【正文】 在現(xiàn)有眾多的均衡服務(wù)器負(fù)載的方法中，廣泛研究并使用的是以下兩個(gè)方法：DNS負(fù)載平衡的方法RRDNS(RoundRobin Domain Name System) 負(fù)載均衡器DNS輪流排程 RRDNS(RoundRobin Domain Name System)域名服務(wù)器（Domain Name Server）中的數(shù)據(jù)文件將主機(jī)名字映射到其IP地址。對于一個(gè)特定的請求，如果所申請的服務(wù)器不能進(jìn)行處理的話，那么其他的服務(wù)器能不能對之進(jìn)行有效的處理呢？對于一個(gè)高效的系統(tǒng)，如果一個(gè)Web服務(wù)器失敗的話，其他的服務(wù)器可以馬上取代它的位置，對所申請的請求進(jìn)行處理，而且這一過程對用戶來說，要盡可能的透明，使用戶察覺不到！穩(wěn)定性決定了應(yīng)用程序能否支持不斷增長的用戶請求數(shù)量，它是應(yīng)用程序自身的一種能力。從而實(shí)現(xiàn)了更高的有效性和穩(wěn)定性，而這也正是基于Web的企業(yè)應(yīng)用所必須具備的特性。web應(yīng)用服務(wù)器集群系統(tǒng)，是由一群同時(shí)運(yùn)行同一個(gè)web應(yīng)用的服務(wù)器組成的集群系統(tǒng)，在外界看來，就像是一個(gè)服務(wù)器一樣。此外，Web應(yīng)用程序可以使用URL授權(quán)——以及授權(quán)管理器（Authorization Manager）——對用戶的訪問加以控制。所有的ASP內(nèi)置功能都使用低權(quán)限賬戶（匿名用戶）在系統(tǒng)中運(yùn)行。這種做法可以防止某些人調(diào)用一些不夠安全的動(dòng)態(tài)頁面。Web服務(wù)擴(kuò)展列表默認(rèn)情況下的IIS安裝不會(huì)編譯、執(zhí)行或者提交任何動(dòng)態(tài)頁面。IIS ，并僅僅能夠?yàn)橛脩籼峁╈o態(tài)內(nèi)容。 功能特性描述鎖定服務(wù)器IIS 。更高的安全性IIS 4x 或 IIS 5x安全，它擁有很多新的功能特性，能夠大大提高您的Web基礎(chǔ)結(jié)構(gòu)的安全性。IIS 。過去，HTTP協(xié)議的非Unicode結(jié)構(gòu)將開發(fā)人員限制在系統(tǒng)代碼頁上。通過使用Web服務(wù)，企業(yè)可以將編程接口暴露給他們的數(shù)據(jù)或業(yè)務(wù)邏輯，也可以通過客戶端和服務(wù)器應(yīng)用程序獲得和操縱這些數(shù)據(jù)和業(yè)務(wù)邏輯。XML Web 服務(wù)IIS Web服務(wù)平臺(tái)。 .NET、JScript174。包括： Microsoft Visual C++174。此外，它還可以幫助他們開發(fā)與他們目前正在設(shè)計(jì)和開發(fā)的應(yīng)用程序完全相同的程序。在Windows Server 2003中， Framework的得到了進(jìn)一步優(yōu)化，因?yàn)橛脕硖幚碚埱蟮捏w系架構(gòu)與IIS 。功能特性描述，Windows Server 2003提供了更為美妙的開發(fā)體驗(yàn)。處理器關(guān)聯(lián)還可以和運(yùn)行在多處理器計(jì)算機(jī)之上的Web園配合使用，在這些計(jì)算機(jī)上，CPU群集專門共指定的應(yīng)用程序池使用。Web園IIS ，這種配置又被稱作Web園（Web garden）。所有這些改進(jìn)都使得IIS .新的內(nèi)核模式驅(qū)動(dòng)程序，Windows Server 2003引入了一種新的內(nèi)核模式驅(qū)動(dòng)程序，即HTTP協(xié)議堆棧（），并使用它進(jìn)行HTTP的解析和緩存，從而大大提高了系統(tǒng)的伸縮性和性能表現(xiàn)。通過運(yùn)行IIS ，您可以在單臺(tái)服務(wù)器上管理更多的站點(diǎn)和并發(fā)執(zhí)行更多的工作進(jìn)程。功能特性描述站點(diǎn)伸縮性IIS 。 Service Interfaces（ADSI），可以在管理腳本中使用，并且可以用來修改基于XML的配置元數(shù)據(jù)庫。對WMI的支持IIS Management Instrumentation（Windows管理規(guī)范，WMI）， Web管理員可以通過它獲取重要的企業(yè)管理數(shù)據(jù)，例如性能計(jì)數(shù)器和配置文件。利用一個(gè)簡單的命令，管理員即可管理多個(gè)本地或遠(yuǎn)程計(jì)算機(jī)。例如，管理員可以使用該特性添加一個(gè)新的站點(diǎn)，創(chuàng)建虛擬目錄，或者修改應(yīng)用程序池和工作進(jìn)程的配置——所有這些都是在IIS ，并且無需進(jìn)行重新編譯或者重新啟動(dòng)服務(wù)器。使用常見的文本編輯工具對其進(jìn)行直接編輯提供了更為出色的可管理性。功能特性描述基于XML的配置文件IIS （metabase）為發(fā)生故障的服務(wù)器帶來了經(jīng)過改進(jìn)的備份和恢復(fù)功能?？焖俟收媳Ｗo(hù)可以保護(hù)Web服務(wù)器免遭拒絕服務(wù)攻擊?？焖俚墓收媳Ｗo(hù)如果某個(gè)應(yīng)用程序在短時(shí)間內(nèi)頻繁發(fā)生故障，IIS ，并且向所有新發(fā)出和排入隊(duì)列的針對該應(yīng)用程序的請求返回一個(gè)“503服務(wù)不可用”錯(cuò)誤信息。自動(dòng)進(jìn)程回收IIS ——例如CPU利用率和內(nèi)存占用情況，自動(dòng)停止和重新啟動(dòng)發(fā)生故障的Web站點(diǎn)和應(yīng)用程序，同時(shí)將請求放入隊(duì)列。健康狀況監(jiān)視IIS ，并自動(dòng)重新啟動(dòng)應(yīng)用程序池中發(fā)生故障的Web站點(diǎn)或應(yīng)用程序，從而提高了應(yīng)用程序的可用性。功能特性描述容錯(cuò)進(jìn)程架構(gòu)IIS （又稱應(yīng)用程序池）。Web服務(wù)器更高的可靠性和可用性IIS ，以提高Web服務(wù)器的可靠性和可用性。IIS ，改善了對XML元數(shù)據(jù)庫（metabase）的管理，并且提供了新的命令行工具。IIS ，從而減少了暴露在攻擊者面前的攻擊表面積?；贗IS ，Windows Server 2003為開發(fā)者提供高標(biāo)準(zhǔn)的附加功能，包括快速應(yīng)用程序開發(fā)以及廣泛的語言選擇，同時(shí)也提供了國際化支持和支持最新的Web標(biāo)準(zhǔn)。服務(wù)器合并還可以降低企業(yè)與人工、硬件以及站點(diǎn)管理相關(guān)的成本。服務(wù)器合并IIS ，它為Web服務(wù)器的合并提供了新的機(jī)遇。另外，增強(qiáng)了在安全方面的認(rèn)證和授權(quán)。更安全、易于管理IIS 。特點(diǎn)描述可靠性與可伸縮性IIS 、更可靠的Web服務(wù)器環(huán)境，新的環(huán)境包括應(yīng)用程序健康監(jiān)測、應(yīng)用程序自動(dòng)地循環(huán)利用。IIS 。IIS 。各個(gè)子公司的系統(tǒng)管理員可以獨(dú)立的管理子公司的域，并可以在以后修改和編輯組策略，以適應(yīng)公司未來的需求。216。216。 防火墻功能：ISA服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和DZM區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內(nèi)容規(guī)則來限制用戶能夠訪問的網(wǎng)站216。集團(tuán)中所有的客戶端做為ISA的客戶端，所有的互聯(lián)網(wǎng)的訪問均通過ISA服務(wù)器轉(zhuǎn)發(fā)，這樣，就可以在ISA服務(wù)器上對所有網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并對實(shí)現(xiàn)網(wǎng)絡(luò)訪問的過濾。具體的設(shè)計(jì)方案如下：216。其次，在方案設(shè)計(jì)中，充分應(yīng)用Window系統(tǒng)提供的組策略功能，利用組策略，可以在每個(gè)公司的域中設(shè)計(jì)安全策略。在本域內(nèi)的權(quán)限的分配，可以使用AGDLP策略，在域間的權(quán)限分配，使得AGDLP策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能。 組的管理為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用AGDLP策略及AGUDLP策略。用戶帳戶在所屬的部門的OU中創(chuàng)建。216。 OU的設(shè)計(jì)集團(tuán)的OU設(shè)計(jì)目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。 在系統(tǒng)設(shè)計(jì)時(shí)包括三個(gè)部分，分別是OU，用戶及組的設(shè)計(jì)，為了更好的滿足集團(tuán)的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團(tuán)的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計(jì)。 操作主機(jī)分配：操作主機(jī)域中扮演著重要的角色，直接影響到域是否能夠正常工作，在Windows2003的域中，一共有五種操作主機(jī)，分別是構(gòu)架主機(jī)，域名主機(jī)，RID主機(jī)，PDC仿真器，結(jié)構(gòu)主機(jī)。即使域中的一臺(tái)域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運(yùn)行。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個(gè)域的域控制器中存儲(chǔ)，減少了每臺(tái)域控制器的信息存儲(chǔ)，從而減少復(fù)制流量和網(wǎng)絡(luò)對象的查詢時(shí)間。本方案采用Windows系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲(chǔ)網(wǎng)絡(luò)對象，并且管理簡單，即實(shí)現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。 合理的用戶管理：所有的用戶采用統(tǒng)一的命名規(guī)則，每個(gè)單位對本單位員工帳戶進(jìn)行獨(dú)立的管理，并按不同部門管理賬號(hào)。 簡單的設(shè)計(jì)：在保障滿足需求的前提下，設(shè)計(jì)方案應(yīng)簡單為佳，避免由于復(fù)雜的設(shè)計(jì)增加工程實(shí)施難度和增加集團(tuán)系統(tǒng)管理的復(fù)雜性。總部管理員對集團(tuán)所有系統(tǒng)有管理權(quán)限。使管理員在任何一個(gè)位置均能對服務(wù)器進(jìn)行維護(hù)和管理?？偛抗芾韱T有權(quán)管理各個(gè)子公司的系統(tǒng)216。 清晰的邏輯結(jié)構(gòu)：要求集團(tuán)范圍內(nèi)的系統(tǒng)管理結(jié)構(gòu)清晰，層次分明，能夠充分的與集團(tuán)的管理結(jié)構(gòu)相吻合。系統(tǒng)建立完成后，要求能滿足企業(yè)個(gè)方面的應(yīng)用需求，包括辦公自動(dòng)化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等。同時(shí)需要建立WEB服務(wù)器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。 ⑹ 因特網(wǎng)的接入安全控制 因特網(wǎng)的接入安全控制是非常重要的，不僅需要布置防火墻等安全設(shè)備，還要指定嚴(yán)格的安全策略。只有用戶使用申請通過批準(zhǔn)之后網(wǎng)絡(luò)管理員才能將端口激活。 ⑷ 園區(qū)用戶的接入控制 因?yàn)橐话愕陌踩胧┒疾皇轻槍W(wǎng)絡(luò)呢的用戶的，嚴(yán)格控制用戶的接入，可以避免非法用戶接入帶來的潛在的安全隱患。保證了局域網(wǎng)的運(yùn)行安全，可以避免因?yàn)閂LAN被錯(cuò)誤或者惡意的增加。 設(shè)置了口令之后，除非交換機(jī)設(shè)置了正確的口令，否則?？诹罟芾碇贫劝诹畹脑O(shè)置，保管，更改，口令的強(qiáng)度等內(nèi)容。 要為所有的設(shè)備設(shè)置口令。通過將設(shè)備安置在獨(dú)立的設(shè)備間中，并增加門禁系統(tǒng)，確保只有授權(quán)的管理和維護(hù)人員才能接觸到物理設(shè)備。 因特網(wǎng)的接入安全控制 ⑴ 提高設(shè)備的物理安全性 設(shè)備的物理安全性是指運(yùn)行中的設(shè)備，未經(jīng)授權(quán)的人員不能直接接觸到。 園區(qū)網(wǎng)用戶的接入控制216。 配置設(shè)備的口令216。 通過以下幾個(gè)技術(shù)方面的實(shí)施，可以在一定程度上保障網(wǎng)絡(luò)的安全：216。其次，必須具有一定的技術(shù)手段來保障網(wǎng)絡(luò)的安全。 一個(gè)網(wǎng)絡(luò)的安全，首先要有嚴(yán)格和有效執(zhí)行的管理制度。 旭日集團(tuán)園區(qū)網(wǎng)有5000用戶，網(wǎng)絡(luò)規(guī)模比較大，并且和因特網(wǎng)存在連接。 ⑼ VPNCisco6509系列以太網(wǎng)路由交換機(jī)支持VPN,VPN（虛擬專網(wǎng)）是利用公共網(wǎng)絡(luò)資源(如公用電信網(wǎng))為客戶組建專用網(wǎng)的一種技術(shù)，它通過對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別，從而利用公網(wǎng)構(gòu)筑專網(wǎng)（即VPN）。策略路由是設(shè)置在接收報(bào)文接口而不是發(fā)送接口。策略路由（PolicyBased Routing，簡稱PBR）是目前越來越多的路由器或三層交換機(jī)設(shè)備正在支持的一項(xiàng)路由擴(kuò)展功能，支持策略路由的設(shè)備不僅能以報(bào)文的目的IP地址為依據(jù)來進(jìn)行路由選擇，還可以以報(bào)文的源IP地址、源MAC地址、報(bào)文大小、報(bào)文進(jìn)入的端口、報(bào)文類型、報(bào)文的VLAN屬性等等其它擴(kuò)展條件來選擇路由。通過數(shù)據(jù)流的目的IP地址和源IP地址進(jìn)行計(jì)算，Cisco6509系列以太網(wǎng)路由交換機(jī)可以保證同一個(gè)IP轉(zhuǎn)發(fā)流都從同一個(gè)路由路徑被轉(zhuǎn)發(fā)出去，從而保證了整個(gè)端到端網(wǎng)絡(luò)的路由報(bào)文轉(zhuǎn)發(fā)的有序性，避免了TCP全局同步等問題的發(fā)生。 Cisco6509系列以太網(wǎng)路由交換機(jī)最大支持4條等價(jià)路由，并且不論RIP、OSPF等路由協(xié)議產(chǎn)生的路由，還是靜態(tài)配置路由，不論是網(wǎng)段路由還是主機(jī)路由，甚至缺省路由，都可以支持等價(jià)路由。以前部分路由交換機(jī)雖然也宣稱支持等價(jià)路由，但實(shí)際上只是從軟件上支持，對軟件轉(zhuǎn)發(fā)的報(bào)文可以使用等價(jià)路由，但對于由硬件直接轉(zhuǎn)發(fā)的報(bào)文，則只能從一條固定路徑轉(zhuǎn)發(fā)。等價(jià)路由即為到達(dá)同一個(gè)目的IP或者目的網(wǎng)段存在多條Cost值相等的不同路由路徑，當(dāng)設(shè)備支持等價(jià)路由時(shí)，發(fā)往該目的IP或者目的網(wǎng)段的三層轉(zhuǎn)發(fā)流量就可以通過不同的路徑分擔(dān)，實(shí)現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡，并在其中某些路徑出現(xiàn)故障時(shí)，由其它路徑代替完成轉(zhuǎn)發(fā)處理，實(shí)現(xiàn)路由冗余備份功能。并且主用的匯聚層交換機(jī)配置占先權(quán)。3．熱備份地址：熱備份地址是子網(wǎng)的最后一個(gè)可用地址。在成對的兩臺(tái)匯聚層多層交換機(jī)上，具體的HSRP配置規(guī)范如下：1． 接口的IP地址：在第一臺(tái)多層交換機(jī)上，某個(gè)VLAN虛擬接口的IP地址是子網(wǎng)的最后第三個(gè)可用地址，在第二臺(tái)多層交換機(jī)上，某個(gè)VLAN虛擬接口的IP地址是子網(wǎng)的最后第二個(gè)可用地址。旭日集團(tuán)園區(qū)網(wǎng)的IP地址規(guī)范中規(guī)定：網(wǎng)關(guān)的地址統(tǒng)一使用子網(wǎng)的最后一個(gè)可用地址。通過使用熱備份路由份協(xié)議（HSRP），可使網(wǎng)絡(luò)對最終用戶的可用性得到充分的保證。HSRP向主機(jī)提供了缺省網(wǎng)關(guān)的冗余性，減少了主機(jī)維護(hù)路由表的任務(wù)。如果新地址是在聚合的端口上時(shí)，根據(jù)二層和三層的不同，使用MAC地址或IP地址進(jìn)行邏輯計(jì)算，根據(jù)邏輯的結(jié)果選擇相應(yīng)端口為轉(zhuǎn)發(fā)端口，發(fā)往該目的地址的幀將按照計(jì)算負(fù)載均衡后的結(jié)果進(jìn)行轉(zhuǎn)發(fā)，實(shí)現(xiàn)端口之間負(fù)載均衡和冗余保護(hù)，保證數(shù)據(jù)流不出現(xiàn)亂序現(xiàn)象。即使是多播和廣播報(bào)文也不會(huì)被復(fù)制多份，也要通過對地址的邏輯計(jì)算，將流量平衡分配到不同的端口上。在作了鏈路聚合的端口之間可以做冗余備份和負(fù)載分擔(dān)。 ⑸ 鏈路聚合（Link Aggregation ） 為了在以太網(wǎng)上獲得更高的數(shù)據(jù)傳輸帶寬，Cisco6509系列以太網(wǎng)交換機(jī)提供了二層的端口鏈路聚合功能（基于標(biāo)準(zhǔn)IEEE ）。這就可以起到均衡網(wǎng)絡(luò)流量，提高可靠性的作用。 （MSTP）可以通過支持一個(gè)網(wǎng)絡(luò)內(nèi)的多個(gè)生成樹，這使管理員可以把VLAN流量分配給唯一的通路。快速生成樹協(xié)議是生成樹協(xié)議的改進(jìn)，在原有功能的基礎(chǔ)上提高了網(wǎng)絡(luò)保護(hù)的性能。 生成樹協(xié)議的工作原理：網(wǎng)絡(luò)中的橋接設(shè)備根據(jù)設(shè)定的優(yōu)先值和MAC地址，確定最優(yōu)先的設(shè)備為網(wǎng)絡(luò)的根橋，根橋向外定時(shí)發(fā)送Config BPDU報(bào)文，每個(gè)收到該報(bào)文的交換機(jī)將報(bào)文內(nèi)容根據(jù)自身的配置和所掌握的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行更新下發(fā)到其他端口，當(dāng)一個(gè)交換機(jī)從兩個(gè)或兩個(gè)以上端口接收到Config BPDU的時(shí)候就表明網(wǎng)絡(luò)中存在循環(huán)，保留其中一個(gè)端口為轉(zhuǎn)發(fā)狀態(tài)，設(shè)置其余端口為阻塞狀態(tài)。 ⑷ 生成樹（STP/RSTP/MSTP） Cisco6509系列以太網(wǎng)交換機(jī)支持STP/RSTP/MSTP生成樹協(xié)議。如圖：07811121314171821 2231集團(tuán)標(biāo)識(shí)子公司標(biāo)識(shí)預(yù)留應(yīng)用類1VLA