吉通上海公司IDC方案项目建议书
第二章 网络方案 概述 如下图是整个IDC的建设框架，本章将阐述网络框架的建设以及网络管理。 [pic] 网络架构运行在布线系统，供电系统等基础系统之上，同时为主机系统和应用系统提 供平台。而在横向结构上，IDC的网络运行离不开网络管理和运营维护。网络架构的可靠 ，稳定，高效，安全，可扩展，可管理性将直接关系到上层的主机系统和应用系统，也 将直接关系到IDC业务的顺利开展和运行。总之，网络架构是IDC建设框架中重要而又承 上启下的一环，网络系统的设计是否完善将直接影响到IDC建设的质量。 IDC网络架构的整体设计框架如下图所示。 [pic] IDC的业务将包含接入业务，空间出租业务，托管业务，管理业务和增值业务。本章 将在介绍IDC网络设计的同时，阐述每个设计要点对IDC业务的影响和重要性。因为上图 中整个IDC建设框架的最终目的是为了IDC业务的开展和拓展，在这个框架的每个部分都 必须贯穿为IDC业务开展服务的宗旨。 本章将从托管服务，网络安全，Internet连接，内容交换，内容传送，后台连接和网 络管理等方面具体阐述IDC网络解决方案对IDC业务的针对性设计。 托管服务 IDC的基本业务包括网站托管（Web hosting）和主机托管（Co- location）两大类。其中网站托管分为共享式和独享式两种。由于其业务模式的不同， 使得其在对网络设计时的要求也不相同。以下分别给出基于两种不同模式时的网络全貌 。 [pic] 1 基于主机托管的IDC网络全貌 主机托管是IDC初期为其用户提供的一种基础服务。网站及企业用户自身拥有若干服 务器，并把它放置在IDC的机房里，由客户自己进行维护。 主机托管业务的特点：投资降低，用户可使用已购买的服务器等设备，无需再作设备 投资，并且可采用IDC提供的线路。 该业务适合于自身有较强的网络运行维护经验并在数据中心建立之前已投入人力物力 建设了网站设备的大型企业用户。如著名的Yahoo、eBay、Amazon。com都采用了主机托 管业务。 提供主机托管业务的IDC向其用户提供的业务主要包括与Internet网的连接以及提供 独立安全的场地，这样对于IDC而言在进行网络设计时必须考虑提高网络连接的速度及可 靠性，从而为用户提供高质量的服务。 对主机托管业务，IDC可为客户提供n x 100M或者千兆独占带宽的电信级专业机房租用服务，包括 o 随时可扩充的独占带宽 o UPS不间断电源保障 o 24小时实时摄像监控 o 电源控制系统 o 保安系统 o 消防系统 以及可选的机柜出租： o 标准电信级机柜：高2M、深1M或1。2米、宽19英寸 o 每台机柜提供独立电源控制 o 高速以太网接口 o 独立风扇设备 基于主机托管业务IDC的网络全貌如下图所示，网络分为Internet连接层、核心层和 服务器接入层。 [pic] 在提供主机托管服务给用户时，IDC服务提供商将负责提供Internet连接层、核心层 、分布层及服务器接入层的设备并保障其稳定运行。用户则需要自己负责服务器以及包 含防火墙等在内的内部网络。有关网络各层的描述，请参见后续相应章节。 2 基于网站托管的IDC网络全貌 网站托管是IDC经过发展后而开展的一项业务。用户采用IDC提供的服务器来存放数据 ，运行软件。总体来讲数据中心的硬件设备主要包括：服务器阵列、网络设备（路由器 、交换机）、机房控制设备、防火系统、备用电源、空调设施等。数据服务中心的建设 除了必须具有一定面积的机房和相当数量的服务器外，还必须对运维管理、安全系统、 监控等设施、工具和专业服务进行深入的考虑。 提供网站托管业务的IDC向其用户提供的业务主要包括网络设施及网站托管，这样对 于IDC而言在进行网络设计时必须考虑以下要素： o 提高服务器及Web应用的可访问性，这需要网络具有内容识别（Content Aware）的功能 o 为方便租用主机的用户易于控制及管理其主机内容，提供相应的管理平台。 1 独享式网站托管 IDC为用户提供专用主机，这更适合于具有复杂业务的站点。专用主机可以为这些关 键应用提供高质量、安全的服务。对于这种业务模型，用户将其服务器包给了数据服务 中心经营者，用户不必拥有计算机、网络方面的技术人员而享受数据服务中心所提供的 全套专业服务。 为了保证服务质量，获得相应的高增值服务费用，IDC服务经营者通常与用户制定SL A（Service Level Agreement）。运营者遵照SLA上规定的条例保证服务的不间断、丢包率、网络响应时间 。经营者通过提供例如：平台设计、服务监控、服务品质测试、网络安全管理和缓存等 项增值服务加强市场竞争力。 对中小型网站而言，无论是从运营维护的角度，还是对整体业务收入而言，与场地租 用的服务相比，独享主机服务更能吸引IDC的经营者。根据用户需求的不同，我们可以定 义单机，双机集群或包括数据库服务器的独享主机服务包。其他作为独享主机托管服务 的一部分还应包括： o 电信级高品质机房环境和设备 o 可靠的供电系统 o 恒温恒湿控制系统 o 19英寸标准机架 o 10M/100M共享或独占接口 o 独立IP地址 o 服务器配置 o 服务器系统软件安装、调试 o 24×7网络系统管理维护与技术支持 o 24小时实时的服务器运行状态、流量监测 o 详细的访问统计报告 o 紧急状况的处理 2 共享式网站托管 又可称为虚拟主机业务，是指在一种Internet的网站工作环境下，IDC的网络服务器 可以容纳许多相互独立的多个网站和Email系统，并且由IDC提供管理维护服务。而每一 位客户可以有条件地访问和控制服务器上的一小部分，从而用来构建自己的网站。 虚拟主机依托于一台服务器，多个网站可以在这台服务器上共享资源（硬盘空间、处 理器以及内存空间），单独的一台服务器上可以同时运行多个虚拟主机。 虚拟主机是一种初级的网络系统方案，其用途主要是容纳一些中小型企业应用以及静 态网页。在商业网站发展的早期阶段，是系统采取的主要解决方案。其业务需求的前提 如下： o 建设网站系统需要高额的硬件费用； o 缺乏维护这些系统的有经验的专家； o 网站比较简单； o 交互应用程序较少； o 网络带宽的限制。 现在Internet上很多网站都采用虚拟主机系统方案。虚拟主机业务市场将会随着这个 产业的发展而不断调整与变化，不断地满足如小型企业、社会团体以及其它仅需要一种 简单的网页系统的需求。但由于这种业务模式的技术难度不大，所需投资较小，竞争也 比较激烈，利润也较低。 在IDC网络建设初期，虚拟主机业务为服务提供商提供了巨大的市场机遇，而且它是 实施其他增值服务（例如应用托管业务）的基础。 共享式网站托管是深受中、小企业欢迎的一个价廉物美的服务，内容包括： o 国际、国内域名代理申请 o URL域名解析 o FTP访问及其密码修改 o 断点续传支持 o CGI/Perl支持，专用CGI－BIN目录 o Active X/VB Script支持 o JAVA Applet/Class支持 o 防火墙保护 o 服务器24小时不间断运行 o WEB设计服务 o WEB Counter计数器 o Banner广告条 o 搜索引擎 o Email自动转发、回复及邮件列表支持 IDC可根据用户对以上功能的选择及对存储空间的要求，定义成不同级别的服务包提 供给最终用户。 在基于网站托管业务IDC的网络全貌如下图所示，网络分为Internet连接层、核心层 、分布层、服务器接入及后台管理平台。 [pic] 在提供网站托管业务时，IDC服务提供商需提供并管理所有各层的设备，对于IDC的用 户是完全透明的，从而用户可以专注于其业务而无需负责任何系统的管理。对于网络结 构中各层的详细描述，请参见后续相应章节。 网络安全 [pic] 众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便 了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的 忽视，以及在使用和管理上的无政府状态，逐渐使Internet自身的安全受到严重威胁， 与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：拒绝服务、非授权访问 、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听 等方面。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。 IDC以Internet技术体系作为基础，主要特点是以TCP/IP为传输协议和以浏览器/WEB 为处理模式。所以我们在IDC的设计中必须充分重视安全问题，尽可能的减少安全漏洞。 此外，我们还应该根据IDC的客户需求提供不同的安全服务，同时最大限度的保证IDC 网络管理中心（NOC）自身的安全。 1 IDC的安全需求 我们把对于IDC的安全需求分为三类：分别是IDC基本服务，IDC增值服务，IDC NOC。 对于IDC基本服务的安全需求如下： o AAA服务，提供认证，授权及审计的功能 o 防Dos 黑客攻击功能 o 线速ACL功能 对于IDC 增值服务的安全需求如下： o AAA服务，提供认证，授权及审计的功能 o 防Dos 黑客攻击功能 o 线速ACL功能 o 防火墙及防火墙平滑切换功能 o 入侵检测功能 o 漏洞检测功能 o 线速NAT 对于 IDC NOC的安全需求如下： o AAA服务，提供认证，授权及审计的功能 o 防Dos 黑客攻击功能 o 线速ACL功能 o 防火墙及防火墙平滑切换功能 o 入侵检测功能 o 漏洞检测功能 o 线速NAT o ACL的策略管理 o 安全元件的策略管理 o VPN 1 AAA服务 所谓AAA是（Authentication、Authorization、Accounting）的缩写，即认证、授权 、记帐功能，简单的说： 认证：用户身份的确认，确定允许哪些用户登录，对用户的身份的校验。 授权：当用户登录后允许该用户可以干什么，执行哪些操作的授权。 记帐：记录用户登录后干了些什么。 AAA功能的实施需要两部分的配合：支持AAA的网络设备、AAA服务器。RADIUS/TACAC S+是实施AAA常用的协议，认证软件需要有完整的记帐功能，并且可以将USER 信息直接导入软件的用户数据库，极大方便的AAA服务的用户管理。 在使用AAA的功能后用户通过网络远程登录到网络设备上的基本过程如下： 用户执行远程登录命令（例如：Telnet），网络设备提示输入用户姓名、口令。 用户输入口令后，网络设备向AAA服务器查询该用户是否有权登录。 AAA服务器检索用户数据库，如果该用户允许登录则向网络设备返回PERMIT信息和该 用户在该网络设备上可执行的命令同时将用户登录的时间、IP作详细记录；若不能在用 户数据库中检索到该用户的信息则返回DENY信息，并可以根据设置向网管工作站发送SN MP的警告消息。 当网络设备得到AAA的应答后，可以根据应答的内容作出相应的操作，如果应答为DE NY则关闭掉当前的SESSION进程；如果为PERMIT则根据AAA服务器返回的用户权限为该用 户开启SESSION进程，并将用户所执行的操作向AAA服务器进行报告。 通过AAA的实施我们可以方便的控制网络设备的安全性，同时结合ACL的设置限制能够 进行远程登录的工作站的数量、IP地址降低网络设备受到攻击的可能性。 2 防DoS黑客攻击 在拒绝服务（DoS）攻击中，恶意用户向服务器发送多个认证请求，使其满负载，并 且所有请求的返回地址都是伪造的。当服务器企图将认证结果返回给用户时，它将无法 找到这些用户。在这种情况下，服务器只好等待，有时甚至会等待1分钟才能关闭此次连 接。当服务器关闭连接之后，攻击者又发送新的一批虚假请求，以上过程又重复发生， 直到服务器因过载而拒绝提供服务。 分布式拒绝服务（DDOS）把DoS又向前发展了一步。DoS攻击需要攻击者手工操作，而 DDOS则将这种攻击行为自动化。与其他分布式概念类似，分布式拒绝服务可以方便地协 调从多台计算机上启动的进程。在这种情况下，就会有一股拒绝服务洪流冲击网络，并 使其因过载而崩溃。 [pic] DDOS工作的基本概念如图所示。停╟lient）在不同的主机（handler）上安装大 量的DoS服务程序，它们等待来自中央客户端（client）的命令，中央客户端随后通知全 体受控服务程序（agent），并指示它们对一个特定目标发送尽可能多的网络访问请求。 该工具将攻击一个目标的任务分配给所有可能的DoS服务程序，这就是它被叫做分布式D oS的原因。 实际的攻击并不仅仅是简单地发送海量信息，而是采用DDOS的变种工具，这些工具可 以利用网络协议的缺陷使攻击力更强大或者使追踪攻击者变得更困难。首先，现在的DD OS工具基本上都可以伪装源地址。它们发送原始的IP包（raw IP packet），由于Internet协议本身的缺陷，IP包中包括的源地址是可以伪装的，这也是 追踪DDOS攻击者很困难的主要原因。其次，DDOS也可以利用协议的缺陷，例如，它可以 通过SYN打开半开的TCP连接，这是一个很老且早已为人所熟知的协议缺陷。为了使攻击 力更强，DDOS通常会利用任何一种通过发送单独的数据包就...
吉通上海公司IDC方案项目建议书