目前,浙江省人力社保信息系统业务应用和数据存储正从分散部署逐步走向大集中,省级数据中心作为浙江省人力社保数据存储、网络传输和数据计算的中心,基础网络及安全建设,是提升网络性能和可靠性,确保网络信息安全的保障,对于数据中心充分利用设备资源,促进信息系统有效整合,信息资源共享共用也至关重要。
数据中心基础网络设计
网络是连接数据中心所有资源的唯一通用实体,构建坚实的网络基础设施将为数据中心业务运行、管理与运维提供保障。浙江省人力社保数据中心采用同城双数据中心架构,之间配置4台CWDM设备,用裸光纤通过CWDM链路复用技术实现IP网络和SAN网络的互联互通。每一对裸光纤复用出4路1GB链路用于IP网络连接,4路2GB链路用于SAN网络连接,并将两对裸光纤复用的光纤通道进行捆绑,以提高互联链路可靠性。数据中心按照分区、分层、分级、高可用的建设原则,用于提升系统平台和业务数据集中运营的抗风险能力。
分区建设:良好的逻辑分区设计与安全域划分是数据中心网络的必备基础,根据业务系统的相关性、数据流的访问要求和系统安全控制的要求等,把数据中心基础网络分成内网区、外联区和互联网区,每个区有自己的核心交换、服务器、安全边界设备等,之间做好严格地逐级访问控制。
分层建设:建立核心、汇聚、接人三层网络,形成完整的网络架构体系,为以后数据中心资源“池化”打好坚实的网络基础;两个数据中心各部署两台高性能的H3C 12508交换机构建网络核心层,实现各功能区域间的高速数据交换能力和突发流量适应能力;每一中心采用4台H3C 7506E交换机作为汇聚层,采用虚拟化技术以及跨设备的链路聚合技术,在保障冗余性的同时合理规避环路可能带来的影响,提供大密度GE/10GE端口实现与接入层互联,并部署各类安全、应用优化业务,如在交换机上集成防火墙、负载均衡板卡等;接入层采用H3C 5800系列,支持高密度千兆接入、万兆接入,支持堆叠,有较好扩展和上行双链路冗余能力。
分级建设:在网络上实现三级的服务器应用访问架构,Web层、应用层和数据层之间通过交换网络的互连,层层的安全保护,形成结构清晰的易于部署的服务器接入架构。
高可用性建设:双中心通过良好的整体规划设计,实现汇聚层、接入层和服务器接入的高可用性。具体来说汇聚交换设备之间采用VRRP,而安全、应用优化设备之间的VRRP,则旁挂到汇聚交换机上,尽量消除性能瓶颈。接入到汇聚层采用三角型接法,VLAN跨汇聚层交换机,链路冗余,故障收敛时间短,并采用IRF技术,实现分布式设备管理、分布式路由和跨设备链路聚合。服务器用两块甚至多网卡捆绑,采用多链路上行接入。另外,在设备及链路层面建设时考虑了以下因素:硬件设备冗余;物理链路冗余;二层路径冗余;三层路径冗余;快速故障检测技术;不间断转发技术。
数据中心网络安全体系设计
浙江省人力社保数据中心承载着浙江省人力社保核心业务系统和数据,同时与地税、公安、银行、医院等部门有业务交互和数据交换,因此数据中心的网络安全必须与业务系统实现融合,并且能够平滑的部署在网络中。浙江省人力社保数据中心的网络安全建设中的主要思想之一就是层次化的分级安全,把安全分成多个等级,划分不同的安全域,这与数据中心对安全的内在要求是相辅相成的。
数据中心在内网、外网、外联网等网络边界部署防火墙,用于对服务器访问的端口安全控制;在各个网络区域的访问接入处分别部署入侵防御系统,用来防御来自应用层的攻击,实现对网络应用、网络基础设施和网络性能的全面保护;通过网闸确保内网与外网网络隔离,同时实现数据的安全交换;在内、外网分别部署网络防病毒系统,保护全网的服务器和用户终端;制定一系列的安全管理策略,包括访问控制策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略、补丁管理策略等等。
具体来说,就是按照业务类型分为不同的逻辑区域,每个分区制定不同的安全策略和信任模型。从实际部署来看,又分为:边界访问控制、深度智能防御和智能安全管理。
边界控制是最基本的要求,用于控制各类用户对数据中心的访问。为此,在汇聚交换机上部署H3C SecBlade II万兆防火墙实现多业务集成,数据交互通过背板直接进行,具有高性能和高可靠的双重优势,避免交换机在线部署的性能瓶颈和单点故障;与防火墙旁挂部署方式相比,又具有配置策略简单、不改变数据转发路径、流量转发过程清晰、部署维护简单等渚多优点。
深度智能防御中,针对数据中心的各类DDoS攻击、木马、黑客入侵层出不穷,IPS部署在网络的关键路径上,通过对流经该关键路径上的网络数据流进行2到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,从而可为客户网络提供三大保护功能:保护网络应用、保护网络基础设施、保护网络性能。
在智能安全管理领域,部署H3C SecCenter管理主流厂家的安全与网络产品、流量与攻击的实时监控、海量事件关联和威胁分析、安全审计分析与追踪溯源。数据中心除了大量的网络设备在运行外,更多是各类服务器、操作系统之间的业务交互,海量的告警、监控、SNMP、WMI等消息不断的在网络中传播,必须要对这些安全事件、网络事件、系统事件、应用事件进行统一的收集和管理,并通过智能化的分析把原始数据转换、筛选为智能安全的有效信息。
数据中心网络智能及虚拟化
配置F5、H3C SecBlade LB等网络链路和应用负载均衡设备,解决服务器任务调度和资源占用不均衡的状况,提高业务系统的整体性能。通过对各种应用进行识别和区分,并对服务器、防火墙进行健康检测和性能检测,采用自适应智能算法将各种网络及应用访问请求均衡分发至不同设备上,极大地提高了应用访问速度。另外,随着业务的持续发展、系统的更新升级、设备的不断增多,数据中心面临着资源分配与业务发展无法完美匹配的难题。在数据中心基础网络及安全建设中,采用虚拟化技术,将不同的业务隔离开来,彼此不能互访,从而保证业务的安全需求,也可将不同业务的资源隔离开来,从而保证业务对于数据中心资源的需求。具体来说,核心、汇聚交换机可采用虚拟化以及跨设备的链路聚合技术,防火墙可采用虚拟化功能集成或旁挂在汇聚交换机上,配合网络虚拟化完成数据中心资源的虚拟化等。
总结起来,浙江省人力社保数据中心基础网络建设具有以下特点:双中心三层网络架构,实现各功能区域间的高速数据转发;故障收敛时间短,系统运行可靠,业务持续性强;各区域问安全关系明确,各自安全实施,不会影响其它区域;根据不同区域和层次功能按需建设,业务部署灵活,可以非常方便的增加新业务区,而不改变原有的网络结构;网络结构清晰,便于日常运维和问题定位。这些为数据中心业务应用和数据存储提供了坚实的基础。
作者:朱国耀 来源:中国信息化 2012年15期