數據中心（Data Center，DC）是數據大集中而形成的集成IT應用環(huán)境，是各種IT應用業(yè)務的提供中心，是數據計算、網絡傳輸、存儲的中心。數據中心實現(xiàn)了IT基礎設施、業(yè)務應用、數據的統(tǒng)一、安全策略的統(tǒng)一部署與運維管理。數據中心是當前運營商和各行業(yè)的 IT 建設重點。運營商、大型企業(yè)、金融證券、政府、能源、電力、交通、教育、制造業(yè)、網站和電子商務公司等正在進行或已完成數據中心建設，通過數據中心的建設，實現(xiàn)對 IT 信息系統(tǒng)的整合和集中管理，提升內部的運營和管理效率以及對外的服務水平，同時降低IT 建設的 TCO?？v覽數據中心的發(fā)展史，數據中心的建設主要分為四個層面。

設計目標

1、高效性：為了滿足平臺業(yè)務應用系統(tǒng)的高并發(fā)、快速的虛擬機遷移、視頻文件以及大文件的上傳下載等要求，設計一個高帶寬、低延時、快速收斂并避免環(huán)路出現(xiàn)的網絡平臺是一個基本的設計目標。

2、高可靠性：高可用性是數據中心網絡平臺的設計目標之一，關鍵和核心部分不能出現(xiàn)單點故障。

3、可擴展性：具備良好的擴展能力也是數據中心網絡的設計目標之一，在核心、骨干網絡設備上要留有余量，充分考慮今后業(yè)務應用增加的網絡需求。

4、靈活性、易維護性：要求網絡平臺能夠靈活簡便的對網絡資源進行調配。因此，網絡管理的靈活性和易維護性也是網絡平臺的設計目標之一。通過減少網絡配置節(jié)點、簡化網絡配置，降低網絡管理的人力開銷，從而易于網絡資源的調整和分配。

5、先進性：整體架構應當保持穩(wěn)定而不應當頻繁調整。在設計網絡平臺的架構的時候，設計目標之一應該是保證網絡架構和采用技術的先進性，3年內只做規(guī)模擴充，而不做架構調整。

6、安全性：保證各業(yè)務系統(tǒng)的信息安全是建設數據中心的一個基本前提，因此安全性也是網絡平臺需要考慮的設計目標之一。由于網絡安全域的劃分與隔離很大程度上依賴網絡結構的合理性，因此在設計網絡架構的時候需要考慮整體網絡安全性，便于安全方案進行安全域的劃分和安全域間訪問控制。

?   基礎網絡設計解決方案：

分區(qū)，即把用戶的整個IT系統(tǒng)按照關聯(lián)性、管理等方面的需求劃分為多個業(yè)務板塊系統(tǒng)，而每個系統(tǒng)有自己單獨的核心交換，服務器，安全邊界設備等，需要逐級訪問控制，良好的邏輯分區(qū)設計與安全域劃分成為數據中心網絡的必備基礎。

根據企業(yè)自身特點，依據業(yè)務系統(tǒng)的相關性、數據流的訪問要求和系統(tǒng)安全控制的要求等，可以把數據中心的服務器與業(yè)務系統(tǒng)分成內網區(qū)（Intranet）、外聯(lián)區(qū)（Extranet）和互聯(lián)網區(qū)（Internet）等，并在此基礎上對業(yè)務流程進行深入細化。

分層的主要是根據內外部分流原則，把數據中心網絡分成標準的核心層、匯聚層和接入層三層結構。服務器與業(yè)務系統(tǒng)之間的流量大部分在單個功能分區(qū)內部，不需要經過核心；分區(qū)之間的流量才經過核心，而且在每個分區(qū)的匯聚層交換機上做互訪控制策略會更容易、對核心的壓力會更好、故障影響范圍更小、故障恢復更快。

?   數據中心高可用解決方案：

隨著市場競爭的日益加劇，客戶對信息系統(tǒng)的依賴性和要求越來越高，保證數據中心的高可用性，提供7×24小時網絡服務成為建網的首要目標，也是數據中心建設關注的第一要素。

導致網絡不可用，即網絡故障的原因主要有兩類：

1. 不可控因素，如自然災害、戰(zhàn)爭、大停電、人為破壞等

通過建設生產中心、本地備份中心、異地容災中心，即兩地三中心模式，通過良好的整體規(guī)劃設計，保證不可控因素影響下數據中心的高可用。

2. 可控因素，如設備故障、鏈路故障、網絡擁塞、維護誤操作、惡意攻擊等。

在選擇產品設計上應考慮諸多因素，包括物理設備、鏈路層、IP層、傳輸層和應用層，全方位的提高網絡可用性。

硬件設備冗余，如設備雙主控、單板熱插拔、冗余電源、冗余風扇。

物理鏈路冗余，如以太網鏈路聚合等。

環(huán)網技術，如：RPR、RRPP等技術。

二層路徑冗余，如：MSTP、SmartLink。

三層路徑冗余，如：VRRP、ECMP、動態(tài)路由快速收斂。

快速故障檢測技術，如：BFD等。

不間斷轉發(fā)技術，如GR等。

一、服務器接入高可用設計

也稱服務器多網卡接入。為了實現(xiàn)接入高可用，服務器通常采用多鏈路上行，即服務器的兩塊甚至多網卡接入，服務器中的網絡驅動程序將兩塊或者多塊網卡捆綁成一個虛擬的網卡，如果一個網卡失效，另一個網卡會接管它的MAC地址，兩塊網卡使用一個IP地址，而且必須位于同一廣播域，即同一子網下。服務器和接入交換機之間的連接方式有幾種方式：

網絡可用性從左至右依次升高。推薦采用第四種接入方式。第四種連接方式服務器采用交換機容錯模式分別接入到兩臺機柜式交換機上，并且將VLAN Trunk到兩臺設備上，實現(xiàn)服務器的高可靠接入。

二、接入到匯聚高可用設計

接入到匯聚層共有四種連接方式，分別為倒U型接法、U型接法、三角型接法和矩形接法，這里所謂不同類型的接法是以二層鏈路作為評判依據，比如說矩形接法，從接入到接入，接入到匯聚、匯聚到匯聚均為二層鏈路連接，因此形成了矩形的二層鏈路接法。

三、 匯聚高可用性設計

1）匯聚交換設備之間的VRRP；

2）安全、應用優(yōu)化設備之間的VRRP：可以內置或者旁掛到匯聚交換機上(推薦旁掛，而不是串連到網絡中，消除性能瓶頸)。利用HRP協(xié)議實現(xiàn)在Master和Backup防火墻設備之間備份關鍵配置命令和會話表狀態(tài)信息的備份。HRP協(xié)議承載在VGMP報文上。通過指定的負載均衡算法，對指向服務器的流量做負載均衡，保證服務器群能盡最大努力向外提供服務，提升服務器的可用性，提升服務器群的處理性能。

?   數據中心虛擬化解決方案：

隨著業(yè)務的持續(xù)發(fā)展、系統(tǒng)的更新升級、設備的不斷增多、能耗的大幅飚升，數據中心面臨著資源分配與業(yè)務發(fā)展無法完美匹配的難題：

1、業(yè)務系統(tǒng)日益增多：需要更多的網絡設備、服務器，運行的業(yè)務系統(tǒng)不斷的發(fā)生變化，資源和設備分配之間的矛盾日趨激烈；

2、設備多，部署繁雜：在數據大集中的趨勢下，數據中心機房內的IT基礎設施規(guī)模非常龐大，而且還將持續(xù)不斷的增加、部署難度大幅增加；

3、投資持續(xù)增加： IT基礎設施規(guī)模的成倍增加，在數據中心投入的硬件成本、軟件成本、人力成本等水漲船高；

4、運維成本和能耗高：設備增多，能耗和運維成本自然隨之增加，不符合綠色數據中心的發(fā)展趨勢，能耗已經成為數據中心運維的沉重經濟負擔。

所以，為了降低TCO，需要對數據中心進行整合。這也帶來了一系列難題：

1、 安全性：多種業(yè)務集成在一套設備上，安全性需要保證；

2、 資源合理分配：不同的業(yè)務對數據中心資源也有不同的需求，要保證各個業(yè)務合理的使用資源。

虛擬化能夠解決這些難題，虛擬化用多個物理實體創(chuàng)建一個邏輯實體，或者用一個物理實體創(chuàng)建多個邏輯實體。實體可以是計算、存儲、網絡或應用資源。

虛擬化實質：隔離。虛擬化技術將不同的業(yè)務隔離開來，彼此不能互訪，從而保證業(yè)務的安全需求；將不同的業(yè)務的資源隔離開來，從而保證業(yè)務對于數據中心資源的需求。

虛擬化解決方案可包括三部分：

網絡虛擬化

計算虛擬化

存儲虛擬化

數據中心網絡虛擬化特色：數據中心網絡虛擬化和客戶端虛擬化（EAD）、園區(qū)網虛擬化形成網絡端到端的虛擬化訪問路徑。

?   安全解決方案：

數據中心承載著用戶的核心業(yè)務和機密數據，同時為內部、外部、合作伙伴等客戶提供業(yè)務交互和數據交換，因此數據中心的安全必須與業(yè)務系統(tǒng)實現(xiàn)融合，并且能夠平滑的部署在網絡中。數據中心的安全建設中的主要思想之一就是層次化的分級安全，把IT的安全分成多個等級，劃分不同的安全域，這與數據中心對安全的內在要求是相輔相成的。

在深入分析IT安全形勢的基礎上，基于狀態(tài)演進的安全模型，把IT的安全分成：

單機安全：單機安全強調權限管理、病毒防護、數據備份

局部安全：局部安全強調遠程接入、入侵檢測、安全融合、安全協(xié)作

深度安全：深度安全強調容災備份、深度抵御、安全審計、流量分析

統(tǒng)一安全：統(tǒng)一安全強調風險管理、企業(yè)內控、統(tǒng)一規(guī)劃、統(tǒng)一管理

隨著安全狀態(tài)的演進，安全向著應用智能的安全方向發(fā)展。

在任何情況下，信息只存在于三種狀態(tài)之一：

計算：計算是信息被創(chuàng)建、修改、刪除、查詢以及深度處理的過程。

通訊：通訊是信息在不同的環(huán)境之間以及環(huán)境內部傳遞的過程。

存儲：信息被以某種形式臨時或者永久性保存的過程。

安全的目標就是在保證數據在這三種狀態(tài)下的安全。

信息的安全狀態(tài)決定安全的策略，對于數據中心來講，信息的安全策略包括訪問

控制策略、補丁管理策略、攻擊抵御策略、滲透抵御策略、病毒控制策略、流量控制策略、風險管理策略。

安全分區(qū)

安全策略的基礎是基于業(yè)務的邏輯分區(qū)和安全域劃分，數據中心業(yè)務安全分區(qū)的優(yōu)勢：

增加新功能區(qū)更容易

不同區(qū)域可實施不同的安全策略

每個分區(qū)按照需求可獨立的擴展

發(fā)生故障易定位易恢復等優(yōu)點。

因此，按照分區(qū)的思想，數據中心按照業(yè)務類型分為不同的邏輯區(qū)域，每個分區(qū)制定不同的安全策略和信任模型，劃分為不同安全級別的安全域。從實際部署上看，又分成：

邊界訪問控制

深度智能防御

智能安全管理

1）邊界訪問控制

邊界控制對數據中心是最基本的要求，控制各類用戶對數據中心的訪問。隨著安全狀態(tài)的演進，安全向著應用智能的安全方向發(fā)展。

2）深度智能防御

針對數據中心的各類DDoS攻擊、木馬、黑客入侵層出不窮，傳統(tǒng)的IDS產品只能對部分事件進行檢測，無法做到實時分析和防御，因此應選用可進行深度分析，能精確、實時地識別并阻斷或限制黑客、蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、協(xié)議異常、網絡釣魚、P2P、IM、網游等網絡攻擊或網絡濫用的IDS產品，從而可為客戶網絡提供三大保護功能：保護網絡應用、保護網絡基礎設施、保護網絡性能。

3）智能安全管理

數據中心除了大量的網絡設備在運行外，更多是各類服務器、操作系統(tǒng)之間的業(yè)務交互，海量的告警、監(jiān)控、SNMP、WMI等消息不斷的在網絡中傳播，必須要要對這些安全事件、網絡事件、系統(tǒng)事件、應用事件進行統(tǒng)一的收集和管理，并通智能化的分析把原始數據轉換、篩選為智能安全的有效信息。

?   運維管理解決方案

運維區(qū)分三個方面對數據中心進行運維：

1.   建設全網管理平臺，實現(xiàn)全網的分級分權管理。通過網管系統(tǒng)對全網的拓撲和設備進行管理，具有設備仿真面板所見即所得和對第三方主流設備管理的能力，可以管理管理大規(guī)模的無線管理網絡，對設備配置變更、收集軟件版本為多臺設備統(tǒng)一批量配置和升級，大大節(jié)省管理員的工作量。

2.   建立統(tǒng)一運維審計系統(tǒng)，實現(xiàn)分級分權的管理。對其操作的過程進行記錄，防止人為誤操作等，在發(fā)生事故后可以通過錄像追究相應人的責任和迅速的恢復系統(tǒng)。

3.   建立全網的威脅偵測系統(tǒng)利用基于云安全、多協(xié)議關聯(lián)分析和代碼比對技術，通過協(xié)議和應用的關聯(lián)分析，快速定位高危節(jié)點和攻擊型態(tài)，轉化成詳細的報告并提供處理措施進行落實?？梢詫ζ髽I(yè)網絡安全環(huán)境進行智能分析，對于現(xiàn)有的防毒架構提升更高層次的管理指標，從而大大提高網絡、數據的安全系數，真正達到事半功倍的效果。

具備統(tǒng)一監(jiān)控管理平臺，可提供拓撲視圖、拓撲監(jiān)控、拓撲告警等功能，幫助用戶實時了解網絡的組網情況和設備運行狀態(tài)。

可對服務器進行統(tǒng)一管理：

基本信息管理：通過機架圖等可視化方式，提供服務器以及各部件基本信息、健康狀態(tài)的展示功能，并可通過遠程KVM和虛擬媒體遠程操作服務器。

性能分析：提供網口性能、服務器功耗、CPU占用率/內存占用率、創(chuàng)建分析任務和時間段性能等多個指標分析。

可對存儲進行統(tǒng)一管理：

提供系統(tǒng)內部物理和邏輯組件間的關聯(lián)關系可視化展示，以便故障發(fā)生時能夠精確定位。

塊存儲：存儲陣列前端端口、控制器、RAID組、LUN、硬盤之間的邏輯關系。

文件存儲：NAS引擎前端端口、NAS引擎節(jié)點、文件系統(tǒng)、文件存儲池、數據磁盤、以及存儲單元上的LUN和硬盤之間的邏輯關系。

從性能負載、指標異常、告警趨勢等多角度分析存儲設備的運行狀況，提供簡單直觀的健康度綜合評分，及早發(fā)現(xiàn)系統(tǒng)性能瓶頸和運行風險，大幅度提升效率。

對網絡的統(tǒng)一管理：

提供網絡設備的基本管理功能，將單個網元的相關信息和維護操作入口集中在一個管理頁面中，便于用戶針對單個網元的監(jiān)控和維護。

通過周期檢測網絡中各種業(yè)務質量性能，并以歷史數據圖表、告警、報表等多種形式展現(xiàn)給用戶，為網絡維護者提供可以量化的網絡質量數據。

提供圖形化、向導式、端到端的業(yè)務部署能力，幫助用戶快速開通新VPN業(yè)務、增加新的VPN接入點以及調整已有的VPN業(yè)務，提升用戶業(yè)務維護的效率。支持對Full-mesh、Hub-Sopke、MCE、自定義組網類型的業(yè)務開通，支持在PE-CE間部署OSPF、ISIS、靜態(tài)以及EBGP路由協(xié)議。

支持深入分析網絡中的流量數據并提供詳細的流量數據分析報告，并實時監(jiān)控全網流量。

提供針對操作系統(tǒng)、數據庫、網絡設備、安全設備等日志的集中采集、分析和存儲功能。日志系統(tǒng)將采集、過濾、歸并、存儲、監(jiān)控、告警、查詢和報表功能統(tǒng)一結合，方便用戶從海量日志信息中快速定位異?，F(xiàn)象和安全趨勢分析。