（机械设计及理论专业论文）nt网络集成及asp与数据库整合应用的研究.pdf

西南交通大学硕士研究生学位论文第 n 页 ab s t r a c t 、 t h i s p a p e r h a s a m a i n l y d i s c u s s i o n o n t h e n e t w o r k p l a n n i n g . ( s e r v e r s y s t e m ) p e r f o r m a n c e a n a l y s i s a n d o p t i m i s i n g m e a n s b a s e d o n t h e n e t w o r k fl o w c a p a c i t i e s , a n d s e c u r e p r o b l e m s c o n fi g u r a t i o n , w h i c h a r e c o n t a i n e d i n t h e n e t w o r k i n t e g r a t i o n t e c h n i q u e f o u n d e d o n win d o w s n t o p e r a t i o n s s y s t e m . a t t h e s a m e t i m e t h e p a p e r f u l f i l s t h e d e v e l o p m e n t r e s e a r c h o f c o m m e r c i a l s o ft w a r e m a k i n g u s e o f a s p ( a c t i v e s e r v e r p a g e s ) a n d d a t a b as e t e c h n i q u e . t h e t e x t s t a rt s s t a t e m e n t fr o m t h e n e t w o r k m a n a g e m e n t o f d e v e l o p m e n t a l , s y l l o g i s t i c c o n t i n u a l c o n s t r u c t i o n a n d fu n c t i o n s , l a t e r n a r r a t e s t h e b as i c p r o c e s s a n d s p e c i f i c c o n t e n t o n t h e p l a n n i n g p h as e s o f n e t w o r k s y s t e m s e n g i n e e r i n g s u b s e q u e n t l y a n a l y z e s t h e m a j o r t a s k p a rt i c u l a r l y o n t h e s y s t e m c o n s t r u c t i o n d e s i g n i n g p h a s e s , i n c l u d i n g a s c e r t a i n i n g t h e n e t w o r k s t r u c t u r e a n d t h e w o r k p a tt e rn o f t h e a p p l i c a t i o n s y s t e m s , d e s i g n i n g t h e n e t w o r k t o p o l o g y , m a k i n g s u r e o f r a i d , a n d s o o n . t h e t e x t a l s o a n a l y z e s t h e m o s t d i s t i n g u i s h i n g f e a t u r e o f n t : d o m a i n a n d d i r e c t o ry s e r v i c e s , i n v o l v i n g w i t h a s c e rt a i n i n g d o m a i n p a tt e r n , p l a n n i n g t h e c o n s t r u c t i o n o f d i r e c t o ry s e r v i c e s a n d o p t i m i z in g t h e d i r e c t o ry d a t a b as e , a t t h e s a m e t i m e d i s c u s s e s h o w t o c o n f i g u r e t h e s e c u r i t y o f n t . a ft e r fi n i s h i n g t h e n e t w o r k p l a n n i n g， t h e t e x t t u rn s i n t o a n a l y z i n g t h e s e r v e r p e r f o r m a n c e w h i c h m o s t l y i n fl u e n c e s o n t h e n e t w o r k b e h a v i o r s , a l s o d i s c u s s i n g h o w t o a n a l y z i n g s y s t e m p e r f o r m a n c e o n t h e f i l e s , p r i n t e r , a p p l i c a t i o n , d o m a i n s e r v e r e n v ir o n m e n t ， a n a l y z i n g t h e n e t w o r k s e r v i c e s a n d o p t i m a l m e t h o d s w h i c h b r i n g a b o u t a g r e a t lo t o f fl o w c a p a c i t i e s o f t h e n e t w o r k . f i n a l l y , t h e t e x t a n a l y s e s t h e n e t w o r k p e r f o r m a n c e o f o n e c a m p u s c o m b i n i n g w it h s im u l a t i o n t o o l . t h e t e x t a l s o m a k e s e x p l a i n a n d s u g g e s t i o n s o n t h e s e g m e n t a l s e c u r i t y p r o b l e m o f n t . a ft e r f i n i s h i n g a c a d e m i c a n a l y s i s , t h e t e x t d e v e l o p s a s e r i a l r e s e a r c h o f c o m m e r c ia l a p p l i c a t io n p r o g r a m i n t e g r a t in g h a n d li n g o f fi c i a l b u s in e s s、 a m u s e m e n t w i t h s t u d y i n g b as e d o n c l i e n t / s e r v e r , w h i c h m a k i n g u s e o f a s p a n d d a t a b ase t e c h n i q u e . k e y w o r d s : n e t w o r k p ia mo n g;p e r f o r m a n c e a n a l y s i s ; e l e c t r o n i c b u s i n e s s ; a c t i v e s e r v e r p a g e s ; d a t a b as e 西南交通大学硕士研究生学位论文第 1页 第 1 章绪论 二十一世纪，网络技术与生物化工将主宰整个人类社会的发展，从 1 9 4 6 年，第一台电脑在美国宾夕法尼亚大学莫尔电子工程学院诞生开始，计算机 的发展日新月异，为了提高使用效率，出现了 “ 计算中心”模式的计算机网 络， 在一定程度上实现了资源共享。 美苏双方军事技术的竞争， 加速了i n t e rn e t 的产生。从 1 9 6 9年的阿帕网 ( a r p a n e t )到今日的万维网，计算机跨入真 正意义上的网络时代。网络在中国起步较晚，首家网中国科技网的前身 中关村教育科研网 ( n c f c )于 1 9 9 4 年4月2 0日以t c p / i p协议正式实现 了与因特网的连接，使占全球人口约四分之一的人从此与世界互联，因特网 也由此成为一个真正世界性的网络，但它以 惊人的几何速度在增长。网络将 各个国家、军队、公司、个人联系起来，大有 “ 一网打尽”的趋势，原微软 总裁比尔 盖茨宣布将把微软大部分资金转向互联网技术，不仅电脑上网、 电话上网、家电也能上网。可以说，网络将不以人们意识为转移地左右着整 个社会，但与此同时，设计、规划、实施、维护、管理、安全等相关问题也 随之产生。网络化与商业化共促进共发展，除了共享数据，人们还可以因特 网作为通信手段，在计算机信息网络上建立自己企业的形象，宣传自己的有 价产品和服务，同时进行电子交易和资金结算。电子商务是一种创新力量， 是信息时代社会生产与社会消费之间发生的一次革命，它将大大促进供求双 方的经济活动，极大地减少纸张的消耗和交通运输的负担，提高企业的国际 竞争力，繁荣商贸，达到发展经济、搞活市场的目的。在我国电子商务已 经 提到了议事日程，开始了局部应用试点，主要工作内容是开发信息资源，开 拓信息市场，发展电子商务应用， 服务四 化建设。 截止 1 9 9 7 年底，首批 1 2 个试点省市全部实现了自 动柜员机与销售点终端的同城跨行联网运行和信用 卡业务联营，为实现网上支付与资金清算提供了很好的条件，初步具备了发 展电子商务所需要的基础环境。 1 . 1 选题依据 随着商业化的发展，越来越多的公司需要组建适应自身的网络，因组网 可为公司带来诸多益处，如共享数据和外围设备，降低成本，规范应用程序 使用，实时获取数据，更有效的通信和规划调度等都将最终实现办公现代化 管理。而目 前，只有少数资金雄厚的公司才有条件、人力、技术力量组网， 大多数公司尚缺乏建设系统地、规范地、高可靠性的网络的经验和技术。而 西南交通大学硕士研究生学位论文第 z页 组网首先从设计局域网应用系统开始。局域网应用系统涉及计算机平台、网 络平台与数据库平台等多种技术的集成与结合，是属于系统集成技术。认真 总结国内外成功的局域网应用系统的开发的经验，人们不难看出，系统成功 的关键在于是否正确地完成了局域网应用系统的 设计任务。 m r .r o b e rt f u r g e r 归纳出导致局域网应用系统失败的十个原因，有六个都涉及到应用系统规划 和设计问题，这六个问题是: 今 规划与设计不周; 令 不切实际的期望; . 以为局域网系统的建立主要是网络硬件的安装; . 局域网系统的维护任其自 然; 令 没有或不适当的数据备份措施与方法; 令 不考虑灾难恢复与病毒防治方法。 在局域网应用系统建立的初期，用户仅需要使用局域网部分基本的服务功 能，网络数据量较小，问题不易暴露出来，由于忽视或根本就没做局域网系 统规划和设计工作，以致随着局域网应用的深入和数据量的增大，网络用户 数增多，网络共享数据量的剧增， 系统性能下将， 有可能 造成系统瘫痪，使 用户和管理人员失去信心，最终宣布局域网应用系统失败。因此，必须认真 完成应用系统规划与设计任务，为建立高性能、高可靠性、实用的局域网应 用系统奠定坚实的基础。网络崩溃带来的灾难性损失，已使人们越来越关注 网络安全问题。随着计算机的普及，计算机病毒在不断地产生和传播，网络 病毒不仅导致重要情报的损坏，恶意侵入可使机密资料被窃，摧毁整个网络 系统，甚至威胁到国家和人民的安全。因此系统安全对一个网络的成长至关 重要，必须充分重视并解决。网络离不开商务应用，为 赶超国际社会电子商 务发展步伐，必须加快国内商务程序的开发，以利用国家提供的电子商务发 展环境、条件和设施。 1 .2 国内 外发展现状 早期，网络数量不多，不复杂，网络管理常由手工完成或干脆没有，但 随着网络渗透到社会各行各业，网络变得既庞大又复杂，网络的强大功能只 有通过合适的网络管理才能得到充分发挥，有效的网络管理能力将成为评价 网络的一个越来越重要的指标。国外的网管技术己比 较成熟，对性能分析、 网络安全配置、网络优化及故障分析解决等都有较详尽的理论及实践经验， 尤其开发了大量模拟工具和软件， 如 t o p n e t , o p e n t及 b o n e s等，使 西南交通大学硕士研究生学位论文第 3页 其可采用先进的 模拟技术研究网络设计及业务增长对网络性能的影响。虽然 网络近几年在国内得到迅猛发展，但网络管理的研究历史并不长，较少应用 先进技术和工具研究网管。但是网管对网络的运行非常重要，因此在我国推 广网管的研究和应用非常迫切。 许多因素的掺入加剧了网管的复杂性。例如，网管系统通常都是在某一 时间点上，针对某一种特定技术，为优化单个业务提供者组织的工作而建立 的。这种开发形式是分别由各个机构承担，并且对系统级的网间互通几乎不 加注意。在网络运行中有许多份数据在全网中流通，而其中的每一份都是与 特定的系统或工作功能和设备特定的版本或工作方式紧密相关的，这就产生 了一个数据同步的重要问题。因此，业务提供者要经济有效地、及时地、有 竞争力地去发展新业务、网络技术和网络管理过程以适应信息网络的快速变 化就变得越来越困难了。但仍有诸多因素推动网管的发展。 业务发展:网络的最终用户正在使用日益 “ 复杂”的各种各样的业务， 其范围从低速、突发业务到高速、连续业务，以及频带更宽按次付费的视频 业务。并且，一些大中型的商业客户要求更简单、更便宜地利用频带更宽的 业务来连接视频电视会议的 l a n和实现有效的信息联网和分布式的计算， 同时在业务网上能合并数据、话音、图像和视频业务。 技术发展: 网络技术正进行着合并统一。 例如， 窄带i s d n和宽带i s d n 提供了一组合并接入技术;s o n e t传送系统可提供一个相容的数字核心网。 通过综合的p b x技术、传送所有业务的l a n 、并使用高带宽业务以合并广 域的通信业务，增加了专用网的使用规模。另一方面，网络技术的发展可以 利用以下的最新进展:分布式系统技术、分布式计算环境/ 分布式管理环境、 电 信管理网、电信信息联网结构/ 信息联网结构、高级智能网和无线接入系 统等。 客户要求:商业客户为了申 请业务或改变业务、报告故障、计费、付帐 等，正在促进采用电子接口接入网络，以实现按需分配带宽和按需分配业务 的客户要求。 竞争性:网络/ 业务提供者间竞争的加剧，迫使许多业务提供者去寻求 减少运行成本、 更有效地使用资源， 促使新业务和新技术的实现以增加收入。 考虑到新业务和新技术的迅速推广应用、逐步升级的竞争压力，以 及日 益扩大的用户需求，业务提供者必须使网络管理运行现代化、简单化和自 动 化，业界已对演进的网管结构有了新的要求。 业务方面:在网络和网管系统环境两者中，可以很快地开发新业务:促 西南交通大学硕士研究生学位论文第 4页 进业务尽快地开放。 技术方面:要求有效地管理和分配整个网络中的数据: 取消物理重叠网。 商务方面:降低运行费用; 提高o a m以有竞争力的、 及时的方式提供业务。 降低成本的一种方法是通过简化网络，用能传送各式各样业务的通用资 源取代业务和技术的特定资源。例如，用 s o n e t技术取代准同步传输技术 将减少管理复用器的需要。在接入领域，软件控制的业务适配接入技术将进 一步简化网络并减少人员派遣的次数和麻烦。另一种方法是综合简化操作工 序和功能，即取消冗余的数据库及合并工序和劳动力。增强o a m 今 业务的管理尽可能地与实现业务的资源分开; . 把功能应用软件装入到we中，以便允许通用的高级标准消息映射到厂 家特定的实现过程中。 例如，可以实现每个 i n e管理自己的数据，并提供网管系统的补充 o a m 今 收集和维持来自多个资源的数据: . 保证调整和同步数据时的灵活性; 令 必要时，对网络单元数据和冗余的或本机复制的数据进行一致性管理。 安全管理涉及保护o a m要对网络进行识别、控制、从网络收 西南交通大学硕士研究生学位论文第 7 页 集数据，并对网络提供数据。 故障管理:包括监督修理、故障恢复，以及提供自 愈能力的预防维护等 管理功能。 性能管理:保证最有效地利用网络资源，以满足用户服务等级的指标。 帐务管理:处理和计算业务及资源使用情况的记录，并产生客户使用所 有业务的记帐报告。 安全管理:控制进网和保护网络及网管系统，防止有意无意的滥用、未 经批准的存取和通信的丢失。安全机制应有灵活性，以适应控制和查询特权 的范围。 劳动力管理:计划和控制操作人员的工作，包括分配工作量、人员和工 具。 物资管理:包括网络安装和修理中所用设备的采购、控制和储存。 2 .2 局域网应用系统规划阶段工作步骤与内 容 图2 - 2 给出系统规划工作的基本步骤与具体内容。系统规划的第一步工 作是进行网络系统需求调研与分析，把用户需求或问题，用准确的计算机网 络的技术术语和概念进行描述:将用户实际问题的要求转化为局域网规划的 基本要求和条件，规划系统所需的系统基本素材应包括以 下六个方面的内容: 功能需求:完成现行系统功能、计划开发的系统功能与预计将要扩展的 系统功能的调查与分析工作，这是局域网应用系统规划的出发点和目 标。 系统配置要求:应考虑用户要求联网微型机的数量、各类型机数量、型 号、操作系统、终端数量、大容量存储器、各种联网的视频、语音及多媒体 设备，以及直接联网的各种办公自 动化设备与外设。 用户节点地理位置分布情况:包括微型机与其它主机分布的位置，节点 群分布及组织情况，设备之间互连的要求，节点间相对位置与距离，建筑物 的分布情况，以及不容易互连的节点及强电磁干扰源的位置等。 网络信息需求:获得信息系统在网上存储、传输和共享的信息类型、信 息量、信息分布、共享的信息量和信息交换量。 可利用的外部通信条件:如电话交换网、x .2 5网。 局域网所支持的信息系统结构:包括局域网所支持的信息系统结构的组 成单元、 逻辑结构、信息系统层次结构与用户节点的 对应关系。 用户对网络系统的要求:指用户对网络响应时间的指标要求，系统安全 西南交通人学硕士研究生学位论文第 8 页 ,t、可靠性与可扩展性要求。 完成以上基本情况后，经用户讨论、审查与修改后形成系统规划阶段文 档，供系统设计阶段使用。 图2 - 2系统规划阶段的基本步骤与具体内 容 2 .3 系统设计阶段工作 2 .3 .1确 定网 络结 构 方 式与 应 用系 统工 作 模 式 川 局域网组网有两种方式: 对等网:没有专用的服务器，每台计算机既是客户机又是服务器，用户 充当自己计算机的管理员，决定机上的共享资源，负责机上的安全性。由于 管理分散，此种网难以保持一致的、严格的安全性。 西南交通大学硕士研究生学位论文 第 9 页 非对等网:有专门服务器，如:文件和打印服务器、应用程序服务器、 邮件服务器、传真服务器、通信服务器等，易于共享很多的资源和数据。 图2 - 3系统结构设计阶段的基本步骤与具体内 容 以下是两种网的比 较: 表2 - 1两种组网方式的比较 考虑对 等 网 络基于i报 务器的网络 规模不 多 于1 0 个 用 户一 只 受 服 务 器 和网 : 络硬件的限制 安全性用户自己负责 可提供更强的、一致的资源，以及用户 安全性、自己的安全性 管理每个用户负责管理本机的资源 集中式网络控制，至少需要一名合格的 管理员 西南交通大学硕士研究生学位论文第 1 0 页 选择什么样的网络结构由多种因素决定，包括:公司机构的大小;需要的安 全级别;商业类型;可获得的管理技术支持;网络通信量的大小;网络用户 的需要;网络预算等。 网络应用系统工作模式主要是针对局域网数据库共享与服务所采取的方 式，当今主要采用c l i e n t / s e r v e r 工作方式，这种方式的主要特点是采用s q l s e r v e r 开发工具，开发数据库软件与客户软件，所有数据处理发生在服务器 上，仅将处理结果返回给用户，这样大大减少网络信息交通量，提高了系统 工作效率与网络的服务质量。 2 .3 .2设计网络拓扑结构 网络上计算机、缆线或其它组件的物理布局，叫做拓扑结构，所有网络 基本上是由以下三种拓扑结构发展起来的:总线型 ( 计算机都由一条缆线连 接) 、星型 ( 计算机连到由单点发出的网线段上) 、环型 ( 计算机连到一环型 缆线上) 。 图2 - a总线式拓扑结构 hub 盈 . - a 一 h u b hub 图 2 - 5 星型树拓扑结构 西南交通大学硕士研究生学位论文第 1 1页 环形网络 福 歌 图2 - 6环状拓扑结构 令牌环网是一种典型的环型网，其把计算机连成一个逻辑上的环，信号 或令牌以顺时针的方向依次通过每台计算机。计算机抓住自由令牌，并把数 据发送到网上，接收计算机取得数据并把其标志为己接收，最后，数据继续 传到发送计算机，由其移走数据并释放自由令牌。 以下是三种拓扑结构的比较: 表2 - 2三种基本拓扑结构特点比 较 拓扑 优点缺点 总线型 缆线较少，介质较便宜，容易安装， 简单，可靠，容易扩展 网络流量大时速度很慢， 故障难以 查找，网线故障会影响很多用户 环型所有计算机都有平等的访问机会， 用户多时性能也不错 一台计算机出现故障会影响其它计 算机，故障很难发现，网 络重新配 置时会干扰正常的工作 星型 容易修改和增加新的计算机，可集 中进行监视、管理，一台计算机出 现故障不会影响其它计算机 集线器出现问题，影响整个网络 实际上采用的是三种拓扑结构的混合体，目 前较流行的是采用星型总 线，但要依具体条件决定。 2 .3 .3选择级线 常用缆线比较如下: 表 2 - 3常用缆线比较 特征 l o ba s e 2 l o b as e 5一 l o b as e t 光纤 缆线成本 比 双 绞 线 贵 一 比 细 缆 贵1 最 便宜 最 贵 最大可用长度1 8 5 米一 5 0 0 米1 0 0 米1 1 6 5 6 2 米 传输速度 l o m b / s一 l o m b / s l o m b / s一 1 0 0 m b / s 或 更 多 灵活性相当灵活较不灵活 最 灵 活i 不 灵 活 西南交通大学硕士研究生学位论文第 1 2页 安装简 单一 简 单 非 常 简 单 难以安装 抗 干 扰 性一 好 女 子 1 不 好 不受干扰 其他特征 电子器件比 双绞线稍贵 电子器件比 双绞线稍贵 与电话线一样， 一般预装在建筑 物里 支持音频和视频 数据 希望的用户安全性要求 u t p 小型网， 任 何高的中大型 网。任何规模的 s t p 令牌环网 要求速度、高数 据安全性和完整 性的任何网络 要确定哪种缆线适合特定的环境，须综合考虑以下问题: 今网络通信量有多大: .网络需要什么级别的安全性; .缆线需覆盖多大的范围; . 有哪些缆线可供选择; . 安装的难易，屏蔽性要求，传输速度要求，信号的衰减等。 另外，网络的扩容和工作环境也很重要，并且网络要提供一定的冗余度， 若估计流量为9 0 m b p s ， 那么可 选1 0 0 m b p s 的缆线. 难于布线时，可选无线 网络，无线网尤其适合以下情况: . 门厅或接待处等繁忙地方; . 不断移动的人们，如医院里的医生和护士; . 隔离的地区和建筑; . 物理设置变化频繁的部门; . 布线困难的建筑，例如历史遗迹。 目前在美国，微波在长距离传输中应用最广。 2 .3 .4选择合适的 网 卡 为了保证计算机和网络相兼容， 网卡必须做到: 符合计算机内部结构( 数 据总线结构) ，具有正确的缆线接头。为了确保正确传输数据，必须正确设 置网卡参数，其中最重要的是中断、基本1 / o端口地址、基本内存地址和收 发器。 利用网 卡某 些加强 技术， 如d m a ( d i r e c t m e m o r y a c c e s s ) 、 共享网 卡内存、共享系统内存、总线监管等，可以极大地提高网络的性能。 2 .3 . 5选取操作系 统 wi n d o w s n t与其它操作系统相比，具有以下重要特征: 可移植性:n t操作系统与处理器和平台隔离，它将依赖于硬件平台的 西南交通大学硕士研究生学位论文 第 1 3页 代码封装在h a l ( h a r d w a r e a b s t r a c t i o n l a y e r )的动态链接库中，与应用软 件开发者隔离。 对称多处理:每增加一个处理器，大约可提高8 0 %的系统性能。 先占多任务管理:提供了任务优先权控制。 内置的网络功能:将使用和控制网络的工具做在用户接口内。 支持大容量的存储器和硬盘: n t能够访问4 g b内存和t b( 万亿字节) 级的硬盘空间。 2 .3 . 6选取网络硬件 13 , 1 . h u b( 集线器) : h u b是星形网中的主要设备，它把所有连接工作 站的电缆汇集到一个节点。h u b按工作方式主要分为三类:基本h u b ，智 能h u b和交换h u b 。 交换h u b是智能h u b的增强，它可以把多个基本 h u b 或智能h u b互联， 组建大型多站点网络，并提供多种网际设备的 集成 化 管理， 包括 广域网 接口 ， 如t , , x .2 5 和 帧中 继 等。 由 于 交换h u b 使 用软 件控制，具备重新配置能力，从而减少了 硬件设备投资，它取代的是昂贵的 多端口路由器，下面简介两种典型交换h u b : n e t w o r k p e r i p e r a l s 公司的e i f o c l i e n t / s e r v e r s w i t c h i n g h u b和n e t w o r t h p o w e r p ip e s 公司的 e t h e r n e t / f d d i s w i t c h h u b是由 两个公司共同 研制的， 创门 在p c m e g a z i n e 进行的一次交换h u b评比中， 击败众多对手而获得了 e d i t o r s c h o i c e 的殊荣。这两种交换h u b都提供了1 2 个l o b a s e - t 端口 和两 个f d d i 高速端口，每个端口 可支持1 0 1 8 个以 太地址，即 每个端口 可连接 至多由1 0 1 8 个站点组成的网段，因此，它们具有很好的可扩展性和灵活性， 在交换数据包时可工作在i o o m b p s 的速率下，它们还具有筛选功能，能 够 去掉广播包或多地址广播包，并确定源地址和目 地地址是否在同一网段上， 同时可避免f d d i 链路受阻塞。在网管方面，两家公司都提供了完善的网络 管理软件。 2 . 中继器:使用中继器可克服在网络信号传输过程中由于传输介质限 制而产生的信号衰减或噪声等原因造成的失真，从而延长信号的传输距离， 但其只能连接具备同样层协议和相同访问方式的l a n ，因为它既不能进行 路由选择， 又不能运行任何软件进行网络管理， 也不能转换或过滤任何信息， 只能放大电子信号。如:在8 0 2 . 3 局域网 ( 以太网)和8 0 2 .5 局域网 ( 令牌 环形网)中，中继器无法正常工件，即中继器不能把以太网数据包转换成令 牌环形网数据包，但它可以连接不同类型的网络媒质。 西南交通大学硕士研究生学位论文 第 1 4 页 3 . 网桥:从协议层次看，网桥是在逻辑链路层进行存储转发的，其基 本作用有两个:扩展网络和通讯分段。使用网桥时应考虑如下因素: 今 不适于速度低于 5 6 k b / s 的广域网: 令 不能同时利用多条路径; 令 完全发送所有的广播信息，可能会产生广播风暴; 令 向全域范围发送目 标地址未名的数据包，可能会产生广播风暴。 由惠普公司生产的三种网桥比较著名， h p 2 8 6 8 a l a n b r i d g e , h p 2 8 7 3 a l a n b r i d g e mb , h p r e m o t e b r i d g e r b . 4路由器:其工作于o s i 模型的网络层，它可在多个网络上交换和路 由数据包，具有网桥的全部功能，另外，它还能把大型网络拆解成较小的网 络，在网络分支之间充当一个安全保护层，防止广播风暴。其适合于大规模 的网络，但不支持非路由的网络协议，安装复杂，价格较昂贵。目 前较常用 的是惠普公司生产的h p e t h e r t w i s t 系列产品， 如， r o u t e r f r , r o u t e r l r , r o u t e r b r, ro u t e r e r r o u t e r t r. 5 . 网关:使用路由器和网桥可以实现网络分段和网际互连，但它们只 能连接同种类型的网络，对于不同的操作系统和网络协议组成的网络，只好 考虑用网关。因为网关是以如下方式处理数据的，通过网络的完整协议栈拆 解输入数据，以另一个网络的完整协议栈封装输出数据进行传输，即把信息 重新包装，以适应目 标环境的要求。它连接的两个系统可以具有不同的通讯 协议、格式化数据的结构、语言、体系结构。但它也有一些限制，如是基于 具体任务的，可能会很慢，非常昂贵。 2 .4 规划n t的目 录服务 2 .4 .1域 和 信任关 系 m 域是为了管理的目 的而有逻辑地组织起来的用户和计算机的集合。组成 域的计算机按哪种方式组合取决于公司的结构和用户的需求，可以按管理模 式、地理模式、功能的模式或其它逻辑和普通的要求来设计。 信任关系是两个域之间安全通讯连接的保证。通过信任关系，一个域可 以接受在别的域中所生成的用户帐户为有效帐户，并允许这些帐号使用本地 资源。信任关系可以被设置为单向或双向的。 . n t中引入域和信任关系。使得目 录成为可能 西南交通大学硕士研究生学位论文第 1 5页 2 .4 .2目 录 服务的 组成以 及特性 在一个正确实现的wi n d o w s n t目录环境中，用户的网络帐户如果有合 适的许可就能够实现: 令 一个用户用一个帐户登录到一个网络上; . 可以 跨域使用网络中任何地方的资源; . 在一个集中的地点实现整个网络工作并管理整个网络; . 为目 录服务数据库提供同步和分区; 令 在 一个单 一 的企 业中同 时 集成w i n d o w s n t 和n o v e l l n e t w a r e 环境; 有了目 录服务，建立信任关系后，把被信任域的管理员帐户加入信任域 的管理员组，那么一个单一的网络管理员在一个单一地点就能访问网络中的 任何 信任域。 一旦 登录 成功， 管 理员 就可用域用户管理 器 ( u s e r m a n a g e r f o r d o m a i n s ) 和服 务 器管 理器 ( s e r v e r m a n g e r ) 管理: 用户 帐户、 域、 域中的 计算机。例如:假设在一个大型的多域网络中 ( 伦敦域信任纽约域) ，伦敦 域的管理员正在休假，而备份管理员又感冒了，那么，目录服务允许进行远 程的域管理来保证在他们缺席的情况下网络的正常运行。由于伦敦域信任纽 约域，伦敦域的管理员可以使用域用户管理器把纽约域的域管理员全局组加 到伦敦域的管理员本地组中去，这样纽约域的管理员就可以既管理纽约域又 管理伦敦域了。 总之，为实现目 录服务，必须完成以下任务: 今 建立并维护信任关系，从而实现 “ 一个用户，一个帐户”的概念。 令 在一个给定的网络环境中设计并实现适当的wi n d o w s n t域模型 ( 单域、 单主域、多主域、完全信任) 。 令 确定最优的服务器数目 和位置。 2 . 4 . 3规划并管理信任关系 为正确建立信任关系，须考虑以下因素: . 信任关系只在win d o w s n t s e r v e r 域之间建立; + 域的地理位置不重要; 今 尽量减少信任关系的数目，信任关系数目 越少，网络管理越简单; . 确定单向 信任关系的数目， 例如，网络中两个域一个是帐户域，一个是 资源域，两个域之间实施的是单一的单向信任关系，或实施两个单向 信任关 系 以便每个域可以同时包含各自的帐户和资源) ，这两种方案的信任关系 西南交通大学硕士研究生学位论文第 1 6 页 数就不同; 令 用户的物理或逻辑位置不重要，因为传递验证使得用户可以从网络上任 何地点登录; . 用户帐户所处的位置很重要，只要用户在被信任域中有帐户，当适当的 信任关系建立后，用户就能从任何域上的任何地方登录。 信任关系的不可传递性或信任关系被打破，会使信任关系功能复杂化。 如a域信任b域， b域信任c域，但a域不信任c域;一个信任关系在下 列情况下可被打破: 信任关系中某个域改了名或物理联系的中断( 网络线路) 或n e t l o g o n 服务失 败或终止。 在跨越信任关系的域中，实现以 下组策略， 可有效管理网络:确定是否有本地组可以完成任务，如果没有，建立一个， 给其一个有效名称;必要时授予本地组许可;把适当的用户加入到己有或新 建的全局组中;把全局组加入到适当的本地组中。 2 .4 . 4确定目 录服务的 域结 构 目录服务可通过四种不同的域结构实现:单域模型、单主域模型、多主 域模型、完全信任域模型，各个域模式的特点如下: 单域: 只有一个域，最适于用户少于4 0 0 0 0 个，需集中管理帐户和资源。 表2 - 4单域模型总结 优点缺点 对于许多公司来说是最佳模型，因为它如果域控制器的硬件不能支持太多的用 很简单户将导致性能降低 集中管理用户帐户无法把用户按照部门分组 集中管理资源无法对资源分组 不需要管理信任关系如果域中有很多服务器时，浏览会很慢 单主域 包括一个帐户域 ( 主域)和一些资源域，除了p d c之外，至少 还应有一个b d c ，以防p d c出 现故障。如果一个公司己发展到拥有很多分 支机构和部门，每个部门都想管理自己的资源，同时希望集中管理帐户时， 单主域模型是最佳选择。 表2 - 5单主域模型总结 优点缺点 当公司没有很多用户，但共享资源必 如果域中的硬件不能支持太多的用户和组 须分组进行管理时， 是最好的 选择时， 将导致系统性能下降 对用户帐户集中管理在需访问的每个域中要定义本地组 ，、 * 二，、“， 、 ， 、 * 。信任域管理员依赖于主域对全局组的管理提 资源通过资 源域进行逻辑分组发兰了足-1 1 1 - 1 一，lj工 “ j 曰 污_ _ _ _ 一 、 一 1 - 1 - 一供 安 全 性 每个资源域需要自己的资源管理员全局组只需定义一次 ( 在主域中) 西南交通大学硕士研究生学位论文第 1 7页 多主域模型: 包括一个以上的帐户域 ( 主域)和一些资源域。对于要求 在公司中分布多个管理单元，同时希望对帐户进行集中管理的大公司来说， 多主域模型是最好的选择，一般把部门作为建立资源域的单元。如在一个企 业中，市场、销售、生产、财务等其它主要部门希望他们的管理员管理自己 部门的用户和组， 多主域模型支持这一类型的企业结构。这种模型下要注意 信任关系的数目，因为信任关系越少就越有效，管理也越简单，可用下式计 算信任关系的数目 :m* ( m - 1 ) 十( r * m) , m是主域的个数，, r是资源域的 个数。 表2 - 6多 主域 模型总结 优点缺点 对一个拥有许多用户并有一个集中管理帐户 的mi s部门的公司来说，是最好的选择 适用于任何数目的用户 根据逻辑关系对资源进行分组 部门域的管理员对本部门的资源进行管理 全局组和本地组都要定义多次 要管理更多的信任关系 不是所有的用户帐户都存在一个域内 完全信任域模型: 网络中每一个域之间互相信任，没有一个域控制其余 的域，它把用户、组、域，以及资源的管理分散至不同的部门中而不是集中 管理。因为没有集中管理，完全信任关系中其它域的用户访问资源会导致安 全危机，因此这种模型要求高度信任其它被信任域中的全局组。同多主域模 型一样， 信任关系数目 越少越能有效管理网 络， 信任关系数目可由下式计算: n * ( n - 1 ) , n是域的数目。 表2 - 7完全信任域模型总结 对于没有集中管理的 mi s组的公司是最 适合的 适用于任何数目的用户的网 络 每个部门完全控制它自己的 用户和资源 资源和用户分组到不同部门单元 因为没有对用户的集中管理，这种模型 不适用于mi s 部门进行集中管理的公司 需 要管理大量的信任关系 每个部门必须信任其它部门，不把不合 格的用户放入到全局组中 总之，规划目 录服务结构时要注意: 令 使用网络的人数，不同目 录服务结构适应不同数目的帐户; . 企业的组成，域不局限于地理位置，如一个国际公司的销售域，应该包 括分布在不同洲的用户; 今 需要访问的资源的类型、数目、位置及管理方式; . 需要使用网络的用户位置，资源可能位于机构中的不同位置，但用户帐 西南交通大学硕士研究生学位论文第 1 8页 户要集中。 2 .4 . 5规 划目 录服务结 构 设计一个有效的目 录服务结构包括确定域控制器的最佳数目，确定有效 的服务器的位置以及实现有效的同步控制等。为了 在服务器之间实现最佳的 通讯，必须建立一个满足如下所述特点的系统: 合适的域控制器的数民 如果网络中没有足够的域控制器，将不能很好 地满足帐户要求，但若有太多的域控制器，又将浪费资源; 合适的服务器的位置 服务器的位置是十分重要的，正确的服务器布置 可使网络成为一个能有效地为用户进行服务的工具;而不恰当的服务器布置 又可能使网络成为一个服务器和工作站的堆积，不但无助于业务往往还可能 有所阻碍; 有效的同步控制: 同步使产生广域网流量成为可能，可能在不恰当的时 候影响网络的运行。因此，如果网络需要有效地支持用户，最关键的一点就 是要配置网络使其的同步过程达到尽可能高的效率。 有效的传递验证 验证过程会产生网络流量，因此这个过程应尽可能地 迅速，以免对商业通讯造成影响。 域中每一个帐户 ( 包括用户帐户、计算机帐户、组帐户)都作为一个对 象 ( o b j e c t ) 存放在安全帐户管理器 ( s a m) 文件中，实际对 s a m 文件大 小的限制因素包括:计算机处理器的类型，计算机中用来管理域的有效内存 的数量。一般不超过 4 0 m 的 s a m文件不会影响网络性能，s a m文件的大 小 大 致可 用以 下方式计算: u * 1 + c * 0 . 5 + g * 0 . 5 1 2 + l * 0 . 5 1 2 ( k b ) , u代表用户 帐户的数目，c代表计算机帐户的数目， g代表全局组的数目， l代表本地 组的数目。依据 s a m 文件的大小确定域的数目 后，接着要确定域控制器的 数目，这时需考虑: 域控制器的容量和速度: 考虑硬盘空间的大小，内存， c p u的速度和类 型; 主域的最佳数目 和位置 主要依据公司的组织结构和总共用户的数目。 每4 0 0 0 0 个帐户构成一个主域，每 2 0 0 0 个帐户使用一个b d c . 规划域和服务器的位置时，要考虑主域、p d c和 b d c 、资源域、服务 的分布，并且为更有效地管理网络，系统应最好采用基于逻辑的商业分组而 产生的有组织的管理结构，而不是建立在地理位置上，当然最终依赖于组织 的结构和操作的要求。在一个域内，p d c应放置在离网络管理负担最重的 西南交通大学硕士研究生学位论文 第 1 9 页 地点最近的地方，这样，p d c可用最少的延迟来处理网络流量;而为减少 主域验证访问资源域的用户帐户的时间，主域的 b d c应放置在离用户靠近 的地方;确定 b d c的物理分布时要考虑:线路速度、可用带宽、连接的可 靠性、管理性访问、协议、用户验证请求、一个站点所能支持的用户数、本 地可用的资源。当有广域网连接时，可把 b d c放置在产生绝大多数登录请 求的地方来减少通过广域网连接的登录验证流量， 而在广域网连接的每一端 放置一个 b d c将避免在广域网连接上产生传递验证流量，当然，若必须把 一个 b d c放置在远程的一个站点，就需在有效的登录服务和通过广域网连 接的同步过程间进行权衡。 2 . 5安全配里n t 2 . 5 . 1安全配置n t的 措施 人们普遍认为n t在安全性方面不如 u n i x 。真是n t本身比u n i x不安 全吗?答案是否定的。原因在于多年以来 u n i x管理员己学会了在复杂的 i n t e r n e t 环境中实现 u n i x服务，所以n t管理员也该学习如何在 i n t e rn e t 上 保护自己的系统，从而使自己的 wi n d o w s n t高枕无忧。在 i n t e rn e t 的广泛 应用中，wi n d o w s n t的安全性一度令 n t管理员们深感不安，在运行 w in d o w s 9 5的 环境下， 任 何一 位略懂