华为数据中心解决方案0330-4

华为数据中心集成专业服务
Way to Profit 华为公司数据中心集成解决方案
2006年2月
>0
数据中心的发展趋势 数据中心的发展趋势 SDC基础架构设计 汇报提纲 SDC的应用和增值业务探讨 华为公司数据中心资质与建设案例
Huawei Confidential
1
1

用户需求趋势
u u u
用户需求的提升：从“网络的连通性”向“网络满足生活”转变----网络成为社会形态和生活模式； 用户价值趋势：用户价值分裂成基于网络的价值和基于内容的价值；基于网络的价值呈下降趋势； 运营趋势：尽力获得内容方面和ICT方面收益，成为运营商保持增长的关键；业务运营成为主角，从“网络资源运 营”向“信息服务和流程服务”提供商转变，网络成为幕后支持；利用业务捆绑和资费套餐，设计面向细分用户 的ARPU，增强用户黏性，降低简单月租的风险
用户需求和体验
业务运营模式
Cruise 服务
旅游服务
Flight 服务
Car 租用
娱乐服务
商场服务
典型的服务商代表 透明的网络承载
Office User Huawei Confidential
Home User
On the move
2
用户需求的变化
个人用户需求的变化：
? ? ? 向多媒体、移动化、个性化方向 发展 “My”式自助管理模式，用户体 验经济形成 信息服务“时尚化”，贴近生活成 为用户最关注的服务。“超女”， “Google earth”现象
百万用户对百万业务应用
商业用户需求的变化：
? 内容和流程的数字化，促进了电 信行业和其他产业（如媒体、教 育、娱乐、零售业、制造业等） 的结合 需求趋向多媒体信息综合化，IT 与CT融合的企业UC应用 中小企业需要投入少、技术门槛 低、维护成本低的解决方案
3
? ?
Huawei Confidential
2

电信产业发展趋势
u
发展趋势：运营商向三个方向扩展业务： a、通讯服务：向多媒体、移动化、个性化方向发展； b、内容服务：运营商抓住产业间融合的趋势，面向消费者用户向内容服务扩展； c、ICT服务：抓住信息化兴起的机会，面向商业用户，向IT服务领域扩张；
IT业务 内容/ TV / 视频 新业务 管理服务 非相关业务
内容服务 家庭网络 (Consumer $$) 宽带 FMC WiFi
新区域市场 (Business $$)
ICT服务
现有业务
升级产品销售 及交互销售
人口分区
通信服务
批发
（低成本、多媒体、标准化） 中小企业和跨国公司
增加市场份额
From Ovum
Huawei Confidential
现有客户
新客户 4
电信业务发展需要SDC
电信业务不断融合，需要数据中心承载的业务越来越多样化：
托管/出租类业务
l 主机出租、虚拟主机 l 空间出租/VIP机房出租 l 安全、VPN出租 l 应用出租(ASP) l ……
多业务运营平台 ?? 多业务运营平台 ? 为3G、视频业务作准备 ? 为3G、视频业务作准备 固化大客户，提高大客户忠诚度 ?? 固化大客户，提高大客户忠诚度
电信增值业务
l CP/SP合作伙伴管理 l 移动流媒体业务 l 3G/NGN数据增值业务 l 企业信息化业务（ICT） l ……
SDC（综合业务数据中心）
注：ICT－－Information and Communication Technology
Huawei Confidential
5
3

全业务融合－－业务向数据中心汇聚
?? ?? ?? ?? ?? IT与CT的融合à ICT IT与CT的融合à ICT 固定与移动的融合à FMC 固定与移动的融合à FMC Voice, Video, Data的融合à Voice, Video, Data的融合à NGN/IMS NGN/IMS 服务与咨询的融合 服务与咨询的融合 电信运营商的转型是商业模式 电信运营商的转型是商业模式 的变化，从“网络资源运营” 向 的变化，从“网络资源运营” 向 “综合业务与内容服务运营”转 “综合业务与内容服务运营”转 变 变
?? ?? ?? ??
通信业务特性化，业务向内 通信业务特性化，业务向内 容、应用转变 容、应用转变 硬件标准化，通用化，电信服 硬件标准化，通用化，电信服 务器概念形成 务器概念形成 通信网络/业务IP化，All Over 通信网络/业务IP化，All Over IP IP 全业务融合后，价值链资源整 全业务融合后，价值链资源整 合，战略合作伙伴结盟成为运 合，战略合作伙伴结盟成为运 营成败关键，关注共赢的价值 营成败关键，关注共赢的价值 链经营。 链经营。
数据 可管理性 中心数据中心 成为成为全业 安全性 全业务电信网 务电核心 信网 可靠性 核心
Huawei Confidential
6
SDC与传统IDC的区别
特点
支持的业务类型不同
SDC （综合业务数据中心）
支持NGN、3G增值数据业务，支持 IPTV、VOD等视频业务，支持主机托管 等传统IDC业务 不同的业务系统需要不同的网络设备和 安全设备来满足其业务对于服务质量、 网络安全的需求 不同的业务系统需要不同的网络设备和 安全设备来满足其业务对于服务质量、 网络安全的需求 大量增值业务需要与很多外部系统进行 对接，如银行、证券公司、运营商增值 业务平台等进行对接，对于安全管理提 出了很大挑战
传统IDC
支持主机托管等传统 IDC业务 网络构架单一
网络平台结构不同
QoS、安全能力不同
只是WEB、游戏等应 用，对于QoS要求比较 低 只是WEB、游戏等应 用，与其他系统的对接 比较少
外围接口不同
Huawei Confidential
7
4

华为数据中心模型
综合业务数据中心 （SDC：Service Data Center）
数据中心
用 户 侧 接 口
企业数据中心
Huawei Confidential
网 络 侧 接 口
（EDC：Enterprise Data Center）
8
数据中心的发展趋势 SDC基础架构设计 SDC基础架构设计
?数据中心网络解决方案 ?数据中心安全解决方案 ?数据中心管理系统解决方案
SDC的应用和增值业务探讨 华为公司数据中心资质与建设案例
Huawei Confidential
9
5

电信级数据中心整体规划建议
Internet
路由器 IDS/IPS 安全网关 多层交换机 传统IDC区域 基本业务 增值业务 大客户DC托管 防病毒网关 增值区域 （CP、SP区域） IDS/IPS 安全网关 多层交换机 NGN/3G业务系统区域 视频业务区域 （运营商业务系统） （IPTV VOD业务区）
H.323/H.248/MGCP/SIP协议
CN2
路由器
DCN
SDC
VPN增 值业务 内容提供商服务器 Parlay Gateway IPTV系统
EDC
业务控制网关
维护管理区 远程接入
Huawei Confidential
安全管理中心 （SOC） VPN接入 VPN接入
集中存储区 网管DCN接口 计费DCN接口
客户工作区 银行接口 10
高端路由设备
高端路由设备 NE80E
SDC网络拓扑图
FW L4
IDS
FW L4
FW L4
IDS
FW L4
SSL 5XS3552G 4XS3552G 1XS8505
SSL 1XS8505
NE40-8 6XS3552G
SP服务器
基本业务区
KVM交换机 3XS2403H
增值业务区
…
免疫网络 KVM认证服务器 MA5200F FW 图例：
GE FE SAN网络 用户VPN网络 网管VPN网络 KVM控制流 Confidential
S6503 存储备份系统
FW FW FW
FW
FW
S3526C
NE40-2 DCN计费 银行
NE40-2
2XS3552G
1XS2403H
Huawei
客户监控区
综合接入区
后台管理区
网管监控区 堡垒主机
11
6

IDC区域的四个平台
Internet CN2
基本业务平台
VPN增值业务平台
大客户DC托管平台
增值业务平台
Huawei Confidential
12
VPN增值平台
u u u u
MPLS VPN服务 IPSec VPN服务 DVPN服务 ……
Internet
MPLS Backbone MPLS
NE80 MPLS VPN AR46 总部
Internet
PPPoE AR18 分支机构A
DVPN Firewall with NAT PE AR28 分支机构B Access AR46
PE,NE40/80
DVPN Server CE
1、实现可运营的VPN服务，解决VPN配置维护复杂的问题 2、解决动态IP地址实现VPN业务的问题 3、解决VPN 穿越NAT的问题 4、解决HUB-SPOKE结构的HUB节点负载严重的问题
DVPN 管理系统
Huawei Confidential
VPN增值业务平台
13
7

大客户DC托管业务平台
u u u u 国外公司数据中心(DC)托管 国内大客户数据中心托管 游戏中心（GDC）托管 ……
Internet
AR28
CN2 MPLS
NE5000E AR46
分支机构B
VIP DC 向Internet and MPLS Backbone发布其业务
总部
S8512
PE
PE,NE40/80
L3 FW
接入L3
AR46
CE & DVPN Server
FW L2
大客户DC托管平台
Huawei Confidential
DVPN管理区
VPN增值业务平台
14
通过VPN业务平台，大客户的总部和分支结构可以访问其VIP DC中服务器
全业务运营数据中心路由化是大势所趋
?运营数据中心与企业级数据中心流量 行为不同 ?全业务运营，VPN/NGN等业务QoS 要求高
Internet
CN2
?电信数据中心服务器数量巨大，单个 机房就达数百台服务器，如果采用企业 级数据中心设计方法，将会导致： ? 安全隐患：
?二层网络（汇聚层交换机以下）范围 过大，容易造成广播风暴； ? 核心汇聚设备数据需要频繁更改，严 重影响整网的稳定性能；
? 影响性能：
?所有用户都在核心汇聚层上终结，增 加核心汇聚层交换机负载，影响性能；
Huawei Confidential
15
8

可运营的增值业务区域
可运营的增值业务平台 Internet 1. 增值设备Active/Active HA组网 2. 良好的业务扩展性 3. 各种业务可以灵活组合 NE5000E 4. 业务可管理性好 5. … … 组合灵活的增值业务
u u u u u u u 防火墙增值业务 防火墙＋SSL加速增值业务 防火墙＋SSL加速＋应用安 全增值业务 防火墙＋Cache增值业务 防火墙＋负载均衡增值业务 防火墙＋负载均衡＋Cache 增值业务 ……
CN2
NE5000E
S8512
S8512
FW LB
FW L3 Cache
语言 = 中文
设备均为备份
SSL 加速器
语言 = 英语
L2
增值业务平台
Huawei Confidential
增值业务平台
16
SDC异地备份或容灾业务
----采用 SDH/DWDM传输数据，适合于 VIP客户
客户企业数据中心
运营商SDC
金融证券数据中心
OSN3500
SDH
FC FICON ESCON
客户1容灾托管区
财政局数据中心
FC FICON ESCON
客户2容灾托管区
Metro6100/ 6040 企业数据中心
DWDM
客户3容灾托管区
? 适合于各种高端客户的存储业务，如证券公司，政府，银行等 ? 可以满足各种容灾技术实现的要求
Huawei Confidential
17
9

Internet网络连接模块
Internet
省网骨干
汇接1 汇接2
Internet接入层
NE80E
NE80E
n Internet网络接入层设备选择 网络接入层路由器采用2台高端路由器，采用业界高性能网络处理器 技术，基于分布式硬件处理，支持10G POS口、IPV6。
Huawei Confidential
18
业务接入模块
E1000 NE40-8 S8505
NIP1000
E1000 NE40-8
NIP1000
S3552G
S3552G
SP服务器 基本业务区 增值业务区
DNS Mail DB 自有业务区
n 全路由模式，提高整网安全性和Qos能力 n 增值业务区，自有业务区部署高性能防火墙Eudemon1000 n 增值业务区，自有业务区部署F5高性能负载均衡器和SSL加速器
Huawei Confidential
19
10

后台管理模块
Core Router Core Router
Front-end Network
自有业务区
KVM Zone
R
Auth. Server
KVM Switch 控制网络 维护网络
业务运营 管理系统 Back-end Management Module
业务控制网关
集中运营平台（COP）
Firewall
Firewall
Remote Access
PSTN PSTN
VPN 网关 VPN 接入区 网管监控区
Huawei Confidential
20
数据中心的发展趋势 SDC基础架构设计 SDC基础架构设计
?数据中心网络解决方案 ?数据中心安全解决方案 ?数据中心管理系统解决方案
SDC的应用和增值业务探讨 华为公司数据中心资质与建设案例
Huawei Confidential
21
11

Internet
汇接1 NE80E 汇接2 NE80E
数据中心安全问题
数据中心网 络的存活性
E1000 NE40-8 S8505 NIP1000 E1000 NE40-8 S3552G NIP1000 E500
S3552G
服务器和应用 安全
NIP1000 S3552G
SP服务器 基本业务区 VPN防火墙 S3552G E500 增值业务区
DNS Mail DB 自有业务区
防病毒 漏洞扫描 网管 后台管理区
数据安全
DCN/网管 NE40-8 免疫网络 KVM网络 存储备份系统 大客户 综合接入区 网管监控区 COP网络 E500
Huawei Confidential
22
数据中心安全解决方案
基础构架的安全性解决方案：
1. 网络结构模块化 2. 业务网络、后台管理网络的双平面设计 3. 防火墙双主动模式的高可靠性(HA)设计 4. 关键设备的关键部件冗余设计 5. 优化后的动态路由保护，华为专有的快速重路由技术 6. 广播流量范围的控制，汇聚层与接入层之间的路由化设计 7. 网络设备的安全加固
8. … …
Huawei Confidential
23
12

数据中心安全解决方案－双平面设计
l 设备可靠性 l 链路可靠性 网络核心层
A平面 B平面 -
网络汇聚层
Huawei Confidential
24
数据中心安全解决方案－防火墙双主动
Active / Passive HA
100% traffic through A, but B Standby Untrust Zone
Active / Active HA
50% traffic through A and B Untrust Zone
A
B
A
B
Trust Zone
Trust Zone
双主动模式(Active/Active) HA vs 主动/被动模式(Active/Passive) HA : 双主动模式(Active/Active) HA解决方案使整个系统潜在带宽加倍,并使处理能 力和抗攻击能力倍增。第二台主动设备也保证两台设备都具有网络连接功能。
Huawei Confidential
25
13

数据中心安全解决方案－ IDS部署方案
NE80E NE80E
E1000 NE40-8
IDS1
E1000 NE40-8
IDS2
E500 S3552G
IDS3 S3552G
SP服务器 增值业务区
DNS 移动自有业务区
IDS管理台 漏洞扫描 网管 后台管理区
Huawei Confidential
26
数据中心安全解决方案－快速恢复
网络的快速恢复能力：
1. 业务网络与后台管理网络的分离设计，后台网络为 私有地址，更安全； 2. 集中业务COP服务平台，提供更好的安全； 3. 提供本地，VPN接入方式进行维护操作，确保任何 情况下都可以快速恢复网络； 4. … …
Huawei Confidential
27
14

数据中心安全解决方案－安全的维护通道设计
? 客户的维护工程师, CTO, 等 ? 运营商的维护工程师, 市场分 析人员，销售员，CEO, 等
OTP: Once Time Password SSL: Secure Sockets Layer UCL: User-based Control List
SDC Local VPN
PSTN Internet
SSL Encrypted
Internet
业务通道
SSO: Single Sign On, Sign on once and access all the permitted service
防火墙
OTP
集中运营平台（COP）
SSO & Rolebased View 控制通道 存储通道
应用资源, 如 SLA, NMS, BSM, 控制系 统, 流量行为分析系统等
Storage network
CP server
访问 审计
UCL: Access Control based User Name 打开维护通道
维护通道
其他业务区域
业务区之间可控 的安全内部通道 业务控制网关
28
更新内容, 如上传软件
Huawei Confidential
服务器和应用的安全防护解决方案
服务器和应用的安全防护解决方案：
1. 防病毒系统的部署 2. 接入层部署IPS等应用层安全产品 3. 给服务器部署基于主机的IDS和防火墙 4. 业务控制网关Ma5200F基于用户名的安全访问控制，访问的安全日志与 审计 5. VLAN隔离、VLAN内的二层隔离技术 6. SP维护终端之间的隔离 7. 定期漏洞扫描，新进服务器的预处理 8. ……
Huawei Confidential
29
15

服务器与应用安全－防病毒部署解决方案
NE80E NE80E
E1000 NE40-8 S8505
E1000 NE40-8
E500 S3552G
SeverProtect
S3552G
Scanmail Emanager
TMCM
SP服务器 基本业务区 VPN防火墙 S3552G 增值业务区
DNS 移动自有业务区
防病毒 漏洞扫描 网管 后台管理区
OfficeScan
免疫网络 KVM网络 存储备份系统
DCN/网管 大客户
OfficeScan
NE40-8 E500 综合接入区 网管监控区 COP网络
Huawei Confidential
30
服务器与应用安全－终端安全系统应用模型
身份认证
接入网络 合法用户
安全检查
合格者 公司网络
非法用户 拒绝入网
不合格者 进入修复区域
修复区
Huawei Confidential
31
16

服务器与应用安全－漏洞扫描系统
?漏洞扫描引擎部署在后台管理区中服务器上 ?控制台（Console)安装在网管监控区终端上
Huawei Confidential
32
数据安全主要挑战
Gartner Group, 2003
5 00 00 4 50 00 4 00 00 3 50 00 3 00 00 2 50 00 2 00 00 1 50 00 1 00 00 50 00 0
1 、数据量激增。系统稳定 性、可靠性压力陡增
电信业务量 关键数据量
2、数据成为业务安全持续稳定 运行的核心。数据损坏和丢 失带来的后果难以承受
2 00 2
20 03
20 04
20 05
3 、数据安全很难得到保证。 传统的技术手段和管理手段 都难有效保证
Huawei Confidential
33
17

数据安全解决方案－集中存储
可基本防范以下灾难/风险
软件bug 误操作 内存漏洞
逻辑错误
病毒 数据毁坏 CPU 故障
接口卡 网络 软件
硬件故障
硬盘故障 阵列故障
? 基于华为ISC数据 安全架构1+1+1的 数据中心设计 ? 模块化结构设计 ? 面向应用的分级存 储设计 ? 面向应用的数据持 续保护设计 ? 面向应用的业务连 续性保证
龙卷风
战争 停电 恐怖袭击
站点失效
飓风 地震
Huawei Confidential
34
数据安全解决方案－理想数据中心结构
主中心
站点镜像
Replication IP Plane
容灾中心
MPLS Plane
Backup
FC Plane (DWDM/SDH)
Backup
数据备份中心
? 站点间HA ? 站点内HA
Huawei Confidential
35
18

数据中心的发展趋势 SDC基础架构设计 SDC基础架构设计
?数据中心网络解决方案 ?数据中心安全解决方案 ?数据中心管理系统解决方案
SDC的应用和增值业务探讨 华为公司数据中心资质与建设案例
Huawei Confidential
36
集中运营管理平台COP－简介
COP 平 台 接 入 软 件 基于服 务器的计算 技术 (Server-based
Computing),将应用逻辑从用户界面中分离出来，保证应用软件在
服务器端100%的运行和计算，通过特有的网络协议将用户界面以 及键盘、鼠标动作和屏幕更新信息，通过标准协议进行传递。
客户端用户只与应用程序“界面” 打交道！
Huawei Confidential
37
19

集中运营管理平台COP－基于服务器的计算模式
应用的交互界面 在客户端显示 (支持非Windows客户端）
应用程序的客户端安装和运行 都在COP服务器端
网络只传递通过 COP平台接入软件处理后的屏幕刷新 COP平台接入软件处理后的屏幕刷新 和键盘敲击及鼠标移动信息
Huawei Confidential
38
集中运营管理平台COP－在IDC中的应用
User Layer（用户层）
运维部 维护操作 互联网部. 运维分析 市场经营部 市场分析 大客户部 业务分析 计划建设部. 安全分析 普通客户 维护操作 VIP客户 业务操作 SLA监控
Application Presentation Layer（应用呈现层）
集中管理平台Centralized Operation Platform (COP)
Application Resource Layer （应用资源层）
控制网络 网络管理 业务管理 流量行为分析 存储管理 SLA 监控管理
Network Layer（数据中心网络层）
Maintenance zone Customer operation zone Huawei Confidential Service control gateway Server
Internet MPLS Backbone 39
switch
router
GSR
20