发布时间 : 星期六 文章网络改造项目设计实施方案更新完毕开始阅读320b8f99710abb68a98271fe910ef12d2af9a93e
网络改造项目设计实施方案
3COM公司提供的多种模块,可以实现上连千兆网络。该款交换机具有24Gbps的背板带宽,其数据转发率达到17.9Mpps。Quidway S5012G支持VLAN,最多可实现4094个VLAN,该款交换机支持基于端口的VLAN,支持基于端口和802.1Q TAG混合策略的VLAN,支持VLAN Trunking协议,支持VLAN透传功能等。并且该款交换机还支持流量控制等高级功能,在操作上也十分简单,十分适合小型企业应用。
华为3Com Quidway S5012G已经达到了企业要求,并且在性能和功能也非常突出,12个LAN口虽然数量上不多,不过已经足够使用,在组建VLAN网络时要做的事情就是将各个端口设置为汇聚端口,这样就能实现网络中的汇聚链路连接。
TL-SF1024V
这款交换机提供了24个10/100Mbps自适应RJ45接口,支持VLAN,在10Mbps网络情况下,其数据包转发率达到14880pps;在100Mbps网络情况下,数据包转发率达到148800pps。 选择这款交换机主要是由于价格低廉,并且支持VLAN。对于网络中的交换机对于将来网络扩展之后更换的可能性非常大,所以并没有选择较好的交换机来实现。TL-SF1024V基本上能够满足用户需要。
IBM机架式X3650M2-I41服务器 IBM塔式X3400M3-I05服务器 网络设备 产品型号 路由器 交换机 服务器 总计 华为Quidway R2610 TL-SF1024V 华为3Com Quidway S5012G IBM机架式X3650M2-I41 IBM塔式X3400M3-I05 单价 RMB6700 RMB700 RMB6500 数量 1 1 1 总价 RMB6700 RMB7200 RMB103800 RMB117700 RMB21000 3 RMB13600 3 2.2、系统及应用服务的分析与设计
<1>、服务器系统的分析与设计
1、文件服务器以及DFS服务器的分析与设计
网络服务器全部采用微软的windows server 2003,客户端全部采用主流的windows xp系统。
服务器上建立镜像卷,做冗余备份。
网络改造项目设计实施方案
文件服务器用户权限设置。
DFS服务器的具体配置 文件服务器每个用户主目录磁盘配额限制
服务器上所以共享的目录都挂载域中DFS根目录,然后通过访问DFS根目录访问其他服务器上的服务器。
2、代理服务器系统的分析与设计
根据公司员工人数及网络设备的数量,代理服务器软件采用CCproxy。 代理服务器上必须设置对上网用户相应的权限。 代理服务器上必须有员工上网相关的的日志备份。
网络改造项目设计实施方案
3、Web服务器系统的分析与设计
Web服务器采用windows server 2003 的IIS组件安装。 贵公司的网站应上传到web服务器上。 所以员工能够通过域名访问web服务器。 4、打印服务器的分析与设计
利用windows提供的打印共享功能创建打印服务器,其他员工通过网络添加网络打印机进行打印。
打印服务器上必须设置打印级别,经理、管理人员优先打印。 管理员能够通过远程web管理打印机。 <2>、活动目录的分析与设计 1、AD域命名和DNS的规划
Windows 2003 AD域命名和DNS的规划之所以放在首要地位,是因为AD作为整个IT架构的基础,不应该轻易被调整。尽管安装后,Windows 2003 AD仍然可以重组和改名,这一点比Windows 2000 AD有了很大的进步,但是我们仍然建议做一个长远规划,使得域命名和DNS服务能够满足企业3-5年的需求,尽量避免配置好后改作调整地巨大人力物力浪费。 此外,部署Windows 2003 AD,还必须确定DNS服务器,确保它们满足域控制器定位器系统的要求。一个支持AD的DNS至少需要满足以下要求:
? 必须支持服务定位资源记录(SRV)
? 应该支持 DNS 动态更新协议(RFC 2136)
Windows 2003 Server 提供的 DNS 服务同时满足这些要求,并且还提供下列重要的附加功能和改进:
? Active Directory 集成:DNS 服务把区域数据存储在目录中,使得 DNS 复制创建多
个主域,也减少了对维护一个单独的 DNS 区域传送复制拓扑的要求。 ? 安全动态更新:使得一个管理员可以精确地控制哪些计算机可以更新哪些名称,并
防止未经授权的计算机从 DNS 获得现有的名称。
? 条件转发:根据不同的对外访问的域名后缀,可以将用户的DNS名称解析请求转
发到不同的外部DNS服务器。
? 存根区域:可以定时地刷新和外部DNS服务器的连接,及时发现那些可能有故障、
不再响应用户请求的服务器,提高用户DNS名称解析的效率。 2、确定AD逻辑结构
Windows 2003活动目录的逻辑结构由三个基本组件组成:森林、域和OU。 a、确定森林规划
森林是Windows 2003 AD域的集合。在很多情况下,单一森林就足够了。单一森林环境易于建立和维护,森林间的域自动建立双向可传递内部信任关系,不要求手动建立外部信任配置,在安装Exchange 2003 Server等应用程序时,只需应用一次架构更改即可影响所有域。 如果各个单位有下列管理要求,就必须建立一个以上的森林:
? 不互相信任管理员。 ? 希望限制信任关系范围。
? 不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中所有的域。如
果单位不同意一个公共架构策略,它们就不能共存于同一个森林中。
网络改造项目设计实施方案
b、制定域规划
规划域结构时,始终遵循“简单是最好的投资”的设计原则,尽管增加某些复杂结构可以增值,但是简单的结构更易于说明、维护和调试。一开始时总是仅考虑每个森林中仅有一个域,然后为每一个增加的新域提供详细的理由,确保添加到森林中的域都是有益的,因为它们会带来相应的管理开销而导致一定程度的成本上升。 创建更多的域的三种可能的原因是:
? 希望实现相对分散式得IT管理模式:多域结构更容易进行相对独立的管理、委派
和权限控制。另外,不同的用户帐户在一个域内是不能出现重名的,多域之间就没有限制。对于人士管理相对独立的集团下属公司,多域结构具有更好的灵活性。 ? 希望实现不同管理策略要求:包括用户口令策略、账户锁定策略和EFS加密策略。
例如,要求某些人必须取8个字符以上的口令,而其它人不做限制。为此,必须将这些需要不同安全策略的用户放在单独的域中。 ? 希望减小WAN上的复制流量:域控制器域间复制将产生比域内复制少的多的流量。
如果公司很大,具有跨地区的组织结构,且处于同一个森林内,则在不同地理位置上的机构可能使用慢速的WAN链路连接。为减少WAN上的DC复制流量,可以在不同的地理位置设置不同的域。
根据以上考虑,建议企业Windows 2003 AD域逻辑结构可以采用“单森林、单域”的结构设计。
3、确定AD物理结构
Windows 2003 AD物理结构主要是规划站点拓扑,用于帮助您决定在网络的什么地方放置域控制器,以及管理域控制器之间的复制流量和用户登录流量。 考虑到企业的地理分布情况,应该考虑使用多站点拓扑来规划Windows 2003 AD物理结构。从绘制基本的网络拓扑布局图着手工作,绘制所有可能的站点(Site)和站点链接(Site Link)。
? 速度快(10Mbps以上)、连接可靠的LAN网络总是放置在单站点中。
站点定义为一组通过快速、可靠的线路连接起来的 IP 子网。一般而言,具有 LAN 速度或更快速度的网络被认为是快速网络。
? 窄带的、或不太可靠的连接可以使用站点链接建立多站点网络。
通常,WAN连接一般被认为是窄带连接。如果建立站点链接,实现多站点网络模式,则:
? 客户计算机在登录到域时首先试图与位于同一站点的DC通信; ? Windows 2003 AD复制使用站点拓扑产生复制连接。 4、规划OU结构和组策略
组织单元(OU)是一个用来在域中创建分层管理单位的容器。在域中创建OU结构时,必须注意始终按照“谁管理什么”的原则,从IT管理的需要出发,划分管理模型的结构,而不是简单按照公司业务单位和它的不同分支、部门和项目来创建OU结构。考虑 OU 的下列特性是很重要的:
? OU 可以是嵌套的。
一个 OU 可以包含子 OU,使得可以在域中创建一个分层的目录树结构。但是嵌套太多将导致管理复杂和低效,所以建议以二级嵌套为最理想,最多不应超过四级嵌套。
? OU 可以用来委派管理和控制对目录对象的访问。 ? 不能使 OU 成为安全组的成员,也不能因为用户被委派管理OU或驻留在OU中而