西山煤電集團數據中心升級優化設計

石美峰

(西山煤電(集團)有限責任公司 信息服務中心，山西 太原 030053)

1 西山煤電數據中心現狀

西山煤電集團數據中心建設于2000年，承擔著西山煤電集團辦公、安全生產、經營管理、互聯網等業務。但是隨著企業轉型升級戰略對信息化建設的要求，傳統的數據中心已不能滿足時代需求，需要向新型數據中心轉變。

改造前的數據中心主要功能區有網絡核心交換區、互聯網出口區、DMZ區、服務器區、網絡接入區。網絡安全設備主要部署在服務器區和互聯網出口區。核心交換區主要由兩臺12510-X核心交換機和一臺7508匯聚交換機組成；互聯網出口區主要由路由器、防火墻、負載均衡、行為管理、VPN等共6臺設備組成；服務器區包括華為一套虛擬化平臺、32T存儲、服務器90臺，接入交換機10臺，安全設備2臺；DMZ區包括服務器9臺，交換機1臺以及IPS1臺，主要承擔內外網站、視頻直播、微信平臺等互聯網業務；網絡接入區包括公司內部骨干光纜、二級單位光纜、電信、移動、聯通接入光纜、光配線架、通信接入設備等。

數據中心作為集團信息化基礎設施的重要部分，采用的網絡設備為盒式交換機，可靠性較低。隨著集團業務規模的不斷擴張，對網絡性能的要求越來越高，現網中設備已無法滿足后續擴容及使用要求。

西山煤電集團下轄九礦一廠，信息網絡是以集團數據中心為核心的設備鏈路冗余的星型局域網絡。各廠礦通過2臺核心交換機與集團數據中心機房的核心交換機雙路上聯，生產網和業務網共用核心，未作物理分離?，F有生產數據與業務數據混合傳輸，沒有形成獨立的生產網和業務網。網絡拓撲見圖1.

信息網絡分為3層：核心層、匯聚層和接入層。核心層由兩臺H3C 12510-X核心交換機組成，與各礦的核心交換機相連。兩臺核心交換機互為冗余備份，作為整個網絡中心的核心交換平臺。核心交換機下連一臺H3C 7508交換機作為匯聚交換機，用于匯聚各機關處室和二級單位的交換機。接入層交換機分布在各單位，以H3C S3600和H3C 5120S交換機為主。

2 分離生產網和業務網

西山煤電集團是大型國有煤礦，安全生產是面臨的首要問題。生產網主要承載的是與安全生產相關的包括風火水電、安全監測、人員定位等系統的運行，對安全性的要求非常高。但是由于現在的網絡沒有區分生產網和辦公網，生產數據與辦公數據在同一個網絡中混合傳輸，辦公網發生的病毒和入侵事件可能會傳播到生產網，給生產網安全帶來極大的威脅。

圖1 西山煤電原有網絡拓撲圖

為了提高網絡的安全性，此次升級優化將構建兩套獨立的網絡，一套生產網，一套業務網。改造后的拓撲圖見圖2.

圖2 改造后的網絡拓撲圖

生產網設置獨立的數據區，由兩臺核心交換機承擔整個生產網內礦區與機關的核心數據交互。業務網采用雙路萬兆光纜作為主干，即集團數據中心內布置兩臺核心交換，與下轄各礦區的業務網核心雙路連接。

數據中心設置單獨的兩臺核心交換機，與集團業務網的核心交換機雙路萬兆互聯。同時與災備區核心交換、互聯網出口區核心交換雙路萬兆連接。數據中心核心交換機同時與業務數據區核心交換、安全管理區核心交換以及生產網的核心交換雙路千兆互聯。業務數據區核心交換同時連接。

2.1 礦區生產網升級設計

2.1.1方案設計

在原有網絡的基礎上，將西山煤電集團下轄的礦區原有的兩臺核心交換機作為獨立的業務網核心，與現有的數據中心業務網核心連接。每個礦區增加兩臺核心交換機，做為生產網的獨立核心。在礦區的生產網核心與業務網核心之間架設網閘，用于保護礦區生產網與業務網之間的訪問安全，在生產網出口部署安全網關，用于保護集團與礦區生產網之間的訪問安全。礦端網絡改造拓撲圖見圖3.

圖3 礦端網絡改造拓撲圖

2.1.2新增設備

1) 礦區生產網新增核心交換機16臺。各礦區在生產網部署2臺核心交換機，選用H3CS5560X-30C-EI交換機產品。

2) 礦區業務生產增加安全隔離網閘16臺。網閘是將兩個網絡進行有效物理隔斷和協議隔斷的主要技術手段，主要定位于在互聯條件下實現高級別的安全特性。根據數據中心建設情況，網閘設備在數據中心采用雙機熱備方式部署在生產區與辦公區之間，實現兩個區域之間的高度安全隔離，同時進行必要的數據交換；在各礦區采用網閘部署在生產網與辦公網之間，進行安全隔離與數據交換。

通過這種部署方式，可以為訪問提供更高的安全性保障。安全隔離網閘通過“2+1”的高安全架構實現了高度安全防護。其專有隔離交換模塊可實現基于硬件的安全隔離；兩個網絡之間沒有任何物理連接，沒有任何網絡協議可以直接穿透，可以實現“協議落地、內容檢測”。該部署方式既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進行了強制內容檢測，實現最高級別的安全，有效的將兩網之間實現了安全隔離與業務數據安全、可靠的交換。

3) 礦區業務生產增加安全網關16臺。通過在集團網絡各個節點執行隔離和訪問控制措施，將提升計算環境的安全性，有效防范非法的訪問。采用安全網關實現基于數據包的源地址、目的地址、通信協議、端口、流量、用戶、通信時間等信息，執行嚴格的訪問控制。

2.2 集團數據中心生產區和業務區切分設計

2.2.1方案設計

在集團數據中心內增加兩臺核心交換，用于集團生產區的核心數據交換處理。在集團數據中心內增加兩臺接入交換機，用于集團生產區生產業務數據服務器的連接。在集團數據中心的業務網與生產網核心之間架設網閘，用于保護集團生產網與辦公網之間的訪問安全。將集團數據中心原有的服務器設備按生產和業務劃分明確，并布置在不同的物理區域內。集團數據中心網絡改造拓撲圖見圖4.

圖4 集團數據中心網絡改造拓撲圖

2.2.2新增設備

1) 集團數據中心生產區新增核心交換機2臺。集團新建生產區數據中心，采用2臺高性能核心交換機H3CS7506E.

2) 集團數據中心生產區新增接入交換機2臺。集團在生產網數據中心部署2臺接入交換機，選用H3CS5560X-54C-EI交換機產品。

3) 集團數據中心業務生產新增安全隔離網閘2臺，集團數據中心業務生產安全網關2套。

3 優化數據中心網絡結構

集團數據中心現有網絡是分布式控制的架構，這種網絡架構存在一定的局限性：流量路徑的靈活調整能力不足；網絡協議實現復雜，運維難度較大；網絡新業務升級速度較慢。由于設備的控制面是封閉式的，且不同廠家設備實現機制也可能有所不同，所以一種新功能的部署可能會周期較長；且如果需要對設備軟件進行升級，還需要在每臺設備上進行操作，降低了工作效率。

在對網絡進行改造時，引入了軟件定義網絡(SDN)技術。SDN是一種軟件集中控制、網絡開放的三層體系架構，應用層實現對網絡業務的呈現和網絡模型的抽象；控制層實現網絡操作系統功能，集中管理網絡資源；轉發層實現分組交換功能。應用層與控制層之間的北向接口是網絡開放的核心，控制層的產生實現了控制面與轉發面的分離，是集中控制的基礎。

該次數據中心升級優化采用ADDC方案進行部署。ADDC方案是H3C在SDN理念和架構實現的應用驅動下提出的數據中心解決方案。該方案可實現網絡和安全保護虛擬化，創建高效、敏捷且可延展的邏輯結構，并滿足虛擬數據中心的性能和可擴展性要求。ADDC采用安全服務鏈架構，通過服務鏈，定義業務經過不同的安全節點，為業務提供全面的安全防護。ADDC方案圖見圖5.

圖5 ADDC組網方案圖

3.1 方案設計

ADDC方案以Overlay技術為支撐，具有以下優點：

1) 兼容第三方設備的全網絡虛擬化能力，構建“一網一設備”的交換矩陣。基于IP網絡構建Fabric，無特殊拓撲限制，IP可達即可；承載網絡和業務網絡分離；對現有網絡改動較小，保護用戶現有投資。

2) 基于SDN架構的高度自動化運維能力。

3) 控制器北向除提供RestfulAPI接口外，還提供JavaAPI，客戶或第三方可以在控制器上開發JAVA應用，實現各種網絡應用。

4) 網絡配置一次成型，業務擴容與變更無需改動網絡，大幅度減少網絡運維工作量。網絡簡化、安全。虛擬網絡支持L2、L3等，無需運行LAN協議，骨干網絡無需大量VLANTrunk.

5) 簡化網絡IP地址的規劃，用于設備互連的IP網段和用于業務通信的IP網段互相不重疊。

6) 加快應用部署速度，應用可以在任意位置部署，配置好自己的IP地址即可實現通信，無需變更網絡，應用部署速度從以周計縮短為以天計。

7) 轉發優化和表項容量增大。消除了MAC表項學習泛濫，ARP等泛洪流量可達范圍可控。

3.2 新增設備

1) 數據中心業務區新增核心交換機 2 臺。集團新建數據中心網絡架構，采用 2 臺高性能核心交換機 S10508X-V. H3C S10500X 系列交換機產品是新華三技術有限公司面向云計算數據中心核心、下一代園區網核心和城域網匯聚而專門設計開發的核心交換產品。

2) 數據中心業務區新增接入交換機2臺。在集團數據中心新部署2臺業務服務器接入交換機H3C S6800-4C，實現對各業務資源服務器全線速千兆/萬兆自適應接入。H3C S6800系列交換機是H3C公司自主研發的數據中心級智慧以太網交換機產品。

3) 數據中心管理區新增接入交換機2臺。集團在數據中心部署管理區，新采購2臺接入交換機，選用H3C S5560X-30C-EI交換機產品。

4) 數據中心安全區新增接入交換機4臺。集團在數據中心部署安全區，新采購4臺接入交換機，選用H3C S5560X-30C-EI交換機產品。

4 結 語

西山煤電集團數據中心升級優化項目于2018年12月開工，目前正在建設中。該項目對數據中心進行結構調整與優化，優化網絡性能，以進一步提高數據中心的業務重載能力，并分離了生產網和辦公網，提高了數據安全性。項目完成后將建成適合時代發展的數據中心，提升企業信息化水平，支撐和驅動企業發展。