武汉分公司网络分为管理业务网和实时生产数据网，管理业务网覆盖公司所有部门，涉及ERP、OA、人力资源等业务数据，实时生产数据网主要涉及实时数据采集、视频监控、安全环保监测等生产数据，两网之间以防火墙进行逻辑隔离。

网络改造前，公司管理业务网络和实时生产数据网络中都没有数据中心，服务器都是直接联入网络，没有比较好的手段来保证服务器系统安全，根据公司网络改造要求，需建立独立的数据中心，在有限经费的情况下，如何利用一套网络设备，完成管理业务数据和实时生产数据两个数据中心的搭建，成为考虑的重点。

数据中心建设

建设目标

为服务器搭建专用网络架构，全万兆互联、服务器千兆接入、重要应用双线冗余，与用户业务网络用防火墙进行逻辑隔离，提高服务器区稳定性和安全性。

采用的技术

Virtual Device Context（VDC）

VDC是一种一虚多的技术，将一个物理设备虚拟成多个逻辑设备，每个逻辑设备的故障隔离、管理隔离、地址分配隔离、自适应资源管理、service differentiation domains。目前VDC仅在Cisco N7K平台支持。

虚拟出的VDC有以下特色：

（1）每个 VDC 都有独立的容错才能，其间一个VDC出故障不会影响其他VDC的正常运转，完成故障阻隔。如下图若是VDC2出现故障并不会影响 VDC1，3，4 等的正常运转。

（2）独立的管理接口，进入物理设备的VDC实例进行管理各自的VDC。管理员能够别离进入不相同的VDC域中对每个VDC进行管理和装备，相互之间不受影响，对外看来就好像对不相同的物理设备进行管理操控。

（3）独立的地址分配，每个VDC就是一个独立的网络。

（4）具有各自独立的接口资源管理。端口分配到各个VDC，可是分配成功后不能在VDC之间同享，只要某一端口分配到其间一个VDC，这个端口就不能在分配给其他的VDC。（包括管理地址）

在本次数据中心搭建中，虚拟出来的每个VDC就是一台设备的方式呈现在管理员面前。每个VDC运转各自的软件进程。VDC还虚拟出独立的操控面，包含了所以有软件功能，比如ospf协议，bgp协议等等。一切控制层面以及数据层面的数据都是由各自的VDC独立完成的。

VDOM虚拟域设置可以使一台防火墙设备能够根据服务商的管理安全服务器对多个网络提供独立的防火墙与路由服务，使将一台物理防火墙划分为两个或两个以上的可以独立运行的虚拟防火墙技术。VDOM优势在于简化管理、保持安全性、便捷的VDOM添加与减少。

独立的VDO M各自完全分离，VDOM间 彼此没有通讯，各个VDOM的管理员可以管理自己的VDOM，可以用于多个公司或多个部门共享单独一台物理FortiGate，通过VDOM实现各自安全策略及internet需求。

在本次数据中心网络环境搭建中，防火墙采用透明模式，分别连接数据中心核心交换机N7010和管理网核心6509、生产网核心6509。为避免不同VDC之间的数据流，在防火墙上配置了VDOM，隔离了管理网应用数据和生产网应用数据。

拓扑架构及说明

拓扑架构

如图1所示。

图1 架构图

在数据中心三层架构中，N7K交换机作为核心层交换机，每台N7K采用了VDC技术，各划分了两个VDC：VDC-管理业务网、VDC-实时生产数据网，每个VDC划分不同数据端口和管理端口，隔离开管理业务网络和实时生产数据网络数据，并实现了VDC双核心冗余管理；N5K交换机与N2K扩展板模块实现了汇聚层与接入层功能，N7K通过不同端口、数据链路分别连接两台N5K，实现了管理业务网与实时生产数据网的数据流分离。

两台防火墙采用虚拟域技术，分别将不同端口划分到管理业务域VDOM1（FW-1，FW-2）和实时生产数据域VDOM2（FW-3，FW-4），与管理业务网络核心和实时生产数据网络核心、VDC- 管理业务网和VDC-实时生产数据网相连，实现了两网数据中心的数据隔离，并能根据管理业务网和实时生产数据网业务需求不同，在不同的虚拟域中配置不同的策略，以提高服务器系统安全性。

结语

通过使用思科N7K交换机VDC虚拟化技术和飞塔防火墙VDOM虚拟域技术，武汉分公司实现了用一套设备搭建两套数据中心的改造目的，也达到了管理业务网与实时生产数据网络的数据逻辑隔离，提高了两个数据中心的安全性。