遠(yuǎn)程接入企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)畢業(yè)論文

畢業(yè)設(shè)計(jì)（論文）遠(yuǎn)程接入企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)畢業(yè)設(shè)計(jì)論文中文摘要隨著Internet技術(shù)的日益普及，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，企業(yè)信息化工作越來(lái)越受到重視，進(jìn)入二十一世紀(jì)后，企業(yè)信息化不再滿足于個(gè)人或單個(gè)部門的少量計(jì)算機(jī)應(yīng)用，而逐步過(guò)渡到多部門、整個(gè)企業(yè)甚至跨企業(yè)跨地域的大量計(jì)算機(jī)的協(xié)同工作，因此我們需要把這些計(jì)算機(jī)用網(wǎng)絡(luò)聯(lián)系起來(lái)，這也就是我們所說(shuō)的企業(yè)網(wǎng)。本文是對(duì)某IT企業(yè)的一個(gè)企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的解決方案，文章首先分析了企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)需求，根據(jù)需求提出了設(shè)計(jì)原則與設(shè)計(jì)目標(biāo)，制定了總體的規(guī)劃設(shè)計(jì)方案，然后再分層次具體地對(duì)該企業(yè)的局域網(wǎng)和廣域網(wǎng)進(jìn)行設(shè)計(jì)，在該方案中，我們采用了VLAN、三層交換、千兆交換、光纖接入、VPN等先進(jìn)網(wǎng)絡(luò)技術(shù)，基本滿足了該企業(yè)的需求，并留有足夠的擴(kuò)充空間，以適應(yīng)今后發(fā)展。關(guān)鍵詞企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)遠(yuǎn)程接入VPN畢業(yè)設(shè)計(jì)論文外文摘要TitlePlanninganddesignofRemoteAccessenterprisenetworkAbstractAsthetechnologyofinternetincreasinglypopularizes,itisgettingmoreandmoreimportantthatthetechnologyofnetdevelopsatfullspeed,andtheworkofenterpriseisinformational.Nowitisthetwenty-firstcentury,theinformationalenterprisecan'tjustbesatisfiedbytheusingoffewcomputersinsinglepersonordepartment,ithastochangeintocoordinationoflargequantityonesinmoredepartmentslikethewholeenterprisestepbystep,evenintrans-enterpriseortrans-district.ThisthesisisadesignprojectforsolutiontothenetinoneITenterprise.First,itanalyzestheneedsofdesignfortheenterpriseaccordingtowhichitputsforwardthedesignprincipleandaimandformulatestheschemeofthewholedesignproject.Secondly,itdesignstheinternetparticularlyindifferentaspects.Inthisscheme,itusesadvancetechnologyofinternet,forinstance,VLAN,exchangeofthreelayers,thousand-trillionswitching,opticalfiberreceiving,VPNandsoon,tobasicallymeettheneedsoftheenterpriseandsaveenoughroomforexpandingtoadapttothedevelopmenthenceforward.Keywordsenterprisenetwork、PlanningandDesign、RemoteAccess、VPN

目次1引言 42概述 52.1企業(yè)概況分析 52.2企業(yè)網(wǎng)絡(luò)設(shè)計(jì)需求分析 63網(wǎng)絡(luò)總體規(guī)劃 73.1企業(yè)網(wǎng)絡(luò)設(shè)計(jì)目標(biāo) 73.2企業(yè)網(wǎng)絡(luò)設(shè)計(jì)原則 73.3網(wǎng)絡(luò)設(shè)計(jì)相關(guān)協(xié)議說(shuō)明 84網(wǎng)絡(luò)具體規(guī)劃與設(shè)計(jì) 104.1企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 104.2IP地址規(guī)劃 124.3基于VLSM的子網(wǎng)劃分 134.4VLAN規(guī)劃 154.5三層交換技術(shù)與鏈路聚合的應(yīng)用 164.6Internet接入設(shè)計(jì)及地址轉(zhuǎn)換技術(shù)應(yīng)用 184.7VPN遠(yuǎn)程接入設(shè)計(jì) 204.8設(shè)備選型 24致謝 28參考文獻(xiàn) 291引言目前，對(duì)于國(guó)內(nèi)的部分企業(yè)而言，計(jì)算機(jī)技術(shù)的應(yīng)用很大程度上還只是停留在單機(jī)應(yīng)用的水平上，應(yīng)用軟件也只是辦公軟件和簡(jiǎn)單的數(shù)據(jù)庫(kù)應(yīng)用。但是，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷發(fā)展與普及、企業(yè)信息化的逐步深入和企業(yè)自身發(fā)展需求日益增大，在充分利用現(xiàn)有資源、不需要很大投資的基礎(chǔ)上，構(gòu)建適合自身情況、滿足實(shí)際需求的網(wǎng)絡(luò)系統(tǒng)是非常必要的，也是切實(shí)可行的社會(huì)進(jìn)入信息時(shí)代后，要求企業(yè)用信息技術(shù)來(lái)強(qiáng)化企業(yè)的管理、生產(chǎn)和經(jīng)營(yíng)，而企業(yè)要?jiǎng)?chuàng)造更多的經(jīng)濟(jì)效益就必須借助信息技術(shù)來(lái)提高企業(yè)的生產(chǎn)效率和管理水平，這不但適用于大型企業(yè)，對(duì)占相當(dāng)比重的中小企業(yè)同樣適用。網(wǎng)絡(luò)技術(shù)的發(fā)展使得網(wǎng)絡(luò)建設(shè)從基礎(chǔ)架構(gòu)到維護(hù)和管理都變得十分簡(jiǎn)單和智能，豐富的網(wǎng)絡(luò)產(chǎn)品線和不斷降低的價(jià)格，可以讓中小企業(yè)根據(jù)自身的情況，按照實(shí)際的經(jīng)濟(jì)條件來(lái)構(gòu)建自己的網(wǎng)絡(luò)，用于網(wǎng)絡(luò)建設(shè)的投資對(duì)于企業(yè)而言不再成為一個(gè)負(fù)擔(dān)。各自為戰(zhàn)的單機(jī)應(yīng)用逐步暴露出現(xiàn)有資源利用率低、信息冗余大等問(wèn)題，而解決這些問(wèn)題的惟一途徑就是建設(shè)一個(gè)滿足應(yīng)用需求的網(wǎng)絡(luò)系統(tǒng)來(lái)實(shí)現(xiàn)資源的共享。一個(gè)成功的企業(yè)不僅要了解世界，還要讓世界知道自己。實(shí)現(xiàn)這個(gè)目標(biāo)的最佳途徑就是要利用Internet。通過(guò)Internet，企業(yè)不僅可以獲得大量的有價(jià)值的信息，同時(shí)也可以將企業(yè)的信息通過(guò)Internet發(fā)布到世界各地。因此，企業(yè)進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)，不僅是信息社會(huì)發(fā)展的要求，也是自身發(fā)展所必須的。2概述企業(yè)網(wǎng)絡(luò)指的是具有一定規(guī)模的網(wǎng)絡(luò)系統(tǒng)，它可以是單座建筑物內(nèi)的局域網(wǎng)，可以是覆蓋一個(gè)園區(qū)的園區(qū)網(wǎng)，還可以是跨地區(qū)的廣域網(wǎng)，其覆蓋范圍可以是幾公里、幾十公里、幾百公里，甚至更廣。狹義的企業(yè)網(wǎng)主要指大型的工業(yè)、商業(yè)、金融、交通企業(yè)等各類公司和企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)；廣義的企業(yè)網(wǎng)則包括各種科研、教育部門和政府部門專有的信息網(wǎng)絡(luò)。我國(guó)的企業(yè)網(wǎng)絡(luò)建設(shè)經(jīng)過(guò)了單機(jī)應(yīng)用階段，目前正處在Internet應(yīng)用熱潮中。但從目前情況看國(guó)內(nèi)相當(dāng)多的企業(yè)還處于網(wǎng)絡(luò)初步應(yīng)用階段，其具有以下特點(diǎn)：1應(yīng)用水平較低，分散且不一致。企業(yè)網(wǎng)絡(luò)缺乏整體性的設(shè)計(jì)，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，在業(yè)務(wù)互相銜接的應(yīng)用系統(tǒng)之間缺乏一致性2應(yīng)用者的整體水平比較低，缺乏對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)全面的認(rèn)識(shí)，難以接受將計(jì)算機(jī)作為一種工作方式3信息部門處于邊緣性地位，綜合實(shí)力較低，地位較低，給信息技術(shù)的應(yīng)用帶來(lái)了相當(dāng)大的難度。2.1企業(yè)概況分析假設(shè)我們要設(shè)計(jì)的是一個(gè)中型的IT企業(yè)的網(wǎng)絡(luò)，該企業(yè)分為一個(gè)總公司和一家分公司，共有員工292人。總公司193人，分8個(gè)部門，包括人事部、開發(fā)部、財(cái)務(wù)部、商務(wù)部、工程部、業(yè)務(wù)部、信息中心、經(jīng)理部。人事部23人，開發(fā)部57人，財(cái)務(wù)部7人，商務(wù)部18人，工程部47人，業(yè)務(wù)部32人，信息中心5人，經(jīng)理部4人。分公司99人，部門結(jié)構(gòu)與總公司一致，人事部12人，開發(fā)部34人，工程部20人，財(cái)務(wù)部3人，業(yè)務(wù)部16人，信息中心3人，商務(wù)部9人，經(jīng)理部2人。每人都配有一臺(tái)個(gè)人電腦。由于公司規(guī)模的擴(kuò)大，為了提高工作效率、公司知名度、公司效益以及管理水平，該企業(yè)決定投資重新建設(shè)完善的企業(yè)網(wǎng)絡(luò)。2.2企業(yè)網(wǎng)絡(luò)設(shè)計(jì)需求分析網(wǎng)絡(luò)需求分析就是根據(jù)企業(yè)信息技術(shù)應(yīng)用要求和企業(yè)的業(yè)務(wù)發(fā)展需求，結(jié)合企業(yè)現(xiàn)有設(shè)備狀況和人員素質(zhì)，較為全面地調(diào)查和分析企業(yè)在信息技術(shù)方面的技術(shù)需求，然后從網(wǎng)絡(luò)建設(shè)的角度，將這些需求轉(zhuǎn)換成構(gòu)造網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)能夠提供服務(wù)的需求。在網(wǎng)絡(luò)需求分析過(guò)程中，網(wǎng)絡(luò)系統(tǒng)用戶往往從系統(tǒng)外部關(guān)注整個(gè)網(wǎng)絡(luò)系統(tǒng)的功能和性能，而網(wǎng)絡(luò)設(shè)計(jì)者往往從網(wǎng)絡(luò)系統(tǒng)內(nèi)部關(guān)注整個(gè)網(wǎng)絡(luò)系統(tǒng)的技術(shù)和結(jié)構(gòu)。因此，如何正確地將用戶對(duì)網(wǎng)絡(luò)系統(tǒng)功能和性能的需求轉(zhuǎn)換成對(duì)網(wǎng)絡(luò)系統(tǒng)技術(shù)和結(jié)構(gòu)的需求并給予量化表示是網(wǎng)絡(luò)需求分析的關(guān)鍵。經(jīng)過(guò)對(duì)該公司各個(gè)部門職能的分析以及調(diào)研，將系統(tǒng)需求歸納為如下幾點(diǎn)：1）在該企業(yè)的總公司以及分公司各建立一個(gè)新的計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，將該企業(yè)內(nèi)現(xiàn)有計(jì)算機(jī)以及外設(shè)連在一起工作。服務(wù)器、連接設(shè)備、綜合布線等統(tǒng)一購(gòu)買和配置，客戶機(jī)應(yīng)利用現(xiàn)有各部門的計(jì)算機(jī)，以保護(hù)原有投資和不影響正常工作。2）該網(wǎng)絡(luò)系統(tǒng)能實(shí)現(xiàn)資源共享，包括軟件共享，文件共享，打印機(jī)共享。在外工作的員工可以透過(guò)internet安全訪問(wèn)企業(yè)資源，遠(yuǎn)程辦公。3）能高速接入Internet進(jìn)行工作，收發(fā)郵件，瀏覽網(wǎng)頁(yè)查找資料。建立企業(yè)對(duì)外網(wǎng)站，提供一個(gè)對(duì)外宣傳的平臺(tái)，提高企業(yè)知名度。4）網(wǎng)絡(luò)管理：控制不同權(quán)限的員工使用Internet的方式和范圍，限制普通員工利用公司網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)無(wú)關(guān)的活動(dòng)。5）安全性：對(duì)不同部門之間的相互訪問(wèn)作限制，防止非法訪問(wèn)，保護(hù)商業(yè)機(jī)密。預(yù)防計(jì)算機(jī)病毒，盡可能把病毒感染的幾率降到最低。使用防火墻，防止來(lái)自互聯(lián)網(wǎng)上的入侵，保障企業(yè)資源的安全。6）可擴(kuò)展性：考慮到企業(yè)的發(fā)展與以后規(guī)模的擴(kuò)大，企業(yè)網(wǎng)絡(luò)設(shè)計(jì)需預(yù)留擴(kuò)展空間，以便今后的網(wǎng)絡(luò)改造。3網(wǎng)絡(luò)總體規(guī)劃網(wǎng)絡(luò)規(guī)劃是對(duì)擬建網(wǎng)絡(luò)的初步設(shè)計(jì)，應(yīng)該遵循網(wǎng)絡(luò)設(shè)計(jì)的一般原則和方法，并提出相應(yīng)的解決方案為后續(xù)的設(shè)計(jì)和實(shí)現(xiàn)工作的依據(jù)。網(wǎng)絡(luò)總體規(guī)劃反映了網(wǎng)絡(luò)設(shè)計(jì)“總體規(guī)劃、分布實(shí)施”的網(wǎng)絡(luò)建設(shè)原則，是從網(wǎng)絡(luò)需求分析到網(wǎng)絡(luò)具體設(shè)計(jì)之間必經(jīng)的階段，網(wǎng)絡(luò)規(guī)劃通過(guò)對(duì)企業(yè)網(wǎng)絡(luò)需求的調(diào)查、分析、歸納，把企業(yè)現(xiàn)在和未來(lái)對(duì)網(wǎng)絡(luò)的需求轉(zhuǎn)換成對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、功能、性能、協(xié)議等技術(shù)指標(biāo)的具體要求。3.1企業(yè)網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)該IT企業(yè)網(wǎng)絡(luò)建設(shè)的目標(biāo)，就是在總公司和分公司分別建設(shè)局域網(wǎng)，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，使用遠(yuǎn)程接入技術(shù)將公司與分公司之間連接起來(lái)，并使在外員工可隨時(shí)接入公司網(wǎng)絡(luò)，從而建立起統(tǒng)一、快捷、高效的中型Intranent系統(tǒng)，整個(gè)系統(tǒng)在安全、可靠、穩(wěn)定的前提下，符合經(jīng)濟(jì)的原則，即實(shí)現(xiàn)合理的投入，最大的產(chǎn)出?？傮w設(shè)計(jì)如下：1）以千兆以太網(wǎng)為主干網(wǎng)，利用第三層交換技術(shù)實(shí)現(xiàn)大型局域網(wǎng)的VLAN的劃分。規(guī)劃中服務(wù)器、信息中心采用千兆，與中心主交換機(jī)連接，其他部門采用100M網(wǎng)卡通過(guò)其他二級(jí)交換機(jī)接入主干網(wǎng)。2）網(wǎng)絡(luò)通過(guò)光纖接入Internet/ChinaNET，在公網(wǎng)上建立虛擬專用網(wǎng)(VPN)；通過(guò)采用Web技術(shù)和Internet-VPN技術(shù)以及信息加密技術(shù)實(shí)現(xiàn)電子商務(wù)。這樣，可以提供遠(yuǎn)程撥號(hào)訪問(wèn)和通過(guò)Internet訪問(wèn)兩種方式，來(lái)實(shí)現(xiàn)全國(guó)各分支機(jī)構(gòu)、相關(guān)部門以及公眾對(duì)公司信息的限制性訪問(wèn)。3）網(wǎng)絡(luò)的安全機(jī)制：（1）通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的配置，控制訪問(wèn)列表等方式來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性措施；（2）更重要的是，在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處，采用先進(jìn)的防火墻技術(shù)、代理服務(wù)器技術(shù)、以及Web服務(wù)器的口令驗(yàn)證、數(shù)據(jù)加密等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的安全性4）網(wǎng)絡(luò)中心設(shè)立WEB應(yīng)用服務(wù)器、E-MAIL服務(wù)器、DNS服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器，實(shí)現(xiàn)WEB訪問(wèn)、Internet接入、E-MAIL系統(tǒng)、域名解析、應(yīng)用系統(tǒng)等各種功能。3.2企業(yè)網(wǎng)絡(luò)設(shè)計(jì)原則1）實(shí)用性原則。計(jì)算機(jī)設(shè)備、服務(wù)器設(shè)備和網(wǎng)絡(luò)設(shè)備在技術(shù)性能逐步提升的同時(shí)，其價(jià)格卻在逐年下降。因此，不可能也沒(méi)有必要實(shí)現(xiàn)所謂“一步到位”。所以，網(wǎng)絡(luò)方案設(shè)計(jì)中應(yīng)把握“夠用”和“實(shí)用”原則。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用成熟可靠的技術(shù)和設(shè)備，達(dá)到實(shí)用、經(jīng)濟(jì)和有效的目的。2）前瞻性原則。在實(shí)用的基礎(chǔ)上還可以具有一定的前瞻性，在網(wǎng)絡(luò)結(jié)構(gòu)上要做到能適應(yīng)較長(zhǎng)時(shí)期企業(yè)和網(wǎng)絡(luò)技術(shù)的發(fā)展，不要在網(wǎng)絡(luò)剛組建不久就發(fā)現(xiàn)很難實(shí)現(xiàn)某些較新的應(yīng)用，或者根本不能應(yīng)用目前的一些主流軟件，這樣勢(shì)必造成企業(yè)網(wǎng)絡(luò)資源的浪費(fèi)。3）開放性原則。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用開放的標(biāo)準(zhǔn)和技術(shù)，如TCP/IP協(xié)議、IEEE802系列標(biāo)準(zhǔn)等。其目標(biāo)首先是要有利于未來(lái)網(wǎng)絡(luò)系統(tǒng)的擴(kuò)充，其次還要有利于在需要時(shí)與外部網(wǎng)絡(luò)互通。4）可靠性原則。作為一個(gè)具有一定規(guī)模的中型企業(yè)。企業(yè)的網(wǎng)絡(luò)不允許有異常情況發(fā)生，因?yàn)橐坏┚W(wǎng)絡(luò)發(fā)生異常情況，就會(huì)帶來(lái)很大的損失。在這樣的網(wǎng)絡(luò)中，就要盡量使用冗余備份，當(dāng)某個(gè)網(wǎng)絡(luò)設(shè)備故障時(shí)，網(wǎng)絡(luò)還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網(wǎng)絡(luò)的可靠性。5）安全性原則。在企業(yè)網(wǎng)的設(shè)計(jì)中，安全性的設(shè)計(jì)是很重要的。每家企業(yè)都有自己的商業(yè)機(jī)密，如果這些機(jī)密被竊取，后果是不堪設(shè)想的。企業(yè)必須保護(hù)其網(wǎng)絡(luò)系統(tǒng)，以避免受外來(lái)惡意性入侵，但也必須保留足夠空間，使其主要經(jīng)營(yíng)之業(yè)務(wù)能順利運(yùn)作。倘若安全性系統(tǒng)保護(hù)企業(yè)免受病毒及駭客攻擊，但卻阻撓其服務(wù)客戶及邁向電子商務(wù)腳步，那么此系統(tǒng)就已超越其權(quán)限了。網(wǎng)絡(luò)安全應(yīng)是永遠(yuǎn)以能符合企業(yè)經(jīng)營(yíng)目標(biāo)的最大利益為優(yōu)先考量。6）可管理性原則。網(wǎng)絡(luò)管理員能夠在不改變系統(tǒng)運(yùn)行的情況下對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。7）可擴(kuò)展性原則。網(wǎng)絡(luò)總體設(shè)計(jì)不僅要考慮到近期目標(biāo)，也要為企業(yè)以及網(wǎng)絡(luò)的進(jìn)一步發(fā)展留有余地。因此，需要統(tǒng)一規(guī)劃和設(shè)計(jì)。網(wǎng)絡(luò)系統(tǒng)應(yīng)在規(guī)模和性能兩方面具有良好的可擴(kuò)展性。由于目前網(wǎng)絡(luò)產(chǎn)品標(biāo)準(zhǔn)化程度較高，因此可擴(kuò)展性要求基本不成問(wèn)題。3.3網(wǎng)絡(luò)設(shè)計(jì)相關(guān)協(xié)議說(shuō)明網(wǎng)絡(luò)協(xié)議是需要通信的計(jì)算機(jī)之間共同遵循的數(shù)據(jù)結(jié)構(gòu)、語(yǔ)義和操作規(guī)則。網(wǎng)絡(luò)協(xié)議常采用分層的體系結(jié)構(gòu)。各協(xié)議層互相獨(dú)立，下層提供上層某項(xiàng)功能的服務(wù)（一般有面向連接和無(wú)連接兩類），上層利用該功能再向上提供更完善的服務(wù)。目前，主要的協(xié)議體系結(jié)構(gòu)有OSI族和TCP/IP族。它們的參考模型及各層的對(duì)應(yīng)關(guān)系如圖所示。OSI協(xié)議族OSI（開放系統(tǒng)互聯(lián)參考模型）協(xié)議族是國(guó)際標(biāo)準(zhǔn)化組織（ISO）建議并主持制定的有廣泛影響的網(wǎng)絡(luò)互聯(lián)協(xié)議。1）物理層是第一層，它決定設(shè)備之間的物理接口以及在傳輸介質(zhì)上比特傳送的規(guī)則。2）數(shù)據(jù)鏈路層是第二層，它的主要任務(wù)是加強(qiáng)物理層傳輸比特的可靠性。3）網(wǎng)絡(luò)層是第三成，它的主要功能是利用數(shù)據(jù)鏈路層所保證的鄰接節(jié)點(diǎn)之間的無(wú)差錯(cuò)數(shù)據(jù)傳輸功能，通過(guò)路由選擇和中繼功能，實(shí)現(xiàn)兩個(gè)端系統(tǒng)之間的連接。4）傳輸層是第四層，它利用下三層所提供的網(wǎng)絡(luò)服務(wù)向高層提供可靠的端到端的透明數(shù)據(jù)傳輸。5）會(huì)話層是第五層，它提供一種經(jīng)過(guò)組織的方法在用戶之間交換數(shù)據(jù)。6）表示層是第六層，它把上層交付的信息變換為能夠共同理解的形式，它關(guān)心的是所傳輸?shù)男畔⒌恼Z(yǔ)法和語(yǔ)義，它只對(duì)應(yīng)用層信息的形式進(jìn)行變換，但不改變信息內(nèi)容本身。7）應(yīng)用層是第七層，它的功能是提供應(yīng)用進(jìn)程（用戶程序）之間信息交換的基本任務(wù)。TCP/IP協(xié)議族TCP/IP協(xié)議族是廣泛應(yīng)用于計(jì)算機(jī)互聯(lián)的業(yè)界標(biāo)準(zhǔn)。該協(xié)議族是一組獨(dú)立的協(xié)議的集合，其中最主要的是TCP協(xié)議和IP協(xié)議。TCP/IP協(xié)議族亦采用層次化的結(jié)構(gòu)模型，共包括四個(gè)層次1）硬件接口層，TCP/IP協(xié)議族沒(méi)有具體定義硬件層，因而它對(duì)各種各樣的網(wǎng)絡(luò)硬件具有高度的適應(yīng)性，這正式它的成功之處。2）網(wǎng)絡(luò)層，它的主要功能是定義信息包（IP數(shù)據(jù)包）并處理信息包的路由選擇。該層的主要協(xié)議有：IP、ARP、RARP。3）傳輸層。它提供端到端的數(shù)據(jù)傳輸服務(wù)。該層的主要協(xié)議有：TCP、UDP。4）應(yīng)用層。它由使用網(wǎng)路的應(yīng)用程序和進(jìn)程組成。該層最接近用戶，主要協(xié)議有SMTP、DNS、FTP、TELNET。OSI強(qiáng)調(diào)的是如何把開放式系統(tǒng)連接起來(lái)的，它是一個(gè)理論上的參考模型。而TCP/IP框架包含了大量的協(xié)議和應(yīng)用，他雖然不是ISO標(biāo)準(zhǔn)，但一致于ISO的OSI參考模型制定，并在不斷發(fā)展過(guò)程中吸收了OSI模型中的概念及特征，它的使用已經(jīng)越來(lái)越廣泛，幾乎成為“事實(shí)上的標(biāo)準(zhǔn)”，著名的Internet就是基于TCP/IP協(xié)議族的。4網(wǎng)絡(luò)具體規(guī)劃與設(shè)計(jì)在總體上規(guī)劃好企業(yè)網(wǎng)絡(luò)之后，就要進(jìn)入具體設(shè)計(jì)的階段，這也是網(wǎng)絡(luò)設(shè)計(jì)的最重要的環(huán)節(jié)。在這個(gè)階段，要對(duì)該企業(yè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、IP地址規(guī)劃、子網(wǎng)劃分、Internet接入等方面進(jìn)行詳細(xì)的規(guī)劃與設(shè)計(jì)。4.1企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)所謂拓?fù)涫且环N研究與大小、距離無(wú)關(guān)的幾何圖形特性的方法。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是拋開網(wǎng)絡(luò)物理連接來(lái)討論網(wǎng)絡(luò)系統(tǒng)的連接形式，網(wǎng)絡(luò)中各站點(diǎn)相互連接的方法和形式稱為網(wǎng)絡(luò)拓?fù)?。拓?fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和相互間的連接，它的結(jié)構(gòu)主要有星型結(jié)構(gòu)、總線結(jié)構(gòu)、樹型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、蜂窩狀結(jié)構(gòu)、分布式結(jié)構(gòu)等。不同的連接方法網(wǎng)絡(luò)的性能不同，局域網(wǎng)拓?fù)浣Y(jié)構(gòu)通常分為3種，分別是總線型、星型和環(huán)型。該企業(yè)局域網(wǎng)網(wǎng)絡(luò)主要采用了星型的拓?fù)浣Y(jié)構(gòu)，因?yàn)槠髽I(yè)規(guī)模不大，所以在設(shè)計(jì)上只劃分了兩層來(lái)設(shè)計(jì)：核心層和接入層?？偣镜墓ぷ髡敬蠹s為200人，考慮到規(guī)模較大而且該總公司的業(yè)務(wù)比較重要，核心層的設(shè)計(jì)上采用了兩臺(tái)千兆三層交換機(jī)作一個(gè)冗余備份，在這兩臺(tái)三層交換機(jī)之間作鏈路聚合，就算其中一個(gè)核心交換機(jī)當(dāng)機(jī)，也可以保證網(wǎng)絡(luò)的瞬間恢復(fù)，大大增加了網(wǎng)絡(luò)的可靠性。分公司由于規(guī)模較小，考慮到企業(yè)網(wǎng)絡(luò)設(shè)計(jì)上的實(shí)用性與經(jīng)濟(jì)性原則，核心層的設(shè)計(jì)只使用一臺(tái)千兆三層交換機(jī)。而在接入層的設(shè)計(jì)上，總分公司都使用多臺(tái)二層交換機(jī)，100兆到桌面。服務(wù)器選擇擺放在信息中心，以便管理。為了防止企業(yè)外部對(duì)內(nèi)的攻擊，在路由器外部安裝硬件防火墻?？偣揪W(wǎng)絡(luò)拓?fù)鋱D分公司網(wǎng)絡(luò)拓?fù)鋱D4.2IP地址規(guī)劃每臺(tái)計(jì)算機(jī)、服務(wù)器、或者路由器的接口都有一個(gè)由授權(quán)機(jī)構(gòu)分配的號(hào)碼，我們稱它為IP地址。TCP/IP協(xié)議規(guī)定，根據(jù)網(wǎng)絡(luò)規(guī)模的大小將IP地址分為5類（A、B、C、D、E）：A類~B類~C類~D類~55雖然有這么多IP地址，但是這些IP地址我們是不能隨便用的，大多數(shù)的地址都被互聯(lián)網(wǎng)專業(yè)機(jī)構(gòu)注冊(cè)并指定，在IP地址日益匱乏的今天，企業(yè)一般只能申請(qǐng)到幾個(gè)公網(wǎng)地址。但是有部分的IP地址被特別區(qū)分出來(lái)用作私有網(wǎng)絡(luò)使用，它們被稱為私有IP地址：A類：~55B類：~55C類：~55該企業(yè)只有一個(gè)公網(wǎng)IP，考慮到內(nèi)網(wǎng)計(jì)算機(jī)終端數(shù)量不多，該企業(yè)局域網(wǎng)IP使用C類私有地址進(jìn)行分配。對(duì)于局域網(wǎng)的IP地址分配問(wèn)題，用戶規(guī)模越大，管理工作就越困難，必須深思加以解決。目前一般來(lái)說(shuō)有兩種分配方案，一是使用動(dòng)態(tài)IP地址分配（DHCP），另一種方案是使用靜態(tài)地址分配，但必須加強(qiáng)MAC地址的管理。用動(dòng)態(tài)IP地址分配（DHCP）的最大優(yōu)點(diǎn)是客戶端網(wǎng)絡(luò)的配置非常簡(jiǎn)單，在沒(méi)有管理員的幫助和干預(yù)的情況下，用戶自己便可以對(duì)網(wǎng)絡(luò)進(jìn)行連接設(shè)置。但是，因?yàn)镮P地址是動(dòng)態(tài)分配的，網(wǎng)管員不能從IP地址上鑒定客戶的身份，相應(yīng)的IP層管理將失去作用。而且使用動(dòng)態(tài)IP地址分配需要設(shè)置額外DHCP服務(wù)器。使用靜態(tài)IP地址分配可以對(duì)各部門進(jìn)行合理的IP地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對(duì)網(wǎng)卡MAC地址的管理，網(wǎng)絡(luò)就會(huì)具有更好的可管理性。但如果網(wǎng)絡(luò)規(guī)模較大，則IP地址管理的工作量就相當(dāng)大。綜合以上考慮，由于該企業(yè)的規(guī)模不是很大，因此從網(wǎng)絡(luò)安全的角度出發(fā)，采用靜態(tài)地址分配的方法。并結(jié)合核心交換機(jī)的第三層交換功能，進(jìn)行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡(luò)風(fēng)暴的發(fā)生，另一方面也加強(qiáng)了網(wǎng)絡(luò)的安全性。但當(dāng)隨著以后企業(yè)規(guī)模的不斷擴(kuò)大發(fā)展，整個(gè)網(wǎng)絡(luò)信息的規(guī)模不斷擴(kuò)大，則可以考慮采用DHCP動(dòng)態(tài)IP地址分配的方案，設(shè)立專門的DHCP服務(wù)器進(jìn)行動(dòng)態(tài)IP地址分配。同樣可以基于中心交換機(jī)的VLAN功能進(jìn)行配置，劃分網(wǎng)段，根據(jù)各個(gè)二級(jí)單位信息點(diǎn)所在的網(wǎng)段進(jìn)行動(dòng)態(tài)地址分配。4.3基于VLSM的子網(wǎng)劃分該企業(yè)總公司有193人，分公司有99人。如果分別把各自所有的主機(jī)放到一個(gè)子網(wǎng)里，對(duì)企業(yè)的安全性管理極為不利，而且如果有站點(diǎn)更新（計(jì)算機(jī)的配置調(diào)整或增減計(jì)算機(jī)）或發(fā)生故障，大量的廣播數(shù)據(jù)會(huì)嚴(yán)重影響網(wǎng)絡(luò)的整體性能。因此必須對(duì)這些主機(jī)進(jìn)行子網(wǎng)劃分控制廣播域的規(guī)模。VLSM(VariableLengthSubnetmasks)變長(zhǎng)子網(wǎng)掩碼，是在標(biāo)準(zhǔn)的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡(luò)號(hào)碼，不同子網(wǎng)的子網(wǎng)掩碼可能有不同的長(zhǎng)度，但一旦子網(wǎng)掩碼的長(zhǎng)度確定了，它們就不變了，這個(gè)技術(shù)對(duì)于高效分配IP地址。由于該企業(yè)人數(shù)不多，如果給每個(gè)子網(wǎng)分配一個(gè)C類地址，就會(huì)造成IP地址的浪費(fèi)，所以要采用可變長(zhǎng)子網(wǎng)掩碼技術(shù)對(duì)該企業(yè)局域網(wǎng)進(jìn)行子網(wǎng)劃分。該企業(yè)的子網(wǎng)是按照部門來(lái)劃分的，基于可擴(kuò)展性的原則，除了滿足每個(gè)部門都能分到足夠的IP地址外，還要為以后的人事調(diào)動(dòng)、部門擴(kuò)展等留有冗余的IP，否則可能會(huì)由于一些很小的人事變化就得重新劃分子網(wǎng)。考慮到總公司與分公司之間要通過(guò)VPN技術(shù)遠(yuǎn)程互聯(lián)，所以總公司與分公司的內(nèi)網(wǎng)IP不能有重復(fù)?？偣咀泳W(wǎng)劃分部門子網(wǎng)網(wǎng)絡(luò)號(hào)子網(wǎng)掩碼網(wǎng)關(guān)開發(fā)部2826工程部289290業(yè)務(wù)部929253人事部240商務(wù)部2242財(cái)務(wù)部4408信息中心0404經(jīng)理部64010分公司子網(wǎng)劃分部門子網(wǎng)網(wǎng)絡(luò)號(hào)子網(wǎng)掩碼網(wǎng)關(guān)開發(fā)部922工程部4244業(yè)務(wù)部62426人事部282458商務(wù)部604074財(cái)務(wù)部764882信息中心844890經(jīng)理部9248984.4VLAN規(guī)劃VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒(méi)有相同的VLAN號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。我們已經(jīng)為該企業(yè)劃分了子網(wǎng)，不同的部門在不同的子網(wǎng)里，子網(wǎng)與子網(wǎng)之間不能訪問(wèn)，也控制了廣播域太大的問(wèn)題。這樣看來(lái)好像不必要再劃分VLAN了，其實(shí)不然，因?yàn)檫@樣只作子網(wǎng)劃分是存在安全性問(wèn)題的。局域網(wǎng)內(nèi)的任何用戶只要稍微修改一下IP與子網(wǎng)掩碼就可以訪問(wèn)到該企業(yè)的任何部門了。所以，我們必須在交換機(jī)上劃分好VLAN，這樣，只要加強(qiáng)對(duì)交換機(jī)的保護(hù)，不讓一般員工改變交換機(jī)的配置，就算他們更改自己電腦的IP和子網(wǎng)掩碼也無(wú)法訪問(wèn)到其它部門了。VLAN有幾種不同的劃分方法：1.根據(jù)端口來(lái)劃分VLAN。2.根據(jù)MAC地址劃分VLAN。3.根據(jù)網(wǎng)絡(luò)層劃分VLAN。4.根據(jù)IP組播劃分VLAN。該企業(yè)的VLAN我們采取根據(jù)端口來(lái)劃分，這種劃分方式是現(xiàn)在最常用的。只要把同一個(gè)部門的端口全部劃分進(jìn)同一個(gè)VLAN就行了，而且還可以進(jìn)行跨交換機(jī)的端口VLAN劃分，也就是說(shuō)不同交換機(jī)上的端口也可以在同一個(gè)VLAN里，這樣VLAN的劃分就不必要受到物理空間的限制，具有很好的靈活性。今后如果有人事調(diào)動(dòng)或者部門擴(kuò)充，只要在交換機(jī)上作相應(yīng)的配置就可以了。處理VLAN時(shí)，交換機(jī)端口支持兩種連接類型：接入鏈路（accesslink）與中繼（trunk）。接入鏈路連接只能與單個(gè)VLAN相關(guān)，任何連接到該端口的任何設(shè)備將會(huì)在相同的廣播域中。與接入鏈路不同，中繼連接能為多個(gè)VLAN傳送流量。中繼鏈路一般在特點(diǎn)的設(shè)備之間，包括交換機(jī)到交換機(jī)，交換機(jī)到路由器，交換機(jī)到文件服務(wù)器等。在該企業(yè)的VLAN端口配置中，各接入層的二層交換機(jī)與核心層的三層交換機(jī)之間的鏈路要配置成trunk鏈路，其他端口配置成access鏈路，這樣VLAN信息就可以在各二層交換機(jī)之間傳遞，不同交換機(jī)但是同一個(gè)VLAN的用戶就可以相互訪問(wèn)了。VLAN部分配置摘錄：switch-1(config)#vlan10創(chuàng)建一個(gè)vlan（開發(fā)部）switch-1(config-vlan)#namekaifabu為此vlan取名switch-1(config-vlan)#exitswitch-1(config)#intfa0/1進(jìn)入一個(gè)快速以太端口配置switch-1(config-if)#switchportmodeaccess把該接口配置為access鏈路switch-1(config-if)#switchportaccessvlan1把該端口加入vlan1switch-1(config-if)#exitswitch-1(config)#intgig2/1進(jìn)入千兆端口switch-1(config-i}#switchmodetrunk把該端口配置為trunk鏈路4.5三層交換技術(shù)與鏈路聚合的應(yīng)用傳統(tǒng)的以太網(wǎng)交換機(jī)工作在OSI模型的第二層上，數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包通過(guò)源站點(diǎn)和目的站點(diǎn)的MAC地址時(shí)被識(shí)別。傳統(tǒng)局域網(wǎng)交換機(jī)只在介質(zhì)訪問(wèn)層（mac）處理數(shù)據(jù)包。它可理解網(wǎng)絡(luò)協(xié)議的第二層如MAC地址等。交換機(jī)在操作過(guò)程中不斷的收集資料去建立它本身的地址表，當(dāng)交換機(jī)接收到一個(gè)數(shù)據(jù)包時(shí)，它會(huì)檢查該包的目的MAC地址，核對(duì)一下自己的地址表以決定從哪個(gè)端口發(fā)送出去。這個(gè)工作用ASIC（專用集成電路）芯片來(lái)做速度是非常快的，但同時(shí)由于它不察看數(shù)據(jù)包里的更多的內(nèi)容，所以無(wú)法作出有關(guān)策略方面的判斷，對(duì)數(shù)據(jù)流的控制能力不強(qiáng)。傳統(tǒng)路由器工作在第三層上，數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包通過(guò)源站點(diǎn)和目的站點(diǎn)的網(wǎng)絡(luò)地址時(shí)被識(shí)別，路由技術(shù)可以有效地控制數(shù)據(jù)包，但轉(zhuǎn)發(fā)包的速度太慢，同時(shí)路由器存在價(jià)格高等方面缺點(diǎn)。這種狀況促使業(yè)界不得不去尋找一種新的方法,產(chǎn)生了“升級(jí)”技術(shù)──第三層交換技術(shù)。第三層交換技術(shù)正是為了解決傳統(tǒng)交換技術(shù)和路由器的缺陷而出現(xiàn)的，三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，第三層交換具有以下特征：1)執(zhí)行路由處理2)轉(zhuǎn)發(fā)基于第三層的業(yè)務(wù)流3)完成交換功能4)可以完成特殊服務(wù)，如報(bào)文過(guò)濾或訪問(wèn)控制該企業(yè)各部門處于不同的VLAN中，某些部門之間是需要互相訪問(wèn)的，如果用傳統(tǒng)的路由器來(lái)完成VLAN間互訪，所有跨VLAN的數(shù)據(jù)必須通過(guò)路由器轉(zhuǎn)發(fā)，路由的高延遲會(huì)引來(lái)用戶對(duì)網(wǎng)絡(luò)速度的抱怨，不使用三層交換技術(shù)的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴(kuò)大部門間的流量會(huì)更加增多，到時(shí)可能又要投入更多資金更換更貴的路由器，這不符合企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的可擴(kuò)展性原則。在該企業(yè)的網(wǎng)絡(luò)核心層使用三層交換機(jī)，大大增快了網(wǎng)絡(luò)的速度，充分利用了現(xiàn)有資源，降低了網(wǎng)絡(luò)成本，增加了網(wǎng)絡(luò)的可擴(kuò)展性。而且，三層交換機(jī)還可以實(shí)現(xiàn)部分安全機(jī)制，它的訪問(wèn)列表的功能，可以實(shí)現(xiàn)不同VLAN間的單向或雙向通訊。就像該企業(yè)的財(cái)務(wù)部，它既沒(méi)有必要訪問(wèn)別的部門，出于安全考慮別的部門也不能訪問(wèn)財(cái)務(wù)部。而經(jīng)理室應(yīng)該可以訪問(wèn)所有的部門，但是別的部門是不可以訪問(wèn)他的……基于這些不同的訪問(wèn)需求，可在三層交換機(jī)上配置ACL語(yǔ)句加以限制。該企業(yè)的三層交換機(jī)位于整個(gè)局域網(wǎng)的核心部分，企業(yè)上網(wǎng)的流量、VLAN間的流量、VPN產(chǎn)生的流量全部都要經(jīng)過(guò)核心三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，所以核心交換機(jī)的速度與穩(wěn)定性非常重要。冗余鏈路是提高網(wǎng)絡(luò)系統(tǒng)可用性的重要方法。目前的技術(shù)中，以鏈路聚合（LinkAggregation）技術(shù)應(yīng)用最為廣泛。鏈路聚合技術(shù)亦稱主干技術(shù)（Trunking）或捆綁技術(shù)（Bonding），其實(shí)質(zhì)是將兩臺(tái)設(shè)備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路，簡(jiǎn)單地說(shuō)就是把多個(gè)端口綁定成一個(gè)虛擬端口。采用鏈路聚合可以提高數(shù)據(jù)鏈路的帶寬，捆綁起來(lái)的鏈路的帶寬相當(dāng)于物理鏈路帶寬之和。鏈路聚合中，成員互相動(dòng)態(tài)備份，當(dāng)某一鏈路中斷時(shí)，其它成員能夠迅速接替其工作，這樣就很好的保障了整個(gè)網(wǎng)絡(luò)的穩(wěn)定性。三層交換部分配置摘錄：switch-1(config)#iprouting啟用交換機(jī)上的IP路由功能switch-1(config)#routerrip指定IP路由協(xié)議為RIPswitch-1(config-router)#networkswitch-1(config)#intvlan10通過(guò)使用VLAN接口命令制定虛擬接口switch-1(config-if)#ipaddress26為開發(fā)部VLAN分配IP地址switch-1(config-if)#noshutdown開啟接口switch-1(config)#intvlan20switch-1(config-if)#ipaddress8為財(cái)務(wù)部VLAN分配IP地址switch-1(config-if)#noshutdownswitch-1(config)#access-list1deny55switch-1(config)#access-list1permitany配置ACL策略switch-1(config)#intvlan20switch-1(config-if)#ipaccess-group1in在財(cái)務(wù)部VLAN進(jìn)入方向?qū)嵤〢CL策略鏈路聚合部分配置摘錄：switch-1(config)#interfaceport－channel1創(chuàng)建一個(gè)邏輯端口通道switch-1(config-if)#exitswitch-1(config)#interfacegigabitethernet1/1進(jìn)入千兆端口switch-1(config)#noswitchport轉(zhuǎn)換為三層接口switch-1(config)#noipaddress刪除任何協(xié)議地址switch-1(config)#channel-group1modon把該端口分配到通道1中4.6Internet接入設(shè)計(jì)及地址轉(zhuǎn)換技術(shù)應(yīng)用在完成了企業(yè)內(nèi)部的網(wǎng)絡(luò)設(shè)計(jì)之后，就進(jìn)入了企業(yè)廣域網(wǎng)的設(shè)計(jì)階段，首先就是企業(yè)Internet接入的設(shè)計(jì)。現(xiàn)今企業(yè)對(duì)信息的需求急劇增加，信息量呈指數(shù)增長(zhǎng)，通信業(yè)務(wù)也從電話、數(shù)據(jù)向視頻、多媒體等寬帶業(yè)務(wù)發(fā)展。以前的窄帶網(wǎng)絡(luò)已經(jīng)不能滿足企業(yè)寬帶業(yè)務(wù)發(fā)展要求，迫切需要建立一個(gè)高寬帶、業(yè)務(wù)發(fā)展受限制少的寬帶業(yè)務(wù)網(wǎng)。一般現(xiàn)今比較流行的企業(yè)寬帶接入方式有以下幾種：ADSL、DDN、光纖等。在該企業(yè)的Internet接入設(shè)計(jì)部分，我們采用FTTB+LAN的方式。FiberToTheBuilding(FTTB，光纖到樓)，它是利用數(shù)字寬帶技術(shù)，光纖直接到樓內(nèi)機(jī)房，再通過(guò)高速以太網(wǎng)的形式到各個(gè)用戶。FTTB方式將傳統(tǒng)的語(yǔ)音信號(hào)和數(shù)據(jù)信號(hào)并網(wǎng)而行，是一種性價(jià)比最高的組網(wǎng)方式，采用的是專線接入，無(wú)需撥號(hào)，安裝簡(jiǎn)便，可為用戶提供一個(gè)多媒體網(wǎng)絡(luò)環(huán)境以及低價(jià)高質(zhì)的共享專線上因特網(wǎng)的方式。這種接入方式具有很多優(yōu)勢(shì)：網(wǎng)絡(luò)上行下行速度高，而且可擴(kuò)展度高；因?yàn)槭枪饫w出口，所以網(wǎng)絡(luò)可靠、穩(wěn)定；可以使用固定IP，方便建立企業(yè)網(wǎng)站；性價(jià)比高，支持VPN技術(shù)等。我們只要向ISP申請(qǐng)一條光纖接入Internet，把光纖拉到企業(yè)機(jī)房，將光纖接入光纖收發(fā)器或者直接接入帶有光纖口的防火墻和路由器上，再把路由器用雙絞線接到核心交換機(jī)上，然后分散接入到各部門交換機(jī)。這樣，就實(shí)現(xiàn)了兩種不同傳輸介質(zhì)的企業(yè)網(wǎng)絡(luò)的Internet接入方案。在路由器上，我們除了要配置一條靜態(tài)路由器指向ISP之外，我們還需要對(duì)內(nèi)網(wǎng)IP地址做一個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換。地址轉(zhuǎn)換最初主要用來(lái)解決是IP地址短缺的問(wèn)題，后來(lái)地址轉(zhuǎn)換技術(shù)有了更多的用途，逐漸顯示出它的優(yōu)勢(shì)。地址轉(zhuǎn)換設(shè)備提供幾乎無(wú)限的地址空間并隱藏內(nèi)部網(wǎng)絡(luò)尋址方案；如果更改了ISP或與另一個(gè)公司合并，則可以保持當(dāng)前的尋址方案，并在地址轉(zhuǎn)換設(shè)備上作任何必要的改變，可使地址管理更容易；它還有一個(gè)顯著的優(yōu)點(diǎn)是允許嚴(yán)格控制進(jìn)入和離開網(wǎng)絡(luò)的流量，更容易實(shí)施安全和商業(yè)策略。地址轉(zhuǎn)換主要分為兩種類型，網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation,NAT）、端口地址轉(zhuǎn)換（PortAddressTranslation，PAT）。在該企業(yè)的網(wǎng)絡(luò)設(shè)計(jì)中，我們主要用到了PAT技術(shù)。PAT把許多內(nèi)部IP地址轉(zhuǎn)換成一個(gè)單獨(dú)的IP地址，每一個(gè)內(nèi)部地址通過(guò)給定一個(gè)不同的端口好來(lái)確定轉(zhuǎn)換的唯一性。對(duì)于該企業(yè)的各計(jì)算機(jī)我們采用動(dòng)態(tài)PAT技術(shù)進(jìn)行地址轉(zhuǎn)換，讓路由器動(dòng)態(tài)分配端口號(hào)給內(nèi)部的計(jì)算機(jī)。而對(duì)于該企業(yè)的WEB服務(wù)器，我們采用靜態(tài)PAT技術(shù)，這就相當(dāng)于做了一個(gè)端口映射，使得企業(yè)外部可以訪問(wèn)到該企業(yè)內(nèi)部的WEB服務(wù)器，即可以訪問(wèn)到該企業(yè)的網(wǎng)站。PAT配置部分摘錄：Router(config)#access-list1permit55創(chuàng)建內(nèi)部本地地址池Router(config)#ipnatpoolnat-poolnetmask創(chuàng)建內(nèi)部全局地址池Router(config)#ipnatinsidesourcelist1poolnat-pooloverload加入overload實(shí)現(xiàn)PAT轉(zhuǎn)換，全部本地地址共用一個(gè)外部地址Router(config)#intFastEthernet0/0Router(config-if)#ipnatinside把fe0/0口配置為內(nèi)部接口Router(config)#intFastEthernet0/1Router(config-if)#ipnatoutside把fe0/1口配置為外部接口4.7VPN遠(yuǎn)程接入設(shè)計(jì)隨著企業(yè)的收購(gòu)和合并愈演愈烈，再加上企業(yè)自身的發(fā)展壯大與國(guó)際化，每家企業(yè)的分支機(jī)構(gòu)不僅越來(lái)越多，而且它們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為突出。以前各分支機(jī)構(gòu)互訪所采用的常規(guī)方法是租用專線，這樣的連接方式一則要支付昂貴的通信費(fèi)用，再則缺乏靈活性，對(duì)于企業(yè)地理位置的改變不能很好地適應(yīng)。隨著企業(yè)業(yè)務(wù)和自身應(yīng)用需求的發(fā)展，企業(yè)之間的合作及企業(yè)與客戶之間的聯(lián)系也日趨緊密，且這些合作和聯(lián)系都是動(dòng)態(tài)的，總是處于變化和發(fā)展中，這種關(guān)系也需要靠網(wǎng)絡(luò)來(lái)維持和加強(qiáng)。雖然Internet為企業(yè)廣域網(wǎng)連接提供了物質(zhì)基礎(chǔ)，并且TCP/IP協(xié)議為網(wǎng)絡(luò)的互聯(lián)提供了極大的靈活性。但I(xiàn)nternet有一個(gè)致命的弱點(diǎn)，那就是它的安全性。在Internet上傳輸?shù)臄?shù)據(jù)都是采用明文傳輸?shù)模@就給一些非法用戶以可乘之機(jī)，從而出現(xiàn)目前經(jīng)常遇到的如：偽裝欺騙、消息竊聽(tīng)、對(duì)話插隊(duì)、拒絕服務(wù)等網(wǎng)絡(luò)安全隱患。由此看來(lái)，Internet是一個(gè)開放的、不安全的網(wǎng)絡(luò)，要想在這樣一個(gè)不安全的網(wǎng)絡(luò)上實(shí)現(xiàn)敏感數(shù)據(jù)的安全傳輸，就需要采用一些安全技術(shù)。在這樣的背景下，一種基于公用網(wǎng)絡(luò)的動(dòng)態(tài)、安全的連接解決方案就成為時(shí)代之需，VPN就是這樣一種網(wǎng)絡(luò)連接技術(shù)。VPN技術(shù)的成功引入可以從根本上滿足企業(yè)用戶的低通信費(fèi)和高靈活性的雙重需求，更重要的是它可以提供與專線相媲美的通信安全保障，是一種非常廉價(jià)、安全、靈活自如的遠(yuǎn)程網(wǎng)絡(luò)接入解決方案。虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)是指在公共通信基礎(chǔ)設(shè)施上構(gòu)建的虛擬專用網(wǎng)，可以被認(rèn)為是一種從公共網(wǎng)絡(luò)中隔離出來(lái)的網(wǎng)絡(luò)，它與真實(shí)網(wǎng)絡(luò)的差別在于VPN以隔離方式通過(guò)共享公共通信基礎(chǔ)設(shè)施，提供了不與VPN網(wǎng)外用戶共享互聯(lián)點(diǎn)的排他性網(wǎng)絡(luò)通信環(huán)境。VPN拓?fù)鋱D按VPN應(yīng)用的類型來(lái)分，VPN應(yīng)用業(yè)務(wù)大致可分為三類：IntranetVPN、AccessVPN與ExtranetVPN，一般的情況下企業(yè)需要同時(shí)用到這三種VPN。AccessVPN是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過(guò)公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)建的虛擬網(wǎng)。IntranetVPN指企業(yè)的總部與分支機(jī)構(gòu)間通過(guò)VPN虛擬網(wǎng)進(jìn)行網(wǎng)絡(luò)連接。ExtranetVPN即企業(yè)間發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過(guò)公網(wǎng)來(lái)構(gòu)筑的虛擬網(wǎng)。VPN具體實(shí)現(xiàn)形式多種多樣，但都基于一種稱作安全或者加密的隧道技術(shù)。這種技術(shù)可以用來(lái)提供網(wǎng)絡(luò)到網(wǎng)絡(luò)，主機(jī)到主機(jī)，或者主機(jī)到網(wǎng)絡(luò)的安全連接。所謂隧道，實(shí)質(zhì)上是一種封裝，它通過(guò)將待傳輸?shù)脑夹畔?協(xié)議x)經(jīng)過(guò)加密和協(xié)議封裝處理后再嵌套裝入另一種協(xié)議(協(xié)議Y)的數(shù)據(jù)包送入網(wǎng)絡(luò)中，像普通數(shù)據(jù)包一樣進(jìn)行傳輸，實(shí)現(xiàn)跨越公共網(wǎng)絡(luò)傳送私有數(shù)據(jù)包的目的。這里協(xié)議X稱為被封裝協(xié)議，協(xié)議Y稱為封裝協(xié)議，封裝時(shí)一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般封裝形式為(協(xié)議Y(隧道協(xié)議(協(xié)議X)))在實(shí)現(xiàn)基于Internet的VPN時(shí)，我們使用的封裝協(xié)議為IP協(xié)議，相應(yīng)的隧道協(xié)議稱為IP隧道協(xié)議，其封裝形式為(IP隧道協(xié)議(協(xié)議x)))。目前IP網(wǎng)上較為常見(jiàn)的隧道協(xié)議大致有兩類:第二層隧道協(xié)議(包括PPTP,L2TP)和第三層隧道協(xié)議(包括GRE、IPSec,MPLS)，它們的比較如下圖：根據(jù)比較可以看出L2TP等二層隧道協(xié)議適用于用戶遠(yuǎn)程撥號(hào)上網(wǎng)訪問(wèn)遠(yuǎn)端總部資源;MPLS適用于骨干網(wǎng)絡(luò)上大型企業(yè)的多分支機(jī)構(gòu)建立自己私有專用網(wǎng)絡(luò)，雖然具備Qos等其他協(xié)議所不具備的特性，但對(duì)用戶設(shè)備要求比較高，而且目前還在完善中。IPSec協(xié)議是第三層的隧道協(xié)議，IPSec在IP層上對(duì)數(shù)據(jù)包進(jìn)行安全處理，提供數(shù)據(jù)源、無(wú)連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限數(shù)據(jù)流機(jī)密性等安全服務(wù)。各種應(yīng)用程序可以享用IP層提供的安全服務(wù)和密鑰管理，而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制，因此減少密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可能性。因此，IPSec成為實(shí)現(xiàn)VPN的一種重要的方法，非常適用現(xiàn)有的網(wǎng)絡(luò)狀況，是中小型網(wǎng)絡(luò)的首選方式?？紤]到該企業(yè)的組網(wǎng)規(guī)模以及安全需求，我們也采用IPSec協(xié)議族組建VPN內(nèi)聯(lián)網(wǎng)。根據(jù)VPN的應(yīng)用平臺(tái)可分為三類：軟件平臺(tái)、硬件平臺(tái)、軟硬件結(jié)合平臺(tái)。軟件VPN一般性能較差，適用于對(duì)數(shù)據(jù)連接速率較低要求不高，性能和安全性要求不強(qiáng)的小型企業(yè)。硬件VPN雖然有高速率高數(shù)據(jù)安全及通信性能的優(yōu)點(diǎn)，但是它成本太高，中小型企業(yè)很難承受，通常是對(duì)于專業(yè)的VPN網(wǎng)絡(luò)服務(wù)提供商來(lái)說(shuō)選擇這一平臺(tái)較為合適。軟硬結(jié)合VPN這種平臺(tái)是最為通用的一種方式，它既具備了硬件平臺(tái)的高性能、高安全性、同時(shí)也具有軟件平臺(tái)的靈活性，是目前絕大多數(shù)企業(yè)選用的VPN方案。對(duì)于我們要設(shè)計(jì)的這家企業(yè)來(lái)說(shuō)，采用軟硬件結(jié)合的這種VPN方式最適合不過(guò)了。軟硬件結(jié)合VPN也需要硬件方案的支持，目前主要有集中器、交換機(jī)、路由器、網(wǎng)關(guān)和防火墻等VPN方案。其中防火墻VPN方案是目前應(yīng)用最廣的一種VPN方案，它的優(yōu)勢(shì)主要體現(xiàn)在它的安全性方面，這一點(diǎn)從它的方案名稱可以看出，它是采用防火墻設(shè)備作為VPN通信的主要設(shè)備，在傳統(tǒng)的防火墻設(shè)備中嵌入VPN技術(shù)，就是的原來(lái)不是VPN這樣的邏輯上一體的網(wǎng)絡(luò)之間通信成為可能。對(duì)于該企業(yè)的內(nèi)聯(lián)網(wǎng)構(gòu)建，我們只要購(gòu)買兩臺(tái)支持IPSec隧道協(xié)議的VPN防火墻，安裝在總公司和分公司兩個(gè)網(wǎng)絡(luò)邊界，然后對(duì)兩臺(tái)VPN防火墻進(jìn)行相關(guān)配置，當(dāng)建立起VPN連接后，這時(shí)總公司與分公司就相當(dāng)于處于同一個(gè)局域網(wǎng)中，這些配置對(duì)于員工來(lái)說(shuō)這是透明的。而對(duì)于出差辦公或者SOHO辦公的員工，進(jìn)行VPN連接就必須在他們的計(jì)算機(jī)中安裝配套的VPN接入軟件，例如思科的VPN客戶端產(chǎn)品EASYVPN，當(dāng)要訪問(wèn)公司資源時(shí)，通過(guò)一些簡(jiǎn)單的配置，就可以進(jìn)行遠(yuǎn)程撥號(hào)連接。企業(yè)合作伙伴的企業(yè)外聯(lián)網(wǎng)與企業(yè)內(nèi)聯(lián)網(wǎng)VPN差不多，使用軟件或者硬件接入均可，這要視乎企業(yè)合作的程度與時(shí)間長(zhǎng)短而定，它與企業(yè)內(nèi)聯(lián)網(wǎng)的主要區(qū)別在于用戶訪問(wèn)權(quán)限的設(shè)置，外聯(lián)網(wǎng)用戶通常只具備部分企業(yè)內(nèi)部網(wǎng)訪問(wèn)資源的權(quán)限，所以我們要對(duì)VPN防火墻進(jìn)行相關(guān)設(shè)置，以屏蔽企業(yè)內(nèi)部網(wǎng)，確保需要保護(hù)的內(nèi)部網(wǎng)資源的安全性。VPN配置部分摘錄：Firewall1(config)#access-list100permitudphosthosteqisakmpFirewall1(config)#access-list100permitesphosthost該ACL允許兩防火墻之間的ISAKMP/IKE和ESP流量Firewall1(config)#cryptoisakmppolicy10Firewall1(config-isakmp)#authenticationpre-shareFirewall1(config-isakmp)#encryption3desFirewall1(config-isakmp)#group2Firewall1(config-isakmp)#lifetime3600Firewall1(config-isakmp)#exit定義ISAKMP策略中的各種參數(shù)Firewall1(config)#cryptoisakmpkeycisco123address指定預(yù)共享密鑰，它必須與對(duì)方的密鑰值相匹配Firewall1(config)#access-list101permitip5555Firewall1(config)#access-list101permitip5555ACL101是加密ACL指定兩方的流量被保護(hù)Firewall1(config)#cryptoipsectransform-setFirewall2transformesp-sha-hmacesp-3desIKE階段2數(shù)據(jù)連接應(yīng)該用ESPSHA數(shù)據(jù)包認(rèn)證和ESP3DES加密進(jìn)行保護(hù)Firewall1(config)#crytomapIPSECMAP100ipsec-isakmpFirewall1(config-crypto-map)#matchaddress101Firewall1(config-crypto-map)#setpeerFirewall1(config-crypto-map)#settransform-setFirewall2transformFirewall1(config-crypto-map)#exit配置加密映射中的條目100，指定被保護(hù)流量，遠(yuǎn)程對(duì)等體和用來(lái)保護(hù)流量的變換集Firewall1(config)#intethernet1Firewall1(config-if)#ipaccess-group100in在接口上應(yīng)用保護(hù)ACLFirewall1(config-if)#cryptpmapIPSECMAP激活加密映射4.8設(shè)備選型核心交換機(jī)選型在本企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)中，對(duì)核心交換機(jī)的要求比較高，基于本網(wǎng)絡(luò)的規(guī)模、用戶當(dāng)前的應(yīng)用、當(dāng)前網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)技術(shù)及應(yīng)用的發(fā)展趨勢(shì)，我們對(duì)用戶中心交換機(jī)的性能要求作出如下歸納：中心交換機(jī)必須具備足夠的端口，且應(yīng)能夠?qū)崿F(xiàn)多種網(wǎng)絡(luò)帶寬及介質(zhì)的連接能力；必須具備劃分VLAN的功能和三層交換能力，而且要有擴(kuò)展訪問(wèn)控制列表功能，以保證部門間安全訪問(wèn)；中心交換機(jī)應(yīng)具備足夠的千兆擴(kuò)展能力，以便能對(duì)網(wǎng)絡(luò)主干聯(lián)接及中心交換機(jī)與重要服務(wù)器的聯(lián)接能使用千兆以太網(wǎng)?；谏鲜鰧?duì)本網(wǎng)絡(luò)中心交換機(jī)性能要求的認(rèn)識(shí)，我們推薦CiscoCatalyst3750或者同等檔次具有同等功能的交換機(jī)作為該網(wǎng)絡(luò)的中心交換機(jī)。CiscoCatalyst3750系列智能以太網(wǎng)交換機(jī)是一種新型的企業(yè)級(jí)可堆疊多層交換機(jī)，可提供高可用性、可擴(kuò)展性、安全性和可改進(jìn)網(wǎng)絡(luò)運(yùn)營(yíng)的管理能力。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，Catalyst3750系列可作為中型企業(yè)布線室的強(qiáng)大訪問(wèn)層交換機(jī)和中型網(wǎng)絡(luò)的骨干網(wǎng)交換機(jī)。接入層交換機(jī)選型為方便跨交換機(jī)的VLAN劃分，優(yōu)化網(wǎng)絡(luò)性能，簡(jiǎn)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在網(wǎng)絡(luò)設(shè)計(jì)中，接入層統(tǒng)一使用Cisco2950－24交換機(jī)。因?yàn)榻尤雽咏粨Q機(jī)必須配置trunk口，所以802.1Q必須使用，又要求性能必須穩(wěn)定，所以對(duì)本項(xiàng)目而言Cisco2950－24交換機(jī)是性價(jià)比最好的交換機(jī)。路由器選型對(duì)于路由器的品牌，我們推薦國(guó)際知名廠商CISCO，或者為求便宜可以使用聯(lián)想的路由器。而華為的路由器功能上不及CISCO，但是現(xiàn)在價(jià)位上已經(jīng)追上CISCO了。在CISCO的產(chǎn)品中有很多不同的型號(hào)，在該方案中，我們采用CISCO2600系列路由器。Cisco2600系列是一款屢獲大獎(jiǎng)的模塊化多服務(wù)接入路由器系列，具有靈活的LAN和WAN配置、多個(gè)安全性選項(xiàng)、語(yǔ)音/數(shù)據(jù)集成和一系列高性能處理器。這些特性使Cisco2600系列成為可滿足當(dāng)今及未來(lái)客戶要求的理想企業(yè)路由器。防火墻選型因?yàn)樵撈髽I(yè)的網(wǎng)絡(luò)設(shè)計(jì)使用到的IPSECVPN技術(shù)是在防火墻上實(shí)現(xiàn)的，所以在防火墻的選擇上一定要具備IPSECVPN功能。除此以外，防火墻的安全保護(hù)能力一定要強(qiáng)大，吞吐量要夠，而且必須具有很強(qiáng)的穩(wěn)定性，以保障日常工作順利進(jìn)行?；谝陨侠碛?，我們推薦CiscoPIX515E防火墻。CiscoPIX515E是被廣泛采用的CiscoPIX515平臺(tái)的增強(qiáng)版本，它可以提供業(yè)界領(lǐng)先的狀態(tài)防火墻和IP安全（IPSec）虛擬專用網(wǎng)服務(wù)。CiscoPIX515E針對(duì)中小型企業(yè)和企業(yè)遠(yuǎn)程辦公機(jī)構(gòu)而設(shè)計(jì)，具有更強(qiáng)的處理能力和集成化的、基于硬件的IPSec加速功能。CiscoPIX515E多功能的單機(jī)架單元（1RU）機(jī)箱可以支持六個(gè)接口，使之成為那些需要一個(gè)具有DMZ支持的、成本低廉的安全解決方案的企業(yè)的理想選擇。作為全球領(lǐng)先的CiscoPIX防火墻系列的一部分，它可以為今天的網(wǎng)絡(luò)用戶提供無(wú)以倫比的安全性、可靠性和性能。

5結(jié)論在網(wǎng)絡(luò)設(shè)計(jì)中，沒(méi)有一種設(shè)計(jì)方案可以適合所有的網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)計(jì)技術(shù)非常復(fù)雜而且更新很快，因此我們必須根據(jù)實(shí)際情況具體分析。作為網(wǎng)絡(luò)設(shè)計(jì)者，有時(shí)負(fù)責(zé)從無(wú)到有實(shí)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)，有時(shí)則不得不在現(xiàn)有的基礎(chǔ)設(shè)施里融合進(jìn)新技術(shù)。無(wú)論網(wǎng)絡(luò)技術(shù)怎么發(fā)展變化，對(duì)每個(gè)網(wǎng)絡(luò)來(lái)說(shuō)，如此多的復(fù)雜協(xié)議進(jìn)行交互都會(huì)產(chǎn)生唯一的結(jié)果，就是將數(shù)據(jù)送到目的地。在本文中，我們按照計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的一般原則和基本過(guò)程，開展了網(wǎng)絡(luò)需求的調(diào)研分析，提出了網(wǎng)絡(luò)系統(tǒng)的總體設(shè)計(jì)方案以及設(shè)計(jì)目標(biāo)，采用層次化模型方法，將網(wǎng)絡(luò)的結(jié)構(gòu)分層為核心層和接入層，對(duì)該企業(yè)闡述了網(wǎng)絡(luò)系統(tǒng)的物理設(shè)計(jì)和實(shí)現(xiàn)過(guò)程。該企業(yè)網(wǎng)絡(luò)在功能性、安全性、可靠性、可管理性等方面完全符合企業(yè)所屬各部門的工作需求，并具有一定的可擴(kuò)展性，達(dá)到了預(yù)期的目標(biāo)。在該項(xiàng)目中成功地應(yīng)用了較為先進(jìn)的VLAN、光纖接入、第三層交換、千兆核心交換、VPN遠(yuǎn)程接入等技術(shù)，使得網(wǎng)絡(luò)系統(tǒng)在性能、安全性、可管理性、擴(kuò)展性等方面領(lǐng)先于一般的企業(yè)網(wǎng)絡(luò)。本規(guī)劃設(shè)計(jì)方案只是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀及網(wǎng)絡(luò)安全的解決方案，在隨后的分期分批的項(xiàng)目實(shí)施過(guò)程中，由于企業(yè)網(wǎng)絡(luò)環(huán)境、以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的變化，會(huì)在細(xì)節(jié)上根據(jù)實(shí)際情況進(jìn)行相應(yīng)的調(diào)整，如：安裝設(shè)備數(shù)量、設(shè)備安裝具體地點(diǎn)等，只要在總的布局、要求以及標(biāo)準(zhǔn)上保持不變，實(shí)施之后就能夠達(dá)到本方案的設(shè)計(jì)要求。致謝感謝我的論文指導(dǎo)教師肖濤老師，在我的論文撰寫過(guò)程中多次給予指導(dǎo)，并細(xì)心地幫助我檢查論文，提出修改意見(jiàn)，使我得以順利完成學(xué)士論文。肖老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度和優(yōu)秀的做人的品格將讓我終生受益匪淺。其次我要感謝我的計(jì)算機(jī)網(wǎng)絡(luò)課程的授課教師何懷文老師，我還要向我的父母致以最誠(chéng)摯的謝意，是你們的養(yǎng)育、期望和支持，使我順利地完成學(xué)業(yè)。最后，我還要感謝所有為我的論文提出指導(dǎo)意見(jiàn)的同學(xué)和朋友，他們的名字無(wú)法一一盡述，在此一并表示誠(chéng)摯的感謝。參考文獻(xiàn)1.RichardFroom,BalajiSivasubramanian,ErumFrahim.CCNP學(xué)習(xí)指南：組建Cisco多層交換網(wǎng)絡(luò)（BCMSN）.第二版.人民郵電出版社,20042.RichardA.Deal.Cisco路由器防火墻安全.人民郵電出版社.20063.CiscoSystems公司,CiscoNetworkingAcademyProgram.思科網(wǎng)路技術(shù)學(xué)院教程網(wǎng)絡(luò)安全基礎(chǔ).人民郵電出版社.20054.CatherinePaquet,DianeTeare.CCNP自學(xué)指南：組建可擴(kuò)展的Cisco互聯(lián)網(wǎng)絡(luò)（BSCI）.第二版.人民郵電出版社,20045.王達(dá).虛擬專用網(wǎng)（VPN）精解.清華大學(xué)出版社.2004基于C8051F單片機(jī)直流電動(dòng)機(jī)反饋控制系統(tǒng)的設(shè)計(jì)與研究基于單片機(jī)的嵌入式Web服務(wù)器的研究MOTOROLA單片機(jī)MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對(duì)良率的影響研究基于模糊控制的電阻釬焊單片機(jī)溫度控制系統(tǒng)的研制基于MCS-51系列單片機(jī)的通用控制模塊的研究基于單片機(jī)實(shí)現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機(jī)控制的二級(jí)倒立擺系統(tǒng)的研究基于增強(qiáng)型51系列單片機(jī)的TCP/IP協(xié)議棧的實(shí)現(xiàn)基于單片機(jī)的蓄電池自動(dòng)監(jiān)測(cè)系統(tǒng)基于32位嵌入式單片機(jī)系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機(jī)的作物營(yíng)養(yǎng)診斷專家系統(tǒng)的研究基于單片機(jī)的交流伺服電機(jī)運(yùn)動(dòng)控制系統(tǒng)研究與開發(fā)基于單片機(jī)的泵管內(nèi)壁硬度測(cè)試儀的研制基于單片機(jī)的自動(dòng)找平控制系統(tǒng)研究基于C8051F040單片機(jī)的嵌入式系統(tǒng)開發(fā)基于單片機(jī)的液壓動(dòng)力系統(tǒng)狀態(tài)監(jiān)測(cè)儀開發(fā)模糊Smith智能控制方法的研究及其單片機(jī)實(shí)現(xiàn)一種基于單片機(jī)的軸快流CO〈,2〉激光器的手持控制面板的研制基于雙單片機(jī)沖床數(shù)控系統(tǒng)的研究基于CYGNAL單片機(jī)的在線間歇式濁度儀的研制基于單片機(jī)的噴油泵試驗(yàn)臺(tái)控制器的研制基于單片機(jī)的軟起動(dòng)器的研究和設(shè)計(jì)基于單片機(jī)控制的高速快走絲電火花線切割機(jī)床短循環(huán)走絲方式研究基于單片機(jī)的機(jī)電產(chǎn)品控制系統(tǒng)開發(fā)基于PIC單片機(jī)的智能手機(jī)充電器基于單片機(jī)的實(shí)時(shí)內(nèi)核設(shè)計(jì)及其應(yīng)用研究基于單片機(jī)的遠(yuǎn)程抄表系統(tǒng)的設(shè)計(jì)與研究基于單片機(jī)的煙氣二氧化硫濃度檢測(cè)儀的研制基于微型光譜儀的單片機(jī)系統(tǒng)單片機(jī)系統(tǒng)軟件構(gòu)件開發(fā)的技術(shù)研究基于單片機(jī)的液體點(diǎn)滴速度自動(dòng)檢測(cè)儀的研制基于單片機(jī)系統(tǒng)的多功能溫度測(cè)量?jī)x的研制基于PIC單片機(jī)的電能采集終端的設(shè)計(jì)和應(yīng)用基于單片機(jī)的光纖光柵解調(diào)儀的研制氣壓式線性摩擦焊機(jī)單片機(jī)控制系統(tǒng)的研制基于單片機(jī)的數(shù)字磁通門傳感器基于單片機(jī)的旋轉(zhuǎn)變壓器-數(shù)字轉(zhuǎn)換器的研究基于單片機(jī)的光纖Bragg光柵解調(diào)系統(tǒng)的研究單片機(jī)控制的便攜式多功能乳腺治療儀的研制基于C8051F020單片機(jī)的多生理信號(hào)檢測(cè)儀基于單片機(jī)的電機(jī)運(yùn)動(dòng)控制系統(tǒng)設(shè)計(jì)Pico專用單片機(jī)核的可測(cè)性設(shè)計(jì)研究基于MCS-51單片機(jī)的熱量計(jì)基于雙單片機(jī)的智能遙測(cè)微型氣象站MCS-51單片機(jī)構(gòu)建機(jī)器人的實(shí)踐研究基于單片機(jī)的輪軌力檢測(cè)基于單片機(jī)的GPS定位儀的研究與實(shí)現(xiàn)基于單片機(jī)的電液伺服控制系統(tǒng)用于單片機(jī)系統(tǒng)的MMC卡文件系統(tǒng)研制基于單片機(jī)的時(shí)控和計(jì)數(shù)系統(tǒng)性能優(yōu)化的研究基于單片機(jī)和CPLD的粗光柵位移測(cè)量系統(tǒng)研究單片機(jī)控制的后備式方波UPS提升高職學(xué)生單片機(jī)應(yīng)用能力的探究基于單片機(jī)控制的自動(dòng)低頻減載裝置研究基于單片機(jī)控制的水下焊接電源的研究基于單片機(jī)的多通道數(shù)據(jù)采集系統(tǒng)基于uPSD3234單片機(jī)的氚表面污染測(cè)量?jī)x的研制基于單片機(jī)的紅外測(cè)油儀的研究96系列單片機(jī)仿真器研究與設(shè)計(jì)基于單片機(jī)的單晶金剛石刀具刃磨設(shè)備的數(shù)控改造基于單片機(jī)的溫度智能控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)基于MSP430單片機(jī)的電梯門機(jī)控制器的研制基于單片機(jī)的氣體測(cè)漏儀的研究基于三菱M16C/6N系列單片機(jī)的CAN/USB協(xié)議轉(zhuǎn)換器基于單片機(jī)和DSP的變壓器油色譜在線監(jiān)測(cè)技術(shù)研究基于單片機(jī)的膛壁溫度報(bào)警系統(tǒng)設(shè)計(jì)基于AVR單片機(jī)的低壓無(wú)功補(bǔ)償控制器的設(shè)計(jì)基于單片機(jī)船舶電力推進(jìn)電機(jī)監(jiān)測(cè)系統(tǒng)基于單片機(jī)網(wǎng)絡(luò)的振動(dòng)信號(hào)的采集系統(tǒng)基于單片機(jī)的大容量數(shù)據(jù)存儲(chǔ)技術(shù)的應(yīng)用研究基于單片機(jī)的疊圖機(jī)研究與教學(xué)方法實(shí)踐基于單片機(jī)嵌入式Web服務(wù)器技術(shù)的研究及實(shí)現(xiàn)基于AT89S52單片機(jī)的通用數(shù)據(jù)采集系統(tǒng)\t"