济群信息IT服务-企业云网技术社区

标题: 华为数据中心网络互联与灾备解决方案 [打印本页]

作者: 孤独的骗子 时间: 2014-8-31 11:56
标题: 华为数据中心网络互联与灾备解决方案
　　在开始这篇华为数据中心网络互联与灾备解决方案文章之前，我们先看下这篇文章的写作背景或者说是挑战吧。
　　背景/挑战
　　数据中心（Data Center）是数据大集中而形成的集成IT应用环境，是数据计算、网络传输、存储的中心。数据大集中在带来巨大好处的同时，也带来了风险大集中。如何应对和有效化解数据集中带来的风险？如何保证业务连续性、保证数据与业务的安全、维护自身声誉、提高用户满意度等都是IT建设必须要面对与亟待解决的问题。
　　作为全球领先的网络解决方案供应商，华为长期致力于数据中心网络广域互联和灾备解决方案的研究和开发，为用户提供分层互联、多级灾备的数据中心广域互联和灾备解决方案，打造"HA互联，业务永续"的数据中心。
　　解决方案

　　三重互联，满足前后端各类业务需求
　　一层存储网络互联------实现主数据中心和灾备中心间数据级容灾
　　华为SAN互联方案
　　华为数据中心SAN互联全面支持FC SAN和IP SAN.IP SAN融合了传统IP网络和存储网络的双重性能，完全兼容传统的以太网设备，可有效降低在存储连接设备方面的投资，而FC SAN在效率、性能和安全性方面有较大优势，基于此，在同城灾备场景，可以采用FC SAN实现数据同步复制，异地灾备场景，可以采用IP SAN定时同步数据，兼顾了IP SAN和FC SAN的优势，满足两地三中心和多中心互联场景要求。

　　二层网络互联
　　采用L2 VPN技术，可用于构建一个跨数据中心的大二层网络，满足服务器集群（高可用集群、容错集群、负载均衡集群、高性能计算集群）和虚拟机动态迁移的需求。
　　采用Fat-Tree网络架构，构建无阻塞大二层网络
　　扁平化网络架构，降低网络时延；业务部署方便，计算资源灵活共享，更好地支持虚拟化和资源分配。
　　VPLS二层互联：实现数据中心冗余扩展，防止单点故障。
　　成熟开放的网络协议：2007年就发布了主要的RFC4761、RFC4762,上千个成功商用案例，业界主流的网络设备提供商如Huawei、Cisco、Juniper、 Alcatel-Lucent都支持VPLS,不同厂商成熟对接。
　　无环路：内在的水平分割原天然消除环路；无需部署xSTP, 无链路浪费。
　　高效率：VPLS转发报文，时延只有10μs左右；22字节的报文头开销，承载效率高。
　　便于构建Full Mesh的数据中心网络。
　　三层前端网络互联
　　采用IP/MPLS VPN技术，同时还可提供IPsec VPN和SSL VPN安全接入方式，满足应用业务需求，实现业务级容灾。
　　全面支持OPTION A（背靠背）、OPTION B（单跳多协议）、OPTION C（多跳多协议）三种跨域方案，突破单个服务提供商管理域的限制，扩展了MPLS VPN架构的灵活性，部署方式满足不断扩展的网络部署要求。
　　灵活L3VPN部署方式，支持IP,MPLS,SDH专线多种方式互联方案。
　　存诸、OA、生产、WEB等多业务承载，保证各业务安全隔离。
　　端到端全面支持IEEE 1588V2技术：多技术接入，支持xPON,波分，以太网等全场景端到端时间同步，相比GPS相位同步技术，约节省50%TCO;华为的1588v2特性通过EANTC认证。
　　支持IPSec VPN和SSL VPN,为移动业务提供安全接入
　　IPSec实现企业高速安全互联： 10G线速/Slot（512B），20K并发隧道；支持双机热备和负载分担；支持NAT穿越。
　　SSL VPN:无客户端VPN方案，无需专用的客户端软件；细粒度的授权管理；支持多种设备接入。
　　面向业务的弹性可伸缩网络：数据中心内部接入层和汇聚层设备根据业务需求弹性伸缩，快速响应，弹性扩展/收缩资源满足业务需要，网络灵活扩展，以最小的代价，支撑业务需求的不确定性。
　　根据不同的业务连续性要求，部署应用级容灾和数据级容灾：冷备或或暖备方式采用手工切换方式，基于不同的负荷分配算法的双活模式采用DNS和HTTP重定向方式，热备模式采用健康路由注入方式实现。
　　全方位的高质量用户QOS体验：
　　业务，用户，用户组，Class,端口五级H-QoS调度，精细参数配置，按需保障SLA,满足用户侧的QoS需求，增强用户体验；
　　解决方案MPLS VPN H-QoS,满足网络侧的QoS需求，每个VPN以及VPN中的每个业务获取不同的QoS保障，每个VPN获取自身带宽保证SLA,VPN内根据业务不同，进行优先级调度，保证高优先级业务的带宽，延时，抖动和丢包率满足SLA;
　　DS-TE满足骨干承载网络部署的QoS需求：TE隧道内不同的CT共享带宽，唯一提供8个CT和优先队列的厂商；支持RDM和MAM 两种标准模式，可灵活配置；
　　两级灾备，实现数据级和业务级完美协同
　　关键灾备业务性能指标
　　RPO - 恢复点目标（Recovery point objective）：发生灾难前最后一次备份的时间点距离当前时间差（数据丢失时间）
　　RTO - 时间恢复目标（Recovery time objective）：发生灾难后恢复物理系统环境的时间（如服务器重启、数据库重启等至应用正常运行）
　　灾难恢复能力等级划分与网络要求
　　存储网络要求做到时延低，带宽高，可靠性强
　　业务网络要求做到链路备份、路由收敛快

　　数据复制模式
　　SAN互联数据级容灾分为同步数据复制和异步数据复制，同步数据复制指通过将本地生产数据以完全实时同步的方式复制到异地，保证了异地数据和本地数据的完全一致性，但由于需要等待远程操作完成并收到响应，限制其只能在相对较近的距离上进行应用。异步数据复制指将本地数据以后台同步的方式复制到异地，本地每次的IO交易均正常释放，无需等待远程复制的完成，在复制过程中本地系统性能受到的影响很小，可以长距离(1000公里以上)传送，对网络带宽要求小，但可能会出现数据不一致的情况。

　　容灾类型
　　硬件级灾备(阵列级)：数据通过存储阵列控制器直接在存储设备之间传输。系统稳定性高且性能优异，适合于关键业务和高端应用;同时具备操作系统无关性。硬件级灾备是目前最成熟、应用最广泛的灾备技术，广泛用于FC-SAN容灾系统中。
软件级灾备(主机级)：在生产中心和灾备中心的服务器上安装专用的数据复制软件实现远程复制功能。软件级灾备的兼容性较好，生产中心和灾备中心可部署不同类型的存储设备和服务器，无需额外的硬件支持，投入成本较低。广泛应用于IP-SAN容灾系统中，FC-SAN领域，应用相对较少。
　　华为”IP+光”灾备方案
　　集成路由器和光传输，“IP+光”形成全方位的数据级和业务级快速容灾备份能力。华为NE40E路由器提供多数据中心间的灵活互联和IP SAN备份，支持基于硬件的BFD和OAM，有效减少收敛时间。

　　IP路由灾备
　　数据中心间的业务流量和IP-SAN备份流量都通过出口路由器(通过VPN技术进行隔离)，充分保护企业的网络投资。
　　华为NE系列采用业界领先的400G平台，每槽位可平滑扩容到400G带宽;具备强大的VPN和QoS能力，满足IP-SAN备份流量的隔离和服务质量需求;同时提供200ms级的保护能力，以保证IP WAN广域容灾的可靠性。
　　作为全球TOP3份额的路由器厂商，华为NE40E系列在全球运营商和行业网市场均有着成熟的规模应用，并保持着强劲的增长势头(60%)。
　　光传输灾备
　　华为OSN系列OTN设备将为数据中心容灾提供业界领先的广域传送特性，适合于对容量、实时性等要求较高的容灾系统，华为OSN系列具备海量级数据传送能力，最大支持40G/100G×80波(3.2T~8T);支持14种专业级存储接口(FC/FICON/ESCON等)，具备7大主流存储厂商的兼容性认证;针对各种容灾组网类型，OSN系列提供电信级的50ms级可靠保护;提供业界最佳的3000公里SAN拉远能力，满足长距离异地容灾需求。

　　丰富的故障检测机制保证端到端业务可靠性

　　数据中心内部：通过EFM OAM检测直连设备链路;
　　数据中心协议层：MPLS OAM检测LSP连通性，为VPLS大二层数据中心互联提供快速故障检测机制;
　　数据中心链路：ASON提供快速端到端业务建立、查询、删除和属性修改功能;
　　端到端链路故障检测：BFD端到端双向硬件检测，轻负荷、快速检测到接口或数据链路的故障，并触发协议联动。
　　端到端链路检测：Y.1731提供端到端业务故障快速检测和性能监视，测量时延、抖动、丢包率;802.1ag提供路径发现、故障检测、故障确认和定位、故障通知、故障恢复检测。
　　华为数据中心网络安全与应用优化解决方案
　　数据中心承载着用户的核心业务和机密数据，同时为内部、外部以及合作伙伴等客户提供业务交互和数据换。作为业务应用核心和敏感数据的汇集点，数据中心永远是攻击者最感兴趣的目标。以下问题一直困扰用户的数据中心建设：针对服务器的拒绝攻击如何抵御?层出不穷的入侵如何防范?高压力时服务器的响应速度如何提高?持续不间断业务如何保证?
　　作为全球领先的网络解决方案供应商，华为长期致力于数据中心网络安全与应用优化解决方案的研究和开发，为用户提供高性能、一体化、层次化安全部署和端到端的应用优化解决方案，打造“安全无忧，卓越高效”的数据中心。

　　高性能安全
　　IPS技术：高达80G吞吐量;IPS指纹库全球最大、IPS指纹库增新最快、升级服务器范围最广;支持HTTP, SMTP, POP3, IMAP, FTP, DNS, P2P/IM等多种协议
　　业界领先的处理性能：万兆线速转发，高达200Gbps吞吐量的业界最高性能，轻松应对WEB2.0带来的流量挑战;并发连接跨越千万门槛，最高可达8000万，通过多核技术实现连接数与整体性能的协调，真正支撑WEB2.0应用;500万/秒新建连接数，从容应对上网峰值和DDoS等突发网络时间，保障网络的可用性。
　　最高VPN性能及容量：最高提供32万并发IPSec隧道;最高提供120Gbps(DES/3DES)加密解密性能;支持VPN双机热备;支持IKEv2协议，强化了用户认证、报文认证、NAT穿越等功能，消除了中间人攻击和拒绝服务攻击隐患，并且扩展支持EAP-SIM、EAP-AKA等无线鉴定协议，从而更高效地对无线网络提供安全保护。
　　高可靠性：双机热备及BYPASS，双主控多交换，业务板间负载均衡与热备，跨板端口绑定、部件热插拔、关键部件(电源、风扇)冗余等多项高可靠性设计，全面提升设备可靠性。从2008年上市至今，Eudemon 8000E未发生一起网上事故。
　　安全需求设备类型部署位置解决主要问题型号
　　安全保障防火墙数据中心安全域边界网络安全域划分，隔离与问控制Eudemon 1000E-X
　　数据中心接入边界接入网侧的准入控制和安全风险防御Eudemon 8000E-X
　　IPS&IDS数据中心安全域边界应用层攻击防御Eudemon 1000E-X
　　数据中心外联NIP 1000
　　Internet出口Eudemon 8000E-X
　　DDOS流量清洗网关Internet出口泛洪型和应用型DDOS攻击防御Eudemon 1000E-I&D
　　管理维护网络安全管理中心数据中心管理区安全设备管理，安全日志收集，过滤，分析.风险呈现，安全事件紧急报警，事前预警，事后分析.iSoc
　　统一运维审计数据中心管理区实现IT系统统一管控，满足法规审计要求UMA

作者: 孤独的骗子 时间: 2014-8-31 16:32

欢迎光临济群信息IT服务-企业云网技术社区 (http://forum.jiquninfo.com/)

济群信息IT服务-企业云网 技术社区

济群信息IT服务-企业云网技术社区