西山煤电集团数据中心升级优化设计

石美峰

(西山煤电(集团)有限责任公司 信息服务中心，山西 太原 030053)

1 西山煤电数据中心现状

西山煤电集团数据中心建设于2000年，承担着西山煤电集团办公、安全生产、经营管理、互联网等业务。但是随着企业转型升级战略对信息化建设的要求，传统的数据中心已不能满足时代需求，需要向新型数据中心转变。

改造前的数据中心主要功能区有网络核心交换区、互联网出口区、DMZ区、服务器区、网络接入区。网络安全设备主要部署在服务器区和互联网出口区。核心交换区主要由两台12510-X核心交换机和一台7508汇聚交换机组成；互联网出口区主要由路由器、防火墙、负载均衡、行为管理、VPN等共6台设备组成；服务器区包括华为一套虚拟化平台、32T存储、服务器90台，接入交换机10台，安全设备2台；DMZ区包括服务器9台，交换机1台以及IPS1台，主要承担内外网站、视频直播、微信平台等互联网业务；网络接入区包括公司内部骨干光缆、二级单位光缆、电信、移动、联通接入光缆、光配线架、通信接入设备等。

数据中心作为集团信息化基础设施的重要部分，采用的网络设备为盒式交换机，可靠性较低。随着集团业务规模的不断扩张，对网络性能的要求越来越高，现网中设备已无法满足后续扩容及使用要求。

西山煤电集团下辖九矿一厂，信息网络是以集团数据中心为核心的设备链路冗余的星型局域网络。各厂矿通过2台核心交换机与集团数据中心机房的核心交换机双路上联，生产网和业务网共用核心，未作物理分离。现有生产数据与业务数据混合传输，没有形成独立的生产网和业务网。网络拓扑见图1.

信息网络分为3层：核心层、汇聚层和接入层。核心层由两台H3C 12510-X核心交换机组成，与各矿的核心交换机相连。两台核心交换机互为冗余备份，作为整个网络中心的核心交换平台。核心交换机下连一台H3C 7508交换机作为汇聚交换机，用于汇聚各机关处室和二级单位的交换机。接入层交换机分布在各单位，以H3C S3600和H3C 5120S交换机为主。

2 分离生产网和业务网

西山煤电集团是大型国有煤矿，安全生产是面临的首要问题。生产网主要承载的是与安全生产相关的包括风火水电、安全监测、人员定位等系统的运行，对安全性的要求非常高。但是由于现在的网络没有区分生产网和办公网，生产数据与办公数据在同一个网络中混合传输，办公网发生的病毒和入侵事件可能会传播到生产网，给生产网安全带来极大的威胁。

图1 西山煤电原有网络拓扑图

为了提高网络的安全性，此次升级优化将构建两套独立的网络，一套生产网，一套业务网。改造后的拓扑图见图2.

图2 改造后的网络拓扑图

生产网设置独立的数据区，由两台核心交换机承担整个生产网内矿区与机关的核心数据交互。业务网采用双路万兆光缆作为主干，即集团数据中心内布置两台核心交换，与下辖各矿区的业务网核心双路连接。

数据中心设置单独的两台核心交换机，与集团业务网的核心交换机双路万兆互联。同时与灾备区核心交换、互联网出口区核心交换双路万兆连接。数据中心核心交换机同时与业务数据区核心交换、安全管理区核心交换以及生产网的核心交换双路千兆互联。业务数据区核心交换同时连接。

2.1 矿区生产网升级设计

2.1.1方案设计

在原有网络的基础上，将西山煤电集团下辖的矿区原有的两台核心交换机作为独立的业务网核心，与现有的数据中心业务网核心连接。每个矿区增加两台核心交换机，做为生产网的独立核心。在矿区的生产网核心与业务网核心之间架设网闸，用于保护矿区生产网与业务网之间的访问安全，在生产网出口部署安全网关，用于保护集团与矿区生产网之间的访问安全。矿端网络改造拓扑图见图3.

图3 矿端网络改造拓扑图

2.1.2新增设备

1) 矿区生产网新增核心交换机16台。各矿区在生产网部署2台核心交换机，选用H3CS5560X-30C-EI交换机产品。

2) 矿区业务生产增加安全隔离网闸16台。网闸是将两个网络进行有效物理隔断和协议隔断的主要技术手段，主要定位于在互联条件下实现高级别的安全特性。根据数据中心建设情况，网闸设备在数据中心采用双机热备方式部署在生产区与办公区之间，实现两个区域之间的高度安全隔离，同时进行必要的数据交换；在各矿区采用网闸部署在生产网与办公网之间，进行安全隔离与数据交换。

通过这种部署方式，可以为访问提供更高的安全性保障。安全隔离网闸通过“2+1”的高安全架构实现了高度安全防护。其专有隔离交换模块可实现基于硬件的安全隔离；两个网络之间没有任何物理连接，没有任何网络协议可以直接穿透，可以实现“协议落地、内容检测”。该部署方式既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，实现最高级别的安全，有效的将两网之间实现了安全隔离与业务数据安全、可靠的交换。

3) 矿区业务生产增加安全网关16台。通过在集团网络各个节点执行隔离和访问控制措施，将提升计算环境的安全性，有效防范非法的访问。采用安全网关实现基于数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息，执行严格的访问控制。

2.2 集团数据中心生产区和业务区切分设计

2.2.1方案设计

在集团数据中心内增加两台核心交换，用于集团生产区的核心数据交换处理。在集团数据中心内增加两台接入交换机，用于集团生产区生产业务数据服务器的连接。在集团数据中心的业务网与生产网核心之间架设网闸，用于保护集团生产网与办公网之间的访问安全。将集团数据中心原有的服务器设备按生产和业务划分明确，并布置在不同的物理区域内。集团数据中心网络改造拓扑图见图4.

图4 集团数据中心网络改造拓扑图

2.2.2新增设备

1) 集团数据中心生产区新增核心交换机2台。集团新建生产区数据中心，采用2台高性能核心交换机H3CS7506E.

2) 集团数据中心生产区新增接入交换机2台。集团在生产网数据中心部署2台接入交换机，选用H3CS5560X-54C-EI交换机产品。

3) 集团数据中心业务生产新增安全隔离网闸2台，集团数据中心业务生产安全网关2套。

3 优化数据中心网络结构

集团数据中心现有网络是分布式控制的架构，这种网络架构存在一定的局限性：流量路径的灵活调整能力不足；网络协议实现复杂，运维难度较大；网络新业务升级速度较慢。由于设备的控制面是封闭式的，且不同厂家设备实现机制也可能有所不同，所以一种新功能的部署可能会周期较长；且如果需要对设备软件进行升级，还需要在每台设备上进行操作，降低了工作效率。

在对网络进行改造时，引入了软件定义网络(SDN)技术。SDN是一种软件集中控制、网络开放的三层体系架构，应用层实现对网络业务的呈现和网络模型的抽象；控制层实现网络操作系统功能，集中管理网络资源；转发层实现分组交换功能。应用层与控制层之间的北向接口是网络开放的核心，控制层的产生实现了控制面与转发面的分离，是集中控制的基础。

该次数据中心升级优化采用ADDC方案进行部署。ADDC方案是H3C在SDN理念和架构实现的应用驱动下提出的数据中心解决方案。该方案可实现网络和安全保护虚拟化，创建高效、敏捷且可延展的逻辑结构，并满足虚拟数据中心的性能和可扩展性要求。ADDC采用安全服务链架构，通过服务链，定义业务经过不同的安全节点，为业务提供全面的安全防护。ADDC方案图见图5.

图5 ADDC组网方案图

3.1 方案设计

ADDC方案以Overlay技术为支撑，具有以下优点：

1) 兼容第三方设备的全网络虚拟化能力，构建“一网一设备”的交换矩阵。基于IP网络构建Fabric，无特殊拓扑限制，IP可达即可；承载网络和业务网络分离；对现有网络改动较小，保护用户现有投资。

2) 基于SDN架构的高度自动化运维能力。

3) 控制器北向除提供RestfulAPI接口外，还提供JavaAPI，客户或第三方可以在控制器上开发JAVA应用，实现各种网络应用。

4) 网络配置一次成型，业务扩容与变更无需改动网络，大幅度减少网络运维工作量。网络简化、安全。虚拟网络支持L2、L3等，无需运行LAN协议，骨干网络无需大量VLANTrunk.

5) 简化网络IP地址的规划，用于设备互连的IP网段和用于业务通信的IP网段互相不重叠。

6) 加快应用部署速度，应用可以在任意位置部署，配置好自己的IP地址即可实现通信，无需变更网络，应用部署速度从以周计缩短为以天计。

7) 转发优化和表项容量增大。消除了MAC表项学习泛滥，ARP等泛洪流量可达范围可控。

3.2 新增设备

1) 数据中心业务区新增核心交换机 2 台。集团新建数据中心网络架构，采用 2 台高性能核心交换机 S10508X-V. H3C S10500X 系列交换机产品是新华三技术有限公司面向云计算数据中心核心、下一代园区网核心和城域网汇聚而专门设计开发的核心交换产品。

2) 数据中心业务区新增接入交换机2台。在集团数据中心新部署2台业务服务器接入交换机H3C S6800-4C，实现对各业务资源服务器全线速千兆/万兆自适应接入。H3C S6800系列交换机是H3C公司自主研发的数据中心级智慧以太网交换机产品。

3) 数据中心管理区新增接入交换机2台。集团在数据中心部署管理区，新采购2台接入交换机，选用H3C S5560X-30C-EI交换机产品。

4) 数据中心安全区新增接入交换机4台。集团在数据中心部署安全区，新采购4台接入交换机，选用H3C S5560X-30C-EI交换机产品。

4 结 语

西山煤电集团数据中心升级优化项目于2018年12月开工，目前正在建设中。该项目对数据中心进行结构调整与优化，优化网络性能，以进一步提高数据中心的业务重载能力，并分离了生产网和办公网，提高了数据安全性。项目完成后将建成适合时代发展的数据中心，提升企业信息化水平，支撑和驱动企业发展。