radwareidc方案建议书

radwareidc方案建议书内容摘要：

报 告 许多国际 IDC 的经营者已经在亚太或全球建立多个 IDC，希望将他们的 IDC服务范围扩展到中国并逐步开始将运营重点转移到中国大陆地区，希望电信运营商能满足共同提供 IDC 服务的要求。 可考虑在 IDC 中划分 VIP 区，放置相应的网络设备或主机为他们的客户提供全球统一的服务。 216。 机房出租：此项经营方式参考国内客户。 216。 机房互换：与国外运行商进行对等机房互换，以为国内客户提供全球性服务。 216。 互换项目：相同的机房面积 /数量相同的 IP 地址 /相同速率的端口 /相同的机架个数 . 4 IDC 系统设计原则 鉴 于 IDC 网络系统整个工程中重要性，网络系统设计必须既适应当前应用考虑，又面向未来信息化发展需求。 在设计网络技术方案时，遵循以下设计原则： 实用性和先进性 采用先进成熟的技术满足当前的业务需求，兼顾其他相关的业务需求，尽可能采用先进的网络技术以适应更高的数据、多媒体信息的传输需要，使整个系统在一段时期内保持技术的先进，并具有良好的发展潜力，以适应未来业务的发展和技术升级的需要。 安全可靠性 为保证将来的业务应用，网络必须具有高可靠性。 要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设 计和建设。 在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控和网络安全保密等技术措施提高网络系统的安全可靠性。 灵活性与可扩展性 网络系统是一个不断发展的系统，所以它必须具有良好的扩展性。 能够根据将来信息化的不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络各层次节点的功能。 具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。 开放性 /互连性 具备与多种协议计算机通信网络互连互通的特性，确保网络系统基础设施 的作用可以充分发挥。 在结构上真正实现开放，基于国际开放式标准，包括各种广域网、局域网、计算机及数据库协议，坚持全国统一规范的原则，从而为未来的业务发展奠定基础。 经济性 /投资保护 应以较高的性能价格比构建网络系统，使资金的产出投入比达到最大值。 能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。 尽可能保留并延长已有系统的投资，充分利用以往在资金与技术方面的投入。 可管理性 在 IDC 环境中 WWW 服务器以及路由器等设备是委托管理的，所以对设备的远程管理便非常重要。 由于系统本身具有一 定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。 所以在网络的设计中，必须建立一个全面的网络管理解决方案。 网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的分布式管理。 最终能够实现监控、监测整个网络的运行状况，合理分配网络资源、动态配置网络负载，可以迅速确定网络故障等。 5 Radware IDC 网络方案设计思路 为了便于 IDC 网络系统的设计实施以及扩充， Radware 建议 IDC 网络系统采用分层设计的思路，整个 IDC 网络从逻辑上可以分为以下三个层次：网络基础构架层、系统 增值及安全防护服务层、应用系统层： ： 网络基础构架层主要是部署 L2/L3 设备，包含传统的路由器、交换机、集线器，主要用于构建 IDC 网络基础平台 . 网络基础构架层具体包括 Inter 接入层、核心交换层、分布层（服务器接入层）三部分。 Inter 接入层 作为 IDC 网络与公共 IP 骨干网络的接口， Inter 接入层提供了 IDC 与公共IP 网的桥梁，它的运行情况直接关系到 IDC 为其用户所提供的服务的质量。 整个 IDC 内部网络通过两条 100 或 1000 兆光纤接入 Inter. 核心交换层 核心交换机通常采用 2台设备，保证系统的高性能和高可靠性以及可扩展性。 核心交换机采用双电源和双管理引擎，保证设备的高可靠性。 核心交换机之间通过千兆以太网通道（ GEC）方式相互连接，保证系统的高可靠性和高性能。 核心交换机提供以下主要功能： 1. 汇接接入层的交换机 2. 通过 GE 连接 4/7 层交换设备 3. 连接分布层交换机 4. 提供第三层的路由功能，如 VLAN 间的路由 5. 通过与出口路由器交换路由信息实现全面的路由功能 6. 提供高性能的交换能力 7. 对路由协议的支持（ BGP， OSPF， RIP 等）等功能 8. 灵活的可 扩展能力 高性能的交换能力，智能化网络的功能，集成的防火墙功能，模块化的设计和丰富的模块类型都为网络的扩展提供了强大的灵活性。 分布层 分布层通常采用高密度 2 层交换机，提供机柜内信息点的接入。 分布层交换机通过 2 个 GB 以太网口分别连接 2 台核心交换机，从而实现高带宽和高可靠性的骨干连接，消除了单点故障。 交换式局域网部分形成了双星形结构，即有利于系统的扩展，也有利于运行维护工作。 在这一层将服务器分别根据服务的要求放置在不同的区域，从而为不同的用户提供为他们量身定做的服务。 IDC 服务器接入层主要划 分为主机托管区、虚拟主机区、存储区、测试区、网管区五部分。 系统增值及安全防护服务层 ： 系统增值服务主要是部署 L4/L7 设备，并利用这些设备提供如下系统增值服务：带宽管理服务、防火墙负载均衡服务、全球化服务器负载均衡服务、缓存服务器负载均衡服务、 SSL服务器加速服务、服务器负载均衡服务等。 主要目的是利用 L4/L7 设备在 IDC 网络基础平台之上提供智能化网络服务。 安全防护服务层主要是部署网络安全防护设备，如防护墙、 IDS 服务器等，结合 L4/L7 设备为 IDC 提供安全防护。 应用系统层： 主要是用户安全认证设备及应用软件，用于向用户提供完全透明的应用服务，从而使运营商由 IDC 应用向 ASP 应用发展。 6 Radware 网络方案设计总体架构 根据上述设计原则和设计思路，我们建议 IDC 网络系统总体架构可以分为以下几个部分： IDC Inter接入部分 IDC Inter 接入部分用于实现 IDC 与 INTERNET 的接入互连。 IDC增值服务及安全管理部分 网络增值服务部分用于实现对 IDC 提供网络增值服务，包括带宽管理服务、防火墙负载均衡服务、全球化服务器负载均衡服务、缓 存服务器负载均衡服务、SSL服务器加速服务、服务器负载均衡服务等。 网络安全管理部分用于实现对 IDC 内部网的安全性管理。 IDC核心骨干交换部分 千兆以太网主干部分用于构建 IDC 内部网络主干核心 IDC 接入部分 L2/L3 主干接入部分用于实现 IDC 内部网络主干核心的接入扇出，与千兆以太网主干部分一起构成 IDC 内部网络 L2/L3 基础架构。 IDC用户接入部分 IDC 用户接入部分用于实现将 IDC 的用户的接入到 IDC 的内部网络，根据用户接入方式的不同，可以将用户分为 2 种类型， 租用固定带宽服务的用户： 例如： Sohu， Sina，他们拥有自己的网络增值服务设备，例如：带宽管理服务、防火墙负载均衡服务、全球化服务器负载均衡服务、缓存服务器负载均衡服务、 SSL 服务器加速服务、服务器负载均衡服务等。 这类用户仅需要从 IDC 租用固定带宽的服务，以满足用户网络应用的需求。 租用 IDC 系统增值服务的用户： 这类用户通常是 IDC 的中小客户，由于投资限制，他们不会自己购买网络增值服务设备，但由于应用的需要，他们又需要使用网络增值服务设备，因此他们需要使用 IDC 提供的网络增值服务设备 ，但这些设备属于 IDC 拥有，用户需要租用 IDC 提供的这类增值服务。 7 Radware 网络方案设计说明 Radware IDC 网络总体方案设计 根据上述网络方案设计思路和网络方案设计总体架构， Radware 建议 IDC 网络方案设计如下图所示： 如图所示 , IDC 分为 VIP 区和增值服务区，对 VIP 区的用户 IDC 只提供高速的接入，对增值服务区的用户 IDC 在提供高速的接入的同时还提供网络增值服务。 Radware IDC网络增值服务说明 在增值服务区共采用了 8 台 Radware 的设备， 2 台 LinkProof、 2 台 FireProof、2 台 WSD 和 2 台 Certain T 100。 网络增值服务具体实现功能描述如下： 位于防火墙外部的 LinkProof 实现如下 3 个功能： 网络带宽管理： 利用 LinkProof 智能交换机可以实现 IDC 带宽管理（ BWM）服务， BWM 提供了强大的分级引擎，可以按照源和目标 IP 地址或者地址组、应用程序、端口、内容 /URL 和 cookies 对流量进行分级。 这使 IDC 可以根据上述参数对流量类型进行区分，并确定如何恰当地处理流量类型，从而对 IDC 内部的用户进行高效的带宽管理。 网络安全： LinkProof 还具有安全性防护功能， LinkProof 包含的应用安全模块可以保护 IDC 内部服务器免受 1200 多种攻击信号的攻击。 此模块的设计使 Radware 的智能应用交换机可以作为 IDC 内部的各种资源前面的另一道防线，这些资源包括服务器、防火墙、 cache 服务器或者路由器。 此模块使用网络信息和基于信息的应用，通过终止所跟踪的可疑会话来实时检测和阻止攻击，包括在大吞吐量情况下防止 DoS 攻击的 DoS Shield 模块。 防火 墙负载均衡： 提供增强的安全保障是 IDC 内部网络安全性控制的关键，为了避免由于引入防火墙设备而给网络出口造成瓶颈，建议 IDC 采用 Radware 防火墙负载均衡网络增值解决方案。 具体可以设计是： 2 台 LinProof 智能交换机和 2 台 FireProof智能应用交换机，分别放置在多台防火墙设备两端，从而实现多台防火墙的同时工作以及负载均衡。 位于防火墙内部的 FireProof 实现如下 2 个功能： 防火墙负载均衡： 与位于位于防火墙外部 2台 LinProof智能交换机配合实现多台防火墙的同时工作以及 负载均衡。 入侵检测（ IDS）负载均衡： 利用 FireProof可以对 IDS进行负载均衡，使用 FireProof能够配置多个 IDS，能够让不同网络段中的 IDS 对其它网络段中的流量进行“监听”。 WSD 实现如下 2 个功能： 服务器负载均衡： WSD 执行复杂的负载均衡算法，可以针对 IDC 内部的服务器群动态分配负载。 这些算法包括循环、最少用户数、最小流量、 Native Windows NT 以及定制代理支持。 除了这些算法， WSD 还可以为每个服务器分配一个可以配置的 性能加权，从而提高服务器组的性能。 WSD 根据 IP 地址、应用类型和内容类决定流量分配。 应用交换支持不同协议上的各种应用，包括 TCP、 UDP、 IP、 Tel、Rshell、 TFTP、流、被动 FTP、 HTTP、 、 DNS、 VOIP 等等。 SSL 加速功能： 与 CertainT 100 SSL 加速服务器配合 , 针对拥有电子商务业务的用户， IDC可以提供给用户电子商务加速服务。 利用 WSD 交换机可以使 Web 服务器摆脱密集型处理的 SSL密钥交换和加密 /解密功能。 CertainT 100 实现如下功能： SSL 加速功能：一个 CertainT 100 设备每秒能够处理 600 至 1600 个 SSL会话，是一个 HTTPS 服务器所能处理的事务的 5 到 250 倍。 CertainT 为应用处理释放了服务器资源，并且使服务器的投资发挥最大效益。 与 WSD 共同使用，可以为 SSL加速服务提供无限的扩展能力。 8 IDC 网管系统建议 IDC网络管理物理拓扑连接建议 在网络系统中对网络设备的管理根据网管数据对网络带宽的使用情况的不同可以分为两大类： 带内管理： 网络管理的数据流量 与用户的传输数据在同一个网络系统内传输。 采用这种方式不需要为网管系统单独建立一套独立的网络但会造成网管数据与用户数据竞争网络传输资源。 带外管理： 对设备的管理采用一套相对独立的网络系统。 采用这种方式会不造成网管数据与用户数据竞争网络传输资源。 针对 IDC 网络环境， Radware 建议采用带外管理的方式，即将 Radware 交换机的空闲端口连接在独立于 IDC 业务的网络，对 Radware 智能交换机进行管理。 Radware设备管理简介 所有 Radware 应用交换机的设备管理方式相同。 下面 以 LinkProof 为例作简单说明。 针对智能交换机 LinkProof，网络管理人员可利用如下方式对其进行管理： n SNMP 网络管理系统 n Configware n Configware Insite n 标准的网络浏览器 n 使用 Tel 命令 n CLI 命令行控制方式 n SSH 管理手段 SNMP 网络管理系统 Radware 提供标准 MIB 库和扩展 MIB 库，这样就可以通过标准的网管平台来进行设备的管理，为了方便管理， Radware 的 Configware 开发除了。