XX广电数据中心网络解决方案样本.doc

《XX广电数据中心网络解决方案样本.doc》由会员分享，可在线阅读，更多相关《XX广电数据中心网络解决方案样本.doc（22页珍藏版）》请在咨信网上搜索。

XX广电数据中心网络解决方案 1 XX广电数据中心面临挑战 “数据中心”建设是三网融合建设重要构成某些，是广电网络运营商进行多业务运营转型，提高综合实力重要任务。作为定位在“多业务运营平台”基本之上数据中心，它不但作为IDC开展IDC业务，还对广电既有宽带接入业务、互动数字电视视频业务、互动增值业务发展产生积极作用，同步为广电IT支撑系统提供运维保障。 当前广电数据中心面临挑战是： 1) 广电宽带顾客需要互联网内容与信息服务大某些在电信和联通IP网内，导致广电巨大入网流量带宽成本。需要建设数据中心并布置一定规模P2P、WEB应用缓存系统，从而尽量将本地宽带顾客内容和服务祈求终结在广电网内。 2) 互动数字高清视频业务是广电运营商核心业务，其发展方向是互动、高清、3D，该业务不但需要大量丰富高清互动视频媒体资源，同步还需要完善视频内容分发网络（CDN），作为数据中心一种业务域，对大流量环境下高带宽、高可靠、高稳定、易管理、节能环保规定较高。 3) IDC业务是运营商业务领域重要构成某些，是信息化服务趋势，IDC有关业务除了老式系统托管业务、服务器和带宽等资源租赁业务、网络安全增值业务外，还将面向公众、公司等客户云计算服务，承载这些业务，完善数据中心基本设施是不可或缺。 4) 随着业务发展，广电运营商需要逐渐建设完备IT支撑系统，涉及有关业务平台管理系统、内部管理系统，现阶段大某些广电IT支撑系统还处在不断完善、持续建设阶段，如果广电立即建设完善独立IT支撑系统数据中心将是一种硬件资源、运维资源潜在挥霍，需要将其纳入到多业务数据中心，保障该系统独立性和安全隔离，以逐渐完善IT支撑系统。 依照对广电行业业务对数据中心建设需求，汉柏科技提出了广电数据中心网络解决方案，对数据中心网络总体架构、网络功能、可靠性、安全设计、服务质量设计进行了详细描述，以指引建设一种高度可靠、安全、迅速、可扩展数据中心网络平台。 汉柏以为数据中心网络建设目的是：在统筹广电数据中心项目业务需求和发展基本上，兼顾远期发展目的，建设一种高度可靠、安全、迅速、可扩展基本网络平台，为各项业务提供优质高效网络服务。 2 数据中心业务规划 广电数据中心网络承载业务众多，可按照业务类型初步规划如下： 1) 自营交互应用业务 交互应用业务区承载了双向互动点播系统业务，是作为广电运营商“三网融合”核心业务，在业务布置模式上采用是分布式布置，即中央交互服务器与区域交互服务器是逻辑分开。 2) IDC业务 涉及大客户系统托管、游戏门户、视频门户、WEB门户等业务。 3) 云计算业务 涉及承载网、公司私有云、个人公有云、物联网等业务。 4) IT支撑系统 涉及多业务管理系统、计费管理系统、顾客管理系统、公司内部管理系统等业务。 3 网络架构设计 3.1 设计原则 广电数据中心网络设计原则如下： l 层次化 广电数据中心网络在网络层次设计上分为三层构造，即核心层、汇聚层、接入层。 l 区域化 广电数据中心网络依照业务功能划分区域，各自独立，分别设计。 l 高可靠性 系统可靠性是网络健壮和稳定重要因素之一，因此对网络系统高可靠性设计必要全面考虑。 l 可扩展性 随着网络技术发展和应用规模不断扩大，网络应具备平滑扩展能力，这种扩展不应影响原有应用。广电数据中心网络系统应可以随时通过增长网络设备或模块来扩展、升级整个网络系统，同步保证原有设备正常使用。 3.2 整体网络架构 汉柏建议数据中心网络网络架构采用分层、分区模块化规划办法，即： l 依照不同网络访问层次，将数据中心网络分为：核心层、汇聚层和接入层。 l 依照不同业务功能，将数据中心网络在功能上分为：交互业务区、IDC业务区、云计算业务区、IT支撑业务区。 整体拓扑构造如下： 核心互换区作为中心连接了各业务区汇聚接入互换机和骨干网、VOD承载网接入路由器，核心与汇聚之间以及核心与广域网之间采用口字型构造，以保证系统可靠性。 3.3 层次化网络架构 核心互换区别外联核心互换区和内联核心互换区，各负责与广电骨干网和VOD承载网以及其他数据中心网络互联；作为数据中心网络路由中心，与区域汇聚互换机三层连接，实现整个网络各个区域间数据互换。核心层互换机之间通过两条万兆链路捆绑互联，以实现稳定可靠网络中心。核心互换机建议采用汉柏万兆模块化互换机PT-6600系列互换机，通过万兆链路与汇聚互换机实现互联互通。 汉柏PT-6600系列适合为顾客组建高性能、高安全、高可靠数据中心。PT-6600单机提供高达3.2T互换容量和2381Mpps转发能力，可以实现384个千兆或64个万兆以太网接口全线速转发，满足了数据中心高性能需求；PT-6600支持全方位安全，通过加强设备自身安全特性，提供内置安全模块等各种方式，满足了数据中心高安全需求；PT-6600支持不间断转发技术，支持所有模块热插拔，再加上VRRP等冗余备份技术，满足了数据中心高可靠需求。汉柏 PT-6600凭借其卓越性能、全方位安全以及电信级可靠性，为数据中心建设提供了坚实可靠网络基本平台。 汇聚层作为各个区域数据汇聚中心，分担核心层压力，为服务器群对外提供高带宽出口；规定提供高密度GE/10GE端口实现接入层互联；此外充分考虑扩展性需求，咱们建议选用汉柏科技公司PT-6600万兆互换机作为汇聚，以实现高密度、高性能服务器接入。 接入层支持高密度千兆接入、万兆接入；接入总带宽和上行带宽存在收敛比，基于机架考虑，1U设备更具备灵活布置能力。汉柏PT-3750E系列万兆路由互换机采用硬件领先架构，可全线速转发各种类型数据包，在IPv6方面处在业界领先地位。该系列产品全面支持各种单播路由和组播路由合同以及汉柏科技有限公司独有扩展多项功能，可满足于大型网络需求。不但如此，PT-3750E系列互换机还借助芯片级安全可靠转发能力和多样化业务支持，以及较高性价比，成为大型网络汇聚层和中型网络万兆核心层解决方案最佳产品。 PT-3750E系列万兆路由互换机是汉柏科技有限公司强力推出面向大型数据中心高性能、高安全性、高可靠性盒式万兆路由互换机，PT-3750E系列互换机支持灵活千兆双介质光、电组合端口形态，同步支持高达四个高性能万兆扩展，原则1U高度，满足汇聚产品向高性能、小型化、节能环保发展趋势。在性能和功能方面，PT-3750E系列互换机可以满足大型网络组网需求，并具备丰富智能和安全特性，特别适合于作为大型校园网、公司网、电子政务网、城域网汇聚设备，以及中小型网络核心设备。 3.4 区域化业务接入网络架构 当前应用访问大某些已实现浏览器/服务（简称B/S）架构，该架构规定采用三级服务器访问模式，结合安全和管理方面需求，汉柏建议采用对外接入区和应用服务器接入区两个子区域实现业务服务器接入，其网络架构及流量模型如下： 两个业务子区域通过互换网络互连，层层安全保护，形成构造清晰易于布置服务器接入架构。 4 网络功能性设计 4.1 VLAN设计 广电数据中心网络系统属于互换网络，各业务数据由VLAN通道进行承载，汉柏建议VLAN设计分为如下三个某些： l 设备管理VLAN l 设备间互联VLAN l 业务VLAN 由于各业务区域广播域完全分开，因而对业务区域来说可以独立进行VLAN设计，建议VLAN设计与IP地址设计统筹考虑，如可以将VLAN编号与IP地址某一位设计成相似，以利于数据中心网络系统运营维护。 4.2 IP地址设计 IP地址设计分设备管理地址设计、互联地址设计、业务地址设计，汉柏以为广电数据中心网络IP地址规划应按如下原则进行： l IP地址规划重要涉及到网络资源运用以便有效管理网络问题，合理IP地址规划是有助于网络管理； l IP地址合理分派是保证网络顺利运营和网络资源有效运用核心。应充分考虑到地址空间合理使用，保证明现最佳网络内地址分派及业务流量均匀分布； l IP地址规划与划分应当考虑到网络后续规模和业务上发展，可以满足将来发展需要；即要满足当前业务对IP地址需求，同步要充分考虑将来业务发展，预留相应地址段； l IP地址分派需要有足够灵活性，可以满足各种顾客接入需要； l 地址分派是由业务驱动，按照业务量大小分派各业务区域地址段； l IP地址分派必要采用VLSM(变长掩码)技术，保证IP地址运用效率； l 采用CIDR技术，通过IP地址聚合，以减小路由器路由表大小，加快路由器路由收敛速度，也可以减小网络中广播路由信息大小； l 充分合理运用分派地址空间，提高地址运用效率； l IP地址规划应当是数据中心网络整体规划一某些，即IP地址规划要和网络层次规划、路由合同规划、流量规划等结合起来考虑。IP地址规划应尽量和网络层次相相应，应当是自顶向下一种规划。 4.3 路由设计 考虑到交互应用系统内Client-to-Server网络中服务器对负载均衡需求，汉柏建议将Client-to-Server网络网关布置在负载均衡器上，而Server-to-Server网络中服务器网关布置在区域防火墙上，由防火墙实现安全访问控制。 其他业务区域服务器网关均布置在汇聚互换机上，防火墙透明布置，并增长安全访问控制方略。 为了实现网关设备动态切换，汉柏建议为网关设备布置VRRP合同，并叠加BFD for VRRP技术，实现网关迅速切换。 汉柏建议各区域采用OSPF路由合同实现互联互通，路由方略设计如下： 1) 对于外联核心互换机启用三个OSPF进程，分别与对外接入汇聚互换机、骨干网接入路由器、VOD承载网接入路由器建立邻居，分别学习到数据中心网络路由、骨干网路由及VOD承载网路由，然后将数据中心网络路由重分布到骨干网和VOD承载网，而骨干网和VOD承载网之间不重分布路由，以防止骨干网顾客可以访问VOD承载网数据。 2) 对于内联核心互换机启用两个进程，分别与应用服务器接入汇聚互换机和其她节点数据中心互换机建立邻居，在各路由区域内选取性重分布路由，以控制业务区域服务器与其他数据中心访问。 5 网络可靠性设计 5.1 设备级可靠性设计 本方案采用汉柏设备为分布式体系构造，所有核心部件采用冗余设计，涉及主控板、互换网、电源和电扇等；采用无源背板设计，避免机箱浮现单点故障；所有单板支持热插拔功能，并且对其他单板上运营业务无影响。 汉柏PT系列互换机采用“最长匹配、逐包转发”模式，可以抵抗网络病毒袭击；支持OSPF、RIPv2 及BGPv4 报文明文及MD5密文认证；支持IP、VLAN 、MAC和端口等各种组合绑定方式，防范地址盗用；支持广播报文抑制，有效控制ARP等非法广播流量对设备导致冲击；支持URPF，防止IP地址欺骗；支持报文安全过滤，防止非法侵入和恶意报文袭击等。 此外设备自身可靠性还可以通过为核心设备配备冗余部件来实现，如将核心互换机和汇聚互换机配备为双引擎、双电源。此外汉柏防火墙、入侵检测设备均支持双操作系统，当浮现主操作系统不工作时，备操作系统立即接管主操作系统，保证业务不发生中断。 5.2 链路级可靠性设计 汉柏PT-6600及PT-3750E互换机均支持链路捆绑技术，对于核心互换机和汇聚互换机，互联链路采用了两条链路捆绑，这样当浮现单条链路中断状况时，均可以通过合同收敛机制实现数据互换无丢包。 网络互联方面，由于采用了OSPF路由合同，当非捆绑链路浮现中断状况时，OSPF合同将重新计算出新转发途径，保障数据转发不中断。同步汉柏PT-6600及PT-3750E互换机均支持BFD技术，可将OSPF路由合同收敛速度由秒级缩减到毫秒级，从而大大提高了整体网络可靠性和应用可用性。 6 网络安全设计 6.1 设计原则 汉柏以为数据中心网络安全需遵从如下设计原则： (1)构建分域控制体系 整个系统安全在总体架构上将按照分域保护思路进行，参照IATF信息安全技术框架，将交互应用公共支撑网络从构造上划分为不同安全区域，各个安全区域内部网络设备、服务器、应用系统形成单独计算环境、各个安全区域之间通道形成边界、各个安全区域之间连接链路和网络设备构成了网络基本设施；因而方案将从保护计算环境、保护边界、保护网络基本设施三个层面进行设计，并通过统一基本支撑平台来实现对基本安全设施集中管理，构建分域控制体系。 (2) 构建纵深防御体系 整个系统安全对交互应用公共支撑网络通信网络、区域边界、计算环境，综合采用访问控制、入侵检测、安全审计、防病毒、集中数据备份等各种技术和办法，实现双向交互业务应用可用性、完整性和保密性保护，并在此基本上实现综合集中安全管理，并充分考虑各种技术组合和功能互补性，合理运用办法，从外到内形成一种纵深安全防御体系，保障信息系统整体安全保护能力。 (3) 保证一致安全强度 应采用分级办法，采用强度一致安全办法，并采用统一防护方略，使各安全办法在作用和功能上互相补充，形成动态防护体系。在建设手段上，采用“大平台”方式进行建设，在平台上实现各个级别信息系统基本保护，例如多层边界防护系统、统一审计系统，综合网管系统，然后在基本保护基本上，再依照各个信息系统重要限度，采用高强度保护办法。 (4) 实现集中安全管理 网络与信息安全不是单纯技术问题，需要在采用安全技术和产品同步，注重安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。建设一套覆盖全面、重点突出、持续运营信息安全管理体系，该体系覆盖信息系统安全所规定安全技术和安全运维等内容，符合信息系统业务特性和发展战略，可持续发展与完善。 信息安全管理目的就是通过采用恰当控制办法来保障信息保密性、完整性、可用性，从而保证信息系统内不发生安全事件、少发生安全事件、虽然发生安全事件也能有效控制事件导致影响。通过建设集中安全管理平台，实现对信息资产、安全事件、安全风险、访问行为等统一分析与监管，通过关联分析技术，使系统管理人员可以迅速发现问题，定位问题，有效应对安全事件发生。 (5) 系统冗余设计 如何保证数据中心对外正常提供服务是整个数据中心网络建设重点，整个系统不应只考虑到安全设备布置，还要系统考虑到主干网络、分域网络、所有应用系统冗余机制，以保证所有业务正常访问。 (6) 提高系统保障能力 在技术办法和管理手段建设同步，注重信息安全中“人”重要作用，通过一系列风险评估、安全加固提高系统安全性，并通过安全培训和安全告示提高歌华有线自身技术人员技术水平，使系统安全保障能力达到行业内一流信息安全保障水平，支撑和保障信息系统和业务安全稳定运营。 6.2 安全域设计 老式解决方案中，终端顾客可以访问自己前端WEB服务器，同步WEB服务器可以访问内部应用服务器，这样存在非常严重安全隐患，一旦前端WEB服务器被互联网黑客植入木马，则黑客可通过“肉鸡”主机窃取高级别安全域中信息数据。 针对网络中也许存在“肉鸡”主机问题，应用安全域解决方案通过对顾客主机认证授权模式，保证客户主机在同一时间段只能访问某一种区域，如访问对外接入区域，则对外接入区域服务器不能访问其她安全域中服务器，保证了虽然被植入木马主机，不会被外界控制去访问其他服务器资源，从而减少网络中信息泄漏概率。 按照区域功能和应用不同，汉柏建议数据中心网络划分为如下三个安全域： l 外联区； l 业务区（涉及四个子区）； l 内联区； 各安全域边界规划如下图所示： 安全域边界规划描述如下： l 外联区与业务区属于不同安全域； l 内联区与业务区属于不同安全域； l 各业务安全子域属于不同安全域； 6.3 防火墙系统设计 为实现安全域边界防护，需在安全域之间布置防火墙，汉柏建议广电数据中心网络防火墙布置方式如下图： 建议在外联区与业务区之间布置汉柏PA-5500-F45超万兆防火墙，流量较小内联区与业务区之间布置汉柏PA-5500-F40万兆防火墙。布置模式建议采用透明方式+安全方略，以达到更高转发性能。 作为业界领先安全防护产品， PA-5500-F45/40具备如下突出特点： l 专业安全防护 PA-5500-F45/40不但可以提供全面地址转换、MAC地址绑定、访问控制方略、安全域划分、身份认证等边界防护功能，同步可以抵抗涉及Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LAND IGMP2、IP碎片、源路由、端口扫描 、IP-Spoofing等几十种常用袭击。 针对嵌入在各种应用（邮件、网页、FTP以及VoIP）中袭击、病毒和恶意插件，PA-5500-F45/40可以在深度辨认业务类别和顾客行为前提下，提供基于状态监测应用层网关功能，结合强大入侵检测机制和防病毒引擎，真正实现了边界、接入、行为和数据多重安全防护。 l 稳定和高性能 PA-5500-F45/40防火墙采用了基于汉柏各种专利技术双安全操作系统，并对数据平面和控制平面进行了严格区别。对数据平面中各种需要高性能解决功能，如地址转换、报文转发和访问控制方略进行了细致优化解决；在控制平面上，支持链路状态信息倒换机制、分布式应用和模块化硬件架构，同步也对解决资源进行了保护，保证虽然在极限网络压力下，PA-5500-F45/40依然可以维持平稳工作状态。 l 万兆就绪 针对日益突出视频传播、虚拟桌面和数据中心备份等大数据量传播，应用飞速增长带来了带宽提高需求，万兆接口应用已经势不可挡。同步，数据中心对设备功耗和体积规定也越来越严格，更但愿可以在相似机架面积里面实现更高密度连接。 借助出众硬件平台研发能力，汉柏科技率先推出了全球第一款在1RU体积上实现万兆接口防火墙，凭借突出功耗控制和效能优化，为顾客平滑过渡到万兆时代提供了最佳选取。 l 内置互换芯片 PA-5500-F45/40在业内初次创新采用了先进防火墙+互换机设计架构，采用高性能千兆互换芯片，提供高达128Gbps互换容量，不但可以实现接口之间L2/L3线速转发，还同步可以提供链路汇聚(802.3ad)、灵活VLAN配备以及端口镜像等功能，内置硬件ACL还可以配合防火墙，实现安全层面和转发层面根据硬件分离，提供更为全面高性能安全接入功能。 l 虚拟防火墙功能 老式防火墙只能提供单一安全域防护，而对于各种安全域独立布置，需要多台防火墙才干实现，这导致了IT资源极大挥霍。PA-5500-F45/40支持虚拟防火墙技术，可以在一台物理防火墙上划分出各种虚拟防火墙，每一台虚拟防火墙都可以实现独立访问控制方略、VPN、身份认证和系统管理。同步，系统还可以对各种虚拟防火墙进行统一配备管理、软件升级。对于顾客来说，即提高了既有设备运用率，又解决了网络布置复杂、扩展性差等问题。 l 出众能效比 PA-5500-F45/40采用了自主研发高性能操作系统，并且针对报文转发、过滤以及VPN核心解决进行了进一步优化设计，在同等硬件解决能力下，比通用操作系统要高出至少30%效能，对于提高顾客IT资源运用率，减少能耗和节能减排予以了强有力支持。 l 精细流量和业务管理 基于专利技术流量辨认，结合强大深度业务辨认技术，PowerAegis系列防火墙可以提供对涉及HTTP、Mail、FTP等各种业务在内精细化辨认，依照既定服务管理方略，对各种应用予以不同差分化对待，保证了核心业务正常运营，即提高了网络资源运用效率和组织生产效率，又减少了IT总成本和运维风险。 6.4 入侵检测系统设计 IDS布置目是为了监测来自不同网络对数据中心网络访问，用以及时发现网络袭击并提供有效证据。制定方略是使用IDS最重要工作之一，良好方略不但可以让管理员及时捕获到网络上正在发生重大危害事件，并且使管理员不致被大量无用信息所沉没，减轻工作承担。如果是初次使用，对网络上存在些什么样数据流也许不甚明确，这时可以采用包括事件较多方略集，待运营一段时间后，对网络状况有了基本理解，再在此方略集基本上酌情删减。 汉柏建议IDS布置方式如下图： IDS建议采用两台汉柏PA-5500-U40旁路布置模式，两台IDS分别连接在核心互换机上，将核心互换机连接各业务区域端口出入流量镜像到汉柏PA-5500-U40，由汉柏PA-5500-U40进行入侵检测。 汉柏PA-5500-U40重要特点如下： 1) 业界领先架构设计 l 业界最佳系统架构 PA-5500-U40采用了控制平面、转发平面和管理平面严格分离系统架构，采用基于硬件ASIC完毕防火墙所有功能，实现小包64字节线速吞吐量，严格保障防火墙转发性能；对于应用层安全，采用高性能通用解决器，以应对实时变化威胁和应用；对于管理数据，予以最高优先级解决，虽然在应用层解决负载较重时候，依然可以轻松对设备进行管理和配备。 l IronScreen双安全操作系统 PA-5500-U40采用了基于汉柏专利多核技术双安全操作系统，独创性提出了基于安全领域在多核上SMP（对称多解决）软件模型，该模型成功应用了阿比达定律，有效减少串行化执行代码在总执行代码中比例，极大地发挥了多核下并行计算能力。 除此之外，PA-5500-U40使用了智能流分类系统，将大量数据流均匀分散在不同核上进行全流程解决，增长了数据Cache命中率，极大提高了系统性能。针对多核软件设计大量使用到锁，汉柏设计并实现了自有专利安全操作系统写时拷贝机制，使得90%数据流在做并行化解决时都是免锁，进一步保障了系统稳定性和可靠性。 2) 入侵检测和防御 PA-5500-U40采用了集成各种检测机制高性能扫描引擎，涉及特性库匹配、异常行为分析、合同检查等手段，结合汉柏强大实时安全服务，可以积极辨认各种DoS/DDoS袭击、合同变种袭击、木马和后门程序，不但能精确地检测入侵，实时制止恶意袭击，并可以提供丰富完整日记和定位信息，进行事后溯源工作。 3) Web安全 针对不断涌现Web安全，PA-5500-U40也提供了一定限度防护，不但涉及可以有效辨认或过滤出嵌入在Web页面中Java Applet、Java Script、Cookie和ActiveX等信息，还可以提供核心字过滤和基于超过4000万域名Web页面分类数据库，协助管理员轻松设立工作时间禁止访问网页，提高工作效率和控制对不良网站访问，杜绝潜在威胁。 4) 数据泄漏防护 PA-5500-U40还提供了精细数据泄漏防护(DLP)功能，支持顾客定义各种规则核心字和敏感词，支持涉及Email、HTTP、FTP和IM在内各种合同，对于银行卡帐号、身份信息、财务信息等核心数据，将其控制在可信网络范畴以内，避免恶意或者无意数据泄漏导致不可弥补错误。 5) 丰富应用支持和管理 PA-5500-U40采用了多重辨认技术，一方面基于强大深度报文检测和多达1400种业界最丰富合同库，对绝大某些应用进行模式匹配；另一方面采用了启发式学习和DFI技术，采用汉柏专利技术进行深层次行为挖掘；最后，对伪装成HTTP报文应用，进行一致性还原比对。在这三重技术保障下，将应用辨认率，提高到远远超过了业界其她竞争对手限度。 6) 可视化安全管理 PA-5500-U40提供了丰富呈现功能，提供涉及病毒排行、袭击排行、应用带宽排行、链路带宽使用状况，在应用管理上，可以提供可以细致到当前顾客应用、占用带宽、使用连接，让安全管理者对已有、潜在和未知安全威胁，以及网络中各种应用和顾客行为，均有着非常丰富直观感受，为顾客创造出可视化安全体验。 7) 实时病毒库、袭击库、应用库更新 作为安全网关设备，如何可以保证在新威胁、病毒、袭击和新应用浮现第一时间，就可以做到有效洞悉和控制，不但考验产品自身应变能力，更考验安全厂商支持力度和深度，以及响应速度。 汉柏科技为PA-5500-U40配备了强大安全服务团队，并和国际先进安全机构合伙，对不断涌现新病毒、威胁以及应用，实时更新到汉柏安全数据库中。当前安全数据库已有20万条病毒特性、4000各种袭击特性、1400各种应用特性库，以及70各种分类4000多万条网页数据库。 8) 简朴易用配备工具 PA-5500-U40集成了业界最完整安全功能，但并不是简朴罗列。汉柏科技始终将提高使用者便利性作为产品设计核心思想，从产品定义阶段就将易用性作为核心指标。 PA-5500-U40提供了简朴直观Web管理界面和用以高档配备命令行，可以支持复杂方略、合同作为对象方式灵活使用；除此之外，提供初始配备向导、数量众多场景应用指引和设计工具，既可以满足需要简朴配备顾客，也可觉得专业安全管理人员提供全面而直接配备办法。 7 QoS设计 7.1 数据中心网络QoS需求 为了保证数据中心核心应用网络带宽，建议相应用按重要级别进行分类，在网络上，实现对不同级别应用提供优先权不同质量服务。 7.2 QoS方略制定 n 为了实现端到端业务QoS保障，各层网络设备所承担任务如下： l 汇聚互换机作为服务器接入，进行数据分类及DSCP标记； l 核心互换机信任DSCP值,并布置拥塞避免和拥塞管理机制； l 在统一出口设备上布置拥塞控制和流量监管机制。 实行QoS主线目是保证网络各类信息可以及时获得所需要网络带宽。针对数据中心信息流内容及特点，汉柏建议制定如下QoS方略: 1) 业务前端数据（重要为WEB服务）要予以最高优先级保证，在任何状况下都要保证业务数据及时可靠地传送。 2) Voice over IP（VoIP）流量占用带宽不大，但对延迟极为敏感，也予以较高优先级保证。 3) IT支撑系统中网管流量，属于一种数据传播业务，其对延时并不敏感，但是不容许数据丢失，将其定义为次高优先级。 4) 其他需要定义为高优先级业务。 5) 数据共享等属于非业务数据流量，其数据包最长，对延时并不敏感，但是不容许数据丢失，将其定义为普通优先级。 6) 所有未定义流量则被置为最低优先级。 8 汉柏解决方案总结 l 安全性好 容易明确不同网络区域之间安全关系，可以单独对每个区域进行安全实行，不会对其他区域导致影响。 l 扩展性好 可依照不同区域和层次功能按需建设，业务布置灵活，可以非常以便增长新业务区，而不变化原有网络构造。 l 提高可用性 可以最大限度隔离故障域，简化数据途径，加快故障收敛时间。 l 易管理 网络构造清晰，寻常运维变得更加简朴，问题定位容易。 About 汉柏— 汉柏（英文：Opzoon）是一家全球领先行业深度定制化、智能网络设备和解决方案提供商，是源自硅谷中华人民共和国高科技公司。其海外市场业务占据汉柏95%以上销售来源，年复合增长率超过40%，截止全球销售额合计10亿美金，在全球10各种国家设立26个办事处及分公司。 当前，汉柏具备业界领先基本网络、安全网络、应用网络及云计算等多条产品线及解决方案，业务涵盖众多领域，涉及政府、电信、交通、公安、社保、广电、教诲、金融、智能楼宇、医疗、酒店等各行业，并拥有众多全球成功典范案例客户。将来，汉柏将在云计算、移动互联网、物联网等领域持续加大研发投入，摸索科技创新，致力于成为业界顶尖下一代智能网络和应用解决方案提供商！