【正文】 SSL 上的 LDAP： 支持在安全套接字協(xié)議層 (SSL) 之上的 LDAP ，安全套接字協(xié)議層是為 extra 和電子商務應用程序進行安全性目錄事務而設計的。 組策略： 組策略使管理員能夠定義并控制對由組織內部的計算機和用戶組成的群組進行管理的策略。 GPO 設置確定對目錄對象和域資源的訪問、哪些資源域是用戶可以訪問的以及這些資源域應該如何使用。 ? 全局唯一的用戶名 在域內一個用戶對象只能有一個用戶主名，而這個用戶名是可以用usernamedomainname 表示的，就好比一個用戶的 mail 地址一樣。 目錄服務的主要功能 ， 如下圖所示： 華南資訊科技有限公司 報社 網絡改造 30 目錄服務既是管理工具又是終端用戶工具。異構網絡操作系統(tǒng)采用同構的目錄服務即網絡資源管理服務。具有私有地址的主機和路由器只能在企業(yè)內部通信，其地址僅在企業(yè)內部是唯一的。 在本網絡系統(tǒng)的主干方案中， 上面的 3750 交換機 和 下面的交換機 之間通過兩條千兆以太網線路相連，也就是 兩臺交換機 都提供兩對端口用于相互之間的高速連接，這樣在兩條鏈路上通過 VLAN TRUNK 技術使用每一條鏈路同時運送VLAN1 和 VLAN2 或者更多的 VLAN，同時在交換機上通過 GEC 技術捆綁兩條物理端口，可以為運送提供更高的帶寬，同時可以做到負載均衡。 在 用戶 網絡系統(tǒng)設計中， VLAN 的劃分可以在 核心交換機 、樓層交換機上的端口進行劃分，不同的交換機端口所連接的設備屬于不同的 VLAN，而 VLAN之間的路由則由具有三層功能的 核心交換機 來完成。 VLAN劃分 我們 建議根據(jù)各個辦公室的地理位置來劃分 VLAN， 如果同一棟樓內包含很多部門，而這些部門的職能和工作內容又有很大的區(qū)別，我們就可以在樓內按照 部門來劃分 VLAN。 通過劃分 VLAN 一般會帶來以下幾個好處： 網絡性能好 交換網絡可以通過降低網絡碰撞域的大小，實現(xiàn)提升共享介質網絡性能的目的。雖然， 用戶 的電腦實際上是分別連在各個 部門 的子網上，現(xiàn)在他們卻 如同 “ 集中 ” 在一 個虛擬網的 工作組 里， “ 實際連接 ” 在一個相同的網段上。 我們舉例說明用戶如何對下屬的 IP 地址進行規(guī)劃。 第二層： 在各接入層內，以網絡功能來劃分 可以根據(jù)不同的應用和網絡功能來劃分，如：用戶網絡接入地址；數(shù)據(jù)服務器地址空間和網絡管理操作。防火墻策略的建議我們將會在防火墻系統(tǒng)設計章節(jié)中具體提到，另外將所有服務器進行連接然后統(tǒng)一連入防火墻需要一臺能夠提供 1000M RJ45 口的交換機設備，我們建議使用華為 3COM華南資訊科技有限公司 報社 網絡改造 19 公司的 Quidway S5024G 交換機。 報社的每層樓的信息點最多 164 個，最少 83 個，考慮成本，建議匯聚層的交換機同時承擔接入層交換機的功能。 需要 設備結構冗 余 的設備有： 核心交換機 提供交換背板、交換引擎模塊、電源、 I/O 模塊、鏈路等關鍵部件的冗余； 防火墻、 IDS、服務器使用雙電源 、 雙中央處理模塊 等 解決 方案 預習，了解交換機的基本屬性，為設備選型做準備 規(guī)格配置 ◇ 基本規(guī)格 設備類型 企業(yè)級交換機 華南資訊科技有限公司 報社 網絡改造 11 內存 BOOTROM:1MB,FLASHMemory:16MB 處理器 MPC8245 或 8260 交換方式 存儲 轉發(fā) 背板帶寬 (Gbps) 1638 包轉發(fā)率 10 Mbps: 14,880 pps， 100 Mbps: 148,810 pps ，1000 Mbps: 1,488,100 pps 是否支持 VLAN 支持 MAC 地址表 32k ◇ 網絡 支持網絡標準 IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、 OSPF、 RIP1/ GMRP、 GVRP、 DVMRP、IGMP、 IEEE 傳輸速率 (Mbps) 10/100/1000/10000 ◇ 端口 端口類型 10BaseT，100BaseT,1000BASEX,1000BaseT,10GBase 模塊化插槽數(shù) 6 ◇ 其它 網管功能 支持基于 SNMP 支持 RMON,支持 Web 管理、 HGMP V2 是否支持全雙工 全雙工 堆疊 不支持 ◇ 電氣規(guī)格 額定電壓 (V) 48VDC 額定功率 (W) 800 ◇ 外觀特征 重量 (Kg) ≤80kg 長度 (mm) 436 寬度 (mm) 480 高度 (mm) ◇ 環(huán)境條件 工作溫度 (℃) 0～ 45℃ 工作濕度 10％～ 90％無凝結 工作高度 (米 ) 3000 存儲溫度 (℃) － 30～ 60℃ 華南資訊科技有限公司 報社 網絡改造 12 存儲濕度 10％～ 90％無凝結 存儲高度 (米 ) 6000 核心層設計 核心層可以采用兩臺多業(yè)務高端路由交換機，互為冗余備份，兩臺設備之間運行 VRRP 協(xié)議保障核心設備之間的冗余熱備份，通過鏈路捆綁技術將兩臺中心交換機相連形成熱備 ，主干交換機配置雙電源及雙中央處理模塊，保證主干設備的安全可靠；普通服務器可以通過 1000BASETX 直接連接到中心交換機上；各接入層交換機也分別通過 1000BASESX 連接兩臺中心交換機，網絡出口經過防火墻以 1000BASESX 的方式連接到中心交換機 每臺高端路由交換機通過千兆光纖與各樓層交換機互聯(lián)，這樣從接入層到核心之間就形成了雙核心、雙鏈路的冗余備份的網絡結構，能夠充分保障網絡的可靠性。這樣當其中一臺設備發(fā)生故障時，另外一臺設備會自動負擔其故障設備的工作，從而保障了通信的正常。 網絡系統(tǒng)冗余設計 網絡系統(tǒng)冗余，包括了： 網絡鏈路的冗余；網絡設備的冗余；網絡設備結構的冗余。匯聚層位于中心機房或分配線間，主要用于匯聚接入路由器以及接入交換機。 網絡結構化設計 要求： 結合報社的實際情況， 補充完整 在用戶的網絡結構設計中，我們建議采用層次化的結構設計。 （ 3）經濟性與投資保護原則 在保證網絡系統(tǒng)的先進性和高可靠性的同時，應能以較高的性能 /價格比構建該項目，使資金的產出 /投入比達到最大值；建成后應能以較低的成本、較少的人員投入維持系統(tǒng)正常運轉，保證系統(tǒng)的高效能與高效益；同時在系統(tǒng)設計時應充分考慮各入駐單位以往在資金與技術方 面的投入，盡可能保留并利用其既有的網絡及安全系統(tǒng)設備。 日報社此次涉及到機房搬遷的事宜，由于 搬遷中涉及到關鍵應用服務器的搬遷、網絡切割及新老網絡設備的融合，技術難度高，風險大。 日報社還在使用微軟最老版本的 PROXY ，功能簡單，性能低下，急需改變這種上網管理的方式。 本市 傳媒集團經過一年磨合已經初步體現(xiàn)了規(guī)模，每一個新動作都令人 感受到集團的強勁實力和活力。集團董事長分析說，這支優(yōu)勢互補的跨媒體聯(lián)合團隊，得以做出這些舉動，取得這些成績，乘的就是市委市政府支持，國家提出文化體制改革及廣東要建第一傳媒大省與文化大省的東風，就是 本市 經濟建設 2020 年 GDP 突破2020 億元的春風。來自各界的 500 多名嘉賓共同見證了 本市 傳媒產業(yè)邁入整合升級的新里程。 二喜，傳媒集團與 XX 大學、 XXXX 大學簽訂了全面合作協(xié)議書。 本市 傳媒集團有信心與條件在接下來的時間里乘風而上，實現(xiàn)全面產業(yè)化升級。傳媒產業(yè)的不斷升級，不僅將傳媒本身置于更大平臺之上，也會更好地促進傳媒與政府、企業(yè)的合作，未來令人期待。 日報社桌面用戶較多，各人 IT 水平參差不齊，用戶也不及時打系統(tǒng)補丁、更新病毒定義碼。 安全是個永恒的話題，也是一 個持續(xù)漸進的過程，日報社需要有一套合適于自己業(yè)務特點的安全管理、運維管理制度來維持企業(yè)的運作， 且這套制度是從上至下開始實施的。 （ 4）靈活性與可擴展性原則 項目設計必須具有良好的靈活性與可擴展性，能夠根據(jù)業(yè)務不斷深入發(fā)展的需要，提供擴大設備容量、增加用戶數(shù)量、提高服務質量的功能，具備支持多種網絡傳輸協(xié)議、多種物理接口的能力，提供技術升級、設備更新的靈活性。 對于用戶即將建設的網絡系統(tǒng)來說，想要建設成為一個覆蓋范圍廣、網絡性能優(yōu)良、具有很強擴展能力和升級能力的網絡，在起初的設計中就必須采用層次化的網絡設計原則。 ? 接入訪問層： 我們經常稱之為訪問網。 （ 介紹什么是網絡鏈路、網絡設備和網絡設備結構的冗余，這些冗余結合在這次網絡方案具體怎么實施） 網絡鏈路的冗余 是指 設置鏈路冗余的位置包括： 設備的冗余 是指 需要做冗余和負載均衡的設備有： 網絡設備結構的冗余 是指 需要設備結構冗余的設備有： 網絡系統(tǒng)冗余，包括了： 網絡鏈路的冗余；網絡 設備的冗余；網絡設備結構的冗余。但是由于設備的冗余，必須考慮到物理鏈路的租用和設備的購買等問題，因此網絡的投資會比較大。 核心層是整個網絡的主干，核心層的主要目的是盡可能快速地交換全網數(shù)據(jù)，而不應該被牽扯到費力的數(shù)據(jù)包操作或者任 何減慢數(shù)據(jù)交換的處理事務中，按照用戶對網絡性能的要求，核心層網絡設計建議采用 2 臺高性能的核心交換機，以雙核心、雙鏈路、全冗余互連的組網結構來實現(xiàn)用戶對高可靠性的需求。每臺匯聚層交換機通過堆疊模塊相連，形成邏輯上的 一 臺 被網管的設備 。 另一類服務器屬于對外服務器，它們 將直接連接到對外連接防火墻的 DMZ區(qū)，如果對外服務器數(shù)目超出防火墻接口預想范圍，可以通過添加交換機的方法進行連接?？梢詮奶柎a上識別出應用和功能； 根據(jù)日報社新辦公大樓局域網的具體地址空間，可以給出每個區(qū)域和接入層的地址空間。假設用戶使用，也就是 —。又如，將分別屬于各個分公司財 務部門的終端用戶組合在一起，使他們在 工作 時，使用相同的財務服務器，接收總公司有關財務的電子郵件廣播。此外，通過邏輯網絡對用戶進行分組可以把功能或應用相近的設備或用戶組合在一起，限制廣播流量，提升網絡性能。 另外，如果某個部門需要跨越很多建筑物，分布范圍比較廣，例如部門 A分布的很散，在很多交換機上都預留了部門 A 的信息點，我們則可以按照交換機的位置來設置 VLAN，這樣，部門 A 就可能對應多個 VLAN，如果部門 A 所對應的 VLAN 之間需要通信的話，我們可以通過 VLAN 間的路由來實現(xiàn)。 下圖表示的是采用這樣的路由方法的網絡邏輯結構示意圖。如下圖： 華南資訊科技有限公司 報社 網絡改造 26 如下圖，在本系統(tǒng)網絡解決方案中，如果兩臺交換機 之間的兩條鏈路其中一路失效，通過 STP（生成樹）技術和 TRUNK 技術可以使網絡運送和負載轉到另外一路良好的鏈路上，可以避免一路失效帶來的網絡癱瘓。用這種地址是不可以訪問 INTERNET 的。未來的多種網絡系統(tǒng)可能采用同一種事實標準的目錄服務作為操作系統(tǒng)本身資源管理或是附加的資源管理。當網絡中對象的數(shù)目增加時，目錄服務變得很重要。正是具有了這個特性，才能夠實現(xiàn)在企業(yè)內只要一套用戶認證系統(tǒng)就可以實現(xiàn)所有應用系統(tǒng)的單一認證問題。 在利用企業(yè)網的目錄管理服務提供單一的用戶身份驗證方面，總的來說，存在兩方面的應用連接方式： C/S 應用的連接方式 WEB 應用的連接方式 其中， WEB 應用的連接方式 比較統(tǒng)一，解決方法也比較成熟，而 C/S 應用的連接方式就比較復雜，需要根據(jù)特定的應用具體分析，舉例來說， Domino/Notes 系統(tǒng)就是典型的 C/S 應用。管理員能夠為在活動目錄中的任一站點、域或組織單元設定組策略。 必需的驗證機制： 允許管理員要求訪問者進行 Kerberos 、 認證或 NTLM 所需的特定類型的登錄。 可傳遞域信任：可傳遞信任委托協(xié)議大大減少了在 Windows 域之間進行管理信任關系的數(shù)量。 這張示意圖很好的總結了目錄服務用戶端和管理端兩方面的功能 活動目錄的 優(yōu)勢 完全集成到 Windows Server 服務器版中的活動目錄為網絡管理員、開發(fā)者和用戶提供了訪問目錄服務的能力，這樣可以： ? 簡化管理任務 集中管理： 活動目錄通過單一、穩(wěn)定 的管理界面集中管理 Windows 用戶、客戶端和服務器，以減少冗余、降低維護成本。所有的小組策略設 置都包含在組策略對象（ Group Policy Object ，簡稱 GPO ）中，它可以應用與活動目錄站點、域或組織單元中。 DNS 記錄也可以集成到目錄中，隨