3.5　网络系统

3.5.1　IDC网络系统结构设计应符合下列规定：

1　IDC网络系统架构应采用层次化、模块化设计方式，整个网络可分为互联网接入层、汇聚层、业务接入层和运维管理层四层（图3.5.1）。各层网络应符合下列规定：

1）互联网接入层应配置核心路由器或核心交换机实现与互联网的互联，对IDC内网和外网的路由信息进行转换和维护，并应连接汇聚层的各汇聚交换机，形成IDC的网络核心；

2）汇聚层应配置汇聚交换机实现向下汇聚业务接入层各业务区的接入交换机，向上与核心路由器（核心交换机）互联；

3）业务接入层应通过接入交换机接入各业务区内部的各种网络设备、服务器设备、存储设备等设备；

4）运维管理层宜独立成网，与IDC业务网络进行隔离，通过运维管理层的接入及汇聚交换机连接管理系统各种设备；

5）IDC规模较小时，互联网接入层和汇聚层可合设。

2　IDC网络结构中互联网接入层与外部互联网、互联网接入层与汇聚层、汇聚层与业务接入层之间的拓扑结构不应有单点故障，具体结构形式应匹配IDC流量流向特性。

3　互联网接入层应至少配置两台核心路由器或核心交换机，R3级IDC的多台核心路由器（核心交换机）宜设置在不同的机房区域，核心路由器（核心交换机）与互联网连接应符合表3.5.1的规定。

4　根据业务需求，防火墙、负载均衡器、IDS、IPS、审计系统等安全设备和流量管理设备可设置在汇聚层，大客户或重点业务用户可直接接入汇聚交换机。

5　业务接入层应采用模块化设计，进行区域划分。根据业务经营者提供的业务种类，宜将业务接入层从逻辑上分为不同的业务网络区域，可包括主机托管区、主机租用区、VIP用户区、集团用户区、增值业务区等。

6　各层网络的带宽、汇聚交换机和接入交换机的数量收敛配比、接入交换机连接的业务服务器数量应根据业务需求计算确定。

7　运维管理层应进行区域划分，可包括客户操作区、客户远程接入区、管理系统区。有管理需要时运维管理层可设置接入DMZ区，配置VPN接入网关和防火墙接入互联网。

3.5.2　IDC网络系统的路由设计应符合下列规定：

1　IDC可作为一个单独的自治域，采用BGP协议与互联网连接，也可不作为单独自治域，采用OSPF协议或IS-IS协议与互联网连接。

2　IDC与互联网的多个连接可设计成主备或流量分担的路由策略。互联网接入层核心路由器（核心交换机）应对内部路由信息适当聚合后向互联网发布，聚合时可实现对路由策略的配合实施。互联网接入层核心路由器（核心交换机）宜向IDC内部网络发布默认路由信息，不宜发布来自互联网的具体路由信息。

3　IDC内部网络路由可设计成二（三）层混合方式或大二层方式，应符合下列规定：

1）采用二（三）层混合方式时，IDC内部路由协议宜选择OSPF。宜采用OSPF双层次多区域配置方式，互联网接入层宜选用核心路由器并可组成骨干OSPF区域，汇聚交换机可组成多个OSPF非骨干区域，汇聚交换机和接入交换机之间采用二层组网；

2）IDC提供云计算服务时，宜采用扁平的大二层方式，互联网接入层可选用核心交换机，核心交换机、汇聚交换机和接入交换机之间全部采用二层组网。

3.5.3　在IDC经营者建设有多个IDC时，根据业务需求，不同局址的IDC之间可进行二层网络互联。