【正文】 69。 NAT 路由器或 Web 交換機(jī)放置在域的邊界上，在向 INTERENT 網(wǎng)上發(fā)送數(shù)據(jù)包之前，它把私有地址轉(zhuǎn)換為 INTERNET 上的公網(wǎng)地址。路由器支持自動(dòng)或手工設(shè)置的路由總結(jié)。在進(jìn)行地址分配時(shí)，一般先用一個(gè)定長(zhǎng)的子網(wǎng)掩碼將地址空間分成若干個(gè)相同規(guī)模的子網(wǎng)，再在每個(gè)子網(wǎng)中根據(jù)所需的子網(wǎng)數(shù)量和規(guī)模采用 VLSM 進(jìn)行子網(wǎng)的細(xì)分。 xxxxxxxx。 IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿(mǎn)足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。這樣就使得業(yè)務(wù)的開(kāi)展 變得簡(jiǎn)單，諸如動(dòng)態(tài)業(yè)務(wù)復(fù)制 (用于備份 IDC 用戶(hù)的數(shù)據(jù) )等。 在接入層所提供的高速的鏈路上，用戶(hù)將根據(jù)需要構(gòu)建自己的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，可根據(jù)需要使用 Web 交換機(jī)以提供高層交換能力。 核心層 整個(gè) IDC 網(wǎng)絡(luò)的結(jié)構(gòu)，必須具有很好的層次并具有很強(qiáng)的擴(kuò)展能力，這就要求在設(shè)計(jì)上： ? 各層次功能的簡(jiǎn)單化，以保證處理的高效和結(jié)構(gòu)的簡(jiǎn)單。 在網(wǎng)管中心管理員利用利用網(wǎng)絡(luò)管理軟件可以監(jiān)控網(wǎng)絡(luò)節(jié)點(diǎn)的服務(wù)質(zhì)量，并以圖形化方式顯示網(wǎng)絡(luò)通信的延時(shí)和抖動(dòng)。 網(wǎng)絡(luò)管理軟件不但 能幫助網(wǎng)絡(luò)管理員以圖形化操作方式對(duì)全網(wǎng)設(shè)備進(jìn)行集中的參數(shù)配置，還能保存所有網(wǎng)絡(luò)設(shè)備的參數(shù)修改歷史紀(jì)錄：通過(guò)定期檢查各網(wǎng)絡(luò)設(shè)備的參數(shù)，管理工具可以發(fā)現(xiàn)所有對(duì)配置參數(shù)的更改，而不論配置參數(shù)是利用管理工具修改的還是利用命令行修改的。根據(jù)收集到的故障信息， 網(wǎng)絡(luò)管理軟件可以對(duì)所發(fā)現(xiàn)的網(wǎng)絡(luò)異常狀態(tài)進(jìn)行跟蹤，并在網(wǎng)管中心的圖形化管理控制臺(tái)上以多種方式向網(wǎng)絡(luò)管理員報(bào)警。它應(yīng)能幫助管理員自動(dòng)生成網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖和發(fā)現(xiàn)節(jié)點(diǎn)設(shè)備的分布狀況，并且能對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的變化進(jìn)行動(dòng)態(tài)跟蹤和更新。 IP 加密 VPN 用戶(hù)也可以通過(guò)專(zhuān)線的方式接入到公網(wǎng)，通過(guò)對(duì) IP 數(shù)據(jù)包加密來(lái)保證用戶(hù)數(shù)據(jù)的安全性，在 IDC 再對(duì)用戶(hù)的 IP 包進(jìn)行解密，然后用戶(hù)進(jìn)入自己的 VLAN，訪問(wèn)自己的各個(gè)服務(wù)器。 客戶(hù)中心即可以是由多個(gè)用戶(hù)共享，也可以是由一個(gè)客戶(hù)專(zhuān)有，例如一些網(wǎng)上銀行，他就需要在 IDC 擁有自己專(zhuān)有的管理平臺(tái)，那么 IDC 就可以為這類(lèi)用戶(hù)提供專(zhuān)有的客戶(hù)中心。 通過(guò)后臺(tái)管理系統(tǒng)， IDC 能夠?yàn)橛脩?hù)提供多種管理功能：備份，網(wǎng)絡(luò)管理和客戶(hù)中心服務(wù)。由于 Inter的流量具有很強(qiáng)的突發(fā)性，而且具有不可預(yù)見(jiàn)性，對(duì)于一些大型的網(wǎng)站，經(jīng)常會(huì)由于這種突發(fā)性的大業(yè)務(wù)量造成服務(wù)器的擁塞，從而丟失很多交易量，但 是如果增加服務(wù)器，又由于大多數(shù)時(shí)間沒(méi)有利用到增加的服務(wù)器，造成資源利用率的降低。 智能 Cache 旁路 動(dòng)態(tài)內(nèi)容，如電子商務(wù)的事務(wù)、股票交易、 ASP 以及 CGI 表單，是不能Cache 到 Cache 服務(wù)器的，只有靜態(tài)的內(nèi)容是可以 Cache 的。 反向代理 Cache 代理和透明的 Cache是具有代表性的為優(yōu)化穿越網(wǎng)絡(luò)的所有 Inter流量而配備的。 代理 Cache 的主要的缺點(diǎn)是需要管理的，缺少集中控制，并且不能重新定向用戶(hù)繞過(guò)當(dāng)?shù)舻?Cache，而是送到“黑洞”中。 Inter 專(zhuān)家證實(shí)，當(dāng)今 40~50%的 Inter 內(nèi)容是動(dòng)態(tài)的。通過(guò)截取會(huì)話(huà) ID 并透明地重建失敗的會(huì)話(huà)， Web交換機(jī)除去了一個(gè)連接失敗后為建立新會(huì)話(huà)而做的處理復(fù)雜的談判任務(wù)。 CSS 交換機(jī)在服務(wù)器的Hello 中檢測(cè)到這個(gè)新的 SSL 會(huì)話(huà) ID 并把請(qǐng)求路由到這一時(shí)刻最合適的服務(wù)器。 保護(hù)基于 Web 的商務(wù)的最常用的方法就是使用流行的 SSL（ Secure Socket Layer）協(xié)議。保持到一個(gè)服務(wù)器持續(xù)的連接，稱(chēng)為“鎖定”，這是任何創(chuàng)造利潤(rùn)的電子商務(wù) WEB 站點(diǎn)的關(guān)鍵。 txt/。它們通過(guò)硬件技術(shù)或?qū)Ｓ玫?ASIC 芯片來(lái)實(shí)現(xiàn)WWW 等應(yīng)用服務(wù)器的負(fù)載均衡和高可用性解決方案。 而這最后一個(gè)缺點(diǎn)是致命的，有可能造成相當(dāng)一部分客戶(hù)不能訪問(wèn) WWW 服務(wù)，并且由于 DNS 緩存的原因，造成的惡劣后果要持續(xù)相當(dāng)長(zhǎng)一段時(shí)間（一般 DNS刷新周期約 24 小時(shí)）。 內(nèi)容交換服務(wù)內(nèi)容交換服務(wù)基本托管服務(wù) 網(wǎng)站托管 ( 共享 ) 網(wǎng)站托管 ( 獨(dú)占 ) 主機(jī)托管高級(jí)安全服務(wù)P ri v a t e V LAN專(zhuān)用防火墻、專(zhuān)用入侵探測(cè)安全審計(jì)I n t e rn e t連接服務(wù)C om m i t t e d A c c e s s R a t e服務(wù)類(lèi)別 ( C O S )內(nèi)容交換服務(wù)基于 IP 的負(fù)載均衡URL 負(fù)載均衡Co o ki e 負(fù)載均衡語(yǔ)言?xún)?yōu)化終端設(shè)備類(lèi)型優(yōu)化跨地域負(fù)載均衡 基于 IP的負(fù)載均衡 數(shù)據(jù)中心的 服務(wù)提供商除了向客戶(hù)提供一些基本的主機(jī)托管和網(wǎng)站托管服務(wù)外，還需要提供一些更高級(jí)別的增值服務(wù)來(lái)吸引用戶(hù)、拓展市場(chǎng)。用于 IDC 的硬件帶寬管理器在當(dāng)前市場(chǎng)上主要有 Alteon 公司、 Packeteer 公司和Intel 公司的帶寬管理器。帶寬管理將跟蹤平均和高峰通信量水平，計(jì)算在重新傳輸上所浪費(fèi)的帶寬比例，突出最主要用戶(hù)和應(yīng)用程序，并且測(cè)量性能。 323 視頻會(huì)議的數(shù)據(jù)信道和控制信道區(qū)分開(kāi)來(lái)。 完善的 QOS 支持能力 在 Inter 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核心層互連。 對(duì)各種高級(jí)路由協(xié)議（如 BGP 等）的全面支持 混雜端口（ promiscuous port）沒(méi)有專(zhuān)用端口的限定 ，它與路由器或第 3 層交換機(jī)接口相連。通過(guò)使用 VLAN，每個(gè)客戶(hù)被從第 2 層隔離開(kāi)，可以防止任 何惡意的行為和 Ether 的信息探聽(tīng)。 入侵檢測(cè)系統(tǒng)包括兩個(gè)部件： Sensor 和 Director。系統(tǒng)掃描通過(guò)對(duì)企業(yè)內(nèi)部操作系統(tǒng)安全弱點(diǎn)的完全的分析，幫助組織管理安全風(fēng)險(xiǎn)。 3。首先，現(xiàn)在的 DDOS 工具基本上都可以偽裝源地址。 分布式拒絕服務(wù)（ DDOS）把 DoS 又向前發(fā)展了一步。 用戶(hù)輸入口令后，網(wǎng)絡(luò)設(shè)備向 AAA 服務(wù)器查詢(xún)?cè)撚脩?hù)是否有權(quán)登錄。此外，我們還應(yīng)該根據(jù) IDC 的客戶(hù)需求提供不同的安全服務(wù)，同時(shí)最大限度的保證 IDC 網(wǎng)絡(luò)管理中心（ NOC）自身的安全。 在提供網(wǎng)站托管業(yè)務(wù)時(shí)， IDC 服務(wù)提供商需提供并管理所有各層的設(shè)備，對(duì)于 IDC 的用戶(hù)是完全透明的，從而用戶(hù)可以專(zhuān)注于其業(yè)務(wù)而無(wú)需負(fù)責(zé)任何系統(tǒng)的管理。在商業(yè)網(wǎng)站發(fā)展的早期階段，是系統(tǒng)采取的主要解決方案。運(yùn)營(yíng)者遵照 SLA 上規(guī)定的條例保證服務(wù)的不間斷、丟包率、網(wǎng)絡(luò)響應(yīng)時(shí) 間。用戶(hù)采用 IDC 提供的服務(wù) 器來(lái) 存放數(shù)據(jù)，運(yùn)行軟件。都采用了主機(jī)托管業(yè)務(wù)。其中網(wǎng)站托管分為共享式和獨(dú)享式兩種。網(wǎng)絡(luò)架構(gòu)的可靠，穩(wěn)定，高效，安全，可擴(kuò)展，可管理性將直接關(guān)系到上層的主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，也將直接關(guān)系到 IDC 業(yè)務(wù)的順利開(kāi)展和運(yùn)行?？傊?，網(wǎng)絡(luò)架構(gòu)是 IDC 建設(shè)框架中重要而又承上啟下的一環(huán)，網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)是否完善將直接影響到 IDC 建設(shè)的質(zhì)量。由于其業(yè)務(wù)模式的不同，使得其在對(duì)網(wǎng)絡(luò)設(shè)計(jì)時(shí)的要求也不相同。 提供主機(jī)托管業(yè)務(wù)的 IDC 向其用戶(hù)提供的業(yè)務(wù)主要包括與 Inter 網(wǎng)的連接以及提供獨(dú)立安全的場(chǎng)地，這樣對(duì)于 IDC 而言在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮提高網(wǎng)絡(luò)連接的速度及可靠性，從而為用戶(hù)提供高質(zhì)量的服務(wù)?？傮w來(lái)講數(shù)據(jù)中心的硬件設(shè)備主要包括：服務(wù)器陣列、網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）、機(jī)房控制設(shè)備、防火系統(tǒng)、備用電源、空調(diào)設(shè)施等。經(jīng)營(yíng)者通過(guò)提供例如：平臺(tái)設(shè)計(jì)、服務(wù)監(jiān)控、服務(wù)品質(zhì)測(cè)試、網(wǎng)絡(luò)安全管理和緩存等項(xiàng)增值服務(wù)加強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力。其業(yè)務(wù)需求的前提如下： ? 建設(shè)網(wǎng)站系統(tǒng)需要高額的硬件費(fèi)用； ? 缺乏維護(hù)這些系統(tǒng)的有經(jīng)驗(yàn)的專(zhuān)家； ? 網(wǎng)站比較簡(jiǎn)單； ? 交互應(yīng)用程序較少； ? 網(wǎng)絡(luò)帶寬的限制。對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)中各層 的詳細(xì)描述，請(qǐng)參見(jiàn)后續(xù)相應(yīng)章節(jié)。 IDC 的安全需求 我們把對(duì)于 IDC 的安全需求分為三類(lèi)：分別是 IDC 基本服務(wù)， IDC 增值服務(wù)， IDC NOC。 AAA 服務(wù)器檢索用戶(hù)數(shù)據(jù)庫(kù)，如果該用戶(hù)允許登錄則向網(wǎng)絡(luò)設(shè)備返回PERMIT 信息和該用戶(hù)在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時(shí)將用戶(hù)登錄的時(shí)間、 IP作詳細(xì)記錄；若不能在用戶(hù)數(shù)據(jù)庫(kù)中檢索到該用戶(hù)的信息則返回 DENY 信息，并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送 SNMP 的警告消息。 DoS 攻擊需要攻擊者手工操作，而 DDOS 則將這種攻擊行為自動(dòng)化。它們發(fā)送原始的 IP 包（ raw IP packet），由于 Inter 協(xié)議本身的缺陷， IP 包中包括的源地址是可以偽裝的，這也是追蹤 DDOS 攻擊者很困難的主要原因。 具體措施 在路由器和 Web 交換機(jī)上， 它將丟棄下列類(lèi)型的數(shù)據(jù)幀： ? 長(zhǎng)度太短； ? 幀被分段； ? 源地址與目的地址相同； ? 源地址為我們的內(nèi)部地址，或源地址為子網(wǎng)廣播地址； ? 源地址不是單播地址； ? 源地址是環(huán)回地址； ? 目的地址是環(huán)回地址； ? 目的地址不是有效的單播或組播地址 此外， ? 對(duì)于 HTTP 數(shù)據(jù)流， WEB 交換機(jī)必須在 HTTP 流啟動(dòng)后的 16 秒內(nèi)接受一個(gè)有效的幀，否則它將丟棄這個(gè)幀并中斷這個(gè)流； ? 對(duì)于 TCP 數(shù)據(jù)流， WEB 交換機(jī)必須在 16 秒內(nèi)接受一個(gè)返回的 ack，否則它將終止這個(gè) TCP 流； ? 對(duì)于任意嘗試過(guò) 8 次以上 SYN 的數(shù)據(jù)流， WEB 交換機(jī)將終止這個(gè)流，并且停止處理同樣 SYN，源地址，目的地址及端口號(hào)對(duì)的數(shù)據(jù)流 。系統(tǒng)掃描通過(guò)比較規(guī)定的安全策略和實(shí)際的主機(jī)配置來(lái)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，包括缺少安全補(bǔ)丁、詞典中可猜的口令、不適當(dāng)?shù)挠脩?hù)權(quán)限、不正確的系統(tǒng)登錄權(quán)限、不安全的服務(wù)配置和代表攻擊的可疑的行為。 Sensor 不影響網(wǎng)絡(luò)性能，它分析各個(gè)數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。然而，這種分配每個(gè)客戶(hù)單一 VLAN 和 IP 子網(wǎng)的模型造成了巨大的擴(kuò)展方面的局限。簡(jiǎn)單地說(shuō)，在一個(gè)專(zhuān)用 VLAN 內(nèi)，專(zhuān)用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口（混雜端口和專(zhuān)用端口）。 具備豐富的接口類(lèi)型 借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。 保證應(yīng)用性能 帶寬管理需要保證關(guān)鍵的和交互式的應(yīng)用 獲得其所需要的帶寬，同時(shí)限制普通應(yīng)用對(duì)帶寬的需求。網(wǎng)絡(luò)總結(jié)以及特定上下文的報(bào)表提供了對(duì)網(wǎng)絡(luò)趨勢(shì)的輕松訪問(wèn)。 利用路由器和交換機(jī)的特定 QOS（ Quality of Service）技術(shù)，也能實(shí)現(xiàn)帶寬管理。作為數(shù)據(jù)中心托管用戶(hù)的主體，例如 ICP 網(wǎng)站、電子商務(wù)網(wǎng)站、企業(yè)網(wǎng)站等，它們托管或租用在數(shù)據(jù)中心的大部分服務(wù)器都是基于 Inter TCP/IP 協(xié)議的應(yīng)用服務(wù)器，例如 WWW 服務(wù)器、 FTP 服務(wù)器等。 此外，還有一些基于群集（ Cluster）技術(shù)的軟件解決方案來(lái)保證 WWW 服務(wù)的高可用性。通過(guò)這種技術(shù)可以提高 WWW 服務(wù)器的整體處理能力，并提高整個(gè)服務(wù)器系統(tǒng)的可靠性、可用性、可維護(hù)性、可擴(kuò)展性，保證 WWW 服務(wù)質(zhì)量的 QOS，提供基于 URL、基于內(nèi)容的交換（當(dāng)采用第七層負(fù)載平衡設(shè)備時(shí)），最終用一組低處理能力、低實(shí)現(xiàn)成本的主機(jī)提供大規(guī)模、高性能、可擴(kuò)展的 WWW 服務(wù)。 gif/。 Web 交換機(jī)可以讀到分布在多個(gè)包中的 Cookie 并有能力識(shí)別一個(gè)Cookie。 SSL 是端到端的加密機(jī)制，是當(dāng)今 Web 商務(wù)加密的主要方 法。后續(xù)的有這個(gè)會(huì)話(huà) ID 的請(qǐng)求都將被轉(zhuǎn)到同一臺(tái)服務(wù)器。 6 內(nèi)容傳送 內(nèi)容傳送服務(wù)基本托管服務(wù) 網(wǎng)站托管 ( 共享 ) 網(wǎng)站托管 ( 獨(dú)占 ) 主機(jī)托管高級(jí)安全服務(wù)P r i vat e V LA N專(zhuān)用防火墻、專(zhuān)用入侵探測(cè)安全審計(jì)I nt er 連接服務(wù)C om m i t t ed A ccess R at e服務(wù)類(lèi)別 ( C O S )內(nèi)容交換服務(wù)基于 I P , U R L, C oo ki e 的負(fù)載均衡語(yǔ)言和終端類(lèi)型優(yōu)化跨地域負(fù)載均衡內(nèi)容傳送服務(wù)網(wǎng)站服務(wù)加速網(wǎng)站內(nèi)容推送突發(fā)擁擠保障內(nèi)容分段復(fù)制 網(wǎng)絡(luò)加速 Web Cache 技術(shù)是把大多數(shù)經(jīng)常被訪問(wèn)的內(nèi)容存放的距客戶(hù)更近從而提高了Web 的訪問(wèn)速度。 Web Cache 的效率是用最大 cache 命中率和最低可能的請(qǐng)求 /響應(yīng)延時(shí)來(lái)衡量的。 Cache 集群 在一個(gè)位置配備多個(gè) Cache 就是 Cache 集群（ Cache Clustering）。反向代理 Cache（ Reverse Proxy Caching， RPC）則是典型的數(shù)據(jù)中心的擴(kuò)展。可以 Cache 的靜態(tài)的內(nèi)容的例子就是 gif、 jpeg 和 pdf 文件等。 由于 Web 交換機(jī)具有這種動(dòng)態(tài)內(nèi)容復(fù)制的能力，本方案為用戶(hù)提供了一種 靈活有效的方案，即由 IDC 來(lái)解決這個(gè)問(wèn)題。 備份 在后臺(tái)管理網(wǎng)絡(luò)上可以通過(guò)設(shè)置專(zhuān)有的 VLAN（ Private VLAN）或者是普通的 VLAN，以隔離不同用戶(hù)的服務(wù)器。 數(shù)據(jù)更新 對(duì)于從事網(wǎng)上業(yè)務(wù)的公司，提供好的內(nèi)容是業(yè)務(wù)成功的關(guān)鍵，因此 IDC 的用戶(hù)會(huì)經(jīng)常需要對(duì)內(nèi)容進(jìn)行更新和改進(jìn)。這種解決方案需要在 IDC 設(shè)置 IP Sec 的 VPN 網(wǎng)關(guān)。 網(wǎng)管中心管理員首先利用自動(dòng)發(fā)現(xiàn)管理進(jìn)程