數(shù)據(jù)中心處理方案

序言

數(shù)據(jù)中心(DataCenter,DC)是數(shù)據(jù)大集中而形成集成IT應(yīng)用環(huán)境，是多種IT應(yīng)用業(yè)務(wù)

提供中心，是數(shù)據(jù)計算、網(wǎng)絡(luò)傳輸、存放中心。數(shù)據(jù)中心實現(xiàn)了IT基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用、數(shù)據(jù)

統(tǒng)一、安全策略統(tǒng)一布署和運維管理。

數(shù)據(jù)中心是目前運行商和各行業(yè)IT建設(shè)關(guān)鍵。運行商、大型企業(yè)、金融證券、政府、能源、

電力、交通、教育、制造業(yè)、網(wǎng)站和電子商務(wù)企業(yè)等正在進(jìn)行或已完成數(shù)據(jù)中心建設(shè)，經(jīng)過數(shù)

據(jù)中心建設(shè)，實現(xiàn)對IT信息系統(tǒng)整合和集中管理，提升內(nèi)部運行和管理效率和對外服務(wù)水平，

同時降低IT建設(shè)TCO。

H3c長久致力于IP技術(shù)司產(chǎn)品研究、開發(fā)、生產(chǎn)、銷售及服務(wù)。H3c不僅擁有全線以太網(wǎng)交

換機和路由器產(chǎn)品，還在網(wǎng)絡(luò)安全、IP存放、IP監(jiān)控、語音視訊、WLAN、SOHO及軟件管理系

統(tǒng)等領(lǐng)域穩(wěn)健成長?，F(xiàn)在，網(wǎng)絡(luò)產(chǎn)品中國市場份額第一，安全產(chǎn)品中國市場份額位居三甲，IP

存放亞太市場份額第一，IP監(jiān)控技術(shù)全球領(lǐng)先，H3c已經(jīng)從單一網(wǎng)絡(luò)設(shè)備供給商轉(zhuǎn)變?yōu)槎喈a(chǎn)品

IToIP處理方案供給商。

H3c長久保持對數(shù)據(jù)中心領(lǐng)域關(guān)注，連續(xù)投入力量于數(shù)據(jù)中心處理方案研發(fā)，融合了網(wǎng)絡(luò)、

安全、IP存放、軟件管理系統(tǒng)、IP監(jiān)控等產(chǎn)品基于IToIP架構(gòu)數(shù)據(jù)中心處理方案，有效地處理了

用戶在數(shù)據(jù)中心建設(shè)中碰到多種難題，已經(jīng)在各行各業(yè)數(shù)據(jù)中心建設(shè)中廣泛應(yīng)用。

基TH3c在數(shù)據(jù)通信領(lǐng)域K久研發(fā)和技術(shù)積累，縱觀數(shù)據(jù)中心發(fā)展歷程，數(shù)據(jù)中心發(fā)展可

分為四個層面：

數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)整合：

依據(jù)業(yè)務(wù)需求，基于開放標(biāo)準(zhǔn)IP協(xié)議，完成對企業(yè)現(xiàn)有異構(gòu)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)資源和1T

資源整合，處理怎樣建設(shè)數(shù)據(jù)中心問題。

數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)設(shè)計以功效分區(qū)、網(wǎng)絡(luò)分層和服務(wù)器分級為標(biāo)準(zhǔn)和特點。經(jīng)過多個

高可用技術(shù)和良好網(wǎng)絡(luò)設(shè)計，實現(xiàn)數(shù)據(jù)中心可靠運行：確保業(yè)務(wù)永續(xù)性：

數(shù)據(jù)中心應(yīng)用智能：基于TCP/IP開放架構(gòu)，確保多種新業(yè)務(wù)和應(yīng)用在數(shù)據(jù)中心基礎(chǔ)

體系架構(gòu)上平滑布署利升級，滿足用戶多變需求，確保數(shù)據(jù)中心連續(xù)服務(wù)和業(yè)務(wù)連續(xù)性。

多種應(yīng)用安全、優(yōu)化和集成能夠無縫布署在數(shù)據(jù)中心之上。

數(shù)據(jù)中心虛擬化：傳統(tǒng)應(yīng)用孤島式數(shù)據(jù)中心模型擴展性差，關(guān)鍵資源分配和業(yè)務(wù)應(yīng)

用發(fā)展出現(xiàn)不匹配，使得資源利用不均勻，造成運行成本提升、現(xiàn)有投資無法達(dá)成最優(yōu)化

利用、新業(yè)務(wù)布署難度增大、現(xiàn)有業(yè)務(wù)連續(xù)性得不到確保、安全方面臨威脅。虛擬

H3C數(shù)據(jù)中心處理方案網(wǎng)絡(luò)產(chǎn)品部

化經(jīng)過構(gòu)建共享資源池，實現(xiàn)對網(wǎng)絡(luò)資源、計算計算和存放資源多個管理、計劃和控制，

簡化管理維護(hù)、提升設(shè)備資源利用率、優(yōu)化業(yè)務(wù)步驟布署、降低維護(hù)成本。

數(shù)據(jù)中心資源智能：經(jīng)過智能化管理平臺實現(xiàn)對資源智能化管理，資源智能分配調(diào)

度，構(gòu)建高度智能、自動化數(shù)據(jù)中心。

1數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)整合

1.1數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)設(shè)計

伴隨業(yè)務(wù)快速發(fā)展，企業(yè)(泛指運行商、企業(yè)和行業(yè)用戶)業(yè)務(wù)應(yīng)用和數(shù)據(jù)正在從分散布

署走向大集中，作為業(yè)務(wù)承載體IT設(shè)施布署模型隨之發(fā)生翻天覆地改變，互聯(lián)互通已經(jīng)不能滿

足步驟整合后業(yè)務(wù)連續(xù)發(fā)展需求。

網(wǎng)絡(luò)是連接全部數(shù)據(jù)中心IT組件唯一通用實體，構(gòu)建堅實網(wǎng)絡(luò)基礎(chǔ)設(shè)施將為數(shù)據(jù)中心業(yè)務(wù)

永續(xù)、管理和運維提供保障。

通常來講，用戶業(yè)務(wù)可分為多個子系統(tǒng)，相互之間會有數(shù)據(jù)共享、業(yè)務(wù)互訪、數(shù)據(jù)訪問控

制和隔離需求，依據(jù)業(yè)務(wù)相關(guān)性和步驟需要，需要采取模塊化設(shè)計，實現(xiàn)低耦合、高內(nèi)聚，確

保系統(tǒng)和數(shù)據(jù)安全性、可靠性、靈活擴展性、易于管理。

數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)設(shè)計標(biāo)準(zhǔn)為分區(qū)、分層和分級設(shè)計。

一、數(shù)據(jù)中心分區(qū)設(shè)計標(biāo)準(zhǔn)

分區(qū)，即把用戶整個IT系統(tǒng)根據(jù)關(guān)聯(lián)性、管理等方面需求劃分為多個業(yè)務(wù)板塊系統(tǒng)，而每

個系統(tǒng)有自己單獨關(guān)鍵交換，服務(wù)器，安全邊界設(shè)備等，需要逐層訪問控制，良好邏輯分區(qū)設(shè)

計和安全域劃分成為數(shù)據(jù)中心網(wǎng)絡(luò)必備基礎(chǔ)。

依據(jù)企業(yè)本身特點,依據(jù)業(yè)務(wù)系統(tǒng)相關(guān)性、數(shù)據(jù)流訪問要求和系統(tǒng)安全控制要求等，能夠

把數(shù)據(jù)中心服務(wù)器和業(yè)務(wù)系統(tǒng)分成內(nèi)網(wǎng)區(qū)(Intranet),外聯(lián)區(qū)(Exlranet)和互聯(lián)網(wǎng)區(qū)(Internet)

等，并在此基礎(chǔ)上對業(yè)務(wù)步驟進(jìn)行深入細(xì)化。

H3C數(shù)據(jù)中心處理方案

IntranetIX

企業(yè)內(nèi)部訪問數(shù)據(jù)中心區(qū)域，通常稱為內(nèi)網(wǎng)區(qū)，對外部網(wǎng)絡(luò)不可見。

Extranet|X

企業(yè)提供給合作伙伴訪問數(shù)據(jù)中心區(qū)域，通常稱為外關(guān)區(qū)；經(jīng)過VPN接入實現(xiàn)對服務(wù)端群

訪問和不一樣企業(yè)隔離。

InternetR

企業(yè)提供給internet用戶訪問數(shù)據(jù)中心區(qū)域，也常稱為DMZ區(qū)，外部用戶經(jīng)過公網(wǎng)訪問，通

常就是放在企業(yè)門戶網(wǎng)站服務(wù)器群。

二、數(shù)據(jù)中心分層設(shè)計標(biāo)準(zhǔn)

分層關(guān)鍵是依據(jù)內(nèi)外部分流標(biāo)準(zhǔn)，把數(shù)據(jù)中心網(wǎng)絡(luò)分成標(biāo)準(zhǔn)關(guān)鍵層、匯聚層和接入層三層

結(jié)構(gòu)。服務(wù)器和業(yè)務(wù)系統(tǒng)之間流量大部分在單個功效分區(qū)內(nèi)部，不需要經(jīng)過關(guān)鍵：分區(qū)之間流

量才經(jīng)過關(guān)鍵，而且在每個分區(qū)匯聚層交換機上做互訪控制策略會更輕易、對關(guān)鍵壓力會愈加

好、故障影響范圍更小、故障恢復(fù)愈加快。

關(guān)鍵層

關(guān)鍵層提供多個數(shù)據(jù)中心匯聚模塊互聯(lián)，并連接園區(qū)網(wǎng)關(guān)鍵；要求其含有高交換能力和突

發(fā)流量適應(yīng)能力；大型數(shù)據(jù)中心關(guān)鍵要求多匯聚模塊擴展能力，中小型數(shù)據(jù)中心共用園區(qū)關(guān)鍵;

目前以10GE接II為主，高性能要求4-810GE捆綁。

匯聚層

為服務(wù)器群(serverfam)對外提供高帶寬出口；要求提供大密度GE/IOGE端口實現(xiàn)接入層

互聯(lián)；含有較多槽位數(shù)提供增值業(yè)務(wù)模塊布署。

網(wǎng)絡(luò)產(chǎn)品部口接入層

H3C數(shù)據(jù)中心處理方案

支持高密度千兆接入、萬兆接入；接入總帶寬和上行帶寬存在收斂比、線速兩種模式；基

于機架考慮，1RU更具靈活布署能力；支持堆疊，更具擴展能力；上行雙鏈路冗余能力。

業(yè)界主流做法是在匯聚層布署各類安全、應(yīng)用優(yōu)化業(yè)務(wù)，如在交換機上集成防火墻、負(fù)我

均衡、應(yīng)用加速板卡。

三、服務(wù)器接入分級設(shè)計標(biāo)準(zhǔn)

現(xiàn)在應(yīng)用訪問架構(gòu)已經(jīng)逐步由傳統(tǒng)用戶機/服務(wù)器（簡稱C/S）架構(gòu)向瀏覽器/服務(wù)器：簡稱

B/S）變遷，B/S應(yīng)用訪問架構(gòu)要求采取三級服務(wù)器架構(gòu)，從整體來看包含三個層次：

0Web層

負(fù)責(zé)應(yīng)用界面提供，接收用戶端請求并返網(wǎng)最終止果，是業(yè)務(wù)系統(tǒng)和數(shù)據(jù)對外界面。如ns、

Apache服務(wù)器等等。

DApplication層

負(fù)責(zé)數(shù)據(jù)計算、業(yè)務(wù)步驟整合，如常見WcbLogic、J2EE等中間件技術(shù)。

□Database層

負(fù)責(zé)數(shù)據(jù)存放，供業(yè)務(wù)系統(tǒng)進(jìn)行讀寫和隨機調(diào)用。如MSSQLServer、Oracle9i.IBMDB2

等等。

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案

三級之間經(jīng)過交換網(wǎng)絡(luò)互連，層層安全保護(hù)，形成結(jié)構(gòu)清楚易于布署服務(wù)器接入架構(gòu)。三

級之間互連又分成縱向和扁平兩種結(jié)構(gòu)。縱向結(jié)構(gòu)清楚、管理簡單，扁平結(jié)構(gòu)節(jié)省投資。

四、H3c數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)設(shè)計優(yōu)勢

安全性好

輕易明確不一樣網(wǎng)絡(luò)區(qū)域之間安全關(guān)系，能夠單獨對每個區(qū)域進(jìn)行安全實施，不會對其

它區(qū)域造成影響。

擴展性好

可依據(jù)不一樣區(qū)域和層次功效按需建設(shè)，業(yè)務(wù)布署靈活，能夠很方便增加新ServerFarm區(qū),

而不改變原有網(wǎng)絡(luò)結(jié)構(gòu)。

提升可用性

能夠最大程度隔離故障域，簡化數(shù)據(jù)路徑，加緊故障收斂時間。

易管理

網(wǎng)絡(luò)結(jié)構(gòu)清楚，日常運維變得愈加簡單，問題定位輕易。

12數(shù)據(jù)中心高可用處理方案

伴隨市場競爭日益加劇，用戶對信息系統(tǒng)依靠性和要求越來越高，確保數(shù)據(jù)中心高可用性,

提供7X二十四小時網(wǎng)絡(luò)服務(wù)成為建網(wǎng)首要目標(biāo)，也是數(shù)據(jù)中心建設(shè)關(guān)注第一要素。

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案

造成網(wǎng)絡(luò)不可用，即網(wǎng)絡(luò)故障原因關(guān)健有兩類：

1.不可控原因，如自然災(zāi)難、戰(zhàn)爭、大停電、人為破壞等

經(jīng)過建設(shè)生產(chǎn)中心、當(dāng)?shù)貍浞葜行摹惖厝轂?zāi)中心，即“兩地三中心”模式，經(jīng)過良好整體

計劃設(shè)計，確保不可控原因影響下數(shù)據(jù)中心高可用。

2.可控原因，如設(shè)備故障、鏈路故障、網(wǎng)絡(luò)擁塞、維護(hù)誤操作、惡意攻擊等。

H3c在相關(guān)產(chǎn)品設(shè)計上考慮了很多原因，提供了全系列處理方案，包含物理設(shè)備、鏈路層、

IP層、傳輸層和應(yīng)用層，全方位提升網(wǎng)絡(luò)可用性。

D硬件設(shè)備冗余，如設(shè)備雙主控、單板熱插拔、冗余電源、冗余風(fēng)扇。

0物理鏈路冗余，如以太網(wǎng)鏈路聚合等。

D環(huán)網(wǎng)技術(shù)，如：RPR、RRPP等技術(shù)。

0二層路徑冗余，如：MSTP、SmartLinko

□三層路徑冗余，如：VRRP、ECMP、動態(tài)路由快速收斂。

□快速故障檢測技術(shù)，如：BFD等。

D不間斷轉(zhuǎn)發(fā)技術(shù)，如GR等。

除了產(chǎn)品高可用性外，H3c在數(shù)據(jù)中心整體設(shè)計上提供完整高可用方案，具體可分為：服

務(wù)器接入高可用設(shè)計，接入層到匯聚高可用設(shè)計，匯聚層高可用設(shè)計。

一、服務(wù)器接入高可用設(shè)計

也稱服務(wù)器多網(wǎng)卡接入。為了實現(xiàn)接入高可用，服務(wù)器通常采取多鏈路上行，即服務(wù)器兩

塊甚至多網(wǎng)卡接入，服務(wù)器中網(wǎng)絡(luò)驅(qū)動程序?qū)蓧K或多塊網(wǎng)卡捆綁成一個虛擬網(wǎng)卡，假如一個

網(wǎng)卡失效，另一個網(wǎng)卡會接管它MAC地址，兩塊網(wǎng)卡使用一個IP地址，而且必需在同一廣播域,

即同一子網(wǎng)卜"服務(wù)器和接入交換機之間連接方法有多個方法：

網(wǎng)絡(luò)可用性從左至右依次升高。推薦采取第四種接入方法。第四種連接方法服務(wù)器采取交

換機容錯模式分別接入到兩臺機柜式交換機上，而且將VLANTrunk到兩臺設(shè)備上，實現(xiàn)服務(wù)器

高可靠接入。

二、接入到匯聚高可用設(shè)計

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案

接入到匯聚層共有四種連接方法，分別為倒U型接法、U型接法、三角型接法和矩形接法，

這里所謂不一樣類型接法是以二層鏈路作為評判依據(jù)，比如說矩形接法，從接入到接入，接入

到匯聚、匯聚到匯聚均為二層鏈路連接，所以形成了矩形二層鏈路接法。

H3c推薦三角型接法：

一鏈路冗余，路徑冗余，故障收斂時間最短。

-VLAN能夠跨匯聚層交換機，服務(wù)器布署靈活。

在實際布署中，還能夠依據(jù)實際情況選擇以下方案：

□H3CIRF(IntelligentResilientFramework),H3CIRF能夠?qū)崿F(xiàn)分布式設(shè)備管理、分布

式路由和跨設(shè)備鏈路聚合。布署H3cIRF,除了提升網(wǎng)絡(luò)可用性，降低單點故障影響，還

能夠：

一分布式處理二三層協(xié)議，極大提升網(wǎng)絡(luò)高性能。

一每組當(dāng)成一個邏輯Fabric,配置管理更高效。

一堆會組內(nèi)設(shè)備軟件版本同時升級，升級輕易。

一整個堆疊組設(shè)備支持熱插拔，靈活管理。

0接入和匯聚采取MSTP+VRRP：提升可用性，還能夠做到鏈路負(fù)載均衡。

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案網(wǎng)絡(luò)產(chǎn)品部

三、匯聚高可用性設(shè)計

1）匯聚交換設(shè)備之間VRRP；

2）安全、應(yīng)用優(yōu)化設(shè)備之間VRRP：能夠內(nèi)置或旁掛到匯聚交換機上（推薦旁掛，而不是串

連到網(wǎng)絡(luò)中，消除性能瓶頸）。利用HRP協(xié)議實現(xiàn)在Master和Backup防火墻設(shè)備之間備份關(guān)鍵配

置命令和會話表狀態(tài)信息備份。HRP協(xié)議承載在VGMP報文上。經(jīng)過指定負(fù)載均衡算法，對指

向服務(wù)器流量做負(fù)載均衡，確保服務(wù)器群能盡最大努力向外提供服務(wù)，提升服務(wù)器可用怛，提

升服務(wù)器群處理性能。

2數(shù)據(jù)中心應(yīng)用智能

2.1應(yīng)用智能數(shù)據(jù)中心模型

今天，WEB2.0大潮開始涌現(xiàn)，如Flickr、YouTuBe、BLOG、WIKkPODCAST,互聯(lián)網(wǎng)在

第一次泡沫迸裂后又重現(xiàn)生機。這些新應(yīng)用背后英雄就是WEB技術(shù)，假如講WEB1.0處理是“人

機交互界面標(biāo)準(zhǔn)化”問題，WEB2.0則更深入處理了“應(yīng)用數(shù)據(jù)交互標(biāo)準(zhǔn)化”問題，而WEB2.0技術(shù)

基礎(chǔ)是XML協(xié)議和一系列相關(guān)WEB技術(shù)。

Web2.0時代最大特點是每個人可成為數(shù)據(jù)提供者。在以后幾年內(nèi)，WEB應(yīng)用普及必將帶來

另外一個新標(biāo)準(zhǔn)化，那就是基于WEB技術(shù)應(yīng)用標(biāo)準(zhǔn)化，假如用OSI模型來描述話，則是會話層

和表示層標(biāo)準(zhǔn)化?！耙坏?biāo)掂化，即可網(wǎng)絡(luò)化”意味著這些標(biāo)準(zhǔn)化應(yīng)用處理功效將集成到網(wǎng)絡(luò)設(shè)

備中，新業(yè)務(wù)呼叫新應(yīng)用智能網(wǎng)絡(luò)。

企業(yè)業(yè)務(wù)和數(shù)據(jù)從分散布署走向大集中，數(shù)據(jù)中心數(shù)據(jù)量急劇膨脹，數(shù)據(jù)中心關(guān)鍵也受到

空前重視，應(yīng)用優(yōu)化、網(wǎng)絡(luò)安全、應(yīng)用安全設(shè)備大規(guī)模布署，融合了應(yīng)用安全、應(yīng)用優(yōu)化能力

應(yīng)用智能數(shù)據(jù)中心越來越受到用戶歡迎。順應(yīng)時尚發(fā)展，多業(yè)務(wù)集成交換機成為數(shù)據(jù)中心建設(shè)

必備組件。

應(yīng)用安全涵蓋：

0應(yīng)用層認(rèn)證、授權(quán)和審計

0應(yīng)用層加密（SSL）和集中PKI布署

0應(yīng)用層防火墻（HTTP/XML防火墻，SAML安全斷言標(biāo)識語言）

0應(yīng)用層內(nèi)容安全：病毒、入侵等等

應(yīng)用優(yōu)化涵蓋：

H3C數(shù)據(jù)中心處理方案

D應(yīng)用負(fù)載均衡

0基于硬件應(yīng)用緩存、壓縮和交換

0應(yīng)用協(xié)議優(yōu)化（HTTP/TCP協(xié)議優(yōu)化）

融合應(yīng)用安全、應(yīng)用優(yōu)化應(yīng)用智能數(shù)據(jù)中心模型：

2.2應(yīng)用智能之安全

數(shù)據(jù)中心承載著用戶關(guān)鍵業(yè)務(wù)和機密數(shù)據(jù)，同時為內(nèi)部、外部、合作伙伴等用戶提供業(yè)務(wù)

交互和數(shù)據(jù)交換，所以數(shù)據(jù)中心安全必需和業(yè)務(wù)系統(tǒng)實現(xiàn)觸合，而且能夠平滑布署在網(wǎng)絡(luò)中。

數(shù)據(jù)中心安全建設(shè)中關(guān)鍵思想之一就是層次化分級安全，把IT安全分成多個等級，劃分不一樣

安全域，這和數(shù)據(jù)中心對安全內(nèi)在要求是相輔相成。

在深入分析1T安全形勢基礎(chǔ)上，H3c提出基于狀態(tài)演進(jìn)安全模型，把1T安全分成：

0單機安全：單機安全強調(diào)權(quán)限管理、病毒防護(hù)、數(shù)據(jù)備份

0局部安全：局部安全強調(diào)遠(yuǎn)程接入、入侵檢測、安全融合、安全協(xié)作

0深度安全：深度安全強調(diào)容災(zāi)備份、深度抵御、安全審計、流量分析

0統(tǒng)安全：統(tǒng)安全強調(diào)風(fēng)險管理、企業(yè)內(nèi)控、統(tǒng)計劃、統(tǒng)管理

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案網(wǎng)絡(luò)產(chǎn)品部

伴隨安全狀態(tài)演進(jìn)，安全向著應(yīng)用智能安全方向發(fā)展。

在任何情況下，信息只存在于三種狀態(tài)之一：

□計算：計算是信息被創(chuàng)建、修改、刪除、查詢和深度處理過程。

0通訊：通訊是信息在不一樣環(huán)境之間和環(huán)境內(nèi)部傳輸過程。

□存放：信息被以某種形式臨時或永久性保留過程。

安全目標(biāo)就是在確保數(shù)據(jù)在這三種狀態(tài)下安全。

信息安全狀態(tài)決定安全策略，對于數(shù)據(jù)中心來講，信息安全策略包含訪問控制策略、補丁

管理策略、攻擊抵御策略、滲透抵御策略、病毒控制策略、流量控制策略、風(fēng)險管理策略。

安全分區(qū)

安全策略基礎(chǔ)是基于業(yè)務(wù)邏輯分區(qū)和安全域劃分，數(shù)據(jù)中心業(yè)務(wù)安全分區(qū)優(yōu)勢：

0增加新功效區(qū)更輕易

0不一樣區(qū)域可實施不一樣安全策略

□每個分區(qū)根據(jù)需求可獨立擴展

□發(fā)生故障易定位易詼復(fù)等優(yōu)點。

所以，根據(jù)分區(qū)思想，數(shù)據(jù)中心根據(jù)業(yè)務(wù)類型分為不一樣邏輯區(qū)域，每個分區(qū)制訂不

I可女全策略和信任模型，劃分為不一樣安全等級女全域。從實際布署上看，又分成：

0邊界訪問控制

D深度智能防御

□智能安全管理

1）邊界訪問控制

邊界控制對數(shù)據(jù)中心是最基礎(chǔ)要求，控制各類用戶對數(shù)據(jù)中心訪問。伴隨安全狀態(tài)演進(jìn)，

安全向著應(yīng)用智能安全方向發(fā)展。H3CSecBiadeH萬兆防火墻和關(guān)鍵、匯聚交換機實現(xiàn)多業(yè)務(wù)

集成，數(shù)據(jù)交互經(jīng)過背板直接進(jìn)行，含有高性能和高可靠雙重優(yōu)勢，避免交換機在線布署性能

瓶頸和單點故障：和防火墻旁掛布署方法相比，乂含有配置策略簡單、不改變數(shù)據(jù)轉(zhuǎn)發(fā)路徑、

流量轉(zhuǎn)發(fā)過程清楚、布署維護(hù)簡單等很多優(yōu)點。

2）深度智能防御

針對數(shù)據(jù)中心各類DDoS攻擊、木馬、黑客入侵層出不窮，傳統(tǒng)IDS產(chǎn)品只能對部分事件進(jìn)

行檢測，無法做到實時分析和防御，H3cIPS業(yè)界領(lǐng)先，以在線或旁路方法

H3C數(shù)據(jù)中心處理方案

布署在用戶網(wǎng)絡(luò)關(guān)鍵路徑上（能夠?qū)崿F(xiàn)在線防御，也可配置Layer2-back二層回退），經(jīng)過

對流經(jīng)該關(guān)鍵路徑上網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行2到7層深度分析，能正確、實時地識別并阻斷或限制黑客、

蠕蟲、病毒、木馬、DoS/DDoS,掃描、間諜軟件、協(xié)議異常，網(wǎng)絡(luò)釣魚、P2P、IM、網(wǎng)游等網(wǎng)

絡(luò)攻擊或網(wǎng)絡(luò)濫用，從而可為用戶網(wǎng)絡(luò)提供三大保護(hù)功效：保護(hù)網(wǎng)絡(luò)應(yīng)用、保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、

保護(hù)網(wǎng)絡(luò)性能。

H3CIPS系列產(chǎn)品還含有強大、實用帶寬管理和URL過渡功效，可為用戶帶來IPS之外更高

附加價值。

3）智能安全管理

數(shù)據(jù)中心除了大量網(wǎng)絡(luò)設(shè)備在運行外，更多是各類服務(wù)器、操作系統(tǒng)之間業(yè)務(wù)交互，海星

告警、監(jiān)控、SNMP、WM［等消息不停在網(wǎng)絡(luò)中傳輸，必需要要對這些安全事件、網(wǎng)絡(luò)事件、

系統(tǒng)事件、應(yīng)用事件進(jìn)行統(tǒng)一搜集和管理，并通智能化分析把原始數(shù)據(jù)轉(zhuǎn)換、篩選為智能安全

有效信息。H3cseceenter可管理近100家主流廠家安全和網(wǎng)絡(luò)產(chǎn)品、1000+種報表自動或手工生

成、流量和攻擊實時監(jiān)控、海量事件關(guān)聯(lián)和威脅分析、安全審計分析和追蹤溯源。

總而言之，H3c通訊安全目標(biāo)是提供面向業(yè)務(wù)端到端安全保障，覆蓋用戶端、網(wǎng)絡(luò)和數(shù)據(jù)

中心服務(wù)器和存放系統(tǒng)。

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案

2.3應(yīng)用智能之優(yōu)化

伴隨Internet和用戶業(yè)務(wù)不停發(fā)展，Web應(yīng)用已經(jīng)成為服務(wù)器關(guān)鍵數(shù)據(jù)處理任務(wù)。HTTP協(xié)

議用于在服務(wù)器和用戶端之間傳輸基于Web數(shù)據(jù)。TCP協(xié)議則為HTTP提供有保障連接和糾錯功

效。TCP即使是很理想傳輸機制，但它也存在缺點，在傳輸Web數(shù)據(jù)時，TCP協(xié)議消耗了大量資

源，造成服務(wù)器性能不佳。數(shù)據(jù)中心性能瓶頸H趨凸現(xiàn)，為了處理諸如這類性能問題，出現(xiàn)了

流量管理產(chǎn)品，比如能夠深度識別和管理P2P流量路由器，產(chǎn)品I：作在網(wǎng)絡(luò)層處理數(shù)據(jù)傳輸中應(yīng)

用優(yōu)化問題；負(fù)載均衡設(shè)備，產(chǎn)品目標(biāo)是處理服務(wù)器訪問瓶頸問題，不過這些產(chǎn)品不足以處理

數(shù)據(jù)中心應(yīng)用層性能問題，所以H3c應(yīng)用優(yōu)化設(shè)備應(yīng)運而生，它采取優(yōu)異連接管理技術(shù)進(jìn)行TCP

卸載和傳輸層端到端優(yōu)化，考慮到SSL、壓縮、加密等更多并發(fā)處理.，極大提升了數(shù)據(jù)中心數(shù)

據(jù)訪問性能。

GETA;GETB;GETCGETA;GETB;GETDGETC;GETD;GETEGETB;GETA;GETDGETC:GETD:GETEGETA:GETB;GETCGET

E;GETB：GETCGETF;GETE;GETGGETF;GETA;GETCGETA;GETB;GETCGETC;GETD;GETE服務(wù)器TCPSessionTCPSessionTCP

SessionTCPSessionTCPSesstonTCPSess?onTCPSessionTCPSessionTCPSessionTCPSessionTCPSession

H3csecPathASE系列產(chǎn)品是采取全硬件架構(gòu)（NP+FPGA）設(shè)計，經(jīng)過不一樣內(nèi)置硬件模

塊實現(xiàn)TCP優(yōu)化、內(nèi)容壓縮、負(fù)載均衡、SSL加速等技術(shù)，達(dá)成應(yīng)用加速目標(biāo)。使用ASE,能夠

為現(xiàn)在不堪重負(fù)數(shù)據(jù)中心減輕過重負(fù)載，同時ASE能夠依據(jù)數(shù)據(jù)中心具體需要，和其它產(chǎn)品配

合形成一體化處理方案。SecPathASE產(chǎn)品應(yīng)用場景以下圖所表示：

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案

ASE將web加速、SSL卸載和加速、壓縮、TCP優(yōu)化、負(fù)載均衡、防DDos攻擊等技術(shù)集成在

一個硬件平臺上，而且每個功效模塊全部是由專有硬件芯片運行。利用全硬件加速處理技術(shù)來

幫助企業(yè)提升應(yīng)用性能，最大可使Web服務(wù)器性能提升10倍。同時，SecPathASE還能夠提供高

可用性負(fù)載均衡、快速和超智能第4-7層交換、精細(xì)互.動控制和其它很多特征，為數(shù)據(jù)中心網(wǎng)絡(luò)

提供最好保護(hù)。

ASE在用戶端和服務(wù)器中間飾演了雙重角色，面對用戶端時，ASE表現(xiàn)為一個服務(wù)器：而

在面對服務(wù)器時，它表現(xiàn)為一個用戶端。面對用戶端時，ASE職責(zé)是處理全部用戶端連接，它

專注于處理由用戶端提議連接請求并維護(hù)這些連接；面對服務(wù)器時.，ASE創(chuàng)建了少許但長久連

接到服務(wù)器，并反復(fù)利用這些連接不停傳輸新對象數(shù)據(jù)。

GETA:GETB;GETCGETA;GETB;GETDGETC；GETD;GETEGETB;GETA;GETDGETC；GETD;GETEGETA;GETB;GET

CGETE;GETB;GETCGETF;GETE;GETGGETF;GETA;GETCGETA;GETB;GETCGETC；GETD;GETEGETA;GETB;GEFCGET

D;GETE;GETFGETD;GETD;GETCG=TB;GETBiGETFGETB;GETE;GETFGET3;GETA;GETB應(yīng)用加速服務(wù)器

ASE使用多種算法來判定何時需要建立一個新連接到服務(wù)滯，或已經(jīng)有連接何時需要延續(xù)。

使用ASE后，連接合并優(yōu)勢就表現(xiàn)出來了：

1)ASE處理了全部用戶端連接，服務(wù)器不再需要創(chuàng)建和釋放連接：

2)連接合并后，服務(wù)器只需要處理少許TCP會話；

3)ASE屏蔽了多種方法用戶端WAN接入，避免了服務(wù)器受到延遲、沖突、丟包等用戶端原

因影響；

4)ASE和服務(wù)器建立少許連接，傳輸大量對象，達(dá)成了最大資源利用。同時ASE和服務(wù)器

在一個局域網(wǎng)中，大大降低了用戶端到服務(wù)器延時，就仿佛將用戶端搬到服務(wù)器局域

網(wǎng)中一樣；

ASE連接和請求處理機制及其強大處理能力能夠保護(hù)服務(wù)器免于超載，使得服務(wù)器能夠充

足發(fā)揮其潛力，而由ASE處理高峰負(fù)荷。

SecPathASE單臂布署方案

采取單臂模式，能夠?qū)SE旁路布署在網(wǎng)絡(luò)內(nèi)部，不需要改變網(wǎng)絡(luò)原有布署。訪問Web服

務(wù)器資源用戶首先要被牽引到應(yīng)用加速設(shè)備ASE上，連接終止后，ASE再和后臺服務(wù)器進(jìn)行服

務(wù)請求。

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案

SecPathASE系列單臂應(yīng)用布署圖

因為單臂模式無需改變網(wǎng)絡(luò)環(huán)境，所以在大大提升應(yīng)用運行速度同時，也確保了應(yīng)用可靠

性。降低網(wǎng)絡(luò)維護(hù)工作量和日常運行成本。

SecPathASE在線布署方案

將ASE布署在服務(wù)器群前端，串行接入網(wǎng)絡(luò)，為用戶先供給用加速和負(fù)載均衡功效，實現(xiàn)

對網(wǎng)絡(luò)應(yīng)用性能提升。

SecPathASE系列在線應(yīng)用布署圖

在線布署ASE能夠為用戶提供一個應(yīng)用加速通路，ASE對遠(yuǎn)程用戶連接進(jìn)行終止，實現(xiàn)應(yīng)

用加速和負(fù)載均衡。

使用在線布署模式時，SecPathASE實現(xiàn)對非HTTP協(xié)議透明轉(zhuǎn)發(fā)，確保服務(wù)器上其它服務(wù)

正常應(yīng)用。同時訪問Web服務(wù)器資源用戶訪問是應(yīng)用加速設(shè)備，終端用戶并沒有和Web服務(wù)器

直接連接，避免了后端服髡器遭受DDOS攻擊。

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案

2.4應(yīng)用智能之負(fù)載均衡

作為業(yè)務(wù)網(wǎng)絡(luò)心臟，數(shù)據(jù)中心面臨著眾多挑戰(zhàn)。擴展性、靈活性、高性能、可靠性和安全

性，無一不是對數(shù)據(jù)中心要求。尤其關(guān)鍵一點是：在訪問請求急劇增加時候，服務(wù)器仍要確保

快速、穩(wěn)定傳送應(yīng)用到用戶端。

假如不在數(shù)據(jù)中心配置負(fù)載均衡，將會造成服務(wù)器負(fù)載不均，部分負(fù)載很重機器仍然不停

處理新來業(yè)務(wù)請求，出現(xiàn)性能下降、響應(yīng)時間變慢，甚至出現(xiàn)宕機。而其它服務(wù)器可能長久處

于輕載或空閑狀態(tài)，造成數(shù)據(jù)中心整體性能不高、資源利用率不高、整體投資得不到確保。

配置負(fù)載均衡后，將處理服務(wù)器任務(wù)調(diào)度和資源占用不均衡狀態(tài)，提升性能同時提升業(yè)務(wù)

系統(tǒng)整體魯棒性。

SccBladcLB(LoadBalanced務(wù)模塊是一款高性能負(fù)載均衡產(chǎn)品，該業(yè)務(wù)模塊創(chuàng)新性地實現(xiàn)

了應(yīng)用優(yōu)化和網(wǎng)絡(luò)交換設(shè)備完美融合。含有即插即用、擴展性強特點，降低了用戶管理速度，

降低了維護(hù)成本。

經(jīng)過對多種應(yīng)用進(jìn)行識別和區(qū)分，并對服務(wù)器、防火墻進(jìn)行健康檢測和性能檢測，采取

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案

自適應(yīng)智能算法將多種應(yīng)用訪問請求均衡分發(fā)至不一樣設(shè)備上.極大地提升了應(yīng)用訪問速

度,為企業(yè)和運行商網(wǎng)絡(luò)提供了一個高性能、經(jīng)濟(jì)高效負(fù)載均衡處理方案。

LB設(shè)備和匯聚層交換機之間有兩條鏈路或鏈路聚合組，這兩條鏈路（組）分別為L3鏈路和

L2鏈路，服務(wù)器網(wǎng)關(guān)指向LB設(shè)備，對于需要負(fù)載均衡流量，匯聚層將VS1P卜.一跳指向LB,而

LB缺省路由指向匯聚層交換機。

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案

3數(shù)據(jù)中心虛擬化

伴隨業(yè)務(wù)連續(xù)發(fā)展、系統(tǒng)更新升級、設(shè)備不停增多、能耗大幅颼升，數(shù)據(jù)中心面臨著資源

分配和業(yè)務(wù)發(fā)展無法完美匹配難題：

1、業(yè)務(wù)系統(tǒng)日益增多：需要更多網(wǎng)絡(luò)設(shè)備、服務(wù)器，運行業(yè)務(wù)系統(tǒng)不停發(fā)生改變，資源和

設(shè)備分配之間矛盾日趨猛烈；

2、設(shè)備多，布署繁雜：在數(shù)據(jù)大集中趨勢下，數(shù)據(jù)中心機房內(nèi)IT基礎(chǔ)設(shè)施規(guī)模很龐大，而

且還將連續(xù)不停增加、布署難度大幅增加；

3、投資連續(xù)增加：IT基礎(chǔ)設(shè)施規(guī)模成倍增加，在數(shù)據(jù)中心投入硬件成本、軟件成本、人

力成本等水漲船高；

4、運維成本和能耗高：設(shè)備增多，能耗和運維成本自然隨之增加，不符合綠色數(shù)據(jù)中心發(fā)

展趨勢，能耗己經(jīng)成為數(shù)據(jù)中心運維沉重經(jīng)濟(jì)負(fù)擔(dān)：

所以，為門降低TCO,需要對數(shù)據(jù)中心進(jìn)行整合。這也帶來了一系列難題：

1、安全性：多個業(yè)務(wù)集成在一套設(shè)備上，安全性需要確保;

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案

2、資源合理分配：不一樣業(yè)務(wù)對數(shù)據(jù)中心資源也有不一樣需求，要確保各個業(yè)務(wù)合

理使用資源。

虛擬化能夠處理這些難題，虛擬化用多個物理實體創(chuàng)建一個邏輯實體，或用一個物理實體

創(chuàng)建多個邏輯實體。實體能夠是計算、存放、網(wǎng)絡(luò)或應(yīng)用資源。

虛擬化實質(zhì)：隔離。虛擬化技術(shù)將不一樣業(yè)務(wù)隔離開來，相互不能互訪，從而確保業(yè)務(wù)安

全需求；將不一樣業(yè)務(wù)資源隔離開來，從而確保業(yè)務(wù)對于數(shù)據(jù)中心資源需求。

H3c虛擬化處理方案可包含三部分：

D網(wǎng)絡(luò)虛擬化

0計算虛擬化

0存放虛擬化

數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化和園區(qū)虛擬化結(jié)合，將數(shù)據(jù)中心訪問和網(wǎng)絡(luò)接入終端用戶認(rèn)證、安仝

檢驗和動態(tài)授權(quán)結(jié)合，確保了數(shù)據(jù)中心安全和靈活訪問。數(shù)據(jù)中心關(guān)鍵交換機兼做園區(qū)虛擬化

VPNPE,匯聚交換機做對應(yīng)MCE,結(jié)果把園區(qū)虛擬化終止在數(shù)據(jù)中心上。在數(shù)據(jù)中心接入交換

機上配置VLAN實現(xiàn)業(yè)務(wù)邏輯隔離，而且讓每個VLAN和匯聚交換機MCE對應(yīng)路由表形成對應(yīng)

關(guān)系。這么數(shù)據(jù)中心虛擬化經(jīng)過數(shù)據(jù)中心接入、匯聚、關(guān)譙設(shè)備貫穿到園區(qū)虛擬化中，形成網(wǎng)

絡(luò)端到端虛擬化。數(shù)據(jù)中心防火墻支持虛擬化功效，能夠集成或旁掛在數(shù)據(jù)中心匯聚交換機上,

配合網(wǎng)絡(luò)虛擬化完成數(shù)據(jù)中心資源虛擬化。

數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化特色：數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化和用戶端虛擬化（EAD）、園區(qū)網(wǎng)虛擬

網(wǎng)絡(luò)產(chǎn)品部H3C數(shù)據(jù)中心處理方案

化形成H3c網(wǎng)絡(luò)端到端虛擬化訪問路徑。

數(shù)據(jù)中心計算虛擬化選擇和業(yè)界領(lǐng)先VMWARE企業(yè)合作，實現(xiàn)對計算資源虛擬化。存放虛

擬化采取IV5000系列實現(xiàn)優(yōu)異存放虛擬化，能夠支持物理磁盤空間動態(tài)擴展，這么用戶現(xiàn)有設(shè)

備無須拋棄，能夠融入系統(tǒng)，保障了用戶已經(jīng)有投資，從而降低了用戶TCO,實現(xiàn)了存放容量

動態(tài)擴展，增加了用戶ROI（ReturnonInvestment,投資叵報）

H3c數(shù)據(jù)中心虛擬化特色：實現(xiàn)了網(wǎng)絡(luò)、計