【正文】 擊、 PING 攻擊或秘密的研究項目代 碼字， Sensor 可以實時檢測政策違規(guī)，給 Director 管理控制臺轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪除入侵者。這些局限主要有以下幾方面： ? VLAN 的限制： LAN 交換機固有的 VLAN 數(shù)目的限制 ? 復(fù)雜的 STP：對于每個 VLAN，一個相關(guān)的 Spanningtree 的拓撲都需要管理 ? IP 地址的緊缺： IP 子網(wǎng)的劃分勢必造成一些地址的浪費 ? 路由的限制：如果使用 HSRP，每個子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置 在一個 IDC 中，流量的流向幾乎都是在服務(wù)器與客戶之間，而服務(wù)器間的橫向的通信幾乎沒有。 下圖示出了同一專用 VLAN 中兩類端口的關(guān)系。 完善的 QOS 支持能力 在 Inter 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核心層互連。 帶寬管理 在 IDC 的業(yè)務(wù)中，通常針對提供不同的帶寬收取不同的費用，所以帶寬管理成為 Inter 連接中提供服務(wù)質(zhì)量的重要保證。每種通信類型映射到一項特定的帶寬分配政策上，確保每種通信類型得到一個適當(dāng)?shù)膸?。響?yīng)時間特征允許你測量性能，設(shè)置可接受性標(biāo)準(zhǔn)，并跟蹤響應(yīng)質(zhì)量是否堅持了標(biāo)準(zhǔn)。比如 Cisco 公司的 CAR（ Committed Access Rate）技術(shù)。對于這些用戶而言，如何保證這些關(guān)鍵服務(wù)器的高可靠性、高可用性和可擴展性是非常重要的。它的通用做法是通過在操作系統(tǒng)的基礎(chǔ)上安裝操作系統(tǒng)廠商的群集軟件或第三方的群集軟件（絕大多數(shù)支持 WWW 服務(wù) 的群集），例如 Microsoft Cluster Server、 Turbo Linux、 Cluster Server 等，來做到應(yīng)用級的互為備份或負載平衡。 以下是關(guān)于采用第四層負載平衡設(shè)備實現(xiàn) WWW 服務(wù)的 負載平衡的一般介紹：在第四層負載平衡設(shè)備上設(shè)置 WWW 服務(wù)的虛擬 IP 地址（ Virtual IP Address），這個虛擬 IP 地址是 DNS 服務(wù)器中解析到的 WWW 服務(wù)器的 IP 地址，對客戶端是可見的。 jpg 文檔，當(dāng)這些對象都下 載到本地后，才組成一個完整的頁面）。 Cookie 可以由 Web 交換機內(nèi)部產(chǎn)生或在服務(wù)器上產(chǎn)生。 基于 SSL 會話 ID 維持持續(xù)性優(yōu)化了電子商務(wù)的商務(wù)完整性，保證了安全和性能的均衡。 為了優(yōu)化資源，當(dāng)一個會話在一個定義的時間段處于休止?fàn)顟B(tài)后， Web服務(wù)器會終止這個會話。 Web cache 可以在企業(yè)的 Inter 接 入處配置，在接入設(shè)備和ISP POP 中骨干鏈路之間，或在 ISP 網(wǎng)絡(luò)之間的邊緣。 Cache 的命中率受一系列因素的影響，包括工作負載、內(nèi)存和磁盤大小、內(nèi)容老化算法等。 Cache集群提供冗余，增加了 Cache 的性能合擴展能力。反向代理 Cache 是 Web 服務(wù)器的代理，而不是客戶的代理。 代理、透明式和反向代理 Web Cache 把所有客戶的請求都推向 Cache 服務(wù)器，這給以產(chǎn)生效益為目的想利用 Web Cache 強行把所有請求（不管內(nèi)容）推向不能完成請求的服務(wù)器的站點造成了很大的問題。 Web 交換機根據(jù)用戶內(nèi)容的訪問量的大小，動態(tài)地擴展用戶服務(wù)器的能力，當(dāng) Web 交換機發(fā)現(xiàn)某些申請了這項服務(wù)的用戶的某些內(nèi)容的訪問量達到一定的門限時，交換機將動態(tài)復(fù)制熱點內(nèi)容到溢出備份服務(wù)器，當(dāng)發(fā)現(xiàn)這些內(nèi)容的訪問量下降以后再將這些內(nèi)容自動的刪除掉。而需要由多個用戶共享的資源和服務(wù)，則可以通過 VLAN Trunk 和全通口與各個需要共享資源的服務(wù)器通信。在用戶對服務(wù)器進行更新時，對數(shù)據(jù)的安 全性通常會有較高的要求，因此簡單的通過前臺來更新服務(wù)器對于從事電子商務(wù)的網(wǎng)站是不適用的。 MPLS VPN MPLS VPN 為用戶提供了一種更加靈活有效的訪問方式，用戶可以通過公網(wǎng)平臺上自己私有的 MPLS VPN 對自己的設(shè)備進行訪問，而且其地址空間也可以是其自己的私有地址，由于地址空 間是私有的，黑客幾乎無法對其進行攻擊。根據(jù)地址掃描的發(fā)現(xiàn)的結(jié)果，將在管理服務(wù)的管理數(shù)據(jù)庫中生成全網(wǎng)的網(wǎng)絡(luò)拓撲圖。網(wǎng)絡(luò)管理員還可以在管理控制臺上直接啟動設(shè)備管理工 具察看出現(xiàn)故障的的網(wǎng)絡(luò)節(jié)點設(shè)備當(dāng)前的詳細信息。 性能管理 網(wǎng)絡(luò)管理解決方案中為 IDC 網(wǎng)絡(luò)管理員提供了一組網(wǎng)絡(luò)性能和 IP 電話服務(wù)質(zhì)量的管理工具。 網(wǎng)絡(luò)安全管理 有些網(wǎng)絡(luò)管理軟件還支持網(wǎng)絡(luò)管理員分權(quán)機制，不同級別的登陸用戶在管理系統(tǒng)中具有不同的管理權(quán)限。兩臺交換機之間用兩條 GE 連接，采用千兆以太網(wǎng)通道（ GEC）技術(shù)捆綁兩個物理連接，形成一個負載均衡的邏輯連接。服務(wù)器接入層 在服務(wù)器接入層，采用交換機 Cisco Catalyst 3500 將服務(wù)器與核心層連接起來，同時可以根據(jù)用戶的需求，放置防火墻設(shè)備， Web 交換機以及安全監(jiān)控設(shè)備 ，從而為用戶提供更高的安全保障和網(wǎng)絡(luò)性能。 在后臺管理平臺與前臺核心層之間放置單向防火墻，使得在收集網(wǎng)絡(luò)流量數(shù)據(jù)的同時又保證了其安全性。 傳統(tǒng)的方式， IP 協(xié)議采用分層地址結(jié)構(gòu)，它由 4 個字節(jié)（ 32 位） 組成，每個字節(jié)用三位十進制數(shù)（ 0~255）表示，每個字節(jié)之間用圓點號隔開，它包含兩個部分：網(wǎng)絡(luò)號和主機節(jié)點號。 xxxxxxxx。分子網(wǎng)是將網(wǎng)絡(luò)號向主機號部分擴展、即網(wǎng)絡(luò)邊界向右移的過程，而路由總結(jié)則是劃分子網(wǎng)的逆過程，通過將子網(wǎng)的邊界向左移的過程，可用一個較大的子網(wǎng)號來代表一組連續(xù)的子網(wǎng)，如下所示：這一疊合路徑可代表 16 個連續(xù)的子網(wǎng)。具有公網(wǎng) IP 地址主機或路由器可以和 INTERNET 網(wǎng)上的任何節(jié)點相連。 0。 1，然后再送往目的地。 10。 業(yè)界提出了一種技術(shù)，使企業(yè)可以從私有地址遷移到全球地址空間，這種技術(shù)就是網(wǎng)絡(luò)地址的轉(zhuǎn)換（ NAT）。 xxxxxxxx 因此，路由總結(jié)又稱為子網(wǎng)的集結(jié)或超級子網(wǎng)，它可得到縮小路由表，降低路由器內(nèi)存的使用，并減少路由協(xié)議產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)流量。 xxxxxxxx。 xxxxxxxx A 類地址 B 類地址以前二字節(jié)（ 16 位）表示網(wǎng)絡(luò)號，以 10 開頭，后二字節(jié)（ 16 位）表示主機號，如下所示： 10xxxxxx。下面先簡單介紹 IP 地址規(guī)劃的一般原則。在一期中先不選用 Cisco Catalyst 6500，將來業(yè)務(wù)發(fā)展了再擴展。 針對這種需求，分布層不需要為其提供高層交換能力，而是需要為其提供高速高性能的二、三層交換。 9 網(wǎng)絡(luò)詳細設(shè)計 Inter 連接層 IDC 的 Inter 連接層配置兩臺 GSR，使用 100BaseT 或者 1000Base 高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核心層互連。 在網(wǎng)管中心管理員可以啟動利用網(wǎng)絡(luò)管理軟件對全網(wǎng)的局域網(wǎng)和廣域網(wǎng)性能進行直接監(jiān)控。 利用網(wǎng)絡(luò)管理軟件對 IDC 網(wǎng)絡(luò)設(shè)備參數(shù)進行集中配置和對網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)版本進行升級管理。通過定義對全網(wǎng)的 IP 節(jié)點設(shè)備，通訊鏈路等多方面網(wǎng)絡(luò)資源進行自動定期輪詢檢測，可發(fā)現(xiàn)節(jié)點設(shè)備的硬件故障和網(wǎng)絡(luò)鏈路中斷。 網(wǎng)絡(luò)拓撲管理 為對 IDC 網(wǎng)絡(luò)進行系統(tǒng)化管理，管理員首先需要對全網(wǎng)的當(dāng)前狀態(tài)有一個準(zhǔn)確、直觀的了解。 專線 在 IDC 設(shè)置路由器，通過常用的專線方式，如 DDN， Frame Relay 等方式提供用戶訪問自己的服務(wù)器。 客戶中心 由于客戶將設(shè)備托管給 IDC，用戶對自己的設(shè)備需要定期的檢查和管理。 本解決方案提供了完整的后臺管理平臺，對于每一個服務(wù)器通過兩塊網(wǎng)卡，一塊連接到前臺的接入層，為 Inter 用戶提供服務(wù)，另一塊連 接到后臺管理系統(tǒng)的接入交換機。 Web 交換機的智能 Cache 旁路能力除去了 Cache 的重新定向動態(tài)內(nèi)容請求的負擔(dān)，因此提高了性能。服務(wù)器直接向客戶答復(fù)，或轉(zhuǎn)發(fā)到 RPC 的交換機。如果一個網(wǎng)絡(luò)中等 Cache 失敗，所有的配置使用它的瀏覽器都會失去與 Web 的連接。當(dāng)發(fā)起一個內(nèi)容請求時，每個請求都會轉(zhuǎn)到代理 Cache 的 IP 地址，不管是對動態(tài)或靜態(tài)內(nèi)容的請求。 Web Cache 只能 cache 靜態(tài)的內(nèi)容，如 gif、 jpg 和 PDF 等。 Web 交換機解決方案為加密會話提供鎖定連接，不僅提高了效率和用戶滿意度，也顯著地減少了服務(wù)器上應(yīng)用的壓力。但是，這并不是下面的電子事務(wù)使用的 SSL 會話 ID。如果沒有提供 Cookie，請求要么被送到認證服務(wù)器，要么交換機內(nèi)部產(chǎn)生一個新的 Cookie。常見的廣域網(wǎng)負載平衡算法有：輪詢（ Round－ Robin）、加權(quán)輪詢（ Weighted Round－ Robin）、隨機（ Random）、最少連接數(shù)（ Least Connection）、最低 CPU 利用率（ Lowest CPU Utilization）、 HTTP 重定向（ HTTP Redirection）等。 應(yīng)用負載均衡 第七層應(yīng)用負載平衡設(shè)備是近一、兩年才出現(xiàn)的最新技術(shù)，它主要用于實現(xiàn)WWW 應(yīng)用的負載平衡和服務(wù)質(zhì)量保證。但是，它也存在以下缺點：安裝、配置復(fù)雜，難于維護和管理；群集軟件與服務(wù)器的硬件平臺和操作系統(tǒng)密切相關(guān)，不能做到設(shè)備無關(guān)性和無縫升級；實現(xiàn)負載平衡的算法簡單，一般是根據(jù)輪詢（ Round Robin），有些 WWW 群集軟件可支持設(shè)定權(quán)重（ Weighting）算法，但權(quán)重（ weighting）是人為設(shè)定，并不能客觀反映每一臺服務(wù)器的 HTTP請求響應(yīng)能力以及當(dāng)前負載情況 ；與硬件實現(xiàn)方案（ Layer4 的負載平衡交換設(shè)備）比較起來，性能較低，另外支持的 Web Site 的規(guī)模較?。?WWW 服務(wù)器最多可以到 16 臺）；不能實現(xiàn) HTTPS 等特殊應(yīng)用的負載平衡（這是因為在 HTTPS 應(yīng)用中，客戶端和服務(wù)器端要進行身份驗證、交換證書和密鑰，所以客戶端和服務(wù)器端應(yīng)一一對應(yīng)，同一客戶的請求應(yīng)由同一臺服務(wù)器來處理）。 基于上述原因，人們提出了 DNS 輪詢方案（ DNS－ Round－ Robin）試圖解決 WWW 服務(wù)的可用性問題，即多臺 WWW 鏡像主機在 DNS 中對應(yīng)同一域名，當(dāng)用戶訪問 WWW，要求 DNS 服務(wù)器解析域名時， DNS 服務(wù)器按 DNS 請求的先后順序把域名依次解析成其中一臺 WWW 主機的 IP 地址，從而把任務(wù)平均分擔(dān)到數(shù)臺 WWW 主機上，來提高 WWW 服務(wù)的整體性能。內(nèi)容交換同時對應(yīng)用層的數(shù)據(jù)提供適當(dāng)?shù)目刂埔詽M足應(yīng)用的要求，比如對 SSL（ Security Socket Layer）連接的控制。為了網(wǎng)絡(luò)性能的考慮，帶寬管理器需要與現(xiàn)有的網(wǎng)絡(luò)順利集成，不需要任何新的協(xié)議或者重新配置路由器，也不需要修改拓樸結(jié)構(gòu)和桌面。速率政策是為應(yīng)用提供沒有被使用的帶寬，所以，昂貴的帶寬從不會被浪費。 像 HTTP、 FTP 和 Tel 這樣的 IP 協(xié)議，以及像 SNA、 NetBIOS 和 AppleTalk這樣的非 IP 協(xié)議，帶寬管理都應(yīng)該能自動識別，并根據(jù)用戶的需要進行有效的處理。 對各種高級路由協(xié)議（如 BGP 等）的全面支持 4 Inter 連接 作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Inter 連接層提供了 IDC 與公共IP 網(wǎng)的橋梁，它的運行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必須具有以下的特點： 專用 VLAN 是第 2 層的機制，在同一個 2 層域中有兩類不同安全級別的訪問端口。這樣，屬于不同客戶的服務(wù)器之間的安全就顯得至關(guān)重要。實時入侵檢測系統(tǒng)解決方案，用于檢測、報告和終止整個網(wǎng)絡(luò)中未經(jīng)授權(quán)的活動。另外，互 聯(lián)網(wǎng)掃描執(zhí)行預(yù)定的或事件驅(qū)動的網(wǎng)絡(luò)探測，包括對網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、 Web服務(wù)器、防火墻和應(yīng)用程序的檢測，從而去識別能被入侵者利用來進入網(wǎng)絡(luò)的漏洞。 2。該工具將攻擊一個目標(biāo)的任務(wù)分配給所有可能的 DoS服務(wù)程序，這就是它被叫做分布式 DoS 的原因。在這種情況下，服務(wù)器只好等待，有時甚至?xí)却?1 分鐘才能關(guān)閉此次連接。 RADIUS/TACACS+是實施 AAA 常用的協(xié)議，認證軟件需要有完整的記帳功能，并且可以將 USER 信息直接導(dǎo)入軟件的用戶數(shù)據(jù)庫，極大 方便的 AAA 服務(wù)的用戶管理。 IDC 以 Inter 技術(shù)體系作為基礎(chǔ)，主要特點是以 TCP/IP 為傳輸協(xié)議和以瀏覽器 /WEB 為處理模式。 共享式網(wǎng)站托管是深受中、小企業(yè)歡迎的一個價廉物美的服務(wù)，內(nèi)容包括： ? 國際、國內(nèi)域名代理申請 ? URL 域名解析 ? FTP 訪問及其密碼修改 ? 斷點續(xù)傳支持 ? CGI/Perl 支持，專用 CGI－ BIN 目錄 ? Active X/VB Script 支持 ? JAVA Applet/Class 支持 ? 防火墻保護 ? 服務(wù)器 24 小時不間斷運行 ? WEB 設(shè)計服務(wù) ? WEB Counter 計數(shù)器 ? Banner 廣告條 ? 搜索引擎 ? Email自動轉(zhuǎn)發(fā)、回復(fù)及郵件列表支持 IDC 可根據(jù)用戶對以上功能的選擇及對存儲空間的要求，定義成不同級別的服務(wù)包提供給最終用戶。 虛擬主機依托于一臺服務(wù)器，多個網(wǎng)站可以在這臺服務(wù)器上共享資源（硬盤空間、處理器以及內(nèi)存空間），單獨的一臺服務(wù)器上可以同時運行多個虛擬 主機。對于這種業(yè)務(wù)模型，用戶將其服務(wù)器包給了數(shù)據(jù)服務(wù)中心經(jīng)營者，用戶不必擁有計算機、網(wǎng)絡(luò)方面的技術(shù)