H3C数据中心解决方案

、/ 、前言数据中心(Data Center, DC)是数据大集中而形成的集成IT应用环境，是各种IT应用业务 的提供中心，是数据计算、网络传输、存储的中心。数据中心实现了IT基础设施、业务应用、 数据的统一、安全策略的统一部署与运维管理。数据中心是当前运营商和各行业的IT建设重点。运营商、大型企业、金融证券、政府、能 源、电力、交通、教育、制造业、网站和电子商务公司等正在进行或已完成数据中心建设，通 过数据中心的建设，实现对IT信息系统的整合和集中管理，提升内部的运营和管理效率以及对 外的服务水平，同时降低IT建设的TCO。H3C长期致力于IP技术与产品的研究、开发、生产、销售及服务OH3C不但拥有全线以太网 交换机和路由器产品，还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理 系统等领域稳健成长。目前，网络产品中国市场份额第一，安全产品中国市场份额位居三甲， IP存储亚太市场份额第一，IP监控技术全球领先，H3C已经从单一网络设备供应商转变为多产 品IToIP解决方案供应商。H3C长期保持对数据中心领域的关注，持续投入力量于数据中心解决方案的研发，融合了网 络、安全、IP存储、软件管理系统、IP监控等产品的基于IToIP架构的数据中心解决方案,有效地 解决了用户在数据中心建设中遇到的各种难题，已经在各行各业的数据中心建设中广泛应用.基于H3C在数据通信领域的长期研发与技术积累，纵观数据中心发展历程，数据中心的发展 可分为四个层面:数据中心基础网络整合:根据业务需求，基于开放标准的IP协议，完成对企业现有异构业务系统、网络资源和 IT资源的整合，解决如何建设数据中心的问题。数据中心基础网络的设计以功能分区、网络分层和服务器分级为原则和特点。通过多 种高可用技术和良好网络设计，实现数据中心可靠运行，保证业务的永续性；数据中心应用智能:基于TCP/IP的开放架构，保证各种新业务和应用在数据中心的基 础体系架构上平滑部署和升级，满足用户的多变需求，保证数据中心的持续服务和业务连 续性。各种应用的安全、优化与集成可以无缝的部署在数据中心之上。数据中心虚拟化：传统的应用孤岛式的数据中心模型扩展性差，核心资源的分配与业 务应用发展出现不匹配，使得资源利用不均匀，导致运行成本提高、现有投资无法达到最优化的利用、新业务部署难度增大、现有业务持续性得不到保证、安全面临威胁。虚拟H3C 数据中心解决方案 网络产品部 化通过构建共享的资源池，实现对网络资源、计算计算和存储资源的几种管理、规划和控 制，简化管理维护、提高设备资源利用率、优化业务流程部署、降低维护成本。数据中心资源智能：通过智能化管理平台实现对资源的智能化管理,资源智能分配调 度，构建高度智能、自动化数据中心.1 数据中心基础网络整合1。1 数据中心基础网络设计随着业务的快速发展,企业（泛指运营商、企业和行业用户）的业务应用和数据正在从分散部 署走向大集中，作为业务承载体的IT设施的部署模型随之发生翻天覆地的变化，互联互通已经 不能满足流程整合后的业务持续发展的需求。网络是连接所有数据中心IT组件的唯一通用实体，构建坚实的网络基础设施将为数据中心 业务永续、管理与运维提供保障。通常来讲，用户的业务可分为多个子系统，彼此之间会有数据共享、业务互访、数据访问 控制与隔离的需求，根据业务相关性和流程需要,需要采用模块化设计，实现低耦合、高内聚, 保证系统和数据的安全性、可靠性、灵活扩展性、易于管理。数据中心基础网络设计原则为分区、分层和分级设计。一、 数据中心分区设计原则分区，即把用户的整个IT系统按照关联性、管理等方面的需求划分为多个业务板块系统， 而每个系统有自己单独的核心交换，服务器，安全边界设备等，需要逐级访问控制，良好的逻 辑分区设计与安全域划分成为数据中心网络的必备基础。根据企业自身特点，依据业务系统的相关性、数据流的访问要求和系统安全控制的要求等， 可以把数据中心的服务器与业务系统分成内网区（IntranQt外联区（Extranet和互联网区 （In tern。t等,并在此基础上对业务流程进行深入细化。H3C 数据中心解决方案Intran区 企业内部访问的数据中心区域，通常称为内网区，对外部网络不可见。Extrane区企业提供给合作伙伴访问的数据中心区域，通常称为外联区;通过VP N接入实现对服务器群的访问和不同企业的隔离。Internet 区企业提供给internet用户访问的数据中心区域，也常称为DMZ区,外部用户通过公网访问， 一般就是放在企业门户网站的服务器群。二、数据中心分层设计原则分层的主要是根据内外部分流原则，把数据中心网络分成标准的核心层、汇聚层和接入层 三层结构。服务器与业务系统之间的流量大部分在单个功能分区内部，不需要经过核心;分区之 间的流量才经过核心,而且在每个分区的汇聚层交换机上做互访控制策略会更容易、对核心的压 力会更好、故障影响范围更小、故障恢复更快。核心层核心层提供多个数据中心汇聚模块互联，并连接园区网核心;要求其具有高交换能力和突发 流量适应能力；大型数据中心核心要求多汇聚模块扩展能力，中小型数据中心共用园区核心； 当前以10GE接口为主，高性能要求48 10GE捆绑。汇聚层为服务器群（server farm）对外提供高带宽出口；要求提供大密度GE/10GE端口实现接入层互联；具有较多槽位数提供增值业务模块部署.网络产品部0接入层H3C 数据中心解决方案支持高密度千兆接入、万兆接入；接入总带宽和上行带宽存在收敛比、线速两种模式；基 于机架考虑，1RU更具灵活部署能力；支持堆叠，更具扩展能力;上行双链路冗余能力。业界主流做法是在汇聚层部署各类安全、应用优化业务,如在交换机上集成防火墙、负载均 衡、应用加速板卡。三、服务器接入分级设计原则目前的应用访问架构已经逐步由传统的客户机/服务器（简称C/S）架构向浏览器/服务器（简 称B/S）的变迁，B/S的应用访问架构要求采用三级的服务器架构,从整体来看包括三个层次： Web 层负责应用界面的提供，接受客户端请求并返回最终结果，是业务系统和数据的对外界面。如IIS、Apache服务器等等. Application 层负责数据的计算、业务流程整合，如常见的WebLogic、J2EE等中间件技术. Database 层负责数据的存储，供业务系统进行读写和随机调用。如MS SQL Server、Oracle 9i、IBM DB2等等。等等。网络产品部 H3C 数据中心解决方案三级之间通过交换网络的互连，层层的安全保护，形成结构清晰的易于部署的服务器接入 架构。三级之间的互连又分成纵向和扁平两种结构。纵向结构清晰、管理简单，扁平结构节省 投资.四、H3C数据中心基础网络设计优势安全性好 容易明确不同网络区域之间的安全关系，可以单独对每个区域进行安全实施,不会对其它 区域造成影响。扩展性好可根据不同区域和层次的功能按需建设，业务部署灵活 ,可以非常方便的增加新 Server Farm区，而不改变原有的网络结构。提高可用性可以最大限度的隔离故障域，简化数据路径，加快故障收敛时间。易管理 网络结构清晰，日常的运维变得更加简单,问题定位容易.1 。 2 数据中心高可用解决方案随着市场竞争的日益加剧,客户对信息系统的依赖性和要求越来越高，保证数据中心的高可 用性，提供7X24小时网络服务成为建网的首要目标，也是数据中心建设关注的第一要素。网络产品部 H3C 数据中心解决方案导致网络不可用，即网络故障的原因主要有两类:1。 不可控因素,如自然灾害、战争、大停电、人为破坏等通过建设生产中心、本地备份中心、异地容灾中心，即“两地三中心”模式，通过良好的整 体规划设计，保证不可控因素影响下数据中心的高可用。2. 可控因素，如设备故障、链路故障、网络拥塞、维护误操作、恶意攻击等。H3C在相关产品设计上考虑了诸多因素，提供了全系列的解决方案，包括物理设备、链路 层、IP层、传输层和应用层，全方位的提高网络可用性。硬件设备冗余，如设备双主控、单板热插拔、冗余电源、冗余风扇。物理链路冗余，如以太网链路聚合等。 环网技术，如：RPR、RRPP等技术。二层路径冗余，如：MSTP、SmartLink。三层路径冗余，如：VRRP、ECMP、动态路由快速收敛。快速故障检测技术，如：BFD等。不间断转发技术，如GR等。除了产品高可用性外，H3C在数据中心整体设计上提供完整的高可用方案，具体可分为： 服务器接入高可用设计，接入层到汇聚的高可用设计，汇聚层的高可用设计。一、服务器接入高可用设计也称服务器多网卡接入。为了实现接入高可用，服务器通常采用多链路上行，即服务器的两 块甚至多网卡接入，服务器中的网络驱动程序将两块或者多块网卡捆绑成一个虚拟的网卡，如果 一个网卡失效，另一个网卡会接管它的MAC地址，两块网卡使用一 个IP地址，而且必须位于同一 广播域，即同一子网下.服务器和接入交换机之间的连接方式有几种方式：网络可用性从左至右依次升高。推荐采用第四种接入方式。第四种连接方式服务器采用交 换机容错模式分别接入到两台机柜式交换机上，并且将VLAN Trunk到两台设备上，实现服务器 的高可靠接入。二、接入到汇聚高可用设计网络产品部 H3C 数据中心解决方案接入到汇聚层共有四种连接方式，分别为倒U型接法、U型接法、三角型接法和矩形接法， 这里所谓不同类型的接法是以二层链路作为评判依据，比如说矩形接法，从接入到接入，接入 到汇聚、汇聚到汇聚均为二层链路连接，因此形成了矩形的二层链路接法。H3C推荐三角型接法：链路冗余，路径冗余，故障收敛时间最短。VLAN 可以跨汇聚层交换机，服务器部署灵活。 在实际部署中,还可以根据实际情况选择如下方案： H3C IRF (Intelligent Resilient Framework), H3C IRF 能够实现分布式设备管理、分布式路由和跨设备链路聚合。部署H3C IRF,除了提高网络的可用性，减少单点故障影响，还 可以：分布式处理二三层协议，极大提高网络高性能.一每组当成一个逻辑Fabric,配置管理更高效。堆叠组内设备软件版本同步升级，升级容易. 一整个堆叠组的设备支持热插拔，灵活管理.接入与汇聚采用MSTP+VRRP :提高可用性，还可以做到链路的负载均衡。网络产品部 H3C 数据中心解决方案 网络产品部三、汇聚高可用性设计1）汇聚交换设备之间的VRRP；2）安全、应用优化设备之间的VRRP:可以内置或者旁挂到汇聚交换机上（推荐旁挂，而不 是串连到网络中，消除性能瓶颈）。利用HRP协议实现在Master和Backup防火墙设备之间备份 关键配置命令和会话表状态信息的备份。HRP协议承载在VGMP报文上。通过指定的负载均衡 算法，对指向服务器的流量做负载均衡，保证服务器群能尽最大努力向外提供服务，提升服务 器的可用性，提升服务器群的处理性能。2 数据中心应用智能2.1 应用智能数据中心模型今天，WEB2。0大潮开始涌现，如Flickr、YouTuBe、BLOG、WIKI、PODCAST，互联网 在第一次泡沫迸裂后又重现生机这些新应用的背后英雄就是WEB技术，如果讲WEB1.0解决的 是“人机交互界面的标准化”问题， WEB2。 0则更进一步解决了“应用数据交互的标准化”问题， 而WEB2.0的技术基础是XML协议和一系列相关WEB技术。Web 2.0时代的最大特点是每个人可成为数据的提供者。在今后的几年内，WEB应用的普及 必将带来另外一个新的标准化，那就是基于WEB技术的应用标准化，如果用OSI的模型来描述的 话，则是会话层和表示层的标准化。 “一旦标准化，即可网络化”意味着这些标准化的应用处理 功能将集成到网络设备中，新的业务呼唤新的应用智能网络.企业业务和数据从分散部署走向大集中，数据中心的数据量急剧膨胀，数据中心的重要性受 到空前的重视，应用优化、网络安全、应用安全设备大规模部署，融合了应用安全、应用优化 能力的应用智能数据中心越来越受到用户的欢迎.顺应潮流的发展，多业务集成交换机成为数据 中心建设的必备组件.应用安全涵盖:应用层认证、授权和审计应用层加密（SSL）和集中PKI部署应用层防火墙（HTTP/XML防火墙,SAML安全断言标记语言）应用层内容安全：病毒、入侵等等应用优化涵盖：H3C 数据中心解决方案应用负载均衡基于硬件的应用缓存、压缩和交换应用协议优化（HTTP/TCP协议优化）融合应用安全、应用优化的应用智能数据中心模型：2 。 2 应用智能之安全数据中心承载着用户的核心业务和机密数据,同时为内部、外部、合作伙伴等客户提供业 务交互和数据交换，因此数据中心的安全必须与业务系统实现融合，并且能够平滑的部署在网 络中。数据中心的安全建设中的主要思想之一就是层次化的分级安全，把IT的安全分成多个等 级，划分不同的安全域，这与数据中心对安全的内在要求是相辅相成的.在深入分析IT安全形势的基础上,H3C提出基于状态演进的安全模型，把IT的安全分成：单机安全：单机安全强调权限管理、病毒防护、数据备份局部安全：局部安全强调远程接入、入侵检测、安全融合、安全协作深度安全：深度安全强调容灾备份、深度抵御、安全审计、流量分析统一安全：统一安全强调风险管理、企业内控、统一规划、统一管理网络产品部 H3C 数据中心解决方案 网络产品部随着安全状态的演进,安全向着应用智能的安全方向发展.在任何情况下，信息只存在于三种状态之一：计算：计算是信息被创建、修改、删除、查询以及深度处理的过程。通讯：通讯是信息在不同的环境之间以及环境内部传递的过程存储：信息被以某种形式临时或者永久性保存的过程。安全的目标就是在保证数据在这三种状态下的安全。信息的安全状态决定安全的策略，对于数据中心来讲，信息的安全策略包括访问控制策略、 补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略 安全分区安全策略的基础是基于业务的逻辑分区和安全域划分，数据中心业务安全分区的优势:增加新功能区更容易不同区域可实施不同的安全策略每个分区按照需求可独立的扩展发生故障易定位易恢复等优点。因此，按照分区的思想，数据中心按照业务类型分为不同的逻辑区域，每个分区制定不同的安全策略和信任模型,划分为不同安全级别的安全域。从实际部署上看，又分成：边界访问控制深度智能防御智能安全管理1）边界访问控制边界控制对数据中心是最基本的要求，控制各类用户对数据中心的访问。随着安全状态的 演进，安全向着应用智能的安全方向发展H3C SecBlade II万兆防火墙与核心、汇聚交换机实现 多业务集成，数据交互通过背板直接进行，具有高性能和高可靠的双重优势，避免交换机在线 部署的性能瓶颈和单点故障；与防火墙旁挂部署方式相比，又具有配置策略简单、不改变数据 转发路径、流量转发过程清晰、部署维护简单等诸多优点。2）深度智能防御针对数据中心的各类DDoS攻击、木马、黑客入侵层出不穷，传统的IDS产品只能对部分事 件进行检测,无法做到实时分析和防御，H3C IPS业界领先，以在线或者旁路的方式H3C 数据中心解决方案部署在客户网络的关键路径上（可以实现在线防御，也可配置Layer2back二层回退），通 过对流经该关键路径上的网络数据流进行2到7层的深度分析，能精确、实时地识别并阻断或限 制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、 网游等网络攻击或网络滥用,从而可为客户网络提供三大保护功能:保护网络应用、保护网络基 础设施、保护网络性能.H3C IPS系列产品还具有强大、实用的带宽管理和URL过滤功能，可为客户带来IPS之外的 更高附加价值。3）智能安全管理 数据中心除了大量的网络设备在运行外，更多是各类服务器、操作系统之间的业务交互， 海量的告警、监控、SNMP、WMI等消息不断的在网络中传播，必须要要对这些安全事件、网络 事件、系统事件、应用事件进行统一的收集和管理，并通智能化的分析把原始数据转换、筛选 为智能安全的有效信息。H3C SecCenter可管理近100家主流厂家的安全与网络产品、1000+种报 表的自动或手工生成、流量与攻击的实时监控、海量事件关联和威胁分析、安全审计分析与追 踪溯源.总之，H3C通讯安全目标是提供面向业务的端到端的安全保障，覆盖客户端、网络和数据 中心的服务器和存储系统。2。3 应用智能之优化随着Internet和用户业务的不断发展,Web应用已经成为服务器主要的数据处理任务HTTP 协议用于在服务器和客户端之间传输基于Web的数据.TCP协议则为HTTP提供有保障的连接和 纠错功能.TCP虽然是非常理想的传输机制，但它也存在缺点，在传输Web数据时，TCP协议消耗 了大量的资源,导致服务器性能不佳。数据中心的性能瓶颈日趋凸现,为了解决诸如此类的性 能问题，出现了流量管理产品，比如能够深度识别和管理的P2P流量的路由器，产品工作在网络 层解决数据传输中的应用优化问题；负载均衡设备,产品的目标是解决服务器访问的瓶颈问题, 但是这些产品不足以解决数据中心应用层的性能问题，因此H3C应用优化设备应运而生，它采 用先进的连接管理技术进行TCP卸载和传输层端到端优化,考虑到SSL、压缩、加密等更多并发 处理，极大的提高了数据中心的数据访问性能。GET A；GET B；GET CGET A；GET B；GET DGET C;GET D；GET EGET B;GET A;GET DGET C；GET D;GET EGET A；GET B；GET CGET E ； GET B； GET CGET F;GET E ； GET GGET F;GET A;GET CGET A ； GET B;GET CGET C;GET D ； GET E月服务器TCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionTCP SessionH3C SecPath ASE系列产品是采用全硬件架构（NP+FPGA）设计的，通过不同的内置硬件 模块实现TCP优化、内容压缩、负载均衡、SSL加速等技术，达到应用加速的目的。使用ASE, 可以为目前不堪重负的数据中心减轻过重的负载，同时ASE可以根据数据中心的具体需要，与其 它产品配合形成一体化解决方案.SecPath ASE产品的应用场景如下图所示：ASE将web加速、SSL卸载和加速、压缩、TCP优化、负载均衡、防DDos攻击等技术集成在 一个硬件平台上,并且每个功能模块都是由专有的硬件芯片运行。利用全硬件加速处理技术来帮 助企业提高应用性能，最大可使Web服务器的性能提升10倍.同时，SecPath ASE还可以提供高可 用性负载均衡、快速与超智能的第4-7层交换、精细的互动控制以及其它诸多特性,为数据中心 网络提供最好的保护。ASE在客户端和服务器中间扮演了双重角色，面对客户端时，ASE表现为一个服务器；而 在面对服务器时，它表现为一个客户端面对客户端时，ASE的职责是处理所有的客户端连接， 它专注于处理由客户端发起的连接请求并维护这些连接;面对服务器时,ASE创建了少量但长期 的连接到服务器，并重复利用这些连接不断传递新的对象数据.GET A;GET B;GET CGET A;GET B ；GET DGET C;GET D；GET EGET B；GET A；GET DGET C;GET D；GET EGET A;GET B； GET CGET E；GET B;GET CGET F;GET E；GET GGET F；GET A；GET CGET A；GET B;GET CGET C；GET D；GET EGET A；GET B； GET CGET D;GET E;GET FGET D;GET D;GETCGET B ； GET B； GETFGET B； GET E； GET FGET G;GET A;GET B应用加速 服务器ASE使用各种算法来判断何时需要建立一个新的连接到服务器，或已有的连接何时需要延 续。使用ASE后，连接合并的优势就体现出来了：1) ASE处理了所有客户端的连接，服务器不再需要创建和释放连接；2) 连接合并后，服务器只需要处理少量的TCP会话；3) ASE屏蔽了各种方式的客户端WA N接入，避免了服务器受到延迟、冲突、丢包等客户 端因素的影响；4) ASE与服务器建立少量连接，传输大量对象达到了最大资源利用。同时ASE与服务器 在一个局域网中,大大降低了客户端到服务器的延时，就好像将客户端搬到服务器的局 域网中一样；ASE 连接和请求处理机制及其强大的处理能力能够保护服务器免于超载，使得服务器可以 充分发挥其潜力，而由 ASE 处理高峰负荷。SecPa th ASE的单臂部署方案采用单臂模式，可以将ASE旁路部署在网络内部，不需要改变网络原有部署。访问Web服务 器资源的用户首先要被牵引到应用加速设备ASE上，连接终结后，ASE再与后台服务器进行服 务请求。网络产品部 H3C 数据中心解决方案SecPath ASE系列单臂应用部署图由于单臂模式无需改变网络环境,因此在大大提高应用运行速度的同时,也保证了应用的可 靠性。减少网络维护工作量和日常运营成本。SecPath ASE 的在线部署方案将ASE部署在服务器群前端，串行接入网络，为用户提供应用加速和负载均衡功能，实现对 网络应用的性能提升。SecPath ASE系列在线应用部署图在线部署ASE可以为用户提供一个应用加速通路，ASE对远程用户的连接进行终结，实现 应用加速与负载均衡.使用在线部署模式时，SecPath ASE实现对非HTTP协议的透明转发，确保服务器上其他服 务的正常应用.同时访问Web服务器资源的用户访问的是应用加速设备，终端用户并没有与Web 服务器直接连接,避免了后端服务器遭受DDOS攻击。2。4应用智能之负载均衡作为业务网络的心脏，数据中心面临着众多的挑战。扩展性、灵活性、高性能、可靠性和 安全性，无一不是对数据中心的要求.尤其重要的一点是：在访问请求急剧增长的时候，服务器 仍要保证快速、稳定的传送应用到客户端。如果不在数据中心配置负载均衡,将会导致服务器负载不均，部分负载很重的机器仍然不 断的处理新来的业务请求，出现性能下降、响应时间变慢，甚至出现宕机。而其它的服务器可 能长期处于轻载或空闲状态,导致数据中心整体性能不高、资源利用率不高、整体投资得不到保 证。配置负载均衡后，将解决服务器任务调度和资源占用不均衡的状态，提高性能的同时提高 业务系统的整体鲁棒性。SecBlade LB (Load Balance)业务模块是一款高性能负载均衡产品，该业务模块创新性地 实现了应用优化与网络交换设备的完美融合。具有即插即用、扩展性强的特点,降低了用户管理 难度，减少了维护成本。通过对各种应用进行识别和区分,并对服务器、防火墙进行健康检测和性能检测,采用网络产品部 H3C 数据中心解决方案 自适应智能算法将各种应用访问请求均衡分发至不同设备上。极大地提高了应用访问速度, 为企业和运营商网络提供了一个高性能、经济高效的负载均衡解决方案。LB设备与汇聚层交换机之间有两条链路或链路聚合组，这两条链路（组）分别为L3链路和L2链路，服务器网关指向LB设备，对于需要负载均衡的流量，汇聚层将VSIP的下一跳指向LB， 而LB的缺省路由指向汇聚层交换机。3数据中心虚拟化随着业务的持续发展、系统的更新升级、设备的不断增多、能耗的大幅飚升，数据中心面临着资源分配与业务发展无法完美匹配的难题：1、业务系统日益增多：需要更多的网络设备、服务器，运行的业务系统不断的发生变化，资源和设备分配之间的矛盾日趋激烈；2、设备多，部署繁杂：在数据大集中的趋势下，数据中心机房内的T基础设施规模非常庞大，而且还将持续不断的增加、部署难度大幅增加；3、投资持续增加：IT基础设施规模的成倍增加，在数据中心投入的硬件成本、软件成本、人力成本等水涨船高；4、运维成本和能耗高：设备增多,能耗和运维成本自然随之增加,不符合绿色数据中心的发展趋势，能耗已经成为数据中心运维的沉重经济负担；所以，为了降低TCO,需要对数据中心进行整合.这也带来了一系列难题：1、 安全性:多种业务集成在一套设备上，安全性需要保证；网络产品部 H3C 数据中心解决方案2、 资源合理分配:不同的业务对数据中心资源也有不同的需求，要保证各个业务合理 的使用资源。虚拟化能够解决这些难题，虚拟化用多个物理实体创建一个逻辑实体,或者用一个物理实体 创建多个逻辑实体。实体可以是计算、存储、网络或应用资源。虚拟化实质：隔离。虚拟化技术将不同的业务隔离开来,彼此不能互访,从而保证业务的安 全需求；将不同的业务的资源隔离开来，从而保证业务对于数据中心资源的需求。H3C的虚拟化解决方案可包括三部分：网络虚拟化计算虚拟化存储虚拟化数据中心网络虚拟化和园区虚拟化结合，将数据中心的访问与网络接入的终端用户认证、 安全检查和动态授权结合，确保了数据中心的安全与灵活访问.数据中心的核心交换机兼做园区 虚拟化VPN的PE,汇聚交换机做相应的MCE,结果把园区虚拟化终结在数据中心上。在数据中 心的接入交换机上配置VLAN实现业务的逻辑隔离,并且让每个VLAN和汇聚交换机MCE的相 应路由表形成对应关系。这样数据中心的虚拟化通过数据中心的接入、汇聚、核心设备贯穿到 园区虚拟化中,形成网络端到端的虚拟化。数据中心防火墙支持虚拟化功能,可以集成或者旁挂 在数据中心汇聚交换机上,配合网络虚拟化完成数据中心资源的虚拟化.数据中心网络虚拟化特色：数据中心网络虚拟化和客户端虚拟化(EAD)、园区网虚拟网络产品部 H3C 数据中心解决方案化形成H3C网络端到端的虚拟化访问路径。数据中心计算虚拟化选择和业界领先的VMWARE公司合作，实现对计算资源的虚拟化。存 储虚拟化采用IV5000系列实现先进的存储虚拟化，可以支持物理磁盘空间动态扩展，这样用户 现有的设备不必抛弃，可以融入系统，保障了用户的已有投资，从而降低了用户TC O,实现了存 储容量的动态扩展，增加了用户的ROI（Return on Investment，投资回报）H3C 数据中心虚拟化特色：实现了网络、计算、存储的端到端虚拟化.4数据中心解决方案总结H3C在数据中心解决方案特点总结：高安全、高可靠、高性能、多业务、可扩展、异构融合、智能管理。作为核心业务的承载体，数据中心的建设是一个系统工程，从分析、设计、建设、运维的 各个声明周期都需要从需求分析入手，紧密结合业务特点，以优化整合业务流程、提高运营效 率和竞争力为目标。附件一 数据中心相关产品H3C数据中心解决方案产品分为五大部分：F1。 1基础网络平台：通过千兆或万兆以太网连接办公区用户、计算资源和存储资源。网络网络产品部 H3C 数据中心解决方案 网络产品部 通过架构级可靠（业务网络与管理网络分离,模块化设计）、网络级可靠（网元、链路、拓扑冗 余设计）、设备级可靠（电信级可靠性设备、双主控、关键部件冗余）保障了网络平台的高可 靠。同时产品本身的高扩展能力、模块化设计充分满足了数据中心架构高可扩展性要求。 通过广域网优化设备增加广域网容量；同时改善应用响应时间,减少协议交互;区分优先级和控 制应用，确保对关键应用的最低/最高带宽,控制/阻止非关键（无赖）应用。相关产品：H3C S12500路由交换机、H3C S9500路由交换机、H3C S7500E/S7500路由交换机、H3C S5600以太网交换机、H3C S5500以太网交换机、SECPATH ASE应用优化 等F1.2网络安全：交换机基于设备本身的BPDU Guard、PVLAN、五元组绑定、802。IX集成安 全特性，实现数据的二层保护；防火墙实现数据的网络层的安全保护;入侵防御系统IPS实现基 于应用层的深度安全保护CAMS综合访问管理服务器多业务安全接入管理平台,可以与H3C交换机、路由器、VPN网关等 网络设备共同组网，实现对用户宽带接入、VPN接入、无线接入以及IP电话接入的管理、认证、 授权和计费。SecCenter A1000智能安全管理中心，它能够自动对全网海量的安全事件和日志集中收集与统一 分析,兼容异构网络中多厂商的各种设备，对收集数据高度聚合存储及归一化处理，实时监控全 网安全状况，同时能够根据不同用户需求自动提供具有说服力的网络安全状况与政策符合性审 计报告。相关产品：H3C SecBalde I/n、IPS、ACG系列、H3C SecPath 系列防火墙/VPN产品、SecCenter、H3C EAD 终端准入防御系统等附件二 重点用户名单中国农业银行上海数据中心中国银行上海灾备中心中国建设银行总行ServerFarm数据中心H3C 数据中心解决方案 网络产品部山东农信数据中心淄博商业银行徽商银行同城灾备中心安邦财产保险数据中心百度数据中心 Soh u数据中心网易数据中心上海张江高科数讯IDC成都市政府南部数据中心深圳南山电子政务数据中心苏州华夏银行数据中心国家人事部数据中心国家科技部信息共享系统中共中央统战部国家工商总局口 0 . 0 0 0 0