XXX数据中心网络集成解决方案.docx
《XXX数据中心网络集成解决方案.docx》由会员分享,可在线阅读,更多相关《XXX数据中心网络集成解决方案.docx(31页珍藏版)》请在冰点文库上搜索。
XXX数据中心网络集成解决方案
IDC建设集成解决方案
文档版本
01
发布日期
2012-06-07
目录
1IDC网络概述3
1.1IDC网络简介3
1.2IDC网络组网需求3
1.3IDC网络安全需求4
2IDC网络组网设计5
2.1IDC网络架构5
2.1.1网络分层架构5
2.1.2总体网络架构6
2.2网络核心层设计7
2.3网络功能区设计7
2.3.1外联区7
2.3.2业务服务区9
2.4IP地址规划11
2.5VLAN规划13
2.6路由规划15
2.6.1规划概述15
2.6.2外联路由设计15
2.6.3内部IGP路由设计16
3IDC网络安全设计18
3.1Anti-DDoS系统的部署18
3.1.1业务介绍18
3.1.2业务实现19
3.2入侵检测系统的部署21
3.2.1业务介绍21
3.2.2业务实现23
3.3防火墙23
3.3.1业务介绍23
3.3.2业务实现27
4附录缩略语28
1IDC网络概述
1.1IDC网络简介
当今社会的竞争是信息化的竞争,企业信息化程度越高,竞争力就越大。
随着网络技术、通信技术的发展,IDC已经成为企业信息化的核心,IDC的建设好坏直接影响企业的效率和发展。
IDC是为企业的关键业务系统提供承载的最重要的IT基础设施。
是企业核心数据管理中心。
企业的IDC需要集中处理因企业业务需求而产生的接入控制、安全过滤、服务应用、信息计算、存储备份等环节。
IDC网络的架构一般采用采用模块化、层次化结构,前台业务网络与后台管理网络相分离,业务承载网络按功能划分不同的业务区,为不用业务区用户提供差异化服务。
业务网络与运维管理网络分离,保证了业务网络的高性能和高安全性。
1.2IDC网络组网需求
企业IDC从物理上看是聚集了大量服务器的一个地方,它不但是企业网络的逻辑中心,更是企业提供业务的源头。
企业IDC应具备十分丰富的带宽资源、安全可靠的机房设施、高水平的网络管理、十分完备的增值服务。
IDC的实质是创造尽可能多的基于带宽的增值价值。
因此,下面几点需求对IDC特别重要:
●可靠性
高可靠性是IDC运营成功的关键,企业对外提供的业务如电子商务、视讯类业务,如果因为IDC网络故障而导致用户体验差,这势必影响企业业务的扩展,严重的甚至导致企业盈利空间的下降。
所以可靠性是企业部署IDC的重要原则。
可靠性设计包括:
链路冗余、关键设备冗余和重要业务模块冗余。
●可扩展性
IDC方案设计中,每个层次的设计所采用的设备本身都应具有极高的端口密度,为IDC的扩展奠定基础。
在Internet互联层、Intranet互联层、核心/汇聚层的设备都采用模块化设计,可根据IDC网络的发展进行灵活扩展。
功能的可扩展性是IDC提供增值业务的基础。
实现负载均衡、动态内容复制、VLAN等功能,为IDC增值业务的扩展提供基础。
●可管理性
网络的可管理性是IDC运营管理成功的基础。
IDC应提供多种优化的可管理信息。
IDC应具备完整的QoS功能、完整的SLA管理体系、多厂家网络设备管理能力、相对独立的后台管理平台,方便IDC及其用户的网络管理。
●安全性
安全性是IDC的用户特别是电子商务用户最为关注的问题,也是IDC建设中的关键,它包括物理空间的安全控制及网络的安全控制。
IDC应有完整的安全策略控制体系以实现IDC安全控制。
1.3IDC网络安全需求
对于IDC运营商来说,IDC由数量众多的网络、计算、存储设备构成,这些设备承载了IDC数据中心的总体业务,然而,数据中心网络、系统、运维的安全性将决定该运营商的IDC运营安全。
QoS再好的网络,如果没有安全保障,网络一旦瘫痪就丧失了可用性;大量网络攻击、黑客入侵对IDC的出口带宽、服务器正常运行带来了灾难,导致客户满意度下降甚至流失;内部不同业务区域之间的访问控制不严格,为内部网络埋下了潜在的安全隐患;内部运营环境安全性不足也造成运营商内部重要信息泄露、接入终端随意访问重要服务器等潜在的安全问题。
同时,对于IDC整体流量、用户的各种应用流量分布及变化趋势,各个区域带宽使用情况,运营商管理层也希望能有一个清晰的感知和把握。
⏹从物理安全角度看,存在链路中断、主机及数据存储灾难问题.
⏹从网络安全角度看,需要对各种不同级别的业务区域进行安全隔离.
⏹从安全管理方面来说,需要关注流量监控、统一安全管理和远程安全接入等问题.
应对以上种种安全挑战,IDC运营商需要引入安全解决方案和措施作为基础的安全保障,来保证IDC正常业务的运营,从而提高客户体验的满意度,增强IDC的安全能力,最终树立起口碑和形象。
IDC的客户则更关注于自身服务器的安全稳定运行,避免受到恶意DDoS攻击、避免恶意代码的入侵和扩散、保证Web服务器群的应用安全、避免邮件服务器受到垃圾邮件的侵扰、保证数据传输的安全性以及及时的发现系统存在的安全隐患和漏洞风险等安全问题。
针对客户的种种安全需要,IDC运营商可以合理的部署满足上述功能的安全设施,以按需部署、按需付费的方式向特定客户提供安全增值服务,达到了差异化服务、增值运营的目的,从而会进一步提升IDC运营商的品牌竞争力。
2IDC网络组网设计
2.1IDC网络架构
2.1.1网络分层架构
传统的数据中心网络架构一般采用核心—汇聚—接入的三层网络架构模型,采用这种传统的网络架构存在以下几个方面的问题:
●网络的层次较多,处理效率低;多增加了一个汇聚的层面,就会额外增加汇聚设备的处理时延、线路时延等;同时由于网络节点数量增多,也增加了部署成本和设备故障的几率;
●由于汇聚层面设备一定存在处理性能和上行带宽的收敛比,在数据中心规模不断扩大的情况下,汇聚设备会成为整个网络的瓶颈,出现拥塞、丢包等问题;
●在网络扩容时,不仅仅需要增加接入层的设备,同时也必须考虑到汇聚设备的性能和端口密度能否满足要求,也需要进行相应的扩容,带来投资成本的增加。
●网络设备之间的STP、LAG、路由处理、安全等相互之间的交互信息,随着设备数量的增加,会成几何级数激增。
●随着数据中心虚拟化的部署,新的数据中心流量模型中,大多数的流量是在内部服务器之间进行通信,甚至能够达到整体流量的75%,这种部署架构会导致服务器之间流量需要通过汇聚层甚至核心层设备转发,效率低下,且性能很差。
为了解决上述存在的问题,本方案数据中心网络架构采用扁平化二层网络架构(核心层、接入层),使用OSPF动态路由协议,来保证IDC网络的高可靠性和快速收敛等特性。
核心交换机和接入交换机之间运行OSPF动态路由协议,OSPF本身的SPF算法保证了网络的快速收敛,同时,由于使用三层组网,有效隔离了广播域,避免使用STP生成树协议,减小了网络的震荡,保证了网络的高可靠性。
扁平化二层网络架构设计的主要优势在于:
●简化网络管理,降低维护管理成本
能够减少网络中的交换机和链路数量,从而降低前期购置成本和后期维护成本。
●网络性能提高,支撑高性能的服务器流量
通过减少交换层数量,流量需要穿越的交换机数量也会减少,从而可以缩短延迟,提高应用性能。
●网络可靠性提高
减化的网络通过三层组网,可以消除网络中的可靠性隐患,无需运行spanning-tree协议,消除网络的故障收敛时间,从而提高网络可靠性。
●绿色环保
减化的网络还能降低电力和冷却需求,这对数据中心网络尤为重要。
2.1.2总体网络架构
互联网数据中心的总体网络架构示意图如图表1所示。
图表1总体网络架构示意图
互联网数据中心总体网络架构说明:
●互联网数据中心网络为“分层分平面”的网络架构。
整体组网分为核心与接入2个层次以及管理、存储、业务3个平面。
●互联网数据中心通过网络将各个面向业务的区域有机的结合起来并依据不同的业务需求实现端到端的网络隔离或者网络互通。
2.2网络核心层设计
网络核心层是连接整个数据中心各区域的桥梁枢纽,承担着内部数据流量和对外数据流量的转发。
将核心层和汇聚层整合,实现扁平化二层网络架构,核心交换机承担着核心层和汇聚层的双重工作。
网络核心层部署两台核心交换机,核心交换机、防火墙、接入层交换机运行OSPF动态路由协议。
扁平化架构降低了网络复杂度,简化了网络拓扑,提高了转发性能。
同时,由于采用的是三层组网,可以避免使用STP生成树协议,减小了因为生成树收敛而产生的网络震荡,提升了网络的可靠性。
网络核心层设计图如图表2所示。
图表2网络核心层设计图
2.3网络功能区设计
2.3.1外联区
I.网络架构
外联区是互联网数据中心对外的门户,外联区的网络架构需要高安全性,可靠性,稳定性。
外联区网络架构示意图如图表3所示。
图3外联区网络架构示意图
说明:
●外联区的核心设备为路由器、防火墙、SIG流量监控设备,DDos流量清洗设备旁挂于路由器。
路由器与防火墙采用静态路由的方式进行对接;路由器与互联网运营商之间采用静态路由协议对接。
●外联区的Anti-DDoS设备(SIG9280E和Eudemon1000E)负责对入向流量进行监控,识别攻击流量,并对其清洗,保证内部网络的安全。
●外联区的防火墙工作在路由模式,两台防火墙采用双机热备方式部署。
II.NAT映射设计
NAT映射设计图4所示。
图4NAT映射设计示意图
说明:
●外联区的防火墙承担NAT映射的功能,提供若干公网IP地址池,采用动态NAT转换的方式进行公网IP地址和私有IP地址转换。
●互联网用户访问自己部署的资源和系统时,若业务服务区内的资源和系统采用私有IP地址部署,那么防火墙的NAT映射功能实现地址转换。
2.3.2业务服务区
2.4IP地址规划
IP地址规划应当充分遵循以下原则:
●统一性原则
地址分配需要统一规划、统一协调、统一管理。
要求从全局的角度考虑问题,进一步熟悉掌握网络结构和业务内容,同时要对网络的建设和业务的发展具备一定的前瞻性考虑。
●层次性原则
有层次的规划可以极大的降低管理的复杂程度,提高网管效率。
清晰的地址分配结构是网络运行发展的基本要求和保障,而良好的层次性能够为网络提供更好的可维护性和可扩展性。
●连续性原则
连续地址规划能够实现地址的最优使用。
当然这里的连续是有层次的科学的连续,连续并不等同于单一的从节省地址资源出发考虑问题。
●唯一性原则
地址的唯一性是地址规划的最基本要求,但在地址规划当中仍然值得注意。
●实用性原则
尽量保证网络割接过程中少改动原有网络系统IP地址。
为特殊应用(如视频会议或IP电话等)单独划分地址空间,便于部署QoS;
保证能够在区域网络边界实现路由汇总,尽量减少路由条目数。
●标准性原则
数据中心内部网络可选用RFC1918私有IP地址。
针对IDC数据中心的IPv4地址规划还需考虑如下内容:
Ø数据中心基础设施建设的IP资源规划与互联网用户的业务开展IP地址规划分开。
Ø数据中心基础设施建议中不被公网访问的IP地址规划为私有IP地址,需要被公网访问的规划为公网IP地址。
Ø互联网用户的业务开展分配私有IP地址,通过FW的NAT功能转换为公网IP地址。
Ø互联网用户的业务开展有特殊需要的分配公网IP地址。
Ø私有IP地址建议规划使用“10.X.X.X/16”的IP地址,可以满足65000规模的IP地址需求,并按照分区分配不同的VLAN。
Ø公网IP地址建议数据中心投资和系统规模向ISP申请并在实际需求基础上多申请20%,业务和规模增加时按需申请。
Ø服务器和存储资源部署的IP地址按照管理IP、业务IP和存储IP进行分配。
管理IP和业务IP分配私有IP地址段,并需要提供公网IP地址转换规划;存储IP分配172私有IP地址段,无需进行公网IP地址转换。
Ø互联网用户的业务IP地址可以选择按照“8-16-32-64-128-256”的原则进行子网划分。
对于规模超过100个IP地址的用户,建议优选64个IP地址划分子网分配方式。
Ø网络设备部署的IP按照管理IP和业务IP进行分配。
管理IP地址与服务器存储的管理IP统一规划;业务IP地址配置为互联网用户的网关地址。
Ø网络设备之间对接的IP地址按照管理IP地址进行分配,使用私有IP地址,不进行公网IP地址映射。
●业务网段IP地址需求表
IP地址用途
IP地址类型
分配方式
IP地址数
说明
●管理网段IP地址需求表
IP地址用途
IP地址类型
分配方式
IP地址数
说明
●公网IP需求
IP地址用途
IP地址类型
分配方式
IP地址数
说明
2.5VLAN规划
VLAN是建立在各种交换技术基础之上的。
所谓交换实质上只是物理网络上的一个控制点,它由软件进行管理,所以允许用户利用软件功能灵活地配置资源,管理网络。
利用交换设备中的虚网功能,不必改变网络的物理基础,即可重新配置网络。
采用虚网功能,网络性能可以获得较大的改善。
●虚网技术能对工作组业务进行过滤,有效地分割通信量,因而能更好地利用带宽,提高网络总的吞吐量。
●采用虚网技术可以将不同区域的设备组成一个网段而不用更改布线,因为虚网技术是从逻辑角度而非物理角度来划分子网的,所以采用虚网技术能减轻系统的扩容压力,将迁移费用降至最小。
●采用虚网技术能有效隔离网络设备,增加网络的安全性和保密性。
虚拟网络的安全策略采用的主要协议为IEEE802.1Q,此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。
●虚网技术能对属于同一工作组的用户提供广播服务,但与传统的局域网协议所不同的是,虚拟局域网能限制广播的区域,从而节省网络带宽。
●虚拟局域网可以建立在不同的物理网络上,用封装的办法支持不同的网络协议络协议,如SNMP、NMP、IPX、TCP//IP、IEEE802.33等,兼容性非常好。
互联网数据中心VLAN的划分建议采用如下原则:
●按照VLAN种类可划分为互联VLAN、管理VLAN、业务VLAN、存储VLAN。
●按照业务服务区域划分不同的VLAN。
●按照存储区域划分不同的VLAN。
●VLAN需连续分配以保证VLAN资源合理利用。
●需预留一定数目VLAN方便后续扩展。
VLAN规划建议按照业务服务区划分VLAN,其范围如下:
●禁止使用:
VLAN1
●网络核心层:
2~199
●网络设备管理VLAN:
2~19
●设备互联VLAN:
20~99
●预留VLAN:
100~199
●业务服务区:
200~2999
●开发测试区:
3000~3099
●运行管理区:
3100~3199
●外联区:
3200~3299
●预留VLAN:
3300~3499
●服务器存储网络:
3500~4000
●VLAN规划
VLAN用途
使用VLAN
备注
2.6路由规划
2.6.1规划概述
设计方案的网络核心层中核心交换机具备L3路由和L2交换的功能。
本项目在业务接入交换(Cisco3750)为路由和交换的分界点
●在业务接入交换机之上,采用L3路由设计
即:
业务接入交换机交换机与核心层及其上联网络设备(如:
路由器、防火墙和园区网核心交换机等)之间运行L3路由模式;
●在业务接入交换机以下,采用L2交换设计
即:
核心交换机与业务服务器之间运行L2交换模式。
2.6.2外联路由设计
图7外联区路由设计
外联区规划采用静态路由配合VRRP的方式。
外联区要配置两对VRRP,一对配置在防火墙的外部上行接口,另一对配置在路由器的下行接口。
为了确保防火墙的心跳数据能够透传,路由器的下行接口和互联接口,需要配置成二层Access端口。
防护墙配置到外网的默认路由,下一跳指向路由器的VRRP虚地址,路由器上行配置默认路由,下行按照业务规划,配置指向对应网段的静态汇总路由。
2.6.3内部IGP路由设计
本项目采用OSPF作为本网络防火墙内部区域、核心交换机和业务接入交换机之间的动态协议。
开放式最短路径优先(OpenShortestPathFirst,OSPF)协议是一种为IP网络开发的内部网关路由选择协议,由IETF开发并推荐使用。
OSPF协议由三个子协议组成:
Hello协议、交换协议和扩散协议。
其中Hello协议负责检查链路是否可用,并完成指定路由器及备份指定路由器;交换协议完成“主”、“从”路由器的指定并交换各自的路由数据库信息;扩散协议完成各路由器中路由数据库的同步维护。
OSPF协议具有以下优点:
●OSPF能够在自己的链路状态数据库内表示整个网络,这极大地减少了收敛时间,并且支持大型异构网络的互联,提供了一个异构网络间通过同一种协议交换网络信息的途径,并且不容易出现错误的路由信息。
●OSPF支持通往相同目的的多重路径。
●OSPF使用路由标签区分不同的外部路由。
●OSPF支持路由验证,只有互相通过路由验证的路由器之间才能交换路由信息;并且可以对不同的区域定义不同的验证方式,从而提高了网络的安全性。
●OSPF支持cost相同的多条链路上的负载均衡。
●OSPF是一个非族类路由协议,路由信息不受跳数的限制,减少了因分级路由带来的子网分离问题。
●OSPF支持VLSM和非族类路由查表,有利于网络地址的有效管理。
OSPF路由规划如图8所示。
图8OSPF路由规划
说明:
●防火墙内部接口、网络核心层的核心交换机、业务接入交换机运行OSPF动态路由协议,同处OSPF的骨干区域,即AREA0;
●业务接入交换机重分布自身直连路由。
防火墙配置去往外部的默认路由,并在OSPF中进行重分布。
3IDC网络安全设计
IDC安全解决方案提供完善的建设思路,可帮助IDC运营商提高IDC网络可靠性,加强内部网络、后台支撑网络的管理和控制,实现对外部网络攻击的全面防护能力,同时为运营商提供丰富的IDC流量监控分析手段、客户服务质量保障手段,IDC具备“可运营、可管理、可增值”的业务提供能力。
3.1Anti-DDoS系统的部署
3.1.1业务介绍
DDOS攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击,由于TCP/IP协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段。
大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为网络运行瓶颈。
另外,攻击过程中目标主机也必然陷入瘫痪。
被DDoS攻击时的现象如下:
●被攻击主机上有大量等待的TCP连接
●网络中充斥着大量的无用数据包,源地址为假
●制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
●利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
●严重时会造成系统死机
DDOS流量清洗业务可以抵御上述恶意攻击,保护网络或者主机系统,有条件的IDC节点宜在IDC出口部署异常流量清洗中心,可对大流量DDOS攻击给予清洗,保证IDC出口网络的带宽,保障IDC运营商向客户提供承诺的网络带宽业务,因此,对于运营商来说,DDOS流量清洗是一项基础的网络安全措施,当然,带宽的保障也大大增强了客户的体验,反过来提高了运营商的声誉和口碑。
图9深度检测动态引流部署图
3.1.2业务实现
在外网出口处部署Eudemon1000EDDoS防御系统,起到防火墙及DDoS攻击防范的功能。
Eudemon1000E依托国内最大的“网络及应用攻防实验室”和遍布全球的密网监控系统,具备快速响应能力采用业界最先进的RISC多核多线程硬件平台,可以轻松处理各种流量型攻击。
配套SIG9280E流量控制系统,能够静态地对指定流量进行防护,动态学习网络基线和检测网络异常,同时对异常流量进行清洗,通过报表系统上报攻击事件和清洗情况。
DDoS防御系统+SIG流量控制的组合,将为超算中心提供一个安全可靠网络环境,有效应对外界的网络攻击,保障高性能计算网络的数据安全传输。
该方案已经成功在全球多个运营商网络出口进行部署并应用。
此方案中部署了DDoS产品Eudemon1000E,静态的对指定流量进行防护,清洗设备可以动态学习网络基线和检测网络异常,同时对异常流量进行清洗,通过报表系统上报攻击事件和清洗情况。
部署简单,适用于大型网络,对特定保护目标做深度、实时检测和清洗。
几乎没有防护延时,防护效果好。
本设计中Anti-DDoS部署方案如下图所示:
图10Anti-DDoS设计图
该DDoS防御方案系统主要包括三个组成部分:
1)流量检测中心:
DPI检测设备SIG9280E,主要完成DDoS攻击流量的检测和分析。
对于超算中心网络入口的DDOS攻击流量,可直接送入SIG9280E接口板上进行处理,通过背板转入业务板处理。
2)安全管理中心:
由服务器系统组成(报表模块、设备管理模块、策略管理模块),完成攻击事件的处理、并控制清洗中心的引流策略和清洗策略。
以及各种攻击事件和攻击流量的分类查看,并可产生报表。
3)流量清洗中心:
由USG9310专业清洗设备组成。
主要是根据安全管理中心的控制策略进行攻击流量引流、清洗,把清洗后的正常流量回注到网络,发送到真正的目的地。
●异常流量检测流程:
第一步:
SIG9280E对两个核心出口的流量进行全流量实时分光检测。
第二步:
SIG检测现网的用户行为、P2P流量、DDoS异常流量等多种业务进行检测分析。
检测分析后,生成报表信息记录在数据库中。
用户可以从管理后平上,清晰的查看到业务相关报表情况,对现网的流量类型进行准确定位。
第三步:
现网设备进入DDoS异常检测流程,分层解开IP包各层内容信息,分层检测。
第四步:
当SIG发现网络中流量异常时,立即在后台管理中心触发生成一条异常引流策略给Eudemon1000E清洗设备。
●异常流量引流流程:
引流设计采用清洗设备直接与核心路由设备建立BGP邻居关系,当检测发现流量异常时,管理中心通知Eudemon1000E,清洗设备生成32位主机路由通过两条10GE链路分别发布给核心设备。
核心路由器收到32位掩码的路由更新后,会把被攻击IP的路由下一跳指向清洗中心,实现引流。
●流量回注基本流程:
在各个汇聚节点和回注路由器上创建二层MPLS/LSP用于回注清洗干净的正常业务流量,同时,结合VPN实例,实现回注报文的公私网隔离进行回注。
这些LSP链路层通道通过IGP动态路由协议动态学习到。
用MPLS标签隧道的好处在于,无需在下行汇聚设备做路由相关配置,由IGP协议自行学习回注通道。
并用MP-IBGP协议传递私网路由到E8080E,实现被防护用户的报文的私网回注。
出清洗设备前打上MPLS及VPN双层标签送到公网,到达核心节点利用外层MPLS标签避开引流路由;走到隧道终点后弹出MPLS标签及VPN标签,走公网的路由到目的地。
3.2入侵检测系统的部署
3.2.1业务介绍
图11IPS入侵防
升级会员 