论文部分内容阅读
摘要:本文对某市IDC 网络基础设施和结构存在的问题进行了分析,并提出了网络改进方案,最后总结了改进方案的实施效果。
关键词:IDC;网络改造;方案
中图分类号:TP31 文献标识码:A 文章编号:1674-7712 (2012) 10-0085-01
河北网通某市IDC网络原由Internet互联/核心交换层和接入层构成。多年以来,IDC网络不断扩大规模、优化结构,先后经过三期扩容和改造,逐步建成了一个多层交换的大型LAN结构,接入层采用多台思科交换机,这些交换机作为纯二层交换机来使用,采用多条GE链路和核心交换机互连。IDC托管用户的主机与各个接入层交换机相连。
一、网络存在的问题
IDC网络规模逐渐从小到大,但是基本结构一直是端到端的Vlan分布结构,随着用户数量和业务流量的迅速增加,这种网络基础设施和结构已经不能满足业务稳定发展的要求。具体问题体现在以下方面:
(一)网络攻击频繁影响核心交换机性能。来自互联网的恶意攻击日益严重,原IDC网络对于DDOS攻击缺乏有效的防御措施和侦测手段。很难做到事先预防、事后及时排除。出现攻击后如果不及时采取措施,这样核心交换机就有大量的arp请求,导致7609CPU立即升高到99%。
来自IDC机房内部的病毒频繁发作,通过ARP欺骗手段干扰其它客户的正常通讯,是最普遍的一种攻击方式。它不仅造成其它用户通讯中断,而且7609的CPU升高,严重时还可能导致其它用户的帐号口令等保密信息被窃取。
路由器的CPU升高会直接影响IDC机房所有客户的出口时延及丢包率,甚至导致服务质量严重下降,客户纷纷投诉。
(二)带宽资源的浪费。全网共有几十个Vlan,在每台接入层交换机上可以看到全网大多数的Vlan。这样的结构导致同一Vlan内部的通讯往往需要穿过7609核心才能完成;此外,端到端的定义Vlan还使得接入交换机上联到7609核心的链路无法做Vlan修剪,大量的广播流量在整个网络中穿行无阻。这些都会浪费我们的设备处理能力以及宝贵的带宽资源。
(三)业务没有清晰分类,客户没有明确分级。现有客户没有进行分级分类,提供的是一种无差别的服务,重要的VIP用户享受不到特别的服务,与一般的用户完全等同。自有的平台业务与托管客户混接在一起,造成管理上的模糊。
(四)IP地址规划不合理。重要客户和一些散户同在一个网段,散户的安全性较差,容易感染病毒,进而影响到重要客户的服务质量。不同业务在同一网段,同一业务在不同网段,界面划分不清楚。
(五)网络管理手段不具备。该IDC网络客户数量较多,应用繁杂,流量巨大,已有20多个业务平台和几千台设备。管理如此规模的网络目前使用的还是免费的网管软件,功能仅仅包括端口的流量监控,和对主要设备CPU、MEMORY的监控等最基本的功能。处理问题还处于使用PC终端抓包分析,对于比较复杂的大流量的攻击没有定位的能力。
(六)增值服务能力不具备。该IDC机房改造前提供的服务仍旧停留在基本的人力资源投资上,对现在客户急需的网络安全增值服务以及各种专家级的技术支持上还很少。
二、改造方案
(一)核心层与汇聚层分离
改造方案的首要部分就是将Vlan的网关从7609核心下移到当时的接入交换机这一层级,将Vlan终结在这些接入交换机上。接入交换机与两台7609核心通过OSPF动态路由协议互相学习路由,在7609上不再设置Vlan网关,而是开启OSPF进程,并将OSPF重分发到BGP中。这样改造后,从托管用户的角度来看,从托管主机向外访问,网关应设为直连的45交换机,第二跳到达7609核心,第三跳到达省网GSR,虽然多了一跳,但是对交换机来说,时延是不用考虑的,所以对客户业务来说并无影响。
改造后的网络,不仅核心7609的CPU将不再受到攻击的影响,而且将会大大缩小故障影响范围,加快故障定位速度,相应地提高了我们的工作效率。
(二)自有平台与托管客户汇聚交换机分离,大客户与散户汇聚分离
网络优化的第二部分内容就是将客户分离,最重要的目的是将重要客户的受影响几率与范围尽可能降到最小。所以在网络采用三层下移时,即使采用较大容量的交换机也不能达到目的,也就是说新的汇聚层交换机容量不需太大,只要具备强大的包处理能力和高可靠性就可以。我们根据主机数量的不同,在每个楼层放置1-2台汇聚层交换机。这样改造后,可以针对业务的不同可在交换机上进行特殊的策略控制。
(三)IP地址适当调整
制定资源管理规范,按照资源分配原则,将部分的IP地址重新规划,并对处在一个较大的vlan中的客户按照客户分类重新调配IP地址资源,以保证自有平台与托管客户、重要客户与一般散户的IP地址段分离,逐步实现网络清晰、服务分级。
(四)增加安全防护产品,提高提供安全服务与增值服务的能力
1.增加安全防护产品。根据当时的互联网状况以及未来的IDC业务发展情况,为了保持和拓展在IDC业务领域的优势,获得现实和未来竞争的主动权,方案中提出增加以下安全防护设备:
(1)防DDOS攻击设备。用于网络安全防护或为客户提供增值服务。(2)专用SNIFFER设备。IDC网络中数据流量较大,通过使用专用的sniffer设备用于对某一台交换机上的数据进行分析,及时定位攻击源或目的。(3)防火墙等其他综合安全产品。用来提供增值产品或为自有应用平台服务。
2.购置综合网管软件,实现IDC机房网络管理智能化。根据目前的业务需求,建议购置综合网管软件,能够实现综合数据分析能力,挖掘IDC业务数据内隐藏的潜在风险与市场机遇。并且通过网管软件同时能够实现对IDC流量异常检测,并与防火墙等安全设备实现联动,达到对重要的业务实现自动防护。
三、实施效果
事实证明,通过以上的网络改造与优化,该IDC网络得到了较好的优化:
(一)核心交换机稳定性大大提高
在网络改造前的某个月里,因DDOS攻击导致4次核心交换机的CPU利用率达到90%以上,而网络改造后的一个年度里,7609的CPU利用率没有出现类似情况,极大地提高了7609的稳定性。
(二)带宽可利用率明显提高
原来每台汇聚交换机分别与两台核心交换机通过1GE相连,但只有其中的1GE可用,网络改造后,两条GE链路可以实现负载均衡,利用率可达90%以上。
(三)IDC网络的稳定性提高,IDC服务品质上升
通过改造优化,实现了IDC网络的高性能、安全、扩展和可管理性,并且通过对重点业务提供安全增值服务,实现事前预防,事后处理的及时、高效,保障了重点客户、VIP大客户以及该IDC的自有应用的服务安全、稳定、高效,实现了差异化服务,提升了IDC增值服务的能力,为IDC网络客户提供了一个高品质的网络平台。
关键词:IDC;网络改造;方案
中图分类号:TP31 文献标识码:A 文章编号:1674-7712 (2012) 10-0085-01
河北网通某市IDC网络原由Internet互联/核心交换层和接入层构成。多年以来,IDC网络不断扩大规模、优化结构,先后经过三期扩容和改造,逐步建成了一个多层交换的大型LAN结构,接入层采用多台思科交换机,这些交换机作为纯二层交换机来使用,采用多条GE链路和核心交换机互连。IDC托管用户的主机与各个接入层交换机相连。
一、网络存在的问题
IDC网络规模逐渐从小到大,但是基本结构一直是端到端的Vlan分布结构,随着用户数量和业务流量的迅速增加,这种网络基础设施和结构已经不能满足业务稳定发展的要求。具体问题体现在以下方面:
(一)网络攻击频繁影响核心交换机性能。来自互联网的恶意攻击日益严重,原IDC网络对于DDOS攻击缺乏有效的防御措施和侦测手段。很难做到事先预防、事后及时排除。出现攻击后如果不及时采取措施,这样核心交换机就有大量的arp请求,导致7609CPU立即升高到99%。
来自IDC机房内部的病毒频繁发作,通过ARP欺骗手段干扰其它客户的正常通讯,是最普遍的一种攻击方式。它不仅造成其它用户通讯中断,而且7609的CPU升高,严重时还可能导致其它用户的帐号口令等保密信息被窃取。
路由器的CPU升高会直接影响IDC机房所有客户的出口时延及丢包率,甚至导致服务质量严重下降,客户纷纷投诉。
(二)带宽资源的浪费。全网共有几十个Vlan,在每台接入层交换机上可以看到全网大多数的Vlan。这样的结构导致同一Vlan内部的通讯往往需要穿过7609核心才能完成;此外,端到端的定义Vlan还使得接入交换机上联到7609核心的链路无法做Vlan修剪,大量的广播流量在整个网络中穿行无阻。这些都会浪费我们的设备处理能力以及宝贵的带宽资源。
(三)业务没有清晰分类,客户没有明确分级。现有客户没有进行分级分类,提供的是一种无差别的服务,重要的VIP用户享受不到特别的服务,与一般的用户完全等同。自有的平台业务与托管客户混接在一起,造成管理上的模糊。
(四)IP地址规划不合理。重要客户和一些散户同在一个网段,散户的安全性较差,容易感染病毒,进而影响到重要客户的服务质量。不同业务在同一网段,同一业务在不同网段,界面划分不清楚。
(五)网络管理手段不具备。该IDC网络客户数量较多,应用繁杂,流量巨大,已有20多个业务平台和几千台设备。管理如此规模的网络目前使用的还是免费的网管软件,功能仅仅包括端口的流量监控,和对主要设备CPU、MEMORY的监控等最基本的功能。处理问题还处于使用PC终端抓包分析,对于比较复杂的大流量的攻击没有定位的能力。
(六)增值服务能力不具备。该IDC机房改造前提供的服务仍旧停留在基本的人力资源投资上,对现在客户急需的网络安全增值服务以及各种专家级的技术支持上还很少。
二、改造方案
(一)核心层与汇聚层分离
改造方案的首要部分就是将Vlan的网关从7609核心下移到当时的接入交换机这一层级,将Vlan终结在这些接入交换机上。接入交换机与两台7609核心通过OSPF动态路由协议互相学习路由,在7609上不再设置Vlan网关,而是开启OSPF进程,并将OSPF重分发到BGP中。这样改造后,从托管用户的角度来看,从托管主机向外访问,网关应设为直连的45交换机,第二跳到达7609核心,第三跳到达省网GSR,虽然多了一跳,但是对交换机来说,时延是不用考虑的,所以对客户业务来说并无影响。
改造后的网络,不仅核心7609的CPU将不再受到攻击的影响,而且将会大大缩小故障影响范围,加快故障定位速度,相应地提高了我们的工作效率。
(二)自有平台与托管客户汇聚交换机分离,大客户与散户汇聚分离
网络优化的第二部分内容就是将客户分离,最重要的目的是将重要客户的受影响几率与范围尽可能降到最小。所以在网络采用三层下移时,即使采用较大容量的交换机也不能达到目的,也就是说新的汇聚层交换机容量不需太大,只要具备强大的包处理能力和高可靠性就可以。我们根据主机数量的不同,在每个楼层放置1-2台汇聚层交换机。这样改造后,可以针对业务的不同可在交换机上进行特殊的策略控制。
(三)IP地址适当调整
制定资源管理规范,按照资源分配原则,将部分的IP地址重新规划,并对处在一个较大的vlan中的客户按照客户分类重新调配IP地址资源,以保证自有平台与托管客户、重要客户与一般散户的IP地址段分离,逐步实现网络清晰、服务分级。
(四)增加安全防护产品,提高提供安全服务与增值服务的能力
1.增加安全防护产品。根据当时的互联网状况以及未来的IDC业务发展情况,为了保持和拓展在IDC业务领域的优势,获得现实和未来竞争的主动权,方案中提出增加以下安全防护设备:
(1)防DDOS攻击设备。用于网络安全防护或为客户提供增值服务。(2)专用SNIFFER设备。IDC网络中数据流量较大,通过使用专用的sniffer设备用于对某一台交换机上的数据进行分析,及时定位攻击源或目的。(3)防火墙等其他综合安全产品。用来提供增值产品或为自有应用平台服务。
2.购置综合网管软件,实现IDC机房网络管理智能化。根据目前的业务需求,建议购置综合网管软件,能够实现综合数据分析能力,挖掘IDC业务数据内隐藏的潜在风险与市场机遇。并且通过网管软件同时能够实现对IDC流量异常检测,并与防火墙等安全设备实现联动,达到对重要的业务实现自动防护。
三、实施效果
事实证明,通过以上的网络改造与优化,该IDC网络得到了较好的优化:
(一)核心交换机稳定性大大提高
在网络改造前的某个月里,因DDOS攻击导致4次核心交换机的CPU利用率达到90%以上,而网络改造后的一个年度里,7609的CPU利用率没有出现类似情况,极大地提高了7609的稳定性。
(二)带宽可利用率明显提高
原来每台汇聚交换机分别与两台核心交换机通过1GE相连,但只有其中的1GE可用,网络改造后,两条GE链路可以实现负载均衡,利用率可达90%以上。
(三)IDC网络的稳定性提高,IDC服务品质上升
通过改造优化,实现了IDC网络的高性能、安全、扩展和可管理性,并且通过对重点业务提供安全增值服务,实现事前预防,事后处理的及时、高效,保障了重点客户、VIP大客户以及该IDC的自有应用的服务安全、稳定、高效,实现了差异化服务,提升了IDC增值服务的能力,为IDC网络客户提供了一个高品质的网络平台。