【正文】 在現(xiàn)有眾多的均衡服務器負載的方法中，廣泛研究并使用的是以下兩個方法：DNS負載平衡的方法RRDNS(RoundRobin Domain Name System) 負載均衡器DNS輪流排程 RRDNS(RoundRobin Domain Name System)域名服務器（Domain Name Server）中的數(shù)據(jù)文件將主機名字映射到其IP地址。對于一個特定的請求，如果所申請的服務器不能進行處理的話，那么其他的服務器能不能對之進行有效的處理呢？對于一個高效的系統(tǒng)，如果一個Web服務器失敗的話，其他的服務器可以馬上取代它的位置，對所申請的請求進行處理，而且這一過程對用戶來說，要盡可能的透明，使用戶察覺不到！穩(wěn)定性決定了應用程序能否支持不斷增長的用戶請求數(shù)量，它是應用程序自身的一種能力。從而實現(xiàn)了更高的有效性和穩(wěn)定性，而這也正是基于Web的企業(yè)應用所必須具備的特性。web應用服務器集群系統(tǒng)，是由一群同時運行同一個web應用的服務器組成的集群系統(tǒng)，在外界看來，就像是一個服務器一樣。此外，Web應用程序可以使用URL授權——以及授權管理器（Authorization Manager）——對用戶的訪問加以控制。所有的ASP內置功能都使用低權限賬戶（匿名用戶）在系統(tǒng)中運行。這種做法可以防止某些人調用一些不夠安全的動態(tài)頁面。Web服務擴展列表默認情況下的IIS安裝不會編譯、執(zhí)行或者提交任何動態(tài)頁面。IIS ，并僅僅能夠為用戶提供靜態(tài)內容。 功能特性描述鎖定服務器IIS 。更高的安全性IIS 4x 或 IIS 5x安全，它擁有很多新的功能特性，能夠大大提高您的Web基礎結構的安全性。IIS 。過去，HTTP協(xié)議的非Unicode結構將開發(fā)人員限制在系統(tǒng)代碼頁上。通過使用Web服務，企業(yè)可以將編程接口暴露給他們的數(shù)據(jù)或業(yè)務邏輯，也可以通過客戶端和服務器應用程序獲得和操縱這些數(shù)據(jù)和業(yè)務邏輯。XML Web 服務IIS Web服務平臺。 .NET、JScript174。包括： Microsoft Visual C++174。此外，它還可以幫助他們開發(fā)與他們目前正在設計和開發(fā)的應用程序完全相同的程序。在Windows Server 2003中， Framework的得到了進一步優(yōu)化，因為用來處理請求的體系架構與IIS 。功能特性描述，Windows Server 2003提供了更為美妙的開發(fā)體驗。處理器關聯(lián)還可以和運行在多處理器計算機之上的Web園配合使用，在這些計算機上，CPU群集專門共指定的應用程序池使用。Web園IIS ，這種配置又被稱作Web園（Web garden）。所有這些改進都使得IIS .新的內核模式驅動程序，Windows Server 2003引入了一種新的內核模式驅動程序，即HTTP協(xié)議堆棧（），并使用它進行HTTP的解析和緩存，從而大大提高了系統(tǒng)的伸縮性和性能表現(xiàn)。通過運行IIS ，您可以在單臺服務器上管理更多的站點和并發(fā)執(zhí)行更多的工作進程。功能特性描述站點伸縮性IIS 。 Service Interfaces（ADSI），可以在管理腳本中使用，并且可以用來修改基于XML的配置元數(shù)據(jù)庫。對WMI的支持IIS Management Instrumentation（Windows管理規(guī)范，WMI）， Web管理員可以通過它獲取重要的企業(yè)管理數(shù)據(jù)，例如性能計數(shù)器和配置文件。利用一個簡單的命令，管理員即可管理多個本地或遠程計算機。例如，管理員可以使用該特性添加一個新的站點，創(chuàng)建虛擬目錄，或者修改應用程序池和工作進程的配置——所有這些都是在IIS ，并且無需進行重新編譯或者重新啟動服務器。使用常見的文本編輯工具對其進行直接編輯提供了更為出色的可管理性。功能特性描述基于XML的配置文件IIS （metabase）為發(fā)生故障的服務器帶來了經(jīng)過改進的備份和恢復功能。快速故障保護可以保護Web服務器免遭拒絕服務攻擊?？焖俚墓收媳Ｗo如果某個應用程序在短時間內頻繁發(fā)生故障，IIS ，并且向所有新發(fā)出和排入隊列的針對該應用程序的請求返回一個“503服務不可用”錯誤信息。自動進程回收IIS ——例如CPU利用率和內存占用情況，自動停止和重新啟動發(fā)生故障的Web站點和應用程序，同時將請求放入隊列。健康狀況監(jiān)視IIS ，并自動重新啟動應用程序池中發(fā)生故障的Web站點或應用程序，從而提高了應用程序的可用性。功能特性描述容錯進程架構IIS （又稱應用程序池）。Web服務器更高的可靠性和可用性IIS ，以提高Web服務器的可靠性和可用性。IIS ，改善了對XML元數(shù)據(jù)庫（metabase）的管理，并且提供了新的命令行工具。IIS ，從而減少了暴露在攻擊者面前的攻擊表面積。基于IIS ，Windows Server 2003為開發(fā)者提供高標準的附加功能，包括快速應用程序開發(fā)以及廣泛的語言選擇，同時也提供了國際化支持和支持最新的Web標準。服務器合并還可以降低企業(yè)與人工、硬件以及站點管理相關的成本。服務器合并IIS ，它為Web服務器的合并提供了新的機遇。另外，增強了在安全方面的認證和授權。更安全、易于管理IIS 。特點描述可靠性與可伸縮性IIS 、更可靠的Web服務器環(huán)境，新的環(huán)境包括應用程序健康監(jiān)測、應用程序自動地循環(huán)利用。IIS 。IIS 。各個子公司的系統(tǒng)管理員可以獨立的管理子公司的域，并可以在以后修改和編輯組策略，以適應公司未來的需求。216。216。 防火墻功能：ISA服務器位于企業(yè)網(wǎng)絡和外網(wǎng)之間，采用三網(wǎng)卡分別連接內網(wǎng)和外網(wǎng)和DZM區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內容規(guī)則來限制用戶能夠訪問的網(wǎng)站216。集團中所有的客戶端做為ISA的客戶端，所有的互聯(lián)網(wǎng)的訪問均通過ISA服務器轉發(fā)，這樣，就可以在ISA服務器上對所有網(wǎng)絡流量進行監(jiān)控并對實現(xiàn)網(wǎng)絡訪問的過濾。具體的設計方案如下：216。其次，在方案設計中，充分應用Window系統(tǒng)提供的組策略功能，利用組策略，可以在每個公司的域中設計安全策略。在本域內的權限的分配，可以使用AGDLP策略，在域間的權限分配，使得AGDLP策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權限分配簡單，也可以減少域間的復制流量，從而提高系統(tǒng)的性能。 組的管理為了滿足集團用戶管理的需求，更好的在網(wǎng)絡中管理用戶權限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用AGDLP策略及AGUDLP策略。用戶帳戶在所屬的部門的OU中創(chuàng)建。216。 OU的設計集團的OU設計目的是為了使用用戶管理更有效率，結構更加清晰，并能夠使系統(tǒng)的管理結構與集團的商業(yè)模型相匹配。 在系統(tǒng)設計時包括三個部分，分別是OU，用戶及組的設計，為了更好的滿足集團的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結構與集團的管理結構相匹配，方案中采用了如下所述的設計。 操作主機分配：操作主機域中扮演著重要的角色，直接影響到域是否能夠正常工作，在Windows2003的域中，一共有五種操作主機，分別是構架主機，域名主機，RID主機，PDC仿真器，結構主機。即使域中的一臺域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運行。采用這種結構，可以將網(wǎng)絡中的全部資源，分散到每個域的域控制器中存儲，減少了每臺域控制器的信息存儲，從而減少復制流量和網(wǎng)絡對象的查詢時間。本方案采用Windows系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲網(wǎng)絡對象，并且管理簡單，即實現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。 合理的用戶管理：所有的用戶采用統(tǒng)一的命名規(guī)則，每個單位對本單位員工帳戶進行獨立的管理，并按不同部門管理賬號。 簡單的設計：在保障滿足需求的前提下，設計方案應簡單為佳，避免由于復雜的設計增加工程實施難度和增加集團系統(tǒng)管理的復雜性?？偛抗芾韱T對集團所有系統(tǒng)有管理權限。使管理員在任何一個位置均能對服務器進行維護和管理。總部管理員有權管理各個子公司的系統(tǒng)216。 清晰的邏輯結構：要求集團范圍內的系統(tǒng)管理結構清晰，層次分明，能夠充分的與集團的管理結構相吻合。系統(tǒng)建立完成后，要求能滿足企業(yè)個方面的應用需求，包括辦公自動化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等。同時需要建立WEB服務器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。 ⑹ 因特網(wǎng)的接入安全控制 因特網(wǎng)的接入安全控制是非常重要的，不僅需要布置防火墻等安全設備，還要指定嚴格的安全策略。只有用戶使用申請通過批準之后網(wǎng)絡管理員才能將端口激活。 ⑷ 園區(qū)用戶的接入控制 因為一般的安全措施都不是針對網(wǎng)絡呢的用戶的，嚴格控制用戶的接入，可以避免非法用戶接入帶來的潛在的安全隱患。保證了局域網(wǎng)的運行安全，可以避免因為VLAN被錯誤或者惡意的增加。 設置了口令之后，除非交換機設置了正確的口令，否則?？诹罟芾碇贫劝诹畹脑O置，保管，更改，口令的強度等內容。 要為所有的設備設置口令。通過將設備安置在獨立的設備間中，并增加門禁系統(tǒng)，確保只有授權的管理和維護人員才能接觸到物理設備。 因特網(wǎng)的接入安全控制 ⑴ 提高設備的物理安全性 設備的物理安全性是指運行中的設備，未經(jīng)授權的人員不能直接接觸到。 園區(qū)網(wǎng)用戶的接入控制216。 配置設備的口令216。 通過以下幾個技術方面的實施，可以在一定程度上保障網(wǎng)絡的安全：216。其次，必須具有一定的技術手段來保障網(wǎng)絡的安全。 一個網(wǎng)絡的安全，首先要有嚴格和有效執(zhí)行的管理制度。 旭日集團園區(qū)網(wǎng)有5000用戶，網(wǎng)絡規(guī)模比較大，并且和因特網(wǎng)存在連接。 ⑼ VPNCisco6509系列以太網(wǎng)路由交換機支持VPN,VPN（虛擬專網(wǎng)）是利用公共網(wǎng)絡資源(如公用電信網(wǎng))為客戶組建專用網(wǎng)的一種技術，它通過對網(wǎng)絡數(shù)據(jù)進行封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)，達到私有網(wǎng)絡的安全級別，從而利用公網(wǎng)構筑專網(wǎng)（即VPN）。策略路由是設置在接收報文接口而不是發(fā)送接口。策略路由（PolicyBased Routing，簡稱PBR）是目前越來越多的路由器或三層交換機設備正在支持的一項路由擴展功能，支持策略路由的設備不僅能以報文的目的IP地址為依據(jù)來進行路由選擇，還可以以報文的源IP地址、源MAC地址、報文大小、報文進入的端口、報文類型、報文的VLAN屬性等等其它擴展條件來選擇路由。通過數(shù)據(jù)流的目的IP地址和源IP地址進行計算，Cisco6509系列以太網(wǎng)路由交換機可以保證同一個IP轉發(fā)流都從同一個路由路徑被轉發(fā)出去，從而保證了整個端到端網(wǎng)絡的路由報文轉發(fā)的有序性，避免了TCP全局同步等問題的發(fā)生。 Cisco6509系列以太網(wǎng)路由交換機最大支持4條等價路由，并且不論RIP、OSPF等路由協(xié)議產(chǎn)生的路由，還是靜態(tài)配置路由，不論是網(wǎng)段路由還是主機路由，甚至缺省路由，都可以支持等價路由。以前部分路由交換機雖然也宣稱支持等價路由，但實際上只是從軟件上支持，對軟件轉發(fā)的報文可以使用等價路由，但對于由硬件直接轉發(fā)的報文，則只能從一條固定路徑轉發(fā)。等價路由即為到達同一個目的IP或者目的網(wǎng)段存在多條Cost值相等的不同路由路徑，當設備支持等價路由時，發(fā)往該目的IP或者目的網(wǎng)段的三層轉發(fā)流量就可以通過不同的路徑分擔，實現(xiàn)網(wǎng)絡的負載均衡，并在其中某些路徑出現(xiàn)故障時，由其它路徑代替完成轉發(fā)處理，實現(xiàn)路由冗余備份功能。并且主用的匯聚層交換機配置占先權。3．熱備份地址：熱備份地址是子網(wǎng)的最后一個可用地址。在成對的兩臺匯聚層多層交換機上，具體的HSRP配置規(guī)范如下：1． 接口的IP地址：在第一臺多層交換機上，某個VLAN虛擬接口的IP地址是子網(wǎng)的最后第三個可用地址，在第二臺多層交換機上，某個VLAN虛擬接口的IP地址是子網(wǎng)的最后第二個可用地址。旭日集團園區(qū)網(wǎng)的IP地址規(guī)范中規(guī)定：網(wǎng)關的地址統(tǒng)一使用子網(wǎng)的最后一個可用地址。通過使用熱備份路由份協(xié)議（HSRP），可使網(wǎng)絡對最終用戶的可用性得到充分的保證。HSRP向主機提供了缺省網(wǎng)關的冗余性，減少了主機維護路由表的任務。如果新地址是在聚合的端口上時，根據(jù)二層和三層的不同，使用MAC地址或IP地址進行邏輯計算，根據(jù)邏輯的結果選擇相應端口為轉發(fā)端口，發(fā)往該目的地址的幀將按照計算負載均衡后的結果進行轉發(fā)，實現(xiàn)端口之間負載均衡和冗余保護，保證數(shù)據(jù)流不出現(xiàn)亂序現(xiàn)象。即使是多播和廣播報文也不會被復制多份，也要通過對地址的邏輯計算，將流量平衡分配到不同的端口上。在作了鏈路聚合的端口之間可以做冗余備份和負載分擔。 ⑸ 鏈路聚合（Link Aggregation ） 為了在以太網(wǎng)上獲得更高的數(shù)據(jù)傳輸帶寬，Cisco6509系列以太網(wǎng)交換機提供了二層的端口鏈路聚合功能（基于標準IEEE ）。這就可以起到均衡網(wǎng)絡流量，提高可靠性的作用。 （MSTP）可以通過支持一個網(wǎng)絡內的多個生成樹，這使管理員可以把VLAN流量分配給唯一的通路?？焖偕蓸鋮f(xié)議是生成樹協(xié)議的改進，在原有功能的基礎上提高了網(wǎng)絡保護的性能。 生成樹協(xié)議的工作原理：網(wǎng)絡中的橋接設備根據(jù)設定的優(yōu)先值和MAC地址，確定最優(yōu)先的設備為網(wǎng)絡的根橋，根橋向外定時發(fā)送Config BPDU報文，每個收到該報文的交換機將報文內容根據(jù)自身的配置和所掌握的網(wǎng)絡拓撲結構進行更新下發(fā)到其他端口，當一個交換機從兩個或兩個以上端口接收到Config BPDU的時候就表明網(wǎng)絡中存在循環(huán)，保留其中一個端口為轉發(fā)狀態(tài)，設置其余端口為阻塞狀態(tài)。 ⑷ 生成樹（STP/RSTP/MSTP） Cisco6509系列以太網(wǎng)交換機支持STP/RSTP/MSTP生成樹協(xié)議。如圖：07811121314171821 2231集團標識子公司標識預留應用類1VLA