IDC 網絡部分設計方案1

2019-11-04 21:17:53

字體：大中小

來源：轉載

供稿：網友

1　　　　　概述
　　如下圖是整個IDC的建設框架，本章將闡述網絡框架的建設以及網絡治理。
　　　

　　網絡架構運行在布線系統，供電系統等基礎系統之上，同時為主機系統和應用系統提供平臺。而在橫向結構上，IDC的網絡運行離不開網絡治理和運營維護。網絡架構的可靠，穩定，高效，安全，可擴展，可治理性將直接關系到上層的主機系統和應用系統，也將直接關系到IDC業務的順利開展和運行。總之，網絡架構是IDC建設框架中重要而又承上啟下的一環，網絡系統的設計是否完善將直接影響到IDC建設的質量。
　　IDC網絡架構的整體設計框架如下圖所示。
　　　

　　IDC的業務將包含接入業務，空間出租業務，托管業務，治理業務和增值業務。本章將在介紹IDC網絡設計的同時，闡述每個設計要點對IDC業務的影響和重要性。因為上圖中整個IDC建設框架的最終目的是為了IDC業務的開展和拓展，在這個框架的每個部分都必須貫穿為IDC業務開展服務的宗旨。
　　本章將從托管服務，網絡安全，Internet連接，內容交換，內容傳送，后臺連接和網絡治理等方面具體闡述IDC網絡解決方案對IDC業務的針對性設計。
　　2　　　　　托管服務
　　IDC的基本業務包括網站托管（Web hosting）和主機托管（Co-location）兩大類。其中網站托管分為共享式和獨享式兩種。由于其業務模式的不同，使得其在對網絡設計時的要求也不相同。以下分別給出基于兩種不同模式時的網絡全貌。
　　　

　　2.1　　基于主機托管的IDC網絡全貌
　　主機托管是IDC初期為其用戶提供的一種基礎服務。網站及企業用戶自身擁有若干服務器，并把它放置在IDC的機房里，由客戶自己進行維護。
　　主機托管業務的特點：投資降低，用戶可使用已購買的服務器等設備，無需再作設備投資，并且可采用IDC提供的線路。
　　該業務適合于自身有較強的網絡運行維護經驗并在數據中心建立之前已投入人力物力建設了網站設備的大型企業用戶。如聞名的Yahoo、eBay、Amazon。com都采用了主機托管業務。
　　提供主機托管業務的IDC向其用戶提供的業務主要包括與Internet網的連接以及提供獨立安全的場地，這樣對于IDC而言在進行網絡設計時必須考慮提高網絡連接的速度及可靠性，從而為用戶提供高質量的服務。
　　對主機托管業務，IDC可為客戶提供n x 100M或者千兆獨占帶寬的電信級專業機房租用服務，包括
　　·　　　　隨時可擴充的獨占帶寬
　　·　　　　UPS不間斷電源保障
　　·　　　　24小時實時攝像監控
　　·　　　　電源控制系統
　　·　　　　保安系統
　　·　　　　消防系統
　　以及可選的機柜出租：
　　·　　　　標準電信級機柜：高2M、深1M或1。2米、寬19英寸
　　·　　　　每臺機柜提供獨立電源控制
　　·　　　　高速以太網接口
　　·　　　　獨立風扇設備
　　基于主機托管業務IDC的網絡全貌如下圖所示，網絡分為Internet連接層、核心層和服務器接入層。
　　　

　　在提供主機托管服務給用戶時，IDC服務提供商將負責提供Internet連接層、核心層、分布層及服務器接入層的設備并保障其穩定運行。用戶則需要自己負責服務器以及包含防火墻等在內的內部網絡。有關網絡各層的描述，請參見后續相應章節。
　　2.2　　基于網站托管的IDC網絡全貌
　　網站托管是IDC經過發展后而開展的一項業務。用戶采用IDC提供的服務器來存放數據，運行軟件。總體來講數據中心的硬件設備主要包括：服務器陣列、網絡設備（路由器、交換機）、機房控制設備、防火系統、備用電源、空調設施等。數據服務中心的建設除了必須具有一定面積的機房和相當數量的服務器外，還必須對運維治理、安全系統、監控等設施、工具和專業服務進行深入的考慮。
　　提供網站托管業務的IDC向其用戶提供的業務主要包括網絡設施及網站托管，這樣對于IDC而言在進行網絡設計時必須考慮以下要素：
　　·　　　　提高服務器及Web應用的可訪問性，這需要網絡具有內容識別（Content Aware）的功能
　　·　　　　為方便租用主機的用戶易于控制及治理其主機內容，提供相應的治理平臺。
　　2.2.1　　獨享式網站托管
　　IDC為用戶提供專用主機，這更適合于具有復雜業務的站點。專用主機可以為這些要害應用提供高質量、安全的服務。對于這種業務模型，用戶將其服務器包給了數據服務中心經營者，用戶不必擁有計算機、網絡方面的技術人員而享受數據服務中心所提供的全套專業服務。
　　為了保證服務質量，獲得相應的高增值服務費用，IDC服務經營者通常與用戶制定SLA（Service Level Agreement）。運營者遵照SLA上規定的條例保證服務的不間斷、丟包率、網絡響應時間。經營者通過提供例如：平臺設計、服務監控、服務品質測試、網絡安全治理和緩存等項增值服務加強市場競爭力。
　　對中小型網站而言，無論是從運營維護的角度，還是對整體業務收入而言，與場地租用的服務相比，獨享主機服務更能吸引IDC的經營者。根據用戶需求的不同，我們可以定義單機，雙機集群或包括數據庫服務器的獨享主機服務包。其他作為獨享主機托管服務的一部分還應包括：

　　·　　　　電信級高品質機房環境和設備
　　·　　　　可靠的供電系統
　　·　　　　恒溫恒濕控制系統
　　·　　　　19英寸標準機架
　　·　　　　10M/100M共享或獨占接口
　　·　　　　獨立ip地址
　　·　　　　服務器配置
　　·　　　　服務器系統軟件安裝、調試
　　·　　　　24×7網絡系統治理維護與技術支持
　　·　　　　24小時實時的服務器運行狀態、流量監測
　　·　　　　具體的訪問統計報告
　　·　　　　緊急狀況的處理
　　2.2.2　　　　　　　共享式網站托管
　　又可稱為虛擬主機業務，是指在一種Internet的網站工作環境下，IDC的網絡服務器可以容納許多相互獨立的多個網站和Email系統，并且由IDC提供治理維護服務。而每一位客戶可以有條件地訪問和控制服務器上的一小部分，從而用來構建自己的網站。
　　
　　虛擬主機依托于一臺服務器，多個網站可以在這臺服務器上共享資源（硬盤空間、處理器以及內存空間），單獨的一臺服務器上可以同時運行多個虛擬主機。
　　
　　虛擬主機是一種初級的網絡系統方案，其用途主要是容納一些中小型企業應用以及靜態網頁。在商業網站發展的早期階段，是系統采取的主要解決方案。其業務需求的前提如下：
　　
　　·　　　　建設網站系統需要高額的硬件費用；
　　·　　　　缺乏維護這些系統的有經驗的專家；
　　·　　　　網站比較簡單；
　　·　　　　交互應用程序較少；
　　·　　　　網絡帶寬的限制。
　　現在Internet上很多網站都采用虛擬主機系統方案。虛擬主機業務市場將會隨著這個產業的發展而不斷調整與變化，不斷地滿足如小型企業、社會團體以及其它僅需要一種簡單的網頁系統的需求。但由于這種業務模式的技術難度不大，所需投資較小，競爭也比較激烈，利潤也較低。
　　在IDC網絡建設初期，虛擬主機業務為服務提供商提供了巨大的市場機遇，而且它是實施其他增值服務（例如應用托管業務）的基礎。
　　共享式網站托管是深受中、小企業歡迎的一個價廉物美的服務，內容包括：
　　·　　　　國際、國內域名代理申請
　　·　　　　URL域名解析
　　·　　　　FTP訪問及其密碼修改
　　·　　　　斷點續傳支持
　　·　　　　CGI/Perl支持，專用CGI－BIN目錄
　　·　　　　Active X/VB Script支持
　　·　　　　java Applet/Class支持
　　·　　　　防火墻保護
　　·　　　　服務器24小時不間斷運行
　　·　　　　WEB設計服務
　　·　　　　WEB Counter計數器
　　·　　　　Banner廣告條
　　·　　　　搜索引擎
　　·　　　　Email自動轉發、回復及郵件列表支持
　　IDC可根據用戶對以上功能的選擇及對存儲空間的要求，定義成不同級別的服務包提供給最終用戶。
　　
　　在基于網站托管業務IDC的網絡全貌如下圖所示，網絡分為Internet連接層、核心層、分布層、服務器接入及后臺治理平臺。
　　　

　　在提供網站托管業務時，IDC服務提供商需提供并治理所有各層的設備，對于IDC的用戶是完全透明的，從而用戶可以專注于其業務而無需負責任何系統的治理。對于網絡結構中各層的具體描述，請參見后續相應章節。
　　3　網絡安全
　　　

　　眾所周知，作為全球使用范圍最大的信息網，Internet自身協議的開放性極大地方便了各種計算機連網，拓寬了共享資源。但是，由于在早期網絡協議設計上對安全問題的忽視，以及在使用和治理上的無政府狀態，逐漸使Internet自身的安全受到嚴重威脅，與它有關的安全事故屢有發生。對網絡安全的威脅主要表現在：拒絕服務、非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒、線路竊聽等方面。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。
　　IDC以Internet技術體系作為基礎，主要特點是以TCP/IP為傳輸協議和以瀏覽器/WEB為處理模式。所以我們在IDC的設計中必須充分重視安全問題，盡可能的減少安全漏洞。此外，我們還應該根據IDC的客戶需求提供不同的安全服務，同時最大限度的保證IDC 網絡治理中心（NOC）自身的安全。

　　3.1　　IDC的安全需求
　　我們把對于IDC的安全需求分為三類：分別是IDC基本服務，IDC增值服務，IDC NOC。
　　
　　對于IDC基本服務的安全需求如下：
　　·　　　　AAA服務，提供認證，授權及審計的功能
　　·　　　　防Dos 黑客攻擊功能
　　·　　　　線速ACL功能
　　對于IDC 增值服務的安全需求如下：
　　·　　　　AAA服務，提供認證，授權及審計的功能
　　·　　　　防Dos 黑客攻擊功能
　　·　　　　線速ACL功能
　　·　　　　防火墻及防火墻平滑切換功能
　　·　　　　入侵檢測功能
　　·　　　　漏洞檢測功能
　　·　　　　線速NAT
　　對于 IDC NOC的安全需求如下：
　　·　　　　AAA服務，提供認證，授權及審計的功能
　　·　　　　防Dos 黑客攻擊功能
　　·　　　　線速ACL功能
　　·　　　　防火墻及防火墻平滑切換功能
　　·　　　　入侵檢測功能
　　·　　　　漏洞檢測功能
　　·　　　　線速NAT
　　·　　　　ACL的策略治理
　　·　　　　安全元件的策略治理
　　·　　　　VPN
　　3.1.1　　AAA服務
　　所謂AAA是（Authentication、Authorization、Accounting）的縮寫，即認證、授權、記帳功能，簡單的說：
　　認證：用戶身份的確認，確定答應哪些用戶登錄，對用戶的身份的校驗。
　　授權：當用戶登錄后答應該用戶可以干什么，執行哪些操作的授權。
　　記帳：記錄用戶登錄后干了些什么。
　　AAA功能的實施需要兩部分的配合：支持AAA的網絡設備、AAA服務器。RADIUS/TACACS+是實施AAA常用的協議，認證軟件需要有完整的記帳功能，并且可以將USER 信息直接導入軟件的用戶數據庫，極大方便的AAA服務的用戶治理。
　　在使用AAA的功能后用戶通過網絡遠程登錄到網絡設備上的基本過程如下：
　　用戶執行遠程登錄命令（例如：Telnet），網絡設備提示輸入用戶姓名、口令。
　　用戶輸入口令后，網絡設備向AAA服務器查詢該用戶是否有權登錄。
　　
　　AAA服務器檢索用戶數據庫，假如該用戶答應登錄則向網絡設備返回PERMIT信息和該用戶在該網絡設備上可執行的命令同時將用戶登錄的時間、IP作具體記錄；若不能在用戶數據庫中檢索到該用戶的信息則返回DENY信息，并可以根據設置向網管工作站發送SNMP的警告消息。
　　
　　當網絡設備得到AAA的應答后，可以根據應答的內容作出相應的操作，假如應答為DENY則關閉掉當前的session進程；假如為PERMIT則根據AAA服務器返回的用戶權限為該用戶開啟SESSION進程，并將用戶所執行的操作向AAA服務器進行報告。
　　通過AAA的實施我們可以方便的控制網絡設備的安全性，同時結合ACL的設置限制能夠進行遠程登錄的工作站的數量、IP地址降低網絡設備受到攻擊的可能性。
　　3.1.2　防DoS黑客攻擊在拒絕服務（DoS）攻擊中，惡意用戶向服務器發送多個認證請求，使其滿負載，并且所有請求的返回地址都是偽造的。當服務器企圖將認證結果返回給用戶時，它將無法找到這些用戶。在這種情況下，服務器只好等待，有時甚至會等待1分鐘才能關閉此次連接。當服務器關閉連接之后，攻擊者又發送新的一批虛假請求，以上過程又重復發生，直到服務器因過載而拒絕提供服務。
　　分布式拒絕服務（DDOS）把DoS又向前發展了一步。DoS攻擊需要攻擊者手工操作，而DDOS則將這種攻擊行為自動化。與其他分布式概念類似，分布式拒絕服務可以方便地協調從多臺計算機上啟動的進程。在這種情況下，就會有一股拒絕服務洪流沖擊網絡，并使其因過載而崩潰。
　　　

　　DDOS工作的基本概念如圖所示。黒客（client）在不同的主機（handler）上安裝大量的DoS服務程序，它們等待來自中心客戶端（client）的命令，中心客戶端隨后通知全體受控服務程序（agent），并指示它們對一個特定目標發送盡可能多的網絡訪問請求。該工具將攻擊一個目標的任務分配給所有可能的DoS服務程序，這就是它被叫做分布式DoS的原因。
　　
　　實際的攻擊并不僅僅是簡單地發送海量信息，而是采用DDOS的變種工具，這些工具可以利用網絡協議的缺陷使攻擊力更強大或者使追蹤攻擊者變得更困難。首先，現在的DDOS工具基本上都可以偽裝源地址。它們發送原始的IP包（raw IP packet），由于Internet協議本身的缺陷，IP包中包括的源地址是可以偽裝的，這也是追蹤DDOS攻擊者很困難的主要原因。其次，DDOS也可以利用協議的缺陷，例如，它可以通過SYN打開半開的TCP連接，這是一個很老且早已為人所熟知的協議缺陷。為了使攻擊力更強，DDOS通常會利用任何一種通過發送單獨的數據包就能探測到的協議缺陷，并利用這些缺陷進行攻擊。
　　
　　防范攻擊的措施
　　
　　1。過濾進網和出網的流量
　　
　　　　網絡服務提供商應該實施進網流量過濾措施，目的是阻止任何偽造IP地址的數據包進入網絡，從而從源頭阻止諸如DDOS這樣的分布式網絡攻擊的發生或削弱其攻擊效果。
　　
　　2。采用網絡入侵檢測系統IDS
　　
　　　　當系統收到來自希奇或未知地址的可疑流量時，網絡入侵檢測系統IDS（Intrusion Detection Systems）能夠給系統治理人員發出報警信號，提醒他們及時采取應對措施，如切斷連接或反向跟蹤等。
　　
　　3。具體措施
　　
　　在路由器和Web交換機上，
　　
　　它將丟棄下列類型的數據幀：
　　
　　·　　　　長度太短；
　　
　　·　　　　幀被分段；
　　
　　·　　　　源地址與目的地址相同；

　　
　　·　　　　源地址為我們的內部地址，或源地址為子網廣播地址；
　　
　　·　　　　源地址不是單播地址；
　　
　　·　　　　源地址是環回地址；
　　
　　·　　　　目的地址是環回地址；
　　
　　·　　　　目的地址不是有效的單播或組播地址
　　
　　此外，
　　
　　·　　　　對于HTTP數據流，WEB交換機必須在HTTP流啟動后的16秒內接受一個有效的幀，否則它將丟棄這個幀并中斷這個流；
　　
　　·　　　　對于TCP數據流，WEB交換機必須在16秒內接受一個返回的ack，否則它將終止這個TCP流；
　　
　　·　　　　對于任意嘗試過8次以上SYN的數據流，WEB交換機將終止這個流，并且停止處理同樣SYN，源地址，目的地址及端口號對的數據流。
　　
　　在核心交換機上我們可以用線速的ACL來達到上述類似的幀丟棄策略，我們還可以用CAR的方法對ping及SYN的數據流進行帶寬控制，以預防DDOS的攻擊。
　　
　　3.1.3　　　　　　　漏洞檢測
　　漏洞檢測（Vulnerability Scanner）就是對重要計算機信息系統進行檢查，發現其中可被黑客利用的漏洞。漏洞檢測的結果實際上就是系統安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。
　　
　　安全掃描服務器可以對網絡設備進行自動的安全漏洞檢測和分析，并且在實行過程中支持基于策略的安全風險治理過程。另外，互聯網掃描執行預定的或事件驅動的網絡探測，包括對網絡通信服務、操作系統、路由器、電子郵件、Web服務器、防火墻和應用程序的檢測，從而去識別能被入侵者利用來進入網絡的漏洞。
　　
　　安全掃描服務器同時能進行系統掃描。系統掃描通過對企業內部操作系統安全弱點的完全的分析，幫助組織治理安全風險。系統掃描通過比較規定的安全策略和實際的主機配置來發現潛在的安全風險，包括缺少安全補丁、詞典中可猜的口令、不適當的用戶權限、不正確的系統登錄權限、不安全的服務配置和代表攻擊的可疑的行為。系統安全掃描還可以修復有問題的系統，自動產生文件所有權和文件權限的修復腳本。
　　
　　安全掃描服務器能提供實時入侵檢測和實時報警。當收到安全性消息時，圖形用戶界面上相應的主機狀態顏色和安全性消息組的圖標都應有相應變化，以幫助操作人員快速地確定報警的原因和范疇。
　　
　　3.1.4　　　　　　　入侵檢測
　　入侵檢測（Intrude Detection）具有監視分析用戶和系統的行為、審計系統配置和漏洞、評估敏感系統和數據的完整性、識別攻擊行為、對異常行為進行統計、自動地收集和系統相關的補丁、進行審計跟蹤識別違反安全法規的行為、使用誘騙服務器記錄黑客行為等功能，使系統治理員可以較有效地監視、審計、評估自己的系統。實時入侵檢測系統解決方案，用于檢測、報告和終止整個網絡中未經授權的活動。它可以在Internet和內部網環境中操作，保護整個網絡。
　　
　　入侵檢測系統包括兩個部件： Sensor和Director。Sensor不影響網絡性能，它分析各個數據包的內容和上下文，決定流量是否未經授權。假如一個網絡的數據流碰到未經授權的活動，例如SATAN攻擊、PING攻擊或秘密的研究項目代碼字，Sensor可以實時檢測政策違規，給Director治理控制臺轉發告警，并從網絡刪除入侵者。
　　
　　基于網絡的實時入侵檢測系統，能夠監控整個數據網絡，需要是具備最新攻擊檢測功能的穩健的全天候監控和應答系統，能在本地、地區和總部監視控制臺之間指導和轉發告警的分布式入侵檢測系統。同時需要能夠答應部署大量Sensor和Director的可伸縮的體系結構，在大型網絡環境中提供全面的覆蓋面，與現有網絡治理工具和實踐平滑集成的入侵檢測系統。
　　
　　入侵檢測系統通常具有的要害特性包括：
　　
　　·　　　　對合法流量/網絡使用透明的實時入侵檢測
　　
　　·　　　　對未經授權活動的實時應對可以阻止黑客訪問網絡或終止違規會話
　　
　　·　　　　全面的攻擊簽名目錄可以檢測廣泛的攻擊，檢測基于內容和上下文的攻擊
　　
　　·　　　　支持廣泛的速度和接口類型，包括10/100 Mbps以太網、令牌環網和FDDI
　　
　　·　　　　告警包括攻擊者和目的地IP地址、目的地端口、攻擊介紹以及捕捉的攻擊前鍵入的字符
　　
　　·　　　　適合特大規模分布式網絡的可伸縮性
　　
　　3.1.5　　　　　　　專用VLAN
　　IDC環境是一個典型的多客戶的服務器群結構，每個托管客戶從一個公共的數據中心中的一系列服務器上提供Web服務。這樣，屬于不同客戶的服務器之間的安全就顯得至關重要。一個保證托管客戶之間安全的通用方法就是給每個客戶分配一個VLAN和相關的IP子網。通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個客戶單一VLAN和IP子網的模型造成了巨大的擴展方面的局限。這些局限主要有以下幾方面：
　　
　　·　　　　VLAN的限制：LAN交換機固有的VLAN數目的限制
　　
　　·　　　　復雜的STP：對于每個VLAN，一個相關的Spanning-tree的拓撲都需要治理
　　
　　·　　　　IP地址的緊缺：IP子網的劃分勢必造成一些地址的浪費
　　
　　·　　　　路由的限制：假如使用HSRP，每個子網都需相應的缺省網關的配置

　　
　　在一個IDC中，流量的流向幾乎都是在服務器與客戶之間，而服務器間的橫向的通信幾乎沒有。Cisco在IP地址治理方案中引入了一種新的VLAN機制，服務器同在一個子網中，但服務器只能與自己的缺省網關通信。這一新的VLAN特性就是專用VLAN （PRivate VLAN，pVLAN）。這種特性是Cisco公司的專有技術，但非凡適用于IDC。
　　
　　　　　專用VLAN是第2層的機制，在同一個2層域中有兩類不同安全級別的訪問端口。與服務器連接的端口稱作專用端口（private port），一個專用端口限定在第2層，它只能發送流量到混雜端口，也只能檢測從混雜端口來的流量。混雜端口（promiscuous port）沒有專用端口的限定，它與路由器或第3層交換機接口相連。簡單地說，在一個專用VLAN內，專用端口收到的流量只能發往混雜端口，混雜端口收到的流量可以發往所有端口（混雜端口和專用端口）。
　　
　　下圖示出了同一專用VLAN中兩類端口的關系。
　　
　　　

　　
　　　　　專用VLAN的應用在多客戶的數據中心是非常有效的，因為IDC的網絡中，服務器只需與自己的缺省網關連接，一個專用VLAN不需要多個VLAN和IP子網就提供了這樣的安全連接。在這一模型中，所有的服務器都接入專用VLAN，從而實現了所有服務器與缺省網關的連接，而與專用VLAN內的其他服務器沒有任何訪問。目前，Cisco的Catalyst Switch 6000/6500系列交換機支持專用VLAN。
　　
　　4　　　　　Internet連接
　　作為IDC網絡與公共IP骨干網絡的接口，Internet連接層提供了IDC與公共IP網的橋梁，它的運行情況直接關系到IDC為其用戶所提供的服務的質量，這就要求該層的設備必須具有以下的特點：
　　
　　·　高速的路由交換能力
　　
　　·　對各種高級路由協議（如BGP等）的全面支持
　　
　　·　具備豐富的接口類型
　　
　　·　完善的QOS支持能力
　　
　　在Internet連接層配置高端路由器，使用高速連接到IP骨干網，并以全冗余方式與核心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網絡核心。
　　
　　　

　　4.1　　骨干接入
　　作為IDC網絡與公共IP骨干網絡的接口，Internet連接層提供了IDC與公共IP網的橋梁，它的運行情況直接關系到IDC為其用戶所提供的服務的質量，這就要求該層的設備必須具有以下的特點：
　　
　　·　高速的路由交換能力
　　
　　·　對各種高級路由協議（如BGP等）的全面支持
　　
　　·　具備豐富的接口類型
　　
　　·　完善的QOS支持能力
　　
　　在Internet連接層配置高端路由器，使用高速連接到IP骨干網，并以全冗余方式與核心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網絡核心。
　　
　　4.2　　帶寬治理
　　在IDC的業務中，通常針對提供不同的帶寬收取不同的費用，所以帶寬治理成為Internet連接中提供服務質量的重要保證。　
　　
　　4.2.1　　　　　　　識別網絡流量
　　IDC的帶寬治理需要支持多種協議和應用程序，并且可以根據自己的需要，自行設定相應的標準來區分更多的類型。可以通過應用、服務、協議、端口數、URL或通配符（用于Web通信）、主機名稱、優先權、以及IP或MAC地址對通信量進行分類。只有這樣才能對用戶提供完善的帶寬治理機制。
　　
　　像HTTP、FTP和Telnet這樣的IP協議，以及像SNA、NetBIOS和AppleTalk這樣的非IP協議，帶寬治理都應該能自動識別，并根據用戶的需要進行有效的處理。例如，你可以將SAP/R3通信量根據一個特定客戶式特定服務器隔開，使TN3270交互式通信量與打印通信量分開，甚至把一個H。323視頻會議的數據信道和控制信道區分開來。
　　
　　4.2.2　　　　　　　保證應用性能
　　帶寬治理需要保證要害的和交互式的應用獲得其所需要的帶寬，同時限制普通應用對帶寬的需求。每種通信類型映射到一項特定的帶寬分配政策上，確保每種通信類型得到一個適當的帶寬。
　　
　　速率政策（Rate policies）限制或保證每個單獨對話的帶寬，抑制那些貪婪的應用通信，或者保護對時延敏感的流量。比如，一個HTTP cap會使Web游覽避免使用他人的帶寬。而且獲得保證的音頻或視頻流動速率，避免出現惱人的不穩定性。速率政策是為應用提供沒有被使用的帶寬，所以，昂貴的帶寬從不會被浪費。
　　
　　4.2.3　　　　　　　測量、分析和生成報表
　　網絡治理員在制訂一項帶寬治理策略之前及之后必須分析其網絡應用通信的模式，以測量其是否成功。帶寬治理將跟蹤平均和高峰通信量水平，計算在重新傳輸上所浪費的帶寬比例，突出最主要用戶和應用程序，并且測量性能。網絡總結以及特定上下文的報表提供了對網絡趨勢的輕松訪問。響應時間特征答應你測量性能，設置可接受性標準，并跟蹤響應質量是否堅持了標準。
　　
　　4.2.4　　　　　　　流量控制和監視控制
　　IDC的帶寬治理是非常復雜的業務和技術控制，所以，需要一個簡單易用的進行操作的治理界面。通過這一界面，網絡治理員可在任何時候、任何地方，通過網絡來配置、控制和監控帶寬分配情況。
　　
　　4.2.5　　　　　　　輕松部署
　　硬件帶寬治理器通常位于網絡瓶頸上，通常在路由器和核心交換機之間。為了網絡性能的考慮，帶寬治理器需要與現有的網絡順利集成，不需要任何新的協議或者重新配置路由器，也不需要修改拓樸結構和桌面。它不能是一個網絡故障點，假如帶寬治理器發生故障或者被關掉，它需要會像一根電纜一樣發揮作用。用于IDC的硬件帶寬治理器在當前市場上主要有Alteon公司、Packeteer公司和Intel公司的帶寬治理器。
　　
　　利用路由器和交換機的特定QOS（Quality of Service）技術，也能實現帶寬治理。比如Cisco公司的CAR（Committed access Rate）技術。

　　
　　對本地帶寬治理也可以通過四層交換機來實現。Foundry，Alteon和Cisco公司的四層交換機都支持本地帶寬治理。
　　
　　5　　　　　內容交換
　　內容交換提供數據流的負載均衡以提高IDC的網絡性能，非凡是服務器的響應性能。內容交換同時對應用層的數據提供適當的控制以滿足應用的要求，比如對SSL（Security Socket Layer）連接的控制。這在本節將有具體闡述。
　　
　　　

　　5.1　　基于IP的負載均衡
　　數據中心的服務提供商除了向客戶提供一些基本的主機托管和網站托管服務外，還需要提供一些更高級別的增值服務來吸引用戶、拓展市場。作為數據中心托管用戶的主體，例如ICP網站、電子商務網站、企業網站等，它們托管或租用在數據中心的大部分服務器都是基于Internet TCP/IP協議的應用服務器，例如WWW服務器、FTP服務器等。對于這些用戶而言，如何保證這些要害服務器的高可靠性、高可用性和可擴展性是非常重要的。因此，假如數據中心的服務提供商能夠給客戶提供這種高可用性服務，就可以像保險公司的保險費一樣，來向客戶收取一定的增值服務費用！并且對數據中心的各種類型用戶都帶來好處：對主機租用用戶來講，他們的服務器硬件本身都是租用數據中心的，因此自然希望數據中心能夠對服務器系統的可用性提出更高的保證；對主機托管用戶來講，盡管服務器是自身攜帶的，但是除了極少部分大的網站有資金、有技術能力來自行解決要害服務器系統的高可用性問題外，大多數的網站并不具備這樣的條件，他們希望數據中心服務提供商能夠作為他們的Virtual IT部門，能夠給他們提供一個完善的解決方案。
　　
　　下面我們以數據中心中最為普遍的服務－WWW服務為例，來具體講解如何實現Internet服務的高可用性，即要害服務器系統的高可用性。
　　
　　以前作為一個網站通常采用的方式是WWW服務器由一臺硬件配置非常高的UNIX服務器來擔當，盡管成本昂貴，但這樣做仍然不能保證它的可靠性、可用性、可維護性：一是因為一臺服務器仍作不到硬件級的完全容錯，保證不了可靠性；二是因為一臺服務器的網絡帶寬有限，保證不了可用性；三是因為當這臺服務器進行硬件或軟件升級時，不可避免地要中斷WWW服務，保證不了可維護性。
　　
　　基于上述原因，人們提出了DNS輪詢方案（DNS－Round－Robin）試圖解決WWW服務的可用性問題，即多臺WWW鏡像主機在DNS中對應同一域名，當用戶訪問WWW，要求DNS服務器解析域名時，DNS服務器按DNS請求的先后順序把域名依次解析成其中一臺WWW主機的IP地址，從而把任務平均分擔到數臺WWW主機上，來提高WWW服務的整體性能。它的優點是：實現簡單、實施輕易、成本低；但是，它的缺點也非常明顯：不是真正意義上的負載均衡，DNS服務器將HTTP請求平均地分配到后臺的WWW服務器上，而不考慮每個WWW服務器當前的負載情況；假如后臺的WWW服務器的配置和處理能力不同，最慢的WWW服務器將成為系統的瓶頸，處理能力強的服務器不能充分發揮作用；另外未考慮容錯，假如后臺的某一臺WWW服務器出現故障，DNS服務器仍會把DNS請求分配到這臺故障服務器上，導致對客戶端的不能響應。而這最后一個缺點是致命的，有可能造成相當一部分客戶不能訪問WWW服務，并且由于DNS緩存的原因，造成的惡劣后果要持續相當長一段時間（一般DNS刷新周期約24小時）。
　　
　　

上一篇：校園網組建方案

下一篇：IDC 網絡部分設計方案2