华为数据中心网络互联与灾备解决方案

　　背景/挑战

　　数据中心(Data Center)是数据大集中而形成的集成IT应用环境，是数据计算、网络传输、存储的中心。数据大集中在带来巨大好处的同时，也带来了风险大集中。如何应对和有效化解数据集中带来的风险?如何保证业务连续性、保证数据与业务的安全、维护自身声誉、提高用户满意度等都是IT建设必须要面对与亟待解决的问题。

　　作为全球领先的网络解决方案供应商，华为长期致力于数据中心网络广域互联和灾备解决方案的研究和开发，为用户提供分层互联、多级灾备的数据中心广域互联和灾备解决方案，打造“HA互联，业务永续”的数据中心。

　　解决方案

　　三重互联，满足前后端各类业务需求

　　一层存储网络互联------实现主数据中心和灾备中心间数据级容灾

　　华为SAN互联方案

　　华为数据中心SAN互联全面支持FC SAN和IP SAN。IP SAN融合了传统IP网络和存储网络的双重性能，完全兼容传统的以太网设备，可有效降低在存储连接设备方面的投资，而FC SAN在效率、性能和安全性方面有较大优势，基于此，在同城灾备场景，可以采用FC SAN实现数据同步复制，异地灾备场景，可以采用IP SAN定时同步数据，兼顾了IP SAN和FC SAN的优势，满足两地三中心和多中心互联场景要求。

　　二层网络互联

　　采用L2 VPN技术，可用于构建一个跨数据中心的大二层网络，满足服务器集群(高可用集群、容错集群、负载均衡集群、高性能计算集群)和虚拟机动态迁移的需求。

　　采用Fat-Tree网络架构，构建无阻塞大二层网络

　　扁平化网络架构，降低网络时延;业务部署方便，计算资源灵活共享，更好地支持虚拟化和资源分配。

　　VPLS二层互联：实现数据中心冗余扩展，防止单点故障。

　　成熟开放的网络协议：2007年就发布了主要的RFC4761、RFC4762，上千个成功商用案例，业界主流的网络设备提供商如Huawei、Cisco、Juniper、 Alcatel-Lucent都支持VPLS，不同厂商成熟对接。

　　无环路：内在的水平分割原天然消除环路;无需部署xSTP, 无链路浪费。

　　高效率：VPLS转发报文，时延只有10μs左右;22字节的报文头开销，承载效率高。

　　便于构建Full Mesh的数据中心网络。

　　三层前端网络互联

　　采用IP/MPLS VPN技术，同时还可提供IPsec VPN和SSL VPN安全接入方式，满足应用业务需求，实现业务级容灾。

　　全面支持OPTION A(背靠背)、OPTION B(单跳多协议)、OPTION C(多跳多协议)三种跨域方案，突破单个服务提供商管理域的限制，扩展了MPLS VPN架构的灵活性，部署方式满足不断扩展的网络部署要求。

　　灵活L3VPN部署方式，支持IP，MPLS，SDH专线多种方式互联方案。

　　存诸、OA、生产、WEB等多业务承载，保证各业务安全隔离。

　　端到端全面支持IEEE 1588V2技术：多技术接入，支持xPON，波分，以太网等全场景端到端时间同步，相比GPS相位同步技术，约节省50%TCO;华为的1588v2特性通过EANTC认证。

　　支持IPSec VPN和SSL VPN，为移动业务提供安全接入

　　IPSec实现企业高速安全互联: 10G线速/Slot(512B)，20K并发隧道;支持双机热备和负载分担;支持NAT穿越。

　　SSL VPN：无客户端VPN方案，无需专用的客户端软件;细粒度的授权管理;支持多种设备接入。

　　面向业务的弹性可伸缩网络：数据中心内部接入层和汇聚层设备根据业务需求弹性伸缩，快速响应，弹性扩展/收缩资源满足业务需要，网络灵活扩展，以最小的代价，支撑业务需求的不确定性。

　　根据不同的业务连续性要求，部署应用级容灾和数据级容灾：冷备或或暖备方式采用手工切换方式，基于不同的负荷分配算法的双活模式采用DNS和HTTP重定向方式，热备模式采用健康路由注入方式实现。

　　全方位的高质量用户QOS体验：

　　业务，用户，用户组，Class，端口五级H-QoS调度，精细参数配置，按需保障SLA，满足用户侧的QoS需求，增强用户体验;

　　解决方案MPLS VPN H-QoS，满足网络侧的QoS需求，每个VPN以及VPN中的每个业务获取不同的QoS保障，每个VPN获取自身带宽保证SLA，VPN内根据业务不同，进行优先级调度，保证高优先级业务的带宽，延时，抖动和丢包率满足SLA;

　　DS-TE满足骨干承载网络部署的QoS需求：TE隧道内不同的CT共享带宽，唯一提供8个CT和优先队列的厂商;支持RDM和MAM 两种标准模式，可灵活配置;

　　两级灾备，实现数据级和业务级完美协同

　　关键灾备业务性能指标

　　RPO - 恢复点目标(Recovery point objective)：发生灾难前最后一次备份的时间点距离当前时间差(数据丢失时间)

　　RTO - 时间恢复目标(Recovery time objective)：发生灾难后恢复物理系统环境的时间(如服务器重启、数据库重启等至应用正常运行)

　　灾难恢复能力等级划分与网络要求

　　存储网络要求做到时延低，带宽高，可靠性强

　　业务网络要求做到链路备份、路由收敛快

　　数据复制模式

　　SAN互联数据级容灾分为同步数据复制和异步数据复制，同步数据复制指通过将本地生产数据以完全实时同步的方式复制到异地，保证了异地数据和本地数据的完全一致性，但由于需要等待远程操作完成并收到响应，限制其只能在相对较近的距离上进行应用。异步数据复制指将本地数据以后台同步的方式复制到异地，本地每次的IO交易均正常释放，无需等待远程复制的完成，在复制过程中本地系统性能受到的影响很小，可以长距离(1000公里以上)传送，对网络带宽要求小，但可能会出现数据不一致的情况。

　　容灾类型

　　硬件级灾备(阵列级)：数据通过存储阵列控制器直接在存储设备之间传输。系统稳定性高且性能优异，适合于关键业务和高端应用;同时具备操作系统无关性。硬件级灾备是目前最成熟、应用最广泛的灾备技术，广泛用于FC-SAN容灾系统中。

　　软件级灾备(主机级)：在生产中心和灾备中心的服务器上安装专用的数据复制软件实现远程复制功能。软件级灾备的兼容性较好，生产中心和灾备中心可部署不同类型的存储设备和服务器，无需额外的硬件支持，投入成本较低。广泛应用于IP-SAN容灾系统中，FC-SAN领域，应用相对较少。

　　华为”IP+光”灾备方案

　　集成路由器和光传输，“IP+光”形成全方位的数据级和业务级快速容灾备份能力。华为NE40E路由器提供多数据中心间的灵活互联和IP SAN备份，支持基于硬件的BFD和OAM，有效减少收敛时间。

　　IP路由灾备

　　数据中心间的业务流量和IP-SAN备份流量都通过出口路由器(通过VPN技术进行隔离)，充分保护企业的网络投资。

　　华为NE系列采用业界领先的400G平台，每槽位可平滑扩容到400G带宽;具备强大的VPN和QoS能力，满足IP-SAN备份流量的隔离和服务质量需求;同时提供200ms级的保护能力，以保证IP WAN广域容灾的可靠性。

　　作为全球TOP3份额的路由器厂商，华为NE40E系列在全球运营商和行业网市场均有着成熟的规模应用，并保持着强劲的增长势头(60%)。

　　光传输灾备

　　华为OSN系列OTN设备将为数据中心容灾提供业界领先的广域传送特性，适合于对容量、实时性等要求较高的容灾系统，华为OSN系列具备海量级数据传送能力，最大支持40G/100G×80波(3.2T~8T);支持14种专业级存储接口(FC/FICON/ESCON等)，具备7大主流存储厂商的兼容性认证;针对各种容灾组网类型，OSN系列提供电信级的50ms级可靠保护;提供业界最佳的3000公里SAN拉远能力，满足长距离异地容灾需求。

　　丰富的故障检测机制保证端到端业务可靠性

　　数据中心内部：通过EFM OAM检测直连设备链路;

　　数据中心协议层：MPLS OAM检测LSP连通性，为VPLS大二层数据中心互联提供快速故障检测机制;

　　数据中心链路：ASON提供快速端到端业务建立、查询、删除和属性修改功能;

　　端到端链路故障检测：BFD端到端双向硬件检测，轻负荷、快速检测到接口或数据链路的故障，并触发协议联动。

　　端到端链路检测：Y.1731提供端到端业务故障快速检测和性能监视，测量时延、抖动、丢包率;802.1ag提供路径发现、故障检测、故障确认和定位、故障通知、故障恢复检测。

　　华为数据中心网络安全与应用优化解决方案

　　数据中心承载着用户的核心业务和机密数据，同时为内部、外部以及合作伙伴等客户提供业务交互和数据交换。作为业务应用核心和敏感数据的汇集点，数据中心永远是攻击者最感兴趣的目标。以下问题一直困扰用户的数据中心建设：针对服务器的拒绝攻击如何抵御?层出不穷的入侵如何防范?高压力时服务器的响应速度如何提高?持续不间断业务如何保证?

　　作为全球领先的网络解决方案供应商，华为长期致力于数据中心网络安全与应用优化解决方案的研究和开发，为用户提供高性能、一体化、层次化安全部署和端到端的应用优化解决方案，打造“安全无忧，卓越高效”的数据中心。

　　高性能安全

　　IPS技术：高达80G吞吐量;IPS指纹库全球最大、IPS指纹库增新最快、升级服务器范围最广;支持HTTP, SMTP, POP3, IMAP, FTP, DNS, P2P/IM等多种协议

　　业界领先的处理性能：万兆线速转发，高达200Gbps吞吐量的业界最高性能，轻松应对WEB2.0带来的流量挑战;并发连接跨越千万门槛，最高可达8000万，通过多核技术实现连接数与整体性能的协调，真正支撑WEB2.0应用;500万/秒新建连接数，从容应对上网峰值和DDoS等突发网络时间，保障网络的可用性。

　　最高VPN性能及容量：最高提供32万并发IPSec隧道;最高提供120Gbps(DES/3DES)加密解密性能;支持VPN双机热备;支持IKEv2协议，强化了用户认证、报文认证、NAT穿越等功能，消除了中间人攻击和拒绝服务攻击隐患，并且扩展支持EAP-SIM、EAP-AKA等无线鉴定协议，从而更高效地对无线网络提供安全保护。

　　高可靠性：双机热备及BYPASS，双主控多交换，业务板间负载均衡与热备，跨板端口绑定、部件热插拔、关键部件(电源、风扇)冗余等多项高可靠性设计，全面提升设备可靠性。从2008年上市至今，Eudemon 8000E未发生一起网上事故。

　　层次化安全

　　针对Internet等具有安全威胁的外部流量，部署Anti-DDoS系统进行恶意流量清洗，部署防火墙进行边界访问控制;数据中心内部则按照不同业务划分安全区域，在各区域之间部署安全隔离和访问权限控制，不同安全区域部署不同的安全策略，在关键业务服务前部署IPS设备，或者激活防火墙内置的IPS模块;在管理区，对管理用户进行统一的安全身份认证，并对操作过程做记录审计，同时针对网络设备、安全设备、操作系统、数据库等系统的安全日志，进行安全事件的关联分析，形成事前预警，事后审计的内控体系。

　　1、Intranet接入区

　　安全风险主要是非法业务访问，采用防火墙双机备份、直路部署的方案，通过防火墙策略保证内网用户与数据中心区域交互的高安全性。

　　2、WAN接入区

　　安全风险及部署同Intranet接入区。

　　3、Internet接入区

　　主要有DDoS流量攻击、来自Internet的非法业务访问等安全风险和内部IP地址暴露、VPN安全接入、互联等安全需求。在出口部署独立的Anti-DDoS系统，清洗异常攻击流量，防火墙直路部署，控制外网访问内网的流量，同时提供NAT地址转换功能，交换机旁挂SSL VPN设备，满足远程用户安全接入需求。Anti-DDoS和防火墙策略能够保证数据中心区域安全性，同时防火墙、SSL VPN设备双机备份保证方案的高可靠性。

　　4、合作伙伴接入区

　　安全风险主要是非法业务的访问，安全需求主要是VPN安全接入。采用防火墙设备双层直路部署方案，避免流量迂回，提高转发效率，可靠性安全性都得到有效保障。外层防火墙隔离合作伙伴到前置机的非法访问流量，同时具备VPN功能，实现合作伙伴的安全VPN接入需求;内层防火墙隔离前置机到内部业务服务区间的非法访问流量。

　　5、数据中心服务区

　　安全风险主要是非法业务访问和黑客攻击行为，采用防火墙旁路部署，按需引入流量进行策略控制，可信流量直接通过交换机转发;核心服务器上游部署独立的IPS设备或者激活防火墙内置IPS模块，进行应用层攻击防御，通过防火墙策略保证不同服务器区合法互访、IPS保障服务器免受黑客攻击。防火墙、 IPS均采用双机备份方式证方案的高可靠性。

　　6、网管维护区

• 网管维护区的安全风险及管理要求有：
• 安全设备管理问题、安全故障快速处理
• 共享账号、非法访问、恶意操作
• 信息安全事件孤岛、海量安全日志、安全趋势分析不全面
• 部署方案为：
• 防火墙设备直路部署，仅允许堡垒主机、网管及iSoC系统与区域外部的互访
• 部署安全设备管理系统，对安全设备和配置进行统一的管理
• 通过部署堡垒主机，提供运维唯一入口
• 部署iSoC安全运营中心，提供全面的安全态势分析

　　安全设备管理系统，管理所有的安全产品，更加细致地实现安全策略和VPN业务，协助管理员定位安全设备故障;堡垒主机实现统一运维入口，集中帐号管理，实现单点登录，严格控制帐号权限;通过iSoC及堡垒主机系统的事前安全告警、事中安全运维、事后追踪审计输出数据中心全面准确的安全态势报告。

数据中心安全方案总揽

　　一体化安全

　　华为Eudemon系列防火墙设备可提供多种安全技术，集防火墙、IPS/IDS、防病毒、安全VPN、Anti-DDos、上网行为管理于一体，为数据中心提供全面保护。集成化设备降低客户设备投资，简化网络维护和管理。

　　在数据中心出口处以及需要部署边界控制与入侵防御的区域，部署集一体化的安全防御设备，实现包括边界防护(Anti-DDos、VPN网关)、深度防御(防火墙、IPS入侵防御网关)和统一安全管理等功能在内的全面安全防护，抵御来自L2~L7全方位的安全威胁。

　　华为数据中心网络应用优化解决方案

　　——端到端优化

　　通过与业界TOP厂商深度合作，为用户提供端到端应用优化解决方案。链路负载均衡和服务器负载均衡设备，智能判断链路拥塞情况或服务器负荷情况，选择有效的负载均衡调度算法，提升数据中心响应速度和处理能力;广域加速设备提升重要应用程序和数据的传输速度，充分挖掘带宽潜力，降低网络时延，提升用户体验。

　　负载均衡

　　数据中心多出口接入不同运营商，使用链路负载分担技术，实现内网访问公网的流量智能分析目的地运营商，选择对应运营商出口负载均衡。

　　服务器负载分担技术有效降低单台服务器的性能压力，降低服务器硬件升级成本，并且提高业务可靠性，单台服务器故障不会导致业务瘫痪。

　　多数据中心网络环境下，通过全局负载分担技术，使用户总能快速访问“距离最近”的数据中心业务，有效解决网络拥塞问题，提高服务器响应速度，服务就近提供，达到更好的访问质量。

　　广域优化

　　广域网带宽远小于局域网，且费用高，同时广域网延迟大、丢包多，应用系统访问慢，使得分支机构不得不增加本地的服务器部署;异地的主备数据中心之间同样面对带宽小、费用高和时延大的问题。针对广域网的上述问题，已经有很多成熟的技术手段来优化解决，使广域网的应用体验得到了极大提升。

　　带宽不足：通过数据压缩、缓存和消除重复数据的方式，减少在广域网上传输的数据量;

　　延迟大：通过协议优化(加速TCP、HTTP、CIFS、NFS等)、预先请求、代理应答等技术手段解决。

　　丢包：通过拥塞控制、FEC(Forward Error Correction)、报文重排序等技术解决。

　　华为数据中心防火墙和负载均衡解决方案，将有助于客户构建安全高效的数据中心网络，同时，具有方便运行维护、绿色环保等特色，在有效保护客户投资基础上，支持平滑的企业业务扩展。

　   华为数据中心网络网络管理解决方案

　　数据中心(Data Center)是数据大集中而形成的集成IT应用环境，是数据计算、网络传输、存储的中心，集中了各种软硬件资源和关键业务系统，面临异构环境问题、业务融合问题、管理规范等非常复杂的问题，给数据中心的管理带来了巨大挑战：

• 从基础设施角度看，需要将各种管理工具进行整合，在一个平台里管理路由器、交换机、安全、存储、服务器等各种设备，同时适应数据中心特有的可视化管理需求;
• 从技术发展趋势看，数据中心在完成标准化之后，要向自动化方向发展，就必须管理好设备配置、软件、VLAN、VPN、ACL安全策略、QoS服务质量等各种逻辑的、虚拟化的IP资源;
• 从上层业务的角度看，数据中心最重要的工作之一是计算，因此需要保障数据库、服务器、中间件、Web等各种关键业务的正常运行，并根据性能参数和业务流量进行优化调整;
• 从运维和服务的角度看，数据中心IT部门提供的服务流程是否合理，服务质量是否有保障，直接影响到业务部门的各种业务是否正常开展。

　　数据中心作为IP技术与IT技术两大领域的结合体，不仅需要从网络的角度出发来保障用户和业务，也要从用户和业务的角度出发来优化网络。这意味着对数据中心的管理需要采用全新的管理模型和灵活的功能架构，并且充分考虑基础设施、技术趋势、业务运行、运维服务等各种管理要素。作为全球领先的网络解决方案供应商，华为长期致力于数据中心网络管理解决方案的研究和开发，为用户提供智能管理、统一运维的数据中心管理解决方案。

　　智能管理

　　1、故障管理

　　全方位的企业故障监控系统, 用户可实时了解网络故障情况，并可根据告警信息中的定位信息、告警可能原因、附加信息协助用户找到原因，快速排除故障。

• 全面的故障类型：IP告警、IT告警、业务告警;
• 7*24小时不间断的故障监控，实时的故障提醒，以及故障远程通知;
• 故障与拓扑和设备面板之间的快速跳转;
• 告警归并、告警屏蔽等措施，有效降低呈现在用户界面的告警数。

　　2、配置管理

　　智能配置工具提供的基于模板和规划表的批量下发以及命令行校验，帮助用户高效进行业务部署。

• 智能配置工具：预置了常用的业务配置模板，用户可以方便的选择模板，进行设备批量配置;通过规划表方式，进行设备差异化批量配置。
• 配置文件管理：提供设备配置文件的备份、比较、恢复的功能。备份支持立即备份、周期备份、设备变更告警触发备份。
• 自适应的配置审计：定期或不定期进行设备网络配置合规性审计和健康检查;自动适配审计差异，自动适配不同厂家、不同类别、不同版本设备的审计内容差异;以子网、设备、规则多种维度查看审计结果。
• 可定制的系统首页portal和设备首页portal，通过一张portal用户可了解自己关注的信息，为用户提供一站式信息监控。
• 设备添加：手动输入IP地址、IP地址网段，以及通过文件方式导入设备列表的方式完成SNMP设备添加。

　　3、智能联动

　　MPLS VPN业务监控管理可与SLA管理组件、报表、性能等智能联动。

• 与性能智能联动：按业务角度查看性能指标，定制查看当前业务TOP5/10的接入接口流量统计/VRF流量统计/VRF活跃路由数统计，并提供详细指标的趋势图查看功能;
• 与网络质量评估(SLA)智能联动：提供基于ICMP Echo服务的PE-CE、PE-PE业务链路的业务质量评估;
• 与报表智能联动：提供接口流量性能统计报表和业务VRF统计报表，以及报表的导出。

　　4、报表管理

　　提供丰富的预定义报表，同时提供强大易用的报表设计功能，用户可根据行业特点和自身运维要求进行客户报表定制。

　　IP&IT统一管理

　　eSight智能网管集成数据中心多系统管理能力(网络设备、服务器及企业应用系统)，降低建设成本，提高运维效率;同时提供开放的第三方平台，和业内主流IT厂商(IBM/HP/Oracle等)进行深度集成和广泛合作，实现对多厂商、多资源设备统一管理。

　　OSS合作伙伴：http://www.huawei.com/cn/about-huawei/Partner/integrated-oss/oss_partners/index.htm

• 全面的设备管理能力： 除了全面支持华为路由器、交换机、AR、安全设备、WLAN设备的配套外;还预集成了对H3C、CISCO等第三方主流设备的管理;同时支持对服务器，打印机等企业IT资源的管理。
• 第三方设备定制能力：包括设备厂商、设备类型、面板、性能、告警管理的定制。
• 丰富的对外接口：开放API，易于第三方深度集成;统一北向接口快速对接上层OSS系统;API方式兼容主流厂家虚拟化平台;采用界面集成方式与第三方系统浅度集成;向设备管理层提供南向接口。
• 网元适配包：解决同设备配套问题。

　　可视化管理

　　提供多种视图多种图表，助力用户从不同层面以不同方式直观了解网络状态和网络质量。eSight智能网管提供数据中心网络拓扑和业务视图，使得业务部署和网络配置更加直观便捷。

• 拓扑管理：提供物理拓扑和IP拓扑两张拓扑，实现网络设备的图形化、层次化展示，同时显示子图、网元、链路，以及网元状态的显示。
• 性能管理：多种性能监视指标，多维度呈现网络状况;性能监视视图，持续刷新;不同图表展现不同性能监视指标以及历史数据的分析;具备第三方设备性能定制能力。
• 图形化网流分析：数据中心交换机/路由器通过Netstream功能，可随时洞察数据中心的业务分布，为用户提供图形化的网流分析报告，帮助客户轻松制定业务规划。
• 面向业务的可视化SLA服务：预定义SLA服务，封装NQA(网络质量分析)参数;支持主流厂家设备以多种协议实现NQA指标的采集、分析和度量;支持自定义SLA服务，SLA符合度直接呈现网络和业务质量。

　　虚拟资源管理

　　1、虚拟资源统一管理

• 使用SOAP协议，发现现并管理下列虚拟资源：TOR、服务器、虚拟交换机、虚拟机，以及虚拟机中的GuestOS、状态、分配内存、CPU。
• 策略模板管理：安全策略、流量策略、网卡绑定、VLAN、QoS、ACL。

　　2、虚拟拓扑、网络拓扑一体化

• 使用LLDP发现网络拓扑
• 使用SOAP 接口发现虚拟拓扑
• 接收TOR交换机告警，解析服务器端口和交换机端口的关联关系
• 网络拓扑和虚拟拓扑衔接，构建一体化拓扑

　　3、自动化虚拟感知

　　vCenter是虚拟化软件厂商提供的集中管理工具，管理虚拟机(创建、删除、启动、关闭、迁移)和虚拟交换机等虚拟化设施;nCenter作为网络的“大脑”，自动收集全网(物理+虚拟)的网络信息，根据虚拟机的接入动态分配预定义的网络资源;网络管理员只需专注于虚拟机的业务配置，网络设备的配置由nCenter感知到虚拟机需要时自动化完成，提高了业务部署的效率，降低了设备管理的复杂度，减少了配置错误率。

• 网络策略自动迁移
• P(物理网络)+V(虚拟网络)网络统一管理
• 全网拓扑自动发现
• 网络与虚拟化软件解耦
• 屏蔽网络配置细节
• 组件化，部署方式灵活