CN112953777A - 一种数据中心互联网出口架构和连接方法 - Google Patents
一种数据中心互联网出口架构和连接方法 Download PDFInfo
- Publication number
- CN112953777A CN112953777A CN202110259652.7A CN202110259652A CN112953777A CN 112953777 A CN112953777 A CN 112953777A CN 202110259652 A CN202110259652 A CN 202110259652A CN 112953777 A CN112953777 A CN 112953777A
- Authority
- CN
- China
- Prior art keywords
- switch
- firewall
- internet
- web application
- data center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据中心互联网出口架构和连接方法,本发明的架构包括两条数据交换链路,每条所述数据交换链路包括依次连接的出口交换机、DDOS、故障隔离交换机、防火墙和核心交换机。本发明还提供一种数据中心互联网出口连接方法,包括:在数据中心与互联网之间连接的网络拓扑中加入故障隔离交换机,网络拓扑中的其他设备进行灵活布置。本发明通过在互联网出口加入故障隔离交换机,链路负载均衡、DDOS、防火墙、WAF等设备可灵活与故障隔离交换机对接,各设备可根据业务实际情况实现二层或三层方式部署。
Description
技术领域
本发明涉及数据中心技术领域,具体地说是一种数据中心互联网出口架构和连接方法。
背景技术
数据中心一般用于承载核心业务,其互联网出口的安全防护性能及可靠性能都会有较高的要求,如图1所示,传统组网环境一般是对互联网出口的安全设备使用串联架构将安全设备进行逐一串接。如图2所示为正常的数据流向,如图3所示,串联架构会导致其中一个环节发生故障时,上联和下联设备都会跟随发生主备切换,从而整个网络拓扑会发生改变,拓扑结构发生改变后会导致单条线路上的流量增加,但受制于带宽的限制,影响数据的传输速率。
发明内容
本发明的目的是针对以上不足,提供一种数据中心互联网出口架构,使得任一条链路上的任一设备发生故障时,都不会导致上下行设备的切换,网络流量路径不会发生改变。还提供一种基于上述架构的数据中心互联网出口连接方法。
本发明所采用技术方案是:
一种数据中心互联网出口架构,包括两条数据交换链路,每条所述数据交换链路包括依次连接的出口交换机、DDOS、故障隔离交换机、防火墙和核心交换机;
所述出口交换机连接互联网,所述核心交换机用于连接终端设备;
所述出口交互机的下行端口和故障交换机的上行端口组成动态链路聚合;
所述故障隔离交换机上旁挂有负载均衡设备;
每条所述数据交换链路上还设置有web应用防火墙;
两条数据交换链路下的出口交换机之间、故障隔离交换机之间、核心交换机之间设置有数据交互通路;不同数据交换线路下的负载均衡设备之间设备状态检测通路。
作为对本发明架构的进一步的优化,本发明所述web应用防火墙的部署方式为二层透明模式或三层代理模式。
作为对本发明架构的进一步的优化,本发明所述web应用防火墙旁挂在故障隔离交换上,故障隔离交换机通过配置策略路由,使Web类流量通过web应用防火墙,非Web类流量直接转发至防火墙,且两条线数据交换链路下的web应用防火墙之间设置有设备状态检测通路。
作为对本发明架构的进一步的优化,本发明所述web应用防火墙并联在防火墙与核心交换机之间,通过在防火墙中写明细路由,在核心交换机中写明策略路由的方式,使Web类流量经过web应用防火墙,非Web类流量直接通过核心交换机与防火墙之间的直连线路进行转发。
作为对本发明架构的进一步的优化,本发明所述互联网通过vlan透传至负载均衡设备上,负载均衡设备在物理连接上为旁挂部署,实际为串联部署。
本发明还提供一种数据中心互联网出口连接方法,包括:在数据中心与互联网之间连接的网络拓扑中加入故障隔离交换机,网络拓扑中的其他设备进行灵活布置。
作为对本发明方法的进一步优化,本发明所述数据中心与互联网之间连接的网络拓扑还包括出口交换机、DDOS、负载均衡设备、防火墙和核心交换机,所述出口交换机上连互联网,出口交换机的下端端口与故障隔离交换机的上行端口形成动态链路聚合,且所述DDOS设置在出口交换机与故障隔离交换机之间,所述防火墙作为三层部署,上连故障隔离交换机,下连核心交换机。
作为对本发明方法的进一步优化,本发明还包括web应用防火墙,所述web应用防火墙的部署方式为二层透明模式或三层代理模式。
作为对本发明方法的进一步优化,本发明所述web应用防火墙旁挂在故障隔离交换上,故障隔离交换机通过配置策略路由,使Web类流量通过web应用防火墙,非Web类流量直接转发至防火墙,且两条线数据交换链路下的web应用防火墙之间设置有设备状态检测通路。
作为对本发明方法的进一步优化,本发明所述web应用防火墙并联在防火墙与核心交换机之间,通过在防火墙中写明细路由,在核心交换机中写明策略路由的方式,使Web类流量经过web应用防火墙,非Web类流量直接通过核心交换机与防火墙之间的直连线路进行转发。
本发明具有以下优点:
1、本发明利用交换机丰富的端口及灵活的接入方式,改变互联网出口网络架构;
2、本发明通过在互联网出口加入故障隔离交换机,链路负载均衡、DDOS、防火墙、WAF等设备可灵活与故障隔离交换机对接,各设备可根据业务实际情况实现二层或三层方式部署;
3、本发明通过交换机的链路聚合、策略路由等技术实现业务流量的精细化转发,需要过安全设备的流量才会引流到相关设备,从而降低了转发延迟;
4、本发明可以实现任意一条链路或任意一台设备发生故障都不会影响整网拓扑,上下行设备不会跟随故障设备进行故障切换,网络流量路径也不会发生改变,从而增强了整个数据中心出口的健壮性及可靠性SLA。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
下面结合附图对本发明进一步说明:
图1为传统串联架构的示意图;
图2为传统串联架构在正常工作模式下的数据流量走向;
图3为传统串联架构在某一设备出现故障下的数据流量走向;
图4为本发明架构的其中一种示意图;
图5为本发明架构的另一种示意图;
图6为本发明架构在正常工作模式下的数据流量走向;
图7为本发明架构在某一设备出现故障下的数据流量走向;
其中:1、DDOS,2、出口交换机,3、负载均衡器,4、防火墙,5、web应用防火墙,6、核心交换机,7、故障隔离交换机。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互结合。
需要理解的是,在本发明实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。在本发明实施例中的“多个”,是指两个或两个以上。
本发明实施例中的属于“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,单独存在B,同时存在A和B这三种情况。另外,本文中字符“/”一般表示前后关联对象是一种“或”关系。
本实施例提供一种数据中心互联网出口架构,如图4或图5所示,包括两条数据交换链路,每条所述数据交换链路包括依次连接的出口交换机2、DDOS1、故障隔离交换机7、防火墙4和核心交换机6;
所述出口交换机2端连接互联网,所述核心交换机6段用于连接终端设备;
所述出口交互机2的下行端口和故障交换机7的上行端口组成动态链路聚合,提升链路带宽和设备利用率;
所述故障隔离交换机7上旁挂有负载均衡设备3,所述互联网通过vlan透传至负载均衡设备3上,如图4或图5所示,负载均衡设备3在物理连接上为旁挂部署,逻辑上实际依然为串联部署;
每条所述数据交换链路上还设置有web应用防火墙5,所述web应用防火墙5的部署方式为二层透明模式或三层代理模式,如图4所示,当采用二层透明模式时,所述web应用防火墙5并联在防火墙4与核心交换机6之间,通过在防火墙中4写明细路由,在核心交换机6中写明策略路由的方式,使Web类流量经过web应用防火墙5,非Web类流量直接通过核心交换机6与防火墙4之间的直连线路进行转发;
如图5所示,当采用三层代理模式时,所述web应用防火墙5旁挂在故障隔离交换7上,故障隔离交换机7通过配置策略路由,使Web类流量通过web应用防火墙5,非Web类流量直接转发至防火墙4,且两条线数据交换链路下的web应用防火墙之间设置有设备状态检测通路。
两条数据交换链路下的出口交换机2之间、故障隔离交换机7之间、核心交换机6之间设置有数据交互通路;不同数据交换线路下的负载均衡设备3之间设备状态检测通路。
负载均衡设备和web应用防火墙随旁挂在故障交换机上,但是在逻辑上仍然为串联部署,在正常模式下,数据流量如图6所示,在其中一个设备发生故障后,如图7所示,上下行设备不会跟随故障设备进行故障切换,数据流量路径也不会发生改变。
本实施例还提供一种数据中心互联网出口连接方法,包括:在数据中心与互联网之间连接的网络拓扑中加入故障隔离交换机7,并对网络拓扑中的其他设备进行灵活布置。
本实施例所述数据中心与互联网之间连接的网络拓扑还包括出口交换机2、DDOS1、负载均衡设备3、防火墙4和核心交换机6,所述出口交换机2上连互联网,出口交换机2的下端端口与故障隔离交换机7的上行端口形成动态链路聚合,且所述DDOS1设置在出口交换机2与故障隔离交换机7之间,所述防火墙4作为三层部署,上连故障隔离交换机7,下连核心交换机6。
本实施例还包括web应用防火墙5,所述web应用防火墙5的部署方式为二层透明模式或三层代理模式。当采用三层代理模式时,所述web应用防火墙5旁挂在故障隔离交换7上,故障隔离交换机7通过配置策略路由,使Web类流量通过web应用防火墙,非Web类流量直接转发至防火墙,且两条线数据交换链路下的web应用防火墙5之间设置有设备状态检测通路。
当采用二层透明模式时,所述web应用防火墙5并联在防火墙4与核心交换机6之间,通过在防火墙4中写明细路由,在核心交换机6中写明策略路由的方式,使Web类流量经过web应用防火墙5,非Web类流量直接通过核心交换机6与防火墙4之间的直连线路进行转发。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。
Claims (10)
1.一种数据中心互联网出口架构,其特征在于:包括两条数据交换链路,每条所述数据交换链路包括依次连接的出口交换机、DDOS、故障隔离交换机、防火墙和核心交换机;
所述出口交换机连接互联网,所述核心交换机用于连接终端设备;
所述出口交互机的下行端口和故障交换机的上行端口组成动态链路聚合;
所述故障隔离交换机上旁挂有负载均衡设备;
每条所述数据交换链路上还设置有web应用防火墙;
两条数据交换链路下的出口交换机之间、故障隔离交换机之间、核心交换机之间设置有数据交互通路;不同数据交换线路下的负载均衡设备之间设备状态检测通路。
2.根据权利要求1所述的数据中心互联网出口架构,其特征在于:所述web应用防火墙的部署方式为二层透明模式或三层代理模式。
3.根据权利要求2所述的数据中心互联网出口架构,其特征在于:所述web应用防火墙旁挂在故障隔离交换上,故障隔离交换机通过配置策略路由,使Web类流量通过web应用防火墙,非Web类流量直接转发至防火墙,且两条线数据交换链路下的web应用防火墙之间设置有设备状态检测通路。
4.根据权利要求2所述的数据中心互联网出口架构,其特征在于:所述web应用防火墙并联在防火墙与核心交换机之间,通过在防火墙中写明细路由,在核心交换机中写明策略路由的方式,使Web类流量经过web应用防火墙,非Web类流量直接通过核心交换机与防火墙之间的直连线路进行转发。
5.根据权利要求1所述的数据中心互联网出口架构,其特征在于:所述互联网通过vlan透传至负载均衡设备上,负载均衡设备在物理连接上为旁挂部署,实际为串联部署。
6.一种数据中心互联网出口连接方法,其特征在于:
包括:在数据中心与互联网之间连接的网络拓扑中加入故障隔离交换机,网络拓扑中的其他设备进行灵活布置。
7.根据权利要求6所述的数据中心互联网出口连接方法,其特征在于:所述数据中心与互联网之间连接的网络拓扑还包括出口交换机、DDOS、负载均衡设备、防火墙和核心交换机,所述出口交换机上连互联网,出口交换机的下端端口与故障隔离交换机的上行端口形成动态链路聚合,且所述DDOS设置在出口交换机与故障隔离交换机之间,所述防火墙作为三层部署,上连故障隔离交换机,下连核心交换机。
8.根据权利要求7所述的数据中心互联网出口连接方法,其特征在于:还包括web应用防火墙,所述web应用防火墙的部署方式为二层透明模式或三层代理模式。
9.根据权利要求8所述的数据中心互联网出口连接方法,其特征在于:所述web应用防火墙旁挂在故障隔离交换上,故障隔离交换机通过配置策略路由,使Web类流量通过web应用防火墙,非Web类流量直接转发至防火墙,且两条线数据交换链路下的web应用防火墙之间设置有设备状态检测通路。
10.根据权利要求8所述的数据中心互联网出口连接方法,其特征在于:所述web应用防火墙并联在防火墙与核心交换机之间,通过在防火墙中写明细路由,在核心交换机中写明策略路由的方式,使Web类流量经过web应用防火墙,非Web类流量直接通过核心交换机与防火墙之间的直连线路进行转发。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110259652.7A CN112953777A (zh) | 2021-03-10 | 2021-03-10 | 一种数据中心互联网出口架构和连接方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110259652.7A CN112953777A (zh) | 2021-03-10 | 2021-03-10 | 一种数据中心互联网出口架构和连接方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112953777A true CN112953777A (zh) | 2021-06-11 |
Family
ID=76229311
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110259652.7A Pending CN112953777A (zh) | 2021-03-10 | 2021-03-10 | 一种数据中心互联网出口架构和连接方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112953777A (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6240533B1 (en) * | 1999-02-25 | 2001-05-29 | Lodgenet Entertainment Corporation | Method and apparatus for providing uninterrupted communication over a network link |
CN101330404A (zh) * | 2008-06-20 | 2008-12-24 | 华为技术有限公司 | 管理网络设备端口状态的方法、系统及设备 |
CN101997750A (zh) * | 2009-08-13 | 2011-03-30 | 中兴通讯股份有限公司 | 一种以太网隧道分段保护方法及系统 |
CN202276355U (zh) * | 2011-10-18 | 2012-06-13 | 广州五舟信息科技有限公司 | 一种多链路动态负载均衡系统 |
CN103067291A (zh) * | 2012-12-24 | 2013-04-24 | 杭州华三通信技术有限公司 | 一种上下行链路关联的方法和装置 |
US20160119255A1 (en) * | 2014-05-12 | 2016-04-28 | Futurewei Technologies, Inc. | Partial Software Defined Network Switch Replacement in IP Networks |
CN109302359A (zh) * | 2018-11-27 | 2019-02-01 | 迈普通信技术股份有限公司 | 一种网络设备、链路转换方法及装置 |
CN109347847A (zh) * | 2018-11-01 | 2019-02-15 | 广东粤迪厚创科技发展有限公司 | 一种智慧城市信息安全保障系统 |
-
2021
- 2021-03-10 CN CN202110259652.7A patent/CN112953777A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6240533B1 (en) * | 1999-02-25 | 2001-05-29 | Lodgenet Entertainment Corporation | Method and apparatus for providing uninterrupted communication over a network link |
CN101330404A (zh) * | 2008-06-20 | 2008-12-24 | 华为技术有限公司 | 管理网络设备端口状态的方法、系统及设备 |
CN101997750A (zh) * | 2009-08-13 | 2011-03-30 | 中兴通讯股份有限公司 | 一种以太网隧道分段保护方法及系统 |
CN202276355U (zh) * | 2011-10-18 | 2012-06-13 | 广州五舟信息科技有限公司 | 一种多链路动态负载均衡系统 |
CN103067291A (zh) * | 2012-12-24 | 2013-04-24 | 杭州华三通信技术有限公司 | 一种上下行链路关联的方法和装置 |
US20160119255A1 (en) * | 2014-05-12 | 2016-04-28 | Futurewei Technologies, Inc. | Partial Software Defined Network Switch Replacement in IP Networks |
CN109347847A (zh) * | 2018-11-01 | 2019-02-15 | 广东粤迪厚创科技发展有限公司 | 一种智慧城市信息安全保障系统 |
CN109302359A (zh) * | 2018-11-27 | 2019-02-01 | 迈普通信技术股份有限公司 | 一种网络设备、链路转换方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4688765B2 (ja) | ネットワークの冗長方法及び中位スイッチ装置 | |
US8588060B2 (en) | E-spring (G.8032) interworking to provide access protection | |
US8854975B2 (en) | Scaling OAM for point-to-point trunking | |
US20080170495A1 (en) | Breakdown and Decoupling Tolerant Communications Network, a Data Path Switching Device and a Corresponding Method | |
CN102984057B (zh) | 一种多业务一体化双冗余网络系统 | |
JP5753917B2 (ja) | ネットワーク中継システム及びネットワーク中継装置 | |
US8724519B2 (en) | Technique for dual homing interconnection between communication networks | |
US6823383B2 (en) | Stealth network | |
CN110838962B (zh) | 船用网络系统及船舶系统 | |
CN110417665B (zh) | 一种数据中心多Fabric场景的EVPN组网系统及方法 | |
AU728861B2 (en) | Communication device for the transmission of information signals | |
CN102611610A (zh) | 一种多条相同路径隧道集中管理的方法和系统 | |
CN111726253B (zh) | 云计算核心网络系统 | |
CN110290042A (zh) | 用于轨道交通的传输网络系统 | |
CN112953777A (zh) | 一种数据中心互联网出口架构和连接方法 | |
JP5387589B2 (ja) | 無線伝送装置 | |
US8730940B2 (en) | Switching system | |
RU2586568C2 (ru) | Способ и устройство защиты сервиса межкольцевой связи | |
CN103248502B (zh) | 分布式链路聚合组拓扑发现、故障处理方法及装置 | |
CN102150053A (zh) | 用于提供商骨干网桥流量工程的保护 | |
CN116054929A (zh) | 业务保护系统 | |
KR101909705B1 (ko) | 네트워크 시스템 및 그것의 동작 방법 | |
CN210007718U (zh) | 铁路通信网络的组网系统 | |
CN101809907B (zh) | 电信网络 | |
CN106656634A (zh) | 电力终端通信接入网工业以太网环网双节点接入结构 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210611 |