idc方案项目建议书.docx

1、idc方案项目建议书第二章 网络方案1 概述如下图是整个IDC的建设框架，本章将阐述网络框架的建设以及网络管理。网络架构运行在布线系统，供电系统等基础系统之上，同时为主机系统和应用系统提供平台。而在横向结构上，IDC的网络运行离不开网络管理和运营维护。网络架构的可靠，稳定，高效，安全，可扩展，可管理性将直接关系到上层的主机系统和应用系统，也将直接关系到IDC业务的顺利开展和运行。总之，网络架构是IDC建设框架中重要而又承上启下的一环，网络系统的设计是否完善将直接影响到IDC建设的质量。IDC网络架构的整体设计框架如下图所示。IDC的业务将包含接入业务，空间出租业务，托管业务，管理业务和增值业务

2、。本章将在介绍IDC网络设计的同时，阐述每个设计要点对IDC业务的影响和重要性。因为上图中整个IDC建设框架的最终目的是为了IDC业务的开展和拓展，在这个框架的每个部分都必须贯穿为IDC业务开展服务的宗旨。本章将从托管服务，网络安全，Internet连接，内容交换，内容传送，后台连接和网络管理等方面具体阐述IDC网络解决方案对IDC业务的针对性设计。2 托管服务IDC的基本业务包括网站托管（Web hosting）和主机托管（Co-location）两大类。其中网站托管分为共享式和独享式两种。由于其业务模式的不同，使得其在对网络设计时的要求也不相同。以下分别给出基于两种不同模式时的网络全貌。2

3、.1 基于主机托管的IDC网络全貌主机托管是IDC初期为其用户提供的一种基础服务。网站及企业用户自身拥有若干服务器，并把它放置在IDC的机房里，由客户自己进行维护。主机托管业务的特点：投资降低，用户可使用已购买的服务器等设备，无需再作设备投资，并且可采用IDC提供的线路。该业务适合于自身有较强的网络运行维护经验并在数据中心建立之前已投入人力物力建设了网站设备的大型企业用户。如着名的Yahoo、eBay、Amazon。com都采用了主机托管业务。提供主机托管业务的IDC向其用户提供的业务主要包括与Internet网的连接以及提供独立安全的场地，这样对于IDC而言在进行网络设计时必须考虑提高网络连

4、接的速度及可靠性，从而为用户提供高质量的服务。对主机托管业务，IDC可为客户提供n x 100M或者千兆独占带宽的电信级专业机房租用服务，包括 随时可扩充的独占带宽 UPS不间断电源保障 24小时实时摄像监控 电源控制系统 保安系统 消防系统以及可选的机柜出租： 标准电信级机柜：高2M、深1M或1。2米、宽19英寸 每台机柜提供独立电源控制 高速以太网接口 独立风扇设备基于主机托管业务IDC的网络全貌如下图所示，网络分为Internet连接层、核心层和服务器接入层。在提供主机托管服务给用户时，IDC服务提供商将负责提供Internet连接层、核心层、分布层及服务器接入层的设备并保障其稳定运行。

5、用户则需要自己负责服务器以及包含防火墙等在内的内部网络。有关网络各层的描述，请参见后续相应章节。2.2 基于网站托管的IDC网络全貌网站托管是IDC经过发展后而开展的一项业务。用户采用IDC提供的服务器来存放数据，运行软件。总体来讲数据中心的硬件设备主要包括：服务器阵列、网络设备（路由器、交换机）、机房控制设备、防火系统、备用电源、空调设施等。数据服务中心的建设除了必须具有一定面积的机房和相当数量的服务器外，还必须对运维管理、安全系统、监控等设施、工具和专业服务进行深入的考虑。提供网站托管业务的IDC向其用户提供的业务主要包括网络设施及网站托管，这样对于IDC而言在进行网络设计时必须考虑以下要

6、素： 提高服务器及Web应用的可访问性，这需要网络具有内容识别（Content Aware）的功能 为方便租用主机的用户易于控制及管理其主机内容，提供相应的管理平台。2.2.1 独享式网站托管IDC为用户提供专用主机，这更适合于具有复杂业务的站点。专用主机可以为这些关键应用提供高质量、安全的服务。对于这种业务模型，用户将其服务器包给了数据服务中心经营者，用户不必拥有计算机、网络方面的技术人员而享受数据服务中心所提供的全套专业服务。为了保证服务质量，获得相应的高增值服务费用，IDC服务经营者通常与用户制定SLA（Service Level Agreement）。运营者遵照SLA上规定的条例保证服

7、务的不间断、丢包率、网络响应时间。经营者通过提供例如：平台设计、服务监控、服务品质测试、网络安全管理和缓存等项增值服务加强市场竞争力。对中小型网站而言，无论是从运营维护的角度，还是对整体业务收入而言，与场地租用的服务相比，独享主机服务更能吸引IDC的经营者。根据用户需求的不同，我们可以定义单机，双机集群或包括数据库服务器的独享主机服务包。其他作为独享主机托管服务的一部分还应包括： 电信级高品质机房环境和设备 可靠的供电系统 恒温恒湿控制系统 19英寸标准机架 10M/100M共享或独占接口 独立IP地址 服务器配置 服务器系统软件安装、调试 247网络系统管理维护与技术支持 24小时实时的服务

8、器运行状态、流量监测 详细的访问统计报告 紧急状况的处理2.2.2 共享式网站托管又可称为虚拟主机业务，是指在一种Internet的网站工作环境下，IDC的网络服务器可以容纳许多相互独立的多个网站和Email系统，并且由IDC提供管理维护服务。而每一位客户可以有条件地访问和控制服务器上的一小部分，从而用来构建自己的网站。虚拟主机依托于一台服务器，多个网站可以在这台服务器上共享资源（硬盘空间、处理器以及内存空间），单独的一台服务器上可以同时运行多个虚拟主机。虚拟主机是一种初级的网络系统方案，其用途主要是容纳一些中小型企业应用以及静态网页。在商业网站发展的早期阶段，是系统采取的主要解决方案。其业务

9、需求的前提如下： 建设网站系统需要高额的硬件费用； 缺乏维护这些系统的有经验的专家； 网站比较简单； 交互应用程序较少； 网络带宽的限制。现在Internet上很多网站都采用虚拟主机系统方案。虚拟主机业务市场将会随着这个产业的发展而不断调整与变化，不断地满足如小型企业、社会团体以及其它仅需要一种简单的网页系统的需求。但由于这种业务模式的技术难度不大，所需投资较小，竞争也比较激烈，利润也较低。在IDC网络建设初期，虚拟主机业务为服务提供商提供了巨大的市场机遇，而且它是实施其他增值服务（例如应用托管业务）的基础。共享式网站托管是深受中、小企业欢迎的一个价廉物美的服务，内容包括： 国际、国内域名代理

10、申请 URL域名解析 FTP访问及其密码修改 断点续传支持 CGI/Perl支持，专用CGIBIN目录 Active X/VB Script支持 JAVA Applet/Class支持 防火墙保护 服务器24小时不间断运行 WEB设计服务 WEB Counter计数器 Banner广告条 搜索引擎 Email自动转发、回复及邮件列表支持IDC可根据用户对以上功能的选择及对存储空间的要求，定义成不同级别的服务包提供给最终用户。在基于网站托管业务IDC的网络全貌如下图所示，网络分为Internet连接层、核心层、分布层、服务器接入及后台管理平台。在提供网站托管业务时，IDC服务提供商需提供并管理所

11、有各层的设备，对于IDC的用户是完全透明的，从而用户可以专注于其业务而无需负责任何系统的管理。对于网络结构中各层的详细描述，请参见后续相应章节。3 网络安全众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在使用和管理上的无政府状态，逐渐使Internet自身的安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：拒绝服务、非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。这就要求我们对与Internet互连所带来

12、的安全性问题予以足够重视。 IDC以Internet技术体系作为基础，主要特点是以TCP/IP为传输协议和以浏览器/WEB为处理模式。所以我们在IDC的设计中必须充分重视安全问题，尽可能的减少安全漏洞。此外，我们还应该根据IDC的客户需求提供不同的安全服务，同时最大限度的保证IDC 网络管理中心（NOC）自身的安全。3.1 IDC的安全需求我们把对于IDC的安全需求分为三类：分别是IDC基本服务，IDC增值服务，IDC NOC。对于IDC基本服务的安全需求如下： AAA服务，提供认证，授权及审计的功能 防Dos 黑客攻击功能 线速ACL功能 对于IDC 增值服务的安全需求如下： AAA服务，提

13、供认证，授权及审计的功能 防Dos 黑客攻击功能 线速ACL功能 防火墙及防火墙平滑切换功能 入侵检测功能 漏洞检测功能 线速NAT对于 IDC NOC的安全需求如下： AAA服务，提供认证，授权及审计的功能 防Dos 黑客攻击功能 线速ACL功能 防火墙及防火墙平滑切换功能 入侵检测功能 漏洞检测功能 线速NAT ACL的策略管理 安全元件的策略管理 VPN3.1.1 AAA服务所谓AAA是（Authentication、Authorization、Accounting）的缩写，即认证、授权、记帐功能，简单的说：认证：用户身份的确认，确定允许哪些用户登录，对用户的身份的校验。授权：当用户登录

14、后允许该用户可以干什么，执行哪些操作的授权。记帐：记录用户登录后干了些什么。AAA功能的实施需要两部分的配合：支持AAA的网络设备、AAA服务器。RADIUS/TACACS+是实施AAA常用的协议，认证软件需要有完整的记帐功能，并且可以将USER 信息直接导入软件的用户数据库，极大方便的AAA服务的用户管理。在使用AAA的功能后用户通过网络远程登录到网络设备上的基本过程如下：用户执行远程登录命令（例如：Telnet），网络设备提示输入用户姓名、口令。用户输入口令后，网络设备向AAA服务器查询该用户是否有权登录。AAA服务器检索用户数据库，如果该用户允许登录则向网络设备返回PERMIT信息和该用

15、户在该网络设备上可执行的命令同时将用户登录的时间、IP作详细记录；若不能在用户数据库中检索到该用户的信息则返回DENY信息，并可以根据设置向网管工作站发送SNMP的警告消息。当网络设备得到AAA的应答后，可以根据应答的内容作出相应的操作，如果应答为DENY则关闭掉当前的SESSION进程；如果为PERMIT则根据AAA服务器返回的用户权限为该用户开启SESSION进程，并将用户所执行的操作向AAA服务器进行报告。通过AAA的实施我们可以方便的控制网络设备的安全性，同时结合ACL的设置限制能够进行远程登录的工作站的数量、IP地址降低网络设备受到攻击的可能性。3.1.2 防DoS黑客攻击在拒绝服务

16、（DoS）攻击中，恶意用户向服务器发送多个认证请求，使其满负载，并且所有请求的返回地址都是伪造的。当服务器企图将认证结果返回给用户时，它将无法找到这些用户。在这种情况下，服务器只好等待，有时甚至会等待1分钟才能关闭此次连接。当服务器关闭连接之后，攻击者又发送新的一批虚假请求，以上过程又重复发生，直到服务器因过载而拒绝提供服务。分布式拒绝服务（DDOS）把DoS又向前发展了一步。DoS攻击需要攻击者手工操作，而DDOS则将这种攻击行为自动化。与其他分布式概念类似，分布式拒绝服务可以方便地协调从多台计算机上启动的进程。在这种情况下，就会有一股拒绝服务洪流冲击网络，并使其因过载而崩溃。DDOS工作的

17、基本概念如图所示。黒客（client）在不同的主机（handler）上安装大量的DoS服务程序，它们等待来自中央客户端（client）的命令，中央客户端随后通知全体受控服务程序（agent），并指示它们对一个特定目标发送尽可能多的网络访问请求。该工具将攻击一个目标的任务分配给所有可能的DoS服务程序，这就是它被叫做分布式DoS的原因。实际的攻击并不仅仅是简单地发送海量信息，而是采用DDOS的变种工具，这些工具可以利用网络协议的缺陷使攻击力更强大或者使追踪攻击者变得更困难。首先，现在的DDOS工具基本上都可以伪装源地址。它们发送原始的IP包（raw IP packet），由于Internet协议

18、本身的缺陷，IP包中包括的源地址是可以伪装的，这也是追踪DDOS攻击者很困难的主要原因。其次，DDOS也可以利用协议的缺陷，例如，它可以通过SYN打开半开的TCP连接，这是一个很老且早已为人所熟知的协议缺陷。为了使攻击力更强，DDOS通常会利用任何一种通过发送单独的数据包就能探测到的协议缺陷，并利用这些缺陷进行攻击。 防范攻击的措施 1。 过滤进网和出网的流量 网络服务提供商应该实施进网流量过滤措施，目的是阻止任何伪造IP地址的数据包进入网络，从而从源头阻止诸如DDOS这样的分布式网络攻击的发生或削弱其攻击效果。2。 采用网络入侵检测系统IDS 当系统收到来自奇怪或未知地址的可疑流量时，网络入

19、侵检测系统IDS（Intrusion Detection Systems）能够给系统管理人员发出报警信号，提醒他们及时采取应对措施，如切断连接或反向跟踪等。3。 具体措施在路由器和Web交换机上，它将丢弃下列类型的数据帧： 长度太短； 帧被分段； 源地址与目的地址相同； 源地址为我们的内部地址，或源地址为子网广播地址； 源地址不是单播地址； 源地址是环回地址； 目的地址是环回地址； 目的地址不是有效的单播或组播地址此外， 对于HTTP数据流，WEB交换机必须在HTTP流启动后的16秒内接受一个有效的帧，否则它将丢弃这个帧并中断这个流； 对于TCP数据流，WEB交换机必须在16秒内接受一个返回的

20、ack，否则它将终止这个TCP流； 对于任意尝试过8次以上SYN的数据流，WEB交换机将终止这个流，并且停止处理同样SYN，源地址，目的地址及端口号对的数据流。在核心交换机上我们可以用线速的ACL来达到上述类似的帧丢弃策略，我们还可以用CAR的方法对ping及SYN的数据流进行带宽控制，以预防DDOS的攻击。3.1.3 漏洞检测漏洞检测（Vulnerability Scanner）就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。 安全扫描服务器可以对网络设备进行自动的安全

21、漏洞检测和分析，并且在实行过程中支持基于策略的安全风险管理过程。另外，互联网扫描执行预定的或事件驱动的网络探测，包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测，从而去识别能被入侵者利用来进入网络的漏洞。安全扫描服务器同时能进行系统扫描。系统扫描通过对企业内部操作系统安全弱点的完全的分析，帮助组织管理安全风险。系统扫描通过比较规定的安全策略和实际的主机配置来发现潜在的安全风险，包括缺少安全补丁、词典中可猜的口令、不适当的用户权限、不正确的系统登录权限、不安全的服务配置和代表攻击的可疑的行为。系统安全扫描还可以修复有问题的系统，自动产生文件所有权和文件权限的修

22、复脚本。安全扫描服务器能提供实时入侵检测和实时报警。当收到安全性消息时，图形用户界面上相应的主机状态颜色和安全性消息组的图标都应有相应变化，以帮助操作人员快速地确定报警的原因和范畴。3.1.4 入侵检测入侵检测（Intrude Detection）具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统。实时入侵检测系统解决方案，用于检测、报告和终止整个网络中XX的活动。它可以在Interne

23、t和内部网环境中操作，保护整个网络。入侵检测系统包括两个部件： Sensor和Director。Sensor不影响网络性能，它分析各个数据包的内容和上下文，决定流量是否XX。如果一个网络的数据流遇到XX的活动，例如SATAN攻击、PING攻击或秘密的研究项目代码字，Sensor可以实时检测政策违规，给Director管理控制台转发告警，并从网络删除入侵者。基于网络的实时入侵检测系统，能够监控整个数据网络，需要是具备最新攻击检测功能的稳健的全天候监控和应答系统，能在本地、地区和总部监视控制台之间指导和转发告警的分布式入侵检测系统。同时需要能够允许部署大量Sensor和Director的可伸缩的体

24、系结构，在大型网络环境中提供全面的覆盖面，与现有网络管理工具和实践平滑集成的入侵检测系统。 入侵检测系统通常具有的关键特性包括： 对合法流量/网络使用透明的实时入侵检测 对XX活动的实时应对可以阻止黑客访问网络或终止违规会话 全面的攻击签名目录可以检测广泛的攻击，检测基于内容和上下文的攻击 支持广泛的速度和接口类型，包括10/100 Mbps以太网、令牌环网和FDDI 告警包括攻击者和目的地IP地址、目的地端口、攻击介绍以及捕获的攻击前键入的字符 适合特大规模分布式网络的可伸缩性 3.1.5 专用VLANIDC环境是一个典型的多客户的服务器群结构，每个托管客户从一个公共的数据中心中的一系列服务

25、器上提供Web服务。这样，属于不同客户的服务器之间的安全就显得至关重要。一个保证托管客户之间安全的通用方法就是给每个客户分配一个VLAN和相关的IP子网。通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的扩展方面的局限。这些局限主要有以下几方面： VLAN的限制：LAN交换机固有的VLAN数目的限制 复杂的STP：对于每个VLAN，一个相关的Spanning-tree的拓扑都需要管理 IP地址的紧缺：IP子网的划分势必造成一些地址的浪费 路由的限制：如果使用HSRP，每个子网都需相应的缺

26、省网关的配置在一个IDC中，流量的流向几乎都是在服务器与客户之间，而服务器间的横向的通信几乎没有。Cisco在IP地址管理方案中引入了一种新的VLAN机制，服务器同在一个子网中，但服务器只能与自己的缺省网关通信。这一新的VLAN特性就是专用VLAN （private VLAN，pVLAN）。这种特性是Cisco公司的专有技术，但特别适用于IDC。 专用VLAN是第2层的机制，在同一个2层域中有两类不同安全级别的访问端口。与服务器连接的端口称作专用端口（private port），一个专用端口限定在第2层，它只能发送流量到混杂端口，也只能检测从混杂端口来的流量。混杂端口（promiscuous

27、port）没有专用端口的限定，它与路由器或第3层交换机接口相连。简单地说，在一个专用VLAN内，专用端口收到的流量只能发往混杂端口，混杂端口收到的流量可以发往所有端口（混杂端口和专用端口）。下图示出了同一专用VLAN中两类端口的关系。 专用VLAN的应用在多客户的数据中心是非常有效的，因为IDC的网络中，服务器只需与自己的缺省网关连接，一个专用VLAN不需要多个VLAN和IP子网就提供了这样的安全连接。在这一模型中，所有的服务器都接入专用VLAN，从而实现了所有服务器与缺省网关的连接，而与专用VLAN内的其他服务器没有任何访问。目前，Cisco的Catalyst Switch 6000/650

28、0系列交换机支持专用VLAN。4 Internet连接作为IDC网络与公共IP骨干网络的接口，Internet连接层提供了IDC与公共IP网的桥梁，它的运行情况直接关系到IDC为其用户所提供的服务的质量，这就要求该层的设备必须具有以下的特点： 高速的路由交换能力 对各种高级路由协议（如BGP等）的全面支持 具备丰富的接口类型 完善的QOS支持能力在Internet连接层配置高端路由器，使用高速连接到IP骨干网，并以全冗余方式与核心层互连。借助于这些高端路由器的高性能及丰富的特性，提供全冗余、高速、高性能网络核心。4.1 骨干接入作为IDC网络与公共IP骨干网络的接口，Internet连接层提供

29、了IDC与公共IP网的桥梁，它的运行情况直接关系到IDC为其用户所提供的服务的质量，这就要求该层的设备必须具有以下的特点： 高速的路由交换能力 对各种高级路由协议（如BGP等）的全面支持 具备丰富的接口类型 完善的QOS支持能力在Internet连接层配置高端路由器，使用高速连接到IP骨干网，并以全冗余方式与核心层互连。借助于这些高端路由器的高性能及丰富的特性，提供全冗余、高速、高性能网络核心。4.2 带宽管理在IDC的业务中，通常针对提供不同的带宽收取不同的费用，所以带宽管理成为Internet连接中提供服务质量的重要保证。 4.2.1 识别网络流量 IDC的带宽管理需要支持多种协议和应用程

30、序，并且可以根据自己的需要，自行设定相应的标准来区分更多的类型。可以通过应用、服务、协议、端口数、URL或通配符（用于Web通信）、主机名称、优先权、以及IP或MAC地址对通信量进行分类。只有这样才能对用户提供完善的带宽管理机制。像HTTP、FTP和Telnet这样的IP协议，以及像SNA、NetBIOS和AppleTalk这样的非IP协议，带宽管理都应该能自动识别，并根据用户的需要进行有效的处理。例如，你可以将SAP/R3通信量根据一个特定客户式特定服务器隔开，使TN3270交互式通信量与打印通信量分开，甚至把一个H。323视频会议的数据信道和控制信道区分开来。4.2.2 保证应用性能 带宽

31、管理需要保证关键的和交互式的应用获得其所需要的带宽，同时限制普通应用对带宽的需求。每种通信类型映射到一项特定的带宽分配政策上，确保每种通信类型得到一个适当的带宽。 速率政策（Rate policies）限制或保证每个单独对话的带宽，抑制那些贪婪的应用通信，或者保护对时延敏感的流量。比如，一个HTTP cap会使Web游览避免使用他人的带宽。而且获得保证的音频或视频流动速率，避免出现恼人的不稳定性。速率政策是为应用提供没有被使用的带宽，所以，昂贵的带宽从不会被浪费。 4.2.3 测量、分析和生成报表 网络管理员在制订一项带宽管理策略之前及之后必须分析其网络应用通信的模式，以测量其是否成功。带宽管理将跟踪平均和高峰通信量水平，计算在重新传输上所浪费的带宽比例，突出最主要用户和应用程序，并且测量性能。网络总结以及特定上下文的报表提供了对网络趋势的轻松访问。响应时间特征允许你测量性能，设置可接受性标准，并跟踪响应质量是否坚持了标准。 4.2.4 流量控制和监视控制 IDC的带宽管理是非常复杂的业务和技术控制，所以，需要一个简单易用的进行操作的管理界面。通过这一界面