cisco NXOS模块化进程独立受保护存空间中逐需启特性启进程会启动开始分配系统资源模块化进程实时预先排程器理助确保时处理关键功
· 虚拟设备环境(VDC):Cisco NXOS够OS硬件资源划分模拟虚拟设备虚拟环境VDC拥身软件进程专硬件资源(接口)独立理环境VDC助分立网络整合通基础设施保留物理独立网络理界限划分障隔离特性提供单基础设施拥种运营成优势
性
· 持续系统运营:Cisco NXOS提供持续系统运营维护升级部署软件认证时会造成服务中断通进程模块化模块化修补思科运行中软件升级(ISSU)功间断转发(NSF)稳重启相结合极降低软件升级操作带影响
· 思科ISSU:思科ISSU利冗余引擎台提供透明软件升级功极缩短停机时间客户够极少影响影响网络运营情况集成新特性功
· 迅速开发增强特性障修复:Cisco NXOS模块化特性新特性增强特性障修复够迅速集成入软件模块化修复功够极短时间完成开发测试交付满足紧迫时间求利ISSU更新镜干扰正常运行情况安装
· 进程应急启动:关键进程受保护存空间中运行独立进程核提供精确服务分隔障隔离支持模块化修补升级快速重启功进程够分重启会丢失状态信息会影响数转发升级障进程会
数毫秒重启会影响邻设备服务利基标准NSF稳重启机制拥量状态信息(IP路协议)进程够重启进程助永久存储服务(PSS)维持状态
· 状态化引擎障切换:冗余引擎始终保持步支持快速状态化引擎障切换具先进检验功助确保障切换整分布式架构中状态统性性
· 进程间通信:Cisco NXOS提供进程间通信功够确保障程中出现利情况信息传送正确发挥作该通信功助确保进程步化状态致性进程够分布引擎IO模块处理器启
· 冗余交换太网带外信道(EOBC):Cisco NXOS充分利冗余EOBC支持控制IO模块处理器间通信
· 基网络性:通提供工具功障切换回退透明迅速优化网络收敛例Cisco NXOS提供生成树协议增强特性BPDU防护环路防护根防护BPDU滤器网桥保证确保生成树协议控制面状态正常UDLD协议路协议NSF稳重启毫秒间隔FHRPSPF优化LSA PacingiSPF带调整计数器IEEE 8023ad链路汇聚
维护性
· 障排诊断:Cisco NXOS拥独特维护性功网络操作员够根网络趋势事件提前采取行动增强网络规划缩短网络运营中心(NOC)厂商响应时间呼家思科通线诊断(GOLD)Cisco NXOS嵌入式事件理器(EEM)Cisco NXOS提高维护性部分特性
· 交换端口分析器(SPAN):SPAN特性允许理员运营造成影响情况SPAN进程流量导连接外部分析器SPAN目端口端口(称SPAN源端口)间流量进行分析
· 嵌入式数包分析器:Cisco NXOS拥置数包分析器控制面流量监控障排该数包分析器常Wireshark开放源网络协议分析器基础构建
· 智呼家:智呼家特性够持续监控软硬件通电子邮件发送关键系统事件通知拥种消息格式寻呼机服务标准电子邮件基XML动分析应等出色兼容提供报警分组功定制目功该特性种途例直接寻呼网络支持工程师发送电子邮件NOC利思科动通知服务直接开启思科技术支持中心(TAC)案例等特性实现治系统运营迈出重步网络设备出现问题时通知IT确保障迅速解决缩短解决时间限度延长系统正常运行时间
· 思科GOLD 思科GOLD诊断套件负责检验硬件部数路径否设计求运行思科GOLD特性集包括引导时间诊断持续监控需定期测试等业界领先诊断子系统够执行连续运行环境十分重快速障隔离持续系统监控功
· 思科EEM 思科EEM项强设备系统理技术集成Cisco NXOS中思科EEM够帮助客户充分利思科软件网络智优势根发生网络事件定制采取行动
· Cisco Netflow NetflowCisco NXOS中组件支持版5版9输出灵活Netflow配置模式基硬件样Netflow提高扩展性
理性
· 编程XML界面:NETCONF业界标准基础Cisco NXOS XML界面设备提供统API客户快速开发创建工具增强网络性
· SNMP协议:Cisco NXOS符合SNMP版123规定支持广泛理信息库(MIB)
· 配置验证回退:Cisco NXOS系统操作员够应配置前验证配置致性需硬件资源性设备预配置应验证配置配置包括检查点理员根需回退前完善配置
· 基角色访问控制(RBAC):RBACCisco NXOS理员分配户角色限制户交换机操作理员够定制接入功仅允许必户访问网络
· 思科数中心网络理器(DCNM):思科DCNM专门数中心网络运营理解决方案幅延长整数中心基础设施正常运行时间提高性够支持业务连续性思科DCNMCisco NXOS产品系列专门设计
· 连接理处理器(CMP)支持:Cisco NXOS支持利CMP台实施熄灯式远程理通提供NXOS控制台带外接入信道CMP运营提供力支持
流量路转发理
· 太网交换:Cisco NXOS支持高密度高性太网系统提供全面数中心级太网交换特性集该特性集包括IEEE 8021D2004 快速生成树协议(8021w8021s)IEEE 8021Q VLAN中继支持16000名户VLANIEEE 8023ad链路汇聚私VLAN跨机箱私VLAN动标准模式UDLD流量抑制(单播组播广播)生成树协议利生成树环境中ISSUBPDU防护环路防护根防护BPDU滤器网桥保证巨型帧支持实现透明升级
· IP路:Cisco NXOS支持广泛IP版46 (IPv4v6)服务路协议协议实施完全符合新标准求提供先进增强特性参数4字节ASN增量SPF需率低传统功出色实施够提高特性速度系统稳定性单播协议支持间断转发稳重启(NSFGR)协议支持种类型接口包括太网接口交换虚拟接口(SVI)子接口端口信道隧道接口环回接口
· IP组播:Cisco NXOS提供业界领先IP组播特性集Cisco NXOS 40实施未开发支持组播丰富网络功奠定基础
· Cisco NXOS已废弃功PIM密集模式体现操作系统前瞻性发展方实例
· 服务质量(QoS):Cisco NXOS支持种QoS机制包括分类标记队列监调度QoS特性支持模块化QoS CLI (MQC)MQC种思科台提供统配置
网络安全
· Cisco TrustSec 作Cisco TrustSec安全套件组件 Cisco NXOS提供出色数保密性完整性利128位高级加密标准(AES)支持标准IEEE 8021AE链路层加密链路层加密保证端端数私密性允许加密路径添加安全服务设备安全组访问控制列表(SGACL)网络访问控制新模式安全组标记非IP址基础构建够支持更加精确策略具拓扑结构独立性理更加方便
· 网络安全特性:Cisco TrustSec外Cisco NXOS 40提供安全特性:
数路径入侵检测系统(IDS)协议遵性检查
控制面限速(CoPP)
MD5路协议验证
思科集成安全特性包括动态ARP检测(DAI)DHCP电子欺骗IP源防护
AAATACACS+
SSH协议版2
SNMPv3支持
端口安全
IEEE 8021x验证RADIUS支持
第二层思科网络准入控制(NAC)局域网端口IP
命名ACL (基端口ACL [PACL]基VLANACL [VACL]基路器ACL [RACL])支持基MACIPv4址策略
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
