IDC的互聯(lián)網(wǎng)接入方案研究

（中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司北京分公司，北京 100038）

互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）是為滿足互聯(lián)網(wǎng)業(yè)務(wù)和信息服務(wù)需求而建設(shè)的應(yīng)用基礎(chǔ)設(shè)施，通過與互聯(lián)網(wǎng)的高速連接，以豐富的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和應(yīng)用資源提供大規(guī)模、高質(zhì)量的基礎(chǔ)服務(wù)和增值服務(wù)。隨著通信技術(shù)的高速發(fā)展及全球化業(yè)務(wù)的迅速開展，信息化進(jìn)程不斷加快，尤其是近年來互聯(lián)網(wǎng)業(yè)務(wù)高速發(fā)展，各類業(yè)務(wù)應(yīng)用對IT需求將飛速增長，要完全滿足業(yè)務(wù)急劇擴(kuò)展對IDC資源的需求，IDC的互聯(lián)網(wǎng)接入必須具備豐富的互聯(lián)網(wǎng)帶寬資源，清晰的分層結(jié)構(gòu)，保證網(wǎng)絡(luò)的穩(wěn)定性、安全性和可擴(kuò)展性，以適應(yīng)業(yè)務(wù)的發(fā)展。本文將對IDC的互聯(lián)網(wǎng)接入方案展開深入研究以應(yīng)對IDC發(fā)展過程中面臨的諸多難點(diǎn)。

1 單節(jié)點(diǎn)IDC互聯(lián)網(wǎng)接入方案

互聯(lián)網(wǎng)數(shù)據(jù)中心的建設(shè)涉及范圍很廣，包含土建、電氣、消防、網(wǎng)絡(luò)、運(yùn)營等系統(tǒng)，從邏輯功能上IDC可分為物理層、網(wǎng)絡(luò)層、資源層、業(yè)務(wù)層、運(yùn)維管理層5大邏輯功能模塊，如圖1所示。

圖1 IDC邏輯功能模塊構(gòu)成圖

網(wǎng)絡(luò)層是IDC接入互聯(lián)網(wǎng)的信息通道，網(wǎng)絡(luò)層設(shè)備在整個(gè)IDC運(yùn)營中起到承上啟下的作用：一方面對外擔(dān)負(fù)著與互聯(lián)網(wǎng)、計(jì)費(fèi)專網(wǎng)等網(wǎng)絡(luò)系統(tǒng)的互聯(lián)互通；另一方面對內(nèi)承載著各種IDC業(yè)務(wù)系統(tǒng)。同時(shí)還需要將安全設(shè)備部署在網(wǎng)絡(luò)層內(nèi)，防范來自外部互聯(lián)網(wǎng)的攻擊和保障IDC內(nèi)部網(wǎng)絡(luò)和業(yè)務(wù)的正常運(yùn)行。對IDC互聯(lián)網(wǎng)接入方案的研究也就是對IDC網(wǎng)絡(luò)層組網(wǎng)方式的研究。

1.1 IDC網(wǎng)絡(luò)層組網(wǎng)方案設(shè)計(jì)

網(wǎng)絡(luò)層由路由器、交換機(jī)、防火墻等數(shù)據(jù)通信設(shè)備和安全設(shè)備組成。IDC網(wǎng)絡(luò)層方案設(shè)計(jì)應(yīng)遵循TCP/IP標(biāo)準(zhǔn)層次化設(shè)計(jì)方案。各層次都應(yīng)采用具有可擴(kuò)展性的模塊化設(shè)計(jì)，可根據(jù)IDC業(yè)務(wù)未來的發(fā)展方向和實(shí)際特殊需求，進(jìn)行靈活的擴(kuò)展。每個(gè)層次所選用的網(wǎng)絡(luò)設(shè)備，應(yīng)具有較高的端口密度，為IDC內(nèi)部規(guī)模擴(kuò)充提供平滑過渡的平臺(tái)。IDC網(wǎng)絡(luò)層的設(shè)計(jì)由上至下劃分為4個(gè)層次。

1.1.1 互聯(lián)網(wǎng)接入層

互聯(lián)網(wǎng)接入層設(shè)備應(yīng)選用高端路由器，負(fù)責(zé)與CMNET網(wǎng)絡(luò)的互聯(lián)，保證IDC內(nèi)部網(wǎng)絡(luò)可高速訪問互聯(lián)網(wǎng)，并匯聚網(wǎng)絡(luò)內(nèi)的匯聚層交換機(jī)。路由器應(yīng)采用雙機(jī)冗余結(jié)構(gòu)，雙機(jī)之間采用單鏈路/多鏈路互連。在該層可部署由流量檢測系統(tǒng)和流量清洗系統(tǒng)組成的流量清洗中心，以防范分布式拒絕服務(wù)（DDoS）攻擊。

1.1.2 匯聚層

匯聚層設(shè)備應(yīng)選用3層中高端交換機(jī)，負(fù)責(zé)向下匯聚多個(gè)業(yè)務(wù)區(qū)的業(yè)務(wù)接入層交換機(jī)，向上與互聯(lián)網(wǎng)接入層路由器進(jìn)行互聯(lián)，與互聯(lián)網(wǎng)接入層路由器間宜采用雙鏈路冗余的互聯(lián)方式，實(shí)現(xiàn)較高的冗余能力，在可靠性要求高的IDC節(jié)點(diǎn)，可采用全網(wǎng)狀互聯(lián)的方式。交換機(jī)間應(yīng)采用雙機(jī)冗余結(jié)構(gòu)，雙機(jī)之間采用單鏈路/多鏈路互聯(lián)。在該層可部署訪問控制系統(tǒng)、入侵檢測系統(tǒng)、負(fù)載均衡系統(tǒng)等。

1.1.3 業(yè)務(wù)接入層

業(yè)務(wù)接入層設(shè)備可選用2層或3層交換機(jī)，負(fù)責(zé)接入各業(yè)務(wù)區(qū)內(nèi)部的主機(jī)設(shè)備和網(wǎng)絡(luò)設(shè)備等，向上與匯聚層交換機(jī)之間互聯(lián)，互聯(lián)有兩種方式：當(dāng)接入交換機(jī)不做設(shè)備冗余配置時(shí)，宜采用三角形連接方式；當(dāng)接入交換機(jī)做設(shè)備冗余時(shí)（成對使用），可采用全網(wǎng)狀冗余互聯(lián)或雙鏈路冗余互聯(lián)。在該層可部署病毒防范系統(tǒng)、安全評估系統(tǒng)、應(yīng)用監(jiān)控系統(tǒng)、主機(jī)安全加固等。

圖2 IDC網(wǎng)絡(luò)層結(jié)構(gòu)拓?fù)鋱D

1.1.4 運(yùn)營管理層

運(yùn)營管理層應(yīng)具備網(wǎng)絡(luò)管理、資源管理、業(yè)務(wù)管理、運(yùn)營管理等IDC管理功能，向IDC的運(yùn)營維護(hù)人員和客戶提供設(shè)備管理、系統(tǒng)維護(hù)、遠(yuǎn)程接入等服務(wù)。在該層可部署安全控制網(wǎng)關(guān)、遠(yuǎn)程VPN接入、用戶終端審計(jì)等。

經(jīng)過層次化設(shè)計(jì)的IDC網(wǎng)絡(luò)層結(jié)構(gòu)拓?fù)淙鐖D2所示。

1.2 單節(jié)點(diǎn)IDC互聯(lián)網(wǎng)接入方案

根據(jù)IDC節(jié)點(diǎn)的業(yè)務(wù)量預(yù)測，計(jì)算互聯(lián)網(wǎng)的業(yè)務(wù)帶寬需求，確定互聯(lián)網(wǎng)接入層路由器的端口類型及數(shù)量，根據(jù)該IDC節(jié)點(diǎn)的規(guī)模及實(shí)際有選擇的接入CMNET省網(wǎng)或CMNET骨干網(wǎng)，互聯(lián)網(wǎng)接入層核心路由器設(shè)備可采用雙鏈路冗余互聯(lián)方式或全網(wǎng)狀冗余互聯(lián)方式上聯(lián)CMNET路由器，實(shí)現(xiàn)與互聯(lián)網(wǎng)的互通，如圖3所示。

同時(shí)在互聯(lián)網(wǎng)接入層路由器的與CMNET網(wǎng)絡(luò)間，采用旁掛的方式部署由流量檢測系統(tǒng)和流量清洗系統(tǒng)組成的流量清洗中心，對大流量DDoS攻擊給予清洗。當(dāng)流量檢測系統(tǒng)檢測到異常流量攻擊后，上報(bào)流量清洗系統(tǒng)并把受攻擊的主機(jī)流量引入清洗系統(tǒng)進(jìn)行異常流量清洗，將清洗后的正常業(yè)務(wù)流量重新注入IDC網(wǎng)絡(luò)中，如圖4所示。

圖3 IDC互聯(lián)網(wǎng)接入層核心路由器上聯(lián)方式示意圖

圖4 流量清洗中心部署方案網(wǎng)絡(luò)拓?fù)鋱D

2 多節(jié)點(diǎn)IDC互聯(lián)網(wǎng)接入方案研究

隨著IDC業(yè)務(wù)的飛速增長，越來越多的本地網(wǎng)通過多節(jié)點(diǎn)部署IDC來突破網(wǎng)絡(luò)安全、機(jī)房空間、基礎(chǔ)配套、電力供應(yīng)的限制，同時(shí)也帶來了大量占用CMNET網(wǎng)絡(luò)和傳輸網(wǎng)絡(luò)資源等問題，如何優(yōu)化多節(jié)點(diǎn)IDC的互聯(lián)網(wǎng)接入方案成為IDC建設(shè)中的關(guān)注焦點(diǎn)，下面將對如何更好的實(shí)現(xiàn)多節(jié)點(diǎn)IDC互聯(lián)網(wǎng)接入展開研究。

2.1 扁平化組網(wǎng)的互聯(lián)網(wǎng)接入方案

實(shí)施方案：各IDC節(jié)點(diǎn)的互聯(lián)網(wǎng)接入采用扁平化組網(wǎng)方式，所有IDC節(jié)點(diǎn)都直接上聯(lián)CMNET。

各IDC節(jié)點(diǎn)均采用與單IDC節(jié)點(diǎn)相同的互聯(lián)網(wǎng)接入設(shè)計(jì)方式，將網(wǎng)絡(luò)層分為互聯(lián)網(wǎng)接入層、匯聚層、業(yè)務(wù)接入層、運(yùn)營管理層4層，所有IDC節(jié)點(diǎn)的互聯(lián)網(wǎng)接入層路由器通過雙鏈路冗余互聯(lián)方式直接上聯(lián)CMNET路由器，實(shí)現(xiàn)與互聯(lián)網(wǎng)的互通，根據(jù)各IDC節(jié)點(diǎn)的規(guī)模有選擇的接入CMNET省網(wǎng)或CMNET骨干網(wǎng)。在各IDC節(jié)點(diǎn)的出口部署流量清洗中心，對大流量DDoS攻擊給予清洗。

方案優(yōu)勢：各IDC節(jié)點(diǎn)間的互聯(lián)網(wǎng)接入相互獨(dú)立，根據(jù)業(yè)務(wù)需求配置端口及傳輸資源的數(shù)量，對其它IDC節(jié)點(diǎn)不產(chǎn)生影響；各IDC節(jié)點(diǎn)的建設(shè)不需考慮節(jié)點(diǎn)外的網(wǎng)絡(luò)投資，投資規(guī)模小；各IDC節(jié)點(diǎn)采用層次化設(shè)計(jì)，層次清晰、可靠性高。

方案劣勢：各IDC節(jié)點(diǎn)的互聯(lián)網(wǎng)接入層路由器都要與CMNET網(wǎng)絡(luò)互通，需要在CMNET路由器為每個(gè)IDC節(jié)點(diǎn)的接入分配獨(dú)立端口，當(dāng)IDC節(jié)點(diǎn)數(shù)量較多時(shí)，對CMNET設(shè)備端口及傳輸資源的需求量激增，不利于網(wǎng)絡(luò)的持續(xù)發(fā)展；單IDC節(jié)點(diǎn)對互聯(lián)網(wǎng)帶寬需求較低，若配置10GE端口，端口利用率較低，若配置多個(gè)GE端口，則對傳輸資源浪費(fèi)較多；新IDC節(jié)點(diǎn)接入互聯(lián)網(wǎng)時(shí)需要CMNET及傳輸側(cè)配合，專業(yè)間協(xié)調(diào)工作量大；各IDC節(jié)點(diǎn)出口均需部署流量清洗中心，當(dāng)IDC節(jié)點(diǎn)數(shù)量較多時(shí)，系統(tǒng)穩(wěn)定性降低、投資較大、不利于統(tǒng)一維護(hù)。

2.2 分層組網(wǎng)的互聯(lián)網(wǎng)接入方案

實(shí)施方案：各IDC節(jié)點(diǎn)的互聯(lián)網(wǎng)接入采用分層組網(wǎng)方式，所有IDC節(jié)點(diǎn)經(jīng)匯聚后再上聯(lián)CMNET。

圖5 方案1：互聯(lián)網(wǎng)接入方案網(wǎng)絡(luò)拓?fù)鋱D

在現(xiàn)有IDC網(wǎng)絡(luò)層次劃分的基礎(chǔ)上，在CMNET路由器與互聯(lián)網(wǎng)接入層路由器間增加IDC核心匯聚路由器作為IDC核心匯聚層，各IDC節(jié)點(diǎn)至互聯(lián)網(wǎng)的數(shù)據(jù)流經(jīng)IDC核心匯聚路由器匯聚后轉(zhuǎn)發(fā)，互聯(lián)網(wǎng)至各IDC節(jié)點(diǎn)的數(shù)據(jù)流經(jīng)IDC核心匯聚路由器分發(fā)。為保證網(wǎng)絡(luò)的安全性、穩(wěn)定性，需要將IDC核心匯聚路由器異局址部署兩對，同對路由器間采用單鏈路/多鏈路互連。

IDC核心匯聚路由器分別接入CMNET省網(wǎng)和CMNET骨干網(wǎng)，每對IDC核心匯聚層與CMNET路由器之間的互聯(lián)鏈路，可采用雙鏈路冗余互聯(lián)方式或全網(wǎng)狀冗余互聯(lián)方式，本方案優(yōu)先采用全網(wǎng)狀冗余互聯(lián)方式，增加網(wǎng)絡(luò)鏈路的健壯性。

增加IDC核心匯聚層后，互聯(lián)網(wǎng)與各IDC節(jié)點(diǎn)的信息交互都通過IDC核心匯聚路由器，將原本部署在互聯(lián)網(wǎng)接入層的流量清洗中心上移到IDC核心匯聚層，即可實(shí)現(xiàn)對全網(wǎng)各IDC節(jié)點(diǎn)的異常流量清洗。

方案優(yōu)勢：對CMNET路由器端口和傳輸資源需求固定，與IDC節(jié)點(diǎn)數(shù)量無關(guān)，網(wǎng)絡(luò)可擴(kuò)展性強(qiáng)；管理上層次分明，增加或減少IDC節(jié)點(diǎn)等局部變動(dòng)不影響上層路由配置和全局路由配置，減輕了網(wǎng)絡(luò)負(fù)荷；新IDC節(jié)點(diǎn)接入互聯(lián)網(wǎng)僅需按照業(yè)務(wù)需求對IDC核心匯聚路由器配置傳輸鏈路即可，不需CMNET側(cè)配合；全網(wǎng)部署兩套流量清洗中心即可，安全系統(tǒng)穩(wěn)定性高、投資小、便于統(tǒng)一維護(hù)。

圖6 方案2：互聯(lián)網(wǎng)接入方案網(wǎng)絡(luò)拓?fù)鋱D

方案劣勢：該方案增加了IDC核心匯聚層，網(wǎng)絡(luò)由4層機(jī)構(gòu)變?yōu)?層，網(wǎng)絡(luò)設(shè)備數(shù)量也隨之增加，網(wǎng)絡(luò)穩(wěn)定性降低，投資隨設(shè)備數(shù)量增多而變大。

2.3 混合組網(wǎng)的互聯(lián)網(wǎng)接入方案

實(shí)施方案：各IDC節(jié)點(diǎn)的互聯(lián)網(wǎng)接入采用混合組網(wǎng)方式，部分IDC節(jié)點(diǎn)直接承載于CMNET，其它IDC節(jié)點(diǎn)經(jīng)匯聚后再上聯(lián)CMNET。

與CMNET路由器同局址的IDC節(jié)點(diǎn)，這部分IDC節(jié)點(diǎn)的互聯(lián)網(wǎng)接入層路由器設(shè)備通過雙鏈路冗余互聯(lián)方式直接上聯(lián)至CMNET路由器，實(shí)現(xiàn)與互聯(lián)網(wǎng)的互通，同時(shí)在IDC節(jié)點(diǎn)出口部署流量清洗中心；與CMNET路由器異局址的IDC節(jié)點(diǎn)，這部分IDC節(jié)點(diǎn)采用方案2的組網(wǎng)方式增加IDC核心匯聚層，由IDC核心匯聚路由器匯聚和分發(fā)信息，在IDC核心匯聚層部署流量清洗中心。

該方案兼具方案1與方案2的優(yōu)缺點(diǎn)，可根據(jù)各IDC節(jié)點(diǎn)的實(shí)際，靈活選擇互聯(lián)網(wǎng)接入的組網(wǎng)方式。

2.4 多節(jié)點(diǎn)IDC互聯(lián)網(wǎng)接入方案適用場景分析

上述3種方案中，扁平化的組網(wǎng)方式適用于IDC節(jié)點(diǎn)數(shù)量少于5個(gè)的本地網(wǎng)；若同一本地網(wǎng)內(nèi)有5個(gè)以上IDC節(jié)點(diǎn)，建議采用分層的組網(wǎng)方式接入互聯(lián)網(wǎng)；當(dāng)同一本地網(wǎng)內(nèi)的IDC節(jié)點(diǎn)數(shù)量較多，且部分IDC節(jié)點(diǎn)與CMNET路由器同局址設(shè)置，此種情形建議采用更為靈活的混合組網(wǎng)方式。

3 結(jié)束語

本文采用層次化方式設(shè)計(jì)的各種單/多節(jié)點(diǎn)IDC互聯(lián)網(wǎng)接入方案，有著各自適用場景，在實(shí)際工程應(yīng)用中通過不同場景的直接套用，可縮短IDC機(jī)房網(wǎng)絡(luò)設(shè)計(jì)周期、簡化設(shè)計(jì)流程。上述設(shè)計(jì)方法有較大適用空間，不僅可以應(yīng)用于互聯(lián)網(wǎng)數(shù)據(jù)中心的建設(shè)，也適用于其它各類通信機(jī)房網(wǎng)絡(luò)的模塊化設(shè)計(jì)。

[1] 陳峰. 網(wǎng)絡(luò)核心機(jī)房設(shè)計(jì)指南. 化學(xué)工業(yè)出版社，2011,04.

[2] 林小村，馬玉林，翁小云. 數(shù)據(jù)中心建設(shè)與運(yùn)行管理. 科學(xué)出版社，2010,04.

[3] 劉佳，杜雪濤，朱文濤，張高山. 互聯(lián)網(wǎng)數(shù)據(jù)中心安全解決方案[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化，2010(2).