网络连接无限：“服务水平”的承诺

  　　Internet越来越成为全球的数字神经。我国正在推动的政府、企业和家庭的上网工程，实际上是如
何把一个单位的数字神经连接到全球数字神经的问题。Windows 2000有一系列的联网服务，可以把一个
单位的局域网连接到Internet等广域网，实现“业务联系无限制”的企业远景。
　　
　　在网络基础服务方面，企业IT管理中一个常见的问题是：如何衡量IT的服务质量。经常是业务部门
不愿意做IT投资，IT人员也无从提高服务质量。因此，国外企业中开始流行一种“服务水平协议”的做
法，即IT部门和业务部门签署协议，保证一定水平的服务：比如7X24的网络连接、128K的广域虚拟专用
网服务等。在经济利益明晰的情况下，IT部门可以更好地提供服务，激发服务人员的士气，以完成量化
的工作目标。

　　一个企业中既要有基于Internet的企业级应用（如Microsoft Office 2000），也要有基于
Internet的 企业级网络服务，比如Dynamic DNS（动态注册的域名解析服务）、DHCP（动态IP地址分
配服务）、RRAS（路由和远程接入服务）等；这些网络基础服务是保障企业应用实现的前提条件。
Windows 2000也更多地依赖底层的TCP/IP网络服务，因此在一个Windows 2000的企业网中保证这些服
务的正常提供，并达到预定的服务水平，显得尤为重要。

　　今天的企业需要创建灵活的、易于使用的公司网络，把个人或分支办公室远程连接到公司网络，连
接Internet和合作伙伴网络，并且在数据网络中集成语音和视频服务等。让我们来看看Windows 2000
是如何满足现代企业这些需求的。 

　　承诺第一件：建设和管理各种规模的企业网络 微软在Windows 2000中第一次提供了“AutoNet”
的新特性。因为TCP/IP已经成为缺省的Windows 2000网络协议，当一台Windows 2000机器启动时，如
果在网络上找不到DHCP服务，它会自动给自己分配一个IP地址，采用的是微软特地向Internet组织申
请的一个私用网段中的IP地址：169.254.x.x。如果以后此机器在网络上发现有DHCP服务，它就会改用
动态分配的IP地址。这种“AutoNet”的功能，增强了Windows 2000联网工作的简单性。

　　Windows 2000中也为大型企业提供了灵活而完善的、与网络操作系统相结合的IP管理方案。动态注
册的DNS成为Windows 2000网络中至关重要的一环，并且可以与活动目录相集成。Windows 2000的DNS
服务都必须支持SRV纪录，以帮助找到在Windows 2000网络中提供服务的机器。当客户机或者子域域控
制器登录到活动目录时，它们会在DNS服务中注册自己的名字及相对应的IP地址。活动目录也可以帮助DNS
服务在整个公司网中进行复制，解除了为DNS服务另外作一套复制机制的重复劳动。

　　DHCP服务也可以与活动目录相集成。这样，当DHCP给机器分配IP地址的时候，DNS和活动目录中的
信息就会被动态更新。然后，名字解析就会顺畅地进行，不需要人工干预。同时，通过活动目录的授权
DHCP才能启动，也保证了非法DHCP不会对网络造成混乱。通过Windows 2000中新加的DHCP relay
agent，即使跨越路由器的不同网段，也可以提供DHCP服务。

　　Windows 2000也充分考虑了网络基础服务的互操作性，以保证用户的原有投资。比如用户仍然可以
采用或者部分采用原有的手工IP管理方案，与Windows 2000 DNS服务之间建立起传递关系。Windows 
2000还可以支持各种连接方式，比如ATM、千兆以太网、ADSL（G.Lite）等。

　　在网络上传输需要保证服务水平或者优先级的信息，Windows 2000还提供了QoS（Quality of 
Service，服务质量）和CoS（Class of Service，服务水平）的管理功能。Internet标准化组织对于
QoS和CoS的标准分别是：RSVP和Diff-Serve。

　　在低速的广域网络上，如果需要传递语音等需要保证恒定带宽和响应水平的信息，Windows 2000可
以对数据包做标记，并且与有RSVP能力的路由器商讨协作传输。在Windows 2000 Resource Kit中有工
具，可以不改变应用即可增添应用申请QoS的功能。

　　对于一些关键业务信息来说，因为其发送是间歇的，申请预留带宽没有太大意义；比如电子邮件信息。
Diff-serve是Windows 2000标记数据包优先级，优先进行网络传输的方法。然后，网络路由器和交换机
才可以提供优先级服务。优先服务和带宽预留都可以通过策略(Policy)来管理。

　　承诺第二件：连接远程个人和分支办公室 现在竞争激烈的商业社会中，越来越多的工作人员在路上
或者在家里工作，比如销售人员、保险推销员、远程办公人员等。远程人员需要地是简单地连接方法，
他们仅仅想快速接入公司网络获得信息，而不是各种各样复杂的口令和安全加密措施。更多的公司也为
了扩展业务而开办分支办公室，分支办公室的连接问题也愈加重要。

　　Windows 2000中不管是何种连接，都是可以通过在“我的网络位置”的属性中，“创建新的网络连
接”来建立。（见图示）。既可以建立到公司网的连接，建立到Internet/虚拟专用网的连接，还可以建
立接受直接线缆连接的网络。原先在Windows NT 4.0中需20多步才能设好的虚拟专用网，现在需要点几
下就可以设置妥当；这是Windows 2000提高简单性方面一个经典的例子。

　　管理员甚至可以设定“连接管理器”，即把拨号所需的公司电话或者ISP电话号码自动地分配到用户
的桌面。这样无论用户身处何处，Windows 2000会自动地选用最佳的电话号码拨号。据统计，这可以减
少公司内远程接入技术支持人员25%的工作量。

　　Windows 2000中的虚拟专用网服务，是完全可由软件来实现，不需要网络设备的支持。基本的概念
是：如果公司的服务器上了Internet，提供了虚拟专用网的服务；那么，远程用户只要先通过普通的PPP
服务上Internet，然后通过虚拟的PPTP调制解调器再拨一个号，这个号就是服务器的IP地址或者机器名。
在通过登录验证窗口后，远程用户就在Internet上建立了一个虚拟的隧道，仿佛在公司局域网中工作一样。

　　考虑一下人们之所以租用DDN等专线服务，不过是为了两个利益：安全性和带宽保障。所以我们不奇
怪Windows 2000的虚拟专用网技术，将会成为一个耀眼夺目的新明星。因为Windows NT 4.0就开始实施
的PPTP（点到点隧道协议）和Windows 2000中新增的IP security和L2TP，可以保证传输的安全性。同
时，结合上节所述Windows 2000的QoS带宽保障，人们真的可以使用虚拟专用网来替代租用专线了。 PPTP
实施起来比较简单，但是IP sec（IP Security的简称）加上L2TP更加符合IETF有关VPN的规范，在
Windows 2000中可以按实际情况选用。

　　 当分支办公室需要连接到公司网络时，Windows 2000也可以大显身手；比如动态带宽分配（Dynamic
Bandwidth Allocation）、路由和网关服务等。Windows 2000不但支持RIP （路由信息协议），也支持
更有扩展性的OSPF（公开最短路径优先协议），可以把两个或者多个局域网连接起来，甚至可以设 定根
据所需要访问的IP地址的不同，来自动选择不同的电话号码上网（称为Demand Dial）。Windows 2000
也可以在分支办公室和公司网络之间来进行多路广播（Multicast），主要是通过 IGMP服务来提供。

　　 承诺第三件：连接Internet和合作伙伴网络 随着竞争格局的变化，与业务伙伴通过 Internet共享
业务信息显得越来越重要起来。企业需要向业务伙伴提供基于Web的访问、安全的文件访问 或者直接的数
据库访问等不同形式的信息共享。这里需要考虑的是如何提供简单性和高强度的安全性。

　　 微软在Windows 2000中增添了Internet连接共享的服务，其中包括一个网络地址翻译（Network 
Address Translation，NAT）、一个DHCP地址分配器和一个DNS Proxy（主要用来把内部计算机的DNS
翻译请求传达到Internet）。在创建一个Internet连接的时候，可以把其指定为“连接共享”，在同一
个网络内部的其它计算机不需要做任何配置就可以通过这个连接来访问Internet。通过NAT，内部的私
有IP地址，不会被Internet访问到，也可以保证安全性。

保证外部网的安全性，可以采用验证、加密、过滤和隐藏等方法。微软建议通过严格的管理程序，为合
作伙伴开设账号；可以通过活动目录的验证协议，或者RADIUS（中央化拨入用户账号库）的方法来验证，
甚至使用智能卡的证书来验证。IP security可以加密点到点的通讯；TCP/IP过滤能限制可以访问的端
口和IP地址等。如果需要更进一步的防火墙/防病毒功能和Web页面缓存功能，建议用户还可以采用微软
的Proxy Server。

　　网络性能的改进 

　　除了上面介绍的三种网络连接 的场景，Windows 2000的网络性能也有了明显的改善。比如支持更
大的TCP/IP窗口（即一次可以发送的帧的数量）、选择性的确认以及更精确的RTT估计等等。

　　更简化的联网，更好地网络策略管理、更强壮的网络安全性…总体而言，采用Windows 2000作网络
的基本设施，可以提供企业级的网络服务。这种由软件实现的联网能力，虽然在性能上也许不如硬件设
备实现得好，但是更为经济实用，可以更快速地实现“业务联系无限制”的企业远景。 

下一讲预告：在Windows 2000上，三网合一、统一网络。