思科税务数据中心 思科政府行业机会点 解决方案 刘旭辉 V 1.0 刘旭辉 1 目录 中国税务信息化发展概述 思科税务数据中心网络建设方案 思科税务数据中心方案建设案例 2 “e-tax” evolution---“金税工程”的演进 Goal 私有云 Phase I I I “金税私有云” 资源虚拟化,绿色IT, 多部门协调办公, 和谐电子税务征纳服务。 Phase I I Phase I 金税工程三期 金税工程二期 金税工程一期 开始于20世纪80年代, 办公自动化(OA)工程。 07-08开始的多业务融合应用,建设 全新高速网络平台,确立“一个平台, 一级处理”,并完善一级灾备,统一应 用系统、全面建设“一级生产网络”。 开始98年,开发了税务综合征管应用 系统,完善了税务系统的执法功能。全 国税务系统大量WAN、LAN建设,完成首 张全国骨干网。 3 “金税工程”广域网基本完成 吉林 /2004 新疆 /2004 黑龙江 /2004 内蒙/2004 天津 辽宁 /2006 /2005 北京 大连 /2009 /2007 河北 宁夏 山东 河南 /2010 /2005 /2007 /2005 陕西 安徽 江苏 /2005 /2005 /2009 历经两次广域网 建设高峰,网络延伸 至全国乡镇节点。 青海/2005 西藏/2006 DC成为当前 建设重点! 四川 /2006 云南/ 2005 湖北 /2007 浙江 /2006 湖南 江西 贵州/ /2006 /2005 上海 2005 /2007 广西 深圳 /2010 /2007 海南 /2006 图例: 省份/广域网改造完成时间 4 数据大集中全国全面铺开—“CTAIS成功推广” “DC is hot !” 税务DC建设刚刚起步 广域网平台进入全面高速时期 如何建?简单 购买硬件? OR搭建新架构? 5 税务信息化平台建设愿景—建设和谐电子税务“征纳”平台 Person Social security 纳税个人 Industry and commerce ministy 工商部门 社会保障 Bank customs 海关部门 e-TAX 银行部门 电子税务信息化 硬件平台 Public security 公安部门 Civil affairs 民政部门 其它部门 6 目录 中国税务信息化发展概述 思科税务数据中心建设方案 思科税务数据中心方案建设案例 7 税务数据中心建设思考 税务数据中心如何建设? 先从业务着手、、、 8 税务业务分类 税务服务器 实时性、可靠性要求中 分层部署、集群方式、双机互备或单机 实时性、可靠性要求低 单机或者冷备 培训系统 测试系统 实时性、可靠性要求低 分层部署、集群方式、双机备份方式,没有单点故障 综合办公 税务决策应用 人力资源 支持管理 财务管理 运维管理应用 监察监督 教育培训 政府采购管理 后勤管理 国际情报交换 征管(含查询) 防伪税控 税控收款机 货运发票管理 交叉稽核 协查系统 车购税管理 个人所得税 出口退税 税务互联网 12366纳税服务 短信平台 多元化申报 税库银 安全认证 网络应用 9 业务特点1—“突发性” 8小时内为主 每月7、8、9 三天流量高峰 流量突发性强 突发流量占整体 90% 大集中下业务 适时性加强 税收业务占所有业务的70%,其中主要是征管业务,在8小时内发生,且 在每月的7、8 、9三天流量集中突发,三天流量占据本月的90%。 10 业务特点2----“数据共享、全面外联” 11 业务特点3—“分区分域部署、业务规划各自独立” 互联网 电子政务网络 前置机 数据库 通信 负载均衡 系统 纳税人服务系统 外部信息系统 通信 文件 应用 数据库 认证 CA认证系统(核心安全系统) 邮件 WEB 内网认 证系统 外网认 证系统 网关 目录 数据中心网络接入层 业务处理系统 内部网络应用系统 基础网络应用系统 日志 DNS 文件 数据利用 分拆系统 综合征管 防伪税控 稽查稽核 出口退税 WEB服务 器 应用服 务器 数据库 服务器 运行维护系统 数据库 ITSM 事件集成 应用 运维受理 数据归档 行政管理系统 增值网络应用系统 税收执法 综合办公 人事、、 WEB服务 器 应用服 务器 应用支撑系统 数据库 服务器 EmaIl 知识库 消息中间件 数据中心SAN网络 系统 SAN网络 12 业务流量模型---省级/国家级集中 国干 省局 GE 征管业务服务器群 WAN WAN 10M---20M 10M---20M 10M---20M GE 地市局 数据中心 GE WAN 8M---10M WAN 8M---10M FE 区县局 2M WAN 2M WAN 8M---10M FE FE FE 2M 还是集中 2M 2M 2M 集中 2M 分局及 税务所 国税系统:国家一级大集中 地税系统:省级大集中 南海灾备中心(一级灾备) 13 What about networks do ? 外联接入网络 互联网接入网络 针对外部单位网 络接入的前置系统 部署 不同单位网络路 由隔离 双层异构安全 访问控制 通用安全性建设 保证机密、敏感信 息安全 业务连续性保证 7×24小时的便民 服务 应用优化打造高 效的政务处理 广域连接网络 路由快速汇聚 高密接入 流量控制 网络管理 应用服务区 数据中心核心区 研发测试接入网络 集成安全 负载均衡 集群互联 冗余 多层应用架构 高密接口 高速的数据 交换 扩展性 突发流量承载 最小授权的访 问控制 生产数据的 保护护及操作 审计 局域网接入模块 虚拟化技术提 升维护能力 网络的性 能如何衡量 局域网接入 的扩展能力 系统管理区 网络服务 语音、视频和呼叫 中心等多业务的QOS 保证 MAIL、FTP、DNS 等服务的安全性 新增服务的扩展性 任务很多: 扩展性 一站式解决维 护问题 带外管理,业 务与管理分离 统一维护性 节能减排 避免重复性投资 还要、、 DC方案如何设计?? 答案: 架构、虚拟化 14 目录 国税数据中心建设概述 国税数据中心网络建设方案 现状分析 思科税务数据中心方案建设案例 15 然而,面临挑战、、、 如今税务信息化应用趋势对现有IT架构提出挑战 高速网络 智能、资源化平台 新一代税务数据中心 /灾备中心 统一架 构、 FCOE 16 然而,面临挑战、、、 如今税务信息化应用趋势对现有IT架构提出挑战 优化网络设计 基于业务的虚拟 化设计 数据中心资源化 cloud 17 目录 税务数据中心建设概述 税务数据中心基础平台建设方案 架构演进 思科税务数据中心方案建设案例 18 数据中心的发展趋势 The New World Order and Your Data Center 当前架构: ‘Silo Architecture’ 未来发展: Web 2.0/SOA Model Silo’d IT 资源 满足各个行业业务信息化的可持续发展能力 低使用率/能耗效率低 虚拟化服务提供 分支 ‘mini data centers’ 根据需要分配资源和弹性扩展能力 烟筒式 协作式 19 数据中心网络组网发展技术趋势 数据中心网络融合: IP,SAN,HPC 虚拟系统总线 管理网络 计算服务器 前端网络 网络备份 Unified Fabric 网络服务资源 Unified Fabric 存储网络 计算网络 服务器 Unified Fabric and I/O • 计算虚拟化 • 存储虚拟化 • 网络虚拟化 存储库 Utility Network 20 数据中心新技术 Standards Data Center Bridge(DCB) Wire speed 10GE L2 Access Switch LAN LAN Virtualization Networking FCoE SAN A SAN B LAN MAC A LAN MAC B A&B C Active-Active Nexus End nodes Access Layer N5000 Nexus MAC A High performance, low latency, cost competitive 10GE access connectivity Enables Lossless Ethernet and significantly greater Data Center scale Consolidation of network resources reduces equipment and delivers Lower cost, power, cooling MAC B MAC C Increased, security operational agility, and better utilization of network assets Eco System Partners 21 思科数据中心统一交换架构: 为下一代数据中心打造的统一交换以太网架构 税务DC现状 SAN Management & Control LAN Unified Fabric Primary Network Unified Fabric SAN Router Secondary Network HPC/Server farm Increased Efficiency, Simpler Operations 22 数据中心基础网络新平台 思科Nexus 系列 在数据中心技术的研发投 入超过10亿美元 在数据中心方面的技术有 1513 个专利 传输接口灵活性 Nexus 为数据中心提供 Unified Fabric 和I/O 多个产品采用一致的数 据中心操作软件 Cisco Nexus 运行持续性 系统扩展性 23 目录 税务数据中心建设概述 思科税务数据中心网络建设方案 统一交换基础平台设计 思科税务数据中心方案建设案例 24 思科Data Center 3.0技术战略 新一代的数据中心 数据中心 级操作系统 统一交换 系统可扩展性 • Multi-Protocol • Cisco DCE • 10G Density • Modular Design • FCoE • 40/100G Readiness • Continuous Systems Ops. • Consistent & Focused Features • Device & Cable Reduction • Fabric scalability w/ Multipathing • Low Latency • Active –Active links (STP Elimination) 无处不在 的安全 • Roles Based Access Control • Link Layer Encryption • Integrated Packet Analysis 统一管理机构 虚拟化 服务器 交换 • Open XML API for all CLI parameters • Consistent Network Policy • Consistent Device MGMT Platform • Efficient use of servers & storage • DC wide service provisioning • Improved VM performance, mobility & security (Physical or Virtual) 25 思科Data Center 3.0解决方案 虚拟化平台 统一计算平台 统一交换网络平台 存储网络 网络服务 服务器接入网络 SAN N7000 DCE统 一交换 虚拟化 N5000 平台 MDS 9000 应用交付 V V V V V V V V N1000 服务器 存储 计算CBS3100 平台 安全 ASA WAAS E-mail Security C49xx C6500 N5000 N7000 网络 平台 N7000 ACE VPN DC LAN GbE/10GbE 数据中心管理 Data Center Network Manager– Topology Visualization and Provisioning 数据中心服务和最佳实践 Cisco 服务和支持 ANM– Advanced L4-7 Services Module Management Cisco Data Center Assurance Program 26 思科税务大集中数据中心“统一交换平台”设计 “ Putting IT All Together ” Nexus 7000 LAN SAN Nexus 5000 Unified Access Layer Direct Attach 10GE Nexus 2000 Nexus 2000 Nexus 2000 Unified Fabric (NAS/FCoE) Support for all 10GE Solutions Virtual Machine Connectivity w/ Nexus 1000V & VN-Link 1GE Rack Mount Servers 10GE Rack Mount Servers 1 & 10GE Blade Servers w/ Pass-Thru 10GE Rack Mount Servers 27 税务数据中心“统一交换平台”的先进性 Ethernet Fibre Channel Traffic Distributed Access Fabric • Fabric Extender Technology • 100M, 1G & 10G Capable • FCoE & VN-Link Support • FabricPath Unified Fabric HPC & L2 Enhancements VN-Link • LAN/SAN Consolidation • Low Latency Switching • Nexus 1000V • Converged Network Adapters (CNAs) • Virtual Port Channel (VPC) • Network Interface Virtualization (NIV) • High Performance Server Interconnect • FabricPath • Port Profiles Solution Benefits • 10:1 reduction in managed devices • No cross-rack cabling • Form-Factor & MGMT optimized • Reduces number of physical ports, adapters, cables, switches at access layer • Moves Fibre Channel into the economic model of Ethernet • Accelerate IO intensive applications • Policy based VM connectivity & security • Eliminate logical Layer 2 loops • Mobility of network policy • Massive bisectional bandwidth • High Performance VM IO • Maintains logical LAN/SAN mgmt model Powered by Cisco NX-OS Data Center Operating System 28 基于统一交换平台的业务隔离设计(生产与其他业务) 征管 金税工程 MPLS LSP Scalable Multi-path Fabric Fabric Path Workload Mobility Pod-N Pod-A Scalable Multi-path Fabric Fabric Path MPLS L2 L2 Core Aggregation Aggregation Pod-A VRF B Edge VRF A Secure Segmentation VRF B VRF A VRF B VRF A Secure Segmentation VRF B Core VRF A MPLS Edge Pod-N 29 税务系统同城数据、灾备中心二层互联(迁移) Live migration of VMs from one data center to another 举例:税务总局数据中心下一步迁移参考方案 OTV Data Center A Data Center B Ethernet Extension Long Distance VMotion 羊坊店DC Nexus 7000 Any Transport Nexus 7000 枣林前街DC 使得征管科技、信息中心、灾备中心的应用迁移变得简单! 第一数据中心、第二数据中心、灾备中心=一个数据中心! 30 Cisco Nexus Data Center Portfolio Industry Leading Technologies and Solutions Nexus 7018 Nexus 7010 Nexus 5020 Nexus 5548 Nexus 5010 Nexus 4000 Nexus 2232 Nexus 1010 Nexus 2248 Nexus 7010/7018 Nexus 1000V Nexus 2224 DCNM NX-OS Compute Access-Aggregation Aggregation/Core 31 目 录 税务数据中心建设概述 税务数据中心基础平台建设方案 虚拟化 思科税务数据中心方案建设案例 32 数据中心从应用“独占资源” 向“共享资源”转变 用户接入 单独的 应用系统 单独的 应用系统 网络 单独的 应用系统 数据中心 网络 计算资源池 存储资源池 共享的应用服务 独立的专用 存储分离的 数量众多的 主机模式 高端服务器模式 机架及刀片式服务器 共享的服务导向模式 标准化资源组成“共享池” 根据需求以构筑 数据中心的“虚拟化”基础架构 33 数据中心虚拟化目标 数据中心正在经历整合、虚拟化到自动化的演变。通过虚拟化技 术实现节能高效的绿色数据中心 用户交互模块 整合或者共享物理资产来提高利用率 虚拟服务器 Stand-By IT资源服务总线 (ESB) 虚拟服务器 虚拟服务器 虚拟服务器 减少物理设备,电缆,空间,电力与制冷 快速部署以及重部署资源以符合业务发展目标 根据应用需求让物理IT资源可以流动起来! 智能化网络结构 Business Functions 应用 服务器处理 ? ? I/O ? 存储 ? 资源池 服务器 服务器 服务器 服务器 34 网络虚拟化是解决问题的重要途径 虚拟机集群 服务器池 存储 分区存储池 网络虚拟化平台 网络 交换调度 桌面 瘦客户机 虚拟桌面 3535 思科税务数据中心虚拟化解决方案 前端数据中心虚拟化 组件虚拟化 IDS/IPS,VRF,VDC、防火墙 交换系统虚拟化 VPC Nexus N:1 提供更好的网络 扩展能力 网络虚拟化 VPN,MPLS/VPN,VLAN,Vnet OTV 网络服务虚拟化 应用加速、L4-L7交换机,安全服务, 广域网优化技术 服务器和后端存储虚拟化: 存储虚拟化与统一IO: DCE:数据中心以太网,Unified IO/FCoE 服务器及桌面虚拟化: Vmware/Vnlink:服务器虚拟化 VDI技术:虚拟化桌面技术 36 思科数据中心前端虚拟化技术之:组件虚拟化 组件虚拟化说明:把一个物理设备划分成多 个逻辑单元,在网络中共享 网络业务 组件化 组件虚拟化技术实现 传统的路由器和交换机技术:VRF,VLAN 新一代的Nexus产品虚拟化技术:VDC 安全和L4-L7层设备虚拟化技术:虚拟防 火墙、虚拟IDS/IPS,虚拟ACE VDC 2 SAN虚拟化:VSAN技术 VDC 4 组件虚拟化的使用场合和特点: 物理资源充分利用,减少投资成本和物理设 备 为端到端的网路虚拟化提供基础保障; 虚拟化能提高灵活性和网络效率,降低资 本和运营开支 VDCs 虚拟防火墙 虚拟IPS VLANs VSAN 虚拟ACE 税务数据中心只有一套物理网络资源,组件虚拟化可以很好简化 网络结构,实现生产业务与办公业务的逻辑隔离和端到端安全。 37 思科税务数据中心前端虚拟化:基于应用的虚拟化 Applicati on n Security Services Applicati on 2 Aggregation Security Services Integrated Services Switch Security Services Web Application Appliatio n 1 Shared Infrastructure Services Database 网络:端到端的路径分开,无论是在三层还 是二层链路下。包括设备的VPN技术,比如 MPLS VRF等 应用:每个应用区甚至每个应用都有自己的 业务服务设施,比如:防火墙、IDS、负载均 衡器、SSL加速、……应用服务 38 思科税务数据中心虚拟化解决方案 前端数据中心虚拟化 组件虚拟化 IDS/IPS,VRF,VDC、防火墙 交换系统虚拟化 VPC Nexus N:1 提供更好的网络 扩展能力 网络虚拟化 VPN,MPLS/VPN,VLAN,Vnet OTV 网络服务虚拟化 应用加速、L4-L7交换机,安全服务, 广域网优化技术 服务器和后端存储虚拟化: 存储虚拟化与统一IO: DCE:数据中心以太网,Unified IO/FCoE 服务器及桌面虚拟化: Vmware/Vnlink:服务器虚拟化 VDI技术:虚拟化桌面技术 39 数据中心网络整合路线 40 不远的将来:Unified I/O (FCoE) 清晰的发展演变方向-网络融合 FC HBA SAN (FC) LAN (Ethernet) FC HBA NIC SAN (FC) CNA SAN (FCoE) LAN (Ethernet) CNA NIC LAN (Ethernet) CNA = Converged Network Adapter 10 Gbps Ethernet Lossless Ethernet: Matches the lossless behavior guaranteed in FC by B2B credits Ethernet jumbo frames Max FC frame payload = 2112 bytes 41 数据中心FCoE的应用 FC over Ethernet (FCoE) 益处 FCoE 在以太网架构上映射FC帧 使得 FC 运行在一个无损的 数据中心以太网络上 一次连接服务器:光纤存储和 以太网共享同一个端口 更少的线缆和适配器 软件配置 I/O 与现有SAN环境可以互操作 Ethernet No Gateway—stateless Fibre Channel 42 思科税务数据中心虚拟化解决方案 前端数据中心虚拟化 组件虚拟化 IDS/IPS,VRF,VDC、防火墙 交换系统虚拟化 VPC Nexus N:1 提供更好的网络 扩展能力 网络虚拟化 VPN,MPLS/VPN,VLAN,Vnet OTV 网络服务虚拟化 应用加速、L4-L7交换机,安全服务, 广域网优化技术 服务器和后端存储虚拟化: 存储虚拟化与统一IO: DCE:数据中心以太网,Unified IO/FCoE 服务器及桌面虚拟化: Vmware/Vnlink:服务器虚拟化 VDI技术:虚拟化桌面技术 43 数据中心服务器后端虚拟化技术 服务器资源虚拟化愿景:数据中心的应用迁移、整合 DC 2 IB APP WAN BackBone Vmotion Application Configure Across DC VSAN Image Hypervisor Allocate Configure Configure Available L2 Services Network & Server Services IB APP Trading APP DC 1 DC 2 Resource Pool 44 数据中心服务器后端虚拟化技术 服务器虚拟化技术发展 Hypervisor Full Virtualization 例如 VMware ESX server Microsoft HyperV Xen (with AMD-SVM or Intel VM-T) Hypervisor Para-Virtualization 例如 Xen (with traditional hardware) Application Virtualization 例如 VMware server VMware workstation Oracle VM server Virtuallron (hardware-assisted) 45 数据中心服务器后端虚拟化技术 把网络交换延伸到服务器VM 挑战: VMotion • VMotion可以跨网络地动态迁移 VM,管理策略如何适应 • 无法察看本地交换流量和为其设 定策略 • 无法识别一条物理链路上多个虚 拟机的流量 VLAN 101 解决方案:Cisco VN-Link技术 •把网络延伸到服务器VM •提供一致的连接服务 •协调、统一的管理 46 数据中心服务器后端虚拟化技术 VN-Link 技术示意 Cisco VN-Link —Virtual Network Link 基于策略的虚拟机连接 网络与安全属性的移动性 Server Server VM #1 VM #2 VM #3 不间断的运行模式l VM #4 VM VM#1 #5 VM VM#2 #6 VM VM#3 #7 VM VM#4 #8 Cisco VN-Link VMW ESX VMW ESX VMs Need to Move VMotion VN-Link Property Mobility DRS Vmotion for the network SW Upgrade/Patch Ensures VM security Hardware Failure Maintains connection state Virtual Center 47 VMOTION等新应用模式带来的网络挑战 解决方案-Nexus OTV支持 Vmotion/ DRS 需要虚拟机应用从一个L2区域平滑移动到另一个L2区域 利用Nexus组成具备OTV特性的虚拟机服务器集群Block OTV(Overlay Transport Virtualization) 延伸L2通过L3边界 Nexus 7000 汇聚层+ Nexus 1000V访问层=完善的解决方案 IP Cloud L3 L3 L2 L2 POD POD POD POD Inter-Pod LAN Extension: Inter-DCs LAN Extension: Subnets are extended over L3 boundaries: Extension of predefined VLANs/subnets STP domains remain isolated to each pod Containment of fault domains at pod level VLAN Extension over Metro/WAN Cloud: VLAN/subnet Extension comparable to inter-Pod Pod L2 Domains remain isolated Access to POD subnet is controlled by IGP 48 数据中心服务器后端虚拟化技术 Cisco和合作厂商合作:VMware合作为例 VMware是x86虚拟化领域的领 导厂商,拥有出色、高质量的产 品和一系列最为丰富的虚拟化解 决方案,覆盖从桌面到数据中心 的广泛领域,在该领域的市场占 有率最高,收入最大。 Cisco和 VMware 展 开合作 2005/2006 Cisco是全球网络和通信领域公认的 领先厂商,也是建立网络的中坚力量 ,其提供的解决方案构成了世界各地 成千上万的公司、大学、企业和政府 部门的信息通信基础设施,用户遍及 电信、金融、制造、物流、零售等行 业以及政府部门和教育科研机构等。 •Cisco和VMware签署合作协议 •Cisco在VMware投资1.5亿美金 •同VMware一起宣布VFrame •开始联合解决方案的开发 2007 •联合解决方案的市场推广 2008 49 目 录 税务数据中心建设概述 税务数据中心基础平台建设方案 最佳实践-(best practice ) 思科税务数据中心方案建设案例 50 思科税务大集中数据中心设计---解决STP、提高效率 vPC Primary S1 Peer-switch S1 S2 vPC2 S3 S4 Physical representation Root Peer-switch S2 S,0,S vPC1 S5 Root vPC Peer-link Root Root vPC Secondary vPC Primary vPC Secondary S6 S5 S3 S4 Logical representation S6 The two vPC peers send the same information: they look like a single root bridge STP is not run on the peer link (no root port on peer link) 51 思科税务大集中数据中心设计--数据中心迁移设计(l2tpv3) 基于IP资源构建二层通道,方便数据中心之间的迁移、过渡办公。 对于现有网络环境要求低。 RFC 3931 52 思科税务大集中数据中心设计--数据中心迁移设计(OTV) OTV利用最基础的IP可达,实现二层的端到端互联。 并可以实现点到多点等多种拓扑结构,有组播的环境要求。 OIF-List 1 Lookup Group IF Gs Gd OTV Overlay IPs Gs Multicast-enabled Transport IPs Gs IP A Gd 3 Transport Replication OTV IP B IP A Gd IPs Gs IP A Gd Source IPs Gs 2 4 IP A IPs Gs Receiver Decap 5 Encap 数据中心1 IP C OTV IP s Gs 数据中心2 4 IP A Gd IPs Gs Decap 5 Receiver 灾备中心1 两地三中心:数据中心存在过渡迁移的需求,新老数据中心之间的业务分工等。 53 目 录 税务数据中心建设概述 税务数据中心基础平台建设方案 绿色数据中心 思科税务数据中心方案建设案例 54 数据中心的能耗 Losses in power generate heat 机房空调 服务器/存储 50% 数据中心的能耗 26% 电源转换 11% 网络 10% 照明 3% Each watt consumed by IT infrastructure carries a “burden factor” of 1.8 to 2.5 for power consumption associated with cooling, Source: APC conversion/distribution and lighting* 55 构建税务绿色数据中心网络 绿色、节能,IT网络的新主题! 设计 器件 智能 架构 56 目 录 税务数据中心建设概述 税务数据中心基础平台建设方案 思科税务数据中心方案建设案例 57 思科DC产品典型客户(Nexus Customers) Enterprise Commercial Service Provider Public Sector All of the Installations are significant deployments of Nexus 58 思科DC产品全球部署(Nexus Customers) 2.5 Years of Shipments 2,500+ Customers 9,000+ Chassis Shipped 59 私有云 60 61