【正文】 ，對其管理范疇內(nèi)的全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、聯(lián)網(wǎng)節(jié)點(diǎn)設(shè)備以及應(yīng)用服務(wù)器進(jìn)行地址掃描。網(wǎng)絡(luò)管理員通過察看管理控制臺上的不同類型報(bào)警信息即可以迅速定位故障出現(xiàn)的準(zhǔn)確位置和故障的嚴(yán)重等級。網(wǎng)絡(luò)管理員在中央管理控制臺上可以檢索網(wǎng)絡(luò)設(shè)備的所有參數(shù)修改紀(jì)錄。管理員還可以對被監(jiān)控的性能參數(shù)設(shè)定閾值，如檢測到網(wǎng) 絡(luò)性能下降，參數(shù)超過了預(yù)先設(shè)定的閾值， IPM 將自動向故障管理系統(tǒng)發(fā)送一條報(bào)警信息，提示管理員注意。這就需要有核心層將分布層的數(shù)據(jù)匯集后連至 Inter 接入路由器 ? 網(wǎng)絡(luò)擴(kuò)展易于實(shí)現(xiàn)并且不能對現(xiàn)有業(yè)務(wù)產(chǎn)生影響，核 心層的存在完全滿足了這一點(diǎn) 鑒于對核心層的這些需求，配置兩臺高性能、大容量多層交換機(jī) Cisco Catalyst 6509，分別與 Inter 連接層兩臺高端路由器采用 GE 端口交叉連接。 Web Hosting 的分布層 amp。 在用戶管理中心，配置 Cisco Router 3640 和 VPN 網(wǎng)關(guān) Cisco VPN 3000 通過POTS/ISDN/DDN/VPN/… ，提供用戶遠(yuǎn)程數(shù)據(jù)更新，并保證安全性。滿足這些要求的 IP 地址分配技術(shù)有：可變長子網(wǎng)掩碼技術(shù)（ VLSM， VariableLength Sub Mask）和路由總結(jié)技術(shù)（ Route Summarization）。 xxxxxxxx B 類地址 C 類地址以前三字節(jié)（ 24 位）表示網(wǎng)絡(luò)號，以 110 開頭，后一字節(jié)（ 8 位）表示主機(jī)號，如下所示： 110xxxxx。 采用 VLSM 時(shí)應(yīng)注意下列三點(diǎn)： ? 事先要有規(guī)劃，避免子網(wǎng)重疊分配 ? 可能會造成對 已有網(wǎng)絡(luò)地址的重新設(shè)置 ? 新的網(wǎng)絡(luò)必須仔細(xì)規(guī)劃地址分配，有效利用 IP 地址和保證網(wǎng)絡(luò)的擴(kuò)展性 為縮減路由表的款項(xiàng)，提高路由的效率，路由總結(jié)（ Route Summarization 或Route Aggregation）是一個(gè)非常重要而有效的手段。 網(wǎng)絡(luò)地址轉(zhuǎn)換 為了彌補(bǔ) IP 地址的不足，大多數(shù)網(wǎng)絡(luò)的 IP 地址分為兩部分：一是具有全球連通性的 IP 地址 公網(wǎng)地址；二是只能在企業(yè)內(nèi)部用的 IP 地址 私有地址。如下圖所示，企業(yè)內(nèi)部有一主機(jī)，其 IP 地址為 10。 1。 10，當(dāng) IP數(shù)據(jù)包到達(dá)邊界路由器時(shí) ，路由器將 IP 地址轉(zhuǎn)為公網(wǎng)的 192。 NAT 技術(shù)使專用網(wǎng)絡(luò)能夠連接到 INTERNET 網(wǎng)上。 BGP 中亦廣泛使用的 CIDR 就是路由總結(jié)的一個(gè)具體應(yīng)用。 xxxxxxxx 網(wǎng)絡(luò)號 子網(wǎng)號 主機(jī)號 另外，為了靈活地在不同規(guī)模的子網(wǎng)中分配 不同數(shù)量的 IP 地址，我們需要采用 VLSM 技術(shù)，它可根據(jù)需要在任意位劃分子網(wǎng)邊界，對一個(gè)主網(wǎng)絡(luò)號，可分出最小只有 2 個(gè)主機(jī)號的子網(wǎng)，亦可劃分出一個(gè)較大的子網(wǎng)，因此它很靈活，特別是在廣域網(wǎng)中，兩臺互聯(lián)路由器接口只需 2 個(gè)主機(jī)號地址， VLSM 非常有用，大大節(jié)約了地址空間，又保證了網(wǎng)絡(luò)設(shè)計(jì)的靈活性。 xxxxxxxx。 IP 地址是 TCP/IP 協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來唯一地標(biāo)識網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。這種網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)是通過對 Private VLAN 的支持，能夠簡化網(wǎng)絡(luò)設(shè)計(jì)，減少 IP 地址的浪費(fèi)，同時(shí)又可以達(dá)到網(wǎng)絡(luò)安全的要求：不同用戶群可以享有同樣的服務(wù)而相互之間完全獨(dú)立。這里采用 Cisco Catalyst 3500 交換機(jī)作為分布層設(shè)備以提供高性能。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。收集網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備中 SNMP、 RMON 和 RMON2 的性能管理信息，并以圖形化方式為網(wǎng)絡(luò)管理員顯示所收集到的管理信息。并可對設(shè)備的網(wǎng)絡(luò)配置文件進(jìn)行配置校驗(yàn)和配置文件集中備份以及修改設(shè)備參數(shù)的審計(jì)。還可以利用對 SNMP Trap 的支持，捕捉網(wǎng)絡(luò)上傳送的故障 Trap信息。網(wǎng)絡(luò)拓?fù)涔芾碜鳛楣芾硐到y(tǒng)的一個(gè)重要組成部 分可以滿足管理員的以上需求。這種方式中需要對各個(gè)用戶的數(shù)據(jù) 流向進(jìn)行控制，使他們只能訪問他們自己的服務(wù)器，而不能訪問其它用戶的服務(wù)器。目前 IDC 能夠?yàn)橛脩籼峁┒喾N訪問方式，其中 IDC 設(shè)置客戶中心為 用戶提供訪問平臺，用戶可以在客戶服務(wù)中心訪問自己的網(wǎng)絡(luò)設(shè)備，與自己的服務(wù)器交換信息。在后臺管理平臺上， IDC 建立網(wǎng)絡(luò)管理控制中心完成對整個(gè)IDC 的管理控制， IDC 客戶中心為 IDC 的客戶提供設(shè)備管理平臺，數(shù)據(jù)備份中 心為用戶提供數(shù)據(jù)備份。 動態(tài)內(nèi)容復(fù)制 Web 交換機(jī)可以設(shè)置某些內(nèi)容的負(fù)荷門限，當(dāng)此內(nèi)容的訪問超過門限，交換機(jī)將動態(tài)復(fù)制熱點(diǎn)內(nèi)容到備份服務(wù)器，并重定向請求到備份服務(wù)器。兩種方法都不涉及 Cache，它可以集中資源去服務(wù)可 Cache 的內(nèi)容請求。集群是一個(gè)相對于配置后備 Cache 較好的解決方案，因?yàn)楹笳咴黾恿舜?Cache 管理的復(fù)雜程度。如果請求的內(nèi)容已經(jīng)在 Cache 中，那么 Cache 直接把內(nèi)容發(fā)給客戶；如果請求的內(nèi)容不在 Cache 中，請求被送到服務(wù)器獲取內(nèi)容，一旦在服務(wù)器中找到了所需內(nèi)容，Cache 響應(yīng)客戶，且如果內(nèi)容是可 Cache 的，在 Cache 中復(fù)制一個(gè) copy。有一些類型的 Web 的內(nèi)容是不能被 Cache 的，比如動態(tài)的內(nèi)容，包括 CGI 腳本、 RealAudio、 ASP、加密的文件或與 cookie 有關(guān)的象 shopping cards 等。由于建立會話的握手會涉及交換公鑰，會產(chǎn)生計(jì)算資源的最大的消耗。作為客戶 Hello 消息的響應(yīng)，服務(wù)器挑選一個(gè)新的會話 ID 并把 自己的帶有會話 ID 的 Hello 發(fā)回到客戶端。這個(gè)請求就有一個(gè)有優(yōu)先級設(shè)置的 Cookie，這個(gè)優(yōu)先級會把用戶定向到合適得服務(wù)器群。 Cookie 和 SSL 會話的連接鎖定 為了使得一個(gè)電子商務(wù)的事務(wù)成功，客戶必須被鎖定到指定的服務(wù)器上直到事務(wù)完成。它與第四層負(fù)載平衡設(shè)備比較起來：第七層負(fù)載平衡設(shè)備不僅能檢查 TCP/IP 數(shù)據(jù)包的 TCP、 UDP 端口號（ Transportation Layer），從而轉(zhuǎn)發(fā)給后臺的某一個(gè)服務(wù)器來處理，而且它能從會話層（ Session Layer）以上來分析 HTTP 請求的 URL，根據(jù) URL 的不同將不同的 HTTP 請求交給不同的服務(wù)器來處理（可以具體到某一類文件，甚至某一個(gè)文件），甚至同一個(gè) URL 請求可以讓多個(gè)服務(wù)器來響應(yīng)以分擔(dān)負(fù)載（當(dāng)客戶訪問某一個(gè) URL，發(fā)起 HTTP 請求時(shí)，它實(shí)際上要與服務(wù)器建立多個(gè)會話連接，得到多個(gè)對象－Object，例如。當(dāng)然更為重要的一點(diǎn)是，作為數(shù)據(jù)中心的托管用戶，他們往往不希望數(shù)據(jù)中心服務(wù)提供商在他們的服務(wù)器上安裝任何軟件！ 正因?yàn)樯鲜龅慕鉀Q方案存在這樣或那樣的問題，因此，隨著 Inter 技術(shù)的發(fā)展，出現(xiàn)了基于應(yīng)用、甚至基于內(nèi)容的負(fù)載平衡設(shè)備，即我們通常所說的第四層、第七層智能負(fù)載平衡設(shè)備。它的優(yōu)點(diǎn)是：實(shí)現(xiàn)簡單、實(shí)施容易、成本低；但是，它的缺點(diǎn)也非常明顯：不是真正意義上的負(fù)載均衡， DNS 服務(wù)器將 HTTP 請求平均地分配到后臺的 WWW 服務(wù)器上，而不考慮每個(gè) WWW 服務(wù)器當(dāng)前的負(fù)載情況；如果后臺的 WWW 服務(wù)器的配置和處理能力不同，最慢的 WWW 服務(wù)器將成為系統(tǒng)的瓶頸，處理能力強(qiáng) 的服務(wù)器不能充分發(fā)揮作用；另外未考慮容錯(cuò)，如果后臺的某一臺 WWW 服務(wù)器出現(xiàn)故障， DNS服務(wù)器仍會把 DNS 請求分配到這臺故障服務(wù)器上，導(dǎo)致對客戶端的不能響應(yīng)。這在本節(jié)將有具體闡述。它不能是一個(gè)網(wǎng)絡(luò)故障點(diǎn)，如果帶寬管理器發(fā)生故障或者被關(guān)掉，它需要會像一根電纜一樣發(fā)揮作用。 測量、分析和生成報(bào)表 網(wǎng)絡(luò)管理員在制訂一項(xiàng)帶寬管理策略之前及之后 必須分析其網(wǎng)絡(luò)應(yīng)用通信的模式，以測量其是否成功。例如，你可以將 SAP/R3 通信量根據(jù)一個(gè)特定客戶式特定服務(wù)器隔開，使TN3270 交互式通信量與打印通信量分開，甚至把一個(gè) H。 具備豐富的接口類型 高速的路由交換能力 與服務(wù)器連接的端口稱作專用端口（ private port），一個(gè)專用端口限定在第 2 層，它只能發(fā)送流量到混雜端口，也只能檢測從混雜端口來的流量。一個(gè)保證托管客戶之間安全的通用方法就是給每個(gè)客戶分配一個(gè) VLAN 和相關(guān)的 IP 子網(wǎng)。它可以在 Inter 和內(nèi)部網(wǎng)環(huán)境中操作，保護(hù)整個(gè)網(wǎng)絡(luò)。 安全掃描服務(wù)器同時(shí)能進(jìn)行系統(tǒng)掃描。 采用網(wǎng)絡(luò)入侵檢測系統(tǒng) IDS 當(dāng)系統(tǒng)收到來自奇怪或未知地址的可疑流量時(shí)，網(wǎng)絡(luò)入侵檢測系統(tǒng) IDS（ Intrusion Detection Systems）能夠給系統(tǒng)管理人員發(fā)出報(bào)警信號，提醒他們及時(shí)采取應(yīng)對措施，如切斷連接或反向跟蹤等。 實(shí)際的攻擊并不僅僅是簡單地發(fā)送海量信息，而是采用 DDOS 的變種工具，這些工具可以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強(qiáng)大或者使追 蹤攻擊者變得更困難。當(dāng)服務(wù)器關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請求，以上過程又重復(fù)發(fā)生，直到服務(wù)器因過載而拒絕提供服務(wù)。 在使用 AAA 的功能后用戶通過網(wǎng)絡(luò)遠(yuǎn)程登錄到網(wǎng)絡(luò)設(shè)備上的基本過程如下： 用戶執(zhí)行遠(yuǎn)程登錄命令（例如： Tel），網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。所以我們在 IDC 的設(shè)計(jì)中必須充分重視安全問題，盡可能的減少安全漏洞。 在基于網(wǎng)站托管業(yè)務(wù) IDC 的網(wǎng)絡(luò)全貌如下圖所示，網(wǎng)絡(luò)分為 Inter 連接層、核心層、分布層、服務(wù)器接入及后臺管理平臺。 虛擬主機(jī)是一種初級的網(wǎng)絡(luò)系統(tǒng)方案，其用途主要是容納一些中小型企業(yè)應(yīng)用以及靜態(tài)網(wǎng)頁。 為了保證服務(wù)質(zhì)量，獲得相應(yīng)的高增值服務(wù)費(fèi)用， IDC 服務(wù)經(jīng)營者通常與用戶制定 SLA（ Service Level Agreement）。 基于網(wǎng)站托管的 IDC 網(wǎng)絡(luò)全貌 網(wǎng)站托管是 IDC 經(jīng)過發(fā)展后而開展的一項(xiàng)業(yè)務(wù)。如著名的 Yahoo、 eBay、 Amazon。 2 托管服務(wù) IDC 的基本業(yè)務(wù)包括網(wǎng)站托管（ Web hosting）和主機(jī)托管（ Colocation）兩大類。而在橫向結(jié)構(gòu)上， IDC 的網(wǎng)絡(luò)運(yùn)行離不開網(wǎng)絡(luò)管理和運(yùn)營維護(hù) 。 IDC 網(wǎng)絡(luò)架構(gòu)的整體設(shè)計(jì)框架如下圖所示。以下分別給出基于兩種不同模式時(shí)的網(wǎng)絡(luò)全貌。 對主機(jī)托管業(yè)務(wù)， IDC 可為客戶提供 n x 100M 或者千兆獨(dú)占帶寬的電信級專業(yè)機(jī)房租用服務(wù)，包括 ? 隨時(shí)可擴(kuò)充的獨(dú)占帶寬 ? UPS 不間斷電源保障 ? 24 小時(shí)實(shí)時(shí)攝像監(jiān)控 ? 電源控制系統(tǒng) ? 保安系統(tǒng) ? 消防系統(tǒng) 以及可選的機(jī)柜出租： ? 標(biāo)準(zhǔn)電信級機(jī)柜：高 2M、深 1M 或 1。數(shù)據(jù)服務(wù)中心的建設(shè)除了必須具有一定面積的機(jī)房和相當(dāng)數(shù)量的服務(wù)器外，還必須對運(yùn)維管理、安全系統(tǒng)、監(jiān)控等設(shè)施、工具和專業(yè)服務(wù)進(jìn)行深入的考慮。 對中小型網(wǎng)站而言，無論是從運(yùn)營維護(hù)的角度，還是對整體業(yè)務(wù)收入而言，與場地租用的服務(wù)相比，獨(dú)享主機(jī)服務(wù)更能吸引 IDC 的經(jīng)營者。 現(xiàn)在 Inter 上很多網(wǎng)站都采用虛擬主機(jī)系統(tǒng)方案。 3 網(wǎng)絡(luò)安全 安全服務(wù)基本托管服務(wù)網(wǎng)站托管( 共享 )網(wǎng)站托管( 獨(dú)占 )主機(jī)托管高級安全服務(wù)P r iv at e V L AN專用防火墻專用的入侵監(jiān)測安全審計(jì) 眾所周知，作為全球使用范圍最大的信息網(wǎng)， Inter 自身協(xié)議的開放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。 對于 IDC 基本服務(wù)的安全需求如下： ? AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能 ? 防 Dos 黑客攻擊功能 ? 線速 ACL 功能 對于 IDC 增值服務(wù)的安全需求如下： ? AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能 ? 防 Dos 黑客攻擊功能 ? 線速 ACL 功能 ? 防火墻及防火墻平滑切換功能 ? 入侵檢測功能 ? 漏洞檢測功能 ? 線速 NAT 對于 IDC NOC 的安全需求如下： ? AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能 ? 防 Dos 黑客攻擊功能 ? 線速 ACL 功能 ? 防火墻及防火墻平滑切換功能 ? 入侵檢測功能 ? 漏洞檢測功能 ? 線速 NAT ? ACL 的策略管理 ? 安全元件的策略管理 ? VPN AAA 服務(wù) 所謂 AAA 是（ Authentication、 Authorization、 Accounting）的縮寫，即認(rèn)證、授權(quán)、記帳功能，簡單的說： 認(rèn)證：用戶身份的確認(rèn)，確定允許哪些用戶登錄，對用戶的身份的校驗(yàn)。 當(dāng)網(wǎng)絡(luò)設(shè)備 得到 AAA 的應(yīng)答后，可以根據(jù)應(yīng)答的內(nèi)容作出相應(yīng)的操作，如果應(yīng)答為 DENY 則關(guān)閉掉當(dāng)前的 SESSION 進(jìn)程；如果為 PERMIT 則根據(jù) AAA服務(wù)器返回的用戶權(quán)限為該用戶開啟 SESSION 進(jìn)程，并將用戶所執(zhí)行的操作向AAA 服務(wù)器進(jìn)行報(bào)告。與其他分布式概念類似，分布式拒絕服務(wù)可以方便地協(xié)調(diào)從多臺計(jì)算機(jī)上啟動的進(jìn)程。其次， DDOS 也可以利用協(xié)議的缺陷，例如，它可以通過 SYN 打開半開的 TCP 連接，這是一個(gè)很老且早已為人所熟知的協(xié)議缺陷。 在核心交換機(jī)上我們可以用線速的 ACL 來達(dá)到上述類似的幀丟棄策略，我們還可以用 CAR 的方法對 ping 及 SYN 的數(shù)據(jù)流進(jìn)行帶寬控制，以預(yù)防 DDOS的攻擊。系統(tǒng)安全掃描還可以修復(fù)有問題的系統(tǒng)，自動產(chǎn)生文件所 有權(quán)和文件權(quán)限的修復(fù)腳本。如果一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流遇到未經(jīng)授權(quán)的活動，例如 SATAN 攻