3.5 网络系统
3.5.1 IDC网络系统结构设计应符合下列规定:
1 IDC网络系统架构应采用层次化、模块化设计方式,整个网络可分为互联网接入层、汇聚层、业务接入层和运维管理层四层(图3.5.1)。各层网络应符合下列规定:
1) 互联网接入层应配置核心路由器或核心交换机实现与互联网的互联,对IDC内网和外网的路由信息进行转换和维护,并应连接汇聚层的各汇聚交换机,形成IDC的网络核心;
2) 汇聚层应配置汇聚交换机实现向下汇聚业务接入层各业务区的接入交换机,向上与核心路由器(核心交换机)互联;
3) 业务接入层应通过接入交换机接入各业务区内部的各种网络设备、服务器设备、存储设备等设备;
4) 运维管理层宜独立成网,与IDC业务网络进行隔离,通过运维管理层的接入及汇聚交换机连接管理系统各种设备;
5) IDC规模较小时,互联网接入层和汇聚层可合设。
图3.5.1 IDC网络结构示意
2 IDC网络结构中互联网接入层与外部互联网、互联网接入层与汇聚层、汇聚层与业务接入层之间的拓扑结构不应有单点故障,具体结构形式应匹配IDC流量流向特性。
3 互联网接入层应至少配置两台核心路由器或核心交换机,R3级IDC的多台核心路由器(核心交换机)宜设置在不同的机房区域,核心路由器(核心交换机)与互联网连接应符合表3.5.1的规定。
表3.5.1 核心路由器与互联网连接
4 根据业务需求,防火墙、负载均衡器、IDS、IPS、审计系统等安全设备和流量管理设备可设置在汇聚层,大客户或重点业务用户可直接接入汇聚交换机。
5 业务接入层应采用模块化设计,进行区域划分。根据业务经营者提供的业务种类,宜将业务接入层从逻辑上分为不同的业务网络区域,可包括主机托管区、主机租用区、VIP用户区、集团用户区、增值业务区等。
6 各层网络的带宽、汇聚交换机和接入交换机的数量收敛配比、接入交换机连接的业务服务器数量应根据业务需求计算确定。
7 运维管理层应进行区域划分,可包括客户操作区、客户远程接入区、管理系统区。有管理需要时运维管理层可设置接入DMZ区,配置VPN接入网关和防火墙接入互联网。
3.5.2 IDC网络系统的路由设计应符合下列规定:
1 IDC可作为一个单独的自治域,采用BGP协议与互联网连接,也可不作为单独自治域,采用OSPF协议或IS-IS协议与互联网连接。
2 IDC与互联网的多个连接可设计成主备或流量分担的路由策略。互联网接入层核心路由器(核心交换机)应对内部路由信息适当聚合后向互联网发布,聚合时可实现对路由策略的配合实施。互联网接入层核心路由器(核心交换机)宜向IDC内部网络发布默认路由信息,不宜发布来自互联网的具体路由信息。
3 IDC内部网络路由可设计成二(三)层混合方式或大二层方式,应符合下列规定:
1) 采用二(三)层混合方式时,IDC内部路由协议宜选择OSPF。宜采用OSPF双层次多区域配置方式,互联网接入层宜选用核心路由器并可组成骨干OSPF区域,汇聚交换机可组成多个OSPF非骨干区域,汇聚交换机和接入交换机之间采用二层组网;
2) IDC提供云计算服务时,宜采用扁平的大二层方式,互联网接入层可选用核心交换机,核心交换机、汇聚交换机和接入交换机之间全部采用二层组网。
3.5.3 在IDC经营者建设有多个IDC时,根据业务需求,不同局址的IDC之间可进行二层网络互联。
3.5.1 本条规定了IDC网络系统结构设计有关要求。
1 本款规定的IDC网络结构采用了前端业务网络与后台管理网络分离、层次化、模块化设计方式。运维管理层和业务网络物理隔离的设计方法优点有:①即使业务网络遭受攻击,可以正常通过管理网络对设备进行管理、提供服务,快速诊断问题,减少业务损失;②管理网络的网管、防病毒、漏洞扫描等应用和管理人员的操作均独立于业务网络,对业务网络不产生影响;③维护人员和客户可通过VPN远程接入管理网络,通过互联网随时随地实现对IDC内网设备的管理。
根据业务的发展情况,网络系统可分步建设、灵活扩展,同时也可根据IDC业务发展变化情况,调整业务模块的用途。
本款图3.5.1示意了IDC网络结构,其中设备间连线为示意用途。图中还示意了存储网络部分。存储网络可以独立组网,例如基于光纤交换机组织SAN,也可以统一组网,基于以太网传送光纤通道技术或NAS等形成存储网络部分。
2 本款规定是考虑到目前IDC的安装密度越来越高,应用密集,故障影响范围大,良好的网络拓扑是实现网络快速收敛、更强故障自愈的基础。要求核心路由器/核心交换机和汇聚交换机之间、汇聚交换机和接入交换机之间的拓扑结构应根据IDC流量流向特性设计,不同的流向特性包括以出IDC流向为主的流量特性、以内部横向流量为主的流量特性等。
5 业务接入层的区域划分可以采用功能聚类方法进行,可根据用户需求的不同进一步细分。例如,对于主机托管区,功能区域一是通过普通接入(不需要经过防火墙)连接到互联网。用户拥有自己的业务设备,用户仅需要从IDC租用固定带宽和机位机架的服务;功能区域二通过防火墙、IDS等安全设备连接到互联网,用户需要使用IDC提供的增值服务设备,例如防火墙、负载均衡设备等;功能区域三通过防火墙、IDS等安全设备连接到互联网,并提供专线接入服务。
6 保持合适的汇聚交换机和接入交换机的数量收敛配比是为了保证网络性能。根据业务服务器连接需求确定出接入交换机数量后,接入交换机的配置方式可以根据数量不同选择机架顶部配置方式、区域集中配置方式等。
3.5.2 本条规定了IDC网络系统路由设计有关要求。
3 大二层为二层域更大的网络环境。传统的二层网络组网一般需要使用生成树协议控制环路,导致组网半径不能过大。大二层组网的具体实现可选用二层多路径组网技术,例如,基于隧道技术的实现方式,即通过在二层网络报文前插入额外的帧头信息,采用路由计算方式控制网络数据转发,也可采用基于各种虚拟交换机技术的实现方式等。
3.5.3 本条中的业务需求包括跨IDC的虚拟机迁移、灾备、业务负载分担等。不同IDC之间是通过IP路由连通的,要实现二层网络互联可采用基于隧道方式将二层数据报文封装在三层报文中的各种技术。
- 上一节:3.4 机房基础设施
- 下一节:3.6 资源系统