除了銀行、證券公司等金融領域這些“不差錢”的企業(yè)，還有很多大中型企業(yè)會不惜砸下重金自建數(shù)據(jù)中心（下文簡稱DC），承載企業(yè)對外服務（如企業(yè)官網(wǎng)）的同時，也承載著諸多對內服務的系統(tǒng)，如企業(yè)郵件系統(tǒng)、AD系統(tǒng)、文件系統(tǒng)、備份系統(tǒng)、歸檔系統(tǒng)、OA系統(tǒng)、CRM系統(tǒng)、ERP系統(tǒng)、內部BI系統(tǒng)等。

據(jù)中培偉業(yè)某培訓專家指出，前些年的服務器虛擬化技術更是將DC系統(tǒng)搭建的靈活性、冗余性、安全性以及資源高效配置等優(yōu)勢大大提升。即使當今公有云越來越普及，仍有許多企業(yè)考慮到安全、帶寬等因素，并未完全將系統(tǒng)置于公有云上，而是采用“公私混合云”的方式，使自建的DC仍然發(fā)揮著難以替代的作用。

對于以上問題，中培偉業(yè)《網(wǎng)絡部署實戰(zhàn)及架構設計》培訓專家王老師根據(jù)自己的從業(yè)經(jīng)驗，總結一些企業(yè)自建DC網(wǎng)絡架構的一些心得，供廣大同仁探討、借鑒。

1） 局域網(wǎng)的中堅力量----交換機

交換機是局域網(wǎng)中最重要的設備，是網(wǎng)絡架構設計中首先要考慮的設備。在DC局域網(wǎng)架構設計中，該如何入手進行設計呢？

在網(wǎng)絡架構的設計中，厘清數(shù)據(jù)流量交互的脈絡是重要的工作，DC的網(wǎng)絡架構中更是如此。

只有弄清楚數(shù)據(jù)的流量交互，才能找到流量的交互瓶頸會出現(xiàn)在哪些節(jié)點，高流量交互的區(qū)域在哪里。然后根據(jù)分析的結果來選擇是使用萬兆、千兆、甚至百兆的交換機端口。

使用服務器虛擬化的架構，同一臺宿主機的不同虛擬機之間的數(shù)據(jù)交互已經(jīng)被終結在了宿主機內部，而處于同一集群的不同宿主機之間會有虛擬機漂移、復制、數(shù)據(jù)庫讀寫、備份等大流量數(shù)據(jù)交互，為了保證交互速度，采用萬兆端口是比較好的選擇。

DC的宿主機往往根據(jù)性能的不同被劃分為不同的集群，不同集群之間的流量交互要遠遠小于同一集群的宿主機，由于不同集群的設備一般都會部署在不同的機柜，每一臺機柜都會部署接入層交換機，所以不同集群的流量交互一般會跨越級聯(lián)鏈路，跑在接入層轉發(fā)至核心匯聚層之間，因此，核心匯聚層與各機柜接入層的交換機之間級聯(lián)帶寬最好是萬兆級別。

對于跨安全區(qū)域的流量，瓶頸在防火墻或路由器，采用萬兆級聯(lián)端口的千兆端口即可。而外接Internet或專線的交換機，流量瓶頸在于線路的帶寬，如果線路帶寬不超過百兆，那相應的交換機端口使用百兆的就夠了。

架構設計時，要根據(jù)以上推算的不同端口的預估數(shù)量來選購適合的交換機。因為箱式交換機具備如下優(yōu)勢，比較適用于虛擬化程度高的架構。

可集成多種不同類型端口，端口密度大，共享高速背板帶寬；

刀片式硬件全熱插拔且便于擴展和維護；

電源、風扇等同樣支持熱插拔，冗余性高、穩(wěn)定性強；

“All-in-one”式設計，功能豐富；

有利于減少網(wǎng)絡層級，實現(xiàn)“扁平化”的網(wǎng)絡架構。

當然，盒式交換機具備成本低、占據(jù)空間少、部署靈活等優(yōu)勢。是使用較少的箱式交換機還是使用較多的盒式交換機，目前業(yè)界雖然多數(shù)專家的觀點是傾向于前者，但仍有不少人認為后者的性價比高于前者。究竟采用盒式還是箱式交換機，需要根據(jù)具體情況而定，不能一概而論。

不論采用哪種交換機，都需要在設計時充分考慮冗余性以及性能最優(yōu)化。

例如，因為網(wǎng)絡架構設計需要考慮到冗余性，宿主機一般最少配置兩塊多口的網(wǎng)卡，每塊網(wǎng)卡上各取一個口與兩臺交換機（盒式）或兩個板卡（箱式）相連，避免因為宿主機某一塊網(wǎng)卡的故障或某一臺交換機的故障，導致業(yè)務的徹底中斷。 因為網(wǎng)絡架構設計考慮到性能最優(yōu)化，一般使用端口聚合技術將多個端口捆綁起來，使帶寬成倍增加。

2） 局域網(wǎng)的保安---- 防火墻

防火墻作為保障網(wǎng)絡安全的重要設備，在網(wǎng)絡架構設計時需要考慮到如下幾點：

異構性。在不同區(qū)域部署不同品牌的防火墻可以增加攻擊者的攻擊難度，降低在某一結點被攻破時，“兵敗如山倒”的風險；

冗余性。各大廠商都宣稱自己的防火墻可做到“雙活”，理論上可行，但實際運行效果并不理想。還是建議使用穩(wěn)定性更可靠的“主備”模式；

不同安全區(qū)域間可根據(jù)業(yè)務需求，通過防火墻策略與交換機、路由器ACL相結合的方式，在不同類型數(shù)據(jù)流量節(jié)點設置不同等級的“關卡”，從而實現(xiàn)保障安全的同時避免了這些“關卡”成為數(shù)據(jù)擁塞的瓶頸，也能夠降低維護管理成本。

3） 所有設備的家---機柜

大多數(shù)公司選擇租用專業(yè)化機房的機柜來建設自己的DC，因為專業(yè)化的機房的電力、溫濕度控制、消防、安保、運營商資源等等都是自建機房完全無法企及的。

但租用機柜的價格往往不菲，這就需要對機柜的空間最合理化利用。在設計時，機柜設備分布的設計也是一項非常重要的工作。在設計時，除了考慮空間因素外，還需要考慮設備散熱、機柜最大電力容量、設備間數(shù)據(jù)線長度、功能區(qū)域的劃分、機柜間跳線等因素。

4） 談談DC的運維

DC的運維操作八成以上都是管理員遠程完成的，這就需要有一份準確的運維文檔，讓管理員即使不在現(xiàn)場，也能很好的了解設備的位置、端口、跳線編號等信息。

運維的可視化離不開監(jiān)控管理系統(tǒng)，部署一套這樣的系統(tǒng)往往也要投入不少錢。但一般這類系統(tǒng)都是按功能模塊來賣的，可以根據(jù)需要選擇購買幾個重要的功能模塊，無須全套購買。有些企業(yè)可能會要求管理員自己使用Linux搭建可視化運維監(jiān)控系統(tǒng)，但無論是效果上還是算一算人力投入，都不如購買第三方的系統(tǒng)劃算。

金屬質感分割線

以上只是DC局域網(wǎng)架構建設的一些心得。其實在設計前最好多走訪一些大公司，尤其是外企的DC，增長眼界，拓寬思路，吸收經(jīng)驗，這也是中培偉業(yè)《網(wǎng)絡部署實戰(zhàn)及架構設計》培訓的核心內容之一。