（计算机应用技术专业论文）idc网络构建与安全性研究.pdf

i d c网络构建与安全性研究 摘要 i d c的业务在中国的快速发展， 给业务提供者提出了一系列的问题。 其中网 络的进一步构筑和网络安全是最主要的二个方面。 本文首先对 i d c的发展历史，i d c业务在中国的拓展进行了介绍，提出了 i d c发展中面临的网络和安全的迫切性需求。 然后在分析现状的基础上， 对i d c 网络提出了自己的发展策略。 内容分别包括网络设计原则、 组网规范、 接入手段、 路由策略、带宽管理、流量工程和网络性能管理等。之后，本文又对 i d c网络 安全现状进行了分析， 通过安全体系的建立以及安全规划方法的论述和运用， 提 出了i d c安全策略和各种安全措施。 本文对未来一、二年里，甚至更长时间 i d c ，尤其是电信 i d c网络和安全 性的发展做的 探讨， 以 及制定的了 相关的策略， 指明了i d c发展的方向， 对i d c 网络的发展、安全性的建设具有指导作用。 关键字: i d c 网络安全发展策略 r e s e a r c h o n n e t w o r k c o n s t r u c t i o n a n d s e c u r i t y o f i d c ab s t r a c t w i t h t h e r a p i d d e v e l o p m e n t o f i d c s e r v i c e i n c h i n a , t h e s e r v i c e p r o v i d e r s a r e f a c i n g s e v e r a l b i g p r o b l e m s , m a i n l y i n i d c n e t w o r k e x t e n s i o n c o n s t r u c t i o n a n d i d c s e c u r i t y . f i r s t o f a l l , t h i s p a p e r r e v i e w s t h e h i s t o ry o f i d c , i n t ro d u c e s t h e s e r v i c e d e p l o y m e n t i n c h in a a n d r a i s e s t h e c r u c i a l r e q u i r e m e n t s o f i d c n e t w o r k a n d s e c u r i t y f a c i n g i n it s d e v e l o p m e n t . t h e n o n t h e b a s i s o f s i t u a t i o n a n a l y s i s , w e d i s c u s s a n d p r o p o s e t h e i d c d e v e l o p i n g s t r a t e g y , i n c l u d i n g r u l e s o f n e t w o r k d e s i g n , n e t w o r k in g c r i t e r i a , a c c e s s m e t h o d s , r o u t i n g s t r a t e g y , b a n d w i d t h m a n a g e m e n t , fl o w c o n t r o l a n d n e t w o r k p e r f o r m a n c e m a n a g e m e n t . a ft e r t h a t , w e a n a l y z e t h e c u r r e n t s i t u a t i o n o f i d c s e c u r i t y , a n d b y m e a n s o f s e t t i n g u p i d c s e c u r i t y l a y e r s y s t e m a n d d i s c u s s i o n a n d a p p l i c a t i o n o f s e c u r i t y p la n n i n g m e t h o d s , w e p r o p o s e t h e i d c s e c u r i t y s t r a t e g y a n d m e a s u r e s . t h e d i s c u s s i o nin t h i s a rt i c l e o f i d c n e t w o r k c o n s t r u c t i o n a n d s e c u r it y i n t h e n e a rtd c f u t u r e , e s p e c i a l l y f o r t e l e c o m o p e r a t i n g i d c , w i l l p l a y a n i n s t ru c t i o n a l r o l e i n n e t w o r k d e v e l o p m e n t a n d s e c u r i t y d e p l o y m e n t k e y wo r d s : i d c n e t w o r k s e c u r i t y d e v e l o p m e n t s t r a t e g y i d c网络构建与安全性研究 引言 近年来，随着 i n t e r n e t在全球的空前发展， 工 d c( 互联网数据中心) 这种新 型的互联网服务形式应运而生。无论在世界范围还是在中国，虽然受到 i t 泡沫 破灭的巨大影响，i d c仍然得到了迅速地发展。在中国，尤其是从 0 2年开始， 在线游戏业务风起云涌， 政府信息化大力推进， 电子商务蓬勃发展， 引发了又一 轮的发展高潮，i d c 正逐渐成为越来越多人关注的热点。 然而，高速发展必然带来高速发展的问题，2年来，工 d c运营商们面临的情 况越来越严重: 托管机房供不应求， 电源空调需求节节上升， 网络带宽急速提高， 安全隐患不断显现， 技术支撑难以到位， 维护工作日 渐力不从心。 究起原因， 主 要是运营商对 工 d c 业务的快速增长缺乏准备， 对i d c 的网络和安全性问题没有总 体把握和远景规划。 因此， 有必要对过去的i d c 工作进行总结和反思， 对存在的 问题提出改进设想，对今后一段时间的 i d c发展提出总体思路和规划，从而为 工 d c 业务的健康发展奠定良 好的基础。本文将从i d c的概述、i d c网络的现状和 发展以及网络安全等诸方面做一个深入浅出的分析和探讨， 提出当前工 d c 发展环 境下应该采取的发展策略和思路，希望能对 工 d c网络和安全的建设起到参考作 用。 第一章i d c 概述 互联网数据中心 ( 英文简称为i d c ，即i n t e rn e t d a t a c e n t e r ) ， 近几年被全球 i t业界认为是第二代i s p 业务， 它除了能提供的i n t e rn e t 接入服务之外， 还能向 用户提供电信级丰富的网络资源以及全面的网络管理和应用服务。 i d c 的产生与发展 i n起源于美国，由于i n t e r n e t 的高速发展，一方面i n t e r n e t 用户迅速增 加， 用户对接入速度和带宽提出了更高的要求: 另一方面随着网上交易的金额近 年来的成倍增长，网络经济和电子商务的发展使得i n t e rn e t 系统的安全性和稳定 性对于企业越来越重要; 此外网站和企业网络系统的快速发展， 也要求能够方便 地扩展网络环境; 网络系统的日 趋复杂使网络管理难度更高， 网站和网络运行维 护所需要的人力成本也越来越高。 所有这一切， 促使一种专业提供网络资源外包 以 及专业网络服务的业务:i n t e r n e t 数据中心 ( i d c ) 应运而生。 一般认为，工 d c 能够提供网络间的高速互联;它能让来自 任何一个网络的用 户高速访问; 是构成网络基础资源的一部分; 能提供高速接入服务、 并辅以明确 的 服务质量保证 ( s l a ) ，主要向 企业用户提供服务器托管为主的综合服务业务。 用一句话概括， i n二 空间+ 带宽， i d c 二 网络+ 服务。 工 d c 具有下列五个重要特征，它们是:( 一) 、高互联网通信带宽、( 二) 、先 进的网络管理、( 三) 、高性能的网络、( 四) 、高可靠及安全控制和 ( 五) 、电源、 温度控制与场地环境。 s l a 即服务品质协议是i d c 中的一个重要概念. i d c 有质量的服务并不是一个简 单的承诺，需要服务双方签署服务品质协议 ( s l a )来规定双方的责任和权利。 s l a 是服务商与用户签署的， 承诺用户在支付一定的服务费后所应得服务质量的 法律文件， 其中明确规定了经济惩罚条款。 在工 d c 的s l a 条款中， 主要包括客户支 持、服务可靠性、服务内容、服务品质、紧急情况处理及相关惩罚措施等。 i d c提供的标准服务类型共有 4种:共享主机型、全托管 ( 简单型) 、全托 管 ( 复杂型) 和全托管 ( 定制型) ， 提供的基础服务有: 场地出租、带宽出 租、 硬件出租和服务出租等;提供的增值业务有:应用托管、软件出租、系统集成、 咨询服务、客户服务和电子商务平台等。 从 i d c 应用发展的趋势来看，统计数据显示，1 9 9 9 年是以i s p 和基本运作 服务为主，2 0 0 0 年主机托管达到高峰，从 2 0 0 1 年开始先进的租赁和托管 ( a s p 托管) 暂露头角，而当到达2 0 0 2 年时，工 n t r a n e t / e x t r a n e t 托管业务开始爬坡， 2 0 0 3 年起，以内 容托管为主将迎来又一个业务高峰。 工 d c 提供商的类型也可以分为4 大类: 1 ， 电信运营商类型， 公司立足于向用户提供全面的电信服务， 在其拥有互联 网网络资源优势的基础上，建设托管平台。 2 ， 专业服务商类型，公司的核心业务就是提供服务器托管。 3 ， 系统集成商类型， 公司专注于利用已有的软硬件系统和客户群， 向用户提 供完善的服务。 4 ， 互联网服务商类型， 公司主要着眼于向用户提供互联网 接入， 通过增加托 管服务，增加收入来源。 1 . 2 i d c 业务的拓展 世界市场的工 d c 业务被普遍看好， 就拿美国来说， 据预测， 美国工 d c 今后几年 的增长率将在4 0 % 左右。而在中国，随着各类网络公司如雨后春笋般的涌现，政 府企业上网和网上娱乐电子业的快速增长，i d c 业务也逐渐推广开来。目前，北 京、上海和广州等城市已 先后开展工 d c 业务。 根据f r o s t 接 着 ， 用 电 又 成 了 个 大 问 题 ， 托 管 的 服务器设备都是电老虎， 用电量猛增， 和电力公司的不断协商， 问题仍始终成为 一个瓶颈;然后是网络带宽的急速增加，用户多了，带宽自 然会显得捉襟见肘， 加上游戏用户， 上联至少是g e线， 给网 络造成极大压力; 最后是，随着去年蠕 虫病毒的爆发，垃圾邮件、病毒、黑客攻击始终伴随着 i d c运营商，网络的安 全形势严峻。所有这一切，又使 i d c的维护工作显得如此的苍白无力，疲于应 付，每天忙忙碌碌的，却始终难以跟 l 市场的脚步，难以顺应形势的快速发展。 展望2 0 0 4 年， 0 3 年i d c业务较0 2 年有较大的增长， 随着宽带业务的发展， 特别是网络游戏的发展， 预计0 4 年i d c业务较0 3 年又会有一定的增长。于是 一系列的矛盾与问题摆在了i d c运营商的面前，从机房、 环境、空调、电源、 网 络建设、安全性、 技术支撑到服务， 都需要通过周密的规划、 设计和建设加已 解决。 i d c业务的开展， 对机房、电 源、 空调、 环境、 照明、安保等都有明确的标 准和需求， 然而它们并不是我们在论文中所要讨论的主题， 本篇论文的主题是网 络和安全。我们要面临和解决的课题是:优化i d c 网络结构，提升i d c 安全性， 从而提高工 d c 服务质量，促进工 d c 业务的长期发展。具体要完成: 1 、随着i d c流量的增长，对现网的流量造成一定冲击，存在着流量疏通的 问题， 需要对网络进行扩容和优化: 需要分析现有网络结构存在的问题和未来业 务发展对网络的要求;需要分析网络拓扑、路由策略和 i p 地址等情况;需要分 析i d c 的数据流量大小、 流向和特性:需要了解i d c 的用户情况， 用户不同， 对 网络的要求也不同。形成关于 工 d c 网络的组网规范和发展策略。 2 、目 前网络安全己经成为i d c正常运行的隐患， 安全问 题对服务质量也提 出了很大的挑战，不安全的网络会导致网络的可用性降低并可能使客户受到损 失，需要在了解现有网络安全策略和用户对网络安全的要求的基础上提出 i d c 系统的安全解决方案。 此外，i d c 业务长期发展，可能使现有i d c 机房不够用， 需要建设新的i d c 机房，这需要提供i d c 机房的选址原则。 1 . 4研究重点 本项目的研究重点是:研究工 d c 在容量和流量不断增长情况下如何优化网 络结构， 如何提高i d c 的安全， 从而提高服务质量， 促进i d c 业务的可持续发展。 在优化网络结构方面，研究的重点是i d c 设计原则、组网策略、路由策略、 带宽管理、流量管理和网络性能管理等，并形成i d c 网络发展的策略。 在提高i d c 的安全方面， 研究的重点是安全策略的制定和实施建议， 以最大 程度保证 i d c 安全，并给出i d c 安全实施策略。 1 . 5研究方法 遵循标准、 借鉴经验。 本项目 的研究内 容一方面要尽量遵循国际国内相关的 标准， 使研究成果具有先进性并适应未来技术和业务的发展: 另一方面还要借鉴 工 d c 运营商的实践经验。 联系实际、放眼未来。本项目一方面应注重解决i d c目前面临的实际问题， 具有较强的实效性; 另一方面本项目 的研究成果又要适应未来一段时间i d c 网络 和安全的发展，具有一定的前瞻性。 1 . 6研究意义 本文的研究，主要有二方面的意义。 第一，由于 i d c发展迅速，应用日 益广泛，托管服务的内容可以说包括了 我们日常生活中的方方面面。对于 i d c业务的网络和安全，不但能起到好的保 障作用，而且能取得好的经济效益和社会效益。 就以网络游戏为例，去年一年仅上海地区i d c托管费用就超过了1 个亿， 中国网络游戏产业全年的收入接近2 0 亿，而由此带动产生的电信接入费用，卡 类的销售、 周边产品的出售等等加起来全年超过1 0 0 个亿， 并且这个产业正以每 年5 0 %以上的速度急速增长， 由此可见发展i d c业务可以带来很好的经济效益， 带动相关产业的发展，而且网络游戏又仅仅只是托管业务的一部分。 至于社会效益，则更为可观， 银行卡为人们的生活带来了方便， 政府网站拉 近了政府和普通百姓的距离， 各类查询和服务手段的开通使市民的生活上了一个 台阶，而电子商务则使人民感受到了信息时代购物消费的变革。 第二，从i d c国内目 前的研究情况来看，首先是，对电信网络、i p技术和 网络的研究比较普遍，而对 i d c的网络和安全性的专门 研究比 较少， 许多人甚 至把 i d c网络与互连网完全等同起来。诚然， i d c所使用的网络技术都包含在 i p网络技术之中，但应该看到两者还是有所区别的，i d c实际上是把i p技术、 各种电 信接入手段、 计算机系统、 应用服务、 环境控制和系统管理集成在一个相 对小的空间里，它有其特殊性，应该要作为一个系统来研究. 其次，原先在上世纪末，信息泡沫的年代， i d c和a s p相当被看好，那时 这方面的研究比较多， 但后来， 随着i t 行业陷入低谷后， 关注的人就越来越少， 运营商干脆把 i d c作为第三产业发展，也并为真正看好其前景，造成目 前 i d c 发展缺乏总体的考虑和思路， 运营商对新的一轮发展的来势未能充分估计， 始终 处于忙于应付的被动局面。 应该说，目前的 i d c与上世纪末相比，己经发生了不少变化。首先，网络 规模和容量、出口带宽都上了 一个台阶;其次，在技术运用上，g e上联己 相当 普遍， n e t fl o w流量管理和网 络性能管理的 应用都己 相当 成熟;第三，安全手段 和攻击方式都发生了 很大变化。 本文从分析i d c网络和安全的现状入手，对i d c网络和安全性从整体上进 行研究和考虑，提出了现有的问 题，对未来一、二年里，甚至更长时间里i d c 尤其是电信 i d c的发展做了一个探讨，并且制定了相关的策略，指明了发展的 方向，对i d c网络今后的发展、安全性的建设具有指导作用。 1 . 7本文的内容安排 本文的第二章介绍了工 d c 网络发展的现状， 第三章则从i d c 设计原则、 组网 策略、 路由策略、 带宽管理、 流量管理和网络性能管理等方面阐述了i d c 网络的 发展策略， 第四章是通过一个事例， 具体运用了第三章中发展的一些网络发展策 略。 第五章从计算机、工 d c 安全的定义出发，阐述了工 d c 安全性的现状，以及存 在的问题。 第六章通过分析安全问题的一般方法， 建立了i d c 的安全体系， 提出 了i d c 安全策略。和前面第四章类似，第七章是安全实例的运用。 第二章 i d c网络发展现状 2 . 1 i d c 系统构成 一个 i d c系统的构成是非常复杂的。根据所承担的功能不同，可大致分为 网络、用户服务和系统支撑3 个功能层次。 i ,网络层 网络层主要负责数据流的承载和转发，一般地， 它有i n t e rn e t 接入层、 核心 层、汇接层和接入层4个层次组成。如图1 所示。 2 ，用户服务层 用户服务层主要是指提供最终应用的各类应用服务器和数据存储、备份系 统。除了少数应用服务由运营商直接向 i d c或公众用户提供外，大多数的应用 由i d c用户向其用户或公众提供。 3 ，系统支撑层 系统支撑层包括i d c网络/ 业务管理系统和用户维护管理系统。 2 . 2 i d c网络组成 图1 i d c 网络组成 如图 i 所示，一般地，i d c网络有i n t e rn e t 接入层、核心层、 汇接层和接入 层4 个层次组成。 i n t e r n e t 接入层:用于实现与i n t e rn e t 的高速接入。 核心层:提供高性能、无阻塞的高速通道，负责汇接汇接层的接入。 汇接层:负责对大流量用户的接入，形成主千接入网。 接入层:负责提供各种类型服务器的接入. 2 . 3 i d c 网络现状 2 . 3 . 1几点说明 在具体描写i d c 网络现状之前， 如果了解一下现今我国i d c 和工 d c网络中的 一 些情况对理解本文后续内容的拓展以及内容安排的侧重都会带来好处。 1 、i d c 与其它网络的区别 i d c 是一个系统，它由网络、用户服务和系统支撑三部分构成，它直接连在 因特网上，有学者因此认为它就是因特网的一个部分。它可以集中在一个地点， 也可以分散在不同地点， 网络上形成一个广域网。 它与计算机应用系统不同， 因 为它还包括网络部分; 它又与局域网不一样， 实际上大的i d c 包含了许多个局域 1冈。 2 , i d c 生存的无奈， 只有电 信做大。 电 信运营商由 于拥有得天独厚的网络资 源， 其庞大的接入用户群可以 直接通过网络， 登录到运营商的工 d c ，而无需通过 其他i d c 来中 转。 因此， 对于二级i d c 运营商们来说。 来自 电 信运营商的竞争力 是压倒性的。专业的i d c 因为往往拥有更专业的人员与i t 支持的能力，他们能 够向用户提供更多更高层的应用服务。 3 、 v用户的关系。 事实上，中国的绝大部分用户只需要i d c 运营商提供网络连通性、带宽的保 证和网络安全， 而对用户内部的网络、 系统以及安全则由没有要求。 原因有二点: 一 、大型i d c 用户主要是网络游戏、电子商务、 大型企业和政府网站， 无论谁都 不愿总把内部资料和信息交给运营商， 从而增加不安全因素; 二、 运营商人手少， 维护能力差， 人力和技术上都不能提供用户专网和系统安全的保证。 因此， 在网 络和安全部分的论述中， 本文也将按照实际需求， 将重点放在网络连通和带宽保 障以及网络安全上。 4 .需求、风险、代价平衡性原则。 i d c 运营商是以盈利为目的的，一方面多年的价格大战，使托管服务的收入 下滑，另一 方面，对安全的漠视， 使用户不愿为此买单。事实上， 我们曾经推出 过一些安全服务， 测试期大受欢迎， 而一旦收费， 则几乎没有用户， 最后只能停 止服务。 对大型客户来说， 他们宁愿自己 搞安全措施， 而对小用户来说， 又没有 钱搞安全， 这就是现状。 许多政府网站对停机根本无所谓， 联想到它们的网页几 个月不做更新也就不足为奇了， 他们也不需要安全。因此， 在后面的网络安全部 分论述时，本文也不得不考虑这方面的因素。 2 . 3 . 2设备情况 目前各 工 d c 网络设备主要有:路由器或交换机一般是c 工 s c o 公司的 g s r 1 2 0 1 6 , 1 2 0 1 2 , 1 2 0 0 8 , c i s c o 7 6 0 6 , c a t 6 5 0 9 , 4 0 0 6 , 3 5 5 0 , 2 9 4 8 和 f o u n d r y 公司的b i g t r o n 8 0 0 0 , f a s t l r o n 4 8 0 2 等等。 2 . 3 . 3网络组织 接入层:基本上是n 组用户以百兆网线方式接入，带宽为百兆共享。 汇接层:基本上采用的是n 组g e 线上联的方式，带宽为1 g ，也有一些大用 户以 g e线直联到汇接层。网络组织一般采用口字形，每对交换机间也采用 g e 连接。 核心层:基本上采用n 组g e 线上联的方式，带宽为1 g ，网络组织采用口字 形或交叉星形连接， 每对路由 器间也采用g e 连接。 工 n t e r n e t 接入层: 基本上采用n 组2 . 5 g 上联的方式，带宽为2 . 5 g ，网络组 织采用口字形或交叉星形的方式，每组路由器相邻间采用2 . 5 g 或1 0 g 连接。 2 . 3 . 4其他 .目 前 工 d c 上联一般采用o s p f 或静态路由，i d c内部路由是o s p f . . 目 前对于网络安全主要采取了基于源 i p地址的a c l , u r p f及屏蔽 s q l 蠕虫病毒发作的1 4 3 4 端口 。 . 部分工 d c 机房有防火墙、工 d s 系统或安全扫描系统， 但购买安全服务的 用户很少，投资回报率低。 . 对于流量的统计与分析缺乏必要手段与工具，通常采用免费的 m r t g ( m u l t i p l e r o u t i n g t r a f f i c g r a p h e r ) 测量各网 络设 备端口 的 流量， 流量不能细分， 无法确定流向， 准确度也有问题，因而无法作到好的分 析。 第三章i d c 网络发展策略 3 . 1网络设计原则 根据 工 d c网络的具体特点及工作经验，本文提出以下组网设计原则: 1 ，可扩展性 使用层次化模型， 每个层次的设计所采用的设备本身都应具有极高的端口密 度，为工 d c 的扩展奠定基础。在工 n t e r n e t 互联层、核心层、分布层的设备都采 用模块化设计，可根据工 d c 网络的发展进行灵活扩展。如i n t e r n e t 互联层、核 心层、 分布层具有三层以上的智能化 其中， 连接工 n t e r n e t 采用b g p 4 、 内部工 g p 采用o s f p 八s 一 工 s 、边缘采用缺省路由。 使得整个 i d c 网络具有极强的路由扩展 能力。 功能的可扩展性是i d c 随着发展提供增值业务的基础。 实现负载均衡、 动 态内容复制、 m p l s v p n , p r i v a t e v l a n 等功能，为i d c 增值业务的扩展提供了 基础。 2 ，可靠性 关键设备均采用电信级全冗余设计， 可实现模板热插拔、 冗余的控制模块设 计、 冗余电源设计、 风扇冗余设计。 采用冗余网络设计， 每个层次均采用双机方 式， 层次与层次之间采用全冗余连接。 提供多种冗余技术， 在不同层次可提供增 值冗余设计，分布层采用h s r p ( f o u n d r y设备采用 f s r p )实现高效、负载均衡 的 双机备份。 采用f e c ( f a s t e t h e r n e t c h a n n e l ) 、 g e c ( g i g a b i t e t h e r n e t c h a n n e l ) 实现网络连接点对点、 及与服务器连接的高效、 负载均衡的冗余设计. 通过带宽 管理设备为托管用户提供有质量保证的带宽服务， 特别是可以跟时间动态调整带 宽分配，为工 d c 节省网络管理的时间。 3 ，灵活性 模块化设计， 可根据工 d c 不同需求进行取舍， 特别是后台管理平台设计思想， 使得i d c 可实 现 对于不同 用户的 定 制服务， 如 在 后台 管 理平台中的 用户数据备 份 中心、i d c 客户中心、工 d c 控制中心，使得 工 d c 用户可以方便地进行对其应用的 控制与更新。 4 ，可管理性 网络的可管理性是 工 d c运营管理成功的基础，应提供多种优化的可管理信 息。 如提供基于w e b 方式的管理界面， 方便客户进行远程管理; 完备的报警功能， 可以在系统发生故障时， 及时通知网络管理人员: 完整的日 志记录， 能够用来分 析客户网站的访问情况。 5 ，安全性 安全性是i d c 的用户特别是电子商务用户最为关注的问题， 也是i d c 建设中 的关键， 它包括物理空间的安全控制及网络的安全控制。 应有完整的安全策略控 制体系以实现工 d c 安全控制。 6 ，性能价格比 要综合考虑整个网络设备的合理搭配和性能。 3 . 2组网规范 3 . 2 . 1 i n t e r n e t 接入层: 实际上也就是各地区的省网， 完成高速数据转发的功能， 应选用高档、 高性 能的网络设备，如c i s c o 的1 2 0 0 0 系列，j u n i p e r 的m 4 0 等，双备份。 3 . 2 . 2核心层: 形成骨干网， 提供高性能、无阻塞的高速通道，用于提供全网的信息通信， 因 此应当选择高档、 高性能的网 络设备， 如c i s c o 的1 2 0 0 0 系列， j u n i p e r 的m 4 0 等， 双备份。 核心层的网络结构重点考虑可靠性和可扩展性， 节点间原则上采用 网状或半网状连接，同时核心层与因特网接入层实现冗余连接。 3 . 2 . 3汇聚层: 汇接层节点实现以下一项或几项功能:扩展核心层设备的端口密度和种类; 扩大核心层节点的业务覆盖范围; 解决接入节电和核心节点间光纤资源紧张的问 题; 实现高速接入; 实现接入用户的可管理性， 如流量控制和策略管理等。 设备 宜选用中档网络设备，如f o u n d r y b i g l r o n 8 0 0 0 等， 双备份。 汇接层节点数量和 位置由业务开展状况而定。建议每个汇接层节点与二个核心层节点相连。 3 . 2 . 4接入层: 提供对用户快速有效的接入。 交换机应当具有多种以太网接入端口， 每个网 口 i ii 分一个 v l a n ，采用一个单独的网段。 接入层采用二三层交换机等设备，如 c i s c o 6 5 0 9 , f o u n d r y f a s t i r o n 4 8 0 2等， 和汇接层一般采用星形 连接。 接入 层 节点数量和位置由 业务开展状况而定。 建议每个接入层节点与二个汇接层节点相 连。 在网络流量攻击防护方面， 路由 器需要支持u r p f 功能以 抵御伪造i p 地址功 能，需要支持t c p 拦截功能以减少s y n c f l o o d i n g 攻击，需要具有对特定流量进 行限制以减少类似红色代码、工 c m p f l o o d i n g等方面的攻击:网络设备还需要具 备关闭不必要的进程、服务端口的能力。 3 . 3各种接入 由 于用户的多样性，工 d c 运营商应提供各种接入手段 p s t n + m o d e m接入 n - i s d n 专线接入:包括d d n , a t m / f r ,裸光纤等 a d s l 以太网接入 p o s 技术 : 3 . 4路由策略 我们知道，路由协议分为内部网关路由协议 ( i g p )和外部路由协议 ( e g p ) 两大类。 i g p 用与a s 内 路由 器间交换路由 信息， 包括r i p , o s p f 、 工 s - i s 等。 e g p 是用于a s 间路由器交换路由 信息的协议，包括e g p 和b g p 。路由策略正是指这 些不同的内部网关协议和外部网关协议内部或之间的各种各样的关系。 对于工 d c 网络设计而言，路由策略是关系到网络质量高低的一个和重要的因素。 理想情况下的电信级工 d c 应当是对等网络的概念。因此， 工 d c 最好是拥有自 己的网络自 治域 ( a s )号。这样，当i d c 所连的上一级骨干网出现线路故障时， 数据中心网络可以通过其国际因特网的主干路由或国内的其他主要骨干网， 自 动 切入新的主干路由，保障网络畅通。这种情况下，i d c 与因特网或其它a s 的连 接应采用b g p 协议。 i d c 网内部的路由 协议， o s p f 和工 s - i s 相比， 都是链路状态协议， 都是内部 网关协议， 也都有a r e a 的概念 都支持v l s m , c 工 d r 。 不同点是，工 s 一 工 s 为工 s o 标准路由 协议，标准化好，较o s p f 更为成熟，可支持c l n s , i p , i p x 等协议， 而o s p f 只支持i p ; i s - i s 支持的网络规模要大大超过o s p f . 因此， 在内 部路由 选择时， 大型的工 d c ， 适合采用工 s - i s 协议; 对于一般规 模的工 d c 来说， 由 于大多数路由 器和交换机都很好地支持o s p f 协议， 因 此在p o p 点 内 ， 还 是 建 议 采 用o s p f 协 议 ， 甚 至 可以 和 静 态 路由 协 议 相 结 合 。 . h s r p 的支持。用户网络交换机与工 d c 核心交换机之间利用h s r p( 热备份) 或f s r p ( f o u n d r y 设备) 技术， 当 用户的主端口出 现故障时， 将自 动切换到备份 端日，有力地保证了网络正常运行。 3 . 5带宽管理 在 i d c 运营中，应提供带宽保证服务。保证 工 d c 客户享有最低的 工 n t e r n e t 出口带宽， 并且在网络空闲时有一定的突发峰值带宽; 保证工 d c 客户的关键主机 和关键应用享有高优先级的服务和质量保证。 i d c 的带宽应该具有可扩展性。 电信级工 d c 应当有能力以可控的力度实现带 宽的大幅增加。一般情况下，出口带宽利用率的峰值算术平均应该不超过7 0 % , 而考虑到用户访问的离散性， 如果使带宽足以应付高峰时段的可靠响应， 则带宽 利用率的 算术峰值平均还会更低些， 不应该超过5 0 % 。 在实际工作中， 一般掌握 的原则是带宽利用率到了4 0 % - 5 0 % 就要考虑扩容，而超过7 0 % 就是马上要实施的 问题了。 3 . 6流量工程 流量工程是指为了平衡网络链路、 交换机和路由器上的流量负载， 根据数据 流量进行路径选择的过程， 主要用于提高网络的运作效率与可靠性， 并优化网络 资源利用和流量性能。 流量工程的主要目 标是采用有效并可靠的网络操作来优化 网络资源使用和通信性能。流量工程性能目 标包括两种类型: 面向流量。增强通信流量q o s ，主要包括减少丢失、 减少低延时，提高吞吐 和完成服务级合约等; 尽力转发业务应强调其丢失最小化的性能指标， 而分类业 务则采用面向统计的性能指标。 面向资源。 优化资源利用， 主要包括优化多个资源的利用和优化网络带宽的 利用。 减小拥塞是这两种性能目 标类型中的一个共同的主要目 标。 拥塞可能来自 两 个方面: 有限的资源承载了过大的流量负载， 解决这个问题主要应依靠扩容和应用拥 塞控制技术 ( 如现速、流控、排队管理和调度控制等) 。 流量负载到网络资源的映射不合理， 解决这个问题主要通过流量工程。 流量工程是一个强有力的工具， 通过它可以在网 络中不同的链路、 路由 器和 交换机之间平衡业务负荷， 使所有的这写成分既不会过度使用， 也不会未充分使 用。 这样， 就可以有效利用整个网络所提供的带宽资源。 流量工程应当 被看成是 路由结构中的一个重要辅助部分。 负载分享虽然能够通过多个链路来解决流量拥挤在单个链路中的情况， 但是 却不能够解决流量汇聚时产生的拥塞或支持复杂的网络拓扑。为了解决 i p网络 中存在的流量阻塞问题，在 i p网络不同的发展阶段出现了各种不同的流量工程 技术手段。 目 前在 i d c 运营商中， 用m r t g 只能分析端口的总的流量情况，不能得到流 量的流向和组成等信息。目 前只能大概推算到各个方向的流量情况。 流量不能细 分，无法确定流向，准确度也有问题，因而无法作到好的分析。 建议采用基于 n e t f l o w 技术的网络流量监测工具得到相关流量的详细情况， 目 前市场有成熟产品， 也可以进行自主升发。 利用该工具不仅可以监控详细的流 量大小、 流向、 流量组成等信息， 还可以提供高度精细的分析， 包括话务流的时 长、 信息包的尺寸， 还有许多其它元素，为组网规范提供依据， 而且可以生成详 细的报表和统计信息，为网络扩容提供依据。 3 . 7网络性能管理 网络性能管理指的是优化网络以 及联网的应用系统性能的活动， 包括对网络 以 及应用的监测以及时发现网络堵塞或中断情况、 全面的故障排除、 基于事实的 容量规划和有效地分配网络资源。 从技术上讲，目前的网络性能管理趋向使用远程监控 ( r m o n )硬件探针 ( p r o b e s )的方法， 获取有关应用系统和网 络基础设施性能的关键重要的 信息。 这些有关网络性能的信息包括网络流量和通信协议的使用率、会话、错误情况、 资源利用率、 响应时间、 资料捕捉。 这些硬件探针独特的可扩充的系统架构能够 满足当今复杂的企业网络的多种需求， 支持多种多样的网络类型、 协议和应用系 统。 它以 “ 非侵入式”的工作方式采集网络的流量统计信息， 统计内容含盖o s i 的全部七层，即从物理层到应用层，在网络信息流经过时不间断地对其监控( 不 是定时抽查) 。硬件探针的优点还包括: 1 ，以透明方式工作，不影响网络性能 2 ， 支持多 种网络拓扑， 包括f e , g e , d d n , f r a m e r e l a y , a t m 及p o s 等 3 ，能够透视网络，取得任何时间任何地点的可视性 4 ，对虚拟网络提供广泛的支持 5 ，同时监测多个v l a n s , d l c i 。 和p v c s 6 ，为w a n 的应用信息流提供端到端的可视性 n e t s c o u t是目前市面上唯一具备完整网络性能管理方案的厂家，产品包含 硬件探针及软件系统。 n e t s c o u t的n g e n i u s性能管理系统是一个统一的性能管 理平台。n e t s c o u t先进的监控和报告应用软件可收集由 n e t s c o u t探测器以及 其他网络设备产生的大量性能数据，为网络和应用系统提供无论何时/ 何地的可 视性， 提供控制和管理网络所必要的有关性能的信息。 有了这些丰富的信息， 故 障排除更加迅速有效，容量规划也变得有的放矢。 3 . 8 i d c 选址原则 i ，地理位置适宜 地理位置放在市中心地带，成本高、发展空间有限，可能面临电力资源无法 得到保证等情况， 因此除了核心层以上网络设备外， 一般不是一个好的选择。 地 理位置过于偏远， 不方便电信或工 d c 用户的维护， 可能导致客户的流失， 也可能 导致路由跳数过多，服务质量受到影响。 2 ，传输资源到位 要考虑是否有充足的传输资源，尤其是长途传输资源和方便地光纤接入。 3 ，机房条件成熟 包括电力、面积、层高、承重能力、 周边环境等。 综上所述， 工 d c 选址应遵循: 主要的网 络设备必须放在电 信的核心大楼， 而 边远网络设备和用户设备则可放在地理位置适中、 交通方便， 资源充足、 条件成 熟的地方。 第四章网络实施举例 通过上面的介绍， 我们对于如何发展 工 d c网络有了初步认识， 下面我们以上 海电信的某 i d c 机房 ( h b )为例，重点地实际介绍一下网络发展策略。 4 . 1现状 当前h b i d c 网络的结构如图2 所示( 0 3 年) . i n t e r n e t 接入层也就是c h i n a n e t 上海节点的汇接层，由n 组1 2 0 0 0 系列路由器组成; i d c 核心层有2 台1 2 0 0 0 路 由 器组成， 和工 n t e r n e t 接入层间通过n 条2 . 5 g 线路相连， 2 台路由器之间采用 n 条g e 线路连接;汇接层由n 对f o u n d r y 交换机组成，每对之间通过g e 相连， 和核心层之间通过n 条g e 线路相连;i d c 接入层由n 组f o u n d r y f a s t 工 r o n 设备 组成，分别通过g e线路和汇接层设备相连。 卜 ” “ “ 一仁 泌 分 点 截 . 咫_ 夕 ) 一 # h yj3y7i _- s! + m .)r y :9c m . afl亩 后 ， 一 一 一 ao o o 2 lyly /f 一 一 . 亩 布 .少 afr y $ -4ft 机 几 早 学 军 军 : 夕 弓j 少介 1 图2 h b 工 d c 网络结构 所有设备都采用双备份冗余结构，采用h s r p 或f s r p 技术，一旦发生故障， 会迅速的切换到备份设备上， 保证了系统的安全。 整个工 d c 系统没有自己 独有的 a s号，系统内采用o s p f 作为路由 协议，使用m r t g 统计流量。 网络安全方面，主要采取了基于源i p 地址的a c l , u r p f 及屏蔽s q l 蠕虫病 毒发作的1 4 3 4 端口。 有防火墙, i d s 系统或安全扫描系统， 但购买安全服务的 用 户很少，使用频率较低。 用户接入方面，提供电话拨号、d d n , a d s l 专线、工 s d n 等多种方式。 4 . 2分析与方案 随着 i d c 业务的发展，i d c网络规模不断增大，工 d c 用户对网络的实时性、 稳定性和安全性等各种网络性能的要求也越来越高。 原来的容量和带宽己经不能 适应i d c 持续发展的需要，因此对2 0 0 4 年的i d c 网络必须进行规划。 h b i d c节点的用户增加迅速，尤其是大用户的增加尤其迅速，消耗的网络带 宽迅速增长， 网络结构进行了几次不同程度的扩充和优化， 现在有多组用户接入 层交换机和两组汇接设备，由于带宽的需求，每一组汇接设备都使用了两根 g e 上联到w s 的i d c 核心设备， 根据现在工 d c 用户流量增长趋势，增加新的带宽、 优化网络结构势在必行。 以下是一组数据，统计了流量预期情况、带宽使用情况和 2 0 0 4 年 2月4日 流量方向现在 2 0 0 4 / 62 0 0 4 / 1 2 2 0 0 5 / 62 0 0 5 / 1 2 核心平台 进2 4 8 4 . 5 6 0 0 08 0 0 0 0 1 2 0 0 01 6 0 0 0 出 1 3 5 4 6 .2 2 2 2 0 0 02 8 0 0 03 6 0 0 0 4 6 0 0 0 地点 网 络资源使用情况 ( 带宽) 上连地点上连带宽 ( g )峰值流量 ( m)带宽利用率 ws ws 1 2 楼 3 g1 8 0 0 6 0 % ws 1 2 楼 3 g1 8 2 0 6 1 % hb h b 1 2 楼 4 g2 9 6 0 7 4 % ws 1 2 楼 4 g3 2 9 0 8 2 . 5 0 % 电路名称 电路 逸 率 哪 i t / s ) . 一 0 + 礴 (m b i t / s ) 众 分 平 均 教 天 娜 a- (blbit/s仁 一 a -it, i # j : 益 _粼 (6(b it / s) 流 人 _a t 流入流出远 入 二 斌出 _ 澳 泰流 tk r t r t - a - 2 - s h t 0 声i6 0 1 0 0 03 4 9 . 5 4 1 1 1 . 5 55 5 0 . 4 91 6 7 .4 9 1 3 7 . 0 5 6 2 . 0 14 9 2 . 盯1 5 5 . 4 9 0 0 - 1 - h b - 2 - s h ( 1 ) rt r 1 - a - 2 - s h t o b i8 0 0 0 - 1 - h b - 2 - s h ( 2 ) 1 0 0 03 5 0 . 71 1