狠狠撸

数据中心网络架构与全球化服务

张旭升
2011年4月

议程

?概述

?全球化网络服务

?数据中心网络架构

?数据中心安全防御措施

概述-服务对象和目标

B2B
中文站国际交易

国际站 Vendio

日文站 Auctiva

印度站 CRM

淘宝网支付宝阿里云计算

概述-永不宕机的服务器

我对“永不宕机的服务器”的理解

网络全球化服务

?为什么要建全球骨干网?

?保障可用性

?提高客户体验

?降低成本(TCO)

网络全球化服务—全球骨干网设计考虑因素

?骨干节点布局：客户分布、业务扩张计划

?机房选址： IDC环境、ISP资源、机柜价格

?国际海缆：运营商、路由保护、本地线、专线价格

?ISP选择：带宽资源、路由质量、带宽价格

?网络架构：设备性能、带宽需求、保护机制、节约成本

?路由策略： BGP策略、IGP策略

网络全球化服务—海缆资源示意图

网络全球化服务—叠骋笔路由架构(示意图)

全球化网络服务-全球网络架构(示意图)

数据中心网络架构—目标&解决方案

?高可用：冗余设备/路由、VPC/VSS/IRF架构

?可扩展：大二层（L2MP、OTV）

?标准化：架构、产物选型、运维手段

?低成本架构设计、运维效率

数据中心网络架构-传统经典架构

?存在问题

?Unicast Flooding导致网络不稳定；
?STP收敛时间慢，造成业务中断;
?STP运维不善容易导致网络瘫痪；
?设备性能、带宽得不到充分利用。

数据中心网络架构-高可用

?解决传统经典架构中存在的所有问题

数据中心网络架构-可扩展趋势

OTV

L2 STP

Fat Tree网络架构

?实现1.2万台服务器200M并发流量戒4.8万台服务器50M并发流量。

核心路由器

OSPF
L3

4台N7K
1:1收敛核心交换机

80G/80G
L2MP L2
8*10G
5:1收敛

1*N5K 30*N5K 80G/400G
接入交换机
1:1收敛
10*N2K
1G/1G

400Nodes 200M并发

传统跨数据中心二层扩展技术

?存在问题

?Unicast Flooding问题；
?虚电路维护问题；
?Multi-Homing STP问题；
?带宽利用问题。

解决跨数据中心二层扩展难题--OTV

?解决方案

?Unicast Flooding问题: 将MAC地址封装在IP地址中进行传输—”MAC in IP”；
?虚电路维护问题: 无需配置虚电路—根据MAC地址表进行劢态封装；
?Multi-Homing STP问题：自劢站内Multi-Homing—每个站点有自己的STP root Bridge；
?带宽利用问题: 根据IGP自劢多路负载均衡，充分利用带宽。

数据中心网络架构—运维标准化

?架构设计标准(网络结构、路由架构、产物选型、软件版本等）

?技术规范制定和实施（配置规范、变更流程、应急措施等）

?监控告警（软、硬件监控、流量/趋势监控、会话监控等）

数据中心网络架构—降低成本

?架构设计（网络架构、LB架构）

?运维效率（自劢IP/VLAN分配、自劢配置审计/备份/群发、自劢监控等）

?外包（将一部分低附加值的工作进行外包，如机房管理，设备软、硬件安
装等）

数据中心安全防御措施

?安全区域划分及访问控制列表（ACL）

?分布式服务器IPTables系统部署

?防火墙隔离、身份认证

?开放端口安全実批流程

?大规模DDoS攻击防御系统

数据中心安全防御—目标&补尘辫;解决方案

?Flood攻击： TCP Flood、UDP Flood、ICMP Flood

?对策： SYN cookie、清洗中心、停止受攻击的服务

数据中心安全防御—清洗中心解决方案

?直挂方式

?旁路方式

数据中心安全防御—清洗中心解决方案演示

正常用户

服务器群
ISP-A

Hacker
IDC-A CSR
BR Hacker

ISP-B
骨干网 BR

Hacker
IDC-B
IDC-C
BR

清洗中心
ISP-C
清洗模块

正常用户正常用户
检测模块垃圾筒

数据中心安全防御—目标&补尘辫;解决方案

小规模肉机高度密访问、大规模肉机瞬间
?CC攻击：访问、大规模肉机高密度访问

根据Cookie、TCP连接频率、访问
?对策： (Get)频率在系统层面隔离

杭州站 · 2011年10月20日~22日
www.qconhangzhou.com（6月启动）

QCon北京站官方网站和资料下载
www.qconbeijing.com

狠狠撸

Alibaba server-zhangxuseng-qcon

More Related Content

Alibaba server-zhangxuseng-qcon