【正文】 1，然后再送往目的地。 10。 0。 業(yè)界提出了一種技術(shù)，使企業(yè)可以從私有地址遷移到全球地址空間，這種技術(shù)就是網(wǎng)絡(luò)地址的轉(zhuǎn)換（ NAT）。具有公網(wǎng) IP 地址主機(jī)或路由器可以和 INTERNET 網(wǎng)上的任何節(jié)點(diǎn)相連。 xxxxxxxx 因此，路由總結(jié)又稱為子網(wǎng)的集結(jié)或超級子網(wǎng)，它可得到縮小路由表，降低路由器內(nèi)存的使用，并減少路由協(xié)議產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)流量。分子網(wǎng)是將網(wǎng)絡(luò)號向主機(jī)號部分?jǐn)U展、即網(wǎng)絡(luò)邊界向右移的過程，而路由總結(jié)則是劃分子網(wǎng)的逆過程，通過將子網(wǎng)的邊界向左移的過程，可用一個(gè)較大的子網(wǎng)號來代表一組連續(xù)的子網(wǎng)，如下所示：這一疊合路徑可代表 16 個(gè)連續(xù)的子網(wǎng)。 xxxxxxxx。 xxxxxxxx。 xxxxxxxx A 類地址 B 類地址以前二字節(jié)（ 16 位）表示網(wǎng)絡(luò)號，以 10 開頭，后二字節(jié)（ 16 位）表示主機(jī)號，如下所示： 10xxxxxx。 傳統(tǒng)的方式， IP 協(xié)議采用分層地址結(jié)構(gòu)，它由 4 個(gè)字節(jié)（ 32 位） 組成，每個(gè)字節(jié)用三位十進(jìn)制數(shù)（ 0~255）表示，每個(gè)字節(jié)之間用圓點(diǎn)號隔開，它包含兩個(gè)部分：網(wǎng)絡(luò)號和主機(jī)節(jié)點(diǎn)號。下面先簡單介紹 IP 地址規(guī)劃的一般原則。 在后臺管理平臺與前臺核心層之間放置單向防火墻，使得在收集網(wǎng)絡(luò)流量數(shù)據(jù)的同時(shí)又保證了其安全性。在一期中先不選用 Cisco Catalyst 6500，將來業(yè)務(wù)發(fā)展了再擴(kuò)展。服務(wù)器接入層 在服務(wù)器接入層，采用交換機(jī) Cisco Catalyst 3500 將服務(wù)器與核心層連接起來，同時(shí)可以根據(jù)用戶的需求，放置防火墻設(shè)備， Web 交換機(jī)以及安全監(jiān)控設(shè)備 ，從而為用戶提供更高的安全保障和網(wǎng)絡(luò)性能。 針對這種需求，分布層不需要為其提供高層交換能力，而是需要為其提供高速高性能的二、三層交換。兩臺交換機(jī)之間用兩條 GE 連接，采用千兆以太網(wǎng)通道（ GEC）技術(shù)捆綁兩個(gè)物理連接，形成一個(gè)負(fù)載均衡的邏輯連接。 9 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) Inter 連接層 IDC 的 Inter 連接層配置兩臺 GSR，使用 100BaseT 或者 1000Base 高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核心層互連。 網(wǎng)絡(luò)安全管理 有些網(wǎng)絡(luò)管理軟件還支持網(wǎng)絡(luò)管理員分權(quán)機(jī)制，不同級別的登陸用戶在管理系統(tǒng)中具有不同的管理權(quán)限。 在網(wǎng)管中心管理員可以啟動利用網(wǎng)絡(luò)管理軟件對全網(wǎng)的局域網(wǎng)和廣域網(wǎng)性能進(jìn)行直接監(jiān)控。 性能管理 網(wǎng)絡(luò)管理解決方案中為 IDC 網(wǎng)絡(luò)管理員提供了一組網(wǎng)絡(luò)性能和 IP 電話服務(wù)質(zhì)量的管理工具。 利用網(wǎng)絡(luò)管理軟件對 IDC 網(wǎng)絡(luò)設(shè)備參數(shù)進(jìn)行集中配置和對網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)版本進(jìn)行升級管理。網(wǎng)絡(luò)管理員還可以在管理控制臺上直接啟動設(shè)備管理工 具察看出現(xiàn)故障的的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備當(dāng)前的詳細(xì)信息。通過定義對全網(wǎng)的 IP 節(jié)點(diǎn)設(shè)備，通訊鏈路等多方面網(wǎng)絡(luò)資源進(jìn)行自動定期輪詢檢測，可發(fā)現(xiàn)節(jié)點(diǎn)設(shè)備的硬件故障和網(wǎng)絡(luò)鏈路中斷。根據(jù)地址掃描的發(fā)現(xiàn)的結(jié)果，將在管理服務(wù)的管理數(shù)據(jù)庫中生成全網(wǎng)的網(wǎng)絡(luò)拓?fù)鋱D。 網(wǎng)絡(luò)拓?fù)涔芾? 為對 IDC 網(wǎng)絡(luò)進(jìn)行系統(tǒng)化管理，管理員首先需要對全網(wǎng)的當(dāng)前狀態(tài)有一個(gè)準(zhǔn)確、直觀的了解。 MPLS VPN MPLS VPN 為用戶提供了一種更加靈活有效的訪問方式，用戶可以通過公網(wǎng)平臺上自己私有的 MPLS VPN 對自己的設(shè)備進(jìn)行訪問，而且其地址空間也可以是其自己的私有地址，由于地址空 間是私有的，黑客幾乎無法對其進(jìn)行攻擊。 專線 在 IDC 設(shè)置路由器，通過常用的專線方式，如 DDN， Frame Relay 等方式提供用戶訪問自己的服務(wù)器。在用戶對服務(wù)器進(jìn)行更新時(shí)，對數(shù)據(jù)的安 全性通常會有較高的要求，因此簡單的通過前臺來更新服務(wù)器對于從事電子商務(wù)的網(wǎng)站是不適用的。 客戶中心 由于客戶將設(shè)備托管給 IDC，用戶對自己的設(shè)備需要定期的檢查和管理。而需要由多個(gè)用戶共享的資源和服務(wù)，則可以通過 VLAN Trunk 和全通口與各個(gè)需要共享資源的服務(wù)器通信。 本解決方案提供了完整的后臺管理平臺，對于每一個(gè)服務(wù)器通過兩塊網(wǎng)卡，一塊連接到前臺的接入層，為 Inter 用戶提供服務(wù)，另一塊連 接到后臺管理系統(tǒng)的接入交換機(jī)。 Web 交換機(jī)根據(jù)用戶內(nèi)容的訪問量的大小，動態(tài)地?cái)U(kuò)展用戶服務(wù)器的能力，當(dāng) Web 交換機(jī)發(fā)現(xiàn)某些申請了這項(xiàng)服務(wù)的用戶的某些內(nèi)容的訪問量達(dá)到一定的門限時(shí)，交換機(jī)將動態(tài)復(fù)制熱點(diǎn)內(nèi)容到溢出備份服務(wù)器，當(dāng)發(fā)現(xiàn)這些內(nèi)容的訪問量下降以后再將這些內(nèi)容自動的刪除掉。 Web 交換機(jī)的智能 Cache 旁路能力除去了 Cache 的重新定向動態(tài)內(nèi)容請求的負(fù)擔(dān)，因此提高了性能。 代理、透明式和反向代理 Web Cache 把所有客戶的請求都推向 Cache 服務(wù)器，這給以產(chǎn)生效益為目的想利用 Web Cache 強(qiáng)行把所有請求（不管內(nèi)容）推向不能完成請求的服務(wù)器的站點(diǎn)造成了很大的問題。服務(wù)器直接向客戶答復(fù)，或轉(zhuǎn)發(fā)到 RPC 的交換機(jī)。反向代理 Cache 是 Web 服務(wù)器的代理，而不是客戶的代理。如果一個(gè)網(wǎng)絡(luò)中等 Cache 失敗，所有的配置使用它的瀏覽器都會失去與 Web 的連接。 Cache集群提供冗余，增加了 Cache 的性能合擴(kuò)展能力。當(dāng)發(fā)起一個(gè)內(nèi)容請求時(shí)，每個(gè)請求都會轉(zhuǎn)到代理 Cache 的 IP 地址，不管是對動態(tài)或靜態(tài)內(nèi)容的請求。 Cache 的命中率受一系列因素的影響，包括工作負(fù)載、內(nèi)存和磁盤大小、內(nèi)容老化算法等。 Web Cache 只能 cache 靜態(tài)的內(nèi)容，如 gif、 jpg 和 PDF 等。 Web cache 可以在企業(yè)的 Inter 接 入處配置，在接入設(shè)備和ISP POP 中骨干鏈路之間，或在 ISP 網(wǎng)絡(luò)之間的邊緣。 Web 交換機(jī)解決方案為加密會話提供鎖定連接，不僅提高了效率和用戶滿意度，也顯著地減少了服務(wù)器上應(yīng)用的壓力。 為了優(yōu)化資源，當(dāng)一個(gè)會話在一個(gè)定義的時(shí)間段處于休止?fàn)顟B(tài)后， Web服務(wù)器會終止這個(gè)會話。但是，這并不是下面的電子事務(wù)使用的 SSL 會話 ID。 基于 SSL 會話 ID 維持持續(xù)性優(yōu)化了電子商務(wù)的商務(wù)完整性，保證了安全和性能的均衡。如果沒有提供 Cookie，請求要么被送到認(rèn)證服務(wù)器，要么交換機(jī)內(nèi)部產(chǎn)生一個(gè)新的 Cookie。 Cookie 可以由 Web 交換機(jī)內(nèi)部產(chǎn)生或在服務(wù)器上產(chǎn)生。常見的廣域網(wǎng)負(fù)載平衡算法有：輪詢（ Round－ Robin）、加權(quán)輪詢（ Weighted Round－ Robin）、隨機(jī)（ Random）、最少連接數(shù)（ Least Connection）、最低 CPU 利用率（ Lowest CPU Utilization）、 HTTP 重定向（ HTTP Redirection）等。 jpg 文檔，當(dāng)這些對象都下 載到本地后，才組成一個(gè)完整的頁面）。 應(yīng)用負(fù)載均衡 第七層應(yīng)用負(fù)載平衡設(shè)備是近一、兩年才出現(xiàn)的最新技術(shù)，它主要用于實(shí)現(xiàn)WWW 應(yīng)用的負(fù)載平衡和服務(wù)質(zhì)量保證。 以下是關(guān)于采用第四層負(fù)載平衡設(shè)備實(shí)現(xiàn) WWW 服務(wù)的 負(fù)載平衡的一般介紹：在第四層負(fù)載平衡設(shè)備上設(shè)置 WWW 服務(wù)的虛擬 IP 地址（ Virtual IP Address），這個(gè)虛擬 IP 地址是 DNS 服務(wù)器中解析到的 WWW 服務(wù)器的 IP 地址，對客戶端是可見的。但是，它也存在以下缺點(diǎn)：安裝、配置復(fù)雜，難于維護(hù)和管理；群集軟件與服務(wù)器的硬件平臺和操作系統(tǒng)密切相關(guān)，不能做到設(shè)備無關(guān)性和無縫升級；實(shí)現(xiàn)負(fù)載平衡的算法簡單，一般是根據(jù)輪詢（ Round Robin），有些 WWW 群集軟件可支持設(shè)定權(quán)重（ Weighting）算法，但權(quán)重（ weighting）是人為設(shè)定，并不能客觀反映每一臺服務(wù)器的 HTTP請求響應(yīng)能力以及當(dāng)前負(fù)載情況 ；與硬件實(shí)現(xiàn)方案（ Layer4 的負(fù)載平衡交換設(shè)備）比較起來，性能較低，另外支持的 Web Site 的規(guī)模較?。?WWW 服務(wù)器最多可以到 16 臺）；不能實(shí)現(xiàn) HTTPS 等特殊應(yīng)用的負(fù)載平衡（這是因?yàn)樵?HTTPS 應(yīng)用中，客戶端和服務(wù)器端要進(jìn)行身份驗(yàn)證、交換證書和密鑰，所以客戶端和服務(wù)器端應(yīng)一一對應(yīng)，同一客戶的請求應(yīng)由同一臺服務(wù)器來處理）。它的通用做法是通過在操作系統(tǒng)的基礎(chǔ)上安裝操作系統(tǒng)廠商的群集軟件或第三方的群集軟件（絕大多數(shù)支持 WWW 服務(wù) 的群集），例如 Microsoft Cluster Server、 Turbo Linux、 Cluster Server 等，來做到應(yīng)用級的互為備份或負(fù)載平衡。 基于上述原因，人們提出了 DNS 輪詢方案（ DNS－ Round－ Robin）試圖解決 WWW 服務(wù)的可用性問題，即多臺 WWW 鏡像主機(jī)在 DNS 中對應(yīng)同一域名，當(dāng)用戶訪問 WWW，要求 DNS 服務(wù)器解析域名時(shí)， DNS 服務(wù)器按 DNS 請求的先后順序把域名依次解析成其中一臺 WWW 主機(jī)的 IP 地址，從而把任務(wù)平均分擔(dān)到數(shù)臺 WWW 主機(jī)上，來提高 WWW 服務(wù)的整體性能。對于這些用戶而言，如何保證這些關(guān)鍵服務(wù)器的高可靠性、高可用性和可擴(kuò)展性是非常重要的。內(nèi)容交換同時(shí)對應(yīng)用層的數(shù)據(jù)提供適當(dāng)?shù)目刂埔詽M足應(yīng)用的要求，比如對 SSL（ Security Socket Layer）連接的控制。比如 Cisco 公司的 CAR（ Committed Access Rate）技術(shù)。為了網(wǎng)絡(luò)性能的考慮，帶寬管理器需要與現(xiàn)有的網(wǎng)絡(luò)順利集成，不需要任何新的協(xié)議或者重新配置路由器，也不需要修改拓樸結(jié)構(gòu)和桌面。響應(yīng)時(shí)間特征允許你測量性能，設(shè)置可接受性標(biāo)準(zhǔn)，并跟蹤響應(yīng)質(zhì)量是否堅(jiān)持了標(biāo)準(zhǔn)。速率政策是為應(yīng)用提供沒有被使用的帶寬，所以，昂貴的帶寬從不會被浪費(fèi)。每種通信類型映射到一項(xiàng)特定的帶寬分配政策上，確保每種通信類型得到一個(gè)適當(dāng)?shù)膸挕? 像 HTTP、 FTP 和 Tel 這樣的 IP 協(xié)議，以及像 SNA、 NetBIOS 和 AppleTalk這樣的非 IP 協(xié)議，帶寬管理都應(yīng)該能自動識別，并根據(jù)用戶的需要進(jìn)行有效的處理。 帶寬管理 在 IDC 的業(yè)務(wù)中，通常針對提供不同的帶寬收取不同的費(fèi)用，所以帶寬管理成為 Inter 連接中提供服務(wù)質(zhì)量的重要保證。 對各種高級路由協(xié)議（如 BGP 等）的全面支持 完善的 QOS 支持能力 在 Inter 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核心層互連。 4 Inter 連接 作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Inter 連接層提供了 IDC 與公共IP 網(wǎng)的橋梁，它的運(yùn)行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必須具有以下的特點(diǎn)： 下圖示出了同一專用 VLAN 中兩類端口的關(guān)系。 專用 VLAN 是第 2 層的機(jī)制，在同一個(gè) 2 層域中有兩類不同安全級別的訪問端口。這些局限主要有以下幾方面： ? VLAN 的限制： LAN 交換機(jī)固有的 VLAN 數(shù)目的限制 ? 復(fù)雜的 STP：對于每個(gè) VLAN，一個(gè)相關(guān)的 Spanningtree 的拓?fù)涠夹枰芾? ? IP 地址的緊缺： IP 子網(wǎng)的劃分勢必造成一些地址的浪費(fèi) ? 路由的限制：如果使用 HSRP，每個(gè)子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置 在一個(gè) IDC 中，流量的流向幾乎都是在服務(wù)器與客戶之間，而服務(wù)器間的橫向的通信幾乎沒有。這樣，屬于不同客戶的服務(wù)器之間的安全就顯得至關(guān)重要。如果一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流遇到未經(jīng)授權(quán)的活動，例如 SATAN 攻擊、 PING 攻擊或秘密的研究項(xiàng)目代 碼字， Sensor 可以實(shí)時(shí)檢測政策違規(guī)，給 Director 管理控制臺轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪除入侵者。實(shí)時(shí)入侵檢測系統(tǒng)解決方案，用于檢測、報(bào)告和終止整個(gè)網(wǎng)絡(luò)中未經(jīng)授權(quán)的活動。系統(tǒng)安全掃描還可以修復(fù)有問題的系統(tǒng)，自動產(chǎn)生文件所 有權(quán)和文件權(quán)限的修復(fù)腳本。另外，互 聯(lián)網(wǎng)掃描執(zhí)行預(yù)定的或事件驅(qū)動的網(wǎng)絡(luò)探測，包括對網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、 Web服務(wù)器、防火墻和應(yīng)用程序的檢測，從而去識別能被入侵者利用來進(jìn)入網(wǎng)絡(luò)的漏洞。 在核心交換機(jī)上我們可以用線速的 ACL 來達(dá)到上述類似的幀丟棄策略，我們還可以用 CAR 的方法對 ping 及 SYN 的數(shù)據(jù)流進(jìn)行帶寬控制，以預(yù)防 DDOS的攻擊。 2。其次， DDOS 也可以利用協(xié)議的缺陷，例如，它可以通過 SYN 打開半開的 TCP 連接，這是一個(gè)很老且早已為人所熟知的協(xié)議缺陷。該工具將攻擊一個(gè)目標(biāo)的任務(wù)分配給所有可能的 DoS服務(wù)程序，這就是它被叫做分布式 DoS 的原因。與其他分布式概念類似，分布式拒絕服務(wù)可以方便地協(xié)調(diào)從多臺計(jì)算機(jī)上啟動的進(jìn)程。在這種情況下，服務(wù)器只好等待，有時(shí)甚至?xí)却?1 分鐘才能關(guān)閉此次連接。 當(dāng)網(wǎng)絡(luò)設(shè)備 得到 AAA 的應(yīng)答后，可以根據(jù)應(yīng)答的內(nèi)容作出相應(yīng)的操作，如果應(yīng)答為 DENY 則關(guān)閉掉當(dāng)前的 SESSION 進(jìn)程；如果為 PERMIT 則根據(jù) AAA服務(wù)器返回的用戶權(quán)限為該用戶開啟 SESSION 進(jìn)程，并將用戶所執(zhí)行的操作向AAA 服務(wù)器進(jìn)行報(bào)告。 RADIUS/TACACS+是實(shí)施 AAA 常用的協(xié)議，認(rèn)證軟件需要有完整的記帳功能，并且可以將 USER 信息直接導(dǎo)入軟件的用戶數(shù)據(jù)庫，極大 方便的 AAA 服務(wù)的用戶管理。 對于 IDC 基本服務(wù)的安全需求如下： ? AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能 ? 防 Dos 黑客攻擊功能 ? 線速 ACL 功能 對于 IDC 增值服務(wù)的安全需求如下： ? AAA 服務(wù)，提供