华为数据中心网络解决方案,助力智能网联汽车(武汉)测试示范区数据中心建设保障业务安全高效运营
武汉开发区是综合实力位居国内前列的国家级开发区,云集东风汽车、神龙公司、东风雷诺、东风本田等知名汽车制造企业,年汽车产能超过200万辆,是中国重要的汽车生产基地。2016年11月,国家工信部与湖北省签署建设“基于宽带移动互联的智能汽车与智慧交通应用示范”项目落户该区,“中国·武汉智能网联汽车示范区”由此成为中国第六个智能网联汽车示范区。
经过前期的规划,武汉智能网联汽车示范区于2019年上半年正式启动实施建设,计划从路侧智能设施设备、测试与应用系统、管理系统等方面开展示范区建设,形成具备开放道路测试、自动驾驶应用、基于5G的智能网联应用和智能交通应用等功能的示范应用。面对如此复杂的应用系统而言,云平台网络架构是整个资源池正常运营的基础,部署后再进行变更会对业务的正常运行造成影响,严重时甚至会导致业务全部中断。因此在选择网络架构时不仅仅要满足当前业务的需求,更要考虑业务3~5年的发展需求。当性能扩容或新业务上线时,应确保物理网络的变更不应对已有业务产生影响。另外,由于其系统的重要性其整个数据中心的安全也是需要着重考虑。
架构合理、分区明确:
云平台的网络架构按照服务类型及安全等级,把整个网络分成不同的业务区块:互联网区、带外管理区、网络服务区、内网区、计算POD区和存储POD区。各区块间通过核心交换机连接在一起,不同类型的流量,通过VRF进行隔离,并通过防火墙进行安全防护。根据各个业务的安全风险与通讯需求,将属性相似的业务划分到同一个网络平面。不同的网络平面具有独立的IP地址规划,任意两个网络平面之间的通讯必须经过防火墙或者网络功能设备转换后互通。
整网广泛采用高性能设备满足目前以及未来各种业务诉求:
核心交换机采用高端数据中心级交换机,其交换容量、背板带宽,单板槽位数都能完全满足业务的发展需求,并提供上行100GE出口,下行100GE出口。防火墙采用40G端口、DDOS、IPS、路由器采用10G端口,整网都具备大带宽,高数据缓存的能力,为目前的数据交换和未来更大规模的数据交换提供了信息基础保障。
安全设计全面:
参考ITU E.408 安全区域的划分原则并结合业界网络安全的优秀实践,对数据中心网络进行安全区域,网络层面的划分和隔离。安全区域内部的节点具有相同的安全等级。从网络架构设计、设备选型配置到运行维护诸方面综合考虑,对承载网络采用各种针对物理和虚拟网络的多层安全隔离,接入控制和边界防护技术,同时严格执行相应的管控措施,确保云安全。
(1)业务平面划分与隔离
为保证租户业务不影响管理操作,确保设备、资源和流量不会脱离有效监管,将其网络的通信平面基于不同业务职能、不同安全风险等级和不同权限需要划分为租户数据平面、业务控制平面、平台运维平面、BMC(Baseboard Management Controller)管理平面、数据存储平面等,以保证关乎不同业务的网络通信流量得到合理且安全的分流,便于实现职责分离。
(2)高级边界防护
高效的多维全栈防护体系也包括多种边界防护措施,主要通过传统网络技术和防火墙实现的安全区域和业务平面的划分与隔离,利用 Anti-DDoS、入侵防御系统 (IPS)和 Web 应用防火墙 (WAF)等多层高级边界防护机制针对不同的威胁和攻击进行有效防范。通过负载均衡器对 TLS加密传输进行解密,多层高级边界防护机制可对 API 网关流量明文进行监控,对攻击执行阻断。#华为作为数字化转型的使能者,致力于把数字世界带入每个人、每个家庭、每个组织,构建万物互联的智能世界。#