张令勇, 钟磊

(1 中国移动通信集团设计院有限公司山东分公司，济南 250101; 2 山东劳动职业技术学院，济南 250022）

1 概述

IDC（Internet Data Centre，互联网数据中心）是适应信息时代的市场需要而诞生的一种新兴业务，随着IDC的推广和发展，IDC已成为运营商为集团客户提供互联网平台服务的极为重要的宽带基础业务。

IDC为互联网内容提供商（ICP）、政府、企业和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络带宽以及云服务等业务，已成为运营商业务收入新的增长点。IDC机房应运而生，在IDC机房内如何能够快速搭建一套IDC系统，是摆在技术人员面前的一个重点，下面介绍一种规划组网方法。

2 IDC系统组网设计

IDC系统由核心路由器、汇聚交换机、接入交换机、网络安全设备、统一DPI系统、信息安全系统、服务器及存储、后台管理系统、SDN控制系统等组成，IDC系统组网架构如图1所示。

2.1 核心网络

核心网络主要涉及核心路由器、防火墙、汇聚交换机。核心路由器承担IDC系统内流量的路由转发功能。上联CMNet省网和骨干网，其中省网流量为省内客户服务，骨干网为省外用户服务。防火墙对重要的关键业务进行流量隔离。汇聚交换机负责IDC业务的流量汇聚，上联核心路由器，下联接入交换机。

本节重点介绍核心网络设备之间的互联链路流量规划，假如IDC出口带宽连接国干流量（Gbit/s）为2×A（口子型连接），连接省干的流量（Gbit/s）为2×B（口子型连接），通过防火墙的流量为C(根据经验，一般为出口总流量的20%)，则设备之间的互联链路如图2所示。

图1 IDC系统组网架构

图2 核心网络设备互联规划

互联的原则是，路由器能相互接管所有流量、汇聚交换机能相互接管所有流量。

2.2 网络安全设备

IDC系统内的网络安全设备主要包括防DDOS、IDS、防病毒等，配置原则和链路流量如表1和图3所示。

2.3 统一DPI和安全管控系统

统一DPI指使用一套DPI设备对链路上的流量进行采集与识别，实现数据采集、流量识别、流量镜像、日志合成等功能，并将满足其它系统所需的流量或分析统计数据分发给各第三方应用系统服务器。

根据要求，需要在IDC系统出口部署统一DPI设备，在IDC系统内部署信息安全管控系统（覆盖100%链路）。安全管控系统和统一DPI对接，从DPI内获取数据，组网及链路流量如图4所示。

（1） DPI设备与流量分发设备的链路：根据现网经验，数据流经过DPI设备后，过滤镜像后的数据量一般在20%以内；实际组网时，1台DPI设备需要连接多台流量分发设备，一般按照4倍的实际流量进行链路连接。

（2）流量分发设备与话单合成设备的链路：话单合成设备负责日志合成、分析统计等功能，一般按照2倍的实际流量进行链路连接。

（3）DPI系统和信息安全管控系统的链路：DPI系统需要把3类数据（RX方向TCP—HTTP中的GET请求分组、RX方向的除HTTP Get外的数据全量输出、TX和RX方向HTTP全部文字数据流量）传给信息安全管控系统，故DPI系统和信息管控的探针之间按照3倍的实际流量进行链路连接。

表1 网络安全设备配置原则

图3 网络安全设备组网

2.4 SDN应用

在IDC系统中应用SDN技术，主要使用SDN的三种功能：基于SDN+VXLAN的云服务、SDN流量调优、SDN高效运维，如图5所示。

2.5 其他

IDC系统内的服务器和存储都挂接在业务区下，并通过后台管理系统进行统一资源管理，满足IDC客户对主机租赁、存储租赁、云服务等IDC增值业务需求，并可向客户提供主机、存储等硬件设备维修、保养等服务。

后台管理系统还要实现针对IDC业务的管理功能，如表2所示。

3 结束语

一个典型的IDC已经不仅仅是骨干网的一个高速接入网，而且还应该是所有独立网络的高速对等网，是同任何网络平级的网络基础设施。本文介绍的组网方案是一个IDC系统所必须具备的前提条件，随着IDC业务向增值业务方向发展，组网方案也会越来也复杂，用到的新技术也越来越多。

图4 统一DPI和信息安全管控系统组网

图5 IDC系统内SDN功能应用

表2 后台管理系统功能