当前位置:首页 >> 信息与通信 >>

吉通上海公司IDC方案项目建议书

http://www.5ixue.com (海量营销管理培训资料下载)

第二章 网络方案

1

概述
如下图是整个 IDC 的建设框架,本章将阐述网络框架的建设以及网络管理。

IDC建设框架
电子商务服务 应用服务 托管服务 增值服务

系统架构 网络架构 结构化布线系统 机房工程 Internet宽带连接 Internet宽带连接 UPS配电 UPS配电 供电系统

网络架构运行在布线系统,供电系统等基础系统之上,同时为主机系统和应 用系统提供平台。 而在横向结构上, IDC 的网络运行离不开网络管理和运营维护。 网络架构的可靠,稳定,高效,安全,可扩展,可管理性将直接关系到上层的主 机系统和应用系统,也将直接关系到 IDC 业务的顺利开展和运行。总之,网络 架构是 IDC 建设框架中重要而又承上启下的一环,网络系统的设计是否完善将 直接影响到 IDC 建设的质量。 IDC 网络架构的整体设计框架如下图所示。

2-1

网络及系统管理

运营维护

http://www.5ixue.com (海量营销管理培训资料下载)

IDC网络架构
后台 连接服务 端到端安全 端到端私用网络 网站服务加速 网站内容推送 突发拥挤保障 内容分段复制 基于IP, URL, Cookie的负载均衡 语言和终端设备优化 跨地域负载均衡
Committed Access Rate 服务类别(COS) Private VLAN

内容 传送服务

运行管理 运行管理 运行管理 运行管理

专业服务 专业服务 专业服务 专业服务

内容 交换服务
Internet

连接服务 高级 安全服务 基本托管服务

专用防火墙、 专用防火墙、专用入侵探测 安全审计 网站托管(共享) 网站托管(独占) 主机托管

IDC 的业务将包含接入业务,空间出租业务,托管业务,管理业务和增值业 务。本章将在介绍 IDC 网络设计的同时,阐述每个设计要点对 IDC 业务的影响 和重要性。因为上图中整个 IDC 建设框架的最终目的是为了 IDC 业务的开展和 拓展,在这个框架的每个部分都必须贯穿为 IDC 业务开展服务的宗旨。 本章将从托管服务,网络安全,Internet 连接,内容交换,内容传送,后台连 接和网络管理等方面具体阐述 IDC 网络解决方案对 IDC 业务的针对性设计。

2

托管服务
IDC 的基本业务包括网站托管(Web hosting)和主机托管(Co-location)两

大类。其中网站托管分为共享式和独享式两种。由于其业务模式的不同,使得其 在对网络设计时的要求也不相同。以下分别给出基于两种不同模式时的网络全 貌。

2-2

http://www.5ixue.com (海量营销管理培训资料下载)

Basic Hosting Services

网站托管 网站托管 基本 托管服务 (共享) (独占)

主机托管

2.1

基于主机托管的 IDC 网络全貌

主机托管是 IDC 初期为其用户提供的一种基础服务。 网站及企业用户自身拥 有若干服务器,并把它放置在 IDC 的机房里,由客户自己进行维护。 主机托管业务的特点:投资降低,用户可使用已购买的服务器等设备,无需 再作设备投资,并且可采用 IDC 提供的线路。 该业务适合于自身有较强的网络运行维护经验并在数据中心建立之前已投 入人力物力建设了网站设备的大型企业用户。如著名的 Yahoo、eBay、Amazon。 com 都采用了主机托管业务。 提供主机托管业务的 IDC 向其用户提供的业务主要包括与 Internet 网的连接 以及提供独立安全的场地,这样对于 IDC 而言在进行网络设计时必须考虑提高 网络连接的速度及可靠性,从而为用户提供高质量的服务。 对主机托管业务, IDC 可为客户提供 n x 100M 或者千兆独占带宽的电信级专 业机房租用服务,包括 随时可扩充的独占带宽 UPS 不间断电源保障 24 小时实时摄像监控

2-3

http://www.5ixue.com (海量营销管理培训资料下载)



电源控制系统 保安系统 消防系统

以及可选的机柜出租: 标准电信级机柜:高 2M、深 1M 或 1。2 米、宽 19 英寸 每台机柜提供独立电源控制 高速以太网接口 独立风扇设备

基于主机托管业务 IDC 的网络全貌如下图所示,网络分为 Internet 连接层、 核心层和服务器接入层。

主机托管(Colocation)
IDC控制中心 后台管理平台 Terminal Server NMS
PSTN/DDN /VPN…

用户管理中心

运维区

.Com 1
服务器接入层

.Com 2
托管区

核心层

Internet连接层 连接层

骨干区

Internet

在提供主机托管服务给用户时,IDC 服务提供商将负责提供 Internet 连接层、 核心层、分布层及服务器接入层的设备并保障其稳定运行。用户则需要自己负责 服务器以及包含防火墙等在内的内部网络。有关网络各层的描述,请参见后续相 应章节。

2.2

基于网站托管的 IDC 网络全貌

网站托管是 IDC 经过发展后而开展的一项业务。 用户采用 IDC 提供的服务器

2-4

http://www.5ixue.com (海量营销管理培训资料下载)

来存放数据,运行软件。总体来讲数据中心的硬件设备主要包括:服务器阵列、 网络设备(路由器、交换机)、机房控制设备、防火系统、备用电源、空调设施 等。数据服务中心的建设除了必须具有一定面积的机房和相当数量的服务器外, 还必须对运维管理、安全系统、监控等设施、工具和专业服务进行深入的考虑。 提供网站托管业务的 IDC 向其用户提供的业务主要包括网络设施及网站托 管,这样对于 IDC 而言在进行网络设计时必须考虑以下要素: 提高服务器及 Web 应用的可访问性,这需要网络具有内容识别 (Content Aware)的功能 为方便租用主机的用户易于控制及管理其主机内容,提供相应的管理 平台。 2.2.1 独享式网站托管

IDC 为用户提供专用主机,这更适合于具有复杂业务的站点。专用主机可以 为这些关键应用提供高质量、安全的服务。对于这种业务模型,用户将其服务器 包给了数据服务中心经营者,用户不必拥有计算机、网络方面的技术人员而享受 数据服务中心所提供的全套专业服务。 为了保证服务质量,获得相应的高增值服务费用,IDC 服务经营者通常与用 户制定 SLA(Service Level Agreement)。运营者遵照 SLA 上规定的条例保证服 务的不间断、丢包率、网络响应时间。经营者通过提供例如:平台设计、服务监 控、服务品质测试、网络安全管理和缓存等项增值服务加强市场竞争力。 对中小型网站而言,无论是从运营维护的角度,还是对整体业务收入而言, 与场地租用的服务相比,独享主机服务更能吸引 IDC 的经营者。根据用户需求 的不同,我们可以定义单机,双机集群或包括数据库服务器的独享主机服务包。 其他作为独享主机托管服务的一部分还应包括: 电信级高品质机房环境和设备 可靠的供电系统 恒温恒湿控制系统 19 英寸标准机架 10M/100M 共享或独占接口

2-5

http://www.5ixue.com (海量营销管理培训资料下载)

2.2.2

独立 IP 地址 服务器配置 服务器系统软件安装、调试 24×7 网络系统管理维护与技术支持 24 小时实时的服务器运行状态、流量监测 详细的访问统计报告 紧急状况的处理 共享式网站托管

又可称为虚拟主机业务,是指在一种 Internet 的网站工作环境下,IDC 的网 络服务器可以容纳许多相互独立的多个网站和 Email 系统, 并且由 IDC 提供管理 维护服务。而每一位客户可以有条件地访问和控制服务器上的一小部分,从而用 来构建自己的网站。 虚拟主机依托于一台服务器,多个网站可以在这台服务器上共享资源(硬盘 空间、 处理器以及内存空间) 单独的一台服务器上可以同时运行多个虚拟主机。 , 虚拟主机是一种初级的网络系统方案,其用途主要是容纳一些中小型企业应 用以及静态网页。在商业网站发展的早期阶段,是系统采取的主要解决方案。其 业务需求的前提如下: 建设网站系统需要高额的硬件费用; 缺乏维护这些系统的有经验的专家; 网站比较简单; 交互应用程序较少; 网络带宽的限制。

现在 Internet 上很多网站都采用虚拟主机系统方案。虚拟主机业务市场将会 随着这个产业的发展而不断调整与变化,不断地满足如小型企业、社会团体以及 其它仅需要一种简单的网页系统的需求。但由于这种业务模式的技术难度不大, 所需投资较小,竞争也比较激烈,利润也较低。 在 IDC 网络建设初期,虚拟主机业务为服务提供商提供了巨大的市场机遇, 而且它是实施其他增值服务(例如应用托管业务)的基础。

2-6

http://www.5ixue.com (海量营销管理培训资料下载)

共享式网站托管是深受中、小企业欢迎的一个价廉物美的服务,内容包括: 国际、国内域名代理申请 URL 域名解析 FTP 访问及其密码修改 断点续传支持 CGI/Perl 支持,专用 CGI-BIN 目录 Active X/VB Script 支持 JAVA Applet/Class 支持 防火墙保护 服务器 24 小时不间断运行 WEB 设计服务 WEB Counter 计数器 Banner 广告条 搜索引擎 Email 自动转发、回复及邮件列表支持

IDC 可根据用户对以上功能的选择及对存储空间的要求,定义成不同级别的 服务包提供给最终用户。 在基于网站托管业务 IDC 的网络全貌如下图所示, 网络分为 Internet 连接层、 核心层、分布层、服务器接入及后台管理平台。

2-7

http://www.5ixue.com (海量营销管理培训资料下载)

网站托管(Web Hosting)
IDC控制中心 Terminal Server 后台管理平台 IDC客户中心 用户管理中心 NMS
PSTN/DDN /VPN…

运维区

服务器接入层 Switch 100M HUB

托管区
10M HUB

增值服务层

Firewall 核心层 Cache Server Intrude Detector Vulnerability Scanner Bandwidth Controller

Internet连接层 连接层

骨干区

Internet

在提供网站托管业务时,IDC 服务提供商需提供并管理所有各层的设备,对 于 IDC 的用户是完全透明的,从而用户可以专注于其业务而无需负责任何系统 的管理。对于网络结构中各层的详细描述,请参见后续相应章节。

3

网络安全

2-8

http://www.5ixue.com (海量营销管理培训资料下载)

安全服务

Private VLAN

高级 安全服务

专用防火墙 专用的入侵监测 安全审计

网站托管 网站托管 基本 托管服务 (共享) (独占)

主机托管

众所周知, 作为全球使用范围最大的信息网, Internet 自身协议的开放性极大 地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上 对安全问题的忽视,以及在使用和管理上的无政府状态,逐渐使 Internet 自身的 安全受到严重威胁,与它有关的安全事故屡有发生。对网络安全的威胁主要表现 在:拒绝服务、非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运 行、利用网络传播病毒、线路窃听等方面。这就要求我们对与 Internet 互连所带 来的安全性问题予以足够重视。 IDC 以 Internet 技术体系作为基础,主要特点是以 TCP/IP 为传输协议和以浏 览器/WEB 为处理模式。所以我们在 IDC 的设计中必须充分重视安全问题,尽可 能的减少安全漏洞。此外,我们还应该根据 IDC 的客户需求提供不同的安全服 务,同时最大限度的保证 IDC 网络管理中心(NOC)自身的安全。

3.1

IDC 的安全需求

我们把对于 IDC 的安全需求分为三类: 分别是 IDC 基本服务, 增值服务, IDC IDC NOC。 对于 IDC 基本服务的安全需求如下: AAA 服务,提供认证,授权及审计的功能

2-9

http://www.5ixue.com (海量营销管理培训资料下载)



防 Dos 黑客攻击功能 线速 ACL 功能

对于 IDC 增值服务的安全需求如下: AAA 服务,提供认证,授权及审计的功能 防 Dos 黑客攻击功能 线速 ACL 功能 防火墙及防火墙平滑切换功能 入侵检测功能 漏洞检测功能 线速 NAT

对于 IDC NOC 的安全需求如下: 3.1.1 AAA 服务,提供认证,授权及审计的功能 防 Dos 黑客攻击功能 线速 ACL 功能 防火墙及防火墙平滑切换功能 入侵检测功能 漏洞检测功能 线速 NAT ACL 的策略管理 安全元件的策略管理 VPN AAA 服务

所谓 AAA 是(Authentication、Authorization、Accounting)的缩写,即认证、 授权、记帐功能,简单的说: 认证:用户身份的确认,确定允许哪些用户登录,对用户的身份的校验。 授权:当用户登录后允许该用户可以干什么,执行哪些操作的授权。 记帐:记录用户登录后干了些什么。 AAA 功能的实施需要两部分的配合:支持 AAA 的网络设备、AAA 服务器。

2-10

http://www.5ixue.com (海量营销管理培训资料下载)

RADIUS/TACACS+是实施 AAA 常用的协议,认证软件需要有完整的记帐功能, 并且可以将 USER 信息直接导入软件的用户数据库,极大方便的 AAA 服务的用 户管理。 在使用 AAA 的功能后用户通过网络远程登录到网络设备上的基本过程如 下: 用户执行远程登录命令(例如:Telnet),网络设备提示输入用户姓名、口 令。 用户输入口令后,网络设备向 AAA 服务器查询该用户是否有权登录。 AAA 服务器检索用户数据库,如果该用户允许登录则向网络设备返回 PERMIT 信息和该用户在该网络设备上可执行的命令同时将用户登录的时间、IP 作详细记录;若不能在用户数据库中检索到该用户的信息则返回 DENY 信息, 并可以根据设置向网管工作站发送 SNMP 的警告消息。 当网络设备得到 AAA 的应答后,可以根据应答的内容作出相应的操作,如 果应答为 DENY 则关闭掉当前的 SESSION 进程;如果为 PERMIT 则根据 AAA 服务器返回的用户权限为该用户开启 SESSION 进程,并将用户所执行的操作向 AAA 服务器进行报告。 通过 AAA 的实施我们可以方便的控制网络设备的安全性, 同时结合 ACL 的 设置限制能够进行远程登录的工作站的数量、 地址降低网络设备受到攻击的可 IP 能性。 3.1.2 防 DoS 黑客攻击

在拒绝服务(DoS)攻击中,恶意用户向服务器发送多个认证请求,使其满 负载,并且所有请求的返回地址都是伪造的。当服务器企图将认证结果返回给用 户时,它将无法找到这些用户。在这种情况下,服务器只好等待,有时甚至会等 待 1 分钟才能关闭此次连接。当服务器关闭连接之后,攻击者又发送新的一批虚 假请求,以上过程又重复发生,直到服务器因过载而拒绝提供服务。 分布式拒绝服务(DDOS)把 DoS 又向前发展了一步。DoS 攻击需要攻击者 手工操作,而 DDOS 则将这种攻击行为自动化。与其他分布式概念类似,分布 式拒绝服务可以方便地协调从多台计算机上启动的进程。在这种情况下,就会有

2-11

http://www.5ixue.com (海量营销管理培训资料下载)

一股拒绝服务洪流冲击网络,并使其因过载而崩溃。

DDOS 工作的基本概念如图所示。黒客(client)在不同的主机(handler)上 安装大量的 DoS 服务程序,它们等待来自中央客户端(client)的命令,中央客 户端随后通知全体受控服务程序(agent),并指示它们对一个特定目标发送尽 可能多的网络访问请求。该工具将攻击一个目标的任务分配给所有可能的 DoS 服务程序,这就是它被叫做分布式 DoS 的原因。 实际的攻击并不仅仅是简单地发送海量信息,而是采用 DDOS 的变种工具, 这些工具可以利用网络协议的缺陷使攻击力更强大或者使追踪攻击者变得更困 难。首先,现在的 DDOS 工具基本上都可以伪装源地址。它们发送原始的 IP 包 (raw IP packet),由于 Internet 协议本身的缺陷,IP 包中包括的源地址是可以 伪装的,这也是追踪 DDOS 攻击者很困难的主要原因。其次,DDOS 也可以利用 协议的缺陷,例如,它可以通过 SYN 打开半开的 TCP 连接,这是一个很老且早 已为人所熟知的协议缺陷。为了使攻击力更强,DDOS 通常会利用任何一种通过 发送单独的数据包就能探测到的协议缺陷,并利用这些缺陷进行攻击。 防范攻击的措施 1。 过滤进网和出网的流量 网络服务提供商应该实施进网流量过滤措施, 目的是阻止任何伪造 IP 地址

2-12

http://www.5ixue.com (海量营销管理培训资料下载)

的数据包进入网络,从而从源头阻止诸如 DDOS 这样的分布式网络攻击的发生 或削弱其攻击效果。 2。 采用网络入侵检测系统 IDS 当系统收到来自奇怪或未知地址的可疑流量时,网络入侵检测系统 IDS (Intrusion Detection Systems)能够给系统管理人员发出报警信号,提醒他们及 时采取应对措施,如切断连接或反向跟踪等。 3。 具体措施 在路由器和 Web 交换机上, 它将丢弃下列类型的数据帧: 此外, 对于 HTTP 数据流,WEB 交换机必须在 HTTP 流启动后的 16 秒内接 受一个有效的帧,否则它将丢弃这个帧并中断这个流; 对于 TCP 数据流,WEB 交换机必须在 16 秒内接受一个返回的 ack, 否则它将终止这个 TCP 流; 对于任意尝试过 8 次以上 SYN 的数据流, WEB 交换机将终止这个流, 并且停止处理同样 SYN,源地址,目的地址及端口号对的数据流。 在核心交换机上我们可以用线速的 ACL 来达到上述类似的帧丢弃策略,我 们还可以用 CAR 的方法对 ping 及 SYN 的数据流进行带宽控制,以预防 DDOS 的攻击。 长度太短; 帧被分段; 源地址与目的地址相同; 源地址为我们的内部地址,或源地址为子网广播地址; 源地址不是单播地址; 源地址是环回地址; 目的地址是环回地址; 目的地址不是有效的单播或组播地址

2-13

http://www.5ixue.com (海量营销管理培训资料下载)

3.1.3

漏洞检测

漏洞检测(Vulnerability Scanner)就是对重要计算机信息系统进行检查,发 现其中可被黑客利用的漏洞。 漏洞检测的结果实际上就是系统安全性能的一个评 估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。 安全扫描服务器可以对网络设备进行自动的安全漏洞检测和分析,并且在实 行过程中支持基于策略的安全风险管理过程。另外,互联网扫描执行预定的或事 件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、Web 服务器、防火墙和应用程序的检测,从而去识别能被入侵者利用来进入网络的漏 洞。 安全扫描服务器同时能进行系统扫描。系统扫描通过对企业内部操作系统安 全弱点的完全的分析,帮助组织管理安全风险。系统扫描通过比较规定的安全策 略和实际的主机配置来发现潜在的安全风险,包括缺少安全补丁、词典中可猜的 口令、不适当的用户权限、不正确的系统登录权限、不安全的服务配置和代表攻 击的可疑的行为。系统安全扫描还可以修复有问题的系统,自动产生文件所有权 和文件权限的修复脚本。 安全扫描服务器能提供实时入侵检测和实时报警。当收到安全性消息时,图 形用户界面上相应的主机状态颜色和安全性消息组的图标都应有相应变化, 以帮 助操作人员快速地确定报警的原因和范畴。 3.1.4 入侵检测

入侵检测(Intrude Detection)具有监视分析用户和系统的行为、审计系统配 置和漏洞、 评估敏感系统和数据的完整性、 识别攻击行为、 对异常行为进行统计、 自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱 骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自 己的系统。实时入侵检测系统解决方案,用于检测、报告和终止整个网络中未经 授权的活动。它可以在 Internet 和内部网环境中操作,保护整个网络。 入侵检测系统包括两个部件: Sensor 和 Director。Sensor 不影响网络性能, 它分析各个数据包的内容和上下文,决定流量是否未经授权。如果一个网络的数 据流遇到未经授权的活动,例如 SATAN 攻击、PING 攻击或秘密的研究项目代

2-14

http://www.5ixue.com (海量营销管理培训资料下载)

码字,Sensor 可以实时检测政策违规,给 Director 管理控制台转发告警,并从网 络删除入侵者。 基于网络的实时入侵检测系统,能够监控整个数据网络,需要是具备最新攻 击检测功能的稳健的全天候监控和应答系统,能在本地、地区和总部监视控制台 之间指导和转发告警的分布式入侵检测系统。 同时需要能够允许部署大量 Sensor 和 Director 的可伸缩的体系结构,在大型网络环境中提供全面的覆盖面,与现有 网络管理工具和实践平滑集成的入侵检测系统。 入侵检测系统通常具有的关键特性包括: 对合法流量/网络使用透明的实时入侵检测 对未经授权活动的实时应对可以阻止黑客访问网络或终止违规会话 全面的攻击签名目录可以检测广泛的攻击,检测基于内容和上下文的 攻击 支持广泛的速度和接口类型,包括 10/100 Mbps 以太网、令牌环网和 FDDI 告警包括攻击者和目的地 IP 地址、 目的地端口、 攻击介绍以及捕获的 攻击前键入的字符 3.1.5 适合特大规模分布式网络的可伸缩性 专用 VLAN

IDC 环境是一个典型的多客户的服务器群结构,每个托管客户从一个公共的 数据中心中的一系列服务器上提供 Web 服务。这样,属于不同客户的服务器之 间的安全就显得至关重要。 一个保证托管客户之间安全的通用方法就是给每个客 户分配一个 VLAN 和相关的 IP 子网。通过使用 VLAN,每个客户被从第 2 层隔 离开,可以防止任何恶意的行为和 Ethernet 的信息探听。然而,这种分配每个客 户单一 VLAN 和 IP 子网的模型造成了巨大的扩展方面的局限。这些局限主要有 以下几方面: VLAN 的限制:LAN 交换机固有的 VLAN 数目的限制 复杂的 STP: 对于每个 VLAN, 一个相关的 Spanning-tree 的拓扑都需 要管理

2-15

http://www.5ixue.com (海量营销管理培训资料下载)



IP 地址的紧缺:IP 子网的划分势必造成一些地址的浪费 路由的限制:如果使用 HSRP,每个子网都需相应的缺省网关的配置

在一个 IDC 中,流量的流向几乎都是在服务器与客户之间,而服务器间的横 向的通信几乎没有。 Cisco 在 IP 地址管理方案中引入了一种新的 VLAN 机制, 服 务器同在一个子网中,但服务器只能与自己的缺省网关通信。这一新的 VLAN 特性就是专用 VLAN (private VLAN,pVLAN)。这种特性是 Cisco 公司的专有 技术,但特别适用于 IDC。 专用 VLAN 是第 2 层的机制, 在同一个 2 层域中有两类不同安全级别的访问 端口。与服务器连接的端口称作专用端口(private port),一个专用端口限定在 第 2 层,它只能发送流量到混杂端口,也只能检测从混杂端口来的流量。混杂端 口(promiscuous port)没有专用端口的限定,它与路由器或第 3 层交换机接口相 连。简单地说,在一个专用 VLAN 内,专用端口收到的流量只能发往混杂端口, 混杂端口收到的流量可以发往所有端口(混杂端口和专用端口)。 下图示出了同一专用 VLAN 中两类端口的关系。
1 IP Subnet

X

X

X

X

X

X

X

Access Ports

Promiscuous Port

专用 VLAN 的应用在多客户的数据中心是非常有效的,因为 IDC 的网络中, 服务器只需与自己的缺省网关连接,一个专用 VLAN 不需要多个 VLAN 和 IP 子 网就提供了这样的安全连接。在这一模型中,所有的服务器都接入专用 VLAN,

2-16

http://www.5ixue.com (海量营销管理培训资料下载)

从而实现了所有服务器与缺省网关的连接,而与专用 VLAN 内的其他服务器没 有任何访问。目前,Cisco 的 Catalyst Switch 6000/6500 系列交换机支持专用 VLAN。

4

Internet 连接
作为 IDC 网络与公共 IP 骨干网络的接口,Internet 连接层提供了 IDC 与公共

IP 网的桥梁,它的运行情况直接关系到 IDC 为其用户所提供的服务的质量,这 就要求该层的设备必须具有以下的特点: 高速的路由交换能力 对各种高级路由协议(如 BGP 等)的全面支持 具备丰富的接口类型 完善的 QOS 支持能力 在 Internet 连接层配置高端路由器,使用高速连接到 IP 骨干网,并以全冗余 方式与核心层互连。 借助于这些高端路由器的高性能及丰富的特性, 提供全冗余、 高速、高性能网络核心。

Internet 连接服务

Internet

连接服务

服务类别 (COS) 带宽管理 骨干接入

Private VLAN

高级安全服务 基本托管服务

专门的防火墙、专门的入侵探测 专门的防火墙、 安全审计 网站托管(共享)
网站托管(独占)

主机托管

2-17

http://www.5ixue.com (海量营销管理培训资料下载)

4.1

骨干接入

作为 IDC 网络与公共 IP 骨干网络的接口,Internet 连接层提供了 IDC 与公共 IP 网的桥梁,它的运行情况直接关系到 IDC 为其用户所提供的服务的质量,这 就要求该层的设备必须具有以下的特点: 高速的路由交换能力 对各种高级路由协议(如 BGP 等)的全面支持 具备丰富的接口类型 完善的 QOS 支持能力 在 Internet 连接层配置高端路由器,使用高速连接到 IP 骨干网,并以全冗余 方式与核心层互连。 借助于这些高端路由器的高性能及丰富的特性, 提供全冗余、 高速、高性能网络核心。

4.2

带宽管理

在 IDC 的业务中,通常针对提供不同的带宽收取不同的费用,所以带宽管理 成为 Internet 连接中提供服务质量的重要保证。 4.2.1 识别网络流量

IDC 的带宽管理需要支持多种协议和应用程序,并且可以根据自己的需要, 自行设定相应的标准来区分更多的类型。可以通过应用、服务、协议、端口数、 URL 或通配符(用于 Web 通信)、主机名称、优先权、以及 IP 或 MAC 地址对 通信量进行分类。只有这样才能对用户提供完善的带宽管理机制。 像 HTTP、 FTP 和 Telnet 这样的 IP 协议, 以及像 SNA、 NetBIOS 和 AppleTalk 这样的非 IP 协议,带宽管理都应该能自动识别,并根据用户的需要进行有效的 处理。例如,你可以将 SAP/R3 通信量根据一个特定客户式特定服务器隔开,使 TN3270 交互式通信量与打印通信量分开,甚至把一个 H。323 视频会议的数据 信道和控制信道区分开来。

2-18

http://www.5ixue.com (海量营销管理培训资料下载)

4.2.2

保证应用性能

带宽管理需要保证关键的和交互式的应用获得其所需要的带宽,同时限制普 通应用对带宽的需求。每种通信类型映射到一项特定的带宽分配政策上,确保每 种通信类型得到一个适当的带宽。 速率政策(Rate policies)限制或保证每个单独对话的带宽,抑制那些贪婪的 应用通信,或者保护对时延敏感的流量。比如,一个 HTTP cap 会使 Web 游览避 免使用他人的带宽。而且获得保证的音频或视频流动速率,避免出现恼人的不稳 定性。速率政策是为应用提供没有被使用的带宽,所以,昂贵的带宽从不会被浪 费。 4.2.3 测量、 测量、分析和生成报表

网络管理员在制订一项带宽管理策略之前及之后必须分析其网络应用通信 的模式,以测量其是否成功。带宽管理将跟踪平均和高峰通信量水平,计算在重 新传输上所浪费的带宽比例,突出最主要用户和应用程序,并且测量性能。网络 总结以及特定上下文的报表提供了对网络趋势的轻松访问。 响应时间特征允许你 测量性能,设置可接受性标准,并跟踪响应质量是否坚持了标准。 4.2.4 流量控制和监视控制

IDC 的带宽管理是非常复杂的业务和技术控制,所以,需要一个简单易用的 进行操作的管理界面。通过这一界面,网络管理员可在任何时候、任何地方,通 过网络来配置、控制和监控带宽分配情况。 4.2.5 轻松部署

硬件带宽管理器通常位于网络瓶颈上,通常在路由器和核心交换机之间。为 了网络性能的考虑,带宽管理器需要与现有的网络顺利集成,不需要任何新的协 议或者重新配置路由器,也不需要修改拓朴结构和桌面。它不能是一个网络故障 点,如果带宽管理器发生故障或者被关掉,它需要会像一根电缆一样发挥作用。 用于 IDC 的硬件带宽管理器在当前市场上主要有 Alteon 公司、Packeteer 公司和 Intel 公司的带宽管理器。

2-19

http://www.5ixue.com (海量营销管理培训资料下载)

利用路由器和交换机的特定 QOS(Quality of Service)技术,也能实现带宽 管理。比如 Cisco 公司的 CAR(Committed Access Rate)技术。 对本地带宽管理也可以通过四层交换机来实现。Foundry,Alteon 和 Cisco 公 司的四层交换机都支持本地带宽管理。

5

内容交换
内容交换提供数据流的负载均衡以提高 IDC 的网络性能, 特别是服务器的响

应性能。内容交换同时对应用层的数据提供适当的控制以满足应用的要求,比如 对 SSL(Security Socket Layer)连接的控制。这在本节将有具体阐述。

内容交换服务
基于IP的负载均衡 URL 负载均衡 Cookie 负载均衡 语言优化 终端设备类型优化 跨地域负载均衡
Committed Access Rate 服务类别(COS) Private VLAN

内容 交换服务

连接服务 高级 安全服务 基本托管服务

Internet

专用防火墙、专用入侵探测 专用防火墙、 安全审计 网站托管(共享)
网站托管(独占)

主机托管

5.1

基于 IP 的负载均衡

数据中心的服务提供商除了向客户提供一些基本的主机托管和网站托管服 务外,还需要提供一些更高级别的增值服务来吸引用户、拓展市场。作为数据中 心托管用户的主体,例如 ICP 网站、电子商务网站、企业网站等,它们托管或租 用在数据中心的大部分服务器都是基于 Internet TCP/IP 协议的应用服务器,例如

2-20

http://www.5ixue.com (海量营销管理培训资料下载)

WWW 服务器、FTP 服务器等。对于这些用户而言,如何保证这些关键服务器的 高可靠性、高可用性和可扩展性是非常重要的。因此,如果数据中心的服务提供 商能够给客户提供这种高可用性服务,就可以像保险公司的保险费一样,来向客 户收取一定的增值服务费用!并且对数据中心的各种类型用户都带来好处:对主 机租用用户来讲,他们的服务器硬件本身都是租用数据中心的,因此自然希望数 据中心能够对服务器系统的可用性提出更高的保证;对主机托管用户来讲,尽管 服务器是自身携带的,但是除了极少部分大的网站有资金、有技术能力来自行解 决关键服务器系统的高可用性问题外,大多数的网站并不具备这样的条件,他们 希望数据中心服务提供商能够作为他们的 Virtual IT 部门,能够给他们提供一个 完善的解决方案。 下面我们以数据中心中最为普遍的服务-WWW 服务为例,来详细讲解如何 实现 Internet 服务的高可用性,即关键服务器系统的高可用性。 以前作为一个网站通常采用的方式是 WWW 服务器由一台硬件配置非常高 的 UNIX 服务器来担当,尽管成本昂贵,但这样做仍然不能保证它的可靠性、可 用性、可维护性:一是因为一台服务器仍作不到硬件级的完全容错,保证不了可 靠性;二是因为一台服务器的网络带宽有限,保证不了可用性;三是因为当这台 服务器进行硬件或软件升级时,不可避免地要中断 WWW 服务,保证不了可维 护性。 基于上述原因,人们提出了 DNS 轮询方案(DNS-Round-Robin)试图解 决 WWW 服务的可用性问题,即多台 WWW 镜像主机在 DNS 中对应同一域名, 当用户访问 WWW,要求 DNS 服务器解析域名时,DNS 服务器按 DNS 请求的 先后顺序把域名依次解析成其中一台 WWW 主机的 IP 地址,从而把任务平均分 担到数台 WWW 主机上,来提高 WWW 服务的整体性能。它的优点是:实现简 单、实施容易、成本低;但是,它的缺点也非常明显:不是真正意义上的负载均 衡,DNS 服务器将 HTTP 请求平均地分配到后台的 WWW 服务器上,而不考虑 每个 WWW 服务器当前的负载情况;如果后台的 WWW 服务器的配置和处理能 力不同,最慢的 WWW 服务器将成为系统的瓶颈,处理能力强的服务器不能充 分发挥作用; 另外未考虑容错, 如果后台的某一台 WWW 服务器出现故障, DNS 服务器仍会把 DNS 请求分配到这台故障服务器上,导致对客户端的不能响应。

2-21

http://www.5ixue.com (海量营销管理培训资料下载)

而这最后一个缺点是致命的,有可能造成相当一部分客户不能访问 WWW 服务, 并且由于 DNS 缓存的原因,造成的恶劣后果要持续相当长一段时间(一般 DNS 刷新周期约 24 小时)。 此外,还有一些基于群集(Cluster)技术的软件解决方案来保证 WWW 服务 的高可用性。 它的通用做法是通过在操作系统的基础上安装操作系统厂商的群集 软件或第三方的群集软件(绝大多数支持 WWW 服务的群集),例如 Microsoft Cluster Server、Turbo Linux、Cluster Server 等,来做到应用级的互为备份或负载 平衡。互为备份(Active/Standby)方式下,其中一台服务器缺省处于活动状态 (Active/Primary),而另一台处于睡眠状态(Standby/Backup),当主服务器系 统死机或应用不能正常服务时,备份服务器会自动变成活动状态,从而接管原主 服务器的任务,保证应用能够继续服务。负载平衡方式下,可以有多台服务器, 每一个服务器都承担一定的应用。它们之间即可以互为备份,也可以有专门一台 备份服务器,它在群集正常时不承担任何任务,但是当群集中的某一台服务器发 生故障时,它会自动激活,从而接管故障服务器的任务。但是,它也存在以下缺 点:安装、配置复杂,难于维护和管理;群集软件与服务器的硬件平台和操作系 统密切相关,不能做到设备无关性和无缝升级;实现负载平衡的算法简单,一般 是根据轮询(Round Robin),有些 WWW 群集软件可支持设定权重(Weighting) 算法,但权重(weighting)是人为设定,并不能客观反映每一台服务器的 HTTP 请求响应能力以及当前负载情况; 与硬件实现方案 (Layer4 的负载平衡交换设备) 比较起来,性能较低,另外支持的 Web Site 的规模较小(WWW 服务器最多可 以到 16 台);不能实现 HTTPS 等特殊应用的负载平衡(这是因为在 HTTPS 应 用中,客户端和服务器端要进行身份验证、交换证书和密钥,所以客户端和服务 器端应一一对应,同一客户的请求应由同一台服务器来处理)。当然更为重要的 一点是,作为数据中心的托管用户,他们往往不希望数据中心服务提供商在他们 的服务器上安装任何软件! 正因为上述的解决方案存在这样或那样的问题,因此,随着 Internet 技术的 发展,出现了基于应用、甚至基于内容的负载平衡设备,即我们通常所说的第四 层、第七层智能负载平衡设备。它们通过硬件技术或专用的 ASIC 芯片来实现 WWW 等应用服务器的负载均衡和高可用性解决方案。通过这种技术可以提高

2-22

http://www.5ixue.com (海量营销管理培训资料下载)

WWW 服务器的整体处理能力,并提高整个服务器系统的可靠性、可用性、可维 护性、可扩展性,保证 WWW 服务质量的 QOS,提供基于 URL、基于内容的交 换(当采用第七层负载平衡设备时),最终用一组低处理能力、低实现成本的主 机提供大规模、高性能、可扩展的 WWW 服务。 以下是关于采用第四层负载平衡设备实现 WWW 服务的负载平衡的一般介 绍: 在第四层负载平衡设备上设置 WWW 服务的虚拟 IP 地址 (Virtual IP Address) , 这个虚拟 IP 地址是 DNS 服务器中解析到的 WWW 服务器的 IP 地址,对客户端 是可见的。当客户访问此 WWW 应用时,客户端的 HTTP 请求会先被第四层负 载平衡设备接收到,它会基于第四层交换技术实时检测后台 WWW 服务器的负 载, 根据设定的算法进行快速交换, 交给当前最可用、 负载最轻的服务器来处理。 常见的算法有以下几种:轮询(Round Robin)、权重(Weighting)、最少连接 (Least connection)、随机(Random)、响应时间(Response Time)等。通过 这种技术可将大量的、并发性的用户请求分配到多个服务器来处理,从而降低单 个服务器的负载,避免服务器的死机或响应延迟过大!另外,这种负载平衡设备 还可以几乎实时地检测到后台服务器的硬件、操作系统、网络甚至应用级别的状 态,从而避免客户的请求被失效的服务器处理。

5.2

应用负载均衡

第七层应用负载平衡设备是近一、两年才出现的最新技术,它主要用于实现 WWW 应用的负载平衡和服务质量保证。 它与第四层负载平衡设备比较起来: 第 七层负载平衡设备不仅能检查 TCP/IP 数据包的 TCP、 UDP 端口号 (Transportation Layer),从而转发给后台的某一个服务器来处理,而且它能从会话层(Session Layer)以上来分析 HTTP 请求的 URL,根据 URL 的不同将不同的 HTTP 请求交 给不同的服务器来处理(可以具体到某一类文件,甚至某一个文件),甚至同一 个 URL 请求可以让多个服务器来响应以分担负载(当客户访问某一个 URL,发 起 HTTP 请求时,它实际上要与服务器建立多个会话连接,得到多个对象- Object,例如。txt/。gif/。jpg 文档,当这些对象都下载到本地后,才组成一个完 整的页面)。

2-23

http://www.5ixue.com (海量营销管理培训资料下载)

5.3

跨地域负载均衡

前面讲述的都是关于如何在本地局域网实现 WWW 等应用服务器的负载平 衡, 那么如何实现应用服务器的广域网上的负载平衡, 从而保证应用的冗灾备份, 以及如何有效的根据客户的地域分布、 广域网络的连通状态或延迟时间来将客户 定向到他们最适合访问的站点呢?这些都涉及到广域网的负载平衡技术(Global Server Load Balance),常见的广域网负载平衡产品都是基于 DNS 重定向原理来 实现的,即当客户访问某一个网站时,例如 www。mysite。com 时,客户的关于 这个网站的 DNS 域名解析请求会被这个广域网的负载平衡设备来处理,而这个 广域网的负载平衡设备会基于客户端的 IP 地址范围、客户端与各节点的网络延 迟、各节点的状态及负载等参数,然后根据一定的算法来判断那个节点最适合用 户访问,从而将这个节点的 IP 地址或 VIP 地址返回给客户。常见的广域网负载 平衡算法有:轮询(Round-Robin)、加权轮询(Weighted Round-Robin)、 随机(Random)、最少连接数(Least Connection)、最低 CPU 利用率(Lowest CPU Utilization)、HTTP 重定向(HTTP Redirection)等。

5.4

Cookie 和 SSL 会话的连接锁定

为了使得一个电子商务的事务成功,客户必须被锁定到指定的服务器上直到 事务完成。保持到一个服务器持续的连接,称为“锁定”,这是任何创造利润的 电子商务 WEB 站点的关键。 Web 交换机可以读到分布在多个包中的 Cookie 并有能力识别一个 Cookie。 Cookie 可以由 Web 交换机内部产生或在服务器上产生。一旦 Cookie 被设定,用 户的浏览器就被透明地刷新。可以产生 Cookie 对电子商务站点基于 Cookie 使流 量具有优先级是有益的。如果进入一个请求并且提供了一个 Cookie,用户的优 先级字段就会决定那个服务器群接受请求。如果没有提供 Cookie,请求要么被 送到认证服务器,要么交换机内部产生一个新的 Cookie。这个请求就有一个有 优先级设置的 Cookie,这个优先级会把用户定向到合适得服务器群。 保护基于 Web 的商务的最常用的方法就是使用流行的 SSL(Secure Socket Layer)协议。SSL 是端到端的加密机制,是当今 Web 商务加密的主要方法。

2-24

http://www.5ixue.com (海量营销管理培训资料下载)

基于 SSL 会话 ID 维持持续性优化了电子商务的商务完整性,保证了安全和 性能的均衡。在一个安全的事务中,Web 交换机维持从用户 Cookie(购物)到 SSL 会话 ID(结帐)的转化。这一点很关键,因为 Cookie 处于为进行 SSL 事务 而加密的 HTTP 头部,所以维持锁定连的 Web 交换机不能读到。用户浏览器与 服务器之间开始的 SSL Hello 消息含有一个空的会话 ID 字段(如果要建立一个 新的 SSL 会话)或上一次客户使用得 SSL 会话。但是,这并不是下面的电子事 务使用的 SSL 会话 ID。作为客户 Hello 消息的响应,服务器挑选一个新的会话 ID 并把自己的带有会话 ID 的 Hello 发回到客户端。 CSS 交换机在服务器的 Hello 中检测到这个新的 SSL 会话 ID 并把请求路由到这一时刻最合适的服务器。后续 的有这个会话 ID 的请求都将被转到同一台服务器。 为了优化资源,当一个会话在一个定义的时间段处于休止状态后,Web 服务 器会终止这个会话。当几分钟没有操作后,服务器会做超时处理,释放这个会话 ID。当用户发送一个新的请求时,服务器把它作为一个新用户处理,会建立一个 新的会话。如果用户填了一个很长的表格,比如抵押申请或信用证明,那么所有 刚填写的信息都会丢失,必须重新来过。 Web 交换机解决方案为加密会话提供锁定连接, 不仅提高了效率和用户满意 度, 也显著地减少了服务器上应用的压力。 由于建立会话的握手会涉及交换公钥, 会产生计算资源的最大的消耗。 通过截取会话 ID 并透明地重建失败的会话, Web 交换机除去了一个连接失败后为建立新会话而做的处理复杂的谈判任务。

6

内容传送

2-25

http://www.5ixue.com (海量营销管理培训资料下载)

内容传送服务
内容 传送服务 网站服务加速 网站内容推送 突发拥挤保障 内容分段复制
基于IP, URL, Cookie的负载均衡 语言和终端类型优化 跨地域负载均衡
Committed Access Rate 服务类别(COS) Private VLAN

内容 交换服务

连接服务 高级 安全服务 基本托管服务

Internet

专用防火墙、 专用防火墙、专用入侵探测 安全审计 网站托管(共享) 网站托管(独占) 网站托管(独占) 主机托管

6.1

网络加速

Web Cache 技术是把大多数经常被访问的内容存放的距客户更近从而提高了 Web 的访问速度。Web cache 可以在企业的 Internet 接入处配置,在接入设备和 ISP POP 中骨干链路之间,或在 ISP 网络之间的边缘。

有许多的 Web cache 实现方法,包括代理、透明的以及反向代理 cache。每 一种技术的区别在于在 Web 服务器访问途径的什么地方配备和需要进行配置的 多少。 Cache 能力定义为一个对象可以被的潜力。 Web Cache 只能 cache 静态的内容, 如 gif、jpg 和 PDF 等。有一些类型的 Web 的内容是不能被 Cache 的,比如动态 的内容,包括 CGI 脚本、RealAudio、ASP、加密的文件或与 cookie 有关的象 shopping cards 等。Internet 专家证实,当今 40~50%的 Internet 内容是动态的。 Web Cache 的效率是用最大 cache 命中率和最低可能的请求/响应延时来衡量的。 Cache 的命中率受一系列因素的影响,包括工作负载、内存和磁盘大小、内容老 化算法等。

2-26

http://www.5ixue.com (海量营销管理培训资料下载)

6.1.1

透明 Caching

在透明代理 Caching(Transparent Caching)环境中,Cache 对于浏览器是透 明的,浏览器不需要配置指向 Cache。用户的请求经过网络设备路由到 Cache, 比如经过路由器上的策略过滤、远程的访问服务器或通过使用特殊用途的 Web Cache 前端设备,如 Web 交换机。 6.1.2 代理 Cache

在代理 Cache (Proxy Caching) 环境中, 每个 Web 浏览器都要配置代理 Cache 的 IP 地址,所有用户的请求都会转发到代理。当发起一个内容请求时,每个请 求都会转到代理 Cache 的 IP 地址,不管是对动态或静态内容的请求。如果请求 的内容已经在 Cache 中,那么 Cache 直接把内容发给客户;如果请求的内容不在 Cache 中,请求被送到服务器获取内容,一旦在服务器中找到了所需内容,Cache 响应客户,且如果内容是可 Cache 的,在 Cache 中复制一个 copy。 代理 Cache 的主要的缺点是需要管理的,缺少集中控制,并且不能重新定向 用户绕过当掉的 Cache,而是送到“黑洞”中。 6.1.3 Cache 集群

在一个位置配备多个 Cache 就是 Cache 集群(Cache Clustering)。Cache 集 群提供冗余, 增加了 Cache 的性能合扩展能力。 Cache 集群可以通过把多个 Cache 连接到一个路由器、第 4 层交换机或 Web 交换机上来实现。Cache 集群提供了冗 余,在单个 Cache 失败时起到保护作用。特别是代理 Cache,对单一的 Cache 失 败很敏感。如果一个网络中等 Cache 失败,所有的配置使用它的浏览器都会失去 与 Web 的连接。集群是一个相对于配置后备 Cache 较好的解决方案,因为后者 增加了代理 Cache 管理的复杂程度。 6.1.4 反向代理 Cache

代理和透明的 Cache 是具有代表性的为优化穿越网络的所有 Internet 流量而 配备的。反向代理 Cache(Reverse Proxy Caching,RPC)则是典型的数据中心的 扩展。反向代理 Cache 是 Web 服务器的代理,而不是客户的代理。事实上,反

2-27

http://www.5ixue.com (海量营销管理培训资料下载)

向代理 Cache 对网络来说象是真正的 Web 服务器,DNS 解析 RPC 的 IP 地址而 不是实际的服务器的 IP 地址。 Web 交换机可以为不可 Cache 的 HTTP 请求或不可 Cache 的 TCP 请求(如 SSL)旁路 RPC。交换机旁路 RPC,把最初的 IP 地址信息和包含在流头部的序 列号发往服务器。服务器直接向客户答复,或转发到 RPC 的交换机。两种方法 都不涉及 Cache,它可以集中资源去服务可 Cache 的内容请求。 6.1.5 智能 Cache 旁路

动态内容, 如电子商务的事务、 股票交易、 ASP 以及 CGI 表单, 是不能 Cache 到 Cache 服务器的,只有静态的内容是可以 Cache 的。可以 Cache 的静态的内容 的例子就是 gif、jpeg 和 pdf 文件等。 代理、 透明式和反向代理 Web Cache 把所有客户的请求都推向 Cache 服务器, 这给以产生效益为目的想利用 Web Cache 强行把所有请求 (不管内容) 推向不能 完成请求的服务器的站点造成了很大的问题。Web 交换机具有完成智能 Cache 旁路(Intelligent Cache Bypass)的能力,如果是动态请求可以旁路代理、透明式 或反向代理 Cache 服务器。当不可 Cache 的或动态的 URL 被指向 Cache 时,由 于 Cache 需要判定这个请求的内容不可 Cache,再从源服务器获取内容,然后再 转发给客户,会造成明显的延时。在这种情况下,Cache 基本上变成了瓶颈。 Web 交换机的智能 Cache 旁路能力除去了 Cache 的重新定向动态内容请求的负 担,因此提高了性能。

6.2

动态内容复制

Web 交换机可以设置某些内容的负荷门限,当此内容的访问超过门限,交换 机将动态复制热点内容到备份服务器, 并重定向请求到备份服务器。 由于 Internet 的流量具有很强的突发性,而且具有不可预见性,对于一些大型的网站,经常会 由于这种突发性的大业务量造成服务器的拥塞,从而丢失很多交易量,但是如果 增加服务器,又由于大多数时间没有利用到增加的服务器,造成资源利用率的降 低。 由于 Web 交换机具有这种动态内容复制的能力, 本方案为用户提供了一种灵

2-28

http://www.5ixue.com (海量营销管理培训资料下载)

活有效的方案,即由 IDC 来解决这个问题。Web 交换机根据用户内容的访问量 的大小,动态地扩展用户服务器的能力,当 Web 交换机发现某些申请了这项服 务的用户的某些内容的访问量达到一定的门限时, 交换机将动态复制热点内容到 溢出备份服务器,当发现这些内容的访问量下降以后再将这些内容自动的删除 掉。

7

后台管理

后台连接服务
后台 连接服务 端到端安全 端到端私用网络
网站服务器加速 网站内容推送 访问拥挤保障 内容分段复制 基于IP, URL, Cookie的负载均衡 语言和终端设备优化 跨地域负载均衡
Committed Access Rate 服务类别(COS) Private VLAN

内容 传送服务

内容 交换服务

连接服务 高级 安全服务 基本托管服务

Internet

专用防火墙、 专用防火墙、专用入侵探测 安全审计 网站托管(共享) 网站托管(独占) 主机托管

在建设 IDC 时,可以按照分层的方式将整个网络平台划分为:核心层,分布 层,接入层和后台网络。其中前三层主要承载用户的业务,而后台网络主要提供 各种后台的管理功能。在 IDC 初期建设时,后台管理的重要性不显著,甚至很 多规模较小的 IDC 在刚开始建设时,完全没有考虑到后台管理的问题,但是随 着业务的迅速发展,后台网络的重要性逐渐被认识,因此目前比较成功的 IDC, 都有一个非常完善的后台管理系统。 本解决方案提供了完整的后台管理平台,对于每一个服务器通过两块网卡, 一块连接到前台的接入层,为 Internet 用户提供服务,另一块连接到后台管理系 统的接入交换机。在后台管理平台上,IDC 建立网络管理控制中心完成对整个 IDC 的管理控制,IDC 客户中心为 IDC 的客户提供设备管理平台,数据备份中心

2-29

http://www.5ixue.com (海量营销管理培训资料下载)

为用户提供数据备份。 通过后台管理系统,IDC 能够为用户提供多种管理功能:备份,网络管理和 客户中心服务。

7.1

备份

在后台管理网络上可以通过设置专有的 VLAN(Private VLAN)或者是普通 的 VLAN,以隔离不同用户的服务器。而需要由多个用户共享的资源和服务,则 可以通过 VLAN Trunk 和全通口与各个需要共享资源的服务器通信。因此 IDC 能够根据用户的要求,由一台备份服务器为多个用户提供数据备份,也可以由一 台备份服务器为单独的一个用户提供服务。

7.2

网络管理

由于后台管理系统与前台的网络相互隔离,并且在本方案中对网络的安全性 作了全面的考虑, 例如利用防火墙将前后台隔离, 配置入侵检测和漏洞检测系统, 因此具有很好的安全性。同时由于后台网络不承担业务,带宽也相对充足,因此 IDC 都是通过后台来对服务器和网络设备进行管理。

7.3

客户中心

由于客户将设备托管给 IDC,用户对自己的设备需要定期的检查和管理。目 前 IDC 能够为用户提供多种访问方式,其中 IDC 设置客户中心为用户提供访问 平台, 用户可以在客户服务中心访问自己的网络设备, 与自己的服务器交换信息。 客户中心即可以是由多个用户共享,也可以是由一个客户专有,例如一些网 上银行,他就需要在 IDC 拥有自己专有的管理平台,那么 IDC 就可以为这类用 户提供专有的客户中心。

7.4

数据更新

对于从事网上业务的公司,提供好的内容是业务成功的关键,因此 IDC 的用 户会经常需要对内容进行更新和改进。在用户对服务器进行更新时,对数据的安

2-30

http://www.5ixue.com (海量营销管理培训资料下载)

全性通常会有较高的要求, 因此简单的通过前台来更新服务器对于从事电子商务 的网站是不适用的。所以通过客户中心,或者是通过公网从后台管理系统完成对 服务器的更新和数据交换,是 IDC 通常采用的方法。远程数据更新的方案中提 供全套的端到端的解决方法,包括:远程拨号;专线;IP 加密(IP sec)VPN; MPLS VPN。 7.4.1 远程拨号

用户通过拨号的方式进入后台管理系统,对自己的服务器和数据库进行配置 和更新,但是这种方式存在带宽的限制,所以当用户需要与服务器交换大量数据 时,拨号方式就不太合适。 7.4.2 专线

在 IDC 设置路由器,通过常用的专线方式,如 DDN,Frame Relay 等方式提 供用户访问自己的服务器。这种方式中需要对各个用户的数据流向进行控制,使 他们只能访问他们自己的服务器,而不能访问其它用户的服务器。 7.4.3 IP 加密 VPN

用户也可以通过专线的方式接入到公网, 通过对 IP 数据包加密来保证用户数 据的安全性,在 IDC 再对用户的 IP 包进行解密,然后用户进入自己的 VLAN, 访问自己的各个服务器。这种解决方案需要在 IDC 设置 IP Sec 的 VPN 网关。 7.4.4 MPLS VPN

MPLS VPN 为用户提供了一种更加灵活有效的访问方式,用户可以通过公网 平台上自己私有的 MPLS VPN 对自己的设备进行访问,而且其地址空间也可以 是其自己的私有地址,由于地址空间是私有的,黑客几乎无法对其进行攻击。同 时在 MPLS VPN 上通过流量控制机制能够为用户提供端到端的服务质量保证。 而且当将来需要向用户提供网络外包服务时, 利用 MPLS VPN 与后台管理系 统相结合,可以迅速向用户提供业务。

2-31

http://www.5ixue.com (海量营销管理培训资料下载)

8

网络管理

IDC 运行管理
后台 连接服务 端到端安全 端到端私用网络 网站服务加速 网站内容推送 突发拥挤保障 内容分段复制 基于IP, URL, Cookie的负载均衡 语言和终端设备优化 跨地域负载均衡
Committed Access Rate 服务类别(COS) Private VLAN

内容 传送服务

运行管理 运行管理 运行管理 运行管理

专业服务

内容 交换服务

连接服务 高级 安全服务 基本托管服务

Internet

专用防火墙、 专用防火墙、专用入侵探测 安全审计 网站托管(共享) 网站托管(独占) 主机托管

网络管理是 IDC 运行管理中的重要一环, 它将覆盖所有网络元素的管理和控 制。 8.1.1 网络拓扑管理

为对 IDC 网络进行系统化管理, 管理员首先需要对全网的当前状态有一个准 确、直观的了解。网络拓扑管理作为管理系统的一个重要组成部分可以满足管理 员的以上需求。 它应能帮助管理员自动生成网络的拓扑结构图和发现节点设备的 分布状况,并且能对网络结构的变化进行动态跟踪和更新。 网管中心管理员首先利用自动发现管理进程,对其管理范畴内的全网络拓扑 结构、 联网节点设备以及应用服务器进行地址扫描。 根据地址扫描的发现的结果, 将在管理服务的管理数据库中生成全网的网络拓扑图。 对已生成的全网网络拓扑 图还将进行定期的检查,发现可能出现的拓扑改变,并对管理数据库中存储的拓 扑图进行相应的更新。

2-32

http://www.5ixue.com (海量营销管理培训资料下载)

8.1.2

故障管理

网络管理员在获得了最新网络拓扑结构图后,还需对全网的故障进行集中控 管。网络故障管理利用了管理软件包中的功能。通过定义对全网的 IP 节点设备, 通讯链路等多方面网络资源进行自动定期轮询检测, 可发现节点设备的硬件故障 和网络链路中断。 还可以利用对 SNMP Trap 的支持, 捕捉网络上传送的故障 Trap 信息。根据收集到的故障信息, 网络管理软件可以对所发现的网络异常状态进 行跟踪,并在网管中心的图形化管理控制台上以多种方式向网络管理员报警。网 络管理员通过察看管理控制台上的不同类型报警信息即可以迅速定位故障出现 的准确位置和故障的严重等级。 网络管理员还可以在管理控制台上直接启动设备 管理工具察看出现故障的的网络节点设备当前的详细信息。 8.1.3 配置管理

IDC 网络网络设备的配置管理在管理功能上分为设备参数的集中配置、对更 改设备参数的操作审计和设备操作系统的集中版本管理。 为保障全网参数配置的 一致性和设备操作系统版本的统一, 配置管理应由中央管理中心的网络管理员统 一控制。网络管理软件为 IDC 网络管理员提供了配置管理工具。 利用网络管理软件对 IDC 网络设备参数进行集中配置和对网络设备的操作 系统版本进行升级管理。 并可对设备的网络配置文件进行配置校验和配置文件集 中备份以及修改设备参数的审计。 网络管理软件不但能帮助网络管理员以图形化操作方式对全网设备进行集 中的参数配置,还能保存所有网络设备的参数修改历史纪录:通过定期检查各网 络设备的参数,管理工具可以发现所有对配置参数的更改,而不论配置参数是利 用管理工具修改的还是利用命令行修改的。 网络管理员在中央管理控制台上可以 检索网络设备的所有参数修改纪录。 8.1.4 性能管理

网络管理解决方案中为 IDC 网络管理员提供了一组网络性能和 IP 电话服务 质量的管理工具。 利用网络管理软件进行网络设备的广域网、局域网端口通讯流量统计,监控

2-33

http://www.5ixue.com (海量营销管理培训资料下载)

设备资源的可用率。还可以进行全网网络流量的历史数据统计,分析网络流量的 长期趋势,帮助管理员进行网络容量规划,消除网络中的瓶颈。 利用网络管理软件进行全网节点设备任意两点间的响应时间检测和 Delay, Jitter 管理。 在网管中心管理员可以启动利用网络管理软件对全网的局域网和广域网性 能进行直接监控。收集网络节点设备中 SNMP、RMON 和 RMON2 的性能管理 信息,并以图形化方式为网络管理员显示所收集到的管理信息。 在网管中心管理员利用利用网络管理软件可以监控网络节点的服务质量,并 以图形化方式显示网络通信的延时和抖动。 管理员还可以对被监控的性能参数设 定阈值,如检测到网络性能下降,参数超过了预先设定的阈值,IPM 将自动向故 障管理系统发送一条报警信息,提示管理员注意。 8.1.5 网络安全管理

有些网络管理软件还支持网络管理员分权机制,不同级别的登陆用户在管理 系统中具有不同的管理权限。可以为网管系统定义多级的访问权限,在方便管理 员操作的前提下保证只有经过授权的管理人员才能对网络进行管理操作, 从而保 证管理系统的最大安全性。 同时网络管理员也可以利用安全控管软件进一步加强网络整体包括网络管 理系统的安全性。 Radius 服务器是常用的负责提供基于标准安全认证协议的用户 登陆认证机制的设备。

9

网络详细设计

9.1

Internet 连接层

IDC 的 Internet 连接层配置两台 GSR,使用 100BaseT 或者 1000Base 高速连 接到 IP 骨干网,并以全冗余方式与核心层互连。借助于这些高端路由器的高性 能及丰富的特性,提供全冗余、高速、高性能网络核心。

2-34

http://www.5ixue.com (海量营销管理培训资料下载)

9.2

核心层

整个 IDC 网络的结构,必须具有很好的层次并具有很强的扩展能力,这就要 求在设计上: 各层次功能的简单化,以保证处理的高效和结构的简单。这就需要有 核心层将分布层的数据汇集后连至 Internet 接入路由器 网络扩展易于实现并且不能对现有业务产生影响,核心层的存在完全 满足了这一点

鉴于对核心层的这些需求,配置两台高性能、大容量多层交换机 Cisco Catalyst 6509,分别与 Internet 连接层两台高端路由器采用 GE 端口交叉连接。两 台交换机之间用两条 GE 连接,采用千兆以太网通道(GEC)技术捆绑两个物理 连接,形成一个负载均衡的逻辑连接。

9.3

分布层& 分布层&服务器接入层

9.3.1

的分布层& Colocation 的分布层&服务器接入层

在 IDC 的主机托管(Co-location)业务中,用户本身将负责所有与 Web 有关 的网络设备(诸如 Web 交换机、 防火墙等), 其在网络方面的需求为高带宽的线路。 针对这种需求,分布层不需要为其提供高层交换能力,而是需要为其提供高 速高性能的二、三层交换。这里采用 Cisco Catalyst 3500 交换机作为分布层设备 以提供高性能。 在接入层所提供的高速的链路上,用户将根据需要构建自己的内部网络结 构,可根据需要使用 Web 交换机以提供高层交换能力。 9.3.2 Web Hosting 的分布层&服务器接入层 的分布层&

在服务器接入层,采用交换机 Cisco Catalyst 3500 将服务器与核心层连接起 Web 交换机以及安全监控设备, 来, 同时可以根据用户的需求, 放置防火墙设备, 从而为用户提供更高的安全保障和网络性能。

2-35

http://www.5ixue.com (海量营销管理培训资料下载)

9.4

后台管理平台

IDC 的运营得成功与否,网络及业务的管理是很关键的一个因素,这包含了 如下的方面: 网络设备的管理 网络流量的监控 用户对其业务更新的手段 用户数据的备份 详尽的计费报告 ….

作为提供网络及业务管理的网络平台—后台管理平台,包含有: IDC 控制中心 (IDC 的网络管理中心) IDC 客户中心 (用户对其服务器进行更新、维护) 用户管理中心 (用户远程对其服务器进行更新、维护) 动态业务复制区等 (用户数据的备份) 对 IDC 而言, 安全性和易操作性是同时需要的。 在这里采用了二级网络结构, 第一级采用交换机 Cisco Catalyst 2900 将服务器接入后台管理平台网络,第二级 采用两台大容量、 高性能交换机 Cisco Catalyst 6500 将所有第一级的交换机汇聚。 同时连接到各业务中心。在一期中先不选用 Cisco Catalyst 6500,将来业务发展 了再扩展。这种网络结构的优点是通过对 Private VLAN 的支持,能够简化网络 设计,减少 IP 地址的浪费,同时又可以达到网络安全的要求:不同用户群可以 享有同样的服务而相互之间完全独立。这样就使得业务的开展变得简单,诸如动 态业务复制(用于备份 IDC 用户的数据)等。 在用户管理中心,配置 Cisco Router 3640 和 VPN 网关 Cisco VPN 3000 通过 POTS/ISDN/DDN/VPN/…,提供用户远程数据更新,并保证安全性。 在后台管理平台与前台核心层之间放置单向防火墙,使得在收集网络流量数 据的同时又保证了其安全性。

2-36

http://www.5ixue.com (海量营销管理培训资料下载)

10 IDC IP 地址规划

10.1 IP 地址分配原则
IP 地址的规划在网络设计中的作用举足轻重。直接影响整个网络运行的效 率。IP 地址设计的总原则是简单、易管理、易扩展。下面先简单介绍 IP 地址规 划的一般原则。 IP 地址是 TCP/IP 协议族中的网络层逻辑地址,它被用来唯一地标识网络中 的一个节点。IP 地址空间的分配,要与网络层次结构相适应,既要有效地利用地 址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,提 高路由算法的效率,加快路由变化的收敛速度。满足这些要求的 IP 地址分配技 术有:可变长子网掩码技术(VLSM,Variable-Length Subnet Mask)和路由总结 技术(Route Summarization)。 传统的方式,IP 协议采用分层地址结构,它由 4 个字节(32 位)组成,每个 字节用三位十进制数(0~255)表示,每个字节之间用圆点号隔开,它包含两个 部分:网络号和主机节点号。IP 地址分为 A、B、C、D、E 五类,其中常用的是 A、B、C 三类,A 类地址用前一个字节(8 位)表示主网络号,这个字节的第一 位为 0,后三个字节(24 位)表示主机号,如下所示: 0xxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx A 类地址 B 类地址以前二字节(16 位)表示网络号,以 10 开头,后二字节(16 位) 表示主机号,如下所示: 10xxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx B 类地址 C 类地址以前三字节(24 位)表示网络号,以 110 开头,后一字节(8 位) 表示主机号,如下所示: 110xxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx C 类地址 IP 地址的分配应遵循以下几个原则: 唯一性:一个 IP 网络中不能有两个主机采用相同的 IP 地址 简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路 由表的款项

2-37

http://www.5ixue.com (海量营销管理培训资料下载)



连 续 性 : 连 续 地 址 在层 次 结 构 网 络 中 易 于进 行 路 由 总 结 ( Route Summarization),大大缩减路由表,提高路由算法的效率



可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时 能保证地址总结所需的连续性



灵活性: 地址分配应具有灵活性, 可借助可变长子网掩码技术 (VLSM, Variable-Length Subnet Mask),以满足多种路由策略的优化,充分利 用地址空间

为了有效地利用地址空间, 我们可以对 IP 地址进行子网划分, 从地址的主机 部分借取若干位作为子网号,剩余部分仍然表示主机号,举例如下: xxxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx 网络号 子网号 主机号

另外, 为了灵活地在不同规模的子网中分配不同数量的 IP 地址, 我们需要采 用 VLSM 技术,它可根据需要在任意位划分子网边界,对一个主网络号,可分 出最小只有 2 个主机号的子网,亦可划分出一个较大的子网,因此它很灵活,特 别是在广域网中,两台互联路由器接口只需 2 个主机号地址,VLSM 非常有用, 大大节约了地址空间,又保证了网络设计的灵活性。在进行地址分配时,一般先 用一个定长的子网掩码将地址空间分成若干个相同规模的子网, 再在每个子网中 根据所需的子网数量和规模采用 VLSM 进行子网的细分。 采用 VLSM 时应注意下列三点: 事先要有规划,避免子网重叠分配 可能会造成对已有网络地址的重新设置 新的网络必须仔细规划地址分配, 有效利用 IP 地址和保证网络的扩展 性 为缩减路由表的款项,提高路由的效率,路由总结(Route Summarization 或 Route Aggregation)是一个非常重要而有效的手段。分子网是将网络号向主机号 部分扩展、即网络边界向右移的过程,而路由总结则是划分子网的逆过程,通过 将子网的边界向左移的过程,可用一个较大的子网号来代表一组连续的子网,如 下所示:这一叠合路径可代表 16 个连续的子网。

2-38

http://www.5ixue.com (海量营销管理培训资料下载)

xxxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx 因此,路由总结又称为子网的集结或超级子网,它可得到缩小路由表,降低 路由器内存的使用,并减少路由协议产生的网络数据流量。BGP 中亦广泛使用 的 CIDR 就是路由总结的一个具体应用。路由器支持自动或手工设置的路由总 结。

10.2 网络地址转换
为了弥补 IP 地址的不足,大多数网络的 IP 地址分为两部分:一是具有全球 连通性的 IP 地址---公网地址;二是只能在企业内部用的 IP 地址--私有地址。具 有公网 IP 地址主机或路由器可以和 INTERNET 网上的任何节点相连。其地址是 全球唯一的。具有私有地址的主机和路由器只能在企业内部通信,其地址仅在企 业内部是唯一的。用这种地址是不可以访问 INTERNET 的。 业界提出了一种技术,使企业可以从私有地址迁移到全球地址空间,这种技 术就是网络地址的转换(NAT)。 NAT 技术使专用网络能够连接到 INTERNET 网上。 NAT 路由器或 Web 交换 机放置在域的边界上,在向 INTERENT 网上发送数据包之前,它把私有地址转 换为 INTERNET 上的公网地址。如下图所示,企业内部有一主机,其 IP 地址为 10。0。0。1,该主机要访问 INTERNET 上的节点 204。10。10。10,当 IP 数据 包到达边界路由器时,路由器将 IP 地址转为公网的 192。69。1。1,然后再送往 目的地。

2-39

http://www.5ixue.com (海量营销管理培训资料下载)

In te rn a l
1 0 .0 .0 .2

E x te rn a l

1 9 2 .6 9 .1 .1

In te rn e t
1 0 .0 .0 .1

N e tw o rk A d d re s s T ra n s la tio n T a b le
In te rn a l L o c a l IP E x te rn a l L o c a l IP A d d re s s a n d P o rt A d d re s s a n d P o rt O u ts id e D e s tin a tio n IP A d d re s s a n d P o rt

1 0 .0 .0 .1 : 1 0 2 4 1 0 .0 .0 .2 : 1 0 2 3

1 9 2 .6 9 .1.1 : 2 0 0 0 2 04 .1 0 .10 .1 0 : 8 0 1 9 2 .6 9 .1.1 : 2 0 0 1 1 31 .1 0 8 .9 9 .1 : 8 0

10.3 IDC IP 地址规划建议
根据 IDC 的网络管理及应用需要,IDC 的 IP 地址分为公网 IP 地址和私有 IP 地址两部分。公网 IP 地址由 IDC 向 ISP 或 NIC 申请,在申请 IP 地址时应充分考 虑其扩展性。私有 IP 地址由 IDC 自行设计,应该使用 Internet 保留的 IP 地址网 段。IDC 用户的 IP 地址由 IDC 统一分配,IDC 根据用户的不同需求分配公网 IP 地址或私有 IP 地址给用户的服务器。 在进行 IDC 的 IP 地址规划时,建议注意以下几点。 网络设备的 IP 地址

2-40

http://www.5ixue.com (海量营销管理培训资料下载)

IDC控制中心 Terminal Server 后台管理平台

IDC客户中心

用户管理中心

NMS

PSTN/DDN /VPN…

运维区

服务器接入层 Switch 100M HUB

托管区
10M HUB

增值服务层

Firewall 核心层 Cache Server Intrude Detector Vulnerability Scanner Bandwidth Controller

Internet连接层 连接层

骨干区

Internet

见图, 由于核心层交换机和 Internet 接入路由器为全网状连接, IDC 各 POP 跟 节点间的广域网连接一样,每组直连端口只需要两个 IP 地址,建议分配只有4 个公网 IP 地址的子网,掩码为 255。255。255。252。另外,建议每台网络设备 设置 Loop back 端口,其 IP 地址用作该设备的网管地址。 主机托管用户(Co-Location)的 IP 地址

按用户的服务需求分配 IP 地址。 简单的托管主机:不需要增值服务(如服务器的负载均衡等),连接在分布 层交换机下面的服务器,(见图)建议每台服务器分配一个公网 IP 地址。 需要增值服务的托管主机:连接在分布层交换机 Web 交换机下面的服务器。 建议分配给每台服务器一个私有的 IP 地址, 通过 Web 交换机 Web 交换机作地址 转换(NAT)。此类用户的多台服务器可以使用一个公网 IP 地址作为服务器群 的虚拟 IP 地址,这样不但节省公网 IP 地址空间,也提高了网络安全性。还可以 根据用户的需求提供不同的增值服务。 站点托管用户(Web Hosting),应用托管用户(ASP)的 IP 地址

这类用户的服务器建议使用私有的 IP 地址,通过 Web 交换机作地址转换 (NAT),多台服务器使用一个虚拟 IP 地址。不但节省 IP 地址空间也提高了网 络安全性,还可以根据用户的需求提供不同的增值服务。当然,也可以为这些用

2-41

http://www.5ixue.com (海量营销管理培训资料下载)

户提供公网 IP 地址。 后台管理区的 IP

建议使用私有的 IP 地址,通过 PIX 防火墙作地址转换(NAT),对前台设 备进行实时监控管理, 另外 Private VLAN 技术可以简化网络设计; 节省 IP 地址; 并且满足网络安全要求。

11 IDC 路由协议选择
对于 IDC 网络,路由协议将直接影响网络性能。因此如何选择最优的路由协 议,至关重要。 IDC 网络路由结构分为 3 个部分: Internet 出口路由策略 IDC 内部路由策略 多个 IDC PoP 节点间路由策略

首先我们简单介绍几种路由协议:

IS11.1 IS-IS 路由协议
IS-IS 是一个链路状态路由协议, 为了简化路由器的设计和操作, 使网络的路 由信息能快速收敛,是众多 ISP 所选用的路由协议。 IS-IS 将网络路由分为 Level1 和 Level2。Level1 中的路由器只知道它所在 AREA 的路由信息;LEVEL2 中的路由器知道去其它 AREAS 的路由信息。也就 是说,所有 L1 的路由器形成了 LEVEL1 的 AREAS,而所有 L2 的路由器形成了 网络的骨干 BACKBONE,用于传递 LEVEL1 AREAS 之间的路由信息。如下图 所示。

2-42

http://www.5ixue.com (海量营销管理培训资料下载)

Router1 Domain

Router4

Level 1 routing Level 1 routing AREA1 Router2 Level2 routing Router3 AREA2

ROUTER1 和 ROUTER4 是 LEVEL1 的路由器,ROUTER2 和 ROUTER3 是 LEVEL1/2 的路由器。 L1 的路由器仅知道本 AREA 的路由,如 ROUTER1 知道去往 ROUTER2 的 路由,但不知道去 AREA2 的路由;同样,ROUTER4 仅知道 AREA2 内的路由, 只知道去网 ROUTER3 的路由,而不知道如何去 AREA1。 LEVEL1/2 的路由器 ROUTER2 和 ROUTER3 形成了网络的骨干,他们知道 所在 AREA 的路由信息,并将此 AREA 的路由信息广播道所有 L1/2 的路由器, 即所有 L1/2 路由器知道全自治域的路由信息。在上图中,如 ROUTER1 收到要 去往 ROUTER4 的数据包,ROUTER1 发现自己的路由表内无此路由信息,就将 数据包发往边界 L1/2 路由器 ROUTER2,ROUTER2 知道全自治域的路由信息, 即知道去往路由器 ROUTER4 的路由信息,它将数据包送给 ROUTER3。 因 L1/2 路由器相当 L1 路由器少的多。所以可以快速收敛网络的路由信息。

11.2 OSPF 路由协议
80 年代中期,由于 RIP 路由协议越来越不适应大规模异构网络互连。OSPF 作为 IETF(网间工程任务组织)为 IP 网络开发的一种 IGP(内部网关协议)协 议,克服了 RIP 路由协议的缺点。其采用 SPF(Shortest Path First)算法,基于

2-43

http://www.5ixue.com (海量营销管理培训资料下载)

链路状态路由协议。OSPF 路由协议有如下特点: 需要每台路由器向同域(Area)的所有其它路由器发送链路状态广播(LSA) 信息。路由器收集有关的链路状态信息,并根据 SPF 的算法计算出到每个结点 的最短路径。同域内的路由器共享相同的拓扑信息。 路由选择的分级

与 RIP 路由协议不同,OSPF 可在一个域(Area)内进行路由选择。域的最 大集合是自治域(AS)。AS 是共享同一路由选择策略的网络集合。 一个自治域 AS 可分为多个域(Area),域是由相邻的网络和连接的主机组 成。 根据源点和目的地是否在同一域内,OSPF 有两种类型的路由选择方式: o 当源和目的在同一区域时,采用域内路由选择 o 当源和目的不在同区域时,采用域间路由选择 由于有域的概念, OSPF 路由协议比那些不将 AS 分区的情况下所需传送的路 由信息少得多。 支持 VLSM(Variable Length Subnet Mask)可变长度子网掩码技术

由于每个发布的目的地均包括 IP 子网的掩码,从而可利用子网掩码将 IP 网 络分为不同大小的子网,这种方法可节省 IP 地址空间并给网络管理员管理带来 灵活性。 对带宽和 CPU 等资源消耗 这个 SPF 算法占用了 CPU 的资源,一般来说与运算量与网内链路数目与路 由器数目乘积成正比。 另外当 SPF 路由器通电, 初始的链路状态包泛滥 (Flooding) 占用网络带宽,这些情况都是在网络设计中要考虑的。

11.3 静态路由协议
以上我们介绍的均为动态路由协议,当然还有另外一种路由协议便是静态路 由协议。静态路由协议是由网络系统管理员人工定制的,需要制出一切所需的路 由。其优点为不会产生动态路由所特有的路由信息广播或路由信息更新或 HELLO 从而不会在系统资源:内存、CPU、带宽等方面制成额外的开销。但其 缺点为会给系统管理员的管理工作带来大量的工作,其次,由于路由是静态的因

2-44

http://www.5ixue.com (海量营销管理培训资料下载)

而不能适应网络的动态变化的需要而改变路由。

11.4 BGP4 路由协议
BGP 是用来在自治系统之间传递信息的路径向量协议。BGP 把 TCP 当作它 传送协议。这就保证了所用传输的可靠性。

11.5 Internet 路由协议策略建议
Internet 出口路由协议建议选用 BGP4,Internet 接入路由器(GSR)之间路由 协议选用 IBGP。 IDC 的 Internet 出口是连接 Internet、其它 IDC 和用户的窗口。为了保证与 Internet 连接的高可靠性,高性能。建议设置多个 Internet 出口。 在 Internet 出口的合作选择上建议考虑以下几点: 选择规模较大的 ISP 规模较大的 ISP 具有较多的分布节点、较高带宽及完善的服务,IDC 应采用 多个出口连接 1 个 ISP,例如:可以通过两条链路同时连接到 ChinaNet 骨干,作 为分流及备份。 选择不同的 ISP 建议 IDC 采用多个出口连接多个 ISP,避免因为 ISP 的问题影响 IDC 的正常 运行,同时提高用户访问响应速度。 在 BGP4 路由策略上, IDC 只需要向外广播 IDC 内部 BGP4 信息; 配置 BGP4 路由过滤。为了避免造成非对称路由的出现;需要据实际运行情况调整 BGP4 路 径属性,人为的调整网络负载。在 BGP4 接收路由信息上,需要对不同的 Peer 对象来的路由信息通过 BGP4 Community 加以区分;针对不同的 BGP4 路由信息 组,配置不同的路由策略,如:增加不同的路径属性,以达到出口的流量均衡。

11.6 IDC 内部路由协议选择
IDC 内部路由协议可以有多种选择,以下为几种方案建议。 方案 1:选用 OSPF 路由协议

2-45

http://www.5ixue.com (海量营销管理培训资料下载)

OSPF 路由协议是国际标准的路由协议,路由收敛和恢复时间快,支持可变 长子网掩码(VLSM),并且根据网络的稳定性可改变路由更新周期,减少因为 路由更新产生的网络负载。 IDC 网络设计中第三层网络设备数量一般不会太多,并且有高速第三层网络 设备和局域网支持路由信息交换。为了简化网络设计和管理,建议只设 OSPF Aera0,不分 OSPF 子域(Sub-Area)。核心路由器局域网端口,核心层交换机 组成 OSPF 的 Aera0。在核心路由器上作 OSPF 与 BGP4 路由协议间的转换。使 BGP 能学到 OSPF 的路由表,OSPF 也能学到 BGP 的路由表。通过配置可以做到 IDC 全网的负载均衡和冗余备份。 方案 2:选用 EIGRP,同时配合静态/缺省路由协议 核心路由器局域网端口,核心层交换机选用 EIGRP。核心层交换机与 Web 交换机 Web 交换机间的路由配置静态路由/缺省路由。 设计特点:EIGRP 路由协议特别适合这种平面结构的网络,它收敛速度快, 占用 CPU 及 Memory 资源少,配置管理简单,并且支持非对称的链路的负载均 衡。静态路由/缺省路由适合于小型和拓扑结构不经常改变的网络,它占用很少 CPU 和 Memory 资源,并且非常稳定。等值多链路协议(ECMP)实现分布层的 Web 交换机 Web 交换机上连链路的负载均衡,使其专注于内容的交换。 方案 3:选用 IS-IS 路由协议,同时配合静态/缺省路由协议 核心路由器局域网端口,核心层交换机路由协议选用 IS-IS,它们全部属于 IS-IS Level1 的一个区域,作为 L1 的路由器。核心层交换机与 Web 交换机 Web 交换机间的路由配置静态路由/缺省路由。 设计特点:IS-IS 扩展性好,这可以使网络扩充更为容易。IS-IS 占用网络资 源较小,路由收敛和恢复时间快,IS-IS 采用较小的协议数据包承载路由信息, 这使得路由信息繁衍速度更快。 静态路由/缺省路由静态路由适合于小型和拓扑 结构不经常改变的网络,它占用很少 CPU 和 Memory 资源,并且非常稳定。另 外通过等值多链路协议(ECMP)实现分布层的 Web 交换机 Web 交换机上连链 路的负载均衡。使其专注于内容的交换。

IDC 可根据具体情况选择最适合自己的路由协议。

2-46


相关文章:
IDC方案项目建议书.doc
IDC方案项目建议书 - IDC 方案 项目建议书 2-1 目 录 第一章 总论
IDC基础设施云平台二期项目建议书.doc
IDC基础设施云平台二期项目建议书_解决方案_计划/解决方案_实用文档。IDC 基础...为此,上海公司应继续在 IDC 基础设施云投 入,努力做大做强,提升上海公司在...
IDC机房工程设计方案(1).doc
方案书根据国家标准及行业标准设计和施工。 设计原则 吉通上海公司数据中心机房...工程的可分期性: 在该 IDC 项目设计中,数据中心机房的工程和设备都为 模块化...
IDC机房工程设计方案.doc
IDC 机房工程设计方案 1 机房工程设计概述 数据中心基础设施的建设,很重要的一...1.1 设计原则 数据中心机房是吉通上海公司的基础设施,数据中心的设计必须满足...
智慧数据中心项目建议书.doc
上海、南京为 主的长三角地区,利用资金、市场等...运营主体:**有限公司” (筹,暂定名)或重组企业。...IDC方案项目建议书 46页 2下载券 智慧城市建设项目...
机房工程施工方案..doc
方案书根据国家标准及行业标准设计和施工。 1.1 设计原则 吉通上海公司数据...工程的可分期性: 在该 IDC 项目设计中,数据中心机房的工程和设备都为模块化...
整套-上海市科技成果转化和产业化项目建议书(V1.0版).doc
整套-上海市科技成果转化和产业化项目建议书(V1.0...十四、知识产权情况(表 7) 了解项目承担企业(单位)...试制设备需提交设备试制方案和成本分析; 申请专项...
智慧数据中心项目建议书建设方案(word推荐).doc
智慧数据中心项目建议书建设方案 Word 文档下载可编辑...(IDC)是指一 种拥有完善的设备(包括高速互联网接入...以上海、南京为 主的长三角地区,利用资金、市场等...
上海市科技成果转化和产业化项目建议书.doc
上海市科技成果转化和产业化项目建议书 - 上海市科技成果转化和产业化 项目建议书 (V1.0 版) 项目名称 所属指南(目录名称) 推荐渠道 推荐单位 推荐联系人 ...
工程设计方案.doc
方案书根据国家标准及行业标准设计和施工。 1.1 设计原则 吉通上海公司数据...工程的可分期性: 工程的可分期性: 在该 IDC 项目设计中, 数据中心机房的工程...
薪酬项目建议书_图文.ppt
上海跃然的部分客户……….23 六、上海跃然的联系方式……….24 第2页 引言
IDC方案项目建议书.doc
IDC方案项目建议书 - 第一章 网络方案 1 概述 如下图是整个 IDC 的建
IDC机房工作计划.doc
方案书根据国家标准及行业标准设计和施工。 1.1 设计原则 吉通上海公司数据...工程的可分期性: 在该 idc 项目设计中,数据中心机房的工程和设备都为模块化...
《IDC机房工程设计方案》机房工程设计概述IDC机房工程....doc
方案书根据国家标准及行业标准设计和施工。 1.1 设计原则 吉通上海公司数据...工程的可分期性: 在该 IDC 项目设计中,数据中心机房的工程和设备都为模块化...
朗新科技管理咨询项目建议书_图文.ppt
朗新科技管理咨询项目建议书 - 朗新科技管理咨询 项目建议书 项目背景 目 ? 公司简介 录 ? 项目背景 ? 项目目标 ? 项目设计思路 ? 项目研究方法及特点 ? 项目...
项目建议书(大数据方向).doc
项目建议书(大数据方向)_商业计划_计划/解决方案_...上海、浙江、江苏、贵州等地为当地中小 微企业获得...
IDC服务方案模板.doc
IDC服务方案模板_信息与通信_工程科技_专业资料。**...上海、广州、深圳及香港等分公司,负责华北华东华 ...; 此外, 首创网络和中国联通、中国网通、中国吉通也...
安全管理.doc
(3)卖方可提出自己建议的网络安全方案。 1.2 整体需求 l l 安全解决方案应...《吉通上海 IDC 技术需求书》的要求,惠普公司吉通上海 IDC 的信息系统安全...
网络安全设计方案一.doc
网络安全设计方案 2009-03-27 23:02:39 标签: IDC 网络系统安全实施方案 1 吉通上海 IDC 网络安全功能需求 1.1 吉通上海公司对于网络安全和系统可靠性的总体设...
智慧数据中心项目建议书.doc
智慧数据中心项目建议书 智慧数据中心项目建议书 --...(IDC)是指一 种拥有完善的设备(包括高速互联网接入...以上海、南京为 主的长三角地区,利用资金、市场等...