某市IDC网络改造的方案.docVIP

某市IDC网络改造的方案 　　摘要：本文对某市IDC 网络基础设施和结构存在的问题进行了分析，并提出了网络改进方案，最后总结了改进方案的实施效果。 　　关键词：IDC；网络改造；方案 　　中图分类号：TP31 文献标识码：A 文章编号：1674-7712 (2012) 10-0085-01 　　 　　河北网通某市IDC网络原由Internet互联/核心交换层和接入层构成。多年以来，IDC网络不断扩大规模、优化结构，先后经过三期扩容和改造，逐步建成了一个多层交换的大型LAN结构，接入层采用多台思科交换机，这些交换机作为纯二层交换机来使用，采用多条GE链路和核心交换机互连。IDC托管用户的主机与各个接入层交换机相连。 　　一、网络存在的问题 　　IDC网络规模逐渐从小到大，但是基本结构一直是端到端的Vlan分布结构，随着用户数量和业务流量的迅速增加，这种网络基础设施和结构已经不能满足业务稳定发展的要求。具体问题体现在以下方面： 　　（一）网络攻击频繁影响核心交换机性能。来自互联网的恶意攻击日益严重，原IDC网络对于DDOS攻击缺乏有效的防御措施和侦测手段。很难做到事先预防、事后及时排除。出现攻击后如果不及时采取措施，这样核心交换机就有大量的arp请求，导致7609CPU立即升高到99%。 　　来自IDC机房内部的病毒频繁发作，通过ARP欺骗手段干扰其它客户的正常通讯，是最普遍的一种攻击方式。它不仅造成其它用户通讯中断，而且7609的CPU升高，严重时还可能导致其它用户的帐号口令等保密信息被窃取。 　　路由器的CPU升高会直接影响IDC机房所有客户的出口时延及丢包率，甚至导致服务质量严重下降，客户纷纷投诉。 　　（二）带宽资源的浪费。全网共有几十个Vlan，在每台接入层交换机上可以看到全网大多数的Vlan。这样的结构导致同一Vlan内部的通讯往往需要穿过7609核心才能完成；此外，端到端的定义Vlan还使得接入交换机上联到7609核心的链路无法做Vlan修剪，大量的广播流量在整个网络中穿行无阻。这些都会浪费我们的设备处理能力以及宝贵的带宽资源。 　　（三）业务没有清晰分类，客户没有明确分级。现有客户没有进行分级分类，提供的是一种无差别的服务，重要的VIP用户享受不到特别的服务，与一般的用户完全等同。自有的平台业务与托管客户混接在一起，造成管理上的模糊。 　　（四）IP地址规划不合理。重要客户和一些散户同在一个网段，散户的安全性较差，容易感染病毒，进而影响到重要客户的服务质量。不同业务在同一网段，同一业务在不同网段，界面划分不清楚。 　　（五）网络管理手段不具备。该IDC网络客户数量较多，应用繁杂，流量巨大，已有20多个业务平台和几千台设备。管理如此规模的网络目前使用的还是免费的网管软件，功能仅仅包括端口的流量监控，和对主要设备CPU、MEMORY的监控等最基本的功能。处理问题还处于使用PC终端抓包分析，对于比较复杂的大流量的攻击没有定位的能力。 　　（六）增值服务能力不具备。该IDC机房改造前提供的服务仍旧停留在基本的人力资源投资上，对现在客户急需的网络安全增值服务以及各种专家级的技术支持上还很少。 　　二、改造方案 　　（一）核心层与汇聚层分离 　　改造方案的首要部分就是将Vlan的网关从7609核心下移到当时的接入交换机这一层级,将Vlan终结在这些接入交换机上。接入交换机与两台7609核心通过OSPF动态路由协议互相学习路由,在7609上不再设置Vlan网关，而是开启OSPF进程，并将OSPF重分发到BGP中。这样改造后，从托管用户的角度来看，从托管主机向外访问，网关应设为直连的45交换机，第二跳到达7609核心，第三跳到达省网GSR,虽然多了一跳，但是对交换机来说，时延是不用考虑的，所以对客户业务来说并无影响。 　　改造后的网络，不仅核心7609的CPU将不再受到攻击的影响，而且将会大大缩小故障影响范围，加快故障定位速度，相应地提高了我们的工作效率。 　　（二）自有平台与托管客户汇聚交换机分离，大客户与散户汇聚分离 　　网络优化的第二部分内容就是将客户分离，最重要的目的是将重要客户的受影响几率与范围尽可能降到最小。所以在网络采用三层下移时，即使采用较大容量的交换机也不能达到目的，也就是说新的汇聚层交换机容量不需太大，只要具备强大的包处理能力和高可靠性就可以。我们根据主机数量的不同，在每个楼层放置1－2台汇聚层交换机。这样改造后，可以针对业务的不同可在交换机上进行特殊的策略控制。 　　（三）IP地址适当调整 　　制定资源管理规范，按照资源分配原则，将部分的IP地址重新规划，并对处在一个较大的vlan中的客户按照客户分类重新调配IP地址资源，以保证自有平台与托管客户、重要客户与一般散户的IP地址段分离,逐步实现网络清晰、服务