企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn)作者姓名： 專業(yè)名稱：計(jì)算機(jī)通信指導(dǎo)教師： 摘要作為企業(yè)網(wǎng)絡(luò)平臺的一種有效的延伸，遠(yuǎn)程訪問接人技術(shù)一直在網(wǎng)絡(luò)應(yīng)用中扮演著非常重要的角色。它克服了局域網(wǎng)絡(luò)技術(shù)在覆蓋范圍和接人形式上的局限性，使網(wǎng)絡(luò)用戶在局域網(wǎng)絡(luò)范圍之外也能夠方便地隨時(shí)訪問企業(yè)的網(wǎng)絡(luò)平臺。本文是對某IT企業(yè)的一個(gè)企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的解決方案，文章首先分析了企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)需求，根據(jù)需求提出了設(shè)計(jì)原則與設(shè)計(jì)目標(biāo)，制定了總體的規(guī)劃設(shè)計(jì)方案，然后再分層次具體地對該企業(yè)的局域網(wǎng)和廣域網(wǎng)進(jìn)行設(shè)計(jì)，在該方案中，我們采用了VLAN、三層交換、千兆交換、光纖接入、VPN等先進(jìn)網(wǎng)絡(luò)技術(shù)，基本滿足了該企業(yè)的需求，并留有足夠的擴(kuò)充空間，以適應(yīng)今后發(fā)展。關(guān)鍵詞：企業(yè)網(wǎng)絡(luò) 規(guī)劃設(shè)計(jì) 遠(yuǎn)程接入 VPNAbstractAs enterprise network platform of a kind of effective extensions, remote access pick up person has been in the network applications technology plays a very important role. It overcome the local area network technology in coverage and pick up person in the form of the limitations, and make the network users in the local area network outside the scope of also is convenient to access enterprise network platform at any time. This thesis is a design project for solution to the net in one IT enterprise. First, it analyzes the needs of design for the enterprise according to which it puts forward the design principle and aim and formulates the scheme of the whole design project. Secondly, it designs the internet particularly in different aspects. In this scheme, it uses advance technology of internet, for instance, VLAN, exchange of three layers, thousand-trillion switching, optical fiber receiving, VPN and so on, to basically meet the needs of the enterprise and save enough room for expanding to adapt to the development henceforward.Keywords: enterprise network, Remote Access, VPN目錄摘要IAbstractII目錄III前言51企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)61.1根據(jù)實(shí)際分析企業(yè)網(wǎng)61.2企業(yè)要求實(shí)現(xiàn)的技術(shù)62網(wǎng)絡(luò)總體規(guī)劃82.1企業(yè)網(wǎng)絡(luò)設(shè)計(jì)要領(lǐng)82.2 VPN技術(shù)的實(shí)現(xiàn)92.3配置VPN服務(wù)器103網(wǎng)絡(luò)具體規(guī)劃與設(shè)計(jì)123.1網(wǎng)絡(luò)拓?fù)鋱D123.2 IP地址的規(guī)劃143.3基于VLSM的子網(wǎng)劃分163.4在VPN服務(wù)器的外網(wǎng)卡上添加相關(guān)協(xié)議173.5三層交換技術(shù)與鏈路聚合的應(yīng)用183.6Internet接入及地址轉(zhuǎn)換213.7 VPN服務(wù)器設(shè)置用戶撥入并授權(quán)233.8設(shè)備選型28總結(jié)30致謝31參考文獻(xiàn)32前言遠(yuǎn)程訪問接入技術(shù)一直在網(wǎng)絡(luò)應(yīng)用中扮演著非常重要的角色。VPN技術(shù)在這方面可以發(fā)揮很大作用。遠(yuǎn)程訪問技術(shù)首先解決的問題就是地域的局限。用戶不再需要處于企業(yè)局域網(wǎng)絡(luò)平臺覆蓋范圍之內(nèi)，通過局域網(wǎng)接入方式來訪問企業(yè)網(wǎng)絡(luò)應(yīng)用服務(wù) 此外，遠(yuǎn)程訪問技術(shù)解決的另一個(gè)問題是靈活性，不論片j戶身在何處，均能夠利用遠(yuǎn)程訪問技術(shù)接入到企業(yè)內(nèi)部網(wǎng)絡(luò)平臺。正因?yàn)橐獙?shí)現(xiàn)這些目標(biāo)，遠(yuǎn)程訪問技術(shù)必須要使用公共傳輸媒介。換句話說，企業(yè)私有網(wǎng)絡(luò)平臺是無法實(shí)現(xiàn)該功能的，解決方案就是利用Internet作為傳輸載體，采用VPN技術(shù)，實(shí)現(xiàn)企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)。VPN(Virtual Private Network)是指通過綜合利用網(wǎng)絡(luò)技術(shù)、訪問控制技術(shù)和加密技術(shù)，并通過一定的用戶管理機(jī)制，在公共網(wǎng)絡(luò)中建立起安全的”專用”網(wǎng)絡(luò)，保證數(shù)據(jù)在”加密通道”中進(jìn)行安全傳輸?shù)募夹g(shù)。當(dāng)移動(dòng)用戶或遠(yuǎn)程用戶通過撥號方式遠(yuǎn)程訪問公司或企業(yè)內(nèi)部專用網(wǎng)絡(luò)時(shí)，采用傳統(tǒng)的遠(yuǎn)程訪問方式通訊費(fèi)用比較高，且在與內(nèi)部專用網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行數(shù)據(jù)傳輸時(shí)，不能保證通信安全性。為了避免以上的問題，通過撥號與企業(yè)內(nèi)部專用網(wǎng)絡(luò)建立VPN連接是一個(gè)理想的選擇。1企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)企業(yè)網(wǎng)絡(luò)指的是具有一定規(guī)模的網(wǎng)絡(luò)系統(tǒng)，它可以是單座建筑物內(nèi)的局域網(wǎng)，可以是覆蓋一個(gè)園區(qū)的園區(qū)網(wǎng)，還可以是跨地區(qū)的廣域網(wǎng)，其覆蓋范圍可以是幾公里、幾十公里、幾百公里，甚至更廣。狹義的企業(yè)網(wǎng)主要指大型的工業(yè)、商業(yè)、金融、交通企業(yè)等各類公司和企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)；廣義的企業(yè)網(wǎng)則包括各種科研、教育部門和政府部門專有的信息網(wǎng)絡(luò)。我國的企業(yè)網(wǎng)絡(luò)建設(shè)經(jīng)過了單機(jī)應(yīng)用階段，目前正處在Internet應(yīng)用熱潮中。但從目前情況看國內(nèi)相當(dāng)多的企業(yè)還處于網(wǎng)絡(luò)初步應(yīng)用階段，其具有以下特點(diǎn)：1應(yīng)用水平較低，分散且不一致。企業(yè)網(wǎng)絡(luò)缺乏整體性的設(shè)計(jì)，沒有統(tǒng)一的標(biāo)準(zhǔn)，在業(yè)務(wù)互相銜接的應(yīng)用系統(tǒng)之間缺乏一致性2應(yīng)用者的整體水平比較低，缺乏對計(jì)算機(jī)和網(wǎng)絡(luò)全面的認(rèn)識，難以接受將計(jì)算機(jī)作為一種工作方式3信息部門處于邊緣性地位，綜合實(shí)力較低，地位較低，給信息技術(shù)的應(yīng)用帶來了相當(dāng)大的難度。1.1根據(jù)實(shí)際分析企業(yè)網(wǎng)假設(shè)我們要設(shè)計(jì)的是一個(gè)中型的IT企業(yè)的網(wǎng)絡(luò)，該企業(yè)分為一個(gè)總公司和一家分公司，共有員工292人?？偣?93人，分8個(gè)部門，包括人事部、開發(fā)部、財(cái)務(wù)部、商務(wù)部、工程部、業(yè)務(wù)部、信息中心、經(jīng)理部。人事部23人，開發(fā)部57人，財(cái)務(wù)部7人，商務(wù)部18人，工程部47人，業(yè)務(wù)部32人，信息中心5人，經(jīng)理部4人。分公司99人，部門結(jié)構(gòu)與總公司一致，人事部12人，開發(fā)部34人，工程部20人，財(cái)務(wù)部3人，業(yè)務(wù)部16人，信息中心3人，商務(wù)部9人，經(jīng)理部2人。每人都配有一臺個(gè)人電腦。由于公司規(guī)模的擴(kuò)大，為了提高工作效率、公司知名度、公司效益以及管理水平，該企業(yè)決定投資重新建設(shè)完善的企業(yè)網(wǎng)絡(luò)。1.2企業(yè)要求實(shí)現(xiàn)的技術(shù)網(wǎng)絡(luò)需求分析就是根據(jù)企業(yè)信息技術(shù)應(yīng)用要求和企業(yè)的業(yè)務(wù)發(fā)展需求，結(jié)合企業(yè)現(xiàn)有設(shè)備狀況和人員素質(zhì)，較為全面地調(diào)查和分析企業(yè)在信息技術(shù)方面的技術(shù)需求，然后從網(wǎng)絡(luò)建設(shè)的角度，將這些需求轉(zhuǎn)換成構(gòu)造網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)能夠提供服務(wù)的需求。在網(wǎng)絡(luò)需求分析過程中，網(wǎng)絡(luò)系統(tǒng)用戶往往從系統(tǒng)外部關(guān)注整個(gè)網(wǎng)絡(luò)系統(tǒng)的功能和性能，而網(wǎng)絡(luò)設(shè)計(jì)者往往從網(wǎng)絡(luò)系統(tǒng)內(nèi)部關(guān)注整個(gè)網(wǎng)絡(luò)系統(tǒng)的技術(shù)和結(jié)構(gòu)。因此，如何正確地將用戶對網(wǎng)絡(luò)系統(tǒng)功能和性能的需求轉(zhuǎn)換成對網(wǎng)絡(luò)系統(tǒng)技術(shù)和結(jié)構(gòu)的需求并給予量化表示是網(wǎng)絡(luò)需求分析的關(guān)鍵。經(jīng)過對該公司各個(gè)部門職能的分析以及調(diào)研，將系統(tǒng)需求歸納為如下幾點(diǎn)：1）在該企業(yè)的總公司以及分公司各建立一個(gè)新的計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，將該企業(yè)內(nèi)現(xiàn)有計(jì)算機(jī)以及外設(shè)連在一起工作。服務(wù)器、連接設(shè)備、綜合布線等統(tǒng)一購買和配置，客戶機(jī)應(yīng)利用現(xiàn)有各部門的計(jì)算機(jī)，以保護(hù)原有投資和不影響正常工作。2）該網(wǎng)絡(luò)系統(tǒng)能實(shí)現(xiàn)資源共享，包括軟件共享，文件共享，打印機(jī)共享。在外工作的員工可以透過internet安全訪問企業(yè)資源，遠(yuǎn)程辦公。3）能高速接入Internet進(jìn)行工作，收發(fā)郵件，瀏覽網(wǎng)頁查找資料。建立企業(yè)對外網(wǎng)站，提供一個(gè)對外宣傳的平臺，提高企業(yè)知名度。4）網(wǎng)絡(luò)管理：控制不同權(quán)限的員工使用Internet的方式和范圍，限制普通員工利用公司網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)無關(guān)的活動(dòng)。5）安全性：對不同部門之間的相互訪問作限制，防止非法訪問，保護(hù)商業(yè)機(jī)密。預(yù)防計(jì)算機(jī)病毒，盡可能把病毒感染的幾率降到最低。使用防火墻，防止來自互聯(lián)網(wǎng)上的入侵，保障企業(yè)資源的安全。6）可擴(kuò)展性：考慮到企業(yè)的發(fā)展與以后規(guī)模的擴(kuò)大，企業(yè)網(wǎng)絡(luò)設(shè)計(jì)需預(yù)留擴(kuò)展空間，以便今后的網(wǎng)絡(luò)改造。2企業(yè)網(wǎng)絡(luò)總體規(guī)劃網(wǎng)絡(luò)規(guī)劃是對擬建網(wǎng)絡(luò)的初步設(shè)計(jì)，應(yīng)該遵循網(wǎng)絡(luò)設(shè)計(jì)的一般原則和方法，并提出相應(yīng)的解決方案為后續(xù)的設(shè)計(jì)和實(shí)現(xiàn)工作的依據(jù)。網(wǎng)絡(luò)總體規(guī)劃反映了網(wǎng)絡(luò)設(shè)計(jì)“總體規(guī)劃、分布實(shí)施”的網(wǎng)絡(luò)建設(shè)原則，是從網(wǎng)絡(luò)需求分析到網(wǎng)絡(luò)具體設(shè)計(jì)之間必經(jīng)的階段，網(wǎng)絡(luò)規(guī)劃通過對企業(yè)網(wǎng)絡(luò)需求的調(diào)查、分析、歸納，把企業(yè)現(xiàn)在和未來對網(wǎng)絡(luò)的需求轉(zhuǎn)換成對網(wǎng)絡(luò)結(jié)構(gòu)、功能、性能、協(xié)議等技術(shù)指標(biāo)的具體要求。2.1企業(yè)網(wǎng)絡(luò)設(shè)計(jì)要領(lǐng)該IT企業(yè)網(wǎng)絡(luò)建設(shè)的目標(biāo)，就是在總公司和分公司分別建設(shè)局域網(wǎng)，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，使用遠(yuǎn)程接入技術(shù)將公司與分公司之間連接起來，并使在外員工可隨時(shí)接入公司網(wǎng)絡(luò)，從而建立起統(tǒng)一、快捷、高效的中型Intranent系統(tǒng)，整個(gè)系統(tǒng)在安全、可靠、穩(wěn)定的前提下，符合經(jīng)濟(jì)的原則，即實(shí)現(xiàn)合理的投入，最大的產(chǎn)出?？傮w設(shè)計(jì)如下： 1）以千兆以太網(wǎng)為主干網(wǎng)，利用第三層交換技術(shù)實(shí)現(xiàn)大型局域網(wǎng)的VLAN的劃分。規(guī)劃中服務(wù)器、信息中心采用千兆，與中心主交換機(jī)連接，其他部門采用100M網(wǎng)卡通過其他二級交換機(jī)接入主干網(wǎng)。2）網(wǎng)絡(luò)通過光纖接入 Internet/ChinaNET，在公網(wǎng)上建立虛擬專用網(wǎng)(VPN)；通過采用 Web 技術(shù)和 Internet-VPN 技術(shù)以及信息加密技術(shù)實(shí)現(xiàn)電子商務(wù)。這樣，可以提供遠(yuǎn)程撥號訪問和通過Internet 訪問兩種方式，來實(shí)現(xiàn)全國各分支機(jī)構(gòu)、相關(guān)部門以及公眾對公司信息的限制性訪問。3）網(wǎng)絡(luò)的安全機(jī)制： 通過對網(wǎng)絡(luò)設(shè)備的配置，控制訪問列表等方式來加強(qiáng)網(wǎng)絡(luò)的安全性措施； 更重要的是，在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處，采用先進(jìn)的防火墻技術(shù)、代理服務(wù)器技術(shù)、以及 Web 服務(wù)器的口令驗(yàn)證、數(shù)據(jù)加密等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的安全性4）網(wǎng)絡(luò)中心設(shè)立 WEB 應(yīng)用服務(wù)器、E-MAIL 服務(wù)器、DNS 服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器，實(shí)現(xiàn) WEB 訪問、Internet接入、E-MAIL 系統(tǒng)、域名解析、應(yīng)用系統(tǒng)等各種功能。2.2 VPN技術(shù)的實(shí)現(xiàn)VPN即虛擬專用網(wǎng)（Virtal Private Network），是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN徹底改變了通過長途電話實(shí)現(xiàn)遠(yuǎn)程訪問的傳統(tǒng)通信方式，VPN是使用隧道（Tunneling）技術(shù)，利用PPTP與L2TP等協(xié)議對數(shù)據(jù)包進(jìn)行封裝和加密，實(shí)現(xiàn)在INTERNET公用網(wǎng)上低成本，高安全的數(shù)據(jù)傳輸。通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的鏈接，從而實(shí)現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級別，如果接入方式為撥號方式，則稱之為VPDN。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全鏈接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地鏈接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。1）實(shí)用性原則。計(jì)算機(jī)設(shè)備、服務(wù)器設(shè)備和網(wǎng)絡(luò)設(shè)備在技術(shù)性能逐步提升的同時(shí)，其價(jià)格卻在逐年下降。因此，不可能也沒有必要實(shí)現(xiàn)所謂“一步到位”。所以，網(wǎng)絡(luò)方案設(shè)計(jì)中應(yīng)把握“夠用”和“實(shí)用”原則。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用成熟可靠的技術(shù)和設(shè)備，達(dá)到實(shí)用、經(jīng)濟(jì)和有效的目的。2）前瞻性原則。在實(shí)用的基礎(chǔ)上還可以具有一定的前瞻性，在網(wǎng)絡(luò)結(jié)構(gòu)上要做到能適應(yīng)較長時(shí)期企業(yè)和網(wǎng)絡(luò)技術(shù)的發(fā)展，不要在網(wǎng)絡(luò)剛組建不久就發(fā)現(xiàn)很難實(shí)現(xiàn)某些較新的應(yīng)用，或者根本不能應(yīng)用目前的一些主流軟件，這樣勢必造成企業(yè)網(wǎng)絡(luò)資源的浪費(fèi)。3）開放性原則。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用開放的標(biāo)準(zhǔn)和技術(shù)，如TCP/IP協(xié)議、IEEE802系列標(biāo)準(zhǔn)等。其目標(biāo)首先是要有利于未來網(wǎng)絡(luò)系統(tǒng)的擴(kuò)充，其次還要有利于在需要時(shí)與外部網(wǎng)絡(luò)互通。4）可靠性原則。作為一個(gè)具有一定規(guī)模的中型企業(yè)。企業(yè)的網(wǎng)絡(luò)不允許有異常情況發(fā)生，因?yàn)橐坏┚W(wǎng)絡(luò)發(fā)生異常情況，就會(huì)帶來很大的損失。在這樣的網(wǎng)絡(luò)中，就要盡量使用冗余備份，當(dāng)某個(gè)網(wǎng)絡(luò)設(shè)備故障時(shí)，網(wǎng)絡(luò)還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網(wǎng)絡(luò)的可靠性。5）安全性原則。在企業(yè)網(wǎng)的設(shè)計(jì)中，安全性的設(shè)計(jì)是很重要的。每家企業(yè)都有自己的商業(yè)機(jī)密，如果這些機(jī)密被竊取，后果是不堪設(shè)想的。企業(yè)必須保護(hù)其網(wǎng)絡(luò)系統(tǒng)，以避免受外來惡意性入侵，但也必須保留足夠空間，使其主要經(jīng)營之業(yè)務(wù)能順利運(yùn)作。倘若安全性系統(tǒng)保護(hù)企業(yè)免受病毒及駭客攻擊，但卻阻撓其服務(wù)客戶及邁向電子商務(wù)腳步，那么此系統(tǒng)就已超越其權(quán)限了。網(wǎng)絡(luò)安全應(yīng)是永遠(yuǎn)以能符合企業(yè)經(jīng)營目標(biāo)的最大利益為優(yōu)先考量。6）可管理性原則。網(wǎng)絡(luò)管理員能夠在不改變系統(tǒng)運(yùn)行的情況下對網(wǎng)絡(luò)進(jìn)行調(diào)整，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。7）可擴(kuò)展性原則。網(wǎng)絡(luò)總體設(shè)計(jì)不僅要考慮到近期目標(biāo)，也要為企業(yè)以及網(wǎng)絡(luò)的進(jìn)一步發(fā)展留有余地。因此，需要統(tǒng)一規(guī)劃和設(shè)計(jì)。網(wǎng)絡(luò)系統(tǒng)應(yīng)在規(guī)模和性能兩方面具有良好的可擴(kuò)展性。由于目前網(wǎng)絡(luò)產(chǎn)品標(biāo)準(zhǔn)化程度較高，因此可擴(kuò)展性要求基本不成問題。2.3配置VPN服務(wù)器網(wǎng)絡(luò)協(xié)議是需要通信的計(jì)算機(jī)之間共同遵循的數(shù)據(jù)結(jié)構(gòu)、語義和操作規(guī)則。網(wǎng)絡(luò)協(xié)議常采用分層的體系結(jié)構(gòu)。各協(xié)議層互相獨(dú)立，下層提供上層某項(xiàng)功能的服務(wù)（一般有面向連接和無連接兩類），上層利用該功能再向上提供更完善的服務(wù)。目前，主要的協(xié)議體系結(jié)構(gòu)有OSI族和TCP/IP族。它們的參考模型及各層的對應(yīng)關(guān)系如圖2.1所示。圖2.1 OSI參考模型OSI協(xié)議族OSI（開放系統(tǒng)互聯(lián)參考模型）協(xié)議族是國際標(biāo)準(zhǔn)化組織（ISO）建議并主持制定的有廣泛影響的網(wǎng)絡(luò)互聯(lián)協(xié)議。1）物理層是第一層，它決定設(shè)備之間的物理接口以及在傳輸介質(zhì)上比特傳送的規(guī)則。2）數(shù)據(jù)鏈路層是第二層，它的主要任務(wù)是加強(qiáng)物理層傳輸比特的可靠性。3）網(wǎng)絡(luò)層是第三成，它的主要功能是利用數(shù)據(jù)鏈路層所保證的鄰接節(jié)點(diǎn)之間的無差錯(cuò)數(shù)據(jù)傳輸功能，通過路由選擇和中繼功能，實(shí)現(xiàn)兩個(gè)端系統(tǒng)之間的連接。4）傳輸層是第四層，它利用下三層所提供的網(wǎng)絡(luò)服務(wù)向高層提供可靠的端到端的透明數(shù)據(jù)傳輸。5）會(huì)話層是第五層，它提供一種經(jīng)過組織的方法在用戶之間交換數(shù)據(jù)。6）表示層是第六層，它把上層交付的信息變換為能夠共同理解的形式，它關(guān)心的是所傳輸?shù)男畔⒌恼Z法和語義，它只對應(yīng)用層信息的形式進(jìn)行變換，但不改變信息內(nèi)容本身。7）應(yīng)用層是第七層，它的功能是提供應(yīng)用進(jìn)程（用戶程序）之間信息交換的基本任務(wù)。TCP/IP協(xié)議族TCP/IP協(xié)議族是廣泛應(yīng)用于計(jì)算機(jī)互聯(lián)的業(yè)界標(biāo)準(zhǔn)。該協(xié)議族是一組獨(dú)立的協(xié)議的集合，其中最主要的是TCP協(xié)議和IP協(xié)議。TCP/IP協(xié)議族亦采用層次化的結(jié)構(gòu)模型，共包括四個(gè)層次1）硬件接口層，TCP/IP協(xié)議族沒有具體定義硬件層，因而它對各種各樣的網(wǎng)絡(luò)硬件具有高度的適應(yīng)性，這正式它的成功之處。2）網(wǎng)絡(luò)層，它的主要功能是定義信息包（IP數(shù)據(jù)包）并處理信息包的路由選擇。該層的主要協(xié)議有：IP、ARP、RARP。3）傳輸層。它提供端到端的數(shù)據(jù)傳輸服務(wù)。該層的主要協(xié)議有：TCP、UDP。4）應(yīng)用層。它由使用網(wǎng)路的應(yīng)用程序和進(jìn)程組成。該層最接近用戶，主要協(xié)議有SMTP、DNS、FTP、TELNET。OSI強(qiáng)調(diào)的是如何把開放式系統(tǒng)連接起來的，它是一個(gè)理論上的參考模型。而TCP/IP框架包含了大量的協(xié)議和應(yīng)用，他雖然不是ISO標(biāo)準(zhǔn)，但一致于ISO的OSI參考模型制定，并在不斷發(fā)展過程中吸收了OSI模型中的概念及特征，它的使用已經(jīng)越來越廣泛，幾乎成為“事實(shí)上的標(biāo)準(zhǔn)”，著名的Internet就是基于TCP/IP協(xié)議族的。3網(wǎng)絡(luò)具體規(guī)劃與設(shè)計(jì)在總體上規(guī)劃好企業(yè)網(wǎng)絡(luò)之后，就要進(jìn)入具體設(shè)計(jì)的階段，這也是網(wǎng)絡(luò)設(shè)計(jì)的最重要的環(huán)節(jié)。在這個(gè)階段，要對該企業(yè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、IP地址規(guī)劃、子網(wǎng)劃分、Internet接入等方面進(jìn)行詳細(xì)的規(guī)劃與設(shè)計(jì)。3.1網(wǎng)絡(luò)拓?fù)鋱D所謂拓?fù)涫且环N研究與大小、距離無關(guān)的幾何圖形特性的方法。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是拋開網(wǎng)絡(luò)物理連接來討論網(wǎng)絡(luò)系統(tǒng)的連接形式，網(wǎng)絡(luò)中各站點(diǎn)相互連接的方法和形式稱為網(wǎng)絡(luò)拓?fù)?。拓?fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和相互間的連接，它的結(jié)構(gòu)主要有星型結(jié)構(gòu)、總線結(jié)構(gòu)、樹型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、蜂窩狀結(jié)構(gòu)、分布式結(jié)構(gòu)等。不同的連接方法網(wǎng)絡(luò)的性能不同，局域網(wǎng)拓?fù)浣Y(jié)構(gòu)通常分為3種，分別是總線型、星型和環(huán)型。該企業(yè)局域網(wǎng)網(wǎng)絡(luò)主要采用了星型的拓?fù)浣Y(jié)構(gòu)，因?yàn)槠髽I(yè)規(guī)模不大，所以在設(shè)計(jì)上只劃分了兩層來設(shè)計(jì)：核心層和接入層?？偣镜墓ぷ髡敬蠹s為200人，考慮到規(guī)模較大而且該總公司的業(yè)務(wù)比較重要，核心層的設(shè)計(jì)上采用了兩臺千兆三層交換機(jī)作一個(gè)冗余備份，在這兩臺三層交換機(jī)之間作鏈路聚合，就算其中一個(gè)核心交換機(jī)當(dāng)機(jī)，也可以保證網(wǎng)絡(luò)的瞬間恢復(fù)，大大增加了網(wǎng)絡(luò)的可靠性。分公司由于規(guī)模較小，考慮到企業(yè)網(wǎng)絡(luò)設(shè)計(jì)上的實(shí)用性與經(jīng)濟(jì)性原則，核心層的設(shè)計(jì)只使用一臺千兆三層交換機(jī)。而在接入層的設(shè)計(jì)上，總分公司都使用多臺二層交換機(jī)，100兆到桌面。服務(wù)器選擇擺放在信息中心，以便管理。為了防止企業(yè)外部對內(nèi)的攻擊，在路由器外部安裝硬件防火墻。圖3.1分公司網(wǎng)絡(luò)拓?fù)鋱D3.2 分公司網(wǎng)絡(luò)拓?fù)鋱D3.2 IP地址規(guī)劃每臺計(jì)算機(jī)、服務(wù)器、或者路由器的接口都有一個(gè)由授權(quán)機(jī)構(gòu)分配的號碼，我們稱它為IP地址。TCP/IP協(xié)議規(guī)定，根據(jù)網(wǎng)絡(luò)規(guī)模的大小將IP地址分為5類（A、B、C、D、E）表3.1 IP地址分類A類B類C類D類55雖然有這么多IP地址，但是這些IP地址我們是不能隨便用的，大多數(shù)的地址都被互聯(lián)網(wǎng)專業(yè)機(jī)構(gòu)注冊并指定，在IP地址日益匱乏的今天，企業(yè)一般只能申請到幾個(gè)公網(wǎng)地址。但是有部分的IP地址被特別區(qū)分出來用作私有網(wǎng)絡(luò)使用，它們被稱為私有IP地址表3.2 私有IP地址A類： 55B類： 55C類： 55該企業(yè)只有一個(gè)公網(wǎng)IP，考慮到內(nèi)網(wǎng)計(jì)算機(jī)終端數(shù)量不多，該企業(yè)局域網(wǎng)IP使用C類私有地址進(jìn)行分配。對于局域網(wǎng)的 IP 地址分配問題，用戶規(guī)模越大，管理工作就越困難，必須深思加以解決。目前一般來說有兩種分配方案，一是使用動(dòng)態(tài) IP地址分配（DHCP），另一種方案是使用靜態(tài)地址分配，但必須加強(qiáng) MAC 地址的管理。用動(dòng)態(tài) IP 地址分配（DHCP）的最大優(yōu)點(diǎn)是客戶端網(wǎng)絡(luò)的配置非常簡單，在沒有管理員的幫助和干預(yù)的情況下，用戶自己便可以對網(wǎng)絡(luò)進(jìn)行連接設(shè)置。但是，因?yàn)?IP 地址是動(dòng)態(tài)分配的，網(wǎng)管員不能從 IP 地址上鑒定客戶的身份，相應(yīng)的 IP 層管理將失去作用。而且使用動(dòng)態(tài) IP 地址分配需要設(shè)置額外 DHCP 服務(wù)器。使用靜態(tài) IP 地址分配可以對各部門進(jìn)行合理的 IP 地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對網(wǎng)卡 MAC 地址的管理，網(wǎng)絡(luò)就會(huì)具有更好的可管理性。但如果網(wǎng)絡(luò)規(guī)模較大，則 IP 地址管理的工作量就相當(dāng)大。綜合以上考慮，由于該企業(yè)的規(guī)模不是很大，因此從網(wǎng)絡(luò)安全的角度出發(fā)，采用靜態(tài)地址分配的方法。并結(jié)合核心交換機(jī)的第三層交換功能，進(jìn)行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡(luò)風(fēng)暴的發(fā)生，另一方面也加強(qiáng)了網(wǎng)絡(luò)的安全性。但當(dāng)隨著以后企業(yè)規(guī)模的不斷擴(kuò)大發(fā)展，整個(gè)網(wǎng)絡(luò)信息的規(guī)模不斷擴(kuò)大，則可以考慮采用 DHCP 動(dòng)態(tài) IP 地址分配的方案，設(shè)立專門的 DHCP 服務(wù)器進(jìn)行動(dòng)態(tài) IP 地址分配。同樣可以基于中心交換機(jī)的 VLAN 功能進(jìn)行配置，劃分網(wǎng)段，根據(jù)各個(gè)二級單位信息點(diǎn)所在的網(wǎng)段進(jìn)行動(dòng)態(tài)地址分配。3.3基于VLSM的子網(wǎng)劃分該企業(yè)總公司有193人，分公司有99人。如果分別把各自所有的主機(jī)放到一個(gè)子網(wǎng)里，對企業(yè)的安全性管理極為不利，而且如果有站點(diǎn)更新（計(jì)算機(jī)的配置調(diào)整或增減計(jì)算機(jī)）或發(fā)生故障，大量的廣播數(shù)據(jù)會(huì)嚴(yán)重影響網(wǎng)絡(luò)的整體性能。因此必須對這些主機(jī)進(jìn)行子網(wǎng)劃分控制廣播域的規(guī)模。VLSM(Variable Length Subnet masks)變長子網(wǎng)掩碼，是在標(biāo)準(zhǔn)的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡(luò)號碼，不同子網(wǎng)的子網(wǎng)掩碼可能有不同的長度，但一旦子網(wǎng)掩碼的長度確定了，它們就不變了，這個(gè)技術(shù)對于高效分配IP地址。由于該企業(yè)人數(shù)不多，如果給每個(gè)子網(wǎng)分配一個(gè)C類地址，就會(huì)造成IP地址的浪費(fèi)，所以要采用可變長子網(wǎng)掩碼技術(shù)對該企業(yè)局域網(wǎng)進(jìn)行子網(wǎng)劃分。該企業(yè)的子網(wǎng)是按照部門來劃分的，基于可擴(kuò)展性的原則，除了滿足每個(gè)部門都能分到足夠的IP地址外，還要為以后的人事調(diào)動(dòng)、部門擴(kuò)展等留有冗余的IP，否則可能會(huì)由于一些很小的人事變化就得重新劃分子網(wǎng)?？紤]到總公司與分公司之間要通過VPN技術(shù)遠(yuǎn)程互聯(lián)，所以總公司與分公司的內(nèi)網(wǎng)IP不能有重復(fù)。表3.3總公司子網(wǎng)劃分部門子網(wǎng)網(wǎng)絡(luò)號子網(wǎng)掩碼網(wǎng)關(guān)開發(fā)部2826工程部289290業(yè)務(wù)部929253人事部240商務(wù)部2242財(cái)務(wù)部4408信息中心0404經(jīng)理部640103.4在VPN服務(wù)器的外網(wǎng)卡上添加相關(guān)協(xié)議當(dāng)上述安裝成功以后，嘗試遠(yuǎn)程接入VPN服務(wù)器，則不能接入。原來是為了安全起見，路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)г赩PN服務(wù)器的INTERNET接口上設(shè)置了篩選器，只能允許PPTP和L2TP包通過該接口。要想使內(nèi)部計(jì)算機(jī)上網(wǎng)，只有對外網(wǎng)卡增加相關(guān)協(xié)議。 打開“路由和遠(yuǎn)程訪問服務(wù)”“IP路由選擇”“常規(guī)”在右邊的窗口中選擇外網(wǎng)卡并打開“屬性”“啟用IP路由器管理器”分別設(shè)置“輸入篩選器”和“輸出篩選器”。VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。 VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。我們已經(jīng)為該企業(yè)劃分了子網(wǎng)，不同的部門在不同的子網(wǎng)里，子網(wǎng)與子網(wǎng)之間不能訪問，也控制了廣播域太大的問題。這樣看來好像不必要再劃分VLAN了，其實(shí)不然，因?yàn)檫@樣只作子網(wǎng)劃分是存在安全性問題的。局域網(wǎng)內(nèi)的任何用戶只要稍微修改一下IP與子網(wǎng)掩碼就可以訪問到該企業(yè)的任何部門了。所以，我們必須在交換機(jī)上劃分好VLAN，這樣，只要加強(qiáng)對交換機(jī)的保護(hù)，不讓一般員工改變交換機(jī)的配置，就算他們更改自己電腦的IP和子網(wǎng)掩碼也無法訪問到其它部門了。VLAN有幾種不同的劃分方法：1.根據(jù)端口來劃分VLAN。2.根據(jù)MAC地址劃分VLAN。3.根據(jù)網(wǎng)絡(luò)層劃分VLAN。 4.根據(jù)IP組播劃分VLAN。該企業(yè)的VLAN我們采取根據(jù)端口來劃分，這種劃分方式是現(xiàn)在最常用的。只要把同一個(gè)部門的端口全部劃分進(jìn)同一個(gè)VLAN就行了，而且還可以進(jìn)行跨交換機(jī)的端口VLAN劃分，也就是說不同交換機(jī)上的端口也可以在同一個(gè)VLAN里，這樣VLAN的劃分就不必要受到物理空間的限制，具有很好的靈活性。今后如果有人事調(diào)動(dòng)或者部門擴(kuò)充，只要在交換機(jī)上作相應(yīng)的配置就可以了。處理VLAN時(shí)，交換機(jī)端口支持兩種連接類型：接入鏈路（access link）與中繼（trunk）。接入鏈路連接只能與單個(gè)VLAN相關(guān)，任何連接到該端口的任何設(shè)備將會(huì)在相同的廣播域中。與接入鏈路不同，中繼連接能為多個(gè)VLAN傳送流量。中繼鏈路一般在特點(diǎn)的設(shè)備之間，包括交換機(jī)到交換機(jī)，交換機(jī)到路由器，交換機(jī)到文件服務(wù)器等。在該企業(yè)的VLAN端口配置中，各接入層的二層交換機(jī)與核心層的三層交換機(jī)之間的鏈路要配置成trunk鏈路，其他端口配置成access鏈路，這樣VLAN信息就可以在各二層交換機(jī)之間傳遞，不同交換機(jī)但是同一個(gè)VLAN的用戶就可以相互訪問了。VLAN部分配置摘錄：switch-1(config)#vlan 10 創(chuàng)建一個(gè)vlan（開發(fā)部）switch-1(config-vlan)#name kaifabu 為此vlan取名switch-1(config-vlan)#exitswitch-1(config)#int fa0/1 進(jìn)入一個(gè)快速以太端口配置switch-1(config-if)#switchport mode access 把該接口配置為access鏈路switch-1(config-if)#switchport access vlan 1 把該端口加入vlan1switch-1(config-if)#exitswitch-1(config)#int gig 2/1 進(jìn)入千兆端口switch-1(config-i#switch mode trunk 把該端口配置為trunk鏈路3.5三層交換技術(shù)與鏈路聚合的應(yīng)用傳統(tǒng)的以太網(wǎng)交換機(jī)工作在 OSI 模型的第二層上，數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包通過源站點(diǎn)和目的站點(diǎn)的 MAC 地址時(shí)被識別。傳統(tǒng)局域網(wǎng)交換機(jī)只在介質(zhì)訪問層（mac）處理數(shù)據(jù)包。它可理解網(wǎng)絡(luò)協(xié)議的第二層如 MAC 地址等。交換機(jī)在操作過程中不斷的收集資料去建立它本身的地址表，當(dāng)交換機(jī)接收到一個(gè)數(shù)據(jù)包時(shí)，它會(huì)檢查該包的目的 MAC 地址，核對一下自己的地址表以決定從哪個(gè)端口發(fā)送出去。這個(gè)工作用 ASIC（專用集成電路）芯片來做速度是非?？斓模瑫r(shí)由于它不察看數(shù)據(jù)包里的更多的內(nèi)容，所以無法作出有關(guān)策略方面的判斷，對數(shù)據(jù)流的控制能力不強(qiáng)。傳統(tǒng)路由器工作在第三層上，數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包通過源站點(diǎn)和目的站點(diǎn)的網(wǎng)絡(luò)地址時(shí)被識別，路由技術(shù)可以有效地控制數(shù)據(jù)包，但轉(zhuǎn)發(fā)包的速度太慢，同時(shí)路由器存在價(jià)格高等方面缺點(diǎn)。這種狀況促使業(yè)界不得不去尋找一種新的方法,產(chǎn)生了“升級”技術(shù)第三層交換技術(shù)。第三層交換技術(shù)正是為了解決傳統(tǒng)交換技術(shù)和路由器的缺陷而出現(xiàn)的，三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，第三層交換具有以下特征：1) 執(zhí)行路由處理2) 轉(zhuǎn)發(fā)基于第三層的業(yè)務(wù)流3) 完成交換功能4) 可以完成特殊服務(wù)，如報(bào)文過濾或訪問控制該企業(yè)各部門處于不同的VLAN中，某些部門之間是需要互相訪問的，如果用傳統(tǒng)的路由器來完成VLAN間互訪，所有跨VLAN的數(shù)據(jù)必須通過路由器轉(zhuǎn)發(fā)，路由的高延遲會(huì)引來用戶對網(wǎng)絡(luò)速度的抱怨，不使用三層交換技術(shù)的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴(kuò)大部門間的流量會(huì)更加增多，到時(shí)可能又要投入更多資金更換更貴的路由器，這不符合企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的可擴(kuò)展性原則。在該企業(yè)的網(wǎng)絡(luò)核心層使用三層交換機(jī)，大大增快了網(wǎng)絡(luò)的速度，充分利用了現(xiàn)有資源，降低了網(wǎng)絡(luò)成本，增加了網(wǎng)絡(luò)的可擴(kuò)展性。而且，三層交換機(jī)還可以實(shí)現(xiàn)部分安全機(jī)制，它的訪問列表的功能，可以實(shí)現(xiàn)不同VLAN間的單向或雙向通訊。就像該企業(yè)的財(cái)務(wù)部，它既沒有必要訪問別的部門，出于安全考慮別的部門也不能訪問財(cái)務(wù)部。而經(jīng)理室應(yīng)該可以訪問所有的部門，但是別的部門是不可以訪問他的基于這些不同的訪問需求，可在三層交換機(jī)上配置ACL語句加以限制。該企業(yè)的三層交換機(jī)位于整個(gè)局域網(wǎng)的核心部分，企業(yè)上網(wǎng)的流量、VLAN間的流量、VPN產(chǎn)生的流量全部都要經(jīng)過核心三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，所以核心交換機(jī)的速度與穩(wěn)定性非常重要。冗余鏈路是提高網(wǎng)絡(luò)系統(tǒng)可用性的重要方法。目前的技術(shù)中，以鏈路聚合（Link Aggregation）技術(shù)應(yīng)用最為廣泛。鏈路聚合技術(shù)亦稱主干技術(shù)（Trunking）或捆綁技術(shù)（Bonding），其實(shí)質(zhì)是將兩臺設(shè)備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路，簡單地說就是把多個(gè)端口綁定成一個(gè)虛擬端口。采用鏈路聚合可以提高數(shù)據(jù)鏈路的帶寬，捆綁起來的鏈路的帶寬相當(dāng)于物理鏈路帶寬之和。鏈路聚合中，成員互相動(dòng)態(tài)備份，當(dāng)某一鏈路中斷時(shí)，其它成員能夠迅速接替其工作，這樣就很好的保障了整個(gè)網(wǎng)絡(luò)的穩(wěn)定性。三層交換部分配置摘錄：switch-1(config)#ip routing 啟用交換機(jī)上的IP路由功能switch-1(config)#router rip 指定IP路由協(xié)議為RIPswitch-1(config-router)#network switch-1(config)#int vlan 10 通過使用VLAN接口命令制定虛擬接口switch-1(config-if)#ip address 26 為開發(fā)部VLAN分配IP地址switch-1(config-if)#no shutdown 開啟接口switch-1(config)#int vlan 20switch-1(config-if)#ip address 8 為財(cái)務(wù)部VLAN分配IP地址switch-1(config-if)#no shutdownswitch-1(config)#access-list 1 deny 55switch-1(config)#access-list 1 permit any 配置ACL策略switch-1(config)#int vlan 20switch-1(config-if)#ip access-group 1 in 在財(cái)務(wù)部VLAN進(jìn)入方向?qū)嵤〢CL策略switch-1(config)#interface portchannel 1 創(chuàng)建一個(gè)邏輯端口通道switch-1(config-if)#exitswitch-1(config)#interface gigabitethernet 1/1進(jìn)入千兆端口switch-1(config)#no switchport 轉(zhuǎn)換為三層接口switch-1(config)#no ip address 刪除任何協(xié)議地址switch-1(config)#channel-group 1 mod on 把該端口分配到通道1中3.6 Internet接入及地址轉(zhuǎn)換在完成了企業(yè)內(nèi)部的網(wǎng)絡(luò)設(shè)計(jì)之后，就進(jìn)入了企業(yè)廣域網(wǎng)的設(shè)計(jì)階段，首先就是企業(yè)Internet接入的設(shè)計(jì)?，F(xiàn)今企業(yè)對信息的需求急劇增加，信息量呈指數(shù)增長，通信業(yè)務(wù)也從電話、數(shù)據(jù)向視頻、多媒體等寬帶業(yè)務(wù)發(fā)展。以前的窄帶網(wǎng)絡(luò)已經(jīng)不能滿足企業(yè)寬帶業(yè)務(wù)發(fā)展要求，迫切需要建立一個(gè)高寬帶、業(yè)務(wù)發(fā)展受限制少的寬帶業(yè)務(wù)網(wǎng)。一般現(xiàn)今比較流行的企業(yè)寬帶接入方式有以下幾種：ADSL、DDN、光纖等。在該企業(yè)的Internet接入設(shè)計(jì)部分，我們采用FTTB+LAN的方式。Fiber To The Building(FTTB，光纖到樓)，它是利用數(shù)字寬帶技術(shù)，光纖直接到樓內(nèi)機(jī)房，再通過高速以太網(wǎng)的形式到各個(gè)用戶。FTTB方式將傳統(tǒng)的語音信號和數(shù)據(jù)信號并網(wǎng)而行，是一種性價(jià)比最高的組網(wǎng)方式，采用的是專線接入，無需撥號，安裝簡便，可為用戶提供一個(gè)多媒體網(wǎng)絡(luò)環(huán)境以及低價(jià)高質(zhì)的共享專線上因特網(wǎng)的方式。這種接入方式具有很多優(yōu)勢：網(wǎng)絡(luò)上行下行速度高，而且可擴(kuò)展度高；因?yàn)槭枪饫w出口，所以網(wǎng)絡(luò)可靠、穩(wěn)定；可以使用固定IP，方便建立企業(yè)網(wǎng)站；性價(jià)比高，支持VPN技術(shù)等。我們只要向ISP申請一條光纖接入Internet，把光纖拉到企業(yè)機(jī)房，將光纖接入光纖收發(fā)器或者直接接入帶有光纖口的防火墻和路由器上，再把路由器用雙絞線接到核心交換機(jī)上，然后分散接入到各部門交換機(jī)。這樣，就實(shí)現(xiàn)了兩種不同傳輸介質(zhì)的企業(yè)網(wǎng)絡(luò)的Internet接入方案。在路由器上，我們除了要配置一條靜態(tài)路由器指向ISP之外，我們還需要對內(nèi)網(wǎng)IP地址做一個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換。地址轉(zhuǎn)換最初主要用來解決是IP地址短缺的問題，后來地址轉(zhuǎn)換技術(shù)有了更多的用途，逐漸顯示出它的優(yōu)勢。地址轉(zhuǎn)換設(shè)備提供幾乎無限的地址空間并隱藏內(nèi)部網(wǎng)絡(luò)尋址方案；如果更改了ISP或與另一個(gè)公司合并，則可以保持當(dāng)前的尋址方案，并在地址轉(zhuǎn)換設(shè)備上作任何必要的改變，可使地址管理更容易；它還有一個(gè)顯著的優(yōu)點(diǎn)是允許嚴(yán)格控制進(jìn)入和離開網(wǎng)絡(luò)的流量，更容易實(shí)施安全和商業(yè)策略。地址轉(zhuǎn)換主要分為兩種類型，網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation,NAT）、端口地址轉(zhuǎn)換（Port Address Translation，PAT）。在該企業(yè)的網(wǎng)絡(luò)設(shè)計(jì)中，我們主要用到了PAT技術(shù)。PAT把許多內(nèi)部IP地址轉(zhuǎn)換成一個(gè)單獨(dú)的IP地址，每一個(gè)內(nèi)部地址通過給定一個(gè)不同的端口好來確定轉(zhuǎn)換的唯一性。對于該企業(yè)的各計(jì)算機(jī)我們采用動(dòng)態(tài)PAT技術(shù)進(jìn)行地址轉(zhuǎn)換，讓路由器動(dòng)態(tài)分配端口號給內(nèi)部的計(jì)算機(jī)。而對于該企業(yè)的WEB服務(wù)器，我們采用靜態(tài)PAT技術(shù)，這就相當(dāng)于做了一個(gè)端口映射，使得企業(yè)外部可以訪問到該企業(yè)內(nèi)部的WEB服務(wù)器，即可以訪問到該企業(yè)的網(wǎng)站。PAT配置部分摘錄：Router(config)#access-list 1 permit 55 創(chuàng)建內(nèi)部本地地址Router(config)#ip nat pool nat-pool netmask 創(chuàng)建內(nèi)部全局地址池Router(config)#ip nat inside source list 1 pool nat-pool overload 加入overload實(shí)現(xiàn)PAT轉(zhuǎn)換，全部本地地址共用一個(gè)外部地址Router(config)#int FastEthernet0/0Router(config-if)#ip nat inside 把fe0/0口配置為內(nèi)部接口Router(config)#int FastEthernet0/1Router(config-if)#ip nat outside 把fe0/1口配置為外部接口3.7 VPN服務(wù)器設(shè)置用戶撥入并授權(quán)為了讓遠(yuǎn)程客戶能夠訪問域中的資源，我們在域控制器上為遠(yuǎn)程用戶建立帳戶，并賦予訪問權(quán)限。隨著企業(yè)的收購和合并愈演愈烈，再加上企業(yè)自身的發(fā)展壯大與國際化，每家企業(yè)的分支機(jī)構(gòu)不僅越來越多，而且它們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為突出。以前各分支機(jī)構(gòu)互訪所采用的常規(guī)方法是租用專線，這樣的連接方式一則要支付昂貴的通信費(fèi)用，再則缺乏靈活性，對于企業(yè)地理位置的改變不能很好地適應(yīng)。隨著企業(yè)業(yè)務(wù)和自身應(yīng)用需求的發(fā)展，企業(yè)之間的合作及企業(yè)與客戶之間的聯(lián)系也日趨緊密，且這些合作和聯(lián)系都是動(dòng)態(tài)的，總是處于變化和發(fā)展中，這種關(guān)系也需要靠網(wǎng)絡(luò)來維持和加強(qiáng)。雖然Internet為企業(yè)廣域網(wǎng)連接提供了物質(zhì)基礎(chǔ)，并且TCP/IP協(xié)議為網(wǎng)絡(luò)的互聯(lián)提供了極大的靈活性。但I(xiàn)nternet有一個(gè)致命的弱點(diǎn)，那就是它的安全性。在Internet上傳輸?shù)臄?shù)據(jù)都是采用明文傳輸?shù)?，這就給一些非法用戶以可乘之機(jī)，從而出現(xiàn)目前經(jīng)常遇到的如：偽裝欺騙、消息竊聽、對話插隊(duì)、拒絕服務(wù)等網(wǎng)絡(luò)安全隱患。由此看來，Internet是一個(gè)開放的、不安全的網(wǎng)絡(luò)，要想在這樣一個(gè)不安全的網(wǎng)絡(luò)上實(shí)現(xiàn)敏感數(shù)據(jù)的安全傳輸，就需要采用一些安全技術(shù)。在這樣的背景下，一種基于公用網(wǎng)絡(luò)的動(dòng)態(tài)、安全的連接解決方案就成為時(shí)代之需，VPN就是這樣一種網(wǎng)絡(luò)連接技術(shù)。VPN技術(shù)的成功引入可以從根本上滿足企業(yè)用戶的低通信費(fèi)和高靈活性的雙重需求，更重要的是它可以提供與專線相媲美的通信安全保障，是一種非常廉價(jià)、安全、靈活自如的遠(yuǎn)程網(wǎng)絡(luò)接入解決方案。虛擬專用網(wǎng)(Virtual Private Network, VPN)是指在公共通信基礎(chǔ)設(shè)施上構(gòu)建的虛擬專用網(wǎng)，可以被認(rèn)為是一種從公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò)，它與真實(shí)網(wǎng)絡(luò)的差別在于VPN以隔離方式通過共享公共通信基礎(chǔ)設(shè)施，提供了不與VPN網(wǎng)外用戶共享互聯(lián)點(diǎn)的排他性網(wǎng)絡(luò)通信環(huán)境。圖3.4 VPN拓?fù)鋱D按VPN應(yīng)用的類型來分，VPN應(yīng)用業(yè)務(wù)大致可分為三類：Intranet VPN、Access VPN與Extranet VPN，一般的情況下企業(yè)需要同時(shí)用到這三種VPN。Access VPN是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)建的虛擬網(wǎng)。Intranet VPN指企業(yè)的總部與分支機(jī)構(gòu)間通過VPN虛擬網(wǎng)進(jìn)行網(wǎng)絡(luò)連接。Extranet VPN即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。VPN具體實(shí)現(xiàn)形式多種多樣，但都基于一種稱作安全或者加密的隧道技術(shù)。這種技術(shù)可以用來提供網(wǎng)絡(luò)到網(wǎng)絡(luò)，主機(jī)到主機(jī)，或者主機(jī)到網(wǎng)絡(luò)的安全連接。所謂隧道，實(shí)質(zhì)上是一種封裝，它通過將待傳輸?shù)脑夹畔?協(xié)議x)經(jīng)過加密和協(xié)議封裝處理后再嵌套裝入另一種協(xié)議(協(xié)議Y)的數(shù)據(jù)包送入網(wǎng)絡(luò)中，像普通數(shù)據(jù)包一樣進(jìn)行傳輸，實(shí)現(xiàn)跨越公共網(wǎng)絡(luò)傳送私有數(shù)據(jù)包的目的。這里協(xié)議X稱為被封裝協(xié)議，協(xié)議Y稱為封裝協(xié)議，封裝時(shí)一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般封裝形式為(協(xié)議Y(隧道協(xié)議(協(xié)議X)在實(shí)現(xiàn)基于Internet的VPN時(shí)，我們使用的封裝協(xié)議為IP協(xié)議，相應(yīng)的隧道協(xié)議稱為IP隧道協(xié)議，其封裝形式為(IP隧道協(xié)議(協(xié)議x)。目前IP網(wǎng)上較為常見的隧道協(xié)議大致有兩類:第二層隧道協(xié)議(包括PPTP, L2TP)和第三層隧道協(xié)議(包括GRE、IPSec, MPLS)，它們的比較如下圖：圖3.5 兩內(nèi)隧道協(xié)議對比根據(jù)比較可以看出L2TP等二層隧道協(xié)議適用于用戶遠(yuǎn)程撥號上網(wǎng)訪問遠(yuǎn)端總部資源;MPLS適用于骨干網(wǎng)絡(luò)上大型企業(yè)的多分支機(jī)構(gòu)建立自己私有專用網(wǎng)絡(luò)，雖然具備Qos等其他協(xié)議所不具備的特性，但對用戶設(shè)備要求比較高，而且目前還在完善中。IPSec協(xié)議是第三層的隧道協(xié)議，IPSec在IP層上對數(shù)據(jù)包進(jìn)行安全處理，提供數(shù)據(jù)源、無連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限數(shù)據(jù)流機(jī)密性等安全服務(wù)。各種應(yīng)用程序可以享用IP層提供的安全服務(wù)和密鑰管理，而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制，因此減少密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可能性。因此，IPSec成為實(shí)現(xiàn)VPN的一種重要的方法，非常適用現(xiàn)有的網(wǎng)絡(luò)狀況，是中小型網(wǎng)絡(luò)的首選方式?？紤]到該企業(yè)的組網(wǎng)規(guī)模以及安全需求，我們也采用IPSec協(xié)議族組建VPN內(nèi)聯(lián)網(wǎng)。根據(jù)VPN的應(yīng)用平臺可分為三類：軟件平臺、硬件平臺、軟硬件結(jié)合平臺。軟件VPN一般性能較差，適用于對數(shù)據(jù)連接速率較低要求不高，性能和安全性要求不強(qiáng)的小型企業(yè)。硬件VPN雖然有高速率高數(shù)據(jù)安全及通信性能的優(yōu)點(diǎn)，但是它成本太高，中小型企業(yè)很難承受，通常是對于專業(yè)的VPN網(wǎng)絡(luò)服務(wù)提供商來說選擇這一平臺較為合適。軟硬結(jié)合VPN這種平臺是最為通用的一種方式，它既具備了硬件平臺的高性能、高安全性、同時(shí)也具有軟件平臺的靈活性，是目前絕大多數(shù)企業(yè)選用的VPN方案。對于我們要設(shè)計(jì)的這家企業(yè)來說，采用軟硬件結(jié)合的這種VPN方式最適合不過了。軟硬件結(jié)合VPN也需要硬件方案的支持，目前主要有集中器、交換機(jī)、路由器、網(wǎng)關(guān)和防火墻等VPN方案。其中防火墻VPN方案是目前應(yīng)用最廣的一種VPN方案，它的優(yōu)勢主要體現(xiàn)在它的安全性方面，這一點(diǎn)從它的方案名稱可以看出，它是采用防火墻設(shè)備作為VPN通信的主要設(shè)備，在傳統(tǒng)的防火墻設(shè)備中嵌入VPN技術(shù)，就是的原來不是VPN這樣的邏輯上一體的網(wǎng)絡(luò)之間通信成為可能。對于該企業(yè)的內(nèi)聯(lián)網(wǎng)構(gòu)建，我們只要購買兩臺支持IPSec隧道協(xié)議的VPN防火墻，安裝在總公司和分公司兩個(gè)網(wǎng)絡(luò)邊界，然后對兩臺VPN防火墻進(jìn)行相關(guān)配置，當(dāng)建立起VPN連接后，這時(shí)總公司與分公司就相當(dāng)于處于同一個(gè)局域網(wǎng)中，這些