【正文】 種解決方案可以有效的利用交換機的寶貴的端口資源，節(jié)約投資，同樣達到系統(tǒng)要求的效果。 從以上對設備和技術的描述可以看出，本系統(tǒng)提出的解決方案和采用的設備技術和支持的協(xié)議，完全可以作到對網(wǎng)絡傳送速率的良好保證，同時可以有效的華南資訊科技有限公司 報社 網(wǎng)絡改造 27 在交換機之間建立 VLAN 和傳送 VLAN，而且可以作到鏈路的冗余，同時可以作到負載均衡。其地址是全球唯一的。 NAT 技術使專用網(wǎng)絡能夠連接到 INTERNET 網(wǎng)上。 華南資訊科技有限公司 報社 網(wǎng)絡改造 28 網(wǎng)絡管理的設計 華南資訊科技有限公司 報社 網(wǎng)絡改造 29 第三章 網(wǎng)絡安全解決方案 活動目錄 的設計 活動目錄的設計 目錄服務的一個重大發(fā)展趨勢是跨平臺發(fā)展和跨應用發(fā)展。多種應用共享一套資源信息 ， 避免了管理上的重復操作和多系統(tǒng)間的不協(xié)調(diào) ， 提高了應用系統(tǒng)的身份驗證安全等級。另外，目錄服務在網(wǎng)絡安全方面也扮演著中心授權機構的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡資源的訪問。 Windows Server 活動目錄的優(yōu)點 Windows Server 活動目錄產(chǎn)品融合了一些新的技術特點，使我們有理由相信我們推薦的企業(yè)網(wǎng)目錄管理服務方案最能適合企業(yè)的應用，這些特點包括： ? DNS 集成 活動目錄使用域名系統(tǒng)（ Domain Name System ，簡稱 DNS ）。 DNS 記錄也可以集成到目錄中，隨著目錄復制而達到 DNS 復制的目的。模式包括每一個對象類和對象類屬性的定義，它們可以存儲在目錄中。所有的小組策略設 置都包含在組策略對象（ Group Policy Object ，簡稱 GPO ）中，它可以應用與活動目錄站點、域或組織單元中。 這種方式的實現(xiàn)原理是：應用的登錄信息存儲在目錄數(shù)據(jù)庫（ AD ）中，通過 AD 的用戶認證得到保護。 這張示意圖很好的總結了目錄服務用戶端和管理端兩方面的功能 活動目錄的 優(yōu)勢 完全集成到 Windows Server 服務器版中的活動目錄為網(wǎng)絡管理員、開發(fā)者和用戶提供了訪問目錄服務的能力，這樣可以： ? 簡化管理任務 集中管理： 活動目錄通過單一、穩(wěn)定 的管理界面集中管理 Windows 用戶、客戶端和服務器，以減少冗余、降低維護成本。 華南資訊科技有限公司 報社 網(wǎng)絡改造 33 全局目錄： 全局目錄包括來自 Windows Server 服務器目錄中所有域的全部對象，以及每個對象屬性的子集。 可傳遞域信任：可傳遞信任委托協(xié)議大大減少了在 Windows 域之間進行管理信任關系的數(shù)量。它使管理員能夠在 Microsoft Exchange Server 目錄與活動目錄間復制目錄對象的層次。 必需的驗證機制： 允許管理員要求訪問者進行 Kerberos 、 認證或 NTLM 所需的特定類型的登錄。 自動化軟件分發(fā)： 通過活動目錄特性，管理員能夠針對用戶在公司中角色為他們自動分發(fā)應用程序 授權管理： Windows Server 使管理員能夠將一套特定的管理優(yōu)限授予公司中的適當人員，并為他們指定在目錄中不同對象集合和對象個體之上享有的特定權力。管理員能夠為在活動目錄中的任一站點、域或組織單元設定組策略。這個過程通過 SSO 插件透明進行，從而實現(xiàn) SSO 。 在利用企業(yè)網(wǎng)的目錄管理服務提供單一的用戶身份驗證方面，總的來說，存在兩方面的應用連接方式： C/S 應用的連接方式 WEB 應用的連接方式 其中， WEB 應用的連接方式 比較統(tǒng)一，解決方法也比較成熟，而 C/S 應用的連接方式就比較復雜，需要根據(jù)特定的應用具體分析，舉例來說， Domino/Notes 系統(tǒng)就是典型的 C/S 應用。 ? 靈活的查詢 用戶和管理員可以使用 開始 菜單上的 查詢 命令、桌面上的 我的網(wǎng)絡 圖標或者 活動目錄用戶和計算機連接 插件來根據(jù)對象的屬性快速的查找網(wǎng)絡上的對象。正是具有了這個特性，才能夠實現(xiàn)在企業(yè)內(nèi)只要一套用戶認證系統(tǒng)就可以實現(xiàn)所有應用系統(tǒng)的單一認證問題。 DNS 域和 Windows Server 的域自然而有機的結合在一起，使得整個目錄結構成樹型分布，具有了 DNS 的層次感覺，也使得 Windows Server 系統(tǒng)能夠支撐龐大的目錄結構，是的目錄對象涵蓋了整個網(wǎng)絡元素：用戶，計算機，打印機，共享文件夾，應用程序，管理策略等。當網(wǎng)絡中對象的數(shù)目增加時，目錄服務變得很重要。 活動目錄是 Windows Server 網(wǎng)絡體系結構中一個基本且不可分割的部分。未來的多種網(wǎng)絡系統(tǒng)可能采用同一種事實標準的目錄服務作為操作系統(tǒng)本身資源管理或是附加的資源管理。如下圖所示，企業(yè)內(nèi)部有一主機，其 IP 地址為，該主機要訪問 INTERNET 上的節(jié)點 ，當 IP 數(shù)據(jù)包到達邊界路由器時，路由器將 IP 地址轉為公網(wǎng)的 ，然后再送往目的地。用這種地址是不可以訪問 INTERNET 的。 地址翻譯 NAT 為了彌補 IP 地址的不足，大多數(shù)網(wǎng)絡的 IP 地址分為兩部分：一是具有全球連通性的 IP 地址 公網(wǎng)地址；二是只能在企業(yè)內(nèi)部用的 IP 地址 私有地址。如下圖： 華南資訊科技有限公司 報社 網(wǎng)絡改造 26 如下圖，在本系統(tǒng)網(wǎng)絡解決方案中，如果兩臺交換機 之間的兩條鏈路其中一路失效，通過 STP（生成樹）技術和 TRUNK 技術可以使網(wǎng)絡運送和負載轉到另外一路良好的鏈路上，可以避免一路失效帶來的網(wǎng)絡癱瘓。這樣如果存在更多的 VLAN 就需要占用更多的交換機端口，無疑這種解決方式是需要耗費大量交換機端口資源的。 下圖表示的是采用這樣的路由方法的網(wǎng)絡邏輯結構示意圖。限制未授權的用戶訪問重要的服務器和數(shù)據(jù)庫。 另外，如果某個部門需要跨越很多建筑物，分布范圍比較廣，例如部門 A分布的很散，在很多交換機上都預留了部門 A 的信息點，我們則可以按照交換機的位置來設置 VLAN，這樣，部門 A 就可能對應多個 VLAN，如果部門 A 所對應的 VLAN 之間需要通信的話，我們可以通過 VLAN 間的路由來實現(xiàn)。 支持多種物理拓撲結 構 VLAN 技術可以在任何網(wǎng)絡物理拓撲結構的基礎之上，將不同區(qū)域的設備連接在一起，建立一個虛擬的獨立廣播域，而且對網(wǎng)絡的擴展和升級具有良好的支持功能。此外，通過邏輯網(wǎng)絡對用戶進行分組可以把功能或應用相近的設備或用戶組合在一起，限制廣播流量，提升網(wǎng)絡性能。類似的實例還可舉出許多。又如，將分別屬于各個分公司財 務部門的終端用戶組合在一起，使他們在 工作 時，使用相同的財務服務器，接收總公司有關財務的電子郵件廣播。 華南資訊科技有限公司 報社 網(wǎng)絡改造 21 172 16 節(jié)點標識符 （ 4Bit） 下屬 部門（ 4Bit) 用戶可用 地址范圍 1 0 1 0 1 1 0 0 0 0 0 1 0 0 0 0 0 0 1 0 VLAN 設計 我們可以通過本次改造新上的核心、接入層交換機對整個網(wǎng)絡各個部門科室進行 VLAN 的劃分， 所謂 “ 虛擬 （ V）” ，就是用軟件的方法，把一些屬于不同網(wǎng)段的終端用戶組合成一個工作群體。假設用戶使用，也就是 —。 對于日報社新辦公大樓局域網(wǎng)網(wǎng)絡地址的詳細分配，需要確定更多的客戶需求，并根據(jù)實際的客戶需求，調(diào)整 VLAN 的大小，有待于在工程實施前做詳細設計?？梢詮奶柎a上識別出應用和功能； 根據(jù)日報社新辦公大樓局域網(wǎng)的具體地址空間，可以給出每個區(qū)域和接入層的地址空間。 在本方案中，我們建議新建的網(wǎng)絡部分使用 RFC1918 中規(guī)定的 B 類保留地址段進行分配（如果不影響應用的情況下）。 另一類服務器屬于對外服務器，它們 將直接連接到對外連接防火墻的 DMZ區(qū)，如果對外服務器數(shù)目超出防火墻接口預想范圍，可以通過添加交換機的方法進行連接。 根據(jù)需求選擇合適的交換機設備，并列出具體參數(shù)，完成下表 新聞中心報社大樓網(wǎng)絡信息點統(tǒng)計 地點 信息點 數(shù)目 交換機 模塊數(shù)目 1 樓 130 2 樓 153 3 樓 157 4 樓 158 5 樓 164 6 樓 83 共計： 匯聚 層交換機的基本配置，如： a、 host name b、密碼 c、管理地址 d、啟用 tel…… 鑒于報社新大樓網(wǎng)絡垂直布線線路是 6*6 芯光纖，因 此選用華為 3COM 公司的 Quidway S3900 系列以太網(wǎng)交換機 ，配備 2 塊多模光纖模塊，可完成主樓樓層接入交換機到核心交換機的線路冗余連接，具體配置如下表所示： 地點 信息點 數(shù)目 交換機 模塊數(shù)目 1 樓 130 48 口 Quidway S3952P 交換機 3 臺 多模光纖模塊 2塊 堆疊模塊 2 塊 2 樓 153 48 口 Quidway S3952P 交換機 3 臺 24 口 Quidway S3928P 交換機 1 臺 多模光纖模塊 2塊 堆疊模塊 3 塊 3 樓 157 48 口 Quidway S3952P 交換機 3 臺 24 口 Quidway S3928P 交換機 1 臺 多模光纖模塊 2塊 堆疊模塊 3 塊 4 樓 158 48 口 Quidway S3952P 交換機 3 臺 24 口 Quidway S3928P 交換機 1 臺 多模光纖模塊 2塊 堆疊模塊 3 塊 5 樓 164 48 口 Quidway S3952P 交換機 3 臺 24 口 Quidway S3928P 交換機 1 臺 多模光纖模塊 2塊 堆疊模塊 3 塊 華南資訊科技有限公司 報社 網(wǎng)絡改造 17 6 樓 83 48 口 Quidway S3952P 交換機 2 臺 多模光纖模塊 2塊 堆疊模塊 1 塊 共計： 48 口 Quidway S3952P 交換機 17 臺， 24 口 Quidway S3928P 交換機 4臺；多模光纖模塊共 12 塊，堆疊模塊 15 塊。每臺匯聚層交換機通過堆疊模塊相連，形成邏輯上的 一 臺 被網(wǎng)管的設備 。 根據(jù)需求選擇合適的交換機設備，并列出具體參數(shù) ,所需模塊 可參考該網(wǎng)頁選設備： 核心層交換機的基本配置，如： a、 host name b、密碼 c、管理地址 d、啟用 tel…… 我們推薦使用華為 3COM 公司的 Quidway174。 核心層是整個網(wǎng)絡的主干，核心層的主要目的是盡可能快速地交換全網(wǎng)數(shù)據(jù)，而不應該被牽扯到費力的數(shù)據(jù)包操作或者任 何減慢數(shù)據(jù)交換的處理事務中，按照用戶對網(wǎng)絡性能的要求，核心層網(wǎng)絡設計建議采用 2 臺高性能的核心交換機，以雙核心、雙鏈路、全冗余互連的組網(wǎng)結構來實現(xiàn)用戶對高可靠性的需求。通常情況下，設備關鍵部件冗余，一般指引擎、電源的冗余。但是由于設備的冗余，必須考慮到物理鏈路的租用和設備的購買等問題，因此網(wǎng)絡的投資會比較大。但是，在局域網(wǎng)中，由于局域網(wǎng)的地理距離比較近，且局域網(wǎng)線不存在租用問題，因此，在華南資訊科技有限公司 報社 網(wǎng)絡改造 10 局域網(wǎng)中的核心節(jié)點通常都會采用雙鏈路的方式進行互連。 （ 介紹什么是網(wǎng)絡鏈路、網(wǎng)絡設備和網(wǎng)絡設備結構的冗余，這些冗余結合在這次網(wǎng)絡方案具體怎么實施） 網(wǎng)絡鏈路的冗余 是指 設置鏈路冗余的位置包括： 設備的冗余 是指 需要做冗余和負載均衡的設備有： 網(wǎng)絡設備結構的冗余 是指 需要設備結構冗余的設備有： 網(wǎng)絡系統(tǒng)冗余，包括了： 網(wǎng)絡鏈路的冗余；網(wǎng)絡 設備的冗余；網(wǎng)絡設備結構的冗余。如此簡單、靈活、物美價廉，或者說如此廣泛普及的數(shù)據(jù)技術，很難再找到第二種了。 ? 接入訪問層： 我們經(jīng)常稱之為訪問網(wǎng)。 華南資訊科技有限公司 報社 網(wǎng)絡改造 8 Netw ork Hiera rchi cal D esignInt e rC e n t r a lDistributionAccessR eg i o n alB ran c hS