手机(工程总包):
徐经理 13612026865
扫二维码加微信
王经理 13323356795
扫二维码加微信
电话: 022-27497550-801
传真:022-27497550-0
邮箱:51diy@163.com
地址:天津市 南开区
华苑产业园区 鑫茂科技园
1 号楼 B 座 4层
  • 弱电工程数据中心的网络架构及其设计思路-金色巨腾
  • 分享

网络分区与等保

一般情况下,本着灵活、安全、易管理的设计原则,企业都会对数据中心网络的物理设备进行分区。通常情况下,数据中心都会采用核心—汇聚—接入三层的网络结构,核心用于所有流量的快速转发,而汇聚则是在每个网络分区上,担任网关的功能。

一般来说,数据中心的网络分区中,每一个区域会根据预期的流量和服务器的数量,分配不同的业务网段。同时,在一些等保要求较高的区域,还会设置防火墙这样的安全设备,来控制进出这个区域的流量,如下图所示:

“等保”是等级保护的简写,在设置数据中心服务器区域的时候,不同业务的服务器的等级保护是不一样的。比如后台存储,带库,数据库这些服务器的等保和Web、前端、APP的等保就不一样。而在数据中心网络中,防火墙的功能,就是用来划分“等保”,同时用来控制不同等保之间的互访。

那如何更好的来理解这个“等保”的概念呢?

在目前的数据中心网络架构中,要考虑到不同等保之间的流量控制,又要考虑到在设计路由的时候的简便和快捷,目前数据中心的防火墙几乎都会采用旁路的方式来部署,再配合汇聚交换机上的VRF来控制流量。

02

数据中心网络分区的方式

分区的划分方式有以下三种,不同分区方式各有优缺点,通常结合使用。

A.按照服务器类型分区

比如x86服务器、小型机、刀片机、大型机、虚拟机进行分类。完全按照服务器型号分类的话,在实际应用中,可能某个企业小型机被大量使用,而大型机几乎没用,就会导致小型机的网络区域流量巨大而大型机这个区域闲置了。所以,现在的数据中心,几乎看不见如此分配区域的情形了。

B.按照应用层次分区

比如Web、APP是前端服务器,而数据库、存储、NFS这些是后端服务器,所以把前端服务器放在一个区域,后端服务器放在一个区域。在有些企业的数据中心,也确实是这么分区的。比如,所有的Web服务器放在“综合业务区”,把数据库就放在“生产管理区”(你也看出来,连区域名字都起得那么“模糊” )。如此分区的好处是便于管理,因为前端服务区域和后端服务区域不在一个等保内,前端服务区域直接面对办公,后端区域则为前端区域服务,如下图所示:


这种区域的设置方式的好处是便于分开管理,但是坏处也是运维起来屁事太多。比如,前端新上线了一个APP,后端需要相应的数据库支持,此时系统运维人员就要找网络运维人员,请他们在后端区的防火墙上开通相应的安全策略。考虑到前端和后端对接也有诸多非网络的问题,加上前端和后端之间又有防火墙的“阻碍”,所以一旦前端和后端的通信出了问题,网络运维人员就很容易“被背锅”了。


服务流程
科学的管理,高水准、高效率地完成工作,量身定制的技术服务
用户信赖
建立长期技术支持与信赖合作关系
  • 手机(工程总包):
  • 徐经理 13612026865
  • 王经理 13323356795
  • 电话:022-27497550-801
  • 传真:022-27497550-0
  • 邮箱:51diy@163.com
  • 地址:天津市 南开区 华苑产业园区 鑫茂科技园 1 号楼 B 座 4层
ޱĵ