概述

数据中心是实现数据资源共享、集中交换和综合服务的重要基础设施，是发挥业务应用效益和提高信息化整体水平的重要保障。

依据我国 “十二五”规划，按照“统一规划、统一标准、急用先行”的原则，搭建起数据中心基础框架和开发平台。实现数据中心、联网应用、资源监控能力建设的统一布局与整合，实现以云计算概念为指导，运用数据库、网络存储、数据备份等技术，采用整合、新建等方式，初步形成数据中心管理体系，实现数据中心和重点数据库的统一汇集存储与交换共享，实现上下级之间数据交换以及各部门的互联互通。

设计思想

数据中心分区：构建数据中心基础网络时，应采用一种模块化的设计方法，将数据中心划分为不同的功能区域，用于部署不同的应用，使得整个数据中心的架构具备可伸缩性、灵活性、和高可用性。对于区域而言，我们可以从各个区域的功能来预知这个区域对可扩展性等的要求。

分步建设：在项目建设的初期，数据中心网络的核心设备考虑未来5—8年的发展规模，并根据业务的分类设计多个汇聚，在核心和汇聚层预留较大的扩展能力。在接入层则按照当前的业务规模来部署，未来的扩展时，只增加接入层设备，保证数据中心的平滑扩展，不影响业务的正常运行。

业务分区

需要建立数据中心的IP网络，按业务功能和安全需要分为不同的网络区域，各个网络区域有相对独立的网络设备（如交换机、防火墙等）连接相应的主机、服务器、专用机等设备，每个网络区域的汇聚交换机再连接到IP网的核心交换机上；每个网络区域内部可以根据需要再逻辑划分为不同的区域。

对于数据中心基础网络而言，可以将网络按照经典的三层结构（核心层、汇聚层、接入层）进行部署。通过分层部署可以使网络具有很好的扩展性（无需干扰其它区域就能根据需要增加容量），可以提升网络的可用性（隔离故障域降低故障对网络的影响），可以简化网络的管理（拓扑结构结构更清晰）。

网络拓扑

核心交换区部署2台高端交换机，采用10GE/GE与各分区设备互联，核心交换机上不部署安全策略，不作为终端/服务器的网关，只负责各区域的三层转发。通过配置防火墙，将数据中心基础网络划分为7个安全域，分别是网络管理安全域、数据存储安全域、业务应用安全域、公共服务安全域、身份认证安全域、互联接入安全域和保留设备安全域7个安全域，通过配置访问控制策略，禁止非授权访问。

设备冗余

引擎冗余：核心交换机配置冗余引擎，并采用路由控制引擎和交换引擎物理分离的设计，在路由控制或交换引擎切换时，实现数据零丢失。

电源冗余：核心交换机、汇聚交换机、路由器都配置了双电源模块，每块电源分别使用机房的双路供电。同一机箱内的三块电源工作在冗余模式。

模块和端口的冗余和分布：广域网MSTP链路与路由器连接采用跨板卡的链路聚合技术，保证连接链路分布在不同的板卡上，避免单点故障。

链路冗余

关键链路，如核心交换机之间、数据中心之间均采用2条链路。

数据中心的核心虚拟化不仅使多台物理设备简化成一台逻辑设备，同时网络各层之间的多条链路连接也将变成两台逻辑设备之间的直连，因此可以采用链路捆绑的方式，将多条物理链路进行跨设备的链路聚合，从而变成了一条逻辑链路，增加带宽的同时也提高了可靠性，并使得数据中心的网络设计中需要的设备三层接口数大大减少；两层网络之间由一般的4个三层接口互联，变成一对三层接口互联，使得路由设计极大简化。

路由冗余

网络物理链路的冗余设计为路由协议选择备份连接提供了基础。当设备或连接因故障中断时，路由协议会自动重新计算网络路径，并使用正常的连接保障数据通讯。

数据中心安全

数据中心信息安全体系建设的目标是通过建立完善的信息安全管理制度和智能、深度的安全防御的技术解决方案，构建一个管理手段与技术手段相结合的全方位、多层次、可动态发展的纵深安全防范体系，来实现信息系统的可靠性、保密性、完整性、有效性、不可否认性，为业务的发展提供一个坚实的信息系统基础。

防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入数据中心网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效的监控数据中心网络系统不同安全网络之间的任何活动。防火墙在网络间实现访问控制，数据中心内部或服务器区内部可以称之为“被信任应受保护的网络”，另外一个是其它的非安全网络称为‘某个不被信任并且不需要保护的网络’比如，Internet出口。防火墙就位于网络和一个不受信任的网络之间，通过一系列的安全手段来保护受本地网络系统信任网络上的信息。

在数据中心防火墙的部署中，主要包括网络边界的网络隔离和数据中心内部分区之间的网络隔离，其中互联网、业务外联区属于边界的访问控制和隔离，部署单独的盒式防火墙；在业务分区的汇聚交换机上部署防火墙模块，利用虚拟防火墙技术，提供分区之间以及分区内部不同服务器之间的访问控制和网络隔离。

方案优势

采用经典的分区分域防护理论，重构数据中心的安全架构，除了在南北向实现了大流量的纵深防御外，还实现了区域间和云环境的安全防护。

采用高性能、高冗余的安全防护设备，消除了网络中的环路，同时实现了网络功能虚拟化，将内部安全访问节点数量降至最低，极大减小了数据中心当中的故障节点。