【正文】 認(rèn)證，授權(quán)及審計的功能 ? 防 Dos 黑客攻擊功能 ? 線速 ACL 功能 ? 防火墻及防火墻平滑切換功能 ? 入侵檢測功能 ? 漏洞檢測功能 ? 線速 NAT 對于 IDC NOC 的安全需求如下： ? AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計的功能 ? 防 Dos 黑客攻擊功能 ? 線速 ACL 功能 ? 防火墻及防火墻平滑切換功能 ? 入侵檢測功能 ? 漏洞檢測功能 ? 線速 NAT ? ACL 的策略管理 ? 安全元件的策略管理 ? VPN AAA 服務(wù) 所謂 AAA 是（ Authentication、 Authorization、 Accounting）的縮寫，即認(rèn)證、授權(quán)、記帳功能，簡單的說： 認(rèn)證：用戶身份的確認(rèn)，確定允許哪些用戶登錄，對用戶的身份的校驗。 IDC 以 Inter 技術(shù)體系作為基礎(chǔ)，主要特點是以 TCP/IP 為傳輸協(xié)議和以瀏覽器 /WEB 為處理模式。 3 網(wǎng)絡(luò)安全 安全服務(wù)基本托管服務(wù)網(wǎng)站托管( 共享 )網(wǎng)站托管( 獨占 )主機托管高級安全服務(wù)P r iv at e V L AN專用防火墻專用的入侵監(jiān)測安全審計 眾所周知，作為全球使用范圍最大的信息網(wǎng)， Inter 自身協(xié)議的開放性極大地方便了各種計算機連網(wǎng)，拓寬了共享資源。 共享式網(wǎng)站托管是深受中、小企業(yè)歡迎的一個價廉物美的服務(wù)，內(nèi)容包括： ? 國際、國內(nèi)域名代理申請 ? URL 域名解析 ? FTP 訪問及其密碼修改 ? 斷點續(xù)傳支持 ? CGI/Perl 支持，專用 CGI－ BIN 目錄 ? Active X/VB Script 支持 ? JAVA Applet/Class 支持 ? 防火墻保護 ? 服務(wù)器 24 小時不間斷運行 ? WEB 設(shè)計服務(wù) ? WEB Counter 計數(shù)器 ? Banner 廣告條 ? 搜索引擎 ? Email自動轉(zhuǎn)發(fā)、回復(fù)及郵件列表支持 IDC 可根據(jù)用戶對以上功能的選擇及對存儲空間的要求，定義成不同級別的服務(wù)包提供給最終用戶。 現(xiàn)在 Inter 上很多網(wǎng)站都采用虛擬主機系統(tǒng)方案。 虛擬主機依托于一臺服務(wù)器，多個網(wǎng)站可以在這臺服務(wù)器上共享資源（硬盤空間、處理器以及內(nèi)存空間），單獨的一臺服務(wù)器上可以同時運行多個虛擬 主機。 對中小型網(wǎng)站而言，無論是從運營維護的角度，還是對整體業(yè)務(wù)收入而言，與場地租用的服務(wù)相比，獨享主機服務(wù)更能吸引 IDC 的經(jīng)營者。對于這種業(yè)務(wù)模型，用戶將其服務(wù)器包給了數(shù)據(jù)服務(wù)中心經(jīng)營者，用戶不必?fù)碛杏嬎銠C、網(wǎng)絡(luò)方面的技術(shù)人員而享受數(shù)據(jù)服務(wù)中心所提供的全套專業(yè)服務(wù)。數(shù)據(jù)服務(wù)中心的建設(shè)除了必須具有一定面積的機房和相當(dāng)數(shù)量的服務(wù)器外，還必須對運維管理、安全系統(tǒng)、監(jiān)控等設(shè)施、工具和專業(yè)服務(wù)進行深入的考慮。有關(guān)網(wǎng)絡(luò)各層的描述，請參見后續(xù)相應(yīng)章節(jié)。 對主機托管業(yè)務(wù)， IDC 可為客戶提供 n x 100M 或者千兆獨占帶寬的電信級專業(yè)機房租用服務(wù)，包括 ? 隨時可擴充的獨占帶寬 ? UPS 不間斷電源保障 ? 24 小時實時攝像監(jiān)控 ? 電源控制系統(tǒng) ? 保安系統(tǒng) ? 消防系統(tǒng) 以及可選的機柜出租： ? 標(biāo)準(zhǔn)電信級機柜：高 2M、深 1M 或 1。 該業(yè)務(wù)適合于自身有較強的網(wǎng)絡(luò)運行維護經(jīng)驗并在數(shù)據(jù)中心建立之前已投入人力物力建設(shè)了網(wǎng)站設(shè)備的大型企業(yè)用戶。以下分別給出基于兩種不同模式時的網(wǎng)絡(luò)全貌。 本章將從托管服務(wù)，網(wǎng)絡(luò)安全， Inter 連接，內(nèi)容交換，內(nèi)容傳送，后臺連接和網(wǎng)絡(luò)管理等方面具體闡述 IDC 網(wǎng)絡(luò)解決方案對 IDC 業(yè)務(wù)的針對性設(shè)計。 IDC 網(wǎng)絡(luò)架構(gòu)的整體設(shè)計框架如下圖所示。 網(wǎng)絡(luò)架構(gòu)運行在布線系統(tǒng)，供電系統(tǒng)等基礎(chǔ)系統(tǒng)之上，同時為主機系統(tǒng)和應(yīng)用系統(tǒng)提供平臺。而在橫向結(jié)構(gòu)上， IDC 的網(wǎng)絡(luò)運行離不開網(wǎng)絡(luò)管理和運營維護 。 基本托管服務(wù) 網(wǎng)站托管 ( 共享 ) 網(wǎng)站托管 ( 獨占 ) 主機托管高級安全服務(wù)P r i vat e V LA N專用防火墻、專用入侵探測安全審計I nt er 連接服務(wù)C om m i t t ed A ccess R at e服務(wù)類別 ( C O S )內(nèi)容交換服務(wù)基于 I P , U R L, C oo ki e 的負(fù)載均衡語言和終端設(shè)備優(yōu)化跨地域負(fù)載均衡內(nèi)容傳送服務(wù)網(wǎng)站服務(wù)加速網(wǎng)站內(nèi)容推送突發(fā)擁擠保障內(nèi)容分段復(fù)制后臺連接服務(wù)端到端安全端到端私用網(wǎng)絡(luò)IDC 網(wǎng)絡(luò)架構(gòu)運行管理 專業(yè)服務(wù) IDC 的業(yè)務(wù)將包含接入業(yè)務(wù)，空間出租業(yè)務(wù)，托管業(yè)務(wù)，管理業(yè)務(wù)和增值業(yè)務(wù)。 2 托管服務(wù) IDC 的基本業(yè)務(wù)包括網(wǎng)站托管（ Web hosting）和主機托管（ Colocation）兩大類。 Bas ic Ho sting Servi ces基本托管服務(wù)網(wǎng)站托管( 共享 )網(wǎng)站托管( 獨占 )主機托管 基于主機托管的 IDC 網(wǎng)絡(luò)全貌 主機托管是 IDC 初期為其用戶提供的一種基礎(chǔ)服務(wù)。如著名的 Yahoo、 eBay、 Amazon。 2 米、寬 19 英寸 ? 每臺機柜提供獨立電源控制 ? 高速以太網(wǎng)接 口 ? 獨立風(fēng)扇設(shè)備 基于主機托管業(yè)務(wù) IDC 的網(wǎng)絡(luò)全貌如下圖所示，網(wǎng)絡(luò)分為 Inter 連接層、核心層和服務(wù)器接入層。 基于網(wǎng)站托管的 IDC 網(wǎng)絡(luò)全貌 網(wǎng)站托管是 IDC 經(jīng)過發(fā)展后而開展的一項業(yè)務(wù)。 提供網(wǎng)站托管業(yè)務(wù)的 IDC 向其用戶提供的業(yè)務(wù)主要包括網(wǎng)絡(luò)設(shè)施及網(wǎng)站托管，這樣對于 IDC 而言在進行網(wǎng)絡(luò)設(shè)計時必須考慮以下要素： ? 提高服務(wù)器及 Web 應(yīng)用的可訪問性，這需要網(wǎng)絡(luò)具有內(nèi)容識別（ Content Aware）的功能 ? 為方便租用主機 的用戶易于控制及管理其主機內(nèi)容，提供相應(yīng)的管理平臺。 為了保證服務(wù)質(zhì)量，獲得相應(yīng)的高增值服務(wù)費用， IDC 服務(wù)經(jīng)營者通常與用戶制定 SLA（ Service Level Agreement）。根據(jù)用戶需求的不同，我們可以定義單機，雙機集群或包括數(shù)據(jù)庫服務(wù)器的獨享主機服務(wù)包。 虛擬主機是一種初級的網(wǎng)絡(luò)系統(tǒng)方案，其用途主要是容納一些中小型企業(yè)應(yīng)用以及靜態(tài)網(wǎng)頁。虛擬主機業(yè)務(wù)市場將會隨著這個產(chǎn)業(yè)的發(fā)展而不斷調(diào)整與變化，不斷地滿足如小型企業(yè)、社會團體以及其它僅需要一種簡單的網(wǎng)頁系統(tǒng)的需求。 在基于網(wǎng)站托管業(yè)務(wù) IDC 的網(wǎng)絡(luò)全貌如下圖所示，網(wǎng)絡(luò)分為 Inter 連接層、核心層、分布層、服務(wù)器接入及后臺管理平臺。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及在使用和管理上的無政府狀態(tài)，逐漸使 Inter 自身的安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。所以我們在 IDC 的設(shè)計中必須充分重視安全問題，盡可能的減少安全漏洞。 授權(quán)：當(dāng)用戶登錄后允許該用戶可以干什么，執(zhí)行哪些操作的授權(quán)。 在使用 AAA 的功能后用戶通過網(wǎng)絡(luò)遠(yuǎn)程登錄到網(wǎng)絡(luò)設(shè)備上的基本過程如下： 用戶執(zhí)行遠(yuǎn)程登錄命令（例如： Tel），網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。 通過 AAA 的實施我們可以方便的控制網(wǎng)絡(luò)設(shè)備的安全性，同時結(jié)合 ACL 的設(shè)置限制能夠進行遠(yuǎn)程登錄的工作站的數(shù)量、 IP 地址降低網(wǎng)絡(luò)設(shè)備受到攻擊的可能性。當(dāng)服務(wù)器關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請求，以上過程又重復(fù)發(fā)生，直到服務(wù)器因過載而拒絕提供服務(wù)。在這種情況下，就會有 一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，并使其因過載而崩潰。 實際的攻擊并不僅僅是簡單地發(fā)送海量信息，而是采用 DDOS 的變種工具，這些工具可以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強大或者使追 蹤攻擊者變得更困難。為了使攻擊力更強， DDOS 通常會利用任何一種通過發(fā)送單獨的數(shù)據(jù)包就能探測到的協(xié)議缺陷，并利用這些缺陷進行攻擊。 采用網(wǎng)絡(luò)入侵檢測系統(tǒng) IDS 當(dāng)系統(tǒng)收到來自奇怪或未知地址的可疑流量時，網(wǎng)絡(luò)入侵檢測系統(tǒng) IDS（ Intrusion Detection Systems）能夠給系統(tǒng)管理人員發(fā)出報警信號，提醒他們及時采取應(yīng)對措施，如切斷連接或反向跟蹤等。 漏洞檢測 漏洞檢測（ Vulnerability Scanner）就是對重要計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。 安全掃描服務(wù)器同時能進行系統(tǒng)掃描。 安全掃描服務(wù)器能提供實時入侵檢測和實時報警。它可以在 Inter 和內(nèi)部網(wǎng)環(huán)境中操作，保護整個網(wǎng)絡(luò)。 基于網(wǎng)絡(luò)的實時入侵檢測系統(tǒng)，能夠監(jiān)控 整個數(shù)據(jù)網(wǎng)絡(luò)，需要是具備最新攻擊檢測功能的穩(wěn)健的全天候監(jiān)控和應(yīng)答系統(tǒng)，能在本地、地區(qū)和總部監(jiān)視控制臺之間指導(dǎo)和轉(zhuǎn)發(fā)告警的分布式入侵檢測系統(tǒng)。一個保證托管客戶之間安全的通用方法就是給每個客戶分配一個 VLAN 和相關(guān)的 IP 子網(wǎng)。 Cisco 在 IP 地址 管理方案中引入了一種新的 VLAN 機制，服務(wù)器同在一個子網(wǎng)中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。與服務(wù)器連接的端口稱作專用端口（ private port），一個專用端口限定在第 2 層，它只能發(fā)送流量到混雜端口，也只能檢測從混雜端口來的流量。 P r o m i s c u o u s P o r tA c c e s s P o r tsX X XX X XX1 I P S u b n e t 專用 VLAN 的應(yīng)用在多客戶的數(shù)據(jù)中心是非常有效的，因為 IDC 的網(wǎng)絡(luò)中，服務(wù)器只需與自己的缺省網(wǎng)關(guān)連接，一個專用 VLAN 不需要多個 VLAN 和IP 子網(wǎng)就提供了這樣的安全連接。 高速的路由交換能力 借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。 具備豐富的接口類型 識別網(wǎng)絡(luò)流量 IDC 的帶寬管理需要支持多種協(xié)議和應(yīng)用程序，并且可以根據(jù)自己的需要，自行設(shè)定相應(yīng)的標(biāo)準(zhǔn)來區(qū)分更多的類型。例如，你可以將 SAP/R3 通信量根據(jù)一個特定客戶式特定服務(wù)器隔開，使TN3270 交互式通信量與打印通信量分開，甚至把一個 H。 速率政策（ Rate policies）限制或保證每個單獨對話的帶寬，抑制那些貪婪的應(yīng)用通信，或者保護對時延敏感的流量。 測量、分析和生成報表 網(wǎng)絡(luò)管理員在制訂一項帶寬管理策略之前及之后 必須分析其網(wǎng)絡(luò)應(yīng)用通信的模式，以測量其是否成功。 流量控制和監(jiān)視控制 IDC 的帶寬管理是非常復(fù)雜的業(yè)務(wù)和技術(shù)控制，所以，需要一個簡單易用的進行操作的管理界面。它不能是一個網(wǎng)絡(luò)故障點，如果帶寬管理器發(fā)生故障或者被關(guān)掉，它需要會像一根電纜一樣發(fā)揮作用。 對本地帶寬管理也可以通過四層交換機來實現(xiàn)。這在本節(jié)將有具體闡述。因此，如果數(shù)據(jù)中心的服務(wù)提供商能夠給客戶提供這種高可用性服務(wù)，就可以像保險公司的保險費一樣，來向客戶收取一定的增值服 務(wù)費用！并且對數(shù)據(jù)中心的各種類型用戶都帶來好處：對主機租用用戶來講，他們的服務(wù)器硬件本身都是租用數(shù)據(jù)中心的，因此自然希望數(shù)據(jù)中心能夠?qū)Ψ?wù)器系統(tǒng)的可用性提出更高的保證；對主機托管用戶來講，盡管服務(wù)器是自身攜帶的，但是除了極少部分大的網(wǎng)站有資金、有技術(shù)能力來自行解決關(guān)鍵服務(wù)器系統(tǒng)的高可用性問題外，大多數(shù)的網(wǎng)站并不具備這樣的條件，他們希望數(shù)據(jù)中心服務(wù)提供商能夠作為他們的 Virtual IT 部門，能夠給他們提供一個完善的解決方案。它的優(yōu)點是：實現(xiàn)簡單、實施容易、成本低；但是，它的缺點也非常明顯：不是真正意義上的負(fù)載均衡， DNS 服務(wù)器將 HTTP 請求平均地分配到后臺的 WWW 服務(wù)器上，而不考慮每個 WWW 服務(wù)器當(dāng)前的負(fù)載情況；如果后臺的 WWW 服務(wù)器的配置和處理能力不同，最慢的 WWW 服務(wù)器將成為系統(tǒng)的瓶頸，處理能力強 的服務(wù)器不能充分發(fā)揮作用；另外未考慮容錯，如果后臺的某一臺 WWW 服務(wù)器出現(xiàn)故障， DNS服務(wù)器仍會把 DNS 請求分配到這臺故障服務(wù)器上，導(dǎo)致對客戶端的不能響應(yīng)?；閭浞荩?Active/Standby）方式下，其中一臺服務(wù)器缺省處于活動狀態(tài)（ Active/Primary），而另一臺處于睡眠狀態(tài)（ Standby/Backup），當(dāng)主服務(wù)器系統(tǒng)死機或應(yīng)用不能正常服務(wù)時，備份服務(wù)器會自動變成活動狀態(tài)，從而接管原主服務(wù)器的任務(wù)，保證應(yīng)用能夠繼續(xù)服務(wù)。當(dāng)然更為重要的一點是，作為數(shù)據(jù)中心的托管用戶，他們往往不希望數(shù)據(jù)中心服務(wù)提供商在他們的服務(wù)器上安裝任何軟件！ 正因為上述的解決方案存在這樣或那樣的問題，因此，隨著 Inter 技術(shù)的發(fā)展，出現(xiàn)了基于應(yīng)用、甚至基于內(nèi)容的負(fù)載平衡設(shè)備，即我們通常所說的第四層、第七層智能負(fù)載平衡設(shè)備。當(dāng)客戶訪問此 WWW 應(yīng)用時，客戶端的 HTTP 請求會先被第四層負(fù)載平衡設(shè)備接收到，它會基于第四層交換技術(shù)實時檢測后臺 WWW 服務(wù)器的負(fù)載，根據(jù)設(shè)定的算法進行快速交換，交給當(dāng)前最可用、負(fù)載最輕的服務(wù)器來處理。它與第四層負(fù)載平衡設(shè)備比較起來：第七層負(fù)載平衡設(shè)備不僅能檢查 TCP/IP 數(shù)據(jù)包的 TCP、 UDP 端口號（ Transportation Layer），從而轉(zhuǎn)發(fā)給后臺的某一個服務(wù)器來處理，而且它能從會話層（ Session Layer）以上來分析 HTTP 請求的 URL，根據(jù) URL 的不同將不同的 HTTP 請求交給不同的服務(wù)器來處理（可以具體到某一類文件，甚至某一個