【正文】 迅速發(fā)展，后臺網絡的重要性逐漸被認識，因此目前比較成功的 IDC，都有一個非常完善的后臺管理系統(tǒng)。在這種情況下， Cache 基本上變成了瓶頸。交換機旁路 RPC，把最初的 IP 地址信息和包含在流頭部的序列號發(fā)往服務器。特別是代理 Cache，對單一的Cache 失敗 很敏感。 代理 Cache 在代理 Cache（ Proxy Caching）環(huán)境中，每個 Web 瀏覽器都要配置代理Cache 的 IP 地址，所有用戶的請求都會轉發(fā)到代理。 Cache 能力定義為一個對象可以被的潛力。如果用戶填了一個很長的表格，比如抵押申請或信用證明，那么所有剛填寫的信息都會丟失，必須重新來過 。用戶瀏覽器與服務器之間開始的 SSL Hello 消息含有一個空的會話 ID 字段（如果要建立一個新的 SSL 會話）或上一次客戶使用得 SSL 會話。如果進入一個請求并且提供了一個 Cookie，用戶的優(yōu)先級字段就會決定那個服務器群接受請求。 時，客戶的關于這個網站的 DNS 域名解析請求會被這個廣域網的負載平衡設備來處理，而這個廣域網的負載平衡設備會基于客戶端的 IP 地址范圍、客戶端與各節(jié)點的網絡延遲、各節(jié)點的狀態(tài)及負載等參數，然后根據一定的算法來判斷那個節(jié)點最適合用戶訪問，從而將這個節(jié)點的 IP 地址或 VIP 地址返回給客戶。通過這種技術可將大量的、并發(fā)性的用戶請求分配到多個服務器來處理，從而降低單個服務器的負載，避免服務器的死機或響應延遲過大！另外，這種負載平衡設備還可以幾乎實時地檢測到后臺服務器的硬件、操作系統(tǒng)、網絡甚至應用級別的狀態(tài)，從而避免客戶的請求被失效的服務器處理。它們之間即 可以互為備份，也可以有專門一臺備份服務器，它在群集正常時不承擔任何任務，但是當群集中的某一臺服務器發(fā)生故障時，它會自動激活，從而接管故障服務器的任務。 以前作為一個網站通常采用的方式是 WWW 服務器由一臺硬件配置非常高的 UNIX 服務器來擔當，盡管成本昂貴，但這樣做仍然不能保證它的可靠性、可用性、可維護性：一是因為一臺服務器仍作不到硬件級的完全容錯，保證不了可靠性；二是因為一臺服務器的網絡帶寬有限，保證不了可用性；三是因為當這臺服務器進行硬件或軟件升級時，不可避免地要中斷 WWW 服務，保證不了可維護性。 5 內容交換 內容交換提供數據流的負載均衡以提高 IDC 的網絡性能，特別是服務器的響應性能。 輕松部署 硬 件帶寬管理器通常位于網絡瓶頸上，通常在路由器和核心交換機之間。而且獲得保證的音頻或視頻流動速率，避免出現惱人的不穩(wěn)定性。只有這樣才能對用戶提供完善的帶寬管理機制。 高速的路由交換能力 目前， Cisco 的 Catalyst Switch 6000/6500 系列交換機支持專用 VLAN。這種特性是 Cisco 公司的專有技術，但特別適用于 IDC。 入侵檢測系統(tǒng)通常具有的關鍵特性包括： ? 對合法流量 /網絡使用透明的實時入侵檢測 ? 對未經授權活動的實時應對可以阻止黑客訪問網絡或終止違規(guī)會話 ? 全面的攻擊簽名目錄可以檢測廣泛的攻擊，檢測基于內容和上下文的攻擊 ? 支 持廣泛的速度和接口類型，包括 10/100 Mbps 以太網、令牌環(huán)網和FDDI ? 告警包括攻擊者和目的地 IP 地址、目的地端口、攻擊介紹以及捕獲的攻擊前鍵入的字符 ? 適合特大規(guī)模分布式網絡的可伸縮性 專用 VLAN IDC 環(huán)境是一個典型的多客戶的服務器群結構，每個托管客戶從一個公共的數據中心中的一系列服務器上提供 Web 服務。 入侵檢測 入侵檢測（ Intrude Detection）具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數據的完整性、識別攻擊行為、對異常行為進行統(tǒng)計、自動地收集和系統(tǒng)相關的補丁、進行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估 自己的系統(tǒng)。 安全掃描服務器可以對網絡設備進行自動的安全漏洞檢測和分析，并且在實行過程中支持基于策略的安全風險管理過程。 過濾進網和出網的流量 網絡服務提供商應該實施進網流量過濾措施，目的是阻止任何偽造 IP 地址的數據包進入網絡，從而從源頭阻止諸如 DDOS 這樣的分布式網絡攻擊的發(fā)生或削弱其攻擊效果。黒客（ client）在不同的主機（ handler）上安裝大量的 DoS 服務程序，它們等待來自中央客戶端（ client）的命令，中央客戶端隨后通知全體受控服務程序（ agent），并指示它們對一個特定目標發(fā)送盡可能多的網絡訪問請求。當 服務器企圖將認證結果返回給用戶時，它將無法找到這些用戶。 AAA 功能的實施需要兩部分的配合：支持 AAA 的網絡設備、 AAA 服務器。 這就要求我們對與 Inter 互連所帶來的安全性問題予以足夠重視。 在 IDC 網絡建設初期，虛擬主機業(yè)務為服務提供商提供了巨大的市場機遇，而且它是實施其他增值服務（例如應用托管業(yè)務）的基礎。而每一位客戶可以有條件地訪問和控制服務器上的一小部分，從而用來構建自己的網站。專用主機可以為這些關鍵應用提供高質量、安全的服務。用戶則需要自己負責服務器以及包含防火墻等在內的內部網絡。 主機托管業(yè)務的特點：投資降低，用戶可使用已購買的服務器等設備，無需再作設備投資，并且可采用 IDC 提供的線路。因為上圖中整個 IDC 建設框架的最終目的是為了 IDC 業(yè)務的開展和拓展，在這個框架的每個部分都必須貫穿為 IDC 業(yè)務開展服務的宗旨。 ： ； :； 群： 第二章 網絡方案 1 概述 如下圖是整個 IDC 的建設框架，本章將闡述網絡框架的建設以及網絡管理。本章將在介紹 IDC 網絡設計的同時，闡述每個設計要點對 IDC 業(yè)務的影響和重要性。網站及企業(yè)用戶自身擁有若干服務器，并把它放置在 IDC 的機房里，由客戶自己進行維護。 在提供主機托管服務給用戶時， IDC 服務提供商將負責提供 Inter 連接層、核心層、分布層及服務器接入層的設備并保障其穩(wěn)定運行。 獨享式網站托管 IDC 為用戶提供專用主機，這更適合于具有復雜業(yè)務的站點。其他作為獨享主機托管服務的一部分還應包括： ? 電信級高品質機房環(huán)境和設備 ? 可靠的供電系統(tǒng) ? 恒溫恒濕控制系統(tǒng) ? 19 英寸標準機架 ? 10M/100M 共享或獨占接口 ? 獨立 IP 地址 ? 服務器配置 ? 服務器系統(tǒng)軟件安裝 、調試 ? 24 7 網絡系統(tǒng)管理維護與技術支持 ? 24 小時實時的服務器運行狀態(tài)、流量監(jiān)測 ? 詳細的訪問統(tǒng)計報告 ? 緊急狀況的處理 共享式網站托管 又可稱為虛擬主機業(yè)務，是指在一種 Inter 的網站工作環(huán)境下， IDC 的網絡服務器可以容納許多相互獨立的多個網站和 Email 系統(tǒng)，并且由 IDC 提供管理維護服務。但由于這種業(yè)務模式的技術難度不大，所需投資較 小，競爭也比較激烈，利潤也較低。對網絡安全的威脅主要表現在：拒絕服務、非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統(tǒng)正常運行、利用網絡傳播病毒、線路竊聽等方面。 記帳：記錄用戶登錄后干了些什么。 防 DoS黑客攻擊 在拒絕服務（ DoS）攻擊中，惡意用戶向服務器發(fā)送多個認證請求，使其滿負載，并且所有請求的返回地址都是偽造的。 DDOS 工作的基本概念如圖所示。 防范攻擊的措施 1。漏洞檢測的結果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。當收到安全性消息時，圖形用戶界面上相應的主機狀態(tài)顏色和安全性消息組的圖標都應有相應變化，以幫助操作人員快速地確定報警的原因和范疇。同時需要能夠允許部署大量 Sensor和 Director 的可伸縮的體系結構，在大型網絡環(huán)境中提供全面的覆蓋面，與現有網絡管理工具和實踐平滑集成的入侵檢測系統(tǒng)。這一新的 VLAN特性就是專用 VLAN （ private VLAN， pVLAN）。在這一模型中，所有的服務器都接入專用 VLAN，從而實現了所有服務器與 缺省網關的連接，而與專用 VLAN 內的其他服務器沒有任何訪問。 Int er 連接服務基本托管服務 網站托管 ( 共享 ) 網站托管 ( 獨占 ) 主機托管高級安全服務P ri v a t e V LAN專門的防火墻、專門的入侵探測安全審計Int e rne t連接服務服務類別 ( COS)帶寬管理骨干接入 骨干接入 作為 IDC 網絡與公共 IP 骨干網絡的接口， Inter 連接層提供了 IDC 與公共IP 網的橋梁，它的運行情況直接關系到 IDC 為其用戶所提供的服務的質量，這就要求該層的設備必須具有以下的特點： 可以通過應用、服務、協(xié)議、端口數、URL 或通配符（用 于 Web 通信）、主機名稱、優(yōu)先權、以及 IP 或 MAC 地址對通信量進行分類。比如，一個 HTTP cap 會使 Web 游覽避免使用他人的帶寬。通過這一界面，網絡管理員可在任何時候、任何地方，通過網絡來配置、控制和監(jiān)控帶寬分配情況。 Foundry， Alteon 和 Cisco 公司的四層交換機都支持本地帶寬管理。 下面我們以數據中心中最為普遍的服務－ WWW 服務為例，來詳細講解如何實現 Inter 服務的高可用性，即關鍵服務器系統(tǒng)的高可用性。負載平衡方式下，可以有多臺服務器，每一個服務器都承擔一定的應用。常見的算法有以下幾種：輪詢（ Round Robin）、權重（ Weighting）、最少連接（ Least connection）、隨機（ Random）、響應時間（ Response Time）等。 mysite?？梢援a生 Cookie 對電子商務站點基于Cookie 使流量具有優(yōu) 先級是有益的。這一點很關鍵，因為 Cookie 處于為進行 SSL事務而加密的 HTTP 頭部，所以維持鎖定連的 Web 交換機不能讀到。當用戶發(fā)送一個新的請求時，服務器把它作為一個新用戶處理，會建立一個新的會話。每一種技術的區(qū)別在于在 Web 服務器訪問途徑的什么地方配備和需要進行配置的多少。用戶的請求經過網絡設備路由到Cache，比如經過路由器上的策略過濾、遠程的訪問服務器或通過使 用特殊用途的 Web Cache 前端設備，如 Web 交換機。 Cache 集群提供了冗余，在單個 Cache 失敗時起到保護作用。 Web交換機可以為不可 Cache的 HTTP請求或不可 Cache的 TCP請求（如SSL）旁路 RPC。當不可 Cache 的或動態(tài)的 URL 被指向 Cache時，由于 Cache 需要判定這個請求的內容不 可 Cache，再從源服務器獲取內容，然后再轉發(fā)給客戶，會造成明顯的延時。其中前三層主要承載用戶的業(yè)務，而后臺網絡主要提供各種后臺的管理功能。 網絡管理 由于后臺管理系統(tǒng)與前臺的網絡相互隔離，并且在本方案中對網絡的安全性作了全面的考慮，例如利用防火墻將前后臺隔離，配置入侵檢測和漏洞檢測系統(tǒng)，因此具有很好的安全性。遠程數據更新的方案中提供全套的端到端的解決方法，包括：遠程撥號；專線； IP 加密（ IP sec） VPN；MPLS VPN。 而且當將來需要向用戶提供網絡外包服務時，利用 MPLS VPN 與后臺管理系統(tǒng)相結合，可以迅速向用戶提供業(yè)務。 故障管理 網絡管理員在獲得了最新網絡拓撲結構圖后，還需對全網的故障進行集 中控管。為保障全網參數配置的一致性和設備操作系統(tǒng)版本的統(tǒng)一，配置管理應由中央管理中心的網絡管理員統(tǒng)一控制。還可以進行全網網絡流量的歷史數據統(tǒng)計， 分析網絡流量的長期趨勢，幫助管理員進行網絡容量規(guī)劃，消除網絡中的瓶頸。 同時網絡管理員也可以利用安全控管軟件進一步加強網絡整體包括網絡管理系統(tǒng)的安全性。服務器接入層 Colocation 的分布層 amp。在這里采用了二級網絡結構，第一級采用交換機 Cisco Catalyst 2900 將服務器接入后臺管理平臺網絡，第二級采用兩臺大容量、高性能交換機 Cisco Catalyst 6500 將所有第一級的交換機匯聚。直接影響整個網絡運行的效率。 xxxxxxxx。 xxxxxxxx C 類地址 IP 地址的分配應遵循以下幾個原則： ? 唯一性：一個 IP 網絡中不能有兩個主機采用相同的 IP 地址 ? 簡單性：地址分配應簡單易于管理，降低網絡擴展的復雜性，簡化路由表的款項 ? 連續(xù)性：連續(xù)地址在層次結構網絡中易于進行路由總結（ Route Summarization），大大縮減路由表，提高路由算法的效率 ? 可擴展性：地址分 配在每一層次上都要留有余量，在網絡規(guī)模擴展時能保證地址總結所需的連續(xù)性 ? 靈活性：地址分配應具有靈活性，可借助可變長子網掩碼技術（ VLSM，VariableLength Sub Mask），以滿足多種路由策略的優(yōu)化，充分利用地址空間 為了有效地利用地址空間，我們可以對 IP 地址進行子網劃分，從地址的主機部分借取若干位作為子網號，剩余部分仍然表示主機號，舉例如下： xxxxxxxx。 xxxxxxxx。具有私有地址的主機和路由器只能在企業(yè)內部 通信，其地址僅在企業(yè)內部是唯一的。 1，該主機要訪問 INTERNET 上的節(jié)點