摘要：本文對某市IDC 網(wǎng)絡(luò)基礎(chǔ)設(shè)施和結(jié)構(gòu)存在的問題進行了分析，并提出了網(wǎng)絡(luò)改進方案，最后總結(jié)了改進方案的實施效果。

關(guān)鍵詞：IDC；網(wǎng)絡(luò)改造；方案

中圖分類號：TP31 文獻標識碼：A 文章編號：1674-7712 (2012) 10-0085-01

河北網(wǎng)通某市IDC網(wǎng)絡(luò)原由Internet互聯(lián)/核心交換層和接入層構(gòu)成。多年以來，IDC網(wǎng)絡(luò)不斷擴大規(guī)模、優(yōu)化結(jié)構(gòu)，先后經(jīng)過三期擴容和改造，逐步建成了一個多層交換的大型LAN結(jié)構(gòu)，接入層采用多臺思科交換機，這些交換機作為純二層交換機來使用，采用多條GE鏈路和核心交換機互連。IDC托管用戶的主機與各個接入層交換機相連。

一、網(wǎng)絡(luò)存在的問題

IDC網(wǎng)絡(luò)規(guī)模逐漸從小到大，但是基本結(jié)構(gòu)一直是端到端的Vlan分布結(jié)構(gòu)，隨著用戶數(shù)量和業(yè)務(wù)流量的迅速增加，這種網(wǎng)絡(luò)基礎(chǔ)設(shè)施和結(jié)構(gòu)已經(jīng)不能滿足業(yè)務(wù)穩(wěn)定發(fā)展的要求。具體問題體現(xiàn)在以下方面：

（一）網(wǎng)絡(luò)攻擊頻繁影響核心交換機性能。來自互聯(lián)網(wǎng)的惡意攻擊日益嚴重，原IDC網(wǎng)絡(luò)對于DDOS攻擊缺乏有效的防御措施和偵測手段。很難做到事先預(yù)防、事后及時排除。出現(xiàn)攻擊后如果不及時采取措施，這樣核心交換機就有大量的arp請求，導(dǎo)致7609CPU立即升高到99%。

來自IDC機房內(nèi)部的病毒頻繁發(fā)作，通過ARP欺騙手段干擾其它客戶的正常通訊，是最普遍的一種攻擊方式。它不僅造成其它用戶通訊中斷，而且7609的CPU升高，嚴重時還可能導(dǎo)致其它用戶的帳號口令等保密信息被竊取。

路由器的CPU升高會直接影響IDC機房所有客戶的出口時延及丟包率，甚至導(dǎo)致服務(wù)質(zhì)量嚴重下降，客戶紛紛投訴。

（二）帶寬資源的浪費。全網(wǎng)共有幾十個Vlan，在每臺接入層交換機上可以看到全網(wǎng)大多數(shù)的Vlan。這樣的結(jié)構(gòu)導(dǎo)致同一Vlan內(nèi)部的通訊往往需要穿過7609核心才能完成；此外，端到端的定義Vlan還使得接入交換機上聯(lián)到7609核心的鏈路無法做Vlan修剪，大量的廣播流量在整個網(wǎng)絡(luò)中穿行無阻。這些都會浪費我們的設(shè)備處理能力以及寶貴的帶寬資源。

（三）業(yè)務(wù)沒有清晰分類，客戶沒有明確分級。現(xiàn)有客戶沒有進行分級分類，提供的是一種無差別的服務(wù)，重要的VIP用戶享受不到特別的服務(wù)，與一般的用戶完全等同。自有的平臺業(yè)務(wù)與托管客戶混接在一起，造成管理上的模糊。

（四）IP地址規(guī)劃不合理。重要客戶和一些散戶同在一個網(wǎng)段，散戶的安全性較差，容易感染病毒，進而影響到重要客戶的服務(wù)質(zhì)量。不同業(yè)務(wù)在同一網(wǎng)段，同一業(yè)務(wù)在不同網(wǎng)段，界面劃分不清楚。

（五）網(wǎng)絡(luò)管理手段不具備。該IDC網(wǎng)絡(luò)客戶數(shù)量較多，應(yīng)用繁雜，流量巨大，已有20多個業(yè)務(wù)平臺和幾千臺設(shè)備。管理如此規(guī)模的網(wǎng)絡(luò)目前使用的還是免費的網(wǎng)管軟件，功能僅僅包括端口的流量監(jiān)控，和對主要設(shè)備CPU、MEMORY的監(jiān)控等最基本的功能。處理問題還處于使用PC終端抓包分析，對于比較復(fù)雜的大流量的攻擊沒有定位的能力。

（六）增值服務(wù)能力不具備。該IDC機房改造前提供的服務(wù)仍舊停留在基本的人力資源投資上，對現(xiàn)在客戶急需的網(wǎng)絡(luò)安全增值服務(wù)以及各種專家級的技術(shù)支持上還很少。

二、改造方案

（一）核心層與匯聚層分離

改造方案的首要部分就是將Vlan的網(wǎng)關(guān)從7609核心下移到當時的接入交換機這一層級，將Vlan終結(jié)在這些接入交換機上。接入交換機與兩臺7609核心通過OSPF動態(tài)路由協(xié)議互相學(xué)習(xí)路由，在7609上不再設(shè)置Vlan網(wǎng)關(guān)，而是開啟OSPF進程，并將OSPF重分發(fā)到BGP中。這樣改造后，從托管用戶的角度來看，從托管主機向外訪問，網(wǎng)關(guān)應(yīng)設(shè)為直連的45交換機，第二跳到達7609核心，第三跳到達省網(wǎng)GSR，雖然多了一跳，但是對交換機來說，時延是不用考慮的，所以對客戶業(yè)務(wù)來說并無影響。

改造后的網(wǎng)絡(luò)，不僅核心7609的CPU將不再受到攻擊的影響，而且將會大大縮小故障影響范圍，加快故障定位速度，相應(yīng)地提高了我們的工作效率。

（二）自有平臺與托管客戶匯聚交換機分離，大客戶與散戶匯聚分離

網(wǎng)絡(luò)優(yōu)化的第二部分內(nèi)容就是將客戶分離，最重要的目的是將重要客戶的受影響幾率與范圍盡可能降到最小。所以在網(wǎng)絡(luò)采用三層下移時，即使采用較大容量的交換機也不能達到目的，也就是說新的匯聚層交換機容量不需太大，只要具備強大的包處理能力和高可靠性就可以。我們根據(jù)主機數(shù)量的不同，在每個樓層放置1－2臺匯聚層交換機。這樣改造后，可以針對業(yè)務(wù)的不同可在交換機上進行特殊的策略控制。

（三）IP地址適當調(diào)整

制定資源管理規(guī)范，按照資源分配原則，將部分的IP地址重新規(guī)劃，并對處在一個較大的vlan中的客戶按照客戶分類重新調(diào)配IP地址資源，以保證自有平臺與托管客戶、重要客戶與一般散戶的IP地址段分離，逐步實現(xiàn)網(wǎng)絡(luò)清晰、服務(wù)分級。

（四）增加安全防護產(chǎn)品，提高提供安全服務(wù)與增值服務(wù)的能力

1.增加安全防護產(chǎn)品。根據(jù)當時的互聯(lián)網(wǎng)狀況以及未來的IDC業(yè)務(wù)發(fā)展情況，為了保持和拓展在IDC業(yè)務(wù)領(lǐng)域的優(yōu)勢，獲得現(xiàn)實和未來競爭的主動權(quán)，方案中提出增加以下安全防護設(shè)備：

（1）防DDOS攻擊設(shè)備。用于網(wǎng)絡(luò)安全防護或為客戶提供增值服務(wù)。（2）專用SNIFFER設(shè)備。IDC網(wǎng)絡(luò)中數(shù)據(jù)流量較大，通過使用專用的sniffer設(shè)備用于對某一臺交換機上的數(shù)據(jù)進行分析，及時定位攻擊源或目的。（3）防火墻等其他綜合安全產(chǎn)品。用來提供增值產(chǎn)品或為自有應(yīng)用平臺服務(wù)。

2.購置綜合網(wǎng)管軟件，實現(xiàn)IDC機房網(wǎng)絡(luò)管理智能化。根據(jù)目前的業(yè)務(wù)需求，建議購置綜合網(wǎng)管軟件，能夠?qū)崿F(xiàn)綜合數(shù)據(jù)分析能力，挖掘IDC業(yè)務(wù)數(shù)據(jù)內(nèi)隱藏的潛在風(fēng)險與市場機遇。并且通過網(wǎng)管軟件同時能夠?qū)崿F(xiàn)對IDC流量異常檢測，并與防火墻等安全設(shè)備實現(xiàn)聯(lián)動，達到對重要的業(yè)務(wù)實現(xiàn)自動防護。

三、實施效果

事實證明，通過以上的網(wǎng)絡(luò)改造與優(yōu)化，該IDC網(wǎng)絡(luò)得到了較好的優(yōu)化：

（一）核心交換機穩(wěn)定性大大提高

在網(wǎng)絡(luò)改造前的某個月里，因DDOS攻擊導(dǎo)致4次核心交換機的CPU利用率達到90%以上，而網(wǎng)絡(luò)改造后的一個年度里，7609的CPU利用率沒有出現(xiàn)類似情況，極大地提高了7609的穩(wěn)定性。

（二）帶寬可利用率明顯提高

原來每臺匯聚交換機分別與兩臺核心交換機通過1GE相連，但只有其中的1GE可用，網(wǎng)絡(luò)改造后，兩條GE鏈路可以實現(xiàn)負載均衡，利用率可達90%以上。

（三）IDC網(wǎng)絡(luò)的穩(wěn)定性提高，IDC服務(wù)品質(zhì)上升

通過改造優(yōu)化，實現(xiàn)了IDC網(wǎng)絡(luò)的高性能、安全、擴展和可管理性，并且通過對重點業(yè)務(wù)提供安全增值服務(wù)，實現(xiàn)事前預(yù)防，事后處理的及時、高效，保障了重點客戶、VIP大客戶以及該IDC的自有應(yīng)用的服務(wù)安全、穩(wěn)定、高效，實現(xiàn)了差異化服務(wù)，提升了IDC增值服務(wù)的能力，為IDC網(wǎng)絡(luò)客戶提供了一個高品質(zhì)的網(wǎng)絡(luò)平臺。