除了銀行、證券公司等金融領(lǐng)域這些“不差錢”的企業(yè)，還有很多大中型企業(yè)會(huì)不惜砸下重金自建數(shù)據(jù)中心（下文簡稱DC），承載企業(yè)對外服務(wù)（如企業(yè)官網(wǎng)）的同時(shí)，也承載著諸多對內(nèi)服務(wù)的系統(tǒng)，如企業(yè)郵件系統(tǒng)、AD系統(tǒng)、文件系統(tǒng)、備份系統(tǒng)、歸檔系統(tǒng)、OA系統(tǒng)、CRM系統(tǒng)、ERP系統(tǒng)、內(nèi)部BI系統(tǒng)等。

據(jù)中培偉業(yè)某培訓(xùn)專家指出，前些年的服務(wù)器虛擬化技術(shù)更是將DC系統(tǒng)搭建的靈活性、冗余性、安全性以及資源高效配置等優(yōu)勢大大提升。即使當(dāng)今公有云越來越普及，仍有許多企業(yè)考慮到安全、帶寬等因素，并未完全將系統(tǒng)置于公有云上，而是采用“公私混合云”的方式，使自建的DC仍然發(fā)揮著難以替代的作用。

對于以上問題，中培偉業(yè)《網(wǎng)絡(luò)部署實(shí)戰(zhàn)及架構(gòu)設(shè)計(jì)》培訓(xùn)專家王老師根據(jù)自己的從業(yè)經(jīng)驗(yàn)，總結(jié)一些企業(yè)自建DC網(wǎng)絡(luò)架構(gòu)的一些心得，供廣大同仁探討、借鑒。

1） 局域網(wǎng)的中堅(jiān)力量----交換機(jī)

交換機(jī)是局域網(wǎng)中最重要的設(shè)備，是網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中首先要考慮的設(shè)備。在DC局域網(wǎng)架構(gòu)設(shè)計(jì)中，該如何入手進(jìn)行設(shè)計(jì)呢？

在網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)中，厘清數(shù)據(jù)流量交互的脈絡(luò)是重要的工作，DC的網(wǎng)絡(luò)架構(gòu)中更是如此。

只有弄清楚數(shù)據(jù)的流量交互，才能找到流量的交互瓶頸會(huì)出現(xiàn)在哪些節(jié)點(diǎn)，高流量交互的區(qū)域在哪里。然后根據(jù)分析的結(jié)果來選擇是使用萬兆、千兆、甚至百兆的交換機(jī)端口。

使用服務(wù)器虛擬化的架構(gòu)，同一臺宿主機(jī)的不同虛擬機(jī)之間的數(shù)據(jù)交互已經(jīng)被終結(jié)在了宿主機(jī)內(nèi)部，而處于同一集群的不同宿主機(jī)之間會(huì)有虛擬機(jī)漂移、復(fù)制、數(shù)據(jù)庫讀寫、備份等大流量數(shù)據(jù)交互，為了保證交互速度，采用萬兆端口是比較好的選擇。

DC的宿主機(jī)往往根據(jù)性能的不同被劃分為不同的集群，不同集群之間的流量交互要遠(yuǎn)遠(yuǎn)小于同一集群的宿主機(jī)，由于不同集群的設(shè)備一般都會(huì)部署在不同的機(jī)柜，每一臺機(jī)柜都會(huì)部署接入層交換機(jī)，所以不同集群的流量交互一般會(huì)跨越級聯(lián)鏈路，跑在接入層轉(zhuǎn)發(fā)至核心匯聚層之間，因此，核心匯聚層與各機(jī)柜接入層的交換機(jī)之間級聯(lián)帶寬最好是萬兆級別。

對于跨安全區(qū)域的流量，瓶頸在防火墻或路由器，采用萬兆級聯(lián)端口的千兆端口即可。而外接Internet或?qū)＞€的交換機(jī)，流量瓶頸在于線路的帶寬，如果線路帶寬不超過百兆，那相應(yīng)的交換機(jī)端口使用百兆的就夠了。

架構(gòu)設(shè)計(jì)時(shí)，要根據(jù)以上推算的不同端口的預(yù)估數(shù)量來選購適合的交換機(jī)。因?yàn)橄涫浇粨Q機(jī)具備如下優(yōu)勢，比較適用于虛擬化程度高的架構(gòu)。

可集成多種不同類型端口，端口密度大，共享高速背板帶寬；

刀片式硬件全熱插拔且便于擴(kuò)展和維護(hù)；

電源、風(fēng)扇等同樣支持熱插拔，冗余性高、穩(wěn)定性強(qiáng)；

“All-in-one”式設(shè)計(jì)，功能豐富；

有利于減少網(wǎng)絡(luò)層級，實(shí)現(xiàn)“扁平化”的網(wǎng)絡(luò)架構(gòu)。

當(dāng)然，盒式交換機(jī)具備成本低、占據(jù)空間少、部署靈活等優(yōu)勢。是使用較少的箱式交換機(jī)還是使用較多的盒式交換機(jī)，目前業(yè)界雖然多數(shù)專家的觀點(diǎn)是傾向于前者，但仍有不少人認(rèn)為后者的性價(jià)比高于前者。究竟采用盒式還是箱式交換機(jī)，需要根據(jù)具體情況而定，不能一概而論。

不論采用哪種交換機(jī)，都需要在設(shè)計(jì)時(shí)充分考慮冗余性以及性能最優(yōu)化。

例如，因?yàn)榫W(wǎng)絡(luò)架構(gòu)設(shè)計(jì)需要考慮到冗余性，宿主機(jī)一般最少配置兩塊多口的網(wǎng)卡，每塊網(wǎng)卡上各取一個(gè)口與兩臺交換機(jī)（盒式）或兩個(gè)板卡（箱式）相連，避免因?yàn)樗拗鳈C(jī)某一塊網(wǎng)卡的故障或某一臺交換機(jī)的故障，導(dǎo)致業(yè)務(wù)的徹底中斷。 因?yàn)榫W(wǎng)絡(luò)架構(gòu)設(shè)計(jì)考慮到性能最優(yōu)化，一般使用端口聚合技術(shù)將多個(gè)端口捆綁起來，使帶寬成倍增加。

2） 局域網(wǎng)的保安---- 防火墻

防火墻作為保障網(wǎng)絡(luò)安全的重要設(shè)備，在網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)時(shí)需要考慮到如下幾點(diǎn)：

異構(gòu)性。在不同區(qū)域部署不同品牌的防火墻可以增加攻擊者的攻擊難度，降低在某一結(jié)點(diǎn)被攻破時(shí)，“兵敗如山倒”的風(fēng)險(xiǎn)；

冗余性。各大廠商都宣稱自己的防火墻可做到“雙活”，理論上可行，但實(shí)際運(yùn)行效果并不理想。還是建議使用穩(wěn)定性更可靠的“主備”模式；

不同安全區(qū)域間可根據(jù)業(yè)務(wù)需求，通過防火墻策略與交換機(jī)、路由器ACL相結(jié)合的方式，在不同類型數(shù)據(jù)流量節(jié)點(diǎn)設(shè)置不同等級的“關(guān)卡”，從而實(shí)現(xiàn)保障安全的同時(shí)避免了這些“關(guān)卡”成為數(shù)據(jù)擁塞的瓶頸，也能夠降低維護(hù)管理成本。

3） 所有設(shè)備的家---機(jī)柜

大多數(shù)公司選擇租用專業(yè)化機(jī)房的機(jī)柜來建設(shè)自己的DC，因?yàn)閷I(yè)化的機(jī)房的電力、溫濕度控制、消防、安保、運(yùn)營商資源等等都是自建機(jī)房完全無法企及的。

但租用機(jī)柜的價(jià)格往往不菲，這就需要對機(jī)柜的空間最合理化利用。在設(shè)計(jì)時(shí)，機(jī)柜設(shè)備分布的設(shè)計(jì)也是一項(xiàng)非常重要的工作。在設(shè)計(jì)時(shí)，除了考慮空間因素外，還需要考慮設(shè)備散熱、機(jī)柜最大電力容量、設(shè)備間數(shù)據(jù)線長度、功能區(qū)域的劃分、機(jī)柜間跳線等因素。

4） 談?wù)凞C的運(yùn)維

DC的運(yùn)維操作八成以上都是管理員遠(yuǎn)程完成的，這就需要有一份準(zhǔn)確的運(yùn)維文檔，讓管理員即使不在現(xiàn)場，也能很好的了解設(shè)備的位置、端口、跳線編號等信息。

運(yùn)維的可視化離不開監(jiān)控管理系統(tǒng)，部署一套這樣的系統(tǒng)往往也要投入不少錢。但一般這類系統(tǒng)都是按功能模塊來賣的，可以根據(jù)需要選擇購買幾個(gè)重要的功能模塊，無須全套購買。有些企業(yè)可能會(huì)要求管理員自己使用Linux搭建可視化運(yùn)維監(jiān)控系統(tǒng)，但無論是效果上還是算一算人力投入，都不如購買第三方的系統(tǒng)劃算。

金屬質(zhì)感分割線

以上只是DC局域網(wǎng)架構(gòu)建設(shè)的一些心得。其實(shí)在設(shè)計(jì)前最好多走訪一些大公司，尤其是外企的DC，增長眼界，拓寬思路，吸收經(jīng)驗(yàn)，這也是中培偉業(yè)《網(wǎng)絡(luò)部署實(shí)戰(zhàn)及架構(gòu)設(shè)計(jì)》培訓(xùn)的核心內(nèi)容之一。