【正文】 (海量營銷管理培訓資料下載 ) 21 第二章 網絡方案 1 概述 如下圖是整個 IDC 的建設框架，本章將闡述網絡框架的建設以及網絡管理。 網絡架構運行在布線系統(tǒng)，供電系統(tǒng)等基礎系統(tǒng)之上，同時為主機系統(tǒng)和應用系統(tǒng)提供平臺。而在橫向結構上， IDC 的網絡運行離不開網絡管理和運營維護。網絡架構的可靠，穩(wěn)定，高效，安全，可擴展，可管理性將直接關系到上層的主機系統(tǒng)和應用系統(tǒng)，也將直接關系到 IDC 業(yè)務的順利開展和運行。總之，網絡架構是 IDC 建設框架中重要而又承上啟下的一環(huán)，網絡系統(tǒng)的設計是否完善將直 接影響到 IDC 建設的質量。 IDC 網絡架構的整體設計框架如下圖所示。 (海量營銷管理培訓資料下載 ) 22 基本托管服務 網站托管 ( 共享 ) 網站托管 ( 獨占 ) 主機托管高級安全服務Pri vat e VL A N專用防火墻、專用入侵探測安全審計I nt er 連接服務C om m i t t ed A cce ss R at e服務類別 ( C O S)內容交換服務基于 I P, U R L, C oo ki e 的負載均衡語言和終端設備優(yōu)化跨地域負載均衡內容傳送服務網站服務加速網站內容推送突發(fā)擁擠保障內容分段復制后臺連接服務端到端安全端到端私用網絡I DC 網絡架構運行管理 專業(yè)服務 IDC 的業(yè)務將包含接入業(yè)務，空間出租業(yè)務，托管業(yè)務，管理業(yè)務和增值業(yè)務。本章將在介紹 IDC 網絡設計的同時，闡述每個設計要點對 IDC 業(yè)務的影響和重要性。因為上圖中整個 IDC 建設框架的最終目的是為了 IDC 業(yè)務的開展和拓展，在這個框架的每個部分都必須貫穿為 IDC 業(yè)務開展服務的宗旨。 本章將從托管服務，網絡安全， Inter 連接，內容交換，內容傳送，后臺連接和網絡管理等方面具體 闡述 IDC 網絡解決方案對 IDC 業(yè)務的針對性設計。 2 托管服務 IDC 的基本業(yè)務包括網站托管（ Web hosting）和主機托管（ Colocation）兩大類。其中網站托管分為共享式和獨享式兩種。由于其業(yè)務模式的不同，使得其在對網絡設計時的要求也不相同。以下分別給出基于兩種不同模式時的網絡全貌。 (海量營銷管理培訓資料下載 ) 23 Basic Ho stin g S er vi ces基本托管服務網站托管( 共享 )網站托管( 獨占 )主機托管 基于主機托管的 IDC 網絡全貌 主機托管是 IDC 初期為其用戶提供的一種基礎服務。網站及企業(yè)用戶自身擁有若干服務器，并把它放置在 IDC 的機房里，由客戶自 己進行維護。 主機托管業(yè)務的特點：投資降低，用戶可使用已購買的服務器等設備，無需再作設備投資，并且可采用 IDC 提供的線路。 該業(yè)務適合于自身有較強的網絡運行維護經驗并在數(shù)據中心建立之前已投入人力物力建設了網站設備的大型企業(yè)用戶。如著名的 Yahoo、 eBay、 Amazon。都采用了主機托管業(yè)務。 提供主機托管業(yè)務的 IDC 向其用戶提供的業(yè)務主要包括與 Inter 網的連接以及提供獨立安全的場地，這樣對于 IDC 而言在進行網絡設計時必須考慮提高網絡連接的速度及可靠性，從而為用戶提供高質量的服務。 對主機托管 業(yè)務， IDC 可為客戶提供 n x 100M 或者千兆獨占帶寬的電信級專業(yè)機房租用服務，包括 ? 隨時可擴充的獨占帶寬 ? UPS 不間斷電源保障 ? 24 小時實時攝像監(jiān)控 (海量營銷管理培訓資料下載 ) 24 ? 電源控制系統(tǒng) ? 保安系統(tǒng) ? 消防系統(tǒng) 以及可選的機柜出租： ? 標準電信級機柜：高 2M、深 1M或 1。 2 米、寬 19 英寸 ? 每臺機柜提供獨立電源控制 ? 高速以太網接口 ? 獨立風扇設備 基于主機托管業(yè)務 IDC 的網絡全貌如下圖所示，網絡分為 Inter 連接層、核心層和服務器接入層。 在提供主機托管服務給用戶時， IDC 服務提供商將負責提供 Inter 連接層、核心層、分布層及服務器接入層的設備并保障其穩(wěn)定運行。用戶則需要自己負責服務器以及包含防火墻等在內的內部網絡。有關網絡各層的描述，請參見后續(xù)相應章節(jié)。 基于網站托管的 IDC 網絡全貌 網站托管是 IDC 經過發(fā)展后而開展的一項業(yè)務。用戶采用 IDC 提供的服務器 (海量營銷管理培訓資料下載 ) 25 來存放數(shù)據，運行軟件?？傮w來講數(shù)據中心的硬件設備主要包括：服務器陣列、網絡設備（路由器、交換機）、機房控制設備、防火系統(tǒng)、備用電源、空調設施等。數(shù)據服務中心的建設除了必須具有一定面積的機房和相當數(shù)量的服務器外，還必須對運維管理、安全系統(tǒng)、監(jiān)控等設施、工具和專業(yè)服務進行深入的考慮。 提供網站托管業(yè)務的 IDC 向其用戶提供的業(yè)務主要包括網絡設施及網站托管，這樣對于 IDC 而言在進行網絡設計時必須考慮以下要素： ? 提高服務器及 Web 應用的可訪問性，這需要網絡具有內容識別（ Content Aware）的功能 ? 為方便租用主機的用戶易于控制及管理其主機內容，提供相應的管理平臺。 獨享式網站托管 IDC 為用戶提供專用主機，這更適合于具有復雜業(yè)務的站點。專用主機可以為這些關鍵應用提供高質量、安全的服務。對于這種業(yè)務模型，用戶將其服務 器包給了數(shù)據服務中心經營者，用戶不必擁有計算機、網絡方面的技術人員而享受數(shù)據服務中心所提供的全套專業(yè)服務。 為了保證服務質量，獲得相應的高增值服務費用， IDC 服務經營者通常與用戶制定 SLA（ Service Level Agreement）。運營者遵照 SLA 上規(guī)定的條例保證服務的不間斷、丟包率、網絡響應時間。經營者通過提供例如：平臺設計、服務監(jiān)控、服務品質測試、網絡安全管理和緩存等項增值服務加強市場競爭力。 對中小型網站而言，無論是從運營維護的角度，還是對整體業(yè)務收入而言，與場地租用的服務相比，獨享主機服務更 能吸引 IDC 的經營者。根據用戶需求的不同，我們可以定義單機，雙機集群或包括數(shù)據庫服務器的獨享主機服務包。其他作為獨享主機托管服務的一部分還應包括： ? 電信級高品質機房環(huán)境和設備 ? 可靠的供電系統(tǒng) ? 恒溫恒濕控制系統(tǒng) ? 19 英寸標準機架 ? 10M/100M 共享或獨占接口 (海量營銷管理培訓資料下載 ) 26 ? 獨立 IP 地址 ? 服務器配置 ? 服務器系統(tǒng)軟件安裝、調試 ? 24 7 網絡系統(tǒng)管理維護與技術支持 ? 24 小時實時的服務器運行狀態(tài)、流量監(jiān)測 ? 詳細的訪問統(tǒng)計報告 ? 緊急狀況的處理 共享式網站托管 又可稱為虛擬主機業(yè)務，是指在一種 Inter 的網站工作環(huán)境下， IDC 的網絡服務器可以容納許多相互獨立的多個網站和 Email 系統(tǒng)，并且由 IDC 提供管理維護服務。而每一位客戶可以有條件地訪問和控制服務器上的一小部分，從而用來構建自己的網站。 虛擬主機依托于一臺服務器，多個網站可以在這臺服務器上共享資源（硬盤空間、處理器以及內存空間），單獨的一臺服務器上可以同時運行多個虛擬主機。 虛擬主機是一種初級的網絡系統(tǒng)方案，其用途主要是容納一些中小型企業(yè)應用以及靜態(tài)網頁。在商業(yè)網站發(fā)展的早期階段，是系統(tǒng)采取的主要解決方案。其業(yè)務需求的前提如下： ? 建設網站系統(tǒng)需要高額的硬件費用； ? 缺乏維護 這些系統(tǒng)的有經驗的專家； ? 網站比較簡單； ? 交互應用程序較少； ? 網絡帶寬的限制。 現(xiàn)在 Inter 上很多網站都采用虛擬主機系統(tǒng)方案。虛擬主機業(yè)務市場將會隨著這個產業(yè)的發(fā)展而不斷調整與變化，不斷地滿足如小型企業(yè)、社會團體以及其它僅需要一種簡單的網頁系統(tǒng)的需求。但由于這種業(yè)務模式的技術難度不大，所需投資較小，競爭也比較激烈，利潤也較低。 在 IDC 網絡建設初期，虛擬主機業(yè)務為服務提供商提供了巨大的市場機遇，而且它是實施其他增值服務（例如應用托管業(yè)務）的基礎。 (海量營銷管理培訓資料下載 ) 27 共享式網站托管是深受中、小企業(yè)歡迎的一個價廉物美的服 務，內容包括： ? 國際、國內域名代理申請 ? URL域名解析 ? FTP 訪問及其密碼修改 ? 斷點續(xù)傳支持 ? CGI/Perl 支持，專用 CGI－ BIN 目錄 ? Active X/VB Script 支持 ? JAVA Applet/Class 支持 ? 防火墻保護 ? 服務器 24 小時不間斷運行 ? WEB 設計服務 ? WEB Counter 計數(shù)器 ? Banner 廣告條 ? 搜索引擎 ? Email 自動轉發(fā)、回復及郵件列表支持 IDC 可根據用戶對以上功能的選擇及對存儲空間的要求，定義成不同級別的服務包提供給最終用戶。 在基于網站托管業(yè)務 IDC 的網絡全貌如下圖所示 ，網絡分為 Inter 連接層、核心層、分布層、服務器接入及后臺管理平臺。 (海量營銷管理培訓資料下載 ) 28 在提供網站托管業(yè)務時， IDC 服務提供商需提供并管理所有各層的設備，對于 IDC 的用戶是完全透明的，從而用戶可以專注于其業(yè)務而無需負責任何系統(tǒng)的管理。對于網絡結構中各層的詳細描述，請參見后續(xù)相應章節(jié)。 3 網絡安全 (海量營銷管理培訓資料下載 ) 29 安全服務基本托管服務網站托管( 共享 )網站托管( 獨占 )主機托管高級安全服務P r ivate VLA N專用防火墻專用的入侵監(jiān)測安全審計 眾所周知，作為全球使用范圍最大的信息網， Inter 自身協(xié)議的開放性極大地方便了各種計算機 連網，拓寬了共享資源。但是，由于在早期網絡協(xié)議設計上對安全問題的忽視，以及在使用和管理上的無政府狀態(tài)，逐漸使 Inter 自身的安全受到嚴重威脅，與它有關的安全事故屢有發(fā)生。對網絡安全的威脅主要表現(xiàn)在：拒絕服務、非授權訪問、冒充合法用戶、破壞數(shù)據完整性、干擾系統(tǒng)正常運行、利用網絡傳播病毒、線路竊聽等方面。這就要求我們對與 Inter 互連所帶來的安全性問題予以足夠重視。 IDC 以 Inter 技術體系作為基礎，主要特點是以 TCP/IP 為傳輸協(xié)議和以瀏覽器 /WEB 為處理模式。所以我們在 IDC 的設計中必 須充分重視安全問題，盡可能的減少安全漏洞。此外，我們還應該根據 IDC 的客戶需求提供不同的安全服務，同時最大限度的保證 IDC 網絡管理中心（ NOC）自身的安全。 IDC的安全需求 我們把對于 IDC 的安全需求分為三類：分別是 IDC 基本服務， IDC 增值服務，IDC NOC。 對于 IDC 基本服務的安全需求如下： ? AAA 服務，提供認證，授權及審計的功能 (海量營銷管理培訓資料下載 ) 210 ? 防 Dos 黑客攻擊功能 ? 線速 ACL功能 對于 IDC 增值服務的安全需求如下： ? AAA 服務，提供認證，授權及審計的功能 ? 防 Dos 黑客攻擊功能 ? 線速 ACL功能 ? 防 火墻及防火墻平滑切換功能 ? 入侵檢測功能 ? 漏洞檢測功能 ? 線速 NAT 對于 IDC NOC 的安全需求如下： ? AAA 服務，提供認證，授權及審計的功能 ? 防 Dos 黑客攻擊功能 ? 線速 ACL功能 ? 防火墻及防火墻平滑切換功能 ? 入侵檢測功能 ? 漏洞檢測功能 ? 線速 NAT ? ACL的策略管理 ? 安全元件的策略管理 ? VPN AAA 服務 所謂 AAA 是（ Authentication、 Authorization、 Accounting）的縮寫，即認證、授權、記帳功能，簡單的說： 認證：用戶身份的確認，確定允許哪些用戶登錄，對用戶的身份的校 驗。 授權：當用戶登錄后允許該用戶可以干什么，執(zhí)行哪些操作的授權。 記帳：記錄用戶登錄后干了些什么。 AAA 功能的實施需要兩部分的配合：支持 AAA 的網絡設備、 AAA 服務器。 (海量營銷管理培訓資料下載 ) 211 RADIUS/TACACS+是實施 AAA 常用的協(xié)議，認證軟件需要有完整的記帳功能，并且可以將 USER 信息直接導入軟件的用戶數(shù)據庫，極大方便的 AAA 服務的用戶管理。 在使用 AAA 的功能后用戶通過網絡遠程登錄到網絡設備上的基本過程如下： 用戶執(zhí)行遠程登錄命令（例如： Tel），網絡設備提示輸入用戶姓名、口令。 用戶輸入口令后，網絡設備向 AAA 服務器查詢該用戶是否有權登錄。 AAA 服務器檢索用戶數(shù)據庫，如果該用戶允許登錄則向網絡設備返回PERMIT 信息和該用戶在該網絡設備上可執(zhí)行的命令同時將用戶登錄的時間、 IP作詳細記錄；若不能在用戶數(shù)據庫中檢索到該用戶的信息則返回 DENY 信息，并可以根據設置向網管工作站發(fā)送 SNMP 的警告消息。 當網絡設備得到 AAA 的應答后，可以根據應答的內容作出相應的操作，如果應答為 DENY 則關閉掉當前的 SESSION 進程；如果為 PERMIT 則根據 AAA服