H3C数据中心解决方案.docx

网络产品部化通过构建共享的资源池，实现对网络资源、计算计算和存储资源的几种尸、数据中心（DataCenter,DC）是数据大集中而形成的集成IT应用环境，是各种IT应用业务的提供中心，是数据计算、网络传输、存储的中心。数据中心实现了IT基础设施、业务应用、数据的统

一、安全策略的统一部署与运维管理。数据中心是当前运营商和各行业的IT建设重点。运营商、大型企业、金融证券、政府、能源、电力、交通、教育、制造业、网站和电子商务公司等正在进行或已完成数据中心建设，通过数据中心的建设，实现对IT信息系统的整合和集中管理，提升内部的运营和管理效率以及对外的服务水平，同时降低IT建设的TCO。H3C长期致力于IP技术与产品的研究、开发、生产、销售及服务。H3C不但拥有全线以太网交换机和路由器产品，还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前，网络产品中国市场份额第一，安全产品中国市场份额位居三甲,IP存储亚太市场份额第一，IP监控技术全球领先，H3C已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。H3C长期保持对数据中心领域的关注，持续投入力量于数据中心解决方案的研发，融合了网络、安全、IP存储、软件管理系统、IP监控等产品的基于IToIP架构的数据中心解决方案，有效地解决了用户在数据中心建设中遇到的各种难题,已经在各行各业的数据中心建设中广泛应用。基于H3C在数据通信领域的长期研发与技术积累，纵观数据中心发展历程，数据中心的发展可分为四个层面：数据中心基础网络整合：根据业务需求，基于开放标准的IP协议，完成对企业现有异构业务系统、网络资源和IT资源的整合，解决如何建设数据中心的问题。数据中心基础网络的设计以功能分区、网络分层和服务器分级为原则和特点。通过多种高可用技术和良好网络设计，实现数据中心可靠运行，保证业务的永续性；数据中心应用智能：基于TCP/IP的开放架构，保证各种新业务和应用在数据中心的基础体系架构上平滑部署和升级，满足用户的多变需求，保证数据中心的持续服务和业务连续性。各种应用的安全、优化与集成可以无缝的部署在数据中心之上。数据中心虚拟化：传统的应用孤岛式的数据中心模型扩展性差，核心资源的分配与业务应用发展出现不匹配，使得资源利用不均匀，导致运行成本提高、现有投资无法达到最优化的利用、新业务部署难度增大、现有业务持续性得不到保证、安全面临威胁。虚拟管理、规划和控制，简化管理维护、提高设备资源利用率、优化业务流程部署、降低维护成本。数据中心资源智能：通过智能化管理平台实现对资源的智能化管理，资源智能分配调度，构建高度智能、自动化数据中心。1数据中心基础网络整合

1.1数据中心基础网络设计随着业务的快速发展，企业（泛指运营商、企业和行业用户）的业务应用和数据正在从分散部署走向大集中，作为业务承载体的IT设施的部署模型随之发生翻天覆地的变化，互联互通已经不能满足流程整合后的业务持续发展的需求。网络是连接所有数据中心IT组件的唯一通用实体，构建坚实的网络基础设施将为数据中心业务永续、管理与运维提供保障。通常来讲，用户的业务可分为多个子系统，彼此之间会有数据共享、业务互访、数据访问控制与隔离的需求，根据业务相关性和流程需要，需要采用模块化设计，实现低耦合、高内聚，保证系统和数据的安全性、可靠性、灵活扩展性、易于管理。数据中心基础网络设计原则为分区、分层和分级设计。

1、数据中心分区设计原则分区，即把用户的整个IT系统按照关联性、管理等方面的需求划分为多个业务板块系统，而每个系统有自己单独的核心交换，服务器，安全边界设备等，需要逐级访问控制，良好的逻辑分区设计与安全域划分成为数据中心网络的必备基础。根据企业自身特点，依据业务系统的相关性、数据流的访问要求和系统安全控制的要求等，可以把数据中心的服务器与业务系统分成内网区（Intranet）、外联区（Etranet）和互联网区（Internet）等，并在此基础上对业务流程进行深入细化。Intranet区企业内部访问的数据中心区域，通常称为内网区，对外部网络不可见。Etranet区企业提供给合作伙伴访问的数据中心区域，通常称为外联区；通过VPN接入实现对服务器群的访问和不同企业的隔离。Internet区企业提供给internet用户访问的数据中心区域，也常称为DMZ区，外部用户通过公网访问，一般就是放在企业门户网站的服务器群。

2、数据中心分层设计原则分层的主要是根据内外部分流原则，把数据中心网络分成标准的核心层、汇聚层和接入层三层结构。服务器与业务系统之间的流量大部分在单个功能分区内部，不需要经过核心；分区之间的流量才经过核心，而且在每个分区的汇聚层交换机上做互访控制策略会更容易、对核心的压力会更好、故障影响范围更小、故障恢复更快。核心层核心层提供多个数据中心汇聚模块互联，并连接园区网核心；要求其具有高交换能力和突发流量适应能力；大型数据中心核心要求多汇聚模块扩展能力，中小型数据中心共用园区核心；当前以10GE接口为主，高性能要求4链路冗余，路径冗余，故障收敛时间最短。分布式处理二三层协议，极大提高网络高性能。堆叠组内设备软件版本同步升级，升级容易。-整个堆叠组的设备支持热插拔，灵活管理。接入与汇聚采用MSTP VRRP:提高可用性，还可以做到链路的负载均衡。

三、汇聚高可用性设计1）汇聚交换设备之间的VRRP；2）安全、应用优化设备之间的VRRP：可以内置或者旁挂到汇聚交换机上（推荐旁挂，而不是串连到网络中，消除性能瓶颈）。利用HRP协议实现在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息的备份。HRP协议承载在VGMP报文上。通过指定的负载均衡算法，对指向服务器的流量做负载均衡，保证服务器群能尽最大努力向外提供服务，提升服务器的可用性，提升服务器群的处理性能。2数据中心应用智能

2.1应用智能数据中心模型今天，WEB

2.0大潮开始涌现，如Flickr、YouTuBe、BLOG、WIKI、PODCAST，互联网在第一次泡沫迸裂后又重现生机。这些新应用的背后英雄就是WEB技术，如果讲WEB

1.0解决的是人机交互界面的标准化”问题，WEB

2.0则更进一步解决了应用数据交互的标准化”问题，而WEB

2.0的技术基础是ML协议和一系列相关WEB技术。Web

2.0时代的最大特点是每个人可成为数据的提供者。在今后的几年内，WEB应用的普及必将带来另外一个新的标准化，那就是基于WEB技术的应用标准化，如果用OSI的模型来描述的话，则是会话层和表示层的标准化。“一旦标准化，即可网络化”意味着这些标准化的应用处理功能将集成到网络设备中，新的业务呼唤新的应用智能网络。企业业务和数据从分散部署走向大集中，数据中心的数据量急剧膨胀，数据中心的重要性受到空前的重视，应用优化、网络安全、应用安全设备大规模部署，融合了应用安全、应用优化能力的应用智能数据中心越来越受到用户的欢迎。顺应潮流的发展，多业务集成交换机成为数据中心建设的必备组件。应用安全涵盖：应用层认证、授权和审计应用层加密（SSL）和集中PKI部署应用层防火墙（HTTP/ML防火墙，SAML安全断言标记语言）应用层内容安全：病毒、入侵等等应用优化涵盖：应用负载均衡基于硬件的应用缓存、压缩和交换应用协议优化（HTTP/TCP协议优化）融合应用安全、应用优化的应用智能数据中心模型：

2.2应用智能之安全数据中心承载着用户的核心业务和机密数据，同时为内部、外部、合作伙伴等客户提供业务交互和数据交换，因此数据中心的安全必须与业务系统实现融合，并且能够平滑的部署在网络中。数据中心的安全建设中的主要思想之一就是层次化的分级安全，把IT的安全分成多个等级，划分不同的安全域，这与数据中心对安全的内在要求是相辅相成的。在深入分析IT安全形势的基础上，H3C提出基于状态演进的安全模型，把IT的安全分成:单机安全：单机安全强调权限管理、病毒防护、数据备份局部安全:局部安全强调远程接入、入侵检测、安全融合、安全协作深度安全:深度安全强调容灾备份、深度抵御、安全审计、流量分析统一安全:统一安全强调风险管理、企业内控、统一规划、统一管理随着安全状态的演进，安全向着应用智能的安全方向发展。在任何情况下，信息只存在于三种状态之一：计算：计算是信息被创建、修改、删除、查询以及深度处理的过程。通讯：通讯是信息在不同的环境之间以及环境内部传递的过程。存储：信息被以某种形式临时或者永久性保存的过程。安全的目标就是在保证数据在这三种状态下的安全。信息的安全状态决定安全的策略，对于数据中心来讲，信息的安全策略包括访问控制策略、补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略。安全分区安全策略的基础是基于业务的逻辑分区和安全域划分，数据中心业务安全分区的优势：增加新功能区更容易不同区域可实施不同的安全策略每个分区按照需求可独立的扩展发生故障易定位易恢复等优点。因此，按照分区的思想，数据中心按照业务类型分为不同的逻辑区域，每个分区制定不同的安全策略和信任模型，划分为不同安全级别的安全域。从实际部署上看，又分成：边界访问控制深度智能防御智能安全管理1）边界访问控制边界控制对数据中心是最基本的要求，控制各类用户对数据中心的访问。随着安全状态的演进，安全向着应用智能的安全方向发展。H3CSecBladeII万兆防火墙与核心、汇聚交换机实现多业务集成，数据交互通过背板直接进行，具有高性能和高可靠的双重优势，避免交换机在线部署的性能瓶颈和单点故障；与防火墙旁挂部署方式相比，又具有配置策略简单、不改变数据转发路径、流量转发过程清晰、部署维护简单等诸多优点。2）深度智能防御