现代网络中心机房规划与设计

彭　嘉

(福州市建筑设计院　福建福州　350011)



现代网络中心机房规划与设计

彭嘉

(福州市建筑设计院福建福州350011)

详细论述了市设计院网络中心机房建设的过程。并以此项目为例，从机房物理环境、电气、消防、空调新风、网络拓扑和综合布线等各方面进行综合论述，重点讨论了采用虚拟化技术前后所消耗的资源对比，体现虚拟化技术的优越性。

中心机房；网络拓扑；综合布线；规划设计；虚拟化

0　引言

近年来随着“云计算”的概念不断地普及发展，互联网技术进入了空前的黄金发展时期。越来越多的单位建立了自己的网络，而作为承载网络的中心机房的建设则是其中的一个重要环节。网络中心机房的设计和施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行，能否保证各类信息通信畅通的关键。

本项目是对原旧机房的一次彻底改造，分阶段逐步进行，最终目的是建设一个具有先进技术的现代网络中心机房。此项目建设坚持以实用性兼容性为主，以安全可靠、易扩展、易管理为辅的原则，既兼顾先进性，也为未来扩展留有一定的冗余。本项目从机房物理环境、电气、消防、空调新风、网络拓扑和综合布线、网络安全验证机制、设备虚拟化等各方面进行综合考虑，进行策略性选择。

1　物理环境设计

本项目主要由一栋6层办公楼及另外一栋3层小楼组成，出于防雷防潮考虑，我们将网络中心机房设计在办公楼的三层。机房占地约80m2，层高3m，铺设150mm高度全钢防静电地板，从源头上杜绝静电。地板下的空间可以敷设线槽用以走线。四面墙体使用吸音防火材料，并粉刷防尘漆，从而达到消噪防尘目的。中心机房主要分“主要设备区、工作区和配电区”3个部分，区与区之间使用钢化玻璃墙分割开，既能防止强电弱电之间相互干扰，又能保证充足的光线照明。

2　电气环境设计

作为7*24h全天候工作的中心机房，一旦断电会产生诸如数据丢失、设备损坏等严重后果，影响院里正常的生产工作。因此，供电系统的设计是重中之重，应该考虑采用双路供电设计的供电系统。平时使用三相市电供电，停电时则迅速切换为UPS供电。UPS设备则采用山特在线式UPS加上松下电池柜，装机容量为50kW，保证至少4h的延时供电，在满足机房需求的同时也为将来的设备扩展留有余量。如果场地和经费方面比较紧张的话，建议中心机房使用普遍的联合接地方案，将“保护接地、工作接地和防雷接地”统一接入一个共同的接地系统。另外，在配电箱里为每一路供电电路加装防雷模块，以防止因雷击造成设备损坏。

此外，为了防止UPS设备出现意外的损坏，则可利用UPS设备上自带的RS232接口，扩展一张SNMP卡，使用SNMP协议通过局域网将监控数据实时地传送到管理服务器上(图1)。监控主机可以通过TCP/IP网络监控UPS的所有工作状态，且当任何一台UPS有故障时，都会通过管理软件、E-mail等组合形式发出告警，提醒维护人员迅速及时地解决故障[1]。此方案具有先进的管理性及智能化，可彻底解决电池无法充电，旁路运行状态等不易发现的问题。

3　空调新风设计

为了保证中心机房的设备能够持续稳定可靠地运行，必须维持机房里恒湿恒温的状态，并控制机房里的空气含尘量。经过多轮筛选，最终采用了湿腾HST-15精密空调来解决这个问题。该空调具有送风、回风、加热、加湿、减湿、空气净化的能力，完全满足机房的需要。

此外，机房中的机柜摆放也有讲究，最佳的方式则是将机柜以面对面背靠背的方式进行摆放，使冷气通道和热气通道分隔开，提高空调制冷率，以达到最佳的节能环保效果。

为了给机房工作人员创造良好的工作环境，在使用精密空调精确保证温湿度的同时，还辅以新风换气系统[2]，主要设备是使用松下FV-02NJP1C的新风换气机。该机器既可以在空调运行时自动关闭风阀以保证冷气不被流失，也可以在空调停用的情况下运行节能模式，给机房提供足够的新鲜空气，维持机房对外的正压差，避免灰尘进入，保证机房里能有更好的洁净度(图2)。

4　网络拓扑和综合布线

网络拓扑和综合布线是中心机房建设的核心内容。为了方便统一管理，可以将所有的网络设备集中到中心机房的网络柜中，并加装配线架，网络线缆上以数字套环清楚标识，以便在发生故障时能快速准确地查找到问题线缆。除中心机房所在楼层外，在其它楼层设置水平布线间，使用6类双绞线作为主干连接到中心机房。水平布线间到客户端之间则采用超5类双绞线，从而实现主干千兆终端百兆的拓扑结构。

考虑到以后规模扩大及无线接入等因素，本项目扩充了各楼层的信息点，使之总数达到500个左右。在逻辑网络设计上，则采用双核心三层网络结构[3]，使用两台H3C S8505三层交换机作为核心层，交换机之间运行VRRP冗余协议，通过配置相关参数，实现了设备冗余。下联两台H3C S6506交换机作为汇聚层，开启STP剪切并实现流量控制。原有的H3C S1526交换机则降为接入层，在其上面开启VLAN功能，将所有的用户按部门划分到不同的VLAN中,以减少网络广播域的范围。出口网络则采用Cisco 3600路由器，连接电信提供的100Mbps光纤，实现高速访问互联网。

另外，基于安全及成本上的综合考虑，在Cisco 3600路由器和电信100Mbps光纤之间增设一台国产的深信服下一代防火墙AF-1120。该防火墙不仅具有强大的防火墙功能，还辅有上网行为管理和日志安全审计功能，通过合理地设置上网及应用策略，便可以控制用户的上网行为，过滤诸如炒股、网络游戏、P2P下载等不合理的应用，也可以通过其附带的网络日志对局域网进行安全审计，快速地找出网络漏洞或不合理的地方，及时加以修补，进一步保证网络安全(图3)。

5　WIFI网络安全验证机制

由于近年来手机平板等移动智能设备的普及和发展，致使用户对WIFI的需求与日俱增。为了顺应这股时代潮流，借此次信息化改造机会，本项目在现有的网络拓扑基础上增加了无线网络，用以实现WIFI信号的接入。

该无线网络主要采用当下流行的WLAN技术和PoE供电技术，加上无线控制器Wireless Access Point Controller+瘦AP的方式来实现全院范围内的WIFI信号全覆盖。在产品的选型上，从局域网络设备的兼容性、安全性及产品的性价比等方面进行综合考虑，最终采用了国产的H3C AM8000设备作为无线控制器，配合H3C WA4320-CAN的无线AP加上PoE交换机MS3226组成无线网络的方案(图4)。所有的无线AP均由无线控制器AM8000来统一配置，统一管理，极大地减轻了配置维护的工作量，提高了工作效率。

为了保证无线网络的安全，则可考虑采用如下的技术手段：(1)关闭SSID广播，只有知道真正SSID的用户才能接入；(2)其次，为了方便管理用户，将其分成内部用户和外部用户两种类型。其中属于院正式员工的移动设备全部进行IP地址与MAC地址的绑定，非绑定设备或IP地址与MAC地址不匹配的设备均无法登陆WLAN。外来用户则使用Radius服务来验证身份。当外来用户登录时，必须正确输入用户名和密码，并通过WLAN路由转发EAP over Radius协议，交由Radius认证服务器进行身份验证，验证通过才能接入无线网络。同时开始计时，超出租约时间则自动注销用户。如用户还需使用WLAN，需再一次进行身份验证。这样既能较好地防止非授权用户的蹭网行为，又能提高无线网络的使用效率，保证了无线网络的安全。

6　虚拟化系统

从2006年谷歌提出云计算的概念以来，因其具有资源池化、硬件虚拟化、高效智能、面向服务、按需供给、绿色节能等优点，取得了长足的发展。虚拟化系统具有无可比拟的优越性和先进性，但前期的成本投入相当巨大。由于资金所限，本项目则采用了分期建设方式来解决这个难题。本次规划设计只进行其中的服务器虚拟化建设。

所谓的服务器虚拟化技术(图5)就是利用Microsoft Hyper-V或VMware虚拟化技术，在一台物理服务器上虚拟出多台虚拟服务器，将应用程序和操作系统与底层硬件分离开来。虚拟的应用程序可以看到专有资源，服务器则作为资源池进行管理，以达到硬件整合、统一控制、经济高效、绿色节能的目的。

根据本院现有的服务器数量和运行的服务类型，综合考虑将来会增加服务的可能性后，最佳的方案是使用VMware公司的vSphere虚拟化平台来实现服务器虚拟化。vSphere属于Full-Virualization，即全虚拟化，无须人为地往guest OS中植入hypercall，因此，虚拟机可直接加载未经修改的guest OS，而且guest OS也根本无法分辨自己到底是不是跑在虚拟机平台上，这样就在最大程度上避免软件不兼容性的出现。

根据原服务器持续负载的情况，本方案将现有的16台运行Intel架构的服务器合理地虚拟到两台IBM X3850物理服务器上。在vComputer层次，既可以实现计算资源分配粒度的颗粒化(如内存分配精确到M，CPU分配精确到MHz等)，也可以使用DRS进行分布式资源调度，根据负载情况调度，实现每一份的计算资源最大利用率。

在vStorage层次(图6)，使用Storage vMotion技术可以实现无停机的存储迁移，而Thin Provisioning则可以将虚拟机可看到的磁盘空间压缩，使之仅占用实际使用的大小，提高存储的使用效率。如虚拟化前16台服务器平均每台使用500G的硬盘空间，这些空间相对独立，无法进行统一动态调度，则共使用空间为16×500G=8T。虚拟化到两台物理服务器后，每台服务器安装2T硬盘空间，共使用的空间仅为4T，比虚拟化前减少了将近50%。另外，Data Recovery技术则可针对每台虚拟机进行简单、高效的热备份和恢复，无需关机重启操作，在虚拟机对外提供服务的同时，完成对每台虚拟机制作Snapshot。当故障发生时，能通过还原Snapshot达到尽快恢复系统服务的目的。相比起通常使用的GHOST软件，时间可节约60%左右。

此外，虚拟化技术还能大大减少机房的能源消耗，打造一个绿色环保的中心机房。如虚拟化前每台服务器平均功耗为550W，工业用电0.62度/元，则16台服务器一月电费为0.62×16×0.55×24×30=3 928.32元；虚拟化后每台服务器功耗为850W，则每月电费为0.62×2×0.85×24×30=758.88元，仅为虚拟化前的19.3%。

7　消防灭火系统

本项目采用的是符合国际标准的气体灭火系统，主要成份是无毒无腐蚀易挥发的七氟丙烷。七氟丙烷灭火剂，代号HFC-227ea。其灭火原理是灭火剂喷洒在火场周围时，因其化学作用惰化火焰中的活性自由基，使氧化燃烧的链式反应中断从而达到灭火目的。它具有无色、无味、不导电、无污染的特点。对臭氧层的耗损潜能值(ODP)为零，其毒副作用比卤代烷灭火剂更小，是卤代烷灭火剂最佳替代物之一。同时七氟丙烷效能高，速度快，对设备无污损。通常的做法是在中心机房外增设气瓶间，在中心机房天花板上敷设灭火喷嘴。整个消防灭火系统由控制箱、烟感、温感、光感和喷嘴联动(图7)，一旦传感器检测到异常情况，立即由控制箱控制喷嘴进行气体灭火，以求在最短时间内抢救险情，将损失减小到最小程度。

8　结语

虚拟化技术是打造现代化的网络中心机房的核心，以其高性能、高效率、易维护、绿色环保等优点得到了越来越广泛的应用。以下是笔者在本项目中的一些心得体会，提出来与大家共同探讨。若有不足或不当之处，敬请各位专家同行斧正。

(1)由于预算和时间的原因，本项目并没有使用门禁监控系统。如果工程预算充裕，建议在中心机房各重要位置增加24h监控探头，并设置关键时间点录像。录像至少应保存半年以上，以备安全审计核查。辅以门禁刷卡系统，防止非授权人员进入机房所造成的人为因素的破坏，保证机房的安全。

(2)本项目中网络直连Internet的出口处仅有一台深信服防火墙，存在故障单点。如果防火墙宕机，则会面临全院用户无法上网的局面。如果在项目资金充裕的情况下，建议引入另一条出口线路，加装一台深信服防火墙，并在此基础上使用负载均衡设备，通过源地点或目的地址的均衡策略，以达到消除故障单点，并使用户上网速度大大提高的目的。无线网络安全应该进一步加强。后期的升级改造中应考虑引入数据加密技术来进一步保证网络及数据安全。

(3)正所谓“三分技术，七分管理”，在完善网络中心机房各系统体系的同时，还应该进一步地具体落实网络安全管理制度，并加以落实监督。

[1]吴兵.论数据中心机房的规划与设计[J].智能建筑与城市信息,2012(9):40-42.

[2]陈修敏,张九根.数据中心机房空调系统设计及气流优化分析[J].流体机械,2014(11):79-82.

[3]彭栋.校园网络中心机房建设方案的设计与实现[J].电脑知识与技术, 2011,07(11):2546-2547.

The planning and design of the construction of the modern network center

PENG Jia

(Fuzhou Architectural Design Institute, Fuzhou 350011)

This article discusses in detail the process of the construction of the network center in the Design Institute of planning and designing. Take this project as an example, discussing all aspects of the construction, from the physical environment, electrical, fire, air conditioning, air conditioning, network topology and integrated wiring and so on. The article focus the discussion of comparing resource consumed before and after using virtualization technology.

Network center; Network topology; Premises Distribution System; Planning and design; Virtualization

彭嘉(1981.6-)，男，工程师。E-mail:191612239@qq.com

2016-08-05

TU984.18

A

1004-6135(2016)09-0102-05