如何：从单服务器部署移到双服务器部署

在双服务器部署中，由两台或更多台物理服务器承载构成 Team Foundation 逻辑应用层和数据层的组件。从单服务器部署移到双服务器部署时，需要将原始服务器转换为应用层服务器，并在新的数据层服务器上安装和配置 SQL Server。然后，将 SharePoint 产品和技术以及 SQL Server Reporting Services 重定向到新的数据层服务器，并将原始部署中的数据还原到新的数据层服务器。有关更多信息，请参见 Team Foundation Server 移动类型。 在执行此类型的移动之前，应通读本主题并考虑打印所有必需的步骤。还应考虑打印本主题所链接的那些主题以及包含有关其他必需步骤的信息的主题。 在此类型的移动过程中，切勿执行以下任何操作： 不得更改服务帐户。 不得更改原始服务器的名称或域。 在不具备足够信任的情况下，不得将数据层服务器安装到原始部署之外的其他域中。 若要执行此类型的移动，必须按照列出的顺序完成以下各节中的过程： 备份数据库和加密密钥安装SQL Server 并准备新硬件还原数据库重定向 SharePoint 产品和技术以使用新的内容数据库重新连接管理数据库和配置数据库重定向并测试 SQL Report Server、Reporting Services 以及默认报表将应用层服务器重定向到新的数据层重新生成 Team System 多维数据集删除版本控制缓存更新服务帐户重新启动服务刷新客户端计算机上的数据缓存必需的权限 若要完成上述这些过程，您必须是新旧服务器上 Administrators 组的成员以及 Team Foundation Administrators 组的成员。 除了这些权限，对于运行 Windows Server 2008 或 Windows Vista 的计算机，您可能还需要满足以下要求： 若要使用命令行过程，您可能需要通过以下操作使用提升的权限打开命令提示窗口：单击“开始”，右击“命令提示符”，再单击“以管理员身份运行”。 若要使用需要 Internet Explorer 的过程，您可能需要通过以下操作以管理员身份启动 Internet Explorer：单击“开始”，单击“所有程序”，右击“Internet Explorer”，再单击“以管理员身份运行”。 若要编辑 webconfig 文件，您可能需要通过以下操作以管理员身份启动文本编辑器：单击“开始”，单击“所有程序”，右击所需编辑器，再单击“以管理员身份运行”。 若要访问 Reporting Services 的报表管理器、报表或网站，您可能需要将这些站点添加到 Internet Explorer 的受信任站点列表中，或者以管理员身份启动 Internet Explorer。 有关更多信息，请参见 Microsoft 网站。 备份数据库和加密密钥 必须先备份 Team Foundation 的数据库，然后才能将部署从单服务器配置更改为双服务器配置。在此移动过程中，需要将这些数据库还原到新的数据层服务器。 备份数据库和加密密钥 备份所有的 Team Foundation 数据库。 有关更多信息，请参见如何：备份 Team Foundation Server。 说明：您还必须备份要保留的 SharePoint 产品和技术的任何自定义站点定义、自定义站点模板或自定义 Web 部件。有关更多信息，请参见 Microsoft 网站上的“Backup and Restore Options for Windows SharePoint Services 20”（Windows SharePoint Services 20 的备份和还原选项），或者对于 Windows SharePoint Services 30，请参见 Microsoft 网站上的“Choose backup and recovery tools (Windows SharePoint Services)”（选择备份和恢复工具 (Windows SharePoint Services)）。如果 SharePoint 产品和技术安装在应用层上，并且希望将 SharePoint 产品和技术的数据库移到新的数据层，请确保备份 SharePoint 产品和技术的管理数据库(SharePoint_AdminContent_ID) 以及内容和配置数据库。 备份Reporting Services 加密密钥。确保将此密钥存储在运行 Team Foundation Server 的服务器以外的其他计算机上的安全位置，并且新的应用层服务器可以访问该密钥。还必须存储加密该密钥时使用的密码。 有关更多信息，请参见如何：备份 Reporting Services 加密密钥。 安装SQL Server 并准备新硬件 备份数据库后，必须在将用作部署的新数据层服务器的计算机上安装 SQL Server。 安装SQL Server 并为移动准备服务器 在新环境中安装 SQL Server，并确保其正常运行。 有关详细说明，请打开 Team Foundation 安装指南，找到有关如何在双服务器部署中安装 SQL Server�0�2的主题。您安装的 SQL Server�0�2的版本必须与原始部署中使用的版本相同。可以在 Microsoft 网站上找到该指南。 在应用层服务器上，打开命令提示窗口，将目录更改到 %ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools。 在命令提示符处，键入下列命令： TfsDBexe install /server:"新SQL Server 名称" /property:"TFS_SERVICE_ACCOUNT=TFS 服务帐户;TFS_REPORTING_ACCOUNT=TFS Reporting Services 帐户;LCID=LCID 编号;VSTF_AS_INSTANCE=Analysis Services 服务器名称;VSTF_AS_DATABASE=Team Foundation 数据仓库名称;VSTF_AS_ACCOUNT="新SQL Server 名称 是刚刚安装了 SQL Server 并且您打算在其上还原数据的服务器的名称。如果您使用的是命名实例，则不但要包括服务器名称，而且还必须包括相应的实例名。 TFS 服务帐户 是采用域\帐户 或计算机\帐户 格式的 Team Foundation Server 服务帐户。如果您使用的是系统帐户，则必须使用系统\帐户 格式指定该帐户。例如，如果要使用 Network Service，则应将它指定为 NT Authority\Network Service。 TFS Reporting Services 帐户 是采用域\帐户 或计算机\帐户 格式的 Reporting Services 数据源帐户。 LCID 编号 是您所用语言版本的 SQL Server 的语言排序规则 ID 号。例如，英语的 LCID 为 1033。 Analysis Services 服务器名称 是装有 SQL Server Analysis Services 的服务器的名称。默认情况下，此服务器与新SQL Server 名称 是同一台服务器。 Team Foundation 数据仓库名称 是Team Foundation 的原始数据仓库的名称。默认情况下，该值为 TfsWarehouse。 在运行 Reporting Services 的服务器上，检索并保存 Reporting Services 安装 ID 的列表。 打开“命令提示符”窗口，将目录改为下面的目录： %ProgramFiles%\Microsoft SQL Server\90\Tools\binn\ 运行RSKeyMgmt -l。 记录安装 ID，然后将列表打印出来或将其保存到一个安全的位置。 登录到相应的服务器，打开“计算机管理器”，按照指定的顺序停止下表中的服务和应用程序池： 登录到承载此程序的服务器 停止此组件 SharePoint 产品和技术 SharePoint 定时服务或 Windows SharePoint Services 定时 默认网站或团队网站 应用层 Visual Studio Team Foundation Server 任务计划程序服务 Microsoft Team Foundation Server Application Pool SQL Server Reporting Services SQL Server Reporting Services (TFS 实例)（服务） ReportServer 或 ReportServer$实例名称（应用程序池） 说明：如果您运行的是 SQL Server 2005，则需要在 Internet 信息服务 (IIS) 中管理 ReportServer；如果运行的是 SQL Server 2008，则不需要这样做。 默认网站或报表管理器网站 重要说明：若要在基于还原的移动过程中移动用户帐户和服务帐户，Team Foundation Server 的新部署必须处于停止状态。如果在还原数据之后、移动用户帐户和服务帐户之前重新启动 Team Foundation Server，可能会导致作为迁移目标的用户在 TFSIntegration 数据库中标记为已删除。如果组安全服务在与 Active Directory 同步时找不到用户的系统标识符 (SID)，便会出现此问题。 有关如何启动和停止服务及应用程序池的更多信息，请参见如何：停止和启动服务、应用程序池和网站。 还原数据库 停止服务后，可以使用 SQL Server 提供的还原工具来还原 Team Foundation 的数据。 警告：You must restore all the databases to the same point in time 否则，数据库可能会损坏。打开“还原数据库”对话框 在新的数据层服务器上，单击“开始”，指向“所有程序”，指向“Microsoft SQL Server”，再单击“SQL Server Management Studio”。 说明：有关如何还原数据库的更多信息，请参见 Microsoft 网站上的“实现 SQL Server 数据库还原方案”。 在“服务器类型”列表中单击“数据库引擎”。 在“服务器名称”列表中，单击或键入适当的服务器。 在“身份验证”列表中，单击适当的方案。 在“用户名”中，键入有效帐户的用户名。 在“密码”中键入该帐户的密码（如果 SQL Server 要求），再单击“连接”。 展开“数据库”节点，以显示构成 Team Foundation 数据层的数据库的列表。 为以下各数据库完成“还原各个数据库”过程： ReportServer 说明：如果使用了命名实例，此数据库将命名为“ReportServer$实例名称”。 ReportServerTempDB 说明：如果您使用的是命名实例，则此数据库将命名为“ReportServerTempDB$实例名称”。 SharePoint 产品和技术的配置数据库（STS_Config_TFS 或 WSS_Config） 重要说明：仅当SharePoint 产品和技术安装在原始单服务器部署中且您未更改其位置时，才应还原此数据库。如果在其他服务器上使用或安装�0�2SharePoint 产品和技术，则不需要还原此数据库。 SharePoint 产品和技术的内容数据库（STS_Content_TFS 或 WSS_Content） 包含SharePoint 产品和技术数据的数据库的名称将随着两个因素而变化：一是所安装的 SharePoint 产品和技术的版本，二是安装人员是否对该名称进行了自定义。此外，如果 SharePoint 产品和技术安装在与 Team Foundation Server 不同的服务器上，则这些数据库可能不在 Team Foundation 的数据层服务器上。如果这些数据库不存在，则必须从 Team Foundation Server 分别管理它们的备份、还原和配置。但是，您应该同步数据库的维护操作以避免同步错误。 SharePoint 产品和技术的管理数据库 (SharePoint_AdminContent_ID) 重要说明：仅当SharePoint 产品和技术安装在原始单服务器部署中且您未更改其位置时，才应还原此数据库。如果在其他服务器上使用或安装�0�2SharePoint 产品和技术，则不需要还原此数据库。 TfsBuild TfsIntegration TfsVersionControl TfsWarehouse TfsWorkItemTracking TfsWorkItemTrackingAttachments TfsActivityLogging（可选） 说明：在还原过程中，必须将为自定义过程模板创建的任何自定义站点模板或 Web 部件上载到 SharePoint 产品和技术的数据库中。还原各个数据库 右击要还原的数据库，依次指向“任务”、“还原”，然后单击“数据库”。 重要说明：在大多数部署中，SQL Server 数据库和 SharePoint 产品和技术数据库将显示在“数据库”节点下方的数据库列表中。若要还原未显示在列表中的任何数据库，必须右击“数据库”节点，单击“还原数据库”，再指定未显示在列表中的任何数据库。“还原数据库”对话框打开。 在“还原的源”下方单击“源设备”，再单击省略号按钮（“…”）。 在“指定备份”对话框中，指定备份文件的位置，再单击“确定”。 您应用的第一个备份必须是完整备份，随后按照创建顺序依次应用事务日志备份。 在“选择要还原的备份集”下方指定要还原的备份集。 在“选择页”窗格中，单击“选项”，然后选中“覆盖现有数据库”复选框。 在“将数据库文件还原为”列表中，确认路径与当前数据库路径相匹配。 如果要将数据库还原到其他驱动器，则此步骤十分重要。 在“恢复状态”下方单击相应的状态。 执行以下步骤之一： 如果不准备应用其他事务日志，请单击“数据库随时可用”。 如果准备应用其他事务日志，请单击“数据库尚不可用”。 单击“确定”关闭“还原数据库”对话框并还原数据库。 如果准备应用其他事务日志，请按照日志备份的创建顺序，对每组日志备份执行此过程。从完整备份后创建的第一组日志备份开始。 有关更多信息，请参见 Microsoft 网站上的“应用事务日志备份”。 重定向 SharePoint 产品和技术以使用新的内容数据库 必须将团队项目的任何网站重定向到新的 Team Foundation 数据层服务器上的内容数据库。如果要移动所有的 SharePoint 产品和技术数据库，则可以跳过此过程，而继续本主题稍后部分中的“重新连接管理数据库和配置数据库”过程。 重定向项目站点以使用新数据层服务器上的内容数据库 登录到承载 SharePoint 产品和技术的服务器，并将 SharePoint 产品和技术重定向到新数据层服务器上的内容数据库。 有关更多信息，请参见如何：重定向 SharePoint 产品和技术以使用新的内容数据库。 重新连接管理数据库和配置数据库 SharePoint 产品和技术保留在原始单服务器上，该服务器现在是新部署的应用层服务器。但是，您仍需要对它进行配置，以使用新数据层服务器上的管理数据库和配置数据库。 重新连接 SharePoint 产品和技术的管理数据库和配置数据库 登录到承载 SharePoint 产品和技术的服务器，打开命令提示窗口，更改到下面的目录： %PROGRAMFILES%\microsoft shared\web server extensions\12\bin。 键入以下命令： stsadm –o renameserver –oldservername 原始数据层服务器名称 -newserver 新数据层服务器名称 有关如何还原 SharePoint 产品和技术的更多信息，请参见 Microsoft 网站上的“White paper: Backing up, restoring, high availability, and disaster recovery for Office SharePoint Server farms”（白皮书：Office SharePoint Server 场的备份、还原、高可用性和灾难恢复）。 重定向并测试 SQL Report Server、Reporting Services 以及默认报表 重定向团队项目的网站后，必须将 Reporting Services 重定向到新的数据层服务器。 还原并验证 SQL Server 2005 Reporting Services 在运行 Reporting Services 的服务器上，单击“开始”，依次指向“所有程序”、“Microsoft SQL Server”、“配置工具”，再单击“Reporting Services 配置”。 在“选择报表服务器安装实例”对话框中，确保计算机名称是新的应用层服务器的名称。确保实例名为 MSSQLSERVER，再单击“连接”。 说明：如果您使用的是命名实例，则必须指定相应的实例名而不是默认实例 MSSQLSERVER。 在资源管理器窗格中单击“服务器状态”。 “报表服务器状态”窗格打开。 在“实例属性”中单击“启动”。 在资源管理器窗格中单击“数据库安装”。 “数据库连接”窗格打开。 在“服务器名称”中键入新数据层服务器的名称，再单击“连接”。 在“SQL Server 连接”对话框中单击“确定”。 “数据库连接”窗格打开。 单击“应用”。 在资源管理器窗格中单击“Windows 服务标识”。 “Windows 服务标识”页打开。 在“内置服务帐户”列表中单击“Local Service”。 “应用”按钮随即变成可用。此时，请勿单击它。 在“内置服务帐户”列表中单击“Network Service”，再单击“应用”。 在“SQL Server 连接”对话框中单击“确定”。 关闭“Reporting Services 配置”工具。 打开命令提示窗口，将目录更改到 %ProgramFiles%\Microsoft SQL Server\90\Tools\binn。 键入下面的命令以列出 Reporting Services 的安装 ID： RSKeyMgmt -l 在列表中，查找对应于旧数据层服务器的安装 ID。 键入下面的命令以移除该安装 ID，其中 DT 实例 ID 对应于旧数据层服务器： RSKeyMgmt –r DTInstanceID说明：请勿移除对应于新数据层服务器的安装 ID。 在运行 Reporting Services 的服务器上，单击“开始”，依次指向“所有程序”、“Microsoft SQL Server”、“配置工具”，再单击“Reporting Services 配置”。 在资源管理器窗格中单击“加密密钥”。 在“加密密钥”页上单击“还原”。 “加密密钥信息”页打开。 在“密码”中键入加密密钥文件的密码。 在“密钥文件”中键入或单击备份加密密钥（snk 文件）的位置，再单击“确定”。 将应用层服务器重定向到新的数据层 还原数据库后，必须使用 TfsAdminUtil 命令将部署的原始服务器（现在成为新的应用层服务器）重定向到新的数据层服务器。 将应用层服务器重定向到新的数据层服务器 登录到相应的服务器，打开“计算机管理器”，然后启动下表中的应用程序池和程序： 登录到承载此程序的服务器 启动此组件 应用层 Microsoft Team Foundation Server Application Pool 默认网站或团队网站 SQL Server Reporting Services ReportServer 或 ReportServer$实例名称（应用程序池） SQL Server Reporting Services (TFS 实例) 默认网站或报表管理器网站 打开命令提示窗口，将目录切换到 %ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools，然后键入以下命令： TfsAdminUtil RenameDT newDataTierServerName重要说明：为了使此命令成功，上一步中的应用程序池和程序必须正在运行。此要求是 Visual Studio Team System 2008 Team Foundation Server 中的新增要求。此外，此命令要求服务 webconfig 文件中的连接字符串引用部署的原始服务器。如果连接字符串引用新的数据层服务器，此命令将失败。为了使此命令正确运行，您必须还原原始服务器的名称。重新生成 Team System 多维数据集 配置连接并运行 TFSAdminUtil RenameDT 命令后，必须重新生成 Team System 多维数据集。Team System 多维数据集支持 SQL Server Reporting Services，并且包含 Team System 数据仓库的关系数据库中的数据。有关更多信息，请参见了解数据仓库体系结构。 重新生成 Team System 多维数据集 重新生成 Team System 多维数据集。 有关更多信息，请参见如何：重新生成 Team System 多维数据集。 删除版本控制缓存 重新生成 Team System 多维数据集后，必须删除应用层服务器和任何代理服务器上的版本控制缓存，以强制与新的数据层服务器同步。 删除版本控制缓存 在应用层服务器上，打开 %ProgramFiles%\Microsoft Visual Studio 2008 Team�0�2Foundation�0�2Server\Web Services\VersionControl 目录。 删除Data 子目录的内容，但不要删除 Data 子目录本身。 有关更多信息，请参见如何：在应用层服务器上删除版本控制缓存。 对部署中运行 Team Foundation Server Proxy 的任何服务器重复此过程。 更新服务帐户 如果您在单服务器部署上对服务帐户使用的是本地帐户或系统帐户（如 Network Service），则必须更改这些帐户。在双服务器部署中，不能使用本地帐户。可以使用相同的系统帐户，但必须更新相应的信息，使新的应用层服务器和数据层服务器上的每个帐户与正确的 SID 相关联。 说明：在新部署上创建的帐户名必须与原始部署中的帐户名匹配。此要求既包括用户帐户也包括服务帐户。刷新服务帐户 在运行 Reporting Services 的服务器上，打开“计算机管理器”，然后启动以下组件（如果它们尚未启动的话）： ReportServer 或 ReportServer$实例名称（应用程序池） SQL Server Reporting Services (TFS 实例) 在新的应用层服务器上，打开命令提示窗口，将目录切换到 %ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools。 在命令行处，键入下列命令： TfsAdminUtil ChangeAccount 旧的域或计算机名\旧的 TFS 服务帐户 新的域或计算机名\新的 TFS 服务帐户 新密码说明：忽略任何指示服务帐户不存在或帐户不是数据仓库角色成员的警告。 在命令行处，键入下列命令： TfsAdminUtil ChangeAccount/ra 旧的域或计算机名\旧的 TFS Reporting Service 帐户 新的域或计算机名\新的 TFS Reporting Service 帐户 新密码说明：忽略任何指出服务帐户不是数据仓库角色成员的警告，或者提示您将帐户添加到服务帐户组的警告。重新启动服务 若要继续操作，必须重新启动 Team Foundation 所依赖的服务。 重新启动服务 登录到相应的服务器，打开“计算机管理器”，按照指定的顺序启动下表中的组件： 登录到承载此程序的服务器 启动此组件 SharePoint 产品和技术 SharePoint 定时服务或 Windows SharePoint Services 定时 应用层 Visual Studio Team Foundation Server 任务计划程序服务 Microsoft Team Foundation Server Application Pool 刷新客户端计算机上的数据缓存刷新客户端计算机上的数据缓存 使用“ClientService”Web 服务来强制客户端在下次连接到应用层服务器时更新跟踪工作项的缓存。 有关更多信息，请参见如何：刷新客户端计算机上的数据缓存。

本文介绍了H3C宽带流量清洗解决方案技术的应用背景，描述了宽带流量清洗解决方案的业务实现流程以及关键技术，并对其在实际组网环境的应用作了简要的介绍

缩略语清单： 缩略语 英文全名 中文解释 DDoS Distributed Deny of Service 分布式拒绝服务攻击 AFC Abnormaly Flow Cleaner 异常流量清洗设备 AFD Abnormaly Flow Detector 异常流量检测设备　　　　 11 网络安全面临的挑战随着网络技术和网络经济的发展，网络对企业和个人的重要程度在不断增加。与此同时，网络中存在的安全漏洞却也正在相应的增加，网络安全问题所造成的影响也越来越大。另一方面，网络黑金产业链也逐步形成。网络攻击的威胁越来越受经济利益驱使，朝着规模化、智能化和产业化发展。黑客攻击由原来的个人行为，逐渐转化为追求经济和政治利益的集体行为。有着严密组织的网络犯罪行为开始出现，给被攻击企业造成很大的损失，同时造成了恶劣的社会影响。越来越严重的城域网网络安全威胁，不仅影响了被攻击城域网接入大客户的业务质量，而且也直接影响着城域网自身的可用性。

近年来我国发生的大量安全事件和一系列安全威胁统计数据正以血淋淋的事实说明我国对城域网安全建设的重要性：

l 2007年年底某省针对网吧的DDoS攻击敲诈勒索案件，导致网吧损失巨大。

l 2007年6月完美时空公司遭受DDoS攻击损失数百万元。

l 2007年5月某某游戏公司在北京、上海、石家庄IDC托管的多台服务器遭到DDoS攻击长达1月，经济损失达上百万元。

l 2006年~07年众多著名威客网络遭遇DDoS攻击，损失巨大

l 2006年12月，针对亚洲最大的IDC机房DDoS攻击导致该IDC间歇性瘫痪

l 目前中国“黑色产业链”的年产值已超过2亿元，造成的损失则超过76亿元

12 流量清洗是运营商的新机会

对DDoS攻击流量的清洗是目前最适合运营商来开展的业务。我们可以从两个角度来分析对DDoS流量清洗最适合运营商来开展业务的原因。

从城域网中接入的大客户的角度来看。在面临越来越严重的DDoS攻击的情况下，企业对DDoS攻击防御的需求越来越迫切。然而DDoS攻击自身的复杂性导致企业难以独立完成对DDoS攻击的防御。目前企业往往只能被动的采用服务器资源和带宽资源扩容的方式来保证自己的正常业务的资源能够得到满足。但随着DDoS攻击的规模越来越大，这种资源预留的作用越来越小。而运营商由于自身特点却是很好地DDoS攻击防御点。运营商自身具有充足的带宽资源，可以防止DDoS攻击流量不会将用户正常流量淹没，从而失去流量清洗的效果。另外，由于运营商同时面对城域网的众多用户提供服务，可以保证清洗设备的利用率，有效节约清洗成本，

从运营商的角度来看通过对城域网中大量的DDoS流量的过滤，可以有效减小城域网自身的负载，为城域网所承载的高价值业务提供有效的质量保障。可以在减小对城域网扩容压力的同时保证高价值客户的网络业务质量，从而保持现有高价值客户的忠诚度，并且吸引新的高价值客户的接入。

综上所述，在城域网侧为企业客户开展流量清洗业务实现对DDoS攻击的防御，可以同时满足运营商和大客户的双重需要，已经成为目前运营商的必然需求。

2 宽带流量清洗解决方案介绍 宽带流量清洗解决方案提供的服务包括：网络业务流量监控和分析、安全基线制定、安全事件通告、异常流量过滤、安全事件处理报告等。“宽带流量清洗解决方案”的实施，减轻了来自于DDoS攻击流量对城域网造成的压力，提升带宽利用的有效性；保护企业网络免受来自互联网的攻击，提高网络性能，实现其核心业务的永续，保障其核心竞争力。

宽带流量清洗解决方案主要分为三个步骤。第一步，利用专用的检测设备对用户业务流量进行分析监控。第二步，当用户遭受到DDoS攻击时，检测设备上报给专用的业务管理平台生成清洗任务，将用户流量牵引到流量清洗中心。第三步，流量清洗中心对牵引过来的用户流量进行清洗，并将清洗后的用户合法流量回注到城域网。同时上报清洗日志到业务管理平台生成报表。其原理图如下：

解决方案涉及的关键技术包括对DDoS攻击的检测防御，对被攻击用户的流量的牵引和清洗后的流量回注。其具体技术请见下面的描述。 H3C流量清洗宽带流量清洗解决方案，流量检测和防御功能由旁挂在城域网的专用探测和防御设备实现。

H3C DDoS探测设备通过对城域网用户业务流量进行逐包的分析和统计，完成用户流量模型的自学习，并自动形成用户流量模型基线。基于该基线探测设备可以对用户的业务流量进行实时监测。当发现用户流量异常后，探测设备向专用的业务管理平台上报攻击事件。

H3C DDoS防御设备通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和H3C 独创的“基于用户行为的单向防御”技术，可以实现多层次安全防护，精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量。支持丰富的攻击防御功能，如，SYN Flood，UDP Flood，ICMP Flood、ACK Flood、RST Flood、DNS Query Flood、HTTP Get Flood等常见攻击的防御。 为了在用户的业务遭受DDoS攻击时，将用户的流量动态的牵引到流量清洗中心来进行清洗。H3C流量清洗中心利用IBGP或者EBGP协议，首先和城域网中用户流量路径上的多个核心设备（直连或者非直连均可）建立BGP Peer。攻击发生时，流量清洗中心通过BGP协议会向核心路由器发布BGP更新路由通告，更新核心路由器上的路由表项，将流经所有核心设备上的被攻击服务器的流量动态的牵引到流量清洗中心进行清洗。同时流量清洗中心发布的BGP路由添加no-advertise属性，确保清洗中心发布的路由不会被扩散到城域网，同时在H3C流量清洗中心上通过路由策略不接收核心路由器发布的路由更新。从而严格控制对城域网造成的影响。

下图所示：

通过在旁挂路由器上配置策略路由，将流量清洗中心回注的流量指向受保护设备相对应的下一跳，从而绕过旁挂设备的正常转发，实现该用户的流量回注。为了简化策略路由的部署，可以将城域网的用户分组，仅为为每组用户配置一条策略路由指向该组用户所对应的下一跳设备。这样既可实现针对该组用户的流量回注。而且在初期实施完成后不需要在修改城域网设备的配置。方案的可维护性和可操作性得到了很大的增加。其组网如下图所示：

l 采用策略路由方式进行流量回注的优点是：

部署简单，对城域网影响的设备点较少；

一次部署后续无需改动；

l 采用策略路由方式进行流量回注的局限是：

直接影响城域网核心设备； 利用流量清洗系统做PE与城域网汇聚设备建立MPLS *** 隧道，清洗后的流量进入***内进行转发，从而绕过旁挂设备的正常转发，实现该用户的流量回注。其组网如下图所示：

l 采用MPLS ***方式进行流量回注的优点是：

部署完成之后，后续用户业务开展工作量很小；

对网络拓扑的修改主要是城域网边缘，对核心层拓扑的冲击很小；

l 采用MPLS ***方式进行流量回注的局限是：

依赖城域网设备支持MPLS ***功能；

需要在全网部署清洗***，对城域网改动范围大； 流量清洗中心旁挂在城域网汇聚设备或者IDC核心或者汇聚设备上，旁挂设备作为受保护服务器的网关，此时利用二层透传的方式来回注用户的流量。这种透传方式为特定组网环境下的回注方法。将流量清洗系统、城域网设备、受保护服务器置于相同VLAN中，通过在流量清洗系统上做三层转发，城域网设备上做二层透传，从而绕过旁挂设备的正常转发，实现该用户的流量回注。其组网如下图所示：

l 采用二层透传方式进行流量回注的优点是：

方案部署简单，对城域网的影响很小。

l 采用二层透传方式进行流量回注的局限是：

比较合适旁挂设备为交换机的情况 宽带流量清洗方案作为一种安全服务，增强最终用户的安全感受，让用户能够及时直观的了解受保护业务的实时状况、攻击状况和清洗状况是一件非常重要的事。H3C利用专用的业务管理平台——SecCenter实现了城域网中的统一的设备、业务管理，并可以为用户提供专用的业务状况、攻击状况和清洗状况报表输出。在对受保护服务器进行异常流量监控和异常流量清洗的过程中，H3C流量清洗系统的清洗模块和探测模块定时向SecCenter发送多种流量日志、攻击清洗日志。专用的业务管理平台SecCenter对安全模块上报的这些安全日志进行汇总、归纳和分析，输出多张用户业务、攻击清洗状况报表。可以很方便的给最终用户提供多维度的宽带流量清洗业务状况报表和提供安全事件处理报告，从而让最终用户实时直观的了解当前的业务状况和历时状况回溯。部分报表举例如下：

在城域网核心旁挂部署清洗模块。在靠近汇聚设备或者用户侧接入设备部署探测设备。这种组网模式，清洗模块对城域网覆盖面广，有利于支撑城域网内新增用户业务的开展。探测设备在靠近用户侧的汇聚或接入设备旁挂，通过分光或者镜像的方式将流量复制到探测设备进行逐包的监控，及时准确的发现用户的异常流量状况。同时，利用业务管理平台实现集中式的设备管理，业务管理和专用报表输出。

32 典型部署模式2

在城域网核心同时旁挂部署清洗和探测设备。这种组网模式，能够很好的节约端口、光纤资源。清洗和探测模块对城域网覆盖面广，有利于支撑城域网内新增用户业务的开展。同时，利用业务管理平台实现集中式的设备管理，业务管理和专用报表输出。

33 典型部署模式3

随着流量清洗业务的发展。面对高价值用户的特殊需求，可以将对DDoS探测和防护部署位置合一，实现VIP客户流量的就地清洗。这种部署模式更加灵活，简单；同时可以利用业务管理平台实现对这些清洗设备的集中式管理和统一报表输出。

4 方案总结

H3C“宽带流量清洗解决方案”可以针对城域网中现在常见的DDoS攻击流量进行过滤，实现对城域网和大客户网络业务的保护。可以有效的兼顾城域网接入用户和运营商双方的利益，为建设安全可用的网络环境贡献自己的力量。

软交换的概念最早起源于美国。当时在企业网络环境下，用户采用基于以太网的电话，通过一套基于PC服务器的呼叫控制软件（CallManager、CallServer），实现PBX功能（IPPBX）。对于这样一套设备，系统不需单独铺设网络，而只通过与局域网共享就可实现管理与维护的统一，综合成本远低于传统的PBX。由于企业网环境对设备的可靠性、计费和管理要求不高，主要用于满足通信需求，设备门槛低，许多设备商都可提供此类解决方案，因此IP PBX应用获得了巨大成功。受到IP PBX成功的启发，为了提高网络综合运营效益，网络的发展更加趋于合理、开放，更好的服务于用户。业界提出了这样一种思想：将传统的交换设备部件化，分为呼叫控制与媒体处理，二者之间采用标准协议（MGCP、H248）且主要使用纯软件进行处理，于是，SoftSwitch（软交换）技术应运而生。

软交换概念一经提出，很快便得到了业界的广泛认同和重视，ISC（InternationalSoftSwitchConsortium）的成立更加快了软交换技术的发展步伐，软交换相关标准和协议得到了IETF、ITU－T等国际标准化组织的重视。

根据国际Softswitch论坛ISC的定义，Softswitch是基于分组网利用程控软件提供呼叫控制功能和媒体处理相分离的设备和系统。因此，软交换的基本含义就是将呼叫控制功能从媒体网关（传输层）中分离出来，通过软件实现基本呼叫控制功能，从而实现呼叫传输与呼叫控制的分离，为控制、交换和软件可编程功能建立分离的平面。软交换主要提供连接控制、翻译和选路、网关管理、呼叫控制、带宽管理、信令、安全性和呼叫详细记录等功能。与此同时，软交换还将网络资源、网络能力封装起来，通过标准开放的业务接口和业务应用层相连，可方便地在网络上快速提供新的业务。 软交换是下一代网络的核心设备之一，各运营商在组建基于软交换技术的网络结构时，必须考虑到与其它各种网络的互通。在下一代网络中，应有一个较统一的网络系统结构。软交换位于网络控制层，较好地实现了基于分组网利用程控软件提供呼叫控制功能和媒体处理相分离的功能。

软交换与应用/业务层之间的接口提供访问各种数据库、三方应用平台、功能服务器等接口，实现对增值业务、管理业务和三方应用的支持。其中：软交换与应用服务器间的接口可采用SIP、API，如Parlay，提供对三方应用和增值业务的支持；软交换与策略服务器间的接口对网络设备工作进行动态干预，可采用COPS协议；软交换与网关中心间的接口实现网络管理，采用SNMP；软交换与智能网SCP之间的接口实现对现有智能网业务的支持，采用INAP协议。

通过核心分组网与媒体层网关的交互，接收处理中的呼叫相关信息，指示网关完成呼叫。其主要任务是在各点之间建立关系，这些关系可以是简单的呼叫，也可以是一个较为复杂的处理。软交换技术主要用于处理实时业务，如话音业务、视频业务、多媒体业务等。

软交换之间的接口实现不同与软交换之间的交互，可采用SIP－T、H．323或BICC协议。 软交换技术是一个分布式的软件系统，可以在基于各种不同技术、协议和设备的网络之间提供无缝的互操作性，其基本设计原理是设法创建一个具有很好的伸缩性、接口标准性、业务开放性等特点的分布式软件系统，它独立于特定的底层硬件/操作系统，并能够很好地处理各种业务所需要的同步通信协议，在一个理想的位置上把该架构推向摩尔曲线轨道。并且它应该有能力支持下列基本要求：

（1）独立于协议和设备的呼叫熏设备的呼叫处理和/同步会晤管理应用的开发。

（2）在其软交换网络中能够安全地执行多个第三方应用而不存在由恶意或错误行为的应用所引起的任何有害影响。

（3）第三方硬件销售商能增加支持新设备和协议的能力。

（4）业务和应用提供者能增加支持全系统范围的策略能力而不会危害其性能和安全。

（5）有能力进行同步通信控制，以支持包括帐单、网络管理和其他运行支持系统的各种各样的后营业室系统。

（6）支持运行时间捆绑或有助于结构改善的同步通信控制网络的动态拓扑。

（7）从小到大的网络可伸缩性和支持彻底的故障恢复能力。

软交换的实现目标是在媒体设备和媒体网关的配合下，通过计算机软件编程的方式来实现对各种媒体流进行协议转换，并基于分组网络（IP/ATM）的架构实现IP网、ATM网、PSTN网等的互连，以提供和电路交换机具有相同功能并便于业务增值和灵活伸缩的设备。

1985年，Symbolics公司注册了第一个com域名。当时域名注册刚刚兴起，申请者寥寥无几。

1993年Internet上出现WWW协议，域名开始吃香。

1993年Network Solutions(NSI)公司与美国政府签下5年合同，独家代理COM、ORG、NET三个国际顶级域名注册权。当时的域名总共才7000左右。

1994年开始NSI向每个域名收取100美元注册费，两年后每年收取50美元的管理费。

1998年初，NSI已注册域名120多万个，其中90%使用COM后缀，进帐6000多万美元。有人推算，到1999年中期，该公司仅域名注册费一项就将年创收2亿美元。

1997年7月1日，作为美国政府全球电子商务体系管理政策的一部分，克林顿总统委托美国商务部对域名系统实施民间化和引入竞争机制，并促进国际的参与。7月2日，美国商务部公布了面向公众征集方案和评价的邀请，对美国政府在域名管理中的角色、域名系统的总体结构、新顶级域名的增加、对注册机构的政策和商标事务的问题征集各方意见。

1998年1月30日，美国政府商务部通过其网站正式公布了《域名技术管理改进草案（讨论稿）》。这项由克林顿总统的Internet政策顾问麦格日那主持完成的绿皮书申明了美国政府将谨慎和和缓地将Internet域名的管理权由美国政府移交给民间机构，绿皮书总结了在域名问题上的四项基本原则，即移交过程的稳定性、域名系统的竞争性、彻底的协作性和民间性，以及反映所有国际用户需求的代表性。在这些原则下，绿皮书提出组建一个民营的非盈利性企业接管域名的管理权，并在1998年9月30日前将美国政府的域名管理职能交给这个联合企业，并最迟在2000年9月30日前顺利完成所有管理角色的移交。

1998年6月克林顿政府发表一份白皮书，建议由非盈利机构接管政府的域名管理职能。这份报告没有说明该机构的资金来源，但规定了一些指导原则，并建议组建一个非盈利集团机构。

1998年9月30日美国政府终止了它与目前的域名提供商NSI之间的合同。双方的一项现有协议将延期两年至2000年9月30日。根据该协议，NSI将与其他公司一道承接Internet顶级域名的登记工作。NSI和美国商务部国家电信和信息管理局（NTIA）将于1999年3月31开始分阶段启动共享登记系统，至1999年6月1日完全实施。

1998年10月组建ICANN，一个非盈利的Internet管理组织。它与美国政府签订协议，接管了原先IANA的职责，负责监视与Internet域名和地址有关的政策和协议，而政府则采取不干预政策。