吉通上海公司idc方案項(xiàng)目建議書

1、第 二 章 網(wǎng) 絡(luò) 方 案1 概述如下圖是整個(gè) IDC 的建設(shè)框架，本章將闡述網(wǎng)絡(luò)框架的建設(shè)以及網(wǎng)絡(luò)管理。網(wǎng)絡(luò)架構(gòu)運(yùn)行在布線系統(tǒng)，供電系統(tǒng)等基礎(chǔ)系統(tǒng)之上，同時(shí)為主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)提 供平臺(tái)。而在橫向結(jié)構(gòu)上， IDC 的網(wǎng)絡(luò)運(yùn)行離不開(kāi)網(wǎng)絡(luò)管理和運(yùn)營(yíng)維護(hù)。網(wǎng)絡(luò)架構(gòu)的可靠， 穩(wěn)定，高效，安全，可擴(kuò)展，可管理性將直接關(guān)系到上層的主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，也將直 接關(guān)系到 IDC 業(yè)務(wù)的順利開(kāi)展和運(yùn)行。 總之，網(wǎng)絡(luò)架構(gòu)是 IDC 建設(shè)框架中重要而又承上啟 下的一環(huán)，網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)是否完善將直接影響到 IDC 建設(shè)的質(zhì)量。IDC 網(wǎng)絡(luò)架構(gòu)的整體設(shè)計(jì)框架如下圖所示。IDC 的業(yè)務(wù)將包含接入業(yè)務(wù)，空間出租業(yè)務(wù)，托管

2、業(yè)務(wù)，管理業(yè)務(wù)和增值業(yè)務(wù)。本章 將在介紹 IDC 網(wǎng)絡(luò)設(shè)計(jì)的同時(shí)， 闡述每個(gè)設(shè)計(jì)要點(diǎn)對(duì) IDC 業(yè)務(wù)的影響和重要性。 因?yàn)樯蠄D 中整個(gè) IDC 建設(shè)框架的最終目的是為了 IDC 業(yè)務(wù)的開(kāi)展和拓展， 在這個(gè)框架的每個(gè)部分都 必須貫穿為 IDC 業(yè)務(wù)開(kāi)展服務(wù)的宗旨。本章將從托管服務(wù)，網(wǎng)絡(luò)安全， Internet 連接，內(nèi)容交換，內(nèi)容傳送，后臺(tái)連接和網(wǎng)絡(luò) 管理等方面具體闡述 IDC 網(wǎng)絡(luò)解決方案對(duì) IDC 業(yè)務(wù)的針對(duì)性設(shè)計(jì)。2 托管服務(wù)IDC 的基本業(yè)務(wù)包括網(wǎng)站托管( Web hosting)和主機(jī)托管( Co-location)兩大類。其中網(wǎng)站托管分為共享式和獨(dú)享式兩種。由于其業(yè)務(wù)模式的不同，使得

3、其在對(duì)網(wǎng)絡(luò)設(shè)計(jì)時(shí)的要 求也不相同。以下分別給出基于兩種不同模式時(shí)的網(wǎng)絡(luò)全貌?；谥鳈C(jī)托管的 IDC 網(wǎng)絡(luò)全貌主機(jī)托管是 IDC 初期為其用戶提供的一種基礎(chǔ)服務(wù)。網(wǎng)站及企業(yè)用戶自身?yè)碛腥舾煞?務(wù)器，并把它放置在 IDC 的機(jī)房里，由客戶自己進(jìn)行維護(hù)。主機(jī)托管業(yè)務(wù)的特點(diǎn)：投資降低，用戶可使用已購(gòu)買的服務(wù)器等設(shè)備，無(wú)需再作設(shè)備 投資，并且可采用 IDC 提供的線路。該業(yè)務(wù)適合于自身有較強(qiáng)的網(wǎng)絡(luò)運(yùn)行維護(hù)經(jīng)驗(yàn)并在數(shù)據(jù)中心建立之前已投入人力物力 建設(shè)了網(wǎng)站設(shè)備的大型企業(yè)用戶。如著名的 Yahoo、eBay、Amazon。 com 都采用了主機(jī)托 管業(yè)務(wù)。提供主機(jī)托管業(yè)務(wù)的 IDC 向其用戶提供的業(yè)務(wù)主要包

4、括與 Internet 網(wǎng)的連接以及提供獨(dú) 立安全的場(chǎng)地，這樣對(duì)于 IDC 而言在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮提高網(wǎng)絡(luò)連接的速度及可靠 性，從而為用戶提供高質(zhì)量的服務(wù)。對(duì)主機(jī)托管業(yè)務(wù)， IDC 可為客戶提供 n x 100M或者千兆獨(dú)占帶寬的電信級(jí)專業(yè)機(jī)房租 用服務(wù)，包括隨時(shí)可擴(kuò)充的獨(dú)占帶寬UPS不間斷電源保障 24小時(shí)實(shí)時(shí)攝像監(jiān)控電源控制系統(tǒng) 保安系統(tǒng)消防系統(tǒng)以及可選的機(jī)柜出租：標(biāo)準(zhǔn)電信級(jí)機(jī)柜：高 2M、深 1M 或 1。2米、寬 19 英寸每臺(tái)機(jī)柜提供獨(dú)立電源控制高速以太網(wǎng)接口獨(dú)立風(fēng)扇設(shè)備基于主機(jī)托管業(yè)務(wù) IDC 的網(wǎng)絡(luò)全貌如下圖所示， 網(wǎng)絡(luò)分為 Internet 連接層、核心層和服 務(wù)器接入層

5、。在提供主機(jī)托管服務(wù)給用戶時(shí)， IDC 服務(wù)提供商將負(fù)責(zé)提供 Internet 連接層、核心層、 分布層及服務(wù)器接入層的設(shè)備并保障其穩(wěn)定運(yùn)行。用戶則需要自己負(fù)責(zé)服務(wù)器以及包含防 火墻等在內(nèi)的內(nèi)部網(wǎng)絡(luò)。有關(guān)網(wǎng)絡(luò)各層的描述，請(qǐng)參見(jiàn)后續(xù)相應(yīng)章節(jié)?；诰W(wǎng)站托管的 IDC 網(wǎng)絡(luò)全貌網(wǎng)站托管是 IDC 經(jīng)過(guò)發(fā)展后而開(kāi)展的一項(xiàng)業(yè)務(wù)。用戶采用 IDC 提供的服務(wù)器來(lái)存放數(shù) 據(jù)，運(yùn)行軟件?？傮w來(lái)講數(shù)據(jù)中心的硬件設(shè)備主要包括：服務(wù)器陣列、網(wǎng)絡(luò)設(shè)備（路由器、 交換機(jī)）、機(jī)房控制設(shè)備、防火系統(tǒng)、備用電源、空調(diào)設(shè)施等。數(shù)據(jù)服務(wù)中心的建設(shè)除了 必須具有一定面積的機(jī)房和相當(dāng)數(shù)量的服務(wù)器外，還必須對(duì)運(yùn)維管理、安全系統(tǒng)、監(jiān)控等

6、 設(shè)施、工具和專業(yè)服務(wù)進(jìn)行深入的考慮。提供網(wǎng)站托管業(yè)務(wù)的 IDC 向其用戶提供的業(yè)務(wù)主要包括網(wǎng)絡(luò)設(shè)施及網(wǎng)站托管，這樣對(duì)于 IDC 而言在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮以下要素：提高服務(wù)器及 Web 應(yīng)用的可訪問(wèn)性， 這需要網(wǎng)絡(luò)具有內(nèi)容識(shí)別 (Content Aware) 的功能為方便租用主機(jī)的用戶易于控制及管理其主機(jī)內(nèi)容，提供相應(yīng)的管理平臺(tái)。2.2.1 獨(dú)享式網(wǎng)站托管IDC 為用戶提供專用主機(jī)，這更適合于具有復(fù)雜業(yè)務(wù)的站點(diǎn)。專用主機(jī)可以為這些關(guān) 鍵應(yīng)用提供高質(zhì)量、安全的服務(wù)。對(duì)于這種業(yè)務(wù)模型，用戶將其服務(wù)器包給了數(shù)據(jù)服務(wù)中 心經(jīng)營(yíng)者，用戶不必?fù)碛杏?jì)算機(jī)、網(wǎng)絡(luò)方面的技術(shù)人員而享受數(shù)據(jù)服務(wù)中心所提供的全套

7、 專業(yè)服務(wù)。為了保證服務(wù)質(zhì)量， 獲得相應(yīng)的高增值服務(wù)費(fèi)用， IDC 服務(wù)經(jīng)營(yíng)者通常與用戶制定 SLA ( Service Level Agreement)。運(yùn)營(yíng)者遵照 SLA 上規(guī)定的條例保證服務(wù)的不間斷、丟包率、 網(wǎng)絡(luò)響應(yīng)時(shí)間。經(jīng)營(yíng)者通過(guò)提供例如：平臺(tái)設(shè)計(jì)、服務(wù)監(jiān)控、服務(wù)品質(zhì)測(cè)試、網(wǎng)絡(luò)安全管 理和緩存等項(xiàng)增值服務(wù)加強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力。對(duì)中小型網(wǎng)站而言，無(wú)論是從運(yùn)營(yíng)維護(hù)的角度，還是對(duì)整體業(yè)務(wù)收入而言，與場(chǎng)地租 用的服務(wù)相比，獨(dú)享主機(jī)服務(wù)更能吸引 IDC 的經(jīng)營(yíng)者。根據(jù)用戶需求的不同，我們可以定 義單機(jī)，雙機(jī)集群或包括數(shù)據(jù)庫(kù)服務(wù)器的獨(dú)享主機(jī)服務(wù)包。其他作為獨(dú)享主機(jī)托管服務(wù)的部分還應(yīng)包括：電信級(jí)高品質(zhì)機(jī)

8、房環(huán)境和設(shè)備 可靠的供電系統(tǒng) 恒溫恒濕控制系統(tǒng) 19英寸標(biāo)準(zhǔn)機(jī)架 10M/100M 共享或獨(dú)占接口 獨(dú)立 IP 地址 服務(wù)器配置 服務(wù)器系統(tǒng)軟件安裝、調(diào)試 247 網(wǎng)絡(luò)系統(tǒng)管理維護(hù)與技術(shù)支持 24小時(shí)實(shí)時(shí)的服務(wù)器運(yùn)行狀態(tài)、流量監(jiān)測(cè) 詳細(xì)的訪問(wèn)統(tǒng)計(jì)報(bào)告 緊急狀況的處理共享式網(wǎng)站托管又可稱為虛擬主機(jī)業(yè)務(wù)，是指在一種 Internet 的網(wǎng)站工作環(huán)境下， IDC 的網(wǎng)絡(luò)服務(wù)器可 以容納許多相互獨(dú)立的多個(gè)網(wǎng)站和 Email 系統(tǒng)，并且由 IDC 提供管理維護(hù)服務(wù)。而每一位 客戶可以有條件地訪問(wèn)和控制服務(wù)器上的一小部分，從而用來(lái)構(gòu)建自己的網(wǎng)站。虛擬主機(jī)依托于一臺(tái)服務(wù)器，多個(gè)網(wǎng)站可以在這臺(tái)服務(wù)器上共享資源

9、（硬盤空間、處 理器以及內(nèi)存空間），單獨(dú)的一臺(tái)服務(wù)器上可以同時(shí)運(yùn)行多個(gè)虛擬主機(jī)。虛擬主機(jī)是一種初級(jí)的網(wǎng)絡(luò)系統(tǒng)方案，其用途主要是容納一些中小型企業(yè)應(yīng)用以及靜 態(tài)網(wǎng)頁(yè)。在商業(yè)網(wǎng)站發(fā)展的早期階段，是系統(tǒng)采取的主要解決方案。其業(yè)務(wù)需求的前提如 下：建設(shè)網(wǎng)站系統(tǒng)需要高額的硬件費(fèi)用；缺乏維護(hù)這些系統(tǒng)的有經(jīng)驗(yàn)的專家；網(wǎng)站比較簡(jiǎn)單；交互應(yīng)用程序較少；網(wǎng)絡(luò)帶寬的限制。現(xiàn)在 Internet 上很多網(wǎng)站都采用虛擬主機(jī)系統(tǒng)方案。 虛擬主機(jī)業(yè)務(wù)市場(chǎng)將會(huì)隨著這個(gè)產(chǎn) 業(yè)的發(fā)展而不斷調(diào)整與變化，不斷地滿足如小型企業(yè)、社會(huì)團(tuán)體以及其它僅需要一種簡(jiǎn)單 的網(wǎng)頁(yè)系統(tǒng)的需求。但由于這種業(yè)務(wù)模式的技術(shù)難度不大，所需投資較小，競(jìng)爭(zhēng)也比較

10、激 烈，利潤(rùn)也較低。在 IDC 網(wǎng)絡(luò)建設(shè)初期，虛擬主機(jī)業(yè)務(wù)為服務(wù)提供商提供了巨大的市場(chǎng)機(jī)遇，而且它是 實(shí)施其他增值服務(wù)（例如應(yīng)用托管業(yè)務(wù)）的基礎(chǔ)共享式網(wǎng)站托管是深受中、小企業(yè)歡迎的一個(gè)價(jià)廉物美的服務(wù)，內(nèi)容包括：國(guó)際、國(guó)內(nèi)域名代理申請(qǐng)URL 域名解析FTP訪問(wèn)及其密碼修改斷點(diǎn)續(xù)傳支持CGI/Perl 支持，專用 CGI BIN 目錄Active X/VB Script 支持JAVA Applet/Class 支持防火墻保護(hù)服務(wù)器 24 小時(shí)不間斷運(yùn)行WEB 設(shè)計(jì)服務(wù)WEB Counter 計(jì)數(shù)器Banner廣告條搜索引擎Email 自動(dòng)轉(zhuǎn)發(fā)、回復(fù)及郵件列表支持IDC 可根據(jù)用戶對(duì)以上功能的選擇及

11、對(duì)存儲(chǔ)空間的要求，定義成不同級(jí)別的服務(wù)包提 供給最終用戶。在基于網(wǎng)站托管業(yè)務(wù) IDC 的網(wǎng)絡(luò)全貌如下圖所示，網(wǎng)絡(luò)分為 Internet 連接層、核心層、 分布層、服務(wù)器接入及后臺(tái)管理平臺(tái)。在提供網(wǎng)站托管業(yè)務(wù)時(shí)， IDC 服務(wù)提供商需提供并管理所有各層的設(shè)備，對(duì)于 IDC 的 用戶是完全透明的，從而用戶可以專注于其業(yè)務(wù)而無(wú)需負(fù)責(zé)任何系統(tǒng)的管理。對(duì)于網(wǎng)絡(luò)結(jié) 構(gòu)中各層的詳細(xì)描述，請(qǐng)參見(jiàn)后續(xù)相應(yīng)章節(jié)。3 網(wǎng)絡(luò)安全眾所周知，作為全球使用范圍最大的信息網(wǎng)， Internet 自身協(xié)議的開(kāi)放性極大地方便了 各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問(wèn)題的忽視， 以及在使用和管理上的

12、無(wú)政府狀態(tài)， 逐漸使 Internet 自身的安全受到嚴(yán)重威脅， 與它有關(guān)的 安全事故屢有發(fā)生。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：拒絕服務(wù)、非授權(quán)訪問(wèn)、冒充合法用 戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽(tīng)等方面。這就要 求我們對(duì)與 Internet 互連所帶來(lái)的安全性問(wèn)題予以足夠重視。IDC 以 Internet 技術(shù)體系作為基礎(chǔ)，主要特點(diǎn)是以 TCP/IP 為傳輸協(xié)議和以瀏覽器 /WEB 為處理模式。所以我們?cè)?IDC 的設(shè)計(jì)中必須充分重視安全問(wèn)題，盡可能的減少安全漏洞。 此外，我們還應(yīng)該根據(jù) IDC 的客戶需求提供不同的安全服務(wù)， 同時(shí)最大限度的保證 IDC 網(wǎng) 絡(luò)管理中

13、心（ NOC ）自身的安全I(xiàn)DC 的安全需求我們把對(duì)于 IDC 的安全需求分為三類：分別是 IDC 基本服務(wù)，IDC 增值服務(wù)，IDC NOC 對(duì)于 IDC 基本服務(wù)的安全需求如下：AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能防 Dos 黑客攻擊功能線速 ACL 功能對(duì)于 IDC 增值服務(wù)的安全需求如下：AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能防 Dos 黑客攻擊功能線速 ACL 功能防火墻及防火墻平滑切換功能入侵檢測(cè)功能漏洞檢測(cè)功能線速 NAT對(duì)于 IDC NOC 的安全需求如下：AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能 防 Dos 黑客攻擊功能線速 ACL 功能防火墻及防火墻平滑切換功能入侵檢

14、測(cè)功能漏洞檢測(cè)功能線速 NATACL 的策略管理安全元件的策略管理VPNAAA 服務(wù)所謂 AAA 是( Authentication、Authorization、 Accounting)的縮寫，即認(rèn)證、授權(quán)、記帳功能，簡(jiǎn)單的說(shuō)：認(rèn)證：用戶身份的確認(rèn)，確定允許哪些用戶登錄，對(duì)用戶的身份的校驗(yàn)。授權(quán)：當(dāng)用戶登錄后允許該用戶可以干什么，執(zhí)行哪些操作的授權(quán)記帳：記錄用戶登錄后干了些什么AAA 功能的 實(shí)施 需要 兩部 分的 配合：支 持 AAA 的網(wǎng)絡(luò)設(shè)備、 AAA 服務(wù)器。 RADIUS/TACACS+ 是實(shí)施 AAA 常用的協(xié)議，認(rèn)證軟件需要有完整的記帳功能，并且可以 將 USER 信息直接導(dǎo)入軟

15、件的用戶數(shù)據(jù)庫(kù)，極大方便的 AAA 服務(wù)的用戶管理。在使用 AAA 的功能后用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程登錄到網(wǎng)絡(luò)設(shè)備上的基本過(guò)程如下：用戶執(zhí)行遠(yuǎn)程登錄命令（例如： Telnet），網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。用戶輸入口令后，網(wǎng)絡(luò)設(shè)備向 AAA 服務(wù)器查詢?cè)撚脩羰欠裼袡?quán)登錄。AAA 服務(wù)器檢索用戶數(shù)據(jù)庫(kù)，如果該用戶允許登錄則向網(wǎng)絡(luò)設(shè)備返回 PERMIT 信息和 該用戶在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時(shí)將用戶登錄的時(shí)間、 IP 作詳細(xì)記錄；若不能在用 戶數(shù)據(jù)庫(kù)中檢索到該用戶的信息則返回 DENY 信息，并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送 SNMP 的警告消息。當(dāng)網(wǎng)絡(luò)設(shè)備得到 AAA 的應(yīng)答后，可以根據(jù)應(yīng)答的內(nèi)容

16、作出相應(yīng)的操作，如果應(yīng)答為 DENY 則關(guān)閉掉當(dāng)前的 SESSION 進(jìn)程；如果為 PERMIT 則根據(jù) AAA 服務(wù)器返回的用戶權(quán) 限為該用戶開(kāi)啟 SESSION進(jìn)程，并將用戶所執(zhí)行的操作向 AAA 服務(wù)器進(jìn)行報(bào)告。通過(guò) AAA 的實(shí)施我們可以方便的控制網(wǎng)絡(luò)設(shè)備的安全性， 同時(shí)結(jié)合 ACL 的設(shè)置限制能 夠進(jìn)行遠(yuǎn)程登錄的工作站的數(shù)量、 IP 地址降低網(wǎng)絡(luò)設(shè)備受到攻擊的可能性。防 DoS 黑客攻擊在拒絕服務(wù)（ DoS）攻擊中，惡意用戶向服務(wù)器發(fā)送多個(gè)認(rèn)證請(qǐng)求，使其滿負(fù)載，并且所有請(qǐng)求的返回地址都是偽造的。當(dāng)服務(wù)器企圖將認(rèn)證結(jié)果返回給用戶時(shí)，它將無(wú)法找到 這些用戶。在這種情況下，服務(wù)器只好等待，

17、有時(shí)甚至?xí)却?1 分鐘才能關(guān)閉此次連接。 當(dāng)服務(wù)器關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請(qǐng)求，以上過(guò)程又重復(fù)發(fā)生，直到服 務(wù)器因過(guò)載而拒絕提供服務(wù)。分布式拒絕服務(wù)（ DDOS ）把 DoS又向前發(fā)展了一步。 DoS攻擊需要攻擊者手工操作， 而 DDOS 則將這種攻擊行為自動(dòng)化。與其他分布式概念類似，分布式拒絕服務(wù)可以方便地 協(xié)調(diào)從多臺(tái)計(jì)算機(jī)上啟動(dòng)的進(jìn)程。在這種情況下，就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，并 使其因過(guò)載而崩潰。DDOS 工作的基本概念如圖所示。黒客（ client）在不同的主機(jī)（ handler）上安裝大量 的 DoS 服務(wù)程序，它們等待來(lái)自中央客戶端（ client）的命令，中央

18、客戶端隨后通知全體受 控服務(wù)程序（ agent），并指示它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。該工具 將攻擊一個(gè)目標(biāo)的任務(wù)分配給所有可能的 DoS 服務(wù)程序，這就是它被叫做分布式 DoS的原 因。實(shí)際的攻擊并不僅僅是簡(jiǎn)單地發(fā)送海量信息，而是采用 DDOS 的變種工具，這些工具 可以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強(qiáng)大或者使追蹤攻擊者變得更困難。首先，現(xiàn)在的 DDOS 工具基本上都可以偽裝源地址。 它們發(fā)送原始的 IP 包（ raw IP packe）t ，由于 Internet 協(xié)議本身的缺陷， IP 包中包括的源地址是可以偽裝的， 這也是追蹤 DDOS 攻擊者很困難的 主要原因。其次，

19、DDOS 也可以利用協(xié)議的缺陷，例如，它可以通過(guò) SYN 打開(kāi)半開(kāi)的 TCP 連接，這是一個(gè)很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊力更強(qiáng)， DDOS 通常會(huì)利 用任何一種通過(guò)發(fā)送單獨(dú)的數(shù)據(jù)包就能探測(cè)到的協(xié)議缺陷，并利用這些缺陷進(jìn)行攻擊防范攻擊的措施1。過(guò)濾進(jìn)網(wǎng)和出網(wǎng)的流量網(wǎng)絡(luò)服務(wù)提供商應(yīng)該實(shí)施進(jìn)網(wǎng)流量過(guò)濾措施，目的是阻止任何偽造 IP 地址的數(shù)據(jù)包 進(jìn)入網(wǎng)絡(luò)，從而從源頭阻止諸如 DDOS 這樣的分布式網(wǎng)絡(luò)攻擊的發(fā)生或削弱其攻擊效果。2。采用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) IDS當(dāng)系統(tǒng)收到來(lái)自奇怪或未知地址的可疑流量時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS (IntrusionDetection System)s 能夠

20、給系統(tǒng)管理人員發(fā)出報(bào)警信號(hào)，提醒他們及時(shí)采取應(yīng)對(duì)措施，如切 斷連接或反向跟蹤等。3。具體措施在路由器和 Web 交換機(jī)上， 它將丟棄下列類型的數(shù)據(jù)幀：長(zhǎng)度太短；幀被分段；源地址與目的地址相同；源地址為我們的內(nèi)部地址，或源地址為子網(wǎng)廣播地址； 源地址不是單播地址；源地址是環(huán)回地址； 目的地址是環(huán)回地址；目的地址不是有效的單播或組播地址此外，對(duì)于 HTTP 數(shù)據(jù)流，WEB 交換機(jī)必須在 HTTP 流啟動(dòng)后的 16 秒內(nèi)接受一個(gè)有效 的幀，否則它將丟棄這個(gè)幀并中斷這個(gè)流；對(duì)于 TCP數(shù)據(jù)流， WEB 交換機(jī)必須在 16秒內(nèi)接受一個(gè)返回的 ack，否則它將終 止這個(gè) TCP 流；對(duì)于任意嘗試過(guò) 8次以

21、上 SYN 的數(shù)據(jù)流， WEB 交換機(jī)將終止這個(gè)流， 并且停止 處理同樣 SYN，源地址，目的地址及端口號(hào)對(duì)的數(shù)據(jù)流。在核心交換機(jī)上我們可以用線速的 ACL 來(lái)達(dá)到上述類似的幀丟棄策略，我們還可以用 CAR 的方法對(duì) ping及 SYN的數(shù)據(jù)流進(jìn)行帶寬控制，以預(yù)防 DDOS 的攻擊。漏洞檢測(cè)漏洞檢測(cè)( Vulnerability Scanne)r 就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被 黑客利用的漏洞。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估，它指出了哪些攻 擊是可能的，因此成為安全方案的一個(gè)重要組成部分。安全掃描服務(wù)器可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分析，并且在實(shí)行過(guò)程中

22、支持基于策略的安全風(fēng)險(xiǎn)管理過(guò)程。 另外，互聯(lián)網(wǎng)掃描執(zhí)行預(yù)定的或事件驅(qū)動(dòng)的網(wǎng)絡(luò)探測(cè)， 包括對(duì)網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、 Web 服務(wù)器、防火墻和應(yīng)用程序的檢測(cè)，從而去識(shí)別能被入侵者利用來(lái)進(jìn)入網(wǎng)絡(luò)的漏洞。安全掃描服務(wù)器同時(shí)能進(jìn)行系統(tǒng)掃描。系統(tǒng)掃描通過(guò)對(duì)企業(yè)內(nèi)部操作系統(tǒng)安全弱點(diǎn)的 完全的分析，幫助組織管理安全風(fēng)險(xiǎn)。系統(tǒng)掃描通過(guò)比較規(guī)定的安全策略和實(shí)際的主機(jī)配 置來(lái)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，包括缺少安全補(bǔ)丁、詞典中可猜的口令、不適當(dāng)?shù)挠脩魴?quán)限、 不正確的系統(tǒng)登錄權(quán)限、不安全的服務(wù)配置和代表攻擊的可疑的行為。系統(tǒng)安全掃描還可 以修復(fù)有問(wèn)題的系統(tǒng)，自動(dòng)產(chǎn)生文件所有權(quán)和文件權(quán)限的修復(fù)腳本。安全掃描

23、服務(wù)器能提供實(shí)時(shí)入侵檢測(cè)和實(shí)時(shí)報(bào)警。當(dāng)收到安全性消息時(shí)，圖形用戶界 面上相應(yīng)的主機(jī)狀態(tài)顏色和安全性消息組的圖標(biāo)都應(yīng)有相應(yīng)變化，以幫助操作人員快速地 確定報(bào)警的原因和范疇。入侵檢測(cè)入侵檢測(cè)( Intrude Detection)具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng) 相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功 能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。實(shí)時(shí)入侵檢測(cè)系統(tǒng)解決方 案，用于檢測(cè)、報(bào)告和終止整個(gè)網(wǎng)絡(luò)中未經(jīng)授權(quán)的活動(dòng)。 它可以在 Internet 和內(nèi)

24、部網(wǎng)環(huán)境中 操作，保護(hù)整個(gè)網(wǎng)絡(luò)。入侵檢測(cè)系統(tǒng)包括兩個(gè)部件： Sensor和 Director。Sensor不影響網(wǎng)絡(luò)性能，它分析各個(gè) 數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。如果一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流遇到未經(jīng)授權(quán)的活動(dòng)，例如 SATAN 攻擊、 PING 攻擊或秘密的研究項(xiàng)目代碼字， Sensor可以實(shí)時(shí)檢測(cè)政策 違規(guī)，給 Director 管理控制臺(tái)轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪除入侵者。基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)，能夠監(jiān)控整個(gè)數(shù)據(jù)網(wǎng)絡(luò)，需要是具備最新攻擊檢測(cè)功 能的穩(wěn)健的全天候監(jiān)控和應(yīng)答系統(tǒng)，能在本地、地區(qū)和總部監(jiān)視控制臺(tái)之間指導(dǎo)和轉(zhuǎn)發(fā)告 警的分布式入侵檢測(cè)系統(tǒng)。同時(shí)需要能夠允許部署大量 Sensor

25、和 Director 的可伸縮的體系 結(jié)構(gòu)，在大型網(wǎng)絡(luò)環(huán)境中提供全面的覆蓋面，與現(xiàn)有網(wǎng)絡(luò)管理工具和實(shí)踐平滑集成的入侵 檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)通常具有的關(guān)鍵特性包括：對(duì)合法流量 / 網(wǎng)絡(luò)使用透明的實(shí)時(shí)入侵檢測(cè)對(duì)未經(jīng)授權(quán)活動(dòng)的實(shí)時(shí)應(yīng)對(duì)可以阻止黑客訪問(wèn)網(wǎng)絡(luò)或終止違規(guī)會(huì)話 全面的攻擊簽名目錄可以檢測(cè)廣泛的攻擊，檢測(cè)基于內(nèi)容和上下文的攻擊 支持廣泛的速度和接口類型，包括 10/100 Mbps 以太網(wǎng)、令牌環(huán)網(wǎng)和 FDDI 告警包括攻擊者和目的地 IP 地址、目的地端口、攻擊介紹以及捕獲的攻擊前鍵 入的字符適合特大規(guī)模分布式網(wǎng)絡(luò)的可伸縮性專用 VLANIDC 環(huán)境是一個(gè)典型的多客戶的服務(wù)器群結(jié)構(gòu)，每個(gè)托

26、管客戶從一個(gè)公共的數(shù)據(jù)中心中的一系列服務(wù)器上提供 Web 服務(wù)。這樣，屬于不同客戶的服務(wù)器之間的安全就顯得至關(guān) 重要。一個(gè)保證托管客戶之間安全的通用方法就是給每個(gè)客戶分配一個(gè) VLAN 和相關(guān)的 IP 子網(wǎng)。通過(guò)使用 VLAN ，每個(gè)客戶被從第 2層隔離開(kāi)，可以防止任何惡意的行為和 Ethernet 的信息探聽(tīng)。然而，這種分配每個(gè)客戶單一 VLAN 和IP 子網(wǎng)的模型造成了巨大的擴(kuò)展方面 的局限。這些局限主要有以下幾方面：VLAN 的限制： LAN 交換機(jī)固有的 VLAN 數(shù)目的限制復(fù)雜的 STP：對(duì)于每個(gè) VLAN ，一個(gè)相關(guān)的 Spanning-tree的拓?fù)涠夹枰芾鞩P 地址的緊缺：

27、IP 子網(wǎng)的劃分勢(shì)必造成一些地址的浪費(fèi)路由的限制：如果使用 HSRP，每個(gè)子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置在一個(gè) IDC 中，流量的流向幾乎都是在服務(wù)器與客戶之間，而服務(wù)器間的橫向的通信 幾乎沒(méi)有。 Cisco 在 IP 地址管理方案中引入了一種新的 VLAN 機(jī)制，服務(wù)器同在一個(gè)子網(wǎng) 中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。這一新的 VLAN 特性就是專用 VLAN (private VLAN ，pVLAN )。這種特性是 Cisco公司的專有技術(shù)，但特別適用于 IDC 。專用 VLAN 是第 2層的機(jī)制，在同一個(gè) 2 層域中有兩類不同安全級(jí)別的訪問(wèn)端口。與 服務(wù)器連接的端口稱作專用端口( pri

28、vate port)，一個(gè)專用端口限定在第 2 層，它只能發(fā)送 流量到混雜端口，也只能檢測(cè)從混雜端口來(lái)的流量?；祀s端口(promiscuous port)沒(méi)有專用端口的限定，它與路由器或第 3 層交換機(jī)接口相連。簡(jiǎn)單地說(shuō)，在一個(gè)專用 VLAN 內(nèi)， 專用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口(混雜端 口和專用端口)下圖示出了同一專用 VLAN 中兩類端口的關(guān)系專用 VLAN 的應(yīng)用在多客戶的數(shù)據(jù)中心是非常有效的，因?yàn)?IDC 的網(wǎng)絡(luò)中，服務(wù)器只 需與自己的缺省網(wǎng)關(guān)連接，一個(gè)專用 VLAN 不需要多個(gè) VLAN 和 IP 子網(wǎng)就提供了這樣的 安全連接。在這一模型中，所

29、有的服務(wù)器都接入專用 VLAN ，從而實(shí)現(xiàn)了所有服務(wù)器與缺 省網(wǎng)關(guān)的連接，而與專用 VLAN 內(nèi)的其他服務(wù)器沒(méi)有任何訪問(wèn)。 目前，Cisco的 Catalyst Switch 6000/6500系列交換機(jī)支持專用 VLAN 。4 Internet 連接作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Internet連接層提供了 IDC 與公共 IP 網(wǎng)的橋 梁，它的運(yùn)行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必 須具有以下的特點(diǎn)： 高速的路由交換能力 對(duì)各種高級(jí)路由協(xié)議（如 BGP 等）的全面支持 具備豐富的接口類型 完善的 QOS 支持能力在 Internet

30、 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核 心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng) 絡(luò)核心骨干接入作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Internet連接層提供了 IDC 與公共 IP 網(wǎng)的橋 梁，它的運(yùn)行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必 須具有以下的特點(diǎn)： 高速的路由交換能力 對(duì)各種高級(jí)路由協(xié)議（如 BGP 等）的全面支持 具備豐富的接口類型 完善的 QOS 支持能力在 Internet 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核 心層互連。

31、借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng) 絡(luò)核心。帶寬管理在 IDC 的業(yè)務(wù)中，通常針對(duì)提供不同的帶寬收取不同的費(fèi)用， 所以帶寬管理成為 Internet 連接中提供服務(wù)質(zhì)量的重要保證。識(shí)別網(wǎng)絡(luò)流量URL 或通配符（用IDC 的帶寬管理需要支持多種協(xié)議和應(yīng)用程序，并且可以根據(jù)自己的需要，自行設(shè)定 相應(yīng)的標(biāo)準(zhǔn)來(lái)區(qū)分更多的類型?？梢酝ㄟ^(guò)應(yīng)用、服務(wù)、協(xié)議、端口數(shù)、 于Web通信)、主機(jī)名稱、優(yōu)先權(quán)、以及 IP或MAC 地址對(duì)通信量進(jìn)行分類。只有這樣才 能對(duì)用戶提供完善的帶寬管理機(jī)制。像 HTTP 、FTP 和 Telnet 這樣的 IP 協(xié)議， 以及像 SNA、NetBI

32、OS 和 AppleTalk 這樣的非 IP 協(xié)議，帶寬管理都應(yīng)該能自動(dòng)識(shí)別，并根據(jù)用戶的需要進(jìn)行有效的處理。例如，你可以 將 SAP/R3 通信量根據(jù)一個(gè)特定客戶式特定服務(wù)器隔開(kāi)， 使 TN3270 交互式通信量與打印通 信量分開(kāi)，甚至把一個(gè) H。323 視頻會(huì)議的數(shù)據(jù)信道和控制信道區(qū)分開(kāi)來(lái)。保證應(yīng)用性能帶寬管理需要保證關(guān)鍵的和交互式的應(yīng)用獲得其所需要的帶寬，同時(shí)限制普通應(yīng)用對(duì) 帶寬的需求。每種通信類型映射到一項(xiàng)特定的帶寬分配政策上，確保每種通信類型得到一 個(gè)適當(dāng)?shù)膸?。速率政? Rate policies)限制或保證每個(gè)單獨(dú)對(duì)話的帶寬，抑制那些貪婪的應(yīng)用通信， 或者保護(hù)對(duì)時(shí)延敏感的流量。

33、比如，一個(gè) HTTP cap會(huì)使 Web 游覽避免使用他人的帶寬。 而且獲得保證的音頻或視頻流動(dòng)速率，避免出現(xiàn)惱人的不穩(wěn)定性。速率政策是為應(yīng)用提供 沒(méi)有被使用的帶寬，所以，昂貴的帶寬從不會(huì)被浪費(fèi)。測(cè)量、分析和生成報(bào)表網(wǎng)絡(luò)管理員在制訂一項(xiàng)帶寬管理策略之前及之后必須分析其網(wǎng)絡(luò)應(yīng)用通信的模式，以 測(cè)量其是否成功。帶寬管理將跟蹤平均和高峰通信量水平，計(jì)算在重新傳輸上所浪費(fèi)的帶 寬比例，突出最主要用戶和應(yīng)用程序，并且測(cè)量性能。網(wǎng)絡(luò)總結(jié)以及特定上下文的報(bào)表提 供了對(duì)網(wǎng)絡(luò)趨勢(shì)的輕松訪問(wèn)。響應(yīng)時(shí)間特征允許你測(cè)量性能，設(shè)置可接受性標(biāo)準(zhǔn)，并跟蹤響應(yīng)質(zhì)量是否堅(jiān)持了標(biāo)準(zhǔn)流量控制和監(jiān)視控制IDC 的帶寬管理是非常復(fù)雜的

34、業(yè)務(wù)和技術(shù)控制，所以，需要一個(gè)簡(jiǎn)單易用的進(jìn)行操作 的管理界面。通過(guò)這一界面，網(wǎng)絡(luò)管理員可在任何時(shí)候、任何地方，通過(guò)網(wǎng)絡(luò)來(lái)配置、控 制和監(jiān)控帶寬分配情況。輕松部署硬件帶寬管理器通常位于網(wǎng)絡(luò)瓶頸上，通常在路由器和核心交換機(jī)之間。為了網(wǎng)絡(luò)性 能的考慮，帶寬管理器需要與現(xiàn)有的網(wǎng)絡(luò)順利集成，不需要任何新的協(xié)議或者重新配置路 由器，也不需要修改拓樸結(jié)構(gòu)和桌面。它不能是一個(gè)網(wǎng)絡(luò)故障點(diǎn)，如果帶寬管理器發(fā)生故 障或者被關(guān)掉，它需要會(huì)像一根電纜一樣發(fā)揮作用。用于 IDC 的硬件帶寬管理器在當(dāng)前市 場(chǎng)上主要有 Alteon 公司、 Packeteer公司和 Intel 公司的帶寬管理器。利用路由器和交換機(jī)的特定 Q

35、OS( Quality of Service)技術(shù)，也能實(shí)現(xiàn)帶寬管理。比如 Cisco 公司的 CAR( Committed Access Rat)e 技術(shù)。對(duì)本地帶寬管理也可以通過(guò)四層交換機(jī)來(lái)實(shí)現(xiàn)。 Foundry，Alteon 和 Cisco 公司的四層交 換機(jī)都支持本地帶寬管理。5 內(nèi)容交換內(nèi)容交換提供數(shù)據(jù)流的負(fù)載均衡以提高 IDC 的網(wǎng)絡(luò)性能，特別是服務(wù)器的響應(yīng)性能。內(nèi)容交換同時(shí)對(duì)應(yīng)用層的數(shù)據(jù)提供適當(dāng)?shù)目刂埔詽M足應(yīng)用的要求，比如對(duì)SSL( SecuritySocket Laye)r 連接的控制。這在本節(jié)將有具體闡述。基于 IP 的負(fù)載均衡數(shù)據(jù)中心的服務(wù)提供商除了向客戶提供一些基本的主機(jī)

36、托管和網(wǎng)站托管服務(wù)外，還需 要提供一些更高級(jí)別的增值服務(wù)來(lái)吸引用戶、拓展市場(chǎng)。作為數(shù)據(jù)中心托管用戶的主體， 例如 ICP 網(wǎng)站、電子商務(wù)網(wǎng)站、企業(yè)網(wǎng)站等，它們托管或租用在數(shù)據(jù)中心的大部分服務(wù)器 都是基于 Internet TCP/IP 協(xié)議的應(yīng)用服務(wù)器，例如 WWW服務(wù)器、 FTP服務(wù)器等。對(duì)于這 些用戶而言，如何保證這些關(guān)鍵服務(wù)器的高可靠性、高可用性和可擴(kuò)展性是非常重要的。 因此，如果數(shù)據(jù)中心的服務(wù)提供商能夠給客戶提供這種高可用性服務(wù)，就可以像保險(xiǎn)公司 的保險(xiǎn)費(fèi)一樣，來(lái)向客戶收取一定的增值服務(wù)費(fèi)用！并且對(duì)數(shù)據(jù)中心的各種類型用戶都帶 來(lái)好處：對(duì)主機(jī)租用用戶來(lái)講，他們的服務(wù)器硬件本身都是租用數(shù)據(jù)

37、中心的，因此自然希 望數(shù)據(jù)中心能夠?qū)Ψ?wù)器系統(tǒng)的可用性提出更高的保證；對(duì)主機(jī)托管用戶來(lái)講，盡管服務(wù) 器是自身攜帶的，但是除了極少部分大的網(wǎng)站有資金、有技術(shù)能力來(lái)自行解決關(guān)鍵服務(wù)器 系統(tǒng)的高可用性問(wèn)題外，大多數(shù)的網(wǎng)站并不具備這樣的條件，他們希望數(shù)據(jù)中心服務(wù)提供 商能夠作為他們的 Virtual IT 部門，能夠給他們提供一個(gè)完善的解決方案。下面我們以數(shù)據(jù)中心中最為普遍的服務(wù) WWW 服務(wù)為例，來(lái)詳細(xì)講解如何實(shí)現(xiàn)Internet 服務(wù)的高可用性，即關(guān)鍵服務(wù)器系統(tǒng)的高可用性。以前作為一個(gè)網(wǎng)站通常采用的方式是 WWW 服務(wù)器由一臺(tái)硬件配置非常高的 UNIX 服 務(wù)器來(lái)?yè)?dān)當(dāng)，盡管成本昂貴，但這樣做仍然不

38、能保證它的可靠性、可用性、可維護(hù)性：一 是因?yàn)橐慌_(tái)服務(wù)器仍作不到硬件級(jí)的完全容錯(cuò)，保證不了可靠性；二是因?yàn)橐慌_(tái)服務(wù)器的 網(wǎng)絡(luò)帶寬有限，保證不了可用性；三是因?yàn)楫?dāng)這臺(tái)服務(wù)器進(jìn)行硬件或軟件升級(jí)時(shí)，不可避 免地要中斷 WWW 服務(wù)，保證不了可維護(hù)性?；谏鲜鲈颍藗兲岢隽?DNS 輪詢方案（DNSRoundRobin）試圖解決 WWW 服 務(wù)的可用性問(wèn)題， 即多臺(tái) WWW 鏡像主機(jī)在 DNS 中對(duì)應(yīng)同一域名，當(dāng)用戶訪問(wèn) WWW，要 求 DNS 服務(wù)器解析域名時(shí)， DNS 服務(wù)器按 DNS 請(qǐng)求的先后順序把域名依次解析成其中一 臺(tái) WWW 主機(jī)的 IP 地址，從而把任務(wù)平均分擔(dān)到數(shù)臺(tái) WWW 主機(jī)上

39、，來(lái)提高 WWW 服務(wù) 的整體性能。它的優(yōu)點(diǎn)是：實(shí)現(xiàn)簡(jiǎn)單、實(shí)施容易、成本低；但是，它的缺點(diǎn)也非常明顯： 不是真正意義上的負(fù)載均衡， DNS 服務(wù)器將 HTTP 請(qǐng)求平均地分配到后臺(tái)的 WWW 服務(wù)器 上，而不考慮每個(gè) WWW 服務(wù)器當(dāng)前的負(fù)載情況；如果后臺(tái)的 WWW 服務(wù)器的配置和處理 能力不同，最慢的 WWW 服務(wù)器將成為系統(tǒng)的瓶頸，處理能力強(qiáng)的服務(wù)器不能充分發(fā)揮作 用；另外未考慮容錯(cuò)， 如果后臺(tái)的某一臺(tái) WWW 服務(wù)器出現(xiàn)故障， DNS 服務(wù)器仍會(huì)把 DNS 請(qǐng)求分配到這臺(tái)故障服務(wù)器上，導(dǎo)致對(duì)客戶端的不能響應(yīng)。而這最后一個(gè)缺點(diǎn)是致命的， 有可能造成相當(dāng)一部分客戶不能訪問(wèn) WWW服務(wù)，并且由

40、于 DNS 緩存的原因，造成的惡劣 后果要持續(xù)相當(dāng)長(zhǎng)一段時(shí)間（一般 DNS 刷新周期約 24 小時(shí)）。此外，還有一些基于群集（Cluster）技術(shù)的軟件解決方案來(lái)保證 WWW 服務(wù)的高可用性。 它的通用做法是通過(guò)在操作系統(tǒng)的基礎(chǔ)上安裝操作系統(tǒng)廠商的群集軟件或第三方的群集軟 件（絕大多數(shù)支持 WWW 服務(wù)的群集），例如 Microsoft Cluster Serve、r Turbo Linux 、Cluster Server 等，來(lái)做到應(yīng)用級(jí)的互為備份或負(fù)載平衡?；閭浞荩?Active/Standby）方式下，其 中 一 臺(tái) 服 務(wù) 器 缺 省 處 于 活 動(dòng) 狀 態(tài) （ Active/Pri

41、mary ） ， 而 另 一 臺(tái) 處 于 睡 眠 狀 態(tài) （Standby/Backup），當(dāng)主服務(wù)器系統(tǒng)死機(jī)或應(yīng)用不能正常服務(wù)時(shí)，備份服務(wù)器會(huì)自動(dòng)變成 活動(dòng)狀態(tài)，從而接管原主服務(wù)器的任務(wù)，保證應(yīng)用能夠繼續(xù)服務(wù)。負(fù)載平衡方式下，可以有多臺(tái)服務(wù)器，每一個(gè)服務(wù)器都承擔(dān)一定的應(yīng)用。它們之間即可以互為備份，也可以有專門一臺(tái)備份服務(wù)器，它在群集正常時(shí)不承擔(dān)任何任務(wù)，但是當(dāng)群集中的某一臺(tái)服務(wù)器發(fā)生 故障時(shí)，它會(huì)自動(dòng)激活，從而接管故障服務(wù)器的任務(wù)。但是，它也存在以下缺點(diǎn)：安裝、 配置復(fù)雜，難于維護(hù)和管理；群集軟件與服務(wù)器的硬件平臺(tái)和操作系統(tǒng)密切相關(guān)，不能做 到設(shè)備無(wú)關(guān)性和無(wú)縫升級(jí)；實(shí)現(xiàn)負(fù)載平衡的算法簡(jiǎn)單，一

42、般是根據(jù)輪詢(Round Robin)，有些 WWW 群集軟件可支持設(shè)定權(quán)重( Weighting)算法，但權(quán)重( weighting)是人為設(shè)定， 并不能客觀反映每一臺(tái)服務(wù)器的 HTTP 請(qǐng)求響應(yīng)能力以及當(dāng)前負(fù)載情況；與硬件實(shí)現(xiàn)方案 (Layer4的負(fù)載平衡交換設(shè)備)比較起來(lái)，性能較低，另外支持的 Web Site的規(guī)模較小(WWW 服務(wù)器最多可以到 16臺(tái))；不能實(shí)現(xiàn) HTTPS 等特殊應(yīng)用的負(fù)載平衡(這是因?yàn)樵?HTTPS 應(yīng)用中，客戶端和服務(wù)器端要進(jìn)行身份驗(yàn)證、交換證書和密鑰，所以客戶端和服務(wù)器端應(yīng) 一一對(duì)應(yīng)，同一客戶的請(qǐng)求應(yīng)由同一臺(tái)服務(wù)器來(lái)處理)。當(dāng)然更為重要的一點(diǎn)是，作為數(shù) 據(jù)中心

43、的托管用戶， 他們往往不希望數(shù)據(jù)中心服務(wù)提供商在他們的服務(wù)器上安裝任何軟件！正因?yàn)樯鲜龅慕鉀Q方案存在這樣或那樣的問(wèn)題，因此，隨著 Internet 技術(shù)的發(fā)展，出現(xiàn) 了基于應(yīng)用、甚至基于內(nèi)容的負(fù)載平衡設(shè)備，即我們通常所說(shuō)的第四層、第七層智能負(fù)載 平衡設(shè)備。它們通過(guò)硬件技術(shù)或?qū)Ｓ玫?ASIC 芯片來(lái)實(shí)現(xiàn) WWW 等應(yīng)用服務(wù)器的負(fù)載均衡 和高可用性解決方案。通過(guò)這種技術(shù)可以提高 WWW 服務(wù)器的整體處理能力，并提高整個(gè) 服務(wù)器系統(tǒng)的可靠性、可用性、可維護(hù)性、可擴(kuò)展性，保證 WWW 服務(wù)質(zhì)量的 QOS，提供 基于 URL、基于內(nèi)容的交換(當(dāng)采用第七層負(fù)載平衡設(shè)備時(shí))，最終用一組低處理能力、 低實(shí)現(xiàn)成

44、本的主機(jī)提供大規(guī)模、高性能、可擴(kuò)展的 WWW 服務(wù)。以下是關(guān)于采用第四層負(fù)載平衡設(shè)備實(shí)現(xiàn) WWW 服務(wù)的負(fù)載平衡的一般介紹：在第四 層負(fù)載平衡設(shè)備上設(shè)置 WWW 服務(wù)的虛擬 IP 地址( Virtual IP Address)，這個(gè)虛擬 IP地址是 DNS 服務(wù)器中解析到的 WWW 服務(wù)器的 IP 地址，對(duì)客戶端是可見(jiàn)的。當(dāng)客戶訪問(wèn)此 WWW 應(yīng)用時(shí)，客戶端的 HTTP 請(qǐng)求會(huì)先被第四層負(fù)載平衡設(shè)備接收到，它會(huì)基于第四層 交換技術(shù)實(shí)時(shí)檢測(cè)后臺(tái) WWW 服務(wù)器的負(fù)載，根據(jù)設(shè)定的算法進(jìn)行快速交換，交給當(dāng)前最 可用、負(fù)載最輕的服務(wù)器來(lái)處理。常見(jiàn)的算法有以下幾種：輪詢(Round Robin)、權(quán)重(

45、 Weighting)、最少連接 (Least connection)、隨機(jī)(Random)、響應(yīng)時(shí)間 (Response Time) 等。通過(guò)這種技術(shù)可將大量的、并發(fā)性的用戶請(qǐng)求分配到多個(gè)服務(wù)器來(lái)處理，從而降低單 個(gè)服務(wù)器的負(fù)載，避免服務(wù)器的死機(jī)或響應(yīng)延遲過(guò)大！另外，這種負(fù)載平衡設(shè)備還可以幾 乎實(shí)時(shí)地檢測(cè)到后臺(tái)服務(wù)器的硬件、操作系統(tǒng)、網(wǎng)絡(luò)甚至應(yīng)用級(jí)別的狀態(tài)，從而避免客戶 的請(qǐng)求被失效的服務(wù)器處理。應(yīng)用負(fù)載均衡第七層應(yīng)用負(fù)載平衡設(shè)備是近一、兩年才出現(xiàn)的最新技術(shù)，它主要用于實(shí)現(xiàn) WWW 應(yīng) 用的負(fù)載平衡和服務(wù)質(zhì)量保證。它與第四層負(fù)載平衡設(shè)備比較起來(lái)：第七層負(fù)載平衡設(shè)備 不僅能檢查 TCP/IP

46、數(shù)據(jù)包的 TCP、UDP 端口號(hào)( Transportation Laye)r ，從而轉(zhuǎn)發(fā)給后臺(tái) 的某一個(gè)服務(wù)器來(lái)處理， 而且它能從會(huì)話層 (Session Laye)r 以上來(lái)分析 HTTP 請(qǐng)求的 URL， 根據(jù) URL 的不同將不同的 HTTP 請(qǐng)求交給不同的服務(wù)器來(lái)處理(可以具體到某一類文件， 甚至某一個(gè)文件)，甚至同一個(gè) URL 請(qǐng)求可以讓多個(gè)服務(wù)器來(lái)響應(yīng)以分擔(dān)負(fù)載(當(dāng)客戶訪 問(wèn)某一個(gè) URL，發(fā)起 HTTP 請(qǐng)求時(shí)，它實(shí)際上要與服務(wù)器建立多個(gè)會(huì)話連接，得到多個(gè)對(duì) 象 Object，例如。 txt/ 。gif/ 。jpg 文檔，當(dāng)這些對(duì)象都下載到本地后，才組成一個(gè)完整的 頁(yè)面)跨地域

47、負(fù)載均衡前面講述的都是關(guān)于如何在本地局域網(wǎng)實(shí)現(xiàn) WWW 等應(yīng)用服務(wù)器的負(fù)載平衡，那么如 何實(shí)現(xiàn)應(yīng)用服務(wù)器的廣域網(wǎng)上的負(fù)載平衡，從而保證應(yīng)用的冗災(zāi)備份，以及如何有效的根 據(jù)客戶的地域分布、廣域網(wǎng)絡(luò)的連通狀態(tài)或延遲時(shí)間來(lái)將客戶定向到他們最適合訪問(wèn)的站 點(diǎn)呢？這些都涉及到廣域網(wǎng)的負(fù)載平衡技術(shù)( Global Server Load Balance)，常見(jiàn)的廣域網(wǎng) 負(fù)載平衡產(chǎn)品都是基于 DNS 重定向原理來(lái)實(shí)現(xiàn)的， 即當(dāng)客戶訪問(wèn)某一個(gè)網(wǎng)站時(shí)， 例如 www。 時(shí)，客戶的關(guān)于這個(gè)網(wǎng)站的 DNS 域名解析請(qǐng)求會(huì)被這個(gè)廣域網(wǎng)的負(fù)載平衡設(shè) 備來(lái)處理，而這個(gè)廣域網(wǎng)的負(fù)載平衡設(shè)備會(huì)基于客戶端的 IP 地址范圍、客

48、戶端與各節(jié)點(diǎn)的 網(wǎng)絡(luò)延遲、各節(jié)點(diǎn)的狀態(tài)及負(fù)載等參數(shù)，然后根據(jù)一定的算法來(lái)判斷那個(gè)節(jié)點(diǎn)最適合用戶 訪問(wèn)，從而將這個(gè)節(jié)點(diǎn)的 IP 地址或 VIP 地址返回給客戶。常見(jiàn)的廣域網(wǎng)負(fù)載平衡算法有： 輪詢( RoundRobin)、加權(quán)輪詢( Weighted RoundRobin)、隨機(jī)( Random)、最少連 接數(shù)(Least Connection)、最低 CPU 利用率( Lowest CPU Utilization)、HTTP 重定向(HTTP Redirection)等。Cookie和 SSL會(huì)話的連接鎖定為了使得一個(gè)電子商務(wù)的事務(wù)成功，客戶必須被鎖定到指定的服務(wù)器上直到事務(wù)完成。 保持到一個(gè)

49、服務(wù)器持續(xù)的連接，稱為“鎖定”，這是任何創(chuàng)造利潤(rùn)的電子商務(wù) WEB 站點(diǎn)的 關(guān)鍵。Web交換機(jī)可以讀到分布在多個(gè)包中的 Cookie 并有能力識(shí)別一個(gè) Cookie。Cookie可以 由 Web 交換機(jī)內(nèi)部產(chǎn)生或在服務(wù)器上產(chǎn)生。 一旦 Cookie 被設(shè)定，用戶的瀏覽器就被透明地 刷新。可以產(chǎn)生 Cookie對(duì)電子商務(wù)站點(diǎn)基于 Cookie 使流量具有優(yōu)先級(jí)是有益的。 如果進(jìn)入一個(gè)請(qǐng)求并且提供了一個(gè) Cookie，用戶的優(yōu)先級(jí)字段就會(huì)決定那個(gè)服務(wù)器群接受請(qǐng)求。如果沒(méi)有提供 Cookie，請(qǐng)求要么被送到認(rèn)證服務(wù)器，要么交換機(jī)內(nèi)部產(chǎn)生一個(gè)新的Cookie。這個(gè)請(qǐng)求就有一個(gè)有優(yōu)先級(jí)設(shè)置的 Cooki

50、e，這個(gè)優(yōu)先級(jí)會(huì)把用戶定向到合適得服務(wù)器群。保護(hù)基于 Web的商務(wù)的最常用的方法就是使用流行的 SSL（Secure Socket Lay）er協(xié)議 SSL是端到端的加密機(jī)制，是當(dāng)今 Web 商務(wù)加密的主要方法。基于 SSL會(huì)話 ID 維持持續(xù)性優(yōu)化了電子商務(wù)的商務(wù)完整性， 保證了安全和性能的均衡。 在一個(gè)安全的事務(wù)中， Web交換機(jī)維持從用戶 Cookie（購(gòu)物）到 SSL會(huì)話 ID （結(jié)帳）的轉(zhuǎn) 化。這一點(diǎn)很關(guān)鍵，因?yàn)?Cookie 處于為進(jìn)行 SSL事務(wù)而加密的 HTTP 頭部，所以維持鎖定 連的 Web交換機(jī)不能讀到。用戶瀏覽器與服務(wù)器之間開(kāi)始的 SSL Hello 消息含有一個(gè)空的

51、會(huì)話 ID 字段（如果要建立一個(gè)新的 SSL會(huì)話）或上一次客戶使用得 SSL會(huì)話。但是，這并 不是下面的電子事務(wù)使用的 SSL會(huì)話 ID 。作為客戶 Hello 消息的響應(yīng)，服務(wù)器挑選一個(gè)新 的會(huì)話 ID 并把自己的帶有會(huì)話 ID 的 Hello 發(fā)回到客戶端。 CSS交換機(jī)在服務(wù)器的 Hello 中 檢測(cè)到這個(gè)新的 SSL會(huì)話 ID 并把請(qǐng)求路由到這一時(shí)刻最合適的服務(wù)器。 后續(xù)的有這個(gè)會(huì)話 ID 的請(qǐng)求都將被轉(zhuǎn)到同一臺(tái)服務(wù)器。為了優(yōu)化資源，當(dāng)一個(gè)會(huì)話在一個(gè)定義的時(shí)間段處于休止?fàn)顟B(tài)后，Web 服務(wù)器會(huì)終止這個(gè)會(huì)話。當(dāng)幾分鐘沒(méi)有操作后，服務(wù)器會(huì)做超時(shí)處理，釋放這個(gè)會(huì)話ID 。當(dāng)用戶發(fā)送一個(gè)新的請(qǐng)

52、求時(shí)，服務(wù)器把它作為一個(gè)新用戶處理，會(huì)建立一個(gè)新的會(huì)話。如果用戶填了一個(gè)很長(zhǎng)的表格，比如抵押申請(qǐng)或信用證明，那么所有剛填寫的信息都會(huì)丟失，必須重新來(lái) 過(guò)。Web 交換機(jī)解決方案為加密會(huì)話提供鎖定連接，不僅提高了效率和用戶滿意度，也顯著地減少了服務(wù)器上應(yīng)用的壓力。由于建立會(huì)話的握手會(huì)涉及交換公鑰，會(huì)產(chǎn)生計(jì)算資源 的最大的消耗。通過(guò)截取會(huì)話 ID 并透明地重建失敗的會(huì)話， Web交換機(jī)除去了一個(gè)連接失 敗后為建立新會(huì)話而做的處理復(fù)雜的談判任務(wù)。內(nèi)容傳送網(wǎng)絡(luò)加速Web Cache技術(shù)是把大多數(shù)經(jīng)常被訪問(wèn)的內(nèi)容存放的距客戶更近從而提高了Web 的訪問(wèn)速度。 Web cache可以在企業(yè)的 Intern

53、et 接入處配置，在接入設(shè)備和 ISP POP 中骨干鏈路 之間，或在 ISP 網(wǎng)絡(luò)之間的邊緣。有許多的 Web cache實(shí)現(xiàn)方法，包括代理、透明的以及反向代理 cache。每一種技術(shù)的 區(qū)別在于在 Web 服務(wù)器訪問(wèn)途徑的什么地方配備和需要進(jìn)行配置的多少。Cache能力定義為一個(gè)對(duì)象可以被的潛力。 Web Cache只能 cache靜態(tài)的內(nèi)容，如 gif、 jpg和 PDF等。有一些類型的 Web的內(nèi)容是不能被 Cache的，比如動(dòng)態(tài)的內(nèi)容，包括 CGI 腳本、 RealAudio、ASP、加密的文件或與 cookie有關(guān)的象 shopping cards等。Internet專家證 實(shí)，當(dāng)

54、今 4050%的 Internet內(nèi)容是動(dòng)態(tài)的。 Web Cache的效率是用最大 cache命中率和最低 可能的請(qǐng)求 / 響應(yīng)延時(shí)來(lái)衡量的。 Cache的命中率受一系列因素的影響，包括工作負(fù)載、內(nèi) 存和磁盤大小、內(nèi)容老化算法等。透明 Caching在透明代理 Caching(Transparent Caching)環(huán)境中， Cache對(duì)于瀏覽器是透明的，瀏覽器不需要配置指向 Cache。用戶的請(qǐng)求經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備路由到 Cache，比如經(jīng)過(guò)路由器上的策 略過(guò)濾、遠(yuǎn)程的訪問(wèn)服務(wù)器或通過(guò)使用特殊用途的Web Cache前端設(shè)備，如 Web交換機(jī)。代理 Cache在代理 Cach(e Proxy Ca

55、ching)環(huán)境中，每個(gè) Web瀏覽器都要配置代理 Cache的 IP 地址， 所有用戶的請(qǐng)求都會(huì)轉(zhuǎn)發(fā)到代理。當(dāng)發(fā)起一個(gè)內(nèi)容請(qǐng)求時(shí)，每個(gè)請(qǐng)求都會(huì)轉(zhuǎn)到代理 Cache 的 IP 地址，不管是對(duì)動(dòng)態(tài)或靜態(tài)內(nèi)容的請(qǐng)求。 如果請(qǐng)求的內(nèi)容已經(jīng)在 Cache中，那么 Cache 直接把內(nèi)容發(fā)給客戶；如果請(qǐng)求的內(nèi)容不在 Cache中，請(qǐng)求被送到服務(wù)器獲取內(nèi)容，一旦 在服務(wù)器中找到了所需內(nèi)容， Cache響應(yīng)客戶，且如果內(nèi)容是可 Cache的，在 Cache中復(fù)制 一個(gè) copy。代理 Cache的主要的缺點(diǎn)是需要管理的， 缺少集中控制， 并且不能重新定向用戶繞過(guò)當(dāng) 掉的 Cache，而是送到“黑洞”中。Ca

56、che集群在一個(gè)位置配備多個(gè) Cache就是 Cache集群( Cache Clusterin)g 。 Cache集群提供冗余， 增加了 Cache的性能合擴(kuò)展能力。 Cache集群可以通過(guò)把多個(gè) Cache連接到一個(gè)路由器、第 4 層交換機(jī)或 Web 交換機(jī)上來(lái)實(shí)現(xiàn)。 Cache集群提供了冗余， 在單個(gè) Cache失敗時(shí)起到保護(hù) 作用。特別是代理 Cache，對(duì)單一的 Cache失敗很敏感。如果一個(gè)網(wǎng)絡(luò)中等 Cache失敗，所 有的配置使用它的瀏覽器都會(huì)失去與 Web 的連接。集群是一個(gè)相對(duì)于配置后備 Cache較好 的解決方案，因?yàn)楹笳咴黾恿舜?Cache管理的復(fù)雜程度6.1.4反向代理

57、 Cache代理和透明的 Cache是具有代表性的為優(yōu)化穿越網(wǎng)絡(luò)的所有 Internet 流量而配備的。反 向代理 Cache(Reverse Proxy Cachin，g RPC)則是典型的數(shù)據(jù)中心的擴(kuò)展。反向代理 Cache 是 Web 服務(wù)器的代理，而不是客戶的代理。事實(shí)上，反向代理 Cache對(duì)網(wǎng)絡(luò)來(lái)說(shuō)象是真正 的 Web服務(wù)器， DNS解析 RPC的IP地址而不是實(shí)際的服務(wù)器的 IP地址。Web交換機(jī)可以為不可 Cache的 HTTP 請(qǐng)求或不可 Cache的 TCP 請(qǐng)求(如 SSL)旁路 RPC。交換機(jī)旁路 RPC，把最初的 IP 地址信息和包含在流頭部的序列號(hào)發(fā)往服務(wù)器。服務(wù)

58、器直接向客戶答復(fù)，或轉(zhuǎn)發(fā)到 RPC 的交換機(jī)。兩種方法都不涉及 Cache，它可以集中資源 去服務(wù)可 Cache的內(nèi)容請(qǐng)求。6.1.5智能 Cache旁路動(dòng)態(tài)內(nèi)容，如電子商務(wù)的事務(wù)、股票交易、 ASP以及 CGI表單，是不能 Cache到 Cache 服務(wù)器的， 只有靜態(tài)的內(nèi)容是可以 Cache的?？梢?Cache的靜態(tài)的內(nèi)容的例子就是 gif、jpeg 和 pdf 文件等。代理、透明式和反向代理 Web Cache把所有客戶的請(qǐng)求都推向 Cache服務(wù)器，這給以產(chǎn) 生效益為目的想利用 Web Cache強(qiáng)行把所有請(qǐng)求(不管內(nèi)容)推向不能完成請(qǐng)求的服務(wù)器 的站點(diǎn)造成了很大的問(wèn)題。 Web交換機(jī)

59、具有完成智能 Cache旁路( Intelligent Cache Bypas)s 的能力，如果是動(dòng)態(tài)請(qǐng)求可以旁路代理、透明式或反向代理 Cache 服務(wù)器。當(dāng)不可 Cache 的或動(dòng)態(tài)的 URL 被指向 Cache時(shí)，由于 Cache需要判定這個(gè)請(qǐng)求的內(nèi)容不可 Cache，再?gòu)?源服務(wù)器獲取內(nèi)容，然后再轉(zhuǎn)發(fā)給客戶，會(huì)造成明顯的延時(shí)。在這種情況下，Cache基本上 變成了瓶頸。 Web 交換機(jī)的智能 Cache旁路能力除去了 Cache的重新定向動(dòng)態(tài)內(nèi)容請(qǐng)求的 負(fù)擔(dān)，因此提高了性能。動(dòng)態(tài)內(nèi)容復(fù)制Web 交換機(jī)可以設(shè)置某些內(nèi)容的負(fù)荷門限，當(dāng)此內(nèi)容的訪問(wèn)超過(guò)門限，交換機(jī)將動(dòng)態(tài) 復(fù)制熱點(diǎn)內(nèi)容到備份服

60、務(wù)器， 并重定向請(qǐng)求到備份服務(wù)器。 由于 Internet 的流量具有很強(qiáng)的 突發(fā)性，而且具有不可預(yù)見(jiàn)性，對(duì)于一些大型的網(wǎng)站，經(jīng)常會(huì)由于這種突發(fā)性的大業(yè)務(wù)量 造成服務(wù)器的擁塞，從而丟失很多交易量，但是如果增加服務(wù)器，又由于大多數(shù)時(shí)間沒(méi)有 利用到增加的服務(wù)器，造成資源利用率的降低。由于 Web 交換機(jī)具有這種動(dòng)態(tài)內(nèi)容復(fù)制的能力，本方案為用戶提供了一種靈活有效的 方案，即由 IDC 來(lái)解決這個(gè)問(wèn)題。 Web 交換機(jī)根據(jù)用戶內(nèi)容的訪問(wèn)量的大小，動(dòng)態(tài)地?cái)U(kuò)展 用戶服務(wù)器的能力，當(dāng) Web 交換機(jī)發(fā)現(xiàn)某些申請(qǐng)了這項(xiàng)服務(wù)的用戶的某些內(nèi)容的訪問(wèn)量達(dá) 到一定的門限時(shí)，交換機(jī)將動(dòng)態(tài)復(fù)制熱點(diǎn)內(nèi)容到溢出備份服務(wù)器，當(dāng)