2005 年廈門電信 IDC 項(xiàng)目建議書 一、 現(xiàn)狀 1、業(yè)務(wù)現(xiàn)狀 截至到 2004 年 12 月，廈門電信 IDC 主機(jī)數(shù)達(dá) 1500 臺(tái)， 2004 年的業(yè)務(wù)收入為 509 萬(wàn)。 2004 年底廈門電信 IDC 引入了騰訊、新浪等高值大客戶，其中根據(jù)已簽訂的協(xié)議，騰訊年業(yè)務(wù)收入達(dá) 360 萬(wàn)，廈門 IDC 業(yè)務(wù)經(jīng)營(yíng)逐步從原有外包機(jī)柜，主機(jī)托管的模式向重點(diǎn)發(fā)展高值大客戶轉(zhuǎn)變，預(yù)計(jì) 2005 年廈門 IDC 業(yè)務(wù)收入達(dá)到 1100 萬(wàn)。 從 IDC 經(jīng)營(yíng)的歷史經(jīng)驗(yàn)看， IDC 低端包機(jī)柜用戶并不能帶來(lái)高額的利潤(rùn)，而且投資回報(bào)期長(zhǎng)，但是低端用戶不僅是構(gòu)成 IDC 業(yè)務(wù)收入的重要組成 部分，同時(shí)帶來(lái)了豐富的互聯(lián)網(wǎng)信息資源。 2005 年廈門 IDC 的經(jīng)營(yíng)策略是：重點(diǎn)發(fā)展高端用戶，持續(xù)發(fā)展中低端客戶，實(shí)現(xiàn)高低端業(yè)務(wù)差異化，并且逐步引導(dǎo)中低端向高值用戶發(fā)展，以滿足 IDC 業(yè)務(wù)可持續(xù)性發(fā)展的需要。 2、資源現(xiàn)狀 網(wǎng)絡(luò) ： IDC 處在城域網(wǎng)骨干，直接出口帶寬 8G，目前出口帶寬高峰期超過(guò)60；出口鏈路均衡負(fù)載，互為備份；基本結(jié)構(gòu)如下： G e t r u n k 城 域 網(wǎng)骨 干 路 由 節(jié) 點(diǎn) C a t a l y s t6 5 0 9城 域 網(wǎng)骨 干 路 由 節(jié) 點(diǎn)C a t a l y s t6 5 0 9接 入 交 換 機(jī)G e t r u n kG E G E G E G E廈 門 I D C 網(wǎng) 絡(luò) 現(xiàn) 狀 拓 撲 圖SiSi核 心 交 換 層I n t e r n e t 接 入 層分 布 層 / 接 入 層 . . . . . . . . . . . . . . . . . . . . . . . .G e t r u n k G e t r u n k G e t r u n k . . . . . . . . . . . .主 機(jī) 服 務(wù) 器 以上是目前廈門的 IDC 網(wǎng)絡(luò)拓?fù)鋱D， IDC 機(jī)房?jī)?nèi)的 2 臺(tái) 6509 構(gòu)成 IDC 網(wǎng)絡(luò)核心層，其他的 2948、 2950 設(shè)備構(gòu)成接入層負(fù)責(zé)接入用戶設(shè)備，用戶的所有配置都是在核 心層 6509 上實(shí)現(xiàn)。這樣的網(wǎng)絡(luò)結(jié)構(gòu)存在最大的問(wèn)題是：現(xiàn)有Cisco6509 的性能無(wú)法防范大規(guī)模 DDOS 攻擊，并且用戶的局?jǐn)?shù)據(jù)都在核心層配置會(huì)造成一個(gè)用戶遭受攻擊，所有其他用戶均受影響的連鎖反映。而高端用戶對(duì)網(wǎng)絡(luò)質(zhì)量提出更高的要求，現(xiàn)在的網(wǎng)絡(luò)結(jié)構(gòu)顯然滿足不了日益增值的業(yè)務(wù)發(fā)展的需要。 安全防范系統(tǒng)： 目前廈門 IDC 在安全防范方面主要在 Cisco6509 配置了 FWSM防火墻模塊，但是對(duì)于大規(guī)模防范 DDOS 的效果不好，因?yàn)樗捎么B的系統(tǒng)結(jié)構(gòu)，在應(yīng)對(duì)大規(guī)模 DDOS 攻擊，反而會(huì)成為整個(gè) IDC 系統(tǒng)運(yùn)行的瓶頸。而 DDOS攻擊是當(dāng)前 IDC 面臨最嚴(yán)峻的網(wǎng)絡(luò)安全的威脅，廈門 IDC 月平均遭受 DDOS 攻擊的次數(shù)多達(dá) 20 多次，這已經(jīng)成為日常維護(hù)面臨最緊要的問(wèn)題，攻擊嚴(yán)重時(shí)核心交換機(jī) CPU 利用率高達(dá) 90以上，直接影響業(yè)務(wù)的正常使用。 流量分析系統(tǒng)： 目前廈門 IDC 使用的流量分析系統(tǒng)是一套自主開發(fā)的流量監(jiān)控程序 MRTG，主要實(shí)現(xiàn)了 IDC 中繼鏈路和高端用戶流量的監(jiān)控，但是無(wú)法對(duì)具體的流量?jī)?nèi)容進(jìn)行分析，也無(wú)法對(duì)滿足高端用戶提出對(duì)詳細(xì)流量分析報(bào)告的需求；同時(shí)對(duì)于共享業(yè)務(wù)，由于無(wú)法實(shí)現(xiàn)按流量計(jì)費(fèi)，從而帶來(lái)帶寬規(guī)劃不合理的問(wèn)題。 帶寬 ：目前 IDC 出 口流量為 8G，高峰期流量達(dá)到 6.3G，根據(jù)現(xiàn)有簽訂的協(xié)議，實(shí)際流量需求達(dá)到 7.5G,根據(jù)大客戶的需求以及業(yè)務(wù)發(fā)展的目標(biāo)預(yù)測(cè)到 2005年 6 月份，實(shí)際使用流量需求達(dá)到 10G，到 2005 年底預(yù)計(jì)流量需求達(dá)到 13G。因此現(xiàn)有的 IDC 出口帶寬不能滿足 2005 年 IDC 業(yè)務(wù)發(fā)展。 機(jī)架 ：目前可利用機(jī)架還有 10 個(gè)，其中預(yù)留 5 個(gè)給大客戶使用，根據(jù)每月發(fā)展 2 3 個(gè)機(jī)架的業(yè)務(wù)發(fā)展速度，目前的機(jī)架資源只能滿足 3 月份的業(yè)務(wù)發(fā)展。 電源 ：截至 2004 年 12 月廈門電信 IDC 服務(wù)器約 1500 臺(tái)，機(jī)架 96 個(gè)?，F(xiàn)有在用 UPS 2 路， 1 路 100KVA，已用滿；另一路 130KVA，已使用總量的 2/3。剩余的 UPS 容量只能滿足廈門 IDC 第 3 期擴(kuò)容部分的 13 個(gè)機(jī)架，剩余 20 個(gè)機(jī)架沒(méi)有UPS 保障，并且需要新增 1 路交流電源方能滿足這 20 個(gè)機(jī)架的用電需求。 二、 立項(xiàng)理由 根據(jù)業(yè)務(wù)需求： 1、廈門 IDC 月平均發(fā)展服務(wù)器數(shù)量 60 臺(tái)的數(shù)量計(jì)算，目前的機(jī)架數(shù)量只能保證到 3 月份業(yè)務(wù)發(fā)展需要。由于廈門高殿機(jī)房預(yù)計(jì)在 2006 年投入使用，為了滿足主機(jī)托管業(yè)務(wù)發(fā)展的需要，同時(shí)節(jié)約投資，繼續(xù)在江頭 IDC 機(jī)房擴(kuò)容機(jī)架和電源。 2、根據(jù) 騰訊公司 2005 年 IDC 的發(fā)展規(guī)劃，廈門 IDC 列入騰訊公司全國(guó)的廣告中心和下載中心，同時(shí)游戲備份中心的項(xiàng)目也在積極洽談中?，F(xiàn)有的 IDC 網(wǎng)絡(luò)環(huán)境不能滿足高值用戶對(duì)安全防范以及性能上的需要。 3、提供多樣性的差異化服務(wù)需要。 IDC 用戶對(duì)抗拒絕服務(wù)攻擊，防火墻，漏洞掃描等安全增值的需要與日俱增。專業(yè)的流量分析系統(tǒng)有助于建立主動(dòng)預(yù)警機(jī)制，提高維護(hù)效率；有助于合理規(guī)劃 IDC 帶寬資源，實(shí)現(xiàn)按流量計(jì)費(fèi)；同時(shí)可以幫助發(fā)現(xiàn)潛在的用戶群。而安全的增值業(yè)務(wù)面向的不僅僅是 IDC 用戶，同時(shí)可以面向廈門城域網(wǎng)專線用戶和網(wǎng)吧用戶。上海電信 IDC 以及重慶電信 IDC 對(duì)于在IDC 內(nèi)部 提供安全增值業(yè)務(wù)已經(jīng)有了較好的運(yùn)營(yíng)經(jīng)驗(yàn)。 三、建設(shè)方案 為了滿足業(yè)務(wù)發(fā)展的需要，建議 2005 年 IDC 建設(shè)方案如下： 1、江頭高端 IDC 機(jī)房改造建設(shè)： 1）、更換高端核心三層交換機(jī)：建設(shè)更換高性能的三層交換機(jī)，原有的核心交換機(jī) Cisco6509 利舊在高殿低端機(jī)房使用。 2）、增加分布層的改造：將江頭高端 IDC 機(jī)房的 40 臺(tái)二層交換機(jī)更換為三層交換機(jī)，更換后的 40 臺(tái)二層交換機(jī)可利舊在高殿低端機(jī)房使用。 3）、部屬安全防范系統(tǒng)：現(xiàn)有 IDC 的網(wǎng)絡(luò)面臨最大的危險(xiǎn)是 DDOS 攻擊，建議采用易于部署的 DOS 攻擊防范系統(tǒng)防護(hù)系 統(tǒng)。包括：在 IDC 的核心層配置 2臺(tái)防御 DDOS 攻擊的設(shè)備，和關(guān)鍵部位部署 IDS 系統(tǒng)。 4）、部屬流量分析系統(tǒng)：專業(yè)的流量分析系統(tǒng)有助于規(guī)劃 IDC 流量資源，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊。建議在 IDC建設(shè) NETFLOW流量分析系統(tǒng)建立病毒自動(dòng)預(yù)警機(jī)制。 5）、現(xiàn)有 IDC 網(wǎng)絡(luò)出口帶寬擴(kuò)容到 16G。 2、江頭過(guò)渡低端機(jī)房擴(kuò)容： 1）、新增交流電源：從江頭 8F 引交流電源至 IDC 機(jī)房， IDC 機(jī)房?jī)?nèi)新增配電箱（建議新增配電箱下接分路預(yù)先配置足）。需求的用電量約 80KVA。 2）、投資預(yù)算新增 UPS：建議使用小型 UPS 采用較為靈活的 方式接入使用（建議按每排或單個(gè)機(jī)架供電，設(shè)計(jì)時(shí)需放置考慮充分）。原小東山一臺(tái) 20KVA 的 UPS可利舊，另增 2 3 臺(tái)的 30KVA UPS。 3）、新增 20 個(gè)機(jī)架，保證過(guò)渡機(jī)房業(yè)務(wù)發(fā)展的需要。 4）、新增兩臺(tái)柜式空調(diào)，保證過(guò)渡機(jī)房服務(wù)器散熱的需要。 5）、新增 20 臺(tái)服務(wù)器，滿足主機(jī)租賃型業(yè)務(wù)的需要。 6）、新增 10 臺(tái)三層交換機(jī)配合利舊的二層交換機(jī)使用。 等高殿機(jī)房建設(shè)完畢，江頭過(guò)渡機(jī)房搬遷到高殿機(jī)房。 四、投資預(yù)算 1、投資預(yù)算： 本次投資主要包括江頭高端機(jī)房改造以及江頭過(guò)渡機(jī)房擴(kuò)容兩部分投資，其中網(wǎng)絡(luò)設(shè)備投 資 926 萬(wàn)元，基礎(chǔ)設(shè)施投資 100 萬(wàn)元，工程建設(shè)費(fèi) 100 萬(wàn)，共計(jì)1126 萬(wàn)。 項(xiàng)目 單價(jià) 數(shù)量 投資額度 備注 新增機(jī)架 0.6 20 12 江頭臨時(shí)過(guò)渡機(jī)房 配套機(jī)架 PDR 2 2 4 新增高端機(jī)房?jī)膳_(tái)核心層交換機(jī) 150 2 300 放在高端機(jī)房 新增高端機(jī)房用戶遠(yuǎn)程接入和 MPLSVPN PE 路由器 30 1 30 主機(jī)服務(wù)器 1.5 20 30 高端機(jī)房網(wǎng)絡(luò)改造 (L2 改 L3) 4 50 200 包含過(guò)渡機(jī)房三層 交換機(jī) 10 臺(tái) 安全系統(tǒng) 250 包含抗拒絕服務(wù)設(shè)備、漏洞 掃描設(shè)備、千兆防火墻網(wǎng)關(guān)設(shè)備以及備份管理軟件系統(tǒng)等。 NETFLOW 流量分析系統(tǒng) 100 1 100 基礎(chǔ)設(shè)施 100 包含電源改造、 UPS改造、空調(diào)改造費(fèi)用 工程費(fèi) 100 合計(jì) 1126 由于高端機(jī)房預(yù)計(jì)年底才完成土木和相關(guān)配套工程建設(shè)，因此本次立項(xiàng)不包高殿機(jī)房的相關(guān)建設(shè)資金預(yù)算，高殿機(jī)房相關(guān)建設(shè)資金預(yù)計(jì) 600