1．引言

　　目前，我国广电基础干线网络、各省级公司网络以及各区域干线网络已基本建成并投入运营，广电大网络的格局已经形成，并成为国家高速宽带信息网打造了理想的物理基础平台。

　　随着国家“三网融合”战略、工信部和国家广电总局提出的NGB建设计划的出台，加快下一代广播电视网（NGB）建设，致力推进“三网融合”已经成为广电网络运营商当下的主要任务。摆脱传统广播电视传输业务提供商的角色，进行多业务运营转型，广电网络运营商正从传统的国家媒体机器向媒体、通讯、娱乐为一体的全业务运营商转型。

　　面临新机遇新挑战，广电网络运营商积极规划并投资建设IP网络基础设施，迈出了“三网融合”的重要一步，开启了业务转型的新篇章。

　　2．广电云数据中心建设业务需求

　　近年来，在广电对“三网融合”相关网络和业务系统建设的推进中，“云计算、数据中心”开始被广电人关注，部分三网融合试点和发达地区广电提出云数据中心是NGB建设的重要组成部分。

　　在“三网融合”的推进中，广电网络运营商需要的是在一个能支撑广电现有宽带接入、互动数字电视、各种增值业务发展的云数据中心，一个能保障广电大网络支撑系统的云数据中心。广电云数据中心将成为广电网络运营商三网融合业务深度推广、跨网络业务可靠运营的中流砥柱和主力引擎。

　　广电云数据中心网络建设面临如下问题：

图1广电云数据中心网络建设面临的问题　　　　

　　1）业务隔离与安全策略

　　广电云数据中心支撑整个广电大网络的各种业务，不同的业务必然需要网络逻辑层面上的业务隔离、部署对应的L3-L7层网络安全策略，并且这些管理和策略设置和更新要足够灵活。　　

　　2 )出口带宽与扩展能力

　　广电的数据中心未来是以视频业务为主同时兼顾数据业务，其未来流量规模将向目前主流的电信运营商一样达到N*40G甚至100G。

　　3）服务迁移与性能要求

　　广电宽带用户需要的互联网内容与信息服务大部分在电信和联通的IP网内，需要建设数据中心并部署一定规模的P2P、WEB应用缓存系统，从而尽可能将本地宽带用户的内容和服务请求终结在广电网内。另外，互动数字高清视频业务是广电运营商的核心业务，其发展方向是互动、高清、3D，该业务不仅需要大量丰富的高清互动视频媒体资源，同时还需要完善的视频内容分发网络，这使得广电基础网络性能也经受考验。

　　4）未来运营与网络运维

　　在“三网融合”推动的大背景下，向公众和企业开展IDC相关业务，特别是云计算服务，广电瞄准未来云计算服务承载进行完善的云数据中心是不可或缺的。与此同时，随着业务的发展，广电运营商需要逐步建设完备的IT支撑系统，包括相关的业务平台管理系统、内部管理系统，将这些运营维护部分纳入到云数据中心，有力地保障系统的独立性和安全隔离。

　　因此，在统筹广电数据中心项目业务需求和发展的基础上，兼顾远期发展目标，建设一个高度可靠、安全、快速、可扩展的基础网络平台，为各项业务提供优质高效的网络服务。

　　3．基于模块化应用设计与部署方案

　　3．1．设计与部署

　　基础网络是广电云数据中心的基础，只有构建坚实的网络基础设施，才能为数据中心业务永续、管理与运维提供保障。根据数据中心内部业务相关性和流程需要，方案总体采用模块化设计架构，如下图所示分为6大分区，每个分区之间相对独立，可有效实现低耦合、高内聚，保证系统和数据的安全性、可靠性、灵活扩展性、易于管理。

图2 总体架构框图

　　3．1．1．基础网络部署

　　数据中心基础网络架构采用分层、分区的模块化规划方法，即：根据不同的网络访问层次，如下图所示将数据中心网络分为：核心层、汇聚层和接入层。根据不同的业务功能，将数据中心网络在功能上进行划分。

图3 基础网络层次结构示意图

　　核心层

　　核心层是数据中心的核心，核心层不仅负责与外部骨干网和承载网互联，实现终端用户与业务前端服务器数据交互，具有高交换能力和突发流量适应能力；同时连接各数据中心的各功能分区，与其它数据中心网络区域或内部园区网络互联，实现业务应用服务器之间的数据交互，是数据中心内部总线。

　　汇聚层

　　汇聚层连接数据中心核心网络，负责汇聚区内部东西向流量转发，服务器到数据中心外部的南北向流量转发。汇聚层一般作为业务网关，是业务和安全策略的控制点。因此，汇聚层可实现高密度、高带宽端口与接入层互联，同时充分考虑扩展性需求，实现高密度、高性能的服务器接入。

　　接入层

　　接入层直接连接服务器、主机、存储等设备，上行连接到汇聚层设备。接入层设备能提供高密度千兆接入、万兆接入连接服务器；基于机架考虑，接入层设备要具有灵活部署能力，支持堆叠，更具扩展能力，同时具备上行双链路冗余能力。

　　3．1．2．安全体系部署

　　依据业务系统的相关性、数据流的访问要求和系统安全控制的要求等，把数据中心网络分成互联网区、外联区、核心区、支撑管理区、业务系统区和备灾区。数据中心网络防护安全解决方案建议采用模块安全分区的设计理念，保证业务系统和区域互访中的有效安全隔离。按照区域的功能和应用的不同，云数据中心网络安全域划分如下图所示：

图4 各全域规划图

　　出口边界安全防护

　　在大型数据中心出口部署高端安全网关，可提供高性能、高密度、高可用性、高安全的网络安全基础架构。通过部署高性能的高端安全网关，实现了安全域隔离，将数据中心划分为对外和对内两大部分，对各个域之间的流量进行安全防护，有效避免网络风暴扩散，保障网络安全，可以实现屏蔽可疑源地址安全策略；还可实现2层到7层的虚拟系统隔离，实现配置资源预分配、公网IP限流等能力。另外，还可实现及时判断网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，并在发现威胁的情况进行阻断或告警等措施实现对网络的安全保护，以及实现对DDoS的攻击防护。
数据中心内部网络安全防护

　　数据中心内部网络安全防护主要通过在核心交换设备上部署各种安全业务功能（如防火墙、IPS等），对不同的区域实现不同的安全策略，为不同的区域提供不同的安全防护能力，同时支持将一台设备从逻辑上划分为多台虚拟设备，为多用户提供独立的安全保障。

　　3．2．应用分析

　　1）高性能网络

　　承载未来十年的网络发展趋势，满足从GE/10GE到40GE/100GE的4代服务器演进需求，应对10GE服务器趋势，保障网络架构的长期稳定。

　　2）高密度接入

　　数据中心TOR设备可通过全40GE/10GE接口联合组网，配合核心汇聚EOR设备单个网络可实现高达18K台10GE服务器或70K台GE服务器的接入，位居业界领先水平。

　　3）高效虚拟云

　　可将多个物理设备虚拟成一个或多个逻辑对象，所有策略配置和管理均基于逻辑对象进行实施，满足多业务区或多租户共享核心设备的需求，极大提高了业务组网能力、可靠性和无缝升级能力，有效降低客户的Capex/Opex。

图5 虚拟云网络示意图

　　4）可靠云网络

　　核心EOR设备采用多级无阻塞交换架构、无源背板设计，关键部件冗余备份，所有单板支持热插拔，支持不间断重启和热补丁，最大限度进行故障隔离，保障业务不间断。数据中心产品支持ms级快速故障检测、快速保护切换和快速收敛；支持设备在线状态监测机制协议，支持关键元器件实时检测，实时故障报警和自动切换，进一步加强系统可靠性。

　　5）绿色易用云

　　数据中心产品支持实时功率测量，随时掌握系统功耗状态，智能节电技术降低能耗。产品专业的风道设计，高效散热效率，完全满足数据中心机房标准。

　　此外，支持在统一运维管理平台下进行数据中心的运营和运维，可实现包括资源管理、资源监测、技术数据管理、配置模板管理的运营模块，同时提供通用的用户管理、授权认证与权限管理、安全管理模块。

　　4．结束语

　　广电的云数据中心建设随着三网融合业务深度推广，将成为这场新机遇之下的新挑战，它会成为跨网络业务可靠运营的中流砥柱和主力引擎。烽火长期保持对数据中心领域的关注，持续投入力量于数据中心解决方案的研发，融合了网络、安全、软件管理系统等产品实现云架构高性能网络、虚拟化、可靠安全的新一代网络架构方案，为打造一流的云数据中心保驾护航。