IDC網(wǎng)絡(luò)設(shè)計(jì)方案

2019-11-04 21:28:51

字體：大中小

供稿：網(wǎng)友

　　1　　　　　概述
　　如下圖是整個(gè)IDC的建設(shè)框架，本章將闡述網(wǎng)絡(luò)框架的建設(shè)以及網(wǎng)絡(luò)治理。
　　　

　　網(wǎng)絡(luò)架構(gòu)運(yùn)行在布線系統(tǒng)，供電系統(tǒng)等基礎(chǔ)系統(tǒng)之上，同時(shí)為主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)提供平臺(tái)。而在橫向結(jié)構(gòu)上，IDC的網(wǎng)絡(luò)運(yùn)行離不開(kāi)網(wǎng)絡(luò)治理和運(yùn)營(yíng)維護(hù)。網(wǎng)絡(luò)架構(gòu)的可靠，穩(wěn)定，高效，安全，可擴(kuò)展，可治理性將直接關(guān)系到上層的主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，也將直接關(guān)系到IDC業(yè)務(wù)的順利開(kāi)展和運(yùn)行。總之，網(wǎng)絡(luò)架構(gòu)是IDC建設(shè)框架中重要而又承上啟下的一環(huán)，網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)是否完善將直接影響到IDC建設(shè)的質(zhì)量。
　　
　　IDC網(wǎng)絡(luò)架構(gòu)的整體設(shè)計(jì)框架如下圖所示。
　　　

　　IDC的業(yè)務(wù)將包含接入業(yè)務(wù)，空間出租業(yè)務(wù)，托管業(yè)務(wù)，治理業(yè)務(wù)和增值業(yè)務(wù)。本章將在介紹IDC網(wǎng)絡(luò)設(shè)計(jì)的同時(shí)，闡述每個(gè)設(shè)計(jì)要點(diǎn)對(duì)IDC業(yè)務(wù)的影響和重要性。因?yàn)樯蠄D中整個(gè)IDC建設(shè)框架的最終目的是為了IDC業(yè)務(wù)的開(kāi)展和拓展，在這個(gè)框架的每個(gè)部分都必須貫穿為IDC業(yè)務(wù)開(kāi)展服務(wù)的宗旨。
　　
　　本章將從托管服務(wù)，網(wǎng)絡(luò)安全，Internet連接，內(nèi)容交換，內(nèi)容傳送，后臺(tái)連接和網(wǎng)絡(luò)治理等方面具體闡述IDC網(wǎng)絡(luò)解決方案對(duì)IDC業(yè)務(wù)的針對(duì)性設(shè)計(jì)。
　　
　　2　　　　　托管服務(wù)
　　IDC的基本業(yè)務(wù)包括網(wǎng)站托管（Web hosting）和主機(jī)托管（Co-location）兩大類(lèi)。其中網(wǎng)站托管分為共享式和獨(dú)享式兩種。由于其業(yè)務(wù)模式的不同，使得其在對(duì)網(wǎng)絡(luò)設(shè)計(jì)時(shí)的要求也不相同。以下分別給出基于兩種不同模式時(shí)的網(wǎng)絡(luò)全貌。
　　　

　　2.1　　基于主機(jī)托管的IDC網(wǎng)絡(luò)全貌
　　主機(jī)托管是IDC初期為其用戶提供的一種基礎(chǔ)服務(wù)。網(wǎng)站及企業(yè)用戶自身?yè)碛腥舾煞?wù)器，并把它放置在IDC的機(jī)房里，由客戶自己進(jìn)行維護(hù)。
　　
　　主機(jī)托管業(yè)務(wù)的特點(diǎn)：投資降低，用戶可使用已購(gòu)買(mǎi)的服務(wù)器等設(shè)備，無(wú)需再作設(shè)備投資，并且可采用IDC提供的線路。
　　
　　該業(yè)務(wù)適合于自身有較強(qiáng)的網(wǎng)絡(luò)運(yùn)行維護(hù)經(jīng)驗(yàn)并在數(shù)據(jù)中心建立之前已投入人力物力建設(shè)了網(wǎng)站設(shè)備的大型企業(yè)用戶。如聞名的Yahoo、eBay、Amazon。com都采用了主機(jī)托管業(yè)務(wù)。
　　
　　提供主機(jī)托管業(yè)務(wù)的IDC向其用戶提供的業(yè)務(wù)主要包括與Internet網(wǎng)的連接以及提供獨(dú)立安全的場(chǎng)地，這樣對(duì)于IDC而言在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮提高網(wǎng)絡(luò)連接的速度及可靠性，從而為用戶提供高質(zhì)量的服務(wù)。
　　
　　對(duì)主機(jī)托管業(yè)務(wù)，IDC可為客戶提供n x 100M或者千兆獨(dú)占帶寬的電信級(jí)專(zhuān)業(yè)機(jī)房租用服務(wù)，包括
　　
　　·　　　　隨時(shí)可擴(kuò)充的獨(dú)占帶寬
　　
　　·　　　　 UPS不間斷電源保障
　　
　　·　　　　 24小時(shí)實(shí)時(shí)攝像監(jiān)控
　　
　　·　　　　電源控制系統(tǒng)
　　
　　·　　　　保安系統(tǒng)
　　
　　·　　　　消防系統(tǒng)
　　
　　以及可選的機(jī)柜出租：
　　
　　·　　　　標(biāo)準(zhǔn)電信級(jí)機(jī)柜：高2M、深1M或1。2米、寬19英寸
　　
　　·　　　　每臺(tái)機(jī)柜提供獨(dú)立電源控制
　　
　　·　　　　高速以太網(wǎng)接口
　　
　　·　　　　獨(dú)立風(fēng)扇設(shè)備
　　
　　基于主機(jī)托管業(yè)務(wù)IDC的網(wǎng)絡(luò)全貌如下圖所示，網(wǎng)絡(luò)分為Internet連接層、核心層和服務(wù)器接入層。
　　　

　　在提供主機(jī)托管服務(wù)給用戶時(shí)，IDC服務(wù)提供商將負(fù)責(zé)提供Internet連接層、核心層、分布層及服務(wù)器接入層的設(shè)備并保障其穩(wěn)定運(yùn)行。用戶則需要自己負(fù)責(zé)服務(wù)器以及包含防火墻等在內(nèi)的內(nèi)部網(wǎng)絡(luò)。有關(guān)網(wǎng)絡(luò)各層的描述，請(qǐng)參見(jiàn)后續(xù)相應(yīng)章節(jié)。
　　
　　2.2　　基于網(wǎng)站托管的IDC網(wǎng)絡(luò)全貌
　　網(wǎng)站托管是IDC經(jīng)過(guò)發(fā)展后而開(kāi)展的一項(xiàng)業(yè)務(wù)。用戶采用IDC提供的服務(wù)器來(lái)存放數(shù)據(jù)，運(yùn)行軟件。總體來(lái)講數(shù)據(jù)中心的硬件設(shè)備主要包括：服務(wù)器陣列、網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）、機(jī)房控制設(shè)備、防火系統(tǒng)、備用電源、空調(diào)設(shè)施等。數(shù)據(jù)服務(wù)中心的建設(shè)除了必須具有一定面積的機(jī)房和相當(dāng)數(shù)量的服務(wù)器外，還必須對(duì)運(yùn)維治理、安全系統(tǒng)、監(jiān)控等設(shè)施、工具和專(zhuān)業(yè)服務(wù)進(jìn)行深入的考慮。
　　
　　提供網(wǎng)站托管業(yè)務(wù)的IDC向其用戶提供的業(yè)務(wù)主要包括網(wǎng)絡(luò)設(shè)施及網(wǎng)站托管，這樣對(duì)于IDC而言在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須考慮以下要素：
　　
　　·　　　　提高服務(wù)器及Web應(yīng)用的可訪問(wèn)性，這需要網(wǎng)絡(luò)具有內(nèi)容識(shí)別（Content Aware）的功能
　　
　　·　　　　為方便租用主機(jī)的用戶易于控制及治理其主機(jī)內(nèi)容，提供相應(yīng)的治理平臺(tái)。
　　
　　2.2.1　　　　　　　　獨(dú)享式網(wǎng)站托管
　　IDC為用戶提供專(zhuān)用主機(jī)，這更適合于具有復(fù)雜業(yè)務(wù)的站點(diǎn)。專(zhuān)用主機(jī)可以為這些要害應(yīng)用提供高質(zhì)量、安全的服務(wù)。對(duì)于這種業(yè)務(wù)模型，用戶將其服務(wù)器包給了數(shù)據(jù)服務(wù)中心經(jīng)營(yíng)者，用戶不必?fù)碛杏?jì)算機(jī)、網(wǎng)絡(luò)方面的技術(shù)人員而享受數(shù)據(jù)服務(wù)中心所提供的全套專(zhuān)業(yè)服務(wù)。
　　
　　為了保證服務(wù)質(zhì)量，獲得相應(yīng)的高增值服務(wù)費(fèi)用，IDC服務(wù)經(jīng)營(yíng)者通常與用戶制定SLA（Service Level Agreement）。運(yùn)營(yíng)者遵照SLA上規(guī)定的條例保證服務(wù)的不間斷、丟包率、網(wǎng)絡(luò)響應(yīng)時(shí)間。經(jīng)營(yíng)者通過(guò)提供例如：平臺(tái)設(shè)計(jì)、服務(wù)監(jiān)控、服務(wù)品質(zhì)測(cè)試、網(wǎng)絡(luò)安全治理和緩存等項(xiàng)增值服務(wù)加強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力。
　　
　　對(duì)中小型網(wǎng)站而言，無(wú)論是從運(yùn)營(yíng)維護(hù)的角度，還是對(duì)整體業(yè)務(wù)收入而言，與場(chǎng)地租用的服務(wù)相比，獨(dú)享主機(jī)服務(wù)更能吸引IDC的經(jīng)營(yíng)者。根據(jù)用戶需求的不同，我們可以定義單機(jī)，雙機(jī)集群或包括數(shù)據(jù)庫(kù)服務(wù)器的獨(dú)享主機(jī)服務(wù)包。其他作為獨(dú)享主機(jī)托管服務(wù)的一部分還應(yīng)包括：
　　
　　·　　　　電信級(jí)高品質(zhì)機(jī)房環(huán)境和設(shè)備
　　
　　·　　　　可靠的供電系統(tǒng)
　　
　　·　　　　恒溫恒濕控制系統(tǒng)
　　
　　·　　　　 19英寸標(biāo)準(zhǔn)機(jī)架
　　
　　·　　　　 10M/100M共享或獨(dú)占接口
　　
　　·　　　　獨(dú)立ip地址
　　
　　·　　　　服務(wù)器配置
　　
　　·　　　　服務(wù)器系統(tǒng)軟件安裝、調(diào)試
　　
　　·　　　　 24×7網(wǎng)絡(luò)系統(tǒng)治理維護(hù)與技術(shù)支持
　　
　　·　　　　 24小時(shí)實(shí)時(shí)的服務(wù)器運(yùn)行狀態(tài)、流量監(jiān)測(cè)
　　
　　·　　　　具體的訪問(wèn)統(tǒng)計(jì)報(bào)告
　　
　　·　　　　緊急狀況的處理
　　
　　2.2.2　　　　　　　　共享式網(wǎng)站托管
　　又可稱(chēng)為虛擬主機(jī)業(yè)務(wù)，是指在一種Internet的網(wǎng)站工作環(huán)境下，IDC的網(wǎng)絡(luò)服務(wù)器可以容納許多相互獨(dú)立的多個(gè)網(wǎng)站和Email系統(tǒng)，并且由IDC提供治理維護(hù)服務(wù)。而每一位客戶可以有條件地訪問(wèn)和控制服務(wù)器上的一小部分，從而用來(lái)構(gòu)建自己的網(wǎng)站。
　　
　　虛擬主機(jī)依托于一臺(tái)服務(wù)器，多個(gè)網(wǎng)站可以在這臺(tái)服務(wù)器上共享資源（硬盤(pán)空間、處理器以及內(nèi)存空間），單獨(dú)的一臺(tái)服務(wù)器上可以同時(shí)運(yùn)行多個(gè)虛擬主機(jī)。
　　
　　虛擬主機(jī)是一種初級(jí)的網(wǎng)絡(luò)系統(tǒng)方案，其用途主要是容納一些中小型企業(yè)應(yīng)用以及靜態(tài)網(wǎng)頁(yè)。在商業(yè)網(wǎng)站發(fā)展的早期階段，是系統(tǒng)采取的主要解決方案。其業(yè)務(wù)需求的前提如下：
　　
　　·　　　　建設(shè)網(wǎng)站系統(tǒng)需要高額的硬件費(fèi)用；
　　
　　·　　　　缺乏維護(hù)這些系統(tǒng)的有經(jīng)驗(yàn)的專(zhuān)家；
　　
　　·　　　　網(wǎng)站比較簡(jiǎn)單；
　　
　　·　　　　交互應(yīng)用程序較少；
　　
　　·　　　　網(wǎng)絡(luò)帶寬的限制。
　　
　　現(xiàn)在Internet上很多網(wǎng)站都采用虛擬主機(jī)系統(tǒng)方案。虛擬主機(jī)業(yè)務(wù)市場(chǎng)將會(huì)隨著這個(gè)產(chǎn)業(yè)的發(fā)展而不斷調(diào)整與變化，不斷地滿足如小型企業(yè)、社會(huì)團(tuán)體以及其它僅需要一種簡(jiǎn)單的網(wǎng)頁(yè)系統(tǒng)的需求。但由于這種業(yè)務(wù)模式的技術(shù)難度不大，所需投資較小，競(jìng)爭(zhēng)也比較激烈，利潤(rùn)也較低。
　　
　　在IDC網(wǎng)絡(luò)建設(shè)初期，虛擬主機(jī)業(yè)務(wù)為服務(wù)提供商提供了巨大的市場(chǎng)機(jī)遇，而且它是實(shí)施其他增值服務(wù)（例如應(yīng)用托管業(yè)務(wù)）的基礎(chǔ)。
　　
　　共享式網(wǎng)站托管是深受中、小企業(yè)歡迎的一個(gè)價(jià)廉物美的服務(wù)，內(nèi)容包括：
　　
　　·　　　　國(guó)際、國(guó)內(nèi)域名代理申請(qǐng)
　　
　　·　　　　 URL域名解析
　　
　　·　　　　 FTP訪問(wèn)及其密碼修改
　　
　　·　　　　斷點(diǎn)續(xù)傳支持
　　
　　·　　　　 CGI/Perl支持，專(zhuān)用CGI－BIN目錄
　　
　　·　　　　 Active X/VB Script支持
　　
　　·　　　　 java Applet/Class支持
　　
　　·　　　　防火墻保護(hù)
　　
　　·　　　　服務(wù)器24小時(shí)不間斷運(yùn)行
　　
　　·　　　　 WEB設(shè)計(jì)服務(wù)
　　
　　·　　　　 WEB Counter計(jì)數(shù)器
　　
　　·　　　　 Banner廣告條
　　
　　·　　　　搜索引擎
　　
　　·　　　　 Email自動(dòng)轉(zhuǎn)發(fā)、回復(fù)及郵件列表支持
　　
　　IDC可根據(jù)用戶對(duì)以上功能的選擇及對(duì)存儲(chǔ)空間的要求，定義成不同級(jí)別的服務(wù)包提供給最終用戶。
　　
　　在基于網(wǎng)站托管業(yè)務(wù)IDC的網(wǎng)絡(luò)全貌如下圖所示，網(wǎng)絡(luò)分為Internet連接層、核心層、分布層、服務(wù)器接入及后臺(tái)治理平臺(tái)。
　　　

　　在提供網(wǎng)站托管業(yè)務(wù)時(shí)，IDC服務(wù)提供商需提供并治理所有各層的設(shè)備，對(duì)于IDC的用戶是完全透明的，從而用戶可以專(zhuān)注于其業(yè)務(wù)而無(wú)需負(fù)責(zé)任何系統(tǒng)的治理。對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)中各層的具體描述，請(qǐng)參見(jiàn)后續(xù)相應(yīng)章節(jié)。
　　
　　3　　　　　網(wǎng)絡(luò)安全
　　　

　　眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開(kāi)放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問(wèn)題的忽視，以及在使用和治理上的無(wú)政府狀態(tài)，逐漸使Internet自身的安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：拒絕服務(wù)、非授權(quán)訪問(wèn)、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽(tīng)等方面。這就要求我們對(duì)與Internet互連所帶來(lái)的安全性問(wèn)題予以足夠重視。
　　
　　IDC以Internet技術(shù)體系作為基礎(chǔ)，主要特點(diǎn)是以TCP/IP為傳輸協(xié)議和以瀏覽器/WEB為處理模式。所以我們?cè)贗DC的設(shè)計(jì)中必須充分重視安全問(wèn)題，盡可能的減少安全漏洞。此外，我們還應(yīng)該根據(jù)IDC的客戶需求提供不同的安全服務(wù)，同時(shí)最大限度的保證IDC 網(wǎng)絡(luò)治理中心（NOC）自身的安全。
　　
　　3.1　　IDC的安全需求
　　我們把對(duì)于IDC的安全需求分為三類(lèi)：分別是IDC基本服務(wù)，IDC增值服務(wù)，IDC NOC。
　　
　　對(duì)于IDC基本服務(wù)的安全需求如下：
　　
　　·　　　　 AAA服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能
　　
　　·　　　　防Dos 黑客攻擊功能
　　
　　·　　　　線速ACL功能
　　
　　對(duì)于IDC 增值服務(wù)的安全需求如下：
　　
　　·　　　　 AAA服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能
　　
　　·　　　　防Dos 黑客攻擊功能
　　
　　·　　　　線速ACL功能
　　
　　·　　　　防火墻及防火墻平滑切換功能
　　
　　·　　　　入侵檢測(cè)功能
　　
　　·　　　　漏洞檢測(cè)功能
　　
　　·　　　　線速NAT
　　
　　對(duì)于 IDC NOC的安全需求如下：
　　
　　·　　　　 AAA服務(wù)，提供認(rèn)證，授權(quán)及審計(jì)的功能
　　
　　·　　　　防Dos 黑客攻擊功能
　　
　　·　　　　線速ACL功能
　　
　　·　　　　防火墻及防火墻平滑切換功能
　　
　　·　　　　入侵檢測(cè)功能
　　
　　·　　　　漏洞檢測(cè)功能
　　
　　·　　　　線速NAT
　　
　　·　　　　 ACL的策略治理
　　
　　·　　　　安全元件的策略治理
　　
　　·　　　　 VPN
　　
　　3.1.1　　　　　　　　AAA服務(wù)
　　所謂AAA是（Authentication、Authorization、Accounting）的縮寫(xiě)，即認(rèn)證、授權(quán)、記帳功能，簡(jiǎn)單的說(shuō)：
　　
　　認(rèn)證：用戶身份的確認(rèn)，確定答應(yīng)哪些用戶登錄，對(duì)用戶的身份的校驗(yàn)。
　　
　　授權(quán)：當(dāng)用戶登錄后答應(yīng)該用戶可以干什么，執(zhí)行哪些操作的授權(quán)。
　　
　　記帳：記錄用戶登錄后干了些什么。
　　
　　AAA功能的實(shí)施需要兩部分的配合：支持AAA的網(wǎng)絡(luò)設(shè)備、AAA服務(wù)器。RADIUS/TACACS+是實(shí)施AAA常用的協(xié)議，認(rèn)證軟件需要有完整的記帳功能，并且可以將USER 信息直接導(dǎo)入軟件的用戶數(shù)據(jù)庫(kù)，極大方便的AAA服務(wù)的用戶治理。
　　
　　在使用AAA的功能后用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程登錄到網(wǎng)絡(luò)設(shè)備上的基本過(guò)程如下：
　　
　　用戶執(zhí)行遠(yuǎn)程登錄命令（例如：Telnet），網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。
　　
　　用戶輸入口令后，網(wǎng)絡(luò)設(shè)備向AAA服務(wù)器查詢?cè)撚脩羰欠裼袡?quán)登錄。
　　
　　AAA服務(wù)器檢索用戶數(shù)據(jù)庫(kù)，假如該用戶答應(yīng)登錄則向網(wǎng)絡(luò)設(shè)備返回PERMIT信息和該用戶在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時(shí)將用戶登錄的時(shí)間、IP作具體記錄；若不能在用戶數(shù)據(jù)庫(kù)中檢索到該用戶的信息則返回DENY信息，并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送SNMP的警告消息。
　　
　　當(dāng)網(wǎng)絡(luò)設(shè)備得到AAA的應(yīng)答后，可以根據(jù)應(yīng)答的內(nèi)容作出相應(yīng)的操作，假如應(yīng)答為DENY則關(guān)閉掉當(dāng)前的session進(jìn)程；假如為PERMIT則根據(jù)AAA服務(wù)器返回的用戶權(quán)限為該用戶開(kāi)啟SESSION進(jìn)程，并將用戶所執(zhí)行的操作向AAA服務(wù)器進(jìn)行報(bào)告。
　　
　　通過(guò)AAA的實(shí)施我們可以方便的控制網(wǎng)絡(luò)設(shè)備的安全性，同時(shí)結(jié)合ACL的設(shè)置限制能夠進(jìn)行遠(yuǎn)程登錄的工作站的數(shù)量、IP地址降低網(wǎng)絡(luò)設(shè)備受到攻擊的可能性。
　　
　　3.1.2　　　　　　　　防DoS黑客攻擊
　　在拒絕服務(wù)（DoS）攻擊中，惡意用戶向服務(wù)器發(fā)送多個(gè)認(rèn)證請(qǐng)求，使其滿負(fù)載，并且所有請(qǐng)求的返回地址都是偽造的。當(dāng)服務(wù)器企圖將認(rèn)證結(jié)果返回給用戶時(shí)，它將無(wú)法找到這些用戶。在這種情況下，服務(wù)器只好等待，有時(shí)甚至?xí)却?分鐘才能關(guān)閉此次連接。當(dāng)服務(wù)器關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請(qǐng)求，以上過(guò)程又重復(fù)發(fā)生，直到服務(wù)器因過(guò)載而拒絕提供服務(wù)。
　　
　　分布式拒絕服務(wù)（DDOS）把DoS又向前發(fā)展了一步。DoS攻擊需要攻擊者手工操作，而DDOS則將這種攻擊行為自動(dòng)化。與其他分布式概念類(lèi)似，分布式拒絕服務(wù)可以方便地協(xié)調(diào)從多臺(tái)計(jì)算機(jī)上啟動(dòng)的進(jìn)程。在這種情況下，就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，并使其因過(guò)載而崩潰。
　　　

　　DDOS工作的基本概念如圖所示。黒客（client）在不同的主機(jī)（handler）上安裝大量的DoS服務(wù)程序，它們等待來(lái)自中心客戶端（client）的命令，中心客戶端隨后通知全體受控服務(wù)程序（agent），并指示它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。該工具將攻擊一個(gè)目標(biāo)的任務(wù)分配給所有可能的DoS服務(wù)程序，這就是它被叫做分布式DoS的原因。
　　
　　實(shí)際的攻擊并不僅僅是簡(jiǎn)單地發(fā)送海量信息，而是采用DDOS的變種工具，這些工具可以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強(qiáng)大或者使追蹤攻擊者變得更困難。首先，現(xiàn)在的DDOS工具基本上都可以偽裝源地址。它們發(fā)送原始的IP包（raw IP packet），由于Internet協(xié)議本身的缺陷，IP包中包括的源地址是可以偽裝的，這也是追蹤DDOS攻擊者很困難的主要原因。其次，DDOS也可以利用協(xié)議的缺陷，例如，它可以通過(guò)SYN打開(kāi)半開(kāi)的TCP連接，這是一個(gè)很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊力更強(qiáng)，DDOS通常會(huì)利用任何一種通過(guò)發(fā)送單獨(dú)的數(shù)據(jù)包就能探測(cè)到的協(xié)議缺陷，并利用這些缺陷進(jìn)行攻擊。
　　
　　防范攻擊的措施
　　
　　1。過(guò)濾進(jìn)網(wǎng)和出網(wǎng)的流量
　　
　　　　網(wǎng)絡(luò)服務(wù)提供商應(yīng)該實(shí)施進(jìn)網(wǎng)流量過(guò)濾措施，目的是阻止任何偽造IP地址的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，從而從源頭阻止諸如DDOS這樣的分布式網(wǎng)絡(luò)攻擊的發(fā)生或削弱其攻擊效果。
　　
　　2。采用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS
　　
　　　　當(dāng)系統(tǒng)收到來(lái)自希奇或未知地址的可疑流量時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS（Intrusion Detection Systems）能夠給系統(tǒng)治理人員發(fā)出報(bào)警信號(hào)，提醒他們及時(shí)采取應(yīng)對(duì)措施，如切斷連接或反向跟蹤等。
　　
　　3。具體措施
　　
　　在路由器和Web交換機(jī)上，
　　
　　它將丟棄下列類(lèi)型的數(shù)據(jù)幀：
　　
　　·　　　　長(zhǎng)度太短；
　　
　　·　　　　幀被分段；
　　
　　·　　　　源地址與目的地址相同；
　　
　　·　　　　源地址為我們的內(nèi)部地址，或源地址為子網(wǎng)廣播地址；
　　
　　·　　　　源地址不是單播地址；
　　
　　·　　　　源地址是環(huán)回地址；
　　
　　·　　　　目的地址是環(huán)回地址；
　　
　　·　　　　目的地址不是有效的單播或組播地址
　　
　　此外，
　　
　　·　　　　對(duì)于HTTP數(shù)據(jù)流，WEB交換機(jī)必須在HTTP流啟動(dòng)后的16秒內(nèi)接受一個(gè)有效的幀，否則它將丟棄這個(gè)幀并中斷這個(gè)流；
　　
　　·　　　　對(duì)于TCP數(shù)據(jù)流，WEB交換機(jī)必須在16秒內(nèi)接受一個(gè)返回的ack，否則它將終止這個(gè)TCP流；
　　
　　·　　　　對(duì)于任意嘗試過(guò)8次以上SYN的數(shù)據(jù)流，WEB交換機(jī)將終止這個(gè)流，并且停止處理同樣SYN，源地址，目的地址及端口號(hào)對(duì)的數(shù)據(jù)流。
　　
　　在核心交換機(jī)上我們可以用線速的ACL來(lái)達(dá)到上述類(lèi)似的幀丟棄策略，我們還可以用CAR的方法對(duì)ping及SYN的數(shù)據(jù)流進(jìn)行帶寬控制，以預(yù)防DDOS的攻擊。
　　
　　3.1.3　　　　　　　　漏洞檢測(cè)
　　漏洞檢測(cè)（Vulnerability Scanner）就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，因此成為安全方案的一個(gè)重要組成部分。
　　
　　安全掃描服務(wù)器可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分析，并且在實(shí)行過(guò)程中支持基于策略的安全風(fēng)險(xiǎn)治理過(guò)程。另外，互聯(lián)網(wǎng)掃描執(zhí)行預(yù)定的或事件驅(qū)動(dòng)的網(wǎng)絡(luò)探測(cè)，包括對(duì)網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、Web服務(wù)器、防火墻和應(yīng)用程序的檢測(cè)，從而去識(shí)別能被入侵者利用來(lái)進(jìn)入網(wǎng)絡(luò)的漏洞。
　　
　　安全掃描服務(wù)器同時(shí)能進(jìn)行系統(tǒng)掃描。系統(tǒng)掃描通過(guò)對(duì)企業(yè)內(nèi)部操作系統(tǒng)安全弱點(diǎn)的完全的分析，幫助組織治理安全風(fēng)險(xiǎn)。系統(tǒng)掃描通過(guò)比較規(guī)定的安全策略和實(shí)際的主機(jī)配置來(lái)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，包括缺少安全補(bǔ)丁、詞典中可猜的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登錄權(quán)限、不安全的服務(wù)配置和代表攻擊的可疑的行為。系統(tǒng)安全掃描還可以修復(fù)有問(wèn)題的系統(tǒng)，自動(dòng)產(chǎn)生文件所有權(quán)和文件權(quán)限的修復(fù)腳本。
　　
　　安全掃描服務(wù)器能提供實(shí)時(shí)入侵檢測(cè)和實(shí)時(shí)報(bào)警。當(dāng)收到安全性消息時(shí)，圖形用戶界面上相應(yīng)的主機(jī)狀態(tài)顏色和安全性消息組的圖標(biāo)都應(yīng)有相應(yīng)變化，以幫助操作人員快速地確定報(bào)警的原因和范疇。
　　
　　3.1.4　　　　　　　　入侵檢測(cè)
　　入侵檢測(cè)（Intrude Detection）具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)治理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。實(shí)時(shí)入侵檢測(cè)系統(tǒng)解決方案，用于檢測(cè)、報(bào)告和終止整個(gè)網(wǎng)絡(luò)中未經(jīng)授權(quán)的活動(dòng)。它可以在Internet和內(nèi)部網(wǎng)環(huán)境中操作，保護(hù)整個(gè)網(wǎng)絡(luò)。
　　
　　入侵檢測(cè)系統(tǒng)包括兩個(gè)部件： Sensor和Director。Sensor不影響網(wǎng)絡(luò)性能，它分析各個(gè)數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。假如一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流碰到未經(jīng)授權(quán)的活動(dòng)，例如SATAN攻擊、PING攻擊或秘密的研究項(xiàng)目代碼字，Sensor可以實(shí)時(shí)檢測(cè)政策違規(guī)，給Director治理控制臺(tái)轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪除入侵者。
　　
　　基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)，能夠監(jiān)控整個(gè)數(shù)據(jù)網(wǎng)絡(luò)，需要是具備最新攻擊檢測(cè)功能的穩(wěn)健的全天候監(jiān)控和應(yīng)答系統(tǒng)，能在本地、地區(qū)和總部監(jiān)視控制臺(tái)之間指導(dǎo)和轉(zhuǎn)發(fā)告警的分布式入侵檢測(cè)系統(tǒng)。同時(shí)需要能夠答應(yīng)部署大量Sensor和Director的可伸縮的體系結(jié)構(gòu)，在大型網(wǎng)絡(luò)環(huán)境中提供全面的覆蓋面，與現(xiàn)有網(wǎng)絡(luò)治理工具和實(shí)踐平滑集成的入侵檢測(cè)系統(tǒng)。
　　
　　入侵檢測(cè)系統(tǒng)通常具有的要害特性包括：
　　
　　·　　　　對(duì)合法流量/網(wǎng)絡(luò)使用透明的實(shí)時(shí)入侵檢測(cè)
　　
　　·　　　　對(duì)未經(jīng)授權(quán)活動(dòng)的實(shí)時(shí)應(yīng)對(duì)可以阻止黑客訪問(wèn)網(wǎng)絡(luò)或終止違規(guī)會(huì)話
　　
　　·　　　　全面的攻擊簽名目錄可以檢測(cè)廣泛的攻擊，檢測(cè)基于內(nèi)容和上下文的攻擊
　　
　　·　　　　支持廣泛的速度和接口類(lèi)型，包括10/100 Mbps以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI
　　
　　·　　　　告警包括攻擊者和目的地IP地址、目的地端口、攻擊介紹以及捕捉的攻擊前鍵入的字符
　　
　　·　　　　適合特大規(guī)模分布式網(wǎng)絡(luò)的可伸縮性
　　
　　3.1.5　　　　　　　　專(zhuān)用VLAN
　　IDC環(huán)境是一個(gè)典型的多客戶的服務(wù)器群結(jié)構(gòu)，每個(gè)托管客戶從一個(gè)公共的數(shù)據(jù)中心中的一系列服務(wù)器上提供Web服務(wù)。這樣，屬于不同客戶的服務(wù)器之間的安全就顯得至關(guān)重要。一個(gè)保證托管客戶之間安全的通用方法就是給每個(gè)客戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)。通過(guò)使用VLAN，每個(gè)客戶被從第2層隔離開(kāi)，可以防止任何惡意的行為和Ethernet的信息探聽(tīng)。然而，這種分配每個(gè)客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的擴(kuò)展方面的局限。這些局限主要有以下幾方面：
　　
　　·　　　　 VLAN的限制：LAN交換機(jī)固有的VLAN數(shù)目的限制
　　
　　·　　　　復(fù)雜的STP：對(duì)于每個(gè)VLAN，一個(gè)相關(guān)的Spanning-tree的拓?fù)涠夹枰卫?br />　　
　　·　　　　 IP地址的緊缺：IP子網(wǎng)的劃分勢(shì)必造成一些地址的浪費(fèi)
　　
　　·　　　　路由的限制：假如使用HSRP，每個(gè)子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置
　　
　　在一個(gè)IDC中，流量的流向幾乎都是在服務(wù)器與客戶之間，而服務(wù)器間的橫向的通信幾乎沒(méi)有。Cisco在IP地址治理方案中引入了一種新的VLAN機(jī)制，服務(wù)器同在一個(gè)子網(wǎng)中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。這一新的VLAN特性就是專(zhuān)用VLAN （PRivate VLAN，pVLAN）。這種特性是Cisco公司的專(zhuān)有技術(shù)，但非凡適用于IDC。
　　
　　　　　專(zhuān)用VLAN是第2層的機(jī)制，在同一個(gè)2層域中有兩類(lèi)不同安全級(jí)別的訪問(wèn)端口。與服務(wù)器連接的端口稱(chēng)作專(zhuān)用端口（private port），一個(gè)專(zhuān)用端口限定在第2層，它只能發(fā)送流量到混雜端口，也只能檢測(cè)從混雜端口來(lái)的流量。混雜端口（promiscuous port）沒(méi)有專(zhuān)用端口的限定，它與路由器或第3層交換機(jī)接口相連。簡(jiǎn)單地說(shuō)，在一個(gè)專(zhuān)用VLAN內(nèi)，專(zhuān)用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口（混雜端口和專(zhuān)用端口）。
　　
　　下圖示出了同一專(zhuān)用VLAN中兩類(lèi)端口的關(guān)系。
　　　

　　專(zhuān)用VLAN的應(yīng)用在多客戶的數(shù)據(jù)中心是非常有效的，因?yàn)镮DC的網(wǎng)絡(luò)中，服務(wù)器只需與自己的缺省網(wǎng)關(guān)連接，一個(gè)專(zhuān)用VLAN不需要多個(gè)VLAN和IP子網(wǎng)就提供了這樣的安全連接。在這一模型中，所有的服務(wù)器都接入專(zhuān)用VLAN，從而實(shí)現(xiàn)了所有服務(wù)器與缺省網(wǎng)關(guān)的連接，而與專(zhuān)用VLAN內(nèi)的其他服務(wù)器沒(méi)有任何訪問(wèn)。目前，Cisco的Catalyst Switch 6000/6500系列交換機(jī)支持專(zhuān)用VLAN。
　　
　　4　　　　　 Internet連接
　　作為IDC網(wǎng)絡(luò)與公共IP骨干網(wǎng)絡(luò)的接口，Internet連接層提供了IDC與公共IP網(wǎng)的橋梁，它的運(yùn)行情況直接關(guān)系到IDC為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必須具有以下的特點(diǎn)：
　　
　　·　高速的路由交換能力
　　
　　·　對(duì)各種高級(jí)路由協(xié)議（如BGP等）的全面支持
　　
　　·　具備豐富的接口類(lèi)型
　　
　　·　完善的QOS支持能力
　　
　　在Internet連接層配置高端路由器，使用高速連接到IP骨干網(wǎng)，并以全冗余方式與核心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。
　　　

　　4.1　　骨干接入
　　作為IDC網(wǎng)絡(luò)與公共IP骨干網(wǎng)絡(luò)的接口，Internet連接層提供了IDC與公共IP網(wǎng)的橋梁，它的運(yùn)行情況直接關(guān)系到IDC為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必須具有以下的特點(diǎn)：
　　
　　·　高速的路由交換能力
　　
　　·　對(duì)各種高級(jí)路由協(xié)議（如BGP等）的全面支持
　　
　　·　具備豐富的接口類(lèi)型
　　
　　·　完善的QOS支持能力
　　
　　在Internet連接層配置高端路由器，使用高速連接到IP骨干網(wǎng)，并以全冗余方式與核心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。
　　
　　4.2　　帶寬治理
　　在IDC的業(yè)務(wù)中，通常針對(duì)提供不同的帶寬收取不同的費(fèi)用，所以帶寬治理成為Internet連接中提供服務(wù)質(zhì)量的重要保證。　
　　
　　4.2.1　　　　　　　　識(shí)別網(wǎng)絡(luò)流量
　　IDC的帶寬治理需要支持多種協(xié)議和應(yīng)用程序，并且可以根據(jù)自己的需要，自行設(shè)定相應(yīng)的標(biāo)準(zhǔn)來(lái)區(qū)分更多的類(lèi)型。可以通過(guò)應(yīng)用、服務(wù)、協(xié)議、端口數(shù)、URL或通配符（用于Web通信）、主機(jī)名稱(chēng)、優(yōu)先權(quán)、以及IP或MAC地址對(duì)通信量進(jìn)行分類(lèi)。只有這樣才能對(duì)用戶提供完善的帶寬治理機(jī)制。
　　
　　像HTTP、FTP和Telnet這樣的IP協(xié)議，以及像SNA、NetBIOS和AppleTalk這樣的非IP協(xié)議，帶寬治理都應(yīng)該能自動(dòng)識(shí)別，并根據(jù)用戶的需要進(jìn)行有效的處理。例如，你可以將SAP/R3通信量根據(jù)一個(gè)特定客戶式特定服務(wù)器隔開(kāi)，使TN3270交互式通信量與打印通信量分開(kāi)，甚至把一個(gè)H。323視頻會(huì)議的數(shù)據(jù)信道和控制信道區(qū)分開(kāi)來(lái)。
　　
　　4.2.2　　　　　　　　保證應(yīng)用性能
　　帶寬治理需要保證要害的和交互式的應(yīng)用獲得其所需要的帶寬，同時(shí)限制普通應(yīng)用對(duì)帶寬的需求。每種通信類(lèi)型映射到一項(xiàng)特定的帶寬分配政策上，確保每種通信類(lèi)型得到一個(gè)適當(dāng)?shù)膸挕?
　　
　　速率政策（Rate policies）限制或保證每個(gè)單獨(dú)對(duì)話的帶寬，抑制那些貪婪的應(yīng)用通信，或者保護(hù)對(duì)時(shí)延敏感的流量。比如，一個(gè)HTTP cap會(huì)使Web游覽避免使用他人的帶寬。而且獲得保證的音頻或視頻流動(dòng)速率，避免出現(xiàn)惱人的不穩(wěn)定性。速率政策是為應(yīng)用提供沒(méi)有被使用的帶寬，所以，昂貴的帶寬從不會(huì)被浪費(fèi)。
　　
　　4.2.3　　　　　　　　測(cè)量、分析和生成報(bào)表
　　網(wǎng)絡(luò)治理員在制訂一項(xiàng)帶寬治理策略之前及之后必須分析其網(wǎng)絡(luò)應(yīng)用通信的模式，以測(cè)量其是否成功。帶寬治理將跟蹤平均和高峰通信量水平，計(jì)算在重新傳輸上所浪費(fèi)的帶寬比例，突出最主要用戶和應(yīng)用程序，并且測(cè)量性能。網(wǎng)絡(luò)總結(jié)以及特定上下文的報(bào)表提供了對(duì)網(wǎng)絡(luò)趨勢(shì)的輕松訪問(wèn)。響應(yīng)時(shí)間特征答應(yīng)你測(cè)量性能，設(shè)置可接受性標(biāo)準(zhǔn)，并跟蹤響應(yīng)質(zhì)量是否堅(jiān)持了標(biāo)準(zhǔn)。
　　
　　4.2.4　　　　　　　　流量控制和監(jiān)視控制
　　IDC的帶寬治理是非常復(fù)雜的業(yè)務(wù)和技術(shù)控制，所以，需要一個(gè)簡(jiǎn)單易用的進(jìn)行操作的治理界面。通過(guò)這一界面，網(wǎng)絡(luò)治理員可在任何時(shí)候、任何地方，通過(guò)網(wǎng)絡(luò)來(lái)配置、控制和監(jiān)控帶寬分配情況。
　　
　　4.2.5　　　　　　　　輕松部署
　　硬件帶寬治理器通常位于網(wǎng)絡(luò)瓶頸上，通常在路由器和核心交換機(jī)之間。為了網(wǎng)絡(luò)性能的考慮，帶寬治理器需要與現(xiàn)有的網(wǎng)絡(luò)順利集成，不需要任何新的協(xié)議或者重新配置路由器，也不需要修改拓樸結(jié)構(gòu)和桌面。它不能是一個(gè)網(wǎng)絡(luò)故障點(diǎn)，假如帶寬治理器發(fā)生故障或者被關(guān)掉，它需要會(huì)像一根電纜一樣發(fā)揮作用。用于IDC的硬件帶寬治理器在當(dāng)前市場(chǎng)上主要有Alteon公司、Packeteer公司和Intel公司的帶寬治理器。
　　
　　利用路由器和交換機(jī)的特定QOS（Quality of Service）技術(shù)，也能實(shí)現(xiàn)帶寬治理。比如Cisco公司的CAR（Committed access Rate）技術(shù)。
　　
　　對(duì)本地帶寬治理也可以通過(guò)四層交換機(jī)來(lái)實(shí)現(xiàn)。Foundry，Alteon和Cisco公司的四層交換機(jī)都支持本地帶寬治理。
　　
　　5　　　　　內(nèi)容交換
　　內(nèi)容交換提供數(shù)據(jù)流的負(fù)載均衡以提高IDC的網(wǎng)絡(luò)性能，非凡是服務(wù)器的響應(yīng)性能。內(nèi)容交換同時(shí)對(duì)應(yīng)用層的數(shù)據(jù)提供適當(dāng)?shù)目刂埔詽M足應(yīng)用的要求，比如對(duì)SSL（Security Socket Layer）連接的控制。這在本節(jié)將有具體闡述。
　　　

　　5.1　　基于IP的負(fù)載均衡
　　數(shù)據(jù)中心的服務(wù)提供商除了向客戶提供一些基本的主機(jī)托管和網(wǎng)站托管服務(wù)外，還需要提供一些更高級(jí)別的增值服務(wù)來(lái)吸引用戶、拓展市場(chǎng)。作為數(shù)據(jù)中心托管用戶的主體，例如ICP網(wǎng)站、電子商務(wù)網(wǎng)站、企業(yè)網(wǎng)站等，它們托管或租用在數(shù)據(jù)中心的大部分服務(wù)器都是基于Internet TCP/IP協(xié)議的應(yīng)用服務(wù)器，例如WWW服務(wù)器、FTP服務(wù)器等。對(duì)于這些用戶而言，如何保證這些要害服務(wù)器的高可靠性、高可用性和可擴(kuò)展性是非常重要的。因此，假如數(shù)據(jù)中心的服務(wù)提供商能夠給客戶提供這種高可用性服務(wù)，就可以像保險(xiǎn)公司的保險(xiǎn)費(fèi)一樣，來(lái)向客戶收取一定的增值服務(wù)費(fèi)用！并且對(duì)數(shù)據(jù)中心的各種類(lèi)型用戶都帶來(lái)好處：對(duì)主機(jī)租用用戶來(lái)講，他們的服務(wù)器硬件本身都是租用數(shù)據(jù)中心的，因此自然希望數(shù)據(jù)中心能夠?qū)Ψ?wù)器系統(tǒng)的可用性提出更高的保證；對(duì)主機(jī)托管用戶來(lái)講，盡管服務(wù)器是自身攜帶的，但是除了極少部分大的網(wǎng)站有資金、有技術(shù)能力來(lái)自行解決要害服務(wù)器系統(tǒng)的高可用性問(wèn)題外，大多數(shù)的網(wǎng)站并不具備這樣的條件，他們希望數(shù)據(jù)中心服務(wù)提供商能夠作為他們的Virtual IT部門(mén)，能夠給他們提供一個(gè)完善的解決方案。
　　
　　下面我們以數(shù)據(jù)中心中最為普遍的服務(wù)－WWW服務(wù)為例，來(lái)具體講解如何實(shí)現(xiàn)Internet服務(wù)的高可用性，即要害服務(wù)器系統(tǒng)的高可用性。
　　
　　以前作為一個(gè)網(wǎng)站通常采用的方式是WWW服務(wù)器由一臺(tái)硬件配置非常高的UNIX服務(wù)器來(lái)?yè)?dān)當(dāng)，盡管成本昂貴，但這樣做仍然不能保證它的可靠性、可用性、可維護(hù)性：一是因?yàn)橐慌_(tái)服務(wù)器仍作不到硬件級(jí)的完全容錯(cuò)，保證不了可靠性；二是因?yàn)橐慌_(tái)服務(wù)器的網(wǎng)絡(luò)帶寬有限，保證不了可用性；三是因?yàn)楫?dāng)這臺(tái)服務(wù)器進(jìn)行硬件或軟件升級(jí)時(shí)，不可避免地要中斷WWW服務(wù)，保證不了可維護(hù)性。
　　
　　基于上述原因，人們提出了DNS輪詢方案（DNS－Round－Robin）試圖解決WWW服務(wù)的可用性問(wèn)題，即多臺(tái)WWW鏡像主機(jī)在DNS中對(duì)應(yīng)同一域名，當(dāng)用戶訪問(wèn)WWW，要求DNS服務(wù)器解析域名時(shí)，DNS服務(wù)器按DNS請(qǐng)求的先后順序把域名依次解析成其中一臺(tái)WWW主機(jī)的IP地址，從而把任務(wù)平均分擔(dān)到數(shù)臺(tái)WWW主機(jī)上，來(lái)提高WWW服務(wù)的整體性能。它的優(yōu)點(diǎn)是：實(shí)現(xiàn)簡(jiǎn)單、實(shí)施輕易、成本低；但是，它的缺點(diǎn)也非常明顯：不是真正意義上的負(fù)載均衡，DNS服務(wù)器將HTTP請(qǐng)求平均地分配到后臺(tái)的WWW服務(wù)器上，而不考慮每個(gè)WWW服務(wù)器當(dāng)前的負(fù)載情況；假如后臺(tái)的WWW服務(wù)器的配置和處理能力不同，最慢的WWW服務(wù)器將成為系統(tǒng)的瓶頸，處理能力強(qiáng)的服務(wù)器不能充分發(fā)揮作用；另外未考慮容錯(cuò)，假如后臺(tái)的某一臺(tái)WWW服務(wù)器出現(xiàn)故障，DNS服務(wù)器仍會(huì)把DNS請(qǐng)求分配到這臺(tái)故障服務(wù)器上，導(dǎo)致對(duì)客戶端的不能響應(yīng)。而這最后一個(gè)缺點(diǎn)是致命的，有可能造成相當(dāng)一部分客戶不能訪問(wèn)WWW服務(wù)，并且由于DNS緩存的原因，造成的惡劣后果要持續(xù)相當(dāng)長(zhǎng)一段時(shí)間（一般DNS刷新周期約24小時(shí)）。
　　
　　此外，還有一些基于群集（Cluster）技術(shù)的軟件解決方案來(lái)保證WWW服務(wù)的高可用性。它的通用做法是通過(guò)在操作系統(tǒng)的基礎(chǔ)上安裝操作系統(tǒng)廠商的群集軟件或第三方的群集軟件（絕大多數(shù)支持WWW服務(wù)的群集），例如Microsoft Cluster Server、Turbo linux、Cluster Server等，來(lái)做到應(yīng)用級(jí)的互為備份或負(fù)載平衡。互為備份（Active/Standby）方式下，其中一臺(tái)服務(wù)器缺省處于活動(dòng)狀態(tài)（Active/Primary），而另一臺(tái)處于睡眠狀態(tài)（Standby/Backup），當(dāng)主服務(wù)器系統(tǒng)死機(jī)或應(yīng)用不能正常服務(wù)時(shí)，備份服務(wù)器會(huì)自動(dòng)變成活動(dòng)狀態(tài)，從而接管原主服務(wù)器的任務(wù)，保證應(yīng)用能夠繼續(xù)服務(wù)。負(fù)載平衡方式下，可以有多臺(tái)服務(wù)器，每一個(gè)服務(wù)器都承擔(dān)一定的應(yīng)用。它們之間即可以互為備份，也可以有專(zhuān)門(mén)一臺(tái)備份服務(wù)器，它在群集正常時(shí)不承擔(dān)任何任務(wù)，但是當(dāng)群集中的某一臺(tái)服務(wù)器發(fā)生故障時(shí)，它會(huì)自動(dòng)激活，從而接管故障服務(wù)器的任務(wù)。但是，它也存在以下缺點(diǎn)：安裝、配置復(fù)雜，難于維護(hù)和治理；群集軟件與服務(wù)器的硬件平臺(tái)和操作系統(tǒng)密切相關(guān)，不能做到設(shè)備無(wú)關(guān)性和無(wú)縫升級(jí)；實(shí)現(xiàn)負(fù)載平衡的算法簡(jiǎn)單，一般是根據(jù)輪詢（Round Robin），有些WWW群集軟件可支持設(shè)定權(quán)重（Weighting）算法，但權(quán)重（weighting）是人為設(shè)定，并不能客觀反映每一臺(tái)服務(wù)器的HTTP請(qǐng)求響應(yīng)能力以及當(dāng)前負(fù)載情況；與硬件實(shí)現(xiàn)方案（Layer4的負(fù)載平衡交換設(shè)備）比較起來(lái)，性能較低，另外支持的Web Site的規(guī)模較小（WWW服務(wù)器最多可以到16臺(tái)）；不能實(shí)現(xiàn)HTTPS等非凡應(yīng)用的負(fù)載平衡（這是因?yàn)樵贖TTPS應(yīng)用中，客戶端和服務(wù)器端要進(jìn)行身份驗(yàn)證、交換證書(shū)和密鑰，所以客戶端和服務(wù)器端應(yīng)一一對(duì)應(yīng)，同一客戶的請(qǐng)求應(yīng)由同一臺(tái)服務(wù)器來(lái)處理）。當(dāng)然更為重要的一點(diǎn)是，作為數(shù)據(jù)中心的托管用戶，他們往往不希望數(shù)據(jù)中心服務(wù)提供商在他們的服務(wù)器上安裝任何軟件！
　　
　　正因?yàn)樯鲜龅慕鉀Q方案存在這樣或那樣的問(wèn)題，因此，隨著Internet技術(shù)的發(fā)展，出現(xiàn)了基于應(yīng)用、甚至基于內(nèi)容的負(fù)載平衡設(shè)備，即我們通常所說(shuō)的第四層、第七層智能負(fù)載平衡設(shè)備。它們通過(guò)硬件技術(shù)或?qū)Ｓ玫腁SIC芯片來(lái)實(shí)現(xiàn)WWW等應(yīng)用服務(wù)器的負(fù)載均衡和高可用性解決方案。通過(guò)這種技術(shù)可以提高WWW服務(wù)器的整體處理能力，并提高整個(gè)服務(wù)器系統(tǒng)的可靠性、可用性、可維護(hù)性、可擴(kuò)展性，保證WWW服務(wù)質(zhì)量的QOS，提供基于URL、基于內(nèi)容的交換（當(dāng)采用第七層負(fù)載平衡設(shè)備時(shí)），最終用一組低處理能力、低實(shí)現(xiàn)成本的主機(jī)提供大規(guī)模、高性能、可擴(kuò)展的WWW服務(wù)。
　　
　　以下是關(guān)于采用第四層負(fù)載平衡設(shè)備實(shí)現(xiàn)WWW服務(wù)的負(fù)載平衡的一般介紹：在第四層負(fù)載平衡設(shè)備上設(shè)置WWW服務(wù)的虛擬IP地址（Virtual IP Address），這個(gè)虛擬IP地址是DNS服務(wù)器中解析到的WWW服務(wù)器的IP地址，對(duì)客戶端是可見(jiàn)的。當(dāng)客戶訪問(wèn)此WWW應(yīng)用時(shí)，客戶端的HTTP請(qǐng)求會(huì)先被第四層負(fù)載平衡設(shè)備接收到，它會(huì)基于第四層交換技術(shù)實(shí)時(shí)檢測(cè)后臺(tái)WWW服務(wù)器的負(fù)載，根據(jù)設(shè)定的算法進(jìn)行快速交換，交給當(dāng)前最可用、負(fù)載最輕的服務(wù)器來(lái)處理。常見(jiàn)的算法有以下幾種：輪詢（Round Robin）、權(quán)重（Weighting）、最少連接（Least connection）、隨機(jī)（Random）、響應(yīng)時(shí)間（Response Time）等。通過(guò)這種技術(shù)可將大量的、并發(fā)性的用戶請(qǐng)求分配到多個(gè)服務(wù)器來(lái)處理，從而降低單個(gè)服務(wù)器的負(fù)載，避免服務(wù)器的死機(jī)或響應(yīng)延遲過(guò)大！另外，這種負(fù)載平衡設(shè)備還可以幾乎實(shí)時(shí)地檢測(cè)到后臺(tái)服務(wù)器的硬件、操作系統(tǒng)、網(wǎng)絡(luò)甚至應(yīng)用級(jí)別的狀態(tài)，從而避免客戶的請(qǐng)求被失效的服務(wù)器處理。
　　
　　5.2　　應(yīng)用負(fù)載均衡
　　第七層應(yīng)用負(fù)載平衡設(shè)備是近一、兩年才出現(xiàn)的最新技術(shù)，它主要用于實(shí)現(xiàn)WWW應(yīng)用的負(fù)載平衡和服務(wù)質(zhì)量保證。它與第四層負(fù)載平衡設(shè)備比較起來(lái)：第七層負(fù)載平衡設(shè)備不僅能檢查T(mén)CP/IP數(shù)據(jù)包的TCP、UDP端口號(hào)（Transportation Layer），從而轉(zhuǎn)發(fā)給后臺(tái)的某一個(gè)服務(wù)器來(lái)處理，而且它能從會(huì)話層（Session Layer）以上來(lái)分析HTTP請(qǐng)求的URL，根據(jù)URL的不同將不同的HTTP請(qǐng)求交給不同的服務(wù)器來(lái)處理（可以具體到某一類(lèi)文件，甚至某一個(gè)文件），甚至同一個(gè)URL請(qǐng)求可以讓多個(gè)服務(wù)器來(lái)響應(yīng)以分擔(dān)負(fù)載（當(dāng)客戶訪問(wèn)某一個(gè)URL，發(fā)起HTTP請(qǐng)求時(shí)，它實(shí)際上要與服務(wù)器建立多個(gè)會(huì)話連接，得到多個(gè)對(duì)象－Object，例如。txt/。gif/。jpg文檔，當(dāng)這些對(duì)象都下載到本地后，才組成一個(gè)完整的頁(yè)面）。
　　
　　5.3　　跨地域負(fù)載均衡
　　前面講述的都是關(guān)于如何在本地局域網(wǎng)實(shí)現(xiàn)WWW等應(yīng)用服務(wù)器的負(fù)載平衡，那么如何實(shí)現(xiàn)應(yīng)用服務(wù)器的廣域網(wǎng)上的負(fù)載平衡，從而保證應(yīng)用的冗災(zāi)備份，以及如何有效的根據(jù)客戶的地域分布、廣域網(wǎng)絡(luò)的連通狀態(tài)或延遲時(shí)間來(lái)將客戶定向到他們最適合訪問(wèn)的站點(diǎn)呢？這些都涉及到廣域網(wǎng)的負(fù)載平衡技術(shù)（Global Server Load Balance），常見(jiàn)的廣域網(wǎng)負(fù)載平衡產(chǎn)品都是基于DNS重定向原理來(lái)實(shí)現(xiàn)的，即當(dāng)客戶訪問(wèn)某一個(gè)網(wǎng)站時(shí)，例如www。mysite。com時(shí)，客戶的關(guān)于這個(gè)網(wǎng)站的DNS域名解析請(qǐng)求會(huì)被這個(gè)廣域網(wǎng)的負(fù)載平衡設(shè)備來(lái)處理，而這個(gè)廣域網(wǎng)的負(fù)載平衡設(shè)備會(huì)基于客戶端的IP地址范圍、客戶端與各節(jié)點(diǎn)的網(wǎng)絡(luò)延遲、各節(jié)點(diǎn)的狀態(tài)及負(fù)載等參數(shù)，然后根據(jù)一定的算法來(lái)判定那個(gè)節(jié)點(diǎn)最適合用戶訪問(wèn)，從而將這個(gè)節(jié)點(diǎn)的IP地址或VIP地址返回給客戶。常見(jiàn)的廣域網(wǎng)負(fù)載平衡算法有：輪詢（Round－Robin）、加權(quán)輪詢（Weighted Round－Robin）、隨機(jī)（Random）、最少連接數(shù)（Least Connection）、最低CPU利用率（Lowest CPU Utilization）、HTTP重定向（HTTP Redirection）等。
　　
　　5.4　　Cookie和SSL會(huì)話的連接鎖定
　　為了使得一個(gè)電子商務(wù)的事務(wù)成功，客戶必須被鎖定到指定的服務(wù)器上直到事務(wù)完成。保持到一個(gè)服務(wù)器持續(xù)的連接，稱(chēng)為“鎖定”，這是任何創(chuàng)造利潤(rùn)的電子商務(wù)WEB站點(diǎn)的要害。
　　
　　　　　 Web交換機(jī)可以讀到分布在多個(gè)包中的Cookie并有能力識(shí)別一個(gè)Cookie。Cookie可以由Web交換機(jī)內(nèi)部產(chǎn)生或在服務(wù)器上產(chǎn)生。一旦Cookie被設(shè)定，用戶的瀏覽器就被透明地刷新。可以產(chǎn)生Cookie對(duì)電子商務(wù)站點(diǎn)基于Cookie使流量具有優(yōu)先級(jí)是有益的。假如進(jìn)入一個(gè)請(qǐng)求并且提供了一個(gè)Cookie，用戶的優(yōu)先級(jí)字段就會(huì)決定那個(gè)服務(wù)器群接受請(qǐng)求。假如沒(méi)有提供Cookie，請(qǐng)求要么被送到認(rèn)證服務(wù)器，要么交換機(jī)內(nèi)部產(chǎn)生一個(gè)新的Cookie。這個(gè)請(qǐng)求就有一個(gè)有優(yōu)先級(jí)設(shè)置的Cookie，這個(gè)優(yōu)先級(jí)會(huì)把用戶定向到合適得服務(wù)器群。
　　
　　　　　保護(hù)基于Web的商務(wù)的最常用的方法就是使用流行的SSL（Secure Socket Layer）協(xié)議。SSL是端到端的加密機(jī)制，是當(dāng)今Web商務(wù)加密的主要方法。
　　
　　　　　基于SSL會(huì)話ID維持持續(xù)性優(yōu)化了電子商務(wù)的商務(wù)完整性，保證了安全和性能的均衡。在一個(gè)安全的事務(wù)中，Web交換機(jī)維持從用戶Cookie（購(gòu)物）到SSL會(huì)話ID（結(jié)帳）的轉(zhuǎn)化。這一點(diǎn)很要害，因?yàn)镃ookie處于為進(jìn)行SSL事務(wù)而加密的HTTP頭部，所以維持鎖定連的Web交換機(jī)不能讀到。用戶瀏覽器與服務(wù)器之間開(kāi)始的SSL Hello消息含有一個(gè)空的會(huì)話ID字段（假如要建立一個(gè)新的SSL會(huì)話）或上一次客戶使用得SSL會(huì)話。但是，這并不是下面的電子事務(wù)使用的SSL會(huì)話ID。作為客戶Hello消息的響應(yīng)，服務(wù)器挑選一個(gè)新的會(huì)話ID并把自己的帶有會(huì)話ID的Hello發(fā)回到客戶端。CSS交換機(jī)在服務(wù)器的Hello中檢測(cè)到這個(gè)新的SSL會(huì)話ID并把請(qǐng)求路由到這一時(shí)刻最合適的服務(wù)器。后續(xù)的有這個(gè)會(huì)話ID的請(qǐng)求都將被轉(zhuǎn)到同一臺(tái)服務(wù)器。
　　
　　　　　為了優(yōu)化資源，當(dāng)一個(gè)會(huì)話在一個(gè)定義的時(shí)間段處于休止?fàn)顟B(tài)后，Web服務(wù)器會(huì)終止這個(gè)會(huì)話。當(dāng)幾分鐘沒(méi)有操作后，服務(wù)器會(huì)做超時(shí)處理，釋放這個(gè)會(huì)話ID。當(dāng)用戶發(fā)送一個(gè)新的請(qǐng)求時(shí)，服務(wù)器把它作為一個(gè)新用戶處理，會(huì)建立一個(gè)新的會(huì)話。假如用戶填了一個(gè)很長(zhǎng)的表格，比如抵押申請(qǐng)或信用證實(shí)，那么所有剛填寫(xiě)的信息都會(huì)丟失，必須重新來(lái)過(guò)。
　　
　　Web交換機(jī)解決方案為加密會(huì)話提供鎖定連接，不僅提高了效率和用戶滿足度，也顯著地減少了服務(wù)器上應(yīng)用的壓力。由于建立會(huì)話的握手會(huì)涉及交換公鑰，會(huì)產(chǎn)生計(jì)算資源的最大的消耗。通過(guò)截取會(huì)話ID并透明地重建失敗的會(huì)話，Web交換機(jī)除去了一個(gè)連接失敗后為建立新會(huì)話而做的處理復(fù)雜的談判任務(wù)。
　　
　　6　　　　　內(nèi)容傳送
　　　

　　6.1　　網(wǎng)絡(luò)加速
　　Web Cache技術(shù)是把大多數(shù)經(jīng)常被訪問(wèn)的內(nèi)容存放的距客戶更近從而提高了Web的訪問(wèn)速度。Web cache可以在企業(yè)的Internet接入處配置，在接入設(shè)備和ISP POP中骨干鏈路之間，或在ISP網(wǎng)絡(luò)之間的邊緣。
　　
　　　
　　
　　　　　有許多的Web cache實(shí)現(xiàn)方法，包括代理、透明的以及反向代理cache。每一種技術(shù)的區(qū)別在于在Web服務(wù)器訪問(wèn)途徑的什么地方配備和需要進(jìn)行配置的多少。
　　
　　　　　 Cache能力定義為一個(gè)對(duì)象可以被的潛力。Web Cache只能cache靜態(tài)的內(nèi)容，如gif、jpg和PDF等。有一些類(lèi)型的Web的內(nèi)容是不能被Cache的，比如動(dòng)態(tài)的內(nèi)容，包括CGI腳本、RealAudio、asp、加密的文件或與cookie有關(guān)的象shopping cards等。Internet專(zhuān)家證實(shí)，當(dāng)今40~50%的Internet內(nèi)容是動(dòng)態(tài)的。Web Cache的效率是用最大cache命中率和最低可能的請(qǐng)求/響應(yīng)延時(shí)來(lái)衡量的。Cache的命中率受一系列因素的影響，包括工作負(fù)載、內(nèi)存和磁盤(pán)大小、內(nèi)容老化算法等。
　　
　　6.1.1　　　　　　　　透明Caching
　　　　　在透明代理Caching（Transparent Caching）環(huán)境中，Cache對(duì)于瀏覽器是透明的，瀏覽器不需要配置指向Cache。用戶的請(qǐng)求經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備路由到Cache，比如經(jīng)過(guò)路由器上的策略過(guò)濾、遠(yuǎn)程的訪問(wèn)服務(wù)器或通過(guò)使用非凡用途的Web Cache前端設(shè)備，如Web交換機(jī)。
　　
　　6.1.2　　　　　　　　代理Cache
　　　　　在代理Cache（Proxy Caching）環(huán)境中，每個(gè)Web瀏覽器都要配置代理Cache的IP地址，所有用戶的請(qǐng)求都會(huì)轉(zhuǎn)發(fā)到代理。當(dāng)發(fā)起一個(gè)內(nèi)容請(qǐng)求時(shí)，每個(gè)請(qǐng)求都會(huì)轉(zhuǎn)到代理Cache的IP地址，不管是對(duì)動(dòng)態(tài)或靜態(tài)內(nèi)容的請(qǐng)求。假如請(qǐng)求的內(nèi)容已經(jīng)在Cache中，那么Cache直接把內(nèi)容發(fā)給客戶；假如請(qǐng)求的內(nèi)容不在Cache中，請(qǐng)求被送到服務(wù)器獲取內(nèi)容，一旦在服務(wù)器中找到了所需內(nèi)容，Cache響應(yīng)客戶，且假如內(nèi)容是可Cache的，在Cache中復(fù)制一個(gè)copy。
　　
　　　　　代理Cache的主要的缺點(diǎn)是需要治理的，缺少集中控制，并且不能重新定向用戶繞過(guò)當(dāng)?shù)舻腃ache，而是送到“黑洞”中。
　　
　　6.1.3　　　　　　　　Cache集群
　　　　　在一個(gè)位置配備多個(gè)Cache就是Cache集群（Cache Clustering）。Cache集群提供冗余，增加了Cache的性能合擴(kuò)展能力。Cache集群可以通過(guò)把多個(gè)Cache連接到一個(gè)路由器、第4層交換機(jī)或Web交換機(jī)上來(lái)實(shí)現(xiàn)。Cache集群提供了冗余，在單個(gè)Cache失敗時(shí)起到保護(hù)作用。非凡是代理Cache，對(duì)單一的Cache失敗很敏感。假如一個(gè)網(wǎng)絡(luò)中等Cache失敗，所有的配置使用它的瀏覽器都會(huì)失去與Web的連接。集群是一個(gè)相對(duì)于配置后備Cache較好的解決方案，因?yàn)楹笳咴黾恿舜鞢ache治理的復(fù)雜程度。
　　
　　6.1.4　　　　　　　　反向代理Cache
　　　　　代理和透明的Cache是具有代表性的為優(yōu)化穿越網(wǎng)絡(luò)的所有Internet流量而配備的。反向代理Cache（Reverse Proxy Caching，RPC）則是典型的數(shù)據(jù)中心的擴(kuò)展。反向代理Cache是Web服務(wù)器的代理，而不是客戶的代理。事實(shí)上，反向代理Cache對(duì)網(wǎng)絡(luò)來(lái)說(shuō)象是真正的Web服務(wù)器，DNS解析RPC的IP地址而不是實(shí)際的服務(wù)器的IP地址。
　　
　　　　　 Web交換機(jī)可以為不可Cache的HTTP請(qǐng)求或不可Cache的TCP請(qǐng)求（如SSL）旁路RPC。交換機(jī)旁路RPC，把最初的IP地址信息和包含在流頭部的序列號(hào)發(fā)往服務(wù)器。服務(wù)器直接向客戶答復(fù)，或轉(zhuǎn)發(fā)到RPC的交換機(jī)。兩種方法都不涉及Cache，它可以集中資源去服務(wù)可Cache的內(nèi)容請(qǐng)求。
　　
　　6.1.5　　　　　　　　智能Cache旁路
　　　　　動(dòng)態(tài)內(nèi)容，如電子商務(wù)的事務(wù)、股票交易、ASP以及CGI表單，是不能Cache到Cache服務(wù)器的，只有靜態(tài)的內(nèi)容是可以Cache的。可以Cache的靜態(tài)的內(nèi)容的例子就是gif、jpeg和pdf文件等。
　　
　　　　　代理、透明式和反向代理Web Cache把所有客戶的請(qǐng)求都推向Cache服務(wù)器，這給以產(chǎn)生效益為目的想利用Web Cache強(qiáng)行把所有請(qǐng)求（不管內(nèi)容）推向不能完成請(qǐng)求的服務(wù)器的站點(diǎn)造成了很大的問(wèn)題。Web交換機(jī)具有完成智能Cache旁路（Intelligent Cache Bypass）的能力，假如是動(dòng)態(tài)請(qǐng)求可以旁路代理、透明式或反向代理Cache服務(wù)器。當(dāng)不可Cache的或動(dòng)態(tài)的URL被指向Cache時(shí)，由于Cache需要判定這個(gè)請(qǐng)求的內(nèi)容不可Cache，再?gòu)脑捶?wù)器獲取內(nèi)容，然后再轉(zhuǎn)發(fā)給客戶，會(huì)造成明顯的延時(shí)。在這種情況下，Cache基本上變成了瓶頸。Web交換機(jī)的智能Cache旁路能力除去了Cache的重新定向動(dòng)態(tài)內(nèi)容請(qǐng)求的負(fù)擔(dān)，因此提高了性能。
　　
　　6.2　　動(dòng)態(tài)內(nèi)容復(fù)制
　　Web交換機(jī)可以設(shè)置某些內(nèi)容的負(fù)荷門(mén)限，當(dāng)此內(nèi)容的訪問(wèn)超過(guò)門(mén)限，交換機(jī)將動(dòng)態(tài)復(fù)制熱點(diǎn)內(nèi)容到備份服務(wù)器，并重定向請(qǐng)求到備份服務(wù)器。由于Internet的流量具有很強(qiáng)的突發(fā)性，而且具有不可預(yù)見(jiàn)性，對(duì)于一些大型的網(wǎng)站，經(jīng)常會(huì)由于這種突發(fā)性的大業(yè)務(wù)量造成服務(wù)器的擁塞，從而丟失很多交易量，但是假如增加服務(wù)器，又由于大多數(shù)時(shí)間沒(méi)有利用到增加的服務(wù)器，造成資源利用率的降低。
　　
　　由于Web交換機(jī)具有這種動(dòng)態(tài)內(nèi)容復(fù)制的能力，本方案為用戶提供了一種靈活有效的方案，即由IDC來(lái)解決這個(gè)問(wèn)題。Web交換機(jī)根據(jù)用戶內(nèi)容的訪問(wèn)量的大小，動(dòng)態(tài)地?cái)U(kuò)展用戶服務(wù)器的能力，當(dāng)Web交換機(jī)發(fā)現(xiàn)某些申請(qǐng)了這項(xiàng)服務(wù)的用戶的某些內(nèi)容的訪問(wèn)量達(dá)到一定的門(mén)限時(shí)，交換機(jī)將動(dòng)態(tài)復(fù)制熱點(diǎn)內(nèi)容到溢出備份服務(wù)器，當(dāng)發(fā)現(xiàn)這些內(nèi)容的訪問(wèn)量下降以后再將這些內(nèi)容自動(dòng)的刪除掉。
　　
　　7　　　　　后臺(tái)治理
　　　

　　在建設(shè)IDC時(shí)，可以按照分層的方式將整個(gè)網(wǎng)絡(luò)平臺(tái)劃分為：核心層，分布層，接入層和后臺(tái)網(wǎng)絡(luò)。其中前三層主要承載用戶的業(yè)務(wù)，而后臺(tái)網(wǎng)絡(luò)主要提供各種后臺(tái)的治理功能。在IDC初期建設(shè)時(shí)，后臺(tái)治理的重要性不顯著，甚至很多規(guī)模較小的IDC在剛開(kāi)始建設(shè)時(shí)，完全沒(méi)有考慮到后臺(tái)治理的問(wèn)題，但是隨著業(yè)務(wù)的迅速發(fā)展，后臺(tái)網(wǎng)絡(luò)的重要性逐漸被熟悉，因此目前比較成功的IDC，都有一個(gè)非常完善的后臺(tái)治理系統(tǒng)。
　　
　　本解決方案提供了完整的后臺(tái)治理平臺(tái)，對(duì)于每一個(gè)服務(wù)器通過(guò)兩塊網(wǎng)卡，一塊連接到前臺(tái)的接入層，為Internet用戶提供服務(wù)，另一塊連接到后臺(tái)治理系統(tǒng)的接入交換機(jī)。在后臺(tái)治理平臺(tái)上，IDC建立網(wǎng)絡(luò)治理控制中心完成對(duì)整個(gè)IDC的治理控制，IDC客戶中心為IDC的客戶提供設(shè)備治理平臺(tái)，數(shù)據(jù)備份中心為用戶提供數(shù)據(jù)備份。
　　
　　通過(guò)后臺(tái)治理系統(tǒng)，IDC能夠?yàn)橛脩籼峁┒喾N治理功能：備份，網(wǎng)絡(luò)治理和客戶中心服務(wù)。
　　
　　7.1　　備份
　　在后臺(tái)治理網(wǎng)絡(luò)上可以通過(guò)設(shè)置專(zhuān)有的VLAN（Private VLAN）或者是普通的VLAN，以隔離不同用戶的服務(wù)器。而需要由多個(gè)用戶共享的資源和服務(wù)，則可以通過(guò)VLAN Trunk和全通口與各個(gè)需要共享資源的服務(wù)器通信。因此IDC能夠根據(jù)用戶的要求，由一臺(tái)備份服務(wù)器為多個(gè)用戶提供數(shù)據(jù)備份，也可以由一臺(tái)備份服務(wù)器為單獨(dú)的一個(gè)用戶提供服務(wù)。
　　
　　7.2　　網(wǎng)絡(luò)治理
　　由于后臺(tái)治理系統(tǒng)與前臺(tái)的網(wǎng)絡(luò)相互隔離，并且在本方案中對(duì)網(wǎng)絡(luò)的安全性作了全面的考慮，例如利用防火墻將前后臺(tái)隔離，配置入侵檢測(cè)和漏洞檢測(cè)系統(tǒng)，因此具有很好的安全性。同時(shí)由于后臺(tái)網(wǎng)絡(luò)不承擔(dān)業(yè)務(wù)，帶寬也相對(duì)充足，因此IDC都是通過(guò)后臺(tái)來(lái)對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行治理。
　　
　　7.3　　客戶中心
　　由于客戶將設(shè)備托管給IDC，用戶對(duì)自己的設(shè)備需要定期的檢查和治理。目前IDC能夠?yàn)橛脩籼峁┒喾N訪問(wèn)方式，其中IDC設(shè)置客戶中心為用戶提供訪問(wèn)平臺(tái)，用戶可以在客戶服務(wù)中心訪問(wèn)自己的網(wǎng)絡(luò)設(shè)備，與自己的服務(wù)器交換信息。
　　
　　客戶中心即可以是由多個(gè)用戶共享，也可以是由一個(gè)客戶專(zhuān)有，例如一些網(wǎng)上銀行，他就需要在IDC擁有自己專(zhuān)有的治理平臺(tái)，那么IDC就可以為這類(lèi)用戶提供專(zhuān)有的客戶中心。
　　
　　7.4　　數(shù)據(jù)更新
　　對(duì)于從事網(wǎng)上業(yè)務(wù)的公司，提供好的內(nèi)容是業(yè)務(wù)成功的要害，因此IDC的用戶會(huì)經(jīng)常需要對(duì)內(nèi)容進(jìn)行更新和改進(jìn)。在用戶對(duì)服務(wù)器進(jìn)行更新時(shí)，對(duì)數(shù)據(jù)的安全性通常會(huì)有較高的要求，因此簡(jiǎn)單的通過(guò)前臺(tái)來(lái)更新服務(wù)器對(duì)于從事電子商務(wù)的網(wǎng)站是不適用的。所以通過(guò)客戶中心，或者是通過(guò)公網(wǎng)從后臺(tái)治理系統(tǒng)完成對(duì)服務(wù)器的更新和數(shù)據(jù)交換，是IDC通常采用的方法。遠(yuǎn)程數(shù)據(jù)更新的方案中提供全套的端到端的解決方法，包括：遠(yuǎn)程撥號(hào)；專(zhuān)線；IP加密（IP sec）VPN；MPLS VPN。
　　
　　7.4.1　　　　　　　　遠(yuǎn)程撥號(hào)
　　用戶通過(guò)撥號(hào)的方式進(jìn)入后臺(tái)治理系統(tǒng)，對(duì)自己的服務(wù)器和數(shù)據(jù)庫(kù)進(jìn)行配置和更新，但是這種方式存在帶寬的限制，所以當(dāng)用戶需要與服務(wù)器交換大量數(shù)據(jù)時(shí)，撥號(hào)方式就不太合適。
　　
　　7.4.2　　　　　　　　專(zhuān)線
　　在IDC設(shè)置路由器，通過(guò)常用的專(zhuān)線方式，如DDN，F(xiàn)rame Relay等方式提供用戶訪問(wèn)自己的服務(wù)器。這種方式中需要對(duì)各個(gè)用戶的數(shù)據(jù)流向進(jìn)行控制，使他們只能訪問(wèn)他們自己的服務(wù)器，而不能訪問(wèn)其它用戶的服務(wù)器。
　　
　　7.4.3　　　　　　　　IP加密 VPN
　　用戶也可以通過(guò)專(zhuān)線的方式接入到公網(wǎng)，通過(guò)對(duì)IP數(shù)據(jù)包加密來(lái)保證用戶數(shù)據(jù)的安全性，在IDC再對(duì)用戶的IP包進(jìn)行解密，然后用戶進(jìn)入自己的VLAN，訪問(wèn)自己的各個(gè)服務(wù)器。這種解決方案需要在IDC設(shè)置IP Sec的VPN網(wǎng)關(guān)。
　　
　　7.4.4　　　　　　　　MPLS VPN
　　MPLS VPN為用戶提供了一種更加靈活有效的訪問(wèn)方式，用戶可以通過(guò)公網(wǎng)平臺(tái)上自己私有的MPLS VPN對(duì)自己的設(shè)備進(jìn)行訪問(wèn)，而且其地址空間也可以是其自己的私有地址，由于地址空間是私有的，黑客幾乎無(wú)法對(duì)其進(jìn)行攻擊。同時(shí)在MPLS VPN上通過(guò)流量控制機(jī)制能夠?yàn)橛脩籼峁┒说蕉说姆?wù)質(zhì)量保證。
　　
　　而且當(dāng)將來(lái)需要向用戶提供網(wǎng)絡(luò)外包服務(wù)時(shí)，利用MPLS VPN與后臺(tái)治理系統(tǒng)相結(jié)合，可以迅速向用戶提供業(yè)務(wù)。
　　
　　8　　　　　網(wǎng)絡(luò)治理
　　　

　　網(wǎng)絡(luò)治理是IDC運(yùn)行治理中的重要一環(huán)，它將覆蓋所有網(wǎng)絡(luò)元素的治理和控制。
　　
　　8.1.1　　　　　　　　網(wǎng)絡(luò)拓?fù)渲卫?br />　　為對(duì)IDC網(wǎng)絡(luò)進(jìn)行系統(tǒng)化治理，治理員首先需要對(duì)全網(wǎng)的當(dāng)前狀態(tài)有一個(gè)準(zhǔn)確、直觀的了解。網(wǎng)絡(luò)拓?fù)渲卫碜鳛橹卫硐到y(tǒng)的一個(gè)重要組成部分可以滿足治理員的以上需求。它應(yīng)能幫助治理員自動(dòng)生成網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖和發(fā)現(xiàn)節(jié)點(diǎn)設(shè)備的分布狀況，并且能對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的變化進(jìn)行動(dòng)態(tài)跟蹤和更新。
　　
　　網(wǎng)管中心治理員首先利用自動(dòng)發(fā)現(xiàn)治理進(jìn)程，對(duì)其治理范疇內(nèi)的全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、聯(lián)網(wǎng)節(jié)點(diǎn)設(shè)備以及應(yīng)用服務(wù)器進(jìn)行地址掃描。根據(jù)地址掃描的發(fā)現(xiàn)的結(jié)果，將在治理服務(wù)的治理數(shù)據(jù)庫(kù)中生成全網(wǎng)的網(wǎng)絡(luò)拓?fù)鋱D。對(duì)已生成的全網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D還將進(jìn)行定期的檢查，發(fā)現(xiàn)可能出現(xiàn)的拓?fù)涓淖儯?duì)治理數(shù)據(jù)庫(kù)中存儲(chǔ)的拓?fù)鋱D進(jìn)行相應(yīng)的更新。
　　
　　8.1.2　　　　　　　　故障治理
　　網(wǎng)絡(luò)治理員在獲得了最新網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖后，還需對(duì)全網(wǎng)的故障進(jìn)行集中控管。網(wǎng)絡(luò)故障治理利用了治理軟件包中的功能。通過(guò)定義對(duì)全網(wǎng)的IP節(jié)點(diǎn)設(shè)備，通訊鏈路等多方面網(wǎng)絡(luò)資源進(jìn)行自動(dòng)定期輪詢檢測(cè)，可發(fā)現(xiàn)節(jié)點(diǎn)設(shè)備的硬件故障和網(wǎng)絡(luò)鏈路中斷。還可以利用對(duì)SNMP Trap的支持，捕捉網(wǎng)絡(luò)上傳送的故障Trap信息。根據(jù)收集到的故障信息，網(wǎng)絡(luò)治理軟件可以對(duì)所發(fā)現(xiàn)的網(wǎng)絡(luò)異常狀態(tài)進(jìn)行跟蹤，并在網(wǎng)管中心的圖形化治理控制臺(tái)上以多種方式向網(wǎng)絡(luò)治理員報(bào)警。網(wǎng)絡(luò)治理員通過(guò)察看治理控制臺(tái)上的不同類(lèi)型報(bào)警信息即可以迅速定位故障出現(xiàn)的準(zhǔn)確位置和故障的嚴(yán)重等級(jí)。網(wǎng)絡(luò)治理員還可以在治理控制臺(tái)上直接啟動(dòng)設(shè)備治理工具察看出現(xiàn)故障的的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備當(dāng)前的具體信息。
　　
　　8.1.3　　　　　　　　配置治理
　　IDC網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備的配置治理在治理功能上分為設(shè)備參數(shù)的集中配置、對(duì)更改設(shè)備參數(shù)的操作審計(jì)和設(shè)備操作系統(tǒng)的集中版本治理。為保障全網(wǎng)參數(shù)配置的一致性和設(shè)備操作系統(tǒng)版本的統(tǒng)一，配置治理應(yīng)由中心治理中心的網(wǎng)絡(luò)治理員統(tǒng)一控制。網(wǎng)絡(luò)治理軟件為IDC網(wǎng)絡(luò)治理員提供了配置治理工具。
　　
　　利用網(wǎng)絡(luò)治理軟件對(duì)IDC網(wǎng)絡(luò)設(shè)備參數(shù)進(jìn)行集中配置和對(duì)網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)版本進(jìn)行升級(jí)治理。并可對(duì)設(shè)備的網(wǎng)絡(luò)配置文件進(jìn)行配置校驗(yàn)和配置文件集中備份以及修改設(shè)備參數(shù)的審計(jì)。
　　
　　網(wǎng)絡(luò)治理軟件不但能幫助網(wǎng)絡(luò)治理員以圖形化操作方式對(duì)全網(wǎng)設(shè)備進(jìn)行集中的參數(shù)配置，還能保存所有網(wǎng)絡(luò)設(shè)備的參數(shù)修改歷史紀(jì)錄：通過(guò)定期檢查各網(wǎng)絡(luò)設(shè)備的參數(shù)，治理工具可以發(fā)現(xiàn)所有對(duì)配置參數(shù)的更改，而不論配置參數(shù)是利用治理工具修改的還是利用命令行修改的。網(wǎng)絡(luò)治理員在中心治理控制臺(tái)上可以檢索網(wǎng)絡(luò)設(shè)備的所有參數(shù)修改紀(jì)錄。
　　
　　8.1.4　　　　　　　　性能治理
　　網(wǎng)絡(luò)治理解決方案中為IDC網(wǎng)絡(luò)治理員提供了一組網(wǎng)絡(luò)性能和IP電話服務(wù)質(zhì)量的治理工具。
　　
　　利用網(wǎng)絡(luò)治理軟件進(jìn)行網(wǎng)絡(luò)設(shè)備的廣域網(wǎng)、局域網(wǎng)端口通訊流量統(tǒng)計(jì)，監(jiān)控設(shè)備資源的可用率。還可以進(jìn)行全網(wǎng)網(wǎng)絡(luò)流量的歷史數(shù)據(jù)統(tǒng)計(jì)，分析網(wǎng)絡(luò)流量的長(zhǎng)期趨勢(shì)，幫助治理員進(jìn)行網(wǎng)絡(luò)容量規(guī)劃，消除網(wǎng)絡(luò)中的瓶頸。
　　
　　利用網(wǎng)絡(luò)治理軟件進(jìn)行全網(wǎng)節(jié)點(diǎn)設(shè)備任意兩點(diǎn)間的響應(yīng)時(shí)間檢測(cè)和Delay，Jitter治理。
　　
　　在網(wǎng)管中心治理員可以啟動(dòng)利用網(wǎng)絡(luò)治理軟件對(duì)全網(wǎng)的局域網(wǎng)和廣域網(wǎng)性能進(jìn)行直接監(jiān)控。收集網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備中SNMP、RMON和RMON2的性能治理信息，并以圖形化方式為網(wǎng)絡(luò)治理員顯示所收集到的治理信息。
　　
　　在網(wǎng)管中心治理員利用利用網(wǎng)絡(luò)治理軟件可以監(jiān)控網(wǎng)絡(luò)節(jié)點(diǎn)的服務(wù)質(zhì)量，并以圖形化方式顯示網(wǎng)絡(luò)通信的延時(shí)和抖動(dòng)。治理員還可以對(duì)被監(jiān)控的性能參數(shù)設(shè)定閾值，如檢測(cè)到網(wǎng)絡(luò)性能下降，參數(shù)超過(guò)了預(yù)先設(shè)定的閾值，IPM將自動(dòng)向故障治理系統(tǒng)發(fā)送一條報(bào)警信息，提示治理員注重。
　　
　　8.1.5　　　　　　　　網(wǎng)絡(luò)安全治理
　　有些網(wǎng)絡(luò)治理軟件還支持網(wǎng)絡(luò)治理員分權(quán)機(jī)制，不同級(jí)別的登陸用戶在治理系統(tǒng)中具有不同的治理權(quán)限。可以為網(wǎng)管系統(tǒng)定義多級(jí)的訪問(wèn)權(quán)限，在方便治理員操作的前提下保證只有經(jīng)過(guò)授權(quán)的治理人員才能對(duì)網(wǎng)絡(luò)進(jìn)行治理操作，從而保證治理系統(tǒng)的最大安全性。
　　
　　同時(shí)網(wǎng)絡(luò)治理員也可以利用安全控管軟件進(jìn)一步加強(qiáng)網(wǎng)絡(luò)整體包括網(wǎng)絡(luò)治理系統(tǒng)的安全性。Radius服務(wù)器是常用的負(fù)責(zé)提供基于標(biāo)準(zhǔn)安全認(rèn)證協(xié)議的用戶登陸認(rèn)證機(jī)制的設(shè)備。
　　
　　9　　　　　網(wǎng)絡(luò)具體設(shè)計(jì)
　　9.1　　Internet 連接層
　　IDC的Internet連接層配置兩臺(tái)GSR，使用100BaseT或者1000Base高速連接到IP骨干網(wǎng)，并以全冗余方式與核心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。
　　
　　9.2　　核心層
　　整個(gè)IDC網(wǎng)絡(luò)的結(jié)構(gòu)，必須具有很好的層次并具有很強(qiáng)的擴(kuò)展能力，這就要求在設(shè)計(jì)上：
　　
　　§　　　　　各層次功能的簡(jiǎn)單化，以保證處理的高效和結(jié)構(gòu)的簡(jiǎn)單。這就需要有核心層將分布層的數(shù)據(jù)匯集后連至Internet接入路由器
　　
　　§　　　　　網(wǎng)絡(luò)擴(kuò)展易于實(shí)現(xiàn)并且不能對(duì)現(xiàn)有業(yè)務(wù)產(chǎn)生影響，核心層的存在完全滿足了這一點(diǎn)
　　
　　　
　　
　　鑒于對(duì)核心層的這些需求，配置兩臺(tái)高性能、大容量多層交換機(jī)Cisco Catalyst 6509，分別與Internet連接層兩臺(tái)高端路由器采用GE端口交叉連接。兩臺(tái)交換機(jī)之間用兩條GE連接，采用千兆以太網(wǎng)通道（GEC）技術(shù)捆綁兩個(gè)物理連接，形成一個(gè)負(fù)載均衡的邏輯連接。
　　
　　9.3　　分布層&服務(wù)器接入層
　　9.3.1　　　　　　　　Colocation的分布層&服務(wù)器接入層
　　在IDC的主機(jī)托管（Co-location）業(yè)務(wù)中，用戶本身將負(fù)責(zé)所有與Web有關(guān)的網(wǎng)絡(luò)設(shè)備(諸如Web交換機(jī)、防火墻等)，其在網(wǎng)絡(luò)方面的需求為高帶寬的線路。
　　
　　針對(duì)這種需求，分布層不需要為其提供高層交換能力，而是需要為其提供高速高性能的二、三層交換。這里采用Cisco Catalyst 3500交換機(jī)作為分布層設(shè)備以提供高性能。
　　
　　在接入層所提供的高速的鏈路上，用戶將根據(jù)需要構(gòu)建自己的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，可根據(jù)需要使用Web交換機(jī)以提供高層交換能力。
　　
　　9.3.2　　　　　　　　Web Hosting的分布層&服務(wù)器接入層
　　在服務(wù)器接入層，采用交換機(jī)Cisco Catalyst 3500將服務(wù)器與核心層連接起來(lái)，同時(shí)可以根據(jù)用戶的需求，放置防火墻設(shè)備，Web交換機(jī)以及安全監(jiān)控設(shè)備，從而為用戶提供更高的安全保障和網(wǎng)絡(luò)性能。
　　
　　9.4　　后臺(tái)治理平臺(tái)
　　IDC的運(yùn)營(yíng)得成功與否，網(wǎng)絡(luò)及業(yè)務(wù)的治理是很要害的一個(gè)因素，這包含了如下的方面：
　　
　　§　　　　　網(wǎng)絡(luò)設(shè)備的治理
　　
　　§　　　　　網(wǎng)絡(luò)流量的監(jiān)控
　　
　　§　　　　　用戶對(duì)其業(yè)務(wù)更新的手段
　　
　　§　　　　　用戶數(shù)據(jù)的備份
　　
　　§　　　　　詳盡的計(jì)費(fèi)報(bào)告
　　
　　§　　　　　….
　　
　　　
　　
　　作為提供網(wǎng)絡(luò)及業(yè)務(wù)治理的網(wǎng)絡(luò)平臺(tái)—后臺(tái)治理平臺(tái)，包含有：
　　
　　§　　　　　IDC控制中心 (IDC的網(wǎng)絡(luò)治理中心)
　　
　　§　　　　　IDC客戶中心 (用戶對(duì)其服務(wù)器進(jìn)行更新、維護(hù))
　　
　　§　　　　　用戶治理中心（用戶遠(yuǎn)程對(duì)其服務(wù)器進(jìn)行更新、維護(hù)）
　　
　　§　　　　　動(dòng)態(tài)業(yè)務(wù)復(fù)制區(qū)等 (用戶數(shù)據(jù)的備份)
　　
　　對(duì)IDC而言，安全性和易操作性是同時(shí)需要的。在這里采用了二級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，第一級(jí)采用交換機(jī)Cisco Catalyst 2900將服務(wù)器接入后臺(tái)治理平臺(tái)網(wǎng)絡(luò)，第二級(jí)采用兩臺(tái)大容量、高性能交換機(jī)Cisco Catalyst 6500將所有第一級(jí)的交換機(jī)匯聚。同時(shí)連接到各業(yè)務(wù)中心。在一期中先不選用Cisco Catalyst 6500，將來(lái)業(yè)務(wù)發(fā)展了再擴(kuò)展。這種網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)是通過(guò)對(duì)Private VLAN的支持，能夠簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)，減少I(mǎi)P地址的浪費(fèi)，同時(shí)又可以達(dá)到網(wǎng)絡(luò)安全的要求：不同用戶群可以享有同樣的服務(wù)而相互之間完全獨(dú)立。這樣就使得業(yè)務(wù)的開(kāi)展變得簡(jiǎn)單，諸如動(dòng)態(tài)業(yè)務(wù)復(fù)制(用于備份IDC用戶的數(shù)據(jù))等。
　　
　　在用戶治理中心，配置Cisco Router 3640和VPN網(wǎng)關(guān)Cisco VPN 3000通過(guò)POTS/ISDN/DDN/VPN/…，提供用戶遠(yuǎn)程數(shù)據(jù)更新，并保證安全性。
　　
　　在后臺(tái)治理平臺(tái)與前臺(tái)核心層之間放置單向防火墻，使得在收集網(wǎng)絡(luò)流量數(shù)據(jù)的同時(shí)又保證了其安全性。
　　
　　10　　IDC IP地址規(guī)劃
　　10.1　　　　IP地址分配原則
　　IP地址的規(guī)劃在網(wǎng)絡(luò)設(shè)計(jì)中的作用舉足輕重。直接影響整個(gè)網(wǎng)絡(luò)運(yùn)行的效率。IP地址設(shè)計(jì)的總原則是簡(jiǎn)單、易治理、易擴(kuò)展。下面先簡(jiǎn)單介紹IP地址規(guī)劃的一般原則。
　　
　　IP地址是TCP/IP協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來(lái)唯一地標(biāo)識(shí)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。滿足這些要求的IP地址分配技術(shù)有：可變長(zhǎng)子網(wǎng)掩碼技術(shù)（VLSM，Variable-Length Subnet Mask）和路由總結(jié)技術(shù)（Route Summarization）。
　　
　　傳統(tǒng)的方式，IP協(xié)議采用分層地址結(jié)構(gòu)，它由4個(gè)字節(jié)（32位）組成，每個(gè)字節(jié)用三位十進(jìn)制數(shù)（0~255）表示，每個(gè)字節(jié)之間用圓點(diǎn)號(hào)隔開(kāi)，它包含兩個(gè)部分：網(wǎng)絡(luò)號(hào)和主機(jī)節(jié)點(diǎn)號(hào)。IP地址分為A、B、C、D、E五類(lèi)，其中常用的是A、B、C三類(lèi)，A類(lèi)地址用前一個(gè)字節(jié)（8位）表示主網(wǎng)絡(luò)號(hào)，這個(gè)字節(jié)的第一位為0，后三個(gè)字節(jié)（24位）表示主機(jī)號(hào)，如下所示：
　　
　　0xxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx　A類(lèi)地址
　　
　　B類(lèi)地址以前二字節(jié)（16位）表示網(wǎng)絡(luò)號(hào)，以10開(kāi)頭，后二字節(jié)（16位）表示主機(jī)號(hào)，如下所示：
　　
　　10xxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx　B類(lèi)地址
　　
　　C類(lèi)地址以前三字節(jié)（24位）表示網(wǎng)絡(luò)號(hào)，以110開(kāi)頭，后一字節(jié)（8位）表示主機(jī)號(hào)，如下所示：
　　
　　110xxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx C類(lèi)地址
　　
　　IP地址的分配應(yīng)遵循以下幾個(gè)原則：
　　
　　·　　　　唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址
　　
　　·　　　　簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于治理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表的款項(xiàng)
　　
　　·　　　　連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)（Route Summarization），大大縮減路由表，提高路由算法的效率
　　
　　·　　　　可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需的連續(xù)性
　　
　　·　　　　靈活性：地址分配應(yīng)具有靈活性，可借助可變長(zhǎng)子網(wǎng)掩碼技術(shù)（VLSM，Variable-Length Subnet Mask），以滿足多種路由策略的優(yōu)化，充分利用地址空間
　　
　　為了有效地利用地址空間，我們可以對(duì)IP地址進(jìn)行子網(wǎng)劃分，從地址的主機(jī)部分借取若干位作為子網(wǎng)號(hào)，剩余部分仍然表示主機(jī)號(hào)，舉例如下：
　　
　　xxxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx
　　
　　網(wǎng)絡(luò)號(hào)　　　　子網(wǎng)號(hào)　　　　　　　　主機(jī)號(hào)
　　
　　　
　　
　　另外，為了靈活地在不同規(guī)模的子網(wǎng)中分配不同數(shù)量的IP地址，我們需要采用VLSM技術(shù)，它可根據(jù)需要在任意位劃分子網(wǎng)邊界，對(duì)一個(gè)主網(wǎng)絡(luò)號(hào)，可分出最小只有2個(gè)主機(jī)號(hào)的子網(wǎng)，亦可劃分出一個(gè)較大的子網(wǎng)，因此它很靈活，非凡是在廣域網(wǎng)中，兩臺(tái)互聯(lián)路由器接口只需2個(gè)主機(jī)號(hào)地址，VLSM非常有用，大大節(jié)約了地址空間，又保證了網(wǎng)絡(luò)設(shè)計(jì)的靈活性。在進(jìn)行地址分配時(shí)，一般先用一個(gè)定長(zhǎng)的子網(wǎng)掩碼將地址空間分成若干個(gè)相同規(guī)模的子網(wǎng)，再在每個(gè)子網(wǎng)中根據(jù)所需的子網(wǎng)數(shù)量和規(guī)模采用VLSM進(jìn)行子網(wǎng)的細(xì)分。
　　
　　采用VLSM時(shí)應(yīng)注重下列三點(diǎn)：
　　
　　·　　　　事先要有規(guī)劃，避免子網(wǎng)重疊分配
　　
　　·　　　　可能會(huì)造成對(duì)已有網(wǎng)絡(luò)地址的重新設(shè)置
　　
　　·　　　　新的網(wǎng)絡(luò)必須仔細(xì)規(guī)劃地址分配，有效利用IP地址和保證網(wǎng)絡(luò)的擴(kuò)展性
　　
　　為縮減路由表的款項(xiàng)，提高路由的效率，路由總結(jié)（Route Summarization或Route Aggregation）是一個(gè)非常重要而有效的手段。分子網(wǎng)是將網(wǎng)絡(luò)號(hào)向主機(jī)號(hào)部分?jǐn)U展、即網(wǎng)絡(luò)邊界向右移的過(guò)程，而路由總結(jié)則是劃分子網(wǎng)的逆過(guò)程，通過(guò)將子網(wǎng)的邊界向左移的過(guò)程，可用一個(gè)較大的子網(wǎng)號(hào)來(lái)代表一組連續(xù)的子網(wǎng)，如下所示：這一疊合路徑可代表16個(gè)連續(xù)的子網(wǎng)。
　　
　　xxxxxxxx。xxxxxxxx。xxxxxxxx。xxxxxxxx
　　
　　因此，路由總結(jié)又稱(chēng)為子網(wǎng)的集結(jié)或超級(jí)子網(wǎng)，它可得到縮小路由表，降低路由器內(nèi)存的使用，并減少路由協(xié)議產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)流量。BGP中亦廣泛使用的CIDR就是路由總結(jié)的一個(gè)具體應(yīng)用。路由器支持自動(dòng)或手工設(shè)置的路由總結(jié)。
　　
　　10.2　　　　網(wǎng)絡(luò)地址轉(zhuǎn)換
　　為了彌補(bǔ)IP地址的不足，大多數(shù)網(wǎng)絡(luò)的IP地址分為兩部分：一是具有全球連通性的IP地址---公網(wǎng)地址；二是只能在企業(yè)內(nèi)部用的IP地址--私有地址。具有公網(wǎng)IP地址主機(jī)或路由器可以和INTERNET網(wǎng)上的任何節(jié)點(diǎn)相連。其地址是全球唯一的。具有私有地址的主機(jī)和路由器只能在企業(yè)內(nèi)部通信，其地址僅在企業(yè)內(nèi)部是唯一的。用這種地址是不可以訪問(wèn)INTERNET的。
　　
　　業(yè)界提出了一種技術(shù)，使企業(yè)可以從私有地址遷移到全球地址空間，這種技術(shù)就是網(wǎng)絡(luò)地址的轉(zhuǎn)換（NAT）。
　　
　　NAT技術(shù)使專(zhuān)用網(wǎng)絡(luò)能夠連接到INTERNET網(wǎng)上。NAT路由器或Web交換機(jī)放置在域的邊界上，在向INTERENT網(wǎng)上發(fā)送數(shù)據(jù)包之前，它把私有地址轉(zhuǎn)換為INTERNET上的公網(wǎng)地址。如下圖所示，企業(yè)內(nèi)部有一主機(jī)，其IP地址為10。0。0。1，該主機(jī)要訪問(wèn)INTERNET上的節(jié)點(diǎn)204。10。10。10，當(dāng)IP數(shù)據(jù)包到達(dá)邊界路由器時(shí)，路由器將IP地址轉(zhuǎn)為公網(wǎng)的192。69。1。1，然后再送往目的地。
　　　

　　10.3　　　　IDC IP地址規(guī)劃建議
　　根據(jù)IDC的網(wǎng)絡(luò)治理及應(yīng)用需要，IDC的IP地址分為公網(wǎng)IP地址和私有IP地址兩部分。公網(wǎng)IP地址由IDC向ISP或NIC申請(qǐng)，在申請(qǐng)IP地址時(shí)應(yīng)充分考慮其擴(kuò)展性。私有IP地址由IDC自行設(shè)計(jì)，應(yīng)該使用Internet保留的IP地址網(wǎng)段。IDC用戶的IP地址由IDC統(tǒng)一分配，IDC根據(jù)用戶的不同需求分配公網(wǎng)IP地址或私有IP地址給用戶的服務(wù)器。
　　
　　　　　在進(jìn)行IDC的IP地址規(guī)劃時(shí)，建議注重以下幾點(diǎn)。
　　
　　·　　　　網(wǎng)絡(luò)設(shè)備的IP地址
　　　

　　見(jiàn)圖，由于核心層交換機(jī)和Internet接入路由器為全網(wǎng)狀連接，跟IDC各POP節(jié)點(diǎn)間的廣域網(wǎng)連接一樣，每組直連端口只需要兩個(gè)IP地址，建議分配只有４個(gè)公網(wǎng)IP地址的子網(wǎng)，掩碼為255。255。255。252。另外，建議每臺(tái)網(wǎng)絡(luò)設(shè)備設(shè)置Loop back端口，其IP地址用作該設(shè)備的網(wǎng)管地址。
　　
　　·　　　　主機(jī)托管用戶（Co-Location）的IP地址
　　
　　按用戶的服務(wù)需求分配IP地址。
　　
　　簡(jiǎn)單的托管主機(jī)：不需要增值服務(wù)（如服務(wù)器的負(fù)載均衡等），連接在分布層交換機(jī)下面的服務(wù)器，（見(jiàn)圖）建議每臺(tái)服務(wù)器分配一個(gè)公網(wǎng)IP地址。
　　
　　需要增值服務(wù)的托管主機(jī)：連接在分布層交換機(jī)Web交換機(jī)下面的服務(wù)器。建議分配給每臺(tái)服務(wù)器一個(gè)私有的IP地址，通過(guò)Web交換機(jī)Web交換機(jī)作地址轉(zhuǎn)換（NAT）。此類(lèi)用戶的多臺(tái)服務(wù)器可以使用一個(gè)公網(wǎng)IP地址作為服務(wù)器群的虛擬IP地址，這樣不但節(jié)省公網(wǎng)IP地址空間，也提高了網(wǎng)絡(luò)安全性。還可以根據(jù)用戶的需求提供不同的增值服務(wù)。
　　
　　·　　　　站點(diǎn)托管用戶（Web Hosting），應(yīng)用托管用戶（ASP）的IP地址
　　
　　這類(lèi)用戶的服務(wù)器建議使用私有的IP地址，通過(guò)Web交換機(jī)作地址轉(zhuǎn)換（NAT），多臺(tái)服務(wù)器使用一個(gè)虛擬IP地址。不但節(jié)省IP地址空間也提高了網(wǎng)絡(luò)安全性，還可以根據(jù)用戶的需求提供不同的增值服務(wù)。當(dāng)然，也可以為這些用戶提供公網(wǎng)IP地址。
　　
　　·　　　　后臺(tái)治理區(qū)的IP
　　
　　建議使用私有的IP地址，通過(guò)PIX防火墻作地址轉(zhuǎn)換（NAT），對(duì)前臺(tái)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控治理，另外Private VLAN技術(shù)可以簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)；節(jié)省IP地址；并且滿足網(wǎng)絡(luò)安全要求。
　　
　　11　　IDC路由協(xié)議選擇
　　對(duì)于IDC網(wǎng)絡(luò)，路由協(xié)議將直接影響網(wǎng)絡(luò)性能。因此如何選擇最優(yōu)的路由協(xié)議，至關(guān)重要。
　　
　　IDC網(wǎng)絡(luò)路由結(jié)構(gòu)分為3個(gè)部分：
　　
　　·　　　　 Internet出口路由策略
　　
　　·　　　　 IDC內(nèi)部路由策略
　　
　　·　　　　多個(gè)IDC PoP節(jié)點(diǎn)間路由策略
　　
　　首先我們簡(jiǎn)單介紹幾種路由協(xié)議：
　　
　　11.1　　　　IS-IS路由協(xié)議
　　　　　 IS-IS是一個(gè)鏈路狀態(tài)路由協(xié)議，為了簡(jiǎn)化路由器的設(shè)計(jì)和操作，使網(wǎng)絡(luò)的路由信息能快速收斂，是眾多ISP所選用的路由協(xié)議。
　　
　　IS-IS將網(wǎng)絡(luò)路由分為L(zhǎng)evel1和Level2。Level1中的路由器只知道它所在AREA的路由信息；LEVEL2中的路由器知道去其它AREAS的路由信息。也就是說(shuō)，所有L1的路由器形成了LEVEL1的AREAS，而所有L2的路由器形成了網(wǎng)絡(luò)的骨干BACKBONE，用于傳遞LEVEL1 AREAS之間的路由信息。如下圖所示。
　　

　　ROUTER1和ROUTER4是LEVEL1的路由器，ROUTER2和ROUTER3是LEVEL1/2的路由器。
　　
　　L1的路由器僅知道本AREA的路由，如ROUTER1知道去往ROUTER2的路由，但不知道去AREA2的路由；同樣，ROUTER4僅知道AREA2內(nèi)的路由，只知道去網(wǎng)ROUTER3的路由，而不知道如何去AREA1。
　　
　　LEVEL1/2的路由器ROUTER2和ROUTER3形成了網(wǎng)絡(luò)的骨干，他們知道所在AREA的路由信息，并將此AREA的路由信息廣播道所有L1/2的路由器，即所有L1/2路由器知道全自治域的路由信息。在上圖中，如ROUTER1收到要去往ROUTER4的數(shù)據(jù)包，ROUTER1發(fā)現(xiàn)自己的路由表內(nèi)無(wú)此路由信息，就將數(shù)據(jù)包發(fā)往邊界L1/2路由器ROUTER2，ROUTER2知道全自治域的路由信息，即知道去往路由器ROUTER4的路由信息，它將數(shù)據(jù)包送給ROUTER3。
　　
　　因L1/2路由器相當(dāng)L1路由器少的多。所以可以快速收斂網(wǎng)絡(luò)的路由信息。
　　
　　11.2　　　　OSPF路由協(xié)議
　　80年代中期，由于RIP路由協(xié)議越來(lái)越不適應(yīng)大規(guī)模異構(gòu)網(wǎng)絡(luò)互連。OSPF作為IETF（網(wǎng)間工程任務(wù)組織）為IP網(wǎng)絡(luò)開(kāi)發(fā)的一種IGP（內(nèi)部網(wǎng)關(guān)協(xié)議）協(xié)議，克服了RIP路由協(xié)議的缺點(diǎn)。其采用SPF（Shortest Path First）算法，基于鏈路狀態(tài)路由協(xié)議。OSPF路由協(xié)議有如下特點(diǎn)：
　　
　　需要每臺(tái)路由器向同域（Area）的所有其它路由器發(fā)送鏈路狀態(tài)廣播（LSA）信息。路由器收集有關(guān)的鏈路狀態(tài)信息，并根據(jù)SPF的算法計(jì)算出到每個(gè)結(jié)點(diǎn)的最短路徑。同域內(nèi)的路由器共享相同的拓?fù)湫畔ⅰ?br />　　
　　·　　　　路由選擇的分級(jí)
　　
　　與RIP路由協(xié)議不同，OSPF可在一個(gè)域（Area）內(nèi)進(jìn)行路由選擇。域的最大集合是自治域（AS）。AS是共享同一路由選擇策略的網(wǎng)絡(luò)集合。
　　
　　一個(gè)自治域AS可分為多個(gè)域（Area），域是由相鄰的網(wǎng)絡(luò)和連接的主機(jī)組成。
　　
　　根據(jù)源點(diǎn)和目的地是否在同一域內(nèi)，OSPF有兩種類(lèi)型的路由選擇方式：
　　
　　o　　　當(dāng)源和目的在同一區(qū)域時(shí)，采用域內(nèi)路由選擇
　　
　　o　　　當(dāng)源和目的不在同區(qū)域時(shí)，采用域間路由選擇
　　
　　由于有域的概念，OSPF路由協(xié)議比那些不將AS分區(qū)的情況下所需傳送的路由信息少得多。
　　
　　·　　　　支持VLSM（Variable Length Subnet Mask）可變長(zhǎng)度子網(wǎng)掩碼技術(shù)
　　
　　由于每個(gè)發(fā)布的目的地均包括IP子網(wǎng)的掩碼，從而可利用子網(wǎng)掩碼將IP網(wǎng)絡(luò)分為不同大小的子網(wǎng)，這種方法可節(jié)省IP地址空間并給網(wǎng)絡(luò)治理員治理帶來(lái)靈活性。
　　
　　§　　　　　對(duì)帶寬和CPU等資源消耗
　　
　　這個(gè)SPF算法占用了CPU的資源，一般來(lái)說(shuō)與運(yùn)算量與網(wǎng)內(nèi)鏈路數(shù)目與路由器數(shù)目乘積成正比。另外當(dāng)SPF路由器通電，初始的鏈路狀態(tài)包泛濫（Flooding）占用網(wǎng)絡(luò)帶寬，這些情況都是在網(wǎng)絡(luò)設(shè)計(jì)中要考慮的。
　　
　　11.3　　　　靜態(tài)路由協(xié)議
　　以上我們介紹的均為動(dòng)態(tài)路由協(xié)議，當(dāng)然還有另外一種路由協(xié)議便是靜態(tài)路由協(xié)議。靜態(tài)路由協(xié)議是由網(wǎng)絡(luò)系統(tǒng)治理員人工定制的，需要制出一切所需的路由。其優(yōu)點(diǎn)為不會(huì)產(chǎn)生動(dòng)態(tài)路由所特有的路由信息廣播或路由信息更新或HELLO從而不會(huì)在系統(tǒng)資源：內(nèi)存、CPU、帶寬等方面制成額外的開(kāi)銷(xiāo)。但其缺點(diǎn)為會(huì)給系統(tǒng)治理員的治理工作帶來(lái)大量的工作，其次，由于路由是靜態(tài)的因而不能適應(yīng)網(wǎng)絡(luò)的動(dòng)態(tài)變化的需要而改變路由。
　　
　　11.4　　　　BGP4路由協(xié)議
　　　　　 BGP是用來(lái)在自治系統(tǒng)之間傳遞信息的路徑向量協(xié)議。BGP把TCP當(dāng)作它傳送協(xié)議。這就保證了所用傳輸?shù)目煽啃浴?br />　　
　　11.5　　　　Internet路由協(xié)議策略建議
　　Internet出口路由協(xié)議建議選用BGP4，Internet接入路由器（GSR）之間路由協(xié)議選用IBGP。
　　
　　IDC的Internet出口是連接Internet、其它IDC和用戶的窗口。為了保證與Internet連接的高可靠性，高性能。建議設(shè)置多個(gè)Internet出口。
　　
　　在Internet出口的合作選擇上建議考慮以下幾點(diǎn)：
　　
　　§　　　　　選擇規(guī)模較大的ISP
　　
　　規(guī)模較大的ISP具有較多的分布節(jié)點(diǎn)、較高帶寬及完善的服務(wù)，IDC應(yīng)采用多個(gè)出口連接1個(gè)ISP，例如：可以通過(guò)兩條鏈路同時(shí)連接到ChinaNet骨干，作為分流及備份。
　　
　　§　　　　　選擇不同的ISP
　　
　　建議IDC采用多個(gè)出口連接多個(gè)ISP，避免因?yàn)镮SP的問(wèn)題影響IDC的正常運(yùn)行，同時(shí)提高用戶訪問(wèn)響應(yīng)速度。
　　
　　在BGP4路由策略上，IDC只需要向外廣播IDC內(nèi)部BGP4信息；配置BGP4路由過(guò)濾。為了避免造成非對(duì)稱(chēng)路由的出現(xiàn)；需要據(jù)實(shí)際運(yùn)行情況調(diào)整BGP4路徑屬性，人為的調(diào)整網(wǎng)絡(luò)負(fù)載。在BGP4接收路由信息上，需要對(duì)不同的Peer對(duì)象來(lái)的路由信息通過(guò)BGP4 Community加以區(qū)分；針對(duì)不同的BGP4路由信息組，配置不同的路由策略，如：增加不同的路徑屬性，以達(dá)到出口的流量均衡。
　　
　　11.6　　　　IDC內(nèi)部路由協(xié)議選擇
　　IDC內(nèi)部路由協(xié)議可以有多種選擇，以下為幾種方案建議。
　　
　　方案1：選用OSPF路由協(xié)議
　　
　　　　　 OSPF路由協(xié)議是國(guó)際標(biāo)準(zhǔn)的路由協(xié)議，路由收斂和恢復(fù)時(shí)間快，支持可變長(zhǎng)子網(wǎng)掩碼（VLSM），并且根據(jù)網(wǎng)絡(luò)的穩(wěn)定性可改變路由更新周期，減少因?yàn)槁酚筛庐a(chǎn)生的網(wǎng)絡(luò)負(fù)載。
　　
　　　　　 IDC網(wǎng)絡(luò)設(shè)計(jì)中第三層網(wǎng)絡(luò)設(shè)備數(shù)量一般不會(huì)太多，并且有高速第三層網(wǎng)絡(luò)設(shè)備和局域網(wǎng)支持路由信息交換。為了簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)和治理，建議只設(shè)OSPF Aera0，不分OSPF子域（Sub-Area）。核心路由器局域網(wǎng)端口，核心層交換機(jī)組成OSPF的Aera0。在核心路由器上作OSPF與BGP4路由協(xié)議間的轉(zhuǎn)換。使BGP能學(xué)到OSPF的路由表，OSPF也能學(xué)到BGP的路由表。通過(guò)配置可以做到IDC全網(wǎng)的負(fù)載均衡和冗余備份。
　　
　　方案2：選用EIGRP，同時(shí)配合靜態(tài)/缺省路由協(xié)議
　　
　　核心路由器局域網(wǎng)端口，核心層交換機(jī)選用EIGRP。核心層交換機(jī)與Web交換機(jī)Web交換機(jī)間的路由配置靜態(tài)路由／缺省路由。
　　
　　設(shè)計(jì)特點(diǎn)：EIGRP路由協(xié)議非凡適合這種平面結(jié)構(gòu)的網(wǎng)絡(luò)，它收斂速度快，占用CPU及Memory資源少，配置治理簡(jiǎn)單，并且支持非對(duì)稱(chēng)的鏈路的負(fù)載均衡。靜態(tài)路由／缺省路由適合于小型和拓?fù)浣Y(jié)構(gòu)不經(jīng)常改變的網(wǎng)絡(luò)，它占用很少CPU和Memory資源，并且非常穩(wěn)定。等值多鏈路協(xié)議（ECMP）實(shí)現(xiàn)分布層的Web交換機(jī)Web交換機(jī)上連鏈路的負(fù)載均衡，使其專(zhuān)注于內(nèi)容的交換。
　　
　　方案3：選用IS-IS路由協(xié)議，同時(shí)配合靜態(tài)/缺省路由協(xié)議　
　　
　　核心路由器局域網(wǎng)端口，核心層交換機(jī)路由協(xié)議選用IS-IS，它們?nèi)繉儆贗S-IS Level1的一個(gè)區(qū)域，作為L(zhǎng)1的路由器。核心層交換機(jī)與Web交換機(jī)Web交換機(jī)間的路由配置靜態(tài)路由／缺省路由。
　　
　　　　　設(shè)計(jì)特點(diǎn)：IS-IS擴(kuò)展性好，這可以使網(wǎng)絡(luò)擴(kuò)充更為輕易。IS-IS占用網(wǎng)絡(luò)資源較小，路由收斂和恢復(fù)時(shí)間快，IS-IS采用較小的協(xié)議數(shù)據(jù)包承載路由信息，這使得路由信息繁衍速度更快。靜態(tài)路由／缺省路由靜態(tài)路由適合于小型和拓?fù)浣Y(jié)構(gòu)不經(jīng)常改變的網(wǎng)絡(luò)，它占用很少CPU和Memory資源，并且非常穩(wěn)定。另外通過(guò)等值多鏈路協(xié)議（ECMP）實(shí)現(xiàn)分布層的Web交換機(jī)Web交換機(jī)上連鏈路的負(fù)載均衡。使其專(zhuān)注于內(nèi)容的交換。
　　
　　　　　 IDC可根據(jù)具體情況選擇最適合自己的路由協(xié)議。進(jìn)入討論組討論。

上一篇：思科推出全方位服務(wù)分支機(jī)構(gòu)解決方案

下一篇：企業(yè)內(nèi)部網(wǎng)絡(luò)方案