【正文】 t2924XL 交換機(jī) 由于考慮到在酒店和寫字樓內(nèi)重新進(jìn)行數(shù)據(jù)布線有一定困難，所以采用 TDSL 技術(shù)實(shí)現(xiàn)樓內(nèi)的數(shù)據(jù)傳輸，所有數(shù)據(jù)交換設(shè)備都集中在中央機(jī)房內(nèi)，但網(wǎng)絡(luò)的總體結(jié)構(gòu)不變。分布層交換機(jī) Catalyst 4006 使用兩條千兆線路分別與兩臺(tái) 6509 相連，形成冗余的千兆主干。 Cat6509 上的千兆端口還用來連接其他的節(jié)點(diǎn)，與其他節(jié)點(diǎn)的 LAN 一起構(gòu)成一個(gè)分布式的城域范圍的數(shù)據(jù)中心的結(jié)構(gòu)。 另外，由于現(xiàn)在 INTERNET 上出現(xiàn)越來越多的多媒體形式的內(nèi)容，指望拓寬INTERNET 出口帶寬來提高用戶對(duì)這些內(nèi)容的訪問速度是根本不現(xiàn)實(shí)的，而使用CACHE 技術(shù)對(duì) INTERNET 上的這些內(nèi)容進(jìn)行緩存，不但可以使這些內(nèi)容對(duì)用戶變得現(xiàn)實(shí)可用，提高用戶的忠誠度，而且還可以通過定期定制一些多媒體節(jié)目在CACHE 中，以有償?shù)姆绞较蛴脩籼峁?，這就演化成了一種增值服務(wù)。 我們建議使用 NETAPP 公司的 NetCache C1105 來提供緩存服務(wù)，將其連接在INTERNET 接入路由器上提供服務(wù)。但多臺(tái)服務(wù)器的采用，必須考慮服務(wù)器的負(fù)載均衡問題。 CSS11000系列通過 ACA(Arrowpoint Content Assure protocol) 制定負(fù)荷參數(shù)，選擇最小負(fù)荷的服務(wù)器提供用戶所需的內(nèi)容。 Cisco CSS 11000 系列內(nèi)容服務(wù)交換機(jī)是業(yè)界唯一的動(dòng)態(tài)負(fù)載均衡交換機(jī)，采用具有專利權(quán)的 ACA 算法，可以根據(jù) Cache 服務(wù)器的命中率、流建立數(shù)和 RTT(Round Trip Time)選擇最合適的服務(wù)器應(yīng)答用戶的請(qǐng)求?；诎慕鉀Q方案通過檢測對(duì)某一特定 內(nèi)容的請(qǐng)求時(shí)的每個(gè)包來做轉(zhuǎn)發(fā)決定，這樣嚴(yán)重增加了 CPU 的負(fù)擔(dān)。 CSS 以下面的多種方法支持負(fù)載均衡： 輪詢 (Round Robin, RR) 最少連接 (Least Connection, LC)/最大連接 (Max Connection) 源 IP 地址 URL/URL Hash 算法 考慮到建設(shè)初期，負(fù)載均衡交換機(jī)不是必須的設(shè)備，而且也不是所有的托管站點(diǎn)都需要負(fù)載均衡功能，所以，我們建議先不采用負(fù)載均衡設(shè)備，等到有需求的時(shí)候再增加。 通過使用不同的網(wǎng)絡(luò)通道進(jìn)行數(shù)據(jù)庫等后臺(tái)應(yīng)用訪問，可以使服務(wù)器更充分的利用網(wǎng)絡(luò)帶寬來相應(yīng) WEB 請(qǐng)求；同時(shí)，后端網(wǎng)絡(luò)與前端網(wǎng)絡(luò)的分離 可以讓數(shù)據(jù)庫訪問、文件存取等要求高速、大容量的數(shù)據(jù)訪問享有更多的網(wǎng)絡(luò)帶寬。 5．后端網(wǎng)絡(luò)的設(shè)計(jì) 由于后端網(wǎng)絡(luò)連接 IDC 管理中心，數(shù)據(jù)庫、郵件等服務(wù)器和大容量存儲(chǔ)系統(tǒng)，需要高速的交換系統(tǒng)，所以我們使用兩臺(tái) Cat6509 交換機(jī)作冗余的核心，連接一組Cat3524 提供和 WEB 服務(wù)器的連接；對(duì)于數(shù)據(jù)庫等服務(wù)器和存儲(chǔ)系統(tǒng)，可以采用千兆以太端口或千兆以太通道提供高達(dá)數(shù) Gbps 的直接連接。通過連接到后端網(wǎng)絡(luò)的廣域網(wǎng)路由器可以提供用戶通過專線、撥號(hào)、 VPN 等各種方式實(shí)現(xiàn)遠(yuǎn)程維護(hù)。DDN 專線：用戶通過 DDN 專線連接到 IDC 中心，通過策略路由或 VLAN 被限制只能訪問自己的服務(wù)器，進(jìn)行維護(hù)。PSTN 或 ISDN 撥號(hào)：用戶通過撥號(hào)線路訪問 IDC 中心，身份認(rèn)證由 AAA Server進(jìn)行，并進(jìn)行行為授權(quán)，保證用戶只能訪問到自己的服務(wù)器進(jìn)行維護(hù)。VPN ：用戶可 能距離 IDC 中心太遠(yuǎn)，從各方面不具備通過 DDN 或 PSTN 線路訪問IDC 中心的條件，這是可以通過 INTERNET 采用 VPN 的方式與 IDC 中心連接并維護(hù)服務(wù)器。 VPN 的實(shí)現(xiàn)可以采用 IPSec 隧道和 MPLS VPN 技術(shù)，在保證信息正確可達(dá)的情況下，對(duì)用戶信息進(jìn)行高強(qiáng)度的加密，保證用戶信息的不被竊取和完整性。 7．網(wǎng)絡(luò)安全的考慮 網(wǎng)絡(luò)的安全主要通過防火墻和入侵檢測系統(tǒng)來體現(xiàn)，通過部署防火墻系統(tǒng)，可以將網(wǎng)絡(luò)劃分成幾個(gè)安全等級(jí)不同的部分，對(duì)于要求安全等級(jí)高的部分，還可以通過部署多級(jí)防火墻來提供安全保護(hù)。 這部分內(nèi)容參見第三章第二節(jié) 安全性建設(shè) 。 網(wǎng)絡(luò)主交換機(jī) Cat6509 采用模塊設(shè)計(jì)，最多可以支持到 384 個(gè) 10/100 個(gè) 快速以太端口，或130 個(gè)千兆以太端口。 建筑物主交換機(jī) Cat4006 也采用模塊設(shè)計(jì)，支持六個(gè)接口插槽，最多可以擴(kuò)展到 240 個(gè)快速以太端口， 72 個(gè)千兆以太端口。 Cat4006 可以通過千兆以太通道技術(shù)來提升主干連接速率， Cat2924 也同樣支持快速以太通道和千兆的主干連接，可以在需要的時(shí)候平滑地從現(xiàn)在的 10M/100M/1000M 的交換結(jié)構(gòu)升級(jí)到 100M/1000M/n*1000M 的交換結(jié)構(gòu)，成 10 倍地提升網(wǎng)絡(luò)速率。 DNS 建設(shè) 在 Inter 上計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備使用 IP 地址來表示的，但 IP 地址很難記憶，所以采用和 IP 地址相對(duì)應(yīng)的域名 (Domain)來表示主機(jī)和網(wǎng)絡(luò)， DNS(Domain Name Service)即域名服務(wù)就是把主機(jī)名字和 IP 地址作相互匹配，供 Inter 上用戶以主機(jī)域名的方式相互查詢。通常 DNS 服務(wù)器采用兩臺(tái)或多臺(tái)的方式來運(yùn)行，其中一臺(tái)主服務(wù)器（ Primary），其它為次服務(wù)器（ Second） ,當(dāng)主服務(wù)器不能工作時(shí)，有任何一臺(tái)次服務(wù)器來接管其工作，這樣保證了 DNS系統(tǒng)運(yùn)行的可靠性，主次服務(wù)器之間采用自動(dòng)信息更新方式。所以在 IDC 的 DNS 服務(wù)器上可能要定義和管理上百個(gè)或更多域名，由于有如此多的域名，其每天接受的查詢量也是相當(dāng)龐大的。由于把 DNS 系統(tǒng)分內(nèi)外兩部分， Inter 上用戶只能看到外部 DNS 系統(tǒng)中的服務(wù)器，而看不見內(nèi)部的服務(wù)器，而且只有內(nèi)外 DNS 服務(wù)器之間交換 DNS 查詢信息，從而保證了系統(tǒng)的安全性。具體的服務(wù)器配置如下表所示。這兩個(gè)方面所采用的技術(shù)和思路是一致的。 通過配置了多級(jí)防火墻，以隔離 IDC 網(wǎng)絡(luò)各個(gè)組成部分相互之間的非法訪問（合法訪問可以通過）；對(duì)于 Inter 用戶來講，如果想非法侵入 IDC 內(nèi)部網(wǎng)絡(luò)，必須突破防火墻的防范。 除了主機(jī) /服務(wù)器的操作系統(tǒng) 自身的安全性之外，目前有多種產(chǎn)品可供選擇，包括 SUN 公司的 Security Manager和 CA 公司的 Unicenter TNG 等產(chǎn)品。 應(yīng)用層的安全將從三個(gè)方面來考慮：增強(qiáng)應(yīng)用服務(wù)器系統(tǒng)的安全；采用身份認(rèn)證機(jī)制，以保證應(yīng)用的可靠性；采用數(shù)據(jù)加密技術(shù)和防病毒軟件，以保證應(yīng)用的安全性。操作系統(tǒng)的安全性建設(shè)主要包括用戶的管理、超級(jí)用戶的管理、文件系統(tǒng)安全管理、遠(yuǎn)程對(duì)系統(tǒng)的訪問等。如果需要可以規(guī)定用戶只能在指定的時(shí)間內(nèi)才能登錄系統(tǒng)，并對(duì)登錄系統(tǒng)的用戶進(jìn)行審核（ audit）。 文件系統(tǒng)的安全管理 ：控制用戶對(duì)系統(tǒng)內(nèi)特殊文件的訪問權(quán)限，特別是刪除、移動(dòng)等權(quán)限，對(duì)使用 NFS 系統(tǒng)可以采用 kerberos 方式認(rèn)證。 2．防病毒 (AntiVirus) 目前病毒在網(wǎng)絡(luò)和 Inter 上傳播主要以電子郵件和 Web 瀏覽的方式傳播，以及內(nèi)部網(wǎng)絡(luò)上員工的共享文件的傳播。集中防病毒的方法是在主要的服務(wù)器上安裝防病毒軟件，此軟件先對(duì)進(jìn)出此服務(wù)器的數(shù)據(jù)進(jìn)行檢查，然后再把通過檢查的數(shù)據(jù)發(fā)送給客戶；分散防病毒是只在客戶端安裝防病毒軟件，它只檢查進(jìn)出客戶端的數(shù)據(jù)是否有病毒感染。集中防病毒主要是對(duì)進(jìn)出的郵件和HTTP 流數(shù)據(jù)進(jìn)行防病毒；分散是保護(hù)內(nèi)部網(wǎng)的單個(gè)終端用戶。在 Inter/Intra 上，通過防火墻來在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問控制，其目的是保護(hù)一 個(gè)網(wǎng)絡(luò)不受來自另一個(gè)網(wǎng)絡(luò)的攻擊，隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，但不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。 通過對(duì) IP 包的檢查，過濾對(duì)網(wǎng)絡(luò)安全有潛在威脅的 IP 數(shù)據(jù)包。 屏蔽對(duì)于網(wǎng)絡(luò)不必要且有安全漏洞的服務(wù)，如 Tel、 FTP 等。 控制從 Inter 上過來的 IP 數(shù)據(jù)的流向，如數(shù)據(jù)包其目的地址只能是某個(gè)區(qū)域的 DNS、 WWW 等服務(wù)器。 屏蔽對(duì)于某些 Inter 站點(diǎn)的訪問。 完成系統(tǒng)內(nèi)部 IP 地址到 Inter 合法 IP 地址的轉(zhuǎn)換，保證能夠從系統(tǒng)內(nèi)部訪問 Inter，隱藏內(nèi) 部網(wǎng)絡(luò)和主機(jī)的結(jié)構(gòu)。 訪問日記，即 Access Log。 4. 網(wǎng)絡(luò)和系統(tǒng)入侵監(jiān)控 網(wǎng)絡(luò)和系統(tǒng)的入侵檢測是在網(wǎng)絡(luò)上增加一臺(tái)掃描儀器和在主要服務(wù)器上增加相應(yīng)的防入侵軟件來實(shí)現(xiàn)。 在 IDC 系統(tǒng)中，在每個(gè)重要的服務(wù)取得網(wǎng)絡(luò)的入口處安放一個(gè)探測器，對(duì)每個(gè)進(jìn)出此段網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行檢查探測，當(dāng)其發(fā)現(xiàn)某一個(gè)數(shù)據(jù)流不是正常的數(shù)據(jù)流時(shí)，探測器把此數(shù)據(jù)流截獲住，并向位于管理區(qū)的管理服務(wù)器發(fā)送入侵信息和警告，然后由管理服務(wù)器在做相應(yīng)的防御對(duì)策。 數(shù)據(jù)存儲(chǔ)系統(tǒng) 1． IDC 存儲(chǔ)系統(tǒng)綜述 在新的以信息為 核心的時(shí)代，如何更有效的管理、保護(hù)和共享企業(yè)信息已為各行業(yè)的發(fā)展提出了新的挑戰(zhàn)。在傳統(tǒng)的分布式處理模式下，網(wǎng)站內(nèi)所有的信息分布在內(nèi)部各個(gè)服務(wù)器上，信息的管理，信息的可用性受到了很大的限制，不能充分發(fā)揮應(yīng)有的作用，而且系統(tǒng)的升級(jí)和新業(yè)務(wù)的開發(fā)部署也都不能及時(shí)響應(yīng)Inter 快速變化的要求，在這種情形下，以信息為中心的集中處理模式應(yīng)時(shí)代的需要再次走上了歷史舞臺(tái)，而構(gòu)建企業(yè)信息基礎(chǔ)設(shè)施則更是集中處理模式的重中之重。因此整個(gè) IT 系統(tǒng)的高可用性變的非常重要，而作為信息系統(tǒng)核心的數(shù)據(jù)部分的高可用性更是重中之重，服務(wù)器的宕機(jī)可以通過多臺(tái)服務(wù)器冗余帶來保護(hù)，但是如果服務(wù)器上的數(shù)據(jù)沒有有效的保護(hù)或成為訪問瓶頸，則可能成為致命的缺陷。數(shù)據(jù)分布在眾多的平臺(tái)和服務(wù)器之上，備份和管理的工作變的越來越復(fù)雜，多個(gè)服務(wù)器上分散的數(shù)據(jù)很難共享，而且這種分散的存儲(chǔ)模式也帶來了 巨大的資源浪費(fèi)，系統(tǒng)管理人員無法在多個(gè)系統(tǒng)間有效的調(diào)度存儲(chǔ)資源。 IDC 之間的競爭目前主要表現(xiàn)是網(wǎng)絡(luò)帶寬、基礎(chǔ)設(shè)施等 IDC 的基本要素的比較，隨著 IDC 產(chǎn)生的越來越多， IDC 之間的競爭已經(jīng)表現(xiàn)在如何能夠?yàn)?IDC 的用戶提供更多的數(shù)據(jù)及安全服務(wù)，如：防火墻、數(shù)據(jù)備份、鏡像站點(diǎn)、負(fù)載均衡、統(tǒng)計(jì)分析等數(shù)據(jù)安全、管理、分析等增值服務(wù)。因此 IDC 如何能夠提供更多的數(shù)據(jù)保護(hù)、數(shù)據(jù)管理服務(wù)成為 IDC建立時(shí)系統(tǒng)設(shè)計(jì)的一個(gè)重要方面。 作為 IDC 的集中存儲(chǔ)系統(tǒng)需求要面對(duì)未來 IDC 用戶的需求的多樣性，可以按照模塊方式為用戶提供模塊化的服務(wù)。 作為存儲(chǔ)中心的成本可以有 兩種評(píng)測，一種是簡單的容量成本，另一種是與 IDC系統(tǒng)有關(guān)聯(lián)關(guān)系的功能或服務(wù)成本。假設(shè)有 400 臺(tái)主機(jī)需要托管并且主機(jī)類型主要是 NT、 LINUX等平臺(tái)。 示例二：如果有 100 臺(tái) SUN 或 HP 的服務(wù)器提供 ASP 等業(yè)務(wù)，用戶需要對(duì)數(shù)據(jù)進(jìn)行備份保護(hù)，那么一般情況下需要在每臺(tái)服務(wù)器上安裝備份軟件，如果每套軟件價(jià)格大約 US$，需要花費(fèi) 150 萬美金，并且這種備份方式要站用大量的網(wǎng)絡(luò)資源和服務(wù)器的計(jì)算資源。通過下面的方案介紹我們就會(huì)明白為什么目前 10 大 IDC 中會(huì)有 9家采用 NETAPP的存儲(chǔ)解決方案來為 IDC 的用戶提供基礎(chǔ)設(shè)施和增值服務(wù)。 存儲(chǔ)系統(tǒng)要達(dá)到的建設(shè)目標(biāo)如下： 一個(gè)完整的存儲(chǔ)系統(tǒng)還應(yīng)與數(shù)據(jù)備份系統(tǒng)做到無逢結(jié)合，即存儲(chǔ)系統(tǒng)還達(dá)到如下目標(biāo)： 關(guān)鍵業(yè)務(wù)系統(tǒng)的主機(jī)實(shí)現(xiàn)熱備份 關(guān)鍵數(shù)據(jù)實(shí)現(xiàn)遠(yuǎn)程實(shí)時(shí)備份，備份技術(shù)應(yīng)不占用主 機(jī)資源，對(duì)應(yīng)用系統(tǒng)無任何影響。建立災(zāi)難備份中心。在災(zāi)難備份中心，放置主機(jī)系統(tǒng)以用作熱備份，其處理能力為生產(chǎn)中心主機(jī)的 80％以上。在災(zāi)難備份中心，建立網(wǎng)絡(luò)備份系統(tǒng)，其中包括備份網(wǎng)絡(luò)設(shè)備如路由器、 HUB 等和備份線路，備份線路的接入分局應(yīng)不同于生產(chǎn)中心連接的分局。所有的業(yè)務(wù)可以在這一信息基礎(chǔ)架構(gòu)上進(jìn)行集中的控制和統(tǒng)一的管理。系統(tǒng)的可擴(kuò)展性和靈活性也將比傳統(tǒng)的 分布式存儲(chǔ)方式大大改善，可以充分滿足目前及未來的業(yè)務(wù)發(fā)展和管理的需要。 IDC 的服務(wù)類型主要有： Web 服務(wù)（ Webhosting）、數(shù)據(jù)庫、郵件、目錄、計(jì)費(fèi)系統(tǒng)等。 下圖展示了 NAS 存儲(chǔ)結(jié)構(gòu)，此存儲(chǔ)系統(tǒng)主要為 IDC 的基于 Web 的應(yīng)用服務(wù)，如Web、 WebHosting 等，在 IDC 中 Web 服務(wù)器是很多臺(tái)的，而且可能是不廠家的服務(wù)器，同時(shí)很多 Web 服務(wù)器采用負(fù)載均衡的方式運(yùn)行，這需要保證每個(gè) Web服務(wù)器在同一時(shí)刻必須提供相同的內(nèi)容， NAS 存儲(chǔ)系統(tǒng)能夠很好地滿足這些要求，同時(shí) NAS 的良好擴(kuò)展性能夠滿足 Web 應(yīng)用對(duì)存儲(chǔ)系統(tǒng)擴(kuò)展的需求。我們采用兩臺(tái)Netapp 的 F840 作為存儲(chǔ)系統(tǒng)，兩臺(tái) F840 以雙機(jī)備份的方式運(yùn)行，具體描述如下： 多應(yīng)用系統(tǒng)數(shù)據(jù)存儲(chǔ)的獨(dú)立性和安全性 由于在 NAS 的存儲(chǔ)系統(tǒng)上要存放多家的數(shù)據(jù)，如何保證用戶間的數(shù)據(jù)安全性，是NAS 存儲(chǔ)系統(tǒng)應(yīng)重點(diǎn)考慮的問題。 為保證數(shù)據(jù)存放的獨(dú)立性，可在一臺(tái) filer 中將不同應(yīng)用系統(tǒng)的數(shù)據(jù)分別存放于多個(gè)卷組中，同時(shí)對(duì)每一卷組授予不同的操作系統(tǒng)訪問權(quán)限，用戶組和用戶權(quán)限，以細(xì)化對(duì)數(shù)據(jù)的保護(hù)。 另外， filer 的 Data Ontap 操作系統(tǒng)還提供名為 QTREE 的空間配額管理工具。 Cluster Failover 簡介 文件系統(tǒng)專用設(shè)備 Filer 除了軟硬件本身具有 %的高可靠性以外，為了消除一些單點(diǎn)故障（如系統(tǒng)主板出錯(cuò)，等），在以低成本、低性能開銷、不增加系統(tǒng)復(fù)雜度的前提下，將兩臺(tái)獨(dú)立的 Filer 耦合起來，實(shí)現(xiàn)一旦一臺(tái) Filer 因故障而停止運(yùn)行并且不能重新啟動(dòng)，另一臺(tái) Filer 立即就可接管這一臺(tái) Filer 的全部工作，保證系統(tǒng)正常運(yùn)行。 圖中的兩臺(tái) F