此外,还有一些基于群集(Cluster)技术的软件解决方案来保证WWW服务的高可用性。它的通用做法是通过在操作系统的基础上安装操作系统厂商的群集软件或第三方的群集软件(绝大多数支持WWW服务的群集),例如Microsoft Cluster Server、Turbo linux、Cluster Server等,来做到应用级的互为备份或负载平衡。互为备份(Active/Standby)方式下,其中一台服务器缺省处于活动状态(Active/PRimary),而另一台处于睡眠状态(Standby/Backup),当主服务器系统死机或应用不能正常服务时,备份服务器会自动变成活动状态,从而接管原主服务器的任务,保证应用能够继续服务。负载平衡方式下,可以有多台服务器,每一个服务器都承担一定的应用。它们之间即可以互为备份,也可以有专门一台备份服务器,它在群集正常时不承担任何任务,但是当群集中的某一台服务器发生故障时,它会自动激活,从而接管故障服务器的任务。但是,它也存在以下缺点:安装、配置复杂,难于维护和治理;群集软件与服务器的硬件平台和操作系统密切相关,不能做到设备无关性和无缝升级;实现负载平衡的算法简单,一般是根据轮询(Round Robin),有些WWW群集软件可支持设定权重(Weighting)算法,但权重(weighting)是人为设定,并不能客观反映每一台服务器的HTTP请求响应能力以及当前负载情况;与硬件实现方案(Layer4的负载平衡交换设备)比较起来,性能较低,另外支持的Web Site的规模较小(WWW服务器最多可以到16台);不能实现HTTPS等非凡应用的负载平衡(这是因为在HTTPS应用中,客户端和服务器端要进行身份验证、交换证书和密钥,所以客户端和服务器端应一一对应,同一客户的请求应由同一台服务器来处理)。当然更为重要的一点是,作为数据中心的托管用户,他们往往不希望数据中心服务提供商在他们的服务器上安装任何软件!
正因为上述的解决方案存在这样或那样的问题,因此,随着Internet技术的发展,出现了基于应用、甚至基于内容的负载平衡设备,即我们通常所说的第四层、第七层智能负载平衡设备。它们通过硬件技术或专用的ASIC芯片来实现WWW等应用服务器的负载均衡和高可用性解决方案。通过这种技术可以提高WWW服务器的整体处理能力,并提高整个服务器系统的可靠性、可用性、可维护性、可扩展性,保证WWW服务质量的QOS,提供基于URL、基于内容的交换(当采用第七层负载平衡设备时),最终用一组低处理能力、低实现成本的主机提供大规模、高性能、可扩展的WWW服务。
以下是关于采用第四层负载平衡设备实现WWW服务的负载平衡的一般介绍:在第四层负载平衡设备上设置WWW服务的虚拟ip地址(Virtual IP Address),这个虚拟IP地址是DNS服务器中解析到的WWW服务器的IP地址,对客户端是可见的。当客户访问此WWW应用时,客户端的HTTP请求会先被第四层负载平衡设备接收到,它会基于第四层交换技术实时检测后台WWW服务器的负载,根据设定的算法进行快速交换,交给当前最可用、负载最轻的服务器来处理。常见的算法有以下几种:轮询(Round Robin)、权重(Weighting)、最少连接(Least connection)、随机(Random)、响应时间(Response Time)等。通过这种技术可将大量的、并发性的用户请求分配到多个服务器来处理,从而降低单个服务器的负载,避免服务器的死机或响应延迟过大!另外,这种负载平衡设备还可以几乎实时地检测到后台服务器的硬件、操作系统、网络甚至应用级别的状态,从而避免客户的请求被失效的服务器处理。
5.2应用负载均衡
第七层应用负载平衡设备是近一、两年才出现的最新技术,它主要用于实现WWW应用的负载平衡和服务质量保证。它与第四层负载平衡设备比较起来:第七层负载平衡设备不仅能检查TCP/IP数据包的TCP、UDP端口号(Transportation Layer),从而转发给后台的某一个服务器来处理,而且它能从会话层(session Layer)以上来分析HTTP请求的URL,根据URL的不同将不同的HTTP请求交给不同的服务器来处理(可以具体到某一类文件,甚至某一个文件),甚至同一个URL请求可以让多个服务器来响应以分担负载(当客户访问某一个URL,发起HTTP请求时,它实际上要与服务器建立多个会话连接,得到多个对象-Object,例如。txt/。gif/。jpg文档,当这些对象都下载到本地后,才组成一个完整的页面)。
5.3跨地域负载均衡
前面讲述的都是关于如何在本地局域网实现WWW等应用服务器的负载平衡,那么如何实现应用服务器的广域网上的负载平衡,从而保证应用的冗灾备份,以及如何有效的根据客户的地域分布、广域网络的连通状态或延迟时间来将客户定向到他们最适合访问的站点呢?这些都涉及到广域网的负载平衡技术(Global Server Load Balance),常见的广域网负载平衡产品都是基于DNS重定向原理来实现的,即当客户访问某一个网站时,例如www。mysite。com时,客户的关于这个网站的DNS域名解析请求会被这个广域网的负载平衡设备来处理,而这个广域网的负载平衡设备会基于客户端的IP地址范围、客户端与各节点的网络延迟、各节点的状态及负载等参数,然后根据一定的算法来判定那个节点最适合用户访问,从而将这个节点的IP地址或VIP地址返回给客户。常见的广域网负载平衡算法有:轮询(Round-Robin)、加权轮询(Weighted Round-Robin)、随机(Random)、最少连接数(Least Connection)、最低CPU利用率(Lowest CPU Utilization)、HTTP重定向(HTTP Redirection)等。
5.4Cookie和SSL会话的连接锁定
为了使得一个电子商务的事务成功,客户必须被锁定到指定的服务器上直到事务完成。保持到一个服务器持续的连接,称为“锁定”,这是任何创造利润的电子商务WEB站点的要害。
Web交换机可以读到分布在多个包中的Cookie并有能力识别一个Cookie。Cookie可以由Web交换机内部产生或在服务器上产生。一旦Cookie被设定,用户的浏览器就被透明地刷新。可以产生Cookie对电子商务站点基于Cookie使流量具有优先级是有益的。假如进入一个请求并且提供了一个Cookie,用户的优先级字段就会决定那个服务器群接受请求。假如没有提供Cookie,请求要么被送到认证服务器,要么交换机内部产生一个新的Cookie。这个请求就有一个有优先级设置的Cookie,这个优先级会把用户定向到合适得服务器群。
保护基于Web的商务的最常用的方法就是使用流行的SSL(Secure Socket Layer)协议。SSL是端到端的加密机制,是当今Web商务加密的主要方法。
基于SSL会话ID维持持续性优化了电子商务的商务完整性,保证了安全和性能的均衡。在一个安全的事务中,Web交换机维持从用户Cookie(购物)到SSL会话ID(结帐)的转化。这一点很要害,因为Cookie处于为进行SSL事务而加密的HTTP头部,所以维持锁定连的Web交换机不能读到。用户浏览器与服务器之间开始的SSL Hello消息含有一个空的会话ID字段(假如要建立一个新的SSL会话)或上一次客户使用得SSL会话。但是,这并不是下面的电子事务使用的SSL会话ID。作为客户Hello消息的响应,服务器挑选一个新的会话ID并把自己的带有会话ID的Hello发回到客户端。CSS交换机在服务器的Hello中检测到这个新的SSL会话ID并把请求路由到这一时刻最合适的服务器。后续的有这个会话ID的请求都将被转到同一台服务器。
为了优化资源,当一个会话在一个定义的时间段处于休止状态后,Web服务器会终止这个会话。当几分钟没有操作后,服务器会做超时处理,释放这个会话ID。当用户发送一个新的请求时,服务器把它作为一个新用户处理,会建立一个新的会话。假如用户填了一个很长的表格,比如抵押申请或信用证实,那么所有刚填写的信息都会丢失,必须重新来过。
Web交换机解决方案为加密会话提供锁定连接,不仅提高了效率和用户满足度,也显著地减少了服务器上应用的压力。由于建立会话的握手会涉及交换公钥,会产生计算资源的最大的消耗。通过截取会话ID并透明地重建失败的会话,Web交换机除去了一个连接失败后为建立新会话而做的处理复杂的谈判任务。
6内容传送
6.1网络加速
Web Cache技术是把大多数经常被访问的内容存放的距客户更近从而提高了Web的访问速度。Web cache可以在企业的Internet接入处配置,在接入设备和ISP POP中骨干链路之间,或在ISP网络之间的边缘。
有许多的Web cache实现方法,包括代理、透明的以及反向代理cache。每一种技术的区别在于在Web服务器访问途径的什么地方配备和需要进行配置的多少。
Cache能力定义为一个对象可以被的潜力。Web Cache只能cache静态的内容,如gif、jpg和PDF等。有一些类型的Web的内容是不能被Cache的,比如动态的内容,包括CGI脚本、RealAudio、asp、加密的文件或与cookie有关的象shopping cards等。Internet专家证实,当今40~50%的Internet内容是动态的。Web Cache的效率是用最大cache命中率和最低可能的请求/响应延时来衡量的。Cache的命中率受一系列因素的影响,包括工作负载、内存和磁盘大小、内容老化算法等。
6.1.1 透明Caching
在透明代理Caching(Transparent Caching)环境中,Cache对于浏览器是透明的,浏览器不需要配置指向Cache。用户的请求经过网络设备路由到Cache,比如经过路由器上的策略过滤、远程的访问服务器或通过使用非凡用途的Web Cache前端设备,如Web交换机。
6.1.2 代理Cache
在代理Cache(Proxy Caching)环境中,每个Web浏览器都要配置代理Cache的IP地址,所有用户的请求都会转发到代理。当发起一个内容请求时,每个请求都会转到代理Cache的IP地址,不管是对动态或静态内容的请求。假如请求的内容已经在Cache中,那么Cache直接把内容发给客户;假如请求的内容不在Cache中,请求被送到服务器获取内容,一旦在服务器中找到了所需内容,Cache响应客户,且假如内容是可Cache的,在Cache中复制一个copy。
代理Cache的主要的缺点是需要治理的,缺少集中控制,并且不能重新定向用户绕过当掉的Cache,而是送到“黑洞”中。
6.1.3 Cache集群
在一个位置配备多个Cache就是Cache集群(Cache Clustering)。Cache集群提供冗余,增加了Cache的性能合扩展能力。Cache集群可以通过把多个Cache连接到一个路由器、第4层交换机或Web交换机上来实现。Cache集群提供了冗余,在单个Cache失败时起到保护作用。非凡是代理Cache,对单一的Cache失败很敏感。假如一个网络中等Cache失败,所有的配置使用它的浏览器都会失去与Web的连接。集群是一个相对于配置后备Cache较好的解决方案,因为后者增加了代理Cache治理的复杂程度。
6.1.4 反向代理Cache
代理和透明的Cache是具有代表性的为优化穿越网络的所有Internet流量而配备的。反向代理Cache(Reverse Proxy Caching,RPC)则是典型的数据中心的扩展。反向代理Cache是Web服务器的代理,而不是客户的代理。事实上,反向代理Cache对网络来说象是真正的Web服务器,DNS解析RPC的IP地址而不是实际的服务器的IP地址。
Web交换机可以为不可Cache的HTTP请求或不可Cache的TCP请求(如SSL)旁路RPC。交换机旁路RPC,把最初的IP地址信息和包含在流头部的序列号发往服务器。服务器直接向客户答复,或转发到RPC的交换机。两种方法都不涉及Cache,它可以集中资源去服务可Cache的内容请求。
6.1.5 智能Cache旁路
动态内容,如电子商务的事务、股票交易、ASP以及CGI表单,是不能Cache到Cache服务器的,只有静态的内容是可以Cache的。可以Cache的静态的内容的例子就是gif、jpeg和pdf文件等。
代理、透明式和反向代理Web Cache把所有客户的请求都推向Cache服务器,这给以产生效益为目的想利用Web Cache强行把所有请求(不管内容)推向不能完成请求的服务器的站点造成了很大的问题。Web交换机具有完成智能Cache旁路(Intelligent Cache Bypass)的能力,假如是动态请求可以旁路代理、透明式或反向代理Cache服务器。当不可Cache的或动态的URL被指向Cache时,由于Cache需要判定这个请求的内容不可Cache,再从源服务器获取内容,然后再转发给客户,会造成明显的延时。在这种情况下,Cache基本上变成了瓶颈。Web交换机的智能Cache旁路能力除去了Cache的重新定向动态内容请求的负担,因此提高了性能。
6.2动态内容复制
Web交换机可以设置某些内容的负荷门限,当此内容的访问超过门限,交换机将动态复制热点内容到备份服务器,并重定向请求到备份服务器。由于Internet的流量具有很强的突发性,而且具有不可预见性,对于一些大型的网站,经常会由于这种突发性的大业务量造成服务器的拥塞,从而丢失很多交易量,但是假如增加服务器,又由于大多数时间没有利用到增加的服务器,造成资源利用率的降低。
由于Web交换机具有这种动态内容复制的能力,本方案为用户提供了一种灵活有效的方案,即由IDC来解决这个问题。Web交换机根据用户内容的访问量的大小,动态地扩展用户服务器的能力,当Web交换机发现某些申请了这项服务的用户的某些内容的访问量达到一定的门限时,交换机将动态复制热点内容到溢出备份服务器,当发现这些内容的访问量下降以后再将这些内容自动的删除掉。
7后台治理
在建设IDC时,可以按照分层的方式将整个网络平台划分为:核心层,分布层,接入层和后台网络。其中前三层主要承载用户的业务,而后台网络主要提供各种后台的治理功能。在IDC初期建设时,后台治理的重要性不显著,甚至很多规模较小的IDC在刚开始建设时,完全没有考虑到后台治理的问题,但是随着业务的迅速发展,后台网络的重要性逐渐被熟悉,因此目前比较成功的IDC,都有一个非常完善的后台治理系统。
本解决方案提供了完整的后台治理平台,对于每一个服务器通过两块网卡,一块连接到前台的接入层,为Internet用户提供服务,另一块连接到后台治理系统的接入交换机。在后台治理平台上,IDC建立网络治理控制中心完成对整个IDC的治理控制,IDC客户中心为IDC的客户提供设备治理平台,数据备份中心为用户提供数据备份。
通过后台治理系统,IDC能够为用户提供多种治理功能:备份,网络治理和客户中心服务。
7.1备份
在后台治理网络上可以通过设置专有的VLAN(Private VLAN)或者是普通的VLAN,以隔离不同用户的服务器。而需要由多个用户共享的资源和服务,则可以通过VLAN Trunk和全通口与各个需要共享资源的服务器通信。因此IDC能够根据用户的要求,由一台备份服务器为多个用户提供数据备份,也可以由一台备份服务器为单独的一个用户提供服务。
7.2网络治理
由于后台治理系统与前台的网络相互隔离,并且在本方案中对网络的安全性作了全面的考虑,例如利用防火墙将前后台隔离,配置入侵检测和漏洞检测系统,因此具有很好的安全性。同时由于后台网络不承担业务,带宽也相对充足,因此IDC都是通过后台来对服务器和网络设备进行治理。
7.3客户中心
由于客户将设备托管给IDC,用户对自己的设备需要定期的检查和治理。目前IDC能够为用户提供多种访问方式,其中IDC设置客户中心为用户提供访问平台,用户可以在客户服务中心访问自己的网络设备,与自己的服务器交换信息。
客户中心即可以是由多个用户共享,也可以是由一个客户专有,例如一些网上银行,他就需要在IDC拥有自己专有的治理平台,那么IDC就可以为这类用户提供专有的客户中心。
7.4数据更新
对于从事网上业务的公司,提供好的内容是业务成功的要害,因此IDC的用户会经常需要对内容进行更新和改进。在用户对服务器进行更新时,对数据的安全性通常会有较高的要求,因此简单的通过前台来更新服务器对于从事电子商务的网站是不适用的。所以通过客户中心,或者是通过公网从后台治理系统完成对服务器的更新和数据交换,是IDC通常采用的方法。远程数据更新的方案中提供全套的端到端的解决方法,包括:远程拨号;专线;IP加密(IP sec)VPN;MPLS VPN。
7.4.1 远程拨号
用户通过拨号的方式进入后台治理系统,对自己的服务器和数据库进行配置和更新,但是这种方式存在带宽的限制,所以当用户需要与服务器交换大量数据时,拨号方式就不太合适。
7.4.2 专线
在IDC设置路由器,通过常用的专线方式,如DDN,Frame Relay等方式提供用户访问自己的服务器。这种方式中需要对各个用户的数据流向进行控制,使他们只能访问他们自己的服务器,而不能访问其它用户的服务器。
7.4.3 IP加密 VPN
用户也可以通过专线的方式接入到公网,通过对IP数据包加密来保证用户数据的安全性,在IDC再对用户的IP包进行解密,然后用户进入自己的VLAN,访问自己的各个服务器。这种解决方案需要在IDC设置IP Sec的VPN网关。
7.4.4 MPLS VPN
MPLS VPN为用户提供了一种更加灵活有效的访问方式,用户可以通过公网平台上自己私有的MPLS VPN对自己的设备进行访问,而且其地址空间也可以是其自己的私有地址,由于地址空间是私有的,黑客几乎无法对其进行攻击。同时在MPLS VPN上通过流量控制机制能够为用户提供端到端的服务质量保证。
而且当将来需要向用户提供网络外包服务时,利用MPLS VPN与后台治理系统相结合,可以迅速向用户提供业务。
8网络治理
网络治理是IDC运行治理中的重要一环,它将覆盖所有网络元素的治理和控制。
8.1.1 网络拓扑治理
为对IDC网络进行系统化治理,治理员首先需要对全网的当前状态有一个准确、直观的了解。网络拓扑治理作为治理系统的一个重要组成部分可以满足治理员的以上需求。它应能帮助治理员自动生成网络的拓扑结构图和发现节点设备的分布状况,并且能对网络结构的变化进行动态跟踪和更新。
网管中心治理员首先利用自动发现治理进程,对其治理范畴内的全网络拓扑结构、联网节点设备以及应用服务器进行地址扫描。根据地址扫描的发现的结果,将在治理服务的治理数据库中生成全网的网络拓扑图。对已生成的全网网络拓扑图还将进行定期的检查,发现可能出现的拓扑改变,并对治理数据库中存储的拓扑图进行相应的更新。
8.1.2 故障治理
网络治理员在获得了最新网络拓扑结构图后,还需对全网的故障进行集中控管。网络故障治理利用了治理软件包中的功能。通过定义对全网的IP节点设备,通讯链路等多方面网络资源进行自动定期轮询检测,可发现节点设备的硬件故障和网络链路中断。还可以利用对SNMP Trap的支持,捕捉网络上传送的故障Trap信息。根据收集到的故障信息, 网络治理软件可以对所发现的网络异常状态进行跟踪,并在网管中心的图形化治理控制台上以多种方式向网络治理员报警。网络治理员通过察看治理控制台上的不同类型报警信息即可以迅速定位故障出现的准确位置和故障的严重等级。网络治理员还可以在治理控制台上直接启动设备治理工具察看出现故障的的网络节点设备当前的具体信息。
8.1.3 配置治理
IDC网络网络设备的配置治理在治理功能上分为设备参数的集中配置、对更改设备参数的操作审计和设备操作系统的集中版本治理。为保障全网参数配置的一致性和设备操作系统版本的统一,配置治理应由中心治理中心的网络治理员统一控制。网络治理软件为IDC网络治理员提供了配置治理工具。
利用网络治理软件对IDC网络设备参数进行集中配置和对网络设备的操作系统版本进行升级治理。并可对设备的网络配置文件进行配置校验和配置文件集中备份以及修改设备参数的审计。
网络治理软件不但能帮助网络治理员以图形化操作方式对全网设备进行集中的参数配置,还能保存所有网络设备的参数修改历史纪录:通过定期检查各网络设备的参数,治理工具可以发现所有对配置参数的更改,而不论配置参数是利用治理工具修改的还是利用命令行修改的。网络治理员在中心治理控制台上可以检索网络设备的所有参数修改纪录。
8.1.4 性能治理
网络治理解决方案中为IDC网络治理员提供了一组网络性能和IP电话服务质量的治理工具。
利用网络治理软件进行网络设备的广域网、局域网端口通讯流量统计,监控设备资源的可用率。还可以进行全网网络流量的历史数据统计,分析网络流量的长期趋势,帮助治理员进行网络容量规划,消除网络中的瓶颈。
利用网络治理软件进行全网节点设备任意两点间的响应时间检测和Delay,Jitter治理。
在网管中心治理员可以启动利用网络治理软件对全网的局域网和广域网性能进行直接监控。收集网络节点设备中SNMP、RMON和RMON2的性能治理信息,并以图形化方式为网络治理员显示所收集到的治理信息。
在网管中心治理员利用利用网络治理软件可以监控网络节点的服务质量,并以图形化方式显示网络通信的延时和抖动。治理员还可以对被监控的性能参数设定阈值,如检测到网络性能下降,参数超过了预先设定的阈值,IPM将自动向故障治理系统发送一条报警信息,提示治理员注重。
8.1.5 网络安全治理
有些网络治理软件还支持网络治理员分权机制,不同级别的登陆用户在治理系统中具有不同的治理权限。可以为网管系统定义多级的访问权限,在方便治理员操作的前提下保证只有经过授权的治理人员才能对网络进行治理操作,从而保证治理系统的最大安全性。
同时网络治理员也可以利用安全控管软件进一步加强网络整体包括网络治理系统的安全性。Radius服务器是常用的负责提供基于标准安全认证协议的用户登陆认证机制的设备。
9网络具体设计
9.1Internet 连接层
IDC的Internet连接层配置两台GSR,使用100BaseT或者1000Base高速连接到IP骨干网,并以全冗余方式与核心层互连。借助于这些高端路由器的高性能及丰富的特性,提供全冗余、高速、高性能网络核心。
9.2核心层
整个IDC网络的结构,必须具有很好的层次并具有很强的扩展能力,这就要求在设计上:
§ 各层次功能的简单化,以保证处理的高效和结构的简单。这就需要有核心层将分布层的数据汇集后连至Internet接入路由器
§ 网络扩展易于实现并且不能对现有业务产生影响,核心层的存在完全满足了这一点
鉴于对核心层的这些需求,配置两台高性能、大容量多层交换机Cisco Catalyst 6509,分别与Internet连接层两台高端路由器采用GE端口交叉连接。两台交换机之间用两条GE连接,采用千兆以太网通道(GEC)技术捆绑两个物理连接,形成一个负载均衡的逻辑连接。
9.3分布层&服务器接入层
9.3.1 Colocation的分布层&服务器接入层
在IDC的主机托管(Co-location)业务中,用户本身将负责所有与Web有关的网络设备(诸如Web交换机、防火墙等),其在网络方面的需求为高带宽的线路。
针对这种需求,分布层不需要为其提供高层交换能力,而是需要为其提供高速高性能的二、三层交换。这里采用Cisco Catalyst 3500交换机作为分布层设备以提供高性能。
在接入层所提供的高速的链路上,用户将根据需要构建自己的内部网络结构,可根据需要使用Web交换机以提供高层交换能力。
9.3.2 Web Hosting的分布层&服务器接入层
在服务器接入层,采用交换机Cisco Catalyst 3500将服务器与核心层连接起来,同时可以根据用户的需求,放置防火墙设备,Web交换机以及安全监控设备,从而为用户提供更高的安全保障和网络性能。
9.4后台治理平台
IDC的运营得成功与否,网络及业务的治理是很要害的一个因素,这包含了如下的方面:
§ 网络设备的治理
§ 网络流量的监控
§ 用户对其业务更新的手段
§ 用户数据的备份
§ 详尽的计费报告
§ ….
作为提供网络及业务治理的网络平台—后台治理平台,包含有:
§ IDC控制中心 (IDC的网络治理中心)
§ IDC客户中心 (用户对其服务器进行更新、维护)
§ 用户治理中心 (用户远程对其服务器进行更新、维护)
§ 动态业务复制区等 (用户数据的备份)
对IDC而言,安全性和易操作性是同时需要的。在这里采用了二级网络结构,第一级采用交换机Cisco Catalyst 2900将服务器接入后台治理平台网络,第二级采用两台大容量、高性能交换机Cisco Catalyst 6500将所有第一级的交换机汇聚。同时连接到各业务中心。在一期中先不选用Cisco Catalyst 6500,将来业务发展了再扩展。这种网络结构的优点是通过对Private VLAN的支持,能够简化网络设计,减少IP地址的浪费,同时又可以达到网络安全的要求:不同用户群可以享有同样的服务而相互之间完全独立。这样就使得业务的开展变得简单,诸如动态业务复制(用于备份IDC用户的数据)等。
在用户治理中心,配置Cisco Router 3640和VPN网关Cisco VPN 3000通过POTS/ISDN/DDN/VPN/…,提供用户远程数据更新,并保证安全性。
在后台治理平台与前台核心层之间放置单向防火墙,使得在收集网络流量数据的同时又保证了其安全性。
10IDC IP地址规划
10.1 IP地址分配原则
IP地址的规划在网络设计中的作用举足轻重。直接影响整个网络运行的效率。IP地址设计的总原则是简单、易治理、易扩展。下面先简单介绍IP地址规划的一般原则。
IP地址是TCP/IP协议族中的网络层逻辑地址,它被用来唯一地标识网络中的一个节点。IP地址空间的分配,要与网络层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。满足这些要求的IP地址分配技术有:可变长子网掩码技术(VLSM,Variable-Length Subnet Mask)和路由总结技术(Route Summarization)。
传统的方式,IP协议采用分层地址结构,它由4个字节(32位)组成,每个字节用三位十进制数(0~255)表示,每个字节之间用圆点号隔开,它包含两个部分:网络号和主机节点号。IP地址分为A、B、C、D、E五类,其中常用的是A、B、C三类,A类地址用前一个字节(8位)表示主网络号,这个字节的第一位为0,后三个字节(24位)表示主机号,如下所示:
0xxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxxA类地址
B类地址以前二字节(16位)表示网络号,以10开头,后二字节(16位)表示主机号,如下所示:
10xxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxxB类地址
C类地址以前三字节(24位)表示网络号,以110开头,后一字节(8位)表示主机号,如下所示:
110xxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx C类地址
IP地址的分配应遵循以下几个原则:
·唯一性:一个IP网络中不能有两个主机采用相同的IP地址
·简单性:地址分配应简单易于治理,降低网络扩展的复杂性,简化路由表的款项
·连续性:连续地址在层次结构网络中易于进行路由总结(Route Summarization),大大缩减路由表,提高路由算法的效率
·可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总结所需的连续性
·灵活性:地址分配应具有灵活性,可借助可变长子网掩码技术(VLSM,Variable-Length Subnet Mask),以满足多种路由策略的优化,充分利用地址空间
为了有效地利用地址空间,我们可以对IP地址进行子网划分,从地址的主机部分借取若干位作为子网号,剩余部分仍然表示主机号,举例如下:
xxxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx
网络号 子网号主机号
另外,为了灵活地在不同规模的子网中分配不同数量的IP地址,我们需要采用VLSM技术,它可根据需要在任意位划分子网边界,对一个主网络号,可分出最小只有2个主机号的子网,亦可划分出一个较大的子网,因此它很灵活,非凡是在广域网中,两台互联路由器接口只需2个主机号地址,VLSM非常有用,大大节约了地址空间,又保证了网络设计的灵活性。在进行地址分配时,一般先用一个定长的子网掩码将地址空间分成若干个相同规模的子网,再在每个子网中根据所需的子网数量和规模采用VLSM进行子网的细分。
采用VLSM时应注重下列三点:
·事先要有规划,避免子网重叠分配
·可能会造成对已有网络地址的重新设置
·新的网络必须仔细规划地址分配,有效利用IP地址和保证网络的扩展性
为缩减路由表的款项,提高路由的效率,路由总结(Route Summarization或Route Aggregation)是一个非常重要而有效的手段。分子网是将网络号向主机号部分扩展、即网络边界向右移的过程,而路由总结则是划分子网的逆过程,通过将子网的边界向左移的过程,可用一个较大的子网号来代表一组连续的子网,如下所示:这一叠合路径可代表16个连续的子网。
xxxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx
因此,路由总结又称为子网的集结或超级子网,它可得到缩小路由表,降低路由器内存的使用,并减少路由协议产生的网络数据流量。BGP中亦广泛使用的CIDR就是路由总结的一个具体应用。路由器支持自动或手工设置的路由总结。
10.2 网络地址转换
为了弥补IP地址的不足,大多数网络的IP地址分为两部分:一是具有全球连通性的IP地址---公网地址;二是只能在企业内部用的IP地址--私有地址。具有公网IP地址主机或路由器可以和INTERNET网上的任何节点相连。其地址是全球唯一的。具有私有地址的主机和路由器只能在企业内部通信,其地址仅在企业内部是唯一的。用这种地址是不可以访问INTERNET的。
业界提出了一种技术,使企业可以从私有地址迁移到全球地址空间,这种技术就是网络地址的转换(NAT)。
NAT技术使专用网络能够连接到INTERNET网上。NAT路由器或Web交换机放置在域的边界上,在向INTERENT网上发送数据包之前,它把私有地址转换为INTERNET上的公网地址。如下图所示,企业内部有一主机,其IP地址为10。0。0。1,该主机要访问INTERNET上的节点204。10。10。10,当IP数据包到达边界路由器时,路由器将IP地址转为公网的192。69。1。1,然后再送往目的地。
10.3 IDC IP地址规划建议
根据IDC的网络治理及应用需要,IDC的IP地址分为公网IP地址和私有IP地址两部分。公网IP地址由IDC向ISP或NIC申请,在申请IP地址时应充分考虑其扩展性。私有IP地址由IDC自行设计,应该使用Internet保留的IP地址网段。IDC用户的IP地址由IDC统一分配,IDC根据用户的不同需求分配公网IP地址或私有IP地址给用户的服务器。
在进行IDC的IP地址规划时,建议注重以下几点。
·网络设备的IP地址
见图,由于核心层交换机和Internet接入路由器为全网状连接,跟IDC各POP节点间的广域网连接一样,每组直连端口只需要两个IP地址,建议分配只有4个公网IP地址的子网,掩码为255。255。255。252。另外,建议每台网络设备设置Loop back端口,其IP地址用作该设备的网管地址。
·主机托管用户(Co-Location)的IP地址
按用户的服务需求分配IP地址。
简单的托管主机:不需要增值服务(如服务器的负载均衡等),连接在分布层交换机下面的服务器,(见图)建议每台服务器分配一个公网IP地址。
需要增值服务的托管主机:连接在分布层交换机Web交换机下面的服务器。建议分配给每台服务器一个私有的IP地址,通过Web交换机Web交换机作地址转换(NAT)。此类用户的多台服务器可以使用一个公网IP地址作为服务器群的虚拟IP地址,这样不但节省公网IP地址空间,也提高了网络安全性。还可以根据用户的需求提供不同的增值服务。
·站点托管用户(Web Hosting),应用托管用户(ASP)的IP地址
这类用户的服务器建议使用私有的IP地址,通过Web交换机作地址转换(NAT),多台服务器使用一个虚拟IP地址。不但节省IP地址空间也提高了网络安全性,还可以根据用户的需求提供不同的增值服务。当然,也可以为这些用户提供公网IP地址。
·后台治理区的IP
建议使用私有的IP地址,通过PIX防火墙作地址转换(NAT),对前台设备进行实时监控治理,另外Private VLAN技术可以简化网络设计;节省IP地址;并且满足网络安全要求。
11IDC路由协议选择
对于IDC网络,路由协议将直接影响网络性能。因此如何选择最优的路由协议,至关重要。
IDC网络路由结构分为3个部分:
·Internet出口路由策略
·IDC内部路由策略
·多个IDC PoP节点间路由策略
首先我们简单介绍几种路由协议:
11.1 IS-IS路由协议
IS-IS是一个链路状态路由协议,为了简化路由器的设计和操作,使网络的路由信息能快速收敛,是众多ISP所选用的路由协议。
IS-IS将网络路由分为Level1和Level2。Level1中的路由器只知道它所在AREA的路由信息;LEVEL2中的路由器知道去其它AREAS的路由信息。也就是说,所有L1的路由器形成了LEVEL1的AREAS,而所有L2的路由器形成了网络的骨干BACKBONE,用于传递LEVEL1 AREAS之间的路由信息。如下图所示。
ROUTER1和ROUTER4是LEVEL1的路由器,ROUTER2和ROUTER3是LEVEL1/2的路由器。
L1的路由器仅知道本AREA的路由,如ROUTER1知道去往ROUTER2的路由,但不知道去AREA2的路由;同样,ROUTER4仅知道AREA2内的路由,只知道去网ROUTER3的路由,而不知道如何去AREA1。
LEVEL1/2的路由器ROUTER2和ROUTER3形成了网络的骨干,他们知道所在AREA的路由信息,并将此AREA的路由信息广播道所有L1/2的路由器,即所有L1/2路由器知道全自治域的路由信息。在上图中,如ROUTER1收到要去往ROUTER4的数据包,ROUTER1发现自己的路由表内无此路由信息,就将数据包发往边界L1/2路由器ROUTER2,ROUTER2知道全自治域的路由信息,即知道去往路由器ROUTER4的路由信息,它将数据包送给ROUTER3。
因L1/2路由器相当L1路由器少的多。所以可以快速收敛网络的路由信息。
11.2 OSPF路由协议
80年代中期,由于RIP路由协议越来越不适应大规模异构网络互连。OSPF作为IETF(网间工程任务组织)为IP网络开发的一种IGP(内部网关协议)协议,克服了RIP路由协议的缺点。其采用SPF(Shortest Path First)算法,基于链路状态路由协议。OSPF路由协议有如下特点:
需要每台路由器向同域(Area)的所有其它路由器发送链路状态广播(LSA)信息。路由器收集有关的链路状态信息,并根据SPF的算法计算出到每个结点的最短路径。同域内的路由器共享相同的拓扑信息。
·路由选择的分级
与RIP路由协议不同,OSPF可在一个域(Area)内进行路由选择。域的最大集合是自治域(AS)。AS是共享同一路由选择策略的网络集合。
一个自治域AS可分为多个域(Area),域是由相邻的网络和连接的主机组成。
根据源点和目的地是否在同一域内,OSPF有两种类型的路由选择方式:
o 当源和目的在同一区域时,采用域内路由选择
o 当源和目的不在同区域时,采用域间路由选择
由于有域的概念,OSPF路由协议比那些不将AS分区的情况下所需传送的路由信息少得多。
·支持VLSM(Variable Length Subnet Mask)可变长度子网掩码技术
由于每个发布的目的地均包括IP子网的掩码,从而可利用子网掩码将IP网络分为不同大小的子网,这种方法可节省IP地址空间并给网络治理员治理带来灵活性。
§ 对带宽和CPU等资源消耗
这个SPF算法占用了CPU的资源,一般来说与运算量与网内链路数目与路由器数目乘积成正比。另外当SPF路由器通电,初始的链路状态包泛滥(Flooding)占用网络带宽,这些情况都是在网络设计中要考虑的。
11.3 静态路由协议
以上我们介绍的均为动态路由协议,当然还有另外一种路由协议便是静态路由协议。静态路由协议是由网络系统治理员人工定制的,需要制出一切所需的路由。其优点为不会产生动态路由所特有的路由信息广播或路由信息更新或HELLO从而不会在系统资源:内存、CPU、带宽等方面制成额外的开销。但其缺点为会给系统治理员的治理工作带来大量的工作,其次,由于路由是静态的因而不能适应网络的动态变化的需要而改变路由。
11.4 BGP4路由协议
BGP是用来在自治系统之间传递信息的路径向量协议。BGP把TCP当作它传送协议。这就保证了所用传输的可靠性。
11.5 Internet路由协议策略建议
Internet出口路由协议建议选用BGP4,Internet接入路由器(GSR)之间路由协议选用IBGP。
IDC的Internet出口是连接Internet、其它IDC和用户的窗口。为了保证与Internet连接的高可靠性,高性能。建议设置多个Internet出口。
在Internet出口的合作选择上建议考虑以下几点:
§ 选择规模较大的ISP
规模较大的ISP具有较多的分布节点、较高带宽及完善的服务,IDC应采用多个出口连接1个ISP,例如:可以通过两条链路同时连接到ChinaNet骨干,作为分流及备份。
§ 选择不同的ISP
建议IDC采用多个出口连接多个ISP,避免因为ISP的问题影响IDC的正常运行,同时提高用户访问响应速度。
在BGP4路由策略上,IDC只需要向外广播IDC内部BGP4信息;配置BGP4路由过滤。为了避免造成非对称路由的出现;需要据实际运行情况调整BGP4路径属性,人为的调整网络负载。在BGP4接收路由信息上,需要对不同的Peer对象来的路由信息通过BGP4 Community加以区分;针对不同的BGP4路由信息组,配置不同的路由策略,如:增加不同的路径属性,以达到出口的流量均衡。
11.6 IDC内部路由协议选择
IDC内部路由协议可以有多种选择,以下为几种方案建议。
方案1:选用OSPF路由协议
OSPF路由协议是国际标准的路由协议,路由收敛和恢复时间快,支持可变长子网掩码(VLSM),并且根据网络的稳定性可改变路由更新周期,减少因为路由更新产生的网络负载。
IDC网络设计中第三层网络设备数量一般不会太多,并且有高速第三层网络设备和局域网支持路由信息交换。为了简化网络设计和治理,建议只设OSPF Aera0,不分OSPF子域(Sub-Area)。核心路由器局域网端口,核心层交换机组成OSPF的Aera0。在核心路由器上作OSPF与BGP4路由协议间的转换。使BGP能学到OSPF的路由表,OSPF也能学到BGP的路由表。通过配置可以做到IDC全网的负载均衡和冗余备份。
方案2:选用EIGRP,同时配合静态/缺省路由协议
核心路由器局域网端口,核心层交换机选用EIGRP。核心层交换机与Web交换机Web交换机间的路由配置静态路由/缺省路由。
设计特点:EIGRP路由协议非凡适合这种平面结构的网络,它收敛速度快,占用CPU及Memory资源少,配置治理简单,并且支持非对称的链路的负载均衡。静态路由/缺省路由适合于小型和拓扑结构不经常改变的网络,它占用很少CPU和Memory资源,并且非常稳定。等值多链路协议(ECMP)实现分布层的Web交换机Web交换机上连链路的负载均衡,使其专注于内容的交换。
方案3:选用IS-IS路由协议,同时配合静态/缺省路由协议
核心路由器局域网端口,核心层交换机路由协议选用IS-IS,它们全部属于IS-IS Level1的一个区域,作为L1的路由器。核心层交换机与Web交换机Web交换机间的路由配置静态路由/缺省路由。
设计特点:IS-IS扩展性好,这可以使网络扩充更为轻易。IS-IS占用网络资源较小,路由收敛和恢复时间快,IS-IS采用较小的协议数据包承载路由信息,这使得路由信息繁衍速度更快。静态路由/缺省路由静态路由适合于小型和拓扑结构不经常改变的网络,它占用很少CPU和Memory资源,并且非常稳定。另外通过等值多链路协议(ECMP)实现分布层的Web交换机Web交换机上连链路的负载均衡。使其专注于内容的交换。
IDC可根据具体情况选择最适合自己的路由协议。进入讨论组讨论。