未来BAT会蚕食IDC业务,裸光纤将成趋势?

http://innovation.ifeng.com/focus/detail_2014_11/06/3115526_0.shtml  rdn_545aed8bc5b19   Dark fiber,国外的专业术语直译为“暗光纤”,国内习惯称之为“裸光纤”。笔者所在的部门近期收到了一个需求,某BAT企业提出其位于异地距离超过200KM的两个定制IDC(网络均由电信提供)之间通过裸光纤进行互联,且预计未来三年内,两个定制IDC之间的互联带宽需求接近2T。是否提供?如何提供?感觉非常棘手。在决定该采取的策略之前,还是先看下行业内的趋势变化:   1415110742564491 左图反映了目前的现状:运营商在接入层、城域骨干层和广域互联层还处于优势的地位(用橙色表示),终端用户的接入速率经过“宽带城市”的推动也提升到了6M-50Mbps不等。BAT企业通过租用运营商提供的广域互联链路,将各自租用的、位于运营商IDC内的服务器进行跨地域互联。为了让客户得到更加平滑、网络无关的访问体验,BAT企业正在大力实施应用、运算与存储能力的逐步分离,通过建设各自的云计算中心、应用层的加速/CDN技术实现各种专用“云”服务。目前这些能力除BAT自用外,也在尝试开始面向企业进行“0”费用体验销售(如阿里的CDN加速服务)。可以看到的明显趋势是:互联网流量正以云和IDC为中心,呈现大型化、集中化的趋势,网络由分段终结向E2E(Edge to Edge)方向发展。 右图反映的是未来一两年内可能会发生的变化:随着运营商4G和光网建设的推进,终端客户的带宽会逐步向50M(mobile)/100M(fixed)方向发展,而企业级互联的带宽也逐步向GE速率推进。BAT企业由于已成为运营商排名前三的IDC大客户,因而有充足底气向运营商提出逐步将分散“云”归并形成“超级云”。运营商为了保住IDC市场份额,将不得不根据BAT的需求而重新优化自身核心骨干网、城域网的链路,网络流向将愈发向BAT的“云”集中。未来几年,上图中橙色向蓝色的变迁,意味着运营商话语权向BAT的转移。如:在“云”层面,BAT原来的各个小“云”通过专用链路(裸纤或波道)形成“超级云”;BAT通过与本地宽带接入运营商如长宽、鹏博士,及移动虚拟运营商的合作,可绕开运营商直接实现“端”层面客户的直接接入;通过“超级云”与大型企业的直达链路(可能并非运营商提供),实现在运营商收入最丰厚的企业互联市场的切入等等。Amazon已经在国外18个城市与Equinix合作推出了名为“AWS Direct Connect”,即企业专线入云的服务。企业客户可以租用Equinix提供的速率从50Mbps到1Gbps不等的专线,将客户自己的数据中心、办公室或主机托管区与AWS的超级云相连接,以实现更直接稳定的连接、提升带宽使用效率。仅限于管制政策,Amazon还尚未在中国开放此项服务。 从长远的趋势来看,运营商退化为管道提供商的命运无法阻挡,然而,这个趋势的进程快慢,则取决运营商如何制订裸光纤租用的政策。 运营商应对的策略建议 笔者以为,裸光纤租用对运营商来说并非单纯的“洪水猛兽”,从积极的一面来看,也可以成为运营商转型创新,实现新的收入增长的一个领域。运营商长期服务的重要客户如金融、制造等行业客户和教育(大学)、专业研究机构等客户,随着业务的拓展和数据交互量的增加,以及传输波分类设备价格的迅速降低,从降低运营成本的角度出发,也会逐步向运营商提出裸光纤租用的需求。此类客户对运营商不造成直接的业务竞争关系,运营商可以基于合理的定价模型和SLA指标,向其提供高质量的裸光纤租用,以满足其跨域组网或接入云服务的专线需求。 其次,从争取时间的角度出发,运营商可以协商制订一致的策略:暂不对BAT开放裸光纤租用服务,只对政企客户开放裸光纤。若采取开放原则,则在定价方面宜综合考虑以下因素:建设投入、地点、长度、租期、芯数、野外维护人力工具及交通成本等,如需租用给BAT企业时,其策略为合同期至少15年。 第三,从有利于国家信息安全的角度出发,现阶段也不适合向BAT企业开放裸光纤出租业务。目前运营商所有IDC信息服务机房的互联网出口设备之间的流量均为受控流量,国家有权追溯并且提取相应数据包进行分析追查。倘若BAT采取裸光纤方式将其分布于各地的IDC进行互联,政府则将丧失对BAT分布于不同地域内的内部服务器的转发类消息的监控能力(因为它不需要通过运营商的网络设备出口)。美国的Google公司通过自行拥有光纤,可以自行掌控位于世界各地IDC之间的流量,在必要时可以自主控制向政府监管部门交出的数据颗粒度。因此,BAT企业自行采用裸光纤进行跨地域互联并向最终用户提供服务,存在信息安全方面的监管漏洞。 第四,运营商应加快做好存量IDC的优化和高效互联。腾讯在BAT企业里较早成立了专门的数据中心部门,不光研究IDC微模块技术、海量运营技术、开源技术形成产品,还参与工信部的行业标准制订,推动行业发展。相比之下,运营商的IDC运营维护人员缺乏,且大都停留在基本的带宽和机架出租和少量的安全增值服务层面,对于大量按传统模式建设、规模体量不一、能耗运营效率高低差距较大的IDC现状研究和创新不足。在存量IDC优化和业务创新方面,实有必要组建专门的队伍研究Openstack技术和IDC增值服务产品创新,加速实现现有IDC之间的高速互联,实施自身IDC资源的优化整合和多样化的用户接入手段,从而缩小与BAT企业的差距。 第五,加快企业和宽带终端用户提速升级,进一步保有存量宽带用户,锁定未来三年用户存量。目前运营商对企业客户的带宽型专线互联业务基本以传统MSTP、GE或MPLS VPN专线为主,可考虑针对金融、教育类客户的异地组网需求,借鉴Amazon的AWS Direct云互联专线业务,捆绑组合其IDC和专线互联需求形成新的组合产品。对于接受此组合业务模式的企业客户不妨签署3-5年的合约并给予签约一年、赠送两年的优惠。此外,在宽带终端用户群保有方面,持续加快光网端口的改造升级,以互联网电视IPTV引领,打造短期内无法复制的差异化优势,针对存量用户制订如签约两年送半年、签三年送一年的优惠政策,降低存量用户的流失风险,以缓解未来数年BAT企业以应用捆绑方式分流运营商终端接入用户的威胁。 结语 面对BAT企业的裸光纤需求,运营商企业除了借助市场和政府监管政策,更积极的做法应是尽早行动以提升自身核心竞争力,即便被“管道化”,也要做不可替代的“管道”。Nokia和Motorola倒下了,并非输在他们没有意识到行业的变化趋势,而是他们意识到了变化但不去改变,以让自己拥有新的能力参与新规则下的游戏。运营商们已经看到了变化,但能否成功应对挑战?让我们拭目以待。]]>

squid 上网代理服务器缓存加速设置

企业环境 公司搭建一台代理服务器,需要提高内网访问互联网速度并能够对内部员工的上网行为进行限制,采用squid代理服务器软件,对内部网络进行优化。 需求分析 提高用户访问速度,需要对squid服务器进行优化并且需要使用acl对访问行为进行相应限制。 解决方案 1、路由及NAT设置 设置网卡IP地址 eth0:192.168.8.188 netmask:255.255.255.0 vim /etc/sysconfig/network-scripts/ifcfg-eth0 27212_1239091938opqo eth1:dhcp获取 vim /etc/sysconfig/network-scripts/ifcfg-eth1 27212_1239091942UKD6 27212_1239091950jO7A 开启内核路由功能 echo 1 > /proc/sys/net/ipv4/ip_forward 27212_1239091953Nmdh 配置iptables设定nat,即透明代理 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-ports 3128 如果只设置下面一句而上面一句不设置,客户端也可以上网,只是不通过squid哈~ iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 保存iptables设置 service iptables save 27212_12390919557s14 2、修改selinux设置 setsebool -P squid_disable_trans on 27212_1239091957YutH 注意: 如果配置squid透明代理,要开启selinux的squid_disable_trans,否则squid不能启动哈~ 27212_1239091960dFlX 3、添加squid系统用户和组 [root@rhel5 ~]# groupadd squidadmin [root@rhel5 ~]# useradd squidadmin -g squidadmin -s /sbin/nologin 27212_1239091965Kfhw 4、建立相应目录 [root@rhel5 ~]# mkdir /usr/local/squid [root@rhel5 ~]# mkdir /usr/local/squid/cache [root@rhel5 ~]# mkdir /usr/local/squid/var [root@rhel5 ~]# mkdir /usr/local/squid/var/logs 27212_1239091966NKMg 5、改变目录的所有者 为了保证服务正常启动并可以写入缓存、日志等信息,我们更改目录所有者为squidadmin哈~ [root@rhel5 ~]# chown -R squidadmin /usr/local/squid/cache [root@rhel5 ~]# chgrp -R squidadmin /usr/local/squid/cache [root@rhel5 ~]# chown -R squidadmin /usr/local/squid/var/logs [root@rhel5 ~]# chgrp -R squidadmin /usr/local/squid/var/logs 27212_12390919671Vt4 6、修改squid配置文件 vim /etc/squid/squid.conf 设置监听地址和端口 http_port 3128 transparent 红色部分是支持透明代理,这是squid新版本的改进 27212_1239091973bE3O 注意: 好多资料说透明代理设置为 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on 实际上透明代理只是在普通代理的基础上加上了http_port 3128 transparent及IPTABLES的端口转发功能,使用Iptables或者Ipchains实现,即把用户对外部www站点的访问转到Squid的端口上去,相对用用户来讲是“透明”的,不需在浏览器中指明代理服务器的IP和端口。 而对于反向代理来说,从squid2.6开始squid.conf已经没有httpd_accel字段了哈~Squid 2.6与3.0一样哈~相对于2.5的accel模式下配置要简单许多,只要设置不同的后端,cache_peer parent originserver就可以进行反向代理,而不再需要httpd_accel系列参数的配置.配置squid时最好制定内部dns,或者修改/etc/hosts文件,否则squid可能会回环访问其自身而出现问题哈~ udp_incoming_address 0.0.0.0 27212_12390919780Z3U 设置squid内存大小及cahce目录 cache_mem 512 MB 27212_12390919887bR2 cache_dir ufs /usr/local/squid/cache 10240 16 256 27212_1239092001nMMW 设置日志文件和pid文件位置 access_log /usr/local/squid/var/logs/access.log cache_log /usr/local/squid/var/logs/cache.log cache_store_log none 27212_1239092005O9Z9 emulate_httpd_log on 使Squid按照Web服务器的格式创建访问记录,Web访问记录分析程序,就需要设置这个参数 27212_1239092013zCJk pid_filename /usr/local/squid/var/logs/squid.pid 27212_1239092019c1Up 配置访问控制 acl all src 0.0.0.0/0.0.0.0 acl mynet src 192.168.8.0/255.255.255.0 27212_1239092028o30u http_access allow mynet http_access deny all 27212_1239092038dzK8 设置运行时的用户和组权限 设置squid进程所有者 cache_effective_user squidadmin 设置squid进程所属组 cache_effective_group squidadmin 27212_1239092045IoWE 设置管理信息 设置squid可见主机名 visible_hostname 192.168.8.188 27212_12390920487fHN swap性能微调 half_closed_clients off 27212_1239092052q0fh cache_swap_low 80 cache_swap_high 100 27212_1239092057oY3y maximum_object_size 1024 KB 27212_1239092064sI73 squid配置逻辑是自上而下,满足条件即不再和下面匹配。 7、检查squid.conf配置文件 当更改过配置文件后最好验证一下配置文件:squid -k parse 27212_1239092074bnkN 8、squid服务初始化 在第一次启动squid服务之前,一定要使用squid -z命令来使squid在硬盘缓存中建立cache目录,或者重新设置了cache_dir字段的值之后也要使用此命令来重新建立硬盘缓存目录哈~ 如果我们要观察此过程,我们可以加个-X参数哈~ squid -zX 27212_1239092083Vi31 注意:在cache目录激活后永远不要改变L1和L2的值哈~ 9、启动squid服务 service squid start 27212_12390920940ClT 10、测试 squid -D检查squid服务有没启动 27212_1239092095u2Ee 客户端只要设置IP地址、子网掩码、网关及DNS就可以直接上网了哈~ 27212_1239092099eKKi 27212_1239092105VpPp 测试http网站 27212_1239092109IKBG 27212_1239092112fC50 测试https网站 27212_1239092115jIov 27212_1239092118CgX3 27212_1239092120zayM 测试邮箱网站 27212_1239092124UBj0 27212_1239092129Ny7J [url]http://ipid.shat.net/[/url],检测你的代理是否成功哈~~~ 27212_1239092133KmKl tail /usr/local/squid/var/logs/access.log 我们会发现访问的记录都在access.log中哈~~~ 27212_1239092135mxDj cat /usr/local/squid/var/logs/cache.log 27212_1239092137eyed 此外我们还可以使用acl和http_access deny组合来禁止指定IP、指定网段、屏蔽访问指定网站及指定固定时间上网等等哈~~~ #################Michael分割线#######################]]>