CN102833261A - 改进的目录服务系统网络拓扑结构 - Google Patents
改进的目录服务系统网络拓扑结构 Download PDFInfo
- Publication number
- CN102833261A CN102833261A CN2012103236445A CN201210323644A CN102833261A CN 102833261 A CN102833261 A CN 102833261A CN 2012103236445 A CN2012103236445 A CN 2012103236445A CN 201210323644 A CN201210323644 A CN 201210323644A CN 102833261 A CN102833261 A CN 102833261A
- Authority
- CN
- China
- Prior art keywords
- equipment
- server
- access gateway
- netware
- topology structure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种改进的目录服务系统网络拓扑结构,包括身份认证服务器和访问网关服务器,身份认证服务器和访问网关服务器都与内部交换机连接,内部交换机划分为两个独立的网段VLAN1和VLAN2,其中,VLAN1为访问网关服务器提供负载均衡,VLAN2为身份认证服务器提供负载均衡;F5设备为两个网段VLAN1和VLAN2提供负载服务;内部交换机和F5设备都与上层交换机连接。本发明通过网络改造,将目录服务访问管理服务器直接接入F5设备的模式改为旁路模式,即将目录访问管理服务器接入二层交换机,通过二层交换机连接到F5设备上,实现负载均衡,既解决了目录服务访问管理存在的F5设备单点隐患,也为今后服务器扩容提供支持。
Description
技术领域
本发明涉及一种目录服务系统,尤其是一种改进的目录服务系统网络拓扑结构。
背景技术
目录服务访问管理服务集群(AM, Access Manager)是目录服务统一身份认证、访问控制、单点登录的统一入口,包括访问网关服务器(AG, Access Gateway)和身份认证服务器(IDS, Identity Server)。
在传统的基于HTTP协议的访问管理系统中,访问网关服务器和身份认证服务器直接与单台F5设备连接,实现负载均衡,如图3所示。但是,这种直接接入方式存在两点安全隐患:(1)存在单点隐患:由于F5设备与目录系统服务器设备串联,如果F5设备出现异常,会直接影响目录系统的可用性;恢复系统时,需采用手动方式将目录系统访问管理服务器切换至备用的F5设备,而在切换过程中,目录服务系统就不能对外提供服务,影响业务系统的使用;(2)可扩容性差:由于F5设备下联的目录系统服务器数量受到F5设备物理接口数量的限制,当目录服务系统访问量增加,现有服务器不能满足系统不断增长的扩容需求时,而目录系统总体服务器数量不能超过F5设备物理接口数量,致使系统可扩容性差。
发明内容
本发明要解决的技术问题是提供一种改进的目录服务系统网络拓扑及其旁路接入方法,解决了目录服务访问管理存在的F5单点隐患,并为今后服务器扩容提供支持。
为解决上述技术问题,本发明所采取的技术方案是:一种改进的目录服务系统网络拓扑结构,包括身份认证服务器和访问网关服务器;身份认证服务器和访问网关服务器都与内部交换机连接,内部交换机划分为两个独立的网段VLAN1和VLAN2,其中,VLAN1为访问网关服务器提供负载均衡,VLAN2为身份认证服务器提供负载均衡;F5设备为两个网段VLAN1和VLAN2提供负载服务;内部交换机和F5设备都与上层交换机连接。
其中,所述身份认证服务器对外提供服务的地址和访问网关服务器对外提供服务的地址均设置在F5设备上,并且身份认证服务器与访问网关服务器的网关都设为F5设备的地址,由F5设备转发相应的数据流。
其中,所述上层交换机通过网络云与客户端连接。
其中,所述F5设备包括采用双机部署模式的主F5设备和备用F5设备。
采用上述技术方案所产生的有益效果在于:本发明具有如下的技术特点:(1)解决了目录服务访问管理存在的F5设备单点隐患:在直连部署模式下,服务器单点连接入F5设备,F5设备发生故障的几率约0.001%,当更改为旁路以后,服务器与F5设备没有物理连接关系,两台F5双机可同时为服务器提供负载均衡服务,任何一台出现故障不会影响现有服务,两台F5设备同时出现故障的几率为0.001%*0.001=0.000001%,因此,将由于F5设备故障导致的服务不可用几率降低了1000倍;(2)为今后服务器扩容提供支持:在直连部署模式下,F5设备可负载服务器数量取决于设备的物理端口,目前F5设备提供的物理端口为8个,相应的可负载服务器数量n=8;当改为旁路部署模式后,可负载服务器数量取决于带宽,而且8个端口可捆绑,当应用所占带宽不超过8000Mbps时,理论上可负载服务器数量n=+∞;(3)通过划分VLAN的方式完成目录服务访问管理系统网络改造,最大限度节省了资源。
总之,本发明通过网络改造,将目录服务访问管理服务器直接接入F5设备的模式改为旁路模式,即将目录访问管理服务器接入二层交换机,通过二层交换机连接到F5设备上,实现负载均衡。解决了目录服务访问管理存在的F5设备单点隐患,并为今后服务器扩容提供支持。
附图说明
图1是本发明的目录服务系统网络拓扑图;
图2是采用内置交换机直连方式的网络拓扑图;
图3是现有技术访问管理和身份认证服务器网络拓扑结构图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图1所示为本发明的目录服务系统网络拓扑图,采用异网旁路模式访问管理服务器集群。本发明的目录服务系统网络拓扑结构,包括身份认证服务器和访问网关服务器,图中,身份认证服务器IDS3-IDS6、SSL_IDS1、SSL_IDS2划分为身份认证服务器集群,访问网关服务器AG3-AG6、SSL_AG1、SSL_AG2划分为访问网关服务器集群;身份认证服务器和访问网关服务器都与内部交换机连接,内部交换机划分为两个独立的网段VLAN1和VLAN2,其中,VLAN1为访问网关服务器提供负载均衡,VLAN2为身份认证服务器提供负载均衡;身份认证服务器对外提供服务的地址和访问网关服务器对外提供服务的地址均设置在F5设备上,并且身份认证服务器与访问网关服务器的网关都设为F5设备的地址,由F5设备转发相应的数据流;F5设备包括采用双机部署模式的主F5设备和备用F5设备,即图1中的F5 A机和F5 B机,F5设备为两个网段VLAN1和VLAN2提供负载服务;内部交换机和F5设备都与上层交换机连接,上层交换机通过网络云与客户端连接
本发明的目录服务访问管理系统旁路接入模式实现过程如下:
步骤1:对访问管理的身份认证服务器集群和访问网关服务器集群进行划分;
步骤2:使用内部交换机方式,对交换机划分出两个独立的网段VLAN1和VLAN2;这两个独立的网段VLAN1和VLAN2,一个专门为身份认证服务器集群提供负载均衡,另一个专门为访问网关服务器集群提供负载均衡。
步骤3:每个网段都有双机部署模式的F5设备,分别为不同的网段提供负载服务,目前身份认证服务器部署在10.122.1.0/24网段,访问网关服务器部署在10.122.6.0/24网段。
步骤4:身份认证服务器对外提供服务的地址设置在F5设备上为10.122.1.132/32,访问网关服务器对外提供服务的地址设置在F5设备上为10.122.6.116/32。
步骤5:身份认证服务器与访问网关服务器的网关都设为F5设备地址,由F5转发相应的数据流。
步骤6:通过不同网段间防火墙的设置,阻止客户端绕过四层交换机直接访问管理各服务器通讯。
步骤7:通过防火墙强制客户端通过F5设备访问身份认证服务器和访问网关服务器,即只可以访问F5设备提供服务的地址,不可以访问身份认证服务器的地址,同理强制访问网关服务器集群与身份认证服务器集群之间也必须通过F5设备互相连通。
本发明采用主F5设备与备用F5设备的双机部署模式,当主F5设备宕机后,备用F5设备工作,保证网络依然连通;这种设计既保证了F5服务器的双机热备功能,彻底的解决单点故障,并且也便于以后目录访问管理服务器的扩充。
如图2所示为采用采用内置交换机直连方式的网络拓扑图。图中,身份认证服务器集群和访问网关服务器集群分别通过独立的内部交换机接入F5设备,F5设备与上层交换机连接。其中,分别与身份认证服务器集群和访问网关服务器集群连接的内部交换机各有两台,是为了提高可靠性;F5设备也采用双机部署模式的主F5设备与备用F5设备,即图中的F5 A机和F5 B机,这种设计既保证了F5设备的双机热备功能,彻底的解决单点故障,并且也便于以后目录访问管理服务器的扩充。
但是,由于上述结构需要采用四台交换机,考虑到交换机的故障出现频率较小,可以简化设计,采用如图1所示的结构。
Claims (4)
1.改进的目录服务系统网络拓扑结构,包括身份认证服务器和访问网关服务器;其特征在于:身份认证服务器和访问网关服务器都与内部交换机连接,内部交换机划分为两个独立的网段VLAN1和VLAN2,其中,VLAN1为访问网关服务器提供负载均衡,VLAN2为身份认证服务器提供负载均衡;F5设备为两个网段VLAN1和VLAN2提供负载服务;内部交换机和F5设备都与上层交换机连接。
2.根据权利要求1所述的改进的目录服务系统网络拓扑结构,其特征在于:所述身份认证服务器对外提供服务的地址和访问网关服务器对外提供服务的地址均设置在F5设备上,并且身份认证服务器与访问网关服务器的网关都设为F5设备的地址,由F5设备转发相应的数据流。
3.根据权利要求1所述的改进的目录服务系统网络拓扑结构,其特征在于:所述上层交换机通过网络云与客户端连接。
4.根据权利要求1所述的改进的目录服务系统网络拓扑结构,其特征在于:所述F5设备包括采用双机部署模式的主F5设备和备用F5设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103236445A CN102833261A (zh) | 2012-09-05 | 2012-09-05 | 改进的目录服务系统网络拓扑结构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103236445A CN102833261A (zh) | 2012-09-05 | 2012-09-05 | 改进的目录服务系统网络拓扑结构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102833261A true CN102833261A (zh) | 2012-12-19 |
Family
ID=47336231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012103236445A Pending CN102833261A (zh) | 2012-09-05 | 2012-09-05 | 改进的目录服务系统网络拓扑结构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102833261A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107229492A (zh) * | 2017-05-17 | 2017-10-03 | 东软集团股份有限公司 | 服务器系统的安装方法、装置、系统、存储介质及设备 |
| CN107809384A (zh) * | 2017-11-01 | 2018-03-16 | 携程旅游网络技术(上海)有限公司 | 终端设备的路由分配方法、装置、电子设备、存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101207561A (zh) * | 2006-12-22 | 2008-06-25 | 华为技术有限公司 | 集群管理器、集群系统、以及集群管理方法 |
| CN101667937A (zh) * | 2008-09-02 | 2010-03-10 | 华为技术有限公司 | 实现数据业务设备容灾的方法、数据业务设备和系统 |
| WO2011045297A1 (fr) * | 2009-10-14 | 2011-04-21 | Alcatel Lucent | Gestion de dispositif de communication a travers un reseau de telecommunications |
| US20120117379A1 (en) * | 2010-11-04 | 2012-05-10 | F5 Networks, Inc. | Methods for handling requests between different resource record types and systems thereof |
| CN102624916A (zh) * | 2012-03-26 | 2012-08-01 | 华为技术有限公司 | 云计算系统中均衡负载的方法、节点管理器及系统 |
-
2012
- 2012-09-05 CN CN2012103236445A patent/CN102833261A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101207561A (zh) * | 2006-12-22 | 2008-06-25 | 华为技术有限公司 | 集群管理器、集群系统、以及集群管理方法 |
| CN101667937A (zh) * | 2008-09-02 | 2010-03-10 | 华为技术有限公司 | 实现数据业务设备容灾的方法、数据业务设备和系统 |
| WO2011045297A1 (fr) * | 2009-10-14 | 2011-04-21 | Alcatel Lucent | Gestion de dispositif de communication a travers un reseau de telecommunications |
| US20120117379A1 (en) * | 2010-11-04 | 2012-05-10 | F5 Networks, Inc. | Methods for handling requests between different resource record types and systems thereof |
| CN102624916A (zh) * | 2012-03-26 | 2012-08-01 | 华为技术有限公司 | 云计算系统中均衡负载的方法、节点管理器及系统 |
Non-Patent Citations (3)
| Title |
|---|
| F5网络公司: "《电力行业GIS/MIS负载均衡》", 《GIS-MIS-LOAD-BALANCING》 * |
| 喻殿云: "《负载均衡在企业网络中的应用研究》", 《中国优秀硕士学位论文全文数据库》 * |
| 许红果等: "《集群和负载均衡技术在省级数据集中的应用研究》", 《计算机工程与设计》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107229492A (zh) * | 2017-05-17 | 2017-10-03 | 东软集团股份有限公司 | 服务器系统的安装方法、装置、系统、存储介质及设备 |
| CN107809384A (zh) * | 2017-11-01 | 2018-03-16 | 携程旅游网络技术(上海)有限公司 | 终端设备的路由分配方法、装置、电子设备、存储介质 |
| CN107809384B (zh) * | 2017-11-01 | 2020-05-29 | 携程旅游网络技术(上海)有限公司 | 终端设备的路由分配方法、装置、电子设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11902086B2 (en) | Method and system of a dynamic high-availability mode based on current wide area network connectivity | |
| CN110798811B (zh) | 编队无人机通讯方式、控制方法、被动中继信息传输方法及应用 | |
| CN102984057B (zh) | 一种多业务一体化双冗余网络系统 | |
| CN104683015B (zh) | 一种无人机地面站总线系统 | |
| CN101820358A (zh) | 高利用率以及多路的以太网光纤通道 | |
| CN108075825B (zh) | 一种基于sdn的天基信息网络多控制器失效处理方法 | |
| CN102572905A (zh) | 一种双归保护倒换方法和系统 | |
| CN105391651B (zh) | 一种虚拟光网络多层资源汇聚方法和系统 | |
| CN104580502A (zh) | 一种实现负载均衡双机热备的方法 | |
| CN107846318A (zh) | 一种分布式集群及分布式集群管理方法 | |
| CN103534985B (zh) | 业务负载分配方法、装置和通信系统 | |
| CN102523171A (zh) | 一种基于双呼叫中心的网络系统 | |
| CN102833261A (zh) | 改进的目录服务系统网络拓扑结构 | |
| CN101895444A (zh) | Atca刀片服务器双机系统、连接方法及测试方法 | |
| CN115766335A (zh) | 技术研究成果信息共享的组网系统 | |
| CN114900389A (zh) | 一种数据中心广域网组网系统及广域网虚拟化接入方法 | |
| CN104113434A (zh) | 一种采用多机箱集群系统的数据中心网络冗余控制装置 | |
| CN202395802U (zh) | 一种可拓展的运载火箭地面测控网络拓扑结构 | |
| CN105610555A (zh) | 一种实用的系统级冗余通信网络架构 | |
| WO2018107749A1 (zh) | 一种在集群服务器系统中进行数据交换的方法 | |
| CN103888335A (zh) | 一种变电站信息网络互联的方法 | |
| CN103139065A (zh) | 一种基于Ipsec的数据连接方法 | |
| CN205051716U (zh) | 一种电力通信综合数据网络系统 | |
| CN110493050A (zh) | 一种可实现大规模充电设备去中心化的组网方法 | |
| Bian et al. | Establishing efficient all one-to-one paths by exploring cyclic quorum sets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: INFORMATION AND COMMUNICATION BRANCH OF STATE GRID Free format text: FORMER OWNER: HEBEI ELECTRIC POWER CORPORATION HEBEI ELECTRIC POWER CORPORATION INFORMATION COMMUNICATION BRANCH Effective date: 20150114 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150114 Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing Applicant after: State Grid Corporation of China Applicant after: Information Communication Branch, State Grid Hebei Electric Power Co., Ltd. Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing Applicant before: State Grid Corporation of China Applicant before: Hebei Electric Power Corporation Applicant before: Hebei Electric Power Corporation Information Communication Branch |
|
| C05 | Deemed withdrawal (patent law before 1993) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20121219 |