大型公司网络规划方案方案

zbs_4922

贡献于2013-02-18

字数:48376 关键词: 网络技术 方案

 旭日集团股份公司 网络系统集成方案 2006.7.14 一、前言 1.1.集团综合信息系统建设目标 -----------------------------------------------------3 1.2. 用户具体需求----------------------------------------------------------------------------4 1.3.集团综合信息系统建设原则 ----------------------------------------------------4 1.3.1 先进性………………………………………………………………….5 1.3.2 标准性………………………………………………………………….5 1.3.3 兼容性………………………………………………………………….5 1.3.4 可升级和可扩展性…………………………………………………….5 1.3.5 安全性…………………………………………………………………..6 1.3.6 可靠性…………………………………………………………………..6 1.3.7 易操作性………………………….…………………………………….7 1.3.8 可管理性.. …………………………………………………………….7 二.综合布线方案-----------------------------------------------------------------------------8 2.1需求分析.......................................................................................................8 2.2 综合布线系统的结构..................................................................................9 2.3系统总体设计...............................................................................................10 2.4系统结构设计描述……................................................................................11 2.5在施工中注意事项……................................................................................12 三.网络设计方案---------------------------------------------------------------------------13 3.1 网络设计需求……………………………………………………………..13 3.2总体方案设计策略…………………………………………………………14 3.3旭日集团园区结构示意图…………………………………………………15 3.4网络设备选型………………………………………………………………15 3.4.1选型原则……………………………………………………………...15 3.4.2核心层交换机………………………………………………………...17 3.4.3汇聚层交换机………………………………………………………..18 3.4.4接入层交换机………………………………………………………..19 3.5主干网络技术选型…………………………………………………………20 3.6路由交换技术部分设计……………………………………………………25 3.7网络安全设计………………………………………………………………35 四.网络系统设计…………………………………………………………………37 4.1 系统设计总体需求………………………………………………………...37 4.2 系统设计原则……………………………………………………………..38 4.3 系统设计方案……………………………………………………………..39 4.3.1系统构架设计………………………………………………………..39 4.3.2 系统管理设计……………………………………………………….41 4.3.2 系统安全设计……………………………………………………….42 五 Windows服务器解决方案--------------------------------------------------------------45 5.1WEB服务器…………………………………………………………………45 5.2 FTP服务器角色:配置文件服务器………………………………………60 5.3 Exchange Server 2003 产品概述…………………………………………..71 六.工程实施与项目测试--------------------------------------------------------------------87 七.项目费用-----------------------------------------------------------------------------------86 八.技术支持服务-----------------------------------------------------------------------------88 8.1售后服务内容…………………………………………………………….88 8.2保证售后服务质量的措施…………………………………………… …89 一.前言 “功欲善其事,必先利其器”,旭日集团深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫, 旭日公司作为一个致力于企业信息化和系统集成的高科技公司非常荣幸参与旭日集团综合网络信息系统的建设,希望能尽自己的全力来施展我们的专长来实现旭日集团网络信息系统的建设。 1.1.集团综合信息系统建设目标 旭日集团信息系统主要建设一个企业信息系统,它以管理信息为主体,连接生产、销售、维护、运营子系统,是一个面向集团的日常业务、立足生产、面向社会,辅助领导决策的计算机信息网络系统。 本期项目的目标是建立如下系统: 1.构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。 2.选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法 3.完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之中; 4.具有较好的可扩展性,为今后的网络扩容作好准备 5.采用OA办公,做到集数据、图像、声音三位一体,提高企业管理效率、降低企业信息传递成本 6.整个公司计划采用10M光纤接入到运营商提供的Internet。集团统一一个出口,便于控制网络安全 7.设备选型上必须在技术上具有先进性,通用性,且必须便于管理,维护。应具备未来良好的可扩展性,可升级性,保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品,同时也要有好的售后服务 1.2具体用户需求: 1.网络设备配置 配备网络交换设备,实现楼宇间的千兆光纤连接,保证未来各应用系统的实施以及满足集团各种计算机应用系统的大信息量的传输。 2.网管系统设计 提供可以对整个网络系统进行管理的中文图形界面工具,使系统维护人员可以集中控制网络的所有设备。 3.内、外网隔离 过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网隔离。 1.3集团综合信息系统建设原则 多业务网络系统方案以实现以上功能为基本要求,在设计上力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性。具体来讲,其设计遵循以下原则: 1.3.1先进性 系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术,符合国际标准和规范; 1.3.2标准性 所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。         全面支持IEEE工业标准:802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z;支持路由协议:IP 的RIP V1/2,OSPF,BGP-4;信令标准:H.323,RTP/CRTP. 支持:IPsec、L2TP、GRE、MPLS-VPN规范。         支持多址广播协议:IGMP,DVMRP,PIM-DM,PIM-SM;         网络管理协议:SNMP,RMON,RMON2; 1.3.3兼容性 跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务。 1.3.4可升级和可扩展性 随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展。 1.3.5安全性 网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问,灵活的实施网络的安全控制策略。在企业园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。 可管理性 1.3.6可靠性 本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。 硬件可靠性 系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),采用CLUSTER技术,支持双机或多机高可用结构;配备不间断电源等。 软件可靠性 充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行数据库系统应。 网络结构稳定性 当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。 本系统应具有较强的容灾容错能力,具有完善的系统恢复和安全机制; 1.3.7易操作性 提供中文方式的图形用户界面,简单易学,方便实用。 优良的性能价格比。 系统应着重考虑和满足以上的设计要求。 1.3.8 可管理性 络的可管理性要求:网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率。 在进行网络设计时,选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置,网络拓扑结构表示,网络设备的状态显示,网络设备的故障事件报警,网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率,减轻网络管理人员的负担。网络管理的目标是实现零管理,基于策略的管理方式,网络管理是通过制定统一的策略,由管理策略服务器进行全局控制的。基于Web的网管界面,是网管软件的发展趋势,灵活的操作方式简化了管理人员的工作。在设计园区网的设备选择上,要求网络设备支持标准的网络管理协议SNMP,同时支持RMON/RMONII协议,核心设备要求支持 RAP (远程分析端口) 协议,实施充分的网络管理功能。在设计园区网的原则上应该要求设备的可管理性,同时先进的网管软件可以支持网络维护、监控、配置等功能。 二.综合布线方案 2.1、需求分析 集团公司园区内包括集团总部办公楼和分部及分公司等七幢建筑,武汉总部和武汉分公司它们之间的距离已超过双绞线布线的技术要求,因此采用光纤进行布线。 由于涉及的建筑物较多,规模较大,应此将其定位为智能化园区综合布线系统。 园区的综合布线系统是一个高标准的布线系统,水平系统和工作区采用超五类元件,主干采用光纤,构成主干千兆以太网。不仅能满足现有数据、语音、图像等信息传输的要求,也为今后的发展奠定基础。整个园区一共有5000左右个信息点,即武汉总部有3200左右,每分公司各有300左右个。针对以上要求,对计算机内网综合布线系统提出自己的解决方案。 建筑群间的光缆采用上海的OT—T多模光纤系统,大楼内的布线采用AVAYA的超五类双绞线结构化布线系统。 2.2、综合布线系统的结构 综合布线系统部分结构如下图所示: 根据综合布线国际标准ISO 11801的定义,综合布线系统可由以下子系统组成: ² 工作区子系统(Work Area Subsystem) 工作区子系统由信息插座延伸至用户终端设备的布线组成,包括信息插座和相应的连接软线。用户能方便地把计算机、电话、传真等不同的终端设备接入大楼的通信网络系统。 ² 水平布线子系统(Horizontal Subsystem) 水平布线子系统由楼层配线间延伸至信息插座的布线组成,通常可采用超五类双绞线,我们这里采用的是超五类双绞线,也可采用光缆以满足高传输带宽应用或长传输距离的要求。水平布线提供大楼网络通信系统到用户终端设备的信息传输。 ² 建筑物主干子系统(Building Backbone Subsystem) 建筑物主干子系统由大楼配线间延伸至各楼层配线间的布线组成。该子系统亦包括各配线间的配线架,跳接线等。采用的线缆是超五类双绞线 。大楼配线间和楼层配线间通常也用于放置网络设备和其他有源设备。建筑物主干子系统提供大楼内通信网络信息交换的主干通道。 ² 建筑群布线子系统(Campus Cabling Subsystem) 建筑群布线子系统由建筑群配线间延伸至各大楼配线间的布线组成。采用的线缆为光纤,。建筑群配线间通常也用于放置电信接入设备和广域网连接设备。建筑群布线子系统提供了各建筑物间通信网络连接和信息交换的通道。 2.3系统总体设计 以上就是布线的国际标准,因此采用高速大容量光纤主干建设集团公司的园区网络主干 为了满足集团公司将来灵活组网的需要,在集团总部办公楼、分公司等建筑物内各设有配线间。整个园区设备间机房安置在总部大楼的10楼,各分公司的设备间机放安置在各分公司的一楼。 为充分满足集团公司内部及对外高速高容量信息通信的需要,系统采用高速高容量的多模光纤作为园区的网络主干。 建筑物内采用先进的超五类非屏蔽布线系统 根据技术规范,选用高性能UTP 非屏蔽系统,传输参数可达到200MHz,通道传输性能在200 MHz 时ACR>3dB, 250MHz 时ACR> 0 dB,通道传输性能不低于招标技术要求所附性能参数表的要求。因此,本方案建议采用AVAYA 超五类UTP 产品,其传输带宽可达200MHZ 以上,可靠支持新的千兆以太网、2.4Gbps ATM及高达550MHZ的宽带语音应用,为今后新的高速网络应用留有充足的性能余量。 2.4系统结构设计描述 整个结构化布线系统由工作区子系统、水平干线子系统、管理子系统、主干子系统、设备间子系统及建筑群子系统等六个子系统构成,方案设计时充分考虑了高度的可靠性、先进性、灵活性、可扩充性、易管理性及性能价格比高等优点。 布线系统结构如下: 2.5、在施工中注意事项 ⑴仔细查阅其它专业的施工图纸 在施工前,必须仔细查阅其他专业的施工图纸,尤其是土建结构施工图、水、电、通风施工图。因为水平路由的长短将会对设计的等级有一定的影响,而土建结构施工图、水、电、通风施工图对水平布线子系统管线路由的走向影响最大。在审图时,建议用比例尺在图纸上认真测量,为水平布线子系统找出最合理的路由走向,这样既节省水平线缆的长度,又避免与其他专业管路发生冲突,由于电气专业管线不可避免的要与其他各专业管路交叉重叠,发生矛盾的现象,给土建专业带来地面超高等问题。综合布线一般由专业公司负责安装调试,施工方仅做管路预埋、线缆敷设,如果在施工中敷衍了事,不遵循“管线路由最短”的原则,就会增加水平布线子系统管线的长度,不利于提高综合布线系统的通信能力、不利于通信系统的稳定性、不利于通信传输速率的提高。 ⑵建议在施工中应满足设计裕量。 因为在实际施工中,不可能使水平线缆一直保持直线路由,所以实际安装中,需要的线缆总会比图纸上统计的量大的多,这就需要电气工程师考虑一定的裕量。裕量的计算方法是将一张平面图纸上离配线架最远的信息点的线缆图纸长度(图纸上用比例尺量出的长度),和最近的信息点的线缆图纸长度相加,除以2,得出得数值为信息点的平均图纸长度,取平均长度的30%作为裕量。否则就会造成不必要的材料浪费或不足。 ⑶采用质量可靠的管路和线缆,以避免日后的麻烦 在大多数设计中,水平布线子系统是被设计在吊顶、墙体或底板内的,所以可以认为水平子系统是不可更改、永久的系统。在安装中,应尽量使用性能优良、质量可靠的管路和线缆,保证用户日后不破坏建筑结构。 ⑷严格遵守综合布线系统规范 良好的安装质量,可以使水平布线子系统在其工作周期内,始终保证良好工作状态和稳定的工作性能,尤其对于高性能的通信线缆和光纤,安装质量的好坏对系统的开通影响尤其显著,因此在安装线缆中,要严格遵守EIA/TIA569规范标准。 ⑸选材标准必须一致 综合布线系统所选用的线缆、信息插座、跳线、连接线等部件,必须与选择的类型一致,如选用超5类标准,则线缆、信息插座、跳线、连接线等部件必须为超5类;如系统采用屏蔽措施,则系统选用的所有部件均为屏蔽部件,只有这样才能保证系统屏蔽效果,达到整个系统的设计性能指标。 三.网络设计方案 3.1 网络设计需求 六个分公司有四个分公司在武汉旭日工业园内各的建筑物里面,公司为38层的主楼,六个分公司都是7层楼。第一分公司与主楼相距50米,第二分公司与主楼相距也是50米,第三分公司与主楼相距5公里,第四分公司与主楼相距8公里,另两个分公司在北京和上海各自有自己的办公楼。示意图见《园区结构示意图》) 各子公司部门结构:这六个分公司都有各自的微机室(10人),财务部(20人),行政部(20人),生产部(100人),研发部(30人),后勤部(10人),业务部(80人),人力资源部(10人)总公司行政划分也是如此, 人数比例大致类似六个分公司 3.2体方案设计策略 为了实现以上网络设计原则,使旭日集团园区网络具有良好的 扩展性能力和灵活的便于管理,易于维护,在网络设计上采用了一下策略。 Ø 因特网接入和园区网分离。 将因特网接入部分和园区网主体部分分离,每部分完成其自身的功能,可以减少两者之间的相互影响。因特网接入的变化,只影响接入的变化,对园区网络没有影响;而园区网络的变化对因特网接入部分影响较小。.这样可以增强网络的扩展能力。保持网络层次结构清晰,便于管理和维护。 Ø 降低各个子公司之间的网络关联度。 将各个子公司之间的网络的关联度降低到最低的策略,可以最大限度的减少各个子公司网络之间的相互影响,便于分别管理,或者在不同子公司扩展网络的新应用。 Ø 统一标准,统一网络 统一的IP应用标准(IP地址,路由协议),安全标准, 接入标准和网络管理平台,才能实现真正的统一管理,便于集团的管理和网络策略的实施。 3.3旭日集团园区结构示意图 3.4网络设备选型 3.4.1选型原则 我们在网络系统设计时考虑如下特点: 稳定可靠的网络 只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。 高带宽 为了支持数据、话音、视像多媒体的传输能力,在技术上要到达当前的国际先进水平。要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。为此应选用高带宽的先进技术。 易扩展的网络 系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展,还指网络结构的易扩展性:即只有在网络结构设计合理的情况下,新的网络节点才能方便地加入已有网络;网络协议的易扩展:无论是选择第三层网络路由协议,还是规划第二层虚拟网的划分,都应注意其扩展能力。 QoS(英文全称为"Quality of Service",中文名为"服务质量"。)QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。保证 随着网 络中多媒体的应用越来越多,这类应用对服务质量的要求较高,本网络系统应能保证QoS,以支持这类应用。 安全性 网络系统应具有良好的安全性,由于网络连接园区内部所有用户,安全管理十分重要。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。 容易控制管理 因为上网用户很多,如何管理好他们的通信,做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。 符合IP发展趋势的网络 在当前任何一个提供服务的网络中,对IP的支持服务是最普遍的,而IP技术本身又处在发展变化中,如IpV6,IP QoS,IP Over SONET等等新兴的技术不断出现,旭日集团园区网网络络必须跟紧IP发展的步伐,也就是必须选择处于IP发展领导地位的网络厂商。 3.4.2核心层设备 由于旭日集团园区网网络发展规模较大,未来需提供多媒体办公、办公自动化、图书资料检索、远程互联、视频会议等复杂的网络应用,为便于管理,我们建议选用的交换机作为网络组建交换设备。选用1台Cisco6509交换机作为主干交换机实现1000M做主干100M到桌面的需求。(具体产品介绍见附录二) Cisco6509系列交换机支持堆叠技术,将来扩充端口极为灵活方便,不必改变原有网络的任何配置。通过增加堆叠交换机数量或做Port Trunking(端口干路)两种办法均可扩充网络规模;并且实现了本地化交换,改善了整个网络,使整个网络的性能发生了质的变化。选用千兆光纤模块,与主干上联,实现主干的千兆传输。Cisco6509系列交换机支持网管和堆叠,可以很容易地根据需要,通过堆叠扩充端口数量。另外,Cisco6509系列交换机建立在一个功能强大且绝对无阻塞的32G交换背板上,可以保证堆叠中的所有端口间实现无阻塞的线速交换。 此外,Cisco6509交换机,在安装千兆光纤模块的同时,还可以安装百兆光纤模块,完全可以适应现在或将来的楼内光纤布线,灵活性很强。 3.4.3汇聚层设备 考虑到集团要求没个子公司的网络自成体系,单个子公司的局域网广播数据流不能扩展到全网,单个子公司的网络故障不应该扩展到全网,汇聚层交换机也应该采用具有路由功能的多层交换机,以达到网络隔离和分段的目的。子公司的主交换机负责子公司内部的网络数据交换和旭日集团园区网的其他路由。 汇聚层设备选择CISCO公司的Catalyst3550系列的交换机,每个子公司的主交换机选择WS-C3550-48-EMI交换机。Catalyst3550交换机智能以太网交换机是一个新型的可堆叠的,多层次级交换机系列,可以提高水平的可用性,可扩展性,服务质量(QoS),安全性和可改进网络运营的管理能力,从而提高网络的运行效率。 Catalyst 3550系列包括一系列快速以太网和千兆位以太网配置,可以用全套千兆位接口转换器(GBIC)设备提供强大的千兆位以太网连接;并将CISCO IOS软件中的一套第2-4层功能——IP路由、QoS、限速、访问控制列表(ACL)和多播服务扩展到边缘,堪称一款适用于企业和城域应用的强大选择。用户第一次可以在整个网络中部署智能化的服务,例如先进的服务质量、速度限制、CISCO安全访问控制列表、多播管理和高性能的IP路由,并与引同时保持了传统LAN交换的简便性。通过高性能的IP路由实现了网络的可扩展性,利用基于硬件的IP路由和增强型 多层软件镜像,Catalyst 3550系列交换机可以在所有端口上提供高达17Mpps的线速路由;基于CISCO快速转发(CEF)的路由架构有助于提高可扩展性和性能,该体系结构扶持极高速的搜索功能,并可确保必要的稳定性和可扩展性,以满足未来的需求。凭借内置CISCO集群管理套件,Catalyst 3550 系列交换机可简化网络的部署。 WS-C3550-48-EMI交换机,有48个10/100和2个基于GBIC的1000BaseX端口,通过使用多层软件镜像(EMI),可以提供路由和多层交换功能,满足三层交换需求。可以满足服务器群的高密度,高速率的接入需要,也可以满足因特网接入的需求。 3.4.4接入层交换机 接入层交换机放置于楼层的设备间,用于终端用户的接入。应该能够提供高密度的接入,对环境的适应能力强,运行稳定。 楼层接入设备选择CISCO公司的WS-C2950-48-EI智能以太网交换机。 WS-C2950-48-EI交换机属于Catalyst2950系列智能交换机。Catalyst2950系列是固定的配置,可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接。Catalyst2950系列是有款最廉价的CISCO交换机产品系列,为中型网络和城域接入应用边缘提供了智能服务,可以为局域网提供极佳的性能和功能。这些独立的。10/100自适应交换机能够提供增强的服务质量(QoS)和组播管理特性,所有的这些都由易用,基于WEB的CISCO集群管理套件(CMS),和集成CISCOIOS软件来进行管理。带有100BASE上行链路的Catalyst2950交换机,可为中等规模的公司和企业分支机构 办公室提供理想的解决方案,以使他们能够拥有更高性能的千兆以太网主干。 WS-C2950-48-E交换机,有48个10/100端口,2个基于千兆接口转换器(GBIC)的1000BaseX端口,能够为用户提供千兆的光纤骨干和高密度度的接入端口;具有高达13.6Gbps的背板带宽,能够提供10.1Mpps的转发速率;增强型的IOS,能够支持250个VLAN,提供安全,QoS,管理等各方面 的智能交换服务。 3.5主干网络技术选型 在旭日集团园区网网络的建设中,主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合旭日集团园区网网络需求特点的主流网络技术,不但能保证网络的高性能,还能保证网络的先进性和扩展性,能够在未来向更新技术平滑过渡,保护用户的投资。 根据招用户要求,我们主干网络可选用千兆以太网技术 目前流行的局域网、城域网技术主要包括以太网、快速以太网、ATM(异步传输模式)、FDDI、CDDI、千兆以太网等。在这些技术中,千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。 ⑴ 现有网络技术介绍 以太网(Ethernet) 以太网是应用最为广泛的网络技术,它基于CSMA/CD(冲突检测媒体访问/载波侦听)机制,采用共享介质的方式实现计算机之间的通讯,带宽为100Mbps。 CSMA/CD技术采用总线控制技术及退避算法。当一个站点要发送时,首先需监听总线以决定介质上是否存在其它站的发送信号。如果介质是空闲的,则可以发送,如果介质是繁忙的,则隔一次间隔后重发,即采用某种退避算法。 早期的以太网由于它介质共享的特性,当网络中站点增加时,网络的性能会迅速下降,另外缺乏对多种服务和QoS的支持。随着网络技术的发展,现在的以太网技术已经从共享技术发展到交换技术,交换以太网的出现使传统的共享式以太网技术得到极大改进。共享式局域网上的所有节点(如主机、工作站)共同分享同一带宽,当网上两个任意节点交换数据时,其他节点只能等待。交换以太网则利用网络交换机在不同网段之间建立多个独享连接(就像电话交换机可同时为众多的用户建立对话通道一样),采用按目的地址的定向传输,为每个单独的网段 提供专用的频带(即带宽独享),增大了网络的传输吞吐量,提高了传输速率,其主干网上无碰撞问题。虚拟网技术与交换技术相结合,有效地解决了广播问题,使网络设计更加灵活,网络的管理和维护更加方便。交换式以太网克服了共享式以太网的缺点,并借助于IP技术的新发展,如IP Multicast、IP QoS等技术的推出使得交换以太网可以支持多媒体技术等多种业务服务。 快速以太网(FastEthernet) 快速以太网技术仍然是以太网,也是总线或星型结构的网络,快速以太网仍支持共享模式,在共享模式下仍采用的是广播模式(CSMA/CD竞争方式访问,IEEE 802.3),所以在共享模式下的快速以太网继承了传统共享以太网的所有特点,但是带宽增大了10倍。 快速以太网的应用主要是基于它的交换模式。在交换模式下,快速以太网完全没有CSMA/CD这种机制的缺陷,除了上面谈到的交换以太网的优点以外,交换模式下的快速以太网可以工作在全双工的状态下,使得网络带宽可以达到200Mbps。因此快速以太网是一种在局域网技术中性能价格比非常好的网络技术,在支持多媒体技术的应用上可以提供很好的网络质量和服务。 千兆位以太网技术(Gigabit Ethernet) 千兆位以太网技术以简单的以太网技术为基础,为网络主干提供1Gbps的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比,价格低,同时比较简单,例如保留以太网的帧格式、管理工具和对网络概念上的认识。 千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。现在千兆位以太网成熟的标准为IEEE 802.3z,IEEE 802.3z的目标是: 使用IEEE 802.3帧格式; 可以使用全双工和半双工; 共享模式下仍使用CSMA/CD; 对安装介质的向后兼容; 传输速度比快速以太网提高十倍,比以太网提高一百倍。 千兆以太网通过载波扩展(Carrier Extension)、采用带中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从 500米至3000米。如采用1300nm激光器和50um的多模光纤传输距离可以达到3km。现在,某些厂家的交换机上的千兆以太网接口还支持Long Haul(LH)的标准,采用光纤可以支持高达60Km的传输距离。 千兆位以太网能够提供更高的带宽,并且成为有强大伸缩性的以太网家族的第三个成员。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来,因为千兆位以太网的帧格式和帧尺寸大小等都与所有以太网技术相同,不需要对网络做任何改变。这种升级方法使得千兆位以太网相对于其他高速网络技术而言,在经济和管理性能方面都是较好的选择。 千兆位以太网的设计非常灵活,几乎对网络结构没有限制,可以是交换式、共享式的或基于路由器的。现在正在应用的网络互连技术,例如,特定IP交换技术和第三层的交换技术,都与千兆位以太网完全兼容。千兆位以太网可以通过价格便宜的共享集线器、交换机或路由器来实现。千兆位以太网支持新的交换机之间或交换机-工作站之间全双工的连接模式,同时也支持半双工连接模式以便与基于CSMA/CD存取方式的共享集线器连接。 千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线(UTP)或同轴电缆。目前,千兆以太网支持多模光纤、多模光纤和同轴电缆,支持5类非屏蔽双绞线(UTP)的标准正在制定中。 下表列出了千兆以太网现在支持的距离标准。 标 准 名 称 媒 质 传 输 距 离 1000Base-SX波长850nm 62.5微米多模光纤50微米多模光纤 275米550米 1000Base-LX波长1300nm 62.5微米多模光纤50微米多模光纤9微米或10微米多模光纤 275米550米5公里 1000Base-CX 同轴电缆对 25米 1000Base-T 4对5类双绞线 100米 千兆位以太网的管理与以前使用和了解的以太网相同,使用千兆以太网,主干和各网段及桌面已实现了无缝结合,网络管理变得容易了。 千兆以太网技术的优点: 技术简单,例如保留以太网的帧格式、管理工具和对网络概念上的认识.便于升级,从现有的传统以太网和快速以太网可以平滑地过渡到千兆以太网,并不需要掌握新的配置、管理与排除故障技术;网络投资可以得到保护,无需对用户进行再培训,也无需为额外的网络协议进行投资;千兆以太网有良好的互操作性,并具有向后兼容性;端口价格相对较低;可以提供10倍于快速以太网的传输速度。 网络技术选型结论 综上所述,在选择旭日集团园区网网络技术时应该考虑如下: ⑴、长远来看如何保护现有投资。保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样,网络技术的发展也是非常迅速的。如果在现有技术不能合理保证在将来网络升级后还能够使用,那么将会带来极大的资金浪费。从目前的趋势来看,采用千兆以太网技术是最适宜的。 ⑵ 性能价格比。以太网,快速以太网,千兆以太网和ATM网三者性能状况由低到高,但是价格也是由低到高的。在建设旭日集团园区网网络时要充分考虑到办公的资金有效使用,选择适用的网络技术是关键,因此选择华为网络产品实现是最佳选择。目前满眼看到的是国外的技术和产品,无形中增加了网络造价成本,这也给网络的普及带来一定障碍。 ⑶ 售后服务:旭日集团园区网网络的使用,从以往经验来看,售后服务问题比较突出。有很大部分国内外产品目前无法实现良好的售前、售后服务的支持,换修时间一般在3个月到6个月。思科网络强大的售后服务体系可保证全国范围内72小时响应,武汉等一级城市可实现24小时响应; 在旭日集团园区网网络建设中,在主干以及接入层的交换设备选择上,我们采用思科支持千兆以太网技术的交换机充当 3.6路由交换部分的设计 为了使旭日集团园区网高效、稳定的运行,便于管理与维护,对局域网交换和路由技术的相关方面进行了规范设计,包括VTP、VLAN、STP、TRUNK、ETHERCHANNEL,HSRP,VPN等。每一台都连接所有的汇聚层交换机,但相互之间并不连接(提高网络的故障收敛速度)。作为二层的核心,只保证数据的高速转发。网络的可靠性由汇聚层的路由协议提供保证。 ⑴.V LAN设计规范 旭日集团内的局域网进行VLAN划分,可以减少网络内的广播数据包,提高网络运行效率;可以区分不同的应用和用户,方便集团的管理与维护. 建议每栋建筑物内的局域网划分8个VLAN.应用类1指旭日集团的OA类应用. VLAN用途如表1 VLAN划分用途表 VLAN 用途 VLAN1 应用类1的微机室工作人员 VLAN2 应用类1的财务部工作人员 VLAN3 应用类1的行政部工作人员 VLAN4 应用类1的研发部工作人员 VLAN5 应用类1的后勤部工作人员 VLAN6 应用类1的人力资源部工作人员 VLAN7 应用类1的业务部工作人员 VLAN8 应用类1的生产部工作人员 ⑵.IP地址分配方案 IPv4的地址结构,各个位的使用规划如图: 0---7 8--10 11--15 16-18 19—31 集团标识 子公司标识 预留 类别标识 用户空间地址 其中各个部分的取值如表: 位 取值 含义 备注 0--70 00001010 某某集团 私有地址 8--11 0000 保留 0001 总部 主楼的用户标识 0010 子公司1 子公司1的用户标识 0011 子公司2 子公司2的的用户标识 0100 子公司3 子公司3的用户标识 0101 子公司4 子公司4的用户标识 0110 子公司5 子公司5的用户标识 0111 子公司6 子公司5的用户标识 1000-1111 保留 12-13 00 缺省 00-11 保留 14--17 000 保留 001 网管类 交换机设备地址,路由器环回地址,网管工作站地址 010 互联类 交换机,路由器等设备之间互相连接用 011 应用类1 集团OA类用 111 因特网类 集团的因特网连接,因特网应用。 100-110 保留 18--31 任意 用户地址 其中,16—18取值011的时候,对19—23位的使用进行了重新的定义。如图: 0---7 8--11 12--13 14-17 18--21 22—31 集团标识 子公司标识 预留 应用类1 VLAN标识 用户地址空间 IP地址分配表: 根据以上的规定,具体的地址分配表如下图: 机构 地址空间 用途 10.0.0.0/8 集团全部地址空间 10.16.0.0/13 总部全部地址空间 10.16.64.0/17 总部网管类全部地址 10.16.128.0/17 总部互联类全部地址 10.16.196.0/17 总部应用类全部地址 10.17.0.0/17 总部因特网全部地址 10.16.196.0 /21 总部应用类1微机室工作人员地址空间 10.16.200.0/21 总部应用类1财务部工作人员地址空间 10.16.204.0/21 总部应用类1行政部工作人员地址空间 10.16.208.0/21 总部应用类1研发部工作人员地址空间 10.16.212.0/21 总部应用类1后勤部工作人员地址空间 10.16.216.0/21 总部应用类1人力资源部工作人员地址空间 10.16.220.0/21 总部应用类1业务部工作人员地址空间 10.16.224.0/21 总部应用层1生产部工作人员地址空间 子公司1 10.32.0.0/13 子公司1全部地址空间 10.32.64.0/17 子公司1网管类全部地址空间 10.32.128.0/17 子公司1互联类全部地址空间 10.32.192.0/17 子公司1应用类全部地址空间 10.33.0.0/17 子公司1因特网全部地址 10.32.196.0/21 子公司1的应用类1微机室工作人员全部地址空间 10.32.200.0/21 子公司1的应用类1财务部工作人员全部地址空间 10.32.204.0/21 子公司1的应用类1行政部工作人员全部地址空间 10.32.208.0/21 子公司1的应用类1研发部工作人员全部地址空间 10.32.212.021 子公司1的应用类1后勤部工作人员全部地址空间 10.32.216.0/21 子公司1的应用类1人力资源部工作人员全部地址空间 10.32.220.0/21 子公司1的应用类1业务部工作人员全部地址空间 10.32.224.0/21 子公司1的应用类1生产部工作人员全部地址空间 子公司2 10.48.0.0/13 子公司2全部地址空间 10.48.64.0/17 子公司2网管类全部地址空间 10.48.128.0/17 子公司2互联类全部地址空间 10.48.192.0/17 子公司2应用类全部地址空间 10.49.0.0/17 子公司2因特网全部地址 10.48.196.0/21 子公司1的应用类1微机室工作人员全部地址空间 10.48..200.0/21 子公司2的应用类1财务部工作人员全部地址空间 10.48.204.0/21 子公司2的应用类1行政部工作人员全部地址空间 10.48.208.0/21 子公司2的应用类1研发部工作人员全部地址空间 10.48.212.0/21 子公司2的应用类1后勤部工作人员全部地址空间 10.48.216.0/21 子公司2的应用类1人力资源部工作人员全部地址空间 10.48.220.0/21 子公司2的应用类1业务部工作人员全部地址空间 10.48.224.0/21 子公司2的应用类1生产部工作人员全部地址空间 子公司3 10.64.0.0/13 子公司3全部地址空间 10.64.64.0/17 子公司3网管类全部地址空间 10.64.128.0/17 子公司3互联类全部地址空间 10.64.192.0/17 子公司3应用类全部地址空间 10.65.0.0/17 子公司3因特网全部地址 10.64.196.0/21 子公司3的应用类1微机室工作人员全部地址空间 10.64.200.0/21 子公司3的应用类1财务部工作人员全部地址空间 10.64.204.0/21 子公司3的应用类1行政部工作人员全部地址空间 10.64.208.0/21 子公司3的应用类1研发部工作人员全部地址空间 10.64.212.0/21 子公司3的应用类1后勤部工作人员全部地址空间 10.64.216.0/21 子公司3的应用类1人力资源部工作人员全部地址空间 10.64.220.0/21 子公司3的应用类1业务部工作人员全部地址空间 10.64.224.0/21 子公司3的应用类1生产部工作人员全部地址空间 子公司4 10.80.0.0/13 子公司4全部地址空间 10.80.64.0/17 子公司4网管类全部地址空间 10.80.128.0/17 子公司4互联类全部地址空间 10.80.196.0/17 子公司4应用类全部地址空间 10.81.0.0/17 子公司4因特网全部地址 10.80.196.0/21 子公司4的应用类1微机室工作人员全部地址空间 10.80.200.0/21 子公司4的应用类1财务部工作人员全部地址空间 10.80.204.0/21 子公司4的应用类1行政部工作人员全部地址空间 10.80.208.0/21 子公司4的应用类1研发部工作人员全部地址空间 10.80.212.0/21 子公司4的应用类1后勤部工作人员全部地址空间 10.80.216.0/21 子公司4的应用类1人力资源部工作人员全部地址空间 10.80.220.0/21 子公司4的应用类1业务部工作人员全部地址空间 10.80.224.0/21 子公司4的应用类1生产部工作人员全部地址空间 北京分公司(5) 10.96.0.0/13 子公司5全部地址空间 10.96.64.0/17 子公司5网管类全部地址空间 10.96.128.0/17 子公司5互联类全部地址空间 10.96.192.0/17 子公司5应用类全部地址空间 10.97.0.0/17 北京子公司因特网全部地址 10.96.196.0/21 子公司5的应用类1微机室工作人员全部地址空间 10.96.200.0/21 子公司5的应用类1财务部工作人员全部地址空间 10.96.204.0/21 子公司5的应用类1行政部工作人员全部地址空间 10.96.208.0/21 子公司5的应用类1研发部工作人员全部地址空间 10.96.212.0/21 子公司5的应用类1后勤部工作人员全部地址空间 10.96.216.0/21 子公司5的应用类1人力资源部工作人员全部地址空间 10.96.220.0/21 子公司5的应用类1业务部工作人员全部地址空间 10.96.224.0/21 子公司5的应用类1生产部工作人员全部地址空间 上海分公司(6) 10.112.0.0/13 子公司6全部地址空间 10.112.64.0/17 子公司6网管类全部地址空间 10.112.128.0/17 子公司6互联类全部地址空间 10.112.192.0/17 子公司6应用类全部地址空间 10.113.0.0/17 上海子公司因特网全部地址 10.112.196.0/21 子公司6的应用类1微机室工作人员全部地址空间 10.112.200.0./21 子公司6的应用类1财务部工作人员全部地址空间 10.112.204.0./21 子公司6的应用类1行政部工作人员全部地址空间 10.112.208.0./21 子公司6的应用类1研发部工作人员全部地址空间 10.112.212.0./21 子公司6的应用类1后勤部工作人员全部地址空间 10.112.216.0./21 子公司6的应用类1人力资源部工作人员全部地址空间 10.112.220.0./21 子公司6的应用类1业务部工作人员全部地址空间 10.112.224.0/21 子公司6的应用类1生产部工作人员全部地址空间 其中,在项目实施的时候,接入层交换机的IP地址建议使用网管类地址空间10.*.34.0/24,多层交换机的IP地址的LOOPBACK接口的IP地址建议使用网管类地址10.*.35.*/32;所有汇聚层设备互联IP地址使建议使用互联类空间10.16.65.0/27和10.16.65.32/27,相互备份的2台汇聚层设备的IP地址建议使用互联类地址空间10.*.65.248/29。 ⑶ 冗余电源 Cisco6509系列以太网交换机提供了RPS电源备份接口,可以对设备提供一对一的电源备份和保护,也可以以一路直流电源对多台支持RPS接口的设备进行备份和保护。 ⑷ 生成树(STP/RSTP/MSTP) Cisco6509系列以太网交换机支持STP/RSTP/MSTP生成树协议。 生成树协议主要用来建立和维护局域网的拓扑,消除循环连接导致的网络广播风暴,并且提供网络的拓扑的冗余备份功能,平时作为备份的路径被阻塞,当主用路径网络设备出现故障时,能够及时调整端口状态,调整网络拓扑。 生成树协议的工作原理:网络中的桥接设备根据设定的优先值和MAC地址,确定最优先的设备为网络的根桥,根桥向外定时发送Config BPDU报文,每个收到该报文的交换机将报文内容根据自身的配置和所掌握的网络拓扑结构进行更新下发到其他端口,当一个交换机从两个或两个以上端口接收到Config BPDU的时候就表明网络中存在循环,保留其中一个端口为转发状态,设置其余端口为阻塞状态。 除了支持传统的生成树协议外,Cisco6509系列以太网交换机还支持IEEE 802.1w快速生成树协议(RSTP),以及802.1s多生成树协议(MSTP)。快速生成树协议是生成树协议的改进,在原有功能的基础上提高了网络保护的性能。传统生成树倒换时间为42s,从发现链路断裂、数据中断到数据恢复至少需要三十多秒的时间,而快速生成树协议只需6~8秒的时间就可以将数据流切换到备份链路上。 802.1s多生成树协议(MSTP)可以通过支持一个网络内的多个生成树,这使管理员可以把VLAN流量分配给唯一的通路。网络管理员只要为VLAN分配独立的生成树拓扑,就可以确保两个VLAN都能在网上顺畅传输。这就可以起到均衡网络流量,提高可靠性的作用。Cisco6509系列以太网交换机最大可以支持17个或者33个STP实例。 ⑸ 链路聚合(Link Aggregation ) 为了在以太网上获得更高的数据传输带宽,Cisco6509系列以太网交换机提供了二层的端口链路聚合功能(基于标准IEEE 802.3ad)。这样在生成树协议(STP)和其他二层协议上看,作了链路聚合的所有物理端口被视为同一个端口。在作了链路聚合的端口之间可以做冗余备份和负载分担。 在实际应用中,进行聚合处理的端口等同于一个端口,任何转发到聚合的端口上的报文会通过对源、目的地址的逻辑运算来分布到聚合的不同端口上。即使是多播和广播报文也不会被复制多份,也要通过对地址的逻辑计算,将流量平衡分配到不同的端口上。Cisco6509系列以太网交换机系统在二层和三层对硬件查表未命中的新地址进行监控。如果新地址是在聚合的端口上时,根据二层和三层的不同,使用MAC地址或IP地址进行逻辑计算,根据逻辑的结果选择相应端口为转发端口,发往该目的地址的帧将按照计算负载均衡后的结果进行转发,实现端口之间负载均衡和冗余保护,保证数据流不出现乱序现象。 ⑹HSRP HSRP是CISCO公司是所特有的。HSRP向主机提供了缺省网关的冗余性,减少了主机维护路由表的任务。当网络边缘设备或接入电路出现故障时,HSRP提供了一个较好的解决方案,它能够确保用户通信迅速并透明地恢复,以此为IP网络提供冗余性、容错和增强的路由选择功能。通过使用热备份路由份协议(HSRP),可使网络对最终用户的可用性得到充分的保证。另外,通过多个热备份组,路由器可以提供冗余备份,并在不同的IP子网上实现负载分担。 旭日集团园区网的IP地址规范中规定:网关的地址统一使用子网的最后一个可用地址。启用HSRP协议之后,这个地址就是HSRP的虚拟地址。 在成对的两台汇聚层多层交换机上,具体的HSRP配置规范如下: 1. 接口的IP地址:在第一台多层交换机上,某个VLAN虚拟接口的IP地址是子网的最后第三个可用地址,在第二台多层交换机上,某个VLAN虚拟接口的IP地址是子网的最后第二个可用地址。 2.热备份组号:热备份组号与接口的VLAN号相同。 3.热备份地址:热备份地址是子网的最后一个可用地址。 4.热备份优先级:在主用的多层交换机了,某个VLAN虚拟接口的热备份优先级是120。并且主用的汇聚层交换机配置占先权。 ⑺ 等价路由(ECMP) 除了从设备级支持三层转发容错协议VRRP之外,Cisco6509系列以太网路由交换机还支持等价路由(ECMP)。等价路由即为到达同一个目的IP或者目的网段存在多条Cost值相等的不同路由路径,当设备支持等价路由时,发往该目的IP或者目的网段的三层转发流量就可以通过不同的路径分担,实现网络的负载均衡,并在其中某些路径出现故障时,由其它路径代替完成转发处理,实现路由冗余备份功能。 不仅从软件上,而且从硬件上也支持等价路由是Cisco6509系列以太网路由交换机与业界类似产品相比显著的优点。以前部分路由交换机虽然也宣称支持等价路由,但实际上只是从软件上支持,对软件转发的报文可以使用等价路由,但对于由硬件直接转发的报文,则只能从一条固定路径转发。而Cisco6509系列以太网路由交换机从硬件上也实现了等价路由的支持,真正实现了硬件三层转发流量的负载分担与路由冗余备份。 Cisco6509系列以太网路由交换机最大支持4条等价路由,并且不论RIP、OSPF等路由协议产生的路由,还是静态配置路由,不论是网段路由还是主机路由,甚至缺省路由,都可以支持等价路由。 Cisco6509系列以太网路由交换机在支持等价路由、实现负载均衡的同时,还能很好地保证报文的有序性。通过数据流的目的IP地址和源IP地址进行计算, Cisco6509系列以太网路由交换机可以保证同一个IP转发流都从同一个路由路径被转发出去,从而保证了整个端到端网络的路由报文转发的有序性,避免了TCP全局同步等问题的发生。 ⑻ 策略路由(PBR) Cisco6509系列以太网路由交换机支持高性能的策略路由。策略路由(Policy-Based Routing,简称PBR)是目前越来越多的路由器或三层交换机设备正在支持的一项路由扩展功能,支持策略路由的设备不仅能以报文的目的IP地址为依据来进行路由选择,还可以以报文的源IP地址、源MAC地址、报文大小、报文进入的端口、报文类型、报文的VLAN属性等等其它扩展条件来选择路由。通过合理的路由策略设计,可以实现网络流量的负载均衡,充分利用路由设备,并实现路由、交换设备之间的冗余备份功能,同时提供各种可以区分的服务等级,为不同用户提供不同的QoS服务。策略路由是设置在接收报文接口而不是发送接口。Cisco6509系列以太网路由交换机可以很好地支持策略路由功能,并且可以将路由下一跳重定向到某个物理端口,或者某个下一跳IP地址。 ⑼ VPN Cisco6509系列以太网路由交换机支持VPN,VPN(虚拟专网)是利用公共网络资源(如公用电信网)为客户组建专用网的一种技术,它通过对网络数据进行封包和加密传输,在公网上传输私有数据,达到私有网络的安全级别,从而利用公网构筑专网(即VPN)。它是一种逻辑上的专用网络,向用户提供专用网络所具有的功能,但本身却不是一个独立的物理网络。 3.7网络安全设计 旭日集团园区网有5000用户,网络规模比较大,并且和因特网存在连接。为了保障网络系统的运行安全,保护集团的信息安全,必须进行网络安全方面的规划和实施。 一个网络的安全,首先要有严格和有效执行的管理制度。建议旭日集团制定严格的网络安全管理策略,并有效的执行。其次,必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施,才能够产生良好的效果。 通过以下几个技术方面的实施,可以在一定程度上保障网络的安全: Ø 提高设备的物理安全性 Ø 配置设备的口令 Ø 进行VTP域的认证 Ø 园区网用户的接入控制 Ø 应用系统的访问控制 Ø 因特网的接入安全控制 ⑴ 提高设备的物理安全性 设备的物理安全性是指运行中的设备,未经授权的人员不能直接接触到。提高设备的物理安全性,是最基本的要求。通过将设备安置在独立的设备间中,并增加门禁系统,确保只有授权的管理和维护人员才能接触到物理设备。 ⑵ 配置设备的口令 配置设备的口令,是防止非授权的人员更改网络系统的配置的重要手段。 要为所有的设备设置口令。要为每一台设备配置CONSOLE口令,AUX口令,VTY口令,特权口令等 在口令方面,需要制定管理制度并严格执行。口令管理制度包括口令的设置,保管,更改,口令的强度等内容。 ⑶ 进行VTP域的认证 进行VTP域的认证,能够保证局域网的VLAN等的安全。 设置了口令之后,除非交换机设置了正确的口令,否则。新交换机不能自动加入到已存在的管理域中。保证了局域网的运行安全,可以避免因为VLAN被错误或者恶意的增加。删除造成的运行事故。 ⑷ 园区用户的接入控制 因为一般的安全措施都不是针对网络呢的用户的,严格控制用户的接入,可以避免非法用户接入带来的潜在的安全隐患。 园区网系统建设验收完毕之后,确保交换机的所有用户端口处于关闭状态。只有用户使用申请通过批准之后网络管理员才能将端口激活。 ⑸ 应用系统的访问限制 可以 根据旭日集团的应用需求,在汇聚层的多层交换机上实施访问控制,限制园区网用户对特定应用系统的访问,或者只允许特定的用户访问某些资源。 ⑹ 因特网的接入安全控制 因特网的接入安全控制是非常重要的,不仅需要布置防火墙等安全设备,还要指定严格的安全策略。 四.系统设计方案 4.1系统设计总体需求 本项目的实施目的是在旭日集团内部建立稳定,高效的办公自动化网络,通过项目的实施,为所有员工配桌面PC,使所有员工能够通过总部网络进入internet,从而提高所有员工的工作效率和加快企业内部信息的传递。同时需要建立WEB服务器,用于在互联网上发布企业信息。在总部和子公司均设立专用发服务器,使集团内所有员工能够利用服务器方便的访问公共文件资源,并能够完成企业内部邮件的收发。系统建立完成后,要求能满足企业个方面的应用需求,包括办公自动化,邮件收发,信息共享和发布,员工帐户管理,系统安全管理等。 4.2系统设计原则 随着集团近年来的高速发展,集团的业务已经涉及到各个商业领域,集团及公司内部的组织结构也日益复杂,在本项目的设计实施过程中,要求工程实施方案在规划系统设计时充分考虑到企业管理的需求,设计合理的系统管理结构,能够很大程度的降低集团在系统管理上的成本,并能满足各种商务工作的需求,具体设计应依据以下原则: Ø 清晰的逻辑结构:要求集团范围内的系统管理结构清晰,层次分明,能够充分的与集团的管理结构相吻合。集团总部和各个分公司应是相互独立的管理单元,各个单位在自己公司范围内实现用户账户及网络安全的管理。总部管理员有权管理各个子公司的系统 Ø 便于管理:整个系统设计要便于网络管理员的管理,在系统中提供便于管理员管理的各种有效方式。使管理员在任何一个位置均能对服务器进行维护和管理。集团总部及各分公司都有专职系统管理员,应保障管理员只对本公司具有管理权限。总部管理员对集团所有系统有管理权限。 Ø 简单的设计:在保障满足需求的前提下,设计方案应简单为佳,避免由于复杂的设计增加工程实施难度和增加集团系统管理的复杂性。 Ø 合理的用户管理:所有的用户采用统一的命名规则,每个单位对本单位员工帐户进行独立的管理,并按不同部门管理账号。 4.3系统设计方案 4.3.1 系统的构价 ⑴根据集团的管理结构。本方案采用Windows系统提供的域模式来组织和管理全部系统资源,采用域的模式,不仅可以集中存储网络对象,并且管理简单,即实现了集中管理,又可以满足不同公司自身的安全需求。方案中将集团按公司单位划分不同的模块,集团总部作为域林的根,每个子公司为一个独立的域或者域树,形成一个完整的树状结构。 采用这种结构,可以将网络中的全部资源,分散到每个域的域控制器中存储,减少了每台域控制器的信息存储,从而减少复制流量和网络对象的查询时间。具体的实现如下图: DC DC DC DC DC DC DC 根域:xuri.com 集团总部 北京分公司:xuribeijing.com 上海分公司:shanghai.com 子公司1:one.xuri.com 子公司2:two.xuri.com 子公司3:three.xuri.com 子公司4:four.xuri.com 同一个站点 森林 在此构架设计中,旭日集团需要自己的独立的域名,所以在设计林中树,武汉的4个子公司作为总部的子域,北京和上海分公司作为一单独的域树, 由于所有的资源都位于园区网内,具有高速的网络连接,因此所有的域均在一个站点内。即使域中的一台域控制器发生故障,仍然能保障系统的正常运行。并且提高了用户身份验证的速度。 操作主机分配:操作主机域中扮演着重要的角色,直接影响到域是否能够正常工作,在Windows2003的域中,一共有五种操作主机,分别是构架主机,域名主机,RID主机,PDC仿真器,结构主机。其中前面2种在林范围内起作用,后面3种在域范围内起作用,为了使用所有的操作主机更好的工作,保障正常的工作并且不产生大的复制流量,方案采用了Windows系统默认的设置,根域中第一台DC承担了五种操作主机的角色,每个子域中的 第一台DC承担了域范围内的三种操作主机角色。 4.3.2系统管理设计 在系统设计时包括三个部分,分别是OU,用户及组的设计,为了更好的满足集团的需要,便于系统管理员方便管理企业中的所有用户,系统管理结构与集团的管理结构相匹配,方案中采用了如下所述的设计。 Ø OU的设计 集团的OU设计目的是为了使用用户管理更有效率,结构更加清晰,并能够使系统的管理结构与集团的商业模型相匹配。在本方案中按部门划分OU的方法,将每个公司中以部门为单位创建OU,并在部门OU中保存该部门的用户帐户,计算机帐户及组采用这种设计的方法,可以在系统管理中清楚的体现公司的管理结构,一般情况下,一个部门内部中的用户常常有相似的安全需求,利用这样的设计方法,也可以方便的将安全策略应用到某个部门。 Ø 拥护管理 为了规范用户帐户的管理,系统中所有的用户采用统一的命名规范,每个用户在网络中拥有唯一的登陆名。用户帐户在所属的部门的OU中创建。 Ø 组的管理 为了满足集团用户管理的需求,更好的在网络中管理用户权限的分配,使系统的管理得到最大的简化,方案中采用AGDLP策略及AGUDLP策略。在每个域中创建全局组,用与组织本域的帐户,在没个域中创建域本地组,用于完成权限的指派。在本域内的权限的分配,可以使用AGDLP策略,在域间的权限分配,使得AGDLP策略,依次将用户加入全局组,将全局组加入通用组,在将通用组加入域本地组,最后可以根据需要将权限授予指定的域本地组,采用这样的方式,不仅可以使用户的组织和权限分配简单,也可以减少域间的复制流量,从而提高系统的性能。如图所示: 域本地组 通用组 全局组 用户 通用组 全局组 用户 分配权限 4.3.3系统的安全设计 在设计方案中,安全的设计主要分2个部分,首先是ISA Server的应用,通过ISA Server的配置,建立软件防火墙,保护集团内部网络不受外部用户的攻击,同时利用ISA Server提供的网站过滤功能和服务器发布功能,对企业内部用户的上网行为进行规范,并能保障服务器的安全使用。其次,在方案设计中,充分应用Window系统提供的组策略功能,利用组策略,可以在每个公司的域中设计安全策略。防止用户进行非授权的访问,保护用户在工作环境不受破坏。具体的设计方案如下: Ø ISA Server:ISA Server是微软公司出品的软件防火墙代理服务器产品,它不仅可以起到代理服务器的缓存作用,也能实现防火墙的功能,通过软件防火墙上设置过滤规则,可以控制内部用户对网站的访问,同时利用其提供的服务器发布功能,也可以将企业内部的服务器发布到Internet上,提供互联网的访问,在本方案的设计中,主要利用了网站过滤和服务器发布的功能,在集团中心即房安装和配置ISA服务器,继承防火墙功能和代理服务器的功能,将集团总部及子公司的WEB服务器及MAIL服务器发布到互联网上。集团中所有的客户端做为ISA的客户端,所有的互联网的访问均通过ISA服务器转发,这样,就可以在ISA服务器上对所有网络流量进行监控并对实现网络访问的过滤。具体部署如图: xuri.com 对外发布WEB MAIL 森林 树 ISA Client ISA Client ISA Server Ø 防火墙功能:ISA服务器位于企业网络和外网之间,采用三网卡分别连接内网和外网和DZM区,充分利用防火墙的角色,并利用网站和内容规则来限制用户能够访问的网站 Ø 服务器发布:利用ISA服务器将企业中的邮件和WEB服务器发布到互联网上,保证外部用户可以访问公司的WEB服务器,并将公司用户可以与外部客户利用邮件交换信息。 Ø 客户端:在所有用户计算机上安装ISA客户端软件,并配置浏览器使用ISA Server作为代理服务器上网。 Ø 安全策略:在Windows系统中的域模式下,安全策略是保护系统及用户在工作环境不被破坏的重要工具,在本方案中采用了组策略这个工具对全部系统提供安全保护,由于集团各个子公司采用独立的管理模式,所以在每个域中单独设置组策略,并使组策略应用到每个域中的用户和计算机。各个子公司的系统管理员可以独立的管理子公司的域,并可以在以后修改和编辑组策略,以适应公司未来的需求。在本方案中,根据集团的目前的需求,建立了基本的组策略 ⑴ 密码长度最小值为7 ⑵ 密码最长存留期为30天 ⑶ 密码过期期限为50天 ⑷ 帐户锁定阀值为5次无效登陆 ⑸ 启动密码必须符合复杂性需求策略 五、Windows服务器解决方案 5.1. WEB服务器 微软Windows Server 2003中的IIS 6.0为用户提供了集成的、可靠的、可扩展的、安全的及可管理的内联网、外联网和互联网Web服务器解决方案。IIS 6.0经过改善的结构可以完全满足全球客户的需求。 优点 IIS 6.0 和 Windows Server 2003在网络应用服务器的管理、可用性、可靠性、安全性、性能与可扩展性方面提供了许多新的功能。IIS 6.0同样增强了网络应用的开发与国际性支持。IIS 6.0和 Windows Server 2003提供了最可靠的、高效的、连接的、完整的网络服务器解决方案。 特点 描述 可靠性与可伸缩性 IIS 6.0提供了更智能的、更可靠的Web服务器环境,新的环境包括应用程序健康监测、应用程序自动地循环利用。其可靠的性能提高了网络服务的可用性并且节省了管理员用于重新启动网络服务所花费的时间,IIS 6.0将提供最佳的扩展性和强大的性能从而充分发挥每一台Web服务器的最大功效。 更安全、易于管理 IIS 6.0在安全与管理方面做出了重大的改进。安全性能的增强包括技术与需求处理变化两方面。另外,增强了在安全方面的认证和授权。IIS 6.0的默认安装是被全面锁定的,这意味着默认系统的安全系数就被设为最大,它提供的增强的管理性能改善了XML metabase的管理及新的命令行工具。 服务器合并 IIS 6.0是一个具有高伸缩性的Web服务器,它为Web服务器的合并提供了新的机遇。通过将可靠的体系结构和内核模式驱动程序完美结合在一起,IIS 6.0允许您在单台服务器上托管更多的应用程序。服务器合并还可以降低企业与人工、硬件以及站点管理相关的成本。 增强的开发与国际化支持 通过Windows Server 2003 与IIS 6.0支持的先进功能如内核模式缓存,应用程序开发人员将从Windows Server 2003 与IIS 6.0 单一的、完整的应用平台环境中受益。基于IIS 6.0,Windows Server 2003为开发者提供高标准的附加功能,包括快速应用程序开发以及广泛的语言选择,同时也提供了国际化支持和支持最新的Web标准。 更高的安全性 IIS 6.0显著改进了Web服务器的安全性。IIS 6.0在默认情况下处于锁定状态,从而减少了暴露在攻击者面前的攻击表面积。此外,IIS 6.0的身份验证和授权功能也得到了改进。IIS 6.0还提供了更多更强大的管理功能,改善了对XML元数据库(metabase)的管理,并且提供了新的命令行工具。IIS 6.0在降低系统管理成本的同时,大大提高了信息系统的安全性。 Web服务器更高的可靠性和可用性 IIS 6.0已经经过了广泛的重新设计,以提高Web服务器的可靠性和可用性。新的容错进程架构和其它功能特性可以帮助用户减少不必要的停机时间,并提高应用程序的可用性。 功能特性 描述 容错进程架构 IIS 6.0的容错式进程架构将Web站点和应用程序隔离到一个自包含的单元之中(又称应用程序池)。应用程序池为管理员管理一组Web站点和应用程序提供了便利,同时提高了系统的可靠性,因为一个应用程序池中的错误不会引起另外一个应用程序池或者服务器本身发生故障。 健康状况监视 IIS 6.0定期检查应用程序池的状态,并自动重新启动应用程序池中发生故障的Web站点或应用程序,从而提高了应用程序的可用性。通过自动禁用在短时间内频繁发生故障的Web站点和应用程序,IIS 6.0可以保护服务器和其它应用程序的安全。 自动进程回收 IIS 6.0可以根据一组灵活的标准和条件——例如CPU利用率和内存占用情况,自动停止和重新启动发生故障的Web站点和应用程序,同时将请求放入队列。IIS 6.0还可以在回收一个工作进程时对客户机的TCP/IP连接加以维护,将Web服务客户端应用程序与后端不稳定的Web应用程序隔离开来。 快速的故障保护 如果某个应用程序在短时间内频繁发生故障,IIS 6.0将自动禁用该程序,并且向所有新发出和排入队列的针对该应用程序的请求返回一个“503服务不可用”错误信息。例如,此外,还可以触发某些定制操作,例如触发一个调试操作或者向管理员发出通知。快速故障保护可以保护Web服务器免遭拒绝服务攻击。 更加轻松的服务器管理 借助IIS 6.0,Web基础结构的管理工作变得比以往更加轻松和灵活,从而为企业节约IT管理成本带来了新的机遇。 功能特性 描述 基于XML的配置文件 IIS 6.0中XML格式的纯文本元数据库(metabase)为发生故障的服务器带来了经过改进的备份和恢复功能。此外,它还提供了得到改进的故障处理和元数据库损坏恢复。使用常见的文本编辑工具对其进行直接编辑提供了更为出色的可管理性。 运行程序的同时对其进行编辑 在服务器保持运行的同时,IIS 6.0允许管理员对服务器配置做出各种修改。例如,管理员可以使用该特性添加一个新的站点,创建虚拟目录,或者修改应用程序池和工作进程的配置——所有这些都是在IIS 6.0继续处理请求的同时发生的,并且无需进行重新编译或者重新启动服务器。 基于命令行和脚本的管理 IIS 6.0的管理员可以使用Windows Server 2003的命令行工具完成很多常见的管理工作。利用一个简单的命令,管理员即可管理多个本地或远程计算机。IIS 6.0还提供了一个完整的脚本环境,以在不使用图形用户界面的情况下,从命令行自动完成多种常见的管理任务。 对WMI的支持 IIS 6.0全面支持Windows Management Instrumentation(Windows管理规范,WMI), Web管理员可以通过它获取重要的企业管理数据,例如性能计数器和配置文件。WMI的接口从本质上说类似于继续享受支持的Microsoft Active Directory® Service Interfaces(ADSI),可以在管理脚本中使用,并且可以用来修改基于XML的配置元数据库。 服务器合并 和先前版本相比,IIS 6.0的性能已经得到了极大的提高,现在,单台服务器即可托管更多的站点和应用程序。 功能特性 描述 站点伸缩性 IIS 6.0改进了操作系统使用内部资源的方法。例如,在初始化过程中,IIS 6.0不会预先分配资源。通过运行IIS 6.0,您可以在单台服务器上管理更多的站点和并发执行更多的工作进程。和IIS的先前版本相比,服务器的启动和关闭过程更加快捷。所有这些改进都使得IIS 6.0能够以更大的伸缩性对站点进行管理. 新的内核模式驱动程序,HTTP.sys Windows Server 2003引入了一种新的内核模式驱动程序,即HTTP协议堆栈(HTTP.sys),并使用它进行HTTP的解析和缓存,从而大大提高了系统的伸缩性和性能表现。IIS 6.0便建立在HTTP.sys的基础之上,并且针对提高Web服务器的吞吐量这一目的进行了特别的优化和调整。 Web园 IIS 6.0的工作进程隔离模式还允许多个工作进程被配置到针对某个给定应用程序池的服务请求上,这种配置又被称作Web园(Web garden)。 处理器关联 如果设置了处理器关联,IIS 6.0的工作进程便可以运行在指定的 微处理器或CPU上。处理器关联还可以和运行在多处理器计算机之上的Web园配合使用,在这些计算机上,CPU群集专门共指定的应用程序池使用。 更快捷的应用程序开发 通过提供一组全面完善的集成化应用程序服务和领先于业界的工具,Windows Server 2003应用程序环境大大改善了开发人员的工作效率和生产力。 功能特性 描述 ASP.NET和IIS的集成 通过将ASP.NET和IIS集成在一起,Windows Server 2003提供了更为美妙的开发体验。Windows Server 2003的各种增强建立在IIS 6.0的基础之上,为开发人员提供了高水平的功能特性,例如快速应用程序开发(RAD)和广泛灵活的语言选择。在Windows Server 2003中,使用ASP.NET和.NET Framework的得到了进一步优化,因为用来处理请求的体系架构与IIS 6.0紧密集成在一起。 Microsoft .NET Framework Microsoft .NET Framework允许开发人员在ASP.NET和其它技术的帮助下创建优秀的Web应用程序。此外,它还可以帮助他们开发与他们目前正在设计和开发的应用程序完全相同的程序。.NET Framework和语言无关;实际上您可以使用任何语言为它开发程序。开发人员可以使用各种语言构建基于.NET的应用程序和服务,包括: Microsoft Visual C++® .NET、Visual Basic® .NET、JScript®以及Visual C# .NET。 XML Web 服务 IIS 6.0提供了一个高性能的XML Web服务平台。XML Web服务为用户远程访问服务器功能提供了手段。通过使用Web服务,企业可以将编程接口暴露给他们的数据或业务逻辑,也可以通过客户端和服务器应用程序获得和操纵这些数据和业务逻辑。 跨越组织地理边界的信息共享 跨越组织的地理边界使用各种语言进行信息共享正在经济全球化浪潮中发挥越来越大的作用。过去,HTTP协议的非Unicode结构将开发人员限制在系统代码页上。现在,利用经过UTF-8(UCS Transformation Format 8)编码的URL ,Unicode成为了可能,它带来的好处之一便是:人们可以支持更复杂的语言了,例如中文。IIS 6.0允许用户使用Unicode访问服务器变量。此外,它还添加了新的服务器支持函数,允许开发人员访问以Unicode形式表述的URL地址,因此改善了产品的国际化支持能力。 更高的安全性 IIS 6.0远比IIS 4x 或 IIS 5x安全,它拥有很多新的功能特性,能够大大提高您的Web基础结构的安全性。此外,在默认状况下,IIS 6.0即处于“锁定”状态,同时具有最为可靠的超时设置和内容限制。 功能特性 描述 锁定服务器 IIS 6.0在安全性方面进行了很大的加强。为了减少系统向外界暴露的攻击表面积,IIS 6.0默认情况下不会安装在Windows Server 2003之中——管理员必须明确地选择该组件并安装它。IIS 6.0缺省即处于锁定状态下,并仅仅能够为用户提供静态内容。通过使用Web服务扩展节点,Web站点的管理员可以根据组织的特殊需要,启用或禁用某些IIS功能。 Web服务扩展列表 默认情况下的IIS安装不会编译、执行或者提交任何动态页面。为了向用户提供这些文件,您必须在Web服务扩展列表中添加每个允许提交的文件扩展名。这种做法可以防止某些人调用一些不够安全的动态页面。 默认的低权限账户 所有IIS 6.0的工作进程默认情况下都使用“网络服务”用户账户运行,这个在Windows Server 2003中新增加的账户类型是一种拥有有限操作系统权限的内置账户。所有的ASP内置功能都使用低权限账户(匿名用户)在系统中运行。 授权 IIS 6.0对Windows Server 2003内置的新的授权框架进行了进一步的扩展。此外,Web应用程序可以使用URL授权——以及授权管理器(Authorization Manager)——对用户的访问加以控制。现在,受约束的委派授权使得域管理员只能向特定的计算机和服务进行委派操作。 web应用服务器集群系统,是由一群同时运行同一个web应用的服务器组成的集群系统,在外界看来,就像是一个服务器一样。为了均衡集群服务器的负载,达到优化系统性能的目的,集群服务器将众多的访问请求,分散到系统中的不同节点进行处理。从而实现了更高的有效性和稳定性,而这也正是基于Web的企业应用所必须具备的特性。 高可靠性可以看作为系统的一种冗余设定。对于一个特定的请求,如果所申请的服务器不能进行处理的话,那么其他的服务器能不能对之进行有效的处理呢?对于一个高效的系统,如果一个Web服务器失败的话,其他的服务器可以马上取代它的位置,对所申请的请求进行处理,而且这一过程对用户来说,要尽可能的透明,使用户察觉不到! 稳定性决定了应用程序能否支持不断增长的用户请求数量,它是应用程序自身的一种能力。稳定性是影响系统性能的众多因素的一种有效的测量手段,包括机群系统所能支持的同时访问系统的最大用户数目以及处理一个请求所需要的时间。 在现有众多的均衡服务器负载的方法中,广泛研究并使用的是以下两个方法: DNS负载平衡的方法RR-DNS(Round-Robin Domain Name System) 负载均衡器 DNS轮流排程 RR-DNS(Round-Robin Domain Name System) 域名服务器(Domain Name Server)中的数据文件将主机名字映射到其IP地址。当你在浏览器中键入一个URL时(例如:www.loadbalancedsite.com),浏览器则将请求发送到DNS,要求其返回相应站点的IP地址,这被称为DNS查询。当浏览器获得该站点的IP地址后,便通过该IP地址连接到所要访问的站点,将页面展现在用户面前。 域名服务器(DNS)通常包含一个单一的IP地址与该IP地址所映射的站点的名称的列表。在我们上面所假象的例子中,www.loadbalancedsite.com 这个站点的映射IP地址为203.24.23.3。 为了利用DNS均衡服务器的负载,对于同一个站点来讲,在DNS服务器中同时拥有几个不同的IP地址。这几个IP地址代表集群中不同的机器,并在逻辑上映射到同一个站点名。通过我们的例子可以更好的理解这一点,www.loadbalancedsite.com将通过下面的三个IP地址发布到一个集群中的三台机器上:     203.34.23.3   203.34.23.4   203.34.23.5   在本例中,DNS服务器中包含下面的映射表:   www.loadbalancedsite.com 203.34.23.3   www.loadbalancedsite.com 203.34.23.4   www.loadbalancedsite.com 203.34.23.5   当第一个请求到达DNS服务器时,返回的是第一台机器的IP地址203.34.23.3;当第二个请求到达时,返回的是第二台机器的IP地址203.34.23.4,以此类推。当第四个请求到达时,第一台机器的IP地址将被再次返回,循环调用。 利用上述的DNS Round Robin技术,对于某一个站点的所有请求将被平均的分配到及群中的机器上。因此,在这种技术中,集群中的所有的节点对于网络来说都是可见的。 DNS 轮流排程的优势 DNS Round Robin的最大的优点就是易于实现和代价低廉: 代价低,易于建立。 为了支持轮流排程,系统管理员只需要在DNS服务器上作一些改动,而且在许多比较新的版本的DNS服务器上已经增加了这种功能。对于Web应用来说,不需要对代码作任何的修改;事实上,Web应用本身并不会意识到负载均衡配置,即使在它面前。 简单. 不需要网络专家来对之进行设定,或在出现问题时对之进行维护。 DNS 轮流排程的缺点 这种基于软件的负载均衡方法主要存在两处不足,一是不实时支持服务期间的关联,一是不具有高可靠性。 不支持服务器间的一致性。服务器一致性是负载均衡系统所应具备的一种能力,通过它,系统可以根据会话信息是属于服务器端的,还是底层数据库级别的,继而将用户的请求导向相应的服务器。而DNS轮流排程则不具备这种智能化的特性。它是通过cookie、隐藏域、重写URL三种方法中的一种来进行相似的判断的。当用户通过上述基于文本标志的方法与服务器建立连接之后,其所有的后续访问均是连接到同一个服务器上。问题是,服务器的IP是被浏览器暂时存放在缓存中,一旦记录过期,则需要重新建立连接,那么同一个用户的请求很可能被不同的服务器进行处理,则先前的所有会话信息便会丢失。 不支持高可靠性。设想一个具有N个节点的集群。如果其中的一个节点毁坏,那么所有的访问该节点的请求将不会有所回应,这是任何人都不愿意看到的。比较先进的路由器可以通过每隔一定的时间间隔,对节点检查,如果有毁坏的节点,则将之从列表中去除的方法,解决这个问题。但是,由于在Internet上,ISPs将众多的DNS存放在缓存中,以节省访问时间,因此,DNS的更新就会变得非常缓慢,以至于有的用户可能会访问一些已经不存在的站点,或者一些新的站点得不到访问。所以,尽管DNS轮流排程在一定程度上解决了负载均衡问题,但这种状况的改变并不是十分乐观和有效的。   除了上面介绍的轮流排程方法外,还有三种DNS负载均衡处理分配方法,将这四种方法列出如下: Ø Round robin (RRS): 将工作平均的分配到服务器 (用于实际服务主机性能一致) Ø Least-connections (LCS): 向较少连接的服务器分配较多的工作(IPVS 表存储了所有的活动的连接。用于实际服务主机性能一致。) Ø Weighted round robin (WRRS): 向较大容量的服务器分配较多的工作。可以根据负载信息动态的向上或向下调整。 (用于实际服务主机性能不一致时) Ø Weighted least-connections (WLC): 考虑它们的容量向较少连接的服务器分配较多的工作。容量通过用户指定的砝码来说明,可以根据装载信息动态的向上或向下调整。(用于实际服务主机性能不一致时) 负载均衡器 负载均衡器通过虚拟IP地址方法,解决了轮流排程所面临的许多问题。使用了负载均衡器集群系统,在外部看来,像是具有一个IP地址的单一服务器一样,当然,这个IP地址是虚拟的,它映射了集群中的每一台机器的地址。所以,在某种程度上,负载均衡器是将整个集群的IP地址报漏给外部网络。 当请求到达负载均衡器时,它会重写该请求的头文件,并将之指定到集群中的机器上。如果某台机器被从集群中移除了,请求不会别发往已经不存在的服务器上,因为所有的机器表面上都具有同一个IP地址,即使集群中的某个节点被移除了,该地址也不会发生变化。而且,internet上缓存的DNS条目也不再是问题了。当返回一个应答时,客户端看到的只是从负载均衡器上所返回的结果。也就是说,客户端操作的对象是负载均衡器,对于其更后端的操作,对客户端来讲,是完全透明的。 负载均衡器的优点 服务器一致性. 负载均衡器读取客户端发出的每一个请求中所包含的cookies或url解释。基于所读出的这些信息,负载均衡器就可以重写报头并将请求发往集群中合适的节点上,该节点维护着相应客户端请求的会话信息。在HTTP通信中,负载均衡器可以提供服务器一致性,但并不是通过一个安全的途径(例如:HTTPS)来提供这种服务。当消息被加密后(SSL),负载均衡器就不能读出隐藏在其中的会话信息。 通过故障恢复机制获得高可靠性. 故障恢复发生在当集群中某个节点不能处理请求,需将请求重新导向到其他节点时。主要有两种故障恢复: 请求级故障恢复。当集群中的一个节点不能处理请求时(通常是由于down机),请求被发送到其他节点。当然,在导向到其他节点的同时,保存在原节点上的会话信息将会丢失。 透明会话故障恢复。当一个引用失败后,负载均衡器会将之发送到集群中其他的节点上,以完成操作,这一点对用户来说是透明的。由于透明会话故障恢复需要节点具备相应的操作信息,因此为了实现该功能,集群中的所有节点必须具有公共存储区域或通用数据库,存储会话信息数据,以提供每个节点在进行单独进程会话故障恢复时所需要的操作信息。 统计计量。既然所有的Web应用请求都必须经过负载均衡系统,那么系统就可以确定活动会话的数量,在任何实例访问中的活动会话的数目,应答的次数,高峰负载次数,以及在高峰期和低谷期的会话的数目,还有其他更多的。所有的这些统计信息都可以被很好的用来调整整个系统的性能。 负载均衡器的缺点 硬件路由的缺点在于费用、复杂性以及单点失败的。由于所有的请求均是通过一个单一的硬件负载均衡器来传递,因此,负载均衡器上的任何故障都将导致整个站点的崩溃。 HTTPS请求的负载均衡 正如上面所提到的,很难在那些来自HTTPS的请求上进行负载均衡和会话信息维护处理。因为,这些请求中的信息已经被加密了。负载均衡器没有能力处理这类请求。不过,这里有两种方法可以解决这一问题: 代理网络服务器 硬件SSL解码器 代理服务器位于服务器集群之前,首先由它接受所有的请求并对之进行解密,然后将这些处理后的请求根据头信息重新发往相应的节点上,这种方式不需要硬件上的支持,但会增加代理服务器的额外的负担。 硬件SSL解码器,则是在请求到达负载均衡器之前,先经由它进行解密处理。这种方式比代理服务器的处理速度要快捷一些。但代价也高,而且实现比较复杂。 5.2 FTP服务器角色:配置文件服务器 文件服务器提供网络上的中心位置,可供您存储文件并通过网络与用户共享文件。当用户需要重要文件(比如项目计划)时,他们可以访问文件服务器上的文件,而不必在各自独立的计算机之间传送文件。如果您的网络用户需要对相同文件和可通过网络访问的应用程序的访问权限,就要将该计算机配置为文件服务器。 开始之前将计算机配置为文件服务器之前,请验证是否: • 正确配置了操作系统。在 Windows Server 2003 家族产品中,文件服务依赖于操作系统及其服务的适当配置。如果您的 Windows Server 2003 操作系统采用的是全新安装,则可以使用默认服务设置。没有必要执行进一步的操作。如果您的 Windows Server 2003 操作系统采用的是升级安装,或者如果您要确认是否已正确配置了服务以获得最佳的性能与安全性,请使用服务的默认设置中的表来验证您的服务设置。 • 计算机作为成员服务器加入 Active Directory 域中。如果您希望验证客户端的身份,或者将共享文件夹发布到 Active Directory,文件服务器就必须加入域中。如果您不需要执行这两个任务,文件服务器就不需要加入域中。 • 分配所有可用磁盘空间。可以使用“磁盘管理”或 DiskPart.exe 从未分配的空间中创建新分区。详细信息,请参阅创建分区或逻辑驱动器。 • 现有的所有磁盘卷都使用 NTFS 文件系统。FAT32 卷安全性不好,而且不支持文件和文件夹压缩、磁盘配额、文件加密或单个文件权限。 • Windows 防火墙已启用。详细信息,请参阅在不允许例外的情况下启用 Windows 防火墙。 如果启用了 Windows 防火墙,则必须选择 Windows 防火墙中的“例外”选项卡上的“文件和打印机共享”,以便让“文件服务器角色”正确地发挥作用。 • “安全配置向导”已安装和启用。有关“安全配置向导”的信息,请参阅安全配置向导概述。 下表列出了在添加文件服务器角色之前必须了解的信息。 在添加文件服务器角色之前 注释 确定是否要配置磁盘配额。 使用磁盘配额跟踪和控制 NTFS 卷的以卷为单位的磁盘空间使用情况。配额可防止用户由于在超过指定的磁盘空间限制值时记录事件而超出设定的磁盘空间。 确定是否要使用“索引服务”。 索引服务可以创建本地硬盘驱动器以及共享网络驱动器上的文档的内容和属性索引。这些索引可允许用户执行更快速、更便捷的搜索。索引服务可能会降低服务器的运行速度,因此,只有在用户要经常搜索该服务器上的文件内容时才使用它。 确定要在计算机上共享的文件夹,并指定文件夹名称和说明。 用户根据文件名查看该文件服务器上的共享资源。建议您创建容易记住并能说明文件夹内容的共享名称。例如,假设向用户各自提供 2 GB 的空间,用于在文件服务器上存储其私有信息。可以将文件服务器上的顶层文件夹命名为 Personal Folders,然后根据用户的域名来命名每个子文件夹。 在添加文件服务器角色之前 注释 决定要在文件夹上设置什么类型的权限。 指派最具限制的权限,该权限仍允许用户执行需要的任务。NTFS 文件系统上的访问控制比起单独的共享权限要提供更多的安全性。 要配置文件服务器,请通过完成下面的任一操作来启动“配置您的服务器向导”: • 从“管理您的服务器”中,单击“添加或删除角色”。默认情况下,“管理您的服务器”会在您登录时自动启动。要打开“管理您的服务器”,请依次单击“开始”和“控制面板”,双击“管理工具”,再双击“管理您的服务器”。 • 要打开“配置您的服务器向导”,请依次单击“开始”和“控制面板”,双击“管理工具”,再双击“配置您的服务器向导”。 在“服务器角色”页面上,单击“文件服务器”,然后单击“下一步”。 本部分包含: 文件服务器磁盘配额 文件服务器索引服务 选择摘要 使用“共享文件夹向导” 完成“配置您的服务器向导” 删除文件服务器角色 文件服务器磁盘配额 在“文件服务器磁盘配额”页面上,可以设置磁盘配额,来跟踪和控制各个用户在 NTFS 卷上以卷为单位的磁盘空间使用情况。“配置您的服务器向导”会自动将磁盘配额应用到所有 NTFS 文件系统的新用户,使用的是磁盘空间配置已经应用的。只有在您想防止服务器占用的磁盘空间超过某一特定数量或者您的磁盘空间数量有限的情况下,才需要更改“文件服务器磁盘配额”页面上的信息。大多数情况下,可以接受默认系统设置。 如果您想在用户超过指定的磁盘空间限制值或者当用户超过指定的磁盘空间警告级别(即,用户接近其配额限制值时)时记录事件,可以在该页面上对其进行指定。 下表描述了手动配置选项。 设置 注释 为此服务器的新用户设置默认磁盘空间配额 如果您想启用磁盘配额,以便限制和跟踪该文件服务器上的磁盘空间使用情况,请选中该复选框。 设置 注释 如果您选择启用磁盘配额,就需要设置磁盘空间限制值。建议为所有用户帐户设置适当限制的默认限度,然后修改此限度允许使用大文件的用户占有更多的磁盘空间。例如,处理扫描照片或艺术作品的用户可能会要求大量的磁盘空间。 另外,也可以设置警告级别,以便用户在超过指定的磁盘空间限制值时得到通知。如果您不想使用警告级别,就将该数字设置为高于磁盘空间限制值。 拒绝将磁盘空间给超过配额限制的用户 如果您想限制文件服务器上磁盘空间的使用,请配置该设置。如果您只想跟踪每个用户的磁盘空间使用情况,就请将该设置留空。 当用户超过了下列之一,记录一个日志事件 如果您想在用户超过指定的磁盘空间限制值或警告级别时记录系统事件,请配置这些设置。可以使用事件查看器查看系统事件。要打开“事件查看器”,请依次单击“开始”、“控制面板”,双击“管理工具”,然后双击“事件查看器”。 完成后,请单击“下一步”。 ⑴ 文件服务器索引服务 在“文件服务器索引服务”页面上,完成下列操作之一: • 如果用户定期对服务器上的文件内容进行搜索,请单击“是,启用索引服务”。 • 如果您想保留 CPU 和内存资源,请单击“不,不启用索引服务”。索引服务可能会降低服务器的性能。 索引服务为用户提供了搜索本地或网络上的信息的快速、方便和安全的方式。用户可以通过“开始”菜单上的“搜索”命令或者浏览器上的 HTML 页面搜索不同格式和语言的文件。 完成后,请单击“下一步”。 ⑵ 选择摘要 请在“选择摘要”页面上查看和确认已经选择的选项。如果您在“服务器角色”页面上选择了“文件服务器”,就会出现以下内容: • 安装文件服务器管理 • 运行共享文件夹向导来添加一个新的共享文件夹或共享已有文件夹 要应用“选择摘要”页面上显示的选择,请单击“下一步”。 使用“共享文件夹向导” 单击“下一步”后,“配置您的服务器向导”会自动启动“共享文件夹向导”,您可以使用它来配置共享文件夹。将资源共享后,网络上的其他用户就可以使用了。 文件夹路径 在“文件夹路径”页面上,指定希望共享的文件夹的路径。要搜索文件夹,请单击“浏览”。 完成后,请单击“下一步”。 名称、描述和设置 在“名称、描述和设置”页面上,指定有关共享文件夹的以下信息: • 在“共享名”中,键入要用于共享资源的名称。共享名是必需的。请选择简短且具有说明性的名称,以便于用户识别。 • 在“描述”框中,键入对共享资源的说明。描述是可选的。如果您要共享若干个资源,说明就可能有助于您组织和标识这些资源。您所键入的说明显示在“文件服务器管理和共享文件夹”的“描述”列中。 • 在“脱机设置”中,指定您希望以何种方式让用户在不与网络连接时能够使用共享文件夹中的内容。如果您希望由用户哪些文件可以脱机使用,就可以接受默认设置。若要更改脱机设置,请单击“更改”。请使用以下表格中的信息来决定要用于脱机文件的设置。 脱机设置 注释 只有用户指定的文件和程序才能在脱机状态下可用 如果您希望由用户来控制哪些文件可以脱机使用,请单击该选项。 用户从该共享打开的所有文件和程序将自动在脱机状态下可用 如果您希望允许用户从共享文件夹中打开的所有文件都自动在脱机状态下可用,请单击该选项。如果您选择“已进行性能优化”复选框,则所有程序都会自动缓存,以便用户能在本地运行它们。该选项对于宿主应用程序的文件服务器特别有用,因为它会减少网络流量并改进服务器的可伸缩性。 该共享上的文件或程序将在脱机状态下不可用 如果您希望防止用户在脱机状态下存储文件,请单击该选项。 完成后,请单击“下一步”。 权限 在“权限”页面上,指定共享文件夹的共享权限。为确保只有授权用户可以访问文件夹中的信息,您必须对已创建的文件夹进行权限设置。共享权限仅应用于通过网络访问资源的用户。它们不应用于那些能够访问在存储资源计算机上的资源的用户。请使用以下表格来决定适当的共享权限。 共享权限 注释 所有用户有只读访问权限 若要将所有访问权限都限制为只读的,请单击该选项。 管理员有完全访问权限;其他用户有只读访问权限 如果您希望用户查看位于共享资源中的文件和运行其中的程序,请单击该选项。只有 Administrators 组的成员可以更改、添加或删除文件。此外,只有 Administrators 组的成员可以更改共享资源上的 NTFS 文件权限。 管理员有完全访问权限;其他用户有读写访问权限 如果您希望将访问权限限制为对 Administrators 组成员以外的所有用户是可以读和写的,请单击该选项。 共享权限 注释 使用自定义共享和文件夹权限 如果您希望对指定用户或组授予或拒绝访问权限,请单击该选项。应指派限制性最强但又允许用户执行必要功能的权限。 完成后请单击“完成”。 共享成功 在“共享成功”页面上,“共享文件夹向导”会显示选定内容的状态和总结。如果您希望将另一个文件夹共享,请单击“当单击‘关闭’时,再次运行该向导来共享另一个文件夹”复选框。完成文件夹的共享后,单击“关闭”。 完成“配置您的服务器向导” 完成“共享文件夹向导”后,“配置您的服务器向导”会显示“此服务器现在是一个文件服务器”页面。要复查由“配置您的服务器向导”对服务器所做的所有更改,或者要确保新的角色已成功安装,请单击“配置您的服务器日志”。“配置您的服务器向导”日志位于 systemroot\Debug\Configure Your Server.log 中。要关闭“配置您的服务器向导”,请单击“完成”。 完成“配置您的服务器向导”后,必须访问“Windows Update”以下载任何可用的附加更新。详细信息,请参阅 Windows Update。 另外,还必须运行“安全配置向导”以加强文件服务器的安全。有关详细信息,请参阅安全配置向导。 删除文件服务器角色 如果需要将服务器重新配置为另外一个角色,则可删除现有服务器角色。如果您删除文件服务器角色,该服务器上的文件和文件夹就不再共享,依赖于这些共享资源的网络用户、程序或宿主都将无法与它们连接。 若要删除文件服务器角色,请通过完成下面的任一操作来重新启动“配置您的服务器向导”: • 从“管理您的服务器”中,单击“添加或删除角色”。默认情况下,“管理您的服务器”会在您登录时自动启动。要打开“管理您的服务器”,请依次单击“开始”和“控制面板”,双击“管理工具”,再双击“管理您的服务器”。 • 要打开“配置您的服务器向导”,请依次单击“开始”和“控制面板”,双击“管理工具”,再双击“配置您的服务器向导”。 在“服务器角色”页面上,单击“文件服务器”,然后单击“下一步”。在“角色删除确认”页面上,检查“总结”下所列的项目,选择“删除文件服务器角色”复选框,然后单击“下一步”。在“删除了文件服务器角色”页面上,单击“完成”。 接下来的步骤:完成其他任务 完成“配置您的服务器向导”并在计算机上创建共享资源后,计算机就可以用作基本文件服务器,可以存储、管理和共享诸如文件和可通过网络访问的应用程序等信息。至此,您已经完成了以下任务: • (如果必要)已通过启用磁盘配额建立磁盘空间限制值。 • (如果必要)已开启索引服务。 • 已创建共享文件夹并为每个文件夹设置了共享权限。 “配置您的服务器向导”会自动安装“文件服务器管理”,可供您管理文件服务器。要打开“文件服务器管理”,请依次单击“开始”和“控制面板”,双击“管理工具”,再双击“文件服务器管理”。 下面的表格列出了可以在文件服务器上执行的一些其他任务。 任务 任务目的 参考 保护文件服务器的安全。 确保文件服务器是安全的。 最佳操作 实施加密文件系统 (EFS)。 增强文件服务器上的文件和资源的安全性。 加密或解密数据 配置端口以允许远程管理。 从网络上的其他计算机中管理“文件服务器角色”。 Windows 防火墙设置 在共享文件和文件夹上设置权限。 保护文件服务器上的资源,防止非授权访问。NTFS 文件系统上的访问控制比起单独的共享权限要提供更多的安全性。 设置共享资源的权限 让共享资源在脱机状态下可用。 允许用户存储共享资源的本地副本,以便他们可以在不与网络连接时访问这些资源。 配置共享资源的脱机设置 任务 任务目的 参考 启用共享文件夹的卷影副本。 启用共享文件夹的卷影副本,以提供网络共享上的文件的适时副本。 启用共享文件夹的卷影副本 设置分布式文件系统 (DFS)。 使用户更容易访问和管理以物理方式分布在网络上的文件。 清单:创建分布式文件系统 确保文件服务器的备份正确。 保护数据,以防在系统遇到硬件或存储媒体故障时意外丢失。 备份数据 使用文件压缩。 通过压缩文件、文件夹和程序来节省存储空间。 文件压缩概述 5.3 Exchange Server 2003 产品概述 若想在当今充满挑战的商业环境中成功竞争,企业必须运用更高效的方法供信息工作者进行沟通和协作。电子邮件是当前使用最广泛的协作技术。在各种基于电子邮件进行协作的产品中,更多的企业选择使用 Exchange。Exchange 2003 使信息工作者几乎能够在需要时随时随地进行重要的业务通信,它具有更高的安全性、可用性和可靠性。Exchange 2003 通过帮助信息技术 (IT) 员工利用改进的管理工具以较少的资源做更多工作,从而使拥有总成本 (TCO) 达到更低的水平。 与 Exchange Server 5.5 环境中相比,Exchange 2003 通过在较少的服务器上运行,能够使成本大幅度降低。利用新的资源和工具,可以使到 Exchange 2003 的升级和迁移过程变得平滑、快速和经济。 Exchange 2003 推出了两种版本: · Exchange 2003 Standard Edition 是为满足中小型公司的消息服务和协作需要而设计的。Exchange 2003 Standard Edition 提供的功能: ⑴可配置为 Microsoft Outlook® Web Access 前端服务器的灵活性。 ⑵最大 16 GB 数据的存储区。 ⑶恢复存储组。 · Exchange 2003 Enterprise Edition 是专门为大型企业设计的,可让您创建多个存储组和多个数据库。Exchange 2003 Enterprise Edition 提供一个不受限制的消息存储区,该存储区摆脱了对单个服务器可管理的数据量的限制。Exchange 2003 Enterprise Edition 提供的功能: ⑴Exchange 2003 Standard Edition 中包括的所有功能和产品。 数据库大小仅受硬件限制(最大大小为 16 TB)。 ⑵一个服务器上可有多个数据库。 ⑶在 Microsoft Windows® 2000 Advanced Server 上支持四节点群集,在 Microsoft Windows Server™ 2003 Enterprise Edition 上支持八节点群集。 若要判定哪个版本最适合您的业务需要,请查看“选择您的版本”页上的表。 功能一览 技术 功能 Active Directory 集成 · 与 Windows Server 2003 或 Windows 2000 Active Directory® 目录服务集成降低了 TCO · 使用 Microsoft 管理控制台 (MMC) 实行单客户管理 · 用于快速更改大量对象(例如邮箱)的策略 · 使用 Windows Server 2003 系统访问控制列表 (SACL) 使安全的电子邮件消息服务和协作变得容易 · Windows Active Directory 迁移工具 (ADMT) 2.0 可帮助简化 Microsoft Windows NT® Server 4.0 帐户向 Active Directory 的迁移(连同密码一起迁移) 可缩放的数据库结构 · 每个邮箱数据库可达 16 GB,每个服务器最多可有 20 个邮箱数据库 · 每个运行 Exchange 的服务器上可有多个消息数据库,从而可以更快地备份和还原数据、灵活地进行数据管理并可提高可靠性 共存 组织不需要进行突然地升级或迁移,因为 Exchange 2003 可以和 Windows 2000 或 Windows Server 2003 一起运行,并且可以与 Exchange 5.5 和 Exchange 2000 在一个拓扑结构内共存。 Exchange 2003 还可以与 Microsoft Office Outlook 2003、Outlook 2002 (Office XP) 和 Outlook 2000 一起运行。通过浏览器,Outlook Web Access 可以在其他客户平台上使用。 增强的安全性 · 安全的默认设置(例如,简单邮件传输协议 [SMTP] 中继、邮局协议 3 [POP3] 和 Internet 消息访问协议 [IMAP] 在默认情况下处于关闭状态) · 更强的限制连接和电子邮件的能力 · 支持 Outlook Web Access 自动注销、安全/多用途网际邮件扩充协议 (S/MIME)、HTML 和附件阻止功能 · 新的防垃圾邮件功能以及与 Office Outlook 2003 的安全与阻止发件人列表的集成 · 新的 Virus Scanning API 2.5,可改进防病毒解决方案 · 支持 Windows Server 2003 Internet 信息服务 (IIS) 6.0,它可以隔离应用程序 低 TCO 的消息服务和协作环境 · 多数据库结构为 Exchange 5.5 的用户带来了新的整合机会 · 用于邮箱管理的增强的管理工具 · 新的客户端日志记录工具和错误报告工具,利用这些工具可更快地解决问题 · 与 Windows Server 2003 卷影像复制服务集成,从而可快速可靠地进行备份和还原 Outlook Web Access 新的、增强的 Outlook Web Access 可用来快速安全地从 Internet 访问 Exchange。新的用户界面 (UI) 进行了更新,以模仿 Outlook 2003 UI,并且包括新的功能(例如拼写检查器、任务列表,以及用于加强安全性的 S/MIME 支持和 HTML 内容阻止功能)。 集成的对移动设备的支持 · 采用 Windows 技术的移动设备可直接与 Exchange 2003 同步以增强安全性 · 集成的对 HTML、可扩展 HTML (XHTML)、无线应用程序协议 (WAP) 2.x 和压缩的 HTML (CHTML) 移动微浏览器的支持 与 Outlook 2003 的集成 · 增强的性能和 Exchange 缓存模式使用户能够使用低带宽网络连接以及暂停且性能欠佳的网络连接 · 改进的 UI 使用户能够优先处理超载的收件箱 高可用性 · 改进的虚拟内存管理 · 改进的、在服务器上记录的 Outlook 性能日志 · 使用 Windows Server 2003 可更快地进行群集故障转移 · 支持四节点和八节点群集 · 支持 Windows Server 2003 IIS 6.0,它可以隔离应用程序 更快地部署 · 关于部署的新资源和指导说明 · 新的预迁移分析工具和报告工具 · 新的 Active Directory 迁移工具 (ADMT 2.0) · Active Directory 连接器向导 · Internet Mail 安装向导 · 邮箱和公用文件夹迁移工具 群集支持 · 八路群集(需要 Windows Server 2003 Enterprise Edition) 用于更安全地进行客户端访问的技术组件 Exchange 2003 能够与多个客户端进行交互操作。 在图 1 中,每个客户端都显示为通过 Internet 访问 Exchange 2003,并且处于一些防火墙的联合保护之下,在此特定情况下,Microsoft Internet Security and Acceleration Server (ISA Server) 充当网关,为 Exchange 和其他服务器基础结构提供更高安全性。 Outlook 兼容性 Outlook 2003、Outlook 2002 和 Outlook 2000 都可以连接到 Exchange 2003*。Outlook 2003 和 Exchange 2003 能够通过慢速的、暂停的或性能欠佳的网络连接运行。例如,拨号线路和无线数据链接(如 1xRTT 和通用分组无线业务 (GPRS))就属于这类情况。新的 Outlook 2003 功能包括: ⑴ Exchange 缓存模式。 ⑵ 在 Outlook 2003 中的 HTTPS 功能上使用新的远程过程调用 (RPC) 的无 VPN 连接。 远程访问 Exchange 2003 中的 Outlook Web Access 已得到改进,使用更简便,速度更快,安全性更高。Outlook Web Access 之所以受欢迎,部分原因是:它易于支持和使用,而且不需要安装。任何基于浏览器的计算机都能够以更高的安全性、使用新的 UI 访问 Exchange,大多数用户必须仔细查看才能辨别出他们使用的是 Outlook 2003 还是 Outlook Web Access。Outlook Web Access 中的功能包括: ⑴ 拼写检查器 ⑵ 任务列表支持 ⑶ HTML 和附件阻止功能(阻止垃圾邮件和潜在的信号查找代码) ⑷ 自动注销(您是否忘了注销?不必担心。不活动超时功能将自动注销并关闭您的会话。) 在 Outlook Web Access 中还支持 S/MIME,从而可以为电子邮件添加数字签名和进行加密。 * 较早的版本可能也具有此支持功能,但没有经过充分测试。 Exchange Server ActiveSync 采用 Windows 技术的移动设备(例如 Pocket PC)带有内置的 ActiveSync® 客户端和 Pocket Outlook,可供您用来直接将您的电子邮件、日历和联系人列表与 Exchange 2003 进行同步。Exchange 管理员可以从管理 Exchange 电子邮件帐户的屏幕进行这种同步。 Outlook Mobile Access 与用于桌面浏览器的 Outlook Web Access 类似,Outlook Mobile Access 是专门为从移动设备浏览器更安全地进行访问而设计的。通过 Exchange 2003,用户可以使用带有基于 HTML、XHTML (WAP 2.x) 和 CHTML 的微浏览器的移动设备访问他们的邮箱。 无处不在的提高效率的方案 灵活的信息访问方式和新的连接方式,使得信息工作者能够获得更高的工作效率,并能够更好地控制他们的通信时间和方式。 ⑴ 移动员工(例如使用便携式计算机并通过无线网络运行 Outlook 2003 的销售人员和服务人员)可以自由地进行漫游和通信。他们已不再受电缆的限制,无论在汽车上、在客户那里还是在飞机场上,只要他们愿意,他们可以随时随地查看他们的电子邮件,查看他们的联系人和日程表,并可不断与客户、合作伙伴和同事进行通信。Outlook 2003 能够在慢速和性能欠佳的网络连接上运行,因此移动员工能够不受网络问题的影响,能够在 Exchange 和 Outlook 使用可用网络资源时,继续处理他们的 Exchange 信息。 ⑵ 远程员工可以在家、在远程办公室、在客户处或在 802.11 热点(例如本地网吧)处工作,并可启动 Outlook 或从任何与 Internet 相连的计算机使用 Outlook Web Access 更安全地访问 Exchange。Outlook Web Access 使他们能够在不使用自己的便携式计算机的情况下通过 Exchange 保持联系,从而使他们获得了更大的自由度。Outlook Web Access 将 Exchange 2003 中的最新功能扩展到了任何基于浏览器的计算机,包括非 Microsoft 操作系统。而且因为 Outlook Web Access 不需要安装,所以 IT 部门还可以降低支持费用。 ⑶ 旅行中的管理人员可在旅馆中或航班间隔时间,通过拨号线路连接运行 Outlook 2003,并同步他们的电子邮件。使用最新同步的 Exchange 数据,他们可以继续脱机工作,直到他们下一次有机会拨入并重新连接到 Exchange。Outlook 2003 和 Exchange 2003 可帮助他们提高联机和脱机时的工作效率。 您是否不想携带便携式计算机?Pocket PC、Pocket PC Phone Edition 和采用 Windows 技术的 Smartphone 使您能够直接将您的无线设备同步到 Exchange。这样电子邮件、联系人、日程和附件就触手可及了。 使用 Exchange 2003 节约成本 Exchange 2003 升级和管理工具可提高您员工的工作效率,并可帮助您强化服务器,从而可节约资金。 强化方案 对于运行 Exchange 5.5 的客户,升级产品后能够简化操作、提高服务器的可用性和可靠性、缩短进行备份和还原的时间和减少 Exchange 所用服务器的数量。这会使 TCO 得到降低。Exchange 2003 领先于 Exchange 2000 之处在于一种多数据库设计,即每个服务器最多 20 个数据库。在典型的 Exchange 5.5 组织中,每个服务器有 1,000–2,000 个用户,这主要受限于单数据库结构和备份与还原操作及管理所需要的时间。但在使用 Exchange 2003 时,受支持的用户和邮箱的数量可以轻松达到 3,000–5,000 或更多,具体数量取决于用户配置文件、消息通讯模式和邮箱大小限制。 管理效率 Exchange 2003 的设计可帮助消息服务 IT 员工提高工作效率。现行的 Exchange 环境管理工作在 Exchange 的 TCO 中大约占 20–25%。常见的任务包括:备份与还原;建立新邮箱;恢复;移动;安装新的硬件、存储区、软件和工具;以及应用更新和修补程序等。新工具和改进的工具可帮助 IT 员工更有效地完成工作。例如,一位管理人员可能需要恢复几个月以前删除的一封非常重要的旧电子邮件。通过使用新的“恢复存储组”功能,管理员可以恢复个人用户的邮箱,以便查找以前删除的重要电子邮件。其他新的管理功能包括: ⑴ 行移动多个邮箱。 ⑵ 进的消息跟踪和 Outlook 客户端性能记录功能。 ⑶ 强的队列查看器,它使用户能够从同一控制台同时查看 SMTP 和 X.400 队列。 ⑷ 的基于查询的通讯组列表,它现在支持动态地实时查找成员。 此外,用于 Microsoft Operations Manager 的 Exchange 管理包可自动监视整个 Exchange 环境,从而使用户能够对 Exchange 问题预先采取管理措施并快速予以解决。 示例方案:从 Exchange 5.5 迁移到 Exchange 2003 您可按照您的日程表和预算来安排向 Exchange 2003 的迁移。Exchange 2003 可以在 Windows 2000 或 Windows Server 2003 上运行,并且能够与 Exchange 5.5 和 Exchange 2000 交互操作。 新的工具和资源可帮助您更平滑、更轻松、更快捷地从 Windows NT 4.0 和 Exchange 5.5 环境向 Windows 和 Exchange 2003 环境迁移。 ⑴ 您可按照指导说明演练整个迁移过程。在迁移前,可以使用新工具获得有关现有 Exchange 5.5 拓扑结构(包括站点、服务器、邮箱和公用文件夹)的全面报告。Active Directory 迁移工具 2.0 用于将 Windows NT 帐户密码迁移到新的 Windows Active Directory 环境中。您还可以使用工具来检查 Active Directory 是否已实现、它是否能够正常使用,以及 Exchange 组件是否已经正确安装。 ⑵ 在实现 Active Directory 连接器(简称 ADC,用于将现有的 Windows NT 4.0 和 Exchange 5.5 目录信息复制到新的 Exchange 和 Windows 环境中)时,新的 ADC 向导可帮助简化和自动化 Exchange 5.5 与新的 Windows 和 Exchange 2003 组织之间的协议的安装和连接过程。 新的邮箱和公用文件夹迁移工具可以使用户快速而高效地将个人邮箱移至 Exchange 2003。您和您的 IT 组织会发现,新的资源和工具可以提高迁移工作的效率和速度,并可减小迁移对数据的损坏。 六.工程实施与项目测试 韩国NEMOVO股份有限公司提供全面的解决方案和工程管理。韩国LENOVO股份有限公司委任一位项目经理负责该项目,统筹全程工程。该项目经理将在与客户协定的工程计划基础上核定实施时间表。客户应指派专人与韩国LENOVO股份有限公司合作沟通、提供信息、给予确认信息,以便更有效地协作。 韩国LENOVO股份有限公司的技术人员将按照合同签署的实施时间表,根据客户要求进行实施、调试,通过集成测试和用户使用测试后交付。 自方案开始,韩国LENOVO股份有限公司将与客户密切合作,请客户提供必要信息,并安排相关协调人员负责。 1.验收基本说明 验收计划   双方签定合同后,签定一项验收计划,作为验收执行的规范,合同双方共同遵循,验收计划包括以下必备内容: ² 验收人员组成 ² 验收场所和验收时间 ² 验收内容组成 ² 各项内容的验收标准 ² 验收方式 下面分别就验收计划中的要点进行说明。 验收人员   由业主方指定人员,工程实施方参加项目所有人员配合验收。 验收人员要求:熟悉整个项目的物理设备组成、技术组成和验收标准,具有验收完成之后的签字权。 验收场所和验收时间   设备到现场后3天之内进行相应的设备验收,系统逻辑实现之后在公司提交工程测试资料并提出验收要求后3天之内由业主方组织验收,否则视为验收通过。 具体的时间和验收场所由双方共同确认的验收计划中指定。 验收组成 ⑴设备验收   对整个项目涉及的设备进行物理验收,包括设备型号、设备数量、包装要求等。 ⑵系统验收 对项目实施的目标进行相应的逻辑验收,包括功能、性能、文档等。 基本验收标准 ² 物理验收的标准以最终合同指定的设备厂家品牌、型号、数量为标准,设备的物理构成及包装以设备厂家提供的标准为验收标准; ² 逻辑验收按照最终合同要求进行的各项功能、性能设计相应的可实施的测试方法进行设计验收、测试验收和文档验收。 验收方式 ² 签定合同的同时双方共同确认并签定验收计划; ² 按照验收计划,以计划规定的验收时间内,由指定的双方收验人员按照验收标准进行验收,并填写验收报告; ² 在所有验收计划中指定的验收完成后,整个项目的验收结束。 2.设备验收(物理验收) 验收标准   根据双方最终生成的合同,形成物理设备总清单是整个设备验收的基础,按照各个设备厂家对设备到场的验收标准进行其它物理验收。 验收格式 设备验收清单 设备编号 设备名称 设备型号 数量 配置明细 验收人 验收时间                                            设备验收总签字      签字时间   3.系统验收(逻辑验收) 验收标准 以标书为基本要求,双方最终生成的合同对功能、性能的准确描述并作到可以测试作为验收的标准。 验收格式 逻辑验收测试表 序号 描述 测试方法 结果 验收人 时间 1 综合布线以及网络 所有网络主节点的划分 网管软件的调试 远程访问 路由/连接INTERNET       2 网络安全 Intranet功能实现 防火墙网关的实现 网络安全的实现       3 服务器 网管工作站配置 服务器发布以及应用 网络监视,管理       验收签字         4.文档资料验收 文档组成 根据我们在其它网络和应用工程中的实施经验,我们认为文档资料的验收包括以下几个组成及基本内容: 网络设计目标要求: 记录双方共同确认后的整个园区网项目建设的功能、性能列表,在合同签定之前由双方共同商定,并作为验收的标准 项目建设要求列表 项目名称   类别 序号 描述及测试指标标准 功 能 要 1   求 2   3   4   性 能 要 求 1   2   3   4   用户变更记录 在项目执行过程中用户提出的功能、性能以及环境、结构等方面的要求。 用户变更记录表 变更序号 变更要求描述 时间 用户签字 集成方签字 备注                                                 系统的最终设计方案(物理、逻辑构成设计) 以双方确认的最终的实现为准,反映最新变化的设计方案。 设备配置参数列表包括两个方面的要求: ⑴配置所有非缺省参数的结果; ⑵配置到达这些参数的路径。 测试列表 记录测试路径和测试结果,由集成方填写,业主进行验证性测试认可。 验收总清单 工程验收总清单 项目序号 验收子项列表 子项总签人 备注 1 用户目标清单     2 用户变更记录     3 系统最终设计方案     4 配置参数列表     5 测试列表     6 设备总清单     7 工程总验收签字     8 工程总验收时间             文档验收标准 文档验收主要是准确、清晰地反映设计和实现,并与实际的最终环境状况相吻合。 文档验收清单 序号 文档名称 文档内容 验收结果 验收人 验收时间                         七.项目费用 7.1.设备费用 设备名称 品牌 标配 参数 数量 单价(元) 合计(元) 服务器 HP Proliant ML350 G4P Intel Xeon 3200MHz最大内存容量12GB内存ECC DDR2 SDRAM 20 22000 440000 磁带机 惠普StorageWorks ultrium 215I 半高磁带介质上8通道线性螺旋形记录 Ultra2 SCSI (LVDS) 7.5 MB/秒(15 MB/秒,压缩率2:1) 存储容量100 GB,压缩后存储容量200 GB 7 23000 161000 交换机 CISCO WS-C2950SX-24 支持全双工存储-转发 240 8800 2112000 CISCO WS-C3550-48-EMI 32MB DRAM和8 MB闪存 40 15600 624000 CISCO CISCO 6509 64MB SRAM and 12MB Flash 2 100000 200000 防火墙 华为3Com Eudemon1000 千兆级 防火墙 并发连接数 无限制网络吞吐量1000Mpps 入侵检测DoS、IDS 1 75000 75000 机柜 TOPER Server TPS61042 2000x600x1000mm2米  42U  黑色 9 5000 45000 配线架 康普 100对配线架 480 300 144000 光纤盒 康普 机柜式光纤收发器 6 850 5100 UPS 山 特 K500 后备式0.5kva输出电压范围220(1+10%)V输出频率范围50Hz ± 1Hz 150 300 45000 山 特 A UPS-24K 电源阵列 24kva输出电压范围215-224V输出频率范围50±0.25Hz 8 27000 216000 5类线 康普 200米/箱 6000 300 1800000 水晶头 TCL电工 RJ-45接口 13000 2 26000 总计 —— —— —— —— 5293100 7.2项目费用 项目 线路类别 一次性费用(元) 专线使用费(元) 初装 (楼外) 工 程(楼内) 设 备 调 测 小 计 基本流量费 (元/ 年 ) 线路租金(元/ 月) 光纤接入 20000 5000 3310 28310 10万 布线施工 30000 11000 41000 类 合 计 50000 11000 5000 3310 69310 10万 合计6113100RMB 八.技术支持服务 8.1售后服务内容 售后服务包括技术培训、技术咨询、维修服务和用户跟踪等服务项目。 质量保证期为12个月,自双方代表在验收单上签字之日起计算 我们承诺为系统集成项目提供的免费售后服务内容为: 保修:质量保证期内设备正常使用下发生的损坏,免费维修;非正常使用的损坏,只收取成本费。 在质量保证期内,争取在72小时内完成业主所提出的维修要求,其中超过24小时不能完成维修,提供一台相同功能的设备应急。 技术支持:3年内提供系统功能扩充的技术咨询服务。 现场技术支持和维护:试运行期及其后1年内,系统运行问题中,对于不能电话(邮件或传真)解决的复杂问题,到现场进行技术支持服务。 现场操作支持:1年内,系统使用过程中,对于不能电话(邮件或传真)解决的复杂问题,到现场进行系统操作方面的技术支持服务。 维护期以优惠的价格提供零配件 定期巡检 8.2保证售后服务质量的措施 ⑴.同类工程不定期举办技术讲座或培训班。单项工程在系统设备交付前试运行过程由工程负责人安排为用户培训人员,使其掌握系统性能,会正确操作,排除简单故障。 ⑵. 技术咨询服务分电话服务和信函(传真)回复。 电话回复:当用户在使用过程中遇到技术问题或其它问题时,服务人员通过电话耐心解释,一时难以回答的技术问题应及时组织相关人员商量研究,尽量在当日内答复用户,并作记录。 信函(传真)回复:用户用信函反映问题时,收到信函后三日内予以电话或挂号信回复,用户来信要有登记,并交售后服务部门存档。 ⑶. 售后服务部门负责售后服务质量信息的收集、整理,每季度召集各相关项目的项目经理开会,探讨不断提高工程质量的有效措施,并付诸实施。 ⑷. 系统设备使用过程中出现故障,接到信息后记录信息,内部协调后,立即用电话回复,约定时间,组织力量前往上门服务。保修期内免费,非正常使用的损坏,只收取成本费。 ⑸. 维修人员完成任务(排除故障)后与用户共同填写“售后(技术)服务报告”一式两份,交用户和售后服务部门保存。此报告作为维修人员报销、记奖考核的依据。 ⑹. 用户跟踪服务,根据工程项目联系卡,建立用户跟踪服务制度。对重点工程重点跟踪。重点工程跟踪在工程验收投入使用后的头一年,每月主动电话咨询一次。第二年,每季度跟踪一次;第三年至第五年,每半年跟踪询问一次,有问题及时沟通及时解决。每次电话内容要有记录。 ⑺ .条件成熟时组织用户座谈会,走访用户开展上门服务。

下载文档,方便阅读与编辑

文档的实际排版效果,会与网站的显示效果略有不同!!

需要 8 金币 [ 分享文档获得金币 ]
0 人已下载

下载文档

相关文档