除了銀行、證券公司等金融領域這些“不差錢”的企業，還有很多大中型企業會不惜砸下重金自建數據中心（下文簡稱DC），承載企業對外服務（如企業官網）的同時，也承載著諸多對內服務的系統，如企業郵件系統、AD系統、文件系統、備份系統、歸檔系統、OA系統、CRM系統、ERP系統、內部BI系統等。

據中培偉業某培訓專家指出，前些年的服務器虛擬化技術更是將DC系統搭建的靈活性、冗余性、安全性以及資源高效配置等優勢大大提升。即使當今公有云越來越普及，仍有許多企業考慮到安全、帶寬等因素，并未完全將系統置于公有云上，而是采用“公私混合云”的方式，使自建的DC仍然發揮著難以替代的作用。

對于以上問題，中培偉業《網絡部署實戰及架構設計》培訓專家王老師根據自己的從業經驗，總結一些企業自建DC網絡架構的一些心得，供廣大同仁探討、借鑒。

1） 局域網的中堅力量----交換機

交換機是局域網中最重要的設備，是網絡架構設計中首先要考慮的設備。在DC局域網架構設計中，該如何入手進行設計呢？

在網絡架構的設計中，厘清數據流量交互的脈絡是重要的工作，DC的網絡架構中更是如此。

只有弄清楚數據的流量交互，才能找到流量的交互瓶頸會出現在哪些節點，高流量交互的區域在哪里。然后根據分析的結果來選擇是使用萬兆、千兆、甚至百兆的交換機端口。

使用服務器虛擬化的架構，同一臺宿主機的不同虛擬機之間的數據交互已經被終結在了宿主機內部，而處于同一集群的不同宿主機之間會有虛擬機漂移、復制、數據庫讀寫、備份等大流量數據交互，為了保證交互速度，采用萬兆端口是比較好的選擇。

DC的宿主機往往根據性能的不同被劃分為不同的集群，不同集群之間的流量交互要遠遠小于同一集群的宿主機，由于不同集群的設備一般都會部署在不同的機柜，每一臺機柜都會部署接入層交換機，所以不同集群的流量交互一般會跨越級聯鏈路，跑在接入層轉發至核心匯聚層之間，因此，核心匯聚層與各機柜接入層的交換機之間級聯帶寬最好是萬兆級別。

對于跨安全區域的流量，瓶頸在防火墻或路由器，采用萬兆級聯端口的千兆端口即可。而外接Internet或專線的交換機，流量瓶頸在于線路的帶寬，如果線路帶寬不超過百兆，那相應的交換機端口使用百兆的就夠了。

架構設計時，要根據以上推算的不同端口的預估數量來選購適合的交換機。因為箱式交換機具備如下優勢，比較適用于虛擬化程度高的架構。

可集成多種不同類型端口，端口密度大，共享高速背板帶寬；

刀片式硬件全熱插拔且便于擴展和維護；

電源、風扇等同樣支持熱插拔，冗余性高、穩定性強；

“All-in-one”式設計，功能豐富；

有利于減少網絡層級，實現“扁平化”的網絡架構。

當然，盒式交換機具備成本低、占據空間少、部署靈活等優勢。是使用較少的箱式交換機還是使用較多的盒式交換機，目前業界雖然多數專家的觀點是傾向于前者，但仍有不少人認為后者的性價比高于前者。究竟采用盒式還是箱式交換機，需要根據具體情況而定，不能一概而論。

不論采用哪種交換機，都需要在設計時充分考慮冗余性以及性能最優化。

例如，因為網絡架構設計需要考慮到冗余性，宿主機一般最少配置兩塊多口的網卡，每塊網卡上各取一個口與兩臺交換機（盒式）或兩個板卡（箱式）相連，避免因為宿主機某一塊網卡的故障或某一臺交換機的故障，導致業務的徹底中斷。 因為網絡架構設計考慮到性能最優化，一般使用端口聚合技術將多個端口捆綁起來，使帶寬成倍增加。

2） 局域網的保安---- 防火墻

防火墻作為保障網絡安全的重要設備，在網絡架構設計時需要考慮到如下幾點：

異構性。在不同區域部署不同品牌的防火墻可以增加攻擊者的攻擊難度，降低在某一結點被攻破時，“兵敗如山倒”的風險；

冗余性。各大廠商都宣稱自己的防火墻可做到“雙活”，理論上可行，但實際運行效果并不理想。還是建議使用穩定性更可靠的“主備”模式；

不同安全區域間可根據業務需求，通過防火墻策略與交換機、路由器ACL相結合的方式，在不同類型數據流量節點設置不同等級的“關卡”，從而實現保障安全的同時避免了這些“關卡”成為數據擁塞的瓶頸，也能夠降低維護管理成本。

3） 所有設備的家---機柜

大多數公司選擇租用專業化機房的機柜來建設自己的DC，因為專業化的機房的電力、溫濕度控制、消防、安保、運營商資源等等都是自建機房完全無法企及的。

但租用機柜的價格往往不菲，這就需要對機柜的空間最合理化利用。在設計時，機柜設備分布的設計也是一項非常重要的工作。在設計時，除了考慮空間因素外，還需要考慮設備散熱、機柜最大電力容量、設備間數據線長度、功能區域的劃分、機柜間跳線等因素。

4） 談談DC的運維

DC的運維操作八成以上都是管理員遠程完成的，這就需要有一份準確的運維文檔，讓管理員即使不在現場，也能很好的了解設備的位置、端口、跳線編號等信息。

運維的可視化離不開監控管理系統，部署一套這樣的系統往往也要投入不少錢。但一般這類系統都是按功能模塊來賣的，可以根據需要選擇購買幾個重要的功能模塊，無須全套購買。有些企業可能會要求管理員自己使用Linux搭建可視化運維監控系統，但無論是效果上還是算一算人力投入，都不如購買第三方的系統劃算。

金屬質感分割線

以上只是DC局域網架構建設的一些心得。其實在設計前最好多走訪一些大公司，尤其是外企的DC，增長眼界，拓寬思路，吸收經驗，這也是中培偉業《網絡部署實戰及架構設計》培訓的核心內容之一。