中青旅海天数码--解决方案--业务就绪数据中心架构中的数据中心网络分区

解决方案 Solutions

业务就绪数据中心架构中的数据中心网络分区

解决方案概述

企业数据中心需要对容许传输的数据流量进行路径控制。访问互联网应用的外部客户端通常会连接到一个Web服务器群集。这些Web服务器随后将访问位于企业网络中不同位置的应用服务器、大型机或者数据库。提供基于Web应用的公司并不希望外部客户端直接访问应用大型机或者数据库。同样，普通的企业员工具有访问Web服务器的权限，而只有开发人员才能够访问应用服务器和数据库服务器。

这些控制通常是通过路由器或者防火墙上的访问控制列表（ACL）实现的。对于小型服务器群而言，防火墙的使用可以简化ACL的配置，因为“静态”网络地址解析（NAT）配置可以控制穿越防火墙的流量路径。这种方法的局限在于服务器群需要物理上紧密靠近防火墙，以便单个防火墙可以为多个服务器群集控制流量路径。

这种方式不适用于像银行这样的大型企业客户。在这种环境中，每个服务器群集都是一个独立的“构成模块”（依据思科系统公司在多层设计中使用的术语）。这意味着每个服务器群集都采用两个分布层路由器连接到一个核心。

对于这种环境，ACL通常配置在分布层路由器上，来限制到经授权对象的访问。这项工作通常非常繁重，因为随着访问列表的逐渐增大，越来越难以理解它们的“意义”。

解决这个问题的办法之一是使用多协议标签交换（MPLS ）VPN，它可以控制哪些“构成模块”的可以相互通信。流量的路径控制是基于路由功能而不是ACL。增加的安全保障可以通过访问列表来提供。

在数据网络基础架构和存储基础架构中分别创建逻辑分区，然后将其结合在一起形成独立的、安全的分区，这一能力可能会极大对现代的数据中心带来变革。安全是所有IT网络专业人员最关心的问题之一，建立逻辑分区和把他们对应到VPN上的手段是一种功能强大的网络设计工具。Cisco Catalyst 6500系列产品具有创建二层、三层VLAN的功能，它们可以对应到多个并行的VPN路由和转发情况。这让网络管理人员能够利用同一套网络基础设施支持多个虚拟网络。这种能力可以被用于将一个第二层广播域或者VLAN映射到Cisco MDS 9500多层导向器建立的一个虚拟存储局域网（VSAN），从而在存储设备和服务器之间实现透明的、安全的通信。这种功能可以解决一些常见的网络复杂性问题，例如IP地址的重叠和在同一套网络基础设施上隔离不同的网络设备（譬如隔离同一个网络上的不同业务部门）。

MPLS VPN还可以用于其他场合，例如将使用同一套服务的用户加入到同一个网段中，同时允许在网络基础设施的某个公共节点共享这些服务。例如，管理人员可以在接入层将拥有类似服务需求的用户进行逻辑上的划分，同时又在不需要区分用户的数据中心将他们合并到一起。

MPLS为客户提供了部署多种高度可扩展的、灵活的网络设计的能力。Cisco Catalyst 6500系列交换机和Cisco MDS系列存储交换机可以提供和利用这些服务，部署符合未来需要的、先进的数据中心。

方法论

数据中心网络为IT组织架构提供了一个基础平台，支持业务目标的实现。从分析这些目标和它们对网络的功能需求开始的方法论是成功的重要因素。本文的内容组织主要围绕着下面这两个目标：

共享已经在别处获得成功应用的技术，确定它们对你机构的可用性和有效性，来修正设计方案和支持数据中心方面运行。
将部署和运营模板追朔到推动作用的业务目标，进一步说明本文介绍的数据中心的立论。

这个方法论当在你自己的机构内部被实施时，本流程最终可能不会形成一个完善的设计方案或者部署计划，即使您已经制定了一个具体的目标。本文的主要目的是定义一个框架，指导未来的数据中心规划、设计，产品和服务的选择和部署，以及运营支持。

这个框架包括三个领域：

业务目标和功能要求
技术选择
部署和运营模板

业务目标和功能要求

不同企业的业务目标可能会有所不同，因此在IT和使用网络服务的业务部门之间开展积极有效的对话是必要的。这样做的目的是了解业务部门的需求、成本目标、风险承受能力和应用需求。不过，大部分大型机构可能都面临着一些相同的问题。图1对Infonetics Research在2003年开展的一项调查的结果进行了总结。它列出了机构在数据中心方面共同关注的问题――从业务目标到对数据中心的功能要求。本调查提供了对常见问题的深入剖析。

图1 数据中心调查

技术选择

技术的选择应该是对实现业务目标和满足功能要求的最佳工具的挑选。例如，在LAN技术领域，相对于几年前常见的光纤分布式数据接口（FDDI）和令牌环网技术相比，市场目前更加倾向于千兆位和万兆位以太网。至于SAN延伸领域，光纤通道是常见的选择，但是iSCSI和IP光纤通道（FCIP）通过提供不同的成本结构和不同的优势，弥补了光纤通道的不足。只要我们将技术选择的原因对应到业务目标和功能需求的基础上，就不难选出最佳的技术。

部署和运营模板

部署和运营模板包括：

物理和逻辑拓扑的结构图
最佳实践指南和设备配置实例
部署最佳实践、时间安排和项目计划
服务水平协议
运营支持模式

实际上，这包括了建设网络和指导未来设计所需要的全部。它包括必须定期改进以保持有效性的网络未来战略蓝图以及对某个特定阶段或者没有明确阐述的项目的部署细节。

思科根据广泛的测试和验证，编写了一套数据中心设计最佳实践文档。本文最后的参考文献部分提供了这些详细文档的链接。

业务目标

成功的机构必须能够迅速地适应变化。从功能上说，这意味着利用IT基础设施支持业务目标。迅速地、经济地适应变化的能力需要一个由网络和存储设备共同构成的基础设施。这些设备配合到一起发挥的作用应当大于各个组件单独发挥作用的总和。现代数据中心（如图2所示）几乎总是要保持24小时的运行，不容许任何停机。支持数据中心的设备必须具有很高的可用性，允许在不导致系统中断的情况下进行改动。另外，企业越来越需要在不同的业务单位或者部门之间以逻辑方式共享数据中心资源。安全地对数据中心进行分段和在网络、存储组件之间实现网络连续性的能力让不同的机构可以利用同样高度可用的基础设施，以更低的成本不间断地保护数据中心的正常连续运行。

图2：逻辑网络基础设施

Cisco Catalyst 6500系列交换机在与Cisco MDS系列存储产品结合时，可以在现代数据中心中具备多个虚拟路由和转发情况。图2显示了连接到第二层、第三层IP网络基础设施（由Cisco Catalyst 6500系列交换机构成）和后端存储网络（Cisco MDS存储交换机）的服务器群。网络和存储基础设施的虚拟化可以通过建立多个并行的、透明的、安全的重叠网络（每个代表一个VPN），扩展这个数据中心环境。根据指定环境的具体需要，这些VPN可以在第二层（数据链路层）和第三层（网络层）建立。这可以实现多种网络设计方案，包括集成本地和远程数据中心――无论设备之间的距离是近是远。

配有一个Cisco Catalyst 6500系列Supervisor Engine 720的Cisco Catalyst 6500系列交换机可以提供基于MPLS的VPN。越来越多的企业需要在一个共享式网络基础设施中提供专用网络。MPLS VPN在一定程度上可以满足这种需要。这些虚拟网络不仅可以共享同一个基础设施，而且还可以在任何一个VPN中提供任意－任意的连接，以及在不同的VPN之间保持安全的数据隔离。

确定这个解决方案是否适用于某个特定环境的主要依据包括：

机构的规模有多大？
是否存在为某个共同基础设施提供分段功能的业务或者技术需要？
网络的分段隔离是在2层还是3层？
目前使用的IP寻址方式是否允许不同实体之间的IP重叠？
用户是否都拥有同等的服务器资源访问权限？

技术解决方案

思科提供的很多产品都有助于实现平稳的端到端部署。思科提供了多种采用了可靠连接解决方案和具有嵌入式智能的高性能产品。它们不仅可以互相操作，而且还为下一代服务平台的部署提供了一个基础。这些范围广泛的思科产品可以为一个安全、高度可用、可靠、可扩展的数据中心和服务器群集部署奠定基础。

两种可以提供以太网和光纤通道交换平台的思科产品是Cisco Catalyst 6000系列和Cisco MDS 9000系列。这些平台集成了思科率先推出的VLAN和VSAN技术等特有功能，可以提供增强的可扩展性、安全性和灵活的“无需移动电缆”配置。增强的管理和诊断功能设计在这些平台中，让企业能够提供和管理他们所承诺的SLA。

Cisco Catalyst 6000系列的主要特性

Cisco Catalyst 6000系列是一个智能交换平台，可以提供市场领先的服务、性能、端口密度和可用性，同时能够为企业和服务供应商市场提供投资保护。它的主要特性包括：

最大限度的网络正常运行时间―在此平台上、电源、Supervisor Engine、交换矩阵和集成化网络服务，冗余性可以提供1到3秒的状态保留故障切换以及在一个融合式网络环境中提供应用和服务的连续性，最大限度地减少关键任务型数据和服务的中断。
全面的网络安全――这项特性可以在现有网络中集成经过验证的多千兆级思科安全解决方案，包括入侵检测、防火墙、VPN和安全套接字层（SSL）。
可扩展的性能――这项特性可以利用分布式转发架构提供高达400Mpps的性能。
可以保护投资的前瞻性架构――这种架构可以在同一个机箱中支持三代可互换的热交换模块，优化IT基础设施的利用率，最大限度地增加投资回报，并降低总拥有成本（TCO）。
运营一致性――这项特性可以让3、6、9和13插槽机箱配置共用同一组模块、Cisco IOS软件、Cisco Catalyst操作系统和可能部署在网络中任何位置的网络管理工具。
出色的服务集成和灵活性――该系统可以将先进的服务（例如安全和内容）与融合式网络结合到一起，提供市场上范围最广泛的接口和密度――从10/100和10/100/1000以太网到10Gb；从DS-0到DS-48。它可以端到端地支持任何部署。

Cisco MDS 9000 系列的特性

高可用性导向器－－Cisco MDS 9500系列结合了不间断软件升级、状态保留重启和故障切换，以及所有主要组件的完全冗余，因而为导向器级可用性树立了新的标准。它最多可以在单个机箱中支持224个2/1Gbps自动感应光纤通道端口，并可以在单个机架中支持768个光纤通道端口――1.44Tbps的内部系统带宽确保用户可以平稳地集成未来的10Gbps模块。
业界最灵活的矩阵交换机――Cisco MDS 9216多层网络交换机最多可以在单个矩阵交换配置中支持48个2/1Gbps自动感应光纤通道端口。它的模块化设计提供了一个3机架单元（RU）系统，其中包括16个2/1Gbps自动感应光纤通道端口。通过多种可选的Cisco MDS 9000系列交换模块，它可以扩充到48个光纤通道端口。
经济有效的智能矩阵－－Cisco MDS 9100 多层网络交换机可以通过一个紧凑的1RU机型，提供成本、性能和企业级功能的完美平衡。具有20和40端口配置的Cisco MDS 9100 多层网络交换机可以满足中小型企业级存储环境对于成本、性能、可管理性和连通性的需求，同时还可以完全兼容Cisco MDS 9500多层导向器，能够在大型数据中心核心－边缘部署中实现端到端的服务。
先进的架构－－Cisco MDS 9000系列架构可以提供通用的交换模块。它们可以被移植到Cisco MDS 9500系列的任何机型中或者Cisco MDS 9216多层网络交换机中。
基于TCO的设计－－Cisco MDS 9000系列所提供的高级管理工具可以降低总体TCO。它为单个物理矩阵中的、基于硬件的隔离环境提供了VSAN技术，可以确保物理基础设施的共享，从而进一步降低TCO。
多协议和多传输架构－－Cisco MDS 9000系列的多层架构可以在一个与协议无关的交换矩阵上支持一套统一的功能集。Cisco MDS 9500 多层导向器和Cisco MDS 9216多层网络交换机可以在同一个系统中透明地集成光纤通道、iSCSI和FCIP。这些交换机的灵活架构有助于集成未来的存储协议。
智能网络服务－－Cisco MDS 9000系列提供了VSAN技术，针对基于硬件的智能帧处理的ACL，以及多种高级流量管理功能，例如光纤通道拥塞控制和覆盖整个矩阵的服务质量，从而可以实现从SAN孤岛往整个企业的存储网络的转变。
针对智能存储服务的开放平台－－Cisco MDS 9000系列为托管智能存储服务提供了一个开放的平台。这些服务包括基于网络的虚拟化和复制等。
全面的安全框架――Cisco MDS 9000系列支持RADIUS身份验证、简单网络管理协议版本3、基于角色的访问控制、Secure Shell (SSH) 协议、安全文件传输协议、光纤通道安全协议、硬件分区、逻辑单元编号分区、只读分区、ACL、端口安全和基于VSAN的访问控制等。
先进的诊断功能――Cisco MDS 9000系列在业界率先推出了智能诊断、协议、解码和网络分析工具，以及集成化的回呼功能，从而可以提供更高的可靠性、迅速解决问题的能力和更低的服务成本。
统一的存储管理――Cisco MDS 9000系列包括内置的存储管理功能。所有这些功能都可以通过一个命令行界面或者思科矩阵管理器实现。思科矩阵管理器是一种集中式管理工具，可以简化对多个交换机和矩阵的管理。
业界性能最高的交换机互联－－Cisco MDS 9000系列最多可以在单个端口通道上支持16个2-Gbps连接――它们可以覆盖任何模块上的任何端口，从而提高可扩展性和永续性。
灵活性和投资保护－－Cisco MDS 9000系列可以在所有Cisco MDS 9500系列产品和Cisco MDS 9216多层矩阵交换机之间共享通用的交换模块。基础设施保护是通过在所有Cisco MDS 9000系列平台中使用统一的软件版本而提供的。

解决方案架构

图3显示了这个功能强大的、高度灵活的架构的构建方式，并在下面对其进行了详细的说明。

图3解决方案架构

Cisco Catalyst 6500系列交换机可以生成不同的虚拟路由和转发情况。而且，在与Cisco MDS系列存储交换机结合时，它可以提供一个覆盖前端和后端系统的、功能强大的架构。图3显示了连接到第二层、第三层IP网络基础设施（由Cisco Catalyst 6500系列交换机构成）和后端存储网络（Cisco MDS存储交换机）的服务器群。网络和存储基础设施的虚拟化可以通过建立多个并行的、透明的、安全的重叠网络（每个代表一个VPN），扩展这个数据中心环境。根据指定环境的具体需要，这些VPN可以在第二层（数据链路层）和第三层（网络层）建立。某个指定的VPN通常被称为一个VRF（虚拟路由转发器），以表示它在公用路由基础设施中的唯一性。这可以实现多种网络设计方案，包括集成本地和远程数据中心――无论设备之间的距离是近是远。

配有一个Supervisor Engine 720的Cisco Catalyst 6500系列交换机可以提供多达1000个基于MPLS的VPN。MPLS VPN让共享基础设施可以同时为多个拥有重叠的IP地址和不同的服务策略要求的虚拟网络提供连接。这些虚拟网络不仅可以共享同一个基础设施，而且还可以在任何一个VPN中提供任意－任意的连接，并在不同的VPN之间保持安全的数据隔离。

图2显示了这种技术的一个具体应用。它形象地表明了大中型数据中心的主要组成部分。数据中心存在多种服务器，每个服务于一种独特的用途，而且每个都需要内部和外部用户群体具有不同的访问权限。通常，用户及其权限的分类是通过路由器或者防火墙上的ACL实现的。但是，应用及其所在的服务器划分得越细，就越难在保持必要分段的情况下成功地部署适当的访问控制策略。通过部署VPN，用户可以更加轻松地为特定的应用及其相关资源建立一个重叠网络。这时，仍然可以采用基于ACL的安全保护，以建立一个额外的保护层。在图2中，一个共用的VPN被大型机和应用服务器（VPN-B）所共享，用于双向通信，但对其他用户或者应用的访问是禁止的。这些通信都局限于VPN-B内部，这代表了这个位于共用基础设施上方的专用网络所要求的特定策略。

图2显示了另外一些例子。VPN-C允许对万维网服务的外部访问。它们可以访问必要的应用数据库服务。另外一个VPN以VPN-D的形式显示，它让内部用户能够以不同于外部用户的策略和地址访问万维网服务。

这些不同的VPN为网络内部的设备提供了独特的服务。否则，这些服务只能在全局共享基础设施中才能实现。它们的特性包括：

防火墙服务的虚拟化――可以集成一个5Gbps的防火墙服务模块。它可以在逻辑上设置多个防火墙环境，每个代表一个指定的VPN。这可以提供一个高度可扩展的、高性能的选项，否则这将需要大量的独立设备。
路由协议――边界网关协议（BGP）、开放最短路径优先协议（OSPF）和路由信息协议（RIP）。
标准和扩展ACL――为第三层和第四层流量提供额外的保护层。
单播反向路径转发――防范分布式拒绝服务攻击。
热备用路由器协议――在某个指定网段中提供高度可用的路由资源。
支持最大9Kb的巨型帧――实现高性能的数据传输。
交换端口分析工具――通过流量监控诊断网络故障。
VLAN ACL――能够在第二层拦截流量。
思科发现协议――发现相邻的思科设备。

基础设施中的共享设备可以弥补这些虚拟化设备的不足，例如服务器负载平衡、SSL卸载和入侵检测设备等。这些设备可以通过适当的网络配置，在不同的VPN之间共享，从而在不牺牲这种解决方案所提供的划分水平的情况下，最大限度地利用资源。

通过思科的其他创新技术（例如VSAN），存储基础设施能够与Cisco MDS 9000系列存储设备上的、以数据中心的应用结合到一起。VSAN可以弥补VLAN的不足，在服务器的后端实现存储设备的虚拟化。因为Cisco MDS产品可以在千兆位以太网上提供对Cisco Catalyst 6500的连接，用户可以将VSAN映射到VLAN（某个指定VPN的一部分），从而提供一个从属于某个大型网络的逻辑网络。这使得企业可以为特定的用户群体提供度身定制的服务，从而建立起一个跨越整个数据中心环境的端到端基础设施。