数据中心
网络建设方案
目 录
第一章 数据中心现状分析 ............................................................................................................. 4 第二章 数据中心网络技术分析 ..................................................................................................... 4
2.1 路由与交换 ........................................................................................................................ 4 2.2 EOR 与TOR ...................................................................................................................... 5 2.3网络虚拟化 ......................................................................................................................... 5
2.3.1 网络多虚一技术 ..................................................................................................... 5 2.3.2网络一虚多技术 ...................................................................................................... 7 2.4 VM互访技术(VEPA) ................................................................................................... 7 2.5 虚拟机迁移网络技术 ...................................................................................................... 11 第三章 方案设计 ........................................................................................................................... 13
3.1网络总体规划 ................................................................................................................... 13 3.2省级数据中心网络设计 ................................................................................................... 15 3.3市级数据中心网络设计 ................................................................................................... 16 3.4区县级数据中心网络设计 ............................................................................................... 17 3.5省、市、区/县数据中心互联设计 .................................................................................. 18
3.5.1省、市数据中心互联 ............................................................................................ 18 3.5.2市、区/县数据中心互联 ....................................................................................... 19 3.5.3数据中心安全解决方案 ........................................................................................ 19
第四章 方案的新技术特点 ........................................................................................................... 21
4.1量身定制的数据中心网络平台 ....................................................................................... 21
4.1.1最先进的万兆以太网技术 .................................................................................... 21 4.1.2硬件全线速处理技术 ............................................................................................ 22 4.1.3 Extreme Direct Attach技术 ................................................................................... 24 4.1.5 帮助虚机无缝迁移的XNV技术 ........................................................................ 29 4.1.5环保节能的网络建设 ............................................................................................ 33 4.2 最稳定可靠的网络平台 .................................................................................................. 34
4.2.1 独有的模块化操作系统设计 ............................................................................... 34 4.2.2超强的QOS服务质量保证 .................................................................................. 35 4.3先进的网络安全设计 ....................................................................................................... 37
4.3.1 设备安全特性 ..................................................................................................... 38 4.3.2用户的安全接入 .................................................................................................. 39 4.3.3智能化的安全防御措施 ...................................................................................... 40 4.3.4常用安全策略建议 .............................................................................................. 41
附录 方案产品资料 ....................................................................................................................... 45
1. 核心交换机BD 8800 ..................................................................................................... 45 2. SummitX670系列产品 .................................................................................................. 49 3. 三层千兆交换机Summit X460 ..................................................................................... 61 4. 核心路由器MP7500 ...................................................................................................... 69 5. 汇聚路由器MP7200 ...................................................................................................... 75 6. 接入路由器MP3840 ...................................................................................................... 81
7. 8.
接入路由器MP2824 ...................................................................................................... 85 MSG4000综合安全网关 ............................................................................................... 90
第一章 数据中心现状分析
云计算数据中心相比较传统数据中心对网络的要求有以下变化: 1、Server-Server流量成为主流,而且要求二层流量为主。 2、站点内部物理服务器和虚拟机数量增大,导致二层拓扑变大。 3、扩容、灾备和VM迁移要求数据中心多站点间大二层互通。 4、数据中心多站点的选路问题受大二层互通影响更加复杂。
5、iSCSI/FCoE是数据中心以网络为核心演进的需求,也是不可或缺的一部分。
第二章 数据中心网络技术分析
2.1 路由与交换
数据中心网络方面,关注的重点是数据中心内部服务器前后端网络,对于广泛意义上的数据中心,如园区网、广域网和接入网等内容,不做过多扩散。
数据中心的网络以交换以太网为主,只有传统意义的汇聚层往上才是IP的天下。数据中心的以太网络会逐步扩大,IP转发的层次也会被越推越高。
数据中心网络从设计伊始,主要着眼点就是转发性能,因此基于CPU/NP转发的路由器自然会被基于ASIC转发的三层交换机所淘汰。传统的Ethernet交换技术中,只有MAC一张表要维护,地址学习靠广播,没有什么太复杂的网络变化需要关注,所以速率可以很快。而在IP路由转发时,路由表、FIB表、ARP表一个都不能少,效率自然也低了很多。
云计算数据中心对转发带宽的需求更是永无止境,因此会以部署核心-接入二层网络结构为主。层次越多,故障点越多、延迟越高、转发瓶颈也会越多。目前在一些ISP(InternetService Provider)的二层结构大型数据中心里,由于传统的STP需要阻塞链路浪费带宽,而新的二层多路径L2MP技术还不够成熟,因此会采用全三层IP转发来暂时作为过渡技术,如接入层与核心层之间跑OSPF动态路由协议的方式。这样做的缺点显而易见,组网复杂,路由计算繁多,以后
势必会被Ethernet L2MP技术所取代。
新的二层多路径技术,不管是TRILL还是SPB都引入了二层ISIS控制平面协议来作为转发路径计算依据,这样虽然可以避免当前以太网单路径转发和广播环路的问题,但毕竟是增加了控制平面拓扑选路计算的工作,能否使其依然如以往Ethernet般高效还有待观察。MPLS就是一个的前车之鉴,本想着帮IP提高转发效率,没想到却在VPN路由隔离方面获得真正应用。
2.2 EOR 与TOR
数据中心网络设备就是交换机,而交换机就分为机箱式与机架式两种。当前云计算以大量X86架构服务器替代小型机和大型机,导致单独机架Rack上的服务器数量增多。受工程布线的困扰,在大型数据中心内EOR(End Of Row)结构已经逐步被TOR(Top Of Rack)结构所取代。机架式交换机作为数据中心服务器第一接入设备的地位变得愈发不可动摇。而为了确保大量机架式设备的接入,汇聚和核心层次的设备首要解决的问题就是高密度接口数量,由此机箱式交换机也就占据了数据中心转发核心的位置。
综合来说,一般情况下数据中心以大型机箱式设备为核心,机架式设备为各个机柜的接入
2.3网络虚拟化
云计算就是计算虚拟化,而存储虚拟化已经在SAN上实现得很好了,剩下网络虚拟化了。云计算环境中,所有的服务资源都成为了一个对外的虚拟资源,那么网络不管是从路径提供还是管理维护的角度来说,都得跟着把一堆的机框盒子进行多虚一统一规划。而云计算一虚多的时候,物理服务器都变成了很多的VM,网络层面则需要对一虚多对通路建立和管理更精细化。
2.3.1 网络多虚一技术
网络多虚一技术。最早的网络多虚一技术代表是交换机集群Cluster技术,多以盒式小交换机为主,较为古老,当前数据中心里面已经很少见了。而新的技
术则主要分为两个方向,控制平面虚拟化与数据平面虚拟化。
控制平面虚拟化
顾名思义,控制平面虚拟化是将所有设备的控制平面合而为一,只有一个主体去处理整个虚拟交换机的协议处理,表项同步等工作。从结构上来说,控制平面虚拟化又可以分为纵向与横向虚拟化两种方向。
纵向虚拟化指不同层次设备之间通过虚拟化合多为一,相当于将下游交换机设备作为上游设备的接口扩展而存在,虚拟化后的交换机控制平面和转发平面都在上游设备上,下游设备只有一些简单的同步处理特性,报文转发也都需要上送到上游设备进行。可以理解为集中式转发的虚拟交换机横向虚拟化多是将同一层次上的同类型交换机设备虚拟合一,,控制平面工作如纵向一般,都由一个主体去完成,但转发平面上所有的机框和盒子都可以对流量进行本地转发和处理,是典型分布式转发结构的虚拟交换机。
控制平面虚拟化从一定意义上来说是真正的虚拟交换机,能够同时解决统一管理与接口扩展的需求。但是有一个很严重的问题制约了其技术的发展。服务器多虚一技术目前无法做到所有资源的灵活虚拟调配,而只能基于主机级别当多机运行时,协调者的角色(等同于框式交换机的主控板控制平面)对同一应用来说,只能主备,无法做到负载均衡。网络设备虚拟化也同样如此,以框式设备举例,不管以后能够支持多少台设备虚拟合一,只要不能解决上述问题,从控制平面处理整个虚拟交换机运行的物理控制节点主控板都只能有一块为主,其他都是备份角色(类似于服务器多虚一中的HA Cluster结构)。总而言之,虚拟交换机支持的物理节点规模永远会受限于此控制节点的处理能力。
数据平面虚拟化
数据平面的虚拟化,目前主要是TRILL和SPB,他们都是用L2 ISIS作为控制协议在所有设备上进行拓扑路径计算,转发的时候会对原始报文进行外层封装,以不同的目的Tag在TRILL/SPB区域内部进行转发。对外界来说,可以认为TRILL/SPB区域网络就是一个大的虚拟交换机,Ethernet报文从入口进去后,完整的从出口吐出来,内部的转发过程对外是不可见且无意义的。
这种数据平面虚拟化多合一已经是广泛意义上的多虚一了,此方式在二层Ethernet转发时可以有效的扩展规模范围,作为网络节点的N虚一来说,控制平
面虚拟化目前N还在个位到十位数上晃悠,数据平面虚拟化的N已经可以轻松达到百位的范畴。但其缺点也很明显,引入了控制协议报文处理,增加了网络的复杂度,同时由于转发时对数据报文多了外层头的封包解包动作,降低了Ethernet 的转发效率。
从数据中心当前发展来看,规模扩充是首位的,带宽增长也是不可动摇的,因此在网络多虚一方面,控制平面多虚一的各种技术除非能够突破控制层多机协调工作的技术枷锁,否则只有在中小型数据中心里面应用,后期真正的大型云计算数据中心势必是属于TRILL/SPB此类数据平面多虚一技术的天地。
2.3.2网络一虚多技术
网络一虚多技术,已经根源久远,从Ethernet的VLAN到IP的VPN都是已经成熟技术,FC里面则有对应的VSAN技术。此类技术特点就是给转发报文里面多插入一个Tag,供不同设备统一进行识别,然后对报文进行分类转发。代表如只能手工配置的VLAN ID和可以自协商的MPLS Label。传统技术都是基于转发层面的,虽然在管理上也可以根据VPN进行区分,但是CPU/转发芯片/内存这些基础部件都是只能共享的。
目前最新的一虚多技术是类似Extreme Networks在交换机系统中实现的Virtual Router,和VM一样可以建立多个虚拟交换机并将物理资源独立分配,目前的实现是最多可建立64个VR,其中有一个用做管理。
2.4 VM互访技术(VEPA)
随着虚拟化技术的成熟和x86 CPU性能的发展,越来越多的数据中心开始向虚拟化转型。虚拟化架构能够在以下几方面对传统数据中心进行优化:
提高物理服务器CPU利用率; 提高数据中心能耗效率; 提高数据中心高可用性; 加快业务的部署速度
正是由于这些不可替代的优点,虚拟化技术正成为数据中心未来发展的方向。然而一个问题的解决,往往伴随着另一些问题的诞生,数据网络便是其中之
一。随着越来越多的服务器被改造成虚拟化平台,数据中心内部的物理网口越来越少,以往十台数据库系统就需要十个以太网口,而现在,这十个系统可能是驻留在一台物理服务器内的十个虚拟机,共享一条上联网线。
这种模式显然是不合适的,多个虚拟机收发的数据全部挤在一个出口上,单个操作系统和网络端口之间不再是一一对应的关系,从网管人员的角度来说,原来针对端口的策略都无法部署,增加了管理的复杂程度。
其次,目前的主流虚拟平台上,都没有独立网管界面,一旦出现问题网管人员与服务器维护人员又要陷入无止尽的扯皮中。当初虚拟化技术推行的一大障碍就是责任界定不清晰,现在这个问题再次阻碍了虚拟化的进一步普及。
接入层的概念不再仅仅针对物理端口,而是延伸到服务器内部,为不同虚拟机之间的流量交换提供服务,将虚拟机同网络端口重新关联起来。
做为X86平台虚拟化的领导厂商,VMWare早已经在其vsphere平台内置了虚拟交换机vswitch,甚至更进一步,实现了分布式虚拟交互机VDS(vnetwork distributed switch),为一个数据中心内提供一个统一的网络接入平台,当虚拟机发生vmotion时,所有端口上的策略都将随着虚拟机移动。
虚拟以太网端口汇聚器(VEPA)是最新IEEE 802.1Qbg标准化工作的一个组成部分,其设计目标是降低与高度虚拟化部署有关的复杂性。如果我们研究一下使用虚拟交换机的传统方法就会发现,它与VEPA方法存在很大的不同,VEPA使用户可以深入了解虚拟化及联网中的各项部署挑战和需要考虑的因素。
当您的物理主机上的监视程序上有多台虚拟机(每台虚拟机都包含一套操作系统和多种应用)时,这些虚拟机在相互通信和与外部世界通信时都要使用虚拟交换机。事实上,虚拟交换机是一种第2层交换机,通常以软件的形式在监视程序内运行。每种监视程序通常都有一个内建的虚拟交换机。不同的监视程序所含的虚拟交换机在能力方面也是千差万别的。
当虚拟交换机从联网领域转移到服务器领域时,就有必要针对虚拟环境对传统的基于网络的工具和解决方案进行重新测试、重新定性和重新部署。从某些方面来说,这种变化会对虚拟化的快速扩展和普及造成阻碍。
例如,传统的网络和服务器运营团队是截然分开的,每个团队都有自己的流程、工具和控制范围。由于虚拟交换机的原因,联网进入了服务器的范畴,因此
像供应虚拟机这样的简单任务也需要这些团队之间开展额外的协调工作,从而确保虚拟交换机的配置与物理网络配置保持一致。
由于缺乏网络中虚拟机之间流量的可视性,因此涉及到虚拟机之间通信的故障查找和监视也变成了一项极具挑战性的工作。而且随着虚拟机数量的增长,单个服务器中的虚拟机目前已经达到8至12台,并且会在不久的将来达到32至64台,因此,保护虚拟机彼此不受干扰,以及不受外界威胁的侵害都变成了一项需要认真考虑的问题。
从防火墙到IDS/IPS,基于网络的传统设备和工具都需要针对这些高度虚拟化的环境重新开发、重新认证和重新部署,从而确保虚拟机之间通过虚拟交换机的通信能够满足法规一致性和安全方面的要求。
由于在虚拟交换机方面缺乏标准,因此会增加涉及不同监视技术的培训、互用性和管理开销,进入使这些挑战变得更加复杂。事实上,物理服务器正在变成一种全面的网络环境,拥有自身的互用性、部署、认证和测试要求。
有趣的是,这种趋势与虚拟化最基本的优势之一是背道而驰的,即虚拟化能够将服务器中过剩的容量以更高的效率来运行各类应用。目前,这种“服务器中的网络”很有可能演变成这些过剩容量的消费方,将CPU和内存资源吞噬殆尽。
VEPA的方法
为应用这些挑战,各方已经提出了多种不同的解决方案,其中就包括VEPA。VEPA是一种虚拟交换机替代产品;它不仅进入了标准化进程,而且成为业界众多厂商的一致选择。
事实上,VEPA会将服务器上虚拟机生成的所有流量转移到外部的网络交换机上。外部网络交换机接下来会为同一台物理服务器上的虚拟机和基础设施的其它部分提供连接。
实现这一功能的方法是将一种新型转发模式融入物理交换机中,使流量能够从来时的端口“原路返回”,从而简化同一服务器上虚拟机之间的通信。
“原路返回”模式(或称“反射中继”)可以在需要时将包的单一副本反向发送至同一台服务器上的目的地或目标虚拟机。对于广播或组播流量,VEPA能够以本地方式向服务器上的虚拟机提供包复制能力。
传统上,多数网络交换机都不支持这种“原路返回”模式行为,因为它可能会在非虚拟世界中造成环路和广播风暴。然而,许多网络厂商都开始支持这种行为,目的就是解决虚拟机交换的问题,而且使用简单的软件或固件升级即可实现。
IEEE的802.1Qbg工作组还努力将这种行为变成了标准。VEPA能够以软件的方式,作为监视程序中的瘦层在服务器中实施,也可以作为网卡中的硬件来实施,在后一种情况下还可以与SR-IOV等PCIe I/O虚拟化技术结合使用。其中一个典型的例子就是Linux KVM监视程序中提供的基于软件的VEPA实施。
事实上,VEPA将交换功能移出了服务器,并且将其放回物理网络中,而且让外部网络交换机能够看到所有的虚拟机流量。通过将虚拟机交换移回物理网络,基于VEPA的方法使现有的网络工具和流程可以在虚拟化和非虚拟化环境以及监视程序技术中以相同的方式自由使用。
防火墙和IDS/IPS等基于网络的设备,以及访问控制列表(ACL)、服务质量(QoS)和端口监视等成熟的网络交换机功能都可以直接用于虚拟机流量和虚拟机之间的交换,因此减少和消除了对虚拟网络设备重新进行昂贵的质量判定、测试和部署的需求。
此外,VEPA将网络管理控制层重新交给了网络管理员,为所有与虚拟机相关联网功能的供应、监视和故障查找提供了一个单一控制点。
将网络功能从服务器卸载至网络交换机能够带来诸多的优势,例如释放服务器资源并将其用于更多的应用,同时还可在虚拟和非虚拟服务器之间提供线速交换;从1Gbps至10Gbps,甚至可以达到40Gbps和更高的100Gbps。
因此,基于VEPA的方法有助于扩大虚拟化部署,降低复杂性和成本,并且加快虚拟化的普及。
尽管基于VEPA的方法能够带来许多好处,但在某些环境下,虚拟机间流量的交换最好还是留在服务器内部。例如,在有些环境下物理服务器要承担虚拟机的巨大负荷,而且这些虚拟机之间的通信非常频繁,因此为了将延迟降至最低程度,最好的方法是将虚拟机之间的流量留在服务器内部。
在此类场景中,可能的方法之一是绕过基于监视程序的软件虚拟交换机,利用新型网卡提供的交换硬件能力,即SR-IOV等基于入向I/O虚拟化的能力。同样,在使用这种方法时,也需要权衡考虑完全使用“服务器中的网络”模型时的安全和成本问题。
随着服务器虚拟化的广泛普及,服务器内和服务器间虚拟机交换流量的复杂性都在不断提高。基于VEPA的虚拟机间流量交换方法能够为基于虚拟交换机的传统方法提供一种非常有趣且极具吸引力的替代方案。为了向网络和服务器基础设施提供支持VEPA的能力,此类技术的标准化工作正在紧锣密鼓地进行当中。
2.5 虚拟机迁移网络技术
虚拟服务器能够大幅度提升服务器计算资源利用率,但是仍然只发挥了虚拟化优势的很小一部分。虚拟化向网络的延伸使虚拟机能够在应用程序运行的同时实现在物理服务器之间的漂移,并按需提供容量,无需增加昂贵且未尽其用的平台。更重要的是,动态虚拟机的创建和移动让管理员能够迅速响应新的请求,从而提高用户的生产效率和客户满意度。但是目前传统的网络设备并不能满足这种动态迁移的需求,这成为虚拟化进程中的瓶颈,而解决这一瓶颈就意味着虚拟化时代的真正到来。
将虚拟化优势延伸至网络,如何动态并经济有效地分配资源,来满足高峰和低谷时的业务需求显得至关重要。通常在一个工作日中,对计算资源的需求会从最小量开始增长。虚拟机可以立刻迁移至其它新启动的服务器上去,以满足需求。在工作日结束时,对计算资源的需求会降低,那时虚拟机可以迁回原来的服务器,并关闭不需要的服务器资源,以简化管理并降低供电成本。在这个过程中,网络的虚拟化至关重要,网络可以使得虚拟机的动态迁移成为可能,还可以保证在任何情况下对于应用的保护,甚至可以使得用户感觉不到虚拟资源的扩展或缩小。 日常的虚拟机迁移只是虚拟机漂移技术的一种实践应用。当服务器离线进行维护或发生故障时,虚拟机也可进行漂移以支持业务的连续性。为了利用这些优势,在硬件平台间漂移虚拟机相关的网络配置虽并不复杂,但却至关重要且非常耗时。此外,当虚拟机在数据中心内漂移时,与每台虚拟机相关的网络层策略必须随之漂移。这些策略控制着安全、服务质量(QoS)等因素,并因用户和应用的具体情况而异。因此,为每个业务应用维持相适应的网络策略对于业务运营而言至关重要。
虚拟机从一台物理服务器漂移至另一台之前,与之相关的网络端口配置以及安全策略必须针对目标服务器进行正确的设置,以满足安全需求。如果数据中心存在大量的服务器和虚拟机迁移,那么手动配置会消耗大量的时间和资源。
利用网络虚拟化的解决方案可使虚拟机迁移相关的网络管理任务实现自动化,且无需大量的管理人员。 针对虚拟机漂移的自动化网络管理
实现虚拟机漂移的网络自动化最关键的,就是构建一个包含智能软件的网络交换机,来对单个虚拟机进行配置。传统的网络交换机是通过一个物理端口来与它连接的服务器进行通信的。而包含智能软件的交换机,则能够实现对单个虚拟机的感知,以及对每个虚拟机进行网络配置,从而将单个虚拟机属性扩展到整个网络。当虚拟机在整个网络迁移时,交换机能够追踪这种迁移,并确保网络设置与虚拟机一起实现迁移。
虚拟机感知的一个重要方面是能够与多种架构相兼容。被称为虚拟机监控器(VMM)是虚拟化软件的重要组成之一,它能够使多种操作系统在单一主机平台中运行。目前可支持Citrix、微软、VMwareXen,Oracle等虚拟化平台。 由于数据中心通常运行不同的虚拟化架构,因此,具备兼容多个虚拟化架构的能力至关重要。研究和开发部门或许更青睐某一款架构,因为它使用户能够更好地管理服务器;而数据管理员为了其他用户也许会统一使用另一款来自指定厂商的虚拟化架构。或者,数据中心管理员因为价格或其他因素也许会选择逐步迁移至其它厂商的架构,从而创建一个临时的混合型环境。而网络是承载这些架构的基础,网络的虚拟化同样也需要对于混合环境提供很好的兼容性。 基于交换机的虚拟化产品也包含的有价值的特性:
? 跟踪虚拟机的迁移,无需变更以太网数据包,最大限度提高资源利用率。 ? 内置于交换机的智能软件可以缓解网络管理员的负担? 该架构能够方便用户在虚拟层中配置网络设定,从而提高生产效率。 ? 同时支持多种虚拟化架构,最大限度提高灵活性。
?管理平台界面简化管理。
针对虚拟化网络的解决方案已成为现实。Extreme Networks公司的XNV技术,能够搜索虚拟机并使性能和安全设置与虚拟端口(而非物理端口)相联系。使用管理员拥有粒度标准来监测每台虚拟机及其相关的虚拟端口。XNV还可监测虚拟机的创建和迁移,并确保网络设置随着虚拟机迁移。这些功能都有助于降低由网络配置错误引起的应用宕机风险,以及将敏感应用暴露给未受权用户的安全
风险。
综上所述,数据中心的虚拟化,即“网络感知”和开放性,是新的数据中心的必备能力,只有这样,用户才能优化资源利用率,降低手动维护安全策略所造成的人工错误,因为虚拟化提高了数据中心的可用性,并降低了总体拥有成本。
第三章 方案设计
3.1网络总体规划
数据中心网络的建设,需要考虑到以下的一些因素:系统的先进程度、系统的稳定性、可扩展性、系统的维护成本、应用系统和网络系统的配合度、与外界互连网络的连通、建设成本的可接受程度。
网络整体设计采用国际通行的TCP/IP协议,并达到以下目标: 1)系统可靠性和稳定性
作为高性能园区网络,系统的高可靠性和稳定性是网络应用环境正常运行的首要条件。在保证系统可靠性的基础上,还要进一步提高系统的可用性。我们可以从以下几个方面来提供保证。
? 网络设备、主机系统具有很高的平均无故障时间,并且在业界有广泛的用户
基础;
? 关键网络设备冗余工作,其关键部件可实现在线更换(热拔插),故障的恢
复时间在秒级间隔内完成;
? 网络在设备、拓扑以及线路等方面均应具有较高的可靠性,以保证每周7*24
小时,每年365*24小时的正常工作。 2)开放性和标准化
为了保证在网络时保证不同设备的互通性,所以网络系统在设计时必须采用开放技术、支持国际标准协议,具有良好的互连互通性,保证支持同一厂家的不同系列的产品以及与不同厂商的不同网络设备无缝连接和互操作的能力。 3)具有高处理能力、可扩展性
现支持各种高速网络(快速以太网、千兆以太网、万兆以太网等技术),提高对数据包的转发能力和速度,提供足够的网络带宽。支持各种协议并存,可灵
活地构成不同系统,并可方便地从拓扑的角度和设备的角度扩展,方便升级以满足将来业务增长的需要。
在网络设计时,为了适应用户快速增长的需要,首先要满足现有规模网络用户和应用的需求,同时考虑未来业务发展、规模的扩大,应该设计关键网络设备具备扩展能力以及网络实施新应用的能力。
灵活扩充性:灵活的端口扩充能力,模块扩充能力,满足网络规模的扩充。 支持新应用的能力:产品具有支持新应用的技术准备,能够符合实际要求的,方便快捷地实施新应用。
4)系统的先进、成熟、实用性及可管理和可维护性
当今世界,通信技术和计算机技术的发展日新月异,网络设计既要适应新技术发展的潮流,保证系统的先进性,也要兼顾技术的成熟性、实用性,选择最合适的设备和技术,降低由于新技术和新产品不成熟因素给用户带来的风险。
在系统设计中,选择先进的系统管理软件是必不可少的。我们在这里采用我们通过这个统一的管理平台的控制,监控主机系统、网络系统、应用系统状态,简化管理工作,提高了主机系统和网络系统的利用效率。提供先进而完善的网络管理工具,监控网络故障,优化网络性能,实现一体化的网络管理。网络管理基于SNMP,支持RMON和RMON2。 5)系统安全性和保密性
现在我们网络内接入的用户对网络的好奇心,促使会攻击我们内部网络,我们制订统一的安全策略,整体考虑网络平台的安全性,能够提供不同方式不同级别的安全策略,保证网络重要用户和数据服务器的安全性。
所以说安全性是网络运行的生命线。合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护。网络可以阻止任何非法的操作;网络设备可进行基于协议、基于MAC地址、基于IP地址的包过滤控制功能,不同的业务,划分到不同的虚网中。
6)保护用户现有投资及效益性
在保证网络整体性能的前提下,网络设计充分保护用户投资及效益性,利用现有的网络设备或做必要的升级,在原设备的基础上,进行网络建设,避免用户投资的重复浪费,在满足用户需求和未来发展的趋势情况下,采用性价比高的设
备,构筑经济可靠的网络平台,使新系统更有效地承担繁重的任务,能支持将来系统的维护和平滑升级。所采用的设备应是当今业界的主流产品,采用主流技术、标准协议,具有良好的互操作性,减少设备互连的问题,网络维护的费用,使用户的投资得到有效保护。
3.2省级数据中心网络设计
对于省级数据中心,一般规划为大约五百台高性能服务器,在这种模式下,可以规划2-3层网络连接模式(下图为3层)
如上图所示,一般情况下,大型数据中心采用2-3层网络结构,以3层结构
为例,采用2台高性能Extreme Networks BD8800核心交换机,提供48个四万兆(40G接口),通过40G通道下联到汇聚层Summit X670系列交换机。每台Extreme Networks Summit X670交换机提供48-60个万兆万兆接口,并提供四万兆接口上联,万兆下联Summit X460交换机,通过X460交换机使用千兆连接所有服务器。
但是对于新型的大型数据中心,万兆网络连接已经成为主流,所以一般使用
万兆连接服务器,则直接将网络简化为如下2层:
万兆以太网技术目前已成为建设大中型数据中心网络的主流技术。为实现数据网络平台的功能,并考虑网络在性能、容量、扩展性、先进性和服务质量等方面的要求,经过对交换以太网、快速以太网、千兆以太网、万兆以太网不同网络架构在VLAN(虚拟局域网)技术、第三层或多层交换技术、QoS、ACL等方面的性能表现及成本分析,确定将高密度端口的万兆以太网交换机作为整个信息网络的接入设备。
通过将万兆以太网、千兆以太网、VLAN技术、三层路由交换、局域网中的QoS、ACL技术与投资经济性实现完美的有机结合,建立一个具有成熟的先进技术,同时又可简便维护和安全使用的网络。
在省级网络设计中,我们最终推荐核心到接入交换机40G连接,接入到服务器10G连接。
3.3市级数据中心网络设计
市级数据中心一般采用小于100台服务器,根据省级网络的建设设计,我们同样使用万兆进行连接,这里采用一台Summit X670系列交换机。每台Extreme
Networks Summit X670交换机提供64个万兆万兆接口,或者采用X670交换机堆叠,提供112个万兆端口,如下图所示:
3.4区县级数据中心网络设计
区县级数据中心,一般采用普通企业级服务器,不进行大规模数据集中,所
以一般只适用千兆进行接入,所以采用两台千兆交换机Extreme Networks Summit X460进行互联,通过冗余备份设置,千兆连接内部所有服务器。
3.5省、市、区/县数据中心互联设计
对于大多数行业客户如医疗、教育或政府等,其数据中心不只为本地市提供
数据交换和处理,同时各级数据中心之间还需要进行数据的远程交换和共享,从而充分发挥多级数据中心架构的优势,使各级数据中心协同工作、远程交换、数据共享和统一管理。因此省、市、区/县数据中心的互联也势在必行。
3.5.1省、市数据中心互联
省数据中心由于数据量较大,需要同时汇聚地市一级数据中心,因此在省数据中心推荐配置两台MP7508作为核心汇聚路由器,并互为备份。MP7508汇聚路由器通过1000M光接口连接省数据中心核心交换机BD8800,再通过1000M MSTP或155M SDH/ATM网络分别连接各个地市数据中心上联路由器MP7204,地市上联路由器MP7204通过1000M光接口连接其核心交换机X670。由于MP7508和MP7204路由器的高性能,从而实现省、市数据中心的高速互联,其软/硬件高可靠性设计以及每个节点采用双机备份的方式,实现了数据传输的高可靠性和稳定性;另外我们可采用MPLS等安全技术,进一步保证数据传输的安全性。
3.5.2市、区/县数据中心互联
根据不同的行业和应用,市数据中心与区/县数据中心之间数据流量不同,在数据流量较大的应用中,市数据中心采用MP7204中心汇聚路由器通过100M或1000M MSTP线路连接各个区/县数据中心MP3840汇聚路由器;对于数据流量较小的行业或应用,市数据中心MP7204可采用155M SDH线路,采用2M复用的方式连接各个区/县数据中心MP2824,区/县数据中心可根据实际带宽需求采用2M或N*2M链路捆绑方式接入市数据中心。同样为了提高互联的可靠性,地市汇聚路由器和区/县上联路由器均采用双机双线路冗余备份方式,确保数据传输的高可靠性。
3.5.3数据中心安全解决方案
虽然数据中心处于一个相对安全的私有网络环境,不同级别的数据中心也可通过运营商专有线路进行互联互通,其内部数据中心和传输线路上有一定的安全保障。同时为提高数据中心的开放度和利用率,以及远程管理等,其势必要与外部网络或internet进行数据的互联互通,为外部或互联网用户提供数据业务和管理。因此在数据中心的边界需要充分考虑其接入和互联互通的安全性,需要有效的的边界隔离,可以实现对非法访问的阻断;其二是有效的身份识别与访问控
制功能,可以实现对源地址的定位、识别和控制;其三是建立有效的对抗攻击能力,实现对异常流量、恶意代码、有目标的渗透等情况的鉴别和防护;其四是建立深度应用识别与攻击检测,对应用数据包进行深度检测,防范欺骗;其五是可以实现业务间隔离与带宽资源控制,保障重要业务访问;其六是保护数据传输安全,防止数据被窃听和篡改;同时,还必须具有高可靠性的安全设备来防止由于高并发访问量、系统故障等突发情况而带来的访问不便。此外,由于边界是数据中心正常运行的重要节点,部署安全产品必须具有便于管理的特点,这就要求设备能够适应不同的网络环境,配置尽量简单方便,特征库能够自动升级,可以提供丰富的访问审计功能,能够对流量进行有效监控,能够提供丰富的攻击统计,使数据中心系统管理员能够充分掌握数据中心的安全态势,为不断地优化安全策略提供依据。因此我们建议采用综合的安全网关作为数据中心边界接入和隔离,为其提供用户安全接入、抗攻击、入侵检测、防病毒、高性能VPN、带宽管理等综合安全解决方案,避免了采用多厂家多型号的安全产品而带来的管理和维护上的安全风险。
以下为数据中心安全解决方案:
在省、市、区/县数据中心边界,我们采用MSG4000综合安全网关作为外部
移动用户、远程管理以及第三方平台等用户和平台的接入。MSG4000作为一款综合安全产品,可根据用户需求提供从100M到10G不同性能需求,省、市、区/县数据中心可根据实际需要选用不同性能层次的MSG4000;同时MSG4000在功能上可为客户提供安全防护、病毒过滤、入侵检测、应用识别、流量管理、WEB访问控制、上网行为管理以及IPSEC/SSL VPN等功能,满足客户整个安全防护的需求,从而避免了由于设备数量、种类较多带来的维护和管理上的不安全因素。
第四章 方案的新技术特点
4.1量身定制的数据中心网络平台
4.1.1最先进的万兆以太网技术
Extreme公司作为以太网技术的先驱,一直致力于生产严格遵循业界标准的以及可与其他厂商兼容的产品,Extreme Networks是由100家国际知名网络公司组成的千兆以太网联盟和万兆以太网联盟的领导者。Extreme交换机的10GB以太网模块在世界上第一个实现单跳网络传输1 TB数据流量。Extreme公司一直走在10GB以太网交换技术开发的前沿,公司的发起人及首席技术官Steve Haddock现任IEEE 802.3ae任务小组副主席,该小组已经为10-GB以太网开发了行业标准。Extreme Networks的Tony Lee自2000年3月起,在两年任期内担任万兆以太网联盟主席,另一名Extreme Networks技术专家Ameet Dhillon目前则担任万兆以太网联盟理事。Extreme交换机的扩充能力和高端交换性能标志着基于标准的高性能以太网技术的重大进步。 万兆以太网市占有率:
场的全球市场
Extreme在万兆网络应用从初期就一直保持着市场领先地位
4.1.2硬件全线速处理技术
网络业务的不断增多,各种应用的流行,对网络也提出了新的要求,传统的以太网交换机由于基于共享的设计理念,对于音频、视频以及数据的各种业务的传输是无法识别区分的,对于多媒体业务的开展需要更智能的设备来支撑。高速的网络数据传输应用已经不是一个高级网络唯一的重要指标。网络的发展方向是支持线速无阻塞地传输各种多媒体等高级应用,在开启各种网络应用和功能的情况下,保证网络畅通。这也是Extreme公司的强大技术优势所在。
Extreme的智能网方案采用先进的组播技术和Qos保证机制,实现全线速的高质量的业务运行。核心设备的大密度的高速端口使得网络设备具有大容量的交换处理能力,以避免拥塞和延迟。Extreme采用无阻塞交换结构,基于先进路由交换机制,能够提供线速处理能力。以此为基础,通过合理的网络设计实现高性能的网络。
Extreme的全线三层产品交换产品均可实现满载情况下的二层线速帧交换和三层线速包转发。应该强调的是,实际运行的网络需要配置很多控制功能,如 QoS处理、ACL、策略路由等,此时需要交换机耗费更多的资源以实现相应的网络控制处理功能。Extreme产品能够保证性能和功能的一致实现,即在打开诸多控制处理功能的前提下,依然保证数据包的真正线速处理和转发。
Extreme的共享内存式的交换背板结构大大提高了组播转发的效率,节省了交换矩阵的带宽。其他网络厂家的交换机支持的组播、ACL、Qos等都是基于软件技术和CPU运算的,由于占用大量处理器和内存资源,经常会导致丢失数据包,在性能上能上都达不到无丢包的限速传输,不得不以添加昂贵的内存条为代
价。 Extreme主推的真正的线速网络是性能和功能的全面线速,包括线速路由、线速ACL、线速Qos、线速组播,Extreme的网络设备的Qos、组播、ACL都是通过专门的集成芯片来完成,不占运行用系统资源,这也是目前业界唯一能够同时实现四种线速的全线速核心交换设备。国防大学在新网络未来要承载各种多媒体为基础的新应用,影像方面需要应用到组播、Qos技术都会在本方案的设计中得到卓越的性能表现,优异的全线速网络设计能够为科研和业务的效率提高作出巨大的贡献。
组播结构
传统的组播结构
可以看到在传统组播结构上,要实现组播组的发送需要组播发送端通过传统的交换矩阵多次发送,这样造成了组播数据在整个转发过程中速度慢,同时对端口带宽占用资源过大、占用时间过长,容易造成端口拥塞。
4.1.3 Extreme Direct Attach技术
今天的虚拟机管理程序利用一个内部的“虚拟交换机”为在一个服务器内部的虚拟机(VM)之间以及它们与外部网路之间提供网络连接。这个虚拟交换机给数据中心网络增加了第四个层级。
今天的许多刀片服务器利用一个内部的“刀片交换机”来汇聚刀片服务器机箱内的每个物理服务器的数据流量。这些交换机给网络增加了第五个层级。
虚拟交换机和刀片交换机的组合把交换层级从3层提高到5五层,显著提高了网络延迟并增加了数据中心内的网络元素,这也增加了数据中心管理的复杂性。
Extreme Networks的Direct Attached技术消除了虚拟交换机层,简化网络并提高网络性能。Extreme Networks的BlackDiamond?8800交换机中的8900系列交换模块通过利用高密度板卡和布线系统,消除刀片交换机并使数据中心得到简化,从而使数据中心的层级数量从5层简化为3层。
今天的数据中心网络可以通过结构化分“层”定义。通常情况下,有一个“网络核心”,它是所有数据中心设备的中心连接点。这是数据中心网络的“第一层级”。这个核心可能是一个交换机,或者更通常是由冗余交换机组成的集群来连接所有设备:网络设备、安全设备和服务器。而网络的“第二层级”是汇聚交换机,它连接接入交换机和核心。这层常用于大型数据中心,一般没有必要用在中型数据中心。“第三层级”的交换机,通常被称为接入层交换机,它直接连接服务器。这些接入交换机通常被称为“架顶式交换机”或“行末式交换机”。
这种无论是两个或三个层级的模式是已经被多年使用,且广为熟悉的。
目前数据中心有两个重要的趋势,它们正在改变数据中心网络的实现方式,一个在物理方面,而另一个在虚拟化方面。这些趋势给数据中心网络增加了额外的层级。
趋势一:虚拟化
在过去几年的数据中心最重要的发展趋势是虚拟化的应用。虚拟化是一种技术,使一台物理服务器允许安装多个虚拟服务器/虚拟机。这样可以提高服务器利用率和有助于服务器的整合,对于灾难恢复和容量管理等有诸多好处。虚拟化在企业数据中心和主机托管数据中心中非常流行。而由于高性能计算集群或大型互联网消费网站的自身性质,虚拟化不太可能应用在这些领域。
虚拟交换机
虚拟化引入了“虚拟交换机”的概念。
在非虚拟化数据中心,每个服务器运行一个操作系统,该操作系统管理的物理网络连接到与其它用户和服务器。在虚拟化环境中,有多个虚拟机运行在物理服务器上。这些虚拟机必须共享一个物理网络连接,并且需要互相通信。这给虚拟交换机或“vSwitch的”概念带来了用武之地。虚拟交换机是一个运行在服务器上的模拟2层网络设备的软件。虚拟交换机的功能是使一个服务器内的虚拟机可以互相通讯并且可以与外界通讯。虚拟交换机仿造了二/三层交换机的一部分功能以实现上述通讯功能。虚拟机运行在虚拟化管理软件中,所以它不是通用的。目前VMware、Microsoft和Citrix在自己的虚拟化管理软件中都含有虚拟交换机。另外其它一些网络厂商也推出了额外收费的虚拟交换机,例如Cisco的Nexus 1000。 一个需要注意的关键点是每个物理服务器都需要一个虚拟交换机。例如一个有40台服务器的机柜需要40个虚拟交换机,一个有16个刀片的刀片服务器需要16个虚拟交换机。网络中虚拟交换机的数量与网络中运行虚拟化的服务器的数量是一一对应的。这些虚拟机每一台都需要管理和配置。
虚拟交换机的优点:
虚拟交换机是由虚拟化管理软件厂商发明的,用于虚拟机与网络间进行通讯。直到现在,虚拟交换机还是虚拟机之间,虚拟机与其它服务器和用户之间通讯的唯一手段。
虚拟交换机带来的问题:
安全性:虚拟交换机的主要功能是满足同一服务器内部的虚拟机之间的通讯。因为虚拟交换机存在于服务器内部,虚拟机和虚拟机之间的数据流量对于外界网络是不可见的。这样一些由非法虚拟机引发的安全问题很难被发现。
网络与系统管理软件的可见性:同样由于虚拟机和虚拟机之间的数据流量对于外界网络是不可见的,对于虚拟机和虚拟机之间的流量的管理和监控非常困难。传统的基于端口镜像的网络工具无法在这样的环境中使用。
性能的不可预见性:虚拟交换机使用软件而非线速的交换机硬件来进行数据的转发。虚
拟交换机的转发性能,以至于服务器的网络性能都取决于CPU的可用资源,而该资源又取决于虚拟机上的应用程序。这与服务器的优化是矛盾的:当服务器通过虚拟化增加利用率时,服务器的网络性能实际会下降,这与使用虚拟化优化服务器的设想是相违背的。
额外的网络层级:虚拟交换机为传统的网络增加了第四个层级。这样增加了网络的跳数从而增加了端到端的网络延迟。
虚拟交换机与服务器一一对应引起的扩展性问题:每个服务器都需要一个虚拟交换机,
整个数据中心的网络设备数量大大增加。一个有40个服务器的机柜需要40个虚拟交换机,而只要一台网络交换机。这样大大增加了数据中心内需要管理和配置的网络元素,增加了数据中心的运维成本。
管理的复杂性:每一个虚拟化管理软件厂家都有一个和自己软件配合的虚拟交换机。在一个使用多种虚拟化软件的数据中心,需要对多种虚拟机管理进行人员培训和制定管理流程,增加了数据中心管理成本。
问责的冲突:到底由哪个部门来管理虚拟交换机呢?是因为虚拟交换机运行在服务器内部而由服务器部门负责呢?还是因为它是网络元素而由网络部门负责呢?这些问题会带来潜在的冲突,增加管理和实施解决方案的复杂度。
趋势二:刀片服务器
刀片服务器为机架内容纳高密度服务器提供了解决方案。一个刀片服务器机箱可以容纳16个服务器,一个标准机柜可以容纳3个或4个刀片服务器机箱。这样一个机柜可以容纳48或64个高密度服务器,并且可以简化管理。
刀片服务器带来的挑战是它在一个机柜内制造了很高的布线密度,使为每台服务器提供布线成为挑战。正是这个原因,各个刀片服务器的厂商都制造一种插入刀片服务器机箱的“刀片交换机”。
刀片交换机的优点:
刀片交换机的主要优点是简化了布线。刀片交换机连接所有的服务器,并上连到网络的第三个层级。如果没有刀片交换机,每个服务器需要一个以太网连接到第三级网络,这样每个刀片服务器机箱就需要16根跳线。有了刀片交换机跳线数量减少为1到8根。
刀片交换机的问题:
刀片交换机给网络带来高复用比,这样可能造成网络拥塞并限制服务器的性能。一个典型的刀片交换机包含24个以上的端口或连接。其中16个端口用来连接服务器,另外8个端口用来连接接入层网络设备。这样造成2:1复用,使网络最高性能减少50%。
从物理网络的角度看,刀片交换机给网络增加了“第五层级”。如我们前面讨论的,每个网络层级都因为转发时延带来端到端的延迟。这个额外的层级增加了网络元素的数量,从而增加了成本,包括刀片交换机本身的成本和配置管理刀片交换机的时间成本。
因为刀片交换机是一个根据刀片服务器机箱定做的产品,它与数据中心汇聚和接入层级的独立交换机相比通常具有不同的功能和管理结构。这带来的管理的复杂性,因为网络管理员需要学习和管理不同的交换机系统和管理软件。
刀片交换机同样带来组织管理上的问题。它是应该由管理核心/汇聚/接入交换机的网络部门管理?还是因为它在服务器内部而由服务器部门管理?这个职责的混淆会在配置不兼容以及涉及多个部门在数据中心排错时带来问题。
虚拟化和刀片服务器趋势的叠加效果是把网络层级从3层增加到5层。当虚拟交换机引入时增加了1层,刀片交换机引入时又增加了1层。
由于显著地增加了网络复用比以及端到端的延时,5层网络的性能低于3层网络。另外这样还需要更多电力和冷却能力并大大增加管理成本。
Direct Attach减少网络层级
什么是Extreme Networks的Direct Attach?
Direct Attach是Extreme Networks实现虚拟机在网络中进行交换的技术。一些厂家通过在服务器中的虚拟交换机实现虚拟机数据交换。而Extreme Networks的Direct Attach技术把虚拟机之间的数据交换功能从服务器中迁移回网络设备中。这样使管理员可以在享受服务器虚拟化带来的好处的同时利用成熟的、线速的网络交换机处理虚拟机数据交换。
从本质上讲,Direct Attach允许虚拟机无需通过服务器内的软交换机直接连接到网络。Direct Attach通过去掉虚拟交换机减少了网络层级,从而节约成本,降低延时,减少网络复用并且简化了管理。最后它使管理员在无需考虑虚拟机管理软件的情况下实施一致的网络策略,保证网络的安全且符合规定。
另外,高扇出的交换机模块以及专用的布线方案可以使刀片服务器机箱中的服务器直接连接到数据中心网络,从而使数据中心网络简化。
Direct Attach如何工作
Direct Attach软件包是ExtremeXOS的一个可加载模块。它可以被安装在基于
ExtremeXOS的Extreme Networks的Summit系列堆叠交换机(包括Summit X450、Summit X480、Summit X650)和带有8900系列模块的BlackDiamond 8800交换机。
Direct Attach软件把端口上的数据根据虚拟机进行分类,然后根据交换机中二/三层转发协议进行转发。虽然所有的数据包都从一台物理服务器发送和接收,所有交换机策略仍然会针对每个虚拟机的数据流发生作用。
使用Direct Attach技术去掉虚拟交换机的好处
更高的可预见的性能:使用Direct Attach技术不需要服务器内的软件转发数据包,所
有的数据包都通过以太网交换机线速转发。这样无论服务器的负载如何,都可以保证可预见的性能。
更广泛的网络功能:当今的以太网支持非常广泛的功能,包括服务质量、ACL安全等多年来开发的功能。使用Direct Attach技术,这些功能可以针对数据中心内的所有虚拟机生效。
管理更少的网络元素:在一个有10个机柜,每个机柜有40个1U服务器的数据中心,使用Direct Attach技术只需要第三级的10个网络元素而不需要第四级的网络元素。如果不使用Direct Attach技术,需要管理410个网络元素,除了第三级的10的10个还有第四级的400个网络元素!在这个实例中,减少了98%的需要管理、配置和维护的网络元素。
增强的安全性:在使用虚拟交换机的情况下,虚拟机之间的数据流量永远不会流出服务器。这样很难部署交换机的安全功能,例如ACL和在线的安全检测设备。使用Direct Attach技术,所有虚拟机和虚拟机之间的通信对交换机而言都是可见的,可以被安全策略如ACL、端口镜像等进行处理。
易于管理:Direct Attach技术使数据中心内的所有数据交换机的管理回归到网络管理员手中,消除了与服务器团队的潜在冲突。
不同虚拟化管理软件环境下的轻松管理:Direct Attach技术不依赖于虚拟化管理软件,可以兼容绝大多数虚拟化管理软件。这样它可以在混合有多厂家虚拟化系统的数据中心良好工作。
交换机与布线系统设计
除了可以通过Direct Attach技术去掉虚拟交换机,这个Extreme Networks的解决方案还有另外的好处。BlackDiamond 8800交换机通过MRJ21技术提供高密度千兆接口解决方案。MRJ21技术把6个全带宽的千兆接口集成到1根线缆中。使用这种技术制造的96口千兆模块使1个机箱可以容纳768个千兆接口,使刀片服务器可以轻松接入8800交换机。
Direct Attach布线系统可以把刀片服务器机箱内的所有服务器直接连接到模块化交换机的端口,而无需使用刀片交换机。一个有4个刀片服务器机箱,每个刀片服务器机箱有16个服务器的机柜内的所有服务器都可以直接连接到1个BlackDiamond 8800交换机的8900系列模块上。
这个高密度端口和高密度布线解决方案消除了使用刀片交换机的需求,从而消除了这个层级的网络设备。
结论:
Extreme Networks的Direct Attach技术和高扇出的服务器模块可以被一起使用,也可以被单独使用。如果一起使用您可以去掉虚拟交换机和刀片交换机,从而使网络层级从5层减少到3层,进而建立一个更易于扩展、易于管理和降低成本的网络架构。
减少网络层级的好处
? 更低的复用提高网络性能使之更可预测 ? 更少层级意味着更低延迟
? 更少的拥塞点意味着更可预测的性能 ? 更少的网络元素意味着更少的故障点 ? 更少的网络元素意味着更少的电力消耗 ? 更少的交换机意味着更低的总体拥有成本
Direct Attach技术如何减少网络层级
? 去掉虚拟交换机 ? 去掉刀片交换器
4.1.5 帮助虚机无缝迁移的XNV技术
数据中心里服务器虚拟化的广泛采用推动了整合,降低了能耗,并提高了可用性和灵活性。然而,服务器虚拟化也带来了一系列网络运行的挑战:从进行虚机交换的配置,到管理虚机在网络中的迁移,到提供虚机在网络上的位置及可见性信息。今天,网络管理员几乎没有合适的工具为他们提供虚机环境下的可视性、控制和更深层次的信息。
极进网络的XNV提供了服务器虚拟环境在网络层面的可见性和控制,并且与具体采用的虚拟平台无关,也无需对服务器的操作维护环境做任何改动。这允许网络管理员可以有效的对高度虚拟化的数据中心环境进行监视、实施、故障诊断,同时又能避免错误、降低应用的宕机时间、改进业务质量和响应时间。
服务器虚拟化允许一个操作系统和其上所有的应用可以完全从底层硬件上抽取出来。这不仅仅可以让多个虚拟主机运行在一个物理服务器上,而且允许虚拟主机从一台服务器迁移到另一台服务器——用于业务负载均衡或容错。虚拟主机的移动可以由服务器管理员手工完成,或由管理工具(如:管理业务负载均衡)自动完成。进一步说,在一台服务器上的两个虚拟主机之间的流量由基于软件的
二层交换机(称为虚拟交换机)在本地完成交换。
这些服务器环境的变化给网络管理员带来了一系列挑战:
1. 传统上,网络策略,如访问控制列表(ACL),服务质量(QoS)和流量控制的策略都是在交换机的物理端口上实施,并映射到相连的服务器及其应用特征。然而,由于有了虚拟化,多个虚拟主机会和同一个物理网络端口相连。这样,这些策略必须和一个物理端口下的多个虚拟端口和虚拟主机相匹配。而且,传统的故障诊断工具,如:物理网络端口上的包计数器和统计,也需要工作于虚拟的端口。如果没有这些能力,就很难进行故障诊断和达到相应的服务等级要求(SLA)。
虚拟主机可以从一台服务器移动到2. 虚拟化给数据中心增加了动态的元素。
另一台服务器——操作却非常简单,点击一下鼠标,或由自动化管理工具自动完成(如负载均衡工具)。但是,网络的配置——例如网络端口上对应某个安装了多个虚拟主机的服务器——却不能移动,跟踪和跟随虚拟主机在服务器间的移动。这会导致业务性能不能始终如一,降低或中断业务的可达性,以及一些安全和合规性的挑战。这反过来导致SLA不能得到满足,增加了人力的介入(服务器管理和网络管理员之间的协调),和数据中心的管理效率下降。
3. 虚拟主机的创建、配置、激活、迁移和禁止等操作通常由服务器管理员通过工具来完成。而网络管理员并不了解虚拟主机的生命周期情况。这意味着,在任何时候,网络管理员都不知道哪台交换机上连接了一个新的虚机,哪个虚机在数据中心里被创建了,某个虚机的网络特性等。但是,即使在在高度虚拟化的数据中心里,网络管理员也一样经常会需要进行虚机层面的某个应用的网络诊断。如果不了解虚机的生命周期信息,这样的诊断将既痛苦又漫长。也导致更长的应用宕机时间,也无法满足SLA。
演进网络,以适应服务器虚拟化
上述挑战的解决之道就在于演进网络,使之能高效的应对服务器的虚拟化。有几个重要的方面与之相关:
从服务器管理员创建一个虚机1. 将网络层面的可视性引入虚机的生命周期:
开始,到它被激活,迁移及最后被禁止,需要给网络管理员提供完整的可见性(当前的和历史的)。能够准确定位虚机在网络中的位置——在哪一台交换机的哪一
个端口,以及虚机的属性和位置历史信息,及整个网络中的所有虚机的网络信息清单,这些可以极大的简化故障诊断、减少服务器和网络管理员的协调工作量,最终降低应用的宕机时间提供更好的SLA响应。
2. 在虚机层面配置网络策略:网络的业务能力如ACL、QoS、流量限制、计数器和统计不仅需要在网络和交换机端口层面能够配置,还需要在每一个单独的虚机层面(或虚拟端口)层面可配置。这样可以允许更精确的配置虚机及其应用和服务,同时帮助在整个网络提供强健的安全性和合规性的计量。实际上,这还能帮助其他的网络技术能更快的应用于虚拟环境。并且,也有助于卸载服务器的CPU(进行网络流量处理的部分),以将CPU资源释放来用于应用和更多的虚机。
这对于支持虚拟化的网络的有效性3. 自动的动态跟踪和执行虚机网络策略:
非常关键。由于虚机可以在服务器间动态的迁移,网络需要能够跟踪虚机的迁移,并实时自动的迁移网络上针对虚机的属性和策略到虚机迁移的目标交换机上。这些要求必须是自动化的,才能降低配置的错误,减少服务的中断时间。提供这个级别的自动化可以极大的降低网络和服务器管理员的相互依赖性,极大的简化和理顺数据中心的维护工作。
4. Hypervisor无关的运行:许多数据中心开始部署多种不同的虚拟化技术。将网络功能从服务器转移到网络中的一个好处是,可以方便的支持混合的虚拟化环境。一旦网络上提供某种了网络功能,就相当于在多个虚拟平台上都具备了,而且无需修改服务器操作环境。
5. 投资保护:虚拟化可以在已有的服务器基础设施上开展。同样的,在现有的网络基础设施上虚拟化相关的业务能力的支持也很重要,这可以降低硬件设备升级的需要,提供更好的投资保护。这也让管理员可以逐步实施他们的虚拟化计划,而不是一次性整体替换。
今天的网络缺乏上述相应的工具和能力,因此对数据中心快速引入虚拟化形成了障碍。在数据中心进行上述的网络演进可以提高支持虚拟化的有效性。进一步说,数据中心管理员可以将各种规模的数据中心逐步的从物理的到虚拟的模型按照他们自己的步调进行迁移,不需要大规模替换设备也不需要彻底的修改操作维护流程。
XNV:将虚机生命周期管理引入网络
XNV是基于ExtremeXOS的交换机产品和EPICenter管理软件中的一套需要授权使用的软件功能。包括极进网络的网络实施和管理工具。XNV将高度虚拟化的数据中心的可视化、控制和自动化引入网络。XNV带来如下功能:
1. XNV提供了集中化的基于网络的虚机清单、虚机位置历史信息和虚机网络策略配置功能。XNV通过EPICenter来实现这一点——EPICenter通过标准API接口与虚机管理平台,如VMWare vCenter或其他,进行通信。
2. XNV提供集中化的网络配置和针对于各个虚机的分布式的网络策略。XNV通过在EPICenter集中管理的虚拟端口策略(Virtual Port Profile,与各个虚机关联)的框架来实现这一点。VPP用于为每一个单独的虚机配置ACL,QoS,流量限制和其他策略。VPP的执行则是在运行ExtremeOS、并使用了XNV的网络交换机上。
3. XNV可以在虚机从一台服务器迁移到另一台服务器时自动跟踪它,并实时自动迁移相应这个虚机的VPP到目标交换机上去——VPP将在这台交换机上自动强制执行。
并可以同时与多种hypervisorXNV不需要对服务器的运行环境做任何更改,技术兼容。
总结
服务器虚拟化带来一系列网络的挑战。为了应对这些挑战,落实虚拟化的好处,网络必须做一些根本性的改变。从为虚机运行环境提供网络级的可见性和可视性,到将网络功能移植到虚机层面,到自动跟踪虚机的迁移和调整、执行虚机的网络策略,网络需要重新定义,需要主动参与虚拟化。
使得网络可以有XNV为极进网络的数据中心产品提供了一个软件的升级包,
效的应对虚拟化,无论采取的是何种hypervisor方案都无需改变服务器的操作环境。XNV为虚拟主机的生命周期提供了基于网络的可视性,控制和自动化。XNV还为网络管理员提供了一条从现有的网络基础设施升级到虚拟化的道路,而无需彻底替换设备。这种升级途径能够保护现有投资,简便易行。
4.1.5环保节能的网络建设
构建数据中心网络,不仅仅考虑初期的采购成本,后续的操作和使用成本也是必不可少的,一个好的产品方案,无论初期采购还是后续维护使用,都要为客户着想,如何以最低的成本进行信息化应用,从而提高整体运营效率,提高经济效益。在能源日益紧张的今天,节能环保也纳入了网络设计当中,成为一个优秀方案的必备要素。对于国防大学,作为IT基础设施的网络建设,Extreme为用户寻求低耗电、高性能网络解决方案。所提供以太网局域网交换机的节能表现比其他品牌产品更胜一筹,相应为用户减轻中心机房用于散热所需空调压力。(以下图表数据来源于全球专业的第三方评测机构TollyGroup 2008年的测试报告)
以上的图标数据分别显示,Extreme的核心设备在同等模块数据流压力测试的情况下,能耗和其他品牌产品的对比。(包括空载、千兆交换、万兆交换情况
下,)可以明显的看出,该产品的能耗只是同类产品的1/4~1/3,这样的产品方案,为用户节省了大量的电力费用投入(包括设备本身耗费的以及由于散热需要配置空调设备采购成本和使用成本),从而提升了整体的运营效率。
4.2 最稳定可靠的网络平台
4.2.1 独有的模块化操作系统设计
本方案中的所有的交换机均采用新一代模块化多线程操作系统XOS。XOS支持动态内核加载(KLM),采用独立进程内存保护运行模式,支持对称多处理(SMP)和标准POSIX API 及XML技术。通过使用模块化多线程操作系统XOS,核心网络设备可以提供更多的可靠性、拓展性和安全性能力,如:
? 无中断切换(Hitless Failover)。设备主从管理模块之间的切换不会导致
已有数据流传输的中断。(其他厂商设备在冗余交换管理引擎间故障切换需要1~3秒的时间)
? 无中断软件升级(Hitless Software Upgarde)。无须重新启动设备及实现
软件版本的升级与新版本软件启用。(其他厂商设备升级软件后需要重启整个设备)
? 动态停止/重启模块。在某个模块出现的故障的情况下,设备将自动进行
故障模块的单独重新启动。进程和线程的自动重启动。系统中某个进程或线程出现故障时不会影响到其他进程和线程的运行。在无须整台设备重新启动的前提下,设备能够自动实现对故障进程的重启动。(其他厂家设备各个模块和进程之间互相影响,某一个模块出问题整个系统要重启,所有功能被迫停机一次) ? DoS攻击的自动检测和预防 ? 交互式威胁阻断挂钩(hook)
? 支持软件模块下载,无中断在线功能扩充。无须中断设备的运行,即能
完成系统软件中某个功能模块的升级。
? POSIX API和XML技术保证了用户的个性化功能扩展
? 可由用户配置的 CLI 命令接口 (TCL)。用户可以根据自己的习惯定制
命令行界面。
? 多平台的运行能力。用户可以将XOS运行在任何其他的Linux设备平
台上(PC、服务器),并能提供全部的网络设备功能。
? 对SMP(对称多处理)的支持,为高优先级应用(如:视频会议、实时
监控、IP电话)的开展提供了更好的保障。
4.2.2超强的QOS服务质量保证
针对国防大学信息网络今后还要开展多种影像应用(尤其在演习网当中),端到端的Qos保证必不可少。Extreme的方案具有 强大的Qos保证技术:
? 多媒体应用在未来网络应用中将占主要地位,新一代数据网络上实施的
重要基础为带宽的大幅扩展和采用硬件包处理技术的设备性能的提高。由于多媒体应用对延迟和抖动的敏感性以及IP网络本身的尽力而为的特点,在保证带宽和性能的基础上,网络平台好要具有良好的QoS保证能力。
? 本方案中网络产品提供多种带宽管理方式和策略,不管是核心层、汇聚
层还是接入层接入交换机均具有基于物理端口、MAC地址、IP地址、TCP端口等实施带宽控制策略和流量分类管理的能力。
? Extreme产品设计的追求目标之一就是为在以太网和IP技术上提供稳定
的QoS能力,其核心层和汇聚层产品的每端口控制队列最少也达到8个,便管理人员对各种网络服务方式进行更加细致的优先级分类,同时设备采用了基于16个粒度的带宽管理方式,可以将带宽细分成总带宽的1/16,从而提供了出色的网络传输控制解决方案。
? 通过Extreme公司的IP-TDM技术,可以在网络中定义类似专线的数据
通道,保证应用的延迟可控制在固定的数值之内,从而为IP电话、视频会议、视频监控和实时控制等应用的顺利开展提供良好的保证能力。 ? 非常高的物理QOS队列。交换机支持每端口8个队列。更多的队列意
味着更细的业务类别区别。8个队列意味着8个不同优先级带宽保证的业务类别。
8个硬件端口优先级:
优先级12345678应用方式控制VoIP数据存储http 或者网上贸易Oracle/SQLE-MAIL视频传输预留优先级网络传输、路由、STP等对延迟敏感的语音技术,小型数据包对延迟敏感的语音技术,大型数据包网站之间的传输网站之间的数据传输收发邮件网络培训或者视频会议为将来可能的应用或者网络管理员制定的具有特殊性的应用预留 ? 业务最强的分组分类能力。Extreme8810能够根据IP数据包前80字节
的任一位或组合进行分类,因此可以实现最细的业务分类能力,轻易区分不同类型的流量。
? 全Diff-Serv标准的分组分类能力。交换机均能支持全64个级别的
Diffserv分类、重写(remark)标准及8个802.1p分类重写(remark)标准。保证QOS的全网实施且与其它厂家兼容。
? 业界唯一的最小带宽保证,最高带宽限速能力。每个QOS队列均能保
证最小的保证带宽,及最高的允许带宽,及最高的突发带宽。最小带宽保证低优先级的流量不被“饿死”,最高带宽保证该类流量不超量使用,最高突发带宽允许在网络没有瓶颈时可以以最高带宽使用,达到最高的性能。
? 基于双向速率协商机制的区分服务以及双向带宽管理和分配方式确保
了用户的投资和带宽需要;同时利用流量鉴别技术和队列技术对用户的数据传输质量和服务级别进行定义,根据用户的投资提供区别服务。
? 自动QOS映射能力,简化QOS的全网部署。QOS部署要求全网内实施,
也就是说QOS起自客户PC,终于服务器,因此接入层交换机还需识别来自PC的QOS标识,然后自动映射到相应的队列,Extreme8810具备QOS自动映射能力。这样,所有的QOS配置仅需在网络边缘通过网管实施QOS策略。
? Extreme的QOS处理,包括识别,分类,标记,重写,队列,调度,限
速在内,均为ASIC处理,保证不引入额外的时延。
? 通过组合QOS及web/802.1x认证技术,根据不同的用户名指定不同的
QOS及带宽等级。
? 下图是8810和同类产品在不同数据吞吐量情况下高优先级业务的优先
级保证,无论流量大小,Extreme的产品高优先级的业务不受影响。
4.3先进的网络安全设计
一般来说,网络安全体现在以下几个主要方面: ? 网络设备的安全 ? 网络管理系统的安全 ? 网络业务的安全
? 数据传输的安全 ? 用户网络的安全
以上几个方面又是在网络的不同层面来实现的,即骨干层面、管理层面、业务层面、用户接入层面来分别实现。Extreme从如下几个方面着手来保证网络的安全:
4.3.1 设备安全特性
方案中的网络设备本身也采用了多项先进的安全特性来确保对病毒和攻击的免疫能力。本方案中采用的Extreme网络设备,使用LPM转发技术。区别于和其他厂家的传统三层交换机使用基于流表的方式(IP Host Forwarding)来完成数据包的快速转发。基于流表的快速转发机制要求为每个目的地建立一个转发表项,而流表的建立方式,使得每个新数据流的第一个数据包必须经过CPU进行处理,当网络上出现扫描攻击的时候,会导致流表的快速溢出,引起CPU负载快速上升,并最终导致网络设备性能下降,使得整个网络不能进行正常的数据包传输。通过使用LPM转发技术,可以大大缩减快速转发表的大小,提高每条快速转发表表项覆盖的范围,从而很好地解决了流表溢出所带来的问题,大大提高了网络系统抗击病毒攻击的能力,提高了网络系统的可靠性,并最终保证了网络的高性能和高扩展性。
此外,访问控制列表是网络设备数据流量主要过滤的手段,是网络设备的安全防范的重要功能之一。ACL可以根据数据流的MAC地址、IP地址、端口号、ICMP信息、TCP/UDP端口号进行判别,并进行相应数据丢弃、过滤、转发策略(QOS)的实施。有效增强了网络传输的可控性,是网络安全规划的一项主要手段。
然而访问控制列表对数据包的过滤如果通过交换机的CPU来实现,则会造成数据包转发较大的延迟,有再大的背板带宽和很多厂商宣称的线速性能也没有实际意义,转发根本无法达到线速的数据包转发。只有采用基于硬件的ASCI芯片技术实现的数据包过滤才可以满足线速转发的要求。在当前网络安全日益恶化、网络攻击及网络病毒日益泛滥的今天,访问控制列表的作用尤为重要。在网
络设备的选择中,有些厂商甚至连基本的VLAN间访问控制都无法实现,而宣传功能齐全的情况屡见不鲜。所以,能够提供真正权威的第三方测试报告将为我校的设备选择提供一份可靠的依据。
4.3.2用户的安全接入
网络的安全防范,除了设备本身的安全性外,系统的安全准入是网络安全的第一道关口。如果一个局域网内装有无法保证网络安全的端点设备,会造成网络安全受到威胁,因而带来许多痛苦以及财务影响。要避免发生这些威胁网络安全的事件,只是把网络端口关闭或是不让人们在办公大楼里连接上网络是不够的。真正有效的访问控制必须要采取主动,在任何威胁进入到内部的网络资源前,就必须要能很好地确保所有端点设备的安全,不用担心任何威胁的侵入。
Extreme的最新内网安全设备Sentriant AG200 能够满足这个需求。它能提供完整的网络访问控制平台 (Network Access Control platform, NAC)。这个平台使用在多种不同的网络基础建设上,不分任何访问方式(有线、无线、虚拟专用网 – VPN),并与多种端点设备兼容。Sentriant AG200 会自动测试每个端点,并在允许访问网络之前,确定终端设备是否满足组织的安全要求。任一不合标准的设备会被隔离,并限制访问,直到使用多个解决方法修复后,才能给与完全的访问权利。
有了上述专用的安全接入设备,配合交换机的安全功能,Extreme能够提供完善的安全方案。网络用户的接入在某些情况下是需要监督和控制的。为了防止未授权用户私自接入网络,我们可以通过在交换机上实施诸如MAC、IP、VLAN、用户名等多种组合的绑定,来确保阻止非法用户的接入。当前,网络用户采用代理服务器或地址转换技术共享上条线路接入网络的情况也很普遍,而未有很好的解决方案。本方案中安全接入采用如下的技术手段来实现:。
? 本方案支持基于WEB的用户认证技术和IEEE802.1X+EAP标准。通过
该功能,网络系统可以控制用户是否能够接入网络和如何使用网络资源,无论用户的终端设备设备是否配置了正确的IP地址,只有使用设备的用户拥有合法的用户帐号才能接入网络,否则,用户是无法接入网络系统的。这样就可以将非法用户屏蔽在网络之外,减少网络收到黑客
攻击的可能性。
? 用户接入认证技术可以将通过认证的用户动态分配到特定的VLAN中,
通过对VLAN的控制,最终实现对用户可使用网络资源的控制。 ? 提供的基于WEB的用户认证方式,大大降低了实施用户接入技术的复
杂性,用户的终端设备上无需安装特定的客户端软件即可完成用户的接入认证。通过单端口上多用户接入认证技术,可以保证用户接入认证技术的广泛应用以及在异构网络上的实施。
? 支持终端设备的接入控制。通过Extreme网络设备上的MAC地址锁定
和MAC地址限制功能,网络系统可以控制非法设备的接入,进一步提高网络的安全性。
? 强制使用DHCP的能力。在现代企业网络覆盖范围日益扩大和网络结构
日益复杂的今天,越来越多的企业网络通过DHCP方式来实现企业内部IP地址的分配,通过DHCP的使用,系统管理员可以更好的实现网络的优化与管理,降低网络管理的复杂度。但企业内部可能出现的无管理下的静态配置IP地址,将导致IP地址的不可管理性,并会导致因IP地址冲突而带来的网络不可用的问题。利用设备独有的的ARP Learning Disable功能,系统管理员可以针对性地强制网络设备上的某些端口连接的终端设备必须使用DHCP获得的IP地址,否则终端设备不能够接入网络,进而保证网络的安全性。
4.3.3智能化的安全防御措施
网络系统的高速、可靠运行是非常重要的。但随着网络技术的不断发展,新兴的网络病毒与攻击软件与日俱增,对网络造成的危害是前所未有的。最早如SQL蠕虫病毒产生,造成了无法大型网络瘫痪,宽带互联网发生前所未有的阻塞。再到冲击波、振荡波等网络病毒,使得网络管理疲于奔命解救濒临瘫痪的网络系统。网络攻击软件如典型的DOS(拒绝服务攻击)和DDOS(分布式DOS攻击)攻击类型,会造成包括如服务器、网络设备、终端机器在内的各种具有网络接口的设备资源耗尽、系统宕机、网络阻塞。种种情况均使得当前网络系统的安全成为主要攻关课题。
Extreme具备完善的智能化安全防御解决方案,不但可以从用户的安全接入方面降低安全风险,同时在合法用户接入后的网络使用当中,实时的监控网络流量,发现流量异常的苗头,直接进行相关动作进行防范,达到了事前预警的效果,防患于未然。核心交换机采用独特的CLEAR-Flow技术,CLEAR-Flow不仅具备当前RMON,sFlow,NetFlow的所有优点,而且提供了扩展性、动态性、适应实时性更高的流量测量和分析工具。这提供了网络的优化、统计计费、以及网络安全防范的手段。
从图中的安全防御过程可以看出,该方案具备了智能主动的安全特性,改变了以往网络流量监控技术不加选择镜像数据流的低效方法,当只有异常流量发生的时候才会把相关的流量镜像到专业的安全设备中进行分析,既不影响网络的性能,分析结果确认是攻击后,通知相关的设备进行联动,从而在病毒和攻击没有完全爆发之前消除安全隐患。
? ?
在不影响网络运作的情况下防御威胁
使用网络虚拟诱惑装置快速检测,从而创建早期预警系统,当发现虚拟目标时报警
?
隔离攻击者,并阻止他们与网络上的其它设备进行通讯,但允许重要的数据继续正常传输
? ?
补充现有的周边安全和基于主机的安全解决方案
在所有供应商的交换机上都可以高效操作,但是与支持 ExtremeXOS? CLEAR-Flow 的交换机结合,就可以处理您的多路千兆级流量,并减少安全保证所需的成本。
4.3.4常用安全策略建议
同时,为了在本次网络系统建设中,尽最大可能杜绝安全隐患,建设一套强健的网络系统,我们提出以下安全策略建议供参考: 1、Access Control Lists (ACLs)
ACL 是每个安全策略的组成部份,控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管交换机的工作是进行数据包的转发而不是阻止它。但
是有些数据包我们必须阻止它。
今天的internet上有一些众所周知并且被接受的安全过滤策略。包括:
? Ingress Filtering (RFC 2827/BCP 38) ? Private Address Space Filtering (RFC 1918)
? Bogon and Martian Filtering (draft-manning-dsua-07.txt)
? Ingress Filtering
最近频繁出现的各种DoS攻击,使用伪装的源IP地址给内网带来了很多的麻烦,全面影响了内网的通讯。RFC 2827/BCP 38建议的入口地址过滤(Ingress Filtering) 提供了一个简便有效且直观的方法来解决这个问题。
入口过滤在RFC2827/BCP 38 (Best Current Practice ) 中指定。它高度建议使用入口过滤,不仅可以使你的网络安全,而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份。在网络使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必须使用真实的子网源IP地址。
? 过滤未分配的地址空间
IP 的地址空间由Internet Assigned Numbers Authority 机构指派给各个地区的internet 注册者(RIRs). 顶级的RIRs总共有3个
ARIN . American Registry for Internet Numbers (http://www.arin.net) RIPE . Re.seaux IP Europe.ens (http://www.ripe.net) APNIC . 亚太网络信息中心 (http://www.apnic.net)
当一个prefix (通常是 /8) 被指派给RIR,然后RIR将这些地址分配给各个地区分配者。如果一个prefix 还没有被分配给RIR,那实际上在这个prefix 是不应该有流量的。基于这个考虑。我们应该将这些未分配的地址通过ACL来过滤掉。这个列表可以从下面的地址取得。
http://www.iana.org/assignments/ipv4-address-space.
通过实现这个ACL,也可以使IPFDB的空间得到更有效的利用。 2、打开CPU DOS PROTECT
一个拒绝服务攻击(Denial-of-Service:DOS)攻击发生于一个危急的网络或
计算资源被淹没并且合法的服务请求无法响应。在这种情况下,拒绝服务攻击将很难与合法的高流量数据流有效区分。基于硬件的数据包线速转发可以对该攻击产生一定的抵抗能力。然而,网络中有些操作对于任何交换机和交换机都是相同的,这就是有一类型的数据流必须要由CPU经过软件来处理: 这类数据包(由CPU软件处理)包括: 1) 一个新发起的数据流(TCP SYN) 2) 路由和控制协议包括:ICMP,BGP,OSPF
3) 交换机管理流量(交换机访问通过Telnet,SSH,HTTP,SNMP…) 4) 其他一些直接发往交换机并且必须由CPU丢弃
如果任何一种类型流量被范洪,CPU都有可能变得非常繁忙并且交换机的性能将极剧下降。即便使用更快的CPU,也同样会被无尽的洪流数据包所淹没。
某些先进的网络核心设备所具有DOS保护的设计就是帮助交换机将这类攻击数据流特征化以阻止交换机的性能下降,并且过滤非法流量以保证正常的交换服务功能。当一个泛洪数数据被交换机收到时,DOS保护将通计这类数据包。当这类数据接近报擎阀值时(4000包每秒),包头信息将会被记寻。如果阀值被达到,这种类型数据包头将会被分析,并且一个自动基于硬件处理的ACL会被创建以限制这类数据包流向CPU。ACL将会被保留以减轻CPU负载。一定周期后,ACL将会过期,如果这种攻击仍然发生,ACL也将再次被创建。
CPU DOS PROTECT 能够抵御大多数的DdoS 攻击如,Jolt\\ \等等。 3、针对一些病毒性攻击的过滤
一些病毒性攻击会通过端口1434 和1483 两个端口进行,可以通过加入相应ACL进行过滤。
create access-list denyudp1434 udp destination any source any deny ports 1434 precedence 360
create access-list denyudp1483 udp destination any source any deny ports 1434 precedence 380
4、过滤ICMP 包
ICMP 数据包是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP数据包作为攻击手段。
但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。
因此,实际上我们可以仅允许ICMP 的ping echo 和 ping reply 及traceroute 所需要的TTL 开放。其它的均可以关闭。
例如:
create access-list pecho icmp destination any source any type 8 code 255 permit ports any precedence 30
create access-list preply icmp destination any source any type 0 code 0 permit ports any precedence 40
create access-list ptraceroute icmp destination any source any type 11 code 255 permit ports any precedence 20
create access-list denyicmpany icmp destination any source any type 255 code 255 deny ports any precedence 50
5、限制对交换机本身的访问
当一个交换机在网络上开始工作。我们需要确保对交换机进行安全访问并限制任何对交换机本身的非常访问。
通常我们通过以下方法对交换机进行访问: 1) Telnet
Telnet 是最常用的访问交换机的办法,但是由于telnet是密码是用明文来传送。因而我们需要在安全的网络中使用telnet。至少不应在一个共享的网段上使用telnet登陆到交换机。如果需要更安全的访问,要么甚至可以关掉telnet 服务,而启用SSH代替。以下命令关闭telnet服务 2) SSH
SSH2 是一个更为安全的telnet 替代手段。密码并不是用明文传送的,并且SSH2登陆客端未在Windows系统中集成,需要特殊的客户端软件,因此更安全。但交换机至少应支持该项技术通常我们建议使用SecureCRT(http://www.vandyke.com/)。 6、屏蔽一些网络扫描
在现今的网络上,充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描。
UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下,进入到交换机的137和138包是广播包。而交换机在默认情况下是不转发这些广播包的。
但在某些情况下,一些扫描工具试图UDP 137 和UDP138的端口,以图找出主机上的共享文件夹。这种情况下,进入交换机的数据包会是unicast的137和138,而且通常目的地址不停变化。因此我们可以将这些UDP 138和138的数据包通过ACL 挡断。保护用户和网络的安全。
例如:
create access-list no-udp137-any udp destination any ip-port 137 source any ip-port any deny ports any precedence 330
create access-list no-udp138-any udp destination any ip-port 138 source any ip-port any deny ports any precedence 340
附录 方案产品资料
1. 核心交换机BD 8800
BlackDiamond8800系列
BlackDiamond 8800系列高性能交换机提供了高密度千兆以太网、高密度千兆以太网供电 (PoE)和万兆以太网端口。这一全能的 BlackDiamond产品系列中的每个端口都支持 2层-4层的全部交换功能。BlackDiamond 8800系列产品按机箱的插槽数量分为 10插槽的 BlackDiamond 8810和6插槽的 BlackDiamond 8806。
每个企业的 IT管理者都希望以有限的时间和资源管理极度复杂的专业网络基础。来自极进网络的 BlackDiamond 8800系列交换机可帮助简化网络系统,同一机箱可容纳针对核心、汇聚、接入和数据中心应用的各种接口板卡。它同时适用于高密度二层网络架构,从而简化网络建设和运维成本。
BlackDiamond 8800系列交换机提供语音级可靠性,满足语音、视频、无线和数据传输的各种企业应用需要。 BlackDiamond 8800系列交换机的全线速端口可以互联数以千计的服务器,组成 HPCC(High Performance Cluster Computing)高性能计算集群。BlackDiamond 8800系列交换机提供全面 2—4层IPv4和IPv6交换路由功能,为企业将来应用升级作好准备。
?
BlackDiamond 8800系列帮助您轻松构建企业网络
语音级可靠保障
●全冗余系统设计
●不间断运行的模块化操作系统 -ExtremeXOS
● EAPS以太网自动保护切换备份协议
低能耗高性能接入
●最大包转发能力-2840 Mpps ●面向融合应用,支持 VoIP自动接入
目标应用
●灵活针对各种应用的连接方式 ●低功耗,节约能源和散热成本
●高性能企业网络核心;
●低延迟、低能耗的数据中心或 HPCC高性能计算集群服务器接入;
●高密度 PoE在线供电边缘接入;
●针对中小型企业网络的单交换机解决方案;
●目录式链路安全
●通用端口 (UniversalPort)动态安全配●传统的千兆和万兆链路汇聚
BlackDiamond 8800系列交换机通过产品的前后兼容性,提供了全面深度安全防护
置,实现更细致的安全策略控制 极佳的投资保护。
●特有的 ClearFlow威胁检测和响应机制,应对网络攻击和入侵
语音级的可用性
软件模块动态加载
冗余管理模块
ExtremeXOS的模块化设计允许软件BlackDiamond 8800交换机系列具
模块单独升级并动态加载. 有管理模块自动切换机制,如果一
EAPS-以太网自动保护切换
个交换机管理模块 (MSM)失效,备
EAPS允许普通 IP网络提供等同于传份管理模块能自动快速接管整个
统语音网络的高级别可靠性和不间交换机的管理任务 ,该功能是交
断运行能力。 EAPS优于生成树或快换机承载语音和其它关键应用的
速生成树协议,提供亚秒级 (50ms以基础。
内 )的快速稳定切换。
高可靠机箱设计
生成树/快速生成树 BlackDiamond 8800交换机系列机
BlackDiamond 8800交换机支持 箱采用无源式背板设计,配合其它
802.1D生成树、PVST+、802.1w快速高冗余设计:包括隔离的控制平面
生成树和 802.1s等二层冗余协议。
和数据位面,冗余的电源分配控制
器和风扇控制器、机箱环境异常监
快速路由备份 控等。
BlackDiamond 8800交换机支持高级 3层协议,如OSPF、VRRP和ESRP(ESRP负载均衡式备份电源
同时作用于网络 2层和 3层)等,持BlackDiamond 8800交换机系列支
续检测链路的可用性,并动态引导流持一组(最多 6个)负载分担的
量的转发和迂回。 冗余电源模块。 3个电源模块即
能提供 2+1冗余的电源供给,支
ECMP-等值多链路负载均衡 持满配的非在线供电式千兆或万
等值多链路(ECMP)不仅提供负载均兆模块。无需任何外置设备,内置
衡,而且支持网络冗余恢复。 的另外 3个电源即可支持大量的
大交换容量 POE接口供电需求。
BlackDiamond 8800系列交换机提供热插拔风扇盘和冗余风扇
业界领先的交换性能: 含有 9或6个风扇的托架,为BD
●3.8Tbps交换背板带
8800系列机箱提供冗余的冷却能
宽 ,2,840Mpps硬件包转发 力。风扇托架支持热插拔。
●每块接口卡均支持本地交换 高密度线速连接 支持更好的地址分配和地址聚合,提供更出色的端到端连接和服务。
BlackDiamond 8800系列交换机支
持硬件 IPv6,保证未来企业网络
IPv6平滑升级。
语音级连接
BlackDiamond 8800系列交换机每
端口支持8个队列。支持入口 QoS
优先级标定、控制,速率限制,支
持出口 802.1q标签和 DiffServ标
记以及流量整型。BlackDiamond
8800系列交换机使得建设端到端低
延迟和抖动的网络更加容易。
高密度 PoE端口
高密度 PoE允许 BlackDiamond
8800交换机支持大型 IP电话和无
线 AP部署。 BlackDiamond 8810在一个 14RU机箱内可支持 333个
Class 3 PoE端口,或432个Class 1、
2 PoE设备,而且无需配置外部电
源。 BlackDiamond 8800交换机可
轻松支持 Class 1, 2或3 PoE设备。链路层发现协议(LLDP)
ExtremeXOS支持 LLDP标准的发现
协议,简化了企业网络的故障诊断
并加强了网络管理,可以精确地发
现和维护网络的拓扑结构。
通用端口—VoIP自动接入
BlackDiamond 8800交换机具备了
承载融合应用的良好基础,企业网的设备可以实现即插即用,方便实
真正抢先式多任务和内存保护 BlackDiamond 8800交换机允许许多单个协议进程-如OSPF、STP生成树-独立运行,这将提高系统完整性并帮助抵御拒绝服务式攻击(DoS)。
进程监控和重启
ExtremeXOS通过进程监控和重启大大提高网络可靠性。操作系统可以实时监控每个独立进程,它可以被自动重启。
BlackDiamond 8800系列交换机可在一个标准7英尺机柜中提供 1,968个无阻塞千兆接口,或582个万兆接口,为集群应用提供高性能、低成本的接入方案。
IPv6支持
IPv6令数以万亿记的 IP地址成为可能,并支持更好的地址分配和地址聚合。BlackDiamond 8800系列交换机支持硬件 IPv6,保证未来企业网络IPv6平滑升级。
现语音和无线服务的轻松部署而无需繁杂的网络升级。BlackDiamond 8800的通用端口功能采用 LLDP和事件触发命令脚本实现 VoIP的自动接入。该机制允许自动发现并动态配置交换机接入端口的 VLAN和QoS,甚至可自动配置 IP电话的参数:语音 VLAN,呼叫服务器 IP地址等等,从而极大地简化了网络的管理和操作。
全面深度安全防护
网络登录
网络认证可实现用户接入认证和访问控制。BlackDiamond 8800系列交换机支持全面的网络登录方式,如:802.1x客户端、web(无需客户端)和基于 MAC地址认证。通过这些认证方式,用户将被分配至指定的VLAN,并启用自动配置脚本,为该用户动态分配 ACL、QoS等策略。实现全网细致的安全控制。 多客户端支持
共享端口是网络中潜在的安全盲区。交换机的多客户端支持确保在同一共享端口下的每个用户或设备单独认证并分配其相应的策略和 VLAN。融合网络经常会使用共享端口,多客户端支持使得 IP电话和无线服务更为安全。
网络入侵检测和响应
Clear-Flow安全机制
Clear-Flow安全机制可检测并防御快速攻击,具备与 SentriantNG300等安全设备联动的能力。 sFlow?
sFlow是基于采样的技术,它能够同时监控所有端口的应用层数据流。交换机的 sFlow进程将采样数据打包并通过网络发送给 sFlow收集软件,然后由该收集软件生成最新的全网流量图,方便网络排障、拥塞控制和网络安全威胁发现
端口镜像 BlackDiamond 8800支持多对一、跨模块的端口镜像和远程镜像,可将流量镜像至外部安全设备,如:入侵检测设备,用于流量分析或在网络遭受攻击时,管理员诊断网络的工具。
主机健康检查
主机健康检查可隔离受感染或不符合安全政策的主线速ACL包过滤 机。极进网络支持的主机健康检查方案是基于 TCG的BlackDiamond 8800交换机支持硬件 ACL,可识别 安全模型。BlackDiamond 8800结合极进网络的 L2/L3/L4包头信息,如:MAC、IPv4和IPv6地址或 SentriantAG200终端安全设备-可确保每个终端满TCP/UDP端口等信息。BlackDiamond 8800系列接口足设定的安全策略,同时隔离那些不符规则的终端主模块每 24个端口支持全局的 ACLs,提供良好的 机。 ACL灵活性。 MAC地址安全 DOS拒绝服务式攻击防护 MAC地址安全保证一个端口锁定某个给定的 MAC地址BlackDiamond 8800可有效防御 DoS攻击。如果交换机或限定端口的 MAC地址数量。这个特性可保证只有特发现异常多的数据包出现在 CPU入口队列,它能够自定的主机或设备 (如IP电话或打印机 )才可使用端动创建 ACL防止其进入 CPU。一段时间后,这些 ACL口,从而防止端口滥用。同时,可定义锁定超时时间,会自动删除。如果攻击持续,这些 ACL会重新加载。 保护网络免受快速变化的 MAC影响。
PBR策略路由
IP安全 策略路由提供更灵活的网络流量管理机制。通过基于 ExtremeXOS IP安全体系保护网络服务 (如DHCP、DNS)ACL的PBR策略路由,数据包可以匹配设定条件,如:
TM
-
和主机免受欺骗或中间人式攻击。它同样可建立一个可信的 MAC/IP/端口对应关系数据库,保护网络不受静态定义或假冒 IP地址的影响。
虚拟路由交换
BlackDiamond8800支持虚拟路由交换功能,可将一个物理设备划分为多个独立的虚拟交换机。每个彼此隔开,非常接近最高安全级别的 “物理隔离 ”要求,允许重叠的地址空间 (IP地址 )和路由表。通过使用虚拟路由交换功能,管理员可建立单独的管理网络或单独的客户网络,同时保证任何一个网络不会给其它网络带来负面影响。
模块指标参数 性能
BlackDiamond 8810
● 3.872 Tbps总交换容量(包含本地交换) ● 2.080 Tbps交换容量
● 2,840 Mpps 2层硬件转发速率 ● 2,840 Mpps 3层硬件转发速率
BlackDiamond 8806
● 1.952 Tbps总交换容量(包含本地交换) ● 1.056 Tbps交换容量 ● 1,420 Mpps 2层硬件转发速率 ● 1,420 Mpps 3层硬件转发速率
端口密度
BlackDiamond 8810
● 217端口 10GBASE-X (194端口,冗余 MSM配置 ) ● 864端口 10/100/1000BASE-T (768端口,冗余 MSM配置 ) ● 440端口 1000BASE-X SFP (400端口,冗余 MSM配置 )
BlackDiamond 8806
● 121端口 10GBASE-X (98端口 ,冗余 MSM配置 )
● 480端口 10/100/1000BASE-T (384端口 ,冗余 MSM配置 ) ● 248端口 1000BASE-X SFP (208端口 ,冗余 MSM配置 )
QoS,VLAN,IP地址,协议,端口等,按照指定的路径包转发。
基于ASIC的 LPM最长匹配包转发
ASIC硬件实现的 LPM最长匹配路由转发机制无需控制平面学习新数据流,抵御 DoS攻击能力更强。 绿色环保节能
BlackDiamond8800系列交换机配置 432个千兆接口时,耗电量仅为 1.3千瓦或 3.2瓦每端口。其业界领先的绿色节电水平,可帮助节省大量能耗和散热成本。
可选接口模块
● 8900-G96T-c 96端口 10/100/1000BASE-T千兆以太网模块 ● G48Te 48端口 10/100/1000BASE-T千兆以太网模块 ● G48Pe 48端口 10/100/1000BASE-T PoE千兆以太网模块 ● G48T 48端口 10/100/1000BASE-T千兆以太网模块 ● G48P 48端口 10/100/1000BASE-T PoE千兆以太网模块 ● G48Te2 48端口 10/100/1000BASE-T千兆以太网模块 ● G24X 24端口 1000BASE-X千兆以太网模块 ,需额外 mini-GBIC
● G48Xa 48端口 1000BASE-X千兆以太网模块 ,需额外 mini-GBIC
● G24Xc 24端口 1000BASE-X千兆以太网模块 ● G48Xc 48端口 1000BASE-X千兆以太网模块
● 10G4X 4端口 10GBASE-X万兆以太网模块 ,需额外 XENPAK ● 10G4Xa 4端口 10GBASE-X万兆以太网模块 ,需额外 XFP ● 10G4Ca 4端口 10GBASE-CX4万兆以太网模块
● 10G4Xc 4端口 10GBASE-X万兆以太网模块 ,需额外 XFP ● 10G8Xc 8端口 10GBASE-X万兆以太网模块 ,需额外 XFP ● 8900-10G24X-c 24端口 10GBASE-SFP+万兆以太网模块 ,需额外 SFP+
供电类型
支持交流或直流DC供电
● 交流供电输入电压范围 : 85-264V ~功率 700W,90V-100V ~功率 1200W,200V-220V ● 48V直流供电,功率 1200W
物理特性
尺寸BlackDiamond 8810 机箱:
MSM管理模块
●该MSM管理模块包含控制管理部件和交换引擎
● MSM-G8X模块 BlackDiamond 8800 MSM,含有 81000BASE-X Mini-GBIC端口
● MSM-48 BlackDiamond 8800 MSM,无 I/O端口 ● MSM-48c BlackDiamond 8800 MSM,可安装 I/O接口卡 ● 8900-MSM128 BlackDiamond 8900 MSM,可安装 I/O接口卡 ● S-G8Xc 8端口 1G SFP卡 (可选附加在MSM-48c/8900-MSM128上)
● S-10G1Xc 1端口 10G XFP卡 (可选附加在MSM-48c/8900-MSM128上)
● 24.47”高 x 17.51”宽 x 18.23” BlackDiamond 8806 机箱:
● 17.5”高 x 17.51”宽 x 18.23” MSM 模块:
● 1.63”高 x 15.26”宽 x 15.25” 接口模块:
● 1.63”高 x 15.26”宽 x 15.25” 运行参数
●运行温度范围 : 0C to 40C (32F to 104F) ●运行湿度 : 10% to 93%相对湿度 ,非冷凝
●运行震动 (Half Sine): 30 m/s2 (3g),11ms, 60 Shocks ●运行随机震动 : 3-500 Hz @1.5g rms
2. SummitX670系列产品
Summit X670作为专业定制的高性能交换机,特别适于新兴的采用万兆以太网的服务器在企业数据中
心的部署。Summit X670可以用于优化部署新型的服务器,同时提供从传统的采用千兆以太网技术的传统服务器的逐渐过渡升级,并进一
高性能交换和路由
● 在1RU的标准机架空间,提供48个无阻塞的万兆以太网口 ● 可以选配4个40G以太网上连接口模块
● 可以选配160Gbps堆叠模块,可以最大堆叠8台X670提步全面演化到虚拟数据中心的架供384个万兆以太网接口
构。
Summit X670系列交换机在紧凑
多功能的架构
● 在网络任意位置的Extreme交换机都是使用一致的操作系的1RU的机架高度提供了非常高密统
度的万兆以太口,单台可以提供到
● 万兆以太网端口连接可以采用UTP双绞线方式、SFP+的光64个万兆端口,整个堆叠系统可以接口方式和无源铜缆方式
提供多达384个万兆端口。
● 不论采用10Gbase-T还是SFP+的接口,都可以做到千兆和 万兆的双速率支持,使得网络平滑地从千兆向万兆迁移
Summit X670在极低的转发时延和高扩展的IPv4/IPv6单播和组播路由能力基础上,提供了高密度的二层和三层万兆交换,可以使X670
高可靠性
● ExtremeXOS?模块化操作系统支持高可靠的网络运行
● 包含了以太网自动保护切换技术EAPS的运营商级的冗余网在企业交流或直流电源的环境中作 络保护协议
●内置冗余AC/DC电源和可在线替换的风扇
为汇聚和核心。
Summit X670使用了模块化的ExtremeXOS?操作系统,这个操作系统使用在Extreme所有的交换机上,从而简化了网络的运维。ExtremeXOS操作系统让网络的任何部分都使用一个操作系统,使网络更可靠和简化管理。
深度防御,全面安全防护
● 丰富的MAC和IP地址安全架构
● 用CLEAR-Flow安全规则引擎进行网络入侵检测和防御
目标应用
● 在企业数据中心作为连接服务器的Top of Rack架顶交换机 ● 作为小型高性能计算系统的万兆
通用方案 数据中心网络建设方案
