数据中心机房方案汇总十篇

时间:2022-07-06 11:36:57

序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇数据中心机房方案范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。

数据中心机房方案

篇(1)

Abstract: in recent years, with the rapid development of information, data center has become the emerging building type. At the same time with the progress of the IT industry and information industry increased demand, data center construction scale, building type is also in constant changes of perfect. And other building types of design, architecture design in data centers in a pilot and overall status, data center security, function, efficiency, economic and even sustainable development and the design of the building and data center has close relationship.

Key words: data center, architectural design, new data center

中图分类号:S611文献标识码:A 文章编号:

数据中心定义为:是一类多种功能集于一体的建筑物,能够容纳多个服务器以及通信设备等。这些设备能够放置在一起是因为它们对环境的要求以及物理安全具有相同的需求,并且集中放置便于维护。

网络电子信息技术的快速发展,使信息网络成为了人们日常生活、工作中必不可少的元素。新型的数据中心作为信息网络的关键承载者,发挥着极其重要的作用。在其建筑设计领域许多方面值得研究和讨论。

一、数据中心

1、数据中心的构成

数据中心是电子信息设备安全运行的空间环境,这个空间环境可以是一幢建筑物或者是某个建筑物的一部分,其主要组成部分可以分为:

(1)主机房:主要用于电子信息处理、存储、交换和传输设备的安装和运行,包括服务器机房、网络机房、存储机房等。

(2)辅助区:用于电子信息设备和软件的安装、调试、维护、运行监控和管理,包括进线间、测试机房、打印室、维修室等。

(3)支持区:支持并保障完成信息处理过程和必要的技术处理工作,包括变配电室、柴油发电机房、不间断电源系统室、空调机房、动力站房、消防和安防控制室等。

(4)行政管理区:数据中心相关人员处理日常事物的区域,主要是对数据中心进行管理、维护、检修等。

2、数据中心设计标准

对于数据中心的设计标准,国内使用标准是《电子信息系统机房设计规范》(GB50174-2008),除此之外还有北美地区常使用的由美国电信工业联盟 EIA制定的电信机房设计国家标准。

其中美国的EIA标准按照可靠性和安全性将数据中心的级别分为四个等级:T1/T2/T3/T4。而我国的标准是根据电子信息系统机房中系统中断可能造成的经济损失和对社会秩序的影响,将其划分为三个等级:A/B/C。在数据中心的建筑设计中会根据这三个等级来依据不同的标准进行设计。

3、数据中心的特点:

现今,我国的数据中心通常根据主机房的规模划分为两类:一种是主机房中每个单元面积在50-500平米的小型企业级数据中心;另一种是主机房每个单元面积在500平米以上的中、大型企业级数据中心。无论是小型、还是中大型的数据中心,在建筑上的构成大体上是没有区别的,其主要建筑设计特点有以下几个方面:

(1)要注意安全防护;

安全第一是每一个建筑设计的首要原则,对于建筑专业来说,安全防护的设计是由始至终都要注意的问题,对数据中心的建筑设计更是如此,其整体方面包括建筑布局、交通流线组织、围墙等物理限界、人车流组织、出入口设置、功能布局等;具体方面包括各种防护设计,如防火、防水、防静电等。

(2)工艺为本,注意造型设计;

由于数据中心在安全方面的重要性,它的工艺造型设计是需要认真考虑的。工艺为本是数据中心设计的基本原则,尤其是对数据机房和监控中心来说,不同的工艺布局、设备选型、管线走向对建筑的平立剖面布局有着很大影响。另外,要根据数据中心不同的类型以及对机房工艺的要求,有目标的对其进行设计。类型不同的数据中心的工艺必定有着很大不同,哪怕是同一类型的机房也会因为使用者的需求不同而要有不同IT规划和工艺布局,从而形成不同特点的机房。

(3)注重细部构造设计;

数据中心的细部构造设计跟常见的民用建筑不同,要求更高,非常规的节点更多、涉及的因素也较多。比如数据机房格外注重防水,但是高效的水冷空调在机房中的使用带来用水隐患,这就需要细部构造来解决挡水、排水的问题;比如屋面,需要屋面的细部构造来解决大量的设备基础造成漏水隐患问题。

(4)确保优质材料的使用;

由于数据中心对于设备、环境的高要求,需要保证其建筑材料的优良性。同时也使得建筑的造价通常很高。所以建筑专业在设计过程中应该在保证安全和功能的前提下,避免选取过于昂贵的建筑材料,从而控制造价。

(5)向着新型数据中心的发展;

数据中心的建筑设计应该紧随信息时代的发展,注重行业发展、IT技术和机电设备的发展潮流,特别是近年来,“绿色、高效、运营简单”的新型数据中心已经成为数据中心的发展方向,因此在建筑设计开始阶段,功能空间的模块化构成,设备空间的加大预留量、节能设计的高标准都是建筑设计中需要重视的问题

二、数据中心建筑设计的安全防护

数据中心的安全防护表现在建筑设计中是指通过建筑手段保证建筑、设备系统及计算机系统的安全,主要包括以下几个方面:

1、防火设计

根据我国对数据中心机房的等级划分,A类计算机房的建筑耐火等级不能低于一级;B、C类计算机房的耐火等级不能低于二级;重要的已记录媒体存放间等等关键部位的耐火等级应为一级,相关的其他工作房间及辅助房间等的耐火等级不应低于二级。

2、防水设计

数据机房内设备比较贵重,而且大部分不能进水。设备遇水容易引起短路,设备毁坏等问题,影响通信安全,因此数据机房应采取严密的防水措施,主要有屋面防水、楼地面防水、外墙防水、地下室防水等。

3、防尘设计

灰尘的堆积会对机房设备的使用效率造成影响,降低其使用寿命,甚至可能影响数据中心的正常工作,所以,数据机房的建筑围护结构和室内装修选材很重要,要使用气密性良好,而且在温度和湿度变化时变形小的材料。

4、防干扰设计

防干扰主要包括防静电、防雷接地和电磁屏蔽。静电可能会形成干扰电磁场,扰乱数据中心系统的正常运行,影响设备的可靠性;雷电对于计算机设备的危害显而易见,所以在数据中心中预防雷电也是建筑设计要注意的问题;电磁屏蔽是指使用屏蔽体将接收电路、设备或系统包围起来,防止它们受到外界电磁场的影响,特别是对涉及国家秘密或企业对商业信息有保密要求的数据中心时,一定要设置电子屏蔽室或者实施其他电磁泄漏保护措施。

5、机房自身防入侵设计

机房工作区与外界生活区要有严格分隔,主机房区域与工作区严格分隔,防止外界非法入侵。这就需要我们在建筑设计中做好相关的设计,大部分数据中心内部采用轻隔墙设计,墙体上安装防火门并配有门禁系统;门口设有警卫值班室,可视窗能够观察到进入数据中心的人员活动情况;去往主机房的人员需要有单独的身份识别。在建筑设计上最大程度防止非法入侵的发生。

总结:

作为信息时代不可或缺的新产物――数据中心,由于其包含设备的庞大、多样,使其所需要的建筑环境有其独特的特点以及安全的防护措施。对于新型数据中心来说,做好它的建筑设计方案更是数据中心进行良好运转工作的安全保障。

参考资料:

篇(2)

中图分类号: TP399 文献标识码:A

1传统数据中心的网络系统的特点

(1) 随着业务的迅速增长,数据中心各系统中的网络设备种类繁多、并且零散分布,这种集成度低的网络架构无法提供高度的稳定性和可靠性。

(2) 由于系统种类的多样化,网络设备的零散的分布,也使得整体网络缺乏统一的建设和管理,而且缺乏有效的控制手段,这样同样给维护人员加大了工作量及工作难度。

(3) 同时由于网络设备的繁多,也对机房能耗、环境要求、配套要求、设备及线路安装等提出更高的要求。目前各大运营商虽在进一步努力加大对机房建设,加强对机房规范化管理和质量标准化,但面对现网已使用的数据中心机房,仍存在着严重压力。例如机房空间不足、机房局部过热、电源容量饱和等都成为目前普遍存在并难以解决的问题。因此传统的网络结构对数据中心未来建设和发展而言,也很难打造一个节能、环保的绿色的基础设施系统。

因此通过以上分析可以得出结论:一个合理的、优化的、绿色的网络架构,一个可靠的、稳定的系统,不但能够很好的满足客户需求,同时也节约了资金的投入和维护成本。更加为未来的竞争发展提供了可靠保证。

2现代数据中心系统对网络的要求

人们对信息的需求是无所不在的。人们把数据存储在数据中心里,但数据的产生和使用可以在任何地方,包括Web、移动应用、分支机构、合作伙伴站点或 子公司。由于数据无所不在,因此,网络就成为数据中心的基础平台。

由于网络具有很多内在的性质,因而可以作为提供共享数据中心基础设施的基础。它能够触及到数据中心运作的方方面面,无论是远程还是分布式,都能以统一、一致的方式提供服务。因此同时无论何种类型的数据中心都必须具备高带宽,高密度、高管理性和高安全可靠性的基本要求。

目前在数据中心的最新研究方向是虚拟化。未来,所有的资源都透明地运行在各种各样的物理平台上,资源的管理都将按逻辑方式进行,完全实现资源的自动化分配,而虚拟化技术就是实现它的理想工具。

虚拟化技术相对来说是一种开源技术,目前很多企业已经掌握服务器运行的虚拟化技术,供应商正在推广将整个数据中心进行虚拟化的设想。这种设想就是,通过由新的虚拟化技术构建的数据中心平台,实现对服务器、存储设备与网络设备进行动态管理。虚拟化技术会成为运营中重要并且无处不在的因素,因而成为数据中心一种新形式的操作系统;“虚拟化技术颠覆对操作系统的传统看法,并给我们提供创建未来数据中心操作系统的机会。”

虚拟化技术同时也是一种节能技术,根据相关的研究显示,采用虚拟化技术使使用者节省高达70%的硬件投资。因为虚拟化技术可以帮助用户合并多种应用工作负荷,在单个系统上运行多种操作系统环境;优化应用开发,在单一系统上进行测试和开发; 提高系统可用性,在系统之间迁移虚拟环境。

3网络虚拟化技术在数据中心的应用方案

3.1网络虚拟化技术的介绍

3.1.1 方式一:VDC技术

虚拟化技术的方式一:可以将一台交换机能够提供多个虚拟设备环境(VDC)。虚拟设备环境特性能为每个物理设备创建多个虚拟设备实例,无限制地提供所有服务。硬件资源能在这些设备实例间划分。VDC在每个VDC实例间提供全面故障隔离和管理。每个实例的管理和运行都能独立于系统中的其他实例而进行。如下图(1)所示,一台设备可以虚拟成逻辑上的四台设备,在组网时两台设备可以实现过去多台设备才能达到的高可靠性和冗余功能。

例如图(2) 所示:每个虚线框内实际物理上是一台交换机,通过虚拟设备环境虚拟分区成两台交换机,做为核心交换机和下面一层的汇聚交换机交叉相连,从而相当于核心四台交换机与下层交叉互联,提高了可靠性和冗余性。

3.1.2 方式二:VPC技术

虚拟化技术的方式二: 在传统的数据中心二层环境中,上联端口为了避免环路,需要使用生成树协议来阻断一条链路,采用VPC(virtual port channel )技术,可以无须阻断一条链路,实现双上联,增加了带宽。更加详细地说: (VPC)是种基于堆栈的虚拟端口通道技术,当使用 VPC技术时上端的两个物理交换机对下端交换机而言相当于一台虚拟交换机,因为其简单化的机制使得原来的两台交换机形成环路的限制都不存在了。VPC使得两台核心交换机与下层交换机的连接链路全部处于激活状态,而且对两端交换机而言这些连接链路就是一条端口通道,成倍增加了互联带宽。

如下图所示:左边为传统上联形式,虽然是交叉上联,但只有一条链路工作,另一条为备用。右边为采用VPC技术后的双上联,实际是将两台交换机逻辑的虚拟成一台交换机,这样双上联的链路就不会产生环路,两条链路均可工作,提供了更大上联带宽。

4网络虚拟化技术的优势

通过这种虚拟化工作,我们在数据中心可以实现非常方便的资源调配 (比如端口的调配、处理能力和转发表的调配),资源共享(电源的共享、转发能力的共享),提高抗故障能力(把风险分散到多个物理实体中去);甚至可以和服务器配合,实现按需配置的虚拟数据中心。这也是云计算技术的一个重要发展趋势。

逐步的网络虚拟化技术将是数据中心的重要组成部分。在整合数据中心结构中,我们会对服务器进行虚拟化、对网络设备进行虚拟化,以满足应用交付的重构,还会对数据存储进行虚拟化,从而实现整体的数据中心虚拟化。未来,数据中心在虚拟化技术的驱动下,将会变得更灵活、更易管理、更安全、更低成本

5网络虚拟化技术的应用案例

本节以某公司的数据中心为例。该公司在数据中心的网络系统部署了虚拟化功能,核心交换机能够将操作系统和硬件资源划分为模拟虚拟设备的虚拟环境VDC,利用 VDC技术可将汇聚层的核心交换机逻辑化分为两个区Outside VDC 和Inside VDC,这两个区分别通过万兆连接到对应的服务对象。 Outside VDC服务对象:低安全区 、核心区, Outside VDC流量会强制被引导到外部网络服务区 。Inside VDC服务对象:高安全区,连接到内部的服务器和应用。外部网络服务区: 来自Outside的流量通过这个区进行流量安全检测和优化服务。先前需要通过4台交换机实现的功能,通过虚拟化技术可以通过2台交换机满足业务的需求,节省了硬件的投资成本。另外,在上行链路中启用了VPC 协议,可以达到双活的上行链路,增加了带宽。避免了链路的浪费。整个数据中心通过虚拟化的技术,比原先节省了投资30%。另外,虚拟化技术减少了设备数量,提高了链路的使用效率,因为减少了在使用成本,更加节能环保。

结语

综上所述,虚拟化已成为一种趋势,通过虚拟化技术,可以为企业降低硬件的投资成本,提高现有设备的使用率。在数据中心领域,通过广泛采用虚拟化技术,可以大大提高服务器、存储、网络资源的利用率,降低硬件投资和运营成本,为企业的发展提供竞争优势。虚拟化技术可以帮助企业打造出了更加高效、可管理性更高、资源配置更灵活的数据中心。不管是数据中心自身的整合与扩容,还是降低能源消耗,虚拟化技术在其中都承担了很重要的角色,使它成为下一代数据中心发展的关键。 下一代数据中心将会向着虚拟化的方向进一步发展,最终做到完全透明的虚拟化,让企业用户能够根据具体环境进行具体应用。

篇(3)

(一)树立大数据审计的理念。将大数据审计的贯穿到每个审计项目中,不断研究新思路、新经验和新做法,以数据为核心,将数据分析与现场延伸调查相结合的方式,更精准的定位审计疑点,缩小核实范围,提高工作效率。

(二)充实大数据审计资源。定期采集包括财政、民生等使用较为频繁的数据资源;积极推动数据采集规范化建设;推动大数据审计方法库的构建,使计算机审计方法的应用更为便利、快捷。

(三)强化大数据审计队伍建设。运用计算机和大数据进行审计应动员全局力量,而不仅仅局限在计算机人员。加强复合型人才的培养,审计人员不仅要懂得数据库的知识,还要懂得审计实务;加强数据分析能力和业务知识的学习培训,提升综合素质。

二、提高大数据审计的措施

(一)前期数据调查

对全市各部门(单位)所运用的业务系统和业务数据进行调查了解,摸清各部门的业务数据内容及其存储情况,为采集业务数据和审计项目中可能涉及到跨部门数据关联做准备。接入用友财务统一核算软件审计端口,审计端口的接入更灵活、方便地为各审计组财务数据采集提供服务。

(二)积极配合项目组

在项目实施前积极与组长、主审进行沟通,如何开展计算机审计、项目组需要什么、项目所需要的数据、主审想得到的目的和结果。以确定审计方向和重点,并将相关的审计内容纳入到审计工作实施方案。在审计项目实施过程中,对审计方法、发现的疑点、采集到的数据方面存在的问题、以及审计思路的变化,及时与主审反馈,以调整审计方法和思路,并配合项目组核实疑点。

(三)参与重点项目

年初审计计划项目制定后,确定重点审计项目,加入到项目组中。除数据分析外,通过参与其他审计内容,熟悉财务知识、财经法规以及其他业务方面知识,尽快地提升自身业务能力,积累经验。今后审计工作中,运用自己的思路和方法开展审计。

(四)编写计算机审计方法

篇(4)

整合数据,搭建基础数据中心

数据中心的首要任务是整合TA、直销、呼叫中心、估值、投资交易等系统数据,通过数据建模,经历一系列的数据清洗、转换过程,整合形成企业统一数据中心。

数据中心通过对企业层面数据的统一和规范,利用ETL工具对“脏数据”进行处理,确保数据的准确性、完整性和一致性;同时,通过数据仓库的数据建模技术和数据分层技术,支持业务的各种数据和信息需要,以应对未来需求的变更与扩展,保证数据的灵活性与高扩展性。

搭建信息应用体系

数据中心利用BI工具开发、生成一系列业务报表、OLAP分析、仪表盘等信息资源,为用户日常业务提供支持。生成的各种报表通过信息门户集中,实现了便利的信息分类浏览功能。

通过BI前端工具对数据的展现加工,融合管理思维、模型与方法,面向业务实现数据知识化,便捷企业管理者对业务的洞察、分析与预测,可信的数据支撑可靠的分析与决策。

各种类型的信息资源最终被信息服务门户分类管理,并实现向业务用户的快捷传递,包括系统查阅、邮件、短信、移动应用等多种方式,还可与OA等业务系统整合,实现信息在OA等系统上的,方便业务用户的使用。

建立信息资源管理平台

基金行业数据中心需从多个业务系统数据源整合数据,经过一系列的清洗、转换过程,并通过多种前端应用工具将数据转换为报表、分析等应用。整个过程中,涉及的业务系统众多,数据结构复杂,如何确保数据中心的稳健运行,并在问题发生时及时地解决问题,以满足业务对信息的需要,成为数据中心不可回避的一个重要问题;同时,数据中心涉及源系统、数据仓库、数据集市、报表、分析、仪表盘等方方面面的数据相关资产,如何管理这些资产,确保这些数据资产更好地为业务起到支撑作用,是数据中心面临的又一个重要课题。

篇(5)

0 引言

随着各行业数据中心建设的飞速发展,数据中心机房的设备承载压力逐渐扩大,高频开关电源、不间断电源(UPS)等电源设备的数量也随之急剧增加,从而使得蓄电池得到了广泛的应用。合理可靠地对电池进行管理和维护,能够保证电池有较长的使用寿命,从而达到保证核心设备不间断用电并节约维护资金的目的。因此,在核心设备用电源系统的维护中,蓄电池的维护管理占了相当大的比重,怎样才能充分发挥蓄电池作为后备电源的作用,使用中尽量达到或接近其设计寿命,就成了维护人员需要深入探讨的一个问题。

1 影响电池寿命的因素

目前,阀控密封铅酸蓄电池使用较多的是2V系列和12V系列。这两种电池的寿命差别较大,一般2V系列的设计寿命是8~10年,12V系列的设计寿命是3~6年。考虑到价格因素,目前在在系统中对UPS一般配置的是12V系列的电池,对高频开关电源一般配置的是2V系列的电池。

一般蓄电池制造商提供的蓄电池设计寿命为特定环境下的理论值,实际使用寿命与电池室的环境温度、整流器的参数设置、日常维护以及运行状况有很大关系。

1.1 环境温度的影响

环境温度对蓄电池使用寿命的影响很大。环境温度的升高,将加速电池板栅的腐蚀和增加电池中水分的损失,从而使电池寿命大大缩短。一般情况下,温度每升高10℃,电池使用寿命将减少50%,温度越高影响越大。在核心设备用阀控密封铅酸蓄电池行业标准YD/T799-2002中规定,高温加速浮充寿命试验是以环境温度55℃下42天的一个充放电试验折合一年的正常使用寿命,由此可见高温对电池寿命的影响。蓄电池的最佳使用环境温度为20~25℃。

1.2 充电不足

在正常条件下,电池在放电时形成硫酸铅结晶,在充电时能较容易地还原为铅。如果使用不当,例如长期处于充电不足的状态,负极就会逐渐形成一种粗大坚硬的硫酸铅,它几乎不溶解,用常规方法很难使它转化为活性物质,从而减少了电池容量,甚至成为电池寿命终止的原因,这种现象称为极板的不可逆硫酸盐化。

1.3 过度充电

蓄电池在长期过充电状态下,正极因析氧反应,水被消耗,氢离子浓度增加,导致正极附近酸度增加,板栅腐蚀加速,使电池容量降低。同时,因水损耗加剧,使蓄电池有干涸的危险,从而影响电池寿命。

1.4 过放电

电池的过放电主要发生在交流电源停电后,蓄电池长时间为负载供电。当蓄电池被过度放电到终止电压或更低时(源于电源本身对电池放电终止电压设置不准,或有的根本没有过放电保护装置),导致电池内部有大量的硫酸铅被吸附到蓄电池的阴极表面,硫酸铅是一种绝缘体,必将对蓄电池的充放电性能产生很大的负面影响,因此,在阴极上形成的硫酸铅越多,蓄电池的内阻越大,蓄电池的充放电性能越差,使用寿命就越短。一次深度的过放电可能会使电池的使用寿命减少1~2年,甚至造成电池的报废。

1.5 长期处于浮充状态

蓄电池在长期浮充状态下,只充电而不放电,其对电池的影响与过度充电相同。

2 在使用和维护过程中应注意的一些事项 2.1 使用环境

蓄电池应安装在远离热源和易产生火花的地方,最好在清洁的环境中使用,电池室应通风良好,无太阳照射,温度保持在20~25℃。

2.2 电源的参数设置

一些参数如浮充电压、均充电流、均充频率和时间、转均充判据、温度补偿系数、直流过压告警、欠压告警、充电限流值等要跟各蓄电池厂家沟通后确定。

2.3 容量配置

一些电源所配置电池的容量偏小,致使交流停电时电池大电流放电,影响电池使用寿命。通常电池配置容量应在8~10小时率。

2.4 日常维护

也许是受到了一些电池厂家以前对阀控式蓄电池冠以“免维护”名称的影响,个别维护人员便错误地认为阀控式电池无须维护,从而对其不闻不问。其实,蓄电池的变化是一个渐进的过程,为保证电池的良好状态,作好运行记录是相当重要的。每月应检查的项目如下:单体和电池组浮充电压;电池的外壳有无变形、膨胀、渗液;极柱、安全阀周围是否有渗液和酸雾溢出;连接条是否拧紧。

2.5 实时数据监测

实时监测单节电池的电压,整组电压、电流、环境温度。实时监测电池运行状态,过限值告警,并及时处理。

2.6 均衡维护

前面已经讲解过通讯设备的供电系统原理,由于整流设备是对整组电池进行充放电,充电设备只对其整组的端电压实时采集记录,智者整组端电压达到一定电压时,充电设备才会认为完毕,然而在整个充电过程中,每个电池的参数或多或少存着差别,则有个别电池一定会过冲、或欠冲,久而久之,往复循环,过冲和欠冲的电池都会受到很大程度上的影响,并且会加速电池的老化,甚至有冲爆电池的可能。试想一下如果在充电时,让每节电池都平均分配电量,使其达到一个最佳的状态,这样会大大延长蓄电池的使用寿命,则均衡维护的作用就尤为突出。

2.7 内阻测试

一种新的测试手段,即通过测量电池的内阻来确定电池的状态,被证明是非常可靠的方法同时也是负载测试的廉价补充或替代手段。由于电池的内阻与它本身容量有着密切联系,因此可以在放电期间利用这个参数来预测电池的性能,电池的内阻与容量有着紧密的联系,不过两者之间并非一般的线性关系。目前虽然可以测量出电池的内阻,但是这个参数并不能直接用来指示电池的容量,它只能是在电池性能已严重退化,并将影响整个系统正常使用时,做为一个警告指示。通过对大量的各种类型电池的测试表明:如果电池的内阻增至高于其基准值,即电池在最佳状态下的内阻值的25% 时,这个电池将无法进行容量的测试。

2.8 放电试验

对于交流供电正常的交换局内的UPS电源所配置的蓄电池,应周期性地进行核对性的放电试验。对于开关电源所配置的2V电池,建议每年做一次,放出额定容量的30%~40%;对于UPS所配置的12V电池,建议每季度或半年做一次,放出额定容量的30%~40%;记录电池单体电压和电池组总电压,及时更换故障电池。

2.9 容量测试

对于2V电池,每三年应进行一次容量测试放电,放出额定容量的80%;对于12V电池应每年进行一次容量测试放电,放出额定容量的80%。详细记录放电过程中各单体电压和电池组总电压,进行分析,及时更换容量较差的单体电池。

2.10 放电前的准备工作

放电前,先检查整组电池是否拧紧,再根据放电倍率来确定放电记录的时间间隔。在对一组电池放电前,应先保证另一组电池充好电。放电过程中要密切注意比较落后的电池,以防止某个单体电池的过放电。并将此次记录与前次记录进行比较,对整组电池的运行状态做到心中有数。

3 集中和远程监控

蓄电池在线诊断维护系统是为实现机房蓄电池安全使用为目的,及时排除隐患,避免不必要的损失。另一方面为满足用户对电源状态的集中和远程监测的需求,即在值班员的联网电脑上可以看到纳入监测范围的源设备的实时运行状况(含告警),便于即时掌握设备的整体状况。

蓄电池在线诊断技术就是通过在线监测蓄电池运行中的各项关键参数,并对监测数据进行自动分析和诊断,诊断结果以单体电池的实际放电容量或健康状态表示。其中电池内阻是较为关键的一项性能参数值,其能够有效反映蓄电池内部健康状态,因此此次蓄电池监测需把实时数据监测、均衡维护、内阻监测功能列为重点。提供安全、准确、便捷的蓄电池在线实时监测功能,保障电源系统的稳定运行。基于RS232、TCP/IP网络与监控中心管理软件通信,灵活组网搭建大范围、分布式的集中监控管理系统。如图1为内网构建图,图2为外网构建图。

4 结束语

为了营造一个安全、可靠的机房环境,推进以风险预警为基础、过程管理为手段、事故分析为提升的全过程安全风险管理。随着数据中心机房各类设备日益增多,机房内的交换设备以及供电设备(如交流配电屏、直流配电屏、蓄电池组以及用于提供备用电的油机等)则是保障各类业务安全运行的关键和基础,其重要性不言而喻。数据中心机房电源起到极其重要的作用,蓄电池则是保障设备运行的最后一道屏障,应给予足够的重视,需要一套高性能的蓄电池在线检测维护系统,预防运行蓄电池组中部分过充损坏和长期亏电失效的落后电池,延长蓄电池使用寿命,提高电力系统的安全性;定期对性能差异蓄电池进行补偿性维护,从而达到活化电池目的;实时监测蓄电池的运行状态。

参考文献

篇(6)

近年来,各大金融机构及各大国有企业均在大力推进信息化建设,数据中心成为了信息化的重要基础设施, 鉴于数据中心对安全的要求高,因此数据中心的安全防范系统设计至关重要,是一项复杂的系统工程,需要从物理环境和人为因素等各方面来全面的考虑,一般由视频安防监控系统、出入口控制系统、入侵报警系统、电子巡更系统、安全防范综合管理系统等系统组成。

1 设计原则

1)系统的防护级别与被防护对象的风险等级相适应;2)技防、物防、人防相结合,探测、延迟、反应相协调;3)满足防护的纵深性、均衡性、抗易损性要求;4)满足系统的安全性、可靠性、可维护性要求;5)满足系统的先进性、兼容性、可扩展性、经济性、适用性要求。

安全防范系统是一个基于客户端/服务器,分布式的网络管理平台,通过信息共享、信息处理和控制互联实现各子系统的集中控制和管理。安全防范系统的故障应不影响各子系统的运行;某一子系统的故障应不影响其它子系统的运行。

2 安全等级定义

1)针对数据中心园区的不同功能区域,可将安全保障定义为4个安全保障等级区域

(1)一级安全保障等级区:一般为数据机房楼内的模块机房及ECC区监控中心区域;(2)二级安全保障等级区:一般为数据机房楼机电设备区、动力保障区;(3)三级安全保障等级区:一般为运维办公区域;(4)四级安全保障等级区:一般为园区周界区域。

2)对于不同的安全级别的区域选择不同的安全防范技术手段

(1)一级安全保障等级区

①数据机房所有模块机房门

安装生物识别电子门禁、摄像监控设备、双鉴报警设备;

所有出入口设防,门禁及红外报警系统联动,红外报警系统与摄像监控系统联动。

②数据机房所有模块机房内

按照设备机柜的排列方位安装摄像监控设备,设备间通道设防。

(2)二级安全保障等级区

①数据机房维护人员通道:安装内外双向读卡器的电子门禁锁;机电设备维修区的门安装单向门禁锁,设置在维修区的外侧;在消防疏散楼梯安装单向门禁锁,设置在楼梯间内侧;

②数据机房所有的出入通道:安装双向读卡电子门禁、摄像监控设备、双鉴报警设备;

③数据机房入口的安保室设置安保实时监控管理设施。

(3)三级安全保障等级区

①运维办公区安装单向门禁锁,配置视频监控,具体设计依据相关安防系统规范设计;②建议进入运维办公区或中央监控中心的第一通道,在进行身份定位的同时,进行身份鉴别;速通门刷卡通行+保安人员通过屏幕图像对比方式。

(4)四级安全保障等级区

整个园区用围栏与四周道路分隔开,并设防闯入和视频监控系统。在周边四个路口的围栏转角处设置防冲撞体,在出入口设置液压防冲撞装置。数据机房油罐区域四周布置一体化球机及电子围栏,进行不间断的自动跟踪摄像,并设置防入侵装置。

3 视频安防监控系统

1)视频安防监控系统根据数据中心园区的使用功能和安全防范要求,对建筑物内外的主要出入口、通道、电梯厅、电梯轿厢、园区周界及园区内道路、停车场出入口、园区接待处及其他重要部位进行实时有效的视频探测,视频监视,图像显示、记录和回放;2)目前,工程上对网络视频监控系统的设计有两种:全数字化的网络视频监控系统和半数字化的网络视频监控系统即前端摄像机为模拟摄像机,模拟视频信号通过编码器转换为数字信号进行传输的视频监控系统。IP数字监控系统是发展的趋势,但是现在国内市场还处于初级阶段,IP数字监控系统成本相对要高一些,两种方案各有利弊。

4 出入口控制系统

1)出入口控制系统即门禁系统作为数据中心园区安全防范系统的主要子系统。它担负两大任务,一是完成对进出数据中心园区各重要区域和各重要房间的人员进行识别、记录、控制和管理的功能;二是完成其内部公共区域的治安防范监控功能;2)系统要求能满足多门互锁逻辑判断、定时自动开门、刷卡防尾随、双卡开门、卡加密码开门、门状态电子地图监测、输入输出组合、反胁迫等功能需求。控制所有设置门禁的电锁开/关,实行授权安全管理,并实时地将每道门的状态向控制中心报告;3)通过管理电脑预先编程设置,系统能对持卡人的通行卡进行有效性授权(进/出等级设置),设置卡的有效使用时间和范围(允许进入的区域),便于内部统一管理。设置不同的门禁区域、门禁级别。

5 入侵报警系统

1)根据相关规范、标准在数据中心园区的周界围墙、重要机房和重要办公室设置入侵报警探测器、紧急报警装置,系统采用红外和微波双鉴探测器、玻璃破碎探测器等前端设备,构成点、线、面的空间组合防护网络;2)周界围墙采用电子围栏或红外对射,地下油罐周界采用电子围栏及图像跟踪相结合的防范措施,重要机房、档案库、电梯间、室外出入口等设置双鉴探测器;3)对探测器进行时间段设定,在晚上下班时间,楼内工作人员休息时间及节假日设防,并与视频安防监控系统进行联动,有人出入时联动监视画面弹出,监测人员出入情况,及时发现问题防止不正常侵入,同时声光告警器告警。

6 电子巡更系统

在园区内采用在线式电子巡查系统。在主要通道及安防巡逻路由处设置巡更点,同时利用门禁系统相关点位作为相应的巡更点。

7 安全防范综合管理系统

利用统一的安防专网和管理软件将监控中心设备与各子系统设备联网,实现由监控中心对各子系统的自动化管理与监控。当安全管理系统发生故障时,不影响各子系统的独立运行。

7.1 对安防各子系统的集成管理

主要针对视频监控系统、出入口控制系统及入侵报警系统,在集成管理计算机上,可实时监视视频监控系统主机的运行状态、摄像机的位置、状态与图像信号;可实时监视出入口控制系统主机、各种入侵出入口的位置和系统运行、故障、报警状态,并以报警平面图和表格等方式显示所有出入口控制的运行、故障、报警状态。

7.2 安防系统联动策略

1)安保系统与门禁、照明等系统联动

安保系统与门禁、照明、电梯、CCTV、紧急广播、程控交换机等系统的高效联动。

说明:当发生非法闯入时,门禁或入侵报警系统记录非法闯入信息,通过跨系统联动设置,打开相应的照明系统设备和安保系统设备,使非法闯入者无处容身。

2)安保系统与消防系统之间联动

安保系统与消防系统联动策略为:当大楼内某一区域发生火警时立即打开该区所有的通道门,其他区域的门仍处于正常工作状态,并将该区域的摄像机系统启动、置预置位、进行巡视,多媒体监控计算机报警,矩阵切换该图像到控制室的视频处理设备上,并将图像信号切换到指挥中心、公安监控室、消防值班室的监视器上进行显示。

8 结论

数据中心园区的综合安防管理,需要纵深考虑,包括了人防、物防及技防,设防管理仅是技术手段,制度的管理和执行才是重要的工作。

参考文献

[1]安全防范工程技术规范 GB50348-2004.

篇(7)

中图分类号:TP308 文献标识码:A 文章编号:1674-7712 (2013) 04-0046-02

随着服务器虚拟化和网络虚拟化的日益蓬勃发展,云计算在发展过程中出现了一台物理机上部署虚拟机过多vSwitch占用服务器大量物理资源的问题,虚拟机与外部网络对接、关联和感知不明确不可控的问题。如何解决以上问题,Cisco公司提出了802.1Qbh、802.1BR和VN-Tag技术方案,而HP(H3C)/IBM提出了802.1Qbg的技术解决方案。

一、802.1Qbg技术

数据中心的变革历经了服务器虚拟化、云计算等过程,而相应的交换设备也随之悄然演化着,标准的制定和推出为这一变化指出改革方向,802.1Qbg顺应改革浪潮及时跟进,对数据中心部署云时遇到的难题给出了解决方案。HP(H3C)/IBM对一台物理机上部署虚拟机过多vSwitch占用服务器大量物理资源的问题,虚拟机与外部网络对接、关联和感知不明确不可控的问题,提出尽量将网络功能移植回物理网络,推出了802.1Qbg标准。

802.1Qbg在交换功能上,除了兼容vSwitch原有的VEB模式(Virtual Ethernet Bridging)模式外,还增加了VEPA(Virtual Ethernet Port Aggregator)和Multi-Channel工作模式共3种。VEB模式是大家部署虚拟服务器时常见的模式,802.1Qbg兼容这种模式。此种模式下,同一台物理机上同一VLAN的虚拟服务器之间通信是直接经过该服务器内部的vSwitch转发,没有经过外部网络设备。虽然由于vSwitch这一网元数量的增加,可以拓展虚拟化网络规模,但也因为内部虚拟服务器数据交换不可控,QOS和网络安全控制是个难题。

VEPA模式主要是针对之前已部署虚拟化的企业推出的一种解决方案。HP(H3C)/IBM基于IEEE标准,提出在没有增加新的二层标签基础上,只对VMM软件和交换机软件简单升级就可实现VEPA转发功能。此种方案对已部署虚拟化服务器的用户影响较小,二次投入也不多。VEPA方案既可以采用纯软件方式,也可是采用硬件方式实现。经HP实验室测试,该方案报文转发性能比传统vSwitch提升12%或更高。VEPA要求VM服务器交换数据流必须经过外部Bridge,然后再原路返回VM响应服务器,路径的一进一出就为原来意义上的vSwitch减轻了负担,同时可以对相应端口进行Qos、ACL策略配置,IDS/IPS和防火墙等也可以对此端口进行安全管理,不但可控还节约了投资。

Multi-Channel工作模式是802.1Qbg的第三种模式,它是VEPA的一种增强模式。此种模式去除了服务器内部网络功能,而以S-Channel方式将虚拟服务器与外部网络连接起来,通过VDP(VSI Discovery Protocol)和CDCP(S-Channel Discovery and Configuration Protocol)协议报文交换,最终将将虚拟端口(vPort)终结在物理交换机端口上。多通道模式允许VEB、VEPA、Director IO同时存在,也允许各种组合方式存在。它将网络端口划分为并行独立的逻辑通道并在逻辑上隔离,通道可按用户要求随意安排成VEB、VEPA或Director IO的一种。多通道技术实现了VEB和VEPA共存一机的要求。值得一提的是,该方式需网卡和交换机支持S-TAG和QinQ功能,所以对新部署虚拟化技术的且要求比较多的用户比较适合。

二、802.1Qbg在云数据中心的应用测试

H3C公司作为HP的子公司,在802.1Qbg技术解决方案上做了大量的工作。笔者有幸作为一名测试用户申请试用了H3C的虚拟化数据中心平台。该公司为体验用户搭建了云数据中心的测试平台,VMM软件是基于KVM(IBM虚拟化)核心源代码开发的H3C虚拟化系统,管理软件是iMC CRM管理平台,网络平台是基于40G和100G的 H3C 12500路由交换为核心,服务器是美国HP制造的多台H3C服务器,并启用了各种后台存储设备。在该试用平台上,厂家利用多种基于802.1Qbg解决方案的技术,给用户提供多种体验环境。测试中,VMM迁移顺畅,业务实时工作不中断;虚拟机部署方便容易;各种网络管理策略可在管理平台上统一制定模板;实时对端口监测,发现异常及时报警。经观察,多通道技术对虚拟化应用支持力度最为强劲不但兼容了原有VEB,还可利用VEPA技术,在交换机上对虚拟服务器网络端口做各种策略,Qos、ACL保障极为便利,端口流镜像、报文统计、安全策略下发管理上极为方便。

数据中心虚拟化目前最大的问题是虚拟机迁移不可控的问题,而HP(H3C)/IBM在VMM迁移(vMotion)这个问题上,找到了一条比较明确的解决方案:即利用iMC CRM管理虚拟机状态,同时对可迁移的资源统一部署,利用802.1Qbg技术制定相应网络迁移策略和路径,做到可控的迁移,明确了VMM迁移的范围和可利用资源。

目前H3C iMC系统能够维护多达数万个虚拟机接入,基于层级化的网络管理模式,未来iMC将可管理虚拟机数量扩展到数十万甚至数百万,做到跨三层大范围的自动化配置与迁移,而这一切的实现都离不开802.1Qbg技术对数据中心虚拟化的贡献。

本人在测试中,感觉802.1Qbg对KVM、VMware支持力度很大,而对Microsoft的HyperV 3支持力度偏弱。如果厂家能及时跟进,加大与HyperV可扩展交换机技术的融合,开发相应的扩展程序包或硬件,将会是个不错的选择。毕竟微软的用户是众多的,而Cisco、NEC和Inmon也都为此开发了相关扩展包组件或硬件。

三、结束语

802.1Qbg解决方案将服务器虚拟交换机功能大部分或完全移植回物理网络,提升了服务器性能,明晰了网络与服务器的界限,增强了虚拟服务器与网络数据交换的可控性和安全性,降低了对安全设备重复投资的要求。802.1Qbg该技术和Cisco的VN-TAG如果互相借鉴的话,将会更有利于数据中心虚拟化的发展,EVB标准将会更加融合和发展。

参考文献:

[1]李存军.数据中心云接入技术比较[J].计算机光盘软件与应用,2012,23.

[2]H3C EVB技术体系介绍[J].IP领航,2012,6.

[3]H3C EVB数据中心应用模型[J].IP领航,2012,6.

[4]钱景辉.数据中心在云计算需求下的技术分析[J].现代计算机,2012,07.

[5]姜建伟.企业数据中心网络虚拟化环境中边界感知安全技术和应用[J].计算机应用与软件.

[6]吴晨,朱志祥,胡清俊.一种云数据中心虚拟交换的解决方案[J].西安邮电学院学报,2011,9,16,5.

[7]梁凯鹏.基于VEPA的云计算数据中心的设计与实现[J].广东通信技术,2011,09.

[8]Shehzad Merchant VEPA:虚拟交换解决之道[J].网络世界,2011,1,17第028版.

篇(8)

中图分类号:TP388.8 文献标识码:A 文章编号:1007-9416(2016)12-0114-01

现阶段各企事业单位往往已对信息化高度重视,信息化建设的投入也不断增加,在增强核心竞争力、有效降低成本、提高工作效率的同时信息化系统也变得愈加庞大,这种变化可以归纳为内部和外部两方面的增长。

内部增长体现在信息化系统横向和纵向扩展,横向扩展主要是指新建的专业信息化系统,如某单位已有一套人力资源管理系统,因为效果良好计划再上一套财务管理系统;纵向扩展则是对已有信息化系统功能模块的不断扩充,如已有的人力资源管理系统有组织规划、招聘管理、培训管理等模块,计划二期继续扩展自助平台和报表平台等功能。外部增长主要体现在异地多数据中心的需求,如某些核心信息化系统无法接受数据丢失或业务中断,就需要根据业务的重要程度建立不同级别的两点或多点分布式异地容灾系统;再如某些企事业单位组织机构分布广泛,除总部外的分支机构设立在其他地市甚至其他省市,需要使用多点部署的分布式信息化系统。

信息化系统的这类变化必然导致作为其载体的数据中心也不断向大型化、复杂化转变,从本地单中心到异地分布式中心不断扩张。这样不但增加了企事业单位维护的成本,还加大了维护人员的管理难度,如何能够对这类大型分布式数据中心进行有效的集中化监控管理就成为企事业单位亟待解决的问题。

1 大型数据中心内部集中监控管理

一般而言,单一大型数据中心内部主要可以分为机房环境、供配电系统、网络设备、服务器硬件、虚拟化系统、存储系统、操作系统、中间件和数据库模块。针对不同的模块有不同的对接方式来实现数据采集,通过设立一个集中监控主机来实现数据中心内部不同模块的统一监控。

1.1 机房环境

机房环境主要包括温湿度、精密空调、空调防水和视频监控等,温湿度和空调防水通过监控探头直接数据收集并记录历史数据;精密空调通过RS485卡利用modbus协议收集数据并对空调温湿度设定、多级集群运行模式调整、远程开关机等进行操作;视频监控可通过摄像探头直接进行图像采集,也可利用专用视频录像机对图像数据进行分级存储并对摄像云台进行各项参数调整。

1.2 供配电系统

机房供配电系统主要包括UPS、电池、输入输出配电柜等,整个系统的数据采集可以通过对UPS的通信来完成,UPS对外接口通常有RS232接口、AS400接口、SNMP接口和USB接口,通过接口提供的SNMP、UPS-link等协议能够实现对供配电系统历史状况进行记录,分析UPS、电池、各路供电线路电流电压状态,并对UPS设备进行远程配置。

1.3 网络设备

数据中心网络设备主要包含路由器、交换机、防火墙、入侵检测、流量控制、负载均衡等设备,通常这类设备都支持SNMP,通过SNMP可以统一进行资源使用率、端口状态、设备配置等方面的监控,对中心整体网络拓扑、设备互联状态、配置属性、实时告警、历史告警、设备实体关系等进行展示。

1.4 服务器硬件

因操作系统功能的不断强大,服务器硬件的监控在日常运维管理中经常会被忽视,但不可否认的是服务器硬件监控还是有一些无法替代的作用。如x86平台利用IPMI标准接入服务器硬件,可以对服务器内部主板温度、风扇转速、本地硬盘RAID状态进行监控,便于提前预判问题,同时还可以展现控制台界面,对服务器设备进行冷启动等远程操作。

1.5 虚拟化系统

随着虚拟化技术在数据中心内部的广泛使用,针对虚拟化系统的运维管理也变得愈加重要。市场上主流的虚拟化系统都有相应的监控API提供,利用这些接口可以开发不同类别的监控功能,集中监控虚拟主机和虚拟机的健康状况和性能,有效规划容量,合理为虚拟设备分配资源。

1.6 存储系统

使用SNMP、Cli、SNIA's、SMI-S和厂商指定规则自动发现存储设备、监控诸如RAID、磁带库、磁带驱动器、光纤交换机等存储设备。显示设备及其互连拓扑图,显示链路名、源和目标用不同颜色表示设备并对互连的状态和流量利用趋势深入分析,帮助管理人员定位存储系统性能瓶颈。

1.7 操作系统

目前对操作系统的监控已经较为成熟,不论是Windows、Linux还是AIX、HP-UX等UNIX系统都支持非常完备监控方式,如Agent、SNMP等方式。SNMP方式的优势在于不用在O控的操作系统系统商额外安装程序,不会对业务系统产生影响,对主机资源的占用也较低。通过SNMP方式同样能对CPU、磁盘使内存使用量、使用率,网卡连接、流量,特定进程状态等进行监测,并可对相应指标设定相应阀值及时报警。

1.8 中间件

中间件主要包括交易中间件(TPM)、应用服务器(WAS)、消息中间件(MOM)、数据访问中间件(UDA)、安全中间件等。主流的Java中间件主要通过JMX技术进行监控,实现请求数量、请求状态、响应时间、部署应用状态等参数实时监控和历史数据分析。

1.9 数据库

数据库主要通过建立只读用户,通过查询系统表相应字段,对数据库的用户连接数、执行等待时间、表空间、死锁、查询命中率、缓冲池等多种数据库性能参数进行监控告警,并自动记录导致异常运行或资源消耗很大的SQL语句以便开发人员对优化升级应用程序。

2 分布式数据中心之间的集中监控管理

分布式数据中心的集中监控管理的工作主要体现在监控数据的传输整合上,而数据的传输取决与分布式数据中心之间的连接方式。如果中心之间采用的是专线连接则可以让各数据中心内部的集中监控主机通过普通的路由交换协议传输数据;如果中心之间是通过公网连接则需要在内部的集中监控主机之外设置边缘服务器,放置于防火墙构建的DMZ,专用于中心之间的数据传输。如果需在公网传输的数据安全等级较高,还可以考虑在传输和接收之间进行加解密操作。

基础的大型分布式数据中心集中监控,可以选择一个有人职守数据中心作为集中监控主中心,设置主中心内的集中监控主机为整体集成监控主机,除收集本中心内各模块的监控数据外,还用于接受其他中心监控主机传来的数据进行统一管理;也可在监控主中心内独立设置集成监控主机,只接收本中心和其他中心集中监控主机传来的数据进行统一管理,形成集中监控至集成监控的两级数据收集模式。若集中监控对于企事业单位的重要程度较高,还可选择多个有条件的数据中心设立多个集成监控主机,分别收集,集中管理,处理结果根据重要程度在各集成监控主机之间进行同步或异步的数据复制。

3 结语

随着企事业单位信息化建设的不断深入,承载信息化系统的数据中心规模也不断增长,本文所讨论的集中监控管理方案既能将大型数据中心内部涉及的大多数模块进行集中监控处理,又能对各数据中心的数据进行集成监控管理。这种方式有利于数据中心运维管理人员提前发现预判隐患,及时定位处理故障,同时还能存储历史数据用于后期的分析学习,降低了运维管理人员工作强度,大幅提高工作效率,能够为企事业单位节约数据中心整体维护成本,同时为后期扩展至基于移动终端的集中监控管理奠定基础。

参考文献

[1]李锡红,吴建德,何湘宁.UPS监控技术综述[J].通信电源技术,2003,02:18-20.

[2]薛斌,房敬敬,刘昊.机房精密空调环境监控模块设计与实现[J].软件研发与应用,2015,11:27-32.

篇(9)

DOI:10.16640/ki.37-1222/t.2016.22.112

1 前言

随着IT技术的发展和“互联网+”战略的实施,保护信息系统和数据安全的需要也飞速增长,数据中心的安全建设需求愈发重要。而防火墙作为数据中心防护架构的关键防线,如何在数据中心内部稳定并高效的部署防火墙,成为当今数据中心安全建设的一个重要课题。一般来说,数据中心防火墙部署于数据中心的网络边界上,位于数据中心内部的服务器区域和外部访问用户区域之间,传统的网络层防火墙运行在TCP/IP协议栈上,通过对访问流量的TCP/IP报文进行预订策略的识别、过滤和转发来控制外部用户对数据中心内部服务器的访问权限,保护数据中心内部服务器免于非法用户的访问和入侵[1]。

2 NGFW介绍

随着网络技术的发展和防护需求的提升,传统的网络层防火墙由于工作在ISO网络七层架构的网络层,对数据包和流量的分析是基于网络层五元组(源/目的IP,源/目的端口和协议)的,由此也暴露出一些新问题:1)基于端口的识别方式对具体应用没有识别能力,导致非法应用可能借用知名端口穿过防火墙;2)基于IP的识别方式对DDoS、源地址仿冒攻击和对象IP地址不固定的移动端信息服务防范能力不足;3)对于应用层服务的检测、过滤和管理能力欠缺。

因此,业内各个厂家近年来都推出了下一代防火墙(Next Generation Fire Wall,NGFW)来代替传统防火墙,除了提供传统防火墙的防护方式外,同时提供以区分用户、应用和资源内容为防护手段和目标的新一代数据中心防护模式。

3 NGFW实施方案

在实际实施方案中,我们选用了华为公司的S12708三层交换机作为数据中心的网络核心和骨干[2],各个机柜的服务器通过二层VLAN连接到该数据中心交换机[3]。采用两块ET1D2FW00S00 NGFW下一代防火墙集成板卡作为安全防护核心。系统结构如图1所示:

该方案主要说明如下:1)两块S12708集成的NGFW Module做主备式部署,其GE0/0/1配置为心跳接口,当A板卡出问题后,防护系统自动切换到B板卡,消除单点故障;2)两块NGFW Module通过背板带宽,以一进一出两个虚拟20G接口的方式与S12708三层交换机做逻辑连接;3)两块NGFW Module上行链路做捆绑后与S12708数据中心交换机外网部分做路由互指,NGFW Module的默认路由指向S12708,S12708根据防火墙上实际部署的服务器网段做静态路由;4)两块防火墙的内向接口配置为内部服务器的网关,并且做VRRP以确保冗余切换,在内向接口上使用子接口区分不同VLAN。

4 具体关键配置

在对S12708进行完基础配置,使其联入互联网后,防火墙功能部分主要配置实施如下:1)将两块NGFW Module的GE0/0/1用网线直接连接,并配置其心跳线功能:

Module A:

interface GigabitEthernet0/0/1

ip address 10.0.0.1 255.255.255.252

hrp enable

hrp interface GigabitEthernet0/0/1 remote 10.0.0.2

Module B:

interface GigabitEthernet0/0/1

ip address 10.0.0.1 255.255.255.252

hrp enable

hrp interface GigabitEthernet0/0/1 remote 10.0.0.2

2)以新增VLAN51(VRRP=10.10.179.30)为例配置内网接口为服务器区域网关:

Module A:

vlan 51

hrp track active

interface Vlanif51

ip address 10.10.179.28 255.255.255.224

vrrp vrid 1 virtual-ip 10.10.179.30 active

interface GigabitEthernet1/0/0

portswitch

port link-type trunk

port trunk permit vlan 51

Module B:

vlan 51

hrp track active

interface Vlanif51

ip address 10.10.179.29 255.255.255.224

vrrp vrid 1 virtual-ip 10.10.179.30 standby

interface GigabitEthernet1/0/0

portswitch

port link-type trunk

port trunk permit vlan 51

3)配置两块NGFW Module和S12708之间的接口地址和互指路由后,内外网即可以互通。

配置完成后进行测试,将VLAN51下的服务器IP地址设置为10.10.179.0/27内地之后,可以ping通网关并正常上网。通过192.168.1.195和192.168.1.196可以进入防火墙板卡的配置接口或Web管理界面,以配置更详细的防火墙策略,实现对服务器的全面防护。

5 总结

较之独立防火墙设备的部署方式,集成式的防火墙板卡优化了与数据中心交换机的连接方式,节约了设备端口的同时,还提供了很大的双向连接带宽。同时充分利用了S12708上设备端口,减少了防火墙所需的设备下联端口。基于以上过程搭建的数据中心安全架构,具有很好的安全冗余性,并且除了提供了传统防火墙所具备的防功能外,还可以为数据中心提供反病毒、入侵防护、URL过滤、内容过滤、文件过滤、邮件过滤、应用行为控制等企业级应用层功能,经过多方面测试,具有较好的实际使用效果。

参考文献:

[1]陈麟,李焕洲,胡勇,戴宗坤.防火墙系统高可用性研究[J].四川大学学报(工程科学版),2005,31(01):126-129.

[2]HUAWEI USG6000系列&NGFW Module V100R001典型配置案例 [J].

篇(10)

中图分类号:TN915.1 文献标识码:A 文章编号:1674-7712 (2014) 12-0000-01

在数字通讯网络运行过程中,中心机要联系成百上千的网络终端,如何优化数字通信网络终端的布局,影响着中心机的运行效率和工作质量。科学合理的选择终端和中心机之间链路的连接是改进数字通信网络工作的重要步骤。随着科技的进步和社会的发展,数字通信网络的发展将会备受重视,为了实现数字通信网络终端的布局的优化和完善,下文提出了针对性的解决方案。

一、数字通信网络中设计注意事项

(一)限制流量

由于数字通讯网络线路的传输量是有限制的,如果无限制的接纳传输的信息量,当某条线路的处理工作增加时,线路上的信号传递达到饱和,一旦出现这种情况,信号的消耗量就会加大,信号的处理和使用效率便大大降低,影响数字网络通信的正常使用和优化发展,因此在优化布局设计时,要注意限制流量。

(二)控制终端数量

数字网络通信的工作过程,中心机要和数量庞大的终端机连接,本身的处理和工作压力就很大了,如果不断增加终端的个数,中心机的处理将会面临崩溃的境地,处理质量和效率会降低到相当低的水平,最终严重影响客户终端机的正常使用。因此控制终端数量才可以保障用户使用时的效率和质量水平。多点式的线路终端数量要少于承受最大量,其他的终端数量也要严格限制,保证数字通信的信息处理水平。

(三)延时限制

在数字网络通信运行中,信号的传播速度迅速,但是即使这样信号从信号源出发到达网络终端也要有时间上的延迟。时间的延迟出现在三个环节:信号传递过程中,在网络节点处需要处理时间,造成时间延时;信号在网络节点处的排队时间;信号自身在线路上的传输时间。通过以上对造成信号延迟原因的探究,我们认识到为了缩短信号消耗时间就要尽可能的减少线路中存在的网络节点,尽量使中心机和客户终端直接联系和传递信息。但是这样的方法会造成数字网络通信的成本提高,直接相连可以减少信号消耗,提高运行效率但是会增加大量的成本。延时限制是数字网络通信工作要处理的重要问题。

二、影响数字网络通信布局的原因

(一)设备可靠性大小

数字网络通信和人们生活息息相关,所以可靠性和安全性都是必不可少的优势。对于通信设备的可靠性要经过认真科学的推敲和测定,设备的可靠程度关系到数字网络通信事业的发展,要保证可靠性。就需要在建设网络终端时,要选择质量优和性能强的设备。

(二)干扰因素

在数据信息进行传播的过程中,会受到外界环境的干扰,信号的传播在受到干扰后会出现不稳定,影响到客户的使用。干扰产生的原因很多,有相邻干扰、数字网络通信系统自身产生和其他信号干扰因素,优化数字网络通信的布局,信号的稳定性才能保证。

(三)全面覆盖性差

进行数字网络通信建设要实现的是网络的全面覆盖,在建设过程中要不断扩大覆盖范围才是重中之重,当然在这个过程中还要注意保证质量。数字网络通信的覆盖首先应该实现地区性然后进行补充,尽量做到均匀覆盖。

三、数字网络通信终端优化方案

(一)优化处理的计算方法

在数字通信网络终端设计时都要经过严格的计算,以往的设计都是将链路集合和链路容量的确定区分开来,单独处理。在解链路集合时,假设容量已知,在确定连接结构之后,采用解析法进行全网链路数量的再分配。传统的算法不能够完全适应实际的需要和现实情况。在实际处理过程中,链路和容量都是未知的,并且链路成本和长度、容量为正比关系,信号的延时与容量大小成反比,要实现成本的最低化和信号延时的最小化,链路连接和容量并不是独立的,二者是关联很大的变化量,综合考虑才能得到最优结果。

为了计算的简便和效率及质量的提高,可以选择将网络进行分层,链路连接和容量分配同时进行,密切关注限制指标兵进行相应调整满足约束条件。为优化联接结构可采用分层联接法,从距离中心最远的层次开始和层内最短链路连接,这样可以避免离中心距离小的点先饱和远距离的点不能良好运行的问题。新算法应用的是联接和纷飞交错进行,分配和检查都是分片进行,及时发现有延时超过预定值也不用过多进行调整。这样的算法比以往的全网分配得到的结果更优。

(二)优化数字信息网络干扰项

数字信息网络信号传输过程中会出现干扰因素,影响信号的传递,要解决这一问题就要对干扰因素进行列举和分析,对于干扰因素的特点和特性进行分析和记录,同时要做好与其他部门的沟通工作,尽量避免干扰因素的扩大,本部门也要做好自身的规划,避免出现越战干扰情况影响到正常工作。去除干扰因素可以为数字信息网络发展贡献很大的力量。

(三)对数字信息网络设备进行管理

数字信息网络设备的好坏,关系到数字信息网络工作能否正常实施。对于设备要关注性能、质量和效率,对于关键系统设备的选择更是要格外重视,对于产品的服务和维修要多加注意。在设备使用中,要注意对设备的维修和保养,对设备的质量和安全进行跟踪和记录,对于可能出现的问题要做好应急方案,提高设备的使用率,对于老化的设备要及时更换,避免事故隐患。此外,加强数字信息网络设备管理,还要注意提高操作人员的业务素质和专业技能,操作的水平影响到工作的质量,因此,做好设备管理工作作用重大。

三、结束语

数字通信网络终端的布局优化设计是要尽可能控制好链路和链路的容量,同时还要减少投资成本,优化资源的使用。数字信息网络的发展离不开对其设计方案的优化和处理,我国的数字通信网络发展要不断改进方法,提高技术水平,满足大众的通信需求和社会发展的需要。

参考文献:

免责声明以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。

上一篇: 管理软件营销方案 下一篇: 数学知识点总结报告
相关精选
相关期刊
期刊推荐 润色服务 范文咨询 杂志订阅