1、云計算數(shù)據(jù)中心建設(shè)項目網(wǎng)絡(luò)資源池 網(wǎng)絡(luò)設(shè)計要點云計算數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)是云業(yè)務(wù)數(shù)據(jù)的傳輸通道，將數(shù)據(jù)的計算和數(shù)據(jù)存儲有機的結(jié)合在一起。為保證云業(yè)務(wù)的高可用、易擴展、易管理，云計算數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計關(guān)注重點如下：高可用性網(wǎng)絡(luò)的高可用是業(yè)務(wù)高可用的基本保證，在網(wǎng)絡(luò)整體設(shè)計和設(shè)備配置上均是按照雙備份要求設(shè)計的。在網(wǎng)絡(luò)連接上消除單點故障，提供關(guān)鍵設(shè)備的故障切換。關(guān)鍵網(wǎng)絡(luò)設(shè)備之間的物理鏈路采用雙路冗余連接，按照負載均衡方式或active-active方式工作。關(guān)鍵主機可采用雙路網(wǎng)卡來增加可靠性。全冗余的方式使系統(tǒng)達到99.999%的電信級可靠性?；A(chǔ)網(wǎng)絡(luò)從核心層到接入層均部署網(wǎng)絡(luò)虛擬化技術(shù)（如H3C I

2、RF2），可以實現(xiàn)數(shù)據(jù)中心級交換機的虛擬化，不僅網(wǎng)絡(luò)容量可以平滑擴展，更可以簡化網(wǎng)絡(luò)拓撲結(jié)構(gòu)，大大提高整網(wǎng)的可靠性，使得整網(wǎng)的保護倒換時間從原來的510秒縮短到50ms以內(nèi)，達到電信級的可靠性要求。作為未來網(wǎng)絡(luò)的核心，要求核心交換區(qū)設(shè)備具有高可靠性，優(yōu)先選用采用交換引擎與路由引擎物理分離設(shè)計的設(shè)備，從而在硬件的體系結(jié)構(gòu)上達到數(shù)據(jù)中心級的高可靠性。大二層網(wǎng)絡(luò)部署早期的數(shù)據(jù)中心網(wǎng)絡(luò)，大部分采用三層組網(wǎng)的方式，即核心、匯聚、接入。原有的三層網(wǎng)絡(luò)，優(yōu)點是標準架構(gòu)，組網(wǎng)結(jié)構(gòu)清晰、易于擴展等，但是隨著服務(wù)數(shù)量的增加，不同的服務(wù)器劃分在不同的VLAN中，這時由于虛擬機遷移需要一個大二層環(huán)境，這種組網(wǎng)導(dǎo)致虛擬

3、機遷移只能局限在某個二層域的VLAN中，限制了虛擬機的擴展范圍。云計算數(shù)據(jù)中心內(nèi)服務(wù)器虛擬化已是一種趨勢，而虛擬機的遷移則是一種必然，目前業(yè)內(nèi)的幾種虛擬化軟件要做到熱遷移時都是均需要二層網(wǎng)絡(luò)的支撐，隨著未來計算資源池的不斷擴展，二層網(wǎng)絡(luò)的范圍也將同步擴大，甚至需要跨數(shù)據(jù)中心部署大二層網(wǎng)絡(luò)。大規(guī)模部暑二層網(wǎng)絡(luò)則帶來一個必然的問題就是二層環(huán)路問題，而傳統(tǒng)解決二層網(wǎng)絡(luò)環(huán)路問題的STP協(xié)議無法滿足云計算數(shù)據(jù)中心所要求的快收斂，同時會帶來協(xié)議部署及運維管理的復(fù)雜度增加。本次方案中通過部署虛擬化技術(shù)實現(xiàn)兩臺或多臺同一層物理交換機虛擬成一臺邏輯設(shè)備，通過跨設(shè)備鏈路捆綁實現(xiàn)核心和接入的點對點互聯(lián)，消除二層網(wǎng)絡(luò)

4、的環(huán)路，這樣就直接避免了在網(wǎng)絡(luò)中部暑STP，同時對于核心的兩臺設(shè)備虛擬化為一臺邏輯設(shè)備之后，網(wǎng)關(guān)也將變成一個，無需部署傳統(tǒng)的VRRP協(xié)議。 在管理層面，通多虛一之后，管理的設(shè)備數(shù)量減少一半以上，對于本項目，管理點只有核心和接入兩臺設(shè)備，網(wǎng)絡(luò)管理大幅度簡化。如下圖所示：網(wǎng)絡(luò)安全融合云計算將所有資源進行虛擬化，從物理上存在多個用戶訪問同一個物理資源的問題，那么如何保證用戶訪問以及后臺物理資源的安全隔離就成為了一個必須考慮的問題。另一方面由于網(wǎng)絡(luò)變成了一個大的二層網(wǎng)絡(luò)；以前的各個業(yè)務(wù)系統(tǒng)分而治之，各個業(yè)務(wù)系統(tǒng)都是在硬件方面進行了隔離，在每個系統(tǒng)之間做安全的防護可以保證安全的訪問。所以在云計算環(huán)境下，

5、所有的業(yè)務(wù)和用戶的資源在物理上是融合的，這樣就需要通過在網(wǎng)關(guān)層部署防火墻的設(shè)備，同時開啟虛擬防火墻的功能，為每個業(yè)務(wù)進行安全的隔離和策略的部署。在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)安全部署時，往往是網(wǎng)絡(luò)與安全各自為戰(zhàn)，在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點串接安全設(shè)備(如FW、IPS、LB等)。隨著數(shù)據(jù)中心部署的安全設(shè)備的種類和數(shù)量也越來越多，這將導(dǎo)致數(shù)據(jù)中心機房布線、空間、能耗、運維管理等成本越來越高。目前主流交換機均支持安全多業(yè)務(wù)插卡，插卡與交換機背板互連實現(xiàn)流量轉(zhuǎn)發(fā)，共用交換機電源、風(fēng)扇等基礎(chǔ)部件。融合部署除了簡化機房布線、節(jié)市機架空間、簡化管理之外，還具備以下優(yōu)點：互連帶寬高。安全插卡采用背板總線與交換機進行互連，背板

6、總線帶寬一般可超過40Gbps，相比傳統(tǒng)的獨立安全設(shè)備采用普通千兆以太網(wǎng)接口進行互連，在互連帶寬上有了很大的提升，而且無需增加布線、光纖和光模塊成本。業(yè)務(wù)接口靈活。安全插卡上不對外提供業(yè)務(wù)接口（僅提供配置管理接口），當(dāng)交換機上插有安全插卡時，交換機上原有的所有業(yè)務(wù)接口均可配置為安全業(yè)務(wù)接口。此時再也無需擔(dān)心安全業(yè)務(wù)接口不夠而帶來網(wǎng)絡(luò)安全部署的局限性。性能平滑擴展。當(dāng)一臺交換機上的一塊安全插卡的性能不夠時，可以再插入一塊或多塊安全插卡實現(xiàn)性能的平滑疊加。而且所有安全插卡均支持熱插拔，在進行擴展時無需停機中斷現(xiàn)有的業(yè)務(wù)。網(wǎng)絡(luò)資源池設(shè)計云計算數(shù)據(jù)中心大多采用“扁平化”網(wǎng)絡(luò)架構(gòu)設(shè)計“核心+接入”兩層網(wǎng)

7、絡(luò)架構(gòu)。這種扁平化的兩層網(wǎng)絡(luò)架構(gòu)便于虛擬機間的二層互通，易于全網(wǎng)虛擬機的部署和遷移的實現(xiàn)。相比傳統(tǒng)三層架構(gòu)，扁平化的兩層網(wǎng)絡(luò)架構(gòu)可以大大簡化網(wǎng)絡(luò)的運維與管理?；A(chǔ)網(wǎng)絡(luò)平臺架構(gòu)如下圖所示：數(shù)據(jù)中心網(wǎng)絡(luò)邏輯架構(gòu)圖核心層作為網(wǎng)絡(luò)的二、三層邊界網(wǎng)絡(luò)安全設(shè)備部署在核心層接入層采用二層部署，便于實現(xiàn)數(shù)據(jù)中心內(nèi)部大二層組網(wǎng)在接入層構(gòu)建計算和存儲資源池，滿足資源池內(nèi)虛擬機可在任意位置的物理服務(wù)器上遷移整網(wǎng)采用分層分區(qū)設(shè)計思路：根據(jù)業(yè)務(wù)進行分區(qū)，分成計算區(qū)、存儲區(qū)和管理區(qū)。具體組網(wǎng)拓撲如下圖所示：數(shù)據(jù)中心網(wǎng)絡(luò)拓撲圖核心層：采用2臺核心交換機冗余組網(wǎng)。兩臺核心交換機分別通過10GE鏈路與接入層交換機相連；通過GE

8、鏈路與管理網(wǎng)交換機和出口路由器互連。兩臺核心交換機部署交換機虛擬化技術(shù)（多虛一），能將兩臺核心交換機虛擬化為一臺邏輯設(shè)備。為了提升可靠性，虛擬化后的兩臺核心交換機間應(yīng)支持跨設(shè)備的鏈路聚合功能。另外，數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)備采用融合部署方式在核心交換機上進行插卡式部署。接入層：接入交換機與核心交換機之間采用10GE鏈路交叉互連。兩臺接入交換機部署虛擬化技術(shù)，能將兩臺核心交換機虛擬化為一臺邏輯設(shè)備。為了提升可靠性，虛擬化后的邏輯交換機與核心交換機實現(xiàn)跨設(shè)備鏈路捆綁，從而消除二層環(huán)路，并實現(xiàn)捆綁后的鏈路負載分擔(dān)。要求接入交換機支持EVB標準，以便于虛擬機接入時的網(wǎng)絡(luò)部署。管理網(wǎng)：可以采用1臺交換機設(shè)備，

9、分別連接服務(wù)器的iLO接口實現(xiàn)服務(wù)器的帶外管理。同時與網(wǎng)管服務(wù)器、云平臺管理服務(wù)器互連。上行采用2*GE鏈路與兩臺核心交換機互連，并實現(xiàn)鏈路捆綁。有條件的地區(qū)，可以也可以采用雙設(shè)備冗余組網(wǎng)。存儲網(wǎng)：存儲推薦采用SAN存儲技術(shù)部署。對于IP SAN，采用10GE鏈路分別與服務(wù)器和存儲相連接。對于FC SAN采用FC交換機進行連接。分層網(wǎng)絡(luò)設(shè)計核心層核心層2臺核心交換機冗余部署。負責(zé)整個云計算平臺上應(yīng)用業(yè)務(wù)數(shù)據(jù)的高速交換。兩臺核心交換機分別與兩臺服務(wù)器接入?yún)^(qū)交換機間呈“三角形”型連接，與現(xiàn)網(wǎng)出口區(qū)路由器呈“口”字型連接，一臺管理區(qū)接入交換機雙上行分別與兩臺核心交換機連接。核心交換機間及與服務(wù)器接入

10、交換機、管理區(qū)接入交換機、現(xiàn)網(wǎng)核心路由器間均采用萬兆接口捆綁互聯(lián)。核心交換機上部署防火墻插卡和網(wǎng)流分析插卡，實現(xiàn)云計算業(yè)務(wù)的安全防護與流量分析。兩臺核心交換機部署虛擬化技術(shù)，能將兩臺核心交換機虛擬化為一臺邏輯設(shè)備，簡化路由協(xié)議運行狀態(tài)與運維管理。同時大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。兩臺核心交換機間的互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。核心層網(wǎng)絡(luò)架構(gòu)如下圖所示：核心層網(wǎng)絡(luò)架構(gòu)圖接入層如下圖所示，云數(shù)據(jù)中心接入層網(wǎng)絡(luò)分為計算資源池、存儲資源池和管理區(qū)接入三大部分：接入層網(wǎng)絡(luò)架構(gòu)圖計算資源池接入：兩臺云接入交換機冗余部署，負責(zé)x86服務(wù)器的網(wǎng)絡(luò)接入，每臺服務(wù)器

11、配置4個千兆接口，其中兩個千兆接口捆綁做業(yè)務(wù)流接口，雙網(wǎng)卡采用捆綁雙活模式；另外兩個千兆接口捆綁做虛擬機管理流接口，雙網(wǎng)卡采用捆綁雙活模式。兩臺接入交換機部署虛擬化技術(shù)，能將兩臺核心交換機虛擬化為一臺邏輯設(shè)備，通過跨設(shè)備鏈路捆綁消除二層環(huán)路、簡化管理，同時大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。兩臺接入交換機之間互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。存儲資源池接入：存儲推薦采用SAN存儲技術(shù)部署。對于IP SAN，采用10GE鏈路分別與服務(wù)器和存儲相連接。對于FC SAN采用FC交換機進行連接。管理區(qū)接入：采用一臺千兆交換機，與x86服務(wù)器的iLO口以及自帶的千兆

12、網(wǎng)卡口互連，同時與網(wǎng)管服務(wù)器、云平臺服務(wù)器互連，上行接口采用兩個GE鏈路分別與兩臺核心交換機互連。服務(wù)器接入設(shè)計由于目前主流的服務(wù)器均配置2塊或以上的網(wǎng)卡，因此在考慮服務(wù)器接入時，通過配置多網(wǎng)卡上行的方式，不但能夠?qū)崿F(xiàn)服務(wù)器網(wǎng)卡的冗余備份，還能夠?qū)崿F(xiàn)多網(wǎng)卡流量的負載分擔(dān)。方式一：冗余備份如圖所示，服務(wù)器通過雙網(wǎng)卡的方式，分別與2臺服務(wù)器接入交換機互聯(lián)，正常情況下服務(wù)器的流量通過Eth0接口上行，而Eth1接口則處于standy狀態(tài)，當(dāng)Eth0端口發(fā)生故障時，則所有流量走向Eth1接口。該服務(wù)器接入方比較常見，最大的問題在于服務(wù)器正常的工作端口只有1個，另外一個端口處于閑置狀態(tài)，服務(wù)器性能達不到

13、最優(yōu)。方式二：負載分擔(dān)如圖所示，服務(wù)器通過雙網(wǎng)卡的方式，分別與2臺服務(wù)器接入交換機互聯(lián)，但是2塊網(wǎng)卡的工作模式均為active，并配置網(wǎng)卡聚合；2臺服務(wù)器接入交換機配置虛擬化功能，虛擬化為1臺設(shè)備，也配置端口聚合。從邏輯上看，服務(wù)器通過雙網(wǎng)卡的方式，與1臺邏輯交換機互聯(lián)，2塊網(wǎng)卡同時傳輸數(shù)據(jù)。對于網(wǎng)卡聚合方式，采用服務(wù)器接入交換機虛擬化是最好的方案。一方面提高的服務(wù)器的可用性和出口帶寬，另一方面提高了網(wǎng)絡(luò)接入的可用性。這種組網(wǎng)是在數(shù)據(jù)中心方案中重點推薦的。虛擬機交換網(wǎng)絡(luò)服務(wù)器虛擬化技術(shù)的出現(xiàn)使得計算服務(wù)提供不再以主機為基礎(chǔ)，而是以虛擬機為單位來提供，同時為了滿足同一物理服務(wù)器內(nèi)虛擬機之間的數(shù)據(jù)

14、交換需求，服務(wù)器內(nèi)部引入了網(wǎng)絡(luò)功能部件虛擬交換機vSwitch（Virtual Switch），如下圖所示，虛擬交換機提供了虛擬機之間、虛擬機與外部網(wǎng)絡(luò)之間的通訊能力。IEEE的802.1標準中，正式將“虛擬交換機”命名為“Virtual Ethernet Bridge”，簡稱VEB，或稱vSwitch。虛擬機交換網(wǎng)絡(luò)架構(gòu)vSwitch的引入，給云計算數(shù)據(jù)中心的運行帶來了以下兩大問題：網(wǎng)絡(luò)界面的模糊主機內(nèi)分布著大量的網(wǎng)絡(luò)功能部件vSwitch，這些vSwitch的運行、部署為主機操作與維護人員增加了巨大的額外工作量，在云計算數(shù)據(jù)中心通常由主機操作人員執(zhí)行，這形成了專業(yè)技能支撐的不足，而網(wǎng)絡(luò)操作

15、人員一般只能管理物理網(wǎng)絡(luò)設(shè)備、無法操作主機內(nèi)vSwitch，這就使得大量vSwicth具備的網(wǎng)絡(luò)功能并不能發(fā)揮作用。此外，對于服務(wù)器內(nèi)部虛擬機之間的數(shù)據(jù)交換，在vSwitch內(nèi)有限執(zhí)行，外部網(wǎng)絡(luò)不可見，不論在流量監(jiān)管、策略控制還是安全等級都無法依賴完備的外部硬件功能實現(xiàn)，這就使得數(shù)據(jù)交換界面進入主機后因為vSwitch的功能、性能、管理弱化而造成了高級網(wǎng)絡(luò)特性與服務(wù)的缺失。虛擬機的不可感知性物理服務(wù)器與網(wǎng)絡(luò)的連接是通過鏈路狀態(tài)來體現(xiàn)的，但是當(dāng)服務(wù)器被虛擬化后，一個主機內(nèi)同時運行大量的虛擬機，而此前的網(wǎng)絡(luò)面對這些虛擬機的創(chuàng)建與遷移、故障與恢復(fù)等運行狀態(tài)完全不感知，同時對虛擬機也無法進行實時網(wǎng)絡(luò)定

16、位，當(dāng)虛擬機遷移時網(wǎng)絡(luò)配置也無法進行實時地跟隨，雖然有些數(shù)據(jù)鏡像、分析偵測技術(shù)可以局部感知虛擬機的變化，但總體而言目前的虛擬機交換網(wǎng)絡(luò)架構(gòu)無法滿足虛擬化技術(shù)對網(wǎng)絡(luò)服務(wù)提出的要求。為了解決上述問題， 解決思路是將虛擬機的所有流量都引至外部接入交換機，此時因為所有的流量均經(jīng)過物理交換機，因此與虛擬機相關(guān)的流量監(jiān)控、訪問控制策略和網(wǎng)絡(luò)配置遷移問題均可以得到很好的解決，此方案最典型的代表是EVB標準。802.1Qbg Edge Virtual Bridging（EVB）是由IEEE 802.1工作組制定一個新標準，主要用于解決vSwtich的上述局限性，其核心思想是：將虛擬機產(chǎn)生的網(wǎng)絡(luò)流量全部交給與服

17、務(wù)器相連的物理交換機進行處理，即使同一臺物理服務(wù)器虛擬機間的流量，也將發(fā)往外部物理交換機進行查表處理，之后再180度調(diào)頭返回到物理服務(wù)器，形成了所謂的“發(fā)卡彎”轉(zhuǎn)發(fā)模式，如下圖所示：EVB標準具有如下的技術(shù)特點：1、借助發(fā)卡彎轉(zhuǎn)發(fā)機制將外網(wǎng)交換機上的眾多網(wǎng)絡(luò)控制策略和流量監(jiān)管特性引入到虛擬機網(wǎng)絡(luò)接入層，不但簡化了網(wǎng)卡的設(shè)計，而且充分利用了外部交換機專用ASIC芯片的處理能力、減少了虛擬網(wǎng)絡(luò)轉(zhuǎn)發(fā)對CPU的開銷；2、充分利用外部交換機既有的控制策略特性（ACL、QOS、端口安全等）實現(xiàn)整網(wǎng)端到端的策略統(tǒng)一部署；3、充分利用外部交換機的既有特性增強了虛擬機流量監(jiān)管能力，如各種端口流量統(tǒng)計，Netst

18、ream、端口鏡像等。EVB標準中定義了虛擬機與網(wǎng)絡(luò)之間的關(guān)聯(lián)標準協(xié)議，使得虛擬機在變更與遷移時通告網(wǎng)絡(luò)及網(wǎng)管系統(tǒng)，從而可以借助此標準實現(xiàn)數(shù)據(jù)中心全網(wǎng)范圍的網(wǎng)絡(luò)配置變更自動化工作，使得大規(guī)模的虛擬機云計算服務(wù)運營部署自動化能夠?qū)崿F(xiàn)。層次化的安全防護設(shè)計云計算數(shù)據(jù)中心應(yīng)該構(gòu)建層次化的安全防護體系。包括：主機安全、網(wǎng)絡(luò)安全、業(yè)務(wù)安全。安全設(shè)計時應(yīng)參照國家相應(yīng)的技術(shù)標準來進行設(shè)計，保證數(shù)據(jù)中心業(yè)務(wù)安全；安全部署時，可以根據(jù)情況分步進行。安全域的劃分與功能分區(qū)保持一致，確保對應(yīng)關(guān)系安全域之間采用防火墻進行隔離，入方向策略控制，確保配置簡單、清晰；對于多個服務(wù)器群組位于同一功能區(qū)的，采用虛擬防火墻或AC

19、L控制安全域內(nèi)部的服務(wù)器之間采用VLAN隔離，需要三層控制的可采用ACL雙活數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計傳統(tǒng)的災(zāi)備數(shù)據(jù)中心建設(shè)最多只能實現(xiàn)暖備，平時只有主中心對外提供業(yè)務(wù)，備中心一直處于閑置狀態(tài)，當(dāng)災(zāi)難發(fā)生時，通過管理人員手工進行切換，這樣有可能導(dǎo)致備中心網(wǎng)絡(luò)不可用，業(yè)務(wù)中斷時間長等問題，所以當(dāng)前雙中心建設(shè)都是以建設(shè)雙活數(shù)據(jù)中心為目標。雙活數(shù)據(jù)中心建設(shè)是一個復(fù)雜的工作，它首先需要網(wǎng)絡(luò)層面能夠?qū)崿F(xiàn)雙活，其次是數(shù)據(jù)庫雙活和存儲雙活，數(shù)據(jù)庫和存儲廠商都有相應(yīng)的雙活解決方案，這里重點介紹網(wǎng)絡(luò)雙活。雙活數(shù)據(jù)中心架構(gòu)要建設(shè)雙活數(shù)據(jù)中心，有幾個關(guān)鍵的步驟，如下圖所示：雙活數(shù)據(jù)中心分層架構(gòu)入口選擇：在各中心出口路由器各旁

20、掛兩臺GLSB，GLSB之間通過內(nèi)部協(xié)議實現(xiàn)GSLB集群，通過把相同域名解析成不同的IP實現(xiàn)全局負載分擔(dān)。二層互聯(lián)：通過EVI技術(shù)實現(xiàn)跨中心的二層互聯(lián)，每臺匯聚交換機都通過二層直連網(wǎng)絡(luò)直連到兩臺EVI交換機，同中心的兩臺EVI交換機作虛擬化虛擬成一臺EVI設(shè)備提高可靠性。通過二層互聯(lián)實現(xiàn)虛擬機的跨中心遷移、虛擬機 集群、服務(wù)器集群、SLB集群等技術(shù)。業(yè)務(wù)健康探測：每個業(yè)務(wù)區(qū)內(nèi)旁掛兩臺SLB設(shè)備進行本區(qū)域服務(wù)器以及業(yè)務(wù)的健康探測和負載均衡，當(dāng)某個業(yè)務(wù)故障后能夠通過SLB快速探測到并通知GSLB進行業(yè)務(wù)切換，如果是基于IP的業(yè)務(wù)發(fā)布，則直接通過SLB進行健康路由發(fā)布，兩中心相同業(yè)務(wù)區(qū)的SLB通過E

21、VI網(wǎng)絡(luò)實現(xiàn)集群部署。存儲互聯(lián)：如果存儲采用IP SAN，則該網(wǎng)絡(luò)可以復(fù)用EVI網(wǎng)絡(luò)，要求增加相應(yīng)的二層互聯(lián)帶寬，如果是FC網(wǎng)絡(luò)，則需要通過裸光纖或者SDH、DWDM鏈路實現(xiàn)雙中心的存儲互聯(lián)。在公安云項目中，需要實現(xiàn)雙活的業(yè)務(wù)系統(tǒng)可以分為對外系統(tǒng)和對內(nèi)系統(tǒng)，對外系統(tǒng)主要是提供公眾訪問以及外聯(lián)訪問請求，對內(nèi)系統(tǒng)主要就是公安系統(tǒng)內(nèi)部業(yè)務(wù)，由于安全控制原因，這兩類業(yè)務(wù)部署在不同的安全區(qū)域，雙活系統(tǒng)建設(shè)也不完全一樣，如下圖所示： 對公業(yè)務(wù)系統(tǒng)一般部署在互聯(lián)網(wǎng)出口的DMZ區(qū)，所以這部分業(yè)務(wù)的雙活設(shè)計要求出口路由器旁掛GSLB實現(xiàn)多中心的負載分擔(dān)，匯聚交換機旁掛SLB實現(xiàn)業(yè)務(wù)系統(tǒng)的健康探測，匯聚交換機通過

22、防火墻與DCI設(shè)備互聯(lián)，DCI設(shè)備之間運行EVI協(xié)議實現(xiàn)數(shù)據(jù)中心間的二層互聯(lián)。公安系統(tǒng)內(nèi)部業(yè)務(wù)系統(tǒng)實現(xiàn)雙活，在廣域網(wǎng)出口路由器旁掛GSLB，在各業(yè)務(wù)區(qū)匯聚設(shè)備上旁掛SLB，各業(yè)務(wù)區(qū)匯聚交換機二層連接DCI設(shè)備（如果安全要求高，對公業(yè)務(wù)和對內(nèi)部業(yè)務(wù)使用獨立的DCI設(shè)備），DCI設(shè)備之間運行EVI協(xié)議實現(xiàn)數(shù)據(jù)中心間的二層互聯(lián)。多中心二層互聯(lián)網(wǎng)絡(luò)設(shè)計數(shù)據(jù)中心間通常部署以下三種互聯(lián)鏈路，每種互聯(lián)鏈路所承載的數(shù)據(jù)不同，實現(xiàn)的功能不同，并且這三種鏈路在邏輯上相互隔離。網(wǎng)絡(luò)三層互聯(lián)。也稱為數(shù)據(jù)中心前端網(wǎng)絡(luò)互聯(lián)，所謂“前端網(wǎng)絡(luò)”是指數(shù)據(jù)中心面向企業(yè)園區(qū)網(wǎng)或企業(yè)廣域網(wǎng)的出口。不同數(shù)據(jù)中心（主中心、災(zāi)備中心）的前

23、端網(wǎng)絡(luò)通過IP技術(shù)實現(xiàn)互聯(lián)，園區(qū)或分支的客戶端通過前端網(wǎng)絡(luò)訪問各數(shù)據(jù)中心。當(dāng)主數(shù)據(jù)中心發(fā)生災(zāi)難時，前端網(wǎng)絡(luò)將實現(xiàn)快速收斂，客戶端通過訪問災(zāi)備中心以保障業(yè)務(wù)連續(xù)性。網(wǎng)絡(luò)二層互聯(lián)。也稱為數(shù)據(jù)中心服務(wù)器網(wǎng)絡(luò)互聯(lián)。在不同的數(shù)據(jù)中心服務(wù)器網(wǎng)絡(luò)接入層，構(gòu)建一個跨數(shù)據(jù)中心的大二層網(wǎng)絡(luò)（VLAN），以滿足服務(wù)器集群或虛擬機動態(tài)遷移等場景對二層網(wǎng)絡(luò)接入的需求。SAN互聯(lián)。也稱為后端存儲網(wǎng)絡(luò)互聯(lián)。借助傳輸技術(shù)（DWDM、SDH等）實現(xiàn)主中心和災(zāi)備中心間磁盤陣列的數(shù)據(jù)復(fù)制。數(shù)據(jù)中心間網(wǎng)絡(luò)二層互聯(lián)的應(yīng)用場景有以下兩種。服務(wù)器高可用集群服務(wù)器集群（Cluster），是借助集群軟件將網(wǎng)絡(luò)上的多臺服務(wù)器關(guān)聯(lián)在一起，提供一致

24、的服務(wù)，對外表現(xiàn)為一臺邏輯服務(wù)器。多數(shù)廠商（HP、IBM、微軟、Veritas等）的集群軟件需要各服務(wù)器間采用二層網(wǎng)絡(luò)互連。將集群中的服務(wù)器部署于不同數(shù)據(jù)中心，可實現(xiàn)跨數(shù)據(jù)中心的應(yīng)用系統(tǒng)容災(zāi)。服務(wù)器集群互聯(lián)通常需要部署兩個二層網(wǎng)絡(luò)，如下圖所示。服務(wù)器集群高可用集群集群軟件進程間通信（心跳、會話同步）網(wǎng)絡(luò)，用于保持和控制主控節(jié)點的狀態(tài)，這個網(wǎng)絡(luò)上的IP地址不會通過數(shù)據(jù)中心前端網(wǎng)絡(luò)發(fā)布出去。集群公共通信網(wǎng)絡(luò)，也就是集群虛IP的接入網(wǎng)絡(luò)。虛擬IP是集群對外提供服務(wù)的地址，類似與路由器上配置VRRP功能時的虛IP，該地址將通過數(shù)據(jù)中心前端網(wǎng)絡(luò)向外發(fā)布。服務(wù)器搬遷和虛擬機動態(tài)遷移對數(shù)據(jù)中心進行擴建或搬遷時，需要將物理服務(wù)器從一個數(shù)據(jù)中心遷至另一個數(shù)據(jù)中心。在此過程中，考慮以下兩個因素，需要在數(shù)據(jù)中心間構(gòu)建二層互聯(lián)網(wǎng)絡(luò)。當(dāng)服務(wù)器被遷至新機房，若未構(gòu)建新老中心間的二層互聯(lián)網(wǎng)絡(luò)，則面臨重新規(guī)劃新中心服務(wù)器IP地址的問題。同時還需修改DNS，或修改客戶端應(yīng)用程序配置的服務(wù)器IP。因此，構(gòu)建跨中心的二層互聯(lián)網(wǎng)絡(luò)可保留被遷移服務(wù)器的IP地址，進而簡化遷移過程。在服務(wù)器搬遷期間，經(jīng)常在給定的時間內(nèi)，只能將服務(wù)器群的一部分服務(wù)器遷至新中心，為保證業(yè)務(wù)連續(xù)性，需建立跨中心的服務(wù)器集群，因此構(gòu)建跨越中心的二層互聯(lián)網(wǎng)絡(luò)可實現(xiàn)服務(wù)器平