【正文】 址空間./21子公司6的應(yīng)用類1人力資源部工作人員全部地址空間./21子公司6的應(yīng)用類1業(yè)務(wù)部工作人員全部地址空間子公司6的應(yīng)用類1生產(chǎn)部工作人員全部地址空間其中，在項目實施的時候，接入層交換機的IP地址建議使用網(wǎng)管類地址空間10.*.，多層交換機的IP地址的LOOPBACK接口的IP地址建議使用網(wǎng)管類地址10.*.35.*/32；，相互備份的2臺匯聚層設(shè)備的IP地址建議使用互聯(lián)類地址空間10.*.。 生成樹協(xié)議的工作原理：網(wǎng)絡(luò)中的橋接設(shè)備根據(jù)設(shè)定的優(yōu)先值和MAC地址，確定最優(yōu)先的設(shè)備為網(wǎng)絡(luò)的根橋，根橋向外定時發(fā)送Config BPDU報文，每個收到該報文的交換機將報文內(nèi)容根據(jù)自身的配置和所掌握的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進行更新下發(fā)到其他端口，當(dāng)一個交換機從兩個或兩個以上端口接收到Config BPDU的時候就表明網(wǎng)絡(luò)中存在循環(huán)，保留其中一個端口為轉(zhuǎn)發(fā)狀態(tài)，設(shè)置其余端口為阻塞狀態(tài)。 （MSTP）可以通過支持一個網(wǎng)絡(luò)內(nèi)的多個生成樹，這使管理員可以把VLAN流量分配給唯一的通路。 ⑸ 鏈路聚合（Link Aggregation ） 為了在以太網(wǎng)上獲得更高的數(shù)據(jù)傳輸帶寬，Cisco6509系列以太網(wǎng)交換機提供了二層的端口鏈路聚合功能（基于標(biāo)準(zhǔn)IEEE ）。即使是多播和廣播報文也不會被復(fù)制多份，也要通過對地址的邏輯計算，將流量平衡分配到不同的端口上。HSRP向主機提供了缺省網(wǎng)關(guān)的冗余性，減少了主機維護路由表的任務(wù)。旭日集團園區(qū)網(wǎng)的IP地址規(guī)范中規(guī)定：網(wǎng)關(guān)的地址統(tǒng)一使用子網(wǎng)的最后一個可用地址。3．熱備份地址：熱備份地址是子網(wǎng)的最后一個可用地址。等價路由即為到達(dá)同一個目的IP或者目的網(wǎng)段存在多條Cost值相等的不同路由路徑，當(dāng)設(shè)備支持等價路由時，發(fā)往該目的IP或者目的網(wǎng)段的三層轉(zhuǎn)發(fā)流量就可以通過不同的路徑分擔(dān)，實現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡，并在其中某些路徑出現(xiàn)故障時，由其它路徑代替完成轉(zhuǎn)發(fā)處理，實現(xiàn)路由冗余備份功能。 Cisco6509系列以太網(wǎng)路由交換機最大支持4條等價路由，并且不論RIP、OSPF等路由協(xié)議產(chǎn)生的路由，還是靜態(tài)配置路由，不論是網(wǎng)段路由還是主機路由，甚至缺省路由，都可以支持等價路由。策略路由（PolicyBased Routing，簡稱PBR）是目前越來越多的路由器或三層交換機設(shè)備正在支持的一項路由擴展功能，支持策略路由的設(shè)備不僅能以報文的目的IP地址為依據(jù)來進行路由選擇，還可以以報文的源IP地址、源MAC地址、報文大小、報文進入的端口、報文類型、報文的VLAN屬性等等其它擴展條件來選擇路由。 ⑼ VPNCisco6509系列以太網(wǎng)路由交換機支持VPN,VPN（虛擬專網(wǎng)）是利用公共網(wǎng)絡(luò)資源(如公用電信網(wǎng))為客戶組建專用網(wǎng)的一種技術(shù)，它通過對網(wǎng)絡(luò)數(shù)據(jù)進行封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級別，從而利用公網(wǎng)構(gòu)筑專網(wǎng)（即VPN）。 一個網(wǎng)絡(luò)的安全，首先要有嚴(yán)格和有效執(zhí)行的管理制度。 通過以下幾個技術(shù)方面的實施，可以在一定程度上保障網(wǎng)絡(luò)的安全：216。 園區(qū)網(wǎng)用戶的接入控制216。通過將設(shè)備安置在獨立的設(shè)備間中，并增加門禁系統(tǒng)，確保只有授權(quán)的管理和維護人員才能接觸到物理設(shè)備?？诹罟芾碇贫劝诹畹脑O(shè)置，保管，更改，口令的強度等內(nèi)容。保證了局域網(wǎng)的運行安全，可以避免因為VLAN被錯誤或者惡意的增加。只有用戶使用申請通過批準(zhǔn)之后網(wǎng)絡(luò)管理員才能將端口激活。同時需要建立WEB服務(wù)器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。 清晰的邏輯結(jié)構(gòu)：要求集團范圍內(nèi)的系統(tǒng)管理結(jié)構(gòu)清晰，層次分明，能夠充分的與集團的管理結(jié)構(gòu)相吻合。使管理員在任何一個位置均能對服務(wù)器進行維護和管理。 簡單的設(shè)計：在保障滿足需求的前提下，設(shè)計方案應(yīng)簡單為佳，避免由于復(fù)雜的設(shè)計增加工程實施難度和增加集團系統(tǒng)管理的復(fù)雜性。本方案采用Windows系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲網(wǎng)絡(luò)對象，并且管理簡單，即實現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。即使域中的一臺域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運行。 在系統(tǒng)設(shè)計時包括三個部分，分別是OU，用戶及組的設(shè)計，為了更好的滿足集團的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計。216。 組的管理為了滿足集團用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用AGDLP策略及AGUDLP策略。其次，在方案設(shè)計中，充分應(yīng)用Window系統(tǒng)提供的組策略功能，利用組策略，可以在每個公司的域中設(shè)計安全策略。集團中所有的客戶端做為ISA的客戶端，所有的互聯(lián)網(wǎng)的訪問均通過ISA服務(wù)器轉(zhuǎn)發(fā)，這樣，就可以在ISA服務(wù)器上對所有網(wǎng)絡(luò)流量進行監(jiān)控并對實現(xiàn)網(wǎng)絡(luò)訪問的過濾。216。各個子公司的系統(tǒng)管理員可以獨立的管理子公司的域，并可以在以后修改和編輯組策略，以適應(yīng)公司未來的需求。IIS 。更安全、易于管理IIS 。服務(wù)器合并IIS ，它為Web服務(wù)器的合并提供了新的機遇?；贗IS ，Windows Server 2003為開發(fā)者提供高標(biāo)準(zhǔn)的附加功能，包括快速應(yīng)用程序開發(fā)以及廣泛的語言選擇，同時也提供了國際化支持和支持最新的Web標(biāo)準(zhǔn)。IIS ，改善了對XML元數(shù)據(jù)庫（metabase）的管理，并且提供了新的命令行工具。功能特性描述容錯進程架構(gòu)IIS （又稱應(yīng)用程序池）。自動進程回收IIS ——例如CPU利用率和內(nèi)存占用情況，自動停止和重新啟動發(fā)生故障的Web站點和應(yīng)用程序，同時將請求放入隊列?？焖俟收媳Ｗo可以保護Web服務(wù)器免遭拒絕服務(wù)攻擊。使用常見的文本編輯工具對其進行直接編輯提供了更為出色的可管理性。利用一個簡單的命令，管理員即可管理多個本地或遠(yuǎn)程計算機。 Service Interfaces（ADSI），可以在管理腳本中使用，并且可以用來修改基于XML的配置元數(shù)據(jù)庫。通過運行IIS ，您可以在單臺服務(wù)器上管理更多的站點和并發(fā)執(zhí)行更多的工作進程。Web園IIS ，這種配置又被稱作Web園（Web garden）。功能特性描述，Windows Server 2003提供了更為美妙的開發(fā)體驗。此外，它還可以幫助他們開發(fā)與他們目前正在設(shè)計和開發(fā)的應(yīng)用程序完全相同的程序。 .NET、JScript174。通過使用Web服務(wù)，企業(yè)可以將編程接口暴露給他們的數(shù)據(jù)或業(yè)務(wù)邏輯，也可以通過客戶端和服務(wù)器應(yīng)用程序獲得和操縱這些數(shù)據(jù)和業(yè)務(wù)邏輯。IIS 。 功能特性描述鎖定服務(wù)器IIS 。Web服務(wù)擴展列表默認(rèn)情況下的IIS安裝不會編譯、執(zhí)行或者提交任何動態(tài)頁面。所有的ASP內(nèi)置功能都使用低權(quán)限賬戶（匿名用戶）在系統(tǒng)中運行。web應(yīng)用服務(wù)器集群系統(tǒng)，是由一群同時運行同一個web應(yīng)用的服務(wù)器組成的集群系統(tǒng)，在外界看來，就像是一個服務(wù)器一樣。對于一個特定的請求，如果所申請的服務(wù)器不能進行處理的話，那么其他的服務(wù)器能不能對之進行有效的處理呢？對于一個高效的系統(tǒng)，如果一個Web服務(wù)器失敗的話，其他的服務(wù)器可以馬上取代它的位置，對所申請的請求進行處理，而且這一過程對用戶來說，要盡可能的透明，使用戶察覺不到！穩(wěn)定性決定了應(yīng)用程序能否支持不斷增長的用戶請求數(shù)量，它是應(yīng)用程序自身的一種能力。當(dāng)瀏覽器獲得該站點的IP地址后，便通過該IP地址連接到所要訪問的站點，將頁面展現(xiàn)在用戶面前。這幾個IP地址代表集群中不同的機器，并在邏輯上映射到同一個站點名。因此，在這種技術(shù)中，集群中的所有的節(jié)點對于網(wǎng)絡(luò)來說都是可見的。簡單. 不需要網(wǎng)絡(luò)專家來對之進行設(shè)定，或在出現(xiàn)問題時對之進行維護。而DNS輪流排程則不具備這種智能化的特性。不支持高可靠性。但是，由于在Internet上，ISPs將眾多的DNS存放在緩存中，以節(jié)省訪問時間，因此，DNS的更新就會變得非常緩慢，以至于有的用戶可能會訪問一些已經(jīng)不存在的站點，或者一些新的站點得不到訪問。 Leastconnections (LCS)： 向較少連接的服務(wù)器分配較多的工作(IPVS 表存儲了所有的活動的連接?？梢愿鶕?jù)負(fù)載信息動態(tài)的向上或向下調(diào)整。(用于實際服務(wù)主機性能不一致時)負(fù)載均衡器負(fù)載均衡器通過虛擬IP地址方法，解決了輪流排程所面臨的許多問題。如果某臺機器被從集群中移除了，請求不會別發(fā)往已經(jīng)不存在的服務(wù)器上，因為所有的機器表面上都具有同一個IP地址，即使集群中的某個節(jié)點被移除了，該地址也不會發(fā)生變化。負(fù)載均衡器的優(yōu)點服務(wù)器一致性. 負(fù)載均衡器讀取客戶端發(fā)出的每一個請求中所包含的cookies或url解釋。通過故障恢復(fù)機制獲得高可靠性. 故障恢復(fù)發(fā)生在當(dāng)集群中某個節(jié)點不能處理請求，需將請求重新導(dǎo)向到其他節(jié)點時。透明會話故障恢復(fù)。既然所有的Web應(yīng)用請求都必須經(jīng)過負(fù)載均衡系統(tǒng)，那么系統(tǒng)就可以確定活動。由于透明會話故障恢復(fù)需要節(jié)點具備相應(yīng)的操作信息，因此為了實現(xiàn)該功能，集群中的所有節(jié)點必須具有公共存儲區(qū)域或通用數(shù)據(jù)庫，存儲會話信息數(shù)據(jù)，以提供每個節(jié)點在進行單獨進程會話故障恢復(fù)時所需要的操作信息。當(dāng)集群中的一個節(jié)點不能處理請求時（通常是由于down機），請求被發(fā)送到其他節(jié)點。在HTTP通信中，負(fù)載均衡器可以提供服務(wù)器一致性，但并不是通過一個安全的途徑（例如：HTTPS）來提供這種服務(wù)。當(dāng)返回一個應(yīng)答時，客戶端看到的只是從負(fù)載均衡器上所返回的結(jié)果。所以，在某種程度上，負(fù)載均衡器是將整個集群的IP地址報漏給外部網(wǎng)絡(luò)。 Weighted leastconnections (WLC)： 考慮它們的容量向較少連接的服務(wù)器分配較多的工作。)216。　　除了上面介紹的輪流排程方法外，還有三種DNS負(fù)載均衡處理分配方法，將這四種方法列出如下：216。如果其中的一個節(jié)點毀壞，那么所有的訪問該節(jié)點的請求將不會有所回應(yīng)，這是任何人都不愿意看到的。當(dāng)用戶通過上述基于文本標(biāo)志的方法與服務(wù)器建立連接之后，其所有的后續(xù)訪問均是連接到同一個服務(wù)器上。不支持服務(wù)器間的一致性。 為了支持輪流排程，系統(tǒng)管理員只需要在DNS服務(wù)器上作一些改動，而且在許多比較新的版本的DNS服務(wù)器上已經(jīng)增加了這種功能。當(dāng)?shù)谒膫€請求到達(dá)時，第一臺機器的IP地址將被再次返回，循環(huán)調(diào)用。在我們上面所假象的例子中， 。在現(xiàn)有眾多的均衡服務(wù)器負(fù)載的方法中，廣泛研究并使用的是以下兩個方法：DNS負(fù)載平衡的方法RRDNS(RoundRobin Domain Name System) 負(fù)載均衡器DNS輪流排程 RRDNS(RoundRobin Domain Name System)域名服務(wù)器（Domain Name Server）中的數(shù)據(jù)文件將主機名字映射到其IP地址。從而實現(xiàn)了更高的有效性和穩(wěn)定性，而這也正是基于Web的企業(yè)應(yīng)用所必須具備的特性。此外，Web應(yīng)用程序可以使用URL授權(quán)——以及授權(quán)管理器（Authorization Manager）——對用戶的訪問加以控制。這種做法可以防止某些人調(diào)用一些不夠安全的動態(tài)頁面。IIS ，并僅僅能夠為用戶提供靜態(tài)內(nèi)容。更高的安全性IIS 4x 或 IIS 5x安全，它擁有很多新的功能特性，能夠大大提高您的Web基礎(chǔ)結(jié)構(gòu)的安全性。過去，HTTP協(xié)議的非Unicode結(jié)構(gòu)將開發(fā)人員限制在系統(tǒng)代碼頁上。XML Web 服務(wù)IIS Web服務(wù)平臺。包括： Microsoft Visual C++174。在Windows Server 2003中， Framework的得到了進一步優(yōu)化，因為用來處理請求的體系架構(gòu)與IIS 。處理器關(guān)聯(lián)還可以和運行在多處理器計算機之上的Web園配合使用，在這些計算機上，CPU群集專門共指定的應(yīng)用程序池使用。所有這些改進都使得IIS .新的內(nèi)核模式驅(qū)動程序，Windows Server 2003引入了一種新的內(nèi)核模式驅(qū)動程序，即HTTP協(xié)議堆棧（），并使用它進行HTTP的解析和緩存，從而大大提高了系統(tǒng)的伸縮性和性能表現(xiàn)。功能特性描述站點伸縮性IIS 。對WMI的支持IIS Management Instrumentation（Windows管理規(guī)范，WMI）， Web管理員可以通過它獲取重要的企業(yè)管理數(shù)據(jù)，例如性能計數(shù)器和配置文件。例如，管理員可以使用該特性添加一個新的站點，創(chuàng)建虛擬目錄，或者修改應(yīng)用程序池和工作進程的配置——所有這些都是在IIS ，并且無需進行重新編譯或者重新啟動服務(wù)器。功能特性描述基于XML的配置文件IIS （metabase）為發(fā)生故障的服務(wù)器帶來了經(jīng)過改進的備份和恢復(fù)功能。快速的故障保護如果某個應(yīng)用程序在短時間內(nèi)頻繁發(fā)生故障，IIS ，并且向所有新發(fā)出和排入隊列的針對該應(yīng)用程序的請求返回一個“503服務(wù)不可用”錯誤信息。健康狀況監(jiān)視IIS ，并自動重新啟動應(yīng)用程序池中發(fā)生故障的Web站點或應(yīng)用程序，從而提高了應(yīng)用程序的可用性。Web服務(wù)器更高的可靠性和可用性IIS ，以提高Web服務(wù)器的可靠性和可用性。IIS ，從而減少了暴露在攻擊者面前的攻擊表面積。服務(wù)器合并還可以降低企業(yè)與人工、硬件以及站點管理相關(guān)的成本。另外，增強了在安全方面的認(rèn)證和授權(quán)。特點描述可靠性與可伸縮性IIS 、更可靠的Web服務(wù)器環(huán)境，新的環(huán)境包括應(yīng)用程序健康監(jiān)測、應(yīng)用程序自動地循環(huán)利用。IIS 。216。 防火墻功能：ISA服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和DZM區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內(nèi)容規(guī)則來限制用戶能夠訪問的網(wǎng)站216。具體的設(shè)計方案如下：216。在本域內(nèi)的權(quán)限的分配，可以使用AGDLP策略，在域間的權(quán)限分配，使得AGDLP策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能。用戶帳戶在所屬的部門的OU中創(chuàng)建。 OU的設(shè)計集團的OU設(shè)計目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團的商業(yè)模型相匹配。