遠程接入企業(yè)網(wǎng)絡規(guī)劃與設計畢業(yè)論文

畢業(yè)設計（論文）遠程接入企業(yè)網(wǎng)絡規(guī)劃與設計畢業(yè)設計論文中文摘要隨著Internet技術(shù)的日益普及，網(wǎng)絡技術(shù)的飛速發(fā)展，企業(yè)信息化工作越來越受到重視，進入二十一世紀后，企業(yè)信息化不再滿足于個人或單個部門的少量計算機應用，而逐步過渡到多部門、整個企業(yè)甚至跨企業(yè)跨地域的大量計算機的協(xié)同工作，因此我們需要把這些計算機用網(wǎng)絡聯(lián)系起來，這也就是我們所說的企業(yè)網(wǎng)。本文是對某IT企業(yè)的一個企業(yè)網(wǎng)絡規(guī)劃設計的解決方案，文章首先分析了企業(yè)網(wǎng)絡的設計需求，根據(jù)需求提出了設計原則與設計目標，制定了總體的規(guī)劃設計方案，然后再分層次具體地對該企業(yè)的局域網(wǎng)和廣域網(wǎng)進行設計，在該方案中，我們采用了VLAN、三層交換、千兆交換、光纖接入、VPN等先進網(wǎng)絡技術(shù)，基本滿足了該企業(yè)的需求，并留有足夠的擴充空間，以適應今后發(fā)展。關(guān)鍵詞企業(yè)網(wǎng)絡規(guī)劃設計遠程接入VPN畢業(yè)設計論文外文摘要TitlePlanninganddesignofRemoteAccessenterprisenetworkAbstractAsthetechnologyofinternetincreasinglypopularizes,itisgettingmoreandmoreimportantthatthetechnologyofnetdevelopsatfullspeed,andtheworkofenterpriseisinformational.Nowitisthetwenty-firstcentury,theinformationalenterprisecan'tjustbesatisfiedbytheusingoffewcomputersinsinglepersonordepartment,ithastochangeintocoordinationoflargequantityonesinmoredepartmentslikethewholeenterprisestepbystep,evenintrans-enterpriseortrans-district.ThisthesisisadesignprojectforsolutiontothenetinoneITenterprise.First,itanalyzestheneedsofdesignfortheenterpriseaccordingtowhichitputsforwardthedesignprincipleandaimandformulatestheschemeofthewholedesignproject.Secondly,itdesignstheinternetparticularlyindifferentaspects.Inthisscheme,itusesadvancetechnologyofinternet,forinstance,VLAN,exchangeofthreelayers,thousand-trillionswitching,opticalfiberreceiving,VPNandsoon,tobasicallymeettheneedsoftheenterpriseandsaveenoughroomforexpandingtoadapttothedevelopmenthenceforward.Keywordsenterprisenetwork、PlanningandDesign、RemoteAccess、VPN

目次1引言 42概述 52.1企業(yè)概況分析 52.2企業(yè)網(wǎng)絡設計需求分析 63網(wǎng)絡總體規(guī)劃 73.1企業(yè)網(wǎng)絡設計目標 73.2企業(yè)網(wǎng)絡設計原則 73.3網(wǎng)絡設計相關(guān)協(xié)議說明 84網(wǎng)絡具體規(guī)劃與設計 104.1企業(yè)網(wǎng)絡拓撲結(jié)構(gòu)設計 104.2IP地址規(guī)劃 124.3基于VLSM的子網(wǎng)劃分 134.4VLAN規(guī)劃 154.5三層交換技術(shù)與鏈路聚合的應用 164.6Internet接入設計及地址轉(zhuǎn)換技術(shù)應用 184.7VPN遠程接入設計 204.8設備選型 24致謝 28參考文獻 291引言目前，對于國內(nèi)的部分企業(yè)而言，計算機技術(shù)的應用很大程度上還只是停留在單機應用的水平上，應用軟件也只是辦公軟件和簡單的數(shù)據(jù)庫應用。但是，隨著計算機網(wǎng)絡技術(shù)不斷發(fā)展與普及、企業(yè)信息化的逐步深入和企業(yè)自身發(fā)展需求日益增大，在充分利用現(xiàn)有資源、不需要很大投資的基礎上，構(gòu)建適合自身情況、滿足實際需求的網(wǎng)絡系統(tǒng)是非常必要的，也是切實可行的社會進入信息時代后，要求企業(yè)用信息技術(shù)來強化企業(yè)的管理、生產(chǎn)和經(jīng)營，而企業(yè)要創(chuàng)造更多的經(jīng)濟效益就必須借助信息技術(shù)來提高企業(yè)的生產(chǎn)效率和管理水平，這不但適用于大型企業(yè)，對占相當比重的中小企業(yè)同樣適用。網(wǎng)絡技術(shù)的發(fā)展使得網(wǎng)絡建設從基礎架構(gòu)到維護和管理都變得十分簡單和智能，豐富的網(wǎng)絡產(chǎn)品線和不斷降低的價格，可以讓中小企業(yè)根據(jù)自身的情況，按照實際的經(jīng)濟條件來構(gòu)建自己的網(wǎng)絡，用于網(wǎng)絡建設的投資對于企業(yè)而言不再成為一個負擔。各自為戰(zhàn)的單機應用逐步暴露出現(xiàn)有資源利用率低、信息冗余大等問題，而解決這些問題的惟一途徑就是建設一個滿足應用需求的網(wǎng)絡系統(tǒng)來實現(xiàn)資源的共享。一個成功的企業(yè)不僅要了解世界，還要讓世界知道自己。實現(xiàn)這個目標的最佳途徑就是要利用Internet。通過Internet，企業(yè)不僅可以獲得大量的有價值的信息，同時也可以將企業(yè)的信息通過Internet發(fā)布到世界各地。因此，企業(yè)進行計算機網(wǎng)絡的建設，不僅是信息社會發(fā)展的要求，也是自身發(fā)展所必須的。2概述企業(yè)網(wǎng)絡指的是具有一定規(guī)模的網(wǎng)絡系統(tǒng)，它可以是單座建筑物內(nèi)的局域網(wǎng)，可以是覆蓋一個園區(qū)的園區(qū)網(wǎng)，還可以是跨地區(qū)的廣域網(wǎng)，其覆蓋范圍可以是幾公里、幾十公里、幾百公里，甚至更廣。狹義的企業(yè)網(wǎng)主要指大型的工業(yè)、商業(yè)、金融、交通企業(yè)等各類公司和企業(yè)的計算機網(wǎng)絡；廣義的企業(yè)網(wǎng)則包括各種科研、教育部門和政府部門專有的信息網(wǎng)絡。我國的企業(yè)網(wǎng)絡建設經(jīng)過了單機應用階段，目前正處在Internet應用熱潮中。但從目前情況看國內(nèi)相當多的企業(yè)還處于網(wǎng)絡初步應用階段，其具有以下特點：1應用水平較低，分散且不一致。企業(yè)網(wǎng)絡缺乏整體性的設計，沒有統(tǒng)一的標準，在業(yè)務互相銜接的應用系統(tǒng)之間缺乏一致性2應用者的整體水平比較低，缺乏對計算機和網(wǎng)絡全面的認識，難以接受將計算機作為一種工作方式3信息部門處于邊緣性地位，綜合實力較低，地位較低，給信息技術(shù)的應用帶來了相當大的難度。2.1企業(yè)概況分析假設我們要設計的是一個中型的IT企業(yè)的網(wǎng)絡，該企業(yè)分為一個總公司和一家分公司，共有員工292人?？偣?93人，分8個部門，包括人事部、開發(fā)部、財務部、商務部、工程部、業(yè)務部、信息中心、經(jīng)理部。人事部23人，開發(fā)部57人，財務部7人，商務部18人，工程部47人，業(yè)務部32人，信息中心5人，經(jīng)理部4人。分公司99人，部門結(jié)構(gòu)與總公司一致，人事部12人，開發(fā)部34人，工程部20人，財務部3人，業(yè)務部16人，信息中心3人，商務部9人，經(jīng)理部2人。每人都配有一臺個人電腦。由于公司規(guī)模的擴大，為了提高工作效率、公司知名度、公司效益以及管理水平，該企業(yè)決定投資重新建設完善的企業(yè)網(wǎng)絡。2.2企業(yè)網(wǎng)絡設計需求分析網(wǎng)絡需求分析就是根據(jù)企業(yè)信息技術(shù)應用要求和企業(yè)的業(yè)務發(fā)展需求，結(jié)合企業(yè)現(xiàn)有設備狀況和人員素質(zhì)，較為全面地調(diào)查和分析企業(yè)在信息技術(shù)方面的技術(shù)需求，然后從網(wǎng)絡建設的角度，將這些需求轉(zhuǎn)換成構(gòu)造網(wǎng)絡系統(tǒng)以及網(wǎng)絡系統(tǒng)能夠提供服務的需求。在網(wǎng)絡需求分析過程中，網(wǎng)絡系統(tǒng)用戶往往從系統(tǒng)外部關(guān)注整個網(wǎng)絡系統(tǒng)的功能和性能，而網(wǎng)絡設計者往往從網(wǎng)絡系統(tǒng)內(nèi)部關(guān)注整個網(wǎng)絡系統(tǒng)的技術(shù)和結(jié)構(gòu)。因此，如何正確地將用戶對網(wǎng)絡系統(tǒng)功能和性能的需求轉(zhuǎn)換成對網(wǎng)絡系統(tǒng)技術(shù)和結(jié)構(gòu)的需求并給予量化表示是網(wǎng)絡需求分析的關(guān)鍵。經(jīng)過對該公司各個部門職能的分析以及調(diào)研，將系統(tǒng)需求歸納為如下幾點：1）在該企業(yè)的總公司以及分公司各建立一個新的計算機網(wǎng)絡基礎設施，將該企業(yè)內(nèi)現(xiàn)有計算機以及外設連在一起工作。服務器、連接設備、綜合布線等統(tǒng)一購買和配置，客戶機應利用現(xiàn)有各部門的計算機，以保護原有投資和不影響正常工作。2）該網(wǎng)絡系統(tǒng)能實現(xiàn)資源共享，包括軟件共享，文件共享，打印機共享。在外工作的員工可以透過internet安全訪問企業(yè)資源，遠程辦公。3）能高速接入Internet進行工作，收發(fā)郵件，瀏覽網(wǎng)頁查找資料。建立企業(yè)對外網(wǎng)站，提供一個對外宣傳的平臺，提高企業(yè)知名度。4）網(wǎng)絡管理：控制不同權(quán)限的員工使用Internet的方式和范圍，限制普通員工利用公司網(wǎng)絡進行業(yè)務無關(guān)的活動。5）安全性：對不同部門之間的相互訪問作限制，防止非法訪問，保護商業(yè)機密。預防計算機病毒，盡可能把病毒感染的幾率降到最低。使用防火墻，防止來自互聯(lián)網(wǎng)上的入侵，保障企業(yè)資源的安全。6）可擴展性：考慮到企業(yè)的發(fā)展與以后規(guī)模的擴大，企業(yè)網(wǎng)絡設計需預留擴展空間，以便今后的網(wǎng)絡改造。3網(wǎng)絡總體規(guī)劃網(wǎng)絡規(guī)劃是對擬建網(wǎng)絡的初步設計，應該遵循網(wǎng)絡設計的一般原則和方法，并提出相應的解決方案為后續(xù)的設計和實現(xiàn)工作的依據(jù)。網(wǎng)絡總體規(guī)劃反映了網(wǎng)絡設計“總體規(guī)劃、分布實施”的網(wǎng)絡建設原則，是從網(wǎng)絡需求分析到網(wǎng)絡具體設計之間必經(jīng)的階段，網(wǎng)絡規(guī)劃通過對企業(yè)網(wǎng)絡需求的調(diào)查、分析、歸納，把企業(yè)現(xiàn)在和未來對網(wǎng)絡的需求轉(zhuǎn)換成對網(wǎng)絡結(jié)構(gòu)、功能、性能、協(xié)議等技術(shù)指標的具體要求。3.1企業(yè)網(wǎng)絡設計目標該IT企業(yè)網(wǎng)絡建設的目標，就是在總公司和分公司分別建設局域網(wǎng)，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，使用遠程接入技術(shù)將公司與分公司之間連接起來，并使在外員工可隨時接入公司網(wǎng)絡，從而建立起統(tǒng)一、快捷、高效的中型Intranent系統(tǒng)，整個系統(tǒng)在安全、可靠、穩(wěn)定的前提下，符合經(jīng)濟的原則，即實現(xiàn)合理的投入，最大的產(chǎn)出?？傮w設計如下：1）以千兆以太網(wǎng)為主干網(wǎng)，利用第三層交換技術(shù)實現(xiàn)大型局域網(wǎng)的VLAN的劃分。規(guī)劃中服務器、信息中心采用千兆，與中心主交換機連接，其他部門采用100M網(wǎng)卡通過其他二級交換機接入主干網(wǎng)。2）網(wǎng)絡通過光纖接入Internet/ChinaNET，在公網(wǎng)上建立虛擬專用網(wǎng)(VPN)；通過采用Web技術(shù)和Internet-VPN技術(shù)以及信息加密技術(shù)實現(xiàn)電子商務。這樣，可以提供遠程撥號訪問和通過Internet訪問兩種方式，來實現(xiàn)全國各分支機構(gòu)、相關(guān)部門以及公眾對公司信息的限制性訪問。3）網(wǎng)絡的安全機制：（1）通過對網(wǎng)絡設備的配置，控制訪問列表等方式來加強網(wǎng)絡的安全性措施；（2）更重要的是，在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處，采用先進的防火墻技術(shù)、代理服務器技術(shù)、以及Web服務器的口令驗證、數(shù)據(jù)加密等技術(shù)實現(xiàn)網(wǎng)絡的安全性4）網(wǎng)絡中心設立WEB應用服務器、E-MAIL服務器、DNS服務器、數(shù)據(jù)庫服務器、文件服務器，實現(xiàn)WEB訪問、Internet接入、E-MAIL系統(tǒng)、域名解析、應用系統(tǒng)等各種功能。3.2企業(yè)網(wǎng)絡設計原則1）實用性原則。計算機設備、服務器設備和網(wǎng)絡設備在技術(shù)性能逐步提升的同時，其價格卻在逐年下降。因此，不可能也沒有必要實現(xiàn)所謂“一步到位”。所以，網(wǎng)絡方案設計中應把握“夠用”和“實用”原則。網(wǎng)絡系統(tǒng)應采用成熟可靠的技術(shù)和設備，達到實用、經(jīng)濟和有效的目的。2）前瞻性原則。在實用的基礎上還可以具有一定的前瞻性，在網(wǎng)絡結(jié)構(gòu)上要做到能適應較長時期企業(yè)和網(wǎng)絡技術(shù)的發(fā)展，不要在網(wǎng)絡剛組建不久就發(fā)現(xiàn)很難實現(xiàn)某些較新的應用，或者根本不能應用目前的一些主流軟件，這樣勢必造成企業(yè)網(wǎng)絡資源的浪費。3）開放性原則。網(wǎng)絡系統(tǒng)應采用開放的標準和技術(shù)，如TCP/IP協(xié)議、IEEE802系列標準等。其目標首先是要有利于未來網(wǎng)絡系統(tǒng)的擴充，其次還要有利于在需要時與外部網(wǎng)絡互通。4）可靠性原則。作為一個具有一定規(guī)模的中型企業(yè)。企業(yè)的網(wǎng)絡不允許有異常情況發(fā)生，因為一旦網(wǎng)絡發(fā)生異常情況，就會帶來很大的損失。在這樣的網(wǎng)絡中，就要盡量使用冗余備份，當某個網(wǎng)絡設備故障時，網(wǎng)絡還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網(wǎng)絡的可靠性。5）安全性原則。在企業(yè)網(wǎng)的設計中，安全性的設計是很重要的。每家企業(yè)都有自己的商業(yè)機密，如果這些機密被竊取，后果是不堪設想的。企業(yè)必須保護其網(wǎng)絡系統(tǒng)，以避免受外來惡意性入侵，但也必須保留足夠空間，使其主要經(jīng)營之業(yè)務能順利運作。倘若安全性系統(tǒng)保護企業(yè)免受病毒及駭客攻擊，但卻阻撓其服務客戶及邁向電子商務腳步，那么此系統(tǒng)就已超越其權(quán)限了。網(wǎng)絡安全應是永遠以能符合企業(yè)經(jīng)營目標的最大利益為優(yōu)先考量。6）可管理性原則。網(wǎng)絡管理員能夠在不改變系統(tǒng)運行的情況下對網(wǎng)絡進行調(diào)整，不管網(wǎng)絡設備的物理位置在何處，網(wǎng)絡都應該是可以控制的。7）可擴展性原則。網(wǎng)絡總體設計不僅要考慮到近期目標，也要為企業(yè)以及網(wǎng)絡的進一步發(fā)展留有余地。因此，需要統(tǒng)一規(guī)劃和設計。網(wǎng)絡系統(tǒng)應在規(guī)模和性能兩方面具有良好的可擴展性。由于目前網(wǎng)絡產(chǎn)品標準化程度較高，因此可擴展性要求基本不成問題。3.3網(wǎng)絡設計相關(guān)協(xié)議說明網(wǎng)絡協(xié)議是需要通信的計算機之間共同遵循的數(shù)據(jù)結(jié)構(gòu)、語義和操作規(guī)則。網(wǎng)絡協(xié)議常采用分層的體系結(jié)構(gòu)。各協(xié)議層互相獨立，下層提供上層某項功能的服務（一般有面向連接和無連接兩類），上層利用該功能再向上提供更完善的服務。目前，主要的協(xié)議體系結(jié)構(gòu)有OSI族和TCP/IP族。它們的參考模型及各層的對應關(guān)系如圖所示。OSI協(xié)議族OSI（開放系統(tǒng)互聯(lián)參考模型）協(xié)議族是國際標準化組織（ISO）建議并主持制定的有廣泛影響的網(wǎng)絡互聯(lián)協(xié)議。1）物理層是第一層，它決定設備之間的物理接口以及在傳輸介質(zhì)上比特傳送的規(guī)則。2）數(shù)據(jù)鏈路層是第二層，它的主要任務是加強物理層傳輸比特的可靠性。3）網(wǎng)絡層是第三成，它的主要功能是利用數(shù)據(jù)鏈路層所保證的鄰接節(jié)點之間的無差錯數(shù)據(jù)傳輸功能，通過路由選擇和中繼功能，實現(xiàn)兩個端系統(tǒng)之間的連接。4）傳輸層是第四層，它利用下三層所提供的網(wǎng)絡服務向高層提供可靠的端到端的透明數(shù)據(jù)傳輸。5）會話層是第五層，它提供一種經(jīng)過組織的方法在用戶之間交換數(shù)據(jù)。6）表示層是第六層，它把上層交付的信息變換為能夠共同理解的形式，它關(guān)心的是所傳輸?shù)男畔⒌恼Z法和語義，它只對應用層信息的形式進行變換，但不改變信息內(nèi)容本身。7）應用層是第七層，它的功能是提供應用進程（用戶程序）之間信息交換的基本任務。TCP/IP協(xié)議族TCP/IP協(xié)議族是廣泛應用于計算機互聯(lián)的業(yè)界標準。該協(xié)議族是一組獨立的協(xié)議的集合，其中最主要的是TCP協(xié)議和IP協(xié)議。TCP/IP協(xié)議族亦采用層次化的結(jié)構(gòu)模型，共包括四個層次1）硬件接口層，TCP/IP協(xié)議族沒有具體定義硬件層，因而它對各種各樣的網(wǎng)絡硬件具有高度的適應性，這正式它的成功之處。2）網(wǎng)絡層，它的主要功能是定義信息包（IP數(shù)據(jù)包）并處理信息包的路由選擇。該層的主要協(xié)議有：IP、ARP、RARP。3）傳輸層。它提供端到端的數(shù)據(jù)傳輸服務。該層的主要協(xié)議有：TCP、UDP。4）應用層。它由使用網(wǎng)路的應用程序和進程組成。該層最接近用戶，主要協(xié)議有SMTP、DNS、FTP、TELNET。OSI強調(diào)的是如何把開放式系統(tǒng)連接起來的，它是一個理論上的參考模型。而TCP/IP框架包含了大量的協(xié)議和應用，他雖然不是ISO標準，但一致于ISO的OSI參考模型制定，并在不斷發(fā)展過程中吸收了OSI模型中的概念及特征，它的使用已經(jīng)越來越廣泛，幾乎成為“事實上的標準”，著名的Internet就是基于TCP/IP協(xié)議族的。4網(wǎng)絡具體規(guī)劃與設計在總體上規(guī)劃好企業(yè)網(wǎng)絡之后，就要進入具體設計的階段，這也是網(wǎng)絡設計的最重要的環(huán)節(jié)。在這個階段，要對該企業(yè)網(wǎng)絡的拓撲結(jié)構(gòu)、IP地址規(guī)劃、子網(wǎng)劃分、Internet接入等方面進行詳細的規(guī)劃與設計。4.1企業(yè)網(wǎng)絡拓撲結(jié)構(gòu)設計所謂拓撲是一種研究與大小、距離無關(guān)的幾何圖形特性的方法。網(wǎng)絡的拓撲結(jié)構(gòu)是拋開網(wǎng)絡物理連接來討論網(wǎng)絡系統(tǒng)的連接形式，網(wǎng)絡中各站點相互連接的方法和形式稱為網(wǎng)絡拓撲。拓撲圖給出網(wǎng)絡服務器、工作站的網(wǎng)絡配置和相互間的連接，它的結(jié)構(gòu)主要有星型結(jié)構(gòu)、總線結(jié)構(gòu)、樹型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、蜂窩狀結(jié)構(gòu)、分布式結(jié)構(gòu)等。不同的連接方法網(wǎng)絡的性能不同，局域網(wǎng)拓撲結(jié)構(gòu)通常分為3種，分別是總線型、星型和環(huán)型。該企業(yè)局域網(wǎng)網(wǎng)絡主要采用了星型的拓撲結(jié)構(gòu)，因為企業(yè)規(guī)模不大，所以在設計上只劃分了兩層來設計：核心層和接入層?？偣镜墓ぷ髡敬蠹s為200人，考慮到規(guī)模較大而且該總公司的業(yè)務比較重要，核心層的設計上采用了兩臺千兆三層交換機作一個冗余備份，在這兩臺三層交換機之間作鏈路聚合，就算其中一個核心交換機當機，也可以保證網(wǎng)絡的瞬間恢復，大大增加了網(wǎng)絡的可靠性。分公司由于規(guī)模較小，考慮到企業(yè)網(wǎng)絡設計上的實用性與經(jīng)濟性原則，核心層的設計只使用一臺千兆三層交換機。而在接入層的設計上，總分公司都使用多臺二層交換機，100兆到桌面。服務器選擇擺放在信息中心，以便管理。為了防止企業(yè)外部對內(nèi)的攻擊，在路由器外部安裝硬件防火墻?？偣揪W(wǎng)絡拓撲圖分公司網(wǎng)絡拓撲圖4.2IP地址規(guī)劃每臺計算機、服務器、或者路由器的接口都有一個由授權(quán)機構(gòu)分配的號碼，我們稱它為IP地址。TCP/IP協(xié)議規(guī)定，根據(jù)網(wǎng)絡規(guī)模的大小將IP地址分為5類（A、B、C、D、E）：A類~B類~C類~D類~55雖然有這么多IP地址，但是這些IP地址我們是不能隨便用的，大多數(shù)的地址都被互聯(lián)網(wǎng)專業(yè)機構(gòu)注冊并指定，在IP地址日益匱乏的今天，企業(yè)一般只能申請到幾個公網(wǎng)地址。但是有部分的IP地址被特別區(qū)分出來用作私有網(wǎng)絡使用，它們被稱為私有IP地址：A類：~55B類：~55C類：~55該企業(yè)只有一個公網(wǎng)IP，考慮到內(nèi)網(wǎng)計算機終端數(shù)量不多，該企業(yè)局域網(wǎng)IP使用C類私有地址進行分配。對于局域網(wǎng)的IP地址分配問題，用戶規(guī)模越大，管理工作就越困難，必須深思加以解決。目前一般來說有兩種分配方案，一是使用動態(tài)IP地址分配（DHCP），另一種方案是使用靜態(tài)地址分配，但必須加強MAC地址的管理。用動態(tài)IP地址分配（DHCP）的最大優(yōu)點是客戶端網(wǎng)絡的配置非常簡單，在沒有管理員的幫助和干預的情況下，用戶自己便可以對網(wǎng)絡進行連接設置。但是，因為IP地址是動態(tài)分配的，網(wǎng)管員不能從IP地址上鑒定客戶的身份，相應的IP層管理將失去作用。而且使用動態(tài)IP地址分配需要設置額外DHCP服務器。使用靜態(tài)IP地址分配可以對各部門進行合理的IP地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對網(wǎng)卡MAC地址的管理，網(wǎng)絡就會具有更好的可管理性。但如果網(wǎng)絡規(guī)模較大，則IP地址管理的工作量就相當大。綜合以上考慮，由于該企業(yè)的規(guī)模不是很大，因此從網(wǎng)絡安全的角度出發(fā)，采用靜態(tài)地址分配的方法。并結(jié)合核心交換機的第三層交換功能，進行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡風暴的發(fā)生，另一方面也加強了網(wǎng)絡的安全性。但當隨著以后企業(yè)規(guī)模的不斷擴大發(fā)展，整個網(wǎng)絡信息的規(guī)模不斷擴大，則可以考慮采用DHCP動態(tài)IP地址分配的方案，設立專門的DHCP服務器進行動態(tài)IP地址分配。同樣可以基于中心交換機的VLAN功能進行配置，劃分網(wǎng)段，根據(jù)各個二級單位信息點所在的網(wǎng)段進行動態(tài)地址分配。4.3基于VLSM的子網(wǎng)劃分該企業(yè)總公司有193人，分公司有99人。如果分別把各自所有的主機放到一個子網(wǎng)里，對企業(yè)的安全性管理極為不利，而且如果有站點更新（計算機的配置調(diào)整或增減計算機）或發(fā)生故障，大量的廣播數(shù)據(jù)會嚴重影響網(wǎng)絡的整體性能。因此必須對這些主機進行子網(wǎng)劃分控制廣播域的規(guī)模。VLSM(VariableLengthSubnetmasks)變長子網(wǎng)掩碼，是在標準的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡號碼，不同子網(wǎng)的子網(wǎng)掩碼可能有不同的長度，但一旦子網(wǎng)掩碼的長度確定了，它們就不變了，這個技術(shù)對于高效分配IP地址。由于該企業(yè)人數(shù)不多，如果給每個子網(wǎng)分配一個C類地址，就會造成IP地址的浪費，所以要采用可變長子網(wǎng)掩碼技術(shù)對該企業(yè)局域網(wǎng)進行子網(wǎng)劃分。該企業(yè)的子網(wǎng)是按照部門來劃分的，基于可擴展性的原則，除了滿足每個部門都能分到足夠的IP地址外，還要為以后的人事調(diào)動、部門擴展等留有冗余的IP，否則可能會由于一些很小的人事變化就得重新劃分子網(wǎng)?？紤]到總公司與分公司之間要通過VPN技術(shù)遠程互聯(lián)，所以總公司與分公司的內(nèi)網(wǎng)IP不能有重復。總公司子網(wǎng)劃分部門子網(wǎng)網(wǎng)絡號子網(wǎng)掩碼網(wǎng)關(guān)開發(fā)部2826工程部289290業(yè)務部929253人事部240商務部2242財務部4408信息中心0404經(jīng)理部64010分公司子網(wǎng)劃分部門子網(wǎng)網(wǎng)絡號子網(wǎng)掩碼網(wǎng)關(guān)開發(fā)部922工程部4244業(yè)務部62426人事部282458商務部604074財務部764882信息中心844890經(jīng)理部9248984.4VLAN規(guī)劃VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標準化VLAN實現(xiàn)方案的802.1Q協(xié)議標準草案。VLAN技術(shù)允許網(wǎng)絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡。我們已經(jīng)為該企業(yè)劃分了子網(wǎng)，不同的部門在不同的子網(wǎng)里，子網(wǎng)與子網(wǎng)之間不能訪問，也控制了廣播域太大的問題。這樣看來好像不必要再劃分VLAN了，其實不然，因為這樣只作子網(wǎng)劃分是存在安全性問題的。局域網(wǎng)內(nèi)的任何用戶只要稍微修改一下IP與子網(wǎng)掩碼就可以訪問到該企業(yè)的任何部門了。所以，我們必須在交換機上劃分好VLAN，這樣，只要加強對交換機的保護，不讓一般員工改變交換機的配置，就算他們更改自己電腦的IP和子網(wǎng)掩碼也無法訪問到其它部門了。VLAN有幾種不同的劃分方法：1.根據(jù)端口來劃分VLAN。2.根據(jù)MAC地址劃分VLAN。3.根據(jù)網(wǎng)絡層劃分VLAN。4.根據(jù)IP組播劃分VLAN。該企業(yè)的VLAN我們采取根據(jù)端口來劃分，這種劃分方式是現(xiàn)在最常用的。只要把同一個部門的端口全部劃分進同一個VLAN就行了，而且還可以進行跨交換機的端口VLAN劃分，也就是說不同交換機上的端口也可以在同一個VLAN里，這樣VLAN的劃分就不必要受到物理空間的限制，具有很好的靈活性。今后如果有人事調(diào)動或者部門擴充，只要在交換機上作相應的配置就可以了。處理VLAN時，交換機端口支持兩種連接類型：接入鏈路（accesslink）與中繼（trunk）。接入鏈路連接只能與單個VLAN相關(guān)，任何連接到該端口的任何設備將會在相同的廣播域中。與接入鏈路不同，中繼連接能為多個VLAN傳送流量。中繼鏈路一般在特點的設備之間，包括交換機到交換機，交換機到路由器，交換機到文件服務器等。在該企業(yè)的VLAN端口配置中，各接入層的二層交換機與核心層的三層交換機之間的鏈路要配置成trunk鏈路，其他端口配置成access鏈路，這樣VLAN信息就可以在各二層交換機之間傳遞，不同交換機但是同一個VLAN的用戶就可以相互訪問了。VLAN部分配置摘錄：switch-1(config)#vlan10創(chuàng)建一個vlan（開發(fā)部）switch-1(config-vlan)#namekaifabu為此vlan取名switch-1(config-vlan)#exitswitch-1(config)#intfa0/1進入一個快速以太端口配置switch-1(config-if)#switchportmodeaccess把該接口配置為access鏈路switch-1(config-if)#switchportaccessvlan1把該端口加入vlan1switch-1(config-if)#exitswitch-1(config)#intgig2/1進入千兆端口switch-1(config-i}#switchmodetrunk把該端口配置為trunk鏈路4.5三層交換技術(shù)與鏈路聚合的應用傳統(tǒng)的以太網(wǎng)交換機工作在OSI模型的第二層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點的MAC地址時被識別。傳統(tǒng)局域網(wǎng)交換機只在介質(zhì)訪問層（mac）處理數(shù)據(jù)包。它可理解網(wǎng)絡協(xié)議的第二層如MAC地址等。交換機在操作過程中不斷的收集資料去建立它本身的地址表，當交換機接收到一個數(shù)據(jù)包時，它會檢查該包的目的MAC地址，核對一下自己的地址表以決定從哪個端口發(fā)送出去。這個工作用ASIC（專用集成電路）芯片來做速度是非?？斓?，但同時由于它不察看數(shù)據(jù)包里的更多的內(nèi)容，所以無法作出有關(guān)策略方面的判斷，對數(shù)據(jù)流的控制能力不強。傳統(tǒng)路由器工作在第三層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點的網(wǎng)絡地址時被識別，路由技術(shù)可以有效地控制數(shù)據(jù)包，但轉(zhuǎn)發(fā)包的速度太慢，同時路由器存在價格高等方面缺點。這種狀況促使業(yè)界不得不去尋找一種新的方法,產(chǎn)生了“升級”技術(shù)──第三層交換技術(shù)。第三層交換技術(shù)正是為了解決傳統(tǒng)交換技術(shù)和路由器的缺陷而出現(xiàn)的，三層交換技術(shù)是在網(wǎng)絡模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，第三層交換具有以下特征：1)執(zhí)行路由處理2)轉(zhuǎn)發(fā)基于第三層的業(yè)務流3)完成交換功能4)可以完成特殊服務，如報文過濾或訪問控制該企業(yè)各部門處于不同的VLAN中，某些部門之間是需要互相訪問的，如果用傳統(tǒng)的路由器來完成VLAN間互訪，所有跨VLAN的數(shù)據(jù)必須通過路由器轉(zhuǎn)發(fā)，路由的高延遲會引來用戶對網(wǎng)絡速度的抱怨，不使用三層交換技術(shù)的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴大部門間的流量會更加增多，到時可能又要投入更多資金更換更貴的路由器，這不符合企業(yè)網(wǎng)絡設計的可擴展性原則。在該企業(yè)的網(wǎng)絡核心層使用三層交換機，大大增快了網(wǎng)絡的速度，充分利用了現(xiàn)有資源，降低了網(wǎng)絡成本，增加了網(wǎng)絡的可擴展性。而且，三層交換機還可以實現(xiàn)部分安全機制，它的訪問列表的功能，可以實現(xiàn)不同VLAN間的單向或雙向通訊。就像該企業(yè)的財務部，它既沒有必要訪問別的部門，出于安全考慮別的部門也不能訪問財務部。而經(jīng)理室應該可以訪問所有的部門，但是別的部門是不可以訪問他的……基于這些不同的訪問需求，可在三層交換機上配置ACL語句加以限制。該企業(yè)的三層交換機位于整個局域網(wǎng)的核心部分，企業(yè)上網(wǎng)的流量、VLAN間的流量、VPN產(chǎn)生的流量全部都要經(jīng)過核心三層交換機進行轉(zhuǎn)發(fā)，所以核心交換機的速度與穩(wěn)定性非常重要。冗余鏈路是提高網(wǎng)絡系統(tǒng)可用性的重要方法。目前的技術(shù)中，以鏈路聚合（LinkAggregation）技術(shù)應用最為廣泛。鏈路聚合技術(shù)亦稱主干技術(shù)（Trunking）或捆綁技術(shù)（Bonding），其實質(zhì)是將兩臺設備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路，簡單地說就是把多個端口綁定成一個虛擬端口。采用鏈路聚合可以提高數(shù)據(jù)鏈路的帶寬，捆綁起來的鏈路的帶寬相當于物理鏈路帶寬之和。鏈路聚合中，成員互相動態(tài)備份，當某一鏈路中斷時，其它成員能夠迅速接替其工作，這樣就很好的保障了整個網(wǎng)絡的穩(wěn)定性。三層交換部分配置摘錄：switch-1(config)#iprouting啟用交換機上的IP路由功能switch-1(config)#routerrip指定IP路由協(xié)議為RIPswitch-1(config-router)#networkswitch-1(config)#intvlan10通過使用VLAN接口命令制定虛擬接口switch-1(config-if)#ipaddress26為開發(fā)部VLAN分配IP地址switch-1(config-if)#noshutdown開啟接口switch-1(config)#intvlan20switch-1(config-if)#ipaddress8為財務部VLAN分配IP地址switch-1(config-if)#noshutdownswitch-1(config)#access-list1deny55switch-1(config)#access-list1permitany配置ACL策略switch-1(config)#intvlan20switch-1(config-if)#ipaccess-group1in在財務部VLAN進入方向?qū)嵤〢CL策略鏈路聚合部分配置摘錄：switch-1(config)#interfaceport－channel1創(chuàng)建一個邏輯端口通道switch-1(config-if)#exitswitch-1(config)#interfacegigabitethernet1/1進入千兆端口switch-1(config)#noswitchport轉(zhuǎn)換為三層接口switch-1(config)#noipaddress刪除任何協(xié)議地址switch-1(config)#channel-group1modon把該端口分配到通道1中4.6Internet接入設計及地址轉(zhuǎn)換技術(shù)應用在完成了企業(yè)內(nèi)部的網(wǎng)絡設計之后，就進入了企業(yè)廣域網(wǎng)的設計階段，首先就是企業(yè)Internet接入的設計。現(xiàn)今企業(yè)對信息的需求急劇增加，信息量呈指數(shù)增長，通信業(yè)務也從電話、數(shù)據(jù)向視頻、多媒體等寬帶業(yè)務發(fā)展。以前的窄帶網(wǎng)絡已經(jīng)不能滿足企業(yè)寬帶業(yè)務發(fā)展要求，迫切需要建立一個高寬帶、業(yè)務發(fā)展受限制少的寬帶業(yè)務網(wǎng)。一般現(xiàn)今比較流行的企業(yè)寬帶接入方式有以下幾種：ADSL、DDN、光纖等。在該企業(yè)的Internet接入設計部分，我們采用FTTB+LAN的方式。FiberToTheBuilding(FTTB，光纖到樓)，它是利用數(shù)字寬帶技術(shù)，光纖直接到樓內(nèi)機房，再通過高速以太網(wǎng)的形式到各個用戶。FTTB方式將傳統(tǒng)的語音信號和數(shù)據(jù)信號并網(wǎng)而行，是一種性價比最高的組網(wǎng)方式，采用的是專線接入，無需撥號，安裝簡便，可為用戶提供一個多媒體網(wǎng)絡環(huán)境以及低價高質(zhì)的共享專線上因特網(wǎng)的方式。這種接入方式具有很多優(yōu)勢：網(wǎng)絡上行下行速度高，而且可擴展度高；因為是光纖出口，所以網(wǎng)絡可靠、穩(wěn)定；可以使用固定IP，方便建立企業(yè)網(wǎng)站；性價比高，支持VPN技術(shù)等。我們只要向ISP申請一條光纖接入Internet，把光纖拉到企業(yè)機房，將光纖接入光纖收發(fā)器或者直接接入帶有光纖口的防火墻和路由器上，再把路由器用雙絞線接到核心交換機上，然后分散接入到各部門交換機。這樣，就實現(xiàn)了兩種不同傳輸介質(zhì)的企業(yè)網(wǎng)絡的Internet接入方案。在路由器上，我們除了要配置一條靜態(tài)路由器指向ISP之外，我們還需要對內(nèi)網(wǎng)IP地址做一個網(wǎng)絡地址轉(zhuǎn)換。地址轉(zhuǎn)換最初主要用來解決是IP地址短缺的問題，后來地址轉(zhuǎn)換技術(shù)有了更多的用途，逐漸顯示出它的優(yōu)勢。地址轉(zhuǎn)換設備提供幾乎無限的地址空間并隱藏內(nèi)部網(wǎng)絡尋址方案；如果更改了ISP或與另一個公司合并，則可以保持當前的尋址方案，并在地址轉(zhuǎn)換設備上作任何必要的改變，可使地址管理更容易；它還有一個顯著的優(yōu)點是允許嚴格控制進入和離開網(wǎng)絡的流量，更容易實施安全和商業(yè)策略。地址轉(zhuǎn)換主要分為兩種類型，網(wǎng)絡地址轉(zhuǎn)換（NetworkAddressTranslation,NAT）、端口地址轉(zhuǎn)換（PortAddressTranslation，PAT）。在該企業(yè)的網(wǎng)絡設計中，我們主要用到了PAT技術(shù)。PAT把許多內(nèi)部IP地址轉(zhuǎn)換成一個單獨的IP地址，每一個內(nèi)部地址通過給定一個不同的端口好來確定轉(zhuǎn)換的唯一性。對于該企業(yè)的各計算機我們采用動態(tài)PAT技術(shù)進行地址轉(zhuǎn)換，讓路由器動態(tài)分配端口號給內(nèi)部的計算機。而對于該企業(yè)的WEB服務器，我們采用靜態(tài)PAT技術(shù)，這就相當于做了一個端口映射，使得企業(yè)外部可以訪問到該企業(yè)內(nèi)部的WEB服務器，即可以訪問到該企業(yè)的網(wǎng)站。PAT配置部分摘錄：Router(config)#access-list1permit55創(chuàng)建內(nèi)部本地地址池Router(config)#ipnatpoolnat-poolnetmask創(chuàng)建內(nèi)部全局地址池Router(config)#ipnatinsidesourcelist1poolnat-pooloverload加入overload實現(xiàn)PAT轉(zhuǎn)換，全部本地地址共用一個外部地址Router(config)#intFastEthernet0/0Router(config-if)#ipnatinside把fe0/0口配置為內(nèi)部接口Router(config)#intFastEthernet0/1Router(config-if)#ipnatoutside把fe0/1口配置為外部接口4.7VPN遠程接入設計隨著企業(yè)的收購和合并愈演愈烈，再加上企業(yè)自身的發(fā)展壯大與國際化，每家企業(yè)的分支機構(gòu)不僅越來越多，而且它們的網(wǎng)絡基礎設施互不兼容也更為突出。以前各分支機構(gòu)互訪所采用的常規(guī)方法是租用專線，這樣的連接方式一則要支付昂貴的通信費用，再則缺乏靈活性，對于企業(yè)地理位置的改變不能很好地適應。隨著企業(yè)業(yè)務和自身應用需求的發(fā)展，企業(yè)之間的合作及企業(yè)與客戶之間的聯(lián)系也日趨緊密，且這些合作和聯(lián)系都是動態(tài)的，總是處于變化和發(fā)展中，這種關(guān)系也需要靠網(wǎng)絡來維持和加強。雖然Internet為企業(yè)廣域網(wǎng)連接提供了物質(zhì)基礎，并且TCP/IP協(xié)議為網(wǎng)絡的互聯(lián)提供了極大的靈活性。但Internet有一個致命的弱點，那就是它的安全性。在Internet上傳輸?shù)臄?shù)據(jù)都是采用明文傳輸?shù)?，這就給一些非法用戶以可乘之機，從而出現(xiàn)目前經(jīng)常遇到的如：偽裝欺騙、消息竊聽、對話插隊、拒絕服務等網(wǎng)絡安全隱患。由此看來，Internet是一個開放的、不安全的網(wǎng)絡，要想在這樣一個不安全的網(wǎng)絡上實現(xiàn)敏感數(shù)據(jù)的安全傳輸，就需要采用一些安全技術(shù)。在這樣的背景下，一種基于公用網(wǎng)絡的動態(tài)、安全的連接解決方案就成為時代之需，VPN就是這樣一種網(wǎng)絡連接技術(shù)。VPN技術(shù)的成功引入可以從根本上滿足企業(yè)用戶的低通信費和高靈活性的雙重需求，更重要的是它可以提供與專線相媲美的通信安全保障，是一種非常廉價、安全、靈活自如的遠程網(wǎng)絡接入解決方案。虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)是指在公共通信基礎設施上構(gòu)建的虛擬專用網(wǎng)，可以被認為是一種從公共網(wǎng)絡中隔離出來的網(wǎng)絡，它與真實網(wǎng)絡的差別在于VPN以隔離方式通過共享公共通信基礎設施，提供了不與VPN網(wǎng)外用戶共享互聯(lián)點的排他性網(wǎng)絡通信環(huán)境。VPN拓撲圖按VPN應用的類型來分，VPN應用業(yè)務大致可分為三類：IntranetVPN、AccessVPN與ExtranetVPN，一般的情況下企業(yè)需要同時用到這三種VPN。AccessVPN是指企業(yè)員工或企業(yè)的小分支機構(gòu)通過公網(wǎng)遠程撥號的方式構(gòu)建的虛擬網(wǎng)。IntranetVPN指企業(yè)的總部與分支機構(gòu)間通過VPN虛擬網(wǎng)進行網(wǎng)絡連接。ExtranetVPN即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。VPN具體實現(xiàn)形式多種多樣，但都基于一種稱作安全或者加密的隧道技術(shù)。這種技術(shù)可以用來提供網(wǎng)絡到網(wǎng)絡，主機到主機，或者主機到網(wǎng)絡的安全連接。所謂隧道，實質(zhì)上是一種封裝，它通過將待傳輸?shù)脑夹畔?協(xié)議x)經(jīng)過加密和協(xié)議封裝處理后再嵌套裝入另一種協(xié)議(協(xié)議Y)的數(shù)據(jù)包送入網(wǎng)絡中，像普通數(shù)據(jù)包一樣進行傳輸，實現(xiàn)跨越公共網(wǎng)絡傳送私有數(shù)據(jù)包的目的。這里協(xié)議X稱為被封裝協(xié)議，協(xié)議Y稱為封裝協(xié)議，封裝時一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般封裝形式為(協(xié)議Y(隧道協(xié)議(協(xié)議X)))在實現(xiàn)基于Internet的VPN時，我們使用的封裝協(xié)議為IP協(xié)議，相應的隧道協(xié)議稱為IP隧道協(xié)議，其封裝形式為(IP隧道協(xié)議(協(xié)議x)))。目前IP網(wǎng)上較為常見的隧道協(xié)議大致有兩類:第二層隧道協(xié)議(包括PPTP,L2TP)和第三層隧道協(xié)議(包括GRE、IPSec,MPLS)，它們的比較如下圖：根據(jù)比較可以看出L2TP等二層隧道協(xié)議適用于用戶遠程撥號上網(wǎng)訪問遠端總部資源;MPLS適用于骨干網(wǎng)絡上大型企業(yè)的多分支機構(gòu)建立自己私有專用網(wǎng)絡，雖然具備Qos等其他協(xié)議所不具備的特性，但對用戶設備要求比較高，而且目前還在完善中。IPSec協(xié)議是第三層的隧道協(xié)議，IPSec在IP層上對數(shù)據(jù)包進行安全處理，提供數(shù)據(jù)源、無連接數(shù)據(jù)完整性、數(shù)據(jù)機密性、抗重播和有限數(shù)據(jù)流機密性等安全服務。各種應用程序可以享用IP層提供的安全服務和密鑰管理，而不必設計和實現(xiàn)自己的安全機制，因此減少密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可能性。因此，IPSec成為實現(xiàn)VPN的一種重要的方法，非常適用現(xiàn)有的網(wǎng)絡狀況，是中小型網(wǎng)絡的首選方式?？紤]到該企業(yè)的組網(wǎng)規(guī)模以及安全需求，我們也采用IPSec協(xié)議族組建VPN內(nèi)聯(lián)網(wǎng)。根據(jù)VPN的應用平臺可分為三類：軟件平臺、硬件平臺、軟硬件結(jié)合平臺。軟件VPN一般性能較差，適用于對數(shù)據(jù)連接速率較低要求不高，性能和安全性要求不強的小型企業(yè)。硬件VPN雖然有高速率高數(shù)據(jù)安全及通信性能的優(yōu)點，但是它成本太高，中小型企業(yè)很難承受，通常是對于專業(yè)的VPN網(wǎng)絡服務提供商來說選擇這一平臺較為合適。軟硬結(jié)合VPN這種平臺是最為通用的一種方式，它既具備了硬件平臺的高性能、高安全性、同時也具有軟件平臺的靈活性，是目前絕大多數(shù)企業(yè)選用的VPN方案。對于我們要設計的這家企業(yè)來說，采用軟硬件結(jié)合的這種VPN方式最適合不過了。軟硬件結(jié)合VPN也需要硬件方案的支持，目前主要有集中器、交換機、路由器、網(wǎng)關(guān)和防火墻等VPN方案。其中防火墻VPN方案是目前應用最廣的一種VPN方案，它的優(yōu)勢主要體現(xiàn)在它的安全性方面，這一點從它的方案名稱可以看出，它是采用防火墻設備作為VPN通信的主要設備，在傳統(tǒng)的防火墻設備中嵌入VPN技術(shù)，就是的原來不是VPN這樣的邏輯上一體的網(wǎng)絡之間通信成為可能。對于該企業(yè)的內(nèi)聯(lián)網(wǎng)構(gòu)建，我們只要購買兩臺支持IPSec隧道協(xié)議的VPN防火墻，安裝在總公司和分公司兩個網(wǎng)絡邊界，然后對兩臺VPN防火墻進行相關(guān)配置，當建立起VPN連接后，這時總公司與分公司就相當于處于同一個局域網(wǎng)中，這些配置對于員工來說這是透明的。而對于出差辦公或者SOHO辦公的員工，進行VPN連接就必須在他們的計算機中安裝配套的VPN接入軟件，例如思科的VPN客戶端產(chǎn)品EASYVPN，當要訪問公司資源時，通過一些簡單的配置，就可以進行遠程撥號連接。企業(yè)合作伙伴的企業(yè)外聯(lián)網(wǎng)與企業(yè)內(nèi)聯(lián)網(wǎng)VPN差不多，使用軟件或者硬件接入均可，這要視乎企業(yè)合作的程度與時間長短而定，它與企業(yè)內(nèi)聯(lián)網(wǎng)的主要區(qū)別在于用戶訪問權(quán)限的設置，外聯(lián)網(wǎng)用戶通常只具備部分企業(yè)內(nèi)部網(wǎng)訪問資源的權(quán)限，所以我們要對VPN防火墻進行相關(guān)設置，以屏蔽企業(yè)內(nèi)部網(wǎng)，確保需要保護的內(nèi)部網(wǎng)資源的安全性。VPN配置部分摘錄：Firewall1(config)#access-list100permitudphosthosteqisakmpFirewall1(config)#access-list100permitesphosthost該ACL允許兩防火墻之間的ISAKMP/IKE和ESP流量Firewall1(config)#cryptoisakmppolicy10Firewall1(config-isakmp)#authenticationpre-shareFirewall1(config-isakmp)#encryption3desFirewall1(config-isakmp)#group2Firewall1(config-isakmp)#lifetime3600Firewall1(config-isakmp)#exit定義ISAKMP策略中的各種參數(shù)Firewall1(config)#cryptoisakmpkeycisco123address指定預共享密鑰，它必須與對方的密鑰值相匹配Firewall1(config)#access-list101permitip5555Firewall1(config)#access-list101permitip5555ACL101是加密ACL指定兩方的流量被保護Firewall1(config)#cryptoipsectransform-setFirewall2transformesp-sha-hmacesp-3desIKE階段2數(shù)據(jù)連接應該用ESPSHA數(shù)據(jù)包認證和ESP3DES加密進行保護Firewall1(config)#crytomapIPSECMAP100ipsec-isakmpFirewall1(config-crypto-map)#matchaddress101Firewall1(config-crypto-map)#setpeerFirewall1(config-crypto-map)#settransform-setFirewall2transformFirewall1(config-crypto-map)#exit配置加密映射中的條目100，指定被保護流量，遠程對等體和用來保護流量的變換集Firewall1(config)#intethernet1Firewall1(config-if)#ipaccess-group100in在接口上應用保護ACLFirewall1(config-if)#cryptpmapIPSECMAP激活加密映射4.8設備選型核心交換機選型在本企業(yè)網(wǎng)絡的設計中，對核心交換機的要求比較高，基于本網(wǎng)絡的規(guī)模、用戶當前的應用、當前網(wǎng)絡技術(shù)、網(wǎng)絡技術(shù)及應用的發(fā)展趨勢，我們對用戶中心交換機的性能要求作出如下歸納：中心交換機必須具備足夠的端口，且應能夠?qū)崿F(xiàn)多種網(wǎng)絡帶寬及介質(zhì)的連接能力；必須具備劃分VLAN的功能和三層交換能力，而且要有擴展訪問控制列表功能，以保證部門間安全訪問；中心交換機應具備足夠的千兆擴展能力，以便能對網(wǎng)絡主干聯(lián)接及中心交換機與重要服務器的聯(lián)接能使用千兆以太網(wǎng)。基于上述對本網(wǎng)絡中心交換機性能要求的認識，我們推薦CiscoCatalyst3750或者同等檔次具有同等功能的交換機作為該網(wǎng)絡的中心交換機。CiscoCatalyst3750系列智能以太網(wǎng)交換機是一種新型的企業(yè)級可堆疊多層交換機，可提供高可用性、可擴展性、安全性和可改進網(wǎng)絡運營的管理能力。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，Catalyst3750系列可作為中型企業(yè)布線室的強大訪問層交換機和中型網(wǎng)絡的骨干網(wǎng)交換機。接入層交換機選型為方便跨交換機的VLAN劃分，優(yōu)化網(wǎng)絡性能，簡化網(wǎng)絡拓撲結(jié)構(gòu)，在網(wǎng)絡設計中，接入層統(tǒng)一使用Cisco2950－24交換機。因為接入層交換機必須配置trunk口，所以802.1Q必須使用，又要求性能必須穩(wěn)定，所以對本項目而言Cisco2950－24交換機是性價比最好的交換機。路由器選型對于路由器的品牌，我們推薦國際知名廠商CISCO，或者為求便宜可以使用聯(lián)想的路由器。而華為的路由器功能上不及CISCO，但是現(xiàn)在價位上已經(jīng)追上CISCO了。在CISCO的產(chǎn)品中有很多不同的型號，在該方案中，我們采用CISCO2600系列路由器。Cisco2600系列是一款屢獲大獎的模塊化多服務接入路由器系列，具有靈活的LAN和WAN配置、多個安全性選項、語音/數(shù)據(jù)集成和一系列高性能處理器。這些特性使Cisco2600系列成為可滿足當今及未來客戶要求的理想企業(yè)路由器。防火墻選型因為該企業(yè)的網(wǎng)絡設計使用到的IPSECVPN技術(shù)是在防火墻上實現(xiàn)的，所以在防火墻的選擇上一定要具備IPSECVPN功能。除此以外，防火墻的安全保護能力一定要強大，吞吐量要夠，而且必須具有很強的穩(wěn)定性，以保障日常工作順利進行?；谝陨侠碛?，我們推薦CiscoPIX515E防火墻。CiscoPIX515E是被廣泛采用的CiscoPIX515平臺的增強版本，它可以提供業(yè)界領先的狀態(tài)防火墻和IP安全（IPSec）虛擬專用網(wǎng)服務。CiscoPIX515E針對中小型企業(yè)和企業(yè)遠程辦公機構(gòu)而設計，具有更強的處理能力和集成化的、基于硬件的IPSec加速功能。CiscoPIX515E多功能的單機架單元（1RU）機箱可以支持六個接口，使之成為那些需要一個具有DMZ支持的、成本低廉的安全解決方案的企業(yè)的理想選擇。作為全球領先的CiscoPIX防火墻系列的一部分，它可以為今天的網(wǎng)絡用戶提供無以倫比的安全性、可靠性和性能。

5結(jié)論在網(wǎng)絡設計中，沒有一種設計方案可以適合所有的網(wǎng)絡。網(wǎng)絡設計技術(shù)非常復雜而且更新很快，因此我們必須根據(jù)實際情況具體分析。作為網(wǎng)絡設計者，有時負責從無到有實現(xiàn)網(wǎng)絡結(jié)構(gòu)設計，有時則不得不在現(xiàn)有的基礎設施里融合進新技術(shù)。無論網(wǎng)絡技術(shù)怎么發(fā)展變化，對每個網(wǎng)絡來說，如此多的復雜協(xié)議進行交互都會產(chǎn)生唯一的結(jié)果，就是將數(shù)據(jù)送到目的地。在本文中，我們按照計算機網(wǎng)絡系統(tǒng)設計的一般原則和基本過程，開展了網(wǎng)絡需求的調(diào)研分析，提出了網(wǎng)絡系統(tǒng)的總體設計方案以及設計目標，采用層次化模型方法，將網(wǎng)絡的結(jié)構(gòu)分層為核心層和接入層，對該企業(yè)闡述了網(wǎng)絡系統(tǒng)的物理設計和實現(xiàn)過程。該企業(yè)網(wǎng)絡在功能性、安全性、可靠性、可管理性等方面完全符合企業(yè)所屬各部門的工作需求，并具有一定的可擴展性，達到了預期的目標。在該項目中成功地應用了較為先進的VLAN、光纖接入、第三層交換、千兆核心交換、VPN遠程接入等技術(shù)，使得網(wǎng)絡系統(tǒng)在性能、安全性、可管理性、擴展性等方面領先于一般的企業(yè)網(wǎng)絡。本規(guī)劃設計方案只是一個計算機網(wǎng)絡現(xiàn)狀及網(wǎng)絡安全的解決方案，在隨后的分期分批的項目實施過程中，由于企業(yè)網(wǎng)絡環(huán)境、以及網(wǎng)絡應用系統(tǒng)的變化，會在細節(jié)上根據(jù)實際情況進行相應的調(diào)整，如：安裝設備數(shù)量、設備安裝具體地點等，只要在總的布局、要求以及標準上保持不變，實施之后就能夠達到本方案的設計要求。致謝感謝我的論文指導教師肖濤老師，在我的論文撰寫過程中多次給予指導，并細心地幫助我檢查論文，提出修改意見，使我得以順利完成學士論文。肖老師嚴謹?shù)闹螌W態(tài)度和優(yōu)秀的做人的品格將讓我終生受益匪淺。其次我要感謝我的計算機網(wǎng)絡課程的授課教師何懷文老師，我還要向我的父母致以最誠摯的謝意，是你們的養(yǎng)育、期望和支持，使我順利地完成學業(yè)。最后，我還要感謝所有為我的論文提出指導意見的同學和朋友，他們的名字無法一一盡述，在此一并表示誠摯的感謝。參考文獻1.RichardFroom,BalajiSivasubramanian,ErumFrahim.CCNP學習指南：組建Cisco多層交換網(wǎng)絡（BCMSN）.第二版.人民郵電出版社,20042.RichardA.Deal.Cisco路由器防火墻安全.人民郵電出版社.20063.CiscoSystems公司,CiscoNetworkingAcademyProgram.思科網(wǎng)路技術(shù)學院教程網(wǎng)絡安全基礎.人民郵電出版社.20054.CatherinePaquet,DianeTeare.CCNP自學指南：組建可擴展的Cisco互聯(lián)網(wǎng)絡（BSCI）.第二版.人民郵電出版社,20045.王達.虛擬專用網(wǎng)（VPN）精解.清華大學出版社.2004基于C8051F單片機直流電動機反饋控制系統(tǒng)的設計與研究基于單片機的嵌入式Web服務器的研究MOTOROLA單片機MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對良率的影響研究基于模糊控制的電阻釬焊單片機溫度控制系統(tǒng)的研制基于MCS-51系列單片機的通用控制模塊的研究基于單片機實現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機控制的二級倒立擺系統(tǒng)的研究基于增強型51系列單片機的TCP/IP協(xié)議棧的實現(xiàn)基于單片機的蓄電池自動監(jiān)測系統(tǒng)基于32位嵌入式單片機系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機的作物營養(yǎng)診斷專家系統(tǒng)的研究基于單片機的交流伺服電機運動控制系統(tǒng)研究與開發(fā)基于單片機的泵管內(nèi)壁硬度測試儀的研制基于單片機的自動找平控制系統(tǒng)研究基于C8051F040單片機的嵌入式系統(tǒng)開發(fā)基于單片機的液壓動力系統(tǒng)狀態(tài)監(jiān)測儀開發(fā)模糊Smith智能控制方法的研究及其單片機實現(xiàn)一種基于單片機的軸快流CO〈,2〉激光器的手持控制面板的研制基于雙單片機沖床數(shù)控系統(tǒng)的研究基于CYGNAL單片機的在線間歇式濁度儀的研制基于單片機的噴油泵試驗臺控制器的研制基于單片機的軟起動器的研究和設計基于單片機控制的高速快走絲電火花線切割機床短循環(huán)走絲方式研究基于單片機的機電產(chǎn)品控制系統(tǒng)開發(fā)基于PIC單片機的智能手機充電器基于單片機的實時內(nèi)核設計及其應用研究基于單片機的遠程抄表系統(tǒng)的設計與研究基于單片機的煙氣二氧化硫濃度檢測儀的研制基于微型光譜儀的單片機系統(tǒng)單片機系統(tǒng)軟件構(gòu)件開發(fā)的技術(shù)研究基于單片機的液體點滴速度自動檢測儀的研制基于單片機系統(tǒng)的多功能溫度測量儀的研制基于PIC單片機的電能采集終端的設計和應用基于單片機的光纖光柵解調(diào)儀的研制氣壓式線性摩擦焊機單片機控制系統(tǒng)的研制基于單片機的數(shù)字磁通門傳感器基于單片機的旋轉(zhuǎn)變壓器-數(shù)字轉(zhuǎn)換器的研究基于單片機的光纖Bragg光柵解調(diào)系統(tǒng)的研究單片機控制的便攜式多功能乳腺治療儀的研制基于C8051F020單片機的多生理信號檢測儀基于單片機的電機運動控制系統(tǒng)設計Pico專用單片機核的可測性設計研究基于MCS-51單片機的熱量計基于雙單片機的智能遙測微型氣象站MCS-51單片機構(gòu)建機器人的實踐研究基于單片機的輪軌力檢測基于單片機的GPS定位儀的研究與實現(xiàn)基于單片機的電液伺服控制系統(tǒng)用于單片機系統(tǒng)的MMC卡文件系統(tǒng)研制基于單片機的時控和計數(shù)系統(tǒng)性能優(yōu)化的研究基于單片機和CPLD的粗光柵位移測量系統(tǒng)研究單片機控制的后備式方波UPS提升高職學生單片機應用能力的探究基于單片機控制的自動低頻減載裝置研究基于單片機控制的水下焊接電源的研究基于單片機的多通道數(shù)據(jù)采集系統(tǒng)基于uPSD3234單片機的氚表面污染測量儀的研制基于單片機的紅外測油儀的研究96系列單片機仿真器研究與設計基于單片機的單晶金剛石刀具刃磨設備的數(shù)控改造基于單片機的溫度智能控制系統(tǒng)的設計與實現(xiàn)基于MSP430單片機的電梯門機控制器的研制基于單片機的氣體測漏儀的研究基于三菱M16C/6N系列單片機的CAN/USB協(xié)議轉(zhuǎn)換器基于單片機和DSP的變壓器油色譜在線監(jiān)測技術(shù)研究基于單片機的膛壁溫度報警系統(tǒng)設計基于AVR單片機的低壓無功補償控制器的設計基于單片機船舶電力推進電機監(jiān)測系統(tǒng)基于單片機網(wǎng)絡的振動信號的采集系統(tǒng)基于單片機的大容量數(shù)據(jù)存儲技術(shù)的應用研究基于單片機的疊圖機研究與教學方法實踐基于單片機嵌入式Web服務器技術(shù)的研究及實現(xiàn)基于AT89S52單片機的通用數(shù)據(jù)采集系統(tǒng)\t"