超级计算中心网络系统建设可研方案基础网络部分.docx
- 文档编号:26844614
- 上传时间:2023-06-23
- 格式:DOCX
- 页数:19
- 大小:24.67KB
超级计算中心网络系统建设可研方案基础网络部分.docx
《超级计算中心网络系统建设可研方案基础网络部分.docx》由会员分享,可在线阅读,更多相关《超级计算中心网络系统建设可研方案基础网络部分.docx(19页珍藏版)》请在冰豆网上搜索。
超级计算中心网络系统建设可研方案基础网络部分
云计算中心网络系统建设方案
1网络系统建设方案
1.1网络系统建设的要求
1)计算中心通过互联网、专线接入和VPN接入提供服务;
2)
3)提供多种网络接入及特定单位的专线接入,满足用户以多种方式远程接入云计算平台的要求;
4)
5)有效隔离计算中心与互联网,防范来自互联网的非授权访问,使计算中心在受控的前提下提供给外部进行访问;
6)
7)为云计算大楼公共服务区(用户服务区、办公区、公共会议室)提供网络连接;
8)
9)子网相对独立,又彼此关联。
各入驻单位的计算机网络相互独立,各自构建独立的单位局域网,满足各单位组网需求;同时要考虑其工作的共性需求。
在设计中要考虑他们之间的相对隔离又彼此关联的要求,划分不同的区域,区域之间采用物理隔离或逻辑隔离。
10)
11)建立完善的网络安全和管理机制,保证网络系统的安全和正常运转。
12)
1.2网络系统总体设计
1.2.1网络架构设计
图1云计算中心网络系统逻辑结构图
云计算中心网络系统整体逻辑结构如图1所示。
整个网络系统包括云计算资源区和服务与管理区,服务与管理区可进一步分为对外服务区、中心办公区、DMZ区。
Ø云计算资源区是超级计算系统所在区域。
Ø
Ø云计算服务区是计算中心对企业等非政府机构提供超级计算服务的区域。
Ø
Ø中心办公区是云计算中心工作人员的办公区域。
Ø
ØDMZ区是云计算中心设置Web服务器和SSLVPN接入的区域。
Ø
上述区域整体上包括云计算中心资源层、核心交换层、功能接入层和互联网接入/服务层;采用分层结构模块化的设计理念,使网络结构清晰化,便于网络安全策略的实施和网络管理,并提高网络的灵活性和可扩展性。
1)云计算资源区
云计算中心服务结点使用万兆链路直接接入到云计算资源区的高性能接入交换机上。
2)服务与管理区
Ø核心交换/访问控制层:
主要包括一台的核心交换机,由于现在的核心交换设备一般都支持多个模块,而本项目所需接入的网段也不是太多,可将汇聚交换的功能融入其中,对各子网的访问控制策略采用交换机访问控制技术实现。
Ø
Ø功能接入层:
包括云计算中心办公子网、云计算对外服务子网等;
Ø
Ø互联网接入/服务层:
包括1条互联网接入链路、边界防火墙、DMZ区(设置DNS、WWW、SSLVPN接入等服务)等。
Ø
1.2.2服务与管理区网络及安全防护部署
图2网络系统拓扑结构及安全防护部署
可以将网络拓扑分为3层,包括互联网接入/服务层、功能接入层核心交换层和云计算中心资源层。
互联网接入/服务层包括边界防火墙、DMZ区(设置DNS、WWW、邮件、SSLVPN接入等服务)。
核心交换层主要包括一台核心交换机。
功能接入层包括云计算中心办公子网、云计算对外服务子网等。
1.2.3专用网络接入
云计算开放区包括与超级计算相关的管理、服务单位,其对网络的连接和访问控制要求如表1所示:
表1云计算中心子网分布表
云计算相关单位分布情况
大楼内部联网要求
外部联网要求
高性能计算开放实验室(云计算办公子网)
云计算中心子网
互联网
超级计算中心办公室、高性能计算机工程中心吕梁分中心、会议室、办公室(云计算办公子网)
云计算中心子网
互联网
进驻单位
云计算中心子网
互联网
用户通过互联网采用VPN技术接入云计算中心;如果需要,可以采用专线接入,可以直接接入到核心层核心交换机上,利用VLAN的方式进行逻辑隔离,利用防火墙对其进行访问控制、审计。
1.2.4网络带宽设计
1)主干带宽设计
考虑超级计算机的业务需求,选择万兆以太网作为核心层组网,从接入交换机到核心交换机采用千兆以太网技术。
为了便于今后系统的升级,选择的核心交换机、接入交换机等都能够支持万兆。
一旦今后需要无需更换设备即可平滑升级到全万兆主干网。
2)互联网接口及带宽要求
(a)云计算办公区的互联网带宽需求
内部人员利用Internet进行资料查询、收发邮件、对外联系等工作,对带宽需求不会太高。
内部人员按照140左右估算,估计约200M即可满足需求。
(b)对外服务区的互联网带宽需求
云计算中心的客户通过Internet访问相关的服务器,完成计算业务的提交、数据上传、作业管理、作业监控、结果下载等。
作业提交的方式主要包括WEB访问、FTP、Telnet、Xwindows等方式。
这部分访问单个用户对带宽要求不高,但是需要考虑用户的总量,结合并发用户访问量进行综合考虑。
在初期,初步预留300M带宽给这部分访问。
(c)互联网带宽需求
根据以上对Internet带宽的初步分析,同时结合目前ISP提供的带宽的性价比综合考虑,选择1000M多路接入,以后根据发展情况再进行扩展。
1.3互联网接入
互联网接入/服务层主要提供对外服务,是外界进入中心,与中心发生数据交互的第一个功能层次,这个功能层包含:
互联网接入、DMZ区和网络与安全管理区等。
这个功能层建设中首先需要考虑安全问题,重点是如何保证外界安全、可靠的与中心各区域进行数据交互,其次是设备的选型,如:
边界路由器、边界防火墙等。
1.3.1互联网接入规划
互联网接入区主要是连接到Internet,向用户提供云计算资源服务。
电信运营商接入:
根据对用户应用需求的初步分析,建议在试运行期间通过二条线路构成2000M接入,一条线路接入中国电信网,一条接入中国联通网,均具有1000M带宽。
大数据量用户专线接入:
为了满足大数据量用户传输数据的需求,通过租用中国电信的光缆,建立一条或多条(根据大数据量用户单位数量确定)大数据量用户到云计算中心的专线。
综上所述,中心的网络接口如表2。
表2中心网络接口表
网络部分
技术
备注
内部主干网
1000M以太网
五个功能区域互连
电信运营商接入
2000M
二条线路,分别接入中国电信网、中国联通。
大数据量用户接入
光纤专线
通过中国电信
通过在中心核心交换机上的QoS设置,保证在中心内部网络上为大数据量用户单位分配1000M独占带宽。
在系统试运行一段时间后可以根据综合考虑以下因素来对互联网接入带宽加以调整:
Ø来自Internet的实际用户量
Ø
Ø用户的访问响应速度
Ø
Ø出口的可靠性
Ø
1.3.2互联网接入路由器
互联网接入路由器,即边界路由器,主要完成与Internet的高速互联。
作为云计算开放区网络与公共IP骨干网络的接口,互联网连接层提供了平台与公共IP网的桥梁,它的运行情况直接关系到整个云计算平台为用户所提供的服务质量,这就要求该层的设备必须具有以下的特点:
Ø高速的路由交换能力
Ø
Ø具备丰富的接口类型
Ø
Ø完善的QoS支持能力
Ø
在互联网连接层配置接入路由器,使用高速连接到IP骨干网,并以全冗余方式与核心层互连。
借助于这些高端路由器的高性能及丰富的特性,提供全冗余、高速、高性能网络核心。
1.4功能接入网络设计
包括中心办公子网、中心用户服务子网。
每个子网采用1台2/3层接入交换机,通过千兆链路接入服务与管理区的核心交换机。
各子网的交换机可采用高性价比工作组级交换机,具有强大的堆叠性能、环境适应能力、交换性能和QoS/ACL能力等,完全满足用户的接入要求。
此外考虑到今后的升级能力,接入交换机需要能够支持万兆模块,在今后需要时能够平滑升级到万兆骨干。
办公子网和用户服务之间,以及这两个子网对超级计算机房子网的访问控制通过VLAN划分和在核心交换机上配置访问控制策略实现,基本策略应保证办公子网和用户服务子网对超级计算机房子网的访问,办公子网和用户服务子网之间不能互相访问。
1.4.1办公与用户服务环境
由5台安全认证接入终端、1台2/3层接入交换机组网,构成中心工作人员的办公环境,通过千兆链路接入服务与管理区的核心交换机。
中心工作人员通过办公管理子网对超级计算机进行维护管理,利用Internet开展资料查询、收发邮件、对外联系等工作。
1.4.2用户服务环境
通过CAE软件界面交互式使用超级计算机是目前工业用户使用超级计算机的一种主要方式,这种方式存在的一个主要问题是如果网络因为延迟过大,或者丢包出现中断,那么就意味着一次计算的失败。
为了解决以上问题,同时为用户提供更加优质的超级计算体验,在中心建立一个用户服务环境,由12台安全认证接入终端和1台2/3层接入交换机组网而成,通过千兆链路接入服务与管理区的核心交换机。
1.4.3用户接入安全认证
为了保证办公管理子网和用户服务子网所有终端的接入合法性,中心内部网络将部署终端认证系统。
认证系统由服务器和客户端构成,终端认证系统服务器部署在网络与安全管理区,每台接入办公管理子网和用户服务子网的终端安装终端认证系统客户端。
在终端接入网络时,首先由认证系统客户端向认证系统服务器发起用户名和密码认证,只有通过认证的合法终端才能接入中心内部网络。
1.5核心交换网络设计
主要包括1台万兆级核心交换机,以双核心、双链路、冗余互连的组网结构来实现负载均衡和提高可靠性的需求。
核心交换机下联根据不同的区域确定采用万兆或千兆链路,其中超级计算机房、DMZ、用户服务区使用万兆链路、安全管理区与办公区使用千兆链路。
1.5.1核心交换设备
核心交换机拟采用1台高性能的交换机,具备良好的设备冗余机制及扩展能力,一方面要考虑设备本身硬件容错的能力,另一方面要考虑今后网络扩展的能力。
如:
交换机支持电源、引擎、风扇等重要部件的冗余、具备多个扩展插槽并良好支持安全模块、10G等技术。
超级计算资源层网络设备通过其内部互连交换机使用一个万兆端口上连至核心交换机上。
1.5.2核心组网
专线带宽保证:
在核心交换机上配置QoS服务,确保中心内部骨干网每条链路能够为专线用户提供1000M的独占带宽。
支持硬件容错的能力:
交换机支持电源、引擎、风扇等重要部件的冗余、具备多个扩展插槽并良好支持安全模块、10G等技术。
1.6网络地址规划
1.6.1VLAN规划
各个功能区域的服务器单独划分到一个网段中保证服务器的安全。
根据功能区服务器、终端的功能和规模可以划分若干个VLAN,可以把功能相近的设备群组划分到同一VLAN,不同性质的设备划分到不同VLAN中去。
不同VLAN之间的流量必须经过核心交换机或者防火墙完成,并且可以通过核心交换机或防火墙上的ACL(访问控制列表)来控制VLAN之间的访问。
每个VLAN配置一个IP地址网段,VLAN之间通过路由连通。
1.6.2IP地址规划和路由设计
本网络系统中,采用IPv4进行地址规划。
需要申请4或16个C类IP地址,用于云计算中心为互联网提供服务的地址。
中心开放区域统一分配地址,采用互联网保留地址172.16-31或10.0,每个子网分配1个C类地址段,必要时采用地址转换技术。
超级计算机房部分可以配置静态或动态路由协议,动态路由协议选用OSPF或EIGRP等路由协议。
在互联网出口上主要采用默认路由,一般来说Internet服务提供商不会与接入单位运行动态路由协议,因此在互联网接入路由器上只需要一条默认路由指向ISP即可,ISP则通过静态路由完成到外网接入部分的路由,多个ISP的静态路由可交给带负载均衡功能的防火墙设备来自动进行切换,保证网络的可靠性。
1.7网络基础设施系统需求
(1)核心交换机
表3核心交换机选型
推荐品牌
性能指标
CISCO6509,H3CS9512,华为S8512,深圳风云S9808
模块化机箱交换机,插槽数≥9槽
配置的引擎的有效交换容量≥720Gbps
IPv4三层包转发率≥400Mpps,IPv6三层包转发率≥200Mpps
MAC地址表≥64000
所有端口缺省均支持MPLS功能,无需专门板卡实现,无需升级板卡
可支持10/100/1000M千兆自适应以太网端口≥384个
可支持1000M千兆以太网光纤端口≥384个
可支持10GE以太网端口≥64个
可支持防火墙模块
IPv4路由表≥256000条,Ipv6路由表≥128000条
支持L3路由国际标准协议:
RIP/RIP2,OSPF,IS-IS,BGP-4
支持视频组播协议IGMPv1/v2/v3,IGMPSnooping,PIMSparse/DenseMode,DVMRP,MBGP,MSDP,SSM以及双向PIM
支持交换引擎冗余;在配置冗余处理引擎的情况下,主处理引擎出现故障时可以在不到1秒的时间内自动地完成故障切换,并且交换容量、交换性能保持不变,即单引擎情况下系统交换性能不会减半
支持虚拟路由冗余负载均衡协议HSRP或VRRP或GLBP
支持在线软件升级,支持模块化软件,增强系统稳定性,并便于维护、升级
支持国际标准Radius/TACACS+/KERBEROS的AAA认证接入
支持多级User/Password设置
支持ARP过滤和限制技术,预防ARP欺骗攻击
支持DHCP侦听以防止假冒的DHCPServer、DHCPRelay和动态ARP拦截以防止假冒的MAC地址
硬件支持交换机控制层保护机制
支持SNMPv1、v2c、v3网管协议
支持对本机和远端交换机的端口做流量镜像
(2)路由器
表4路由器选型
推荐品牌
性能指标
CISCO7609,H3CSR8812,华为NE40E-8
配置的引擎的有效交换容量≥320Gbps
三层包转发率≥200Mpps
MAC地址表≥32000
模块化机箱交换机,插槽数≥6槽
所有端口缺省均支持MPLS功能,无需专门板卡实现,无需升级板卡
可支持10/100/1000M千兆自适应以太网端口≥192个
可支持1000M千兆以太网光纤端口≥192个
可支持10GE以太网端口≥32个
IPv4路由表≥256000条,Ipv6路由表≥128000条
支持L3路由国际标准协议:
RIP/RIP2,OSPF,IS-IS,BGP-4
支持视频组播协议IGMPv1/v2/v3,IGMPSnooping,PIMSparse/DenseMode,DVMRP,MBGP,MSDP,SSM以及双向PIM
支持交换引擎冗余;在配置冗余处理引擎的情况下,主处理引擎出现故障时可以在不到1秒的时间内自动地完成故障切换,并且交换容量、交换性能保持不变,即单引擎情况下系统交换性能不会减半
支持虚拟路由冗余负载均衡协议HSRP或VRRP或GLBP
支持在线软件升级,支持模块化软件,增强系统稳定性,并便于维护、升级
支持国际标准Radius/TACACS+/KERBEROS的AAA认证接入
支持多级User/Password设置
支持ARP过滤和限制技术,预防ARP欺骗攻击
支持DHCP侦听以防止假冒的DHCPServer、DHCPRelay和动态ARP拦截以防止假冒的MAC地址
硬件支持交换机控制层保护机制
支持SNMPv1、v2c、v3网管协议
支持对本机和远端交换机的端口做流量镜像
(3)代理缓存
表5代理缓存选型
推荐品牌
性能指标
BluecoatSG,MicrosoftISA,CiscoCacheEngine
设备功能和性能要求
*支持各种文件格式HTML、RM、MOV、ASF、FLASH等内容的手动和自动分发
具有自动更新CACHE内容的功能;
提供PUSH和PULL的内容分发功能
基于策略的内容分发功能,支持客户定义策略
支持对内容的优先级、更新频率设定等内容管理功能
提供对CACHE服务器中内容的监视和控制功能
能按需求生成分发内容的访问情况统计报告
支持中心对CACHE中内容的集中式管理
支持计费报表统计功能
*能同时支持50个CACHE内容服务器的内容分发管理
管理及其他要求
*提供远程管理功能和命令行管理方式
提供基于WEB的管理界面
提供基于SNMP协议的图形化网管,包括设备管理、故障管理、告警管理等功能,并能与HPOPENVIEW等管理平台集成
基于硬件的内容分发管理控制器,提供机架式安装,使设备易于使用、管理和维护,占用较小的设备机架空间
支持电信级的电源及板卡冗余
*设备性能稳定,可保证7天×24小时工作,设备可用率达到99.99%;
设备支持的协议
支持HTTP1.0/1.1,FTP,HTTPS、NNTP、RTSP/RTCP/RTP、MMS、PNA、NECP等协议
*支持ICP(InternetCachingProtocol)协议,并提供成功应用方案
支持LDAP,RADIUS等用户认证管理协议
*支持WCCPV1和V2协议
设备支持的功能
*支持透明缓存(TransparentCaching)和传统代理缓存(ProxyCaching)等工作模式
*支持CACHE的级连及逐级内容分发
安全性上支持针对SSL/SSH的应用
*应支持针对URL的过滤功能,能够过滤掉特定站点的特定内容
支持Wensense、SmartFilter等过滤机制
支持动态过滤功能
支持内容的主动动态刷新方式
支持URLRewirte功能
支持广告插播功能
支持Pipeline技术
*支持L4重定向功能
支持L3/路由器的策略路由重定向(PolicyRouting)
支持DNS重定向,并提供成功应用方案
支持REAL、WMT、QT等多种媒体服务器的用户管理认证方式
支持多个CACHE内容服务器的Cluster功能
可高速缓存DNS项并提供方案
支持传统的CACHE功能,并同时支持Real,MicrosoftMedia,等主流的中低速流媒体格式内容的高速缓存,能提供对其他中低速流媒体的扩展支持,
支持RealProxy功能
支持智能流
支持基于MPEG1/MPEG2/MPEG4标准的流缓存和代理服务,并提供成功应用方案
支持流媒体应用的proxyrouting功能
支持Real,MicrosoftMedia等直播、点播系统的STREAMSPLITTING功能
支持Real,MicrosoftMedia等多媒体流的MULTICAST与UNICAST之间的相互转换与RELAY功能
采用高效的内容命中率算法和措施并提供方案,使内容命中率>70%
单台设备的服务性能
支持并发用户数>=10000个
*支持流服务能力>=500M
*支持http服务能力>=300M
CACHE内容响应时间<=10毫秒
设备扩展性及其他能力
*缓存磁盘容量>200G
支持电信级的电源及板卡冗余
*提供>=2个1000M以太网光接口或>=4个10/100M以太网接口
设备具备平滑升级能力
管理统计及其他要求
生成系统资源使用情况统计报告
系统根据用户权限提供查询相关报表的功能
提供按用户需求定制报表功能
*支持中心的内容分发管理控制器的管理和控制
*提供用户访问的跟踪记录和统计
支持实时的日志,多种状态监测记录和统计报告
支持远程设备管理、设置、监控和升级
*提供远程管理功能和命令行管理方式
提供基于WEB的管理界面
提供机架式安装,使设备易于使用、管理和维护,占用较小的设备机架空间
*设备性能稳定,可保证7天×24小时工作,设备可用率达到99.99%
1.10网络基础设施费用估算
(1)总体预算
表6网络基础设施总投资预算单位:
万元
序号
建设内容
总价格
1
互联网接入服务费
2
云计算开放区网络基础设施
合计
(2)互联网接入服务费
表7互联网接入服务费单位:
万元
1
互联网接入服务费
序号
名称
年限
数量
单价
总价
中国电信1000M
2年
1
中国电信光缆专线
大数据用户单位专线,2年
2
中国联通1000M
2年
1
教育网100M
2年
1
(3)云计算开放区网络基础设施
表8云计算开放区投资预算单位:
万元
序号
设备名称
描述
数量
单价
总价
1
出口路由器
Internet出口路由器,提供8个千兆口,电源,配套软件
1
2
DMZ区、办公区、服务区交换机
提供48个千兆电口,2个多模千兆模块
4
3
核心交换机
模块化交换机,冗余引擎、电源、风扇,配套软件,96个千兆光口,96个千兆电口,万兆光口4个
1
4
代理缓存系统
集成(主板上)2个10/100/1000Base-T口,内置硬盘
1
5
机架式服务器(WEB、MAIL、DNS、防病毒、桌面管理、系统管理)
1颗四核2.00GHzCPU,4GB内存,2块146GB10K硬盘,16速DVD-ROMCombo,双端口网卡,热插拔冗余电源,Win2008Server
6
小计
2
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 超级 计算中心 网络 系统 建设 方案 基础 部分