Datové centrum pro potřeby moderního Koncepce, stav projektu, budoucí rozvoj B.Brablc, 06/16/09
Agenda Proč Zhodnocení důvodů Cílový stav Koncepce Postup, harmonogram Postup Současný stav 2
Výchozí situace Stávající KI (komunikační infrastruktura) a IS nevyhovují Zastaralá, mnohdy nepodporovaná technologie Nezajištěné či neexistující parametry služeb (SLA) Roztříštěné zdroje Několik souběžně existujících WAN sítí pro organizace zřizované magistrátem Neefektivní využívání vlastních prostředků a lidí Mnoho subdodavatelů a SLA s různými 3
Důvody ke změně Optimalizace existujících prostředků Více než 60 lokalit Více než 3500 uživatelů Více než 160 aplikací Servery, data, aplikace na mnoha místech WAN Téměř neaplikovatelná bezpečnostní opatření 4
Důvody ke změně Nemožnost použít prostředky WAN Problematická podpora nových služeb Optimalizace existujících prostředků Úspory provozních nákladů 5
Koncepce nové KI Páteřní síť na bázi MPLS Možnost existence mnoha logicky samostatných sítí na jedné fyzické infrastruktuře Maximální využití stávající infrastruktury Taktika SP jádro sítě na nové technologii a původní prostředí se posouvá směrem k okrajům sítě Možnost postupného převodu stávajících sítí, lokalit, aplikací Možnost provozu aplikací senzibilních na parametry sítě (propustnost, zdržení atd.) 6
Výsledný stav Páteřní síť schopná absorbovat současný i předpokládaný budoucí provoz Bezpečná na úrovni uživatelů, dat, připojených subjektů Poskytované služby definované jasným SLA Využití vlastních zdrojů (optické trasy, technické prostředky, prostory, lidé ) 7
Cílový stav 8
Datové centrum Vlastnosti Moderní Bezpečné Rozšiřitelné Spravovatelné Přenositelné Technologie Cisco Systems 9
Výchozí požadavky oddělení přístupové a distribuční vrstvy, neexistence SPoF, vysoká dostupnost celého řešení, připravenost na aplikační služby (load balancer), důraz na bezpečnost (celková koncepce, FW), podpora QoS, připravenost na budoucí integraci Fibre Channel části DC do IP sítě, připravenost na budoucí nárůst počtu serverů až cca 100 ks ve střednědobém horizontu, možnost připojovat servery s NIC 1GE a 10GE, použití 10GE jako propojovací technologie management nástroje integrovatelné s management nástroji HMP, 100% servis. 10
Filosofie a topologie DC 11
Design a HW Distribuční přepínače 2xCatalyst 6506E Sup 720-10GE VSS 2x8-portové 10GE karty 1x48-portové 10/100/1000 karty Přístupové přepínače 8x3750E pro GE servery 2xNexus 5020 pro 10GE servery Servisní přepínače 2xCatalyst 6506E 2xSup 720-10GE ACE modul FWSM modul Prevence průniku 12
Design a HW Přístupová vrstva Přepínače pro 1GE servery umístění přepínačů top-ofrack v racku vždy stoh dvou 3750E uplink z každého člena stohu, ukončeno na různých šasi VSS Etherchannel Spanning Tree jen jako pojistka proti náhodným smyčkám přepínače pro 10GE servery umístění přepínačů top-ofrack v racku dva přepínače Nexus 5020 13
Design a HW Distribuční vrstva 2xCatalyst 6506E, režim VSS VSS linka je 2x10GE všechny linky vedoucí z VSS jsou dvojité a seskupené v Etherchannel L2 pro serverové VLAN dále pokračují na servisní přepínače L3 pro příchozí provoz z páteře směrovací protokol s PE směrovači 14
Design a HW Servisní vrstva 2xCatalyst 6506E, standalone režim L3 pro serverové VLAN směrovací protokol OSPF ve VRF instanci příslušného servisnímu řetězu L3 pro příchozí provoz z páteře směrovací protokol s OSPF v nativní VRF L2 spoje přes FWSM a ACE mezi nativní VRF a VRF instancemi servisních řetězů 15
Design a HW OOB segment Přepínače pro připojení ilo/ LOM portů serverů Catalyst 2960, 48 portů 10/100 jeden na dva racky Terminálový server pro připojení console portů Cisco 2811, 32 async portů, lze přidat ASA pro oddělení oddělení od DC je ještě řešeno separátní VRF na distribuční vrstvě a odděleným propojem do vlastní MPLS VPN na centrální FW v budoucnu připojíme Internet linku, jejíž použití bude součástí disaster recovery postupů 16
Design a HW Bezpečnost IPS sondy 4270 monitorují provoz z MPLS sítě monitorují i všechny serverové VLAN CS-MARS korelující nástroj pro hlášení ze všech koutů sítě Syslog, SNMP, Netflow, IPS (SDEE) 17
Dohled DC Cisco Works LMS konfigurace síťových prvků dohled prvků performance monitoring Cisco Security Manager konfigurace bezpečnostních zařízení řešení bezpečnostních incidentů Cisco Application Networking Manager konfigurace load balancerů Cisco Secure ACS AAA server pro aktivní prvky 18
Nový model správy Umbrella management Sjednocení subdodavatelů Jednotné SLA pro HMP Jednotné řízení a kontrola přinášejí synergické efekty 19
Děkuji za pozornost Otázky, odpovědi