【正文】 絡(luò)相互隔離，并且在本方案中對網(wǎng)絡(luò)的安全性作了全面的考慮，例如利用防火墻將前后臺隔離，配置入侵檢測和漏洞檢測系統(tǒng)，因此具有很好的安全性。 客戶中心由于客戶將設(shè)備托管給IDC，用戶對自己的設(shè)備需要定期的檢查和管理。客戶中心即可以是由多個用戶共享，也可以是由一個客戶專有，例如一些網(wǎng)上銀行，他就需要在IDC擁有自己專有的管理平臺，那么IDC就可以為這類用戶提供專有的客戶中心。在用戶對服務(wù)器進行更新時，對數(shù)據(jù)的安全性通常會有較高的要求，因此簡單的通過前臺來更新服務(wù)器對于從事電子商務(wù)的網(wǎng)站是不適用的。遠程數(shù)據(jù)更新的方案中提供全套的端到端的解決方法，包括：遠程撥號；專線；IP加密（IP sec）VPN；MPLS VPN。 專線在IDC設(shè)置路由器，通過常用的專線方式，如DDN，F(xiàn)rame Relay等方式提供用戶訪問自己的服務(wù)器。 IP加密 VPN用戶也可以通過專線的方式接入到公網(wǎng)，通過對IP數(shù)據(jù)包加密來保證用戶數(shù)據(jù)的安全性，在IDC再對用戶的IP包進行解密，然后用戶進入自己的VLAN，訪問自己的各個服務(wù)器。 MPLS VPNMPLS VPN為用戶提供了一種更加靈活有效的訪問方式，用戶可以通過公網(wǎng)平臺上自己私有的MPLS VPN對自己的設(shè)備進行訪問，而且其地址空間也可以是其自己的私有地址，由于地址空間是私有的，黑客幾乎無法對其進行攻擊。而且當(dāng)將來需要向用戶提供網(wǎng)絡(luò)外包服務(wù)時，利用MPLS VPN與后臺管理系統(tǒng)相結(jié)合，可以迅速向用戶提供業(yè)務(wù)。 網(wǎng)絡(luò)拓撲管理為對IDC網(wǎng)絡(luò)進行系統(tǒng)化管理，管理員首先需要對全網(wǎng)的當(dāng)前狀態(tài)有一個準確、直觀的了解。它應(yīng)能幫助管理員自動生成網(wǎng)絡(luò)的拓撲結(jié)構(gòu)圖和發(fā)現(xiàn)節(jié)點設(shè)備的分布狀況，并且能對網(wǎng)絡(luò)結(jié)構(gòu)的變化進行動態(tài)跟蹤和更新。根據(jù)地址掃描的發(fā)現(xiàn)的結(jié)果，將在管理服務(wù)的管理數(shù)據(jù)庫中生成全網(wǎng)的網(wǎng)絡(luò)拓撲圖。 故障管理網(wǎng)絡(luò)管理員在獲得了最新網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖后，還需對全網(wǎng)的故障進行集中控管。通過定義對全網(wǎng)的IP節(jié)點設(shè)備，通訊鏈路等多方面網(wǎng)絡(luò)資源進行自動定期輪詢檢測，可發(fā)現(xiàn)節(jié)點設(shè)備的硬件故障和網(wǎng)絡(luò)鏈路中斷。根據(jù)收集到的故障信息， 網(wǎng)絡(luò)管理軟件可以對所發(fā)現(xiàn)的網(wǎng)絡(luò)異常狀態(tài)進行跟蹤，并在網(wǎng)管中心的圖形化管理控制臺上以多種方式向網(wǎng)絡(luò)管理員報警。網(wǎng)絡(luò)管理員還可以在管理控制臺上直接啟動設(shè)備管理工具察看出現(xiàn)故障的的網(wǎng)絡(luò)節(jié)點設(shè)備當(dāng)前的詳細信息。為保障全網(wǎng)參數(shù)配置的一致性和設(shè)備操作系統(tǒng)版本的統(tǒng)一，配置管理應(yīng)由中央管理中心的網(wǎng)絡(luò)管理員統(tǒng)一控制。利用網(wǎng)絡(luò)管理軟件對IDC網(wǎng)絡(luò)設(shè)備參數(shù)進行集中配置和對網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)版本進行升級管理。網(wǎng)絡(luò)管理軟件不但能幫助網(wǎng)絡(luò)管理員以圖形化操作方式對全網(wǎng)設(shè)備進行集中的參數(shù)配置，還能保存所有網(wǎng)絡(luò)設(shè)備的參數(shù)修改歷史紀錄：通過定期檢查各網(wǎng)絡(luò)設(shè)備的參數(shù)，管理工具可以發(fā)現(xiàn)所有對配置參數(shù)的更改，而不論配置參數(shù)是利用管理工具修改的還是利用命令行修改的。 性能管理網(wǎng)絡(luò)管理解決方案中為IDC網(wǎng)絡(luò)管理員提供了一組網(wǎng)絡(luò)性能和IP電話服務(wù)質(zhì)量的管理工具。還可以進行全網(wǎng)網(wǎng)絡(luò)流量的歷史數(shù)據(jù)統(tǒng)計，分析網(wǎng)絡(luò)流量的長期趨勢，幫助管理員進行網(wǎng)絡(luò)容量規(guī)劃，消除網(wǎng)絡(luò)中的瓶頸。在網(wǎng)管中心管理員可以啟動利用網(wǎng)絡(luò)管理軟件對全網(wǎng)的局域網(wǎng)和廣域網(wǎng)性能進行直接監(jiān)控。在網(wǎng)管中心管理員利用利用網(wǎng)絡(luò)管理軟件可以監(jiān)控網(wǎng)絡(luò)節(jié)點的服務(wù)質(zhì)量，并以圖形化方式顯示網(wǎng)絡(luò)通信的延時和抖動。 網(wǎng)絡(luò)安全管理有些網(wǎng)絡(luò)管理軟件還支持網(wǎng)絡(luò)管理員分權(quán)機制，不同級別的登陸用戶在管理系統(tǒng)中具有不同的管理權(quán)限。同時網(wǎng)絡(luò)管理員也可以利用安全控管軟件進一步加強網(wǎng)絡(luò)整體包括網(wǎng)絡(luò)管理系統(tǒng)的安全性。9 網(wǎng)絡(luò)詳細設(shè)計 Internet 連接層IDC的Internet連接層配置兩臺GSR，使用100BaseT或者1000Base高速連接到IP骨干網(wǎng)，并以全冗余方式與核心層互連。 核心層整個IDC網(wǎng)絡(luò)的結(jié)構(gòu)，必須具有很好的層次并具有很強的擴展能力，這就要求在設(shè)計上：167。這就需要有核心層將分布層的數(shù)據(jù)匯集后連至Internet接入路由器167。兩臺交換機之間用兩條GE連接，采用千兆以太網(wǎng)通道（GEC）技術(shù)捆綁兩個物理連接，形成一個負載均衡的邏輯連接。服務(wù)器接入層 Colocation的分布層amp。針對這種需求，分布層不需要為其提供高層交換能力，而是需要為其提供高速高性能的二、三層交換。在接入層所提供的高速的鏈路上，用戶將根據(jù)需要構(gòu)建自己的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，可根據(jù)需要使用Web交換機以提供高層交換能力。服務(wù)器接入層在服務(wù)器接入層，采用交換機Cisco Catalyst 3500將服務(wù)器與核心層連接起來，同時可以根據(jù)用戶的需求，放置防火墻設(shè)備，Web交換機以及安全監(jiān)控設(shè)備，從而為用戶提供更高的安全保障和網(wǎng)絡(luò)性能。 網(wǎng)絡(luò)設(shè)備的管理167。 用戶對其業(yè)務(wù)更新的手段167。 詳盡的計費報告167。 IDC控制中心 (IDC的網(wǎng)絡(luò)管理中心)167。 用戶管理中心 （用戶遠程對其服務(wù)器進行更新、維護）167。在這里采用了二級網(wǎng)絡(luò)結(jié)構(gòu)，第一級采用交換機Cisco Catalyst 2900將服務(wù)器接入后臺管理平臺網(wǎng)絡(luò)，第二級采用兩臺大容量、高性能交換機Cisco Catalyst 6500將所有第一級的交換機匯聚。在一期中先不選用Cisco Catalyst 6500，將來業(yè)務(wù)發(fā)展了再擴展。這樣就使得業(yè)務(wù)的開展變得簡單，諸如動態(tài)業(yè)務(wù)復(fù)制(用于備份IDC用戶的數(shù)據(jù))等。在后臺管理平臺與前臺核心層之間放置單向防火墻，使得在收集網(wǎng)絡(luò)流量數(shù)據(jù)的同時又保證了其安全性。直接影響整個網(wǎng)絡(luò)運行的效率。下面先簡單介紹IP地址規(guī)劃的一般原則。IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。傳統(tǒng)的方式，IP協(xié)議采用分層地址結(jié)構(gòu)，它由4個字節(jié)（32位）組成，每個字節(jié)用三位十進制數(shù)（0~255）表示，每個字節(jié)之間用圓點號隔開，它包含兩個部分：網(wǎng)絡(luò)號和主機節(jié)點號。xxxxxxxx。xxxxxxxx A類地址B類地址以前二字節(jié)（16位）表示網(wǎng)絡(luò)號，以10開頭，后二字節(jié)（16位）表示主機號，如下所示：10xxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx C類地址IP地址的分配應(yīng)遵循以下幾個原則： 簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表的款項 可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址總結(jié)所需的連續(xù)性xxxxxxxx。xxxxxxxx網(wǎng)絡(luò)號 子網(wǎng)號 主機號另外，為了靈活地在不同規(guī)模的子網(wǎng)中分配不同數(shù)量的IP地址，我們需要采用VLSM技術(shù)，它可根據(jù)需要在任意位劃分子網(wǎng)邊界，對一個主網(wǎng)絡(luò)號，可分出最小只有2個主機號的子網(wǎng)，亦可劃分出一個較大的子網(wǎng)，因此它很靈活，特別是在廣域網(wǎng)中，兩臺互聯(lián)路由器接口只需2個主機號地址，VLSM非常有用，大大節(jié)約了地址空間，又保證了網(wǎng)絡(luò)設(shè)計的靈活性。采用VLSM時應(yīng)注意下列三點： 可能會造成對已有網(wǎng)絡(luò)地址的重新設(shè)置分子網(wǎng)是將網(wǎng)絡(luò)號向主機號部分擴展、即網(wǎng)絡(luò)邊界向右移的過程，而路由總結(jié)則是劃分子網(wǎng)的逆過程，通過將子網(wǎng)的邊界向左移的過程，可用一個較大的子網(wǎng)號來代表一組連續(xù)的子網(wǎng)，如下所示：這一疊合路徑可代表16個連續(xù)的子網(wǎng)。xxxxxxxx。xxxxxxxx因此，路由總結(jié)又稱為子網(wǎng)的集結(jié)或超級子網(wǎng)，它可得到縮小路由表，降低路由器內(nèi)存的使用，并減少路由協(xié)議產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)流量。路由器支持自動或手工設(shè)置的路由總結(jié)。具有公網(wǎng)IP地址主機或路由器可以和INTERNET網(wǎng)上的任何節(jié)點相連。具有私有地址的主機和路由器只能在企業(yè)內(nèi)部通信，其地址僅在企業(yè)內(nèi)部是唯一的。業(yè)界提出了一種技術(shù)，使企業(yè)可以從私有地址遷移到全球地址空間，這種技術(shù)就是網(wǎng)絡(luò)地址的轉(zhuǎn)換（NAT）。NAT路由器或Web交換機放置在域的邊界上，在向INTERENT網(wǎng)上發(fā)送數(shù)據(jù)包之前，它把私有地址轉(zhuǎn)換為INTERNET上的公網(wǎng)地址。0。1，該主機要訪問INTERNET上的節(jié)點204。10。69。1，然后再送往目的地。公網(wǎng)IP地址由IDC向ISP或NIC申請，在申請IP地址時應(yīng)充分考慮其擴展性。IDC用戶的IP地址由IDC統(tǒng)一分配，IDC根據(jù)用戶的不同需求分配公網(wǎng)IP地址或私有IP地址給用戶的服務(wù)器。255。252。簡單的托管主機：不需要增值服務(wù)（如服務(wù)器的負載均衡等），連接在分布層交換機下面的服務(wù)器，（見圖）建議每臺服務(wù)器分配一個公網(wǎng)IP地址。建議分配給每臺服務(wù)器一個私有的IP地址，通過Web交換機Web交換機作地址轉(zhuǎn)換（NAT）。還可以根據(jù)用戶的需求提供不同的增值服務(wù)。 站點托管用戶（Web Hosting），應(yīng)用托管用戶（ASP）的IP地址這類用戶的服務(wù)器建議使用私有的IP地址，通過Web交換機作地址轉(zhuǎn)換（NAT），多臺服務(wù)器使用一個虛擬IP地址。當(dāng)然，也可以為這些用戶提供公網(wǎng)IP地址。 后臺管理區(qū)的IP建議使用私有的IP地址，通過PIX防火墻作地址轉(zhuǎn)換（NAT），對前臺設(shè)備進行實時監(jiān)控管理，另外Private VLAN技術(shù)可以簡化網(wǎng)絡(luò)設(shè)計；節(jié)省IP地址；并且滿足網(wǎng)絡(luò)安全要求。因此如何選擇最優(yōu)的路由協(xié)議，至關(guān)重要。 Internet出口路由策略 多個IDC PoP節(jié)點間路由策略首先我們簡單介紹幾種路由協(xié)議： ISIS路由協(xié)議 ISIS是一個鏈路狀態(tài)路由協(xié)議，為了簡化路由器的設(shè)計和操作，使網(wǎng)絡(luò)的路由信息能快速收斂，是眾多ISP所選用的路由協(xié)議。Level1中的路由器只知道它所在AREA的路由信息；LEVEL2中的路由器知道去其它AREAS的路由信息。如下圖所示。L1的路由器僅知道本AREA的路由，如ROUTER1知道去往ROUTER2的路由，但不知道去AREA2的路由；同樣，ROUTER4僅知道AREA2內(nèi)的路由，只知道去網(wǎng)ROUTER3的路由，而不知道如何去AREA1。在上圖中，如ROUTER1收到要去往ROUTER4的數(shù)據(jù)包，ROUTER1發(fā)現(xiàn)自己的路由表內(nèi)無此路由信息，就將數(shù)據(jù)包發(fā)往邊界L1/2路由器ROUTER2，ROUTER2知道全自治域的路由信息，即知道去往路由器ROUTER4的路由信息，它將數(shù)據(jù)包送給ROUTER3。所以可以快速收斂網(wǎng)絡(luò)的路由信息。OSPF作為IETF（網(wǎng)間工程任務(wù)組織）為IP網(wǎng)絡(luò)開發(fā)的一種IGP（內(nèi)部網(wǎng)關(guān)協(xié)議）協(xié)議，克服了RIP路由協(xié)議的缺點。OSPF路由協(xié)議有如下特點：需要每臺路由器向同域（Area）的所有其它路由器發(fā)送鏈路狀態(tài)廣播（LSA）信息。同域內(nèi)的路由器共享相同的拓撲信息。 路由選擇的分級與RIP路由協(xié)議不同，OSPF可在一個域（Area）內(nèi)進行路由選擇。AS是共享同一路由選擇策略的網(wǎng)絡(luò)集合。根據(jù)源點和目的地是否在同一域內(nèi)，OSPF有兩種類型的路由選擇方式：o 當(dāng)源和目的在同一區(qū)域時，采用域內(nèi)路由選擇o 當(dāng)源和目的不在同區(qū)域時，采用域間路由選擇由于有域的概念，OSPF路由協(xié)議比那些不將AS分區(qū)的情況下所需傳送的路由信息少得多。 支持VLSM（Variable Length Subnet Mask）可變長度子網(wǎng)掩碼技術(shù)由于每個發(fā)布的目的地均包括IP子網(wǎng)的掩碼，從而可利用子網(wǎng)掩碼將IP網(wǎng)絡(luò)分為不同大小的子網(wǎng)，這種方法可節(jié)省IP地址空間并給網(wǎng)絡(luò)管理員管理帶來靈活性。 對帶寬和CPU等資源消耗這個SPF算法占用了CPU的資源，一般來說與運算量與網(wǎng)內(nèi)鏈路數(shù)目與路由器數(shù)目乘積成正比。 靜態(tài)路由協(xié)議以上我們介紹的均為動態(tài)路由協(xié)議，當(dāng)然還有另外一種路由協(xié)議便是靜態(tài)路由協(xié)議。其優(yōu)點為不會產(chǎn)生動態(tài)路由所特有的路由信息廣播或路由信息更新或HELLO從而不會在系統(tǒng)資源：內(nèi)存、CPU、帶寬等方面制成額外的開銷。 BGP4路由協(xié)議 BGP是用來在自治系統(tǒng)之間傳遞信息的路徑向量協(xié)議。這就保證了所用傳輸?shù)目煽啃?。IDC的Internet出口是連接Internet、其它IDC和用戶的窗口。建議設(shè)置多個Internet出口。 選擇規(guī)模較大的ISP規(guī)模較大的ISP具有較多的分布節(jié)點、較高帶寬及完善的服務(wù)，IDC應(yīng)采用多個出口連接1個ISP，例如：可以通過兩條鏈路同時連接到ChinaNet骨干，作為分流及備份。 選擇不同的ISP建議IDC采用多個出口連接多個ISP，避免因為ISP的問題影響IDC的正常運行，同時提高用戶訪問響應(yīng)速度。為了避免造成非對稱路由的出現(xiàn)；需要據(jù)實際運行情況調(diào)整BGP4路徑屬性，人為的調(diào)整網(wǎng)絡(luò)負載。 IDC內(nèi)部路由協(xié)議選擇IDC內(nèi)部路由協(xié)議可以有多種選擇，以下為幾種方案建議。 IDC網(wǎng)絡(luò)設(shè)計中第三層網(wǎng)絡(luò)設(shè)備數(shù)量一般不會太多，并且有高速第三層網(wǎng)絡(luò)設(shè)備和局域網(wǎng)支持路由信息交換。核心路由器局域網(wǎng)端口，核心層交換機組成OSPF的Aera0。使BGP能學(xué)到OSPF的路由表，OSPF也能學(xué)到BGP的路由表。方案2：選用EIGRP，同時配合靜態(tài)/缺省路由協(xié)議核心路由器局域網(wǎng)端口，核心層交換機選用EIGRP。設(shè)計特點：EIGRP路由協(xié)議特別適合這種平面結(jié)構(gòu)的網(wǎng)絡(luò)，它收斂速度快，占用CPU及Memory資源少，配置管理簡單，并且支持非對稱的鏈路的負載均衡。等值多鏈路協(xié)議（ECMP）實現(xiàn)分布層的Web交換機Web交換機上連鏈路的負載均衡，使其專注于內(nèi)容的交換。核心層交換機與Web交換機Web交換機間的路由配置靜態(tài)路由／缺省路由。ISIS占用網(wǎng)絡(luò)資源較小，路由收斂和恢復(fù)時間快，ISIS采用較小的協(xié)議數(shù)據(jù)包承載路由信息，這使得路由信息繁衍速度更快。另外通過等值多鏈路協(xié)議（ECMP）實現(xiàn)分布層的Web交換機Web交換機上連鏈路的負載均衡。 IDC可根據(jù)具體情況選擇最適合自己的路由協(xié)議