本发明专利技术公开了一种数据中心系统。该系统包括:通过二层网络互联的至少两个数据中心子系统,每个数据中心子系统包括多个主机、与多个主机连接的二层交换机、与二层交换机连接的防火墙组、与二层交换机连接的二层扩展设备、分别与防火墙组和二层扩展设备连接的路由设备,至少两个数据中心子系统的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,至少两个数据中心子系统的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,第一虚拟局域网和第二虚拟局域网设置在二层网络上。本发明专利技术解决了相关技术中双活数据中心不能协同工作的技术问题。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种数据中心系统。该系统包括:通过二层网络互联的至少两个数据中心子系统,每个数据中心子系统包括多个主机、与多个主机连接的二层交换机、与二层交换机连接的防火墙组、与二层交换机连接的二层扩展设备、分别与防火墙组和二层扩展设备连接的路由设备,至少两个数据中心子系统的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,至少两个数据中心子系统的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,第一虚拟局域网和第二虚拟局域网设置在二层网络上。本专利技术解决了相关技术中双活数据中心不能协同工作的技术问题。【专利说明】数据中心系统
本专利技术涉及互联网领域,具体而言,涉及一种数据中心系统。
技术介绍
在一些行业中,例如金融行业,数据中心承载了重要的数据信息及生产办公业务。数据中心的可靠性直接关系到业务是否能够持续可靠运行,考虑到停电,地震等因素,一般要建设两地三中心,即在两个相隔比较远的城市建设三个数据中心,一般在一个城市建设两个数据中心,异地再建设一个数据中心,构成两地三中心。同城市的两个数据中心构成双活数据中心,即两个数据中心同时运行,对外提供服务,并互为备份。如图1所示,在现有的数据中心内,防火墙102’可以实现南北向(互联网与主机103 ’之间,需要经过路由1 I’、防火墙102’、交换机103’和主机104’)流量的安全防护和东西向流量(主机之间的跨局域网的三层流量,如局域网105’中的IP为192.168.10.2的主机访问局域网106’中的IP为192.168.20.2的主机的流量,需要经过防火墙处理)的安全防护。为了便于业务在两个数据中心之间的迀移,两个数据中心互联一般采用二层扩展方式(也叫数据中心的大二层)将两个数据中心进行二层互联,即两个数据中心在二层上是互通的,一个虚拟机从一个数据中心迀移到另一个数据中心后不用更改IP地址和路由即可继续不中断地运行和提供相应的业务。如图2所示,为每个数据中心中增加一个二层扩展设备205’,还包括路由器201’、防火墙202’、交换机203’、主机204’、局域网206’和局域网207’,目前数据中心二层扩展有多种方案,例如,0TV(0verlay Transport Virtualizat1n)方案,EVN(Ethernet VirtualNetwork)方案。其原理是让两个数据中心的二层互通,以使同一个局域网的两个主机相互访问时不用感知主机的具体位置,主机在跨数据中心的迀移时不用更改IP地址。同一个局域网在每个数据中心有相同的网关地址,(如,左边数据中心局域网206’的网关是192.168.10.1,右边数据中心的局域网206’的网关也是192.168.10.1),这相当于在同一个局域网中有两个相同的IP地址,如果不做处理的话,会发生IP地址冲突,而二层扩展设备支持对包括指定的IP地址的ARP包进行过滤,实际部署时,可以在二层扩展设备上配置以过滤掉包括网关IP地址的ARP包,这样,网关的ARP包就不会跨数据中心转发。每个数据中心的防火墙部署与单数据中心是一致的,但两个数据中心进行二层扩展互联后,如果两个数据中心的防火墙之间独立而不协同工作的话,是不能正常工作的。这是因为在两个数据中心二层互联情况下,主机之间跨局域网且跨数据中心的访问存在非对称路由,即对于同一个会话,一个防火墙只能接收到一个方向的流量。由于防火墙需要做基于状态的检测,如果不能接收到同一个会话的两个方向流量则不能对数据包进行正确的处理。如,以左边数据中心中局域网206,的IP为192.168.10.2的主机(简称主机A)访问右边数据中心中局域网207,的IP为192.168.20.4的主机(简称主机B)为例,主机A向主机B发送一个TCP SYN包,需要依次经过左边数据中心的交换机、防火墙,再由防火墙返回至交换机,经过交换机、二层扩展设备、路由器之后,到达右侧数据中心,再经过右侧数据中心的路由器、二层扩展设备和交换机后到达主机B,主机B收到TCP SYN包后会回送一个TCP SYNACK包,需要依次经过右侧数据中心的交换机和防火墙,再由防火墙返回至交换机,经过交换机、二层扩展设备、路由器之后,到达左侧数据中心,再经过左侧数据中心的路由器、二层扩展设备和交换机后到达主机A,左侧数据中心的防火墙只处理了TCP SYN包的发送,右侧数据中心的防火墙也只处理了TCP SYN ACK包的发送,其相当于两侧的防火墙只接收到了单方向的数据包,这种情况下,防火墙的安全处理功能是不能正常工作的,主机A和主机B再次发送的数据包则会被防火墙丢弃。针对相关技术中双活数据中心不能协同工作的技术问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种数据中心系统,以至少解决相关技术中双活数据中心不能协同工作的技术问题。根据本专利技术的实施例,提供了一种数据中心系统,该系统包括:通过二层网络互联的至少两个数据中心子系统,每个数据中心子系统包括多个主机、与多个主机连接的二层交换机、与二层交换机连接的防火墙组、与二层交换机连接的二层扩展设备、分别与防火墙组和二层扩展设备连接的路由设备,至少两个数据中心子系统的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,至少两个数据中心子系统的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,其中,第一虚拟局域网和第二虚拟局域网设置在二层网络上。进一步地,在至少两个数据中心子系统的任一数据中心子系统中,防火墙组包括一个或多个防火墙,每个防火墙的业务接口配置有第一 MAC地址、第二 MAC地址以及第三MAC地址,其中,第一 MAC地址用于与任一数据中心子系统内的设备通讯时使用,第二 MAC地址用于与其他数据中心子系统内的设备通讯时使用,第三MAC地址用于转发非对称路由的数据包时使用,防火墙的业务接口与业务通道连接。进一步地,每个防火墙的业务接口配置有第一 IP地址和第二 IP地址,第一 IP地址用于与任一数据中心子系统内的设备通讯时使用,第二 IP地址用于与其他数据中心子系统内的设备通讯时使用。进一步地,在二层扩展设备的配置文件中,配置有用于过滤以第一MAC地址为源MAC地址和/或以第一 IP地址为源IP地址的数据包的信息。进一步地,防火墙每隔预设时长,以第一MAC地址为源地址发送免费ARP包。进一步地,同步信息包括心跳包,至少两个数据中心子系统的防火墙组通过同步通道交换心跳包,其中,在预设时间段内,若从防火墙组未接收到主防火墙组中所有防火墙发送的心跳包,则将从防火墙组中的之一切换为主防火墙组。进一步地,同步信息还包括全局配置信息,在主防火墙组与从防火墙组交换心跳包后,在从防火墙组与主防火墙组的全局配置不相同的情况下,将主防火墙组的全局配置信息传输至从防火墙组,以使从防火墙组的全局配置与主防火墙组的全局配置相同。进一步地,同步信息还包括会话信息和会话状态,在至少两个数据中心子系统中的任意两个数据中心子系统的防火墙建立会话连接后,通过同步通道传输会话信息和会话状态,其中,任意两个数据中心子系统中建立会话连接的数据中心子系统的防火墙的会话状态为第一状态,另一个数据中心子系统的防火墙的会话状态为第二状态。进一步地,在至少两个数据中心子系统中的任本文档来自技高网...
【技术保护点】
一种数据中心系统,其特征在于,包括:通过二层网络互联的至少两个数据中心子系统,每个所述数据中心子系统包括多个主机、与所述多个主机连接的二层交换机、与所述二层交换机连接的防火墙组、与所述二层交换机连接的二层扩展设备、分别与所述防火墙组和所述二层扩展设备连接的路由设备,所述至少两个数据中心子系统的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,所述至少两个数据中心子系统的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,其中,所述第一虚拟局域网和所述第二虚拟局域网设置在所述二层网络上。
【技术特征摘要】
【专利技术属性】
技术研发人员:蒋东毅,杨启军,尚进,束林扬,
申请(专利权)人:山石网科通信技术有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。