【正文】 獨立 IP 地址 ? 服務(wù)器配置 ? 服務(wù)器系統(tǒng)軟件安裝 、調(diào)試 ? 24 7 網(wǎng)絡(luò)系統(tǒng)管理維護與技術(shù)支持 ? 24 小時實時的服務(wù)器運行狀態(tài)、流量監(jiān)測 ? 詳細的訪問統(tǒng)計報告 ? 緊急狀況的處理 共享式網(wǎng)站托管 又可稱為虛擬主機業(yè)務(wù)，是指在一種 Inter 的網(wǎng)站工作環(huán)境下， IDC 的網(wǎng)絡(luò)服務(wù)器可以容納許多相互獨立的多個網(wǎng)站和 Email 系統(tǒng)，并且由 IDC 提供管理維護服務(wù)。在商業(yè)網(wǎng)站發(fā)展的早期階段，是系統(tǒng)采取的主要解決方案。但由于這種業(yè)務(wù)模式的技術(shù)難度不大，所需投資較 小，競爭也比較激烈，利潤也較低。 在提供網(wǎng)站托管業(yè)務(wù)時， IDC 服務(wù)提供商需提供并管理所有各層的設(shè)備，對于 IDC 的用戶是完全透明的，從而用戶可以專注于其業(yè)務(wù)而無需負責任何系統(tǒng)的管理。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：拒絕服務(wù)、非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等方面。此外，我們還應(yīng)該根據(jù) IDC 的客戶需求提供不同的安全服務(wù)，同時最大限度的保證 IDC 網(wǎng)絡(luò)管理中心（ NOC）自身的安全。 記帳：記錄用戶登錄后干了些什么。 用戶輸入口令后，網(wǎng)絡(luò)設(shè)備向 AAA 服務(wù)器查詢該用戶是否有權(quán)登錄。 防 DoS黑客攻擊 在拒絕服務(wù)（ DoS）攻擊中，惡意用戶向服務(wù)器發(fā)送多個認證請求，使其滿負載，并且所有請求的返回地址都是偽造的。 分布式拒絕服務(wù)（ DDOS）把 DoS 又向前發(fā)展了一步。 DDOS 工作的基本概念如圖所示。首先，現(xiàn)在的 DDOS 工具基本上都可以偽裝源地址。 防范攻擊的措施 1。 3。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。系統(tǒng)掃描通過對企業(yè)內(nèi)部操作系統(tǒng)安全弱點的完全的分析，幫助組織管理安全風險。當收到安全性消息時，圖形用戶界面上相應(yīng)的主機狀態(tài)顏色和安全性消息組的圖標都應(yīng)有相應(yīng)變化，以幫助操作人員快速地確定報警的原因和范疇。 入侵檢測系統(tǒng)包括兩個部件： Sensor 和 Director。同時需要能夠允許部署大量 Sensor和 Director 的可伸縮的體系結(jié)構(gòu)，在大型網(wǎng)絡(luò)環(huán)境中提供全面的覆蓋面，與現(xiàn)有網(wǎng)絡(luò)管理工具和實踐平滑集成的入侵檢測系統(tǒng)。通過使用 VLAN，每個客戶被從第 2 層隔離開，可以防止任 何惡意的行為和 Ether 的信息探聽。這一新的 VLAN特性就是專用 VLAN （ private VLAN， pVLAN）?；祀s端口（ promiscuous port）沒有專用端口的限定 ，它與路由器或第 3 層交換機接口相連。在這一模型中，所有的服務(wù)器都接入專用 VLAN，從而實現(xiàn)了所有服務(wù)器與 缺省網(wǎng)關(guān)的連接，而與專用 VLAN 內(nèi)的其他服務(wù)器沒有任何訪問。 對各種高級路由協(xié)議（如 BGP 等）的全面支持 Int er 連接服務(wù)基本托管服務(wù) 網(wǎng)站托管 ( 共享 ) 網(wǎng)站托管 ( 獨占 ) 主機托管高級安全服務(wù)P ri v a t e V LAN專門的防火墻、專門的入侵探測安全審計Int e rne t連接服務(wù)服務(wù)類別 ( COS)帶寬管理骨干接入 骨干接入 作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Inter 連接層提供了 IDC 與公共IP 網(wǎng)的橋梁，它的運行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必須具有以下的特點： 完善的 QOS 支持能力 在 Inter 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核心層互連。可以通過應(yīng)用、服務(wù)、協(xié)議、端口數(shù)、URL 或通配符（用 于 Web 通信）、主機名稱、優(yōu)先權(quán)、以及 IP 或 MAC 地址對通信量進行分類。 323 視頻會議的數(shù)據(jù)信道和控制信道區(qū)分開來。比如，一個 HTTP cap 會使 Web 游覽避免使用他人的帶寬。帶寬管理將跟蹤平均和高峰通信量水平，計算在重新傳輸上所浪費的帶寬比例，突出最主要用戶和應(yīng)用程序，并且測量性能。通過這一界面，網(wǎng)絡(luò)管理員可在任何時候、任何地方，通過網(wǎng)絡(luò)來配置、控制和監(jiān)控帶寬分配情況。用于 IDC 的硬件帶寬管理器在當前市場上主要有 Alteon 公司、 Packeteer 公司和Intel 公司的帶寬管理器。 Foundry， Alteon 和 Cisco 公司的四層交換機都支持本地帶寬管理。 內(nèi)容交換服務(wù)內(nèi)容交換服務(wù)基本托管服務(wù) 網(wǎng)站托管 ( 共享 ) 網(wǎng)站托管 ( 獨占 ) 主機托管高級安全服務(wù)P ri v a t e V LAN專用防火墻、專用入侵探測安全審計I n t e rn e t連接服務(wù)C om m i t t e d A c c e s s R a t e服務(wù)類別 ( C O S )內(nèi)容交換服務(wù)基于 IP 的負載均衡URL 負載均衡Co o ki e 負載均衡語言優(yōu)化終端設(shè)備類型優(yōu)化跨地域負載均衡 基于 IP的負載均衡 數(shù)據(jù)中心的 服務(wù)提供商除了向客戶提供一些基本的主機托管和網(wǎng)站托管服務(wù)外，還需要提供一些更高級別的增值服務(wù)來吸引用戶、拓展市場。 下面我們以數(shù)據(jù)中心中最為普遍的服務(wù)－ WWW 服務(wù)為例，來詳細講解如何實現(xiàn) Inter 服務(wù)的高可用性，即關(guān)鍵服務(wù)器系統(tǒng)的高可用性。 而這最后一個缺點是致命的，有可能造成相當一部分客戶不能訪問 WWW 服務(wù)，并且由于 DNS 緩存的原因，造成的惡劣后果要持續(xù)相當長一段時間（一般 DNS刷新周期約 24 小時）。負載平衡方式下，可以有多臺服務(wù)器，每一個服務(wù)器都承擔一定的應(yīng)用。它們通過硬件技術(shù)或?qū)Ｓ玫?ASIC 芯片來實現(xiàn)WWW 等應(yīng)用服務(wù)器的負載均衡和高可用性解決方案。常見的算法有以下幾種：輪詢（ Round Robin）、權(quán)重（ Weighting）、最少連接（ Least connection）、隨機（ Random）、響應(yīng)時間（ Response Time）等。 txt/。 mysite。保持到一個服務(wù)器持續(xù)的連接，稱為“鎖定”，這是任何創(chuàng)造利潤的電子商務(wù) WEB 站點的關(guān)鍵。可以產(chǎn)生 Cookie 對電子商務(wù)站點基于Cookie 使流量具有優(yōu) 先級是有益的。 保護基于 Web 的商務(wù)的最常用的方法就是使用流行的 SSL（ Secure Socket Layer）協(xié)議。這一點很關(guān)鍵，因為 Cookie 處于為進行 SSL事務(wù)而加密的 HTTP 頭部，所以維持鎖定連的 Web 交換機不能讀到。 CSS 交換機在服務(wù)器的Hello 中檢測到這個新的 SSL 會話 ID 并把請求路由到這一時刻最合適的服務(wù)器。當用戶發(fā)送一個新的請求時，服務(wù)器把它作為一個新用戶處理，會建立一個新的會話。通過截取會話 ID 并透明地重建失敗的會話， Web交換機除去了一個連接失敗后為建立新會話而做的處理復(fù)雜的談判任務(wù)。每一種技術(shù)的區(qū)別在于在 Web 服務(wù)器訪問途徑的什么地方配備和需要進行配置的多少。 Inter 專家證實，當今 40~50%的 Inter 內(nèi)容是動態(tài)的。用戶的請求經(jīng)過網(wǎng)絡(luò)設(shè)備路由到Cache，比如經(jīng)過路由器上的策略過濾、遠程的訪問服務(wù)器或通過使 用特殊用途的 Web Cache 前端設(shè)備，如 Web 交換機。 代理 Cache 的主要的缺點是需要管理的，缺少集中控制，并且不能重新定向用戶繞過當?shù)舻?Cache，而是送到“黑洞”中。 Cache 集群提供了冗余，在單個 Cache 失敗時起到保護作用。 反向代理 Cache 代理和透明的 Cache是具有代表性的為優(yōu)化穿越網(wǎng)絡(luò)的所有 Inter流量而配備的。 Web交換機可以為不可 Cache的 HTTP請求或不可 Cache的 TCP請求（如SSL）旁路 RPC。 智能 Cache 旁路 動態(tài)內(nèi)容，如電子商務(wù)的事務(wù)、股票交易、 ASP 以及 CGI 表單，是不能Cache 到 Cache 服務(wù)器的，只有靜態(tài)的內(nèi)容是可以 Cache 的。當不可 Cache 的或動態(tài)的 URL 被指向 Cache時，由于 Cache 需要判定這個請求的內(nèi)容不 可 Cache，再從源服務(wù)器獲取內(nèi)容，然后再轉(zhuǎn)發(fā)給客戶，會造成明顯的延時。由于 Inter的流量具有很強的突發(fā)性，而且具有不可預(yù)見性，對于一些大型的網(wǎng)站，經(jīng)常會由于這種突發(fā)性的大業(yè)務(wù)量造成服務(wù)器的擁塞，從而丟失很多交易量，但 是如果增加服務(wù)器，又由于大多數(shù)時間沒有利用到增加的服務(wù)器，造成資源利用率的降低。其中前三層主要承載用戶的業(yè)務(wù)，而后臺網(wǎng)絡(luò)主要提供各種后臺的管理功能。 通過后臺管理系統(tǒng)， IDC 能夠為用戶提供多種管理功能：備份，網(wǎng)絡(luò)管理和客戶中心服務(wù)。 網(wǎng)絡(luò)管理 由于后臺管理系統(tǒng)與前臺的網(wǎng)絡(luò)相互隔離，并且在本方案中對網(wǎng)絡(luò)的安全性作了全面的考慮，例如利用防火墻將前后臺隔離，配置入侵檢測和漏洞檢測系統(tǒng)，因此具有很好的安全性。 客戶中心即可以是由多個用戶共享，也可以是由一個客戶專有，例如一些網(wǎng)上銀行，他就需要在 IDC 擁有自己專有的管理平臺，那么 IDC 就可以為這類用戶提供專有的客戶中心。遠程數(shù)據(jù)更新的方案中提供全套的端到端的解決方法，包括：遠程撥號；專線； IP 加密（ IP sec） VPN；MPLS VPN。 IP 加密 VPN 用戶也可以通過專線的方式接入到公網(wǎng)，通過對 IP 數(shù)據(jù)包加密來保證用戶數(shù)據(jù)的安全性，在 IDC 再對用戶的 IP 包進行解密，然后用戶進入自己的 VLAN，訪問自己的各個服務(wù)器。 而且當將來需要向用戶提供網(wǎng)絡(luò)外包服務(wù)時，利用 MPLS VPN 與后臺管理系統(tǒng)相結(jié)合，可以迅速向用戶提供業(yè)務(wù)。它應(yīng)能幫助管理員自動生成網(wǎng)絡(luò)的拓撲結(jié)構(gòu)圖和發(fā)現(xiàn)節(jié)點設(shè)備的分布狀況，并且能對網(wǎng)絡(luò)結(jié)構(gòu)的變化進行動態(tài)跟蹤和更新。 故障管理 網(wǎng)絡(luò)管理員在獲得了最新網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖后，還需對全網(wǎng)的故障進行集 中控管。根據(jù)收集到的故障信息， 網(wǎng)絡(luò)管理軟件可以對所發(fā)現(xiàn)的網(wǎng)絡(luò)異常狀態(tài)進行跟蹤，并在網(wǎng)管中心的圖形化管理控制臺上以多種方式向網(wǎng)絡(luò)管理員報警。為保障全網(wǎng)參數(shù)配置的一致性和設(shè)備操作系統(tǒng)版本的統(tǒng)一，配置管理應(yīng)由中央管理中心的網(wǎng)絡(luò)管理員統(tǒng)一控制。 網(wǎng)絡(luò)管理軟件不但 能幫助網(wǎng)絡(luò)管理員以圖形化操作方式對全網(wǎng)設(shè)備進行集中的參數(shù)配置，還能保存所有網(wǎng)絡(luò)設(shè)備的參數(shù)修改歷史紀錄：通過定期檢查各網(wǎng)絡(luò)設(shè)備的參數(shù)，管理工具可以發(fā)現(xiàn)所有對配置參數(shù)的更改，而不論配置參數(shù)是利用管理工具修改的還是利用命令行修改的。還可以進行全網(wǎng)網(wǎng)絡(luò)流量的歷史數(shù)據(jù)統(tǒng)計， 分析網(wǎng)絡(luò)流量的長期趨勢，幫助管理員進行網(wǎng)絡(luò)容量規(guī)劃，消除網(wǎng)絡(luò)中的瓶頸。 在網(wǎng)管中心管理員利用利用網(wǎng)絡(luò)管理軟件可以監(jiān)控網(wǎng)絡(luò)節(jié)點的服務(wù)質(zhì)量，并以圖形化方式顯示網(wǎng)絡(luò)通信的延時和抖動。 同時網(wǎng)絡(luò)管理員也可以利用安全控管軟件進一步加強網(wǎng)絡(luò)整體包括網(wǎng)絡(luò)管理系統(tǒng)的安全性。 核心層 整個 IDC 網(wǎng)絡(luò)的結(jié)構(gòu)，必須具有很好的層次并具有很強的擴展能力，這就要求在設(shè)計上： ? 各層次功能的簡單化，以保證處理的高效和結(jié)構(gòu)的簡單。服務(wù)器接入層 Colocation 的分布層 amp。 在接入層所提供的高速的鏈路上，用戶將根據(jù)需要構(gòu)建自己的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，可根據(jù)需要使用 Web 交換機以提供高層交換能力。在這里采用了二級網(wǎng)絡(luò)結(jié)構(gòu)，第一級采用交換機 Cisco Catalyst 2900 將服務(wù)器接入后臺管理平臺網(wǎng)絡(luò)，第二級采用兩臺大容量、高性能交換機 Cisco Catalyst 6500 將所有第一級的交換機匯聚。這樣就使得業(yè)務(wù)的開展 變得簡單，諸如動態(tài)業(yè)務(wù)復(fù)制 (用于備份 IDC 用戶的數(shù)據(jù) )等。直接影響整個網(wǎng)絡(luò)運行的效率。 IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。 xxxxxxxx。 xxxxxxxx。 xxxxxxxx C 類地址 IP 地址的分配應(yīng)遵循以下幾個原則： ? 唯一性：一個 IP 網(wǎng)絡(luò)中不能有兩個主機采用相同的 IP 地址 ? 簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表的款項 ? 連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路由總結(jié)（ Route Summarization），大大縮減路由表，提高路由算法的效率 ? 可擴展性：地址分 配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址總結(jié)所需的連續(xù)性 ? 靈活性：地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)（ VLSM，VariableLength Sub Mask），以滿足多種路由策略的優(yōu)化，充分利用地址空間 為了有效地利用地址空間，我們可以對 IP 地址進行子網(wǎng)劃分，從地址的主機部分借取若干位作為子網(wǎng)號，剩余部分仍然表示主機號，舉例如下： xxxxxxxx。在進行地址分配時，一般先用一個定長的子網(wǎng)掩碼將地址空間分成若干個相同規(guī)模的子網(wǎng)，再在每個子網(wǎng)中根據(jù)所需的子網(wǎng)數(shù)量和規(guī)模采用 VLSM 進行子網(wǎng)的細分。 xxxxxxxx。路由器支持自動或手工設(shè)置的路由總結(jié)。具有私有地址的主機和路由器只能在企業(yè)內(nèi)部 通信，其地址僅在企業(yè)內(nèi)部是唯一的。 NAT 路由器或 Web 交換機放置在域的邊界上，在向 INTERENT 網(wǎng)上發(fā)送數(shù)據(jù)包之前，它把私有地址轉(zhuǎn)換為 INTERNET 上的公網(wǎng)地址。 1，該主機要訪問 INTERNET 上的節(jié)點 204