【文章內容簡介】 報 告 許多國際 IDC 的經營者已經在亞太或全球建立多個 IDC，希望將他們的 IDC服務范圍擴展到中國并逐步開始將運營重點轉移到中國大陸地區(qū)，希望電信運營商能滿足共同提供 IDC 服務的要求?？煽紤]在 IDC 中劃分 VIP 區(qū)，放置相應的網絡設備或主機為他們的客戶提供全球統(tǒng)一的服務。 216。 機房出租：此項經營方式參考國內客戶。 216。 機房互換：與國外運行商進行對等機房互換，以為國內客戶提供全球性服務。 216。 互換項目：相同的機房面積 /數(shù)量相同的 IP 地址 /相同速率的端口 /相同的機架個數(shù) . 4 IDC 系統(tǒng)設計原則 鑒 于 IDC 網絡系統(tǒng)整個工程中重要性，網絡系統(tǒng)設計必須既適應當前應用考慮，又面向未來信息化發(fā)展需求。在設計網絡技術方案時，遵循以下設計原則： 實用性和先進性 采用先進成熟的技術滿足當前的業(yè)務需求，兼顧其他相關的業(yè)務需求，盡可能采用先進的網絡技術以適應更高的數(shù)據(jù)、多媒體信息的傳輸需要，使整個系統(tǒng)在一段時期內保持技術的先進，并具有良好的發(fā)展?jié)摿?，以適應未來業(yè)務的發(fā)展和技術升級的需要。 安全可靠性 為保證將來的業(yè)務應用，網絡必須具有高可靠性。要對網絡結構、網絡設備、服務器設備等各個方面進行高可靠性的設 計和建設。在采用硬件備份、冗余等可靠性技術的基礎上，采用相關的軟件技術提供較強的管理機制、控制手段和事故監(jiān)控和網絡安全保密等技術措施提高網絡系統(tǒng)的安全可靠性。 靈活性與可擴展性 網絡系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，所以它必須具有良好的擴展性。能夠根據(jù)將來信息化的不斷深入發(fā)展的需要，方便的擴展網絡覆蓋范圍、擴大網絡容量和提高網絡各層次節(jié)點的功能。具備支持多種通信媒體、多種物理接口的能力，提供技術升級、設備更新的靈活性。 開放性 /互連性 具備與多種協(xié)議計算機通信網絡互連互通的特性，確保網絡系統(tǒng)基礎設施 的作用可以充分發(fā)揮。在結構上真正實現(xiàn)開放，基于國際開放式標準，包括各種廣域網、局域網、計算機及數(shù)據(jù)庫協(xié)議，堅持全國統(tǒng)一規(guī)范的原則，從而為未來的業(yè)務發(fā)展奠定基礎。 經濟性 /投資保護 應以較高的性能價格比構建網絡系統(tǒng)，使資金的產出投入比達到最大值。能以較低的成本、較少的人員投入來維持系統(tǒng)運轉，提供高效能與高效益。盡可能保留并延長已有系統(tǒng)的投資，充分利用以往在資金與技術方面的投入。 可管理性 在 IDC 環(huán)境中 WWW 服務器以及路由器等設備是委托管理的，所以對設備的遠程管理便非常重要。由于系統(tǒng)本身具有一 定復雜性，隨著業(yè)務的不斷發(fā)展，網絡管理的任務必定會日益繁重。所以在網絡的設計中，必須建立一個全面的網絡管理解決方案。網絡設備必須采用智能化，可管理的設備，同時采用先進的網絡管理軟件，實現(xiàn)先進的分布式管理。最終能夠實現(xiàn)監(jiān)控、監(jiān)測整個網絡的運行狀況，合理分配網絡資源、動態(tài)配置網絡負載，可以迅速確定網絡故障等。 5 Radware IDC 網絡方案設計思路 為了便于 IDC 網絡系統(tǒng)的設計實施以及擴充， Radware 建議 IDC 網絡系統(tǒng)采用分層設計的思路，整個 IDC 網絡從邏輯上可以分為以下三個層次：網絡基礎構架層、系統(tǒng) 增值及安全防護服務層、應用系統(tǒng)層： ： 網絡基礎構架層主要是部署 L2/L3 設備，包含傳統(tǒng)的路由器、交換機、集線器，主要用于構建 IDC 網絡基礎平臺 . 網絡基礎構架層具體包括 Inter 接入層、核心交換層、分布層（服務器接入層）三部分。 Inter 接入層 作為 IDC 網絡與公共 IP 骨干網絡的接口， Inter 接入層提供了 IDC 與公共IP 網的橋梁，它的運行情況直接關系到 IDC 為其用戶所提供的服務的質量。 整個 IDC 內部網絡通過兩條 100 或 1000 兆光纖接入 Inter. 核心交換層 核心交換機通常采用 2臺設備，保證系統(tǒng)的高性能和高可靠性以及可擴展性。核心交換機采用雙電源和雙管理引擎，保證設備的高可靠性。 核心交換機之間通過千兆以太網通道（ GEC）方式相互連接，保證系統(tǒng)的高可靠性和高性能。 核心交換機提供以下主要功能： 1. 匯接接入層的交換機 2. 通過 GE 連接 4/7 層交換設備 3. 連接分布層交換機 4. 提供第三層的路由功能，如 VLAN 間的路由 5. 通過與出口路由器交換路由信息實現(xiàn)全面的路由功能 6. 提供高性能的交換能力 7. 對路由協(xié)議的支持（ BGP， OSPF， RIP 等）等功能 8. 靈活的可 擴展能力 高性能的交換能力，智能化網絡的功能，集成的防火墻功能，模塊化的設計和豐富的模塊類型都為網絡的擴展提供了強大的靈活性。 分布層 分布層通常采用高密度 2 層交換機，提供機柜內信息點的接入。分布層交換機通過 2 個 GB 以太網口分別連接 2 臺核心交換機，從而實現(xiàn)高帶寬和高可靠性的骨干連接，消除了單點故障。 交換式局域網部分形成了雙星形結構，即有利于系統(tǒng)的擴展，也有利于運行維護工作。 在這一層將服務器分別根據(jù)服務的要求放置在不同的區(qū)域，從而為不同的用戶提供為他們量身定做的服務。 IDC 服務器接入層主要劃 分為主機托管區(qū)、虛擬主機區(qū)、存儲區(qū)、測試區(qū)、網管區(qū)五部分。 系統(tǒng)增值及安全防護服務層 ： 系統(tǒng)增值服務主要是部署 L4/L7 設備，并利用這些設備提供如下系統(tǒng)增值服務：帶寬管理服務、防火墻負載均衡服務、全球化服務器負載均衡服務、緩存服務器負載均衡服務、 SSL服務器加速服務、服務器負載均衡服務等。主要目的是利用 L4/L7 設備在 IDC 網絡基礎平臺之上提供智能化網絡服務。 安全防護服務層主要是部署網絡安全防護設備，如防護墻、 IDS 服務器等，結合 L4/L7 設備為 IDC 提供安全防護。 應用系統(tǒng)層： 主要是用戶安全認證設備及應用軟件，用于向用戶提供完全透明的應用服務，從而使運營商由 IDC 應用向 ASP 應用發(fā)展。 6 Radware 網絡方案設計總體架構 根據(jù)上述設計原則和設計思路，我們建議 IDC 網絡系統(tǒng)總體架構可以分為以下幾個部分： IDC Inter接入部分 IDC Inter 接入部分用于實現(xiàn) IDC 與 INTERNET 的接入互連。 IDC增值服務及安全管理部分 網絡增值服務部分用于實現(xiàn)對 IDC 提供網絡增值服務，包括帶寬管理服務、防火墻負載均衡服務、全球化服務器負載均衡服務、緩 存服務器負載均衡服務、SSL服務器加速服務、服務器負載均衡服務等。 網絡安全管理部分用于實現(xiàn)對 IDC 內部網的安全性管理。 IDC核心骨干交換部分 千兆以太網主干部分用于構建 IDC 內部網絡主干核心 IDC 接入部分 L2/L3 主干接入部分用于實現(xiàn) IDC 內部網絡主干核心的接入扇出，與千兆以太網主干部分一起構成 IDC 內部網絡 L2/L3 基礎架構。 IDC用戶接入部分 IDC 用戶接入部分用于實現(xiàn)將 IDC 的用戶的接入到 IDC 的內部網絡，根據(jù)用戶接入方式的不同，可以將用戶分為 2 種類型， 租用固定帶寬服務的用戶： 例如： Sohu， Sina，他們擁有自己的網絡增值服務設備，例如：帶寬管理服務、防火墻負載均衡服務、全球化服務器負載均衡服務、緩存服務器負載均衡服務、 SSL 服務器加速服務、服務器負載均衡服務等。這類用戶僅需要從 IDC 租用固定帶寬的服務，以滿足用戶網絡應用的需求。 租用 IDC 系統(tǒng)增值服務的用戶： 這類用戶通常是 IDC 的中小客戶，由于投資限制，他們不會自己購買網絡增值服務設備，但由于應用的需要，他們又需要使用網絡增值服務設備，因此他們需要使用 IDC 提供的網絡增值服務設備 ，但這些設備屬于 IDC 擁有，用戶需要租用 IDC 提供的這類增值服務。 7 Radware 網絡方案設計說明 Radware IDC 網絡總體方案設計 根據(jù)上述網絡方案設計思路和網絡方案設計總體架構， Radware 建議 IDC 網絡方案設計如下圖所示： 如圖所示 , IDC 分為 VIP 區(qū)和增值服務區(qū)，對 VIP 區(qū)的用戶 IDC 只提供高速的接入，對增值服務區(qū)的用戶 IDC 在提供高速的接入的同時還提供網絡增值服務。 Radware IDC網絡增值服務說明 在增值服務區(qū)共采用了 8 臺 Radware 的設備， 2 臺 LinkProof、 2 臺 FireProof、2 臺 WSD 和 2 臺 Certain T 100。網絡增值服務具體實現(xiàn)功能描述如下： 位于防火墻外部的 LinkProof 實現(xiàn)如下 3 個功能： 網絡帶寬管理： 利用 LinkProof 智能交換機可以實現(xiàn) IDC 帶寬管理（ BWM）服務， BWM 提供了強大的分級引擎，可以按照源和目標 IP 地址或者地址組、應用程序、端口、內容 /URL 和 cookies 對流量進行分級。這使 IDC 可以根據(jù)上述參數(shù)對流量類型進行區(qū)分，并確定如何恰當?shù)靥幚砹髁款愋停瑥亩鴮?IDC 內部的用戶進行高效的帶寬管理。 網絡安全： LinkProof 還具有安全性防護功能， LinkProof 包含的應用安全模塊可以保護 IDC 內部服務器免受 1200 多種攻擊信號的攻擊。此模塊的設計使 Radware 的智能應用交換機可以作為 IDC 內部的各種資源前面的另一道防線，這些資源包括服務器、防火墻、 cache 服務器或者路由器。此模塊使用網絡信息和基于信息的應用，通過終止所跟蹤的可疑會話來實時檢測和阻止攻擊，包括在大吞吐量情況下防止 DoS 攻擊的 DoS Shield 模塊。 防火 墻負載均衡： 提供增強的安全保障是 IDC 內部網絡安全性控制的關鍵，為了避免由于引入防火墻設備而給網絡出口造成瓶頸，建議 IDC 采用 Radware 防火墻負載均衡網絡增值解決方案。具體可以設計是： 2 臺 LinProof 智能交換機和 2 臺 FireProof智能應用交換機，分別放置在多臺防火墻設備兩端，從而實現(xiàn)多臺防火墻的同時工作以及負載均衡。 位于防火墻內部的 FireProof 實現(xiàn)如下 2 個功能： 防火墻負載均衡： 與位于位于防火墻外部 2臺 LinProof智能交換機配合實現(xiàn)多臺防火墻的同時工作以及 負載均衡。 入侵檢測（ IDS）負載均衡： 利用 FireProof可以對 IDS進行負載均衡，使用 FireProof能夠配置多個 IDS，能夠讓不同網絡段中的 IDS 對其它網絡段中的流量進行“監(jiān)聽”。 WSD 實現(xiàn)如下 2 個功能： 服務器負載均衡： WSD 執(zhí)行復雜的負載均衡算法，可以針對 IDC 內部的服務器群動態(tài)分配負載。這些算法包括循環(huán)、最少用戶數(shù)、最小流量、 Native Windows NT 以及定制代理支持。除了這些算法， WSD 還可以為每個服務器分配一個可以配置的 性能加權，從而提高服務器組的性能。 WSD 根據(jù) IP 地址、應用類型和內容類決定流量分配。應用交換支持不同協(xié)議上的各種應用，包括 TCP、 UDP、 IP、 Tel、Rshell、 TFTP、流、被動 FTP、 HTTP、 、 DNS、 VOIP 等等。 SSL 加速功能： 與 CertainT 100 SSL 加速服務器配合 , 針對擁有電子商務業(yè)務的用戶， IDC可以提供給用戶電子商務加速服務。利用 WSD 交換機可以使 Web 服務器擺脫密集型處理的 SSL密鑰交換和加密 /解密功能。 CertainT 100 實現(xiàn)如下功能： SSL 加速功能：一個 CertainT 100 設備每秒能夠處理 600 至 1600 個 SSL會話，是一個 HTTPS 服務器所能處理的事務的 5 到 250 倍。 CertainT 為應用處理釋放了服務器資源，并且使服務器的投資發(fā)揮最大效益。與 WSD 共同使用，可以為 SSL加速服務提供無限的擴展能力。 8 IDC 網管系統(tǒng)建議 IDC網絡管理物理拓撲連接建議 在網絡系統(tǒng)中對網絡設備的管理根據(jù)網管數(shù)據(jù)對網絡帶寬的使用情況的不同可以分為兩大類： 帶內管理： 網絡管理的數(shù)據(jù)流量 與用戶的傳輸數(shù)據(jù)在同一個網絡系統(tǒng)內傳輸。采用這種方式不需要為網管系統(tǒng)單獨建立一套獨立的網絡但會造成網管數(shù)據(jù)與用戶數(shù)據(jù)競爭網絡傳輸資源。 帶外管理： 對設備的管理采用一套相對獨立的網絡系統(tǒng)。采用這種方式會不造成網管數(shù)據(jù)與用戶數(shù)據(jù)競爭網絡傳輸資源。 針對 IDC 網絡環(huán)境， Radware 建議采用帶外管理的方式，即將 Radware 交換機的空閑端口連接在獨立于 IDC 業(yè)務的網絡，對 Radware 智能交換機進行管理。 Radware設備管理簡介 所有 Radware 應用交換機的設備管理方式相同。下面 以 LinkProof 為例作簡單說明。 針對智能交換機 LinkProof，網絡管理人員可利用如下方式對其進行管理： n SNMP 網絡管理系統(tǒng) n Configware n Configware Insite n 標準的網絡瀏覽器 n 使用 Tel 命令 n CLI 命令行控制方式 n SSH 管理手段 SNMP 網絡管理系統(tǒng) Radware 提供標準 MIB 庫和擴展 MIB 庫，這樣就可以通過標準的網管平臺來進行設備的管理，為了方便管理， Radware 的 Configware 開發(fā)除了