IDC 網絡部分設計方案2

2019-11-04 21:17:53

字體：大中小

來源：轉載

供稿：網友

此外，還有一些基于群集（Cluster）技術的軟件解決方案來保證WWW服務的高可用性。它的通用做法是通過在操作系統的基礎上安裝操作系統廠商的群集軟件或第三方的群集軟件（絕大多數支持WWW服務的群集），例如Microsoft Cluster Server、Turbo linux、Cluster Server等，來做到應用級的互為備份或負載平衡。互為備份（Active/Standby）方式下，其中一臺服務器缺省處于活動狀態（Active/PRimary），而另一臺處于睡眠狀態（Standby/Backup），當主服務器系統死機或應用不能正常服務時，備份服務器會自動變成活動狀態，從而接管原主服務器的任務，保證應用能夠繼續服務。負載平衡方式下，可以有多臺服務器，每一個服務器都承擔一定的應用。它們之間即可以互為備份，也可以有專門一臺備份服務器，它在群集正常時不承擔任何任務，但是當群集中的某一臺服務器發生故障時，它會自動激活，從而接管故障服務器的任務。但是，它也存在以下缺點：安裝、配置復雜，難于維護和治理；群集軟件與服務器的硬件平臺和操作系統密切相關，不能做到設備無關性和無縫升級；實現負載平衡的算法簡單，一般是根據輪詢（Round Robin），有些WWW群集軟件可支持設定權重（Weighting）算法，但權重（weighting）是人為設定，并不能客觀反映每一臺服務器的HTTP請求響應能力以及當前負載情況；與硬件實現方案（Layer4的負載平衡交換設備）比較起來，性能較低，另外支持的Web Site的規模較小（WWW服務器最多可以到16臺）；不能實現HTTPS等非凡應用的負載平衡（這是因為在HTTPS應用中，客戶端和服務器端要進行身份驗證、交換證書和密鑰，所以客戶端和服務器端應一一對應，同一客戶的請求應由同一臺服務器來處理）。當然更為重要的一點是，作為數據中心的托管用戶，他們往往不希望數據中心服務提供商在他們的服務器上安裝任何軟件！
　　
　　正因為上述的解決方案存在這樣或那樣的問題，因此，隨著Internet技術的發展，出現了基于應用、甚至基于內容的負載平衡設備，即我們通常所說的第四層、第七層智能負載平衡設備。它們通過硬件技術或專用的ASIC芯片來實現WWW等應用服務器的負載均衡和高可用性解決方案。通過這種技術可以提高WWW服務器的整體處理能力，并提高整個服務器系統的可靠性、可用性、可維護性、可擴展性，保證WWW服務質量的QOS，提供基于URL、基于內容的交換（當采用第七層負載平衡設備時），最終用一組低處理能力、低實現成本的主機提供大規模、高性能、可擴展的WWW服務。
　　
　　以下是關于采用第四層負載平衡設備實現WWW服務的負載平衡的一般介紹：在第四層負載平衡設備上設置WWW服務的虛擬ip地址（Virtual IP Address），這個虛擬IP地址是DNS服務器中解析到的WWW服務器的IP地址，對客戶端是可見的。當客戶訪問此WWW應用時，客戶端的HTTP請求會先被第四層負載平衡設備接收到，它會基于第四層交換技術實時檢測后臺WWW服務器的負載，根據設定的算法進行快速交換，交給當前最可用、負載最輕的服務器來處理。常見的算法有以下幾種：輪詢（Round Robin）、權重（Weighting）、最少連接（Least connection）、隨機（Random）、響應時間（Response Time）等。通過這種技術可將大量的、并發性的用戶請求分配到多個服務器來處理，從而降低單個服務器的負載，避免服務器的死機或響應延遲過大！另外，這種負載平衡設備還可以幾乎實時地檢測到后臺服務器的硬件、操作系統、網絡甚至應用級別的狀態，從而避免客戶的請求被失效的服務器處理。
　　
　　5.2　　應用負載均衡
　　第七層應用負載平衡設備是近一、兩年才出現的最新技術，它主要用于實現WWW應用的負載平衡和服務質量保證。它與第四層負載平衡設備比較起來：第七層負載平衡設備不僅能檢查TCP/IP數據包的TCP、UDP端口號（Transportation Layer），從而轉發給后臺的某一個服務器來處理，而且它能從會話層（session Layer）以上來分析HTTP請求的URL，根據URL的不同將不同的HTTP請求交給不同的服務器來處理（可以具體到某一類文件，甚至某一個文件），甚至同一個URL請求可以讓多個服務器來響應以分擔負載（當客戶訪問某一個URL，發起HTTP請求時，它實際上要與服務器建立多個會話連接，得到多個對象－Object，例如。txt/。gif/。jpg文檔，當這些對象都下載到本地后，才組成一個完整的頁面）。
　　
　　5.3　　跨地域負載均衡
　　前面講述的都是關于如何在本地局域網實現WWW等應用服務器的負載平衡，那么如何實現應用服務器的廣域網上的負載平衡，從而保證應用的冗災備份，以及如何有效的根據客戶的地域分布、廣域網絡的連通狀態或延遲時間來將客戶定向到他們最適合訪問的站點呢？這些都涉及到廣域網的負載平衡技術（Global Server Load Balance），常見的廣域網負載平衡產品都是基于DNS重定向原理來實現的，即當客戶訪問某一個網站時，例如www。mysite。com時，客戶的關于這個網站的DNS域名解析請求會被這個廣域網的負載平衡設備來處理，而這個廣域網的負載平衡設備會基于客戶端的IP地址范圍、客戶端與各節點的網絡延遲、各節點的狀態及負載等參數，然后根據一定的算法來判定那個節點最適合用戶訪問，從而將這個節點的IP地址或VIP地址返回給客戶。常見的廣域網負載平衡算法有：輪詢（Round－Robin）、加權輪詢（Weighted Round－Robin）、隨機（Random）、最少連接數（Least Connection）、最低CPU利用率（Lowest CPU Utilization）、HTTP重定向（HTTP Redirection）等。

　　
　　5.4　　Cookie和SSL會話的連接鎖定
　　為了使得一個電子商務的事務成功，客戶必須被鎖定到指定的服務器上直到事務完成。保持到一個服務器持續的連接，稱為“鎖定”，這是任何創造利潤的電子商務WEB站點的要害。
　　
　　　　　 Web交換機可以讀到分布在多個包中的Cookie并有能力識別一個Cookie。Cookie可以由Web交換機內部產生或在服務器上產生。一旦Cookie被設定，用戶的瀏覽器就被透明地刷新。可以產生Cookie對電子商務站點基于Cookie使流量具有優先級是有益的。假如進入一個請求并且提供了一個Cookie，用戶的優先級字段就會決定那個服務器群接受請求。假如沒有提供Cookie，請求要么被送到認證服務器，要么交換機內部產生一個新的Cookie。這個請求就有一個有優先級設置的Cookie，這個優先級會把用戶定向到合適得服務器群。
　　
　　　　　保護基于Web的商務的最常用的方法就是使用流行的SSL（Secure Socket Layer）協議。SSL是端到端的加密機制，是當今Web商務加密的主要方法。
　　
　　　　　基于SSL會話ID維持持續性優化了電子商務的商務完整性，保證了安全和性能的均衡。在一個安全的事務中，Web交換機維持從用戶Cookie（購物）到SSL會話ID（結帳）的轉化。這一點很要害，因為Cookie處于為進行SSL事務而加密的HTTP頭部，所以維持鎖定連的Web交換機不能讀到。用戶瀏覽器與服務器之間開始的SSL Hello消息含有一個空的會話ID字段（假如要建立一個新的SSL會話）或上一次客戶使用得SSL會話。但是，這并不是下面的電子事務使用的SSL會話ID。作為客戶Hello消息的響應，服務器挑選一個新的會話ID并把自己的帶有會話ID的Hello發回到客戶端。CSS交換機在服務器的Hello中檢測到這個新的SSL會話ID并把請求路由到這一時刻最合適的服務器。后續的有這個會話ID的請求都將被轉到同一臺服務器。
　　
　　　　　為了優化資源，當一個會話在一個定義的時間段處于休止狀態后，Web服務器會終止這個會話。當幾分鐘沒有操作后，服務器會做超時處理，釋放這個會話ID。當用戶發送一個新的請求時，服務器把它作為一個新用戶處理，會建立一個新的會話。假如用戶填了一個很長的表格，比如抵押申請或信用證實，那么所有剛填寫的信息都會丟失，必須重新來過。
　　
　　Web交換機解決方案為加密會話提供鎖定連接，不僅提高了效率和用戶滿足度，也顯著地減少了服務器上應用的壓力。由于建立會話的握手會涉及交換公鑰，會產生計算資源的最大的消耗。通過截取會話ID并透明地重建失敗的會話，Web交換機除去了一個連接失敗后為建立新會話而做的處理復雜的談判任務。
　　
　　6　　　　　內容傳送
　　　

　　6.1　　網絡加速
　　Web Cache技術是把大多數經常被訪問的內容存放的距客戶更近從而提高了Web的訪問速度。Web cache可以在企業的Internet接入處配置，在接入設備和ISP POP中骨干鏈路之間，或在ISP網絡之間的邊緣。
　　
　　　
　　
　　　　　有許多的Web cache實現方法，包括代理、透明的以及反向代理cache。每一種技術的區別在于在Web服務器訪問途徑的什么地方配備和需要進行配置的多少。
　　
　　　　　 Cache能力定義為一個對象可以被的潛力。Web Cache只能cache靜態的內容，如gif、jpg和PDF等。有一些類型的Web的內容是不能被Cache的，比如動態的內容，包括CGI腳本、RealAudio、asp、加密的文件或與cookie有關的象shopping cards等。Internet專家證實，當今40~50%的Internet內容是動態的。Web Cache的效率是用最大cache命中率和最低可能的請求/響應延時來衡量的。Cache的命中率受一系列因素的影響，包括工作負載、內存和磁盤大小、內容老化算法等。
　　
　　6.1.1　　　　　　　透明Caching
　　　　　在透明代理Caching（Transparent Caching）環境中，Cache對于瀏覽器是透明的，瀏覽器不需要配置指向Cache。用戶的請求經過網絡設備路由到Cache，比如經過路由器上的策略過濾、遠程的訪問服務器或通過使用非凡用途的Web Cache前端設備，如Web交換機。
　　
　　6.1.2　　　　　　　代理Cache
　　　　　在代理Cache（Proxy Caching）環境中，每個Web瀏覽器都要配置代理Cache的IP地址，所有用戶的請求都會轉發到代理。當發起一個內容請求時，每個請求都會轉到代理Cache的IP地址，不管是對動態或靜態內容的請求。假如請求的內容已經在Cache中，那么Cache直接把內容發給客戶；假如請求的內容不在Cache中，請求被送到服務器獲取內容，一旦在服務器中找到了所需內容，Cache響應客戶，且假如內容是可Cache的，在Cache中復制一個copy。

　　
　　　　　代理Cache的主要的缺點是需要治理的，缺少集中控制，并且不能重新定向用戶繞過當掉的Cache，而是送到“黑洞”中。
　　
　　6.1.3　　　　　　　 Cache集群
　　　　　在一個位置配備多個Cache就是Cache集群（Cache Clustering）。Cache集群提供冗余，增加了Cache的性能合擴展能力。Cache集群可以通過把多個Cache連接到一個路由器、第4層交換機或Web交換機上來實現。Cache集群提供了冗余，在單個Cache失敗時起到保護作用。非凡是代理Cache，對單一的Cache失敗很敏感。假如一個網絡中等Cache失敗，所有的配置使用它的瀏覽器都會失去與Web的連接。集群是一個相對于配置后備Cache較好的解決方案，因為后者增加了代理Cache治理的復雜程度。
　　
　　6.1.4　　　　　　　反向代理Cache
　　　　　代理和透明的Cache是具有代表性的為優化穿越網絡的所有Internet流量而配備的。反向代理Cache（Reverse Proxy Caching，RPC）則是典型的數據中心的擴展。反向代理Cache是Web服務器的代理，而不是客戶的代理。事實上，反向代理Cache對網絡來說象是真正的Web服務器，DNS解析RPC的IP地址而不是實際的服務器的IP地址。
　　
　　　　　 Web交換機可以為不可Cache的HTTP請求或不可Cache的TCP請求（如SSL）旁路RPC。交換機旁路RPC，把最初的IP地址信息和包含在流頭部的序列號發往服務器。服務器直接向客戶答復，或轉發到RPC的交換機。兩種方法都不涉及Cache，它可以集中資源去服務可Cache的內容請求。
　　
　　6.1.5　　　　　　　智能Cache旁路
　　　　　動態內容，如電子商務的事務、股票交易、ASP以及CGI表單，是不能Cache到Cache服務器的，只有靜態的內容是可以Cache的。可以Cache的靜態的內容的例子就是gif、jpeg和pdf文件等。
　　
　　　　　代理、透明式和反向代理Web Cache把所有客戶的請求都推向Cache服務器，這給以產生效益為目的想利用Web Cache強行把所有請求（不管內容）推向不能完成請求的服務器的站點造成了很大的問題。Web交換機具有完成智能Cache旁路（Intelligent Cache Bypass）的能力，假如是動態請求可以旁路代理、透明式或反向代理Cache服務器。當不可Cache的或動態的URL被指向Cache時，由于Cache需要判定這個請求的內容不可Cache，再從源服務器獲取內容，然后再轉發給客戶，會造成明顯的延時。在這種情況下，Cache基本上變成了瓶頸。Web交換機的智能Cache旁路能力除去了Cache的重新定向動態內容請求的負擔，因此提高了性能。
　　
　　6.2　　動態內容復制
　　Web交換機可以設置某些內容的負荷門限，當此內容的訪問超過門限，交換機將動態復制熱點內容到備份服務器，并重定向請求到備份服務器。由于Internet的流量具有很強的突發性，而且具有不可預見性，對于一些大型的網站，經常會由于這種突發性的大業務量造成服務器的擁塞，從而丟失很多交易量，但是假如增加服務器，又由于大多數時間沒有利用到增加的服務器，造成資源利用率的降低。
　　
　　由于Web交換機具有這種動態內容復制的能力，本方案為用戶提供了一種靈活有效的方案，即由IDC來解決這個問題。Web交換機根據用戶內容的訪問量的大小，動態地擴展用戶服務器的能力，當Web交換機發現某些申請了這項服務的用戶的某些內容的訪問量達到一定的門限時，交換機將動態復制熱點內容到溢出備份服務器，當發現這些內容的訪問量下降以后再將這些內容自動的刪除掉。
　　
　　7　　　　　后臺治理
　　　

　　在建設IDC時，可以按照分層的方式將整個網絡平臺劃分為：核心層，分布層，接入層和后臺網絡。其中前三層主要承載用戶的業務，而后臺網絡主要提供各種后臺的治理功能。在IDC初期建設時，后臺治理的重要性不顯著，甚至很多規模較小的IDC在剛開始建設時，完全沒有考慮到后臺治理的問題，但是隨著業務的迅速發展，后臺網絡的重要性逐漸被熟悉，因此目前比較成功的IDC，都有一個非常完善的后臺治理系統。
　　
　　本解決方案提供了完整的后臺治理平臺，對于每一個服務器通過兩塊網卡，一塊連接到前臺的接入層，為Internet用戶提供服務，另一塊連接到后臺治理系統的接入交換機。在后臺治理平臺上，IDC建立網絡治理控制中心完成對整個IDC的治理控制，IDC客戶中心為IDC的客戶提供設備治理平臺，數據備份中心為用戶提供數據備份。
　　
　　通過后臺治理系統，IDC能夠為用戶提供多種治理功能：備份，網絡治理和客戶中心服務。
　　
　　7.1　　備份
　　在后臺治理網絡上可以通過設置專有的VLAN（Private VLAN）或者是普通的VLAN，以隔離不同用戶的服務器。而需要由多個用戶共享的資源和服務，則可以通過VLAN Trunk和全通口與各個需要共享資源的服務器通信。因此IDC能夠根據用戶的要求，由一臺備份服務器為多個用戶提供數據備份，也可以由一臺備份服務器為單獨的一個用戶提供服務。
　　
　　7.2　　網絡治理
　　由于后臺治理系統與前臺的網絡相互隔離，并且在本方案中對網絡的安全性作了全面的考慮，例如利用防火墻將前后臺隔離，配置入侵檢測和漏洞檢測系統，因此具有很好的安全性。同時由于后臺網絡不承擔業務，帶寬也相對充足，因此IDC都是通過后臺來對服務器和網絡設備進行治理。
　　
　　7.3　　客戶中心
　　由于客戶將設備托管給IDC，用戶對自己的設備需要定期的檢查和治理。目前IDC能夠為用戶提供多種訪問方式，其中IDC設置客戶中心為用戶提供訪問平臺，用戶可以在客戶服務中心訪問自己的網絡設備，與自己的服務器交換信息。
　　
　　客戶中心即可以是由多個用戶共享，也可以是由一個客戶專有，例如一些網上銀行，他就需要在IDC擁有自己專有的治理平臺，那么IDC就可以為這類用戶提供專有的客戶中心。
　　
　　7.4　　數據更新
　　對于從事網上業務的公司，提供好的內容是業務成功的要害，因此IDC的用戶會經常需要對內容進行更新和改進。在用戶對服務器進行更新時，對數據的安全性通常會有較高的要求，因此簡單的通過前臺來更新服務器對于從事電子商務的網站是不適用的。所以通過客戶中心，或者是通過公網從后臺治理系統完成對服務器的更新和數據交換，是IDC通常采用的方法。遠程數據更新的方案中提供全套的端到端的解決方法，包括：遠程撥號；專線；IP加密（IP sec）VPN；MPLS VPN。

　　
　　7.4.1　　　　　　　遠程撥號
　　用戶通過撥號的方式進入后臺治理系統，對自己的服務器和數據庫進行配置和更新，但是這種方式存在帶寬的限制，所以當用戶需要與服務器交換大量數據時，撥號方式就不太合適。
　　
　　7.4.2　　　　　　　專線
　　在IDC設置路由器，通過常用的專線方式，如DDN，Frame Relay等方式提供用戶訪問自己的服務器。這種方式中需要對各個用戶的數據流向進行控制，使他們只能訪問他們自己的服務器，而不能訪問其它用戶的服務器。
　　
　　7.4.3　　　　　　　 IP加密 VPN
　　用戶也可以通過專線的方式接入到公網，通過對IP數據包加密來保證用戶數據的安全性，在IDC再對用戶的IP包進行解密，然后用戶進入自己的VLAN，訪問自己的各個服務器。這種解決方案需要在IDC設置IP Sec的VPN網關。
　　
　　7.4.4　　　　　　　 MPLS VPN
　　MPLS VPN為用戶提供了一種更加靈活有效的訪問方式，用戶可以通過公網平臺上自己私有的MPLS VPN對自己的設備進行訪問，而且其地址空間也可以是其自己的私有地址，由于地址空間是私有的，黑客幾乎無法對其進行攻擊。同時在MPLS VPN上通過流量控制機制能夠為用戶提供端到端的服務質量保證。
　　
　　而且當將來需要向用戶提供網絡外包服務時，利用MPLS VPN與后臺治理系統相結合，可以迅速向用戶提供業務。
　　
　　8　　　　　網絡治理
　　　

　　網絡治理是IDC運行治理中的重要一環，它將覆蓋所有網絡元素的治理和控制。
　　
　　8.1.1　　　　　　　網絡拓撲治理
　　為對IDC網絡進行系統化治理，治理員首先需要對全網的當前狀態有一個準確、直觀的了解。網絡拓撲治理作為治理系統的一個重要組成部分可以滿足治理員的以上需求。它應能幫助治理員自動生成網絡的拓撲結構圖和發現節點設備的分布狀況，并且能對網絡結構的變化進行動態跟蹤和更新。
　　
　　網管中心治理員首先利用自動發現治理進程，對其治理范疇內的全網絡拓撲結構、聯網節點設備以及應用服務器進行地址掃描。根據地址掃描的發現的結果，將在治理服務的治理數據庫中生成全網的網絡拓撲圖。對已生成的全網網絡拓撲圖還將進行定期的檢查，發現可能出現的拓撲改變，并對治理數據庫中存儲的拓撲圖進行相應的更新。
　　
　　8.1.2　　　　　　　故障治理
　　網絡治理員在獲得了最新網絡拓撲結構圖后，還需對全網的故障進行集中控管。網絡故障治理利用了治理軟件包中的功能。通過定義對全網的IP節點設備，通訊鏈路等多方面網絡資源進行自動定期輪詢檢測，可發現節點設備的硬件故障和網絡鏈路中斷。還可以利用對SNMP Trap的支持，捕捉網絡上傳送的故障Trap信息。根據收集到的故障信息，網絡治理軟件可以對所發現的網絡異常狀態進行跟蹤，并在網管中心的圖形化治理控制臺上以多種方式向網絡治理員報警。網絡治理員通過察看治理控制臺上的不同類型報警信息即可以迅速定位故障出現的準確位置和故障的嚴重等級。網絡治理員還可以在治理控制臺上直接啟動設備治理工具察看出現故障的的網絡節點設備當前的具體信息。
　　
　　8.1.3　　　　　　　配置治理
　　IDC網絡網絡設備的配置治理在治理功能上分為設備參數的集中配置、對更改設備參數的操作審計和設備操作系統的集中版本治理。為保障全網參數配置的一致性和設備操作系統版本的統一，配置治理應由中心治理中心的網絡治理員統一控制。網絡治理軟件為IDC網絡治理員提供了配置治理工具。
　　
　　利用網絡治理軟件對IDC網絡設備參數進行集中配置和對網絡設備的操作系統版本進行升級治理。并可對設備的網絡配置文件進行配置校驗和配置文件集中備份以及修改設備參數的審計。
　　
　　網絡治理軟件不但能幫助網絡治理員以圖形化操作方式對全網設備進行集中的參數配置，還能保存所有網絡設備的參數修改歷史紀錄：通過定期檢查各網絡設備的參數，治理工具可以發現所有對配置參數的更改，而不論配置參數是利用治理工具修改的還是利用命令行修改的。網絡治理員在中心治理控制臺上可以檢索網絡設備的所有參數修改紀錄。
　　
　　8.1.4　　　　　　　性能治理
　　網絡治理解決方案中為IDC網絡治理員提供了一組網絡性能和IP電話服務質量的治理工具。
　　
　　利用網絡治理軟件進行網絡設備的廣域網、局域網端口通訊流量統計，監控設備資源的可用率。還可以進行全網網絡流量的歷史數據統計，分析網絡流量的長期趨勢，幫助治理員進行網絡容量規劃，消除網絡中的瓶頸。
　　
　　利用網絡治理軟件進行全網節點設備任意兩點間的響應時間檢測和Delay，Jitter治理。
　　
　　在網管中心治理員可以啟動利用網絡治理軟件對全網的局域網和廣域網性能進行直接監控。收集網絡節點設備中SNMP、RMON和RMON2的性能治理信息，并以圖形化方式為網絡治理員顯示所收集到的治理信息。
　　
　　在網管中心治理員利用利用網絡治理軟件可以監控網絡節點的服務質量，并以圖形化方式顯示網絡通信的延時和抖動。治理員還可以對被監控的性能參數設定閾值，如檢測到網絡性能下降，參數超過了預先設定的閾值，IPM將自動向故障治理系統發送一條報警信息，提示治理員注重。
　　
　　8.1.5　　　　　　　網絡安全治理
　　有些網絡治理軟件還支持網絡治理員分權機制，不同級別的登陸用戶在治理系統中具有不同的治理權限。可以為網管系統定義多級的訪問權限，在方便治理員操作的前提下保證只有經過授權的治理人員才能對網絡進行治理操作，從而保證治理系統的最大安全性。
　　
　　同時網絡治理員也可以利用安全控管軟件進一步加強網絡整體包括網絡治理系統的安全性。Radius服務器是常用的負責提供基于標準安全認證協議的用戶登陸認證機制的設備。
　　
　　9　　　　　網絡具體設計
　　9.1　　Internet 連接層
　　IDC的Internet連接層配置兩臺GSR，使用100BaseT或者1000Base高速連接到IP骨干網，并以全冗余方式與核心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網絡核心。

　　
　　9.2　　核心層
　　整個IDC網絡的結構，必須具有很好的層次并具有很強的擴展能力，這就要求在設計上：
　　
　　§　　　　各層次功能的簡單化，以保證處理的高效和結構的簡單。這就需要有核心層將分布層的數據匯集后連至Internet接入路由器
　　
　　§　　　　網絡擴展易于實現并且不能對現有業務產生影響，核心層的存在完全滿足了這一點
　　
　　　
　　
　　鑒于對核心層的這些需求，配置兩臺高性能、大容量多層交換機Cisco Catalyst 6509，分別與Internet連接層兩臺高端路由器采用GE端口交叉連接。兩臺交換機之間用兩條GE連接，采用千兆以太網通道（GEC）技術捆綁兩個物理連接，形成一個負載均衡的邏輯連接。
　　
　　9.3　　分布層&服務器接入層
　　9.3.1　　　　　　　 Colocation的分布層&服務器接入層
　　在IDC的主機托管（Co-location）業務中，用戶本身將負責所有與Web有關的網絡設備(諸如Web交換機、防火墻等)，其在網絡方面的需求為高帶寬的線路。
　　
　　針對這種需求，分布層不需要為其提供高層交換能力，而是需要為其提供高速高性能的二、三層交換。這里采用Cisco Catalyst 3500交換機作為分布層設備以提供高性能。
　　
　　在接入層所提供的高速的鏈路上，用戶將根據需要構建自己的內部網絡結構，可根據需要使用Web交換機以提供高層交換能力。
　　
　　9.3.2　　　　　　　 Web Hosting的分布層&服務器接入層
　　在服務器接入層，采用交換機Cisco Catalyst 3500將服務器與核心層連接起來，同時可以根據用戶的需求，放置防火墻設備，Web交換機以及安全監控設備，從而為用戶提供更高的安全保障和網絡性能。
　　
　　9.4　　后臺治理平臺
　　IDC的運營得成功與否，網絡及業務的治理是很要害的一個因素，這包含了如下的方面：
　　
　　§　　　　網絡設備的治理
　　
　　§　　　　網絡流量的監控
　　
　　§　　　　用戶對其業務更新的手段
　　
　　§　　　　用戶數據的備份
　　
　　§　　　　詳盡的計費報告
　　
　　§　　　　 ….
　　
　　　
　　
　　作為提供網絡及業務治理的網絡平臺—后臺治理平臺，包含有：
　　
　　§　　　　 IDC控制中心 (IDC的網絡治理中心)
　　
　　§　　　　 IDC客戶中心 (用戶對其服務器進行更新、維護)
　　
　　§　　　　用戶治理中心（用戶遠程對其服務器進行更新、維護）
　　
　　§　　　　動態業務復制區等 (用戶數據的備份)
　　
　　對IDC而言，安全性和易操作性是同時需要的。在這里采用了二級網絡結構，第一級采用交換機Cisco Catalyst 2900將服務器接入后臺治理平臺網絡，第二級采用兩臺大容量、高性能交換機Cisco Catalyst 6500將所有第一級的交換機匯聚。同時連接到各業務中心。在一期中先不選用Cisco Catalyst 6500，將來業務發展了再擴展。這種網絡結構的優點是通過對Private VLAN的支持，能夠簡化網絡設計，減少IP地址的浪費，同時又可以達到網絡安全的要求：不同用戶群可以享有同樣的服務而相互之間完全獨立。這樣就使得業務的開展變得簡單，諸如動態業務復制(用于備份IDC用戶的數據)等。
　　
　　在用戶治理中心，配置Cisco Router 3640和VPN網關Cisco VPN 3000通過POTS/ISDN/DDN/VPN/…，提供用戶遠程數據更新，并保證安全性。
　　
　　在后臺治理平臺與前臺核心層之間放置單向防火墻，使得在收集網絡流量數據的同時又保證了其安全性。
　　
　　10　　IDC IP地址規劃
　　10.1　　　 IP地址分配原則
　　IP地址的規劃在網絡設計中的作用舉足輕重。直接影響整個網絡運行的效率。IP地址設計的總原則是簡單、易治理、易擴展。下面先簡單介紹IP地址規劃的一般原則。
　　
　　IP地址是TCP/IP協議族中的網絡層邏輯地址，它被用來唯一地標識網絡中的一個節點。IP地址空間的分配，要與網絡層次結構相適應，既要有效地利用地址空間，又要體現出網絡的可擴展性和靈活性，同時能滿足路由協議的要求，提高路由算法的效率，加快路由變化的收斂速度。滿足這些要求的IP地址分配技術有：可變長子網掩碼技術（VLSM，Variable-Length Subnet Mask）和路由總結技術（Route Summarization）。
　　
　　傳統的方式，IP協議采用分層地址結構，它由4個字節（32位）組成，每個字節用三位十進制數（0~255）表示，每個字節之間用圓點號隔開，它包含兩個部分：網絡號和主機節點號。IP地址分為A、B、C、D、E五類，其中常用的是A、B、C三類，A類地址用前一個字節（8位）表示主網絡號，這個字節的第一位為0，后三個字節（24位）表示主機號，如下所示：
　　
　　0xxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx　A類地址
　　
　　B類地址以前二字節（16位）表示網絡號，以10開頭，后二字節（16位）表示主機號，如下所示：
　　
　　10xxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx　B類地址
　　
　　C類地址以前三字節（24位）表示網絡號，以110開頭，后一字節（8位）表示主機號，如下所示：
　　
　　110xxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx C類地址
　　
　　IP地址的分配應遵循以下幾個原則：
　　
　　·　　　　唯一性：一個IP網絡中不能有兩個主機采用相同的IP地址
　　
　　·　　　　簡單性：地址分配應簡單易于治理，降低網絡擴展的復雜性，簡化路由表的款項
　　
　　·　　　　連續性：連續地址在層次結構網絡中易于進行路由總結（Route Summarization），大大縮減路由表，提高路由算法的效率
　　
　　·　　　　可擴展性：地址分配在每一層次上都要留有余量，在網絡規模擴展時能保證地址總結所需的連續性
　　
　　·　　　　靈活性：地址分配應具有靈活性，可借助可變長子網掩碼技術（VLSM，Variable-Length Subnet Mask），以滿足多種路由策略的優化，充分利用地址空間
　　
　　為了有效地利用地址空間，我們可以對IP地址進行子網劃分，從地址的主機部分借取若干位作為子網號，剩余部分仍然表示主機號，舉例如下：
　　
　　xxxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx

　　
　　網絡號　　　　子網號　　　　　　　　主機號
　　
　　　
　　
　　另外，為了靈活地在不同規模的子網中分配不同數量的IP地址，我們需要采用VLSM技術，它可根據需要在任意位劃分子網邊界，對一個主網絡號，可分出最小只有2個主機號的子網，亦可劃分出一個較大的子網，因此它很靈活，非凡是在廣域網中，兩臺互聯路由器接口只需2個主機號地址，VLSM非常有用，大大節約了地址空間，又保證了網絡設計的靈活性。在進行地址分配時，一般先用一個定長的子網掩碼將地址空間分成若干個相同規模的子網，再在每個子網中根據所需的子網數量和規模采用VLSM進行子網的細分。
　　
　　采用VLSM時應注重下列三點：
　　
　　·　　　　事先要有規劃，避免子網重疊分配
　　
　　·　　　　可能會造成對已有網絡地址的重新設置
　　
　　·　　　　新的網絡必須仔細規劃地址分配，有效利用IP地址和保證網絡的擴展性
　　
　　為縮減路由表的款項，提高路由的效率，路由總結（Route Summarization或Route Aggregation）是一個非常重要而有效的手段。分子網是將網絡號向主機號部分擴展、即網絡邊界向右移的過程，而路由總結則是劃分子網的逆過程，通過將子網的邊界向左移的過程，可用一個較大的子網號來代表一組連續的子網，如下所示：這一疊合路徑可代表16個連續的子網。
　　
　　xxxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx
　　
　　因此，路由總結又稱為子網的集結或超級子網，它可得到縮小路由表，降低路由器內存的使用，并減少路由協議產生的網絡數據流量。BGP中亦廣泛使用的CIDR就是路由總結的一個具體應用。路由器支持自動或手工設置的路由總結。
　　
　　10.2　　　網絡地址轉換
　　為了彌補IP地址的不足，大多數網絡的IP地址分為兩部分：一是具有全球連通性的IP地址---公網地址；二是只能在企業內部用的IP地址--私有地址。具有公網IP地址主機或路由器可以和INTERNET網上的任何節點相連。其地址是全球唯一的。具有私有地址的主機和路由器只能在企業內部通信，其地址僅在企業內部是唯一的。用這種地址是不可以訪問INTERNET的。
　　
　　業界提出了一種技術，使企業可以從私有地址遷移到全球地址空間，這種技術就是網絡地址的轉換（NAT）。
　　
　　NAT技術使專用網絡能夠連接到INTERNET網上。NAT路由器或Web交換機放置在域的邊界上，在向INTERENT網上發送數據包之前，它把私有地址轉換為INTERNET上的公網地址。如下圖所示，企業內部有一主機，其IP地址為10。0。0。1，該主機要訪問INTERNET上的節點204。10。10。10，當IP數據包到達邊界路由器時，路由器將IP地址轉為公網的192。69。1。1，然后再送往目的地。
　　
　　　

　　
　　10.3　　　 IDC IP地址規劃建議
　　根據IDC的網絡治理及應用需要，IDC的IP地址分為公網IP地址和私有IP地址兩部分。公網IP地址由IDC向ISP或NIC申請，在申請IP地址時應充分考慮其擴展性。私有IP地址由IDC自行設計，應該使用Internet保留的IP地址網段。IDC用戶的IP地址由IDC統一分配，IDC根據用戶的不同需求分配公網IP地址或私有IP地址給用戶的服務器。
　　
　　　　　在進行IDC的IP地址規劃時，建議注重以下幾點。
　　
　　·　　　　網絡設備的IP地址
　　
　　　

　　見圖，由于核心層交換機和Internet接入路由器為全網狀連接，跟IDC各POP節點間的廣域網連接一樣，每組直連端口只需要兩個IP地址，建議分配只有４個公網IP地址的子網，掩碼為255。255。255。252。另外，建議每臺網絡設備設置Loop back端口，其IP地址用作該設備的網管地址。
　　
　　·　　　　主機托管用戶（Co-Location）的IP地址
　　
　　按用戶的服務需求分配IP地址。
　　
　　簡單的托管主機：不需要增值服務（如服務器的負載均衡等），連接在分布層交換機下面的服務器，（見圖）建議每臺服務器分配一個公網IP地址。
　　
　　需要增值服務的托管主機：連接在分布層交換機Web交換機下面的服務器。建議分配給每臺服務器一個私有的IP地址，通過Web交換機Web交換機作地址轉換（NAT）。此類用戶的多臺服務器可以使用一個公網IP地址作為服務器群的虛擬IP地址，這樣不但節省公網IP地址空間，也提高了網絡安全性。還可以根據用戶的需求提供不同的增值服務。
　　
　　·　　　　站點托管用戶（Web Hosting），應用托管用戶（ASP）的IP地址
　　
　　這類用戶的服務器建議使用私有的IP地址，通過Web交換機作地址轉換（NAT），多臺服務器使用一個虛擬IP地址。不但節省IP地址空間也提高了網絡安全性，還可以根據用戶的需求提供不同的增值服務。當然，也可以為這些用戶提供公網IP地址。
　　
　　·　　　　后臺治理區的IP
　　
　　建議使用私有的IP地址，通過PIX防火墻作地址轉換（NAT），對前臺設備進行實時監控治理，另外Private VLAN技術可以簡化網絡設計；節省IP地址；并且滿足網絡安全要求。
　　
　　11　　IDC路由協議選擇
　　對于IDC網絡，路由協議將直接影響網絡性能。因此如何選擇最優的路由協議，至關重要。
　　
　　IDC網絡路由結構分為3個部分：
　　
　　·　　　　Internet出口路由策略
　　
　　·　　　　IDC內部路由策略
　　
　　·　　　　多個IDC PoP節點間路由策略
　　
　　首先我們簡單介紹幾種路由協議：
　　
　　11.1　　　 IS-IS路由協議
　　　　　 IS-IS是一個鏈路狀態路由協議，為了簡化路由器的設計和操作，使網絡的路由信息能快速收斂，是眾多ISP所選用的路由協議。
　　
　　IS-IS將網絡路由分為Level1和Level2。Level1中的路由器只知道它所在AREA的路由信息；LEVEL2中的路由器知道去其它AREAS的路由信息。也就是說，所有L1的路由器形成了LEVEL1的AREAS，而所有L2的路由器形成了網絡的骨干BACKBONE，用于傳遞LEVEL1 AREAS之間的路由信息。如下圖所示。
　　

　　

　　
　　ROUTER1和ROUTER4是LEVEL1的路由器，ROUTER2和ROUTER3是LEVEL1/2的路由器。
　　
　　L1的路由器僅知道本AREA的路由，如ROUTER1知道去往ROUTER2的路由，但不知道去AREA2的路由；同樣，ROUTER4僅知道AREA2內的路由，只知道去網ROUTER3的路由，而不知道如何去AREA1。
　　
　　LEVEL1/2的路由器ROUTER2和ROUTER3形成了網絡的骨干，他們知道所在AREA的路由信息，并將此AREA的路由信息廣播道所有L1/2的路由器，即所有L1/2路由器知道全自治域的路由信息。在上圖中，如ROUTER1收到要去往ROUTER4的數據包，ROUTER1發現自己的路由表內無此路由信息，就將數據包發往邊界L1/2路由器ROUTER2，ROUTER2知道全自治域的路由信息，即知道去往路由器ROUTER4的路由信息，它將數據包送給ROUTER3。
　　
　　因L1/2路由器相當L1路由器少的多。所以可以快速收斂網絡的路由信息。
　　
　　11.2　　　 OSPF路由協議
　　80年代中期，由于RIP路由協議越來越不適應大規模異構網絡互連。OSPF作為IETF（網間工程任務組織）為IP網絡開發的一種IGP（內部網關協議）協議，克服了RIP路由協議的缺點。其采用SPF（Shortest Path First）算法，基于鏈路狀態路由協議。OSPF路由協議有如下特點：
　　
　　需要每臺路由器向同域（Area）的所有其它路由器發送鏈路狀態廣播（LSA）信息。路由器收集有關的鏈路狀態信息，并根據SPF的算法計算出到每個結點的最短路徑。同域內的路由器共享相同的拓撲信息。
　　
　　·　　　　路由選擇的分級
　　
　　與RIP路由協議不同，OSPF可在一個域（Area）內進行路由選擇。域的最大集合是自治域（AS）。AS是共享同一路由選擇策略的網絡集合。
　　
　　一個自治域AS可分為多個域（Area），域是由相鄰的網絡和連接的主機組成。
　　
　　根據源點和目的地是否在同一域內，OSPF有兩種類型的路由選擇方式：
　　
　　o　　　當源和目的在同一區域時，采用域內路由選擇
　　
　　o　　　當源和目的不在同區域時，采用域間路由選擇
　　
　　由于有域的概念，OSPF路由協議比那些不將AS分區的情況下所需傳送的路由信息少得多。
　　
　　·　　　　支持VLSM（Variable Length Subnet Mask）可變長度子網掩碼技術
　　
　　由于每個發布的目的地均包括IP子網的掩碼，從而可利用子網掩碼將IP網絡分為不同大小的子網，這種方法可節省IP地址空間并給網絡治理員治理帶來靈活性。
　　
　　§　　　　對帶寬和CPU等資源消耗
　　
　　這個SPF算法占用了CPU的資源，一般來說與運算量與網內鏈路數目與路由器數目乘積成正比。另外當SPF路由器通電，初始的鏈路狀態包泛濫（Flooding）占用網絡帶寬，這些情況都是在網絡設計中要考慮的。
　　
　　11.3　　　靜態路由協議
　　以上我們介紹的均為動態路由協議，當然還有另外一種路由協議便是靜態路由協議。靜態路由協議是由網絡系統治理員人工定制的，需要制出一切所需的路由。其優點為不會產生動態路由所特有的路由信息廣播或路由信息更新或HELLO從而不會在系統資源：內存、CPU、帶寬等方面制成額外的開銷。但其缺點為會給系統治理員的治理工作帶來大量的工作，其次，由于路由是靜態的因而不能適應網絡的動態變化的需要而改變路由。
　　
　　11.4　　　 BGP4路由協議
　　　　　 BGP是用來在自治系統之間傳遞信息的路徑向量協議。BGP把TCP當作它傳送協議。這就保證了所用傳輸的可靠性。
　　
　　11.5　　　 Internet路由協議策略建議
　　Internet出口路由協議建議選用BGP4，Internet接入路由器（GSR）之間路由協議選用IBGP。
　　
　　IDC的Internet出口是連接Internet、其它IDC和用戶的窗口。為了保證與Internet連接的高可靠性，高性能。建議設置多個Internet出口。
　　
　　在Internet出口的合作選擇上建議考慮以下幾點：
　　
　　§　　　　選擇規模較大的ISP
　　
　　規模較大的ISP具有較多的分布節點、較高帶寬及完善的服務，IDC應采用多個出口連接1個ISP，例如：可以通過兩條鏈路同時連接到ChinaNet骨干，作為分流及備份。
　　
　　§　　　　選擇不同的ISP
　　
　　建議IDC采用多個出口連接多個ISP，避免因為ISP的問題影響IDC的正常運行，同時提高用戶訪問響應速度。
　　
　　在BGP4路由策略上，IDC只需要向外廣播IDC內部BGP4信息；配置BGP4路由過濾。為了避免造成非對稱路由的出現；需要據實際運行情況調整BGP4路徑屬性，人為的調整網絡負載。在BGP4接收路由信息上，需要對不同的Peer對象來的路由信息通過BGP4 Community加以區分；針對不同的BGP4路由信息組，配置不同的路由策略，如：增加不同的路徑屬性，以達到出口的流量均衡。
　　
　　11.6　　　 IDC內部路由協議選擇
　　IDC內部路由協議可以有多種選擇，以下為幾種方案建議。
　　
　　方案1：選用OSPF路由協議
　　
　　　　　 OSPF路由協議是國際標準的路由協議，路由收斂和恢復時間快，支持可變長子網掩碼（VLSM），并且根據網絡的穩定性可改變路由更新周期，減少因為路由更新產生的網絡負載。
　　
　　　　　 IDC網絡設計中第三層網絡設備數量一般不會太多，并且有高速第三層網絡設備和局域網支持路由信息交換。為了簡化網絡設計和治理，建議只設OSPF Aera0，不分OSPF子域（Sub-Area）。核心路由器局域網端口，核心層交換機組成OSPF的Aera0。在核心路由器上作OSPF與BGP4路由協議間的轉換。使BGP能學到OSPF的路由表，OSPF也能學到BGP的路由表。通過配置可以做到IDC全網的負載均衡和冗余備份。
　　
　　方案2：選用EIGRP，同時配合靜態/缺省路由協議
　　
　　核心路由器局域網端口，核心層交換機選用EIGRP。核心層交換機與Web交換機Web交換機間的路由配置靜態路由／缺省路由。
　　
　　設計特點：EIGRP路由協議非凡適合這種平面結構的網絡，它收斂速度快，占用CPU及Memory資源少，配置治理簡單，并且支持非對稱的鏈路的負載均衡。靜態路由／缺省路由適合于小型和拓撲結構不經常改變的網絡，它占用很少CPU和Memory資源，并且非常穩定。等值多鏈路協議（ECMP）實現分布層的Web交換機Web交換機上連鏈路的負載均衡，使其專注于內容的交換。

　　
　　方案3：選用IS-IS路由協議，同時配合靜態/缺省路由協議　
　　
　　核心路由器局域網端口，核心層交換機路由協議選用IS-IS，它們全部屬于IS-IS Level1的一個區域，作為L1的路由器。核心層交換機與Web交換機Web交換機間的路由配置靜態路由／缺省路由。
　　
　　　　　設計特點：IS-IS擴展性好，這可以使網絡擴充更為輕易。IS-IS占用網絡資源較小，路由收斂和恢復時間快，IS-IS采用較小的協議數據包承載路由信息，這使得路由信息繁衍速度更快。靜態路由／缺省路由靜態路由適合于小型和拓撲結構不經常改變的網絡，它占用很少CPU和Memory資源，并且非常穩定。另外通過等值多鏈路協議（ECMP）實現分布層的Web交換機Web交換機上連鏈路的負載均衡。使其專注于內容的交換。
　　
　　　
　　
　　　　　 IDC可根據具體情況選擇最適合自己的路由協議。進入討論組討論。

上一篇：IDC 網絡部分設計方案1

下一篇：廣域網安全解決方案