【正文】 整網(wǎng)絡(luò)拓?fù)洹? 除了支持傳統(tǒng)的生成樹協(xié)議外，Cisco6509系列以太網(wǎng)交換機(jī)還支持IEEE (RSTP)，（MSTP）。傳統(tǒng)生成樹倒換時(shí)間為42s，從發(fā)現(xiàn)鏈路斷裂、數(shù)據(jù)中斷到數(shù)據(jù)恢復(fù)至少需要三十多秒的時(shí)間，而快速生成樹協(xié)議只需6～8秒的時(shí)間就可以將數(shù)據(jù)流切換到備份鏈路上。網(wǎng)絡(luò)管理員只要為VLAN分配獨(dú)立的生成樹拓?fù)?，就可以確保兩個(gè)VLAN都能在網(wǎng)上順暢傳輸。Cisco6509系列以太網(wǎng)交換機(jī)最大可以支持17個(gè)或者33個(gè)STP實(shí)例。這樣在生成樹協(xié)議（STP）和其他二層協(xié)議上看，作了鏈路聚合的所有物理端口被視為同一個(gè)端口。 在實(shí)際應(yīng)用中，進(jìn)行聚合處理的端口等同于一個(gè)端口，任何轉(zhuǎn)發(fā)到聚合的端口上的報(bào)文會(huì)通過對(duì)源、目的地址的邏輯運(yùn)算來分布到聚合的不同端口上。Cisco6509系列以太網(wǎng)交換機(jī)系統(tǒng)在二層和三層對(duì)硬件查表未命中的新地址進(jìn)行監(jiān)控。 ⑹HSRP HSRP是CISCO公司是所特有的。當(dāng)網(wǎng)絡(luò)邊緣設(shè)備或接入電路出現(xiàn)故障時(shí)，HSRP提供了一個(gè)較好的解決方案，它能夠確保用戶通信迅速并透明地恢復(fù)，以此為IP網(wǎng)絡(luò)提供冗余性、容錯(cuò)和增強(qiáng)的路由選擇功能。另外，通過多個(gè)熱備份組，路由器可以提供冗余備份，并在不同的IP子網(wǎng)上實(shí)現(xiàn)負(fù)載分擔(dān)。啟用HSRP協(xié)議之后，這個(gè)地址就是HSRP的虛擬地址。2．熱備份組號(hào)：熱備份組號(hào)與接口的VLAN號(hào)相同。4．熱備份優(yōu)先級(jí)：在主用的多層交換機(jī)了，某個(gè)VLAN虛擬接口的熱備份優(yōu)先級(jí)是120。⑺ 等價(jià)路由（ECMP） 除了從設(shè)備級(jí)支持三層轉(zhuǎn)發(fā)容錯(cuò)協(xié)議VRRP之外，Cisco6509系列以太網(wǎng)路由交換機(jī)還支持等價(jià)路由（ECMP）。 不僅從軟件上，而且從硬件上也支持等價(jià)路由是Cisco6509系列以太網(wǎng)路由交換機(jī)與業(yè)界類似產(chǎn)品相比顯著的優(yōu)點(diǎn)。而Cisco6509系列以太網(wǎng)路由交換機(jī)從硬件上也實(shí)現(xiàn)了等價(jià)路由的支持，真正實(shí)現(xiàn)了硬件三層轉(zhuǎn)發(fā)流量的負(fù)載分擔(dān)與路由冗余備份。 Cisco6509系列以太網(wǎng)路由交換機(jī)在支持等價(jià)路由、實(shí)現(xiàn)負(fù)載均衡的同時(shí)，還能很好地保證報(bào)文的有序性。 ⑻ 策略路由（PBR） Cisco6509系列以太網(wǎng)路由交換機(jī)支持高性能的策略路由。通過合理的路由策略設(shè)計(jì)，可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的負(fù)載均衡，充分利用路由設(shè)備，并實(shí)現(xiàn)路由、交換設(shè)備之間的冗余備份功能，同時(shí)提供各種可以區(qū)分的服務(wù)等級(jí)，為不同用戶提供不同的QoS服務(wù)。Cisco6509系列以太網(wǎng)路由交換機(jī)可以很好地支持策略路由功能，并且可以將路由下一跳重定向到某個(gè)物理端口，或者某個(gè)下一跳IP地址。它是一種邏輯上的專用網(wǎng)絡(luò)，向用戶提供專用網(wǎng)絡(luò)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)。為了保障網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全，保護(hù)集團(tuán)的信息安全，必須進(jìn)行網(wǎng)絡(luò)安全方面的規(guī)劃和實(shí)施。建議旭日集團(tuán)制定嚴(yán)格的網(wǎng)絡(luò)安全管理策略，并有效的執(zhí)行。技術(shù)和管理手段相結(jié)合實(shí)施，才能夠產(chǎn)生良好的效果。 提高設(shè)備的物理安全性216。 進(jìn)行VTP域的認(rèn)證216。 應(yīng)用系統(tǒng)的訪問控制216。提高設(shè)備的物理安全性，是最基本的要求。 ⑵ 配置設(shè)備的口令 配置設(shè)備的口令，是防止非授權(quán)的人員更改網(wǎng)絡(luò)系統(tǒng)的配置的重要手段。要為每一臺(tái)設(shè)備配置CONSOLE口令，AUX口令，VTY口令，特權(quán)口令等 在口令方面，需要制定管理制度并嚴(yán)格執(zhí)行。 ⑶ 進(jìn)行VTP域的認(rèn)證 進(jìn)行VTP域的認(rèn)證，能夠保證局域網(wǎng)的VLAN等的安全。新交換機(jī)不能自動(dòng)加入到已存在的管理域中。刪除造成的運(yùn)行事故。園區(qū)網(wǎng)系統(tǒng)建設(shè)驗(yàn)收完畢之后，確保交換機(jī)的所有用戶端口處于關(guān)閉狀態(tài)。 ⑸ 應(yīng)用系統(tǒng)的訪問限制 可以 根據(jù)旭日集團(tuán)的應(yīng)用需求，在匯聚層的多層交換機(jī)上實(shí)施訪問控制，限制園區(qū)網(wǎng)用戶對(duì)特定應(yīng)用系統(tǒng)的訪問，或者只允許特定的用戶訪問某些資源。四．系統(tǒng)設(shè)計(jì)方案 本項(xiàng)目的實(shí)施目的是在旭日集團(tuán)內(nèi)部建立穩(wěn)定，高效的辦公自動(dòng)化網(wǎng)絡(luò)，通過項(xiàng)目的實(shí)施，為所有員工配桌面PC，使所有員工能夠通過總部網(wǎng)絡(luò)進(jìn)入internet，從而提高所有員工的工作效率和加快企業(yè)內(nèi)部信息的傳遞。在總部和子公司均設(shè)立專用發(fā)服務(wù)器，使集團(tuán)內(nèi)所有員工能夠利用服務(wù)器方便的訪問公共文件資源，并能夠完成企業(yè)內(nèi)部郵件的收發(fā)。 隨著集團(tuán)近年來的高速發(fā)展，集團(tuán)的業(yè)務(wù)已經(jīng)涉及到各個(gè)商業(yè)領(lǐng)域，集團(tuán)及公司內(nèi)部的組織結(jié)構(gòu)也日益復(fù)雜，在本項(xiàng)目的設(shè)計(jì)實(shí)施過程中，要求工程實(shí)施方案在規(guī)劃系統(tǒng)設(shè)計(jì)時(shí)充分考慮到企業(yè)管理的需求，設(shè)計(jì)合理的系統(tǒng)管理結(jié)構(gòu)，能夠很大程度的降低集團(tuán)在系統(tǒng)管理上的成本，并能滿足各種商務(wù)工作的需求，具體設(shè)計(jì)應(yīng)依據(jù)以下原則：216。集團(tuán)總部和各個(gè)分公司應(yīng)是相互獨(dú)立的管理單元，各個(gè)單位在自己公司范圍內(nèi)實(shí)現(xiàn)用戶賬戶及網(wǎng)絡(luò)安全的管理。 便于管理：整個(gè)系統(tǒng)設(shè)計(jì)要便于網(wǎng)絡(luò)管理員的管理，在系統(tǒng)中提供便于管理員管理的各種有效方式。集團(tuán)總部及各分公司都有專職系統(tǒng)管理員，應(yīng)保障管理員只對(duì)本公司具有管理權(quán)限。216。216。 系統(tǒng)的構(gòu)價(jià) ⑴根據(jù)集團(tuán)的管理結(jié)構(gòu)。方案中將集團(tuán)按公司單位劃分不同的模塊，集團(tuán)總部作為域林的根，每個(gè)子公司為一個(gè)獨(dú)立的域或者域樹，形成一個(gè)完整的樹狀結(jié)構(gòu)。具體的實(shí)現(xiàn)如下圖：DCDCDCDCDCDCDC根域:集團(tuán)總部北京分公司:上海分公司:子公司1:子公司2:子公司3:子公司4:同一個(gè)站點(diǎn)森林在此構(gòu)架設(shè)計(jì)中，旭日集團(tuán)需要自己的獨(dú)立的域名，所以在設(shè)計(jì)林中樹，武漢的4個(gè)子公司作為總部的子域，北京和上海分公司作為一單獨(dú)的域樹， 由于所有的資源都位于園區(qū)網(wǎng)內(nèi)，具有高速的網(wǎng)絡(luò)連接，因此所有的域均在一個(gè)站點(diǎn)內(nèi)。并且提高了用戶身份驗(yàn)證的速度。其中前面2種在林范圍內(nèi)起作用，后面3種在域范圍內(nèi)起作用，為了使用所有的操作主機(jī)更好的工作，保障正常的工作并且不產(chǎn)生大的復(fù)制流量，方案采用了Windows系統(tǒng)默認(rèn)的設(shè)置，根域中第一臺(tái)DC承擔(dān)了五種操作主機(jī)的角色，每個(gè)子域中的 第一臺(tái)DC承擔(dān)了域范圍內(nèi)的三種操作主機(jī)角色。216。在本方案中按部門劃分OU的方法，將每個(gè)公司中以部門為單位創(chuàng)建OU，并在部門OU中保存該部門的用戶帳戶，計(jì)算機(jī)帳戶及組采用這種設(shè)計(jì)的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結(jié)構(gòu)，一般情況下，一個(gè)部門內(nèi)部中的用戶常常有相似的安全需求，利用這樣的設(shè)計(jì)方法，也可以方便的將安全策略應(yīng)用到某個(gè)部門。 擁護(hù)管理為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個(gè)用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。216。在每個(gè)域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個(gè)域中創(chuàng)建域本地組，用于完成權(quán)限的指派。如圖所示：域本地組通用組全局組用戶 通用組全局組用戶分配權(quán)限 在設(shè)計(jì)方案中，安全的設(shè)計(jì)主要分2個(gè)部分，首先是ISA Server的應(yīng)用，通過ISA Server的配置，建立軟件防火墻，保護(hù)集團(tuán)內(nèi)部網(wǎng)絡(luò)不受外部用戶的攻擊，同時(shí)利用ISA Server提供的網(wǎng)站過濾功能和服務(wù)器發(fā)布功能，對(duì)企業(yè)內(nèi)部用戶的上網(wǎng)行為進(jìn)行規(guī)范，并能保障服務(wù)器的安全使用。防止用戶進(jìn)行非授權(quán)的訪問，保護(hù)用戶在工作環(huán)境不受破壞。 ISA Server：ISA Server是微軟公司出品的軟件防火墻代理服務(wù)器產(chǎn)品，它不僅可以起到代理服務(wù)器的緩存作用，也能實(shí)現(xiàn)防火墻的功能，通過軟件防火墻上設(shè)置過濾規(guī)則，可以控制內(nèi)部用戶對(duì)網(wǎng)站的訪問，同時(shí)利用其提供的服務(wù)器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務(wù)器發(fā)布到Internet上，提供互聯(lián)網(wǎng)的訪問，在本方案的設(shè)計(jì)中，主要利用了網(wǎng)站過濾和服務(wù)器發(fā)布的功能，在集團(tuán)中心即房安裝和配置ISA服務(wù)器，繼承防火墻功能和代理服務(wù)器的功能，將集團(tuán)總部及子公司的WEB服務(wù)器及MAIL服務(wù)器發(fā)布到互聯(lián)網(wǎng)上。具體部署如圖： 對(duì)外發(fā)布WEBMAIL森林樹ISA ClientISA ClientISA Server216。 服務(wù)器發(fā)布：利用ISA服務(wù)器將企業(yè)中的郵件和WEB服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問公司的WEB服務(wù)器，并將公司用戶可以與外部客戶利用郵件交換信息。 客戶端：在所有用戶計(jì)算機(jī)上安裝ISA客戶端軟件，并配置瀏覽器使用ISA Server作為代理服務(wù)器上網(wǎng)。 安全策略：在Windows系統(tǒng)中的域模式下，安全策略是保護(hù)系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個(gè)工具對(duì)全部系統(tǒng)提供安全保護(hù)，由于集團(tuán)各個(gè)子公司采用獨(dú)立的管理模式，所以在每個(gè)域中單獨(dú)設(shè)置組策略，并使組策略應(yīng)用到每個(gè)域中的用戶和計(jì)算機(jī)。在本方案中，根據(jù)集團(tuán)的目前的需求，建立了基本的組策略 ⑴ 密碼長度最小值為7 ⑵ 密碼最長存留期為30天 ⑶ 密碼過期期限為50天 ⑷ 帳戶鎖定閥值為5次無效登陸 ⑸ 啟動(dòng)密碼必須符合復(fù)雜性需求策略五、Windows服務(wù)器解決方案. WEB服務(wù)器微軟Windows Server 2003中的IIS 、可靠的、可擴(kuò)展的、安全的及可管理的內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和互聯(lián)網(wǎng)Web服務(wù)器解決方案。優(yōu)點(diǎn)IIS 和 Windows Server 2003在網(wǎng)絡(luò)應(yīng)用服務(wù)器的管理、可用性、可靠性、安全性、性能與可擴(kuò)展性方面提供了許多新的功能。IIS Windows Server 2003提供了最可靠的、高效的、連接的、完整的網(wǎng)絡(luò)服務(wù)器解決方案。其可靠的性能提高了網(wǎng)絡(luò)服務(wù)的可用性并且節(jié)省了管理員用于重新啟動(dòng)網(wǎng)絡(luò)服務(wù)所花費(fèi)的時(shí)間，IIS 。安全性能的增強(qiáng)包括技術(shù)與需求處理變化兩方面。IIS ，這意味著默認(rèn)系統(tǒng)的安全系數(shù)就被設(shè)為最大，它提供的增強(qiáng)的管理性能改善了XML metabase的管理及新的命令行工具。通過將可靠的體系結(jié)構(gòu)和內(nèi)核模式驅(qū)動(dòng)程序完美結(jié)合在一起，IIS 。增強(qiáng)的開發(fā)與國際化支持通過Windows Server 2003 與IIS ，應(yīng)用程序開發(fā)人員將從Windows Server 2003 與IIS 單一的、完整的應(yīng)用平臺(tái)環(huán)境中受益。更高的安全性IIS 。此外，IIS 。IIS ，大大提高了信息系統(tǒng)的安全性。新的容錯(cuò)進(jìn)程架構(gòu)和其它功能特性可以幫助用戶減少不必要的停機(jī)時(shí)間，并提高應(yīng)用程序的可用性。應(yīng)用程序池為管理員管理一組Web站點(diǎn)和應(yīng)用程序提供了便利，同時(shí)提高了系統(tǒng)的可靠性，因?yàn)橐粋€(gè)應(yīng)用程序池中的錯(cuò)誤不會(huì)引起另外一個(gè)應(yīng)用程序池或者服務(wù)器本身發(fā)生故障。通過自動(dòng)禁用在短時(shí)間內(nèi)頻繁發(fā)生故障的Web站點(diǎn)和應(yīng)用程序，IIS 。IIS ，將Web服務(wù)客戶端應(yīng)用程序與后端不穩(wěn)定的Web應(yīng)用程序隔離開來。例如，此外，還可以觸發(fā)某些定制操作，例如觸發(fā)一個(gè)調(diào)試操作或者向管理員發(fā)出通知。更加輕松的服務(wù)器管理借助IIS ，Web基礎(chǔ)結(jié)構(gòu)的管理工作變得比以往更加輕松和靈活，從而為企業(yè)節(jié)約IT管理成本帶來了新的機(jī)遇。此外，它還提供了得到改進(jìn)的故障處理和元數(shù)據(jù)庫損壞恢復(fù)。運(yùn)行程序的同時(shí)對(duì)其進(jìn)行編輯在服務(wù)器保持運(yùn)行的同時(shí)，IIS ?；诿钚泻湍_本的管理IIS Server 2003的命令行工具完成很多常見的管理工作。IIS ，以在不使用圖形用戶界面的情況下，從命令行自動(dòng)完成多種常見的管理任務(wù)。WMI的接口從本質(zhì)上說類似于繼續(xù)享受支持的Microsoft Active Directory174。服務(wù)器合并和先前版本相比，IIS ，現(xiàn)在，單臺(tái)服務(wù)器即可托管更多的站點(diǎn)和應(yīng)用程序。例如，在初始化過程中，IIS 。和IIS的先前版本相比，服務(wù)器的啟動(dòng)和關(guān)閉過程更加快捷。IIS ，并且針對(duì)提高Web服務(wù)器的吞吐量這一目的進(jìn)行了特別的優(yōu)化和調(diào)整。處理器關(guān)聯(lián)如果設(shè)置了處理器關(guān)聯(lián)，IIS 微處理器或CPU上。更快捷的應(yīng)用程序開發(fā)通過提供一組全面完善的集成化應(yīng)用程序服務(wù)和領(lǐng)先于業(yè)界的工具，Windows Server 2003應(yīng)用程序環(huán)境大大改善了開發(fā)人員的工作效率和生產(chǎn)力。Windows Server 2003的各種增強(qiáng)建立在IIS ，為開發(fā)人員提供了高水平的功能特性，例如快速應(yīng)用程序開發(fā)（RAD）和廣泛靈活的語言選擇。Microsoft .NET FrameworkMicrosoft .NET 。.NET Framework和語言無關(guān)；實(shí)際上您可以使用任何語言為它開發(fā)程序。 .NET、Visual Basic174。以及Visual C .NET。XML Web服務(wù)為用戶遠(yuǎn)程訪問服務(wù)器功能提供了手段。跨越組織地理邊界的信息共享跨越組織的地理邊界使用各種語言進(jìn)行信息共享正在經(jīng)濟(jì)全球化浪潮中發(fā)揮越來越大的作用?，F(xiàn)在，利用經(jīng)過UTF8（UCS Transformation Format 8）編碼的URL ，Unicode成為了可能，它帶來的好處之一便是：人們可以支持更復(fù)雜的語言了，例如中文。此外，它還添加了新的服務(wù)器支持函數(shù)，允許開發(fā)人員訪問以Unicode形式表述的URL地址，因此改善了產(chǎn)品的國際化支持能力。此外，在默認(rèn)狀況下，IIS “鎖定”狀態(tài)，同時(shí)具有最為可靠的超時(shí)設(shè)置和內(nèi)容限制。為了減少系統(tǒng)向外界暴露的攻擊表面積，IIS Server 2003之中——管理員必須明確地選擇該組件并安裝它。通過使用Web服務(wù)擴(kuò)展節(jié)點(diǎn)，Web站點(diǎn)的管理員可以根據(jù)組織的特殊需要，啟用或禁用某些IIS功能。為了向用戶提供這些文件，您必須在Web服務(wù)擴(kuò)展列表中添加每個(gè)允許提交的文件擴(kuò)展名。默認(rèn)的低權(quán)限賬戶所有IIS “網(wǎng)絡(luò)服務(wù)”用戶賬戶運(yùn)行，這個(gè)在Windows Server 2003中新增加的賬戶類型是一種擁有有限操作系統(tǒng)權(quán)限的內(nèi)置賬戶。授權(quán)IIS Server 2003內(nèi)置的新的授權(quán)框架進(jìn)行了進(jìn)一步的擴(kuò)展?，F(xiàn)在，受約束的委派授權(quán)使得域管理員只能向特定的計(jì)算機(jī)和服務(wù)進(jìn)行委派操作。為了均衡集群服務(wù)器的負(fù)載，達(dá)到優(yōu)化系統(tǒng)性能的目的，集群服務(wù)器將眾多的訪問請(qǐng)求，分散到系統(tǒng)中的不同節(jié)點(diǎn)進(jìn)行處理。高可靠性可以看作為系統(tǒng)的一種冗余設(shè)定。穩(wěn)定性是影響系統(tǒng)性能的眾多因素的一種有效的測量手段，包括機(jī)群系統(tǒng)所能支持的同時(shí)訪問系統(tǒng)的最大用戶數(shù)目以及處理一個(gè)請(qǐng)求所需要的時(shí)間。當(dāng)你在瀏覽器中鍵入一個(gè)URL時(shí)（例如：），瀏覽器則將請(qǐng)求發(fā)送到D