张明安

关键词：网络虚拟化设计；网络安全；云网融合设计；双活存储

中图分类号：TP319 文献标识码：A

文章编号：1009-3044（2023）21-0085-03

0 引言

随着信息技术的不断发展，信息技术的应用不断深入，信息技术对经济、社会和文化的影响更加深刻。正确地引导和发展信息技术和信息产业来推进社会发展、方便人民生活变得尤为重要[1]。

信息化建设在给系统带来管理效益和经济效益的同时，也使系统的正常运作更加依赖信息化。与此同时，信息化建设也带来了一些新的问题，如系统故障、电源故障、硬盘的损毁、电脑病毒、人为破坏、误操作、自然灾难等，这些问题直接影响信息系统的正常运行，已嚴重困扰信息主管部门。如何有效地避免这些问题的出现，如何保证信息系统的安全、核心数据的安全，提供业务系统的持续运行能力，如何利用现有资源进行整合，改善原有陈旧设备，以最小的投入成本获得更高的回报，保证服务器应用系统的高可用性，已成为人们关注的焦点话题。

1 信息化系统建设具体要求及实现目标

1.1 网络建设要求

采用二层网络架构（即：核心-接入）方式，采用扁平化组网模式，核心到数据中心、核心到楼层全部为万兆数据网络，楼层采用万兆交换机接入，出口到终端为千兆。出口链路采用双冗余链路；核心层采用两台高端核心交换机并通过虚拟化方式将核心交换虚拟为一台逻辑交换机，保证核心层的高可用，下联交换有各楼层交换和服务器数据交换，均采用双万兆冗余链路。

1.2 计算中心建设要求

配置两台8路服务器承载核心数据业务，一套刀片服务器部署应用虚拟化服务器。后端存储配置2台SAN交换机和一套高端双活存储保证后台数据高可用性。

1.3 实现目标

通过在安徽省食品药品检验研究院建设云计算中心，为安徽省食品药品检验研究院系统提供云计算、大数据服务。设计建设将达到以下目标：

1） 技术先进性：采用先进的组网及数据中心设计技术。

2） 高性能性：云平台建设后，服务器的性能将大幅提升，具有更高的性价比。

3） 高可用性：云平台及存储设备都有硬件级别的冗余。

4） 数据安全：将采用容灾设备对核心数据及系统进行有效实时保护。

5） 高扩展性：搭建云存储平台，提供云平台的数据扩展及容灾存储空间。

6） 一体化管理：采用图形化一体化管理界面，有效管理服务器及数据。

2 关键技术分析及整体设计与实现

2.1 网络系统架构设计

根据安徽省食品药品检验研究院现有网络实际情况以及用户需求，对基础网络和网络统一管理平台进行如图1所示的规划。 安徽省食品药品检验研究院网络主要用来查阅、读取互联网数据，本次安徽省食品药品检验研究院网络建设从综合布线开始就重视网络速度，从机房到两栋大楼都采用64芯万兆骨干网光纤互联。各楼层配置两台上行万兆接入交换机，直接接入至机房核心交换。

整个网络采用“核心、接入”的二层扁平构架，有效防止因单点故障影响整体网络，实现网络稳定可靠运行，达到万兆到桌面，各层分别实现不同的业务功能。

整网具备入侵防御能力，网络出口部署防火墙、IPS等设备，并配有网络安全管理平台，实现监测和管理同步进行。

2.1.1 核心层设计

安徽省食品药品检验研究院核心交换机需要能提供快速的数据交换和极高的永续性，选用国产华三路由器，较好地满足了实际需求。

在设备的选择上，采用高性能模块化核心S10500 系列交换机，考虑到本次网络的经济、安全、实用性并要实现新老两栋楼间的网络区域隔离，在核心交换机上配备防火墙板块，通过虚拟防火墙技术实现不同区域间的边界安全防护，对不同区域间的访问进行安全检查和控制，为用户提供全面的安全防护。同时，在后期无线网络大规模对员工、访客开放Internet访问时，可通过较高性能的防火墙业务板实现与核心交换机的安全互联，在安全稳定的基础上解决一套无线网络即可实现内外网同时访问的医疗信息化发展需求。

2.1.2 接入层设计

接入层是网络的前沿设备、终端设备等接入网络的第一层。在设备的选择上，直接影响用户使用满意程度，本次设计采用H3C S5130EI交换机。

2.2 网络虚拟化设计

2.2.1 横向虚拟化——IRF2

将两台核心交换机组合为一台虚拟化的逻辑交换机，从而提高运营效率、增强不间断通信，并将系统带宽容量扩展一倍。

两台核心交换机之间通过万兆链路连接起来，利用核心交换机支持的IRF2技术，将两台设备虚拟化为一台逻辑设备。这样，核心层在可靠性、分布性和易管理性方面具有强大的优势，同时满足和实现管理运营的简化，为整体设计提供了灵活的部署能力。

2.2.2 纵向虚拟化设计

随着信息化的发展，业务对网络传输能力和稳定性的需求日益增长，要求具有更高的带宽、更强大的性能、更高密度的接入能力，同时又要兼备可靠性和易管理性。网络节点的大量增加无疑提升了网络复杂度和管理难度。

在后期改造中建议使用纵向虚拟化技术，可以将整个园区网络设备虚拟为一台设备，在网络中以单一管理节点的形式存在，原有层级之间的连接全部变为内部链路，维护简单便捷，适应未来业务发展的需求。

2.3 网络安全设计

2.3.1 云网融合设计

部署独立的安全设备无疑将增加安徽省食品药品检验研究院网络建设的成本，同时也增加了网络安全部署的复杂度及网络管理的难度，首先需要考虑安全部件简单化地融入网络中以及设备的易部署性需要在将防火墙部署在WEB 访问服务器及路由器之间，这样可以增强核心交换机抗击网络风险的能力，提升安全机能，保障内部网络变成安全网络，将安全转发技术和网络技术有机融合在一起。

2.3.2 WEB服务安全防护

当下，伴随着网络技术的不断发展，各种WEB应用系统越来越多，系统的增多也预示着外界针对性网络攻击也越来越多。

本次在服务器端划分DMZ区，所有对外服务都部署在DMZ区，DMZ区部署WAF防护墙，部署在核心交换机与服务器接入交换机之间，连接方式采用串联方式。并在WAF上启用策略路由方式，能有效防范外部对DMZ区发起的攻击，同时保证其他业务非访问WEB 服务流量的高速转发。WAF设备能有效防范各类SQL 注入、扫描器扫描、跨站、挂马、盗链行为等攻击行为。

2.4 主机存储设计

2.4.1 系统拓扑

本次系统设计选用先进的H3C UIS刀片服务器系统，结合宏杉科技MS5520双活存储和曙光DBstor100数据库备份一体机，对整个应用系统和数据安全进行有效保护，构建安徽省食品药品检验研究院数据中心。核心数据库服务器采用2台曙光I980-G10 8 路服务器承载核心数据库业务，本次系统设计充分考虑灵活性和可扩展性，既要满足现在的应用需求又能适应未来一定时间内的业务增长需求，建设方案拓扑如图4所示。

2.4.2 双活存储设计

双活存储组网如图5所示。

如图5所示，安徽省食品药品检验研究院存储设备采用双活技术，两台存储设备之间使用双活网络互连，任一台存储设备出现双点故障时，另一台存储设备能继续提供存储服务，服务器上业务可无缝调取存储中的数据，从而保證业务连续性[2]，同时又可保证双活镜像对的两个LUN中数据完全一致。

在故障处理方面，在配置SDAS后，如果任一引擎中任一控制器发生故障，业务将通过双控故障切换机制切换到该引擎中另外一个控制器上；如果任一引擎中两个控制器同时发生故障，将通过SDAS的引擎故障检测机制触发引擎间切换，业务切换到另外一个引擎上。同时，针对计划内维护需求，当任一引擎中两个控制器需要同时重启或关机时，也会触发引擎间切换，业务切换到另外一个引擎上。

3 结束语

安徽省食品药品检验研究院信息化建设分别从网络虚拟化设计、网络安全性考虑、主机系统好的灵活性和可扩展性设计以及双活存储的设计实现等方面考虑，保证了单位网络系统的高性能、高可靠和数据中心的高安全。

高性能方面，网络上采用“核心、接入”的二层扁平构架，有效防止因单点故障影响整体网络，实现网络稳定可靠运行，实现并达到万兆网络到桌面。

高可靠性方面，实现了网络的虚拟化部署，服务器也采用虚拟化技术进行资源整合，通过CAS虚拟化平台管理各虚拟机，保证业务不中断。存储采用宏杉双活存储系统，最大限度地保障系统及网络的高可靠性[3]。

高扩展性方面，从系统构建之初就充分考虑扩展需求，无论是在服务器、存储还是在网络资源的扩展上都可以做到灵活扩展。

高安全性方面，硬件设备上采用一系列安全设备来保障系统的安全性，利用虚拟化保障虚拟主机的安全。在数据存储方面，通过双活存储以及曙光备份柜来实现业务数据的实时保护，从各个方面保证系统的安全性[4]。