【正文】 SSL 上的 LDAP： 支持在安全套接字協(xié)議層 (SSL) 之上的 LDAP ，安全套接字協(xié)議層是為 extra 和電子商務(wù)應(yīng)用程序進行安全性目錄事務(wù)而設(shè)計的。 組策略： 組策略使管理員能夠定義并控制對由組織內(nèi)部的計算機和用戶組成的群組進行管理的策略。 GPO 設(shè)置確定對目錄對象和域資源的訪問、哪些資源域是用戶可以訪問的以及這些資源域應(yīng)該如何使用。 ? 全局唯一的用戶名 在域內(nèi)一個用戶對象只能有一個用戶主名，而這個用戶名是可以用usernamedomainname 表示的，就好比一個用戶的 mail 地址一樣。 目錄服務(wù)的主要功能 ， 如下圖所示： 華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 30 目錄服務(wù)既是管理工具又是終端用戶工具。異構(gòu)網(wǎng)絡(luò)操作系統(tǒng)采用同構(gòu)的目錄服務(wù)即網(wǎng)絡(luò)資源管理服務(wù)。具有私有地址的主機和路由器只能在企業(yè)內(nèi)部通信，其地址僅在企業(yè)內(nèi)部是唯一的。 在本網(wǎng)絡(luò)系統(tǒng)的主干方案中， 上面的 3750 交換機 和 下面的交換機 之間通過兩條千兆以太網(wǎng)線路相連，也就是 兩臺交換機 都提供兩對端口用于相互之間的高速連接，這樣在兩條鏈路上通過 VLAN TRUNK 技術(shù)使用每一條鏈路同時運送VLAN1 和 VLAN2 或者更多的 VLAN，同時在交換機上通過 GEC 技術(shù)捆綁兩條物理端口，可以為運送提供更高的帶寬，同時可以做到負(fù)載均衡。 在 用戶 網(wǎng)絡(luò)系統(tǒng)設(shè)計中， VLAN 的劃分可以在 核心交換機 、樓層交換機上的端口進行劃分，不同的交換機端口所連接的設(shè)備屬于不同的 VLAN，而 VLAN之間的路由則由具有三層功能的 核心交換機 來完成。 VLAN劃分 我們 建議根據(jù)各個辦公室的地理位置來劃分 VLAN， 如果同一棟樓內(nèi)包含很多部門，而這些部門的職能和工作內(nèi)容又有很大的區(qū)別，我們就可以在樓內(nèi)按照 部門來劃分 VLAN。 通過劃分 VLAN 一般會帶來以下幾個好處： 網(wǎng)絡(luò)性能好 交換網(wǎng)絡(luò)可以通過降低網(wǎng)絡(luò)碰撞域的大小，實現(xiàn)提升共享介質(zhì)網(wǎng)絡(luò)性能的目的。雖然， 用戶 的電腦實際上是分別連在各個 部門 的子網(wǎng)上，現(xiàn)在他們卻 如同 “ 集中 ” 在一 個虛擬網(wǎng)的 工作組 里， “ 實際連接 ” 在一個相同的網(wǎng)段上。 我們舉例說明用戶如何對下屬的 IP 地址進行規(guī)劃。 第二層： 在各接入層內(nèi)，以網(wǎng)絡(luò)功能來劃分 可以根據(jù)不同的應(yīng)用和網(wǎng)絡(luò)功能來劃分，如：用戶網(wǎng)絡(luò)接入地址；數(shù)據(jù)服務(wù)器地址空間和網(wǎng)絡(luò)管理操作。防火墻策略的建議我們將會在防火墻系統(tǒng)設(shè)計章節(jié)中具體提到，另外將所有服務(wù)器進行連接然后統(tǒng)一連入防火墻需要一臺能夠提供 1000M RJ45 口的交換機設(shè)備，我們建議使用華為 3COM華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 19 公司的 Quidway S5024G 交換機。 報社的每層樓的信息點最多 164 個，最少 83 個，考慮成本，建議匯聚層的交換機同時承擔(dān)接入層交換機的功能。 需要 設(shè)備結(jié)構(gòu)冗 余 的設(shè)備有： 核心交換機 提供交換背板、交換引擎模塊、電源、 I/O 模塊、鏈路等關(guān)鍵部件的冗余； 防火墻、 IDS、服務(wù)器使用雙電源 、 雙中央處理模塊 等 解決 方案 預(yù)習(xí)，了解交換機的基本屬性，為設(shè)備選型做準(zhǔn)備 規(guī)格配置 ◇ 基本規(guī)格 設(shè)備類型 企業(yè)級交換機 華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 11 內(nèi)存 BOOTROM:1MB,FLASHMemory:16MB 處理器 MPC8245 或 8260 交換方式 存儲 轉(zhuǎn)發(fā) 背板帶寬 (Gbps) 1638 包轉(zhuǎn)發(fā)率 10 Mbps: 14,880 pps， 100 Mbps: 148,810 pps ，1000 Mbps: 1,488,100 pps 是否支持 VLAN 支持 MAC 地址表 32k ◇ 網(wǎng)絡(luò) 支持網(wǎng)絡(luò)標(biāo)準(zhǔn) IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、 IEEE 、 OSPF、 RIP1/ GMRP、 GVRP、 DVMRP、IGMP、 IEEE 傳輸速率 (Mbps) 10/100/1000/10000 ◇ 端口 端口類型 10BaseT，100BaseT,1000BASEX,1000BaseT,10GBase 模塊化插槽數(shù) 6 ◇ 其它 網(wǎng)管功能 支持基于 SNMP 支持 RMON,支持 Web 管理、 HGMP V2 是否支持全雙工 全雙工 堆疊 不支持 ◇ 電氣規(guī)格 額定電壓 (V) 48VDC 額定功率 (W) 800 ◇ 外觀特征 重量 (Kg) ≤80kg 長度 (mm) 436 寬度 (mm) 480 高度 (mm) ◇ 環(huán)境條件 工作溫度 (℃) 0～ 45℃ 工作濕度 10％～ 90％無凝結(jié) 工作高度 (米 ) 3000 存儲溫度 (℃) － 30～ 60℃ 華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 12 存儲濕度 10％～ 90％無凝結(jié) 存儲高度 (米 ) 6000 核心層設(shè)計 核心層可以采用兩臺多業(yè)務(wù)高端路由交換機，互為冗余備份，兩臺設(shè)備之間運行 VRRP 協(xié)議保障核心設(shè)備之間的冗余熱備份，通過鏈路捆綁技術(shù)將兩臺中心交換機相連形成熱備 ，主干交換機配置雙電源及雙中央處理模塊，保證主干設(shè)備的安全可靠；普通服務(wù)器可以通過 1000BASETX 直接連接到中心交換機上；各接入層交換機也分別通過 1000BASESX 連接兩臺中心交換機，網(wǎng)絡(luò)出口經(jīng)過防火墻以 1000BASESX 的方式連接到中心交換機 每臺高端路由交換機通過千兆光纖與各樓層交換機互聯(lián)，這樣從接入層到核心之間就形成了雙核心、雙鏈路的冗余備份的網(wǎng)絡(luò)結(jié)構(gòu)，能夠充分保障網(wǎng)絡(luò)的可靠性。這樣當(dāng)其中一臺設(shè)備發(fā)生故障時，另外一臺設(shè)備會自動負(fù)擔(dān)其故障設(shè)備的工作，從而保障了通信的正常。 網(wǎng)絡(luò)系統(tǒng)冗余設(shè)計 網(wǎng)絡(luò)系統(tǒng)冗余，包括了： 網(wǎng)絡(luò)鏈路的冗余；網(wǎng)絡(luò)設(shè)備的冗余；網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)的冗余。匯聚層位于中心機房或分配線間，主要用于匯聚接入路由器以及接入交換機。 網(wǎng)絡(luò)結(jié)構(gòu)化設(shè)計 要求： 結(jié)合報社的實際情況， 補充完整 在用戶的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中，我們建議采用層次化的結(jié)構(gòu)設(shè)計。 （ 3）經(jīng)濟性與投資保護原則 在保證網(wǎng)絡(luò)系統(tǒng)的先進性和高可靠性的同時，應(yīng)能以較高的性能 /價格比構(gòu)建該項目，使資金的產(chǎn)出 /投入比達到最大值；建成后應(yīng)能以較低的成本、較少的人員投入維持系統(tǒng)正常運轉(zhuǎn)，保證系統(tǒng)的高效能與高效益；同時在系統(tǒng)設(shè)計時應(yīng)充分考慮各入駐單位以往在資金與技術(shù)方 面的投入，盡可能保留并利用其既有的網(wǎng)絡(luò)及安全系統(tǒng)設(shè)備。 日報社此次涉及到機房搬遷的事宜，由于 搬遷中涉及到關(guān)鍵應(yīng)用服務(wù)器的搬遷、網(wǎng)絡(luò)切割及新老網(wǎng)絡(luò)設(shè)備的融合，技術(shù)難度高，風(fēng)險大。 日報社還在使用微軟最老版本的 PROXY ，功能簡單，性能低下，急需改變這種上網(wǎng)管理的方式。 本市 傳媒集團經(jīng)過一年磨合已經(jīng)初步體現(xiàn)了規(guī)模，每一個新動作都令人 感受到集團的強勁實力和活力。集團董事長分析說，這支優(yōu)勢互補的跨媒體聯(lián)合團隊，得以做出這些舉動，取得這些成績，乘的就是市委市政府支持，國家提出文化體制改革及廣東要建第一傳媒大省與文化大省的東風(fēng)，就是 本市 經(jīng)濟建設(shè) 2020 年 GDP 突破2020 億元的春風(fēng)。來自各界的 500 多名嘉賓共同見證了 本市 傳媒產(chǎn)業(yè)邁入整合升級的新里程。 二喜，傳媒集團與 XX 大學(xué)、 XXXX 大學(xué)簽訂了全面合作協(xié)議書。 本市 傳媒集團有信心與條件在接下來的時間里乘風(fēng)而上，實現(xiàn)全面產(chǎn)業(yè)化升級。傳媒產(chǎn)業(yè)的不斷升級，不僅將傳媒本身置于更大平臺之上，也會更好地促進傳媒與政府、企業(yè)的合作，未來令人期待。 日報社桌面用戶較多，各人 IT 水平參差不齊，用戶也不及時打系統(tǒng)補丁、更新病毒定義碼。 安全是個永恒的話題，也是一 個持續(xù)漸進的過程，日報社需要有一套合適于自己業(yè)務(wù)特點的安全管理、運維管理制度來維持企業(yè)的運作， 且這套制度是從上至下開始實施的。 （ 4）靈活性與可擴展性原則 項目設(shè)計必須具有良好的靈活性與可擴展性，能夠根據(jù)業(yè)務(wù)不斷深入發(fā)展的需要，提供擴大設(shè)備容量、增加用戶數(shù)量、提高服務(wù)質(zhì)量的功能，具備支持多種網(wǎng)絡(luò)傳輸協(xié)議、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性。 對于用戶即將建設(shè)的網(wǎng)絡(luò)系統(tǒng)來說，想要建設(shè)成為一個覆蓋范圍廣、網(wǎng)絡(luò)性能優(yōu)良、具有很強擴展能力和升級能力的網(wǎng)絡(luò)，在起初的設(shè)計中就必須采用層次化的網(wǎng)絡(luò)設(shè)計原則。 ? 接入訪問層： 我們經(jīng)常稱之為訪問網(wǎng)。 （ 介紹什么是網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)的冗余，這些冗余結(jié)合在這次網(wǎng)絡(luò)方案具體怎么實施） 網(wǎng)絡(luò)鏈路的冗余 是指 設(shè)置鏈路冗余的位置包括： 設(shè)備的冗余 是指 需要做冗余和負(fù)載均衡的設(shè)備有： 網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)的冗余 是指 需要設(shè)備結(jié)構(gòu)冗余的設(shè)備有： 網(wǎng)絡(luò)系統(tǒng)冗余，包括了： 網(wǎng)絡(luò)鏈路的冗余；網(wǎng)絡(luò) 設(shè)備的冗余；網(wǎng)絡(luò)設(shè)備結(jié)構(gòu)的冗余。但是由于設(shè)備的冗余，必須考慮到物理鏈路的租用和設(shè)備的購買等問題，因此網(wǎng)絡(luò)的投資會比較大。 核心層是整個網(wǎng)絡(luò)的主干，核心層的主要目的是盡可能快速地交換全網(wǎng)數(shù)據(jù)，而不應(yīng)該被牽扯到費力的數(shù)據(jù)包操作或者任 何減慢數(shù)據(jù)交換的處理事務(wù)中，按照用戶對網(wǎng)絡(luò)性能的要求，核心層網(wǎng)絡(luò)設(shè)計建議采用 2 臺高性能的核心交換機，以雙核心、雙鏈路、全冗余互連的組網(wǎng)結(jié)構(gòu)來實現(xiàn)用戶對高可靠性的需求。每臺匯聚層交換機通過堆疊模塊相連，形成邏輯上的 一 臺 被網(wǎng)管的設(shè)備 。 另一類服務(wù)器屬于對外服務(wù)器，它們 將直接連接到對外連接防火墻的 DMZ區(qū)，如果對外服務(wù)器數(shù)目超出防火墻接口預(yù)想范圍，可以通過添加交換機的方法進行連接。可以從號碼上識別出應(yīng)用和功能； 根據(jù)日報社新辦公大樓局域網(wǎng)的具體地址空間，可以給出每個區(qū)域和接入層的地址空間。假設(shè)用戶使用，也就是 —。又如，將分別屬于各個分公司財 務(wù)部門的終端用戶組合在一起，使他們在 工作 時，使用相同的財務(wù)服務(wù)器，接收總公司有關(guān)財務(wù)的電子郵件廣播。此外，通過邏輯網(wǎng)絡(luò)對用戶進行分組可以把功能或應(yīng)用相近的設(shè)備或用戶組合在一起，限制廣播流量，提升網(wǎng)絡(luò)性能。 另外，如果某個部門需要跨越很多建筑物，分布范圍比較廣，例如部門 A分布的很散，在很多交換機上都預(yù)留了部門 A 的信息點，我們則可以按照交換機的位置來設(shè)置 VLAN，這樣，部門 A 就可能對應(yīng)多個 VLAN，如果部門 A 所對應(yīng)的 VLAN 之間需要通信的話，我們可以通過 VLAN 間的路由來實現(xiàn)。 下圖表示的是采用這樣的路由方法的網(wǎng)絡(luò)邏輯結(jié)構(gòu)示意圖。如下圖： 華南資訊科技有限公司 報社 網(wǎng)絡(luò)改造 26 如下圖，在本系統(tǒng)網(wǎng)絡(luò)解決方案中，如果兩臺交換機 之間的兩條鏈路其中一路失效，通過 STP（生成樹）技術(shù)和 TRUNK 技術(shù)可以使網(wǎng)絡(luò)運送和負(fù)載轉(zhuǎn)到另外一路良好的鏈路上，可以避免一路失效帶來的網(wǎng)絡(luò)癱瘓。用這種地址是不可以訪問 INTERNET 的。未來的多種網(wǎng)絡(luò)系統(tǒng)可能采用同一種事實標(biāo)準(zhǔn)的目錄服務(wù)作為操作系統(tǒng)本身資源管理或是附加的資源管理。當(dāng)網(wǎng)絡(luò)中對象的數(shù)目增加時，目錄服務(wù)變得很重要。正是具有了這個特性，才能夠?qū)崿F(xiàn)在企業(yè)內(nèi)只要一套用戶認(rèn)證系統(tǒng)就可以實現(xiàn)所有應(yīng)用系統(tǒng)的單一認(rèn)證問題。 在利用企業(yè)網(wǎng)的目錄管理服務(wù)提供單一的用戶身份驗證方面，總的來說，存在兩方面的應(yīng)用連接方式： C/S 應(yīng)用的連接方式 WEB 應(yīng)用的連接方式 其中， WEB 應(yīng)用的連接方式 比較統(tǒng)一，解決方法也比較成熟，而 C/S 應(yīng)用的連接方式就比較復(fù)雜，需要根據(jù)特定的應(yīng)用具體分析，舉例來說， Domino/Notes 系統(tǒng)就是典型的 C/S 應(yīng)用。管理員能夠為在活動目錄中的任一站點、域或組織單元設(shè)定組策略。 必需的驗證機制： 允許管理員要求訪問者進行 Kerberos 、 認(rèn)證或 NTLM 所需的特定類型的登錄。 可傳遞域信任：可傳遞信任委托協(xié)議大大減少了在 Windows 域之間進行管理信任關(guān)系的數(shù)量。 這張示意圖很好的總結(jié)了目錄服務(wù)用戶端和管理端兩方面的功能 活動目錄的 優(yōu)勢 完全集成到 Windows Server 服務(wù)器版中的活動目錄為網(wǎng)絡(luò)管理員、開發(fā)者和用戶提供了訪問目錄服務(wù)的能力，這樣可以： ? 簡化管理任務(wù) 集中管理： 活動目錄通過單一、穩(wěn)定 的管理界面集中管理 Windows 用戶、客戶端和服務(wù)器，以減少冗余、降低維護成本。所有的小組策略設(shè) 置都包含在組策略對象（ Group Policy Object ，簡稱 GPO ）中，它可以應(yīng)用與活動目錄站點、域或組織單元中。 DNS 記錄也可以集成到目錄中，隨