武漢分公司網(wǎng)絡(luò)分為管理業(yè)務(wù)網(wǎng)和實(shí)時(shí)生產(chǎn)數(shù)據(jù)網(wǎng)，管理業(yè)務(wù)網(wǎng)覆蓋公司所有部門，涉及ERP、OA、人力資源等業(yè)務(wù)數(shù)據(jù)，實(shí)時(shí)生產(chǎn)數(shù)據(jù)網(wǎng)主要涉及實(shí)時(shí)數(shù)據(jù)采集、視頻監(jiān)控、安全環(huán)保監(jiān)測(cè)等生產(chǎn)數(shù)據(jù)，兩網(wǎng)之間以防火墻進(jìn)行邏輯隔離。

網(wǎng)絡(luò)改造前，公司管理業(yè)務(wù)網(wǎng)絡(luò)和實(shí)時(shí)生產(chǎn)數(shù)據(jù)網(wǎng)絡(luò)中都沒(méi)有數(shù)據(jù)中心，服務(wù)器都是直接聯(lián)入網(wǎng)絡(luò)，沒(méi)有比較好的手段來(lái)保證服務(wù)器系統(tǒng)安全，根據(jù)公司網(wǎng)絡(luò)改造要求，需建立獨(dú)立的數(shù)據(jù)中心，在有限經(jīng)費(fèi)的情況下，如何利用一套網(wǎng)絡(luò)設(shè)備，完成管理業(yè)務(wù)數(shù)據(jù)和實(shí)時(shí)生產(chǎn)數(shù)據(jù)兩個(gè)數(shù)據(jù)中心的搭建，成為考慮的重點(diǎn)。

數(shù)據(jù)中心建設(shè)

建設(shè)目標(biāo)

為服務(wù)器搭建專用網(wǎng)絡(luò)架構(gòu)，全萬(wàn)兆互聯(lián)、服務(wù)器千兆接入、重要應(yīng)用雙線冗余，與用戶業(yè)務(wù)網(wǎng)絡(luò)用防火墻進(jìn)行邏輯隔離，提高服務(wù)器區(qū)穩(wěn)定性和安全性。

采用的技術(shù)

Virtual Device Context（VDC）

VDC是一種一虛多的技術(shù)，將一個(gè)物理設(shè)備虛擬成多個(gè)邏輯設(shè)備，每個(gè)邏輯設(shè)備的故障隔離、管理隔離、地址分配隔離、自適應(yīng)資源管理、service differentiation domains。目前VDC僅在Cisco N7K平臺(tái)支持。

虛擬出的VDC有以下特色：

（1）每個(gè) VDC 都有獨(dú)立的容錯(cuò)才能，其間一個(gè)VDC出故障不會(huì)影響其他VDC的正常運(yùn)轉(zhuǎn)，完成故障阻隔。如下圖若是VDC2出現(xiàn)故障并不會(huì)影響 VDC1，3，4 等的正常運(yùn)轉(zhuǎn)。

（2）獨(dú)立的管理接口，進(jìn)入物理設(shè)備的VDC實(shí)例進(jìn)行管理各自的VDC。管理員能夠別離進(jìn)入不相同的VDC域中對(duì)每個(gè)VDC進(jìn)行管理和裝備，相互之間不受影響，對(duì)外看來(lái)就好像對(duì)不相同的物理設(shè)備進(jìn)行管理操控。

（3）獨(dú)立的地址分配，每個(gè)VDC就是一個(gè)獨(dú)立的網(wǎng)絡(luò)。

（4）具有各自獨(dú)立的接口資源管理。端口分配到各個(gè)VDC，可是分配成功后不能在VDC之間同享，只要某一端口分配到其間一個(gè)VDC，這個(gè)端口就不能在分配給其他的VDC。（包括管理地址）

在本次數(shù)據(jù)中心搭建中，虛擬出來(lái)的每個(gè)VDC就是一臺(tái)設(shè)備的方式呈現(xiàn)在管理員面前。每個(gè)VDC運(yùn)轉(zhuǎn)各自的軟件進(jìn)程。VDC還虛擬出獨(dú)立的操控面，包含了所以有軟件功能，比如ospf協(xié)議，bgp協(xié)議等等。一切控制層面以及數(shù)據(jù)層面的數(shù)據(jù)都是由各自的VDC獨(dú)立完成的。

VDOM虛擬域設(shè)置可以使一臺(tái)防火墻設(shè)備能夠根據(jù)服務(wù)商的管理安全服務(wù)器對(duì)多個(gè)網(wǎng)絡(luò)提供獨(dú)立的防火墻與路由服務(wù)，使將一臺(tái)物理防火墻劃分為兩個(gè)或兩個(gè)以上的可以獨(dú)立運(yùn)行的虛擬防火墻技術(shù)。VDOM優(yōu)勢(shì)在于簡(jiǎn)化管理、保持安全性、便捷的VDOM添加與減少。

獨(dú)立的VDO M各自完全分離，VDOM間 彼此沒(méi)有通訊，各個(gè)VDOM的管理員可以管理自己的VDOM，可以用于多個(gè)公司或多個(gè)部門共享單獨(dú)一臺(tái)物理FortiGate，通過(guò)VDOM實(shí)現(xiàn)各自安全策略及internet需求。

在本次數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境搭建中，防火墻采用透明模式，分別連接數(shù)據(jù)中心核心交換機(jī)N7010和管理網(wǎng)核心6509、生產(chǎn)網(wǎng)核心6509。為避免不同VDC之間的數(shù)據(jù)流，在防火墻上配置了VDOM，隔離了管理網(wǎng)應(yīng)用數(shù)據(jù)和生產(chǎn)網(wǎng)應(yīng)用數(shù)據(jù)。

拓?fù)浼軜?gòu)及說(shuō)明

拓?fù)浼軜?gòu)

如圖1所示。

圖1 架構(gòu)圖

在數(shù)據(jù)中心三層架構(gòu)中，N7K交換機(jī)作為核心層交換機(jī)，每臺(tái)N7K采用了VDC技術(shù)，各劃分了兩個(gè)VDC：VDC-管理業(yè)務(wù)網(wǎng)、VDC-實(shí)時(shí)生產(chǎn)數(shù)據(jù)網(wǎng)，每個(gè)VDC劃分不同數(shù)據(jù)端口和管理端口，隔離開(kāi)管理業(yè)務(wù)網(wǎng)絡(luò)和實(shí)時(shí)生產(chǎn)數(shù)據(jù)網(wǎng)絡(luò)數(shù)據(jù)，并實(shí)現(xiàn)了VDC雙核心冗余管理；N5K交換機(jī)與N2K擴(kuò)展板模塊實(shí)現(xiàn)了匯聚層與接入層功能，N7K通過(guò)不同端口、數(shù)據(jù)鏈路分別連接兩臺(tái)N5K，實(shí)現(xiàn)了管理業(yè)務(wù)網(wǎng)與實(shí)時(shí)生產(chǎn)數(shù)據(jù)網(wǎng)的數(shù)據(jù)流分離。

兩臺(tái)防火墻采用虛擬域技術(shù)，分別將不同端口劃分到管理業(yè)務(wù)域VDOM1（FW-1，F(xiàn)W-2）和實(shí)時(shí)生產(chǎn)數(shù)據(jù)域VDOM2（FW-3，F(xiàn)W-4），與管理業(yè)務(wù)網(wǎng)絡(luò)核心和實(shí)時(shí)生產(chǎn)數(shù)據(jù)網(wǎng)絡(luò)核心、VDC- 管理業(yè)務(wù)網(wǎng)和VDC-實(shí)時(shí)生產(chǎn)數(shù)據(jù)網(wǎng)相連，實(shí)現(xiàn)了兩網(wǎng)數(shù)據(jù)中心的數(shù)據(jù)隔離，并能根據(jù)管理業(yè)務(wù)網(wǎng)和實(shí)時(shí)生產(chǎn)數(shù)據(jù)網(wǎng)業(yè)務(wù)需求不同，在不同的虛擬域中配置不同的策略，以提高服務(wù)器系統(tǒng)安全性。

結(jié)語(yǔ)

通過(guò)使用思科N7K交換機(jī)VDC虛擬化技術(shù)和飛塔防火墻VDOM虛擬域技術(shù)，武漢分公司實(shí)現(xiàn)了用一套設(shè)備搭建兩套數(shù)據(jù)中心的改造目的，也達(dá)到了管理業(yè)務(wù)網(wǎng)與實(shí)時(shí)生產(chǎn)數(shù)據(jù)網(wǎng)絡(luò)的數(shù)據(jù)邏輯隔離，提高了兩個(gè)數(shù)據(jù)中心的安全性。