吉通上海公司IDC方案项目建议书 222093.docx

《吉通上海公司IDC方案项目建议书 222093.docx》由会员分享，可在线阅读，更多相关《吉通上海公司IDC方案项目建议书 222093.docx（63页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第二章 网络方案1 概述如下图是整个IDC的建设框架，本章将阐述网络框架的建设以及网络管理。网络架构运运行在布布线系统统，供电电系统等等基础系系统之上上，同时时为主机机系统和和应用系系统提供供平台。而而在横向向结构上上，IDDC的网网络运行行离不开开网络管管理和运运营维护护。网络络架构的的可靠，稳稳定，高高效，安安全，可可扩展，可可管理性性将直接接关系到到上层的的主机系系统和应应用系统统，也将将直接关关系到IIDC业业务的顺顺利开展展和运行行。总之之，网络络架构是是IDCC建设框框架中重重要而又又承上启启下的一一环，网网络系统统的设计计是否完完善将直直接影响响到IDDC建设设的质量量。IDC网

2、络络架构的的整体设设计框架架如下图图所示。IDC的业业务将包包含接入入业务，空空间出租租业务，托托管业务务，管理理业务和和增值业业务。本本章将在在介绍IIDC网网络设计计的同时时，阐述述每个设设计要点点对IDDC业务务的影响响和重要要性。因因为上图图中整个个IDCC建设框框架的最最终目的的是为了了IDCC业务的的开展和和拓展，在在这个框框架的每每个部分分都必须须贯穿为为IDCC业务开开展服务务的宗旨旨。本章将从托托管服务务，网络络安全，IInteerneet连接接，内容容交换，内内容传送送，后台台连接和和网络管管理等方方面具体体阐述IIDC网网络解决决方案对对IDCC业务的的针对性性设计。2

3、托管服务务IDC的基基本业务务包括网网站托管管（Weeb hhosttingg）和主主机托管管（Coo-loccatiion）两两大类。其其中网站站托管分分为共享享式和独独享式两两种。由由于其业业务模式式的不同同，使得得其在对对网络设设计时的的要求也也不相同同。以下下分别给给出基于于两种不不同模式式时的网网络全貌貌。2.1 基于主机机托管的的IDCC网络全全貌主机托管是是IDCC初期为为其用户户提供的的一种基基础服务务。网站站及企业业用户自自身拥有有若干服服务器，并并把它放放置在IIDC的的机房里里，由客客户自己己进行维维护。主机托管业业务的特特点：投投资降低低，用户户可使用用已购买买的服务务

4、器等设设备，无无需再作作设备投投资，并并且可采采用IDDC提供供的线路路。该业务适合合于自身身有较强强的网络络运行维维护经验验并在数数据中心心建立之之前已投投入人力力物力建建设了网网站设备备的大型型企业用用户。如如著名的的Yahhoo、eeBayy、Ammazoon。ccom都都采用了了主机托托管业务务。提供主机托托管业务务的IDDC向其其用户提提供的业业务主要要包括与与Intternnet网网的连接接以及提提供独立立安全的的场地，这这样对于于IDCC而言在在进行网网络设计计时必须须考虑提提高网络络连接的的速度及及可靠性性，从而而为用户户提供高高质量的的服务。对主机托管管业务，IIDC可可为客

5、户户提供nn x 1000M或者者千兆独独占带宽宽的电信信级专业业机房租租用服务务，包括括 随时可扩充充的独占占带宽 UPS不间间断电源源保障 24小时实实时摄像像监控 电源控制系系统 保安系统 消防系统以及可选的的机柜出出租： 标准电信级级机柜：高2MM、深11M或11。2米、宽宽19英英寸 每台机柜提提供独立立电源控控制 高速以太网网接口 独立风扇设设备基于主机托托管业务务IDCC的网络络全貌如如下图所所示，网网络分为为Intternnet连连接层、核核心层和和服务器器接入层层。在提供主机机托管服服务给用用户时，IIDC服服务提供供商将负负责提供供Intternnet连连接层、核核心层、分

6、分布层及及服务器器接入层层的设备备并保障障其稳定定运行。用用户则需需要自己己负责服服务器以以及包含含防火墙墙等在内内的内部部网络。有有关网络络各层的的描述，请请参见后后续相应应章节。2.2 基于网站站托管的的IDCC网络全全貌网站托管是是IDCC经过发发展后而而开展的的一项业业务。用用户采用用IDCC提供的的服务器器来存放放数据，运运行软件件。总体体来讲数数据中心心的硬件件设备主主要包括括：服务务器阵列列、网络络设备（路路由器、交交换机）、机机房控制制设备、防防火系统统、备用用电源、空空调设施施等。数数据服务务中心的的建设除除了必须须具有一一定面积积的机房房和相当当数量的的服务器器外，还还必须

7、对对运维管管理、安安全系统统、监控控等设施施、工具具和专业业服务进进行深入入的考虑虑。提供网站托托管业务务的IDDC向其其用户提提供的业业务主要要包括网网络设施施及网站站托管，这这样对于于IDCC而言在在进行网网络设计计时必须须考虑以以下要素素： 提高服务器器及Weeb应用用的可访访问性，这这需要网网络具有有内容识识别（CConttentt Awwaree）的功功能 为方便租用用主机的的用户易易于控制制及管理理其主机机内容，提提供相应应的管理理平台。2.2.1 独享式网网站托管管IDC为用用户提供供专用主主机，这这更适合合于具有有复杂业业务的站站点。专专用主机机可以为为这些关关键应用用提供高高

8、质量、安安全的服服务。对对于这种种业务模模型，用用户将其其服务器器包给了了数据服服务中心心经营者者，用户户不必拥拥有计算算机、网网络方面面的技术术人员而而享受数数据服务务中心所所提供的的全套专专业服务务。为了保证服服务质量量，获得得相应的的高增值值服务费费用，IIDC服服务经营营者通常常与用户户制定SSLA（SServvicee Leevell Aggreeemennt）。运运营者遵遵照SLLA上规规定的条条例保证证服务的的不间断断、丢包包率、网网络响应应时间。经经营者通通过提供供例如：平台设设计、服服务监控控、服务务品质测测试、网网络安全全管理和和缓存等等项增值值服务加加强市场场竞争力力。对

9、中小型网网站而言言，无论论是从运运营维护护的角度度，还是是对整体体业务收收入而言言，与场场地租用用的服务务相比，独独享主机机服务更更能吸引引IDCC的经营营者。根根据用户户需求的的不同，我我们可以以定义单单机，双双机集群群或包括括数据库库服务器器的独享享主机服服务包。其其他作为为独享主主机托管管服务的的一部分分还应包包括： 电信级高品品质机房房环境和和设备 可靠的供电电系统 恒温恒湿控控制系统统 19英寸标标准机架架 10M/1100MM共享或或独占接接口 独立IP地地址 服务器配置置 服务器系统统软件安安装、调调试 247网网络系统统管理维维护与技技术支持持 24小时实实时的服服务器运运行状

10、态态、流量量监测 详细的访问问统计报报告 紧急状况的的处理2.2.2 共享式网网站托管管又可称为虚虚拟主机机业务，是是指在一一种Innterrnett的网站站工作环环境下，IIDC的的网络服服务器可可以容纳纳许多相相互独立立的多个个网站和和Emaail系系统，并并且由IIDC提提供管理理维护服服务。而而每一位位客户可可以有条条件地访访问和控控制服务务器上的的一小部部分，从从而用来来构建自自己的网网站。虚拟主机依依托于一一台服务务器，多多个网站站可以在在这台服服务器上上共享资资源（硬硬盘空间间、处理理器以及及内存空空间），单单独的一一台服务务器上可可以同时时运行多多个虚拟拟主机。虚拟主机是是一种

11、初初级的网网络系统统方案，其其用途主主要是容容纳一些些中小型型企业应应用以及及静态网网页。在在商业网网站发展展的早期期阶段，是是系统采采取的主主要解决决方案。其其业务需需求的前前提如下下： 建设网站系系统需要要高额的的硬件费费用； 缺乏维护这这些系统统的有经经验的专专家； 网站比较简简单； 交互应用程程序较少少； 网络带宽的的限制。现在Intternnet上上很多网网站都采采用虚拟拟主机系系统方案案。虚拟拟主机业业务市场场将会随随着这个个产业的的发展而而不断调调整与变变化，不不断地满满足如小小型企业业、社会会团体以以及其它它仅需要要一种简简单的网网页系统统的需求求。但由由于这种种业务模模式的技

12、技术难度度不大，所所需投资资较小，竞竞争也比比较激烈烈，利润润也较低低。在IDC网网络建设设初期，虚虚拟主机机业务为为服务提提供商提提供了巨巨大的市市场机遇遇，而且且它是实实施其他他增值服服务（例例如应用用托管业业务）的的基础。共享式网站站托管是是深受中中、小企企业欢迎迎的一个个价廉物物美的服服务，内内容包括括： 国际、国内内域名代代理申请请 URL域名名解析 FTP访问问及其密密码修改改 断点续传支支持 CGI/PPerll支持，专专用CGGIBBIN目目录 Activve XX/VBB Sccrippt支持持 JAVA Appplett/Cllasss支持 防火墙保护护 服务器244小时不

13、不间断运运行 WEB设计计服务 WEB CCounnterr计数器器 Banneer广告告条 搜索引擎 Emaill自动转转发、回回复及邮邮件列表表支持IDC可根根据用户户对以上上功能的的选择及及对存储储空间的的要求，定定义成不不同级别别的服务务包提供供给最终终用户。在基于网站站托管业业务IDDC的网网络全貌貌如下图图所示，网网络分为为Intternnet连连接层、核核心层、分分布层、服服务器接接入及后后台管理理平台。在提供网站站托管业业务时，IIDC服服务提供供商需提提供并管管理所有有各层的的设备，对对于IDDC的用用户是完完全透明明的，从从而用户户可以专专注于其其业务而而无需负负责任何何系

14、统的的管理。对对于网络络结构中中各层的的详细描描述，请请参见后后续相应应章节。3 网络安全全众所周知，作作为全球球使用范范围最大大的信息息网，IInteerneet自身身协议的的开放性性极大地地方便了了各种计计算机连连网，拓拓宽了共共享资源源。但是是，由于于在早期期网络协协议设计计上对安安全问题题的忽视视，以及及在使用用和管理理上的无无政府状状态，逐逐渐使IInteerneet自身身的安全全受到严严重威胁胁，与它它有关的的安全事事故屡有有发生。对对网络安安全的威威胁主要要表现在在：拒绝绝服务、非非授权访访问、冒冒充合法法用户、破破坏数据据完整性性、干扰扰系统正正常运行行、利用用网络传传播病毒毒

15、、线路路窃听等等方面。这这就要求求我们对对与Innterrnett互连所所带来的的安全性性问题予予以足够够重视。 IDC以IInteerneet技术术体系作作为基础础，主要要特点是是以TCCP/IIP为传传输协议议和以浏浏览器/WEBB为处理理模式。所所以我们们在IDDC的设设计中必必须充分分重视安安全问题题，尽可可能的减减少安全全漏洞。此此外，我我们还应应该根据据IDCC的客户户需求提提供不同同的安全全服务，同同时最大大限度的的保证IIDC 网络管管理中心心（NOOC）自自身的安安全。3.1 IDC的的安全需需求我们把对于于IDCC的安全全需求分分为三类类：分别别是IDDC基本本服务，IID

16、C增增值服务务，IDDC NNOC。对于IDCC基本服服务的安安全需求求如下： AAA服务务，提供供认证，授授权及审审计的功功能 防Dos 黑客攻攻击功能能 线速ACLL功能 对于IDCC 增值值服务的的安全需需求如下下： AAA服务务，提供供认证，授授权及审审计的功功能 防Dos 黑客攻攻击功能能 线速ACLL功能 防火墙及防防火墙平平滑切换换功能 入侵检测功功能 漏洞检测功功能 线速NATT对于 IDDC NNOC的的安全需需求如下下： AAA服务务，提供供认证，授授权及审审计的功功能 防Dos 黑客攻攻击功能能 线速ACLL功能 防火墙及防防火墙平平滑切换换功能 入侵检测功功能 漏洞检测

17、功功能 线速NATT ACL的策策略管理理 安全元件的的策略管管理 VPN3.1.1 AAA服服务所谓AAAA是（AAuthhentticaatioon、AAuthhoriizattionn、Acccouuntiing）的的缩写，即即认证、授授权、记记帐功能能，简单单的说：认证：用户户身份的的确认，确确定允许许哪些用用户登录录，对用用户的身身份的校校验。授权：当用用户登录录后允许许该用户户可以干干什么，执执行哪些些操作的的授权。记帐：记录录用户登登录后干干了些什什么。AAA功能能的实施施需要两两部分的的配合：支持AAAA的的网络设设备、AAAA服服务器。RRADIIUS/TACCACSS+是实

18、实施AAAA常用用的协议议，认证证软件需需要有完完整的记记帐功能能，并且且可以将将USEER 信信息直接接导入软软件的用用户数据据库，极极大方便便的AAAA服务务的用户户管理。在使用AAAA的功功能后用用户通过过网络远远程登录录到网络络设备上上的基本本过程如如下：用户执行远远程登录录命令（例例如：TTelnnet），网网络设备备提示输输入用户户姓名、口口令。用户输入口口令后，网网络设备备向AAAA服务务器查询询该用户户是否有有权登录录。AAA服务务器检索索用户数数据库，如如果该用用户允许许登录则则向网络络设备返返回PEERMIIT信息息和该用用户在该该网络设设备上可可执行的的命令同同时将用用户

19、登录录的时间间、IPP作详细细记录；若不能能在用户户数据库库中检索索到该用用户的信信息则返返回DEENY信信息，并并可以根根据设置置向网管管工作站站发送SSNMPP的警告告消息。当网络设备备得到AAAA的的应答后后，可以以根据应应答的内内容作出出相应的的操作，如如果应答答为DEENY则则关闭掉掉当前的的SESSSIOON进程程；如果果为PEERMIIT则根根据AAAA服务务器返回回的用户户权限为为该用户户开启SSESSSIONN进程，并并将用户户所执行行的操作作向AAAA服务务器进行行报告。通过AAAA的实施施我们可可以方便便的控制制网络设设备的安安全性，同同时结合合ACLL的设置置限制能能够

20、进行行远程登登录的工工作站的的数量、IIP地址址降低网网络设备备受到攻攻击的可可能性。3.1.2 防DoSS黑客攻攻击在拒绝服务务（DooS）攻攻击中，恶恶意用户户向服务务器发送送多个认认证请求求，使其其满负载载，并且且所有请请求的返返回地址址都是伪伪造的。当当服务器器企图将将认证结结果返回回给用户户时，它它将无法法找到这这些用户户。在这这种情况况下，服服务器只只好等待待，有时时甚至会会等待11分钟才才能关闭闭此次连连接。当当服务器器关闭连连接之后后，攻击击者又发发送新的的一批虚虚假请求求，以上上过程又又重复发发生，直直到服务务器因过过载而拒拒绝提供供服务。分布式拒绝绝服务（DDDOSS）把D

21、DoS又又向前发发展了一一步。DDoS攻攻击需要要攻击者者手工操操作，而而DDOOS则将将这种攻攻击行为为自动化化。与其其他分布布式概念念类似，分分布式拒拒绝服务务可以方方便地协协调从多多台计算算机上启启动的进进程。在在这种情情况下，就就会有一一股拒绝绝服务洪洪流冲击击网络，并并使其因因过载而而崩溃。DDOS工工作的基基本概念念如图所所示。黒黒客（cclieent）在在不同的的主机（hhanddlerr）上安安装大量量的DooS服务务程序，它它们等待待来自中中央客户户端（cclieent）的的命令，中中央客户户端随后后通知全全体受控控服务程程序（aagennt），并并指示它它们对一一个特定定目

22、标发发送尽可可能多的的网络访访问请求求。该工工具将攻攻击一个个目标的的任务分分配给所所有可能能的DooS服务务程序，这这就是它它被叫做做分布式式DoSS的原因因。实际的攻击击并不仅仅仅是简简单地发发送海量量信息，而而是采用用DDOOS的变变种工具具，这些些工具可可以利用用网络协协议的缺缺陷使攻攻击力更更强大或或者使追追踪攻击击者变得得更困难难。首先先，现在在的DDDOS工工具基本本上都可可以伪装装源地址址。它们们发送原原始的IIP包（rraw IP pacckett），由由于Innterrnett协议本本身的缺缺陷，IIP包中中包括的的源地址址是可以以伪装的的，这也也是追踪踪DDOOS攻击击者

23、很困困难的主主要原因因。其次次，DDDOS也也可以利利用协议议的缺陷陷，例如如，它可可以通过过SYNN打开半半开的TTCP连连接，这这是一个个很老且且早已为为人所熟熟知的协协议缺陷陷。为了了使攻击击力更强强，DDDOS通通常会利利用任何何一种通通过发送送单独的的数据包包就能探探测到的的协议缺缺陷，并并利用这这些缺陷陷进行攻攻击。 防范攻击的的措施 1。 过滤滤进网和和出网的的流量 网网络服务务提供商商应该实实施进网网流量过过滤措施施，目的的是阻止止任何伪伪造IPP地址的的数据包包进入网网络，从从而从源源头阻止止诸如DDDOSS这样的的分布式式网络攻攻击的发发生或削削弱其攻攻击效果果。2。 采用

24、用网络入入侵检测测系统IIDS 当当系统收收到来自自奇怪或或未知地地址的可可疑流量量时，网网络入侵侵检测系系统IDDS（IIntrrusiion Dettecttionn Syysteems）能能够给系系统管理理人员发发出报警警信号，提提醒他们们及时采采取应对对措施，如如切断连连接或反反向跟踪踪等。3。 具体体措施在路由器和和Webb交换机机上，它将丢弃下下列类型型的数据据帧： 长度太短； 帧被分段； 源地址与目目的地址址相同； 源地址为我我们的内内部地址址，或源源地址为为子网广广播地址址； 源地址不是是单播地地址； 源地址是环环回地址址； 目的地址是是环回地地址； 目的地址不不是有效效的单播

25、播或组播播地址此外， 对于HTTTP数据据流，WWEB交交换机必必须在HHTTPP流启动动后的116秒内内接受一一个有效效的帧，否否则它将将丢弃这这个帧并并中断这这个流； 对于TCPP数据流流，WEEB交换换机必须须在166秒内接接受一个个返回的的ackk，否则则它将终终止这个个TCPP流； 对于任意尝尝试过88次以上上SYNN的数据据流，WWEB交交换机将将终止这这个流，并并且停止止处理同同样SYYN，源源地址，目目的地址址及端口口号对的的数据流流。在核心交换换机上我我们可以以用线速速的ACCL来达达到上述述类似的的帧丢弃弃策略，我我们还可可以用CCAR的的方法对对pinng及SSYN的的数

26、据流流进行带带宽控制制，以预预防DDDOS的的攻击。3.1.3 漏洞检测测漏洞检测（VVulnneraabillityy Sccannner）就就是对重重要计算算机信息息系统进进行检查查，发现现其中可可被黑客客利用的的漏洞。漏漏洞检测测的结果果实际上上就是系系统安全全性能的的一个评评估，它它指出了了哪些攻攻击是可可能的，因因此成为为安全方方案的一一个重要要组成部部分。 安全扫描服服务器可可以对网网络设备备进行自自动的安安全漏洞洞检测和和分析，并并且在实实行过程程中支持持基于策策略的安安全风险险管理过过程。另另外，互互联网扫扫描执行行预定的的或事件件驱动的的网络探探测，包包括对网网络通信信服务、

27、操操作系统统、路由由器、电电子邮件件、Weeb服务务器、防防火墙和和应用程程序的检检测，从从而去识识别能被被入侵者者利用来来进入网网络的漏漏洞。安全扫描服服务器同同时能进进行系统统扫描。系系统扫描描通过对对企业内内部操作作系统安安全弱点点的完全全的分析析，帮助助组织管管理安全全风险。系系统扫描描通过比比较规定定的安全全策略和和实际的的主机配配置来发发现潜在在的安全全风险，包包括缺少少安全补补丁、词词典中可可猜的口口令、不不适当的的用户权权限、不不正确的的系统登登录权限限、不安安全的服服务配置置和代表表攻击的的可疑的的行为。系系统安全全扫描还还可以修修复有问问题的系系统，自自动产生生文件所所有权

28、和和文件权权限的修修复脚本本。安全扫描服服务器能能提供实实时入侵侵检测和和实时报报警。当当收到安安全性消消息时，图图形用户户界面上上相应的的主机状状态颜色色和安全全性消息息组的图图标都应应有相应应变化，以以帮助操操作人员员快速地地确定报报警的原原因和范范畴。3.1.4 入侵检测测入侵检测（IIntrrudee Deetecctioon）具具有监视视分析用用户和系系统的行行为、审审计系统统配置和和漏洞、评评估敏感感系统和和数据的的完整性性、识别别攻击行行为、对对异常行行为进行行统计、自自动地收收集和系系统相关关的补丁丁、进行行审计跟跟踪识别别违反安安全法规规的行为为、使用用诱骗服服务器记记录黑客

29、客行为等等功能，使使系统管管理员可可以较有有效地监监视、审审计、评评估自己己的系统统。实时时入侵检检测系统统解决方方案，用用于检测测、报告告和终止止整个网网络中未未经授权权的活动动。它可可以在IInteerneet和内内部网环环境中操操作，保保护整个个网络。入侵检测系系统包括括两个部部件： Sennsorr和Diirecctorr。Seensoor不影影响网络络性能，它它分析各各个数据据包的内内容和上上下文，决决定流量量是否未未经授权权。如果果一个网网络的数数据流遇遇到未经经授权的的活动，例例如SAATANN攻击、PPINGG攻击或或秘密的的研究项项目代码码字，SSenssor可可以实时时检测

30、政政策违规规，给DDireectoor管理理控制台台转发告告警，并并从网络络删除入入侵者。基于网络的的实时入入侵检测测系统，能能够监控控整个数数据网络络，需要要是具备备最新攻攻击检测测功能的的稳健的的全天候候监控和和应答系系统，能能在本地地、地区区和总部部监视控控制台之之间指导导和转发发告警的的分布式式入侵检检测系统统。同时时需要能能够允许许部署大大量Seensoor和DDireectoor的可可伸缩的的体系结结构，在在大型网网络环境境中提供供全面的的覆盖面面，与现现有网络络管理工工具和实实践平滑滑集成的的入侵检检测系统统。 入侵检测系系统通常常具有的的关键特特性包括括： 对合法流量量/网络络

31、使用透透明的实实时入侵侵检测 对未经授权权活动的的实时应应对可以以阻止黑黑客访问问网络或或终止违违规会话话 全面的攻击击签名目目录可以以检测广广泛的攻攻击，检检测基于于内容和和上下文文的攻击击 支持广泛的的速度和和接口类类型，包包括100/1000 MMbpss以太网网、令牌牌环网和和FDDDI 告警包括攻攻击者和和目的地地IP地地址、目目的地端端口、攻攻击介绍绍以及捕捕获的攻攻击前键键入的字字符 适合特大规规模分布布式网络络的可伸伸缩性 3.1.5 专用VLLANIDC环境境是一个个典型的的多客户户的服务务器群结结构，每每个托管管客户从从一个公公共的数数据中心心中的一一系列服服务器上上提供W

32、Web服服务。这这样，属属于不同同客户的的服务器器之间的的安全就就显得至至关重要要。一个个保证托托管客户户之间安安全的通通用方法法就是给给每个客客户分配配一个VVLANN和相关关的IPP子网。通通过使用用VLAAN，每每个客户户被从第第2层隔隔离开，可可以防止止任何恶恶意的行行为和EEtheerneet的信信息探听听。然而而，这种种分配每每个客户户单一VVLANN和IPP子网的的模型造造成了巨巨大的扩扩展方面面的局限限。这些些局限主主要有以以下几方方面： VLAN的的限制：LANN交换机机固有的的VLAAN数目目的限制制 复杂的STTP：对对于每个个VLAAN，一一个相关关的Sppannnin

33、gg-treee的拓拓扑都需需要管理理 IP地址的的紧缺：IP子子网的划划分势必必造成一一些地址址的浪费费 路由的限制制：如果果使用HHSRPP，每个个子网都都需相应应的缺省省网关的的配置在一个IDDC中，流流量的流流向几乎乎都是在在服务器器与客户户之间，而而服务器器间的横横向的通通信几乎乎没有。CCiscco在IIP地址址管理方方案中引引入了一一种新的的VLAAN机制制，服务务器同在在一个子子网中，但但服务器器只能与与自己的的缺省网网关通信信。这一一新的VVLANN特性就就是专用用VLAAN （prrivaate VLAAN，ppVLAAN）。这这种特性性是Ciiscoo公司的的专有技技术，

34、但但特别适适用于IIDC。专用VLLAN是是第2层层的机制制，在同同一个22层域中中有两类类不同安安全级别别的访问问端口。与与服务器器连接的的端口称称作专用用端口（pprivvatee poort），一一个专用用端口限限定在第第2层，它它只能发发送流量量到混杂杂端口，也也只能检检测从混混杂端口口来的流流量。混混杂端口口（prromiiscuuouss poort）没没有专用用端口的的限定，它它与路由由器或第第3层交交换机接接口相连连。简单单地说，在在一个专专用VLLAN内内，专用用端口收收到的流流量只能能发往混混杂端口口，混杂杂端口收收到的流流量可以以发往所所有端口口（混杂杂端口和和专用端端口

35、）。下图示出了了同一专专用VLLAN中中两类端端口的关关系。专用VLLAN的的应用在在多客户户的数据据中心是是非常有有效的，因因为IDDC的网网络中，服服务器只只需与自自己的缺缺省网关关连接，一一个专用用VLAAN不需需要多个个VLAAN和IIP子网网就提供供了这样样的安全全连接。在在这一模模型中，所所有的服服务器都都接入专专用VLLAN，从从而实现现了所有有服务器器与缺省省网关的的连接，而而与专用用VLAAN内的的其他服服务器没没有任何何访问。目目前，CCiscco的CCataalysst SSwittch 60000/665000系列交交换机支支持专用用VLAAN。4 Inteerneet

36、连接接作为IDCC网络与与公共IIP骨干干网络的的接口，IInteerneet连接接层提供供了IDDC与公公共IPP网的桥桥梁，它它的运行行情况直直接关系系到IDDC为其其用户所所提供的的服务的的质量，这这就要求求该层的的设备必必须具有有以下的的特点：高速的的路由交交换能力力对各种种高级路路由协议议（如BBGP等等）的全全面支持持具备丰丰富的接接口类型型完善的的QOSS支持能能力在Inteerneet连接接层配置置高端路路由器，使使用高速速连接到到IP骨骨干网，并并以全冗冗余方式式与核心心层互连连。借助助于这些些高端路路由器的的高性能能及丰富富的特性性，提供供全冗余余、高速速、高性性能网络络核

37、心。4.1 骨干接入入作为IDCC网络与与公共IIP骨干干网络的的接口，IInteerneet连接接层提供供了IDDC与公公共IPP网的桥桥梁，它它的运行行情况直直接关系系到IDDC为其其用户所所提供的的服务的的质量，这这就要求求该层的的设备必必须具有有以下的的特点：高速的的路由交交换能力力对各种种高级路路由协议议（如BBGP等等）的全全面支持持具备丰丰富的接接口类型型完善的的QOSS支持能能力在Inteerneet连接接层配置置高端路路由器，使使用高速速连接到到IP骨骨干网，并并以全冗冗余方式式与核心心层互连连。借助助于这些些高端路路由器的的高性能能及丰富富的特性性，提供供全冗余余、高速速、

38、高性性能网络络核心。4.2 带宽管理理在IDC的的业务中中，通常常针对提提供不同同的带宽宽收取不不同的费费用，所所以带宽宽管理成成为Innterrnett连接中中提供服服务质量量的重要要保证。 4.2.1 识别网络络流量 IDC的带带宽管理理需要支支持多种种协议和和应用程程序，并并且可以以根据自自己的需需要，自自行设定定相应的的标准来来区分更更多的类类型。可可以通过过应用、服服务、协协议、端端口数、UURL或或通配符符（用于于Webb通信）、主主机名称称、优先先权、以以及IPP或MAAC地址址对通信信量进行行分类。只只有这样样才能对对用户提提供完善善的带宽宽管理机机制。像HTTPP、FTTP和

39、TTelnnet这这样的IIP协议议，以及及像SNNA、NNetBBIOSS和ApppleeTallk这样样的非IIP协议议，带宽宽管理都都应该能能自动识识别，并并根据用用户的需需要进行行有效的的处理。例例如，你你可以将将SAPP/R33通信量量根据一一个特定定客户式式特定服服务器隔隔开，使使TN332700交互式式通信量量与打印印通信量量分开，甚甚至把一一个H。3323视视频会议议的数据据信道和和控制信信道区分分开来。4.2.2 保证应用用性能 带宽管理需需要保证证关键的的和交互互式的应应用获得得其所需需要的带带宽，同同时限制制普通应应用对带带宽的需需求。每每种通信信类型映映射到一一项特定定

40、的带宽宽分配政政策上，确确保每种种通信类类型得到到一个适适当的带带宽。 速率政策（RRatee poolicciess）限制制或保证证每个单单独对话话的带宽宽，抑制制那些贪贪婪的应应用通信信，或者者保护对对时延敏敏感的流流量。比比如，一一个HTTTP capp会使WWeb游游览避免免使用他他人的带带宽。而而且获得得保证的的音频或或视频流流动速率率，避免免出现恼恼人的不不稳定性性。速率率政策是是为应用用提供没没有被使使用的带带宽，所所以，昂昂贵的带带宽从不不会被浪浪费。 4.2.3 测量、分分析和生生成报表表 网络管理员员在制订订一项带带宽管理理策略之之前及之之后必须须分析其其网络应应用通信信的

41、模式式，以测测量其是是否成功功。带宽宽管理将将跟踪平平均和高高峰通信信量水平平，计算算在重新新传输上上所浪费费的带宽宽比例，突突出最主主要用户户和应用用程序，并并且测量量性能。网网络总结结以及特特定上下下文的报报表提供供了对网网络趋势势的轻松松访问。响响应时间间特征允允许你测测量性能能，设置置可接受受性标准准，并跟跟踪响应应质量是是否坚持持了标准准。 4.2.4 流量控制制和监视视控制 IDC的带带宽管理理是非常常复杂的的业务和和技术控控制，所所以，需需要一个个简单易易用的进进行操作作的管理理界面。通通过这一一界面，网网络管理理员可在在任何时时候、任任何地方方，通过过网络来来配置、控控制和监监

42、控带宽宽分配情情况。4.2.5 轻松部署署 硬件带宽管管理器通通常位于于网络瓶瓶颈上，通通常在路路由器和和核心交交换机之之间。为为了网络络性能的的考虑，带带宽管理理器需要要与现有有的网络络顺利集集成，不不需要任任何新的的协议或或者重新新配置路路由器，也也不需要要修改拓拓朴结构构和桌面面。它不不能是一一个网络络故障点点，如果果带宽管管理器发发生故障障或者被被关掉，它它需要会会像一根根电缆一一样发挥挥作用。用用于IDDC的硬硬件带宽宽管理器器在当前前市场上上主要有有Altteonn公司、PPackketeeer公公司和IInteel公司司的带宽宽管理器器。 利用路由器器和交换换机的特特定QOOS（

43、QQuallityy off Seerviice）技技术，也也能实现现带宽管管理。比比如Ciiscoo公司的的CARR（Coommiitteed AAcceess Ratte）技技术。对本地带宽宽管理也也可以通通过四层层交换机机来实现现。Foounddry，AAlteeon和和Cissco公公司的四四层交换换机都支支持本地地带宽管管理。5 内容交换换内容交换提提供数据据流的负负载均衡衡以提高高IDCC的网络络性能，特特别是服服务器的的响应性性能。内内容交换换同时对对应用层层的数据据提供适适当的控控制以满满足应用用的要求求，比如如对SSSL（SSecuuritty SSockket Layyer

44、）连连接的控控制。这这在本节节将有具具体阐述述。5.1 基于IPP的负载载均衡数据中心的的服务提提供商除除了向客客户提供供一些基基本的主主机托管管和网站站托管服服务外，还还需要提提供一些些更高级级别的增增值服务务来吸引引用户、拓拓展市场场。作为为数据中中心托管管用户的的主体，例例如ICCP网站站、电子子商务网网站、企企业网站站等，它它们托管管或租用用在数据据中心的的大部分分服务器器都是基基于Innterrnett TCCP/IIP协议议的应用用服务器器，例如如WWWW服务器器、FTTP服务务器等。对对于这些些用户而而言，如如何保证证这些关关键服务务器的高高可靠性性、高可可用性和和可扩展展性是非

45、非常重要要的。因因此，如如果数据据中心的的服务提提供商能能够给客客户提供供这种高高可用性性服务，就就可以像像保险公公司的保保险费一一样，来来向客户户收取一一定的增增值服务务费用！并且对对数据中中心的各各种类型型用户都都带来好好处：对对主机租租用用户户来讲，他他们的服服务器硬硬件本身身都是租租用数据据中心的的，因此此自然希希望数据据中心能能够对服服务器系系统的可可用性提提出更高高的保证证；对主主机托管管用户来来讲，尽尽管服务务器是自自身携带带的，但但是除了了极少部部分大的的网站有有资金、有有技术能能力来自自行解决决关键服服务器系系统的高高可用性性问题外外，大多多数的网网站并不不具备这这样的条条件

46、，他他们希望望数据中中心服务务提供商商能够作作为他们们的Viirtuual IT部部门，能能够给他他们提供供一个完完善的解解决方案案。下面我们以以数据中中心中最最为普遍遍的服务务WWWW服务务为例，来来详细讲讲解如何何实现IInteerneet服务务的高可可用性，即即关键服服务器系系统的高高可用性性。以前作为一一个网站站通常采采用的方方式是WWWW服服务器由由一台硬硬件配置置非常高高的UNNIX服服务器来来担当，尽尽管成本本昂贵，但但这样做做仍然不不能保证证它的可可靠性、可可用性、可可维护性性：一是是因为一一台服务务器仍作作不到硬硬件级的的完全容容错，保保证不了了可靠性性；二是是因为一一台服务

47、务器的网网络带宽宽有限，保保证不了了可用性性；三是是因为当当这台服服务器进进行硬件件或软件件升级时时，不可可避免地地要中断断WWWW服务，保保证不了了可维护护性。基于上述原原因，人人们提出出了DNNS轮询询方案（DDNSRouundRobbin）试试图解决决WWWW服务的的可用性性问题，即即多台WWWW镜镜像主机机在DNNS中对对应同一一域名，当当用户访访问WWWW，要要求DNNS服务务器解析析域名时时，DNNS服务务器按DDNS请请求的先先后顺序序把域名名依次解解析成其其中一台台WWWW主机的的IP地地址，从从而把任任务平均均分担到到数台WWWW主主机上，来来提高WWWW服服务的整整体性能能。它的的优点是是：实现现简单、实实施容易易、成本本低；但但是，它它的缺点点也非常常明显：不是真真正意义义上的负负载均衡衡，DNNS服务务器将HHTTPP请求平平均地分分配到后后台的WWWW服服务器上上，而不不考虑每每个WWWW服务务器当前前的负载载情况；如果后后台的WWWW服服务器的的配置和和处理能能力不同同，最慢慢的WWWW服务务器将成成为系统统的瓶颈颈，处理理能力强强的服务务器不能能充分发发挥作用用；另外外未考虑虑容错，如如果后台台的某一一台WWWW服务务器出现现故障，DDNS服服务器仍仍会把DDNS请请