2-1第二章网络方案1概述如下图是整个IDC的建设框架,本章将阐述网络框架的建设以及网络管理。网络架构运行在布线系统,供电系统等基础系统之上,同时为主机系统和应用系统提供平台。而在横向结构上,IDC的网络运行离不开网络管理和运营维护。网络架构的可靠,稳定,高效,安全,可扩展,可管理性将直接关系到上层的主机系统和应用系统,也将直接关系到IDC业务的顺利开展和运行。总之,网络架构是IDC建设框架中重要而又承上启下的一环,网络系统的设计是否完善将直接影响到IDC建设的质量。IDC网络架构的整体设计框架如下图所示。2-2基本托管服务网站托管(共享)网站托管(独占)主机托管高级安全服务PrivateVLAN专用防火墙、专用入侵探测安全审计Internet连接服务CommittedAccessRate服务类别(COS)内容交换服务基于IP,URL,Cookie的负载均衡语言和终端设备优化跨地域负载均衡内容传送服务网站服务加速网站内容推送突发拥挤保障内容分段复制后台连接服务端到端安全端到端私用网络IDC网络架构运行管理专业服务IDC的业务将包含接入业务,空间出租业务,托管业务,管理业务和增值业务。本章将在介绍IDC网络设计的同时,阐述每个设计要点对IDC业务的影响和重要性。因为上图中整个IDC建设框架的最终目的是为了IDC业务的开展和拓展,在这个框架的每个部分都必须贯穿为IDC业务开展服务的宗旨。本章将从托管服务,网络安全,Internet连接,内容交换,内容传送,后台连接和网络管理等方面具体阐述IDC网络解决方案对IDC业务的针对性设计。2托管服务IDC的基本业务包括网站托管(Webhosting)和主机托管(Co-location)两大类。其中网站托管分为共享式和独享式两种。由于其业务模式的不同,使得其在对网络设计时的要求也不相同。以下分别给出基于两种不同模式时的网络全貌。2-3BasicHostingServices基本托管服务网站托管(共享)网站托管(独占)主机托管2.1基于主机托管的IDC网络全貌主机托管是IDC初期为其用户提供的一种基础服务。网站及企业用户自身拥有若干服务器,并把它放置在IDC的机房里,由客户自己进行维护。主机托管业务的特点:投资降低,用户可使用已购买的服务器等设备,无需再作设备投资,并且可采用IDC提供的线路。该业务适合于自身有较强的网络运行维护经验并在数据中心建立之前已投入人力物力建设了网站设备的大型企业用户。如著名的Yahoo、eBay、Amazon。com都采用了主机托管业务。提供主机托管业务的IDC向其用户提供的业务主要包括与Internet网的连接以及提供独立安全的场地,这样对于IDC而言在进行网络设计时必须考虑提高网络连接的速度及可靠性,从而为用户提供高质量的服务。对主机托管业务,IDC可为客户提供nx100M或者千兆独占带宽的电信级专业机房租用服务,包括随时可扩充的独占带宽UPS不间断电源保障24小时实时摄像监控2-4电源控制系统保安系统消防系统以及可选的机柜出租:标准电信级机柜:高2M、深1M或1。2米、宽19英寸每台机柜提供独立电源控制高速以太网接口独立风扇设备基于主机托管业务IDC的网络全貌如下图所示,网络分为Internet连接层、核心层和服务器接入层。在提供主机托管服务给用户时,IDC服务提供商将负责提供Internet连接层、核心层、分布层及服务器接入层的设备并保障其稳定运行。用户则需要自己负责服务器以及包含防火墙等在内的内部网络。有关网络各层的描述,请参见后续相应章节。2.2基于网站托管的IDC网络全貌网站托管是IDC经过发展后而开展的一项业务。用户采用IDC提供的服务器2-5来存放数据,运行软件。总体来讲数据中心的硬件设备主要包括:服务器阵列、网络设备(路由器、交换机)、机房控制设备、防火系统、备用电源、空调设施等。数据服务中心的建设除了必须具有一定面积的机房和相当数量的服务器外,还必须对运维管理、安全系统、监控等设施、工具和专业服务进行深入的考虑。提供网站托管业务的IDC向其用户提供的业务主要包括网络设施及网站托管,这样对于IDC而言在进行网络设计时必须考虑以下要素:提高服务器及Web应用的可访问性,这需要网络具有内容识别(ContentAware)的功能为方便租用主机的用户易于控制及管理其主机内容,提供相应的管理平台。2.2.1独享式网站托管IDC为用户提供专用主机,这更适合于具有复杂业务的站点。专用主机可以为这些关键应用提供高质量、安全的服务。对于这种业务模型,用户将其服务器包给了数据服务中心经营者,用户不必拥有计算机、网络方面的技术人员而享受数据服务中心所提供的全套专业服务。为了保证服务质量,获得相应的高增值服务费用,IDC服务经营者通常与用户制定SLA(ServiceLevelAgreement)。运营者遵照SLA上规定的条例保证服务的不间断、丢包率、网络响应时间。经营者通过提供例如:平台设计、服务监控、服务品质测试、网络安全管理和缓存等项增值服务加强市场竞争力。对中小型网站而言,无论是从运营维护的角度,还是对整体业务收入而言,与场地租用的服务相比,独享主机服务更能吸引IDC的经营者。根据用户需求的不同,我们可以定义单机,双机集群或包括数据库服务器的独享主机服务包。其他作为独享主机托管服务的一部分还应包括:电信级高品质机房环境和设备可靠的供电系统恒温恒湿控制系统19英寸标准机架10M/100M共享或独占接口2-6独立IP地址服务器配置服务器系统软件安装、调试24×7网络系统管理维护与技术支持24小时实时的服务器运行状态、流量监测详细的访问统计报告紧急状况的处理2.2.2共享式网站托管又可称为虚拟主机业务,是指在一种Internet的网站工作环境下,IDC的网络服务器可以容纳许多相互独立的多个网站和Email系统,并且由IDC提供管理维护服务。而每一位客户可以有条件地访问和控制服务器上的一小部分,从而用来构建自己的网站。虚拟主机依托于一台服务器,多个网站可以在这台服务器上共享资源(硬盘空间、处理器以及内存空间),单独的一台服务器上可以同时运行多个虚拟主机。虚拟主机是一种初级的网络系统方案,其用途主要是容纳一些中小型企业应用以及静态网页。在商业网站发展的早期阶段,是系统采取的主要解决方案。其业务需求的前提如下:建设网站系统需要高额的硬件费用;缺乏维护这些系统的有经验的专家;网站比较简单;交互应用程序较少;网络带宽的限制。现在Internet上很多网站都采用虚拟主机系统方案。虚拟主机业务市场将会随着这个产业的发展而不断调整与变化,不断地满足如小型企业、社会团体以及其它仅需要一种简单的网页系统的需求。但由于这种业务模式的技术难度不大,所需投资较小,竞争也比较激烈,利润也较低。在IDC网络建设初期,虚拟主机业务为服务提供商提供了巨大的市场机遇,而且它是实施其他增值服务(例如应用托管业务)的基础。2-7共享式网站托管是深受中、小企业欢迎的一个价廉物美的服务,内容包括:国际、国内域名代理申请URL域名解析FTP访问及其密码修改断点续传支持CGI/Perl支持,专用CGI-BIN目录ActiveX/VBScript支持JAVAApplet/Class支持防火墙保护服务器24小时不间断运行WEB设计服务WEBCounter计数器Banner广告条搜索引擎Email自动转发、回复及邮件列表支持IDC可根据用户对以上功能的选择及对存储空间的要求,定义成不同级别的服务包提供给最终用户。在基于网站托管业务IDC的网络全貌如下图所示,网络分为Internet连接层、核心层、分布层、服务器接入及后台管理平台。2-8在提供网站托管业务时,IDC服务提供商需提供并管理所有各层的设备,对于IDC的用户是完全透明的,从而用户可以专注于其业务而无需负责任何系统的管理。对于网络结构中各层的详细描述,请参见后续相应章节。3网络安全2-9安全服务基本托管服务网站托管(共享)网站托管(独占)主机托管高级安全服务PrivateVLAN专用防火墙专用的入侵监测安全审计众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理上的无政府状态,逐渐使Internet自身的安全受到严重威胁,与它有关的安全事故屡有发生。对网络安全的威胁主要表现在:拒绝服务、非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。IDC以Internet技术体系作为基础,主要特点是以TCP/IP为传输协议和以浏览器/WEB为处理模式。所以我们在IDC的设计中必须充分重视安全问题,尽可能的减少安全漏洞。此外,我们还应该根据IDC的客户需求提供不同的安全服务,同时最大限度的保证IDC网络管理中心(NOC)自身的安全。3.1IDC的安全需求我们把对于IDC的安全需求分为三类:分别是IDC基本服务,IDC增值服务,IDCNOC。对于IDC基本服务的安全需求如下:AAA服务,提供认证,授权及审计的功能2-10防Dos黑客攻击功能线速ACL功能对于IDC增值服务的安全需求如下:AAA服务,提供认证,授权及审计的功能防Dos黑客攻击功能线速ACL功能防火墙及防火墙平滑切换功能入侵检测功能漏洞检测功能线速NAT对于IDCNOC的安全需求如下:AAA服务,提供认证,授权及审计的功能防Dos黑客攻击功能线速ACL功能防火墙及防火墙平滑切换功能入侵检测功能漏洞检测功能线速NATACL的策略管理安全元件的策略管理VPN3.1.1AAA服务所谓AAA是(Authentication、Authorization、Accounting)的缩写,即认证、授权、记帐功能,简单的说:认证:用户身份的确认,确定允许哪些用户登录,对用户的身份的校验。授权:当用户登录后允许该用户可以干什么,执行哪些操作的授权。记帐:记录用户登录后干了些什么。AAA功能的实施需要两部分的配合:支持AAA的网络设备、AAA服务器。2-11RADIUS/TACACS+是实施AAA常用的协议,认证软件需要有完整的记帐功能,并且可以将USER信息直接导入软件的用户数据库,极大方便的AAA服务的用户管理。在使用AAA的功能后用户通过网络远程登录到网络设备上的基本过程如下:用户执行远程登录命令(例如:Telnet),网络设备提示输入用户姓名、口令。用户输入口令后,网络设备向AAA服务器查询该用户是否有权登录。AAA服务器检索用户数据库,如果该用户允许登录则向网络设备返回PERMIT信息和该用户在该网络设备上可执行的命令同时将用户登录的时间、IP作详细记录;若不能在用户数据库中检索到该用户的信息则返回DENY信息,并可以根据设置向网管工作站发送SNMP的警告消息。当网络设备得到AAA的应答后,可以根据应答的内容作出相应的操作,如果应答为DENY则关闭掉当前的SESSION进程;如果为PERMIT则根据AAA服务器返回的用户权限为该用户开启SESSION进程,并将用户所执行的操作向AAA服务器进行报告。通过AAA的实施我们可以方便的控制网络设备的安全性,同时结合ACL的设置限制能够进行远程登录的工作站的数量、IP地址降低网络设备受到攻击的可能性。3.1.2防DoS黑客攻击在拒绝服务(DoS)攻击中,恶意用户向服务器发送多个认证请求,使其满负载,并且所有请求的返回地址都是伪造的。当服务器企图将认证结果返回给用户时,它将无法找到这些用户。在这种情况下,服务器只好等待,有时甚至会等待1分钟才能关闭此次连接。当服务器关闭连接之后,攻击者又发送新的一批虚假请求,以上过程又重复发生,直到服务器因过载而拒绝提供服务。分布式拒绝服务(DDOS)把DoS又向前发展了一步。Do