閱歷了ISP/ICP飛速發(fā)展，.COM公司的風(fēng)靡后，一種新的服務(wù)模式--互聯(lián)網(wǎng)數(shù)據(jù)核心（Internet Data Center，縮寫為IDC）正悄悄崛起。它在國外吸引著像AT&T、AO- 、IBM、Exodus、UUNET等至公司的巨資投入；海內(nèi)豈但四大電信經(jīng)營商中國電信、中國網(wǎng)通、中國聯(lián)通、中國吉通開端做跑馬圈地，一些專業(yè)服務(wù)商如清華萬博、首都在線和世紀互聯(lián)等，也參加了角逐。重慶網(wǎng)站建設(shè)
　　IDC(Internet Data Center) - Internet數(shù)據(jù)中心，它是傳統(tǒng)的數(shù)據(jù)中心與Internet的聯(lián)合，它除了具有傳統(tǒng)的數(shù)據(jù)中心所擁有的特色外，如數(shù)據(jù)集中、主機運行牢靠等，還應(yīng)具有訪問方式的變更、要做到7x24服務(wù)、反映速度快等。IDC是一個提供資源外包服務(wù)的基地，它應(yīng)具有十分好的機房環(huán)境、安全保證、網(wǎng)絡(luò)帶寬、主機的數(shù)目和主機的機能、大的存儲數(shù)據(jù)空間、軟件環(huán)境以及優(yōu)良的服務(wù)性能。
　　IDC作為提供資源外包服務(wù)的基地，它可以為企業(yè)和各類網(wǎng)站提供專業(yè)化的服務(wù)器托管、空間租用、網(wǎng)絡(luò)批發(fā)帶寬甚至ASP、EC等業(yè)務(wù)。簡單地輿解，IDC是對入駐(Hosting)企業(yè)、商戶或網(wǎng)站服務(wù)器群托管的場合；是各種模式電子商務(wù)賴以安全運作的基礎(chǔ)設(shè)施，也是支持企業(yè)及其貿(mào)易同盟(其分銷商、供應(yīng)商、客戶等)實行價值鏈管理的平臺。形象地說，IDC是個高品德機房，在其建設(shè)方面，對各個方面都有很高的要求。
　　IDC的建設(shè)主要在如下幾個方面：網(wǎng)絡(luò)建設(shè) IDC主要是靠其有一個高性能的網(wǎng)絡(luò)為其客戶提供服務(wù)，這個高性能的網(wǎng)絡(luò)包括其- AN、WAN和與Internet接入等方面。
　　IDC的網(wǎng)絡(luò)建設(shè)主要有：
　　- IDC的- AN的建設(shè)，包括其- AN的基礎(chǔ)結(jié)構(gòu)，- AN的層次，- AN的性能。
　　- IDC的WAN的建設(shè)，即IDC的各分支機構(gòu)之間彼此連接的廣域網(wǎng)的建設(shè)等。
　　- IDC的用戶接入系統(tǒng)建設(shè)，即如何保證IDC的用戶以安全、可靠的方式把數(shù)據(jù)傳到IDC的數(shù)據(jù)中心，或?qū)拇嬖贗DC的用戶自己的設(shè)備進行維護，這需要IDC為用戶提供相應(yīng)的接入方式，如撥號接入、專線接入及VPN等。
　　- IDC與Internet互聯(lián)的建設(shè)。
　　- IDC的網(wǎng)絡(luò)管理建設(shè)，由于IDC的網(wǎng)絡(luò)結(jié)構(gòu)相當龐大而且龐雜，要保證其網(wǎng)絡(luò)不間斷對外服務(wù)，而且高性能，必須有一高性能的網(wǎng)絡(luò)管理系統(tǒng)。
　　服務(wù)器建設(shè) IDC的服務(wù)器建設(shè)可分為多個方面，總體上分為基礎(chǔ)服務(wù)系統(tǒng)服務(wù)器和應(yīng)用服務(wù)系統(tǒng)服務(wù)器，主要有：
　　- 基礎(chǔ)系統(tǒng)服務(wù)器：這類服務(wù)器是保障IDC為用戶提供各種服務(wù)的前提，這類服務(wù)器有DNS服務(wù)器、目錄服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、防火墻服務(wù)器、各類安全服務(wù)器、IDC系統(tǒng)性能監(jiān)控服務(wù)器等等。
　　- 數(shù)據(jù)庫服務(wù)器：它是保證IDC可認為用戶提供各種應(yīng)用服務(wù)的基礎(chǔ)，IDC的數(shù)據(jù)庫服務(wù)器必須能支持大容量訪問、多種數(shù)據(jù)庫等。
　　- 數(shù)據(jù)備份服務(wù)器：它是IDC為客戶提供安全服務(wù)的內(nèi)容之一，保證客戶的數(shù)據(jù)安全可靠。由于IDC的服務(wù)器品種繁多、有多種數(shù)據(jù)庫，所以數(shù)據(jù)備份要支持多機型、多種數(shù)據(jù)格局等等，而且容量要大。
　　- 應(yīng)用服務(wù)器：是IDC為用戶提供相干應(yīng)用服務(wù)的服務(wù)器。由于IDC的業(yè)務(wù)擴展，所以應(yīng)用服務(wù)器應(yīng)具有很好的擴展性，以及支持各類應(yīng)用軟件的數(shù)量要多。
　　- 服務(wù)器的負載平衡： 這是IDC提供高性能、高可靠性服務(wù)的重要方法之一，服務(wù)器的負載均衡可由硬件設(shè)備（如網(wǎng)絡(luò)交換設(shè)備）或軟件的方法實現(xiàn)。存儲系統(tǒng)的建設(shè)存儲系統(tǒng)是IDC的重點建設(shè)內(nèi)容之一，作為一個IDC，其存儲系統(tǒng)是相稱龐大的，特別是在現(xiàn)在的企業(yè)中，數(shù)據(jù)的容量以由GB級增加到TB級，如斯大的數(shù)據(jù)需要有一個更加安全、可靠的存儲系統(tǒng)，由于訪問的數(shù)量也是相當龐大的，所以對存儲系統(tǒng)的效力也有很高的要求；而且存儲系統(tǒng)應(yīng)具有很好的擴展性，以滿意IDC的發(fā)展的需求。軟件系統(tǒng)的建設(shè)軟件系統(tǒng)的建設(shè)是IDC需要大量投入的方面，它是在前面網(wǎng)絡(luò)、服務(wù)器和存儲系統(tǒng)建設(shè)的基礎(chǔ)上，IDC發(fā)展對外服務(wù)的手腕。IDC在軟件建設(shè)的主要有： 重慶網(wǎng)站制作
　　- Web系統(tǒng)：IDC開展Web-Hosting服務(wù)內(nèi)容之一，Web系統(tǒng)軟件應(yīng)支持在一個系統(tǒng)上能建立為多家企業(yè)服務(wù)的Web系統(tǒng)功能等。 - 電子郵件系統(tǒng)：電子郵件系統(tǒng)應(yīng)支持多種電子郵件協(xié)定，如SMTP、POP3、IMAP4、Web-Mai- 和Voice-Mai- 等，同時電子郵件系統(tǒng)應(yīng)有很好擴展性等。
　　- 數(shù)據(jù)庫系統(tǒng)：IDC應(yīng)樹立多廠家的數(shù)據(jù)庫系統(tǒng)，如應(yīng)有Orac- e、Informix、SQ- Server、SyBase等廠家的數(shù)據(jù)庫，以滿意不同用戶的需要。
　　- 安全系統(tǒng)：如防火墻軟件（硬件防火墻除外）、防黑客入侵、防病毒軟件等。這是保證IDC為用戶提供安全服務(wù)器的條件。 - 數(shù)據(jù)備份軟件:支持多備份裝備、多種廠家的機器、多種數(shù)據(jù)庫等等。
　　- 應(yīng)用開發(fā)系統(tǒng)：IDC應(yīng)提供相應(yīng)的開發(fā)系統(tǒng)平臺，提供相應(yīng)的開發(fā)工具，滿足用戶或IDC開發(fā)相應(yīng)應(yīng)用的需求。 IDC自身服務(wù)系統(tǒng)建設(shè) IDC是靠其優(yōu)質(zhì)的服務(wù)來占領(lǐng)市場和博得客戶的，為了做到優(yōu)質(zhì)高效服務(wù)，IDC在其自身服務(wù)器系統(tǒng)的建設(shè)上也必須有大量的投入。IDC自身服務(wù)系統(tǒng)主要有：
　　- 客戶關(guān)系管理系統(tǒng)(CRM): CRM是IDC與客戶建立良好關(guān)系的基礎(chǔ)服務(wù)系統(tǒng)，它為IDC提供的用戶的發(fā)展動態(tài)以及用戶的新的需求等。
　　- 計費體系：計費系統(tǒng)是IDC收入的保障。
　　- 網(wǎng)絡(luò)與服務(wù)器管理系統(tǒng)：IDC有宏大的網(wǎng)絡(luò)和服務(wù)器系統(tǒng)，要治理好這些系統(tǒng)，必須有一個功效強盛的網(wǎng)絡(luò)、服務(wù)器和運用管理系統(tǒng)，此能保證IDC對外的服務(wù)品質(zhì)。
　　- IDC的內(nèi)部管理系統(tǒng)：保證IDC內(nèi)部各部分能夠統(tǒng)一和諧工作，完成高質(zhì)量的服務(wù)。機房場地建設(shè)機房場地的建設(shè)是IDC前期建設(shè)投入最大的部分。由于IDC的用戶可能把其重要的數(shù)據(jù)和應(yīng)用都存放在IDC的機房中，所以對IDC機房場地環(huán)境的要求是異常高的。IDC的機房場地建設(shè)主要在如下幾個方面：
　　- 機房裝修：機房裝修主要考慮吊頂、隔絕墻、門窗、墻壁和運動地板等。
　　- 供電系統(tǒng)：供電系統(tǒng)是IDC的場地建設(shè)重點之一，由于IDC的大量設(shè)備需要極大的電力功率，所以供電系統(tǒng)的可靠性建設(shè)、擴展性是極其重要的。供電系統(tǒng)建設(shè)主要有：供電功率、UPS建設(shè)（n+1）、配電柜、電線、插座、照明系統(tǒng)、接地系統(tǒng)、防雷和自發(fā)電系統(tǒng)等。
　　- 空調(diào)系統(tǒng)：機房的溫度、透風(fēng)方式和機房空氣環(huán)境等。
　　- 安全系統(tǒng)：門禁系統(tǒng)、消防系統(tǒng)和監(jiān)控系統(tǒng)。 - 布線系統(tǒng)：機房應(yīng)有完整的綜合布線系統(tǒng)，布線系統(tǒng)包括數(shù)據(jù)布線、語音布線、終端布線。 - 通訊系統(tǒng)：包括數(shù)據(jù)線帶寬、語音線路數(shù)量等。
　　二、IDC網(wǎng)絡(luò)功能結(jié)構(gòu)
　　三、IDC網(wǎng)絡(luò)建設(shè)
　　采用風(fēng)行的以太網(wǎng)絡(luò)結(jié)構(gòu)，核心交換：Cat6509多層交換機分布層交換或周邊修建物內(nèi)主干：Cat4006交換機接入層交換機：Cat2924XL交換機由于考慮到在酒店和寫字樓內(nèi)從新進行數(shù)據(jù)布線有必定艱苦，所以采用TDSL技術(shù)實現(xiàn)樓內(nèi)的數(shù)據(jù)傳輸，所有數(shù)據(jù)交換設(shè)備都集中在中心機房內(nèi)，但網(wǎng)絡(luò)的總體結(jié)構(gòu)不變。核心交換使用兩臺Catalyst 6509構(gòu)成，構(gòu)成全冗余的高速網(wǎng)絡(luò)核心。分布層交換機Catalyst 4006使用兩條千兆線路分辨與兩臺6509相連，造成冗余的千兆主干。樓層交換機使用Catalyst 2924XL交換機。 Cat6509上的千兆端口還用來連接其他的節(jié)點，與其余節(jié)點的LAN一起構(gòu)成一個分布式的城域規(guī)模的數(shù)據(jù)中心的結(jié)構(gòu)。
　　1．Internet接入網(wǎng)絡(luò)結(jié)構(gòu)由于本系統(tǒng)Internet接入服務(wù)用戶主要來自于各寫字樓內(nèi)的公司和高等酒店、公寓內(nèi)的客人和住戶，且各寫字樓相距較近，所以全體采用LAN結(jié)構(gòu)為這些用戶提供接入服務(wù).
　　2．用CACHE加速INTERNET訪問 Internet的發(fā)展趨勢是盡可能地將內(nèi)容在地理上湊近用戶，由于本方案中INTERNET接入用戶的大都來自與商務(wù)寫字樓和酒店公寓，其對INTERNET的訪問具有很大的反復(fù)性，所以有效地安排CACHE可以大大地降低INTERNET接入的帶寬負荷，提高內(nèi)容的相應(yīng)速度。另外，由于現(xiàn)在INTERNET上呈現(xiàn)越來越多的多媒體情勢的內(nèi)容，指望拓寬INTERNET出口帶寬來提高用戶對這些內(nèi)容的訪問速度是基本不現(xiàn)實的，而使用CACHE技術(shù)對INTERNET上的這些內(nèi)容進行緩存，不但可以使這些內(nèi)容對用戶變得現(xiàn)實可用，提高用戶的虔誠度，而且還可以通過按期定制一些多媒體節(jié)目在CACHE中，以有償?shù)姆绞较蛴脩籼峁@就演變成了一種增值服務(wù)。重慶做網(wǎng)站
　　總之，CACHE對IDC以及ISP都是必不可少的，經(jīng)營者可以通過靈巧地使用CACHE來最大限度地降低成本，提升利潤。我們提議使用NETAPP公司的NetCache C1105來提供緩存服務(wù)，將其連接在INTERNET接入路由器上提供服務(wù)。
　　NetCache C1105的特點：可靠性/可用性/可擴展性專用的體系結(jié)構(gòu)專一于內(nèi)容可用性的提供微碼的核心系統(tǒng)，在增加數(shù)據(jù)可用性的前提下達到最小的開銷 WAFL（Write Anywhere File System）NetApp專利的文件系統(tǒng)優(yōu)化了磁盤到網(wǎng)絡(luò)的傳輸冗余的熱插拔電源 ECC內(nèi)存保護 OS的冗余拷貝簡化的管理專用的內(nèi)容管理和投遞軟件大型部署時的多系統(tǒng)管理當用剖析與講演的日志快速的安裝與啟動企業(yè)框架軟件集成提供集中的應(yīng)用管理基于WEB與CLI的管理溫度、電源監(jiān)控提供可猜測的系統(tǒng)管理安 全加固了的TCP/IP協(xié)議棧在沒有防火墻的保護下也能抵抗一般的網(wǎng)絡(luò)攻擊 Icap-enabled 過濾和病毒檢測本地支持的第三方過濾表 NTLM、LDAP與RADIUS認證支持 ACL 多協(xié)議支持HTTP、FTP、NNTP 支持主要的流技術(shù)(MMS，RTSP，QuickTime) iCAP-enabled 應(yīng)用提供靈活的對增值服務(wù)的訪問
　　3．服務(wù)器負載均衡的實現(xiàn)對于大部分站點而言，采用多個服務(wù)器而不是一臺大型服務(wù)器，可以提高服務(wù)器的響應(yīng)性能，減少服務(wù)器的單點故障。但多臺服務(wù)器的采用，必須考慮服務(wù)器的負載均衡問題。在本方案中服務(wù)器置于 CSS11800內(nèi)容服務(wù)交換機之后，所以由CSS11800完成服務(wù)器的負載均衡。 CSS11000系列通過ACA(Arrowpoint Content Assure protocol) 制訂負荷參數(shù)，取舍最小負荷的服務(wù)器提供用戶所需的內(nèi)容。同時CSS11000系列還支持加權(quán)輪詢-Weighted Round Robin；最小連接機制；最大連接數(shù)限制等多種算法實現(xiàn)負載均衡。 Cisco CSS 11000系列內(nèi)容服務(wù)交換機是業(yè)界獨一的動態(tài)負載均衡交換機，采器具有專利權(quán)的ACA算法，可以根據(jù)Cache服務(wù)器的命中率、流建立數(shù)和RTT(Round Trip Time)挑選最適合的服務(wù)器應(yīng)答用戶的要求。與其他的負載均衡設(shè)備比較，CSS具有更高的負載均衡能力，由于它是一種基于流的交換機，其他廠家的負載均衡設(shè)備則是基于包的交換機。基于包的解決方案通過檢測對某一特定內(nèi)容的請求時的每個包來做轉(zhuǎn)發(fā)決議，這樣重大增加了CPU的累贅。而作為基于流的交換機的CSS，一旦流建立起來后，該流所有的流量都將以線速轉(zhuǎn)發(fā)。
　　CSS以下面的多種方法支持負載均衡： ? 具有專利權(quán)的ACA負載均衡算法 ? 輪詢(Round Robin, RR) ? 加權(quán)輪詢(Weighted Round Robin, WRR) ? 起碼連接(Least Connection, LC)/最大連接(Max Connection) ? 目的IP地址 ? 源IP地址 ? 域/域Hash算法(Domain/Domain hash) ? URL/URL Hash算法考慮到建設(shè)初期，負載均衡交換機不是必須的設(shè)備，而且也不是所有的托管站點都需要負載均衡功能，所以，我們倡議先不采用負載均衡設(shè)備，等到有需求的時候再增加。
　　4．WEB服務(wù)器的連接我們?yōu)镮DC中的每臺托管服務(wù)器都配置兩組網(wǎng)卡，一組用于前端網(wǎng)絡(luò)的連接，提供WEB訪問；另一組用于后端網(wǎng)絡(luò)的連接，提供對數(shù)據(jù)庫、郵件等服務(wù)器以及存儲系統(tǒng)的訪問。通過使用不同的網(wǎng)絡(luò)通道進行數(shù)據(jù)庫等后盾應(yīng)用訪問，可以使服務(wù)器更充分的利用網(wǎng)絡(luò)帶寬來相應(yīng)WEB懇求；同時，后端網(wǎng)絡(luò)與前端網(wǎng)絡(luò)的分別可以讓數(shù)據(jù)庫訪問、文件存取等要求高速、大容量的數(shù)據(jù)訪問享有更多的網(wǎng)絡(luò)帶寬。服務(wù)器通過一組接入交換機Cat3524連入主干交換網(wǎng)絡(luò)。
　　5．后端網(wǎng)絡(luò)的設(shè)計因為后端網(wǎng)絡(luò)連接IDC管理中心，數(shù)據(jù)庫、郵件等服務(wù)器和大容量存儲系統(tǒng)，需要高速的交換系統(tǒng)，所以我們使用兩臺Cat6509交換機作冗余的中心，連接一組Cat3524提供和WEB服務(wù)器的連接；對于數(shù)據(jù)庫等服務(wù)器和存儲系統(tǒng)，可以采用千兆以太端口或千兆以太通道提供高達數(shù)Gbps的直接連接。
　　6．用戶的遠程維護正常情況下，IDC用戶會要求遠程維護自己的托管服務(wù)器，由于用戶只容許對自己托管的服務(wù)器進行訪問，因此，必須采用如：VPN、VLAN等技術(shù)保證這一點。通過連接到后端網(wǎng)絡(luò)的廣域網(wǎng)路由器可以提供用戶通過專線、撥號、VPN等各種方式實現(xiàn)遠程維護。對遠程維護的行動進行可以通過以下多少種方式進行： ?DDN專線：用戶通過DDN專線連接到IDC中心，通過策略路由或VLAN被限度只能訪問本人的服務(wù)器，進行維護。 ?PSTN或ISDN撥號：用戶通過撥號線路訪問IDC中心，身份認證由AAA Server進行，并進行行為受權(quán)，保證用戶只能訪問到自己的服務(wù)器進行維護。 ?VPN：用戶可能間隔IDC中心太遠，從各方面不具備通過DDN或PSTN線路訪問IDC中心的前提，這是可以通過INTERNET采用VPN的方式與IDC中心連接并保護服務(wù)器。這種情況下，由VPN Server或VPN 路由器保證連接的安全性和可靠性。VPN的實現(xiàn)可以采用IPSec地道和MPLS VPN技術(shù)，在保證信息準確可達的情況下，對用戶信息進行高強度的加密，保證用戶信息的不被竊取和完全性。 對于本地接入的公司所托管的服務(wù)器，由于公司LAN和托管服務(wù)器處于一個LAN結(jié)構(gòu)之內(nèi)，所以，服務(wù)器運行維護可以通過定義VLAN進行。
　　7．網(wǎng)絡(luò)安全的考慮網(wǎng)絡(luò)的安全主要通過防火墻和入侵檢測系統(tǒng)來體現(xiàn)，通過部署防火墻系統(tǒng)，可以將網(wǎng)絡(luò)劃分成幾個安全等級不同的部分，對于要求安全等級高的部分，還可以通過部署多級防火墻來提供安全保護。入侵檢測系統(tǒng)則可以對歹意的入侵行為進行探測，進行記載。這部分內(nèi)容參見第三章第二節(jié)"安全性建設(shè)"。
　　8．網(wǎng)絡(luò)的擴展性網(wǎng)絡(luò)良好的擴大性可以讓供給商在相稱長一段時光內(nèi)連續(xù)供給一致服務(wù)，而無需進行新的投資，咱們在網(wǎng)絡(luò)設(shè)計中也充足斟酌到了這一點。網(wǎng)絡(luò)主交流機Cat6509采取模塊設(shè)計，最多可以支持到384個10/100個疾速以太端口，或130個千兆以太端口。其交換帶寬可以從32Gbps（15Mpps）擴展到256Gbps（150Mpps），用戶能夠依據(jù)須要選配端口。建造物主交換機Cat4006也采用模塊設(shè)計，支持六個接口插槽，最多可以擴展到240個快捷以太端口，72個千兆以太端口。樓層交換機Cat2924支撐10/100自適應(yīng)端口速率，而且2924支持多交換機重疊，在端口數(shù)不夠時，可以簡便地裁減端口而無需增添上層交換機的端口。 Cat4006可以通過千兆以太通道技巧來提升主干連接速率，Cat2924也同樣支持倏地以太通道跟千兆的骨干銜接，可以在需要的時候平滑地從當初的10M/100M/1000M的交換構(gòu)造進級到100M/1000M/n*1000M的交換結(jié)構(gòu)，成10倍地晉升網(wǎng)絡(luò)速率。
　　四、IDC基礎(chǔ)系統(tǒng)建設(shè)
　　IDC在前期建設(shè)中，重要義務(wù)之一是建設(shè)其基礎(chǔ)服務(wù)系統(tǒng)，IDC的基本系統(tǒng)主要有DNS系統(tǒng)、目錄服務(wù)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、安全系統(tǒng)等。 DNS建設(shè)在Internet上盤算機和網(wǎng)絡(luò)設(shè)備應(yīng)用IP地址來表示的，但IP地址很難記憶，所以采用和IP地址絕對應(yīng)的域名(Domain)來表現(xiàn)主機和網(wǎng)絡(luò)，DNS(Domain Name Service)即域名服務(wù)就是把主機名字和IP地址作相互匹配，供Internet上用戶以主機域名的方法相互查問。
　　DNS是向用戶提供域名查詢或域名登錄服務(wù)，其與Internet中的其它域名服務(wù)器形玉成球域名服務(wù)體制。通常DNS服務(wù)器采用兩臺或多臺的方式來運行，其中一臺主服務(wù)器（Primary），其它為次服務(wù)器（Second）,當主服務(wù)器不能工作時，有任何一臺次服務(wù)器來接收其工作，這樣保證了DNS系統(tǒng)運行的可靠性，主次服務(wù)器之間采用主動信息更新方式。 IDC的DNS系統(tǒng)除了要為IDC本身服務(wù)之外，還要為其客戶提供相應(yīng)的域名定義、為用戶開設(shè)虛構(gòu)域名服務(wù)等。所以在IDC的DNS服務(wù)器上可能要定義和管理上百個或更多域名，由于有如此多的域名，其天天接收的查詢量也是相當龐大的。
　　為了保證IDC的DNS域名的可靠性和安全性，我們采用Split DNS技術(shù)來設(shè)計IDC的DNS系統(tǒng)，即把IDC的DNS系統(tǒng)劃分為內(nèi)部和外部兩部分，其中外部DNS系統(tǒng)位于公共服務(wù)區(qū)，負責(zé)IDC正常對外解析工作，如IDC的Web服務(wù)器、IDC用戶的Web服務(wù)器等解析工作全由外部DNS服務(wù)器來完成；內(nèi)部DNS系統(tǒng)主要有兩項工作，一是負責(zé)解析IDC內(nèi)部網(wǎng)絡(luò)的主機，如目錄服務(wù)器、郵件服務(wù)器等，另一工作是負責(zé)當內(nèi)部要查詢Internet上域名時，其把查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部DNS服務(wù)器上，然后由外部DNS服務(wù)器完成查詢?nèi)蝿?wù)，返回成果。由于把DNS系統(tǒng)分內(nèi)外兩部分，Internet上用戶只能看到外部DNS系統(tǒng)中的服務(wù)器，而看不見內(nèi)部的服務(wù)器，而且只有內(nèi)外DNS服務(wù)器之間交換DNS查詢信息，從而保證了系統(tǒng)的安全性。
　　我們采用兩臺Sun E420R服務(wù)器作為外部DNS服務(wù)器，兩臺Sun E420R服務(wù)器作為內(nèi)部DNS服務(wù)器，所有兩臺服務(wù)器之間以主次方式運行，DNS軟件可采用Solaris系統(tǒng)中的，也可使用Internet上公然的Bind。詳細的服務(wù)器配置如下表所示。 DNS服務(wù)器機器型號配 置備 注外部DNS 主DNS服務(wù)器 Sun E420R 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk 次DNS服務(wù)器 Sun E420R 2x450MHz UltraSPARC CPU 1GB Memory 1x18.2GB Internal Disk 可 選內(nèi)部DNS 主DNS服務(wù)器 Sun E420R 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk 次DNS服務(wù)器 Sun E420R 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk 可 選
　　五、保險性建設(shè)
　　系統(tǒng)安全架構(gòu)的設(shè)計將包含兩個方面：預(yù)防IDC網(wǎng)絡(luò)外部用戶對IDC網(wǎng)絡(luò)系統(tǒng)可能的攻打，以及避免IDC網(wǎng)絡(luò)內(nèi)部各子系統(tǒng)之間可能的襲擊。這兩個方面所采用的技術(shù)和思路是一致的。系統(tǒng)安全架構(gòu)將從三個檔次來考慮：網(wǎng)絡(luò)層、主機/服務(wù)器系統(tǒng)及利用層。 ?網(wǎng)絡(luò)層的平安重要是防備對于全部網(wǎng)絡(luò)的非法訪問，個別通過防火墻來實現(xiàn)。通過配置了多級防火墻，以隔離IDC網(wǎng)絡(luò)各個組成局部互相之間的非法拜訪（正當訪問可以通過）；對Internet用戶來講，假如想非法侵入IDC內(nèi)部網(wǎng)絡(luò)，必需沖破防火墻的防范。另外，各級防火墻可采用不同的產(chǎn)品，以進步網(wǎng)絡(luò)整體的安全性。 ?
　　主機/服務(wù)器系統(tǒng)的安全是針對個別機器的。除了主機/服務(wù)器的操作系統(tǒng)自身的安全性之外，目前有多種產(chǎn)品可供抉擇，包括SUN公司的Security Manager和CA公司的Unicenter TNG等產(chǎn)品。 ?應(yīng)用層的安全將從三個方面來考慮：加強應(yīng)用服務(wù)器系統(tǒng)的安全；采用身份認證機制，以保證應(yīng)用的可靠性；采用數(shù)據(jù)加密技術(shù)和防病毒軟件，以保證應(yīng)用的安全性。
　　1.操作系統(tǒng)的安全規(guī)劃
　　操作系統(tǒng)的安全性建設(shè)應(yīng)是整個系統(tǒng)安全性建設(shè)的基礎(chǔ)。操作系統(tǒng)的安全性建設(shè)主要包括用戶的管理、超級用戶的管理、文件系統(tǒng)安全管理、遠程對系統(tǒng)的訪問等。用戶管理：對用戶的管理主要有用戶的賬號口令管理，設(shè)置用戶賬號的有效期，用戶賬號口令的存活期限等。如果需要可以劃定用戶只能在指定的時間內(nèi)才干登錄系統(tǒng)，并對登錄系統(tǒng)的用戶進行審核（audit）。超級用戶的管理：嚴厲制約有一般用戶變成超級用戶（如使用su、rlogin等命令），如果需要可以使用如CA Unicenter TNG這樣的軟件來節(jié)制系統(tǒng)超級用戶的權(quán)限。文件系統(tǒng)的安全管理：掌握用戶對系統(tǒng)內(nèi)特別文件的訪問權(quán)限，特殊是刪除、挪動等權(quán)限，對使用NFS系統(tǒng)可以采用kerberos方式認證。遠程對系統(tǒng)的訪問：關(guān)閉系統(tǒng)的telnet、ftp、r-訪問（rsh、rlogin、rcp）等功能；但可以對系統(tǒng)管理員開放相應(yīng)的telnet、ftp功能，以方便于對系統(tǒng)的管理和維護。
　　2．防病毒(Anti-Virus)
　　目前病毒在網(wǎng)絡(luò)和Internet上傳布主要以電子郵件和Web閱讀的方式傳播，以及內(nèi)部網(wǎng)絡(luò)上員工的共享文件的流傳。防病毒可以分為集中防病毒和疏散防病毒兩種方法。集中防病毒的方式是在主要的服務(wù)器上安裝防病毒軟件，此軟件先對進出此服務(wù)器的數(shù)據(jù)進行檢查，而后再把通過檢討的數(shù)據(jù)發(fā)送給客戶；分散防病毒是只在客戶端裝置防病毒軟件，它只檢查進出客戶真?zhèn)€數(shù)據(jù)是否有病毒沾染。因為IDC主要為客戶服務(wù)，數(shù)據(jù)主要集中在服務(wù)器上，所以在IDC系統(tǒng)的防病毒系統(tǒng)中主要采用集中防病毒辦法，但同時對一些與服務(wù)器相交戶的內(nèi)部客戶段（如管理客戶段）也采用分散的防病毒方法。集中防病毒主要是對進出的郵件和HTTP流數(shù)據(jù)進行防病毒；分散是維護內(nèi)部網(wǎng)的單個終端用戶。
　　3．防火墻(Firewall)
　　防火墻(Firewall)是保證網(wǎng)絡(luò)安全的重要手段之一，在建設(shè)IDC基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)安全性時，首先是要考慮防火墻的建設(shè)。在Internet/Intranet上，通過防火墻來在兩個或多個網(wǎng)絡(luò)間增強訪問控制，其目標是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊，隔離風(fēng)險區(qū)域與安全區(qū)域的連接，但不妨害人們對危險區(qū)域的訪問。防火墻要完成如下主要功能： ?通過對IP包的檢查，過濾對網(wǎng)絡(luò)安全有潛在要挾的IP數(shù)據(jù)包。 ?屏蔽對于網(wǎng)絡(luò)不用要且有安全漏洞的服務(wù)，如Telnet、FTP等。 ?控制從Internet上過來的IP數(shù)據(jù)的流向，如數(shù)據(jù)包其目的地址只能是某個區(qū)域的DNS、WWW等服務(wù)器。 ?屏蔽對于某些Internet站點的訪問。 ?完成系統(tǒng)內(nèi)部IP地址到Internet合法IP地址的轉(zhuǎn)換，保證可以從系統(tǒng)內(nèi)部訪問Internet，暗藏內(nèi)部網(wǎng)絡(luò)和主機的結(jié)構(gòu)。 ?訪問日記，即Access Log。 IDC不僅要建設(shè)自己的防火墻系統(tǒng)，同時也要考慮特定的用戶需要建立起自己的防火墻系統(tǒng)，即用需要在其自己的應(yīng)用前增設(shè)相應(yīng)的防火墻系統(tǒng)來保護其應(yīng)用的安全（這可根據(jù)用戶的實際需求再進行建設(shè)）。
　　4. 網(wǎng)絡(luò)和系統(tǒng)入侵監(jiān)控
　　網(wǎng)絡(luò)和系統(tǒng)的入侵檢測是在網(wǎng)絡(luò)上增加一臺掃描儀器和在主要服務(wù)器上增長相應(yīng)的防入侵軟件來實現(xiàn)。此類防入侵軟件有兩個主要功能，一個掃描網(wǎng)絡(luò)和系統(tǒng)上的安全破綻，以便在網(wǎng)絡(luò)和系統(tǒng)建立初期，就解決好安全問題，此功能也屬于安全保護范疇；另一個功能是在網(wǎng)絡(luò)和系統(tǒng)運行時，監(jiān)控數(shù)據(jù)流，及時發(fā)現(xiàn)黑客入侵，從而做到防止黑客的入侵。在IDC系統(tǒng)中，在每個重要的服務(wù)獲得網(wǎng)絡(luò)的進口處安置一個探測器，對每個進出此段網(wǎng)絡(luò)的數(shù)據(jù)流進行檢查探測，當其發(fā)明某一個數(shù)據(jù)流不是畸形的數(shù)據(jù)流時，探測器把此數(shù)據(jù)流截獲住，并向位于管理區(qū)的管理服務(wù)器發(fā)送入侵信息和忠告，然后由管理服務(wù)器在做相應(yīng)的防備對策。同時在每個服務(wù)器上安裝有相似的探測器，所以當黑客入侵服務(wù)器系統(tǒng)時，也是采用上述動作。
　　六、數(shù)據(jù)存儲系統(tǒng)
　　1． IDC存儲系統(tǒng)綜述
　　在新的以信息為核心的時代，如何更有效的管理、保護和共享企業(yè)信息已為各行業(yè)的發(fā)展提出了新的挑釁。尤其在電子商務(wù)、互連網(wǎng)絡(luò)等新興信息行業(yè)范疇，更是面臨著前所未有的巨大挑戰(zhàn)。在傳統(tǒng)的分布式處理模式下，網(wǎng)站內(nèi)所有的信息分布在內(nèi)部各個服務(wù)器上，信息的管理，信息的可用性受到了很大的限制，不能充分施展應(yīng)有的作用，而且系統(tǒng)的升級和新業(yè)務(wù)的開發(fā)部署也都不能及時響應(yīng)Internet快速變化的要求，在這種情況下，以信息為中心的集中處理模式應(yīng)時期的需要再次走上了歷史舞臺，而構(gòu)建企業(yè)信息基礎(chǔ)設(shè)施則更是集中處理模式的重中之重。對于Internet網(wǎng)站來說，幾分鐘的宕機都會帶來巨大的經(jīng)濟喪失以及不可估計的網(wǎng)絡(luò)用戶的散失，如果宕機的時間再長一些則可能危及整個網(wǎng)站的性命。
　　因此整個IT系統(tǒng)的高可用性變的無比重要，而作為信息系統(tǒng)核心的數(shù)據(jù)部分的高可用性更是重中之重，服務(wù)器的宕機可以通過多臺服務(wù)器冗余帶來保護，然而如果服務(wù)器上的數(shù)據(jù)沒有有效的保護或成為訪問瓶頸，則可能成為致命的缺點。另外，分布式的環(huán)境給信息系統(tǒng)管理帶來了偉大的阻礙。數(shù)據(jù)分布在眾多的平臺和服務(wù)器之上，備份和管理的工作變的越來越復(fù)雜，多個服務(wù)器上分散的數(shù)據(jù)很難共享，而且這種分散的存儲模式也帶來了宏大的資源揮霍，系統(tǒng)管理職員無奈在多個系統(tǒng)間有效的調(diào)度存儲資源。再有，這種處理模式也不利于新業(yè)務(wù)的快速部署，而更快的測試、部署新的應(yīng)用象征著更快的搶占市場，吸援用戶，這在Internet中無疑是有著舉足輕重的意思。 IDC之間的競爭目前主要表示是網(wǎng)絡(luò)帶寬、基礎(chǔ)設(shè)施等IDC的基礎(chǔ)因素的比較，跟著IDC產(chǎn)生的越來越多，IDC之間的競爭已經(jīng)表現(xiàn)在如何能夠為IDC的用戶提供更多的數(shù)據(jù)及安全服務(wù)，如：防火墻、數(shù)據(jù)備份、鏡像站點、負載均衡、統(tǒng)計分析等數(shù)據(jù)安全、管理、分析等增值服務(wù)。
　　IDC如何應(yīng)用現(xiàn)有的帶寬優(yōu)勢、基礎(chǔ)設(shè)施上風(fēng)來提供更多的數(shù)據(jù)增值服務(wù)并且最大的緊縮成本是將來IDC之間競爭的制勝寶貝。因而IDC如何可能提供更多的數(shù)據(jù)掩護、數(shù)據(jù)管理服務(wù)成為IDC建立時系統(tǒng)設(shè)計的一個主要方面。實在謎底是很簡單的，那就是集中存儲管理。作為IDC的集中存儲系統(tǒng)需求要面對未來IDC用戶的需求的多樣性，可以依照模塊方式為用戶提供模塊化的服務(wù)。作為IDC的存儲中央首先應(yīng)當具備極高的安全性，試想如果存儲系統(tǒng)發(fā)生問題如作甚用戶服務(wù)，存儲中心還應(yīng)該存在很強的功能彈性：可以實現(xiàn)集中的數(shù)據(jù)備份、冗災(zāi)、連接主機的多樣性等等。作為存儲中心的成本可以有兩種評測，一種是簡單的容量成本，另一種是與IDC系統(tǒng)有關(guān)系關(guān)聯(lián)的功能或服務(wù)本錢。第一種比擬簡略，第二種我們可以通過以下兩個示例來闡明：示例一：良多Web Hosting 用戶需要使用高速的文件訪問，請求容量配置管理簡單、擴容便利。假設(shè)有400臺主機需要托管并且主機類型主要是NT、 LINUX等平臺。
　　如果每臺主機都通過光纖通道的IO通道，則我們需要在每臺主機上安裝一個FC的卡，價錢大概是US$2000.00，那么我們共需要80萬美金，如果將這些成本加到用戶身上顯然分歧適。示例二：如果有100臺SUN或HP的服務(wù)器提供ASP等業(yè)務(wù)，用戶需要對數(shù)據(jù)進行備份保護，那么普通情形下需要在每臺服務(wù)器上安設(shè)備份軟件，如果每套軟件價格大約US$15000.00，需要破費150萬美金，并且這種備份方式要站用大批的網(wǎng)絡(luò)資源和服務(wù)器的計算資源。既然存儲服務(wù)是中心化的，有不更好的解決方案，答案是NETAPP的FILER。通過下面的方案先容我們就會清楚為什么目前10大IDC中會有9家采用NETAPP的存儲解決計劃來為IDC的用戶提供基礎(chǔ)設(shè)施和增值服務(wù)。
　　2．存儲系統(tǒng)的建設(shè)目的
　　存儲系統(tǒng)重點是對整個網(wǎng)站內(nèi)的數(shù)據(jù)進行整合，建立起真正的企業(yè)存儲平臺，在同一的企業(yè)存儲平臺上建破集中式的處理中央，更有效的實現(xiàn)業(yè)務(wù)處置，并極大的提高系統(tǒng)的可管感性，下降系統(tǒng)的管理難度及管理開銷，提高信息的可用性和共享性。
　　存儲系統(tǒng)要達到的建設(shè)目標如下： ?完成數(shù)據(jù)整合，建立全網(wǎng)站的信息基礎(chǔ)設(shè)施，在統(tǒng)一的信息存儲平臺上高效的完成業(yè)務(wù)處理，將所有應(yīng)用系統(tǒng)連入已采用的智能存貯系統(tǒng)平臺，進行數(shù)據(jù)整合，整合后整個網(wǎng)站的數(shù)據(jù)信息將位于統(tǒng)一的企業(yè)存儲平臺之上。 ?
　　在新的信息基礎(chǔ)設(shè)施上更有效的完成系統(tǒng)管理，降低系統(tǒng)管理的難度和工作量，從單點實現(xiàn)對企業(yè)存儲平臺的統(tǒng)一管理和控制。 ?利用新的信息基礎(chǔ)設(shè)施最大限度的提高信息的共享性，信息共享可在存貯系統(tǒng)平臺內(nèi)快速有效的完成，無需占用網(wǎng)絡(luò)資源。 ?提高信息的可訪問性和訪問速度，所有的數(shù)據(jù)磁帶備份工作，可通過備份機利用本地磁盤鏡像數(shù)據(jù)來完成，有效降低生產(chǎn)系統(tǒng)的備份窗口需求，大大延永生產(chǎn)系統(tǒng)的在線服務(wù)時間。一個完整的存儲系統(tǒng)還應(yīng)與數(shù)據(jù)備份系統(tǒng)做到無逢結(jié)合，即存儲系統(tǒng)還到達如下目標： ?關(guān)鍵數(shù)據(jù)實事實時備份 ?要害業(yè)務(wù)系統(tǒng)的主機實現(xiàn)熱備份 ?關(guān)鍵業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)部門實現(xiàn)熱備份詳細目標如下: ?癥結(jié)數(shù)據(jù)實現(xiàn)遠程實時備份，備份技術(shù)應(yīng)不占用主機資源，對應(yīng)用系統(tǒng)無任何影響。 ?
　　建立劫難備份中心。 ?在災(zāi)害備份中心，放置主機系統(tǒng)以用作熱備份，其處理才能為生產(chǎn)中心主機的80％以上。 ?
　　在災(zāi)害備份中心，建立網(wǎng)絡(luò)備份系統(tǒng)，其中包括備份網(wǎng)絡(luò)設(shè)備如路由器、HUB等和備份線路，備份線路的接入分局應(yīng)不同于出產(chǎn)中心連接的分局。 在存儲系統(tǒng)建成后，IDC的信息系統(tǒng)將為未來的發(fā)展（包括業(yè)務(wù)和技術(shù)）奠定了堅實可靠的電子信息基礎(chǔ)架構(gòu)。所有的業(yè)務(wù)可以在這一信息基礎(chǔ)架構(gòu)長進行集中的把持和統(tǒng)一的管理。信息的可用性、保護性和可管理性將大大提高。系統(tǒng)的可擴展性和機動性也將比傳統(tǒng)的散布式存儲方式大大改良，可以充分知足目前及未來的業(yè)務(wù)發(fā)展和管理的需要。
　　3．存儲方案概述 IDC的存儲系統(tǒng)是為應(yīng)用提供服務(wù)的，所以在設(shè)計IDC存儲系統(tǒng)時，必需要考慮到所服務(wù)的類型。IDC的服務(wù)類型主要有：Web服務(wù)（Web-hosting）、數(shù)據(jù)庫、郵件、目錄、計費系統(tǒng)等。根據(jù)應(yīng)用服務(wù)的類型和特點，我們把數(shù)據(jù)庫、郵件、目錄、計費等系統(tǒng)計劃為一類，此類服務(wù)的特點是服務(wù)器的種類雷同，如數(shù)據(jù)庫服務(wù)器全為Sun ,存儲的數(shù)據(jù)共享型少，比較集中；把Web服務(wù)歸為另一類，Web服務(wù)器可能是多廠家的（Sun, PC server）,而Web服務(wù)的內(nèi)容共享型比較多，特別是在Web負載均衡時，要求多臺Web服務(wù)器的提供的內(nèi)容要一致。 ?核心交換層：由兩臺CISCO6509多層交換機構(gòu)成，實現(xiàn)雙機容錯工作，保證數(shù)據(jù)的高速、無梗阻的交換。 ?策略分布層：可以由一組CSS11000系列內(nèi)容交換機組成，負責(zé)完成服務(wù)器負載均衡和策略分布任務(wù)。 ?服務(wù)器訪問層：由一組Cat3524交換機組成，完成托管服務(wù)器的高速接入工作。 ?后端網(wǎng)絡(luò)：由兩臺CISCO6509形成，實現(xiàn)雙機容錯工作，實現(xiàn)IDC管理中心，數(shù)據(jù)庫、郵件、應(yīng)用等服務(wù)器和存儲系統(tǒng)的連接，托管服務(wù)器通過第二塊網(wǎng)卡和后端網(wǎng)絡(luò)相連，保證獨立和高速的數(shù)據(jù)訪問。同時，后端網(wǎng)絡(luò)通過防火墻和前端的核心網(wǎng)絡(luò)連接，實現(xiàn)IDC管理中心對前端網(wǎng)絡(luò)的管理，防火墻則為后端網(wǎng)絡(luò)提供更嚴格的保護。 ?用戶訪問層：由若干臺Cat4000和一組Cat2924組成，提供企業(yè)和個人用戶接入，提供INTERNET上網(wǎng)，企業(yè)用戶還可以通過VLAN和自己的托管服務(wù)器連接實現(xiàn)日常的維護工作。