某市IDC網絡改造方案

摘要：本文對某市IDC 網絡基礎設施和結構存在的問題進行了分析，并提出了網絡改進方案，最后總結了改進方案的實施效果。

關鍵詞：IDC；網絡改造；方案

中圖分類號：TP31 文獻標識碼：A 文章編號：1674-7712 (2012) 10-0085-01

河北網通某市IDC網絡原由Internet互聯/核心交換層和接入層構成。多年以來，IDC網絡不斷擴大規模、優化結構，先后經過三期擴容和改造，逐步建成了一個多層交換的大型LAN結構，接入層采用多臺思科交換機，這些交換機作為純二層交換機來使用，采用多條GE鏈路和核心交換機互連。IDC托管用戶的主機與各個接入層交換機相連。

一、網絡存在的問題

IDC網絡規模逐漸從小到大，但是基本結構一直是端到端的Vlan分布結構，隨著用戶數量和業務流量的迅速增加，這種網絡基礎設施和結構已經不能滿足業務穩定發展的要求。具體問題體現在以下方面：

（一）網絡攻擊頻繁影響核心交換機性能。來自互聯網的惡意攻擊日益嚴重，原IDC網絡對于DDOS攻擊缺乏有效的防御措施和偵測手段。很難做到事先預防、事后及時排除。出現攻擊后如果不及時采取措施，這樣核心交換機就有大量的arp請求，導致7609CPU立即升高到99%。

來自IDC機房內部的病毒頻繁發作，通過ARP欺騙手段干擾其它客戶的正常通訊，是最普遍的一種攻擊方式。它不僅造成其它用戶通訊中斷，而且7609的CPU升高，嚴重時還可能導致其它用戶的帳號口令等保密信息被竊取。

路由器的CPU升高會直接影響IDC機房所有客戶的出口時延及丟包率，甚至導致服務質量嚴重下降，客戶紛紛投訴。

（二）帶寬資源的浪費。全網共有幾十個Vlan，在每臺接入層交換機上可以看到全網大多數的Vlan。這樣的結構導致同一Vlan內部的通訊往往需要穿過7609核心才能完成；此外，端到端的定義Vlan還使得接入交換機上聯到7609核心的鏈路無法做Vlan修剪，大量的廣播流量在整個網絡中穿行無阻。這些都會浪費我們的設備處理能力以及寶貴的帶寬資源。

（三）業務沒有清晰分類，客戶沒有明確分級。現有客戶沒有進行分級分類，提供的是一種無差別的服務，重要的VIP用戶享受不到特別的服務，與一般的用戶完全等同。自有的平臺業務與托管客戶混接在一起，造成管理上的模糊。

（四）IP地址規劃不合理。重要客戶和一些散戶同在一個網段，散戶的安全性較差，容易感染病毒，進而影響到重要客戶的服務質量。不同業務在同一網段，同一業務在不同網段，界面劃分不清楚。

（五）網絡管理手段不具備。該IDC網絡客戶數量較多，應用繁雜，流量巨大，已有20多個業務平臺和幾千臺設備。管理如此規模的網絡目前使用的還是免費的網管軟件，功能僅僅包括端口的流量監控，和對主要設備CPU、MEMORY的監控等最基本的功能。處理問題還處于使用PC終端抓包分析，對于比較復雜的大流量的攻擊沒有定位的能力。

（六）增值服務能力不具備。該IDC機房改造前提供的服務仍舊停留在基本的人力資源投資上，對現在客戶急需的網絡安全增值服務以及各種專家級的技術支持上還很少。

二、改造方案

（一）核心層與匯聚層分離

改造方案的首要部分就是將Vlan的網關從7609核心下移到當時的接入交換機這一層級，將Vlan終結在這些接入交換機上。接入交換機與兩臺7609核心通過OSPF動態路由協議互相學習路由，在7609上不再設置Vlan網關，而是開啟OSPF進程，并將OSPF重分發到BGP中。這樣改造后，從托管用戶的角度來看，從托管主機向外訪問，網關應設為直連的45交換機，第二跳到達7609核心，第三跳到達省網GSR，雖然多了一跳，但是對交換機來說，時延是不用考慮的，所以對客戶業務來說并無影響。

改造后的網絡，不僅核心7609的CPU將不再受到攻擊的影響，而且將會大大縮小故障影響范圍，加快故障定位速度，相應地提高了我們的工作效率。

（二）自有平臺與托管客戶匯聚交換機分離，大客戶與散戶匯聚分離

網絡優化的第二部分內容就是將客戶分離，最重要的目的是將重要客戶的受影響幾率與范圍盡可能降到最小。所以在網絡采用三層下移時，即使采用較大容量的交換機也不能達到目的，也就是說新的匯聚層交換機容量不需太大，只要具備強大的包處理能力和高可靠性就可以。我們根據主機數量的不同，在每個樓層放置1－2臺匯聚層交換機。這樣改造后，可以針對業務的不同可在交換機上進行特殊的策略控制。

（三）IP地址適當調整

制定資源管理規范，按照資源分配原則，將部分的IP地址重新規劃，并對處在一個較大的vlan中的客戶按照客戶分類重新調配IP地址資源，以保證自有平臺與托管客戶、重要客戶與一般散戶的IP地址段分離，逐步實現網絡清晰、服務分級。

（四）增加安全防護產品，提高提供安全服務與增值服務的能力

1.增加安全防護產品。根據當時的互聯網狀況以及未來的IDC業務發展情況，為了保持和拓展在IDC業務領域的優勢，獲得現實和未來競爭的主動權，方案中提出增加以下安全防護設備：

（1）防DDOS攻擊設備。用于網絡安全防護或為客戶提供增值服務。（2）專用SNIFFER設備。IDC網絡中數據流量較大，通過使用專用的sniffer設備用于對某一臺交換機上的數據進行分析，及時定位攻擊源或目的。（3）防火墻等其他綜合安全產品。用來提供增值產品或為自有應用平臺服務。

2.購置綜合網管軟件，實現IDC機房網絡管理智能化。根據目前的業務需求，建議購置綜合網管軟件，能夠實現綜合數據分析能力，挖掘IDC業務數據內隱藏的潛在風險與市場機遇。并且通過網管軟件同時能夠實現對IDC流量異常檢測，并與防火墻等安全設備實現聯動，達到對重要的業務實現自動防護。

三、實施效果

事實證明，通過以上的網絡改造與優化，該IDC網絡得到了較好的優化：

（一）核心交換機穩定性大大提高

在網絡改造前的某個月里，因DDOS攻擊導致4次核心交換機的CPU利用率達到90%以上，而網絡改造后的一個年度里，7609的CPU利用率沒有出現類似情況，極大地提高了7609的穩定性。

（二）帶寬可利用率明顯提高

原來每臺匯聚交換機分別與兩臺核心交換機通過1GE相連，但只有其中的1GE可用，網絡改造后，兩條GE鏈路可以實現負載均衡，利用率可達90%以上。

（三）IDC網絡的穩定性提高，IDC服務品質上升

通過改造優化，實現了IDC網絡的高性能、安全、擴展和可管理性，并且通過對重點業務提供安全增值服務，實現事前預防，事后處理的及時、高效，保障了重點客戶、VIP大客戶以及該IDC的自有應用的服務安全、穩定、高效，實現了差異化服務，提升了IDC增值服務的能力，為IDC網絡客戶提供了一個高品質的網絡平臺。