xx企业地区级数据中心的网络构建规划与研究.doc

《xx企业地区级数据中心的网络构建规划与研究.doc》由会员分享，可在线阅读，更多相关《xx企业地区级数据中心的网络构建规划与研究.doc（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、沈阳理工大学学士学位论文摘 要现代社会伴随着各个地区企业信息化建设的发展，数据中心须要运转布置的业务信息系统持续增多，并且居民用户在生活，工作，科研，教学等方面对各种信息化服务的依赖性也越来越高。本论文主要介绍企业地区级数据中心网络规划和研究的设计过程。本次的设计采用的软件是Cisco Packet Tracer 模拟器，论文开篇介绍了数据中心进行研究的背景和意义，以及此项研究的现状和目的，然后和国内外的研究进行比较提出构建数据中心的研究方法及设计思路，介绍了数据中心建设需要用到的相关技术及工具。主要实现功能是满足企业用户端的上网需求，提供企业内部资源的访问分享以及可以提供地区级企业外部公共用

2、户的数据服务。在规划构建数据中心网络时通过升级数据中心的网络冗余架构等，为数据中心运行时的各项服务提供更稳定可靠安全的网络服务。关键词：数据中心，VPN，VLAN，冗余架构，企业网络AbstractNowadays, with the development of enterprise informatization in various regions, the business information system that needs to be deployed in the data center continues to increase, and the dependence o

3、f residents on various information services in life, work, research, teaching, etc. the higher.This article mainly introduces the design process of enterprise regional data center network planning and research. The software used in this design is the Cisco Packet Tracer simulator. The paper begins w

4、ith the background and significance of the research in the data center, as well as the current status and purpose of the research. Then, compared with the research at home and abroad, the research on constructing the data center is proposed. The method and design ideas introduce the related technolo

5、gies and tools needed for data center construction. The main implementation function is to meet the Internet access needs of enterprise users, to provide access to internal resources of the enterprise, and to provide data services for public users outside the regional enterprise. When planning to bu

6、ild a data center network, by upgrading the data redundancy architecture of the data center, it provides more stable and reliable network services for data center runtime services.Keywords: data center, VPN, VLAN, redundant architecture, enterprise network目 录 目 录III1 绪 论11.1 课题背景与意义11.2国内外研究现状11.3 论

7、文结构划分32 开发环境以及开发工具介绍42.1 Cisco Packet Tracer 7 简介42.2 Cisco Packet Tracer 优点42.3 Cisco Packet Tracer设备53网络总体规划63.1数据中心建设设备选型需求63.1.1 容灾性63.1.2网络运营商可用性63.1.3避免灾害73.1.4安全保障73.1.5总结73.2数据中心建设设备选型原则73.2.1网络的可靠稳定73.2.2高带宽83.2.3易扩展的网络83.2.4 安全性83.2.5 容易控制管理83.2.6符合IP发展趋势的网络83.3数据中心网络整体规划93.4 IP地址规划93.4.1

8、IP地址规划原则93.4.2 总公司的IP地址规划103.4.3数据中心IP地址规划113.4.4分公司的IP地址规划113.5VLAN规划113.5.1 VLAN作用113.5.2接入层124数据中心网络设备134.1 DHCP服务器134.1.1 DHCP简述134.1.2 DHCP优点134.1.3 DHCP分配方式144.1.4 DHCP的作用144.2 DNS服务器144.2.1 DNS概述144.2.2 DNS解析过程154.2.3 DNS的作用164.3FTP服务器164.4Web服务器164.4.1Web服务器简述164.4.2 Web服务器的作用175安全策略185.1总体安

9、全目标185.2 安全分析185.2.1应用系统服务器内部安全分析185.2.2应用系统之间安全分析185.2.3客户端与服务器之间安全分析185.2.4客户端之间安全分析185.2.5数据中心设备自身安全分析195.2.6 Internet数据传输安全分析195.3安全技术195.3.1网络分区195.3.2VLAN195.3.3端口隔离205.3.4端口安全205.3.5 ACL205.3.6防火墙205.3.7虚拟专用网（VPN）215.4安全策略设计215.4.1网络分区215.4.2应用系统之间的安全策略225.4.3客户端与服务器之间的安全策略225.4.4网络设备自身安全策略22

10、5.4.5分区安全策略的部署235.4.6汇聚层安全策略的部署235.4.7核心层安全策略的部署236网络设备配置信息246.1 接入层配置246.2 汇聚层配置276.3 核心层配置306.4 防火墙配置31结 论33致 谢34附 录36V1 绪 论1.1 课题背景与意义信息化是现如今全球发展和世界经济的一大趋势，提高企业竞争力是非常重要的1。但是应用系统因为各企业的信息涉及面之广的原因经常共享有效数据失败，企业机密数据的安全威胁不断地增加，然而飞速提高的数据量让既有储存容量和机制很难适应企业当今的需求。随着信息技术，网络技术等等互联网技术的发展，数据中心对于企业建设来说越来越不可或缺，以下

11、分几点来说明：首先，想要建设企业信息化就不能忽视数据中心的建设。以前的企业建设重点通常会放在一些基础网络服务设备或者开发一些管理系统等等，但是现在不同时的是数据中心成为了信息化企业建设的重心；其次，数据中心使用将数据集中起来，应用分开的方法，大大的提高了信息资源的利用率；再者，企业数据的集中和优化，必将让企业拓宽经营事半功倍。而数据中心将在此方面起着重要作用；最后，许多国家的知名企业已经建设了属于自己的数据中心，未来企业的重要硬件设备和软件应用都将和数据中心息息相关。总结来说，企业信息化建设的关键是数据中心的建设，数据中心也将成为企业重要的核心竞争力之一2。1.2国内外研究现状数据中心是计算机

12、网络发展的核心，但是其发展程度的快慢可以直接影响计算机网络进步高低的数据中心却不是简单易懂的，数据中心建设起来非常复杂，其中包括数据中心建设的安全装置、它的计算机系统，冗余的数据通信连接线路、监控设备以及其他的配套设备。我国最大数据中心是万国数据中心，它不仅是最大的IT基础设施服务提供商3，还是最大的数据中心服务提供者。我国的阿里巴巴企业的数据中心紧密关系云计算，云计算不仅能让减轻企业的运营成本，还可以对整体环境起到有益的作用。而在这之中，互联网类型的企业将是最先开始获益的。同样国内的世纪互联集装箱数据中心很早就开始进行数据中心的研究了，它也是最早走入绿色节能领域的IT企业，同时它还获得了很多

13、项数据中心方面的国家专利。它专业的数据中心服务也让用户得到了良好的服务效果。在美国，最的大数据中心是微软公司位于芝加哥的数据中心，它每一层的集装箱可以放置上千台的服务器。美国军方的数据中心同样也很巨大，数据中心的总面积接近一百万平方米，为美国军方提供了关键性的基础设施服务。各国的数据中心各有千秋，通过以上的分析对比，在改进数据中心的建设时，可以取长补短，避开其缺点，将它们的优势都结合起来，达到最大化的资源整合。同时也应研发新技术。在应对不同领域，不同市场，不同规模时，数据中心应当适当的调整，以满足其不同的需求。比如，一些年代久远的数据中心，已经不能够满足当代的需求，势必要转型，但不同规模的企业

14、，需要也是不同的，比如小型企业倾向于获得标准的数据中心服务来提高业务开展的灵活性，中型企业缺乏掌握云计算等数据中心升级技术能力和人才，所以选择合作者来帮助他们改善数据中心托管业务4，或者将自有数据中心迁移到有质量保证的第三方数据中心来改善服务。大型企业数据中心升级转型着重在数据中心的容量和能力升级，可以通过虚拟技术实现设施监控、设备跟踪以及散热管理。以此降低成本5。所以数据中心会伴随着各种需求发生不同的改进6。数据中心耗能非常大，与一个同样大小的标准办公室相比，数据中心消耗的电力约是30倍7。同时随着数据中心的迅速发展，如果不控制的话，数据中心耗能在未来将直线上升，23年的耗能可能超过数据中心

15、本身的建设成本，所以，节能绿色的数据中心将成为趋势8。现在的数据中心一般都有分开的数据和存储网络。然而，人们却最想要的是把两者合并在一起9。这一希望是撤销单纯的光纤通道，采用以太网光纤通道(FCoE)10。将数十个数据中心整合到少数几个中央位置，然后重点在网络、计算、存储和管理等几个方面加强这少数几个中央数据中心的能力11。虚拟化具有分配灵活，变更快捷，高资源利用率等优点，这是传统系统构架所无法实现的。加利福尼亚州劳伦斯-伯克利国家实验室研究数据中心电力消耗的科学家Jonathan Koomey博士指出，平均来说，服务器仅仅使用了它们约15%的总计算能力12。 大家对数据中心由陌生到认识、熟悉

16、、重视，一步步走到大众视野中。数据中心给行业带来的影响将是不可估量的 ，未来相信数据中心会带领着企业走入一个更高效、节能、现代化的领域和世界。1.3 论文结构划分论文一共由六个部分组成，题目是“企业地区级数据中心的网络构建规划与研究”。着手于数据中心的网络架构设计和数据中心安全访问方案规划两个大方向，并提出了具体的解决方案，以下是每个部分的内容：第一部分，绪论。介绍了论文的研究背景和意义，简单的概述了国内外数据中心的发展情况和研究现状，并说明本论文的组织结构13。第二部分，开发环境以及开发工具介绍。这一部分介绍了网络架构开发的工具和环境。第三部分，网络总体规划。这一部分介绍了数据中心建设的设备

17、选型的需求与原则和数据中心网络的总体规划。第四部分，数据中心网络设备。本部分详细的介绍了数据中心所使用的服务器及其功能。第五部分，安全策略。这部分介绍了数据中心的总体安全目标和安全分析。第六部分，网络设备配置信息，这一部分展示了数据中心中各个网络设备的配置信息。2 开发环境以及开发工具介绍本次设计主要用到了Cisco Packet Tracer软件进行网络环境的模拟，下面就所用到的软件进行简要介绍：2.1 Cisco Packet Tracer 7 简介Cisco Packet Tracer由思科公司研制开发的一款学习型功能模拟器，对于刚开始学习思科网络的人们，可以很轻松的上手设计自己的网络，

18、同时配置相应的仿真设备，及时排查出现的网路故障。它为初学者提供了良好的网络模拟环境14。用户在Cisco Packet Tracer的图形界面操作时，可以直接拖拽模拟设备建立网络拓扑。在Cisco Packet Tracer 中用户可以观察到数据包在网络中传输的详细过程，并且可以观察网络的实时状况。提高用户的IOS配置和排查故障的能力。Cisco Packet Tracer是一个功能强大的网络仿真程序，该软件允许用户使用模拟命令行界面模拟Cisco路由器和交换机的配置。Cisco Packet Tracer使用拖放功能用户界面，允许用户根据需要添加和删除模拟网络设备允许用户实验与网络行为，问“

19、如果”的问题。是网络技术学院全面学习经验的一个组成部分，包括提供的仿真，可视化，编辑，评估，和协作能力，有利于教学和复杂的技术概念的学习15。基于Cisco Packet Tracer 的仿真学习环境，学生可以无限数的创建网络，弥补了真实物理设备的缺乏，毕竟能为学生所使用的物理设备是有限的。Cisco Packet Tracer就很好的鼓励了学生的实践能力。让学生敢于创建网络，发现问题和故障排除，同时也帮助学生发展创造性和批判性思维。对于教师来说，Cisco Packet Tracer也是一款优良的教学软件，它可以让教师为学生简单讲解Cisco不同型号的设备，也可以讲解复杂的网络拓扑设计。是一

20、款不可多得的学习教学软件。2.2 Cisco Packet Tracer 优点因为真正的思科设备（路由器和交换机）非常昂贵，所以通常用户不能仅仅为了练习而购买真正的设备。借助Cisco Packet Tracer，用户可以使用几乎无限制的设备创建，配置和排除网络故障，而不必购买任何真正的设备。2.3 Cisco Packet Tracer设备最新版本的Cisco Packet Tracer有许多设备可供使用，包括防火墙和蜂窝塔。以下是CPT中一些最常用的设备：路由器：CPT中设置的第一个设备是路由器。路由器的主要功能是网络通信意味着连接两个或多个不同的网络。CPT中有许多路由器，例如CISCO

21、 1841,1941,2600系列，2800和2900系列路由器等等。用户可以根据需要使用它们。交换机和集线器：思科的2950和2960交换机采用CPT。多层交换机和一些集线器也可用于拓扑中。连接媒体：在Cisco Packet Tracer中，我们有许多名为“ Connections ” 的电缆。媒体有铜媒体，同轴媒体，光纤媒体，手机媒体等等。用户可以在拓扑中使用它们来连接设备。对于无线连接，Packet Tracer有一些无线设备，如接入点，手机信号塔，无线台式机，笔记本电脑等。终端设备：还有一些设备，如主机，笔记本电脑，服务器，打印机，VoIP电话。我们可以根据需要在我们的网络中使用它们

22、。防火墙：Cisco Packet Tracer 7还支持防火墙，可用于研究CCNA安全性并保护用户的网络免受有害攻击者的攻击。3网络总体规划3.1数据中心建设设备选型需求由于大多数企业基于信息技术流程运营其业务，所以数据中心构成任何组织IT基础架构的核心。对于所有中型和跨国组织，数据中心构成关键业务流程的支柱。各种服务，如网络托管，电信服务，银行服务，都依赖于数据中心基础设施来为客户提供服务。随着电子商务，智能手机，社交网络和移动通信的出现，企业级数据中心的需求不断变得越来越复杂。3.1.1 容灾性在设计或选择数据中心时，组织需要确定其服务所需的可用性级别。它提供的业务或服务类型可能会决定这

23、一点。任何提供实时或关键数据服务的组织都需要最高级别的可用性和冗余，以及在需要时快速故障转移（将操作转移到另一个中心）的能力。有些组织需要多个数据中心，不仅要处理他们使用的计算机或存储容量，还要提供备用位置，以便在某些内容暂时或永久地发生在其中心的一个或多个中心时进行操作。运营无法承受任何停机时间的数据中心的组织通常会运营具有镜像站点的数据中心，如果第一个站点发生某些事情，它们可以接管，或者它们与第一个站点并行运行第二个站点。这些数据中心拓扑分别称为主动/被动和主动/主动。如果发生灾难或中断，灾难模式将指示立即将所有主数据中心的处理移至第二个数据中心。虽然一些数据中心拓扑遍布整个国家或大陆，但

24、其他拓扑结构遍布全球。实际上，数据传输速度限制了可以与同时操作的外观并行操作的中心。将两个相互分开的数据中心（比如说不超过60英里来限制数据延迟问题）与暗光纤（租用光纤电缆）连接起来，可以使两个数据中心像在同一地点一样运行，人员配置要求，如果需要，还可以立即向二级数据中心进行故障转移。这种设施冗余和可靠性对于那些需要不间断数据中心服务的数据中心站来说至关重要。3.1.2网络运营商可用性通信是数据中心运作的核心。数据中心中的所有设备都需要与遍布全球的设备进行通信，以实现不同的业务流程。公司需要良好的光纤连接。位置应具有多个网络载体以实现冗余。由于具有廉价电源和轻松访问光纤网络，谷歌在达尔斯（美国

25、俄勒冈州）建立了其最大的数据中心之一。连接性差的数据中心是无用的设置。3.1.3避免灾害减少灾难性设施故障的实际风险从选址开始。除了自然灾害（地震，飓风，雷电风暴，龙卷风，洪水等）造成的直接物理威胁之外，数据中心可能因支持基础设施受损而瘫痪，或由于关键员工和供应商无法到达设施而无法运行。在决定数据中心的位置时，首席信息官必须选择自然灾害风险较低的区域。应严格避免落入地震带的区域。3.1.4安全保障数据中心的物理安全至关重要，因为对设施的任何干扰都会影响业务流程。数据中心托管关键业务数据，数据完整性不会受到影响。因此，应控制和定期监控数据中心访问。3.1.5总结数据中心是任何企业运营的核心。数据

26、中心行业正在经历转型并逐渐成熟。性能不再是定义数据中心成功的唯一标准。能效，资源优化和业务连续性也与IT设备本身的技术同等重要。由于存在如此多的利害关系，公司需要进行相应的计划，以便为企业提供最佳的业务。3.2数据中心建设设备选型原则3.2.1网络的可靠稳定对于数据中心来说只有稳定可靠的网络才能提供给用户稳定可靠的服务，数据中心想要运行稳定的网络，各个网络层的容灾备份技术，中心的网络设备的稳定性，网络设计的可靠性都尤为重要，同时数据中心合作的网络运营商也要有一定的规模和运营数据中心方面的经验。3.2.2高带宽自媒体时代为网络带来了更大的数据量，为了适应当今社会用户的需求，数据中心的数据，语音，

27、图像，视频等多媒体的传输能力也必须达到先进的水平，不然将难以承载网络上庞大的多媒体信息。同时也要考虑到未来的发展，高带宽技术必须得到选择与精进。3.2.3易扩展的网络考虑到未来的发展，数据中心的网络和系统要有可扩展性和升级性。在将来网络上的数据信息会成倍增加，而网络的扩展性也应该随着未来技术的发展不断地进步。网络的易扩展性不是单单狭隘的指网络设备端口的扩展性，还包括网路架构网络拓扑的扩展性。有良好的网路架构和拓扑结构，新增加的网络节点才能良性加入到当前的网络结构中。同样网路协议也应该是易扩展的，面对未来未知的发展趋势，无论是二层的虚拟网络的规划还是三层网络的路由规划都应该考虑自身协议的扩展能力

28、。3.2.4 安全性由于数据中心连接地区内所有企业，网络系统的安全性管理十分必要。数据中心的第二层网络应该才有VLAN隔离开来，并且在第三层网络上进行相应的配置，保证其数据的安全传输。以保证数据中心为用户提供更安全有保障的服务。3.2.5 容易控制管理由于数据中心连接的企业多，被其提供服务的用户更是成千上万，管理企业与企业，用户与企业，用户与用户之间正常合理的通信，并且将资源合理利用最大化是数据中心面临的一大问题。3.2.6符合IP发展趋势的网络在IP技术是不断发展的技术， IPV6，IPQoS技术在实际网络的采用也不再是设想，而目前对于任何的网络服务提供商来说，IP服务都是最基础简单的网络服

29、务，因此，在挑选数据中心设备时也应该注意是否支持新的IP技术。3.3数据中心网络整体规划在该数据中心整体规划和部署中，我的拓扑分为单出口防火墙，核心2个路由器，2个汇聚交换机，3个接入交换机，全网实施OSPF路由协议，汇聚做了冗余，中间做线路聚合，全部双线互联确保网络的冗余。以下是数据中心整体的网路拓扑图：图3.1 数据中心整体网路拓扑图3.4 IP地址规划3.4.1 IP地址规划原则在规划数据中心的IP地址时，应该遵循以下原则：唯一性：数据中心的IP地址应该采用统一的规划地址方式，不能存在两台计算机拥有相同的IP地址的情况。简单性：在给数据中心分配IP地址时，地址最好简单易记有规律，方便管理

30、员管理，让路由表条目简单明了，提高路由算法的效率。易扩展性：数据中心的建设应当考虑到未来的发展，不能只考虑到当下对IP地址的需求，所以应该预留适宜的地址段，为未来提供服务。灵活性：面对不同企业用户的需求，数据中心的IP地址也可以灵活的分配。连续性：IP地址的规划和分配时，采用连续的IP地址易于数据中心的管理，路由条目也会有效的缩减。高效性：VLSM技术和CIDR技术在规划分配数据中心IP地址时一定要采用的，VLSM可以提高IP地址的利用率，让有限的IP地址得到最大化的利用。CIDR技术可以减小路由表的条目，加快路由收敛速度，让路由信息在网络上更快的传播。3.4.2 总公司的IP地址规划总公司采

31、用IP地址段为192.168.0.0/16，具体规划如下表3.1所示。表3.1总公司 IP地址规划表设备名IP地址端口S0192.168.16.1F0/1S1S2S3ASA2R9192.168.48.1192.168.112.1192.168.32.1192.168.64.1192.168.128.1192.168.16.2192.168.32.2192.168.48.1192.168.64.1192.168.1.2100.0.0.1192.168.112.2192.168.128.2192.168.1.3F0/2F0/3F0/1F0/2F0/4F0/2F0/3F0/3F0/4F0/0F0/2

32、G0/1G0/2G0/33.4.3数据中心IP地址规划数据中心采用地址段是172.16.0.0 /16，具体规划如下表3.2所示。表3.2 数据中心 IP地址规划表设备名IP地址端口S6172.16.11.1F0/1S7dataRASA0172.16.2.1172.16.3.2172.16.1.2172.16.2.2102.0.0.1172.16.3.1F0/1G0/1G0/2G0/3F0/1F0/03.4.4分公司的IP地址规划分公司的地址段是10.0.0.0，具体规划如下表3.3所示。表3.3分公司 IP地址规划表设备名IP地址端口S810.0.1.3F0/2R4ASA110.0.1.31

33、0.0.2.210.0.3.210.0.3.1101.0.0.1F0/2G0/0G0/1F0/0F0/13.5VLAN规划3.5.1 VLAN作用在规划数据中心的网络时，数据中心的第二层网络的规划是非常重要的，VLAN技术的划分则是必不可少要应用的技术。VLAN的作用有以下几个方面：消除网络风暴。在企业网络中，特别是从事多媒体，音频，视频等网络流量的企业，网络风暴特别容易被引起，所以一定要划分VLAN，让信息只在规定的网路中传播，而不是到处无意义的传播网络数据。增加网络的安全性。因为数据中心的网络采用了VLAN的规划，数据只在限定的子网中传播，不同VLAN的网络不能互相通信，如果二层网络需要进

34、行通信，可通过第三层。所以这样就会干扰到其他二层子网数据的通信，优化了子网，让数据得到了很好的控制，进而增强了网路的安全性。3.5.2接入层数据中心的设备VLAN的划分见下表3.4：表3.4 接入层VLAN规划表设备名VLAN ID网络地址本地端口S210192.168.10.1F0/140192.168.4.2F0/4，F0/5S3S8S6S720304011100100192.168.2.1192.168.3.1192.168.4.110.0.1.3172.16.0.9172.16.0.10F0/1F0/2F0/5, F0/6F0/2F0/10,F0/11, F0/12F0/10,F0/1

35、1, F0/124数据中心网络设备4.1 DHCP服务器4.1.1 DHCP简述DHCP（Dynamic Host Configuration Protocol）服务器，DHCP属于TCP/IP协议簇，使用DHCP时需要有DHCP客户端和DHCP服务器，DHCP是非常有用的服务器，它可以帮助数据中心管理用户IP，不需要技术人员手动配置IP地址，而是动态的从DHCP服务器中预留的地址池中分配一个有效的IP地址给客户端。一般情况下，地址池中分配的地址都是连续的。4.1.2 DHCP优点DHCP可以使得无需担心设置TCP/IP网络以及该网络的日常管理所涉及的一些耗时的任务。DHCP具有以下优点：IP

36、地址管理。DHCP的主要优点是更容易管理IP地址。在没有DHCP的网络中，管理人员必须手动分配IP地址。必须小心为每个客户端分配唯一的IP地址，并单独配置每个客户端。如果客户端移动到其他网络，则必须对该客户端进行手动修改。启用DHCP后，DHCP服务器无需管理员干预即可管理和分配IP地址。客户端可以移动到其他子网而无需手动重新配置，因为它们从DHCP服务器获取适用于新网络的新客户端信息。集中式网络客户端配置。管理人员可以为某些客户端或某些类型的客户端创建定制配置。配置信息存储在DHCP数据存储中的一个位置。无需登录客户端即可更改其配置。只需更改数据存储中的信息即可对多个客户端进行更改。支持本地

37、客户端和远程客户端。BOOTP提供从一个网络到另一个网络的消息中继。DHCP以多种方式利用BOOTP中继功能。大多数网络路由器可以配置为充当BOOTP中继代理，以将BOOTP请求传递给不在客户端网络上的服务器。DHCP请求可以以相同的方式中继，因为对于路由器，DHCP请求与BOOTP请求无法区分。如果支持BOOTP中继的路由器不可用，则DHCP服务器也可以配置为充当BOOTP中继代理。网络引导。客户端可以使用DHCP获取从网络上的服务器引导所需的信息，而不是使用RARP（反向地址解析协议）和bootparams文件。DHCP服务器可以为客户端提供客户端需要运行的所有信息，包括IP地址，引导服务

38、器和网络配置信息。由于DHCP请求可以跨子网中继，因此在使用DHCP网络引导时，可以在网络中部署较少的引导服务器。RARP引导要求每个子网都有一个引导服务器。大型网络支持。拥有数百万个DHCP客户端的网络可以使用DHCP。DHCP服务器使用多线程同时处理许多客户端请求。该服务器还支持经过优化以处理大量数据的数据存储。数据存储访问由单独的处理模块处理。此数据存储方法使可以添加对所需数据库的支持。 4.1.3 DHCP分配方式DHCP服务器有三种方式为客户端分配或发送IP地址：自动分配。DHCP服务器从其IP池为客户端分配永久IP地址。在防火墙上，指定为Unlimited的租约意味着分配是永久性的

39、。动态分配。DHCP服务器将IP地址池中的可重用IP地址分配给客户端最长一段时间，称为租约。当客户具有有限数量的IP地址时，这种地址分配方法很有用，它们可以分配给只需要临时访问网络的客户端。静态分配。网络管理员选择要分配给客户端的IP地址，DHCP服务器将其发送给客户端。静态DHCP分配是永久性的，通过配置DHCP服务器并选择保留地址以对应客户端设备的MAC地址来完成。即使客户端注销，重新启动，断电等，DHCP分配仍然存在。静态分配IP地址很有用，例如，如果LAN上有打印机而您不希望其IP地址不断更改，因为它通过DNS与打印机名称相关联。另一个例子是，如果客户端设备用于关键的事情，并且必须保持

40、相同的IP地址，即使设备已关闭，拔下插头，重新启动或发生停电等。4.1.4 DHCP的作用在数据中心中，DHCP服务主要用于为总公司分公司内部网自动地分配IP地址；并且给用户用于内部网管理员作为对所有计算机作中央管理的手段。4.2 DNS服务器4.2.1 DNS概述域名系统，通常称为“DNS”，是一个网络系统。 DNS的核心是分层系统。在这个系统的顶部是所谓的“根服务器”。这些服务器由各种组织控制，并由ICANN（互联网名称与数字地址分配机构）授权。目前有13个根服务器在运行。域名是我们用于与互联网资源相关联的人性化名称。它是一个非常可靠的基础设施，对今天所知的互联网采用至关重要。4.2.2

41、DNS解析过程下面举例解释DNS的解析过程：刚刚启动的缓存服务器收到“”地址的查询。启动后，服务器获取了根服务器及其地址的列表。当查询到达时，它将无法在缓存中找到“”的答案，也不会找到“”的权威服务器的地址，也不会找到“com”的权威服务器的地址。没有其他选择，它会向根服务器询问“”的地址。根服务器对TLD具有权威性，即它们具有TLD权威NS列表的答案。因此，当我们对“”的查询到达根服务器时，它将剥离不具有权威性的部分。所以“www.abc”将被剥夺。名称的其余部分是“.com”，它具有权威性。因此，它会回复一个包含“.com”顶级域名的所有权威服务器列表的推荐。这个“.com”域名的NS列表

42、将包含“.com”下所有SLD的NS列表。我们的缓存服务器然后将其“”的查询（请注意：它始终发送FQDN）发送给其中一个，他们将剥离“www”，我们将获得所有权威列表的另一个推荐“”的服务器。当将查询发送给其中一个时，它将得到答案（IP ）。所有这些通常在不到一秒钟内发生。从此处开始，缓存服务器可以一次又一次地从缓存中回答相同的查询，而无需询问另一台服务器。它还可以发送“”某些东西的任何查询。“”直接发送到“”服务器并将任何以“.com”结尾的名称的问题直接发送到“.com”的权威服务器。当下一个查询以不同于“.com”的内容结束时它是否必须再次询问根服务器。快速缓存将包含所有流行域的权威服务

43、器列表，特别是对于所有流行的TLD，通常我们的缓存服务器将不会再次查询此信息几天。此设计确保所有查询中只有一小部分必须由根服务器或TLD的权威服务器处理。4.2.3 DNS的作用在数据中心中，DNS服务器的作用是收到客户端发送的域名查询请求，DNS服务器将告知客户机Web服务器的IP地址，连接客户机与Web服务器之间的通信。4.3FTP服务器FTP是文件传输协议的缩写。FTP协议是联网计算机用于彼此通信的一组规则。它是TCP / IP网络（例如互联网）上的计算机用于相互传输文件的语言。在早期，互联网上传输数据是非常困难的，互联网上的网络环境非常复杂，各个服务器，计算机，个人电脑，小型机，大型机

44、等等网络设备数以万计的连接到互联网上，网络设备上也配置着不同的操作系统，有的是Windows，有的是Linux还有的Unix，这又为设备之间的数据传输加大了困难。这时就需要一个的统一的文件传输协议，FTP就这样应运而生了，FTP根据不同的操作系统匹配不同的FTP客户端，但是它们都采用同一种文件传输协议，这样就可以保证既可以给对方传输文件又可以收到对方传输过来的文件。4.4Web服务器4.4.1Web服务器简述Web服务器是一种程序，它使用HTTP（超文本传输协议）向用户提供构成Web页面的文件，以响应其请求，这些请求由其计算机的HTTP客户端转发。专用计算机和设备也可称为Web服务器。该过程是

45、客户端/服务器模型的示例。托管网站的所有计算机都必须具有Web服务器程序。领先的Web服务器包括Apache（最广泛安装的Web服务器），Microsoft的Internet Information Server（IIS）和NGNIX的Nginx。其他Web服务器包括Novell的NetWare服务器，Google Web服务器（GWS）和IBM的Domino服务器系列。Web服务器通常作为更大的Internet和Intranet相关程序包的一部分，用于提供电子邮件，下载文件传输协议（FTP）文件的请求以及构建和发布Web页面。选择Web服务器的注意事项包括它与操作系统和其他服务器的协作能力，

46、处理服务器端编程的能力，安全特性以及随附的特定发布，搜索引擎和站点构建工具。4.4.2 Web服务器的作用在数据中心建设中Web服务器的主要功能是为用户提供网上信息浏览服务。5安全策略 5.1总体安全目标网络安全策略的总体目标是保护网络不受攻击，控制异常行为影响网络高效数据转发，以及保护服务器区的计算资源。数据中心的数据穿越防火墙后能安全的到达总公司、分公司中，防止中间人攻击。5.2 安全分析5.2.1应用系统服务器内部安全分析应用系统服务器安全风险存在于：n 低安全级别服务器对高安全级别服务器上不适当的访问；n 授权客户端对服务器的不适当访问；n 非授权客户端对服务器的不适当访问；n 不同应用系统服务器之间非授权的不适当访问；n 恶意代码对服务器的不良影响。5.2.2应用系统之间安全分析应用系统之间的互访，安全风险主要存在于：n 不同应用系统服务器之间非授权的不适当访问；n 应用系统不同安全等级服