石美峰

(西山煤電(集團(tuán))有限責(zé)任公司 信息服務(wù)中心，山西 太原 030053)

1 西山煤電數(shù)據(jù)中心現(xiàn)狀

西山煤電集團(tuán)數(shù)據(jù)中心建設(shè)于2000年，承擔(dān)著西山煤電集團(tuán)辦公、安全生產(chǎn)、經(jīng)營(yíng)管理、互聯(lián)網(wǎng)等業(yè)務(wù)。但是隨著企業(yè)轉(zhuǎn)型升級(jí)戰(zhàn)略對(duì)信息化建設(shè)的要求，傳統(tǒng)的數(shù)據(jù)中心已不能滿(mǎn)足時(shí)代需求，需要向新型數(shù)據(jù)中心轉(zhuǎn)變。

改造前的數(shù)據(jù)中心主要功能區(qū)有網(wǎng)絡(luò)核心交換區(qū)、互聯(lián)網(wǎng)出口區(qū)、DMZ區(qū)、服務(wù)器區(qū)、網(wǎng)絡(luò)接入?yún)^(qū)。網(wǎng)絡(luò)安全設(shè)備主要部署在服務(wù)器區(qū)和互聯(lián)網(wǎng)出口區(qū)。核心交換區(qū)主要由兩臺(tái)12510-X核心交換機(jī)和一臺(tái)7508匯聚交換機(jī)組成；互聯(lián)網(wǎng)出口區(qū)主要由路由器、防火墻、負(fù)載均衡、行為管理、VPN等共6臺(tái)設(shè)備組成；服務(wù)器區(qū)包括華為一套虛擬化平臺(tái)、32T存儲(chǔ)、服務(wù)器90臺(tái)，接入交換機(jī)10臺(tái)，安全設(shè)備2臺(tái)；DMZ區(qū)包括服務(wù)器9臺(tái)，交換機(jī)1臺(tái)以及IPS1臺(tái)，主要承擔(dān)內(nèi)外網(wǎng)站、視頻直播、微信平臺(tái)等互聯(lián)網(wǎng)業(yè)務(wù)；網(wǎng)絡(luò)接入?yún)^(qū)包括公司內(nèi)部骨干光纜、二級(jí)單位光纜、電信、移動(dòng)、聯(lián)通接入光纜、光配線架、通信接入設(shè)備等。

數(shù)據(jù)中心作為集團(tuán)信息化基礎(chǔ)設(shè)施的重要部分，采用的網(wǎng)絡(luò)設(shè)備為盒式交換機(jī)，可靠性較低。隨著集團(tuán)業(yè)務(wù)規(guī)模的不斷擴(kuò)張，對(duì)網(wǎng)絡(luò)性能的要求越來(lái)越高，現(xiàn)網(wǎng)中設(shè)備已無(wú)法滿(mǎn)足后續(xù)擴(kuò)容及使用要求。

西山煤電集團(tuán)下轄九礦一廠，信息網(wǎng)絡(luò)是以集團(tuán)數(shù)據(jù)中心為核心的設(shè)備鏈路冗余的星型局域網(wǎng)絡(luò)。各廠礦通過(guò)2臺(tái)核心交換機(jī)與集團(tuán)數(shù)據(jù)中心機(jī)房的核心交換機(jī)雙路上聯(lián)，生產(chǎn)網(wǎng)和業(yè)務(wù)網(wǎng)共用核心，未作物理分離?，F(xiàn)有生產(chǎn)數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)混合傳輸，沒(méi)有形成獨(dú)立的生產(chǎn)網(wǎng)和業(yè)務(wù)網(wǎng)。網(wǎng)絡(luò)拓?fù)湟?jiàn)圖1.

信息網(wǎng)絡(luò)分為3層：核心層、匯聚層和接入層。核心層由兩臺(tái)H3C 12510-X核心交換機(jī)組成，與各礦的核心交換機(jī)相連。兩臺(tái)核心交換機(jī)互為冗余備份，作為整個(gè)網(wǎng)絡(luò)中心的核心交換平臺(tái)。核心交換機(jī)下連一臺(tái)H3C 7508交換機(jī)作為匯聚交換機(jī)，用于匯聚各機(jī)關(guān)處室和二級(jí)單位的交換機(jī)。接入層交換機(jī)分布在各單位，以H3C S3600和H3C 5120S交換機(jī)為主。

2 分離生產(chǎn)網(wǎng)和業(yè)務(wù)網(wǎng)

西山煤電集團(tuán)是大型國(guó)有煤礦，安全生產(chǎn)是面臨的首要問(wèn)題。生產(chǎn)網(wǎng)主要承載的是與安全生產(chǎn)相關(guān)的包括風(fēng)火水電、安全監(jiān)測(cè)、人員定位等系統(tǒng)的運(yùn)行，對(duì)安全性的要求非常高。但是由于現(xiàn)在的網(wǎng)絡(luò)沒(méi)有區(qū)分生產(chǎn)網(wǎng)和辦公網(wǎng)，生產(chǎn)數(shù)據(jù)與辦公數(shù)據(jù)在同一個(gè)網(wǎng)絡(luò)中混合傳輸，辦公網(wǎng)發(fā)生的病毒和入侵事件可能會(huì)傳播到生產(chǎn)網(wǎng)，給生產(chǎn)網(wǎng)安全帶來(lái)極大的威脅。

圖1 西山煤電原有網(wǎng)絡(luò)拓?fù)鋱D

為了提高網(wǎng)絡(luò)的安全性，此次升級(jí)優(yōu)化將構(gòu)建兩套獨(dú)立的網(wǎng)絡(luò)，一套生產(chǎn)網(wǎng)，一套業(yè)務(wù)網(wǎng)。改造后的拓?fù)鋱D見(jiàn)圖2.

圖2 改造后的網(wǎng)絡(luò)拓?fù)鋱D

生產(chǎn)網(wǎng)設(shè)置獨(dú)立的數(shù)據(jù)區(qū)，由兩臺(tái)核心交換機(jī)承擔(dān)整個(gè)生產(chǎn)網(wǎng)內(nèi)礦區(qū)與機(jī)關(guān)的核心數(shù)據(jù)交互。業(yè)務(wù)網(wǎng)采用雙路萬(wàn)兆光纜作為主干，即集團(tuán)數(shù)據(jù)中心內(nèi)布置兩臺(tái)核心交換，與下轄各礦區(qū)的業(yè)務(wù)網(wǎng)核心雙路連接。

數(shù)據(jù)中心設(shè)置單獨(dú)的兩臺(tái)核心交換機(jī)，與集團(tuán)業(yè)務(wù)網(wǎng)的核心交換機(jī)雙路萬(wàn)兆互聯(lián)。同時(shí)與災(zāi)備區(qū)核心交換、互聯(lián)網(wǎng)出口區(qū)核心交換雙路萬(wàn)兆連接。數(shù)據(jù)中心核心交換機(jī)同時(shí)與業(yè)務(wù)數(shù)據(jù)區(qū)核心交換、安全管理區(qū)核心交換以及生產(chǎn)網(wǎng)的核心交換雙路千兆互聯(lián)。業(yè)務(wù)數(shù)據(jù)區(qū)核心交換同時(shí)連接。

2.1 礦區(qū)生產(chǎn)網(wǎng)升級(jí)設(shè)計(jì)

2.1.1方案設(shè)計(jì)

在原有網(wǎng)絡(luò)的基礎(chǔ)上，將西山煤電集團(tuán)下轄的礦區(qū)原有的兩臺(tái)核心交換機(jī)作為獨(dú)立的業(yè)務(wù)網(wǎng)核心，與現(xiàn)有的數(shù)據(jù)中心業(yè)務(wù)網(wǎng)核心連接。每個(gè)礦區(qū)增加兩臺(tái)核心交換機(jī)，做為生產(chǎn)網(wǎng)的獨(dú)立核心。在礦區(qū)的生產(chǎn)網(wǎng)核心與業(yè)務(wù)網(wǎng)核心之間架設(shè)網(wǎng)閘，用于保護(hù)礦區(qū)生產(chǎn)網(wǎng)與業(yè)務(wù)網(wǎng)之間的訪問(wèn)安全，在生產(chǎn)網(wǎng)出口部署安全網(wǎng)關(guān)，用于保護(hù)集團(tuán)與礦區(qū)生產(chǎn)網(wǎng)之間的訪問(wèn)安全。礦端網(wǎng)絡(luò)改造拓?fù)鋱D見(jiàn)圖3.

圖3 礦端網(wǎng)絡(luò)改造拓?fù)鋱D

2.1.2新增設(shè)備

1) 礦區(qū)生產(chǎn)網(wǎng)新增核心交換機(jī)16臺(tái)。各礦區(qū)在生產(chǎn)網(wǎng)部署2臺(tái)核心交換機(jī)，選用H3CS5560X-30C-EI交換機(jī)產(chǎn)品。

2) 礦區(qū)業(yè)務(wù)生產(chǎn)增加安全隔離網(wǎng)閘16臺(tái)。網(wǎng)閘是將兩個(gè)網(wǎng)絡(luò)進(jìn)行有效物理隔斷和協(xié)議隔斷的主要技術(shù)手段，主要定位于在互聯(lián)條件下實(shí)現(xiàn)高級(jí)別的安全特性。根據(jù)數(shù)據(jù)中心建設(shè)情況，網(wǎng)閘設(shè)備在數(shù)據(jù)中心采用雙機(jī)熱備方式部署在生產(chǎn)區(qū)與辦公區(qū)之間，實(shí)現(xiàn)兩個(gè)區(qū)域之間的高度安全隔離，同時(shí)進(jìn)行必要的數(shù)據(jù)交換；在各礦區(qū)采用網(wǎng)閘部署在生產(chǎn)網(wǎng)與辦公網(wǎng)之間，進(jìn)行安全隔離與數(shù)據(jù)交換。

通過(guò)這種部署方式，可以為訪問(wèn)提供更高的安全性保障。安全隔離網(wǎng)閘通過(guò)“2+1”的高安全架構(gòu)實(shí)現(xiàn)了高度安全防護(hù)。其專(zhuān)有隔離交換模塊可實(shí)現(xiàn)基于硬件的安全隔離；兩個(gè)網(wǎng)絡(luò)之間沒(méi)有任何物理連接，沒(méi)有任何網(wǎng)絡(luò)協(xié)議可以直接穿透，可以實(shí)現(xiàn)“協(xié)議落地、內(nèi)容檢測(cè)”。該部署方式既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進(jìn)行了強(qiáng)制內(nèi)容檢測(cè)，實(shí)現(xiàn)最高級(jí)別的安全，有效的將兩網(wǎng)之間實(shí)現(xiàn)了安全隔離與業(yè)務(wù)數(shù)據(jù)安全、可靠的交換。

3) 礦區(qū)業(yè)務(wù)生產(chǎn)增加安全網(wǎng)關(guān)16臺(tái)。通過(guò)在集團(tuán)網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)執(zhí)行隔離和訪問(wèn)控制措施，將提升計(jì)算環(huán)境的安全性，有效防范非法的訪問(wèn)。采用安全網(wǎng)關(guān)實(shí)現(xiàn)基于數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、端口、流量、用戶(hù)、通信時(shí)間等信息，執(zhí)行嚴(yán)格的訪問(wèn)控制。

2.2 集團(tuán)數(shù)據(jù)中心生產(chǎn)區(qū)和業(yè)務(wù)區(qū)切分設(shè)計(jì)

2.2.1方案設(shè)計(jì)

在集團(tuán)數(shù)據(jù)中心內(nèi)增加兩臺(tái)核心交換，用于集團(tuán)生產(chǎn)區(qū)的核心數(shù)據(jù)交換處理。在集團(tuán)數(shù)據(jù)中心內(nèi)增加兩臺(tái)接入交換機(jī)，用于集團(tuán)生產(chǎn)區(qū)生產(chǎn)業(yè)務(wù)數(shù)據(jù)服務(wù)器的連接。在集團(tuán)數(shù)據(jù)中心的業(yè)務(wù)網(wǎng)與生產(chǎn)網(wǎng)核心之間架設(shè)網(wǎng)閘，用于保護(hù)集團(tuán)生產(chǎn)網(wǎng)與辦公網(wǎng)之間的訪問(wèn)安全。將集團(tuán)數(shù)據(jù)中心原有的服務(wù)器設(shè)備按生產(chǎn)和業(yè)務(wù)劃分明確，并布置在不同的物理區(qū)域內(nèi)。集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)改造拓?fù)鋱D見(jiàn)圖4.

圖4 集團(tuán)數(shù)據(jù)中心網(wǎng)絡(luò)改造拓?fù)鋱D

2.2.2新增設(shè)備

1) 集團(tuán)數(shù)據(jù)中心生產(chǎn)區(qū)新增核心交換機(jī)2臺(tái)。集團(tuán)新建生產(chǎn)區(qū)數(shù)據(jù)中心，采用2臺(tái)高性能核心交換機(jī)H3CS7506E.

2) 集團(tuán)數(shù)據(jù)中心生產(chǎn)區(qū)新增接入交換機(jī)2臺(tái)。集團(tuán)在生產(chǎn)網(wǎng)數(shù)據(jù)中心部署2臺(tái)接入交換機(jī)，選用H3CS5560X-54C-EI交換機(jī)產(chǎn)品。

3) 集團(tuán)數(shù)據(jù)中心業(yè)務(wù)生產(chǎn)新增安全隔離網(wǎng)閘2臺(tái)，集團(tuán)數(shù)據(jù)中心業(yè)務(wù)生產(chǎn)安全網(wǎng)關(guān)2套。

3 優(yōu)化數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)

集團(tuán)數(shù)據(jù)中心現(xiàn)有網(wǎng)絡(luò)是分布式控制的架構(gòu)，這種網(wǎng)絡(luò)架構(gòu)存在一定的局限性：流量路徑的靈活調(diào)整能力不足；網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)復(fù)雜，運(yùn)維難度較大；網(wǎng)絡(luò)新業(yè)務(wù)升級(jí)速度較慢。由于設(shè)備的控制面是封閉式的，且不同廠家設(shè)備實(shí)現(xiàn)機(jī)制也可能有所不同，所以一種新功能的部署可能會(huì)周期較長(zhǎng)；且如果需要對(duì)設(shè)備軟件進(jìn)行升級(jí)，還需要在每臺(tái)設(shè)備上進(jìn)行操作，降低了工作效率。

在對(duì)網(wǎng)絡(luò)進(jìn)行改造時(shí)，引入了軟件定義網(wǎng)絡(luò)(SDN)技術(shù)。SDN是一種軟件集中控制、網(wǎng)絡(luò)開(kāi)放的三層體系架構(gòu)，應(yīng)用層實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)業(yè)務(wù)的呈現(xiàn)和網(wǎng)絡(luò)模型的抽象；控制層實(shí)現(xiàn)網(wǎng)絡(luò)操作系統(tǒng)功能，集中管理網(wǎng)絡(luò)資源；轉(zhuǎn)發(fā)層實(shí)現(xiàn)分組交換功能。應(yīng)用層與控制層之間的北向接口是網(wǎng)絡(luò)開(kāi)放的核心，控制層的產(chǎn)生實(shí)現(xiàn)了控制面與轉(zhuǎn)發(fā)面的分離，是集中控制的基礎(chǔ)。

該次數(shù)據(jù)中心升級(jí)優(yōu)化采用ADDC方案進(jìn)行部署。ADDC方案是H3C在SDN理念和架構(gòu)實(shí)現(xiàn)的應(yīng)用驅(qū)動(dòng)下提出的數(shù)據(jù)中心解決方案。該方案可實(shí)現(xiàn)網(wǎng)絡(luò)和安全保護(hù)虛擬化，創(chuàng)建高效、敏捷且可延展的邏輯結(jié)構(gòu)，并滿(mǎn)足虛擬數(shù)據(jù)中心的性能和可擴(kuò)展性要求。ADDC采用安全服務(wù)鏈架構(gòu)，通過(guò)服務(wù)鏈，定義業(yè)務(wù)經(jīng)過(guò)不同的安全節(jié)點(diǎn)，為業(yè)務(wù)提供全面的安全防護(hù)。ADDC方案圖見(jiàn)圖5.

圖5 ADDC組網(wǎng)方案圖

3.1 方案設(shè)計(jì)

ADDC方案以O(shè)verlay技術(shù)為支撐，具有以下優(yōu)點(diǎn)：

1) 兼容第三方設(shè)備的全網(wǎng)絡(luò)虛擬化能力，構(gòu)建“一網(wǎng)一設(shè)備”的交換矩陣?；贗P網(wǎng)絡(luò)構(gòu)建Fabric，無(wú)特殊拓?fù)湎拗疲琁P可達(dá)即可；承載網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)分離；對(duì)現(xiàn)有網(wǎng)絡(luò)改動(dòng)較小，保護(hù)用戶(hù)現(xiàn)有投資。

2) 基于SDN架構(gòu)的高度自動(dòng)化運(yùn)維能力。

3) 控制器北向除提供RestfulAPI接口外，還提供JavaAPI，客戶(hù)或第三方可以在控制器上開(kāi)發(fā)JAVA應(yīng)用，實(shí)現(xiàn)各種網(wǎng)絡(luò)應(yīng)用。

4) 網(wǎng)絡(luò)配置一次成型，業(yè)務(wù)擴(kuò)容與變更無(wú)需改動(dòng)網(wǎng)絡(luò)，大幅度減少網(wǎng)絡(luò)運(yùn)維工作量。網(wǎng)絡(luò)簡(jiǎn)化、安全。虛擬網(wǎng)絡(luò)支持L2、L3等，無(wú)需運(yùn)行LAN協(xié)議，骨干網(wǎng)絡(luò)無(wú)需大量VLANTrunk.

5) 簡(jiǎn)化網(wǎng)絡(luò)IP地址的規(guī)劃，用于設(shè)備互連的IP網(wǎng)段和用于業(yè)務(wù)通信的IP網(wǎng)段互相不重疊。

6) 加快應(yīng)用部署速度，應(yīng)用可以在任意位置部署，配置好自己的IP地址即可實(shí)現(xiàn)通信，無(wú)需變更網(wǎng)絡(luò)，應(yīng)用部署速度從以周計(jì)縮短為以天計(jì)。

7) 轉(zhuǎn)發(fā)優(yōu)化和表項(xiàng)容量增大。消除了MAC表項(xiàng)學(xué)習(xí)泛濫，ARP等泛洪流量可達(dá)范圍可控。

3.2 新增設(shè)備

1) 數(shù)據(jù)中心業(yè)務(wù)區(qū)新增核心交換機(jī) 2 臺(tái)。集團(tuán)新建數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)，采用 2 臺(tái)高性能核心交換機(jī) S10508X-V. H3C S10500X 系列交換機(jī)產(chǎn)品是新華三技術(shù)有限公司面向云計(jì)算數(shù)據(jù)中心核心、下一代園區(qū)網(wǎng)核心和城域網(wǎng)匯聚而專(zhuān)門(mén)設(shè)計(jì)開(kāi)發(fā)的核心交換產(chǎn)品。

2) 數(shù)據(jù)中心業(yè)務(wù)區(qū)新增接入交換機(jī)2臺(tái)。在集團(tuán)數(shù)據(jù)中心新部署2臺(tái)業(yè)務(wù)服務(wù)器接入交換機(jī)H3C S6800-4C，實(shí)現(xiàn)對(duì)各業(yè)務(wù)資源服務(wù)器全線速千兆/萬(wàn)兆自適應(yīng)接入。H3C S6800系列交換機(jī)是H3C公司自主研發(fā)的數(shù)據(jù)中心級(jí)智慧以太網(wǎng)交換機(jī)產(chǎn)品。

3) 數(shù)據(jù)中心管理區(qū)新增接入交換機(jī)2臺(tái)。集團(tuán)在數(shù)據(jù)中心部署管理區(qū)，新采購(gòu)2臺(tái)接入交換機(jī)，選用H3C S5560X-30C-EI交換機(jī)產(chǎn)品。

4) 數(shù)據(jù)中心安全區(qū)新增接入交換機(jī)4臺(tái)。集團(tuán)在數(shù)據(jù)中心部署安全區(qū)，新采購(gòu)4臺(tái)接入交換機(jī)，選用H3C S5560X-30C-EI交換機(jī)產(chǎn)品。

4 結(jié) 語(yǔ)

西山煤電集團(tuán)數(shù)據(jù)中心升級(jí)優(yōu)化項(xiàng)目于2018年12月開(kāi)工，目前正在建設(shè)中。該項(xiàng)目對(duì)數(shù)據(jù)中心進(jìn)行結(jié)構(gòu)調(diào)整與優(yōu)化，優(yōu)化網(wǎng)絡(luò)性能，以進(jìn)一步提高數(shù)據(jù)中心的業(yè)務(wù)重載能力，并分離了生產(chǎn)網(wǎng)和辦公網(wǎng)，提高了數(shù)據(jù)安全性。項(xiàng)目完成后將建成適合時(shí)代發(fā)展的數(shù)據(jù)中心，提升企業(yè)信息化水平，支撐和驅(qū)動(dòng)企業(yè)發(fā)展。