1、企业数据中心设计建议Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -1-数据中心安全设计模型参考移动用户低安全等级办公类用户高风险等级1网上服务Internet合作伙伴Extranet中安全等级中高安全等级高安全等级中风险等级2中风险等级3低风险等级4业务类前端业务后端服务器核心业务后台服务器非业务/办公类前端非业务类后端后台数据库服务器Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -2-数据中心分区架构示意图网管区测试网络测试区业务服务模块1业务服务器区办公接入模块Internet安全控制Internet办公内网生产服业务服务模块2业务
2、服务器区业务服务模块3业务服务器区带内管理安全控制安全控制务器区安全控制安全控制安全控制安全控制交换核心安全控制外联区/网上业务企业边界区Internet/Extranet安全控制带外管理Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -3-数据中心网络架构示意图业务模块1业务模块2办公服务器模块集团业务模块开发测试模块安全管理管理控制区系统管理业务模块3防火墙内容交换SSL加速器防火墙内容交换SSL加速器防火墙内容交换SSL加速器防火墙内容交换SSL加速器防火墙内容交换SSL加速器防火墙内容交换SSL加速器服务器群组接入区模拟环境防火墙内容交换SSL加速器管理服务器
3、核心交换机的数量目标架构为四台核心,初期考虑到规模和投入建议两台核心DMZ区服务区核心交换DMZ区服务区外联区 外联区Internet Extranet业务Internet 外联Extranet企业边界模块网络管理 /其它管理控制区Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -4-Internet办公区员工接入园区网络模块数据中心网络详细设计交换核心概要设计服务器区域概要设计边界区域设计数据中心员工接入开发测试区设计数据中心存储网络运维管理Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -5-Combat-Lab 企业级网络项目实战互联网
4、专家网络项目实战 v1.0 -6-数据中心高可用性网络架构建设层次化网络架构设计分层部署部署要点:根据应用系统架构,进行网络层次和区域划分模块化分层部署,增强系统弹性核心层与汇聚层通过万兆接口采用3层连接汇聚层与接入层通过万兆或千兆接口采用2层连接 (接入层采用L2设计,也可以采用L3)多链路负载均衡设计,避免出现单点/多点故障数据中心核心层设计说明EnterpriseNetwork10GE核心层双核架构10GE核心层说明:数据中心核心层连接各个功能模块是网络的核心枢纽,连接各个模块的核心枢纽,实现多个模块之间的高速连接和数据的快速转发, 是数据中心网络最重要的部分;核心交换区域特性要求:高性
5、能快速转发;高密度10GE连接高可靠性/可用性超载比尽可能小可扩展性高3层互连但要考虑兼顾DCE技术的发展较高的稳定性满足数据中心数据和存储业务的发展NSB 网络交换总线Network Switch BusNetworkSwitch BUSCombat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -7-SiSiSi数据中心核心层设计说明部署建议EnterpriseNetwork标准设计参考: 两台高性能设备为核心交换机,核心设备、设备部件、链路冗余设计核心层与分布层之间采用L3连接本次架构10GE10GE 核心层支持数据中心高密度10GE能力,有支持下一代数据中心DCE,FCO
6、E等技术的能力适合中等规模企业数据中心初期建议采用这种模式汇聚层新一代核心层设计参考: 四台高性能设备为核心,可以部署为双核心双总线核心设备、设备部件、链路冗余设计EnterpriseNetwork支持数据中心高密度10GE能力,有支持下一代数据中心DCE,FCOE等技术的能力核心层与分布层之间采用L3连接核心区内部三角连接,和每个汇聚功能区交换机分别连接到目标架构10GE10GE(左右)双核心适合大中规模企业数据中心,对可靠性要求较高的数据中心将来的目标架构核心层双核架构Si汇聚层Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -8-根据需要可以初期采用通用设计,
7、将来扩展时采用目标架构交换核心的参考设计本次架构设计参考:交换核心10GE10GE结构设计:2台设备组建核心、选用最快速收敛的路由协议,2个物理区域部署,跨板卡连接同一区域,安全控制在接入层实现设备选择:选择高可靠设备;引擎、风扇1+1冗余、交换矩阵、电源N+1冗余;支持引擎不间断业务切换、支持不丢包传输和二层多路径技术,需要高密度万兆板卡;建议部署思科数据中心交换机Nexus7000,SiSi功能区1SiSiNexus7000支持DCE数据中心以太网技术,FCOE技术,支持高密端万兆接口,99.999%高可靠性设计;扩展考虑:具体配置端口数量可以业务需求部署相应模块端口运维要求:具备自监控能
8、力、配置可自动回退,基于不同人员的角色权限管理;可方便的扩展到目标架构:功能区1Nexus 7000 系列 数据中心级核心交换机随着业务的扩展和对可靠性的增加,可以方便将现在的两台核心架构扩展到四台为核心的架构,可靠性将大大增加;随着数据中心技术发展:目前的Nexus已经支持I/O整合、FCoE、DCE、虚拟化技术,平滑满足数据中心的整合和发展;即使扩展到四台交换机核心,对各个汇聚功能区没有影响Combat-Lab 企业级网络项目实战统一交换架构技术Unified fabriclossless无丢包矩阵结构,面向DCE FCoE高密度万兆接口,面向 40GbE/100GbE业务零中断的设计,
9、99.999%可靠性不间断的系统操作目前4.1T交换能力 可达15Tb+ 交换能力互联网专家网络项目实战 v1.0 -9-数据中心网络详细设计交换核心设计服务器区域设计边界区域设计数据中心员工接入开发测试区设计数据中心存储网络运维管理Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -10-业务服务器区设计需要考虑的问题业务服务器区是公司提供服务的业务服务器区。 因此需要考虑较高的可用性和更全面的安全防护措施。按照层次化模块化的设计理念,服务器区的网络可分为汇聚层和接入层两层,功能定位和设计思路各不相同。 汇聚层:承上启下,连接核心层和接入层,为区域内的服务器提供网络服
10、务,主要的设计思路包括:交换核心10GE10GE汇聚层服务模块 采用服务模块的方式,提供防火墙,负载均衡,及SSL卸载等网络服务GE接入层 访问业务服务区需要通过防火墙控制,业务区之间访问需要通过防火墙策略控制,具体的策略控制更具各个业务区要求而定 接入层:汇接服务器,上联到汇聚层。为了解决可用性和扩展性需求和可管理性需求,主要的设计思服务器组1服务器组2路包括: 服务器的高性能接入,可采用TOR和EOR等组和设计. 尽可能消除二层环路,提高可用性 高扩展性的服务器群,采用模块化交换机解决服务器物理布局扩展性问题 采用网络设备虚拟化和服务器虚拟化,提高可扩展性互联网专家网络项目实战 v1.0
11、-11- 考虑将来存储和IP网融合和统一I/O技术Combat-Lab 企业级网络项目实战服务器区连接的服务器类型推荐建议Web服务器12:1App服务器6:1DB服务器4:1的访问端到服务器客户数据中心服务器区流量的超载比设计服务器区满足容量需求的主要方式是进行超载比设计。超载比是指网络设备downlink和uplink的带宽比例接入层超载比计算考虑的因素服务器内部总线类型服务器CPU数量,CPU核数量,网卡数量服务器接口是否双活服务器磁盘I/O方式和应用类型汇聚层超载比计算考虑的因素系统架构板卡类型Uplink /downlink比例典型比例: 4:1 up to 12:1推荐超载比服务器
12、之间互访Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -12-业务服务区网络模块设计特性要求:高可靠性、高安全性、高扩展性、实现业务的分类和业务的接入和流量控制。设备部署建议: 汇聚层建议部署:部署思科catalyst 6500 VSS交换机,部署内置防火墙模块和和L4-L7应用负载 接入层部署:根据服务器的多少,可以部署Cat4500/Cat4900 (具体设备和端口根据需要选择) 汇聚到核心层采用万兆连接,汇聚到接入层采用千兆连接,利用VSS做到负载均衡Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -13-防火墙模块业务服务器区网络模
13、块设计- 模式一每个VLAN的服务器应尽量控制在100台左右接入设备WEB服务器应用服务器数据库服务器其它应用服务器业务服务器WEBWEBWEBWEBAPPAPP10/100/1000或GEWEBWEBWEBWEB接入层GE 光纤/ TX接入交换机10GEGE接入区交换机 根据端口和重要性而定,可选4500/4900 或Nexus系列支持DCE/FCoE 千兆或万兆与分布交换机连接汇聚层汇聚交换机防火墙模块内容交换模块可选交换机:catalyst 6500安全模块 FWSM模块:控制对核心数据的访问 可支持255逻辑安全区域应用控制引擎内容交换模块 服务器负载均衡 应用快速部署高速万兆模块连接
14、核心核心层10GE10GEGE万兆主干10GE10GE核心交换机10GECombat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -14-业务服务器区网络模块设计-模式二考虑到数据网络和存储的整合核心层高性能万兆核心10GE10GE核心数据区交换机 参考配置 :Nexus7000 万兆交换模块:与分布交换机连接网络系统NSB10GE10GE汇聚层1高性能万兆和千兆模块2网络安全和应用服务区10GE上联vPCL3,L2svcs2svcs1核心数据区交换机 参考配置: Nexus7000 高密度万兆和千兆交换模块安全模块:参考配置Cat6500/FWSM模块/部署ASA5580高性
15、能防火墙应用控制引擎高速万兆模块连接核心和接入层接入区交换机接入层支持高密度GE支持TOR/EOR灵活部署支持数据中心技术FCOE的融合服务器群 在接入层部署参考配置N5K/7K或N5K/N2KSANCombat-Lab 企业级网络项目实战Nexus 7000End-of-RowNexus 5000/2000RackStorage存储系统互联网专家网络项目实战 v1.0 -15-数据中心网络详细设计交换核心设计服务器区域设计边界区域设计数据中心员工接入开发测试区设计数据中心存储网络运维管理Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -16-数据边界网络区设计说明E
16、ntranet 连接(外联业务和Internet业务)的重要区域,边界网络区设计说明:是企业内部对外外联网络区域主要包括:务:外联业务:实现同其第三方单位业务互通,通过Extranet访问其它单位和业务处理 最终用户、工程公司等外联 兼顾多种外联方式: 由于外联单位比较多,而且每个外联单位的管理要求不完全相同.需要具有灵活性。Internet业务 为出差,home office提供业务及办公服务;门户网站等。.企业边界网络区设计特性要求: 风险较大,安全性要求高, 高安全性,高可靠性 ,可扩展性, 可管理性、DNS站点技术 考略到外联系统的特殊性,能整合的尽量整合,提高资源利用率 企业边界区域
17、的安全性,建议在该区域配置两重防火墙,入侵防御系统, 如果可能还需要部署防DDOS攻击系统和防病毒网关以及流量监控管理Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -17-数据中心边界网络区设计说明外联区Extranet 详细设计示意图交换核心核心交换区域DMZ10GE10GE外联Entranet区域外联服务器外联服务器汇聚千兆上联业务Internet交换机防火墙ASA5500外联服务器交换机防火墙防火墙虚拟接口/多端口IPS/IDS 交换机外联服务器安全/防病毒设备外单位/合作管理设备自己管理Combat-Lab 企业级网络项目实战外联单位1外联单位2外联单位N互
18、联网专家网络项目实战 v1.0 -18-数据中心边界网络区设计说明外联业务区设备部署建议:部署两台接入交换机cat3750:考略到外联系统的特殊性,按照外联单位对线路,路由设备和安全的要求,外联单位的隔离需要安全保障,在保持外联单位基本要求的情况下,将各个外联系统接入到接入交换机cat3750,考虑到整合交换核心和安全要求,需要在交换机cat3750分配一个单独的VLAN给每个外联业务系统;部署两台接入ASA5500防火墙,并配置虚拟端口功能:接入交换机与ASA5500防火墙配置IDS模块通过虚拟端口连接,相当于每个外联系统连接到防火墙一样,在ASA5500防火墙部署DMZ区,将外联服务器连接
19、到DMZ区,DMZ需要两台交换机cat3750边界网络区的汇聚交换机Cat3750/4500: ASA5500防火墙连接到汇聚交换机, Internet业务也需要连接到汇聚交换机,汇聚交换机通过高速连接到数据中心核心交换机外联单位对线路,路由设备和安全的设备的基本要求跟据需求部署:建议采用“云火墙”10GEDMZ区服务区外联区Internet业务Internet10GEDMZ区服务区外联区Extranet外联Extranet外联网络模块Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -19-数据中心边界网络区设计说明Internet业务:Internet业务:交换核心
20、10GE10GE为出差,home office提供业务及办公服务,用户通过Internet来访问此区域,风险相对最大,对安全性保障要求高. 业务Internet参考建议:DMZ区服务区DMZ区服务区采用多层安全层面建议采用“云火墙”外联区Internet业务Internet外联区Extranet外联Extranet外联网络模块Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -20-数据中心边界网络区设计说明业务Internet设计 参考架构Internet运营商外联区差旅用户带DDoS防御服务中国SP1 中国SP2XM Eth XM Eth7606 7606DNS G
21、SSDNS负载均衡DNS GSSDNS负载均衡DMZ区L4-L7 Switch应用服务器LAN Switch服务器区交换机IDSLDAP服务器DNS服务器安全代理服务器Web服务器部署服务L4-L7 Switch外网防火墙防火墙异构设计网上业务服务区数据库服务器安全审计服务器漏洞扫描IDS分布层交换机防火墙高性能三层路由和交换集成防火墙功能(含多个虚拟防火墙功能)集成了负载均衡功能内网区Combat-Lab 企业级网络项目实战后台应用系统后台数据系统互联网专家网络项目实战 v1.0 -21-数据中心网络详细设计交换核心设计服务器区域设计企业边界区域设计数据中心员工接入开发测试区设计数据中心存储
22、网络运维管理Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -22-数据中心员工接入网络模块设计说明员工接入网络设计说明:满足数据中心内部员工的接入和管理需求,需要严格的安全控制和管理,企业内部员工访问内部系统 :目前100+信息嗲点接入需求非本企业员工不允许通过此区域接入内部系统设计特性要求:安全性管理较高,员工访问的识别和分类, 可管理性,高可靠性、可扩展性、QoS设备部署建议:员工接入区按照标准局域网接入设计,可以分为汇聚和接入层,在汇聚层需要考虑安全访问控制,接入层防范非法PC接入等;参考建议: 汇聚层部署Cat4500交换机,配置两台ASA5500做安全控制
23、,控制访问数据中心核心网络的安全参考建议:接入层部署cat3750/3560交换机,具体配置根据端口数量要求可以灵活选择为了保障接入安全建议部署接入安全控制,如基于802.1x身份控制系统, 中心部署AAA服务器为了实现应急通讯,我们建议部署基于IP的应急电话通讯系统Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -23-数据中心员工接入网络模块设计Si园区网络核心大楼局域网核心 ,配有高密度万兆模块和冗余设计APPAPP交换核心10GE10GESi汇聚交换机Cat4500基础设施服务器:如:DHCP/DNS服务器,AAA服务器统一通讯服务器SiSi分布层部署 模块化
24、交换机,汇聚接入层交换机,根据情况会聚层也可以与接入层设备合用ASA5500安全控制Internet员工Internet 访问详细见员工访问互联网设计部分普通用户使用台式PC、桌面电话,属于特定的业务安全区,支持移动性,802.1X用户任证。互联网专家网络项目实战 v1.0 -24-局域网接入层部署接入交换机关键业务用户使用台式PC、IP电话,属于特定的关键业务安全区,专机专用。Combat-Lab 企业级网络项目实战接入交换机Cat3750IP 电话使用IP电话满足应急电话通讯系统和满足内部通讯要求 。数据中心网络详细设计交换核心设计服务器区域设计广域网区设计边界区域设计数据中心员工接入开发
25、测试区设计数据中心存储网络运维管理Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -25-数据中心开发测试网络模块设计说明开发测试网络模块设计说明:满足数据中心内部员工的开发测试的需求,同时还需要预留对合作伙伴的开发测试访问端口 但需要严格的安全控制和管理口, 理,企业内部员工开发测试访问接入需求非本企业员工(合作单位)有条件接入终端系统,只能访问测试区域,外部人员不能访问人保内部业务系统,要有严格的监督和安全控制以及管理流程网络设计特性要求:安全性管理较高,员工访问的识别和分类, 可管理性,高可靠性、可扩展性、QoS设备部署建议:满足开发测试的要求,在安全允许范围内
26、,外部人员有条件接入,不能访问人保内部业务系统,要有严格的监督和安全控制以及管理流程为了满足数据中心未来发展,对先进技术的使用和测试部署参考建议: 汇聚层部署Nexus5000/Cat4500交换机,配置两台ASA5500做安全控制,控制访问数据中心核心网络的安全部署参考建议: 接入层部署Nexus2000/cat3750 交换机,具体配置根据端口数量要求可以灵活选择为了保障接入安全建议部署接入安全控制,严格端口控制和防火墙策略,也可以部署基于802.1x身份控制系统Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -26-数据中心开发测试网络模块设计园区网络核心大楼局
27、域网核心 ,配有高密度万兆模块和冗余设计交换核心10GE汇聚交换机Cat4500/N5000Si10GESi分布层部署 模块化交换机,汇聚接入层交换机,根据情况会聚层也可以与接入层设备合用开发测试服务器:服务器接入交换机APPAPPASA5500局域网接入层部署接入交换机接入交换机Cat3750交换机Nexus2000FW 或ACl隔离外部人员,不能访问人保内部业务系统,要有严格的监督和安全控制以及管理流程外部测试用户使用笔记本/PC ,属于特定的接入安全区,只能访问测试区域,不能访问人保内部业务系统。互联网专家网络项目实战 v1.0 -27-内部开发测试用户使用笔记本/PC、IP电话,属于特
28、定的测试业务安全区,专机专用。Combat-Lab 企业级网络项目实战数据中心网络详细设计交换核心设计服务器区域设计广域网区设计企业边界区域设计数据中心员工接入开发测试区设计数据中心存储网络运维管理Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -28-数据中心存储区域设计说明数据中心存储网络设计的目标统一规划,实现存储资源共享存储网络由集团统一管理、建设和维护满足业务的不断扩展的要求特性要求: 资源共享、实现业务的连续性、统一管理、扩展性设计内容参考:存储网络设计通过存储虚拟化技术实现资源整合Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0
29、-29-存储网络的发展利用存储虚拟化实现存储网络的优化Department#1VSANCisco MDS9000 Family基于应用/部门的存储”孤岛”ApplicationServersSAN Island forDiskArrays通过SVAN技术实现通用的存储空间的共享SAN Island forDepartment #2Department #1Department#3VSAN使用存储虚拟化VSAN 技术 整合的存储阵列Department#2VSANSAN Island forDepartment #3独立的物理阵列每个存储孤岛的预留扩展端口无法利用数量众多的交换设备需要管理Com
30、bat-Lab 企业级网络项目实战通用的冗余物理基础架构无须过多的预留扩展端口 降低了投资成本 $更少的交换设备需要管理无中断的分配预留的端口互联网专家网络项目实战 v1.0 -30-VSANVSAN数据中心存储架构设计规划-远期规划存储区AIP存储区同城数据中心跨中心连接存储区B业务平台1 业务平台2 业务平台N扩展 扩展VSAN1 VSAN2HBA HBA HBA HBA HBA HBA HBA HBASDH To异地灾备应用服务器群1616 161616 161616DWDM1616 161616 16161616NAS/FCIP/iSCSI阵列A陈列B管理区带库光盘库集中存储池最高级高
31、级一般中级应用平台区: 采用双阵列、每个阵列双核心结构,保障高可用性边缘设备与核心设备可采用多条链路捆绑连接,实现低超载比集中存储池按服务等级分类存储交换机图例利用虚拟SAN实现网络分区,提高可用性IP存储区:单独分区 , 初期可以考虑与存储阵列整合。IP存储区可部署压缩加速设备,利用FCIP技术实现异地灾备。管理区:对存储网络及存储资源进行管理、调配同城灾备:通过DWDM连接同城数据中心或灾备中心初期可以部署阵列A,将来扩展时再部署阵列BCombat-Lab 企业级网络项目实战以太网交换机压缩加速设备存储设备互联网专家网络项目实战 v1.0 -31-数据中心存储架构设计 现阶段利用SAN存储
32、网络实现资源信息共享,提高可用性业务平台1 业务平台2 业务平台3 业务平台N应用服务器群存储区HBAHBA HBAHBA HBA HBA跨中心连接同城数据中心DWDM阵列IP存储区NAS/FCIP/iSCSISDH To异地灾备IP存储区也可以在存储矩阵的交换机中插FCIP模块管理区带库光盘库最高级高级一般中级存储池集中存储池Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -32-通过SAN架构,利用虚拟SAN技术进行整合,实现存储网络分区,提高可用性把多个SAN 孤岛集中到一个单一的交换架构中降低了设备的投资及管理的复杂度统一的存储管理可集中进行灾难恢复计划:通过
33、FCip技术实现异地容灾的部署, IP存储区也可以在存储矩阵的交换机中插FCIP模块, 节约成本对于不考虑虚拟存储技术的系统,则需要考虑多台物理交换机对于特殊要求存储业务(如上市公司特殊要求),可以独立部署SAN网络系统(注:具体设备部署需要根据存储和服务器需要以及FC端口而定)图例存储交换机以太网交换机压缩加速设备存储设备数据中心网络详细设计 数据中心网络详细设计交换核心设计服务器区域设计广域网区设计企业边界区域设计数据中心员工接入开发测试区设计数据中心容灾和存储网络运维管理Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -33-数据中心网络管理-功能设计参考IT服
34、务流程管理安全运维管理系统管理/机房管理网络和故障信息管理Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -34-拓扑管理和资产管理流量管理故障和告警管理配置管理性能管理报表管理日志采集和管理操作界面和接口日常网络维护的得力助手网元和事件为管理基础,全面的采集手段高效处理、压缩、整合事件事件关联分析主动预警、趋势分析统一、可定制的呈现界面数据中心网络管理-带外网管 带外管理, 也称为OOB.(Out-of-Band),其作用是提高运营效率 (维护人员不需频繁到机房内部操作)显著减少宕机时间(对系统可靠性有很正面的影响) 带内与带外管理共存/互补关系带内网管:常态下故障
35、管理、事件管理、配置管理、变更管理和性能管理带外网管: 配置更改、故障排错和紧急访问手段带外网管是保证网络带外网管是保证网络99.999%可用性的有效手段可用性的有效手段Combat-Lab 企业级网络项目实战互联网专家网络项目实战 v1.0 -35-服理就是Best Practice动动数据中心网络管理-运维经验共享价值发现规 主 务造制度 被变被动响应为主动优化主动管则和创的能力混乱网络设备审计信息收集备案 登陆、命令、配置信息基于角色的网络设备运维管理 层次化技术支持团队备品备件支撑 企业自建备件库 思科齐全备品备件支撑服务的协助网络设备软件版本标准化及入网机制的建立 思科高级专业服务协
36、助下的IOS软件版本评估、推荐、管理网络设备配置标准化 思科高级专业服务协助下的设备配置标准化、优质化定期网络健康检查 网络单点故障风险点分析 网络链路、设备健康状况评估 主动网络风险点改进及变更技术支撑Combat-Lab 企业级网络项目实战注: 经验来自思科内部互联网专家网络项目实战 v1.0 -36-数据中心运维管理模块设计参考运维管理需要建立一个统一管理平台来提高管理水平, 需要在技术、流程和组织架构/人员等多方面考虑,从技术平台上应该考虑:网络和故障管理,安全运维管理,系统/应用/数据管理,环境/机房,以及IT服务流程管理管理等.园区网络核心大楼局域网核心 ,配有安全服务和流量监控模块交换核心10GE10GE网络流量分析管理Catalyst NAM模块NetflowSi分布层部署 模块化交换机,汇聚接入层交换机,根据情况会聚层也可以与接入层设备合用管理系统服务器:数据中心机房相关的其它管理系统APPAPPSiAPP汇聚交换机Cat3750ASA5500APP基础环境管理平台安全监控、分析、响应CS-MARS/ACS AAA服务流程管理NCM系统/应用/信息管理设备级监控管理Cisco Works/CIC系统管理网络/故障管理(基础) 安全运维管理 (基础)Combat-Lab 企业级网络项目实战IT服务流程管理(可选)互联网专家网络项目实战 v1.0 -37-