解决方案概述
企业数据中心需要对容许传输的数据流量进行路径控制。访问互联网应用的外部客户端通常会连接到一个Web服务器群集。这些Web服务器随后将访问位于企业网络中不同位置的应用服务器、大型机或者数据库。提供基于Web应用的公司并不希望外部客户端直接访问应用大型机或者数据库。同样,普通的企业员工具有访问Web服务器的权限,而只有开发人员才能够访问应用服务器和数据库服务器。
这些控制通常是通过路由器或者防火墙上的访问控制列表(ACL)实现的。对于小型服务器群而言,防火墙的使用可以简化ACL的配置,因为“静态”网络地址解析(NAT)配置可以控制穿越防火墙的流量路径。这种方法的局限在于服务器群需要物理上紧密靠近防火墙,以便单个防火墙可以为多个服务器群集控制流量路径。
这种方式不适用于像银行这样的大型企业客户。在这种环境中,每个服务器群集都是一个独立的“构成模块”(依据思科系统公司在多层设计中使用的术语)。这意味着每个服务器群集都采用两个分布层路由器连接到一个核心。
对于这种环境,ACL通常配置在分布层路由器上,来限制到经授权对象的访问。这项工作通常非常繁重,因为随着访问列表的逐渐增大,越来越难以理解它们的“意义”。
解决这个问题的办法之一是使用多协议标签交换(MPLS )VPN,它可以控制哪些“构成模块”的可以相互通信。流量的路径控制是基于路由功能而不是ACL。增加的安全保障可以通过访问列表来提供。
在数据网络基础架构和存储基础架构中分别创建逻辑分区,然后将其结合在一起形成独立的、安全的分区,这一能力可能会极大对现代的数据中心带来变革。安全是所有IT网络专业人员最关心的问题之一,建立逻辑分区和把他们对应到VPN上的手段是一种功能强大的网络设计工具。Cisco Catalyst 6500系列产品具有创建二层、三层VLAN的功能,它们可以对应到多个并行的VPN路由和转发情况。这让网络管理人员能够利用同一套网络基础设施支持多个虚拟网络。这种能力可以被用于将一个第二层广播域或者VLAN映射到Cisco MDS 9500多层导向器建立的一个虚拟存储局域网(VSAN),从而在存储设备和服务器之间实现透明的、安全的通信。这种功能可以解决一些常见的网络复杂性问题,例如IP地址的重叠和在同一套网络基础设施上隔离不同的网络设备(譬如隔离同一个网络上的不同业务部门)。
MPLS VPN还可以用于其他场合,例如将使用同一套服务的用户加入到同一个网段中,同时允许在网络基础设施的某个公共节点共享这些服务。例如,管理人员可以在接入层将拥有类似服务需求的用户进行逻辑上的划分,同时又在不需要区分用户的数据中心将他们合并到一起。
MPLS为客户提供了部署多种高度可扩展的、灵活的网络设计的能力。Cisco Catalyst 6500系列交换机和Cisco MDS系列存储交换机可以提供和利用这些服务,部署符合未来需要的、先进的数据中心。
方法论
数据中心网络为IT组织架构提供了一个基础平台,支持业务目标的实现。从分析这些目标和它们对网络的功能需求开始的方法论是成功的重要因素。本文的内容组织主要围绕着下面这两个目标:
这个方法论当在你自己的机构内部被实施时,本流程最终可能不会形成一个完善的设计方案或者部署计划,即使您已经制定了一个具体的目标。本文的主要目的是定义一个框架,指导未来的数据中心规划、设计,产品和服务的选择和部署,以及运营支持。
这个框架包括三个领域:
业务目标和功能要求
不同企业的业务目标可能会有所不同,因此在IT和使用网络服务的业务部门之间开展积极有效的对话是必要的。这样做的目的是了解业务部门的需求、成本目标、风险承受能力和应用需求。不过,大部分大型机构可能都面临着一些相同的问题。图1对Infonetics Research在2003年开展的一项调查的结果进行了总结。它列出了机构在数据中心方面共同关注的问题――从业务目标到对数据中心的功能要求。本调查提供了对常见问题的深入剖析。
图1 数据中心调查
技术选择
技术的选择应该是对实现业务目标和满足功能要求的最佳工具的挑选。例如,在LAN技术领域,相对于几年前常见的光纤分布式数据接口(FDDI)和令牌环网技术相比,市场目前更加倾向于千兆位和万兆位以太网。至于SAN延伸领域,光纤通道是常见的选择,但是iSCSI和IP光纤通道(FCIP)通过提供不同的成本结构和不同的优势,弥补了光纤通道的不足。只要我们将技术选择的原因对应到业务目标和功能需求的基础上,就不难选出最佳的技术。
部署和运营模板
部署和运营模板包括:
实际上,这包括了建设网络和指导未来设计所需要的全部。它包括必须定期改进以保持有效性的网络未来战略蓝图以及对某个特定阶段或者没有明确阐述的项目的部署细节。
思科根据广泛的测试和验证,编写了一套数据中心设计最佳实践文档。本文最后的参考文献部分提供了这些详细文档的链接。
业务目标
成功的机构必须能够迅速地适应变化。从功能上说,这意味着利用IT基础设施支持业务目标。迅速地、经济地适应变化的能力需要一个由网络和存储设备共同构成的基础设施。这些设备配合到一起发挥的作用应当大于各个组件单独发挥作用的总和。现代数据中心(如图2所示)几乎总是要保持24小时的运行,不容许任何停机。支持数据中心的设备必须具有很高的可用性,允许在不导致系统中断的情况下进行改动。另外,企业越来越需要在不同的业务单位或者部门之间以逻辑方式共享数据中心资源。安全地对数据中心进行分段和在网络、存储组件之间实现网络连续性的能力让不同的机构可以利用同样高度可用的基础设施,以更低的成本不间断地保护数据中心的正常连续运行。
图2:逻辑网络基础设施
Cisco Catalyst 6500系列交换机在与Cisco MDS系列存储产品结合时,可以在现代数据中心中具备多个虚拟路由和转发情况。图2显示了连接到第二层、第三层IP网络基础设施(由Cisco Catalyst 6500系列交换机构成)和后端存储网络(Cisco MDS存储交换机)的服务器群。网络和存储基础设施的虚拟化可以通过建立多个并行的、透明的、安全的重叠网络(每个代表一个VPN),扩展这个数据中心环境。根据指定环境的具体需要,这些VPN可以在第二层(数据链路层)和第三层(网络层)建立。这可以实现多种网络设计方案,包括集成本地和远程数据中心――无论设备之间的距离是近是远。
配有一个Cisco Catalyst 6500系列Supervisor Engine 720的Cisco Catalyst 6500系列交换机可以提供基于MPLS的VPN。越来越多的企业需要在一个共享式网络基础设施中提供专用网络。MPLS VPN在一定程度上可以满足这种需要。这些虚拟网络不仅可以共享同一个基础设施,而且还可以在任何一个VPN中提供任意-任意的连接,以及在不同的VPN之间保持安全的数据隔离。
确定这个解决方案是否适用于某个特定环境的主要依据包括:
技术解决方案
思科提供的很多产品都有助于实现平稳的端到端部署。思科提供了多种采用了可靠连接解决方案和具有嵌入式智能的高性能产品。它们不仅可以互相操作,而且还为下一代服务平台的部署提供了一个基础。这些范围广泛的思科产品可以为一个安全、高度可用、可靠、可扩展的数据中心和服务器群集部署奠定基础。
两种可以提供以太网和光纤通道交换平台的思科产品是Cisco Catalyst 6000系列和Cisco MDS 9000系列。这些平台集成了思科率先推出的VLAN和VSAN技术等特有功能,可以提供增强的可扩展性、安全性和灵活的“无需移动电缆”配置。增强的管理和诊断功能设计在这些平台中,让企业能够提供和管理他们所承诺的SLA。
Cisco Catalyst 6000系列的主要特性
Cisco Catalyst 6000系列是一个智能交换平台,可以提供市场领先的服务、性能、端口密度和可用性,同时能够为企业和服务供应商市场提供投资保护。它的主要特性包括:
Cisco MDS 9000 系列的特性
解决方案架构
图3显示了这个功能强大的、高度灵活的架构的构建方式,并在下面对其进行了详细的说明。
图3解决方案架构
Cisco Catalyst 6500系列交换机可以生成不同的虚拟路由和转发情况。而且,在与Cisco MDS系列存储交换机结合时,它可以提供一个覆盖前端和后端系统的、功能强大的架构。图3显示了连接到第二层、第三层IP网络基础设施(由Cisco Catalyst 6500系列交换机构成)和后端存储网络(Cisco MDS存储交换机)的服务器群。网络和存储基础设施的虚拟化可以通过建立多个并行的、透明的、安全的重叠网络(每个代表一个VPN),扩展这个数据中心环境。根据指定环境的具体需要,这些VPN可以在第二层(数据链路层)和第三层(网络层)建立。某个指定的VPN通常被称为一个VRF(虚拟路由转发器),以表示它在公用路由基础设施中的唯一性。这可以实现多种网络设计方案,包括集成本地和远程数据中心――无论设备之间的距离是近是远。
配有一个Supervisor Engine 720的Cisco Catalyst 6500系列交换机可以提供多达1000个基于MPLS的VPN。MPLS VPN让共享基础设施可以同时为多个拥有重叠的IP地址和不同的服务策略要求的虚拟网络提供连接。这些虚拟网络不仅可以共享同一个基础设施,而且还可以在任何一个VPN中提供任意-任意的连接,并在不同的VPN之间保持安全的数据隔离。
图2显示了这种技术的一个具体应用。它形象地表明了大中型数据中心的主要组成部分。数据中心存在多种服务器,每个服务于一种独特的用途,而且每个都需要内部和外部用户群体具有不同的访问权限。通常,用户及其权限的分类是通过路由器或者防火墙上的ACL实现的。但是,应用及其所在的服务器划分得越细,就越难在保持必要分段的情况下成功地部署适当的访问控制策略。通过部署VPN,用户可以更加轻松地为特定的应用及其相关资源建立一个重叠网络。这时,仍然可以采用基于ACL的安全保护,以建立一个额外的保护层。在图2中,一个共用的VPN被大型机和应用服务器(VPN-B)所共享,用于双向通信,但对其他用户或者应用的访问是禁止的。这些通信都局限于VPN-B内部,这代表了这个位于共用基础设施上方的专用网络所要求的特定策略。
图2显示了另外一些例子。VPN-C允许对万维网服务的外部访问。它们可以访问必要的应用数据库服务。另外一个VPN以VPN-D的形式显示,它让内部用户能够以不同于外部用户的策略和地址访问万维网服务。
这些不同的VPN为网络内部的设备提供了独特的服务。否则,这些服务只能在全局共享基础设施中才能实现。它们的特性包括:
基础设施中的共享设备可以弥补这些虚拟化设备的不足,例如服务器负载平衡、SSL卸载和入侵检测设备等。这些设备可以通过适当的网络配置,在不同的VPN之间共享,从而在不牺牲这种解决方案所提供的划分水平的情况下,最大限度地利用资源。
通过思科的其他创新技术(例如VSAN),存储基础设施能够与Cisco MDS 9000系列存储设备上的、以数据中心的应用结合到一起。VSAN可以弥补VLAN的不足,在服务器的后端实现存储设备的虚拟化。因为Cisco MDS产品可以在千兆位以太网上提供对Cisco Catalyst 6500的连接,用户可以将VSAN映射到VLAN(某个指定VPN的一部分),从而提供一个从属于某个大型网络的逻辑网络。这使得企业可以为特定的用户群体提供度身定制的服务,从而建立起一个跨越整个数据中心环境的端到端基础设施。