技術領域

本發明涉及一種目錄服務系統，尤其是一種改進的目錄服務系統網絡拓撲結構。

背景技術

目錄服務訪問管理服務集群(AM,?Access?Manager)是目錄服務統一身份認證、訪問控制、單點登錄的統一入口，包括訪問網關服務器(AG,?Access?Gateway)和身份認證服務器(IDS,?Identity?Server)。

在傳統的基于HTTP協議的訪問管理系統中，訪問網關服務器和身份認證服務器直接與單臺F5設備連接，實現負載均衡，如圖3所示。但是，這種直接接入方式存在兩點安全隱患：（1）存在單點隱患：由于F5設備與目錄系統服務器設備串聯，如果F5設備出現異常，會直接影響目錄系統的可用性；恢復系統時，需采用手動方式將目錄系統訪問管理服務器切換至備用的F5設備，而在切換過程中，目錄服務系統就不能對外提供服務，影響業務系統的使用；（2）可擴容性差：由于F5設備下聯的目錄系統服務器數量受到F5設備物理接口數量的限制，當目錄服務系統訪問量增加，現有服務器不能滿足系統不斷增長的擴容需求時，而目錄系統總體服務器數量不能超過F5設備物理接口數量，致使系統可擴容性差。

發明內容

本發明要解決的技術問題是提供一種改進的目錄服務系統網絡拓撲及其旁路接入方法，解決了目錄服務訪問管理存在的F5單點隱患，并為今后服務器擴容提供支持。

為解決上述技術問題，本發明所采取的技術方案是：一種改進的目錄服務系統網絡拓撲結構，包括身份認證服務器和訪問網關服務器；身份認證服務器和訪問網關服務器都與內部交換機連接，內部交換機劃分為兩個獨立的網段VLAN1和VLAN2，其中，VLAN1為訪問網關服務器提供負載均衡，VLAN2為身份認證服務器提供負載均衡；F5設備為兩個網段VLAN1和VLAN2提供負載服務；內部交換機和F5設備都與上層交換機連接。

其中，所述身份認證服務器對外提供服務的地址和訪問網關服務器對外提供服務的地址均設置在F5設備上，并且身份認證服務器與訪問網關服務器的網關都設為F5設備的地址，由F5設備轉發相應的數據流。

其中，所述上層交換機通過網絡云與客戶端連接。

其中，所述F5設備包括采用雙機部署模式的主F5設備和備用F5設備。

采用上述技術方案所產生的有益效果在于：本發明具有如下的技術特點：（1）解決了目錄服務訪問管理存在的F5設備單點隱患：在直連部署模式下，服務器單點連接入F5設備，F5設備發生故障的幾率約0.001%，當更改為旁路以后，服務器與F5設備沒有物理連接關系，兩臺F5雙機可同時為服務器提供負載均衡服務，任何一臺出現故障不會影響現有服務，兩臺F5設備同時出現故障的幾率為0.001%*0.001=0.000001%，因此，將由于F5設備故障導致的服務不可用幾率降低了1000倍；（2）為今后服務器擴容提供支持：在直連部署模式下，F5設備可負載服務器數量取決于設備的物理端口，目前F5設備提供的物理端口為8個，相應的可負載服務器數量n=8；當改為旁路部署模式后，可負載服務器數量取決于帶寬，而且8個端口可捆綁，當應用所占帶寬不超過8000Mbps時，理論上可負載服務器數量n=+∞；（3）通過劃分VLAN的方式完成目錄服務訪問管理系統網絡改造，最大限度節省了資源。

總之，本發明通過網絡改造，將目錄服務訪問管理服務器直接接入F5設備的模式改為旁路模式，即將目錄訪問管理服務器接入二層交換機，通過二層交換機連接到F5設備上，實現負載均衡。解決了目錄服務訪問管理存在的F5設備單點隱患，并為今后服務器擴容提供支持。

附圖說明

圖1是本發明的目錄服務系統網絡拓撲圖；

圖2是采用內置交換機直連方式的網絡拓撲圖；

圖3是現有技術訪問管理和身份認證服務器網絡拓撲結構圖。

具體實施方式

下面結合附圖和具體實施方式對本發明作進一步詳細的說明。