吉通上海公司IDC方案項(xiàng)目建議書
綜合能力考核表詳細(xì)內(nèi)容
吉通上海公司IDC方案項(xiàng)目建議書
第二章 網(wǎng)絡(luò)方案 概述 如下圖是整個(gè)IDC的建設(shè)框架,本章將闡述網(wǎng)絡(luò)框架的建設(shè)以及網(wǎng)絡(luò)管理。 [pic] 網(wǎng)絡(luò)架構(gòu)運(yùn)行在布線系統(tǒng),供電系統(tǒng)等基礎(chǔ)系統(tǒng)之上,同時(shí)為主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)提 供平臺(tái)。而在橫向結(jié)構(gòu)上,IDC的網(wǎng)絡(luò)運(yùn)行離不開網(wǎng)絡(luò)管理和運(yùn)營維護(hù)。網(wǎng)絡(luò)架構(gòu)的可靠 ,穩(wěn)定,高效,安全,可擴(kuò)展,可管理性將直接關(guān)系到上層的主機(jī)系統(tǒng)和應(yīng)用系統(tǒng),也 將直接關(guān)系到IDC業(yè)務(wù)的順利開展和運(yùn)行??傊?,網(wǎng)絡(luò)架構(gòu)是IDC建設(shè)框架中重要而又承 上啟下的一環(huán),網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)是否完善將直接影響到IDC建設(shè)的質(zhì)量。 IDC網(wǎng)絡(luò)架構(gòu)的整體設(shè)計(jì)框架如下圖所示。 [pic] IDC的業(yè)務(wù)將包含接入業(yè)務(wù),空間出租業(yè)務(wù),托管業(yè)務(wù),管理業(yè)務(wù)和增值業(yè)務(wù)。本章 將在介紹IDC網(wǎng)絡(luò)設(shè)計(jì)的同時(shí),闡述每個(gè)設(shè)計(jì)要點(diǎn)對(duì)IDC業(yè)務(wù)的影響和重要性。因?yàn)樯蠄D 中整個(gè)IDC建設(shè)框架的最終目的是為了IDC業(yè)務(wù)的開展和拓展,在這個(gè)框架的每個(gè)部分都 必須貫穿為IDC業(yè)務(wù)開展服務(wù)的宗旨。 本章將從托管服務(wù),網(wǎng)絡(luò)安全,Internet連接,內(nèi)容交換,內(nèi)容傳送,后臺(tái)連接和網(wǎng) 絡(luò)管理等方面具體闡述IDC網(wǎng)絡(luò)解決方案對(duì)IDC業(yè)務(wù)的針對(duì)性設(shè)計(jì)。 托管服務(wù) IDC的基本業(yè)務(wù)包括網(wǎng)站托管(Web hosting)和主機(jī)托管(Co- location)兩大類。其中網(wǎng)站托管分為共享式和獨(dú)享式兩種。由于其業(yè)務(wù)模式的不同, 使得其在對(duì)網(wǎng)絡(luò)設(shè)計(jì)時(shí)的要求也不相同。以下分別給出基于兩種不同模式時(shí)的網(wǎng)絡(luò)全貌 。 [pic] 1 基于主機(jī)托管的IDC網(wǎng)絡(luò)全貌 主機(jī)托管是IDC初期為其用戶提供的一種基礎(chǔ)服務(wù)。網(wǎng)站及企業(yè)用戶自身擁有若干服 務(wù)器,并把它放置在IDC的機(jī)房里,由客戶自己進(jìn)行維護(hù)。 主機(jī)托管業(yè)務(wù)的特點(diǎn):投資降低,用戶可使用已購買的服務(wù)器等設(shè)備,無需再作設(shè)備 投資,并且可采用IDC提供的線路。 該業(yè)務(wù)適合于自身有較強(qiáng)的網(wǎng)絡(luò)運(yùn)行維護(hù)經(jīng)驗(yàn)并在數(shù)據(jù)中心建立之前已投入人力物力 建設(shè)了網(wǎng)站設(shè)備的大型企業(yè)用戶。如著名的Yahoo、eBay、Amazon。com都采用了主機(jī)托 管業(yè)務(wù)。 提供主機(jī)托管業(yè)務(wù)的IDC向其用戶提供的業(yè)務(wù)主要包括與Internet網(wǎng)的連接以及提供 獨(dú)立安全的場地,這樣對(duì)于IDC而言在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮提高網(wǎng)絡(luò)連接的速度及可 靠性,從而為用戶提供高質(zhì)量的服務(wù)。 對(duì)主機(jī)托管業(yè)務(wù),IDC可為客戶提供n x 100M或者千兆獨(dú)占帶寬的電信級(jí)專業(yè)機(jī)房租用服務(wù),包括 o 隨時(shí)可擴(kuò)充的獨(dú)占帶寬 o UPS不間斷電源保障 o 24小時(shí)實(shí)時(shí)攝像監(jiān)控 o 電源控制系統(tǒng) o 保安系統(tǒng) o 消防系統(tǒng) 以及可選的機(jī)柜出租: o 標(biāo)準(zhǔn)電信級(jí)機(jī)柜:高2M、深1M或1。2米、寬19英寸 o 每臺(tái)機(jī)柜提供獨(dú)立電源控制 o 高速以太網(wǎng)接口 o 獨(dú)立風(fēng)扇設(shè)備 基于主機(jī)托管業(yè)務(wù)IDC的網(wǎng)絡(luò)全貌如下圖所示,網(wǎng)絡(luò)分為Internet連接層、核心層和 服務(wù)器接入層。 [pic] 在提供主機(jī)托管服務(wù)給用戶時(shí),IDC服務(wù)提供商將負(fù)責(zé)提供Internet連接層、核心層 、分布層及服務(wù)器接入層的設(shè)備并保障其穩(wěn)定運(yùn)行。用戶則需要自己負(fù)責(zé)服務(wù)器以及包 含防火墻等在內(nèi)的內(nèi)部網(wǎng)絡(luò)。有關(guān)網(wǎng)絡(luò)各層的描述,請(qǐng)參見后續(xù)相應(yīng)章節(jié)。 2 基于網(wǎng)站托管的IDC網(wǎng)絡(luò)全貌 網(wǎng)站托管是IDC經(jīng)過發(fā)展后而開展的一項(xiàng)業(yè)務(wù)。用戶采用IDC提供的服務(wù)器來存放數(shù)據(jù) ,運(yùn)行軟件??傮w來講數(shù)據(jù)中心的硬件設(shè)備主要包括:服務(wù)器陣列、網(wǎng)絡(luò)設(shè)備(路由器 、交換機(jī))、機(jī)房控制設(shè)備、防火系統(tǒng)、備用電源、空調(diào)設(shè)施等。數(shù)據(jù)服務(wù)中心的建設(shè) 除了必須具有一定面積的機(jī)房和相當(dāng)數(shù)量的服務(wù)器外,還必須對(duì)運(yùn)維管理、安全系統(tǒng)、 監(jiān)控等設(shè)施、工具和專業(yè)服務(wù)進(jìn)行深入的考慮。 提供網(wǎng)站托管業(yè)務(wù)的IDC向其用戶提供的業(yè)務(wù)主要包括網(wǎng)絡(luò)設(shè)施及網(wǎng)站托管,這樣對(duì) 于IDC而言在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮以下要素: o 提高服務(wù)器及Web應(yīng)用的可訪問性,這需要網(wǎng)絡(luò)具有內(nèi)容識(shí)別(Content Aware)的功能 o 為方便租用主機(jī)的用戶易于控制及管理其主機(jī)內(nèi)容,提供相應(yīng)的管理平臺(tái)。 1 獨(dú)享式網(wǎng)站托管 IDC為用戶提供專用主機(jī),這更適合于具有復(fù)雜業(yè)務(wù)的站點(diǎn)。專用主機(jī)可以為這些關(guān) 鍵應(yīng)用提供高質(zhì)量、安全的服務(wù)。對(duì)于這種業(yè)務(wù)模型,用戶將其服務(wù)器包給了數(shù)據(jù)服務(wù) 中心經(jīng)營者,用戶不必?fù)碛杏?jì)算機(jī)、網(wǎng)絡(luò)方面的技術(shù)人員而享受數(shù)據(jù)服務(wù)中心所提供的 全套專業(yè)服務(wù)。 為了保證服務(wù)質(zhì)量,獲得相應(yīng)的高增值服務(wù)費(fèi)用,IDC服務(wù)經(jīng)營者通常與用戶制定SL A(Service Level Agreement)。運(yùn)營者遵照SLA上規(guī)定的條例保證服務(wù)的不間斷、丟包率、網(wǎng)絡(luò)響應(yīng)時(shí)間 。經(jīng)營者通過提供例如:平臺(tái)設(shè)計(jì)、服務(wù)監(jiān)控、服務(wù)品質(zhì)測試、網(wǎng)絡(luò)安全管理和緩存等 項(xiàng)增值服務(wù)加強(qiáng)市場競爭力。 對(duì)中小型網(wǎng)站而言,無論是從運(yùn)營維護(hù)的角度,還是對(duì)整體業(yè)務(wù)收入而言,與場地租 用的服務(wù)相比,獨(dú)享主機(jī)服務(wù)更能吸引IDC的經(jīng)營者。根據(jù)用戶需求的不同,我們可以定 義單機(jī),雙機(jī)集群或包括數(shù)據(jù)庫服務(wù)器的獨(dú)享主機(jī)服務(wù)包。其他作為獨(dú)享主機(jī)托管服務(wù) 的一部分還應(yīng)包括: o 電信級(jí)高品質(zhì)機(jī)房環(huán)境和設(shè)備 o 可靠的供電系統(tǒng) o 恒溫恒濕控制系統(tǒng) o 19英寸標(biāo)準(zhǔn)機(jī)架 o 10M/100M共享或獨(dú)占接口 o 獨(dú)立IP地址 o 服務(wù)器配置 o 服務(wù)器系統(tǒng)軟件安裝、調(diào)試 o 24×7網(wǎng)絡(luò)系統(tǒng)管理維護(hù)與技術(shù)支持 o 24小時(shí)實(shí)時(shí)的服務(wù)器運(yùn)行狀態(tài)、流量監(jiān)測 o 詳細(xì)的訪問統(tǒng)計(jì)報(bào)告 o 緊急狀況的處理 2 共享式網(wǎng)站托管 又可稱為虛擬主機(jī)業(yè)務(wù),是指在一種Internet的網(wǎng)站工作環(huán)境下,IDC的網(wǎng)絡(luò)服務(wù)器 可以容納許多相互獨(dú)立的多個(gè)網(wǎng)站和Email系統(tǒng),并且由IDC提供管理維護(hù)服務(wù)。而每一 位客戶可以有條件地訪問和控制服務(wù)器上的一小部分,從而用來構(gòu)建自己的網(wǎng)站。 虛擬主機(jī)依托于一臺(tái)服務(wù)器,多個(gè)網(wǎng)站可以在這臺(tái)服務(wù)器上共享資源(硬盤空間、處 理器以及內(nèi)存空間),單獨(dú)的一臺(tái)服務(wù)器上可以同時(shí)運(yùn)行多個(gè)虛擬主機(jī)。 虛擬主機(jī)是一種初級(jí)的網(wǎng)絡(luò)系統(tǒng)方案,其用途主要是容納一些中小型企業(yè)應(yīng)用以及靜 態(tài)網(wǎng)頁。在商業(yè)網(wǎng)站發(fā)展的早期階段,是系統(tǒng)采取的主要解決方案。其業(yè)務(wù)需求的前提 如下: o 建設(shè)網(wǎng)站系統(tǒng)需要高額的硬件費(fèi)用; o 缺乏維護(hù)這些系統(tǒng)的有經(jīng)驗(yàn)的專家; o 網(wǎng)站比較簡單; o 交互應(yīng)用程序較少; o 網(wǎng)絡(luò)帶寬的限制。 現(xiàn)在Internet上很多網(wǎng)站都采用虛擬主機(jī)系統(tǒng)方案。虛擬主機(jī)業(yè)務(wù)市場將會(huì)隨著這個(gè) 產(chǎn)業(yè)的發(fā)展而不斷調(diào)整與變化,不斷地滿足如小型企業(yè)、社會(huì)團(tuán)體以及其它僅需要一種 簡單的網(wǎng)頁系統(tǒng)的需求。但由于這種業(yè)務(wù)模式的技術(shù)難度不大,所需投資較小,競爭也 比較激烈,利潤也較低。 在IDC網(wǎng)絡(luò)建設(shè)初期,虛擬主機(jī)業(yè)務(wù)為服務(wù)提供商提供了巨大的市場機(jī)遇,而且它是 實(shí)施其他增值服務(wù)(例如應(yīng)用托管業(yè)務(wù))的基礎(chǔ)。 共享式網(wǎng)站托管是深受中、小企業(yè)歡迎的一個(gè)價(jià)廉物美的服務(wù),內(nèi)容包括: o 國際、國內(nèi)域名代理申請(qǐng) o URL域名解析 o FTP訪問及其密碼修改 o 斷點(diǎn)續(xù)傳支持 o CGI/Perl支持,專用CGI-BIN目錄 o Active X/VB Script支持 o JAVA Applet/Class支持 o 防火墻保護(hù) o 服務(wù)器24小時(shí)不間斷運(yùn)行 o WEB設(shè)計(jì)服務(wù) o WEB Counter計(jì)數(shù)器 o Banner廣告條 o 搜索引擎 o Email自動(dòng)轉(zhuǎn)發(fā)、回復(fù)及郵件列表支持 IDC可根據(jù)用戶對(duì)以上功能的選擇及對(duì)存儲(chǔ)空間的要求,定義成不同級(jí)別的服務(wù)包提 供給最終用戶。 在基于網(wǎng)站托管業(yè)務(wù)IDC的網(wǎng)絡(luò)全貌如下圖所示,網(wǎng)絡(luò)分為Internet連接層、核心層 、分布層、服務(wù)器接入及后臺(tái)管理平臺(tái)。 [pic] 在提供網(wǎng)站托管業(yè)務(wù)時(shí),IDC服務(wù)提供商需提供并管理所有各層的設(shè)備,對(duì)于IDC的用 戶是完全透明的,從而用戶可以專注于其業(yè)務(wù)而無需負(fù)責(zé)任何系統(tǒng)的管理。對(duì)于網(wǎng)絡(luò)結(jié) 構(gòu)中各層的詳細(xì)描述,請(qǐng)參見后續(xù)相應(yīng)章節(jié)。 網(wǎng)絡(luò)安全 [pic] 眾所周知,作為全球使用范圍最大的信息網(wǎng),Internet自身協(xié)議的開放性極大地方便 了各種計(jì)算機(jī)連網(wǎng),拓寬了共享資源。但是,由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問題的 忽視,以及在使用和管理上的無政府狀態(tài),逐漸使Internet自身的安全受到嚴(yán)重威脅, 與它有關(guān)的安全事故屢有發(fā)生。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在:拒絕服務(wù)、非授權(quán)訪問 、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽 等方面。這就要求我們對(duì)與Internet互連所帶來的安全性問題予以足夠重視。 IDC以Internet技術(shù)體系作為基礎(chǔ),主要特點(diǎn)是以TCP/IP為傳輸協(xié)議和以瀏覽器/WEB 為處理模式。所以我們?cè)贗DC的設(shè)計(jì)中必須充分重視安全問題,盡可能的減少安全漏洞。 此外,我們還應(yīng)該根據(jù)IDC的客戶需求提供不同的安全服務(wù),同時(shí)最大限度的保證IDC 網(wǎng)絡(luò)管理中心(NOC)自身的安全。 1 IDC的安全需求 我們把對(duì)于IDC的安全需求分為三類:分別是IDC基本服務(wù),IDC增值服務(wù),IDC NOC。 對(duì)于IDC基本服務(wù)的安全需求如下: o AAA服務(wù),提供認(rèn)證,授權(quán)及審計(jì)的功能 o 防Dos 黑客攻擊功能 o 線速ACL功能 對(duì)于IDC 增值服務(wù)的安全需求如下: o AAA服務(wù),提供認(rèn)證,授權(quán)及審計(jì)的功能 o 防Dos 黑客攻擊功能 o 線速ACL功能 o 防火墻及防火墻平滑切換功能 o 入侵檢測功能 o 漏洞檢測功能 o 線速NAT 對(duì)于 IDC NOC的安全需求如下: o AAA服務(wù),提供認(rèn)證,授權(quán)及審計(jì)的功能 o 防Dos 黑客攻擊功能 o 線速ACL功能 o 防火墻及防火墻平滑切換功能 o 入侵檢測功能 o 漏洞檢測功能 o 線速NAT o ACL的策略管理 o 安全元件的策略管理 o VPN 1 AAA服務(wù) 所謂AAA是(Authentication、Authorization、Accounting)的縮寫,即認(rèn)證、授權(quán) 、記帳功能,簡單的說: 認(rèn)證:用戶身份的確認(rèn),確定允許哪些用戶登錄,對(duì)用戶的身份的校驗(yàn)。 授權(quán):當(dāng)用戶登錄后允許該用戶可以干什么,執(zhí)行哪些操作的授權(quán)。 記帳:記錄用戶登錄后干了些什么。 AAA功能的實(shí)施需要兩部分的配合:支持AAA的網(wǎng)絡(luò)設(shè)備、AAA服務(wù)器。RADIUS/TACAC S+是實(shí)施AAA常用的協(xié)議,認(rèn)證軟件需要有完整的記帳功能,并且可以將USER 信息直接導(dǎo)入軟件的用戶數(shù)據(jù)庫,極大方便的AAA服務(wù)的用戶管理。 在使用AAA的功能后用戶通過網(wǎng)絡(luò)遠(yuǎn)程登錄到網(wǎng)絡(luò)設(shè)備上的基本過程如下: 用戶執(zhí)行遠(yuǎn)程登錄命令(例如:Telnet),網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。 用戶輸入口令后,網(wǎng)絡(luò)設(shè)備向AAA服務(wù)器查詢?cè)撚脩羰欠裼袡?quán)登錄。 AAA服務(wù)器檢索用戶數(shù)據(jù)庫,如果該用戶允許登錄則向網(wǎng)絡(luò)設(shè)備返回PERMIT信息和該 用戶在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時(shí)將用戶登錄的時(shí)間、IP作詳細(xì)記錄;若不能在用 戶數(shù)據(jù)庫中檢索到該用戶的信息則返回DENY信息,并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送SN MP的警告消息。 當(dāng)網(wǎng)絡(luò)設(shè)備得到AAA的應(yīng)答后,可以根據(jù)應(yīng)答的內(nèi)容作出相應(yīng)的操作,如果應(yīng)答為DE NY則關(guān)閉掉當(dāng)前的SESSION進(jìn)程;如果為PERMIT則根據(jù)AAA服務(wù)器返回的用戶權(quán)限為該用 戶開啟SESSION進(jìn)程,并將用戶所執(zhí)行的操作向AAA服務(wù)器進(jìn)行報(bào)告。 通過AAA的實(shí)施我們可以方便的控制網(wǎng)絡(luò)設(shè)備的安全性,同時(shí)結(jié)合ACL的設(shè)置限制能夠 進(jìn)行遠(yuǎn)程登錄的工作站的數(shù)量、IP地址降低網(wǎng)絡(luò)設(shè)備受到攻擊的可能性。 2 防DoS黑客攻擊 在拒絕服務(wù)(DoS)攻擊中,惡意用戶向服務(wù)器發(fā)送多個(gè)認(rèn)證請(qǐng)求,使其滿負(fù)載,并 且所有請(qǐng)求的返回地址都是偽造的。當(dāng)服務(wù)器企圖將認(rèn)證結(jié)果返回給用戶時(shí),它將無法 找到這些用戶。在這種情況下,服務(wù)器只好等待,有時(shí)甚至?xí)却?分鐘才能關(guān)閉此次連 接。當(dāng)服務(wù)器關(guān)閉連接之后,攻擊者又發(fā)送新的一批虛假請(qǐng)求,以上過程又重復(fù)發(fā)生, 直到服務(wù)器因過載而拒絕提供服務(wù)。 分布式拒絕服務(wù)(DDOS)把DoS又向前發(fā)展了一步。DoS攻擊需要攻擊者手工操作,而 DDOS則將這種攻擊行為自動(dòng)化。與其他分布式概念類似,分布式拒絕服務(wù)可以方便地協(xié) 調(diào)從多臺(tái)計(jì)算機(jī)上啟動(dòng)的進(jìn)程。在這種情況下,就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò),并 使其因過載而崩潰。 [pic] DDOS工作的基本概念如圖所示。停╟lient)在不同的主機(jī)(handler)上安裝大 量的DoS服務(wù)程序,它們等待來自中央客戶端(client)的命令,中央客戶端隨后通知全 體受控服務(wù)程序(agent),并指示它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請(qǐng)求。 該工具將攻擊一個(gè)目標(biāo)的任務(wù)分配給所有可能的DoS服務(wù)程序,這就是它被叫做分布式D oS的原因。 實(shí)際的攻擊并不僅僅是簡單地發(fā)送海量信息,而是采用DDOS的變種工具,這些工具可 以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強(qiáng)大或者使追蹤攻擊者變得更困難。首先,現(xiàn)在的DD OS工具基本上都可以偽裝源地址。它們發(fā)送原始的IP包(raw IP packet),由于Internet協(xié)議本身的缺陷,IP包中包括的源地址是可以偽裝的,這也是 追蹤DDOS攻擊者很困難的主要原因。其次,DDOS也可以利用協(xié)議的缺陷,例如,它可以 通過SYN打開半開的TCP連接,這是一個(gè)很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊 力更強(qiáng),DDOS通常會(huì)利用任何一種通過發(fā)送單獨(dú)的數(shù)據(jù)包就...
吉通上海公司IDC方案項(xiàng)目建議書
第二章 網(wǎng)絡(luò)方案 概述 如下圖是整個(gè)IDC的建設(shè)框架,本章將闡述網(wǎng)絡(luò)框架的建設(shè)以及網(wǎng)絡(luò)管理。 [pic] 網(wǎng)絡(luò)架構(gòu)運(yùn)行在布線系統(tǒng),供電系統(tǒng)等基礎(chǔ)系統(tǒng)之上,同時(shí)為主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)提 供平臺(tái)。而在橫向結(jié)構(gòu)上,IDC的網(wǎng)絡(luò)運(yùn)行離不開網(wǎng)絡(luò)管理和運(yùn)營維護(hù)。網(wǎng)絡(luò)架構(gòu)的可靠 ,穩(wěn)定,高效,安全,可擴(kuò)展,可管理性將直接關(guān)系到上層的主機(jī)系統(tǒng)和應(yīng)用系統(tǒng),也 將直接關(guān)系到IDC業(yè)務(wù)的順利開展和運(yùn)行??傊?,網(wǎng)絡(luò)架構(gòu)是IDC建設(shè)框架中重要而又承 上啟下的一環(huán),網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)是否完善將直接影響到IDC建設(shè)的質(zhì)量。 IDC網(wǎng)絡(luò)架構(gòu)的整體設(shè)計(jì)框架如下圖所示。 [pic] IDC的業(yè)務(wù)將包含接入業(yè)務(wù),空間出租業(yè)務(wù),托管業(yè)務(wù),管理業(yè)務(wù)和增值業(yè)務(wù)。本章 將在介紹IDC網(wǎng)絡(luò)設(shè)計(jì)的同時(shí),闡述每個(gè)設(shè)計(jì)要點(diǎn)對(duì)IDC業(yè)務(wù)的影響和重要性。因?yàn)樯蠄D 中整個(gè)IDC建設(shè)框架的最終目的是為了IDC業(yè)務(wù)的開展和拓展,在這個(gè)框架的每個(gè)部分都 必須貫穿為IDC業(yè)務(wù)開展服務(wù)的宗旨。 本章將從托管服務(wù),網(wǎng)絡(luò)安全,Internet連接,內(nèi)容交換,內(nèi)容傳送,后臺(tái)連接和網(wǎng) 絡(luò)管理等方面具體闡述IDC網(wǎng)絡(luò)解決方案對(duì)IDC業(yè)務(wù)的針對(duì)性設(shè)計(jì)。 托管服務(wù) IDC的基本業(yè)務(wù)包括網(wǎng)站托管(Web hosting)和主機(jī)托管(Co- location)兩大類。其中網(wǎng)站托管分為共享式和獨(dú)享式兩種。由于其業(yè)務(wù)模式的不同, 使得其在對(duì)網(wǎng)絡(luò)設(shè)計(jì)時(shí)的要求也不相同。以下分別給出基于兩種不同模式時(shí)的網(wǎng)絡(luò)全貌 。 [pic] 1 基于主機(jī)托管的IDC網(wǎng)絡(luò)全貌 主機(jī)托管是IDC初期為其用戶提供的一種基礎(chǔ)服務(wù)。網(wǎng)站及企業(yè)用戶自身擁有若干服 務(wù)器,并把它放置在IDC的機(jī)房里,由客戶自己進(jìn)行維護(hù)。 主機(jī)托管業(yè)務(wù)的特點(diǎn):投資降低,用戶可使用已購買的服務(wù)器等設(shè)備,無需再作設(shè)備 投資,并且可采用IDC提供的線路。 該業(yè)務(wù)適合于自身有較強(qiáng)的網(wǎng)絡(luò)運(yùn)行維護(hù)經(jīng)驗(yàn)并在數(shù)據(jù)中心建立之前已投入人力物力 建設(shè)了網(wǎng)站設(shè)備的大型企業(yè)用戶。如著名的Yahoo、eBay、Amazon。com都采用了主機(jī)托 管業(yè)務(wù)。 提供主機(jī)托管業(yè)務(wù)的IDC向其用戶提供的業(yè)務(wù)主要包括與Internet網(wǎng)的連接以及提供 獨(dú)立安全的場地,這樣對(duì)于IDC而言在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮提高網(wǎng)絡(luò)連接的速度及可 靠性,從而為用戶提供高質(zhì)量的服務(wù)。 對(duì)主機(jī)托管業(yè)務(wù),IDC可為客戶提供n x 100M或者千兆獨(dú)占帶寬的電信級(jí)專業(yè)機(jī)房租用服務(wù),包括 o 隨時(shí)可擴(kuò)充的獨(dú)占帶寬 o UPS不間斷電源保障 o 24小時(shí)實(shí)時(shí)攝像監(jiān)控 o 電源控制系統(tǒng) o 保安系統(tǒng) o 消防系統(tǒng) 以及可選的機(jī)柜出租: o 標(biāo)準(zhǔn)電信級(jí)機(jī)柜:高2M、深1M或1。2米、寬19英寸 o 每臺(tái)機(jī)柜提供獨(dú)立電源控制 o 高速以太網(wǎng)接口 o 獨(dú)立風(fēng)扇設(shè)備 基于主機(jī)托管業(yè)務(wù)IDC的網(wǎng)絡(luò)全貌如下圖所示,網(wǎng)絡(luò)分為Internet連接層、核心層和 服務(wù)器接入層。 [pic] 在提供主機(jī)托管服務(wù)給用戶時(shí),IDC服務(wù)提供商將負(fù)責(zé)提供Internet連接層、核心層 、分布層及服務(wù)器接入層的設(shè)備并保障其穩(wěn)定運(yùn)行。用戶則需要自己負(fù)責(zé)服務(wù)器以及包 含防火墻等在內(nèi)的內(nèi)部網(wǎng)絡(luò)。有關(guān)網(wǎng)絡(luò)各層的描述,請(qǐng)參見后續(xù)相應(yīng)章節(jié)。 2 基于網(wǎng)站托管的IDC網(wǎng)絡(luò)全貌 網(wǎng)站托管是IDC經(jīng)過發(fā)展后而開展的一項(xiàng)業(yè)務(wù)。用戶采用IDC提供的服務(wù)器來存放數(shù)據(jù) ,運(yùn)行軟件??傮w來講數(shù)據(jù)中心的硬件設(shè)備主要包括:服務(wù)器陣列、網(wǎng)絡(luò)設(shè)備(路由器 、交換機(jī))、機(jī)房控制設(shè)備、防火系統(tǒng)、備用電源、空調(diào)設(shè)施等。數(shù)據(jù)服務(wù)中心的建設(shè) 除了必須具有一定面積的機(jī)房和相當(dāng)數(shù)量的服務(wù)器外,還必須對(duì)運(yùn)維管理、安全系統(tǒng)、 監(jiān)控等設(shè)施、工具和專業(yè)服務(wù)進(jìn)行深入的考慮。 提供網(wǎng)站托管業(yè)務(wù)的IDC向其用戶提供的業(yè)務(wù)主要包括網(wǎng)絡(luò)設(shè)施及網(wǎng)站托管,這樣對(duì) 于IDC而言在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮以下要素: o 提高服務(wù)器及Web應(yīng)用的可訪問性,這需要網(wǎng)絡(luò)具有內(nèi)容識(shí)別(Content Aware)的功能 o 為方便租用主機(jī)的用戶易于控制及管理其主機(jī)內(nèi)容,提供相應(yīng)的管理平臺(tái)。 1 獨(dú)享式網(wǎng)站托管 IDC為用戶提供專用主機(jī),這更適合于具有復(fù)雜業(yè)務(wù)的站點(diǎn)。專用主機(jī)可以為這些關(guān) 鍵應(yīng)用提供高質(zhì)量、安全的服務(wù)。對(duì)于這種業(yè)務(wù)模型,用戶將其服務(wù)器包給了數(shù)據(jù)服務(wù) 中心經(jīng)營者,用戶不必?fù)碛杏?jì)算機(jī)、網(wǎng)絡(luò)方面的技術(shù)人員而享受數(shù)據(jù)服務(wù)中心所提供的 全套專業(yè)服務(wù)。 為了保證服務(wù)質(zhì)量,獲得相應(yīng)的高增值服務(wù)費(fèi)用,IDC服務(wù)經(jīng)營者通常與用戶制定SL A(Service Level Agreement)。運(yùn)營者遵照SLA上規(guī)定的條例保證服務(wù)的不間斷、丟包率、網(wǎng)絡(luò)響應(yīng)時(shí)間 。經(jīng)營者通過提供例如:平臺(tái)設(shè)計(jì)、服務(wù)監(jiān)控、服務(wù)品質(zhì)測試、網(wǎng)絡(luò)安全管理和緩存等 項(xiàng)增值服務(wù)加強(qiáng)市場競爭力。 對(duì)中小型網(wǎng)站而言,無論是從運(yùn)營維護(hù)的角度,還是對(duì)整體業(yè)務(wù)收入而言,與場地租 用的服務(wù)相比,獨(dú)享主機(jī)服務(wù)更能吸引IDC的經(jīng)營者。根據(jù)用戶需求的不同,我們可以定 義單機(jī),雙機(jī)集群或包括數(shù)據(jù)庫服務(wù)器的獨(dú)享主機(jī)服務(wù)包。其他作為獨(dú)享主機(jī)托管服務(wù) 的一部分還應(yīng)包括: o 電信級(jí)高品質(zhì)機(jī)房環(huán)境和設(shè)備 o 可靠的供電系統(tǒng) o 恒溫恒濕控制系統(tǒng) o 19英寸標(biāo)準(zhǔn)機(jī)架 o 10M/100M共享或獨(dú)占接口 o 獨(dú)立IP地址 o 服務(wù)器配置 o 服務(wù)器系統(tǒng)軟件安裝、調(diào)試 o 24×7網(wǎng)絡(luò)系統(tǒng)管理維護(hù)與技術(shù)支持 o 24小時(shí)實(shí)時(shí)的服務(wù)器運(yùn)行狀態(tài)、流量監(jiān)測 o 詳細(xì)的訪問統(tǒng)計(jì)報(bào)告 o 緊急狀況的處理 2 共享式網(wǎng)站托管 又可稱為虛擬主機(jī)業(yè)務(wù),是指在一種Internet的網(wǎng)站工作環(huán)境下,IDC的網(wǎng)絡(luò)服務(wù)器 可以容納許多相互獨(dú)立的多個(gè)網(wǎng)站和Email系統(tǒng),并且由IDC提供管理維護(hù)服務(wù)。而每一 位客戶可以有條件地訪問和控制服務(wù)器上的一小部分,從而用來構(gòu)建自己的網(wǎng)站。 虛擬主機(jī)依托于一臺(tái)服務(wù)器,多個(gè)網(wǎng)站可以在這臺(tái)服務(wù)器上共享資源(硬盤空間、處 理器以及內(nèi)存空間),單獨(dú)的一臺(tái)服務(wù)器上可以同時(shí)運(yùn)行多個(gè)虛擬主機(jī)。 虛擬主機(jī)是一種初級(jí)的網(wǎng)絡(luò)系統(tǒng)方案,其用途主要是容納一些中小型企業(yè)應(yīng)用以及靜 態(tài)網(wǎng)頁。在商業(yè)網(wǎng)站發(fā)展的早期階段,是系統(tǒng)采取的主要解決方案。其業(yè)務(wù)需求的前提 如下: o 建設(shè)網(wǎng)站系統(tǒng)需要高額的硬件費(fèi)用; o 缺乏維護(hù)這些系統(tǒng)的有經(jīng)驗(yàn)的專家; o 網(wǎng)站比較簡單; o 交互應(yīng)用程序較少; o 網(wǎng)絡(luò)帶寬的限制。 現(xiàn)在Internet上很多網(wǎng)站都采用虛擬主機(jī)系統(tǒng)方案。虛擬主機(jī)業(yè)務(wù)市場將會(huì)隨著這個(gè) 產(chǎn)業(yè)的發(fā)展而不斷調(diào)整與變化,不斷地滿足如小型企業(yè)、社會(huì)團(tuán)體以及其它僅需要一種 簡單的網(wǎng)頁系統(tǒng)的需求。但由于這種業(yè)務(wù)模式的技術(shù)難度不大,所需投資較小,競爭也 比較激烈,利潤也較低。 在IDC網(wǎng)絡(luò)建設(shè)初期,虛擬主機(jī)業(yè)務(wù)為服務(wù)提供商提供了巨大的市場機(jī)遇,而且它是 實(shí)施其他增值服務(wù)(例如應(yīng)用托管業(yè)務(wù))的基礎(chǔ)。 共享式網(wǎng)站托管是深受中、小企業(yè)歡迎的一個(gè)價(jià)廉物美的服務(wù),內(nèi)容包括: o 國際、國內(nèi)域名代理申請(qǐng) o URL域名解析 o FTP訪問及其密碼修改 o 斷點(diǎn)續(xù)傳支持 o CGI/Perl支持,專用CGI-BIN目錄 o Active X/VB Script支持 o JAVA Applet/Class支持 o 防火墻保護(hù) o 服務(wù)器24小時(shí)不間斷運(yùn)行 o WEB設(shè)計(jì)服務(wù) o WEB Counter計(jì)數(shù)器 o Banner廣告條 o 搜索引擎 o Email自動(dòng)轉(zhuǎn)發(fā)、回復(fù)及郵件列表支持 IDC可根據(jù)用戶對(duì)以上功能的選擇及對(duì)存儲(chǔ)空間的要求,定義成不同級(jí)別的服務(wù)包提 供給最終用戶。 在基于網(wǎng)站托管業(yè)務(wù)IDC的網(wǎng)絡(luò)全貌如下圖所示,網(wǎng)絡(luò)分為Internet連接層、核心層 、分布層、服務(wù)器接入及后臺(tái)管理平臺(tái)。 [pic] 在提供網(wǎng)站托管業(yè)務(wù)時(shí),IDC服務(wù)提供商需提供并管理所有各層的設(shè)備,對(duì)于IDC的用 戶是完全透明的,從而用戶可以專注于其業(yè)務(wù)而無需負(fù)責(zé)任何系統(tǒng)的管理。對(duì)于網(wǎng)絡(luò)結(jié) 構(gòu)中各層的詳細(xì)描述,請(qǐng)參見后續(xù)相應(yīng)章節(jié)。 網(wǎng)絡(luò)安全 [pic] 眾所周知,作為全球使用范圍最大的信息網(wǎng),Internet自身協(xié)議的開放性極大地方便 了各種計(jì)算機(jī)連網(wǎng),拓寬了共享資源。但是,由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問題的 忽視,以及在使用和管理上的無政府狀態(tài),逐漸使Internet自身的安全受到嚴(yán)重威脅, 與它有關(guān)的安全事故屢有發(fā)生。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在:拒絕服務(wù)、非授權(quán)訪問 、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽 等方面。這就要求我們對(duì)與Internet互連所帶來的安全性問題予以足夠重視。 IDC以Internet技術(shù)體系作為基礎(chǔ),主要特點(diǎn)是以TCP/IP為傳輸協(xié)議和以瀏覽器/WEB 為處理模式。所以我們?cè)贗DC的設(shè)計(jì)中必須充分重視安全問題,盡可能的減少安全漏洞。 此外,我們還應(yīng)該根據(jù)IDC的客戶需求提供不同的安全服務(wù),同時(shí)最大限度的保證IDC 網(wǎng)絡(luò)管理中心(NOC)自身的安全。 1 IDC的安全需求 我們把對(duì)于IDC的安全需求分為三類:分別是IDC基本服務(wù),IDC增值服務(wù),IDC NOC。 對(duì)于IDC基本服務(wù)的安全需求如下: o AAA服務(wù),提供認(rèn)證,授權(quán)及審計(jì)的功能 o 防Dos 黑客攻擊功能 o 線速ACL功能 對(duì)于IDC 增值服務(wù)的安全需求如下: o AAA服務(wù),提供認(rèn)證,授權(quán)及審計(jì)的功能 o 防Dos 黑客攻擊功能 o 線速ACL功能 o 防火墻及防火墻平滑切換功能 o 入侵檢測功能 o 漏洞檢測功能 o 線速NAT 對(duì)于 IDC NOC的安全需求如下: o AAA服務(wù),提供認(rèn)證,授權(quán)及審計(jì)的功能 o 防Dos 黑客攻擊功能 o 線速ACL功能 o 防火墻及防火墻平滑切換功能 o 入侵檢測功能 o 漏洞檢測功能 o 線速NAT o ACL的策略管理 o 安全元件的策略管理 o VPN 1 AAA服務(wù) 所謂AAA是(Authentication、Authorization、Accounting)的縮寫,即認(rèn)證、授權(quán) 、記帳功能,簡單的說: 認(rèn)證:用戶身份的確認(rèn),確定允許哪些用戶登錄,對(duì)用戶的身份的校驗(yàn)。 授權(quán):當(dāng)用戶登錄后允許該用戶可以干什么,執(zhí)行哪些操作的授權(quán)。 記帳:記錄用戶登錄后干了些什么。 AAA功能的實(shí)施需要兩部分的配合:支持AAA的網(wǎng)絡(luò)設(shè)備、AAA服務(wù)器。RADIUS/TACAC S+是實(shí)施AAA常用的協(xié)議,認(rèn)證軟件需要有完整的記帳功能,并且可以將USER 信息直接導(dǎo)入軟件的用戶數(shù)據(jù)庫,極大方便的AAA服務(wù)的用戶管理。 在使用AAA的功能后用戶通過網(wǎng)絡(luò)遠(yuǎn)程登錄到網(wǎng)絡(luò)設(shè)備上的基本過程如下: 用戶執(zhí)行遠(yuǎn)程登錄命令(例如:Telnet),網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。 用戶輸入口令后,網(wǎng)絡(luò)設(shè)備向AAA服務(wù)器查詢?cè)撚脩羰欠裼袡?quán)登錄。 AAA服務(wù)器檢索用戶數(shù)據(jù)庫,如果該用戶允許登錄則向網(wǎng)絡(luò)設(shè)備返回PERMIT信息和該 用戶在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時(shí)將用戶登錄的時(shí)間、IP作詳細(xì)記錄;若不能在用 戶數(shù)據(jù)庫中檢索到該用戶的信息則返回DENY信息,并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送SN MP的警告消息。 當(dāng)網(wǎng)絡(luò)設(shè)備得到AAA的應(yīng)答后,可以根據(jù)應(yīng)答的內(nèi)容作出相應(yīng)的操作,如果應(yīng)答為DE NY則關(guān)閉掉當(dāng)前的SESSION進(jìn)程;如果為PERMIT則根據(jù)AAA服務(wù)器返回的用戶權(quán)限為該用 戶開啟SESSION進(jìn)程,并將用戶所執(zhí)行的操作向AAA服務(wù)器進(jìn)行報(bào)告。 通過AAA的實(shí)施我們可以方便的控制網(wǎng)絡(luò)設(shè)備的安全性,同時(shí)結(jié)合ACL的設(shè)置限制能夠 進(jìn)行遠(yuǎn)程登錄的工作站的數(shù)量、IP地址降低網(wǎng)絡(luò)設(shè)備受到攻擊的可能性。 2 防DoS黑客攻擊 在拒絕服務(wù)(DoS)攻擊中,惡意用戶向服務(wù)器發(fā)送多個(gè)認(rèn)證請(qǐng)求,使其滿負(fù)載,并 且所有請(qǐng)求的返回地址都是偽造的。當(dāng)服務(wù)器企圖將認(rèn)證結(jié)果返回給用戶時(shí),它將無法 找到這些用戶。在這種情況下,服務(wù)器只好等待,有時(shí)甚至?xí)却?分鐘才能關(guān)閉此次連 接。當(dāng)服務(wù)器關(guān)閉連接之后,攻擊者又發(fā)送新的一批虛假請(qǐng)求,以上過程又重復(fù)發(fā)生, 直到服務(wù)器因過載而拒絕提供服務(wù)。 分布式拒絕服務(wù)(DDOS)把DoS又向前發(fā)展了一步。DoS攻擊需要攻擊者手工操作,而 DDOS則將這種攻擊行為自動(dòng)化。與其他分布式概念類似,分布式拒絕服務(wù)可以方便地協(xié) 調(diào)從多臺(tái)計(jì)算機(jī)上啟動(dòng)的進(jìn)程。在這種情況下,就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò),并 使其因過載而崩潰。 [pic] DDOS工作的基本概念如圖所示。停╟lient)在不同的主機(jī)(handler)上安裝大 量的DoS服務(wù)程序,它們等待來自中央客戶端(client)的命令,中央客戶端隨后通知全 體受控服務(wù)程序(agent),并指示它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請(qǐng)求。 該工具將攻擊一個(gè)目標(biāo)的任務(wù)分配給所有可能的DoS服務(wù)程序,這就是它被叫做分布式D oS的原因。 實(shí)際的攻擊并不僅僅是簡單地發(fā)送海量信息,而是采用DDOS的變種工具,這些工具可 以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強(qiáng)大或者使追蹤攻擊者變得更困難。首先,現(xiàn)在的DD OS工具基本上都可以偽裝源地址。它們發(fā)送原始的IP包(raw IP packet),由于Internet協(xié)議本身的缺陷,IP包中包括的源地址是可以偽裝的,這也是 追蹤DDOS攻擊者很困難的主要原因。其次,DDOS也可以利用協(xié)議的缺陷,例如,它可以 通過SYN打開半開的TCP連接,這是一個(gè)很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊 力更強(qiáng),DDOS通常會(huì)利用任何一種通過發(fā)送單獨(dú)的數(shù)據(jù)包就...
吉通上海公司IDC方案項(xiàng)目建議書
[下載聲明]
1.本站的所有資料均為資料作者提供和網(wǎng)友推薦收集整理而來,僅供學(xué)習(xí)和研究交流使用。如有侵犯到您版權(quán)的,請(qǐng)來電指出,本站將立即改正。電話:010-82593357。
2、訪問管理資源網(wǎng)的用戶必須明白,本站對(duì)提供下載的學(xué)習(xí)資料等不擁有任何權(quán)利,版權(quán)歸該下載資源的合法擁有者所有。
3、本站保證站內(nèi)提供的所有可下載資源都是按“原樣”提供,本站未做過任何改動(dòng);但本網(wǎng)站不保證本站提供的下載資源的準(zhǔn)確性、安全性和完整性;同時(shí)本網(wǎng)站也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的損失或傷害。
4、未經(jīng)本網(wǎng)站的明確許可,任何人不得大量鏈接本站下載資源;不得復(fù)制或仿造本網(wǎng)站。本網(wǎng)站對(duì)其自行開發(fā)的或和他人共同開發(fā)的所有內(nèi)容、技術(shù)手段和服務(wù)擁有全部知識(shí)產(chǎn)權(quán),任何人不得侵害或破壞,也不得擅自使用。
我要上傳資料,請(qǐng)點(diǎn)我!
管理工具分類
ISO認(rèn)證課程講義管理表格合同大全法規(guī)條例營銷資料方案報(bào)告說明標(biāo)準(zhǔn)管理戰(zhàn)略商業(yè)計(jì)劃書市場分析戰(zhàn)略經(jīng)營策劃方案培訓(xùn)講義企業(yè)上市采購物流電子商務(wù)質(zhì)量管理企業(yè)名錄生產(chǎn)管理金融知識(shí)電子書客戶管理企業(yè)文化報(bào)告論文項(xiàng)目管理財(cái)務(wù)資料固定資產(chǎn)人力資源管理制度工作分析績效考核資料面試招聘人才測評(píng)崗位管理職業(yè)規(guī)劃KPI績效指標(biāo)勞資關(guān)系薪酬激勵(lì)人力資源案例人事表格考勤管理人事制度薪資表格薪資制度招聘面試表格崗位分析員工管理薪酬管理績效管理入職指引薪酬設(shè)計(jì)績效管理績效管理培訓(xùn)績效管理方案平衡計(jì)分卡績效評(píng)估績效考核表格人力資源規(guī)劃安全管理制度經(jīng)營管理制度組織機(jī)構(gòu)管理辦公總務(wù)管理財(cái)務(wù)管理制度質(zhì)量管理制度會(huì)計(jì)管理制度代理連鎖制度銷售管理制度倉庫管理制度CI管理制度廣告策劃制度工程管理制度采購管理制度生產(chǎn)管理制度進(jìn)出口制度考勤管理制度人事管理制度員工福利制度咨詢?cè)\斷制度信息管理制度員工培訓(xùn)制度辦公室制度人力資源管理企業(yè)培訓(xùn)績效考核其它
精品推薦
下載排行
- 1社會(huì)保障基礎(chǔ)知識(shí)(ppt) 16695
- 2安全生產(chǎn)事故案例分析(ppt 16695
- 3行政專員崗位職責(zé) 16695
- 4品管部崗位職責(zé)與任職要求 16695
- 5員工守則 16695
- 6軟件驗(yàn)收?qǐng)?bào)告 16695
- 7問卷調(diào)查表(范例) 16695
- 8工資發(fā)放明細(xì)表 16695
- 9文件簽收單 16695
- 10跟我學(xué)禮儀 16695