文/陈安

一、 IDC的流量模型

在传统的电信IDC机房中，业务以硬件资源租赁为主，电信提供硬件物理服务器、机柜、VIP机房及出口资源，针对少量有特定需求的租户，提供流量清洗、防攻击等安全保护服务。在这类IDC机房所运营的业务模型来看，每个租户都是一个独立的网络，形成了一个个孤岛，这种孤岛型业务网络，其流量模型具有如下特点

1、 纵向流量为主，流量很大

（1）、每个用户之间的业务是相互独立的，“孤岛”之间是相互隔离的。因此，IDC的流量是以纵向流量为主。

（2）、纵向流量的瓶颈在于IDC的出口带宽。当前视频流量占据互联带宽90%以上，IDC租户对带宽需求很大。

2、 应用简单，内部横向流量较小

每一个“孤岛”都具有自己的应用服务，业务独立，很少会出现内部应用服务器之间大量的数据交互。因此，内部横向交互流量较小。

3、业务流量透明

传统IDC出租硬件资源，运营商对于租户在硬件上运行何种业务并不关心，对于客户的流量也不需要了解。

新型电信IDC机房运营业务以软件资源租赁为主，租户之间共享同一硬件资源，运营商IDC需要做的就是利用自身的硬件和软件资源构造各种应用服务集群，对外直接提供服务。这种业务模型下，流量有如下特点：

1、 应用复杂，横向流量为主，流量巨大

每个业务集群为了保证有足够的服务能力，会有大量的服务器。在服务器组内部有大量交互业务流量，包括：协同交互数据、同步数据、并行文件数据等等。交互业务流量大小取决于服务器组的规模和应用服务的复杂程度。服务器足规模越大、服务越复杂，则内部交互流量越大。反之亦然。

2、 应用丰富，客户规模巨大，纵向流量增长迅速

随着IDC应用服务的不断发展，提供的应用服务越来越多。同时，随着软件保护政策在中国的推行，客户端上的盗版软件会越来越少。这时，绝大部分普通客户和企业客户都会选择IDC的应用服务。IDC的应用服务客户规模会以级数增加。对运营商IDC来说，由于客户群的大量增加，会导致IDC纵向流量的快速增加。

3、 可用性要求极高

在未来的IDC客户中，大量的客户会共同使用IDC提供的应用服务。应用服务的可用性代表了IDC的市场竞争力。如果某一个应用服务集群出现异常，影响的不是一个或几个企业客户。受到影响而出现损失的可能是一个省甚至是几个省的相关客户。所以，再未来IDC中，对于应用服务器集群的可用性有极高的要求。

4、业务流量监控

未来IDC出租软件服务。运营商对于客户的业务非常关心，对于客户的流量需要细致了解。只有深入地了解了客户的应用流量状况，才能够动态的调整硬件、软件资源，为客户提高更好的服务，从而提高自身的竞争力

二、 IDC网络路由设计

根据IDC逻辑拓扑的划分，IDC网络分为出口路由区、核心交换区、接入网络区和增值业务区四个部分，但从路由设计角度而言，可以以核心交换机为界，将IDC网络划分为内部网络和外部网络两大区域，如下图所示：

1、 外部区域路由规划

外部网络区域由CR路由器和核心交换机组成，主要外出IDC内网和外部网络之间的互通。其中CR路由通常直接连接ChinaNet和城域网，其路由设计如下：

l CR路由器与外部163、CN2网络之间运行EBGP，发布路由时仅发布聚合后的业务路由。

l CR路由器之间通过IBGP互相发布和学习业务路由

l CR路由器和核心交换机之间运行OSPF，CR发布默认路由给核心交换机，并将OSPF路由引入到IBGP。

2、 内部区域路由规划

在内网区域，主要设备就是核心交换机，同时由于开展云业务的需要，特别是类似于云桌面等业务，通常在核心交换机上旁挂部署NAT设备（例如防火墙等）。此时内网区域路由设计如下：

上行方向：

l 根据业务需要，在交换机下行口配置策略路由，将流量引上FW

l FW配置默认路由指向核心交换机

l 核心交换机通过OSPF，学习外部路由，将流量发给CR

l 对于不需要上FW的流量，直接通过OSPF路由转发到外网

下行方向：

l 需返回到FW的流量，通过明细路由（目的IP为NAT后IP）回FW

l FW配置业务网段路由指向核心交换机

l 核心交换机作为服务器的网关，将流量转发给服务器

l 对于不需要到FW的流量，直接转发至内网

三、 IDC网络的安全部署

在电信的IDC机房中，租户规模巨大，纵向流量和横向流量都是非常大的，目前稍大点IDC机房的纵向流量就达到100G级别。在这样的组网环境中部署安全设备，如果直接将流量引流至FW或IPS等安全设备，安全设备肯定无法承受。那么在IDC组网中如何部署安全设备进行安全防护呢？根据传统型IDC机房和云计算新型IDC机房不同，其部署安全的方式有所不同。

1、 传统IDC业务安全部署

在传统IDC业务中，每个租户都是独立的网络、技术、存储资源，运营商在考虑安全设计时的出发点是某个租户内部网络出现故障不能影响其他租户的业务运行。如下图所示，传统IDC组网一般的做法是：

 在IDC出口路由器通过采样引流，将流量引至流量分析设备，通过该设备分析判断是否存在攻击流量

‚ 若存在攻击流量，则通知旁挂部署在CR路由器的流量清洗设备

ƒ 流量清洗设备下发32位BGP路由到CR路由器，并将该异常流量引流流量清洗设备进行清洗

„ 流量清洗完后再送回到核心交换机

2、 新型IDC业务安全部署

在新型IDC的云服务业务中，资源以软件形式呈现，因此安全部署的设计除了如传统做法之外，还会考虑以软件形式进行部署，即软件防火墙或软件IPS等。云服务业务通常部署在虚拟机上，软件防火墙或IPS即通过将硬件设备以软件形式部署在虚拟机上，通过流量引流，将进出虚拟机的流量先通过软件防火墙或IPS，由此达到安全部署的目的。

四、 IDC网络的可靠性

IDC提供了资源的租赁服务，对于租户而言，运营商IDC网络的可靠性是非常值得关注的。针对IDC网络的可靠性部署，通常设计如下：

l 核心交换机虚拟化后，与上下行设备进行跨框链路聚合，同时配置等价路由；

l 安全设备之间配置VRRP和热备份，VRRP设计NQA探测功能

l 核心交换机上联两台CR路由器，通过OSPF路由负载分担实现链路负载分担和互相备份

l 接入层交换机通过虚拟化后跨设备聚合上联核心交换机

在本期中，重点讲述了IDC机房的业务流量模型及路由设计，也涉及了IDC网络的安全部署和可靠性设计。在新型IDC业务中，由于虚拟机的部署，带来了组网上新的变化，就IDC租户之间的二层网络设计、主机接入设计、租户隔离等方面的内容，将在下一期文章中详细描述。