远程接入企业网络规划与设计论文

. . . . 毕 业 设 计（论 文）远程接入企业网络规划与设计28 / 28毕业设计论文中文摘要随着Internet技术的日益普与，网络技术的飞速发展，企业信息化工作越来越受到重视，进入二十一世纪后，企业信息化不再满足于个人或单个部门的少量计算机应用，而逐步过渡到多部门、整个企业甚至跨企业跨地域的大量计算机的协同工作，因此我们需要把这些计算机用网络联系起来，这也就是我们所说的企业网。本文是对某IT企业的一个企业网络规划设计的解决方案，文章首先分析了企业网络的设计需求，根据需求提出了设计原则与设计目标，制定了总体的规划设计方案，然后再分层次具体地对该企业的局域网和广域网进行设计，在该方案中，我们采用了VLAN、三层交换、千兆交换、光纤接入、VPN等先进网络技术，基本满足了该企业的需求，并留有足够的扩充空间，以适应今后发展。关键词 企业网络规划设计远程接入 VPN毕业设计论文外文摘要Title Planning and design of Remote Access enterprise network AbstractAs the technology of internet increasingly popularizes, it is getting more and more important that the technology of net develops at full speed, and the work of enterprise is informational. Now it is the twenty-first century, the informational enterprise cant just be satisfied by the using of few computers in single person or department, it has to change into coordination of large quantity ones in more departments like the whole enterprise step by step, even in trans-enterprise or trans-district. This thesis is a design project for solution to the net in one IT enterprise. First, it analyzes the needs of design for the enterprise according to which it puts forward the design principle and aim and formulates the scheme of the whole design project. Secondly, it designs the internet particularly in different aspects. In this scheme, it uses advance technology of internet, for instance, VLAN, exchange of three layers, thousand-trillion switching, optical fiber receiving, VPN and so on, to basically meet the needs of the enterprise and save enough room for expanding to adapt to the development henceforward.Keywords enterprise network、Planning and Design、Remote Access、VPN目 次1 引言42 概述52.1企业概况分析52.2企业网络设计需求分析63网络总体规划73.1企业网络设计目标73.2企业网络设计原则73.3网络设计相关协议说明84网络具体规划与设计104.1企业网络拓扑结构设计104.2 IP地址规划124.3基于VLSM的子网划分134.4VLAN规划154.5三层交换技术与链路聚合的应用164.6Internet接入设计与地址转换技术应用184.7VPN远程接入设计204.8设备选型24致28参考文献291 引言目前，对于国的部分企业而言，计算机技术的应用很大程度上还只是停留在单机应用的水平上，应用软件也只是办公软件和简单的数据库应用。但是，随着计算机网络技术不断发展与普与、企业信息化的逐步深入和企业自身发展需求日益增大，在充分利用现有资源、不需要很大投资的基础上，构建适合自身情况、满足实际需求的网络系统是非常必要的，也是切实可行的社会进入信息时代后，要求企业用信息技术来强化企业的管理、生产和经营，而企业要创造更多的经济效益就必须借助信息技术来提高企业的生产效率和管理水平，这不但适用于大型企业，对占相当比重的中小企业同样适用。网络技术的发展使得网络建设从基础架构到维护和管理都变得十分简单和智能，丰富的网络产品线和不断降低的价格，可以让中小企业根据自身的情况，按照实际的经济条件来构建自己的网络，用于网络建设的投资对于企业而言不再成为一个负担。各自为战的单机应用逐步暴露出现有资源利用率低、信息冗余大等问题，而解决这些问题的惟一途径就是建设一个满足应用需求的网络系统来实现资源的共享。一个成功的企业不仅要了解世界，还要让世界知道自己。实现这个目标的最佳途径就是要利用Internet。通过Internet，企业不仅可以获得大量的有价值的信息，同时也可以将企业的信息通过Internet发布到世界各地。因此，企业进行计算机网络的建设，不仅是信息社会发展的要求，也是自身发展所必须的。2 概述企业网络指的是具有一定规模的网络系统，它可以是单座建筑物的局域网，可以是覆盖一个园区的园区网，还可以是跨地区的广域网，其覆盖围可以是几公里、几十公里、几百公里，甚至更广。狭义的企业网主要指大型的工业、商业、金融、交通企业等各类公司和企业的计算机网络；广义的企业网则包括各种科研、教育部门和政府部门专有的信息网络。我国的企业网络建设经过了单机应用阶段，目前正处在Internet应用热潮中。但从目前情况看国相当多的企业还处于网络初步应用阶段，其具有以下特点：1应用水平较低，分散且不一致。企业网络缺乏整体性的设计，没有统一的标准，在业务互相衔接的应用系统之间缺乏一致性2应用者的整体水平比较低，缺乏对计算机和网络全面的认识，难以接受将计算机作为一种工作方式3信息部门处于边缘性地位，综合实力较低，地位较低，给信息技术的应用带来了相当大的难度。2.1企业概况分析假设我们要设计的是一个中型的IT企业的网络，该企业分为一个总公司和一家分公司，共有员工292人。总公司193人，分8个部门，包括人事部、开发部、财务部、商务部、工程部、业务部、信息中心、经理部。人事部23人，开发部57人，财务部7人，商务部18人，工程部47人，业务部32人，信息中心5人，经理部4人。分公司99人，部门结构与总公司一致，人事部12人，开发部34人，工程部20人，财务部3人，业务部16人，信息中心3人，商务部9人，经理部2人。每人都配有一台个人电脑。由于公司规模的扩大，为了提高工作效率、公司知名度、公司效益以与管理水平，该企业决定投资重新建设完善的企业网络。2.2企业网络设计需求分析 网络需求分析就是根据企业信息技术应用要求和企业的业务发展需求，结合企业现有设备状况和人员素质，较为全面地调查和分析企业在信息技术方面的技术需求，然后从网络建设的角度，将这些需求转换成构造网络系统以与网络系统能够提供服务的需求。在网络需求分析过程中，网络系统用户往往从系统外部关注整个网络系统的功能和性能，而网络设计者往往从网络系统部关注整个网络系统的技术和结构。因此，如何正确地将用户对网络系统功能和性能的需求转换成对网络系统技术和结构的需求并给予量化表示是网络需求分析的关键。经过对该公司各个部门职能的分析以与调研，将系统需求归纳为如下几点：1）在该企业的总公司以与分公司各建立一个新的计算机网络基础设施，将该企业现有计算机以与外设连在一起工作。服务器、连接设备、综合布线等统一购买和配置，客户机应利用现有各部门的计算机，以保护原有投资和不影响正常工作。2）该网络系统能实现资源共享，包括软件共享，文件共享，打印机共享。在外工作的员工可以透过internet安全访问企业资源，远程办公。3）能高速接入Internet进行工作，收发，浏览网页查找资料。建立企业对外，提供一个对外宣传的平台，提高企业知名度。4）网络管理：控制不同权限的员工使用Internet的方式和围，限制普通员工利用公司网络进行业务无关的活动。5）安全性：对不同部门之间的相互访问作限制，防止非法访问，保护商业。预防计算机病毒，尽可能把病毒感染的几率降到最低。使用防火墙，防止来自互联网上的入侵，保障企业资源的安全。6）可扩展性：考虑到企业的发展与以后规模的扩大，企业网络设计需预留扩展空间，以便今后的网络改造。3网络总体规划网络规划是对拟建网络的初步设计，应该遵循网络设计的一般原则和方法，并提出相应的解决方案为后续的设计和实现工作的依据。网络总体规划反映了网络设计“总体规划、分布实施”的网络建设原则，是从网络需求分析到网络具体设计之间必经的阶段，网络规划通过对企业网络需求的调查、分析、归纳，把企业现在和未来对网络的需求转换成对网络结构、功能、性能、协议等技术指标的具体要求。3.1企业网络设计目标 该IT企业网络建设的目标，就是在总公司和分公司分别建设局域网，将互联网技术引入企业部网，使用远程接入技术将公司与分公司之间连接起来，并使在外员工可随时接入公司网络，从而建立起统一、快捷、高效的中型Intranent系统，整个系统在安全、可靠、稳定的前提下，符合经济的原则，即实现合理的投入，最大的产出。总体设计如下： 1）以千兆以太网为主干网，利用第三层交换技术实现大型局域网的VLAN的划分。规划中服务器、信息中心采用千兆，与中心主交换机连接，其他部门采用100M网卡通过其他二级交换机接入主干网。 2）网络通过光纤接入 Internet/ChinaNET，在公网上建立虚拟专用网(VPN)；通过采用 Web 技术和 Internet-VPN 技术以与信息加密技术实现电子商务。这样，可以提供远程拨号访问和通过Internet 访问两种方式，来实现全国各分支机构、相关部门以与公众对公司信息的限制性访问。3）网络的安全机制：（1） 通过对网络设备的配置，控制访问列表等方式来加强网络的安全性措施；（2） 更重要的是，在部网与公众网的结合处，采用先进的防火墙技术、代理服务器技术、以与 Web 服务器的口令验证、数据加密等技术实现网络的安全性4）网络中心设立 WEB 应用服务器、E-MAIL 服务器、DNS 服务器、数据库服务器、文件服务器，实现 WEB 访问、Internet接入、E-MAIL 系统、域名解析、应用系统等各种功能。3.2企业网络设计原则1）实用性原则。计算机设备、服务器设备和网络设备在技术性能逐步提升的同时，其价格却在逐年下降。因此，不可能也没有必要实现所谓“一步到位”。所以，网络方案设计中应把握“够用”和“实用”原则。网络系统应采用成熟可靠的技术和设备，达到实用、经济和有效的目的。2）前瞻性原则。在实用的基础上还可以具有一定的前瞻性，在网络结构上要做到能适应较长时期企业和网络技术的发展，不要在网络刚组建不久就发现很难实现某些较新的应用，或者根本不能应用目前的一些主流软件，这样势必造成企业网络资源的浪费。3）开放性原则。网络系统应采用开放的标准和技术，如TCP/IP协议、IEEE802系列标准等。其目标首先是要有利于未来网络系统的扩充，其次还要有利于在需要时与外部网络互通。4）可靠性原则。作为一个具有一定规模的中型企业。企业的网络不允许有异常情况发生，因为一旦网络发生异常情况，就会带来很大的损失。在这样的网络中，就要尽量使用冗余备份，当某个网络设备故障时，网络还可以零间断地继续工作，这样就很好的保障了企业网络的可靠性。5）安全性原则。在企业网的设计中，安全性的设计是很重要的。每家企业都有自己的商业，如果这些被窃取，后果是不堪设想的。企业必须保护其网络系统，以避免受外来恶意性入侵，但也必须保留足够空间，使其主要经营之业务能顺利运作。倘若安全性系统保护企业免受病毒与骇客攻击，但却阻挠其服务客户与迈向电子商务脚步，那么此系统就已超越其权限了。网络安全应是永远以能符合企业经营目标的最大利益为优先考量。6）可管理性原则。网络管理员能够在不改变系统运行的情况下对网络进行调整，不管网络设备的物理位置在何处，网络都应该是可以控制的。7）可扩展性原则。网络总体设计不仅要考虑到近期目标，也要为企业以与网络的进一步发展留有余地。因此，需要统一规划和设计。网络系统应在规模和性能两方面具有良好的可扩展性。由于目前网络产品标准化程度较高，因此可扩展性要求基本不成问题。3.3网络设计相关协议说明网络协议是需要通信的计算机之间共同遵循的数据结构、语义和操作规则。网络协议常采用分层的体系结构。各协议层互相独立，下层提供上层某项功能的服务（一般有面向连接和无连接两类），上层利用该功能再向上提供更完善的服务。目前，主要的协议体系结构有OSI族和TCP/IP族。它们的参考模型与各层的对应关系如图所示。OSI协议族OSI（开放系统互联参考模型）协议族是国际标准化组织（ISO）建议并主持制定的有广泛影响的网络互联协议。1）物理层是第一层，它决定设备之间的物理接口以与在传输介质上比特传送的规则。2）数据链路层是第二层，它的主要任务是加强物理层传输比特的可靠性。3）网络层是第三成，它的主要功能是利用数据链路层所保证的邻接节点之间的无差错数据传输功能，通过路由选择和中继功能，实现两个端系统之间的连接。4）传输层是第四层，它利用下三层所提供的网络服务向高层提供可靠的端到端的透明数据传输。5）会话层是第五层，它提供一种经过组织的方法在用户之间交换数据。6）表示层是第六层，它把上层交付的信息变换为能够共同理解的形式，它关心的是所传输的信息的语法和语义，它只对应用层信息的形式进行变换，但不改变信息容本身。7）应用层是第七层，它的功能是提供应用进程（用户程序）之间信息交换的基本任务。TCP/IP协议族TCP/IP协议族是广泛应用于计算机互联的业界标准。该协议族是一组独立的协议的集合，其中最主要的是TCP协议和IP协议。TCP/IP协议族亦采用层次化的结构模型，共包括四个层次1）硬件接口层，TCP/IP协议族没有具体定义硬件层，因而它对各种各样的网络硬件具有高度的适应性，这正式它的成功之处。2）网络层，它的主要功能是定义信息包（IP数据包）并处理信息包的路由选择。该层的主要协议有：IP、ARP、RARP。3）传输层。它提供端到端的数据传输服务。该层的主要协议有：TCP、UDP。4）应用层。它由使用网路的应用程序和进程组成。该层最接近用户，主要协议有SMTP、DNS、FTP、TELNET。OSI强调的是如何把开放式系统连接起来的，它是一个理论上的参考模型。而TCP/IP框架包含了大量的协议和应用，他虽然不是ISO标准，但一致于ISO的OSI参考模型制定，并在不断发展过程中吸收了OSI模型中的概念与特征，它的使用已经越来越广泛，几乎成为“事实上的标准”，著名的Internet就是基于TCP/IP协议族的。4网络具体规划与设计 在总体上规划好企业网络之后，就要进入具体设计的阶段，这也是网络设计的最重要的环节。在这个阶段，要对该企业网络的拓扑结构、IP地址规划、子网划分、Internet接入等方面进行详细的规划与设计。4.1企业网络拓扑结构设计所谓拓扑是一种研究与大小、距离无关的几何图形特性的方法。网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式，网络中各站点相互连接的方法和形式称为网络拓扑。拓扑图给出网络服务器、工作站的网络配置和相互间的连接，它的结构主要有星型结构、总线结构、树型结构、网状结构、蜂窝状结构、分布式结构等。不同的连接方法网络的性能不同，局域网拓扑结构通常分为3种，分别是总线型、星型和环型。该企业局域网网络主要采用了星型的拓扑结构，因为企业规模不大，所以在设计上只划分了两层来设计：核心层和接入层。总公司的工作站大约为200人，考虑到规模较大而且该总公司的业务比较重要，核心层的设计上采用了两台千兆三层交换机作一个冗余备份，在这两台三层交换机之间作链路聚合，就算其中一个核心交换机当机，也可以保证网络的瞬间恢复，大大增加了网络的可靠性。分公司由于规模较小，考虑到企业网络设计上的实用性与经济性原则，核心层的设计只使用一台千兆三层交换机。而在接入层的设计上，总分公司都使用多台二层交换机，100兆到桌面。服务器选择摆放在信息中心，以便管理。为了防止企业外部对的攻击，在路由器外部安装硬件防火墙。总公司网络拓扑图分公司网络拓扑图4.2 IP地址规划每台计算机、服务器、或者路由器的接口都有一个由授权机构分配的，我们称它为IP地址。TCP/IP协议规定，根据网络规模的大小将IP地址分为5类（A、B、C、D、E）：A类1.0.0.0126.0.0.0B类128.0.0.0191.255.0.0C类192.0.0.0223.255.255.0D类224.0.0.0239.255.255.255虽然有这么多IP地址，但是这些IP地址我们是不能随便用的，大多数的地址都被互联网专业机构注册并指定，在IP地址日益匮乏的今天，企业一般只能申请到几个公网地址。但是有部分的IP地址被特别区分出来用作私有网络使用，它们被称为私有IP地址：A类：10.0.0.0 10.255.255.255B类：172.16.0.0 172.31.255.255C类：192.168.0.0 192.168.255.255该企业只有一个公网IP，考虑到网计算机终端数量不多，该企业局域网IP使用C类私有地址进行分配。对于局域网的 IP 地址分配问题，用户规模越大，管理工作就越困难，必须深思加以解决。目前一般来说有两种分配方案，一是使用动态 IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强 MAC 地址的管理。用动态 IP 地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为 IP 地址是动态分配的，网管员不能从 IP 地址上鉴定客户的身份，相应的 IP 层管理将失去作用。而且使用动态 IP 地址分配需要设置额外 DHCP 服务器。使用静态 IP 地址分配可以对各部门进行合理的 IP 地址规划，能够在第三层上方便地跟踪管理，再加上对网卡 MAC 地址的管理，网络就会具有更好的可管理性。但如果网络规模较大，则 IP 地址管理的工作量就相当大。综合以上考虑，由于该企业的规模不是很大，因此从网络安全的角度出发，采用静态地址分配的方法。并结合核心交换机的第三层交换功能，进行子网的划分，一方面可以降低网络风暴的发生，另一方面也加强了网络的安全性。但当随着以后企业规模的不断扩大发展，整个网络信息的规模不断扩大，则可以考虑采用 DHCP 动态 IP 地址分配的方案，设立专门的 DHCP 服务器进行动态 IP 地址分配。同样可以基于中心交换机的 VLAN 功能进行配置，划分网段，根据各个二级单位信息点所在的网段进行动态地址分配。4.3基于VLSM的子网划分该企业总公司有193人，分公司有99人。如果分别把各自所有的主机放到一个子网里，对企业的安全性管理极为不利，而且如果有站点更新（计算机的配置调整或增减计算机）或发生故障，大量的广播数据会严重影响网络的整体性能。因此必须对这些主机进行子网划分控制广播域的规模。VLSM(Variable Length Subnet masks)变长子网掩码，是在标准的掩码上面再划分的子网的网络，不同子网的子网掩码可能有不同的长度，但一旦子网掩码的长度确定了，它们就不变了，这个技术对于高效分配IP地址。由于该企业人数不多，如果给每个子网分配一个C类地址，就会造成IP地址的浪费，所以要采用可变长子网掩码技术对该企业局域网进行子网划分。该企业的子网是按照部门来划分的，基于可扩展性的原则，除了满足每个部门都能分到足够的IP地址外，还要为以后的人事调动、部门扩展等留有冗余的IP，否则可能会由于一些很小的人事变化就得重新划分子网。考虑到总公司与分公司之间要通过VPN技术远程互联，所以总公司与分公司的网IP不能有重复。总公司子网划分部门子网网络号子网掩码网关开发部192.168.0.0255.255.255.128192.168.0.126工程部192.168.0.128255.255.255.192192.168.0.190业务部192.168.0.192255.255.255.192192.168.0.253人事部192.168.1.0255.255.255.224192.168.1.30商务部192.168.1.32255.255.255.224192.168.1.62财务部192.168.1.64255.255.255.240192.168.1.78信息中心192.168.1.80255.255.255.240192.168.1.94经理部192.168.1.96255.255.255.240192.168.1.110分公司子网划分部门子网网络号子网掩码网关开发部192.168.2.0255.255.255.192192.168.2.62工程部192.168.2.64255.255.255.224192.168.2.94业务部192.168.2.96255.255.255.224192.168.2.126人事部192.168.2.128255.255.255.224192.168.2.158商务部192.168.2.160255.255.255.240192.168.2.174财务部192.168.2.176255.255.255.248192.168.2.182信息中心192.168.2.184255.255.255.248192.168.2.190经理部192.168.2.192255.255.255.248192.168.2.1984.4VLAN规划VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着一样需求的计算机工作站，与物理上形成的LAN有着一样的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有一样的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播围，并能够形成虚拟工作组，动态管理网络。我们已经为该企业划分了子网，不同的部门在不同的子网里，子网与子网之间不能访问，也控制了广播域太大的问题。这样看来好像不必要再划分VLAN了，其实不然，因为这样只作子网划分是存在安全性问题的。局域网的任何用户只要稍微修改一下IP与子网掩码就可以访问到该企业的任何部门了。所以，我们必须在交换机上划分好VLAN，这样，只要加强对交换机的保护，不让一般员工改变交换机的配置，就算他们更改自己电脑的IP和子网掩码也无法访问到其它部门了。VLAN有几种不同的划分方法：1.根据端口来划分VLAN。2.根据MAC地址划分VLAN。3.根据网络层划分VLAN。4.根据IP组播划分VLAN。该企业的VLAN我们采取根据端口来划分，这种划分方式是现在最常用的。只要把同一个部门的端口全部划分进同一个VLAN就行了，而且还可以进行跨交换机的端口VLAN划分，也就是说不同交换机上的端口也可以在同一个VLAN里，这样VLAN的划分就不必要受到物理空间的限制，具有很好的灵活性。今后如果有人事调动或者部门扩充，只要在交换机上作相应的配置就可以了。处理VLAN时，交换机端口支持两种连接类型：接入链路（access link）与中继（trunk）。接入链路连接只能与单个VLAN相关，任何连接到该端口的任何设备将会在一样的广播域中。与接入链路不同，中继连接能为多个VLAN传送流量。中继链路一般在特点的设备之间，包括交换机到交换机，交换机到路由器，交换机到文件服务器等。在该企业的VLAN端口配置中，各接入层的二层交换机与核心层的三层交换机之间的链路要配置成trunk链路，其他端口配置成access链路，这样VLAN信息就可以在各二层交换机之间传递，不同交换机但是同一个VLAN的用户就可以相互访问了。VLAN部分配置摘录：switch-1(config)#vlan 10 创建一个vlan（开发部）switch-1(config-vlan)#name kaifabu 为此vlan取名switch-1(config-vlan)#exitswitch-1(config)#int fa0/1 进入一个快速以太端口配置switch-1(config-if)#switchport mode access 把该接口配置为access链路switch-1(config-if)#switchport access vlan 1 把该端口加入vlan1switch-1(config-if)#exitswitch-1(config)#int gig 2/1 进入千兆端口switch-1(config-i#switch mode trunk 把该端口配置为trunk链路4.5三层交换技术与链路聚合的应用传统的以太网交换机工作在 OSI 模型的第二层上，数据流中的每个数据包通过源站点和目的站点的 MAC 地址时被识别。传统局域网交换机只在介质访问层（mac）处理数据包。它可理解网络协议的第二层如 MAC 地址等。交换机在操作过程中不断的收集资料去建立它本身的地址表，当交换机接收到一个数据包时，它会检查该包的目的 MAC 地址，核对一下自己的地址表以决定从哪个端口发送出去。这个工作用 ASIC（专用集成电路）芯片来做速度是非常快的，但同时由于它不察看数据包里的更多的容，所以无法作出有关策略方面的判断，对数据流的控制能力不强。传统路由器工作在第三层上，数据流中的每个数据包通过源站点和目的站点的网络地址时被识别，路由技术可以有效地控制数据包，但转发包的速度太慢，同时路由器存在价格高等方面缺点。这种状况促使业界不得不去寻找一种新的方法,产生了“升级”技术第三层交换技术。第三层交换技术正是为了解决传统交换技术和路由器的缺陷而出现的，三层交换技术是在网络模型中的第三层实现了数据包的高速转发，第三层交换具有以下特征：1) 执行路由处理2) 转发基于第三层的业务流3) 完成交换功能4) 可以完成特殊服务，如报文过滤或访问控制该企业各部门处于不同的VLAN中，某些部门之间是需要互相访问的，如果用传统的路由器来完成VLAN间互访，所有跨VLAN的数据必须通过路由器转发，路由的高延迟会引来用户对网络速度的抱怨，不使用三层交换技术的话，唯一的解决方法是添置昂贵的路由器，而随着日后企业不断扩大部门间的流量会更加增多，到时可能又要投入更多资金更换更贵的路由器，这不符合企业网络设计的可扩展性原则。在该企业的网络核心层使用三层交换机，大大增快了网络的速度，充分利用了现有资源，降低了网络成本，增加了网络的可扩展性。而且，三层交换机还可以实现部分安全机制，它的访问列表的功能，可以实现不同VLAN间的单向或双向通讯。就像该企业的财务部，它既没有必要访问别的部门，出于安全考虑别的部门也不能访问财务部。而经理室应该可以访问所有的部门，但是别的部门是不可以访问他的基于这些不同的访问需求，可在三层交换机上配置ACL语句加以限制。该企业的三层交换机位于整个局域网的核心部分，企业上网的流量、VLAN间的流量、VPN产生的流量全部都要经过核心三层交换机进行转发，所以核心交换机的速度与稳定性非常重要。冗余链路是提高网络系统可用性的重要方法。目前的技术中，以链路聚合（Link Aggregation）技术应用最为广泛。链路聚合技术亦称主干技术（Trunking）或捆绑技术（Bonding），其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路，称为一条聚合链路，简单地说就是把多个端口绑定成一个虚拟端口。采用链路聚合可以提高数据链路的带宽，捆绑起来的链路的带宽相当于物理链路带宽之和。链路聚合中，成员互相动态备份，当某一链路中断时，其它成员能够迅速接替其工作，这样就很好的保障了整个网络的稳定性。三层交换部分配置摘录：switch-1(config)#ip routing 启用交换机上的IP路由功能switch-1(config)#router rip 指定IP路由协议为RIPswitch-1(config-router)#network 192.168.0.0switch-1(config)#int vlan 10 通过使用VLAN接口命令制定虚拟接口switch-1(config-if)#ip address 192.168.0.126 255.255.0.0为开发部VLAN分配IP地址switch-1(config-if)#no shutdown 开启接口switch-1(config)#int vlan 20switch-1(config-if)#ip address 192.168.1.78 255.255.0.0为财务部VLAN分配IP地址switch-1(config-if)#no shutdownswitch-1(config)#access-list 1 deny 192.168.0.0 0.0.255.255switch-1(config)#access-list 1 permit any 配置ACL策略switch-1(config)#int vlan 20switch-1(config-if)#ip access-group 1 in 在财务部VLAN进入方向实施ACL策略链路聚合部分配置摘录：switch-1(config)#interface portchannel 1 创建一个逻辑端口通道switch-1(config-if)#exitswitch-1(config)#interface gigabitethernet 1/1进入千兆端口switch-1(config)#no switchport 转换为三层接口switch-1(config)#no ip address 删除任何协议地址switch-1(config)#channel-group 1 mod on 把该端口分配到通道1中4.6Internet接入设计与地址转换技术应用在完成了企业部的网络设计之后，就进入了企业广域网的设计阶段，首先就是企业Internet接入的设计。现今企业对信息的需求急剧增加，信息量呈指数增长，通信业务也从、数据向视频、多媒体等宽带业务发展。以前的窄带网络已经不能满足企业宽带业务发展要求，迫切需要建立一个高宽带、业务发展受限制少的宽带业务网。一般现今比较流行的企业宽带接入方式有以下几种：ADSL、DDN、光纤等。在该企业的Internet接入设计部分，我们采用FTTB+LAN的方式。Fiber To The Building(FTTB，光纤到楼)，它是利用数字宽带技术，光纤直接到楼机房，再通过高速以太网的形式到各个用户。FTTB方式将传统的语音信号和数据信号并网而行，是一种性价比最高的组网方式，采用的是专线接入，无需拨号，安装简便，可为用户提供一个多媒体网络环境以与低价高质的共享专线上因特网的方式。这种接入方式具有很多优势：网络上行下行速度高，而且可扩展度高；因为是光纤出口，所以网络可靠、稳定；可以使用固定IP，方便建立企业；性价比高，支持VPN技术等。我们只要向ISP申请一条光纤接入Internet，把光纤拉到企业机房，将光纤接入光纤收发器或者直接接入带有光纤口的防火墙和路由器上，再把路由器用双绞线接到核心交换机上，然后分散接入到各部门交换机。这样，就实现了两种不同传输介质的企业网络的Internet接入方案。在路由器上，我们除了要配置一条静态路由器指向ISP之外，我们还需要对网IP地址做一个网络地址转换。地址转换最初主要用来解决是IP地址短缺的问题，后来地址转换技术有了更多的用途，逐渐显示出它的优势。地址转换设备提供几乎无限的地址空间并隐藏部网络寻址方案；如果更改了ISP或与另一个公司合并，则可以保持当前的寻址方案，并在地址转换设备上作任何必要的改变，可使地址管理更容易；它还有一个显著的优点是允许严格控制进入和离开网络的流量，更容易实施安全和商业策略。地址转换主要分为两种类型，网络地址转换（Network Address Translation,NAT）、端口地址转换（Port Address Translation，PAT）。在该企业的网络设计中，我们主要用到了PAT技术。PAT把许多部IP地址转换成一个单独的IP地址，每一个部地址通过给定一个不同的端口好来确定转换的唯一性。对于该企业的各计算机我们采用动态PAT技术进行地址转换，让路由器动态分配端口号给部的计算机。而对于该企业的WEB服务器，我们采用静态PAT技术，这就相当于做了一个端口映射，使得企业外部可以访问到该企业部的WEB服务器，即可以访问到该企业的。PAT配置部分摘录：Router(config)#access-list 1 permit 192.168.0.0 0.0.255.255创建部本地地址池Router(config)#ip nat pool nat-pool 200.168.56.2 200.168.56.2 netmask 255.255.255.0 创建部全局地址池Router(config)#ip nat inside source list 1 pool nat-pool overload 加入overload实现PAT转换，全部本地地址共用一个外部地址Router(config)#int FastEthernet0/0Router(config-if)#ip nat inside 把fe0/0口配置为部接口Router(config)#intFastEthernet0/1Router(config-if)#ip nat outside 把fe0/1口配置为外部接口4.7VPN远程接入设计随着企业的收购和合并愈演愈烈，再加上企业自身的发展壮大与国际化，每家企业的分支机构不仅越来越多，而且它们的网络基础设施互不兼容也更为突出。以前各分支机构互访所采用的常规方法是租用专线，这样的连接方式一则要支付昂贵的通信费用，再则缺乏灵活性，对于企业地理位置的改变不能很好地适应。随着企业业务和自身应用需求的发展，企业之间的合作与企业与客户之间的联系也日趋紧密，且这些合作和联系都是动态的，总是处于变化和发展中，这种关系也需要靠网络来维持和加强。虽然Internet为企业广域网连接提供了物质基础，并且TCP/IP协议为网络的互联提供了极大的灵活性。但Internet有一个致命的弱点，那就是它的安全性。在Internet上传输的数据都是采用明文传输的，这就给一些非法用户以可乘之机，从而出现目前经常遇到的如：伪装欺骗、消息窃听、对话插队、拒绝服务等网络安全隐患。由此看来，Internet是一个开放的、不安全的网络，要想在这样一个不安全的网络上实现敏感数据的安全传输，就需要采用一些安全技术。在这样的背景下，一种基于公用网络的动态、安全的连接解决方案就成为时代之需，VPN就是这样一种网络连接技术。VPN技术的成功引入可以从根本上满足企业用户的低通信费和高灵活性的双重需求，更重要的是它可以提供与专线相媲美的通信安全保障，是一种非常廉价、安全、灵活自如的远程网络接入解决方案。虚拟专用网(Virtual Private Network, VPN)是指在公共通信基础设施上构建的虚拟专用网，可以被认为是一种从公共网络中隔离出来的网络，它与真实网络的差别在于VPN以隔离方式通过共享公共通信基础设施，提供了不与VPN网外用户共享互联点的排他性网络通信环境。VPN拓扑图按VPN应用的类型来分，VPN应用业务大致可分为三类：Intranet VPN、Access VPN与Extranet VPN，一般的情况下企业需要同时用到这三种VPN。Access VPN是指企业员工或企业的小分支机构通过公网远程拨号的方式构建的虚拟网。Intranet VPN指企业的总部与分支机构间通过VPN虚拟网进行网络连接。Extranet VPN即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。VPN具体实现形式多种多样，但都基于一种称作安全或者加密的隧道技术。这种技术可以用来提供网络到网络，主机到主机，或者主机到网络的安全连接。所谓隧道，实质上是一种封装，它通过将待传输的原始信息(协议x)经过加密和协议封装处理后再嵌套装入另一种协议(协议Y)的数据包送入网络中，像普通数据包一样进行传输，实现跨越公共网络传送私有数据包的目的。这里协议X称为被封装协议，协议Y称为封装协议，封装时一般还要加上特定的隧道控制信息，因此隧道协议的一般封装形式为(协议Y(隧道协议(协议X)在实现基于Internet的VPN时，我们使用的封装协议为IP协议，相应的隧道协议称为IP隧道协议，其封装形式为(IP隧道协议(协议x)。目前IP网上较为常见的隧道协议大致有两类:第二层隧道协议(包括PPTP, L2TP)和第三层隧道协议(包括GRE、IPSec, MPLS)，它们的比较如下图：根据比较可以看出L2TP等二层隧道协议适用于用户远程拨号上网访问远端总部资源;MPLS适用于骨干网络上大型企业的多分支机构建立自己私有专用网络，虽然具备Qos等其他协议所不具备的特性，但对用户设备要求比较高，而且目前还在完善中。IPSec协议是第三层的隧道协议，IPSec在IP层上对数据包进行安全处理，提供数据源、无连接数据完整性、数据性、抗重播和有限数据流性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少密钥协商的开销，也降低了产生安全漏洞的可能性。因此，IPSec成为实现VPN的一种重要的方法，非常适用现有的网络状况，是中小型网络的首选方式。考虑到该企业的组网规模以与安全需求，我们也采用IPSec协议族组建VPN联网。根据VPN的应用平台可分为三类：软件平台、硬件平台、软硬件结合平台。软件VPN一般性能较差，适用于对数据连接速率较低要求不高，性能和安全性要求不强的小型企业。硬件VPN虽然有高速率高数据安全与通信性能的优点，但是它成本太高，中小型企业很难承受，通常是对于专业的VPN网络服务提供商来说选择这一平台较为合适。软硬结合VPN这种平台是最为通用的一种方式，它既具备了硬件平台的高性能、高安全性、同时也具有软件平台的灵活性，是目前绝大多数企业选用的VPN方案。对于我们要设计的这家企业来说，采用软硬件结合的这种VPN方式最适合不过了。软硬件结合VPN也需要硬件方案的支持，目前主要有集中器、交换机、路由器、网关和防火墙等VPN方案。其中防火墙VPN方案是目前应用最广的一种VPN方案，它的优势主要体现在它的安全性方面，这一点从它的方案名称可以看出，它是采用防火墙设备作为VPN通信的主要设备，在传统的防火墙设备中嵌入VPN技术，就是的原来不是VPN这样的逻辑上一体的网络之间通信成为可能。对于该企业的联网构建，我们只要购买两台支持IPSec隧道协议的VPN防火墙，安装在总公司和分公司两个网络边界，然后对两台VPN防火墙进行相关配置，当建立起VPN连接后，这时总公司与分公司就相当于处于同一个局域网中，这些配置对于员工来说这是透明的。而对于出差办公或者SOHO办公的员工，进行VPN连接就必须在他们的计算机中安装配套的VPN接入软件，例如思科的VPN客户端产品EASYVPN，当要访问公司资源时，通过一些简单的配置，就可以进行远程拨号连接。企业合作伙伴的企业外联网与企业联网VPN差不多，使用软件或者硬件接入均可，这要视乎企业合作的程度与时间长短而定，它与企业联网的主要区别在于用户访问权限的设置，外联网用户通常只具备部分企业部网访问资源的权限，所以我们要对VPN防火墙进行相关设置，以屏蔽企业部网，确保需要保护的部网资源的安全性。VPN配置部分摘录：Firewall1(config)#access-list 100 permit udp host 200.168.56.3 host 200.168.56.2 eq isakmpFirewall1(config)#access-list 100 permit esp host 200.168.56.3 host 200.168.56.2 该ACL允许两防火墙之间的ISAKMP/IKE和ESP流量Firewall1(config)#crypto isakmp policy 10Firewall1(config-isakmp)#authentication pre-shareFirewall1(config-isakmp)#encryption 3desFirewall1(config-isakmp)#group 2Firewall1(config-isakmp)#lifetime 3600Firewall1(config-isakmp)#exit 定义ISAKMP策略中的各种参数Firewall1(config)#crypto isakmp key cisco123 address 200.168.56.3 指定预共享密钥，它必须与对方的密钥值相匹配Firewall1(config)#access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255Firewall1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ACL101是加密ACL指定两方的流量被保护Firewall1(config)#crypto ipsec transform-set Firewall2transform esp-sha-hmac esp-3desIKE阶段2数据连接应该用ESP SHA数据包认证和ESP 3DES加密进行保护Firewall1(config)#cryto map IPSECMAP 100 ipsec-isakmpFirewall1(config-crypto-map)#match address 101Firewall1(config-crypto-map)#set peer 200.168.56.3Firewall1(config-crypto-map)#set transform-set Firewall2transformFirewall1(config-crypto-map)#exit配置加密映射中的条目100，指定被保护流量，远程对等体和用来保护流量的变换集Firewall1(config)#int ethernet1Firewall1(config-if)#ip access-group 100 in 在接口上应用保护ACLFirewall1(config-if)#cryptp map IPSECMAP 激活加密映射4.8设备选型核心交换机选型在本企业网络的设计中，对核心交换机的要求比较高，基于本网络的规模、用户当前的应用、当前网络技术、网络技术与应用的发展趋势，我们对用户中心交换机的性能要求作出如下归纳：中心交换机必须具备足够的端口，且应能够实现多种网络带宽与介质的连接能力；必须具备划分VLAN的功能和三层交换能力，而且要有扩展访问控制列表功能，以保证部门间安全访问；中心交换机应具备足够的千兆扩展能力，以便能对网络主干联接与中心交换机与重要服务器的联接能使用千兆以太网。基于上述对本网络中心交换机性