【正文】 C的IP地址而不是實(shí)際的服務(wù)器的IP地址。反向代理Cache（Reverse Proxy Caching，RPC）則是典型的數(shù)據(jù)中心的擴(kuò)展。集群是一個(gè)相對(duì)于配置后備Cache較好的解決方案，因?yàn)楹笳咴黾恿舜鞢ache管理的復(fù)雜程度。特別是代理Cache，對(duì)單一的Cache失敗很敏感。Cache集群可以通過把多個(gè)Cache連接到一個(gè)路由器、第4層交換機(jī)或Web交換機(jī)上來實(shí)現(xiàn)。 Cache集群 在一個(gè)位置配備多個(gè)Cache就是Cache集群（Cache Clustering）。如果請(qǐng)求的內(nèi)容已經(jīng)在Cache中，那么Cache直接把內(nèi)容發(fā)給客戶；如果請(qǐng)求的內(nèi)容不在Cache中，請(qǐng)求被送到服務(wù)器獲取內(nèi)容，一旦在服務(wù)器中找到了所需內(nèi)容，Cache響應(yīng)客戶，且如果內(nèi)容是可Cache的，在Cache中復(fù)制一個(gè)copy。 代理Cache 在代理Cache（Proxy Caching）環(huán)境中，每個(gè)Web瀏覽器都要配置代理Cache的IP地址，所有用戶的請(qǐng)求都會(huì)轉(zhuǎn)發(fā)到代理。 透明Caching 在透明代理Caching（Transparent Caching）環(huán)境中，Cache對(duì)于瀏覽器是透明的，瀏覽器不需要配置指向Cache。Web Cache的效率是用最大cache命中率和最低可能的請(qǐng)求/響應(yīng)延時(shí)來衡量的。有一些類型的Web的內(nèi)容是不能被Cache的，比如動(dòng)態(tài)的內(nèi)容，包括CGI腳本、RealAudio、ASP、加密的文件或與cookie有關(guān)的象shopping cards等。 Cache能力定義為一個(gè)對(duì)象可以被的潛力。 有許多的Web cache實(shí)現(xiàn)方法，包括代理、透明的以及反向代理cache。6 內(nèi)容傳送 網(wǎng)絡(luò)加速Web Cache技術(shù)是把大多數(shù)經(jīng)常被訪問的內(nèi)容存放的距客戶更近從而提高了Web的訪問速度。由于建立會(huì)話的握手會(huì)涉及交換公鑰，會(huì)產(chǎn)生計(jì)算資源的最大的消耗。如果用戶填了一個(gè)很長(zhǎng)的表格，比如抵押申請(qǐng)或信用證明，那么所有剛填寫的信息都會(huì)丟失，必須重新來過。當(dāng)幾分鐘沒有操作后，服務(wù)器會(huì)做超時(shí)處理，釋放這個(gè)會(huì)話ID。后續(xù)的有這個(gè)會(huì)話ID的請(qǐng)求都將被轉(zhuǎn)到同一臺(tái)服務(wù)器。作為客戶Hello消息的響應(yīng)，服務(wù)器挑選一個(gè)新的會(huì)話ID并把自己的帶有會(huì)話ID的Hello發(fā)回到客戶端。用戶瀏覽器與服務(wù)器之間開始的SSL Hello消息含有一個(gè)空的會(huì)話ID字段（如果要建立一個(gè)新的SSL會(huì)話）或上一次客戶使用得SSL會(huì)話。在一個(gè)安全的事務(wù)中，Web交換機(jī)維持從用戶Cookie（購物）到SSL會(huì)話ID（結(jié)帳）的轉(zhuǎn)化。SSL是端到端的加密機(jī)制，是當(dāng)今Web商務(wù)加密的主要方法。這個(gè)請(qǐng)求就有一個(gè)有優(yōu)先級(jí)設(shè)置的Cookie，這個(gè)優(yōu)先級(jí)會(huì)把用戶定向到合適得服務(wù)器群。如果進(jìn)入一個(gè)請(qǐng)求并且提供了一個(gè)Cookie，用戶的優(yōu)先級(jí)字段就會(huì)決定那個(gè)服務(wù)器群接受請(qǐng)求。一旦Cookie被設(shè)定，用戶的瀏覽器就被透明地刷新。 Web交換機(jī)可以讀到分布在多個(gè)包中的Cookie并有能力識(shí)別一個(gè)Cookie。 Cookie和SSL會(huì)話的連接鎖定為了使得一個(gè)電子商務(wù)的事務(wù)成功，客戶必須被鎖定到指定的服務(wù)器上直到事務(wù)完成。時(shí)，客戶的關(guān)于這個(gè)網(wǎng)站的DNS域名解析請(qǐng)求會(huì)被這個(gè)廣域網(wǎng)的負(fù)載平衡設(shè)備來處理，而這個(gè)廣域網(wǎng)的負(fù)載平衡設(shè)備會(huì)基于客戶端的IP地址范圍、客戶端與各節(jié)點(diǎn)的網(wǎng)絡(luò)延遲、各節(jié)點(diǎn)的狀態(tài)及負(fù)載等參數(shù)，然后根據(jù)一定的算法來判斷那個(gè)節(jié)點(diǎn)最適合用戶訪問，從而將這個(gè)節(jié)點(diǎn)的IP地址或VIP地址返回給客戶。 跨地域負(fù)載均衡前面講述的都是關(guān)于如何在本地局域網(wǎng)實(shí)現(xiàn)WWW等應(yīng)用服務(wù)器的負(fù)載平衡，那么如何實(shí)現(xiàn)應(yīng)用服務(wù)器的廣域網(wǎng)上的負(fù)載平衡，從而保證應(yīng)用的冗災(zāi)備份，以及如何有效的根據(jù)客戶的地域分布、廣域網(wǎng)絡(luò)的連通狀態(tài)或延遲時(shí)間來將客戶定向到他們最適合訪問的站點(diǎn)呢？這些都涉及到廣域網(wǎng)的負(fù)載平衡技術(shù)（Global Server Load Balance），常見的廣域網(wǎng)負(fù)載平衡產(chǎn)品都是基于DNS重定向原理來實(shí)現(xiàn)的，即當(dāng)客戶訪問某一個(gè)網(wǎng)站時(shí)，例如。gif/。它與第四層負(fù)載平衡設(shè)備比較起來：第七層負(fù)載平衡設(shè)備不僅能檢查TCP/IP數(shù)據(jù)包的TCP、UDP端口號(hào)（Transportation Layer），從而轉(zhuǎn)發(fā)給后臺(tái)的某一個(gè)服務(wù)器來處理，而且它能從會(huì)話層（Session Layer）以上來分析HTTP請(qǐng)求的URL，根據(jù)URL的不同將不同的HTTP請(qǐng)求交給不同的服務(wù)器來處理（可以具體到某一類文件，甚至某一個(gè)文件），甚至同一個(gè)URL請(qǐng)求可以讓多個(gè)服務(wù)器來響應(yīng)以分擔(dān)負(fù)載（當(dāng)客戶訪問某一個(gè)URL，發(fā)起HTTP請(qǐng)求時(shí)，它實(shí)際上要與服務(wù)器建立多個(gè)會(huì)話連接，得到多個(gè)對(duì)象－Object，例如。通過這種技術(shù)可將大量的、并發(fā)性的用戶請(qǐng)求分配到多個(gè)服務(wù)器來處理，從而降低單個(gè)服務(wù)器的負(fù)載，避免服務(wù)器的死機(jī)或響應(yīng)延遲過大！另外，這種負(fù)載平衡設(shè)備還可以幾乎實(shí)時(shí)地檢測(cè)到后臺(tái)服務(wù)器的硬件、操作系統(tǒng)、網(wǎng)絡(luò)甚至應(yīng)用級(jí)別的狀態(tài)，從而避免客戶的請(qǐng)求被失效的服務(wù)器處理。當(dāng)客戶訪問此WWW應(yīng)用時(shí)，客戶端的HTTP請(qǐng)求會(huì)先被第四層負(fù)載平衡設(shè)備接收到，它會(huì)基于第四層交換技術(shù)實(shí)時(shí)檢測(cè)后臺(tái)WWW服務(wù)器的負(fù)載，根據(jù)設(shè)定的算法進(jìn)行快速交換，交給當(dāng)前最可用、負(fù)載最輕的服務(wù)器來處理。通過這種技術(shù)可以提高WWW服務(wù)器的整體處理能力，并提高整個(gè)服務(wù)器系統(tǒng)的可靠性、可用性、可維護(hù)性、可擴(kuò)展性，保證WWW服務(wù)質(zhì)量的QOS，提供基于URL、基于內(nèi)容的交換（當(dāng)采用第七層負(fù)載平衡設(shè)備時(shí)），最終用一組低處理能力、低實(shí)現(xiàn)成本的主機(jī)提供大規(guī)模、高性能、可擴(kuò)展的WWW服務(wù)。當(dāng)然更為重要的一點(diǎn)是，作為數(shù)據(jù)中心的托管用戶，他們往往不希望數(shù)據(jù)中心服務(wù)提供商在他們的服務(wù)器上安裝任何軟件！正因?yàn)樯鲜龅慕鉀Q方案存在這樣或那樣的問題，因此，隨著Internet技術(shù)的發(fā)展，出現(xiàn)了基于應(yīng)用、甚至基于內(nèi)容的負(fù)載平衡設(shè)備，即我們通常所說的第四層、第七層智能負(fù)載平衡設(shè)備。它們之間即可以互為備份，也可以有專門一臺(tái)備份服務(wù)器，它在群集正常時(shí)不承擔(dān)任何任務(wù)，但是當(dāng)群集中的某一臺(tái)服務(wù)器發(fā)生故障時(shí)，它會(huì)自動(dòng)激活，從而接管故障服務(wù)器的任務(wù)?；閭浞荩ˋctive/Standby）方式下，其中一臺(tái)服務(wù)器缺省處于活動(dòng)狀態(tài)（Active/Primary），而另一臺(tái)處于睡眠狀態(tài)（Standby/Backup），當(dāng)主服務(wù)器系統(tǒng)死機(jī)或應(yīng)用不能正常服務(wù)時(shí)，備份服務(wù)器會(huì)自動(dòng)變成活動(dòng)狀態(tài)，從而接管原主服務(wù)器的任務(wù)，保證應(yīng)用能夠繼續(xù)服務(wù)。此外，還有一些基于群集（Cluster）技術(shù)的軟件解決方案來保證WWW服務(wù)的高可用性。它的優(yōu)點(diǎn)是：實(shí)現(xiàn)簡(jiǎn)單、實(shí)施容易、成本低；但是，它的缺點(diǎn)也非常明顯：不是真正意義上的負(fù)載均衡，DNS服務(wù)器將HTTP請(qǐng)求平均地分配到后臺(tái)的WWW服務(wù)器上，而不考慮每個(gè)WWW服務(wù)器當(dāng)前的負(fù)載情況；如果后臺(tái)的WWW服務(wù)器的配置和處理能力不同，最慢的WWW服務(wù)器將成為系統(tǒng)的瓶頸，處理能力強(qiáng)的服務(wù)器不能充分發(fā)揮作用；另外未考慮容錯(cuò)，如果后臺(tái)的某一臺(tái)WWW服務(wù)器出現(xiàn)故障，DNS服務(wù)器仍會(huì)把DNS請(qǐng)求分配到這臺(tái)故障服務(wù)器上，導(dǎo)致對(duì)客戶端的不能響應(yīng)。以前作為一個(gè)網(wǎng)站通常采用的方式是WWW服務(wù)器由一臺(tái)硬件配置非常高的UNIX服務(wù)器來擔(dān)當(dāng)，盡管成本昂貴，但這樣做仍然不能保證它的可靠性、可用性、可維護(hù)性：一是因?yàn)橐慌_(tái)服務(wù)器仍作不到硬件級(jí)的完全容錯(cuò)，保證不了可靠性；二是因?yàn)橐慌_(tái)服務(wù)器的網(wǎng)絡(luò)帶寬有限，保證不了可用性；三是因?yàn)楫?dāng)這臺(tái)服務(wù)器進(jìn)行硬件或軟件升級(jí)時(shí)，不可避免地要中斷WWW服務(wù)，保證不了可維護(hù)性。因此，如果數(shù)據(jù)中心的服務(wù)提供商能夠給客戶提供這種高可用性服務(wù)，就可以像保險(xiǎn)公司的保險(xiǎn)費(fèi)一樣，來向客戶收取一定的增值服務(wù)費(fèi)用！并且對(duì)數(shù)據(jù)中心的各種類型用戶都帶來好處：對(duì)主機(jī)租用用戶來講，他們的服務(wù)器硬件本身都是租用數(shù)據(jù)中心的，因此自然希望數(shù)據(jù)中心能夠?qū)Ψ?wù)器系統(tǒng)的可用性提出更高的保證；對(duì)主機(jī)托管用戶來講，盡管服務(wù)器是自身攜帶的，但是除了極少部分大的網(wǎng)站有資金、有技術(shù)能力來自行解決關(guān)鍵服務(wù)器系統(tǒng)的高可用性問題外，大多數(shù)的網(wǎng)站并不具備這樣的條件，他們希望數(shù)據(jù)中心服務(wù)提供商能夠作為他們的Virtual IT部門，能夠給他們提供一個(gè)完善的解決方案。作為數(shù)據(jù)中心托管用戶的主體，例如ICP網(wǎng)站、電子商務(wù)網(wǎng)站、企業(yè)網(wǎng)站等，它們托管或租用在數(shù)據(jù)中心的大部分服務(wù)器都是基于Internet TCP/IP協(xié)議的應(yīng)用服務(wù)器，例如WWW服務(wù)器、FTP服務(wù)器等。這在本節(jié)將有具體闡述。5 內(nèi)容交換內(nèi)容交換提供數(shù)據(jù)流的負(fù)載均衡以提高IDC的網(wǎng)絡(luò)性能，特別是服務(wù)器的響應(yīng)性能。對(duì)本地帶寬管理也可以通過四層交換機(jī)來實(shí)現(xiàn)。 利用路由器和交換機(jī)的特定QOS（Quality of Service）技術(shù)，也能實(shí)現(xiàn)帶寬管理。它不能是一個(gè)網(wǎng)絡(luò)故障點(diǎn)，如果帶寬管理器發(fā)生故障或者被關(guān)掉，它需要會(huì)像一根電纜一樣發(fā)揮作用。 輕松部署 硬件帶寬管理器通常位于網(wǎng)絡(luò)瓶頸上，通常在路由器和核心交換機(jī)之間。 流量控制和監(jiān)視控制 IDC的帶寬管理是非常復(fù)雜的業(yè)務(wù)和技術(shù)控制，所以，需要一個(gè)簡(jiǎn)單易用的進(jìn)行操作的管理界面。網(wǎng)絡(luò)總結(jié)以及特定上下文的報(bào)表提供了對(duì)網(wǎng)絡(luò)趨勢(shì)的輕松訪問。 測(cè)量、分析和生成報(bào)表 網(wǎng)絡(luò)管理員在制訂一項(xiàng)帶寬管理策略之前及之后必須分析其網(wǎng)絡(luò)應(yīng)用通信的模式，以測(cè)量其是否成功。而且獲得保證的音頻或視頻流動(dòng)速率，避免出現(xiàn)惱人的不穩(wěn)定性。 速率政策（Rate policies）限制或保證每個(gè)單獨(dú)對(duì)話的帶寬，抑制那些貪婪的應(yīng)用通信，或者保護(hù)對(duì)時(shí)延敏感的流量。 保證應(yīng)用性能 帶寬管理需要保證關(guān)鍵的和交互式的應(yīng)用獲得其所需要的帶寬，同時(shí)限制普通應(yīng)用對(duì)帶寬的需求。例如，你可以將SAP/R3通信量根據(jù)一個(gè)特定客戶式特定服務(wù)器隔開，使TN3270交互式通信量與打印通信量分開，甚至把一個(gè)H。只有這樣才能對(duì)用戶提供完善的帶寬管理機(jī)制。 識(shí)別網(wǎng)絡(luò)流量 IDC的帶寬管理需要支持多種協(xié)議和應(yīng)用程序，并且可以根據(jù)自己的需要，自行設(shè)定相應(yīng)的標(biāo)準(zhǔn)來區(qū)分更多的類型。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。 具備豐富的接口類型 高速的路由交換能力借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。 具備豐富的接口類型 高速的路由交換能力目前，Cisco的Catalyst Switch 6000/6500系列交換機(jī)支持專用VLAN。 專用VLAN的應(yīng)用在多客戶的數(shù)據(jù)中心是非常有效的，因?yàn)镮DC的網(wǎng)絡(luò)中，服務(wù)器只需與自己的缺省網(wǎng)關(guān)連接，一個(gè)專用VLAN不需要多個(gè)VLAN和IP子網(wǎng)就提供了這樣的安全連接。簡(jiǎn)單地說，在一個(gè)專用VLAN內(nèi)，專用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口（混雜端口和專用端口）。與服務(wù)器連接的端口稱作專用端口（private port），一個(gè)專用端口限定在第2層，它只能發(fā)送流量到混雜端口，也只能檢測(cè)從混雜端口來的流量。這種特性是Cisco公司的專有技術(shù)，但特別適用于IDC。Cisco在IP地址管理方案中引入了一種新的VLAN機(jī)制，服務(wù)器同在一個(gè)子網(wǎng)中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。 IP地址的緊缺：IP子網(wǎng)的劃分勢(shì)必造成一些地址的浪費(fèi) VLAN的限制：LAN交換機(jī)固有的VLAN數(shù)目的限制然而，這種分配每個(gè)客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的擴(kuò)展方面的局限。一個(gè)保證托管客戶之間安全的通用方法就是給每個(gè)客戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)。 適合特大規(guī)模分布式網(wǎng)絡(luò)的可伸縮性 專用VLANIDC環(huán)境是一個(gè)典型的多客戶的服務(wù)器群結(jié)構(gòu)，每個(gè)托管客戶從一個(gè)公共的數(shù)據(jù)中心中的一系列服務(wù)器上提供Web服務(wù)。 支持廣泛的速度和接口類型，包括10/100 Mbps以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI 對(duì)未經(jīng)授權(quán)活動(dòng)的實(shí)時(shí)應(yīng)對(duì)可以阻止黑客訪問網(wǎng)絡(luò)或終止違規(guī)會(huì)話 入侵檢測(cè)系統(tǒng)通常具有的關(guān)鍵特性包括：基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)，能夠監(jiān)控整個(gè)數(shù)據(jù)網(wǎng)絡(luò)，需要是具備最新攻擊檢測(cè)功能的穩(wěn)健的全天候監(jiān)控和應(yīng)答系統(tǒng)，能在本地、地區(qū)和總部監(jiān)視控制臺(tái)之間指導(dǎo)和轉(zhuǎn)發(fā)告警的分布式入侵檢測(cè)系統(tǒng)。Sensor不影響網(wǎng)絡(luò)性能，它分析各個(gè)數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。它可以在Internet和內(nèi)部網(wǎng)環(huán)境中操作，保護(hù)整個(gè)網(wǎng)絡(luò)。 入侵檢測(cè)入侵檢測(cè)（Intrude Detection）具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。安全掃描服務(wù)器能提供實(shí)時(shí)入侵檢測(cè)和實(shí)時(shí)報(bào)警。系統(tǒng)掃描通過比較規(guī)定的安全策略和實(shí)際的主機(jī)配置來發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，包括缺少安全補(bǔ)丁、詞典中可猜的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登錄權(quán)限、不安全的服務(wù)配置和代表攻擊的可疑的行為。安全掃描服務(wù)器同時(shí)能進(jìn)行系統(tǒng)掃描。 安全掃描服務(wù)器可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分析，并且在實(shí)行過程中支持基于策略的安全風(fēng)險(xiǎn)管理過程。 漏洞檢測(cè)漏洞檢測(cè)（Vulnerability Scanner）就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。 對(duì)于任意嘗試過8次以上SYN的數(shù)據(jù)流，WEB交換機(jī)將終止這個(gè)流，并且停止處理同樣SYN，源地址，目的地址及端口號(hào)對(duì)的數(shù)據(jù)流。 對(duì)于HTTP數(shù)據(jù)流，WEB交換機(jī)必須在HTTP流啟動(dòng)后的16秒內(nèi)接受一個(gè)有效的幀，否則它將丟棄這個(gè)幀并中斷這個(gè)流； 目的地址是環(huán)回地址； 源地址不是單播地址； 源地址與目的地址相同； 長(zhǎng)度太短；3。2。 防范攻擊的措施 1。其次，DDOS也可以利用協(xié)議的缺陷，例如，它可以通過SYN打開半開的