第六章  数据中心规划设计



              务数据流的走向和访问控制来确定。
                  5. 区域内部的防护
                  即使在同一个区域内部，根据业务场景和需求，也可能属于不同的安全域。
              以某机房为例，云计算平台不同租户的云主机之间的互访，因为属于不同安全域，

              要通过区域内的防火墙设备实现具体的防护，主要实现的就是基于地址和端口的
              访问控制，从而防止区域内部未授权的请求对区域内服务器等设备的业务访问。
              我们通常称这类区域内的访问流量为东西向流量，对应的防火墙被称为东西向防
              火墙。

                  6. 本地机房与外部机房的连接
                  本地数据中心机房与外部数据中心机房通常采用长途或本地专线线路实现连
              接。以某机房为例，在本地数据中心有一个单独的业务容灾区，部署 2 台路由器
              设备，实现与外部数据中心的通信。而本地数据中心机房与外部数据中心机房之

              间的关系，本地是主数据中心机房，外部是灾备数据中心机房。
                  （五）网络 IP 地址及 VLAN 设计
                  1. 内部网络 IP 地址段要有整体的规划和具体的分配
                  前面我们已经设计了多个业务功能和安全区域，按照每个业务区域，根据使

              用情况设定 IP 地址使用范围，并且在每个业务区域预留 IP 地址段以便于日后网
              络的扩展。网络 IP 地址可按照建设单位的网络规范标准进行部署设计，本着仅
              满足当期使用并考虑后期扩展的原则来进行分配。某机房 IP 地址段分为两大类：
              业务网络 IP 地址段和管理网络 IP 地址段。顾名思义，前者是用于传输业务数据

              的网络地址，后者是用于运维管理的网络地址，需要分别规划设计不同的 IP 地
              址段，设计的输出物形成了具体的地址分配表。
                  2. 外部网络 IP 地址段要区分不同运营商的接入
                  外部网络主要是指互联网接入、广域网接入等，其 IP 地址段是由提供接入

              的运营商提供的，某机房用户单位再根据业务需求具体分配每个 IP 地址，设计
              的输出物形成了具体的地址分配表，能区分不同网络运营商的接入。
                  3.VLAN 的分配要有整体的规划
                  前面我们已经设计了多个业务功能和安全区域，按照每个业务区域，根据使

              用情况设定 VLAN ID 号使用范围，并且在每个业务区域预留 VLAN ID 以便于
              日后网络的扩展。VLAN 的分配和 IP 地址分配通常是同时进行的，两者相互关


                                                                                     167