西山煤電集團(tuán)數(shù)據(jù)中心升級優(yōu)化設(shè)計

石美峰

(西山煤電(集團(tuán))有限責(zé)任公司 信息服務(wù)中心，山西 太原 030053)

1 西山煤電數(shù)據(jù)中心現(xiàn)狀

西山煤電集團(tuán)數(shù)據(jù)中心建設(shè)于2000年，承擔(dān)著西山煤電集團(tuán)辦公、安全生產(chǎn)、經(jīng)營管理、互聯(lián)網(wǎng)等業(yè)務(wù)。但是隨著企業(yè)轉(zhuǎn)型升級戰(zhàn)略對信息化建設(shè)的要求，傳統(tǒng)的數(shù)據(jù)中心已不能滿足時代需求，需要向新型數(shù)據(jù)中心轉(zhuǎn)變。

改造前的數(shù)據(jù)中心主要功能區(qū)有網(wǎng)絡(luò)核心交換區(qū)、互聯(lián)網(wǎng)出口區(qū)、DMZ區(qū)、服務(wù)器區(qū)、網(wǎng)絡(luò)接入?yún)^(qū)。網(wǎng)絡(luò)安全設(shè)備主要部署在服務(wù)器區(qū)和互聯(lián)網(wǎng)出口區(qū)。核心交換區(qū)主要由兩臺12510-X核心交換機(jī)和一臺7508匯聚交換機(jī)組成；互聯(lián)網(wǎng)出口區(qū)主要由路由器、防火墻、負(fù)載均衡、行為管理、VPN等共6臺設(shè)備組成；服務(wù)器區(qū)包括華為一套虛擬化平臺、32T存儲、服務(wù)器90臺，接入交換機(jī)10臺，安全設(shè)備2臺；DMZ區(qū)包括服務(wù)器9臺，交換機(jī)1臺以及IPS1臺，主要承擔(dān)內(nèi)外網(wǎng)站、視頻直播、微信平臺等互聯(lián)網(wǎng)業(yè)務(wù)；網(wǎng)絡(luò)接入?yún)^(qū)包括公司內(nèi)部骨干光纜、二級單位光纜、電信、移動、聯(lián)通接入光纜、光配線架、通信接入設(shè)備等。

數(shù)據(jù)中心作為集團(tuán)信息化基礎(chǔ)設(shè)施的重要部分，采用的網(wǎng)絡(luò)設(shè)備為盒式交換機(jī)，可靠性較低。隨著集團(tuán)業(yè)務(wù)規(guī)模的不斷擴(kuò)張，對網(wǎng)絡(luò)性能的要求越來越高，現(xiàn)網(wǎng)中設(shè)備已無法滿足后續(xù)擴(kuò)容及使用要求。

西山煤電集團(tuán)下轄九礦一廠，信息網(wǎng)絡(luò)是以集團(tuán)數(shù)據(jù)中心為核心的設(shè)備鏈路冗余的星型局域網(wǎng)絡(luò)。各廠礦通過2臺核心交換機(jī)與集團(tuán)數(shù)據(jù)中心機(jī)房的核心交換機(jī)雙路上聯(lián)，生產(chǎn)網(wǎng)和業(yè)務(wù)網(wǎng)共用核心，未作物理分離。現(xiàn)有生產(chǎn)數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)混合傳輸，沒有形成獨(dú)立的生產(chǎn)網(wǎng)和業(yè)務(wù)網(wǎng)。網(wǎng)絡(luò)拓?fù)湟妶D1.

信息網(wǎng)絡(luò)分為3層：核心層、匯聚層和接入層。核心層由兩臺H3C 12510-X核心交換機(jī)組成，與各礦的核心交換機(jī)相連。兩臺核心交換機(jī)互為冗余備份，作為整個網(wǎng)絡(luò)中心的核心交換平臺。核心交換機(jī)下連一臺H3C 7508交換機(jī)作為匯聚交換機(jī)，用于匯聚各機(jī)關(guān)處室和二級單位的交換機(jī)。接入層交換機(jī)分布在各單位，以H3C S3600和H3C 5120S交換機(jī)為主。

2 分離生產(chǎn)網(wǎng)和業(yè)務(wù)網(wǎng)

西山煤電集團(tuán)是大型國有煤礦，安全生產(chǎn)是面臨的首要問題。生產(chǎn)網(wǎng)主要承載的是與安全生產(chǎn)相關(guān)的包括風(fēng)火水電、安全監(jiān)測、人員定位等系統(tǒng)的運(yùn)行，對安全性的要求非常高。但是由于現(xiàn)在的網(wǎng)絡(luò)沒有區(qū)分生產(chǎn)網(wǎng)和辦公網(wǎng)，生產(chǎn)數(shù)據(jù)與辦公數(shù)據(jù)在同一個網(wǎng)絡(luò)中混合傳輸，辦公網(wǎng)發(fā)生的病毒和入侵事件可能會傳播到生產(chǎn)網(wǎng)，給生產(chǎn)網(wǎng)安全帶來極大的威脅。

圖1 西山煤電原有網(wǎng)絡(luò)拓?fù)鋱D

為了提高網(wǎng)絡(luò)的安全性，此次升級優(yōu)化將構(gòu)建兩套獨(dú)立的網(wǎng)絡(luò)，一套生產(chǎn)網(wǎng)，一套業(yè)務(wù)網(wǎng)。改造后的拓?fù)鋱D見圖2.

圖2 改造后的網(wǎng)絡(luò)拓?fù)鋱D

生產(chǎn)網(wǎng)設(shè)置獨(dú)立的數(shù)據(jù)區(qū)，由兩臺核心交換機(jī)承擔(dān)整個生產(chǎn)網(wǎng)內(nèi)礦區(qū)與機(jī)關(guān)的核心數(shù)據(jù)交互。業(yè)務(wù)網(wǎng)采用雙路萬兆光纜作為主干，即集團(tuán)數(shù)據(jù)中心內(nèi)布置兩臺核心交換，與下轄各礦區(qū)的業(yè)務(wù)網(wǎng)核心雙路連接。

數(shù)據(jù)中心設(shè)置單獨(dú)的兩臺核心交換機(jī)，與集團(tuán)業(yè)務(wù)網(wǎng)的核心交換機(jī)雙路萬兆互聯(lián)。同時與災(zāi)備區(qū)核心交換、互聯(lián)網(wǎng)出口區(qū)核心交換雙路萬兆連接。數(shù)據(jù)中心核心交換機(jī)同時與業(yè)務(wù)數(shù)據(jù)區(qū)核心交換、安全管理區(qū)核心交換以及生產(chǎn)網(wǎng)的核心交換雙路千兆互聯(lián)。業(yè)務(wù)數(shù)據(jù)區(qū)核心交換同時連接。

2.1 礦區(qū)生產(chǎn)網(wǎng)升級設(shè)計

2.1.1方案設(shè)計

在原有網(wǎng)絡(luò)的基礎(chǔ)上，將西山煤電集團(tuán)下轄的礦區(qū)原有的兩臺核心交換機(jī)作為獨(dú)立的業(yè)務(wù)網(wǎng)核心，與現(xiàn)有的數(shù)據(jù)中心業(yè)務(wù)網(wǎng)核心連接。每個礦區(qū)增加兩臺核心交換機(jī)，做為生產(chǎn)網(wǎng)的獨(dú)立核心。在礦區(qū)的生產(chǎn)網(wǎng)核心與業(yè)務(wù)網(wǎng)核心之間架設(shè)網(wǎng)閘，用于保護(hù)礦區(qū)生產(chǎn)網(wǎng)與業(yè)務(wù)網(wǎng)之間的訪問安全，在生產(chǎn)網(wǎng)出口部署安全網(wǎng)關(guān)，用于保護(hù)集團(tuán)與礦區(qū)生產(chǎn)網(wǎng)之間的訪問安全。礦端網(wǎng)絡(luò)改造拓?fù)鋱D見圖3.

圖3 礦端網(wǎng)絡(luò)改造拓?fù)鋱D

2.1.2新增設(shè)備

1) 礦區(qū)生產(chǎn)網(wǎng)新增核心交換機(jī)16臺。各礦區(qū)在生產(chǎn)網(wǎng)部署2臺核心交換機(jī)，選用H3CS5560X-30C-EI交換機(jī)產(chǎn)品。

2) 礦區(qū)業(yè)務(wù)生產(chǎn)增加安全隔離網(wǎng)閘16臺。網(wǎng)閘是將兩個網(wǎng)絡(luò)進(jìn)行有效物理隔斷和協(xié)議隔斷的主要技術(shù)手段，主要定位于在互聯(lián)條件下實(shí)現(xiàn)高級別的安全特性。根據(jù)數(shù)據(jù)中心建設(shè)情況，網(wǎng)閘設(shè)備在數(shù)據(jù)中心采用雙機(jī)熱備方式部署在生產(chǎn)區(qū)與辦公區(qū)之間，實(shí)現(xiàn)兩個區(qū)域之間的高度安全隔離，同時進(jìn)行必要的數(shù)據(jù)交換；在各礦區(qū)采用網(wǎng)閘部署在生產(chǎn)網(wǎng)與辦公網(wǎng)之間，進(jìn)行安全隔離與數(shù)據(jù)交換。

通過這種部署方式，可以為訪問提供更高的安全性保障。安全隔離網(wǎng)閘通過“2+1”的高安全架構(gòu)實(shí)現(xiàn)了高度安全防護(hù)。其專有隔離交換模塊可實(shí)現(xiàn)基于硬件的安全隔離；兩個網(wǎng)絡(luò)之間沒有任何物理連接，沒有任何網(wǎng)絡(luò)協(xié)議可以直接穿透，可以實(shí)現(xiàn)“協(xié)議落地、內(nèi)容檢測”。該部署方式既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進(jìn)行了強(qiáng)制內(nèi)容檢測，實(shí)現(xiàn)最高級別的安全，有效的將兩網(wǎng)之間實(shí)現(xiàn)了安全隔離與業(yè)務(wù)數(shù)據(jù)安全、可靠的交換。

3) 礦區(qū)業(yè)務(wù)生產(chǎn)增加安全網(wǎng)關(guān)16臺。通過在集團(tuán)網(wǎng)絡(luò)各個節(jié)點(diǎn)執(zhí)行隔離和訪問控制措施，將提升計算環(huán)境的安全性，有效防范非法的訪問。采用安全網(wǎng)關(guān)實(shí)現(xiàn)基于數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時間等信息，執(zhí)行嚴(yán)格的訪問控制。

2.2 集團(tuán)數(shù)據(jù)中心生產(chǎn)區(qū)和業(yè)務(wù)區(qū)切分設(shè)計

2.2.1方案設(shè)計

在集團(tuán)數(shù)據(jù)中心內(nèi)增加兩臺核心交換，用于集團(tuán)生產(chǎn)區(qū)的核心數(shù)據(jù)交換處理。在集團(tuán)數(shù)據(jù)中心內(nèi)增加兩臺接入交換機(jī)，用于集團(tuán)生產(chǎn)區(qū)生產(chǎn)業(yè)務(wù)數(shù)據(jù)服務(wù)器的連接。在集團(tuán)數(shù)據(jù)中心的業(yè)務(wù)網(wǎng)與生產(chǎn)網(wǎng)核心之間架設(shè)網(wǎng)閘，用于保護(hù)集團(tuán)生產(chǎn)網(wǎng)與辦公網(wǎng)之間的訪問安全。將集團(tuán)數(shù)據(jù)中心原有的服務(wù)器設(shè)備按生產(chǎn)和業(yè)務(wù)劃分明確，并布置在不同的物理區(qū)域內(nèi)。集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)改造拓?fù)鋱D見圖4.

圖4 集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)改造拓?fù)鋱D

2.2.2新增設(shè)備

1) 集團(tuán)數(shù)據(jù)中心生產(chǎn)區(qū)新增核心交換機(jī)2臺。集團(tuán)新建生產(chǎn)區(qū)數(shù)據(jù)中心，采用2臺高性能核心交換機(jī)H3CS7506E.

2) 集團(tuán)數(shù)據(jù)中心生產(chǎn)區(qū)新增接入交換機(jī)2臺。集團(tuán)在生產(chǎn)網(wǎng)數(shù)據(jù)中心部署2臺接入交換機(jī)，選用H3CS5560X-54C-EI交換機(jī)產(chǎn)品。

3) 集團(tuán)數(shù)據(jù)中心業(yè)務(wù)生產(chǎn)新增安全隔離網(wǎng)閘2臺，集團(tuán)數(shù)據(jù)中心業(yè)務(wù)生產(chǎn)安全網(wǎng)關(guān)2套。

3 優(yōu)化數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)

集團(tuán)數(shù)據(jù)中心現(xiàn)有網(wǎng)絡(luò)是分布式控制的架構(gòu)，這種網(wǎng)絡(luò)架構(gòu)存在一定的局限性：流量路徑的靈活調(diào)整能力不足；網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)復(fù)雜，運(yùn)維難度較大；網(wǎng)絡(luò)新業(yè)務(wù)升級速度較慢。由于設(shè)備的控制面是封閉式的，且不同廠家設(shè)備實(shí)現(xiàn)機(jī)制也可能有所不同，所以一種新功能的部署可能會周期較長；且如果需要對設(shè)備軟件進(jìn)行升級，還需要在每臺設(shè)備上進(jìn)行操作，降低了工作效率。

在對網(wǎng)絡(luò)進(jìn)行改造時，引入了軟件定義網(wǎng)絡(luò)(SDN)技術(shù)。SDN是一種軟件集中控制、網(wǎng)絡(luò)開放的三層體系架構(gòu)，應(yīng)用層實(shí)現(xiàn)對網(wǎng)絡(luò)業(yè)務(wù)的呈現(xiàn)和網(wǎng)絡(luò)模型的抽象；控制層實(shí)現(xiàn)網(wǎng)絡(luò)操作系統(tǒng)功能，集中管理網(wǎng)絡(luò)資源；轉(zhuǎn)發(fā)層實(shí)現(xiàn)分組交換功能。應(yīng)用層與控制層之間的北向接口是網(wǎng)絡(luò)開放的核心，控制層的產(chǎn)生實(shí)現(xiàn)了控制面與轉(zhuǎn)發(fā)面的分離，是集中控制的基礎(chǔ)。

該次數(shù)據(jù)中心升級優(yōu)化采用ADDC方案進(jìn)行部署。ADDC方案是H3C在SDN理念和架構(gòu)實(shí)現(xiàn)的應(yīng)用驅(qū)動下提出的數(shù)據(jù)中心解決方案。該方案可實(shí)現(xiàn)網(wǎng)絡(luò)和安全保護(hù)虛擬化，創(chuàng)建高效、敏捷且可延展的邏輯結(jié)構(gòu)，并滿足虛擬數(shù)據(jù)中心的性能和可擴(kuò)展性要求。ADDC采用安全服務(wù)鏈架構(gòu)，通過服務(wù)鏈，定義業(yè)務(wù)經(jīng)過不同的安全節(jié)點(diǎn)，為業(yè)務(wù)提供全面的安全防護(hù)。ADDC方案圖見圖5.

圖5 ADDC組網(wǎng)方案圖

3.1 方案設(shè)計

ADDC方案以O(shè)verlay技術(shù)為支撐，具有以下優(yōu)點(diǎn)：

1) 兼容第三方設(shè)備的全網(wǎng)絡(luò)虛擬化能力，構(gòu)建“一網(wǎng)一設(shè)備”的交換矩陣。基于IP網(wǎng)絡(luò)構(gòu)建Fabric，無特殊拓?fù)湎拗疲琁P可達(dá)即可；承載網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)分離；對現(xiàn)有網(wǎng)絡(luò)改動較小，保護(hù)用戶現(xiàn)有投資。

2) 基于SDN架構(gòu)的高度自動化運(yùn)維能力。

3) 控制器北向除提供RestfulAPI接口外，還提供JavaAPI，客戶或第三方可以在控制器上開發(fā)JAVA應(yīng)用，實(shí)現(xiàn)各種網(wǎng)絡(luò)應(yīng)用。

4) 網(wǎng)絡(luò)配置一次成型，業(yè)務(wù)擴(kuò)容與變更無需改動網(wǎng)絡(luò)，大幅度減少網(wǎng)絡(luò)運(yùn)維工作量。網(wǎng)絡(luò)簡化、安全。虛擬網(wǎng)絡(luò)支持L2、L3等，無需運(yùn)行LAN協(xié)議，骨干網(wǎng)絡(luò)無需大量VLANTrunk.

5) 簡化網(wǎng)絡(luò)IP地址的規(guī)劃，用于設(shè)備互連的IP網(wǎng)段和用于業(yè)務(wù)通信的IP網(wǎng)段互相不重疊。

6) 加快應(yīng)用部署速度，應(yīng)用可以在任意位置部署，配置好自己的IP地址即可實(shí)現(xiàn)通信，無需變更網(wǎng)絡(luò)，應(yīng)用部署速度從以周計縮短為以天計。

7) 轉(zhuǎn)發(fā)優(yōu)化和表項(xiàng)容量增大。消除了MAC表項(xiàng)學(xué)習(xí)泛濫，ARP等泛洪流量可達(dá)范圍可控。

3.2 新增設(shè)備

1) 數(shù)據(jù)中心業(yè)務(wù)區(qū)新增核心交換機(jī) 2 臺。集團(tuán)新建數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)，采用 2 臺高性能核心交換機(jī) S10508X-V. H3C S10500X 系列交換機(jī)產(chǎn)品是新華三技術(shù)有限公司面向云計算數(shù)據(jù)中心核心、下一代園區(qū)網(wǎng)核心和城域網(wǎng)匯聚而專門設(shè)計開發(fā)的核心交換產(chǎn)品。

2) 數(shù)據(jù)中心業(yè)務(wù)區(qū)新增接入交換機(jī)2臺。在集團(tuán)數(shù)據(jù)中心新部署2臺業(yè)務(wù)服務(wù)器接入交換機(jī)H3C S6800-4C，實(shí)現(xiàn)對各業(yè)務(wù)資源服務(wù)器全線速千兆/萬兆自適應(yīng)接入。H3C S6800系列交換機(jī)是H3C公司自主研發(fā)的數(shù)據(jù)中心級智慧以太網(wǎng)交換機(jī)產(chǎn)品。

3) 數(shù)據(jù)中心管理區(qū)新增接入交換機(jī)2臺。集團(tuán)在數(shù)據(jù)中心部署管理區(qū)，新采購2臺接入交換機(jī)，選用H3C S5560X-30C-EI交換機(jī)產(chǎn)品。

4) 數(shù)據(jù)中心安全區(qū)新增接入交換機(jī)4臺。集團(tuán)在數(shù)據(jù)中心部署安全區(qū)，新采購4臺接入交換機(jī)，選用H3C S5560X-30C-EI交換機(jī)產(chǎn)品。

4 結(jié) 語

西山煤電集團(tuán)數(shù)據(jù)中心升級優(yōu)化項(xiàng)目于2018年12月開工，目前正在建設(shè)中。該項(xiàng)目對數(shù)據(jù)中心進(jìn)行結(jié)構(gòu)調(diào)整與優(yōu)化，優(yōu)化網(wǎng)絡(luò)性能，以進(jìn)一步提高數(shù)據(jù)中心的業(yè)務(wù)重載能力，并分離了生產(chǎn)網(wǎng)和辦公網(wǎng)，提高了數(shù)據(jù)安全性。項(xiàng)目完成后將建成適合時代發(fā)展的數(shù)據(jù)中心，提升企業(yè)信息化水平，支撐和驅(qū)動企業(yè)發(fā)展。