超级计算中心网络系统建设可研方案-基础网络部分.pdfVIP

云计算中心网络系统建设方案 1 网络系统建设方案 1.1 网络系统建设的要求 1) 计算中心通过互联网、专线接入和 VPN 接入提供服务； 2) 提供多种网络接入及特定单位的专线接入，满足用户以多种 方式远程接入云计算平台的要求； 3) 有效隔离计算中心与互联网， 防范来自互联网的非授权访问， 使计算中心在受控的前提下提供给外部进行访问； 4) 为云计算大楼公共服务区（用户服务区、办公区、公共会议 室）提供网络连接； 5) 子网相对独立，又彼此关联。各入驻单位的计算机网络相互 独立，各自构建独立的单位局域网，满足各单位组网需求； 同时要考虑其工作的共性需求。在设计中要考虑他们之间的 相对隔离又彼此关联的要求，划分不同的区域，区域之间采 用物理隔离或逻辑隔离。 6) 建立完善的网络安全和管理机制，保证网络系统的安全和正 常运转。 1.2 网络系统总体设计 1.2.1 网络架构设计 专线客户 中国电信 中国联通 路由交换、安全防护 DMZ 区 云计算中心服务区 云计算中心办公区 路由交换、安全防护 云计算资源区 云计算中心 图 1 云计算中心网络系统逻辑结构图 云计算中心网络系统整体逻辑结构如图 1 所示。整个网络系统包 括云计算资源区和服务与管理区， 服务与管理区可进一步分为对外服 务区、中心办公区、 DMZ 区。 ? 云计算资源区是超级计算系统所在区域。 ? 云计算服务区是计算中心对企业等非政府机构提供超级计算 服务的区域。 ? 中心办公区是云计算中心工作人员的办公区域。 ? DMZ 区是云计算中心设置 Web 服务器和 SSL VPN 接入的区 域。 上述区域整体上包括云计算中心资源层、 核心交换层、 功能接入 层和互联网接入 / 服务层；采用分层结构模块化的设计理念，使网络 结构清晰化， 便于网络安全策略的实施和网络管理， 并提高网络的灵 活性和可扩展性。 1）云计算资源区 云计算中心服务结点使用万兆链路直接接入到云计算资源区的 高性能接入交换机上。 2 ）服务与管理区 ? 核心交换 /访问控制层：主要包括一台的核心交换机，由于现 在的核心交换设备一般都支持多个模块，而本项目所需接入 的网段也不是太多，可将汇聚交换的功能融入其中，对各子 网的访问控制策略采用交换机访问控制技术实现。 ? 功能接入层：包括云计算中心办公子网、云计算对外服务子 网等； ? 互联网接入 / 服务层：包括 1 条互联网接入链路、 边界防火墙、 DMZ 区（设置 DNS、 VPN 接入等服务）等。 1.2.2 服务与管理区网络及安全防护部署 中国电信 中国联通 大数据量用户 用 户专 线 互联网接入 /服务层 DMZ 区 SSL VPN 盘阵 功能接入层 集中安全管理