数据中心防火墙和负载均衡解决方案概述 数据中心是数据大集中而形成的集成 IT 应用环境,通过网络互联,成为数据计算与存储的中心来承载各种 IT 应用业务。通过数据中心的建设,企业能够实现对 IT 信息系统的整合和集中管理,提升内部的运营和管理效率以与对外的服务水平,同时降低IT 系统建设成本。 安全和高效是数据中心网络运行中需要解决的两个核心问题: 其一,数据中心网络面对着各种混杂流量,恶意攻击流量往往混杂在正常的流量之中,同时由内部和外部攻击导致的窃密也屡见不鲜。安全问题是始终是数据中心的一大挑战。 其二,承担基础运算任务的服务器,其性能差异很大,业务处理繁忙程度都或多或少影响着系统最终的服务性能。如何通过有效合理的业务调度,充分发挥硬件整体的最佳性能是数据中心的另外一大挑战。 为此,华为提出了数据中心防火墙和负载均衡解决方案,以解决数据中心安全性与服务器使用效率的问题。方案介绍 数据中心根据其功能区划分可以分为 Internet 服务器区、Intranet 服务器区和Extranet 服务器区。 Internet 服务器区中布放了支持 Internet 业务开展的服务器群,通常可以根据功能模块进一步划分为 web 应用服务器区、业务处理和中间件服务器区和数据库服务器区。在 web 应用服务器组和业务处理服务器组中需要部署负载均衡器和防火墙。 Intrannet 服务器区中布放了支持了企业内部 IT 运作需要的服务器;Extranet 服务器区中部署了提供给合作厂商进行访问的服务器。同样,在这些区域也需要部署负载均衡器和防火墙。 一个具体的部署实例如下图所示: 根据业务需要,在不同分区的汇聚交换机(S9306)上合理部署负载均衡和防火墙单板,来有效支撑相应的服务器群的业务展开需要;在核心的汇聚交换机(S9312)上也配置防火墙单板为不同的功能分区间的流量进行有效控制。 方案特点基于多核的先进硬件架构 通过应用多核 CPU 能够提供基于软件的灵活业务处理能力,满足应用智能化的需求;通过各种硬件加速引擎的协同工作,来确保高性能业务处理能力。相比通用CPU,S9300 汇聚交换机的业务处理 CPU 集成了多种硬件加速引擎,能够将业务分离给专用的硬件加速引擎处理,从而提高并行处理性能。 通过这些专有硬件引擎的支持,并结合高效可靠的软件处理,结合华为内部强大的路由、安全软件平台 VRP,S9300 能够充分发掘硬件的能力。S9300 防火墙和负载均衡单板能够提供每槽位 10GE 线...
