數據中心網絡升級改造

■

出口方面有4條千兆光纖通過不同代理商連接至電信IP城域網，聯通IP城域網和教育網等運營商網絡。分別通過1臺華三7506、3臺華三3600接入到互聯網數據中心。由于網關在各個運營商局端，在互聯網數據中心機房組成了一個二層的接入網絡。互聯網數據中心的用戶通過直接分配不同運營商的IP實現IDC主機托管服務。

網絡改造前拓撲圖如圖1所示。

數據中心網絡存在的問題

1.網絡不穩定

a)IDC主機托管用戶、園區網中的上網用戶、專線用戶、內網用戶，多用戶混雜存在相互透傳，相互影響。

b)所有用戶全部都在一個VLAN13，無用的廣播、組播流量大，浪費網絡帶寬資源。（如圖1所示）

c)所有用戶全部都在同一個VLAN，一旦有用戶中了網絡病毒，其它用戶都受影響。

2.用戶雙線的容易成環（如圖2所示）

圖1 改造前網絡拓撲結構

圖2 容易形成環

IDC用戶由于構建內網的需要，常常需要在自己的交換機上構建內網：

a)IDC用戶的內網透傳到其他用戶（單線和多線都存在）

b)因為用戶交換機（因用戶端沒有或沒必要劃分VLAN）的存在很容易成環。（雙線或多線）

3.雙線用戶需要配置多個ISP的IP

由于用戶對聯通、電信、教育網不同的需求往往需要分配多個ISP的IP地址，目前只能將多個ISP的IP地址直接分配給用戶，這樣存在如下問題：

a)用戶需要自己對我們分配的不同運營商的IP做路由優化。

b)雙線或多線接入容易成環。

c)用戶感知度不好。

建設目標

利用較少的投資，優化全網結構，解決網絡不穩定、解決雙線容易成環、實現出方向和入方向的智能選擇路由、QoS帶寬限制及保障等問題，同時加強網絡的安全性和可靠性，盡量避免單點故障、減少故障點，盡量實現設備與設備之間、線路與線路之間有冗余、實現互聯網數據中心的網絡故障能在較短的時間里進行修復或者盡可能不要讓故障發生。

升級改造

網絡改造后拓撲圖如圖2所示。出口方面：將原有4條來自不同運營商的光纖接到新購買的華三 S5500光纖交換機，同時在同一機柜部署一臺同配置的華三S5500交換機，作為冷備。一旦出現故障后，只要切換相關連接線路即可。華三S5500主交換機通過2條千兆光纖與天融信NGFW4000-UF(TG-41608)防火墻采用鏈路聚合技術LACP(Link Aggregation Control Protocol)將2個千兆光口靜態聚合成一個端口，通過這種方式大大提高了設備互聯的可靠性，同時使帶寬處理能力增加了2倍。具體配置如下：

華三S5500的配置：

interface Bridge-Aggre gation1

圖3 改造后的網絡拓撲結構

防火墻的配置：

核心層：天融信NGFW 4000-UF往下通過4個光纖千兆口中分別兩兩連接至Array公司的兩臺APV2600負載均衡設備一主一備(所有用戶的NAT、基于源IP地址的策略路由、QoS即針對電信、聯通的IP地址限制帶寬，Smart智能DNS解析等功能都在負載均衡器上面，因此采用了雙核心，大大地提高了互聯網數據中心網絡的可靠性和穩定性)。同時也采用了鏈路聚合技術LACP(Link Aggregation Control Proto col)將2個千兆光口靜態聚合成一個端口，提高了可靠性，增加了帶寬處理能力。

Array的配置：

1、鏈路聚合配置：

2、NAT的配置：

3、QoS的配置：

4、基于源IP地址的策略路由

匯聚及接入層：兩臺Array公司的負載均衡器往下分別通過3個千兆光纖端口連接至3臺華三公司S5500。同時也采用了鏈路聚合技術LACP(Link Aggregation Control Protocol)將3個千兆光口靜態聚合成一個端口，提高了可靠性，增加了帶寬處理能力。

為了減少Array APV2600負載均衡器的負載，因此將IDC用戶的私有網段IP網關（作為IDC主機托管用戶服務器IP的網關）部署在華三S5500。3臺華三交換機采用虛擬化技術IRF（IRF是 Intelligent Resilient Framework的簡稱，即智能彈性架構）將3臺華三交換機虛擬成一臺邏輯交換機，使用BFD MAD做分裂檢測。這樣可以大大地提高主干接入層即IDC用戶網關匯聚點的穩定生及可靠性。

IDC接入交換機通過雙千兆光纖鏈路分別連接至數據中心交換機1和數據中心交換機2，或者是數據中心交換機2和數據中心交換機3。通過這種方式可以避免單臺設備故障時，不受影響，仍然可以正常地提供網絡服務。

改造后的效果

實踐證明：通過以上的升級改造，利用較少的投資，優化了全網結構，大大地提高了網絡的穩定性及可靠性；采用NAT技術和每一個用戶一個VLAN完全避免二層網絡成環后，影響其它所有用戶的問題；采用基于目的IP和源IP地址的策略路由和Smart智能DNS解析，實現出方向和入方向智能選擇路由，提高了用戶的感知度；實現QoS精確帶寬的限制，提高了帶寬資源利用率，豐富了IDC主機托管的產品種類；同時進一步通過防火墻和IPS等產品加強網絡的安全性和可靠性；通過多線路、多設備、雙機冗余，避免了單點故障，減少故障點，盡量實現設備與設備之間、線路與線路之間有冗余、達到了互聯網數據中心的網絡故障能在較短的時間里進行修復，同時也滿足了客戶對網絡服務質量的較高要求，提高了用戶的感知度，提升了服務質量。