武振华

（中铁十二局集团有限公司， 山西　太原　030024）

1　概述

互联网与数字技术像水和空气一样正成为人们生活和工作中不可或缺的一部分，而数据中心正成为企业业务的基石。业务的快速迭代和创新意味着IT基础架构要承载更多的变化，能够快速地响应业务的需求，需要可扩展的性能、灵活的配置、高效的通信、更高的计算操作，与此同时，改善能源效率以降低运营成本也是必然的选择。但传统基础架构资源分散、成本高昂、能耗巨大、管理低效的弊端，制约了企业转型的速度。同时客户需求及市场的快速变化，要求企业的信息系统及数据中心建设同时进入创新的快车道。

1.1　建设目标

随着企业的不断发展壮大以及信息化程度加深的需求，企业信息化基础设施建设应向着数据中心的方向发展，第一步是实现企业用户日常工作信息化；第二步是实现企业全部业务、数据信息化；第三步是最终建设完成“高性能、高效率、易扩展、易管理、稳定可靠”的信息化基础设施。

1.2　建设原则

企业数据中心建设既要适应当前业务应用，又要面向未来发展。一是采用先进成熟技术并保持一段时期内的先进性；二是采用备份、冗余、监控、保密等技术提高安全可靠性；三是覆盖范围、层次、容量灵活可扩展，实现技术升级、设备更新无阻碍；四是坚持统一规范的原则以实现开放融合、互联互通；五是坚持投入产出比最大化，提高经济性；六是建立信息化基础设施管理系统以实现日常故障监控、资源管理。

1.3　总体规划

一是建设主干线路万兆，接入终端千兆的网络架构，实现数据快速转发，业务信息系统快速访问；二是整合现有业务系统服务器资源，建设企业云平台，为快速部署业务信息系统、实现数据分享、利用大数据分析精准管理企业做好准备；三是建设完善的、多层级的网络安全防护体系，保障信息安全，避免外部攻击、内部病毒传播，实现上级机关及公安部门要求的信息系统等级保护；四是做好具有前瞻性的总体规划，然后按照分步实施的方案进行分阶段、分批部署，保证逐步部署的设备相互匹配，没有瓶颈，管理方便。

2　数据中心规划节点分析

2.1　IT架构管理

中小企业的IT架构现在仍然主要是传统架构，其主要面临以下问题：新业务上线速度慢，需要部署环境、采购硬件；旧业务扩容需要购置存储、迁移数据；硬件设备不断增加，网络、安全、计算、存储设备的利用率、运行效能低下；故障率高且不易发现等。

在现阶段，企业的业务信息化不断深化，应规划建设新型IT架构，即建设企业云。利用软件定义企业数据中心，将计算、网络、存储、安全资源虚拟化，通过软件快速搭建数据中心。首先是将企业的X86架构服务器进行虚拟化，在服务器内部搭建计算和存储资源池，按需建立虚拟机，充分利用服务器CPU、内存、磁盘空间。后期需要扩容时，只需堆叠添加标准的服务器，即可实现整体资源池扩展，无需复杂的存储迁移和网络改造。快速搭建虚拟机实现了业务测试系统、正式系统的快速上线，并可以快速部署配套的网络、安全架构，如图1所示。

现阶段，不仅有单独的软件来实现企业云，而且推出了内置软件的一体机，包含了一整套的解决方案。

IT新架构的优势是：数据中心业务状态、网络结构、数据动态实时、清晰展示，更好把控数据中心整体情况；快速、智能定位网络故障节点，减少运维工作量；简化数据中心结构，降低机房成本投入，合理灵活利用空闲资源；缩短业务系统上线时间，提升业务改造扩容速度。

图1　基础网络拓扑架构

2.2　链路管理

多链路、多运营商接入是保证链路正常工作的一般做法，国内主要互联网运营商是中国联通和中国电信。为保证链路的安全，一般要求运营商将企业新接入的独享光纤线路直接连接到其城市区域性核心机房，以保证线路中间无节点故障隐患。

2.3　路由器

核心路由器处于企业数据中心网络的核心位置。不仅要有极高的转发性能，而且可靠性和扩展性也要很强。

高端路由器应支持网络虚拟化，将多台路由器虚拟为一台，以提高设备安全性、链路带宽利用率、设备使用率，并降低维护、管理的成本；应采用开放式架构，可以插入安全等业务板卡，但同时也要规避只能使用同一厂商嵌入式板卡的弊端；路由器如采用路由、转发、业务处理硬件分离的设计时，则可以提高设备的处理能力；路由器的接口密度、路由策略、加密能力、VPN功能也是选择设备时的重点关注指标。

路由器的安全性能应关注其防火墙功能，防攻击手段，如ARP、单包、扫描、泛洪等攻击，具有黑名单、网页过滤、日志记录等功能。

路由器的宽带管理性能是解决网络拥塞、延时的重要途径，要通过链路负载均衡实现数据流量的分担，通过带宽预留实现关键业务数据流的质量，通过智能流量调度、分级管理、分层管理实现带宽利用率的最大化。

2.4　交换机

核心交换机处于企业数据中心网络的核心位置，不仅要有极高的转发性能，主要关注设备的交换容量和包转发率，而且可靠性和扩展性也要很强，关注设备的主控网板、交换网板的数量和电源、风扇的冗余设计，设备的业务板根据机房规模和未来发展规划也要留有冗余。同时，板卡正交的结构为最新架构，较传统背板连接架构在数据处理能力有较大优势。

数据中心核心交换机在面向未来云计算、大数据等新技术，应具备横向虚拟化和纵向虚拟化能力。

2.5　虚拟专用网络（VPN）

部分集团级企业的分布模式为集团总部、子公司，企业各级分布在不同的城市，其业务则遍布全国甚至海外，各地的企业用户通过网络访问部署在集团总部的信息系统。这些企业形成了业务分散和信息数据集中的部署模式，因此需要一种非常安全的方式实现异地网络互联。VPN提供一个在两个或多个远程网络装置之间的安全信道。IP Sec VPN解决了异地机构快速组网、大型专网数据安全加密、行业专网VPN延伸、专网单一链路稳定备份等功能。IP Sec VPN可以大幅提升跨国、跨运营商等高丢包网络环境下的VPN访问速度，且实现数据的高强度加密。通过多线路传输技术实现线路冗余备份、带宽扩展、按分支需求分配带宽等，保证网络稳定，提高数据传输速度。

部分集团级企业需要企业人员可以随时随地简单、安全、快速、经济地经过公网访问总部信息系统，SSL VPN实现了这个需求。SSL VPN通过多种身份认证方式保障了用户接入的可靠性；通过安全桌面技术防止数据留存在用户终端；通过数据加密保障数据传输安全；从链路、传输、数据、应用四个层次提高访问速度；支持主流操作系统和浏览器，提高用户体验。现阶段的部分VPN产品还实现了将PC业务发布到移动终端的功能，利用单点登录技术实现访问便捷、自动启动、后台运行等功能，从而提供了VPN的访问体验。

但是随着互联网的快速发展，服务器、终端、信息系统等安全性能的不断提升，直接通过互联网访问应该是未来的发展趋势。

2.6　负载

对于中型企业来说，企业数据中心部署了至少两个运营商的线路以保证互联网连接，或建设了企业广域网。企业部署了多个业务信息系统，为保证系统的稳定，部署两台或多台发布服务器。基于这些需求，需要部署负载均衡设备以保障互联网和业务系统访问。

网络负载均衡设备经过发展已经成为应用交付设备：可以通过统计分析功能实时展示企业链路和服务器的运行和资源利用情况，进而为优化配置提供依据；可以通过链路、服务器、全局的负载均衡避免链路故障、服务器故障、增加或减少服务器等对业务的影响，且及时通过短信、邮件通知管理人员；可以利用链路选择、服务器性能优化、单边加速、智能分析等技术，提高链路和服务器资源利用率，以加快和提升用户访问应用系统的体验和效果。

负载均衡设备主要是保证链路均衡、服务器均衡、并进行智能DNS、集群。应具备统计分析功能，并可以按照一定的时间导出分析报表。用于选择统计的项目，包括上行流量、下行流量、访问次数、并发连接数等。

2.7　上网行为管理

现代企业工作已经离不开计算机和网络，企业网络带宽的需求逐年上涨，但是如何让有限的网络带宽服务工作，上网行为管理设备成为了企业必备的网络设备。其可以按需分配网络资源，保证用户访问速度，并通过数据分析提高网络管理；可以阻止或减少非工作网络资源的使用，加快办公网络的速度，提高工作效率；可以记录网络访问行为，管控向企业外部发送的信息，避免泄密和法律风险；可以阻止部分病毒入侵，保障数据安全。

因为上网行为管理可以检测整个网络，所以其不仅应具备以上基础功能，还应该具备网络安全的功能。应内置防火墙、恶意网址库、应用识别规则库、防DOS攻击、防ARP欺骗、异常流量识别阻断。

随着新技术的发展，现阶段的上网行为管理覆盖更全面，能够识别所有的互联网应用、网页、P2P等；管理更精细灵活智能，流控策略更精细，可以自动提醒用户上网行为、自动分析上网行为的风险并进行预警、提供风险智能报表。

2.8　网络安全管理

网络攻击越来越多，网络风险愈加严重，网络安全备受关注，中小企业传统的、拼凑的网络防护难以承受。主要表现在：分类部署的防护设备应对的是不同的攻击，互相之间无法共享攻击信息，难以进行统一防护；无法及时发现安全漏洞进行防护；部署全部安全设备的投资成本较大且存在被攻击绕过的风险；缺乏专家型的网络安全人员运维导致网络安全设备无法发挥最大效能。

未来的网络安全防护需要的是深度检测企业L2—L7层网络，及时发现业务漏洞，防患未然；利用大数据分析、预测、发现已知和未知威胁，以达到及时防护；安全防护产品简单、易用，且通过大数据不断及时更新漏洞和攻击的特征库。

现阶段，企业在部署或更换现有网络防护设备时应将应用层的检测和入侵防护放在重要位置，且从网络中的业务、用户、漏洞三个方面进行分析。通过更加直观的方式、全天候不间断、及时通知、提供处理建议、一键防护、统一管控等方面帮助用户及时处理网络威胁，实现自动化安全管理。

网络安全节点分为防火墙、漏洞扫描、安全审计、运维管理、终端检测、数据分析、网络管理、终端安全等。IPS入侵防御设备可以深入到网络7层的分析和检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、性能、设备的保护。

2.9　服务器管理

在云计算和数据中心集中化的影响下，多年来服务器一直在朝着高密度方向发展，目标是体积更小、功耗更低、高可管理性和扩展性。旧有的塔式服务器已经逐渐边缘化，机架式服务器则成为市场主流，目前已经在各种企业系统中扮演重要角色。在选购X86架构服务器时应尽量选择规格型号相同的服务器，以便更好地将服务器组成服务器池，避免不同型号服务器产生的不兼容；同时选择单CPU处理能力高的服务器，提高性价比。

相对传统X86服务器集群和融合基础架构产品相比，新的刀片服务器解决方案将会在可靠性、稳定性、密度空间、节能、维护管理方面表现更加突出。由于能够更好地支持云计算、大数据等第三平台应用，刀片服务器近年来成为全球服务器市场的亮点之一。

刀片服务器为用户提供更快、更稳定的重要业务应用性能，从而提高用户的整体业务生产效率。使用刀片服务器后，服务器性能提升、应用性能改善、应用速度提高，企业员工在使用IT系统的过程中，能够更快获取和处理信息，从而提高生产效率，帮助业务发展。刀片服务器意外宕机次数减少，且恢复速度加快，使用户减少相关风险。使用刀片服务器还可以整合服务器，在保证性能不下降的前提下减少服务器硬件资本支出，以及相应的软件许可证支出。

对于负责监控、管理、配置服务器的IT员工来说，集中化管理意味着节省时间和提高操作效率。私有云技术的普及将进一步推动刀片服务器的发展。

2.10　存储

数据中心的数据是企业的核心资产，数据的安全性是重中之重。数据存储一定要做好安全防护，最好部署专业的备份管理系统，并施行每日自动备份。为了防止不可抗拒力量造成的数据丢失，应施行异地备份策略。

2.11　数据中心管理系统

数据中心作为信息与信息系统的物理载体，主要用于和IT相关的主机、网络、存储等设备和资源的存放和管理。传统的管理工具是单一的、未互通的，难以满足云时代的具有集中机房、互通网络、共享资源、虚拟设备、动态配置特点的数据中心。对企业核心业务和关键网络质量的保障仍然是IT管理的第一要务。IT管理首先要快速定位故障、多维度对全业务进行统一监控分析、完成设备自动部署和批量配置；进一步要挖掘分析业务信息、呈现展示业务状态，为企业管理和发展提供依据。基于此，数据中心管理系统要提供完善的网络、计算、虚拟化、业务应用的综合管理。

数据中心管理系统需要提供中心拓扑，清晰地展现基础设施和网络、计算、流量；展示物理设备之间，物理设备与虚拟设备之间的从属和链接关系；提供业务系统监控管理，实现实时发现问题并报警，同时提供报表以帮助管理者找出问题所在；实时展示中心外部访问数据中心的数据流量，以及中心内部的流量分布，为更好地分配资源，保障业务稳定运行提供实时数据。

数据中心的自动化管理和安全管理也至关重要。需要具备大批量设备上线时的模板化快速部署，不同厂商和不同型号设备的编排管理，虚拟服务器和虚拟网络的自动迁移，中心运行情况的自动分析，完成中心设备合规检查、操作审计、终端接入控制。

2.12　机房环境管理

企业在部署刀片服务器等高密度产品时，应密切关注数据中心单机柜供电能力。单机柜供电20 A以上可以更好发挥刀片服务器性能优势，如满配且重负载，建议单机柜35—40 A供电。

机房内要安装专用空调、加湿机以保持恒温、恒湿。安装UPS不间断电源，保证供电安全；安装环境报警装置，以及时发现烟雾、温度升高等突发情况。

3　发展方向

企业数据中心可以向大型数据中心迁移，转变为托管的数据中心，随着新技术的不断涌现，企业数据中心将更加高效、智能、自动。未来，可以探索将信息系统部署到公有云，以实现快速、安全访问。

4　结论

企业数据中心是企业信息化的核心，是实现企业业务信息化的基础。我国十三五发展纲要中明确要求：实施网络强国战略，拓展网络经济空间，加快构建高速、移动、安全、泛在的新一代信息基础设施，加快信息网络新技术开发应用，布局未来网络架构、技术体系和安全保障体系。现代企业一定要明确自身信息化未来发展方向，从企业实际出发，提早合理规划，逐步开展企业数据中心建设，为实现企业提质增效拥抱互联网、拥抱信息化。