IDC机房网络概况
第一部分:总体情况介绍
一、设备情况
1. 网络设备
目前北京电信IDC网络设备有CISCO 12000系列路由器、6509、4507、3745、3550、2950,Juniper M320、M7i,华为8512、8016等产品,它们分别具有不同的用途。
2. 防火墙
Netscreen
Juniper 网络公司集成安全网关(ISG)是专用的安全性解决方案,利用第四代安全ASIC"GigaScreen3"以及高速微处理器来提供无与伦比的防火墙和VPN性能。Juniper 网络公司ISG 1000 和 ISG 2000都适用于保护企业网络、运营商和数据中心环境的安全,在这些环境中,VoIP和流媒体等高级应用需要可扩展的一致性能。ISG 1000 和ISG 2000集成了最佳的深层检测防火墙、VPN 和DoS解决方案,能够为关键的高流量网络分段提供安全可靠的连接以及网络层和应用层保护。
Cisco FWSM
FWSM安装在Cisco Catalyst 6500系列交换机,让这些设备的任何端口都可以充当防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。Cisco Catalyst 6500 真正成为了那些需要各种智能化服务(例如防火墙接入、入侵检测、虚拟专用网(VPN))和多层LAN、WAN和MAN交换功能的客户的首选IP服务交换机。
3.防DDos攻击设备
黑洞 ( Collapsar )
黑洞(Collapsar)抗拒绝服务系统,是绿盟科技针对各类流行的以及未知类型的DDoS攻击自主研发的新一代安全产品。通过多层的检测、防护算法,及时发现背景流量中的各种攻击流量,迅速对其进行过滤,保证正常流量的通过。黑洞能以透明的串联方式接入,亦可在大网环境中采用基于流量牵引技术的旁路部署方式,避免单点故障的发生,保证网络的可靠性。
4.入侵检测
冰之眼网络入侵检测系统 ( ICEYE NIDS )
冰之眼网络入侵检测系统 ( ICEYE NIDS )是绿盟科技自主知识产权的安全产品,它是对防火墙的有效补充,实时检测网络流量,监控各种网络行为,对违反安全策略的流量及时报警和防护,实现从事前警告、事中防护到事后取证的一体化解决方案。
5.负载均衡
WSD
WSD可消除企业服务器的瓶颈、故障和宕机,同时对资源进行连续保护,防止安全违规,从而实现所有 IP 应用的容错运行,包括 web 服务、联机数据库和电子邮件。通过以 GB 速度管理所有网络流量,WSD 可使本地及全球站点的服务器利用率达到最大化,从而提供完整的服务冗余、经济的运营及企业应用的无缝扩展。
二、IP地址情况
(一)、IP地址资源
1、 静安机房
? 共37个C类IP地址:
218.30.25.0/24-218.30.29.0/24
218.30.96.0/24-218.30.127.0/24
? IDC机房自用IP段:218.30.25.0-218.30.27.0
2、 上地北机房
? 共64个C类IP地址:
211.100.0.0/24-211.100.8.0/24
211.100.9.0/24-211.100.14.0/24(263占用,机房无分配权)
211.100.15.0/24-211.100.63.0/24
? IDC机房自用IP段:211.100.2.0、211.100.4.0、211.100.63.0
3、 兆维机房
? 共64个C类IP地址:220.181.0.0/24-220.181.63.0/24
? IDC机房自用IP段:220.181.0.0、220.181.16.0、220.181.17.0
4、 网管用IP地址范围
192.168.10.0/24
5、 各机房办公区及工位区IP地址范围
兆维工位区:172.16.10.0/24
兆维办公区:192.168.3.0/24
静安办公区:192.168.1.0/24
上地办公区:192.168.2.0/24
(二)、IP地址分配原则
1、 一个C类地址有256个地址,按照2n(n=0,8)公式记算,子网数量可分为1个子网
(该子网有256个地址)、2个子网(每个子网128个地址)、4个子网(每个子网64个地址)、8个子网(每个子网32个地址),以此类推,最多可分为256个子网。每个子网中第1个地址为网络地址,第2个地址为该网段的网关地址,最后一个地址为广播地址(由于该原理,所以256个子网不存在,最多可分254个子网)。
2、 一个共享C类地址IP段一般分成4个子网(特殊情况特殊对待),每个子网有64
个IP地址。每个子网有5个IP地址被占用,不能使用在客户服务器上,分别是子网中第1个地址为网络地址,第2个地址为该网段的网关地址,第3、4个地址为HSRP占用,最后一个地址为广播地址。
3、 对于独享用户的IP地址申请,原则是为用户分配单独的子网,下面用两个范例解
释IP地址的分配情况:
1)用户申请16个IP地址,没有双上联热备份需求
192.168.1.0/28
其中192.168.1.0为网络号,192.168.1.15为广播地址,192.168.1.1-14为主机地址,一般机房会用192.168.1.1作为网关,因此用户可使用的主机地址为192.168.1.2-14共13个地址
2)用户申请128个地址,要求双上联热备份
192.168.1.128/25
其中192.168.1.128为网络号,192.168.1.255为广播地址,192.168.1.129-254为主机地址,一般机房会用192.168.1.129作为网关虚
地址,192.168.1.130和192.168.1.131作为网关实地址
4、 根据客户的类型(独享/共享)选择相应的IP网段,再按照客户申请的IP地址数
量选择数量相对应的子网后,进行分配即可。
三、交换机端口情况
(一)、交换机端口资源
1、 静安机房
? 共享交换机cisco 2950共5台中。每台交换机共48个端口,其中40口用于
上联、48口用于管理,除这两个口以外均能分配给客户。
? 独享接入交换机Cisco 4507共2台,设备命名为4507-3,4。每台交换机共
96个端口。
? 所有交换机具体端口分配情况见 《网络资源索引》
2、 上地北机房
? 独享接入交换机Cisco 6509共1台,设备命名IDC-BJ02-6509-1为。交换机
共个116个端口。
? 核心交换机HUAWEI QuidwayS8016共2台,设备命名为S8016-1/2。S8016-1
共76个端口,S8016-2共44个端口 。
? 共享交换机共13台,设备命名及端口见下表。
? 所有交换机具体端口分配情况见 《网络资源索引》
3、 兆维机房
? 核心交换机QuidWay S8512共2台,设备命名为S8512-1/2。每台交换机共96
个端口。
? 独享客户接入交换机QuidWay S3026G共3台,设备命名为S3026G-1/2/3。每
台交换机共24个端口。
? 所有交换机具体端口分配情况见 《网络资源索引》
(二)、交换机端口分配原则
1、根据SOC为客户分配的机架位置和交换机所在机房物理位置,选择就近的交换机,再按照该交换机未分配端口资源选择相当的端口进行分配。
2、交换机上除上表中“互联占用FE口”外均可分配给客户。
3、每个FE网口带宽最大为100M,每个GE光口带宽最大为1G。
4、如果客户申请200M带宽时,即客户申请2个FE网口,在交换机上将这两个端口绑定即可达到。
四、出口带宽资源
静安出口链路:2条到ChinaNet的10G链路,带宽共计20G
上地出口链路:2条到北太城域网的1G链路、2条155M到北通链路,
带宽共计2.31G
兆维出口链路:4条到城域网的2.5G链路,带宽共计10G
静安至上地互联链路:2条2.5G链路,带宽共计5G
静安至兆维互联链路:2条10G链路,带宽共计20G
五、AS自治域情况
(详见《北京电信互联网数据中心骨干网络拓扑图》)
第二部份:资源的管理及分配
一. IP地址的分配原则
IP地址本着高效,节约,实用的原则进行分配,在此基础上具体情况按工单要求分配,目前北京电信IDC共有165个C类地址,具体网段见第一部分。
二. 网络设备的命名规则
网络设备的命名规则按照业务类型、地域、设备类型及设备编号等几部份组成,如一台在北京IDC的GSR设备,它的名字就是:IDC-BJ01-GSR-01
三. 交换机端口分配规则及描述规则
设备端口属网络资源重要的一部分,原则上全部SHUTDOWN,分配出去后启用该端口,在分配给客户使用的同时在端口上添加相应的描述信息,用于区别不同的客户; 接口描述命名格式:
客户名称的拼音的全拼(首字母大写)+ip地址+带宽+操作日期
工单类型如为测试工单,请在最后加注:Test
共享客户的描述中“带宽”字段可以不用写
若客户带宽扩容,则“带宽”字段描述为:from20Mto50M
若客户申请的IP资源有变,则在“ip地址”字段中进行添加、删减,具体表示方法:
申请IP不在同一段:211.100.29.178-191,198-210,216
申请IP是同一子网:211.100.21.64/26 (网络号/掩码)
申请IP在多个子网:211.100.21.64/26 211.100.21.128/26 (网络号/
掩码)
申请IP是同一子网中的其中一段:211.100.21.65-120/26 (网络号/
掩码)
如果客户有配置有变化,“操作日期”字段更新为最后一次时间
加上此端口客户所分配的ip地址,中间用空格
年月日采用格式:yymmdd
示例:
亿恩科技在20xx年7月15日申请资源,那么相应接口描述应为
YiEnKeJi ip=218.30.29.178-191,198-199,210,201-206 030715
四. VLAN资源规划
机房对vlan资源应作出合理规划
五. 网络资源的回收
资源回收的工作在接到资料回收工单开始,其邮件内容为客户与公司的服务终止。 根据初装工作流程中的撤单流程执行,执行工程师应该把所有回收的资源进行记录
并释放以备其他客户使用。
资源回收包括回收客户占用的接入端口资源、IP地址资源、流量统计分析、网络状态监控、DNS域名解析、各类安全策略。
在资源回收时应该保留资源回收前的原始记录。
六、操作规定
1、设备配置作业管理
设备监督审核
对网络设备的配置操作由两个人完成,一人操作,一个监督, 操作时需要先写出配置方法及配置命令,经二人讨论无误后方可输入,输入时由监督人进行监督,以防误操作;
2、 通用基本配置
①网管用SNMP串的规定;
SNMP用来对网络设备进行管理,抓取流量,查看设备状态等,出于安全考虑,SNMP的community string必须进行更改,默认为PUBLIC,且对于权限只能设定为RO(只读) ②设备日志的发送设定;
网络设备的日志必须发送到日志服务器留存;
③关于超级权限密码的设定
密码的设定一定要参考《设备口令管理办法》不得设置简单,易猜的口令,要包括字母(大小写),数字,特殊符号等,且不能少于6位;
④TELNET功能的开放及设定
所有交换机及网络设备均开放TELNET功能,但只能通过登录服务器来完成。骨干M320开放SSH功能,不开放TELNET功能。
⑤设备系统时间的设定
网络设备时间统一通过NTP协议和GSR-1的时钟同步;
第三部分:日常工作内容及注意事项
1、网络初装方面
? 配置相关网络设备,开通网络设备的客户端口,并测试客户网络是否正常开
通。
? 回复工单。
? 更新《网络资源索引统计系统表》
2、 网络资源的回收
? 回收客户相关网络设备端口。
? 回收客户相关IP地址。
? 配置相关网络设备,关闭网络设备的客户端口。
? 回复工单。
? 更新《网络资源索引统计系统表》。
3、 增加申请网络资源
? 增加客户相关网络设备端口。
? 增加客户相关IP地址。
? 配置相关网络设备,开通增加网络设备的客户端口。
? 回复工单。
? 更新《网络资源索引统计系统表》。
4、 其他工作
? 整理并及时更新机房网络资源,包括网络设备端口及IP地址的整理工作,
制定机房网络资源索引&统计系统,并及时有效的更新该系统,保证该系统所记载的资源情况与实际吻合,并提交给上级领导。
? 更新运维月报的网络部分(包括网络设备端口使用情况、IP地址分配及使
用情况)
第二篇:IDC机房维护
互联网数据中心机房维护方法
互联网数据中心(Internet Data Center)简称IDC
维护目的
保障机房设备正常运行,对机房环境支撑系统、监控设备、计算机主机设备定期检测、维护和保养,保障机房设备运行稳定,通过保养延长设备生命周期,降低故障率。确保机房在突发事故导致硬件设备故障,影响机房正常运作情况下,可及时得到设备供应商或机房服务维护人员的产品维修和技术支持,并快速解决故障。
具体维护方法
1、机房除尘及环境要求:定期对设备进行除尘处理,清理,调整安保摄像头清晰度,防止由于机器运转、静电等因素将尘土吸入监控设备内部。同时检查机房通风、散热、净尘、供电、架空防静电地板等设施。机房室内温度应控制在+5℃~+35℃,相对湿度应控制在10%~80%。
2、机房空调及新风维护:检查空调运行是否正常,换风设备运转是否正常。从视镜观察制冷剂液面,看是否缺少制冷剂。检查空调压缩机高、低压保护开关、干燥过滤器及其他附件。
3、UPS及电池维护:根据实际情况进行电池核对性容量测试;进行电池组充放电维护及调整充电电流,确保电池组正常工作;检查记录输出波形、谐波含量、零地电压;查清各参数是否配置正确;定期进行UPS功能测试,如UPS同市电的切换试验。
4、消防设备维护:检查火警探测器、手动报警按钮、火灾警报装置外观及试验报警功能;检查火灾警报控制器的自检、消音、复位功能及主备用电源切换功能。
5、电路及照明电路维护:镇流器、灯管及时更换,开关更换;线头氧化处理,标签巡查更换;供电线路绝缘检查,防止意外短路。
6、机房基础维护:静电地板清洗清洁,地面除尘;缝隙调整,损坏更换;接地电阻测试;主接地点除锈、接头紧固;防雷器检查;接地线触点防氧化加固。
7、机房运维管理体系:完善机房运维规范,优化机房运维管理体系。维护人员24小时及时响应。