■

出口方面有4條千兆光纖通過不同代理商連接至電信IP城域網(wǎng)，聯(lián)通IP城域網(wǎng)和教育網(wǎng)等運營商網(wǎng)絡(luò)。分別通過1臺華三7506、3臺華三3600接入到互聯(lián)網(wǎng)數(shù)據(jù)中心。由于網(wǎng)關(guān)在各個運營商局端，在互聯(lián)網(wǎng)數(shù)據(jù)中心機房組成了一個二層的接入網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)數(shù)據(jù)中心的用戶通過直接分配不同運營商的IP實現(xiàn)IDC主機托管服務(wù)。

網(wǎng)絡(luò)改造前拓撲圖如圖1所示。

數(shù)據(jù)中心網(wǎng)絡(luò)存在的問題

1.網(wǎng)絡(luò)不穩(wěn)定

a)IDC主機托管用戶、園區(qū)網(wǎng)中的上網(wǎng)用戶、專線用戶、內(nèi)網(wǎng)用戶，多用戶混雜存在相互透傳，相互影響。

b)所有用戶全部都在一個VLAN13，無用的廣播、組播流量大，浪費網(wǎng)絡(luò)帶寬資源。（如圖1所示）

c)所有用戶全部都在同一個VLAN，一旦有用戶中了網(wǎng)絡(luò)病毒，其它用戶都受影響。

2.用戶雙線的容易成環(huán)（如圖2所示）

圖1 改造前網(wǎng)絡(luò)拓撲結(jié)構(gòu)

圖2 容易形成環(huán)

IDC用戶由于構(gòu)建內(nèi)網(wǎng)的需要，常常需要在自己的交換機上構(gòu)建內(nèi)網(wǎng)：

a)IDC用戶的內(nèi)網(wǎng)透傳到其他用戶（單線和多線都存在）

b)因為用戶交換機（因用戶端沒有或沒必要劃分VLAN）的存在很容易成環(huán)。（雙線或多線）

3.雙線用戶需要配置多個ISP的IP

由于用戶對聯(lián)通、電信、教育網(wǎng)不同的需求往往需要分配多個ISP的IP地址，目前只能將多個ISP的IP地址直接分配給用戶，這樣存在如下問題：

a)用戶需要自己對我們分配的不同運營商的IP做路由優(yōu)化。

b)雙線或多線接入容易成環(huán)。

c)用戶感知度不好。

建設(shè)目標

利用較少的投資，優(yōu)化全網(wǎng)結(jié)構(gòu)，解決網(wǎng)絡(luò)不穩(wěn)定、解決雙線容易成環(huán)、實現(xiàn)出方向和入方向的智能選擇路由、QoS帶寬限制及保障等問題，同時加強網(wǎng)絡(luò)的安全性和可靠性，盡量避免單點故障、減少故障點，盡量實現(xiàn)設(shè)備與設(shè)備之間、線路與線路之間有冗余、實現(xiàn)互聯(lián)網(wǎng)數(shù)據(jù)中心的網(wǎng)絡(luò)故障能在較短的時間里進行修復(fù)或者盡可能不要讓故障發(fā)生。

升級改造

網(wǎng)絡(luò)改造后拓撲圖如圖2所示。出口方面：將原有4條來自不同運營商的光纖接到新購買的華三 S5500光纖交換機，同時在同一機柜部署一臺同配置的華三S5500交換機，作為冷備。一旦出現(xiàn)故障后，只要切換相關(guān)連接線路即可。華三S5500主交換機通過2條千兆光纖與天融信NGFW4000-UF(TG-41608)防火墻采用鏈路聚合技術(shù)LACP(Link Aggregation Control Protocol)將2個千兆光口靜態(tài)聚合成一個端口，通過這種方式大大提高了設(shè)備互聯(lián)的可靠性，同時使帶寬處理能力增加了2倍。具體配置如下：

華三S5500的配置：

interface Bridge-Aggre gation1

圖3 改造后的網(wǎng)絡(luò)拓撲結(jié)構(gòu)

防火墻的配置：

核心層：天融信NGFW 4000-UF往下通過4個光纖千兆口中分別兩兩連接至Array公司的兩臺APV2600負載均衡設(shè)備一主一備(所有用戶的NAT、基于源IP地址的策略路由、QoS即針對電信、聯(lián)通的IP地址限制帶寬，Smart智能DNS解析等功能都在負載均衡器上面，因此采用了雙核心，大大地提高了互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)的可靠性和穩(wěn)定性)。同時也采用了鏈路聚合技術(shù)LACP(Link Aggregation Control Proto col)將2個千兆光口靜態(tài)聚合成一個端口，提高了可靠性，增加了帶寬處理能力。

Array的配置：

1、鏈路聚合配置：

2、NAT的配置：

3、QoS的配置：

4、基于源IP地址的策略路由

匯聚及接入層：兩臺Array公司的負載均衡器往下分別通過3個千兆光纖端口連接至3臺華三公司S5500。同時也采用了鏈路聚合技術(shù)LACP(Link Aggregation Control Protocol)將3個千兆光口靜態(tài)聚合成一個端口，提高了可靠性，增加了帶寬處理能力。

為了減少Array APV2600負載均衡器的負載，因此將IDC用戶的私有網(wǎng)段IP網(wǎng)關(guān)（作為IDC主機托管用戶服務(wù)器IP的網(wǎng)關(guān)）部署在華三S5500。3臺華三交換機采用虛擬化技術(shù)IRF（IRF是 Intelligent Resilient Framework的簡稱，即智能彈性架構(gòu)）將3臺華三交換機虛擬成一臺邏輯交換機，使用BFD MAD做分裂檢測。這樣可以大大地提高主干接入層即IDC用戶網(wǎng)關(guān)匯聚點的穩(wěn)定生及可靠性。

IDC接入交換機通過雙千兆光纖鏈路分別連接至數(shù)據(jù)中心交換機1和數(shù)據(jù)中心交換機2，或者是數(shù)據(jù)中心交換機2和數(shù)據(jù)中心交換機3。通過這種方式可以避免單臺設(shè)備故障時，不受影響，仍然可以正常地提供網(wǎng)絡(luò)服務(wù)。

改造后的效果

實踐證明：通過以上的升級改造，利用較少的投資，優(yōu)化了全網(wǎng)結(jié)構(gòu)，大大地提高了網(wǎng)絡(luò)的穩(wěn)定性及可靠性；采用NAT技術(shù)和每一個用戶一個VLAN完全避免二層網(wǎng)絡(luò)成環(huán)后，影響其它所有用戶的問題；采用基于目的IP和源IP地址的策略路由和Smart智能DNS解析，實現(xiàn)出方向和入方向智能選擇路由，提高了用戶的感知度；實現(xiàn)QoS精確帶寬的限制，提高了帶寬資源利用率，豐富了IDC主機托管的產(chǎn)品種類；同時進一步通過防火墻和IPS等產(chǎn)品加強網(wǎng)絡(luò)的安全性和可靠性；通過多線路、多設(shè)備、雙機冗余，避免了單點故障，減少故障點，盡量實現(xiàn)設(shè)備與設(shè)備之間、線路與線路之間有冗余、達到了互聯(lián)網(wǎng)數(shù)據(jù)中心的網(wǎng)絡(luò)故障能在較短的時間里進行修復(fù)，同時也滿足了客戶對網(wǎng)絡(luò)服務(wù)質(zhì)量的較高要求，提高了用戶的感知度，提升了服務(wù)質(zhì)量。