華為數(shù)據(jù)中心防火墻和負(fù)載均衡解決方案
2011/07/06
概述
數(shù)據(jù)中心是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境,通過網(wǎng)絡(luò)互聯(lián),成為數(shù)據(jù)計算與存儲的中心來承載各種IT應(yīng)用業(yè)務(wù)。通過數(shù)據(jù)中心的建設(shè),企業(yè)能夠?qū)崿F(xiàn)對IT信息系統(tǒng)的整合和集中管理,提升內(nèi)部的運營和管理效率以及對外的服務(wù)水平,同時降低IT系統(tǒng)建設(shè)成本。
安全和高效是數(shù)據(jù)中心網(wǎng)絡(luò)運行中需要解決的兩個核心問題:
其一,數(shù)據(jù)中心網(wǎng)絡(luò)面對著各種混雜流量,惡意攻擊流量往往混雜在正常的流量之中,同時由內(nèi)部和外部攻擊導(dǎo)致的竊密也屢見不鮮。安全問題是始終是數(shù)據(jù)中心的一大挑戰(zhàn)。
其二,承擔(dān)基礎(chǔ)運算任務(wù)的服務(wù)器,其性能差異很大,業(yè)務(wù)處理繁忙程度都或多或少影響著系統(tǒng)最終的服務(wù)性能。如何通過有效合理的業(yè)務(wù)調(diào)度,充分發(fā)揮硬件整體的最佳性能是數(shù)據(jù)中心的另外一大挑戰(zhàn)。
為此,華為提出了數(shù)據(jù)中心防火墻和負(fù)載均衡解決方案,以解決數(shù)據(jù)中心安全性與服務(wù)器使用效率的問題。
方案介紹
數(shù)據(jù)中心按照其功能區(qū)劃分可以分為Internet服務(wù)器區(qū)、Intranet服務(wù)器區(qū)和Extranet服務(wù)器區(qū)。
Internet服務(wù)器區(qū)中布放了支持Internet業(yè)務(wù)開展的服務(wù)器群,通?梢园凑展δ苣K進(jìn)一步劃分為web應(yīng)用服務(wù)器區(qū)、業(yè)務(wù)處理和中間件服務(wù)器區(qū)和數(shù)據(jù)庫服務(wù)器區(qū)。在web應(yīng)用服務(wù)器組和業(yè)務(wù)處理服務(wù)器組中需要部署負(fù)載均衡器和防火墻。
Intrannet服務(wù)器區(qū)中布放了支持了企業(yè)內(nèi)部IT運作需要的服務(wù)器;Extranet服務(wù)器區(qū)中部署了提供給合作廠商進(jìn)行訪問的服務(wù)器。同樣,在這些區(qū)域也需要部署負(fù)載均衡器和防火墻。
一個具體的部署實例如下圖所示:
根據(jù)業(yè)務(wù)需要,在不同分區(qū)的匯聚交換機(jī)(S9306)上合理部署負(fù)載均衡和防火墻單板,來有效支撐相應(yīng)的服務(wù)器群的業(yè)務(wù)展開需要;在核心的匯聚交換機(jī)(S9312)上也配置防火墻單板為不同的功能分區(qū)間的流量進(jìn)行有效控制。
方案特點
基于多核的先進(jìn)硬件架構(gòu)
通過應(yīng)用多核CPU能夠提供基于軟件的靈活業(yè)務(wù)處理能力,滿足應(yīng)用智能化的需求;通過各種硬件加速引擎的協(xié)同工作,來確保高性能業(yè)務(wù)處理能力。相比通用CPU,S9300匯聚交換機(jī)的業(yè)務(wù)處理CPU集成了多種硬件加速引擎,能夠?qū)I(yè)務(wù)分離給專用的硬件加速引擎處理,從而提高并行處理性能。
通過這些專有硬件引擎的支持,并結(jié)合高效可靠的軟件處理,結(jié)合華為內(nèi)部強(qiáng)大的路由、安全軟件平臺VRP,S9300能夠充分發(fā)掘硬件的能力。S9300防火墻和負(fù)載均衡單板能夠提供每槽位10GE線速的處理能力,并保持強(qiáng)大的應(yīng)用感知能力。
內(nèi)嵌設(shè)計支持可靠、靈活的部署和擴(kuò)容
S9300防火墻和負(fù)載均衡單板作為系統(tǒng)的業(yè)務(wù)板內(nèi)嵌于交換機(jī),利用系統(tǒng)背板實現(xiàn)可靠高速的業(yè)務(wù)連接,與通過光纖、電纜外聯(lián)的獨立設(shè)備相比,其可靠性更高;同時,通過靈活選配業(yè)務(wù)單板,系統(tǒng)可以平滑地支持網(wǎng)絡(luò)擴(kuò)展,無需對網(wǎng)絡(luò)拓?fù)溥M(jìn)行改變。
功能強(qiáng)大、易于維護(hù),業(yè)務(wù)需求匹配度高
傳統(tǒng)的防火墻根據(jù)其工作原理可以分為包過濾防火墻、代理防火墻和狀態(tài)防火墻三種。當(dāng)前主流是向狀態(tài)防火墻方向發(fā)展,S9300防火墻單板就是狀態(tài)防火墻單板,可提供強(qiáng)大的保護(hù)和過濾功能。
負(fù)載均衡器則是需要根據(jù)服務(wù)器的性能、CPU占用率、業(yè)務(wù)應(yīng)用的連續(xù)性等原則來將遠(yuǎn)端用戶請求合理的分散發(fā)布到各服務(wù)器上的功能硬件。當(dāng)服務(wù)器出現(xiàn)異常時,負(fù)載均衡器能夠準(zhǔn)確感知故障,并將其從可提供業(yè)務(wù)服務(wù)器中剔除。
綠色環(huán)保
秉承S9300一貫的綠色節(jié)能的設(shè)計理念,在防火墻和負(fù)載均衡器的硬件設(shè)計上也充分考慮了節(jié)能設(shè)計,選取的業(yè)界先進(jìn)的多核引擎能夠提供很高的性能功耗比。
客戶收益
華為數(shù)據(jù)中心防火墻和負(fù)載均衡解決方案,將有助于客戶構(gòu)建安全高效的數(shù)據(jù)中心網(wǎng)絡(luò),同時,具有方便運行維護(hù)、綠色環(huán)保等特色,在有效保護(hù)客戶投資基礎(chǔ)上,支持平滑的企業(yè)業(yè)務(wù)擴(kuò)展。
CTI論壇編輯
相關(guān)閱讀: