【正文】 IDC可根據(jù)具體情況選擇最適合自己的路由協(xié)議。ISIS占用網(wǎng)絡(luò)資源較小，路由收斂和恢復(fù)時(shí)間快，ISIS采用較小的協(xié)議數(shù)據(jù)包承載路由信息，這使得路由信息繁衍速度更快。等值多鏈路協(xié)議（ECMP）實(shí)現(xiàn)分布層的Web交換機(jī)Web交換機(jī)上連鏈路的負(fù)載均衡，使其專注于內(nèi)容的交換。方案2：選用EIGRP，同時(shí)配合靜態(tài)/缺省路由協(xié)議核心路由器局域網(wǎng)端口，核心層交換機(jī)選用EIGRP。核心路由器局域網(wǎng)端口，核心層交換機(jī)組成OSPF的Aera0。 IDC內(nèi)部路由協(xié)議選擇IDC內(nèi)部路由協(xié)議可以有多種選擇，以下為幾種方案建議。 選擇不同的ISP建議IDC采用多個(gè)出口連接多個(gè)ISP，避免因?yàn)镮SP的問題影響IDC的正常運(yùn)行，同時(shí)提高用戶訪問響應(yīng)速度。建議設(shè)置多個(gè)Internet出口。這就保證了所用傳輸?shù)目煽啃?。其?yōu)點(diǎn)為不會(huì)產(chǎn)生動(dòng)態(tài)路由所特有的路由信息廣播或路由信息更新或HELLO從而不會(huì)在系統(tǒng)資源：內(nèi)存、CPU、帶寬等方面制成額外的開銷。 對(duì)帶寬和CPU等資源消耗這個(gè)SPF算法占用了CPU的資源，一般來說與運(yùn)算量與網(wǎng)內(nèi)鏈路數(shù)目與路由器數(shù)目乘積成正比。根據(jù)源點(diǎn)和目的地是否在同一域內(nèi)，OSPF有兩種類型的路由選擇方式：o 當(dāng)源和目的在同一區(qū)域時(shí)，采用域內(nèi)路由選擇o 當(dāng)源和目的不在同區(qū)域時(shí)，采用域間路由選擇由于有域的概念，OSPF路由協(xié)議比那些不將AS分區(qū)的情況下所需傳送的路由信息少得多。 路由選擇的分級(jí)與RIP路由協(xié)議不同，OSPF可在一個(gè)域（Area）內(nèi)進(jìn)行路由選擇。OSPF路由協(xié)議有如下特點(diǎn)：需要每臺(tái)路由器向同域（Area）的所有其它路由器發(fā)送鏈路狀態(tài)廣播（LSA）信息。所以可以快速收斂網(wǎng)絡(luò)的路由信息。L1的路由器僅知道本AREA的路由，如ROUTER1知道去往ROUTER2的路由，但不知道去AREA2的路由；同樣，ROUTER4僅知道AREA2內(nèi)的路由，只知道去網(wǎng)ROUTER3的路由，而不知道如何去AREA1。Level1中的路由器只知道它所在AREA的路由信息；LEVEL2中的路由器知道去其它AREAS的路由信息。 Internet出口路由策略 后臺(tái)管理區(qū)的IP建議使用私有的IP地址，通過PIX防火墻作地址轉(zhuǎn)換（NAT），對(duì)前臺(tái)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控管理，另外Private VLAN技術(shù)可以簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)；節(jié)省IP地址；并且滿足網(wǎng)絡(luò)安全要求。 站點(diǎn)托管用戶（Web Hosting），應(yīng)用托管用戶（ASP）的IP地址這類用戶的服務(wù)器建議使用私有的IP地址，通過Web交換機(jī)作地址轉(zhuǎn)換（NAT），多臺(tái)服務(wù)器使用一個(gè)虛擬IP地址。建議分配給每臺(tái)服務(wù)器一個(gè)私有的IP地址，通過Web交換機(jī)Web交換機(jī)作地址轉(zhuǎn)換（NAT）。255。IDC用戶的IP地址由IDC統(tǒng)一分配，IDC根據(jù)用戶的不同需求分配公網(wǎng)IP地址或私有IP地址給用戶的服務(wù)器。1，然后再送往目的地。10。0。業(yè)界提出了一種技術(shù)，使企業(yè)可以從私有地址遷移到全球地址空間，這種技術(shù)就是網(wǎng)絡(luò)地址的轉(zhuǎn)換（NAT）。具有公網(wǎng)IP地址主機(jī)或路由器可以和INTERNET網(wǎng)上的任何節(jié)點(diǎn)相連。xxxxxxxx因此，路由總結(jié)又稱為子網(wǎng)的集結(jié)或超級(jí)子網(wǎng)，它可得到縮小路由表，降低路由器內(nèi)存的使用，并減少路由協(xié)議產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)流量。分子網(wǎng)是將網(wǎng)絡(luò)號(hào)向主機(jī)號(hào)部分?jǐn)U展、即網(wǎng)絡(luò)邊界向右移的過程，而路由總結(jié)則是劃分子網(wǎng)的逆過程，通過將子網(wǎng)的邊界向左移的過程，可用一個(gè)較大的子網(wǎng)號(hào)來代表一組連續(xù)的子網(wǎng)，如下所示：這一疊合路徑可代表16個(gè)連續(xù)的子網(wǎng)。采用VLSM時(shí)應(yīng)注意下列三點(diǎn)：xxxxxxxx。 簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表的款項(xiàng)xxxxxxxx。xxxxxxxx A類地址B類地址以前二字節(jié)（16位）表示網(wǎng)絡(luò)號(hào)，以10開頭，后二字節(jié)（16位）表示主機(jī)號(hào)，如下所示：10xxxxxx。傳統(tǒng)的方式，IP協(xié)議采用分層地址結(jié)構(gòu)，它由4個(gè)字節(jié)（32位）組成，每個(gè)字節(jié)用三位十進(jìn)制數(shù)（0~255）表示，每個(gè)字節(jié)之間用圓點(diǎn)號(hào)隔開，它包含兩個(gè)部分：網(wǎng)絡(luò)號(hào)和主機(jī)節(jié)點(diǎn)號(hào)。下面先簡(jiǎn)單介紹IP地址規(guī)劃的一般原則。在后臺(tái)管理平臺(tái)與前臺(tái)核心層之間放置單向防火墻，使得在收集網(wǎng)絡(luò)流量數(shù)據(jù)的同時(shí)又保證了其安全性。在一期中先不選用Cisco Catalyst 6500，將來業(yè)務(wù)發(fā)展了再擴(kuò)展。 用戶管理中心 （用戶遠(yuǎn)程對(duì)其服務(wù)器進(jìn)行更新、維護(hù)）167。 詳盡的計(jì)費(fèi)報(bào)告167。 網(wǎng)絡(luò)設(shè)備的管理167。在接入層所提供的高速的鏈路上，用戶將根據(jù)需要構(gòu)建自己的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，可根據(jù)需要使用Web交換機(jī)以提供高層交換能力。服務(wù)器接入層 Colocation的分布層amp。這就需要有核心層將分布層的數(shù)據(jù)匯集后連至Internet接入路由器167。9 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) Internet 連接層IDC的Internet連接層配置兩臺(tái)GSR，使用100BaseT或者1000Base高速連接到IP骨干網(wǎng)，并以全冗余方式與核心層互連。 網(wǎng)絡(luò)安全管理有些網(wǎng)絡(luò)管理軟件還支持網(wǎng)絡(luò)管理員分權(quán)機(jī)制，不同級(jí)別的登陸用戶在管理系統(tǒng)中具有不同的管理權(quán)限。在網(wǎng)管中心管理員可以啟動(dòng)利用網(wǎng)絡(luò)管理軟件對(duì)全網(wǎng)的局域網(wǎng)和廣域網(wǎng)性能進(jìn)行直接監(jiān)控。 性能管理網(wǎng)絡(luò)管理解決方案中為IDC網(wǎng)絡(luò)管理員提供了一組網(wǎng)絡(luò)性能和IP電話服務(wù)質(zhì)量的管理工具。利用網(wǎng)絡(luò)管理軟件對(duì)IDC網(wǎng)絡(luò)設(shè)備參數(shù)進(jìn)行集中配置和對(duì)網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)版本進(jìn)行升級(jí)管理。網(wǎng)絡(luò)管理員還可以在管理控制臺(tái)上直接啟動(dòng)設(shè)備管理工具察看出現(xiàn)故障的的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備當(dāng)前的詳細(xì)信息。通過定義對(duì)全網(wǎng)的IP節(jié)點(diǎn)設(shè)備，通訊鏈路等多方面網(wǎng)絡(luò)資源進(jìn)行自動(dòng)定期輪詢檢測(cè)，可發(fā)現(xiàn)節(jié)點(diǎn)設(shè)備的硬件故障和網(wǎng)絡(luò)鏈路中斷。根據(jù)地址掃描的發(fā)現(xiàn)的結(jié)果，將在管理服務(wù)的管理數(shù)據(jù)庫中生成全網(wǎng)的網(wǎng)絡(luò)拓?fù)鋱D。 網(wǎng)絡(luò)拓?fù)涔芾頌閷?duì)IDC網(wǎng)絡(luò)進(jìn)行系統(tǒng)化管理，管理員首先需要對(duì)全網(wǎng)的當(dāng)前狀態(tài)有一個(gè)準(zhǔn)確、直觀的了解。 MPLS VPNMPLS VPN為用戶提供了一種更加靈活有效的訪問方式，用戶可以通過公網(wǎng)平臺(tái)上自己私有的MPLS VPN對(duì)自己的設(shè)備進(jìn)行訪問，而且其地址空間也可以是其自己的私有地址，由于地址空間是私有的，黑客幾乎無法對(duì)其進(jìn)行攻擊。 專線在IDC設(shè)置路由器，通過常用的專線方式，如DDN，F(xiàn)rame Relay等方式提供用戶訪問自己的服務(wù)器。在用戶對(duì)服務(wù)器進(jìn)行更新時(shí)，對(duì)數(shù)據(jù)的安全性通常會(huì)有較高的要求，因此簡(jiǎn)單的通過前臺(tái)來更新服務(wù)器對(duì)于從事電子商務(wù)的網(wǎng)站是不適用的。 客戶中心由于客戶將設(shè)備托管給IDC，用戶對(duì)自己的設(shè)備需要定期的檢查和管理。而需要由多個(gè)用戶共享的資源和服務(wù)，則可以通過VLAN Trunk和全通口與各個(gè)需要共享資源的服務(wù)器通信。本解決方案提供了完整的后臺(tái)管理平臺(tái)，對(duì)于每一個(gè)服務(wù)器通過兩塊網(wǎng)卡，一塊連接到前臺(tái)的接入層，為Internet用戶提供服務(wù)，另一塊連接到后臺(tái)管理系統(tǒng)的接入交換機(jī)。Web交換機(jī)根據(jù)用戶內(nèi)容的訪問量的大小，動(dòng)態(tài)地?cái)U(kuò)展用戶服務(wù)器的能力，當(dāng)Web交換機(jī)發(fā)現(xiàn)某些申請(qǐng)了這項(xiàng)服務(wù)的用戶的某些內(nèi)容的訪問量達(dá)到一定的門限時(shí)，交換機(jī)將動(dòng)態(tài)復(fù)制熱點(diǎn)內(nèi)容到溢出備份服務(wù)器，當(dāng)發(fā)現(xiàn)這些內(nèi)容的訪問量下降以后再將這些內(nèi)容自動(dòng)的刪除掉。Web交換機(jī)的智能Cache旁路能力除去了Cache的重新定向動(dòng)態(tài)內(nèi)容請(qǐng)求的負(fù)擔(dān)，因此提高了性能。 代理、透明式和反向代理Web Cache把所有客戶的請(qǐng)求都推向Cache服務(wù)器，這給以產(chǎn)生效益為目的想利用Web Cache強(qiáng)行把所有請(qǐng)求（不管內(nèi)容）推向不能完成請(qǐng)求的服務(wù)器的站點(diǎn)造成了很大的問題。服務(wù)器直接向客戶答復(fù)，或轉(zhuǎn)發(fā)到RPC的交換機(jī)。反向代理Cache是Web服務(wù)器的代理，而不是客戶的代理。如果一個(gè)網(wǎng)絡(luò)中等Cache失敗，所有的配置使用它的瀏覽器都會(huì)失去與Web的連接。Cache集群提供冗余，增加了Cache的性能合擴(kuò)展能力。當(dāng)發(fā)起一個(gè)內(nèi)容請(qǐng)求時(shí)，每個(gè)請(qǐng)求都會(huì)轉(zhuǎn)到代理Cache的IP地址，不管是對(duì)動(dòng)態(tài)或靜態(tài)內(nèi)容的請(qǐng)求。Cache的命中率受一系列因素的影響，包括工作負(fù)載、內(nèi)存和磁盤大小、內(nèi)容老化算法等。Web Cache只能cache靜態(tài)的內(nèi)容，如gif、jpg和PDF等。Web cache可以在企業(yè)的Internet接入處配置，在接入設(shè)備和ISP POP中骨干鏈路之間，或在ISP網(wǎng)絡(luò)之間的邊緣。Web交換機(jī)解決方案為加密會(huì)話提供鎖定連接，不僅提高了效率和用戶滿意度，也顯著地減少了服務(wù)器上應(yīng)用的壓力。 為了優(yōu)化資源，當(dāng)一個(gè)會(huì)話在一個(gè)定義的時(shí)間段處于休止?fàn)顟B(tài)后，Web服務(wù)器會(huì)終止這個(gè)會(huì)話。但是，這并不是下面的電子事務(wù)使用的SSL會(huì)話ID。 基于SSL會(huì)話ID維持持續(xù)性優(yōu)化了電子商務(wù)的商務(wù)完整性，保證了安全和性能的均衡。如果沒有提供Cookie，請(qǐng)求要么被送到認(rèn)證服務(wù)器，要么交換機(jī)內(nèi)部產(chǎn)生一個(gè)新的Cookie。Cookie可以由Web交換機(jī)內(nèi)部產(chǎn)生或在服務(wù)器上產(chǎn)生。常見的廣域網(wǎng)負(fù)載平衡算法有：輪詢（Round－Robin）、加權(quán)輪詢（Weighted Round－Robin）、隨機(jī)（Random）、最少連接數(shù)（Least Connection）、最低CPU利用率（Lowest CPU Utilization）、HTTP重定向（HTTP Redirection）等。jpg文檔，當(dāng)這些對(duì)象都下載到本地后，才組成一個(gè)完整的頁面）。 應(yīng)用負(fù)載均衡第七層應(yīng)用負(fù)載平衡設(shè)備是近一、兩年才出現(xiàn)的最新技術(shù)，它主要用于實(shí)現(xiàn)WWW應(yīng)用的負(fù)載平衡和服務(wù)質(zhì)量保證。以下是關(guān)于采用第四層負(fù)載平衡設(shè)備實(shí)現(xiàn)WWW服務(wù)的負(fù)載平衡的一般介紹：在第四層負(fù)載平衡設(shè)備上設(shè)置WWW服務(wù)的虛擬IP地址（Virtual IP Address），這個(gè)虛擬IP地址是DNS服務(wù)器中解析到的WWW服務(wù)器的IP地址，對(duì)客戶端是可見的。但是，它也存在以下缺點(diǎn)：安裝、配置復(fù)雜，難于維護(hù)和管理；群集軟件與服務(wù)器的硬件平臺(tái)和操作系統(tǒng)密切相關(guān)，不能做到設(shè)備無關(guān)性和無縫升級(jí)；實(shí)現(xiàn)負(fù)載平衡的算法簡(jiǎn)單，一般是根據(jù)輪詢（Round Robin），有些WWW群集軟件可支持設(shè)定權(quán)重（Weighting）算法，但權(quán)重（weighting）是人為設(shè)定，并不能客觀反映每一臺(tái)服務(wù)器的HTTP請(qǐng)求響應(yīng)能力以及當(dāng)前負(fù)載情況；與硬件實(shí)現(xiàn)方案（Layer4的負(fù)載平衡交換設(shè)備）比較起來，性能較低，另外支持的Web Site的規(guī)模較?。╓WW服務(wù)器最多可以到16臺(tái)）；不能實(shí)現(xiàn)HTTPS等特殊應(yīng)用的負(fù)載平衡（這是因?yàn)樵贖TTPS應(yīng)用中，客戶端和服務(wù)器端要進(jìn)行身份驗(yàn)證、交換證書和密鑰，所以客戶端和服務(wù)器端應(yīng)一一對(duì)應(yīng)，同一客戶的請(qǐng)求應(yīng)由同一臺(tái)服務(wù)器來處理）。它的通用做法是通過在操作系統(tǒng)的基礎(chǔ)上安裝操作系統(tǒng)廠商的群集軟件或第三方的群集軟件（絕大多數(shù)支持WWW服務(wù)的群集），例如Microsoft Cluster Server、Turbo Linux、Cluster Server等，來做到應(yīng)用級(jí)的互為備份或負(fù)載平衡。基于上述原因，人們提出了DNS輪詢方案（DNS－Round－Robin）試圖解決WWW服務(wù)的可用性問題，即多臺(tái)WWW鏡像主機(jī)在DNS中對(duì)應(yīng)同一域名，當(dāng)用戶訪問WWW，要求DNS服務(wù)器解析域名時(shí)，DNS服務(wù)器按DNS請(qǐng)求的先后順序把域名依次解析成其中一臺(tái)WWW主機(jī)的IP地址，從而把任務(wù)平均分擔(dān)到數(shù)臺(tái)WWW主機(jī)上，來提高WWW服務(wù)的整體性能。對(duì)于這些用戶而言，如何保證這些關(guān)鍵服務(wù)器的高可靠性、高可用性和可擴(kuò)展性是非常重要的。內(nèi)容交換同時(shí)對(duì)應(yīng)用層的數(shù)據(jù)提供適當(dāng)?shù)目刂埔詽M足應(yīng)用的要求，比如對(duì)SSL（Security Socket Layer）連接的控制。比如Cisco公司的CAR（Committed Access Rate）技術(shù)。為了網(wǎng)絡(luò)性能的考慮，帶寬管理器需要與現(xiàn)有的網(wǎng)絡(luò)順利集成，不需要任何新的協(xié)議或者重新配置路由器，也不需要修改拓樸結(jié)構(gòu)和桌面。響應(yīng)時(shí)間特征允許你測(cè)量性能，設(shè)置可接受性標(biāo)準(zhǔn)，并跟蹤響應(yīng)質(zhì)量是否堅(jiān)持了標(biāo)準(zhǔn)。速率政策是為應(yīng)用提供沒有被使用的帶寬，所以，昂貴的帶寬從不會(huì)被浪費(fèi)。每種通信類型映射到一項(xiàng)特定的帶寬分配政策上，確保每種通信類型得到一個(gè)適當(dāng)?shù)膸?。像HTTP、FTP和Telnet這樣的IP協(xié)議，以及像SNA、NetBIOS和AppleTalk這樣的非IP協(xié)議，帶寬管理都應(yīng)該能自動(dòng)識(shí)別，并根據(jù)用戶的需要進(jìn)行有效的處理。 帶寬管理在IDC的業(yè)務(wù)中，通常針對(duì)提供不同的帶寬收取不同的費(fèi)用，所以帶寬管理成為Internet連接中提供服務(wù)質(zhì)量的重要保證。 對(duì)各種高級(jí)路由協(xié)議（如BGP等）的全面支持 完善的QOS支持能力在Internet連接層配置高端路由器，使用高速連接到IP骨干網(wǎng)，并以全冗余方式與核心層互連。4 Internet連接作為IDC網(wǎng)絡(luò)與公共IP骨干網(wǎng)絡(luò)的接口，Internet連接層提供了IDC與公共IP網(wǎng)的橋梁，它的運(yùn)行情況直接關(guān)系到IDC為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必須具有以下的特點(diǎn)：下圖示出了同一專用VLAN中兩類端口的關(guān)系。 專用VLAN是第2層的機(jī)制，在同一個(gè)2層域中有兩類不同安全級(jí)別的訪問端口。 路由的限制：如果使用HSRP，每個(gè)子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置在一個(gè)IDC中，流量的流向幾乎都是在服務(wù)器與客戶之間，而服務(wù)器間的橫向的通信幾乎沒有。這些局限主要有以下幾方面：這樣，屬于不同客戶的服務(wù)器之間的安全就顯得至關(guān)重要。 全面的攻擊簽名目錄可以檢測(cè)廣泛的攻擊，檢測(cè)基于內(nèi)容和上下文的攻擊 同時(shí)需要能夠允許部署大量Sensor和Director的可伸縮的體系結(jié)構(gòu)，在大型網(wǎng)絡(luò)環(huán)境中提供全面的覆蓋面，與現(xiàn)有網(wǎng)絡(luò)管理工具和實(shí)踐平滑集成的入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)包括兩個(gè)部件： Sensor和Director。當(dāng)收到安全性消息時(shí)，圖形用戶界面上相應(yīng)的主機(jī)狀態(tài)顏色和安全性消息組的