彭　嘉

(福州市建筑設(shè)計院　福建福州　350011)

?

現(xiàn)代網(wǎng)絡(luò)中心機房規(guī)劃與設(shè)計

彭嘉

(福州市建筑設(shè)計院福建福州350011)

詳細(xì)論述了市設(shè)計院網(wǎng)絡(luò)中心機房建設(shè)的過程。并以此項目為例，從機房物理環(huán)境、電氣、消防、空調(diào)新風(fēng)、網(wǎng)絡(luò)拓?fù)浜途C合布線等各方面進行綜合論述，重點討論了采用虛擬化技術(shù)前后所消耗的資源對比，體現(xiàn)虛擬化技術(shù)的優(yōu)越性。

中心機房；網(wǎng)絡(luò)拓?fù)?；綜合布線；規(guī)劃設(shè)計；虛擬化

0　引言

近年來隨著“云計算”的概念不斷地普及發(fā)展，互聯(lián)網(wǎng)技術(shù)進入了空前的黃金發(fā)展時期。越來越多的單位建立了自己的網(wǎng)絡(luò)，而作為承載網(wǎng)絡(luò)的中心機房的建設(shè)則是其中的一個重要環(huán)節(jié)。網(wǎng)絡(luò)中心機房的設(shè)計和施工的優(yōu)劣直接關(guān)系到機房內(nèi)計算機系統(tǒng)是否能穩(wěn)定可靠地運行，能否保證各類信息通信暢通的關(guān)鍵。

本項目是對原舊機房的一次徹底改造，分階段逐步進行，最終目的是建設(shè)一個具有先進技術(shù)的現(xiàn)代網(wǎng)絡(luò)中心機房。此項目建設(shè)堅持以實用性兼容性為主，以安全可靠、易擴展、易管理為輔的原則，既兼顧先進性，也為未來擴展留有一定的冗余。本項目從機房物理環(huán)境、電氣、消防、空調(diào)新風(fēng)、網(wǎng)絡(luò)拓?fù)浜途C合布線、網(wǎng)絡(luò)安全驗證機制、設(shè)備虛擬化等各方面進行綜合考慮，進行策略性選擇。

1　物理環(huán)境設(shè)計

本項目主要由一棟6層辦公樓及另外一棟3層小樓組成，出于防雷防潮考慮，我們將網(wǎng)絡(luò)中心機房設(shè)計在辦公樓的三層。機房占地約80m2，層高3m，鋪設(shè)150mm高度全鋼防靜電地板，從源頭上杜絕靜電。地板下的空間可以敷設(shè)線槽用以走線。四面墻體使用吸音防火材料，并粉刷防塵漆，從而達到消噪防塵目的。中心機房主要分“主要設(shè)備區(qū)、工作區(qū)和配電區(qū)”3個部分，區(qū)與區(qū)之間使用鋼化玻璃墻分割開，既能防止強電弱電之間相互干擾，又能保證充足的光線照明。

2　電氣環(huán)境設(shè)計

作為7*24h全天候工作的中心機房，一旦斷電會產(chǎn)生諸如數(shù)據(jù)丟失、設(shè)備損壞等嚴(yán)重后果，影響院里正常的生產(chǎn)工作。因此，供電系統(tǒng)的設(shè)計是重中之重，應(yīng)該考慮采用雙路供電設(shè)計的供電系統(tǒng)。平時使用三相市電供電，停電時則迅速切換為UPS供電。UPS設(shè)備則采用山特在線式UPS加上松下電池柜，裝機容量為50kW，保證至少4h的延時供電，在滿足機房需求的同時也為將來的設(shè)備擴展留有余量。如果場地和經(jīng)費方面比較緊張的話，建議中心機房使用普遍的聯(lián)合接地方案，將“保護接地、工作接地和防雷接地”統(tǒng)一接入一個共同的接地系統(tǒng)。另外，在配電箱里為每一路供電電路加裝防雷模塊，以防止因雷擊造成設(shè)備損壞。

此外，為了防止UPS設(shè)備出現(xiàn)意外的損壞，則可利用UPS設(shè)備上自帶的RS232接口，擴展一張SNMP卡，使用SNMP協(xié)議通過局域網(wǎng)將監(jiān)控數(shù)據(jù)實時地傳送到管理服務(wù)器上(圖1)。監(jiān)控主機可以通過TCP/IP網(wǎng)絡(luò)監(jiān)控UPS的所有工作狀態(tài)，且當(dāng)任何一臺UPS有故障時，都會通過管理軟件、E-mail等組合形式發(fā)出告警，提醒維護人員迅速及時地解決故障[1]。此方案具有先進的管理性及智能化，可徹底解決電池?zé)o法充電，旁路運行狀態(tài)等不易發(fā)現(xiàn)的問題。

3　空調(diào)新風(fēng)設(shè)計

為了保證中心機房的設(shè)備能夠持續(xù)穩(wěn)定可靠地運行，必須維持機房里恒濕恒溫的狀態(tài)，并控制機房里的空氣含塵量。經(jīng)過多輪篩選，最終采用了濕騰HST-15精密空調(diào)來解決這個問題。該空調(diào)具有送風(fēng)、回風(fēng)、加熱、加濕、減濕、空氣凈化的能力，完全滿足機房的需要。

此外，機房中的機柜擺放也有講究，最佳的方式則是將機柜以面對面背靠背的方式進行擺放，使冷氣通道和熱氣通道分隔開，提高空調(diào)制冷率，以達到最佳的節(jié)能環(huán)保效果。

為了給機房工作人員創(chuàng)造良好的工作環(huán)境，在使用精密空調(diào)精確保證溫濕度的同時，還輔以新風(fēng)換氣系統(tǒng)[2]，主要設(shè)備是使用松下FV-02NJP1C的新風(fēng)換氣機。該機器既可以在空調(diào)運行時自動關(guān)閉風(fēng)閥以保證冷氣不被流失，也可以在空調(diào)停用的情況下運行節(jié)能模式，給機房提供足夠的新鮮空氣，維持機房對外的正壓差，避免灰塵進入，保證機房里能有更好的潔凈度(圖2)。

4　網(wǎng)絡(luò)拓?fù)浜途C合布線

網(wǎng)絡(luò)拓?fù)浜途C合布線是中心機房建設(shè)的核心內(nèi)容。為了方便統(tǒng)一管理，可以將所有的網(wǎng)絡(luò)設(shè)備集中到中心機房的網(wǎng)絡(luò)柜中，并加裝配線架，網(wǎng)絡(luò)線纜上以數(shù)字套環(huán)清楚標(biāo)識，以便在發(fā)生故障時能快速準(zhǔn)確地查找到問題線纜。除中心機房所在樓層外，在其它樓層設(shè)置水平布線間，使用6類雙絞線作為主干連接到中心機房。水平布線間到客戶端之間則采用超5類雙絞線，從而實現(xiàn)主干千兆終端百兆的拓?fù)浣Y(jié)構(gòu)。

考慮到以后規(guī)模擴大及無線接入等因素，本項目擴充了各樓層的信息點，使之總數(shù)達到500個左右。在邏輯網(wǎng)絡(luò)設(shè)計上，則采用雙核心三層網(wǎng)絡(luò)結(jié)構(gòu)[3]，使用兩臺H3C S8505三層交換機作為核心層，交換機之間運行VRRP冗余協(xié)議，通過配置相關(guān)參數(shù)，實現(xiàn)了設(shè)備冗余。下聯(lián)兩臺H3C S6506交換機作為匯聚層，開啟STP剪切并實現(xiàn)流量控制。原有的H3C S1526交換機則降為接入層，在其上面開啟VLAN功能，將所有的用戶按部門劃分到不同的VLAN中,以減少網(wǎng)絡(luò)廣播域的范圍。出口網(wǎng)絡(luò)則采用Cisco 3600路由器，連接電信提供的100Mbps光纖，實現(xiàn)高速訪問互聯(lián)網(wǎng)。

另外，基于安全及成本上的綜合考慮，在Cisco 3600路由器和電信100Mbps光纖之間增設(shè)一臺國產(chǎn)的深信服下一代防火墻AF-1120。該防火墻不僅具有強大的防火墻功能，還輔有上網(wǎng)行為管理和日志安全審計功能，通過合理地設(shè)置上網(wǎng)及應(yīng)用策略，便可以控制用戶的上網(wǎng)行為，過濾諸如炒股、網(wǎng)絡(luò)游戲、P2P下載等不合理的應(yīng)用，也可以通過其附帶的網(wǎng)絡(luò)日志對局域網(wǎng)進行安全審計，快速地找出網(wǎng)絡(luò)漏洞或不合理的地方，及時加以修補，進一步保證網(wǎng)絡(luò)安全(圖3)。

5　WIFI網(wǎng)絡(luò)安全驗證機制

由于近年來手機平板等移動智能設(shè)備的普及和發(fā)展，致使用戶對WIFI的需求與日俱增。為了順應(yīng)這股時代潮流，借此次信息化改造機會，本項目在現(xiàn)有的網(wǎng)絡(luò)拓?fù)浠A(chǔ)上增加了無線網(wǎng)絡(luò)，用以實現(xiàn)WIFI信號的接入。

該無線網(wǎng)絡(luò)主要采用當(dāng)下流行的WLAN技術(shù)和PoE供電技術(shù)，加上無線控制器Wireless Access Point Controller+瘦AP的方式來實現(xiàn)全院范圍內(nèi)的WIFI信號全覆蓋。在產(chǎn)品的選型上，從局域網(wǎng)絡(luò)設(shè)備的兼容性、安全性及產(chǎn)品的性價比等方面進行綜合考慮，最終采用了國產(chǎn)的H3C AM8000設(shè)備作為無線控制器，配合H3C WA4320-CAN的無線AP加上PoE交換機MS3226組成無線網(wǎng)絡(luò)的方案(圖4)。所有的無線AP均由無線控制器AM8000來統(tǒng)一配置，統(tǒng)一管理，極大地減輕了配置維護的工作量，提高了工作效率。

為了保證無線網(wǎng)絡(luò)的安全，則可考慮采用如下的技術(shù)手段：(1)關(guān)閉SSID廣播，只有知道真正SSID的用戶才能接入；(2)其次，為了方便管理用戶，將其分成內(nèi)部用戶和外部用戶兩種類型。其中屬于院正式員工的移動設(shè)備全部進行IP地址與MAC地址的綁定，非綁定設(shè)備或IP地址與MAC地址不匹配的設(shè)備均無法登陸WLAN。外來用戶則使用Radius服務(wù)來驗證身份。當(dāng)外來用戶登錄時，必須正確輸入用戶名和密碼，并通過WLAN路由轉(zhuǎn)發(fā)EAP over Radius協(xié)議，交由Radius認(rèn)證服務(wù)器進行身份驗證，驗證通過才能接入無線網(wǎng)絡(luò)。同時開始計時，超出租約時間則自動注銷用戶。如用戶還需使用WLAN，需再一次進行身份驗證。這樣既能較好地防止非授權(quán)用戶的蹭網(wǎng)行為，又能提高無線網(wǎng)絡(luò)的使用效率，保證了無線網(wǎng)絡(luò)的安全。

6　虛擬化系統(tǒng)

從2006年谷歌提出云計算的概念以來，因其具有資源池化、硬件虛擬化、高效智能、面向服務(wù)、按需供給、綠色節(jié)能等優(yōu)點，取得了長足的發(fā)展。虛擬化系統(tǒng)具有無可比擬的優(yōu)越性和先進性，但前期的成本投入相當(dāng)巨大。由于資金所限，本項目則采用了分期建設(shè)方式來解決這個難題。本次規(guī)劃設(shè)計只進行其中的服務(wù)器虛擬化建設(shè)。

所謂的服務(wù)器虛擬化技術(shù)(圖5)就是利用Microsoft Hyper-V或VMware虛擬化技術(shù)，在一臺物理服務(wù)器上虛擬出多臺虛擬服務(wù)器，將應(yīng)用程序和操作系統(tǒng)與底層硬件分離開來。虛擬的應(yīng)用程序可以看到專有資源，服務(wù)器則作為資源池進行管理，以達到硬件整合、統(tǒng)一控制、經(jīng)濟高效、綠色節(jié)能的目的。

根據(jù)本院現(xiàn)有的服務(wù)器數(shù)量和運行的服務(wù)類型，綜合考慮將來會增加服務(wù)的可能性后，最佳的方案是使用VMware公司的vSphere虛擬化平臺來實現(xiàn)服務(wù)器虛擬化。vSphere屬于Full-Virualization，即全虛擬化，無須人為地往guest OS中植入hypercall，因此，虛擬機可直接加載未經(jīng)修改的guest OS，而且guest OS也根本無法分辨自己到底是不是跑在虛擬機平臺上，這樣就在最大程度上避免軟件不兼容性的出現(xiàn)。

根據(jù)原服務(wù)器持續(xù)負(fù)載的情況，本方案將現(xiàn)有的16臺運行Intel架構(gòu)的服務(wù)器合理地虛擬到兩臺IBM X3850物理服務(wù)器上。在vComputer層次，既可以實現(xiàn)計算資源分配粒度的顆?；?如內(nèi)存分配精確到M，CPU分配精確到MHz等)，也可以使用DRS進行分布式資源調(diào)度，根據(jù)負(fù)載情況調(diào)度，實現(xiàn)每一份的計算資源最大利用率。

在vStorage層次(圖6)，使用Storage vMotion技術(shù)可以實現(xiàn)無停機的存儲遷移，而Thin Provisioning則可以將虛擬機可看到的磁盤空間壓縮，使之僅占用實際使用的大小，提高存儲的使用效率。如虛擬化前16臺服務(wù)器平均每臺使用500G的硬盤空間，這些空間相對獨立，無法進行統(tǒng)一動態(tài)調(diào)度，則共使用空間為16×500G=8T。虛擬化到兩臺物理服務(wù)器后，每臺服務(wù)器安裝2T硬盤空間，共使用的空間僅為4T，比虛擬化前減少了將近50%。另外，Data Recovery技術(shù)則可針對每臺虛擬機進行簡單、高效的熱備份和恢復(fù)，無需關(guān)機重啟操作，在虛擬機對外提供服務(wù)的同時，完成對每臺虛擬機制作Snapshot。當(dāng)故障發(fā)生時，能通過還原Snapshot達到盡快恢復(fù)系統(tǒng)服務(wù)的目的。相比起通常使用的GHOST軟件，時間可節(jié)約60%左右。

此外，虛擬化技術(shù)還能大大減少機房的能源消耗，打造一個綠色環(huán)保的中心機房。如虛擬化前每臺服務(wù)器平均功耗為550W，工業(yè)用電0.62度/元，則16臺服務(wù)器一月電費為0.62×16×0.55×24×30=3 928.32元；虛擬化后每臺服務(wù)器功耗為850W，則每月電費為0.62×2×0.85×24×30=758.88元，僅為虛擬化前的19.3%。

7　消防滅火系統(tǒng)

本項目采用的是符合國際標(biāo)準(zhǔn)的氣體滅火系統(tǒng)，主要成份是無毒無腐蝕易揮發(fā)的七氟丙烷。七氟丙烷滅火劑，代號HFC-227ea。其滅火原理是滅火劑噴灑在火場周圍時，因其化學(xué)作用惰化火焰中的活性自由基，使氧化燃燒的鏈?zhǔn)椒磻?yīng)中斷從而達到滅火目的。它具有無色、無味、不導(dǎo)電、無污染的特點。對臭氧層的耗損潛能值(ODP)為零，其毒副作用比鹵代烷滅火劑更小，是鹵代烷滅火劑最佳替代物之一。同時七氟丙烷效能高，速度快，對設(shè)備無污損。通常的做法是在中心機房外增設(shè)氣瓶間，在中心機房天花板上敷設(shè)滅火噴嘴。整個消防滅火系統(tǒng)由控制箱、煙感、溫感、光感和噴嘴聯(lián)動(圖7)，一旦傳感器檢測到異常情況，立即由控制箱控制噴嘴進行氣體滅火，以求在最短時間內(nèi)搶救險情，將損失減小到最小程度。

8　結(jié)語

虛擬化技術(shù)是打造現(xiàn)代化的網(wǎng)絡(luò)中心機房的核心，以其高性能、高效率、易維護、綠色環(huán)保等優(yōu)點得到了越來越廣泛的應(yīng)用。以下是筆者在本項目中的一些心得體會，提出來與大家共同探討。若有不足或不當(dāng)之處，敬請各位專家同行斧正。

(1)由于預(yù)算和時間的原因，本項目并沒有使用門禁監(jiān)控系統(tǒng)。如果工程預(yù)算充裕，建議在中心機房各重要位置增加24h監(jiān)控探頭，并設(shè)置關(guān)鍵時間點錄像。錄像至少應(yīng)保存半年以上，以備安全審計核查。輔以門禁刷卡系統(tǒng)，防止非授權(quán)人員進入機房所造成的人為因素的破壞，保證機房的安全。

(2)本項目中網(wǎng)絡(luò)直連Internet的出口處僅有一臺深信服防火墻，存在故障單點。如果防火墻宕機，則會面臨全院用戶無法上網(wǎng)的局面。如果在項目資金充裕的情況下，建議引入另一條出口線路，加裝一臺深信服防火墻，并在此基礎(chǔ)上使用負(fù)載均衡設(shè)備，通過源地點或目的地址的均衡策略，以達到消除故障單點，并使用戶上網(wǎng)速度大大提高的目的。無線網(wǎng)絡(luò)安全應(yīng)該進一步加強。后期的升級改造中應(yīng)考慮引入數(shù)據(jù)加密技術(shù)來進一步保證網(wǎng)絡(luò)及數(shù)據(jù)安全。

(3)正所謂“三分技術(shù)，七分管理”，在完善網(wǎng)絡(luò)中心機房各系統(tǒng)體系的同時，還應(yīng)該進一步地具體落實網(wǎng)絡(luò)安全管理制度，并加以落實監(jiān)督。

[1]吳兵.論數(shù)據(jù)中心機房的規(guī)劃與設(shè)計[J].智能建筑與城市信息,2012(9):40-42.

[2]陳修敏,張九根.數(shù)據(jù)中心機房空調(diào)系統(tǒng)設(shè)計及氣流優(yōu)化分析[J].流體機械,2014(11):79-82.

[3]彭棟.校園網(wǎng)絡(luò)中心機房建設(shè)方案的設(shè)計與實現(xiàn)[J].電腦知識與技術(shù), 2011,07(11):2546-2547.

The planning and design of the construction of the modern network center

PENG Jia

(Fuzhou Architectural Design Institute, Fuzhou 350011)

This article discusses in detail the process of the construction of the network center in the Design Institute of planning and designing. Take this project as an example, discussing all aspects of the construction, from the physical environment, electrical, fire, air conditioning, air conditioning, network topology and integrated wiring and so on. The article focus the discussion of comparing resource consumed before and after using virtualization technology.

Network center; Network topology; Premises Distribution System; Planning and design; Virtualization

彭嘉(1981.6-)，男，工程師。E-mail:191612239@qq.com

2016-08-05

TU984.18

A

1004-6135(2016)09-0102-05