业务就绪数据中心架构中的数据中心网络分区解决方案

解决方案概述企业数据中心需要对容许传输的数据流量进行路径控制。访问互联网应用的外部客户端通常会连接到一个Web服务器群集。这些Web服务器随后将访问位于企业网络中不同位置的应用服务器、大型机或者数据库。提供基于Web应用的公司并不希望外部客户端直接访问应用大型机或者数据库。同样，普通的企业员工具有访问Web服务器的权限，而只有开发人员才能够访问应用服务器和数据库服务器。这些控制通常是通过路由器或者防火墙上的访问控制列表（ACL）实现的。对于小型服务器群而言，防火墙的使用可以简化ACL的配置，因为“静态”网络地址解析（NAT）配置可以控制穿越防火墙的流量路径。这种方法的局限在于服务器群需要物理上紧密靠近防火墙，以便单个防火墙可以为多个服务器群集控制流量路径。这种方式不适用于像银行这样的大型企业客户。在这种环境中，每个服务器群集都是一个独立的“构成模块”（依据思科系统公司在多层设计中使用的术语）。这意味着每个服务器群集都采用两个分布层路由器连接到一个核心。对于这种环境，ACL通常配置在分布层路由器上，来限制到经授权对象的访问。这项工作通常非常繁重，因为随着访问列表的逐渐增大，越来越难以理解它们的“意义”。解决这个问题的办法之一是使用多协议标签交换（MPLS）VPN，它可以控制哪些“构成模块”的可以相互通信。流量的路径控制是基于路由功能而不是ACL。增加的安全保障可以通过访问列表来提供。在数据网络基础架构和存储基础架构中分别创建逻辑分区，然后将其结合在一起形成独立的、安全的分区，这一能力可能会极大对现代的数据中心带来变革。安全是所有IT网络专业人员最关心的问题之一，建立逻辑分区和把他们对应到VPN上的手段是一种功能强大的网络设计工具。CiscoCatalyst6500系列产品具有创建二层、三层VLAN的功能，它们可以对应到多个并行的VPN路由和转发情况。这让网络管理人员能够利用同一套网络基础设施支持多个虚拟网络。这种能力可以被用于将一个第二层广播域或者VLAN映射到CiscoMDS9500多层导向器建立的一个虚拟存储局域网（VSAN），从而在存储设备和服务器之间实现透明的、安全的通信。这种功能可以解决一些常见的网络复杂性问题，例如IP地址的重叠和在同一套网络基础设施上隔离不同的网络设备（譬如隔离同一个网络上的不同业务部门）。MPLSVPN还可以用于其他场合，例如将使用同一套服务的用户加入到同一个网段中，同时允许在网络基础设施的某个公共节点共享这些服务。例如，管理人员可以在接入层将拥有类似服务需求的用户进行逻辑上的划分，同时又在不需要区分用户的数据中心将他们合并到一起。业务就绪数据中心架构中的数据中心网络分区解决方案业务就绪数据中心架构中的数据中心网络分区MPLS为客户提供了部署多种高度可扩展的、灵活的网络设计的能力。CiscoCatalyst6500系列交换机和CiscoMDS系列存储交换机可以提供和利用这些服务，部署符合未来需要的、先进的数据中心。方法论数据中心网络为IT组织架构提供了一个基础平台，支持业务目标的实现。从分析这些目标和它们对网络的功能需求开始的方法论是成功的重要因素。本文的内容组织主要围绕着下面这两个目标：z共享已经在别处获得成功应用的技术，确定它们对你机构的可用性和有效性，来修正设计方案和支持数据中心方面运行。z将部署和运营模板追朔到推动作用的业务目标，进一步说明本文介绍的数据中心的立论。这个方法论当在你自己的机构内部被实施时，本流程最终可能不会形成一个完善的设计方案或者部署计划，即使您已经制定了一个具体的目标。本文的主要目的是定义一个框架，指导未来的数据中心规划、设计，产品和服务的选择和部署，以及运营支持。这个框架包括三个领域：z业务目标和功能要求z技术选择z部署和运营模板业务目标和功能要求不同企业的业务目标可能会有所不同，因此在IT和使用网络服务的业务部门之间开展积极有效的对话是必要的。这样做的目的是了解业务部门的需求、成本目标、风险承受能力和应用需求。不过，大部分大型机构可能都面临着一些相同的问题。图1对InfoneticsResearch在2003年开展的一项调查的结果进行了总结。它列出了机构在数据中心方面共同关注的问题――从业务目标到对数据中心的功能要求。本调查提供了对常见问题的深入剖析。图1数据中心调查安全性能数据中心资源的可用性控制管理的方便性总拥有成本对于托管服务供应商的信任部署速度企业策略百分比来源：Infonetics2003年度数据中心调查业务就绪数据中心架构中的数据中心网络分区技术选择技术的选择应该是对实现业务目标和满足功能要求的最佳工具的挑选。例如，在LAN技术领域，相对于几年前常见的光纤分布式数据接口（FDDI）和令牌环网技术相比，市场目前更加倾向于千兆位和万兆位以太网。至于SAN延伸领域，光纤通道是常见的选择，但是iSCSI和IP光纤通道（FCIP）通过提供不同的成本结构和不同的优势，弥补了光纤通道的不足。只要我们将技术选择的原因对应到业务目标和功能需求的基础上，就不难选出最佳的技术。部署和运营模板部署和运营模板包括：z物理和逻辑拓扑的结构图z最佳实践指南和设备配置实例z部署最佳实践、时间安排和项目计划z服务水平协议z运营支持模式实际上，这包括了建设网络和指导未来设计所需要的全部。它包括必须定期改进以保持有效性的网络未来战略蓝图以及对某个特定阶段或者没有明确阐述的项目的部署细节。思科根据广泛的测试和验证，编写了一套数据中心设计最佳实践文档。本文最后的参考文献部分提供了这些详细文档的链接。业务目标成功的机构必须能够迅速地适应变化。从功能上说，这意味着利用IT基础设施支持业务目标。迅速地、经济地适应变化的能力需要一个由网络和存储设备共同构成的基础设施。这些设备配合到一起发挥的作用应当大于各个组件单独发挥作用的总和。现代数据中心（如图2所示）几乎总是要保持24小时的运行，不容许任何停机。支持数据中心的设备必须具有很高的可用性，允许在不导致系统中断的情况下进行改动。另外，企业越来越需要在不同的业务单位或者部门之间以逻辑方式共享数据中心资源。安全地对数据中心进行分段和在网络、存储组件之间实现网络连续性的能力让不同的机构可以利用同样高度可用的基础设施，以更低的成本不间断地保护数据中心的正常连续运行。图2：逻辑网络基础设施城域网络DWDM/SONET/以太网磁带大型机IP通信应用优化数据库服务器SSL第2/3层应用服务器光纤通道SAN存储网络多层应用Web服务器IP网络基础设施安全1防火墙缓存运营远程数据中心WAN/互联网WAN/互联网备用数据中心内容交换机业务就绪数据中心架构中的数据中心网络分区CiscoCatalyst6500系列交换机在与CiscoMDS系列存储产品结合时，可以在现代数据中心中具备多个虚拟路由和转发情况。图2显示了连接到第二层、第三层IP网络基础设施（由CiscoCatalyst6500系列交换机构成）和后端存储网络（CiscoMDS存储交换机）的服务器群。网络和存储基础设施的虚拟化可以通过建立多个并行的、透明的、安全的重叠网络（每个代表一个VPN），扩展这个数据中心环境。根据指定环境的具体需要，这些VPN可以在第二层（数据链路层）和第三层（网络层）建立。这可以实现多种网络设计方案，包括集成本地和远程数据中心――无论设备之间的距离是近是远。配有一个CiscoCatalyst6500系列SupervisorEngine720的CiscoCatalyst6500系列交换机可以提供基于MPLS的VPN。越来越多的企业需要在一个共享式网络基础设施中提供专用网络。MPLSVPN在一定程度上可以满足这种需要。这些虚拟网络不仅可以共享同一个基础设施，而且还可以在任何一个VPN中提供任意－任意的连接，以及在不同的VPN之间保持安全的数据隔离。确定这个解决方案是否适用于某个特定环境的主要依据包括：z机构的规模有多大？z是否存在为某个共同基础设施提供分段功能的业务或者技术需要？z网络的分段隔离是在2层还是3层？z目前使用的IP寻址方式是否允许不同实体之间的IP重叠？z用户是否都拥有同等的服务器资源访问权限？技术解决方案思科提供的很多产品都有助于实现平稳的端到端部署。思科提供了多种采用了可靠连接解决方案和具有嵌入式智能的高性能产品。它们不仅可以互相操作，而且还为下一代服务平台的部署提供了一个基础。这些范围广泛的思科产品可以为一个安全、高度可用、可靠、可扩展的数据中心和服务器群集部署奠定基础。两种可以提供以太网和光纤通道交换平台的思科产品是CiscoCatalyst6000系列和CiscoMDS9000系列。这些平台集成了思科率先推出的VLAN和VSAN技术等特有功能，可以提供增强的可扩展性、安全性和灵活的“无需移动电缆”配置。增强的管理和诊断功能设计在这些平台中，让企业能够提供和管理他们所承诺的SLA。CiscoCatalyst6000系列的主要特性CiscoCatalyst6000系列是一个智能交换平台，可以提供市场领先的服务、性能、端口密度和可用性，同时能够为企业和服务供应商市场提供投资保护。它的主要特性包括：z最大限度的网络正常运行时间―在此平台上、电源、SupervisorEngine、交换矩阵和集成化网络服务，冗余性可以提供1到3秒的状态保留故障切换以及在一个融合式网络环境中提供应用和服务的连续性，最大限度地减少关键任务型数据和服务的中断。z全面的网络安全――这项特性可以在现有网络中集成经过验证的多千兆级思科安全解决方案，包括入侵检测、防火墙、VPN和安全套接字层（SSL）。z可扩展的性能――这项特性可以利用分布式转发架构提供高达400Mpps的性能。z可以保护投资的前瞻性架构――这种架构可以在同一个机箱中支持三代可互换的热交换模块，优化IT基础设施的利用率，最大限度地增加投资回报，并降低总拥有成本（TCO）。z运营一致性――这项特性可以让3、6、9和13插槽机箱配置共用同一组模块、CiscoIOS软业务就绪数据中心架构中的数据中心网络分区件、CiscoCatalyst操作系统和可能部署在网络中任何位置的网络管理工具。z出色的服务集成和灵活性――该系统可以将先进的服务（例如安全和内容）与融合式网络结合到一起，提供市场上范围最广泛的接口和密度――从10/100和10/100/1000以太网到10Gb；从DS-0到DS-48。它可以端到端地支持任何部署。CiscoMDS9000系列的特性z高可用性导向器－－CiscoMDS9500系列结合了不间断软件升级、状态保留重启和故障切换，以及所有主要组件的完全冗余，因而为导向器级可用性树立了新的标准。它最多可以在单个机箱中支持224个2/1Gbps自动感应光纤通道端口，并可以在单个机架中支持768个光纤通道端口――1.44Tbps的内部系统带宽确保用户可以平稳地集成未来的10Gbps模块。z业界最灵活的矩阵交换机――CiscoMDS9216多层网络交换机最多可以在单个矩阵交换配置中支持48个2/1Gbps自动感应光纤通道端口。它的模块化设计提供了一个3机架单元（RU）系统，其中包括16个2/1Gbps自动感应光纤通道端口。通过多种可选的CiscoMDS9000系列交换模块，它可以扩充到48个光纤通道端口。z经济有效的智能矩阵－－CiscoMDS9100多层网络交换机可以通过一个紧凑的1RU机型，提供成本、性能和企业级功能的完美平衡。具有20和40端口配置的CiscoMDS9100多层网络交换机可以满足中小型企业级存储环境对于成本、性能、可管理性和连通性的需求，同时还可以完全兼容CiscoMDS9500多层导向器，能够在大型数据中心核心－边缘部署中实现端到端的服务。z先进的架构－－CiscoMDS9000系列架构可以提供通用的交换模块。它们可以被移植到CiscoMDS9500系列的任何机型中或者CiscoMDS9216多层网络交换机中。z基于TCO的设计－－CiscoMDS9000系列所提供的高级管理工具可以降低总体TCO。它为单个物