吉通上海公司idc方案項目建議書

1、第 二 章 網(wǎng) 絡(luò) 方 案1 概述如下圖是整個 IDC 的建設(shè)框架，本章將闡述網(wǎng)絡(luò)框架的建設(shè)以及網(wǎng)絡(luò)管理。網(wǎng)絡(luò)架構(gòu)運行在布線系統(tǒng)，供電系統(tǒng)等基礎(chǔ)系統(tǒng)之上，同時為主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)提 供平臺。而在橫向結(jié)構(gòu)上， IDC 的網(wǎng)絡(luò)運行離不開網(wǎng)絡(luò)管理和運營維護(hù)。網(wǎng)絡(luò)架構(gòu)的可靠， 穩(wěn)定，高效，安全，可擴(kuò)展，可管理性將直接關(guān)系到上層的主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，也將直 接關(guān)系到 IDC 業(yè)務(wù)的順利開展和運行。 總之，網(wǎng)絡(luò)架構(gòu)是 IDC 建設(shè)框架中重要而又承上啟 下的一環(huán)，網(wǎng)絡(luò)系統(tǒng)的設(shè)計是否完善將直接影響到 IDC 建設(shè)的質(zhì)量。IDC 網(wǎng)絡(luò)架構(gòu)的整體設(shè)計框架如下圖所示。IDC 的業(yè)務(wù)將包含接入業(yè)務(wù)，空間出租業(yè)務(wù)，托管

2、業(yè)務(wù)，管理業(yè)務(wù)和增值業(yè)務(wù)。本章 將在介紹 IDC 網(wǎng)絡(luò)設(shè)計的同時， 闡述每個設(shè)計要點對 IDC 業(yè)務(wù)的影響和重要性。 因為上圖 中整個 IDC 建設(shè)框架的最終目的是為了 IDC 業(yè)務(wù)的開展和拓展， 在這個框架的每個部分都 必須貫穿為 IDC 業(yè)務(wù)開展服務(wù)的宗旨。本章將從托管服務(wù)，網(wǎng)絡(luò)安全， Internet 連接，內(nèi)容交換，內(nèi)容傳送，后臺連接和網(wǎng)絡(luò) 管理等方面具體闡述 IDC 網(wǎng)絡(luò)解決方案對 IDC 業(yè)務(wù)的針對性設(shè)計。2 托管服務(wù)IDC 的基本業(yè)務(wù)包括網(wǎng)站托管( Web hosting)和主機(jī)托管( Co-location)兩大類。其中網(wǎng)站托管分為共享式和獨享式兩種。由于其業(yè)務(wù)模式的不同，使得

3、其在對網(wǎng)絡(luò)設(shè)計時的要 求也不相同。以下分別給出基于兩種不同模式時的網(wǎng)絡(luò)全貌。基于主機(jī)托管的 IDC 網(wǎng)絡(luò)全貌主機(jī)托管是 IDC 初期為其用戶提供的一種基礎(chǔ)服務(wù)。網(wǎng)站及企業(yè)用戶自身擁有若干服 務(wù)器，并把它放置在 IDC 的機(jī)房里，由客戶自己進(jìn)行維護(hù)。主機(jī)托管業(yè)務(wù)的特點：投資降低，用戶可使用已購買的服務(wù)器等設(shè)備，無需再作設(shè)備 投資，并且可采用 IDC 提供的線路。該業(yè)務(wù)適合于自身有較強(qiáng)的網(wǎng)絡(luò)運行維護(hù)經(jīng)驗并在數(shù)據(jù)中心建立之前已投入人力物力 建設(shè)了網(wǎng)站設(shè)備的大型企業(yè)用戶。如著名的 Yahoo、eBay、Amazon。 com 都采用了主機(jī)托 管業(yè)務(wù)。提供主機(jī)托管業(yè)務(wù)的 IDC 向其用戶提供的業(yè)務(wù)主要包

4、括與 Internet 網(wǎng)的連接以及提供獨 立安全的場地，這樣對于 IDC 而言在進(jìn)行網(wǎng)絡(luò)設(shè)計時必須考慮提高網(wǎng)絡(luò)連接的速度及可靠 性，從而為用戶提供高質(zhì)量的服務(wù)。對主機(jī)托管業(yè)務(wù)， IDC 可為客戶提供 n x 100M或者千兆獨占帶寬的電信級專業(yè)機(jī)房租 用服務(wù)，包括隨時可擴(kuò)充的獨占帶寬UPS不間斷電源保障 24小時實時攝像監(jiān)控電源控制系統(tǒng) 保安系統(tǒng)消防系統(tǒng)以及可選的機(jī)柜出租：標(biāo)準(zhǔn)電信級機(jī)柜：高 2M、深 1M 或 1。2米、寬 19 英寸每臺機(jī)柜提供獨立電源控制高速以太網(wǎng)接口獨立風(fēng)扇設(shè)備基于主機(jī)托管業(yè)務(wù) IDC 的網(wǎng)絡(luò)全貌如下圖所示， 網(wǎng)絡(luò)分為 Internet 連接層、核心層和服 務(wù)器接入層

5、。在提供主機(jī)托管服務(wù)給用戶時， IDC 服務(wù)提供商將負(fù)責(zé)提供 Internet 連接層、核心層、 分布層及服務(wù)器接入層的設(shè)備并保障其穩(wěn)定運行。用戶則需要自己負(fù)責(zé)服務(wù)器以及包含防 火墻等在內(nèi)的內(nèi)部網(wǎng)絡(luò)。有關(guān)網(wǎng)絡(luò)各層的描述，請參見后續(xù)相應(yīng)章節(jié)?；诰W(wǎng)站托管的 IDC 網(wǎng)絡(luò)全貌網(wǎng)站托管是 IDC 經(jīng)過發(fā)展后而開展的一項業(yè)務(wù)。用戶采用 IDC 提供的服務(wù)器來存放數(shù) 據(jù)，運行軟件?？傮w來講數(shù)據(jù)中心的硬件設(shè)備主要包括：服務(wù)器陣列、網(wǎng)絡(luò)設(shè)備（路由器、 交換機(jī)）、機(jī)房控制設(shè)備、防火系統(tǒng)、備用電源、空調(diào)設(shè)施等。數(shù)據(jù)服務(wù)中心的建設(shè)除了 必須具有一定面積的機(jī)房和相當(dāng)數(shù)量的服務(wù)器外，還必須對運維管理、安全系統(tǒng)、監(jiān)控等

6、 設(shè)施、工具和專業(yè)服務(wù)進(jìn)行深入的考慮。提供網(wǎng)站托管業(yè)務(wù)的 IDC 向其用戶提供的業(yè)務(wù)主要包括網(wǎng)絡(luò)設(shè)施及網(wǎng)站托管，這樣對于 IDC 而言在進(jìn)行網(wǎng)絡(luò)設(shè)計時必須考慮以下要素：提高服務(wù)器及 Web 應(yīng)用的可訪問性， 這需要網(wǎng)絡(luò)具有內(nèi)容識別 (Content Aware) 的功能為方便租用主機(jī)的用戶易于控制及管理其主機(jī)內(nèi)容，提供相應(yīng)的管理平臺。2.2.1 獨享式網(wǎng)站托管IDC 為用戶提供專用主機(jī)，這更適合于具有復(fù)雜業(yè)務(wù)的站點。專用主機(jī)可以為這些關(guān) 鍵應(yīng)用提供高質(zhì)量、安全的服務(wù)。對于這種業(yè)務(wù)模型，用戶將其服務(wù)器包給了數(shù)據(jù)服務(wù)中 心經(jīng)營者，用戶不必?fù)碛杏嬎銠C(jī)、網(wǎng)絡(luò)方面的技術(shù)人員而享受數(shù)據(jù)服務(wù)中心所提供的全套

7、 專業(yè)服務(wù)。為了保證服務(wù)質(zhì)量， 獲得相應(yīng)的高增值服務(wù)費用， IDC 服務(wù)經(jīng)營者通常與用戶制定 SLA ( Service Level Agreement)。運營者遵照 SLA 上規(guī)定的條例保證服務(wù)的不間斷、丟包率、 網(wǎng)絡(luò)響應(yīng)時間。經(jīng)營者通過提供例如：平臺設(shè)計、服務(wù)監(jiān)控、服務(wù)品質(zhì)測試、網(wǎng)絡(luò)安全管 理和緩存等項增值服務(wù)加強(qiáng)市場競爭力。對中小型網(wǎng)站而言，無論是從運營維護(hù)的角度，還是對整體業(yè)務(wù)收入而言，與場地租 用的服務(wù)相比，獨享主機(jī)服務(wù)更能吸引 IDC 的經(jīng)營者。根據(jù)用戶需求的不同，我們可以定 義單機(jī)，雙機(jī)集群或包括數(shù)據(jù)庫服務(wù)器的獨享主機(jī)服務(wù)包。其他作為獨享主機(jī)托管服務(wù)的部分還應(yīng)包括：電信級高品質(zhì)機(jī)

8、房環(huán)境和設(shè)備 可靠的供電系統(tǒng) 恒溫恒濕控制系統(tǒng) 19英寸標(biāo)準(zhǔn)機(jī)架 10M/100M 共享或獨占接口 獨立 IP 地址 服務(wù)器配置 服務(wù)器系統(tǒng)軟件安裝、調(diào)試 247 網(wǎng)絡(luò)系統(tǒng)管理維護(hù)與技術(shù)支持 24小時實時的服務(wù)器運行狀態(tài)、流量監(jiān)測 詳細(xì)的訪問統(tǒng)計報告 緊急狀況的處理共享式網(wǎng)站托管又可稱為虛擬主機(jī)業(yè)務(wù)，是指在一種 Internet 的網(wǎng)站工作環(huán)境下， IDC 的網(wǎng)絡(luò)服務(wù)器可 以容納許多相互獨立的多個網(wǎng)站和 Email 系統(tǒng)，并且由 IDC 提供管理維護(hù)服務(wù)。而每一位 客戶可以有條件地訪問和控制服務(wù)器上的一小部分，從而用來構(gòu)建自己的網(wǎng)站。虛擬主機(jī)依托于一臺服務(wù)器，多個網(wǎng)站可以在這臺服務(wù)器上共享資源

9、（硬盤空間、處 理器以及內(nèi)存空間），單獨的一臺服務(wù)器上可以同時運行多個虛擬主機(jī)。虛擬主機(jī)是一種初級的網(wǎng)絡(luò)系統(tǒng)方案，其用途主要是容納一些中小型企業(yè)應(yīng)用以及靜 態(tài)網(wǎng)頁。在商業(yè)網(wǎng)站發(fā)展的早期階段，是系統(tǒng)采取的主要解決方案。其業(yè)務(wù)需求的前提如 下：建設(shè)網(wǎng)站系統(tǒng)需要高額的硬件費用；缺乏維護(hù)這些系統(tǒng)的有經(jīng)驗的專家；網(wǎng)站比較簡單；交互應(yīng)用程序較少；網(wǎng)絡(luò)帶寬的限制?，F(xiàn)在 Internet 上很多網(wǎng)站都采用虛擬主機(jī)系統(tǒng)方案。 虛擬主機(jī)業(yè)務(wù)市場將會隨著這個產(chǎn) 業(yè)的發(fā)展而不斷調(diào)整與變化，不斷地滿足如小型企業(yè)、社會團(tuán)體以及其它僅需要一種簡單 的網(wǎng)頁系統(tǒng)的需求。但由于這種業(yè)務(wù)模式的技術(shù)難度不大，所需投資較小，競爭也比較

10、激 烈，利潤也較低。在 IDC 網(wǎng)絡(luò)建設(shè)初期，虛擬主機(jī)業(yè)務(wù)為服務(wù)提供商提供了巨大的市場機(jī)遇，而且它是 實施其他增值服務(wù)（例如應(yīng)用托管業(yè)務(wù)）的基礎(chǔ)共享式網(wǎng)站托管是深受中、小企業(yè)歡迎的一個價廉物美的服務(wù)，內(nèi)容包括：國際、國內(nèi)域名代理申請URL 域名解析FTP訪問及其密碼修改斷點續(xù)傳支持CGI/Perl 支持，專用 CGI BIN 目錄Active X/VB Script 支持JAVA Applet/Class 支持防火墻保護(hù)服務(wù)器 24 小時不間斷運行WEB 設(shè)計服務(wù)WEB Counter 計數(shù)器Banner廣告條搜索引擎Email 自動轉(zhuǎn)發(fā)、回復(fù)及郵件列表支持IDC 可根據(jù)用戶對以上功能的選擇及

11、對存儲空間的要求，定義成不同級別的服務(wù)包提 供給最終用戶。在基于網(wǎng)站托管業(yè)務(wù) IDC 的網(wǎng)絡(luò)全貌如下圖所示，網(wǎng)絡(luò)分為 Internet 連接層、核心層、 分布層、服務(wù)器接入及后臺管理平臺。在提供網(wǎng)站托管業(yè)務(wù)時， IDC 服務(wù)提供商需提供并管理所有各層的設(shè)備，對于 IDC 的 用戶是完全透明的，從而用戶可以專注于其業(yè)務(wù)而無需負(fù)責(zé)任何系統(tǒng)的管理。對于網(wǎng)絡(luò)結(jié) 構(gòu)中各層的詳細(xì)描述，請參見后續(xù)相應(yīng)章節(jié)。3 網(wǎng)絡(luò)安全眾所周知，作為全球使用范圍最大的信息網(wǎng)， Internet 自身協(xié)議的開放性極大地方便了 各種計算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視， 以及在使用和管理上的

12、無政府狀態(tài)， 逐漸使 Internet 自身的安全受到嚴(yán)重威脅， 與它有關(guān)的 安全事故屢有發(fā)生。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：拒絕服務(wù)、非授權(quán)訪問、冒充合法用 戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等方面。這就要 求我們對與 Internet 互連所帶來的安全性問題予以足夠重視。IDC 以 Internet 技術(shù)體系作為基礎(chǔ)，主要特點是以 TCP/IP 為傳輸協(xié)議和以瀏覽器 /WEB 為處理模式。所以我們在 IDC 的設(shè)計中必須充分重視安全問題，盡可能的減少安全漏洞。 此外，我們還應(yīng)該根據(jù) IDC 的客戶需求提供不同的安全服務(wù)， 同時最大限度的保證 IDC 網(wǎng) 絡(luò)管理中

13、心（ NOC ）自身的安全I(xiàn)DC 的安全需求我們把對于 IDC 的安全需求分為三類：分別是 IDC 基本服務(wù)，IDC 增值服務(wù)，IDC NOC 對于 IDC 基本服務(wù)的安全需求如下：AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計的功能防 Dos 黑客攻擊功能線速 ACL 功能對于 IDC 增值服務(wù)的安全需求如下：AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計的功能防 Dos 黑客攻擊功能線速 ACL 功能防火墻及防火墻平滑切換功能入侵檢測功能漏洞檢測功能線速 NAT對于 IDC NOC 的安全需求如下：AAA 服務(wù)，提供認(rèn)證，授權(quán)及審計的功能 防 Dos 黑客攻擊功能線速 ACL 功能防火墻及防火墻平滑切換功能入侵檢

14、測功能漏洞檢測功能線速 NATACL 的策略管理安全元件的策略管理VPNAAA 服務(wù)所謂 AAA 是( Authentication、Authorization、 Accounting)的縮寫，即認(rèn)證、授權(quán)、記帳功能，簡單的說：認(rèn)證：用戶身份的確認(rèn)，確定允許哪些用戶登錄，對用戶的身份的校驗。授權(quán)：當(dāng)用戶登錄后允許該用戶可以干什么，執(zhí)行哪些操作的授權(quán)記帳：記錄用戶登錄后干了些什么AAA 功能的 實施 需要 兩部 分的 配合：支 持 AAA 的網(wǎng)絡(luò)設(shè)備、 AAA 服務(wù)器。 RADIUS/TACACS+ 是實施 AAA 常用的協(xié)議，認(rèn)證軟件需要有完整的記帳功能，并且可以 將 USER 信息直接導(dǎo)入軟

15、件的用戶數(shù)據(jù)庫，極大方便的 AAA 服務(wù)的用戶管理。在使用 AAA 的功能后用戶通過網(wǎng)絡(luò)遠(yuǎn)程登錄到網(wǎng)絡(luò)設(shè)備上的基本過程如下：用戶執(zhí)行遠(yuǎn)程登錄命令（例如： Telnet），網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。用戶輸入口令后，網(wǎng)絡(luò)設(shè)備向 AAA 服務(wù)器查詢該用戶是否有權(quán)登錄。AAA 服務(wù)器檢索用戶數(shù)據(jù)庫，如果該用戶允許登錄則向網(wǎng)絡(luò)設(shè)備返回 PERMIT 信息和 該用戶在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時將用戶登錄的時間、 IP 作詳細(xì)記錄；若不能在用 戶數(shù)據(jù)庫中檢索到該用戶的信息則返回 DENY 信息，并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送 SNMP 的警告消息。當(dāng)網(wǎng)絡(luò)設(shè)備得到 AAA 的應(yīng)答后，可以根據(jù)應(yīng)答的內(nèi)容

16、作出相應(yīng)的操作，如果應(yīng)答為 DENY 則關(guān)閉掉當(dāng)前的 SESSION 進(jìn)程；如果為 PERMIT 則根據(jù) AAA 服務(wù)器返回的用戶權(quán) 限為該用戶開啟 SESSION進(jìn)程，并將用戶所執(zhí)行的操作向 AAA 服務(wù)器進(jìn)行報告。通過 AAA 的實施我們可以方便的控制網(wǎng)絡(luò)設(shè)備的安全性， 同時結(jié)合 ACL 的設(shè)置限制能 夠進(jìn)行遠(yuǎn)程登錄的工作站的數(shù)量、 IP 地址降低網(wǎng)絡(luò)設(shè)備受到攻擊的可能性。防 DoS 黑客攻擊在拒絕服務(wù)（ DoS）攻擊中，惡意用戶向服務(wù)器發(fā)送多個認(rèn)證請求，使其滿負(fù)載，并且所有請求的返回地址都是偽造的。當(dāng)服務(wù)器企圖將認(rèn)證結(jié)果返回給用戶時，它將無法找到 這些用戶。在這種情況下，服務(wù)器只好等待，

17、有時甚至?xí)却?1 分鐘才能關(guān)閉此次連接。 當(dāng)服務(wù)器關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請求，以上過程又重復(fù)發(fā)生，直到服 務(wù)器因過載而拒絕提供服務(wù)。分布式拒絕服務(wù)（ DDOS ）把 DoS又向前發(fā)展了一步。 DoS攻擊需要攻擊者手工操作， 而 DDOS 則將這種攻擊行為自動化。與其他分布式概念類似，分布式拒絕服務(wù)可以方便地 協(xié)調(diào)從多臺計算機(jī)上啟動的進(jìn)程。在這種情況下，就會有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，并 使其因過載而崩潰。DDOS 工作的基本概念如圖所示。黒客（ client）在不同的主機(jī)（ handler）上安裝大量 的 DoS 服務(wù)程序，它們等待來自中央客戶端（ client）的命令，中央

18、客戶端隨后通知全體受 控服務(wù)程序（ agent），并指示它們對一個特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請求。該工具 將攻擊一個目標(biāo)的任務(wù)分配給所有可能的 DoS 服務(wù)程序，這就是它被叫做分布式 DoS的原 因。實際的攻擊并不僅僅是簡單地發(fā)送海量信息，而是采用 DDOS 的變種工具，這些工具 可以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強(qiáng)大或者使追蹤攻擊者變得更困難。首先，現(xiàn)在的 DDOS 工具基本上都可以偽裝源地址。 它們發(fā)送原始的 IP 包（ raw IP packe）t ，由于 Internet 協(xié)議本身的缺陷， IP 包中包括的源地址是可以偽裝的， 這也是追蹤 DDOS 攻擊者很困難的 主要原因。其次，

19、DDOS 也可以利用協(xié)議的缺陷，例如，它可以通過 SYN 打開半開的 TCP 連接，這是一個很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊力更強(qiáng)， DDOS 通常會利 用任何一種通過發(fā)送單獨的數(shù)據(jù)包就能探測到的協(xié)議缺陷，并利用這些缺陷進(jìn)行攻擊防范攻擊的措施1。過濾進(jìn)網(wǎng)和出網(wǎng)的流量網(wǎng)絡(luò)服務(wù)提供商應(yīng)該實施進(jìn)網(wǎng)流量過濾措施，目的是阻止任何偽造 IP 地址的數(shù)據(jù)包 進(jìn)入網(wǎng)絡(luò)，從而從源頭阻止諸如 DDOS 這樣的分布式網(wǎng)絡(luò)攻擊的發(fā)生或削弱其攻擊效果。2。采用網(wǎng)絡(luò)入侵檢測系統(tǒng) IDS當(dāng)系統(tǒng)收到來自奇怪或未知地址的可疑流量時，網(wǎng)絡(luò)入侵檢測系統(tǒng)IDS (IntrusionDetection System)s 能夠

20、給系統(tǒng)管理人員發(fā)出報警信號，提醒他們及時采取應(yīng)對措施，如切 斷連接或反向跟蹤等。3。具體措施在路由器和 Web 交換機(jī)上， 它將丟棄下列類型的數(shù)據(jù)幀：長度太短；幀被分段；源地址與目的地址相同；源地址為我們的內(nèi)部地址，或源地址為子網(wǎng)廣播地址； 源地址不是單播地址；源地址是環(huán)回地址； 目的地址是環(huán)回地址；目的地址不是有效的單播或組播地址此外，對于 HTTP 數(shù)據(jù)流，WEB 交換機(jī)必須在 HTTP 流啟動后的 16 秒內(nèi)接受一個有效 的幀，否則它將丟棄這個幀并中斷這個流；對于 TCP數(shù)據(jù)流， WEB 交換機(jī)必須在 16秒內(nèi)接受一個返回的 ack，否則它將終 止這個 TCP 流；對于任意嘗試過 8次以

21、上 SYN 的數(shù)據(jù)流， WEB 交換機(jī)將終止這個流， 并且停止 處理同樣 SYN，源地址，目的地址及端口號對的數(shù)據(jù)流。在核心交換機(jī)上我們可以用線速的 ACL 來達(dá)到上述類似的幀丟棄策略，我們還可以用 CAR 的方法對 ping及 SYN的數(shù)據(jù)流進(jìn)行帶寬控制，以預(yù)防 DDOS 的攻擊。漏洞檢測漏洞檢測( Vulnerability Scanne)r 就是對重要計算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被 黑客利用的漏洞。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻 擊是可能的，因此成為安全方案的一個重要組成部分。安全掃描服務(wù)器可以對網(wǎng)絡(luò)設(shè)備進(jìn)行自動的安全漏洞檢測和分析，并且在實行過程中

22、支持基于策略的安全風(fēng)險管理過程。 另外，互聯(lián)網(wǎng)掃描執(zhí)行預(yù)定的或事件驅(qū)動的網(wǎng)絡(luò)探測， 包括對網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、 Web 服務(wù)器、防火墻和應(yīng)用程序的檢測，從而去識別能被入侵者利用來進(jìn)入網(wǎng)絡(luò)的漏洞。安全掃描服務(wù)器同時能進(jìn)行系統(tǒng)掃描。系統(tǒng)掃描通過對企業(yè)內(nèi)部操作系統(tǒng)安全弱點的 完全的分析，幫助組織管理安全風(fēng)險。系統(tǒng)掃描通過比較規(guī)定的安全策略和實際的主機(jī)配 置來發(fā)現(xiàn)潛在的安全風(fēng)險，包括缺少安全補丁、詞典中可猜的口令、不適當(dāng)?shù)挠脩魴?quán)限、 不正確的系統(tǒng)登錄權(quán)限、不安全的服務(wù)配置和代表攻擊的可疑的行為。系統(tǒng)安全掃描還可 以修復(fù)有問題的系統(tǒng)，自動產(chǎn)生文件所有權(quán)和文件權(quán)限的修復(fù)腳本。安全掃描

23、服務(wù)器能提供實時入侵檢測和實時報警。當(dāng)收到安全性消息時，圖形用戶界 面上相應(yīng)的主機(jī)狀態(tài)顏色和安全性消息組的圖標(biāo)都應(yīng)有相應(yīng)變化，以幫助操作人員快速地 確定報警的原因和范疇。入侵檢測入侵檢測( Intrude Detection)具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計、自動地收集和系統(tǒng) 相關(guān)的補丁、進(jìn)行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功 能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。實時入侵檢測系統(tǒng)解決方 案，用于檢測、報告和終止整個網(wǎng)絡(luò)中未經(jīng)授權(quán)的活動。 它可以在 Internet 和內(nèi)

24、部網(wǎng)環(huán)境中 操作，保護(hù)整個網(wǎng)絡(luò)。入侵檢測系統(tǒng)包括兩個部件： Sensor和 Director。Sensor不影響網(wǎng)絡(luò)性能，它分析各個 數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。如果一個網(wǎng)絡(luò)的數(shù)據(jù)流遇到未經(jīng)授權(quán)的活動，例如 SATAN 攻擊、 PING 攻擊或秘密的研究項目代碼字， Sensor可以實時檢測政策 違規(guī)，給 Director 管理控制臺轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪除入侵者?；诰W(wǎng)絡(luò)的實時入侵檢測系統(tǒng)，能夠監(jiān)控整個數(shù)據(jù)網(wǎng)絡(luò)，需要是具備最新攻擊檢測功 能的穩(wěn)健的全天候監(jiān)控和應(yīng)答系統(tǒng)，能在本地、地區(qū)和總部監(jiān)視控制臺之間指導(dǎo)和轉(zhuǎn)發(fā)告 警的分布式入侵檢測系統(tǒng)。同時需要能夠允許部署大量 Sensor

25、和 Director 的可伸縮的體系 結(jié)構(gòu)，在大型網(wǎng)絡(luò)環(huán)境中提供全面的覆蓋面，與現(xiàn)有網(wǎng)絡(luò)管理工具和實踐平滑集成的入侵 檢測系統(tǒng)。入侵檢測系統(tǒng)通常具有的關(guān)鍵特性包括：對合法流量 / 網(wǎng)絡(luò)使用透明的實時入侵檢測對未經(jīng)授權(quán)活動的實時應(yīng)對可以阻止黑客訪問網(wǎng)絡(luò)或終止違規(guī)會話 全面的攻擊簽名目錄可以檢測廣泛的攻擊，檢測基于內(nèi)容和上下文的攻擊 支持廣泛的速度和接口類型，包括 10/100 Mbps 以太網(wǎng)、令牌環(huán)網(wǎng)和 FDDI 告警包括攻擊者和目的地 IP 地址、目的地端口、攻擊介紹以及捕獲的攻擊前鍵 入的字符適合特大規(guī)模分布式網(wǎng)絡(luò)的可伸縮性專用 VLANIDC 環(huán)境是一個典型的多客戶的服務(wù)器群結(jié)構(gòu)，每個托

26、管客戶從一個公共的數(shù)據(jù)中心中的一系列服務(wù)器上提供 Web 服務(wù)。這樣，屬于不同客戶的服務(wù)器之間的安全就顯得至關(guān) 重要。一個保證托管客戶之間安全的通用方法就是給每個客戶分配一個 VLAN 和相關(guān)的 IP 子網(wǎng)。通過使用 VLAN ，每個客戶被從第 2層隔離開，可以防止任何惡意的行為和 Ethernet 的信息探聽。然而，這種分配每個客戶單一 VLAN 和IP 子網(wǎng)的模型造成了巨大的擴(kuò)展方面 的局限。這些局限主要有以下幾方面：VLAN 的限制： LAN 交換機(jī)固有的 VLAN 數(shù)目的限制復(fù)雜的 STP：對于每個 VLAN ，一個相關(guān)的 Spanning-tree的拓?fù)涠夹枰芾鞩P 地址的緊缺：

27、IP 子網(wǎng)的劃分勢必造成一些地址的浪費路由的限制：如果使用 HSRP，每個子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置在一個 IDC 中，流量的流向幾乎都是在服務(wù)器與客戶之間，而服務(wù)器間的橫向的通信 幾乎沒有。 Cisco 在 IP 地址管理方案中引入了一種新的 VLAN 機(jī)制，服務(wù)器同在一個子網(wǎng) 中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。這一新的 VLAN 特性就是專用 VLAN (private VLAN ，pVLAN )。這種特性是 Cisco公司的專有技術(shù)，但特別適用于 IDC 。專用 VLAN 是第 2層的機(jī)制，在同一個 2 層域中有兩類不同安全級別的訪問端口。與 服務(wù)器連接的端口稱作專用端口( pri

28、vate port)，一個專用端口限定在第 2 層，它只能發(fā)送 流量到混雜端口，也只能檢測從混雜端口來的流量。混雜端口(promiscuous port)沒有專用端口的限定，它與路由器或第 3 層交換機(jī)接口相連。簡單地說，在一個專用 VLAN 內(nèi)， 專用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口(混雜端 口和專用端口)下圖示出了同一專用 VLAN 中兩類端口的關(guān)系專用 VLAN 的應(yīng)用在多客戶的數(shù)據(jù)中心是非常有效的，因為 IDC 的網(wǎng)絡(luò)中，服務(wù)器只 需與自己的缺省網(wǎng)關(guān)連接，一個專用 VLAN 不需要多個 VLAN 和 IP 子網(wǎng)就提供了這樣的 安全連接。在這一模型中，所

29、有的服務(wù)器都接入專用 VLAN ，從而實現(xiàn)了所有服務(wù)器與缺 省網(wǎng)關(guān)的連接，而與專用 VLAN 內(nèi)的其他服務(wù)器沒有任何訪問。 目前，Cisco的 Catalyst Switch 6000/6500系列交換機(jī)支持專用 VLAN 。4 Internet 連接作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Internet連接層提供了 IDC 與公共 IP 網(wǎng)的橋 梁，它的運行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必 須具有以下的特點： 高速的路由交換能力 對各種高級路由協(xié)議（如 BGP 等）的全面支持 具備豐富的接口類型 完善的 QOS 支持能力在 Internet

30、 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核 心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng) 絡(luò)核心骨干接入作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Internet連接層提供了 IDC 與公共 IP 網(wǎng)的橋 梁，它的運行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必 須具有以下的特點： 高速的路由交換能力 對各種高級路由協(xié)議（如 BGP 等）的全面支持 具備豐富的接口類型 完善的 QOS 支持能力在 Internet 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核 心層互連。

31、借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng) 絡(luò)核心。帶寬管理在 IDC 的業(yè)務(wù)中，通常針對提供不同的帶寬收取不同的費用， 所以帶寬管理成為 Internet 連接中提供服務(wù)質(zhì)量的重要保證。識別網(wǎng)絡(luò)流量URL 或通配符（用IDC 的帶寬管理需要支持多種協(xié)議和應(yīng)用程序，并且可以根據(jù)自己的需要，自行設(shè)定 相應(yīng)的標(biāo)準(zhǔn)來區(qū)分更多的類型?？梢酝ㄟ^應(yīng)用、服務(wù)、協(xié)議、端口數(shù)、 于Web通信)、主機(jī)名稱、優(yōu)先權(quán)、以及 IP或MAC 地址對通信量進(jìn)行分類。只有這樣才 能對用戶提供完善的帶寬管理機(jī)制。像 HTTP 、FTP 和 Telnet 這樣的 IP 協(xié)議， 以及像 SNA、NetBI

32、OS 和 AppleTalk 這樣的非 IP 協(xié)議，帶寬管理都應(yīng)該能自動識別，并根據(jù)用戶的需要進(jìn)行有效的處理。例如，你可以 將 SAP/R3 通信量根據(jù)一個特定客戶式特定服務(wù)器隔開， 使 TN3270 交互式通信量與打印通 信量分開，甚至把一個 H。323 視頻會議的數(shù)據(jù)信道和控制信道區(qū)分開來。保證應(yīng)用性能帶寬管理需要保證關(guān)鍵的和交互式的應(yīng)用獲得其所需要的帶寬，同時限制普通應(yīng)用對 帶寬的需求。每種通信類型映射到一項特定的帶寬分配政策上，確保每種通信類型得到一 個適當(dāng)?shù)膸?。速率政? Rate policies)限制或保證每個單獨對話的帶寬，抑制那些貪婪的應(yīng)用通信， 或者保護(hù)對時延敏感的流量。

33、比如，一個 HTTP cap會使 Web 游覽避免使用他人的帶寬。 而且獲得保證的音頻或視頻流動速率，避免出現(xiàn)惱人的不穩(wěn)定性。速率政策是為應(yīng)用提供 沒有被使用的帶寬，所以，昂貴的帶寬從不會被浪費。測量、分析和生成報表網(wǎng)絡(luò)管理員在制訂一項帶寬管理策略之前及之后必須分析其網(wǎng)絡(luò)應(yīng)用通信的模式，以 測量其是否成功。帶寬管理將跟蹤平均和高峰通信量水平，計算在重新傳輸上所浪費的帶 寬比例，突出最主要用戶和應(yīng)用程序，并且測量性能。網(wǎng)絡(luò)總結(jié)以及特定上下文的報表提 供了對網(wǎng)絡(luò)趨勢的輕松訪問。響應(yīng)時間特征允許你測量性能，設(shè)置可接受性標(biāo)準(zhǔn)，并跟蹤響應(yīng)質(zhì)量是否堅持了標(biāo)準(zhǔn)流量控制和監(jiān)視控制IDC 的帶寬管理是非常復(fù)雜的

34、業(yè)務(wù)和技術(shù)控制，所以，需要一個簡單易用的進(jìn)行操作 的管理界面。通過這一界面，網(wǎng)絡(luò)管理員可在任何時候、任何地方，通過網(wǎng)絡(luò)來配置、控 制和監(jiān)控帶寬分配情況。輕松部署硬件帶寬管理器通常位于網(wǎng)絡(luò)瓶頸上，通常在路由器和核心交換機(jī)之間。為了網(wǎng)絡(luò)性 能的考慮，帶寬管理器需要與現(xiàn)有的網(wǎng)絡(luò)順利集成，不需要任何新的協(xié)議或者重新配置路 由器，也不需要修改拓樸結(jié)構(gòu)和桌面。它不能是一個網(wǎng)絡(luò)故障點，如果帶寬管理器發(fā)生故 障或者被關(guān)掉，它需要會像一根電纜一樣發(fā)揮作用。用于 IDC 的硬件帶寬管理器在當(dāng)前市 場上主要有 Alteon 公司、 Packeteer公司和 Intel 公司的帶寬管理器。利用路由器和交換機(jī)的特定 Q

35、OS( Quality of Service)技術(shù)，也能實現(xiàn)帶寬管理。比如 Cisco 公司的 CAR( Committed Access Rat)e 技術(shù)。對本地帶寬管理也可以通過四層交換機(jī)來實現(xiàn)。 Foundry，Alteon 和 Cisco 公司的四層交 換機(jī)都支持本地帶寬管理。5 內(nèi)容交換內(nèi)容交換提供數(shù)據(jù)流的負(fù)載均衡以提高 IDC 的網(wǎng)絡(luò)性能，特別是服務(wù)器的響應(yīng)性能。內(nèi)容交換同時對應(yīng)用層的數(shù)據(jù)提供適當(dāng)?shù)目刂埔詽M足應(yīng)用的要求，比如對SSL( SecuritySocket Laye)r 連接的控制。這在本節(jié)將有具體闡述?；?IP 的負(fù)載均衡數(shù)據(jù)中心的服務(wù)提供商除了向客戶提供一些基本的主機(jī)

36、托管和網(wǎng)站托管服務(wù)外，還需 要提供一些更高級別的增值服務(wù)來吸引用戶、拓展市場。作為數(shù)據(jù)中心托管用戶的主體， 例如 ICP 網(wǎng)站、電子商務(wù)網(wǎng)站、企業(yè)網(wǎng)站等，它們托管或租用在數(shù)據(jù)中心的大部分服務(wù)器 都是基于 Internet TCP/IP 協(xié)議的應(yīng)用服務(wù)器，例如 WWW服務(wù)器、 FTP服務(wù)器等。對于這 些用戶而言，如何保證這些關(guān)鍵服務(wù)器的高可靠性、高可用性和可擴(kuò)展性是非常重要的。 因此，如果數(shù)據(jù)中心的服務(wù)提供商能夠給客戶提供這種高可用性服務(wù)，就可以像保險公司 的保險費一樣，來向客戶收取一定的增值服務(wù)費用！并且對數(shù)據(jù)中心的各種類型用戶都帶 來好處：對主機(jī)租用用戶來講，他們的服務(wù)器硬件本身都是租用數(shù)據(jù)

37、中心的，因此自然希 望數(shù)據(jù)中心能夠?qū)Ψ?wù)器系統(tǒng)的可用性提出更高的保證；對主機(jī)托管用戶來講，盡管服務(wù) 器是自身攜帶的，但是除了極少部分大的網(wǎng)站有資金、有技術(shù)能力來自行解決關(guān)鍵服務(wù)器 系統(tǒng)的高可用性問題外，大多數(shù)的網(wǎng)站并不具備這樣的條件，他們希望數(shù)據(jù)中心服務(wù)提供 商能夠作為他們的 Virtual IT 部門，能夠給他們提供一個完善的解決方案。下面我們以數(shù)據(jù)中心中最為普遍的服務(wù) WWW 服務(wù)為例，來詳細(xì)講解如何實現(xiàn)Internet 服務(wù)的高可用性，即關(guān)鍵服務(wù)器系統(tǒng)的高可用性。以前作為一個網(wǎng)站通常采用的方式是 WWW 服務(wù)器由一臺硬件配置非常高的 UNIX 服 務(wù)器來擔(dān)當(dāng)，盡管成本昂貴，但這樣做仍然不

38、能保證它的可靠性、可用性、可維護(hù)性：一 是因為一臺服務(wù)器仍作不到硬件級的完全容錯，保證不了可靠性；二是因為一臺服務(wù)器的 網(wǎng)絡(luò)帶寬有限，保證不了可用性；三是因為當(dāng)這臺服務(wù)器進(jìn)行硬件或軟件升級時，不可避 免地要中斷 WWW 服務(wù)，保證不了可維護(hù)性?；谏鲜鲈?，人們提出了 DNS 輪詢方案（DNSRoundRobin）試圖解決 WWW 服 務(wù)的可用性問題， 即多臺 WWW 鏡像主機(jī)在 DNS 中對應(yīng)同一域名，當(dāng)用戶訪問 WWW，要 求 DNS 服務(wù)器解析域名時， DNS 服務(wù)器按 DNS 請求的先后順序把域名依次解析成其中一 臺 WWW 主機(jī)的 IP 地址，從而把任務(wù)平均分擔(dān)到數(shù)臺 WWW 主機(jī)上

39、，來提高 WWW 服務(wù) 的整體性能。它的優(yōu)點是：實現(xiàn)簡單、實施容易、成本低；但是，它的缺點也非常明顯： 不是真正意義上的負(fù)載均衡， DNS 服務(wù)器將 HTTP 請求平均地分配到后臺的 WWW 服務(wù)器 上，而不考慮每個 WWW 服務(wù)器當(dāng)前的負(fù)載情況；如果后臺的 WWW 服務(wù)器的配置和處理 能力不同，最慢的 WWW 服務(wù)器將成為系統(tǒng)的瓶頸，處理能力強(qiáng)的服務(wù)器不能充分發(fā)揮作 用；另外未考慮容錯， 如果后臺的某一臺 WWW 服務(wù)器出現(xiàn)故障， DNS 服務(wù)器仍會把 DNS 請求分配到這臺故障服務(wù)器上，導(dǎo)致對客戶端的不能響應(yīng)。而這最后一個缺點是致命的， 有可能造成相當(dāng)一部分客戶不能訪問 WWW服務(wù)，并且由

40、于 DNS 緩存的原因，造成的惡劣 后果要持續(xù)相當(dāng)長一段時間（一般 DNS 刷新周期約 24 小時）。此外，還有一些基于群集（Cluster）技術(shù)的軟件解決方案來保證 WWW 服務(wù)的高可用性。 它的通用做法是通過在操作系統(tǒng)的基礎(chǔ)上安裝操作系統(tǒng)廠商的群集軟件或第三方的群集軟 件（絕大多數(shù)支持 WWW 服務(wù)的群集），例如 Microsoft Cluster Serve、r Turbo Linux 、Cluster Server 等，來做到應(yīng)用級的互為備份或負(fù)載平衡。互為備份（ Active/Standby）方式下，其 中 一 臺 服 務(wù) 器 缺 省 處 于 活 動 狀 態(tài) （ Active/Pri

41、mary ） ， 而 另 一 臺 處 于 睡 眠 狀 態(tài) （Standby/Backup），當(dāng)主服務(wù)器系統(tǒng)死機(jī)或應(yīng)用不能正常服務(wù)時，備份服務(wù)器會自動變成 活動狀態(tài)，從而接管原主服務(wù)器的任務(wù)，保證應(yīng)用能夠繼續(xù)服務(wù)。負(fù)載平衡方式下，可以有多臺服務(wù)器，每一個服務(wù)器都承擔(dān)一定的應(yīng)用。它們之間即可以互為備份，也可以有專門一臺備份服務(wù)器，它在群集正常時不承擔(dān)任何任務(wù)，但是當(dāng)群集中的某一臺服務(wù)器發(fā)生 故障時，它會自動激活，從而接管故障服務(wù)器的任務(wù)。但是，它也存在以下缺點：安裝、 配置復(fù)雜，難于維護(hù)和管理；群集軟件與服務(wù)器的硬件平臺和操作系統(tǒng)密切相關(guān)，不能做 到設(shè)備無關(guān)性和無縫升級；實現(xiàn)負(fù)載平衡的算法簡單，一

42、般是根據(jù)輪詢(Round Robin)，有些 WWW 群集軟件可支持設(shè)定權(quán)重( Weighting)算法，但權(quán)重( weighting)是人為設(shè)定， 并不能客觀反映每一臺服務(wù)器的 HTTP 請求響應(yīng)能力以及當(dāng)前負(fù)載情況；與硬件實現(xiàn)方案 (Layer4的負(fù)載平衡交換設(shè)備)比較起來，性能較低，另外支持的 Web Site的規(guī)模較小(WWW 服務(wù)器最多可以到 16臺)；不能實現(xiàn) HTTPS 等特殊應(yīng)用的負(fù)載平衡(這是因為在 HTTPS 應(yīng)用中，客戶端和服務(wù)器端要進(jìn)行身份驗證、交換證書和密鑰，所以客戶端和服務(wù)器端應(yīng) 一一對應(yīng)，同一客戶的請求應(yīng)由同一臺服務(wù)器來處理)。當(dāng)然更為重要的一點是，作為數(shù) 據(jù)中心

43、的托管用戶， 他們往往不希望數(shù)據(jù)中心服務(wù)提供商在他們的服務(wù)器上安裝任何軟件！正因為上述的解決方案存在這樣或那樣的問題，因此，隨著 Internet 技術(shù)的發(fā)展，出現(xiàn) 了基于應(yīng)用、甚至基于內(nèi)容的負(fù)載平衡設(shè)備，即我們通常所說的第四層、第七層智能負(fù)載 平衡設(shè)備。它們通過硬件技術(shù)或?qū)Ｓ玫?ASIC 芯片來實現(xiàn) WWW 等應(yīng)用服務(wù)器的負(fù)載均衡 和高可用性解決方案。通過這種技術(shù)可以提高 WWW 服務(wù)器的整體處理能力，并提高整個 服務(wù)器系統(tǒng)的可靠性、可用性、可維護(hù)性、可擴(kuò)展性，保證 WWW 服務(wù)質(zhì)量的 QOS，提供 基于 URL、基于內(nèi)容的交換(當(dāng)采用第七層負(fù)載平衡設(shè)備時)，最終用一組低處理能力、 低實現(xiàn)成

44、本的主機(jī)提供大規(guī)模、高性能、可擴(kuò)展的 WWW 服務(wù)。以下是關(guān)于采用第四層負(fù)載平衡設(shè)備實現(xiàn) WWW 服務(wù)的負(fù)載平衡的一般介紹：在第四 層負(fù)載平衡設(shè)備上設(shè)置 WWW 服務(wù)的虛擬 IP 地址( Virtual IP Address)，這個虛擬 IP地址是 DNS 服務(wù)器中解析到的 WWW 服務(wù)器的 IP 地址，對客戶端是可見的。當(dāng)客戶訪問此 WWW 應(yīng)用時，客戶端的 HTTP 請求會先被第四層負(fù)載平衡設(shè)備接收到，它會基于第四層 交換技術(shù)實時檢測后臺 WWW 服務(wù)器的負(fù)載，根據(jù)設(shè)定的算法進(jìn)行快速交換，交給當(dāng)前最 可用、負(fù)載最輕的服務(wù)器來處理。常見的算法有以下幾種：輪詢(Round Robin)、權(quán)重(

45、 Weighting)、最少連接 (Least connection)、隨機(jī)(Random)、響應(yīng)時間 (Response Time) 等。通過這種技術(shù)可將大量的、并發(fā)性的用戶請求分配到多個服務(wù)器來處理，從而降低單 個服務(wù)器的負(fù)載，避免服務(wù)器的死機(jī)或響應(yīng)延遲過大！另外，這種負(fù)載平衡設(shè)備還可以幾 乎實時地檢測到后臺服務(wù)器的硬件、操作系統(tǒng)、網(wǎng)絡(luò)甚至應(yīng)用級別的狀態(tài)，從而避免客戶 的請求被失效的服務(wù)器處理。應(yīng)用負(fù)載均衡第七層應(yīng)用負(fù)載平衡設(shè)備是近一、兩年才出現(xiàn)的最新技術(shù)，它主要用于實現(xiàn) WWW 應(yīng) 用的負(fù)載平衡和服務(wù)質(zhì)量保證。它與第四層負(fù)載平衡設(shè)備比較起來：第七層負(fù)載平衡設(shè)備 不僅能檢查 TCP/IP

46、數(shù)據(jù)包的 TCP、UDP 端口號( Transportation Laye)r ，從而轉(zhuǎn)發(fā)給后臺 的某一個服務(wù)器來處理， 而且它能從會話層 (Session Laye)r 以上來分析 HTTP 請求的 URL， 根據(jù) URL 的不同將不同的 HTTP 請求交給不同的服務(wù)器來處理(可以具體到某一類文件， 甚至某一個文件)，甚至同一個 URL 請求可以讓多個服務(wù)器來響應(yīng)以分擔(dān)負(fù)載(當(dāng)客戶訪 問某一個 URL，發(fā)起 HTTP 請求時，它實際上要與服務(wù)器建立多個會話連接，得到多個對 象 Object，例如。 txt/ 。gif/ 。jpg 文檔，當(dāng)這些對象都下載到本地后，才組成一個完整的 頁面)跨地域

47、負(fù)載均衡前面講述的都是關(guān)于如何在本地局域網(wǎng)實現(xiàn) WWW 等應(yīng)用服務(wù)器的負(fù)載平衡，那么如 何實現(xiàn)應(yīng)用服務(wù)器的廣域網(wǎng)上的負(fù)載平衡，從而保證應(yīng)用的冗災(zāi)備份，以及如何有效的根 據(jù)客戶的地域分布、廣域網(wǎng)絡(luò)的連通狀態(tài)或延遲時間來將客戶定向到他們最適合訪問的站 點呢？這些都涉及到廣域網(wǎng)的負(fù)載平衡技術(shù)( Global Server Load Balance)，常見的廣域網(wǎng) 負(fù)載平衡產(chǎn)品都是基于 DNS 重定向原理來實現(xiàn)的， 即當(dāng)客戶訪問某一個網(wǎng)站時， 例如 www。 時，客戶的關(guān)于這個網(wǎng)站的 DNS 域名解析請求會被這個廣域網(wǎng)的負(fù)載平衡設(shè) 備來處理，而這個廣域網(wǎng)的負(fù)載平衡設(shè)備會基于客戶端的 IP 地址范圍、客

48、戶端與各節(jié)點的 網(wǎng)絡(luò)延遲、各節(jié)點的狀態(tài)及負(fù)載等參數(shù)，然后根據(jù)一定的算法來判斷那個節(jié)點最適合用戶 訪問，從而將這個節(jié)點的 IP 地址或 VIP 地址返回給客戶。常見的廣域網(wǎng)負(fù)載平衡算法有： 輪詢( RoundRobin)、加權(quán)輪詢( Weighted RoundRobin)、隨機(jī)( Random)、最少連 接數(shù)(Least Connection)、最低 CPU 利用率( Lowest CPU Utilization)、HTTP 重定向(HTTP Redirection)等。Cookie和 SSL會話的連接鎖定為了使得一個電子商務(wù)的事務(wù)成功，客戶必須被鎖定到指定的服務(wù)器上直到事務(wù)完成。 保持到一個

49、服務(wù)器持續(xù)的連接，稱為“鎖定”，這是任何創(chuàng)造利潤的電子商務(wù) WEB 站點的 關(guān)鍵。Web交換機(jī)可以讀到分布在多個包中的 Cookie 并有能力識別一個 Cookie。Cookie可以 由 Web 交換機(jī)內(nèi)部產(chǎn)生或在服務(wù)器上產(chǎn)生。 一旦 Cookie 被設(shè)定，用戶的瀏覽器就被透明地 刷新?？梢援a(chǎn)生 Cookie對電子商務(wù)站點基于 Cookie 使流量具有優(yōu)先級是有益的。 如果進(jìn)入一個請求并且提供了一個 Cookie，用戶的優(yōu)先級字段就會決定那個服務(wù)器群接受請求。如果沒有提供 Cookie，請求要么被送到認(rèn)證服務(wù)器，要么交換機(jī)內(nèi)部產(chǎn)生一個新的Cookie。這個請求就有一個有優(yōu)先級設(shè)置的 Cooki

50、e，這個優(yōu)先級會把用戶定向到合適得服務(wù)器群。保護(hù)基于 Web的商務(wù)的最常用的方法就是使用流行的 SSL（Secure Socket Lay）er協(xié)議 SSL是端到端的加密機(jī)制，是當(dāng)今 Web 商務(wù)加密的主要方法。基于 SSL會話 ID 維持持續(xù)性優(yōu)化了電子商務(wù)的商務(wù)完整性， 保證了安全和性能的均衡。 在一個安全的事務(wù)中， Web交換機(jī)維持從用戶 Cookie（購物）到 SSL會話 ID （結(jié)帳）的轉(zhuǎn) 化。這一點很關(guān)鍵，因為 Cookie 處于為進(jìn)行 SSL事務(wù)而加密的 HTTP 頭部，所以維持鎖定 連的 Web交換機(jī)不能讀到。用戶瀏覽器與服務(wù)器之間開始的 SSL Hello 消息含有一個空的

51、會話 ID 字段（如果要建立一個新的 SSL會話）或上一次客戶使用得 SSL會話。但是，這并 不是下面的電子事務(wù)使用的 SSL會話 ID 。作為客戶 Hello 消息的響應(yīng)，服務(wù)器挑選一個新 的會話 ID 并把自己的帶有會話 ID 的 Hello 發(fā)回到客戶端。 CSS交換機(jī)在服務(wù)器的 Hello 中 檢測到這個新的 SSL會話 ID 并把請求路由到這一時刻最合適的服務(wù)器。 后續(xù)的有這個會話 ID 的請求都將被轉(zhuǎn)到同一臺服務(wù)器。為了優(yōu)化資源，當(dāng)一個會話在一個定義的時間段處于休止?fàn)顟B(tài)后，Web 服務(wù)器會終止這個會話。當(dāng)幾分鐘沒有操作后，服務(wù)器會做超時處理，釋放這個會話ID 。當(dāng)用戶發(fā)送一個新的請

52、求時，服務(wù)器把它作為一個新用戶處理，會建立一個新的會話。如果用戶填了一個很長的表格，比如抵押申請或信用證明，那么所有剛填寫的信息都會丟失，必須重新來 過。Web 交換機(jī)解決方案為加密會話提供鎖定連接，不僅提高了效率和用戶滿意度，也顯著地減少了服務(wù)器上應(yīng)用的壓力。由于建立會話的握手會涉及交換公鑰，會產(chǎn)生計算資源 的最大的消耗。通過截取會話 ID 并透明地重建失敗的會話， Web交換機(jī)除去了一個連接失 敗后為建立新會話而做的處理復(fù)雜的談判任務(wù)。內(nèi)容傳送網(wǎng)絡(luò)加速Web Cache技術(shù)是把大多數(shù)經(jīng)常被訪問的內(nèi)容存放的距客戶更近從而提高了Web 的訪問速度。 Web cache可以在企業(yè)的 Intern

53、et 接入處配置，在接入設(shè)備和 ISP POP 中骨干鏈路 之間，或在 ISP 網(wǎng)絡(luò)之間的邊緣。有許多的 Web cache實現(xiàn)方法，包括代理、透明的以及反向代理 cache。每一種技術(shù)的 區(qū)別在于在 Web 服務(wù)器訪問途徑的什么地方配備和需要進(jìn)行配置的多少。Cache能力定義為一個對象可以被的潛力。 Web Cache只能 cache靜態(tài)的內(nèi)容，如 gif、 jpg和 PDF等。有一些類型的 Web的內(nèi)容是不能被 Cache的，比如動態(tài)的內(nèi)容，包括 CGI 腳本、 RealAudio、ASP、加密的文件或與 cookie有關(guān)的象 shopping cards等。Internet專家證 實，當(dāng)

54、今 4050%的 Internet內(nèi)容是動態(tài)的。 Web Cache的效率是用最大 cache命中率和最低 可能的請求 / 響應(yīng)延時來衡量的。 Cache的命中率受一系列因素的影響，包括工作負(fù)載、內(nèi) 存和磁盤大小、內(nèi)容老化算法等。透明 Caching在透明代理 Caching(Transparent Caching)環(huán)境中， Cache對于瀏覽器是透明的，瀏覽器不需要配置指向 Cache。用戶的請求經(jīng)過網(wǎng)絡(luò)設(shè)備路由到 Cache，比如經(jīng)過路由器上的策 略過濾、遠(yuǎn)程的訪問服務(wù)器或通過使用特殊用途的Web Cache前端設(shè)備，如 Web交換機(jī)。代理 Cache在代理 Cach(e Proxy Ca

55、ching)環(huán)境中，每個 Web瀏覽器都要配置代理 Cache的 IP 地址， 所有用戶的請求都會轉(zhuǎn)發(fā)到代理。當(dāng)發(fā)起一個內(nèi)容請求時，每個請求都會轉(zhuǎn)到代理 Cache 的 IP 地址，不管是對動態(tài)或靜態(tài)內(nèi)容的請求。 如果請求的內(nèi)容已經(jīng)在 Cache中，那么 Cache 直接把內(nèi)容發(fā)給客戶；如果請求的內(nèi)容不在 Cache中，請求被送到服務(wù)器獲取內(nèi)容，一旦 在服務(wù)器中找到了所需內(nèi)容， Cache響應(yīng)客戶，且如果內(nèi)容是可 Cache的，在 Cache中復(fù)制 一個 copy。代理 Cache的主要的缺點是需要管理的， 缺少集中控制， 并且不能重新定向用戶繞過當(dāng) 掉的 Cache，而是送到“黑洞”中。Ca

56、che集群在一個位置配備多個 Cache就是 Cache集群( Cache Clusterin)g 。 Cache集群提供冗余， 增加了 Cache的性能合擴(kuò)展能力。 Cache集群可以通過把多個 Cache連接到一個路由器、第 4 層交換機(jī)或 Web 交換機(jī)上來實現(xiàn)。 Cache集群提供了冗余， 在單個 Cache失敗時起到保護(hù) 作用。特別是代理 Cache，對單一的 Cache失敗很敏感。如果一個網(wǎng)絡(luò)中等 Cache失敗，所 有的配置使用它的瀏覽器都會失去與 Web 的連接。集群是一個相對于配置后備 Cache較好 的解決方案，因為后者增加了代理 Cache管理的復(fù)雜程度6.1.4反向代理

57、 Cache代理和透明的 Cache是具有代表性的為優(yōu)化穿越網(wǎng)絡(luò)的所有 Internet 流量而配備的。反 向代理 Cache(Reverse Proxy Cachin，g RPC)則是典型的數(shù)據(jù)中心的擴(kuò)展。反向代理 Cache 是 Web 服務(wù)器的代理，而不是客戶的代理。事實上，反向代理 Cache對網(wǎng)絡(luò)來說象是真正 的 Web服務(wù)器， DNS解析 RPC的IP地址而不是實際的服務(wù)器的 IP地址。Web交換機(jī)可以為不可 Cache的 HTTP 請求或不可 Cache的 TCP 請求(如 SSL)旁路 RPC。交換機(jī)旁路 RPC，把最初的 IP 地址信息和包含在流頭部的序列號發(fā)往服務(wù)器。服務(wù)

58、器直接向客戶答復(fù)，或轉(zhuǎn)發(fā)到 RPC 的交換機(jī)。兩種方法都不涉及 Cache，它可以集中資源 去服務(wù)可 Cache的內(nèi)容請求。6.1.5智能 Cache旁路動態(tài)內(nèi)容，如電子商務(wù)的事務(wù)、股票交易、 ASP以及 CGI表單，是不能 Cache到 Cache 服務(wù)器的， 只有靜態(tài)的內(nèi)容是可以 Cache的?？梢?Cache的靜態(tài)的內(nèi)容的例子就是 gif、jpeg 和 pdf 文件等。代理、透明式和反向代理 Web Cache把所有客戶的請求都推向 Cache服務(wù)器，這給以產(chǎn) 生效益為目的想利用 Web Cache強(qiáng)行把所有請求(不管內(nèi)容)推向不能完成請求的服務(wù)器 的站點造成了很大的問題。 Web交換機(jī)

59、具有完成智能 Cache旁路( Intelligent Cache Bypas)s 的能力，如果是動態(tài)請求可以旁路代理、透明式或反向代理 Cache 服務(wù)器。當(dāng)不可 Cache 的或動態(tài)的 URL 被指向 Cache時，由于 Cache需要判定這個請求的內(nèi)容不可 Cache，再從 源服務(wù)器獲取內(nèi)容，然后再轉(zhuǎn)發(fā)給客戶，會造成明顯的延時。在這種情況下，Cache基本上 變成了瓶頸。 Web 交換機(jī)的智能 Cache旁路能力除去了 Cache的重新定向動態(tài)內(nèi)容請求的 負(fù)擔(dān)，因此提高了性能。動態(tài)內(nèi)容復(fù)制Web 交換機(jī)可以設(shè)置某些內(nèi)容的負(fù)荷門限，當(dāng)此內(nèi)容的訪問超過門限，交換機(jī)將動態(tài) 復(fù)制熱點內(nèi)容到備份服

60、務(wù)器， 并重定向請求到備份服務(wù)器。 由于 Internet 的流量具有很強(qiáng)的 突發(fā)性，而且具有不可預(yù)見性，對于一些大型的網(wǎng)站，經(jīng)常會由于這種突發(fā)性的大業(yè)務(wù)量 造成服務(wù)器的擁塞，從而丟失很多交易量，但是如果增加服務(wù)器，又由于大多數(shù)時間沒有 利用到增加的服務(wù)器，造成資源利用率的降低。由于 Web 交換機(jī)具有這種動態(tài)內(nèi)容復(fù)制的能力，本方案為用戶提供了一種靈活有效的 方案，即由 IDC 來解決這個問題。 Web 交換機(jī)根據(jù)用戶內(nèi)容的訪問量的大小，動態(tài)地擴(kuò)展 用戶服務(wù)器的能力，當(dāng) Web 交換機(jī)發(fā)現(xiàn)某些申請了這項服務(wù)的用戶的某些內(nèi)容的訪問量達(dá) 到一定的門限時，交換機(jī)將動態(tài)復(fù)制熱點內(nèi)容到溢出備份服務(wù)器，當(dāng)