【正文】 獨立 IP 地址 ? 服務器配置 ? 服務器系統(tǒng)軟件安裝 、調試 ? 24 7 網絡系統(tǒng)管理維護與技術支持 ? 24 小時實時的服務器運行狀態(tài)、流量監(jiān)測 ? 詳細的訪問統(tǒng)計報告 ? 緊急狀況的處理 共享式網站托管 又可稱為虛擬主機業(yè)務，是指在一種 Inter 的網站工作環(huán)境下， IDC 的網絡服務器可以容納許多相互獨立的多個網站和 Email 系統(tǒng)，并且由 IDC 提供管理維護服務。在商業(yè)網站發(fā)展的早期階段，是系統(tǒng)采取的主要解決方案。但由于這種業(yè)務模式的技術難度不大，所需投資較 小，競爭也比較激烈，利潤也較低。 在提供網站托管業(yè)務時， IDC 服務提供商需提供并管理所有各層的設備，對于 IDC 的用戶是完全透明的，從而用戶可以專注于其業(yè)務而無需負責任何系統(tǒng)的管理。對網絡安全的威脅主要表現在：拒絕服務、非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統(tǒng)正常運行、利用網絡傳播病毒、線路竊聽等方面。此外，我們還應該根據 IDC 的客戶需求提供不同的安全服務，同時最大限度的保證 IDC 網絡管理中心（ NOC）自身的安全。 記帳：記錄用戶登錄后干了些什么。 用戶輸入口令后，網絡設備向 AAA 服務器查詢該用戶是否有權登錄。 防 DoS黑客攻擊 在拒絕服務（ DoS）攻擊中，惡意用戶向服務器發(fā)送多個認證請求，使其滿負載，并且所有請求的返回地址都是偽造的。 分布式拒絕服務（ DDOS）把 DoS 又向前發(fā)展了一步。 DDOS 工作的基本概念如圖所示。首先，現在的 DDOS 工具基本上都可以偽裝源地址。 防范攻擊的措施 1。 3。漏洞檢測的結果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。系統(tǒng)掃描通過對企業(yè)內部操作系統(tǒng)安全弱點的完全的分析，幫助組織管理安全風險。當收到安全性消息時，圖形用戶界面上相應的主機狀態(tài)顏色和安全性消息組的圖標都應有相應變化，以幫助操作人員快速地確定報警的原因和范疇。 入侵檢測系統(tǒng)包括兩個部件： Sensor 和 Director。同時需要能夠允許部署大量 Sensor和 Director 的可伸縮的體系結構，在大型網絡環(huán)境中提供全面的覆蓋面，與現有網絡管理工具和實踐平滑集成的入侵檢測系統(tǒng)。通過使用 VLAN，每個客戶被從第 2 層隔離開，可以防止任 何惡意的行為和 Ether 的信息探聽。這一新的 VLAN特性就是專用 VLAN （ private VLAN， pVLAN）。混雜端口（ promiscuous port）沒有專用端口的限定 ，它與路由器或第 3 層交換機接口相連。在這一模型中，所有的服務器都接入專用 VLAN，從而實現了所有服務器與 缺省網關的連接，而與專用 VLAN 內的其他服務器沒有任何訪問。 對各種高級路由協(xié)議（如 BGP 等）的全面支持 Int er 連接服務基本托管服務 網站托管 ( 共享 ) 網站托管 ( 獨占 ) 主機托管高級安全服務P ri v a t e V LAN專門的防火墻、專門的入侵探測安全審計Int e rne t連接服務服務類別 ( COS)帶寬管理骨干接入 骨干接入 作為 IDC 網絡與公共 IP 骨干網絡的接口， Inter 連接層提供了 IDC 與公共IP 網的橋梁，它的運行情況直接關系到 IDC 為其用戶所提供的服務的質量，這就要求該層的設備必須具有以下的特點： 完善的 QOS 支持能力 在 Inter 連接層配置高端路由器，使用高速連接到 IP 骨干網，并以全冗余方式與核心層互連?？梢酝ㄟ^應用、服務、協(xié)議、端口數、URL 或通配符（用 于 Web 通信）、主機名稱、優(yōu)先權、以及 IP 或 MAC 地址對通信量進行分類。 323 視頻會議的數據信道和控制信道區(qū)分開來。比如，一個 HTTP cap 會使 Web 游覽避免使用他人的帶寬。帶寬管理將跟蹤平均和高峰通信量水平，計算在重新傳輸上所浪費的帶寬比例，突出最主要用戶和應用程序，并且測量性能。通過這一界面，網絡管理員可在任何時候、任何地方，通過網絡來配置、控制和監(jiān)控帶寬分配情況。用于 IDC 的硬件帶寬管理器在當前市場上主要有 Alteon 公司、 Packeteer 公司和Intel 公司的帶寬管理器。 Foundry， Alteon 和 Cisco 公司的四層交換機都支持本地帶寬管理。 內容交換服務內容交換服務基本托管服務 網站托管 ( 共享 ) 網站托管 ( 獨占 ) 主機托管高級安全服務P ri v a t e V LAN專用防火墻、專用入侵探測安全審計I n t e rn e t連接服務C om m i t t e d A c c e s s R a t e服務類別 ( C O S )內容交換服務基于 IP 的負載均衡URL 負載均衡Co o ki e 負載均衡語言優(yōu)化終端設備類型優(yōu)化跨地域負載均衡 基于 IP的負載均衡 數據中心的 服務提供商除了向客戶提供一些基本的主機托管和網站托管服務外，還需要提供一些更高級別的增值服務來吸引用戶、拓展市場。 下面我們以數據中心中最為普遍的服務－ WWW 服務為例，來詳細講解如何實現 Inter 服務的高可用性，即關鍵服務器系統(tǒng)的高可用性。 而這最后一個缺點是致命的，有可能造成相當一部分客戶不能訪問 WWW 服務，并且由于 DNS 緩存的原因，造成的惡劣后果要持續(xù)相當長一段時間（一般 DNS刷新周期約 24 小時）。負載平衡方式下，可以有多臺服務器，每一個服務器都承擔一定的應用。它們通過硬件技術或專用的 ASIC 芯片來實現WWW 等應用服務器的負載均衡和高可用性解決方案。常見的算法有以下幾種：輪詢（ Round Robin）、權重（ Weighting）、最少連接（ Least connection）、隨機（ Random）、響應時間（ Response Time）等。 txt/。 mysite。保持到一個服務器持續(xù)的連接，稱為“鎖定”，這是任何創(chuàng)造利潤的電子商務 WEB 站點的關鍵?？梢援a生 Cookie 對電子商務站點基于Cookie 使流量具有優(yōu) 先級是有益的。 保護基于 Web 的商務的最常用的方法就是使用流行的 SSL（ Secure Socket Layer）協(xié)議。這一點很關鍵，因為 Cookie 處于為進行 SSL事務而加密的 HTTP 頭部，所以維持鎖定連的 Web 交換機不能讀到。 CSS 交換機在服務器的Hello 中檢測到這個新的 SSL 會話 ID 并把請求路由到這一時刻最合適的服務器。當用戶發(fā)送一個新的請求時，服務器把它作為一個新用戶處理，會建立一個新的會話。通過截取會話 ID 并透明地重建失敗的會話， Web交換機除去了一個連接失敗后為建立新會話而做的處理復雜的談判任務。每一種技術的區(qū)別在于在 Web 服務器訪問途徑的什么地方配備和需要進行配置的多少。 Inter 專家證實，當今 40~50%的 Inter 內容是動態(tài)的。用戶的請求經過網絡設備路由到Cache，比如經過路由器上的策略過濾、遠程的訪問服務器或通過使 用特殊用途的 Web Cache 前端設備，如 Web 交換機。 代理 Cache 的主要的缺點是需要管理的，缺少集中控制，并且不能重新定向用戶繞過當掉的 Cache，而是送到“黑洞”中。 Cache 集群提供了冗余，在單個 Cache 失敗時起到保護作用。 反向代理 Cache 代理和透明的 Cache是具有代表性的為優(yōu)化穿越網絡的所有 Inter流量而配備的。 Web交換機可以為不可 Cache的 HTTP請求或不可 Cache的 TCP請求（如SSL）旁路 RPC。 智能 Cache 旁路 動態(tài)內容，如電子商務的事務、股票交易、 ASP 以及 CGI 表單，是不能Cache 到 Cache 服務器的，只有靜態(tài)的內容是可以 Cache 的。當不可 Cache 的或動態(tài)的 URL 被指向 Cache時，由于 Cache 需要判定這個請求的內容不 可 Cache，再從源服務器獲取內容，然后再轉發(fā)給客戶，會造成明顯的延時。由于 Inter的流量具有很強的突發(fā)性，而且具有不可預見性，對于一些大型的網站，經常會由于這種突發(fā)性的大業(yè)務量造成服務器的擁塞，從而丟失很多交易量，但 是如果增加服務器，又由于大多數時間沒有利用到增加的服務器，造成資源利用率的降低。其中前三層主要承載用戶的業(yè)務，而后臺網絡主要提供各種后臺的管理功能。 通過后臺管理系統(tǒng)， IDC 能夠為用戶提供多種管理功能：備份，網絡管理和客戶中心服務。 網絡管理 由于后臺管理系統(tǒng)與前臺的網絡相互隔離，并且在本方案中對網絡的安全性作了全面的考慮，例如利用防火墻將前后臺隔離，配置入侵檢測和漏洞檢測系統(tǒng)，因此具有很好的安全性。 客戶中心即可以是由多個用戶共享，也可以是由一個客戶專有，例如一些網上銀行，他就需要在 IDC 擁有自己專有的管理平臺，那么 IDC 就可以為這類用戶提供專有的客戶中心。遠程數據更新的方案中提供全套的端到端的解決方法，包括：遠程撥號；專線； IP 加密（ IP sec） VPN；MPLS VPN。 IP 加密 VPN 用戶也可以通過專線的方式接入到公網，通過對 IP 數據包加密來保證用戶數據的安全性，在 IDC 再對用戶的 IP 包進行解密，然后用戶進入自己的 VLAN，訪問自己的各個服務器。 而且當將來需要向用戶提供網絡外包服務時，利用 MPLS VPN 與后臺管理系統(tǒng)相結合，可以迅速向用戶提供業(yè)務。它應能幫助管理員自動生成網絡的拓撲結構圖和發(fā)現節(jié)點設備的分布狀況，并且能對網絡結構的變化進行動態(tài)跟蹤和更新。 故障管理 網絡管理員在獲得了最新網絡拓撲結構圖后，還需對全網的故障進行集 中控管。根據收集到的故障信息， 網絡管理軟件可以對所發(fā)現的網絡異常狀態(tài)進行跟蹤，并在網管中心的圖形化管理控制臺上以多種方式向網絡管理員報警。為保障全網參數配置的一致性和設備操作系統(tǒng)版本的統(tǒng)一，配置管理應由中央管理中心的網絡管理員統(tǒng)一控制。 網絡管理軟件不但 能幫助網絡管理員以圖形化操作方式對全網設備進行集中的參數配置，還能保存所有網絡設備的參數修改歷史紀錄：通過定期檢查各網絡設備的參數，管理工具可以發(fā)現所有對配置參數的更改，而不論配置參數是利用管理工具修改的還是利用命令行修改的。還可以進行全網網絡流量的歷史數據統(tǒng)計， 分析網絡流量的長期趨勢，幫助管理員進行網絡容量規(guī)劃，消除網絡中的瓶頸。 在網管中心管理員利用利用網絡管理軟件可以監(jiān)控網絡節(jié)點的服務質量，并以圖形化方式顯示網絡通信的延時和抖動。 同時網絡管理員也可以利用安全控管軟件進一步加強網絡整體包括網絡管理系統(tǒng)的安全性。 核心層 整個 IDC 網絡的結構，必須具有很好的層次并具有很強的擴展能力，這就要求在設計上： ? 各層次功能的簡單化，以保證處理的高效和結構的簡單。服務器接入層 Colocation 的分布層 amp。 在接入層所提供的高速的鏈路上，用戶將根據需要構建自己的內部網絡結構，可根據需要使用 Web 交換機以提供高層交換能力。在這里采用了二級網絡結構，第一級采用交換機 Cisco Catalyst 2900 將服務器接入后臺管理平臺網絡，第二級采用兩臺大容量、高性能交換機 Cisco Catalyst 6500 將所有第一級的交換機匯聚。這樣就使得業(yè)務的開展 變得簡單，諸如動態(tài)業(yè)務復制 (用于備份 IDC 用戶的數據 )等。直接影響整個網絡運行的效率。 IP 地址空間的分配，要與網絡層次結構相適應，既要有效地利用地址空間，又要體現出網絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。 xxxxxxxx。 xxxxxxxx。 xxxxxxxx C 類地址 IP 地址的分配應遵循以下幾個原則： ? 唯一性：一個 IP 網絡中不能有兩個主機采用相同的 IP 地址 ? 簡單性：地址分配應簡單易于管理，降低網絡擴展的復雜性，簡化路由表的款項 ? 連續(xù)性：連續(xù)地址在層次結構網絡中易于進行路由總結（ Route Summarization），大大縮減路由表，提高路由算法的效率 ? 可擴展性：地址分 配在每一層次上都要留有余量，在網絡規(guī)模擴展時能保證地址總結所需的連續(xù)性 ? 靈活性：地址分配應具有靈活性，可借助可變長子網掩碼技術（ VLSM，VariableLength Sub Mask），以滿足多種路由策略的優(yōu)化，充分利用地址空間 為了有效地利用地址空間，我們可以對 IP 地址進行子網劃分，從地址的主機部分借取若干位作為子網號，剩余部分仍然表示主機號，舉例如下： xxxxxxxx。在進行地址分配時，一般先用一個定長的子網掩碼將地址空間分成若干個相同規(guī)模的子網，再在每個子網中根據所需的子網數量和規(guī)模采用 VLSM 進行子網的細分。 xxxxxxxx。路由器支持自動或手工設置的路由總結。具有私有地址的主機和路由器只能在企業(yè)內部 通信，其地址僅在企業(yè)內部是唯一的。 NAT 路由器或 Web 交換機放置在域的邊界上，在向 INTERENT 網上發(fā)送數據包之前，它把私有地址轉換為 INTERNET 上的公網地址。 1，該主機要訪問 INTERNET 上的節(jié)點 204