企业数据中心解决方案
随着企业网络规模的不断扩大,企业业务量的飞速增长,企业信息的高度共享、企业数据库的集中管理变得越来越重要,因此建立企业数据中心是很多企业要面临的难题。本设计方案适合于大、中型企业数据中心的建设。
一、网络中心
企业网内部服务器群用于向企业内部提供信息服务,因此需要高速的连接。在本方案中采用了两台Cisco6509高端交换机作为网络核心交换机,配置2个最新的Engine-2构成高速冗余结构,可提供高达256G 的背板交换能力,同时还配置了1块8口光纤千兆接口模块,提供服务器群的千兆接入。另外,今后网络扩展时还可以根据需要配置相应模块,提供监控主机、管理主机、网管工作站、内部MIS 系统、工作人员电脑的接入。
Cisco Catalyst 6509提供了相应技术实现冗余性能,提高了网络的可靠性。两台Cisco 6509之间都有单条1000M 的链路相连,并且可以捆绑多条链路以提供高达2-8G 的带宽。一个CHANNEL 由一组快速以太通道所管理的链路,提供了在一个CHANNEL 上进行统计负载均衡的能力如果在CHANNEL 中的一条链路失效了,那么Ethernet Bundle Controller 将其通知给Enhanced Address Recognition Logic, 它将重清那条链路上所学到的所有地址。该情况使EBC 和EARL 将在硬件中重新计算另一个链路上的源-目的地址对。当一个源地址发出查询请求且目的地作出回应后,该地址就在CHANNEL 中另一不同的链路上被重新学到。
为保持广域网络在同时发生多点故障或组合故障的复杂情况下大部分功能仍能安全运转,本方案采用了基于系统设备的备份结构,即当一个路由器完全不能工作的情况下,它的全部功能可被系统中的另一个设备完全接管,直至损坏设备恢复。两台Cisco Catalyst Switch 6509
配置了第三层交换模块,并且配置成HSRP 。本方案采用的Cisco HSRP (Hot Standby Router Protocol )、技术非常完美地解决了路由器/三层交换机的切换问题。HSRP 允许两个或多个配置了HSRP 的路由器使用一个虚拟路由器的MAC 地址和IP 地址。这个虚拟IP 在同一时间只代表一个路由器的LAN 口,当此路由器LAN 端口失效或整个路由器完全瘫痪时,这个虚拟的IP 会自动被另一个定义了HSRP 的路由器的LAN 口所接管,实现路由器的自动热备份。
在本方案中,两台6509上定义两个HSRP 组。相应地,中心局域网上的一半服务器和工作站以第一个虚拟IP 为默认网关,另一半以第二个虚拟IP 为默认网关。这样在HSRP 下,各个路由器的网关负载和进出流量得到了非常好的平衡,并同时实现了相互的热备份。
另外DMZ 区配备一台Cisco2948G 的交换机,用于连接防火墙和DMZ 区对外发布服务器群,它有2个1000BaseX 接口和48个10/100BaseT接口,可以完成多台服务器的FE Channel 高速连接,通过1000BaseX 接口,可以实现与防火墙之间的千兆连接。
二、网络接入
用户接入的方式有如下几种:
1.企业各分部网络通过电信公用网络平台组成企业内部专网,各分部网络的接入方式是通过中国电信的各种数据专线业务或IP MPLS/VPN连接到一起,而整个企业网在网络中心还可设置一个10/100/1000M出口访问互联网。
2.系统内用户
企业内部用户可以直接通过局域网联入企业网中。
3.家庭及移动用户接入
网中网 (VPDN , Virtual Private Dial-Up Network ),又称虚拟专用拨号网,它
利用先进的IP 虚拟通道技术,提供一种在省内拨叫市话号码 96366通过视聆通网进入企业内部网的手段。企业VPN 申请网中网(VPDN )业务后,只需要将其内部网络通过一条专线接人到视聆通网络,就可以自行对所属拨号用户进行开户、销户、设置用户权限等操作,以及运行内部管理系统;而所属拨号用户一旦在总部开户,即可在省内任何地方拨号96366使用网中网 (VPDN )业务进入该虚拟专用网。
三、数据中心
网络必须具备基本的Internet/Intranet功能,因此在方案中设计了DNS 服务器、电子邮件服务器、Web 服务器、数据库服务器等,提供对外、对内的信息服务,电子邮件服务、FTP 、BBS 等。
网络中心内的服务器需要为整个企业VPN 网甚至Internet 提供服务,因此对于主要的应用应该采用双机容错系统。
作为整个网络中心的服务应着重考虑数据安全和故障恢复能力。
Web 服务器
作为整个系统的门户,向企业内部及Internet 用户提供WWW 服务。采用双机容错系统。本服务器在首期还将作为部分节点网站的虚拟主机。
电子邮件服务器
企业VPN 网的家庭用户可以采用中国电信巨大的接入网系统,可通过163/VPDN接入企业VPN 网。
通过本服务器可以收发企业内部和Internet 的电子邮件,支持POP3/Web/IMAP协议,可为每个用户分配一个电子邮箱。
视频服务器
为网内用户提供视频点播和视频广播服务,可同时处理100个以上的并发视频流。采用Intel-Base 服务器,Windows NT/2000操作系统。
可视电话会议服务器
为网内用户提供可视电话会议及现场视频直播服务。采用Intel-Base 服务器,Windows NT/2000操作系统。
数据库服务器
为网内用户提供数据库服务,可允许Web 服务器提取数据。采用Intel-Base 服务器,配置双机容错系统,Windows NT/2000操作系统。
资源服务器
为网内用户提供海量资源库。采用Intel-Base 服务器,配置双机容错系统,Windows NT/2000操作系统。
综合信息平台服务器
为网内用户提供个性化的综合信息服务,包括网上信息发布、会议通知、日程表、网上应用等。采用Intel-Base 服务器。
局内OA 服务器
专用于存放和管理系统内的办公信息,Windows NT/2000操作系统。
用户认证及计费服务器
本服务器可以留待需要进行大规模VPDN 认证计费时再配置。
四、要考虑的几个问题
1、 QoS功能
多年来,QoS 一直是广域网的关键需求。带宽、延迟和延迟变化的需求都是广域网中优先考虑的内容。由于内部网和外部网应用的快速发展对整个网络提出了更高要求,端到端QoS 的重要性也在不断增长。QoS 可以保护关键任务应用免受多媒体、网络广播及视频服务等需要极大带宽的应用的干扰。
QoS 起到了如下重要作用:
保护ERP 或自动销售系统等关键任务应用。 给予基于销售和工程等业务的用户组以优先权。 实现远程教学或桌面电视会议等多媒体应用。
网络管理员可能需要就不同的应用提供不同的服务级别。例如,当某位销售管理人员在销售季末输入一个订单,网络单词会识别出这一应用,并将其排队于其它类型的信息之前。目前,CiscoIOS 软件中的QoS 机制可以帮助网络对各种网络应用和信息类型进行控制和服务。CiscoIOS 软件的关键QoS 功能包括:
1、加权随机早期检测(WRED):避免网络流量的振荡。网络管理员可根据信息流量类型的不同而制订不同的RED 政策,WRED 可以在网络发生拥挤时对重要的信息类型给予优先处理,而对低优先级的数据,在拥塞发生前就有意的有控制的丢弃一些包。
2、加权平衡排队(WFQ):WFQ 将信息包分成若干列或类别,然后对信息包的输出进行排程,以满足其带宽分配及延迟要求。WEQ 类可根据IP 优先权、应用端口、IP 协议或引入接口进行指定。
3、资源保留协议(RSVP):应用可以使用RSVP 对必需的网络资源进行动态的请求和保留,从而满足其特定的QoS 要求。通过代理RSVP 功能,Cisco 的路由器可使用RSVP 代表那些无RSVP 功能的应用对资源发出请求。
4、IP 优先:通过使用现有的IP 优先排队机制(如WFQ,WRED 等) ,IP 优先信号在网络中区分QoS 。
5、基于政策的路由选择(PBR):PBR 根据源地址和应用端口等标准为所选的信息包提供了定制的路由路径,并可经由IP 优先权对信息包分类并作出标记,这使得主干网路由器可以在拥挤时给予其优先权。
2. QoS政策
由于其静态性质,QoS 的配置过去一直非常复杂并且易于出错,因此限定了它只能用于广域网的边缘。QoS 的机制也使得它必须在每台设备上手动配置。现在通过CiscoAssure 政策网络,政策配置得到了简化,可在网络中实现激活政策,从端到端使用QoS 。CiscoAssure 政策网络中QoS 政策是以应用类型、用户组身份和其它的分类标准,例如时间、日期、甚至网络本身的拓扑结构中衍生出来的物理端口信息等为基础的。这些分类都利用了CisoAssure 政策和注册服务以及其它重要的网络信息服务,例如提供拓扑结构和设备信息管理系统等。为了设置QoS 政策,网络管理人员使用可以拖放的政策管理图形用户界面(GUI)指定遵循商业规范的政策,然后通过QoS 政策服务器创建并激活一个QoS 政策绑定。公用开放政策服务(COPS)协议提供政策服务器和智能网络设备内含的CiscosIOS 软件之间的政策交换。CiscoIOS 软件将政策绑定转化为本地QoS 执行机制,如加权平衡排队(WFQ)和加权随机早期抛弃(WRED)等。
在政策激活后,指定的通晓政策的网络设备将确认各种通信信息分类,动态地执行适当的政策,无需手动参与。因此,网络管理员可以将精力投入明确商业政策、充分利用智能网络来自动识别和实现政策。
3、 注册服务
DNS/DHCP注册产品是一种有效的CiscoAssure 政策网络注册服务。DNS/DHCP注册可以根据政策的类型来动态分配地址,并在用户组和政策服务器间建立绑定。例如,工程或销售部门可能需要在每天的特定时间或为某种应用类型提供特定服务。这个用户类型与政策服务器的绑定关系可以作为一个有效的机制帮助网络管理员控制网络资源的使用。再举个例子,企业网络管理员需要提供对多媒体应用的支持,但限定这些用户只能在网络的某些部分使用。通过政策的控制,网络管理员可以为特定用户建立政策,限制他们访问多媒体应用的带宽。例如,远程办公室仅支持256KBPS 。这个政策保护了与较高带宽应用共享速度较低的远程访问链路的关键任务信息的传输。没有政策的控制,网络关键网络资源就会被带宽需求大的应用或错误应用占据,只有通过QoS 政策控制,商业及商业重要应用才能得以保障。
4、 安全性政策
安全政策也在企业中扮演了重要角色。安全政策制订了企业资源访问权限的规范。现在,安全政策不仅需要支持企业内的用户,而且也必须支持企业外的用户,如合作伙伴、客户和从Internet 对企业资源进行访问的员工等。Cisco 提供了全面的安全技术,在以对任何商业行为提供定制的安全解决方案。
安全政策对于企业来说极为关键,其中包括园区网安全性能、针对移动用户和家庭办公者的远程访问安全性能以及基于Internet 的VPDN 和VPN 等。
现在,Cisco 向企业提供的全面安全解决方案包括:
CiscoSecure 访问控制服务器(ACS)
通过对远程用户识别和确认,CiscoSecure 简化了远程访问政策控制。
CiscoSecure 数据库保存所有用户ID 、口令和权限。 CiscoSecure 访问政策可以访问控制列表(ACL)的形式下载到CiscoAS5300网络访问服务器等网络访问服务上。
PIX 防火墙和IOS 防火墙
CiscoPIX防火墙,CiscoIOS 防火墙特性保护重要资源免受未许可访问的入侵。许多现有的安全控制机制是建立在静态访问列表(ACL)基础之上的,ACL 只能在网络层,最多在传送层进行传送监控。现在,有了关联访问控制(CBAC),动态的应用监测和控制功能得以实现。CBAC 在CiscoIOS 防火墙特性集中占重要地位。通过检查和跟踪应用层协议状态信息,CBAC 增加了智能性。它可以根据会话状态的信息动态地创建或删除ACL 条目。同时,CBAC 还对信息包控制通道进行监控制通道中的应用特定命令。这是个极为重要的功能,因为许多应用协议(如H.323,FTP,RPC 等) 都包括多个创建的通道,这正是控制通道中动态协商的结果。
加密技术实现了敏感信息的安全传送,杜绝了未授权的查看和修改。Cisco 提供了各种基于硬件的加密方案。CiscoIOS 软件加密技术已应用于大多数Cisco 产品之中,支持56位和40位数字加密标准(DES)。同时,Cisco 推出了针对Cisco7200和7500路由器的硬件加密,这提高了高速接口上高吞吐量应用的加密性能。
安全监测和控制软件Cisco Security Scanner和IDS
Cisco Secure Scanner (以前的 NetSonar )是一个企业级软件工具,提供卓越的网络系统识别、革新性数据管理、灵活的用户定义的脆弱性规则、全面的安全报告功能以及 Cisco 24x7 的全球支持。Cisco Secure Scanner 是 Cisco 全面的网络安全解决方案中的一个关键组件。NetSonar 允许用户测量安全、管理风险和消除安全脆弱性,从而实现更加安全的网络环境。
Cisco Secure Scanner 提供下列功能帮助用户了解其网络安全形势:
网络映象 - 编译您网络上系统和服务的一个电子清单。
安全脆弱性评估 - 通过探测和确认脆弱性识别安全漏洞。
风险管理- 通过革新性数据浏览技术启动脆弱性数据的有效管理。
决策支持 - 通过全面的报表和图表交流结果,制订有效的决策改进企业的安全形势。 安全政策确认-在安全设备安装和认证期间使用时,定义并加强有效的安全政策。
Cisco Secure入侵检测系统(以前的NetRanger) 是一个企业规模的实时入侵检测系统,旨在检测、报告和终止整个网络未经授权的活动。作为业界第一个入侵检测系统,Cisco Secure入侵检测系统是Cisco 端到端安全产品线的动态安全组件。.
Cisco Secure入侵检测系统关键特性:
对合法流量/网络使用透明的实时入侵检测;
对未经授权活动的实时应对可以阻止黑客访问网络或终止违规会话 ;
全面的攻击签名目录可以检测广泛的攻击,检测基于内容和上下文的攻击 ;
支持广泛的速度和接口类型,包括10/100 Mbps以太网、令牌环网和FDDI ;
告警包括攻击者和目的地IP 地址、目的地端口、攻击介绍以及捕获的攻击前键入的256个字符 ;
适合特大规模分布式网络的可伸缩性 ;
5、 远程访问政策
Cisco的远程访问安全政策的实现对象是那些远程办公的员工和通过综合业务数网(PSTN)拨号的移动用户。有了CiscoSecure 和AS5300网络访问服务器,安全政策得以在公司校园网实现。例如,拨号进入的员工先要进行身份认可。当他在连入时,AS5300将用户ID 和密码信息传送至CiscoSecure 进行确认。AS5300和CiscoSecure 使用标准协议,如RADIUS 或TACACS+等进行通信。这些协议允许CiscoSecure 与Cisco 路由器,网络访问服务和防火墙通信。然后CiscoSecure 根据数据库的信息查对口令,并确认用户。一旦得到确认,CiscoSecure 就向AS5300发回认可信息。这个认可信息中包括了用户权限,所以AS5300能防止对公司资源未许可的访问发生。
CiscoSecure也支持更先进的用户身份认定技术,如令牌卡等。目前正日趋流行的身份认可方法是由令牌卡或软令牌支持的一次性口令。这种方法已经常用于流动用户的身份认定。