【正文】 以當(dāng)用戶需要與服務(wù)器交換大量數(shù)據(jù)時(shí)，撥號(hào)方式就不太合適。 數(shù)據(jù)更新對(duì)于從事網(wǎng)上業(yè)務(wù)的公司，提供好的內(nèi)容是業(yè)務(wù)成功的關(guān)鍵，因此IDC的用戶會(huì)經(jīng)常需要對(duì)內(nèi)容進(jìn)行更新和改進(jìn)。同時(shí)由于后臺(tái)網(wǎng)絡(luò)不承擔(dān)業(yè)務(wù)，帶寬也相對(duì)充足，因此IDC都是通過后臺(tái)來對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行管理。 備份在后臺(tái)管理網(wǎng)絡(luò)上可以通過設(shè)置專有的VLAN（Private VLAN）或者是普通的VLAN，以隔離不同用戶的服務(wù)器。在IDC初期建設(shè)時(shí)，后臺(tái)管理的重要性不顯著，甚至很多規(guī)模較小的IDC在剛開始建設(shè)時(shí)，完全沒有考慮到后臺(tái)管理的問題，但是隨著業(yè)務(wù)的迅速發(fā)展，后臺(tái)網(wǎng)絡(luò)的重要性逐漸被認(rèn)識(shí)，因此目前比較成功的IDC，都有一個(gè)非常完善的后臺(tái)管理系統(tǒng)。由于Web交換機(jī)具有這種動(dòng)態(tài)內(nèi)容復(fù)制的能力，本方案為用戶提供了一種靈活有效的方案，即由IDC來解決這個(gè)問題。在這種情況下，Cache基本上變成了瓶頸?？梢訡ache的靜態(tài)的內(nèi)容的例子就是gif、jpeg和pdf文件等。交換機(jī)旁路RPC，把最初的IP地址信息和包含在流頭部的序列號(hào)發(fā)往服務(wù)器。反向代理Cache（Reverse Proxy Caching，RPC）則是典型的數(shù)據(jù)中心的擴(kuò)展。特別是代理Cache，對(duì)單一的Cache失敗很敏感。 Cache集群 在一個(gè)位置配備多個(gè)Cache就是Cache集群（Cache Clustering）。 代理Cache 在代理Cache（Proxy Caching）環(huán)境中，每個(gè)Web瀏覽器都要配置代理Cache的IP地址，所有用戶的請(qǐng)求都會(huì)轉(zhuǎn)發(fā)到代理。Web Cache的效率是用最大cache命中率和最低可能的請(qǐng)求/響應(yīng)延時(shí)來衡量的。 Cache能力定義為一個(gè)對(duì)象可以被的潛力。6 內(nèi)容傳送 網(wǎng)絡(luò)加速Web Cache技術(shù)是把大多數(shù)經(jīng)常被訪問的內(nèi)容存放的距客戶更近從而提高了Web的訪問速度。如果用戶填了一個(gè)很長(zhǎng)的表格，比如抵押申請(qǐng)或信用證明，那么所有剛填寫的信息都會(huì)丟失，必須重新來過。后續(xù)的有這個(gè)會(huì)話ID的請(qǐng)求都將被轉(zhuǎn)到同一臺(tái)服務(wù)器。用戶瀏覽器與服務(wù)器之間開始的SSL Hello消息含有一個(gè)空的會(huì)話ID字段（如果要建立一個(gè)新的SSL會(huì)話）或上一次客戶使用得SSL會(huì)話。SSL是端到端的加密機(jī)制，是當(dāng)今Web商務(wù)加密的主要方法。如果進(jìn)入一個(gè)請(qǐng)求并且提供了一個(gè)Cookie，用戶的優(yōu)先級(jí)字段就會(huì)決定那個(gè)服務(wù)器群接受請(qǐng)求。 Web交換機(jī)可以讀到分布在多個(gè)包中的Cookie并有能力識(shí)別一個(gè)Cookie。時(shí)，客戶的關(guān)于這個(gè)網(wǎng)站的DNS域名解析請(qǐng)求會(huì)被這個(gè)廣域網(wǎng)的負(fù)載平衡設(shè)備來處理，而這個(gè)廣域網(wǎng)的負(fù)載平衡設(shè)備會(huì)基于客戶端的IP地址范圍、客戶端與各節(jié)點(diǎn)的網(wǎng)絡(luò)延遲、各節(jié)點(diǎn)的狀態(tài)及負(fù)載等參數(shù)，然后根據(jù)一定的算法來判斷那個(gè)節(jié)點(diǎn)最適合用戶訪問，從而將這個(gè)節(jié)點(diǎn)的IP地址或VIP地址返回給客戶。gif/。通過這種技術(shù)可將大量的、并發(fā)性的用戶請(qǐng)求分配到多個(gè)服務(wù)器來處理，從而降低單個(gè)服務(wù)器的負(fù)載，避免服務(wù)器的死機(jī)或響應(yīng)延遲過大！另外，這種負(fù)載平衡設(shè)備還可以幾乎實(shí)時(shí)地檢測(cè)到后臺(tái)服務(wù)器的硬件、操作系統(tǒng)、網(wǎng)絡(luò)甚至應(yīng)用級(jí)別的狀態(tài)，從而避免客戶的請(qǐng)求被失效的服務(wù)器處理。通過這種技術(shù)可以提高WWW服務(wù)器的整體處理能力，并提高整個(gè)服務(wù)器系統(tǒng)的可靠性、可用性、可維護(hù)性、可擴(kuò)展性，保證WWW服務(wù)質(zhì)量的QOS，提供基于URL、基于內(nèi)容的交換（當(dāng)采用第七層負(fù)載平衡設(shè)備時(shí)），最終用一組低處理能力、低實(shí)現(xiàn)成本的主機(jī)提供大規(guī)模、高性能、可擴(kuò)展的WWW服務(wù)。它們之間即可以互為備份，也可以有專門一臺(tái)備份服務(wù)器，它在群集正常時(shí)不承擔(dān)任何任務(wù)，但是當(dāng)群集中的某一臺(tái)服務(wù)器發(fā)生故障時(shí)，它會(huì)自動(dòng)激活，從而接管故障服務(wù)器的任務(wù)。此外，還有一些基于群集（Cluster）技術(shù)的軟件解決方案來保證WWW服務(wù)的高可用性。以前作為一個(gè)網(wǎng)站通常采用的方式是WWW服務(wù)器由一臺(tái)硬件配置非常高的UNIX服務(wù)器來擔(dān)當(dāng)，盡管成本昂貴，但這樣做仍然不能保證它的可靠性、可用性、可維護(hù)性：一是因?yàn)橐慌_(tái)服務(wù)器仍作不到硬件級(jí)的完全容錯(cuò)，保證不了可靠性；二是因?yàn)橐慌_(tái)服務(wù)器的網(wǎng)絡(luò)帶寬有限，保證不了可用性；三是因?yàn)楫?dāng)這臺(tái)服務(wù)器進(jìn)行硬件或軟件升級(jí)時(shí)，不可避免地要中斷WWW服務(wù)，保證不了可維護(hù)性。作為數(shù)據(jù)中心托管用戶的主體，例如ICP網(wǎng)站、電子商務(wù)網(wǎng)站、企業(yè)網(wǎng)站等，它們托管或租用在數(shù)據(jù)中心的大部分服務(wù)器都是基于Internet TCP/IP協(xié)議的應(yīng)用服務(wù)器，例如WWW服務(wù)器、FTP服務(wù)器等。5 內(nèi)容交換內(nèi)容交換提供數(shù)據(jù)流的負(fù)載均衡以提高IDC的網(wǎng)絡(luò)性能，特別是服務(wù)器的響應(yīng)性能。 利用路由器和交換機(jī)的特定QOS（Quality of Service）技術(shù)，也能實(shí)現(xiàn)帶寬管理。 輕松部署 硬件帶寬管理器通常位于網(wǎng)絡(luò)瓶頸上，通常在路由器和核心交換機(jī)之間。網(wǎng)絡(luò)總結(jié)以及特定上下文的報(bào)表提供了對(duì)網(wǎng)絡(luò)趨勢(shì)的輕松訪問。而且獲得保證的音頻或視頻流動(dòng)速率，避免出現(xiàn)惱人的不穩(wěn)定性。 保證應(yīng)用性能 帶寬管理需要保證關(guān)鍵的和交互式的應(yīng)用獲得其所需要的帶寬，同時(shí)限制普通應(yīng)用對(duì)帶寬的需求。只有這樣才能對(duì)用戶提供完善的帶寬管理機(jī)制。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。 高速的路由交換能力 具備豐富的接口類型目前，Cisco的Catalyst Switch 6000/6500系列交換機(jī)支持專用VLAN。簡(jiǎn)單地說，在一個(gè)專用VLAN內(nèi)，專用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口（混雜端口和專用端口）。這種特性是Cisco公司的專有技術(shù)，但特別適用于IDC。 IP地址的緊缺：IP子網(wǎng)的劃分勢(shì)必造成一些地址的浪費(fèi)然而，這種分配每個(gè)客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的擴(kuò)展方面的局限。 適合特大規(guī)模分布式網(wǎng)絡(luò)的可伸縮性 專用VLANIDC環(huán)境是一個(gè)典型的多客戶的服務(wù)器群結(jié)構(gòu)，每個(gè)托管客戶從一個(gè)公共的數(shù)據(jù)中心中的一系列服務(wù)器上提供Web服務(wù)。 對(duì)未經(jīng)授權(quán)活動(dòng)的實(shí)時(shí)應(yīng)對(duì)可以阻止黑客訪問網(wǎng)絡(luò)或終止違規(guī)會(huì)話 基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)，能夠監(jiān)控整個(gè)數(shù)據(jù)網(wǎng)絡(luò)，需要是具備最新攻擊檢測(cè)功能的穩(wěn)健的全天候監(jiān)控和應(yīng)答系統(tǒng)，能在本地、地區(qū)和總部監(jiān)視控制臺(tái)之間指導(dǎo)和轉(zhuǎn)發(fā)告警的分布式入侵檢測(cè)系統(tǒng)。它可以在Internet和內(nèi)部網(wǎng)環(huán)境中操作，保護(hù)整個(gè)網(wǎng)絡(luò)。安全掃描服務(wù)器能提供實(shí)時(shí)入侵檢測(cè)和實(shí)時(shí)報(bào)警。安全掃描服務(wù)器同時(shí)能進(jìn)行系統(tǒng)掃描。 漏洞檢測(cè)漏洞檢測(cè)（Vulnerability Scanner）就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。 對(duì)于HTTP數(shù)據(jù)流，WEB交換機(jī)必須在HTTP流啟動(dòng)后的16秒內(nèi)接受一個(gè)有效的幀，否則它將丟棄這個(gè)幀并中斷這個(gè)流； 源地址不是單播地址； 長(zhǎng)度太短；2。其次，DDOS也可以利用協(xié)議的缺陷，例如，它可以通過SYN打開半開的TCP連接，這是一個(gè)很老且早已為人所熟知的協(xié)議缺陷。該工具將攻擊一個(gè)目標(biāo)的任務(wù)分配給所有可能的DoS服務(wù)程序，這就是它被叫做分布式DoS的原因。與其他分布式概念類似，分布式拒絕服務(wù)可以方便地協(xié)調(diào)從多臺(tái)計(jì)算機(jī)上啟動(dòng)的進(jìn)程。在這種情況下，服務(wù)器只好等待，有時(shí)甚至?xí)却?分鐘才能關(guān)閉此次連接。當(dāng)網(wǎng)絡(luò)設(shè)備得到AAA的應(yīng)答后，可以根據(jù)應(yīng)答的內(nèi)容作出相應(yīng)的操作，如果應(yīng)答為DENY則關(guān)閉掉當(dāng)前的SESSION進(jìn)程；如果為PERMIT則根據(jù)AAA服務(wù)器返回的用戶權(quán)限為該用戶開啟SESSION進(jìn)程，并將用戶所執(zhí)行的操作向AAA服務(wù)器進(jìn)行報(bào)告。RADIUS/TACACS+是實(shí)施AAA常用的協(xié)議，認(rèn)證軟件需要有完整的記帳功能，并且可以將USER 信息直接導(dǎo)入軟件的用戶數(shù)據(jù)庫，極大方便的AAA服務(wù)的用戶管理。 VPN AAA服務(wù)所謂AAA是（Authentication、Authorization、Accounting）的縮寫，即認(rèn)證、授權(quán)、記帳功能，簡(jiǎn)單的說：認(rèn)證：用戶身份的確認(rèn)，確定允許哪些用戶登錄，對(duì)用戶的身份的校驗(yàn)。 漏洞檢測(cè)功能 防Dos 黑客攻擊功能 入侵檢測(cè)功能 AAA服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能對(duì)于IDC基本服務(wù)的安全需求如下： IDC以Internet技術(shù)體系作為基礎(chǔ)，主要特點(diǎn)是以TCP/IP為傳輸協(xié)議和以瀏覽器/WEB為處理模式。3 網(wǎng)絡(luò)安全眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。 Email自動(dòng)轉(zhuǎn)發(fā)、回復(fù)及郵件列表支持IDC可根據(jù)用戶對(duì)以上功能的選擇及對(duì)存儲(chǔ)空間的要求，定義成不同級(jí)別的服務(wù)包提供給最終用戶。 WEB設(shè)計(jì)服務(wù) Active X/VB Script支持 URL域名解析但由于這種業(yè)務(wù)模式的技術(shù)難度不大，所需投資較小，競(jìng)爭(zhēng)也比較激烈，利潤也較低。 交互應(yīng)用程序較少；其業(yè)務(wù)需求的前提如下：而每一位客戶可以有條件地訪問和控制服務(wù)器上的一小部分，從而用來構(gòu)建自己的網(wǎng)站。 247網(wǎng)絡(luò)系統(tǒng)管理維護(hù)與技術(shù)支持 10M/100M共享或獨(dú)占接口 電信級(jí)高品質(zhì)機(jī)房環(huán)境和設(shè)備經(jīng)營者通過提供例如：平臺(tái)設(shè)計(jì)、服務(wù)監(jiān)控、服務(wù)品質(zhì)測(cè)試、網(wǎng)絡(luò)安全管理和緩存等項(xiàng)增值服務(wù)加強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力。專用主機(jī)可以為這些關(guān)鍵應(yīng)用提供高質(zhì)量、安全的服務(wù)。提供網(wǎng)站托管業(yè)務(wù)的IDC向其用戶提供的業(yè)務(wù)主要包括網(wǎng)絡(luò)設(shè)施及網(wǎng)站托管，這樣對(duì)于IDC而言在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮以下要素： 基于網(wǎng)站托管的IDC網(wǎng)絡(luò)全貌網(wǎng)站托管是IDC經(jīng)過發(fā)展后而開展的一項(xiàng)業(yè)務(wù)。 獨(dú)立風(fēng)扇設(shè)備基于主機(jī)托管業(yè)務(wù)IDC的網(wǎng)絡(luò)全貌如下圖所示，網(wǎng)絡(luò)分為Internet連接層、核心層和服務(wù)器接入層。 標(biāo)準(zhǔn)電信級(jí)機(jī)柜：高2M、深1M或1。 24小時(shí)實(shí)時(shí)攝像監(jiān)控提供主機(jī)托管業(yè)務(wù)的IDC向其用戶提供的業(yè)務(wù)主要包括與Internet網(wǎng)的連接以及提供獨(dú)立安全的場(chǎng)地，這樣對(duì)于IDC而言在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮提高網(wǎng)絡(luò)連接的速度及可靠性，從而為用戶提供高質(zhì)量的服務(wù)。主機(jī)托管業(yè)務(wù)的特點(diǎn)：投資降低，用戶可使用已購買的服務(wù)器等設(shè)備，無需再作設(shè)備投資，并且可采用IDC提供的線路。由于其業(yè)務(wù)模式的不同，使得其在對(duì)網(wǎng)絡(luò)設(shè)計(jì)時(shí)的要求也不相同。因?yàn)樯蠄D中整個(gè)IDC建設(shè)框架的最終目的是為了IDC業(yè)務(wù)的開展和拓展，在這個(gè)框架的每個(gè)部分都必須貫穿為IDC業(yè)務(wù)開展服務(wù)的宗旨?？傊W(wǎng)絡(luò)架構(gòu)是IDC建設(shè)框架中重要而又承上啟下的一環(huán)，網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)是否完善將直接影響到IDC建設(shè)的質(zhì)量。第二章 網(wǎng)絡(luò)方案1 概述如下圖是整個(gè)IDC的建設(shè)框架，本章將闡述網(wǎng)絡(luò)框架的建設(shè)以及網(wǎng)絡(luò)管理。網(wǎng)絡(luò)架構(gòu)的可靠，穩(wěn)定，高效，安全，可擴(kuò)展，可管理性將直接關(guān)系到上層的主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，也將直接關(guān)系到IDC業(yè)務(wù)的順利開展和運(yùn)行。本章將在介紹IDC網(wǎng)絡(luò)設(shè)計(jì)的同時(shí)，闡述每個(gè)設(shè)計(jì)要點(diǎn)對(duì)IDC業(yè)務(wù)的影響和重要性。其中網(wǎng)站托管分為共享式和獨(dú)享式兩種。網(wǎng)站及企業(yè)用戶自身擁有若干服務(wù)器，并把它放置在IDC的機(jī)房里，由客戶自己進(jìn)行維護(hù)。都采用了主機(jī)托管業(yè)務(wù)。 UPS不間斷電源保障 消防系統(tǒng)以及可選的機(jī)柜出租： 高速以太網(wǎng)接口有關(guān)網(wǎng)絡(luò)各層的描述，請(qǐng)參見后續(xù)相應(yīng)章節(jié)。數(shù)據(jù)服務(wù)中心的建設(shè)除了必須具有一定面積的機(jī)房和相當(dāng)數(shù)量的服務(wù)器外，還必須對(duì)運(yùn)維管理、安全系統(tǒng)、監(jiān)控等設(shè)施、工具和專業(yè)服務(wù)進(jìn)行深入的考慮。 獨(dú)享式網(wǎng)站托管IDC為用戶提供專用主機(jī)，這更適合于具有復(fù)雜業(yè)務(wù)的站點(diǎn)。運(yùn)營者遵照SLA上規(guī)定的條例保證服務(wù)的不間斷、丟包率、網(wǎng)絡(luò)響應(yīng)時(shí)間。其他作為獨(dú)享主機(jī)托管服務(wù)的一部分還應(yīng)包括： 19英寸標(biāo)準(zhǔn)機(jī)架 服務(wù)器系統(tǒng)軟件安裝、調(diào)試 緊急狀況的處理 共享式網(wǎng)站托管又可稱為虛擬主機(jī)業(yè)務(wù)，是指在一種Internet的網(wǎng)站工作環(huán)境下，IDC的網(wǎng)絡(luò)服務(wù)器可以容納許多相互獨(dú)立的多個(gè)網(wǎng)站和Email系統(tǒng)，并且由IDC提供管理維護(hù)服務(wù)。在商業(yè)網(wǎng)站發(fā)展的早期階段，是系統(tǒng)采取的主要解決方案。 網(wǎng)站比較簡(jiǎn)單；虛擬主機(jī)業(yè)務(wù)市場(chǎng)將會(huì)隨著這個(gè)產(chǎn)業(yè)的發(fā)展而不斷調(diào)整與變化，不斷地滿足如小型企業(yè)、社會(huì)團(tuán)體以及其它僅需要一種簡(jiǎn)單的網(wǎng)頁系統(tǒng)的需求。 國際、國內(nèi)域名代理申請(qǐng) CGI/Perl支持，專用CGI－BIN目錄 服務(wù)器24小時(shí)不間斷運(yùn)行 搜索引擎對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)中各層的詳細(xì)描述，請(qǐng)參見后續(xù)相應(yīng)章節(jié)。這就要求我們對(duì)與Internet互連所帶來的安全性問題予以足夠重視。 IDC的安全需求我們把對(duì)于IDC的安全需求分為三類：分別是IDC基本服務(wù)，IDC增值服務(wù)，IDC NOC。 線速ACL功能 對(duì)于IDC 增值服務(wù)的安全需求如下： 防火墻及防火墻平滑切換功能 AAA服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能 入侵檢測(cè)功能 安全元件的策略管理AAA功能的實(shí)施需要兩部分的配合：支持AAA的網(wǎng)絡(luò)設(shè)備、AAA服務(wù)器。AAA服務(wù)器檢索用戶數(shù)據(jù)庫，如果該用戶允許登錄則向網(wǎng)絡(luò)設(shè)備返回PERMIT信息和該用戶在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時(shí)將用戶登錄的時(shí)間、IP作詳細(xì)記錄；若不能在用戶數(shù)據(jù)庫中檢索到該用戶的信息則返回DENY信息，并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送SNMP的警告消息。當(dāng)服務(wù)器企圖將認(rèn)證結(jié)果返回給用戶時(shí)，它將無法找到這些用戶。DoS攻擊需要攻擊者手工操作，而DDOS則將這種攻擊行為自動(dòng)化。黒客（client）在不同的主機(jī)（handler）上安裝大量的DoS服務(wù)程序，它們等待來自中央客戶端（client）的命令，中央客戶端隨后通知全體受控服務(wù)程序（agent），并指示它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請(qǐng)求。它們發(fā)送原始的IP包（raw IP packet），由于Internet協(xié)議本身的缺陷，IP包中包括的源地址是可以偽裝的，這也是追蹤DDOS攻擊者很困難的主要原因。 過濾進(jìn)網(wǎng)和出網(wǎng)的流量 網(wǎng)絡(luò)服務(wù)