【正文】 ： ； :； 群： 第二章 網(wǎng)絡(luò)方案 1 概述 如下圖是整個 IDC 的建設(shè)框架，本章將闡述網(wǎng)絡(luò)框架的建設(shè)以及網(wǎng)絡(luò)管理。 網(wǎng)絡(luò)架構(gòu)運(yùn)行在布線系統(tǒng)，供電系統(tǒng)等基礎(chǔ)系統(tǒng)之上，同時為主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)提供平臺。而在橫向結(jié)構(gòu)上， IDC 的網(wǎng)絡(luò)運(yùn)行離不開網(wǎng)絡(luò)管理和運(yùn)營維護(hù) 。網(wǎng)絡(luò)架構(gòu)的可靠，穩(wěn)定，高效，安全，可擴(kuò)展，可管理性將直接關(guān)系到上層的主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，也將直接關(guān)系到 IDC 業(yè)務(wù)的順利開展和運(yùn)行。總之，網(wǎng)絡(luò)架構(gòu)是 IDC 建設(shè)框架中重要而又承上啟下的一環(huán)，網(wǎng)絡(luò)系統(tǒng)的設(shè)計是否完善將直接影響到 IDC 建設(shè)的質(zhì)量。 IDC 網(wǎng)絡(luò)架構(gòu)的整體設(shè)計框架如下圖所示。 基本托管服務(wù) 網(wǎng)站托管 ( 共享 ) 網(wǎng)站托管 ( 獨(dú)占 ) 主機(jī)托管高級安全服務(wù)P r i vat e V LA N專用防火墻、專用入侵探測安全審計I nt er 連接服務(wù)C om m i t t ed A ccess R at e服務(wù)類別 ( C O S )內(nèi)容交換服務(wù)基于 I P , U R L, C oo ki e 的負(fù)載均衡語言和終端設(shè)備優(yōu)化跨地域負(fù)載均衡內(nèi)容傳送服務(wù)網(wǎng)站服務(wù)加速網(wǎng)站內(nèi)容推送突發(fā)擁擠保障內(nèi)容分段復(fù)制后臺連接服務(wù)端到端安全端到端私用網(wǎng)絡(luò)IDC 網(wǎng)絡(luò)架構(gòu)運(yùn)行管理 專業(yè)服務(wù) IDC 的業(yè)務(wù)將包含接入業(yè)務(wù)，空間出租業(yè)務(wù)，托管業(yè)務(wù)，管理業(yè)務(wù)和增值業(yè)務(wù)。本章將在介紹 IDC 網(wǎng)絡(luò)設(shè)計的同時，闡述每個設(shè)計要點(diǎn)對 IDC 業(yè)務(wù)的影響和重要性。因為上圖中整個 IDC 建設(shè)框架的最終目的是為了 IDC 業(yè)務(wù)的開展和拓展，在這個框架的每個部分都必須貫穿為 IDC 業(yè)務(wù)開展服務(wù)的宗旨。 本章將從托管服務(wù)，網(wǎng)絡(luò)安全， Inter 連接，內(nèi)容交換，內(nèi)容傳送，后臺連接和網(wǎng)絡(luò)管理等方面具體闡述 IDC 網(wǎng)絡(luò)解決方案對 IDC 業(yè)務(wù)的針對性設(shè)計。 2 托管服務(wù) IDC 的基本業(yè)務(wù)包括網(wǎng)站托管（ Web hosting）和主機(jī)托管（ Colocation）兩大類。其中網(wǎng)站托管分為共享式和獨(dú)享式兩種。由于其業(yè)務(wù)模式的不同，使得其在對網(wǎng)絡(luò)設(shè)計時的要求也不相同。以下分別給出基于兩種不同模式時的網(wǎng)絡(luò)全貌。 Bas ic Ho sting Servi ces基本托管服務(wù)網(wǎng)站托管( 共享 )網(wǎng)站托管( 獨(dú)占 )主機(jī)托管 基于主機(jī)托管的 IDC 網(wǎng)絡(luò)全貌 主機(jī)托管是 IDC 初期為其用戶提供的一種基礎(chǔ)服務(wù)。網(wǎng)站及企業(yè)用戶自身擁有若干服務(wù)器，并把它放置在 IDC 的機(jī)房里，由客戶自己進(jìn)行維護(hù)。 主機(jī)托管業(yè)務(wù)的特點(diǎn)：投資降低，用戶可使用已購買的服務(wù)器等設(shè)備，無需再作設(shè)備投資，并且可采用 IDC 提供的線路。 該業(yè)務(wù)適合于自身有較強(qiáng)的網(wǎng)絡(luò)運(yùn)行維護(hù)經(jīng)驗并在數(shù)據(jù)中心建立之前已投入人力物力建設(shè)了網(wǎng)站設(shè)備的大型企業(yè)用戶。如著名的 Yahoo、 eBay、 Amazon。都采用了主機(jī)托管業(yè)務(wù)。 提供主機(jī)托管業(yè)務(wù)的 IDC 向其用戶提供的業(yè)務(wù)主要包括與 Inter 網(wǎng)的連接以及提供獨(dú)立安全的場地，這樣對于 IDC 而言在進(jìn)行網(wǎng)絡(luò)設(shè)計時必須考慮提高網(wǎng)絡(luò)連接的速度及可靠性，從而為用戶提供高質(zhì)量的服務(wù)。 對主機(jī)托管業(yè)務(wù)， IDC 可為客戶提供 n x 100M 或者千兆獨(dú)占帶寬的電信級專業(yè)機(jī)房租用服務(wù)，包括 ? 隨時可擴(kuò)充的獨(dú)占帶寬 ? UPS 不間斷電源保障 ? 24 小時實(shí)時攝像監(jiān)控 ? 電源控制系統(tǒng) ? 保安系統(tǒng) ? 消防系統(tǒng) 以及可選的機(jī)柜出租： ? 標(biāo)準(zhǔn)電信級機(jī)柜：高 2M、深 1M 或 1。 2 米、寬 19 英寸 ? 每臺機(jī)柜提供獨(dú)立電源控制 ? 高速以太網(wǎng)接 口 ? 獨(dú)立風(fēng)扇設(shè)備 基于主機(jī)托管業(yè)務(wù) IDC 的網(wǎng)絡(luò)全貌如下圖所示，網(wǎng)絡(luò)分為 Inter 連接層、核心層和服務(wù)器接入層。 在提供主機(jī)托管服務(wù)給用戶時， IDC 服務(wù)提供商將負(fù)責(zé)提供 Inter 連接層、核心層、分布層及服務(wù)器接入層的設(shè)備并保障其穩(wěn)定運(yùn)行。用戶則需要自己負(fù)責(zé)服務(wù)器以及包含防火墻等在內(nèi)的內(nèi)部網(wǎng)絡(luò)。有關(guān)網(wǎng)絡(luò)各層的描述，請參見后續(xù)相應(yīng)章節(jié)。 基于網(wǎng)站托管的 IDC 網(wǎng)絡(luò)全貌 網(wǎng)站托管是 IDC 經(jīng)過發(fā)展后而開展的一項業(yè)務(wù)。用戶采用 IDC 提供的服務(wù) 器來 存放數(shù)據(jù)，運(yùn)行軟件?？傮w來講數(shù)據(jù)中心的硬件設(shè)備主要包括：服務(wù)器陣列、網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）、機(jī)房控制設(shè)備、防火系統(tǒng)、備用電源、空調(diào)設(shè)施等。數(shù)據(jù)服務(wù)中心的建設(shè)除了必須具有一定面積的機(jī)房和相當(dāng)數(shù)量的服務(wù)器外，還必須對運(yùn)維管理、安全系統(tǒng)、監(jiān)控等設(shè)施、工具和專業(yè)服務(wù)進(jìn)行深入的考慮。 提供網(wǎng)站托管業(yè)務(wù)的 IDC 向其用戶提供的業(yè)務(wù)主要包括網(wǎng)絡(luò)設(shè)施及網(wǎng)站托管，這樣對于 IDC 而言在進(jìn)行網(wǎng)絡(luò)設(shè)計時必須考慮以下要素： ? 提高服務(wù)器及 Web 應(yīng)用的可訪問性，這需要網(wǎng)絡(luò)具有內(nèi)容識別（ Content Aware）的功能 ? 為方便租用主機(jī) 的用戶易于控制及管理其主機(jī)內(nèi)容，提供相應(yīng)的管理平臺。 獨(dú)享式網(wǎng)站托管 IDC 為用戶提供專用主機(jī)，這更適合于具有復(fù)雜業(yè)務(wù)的站點(diǎn)。專用主機(jī)可以為這些關(guān)鍵應(yīng)用提供高質(zhì)量、安全的服務(wù)。對于這種業(yè)務(wù)模型，用戶將其服務(wù)器包給了數(shù)據(jù)服務(wù)中心經(jīng)營者，用戶不必?fù)碛杏嬎銠C(jī)、網(wǎng)絡(luò)方面的技術(shù)人員而享受數(shù)據(jù)服務(wù)中心所提供的全套專業(yè)服務(wù)。 為了保證服務(wù)質(zhì)量，獲得相應(yīng)的高增值服務(wù)費(fèi)用， IDC 服務(wù)經(jīng)營者通常與用戶制定 SLA（ Service Level Agreement）。運(yùn)營者遵照 SLA 上規(guī)定的條例保證服務(wù)的不間斷、丟包率、網(wǎng)絡(luò)響應(yīng)時 間。經(jīng)營者通過提供例如：平臺設(shè)計、服務(wù)監(jiān)控、服務(wù)品質(zhì)測試、網(wǎng)絡(luò)安全管理和緩存等項增值服務(wù)加強(qiáng)市場競爭力。 對中小型網(wǎng)站而言，無論是從運(yùn)營維護(hù)的角度，還是對整體業(yè)務(wù)收入而言，與場地租用的服務(wù)相比，獨(dú)享主機(jī)服務(wù)更能吸引 IDC 的經(jīng)營者。根據(jù)用戶需求的不同，我們可以定義單機(jī)，雙機(jī)集群或包括數(shù)據(jù)庫服務(wù)器的獨(dú)享主機(jī)服務(wù)包。其他作為獨(dú)享主機(jī)托管服務(wù)的一部分還應(yīng)包括： ? 電信級高品質(zhì)機(jī)房環(huán)境和設(shè)備 ? 可靠的供電系統(tǒng) ? 恒溫恒濕控制系統(tǒng) ? 19 英寸標(biāo)準(zhǔn)機(jī)架 ? 10M/100M 共享或獨(dú)占接口 ? 獨(dú)立 IP 地址 ? 服務(wù)器配置 ? 服務(wù)器系統(tǒng)軟件安裝 、調(diào)試 ? 24 7 網(wǎng)絡(luò)系統(tǒng)管理維護(hù)與技術(shù)支持 ? 24 小時實(shí)時的服務(wù)器運(yùn)行狀態(tài)、流量監(jiān)測 ? 詳細(xì)的訪問統(tǒng)計報告 ? 緊急狀況的處理 共享式網(wǎng)站托管 又可稱為虛擬主機(jī)業(yè)務(wù)，是指在一種 Inter 的網(wǎng)站工作環(huán)境下， IDC 的網(wǎng)絡(luò)服務(wù)器可以容納許多相互獨(dú)立的多個網(wǎng)站和 Email 系統(tǒng)，并且由 IDC 提供管理維護(hù)服務(wù)。而每一位客戶可以有條件地訪問和控制服務(wù)器上的一小部分，從而用來構(gòu)建自己的網(wǎng)站。 虛擬主機(jī)依托于一臺服務(wù)器，多個網(wǎng)站可以在這臺服務(wù)器上共享資源（硬盤空間、處理器以及內(nèi)存空間），單獨(dú)的一臺服務(wù)器上可以同時運(yùn)行多個虛擬 主機(jī)。 虛擬主機(jī)是一種初級的網(wǎng)絡(luò)系統(tǒng)方案，其用途主要是容納一些中小型企業(yè)應(yīng)用以及靜態(tài)網(wǎng)頁。在商業(yè)網(wǎng)站發(fā)展的早期階段，是系統(tǒng)采取的主要解決方案。其業(yè)務(wù)需求的前提如下： ? 建設(shè)網(wǎng)站系統(tǒng)需要高額的硬件費(fèi)用； ? 缺乏維護(hù)這些系統(tǒng)的有經(jīng)驗的專家； ? 網(wǎng)站比較簡單； ? 交互應(yīng)用程序較少； ? 網(wǎng)絡(luò)帶寬的限制。 現(xiàn)在 Inter 上很多網(wǎng)站都采用虛擬主機(jī)系統(tǒng)方案。虛擬主機(jī)業(yè)務(wù)市場將會隨著這個產(chǎn)業(yè)的發(fā)展而不斷調(diào)整與變化，不斷地滿足如小型企業(yè)、社會團(tuán)體以及其它僅需要一種簡單的網(wǎng)頁系統(tǒng)的需求。但由于這種業(yè)務(wù)模式的技術(shù)難度不大，所需投資較 小，競爭也比較激烈，利潤也較低。 在 IDC 網(wǎng)絡(luò)建設(shè)初期，虛擬主機(jī)業(yè)務(wù)為服務(wù)提供商提供了巨大的市場機(jī)遇，而且它是實(shí)施其他增值服務(wù)（例如應(yīng)用托管業(yè)務(wù)）的基礎(chǔ)。 共享式網(wǎng)站托管是深受中、小企業(yè)歡迎的一個價廉物美的服務(wù)，內(nèi)容包括： ? 國際、國內(nèi)域名代理申請 ? URL 域名解析 ? FTP 訪問及其密碼修改 ? 斷點(diǎn)續(xù)傳支持 ? CGI/Perl 支持，專用 CGI－ BIN 目錄 ? Active X/VB Script 支持 ? JAVA Applet/Class 支持 ? 防火墻保護(hù) ? 服務(wù)器 24 小時不間斷運(yùn)行 ? WEB 設(shè)計服務(wù) ? WEB Counter 計數(shù)器 ? Banner 廣告條 ? 搜索引擎 ? Email自動轉(zhuǎn)發(fā)、回復(fù)及郵件列表支持 IDC 可根據(jù)用戶對以上功能的選擇及對存儲空間的要求，定義成不同級別的服務(wù)包提供給最終用戶。 在基于網(wǎng)站托管業(yè)務(wù) IDC 的網(wǎng)絡(luò)全貌如下圖所示，網(wǎng)絡(luò)分為 Inter 連接層、核心層、分布層、服務(wù)器接入及后臺管理平臺。 在提供網(wǎng)站托管業(yè)務(wù)時， IDC 服務(wù)提供商需提供并管理所有各層的設(shè)備，對于 IDC 的用戶是完全透明的，從而用戶可以專注于其業(yè)務(wù)而無需負(fù)責(zé)任何系統(tǒng)的管理。對于網(wǎng)絡(luò)結(jié)構(gòu)中各層 的詳細(xì)描述，請參見后續(xù)相應(yīng)章節(jié)。 3 網(wǎng)絡(luò)安全 安全服務(wù)基本托管服務(wù)網(wǎng)站托管( 共享 )網(wǎng)站托管( 獨(dú)占 )主機(jī)托管高級安全服務(wù)P r iv at e V L AN專用防火墻專用的入侵監(jiān)測安全審計 眾所周知，作為全球使用范圍最大的信息網(wǎng)， Inter 自身協(xié)議的開放性極大地方便了各種計算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及在使用和管理上的無政府狀態(tài)，逐漸使 Inter 自身的安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：拒絕服務(wù)、非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等方面。 這就要求我們對與 Inter 互連所帶來的安全性問題予以足夠重視。 IDC 以 Inter 技術(shù)體系作為基礎(chǔ)，主要特點(diǎn)是以 TCP/IP 為傳輸協(xié)議和以瀏覽器 /WEB 為處理模式。所以我們在 IDC 的設(shè)計中必須充分重視安全問題，盡可能的減少安全漏洞。此外，我們還應(yīng)該根據(jù) IDC 的客戶需求提供不同的安全服務(wù)，同時最大限度的保證 IDC 網(wǎng)絡(luò)管理中心（ NOC）自身的安全。 IDC 的安全需求 我們把對于 IDC 的安全需求分為三類：分別是 IDC 基本服務(wù)， IDC 增值服務(wù)， IDC NOC。 對于 IDC 基本服務(wù)的安全需求如下： ? AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計的功能 ? 防 Dos 黑客攻擊功能 ? 線速 ACL 功能 對于 IDC 增值服務(wù)的安全需求如下： ? AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計的功能 ? 防 Dos 黑客攻擊功能 ? 線速 ACL 功能 ? 防火墻及防火墻平滑切換功能 ? 入侵檢測功能 ? 漏洞檢測功能 ? 線速 NAT 對于 IDC NOC 的安全需求如下： ? AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計的功能 ? 防 Dos 黑客攻擊功能 ? 線速 ACL 功能 ? 防火墻及防火墻平滑切換功能 ? 入侵檢測功能 ? 漏洞檢測功能 ? 線速 NAT ? ACL 的策略管理 ? 安全元件的策略管理 ? VPN AAA 服務(wù) 所謂 AAA 是（ Authentication、 Authorization、 Accounting）的縮寫，即認(rèn)證、授權(quán)、記帳功能，簡單的說： 認(rèn)證：用戶身份的確認(rèn)，確定允許哪些用戶登錄，對用戶的身份的校驗。 授權(quán)：當(dāng)用戶登錄后允許該用戶可以干什么，執(zhí)行哪些操作的授權(quán)。 記帳：記錄用戶登錄后干了些什么。 AAA 功能的實(shí)施需要兩部分的配合：支持 AAA 的網(wǎng)絡(luò)設(shè)備、 AAA 服務(wù)器。 RADIUS/TACACS+是實(shí)施 AAA 常用的協(xié)議，認(rèn)證軟件需要有完整的記帳功能，并且可以將 USER 信息直接導(dǎo)入軟件的用戶數(shù)據(jù)庫，極大 方便的 AAA 服務(wù)的用戶管理。 在使用 AAA 的功能后用戶通過網(wǎng)絡(luò)遠(yuǎn)程登錄到網(wǎng)絡(luò)設(shè)備上的基本過程如下： 用戶執(zhí)行遠(yuǎn)程登錄命令（例如： Tel），網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。 用戶輸入口令后，網(wǎng)絡(luò)設(shè)備向 AAA 服務(wù)器查詢該用戶是否有權(quán)登錄。 AAA 服務(wù)器檢索用戶數(shù)據(jù)庫，如果該用戶允許登錄則向網(wǎng)絡(luò)設(shè)備返回PERMIT 信息和該用戶在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時將用戶登錄的時間、 IP作詳細(xì)記錄；若不能在用戶數(shù)據(jù)庫中檢索到該用戶的信息則返回 DENY 信息，并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送 SNMP 的警告消息。 當(dāng)網(wǎng)絡(luò)設(shè)備 得到 AAA 的應(yīng)答后，可以根據(jù)應(yīng)答的內(nèi)容作出相應(yīng)的操作，如果應(yīng)答為 DENY 則關(guān)閉掉當(dāng)前的 SESSION 進(jìn)程；如果為 PERMIT 則根據(jù) AAA服務(wù)器返回的用戶權(quán)限為該用戶開啟 SESSION 進(jìn)程，并將用戶所執(zhí)行的操作向AAA 服務(wù)器進(jìn)行報告。 通過 AAA 的實(shí)施我們可以方便的控制網(wǎng)絡(luò)設(shè)備的安全性，同時結(jié)合 ACL 的設(shè)置限制能夠進(jìn)行遠(yuǎn)程登錄的工作站的數(shù)量、 IP 地址降低網(wǎng)絡(luò)設(shè)備受到攻擊的可能性。 防 DoS黑客攻擊 在拒絕服務(wù)（ DoS）攻擊中，惡意用戶向服務(wù)器發(fā)送多個認(rèn)證請求，使其滿負(fù)載，并且所有請求的返回地址都是偽造的。當(dāng) 服務(wù)器企圖