【正文】
用單獨的交換機端口在 兩臺 2750 之間 )之間通過。這樣如果存在更多的 VLAN 就需要占用更多的交換機端口,無疑這種解決方式是需要耗費大量交換機端口資源的。也就是說這種解決方案擴展性很差。 如下圖所示, VLAN1 和 VLAN2 通過 兩臺 3750 之間 的一對交換機端口,通過 VLAN TRUNK 技術( ),不同的 VLAN 通過不同的標識來區(qū)分,也就是說,在入口交換機(譬如 下面的 3750)上給 VLAN 打上標記,不同的 VLAN通過一對交換機端口的一條鏈路到達出口(譬如 上面的 3750)交換機時,在 上華南資訊科技有限公司 報社 網絡改造 25 面的 3750 交換機上區(qū)分出不同的 VLAN(通 過標識),這種解決方案可以有效的利用交換機的寶貴的端口資源,節(jié)約投資,同樣達到系統(tǒng)要求的效果。 在本網絡系統(tǒng)的主干方案中, 上面的 3750 交換機 和 下面的交換機 之間通過兩條千兆以太網線路相連,也就是 兩臺交換機 都提供兩對端口用于相互之間的高速連接,這樣在兩條鏈路上通過 VLAN TRUNK 技術使用每一條鏈路同時運送VLAN1 和 VLAN2 或者更多的 VLAN,同時在交換機上通過 GEC 技術捆綁兩條物理端口,可以為運送提供更高的帶寬,同時可以做到負載均衡。如下圖: 華南資訊科技有限公司 報社 網絡改造 26 如下圖,在本系統(tǒng)網絡解決方案中,如果兩臺交換機 之間的兩條鏈路其中一路失效,通過 STP(生成樹)技術和 TRUNK 技術可以使網絡運送和負載轉到另外一路良好的鏈路上,可以避免一路失效帶來的網絡癱瘓。線路能夠做到冗余。 從以上對設備和技術的描述可以看出,本系統(tǒng)提出的解決方案和采用的設備技術和支持的協(xié)議,完全可以作到對網絡傳送速率的良好保證,同時可以有效的華南資訊科技有限公司 報社 網絡改造 27 在交換機之間建立 VLAN 和傳送 VLAN,而且可以作到鏈路的冗余,同時可以作到負載均衡。充分了保護了投資和利用了設備和技術,充分體現(xiàn)了可靠、可用、高效和安全的網絡解決方案的特點。 地址翻譯 NAT 為了彌補 IP 地址的不足,大多數網絡的 IP 地址分為兩部分:一是具有全球連通性的 IP 地址 公網地址;二是只能在企業(yè)內部用的 IP 地址 私有地址。具有公網 IP 地址主機或路由器可以和 INTERNET 網上的任何節(jié)點相連。其地址是全球唯一的。具有私有地址的主機和路由器只能在企業(yè)內部通信,其地址僅在企業(yè)內部是唯一的。用這種地址是不可以訪問 INTERNET 的。 業(yè)界提出了一種技術,使企業(yè)可以從私有地址遷移到全球地址空間,這種技術就是網絡地址的轉換( NAT)。 NAT 技術使專用網絡能夠連接到 INTERNET 網上。 NAT 路由器或 Web 交換機放置在域的邊界上,在向 INTERENT 網上發(fā)送數據包之前,它把私有地址轉換為 INTERNET 上的公網地址。如下圖所示,企業(yè)內部有一主機,其 IP 地址為,該主機要訪問 INTERNET 上的節(jié)點 ,當 IP 數據包到達邊界路由器時,路由器將 IP 地址轉為公網的 ,然后再送往目的地。 I n t e r n a l E x t e r n a l1 0 . 0 . 0 . 11 0 . 0 . 0 . 21 9 2 . 6 9 . 1 . 1I n t e r n e tI n t e r n a l L o c a l I PA d d r e s s a n d P o r tE x t e r n a l L o c a l I PA d d r e s s a n d P o r t1 9 2 . 6 9 . 1 . 1 : 2 0 0 0N e t w o r k A d d r e s s T r a n s l a t i o n T a b l e1 0 . 0 . 0 . 1 : 1 0 2 4O u t s i d eD e s t i n a t i o n I PA d d r e s s a n d P o r t2 0 4 . 1 0 . 1 0 . 1 0 : 8 01 9 2 . 6 9 . 1 . 1 : 2 0 0 11 0 . 0 . 0 . 2 : 1 0 2 3 1 3 1 . 1 0 8 . 9 9 . 1 : 8 0 NAT 技術不單只可以用在公網與私網之間的 IP 地址轉換,還可以用在不同網段之間的轉換,如果日報社用戶內網想自己規(guī)劃 B 類地址(在不影響應用的情況下),而合作伙伴( A 類地址)想訪問內網資源,就可以通過 NAT 技術來實現(xiàn),這樣做可以隱藏內網 IP 以保護內網資源。 華南資訊科技有限公司 報社 網絡改造 28 網絡管理的設計 華南資訊科技有限公司 報社 網絡改造 29 第三章 網絡安全解決方案 活動目錄 的設計 活動目錄的設計 目錄服務的一個重大發(fā)展趨勢是跨平臺發(fā)展和跨應用發(fā)展。異構網絡操作系統(tǒng)采用同構的目錄服務即網絡資源管理服務。未來的多種網絡系統(tǒng)可能采用同一種事實標準的目錄服務作為操作系統(tǒng)本身資源管理或是附加的資源管理。 異構形式的網絡應用 , 如 Email、數據庫服務、 Inter/Intra 訪問等 ,采用同構的目錄服 務。多種應用共享一套資源信息 , 避免了管理上的重復操作和多系統(tǒng)間的不協(xié)調 , 提高了應用系統(tǒng)的身份驗證安全等級。降低了管理的復雜度 , 也方便了用戶的使用。 活動目錄是 Windows Server 網絡體系結構中一個基本且不可分割的部分。它提供了一套為分布式網絡環(huán)境設計的目錄服務,使得組織機構可以有效地對有關網絡資源和用戶的信息進行共享和管理。另外,目錄服務在網絡安全方面也扮演著中心授權機構的角色,從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網絡資源的訪問。 目錄服務的主要功能 , 如下圖所示: 華南資訊科技有限公司 報社 網絡改造 30 目錄服務既是管理工具又是終端用戶工具。當網絡中對象的數目增加時,目錄服務變得很重要。目錄服務是一個大的分布系統(tǒng)的轉換中心。 Windows Server 活動目錄的優(yōu)點 Windows Server 活動目錄產品融合了一些新的技術特點,使我們有理由相信我們推薦的企業(yè)網目錄管理服務方案最能適合企業(yè)的應用,這些特點包括: ? DNS 集成 活動目錄使用域名系統(tǒng)( Domain Name System ,簡稱 DNS )。這使得運行在 TCP/IP 網絡上的計算機可以識別和連接另一臺計算機。 DNS 域和 Windows Server 的域自然而有機的結合在一起,使得整個目錄結構成樹型分布,具有了 DNS 的層次感覺,也使得 Windows Server 系統(tǒng)能夠支撐龐大的目錄結構,是的目錄對象涵蓋了整個網絡元素:用戶,計算機,打印機,共享文件夾,應用程序,管理策略等。 ? 目錄定位服務 通過 DNS 服務中的 Service Resource Record ( SRV RR )記錄 公布提供華南資訊科技有限公司 報社 網絡改造 31 目錄服務的服務器地址, SRV RR 中的附加信息指出了服務器的優(yōu)先權及重要度,使得客戶可以選擇他們所需要的最好的服務器。 DNS 記錄也可以集成到目錄中,隨著目錄復制而達到 DNS 復制的目的。 ? 全局唯一的用戶名 在域內一個用戶對象只能有一個用戶主名,而這個用戶名是可以用username@domainname 表示的,就好比一個用戶的 mail 地址一樣。正是具有了這個特性,才能夠實現(xiàn)在企業(yè)內只要一套用戶認證系統(tǒng)就可以實現(xiàn)所有應用系統(tǒng)的單一認證問題。 ? 可擴展性 活動目錄是可擴展的,就是說管 理員可以向模式中添加新的對象類,也可以向已經存在的對象類添加新的屬性。模式包括每一個對象類和對象類屬性的定義,它們可以存儲在目錄中。例如,可以向用戶對象添加購買機構屬性,然后可以將用戶的購買機構范圍做為用戶帳號的一部分進行存儲。 ? 靈活的查詢 用戶和管理員可以使用 開始 菜單上的 查詢 命令、桌面上的 我的網絡 圖標或者 活動目錄用戶和計算機連接 插件來根據對象的屬性快速的查找網絡上的對象。 ? 基于策略的管理 組策略是在初始化時對計算機或者用戶進行的配置。所有的小組策略設 置都包含在組策略對象( Group Policy Object ,簡稱 GPO )中,它可以應用與活動目錄站點、域或組織單元中。 GPO 設置確定對目錄對象和域資源的訪問、哪些資源域是用戶可以訪問的以及這些資源域應該如何使用。 在利用企業(yè)網的目錄管理服務提供單一的用戶身份驗證方面,總的來說,存在兩方面的應用連接方式: C/S 應用的連接方式 WEB 應用的連接方式 其中, WEB 應用的連接方式 比較統(tǒng)一,解決方法也比較成熟,而 C/S 應用的連接方式就比較復雜,需要根據特定的應用具體分析,舉例來說, Domino/Notes 系統(tǒng)就是典型的 C/S 應用。 在綜合了所有解決方案之后,通過對安全性,用戶使用的方便性,管理要求,華南資訊科技有限公司 報社 網絡改造 32 實現(xiàn)技術的成熟性幾方面的比較,最后推薦使用登錄信息代理方式解決單一用戶登錄,統(tǒng)一認證 (SSO)的問題。 這種方式的實現(xiàn)原理是:應用的登錄信息存儲在目錄數據庫( AD )中,通過 AD 的用戶認證得到保護。在應用系統(tǒng)登錄時從 AD 中獲得相關信息進行登錄。這個過程通過 SSO 插件透明進行,從而實現(xiàn) SSO 。 活動目錄組成結構 企業(yè)網目錄管理服務的產品構成比較簡單: Windows Server+Active Directory ( 活動目錄 )+ 適當的集成認證客戶端插件。 這張示意圖很好的總結了目錄服務用戶端和管理端兩方面的功能 活動目錄的 優(yōu)勢 完全集成到 Windows Server 服務器版中的活動目錄為網絡管理員、開發(fā)者和用戶提供了訪問目錄服務的能力,這樣可以: ? 簡化管理任務 集中管理: 活動目錄通過單一、穩(wěn)定 的管理界面集中管理 Windows 用戶、客戶端和服務器,以減少冗余、降低維護成本。 組策略: 組策略使管理員能夠定義并控制對由組織內部的計算機和用戶組成的群組進行管理的策略。管理員能夠為在活動目錄中的任一站點、域或組織單元設定組策略。組策略一經設定,系統(tǒng)就將對其自行加以維護,而不需更多的干預。 華南資訊科技有限公司 報社 網絡改造 33 全局目錄: 全局目錄包括來自 Windows Server 服務器目錄中所有域的全部對象,以及每個對象屬性的子集。為獲得良好的效果,全局目錄允許用戶根據選定的屬性進行搜索,以便輕而易舉地發(fā)現(xiàn)要找的對象,而無須考慮該對 象處于目錄結構的什么位置。 自動化軟件分發(fā): 通過活動目錄特性,管理員能夠針對用戶在公司中角色為他們自動分發(fā)應用程序 授權管理: Windows Server 使管理員能夠將一套特定的管理優(yōu)限授予公司中的適當人員,并為他們指定在目錄中不同對象集合和對象個體之上享有的特定權力。 ? 加強網絡安全性 Kerberos 驗證: 對 Kerberos 5 協(xié)議的全面支持為基于 Windows Server 的資源及其它支持該協(xié)議的環(huán)境提供了快速、單一的登錄。 可傳遞域信任:可傳遞信任委托協(xié)議大大減少了在 Windows 域之間進行管理信任關系的數量。 SSL 上的 LDAP: 支持在安全套接字協(xié)議層 (SSL) 之上的 LDAP ,安全套接字協(xié)議層是為 extra 和電子商務應用程序進行安全性目錄事務而設計的。 必需的驗證機制: 允許管理員要求訪問者進行 Kerberos 、 認證或 NTLM 所需的特定類型的登錄。 ? 提高互操性 活動目錄連接器( ADC): ADC 提供目錄同步和導入 / 導出工具。它使管理員能夠在 Microsoft Exchange Server 目錄與活動目錄間復制目錄對象的層次。 開放的應用程序接口: 通過 LDAP、