閱曆了ISP/ICP飛速發展，.COM公司的風靡後，一種新的服務模式--互聯網數(shù)據核心（Internet Data Center，縮寫為(wèi)IDC）正悄悄崛起。它在國外吸引着像AT&T、AO- 、IBM、Exodus、UUNET等至公司的巨資投入；海內(nèi)豈但(dàn)四大(dà)電(diàn)信經營商中國電(diàn)信、中國網通(tōng)、中國聯通(tōng)、中國吉通(tōng)開(kāi)端做(zuò)跑馬圈地，一些(xiē)專業服務商如清華萬博、首都在線和(hé)世紀互聯等，也參加了角逐。重慶網站(zhàn)建設
　　IDC(Internet Data Center) - Internet數(shù)據中心，它是傳統的數(shù)據中心與Internet的聯合，它除了具有(yǒu)傳統的數(shù)據中心所擁有(yǒu)的特色外，如數(shù)據集中、主機運行(xíng)牢靠等，還(hái)應具有(yǒu)訪問方式的變更、要做(zuò)到7x24服務、反映速度快等。IDC是一個(gè)提供資源外包服務的基地，它應具有(yǒu)十分好的機房(fáng)環境、安全保證、網絡帶寬、主機的數(shù)目和(hé)主機的機能、大(dà)的存儲數(shù)據空(kōng)間(jiān)、軟件環境以及優良的服務性能。
　　IDC作(zuò)為(wèi)提供資源外包服務的基地，它可(kě)以為(wèi)企業和(hé)各類網站(zhàn)提供專業化的服務器(qì)托管、空(kōng)間(jiān)租用、網絡批發帶寬甚至ASP、EC等業務。簡單地輿解，IDC是對入駐(Hosting)企業、商戶或網站(zhàn)服務器(qì)群托管的場(chǎng)合；是各種模式電(diàn)子商務賴以安全運作(zuò)的基礎設施，也是支持企業及其貿易同盟(其分銷商、供應商、客戶等)實行(xíng)價值鏈管理(lǐ)的平台。形象地說，IDC是個(gè)高(gāo)品德機房(fáng)，在其建設方面，對各個(gè)方面都有(yǒu)很(hěn)高(gāo)的要求。
　　IDC的建設主要在如下幾個(gè)方面：網絡建設 IDC主要是靠其有(yǒu)一個(gè)高(gāo)性能的網絡為(wèi)其客戶提供服務，這個(gè)高(gāo)性能的網絡包括其- AN、WAN和(hé)與Internet接入等方面。
　　IDC的網絡建設主要有(yǒu)：
　　- IDC的- AN的建設，包括其- AN的基礎結構，- AN的層次，- AN的性能。
　　- IDC的WAN的建設，即IDC的各分支機構之間(jiān)彼此連接的廣域網的建設等。
　　- IDC的用戶接入系統建設，即如何保證IDC的用戶以安全、可(kě)靠的方式把數(shù)據傳到IDC的數(shù)據中心，或對寄存在IDC的用戶自己的設備進行(xíng)維護，這需要IDC為(wèi)用戶提供相應的接入方式，如撥号接入、專線接入及VPN等。
　　- IDC與Internet互聯的建設。
　　- IDC的網絡管理(lǐ)建設，由于IDC的網絡結構相當龐大(dà)而且龐雜，要保證其網絡不間(jiān)斷對外服務，而且高(gāo)性能，必須有(yǒu)一高(gāo)性能的網絡管理(lǐ)系統。
　　服務器(qì)建設 IDC的服務器(qì)建設可(kě)分為(wèi)多(duō)個(gè)方面，總體(tǐ)上(shàng)分為(wèi)基礎服務系統服務器(qì)和(hé)應用服務系統服務器(qì)，主要有(yǒu)：
　　- 基礎系統服務器(qì)：這類服務器(qì)是保障IDC為(wèi)用戶提供各種服務的前提，這類服務器(qì)有(yǒu)DNS服務器(qì)、目錄服務器(qì)、網絡管理(lǐ)服務器(qì)、防火(huǒ)牆服務器(qì)、各類安全服務器(qì)、IDC系統性能監控服務器(qì)等等。
　　- 數(shù)據庫服務器(qì)：它是保證IDC可(kě)認為(wèi)用戶提供各種應用服務的基礎，IDC的數(shù)據庫服務器(qì)必須能支持大(dà)容量訪問、多(duō)種數(shù)據庫等。
　　- 數(shù)據備份服務器(qì)：它是IDC為(wèi)客戶提供安全服務的內(nèi)容之一，保證客戶的數(shù)據安全可(kě)靠。由于IDC的服務器(qì)品種繁多(duō)、有(yǒu)多(duō)種數(shù)據庫，所以數(shù)據備份要支持多(duō)機型、多(duō)種數(shù)據格局等等，而且容量要大(dà)。
　　- 應用服務器(qì)：是IDC為(wèi)用戶提供相幹應用服務的服務器(qì)。由于IDC的業務擴展，所以應用服務器(qì)應具有(yǒu)很(hěn)好的擴展性，以及支持各類應用軟件的數(shù)量要多(duō)。
　　- 服務器(qì)的負載平衡： 這是IDC提供高(gāo)性能、高(gāo)可(kě)靠性服務的重要方法之一，服務器(qì)的負載均衡可(kě)由硬件設備（如網絡交換設備）或軟件的方法實現。存儲系統的建設存儲系統是IDC的重點建設內(nèi)容之一，作(zuò)為(wèi)一個(gè)IDC，其存儲系統是相稱龐大(dà)的，特别是在現在的企業中，數(shù)據的容量以由GB級增加到TB級，如斯大(dà)的數(shù)據需要有(yǒu)一個(gè)更加安全、可(kě)靠的存儲系統，由于訪問的數(shù)量也是相當龐大(dà)的，所以對存儲系統的效力也有(yǒu)很(hěn)高(gāo)的要求；而且存儲系統應具有(yǒu)很(hěn)好的擴展性，以滿意IDC的發展的需求。軟件系統的建設軟件系統的建設是IDC需要大(dà)量投入的方面，它是在前面網絡、服務器(qì)和(hé)存儲系統建設的基礎上(shàng)，IDC發展對外服務的手腕。IDC在軟件建設的主要有(yǒu)： 重慶網站(zhàn)制(zhì)作(zuò)
　　- Web系統：IDC開(kāi)展Web-Hosting服務內(nèi)容之一，Web系統軟件應支持在一個(gè)系統上(shàng)能建立為(wèi)多(duō)家(jiā)企業服務的Web系統功能等。 - 電(diàn)子郵件系統：電(diàn)子郵件系統應支持多(duō)種電(diàn)子郵件協定，如SMTP、POP3、IMAP4、Web-Mai- 和(hé)Voice-Mai- 等，同時(shí)電(diàn)子郵件系統應有(yǒu)很(hěn)好擴展性等。
　　- 數(shù)據庫系統：IDC應樹(shù)立多(duō)廠家(jiā)的數(shù)據庫系統，如應有(yǒu)Orac- e、Informix、SQ- Server、SyBase等廠家(jiā)的數(shù)據庫，以滿意不同用戶的需要。
　　- 安全系統：如防火(huǒ)牆軟件（硬件防火(huǒ)牆除外）、防黑(hēi)客入侵、防病毒軟件等。這是保證IDC為(wèi)用戶提供安全服務器(qì)的條件。 - 數(shù)據備份軟件:支持多(duō)備份裝備、多(duō)種廠家(jiā)的機器(qì)、多(duō)種數(shù)據庫等等。
　　- 應用開(kāi)發系統：IDC應提供相應的開(kāi)發系統平台，提供相應的開(kāi)發工具，滿足用戶或IDC開(kāi)發相應應用的需求。 IDC自身服務系統建設 IDC是靠其優質的服務來(lái)占領市場(chǎng)和(hé)博得(de)客戶的，為(wèi)了做(zuò)到優質高(gāo)效服務，IDC在其自身服務器(qì)系統的建設上(shàng)也必須有(yǒu)大(dà)量的投入。IDC自身服務系統主要有(yǒu)：
　　- 客戶關系管理(lǐ)系統(CRM): CRM是IDC與客戶建立良好關系的基礎服務系統，它為(wèi)IDC提供的用戶的發展動态以及用戶的新的需求等。
　　- 計(jì)費體(tǐ)系：計(jì)費系統是IDC收入的保障。
　　- 網絡與服務器(qì)管理(lǐ)系統：IDC有(yǒu)宏大(dà)的網絡和(hé)服務器(qì)系統，要治理(lǐ)好這些(xiē)系統，必須有(yǒu)一個(gè)功效強盛的網絡、服務器(qì)和(hé)運用管理(lǐ)系統，此能保證IDC對外的服務品質。
　　- IDC的內(nèi)部管理(lǐ)系統：保證IDC內(nèi)部各部分能夠統一和(hé)諧工作(zuò)，完成高(gāo)質量的服務。機房(fáng)場(chǎng)地建設機房(fáng)場(chǎng)地的建設是IDC前期建設投入最大(dà)的部分。由于IDC的用戶可(kě)能把其重要的數(shù)據和(hé)應用都存放在IDC的機房(fáng)中，所以對IDC機房(fáng)場(chǎng)地環境的要求是異常高(gāo)的。IDC的機房(fáng)場(chǎng)地建設主要在如下幾個(gè)方面：
　　- 機房(fáng)裝修：機房(fáng)裝修主要考慮吊頂、隔絕牆、門(mén)窗、牆壁和(hé)運動地闆等。
　　- 供電(diàn)系統：供電(diàn)系統是IDC的場(chǎng)地建設重點之一，由于IDC的大(dà)量設備需要極大(dà)的電(diàn)力功率，所以供電(diàn)系統的可(kě)靠性建設、擴展性是極其重要的。供電(diàn)系統建設主要有(yǒu)：供電(diàn)功率、UPS建設（n+1）、配電(diàn)櫃、電(diàn)線、插座、照明(míng)系統、接地系統、防雷和(hé)自發電(diàn)系統等。
　　- 空(kōng)調系統：機房(fáng)的溫度、透風方式和(hé)機房(fáng)空(kōng)氣環境等。
　　- 安全系統：門(mén)禁系統、消防系統和(hé)監控系統。 - 布線系統：機房(fáng)應有(yǒu)完整的綜合布線系統，布線系統包括數(shù)據布線、語音(yīn)布線、終端布線。 - 通(tōng)訊系統：包括數(shù)據線帶寬、語音(yīn)線路數(shù)量等。
　　二、IDC網絡功能結構
　　三、IDC網絡建設
　　采用風行(xíng)的以太網絡結構，核心交換：Cat6509多(duō)層交換機分布層交換或周邊修建物內(nèi)主幹：Cat4006交換機接入層交換機：Cat2924XL交換機由于考慮到在酒店(diàn)和(hé)寫字樓內(nèi)從新進行(xíng)數(shù)據布線有(yǒu)必定艱苦，所以采用TDSL技(jì)術(shù)實現樓內(nèi)的數(shù)據傳輸，所有(yǒu)數(shù)據交換設備都集中在中心機房(fáng)內(nèi)，但(dàn)網絡的總體(tǐ)結構不變。核心交換使用兩台Catalyst 6509構成，構成全冗餘的高(gāo)速網絡核心。分布層交換機Catalyst 4006使用兩條千兆線路分辨與兩台6509相連，造成冗餘的千兆主幹。樓層交換機使用Catalyst 2924XL交換機。 Cat6509上(shàng)的千兆端口還(hái)用來(lái)連接其他的節點，與其餘節點的LAN一起構成一個(gè)分布式的城域規模的數(shù)據中心的結構。
　　1．Internet接入網絡結構由于本系統Internet接入服務用戶主要來(lái)自于各寫字樓內(nèi)的公司和(hé)高(gāo)等酒店(diàn)、公寓內(nèi)的客人(rén)和(hé)住戶，且各寫字樓相距較近，所以全體(tǐ)采用LAN結構為(wèi)這些(xiē)用戶提供接入服務.
　　2．用CACHE加速INTERNET訪問 Internet的發展趨勢是盡可(kě)能地将內(nèi)容在地理(lǐ)上(shàng)湊近用戶，由于本方案中INTERNET接入用戶的大(dà)都來(lái)自與商務寫字樓和(hé)酒店(diàn)公寓，其對INTERNET的訪問具有(yǒu)很(hěn)大(dà)的反複性，所以有(yǒu)效地安排CACHE可(kě)以大(dà)大(dà)地降低(dī)INTERNET接入的帶寬負荷，提高(gāo)內(nèi)容的相應速度。另外，由于現在INTERNET上(shàng)呈現越來(lái)越多(duō)的多(duō)媒體(tǐ)情勢的內(nèi)容，指望拓寬INTERNET出口帶寬來(lái)提高(gāo)用戶對這些(xiē)內(nèi)容的訪問速度是基本不現實的，而使用CACHE技(jì)術(shù)對INTERNET上(shàng)的這些(xiē)內(nèi)容進行(xíng)緩存，不但(dàn)可(kě)以使這些(xiē)內(nèi)容對用戶變得(de)現實可(kě)用，提高(gāo)用戶的虔誠度，而且還(hái)可(kě)以通(tōng)過按期定制(zhì)一些(xiē)多(duō)媒體(tǐ)節目在CACHE中，以有(yǒu)償的方式向用戶提供，這就演變成了一種增值服務。重慶做(zuò)網站(zhàn)
　　總之，CACHE對IDC以及ISP都是必不可(kě)少(shǎo)的，經營者可(kě)以通(tōng)過靈巧地使用CACHE來(lái)最大(dà)限度地降低(dī)成本，提升利潤。我們提議使用NETAPP公司的NetCache C1105來(lái)提供緩存服務，将其連接在INTERNET接入路由器(qì)上(shàng)提供服務。
　　NetCache C1105的特點：可(kě)靠性/可(kě)用性/可(kě)擴展性專用的體(tǐ)系結構專一于內(nèi)容可(kě)用性的提供微碼的核心系統，在增加數(shù)據可(kě)用性的前提下達到最小(xiǎo)的開(kāi)銷 WAFL（Write Anywhere File System）NetApp專利的文件系統優化了磁盤到網絡的傳輸冗餘的熱插拔電(diàn)源 ECC內(nèi)存保護 OS的冗餘拷貝簡化的管理(lǐ)專用的內(nèi)容管理(lǐ)和(hé)投遞軟件大(dà)型部署時(shí)的多(duō)系統管理(lǐ)當用剖析與講演的日志(zhì)快速的安裝與啓動企業框架軟件集成提供集中的應用管理(lǐ)基于WEB與CLI的管理(lǐ)溫度、電(diàn)源監控提供可(kě)猜測的系統管理(lǐ)安 全加固了的TCP/IP協議棧在沒有(yǒu)防火(huǒ)牆的保護下也能抵抗一般的網絡攻擊 Icap-enabled 過濾和(hé)病毒檢測本地支持的第三方過濾表 NTLM、LDAP與RADIUS認證支持 ACL 多(duō)協議支持HTTP、FTP、NNTP 支持主要的流技(jì)術(shù)(MMS，RTSP，QuickTime) iCAP-enabled 應用提供靈活的對增值服務的訪問
　　3．服務器(qì)負載均衡的實現對于大(dà)部分站(zhàn)點而言，采用多(duō)個(gè)服務器(qì)而不是一台大(dà)型服務器(qì)，可(kě)以提高(gāo)服務器(qì)的響應性能，減少(shǎo)服務器(qì)的單點故障。但(dàn)多(duō)台服務器(qì)的采用，必須考慮服務器(qì)的負載均衡問題。在本方案中服務器(qì)置于 CSS11800內(nèi)容服務交換機之後，所以由CSS11800完成服務器(qì)的負載均衡。 CSS11000系列通(tōng)過ACA(Arrowpoint Content Assure protocol) 制(zhì)訂負荷參數(shù)，取舍最小(xiǎo)負荷的服務器(qì)提供用戶所需的內(nèi)容。同時(shí)CSS11000系列還(hái)支持加權輪詢-Weighted Round Robin；最小(xiǎo)連接機制(zhì)；最大(dà)連接數(shù)限制(zhì)等多(duō)種算(suàn)法實現負載均衡。 Cisco CSS 11000系列內(nèi)容服務交換機是業界獨一的動态負載均衡交換機，采器(qì)具有(yǒu)專利權的ACA算(suàn)法，可(kě)以根據Cache服務器(qì)的命中率、流建立數(shù)和(hé)RTT(Round Trip Time)挑選最适合的服務器(qì)應答(dá)用戶的要求。與其他的負載均衡設備比較，CSS具有(yǒu)更高(gāo)的負載均衡能力，由于它是一種基于流的交換機，其他廠家(jiā)的負載均衡設備則是基于包的交換機。基于包的解決方案通(tōng)過檢測對某一特定內(nèi)容的請(qǐng)求時(shí)的每個(gè)包來(lái)做(zuò)轉發決議，這樣重大(dà)增加了CPU的累贅。而作(zuò)為(wèi)基于流的交換機的CSS，一旦流建立起來(lái)後，該流所有(yǒu)的流量都将以線速轉發。
　　CSS以下面的多(duō)種方法支持負載均衡： ? 具有(yǒu)專利權的ACA負載均衡算(suàn)法 ? 輪詢(Round Robin, RR) ? 加權輪詢(Weighted Round Robin, WRR) ? 起碼連接(Least Connection, LC)/最大(dà)連接(Max Connection) ? 目的IP地址 ? 源IP地址 ? 域/域Hash算(suàn)法(Domain/Domain hash) ? URL/URL Hash算(suàn)法考慮到建設初期，負載均衡交換機不是必須的設備，而且也不是所有(yǒu)的托管站(zhàn)點都需要負載均衡功能，所以，我們倡議先不采用負載均衡設備，等到有(yǒu)需求的時(shí)候再增加。
　　4．WEB服務器(qì)的連接我們為(wèi)IDC中的每台托管服務器(qì)都配置兩組網卡，一組用于前端網絡的連接，提供WEB訪問；另一組用于後端網絡的連接，提供對數(shù)據庫、郵件等服務器(qì)以及存儲系統的訪問。通(tōng)過使用不同的網絡通(tōng)道(dào)進行(xíng)數(shù)據庫等後盾應用訪問，可(kě)以使服務器(qì)更充分的利用網絡帶寬來(lái)相應WEB懇求；同時(shí)，後端網絡與前端網絡的分别可(kě)以讓數(shù)據庫訪問、文件存取等要求高(gāo)速、大(dà)容量的數(shù)據訪問享有(yǒu)更多(duō)的網絡帶寬。服務器(qì)通(tōng)過一組接入交換機Cat3524連入主幹交換網絡。
　　5．後端網絡的設計(jì)因為(wèi)後端網絡連接IDC管理(lǐ)中心，數(shù)據庫、郵件等服務器(qì)和(hé)大(dà)容量存儲系統，需要高(gāo)速的交換系統，所以我們使用兩台Cat6509交換機作(zuò)冗餘的中心，連接一組Cat3524提供和(hé)WEB服務器(qì)的連接；對于數(shù)據庫等服務器(qì)和(hé)存儲系統，可(kě)以采用千兆以太端口或千兆以太通(tōng)道(dào)提供高(gāo)達數(shù)Gbps的直接連接。
　　6．用戶的遠程維護正常情況下，IDC用戶會(huì)要求遠程維護自己的托管服務器(qì)，由于用戶隻容許對自己托管的服務器(qì)進行(xíng)訪問，因此，必須采用如：VPN、VLAN等技(jì)術(shù)保證這一點。通(tōng)過連接到後端網絡的廣域網路由器(qì)可(kě)以提供用戶通(tōng)過專線、撥号、VPN等各種方式實現遠程維護。對遠程維護的行(xíng)動進行(xíng)可(kě)以通(tōng)過以下多(duō)少(shǎo)種方式進行(xíng)： ?DDN專線：用戶通(tōng)過DDN專線連接到IDC中心，通(tōng)過策略路由或VLAN被限度隻能訪問本人(rén)的服務器(qì)，進行(xíng)維護。 ?PSTN或ISDN撥号：用戶通(tōng)過撥号線路訪問IDC中心，身份認證由AAA Server進行(xíng)，并進行(xíng)行(xíng)為(wèi)受權，保證用戶隻能訪問到自己的服務器(qì)進行(xíng)維護。 ?VPN：用戶可(kě)能間(jiān)隔IDC中心太遠，從各方面不具備通(tōng)過DDN或PSTN線路訪問IDC中心的前提，這是可(kě)以通(tōng)過INTERNET采用VPN的方式與IDC中心連接并保護服務器(qì)。這種情況下，由VPN Server或VPN 路由器(qì)保證連接的安全性和(hé)可(kě)靠性。VPN的實現可(kě)以采用IPSec地道(dào)和(hé)MPLS VPN技(jì)術(shù)，在保證信息準确可(kě)達的情況下，對用戶信息進行(xíng)高(gāo)強度的加密，保證用戶信息的不被竊取和(hé)完全性。 對于本地接入的公司所托管的服務器(qì)，由于公司LAN和(hé)托管服務器(qì)處于一個(gè)LAN結構之內(nèi)，所以，服務器(qì)運行(xíng)維護可(kě)以通(tōng)過定義VLAN進行(xíng)。
　　7．網絡安全的考慮網絡的安全主要通(tōng)過防火(huǒ)牆和(hé)入侵檢測系統來(lái)體(tǐ)現，通(tōng)過部署防火(huǒ)牆系統，可(kě)以将網絡劃分成幾個(gè)安全等級不同的部分，對于要求安全等級高(gāo)的部分，還(hái)可(kě)以通(tōng)過部署多(duō)級防火(huǒ)牆來(lái)提供安全保護。入侵檢測系統則可(kě)以對歹意的入侵行(xíng)為(wèi)進行(xíng)探測，進行(xíng)記載。這部分內(nèi)容參見第三章第二節"安全性建設"。
　　8．網絡的擴展性網絡良好的擴大(dà)性可(kě)以讓供給商在相稱長一段時(shí)光內(nèi)連續供給一緻服務，而無需進行(xíng)新的投資，咱們在網絡設計(jì)中也充足斟酌到了這一點。網絡主交流機Cat6509采取模塊設計(jì)，最多(duō)可(kě)以支持到384個(gè)10/100個(gè)疾速以太端口，或130個(gè)千兆以太端口。其交換帶寬可(kě)以從32Gbps（15Mpps）擴展到256Gbps（150Mpps），用戶能夠依據須要選配端口。建造物主交換機Cat4006也采用模塊設計(jì)，支持六個(gè)接口插槽，最多(duō)可(kě)以擴展到240個(gè)快捷以太端口，72個(gè)千兆以太端口。樓層交換機Cat2924支撐10/100自适應端口速率，而且2924支持多(duō)交換機重疊，在端口數(shù)不夠時(shí)，可(kě)以簡便地裁減端口而無需增添上(shàng)層交換機的端口。 Cat4006可(kě)以通(tōng)過千兆以太通(tōng)道(dào)技(jì)巧來(lái)提升主幹連接速率，Cat2924也同樣支持倏地以太通(tōng)道(dào)跟千兆的骨幹銜接，可(kě)以在需要的時(shí)候平滑地從當初的10M/100M/1000M的交換構造進級到100M/1000M/n*1000M的交換結構，成10倍地晉升網絡速率。
　　四、IDC基礎系統建設
　　IDC在前期建設中，重要義務之一是建設其基礎服務系統，IDC的基本系統主要有(yǒu)DNS系統、目錄服務系統、數(shù)據備份系統、安全系統等。 DNS建設在Internet上(shàng)盤算(suàn)機和(hé)網絡設備應用IP地址來(lái)表示的，但(dàn)IP地址很(hěn)難記憶，所以采用和(hé)IP地址絕對應的域名(Domain)來(lái)表現主機和(hé)網絡，DNS(Domain Name Service)即域名服務就是把主機名字和(hé)IP地址作(zuò)相互匹配，供Internet上(shàng)用戶以主機域名的方法相互查問。
　　DNS是向用戶提供域名查詢或域名登錄服務，其與Internet中的其它域名服務器(qì)形玉成球域名服務體(tǐ)制(zhì)。通(tōng)常DNS服務器(qì)采用兩台或多(duō)台的方式來(lái)運行(xíng)，其中一台主服務器(qì)（Primary），其它為(wèi)次服務器(qì)（Second）,當主服務器(qì)不能工作(zuò)時(shí)，有(yǒu)任何一台次服務器(qì)來(lái)接收其工作(zuò)，這樣保證了DNS系統運行(xíng)的可(kě)靠性，主次服務器(qì)之間(jiān)采用主動信息更新方式。 IDC的DNS系統除了要為(wèi)IDC本身服務之外，還(hái)要為(wèi)其客戶提供相應的域名定義、為(wèi)用戶開(kāi)設虛構域名服務等。所以在IDC的DNS服務器(qì)上(shàng)可(kě)能要定義和(hé)管理(lǐ)上(shàng)百個(gè)或更多(duō)域名，由于有(yǒu)如此多(duō)的域名，其天天接收的查詢量也是相當龐大(dà)的。
　　為(wèi)了保證IDC的DNS域名的可(kě)靠性和(hé)安全性，我們采用Split DNS技(jì)術(shù)來(lái)設計(jì)IDC的DNS系統，即把IDC的DNS系統劃分為(wèi)內(nèi)部和(hé)外部兩部分，其中外部DNS系統位于公共服務區(qū)，負責IDC正常對外解析工作(zuò)，如IDC的Web服務器(qì)、IDC用戶的Web服務器(qì)等解析工作(zuò)全由外部DNS服務器(qì)來(lái)完成；內(nèi)部DNS系統主要有(yǒu)兩項工作(zuò)，一是負責解析IDC內(nèi)部網絡的主機，如目錄服務器(qì)、郵件服務器(qì)等，另一工作(zuò)是負責當內(nèi)部要查詢Internet上(shàng)域名時(shí)，其把查詢任務轉發到外部DNS服務器(qì)上(shàng)，然後由外部DNS服務器(qì)完成查詢任務，返回成果。由于把DNS系統分內(nèi)外兩部分，Internet上(shàng)用戶隻能看到外部DNS系統中的服務器(qì)，而看不見內(nèi)部的服務器(qì)，而且隻有(yǒu)內(nèi)外DNS服務器(qì)之間(jiān)交換DNS查詢信息，從而保證了系統的安全性。
　　我們采用兩台Sun E420R服務器(qì)作(zuò)為(wèi)外部DNS服務器(qì)，兩台Sun E420R服務器(qì)作(zuò)為(wèi)內(nèi)部DNS服務器(qì)，所有(yǒu)兩台服務器(qì)之間(jiān)以主次方式運行(xíng)，DNS軟件可(kě)采用Solaris系統中的，也可(kě)使用Internet上(shàng)公然的Bind。詳細的服務器(qì)配置如下表所示。 DNS服務器(qì)機器(qì)型号配 置備 注外部DNS 主DNS服務器(qì) Sun E420R 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk 次DNS服務器(qì) Sun E420R 2x450MHz UltraSPARC CPU 1GB Memory 1x18.2GB Internal Disk 可(kě) 選內(nèi)部DNS 主DNS服務器(qì) Sun E420R 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk 次DNS服務器(qì) Sun E420R 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk 可(kě) 選
　　五、保險性建設
　　系統安全架構的設計(jì)将包含兩個(gè)方面：預防IDC網絡外部用戶對IDC網絡系統可(kě)能的攻打，以及避免IDC網絡內(nèi)部各子系統之間(jiān)可(kě)能的襲擊。這兩個(gè)方面所采用的技(jì)術(shù)和(hé)思路是一緻的。系統安全架構将從三個(gè)檔次來(lái)考慮：網絡層、主機/服務器(qì)系統及利用層。 ?網絡層的平安重要是防備對于全部網絡的非法訪問，個(gè)别通(tōng)過防火(huǒ)牆來(lái)實現。通(tōng)過配置了多(duō)級防火(huǒ)牆，以隔離IDC網絡各個(gè)組成局部互相之間(jiān)的非法拜訪（正當訪問可(kě)以通(tōng)過）；對Internet用戶來(lái)講，假如想非法侵入IDC內(nèi)部網絡，必需沖破防火(huǒ)牆的防範。另外，各級防火(huǒ)牆可(kě)采用不同的産品，以進步網絡整體(tǐ)的安全性。 ?
　　主機/服務器(qì)系統的安全是針對個(gè)别機器(qì)的。除了主機/服務器(qì)的操作(zuò)系統自身的安全性之外，目前有(yǒu)多(duō)種産品可(kě)供抉擇，包括SUN公司的Security Manager和(hé)CA公司的Unicenter TNG等産品。 ?應用層的安全将從三個(gè)方面來(lái)考慮：加強應用服務器(qì)系統的安全；采用身份認證機制(zhì)，以保證應用的可(kě)靠性；采用數(shù)據加密技(jì)術(shù)和(hé)防病毒軟件，以保證應用的安全性。
　　1.操作(zuò)系統的安全規劃
　　操作(zuò)系統的安全性建設應是整個(gè)系統安全性建設的基礎。操作(zuò)系統的安全性建設主要包括用戶的管理(lǐ)、超級用戶的管理(lǐ)、文件系統安全管理(lǐ)、遠程對系統的訪問等。用戶管理(lǐ)：對用戶的管理(lǐ)主要有(yǒu)用戶的賬号口令管理(lǐ)，設置用戶賬号的有(yǒu)效期，用戶賬号口令的存活期限等。如果需要可(kě)以劃定用戶隻能在指定的時(shí)間(jiān)內(nèi)才幹登錄系統，并對登錄系統的用戶進行(xíng)審核（audit）。超級用戶的管理(lǐ)：嚴厲制(zhì)約有(yǒu)一般用戶變成超級用戶（如使用su、rlogin等命令），如果需要可(kě)以使用如CA Unicenter TNG這樣的軟件來(lái)節制(zhì)系統超級用戶的權限。文件系統的安全管理(lǐ)：掌握用戶對系統內(nèi)特别文件的訪問權限，特殊是删除、挪動等權限，對使用NFS系統可(kě)以采用kerberos方式認證。遠程對系統的訪問：關閉系統的telnet、ftp、r-訪問（rsh、rlogin、rcp）等功能；但(dàn)可(kě)以對系統管理(lǐ)員開(kāi)放相應的telnet、ftp功能，以方便于對系統的管理(lǐ)和(hé)維護。
　　2．防病毒(Anti-Virus)
　　目前病毒在網絡和(hé)Internet上(shàng)傳布主要以電(diàn)子郵件和(hé)Web閱讀的方式傳播，以及內(nèi)部網絡上(shàng)員工的共享文件的流傳。防病毒可(kě)以分為(wèi)集中防病毒和(hé)疏散防病毒兩種方法。集中防病毒的方式是在主要的服務器(qì)上(shàng)安裝防病毒軟件，此軟件先對進出此服務器(qì)的數(shù)據進行(xíng)檢查，而後再把通(tōng)過檢討(tǎo)的數(shù)據發送給客戶；分散防病毒是隻在客戶端裝置防病毒軟件，它隻檢查進出客戶真個(gè)數(shù)據是否有(yǒu)病毒沾染。因為(wèi)IDC主要為(wèi)客戶服務，數(shù)據主要集中在服務器(qì)上(shàng)，所以在IDC系統的防病毒系統中主要采用集中防病毒辦法，但(dàn)同時(shí)對一些(xiē)與服務器(qì)相交戶的內(nèi)部客戶段（如管理(lǐ)客戶段）也采用分散的防病毒方法。集中防病毒主要是對進出的郵件和(hé)HTTP流數(shù)據進行(xíng)防病毒；分散是維護內(nèi)部網的單個(gè)終端用戶。
　　3．防火(huǒ)牆(Firewall)
　　防火(huǒ)牆(Firewall)是保證網絡安全的重要手段之一，在建設IDC基礎網絡系統安全性時(shí)，首先是要考慮防火(huǒ)牆的建設。在Internet/Intranet上(shàng)，通(tōng)過防火(huǒ)牆來(lái)在兩個(gè)或多(duō)個(gè)網絡間(jiān)增強訪問控制(zhì)，其目标是保護一個(gè)網絡不受來(lái)自另一個(gè)網絡的攻擊，隔離風險區(qū)域與安全區(qū)域的連接，但(dàn)不妨害人(rén)們對危險區(qū)域的訪問。防火(huǒ)牆要完成如下主要功能： ?通(tōng)過對IP包的檢查，過濾對網絡安全有(yǒu)潛在要挾的IP數(shù)據包。 ?屏蔽對于網絡不用要且有(yǒu)安全漏洞的服務，如Telnet、FTP等。 ?控制(zhì)從Internet上(shàng)過來(lái)的IP數(shù)據的流向，如數(shù)據包其目的地址隻能是某個(gè)區(qū)域的DNS、WWW等服務器(qì)。 ?屏蔽對于某些(xiē)Internet站(zhàn)點的訪問。 ?完成系統內(nèi)部IP地址到Internet合法IP地址的轉換，保證可(kě)以從系統內(nèi)部訪問Internet，暗藏內(nèi)部網絡和(hé)主機的結構。 ?訪問日記，即Access Log。 IDC不僅要建設自己的防火(huǒ)牆系統，同時(shí)也要考慮特定的用戶需要建立起自己的防火(huǒ)牆系統，即用需要在其自己的應用前增設相應的防火(huǒ)牆系統來(lái)保護其應用的安全（這可(kě)根據用戶的實際需求再進行(xíng)建設）。
　　4. 網絡和(hé)系統入侵監控
　　網絡和(hé)系統的入侵檢測是在網絡上(shàng)增加一台掃描儀器(qì)和(hé)在主要服務器(qì)上(shàng)增長相應的防入侵軟件來(lái)實現。此類防入侵軟件有(yǒu)兩個(gè)主要功能，一個(gè)掃描網絡和(hé)系統上(shàng)的安全破綻，以便在網絡和(hé)系統建立初期，就解決好安全問題，此功能也屬于安全保護範疇；另一個(gè)功能是在網絡和(hé)系統運行(xíng)時(shí)，監控數(shù)據流，及時(shí)發現黑(hēi)客入侵，從而做(zuò)到防止黑(hēi)客的入侵。在IDC系統中，在每個(gè)重要的服務獲得(de)網絡的進口處安置一個(gè)探測器(qì)，對每個(gè)進出此段網絡的數(shù)據流進行(xíng)檢查探測，當其發明(míng)某一個(gè)數(shù)據流不是畸形的數(shù)據流時(shí)，探測器(qì)把此數(shù)據流截獲住，并向位于管理(lǐ)區(qū)的管理(lǐ)服務器(qì)發送入侵信息和(hé)忠告，然後由管理(lǐ)服務器(qì)在做(zuò)相應的防備對策。同時(shí)在每個(gè)服務器(qì)上(shàng)安裝有(yǒu)相似的探測器(qì)，所以當黑(hēi)客入侵服務器(qì)系統時(shí)，也是采用上(shàng)述動作(zuò)。
　　六、數(shù)據存儲系統
　　1． IDC存儲系統綜述
　　在新的以信息為(wèi)核心的時(shí)代，如何更有(yǒu)效的管理(lǐ)、保護和(hé)共享企業信息已為(wèi)各行(xíng)業的發展提出了新的挑釁。尤其在電(diàn)子商務、互連網絡等新興信息行(xíng)業範疇，更是面臨着前所未有(yǒu)的巨大(dà)挑戰。在傳統的分布式處理(lǐ)模式下，網站(zhàn)內(nèi)所有(yǒu)的信息分布在內(nèi)部各個(gè)服務器(qì)上(shàng)，信息的管理(lǐ)，信息的可(kě)用性受到了很(hěn)大(dà)的限制(zhì)，不能充分施展應有(yǒu)的作(zuò)用，而且系統的升級和(hé)新業務的開(kāi)發部署也都不能及時(shí)響應Internet快速變化的要求，在這種情況下，以信息為(wèi)中心的集中處理(lǐ)模式應時(shí)期的需要再次走上(shàng)了曆史舞台，而構建企業信息基礎設施則更是集中處理(lǐ)模式的重中之重。對于Internet網站(zhàn)來(lái)說，幾分鍾的宕機都會(huì)帶來(lái)巨大(dà)的經濟喪失以及不可(kě)估計(jì)的網絡用戶的散失，如果宕機的時(shí)間(jiān)再長一些(xiē)則可(kě)能危及整個(gè)網站(zhàn)的性命。
　　因此整個(gè)IT系統的高(gāo)可(kě)用性變的無比重要，而作(zuò)為(wèi)信息系統核心的數(shù)據部分的高(gāo)可(kě)用性更是重中之重，服務器(qì)的宕機可(kě)以通(tōng)過多(duō)台服務器(qì)冗餘帶來(lái)保護，然而如果服務器(qì)上(shàng)的數(shù)據沒有(yǒu)有(yǒu)效的保護或成為(wèi)訪問瓶頸，則可(kě)能成為(wèi)緻命的缺點。另外，分布式的環境給信息系統管理(lǐ)帶來(lái)了偉大(dà)的阻礙。數(shù)據分布在衆多(duō)的平台和(hé)服務器(qì)之上(shàng)，備份和(hé)管理(lǐ)的工作(zuò)變的越來(lái)越複雜，多(duō)個(gè)服務器(qì)上(shàng)分散的數(shù)據很(hěn)難共享，而且這種分散的存儲模式也帶來(lái)了宏大(dà)的資源揮霍，系統管理(lǐ)職員無奈在多(duō)個(gè)系統間(jiān)有(yǒu)效的調度存儲資源。再有(yǒu)，這種處理(lǐ)模式也不利于新業務的快速部署，而更快的測試、部署新的應用象征着更快的搶占市場(chǎng)，吸援用戶，這在Internet中無疑是有(yǒu)着舉足輕重的意思。 IDC之間(jiān)的競争目前主要表示是網絡帶寬、基礎設施等IDC的基礎因素的比較，跟着IDC産生(shēng)的越來(lái)越多(duō)，IDC之間(jiān)的競争已經表現在如何能夠為(wèi)IDC的用戶提供更多(duō)的數(shù)據及安全服務，如：防火(huǒ)牆、數(shù)據備份、鏡像站(zhàn)點、負載均衡、統計(jì)分析等數(shù)據安全、管理(lǐ)、分析等增值服務。
　　IDC如何應用現有(yǒu)的帶寬優勢、基礎設施上(shàng)風來(lái)提供更多(duō)的數(shù)據增值服務并且最大(dà)的緊縮成本是将來(lái)IDC之間(jiān)競争的制(zhì)勝寶貝。因而IDC如何可(kě)能提供更多(duō)的數(shù)據掩護、數(shù)據管理(lǐ)服務成為(wèi)IDC建立時(shí)系統設計(jì)的一個(gè)主要方面。實在謎底是很(hěn)簡單的，那(nà)就是集中存儲管理(lǐ)。作(zuò)為(wèi)IDC的集中存儲系統需求要面對未來(lái)IDC用戶的需求的多(duō)樣性，可(kě)以依照模塊方式為(wèi)用戶提供模塊化的服務。作(zuò)為(wèi)IDC的存儲中央首先應當具備極高(gāo)的安全性，試想如果存儲系統發生(shēng)問題如作(zuò)甚用戶服務，存儲中心還(hái)應該存在很(hěn)強的功能彈性：可(kě)以實現集中的數(shù)據備份、冗災、連接主機的多(duō)樣性等等。作(zuò)為(wèi)存儲中心的成本可(kě)以有(yǒu)兩種評測，一種是簡單的容量成本，另一種是與IDC系統有(yǒu)關系關聯的功能或服務本錢(qián)。第一種比拟簡略，第二種我們可(kě)以通(tōng)過以下兩個(gè)示例來(lái)闡明(míng)：示例一：良多(duō)Web Hosting 用戶需要使用高(gāo)速的文件訪問，請(qǐng)求容量配置管理(lǐ)簡單、擴容便利。假設有(yǒu)400台主機需要托管并且主機類型主要是NT、 LINUX等平台。
　　如果每台主機都通(tōng)過光纖通(tōng)道(dào)的IO通(tōng)道(dào)，則我們需要在每台主機上(shàng)安裝一個(gè)FC的卡，價錢(qián)大(dà)概是US$2000.00，那(nà)麽我們共需要80萬美金，如果将這些(xiē)成本加到用戶身上(shàng)顯然分歧适。示例二：如果有(yǒu)100台SUN或HP的服務器(qì)提供ASP等業務，用戶需要對數(shù)據進行(xíng)備份保護，那(nà)麽普通(tōng)情形下需要在每台服務器(qì)上(shàng)安設備份軟件，如果每套軟件價格大(dà)約US$15000.00，需要破費150萬美金，并且這種備份方式要站(zhàn)用大(dà)批的網絡資源和(hé)服務器(qì)的計(jì)算(suàn)資源。既然存儲服務是中心化的，有(yǒu)不更好的解決方案，答(dá)案是NETAPP的FILER。通(tōng)過下面的方案先容我們就會(huì)清楚為(wèi)什麽目前10大(dà)IDC中會(huì)有(yǒu)9家(jiā)采用NETAPP的存儲解決計(jì)劃來(lái)為(wèi)IDC的用戶提供基礎設施和(hé)增值服務。
　　2．存儲系統的建設目的
　　存儲系統重點是對整個(gè)網站(zhàn)內(nèi)的數(shù)據進行(xíng)整合，建立起真正的企業存儲平台，在同一的企業存儲平台上(shàng)建破集中式的處理(lǐ)中央，更有(yǒu)效的實現業務處置，并極大(dà)的提高(gāo)系統的可(kě)管感性，下降系統的管理(lǐ)難度及管理(lǐ)開(kāi)銷，提高(gāo)信息的可(kě)用性和(hé)共享性。
　　存儲系統要達到的建設目标如下： ?完成數(shù)據整合，建立全網站(zhàn)的信息基礎設施，在統一的信息存儲平台上(shàng)高(gāo)效的完成業務處理(lǐ)，将所有(yǒu)應用系統連入已采用的智能存貯系統平台，進行(xíng)數(shù)據整合，整合後整個(gè)網站(zhàn)的數(shù)據信息将位于統一的企業存儲平台之上(shàng)。 ?
　　在新的信息基礎設施上(shàng)更有(yǒu)效的完成系統管理(lǐ)，降低(dī)系統管理(lǐ)的難度和(hé)工作(zuò)量，從單點實現對企業存儲平台的統一管理(lǐ)和(hé)控制(zhì)。 ?利用新的信息基礎設施最大(dà)限度的提高(gāo)信息的共享性，信息共享可(kě)在存貯系統平台內(nèi)快速有(yǒu)效的完成，無需占用網絡資源。 ?提高(gāo)信息的可(kě)訪問性和(hé)訪問速度，所有(yǒu)的數(shù)據磁帶備份工作(zuò)，可(kě)通(tōng)過備份機利用本地磁盤鏡像數(shù)據來(lái)完成，有(yǒu)效降低(dī)生(shēng)産系統的備份窗口需求，大(dà)大(dà)延永生(shēng)産系統的在線服務時(shí)間(jiān)。一個(gè)完整的存儲系統還(hái)應與數(shù)據備份系統做(zuò)到無逢結合，即存儲系統還(hái)到達如下目标： ?關鍵數(shù)據實事實時(shí)備份 ?要害業務系統的主機實現熱備份 ?關鍵業務系統的網絡部門(mén)實現熱備份詳細目标如下: ?症結數(shù)據實現遠程實時(shí)備份，備份技(jì)術(shù)應不占用主機資源，對應用系統無任何影(yǐng)響。 ?
　　建立劫難備份中心。 ?在災害備份中心，放置主機系統以用作(zuò)熱備份，其處理(lǐ)才能為(wèi)生(shēng)産中心主機的80％以上(shàng)。 ?
　　在災害備份中心，建立網絡備份系統，其中包括備份網絡設備如路由器(qì)、HUB等和(hé)備份線路，備份線路的接入分局應不同于出産中心連接的分局。 在存儲系統建成後，IDC的信息系統将為(wèi)未來(lái)的發展（包括業務和(hé)技(jì)術(shù)）奠定了堅實可(kě)靠的電(diàn)子信息基礎架構。所有(yǒu)的業務可(kě)以在這一信息基礎架構長進行(xíng)集中的把持和(hé)統一的管理(lǐ)。信息的可(kě)用性、保護性和(hé)可(kě)管理(lǐ)性将大(dà)大(dà)提高(gāo)。系統的可(kě)擴展性和(hé)機動性也将比傳統的散布式存儲方式大(dà)大(dà)改良，可(kě)以充分知足目前及未來(lái)的業務發展和(hé)管理(lǐ)的需要。
　　3．存儲方案概述 IDC的存儲系統是為(wèi)應用提供服務的，所以在設計(jì)IDC存儲系統時(shí)，必需要考慮到所服務的類型。IDC的服務類型主要有(yǒu)：Web服務（Web-hosting）、數(shù)據庫、郵件、目錄、計(jì)費系統等。根據應用服務的類型和(hé)特點，我們把數(shù)據庫、郵件、目錄、計(jì)費等系統計(jì)劃為(wèi)一類，此類服務的特點是服務器(qì)的種類雷同，如數(shù)據庫服務器(qì)全為(wèi)Sun ,存儲的數(shù)據共享型少(shǎo)，比較集中；把Web服務歸為(wèi)另一類，Web服務器(qì)可(kě)能是多(duō)廠家(jiā)的（Sun, PC server）,而Web服務的內(nèi)容共享型比較多(duō)，特别是在Web負載均衡時(shí)，要求多(duō)台Web服務器(qì)的提供的內(nèi)容要一緻。 ?核心交換層：由兩台CISCO6509多(duō)層交換機構成，實現雙機容錯工作(zuò)，保證數(shù)據的高(gāo)速、無梗阻的交換。 ?策略分布層：可(kě)以由一組CSS11000系列內(nèi)容交換機組成，負責完成服務器(qì)負載均衡和(hé)策略分布任務。 ?服務器(qì)訪問層：由一組Cat3524交換機組成，完成托管服務器(qì)的高(gāo)速接入工作(zuò)。 ?後端網絡：由兩台CISCO6509形成，實現雙機容錯工作(zuò)，實現IDC管理(lǐ)中心，數(shù)據庫、郵件、應用等服務器(qì)和(hé)存儲系統的連接，托管服務器(qì)通(tōng)過第二塊網卡和(hé)後端網絡相連，保證獨立和(hé)高(gāo)速的數(shù)據訪問。同時(shí)，後端網絡通(tōng)過防火(huǒ)牆和(hé)前端的核心網絡連接，實現IDC管理(lǐ)中心對前端網絡的管理(lǐ)，防火(huǒ)牆則為(wèi)後端網絡提供更嚴格的保護。 ?用戶訪問層：由若幹台Cat4000和(hé)一組Cat2924組成，提供企業和(hé)個(gè)人(rén)用戶接入，提供INTERNET上(shàng)網，企業用戶還(hái)可(kě)以通(tōng)過VLAN和(hé)自己的托管服務器(qì)連接實現日常的維護工作(zuò)。