公司數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)解決方案

公司數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)解決方案1.1、網(wǎng)絡(luò)現(xiàn)狀與需求分析此處添加客戶公司目前的網(wǎng)絡(luò)拓?fù)鋱DXXX公司目前數(shù)據(jù)中心建于XXX，目前承擔(dān)整個集團(tuán)數(shù)據(jù)交換與存儲的重任?，F(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如上。隨著XXX公司的建設(shè)，現(xiàn)需在園區(qū)內(nèi)建設(shè)一全新數(shù)據(jù)中心，用以在園區(qū)全面啟動時順利接管原數(shù)據(jù)中心的數(shù)據(jù)交換與存儲重任。XXX公司數(shù)據(jù)中心的建設(shè)是為XXX公司辦公、管理提供服務(wù)的，網(wǎng)絡(luò)系統(tǒng)建設(shè)主要目標(biāo)是在XXX公司管轄范圍內(nèi)，采用國際標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，建立在XXX公司內(nèi)聯(lián)網(wǎng)（BDFZ-Intranet）并通過高速信道與各地市分公司、中國互聯(lián)網(wǎng)（China-NET）相連，同時建設(shè)信息資源管理中心。1.2、XXX公司數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo)XXX公司數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo)是將XXX公司的各種PC機、工作站等，通過高性能的網(wǎng)絡(luò)，連接到各種服務(wù)器上，組成分布式的計算環(huán)境，使其成為提高辦公、管理水平必不可少的網(wǎng)絡(luò)支撐環(huán)境。本著建設(shè)一流數(shù)據(jù)中心的精神，我們提出了以下XXX公司網(wǎng)絡(luò)建設(shè)目標(biāo)：內(nèi)部信息發(fā)布：XXX公司向各地分公司發(fā)布規(guī)章制度、規(guī)劃、計劃、通知等公開信息等。2）電子郵件：XXX公司內(nèi)部的電子郵件的發(fā)送與接受。3）文件傳輸：XXX公司內(nèi)部的文本文件、圖象文件、語音文件等發(fā)送與接收。4）資源共享：文件共享、數(shù)據(jù)庫共享等。6）接入因特網(wǎng)：通過專線接入ChinaNet、Internet，對外發(fā)布信息。1.3、設(shè)計的依據(jù)與原則1.3.1、設(shè)計依據(jù)1）中國教學(xué)和科研計算機網(wǎng)絡(luò)（CERNET）工程技術(shù)規(guī)范書2）中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定3）有關(guān)的網(wǎng)絡(luò)技術(shù)國際標(biāo)準(zhǔn)4）RFC有關(guān)文件1.3.2、設(shè)計原則1）開放原則采用開放標(biāo)準(zhǔn)；采用開放技術(shù)；采用開放結(jié)構(gòu)；采用開放系統(tǒng)組件；2）可靠原則設(shè)計結(jié)果穩(wěn)定可靠，具有高M(jìn)IBF（平均無故障時間）和MTBR（平均無故障率），采用開放用戶接口。3）實用原則實用有效是最主要的設(shè)計目標(biāo)，設(shè)計結(jié)果能滿足需求行之有效。提供容錯設(shè)計，支持故障檢測和恢復(fù)，可管理性強。4）安全原則安全措施有效可信，能夠在多個層次上實現(xiàn)安全控制。5）先進(jìn)原則設(shè)計思想先進(jìn)；軟硬件設(shè)備先進(jìn)；網(wǎng)絡(luò)結(jié)構(gòu)先進(jìn)。6）完整性原則考慮到系統(tǒng)的各方面因素，實現(xiàn)優(yōu)化的網(wǎng)絡(luò)設(shè)計、安全的數(shù)據(jù)管理、高效的信息處理、友好的用戶界面。7）高效原則性能指標(biāo)高，軟硬件性能充分發(fā)揮。8）靈活原則系統(tǒng)配置靈活，備用和可選方案多，能夠適應(yīng)應(yīng)用和技術(shù)發(fā)展需要。9）可擴(kuò)展性能夠在規(guī)模和性能兩個方向上進(jìn)行擴(kuò)展，擴(kuò)展后的性能有大幅度提高。10）模塊化每種功能都由一定的模塊來實現(xiàn)，方案只需要選擇不同的模塊，并將這些模塊做相應(yīng)的配置即可。1.4、XXX公司數(shù)據(jù)中心設(shè)計方案1.4.1、總體結(jié)構(gòu)XXX公司數(shù)據(jù)中心拓樸圖XXX公司數(shù)據(jù)中心采用兩臺XXX系列核心交換機構(gòu)建整個IDC中心的核心交換區(qū)，在核心交換區(qū)以下，分為核心數(shù)據(jù)服務(wù)區(qū)與中間業(yè)務(wù)應(yīng)用服務(wù)區(qū)兩大服務(wù)區(qū)，以及XXX公司各大區(qū)的接入及廣域網(wǎng)接入等接入?yún)^(qū)組成。其中數(shù)據(jù)服務(wù)的小型機區(qū)，以兩臺XXX交換機為接入交換機,接入核心交換區(qū)，在XXX交換機上添加防火墻模塊與內(nèi)容交換模塊，以實現(xiàn)對小型機的安全保護(hù)、SSL卸載和負(fù)載均衡控制。在中間業(yè)務(wù)應(yīng)用服務(wù)器區(qū)，以兩臺XXX交換機為匯聚交換機，以XXX為接入交換機,為應(yīng)用服務(wù)器提供接入功能,并在XXX交換機上添加防火墻模塊與內(nèi)容交換模塊,為整個中間業(yè)務(wù)應(yīng)用服務(wù)器群提供保護(hù)與負(fù)載均衡控制，并且在此區(qū)域內(nèi)通過ACS,MARS等設(shè)備,提供完善的管理與控制功能。1.4.2、核心交換模塊☆流量分析主干網(wǎng)絡(luò)作為XXX公司數(shù)據(jù)中心的運行核心，它決定整個XXX公司數(shù)據(jù)中心網(wǎng)絡(luò)的性能。根據(jù)統(tǒng)計，一個運行良好、提供服務(wù)齊全的網(wǎng)絡(luò)中，各子網(wǎng)間的通訊和子網(wǎng)內(nèi)部通訊大約各占50%；而且隨著多媒體技術(shù)的發(fā)展，多媒體主頁、視頻點播（多點廣播）大量采用，這些都要占有大量主干帶寬；以及虛擬網(wǎng)技術(shù)的采用，傳統(tǒng)子網(wǎng)概念已經(jīng)變化，使得一個子網(wǎng)可以分布于整個網(wǎng)絡(luò)，導(dǎo)致子網(wǎng)內(nèi)部通訊也要通過主干網(wǎng)絡(luò)；因此經(jīng)過主干網(wǎng)絡(luò)的流量將占80%以上，這就要求主干網(wǎng)絡(luò)必須具有極高的傳輸速率，最大限度的避免堵塞。作為主要的數(shù)據(jù)通道，主干網(wǎng)絡(luò)的癱瘓就意味著整個網(wǎng)絡(luò)的崩潰，因此主干網(wǎng)絡(luò)必須采用已經(jīng)標(biāo)準(zhǔn)化的技術(shù)，有極高的穩(wěn)定性和冗余度?！罹W(wǎng)絡(luò)技術(shù)分析縱觀目前計算機局域網(wǎng)技術(shù)，適合作為高速主干網(wǎng)結(jié)構(gòu)的主要有：★千兆以太網(wǎng)千兆以太網(wǎng)是100Base-T的真正繼承者。千兆以太網(wǎng)保留了大多數(shù)100Base-T的布線規(guī)則和CSMA/CD媒質(zhì)訪問方式，具有以下特點：從傳統(tǒng)100Base-T以太網(wǎng)的升級較容易、投資少，與現(xiàn)有100Base-T網(wǎng)的集成也很簡單。工業(yè)支持較強，競爭激烈，使產(chǎn)品價格相對較低。安裝和配置簡單，現(xiàn)有的管理工具依然可用。支持交換方式，有全雙工方式通訊的產(chǎn)品。★萬兆以太網(wǎng)萬兆位以太網(wǎng)(10gige)801.3ae標(biāo)準(zhǔn)已由ieee于2002年6月批準(zhǔn)，而且現(xiàn)在已在許多應(yīng)用中進(jìn)入大量部署階段。在從千兆位以太網(wǎng)到萬兆位以太網(wǎng)的演變過程中，為了適合如此廣泛的可能應(yīng)用，已進(jìn)行了大量更改。這些更改中，最重要的更改與數(shù)據(jù)編碼方式及萬兆位以太網(wǎng)可以運行的物理連接類型有關(guān)。幀尺寸和格式都保持不變，以便第3層及更高層協(xié)議仍然完全兼容。萬兆位以太網(wǎng)設(shè)計用于以全雙工模式只在點到點（交換）鏈路上運行。這一點反映其作為主干/核心（與工作組不同）技術(shù)的角色。萬兆位以太網(wǎng)當(dāng)前不支持自動協(xié)商，因為它被假定用于純?nèi)f兆位以太網(wǎng)安裝?！?0G以太網(wǎng)建立XXX公司數(shù)據(jù)中心的網(wǎng)絡(luò)系統(tǒng)應(yīng)高起點，統(tǒng)一全面規(guī)劃，并考慮到將來的擴(kuò)展與投資的保護(hù)；因此，為適應(yīng)XXX公司的發(fā)展，以可延展的方式提供更多的帶寬，滿足復(fù)雜的事務(wù)處理能力，XXX公司數(shù)據(jù)中心的主干采用領(lǐng)導(dǎo)高速網(wǎng)絡(luò)發(fā)展------先進(jìn)交換技術(shù)的萬兆以太網(wǎng)為主干。1.4.3、廣域網(wǎng)接入模塊目前XXX公司XXX中心與各大區(qū)之間使用ATM鏈路連接，考慮到各大區(qū)的接入模式為ATM鏈路，故本次新中心廣域網(wǎng)接入方式同樣選擇ATM方式，利用現(xiàn)有ATM鏈路與板卡，同時，由于ATM技術(shù)已經(jīng)處于漸漸被淘汰的情況，電信MSTP與POS鏈路的快速發(fā)展，考慮到數(shù)據(jù)中心的高擴(kuò)展性，廣域網(wǎng)接入采用模塊化方式，現(xiàn)選用ATM模塊，在日后可方便的且經(jīng)濟(jì)的升級為MSTP或POS方式。廣域網(wǎng)接入路由器XXX與核心交換機XX之間采用10G光纖鏈路相連，提供極高的數(shù)據(jù)交換能力，為數(shù)據(jù)中心的性能提供強有力的支持。根據(jù)前面分析，一個多媒體網(wǎng)絡(luò)60%甚至80%以上的流量要經(jīng)過路由，采用傳統(tǒng)的路由方式連接各子網(wǎng)必須導(dǎo)致大量數(shù)據(jù)在路由器上匯集，發(fā)生堵塞，從而導(dǎo)致丟包，會大大限制多媒體應(yīng)用，因此必須采用先進(jìn)高效的路由技術(shù)，保證整個XXX公司數(shù)據(jù)網(wǎng)絡(luò)在網(wǎng)絡(luò)層暢通無阻?！舻谌龑咏粨Q技術(shù)分析第三層網(wǎng)絡(luò)路由交換機的出現(xiàn)為大型多媒體網(wǎng)絡(luò)提供了新的解決方案。通過使用第三層路由交換機，可以大大提高IP包的轉(zhuǎn)發(fā)速度。第三層交換技術(shù)可以分為兩類：基于包的交換和基于流的交換?；诎慕粨Q采用與傳統(tǒng)路由器相近的交換方式，對每一個包進(jìn)行檢查。目前的第三層交換機憑借先進(jìn)的AISC技術(shù)，對IP包直接進(jìn)行芯片道路級處理，速度大大高于路由器采用的基于CPU的處理方式，能夠提供全線速的轉(zhuǎn)發(fā)，避免發(fā)生堵塞和丟包；同時完全兼容路由器的RIP和EIGRP和OSPF協(xié)議，能夠與傳統(tǒng)路由器進(jìn)行相互的自學(xué)習(xí)，掌握整個網(wǎng)絡(luò)的路由信息。采用基于包交換的第三層交換機，網(wǎng)絡(luò)的配置、設(shè)備和軟件都不需要變動，能夠?qū)崿F(xiàn)基于包的安全控制。1.4.4、數(shù)據(jù)庫服務(wù)器與中間業(yè)務(wù)服務(wù)器接入模塊數(shù)據(jù)庫服務(wù)器與中間業(yè)務(wù)服務(wù)器接入設(shè)備采用XXX高性能交換機，成熟的XXX交換機曾經(jīng)做為數(shù)據(jù)中心的核心交換機主流產(chǎn)品，其強大的交換能力，720G背板帶寬，以及高達(dá)99.99%的高可靠性，使之成為XXX公司IDC中心數(shù)據(jù)庫服務(wù)器與中間業(yè)務(wù)服務(wù)器接入服務(wù)最有力的提供者，此外，依靠VSS技術(shù)，將兩臺XXX交換機虛擬成一臺交換機，將背板帶寬擴(kuò)大為1.44T，同時將可靠性提高到99.999％的電信級別。數(shù)據(jù)庫服務(wù)器與中間業(yè)務(wù)服務(wù)器通過千兆鏈路連接入?yún)R聚交換機XXX之上，通過10G鏈路雙上聯(lián)入核心交換機XXX，并依靠跨機框鏈路捆綁技術(shù)，將因為鏈路故障造成的倒換1.4.6、外聯(lián)網(wǎng)絡(luò)接入模塊XXX公司做為中國家電零售業(yè)的領(lǐng)軍企業(yè)，其銀聯(lián)及各大商業(yè)銀行有著相當(dāng)頻繁的業(yè)務(wù)來往，并且，隨著XXX公司企業(yè)多元化發(fā)展，其各實業(yè)公司，都與IDC中心之間有著平凡的數(shù)據(jù)交換要求，故XXX公司IDC中心外聯(lián)網(wǎng)絡(luò)接入系統(tǒng)是其IDC中心極其重要的一部分，有著極高的數(shù)據(jù)交換要求以及響應(yīng)的安全要求。為此，我們推薦XXX路由器的外聯(lián)網(wǎng)絡(luò)接入板卡為整個XXX公司IDC中心提供外聯(lián)網(wǎng)絡(luò)接入服務(wù)，其好處在于可以靈活的使用XXX上配置的防火墻等功能模塊，為各種業(yè)務(wù)提供足夠的安全保證1.4.7、帶內(nèi)帶外網(wǎng)絡(luò)管理接入模塊網(wǎng)絡(luò)管理對于一個大型化的網(wǎng)絡(luò)是至關(guān)重要的，同時也具有挑戰(zhàn)性。對XXX公司信息中心的管理主要采用基于IntelDeviceViewforWeb的管理方法，基于IntelDeviceViewforWindows的管理方法進(jìn)行輔助管理，而基于telnet和終端仿真的管理方法作為備用。通過XXX提供的管理方法，可以設(shè)置完善的管理員安全策略，能夠有效地防止非法用戶竊取管理員權(quán)限，對網(wǎng)絡(luò)進(jìn)行任何改動。對于整個XXX公司數(shù)據(jù)中心網(wǎng)絡(luò)的管理，我們采用CISCOWORKS2000作為網(wǎng)絡(luò)管理軟件，它是世界上使用最為廣泛最為成功的網(wǎng)管軟件之一，能對多個廠家提供的支持SNMP協(xié)議的交換機、集線器、路由器、打印機、PC機與工作站進(jìn)行管理。這樣我們可以查看網(wǎng)絡(luò)上使用的硬件和軟件的清單，診斷并解決遠(yuǎn)程工作站的問題，給網(wǎng)絡(luò)用戶快速分發(fā)最新軟件，檢查用戶軟件的License，檢測客戶機上的病毒，使用加密和解密保證網(wǎng)絡(luò)的安全，監(jiān)視服務(wù)器的性能并能設(shè)定報警值。由于IP、存儲和互聯(lián)基礎(chǔ)設(shè)施上的可管理性能夠利用先進(jìn)的通用管理和診斷工具簡化配置、調(diào)配、監(jiān)控和變更控制，因而能減輕管理負(fù)擔(dān)，增強流程的一致性，并改善數(shù)據(jù)中心小組之間的協(xié)作。另外，可管理性功能還能向管理應(yīng)用提供網(wǎng)絡(luò)設(shè)備的流量和接口信息，以便操作人員能夠查看實時和歷史網(wǎng)絡(luò)狀態(tài)。另外，操作人員還能利用思科或第三方管理工具實現(xiàn)網(wǎng)絡(luò)的配置、監(jiān)控和排障。思科數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)提供先進(jìn)的通用管理接口、功能和工具，不但能顯著提高數(shù)據(jù)中心管理人員的運營效率，降低復(fù)雜性，縮短學(xué)習(xí)周期，還能提高服務(wù)水平，加快解決問題的進(jìn)程。利用基于角色的訪問控制，管理員可以將特定資源的管理控制分配給專人負(fù)責(zé)。思科數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)包含五大可管理性：簡單網(wǎng)絡(luò)管理協(xié)議（SNMPV3）在IP交換和路由網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)和光網(wǎng)上支持統(tǒng)一的MIB格式，能夠改善配置、資產(chǎn)管理和變更管理。嵌入式管理代理能夠簡化可管理性支持基于策略的自適應(yīng)管理，能夠在問題造成重大影響之前就快速予以解決，而且能夠簡化服務(wù)實施。例如，為CiscoCatalyst6500系列平臺開發(fā)的新型CiscoView設(shè)備管理器代理能夠改善基于策略的端到端配置。相似的CiscoIOS軟件和SANOS命令行界面在管理器與設(shè)備之間提供一致的通信。標(biāo)準(zhǔn)通用信息模型和可擴(kuò)展標(biāo)記語言（XML）API通用高級診斷功能簡化存儲網(wǎng)絡(luò)中第三方系統(tǒng)管理的實施。簡化實時監(jiān)控、歷史統(tǒng)計數(shù)據(jù)收集和報告。另外思科安全監(jiān)控、分析和響應(yīng)系統(tǒng)（思科安全MARS）是一款基于設(shè)備的全功能解決方案，可提供針對您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全MARS是思科安全管理生命周期的一個關(guān)鍵組件，可幫助您的安全和網(wǎng)絡(luò)機構(gòu)識別、管理和抵御安全威脅。它可充分利用您現(xiàn)有的網(wǎng)絡(luò)和安全投資，來識別、隔離被攻擊的組件和建議對其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個不可缺少的部件。安全和網(wǎng)絡(luò)管理員所面臨的問題有：安全和網(wǎng)絡(luò)信息過載性能不佳的攻擊和故障識別、優(yōu)先級劃分和響應(yīng)更高攻擊先進(jìn)程度、速度和修復(fù)成本滿足法規(guī)符合性和審查要求較少的安全人員和預(yù)算思科安全MARS可通過以下功能滿足其需要：集成網(wǎng)絡(luò)智能，進(jìn)行網(wǎng)絡(luò)異常事件和安全事件的先進(jìn)關(guān)聯(lián)察看校正后的事件并自動執(zhí)行調(diào)查通過全面充分利用網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施來防御攻擊監(jiān)控系統(tǒng)、網(wǎng)絡(luò)和安全運行來幫助企業(yè)達(dá)到法規(guī)符合性以最低TCO提供一個易于部署和使用的、可擴(kuò)展的設(shè)備1.5、高性能與高可靠性設(shè)計1.5.1、高性能設(shè)計在XXX公司數(shù)據(jù)中心網(wǎng)絡(luò)中，主干線采用的是萬兆位，因此需要主干設(shè)備要有較高的交換能力，擁有思科一代高密度萬兆位連接，滿足蘇寧電器數(shù)據(jù)網(wǎng)絡(luò)中的高通信量工作站、工作組和服務(wù)器的需求。通過現(xiàn)有銅線線纜或光纖集合工作站服務(wù)器群可以提高多媒體應(yīng)用的運行速度，同時減少瓶頸并提供非堵塞性能。提供第二、第三、第四層無堵塞性能，強大的帶寬整形功能和八個801.1優(yōu)先級排隊，以實現(xiàn)完善的第二、第三、第四層通信控制，最大的介質(zhì)靈活性，保護(hù)了超5類線基礎(chǔ)設(shè)施投資，并以光纖GBIC突破了距離的限制。在XXX公司數(shù)據(jù)中心網(wǎng)絡(luò)中，采用的第三層交換機是基于包進(jìn)行交換的，能夠進(jìn)行分布路由，為了避免發(fā)生堵塞，第三層交換機必須能夠提供接近交換速度的路由能力。另外為了在整個網(wǎng)絡(luò)上實現(xiàn)虛擬網(wǎng)劃分，第三層交換機還必須支持分布式的虛擬網(wǎng)設(shè)置。在關(guān)鍵子網(wǎng)，保證與主干網(wǎng)絡(luò)高速通道的足夠帶寬，以及冗余連接。根據(jù)以上分析，我們充分考慮了系統(tǒng)的性能價格比，采用了具有高可擴(kuò)展性和穩(wěn)定性、最標(biāo)準(zhǔn)的思科公司的全套網(wǎng)絡(luò)產(chǎn)品?？紤]到主干網(wǎng)絡(luò)設(shè)備具有萬兆以太的交換能力，同時支持鏈路匯聚功能，以保證網(wǎng)絡(luò)的帶寬，另外還要支持VLAN劃分，提供靈活活的網(wǎng)絡(luò)配置。并且在蘇寧電器數(shù)據(jù)中心將要使用大量的光纜布線。1.5.2、高可靠性設(shè)計1.5.1.1、拓樸冗余XXX公司中心拓樸在設(shè)計階段就充分考慮線路的冗余問題，以保證數(shù)據(jù)中心網(wǎng)絡(luò)的高可靠性。在XXX公司中心內(nèi)，所有核心設(shè)備之間鏈路都采用雙鏈路冗余備份設(shè)計，保證在某一條鏈路故障時，不影響整個數(shù)據(jù)中心的數(shù)據(jù)交換業(yè)務(wù)。鏈路冗余在數(shù)據(jù)中心的交換機之間的連接均采用EtherChannel的設(shè)計以保證鏈路的冗余。EthernetChannel設(shè)計原則網(wǎng)絡(luò)連接Channel設(shè)計原則核心設(shè)備之間互連2*10GE核心與分布設(shè)備互連2*10GE分布設(shè)備之間互連2*10GE分布與接入設(shè)備互連2*10GE 交換冗余交換區(qū)域的可靠性通過STP實現(xiàn)。被STP阻斷的邏輯鏈路在線路或設(shè)備出現(xiàn)故障的情況下可以自動釋放，形成新的拓?fù)浣Y(jié)構(gòu)，保證網(wǎng)絡(luò)數(shù)據(jù)的正常傳輸。網(wǎng)關(guān)冗余 HSRP（熱備份路由協(xié)議）是為網(wǎng)絡(luò)接入設(shè)備提供三層網(wǎng)關(guān)冗余的技術(shù)。配置的HSRP網(wǎng)關(guān)向接入設(shè)備提供虛擬IP和MAC地址，并使用hello檢測HSRP成員狀態(tài)，確保網(wǎng)關(guān)冗余。分布層設(shè)備在連接普通接入時采用HSRP；HSRP優(yōu)先級策略與STP的根網(wǎng)橋主備設(shè)置一致；HSRP設(shè)置Preempt，確保高優(yōu)先級網(wǎng)關(guān)為激活狀態(tài)路由冗余 網(wǎng)絡(luò)物理鏈路的冗余設(shè)計為路由協(xié)議選擇備份連接提供了基礎(chǔ)。網(wǎng)絡(luò)使用OSPF路由協(xié)議根據(jù)網(wǎng)絡(luò)鏈路的metric計算最短路徑。當(dāng)設(shè)備或連接因故障中斷時，OSPF會自動重新計算網(wǎng)絡(luò)路徑，并使用正常的連接保障數(shù)據(jù)通訊。考慮運行維護(hù)的簡單性，配合STP的RootPrimary定義和HSRPPrimary定義，在網(wǎng)絡(luò)設(shè)計上，將通過metric的調(diào)整，在分布層和核心層將數(shù)據(jù)流引導(dǎo)到冗余網(wǎng)絡(luò)結(jié)構(gòu)的一側(cè)，而當(dāng)設(shè)備或連接因故障中斷時，OSPF會自動重新計算網(wǎng)絡(luò)路徑，并使用正常的連接保障數(shù)據(jù)通訊。1.5.1.2、設(shè)備冗余考慮到數(shù)據(jù)中心的特點，在XXX公司中心設(shè)計初期，就對設(shè)備冗余做了充分的考慮，核心設(shè)備采用可靠性最高的雙機熱備份模式，關(guān)鍵設(shè)備全部雙機熱備份，保證單一設(shè)備故障時，數(shù)據(jù)中心業(yè)務(wù)不受任何影響，徹底解決單點故障問題。引擎冗余數(shù)據(jù)中心的核心的交換機和路由器都使用兩塊冗余引擎，在兩塊冗余引擎上使用SSO的切換方式。SSO切換方式只需要3秒左右就可以完成切換，并且不用重新初始化板卡。網(wǎng)絡(luò)連接RPRRPR+SSOSSO+NFS備份引擎自動切換是是是是同步startup-config是是是是同步running-config否是是是同步RIB&FIB否否是是同步二層鏈路狀態(tài)否否是是同步路由協(xié)議Session否否否是切換時間長較短短短復(fù)雜程度低較低中高 電源冗余 信息中心的網(wǎng)絡(luò)設(shè)備都需要支持兩種電源冗余工作模式，建議使用Redundant模式（默認(rèn)設(shè)置）。Combined模式一般用于電源更換或升級等特殊情況。模塊和端口冗余 模塊和端口冗余的通用原則同一機箱優(yōu)先使用高編號槽位；同一模塊優(yōu)先使用高編號端口；上連鏈路優(yōu)先使用高編號端口、下連鏈路優(yōu)先使用低編號端口，互連鏈路盡量使用引擎上自帶的端口；確保Channel中的兩個端口端口使用不同模塊，由于核心交換機只配置了一塊10GE端口模塊，20GEChannel只能使用同一模塊的端口。1.5.1.3、端口的可靠性端口是網(wǎng)絡(luò)設(shè)備互連的通道，思科提供多種端口功能協(xié)議。為了保障網(wǎng)絡(luò)設(shè)備連接的可靠性，路由交換機端口應(yīng)根據(jù)數(shù)據(jù)中心的通訊模式設(shè)計。協(xié)議路由端口（非Trunk）Trunk交換端口Vlan交換端口Auto-Negotiation禁止禁止，手工設(shè)置禁止DTP禁止啟用禁止PAgP啟用啟用禁止UDLD啟用啟用禁止Vlan無Trunk模式，自動協(xié)商接入模式CDP啟用啟用禁止1.7、XXX公司數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化服務(wù)（此處為相應(yīng)設(shè)備的亮點技術(shù)，根據(jù)具體項目不同編寫）1.7.1、CISCONexus7000虛擬多機技術(shù)CiscoNexus7000系列交換機虛擬多機技術(shù)是一種網(wǎng)絡(luò)系統(tǒng)虛擬化技術(shù)，將一臺CiscoNexus7000系列交換機物理的劃分為多個實體主機，通過對硬件資源，如控制引擎，交換背板的物理劃分，實現(xiàn)將一臺Nexus7000系列交換機劃分為多個虛擬實體，以實現(xiàn)不同業(yè)務(wù)在核心層的隔離，并且，當(dāng)CiscoNexus7000在滿足數(shù)據(jù)中心本身的交換需求后，仍有大量資源空閑時，可以將空閑資源劃分出來另作他用，有效的提高CiscoNexus7000做為網(wǎng)絡(luò)核心的利用率，從而從側(cè)面提升CiscoNexus7000的性能價格比。1.7.1、CISCO6509交換機VSS技術(shù)Cisco6500系列交換機虛擬交換系統(tǒng)（VSS）1440是一種網(wǎng)絡(luò)系統(tǒng)虛擬化技術(shù)，將兩臺采用了VirtualSwitchingSupervisor720-10GVSS的CiscoCatalyst6500系列交換機組合為單一虛擬交換機。在VSS中，這兩個交換機中的管理引擎的數(shù)據(jù)面板和交換陣列能同時激活，因此總系統(tǒng)交換能力可達(dá)1440Gbps。VSS成員通過虛擬交換機鏈路（VSL）連接。VSL在虛擬交換機成員之間使用標(biāo)準(zhǔn)萬兆以太網(wǎng)連接（多達(dá)8條，以提供冗余性）。通過在VirtualSwitchingSupervisor720-10G或WS-X6708-10G模塊的任意端口上使用萬兆以太網(wǎng)上行鏈路，即能形成VSL。除在VSS成員間進(jìn)行控制面板通信外，VSL也能傳輸普通用戶流量。VSS支持所有采用集中或分布式（利用DFC3C或DFC3CXL）轉(zhuǎn)發(fā)模式的CiscoCatalyst6500系列交換機。與傳統(tǒng)的L2/L3網(wǎng)絡(luò)設(shè)計相比，VSS1440提供了多項顯著優(yōu)勢。大體說來，其優(yōu)勢可歸納為以下三個主要方面：VSS能夠提高運營效率單管理點，包括配置文件和單一網(wǎng)關(guān)IP地址（無需HSRP/VRRP/GLBP）多機箱EtherChannel?（MEC）創(chuàng)建了簡單的無環(huán)路拓?fù)浣Y(jié)構(gòu)，不再依靠生成樹協(xié)議（STP）底層物理交換機經(jīng)由標(biāo)準(zhǔn)萬兆以太網(wǎng)接口相連，在位置方面提供了靈活的部署選項VSS能夠優(yōu)化不間斷通信機箱間狀態(tài)化故障切換不會干擾需要使用網(wǎng)絡(luò)狀態(tài)信息的應(yīng)用。憑借VSS，在一個虛擬交換機成員發(fā)生故障時，不再需要進(jìn)行L2/L3重收斂，能在一秒內(nèi)實現(xiàn)確定性虛擬交換機的恢復(fù)。與基于生成樹協(xié)議的收斂不同，使用EtherChannel（801.3ad或PAgP）能在一秒內(nèi)完成確定性L2鏈路恢復(fù)。VSS能夠?qū)⑾到y(tǒng)帶寬容量擴(kuò)展到1.4Tbps在冗余CiscoCatalyst6500系列交換機上激活所有可用的L2帶寬，在EtherChannel基礎(chǔ)上進(jìn)行精確的負(fù)載均衡。為冗余數(shù)據(jù)中心交換機上的服務(wù)器網(wǎng)絡(luò)接口卡（NIC）提供基于標(biāo)準(zhǔn)的鏈路匯聚，實現(xiàn)最高服務(wù)器帶寬吞吐率。消除了因非對稱路由引起的單播洪泛，減少了園區(qū)內(nèi)流量的跳數(shù)，從而節(jié)省了帶寬。1.7.2、FWSM虛擬化技術(shù)及應(yīng)用與思科6500交換機7600路由器結(jié)合，具有靈活的端口擴(kuò)展能力。7600路由器配置防火墻模塊后可以將7600路由器變成一臺廣域網(wǎng)防火墻。路由器上的所有端口均可以配置不同的安全級別。強大的防火墻性能，在單臺65系列交換機7600路由器上可以插4塊FWSM，每塊FWSM的吞吐量為5.5Gbps,四塊合計22Gbps。每個防火墻模塊可支持256個虛擬防火墻，為數(shù)據(jù)中心提供了強大的靈活性。虛擬防火墻的資源可定制，每個虛擬防火墻占用的CPU、Memory以及其最大連接數(shù)等資源可以根據(jù)需要來定制，極大的增加了虛擬防火墻的安全性和可用性。支持高達(dá)256個801.1Q的VLAN，使大大增加了防火墻的使用靈活性。工作模式多樣化，支持透明、路由、NAT、透明路由的混合模式的工作模式。支持多臺防火墻主機的集群，支持Active/Active模式以及Standby模式。支持豐富的QOS特性1.8、XXX公司中心網(wǎng)絡(luò)IP地址設(shè)計（IP地址規(guī)劃，根據(jù)具體項目，具體設(shè)計，一般初期僅做初步描述）蘇寧電器IDC中心網(wǎng)絡(luò)IP地址的設(shè)計，將根據(jù)現(xiàn)有的業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一的規(guī)劃與設(shè)計，在實際允許的情況下兼容原有IP地址，為日后割接提供準(zhǔn)備的基礎(chǔ)。1.9、XXX公司中心網(wǎng)絡(luò)路由協(xié)議設(shè)計（路由設(shè)計，根據(jù)具體項目具體設(shè)計，一般初期僅做初步描述）蘇寧電器IDC中心網(wǎng)絡(luò)路由協(xié)議建議使用OSPF協(xié)議與BGP協(xié)議，OSPF協(xié)議做為其應(yīng)用主協(xié)議，BGP協(xié)議則運行在備份鏈路上，當(dāng)主協(xié)議OSPF故障時，則由BGP協(xié)議替代，以保證其網(wǎng)絡(luò)的連通性，減少協(xié)議倒換的時間。1.10、XXX公司中心網(wǎng)絡(luò)安全設(shè)計（此處為相應(yīng)安全的設(shè)備及技術(shù)，根據(jù)具體項目不同編寫）1.10.1、CISCO6500及CISCO7600防火墻模塊Cisco6500交換機和Cisco7600系列路由器的防火墻服務(wù)模塊（FWSM）是一種高速的、集成化的服務(wù)模塊，可以提供業(yè)界最快的防火墻數(shù)據(jù)傳輸速率：5Gb的吞吐量，100000CPS，以及一百萬個并發(fā)連接。在一個設(shè)備中最多可以安裝四個FWSM，因而每個設(shè)備最高可以提供20Gb的吞吐量。作為世界領(lǐng)先的CiscoPIX防火墻系列的一部分，F(xiàn)WSM可以為大型企業(yè)和服務(wù)供應(yīng)商提供無以倫比的安全性、可靠性和性能。FWSM采用了CiscoPIX技術(shù)，并且運行CiscoPIX操作系統(tǒng)（OS）--一個實時的、牢固的嵌入式系統(tǒng)，可以消除安全漏洞，防止各種可能導(dǎo)致性能降低的損耗。這個系統(tǒng)的核心是一種基于自適應(yīng)安全算法（ASA）的保護(hù)機制，它可以提供面向連接的全狀態(tài)防火墻功能。利用ASA，F(xiàn)WSM可以根據(jù)源地址和目的地地址，隨機的TCP序列號，端口號，以及其他TCP標(biāo)志，為一個會話流創(chuàng)建一個連接表條目。FWSM可以通過對這些連接表條目實施安全策略，控制所有輸入和輸出的流量。FWSM的主要優(yōu)點防火墻的傳統(tǒng)角色已經(jīng)發(fā)生了變化。今天的防火墻不僅可以保護(hù)企業(yè)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的外部接入的攻擊，還可以防止未經(jīng)授權(quán)的用戶接入企業(yè)網(wǎng)絡(luò)的子網(wǎng)、工作組和LAN。FBI的統(tǒng)計數(shù)據(jù)顯示，70%的安全問題都來自于企業(yè)內(nèi)部。在FBI開展的調(diào)查中，五分之一的受訪者表示，在過去12個月中，有入侵者闖入或者試圖闖入他們的企業(yè)網(wǎng)絡(luò)。大部分專家都認(rèn)為，大多數(shù)網(wǎng)絡(luò)入侵活動都沒有被檢測出來。集成模塊FWSM安裝在CiscoCatalyst6500系列交換機或者Cisco7600互聯(lián)網(wǎng)路由器的內(nèi)部，讓這些設(shè)備的任何端口都可以充當(dāng)防火墻端口，并且在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中集成了狀態(tài)防火墻安全。對于那些機架空間非常有限的系統(tǒng)來說，這種功能非常重要。CiscoCatalyst6500真正成為了那些需要各種智能化服務(wù)（例如防火墻接入、入侵檢測、虛擬專用網(wǎng)（VPN））和多層LAN、WAN和MAN交換功能的客戶的首選IP服務(wù)交換機。適應(yīng)未來需要FWSM可以支持5Gb的吞吐量，因而可以提供無以倫比的性能，讓用戶無須對系統(tǒng)進(jìn)行徹底的升級，就可以滿足未來的要求。在Catalyst6500中最多可以添加三個FWSM，以滿足用戶不斷發(fā)展的需求?？煽啃訤WSM建立在CiscoPIX技術(shù)的基礎(chǔ)之上，并使用了同一個經(jīng)過時間檢驗的CiscoPIX操作系統(tǒng)--一個安全的、實時的操作系統(tǒng)。FWSM可以利用行之有效的CiscoPIX技術(shù)檢測分組，從而可以在同一個平臺上提供性能和安全的獨特組合。低廉的整體運營成本FWSM可以提供所有防火墻中最佳的性能價格比。CiscoCatalyst機型的SmartNet?合同中包含了維護(hù)成本。由于FWSM是基于CiscoPIX防火墻的，所以培訓(xùn)和管理成本都很低，而且由于它是集成在設(shè)備內(nèi)部的，所以大大減少了需要管理的設(shè)備的數(shù)量。易用性CiscoPIX設(shè)備管理器的直觀的圖形化用戶界面（GUI）可以用于管理和配置FWSM。在配置和監(jiān)控方面，F(xiàn)WSM可以獲得思科管理框架和CiscoAVVID（集成化語音、視頻和數(shù)據(jù)體系結(jié)構(gòu)）合作伙伴的支持。1.11、XXX公司中心網(wǎng)絡(luò)QoS設(shè)計（QOS設(shè)計，根據(jù)實際情況設(shè)計，一般初期僅做初步描述）IPQoS(QualityofService)是指IP網(wǎng)絡(luò)的一種能力，即在跨越多種底層網(wǎng)絡(luò)技術(shù)（FR、ATM、Ethernet、SDH等）的IP網(wǎng)絡(luò)上，為特定的業(yè)務(wù)提供其所需要的服務(wù)。衡量IPQoS的技術(shù)指標(biāo)包括：1）帶寬/吞吐量－指網(wǎng)絡(luò)的兩個節(jié)點之間特定應(yīng)用業(yè)務(wù)流的平均速率；2）時延－指數(shù)據(jù)包在網(wǎng)絡(luò)的兩個節(jié)點之間傳送的平均往返時間；3）抖動－指時延的變化；4）丟包率－指在網(wǎng)絡(luò)傳輸過程中丟失報文的百分比，用來衡量網(wǎng)絡(luò)正確轉(zhuǎn)發(fā)用戶數(shù)據(jù)的能力；5）可用性－指網(wǎng)絡(luò)可以為用戶提供服務(wù)的時間的百分比。本質(zhì)上，要保證服務(wù)質(zhì)量的最基本和最佳的手段是網(wǎng)絡(luò)容量的擴(kuò)容，通過增加鏈路帶寬來保證網(wǎng)絡(luò)輕載，出于網(wǎng)絡(luò)的實際情況考慮，在有限的帶寬前提下，在鏈路擁塞時，需要保證不同等級業(yè)務(wù)的服務(wù)質(zhì)量，因此，需要在設(shè)備上支持對不同Qos等級的報文優(yōu)先轉(zhuǎn)發(fā)的隊列調(diào)度機制。目前，QoS實現(xiàn)機制主要有兩個：綜合型業(yè)務(wù)（IntServ）模型和區(qū)分型業(yè)務(wù)（Diffserv）模型。集成服務(wù)模型通過RSVP協(xié)議針對每個業(yè)務(wù)流進(jìn)行資源預(yù)留，提供端到端服務(wù)保證。這種服務(wù)模型在應(yīng)用使用之前，首先需要進(jìn)行資源的預(yù)留，針對每個流都要維護(hù)RSVP的軟狀態(tài)。這種服務(wù)模型的的優(yōu)點在于能夠提供細(xì)粒度的、嚴(yán)格的QoS服務(wù)，但是擴(kuò)展性比較差，路由器難以維護(hù)大量的軟狀態(tài)和控制流。由于集成服務(wù)模型的缺點，現(xiàn)在集成服務(wù)模型已經(jīng)很少使用，取而代之的是下面重點介紹的差分服務(wù)模型。差分服務(wù)類型對不同的流進(jìn)行分類，對每個類提供不同的QoS服務(wù)。通過分類，維護(hù)軟狀態(tài)以及控制流的開銷大幅度縮小，可擴(kuò)展性比較高。它的缺點在于提供的服務(wù)是粗粒度的、不嚴(yán)格的QoS服務(wù)。綜合考慮現(xiàn)有Qos技術(shù)，我們推薦蘇寧電器IDC中心Qos改造采用以DiffServ為主的QOS技術(shù)，采用DSCP和IPPrecedence相兼容的標(biāo)記方式。業(yè)務(wù)接入控制點設(shè)備實現(xiàn)業(yè)務(wù)的分類、標(biāo)記和帶寬控制，城域網(wǎng)骨干路由器根據(jù)DSCP等級標(biāo)記按優(yōu)先順序進(jìn)行IP包的轉(zhuǎn)發(fā)。1.12、XXX公司數(shù)據(jù)中心網(wǎng)絡(luò)管理設(shè)計（根據(jù)項目使用網(wǎng)管工具編寫）思科安全監(jiān)控、分析和響應(yīng)系統(tǒng)（思科安全MARS）是一款基于設(shè)備的全功能解決方案，可提供針對您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全MARS是思科安全管理生命周期的一個關(guān)鍵組件，可幫助您的安全和網(wǎng)絡(luò)機構(gòu)識別、管理和抵御安全威脅。它可充分利用您現(xiàn)有的網(wǎng)絡(luò)和安全投資，來識別、隔離被攻擊的組件和建議對其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個不可缺少的部件。安全和網(wǎng)絡(luò)管理員所面臨的問題有：安全和網(wǎng)絡(luò)信息過載性能不佳的攻擊和故障識別、優(yōu)先級劃分和響應(yīng)更高攻擊先進(jìn)程度、速度和修復(fù)成本滿足法規(guī)符合性和審查要求較少的安全人員和預(yù)算思科安全MARS可通過以下功能滿足其需要：集成網(wǎng)絡(luò)智能，進(jìn)行網(wǎng)絡(luò)異常事件和安全事件的先進(jìn)關(guān)聯(lián)察看校正后的事件并自動執(zhí)行調(diào)查通過全面充分利用網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施來防御攻擊監(jiān)控系統(tǒng)、網(wǎng)絡(luò)和安全運行來幫助企業(yè)達(dá)到法規(guī)符合性以最低TCO提供一個易于部署和使用的、可擴(kuò)展的設(shè)備思科安全MARS可將原始網(wǎng)絡(luò)和安全數(shù)據(jù)轉(zhuǎn)化為可操作的智能特性，以提交正確有效的安全事件并保持法規(guī)符合性。這一易于使用的威脅防御設(shè)備系列可利用已部署在您的基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)和安全設(shè)備，使操作員可集中、檢測、防御和報告重要威脅。深度防御問題信息安全已從互聯(lián)網(wǎng)、周邊防護(hù)發(fā)展為深度防御模式，在基礎(chǔ)設(shè)施中部署了多項措施來抵御安全漏洞和攻擊。鑒于攻擊頻率日益增加、攻擊復(fù)雜度各不相同，以及攻擊非常迅速，網(wǎng)絡(luò)內(nèi)部和周邊間的界線逐漸模糊，因此這些措施是非常必要的。為試圖利用漏洞發(fā)動攻擊，每天攻擊者都會對網(wǎng)絡(luò)接入點和系統(tǒng)進(jìn)行數(shù)千次探測。先進(jìn)的混合攻擊使用多種欺騙式攻擊方法，以便從機構(gòu)內(nèi)外獲得未授權(quán)系統(tǒng)訪問和控制。蠕蟲、零日攻擊、病毒、特洛伊木馬、間諜軟件和攻擊工具的普及可對最為堅固的基礎(chǔ)設(shè)施構(gòu)成挑戰(zhàn)——導(dǎo)致防御作用時間縮短、出現(xiàn)停運和昂貴的修復(fù)措施。除服務(wù)器和網(wǎng)絡(luò)設(shè)備數(shù)量較多外，每個安全組件都提供獨立的事件記錄和報警功能，以用于異常流量檢測、威脅響應(yīng)和分析。不幸的是，這就生成了大量的干擾、報警、日志文件和誤報，需操作員辨別或高效利用它們——但這樣的前提是有足夠的時間和資源來分析和了解這些信息。此外，法規(guī)也要求嚴(yán)格數(shù)據(jù)保密、更高運營安全性和進(jìn)行持續(xù)審查。先進(jìn)的安全信息管理安全信息/事件管理（SIM）產(chǎn)品從邏輯上看來避免了這一問題——因為您無法對您不能測量出的信息加以管理。SIM使操作員擁有了集中操作的能力：匯總安全事件和記錄，通過有限關(guān)聯(lián)和查詢技術(shù)來分析數(shù)據(jù)，并針對獨立事件生成報警和報告。思科通過一個可擴(kuò)展的企業(yè)威脅防御設(shè)備系列，解決了這些安全問題，彌補了管理的不足。思科安全MARS提供了一個易于部署和使用、經(jīng)濟(jì)有效、性能出眾的安全命令和控制解決方案，對您的網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施投資構(gòu)成補充。思科安全MARS是一個性能出眾的可擴(kuò)展威脅防御設(shè)備系列，通過結(jié)合網(wǎng)絡(luò)智能、ContextCorrelationTM、SureVectorTM分析和AutoMitigateTM功能，來使公司能作好準(zhǔn)備，識別、管理和消除網(wǎng)絡(luò)攻擊并保持法規(guī)符合性，從而增強已部署的網(wǎng)絡(luò)設(shè)備和安全措施。思科安全MARS的主要特性和優(yōu)勢網(wǎng)絡(luò)智能事件匯總和性能處理思科安全MARS了解路由器、交換機和防火墻的拓?fù)浜驮O(shè)備配置，以及網(wǎng)絡(luò)流量配置，實現(xiàn)了網(wǎng)絡(luò)智能。通過該系統(tǒng)的集成網(wǎng)絡(luò)發(fā)現(xiàn)功能，可構(gòu)建一個包括設(shè)備配置和當(dāng)前安全策略的拓?fù)鋱D，使思科安全MARS能對您網(wǎng)絡(luò)中的分組流建模。因為此設(shè)備不在內(nèi)部運行，極少使用現(xiàn)有軟件代理，所以對網(wǎng)絡(luò)或系統(tǒng)性能的影響極小。這一設(shè)備集中匯總了來自各種常用網(wǎng)絡(luò)設(shè)備（如路由器和交換機）、安全設(shè)備和應(yīng)用（如防火墻、入侵檢測、漏洞掃描器和防病毒軟件）、主機（如Windows、Solaris和Linux系統(tǒng)日志）、應(yīng)用（如數(shù)據(jù)庫、Web服務(wù)器和驗證服務(wù)器）以及網(wǎng)絡(luò)流量（如CiscoNetFlow）的日志和事件。ContextCorrelationTM在接收到事件和數(shù)據(jù)時，可針對網(wǎng)絡(luò)拓?fù)洹⑺l(fā)現(xiàn)的設(shè)備配置、相同的源和目的地應(yīng)用（跨NAT邊界）和類似的攻擊類型，來對信息進(jìn)行標(biāo)準(zhǔn)化。相似的事件會進(jìn)行實時分組，隨后對其運用由系統(tǒng)和用戶定義的關(guān)聯(lián)規(guī)則，來識別事故。系統(tǒng)配備了全面的預(yù)定義規(guī)則，Protego會經(jīng)常更新這些規(guī)則，它們能識別大多數(shù)混合攻擊、零日攻擊和蠕蟲。一個圖形化規(guī)則定義框架簡化了用戶為任何應(yīng)用創(chuàng)建定制規(guī)則的過程。ContextCorrelation大大減少了原始事件數(shù)據(jù)、實現(xiàn)了響應(yīng)優(yōu)先級劃分并可最大限度地發(fā)揮所部署的措施的作用。高性能匯總和整合。思科安全MARS解決方案可獲取數(shù)千個原始事件，高效地對事件分類，實現(xiàn)前所未有的數(shù)據(jù)減少，并壓縮這些信息以進(jìn)行歸檔。管理大量安全事件需要一個安全、穩(wěn)定的集中記錄平臺。思科安全MARS設(shè)備可安全地優(yōu)化，接收極其大量的事件流量——每秒超過10000個事件或每秒超過30萬個NetFlow事件。通過即將榮獲專利的Protego內(nèi)部處理邏輯和采用內(nèi)嵌Oracle，這一切成為可能。所有數(shù)據(jù)庫功能和調(diào)整都對用戶透明。板載存儲并可將歷史數(shù)據(jù)檔案持續(xù)壓縮到NFS備用存儲設(shè)備的功能，使思科安全MARS成為一個強大的安全日志/事件匯總解決方案。事件查看和有效防御思科安全MARS有助于加速和簡化威脅識別、調(diào)查、校正和防御的過程。安全人員通常面臨著所提交的事件需要耗時的分析才能解決問題和進(jìn)行修復(fù)的情況。思科安全MARS具有一個功能強大的交互式安全管理控制臺。操作員GUI提供了一個由實時熱點、事故、攻擊路徑和具體調(diào)查組成的拓?fù)鋱D，可使用戶完全了解事件——立即確認(rèn)有效威脅。SureVectorTM分析事件進(jìn)程等過程，通過評估直至終端MAC地址的整個攻擊路徑，來確定威脅是否有效或是否已進(jìn)行了防御。這一自動過程是由分析防火墻和入侵防御應(yīng)用等設(shè)備記錄、分析第三方漏洞評估數(shù)據(jù)，以及籍由思科安全MARS終端掃描來消除誤報而完成的。用戶可快速、精確地調(diào)整系統(tǒng)，來進(jìn)一步減少誤報。所有安全計劃的最終目標(biāo)是保持系統(tǒng)在線并正常運作——即防御安全違背、抑制事件并進(jìn)行修復(fù)。憑借思科安全MARS，操作員可迅速了解攻擊中涉及的所有組件，這可具體到受破壞的系統(tǒng)MAC地址。AutoMitigateTM功能可識別攻擊路徑上的阻塞點設(shè)備，并自動提供用戶可用以防御威脅的適當(dāng)設(shè)備命令。通過充分利用基礎(chǔ)設(shè)施，可快速、準(zhǔn)確地防御和抑制攻擊。實時調(diào)查和法規(guī)符合性報告思科安全MARS具有一個易于使用的分析框架，簡化了傳統(tǒng)的安全工作流程，在日常運作和特殊審查時實現(xiàn)了自動的案例分配、調(diào)查、提交、通知和說明。它可圖形化地重現(xiàn)攻擊并檢索所存儲的事件數(shù)據(jù)，來分析以前的事件。此系統(tǒng)完全支持臨時查詢，可進(jìn)行實時和持續(xù)數(shù)據(jù)采集。思科安全MARS提供大量的預(yù)定義報告，來滿足運營需要，有助于達(dá)到法規(guī)符合性要求，包括Sarbox、GLBA、HTPPA、FISMA和BaselII。一個直觀的報告生成器可以修改80多種標(biāo)準(zhǔn)報告或生成新報告，以一種無限制的方式，用數(shù)據(jù)、趨勢和圖表格式構(gòu)建安全措施和修復(fù)計劃、事件和網(wǎng)絡(luò)活動、安全狀態(tài)和審查，以及部門報告。此系統(tǒng)也能提供批報告和電子郵件報告。迅速部署和可擴(kuò)展管理思科安全MARS置于一個TCP/IP網(wǎng)絡(luò)上，可發(fā)送和接收系統(tǒng)日志、SNMP捕獲，并通過標(biāo)準(zhǔn)安全協(xié)議或廠商特定協(xié)議，與已部署的網(wǎng)絡(luò)和安全設(shè)備建立安全連接。只需將其插入網(wǎng)絡(luò)即可。安裝和部署思科安全MARS時無需其他硬件、操作系統(tǒng)補丁、許可或冗長的專業(yè)服務(wù)部署過程。您只需配置您的日志源，指向MARS設(shè)備，并通過基于Web的GUI定義任意網(wǎng)絡(luò)和數(shù)據(jù)源。該設(shè)備由一個安全、基于Web的界面集中管理，它支持基于角色的管理?？蛇x思科安全MARSGC設(shè)備集中了廣泛的安全操作，可提供整個企業(yè)的單一視圖，分發(fā)訪問權(quán)限、配置、更新、定制規(guī)則和報告模板，并將復(fù)雜的調(diào)查與本地處理的加速查詢和報告相結(jié)合。因為本地思科安全MARS設(shè)備可在整個企業(yè)中執(zhí)行查詢和規(guī)則，因此能高效地獲得整合結(jié)果，快速、集中地在思科安全MARSGC中進(jìn)行分析。這一可擴(kuò)展架構(gòu)提供了一個附加的分布處理和存儲層。因此可實現(xiàn)更為經(jīng)濟(jì)有效的部署和更高可管理性，滿足地理位置分散的大型機構(gòu)的需求。1.13、設(shè)備概述（此處為相應(yīng)的設(shè)備描述，根據(jù)不同項目，使用的不同設(shè)備描述）1.13.1、CISCO7010核心交換機CSICO7010是一款針對大規(guī)模數(shù)據(jù)中心應(yīng)用而設(shè)計的核心交換機，它的吞吐量可以達(dá)到15Tbps。它目前可以支持10Gbps的以太網(wǎng)，將來根據(jù)需要可以升級到支持40Gbps/100Gbps以太網(wǎng)。它采用CSICONX-OS操作系統(tǒng)，創(chuàng)新之處在于可以支持端到端的大規(guī)模數(shù)據(jù)中心連接。它最大可以同時支持256個10Gbps以太網(wǎng)端口或384個10/100/1000Mbps以太網(wǎng)端口。1.13.1.1、CSICONX-OS操作系統(tǒng)集合了CSICO的大量創(chuàng)新的健壯、自愈、豐富的特征設(shè)置。內(nèi)核的模塊化、虛擬性和彈性設(shè)置支持其