【原创分享挑战】XXXXX机房IDC数据中心建设项目实施方案

一、 设备清单

整体设备清单

本次实施工作包含设备清单如下：

设备名称	设备型号	数量	区域
超融合一体机	aServer-R-2205	9	服务器区
下一代防火墙	AF-2000-B2180-SA	2	互联网出口区
核心交换机	S7706	2	核心交换区
管理业务交换机	S5736-S24T4XC	2	服务器区
存储交换机	S6857-48S6CQ-EI	2	服务器区

二、 网络拓扑

  

      1、互联网出口区

     使用两台深信服下一代防火墙主备模式部署，上联两条运营商专线分别接到分线交换机上，当出现单点故障时，防火墙设备自动切换，保障业务连续性。

防火墙配置策略路由保障两条运营商链路互为冗余以及负载均衡，保障带宽的利用率以及业务连续性。

防火墙配置应用控制策略，确保将业务流量放通

防洪墙配置安全防护策略，保障对网络层，应用层攻击进行拦截

   2、核心交换区

采用两台7706并使用虚拟化技术，保障了单点故障后的业务连续性，核心交换机连接防火墙的网口配置access100

       3、 服务器区

       服务器区采用9台超融合一体机以及两台虚拟化的交换机来承载业务，其中：

    管理网采用双网口绑定为平台见的配置同步，虚拟机热迁移等提供链路冗余以及负载均衡

    业务网采用双网口绑定为平台内的虚拟机承载的业务提供链路冗余以及负载均衡

    存储网采用双交换机链路聚合，组建分布式存储aSAN时使用独立的两台交换机作为存储交换机，同一台服务器的两个存储网口分别接入不同的交换机，两条链路间实现链路负载均衡。

    超融合管理网络对端交换机网口配置为access200

    超融合的业务网络与VXLAN网络复用两个聚合口，对端交换机网口配置trunk，放通成员vlan300,3000,其中vlan3000为vlan网络平面，vlan300为虚拟机业务地址网络平面，通过不同的vlan隔离。

    超融合存储网络对端交换机网口配置为access4000

    管理业务交换机连接的核心交换机网口配置为trunk，放通成员vlan200，300

   三、设备现场交付

1、防火墙

         基础网络配置

根据接口及地址规划，完成设备路由部署配置，同时划分接口所属的防护区域。建议此项目可以划分两个区域，外网区域和内网区域。后续的安全策略均会针对区域来完成

         网络对象定义

根据贵单位的网络情况，把终端和服务器的相关对象提前定义出来，以供后续的安全策略引用。建议对象定义可以遵循以下原则来进行：

l  服务器建议先定义整个服务器所在IP网段的对象，方便后续做整体的安全防护策略；

l  关键业务系统建议每个业务都定义一个对象，方便后续针对每个关键业务，制定定制化的安全防护策略；

    应用控制策略配置

防火墙默认情况下，对数据流的策略是全部拦截，所以上线前，需要先完成相应应用控制的放通，才能保证上线后，业务的正常使用。此功能会参考目前线上的传统防火墙来完成，但同时需要遵循以下原则：

l  针对终端上网的应用控制，从内网区域到外网区域的如无特殊情况，全放通；

l  针对服务器上网的应用控制，了解服务器主动上网需要访问的目标IP，从内网区域到外网区域有针对性的放通；

l  针对服务器对外发布的业务，根据前期确认的业务信息采集表，以最小放通原则，只放通从外网区域到内网区域明确发布的端口。

    高可用配置

根据接口和地址规划，完成两台深信服防火墙的双机冗余配置，配置步骤大致如下：

               AF-1（默认主机）

l  完成心跳口及地址配置，2.2.2.1/24-ha；

l  完成双机部署配置，同时开启网口监视和vlan1的链路监视，vlan1同时监控上、下连设备的网络连通性；

l  完成配置同步配置，本项目只需要启动“会话表”和“配置同步”即可

l  完成配置后，配置同步角色设置为主控。

   AF-2（默认备机）

l  完成心跳口及地址配置，2.2.2.2/24-ha；

l  完成双机部署配置，同时开启网口监视和vlan1的链路监视，vlan1同时监控上、下连设备的网络连通性；

l  完成配置同步配置，本项目只需要启动“会话表”和“配置同步”即可

l  完成配置后，配置同步角色设置为备控。

    安全防护策略

针对所有服务器，我司提出如下防火墙的安全策略，匹配贵单位的安全需求：

l  针对服务器网段，开启实时漏洞分析攻击。对内网服务器的漏洞、弱密码、黑链、webshell等风险进行实时监控；

l  针对服务器网段，开启ips的“保护服务器”和“暴力破解”。防止对外发布的服务有漏洞对外网利用，或者对外开放业务被暴力破解；

l  针对服务器网段，开启waf功能，端口识别启用“自动识别”。防止服务器对外发布的web网站被入侵；

l  针对所有服务器网段，开启web防扫描功能，防止被监管单位扫描并通报；

l  针对服务器网段，开启僵尸网络，防止服务器自身感染病毒后，被外部非法用户控制并利用；

l  针对有https加密的，提前开启解密功能。确保防火墙可以识别并防护该网站。

          2、超融合

    基础网络配置

按接口及地址规划，完成设备管理口配置

       创建超融合集群

将9台服务器组建超融合集群。完成各个网络平面的IP地址配置

    创建虚拟存储卷

完成存储网络搭建以及asan创建

    创建虚拟网络

完成虚拟机业务网络的创建

附地址规划表：

安全设备

设备	接口	地址	掩码	网关	用途	对端设备
防火墙-1	Eth1	联通			联通专线	联通交换机
	Eth2	电信			电信专线	电信交换机
	Eth3	2.2.2.1	30	无	心跳地址	防火墙-2
	Eth7	10.0.0.1	29	10.0.0.3	LAN口地址	核心交换机-1
防火墙-2	Eth1	联通			联通专线	联通交换机
	Eth2	电信			电信专线	电信交换机
	Eth3	2.2.2.2	30	无	心跳地址	防火墙-1
	Eth7	10.0.0.1	29	10.0.0.3	LAN口地址	核心交换机-2

服务器

设备	网口	IP地址	掩码	网关	用途	对端设备
超融合服务器1-9	Eth0    Eth4(bond)	10.0.1.2-10.0.1.10	24	10.0.1.1	管理网	管理业务交换机1，2
	Eth1    Eth5(bond)	无	无	无	业务网	管理业务交换机1，2
		10.251.252.2-10.251.252.10	24	无	VXLAN
	Eth6    Eth7	10.251.251.2-10.251.251.10	24	无	存储私网	存储交换机1，2

交换机管理

设备	IP地址	掩码	网关	用途
核心交换机-1	10.0.0.3	24	10.0.0.3	交换机管理
核心交换机-2
管理业务交换机-1	10.0.0.5
管理业务交换机-2

Vlan	网段	用途
100	10.0.0.0/29	设备管理地址
200	10.0.1.0/24	超融合服务器管理地址
300	10.0.2.0/24	超融合虚拟机地址
3000	10.251.252.0/24	超融合VXLAN
4000	10.251.251.0/24	超融合存储私网

感谢楼主分享！文章对解决部署类问题很有帮助，有清晰的思路和配置讲解，内容比较全面，期待楼主带来更多有价值的分享

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

感谢楼主分享，学习一下

打卡学习，感谢大佬分享！

感谢分享有助于工作和学习！

感谢分享，有助于工作，学习了！！！

感谢楼主分享，每日学习打卡