■

出口方面有4条千兆光纤通过不同代理商连接至电信IP城域网，联通IP城域网和教育网等运营商网络。分别通过1台华三7506、3台华三3600接入到互联网数据中心。由于网关在各个运营商局端，在互联网数据中心机房组成了一个二层的接入网络。互联网数据中心的用户通过直接分配不同运营商的IP实现IDC主机托管服务。

网络改造前拓扑图如图1所示。

数据中心网络存在的问题

1.网络不稳定

a)IDC主机托管用户、园区网中的上网用户、专线用户、内网用户，多用户混杂存在相互透传，相互影响。

b)所有用户全部都在一个VLAN13，无用的广播、组播流量大，浪费网络带宽资源。（如图1所示）

c)所有用户全部都在同一个VLAN，一旦有用户中了网络病毒，其它用户都受影响。

2.用户双线的容易成环（如图2所示）

图1 改造前网络拓扑结构

图2 容易形成环

IDC用户由于构建内网的需要，常常需要在自己的交换机上构建内网：

a)IDC用户的内网透传到其他用户（单线和多线都存在）

b)因为用户交换机（因用户端没有或没必要划分VLAN）的存在很容易成环。（双线或多线）

3.双线用户需要配置多个ISP的IP

由于用户对联通、电信、教育网不同的需求往往需要分配多个ISP的IP地址，目前只能将多个ISP的IP地址直接分配给用户，这样存在如下问题：

a)用户需要自己对我们分配的不同运营商的IP做路由优化。

b)双线或多线接入容易成环。

c)用户感知度不好。

建设目标

利用较少的投资，优化全网结构，解决网络不稳定、解决双线容易成环、实现出方向和入方向的智能选择路由、QoS带宽限制及保障等问题，同时加强网络的安全性和可靠性，尽量避免单点故障、减少故障点，尽量实现设备与设备之间、线路与线路之间有冗余、实现互联网数据中心的网络故障能在较短的时间里进行修复或者尽可能不要让故障发生。

升级改造

网络改造后拓扑图如图2所示。出口方面：将原有4条来自不同运营商的光纤接到新购买的华三 S5500光纤交换机，同时在同一机柜部署一台同配置的华三S5500交换机，作为冷备。一旦出现故障后，只要切换相关连接线路即可。华三S5500主交换机通过2条千兆光纤与天融信NGFW4000-UF(TG-41608)防火墙采用链路聚合技术LACP(Link Aggregation Control Protocol)将2个千兆光口静态聚合成一个端口，通过这种方式大大提高了设备互联的可靠性，同时使带宽处理能力增加了2倍。具体配置如下：

华三S5500的配置：

interface Bridge-Aggre gation1

图3 改造后的网络拓扑结构

防火墙的配置：

核心层：天融信NGFW 4000-UF往下通过4个光纤千兆口中分别两两连接至Array公司的两台APV2600负载均衡设备一主一备(所有用户的NAT、基于源IP地址的策略路由、QoS即针对电信、联通的IP地址限制带宽，Smart智能DNS解析等功能都在负载均衡器上面，因此采用了双核心，大大地提高了互联网数据中心网络的可靠性和稳定性)。同时也采用了链路聚合技术LACP(Link Aggregation Control Proto col)将2个千兆光口静态聚合成一个端口，提高了可靠性，增加了带宽处理能力。

Array的配置：

1、链路聚合配置：

2、NAT的配置：

3、QoS的配置：

4、基于源IP地址的策略路由

汇聚及接入层：两台Array公司的负载均衡器往下分别通过3个千兆光纤端口连接至3台华三公司S5500。同时也采用了链路聚合技术LACP(Link Aggregation Control Protocol)将3个千兆光口静态聚合成一个端口，提高了可靠性，增加了带宽处理能力。

为了减少Array APV2600负载均衡器的负载，因此将IDC用户的私有网段IP网关（作为IDC主机托管用户服务器IP的网关）部署在华三S5500。3台华三交换机采用虚拟化技术IRF（IRF是 Intelligent Resilient Framework的简称，即智能弹性架构）将3台华三交换机虚拟成一台逻辑交换机，使用BFD MAD做分裂检测。这样可以大大地提高主干接入层即IDC用户网关汇聚点的稳定生及可靠性。

IDC接入交换机通过双千兆光纤链路分别连接至数据中心交换机1和数据中心交换机2，或者是数据中心交换机2和数据中心交换机3。通过这种方式可以避免单台设备故障时，不受影响，仍然可以正常地提供网络服务。

改造后的效果

实践证明：通过以上的升级改造，利用较少的投资，优化了全网结构，大大地提高了网络的稳定性及可靠性；采用NAT技术和每一个用户一个VLAN完全避免二层网络成环后，影响其它所有用户的问题；采用基于目的IP和源IP地址的策略路由和Smart智能DNS解析，实现出方向和入方向智能选择路由，提高了用户的感知度；实现QoS精确带宽的限制，提高了带宽资源利用率，丰富了IDC主机托管的产品种类；同时进一步通过防火墙和IPS等产品加强网络的安全性和可靠性；通过多线路、多设备、双机冗余，避免了单点故障，减少故障点，尽量实现设备与设备之间、线路与线路之间有冗余、达到了互联网数据中心的网络故障能在较短的时间里进行修复，同时也满足了客户对网络服务质量的较高要求，提高了用户的感知度，提升了服务质量。