云計算中心網絡系統建設方案1網絡系統建設方案1.1網絡系統建設的要求1）計算中心通過互聯網、專線接入和VPN接入提供服務；2）提供多種網絡接入及特定單位的專線接入，滿足用戶以多種方式遠程接入云計算平臺的要求；3）有效隔離計算中心與互聯網，防范來自互聯網的非授權訪問，使計算中心在受控的前提下提供給外部進行訪問；4）為云計算大樓公共服務區（用戶服務區、辦公區、公共會議室）提供網絡連接；5）子網相對獨立，又彼此關聯。各入駐單位的計算機網絡相互獨立，各自構建獨立的單位局域網，滿足各單位組網需求；同時要考慮其工作的共性需求。在設計中要考慮他們之間的相對隔離又彼此關聯的要求，劃分不同的區域，區域之間采用物理隔離或邏輯隔離。6）建立完善的網絡安全和管理機制，保證網絡系統的安全和正常運轉。1.2網絡系統總體設計1.2.1網絡架構設計圖1云計算中心網絡系統邏輯結構圖云計算中心網絡系統整體邏輯結構如圖1所示。整個網絡系統包括云計算資源區和服務與管理區，服務與管理區可進一步分為對外服務區、中心辦公區、DMZ區。＞云計算資源區是超級計算系統所在區域。＞云計算服務區是計算中心對企業等非政府機構提供超級計算服務的區域。＞中心辦公區是云計算中心工作人員的辦公區域。＞DMZ區是云計算中心設置Web服務器和SSLVPN接入的區域。上述區域整體上包括云計算中心資源層、核心交換層、功能接入層和互聯網接入/服務層；采用分層結構模塊化的設計理念，使網絡結構清晰化，便于網絡安全策略的實施和網絡管理，并提高網絡的靈活性和可擴展性。1）云計算資源區云計算中心服務結點使用萬兆鏈路直接接入到云計算資源區的高性能接入交換機上。2）服務與管理區＞核心交換/訪問控制層：主要包括一臺的核心交換機，由于現在的核心交換設備一般都支持多個模塊，而本項目所需接入的網段也不是太多，可將匯聚交換的功能融入其中，對各子網的訪問控制策略采用交換機訪問控制技術實現。＞功能接入層：包括云計算中心辦公子網、云計算對外服務子網等；＞互聯網接入/服務層：包括1條互聯網接入鏈路、邊界防火墻、DMZ區（設置DNS、WWW、SSLVPN接入等服務）等。1.2.2服務與管理區網絡及安全防護部署圖2網絡系統拓撲結構及安全防護部署可以將網絡拓撲分為3層，包括互聯網接入/服務層、功能接入層核心交換層和云計算中心資源層。互聯網接入/服務層包括邊界防火墻、DMZ國設置DNS、WWW、郵件、SSLVPN接入等服務）6核心交換層主要包括一臺核心交換機。功能接入層包括云計算中心辦公子網、云計算對外服務子網等。1.2.3專用網絡接入云計算開放區包括與超級計算相關的管理、服務單位，其對網絡的連接和訪問控制要求如表1所示：表1云計算中心子網分布表云計算相關單位分布情況大樓內部聯網要求外部聯網要求高性能計算開放實驗室（云計算辦公子網）云計算中心子網互聯網超級計算中心辦公室、高性能計算機工程中心呂梁分中心、會議室、辦公室（云計算辦公子網）云計算中心子網互聯網進駐單位云計算中心子網互聯網用戶通過互聯網采用VPN技術接入云計算中心；如果需要，可以采用專線接入，可以直接接入到核心層核心交換機上，利用VLAN的方式進行邏輯隔離，利用防火墻對其進行訪問控制、審計。1.2.4網絡帶寬設計1）主干帶寬設計考慮超級計算機的業務需求，選擇萬兆以太網作為核心層組網，從接入交換機到核心交換機采用千兆以太網技術。為了便于今后系統的升級，選擇的核心交換機、接入交換機等都能夠支持萬兆。一旦今后需要無需更換設備即可平滑升級到全萬兆主干網。2）互聯網接口及帶寬要求（a）云計算辦公區的互聯網帶寬需求內部人員利用Internet進行資料查詢、收發郵件、對外聯系等工作，對帶寬需求不會太高。內部人員按照140左右估算，估計約200M即可滿足需求。（b）對外服務區的互聯網帶寬需求云計算中心的客戶通過Internet訪問相關的服務器，完成計算業務的提交、數據上傳、作業管理、作業監控、結果下載等。作業提交的方式主要包括WEB訪問、FTP、Telnet、Xwindows等方式。這部分訪問單個用戶對帶寬要求不高，但是需要考慮用戶的總量，結合并發用戶訪問量進行綜合考慮。在初期，初步預留300M帶寬給這部分訪問。互聯網帶寬需求根據以上對Internet帶寬的初步分析，同時結合目前ISP提供的帶寬的性價比綜合考慮，選擇1000M多路接入，以后根據發展情況再進行擴展。1.3互聯網接入互聯網接入/服務層主要提供對外服務，是外界進入中心，與中心發生數據交互的第一個功能層次，這個功能層包含：互聯網接入、DMZ區和網絡與安全管理區等。這個功能層建設中首先需要考慮安全問題，重點是如何保證外界安全、可靠的與中心各區域進行數據交互，其次是設備的選型，如：邊界路由器、邊界防火墻等。1.3.1互聯網接入規劃互聯網接入區主要是連接到Internet，向用戶提供云計算資源服務。電信運營商接入：根據對用戶應用需求的初步分析，建議在試運行期間通過二條線路構成2000M接入，一條線路接入中國電信網，一條接入中國聯通網，均具有1000M帶寬。大數據量用戶專線接入：為了滿足大數據量用戶傳輸數據的需求，通過租用中國電信的光纜，建立一條或多條(根據大數據量用戶單位數量確定)大數據量用戶到云計算中心的專線。綜上所述，中心的網絡接口如表2。表2中心網絡接口表網絡部分技術備注內部主干網1000M以太網五個功能區域互連電信運營商接入2000M二條線路，分別接入中國電信網、中國聯通。大數據量用戶接入光纖專線通過中國電信通過在中心核心交換機上的QoS設置，保證在中心內部網絡上為大數據量用戶單位分配1000M獨占帶寬。在系統試運行一段時間后可以根據綜合考慮以下因素來對互聯網接入帶寬加以調整：＞來自Internet的實際用戶量＞用戶的訪問響應速度＞出口的可靠性1.3.2互聯網接入路由器互聯網接入路由器，即邊界路由器，主要完成與Internet的高速互聯。作為云計算開放區網絡與公共IP骨干網絡的接口，互聯網連接層提供了平臺與公共IP網的橋梁，它的運行情況直接關系到整個云計算平臺為用戶所提供的服務質量，這就要求該層的設備必須具有以下的特點：＞高速的路由交換能力＞具備豐富的接口類型＞完善的QoS支持能力在互聯網連接層配置接入路由器，使用高速連接到IP骨干網，并以全冗余方式與核心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網絡核心。1.4功能接入網絡設計包括中心辦公子網、中心用戶服務子網。每個子網采用1臺2/3層接入交換機,通過千兆鏈路接入服務與管理區的核心交換機。各子網的交換機可采用高性價比工作組級交換機，具有強大的堆疊性能、環境適應能力、交換性能和QoS/ACL能力等，完全滿足用戶的接入要求。此外考慮到今后的升級能力，接入交換機需要能夠支持萬兆模塊，在今后需要時能夠平滑升級到萬兆骨干。辦公子網和用戶服務之間，以及這兩個子網對超級計算機房子網的訪問控制通過VLAN劃分和在核心交換機上配置訪問控制策略實現，基本策略應保證辦公子網和用戶服務子網對超級計算機房子網的訪問，辦公子網和用戶服務子網之間不能互相訪問。1.4.1辦公與用戶服務環境由5臺安全認證接入終端、1臺2/3層接入交換機組網，構成中心工作人員的辦公環境，通過千兆鏈路接入服務與管理區的核心交換機。中心工作人員通過辦公管理子網對超級計算機進行維護管理，利用Internet開展資料查詢、收發郵件、對外聯系等工作。1.4.2用戶服務環境通過CAE軟件界面交互式使用超級計算機是目前工業用戶使用超級計算機的一種主要方式，這種方式存在的一個主要問題是如果網絡因為延遲過大，或者丟包出現中斷，那么就意味著一次計算的失敗。為了解決以上問題，同時為用戶提供更加優質的超級計算體驗，在中心建立一個用戶服務環境，由12臺安全認證接入終端和1臺2/3層接入交換機組網而成，通過千兆鏈路接入服務與管理區的核心交換機。1.4.3用戶接入安全認證為了保證辦公管理子網和用戶服務子網所有終端的接入合法性，中心內部網絡將部署終端認證系統。認證系統由服務器和客戶端構成，終端認證系統服務器部署在網絡與安全管理區，每臺接入辦公管理子網和用戶服務子網的終端安裝終端認證系統客戶端。在終端接入網絡時，首先由認證系統客戶端向認證系統服務器發起用戶名和密碼認證，只有通過認證的合法終端才能接入中心內部網絡。1.5核心交換網絡設計主要包括1臺萬兆級核心交換機，以雙核心、雙鏈路、冗余互連的組網結構來實現負載均衡和提高可靠性的需求。核心交換機下聯根據不同的區域確定采用萬兆或千兆鏈路，其中超級計算機房、DMZ、用戶服務區使用萬兆鏈路、安全管理區與辦公區使用千兆鏈路。1.5.1核心交換設備核心交換機擬采用1臺高性能的交換機，具備良好的設備冗余機制及擴展能力，一方面要考慮設備本身硬件容錯的能力，另一方面要考慮今后網絡擴展的能力。如：交換機支持電源、引擎、風扇等重要部件的冗余、具備多個擴展插槽并良好支持安全模塊、10G等技術。超級計算資源層網絡設備通過其內部互連交換機使用一個萬兆端口上連至核心交換機上。1.5.2核心組網專線帶寬保證：在核心交換機上配置QoS服務，確保中心內部骨干網每條鏈路能夠為專線用戶提供1000M的獨占帶寬。支持硬件容錯的能力：交換機支持電源、引擎、風扇等重要部件的冗余、具備多個擴展插槽并良好支持安全模塊、10G等技術。1.6網絡地址規劃1.6.1VLAN規劃各個功能區域的服務器單獨劃分到一個網段中保證服務器的安全。根據功能區服務器、終端的功能和規模可以劃分若干個VLAN，可以把功能相近的設備群組劃分到同一VLAN，不同性質的設備劃分到不同VLAN中去。不同VLAN之間的流量必須經過核心交換機或者防火墻完成，并且可以通過核心交換機或防火墻上的ACL（訪問控制列表）來控制VLAN之間的訪問。每個VLAN配置一個IP地址網段，VLAN之間通過路由連通。1.6.2IP地址規劃和路由設計本網絡系統中，采用IPv4進行地址規劃。需要申請4或16個C類IP地址，用于云計算中心為互聯網提供服務的地址。中心開放區域統一分配地址，采用互聯網保留地址172.16-31或10.0，每個子網分配1個C類地址段，必要時采用地址轉換技術。超級計算機房部分可以配置靜態或動態路由協議，動態路由協議選用OSPF或EIGRP等路由協議。在互聯網出口上主要采用默認路由，一般來說Internet服務提供商不會與接入單位運行動態路由協議，因此在互聯網接入路由器上只需要一條默認路由指向ISP即可，ISP則通過靜態路由完成到外網接入部分的路由，多個ISP的靜態路由可交給帶負載均衡功能的防火墻設備來自動進行切換，保證網絡的可靠性。1.7網絡基礎設施系統需求（1）核心交換機表3核心交換機選型推薦品牌性能指標CISCO6509,H3CS9512，華為S8512，深圳風云S9808模塊化機箱交換機，插槽數±9槽配置的引擎的有效交換容量＞720GbpsIPv4三層包轉發率＞400Mpps，IPv6三層包轉發率＞200MppsMAC地址表＞64000所有端口缺省均支持MPLS功能，無需專門板卡實現，無需升級板卡可支持10/100/1000M千兆自適應以太網端口＞384個可支持1000M千兆以太網光纖端口＞384個可支持10GE以太網端口＞64個可支持防火墻模塊IPv4路由表＞256000條，Ipv6路由表＞128000條支持L3路由國際標準協議：RIP/RIP2，OSPF，IS-IS，BGP-4支持視頻組播協議IGMPv1/v2/v3,IGMPSnooping，PIMSparse/DenseMode，DVMRP，MBGP，MSDP，SSM以及雙向PIM支持交換引擎冗余；在配置冗余處理引擎的情況下，主處理引擎出現故障時可以在不到1秒的時間內自動地完成故障切換，并且交換容量、交換性能保持不變，即單引擎情況下系統交換性能不會減半支持虛擬路由冗余負載均衡協議HSRP或VRRP或GLBP支持在線軟件升級，支持模塊化軟件，增強系統穩定性，并便于維護、升級支持國際標準Radius/TACACS+/KERBEROS的AAA認證接入支持多級User/Password設置支持ARP過濾和限制技術，預防ARP欺騙攻擊支持DHCP偵聽以防止假冒的DHCPServer、DHCPRelay和動態ARP攔截以防止假冒的MAC地址推薦品牌性能指標硬件支持交換機控制層保護機制支持SNMPv1、v2c、v3網管協議支持對本機和遠端交換機的端口做流量鏡像(2)路由器表4路由器選型推薦品牌性能指標CISCO7609,H3CSR8812，華為NE40E-8配置的引擎的有效交換容量＞320Gbps三層包轉發率＞200MppsMAC地址表＞32000模塊化機箱交換機，插槽數＞6槽所有端口缺省均支持MPLS功能，無需專門板卡實現，無需升級板卡可支持10/100/1000M千兆自適應以太網端口＞192個可支持1000M千兆以太網光纖端口＞192個可支持10GE以太網端口＞32個IPv4路由表＞256000條，Ipv6路由表＞128000條支持L3路由國際標準協議：RIP/RIP2，OSPF，IS-IS，BGP-4支持視頻組播協議IGMPv1/v2/v3,IGMPSnooping，PIMSparse/DenseMode，DVMRP，MBGP，MSDP，SSM以及雙向PIM支持交換引擎冗余；在配置冗余處理引擎的情況下，主處理引擎出現故障時可以在不到1秒的時間內自動地完成故障切換，并且交換容量、交換性能保持不變，即單引擎情況下系統交換性能不

推薦品牌性能指標會減半支持虛擬路由冗余負載均衡協議HSRP或VRRP或GLBP支持在線軟件升級，支持模塊化軟件，增強系統穩定性，并便于維護、升級支持國際標準Radius/TACACS+/KERBEROS的AAA認證接入支持多級User/Password設置支持ARP過濾和限制技術，預防ARP欺騙攻擊支持DHCP偵聽以防止假冒的DHCPServer、DHCPRelay和動態ARP攔截以防止假冒的MAC地址硬件支持交換機控制層保護機制支持SNMPv1、v2c、v3網管協議支持對本機和遠端交換機的端口做流量鏡像(3)代理緩存表5代理緩存選型推薦品牌性能指標BluecoatSG,MicrosoftISA,CiscoCacheEngine設備功能和性能要求*支持各種文件格式HTML、RM、MOV、ASF、FLASH等內容的手動和自動分發具有自動更新CACHE內容的功能；提供PUSH和PULL的內容分發功能基于策略的內容分發功能，支持客戶定義策略支持對內容的優先級、更新頻率設定等內容管理功能提供對CACHE服務器中內容的監視和控制功能能按需求生成分發內容的訪問情況統計報告支持中心對CACHE中內容的集中式管理支持計費報表統計功能*能同時支持50個CACHE內容服務器的內容分發管理管理及其他要求*提供遠程管理功能和命令行管理方式提供基于WEB的管理界面提供基于SNMP協議的圖形化網管，包括設備管理、故障管理、告警管理等功能，并能與HPOPENVIEW等管理平臺集成基于硬件的內容分發管理控制器，提供機架式安裝，使設備易于使用、管理和維護，占用較小的設備機架空間支持電信級的電源及板卡冗余*設備性能穩定，可保證7天X24小時工作，設備可用率達到99.99%；設備支持的協議支持HTTP1.0/1.1,FTP,HTTPS、NNTP、RTSP/RTCP/RTP、MMS、PNA、NECP等協議*支持ICP(InternetCachingProtocol)協議，并提供成功應用方案支持LDAP,RADIUS等用戶認證管理協議*支持WCCPV1和V2協議設備支持的功能*支持透明緩存(TransparentCaching)和傳統代理緩存(ProxyCaching)等工作模式*支持CACHE的級連及逐級內容分發安全性上支持針對SSL/SSH的應用*應支持針對URL的過濾功能，能夠過濾掉特定站點的特定內容支持Wensense、SmartFilter等過濾機制支持動態過濾功能支持內容的主動動態刷新方式支持URLRewirte功能支持廣告插播功能支持Pipeline技術*支持L4重定向功能支持L3潞由器的策略路由重定向(PolicyRouting)支持DNS重定向，并提供成功應用方案支持REAL、WMT、QT等多種媒體服務器的用戶管理認證方式支持多個CACHE內容服務器的Cluster功能可高速緩存DNS項并提供方案支持傳統的CACHE功能，并同時支持Real，MicrosoftMedia，等主流的中低速流媒體格式內容的高速緩存，能提供對其他中低速流媒體的擴展支持，支持RealProxy功能支持智能流支持基于MPEG1/MPEG2/MPEG4標準的流緩存和代理服務，并提供成功應用方案支持流媒體應用的proxyrouting功能支持RealMicrosoftMedia等直播、點播系統的STREAMSPLITTING功能支持Real.MicrosoftMedia等多媒體流的MULTICAST與UNICAST之間的相互轉換與RELAY功能采用高效的內容命中率算法和措施并提供方案，使內容命中率＞70%單臺設備的服務性能支持并發用戶數＞=10000個*支持流服務能力〉=500M*支持http服務能力＞=300MCACHE內容響應時間＜=10毫秒設備擴展性及其他能力*緩存磁盤容量＞200G支