【正文】 以當用戶需要與服務器交換大量數(shù)據(jù)時，撥號方式就不太合適。 數(shù)據(jù)更新對于從事網(wǎng)上業(yè)務的公司，提供好的內(nèi)容是業(yè)務成功的關鍵，因此IDC的用戶會經(jīng)常需要對內(nèi)容進行更新和改進。同時由于后臺網(wǎng)絡不承擔業(yè)務，帶寬也相對充足，因此IDC都是通過后臺來對服務器和網(wǎng)絡設備進行管理。 備份在后臺管理網(wǎng)絡上可以通過設置專有的VLAN（Private VLAN）或者是普通的VLAN，以隔離不同用戶的服務器。在IDC初期建設時，后臺管理的重要性不顯著，甚至很多規(guī)模較小的IDC在剛開始建設時，完全沒有考慮到后臺管理的問題，但是隨著業(yè)務的迅速發(fā)展，后臺網(wǎng)絡的重要性逐漸被認識，因此目前比較成功的IDC，都有一個非常完善的后臺管理系統(tǒng)。由于Web交換機具有這種動態(tài)內(nèi)容復制的能力，本方案為用戶提供了一種靈活有效的方案，即由IDC來解決這個問題。在這種情況下，Cache基本上變成了瓶頸。可以Cache的靜態(tài)的內(nèi)容的例子就是gif、jpeg和pdf文件等。交換機旁路RPC，把最初的IP地址信息和包含在流頭部的序列號發(fā)往服務器。反向代理Cache（Reverse Proxy Caching，RPC）則是典型的數(shù)據(jù)中心的擴展。特別是代理Cache，對單一的Cache失敗很敏感。 Cache集群 在一個位置配備多個Cache就是Cache集群（Cache Clustering）。 代理Cache 在代理Cache（Proxy Caching）環(huán)境中，每個Web瀏覽器都要配置代理Cache的IP地址，所有用戶的請求都會轉發(fā)到代理。Web Cache的效率是用最大cache命中率和最低可能的請求/響應延時來衡量的。 Cache能力定義為一個對象可以被的潛力。6 內(nèi)容傳送 網(wǎng)絡加速Web Cache技術是把大多數(shù)經(jīng)常被訪問的內(nèi)容存放的距客戶更近從而提高了Web的訪問速度。如果用戶填了一個很長的表格，比如抵押申請或信用證明，那么所有剛填寫的信息都會丟失，必須重新來過。后續(xù)的有這個會話ID的請求都將被轉到同一臺服務器。用戶瀏覽器與服務器之間開始的SSL Hello消息含有一個空的會話ID字段（如果要建立一個新的SSL會話）或上一次客戶使用得SSL會話。SSL是端到端的加密機制，是當今Web商務加密的主要方法。如果進入一個請求并且提供了一個Cookie，用戶的優(yōu)先級字段就會決定那個服務器群接受請求。 Web交換機可以讀到分布在多個包中的Cookie并有能力識別一個Cookie。時，客戶的關于這個網(wǎng)站的DNS域名解析請求會被這個廣域網(wǎng)的負載平衡設備來處理，而這個廣域網(wǎng)的負載平衡設備會基于客戶端的IP地址范圍、客戶端與各節(jié)點的網(wǎng)絡延遲、各節(jié)點的狀態(tài)及負載等參數(shù)，然后根據(jù)一定的算法來判斷那個節(jié)點最適合用戶訪問，從而將這個節(jié)點的IP地址或VIP地址返回給客戶。gif/。通過這種技術可將大量的、并發(fā)性的用戶請求分配到多個服務器來處理，從而降低單個服務器的負載，避免服務器的死機或響應延遲過大！另外，這種負載平衡設備還可以幾乎實時地檢測到后臺服務器的硬件、操作系統(tǒng)、網(wǎng)絡甚至應用級別的狀態(tài)，從而避免客戶的請求被失效的服務器處理。通過這種技術可以提高WWW服務器的整體處理能力，并提高整個服務器系統(tǒng)的可靠性、可用性、可維護性、可擴展性，保證WWW服務質(zhì)量的QOS，提供基于URL、基于內(nèi)容的交換（當采用第七層負載平衡設備時），最終用一組低處理能力、低實現(xiàn)成本的主機提供大規(guī)模、高性能、可擴展的WWW服務。它們之間即可以互為備份，也可以有專門一臺備份服務器，它在群集正常時不承擔任何任務，但是當群集中的某一臺服務器發(fā)生故障時，它會自動激活，從而接管故障服務器的任務。此外，還有一些基于群集（Cluster）技術的軟件解決方案來保證WWW服務的高可用性。以前作為一個網(wǎng)站通常采用的方式是WWW服務器由一臺硬件配置非常高的UNIX服務器來擔當，盡管成本昂貴，但這樣做仍然不能保證它的可靠性、可用性、可維護性：一是因為一臺服務器仍作不到硬件級的完全容錯，保證不了可靠性；二是因為一臺服務器的網(wǎng)絡帶寬有限，保證不了可用性；三是因為當這臺服務器進行硬件或軟件升級時，不可避免地要中斷WWW服務，保證不了可維護性。作為數(shù)據(jù)中心托管用戶的主體，例如ICP網(wǎng)站、電子商務網(wǎng)站、企業(yè)網(wǎng)站等，它們托管或租用在數(shù)據(jù)中心的大部分服務器都是基于Internet TCP/IP協(xié)議的應用服務器，例如WWW服務器、FTP服務器等。5 內(nèi)容交換內(nèi)容交換提供數(shù)據(jù)流的負載均衡以提高IDC的網(wǎng)絡性能，特別是服務器的響應性能。 利用路由器和交換機的特定QOS（Quality of Service）技術，也能實現(xiàn)帶寬管理。 輕松部署 硬件帶寬管理器通常位于網(wǎng)絡瓶頸上，通常在路由器和核心交換機之間。網(wǎng)絡總結以及特定上下文的報表提供了對網(wǎng)絡趨勢的輕松訪問。而且獲得保證的音頻或視頻流動速率，避免出現(xiàn)惱人的不穩(wěn)定性。 保證應用性能 帶寬管理需要保證關鍵的和交互式的應用獲得其所需要的帶寬，同時限制普通應用對帶寬的需求。只有這樣才能對用戶提供完善的帶寬管理機制。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡核心。 高速的路由交換能力 具備豐富的接口類型目前，Cisco的Catalyst Switch 6000/6500系列交換機支持專用VLAN。簡單地說，在一個專用VLAN內(nèi)，專用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口（混雜端口和專用端口）。這種特性是Cisco公司的專有技術，但特別適用于IDC。 IP地址的緊缺：IP子網(wǎng)的劃分勢必造成一些地址的浪費然而，這種分配每個客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的擴展方面的局限。 適合特大規(guī)模分布式網(wǎng)絡的可伸縮性 專用VLANIDC環(huán)境是一個典型的多客戶的服務器群結構，每個托管客戶從一個公共的數(shù)據(jù)中心中的一系列服務器上提供Web服務。 對未經(jīng)授權活動的實時應對可以阻止黑客訪問網(wǎng)絡或終止違規(guī)會話 基于網(wǎng)絡的實時入侵檢測系統(tǒng)，能夠監(jiān)控整個數(shù)據(jù)網(wǎng)絡，需要是具備最新攻擊檢測功能的穩(wěn)健的全天候監(jiān)控和應答系統(tǒng)，能在本地、地區(qū)和總部監(jiān)視控制臺之間指導和轉發(fā)告警的分布式入侵檢測系統(tǒng)。它可以在Internet和內(nèi)部網(wǎng)環(huán)境中操作，保護整個網(wǎng)絡。安全掃描服務器能提供實時入侵檢測和實時報警。安全掃描服務器同時能進行系統(tǒng)掃描。 漏洞檢測漏洞檢測（Vulnerability Scanner）就是對重要計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。 對于HTTP數(shù)據(jù)流，WEB交換機必須在HTTP流啟動后的16秒內(nèi)接受一個有效的幀，否則它將丟棄這個幀并中斷這個流； 源地址不是單播地址； 長度太短；2。其次，DDOS也可以利用協(xié)議的缺陷，例如，它可以通過SYN打開半開的TCP連接，這是一個很老且早已為人所熟知的協(xié)議缺陷。該工具將攻擊一個目標的任務分配給所有可能的DoS服務程序，這就是它被叫做分布式DoS的原因。與其他分布式概念類似，分布式拒絕服務可以方便地協(xié)調(diào)從多臺計算機上啟動的進程。在這種情況下，服務器只好等待，有時甚至會等待1分鐘才能關閉此次連接。當網(wǎng)絡設備得到AAA的應答后，可以根據(jù)應答的內(nèi)容作出相應的操作，如果應答為DENY則關閉掉當前的SESSION進程；如果為PERMIT則根據(jù)AAA服務器返回的用戶權限為該用戶開啟SESSION進程，并將用戶所執(zhí)行的操作向AAA服務器進行報告。RADIUS/TACACS+是實施AAA常用的協(xié)議，認證軟件需要有完整的記帳功能，并且可以將USER 信息直接導入軟件的用戶數(shù)據(jù)庫，極大方便的AAA服務的用戶管理。 VPN AAA服務所謂AAA是（Authentication、Authorization、Accounting）的縮寫，即認證、授權、記帳功能，簡單的說：認證：用戶身份的確認，確定允許哪些用戶登錄，對用戶的身份的校驗。 漏洞檢測功能 防Dos 黑客攻擊功能 入侵檢測功能 AAA服務，提供認證，授權及審計的功能對于IDC基本服務的安全需求如下： IDC以Internet技術體系作為基礎，主要特點是以TCP/IP為傳輸協(xié)議和以瀏覽器/WEB為處理模式。3 網(wǎng)絡安全眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計算機連網(wǎng)，拓寬了共享資源。 Email自動轉發(fā)、回復及郵件列表支持IDC可根據(jù)用戶對以上功能的選擇及對存儲空間的要求，定義成不同級別的服務包提供給最終用戶。 WEB設計服務 Active X/VB Script支持 URL域名解析但由于這種業(yè)務模式的技術難度不大，所需投資較小，競爭也比較激烈，利潤也較低。 交互應用程序較少；其業(yè)務需求的前提如下：而每一位客戶可以有條件地訪問和控制服務器上的一小部分，從而用來構建自己的網(wǎng)站。 247網(wǎng)絡系統(tǒng)管理維護與技術支持 10M/100M共享或獨占接口 電信級高品質(zhì)機房環(huán)境和設備經(jīng)營者通過提供例如：平臺設計、服務監(jiān)控、服務品質(zhì)測試、網(wǎng)絡安全管理和緩存等項增值服務加強市場競爭力。專用主機可以為這些關鍵應用提供高質(zhì)量、安全的服務。提供網(wǎng)站托管業(yè)務的IDC向其用戶提供的業(yè)務主要包括網(wǎng)絡設施及網(wǎng)站托管，這樣對于IDC而言在進行網(wǎng)絡設計時必須考慮以下要素： 基于網(wǎng)站托管的IDC網(wǎng)絡全貌網(wǎng)站托管是IDC經(jīng)過發(fā)展后而開展的一項業(yè)務。 獨立風扇設備基于主機托管業(yè)務IDC的網(wǎng)絡全貌如下圖所示，網(wǎng)絡分為Internet連接層、核心層和服務器接入層。 標準電信級機柜：高2M、深1M或1。 24小時實時攝像監(jiān)控提供主機托管業(yè)務的IDC向其用戶提供的業(yè)務主要包括與Internet網(wǎng)的連接以及提供獨立安全的場地，這樣對于IDC而言在進行網(wǎng)絡設計時必須考慮提高網(wǎng)絡連接的速度及可靠性，從而為用戶提供高質(zhì)量的服務。主機托管業(yè)務的特點：投資降低，用戶可使用已購買的服務器等設備，無需再作設備投資，并且可采用IDC提供的線路。由于其業(yè)務模式的不同，使得其在對網(wǎng)絡設計時的要求也不相同。因為上圖中整個IDC建設框架的最終目的是為了IDC業(yè)務的開展和拓展，在這個框架的每個部分都必須貫穿為IDC業(yè)務開展服務的宗旨。總之，網(wǎng)絡架構是IDC建設框架中重要而又承上啟下的一環(huán)，網(wǎng)絡系統(tǒng)的設計是否完善將直接影響到IDC建設的質(zhì)量。第二章 網(wǎng)絡方案1 概述如下圖是整個IDC的建設框架，本章將闡述網(wǎng)絡框架的建設以及網(wǎng)絡管理。網(wǎng)絡架構的可靠，穩(wěn)定，高效，安全，可擴展，可管理性將直接關系到上層的主機系統(tǒng)和應用系統(tǒng)，也將直接關系到IDC業(yè)務的順利開展和運行。本章將在介紹IDC網(wǎng)絡設計的同時，闡述每個設計要點對IDC業(yè)務的影響和重要性。其中網(wǎng)站托管分為共享式和獨享式兩種。網(wǎng)站及企業(yè)用戶自身擁有若干服務器，并把它放置在IDC的機房里，由客戶自己進行維護。都采用了主機托管業(yè)務。 UPS不間斷電源保障 消防系統(tǒng)以及可選的機柜出租： 高速以太網(wǎng)接口有關網(wǎng)絡各層的描述，請參見后續(xù)相應章節(jié)。數(shù)據(jù)服務中心的建設除了必須具有一定面積的機房和相當數(shù)量的服務器外，還必須對運維管理、安全系統(tǒng)、監(jiān)控等設施、工具和專業(yè)服務進行深入的考慮。 獨享式網(wǎng)站托管IDC為用戶提供專用主機，這更適合于具有復雜業(yè)務的站點。運營者遵照SLA上規(guī)定的條例保證服務的不間斷、丟包率、網(wǎng)絡響應時間。其他作為獨享主機托管服務的一部分還應包括： 19英寸標準機架 服務器系統(tǒng)軟件安裝、調(diào)試 緊急狀況的處理 共享式網(wǎng)站托管又可稱為虛擬主機業(yè)務，是指在一種Internet的網(wǎng)站工作環(huán)境下，IDC的網(wǎng)絡服務器可以容納許多相互獨立的多個網(wǎng)站和Email系統(tǒng)，并且由IDC提供管理維護服務。在商業(yè)網(wǎng)站發(fā)展的早期階段，是系統(tǒng)采取的主要解決方案。 網(wǎng)站比較簡單；虛擬主機業(yè)務市場將會隨著這個產(chǎn)業(yè)的發(fā)展而不斷調(diào)整與變化，不斷地滿足如小型企業(yè)、社會團體以及其它僅需要一種簡單的網(wǎng)頁系統(tǒng)的需求。 國際、國內(nèi)域名代理申請 CGI/Perl支持，專用CGI－BIN目錄 服務器24小時不間斷運行 搜索引擎對于網(wǎng)絡結構中各層的詳細描述，請參見后續(xù)相應章節(jié)。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。 IDC的安全需求我們把對于IDC的安全需求分為三類：分別是IDC基本服務，IDC增值服務，IDC NOC。 線速ACL功能 對于IDC 增值服務的安全需求如下： 防火墻及防火墻平滑切換功能 AAA服務，提供認證，授權及審計的功能 入侵檢測功能 安全元件的策略管理AAA功能的實施需要兩部分的配合：支持AAA的網(wǎng)絡設備、AAA服務器。AAA服務器檢索用戶數(shù)據(jù)庫，如果該用戶允許登錄則向網(wǎng)絡設備返回PERMIT信息和該用戶在該網(wǎng)絡設備上可執(zhí)行的命令同時將用戶登錄的時間、IP作詳細記錄；若不能在用戶數(shù)據(jù)庫中檢索到該用戶的信息則返回DENY信息，并可以根據(jù)設置向網(wǎng)管工作站發(fā)送SNMP的警告消息。當服務器企圖將認證結果返回給用戶時，它將無法找到這些用戶。DoS攻擊需要攻擊者手工操作，而DDOS則將這種攻擊行為自動化。黒客（client）在不同的主機（handler）上安裝大量的DoS服務程序，它們等待來自中央客戶端（client）的命令，中央客戶端隨后通知全體受控服務程序（agent），并指示它們對一個特定目標發(fā)送盡可能多的網(wǎng)絡訪問請求。它們發(fā)送原始的IP包（raw IP packet），由于Internet協(xié)議本身的缺陷，IP包中包括的源地址是可以偽裝的，這也是追蹤DDOS攻擊者很困難的主要原因。 過濾進網(wǎng)和出網(wǎng)的流量 網(wǎng)絡服務