【优质文档】超级计算中心网络系统建设可研方案基础网络部分.pdf

资源描述

《【优质文档】超级计算中心网络系统建设可研方案基础网络部分.pdf》由会员分享，可在线阅读，更多相关《【优质文档】超级计算中心网络系统建设可研方案基础网络部分.pdf（22页珍藏版）》请在三一文库上搜索。

1、云计算中心网络系统建设方案 1 网络系统建设方案 1.1 网络系统建设的要求 1) 计算中心通过互联网、专线接入和VPN 接入提供服务； 2) 提供多种网络接入及特定单位的专线接入，满足用户以多种方式远程接入云计算平台的要求； 3) 有效隔离计算中心与互联网，防范来自互联网的非授权访问，使计算中心在受控的前提下提供给外部进行访问； 4) 为云计算大楼公共服务区（用户服务区、办公区、公共会议室）提供网络连接； 5) 子网相对独立，又彼此关联。各入驻单位的计算机网络相互独立，各自构建独立的单位局域网，满足各单位组网需求；同时要考虑其工作的共性需求。在设计中要考虑他们之间的相对隔离又彼

2、此关联的要求，划分不同的区域，区域之间采用物理隔离或逻辑隔离。 6) 建立完善的网络安全和管理机制，保证网络系统的安全和正常运转。 1.2 网络系统总体设计 1.2.1 网络架构设计专线客户中国电信中国联通路由交换、安全防护 DMZ 区云计算资源区云计算中心服务区云计算中心办公区云计算中心路由交换、安全防护图 1 云计算中心网络系统逻辑结构图云计算中心网络系统整体逻辑结构如图1 所示。整个网络系统包括云计算资源区和服务与管理区，服务与管理区可进一步分为对外服务区、中心办公区、 DMZ 区。云计算资源区是超级计算系统所在区域。云计算服务区是计算中心对企业等非政府机

3、构提供超级计算服务的区域。中心办公区是云计算中心工作人员的办公区域。 DMZ 区是云计算中心设置Web服务器和 SSL VPN 接入的区域。上述区域整体上包括云计算中心资源层、核心交换层、功能接入层和互联网接入 /服务层；采用分层结构模块化的设计理念，使网络结构清晰化，便于网络安全策略的实施和网络管理，并提高网络的灵活性和可扩展性。 1）云计算资源区云计算中心服务结点使用万兆链路直接接入到云计算资源区的高性能接入交换机上。 2）服务与管理区核心交换 /访问控制层：主要包括一台的核心交换机，由于现在的核心交换设备一般都支持多个模块，而本项目所需接入的网段也不是太多，可

4、将汇聚交换的功能融入其中，对各子网的访问控制策略采用交换机访问控制技术实现。功能接入层：包括云计算中心办公子网、云计算对外服务子网等；互联网接入 /服务层：包括 1 条互联网接入链路、边界防火墙、 DMZ 区（设置 DNS、WWW 、SSL VPN 接入等服务）等。 1.2.2 服务与管理区网络及安全防护部署大数据量用户用户专线中国电信中国联通超级计算资源区超算中心办公区超级计算资源区核心交换机 SSL VPN DMZ 区盘阵网络与安全管理区认证补丁软件分发集中安全管理云计算中心服务区云计算中心服务区服务与管理区核心交换机互联网接入 /服务层功能接入层

5、核心交换层超算资源层图 2 网络系统拓扑结构及安全防护部署可以将网络拓扑分为3 层，包括互联网接入 /服务层、功能接入层核心交换层和云计算中心资源层。互联网接入/服务层包括边界防火墙、 DMZ 区（设置 DNS、WWW、邮件、 SSL VPN 接入等服务）。核心交换层主要包括一台核心交换机。功能接入层包括云计算中心办公子网、云计算对外服务子网等。 1.2.3 专用网络接入云计算开放区包括与超级计算相关的管理、服务单位，其对网络的连接和访问控制要求如表1 所示：表 1 云计算中心子网分布表云计算相关单位分布情况大楼内部联网要求外部联网要求高性能计算开放实验室（云计算办

6、公子网）云计算中心子网互联网超级计算中心办公室、高性能计算机工程中心吕梁分中心、会议室、办公室（云计算办公子网）云计算中心子网互联网进驻单位云计算中心子网互联网用户通过互联网采用VPN 技术接入云计算中心；如果需要，可以采用专线接入，可以直接接入到核心层核心交换机上，利用 VLAN 的方式进行逻辑隔离，利用防火墙对其进行访问控制、审计。 1.2.4 网络带宽设计 1）主干带宽设计考虑超级计算机的业务需求，选择万兆以太网作为核心层组网，从接入交换机到核心交换机采用千兆以太网技术。为了便于今后系统的升级，选择的核心交换机、接入交换机等都能够支持万兆。一旦今后需要无需更换

7、设备即可平滑升级到全万兆主干网。 2）互联网接口及带宽要求（a）云计算办公区的互联网带宽需求内部人员利用 Internet 进行资料查询、收发邮件、对外联系等工作，对带宽需求不会太高。内部人员按照 140 左右估算，估计约 200M 即可满足需求。（b）对外服务区的互联网带宽需求云计算中心的客户通过Internet 访问相关的服务器，完成计算业务的提交、数据上传、作业管理、作业监控、结果下载等。作业提交的方式主要包括WEB 访问、 FTP、Telnet、Xwindows 等方式。这部分访问单个用户对带宽要求不高，但是需要考虑用户的总量，结合并发用户访问量进行综合考虑。

8、在初期，初步预留300M 带宽给这部分访问。（c）互联网带宽需求根据以上对 Internet 带宽的初步分析，同时结合目前ISP 提供的带宽的性价比综合考虑，选择1000M 多路接入，以后根据发展情况再进行扩展。 1.3 互联网接入互联网接入 /服务层主要提供对外服务，是外界进入中心，与中心发生数据交互的第一个功能层次，这个功能层包含：互联网接入、 DMZ 区和网络与安全管理区等。这个功能层建设中首先需要考虑安全问题，重点是如何保证外界安全、可靠的与中心各区域进行数据交互，其次是设备的选型，如：边界路由器、边界防火墙等。 1.3.1 互联网接入规划互联网接入区主要是连接到I

9、nternet，向用户提供云计算资源服务。电信运营商接入：根据对用户应用需求的初步分析，建议在试运行期间通过二条线路构成2000M 接入，一条线路接入中国电信网，一条接入中国联通网，均具有1000M 带宽。大数据量用户专线接入：为了满足大数据量用户传输数据的需求，通过租用中国电信的光缆，建立一条或多条（根据大数据量用户单位数量确定）大数据量用户到云计算中心的专线。综上所述，中心的网络接口如表2。表 2 中心网络接口表网络部分技术备注内部主干网1000M 以太网五个功能区域互连电信运营商接入 2000M 二条线路，分别接入中国电信网、中国联通。大数据量用户接

10、入光纤专线通过中国电信通过在中心核心交换机上的QoS 设置，保证在中心内部网络上为大数据量用户单位分配1000M 独占带宽。在系统试运行一段时间后可以根据综合考虑以下因素来对互联网接入带宽加以调整：来自 Internet 的实际用户量用户的访问响应速度出口的可靠性 1.3.2 互联网接入路由器互联网接入路由器，即边界路由器，主要完成与Internet 的高速互联。作为云计算开放区网络与公共IP 骨干网络的接口，互联网连接层提供了平台与公共IP 网的桥梁，它的运行情况直接关系到整个云计算平台为用户所提供的服务质量，这就要求该层的设备必须具有以下的特点：高速的路由交换能力

11、具备丰富的接口类型完善的 QoS支持能力在互联网连接层配置接入路由器，使用高速连接到IP 骨干网，并以全冗余方式与核心层互连。借助于这些高端路由器的高性能及丰富的特性，提供全冗余、高速、高性能网络核心。 1.4 功能接入网络设计包括中心办公子网、中心用户服务子网。每个子网采用1 台 2/3 层接入交换机，通过千兆链路接入服务与管理区的核心交换机。各子网的交换机可采用高性价比工作组级交换机，具有强大的堆叠性能、环境适应能力、交换性能和QoS/ACL 能力等，完全满足用户的接入要求。此外考虑到今后的升级能力，接入交换机需要能够支持万兆模块，在今后需要时能够平滑升级到万兆骨

12、干。办公子网和用户服务之间，以及这两个子网对超级计算机房子网的访问控制通过VLAN划分和在核心交换机上配置访问控制策略实现，基本策略应保证办公子网和用户服务子网对超级计算机房子网的访问，办公子网和用户服务子网之间不能互相访问。 1.4.1 办公与用户服务环境由 5 台安全认证接入终端、 1 台 2/3 层接入交换机组网，构成中心工作人员的办公环境，通过千兆链路接入服务与管理区的核心交换机。中心工作人员通过办公管理子网对超级计算机进行维护管理，利用 Internet开展资料查询、收发邮件、对外联系等工作。 1.4.2 用户服务环境通过 CAE 软件界面交互式使用超级计算机是

13、目前工业用户使用超级计算机的一种主要方式，这种方式存在的一个主要问题是如果网络因为延迟过大，或者丢包出现中断，那么就意味着一次计算的失败。为了解决以上问题，同时为用户提供更加优质的超级计算体验，在中心建立一个用户服务环境，由12 台安全认证接入终端和1 台 2/3 层接入交换机组网而成，通过千兆链路接入服务与管理区的核心交换机。 1.4.3 用户接入安全认证为了保证办公管理子网和用户服务子网所有终端的接入合法性，中心内部网络将部署终端认证系统。认证系统由服务器和客户端构成，终端认证系统服务器部署在网络与安全管理区，每台接入办公管理子网和用户服务子网的终端安装终端认证系统

14、客户端。在终端接入网络时，首先由认证系统客户端向认证系统服务器发起用户名和密码认证，只有通过认证的合法终端才能接入中心内部网络。 1.5 核心交换网络设计主要包括 1 台万兆级核心交换机，以双核心、双链路、冗余互连的组网结构来实现负载均衡和提高可靠性的需求。核心交换机下联根据不同的区域确定采用万兆或千兆链路，其中超级计算机房、DMZ、用户服务区使用万兆链路、安全管理区与办公区使用千兆链路。 1.5.1 核心交换设备核心交换机拟采用1 台高性能的交换机，具备良好的设备冗余机制及扩展能力，一方面要考虑设备本身硬件容错的能力，另一方面要考虑今后网络扩展的能力。如：交换机支持电源

15、、引擎、风扇等重要部件的冗余、具备多个扩展插槽并良好支持安全模块、10G 等技术。超级计算资源层网络设备通过其内部互连交换机使用一个万兆端口上连至核心交换机上。 1.5.2 核心组网专线带宽保证：在核心交换机上配置QoS 服务，确保中心内部骨干网每条链路能够为专线用户提供1000M 的独占带宽。支持硬件容错的能力：交换机支持电源、引擎、风扇等重要部件的冗余、具备多个扩展插槽并良好支持安全模块、10G 等技术。 1.6 网络地址规划 1.6.1 VLAN 规划各个功能区域的服务器单独划分到一个网段中保证服务器的安全。根据功能区服务器、终端的功能和规模可以划分若干个VLAN ，

16、可以把功能相近的设备群组划分到同一VLAN ，不同性质的设备划分到不同 VLAN 中去。不同 VLAN 之间的流量必须经过核心交换机或者防火墙完成，并且可以通过核心交换机或防火墙上的ACL（访问控制列表）来控制VLAN 之间的访问。每个 VLAN 配置一个 IP 地址网段， VLAN 之间通过路由连通。 1.6.2 IP 地址规划和路由设计本网络系统中，采用 IPv4 进行地址规划。需要申请 4 或 16 个 C 类 IP 地址，用于云计算中心为互联网提供服务的地址。中心开放区域统一分配地址，采用互联网保留地址172.16-31 或 10.0，每个子网分配1 个 C 类地址

17、段，必要时采用地址转换技术。超级计算机房部分可以配置静态或动态路由协议，动态路由协议选用 OSPF或 EIGRP 等路由协议。在互联网出口上主要采用默认路由，一般来说Internet 服务提供商不会与接入单位运行动态路由协议，因此在互联网接入路由器上只需要一条默认路由指向ISP 即可，ISP 则通过静态路由完成到外网接入部分的路由，多个 ISP 的静态路由可交给带负载均衡功能的防火墙设备来自动进行切换，保证网络的可靠性。 1.7 网络基础设施系统需求（1）核心交换机表 3 核心交换机选型推荐品牌性能指标 CISCO 6509 ,H3C S9512，华为模块化机箱交换机，

18、插槽数9 槽推荐品牌性能指标 S8512，深圳风云 S9808 配置的引擎的有效交换容量720Gbps IPv4 三层包转发率 400Mpps ，IPv6 三层包转发率 200Mpps MAC 地址表 64000 所有端口缺省均支持MPLS 功能,无需专门板卡实现 ,无需升级板卡可支持 10/100/1000M 千兆自适应以太网端口 384 个可支持 1000M 千兆以太网光纤端口 38 4 个可支持 10GE 以太网端口 64 个可支持防火墙模块 IPv4 路由表 256000 条，Ipv6 路由表 128000 条支持 L3 路由国际标准协议： RIP/RIP2，OSP

19、F，IS-IS， BGP-4 支持视频组播协议IGMP v1/v2/v3, IGMP Snooping，PIM Sparse/Dense Mode ，DVMRP，MBGP，MSDP，SSM 以及双向 PIM 支持交换引擎冗余；在配置冗余处理引擎的情况下，主处理引擎出现故障时可以在不到1 秒的时间内自动地完成故障切换，并且交换容量、交换性能保持不变，即单引擎情况下系统交换性能不会减半支持虚拟路由冗余负载均衡协议HSRP或 VRRP 或 GLBP 支持在线软件升级，支持模块化软件，增强系统稳定性，并便于维护、升级支持国际标准 Radius/TACACS+/KERBEROS 的 A

20、AA 认证接入支持多级 User/Password设置推荐品牌性能指标支持 ARP 过滤和限制技术，预防ARP 欺骗攻击支持 DHCP 侦听以防止假冒的DHCP Server 、DHCP Relay 和动态 ARP 拦截以防止假冒的MAC 地址硬件支持交换机控制层保护机制支持 SNMP v1、v2c、v3 网管协议支持对本机和远端交换机的端口做流量镜像（2）路由器表 4 路由器选型推荐品牌性能指标 CISCO 7609,H3C SR8812，华为 NE40E-8 配置的引擎的有效交换容量 320Gbps 三层包转发率 200Mpps MAC 地址表 32000 模块化机箱交

21、换机，插槽数 6 槽所有端口缺省均支持MPLS 功能,无需专门板卡实现 ,无需升级板卡可支持 10/100/1000M 千兆自适应以太网端口 192 个可支持 1000M 千兆以太网光纤端口 192个可支持 10GE以太网端口 32 个 IPv4 路由表 256000 条，Ipv6 路由表 128000 条支持 L3 路由国际标准协议： RIP/RIP2，OSPF，IS-IS， BGP-4 支持视频组播协议IGMP v1/v2/v3, IGMP Snooping，PIM 推荐品牌性能指标 Sparse/Dense Mode ，DVMRP，MBGP，MSDP，SSM 以及双向 PIM

22、支持交换引擎冗余；在配置冗余处理引擎的情况下，主处理引擎出现故障时可以在不到1 秒的时间内自动地完成故障切换，并且交换容量、交换性能保持不变，即单引擎情况下系统交换性能不会减半支持虚拟路由冗余负载均衡协议HSRP或 VRRP 或 GLBP 支持在线软件升级，支持模块化软件，增强系统稳定性，并便于维护、升级支持国际标准 Radius/TACACS+/KERBEROS 的 AAA 认证接入支持多级 User/Password设置支持 ARP 过滤和限制技术，预防ARP 欺骗攻击支持 DHCP 侦听以防止假冒的DHCP Server 、DHCP Relay 和动态 ARP 拦截以防

23、止假冒的MAC 地址硬件支持交换机控制层保护机制支持 SNMP v1、v2c、v3 网管协议支持对本机和远端交换机的端口做流量镜像（3）代理缓存表 5 代理缓存选型推荐品牌性能指标 Bluecoat SG,Microsoft 设备功能和性能要求推荐品牌性能指标 ISA,Cisco Cache Engine *支持各种文件格式HTML 、RM、MOV 、ASF、FLASH 等内容的手动和自动分发具有自动更新 CACHE 内容的功能；提供 PUSH 和 PULL 的内容分发功能基于策略的内容分发功能，支持客户定义策略支持对内容的优先级、更新频率设定等内容管理功能提供对 C

24、ACHE 服务器中内容的监视和控制功能能按需求生成分发内容的访问情况统计报告支持中心对 CACHE 中内容的集中式管理支持计费报表统计功能 *能同时支持 50个 CACHE 内容服务器的内容分发管理管理及其他要求 *提供远程管理功能和命令行管理方式提供基于 WEB 的管理界面提供基于 SNMP 协议的图形化网管，包括设备管理、故障管理、告警管理等功能，并能与HPOPENVIEW 等管理平台集成基于硬件的内容分发管理控制器，提供机架式安装，使设备易于使用、管理和维护，占用较小的设备机架空间支持电信级的电源及板卡冗余 *设备性能稳定，可保证 7 天 24 小时工作，设备可用率达

25、到99.99%；设备支持的协议推荐品牌性能指标支持 HTTP1.0/1.1，FTP，HTTPS、NNTP、RTSP/RTCP/RTP 、MMS、 PNA、NECP 等协议 *支持 ICP（Internet Caching Protocol）协议，并提供成功应用方案支持 LDAP ，RADIUS 等用户认证管理协议 *支持 WCCPV1 和 V2 协议设备支持的功能 *支持透明缓存（ Transparent Caching ）和传统代理缓存（ Proxy Caching）等工作模式 *支持 CACHE 的级连及逐级内容分发安全性上支持针对SSL/SSH的应用 *应支持针对 URL 的

26、过滤功能，能够过滤掉特定站点的特定内容支持 Wensense 、SmartFilter 等过滤机制支持动态过滤功能支持内容的主动动态刷新方式支持 URL Rewirte 功能支持广告插播功能支持 Pipeline 技术 *支持 L4 重定向功能支持 L3/路由器的策略路由重定向 (Policy Routing) 支持 DNS 重定向，并提供成功应用方案支持 REAL 、WMT 、QT 等多种媒体服务器的用户管理认证方式推荐品牌性能指标支持多个 CACHE 内容服务器的 Cluster功能可高速缓存 DNS 项并提供方案支持传统的 CACHE 功能，并同时支持 Real，

27、Microsoft Media ，等主流的中低速流媒体格式内容的高速缓存，能提供对其他中低速流媒体的扩展支持，支持 Real Proxy功能支持智能流支持基于 MPEG1/MPEG2/MPEG4 标准的流缓存和代理服务，并提供成功应用方案支持流媒体应用的proxy routing 功能支持 Real， Microsoft Media 等直播、点播系统的 STREAM SPLITTING 功能支持 Real， Microsoft Media 等多媒体流的 MULTICAST 与 UNICAST 之间的相互转换与RELAY 功能采用高效的内容命中率算法和措施并提供方案，使内容

28、命中率70% 单台设备的服务性能支持并发用户数 =10000 个 *支持流服务能力 =500M *支持 http 服务能力 =300M CACHE 内容响应时间 200G 支持电信级的电源及板卡冗余 *提供=2 个 1000M 以太网光接口或 =4 个 10/100M 以太网接口设备具备平滑升级能力管理统计及其他要求生成系统资源使用情况统计报告系统根据用户权限提供查询相关报表的功能提供按用户需求定制报表功能 *支持中心的内容分发管理控制器的管理和控制 *提供用户访问的跟踪记录和统计支持实时的日志，多种状态监测记录和统计报告支持远程设备管理、设置、监控和升级 *提供远程管理功能和

29、命令行管理方式提供基于 WEB 的管理界面提供机架式安装，使设备易于使用、管理和维护，占用较小的设备机架空间 *设备性能稳定，可保证 7 天 24 小时工作，设备可用率达到99.99% 1.10 网络基础设施费用估算（1）总体预算表 6 网络基础设施总投资预算单位：万元序号建设内容总价格 1 互联网接入服务费 2 云计算开放区网络基础设施合计（2)互联网接入服务费表 7 互联网接入服务费单位：万元 1 互联网接入服务费序号名称年限数量单价总价中国电信 1000M 2 年1 中国电信光缆专线大数据用户单位专线， 2 年 2 中国联通 1000M 2 年1 教育网 10

30、0M 2 年 1 （3）云计算开放区网络基础设施表 8 云计算开放区投资预算单位：万元序号设备名称描述数量单价总价 1 出口路由器 Internet出口路由器，提供 8 个千兆口，电源，配套软 1 序号设备名称描述数量单价总价件 2 DMZ 区、办公区、服务区交换机提供 48 个千兆电口，2 个多模千兆模块 4 3 核心交换机模块化交换机，冗余引擎、电源、风扇，配套软件，96 个千兆光口， 96 个千兆电口，万兆光口 4 个 1 4 代理缓存系统集成（主板上） 2个 10/100/1000 Base-T口, 内置硬盘 1 5 机架式服务器（WEB 、 MAIL、 DNS 、防病毒、桌面管理、系统管理） 1颗四核2.00 GHz CPU,4GB内存， 2 块 146GB 10K 硬盘， 16 速 DVD-ROM Combo ，双端口网卡，热插拔冗余电源， Win2008 Server 6 小计 2

展开阅读全文