【正文】 類(lèi)1的生產(chǎn)部工作人員⑵．IP地址分配方案IPv4的地址結(jié)構(gòu)，各個(gè)位的使用規(guī)劃如圖：07810111516181931集團(tuán)標(biāo)識(shí)子公司標(biāo)識(shí)預(yù)留類(lèi)別標(biāo)識(shí)用戶(hù)空間地址其中各個(gè)部分的取值如表：位取值含義 備注07000001010某某集團(tuán)私有地址8110000保留0001總部主樓的用戶(hù)標(biāo)識(shí)0010子公司1子公司1的用戶(hù)標(biāo)識(shí)0011子公司2子公司2的的用戶(hù)標(biāo)識(shí)0100子公司3子公司3的用戶(hù)標(biāo)識(shí)0101子公司4子公司4的用戶(hù)標(biāo)識(shí)0110子公司5子公司5的用戶(hù)標(biāo)識(shí)0111子公司6子公司5的用戶(hù)標(biāo)識(shí)10001111保留121300缺省0011保留1417000保留001網(wǎng)管類(lèi)交換機(jī)設(shè)備地址，路由器環(huán)回地址，網(wǎng)管工作站地址010互聯(lián)類(lèi)交換機(jī)，路由器等設(shè)備之間互相連接用011應(yīng)用類(lèi)1集團(tuán)OA類(lèi)用111因特網(wǎng)類(lèi)集團(tuán)的因特網(wǎng)連接，因特網(wǎng)應(yīng)用。 ⑷ 生成樹(shù)（STP/RSTP/MSTP） Cisco6509系列以太網(wǎng)交換機(jī)支持STP/RSTP/MSTP生成樹(shù)協(xié)議?？焖偕蓸?shù)協(xié)議是生成樹(shù)協(xié)議的改進(jìn)，在原有功能的基礎(chǔ)上提高了網(wǎng)絡(luò)保護(hù)的性能。這就可以起到均衡網(wǎng)絡(luò)流量，提高可靠性的作用。在作了鏈路聚合的端口之間可以做冗余備份和負(fù)載分擔(dān)。如果新地址是在聚合的端口上時(shí)，根據(jù)二層和三層的不同，使用MAC地址或IP地址進(jìn)行邏輯計(jì)算，根據(jù)邏輯的結(jié)果選擇相應(yīng)端口為轉(zhuǎn)發(fā)端口，發(fā)往該目的地址的幀將按照計(jì)算負(fù)載均衡后的結(jié)果進(jìn)行轉(zhuǎn)發(fā)，實(shí)現(xiàn)端口之間負(fù)載均衡和冗余保護(hù)，保證數(shù)據(jù)流不出現(xiàn)亂序現(xiàn)象。通過(guò)使用熱備份路由份協(xié)議（HSRP），可使網(wǎng)絡(luò)對(duì)最終用戶(hù)的可用性得到充分的保證。在成對(duì)的兩臺(tái)匯聚層多層交換機(jī)上，具體的HSRP配置規(guī)范如下：1． 接口的IP地址：在第一臺(tái)多層交換機(jī)上，某個(gè)VLAN虛擬接口的IP地址是子網(wǎng)的最后第三個(gè)可用地址，在第二臺(tái)多層交換機(jī)上，某個(gè)VLAN虛擬接口的IP地址是子網(wǎng)的最后第二個(gè)可用地址。并且主用的匯聚層交換機(jī)配置占先權(quán)。以前部分路由交換機(jī)雖然也宣稱(chēng)支持等價(jià)路由，但實(shí)際上只是從軟件上支持，對(duì)軟件轉(zhuǎn)發(fā)的報(bào)文可以使用等價(jià)路由，但對(duì)于由硬件直接轉(zhuǎn)發(fā)的報(bào)文，則只能從一條固定路徑轉(zhuǎn)發(fā)。通過(guò)數(shù)據(jù)流的目的IP地址和源IP地址進(jìn)行計(jì)算，Cisco6509系列以太網(wǎng)路由交換機(jī)可以保證同一個(gè)IP轉(zhuǎn)發(fā)流都從同一個(gè)路由路徑被轉(zhuǎn)發(fā)出去，從而保證了整個(gè)端到端網(wǎng)絡(luò)的路由報(bào)文轉(zhuǎn)發(fā)的有序性，避免了TCP全局同步等問(wèn)題的發(fā)生。策略路由是設(shè)置在接收?qǐng)?bào)文接口而不是發(fā)送接口。 旭日集團(tuán)園區(qū)網(wǎng)有5000用戶(hù)，網(wǎng)絡(luò)規(guī)模比較大，并且和因特網(wǎng)存在連接。其次，必須具有一定的技術(shù)手段來(lái)保障網(wǎng)絡(luò)的安全。 配置設(shè)備的口令216。 因特網(wǎng)的接入安全控制 ⑴ 提高設(shè)備的物理安全性 設(shè)備的物理安全性是指運(yùn)行中的設(shè)備，未經(jīng)授權(quán)的人員不能直接接觸到。 要為所有的設(shè)備設(shè)置口令。 設(shè)置了口令之后，除非交換機(jī)設(shè)置了正確的口令，否則。 ⑷ 園區(qū)用戶(hù)的接入控制 因?yàn)橐话愕陌踩胧┒疾皇轻槍?duì)網(wǎng)絡(luò)呢的用戶(hù)的，嚴(yán)格控制用戶(hù)的接入，可以避免非法用戶(hù)接入帶來(lái)的潛在的安全隱患。 ⑹ 因特網(wǎng)的接入安全控制 因特網(wǎng)的接入安全控制是非常重要的，不僅需要布置防火墻等安全設(shè)備，還要指定嚴(yán)格的安全策略。系統(tǒng)建立完成后，要求能滿(mǎn)足企業(yè)個(gè)方面的應(yīng)用需求，包括辦公自動(dòng)化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶(hù)管理，系統(tǒng)安全管理等。總部管理員有權(quán)管理各個(gè)子公司的系統(tǒng)216。總部管理員對(duì)集團(tuán)所有系統(tǒng)有管理權(quán)限。 合理的用戶(hù)管理：所有的用戶(hù)采用統(tǒng)一的命名規(guī)則，每個(gè)單位對(duì)本單位員工帳戶(hù)進(jìn)行獨(dú)立的管理，并按不同部門(mén)管理賬號(hào)。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個(gè)域的域控制器中存儲(chǔ)，減少了每臺(tái)域控制器的信息存儲(chǔ)，從而減少?gòu)?fù)制流量和網(wǎng)絡(luò)對(duì)象的查詢(xún)時(shí)間。 操作主機(jī)分配：操作主機(jī)域中扮演著重要的角色，直接影響到域是否能夠正常工作，在Windows2003的域中，一共有五種操作主機(jī)，分別是構(gòu)架主機(jī)，域名主機(jī)，RID主機(jī)，PDC仿真器，結(jié)構(gòu)主機(jī)。 OU的設(shè)計(jì)集團(tuán)的OU設(shè)計(jì)目的是為了使用用戶(hù)管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。用戶(hù)帳戶(hù)在所屬的部門(mén)的OU中創(chuàng)建。在本域內(nèi)的權(quán)限的分配，可以使用AGDLP策略，在域間的權(quán)限分配，使得AGDLP策略，依次將用戶(hù)加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶(hù)的組織和權(quán)限分配簡(jiǎn)單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能。具體的設(shè)計(jì)方案如下：216。 防火墻功能：ISA服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和DZM區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內(nèi)容規(guī)則來(lái)限制用戶(hù)能夠訪問(wèn)的網(wǎng)站216。216。IIS 。特點(diǎn)描述可靠性與可伸縮性IIS 、更可靠的Web服務(wù)器環(huán)境，新的環(huán)境包括應(yīng)用程序健康監(jiān)測(cè)、應(yīng)用程序自動(dòng)地循環(huán)利用。另外，增強(qiáng)了在安全方面的認(rèn)證和授權(quán)。服務(wù)器合并還可以降低企業(yè)與人工、硬件以及站點(diǎn)管理相關(guān)的成本。IIS ，從而減少了暴露在攻擊者面前的攻擊表面積。Web服務(wù)器更高的可靠性和可用性IIS ，以提高Web服務(wù)器的可靠性和可用性。健康狀況監(jiān)視IIS ，并自動(dòng)重新啟動(dòng)應(yīng)用程序池中發(fā)生故障的Web站點(diǎn)或應(yīng)用程序，從而提高了應(yīng)用程序的可用性。快速的故障保護(hù)如果某個(gè)應(yīng)用程序在短時(shí)間內(nèi)頻繁發(fā)生故障，IIS ，并且向所有新發(fā)出和排入隊(duì)列的針對(duì)該應(yīng)用程序的請(qǐng)求返回一個(gè)“503服務(wù)不可用”錯(cuò)誤信息。功能特性描述基于XML的配置文件IIS （metabase）為發(fā)生故障的服務(wù)器帶來(lái)了經(jīng)過(guò)改進(jìn)的備份和恢復(fù)功能。例如，管理員可以使用該特性添加一個(gè)新的站點(diǎn)，創(chuàng)建虛擬目錄，或者修改應(yīng)用程序池和工作進(jìn)程的配置——所有這些都是在IIS ，并且無(wú)需進(jìn)行重新編譯或者重新啟動(dòng)服務(wù)器。對(duì)WMI的支持IIS Management Instrumentation（Windows管理規(guī)范，WMI）， Web管理員可以通過(guò)它獲取重要的企業(yè)管理數(shù)據(jù)，例如性能計(jì)數(shù)器和配置文件。功能特性描述站點(diǎn)伸縮性IIS 。所有這些改進(jìn)都使得IIS .新的內(nèi)核模式驅(qū)動(dòng)程序，Windows Server 2003引入了一種新的內(nèi)核模式驅(qū)動(dòng)程序，即HTTP協(xié)議堆棧（），并使用它進(jìn)行HTTP的解析和緩存，從而大大提高了系統(tǒng)的伸縮性和性能表現(xiàn)。處理器關(guān)聯(lián)還可以和運(yùn)行在多處理器計(jì)算機(jī)之上的Web園配合使用，在這些計(jì)算機(jī)上，CPU群集專(zhuān)門(mén)共指定的應(yīng)用程序池使用。在Windows Server 2003中， Framework的得到了進(jìn)一步優(yōu)化，因?yàn)橛脕?lái)處理請(qǐng)求的體系架構(gòu)與IIS 。包括： Microsoft Visual C++174。XML Web 服務(wù)IIS Web服務(wù)平臺(tái)。過(guò)去，HTTP協(xié)議的非Unicode結(jié)構(gòu)將開(kāi)發(fā)人員限制在系統(tǒng)代碼頁(yè)上。更高的安全性IIS 4x 或 IIS 5x安全，它擁有很多新的功能特性，能夠大大提高您的Web基礎(chǔ)結(jié)構(gòu)的安全性。IIS ，并僅僅能夠?yàn)橛脩?hù)提供靜態(tài)內(nèi)容。這種做法可以防止某些人調(diào)用一些不夠安全的動(dòng)態(tài)頁(yè)面。此外，Web應(yīng)用程序可以使用URL授權(quán)——以及授權(quán)管理器（Authorization Manager）——對(duì)用戶(hù)的訪問(wèn)加以控制。從而實(shí)現(xiàn)了更高的有效性和穩(wěn)定性，而這也正是基于Web的企業(yè)應(yīng)用所必須具備的特性。在現(xiàn)有眾多的均衡服務(wù)器負(fù)載的方法中，廣泛研究并使用的是以下兩個(gè)方法：DNS負(fù)載平衡的方法RRDNS(RoundRobin Domain Name System) 負(fù)載均衡器DNS輪流排程 RRDNS(RoundRobin Domain Name System)域名服務(wù)器（Domain Name Server）中的數(shù)據(jù)文件將主機(jī)名字映射到其IP地址。對(duì)于一個(gè)特定的請(qǐng)求，如果所申請(qǐng)的服務(wù)器不能進(jìn)行處理的話(huà)，那么其他的服務(wù)器能不能對(duì)之進(jìn)行有效的處理呢？對(duì)于一個(gè)高效的系統(tǒng)，如果一個(gè)Web服務(wù)器失敗的話(huà)，其他的服務(wù)器可以馬上取代它的位置，對(duì)所申請(qǐng)的請(qǐng)求進(jìn)行處理，而且這一過(guò)程對(duì)用戶(hù)來(lái)說(shuō)，要盡可能的透明，使用戶(hù)察覺(jué)不到！穩(wěn)定性決定了應(yīng)用程序能否支持不斷增長(zhǎng)的用戶(hù)請(qǐng)求數(shù)量，它是應(yīng)用程序自身的一種能力。web應(yīng)用服務(wù)器集群系統(tǒng)，是由一群同時(shí)運(yùn)行同一個(gè)web應(yīng)用的服務(wù)器組成的集群系統(tǒng)，在外界看來(lái)，就像是一個(gè)服務(wù)器一樣。所有的ASP內(nèi)置功能都使用低權(quán)限賬戶(hù)（匿名用戶(hù)）在系統(tǒng)中運(yùn)行。Web服務(wù)擴(kuò)展列表默認(rèn)情況下的IIS安裝不會(huì)編譯、執(zhí)行或者提交任何動(dòng)態(tài)頁(yè)面。 功能特性描述鎖定服務(wù)器IIS 。IIS 。通過(guò)使用Web服務(wù)，企業(yè)可以將編程接口暴露給他們的數(shù)據(jù)或業(yè)務(wù)邏輯，也可以通過(guò)客戶(hù)端和服務(wù)器應(yīng)用程序獲得和操縱這些數(shù)據(jù)和業(yè)務(wù)邏輯。 .NET、JScript174。此外，它還可以幫助他們開(kāi)發(fā)與他們目前正在設(shè)計(jì)和開(kāi)發(fā)的應(yīng)用程序完全相同的程序。功能特性描述，Windows Server 2003提供了更為美妙的開(kāi)發(fā)體驗(yàn)。Web園IIS ，這種配置又被稱(chēng)作Web園（Web garden）。通過(guò)運(yùn)行IIS ，您可以在單臺(tái)服務(wù)器上管理更多的站點(diǎn)和并發(fā)執(zhí)行更多的工作進(jìn)程。 Service Interfaces（ADSI），可以在管理腳本中使用，并且可以用來(lái)修改基于XML的配置元數(shù)據(jù)庫(kù)。利用一個(gè)簡(jiǎn)單的命令，管理員即可管理多個(gè)本地或遠(yuǎn)程計(jì)算機(jī)。使用常見(jiàn)的文本編輯工具對(duì)其進(jìn)行直接編輯提供了更為出色的可管理性?？焖俟收媳Ｗo(hù)可以保護(hù)Web服務(wù)器免遭拒絕服務(wù)攻擊。自動(dòng)進(jìn)程回收IIS ——例如CPU利用率和內(nèi)存占用情況，自動(dòng)停止和重新啟動(dòng)發(fā)生故障的Web站點(diǎn)和應(yīng)用程序，同時(shí)將請(qǐng)求放入隊(duì)列。功能特性描述容錯(cuò)進(jìn)程架構(gòu)IIS （又稱(chēng)應(yīng)用程序池）。IIS ，改善了對(duì)XML元數(shù)據(jù)庫(kù)（metabase）的管理，并且提供了新的命令行工具?；贗IS ，Windows Server 2003為開(kāi)發(fā)者提供高標(biāo)準(zhǔn)的附加功能，包括快速應(yīng)用程序開(kāi)發(fā)以及廣泛的語(yǔ)言選擇，同時(shí)也提供了國(guó)際化支持和支持最新的Web標(biāo)準(zhǔn)。服務(wù)器合并IIS ，它為Web服務(wù)器的合并提供了新的機(jī)遇。更安全、易于管理IIS 。IIS 。各個(gè)子公司的系統(tǒng)管理員可以獨(dú)立的管理子公司的域，并可以在以后修改和編輯組策略，以適應(yīng)公司未來(lái)的需求。216。集團(tuán)中所有的客戶(hù)端做為ISA的客戶(hù)端，所有的互聯(lián)網(wǎng)的訪問(wèn)均通過(guò)ISA服務(wù)器轉(zhuǎn)發(fā)，這樣，就可以在ISA服務(wù)器上對(duì)所有網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并對(duì)實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)的過(guò)濾。其次，在方案設(shè)計(jì)中，充分應(yīng)用Window系統(tǒng)提供的組策略功能，利用組策略，可以在每個(gè)公司的域中設(shè)計(jì)安全策略。 組的管理為了滿(mǎn)足集團(tuán)用戶(hù)管理的需求，更好的在網(wǎng)絡(luò)中管理用戶(hù)權(quán)限的分配，使系統(tǒng)的管理得到最大的簡(jiǎn)化，方案中采用AGDLP策略及AGUDLP策略。216。 在系統(tǒng)設(shè)計(jì)時(shí)包括三個(gè)部分，分別是OU，用戶(hù)及組的設(shè)計(jì)，為了更好的滿(mǎn)足集團(tuán)的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶(hù)，系統(tǒng)管理結(jié)構(gòu)與集團(tuán)的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計(jì)。即使域中的一臺(tái)域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運(yùn)行。本方案采用Windows系統(tǒng)提供的域模式來(lái)組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲(chǔ)網(wǎng)絡(luò)對(duì)象，并且管理簡(jiǎn)單，即實(shí)現(xiàn)了集中管理，又可以滿(mǎn)足不同公司自身的安全需求。 簡(jiǎn)單的設(shè)計(jì)：在保障滿(mǎn)足需求的前提下，設(shè)計(jì)方案應(yīng)簡(jiǎn)單為佳，避免由于復(fù)雜的設(shè)計(jì)增加工程實(shí)施難度和增加集團(tuán)系統(tǒng)管理的復(fù)雜性。使管理員在任何一個(gè)位置均能對(duì)服務(wù)器進(jìn)行維護(hù)和管理。 清晰的邏輯結(jié)構(gòu)：要求集團(tuán)范圍內(nèi)的系統(tǒng)管理結(jié)構(gòu)清晰，層次分明，能夠充分的與集團(tuán)的管理結(jié)構(gòu)相吻合。同時(shí)需要建立WEB服務(wù)器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。只有用戶(hù)使用申請(qǐng)通過(guò)批準(zhǔn)之后網(wǎng)絡(luò)管理員才能將端口激活。保證了局域網(wǎng)的運(yùn)行安全，可以避免因?yàn)閂LAN被錯(cuò)誤或者惡意的增加?？诹罟芾碇贫劝诹畹脑O(shè)置，保管，更改，口令的強(qiáng)度等內(nèi)容。通過(guò)將設(shè)備安置在獨(dú)立的設(shè)備間中，并增加門(mén)禁系統(tǒng)，確保只有授權(quán)的管理和維護(hù)人員才能接觸到物理設(shè)備。 園區(qū)網(wǎng)用戶(hù)的接入控制216。 通過(guò)以下幾個(gè)技術(shù)方面的實(shí)施，可以在一定程度上保障網(wǎng)絡(luò)的安全：216。 一個(gè)網(wǎng)絡(luò)的安全，首先要有嚴(yán)格和有效執(zhí)行的管理制度。 ⑼ VPNCisco6509系列以太網(wǎng)路由交換機(jī)支持VPN,VPN（虛擬專(zhuān)網(wǎng)）是利用公共網(wǎng)絡(luò)資源(如公用電信網(wǎng))為客戶(hù)組建專(zhuān)用網(wǎng)的一種技術(shù)，它通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別，從而利用公網(wǎng)構(gòu)筑專(zhuān)網(wǎng)（即VPN）。策略路由（PolicyBased Routing，簡(jiǎn)稱(chēng)PBR）是目前越來(lái)越多的路由器或三層交換機(jī)設(shè)備正在支持的一項(xiàng)路由擴(kuò)展功能，支持策略路由的設(shè)備不僅能以報(bào)文的目的IP地址為依據(jù)來(lái)進(jìn)行路由選擇，還可以以報(bào)文的源IP地址、源MAC地址、報(bào)文大小、報(bào)文進(jìn)入的端口、報(bào)文類(lèi)型、報(bào)文的VLAN屬性等等其它擴(kuò)展條件來(lái)選擇路由。 Cisco6509系列以太網(wǎng)路由交換機(jī)最大支持4條等價(jià)路由，并且不論RIP、OSPF等路由協(xié)議產(chǎn)生的路由，還是靜態(tài)配置路由，不論是網(wǎng)段路由還是主機(jī)路由，甚至缺省路由，都可以支持等價(jià)路由。等價(jià)路由即為到達(dá)同一個(gè)目的IP或者目的網(wǎng)段存在多條Cost值相等的不同路由路徑，當(dāng)設(shè)備支持等價(jià)路由時(shí)，發(fā)往該目的IP或者目的網(wǎng)段的三層轉(zhuǎn)發(fā)流量就可以通過(guò)不同的路徑分擔(dān)，實(shí)現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡，并在其中某些路徑出現(xiàn)故障時(shí)，由其它路徑代替完成轉(zhuǎn)發(fā)處理，實(shí)現(xiàn)路由冗余備份功能。3．熱備份地址：熱備份地址是子網(wǎng)的最后一個(gè)可用地址。旭