【正文】 迅速發(fā)展，后臺網(wǎng)絡(luò)的重要性逐漸被認(rèn)識，因此目前比較成功的 IDC，都有一個非常完善的后臺管理系統(tǒng)。在這種情況下， Cache 基本上變成了瓶頸。交換機(jī)旁路 RPC，把最初的 IP 地址信息和包含在流頭部的序列號發(fā)往服務(wù)器。特別是代理 Cache，對單一的Cache 失敗 很敏感。 代理 Cache 在代理 Cache（ Proxy Caching）環(huán)境中，每個 Web 瀏覽器都要配置代理Cache 的 IP 地址，所有用戶的請求都會轉(zhuǎn)發(fā)到代理。 Cache 能力定義為一個對象可以被的潛力。如果用戶填了一個很長的表格，比如抵押申請或信用證明，那么所有剛填寫的信息都會丟失，必須重新來過 。用戶瀏覽器與服務(wù)器之間開始的 SSL Hello 消息含有一個空的會話 ID 字段（如果要建立一個新的 SSL 會話）或上一次客戶使用得 SSL 會話。如果進(jìn)入一個請求并且提供了一個 Cookie，用戶的優(yōu)先級字段就會決定那個服務(wù)器群接受請求。 時(shí)，客戶的關(guān)于這個網(wǎng)站的 DNS 域名解析請求會被這個廣域網(wǎng)的負(fù)載平衡設(shè)備來處理，而這個廣域網(wǎng)的負(fù)載平衡設(shè)備會基于客戶端的 IP 地址范圍、客戶端與各節(jié)點(diǎn)的網(wǎng)絡(luò)延遲、各節(jié)點(diǎn)的狀態(tài)及負(fù)載等參數(shù)，然后根據(jù)一定的算法來判斷那個節(jié)點(diǎn)最適合用戶訪問，從而將這個節(jié)點(diǎn)的 IP 地址或 VIP 地址返回給客戶。通過這種技術(shù)可將大量的、并發(fā)性的用戶請求分配到多個服務(wù)器來處理，從而降低單個服務(wù)器的負(fù)載，避免服務(wù)器的死機(jī)或響應(yīng)延遲過大！另外，這種負(fù)載平衡設(shè)備還可以幾乎實(shí)時(shí)地檢測到后臺服務(wù)器的硬件、操作系統(tǒng)、網(wǎng)絡(luò)甚至應(yīng)用級別的狀態(tài)，從而避免客戶的請求被失效的服務(wù)器處理。它們之間即 可以互為備份，也可以有專門一臺備份服務(wù)器，它在群集正常時(shí)不承擔(dān)任何任務(wù)，但是當(dāng)群集中的某一臺服務(wù)器發(fā)生故障時(shí)，它會自動激活，從而接管故障服務(wù)器的任務(wù)。 以前作為一個網(wǎng)站通常采用的方式是 WWW 服務(wù)器由一臺硬件配置非常高的 UNIX 服務(wù)器來擔(dān)當(dāng)，盡管成本昂貴，但這樣做仍然不能保證它的可靠性、可用性、可維護(hù)性：一是因?yàn)橐慌_服務(wù)器仍作不到硬件級的完全容錯，保證不了可靠性；二是因?yàn)橐慌_服務(wù)器的網(wǎng)絡(luò)帶寬有限，保證不了可用性；三是因?yàn)楫?dāng)這臺服務(wù)器進(jìn)行硬件或軟件升級時(shí)，不可避免地要中斷 WWW 服務(wù)，保證不了可維護(hù)性。 5 內(nèi)容交換 內(nèi)容交換提供數(shù)據(jù)流的負(fù)載均衡以提高 IDC 的網(wǎng)絡(luò)性能，特別是服務(wù)器的響應(yīng)性能。 輕松部署 硬 件帶寬管理器通常位于網(wǎng)絡(luò)瓶頸上，通常在路由器和核心交換機(jī)之間。而且獲得保證的音頻或視頻流動速率，避免出現(xiàn)惱人的不穩(wěn)定性。只有這樣才能對用戶提供完善的帶寬管理機(jī)制。 高速的路由交換能力 目前， Cisco 的 Catalyst Switch 6000/6500 系列交換機(jī)支持專用 VLAN。這種特性是 Cisco 公司的專有技術(shù)，但特別適用于 IDC。 入侵檢測系統(tǒng)通常具有的關(guān)鍵特性包括： ? 對合法流量 /網(wǎng)絡(luò)使用透明的實(shí)時(shí)入侵檢測 ? 對未經(jīng)授權(quán)活動的實(shí)時(shí)應(yīng)對可以阻止黑客訪問網(wǎng)絡(luò)或終止違規(guī)會話 ? 全面的攻擊簽名目錄可以檢測廣泛的攻擊，檢測基于內(nèi)容和上下文的攻擊 ? 支 持廣泛的速度和接口類型，包括 10/100 Mbps 以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI ? 告警包括攻擊者和目的地 IP 地址、目的地端口、攻擊介紹以及捕獲的攻擊前鍵入的字符 ? 適合特大規(guī)模分布式網(wǎng)絡(luò)的可伸縮性 專用 VLAN IDC 環(huán)境是一個典型的多客戶的服務(wù)器群結(jié)構(gòu)，每個托管客戶從一個公共的數(shù)據(jù)中心中的一系列服務(wù)器上提供 Web 服務(wù)。 入侵檢測 入侵檢測（ Intrude Detection）具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計(jì)、自動地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評估 自己的系統(tǒng)。 安全掃描服務(wù)器可以對網(wǎng)絡(luò)設(shè)備進(jìn)行自動的安全漏洞檢測和分析，并且在實(shí)行過程中支持基于策略的安全風(fēng)險(xiǎn)管理過程。 過濾進(jìn)網(wǎng)和出網(wǎng)的流量 網(wǎng)絡(luò)服務(wù)提供商應(yīng)該實(shí)施進(jìn)網(wǎng)流量過濾措施，目的是阻止任何偽造 IP 地址的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，從而從源頭阻止諸如 DDOS 這樣的分布式網(wǎng)絡(luò)攻擊的發(fā)生或削弱其攻擊效果。黒客（ client）在不同的主機(jī)（ handler）上安裝大量的 DoS 服務(wù)程序，它們等待來自中央客戶端（ client）的命令，中央客戶端隨后通知全體受控服務(wù)程序（ agent），并指示它們對一個特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請求。當(dāng) 服務(wù)器企圖將認(rèn)證結(jié)果返回給用戶時(shí)，它將無法找到這些用戶。 AAA 功能的實(shí)施需要兩部分的配合：支持 AAA 的網(wǎng)絡(luò)設(shè)備、 AAA 服務(wù)器。 這就要求我們對與 Inter 互連所帶來的安全性問題予以足夠重視。 在 IDC 網(wǎng)絡(luò)建設(shè)初期，虛擬主機(jī)業(yè)務(wù)為服務(wù)提供商提供了巨大的市場機(jī)遇，而且它是實(shí)施其他增值服務(wù)（例如應(yīng)用托管業(yè)務(wù)）的基礎(chǔ)。而每一位客戶可以有條件地訪問和控制服務(wù)器上的一小部分，從而用來構(gòu)建自己的網(wǎng)站。專用主機(jī)可以為這些關(guān)鍵應(yīng)用提供高質(zhì)量、安全的服務(wù)。用戶則需要自己負(fù)責(zé)服務(wù)器以及包含防火墻等在內(nèi)的內(nèi)部網(wǎng)絡(luò)。 主機(jī)托管業(yè)務(wù)的特點(diǎn)：投資降低，用戶可使用已購買的服務(wù)器等設(shè)備，無需再作設(shè)備投資，并且可采用 IDC 提供的線路。因?yàn)樯蠄D中整個 IDC 建設(shè)框架的最終目的是為了 IDC 業(yè)務(wù)的開展和拓展，在這個框架的每個部分都必須貫穿為 IDC 業(yè)務(wù)開展服務(wù)的宗旨。 ： ； :； 群： 第二章 網(wǎng)絡(luò)方案 1 概述 如下圖是整個 IDC 的建設(shè)框架，本章將闡述網(wǎng)絡(luò)框架的建設(shè)以及網(wǎng)絡(luò)管理。本章將在介紹 IDC 網(wǎng)絡(luò)設(shè)計(jì)的同時(shí)，闡述每個設(shè)計(jì)要點(diǎn)對 IDC 業(yè)務(wù)的影響和重要性。網(wǎng)站及企業(yè)用戶自身擁有若干服務(wù)器，并把它放置在 IDC 的機(jī)房里，由客戶自己進(jìn)行維護(hù)。 在提供主機(jī)托管服務(wù)給用戶時(shí)， IDC 服務(wù)提供商將負(fù)責(zé)提供 Inter 連接層、核心層、分布層及服務(wù)器接入層的設(shè)備并保障其穩(wěn)定運(yùn)行。 獨(dú)享式網(wǎng)站托管 IDC 為用戶提供專用主機(jī)，這更適合于具有復(fù)雜業(yè)務(wù)的站點(diǎn)。其他作為獨(dú)享主機(jī)托管服務(wù)的一部分還應(yīng)包括： ? 電信級高品質(zhì)機(jī)房環(huán)境和設(shè)備 ? 可靠的供電系統(tǒng) ? 恒溫恒濕控制系統(tǒng) ? 19 英寸標(biāo)準(zhǔn)機(jī)架 ? 10M/100M 共享或獨(dú)占接口 ? 獨(dú)立 IP 地址 ? 服務(wù)器配置 ? 服務(wù)器系統(tǒng)軟件安裝 、調(diào)試 ? 24 7 網(wǎng)絡(luò)系統(tǒng)管理維護(hù)與技術(shù)支持 ? 24 小時(shí)實(shí)時(shí)的服務(wù)器運(yùn)行狀態(tài)、流量監(jiān)測 ? 詳細(xì)的訪問統(tǒng)計(jì)報(bào)告 ? 緊急狀況的處理 共享式網(wǎng)站托管 又可稱為虛擬主機(jī)業(yè)務(wù)，是指在一種 Inter 的網(wǎng)站工作環(huán)境下， IDC 的網(wǎng)絡(luò)服務(wù)器可以容納許多相互獨(dú)立的多個網(wǎng)站和 Email 系統(tǒng)，并且由 IDC 提供管理維護(hù)服務(wù)。但由于這種業(yè)務(wù)模式的技術(shù)難度不大，所需投資較 小，競爭也比較激烈，利潤也較低。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：拒絕服務(wù)、非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等方面。 記帳：記錄用戶登錄后干了些什么。 防 DoS黑客攻擊 在拒絕服務(wù)（ DoS）攻擊中，惡意用戶向服務(wù)器發(fā)送多個認(rèn)證請求，使其滿負(fù)載，并且所有請求的返回地址都是偽造的。 DDOS 工作的基本概念如圖所示。 防范攻擊的措施 1。漏洞檢測的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。當(dāng)收到安全性消息時(shí)，圖形用戶界面上相應(yīng)的主機(jī)狀態(tài)顏色和安全性消息組的圖標(biāo)都應(yīng)有相應(yīng)變化，以幫助操作人員快速地確定報(bào)警的原因和范疇。同時(shí)需要能夠允許部署大量 Sensor和 Director 的可伸縮的體系結(jié)構(gòu)，在大型網(wǎng)絡(luò)環(huán)境中提供全面的覆蓋面，與現(xiàn)有網(wǎng)絡(luò)管理工具和實(shí)踐平滑集成的入侵檢測系統(tǒng)。這一新的 VLAN特性就是專用 VLAN （ private VLAN， pVLAN）。在這一模型中，所有的服務(wù)器都接入專用 VLAN，從而實(shí)現(xiàn)了所有服務(wù)器與 缺省網(wǎng)關(guān)的連接，而與專用 VLAN 內(nèi)的其他服務(wù)器沒有任何訪問。 Int er 連接服務(wù)基本托管服務(wù) 網(wǎng)站托管 ( 共享 ) 網(wǎng)站托管 ( 獨(dú)占 ) 主機(jī)托管高級安全服務(wù)P ri v a t e V LAN專門的防火墻、專門的入侵探測安全審計(jì)Int e rne t連接服務(wù)服務(wù)類別 ( COS)帶寬管理骨干接入 骨干接入 作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Inter 連接層提供了 IDC 與公共IP 網(wǎng)的橋梁，它的運(yùn)行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必須具有以下的特點(diǎn)： 可以通過應(yīng)用、服務(wù)、協(xié)議、端口數(shù)、URL 或通配符（用 于 Web 通信）、主機(jī)名稱、優(yōu)先權(quán)、以及 IP 或 MAC 地址對通信量進(jìn)行分類。比如，一個 HTTP cap 會使 Web 游覽避免使用他人的帶寬。通過這一界面，網(wǎng)絡(luò)管理員可在任何時(shí)候、任何地方，通過網(wǎng)絡(luò)來配置、控制和監(jiān)控帶寬分配情況。 Foundry， Alteon 和 Cisco 公司的四層交換機(jī)都支持本地帶寬管理。 下面我們以數(shù)據(jù)中心中最為普遍的服務(wù)－ WWW 服務(wù)為例，來詳細(xì)講解如何實(shí)現(xiàn) Inter 服務(wù)的高可用性，即關(guān)鍵服務(wù)器系統(tǒng)的高可用性。負(fù)載平衡方式下，可以有多臺服務(wù)器，每一個服務(wù)器都承擔(dān)一定的應(yīng)用。常見的算法有以下幾種：輪詢（ Round Robin）、權(quán)重（ Weighting）、最少連接（ Least connection）、隨機(jī)（ Random）、響應(yīng)時(shí)間（ Response Time）等。 mysite。可以產(chǎn)生 Cookie 對電子商務(wù)站點(diǎn)基于Cookie 使流量具有優(yōu) 先級是有益的。這一點(diǎn)很關(guān)鍵，因?yàn)?Cookie 處于為進(jìn)行 SSL事務(wù)而加密的 HTTP 頭部，所以維持鎖定連的 Web 交換機(jī)不能讀到。當(dāng)用戶發(fā)送一個新的請求時(shí)，服務(wù)器把它作為一個新用戶處理，會建立一個新的會話。每一種技術(shù)的區(qū)別在于在 Web 服務(wù)器訪問途徑的什么地方配備和需要進(jìn)行配置的多少。用戶的請求經(jīng)過網(wǎng)絡(luò)設(shè)備路由到Cache，比如經(jīng)過路由器上的策略過濾、遠(yuǎn)程的訪問服務(wù)器或通過使 用特殊用途的 Web Cache 前端設(shè)備，如 Web 交換機(jī)。 Cache 集群提供了冗余，在單個 Cache 失敗時(shí)起到保護(hù)作用。 Web交換機(jī)可以為不可 Cache的 HTTP請求或不可 Cache的 TCP請求（如SSL）旁路 RPC。當(dāng)不可 Cache 的或動態(tài)的 URL 被指向 Cache時(shí)，由于 Cache 需要判定這個請求的內(nèi)容不 可 Cache，再從源服務(wù)器獲取內(nèi)容，然后再轉(zhuǎn)發(fā)給客戶，會造成明顯的延時(shí)。其中前三層主要承載用戶的業(yè)務(wù)，而后臺網(wǎng)絡(luò)主要提供各種后臺的管理功能。 網(wǎng)絡(luò)管理 由于后臺管理系統(tǒng)與前臺的網(wǎng)絡(luò)相互隔離，并且在本方案中對網(wǎng)絡(luò)的安全性作了全面的考慮，例如利用防火墻將前后臺隔離，配置入侵檢測和漏洞檢測系統(tǒng)，因此具有很好的安全性。遠(yuǎn)程數(shù)據(jù)更新的方案中提供全套的端到端的解決方法，包括：遠(yuǎn)程撥號；專線； IP 加密（ IP sec） VPN；MPLS VPN。 而且當(dāng)將來需要向用戶提供網(wǎng)絡(luò)外包服務(wù)時(shí)，利用 MPLS VPN 與后臺管理系統(tǒng)相結(jié)合，可以迅速向用戶提供業(yè)務(wù)。 故障管理 網(wǎng)絡(luò)管理員在獲得了最新網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖后，還需對全網(wǎng)的故障進(jìn)行集 中控管。為保障全網(wǎng)參數(shù)配置的一致性和設(shè)備操作系統(tǒng)版本的統(tǒng)一，配置管理應(yīng)由中央管理中心的網(wǎng)絡(luò)管理員統(tǒng)一控制。還可以進(jìn)行全網(wǎng)網(wǎng)絡(luò)流量的歷史數(shù)據(jù)統(tǒng)計(jì)， 分析網(wǎng)絡(luò)流量的長期趨勢，幫助管理員進(jìn)行網(wǎng)絡(luò)容量規(guī)劃，消除網(wǎng)絡(luò)中的瓶頸。 同時(shí)網(wǎng)絡(luò)管理員也可以利用安全控管軟件進(jìn)一步加強(qiáng)網(wǎng)絡(luò)整體包括網(wǎng)絡(luò)管理系統(tǒng)的安全性。服務(wù)器接入層 Colocation 的分布層 amp。在這里采用了二級網(wǎng)絡(luò)結(jié)構(gòu)，第一級采用交換機(jī) Cisco Catalyst 2900 將服務(wù)器接入后臺管理平臺網(wǎng)絡(luò)，第二級采用兩臺大容量、高性能交換機(jī) Cisco Catalyst 6500 將所有第一級的交換機(jī)匯聚。直接影響整個網(wǎng)絡(luò)運(yùn)行的效率。 xxxxxxxx。 xxxxxxxx C 類地址 IP 地址的分配應(yīng)遵循以下幾個原則： ? 唯一性：一個 IP 網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的 IP 地址 ? 簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項(xiàng) ? 連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)（ Route Summarization），大大縮減路由表，提高路由算法的效率 ? 可擴(kuò)展性：地址分 配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需的連續(xù)性 ? 靈活性：地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)（ VLSM，VariableLength Sub Mask），以滿足多種路由策略的優(yōu)化，充分利用地址空間 為了有效地利用地址空間，我們可以對 IP 地址進(jìn)行子網(wǎng)劃分，從地址的主機(jī)部分借取若干位作為子網(wǎng)號，剩余部分仍然表示主機(jī)號，舉例如下： xxxxxxxx。 xxxxxxxx。具有私有地址的主機(jī)和路由器只能在企業(yè)內(nèi)部 通信，其地址僅在企業(yè)內(nèi)部是唯一的。 1，該主機(jī)要訪問 INTERNET 上的節(jié)點(diǎn)