企业远程网络接入技术的实现

成都理工大学工程技术学院毕业论文企业远程网络接入技术的实现作者姓名XXX专业名称计算机通信指导老师XXX讲师XXX讲师XXX助教成都理工大学工程技术学院毕业论文II摘要随着INTERNET技术的日益普及，网络技术的飞速发展，企业信息化工作越来越受到重视，进入二十一世纪后，企业信息化不再满足于个人或单个部门的少量计算机应用，而逐步过渡到多部门、这个企业甚至跨企业跨地域的大量计算机的协同工作，因此我们需要把这些计算机用网络联系起来，这也就是我们所说的企业网。本文是对某IT企业的一个企业网络规划设计的解决方案，文章首先分析了企业网络的设计需求，根据需求提出了设计原则与设计目标，制定了总体的规划设计方案，然后再分层次具体地对该企业的局域网和广域网进行设计，在该方案中，我们采用了VLAN、三层交换、千兆交换、VPN等先进网络技术，基本满足了该企业的需求，并留有足够的扩充空间，以适应今后发展。关键词企业网络规划设计远程接入VPN成都理工大学工程技术学院毕业论文IIIABSTRACTASTHETECHNOLOGYOFINTERNETINCREASINGLYPOPULARIZES,ITISGETTINGMOREANDMOREIMPORTANTTHATTHETECHNOLOGYOFNETDEVELOPSATFULLSPEED,ANDTHEWORKOFENTERPRISEISINFORMATIONALNOWITISTHETWENTYFIRSTCENTURY,THEINFORMATIONALENTERPRISECANTJUSTBESATISFIEDBYTHEUSINGOFFEWCOMPUTERSINSINGLEPERSONORDEPARTMENT,ITHASTOCHANGEINTOCOORDINATIONOFLARGEQUANTITYONESINMOREDEPARTMENTSLIKETHEWHOLEENTERPRISESTEPBYSTEP,EVENINTRANSENTERPRISEORTRANSDISTRICTTHISTHESISISADESIGNPROJECTFORSOLUTIONTOTHENETINONEITENTERPRISEFIRST,ITANALYZESTHENEEDSOFDESIGNFORTHEENTERPRISEACCORDINGTOWHICHITPUTSFORWARDTHEDESIGNPRINCIPLEANDAIMANDFORMULATESTHESCHEMEOFTHEWHOLEDESIGNPROJECTSECONDLY,ITDESIGNSTHEINTERNETPARTICULARLYINDIFFERENTASPECTSINTHISSCHEME,ITUSESADVANCETECHNOLOGYOFINTERNET,FORINSTANCE,VLAN,EXCHANGEOFTHREELAYERS,THOUSANDTRILLIONSWITCHING,OPTICALFIBERRECEIVING,VPNANDSOON,TOBASICALLYMEETTHENEEDSOFTHEENTERPRISEANDSAVEENOUGHROOMFOREXPANDINGTOADAPTTOTHEDEVELOPMENTHENCEFORWARDKEYWORDSENTERPRISENETWORK,PLANNINGANDDESIGN,REMOTEACCESS,VPN成都理工大学工程技术学院毕业论文1目录摘要IIABSTRACTIII目录11前言22企业远程网络接入详解321概述322企业网络设计需求分析323远程接入技术的发展424远程接入的安全性43网络总体规划531企业网络设计目标532企业网络设计原则633网络设计相关协议说明74网络具体规划与设计841网络结构拓扑图设计942IP地址规划1043基于VLSM的子网划分1244VLAN规划1245三层交换技术与链路聚合的应用1446INTERNET接入设计及地址转换技术应用1747VPN远程接入设计1948设备选型24总结26致谢27参考文献28成都理工大学工程技术学院毕业论文21前言目前，对于国内的部分企业而言，计算机技术的应用很大程度上还只是停留在单机应用的水平上，应用软件也只是办公软件和简单的数据应用。但是，随着计算机网络技术的不断发展与普及、企业信息化得逐步深入和企业自身发展需求日益增大，在充分利用现有资源、不需要很大投资的基础上，构建适合自身的情况、满足实际需求的网络系统是非常有必要的，也是切实可行的。伴随着企业业务的不断扩大和跨地域性发展，传统的远程办公只能通过对需要远程访问的PC或便携式电脑安装客户端程序以及远程访问客户机驱动程序才能实现的方案已逐渐显示出其发展的局限性。从最终用户的角度来看，最佳的远程访问解决方案必须能够随时随地通过任何硬件或软件平台迅速和易于访问的连接快速地获得企业信息。从系统管理员的角度来看，最佳的远程访问的关键所在。业务系统必须充分满足不同用户、不同系统配置、不同接入方式的需求，同时，对业务系统管理和维护必须具备一定的灵活性和简易性。因此，理想的解决方案是通过便捷的WEB浏览器的远程访问方案，这种方法需要最少的管理开销，用户随时能即时而容易地访问远程应用程序并操作数据。因此，企业进行计算机网络的建设，不仅是信息社会发展的要求，也是自身发展所必须的。成都理工大学工程技术学院毕业论文32企业远程网络接入详解21概述作为企业网络平台的一种有效的延伸，远程访问接入技术一直在我们的网络应用中扮演非常重要的角色。但远程接入既需要跨越地域局限，又需要足够的带宽。远程接入的原理是将企业所需要的各种应用软件集中部署在服务器上发布，客户端无需安装任何软件。用户通过各种设备使用服务器上安装的各种应用程序。通过采用一种传输协议，把应用程序的人机交互逻辑与计算逻辑进行分离，能使用户获得本地使用一样的效果。访问服务器应用时，传输的都是矢量数据，没有真实数据传输，相当于把鼠标、键盘的延伸，安全性得到有效保证。用户可以随时、随地、以任何设备和任意的连接方式访问服务器资源，实时应用。22企业网络设计需求分析网络需求分析就是根据企业信息技术应用要求和企业的业务发展需求，结合企业现有设备状况和人员素质，较为全面地调查和分析企业在信息技术方面的技术需求，然后从网络建设的角度，将这些需求转换成构造网络系统以及网络系统能够提供服务的需求。在网络需求分析过程中，网络系统用户往往从系统外部关注整个网络系统的功能和性能，而网络设计者往往从网络系统内部关注整个网络系统的技术和结构。因此，如何正确地将用户对网络系统功能和性能的需求转换成对网络系统技术和结构的需求并给予量化表示是网络需求分析的关键。经过对该公司各个部门职能的分析以及调研，将系统需求归纳为如下几点1）在该企业的总公司以及分公司各建立一个新的计算机网络基础设施，将该企业内现有计算机以及外设连在一起工作。服务器、连接设备、综合布线等统一购买和配置，客户机应利用现有各部门的计算机，以保护原有投资和不影响正常工作。成都理工大学工程技术学院毕业论文42）该网络系统能实现资源共享，包括软件共享，文件共享，打印机共享。在外工作的员工可以透过INTERNET安全访问企业资源，远程办公。3）能高速接入INTERNET进行工作，收发邮件，浏览网页查找资料。建立企业对外网站，提供一个对外宣传的平台，提高企业知名度。4）网络管理控制不同权限的员工使用INTERNET的方式和范围，限制普通员工利用公司网络进行业务无关的活动。5）安全性对不同部门之间的相互访问作限制，防止非法访问，保护商业机密。预防计算机病毒，尽可能把病毒感染的几率降到最低。使用防火墙，防止来自互联网上的入侵，保障企业资源的安全。6）可扩展性考虑到企业的发展与以后规模的扩大，企业网络设计需预留扩展空间，以便今后的网络改造。23远程接入技术的发展这种远程管理平台产品，在中国是2004年萌芽的，随后许多厂商把目标聚焦到这一块上，远程接入产品的厂商便雨后春笋般的出现。在中国，短短三年多的时间里，已经有三十多个远程接入技术的产品供商出现。2005年以前，是由国外的CITRIX一枝独秀，占有80以上的市场份额。从2005年下半年开始，以金万维、惠尔顿、瑞友、科迈、沟通为代表的厂商相继出现，瓦解了一枝独秀的局面，也就进入了激烈的竞争时代。随着虚拟化技术的发展，远程接入的模式发生了根本性的变化。包括与远程接入配合应用的接入安全审计和单点登录形成整体企业集中化应用解决方案。24远程接入的安全性针对远程接入的不断发展与完善，接入应用安全需求日益显现。TSAUDITOR详见百度搜索安全接入审计针对所有远程接入应用而进行安全强化的应用方案。TSAUDITOR可以实现远程操作行为录像、安全策略报警、服务器自动保护。充分强化接入应用安全。达到专业防火墙技术级别，可以让具体客户端在具体时间，拒绝还是允许访问某服务器或者某服务器上的应用程序，控制手段具成都理工大学工程技术学院毕业论文5有客户端机器名、IP地址、MAC地址、综合算法后的硬件特征码等。3网络总体规划网络规划是对拟建网络的初步设计，应该遵循网络设计的一般原则和方法，并提出相应的解决方案为后续的设计和实现工作的依据。网络总体规划反映了网络设计“总体规划、分布实施”的网络建设原则，是从网络需求分析到网络具体设计之间必经的阶段，网络规划通过对企业网络需求的调查、分析、归纳，把企业现在和未来对网络的需求转换成对网络结构、功能、性能、协议等技术指标的具体要求。31企业网络设计目标该IT企业网络建设的目标，就是在总公司和分公司分别建设局域网，将互联网技术引入企业内部网，使用远程接入技术将公司与分公司之间连接起来，并使在外员工可随时接入公司网络，从而建立起统一、快捷、高效的中型INTRANENT系统，整个系统在安全、可靠、稳定的前提下，符合经济的原则，即实现合理的投入，最大的产出。总体设计如下1）以千兆以太网为主干网，利用第三层交换技术实现大型局域网的VLAN的划分。规划中服务器、信息中心采用千兆，与中心主交换机连接，其他部门采用100M网卡通过其他二级交换机接入主干网。2）网络通过光纤接入INTERNET/CHINANET，在公网上建立虚拟专用网VPN；通过采用WEB技术和INTERNETVPN技术以及信息加密技术实现电子商务。这样，可以提供远程拨号访问和通过INTERNET访问两种方式，来实现全国各分支机构、相关部门以及公众对公司信息的限制性访问。3）网络的安全机制（1）通过对网络设备的配置，控制访问列表等方式来加强网络的安全性措施；（2）更重要的是，在内部网与公众网的结合处，采用先进的防火墙技术、代理服务器技术、以及WEB服务器的口令验证、数据加密等技术实现网络的安全性4）网络中心设立WEB应用服务器、EMAIL服务器、DNS服务成都理工大学工程技术学院毕业论文6器、数据库服务器、文件服务器，实现WEB访问、INTERNET接入、EMAIL系统、域名解析、应用系统等各种功能。32企业网络设计原则1）实用性原则。计算机设备、服务器设备和网络设备在技术性能逐步提升的同时，其价格却在逐年下降。因此，不可能也没有必要实现所谓“一步到位”。所以，网络方案设计中应把握“够用”和“实用”原则。网络系统应采用成熟可靠的技术和设备，达到实用、经济和有效的目的。2）前瞻性原则。在实用的基础上还可以具有一定的前瞻性，在网络结构上要做到能适应较长时期企业和网络技术的发展，不要在网络刚组建不久就发现很难实现某些较新的应用，或者根本不能应用目前的一些主流软件，这样势必造成企业网络资源的浪费。3）开放性原则。网络系统应采用开放的标准和技术，如TCP/IP协议、IEEE802系列标准等。其目标首先是要有利于未来网络系统的扩充，其次还要有利于在需要时与外部网络互通。4）可靠性原则。作为一个具有一定规模的中型企业。企业的网络不允许有异常情况发生，因为一旦网络发生异常情况，就会带来很大的损失。在这样的网络中，就要尽量使用冗余备份，当某个网络设备故障时，网络还可以零间断地继续工作，这样就很好的保障了企业网络的可靠性。5）安全性原则。在企业网的设计中，安全性的设计是很重要的。每家企业都有自己的商业机密，如果这些机密被窃取，后果是不堪设想的。企业必须保护其网络系统，以避免受外来恶意性入侵，但也必须保留足够空间，使其主要经营之业务能顺利运作。倘若安全性系统保护企业免受病毒及骇客攻击，但却阻挠其服务客户及迈向电子商务脚步，那么此系统就已超越其权限了。网络安全应是永远以能符合企业经营目标的最大利益为优先考量。6）可管理性原则。网络管理员能够在不改变系统运行的情况下对网络进行调整，不管网络设备的物理位置在何处，网络都应该是可以控制的。7）可扩展性原则。网络总体设计不仅要考虑到近期目标，也要为成都理工大学工程技术学院毕业论文7企业以及网络的进一步发展留有余地。因此，需要统一规划和设计。网络系统应在规模和性能两方面具有良好的可扩展性。由于目前网络产品标准化程度较高，因此可扩展性要求基本不成问题。33网络设计相关协议说明网络协议是需要通信的计算机之间共同遵循的数据结构、语义和操作规则。网络协议常采用分层的体系结构。各协议层互相独立，下层提供上层某项功能的服务（一般有面向连接和无连接两类），上层利用该功能再向上提供更完善的服务。目前，主要的协议体系结构有OSI族和TCP/IP族。它们的参考模型及各层的对应关系如图所示。OSITCP/IPOSI协议族OSI（开放系统互联参考模型）协议族是国际标准化组织（ISO）建议并主持制定的有广泛影响的网络互联协议。1）物理层是第一层，它决定设备之间的物理接口以及在传输介质上比特传送的规则。2）数据链路层是第二层，它的主要任务是加强物理层传输比特的可靠性。3）网络层是第三成，它的主要功能是利用数据链路层所保证的邻接节点之间的无差错数据传输功能，通过路由选择和中继功能，实现两个端系统之间的连接。4）传输层是第四层，它利用下三层所提供的网络服务向高层提供可应用层表示层会话层传输层网络层数据链路层物理层应用层无对应层传输层网络层硬件接口层成都理工大学工程技术学院毕业论文8靠的端到端的透明数据传输。5）会话层是第五层，它提供一种经过组织的方法在用户之间交换数据。6）表示层是第六层，它把上层交付的信息变换为能够共同理解的形式，它关心的是所传输的信息的语法和语义，它只对应用层信息的形式进行变换，但不改变信息内容本身。7）应用层是第七层，它的功能是提供应用进程（用户程序）之间信息交换的基本任务。TCP/IP协议族TCP/IP协议族是广泛应用于计算机互联的业界标准。该协议族是一组独立的协议的集合，其中最主要的是TCP协议和IP协议。TCP/IP协议族亦采用层次化的结构模型，共包括四个层次1）硬件接口层，TCP/IP协议族没有具体定义硬件层，因而它对各种各样的网络硬件具有高度的适应性，这正式它的成功之处。2）网络层，它的主要功能是定义信息包（IP数据包）并处理信息包的路由选择。该层的主要协议有IP、ARP、RARP。3）传输层。它提供端到端的数据传输服务。该层的主要协议有TCP、UDP。4）应用层。它由使用网路的应用程序和进程组成。该层最接近用户，主要协议有SMTP、DNS、FTP、TELNET。OSI强调的是如何把开放式系统连接起来的，它是一个理论上的参考模型。而TCP/IP框架包含了大量的协议和应用，他虽然不是ISO标准，但一致于ISO的OSI参考模型制定，并在不断发展过程中吸收了OSI模型中的概念及特征，它的使用已经越来越广泛，几乎成为“事实上的标准”，著名的INTERNET就是基于TCP/IP协议族的。4网络具体规划与设计在总体上规划好企业网络之后，就要进入具体设计的阶段，这也是网络设计的最重要的环节。在这个阶段，要对该企业网络的拓扑结构、IP地址规划、子网划分、INTERNET接入等方面进行详细的规划与设计。成都理工大学工程技术学院毕业论文941网络结构拓扑图设计所谓拓扑是一种研究与大小、距离无关的几何图形特性的方法。网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式，网络中各站点相互连接的方法和形式称为网络拓扑。拓扑图给出网络服务器、工作站的网络配置和相互间的连接，它的结构主要有星型结构、总线结构、树型结构、网状结构、蜂窝状结构、分布式结构等。不同的连接方法网络的性能不同，局域网拓扑结构通常分为3种，分别是总线型、星型和环型。该企业局域网网络主要采用了星型的拓扑结构，因为企业规模不大，所以在设计上只划分了两层来设计核心层和接入层。总公司的工作站大约为200人，考虑到规模较大而且该总公司的业务比较重要，核心层的设计上采用了两台千兆三层交换机作一个冗余备份，在这两台三层交换机之间作链路聚合，就算其中一个核心交换机当机，也可以保证网络的瞬间恢复，大大增加了网络的可靠性。分公司由于规模较小，考虑到企业网络设计上的实用性与经济性原则，核心层的设计只使用一台千兆三层交换机。而在接入层的设计上，总分公司都使用多台二层交换机，100兆到桌面。服务器选择摆放在信息中心，以便管理。为了防止企业外部对内的攻击，在路由器外部安装硬件防火墙。成都理工大学工程技术学院毕业论文10总公司网络拓扑图图4142IP地址规划每台计算机、服务器、或者路由器的接口都有一个由授权机构分配的号码，我们称它为IP地址。TCP/IP协议规定，根据网络规模的大小将IP地址分为5类（A、B、C、D、E）表41A类1000126000B类12800019125500C类1920002232552550D类224000239255255255成都理工大学工程技术学院毕业论文11虽然有这么多IP地址，但是这些IP地址我们是不能随便用的，大多数的地址都被互联网专业机构注册并指定，在IP地址日益匮乏的今天，企业一般只能申请到几个公网地址。但是有部分的IP地址被特别区分出来用作私有网络使用，它们被称为私有IP地址表42A类1000010255255255B类172160017231255255C类19216800192168255255该企业只有一个公网IP，考虑到内网计算机终端数量不多，该企业局域网IP使用C类私有地址进行分配。对于局域网的IP地址分配问题，用户规模越大，管理工作就越困难，必须深思加以解决。目前一般来说有两种分配方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。用动态IP地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，再加上对网卡MAC地址的管理，网络就会具有更好的可管理性。但如果网络规模较大，则IP地址管理的工作量就相当大。综合以上考虑，由于该企业的规模不是很大，因此从网络安全的角度出发，采用静态地址分配的方法。并结合核心交换机的第三层交换功能，进行子网的划分，一方面可以降低网络风暴的发生，另一方面也加强了网络的安全性。但当随着以后企业规模的不断扩大发展，整个网络信息的规模不断扩大，则可以考虑采用DHCP动态IP地址分配的方案，设立专门的DHCP服务器进行动态IP地址分配。同样可以基于中心交换机的VLAN功能进行配置，划分网段，根据各个二级单位信息点所在的网段进行动态地址分配。成都理工大学工程技术学院毕业论文1243基于VLSM的子网划分该企业总公司有193人，分公司有99人。如果分别把各自所有的主机放到一个子网里，对企业的安全性管理极为不利，而且如果有站点更新（计算机的配置调整或增减计算机）或发生故障，大量的广播数据会严重影响网络的整体性能。因此必须对这些主机进行子网划分控制广播域的规模。VLSMVARIABLELENGTHSUBNETMASKS变长子网掩码，是在标准的掩码上面再划分的子网的网络号码，不同子网的子网掩码可能有不同的长度，但一旦子网掩码的长度确定了，它们就不变了，这个技术对于高效分配IP地址。由于该企业人数不多，如果给每个子网分配一个C类地址，就会造成IP地址的浪费，所以要采用可变长子网掩码技术对该企业局域网进行子网划分。该企业的子网是按照部门来划分的，基于可扩展性的原则，除了满足每个部门都能分到足够的IP地址外，还要为以后的人事调动、部门扩展等留有冗余的IP，否则可能会由于一些很小的人事变化就得重新划分子网。考虑到总公司与分公司之间要通过VPN技术远程互联，所以总公司与分公司的内网IP不能有重复。表43部门子网网络号子网掩码网关开发部192168002552552551281921680126工程部19216801282552552551921921680190业务部19216801922552552551921921680253人事部19216810255255255224192168130商务部192168132255255255224192168162财务部192168164255255255240192168178信息中心192168180255255255240192168194经理部192168196255255255240192168111044VLAN规划VLAN（VIRTUALLOCALAREANETWORK）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟成都理工大学工程技术学院毕业论文13工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的8021Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。我们已经为该企业划分了子网，不同的部门在不同的子网里，子网与子网之间不能访问，也控制了广播域太大的问题。这样看来好像不必要再划分VLAN了，其实不然，因为这样只作子网划分是存在安全性问题的。局域网内的任何用户只要稍微修改一下IP与子网掩码就可以访问到该企业的任何部门了。所以，我们必须在交换机上划分好VLAN，这样，只要加强对交换机的保护，不让一般员工改变交换机的配置，就算他们更改自己电脑的IP和子网掩码也无法访问到其它部门了。VLAN有几种不同的划分方法1根据端口来划分VLAN。2根据MAC地址划分VLAN。3根据网络层划分VLAN。4根据IP组播划分VLAN。该企业的VLAN我们采取根据端口来划分，这种划分方式是现在最常用的。只要把同一个部门的端口全部划分进同一个VLAN就行了，而且还可以进行跨交换机的端口VLAN划分，也就是说不同交换机上的端口也可以在同一个VLAN里，这样VLAN的划分就不必要受到物理空间的限制，具有很好的灵活性。今后如果有人事调动或者部门扩充，只要在交换机上作相应的配置就可以了。处理VLAN时，交换机端口支持两种连接类型接入链路（ACCESS成都理工大学工程技术学院毕业论文14LINK）与中继（TRUNK）。接入链路连接只能与单个VLAN相关，任何连接到该端口的任何设备将会在相同的广播域中。与接入链路不同，中继连接能为多个VLAN传送流量。中继链路一般在特点的设备之间，包括交换机到交换机，交换机到路由器，交换机到文件服务器等。在该企业的VLAN端口配置中，各接入层的二层交换机与核心层的三层交换机之间的链路要配置成TRUNK链路，其他端口配置成ACCESS链路，这样VLAN信息就可以在各二层交换机之间传递，不同交换机但是同一个VLAN的用户就可以相互访问了。VLAN部分配置摘录SWITCH1CONFIGVLAN10创建一个VLAN（开发部）SWITCH1CONFIGVLANNAMEKAIFABU为此VLAN取名SWITCH1CONFIGVLANEXITSWITCH1CONFIGINTFA0/1进入一个快速以太端口配置SWITCH1CONFIGIFSWITCHPORTMODEACCESS把该接口配置为ACCESS链路SWITCH1CONFIGIFSWITCHPORTACCESSVLAN1把该端口加入VLAN1SWITCH1CONFIGIFEXITSWITCH1CONFIGINTGIG2/1进入千兆端口SWITCH1CONFIGISWITCHMODETRUNK把该端口配置为TRUNK链路45三层交换技术与链路聚合的应用传统的以太网交换机工作在OSI模型的第二层上，数据流中的每个数据包通过源站点和目的站点的MAC地址时被识别。传统局域网交换机只在介质访问层（MAC）处理数据包。它可理解网络协议的第二层如MAC地址等。交换机在操作过程中不断的收集资料去建立它本身的地址表，当交换机接收到一个数据包时，它会检查该包的目的MAC地址，核对一下自己的地址表以决定从哪个端口发送出去。这个工作用ASIC（专用集成电路）芯片来做速度是非常快的，但同时由于它不察看数据包里的更多的内容，所以无法作出有关策略方面的判断，成都理工大学工程技术学院毕业论文15对数据流的控制能力不强。传统路由器工作在第三层上，数据流中的每个数据包通过源站点和目的站点的网络地址时被识别，路由技术可以有效地控制数据包，但转发包的速度太慢，同时路由器存在价格高等方面缺点。这种状况促使业界不得不去寻找一种新的方法,产生了“升级”技术第三层交换技术。第三层交换技术正是为了解决传统交换技术和路由器的缺陷而出现的，三层交换技术是在网络模型中的第三层实现了数据包的高速转发，第三层交换具有以下特征1执行路由处理2转发基于第三层的业务流3完成交换功能4可以完成特殊服务，如报文过滤或访问控制该企业各部门处于不同的VLAN中，某些部门之间是需要互相访问的，如果用传统的路由器来完成VLAN间互访，所有跨VLAN的数据必须通过路由器转发，路由的高延迟会引来用户对网络速度的抱怨，不使用三层交换技术的话，唯一的解决方法是添置昂贵的路由器，而随着日后企业不断扩大部门间的流量会更加增多，到时可能又要投入更多资金更换更贵的路由器，这不符合企业网络设计的可扩展性原则。在该企业的网络核心层使用三层交换机，大大增快了网络的速度，充分利用了现有资源，降低了网络成本，增加了网络的可扩展性。而且，三层交换机还可以实现部分安全机制，它的访问列表的功能，可以实现不同VLAN间的单向或双向通讯。就像该企业的财务部，它既没有必要访问别的部门，出于安全考虑别的部门也不能访问财务部。而经理室应该可以访问所有的部门，但是别的部门是不可以访问他的基于这些不同的访问需求，可在三层交换机上配置ACL语句加以限制。该企业的三层交换机位于整个局域网的核心部分，企业上网的流量、VLAN间的流量、VPN产生的流量全部都要经过核心三层交换机进行转发，所以核心交换机的速度与稳定性非常重要。冗余链路是提高网络系统可用性的重要方法。目前的技术中，以链路聚合（LINKAGGREGATION）技术应用最为广泛。链路聚合技术亦称主干技术（TRUNKING）或捆绑技术（BONDING），其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路，成都理工大学工程技术学院毕业论文16称为一条聚合链路，简单地说就是把多个端口绑定成一个虚拟端口。采用链路聚合可以提高数据链路的带宽，捆绑起来的链路的带宽相当于物理链路带宽之和。链路聚合中，成员互相动态备份，当某一链路中断时，其它成员能够迅速接替其工作，这样就很好的保障了整个网络的稳定性。三层交换部分配置摘录SWITCH1CONFIGIPROUTING启用交换机上的IP路由功能SWITCH1CONFIGROUTERRIP指定IP路由协议为RIPSWITCH1CONFIGROUTERNETWORK19216800SWITCH1CONFIGINTVLAN10通过使用VLAN接口命令制定虚拟接口SWITCH1CONFIGIFIPADDRESS192168012625525500为开发部VLAN分配IP地址SWITCH1CONFIGIFNOSHUTDOWN开启接口SWITCH1CONFIGINTVLAN20SWITCH1CONFIGIFIPADDRESS19216817825525500为财务部VLAN分配IP地址SWITCH1CONFIGIFNOSHUTDOWNSWITCH1CONFIGACCESSLIST1DENY1921680000255255SWITCH1CONFIGACCESSLIST1PERMITANY配置ACL策略SWITCH1CONFIGINTVLAN20SWITCH1CONFIGIFIPACCESSGROUP1IN在财务部VLAN进入方向实施ACL策略链路聚合部分配置摘录SWITCH1CONFIGINTERFACEPORTCHANNEL1创建一个逻辑端口通道成都理工大学工程技术学院毕业论文17SWITCH1CONFIGIFEXITSWITCH1CONFIGINTERFACEGIGABITETHERNET1/1进入千兆端口SWITCH1CONFIGNOSWITCHPORT转换为三层接口SWITCH1CONFIGNOIPADDRESS删除任何协议地址SWITCH1CONFIGCHANNELGROUP1MODON把该端口分配到通道1中46INTERNET接入设计及地址转换技术应用在完成了企业内部的网络设计之后，就进入了企业广域网的设计阶段，首先就是企业INTERNET接入的设计。现今企业对信息的需求急剧增加，信息量呈指数增长，通信业务也从电话、数据向视频、多媒体等宽带业务发展。以前的窄带网络已经不能满足企业宽带业务发展要求，迫切需要建立一个高宽带、业务发展受限制少的宽带业务网。一般现今比较流行的企业宽带接入方式有以下几种ADSL、DDN、光纤等。在该企业的INTERNET接入设计部分，我们采用FTTBLAN的方式。FIBERTOTHEBUILDINGFTTB，光纤到楼，它是利用数字宽带技术，光纤直接到楼内机房，再通过高速以太网的形式到各个用户。FTTB方式将传统的语音信号和数据信号并网而行，是一种性价比最高的组网方式，采用的是专线接入，无需拨号，安装简便，可为用户提供一个多媒体网络环境以及低价高质的共享专线上因特网的方式。这种接入方式具有很多优势网络上行下行速度高，而且可扩展度高；因为是光纤出口，所以网络可靠、稳定；可以使用固定IP，方便建立企业网站；性价比高，支持VPN技术等。我们只要向ISP申请一条光纤接入INTERNET，把光纤拉到企业机房，将光纤接入光纤收发器或者直接接入带有光纤口的防火墙和路由器上，再把路由器用双绞线接到核心交换机上，然后分散接入到各部门交换机。这样，就实现了两种不同传输介质的企业网络的INTERNET接入方案。在路由器上，我们除了要配置一条静态路由器指向ISP之外，我们还需要对内网IP地址做一个网络地址转换。地址转换最初主要用来解成都理工大学工程技术学院毕业论文18决是IP地址短缺的问题，后来地址转换技术有了更多的用途，逐渐显示出它的优势。地址转换设备提供几乎无限的地址空间并隐藏内部网络寻址方案；如果更改了ISP或与另一个公司合并，则可以保持当前的寻址方案，并在地址转换设备上作任何必要的改变，可使地址管理更容易；它还有一个显著的优点是允许严格控制进入和离开网络的流量，更容易实施安全和商业策略。地址转换主要分为两种类型，网络地址转换（NETWORKADDRESSTRANSLATION,NAT）、端口地址转换（PORTADDRESSTRANSLATION，PAT）。在该企业的网络设计中，我们主要用到了PAT技术。PAT把许多内部IP地址转换成一个单独的IP地址，每一个内部地址通过给定一个不同的端口好来确定转换的唯一性。对于该企业的各计算机我们采用动态PAT技术进行地址转换，让路由器动态分配端口号给内部的计算机。而对于该企业的WEB服务器，我们采用静态PAT技术，这就相当于做了一个端口映射，使得企业外部可以访问到该企业内部的WEB服务器，即可以访问到该企业的网站。PAT配置部分摘录ROUTERCONFIGACCESSLIST1PERMIT1921680000255255创建内部本地地址池ROUTERCONFIGIPNATPOOLNATPOOL200168562200168562NETMASK2552552550创建内部全局地址池ROUTERCONFIGIPNATINSIDESOURCELIST1POOLNATPOOLOVERLOAD加入OVERLOAD实现PAT转换，全部本地地址共用一个外部地址ROUTERCONFIGINTFASTETHERNET0/0ROUTERCONFIGIFIPNATINSIDE把FE0/0口配置为内部接口ROUTERCONFIGINTFASTETHERNET0/1ROUTERCONFIGIFIPNATOUTSIDE把FE0/1口配置为外部接口成都理工大学工程技术学院毕业论文1947VPN远程接入设计随着企业的收购和合并愈演愈烈，再加上企业自身的发展壮大与国际化，每家企业的分支机构不仅越来越多，而且它们的网络基础设施互不兼容也更为突出。以前各分支机构互访所采用的常规方法是租用专线，这样的连接方式一则要支付昂贵的通信费用，再则缺乏灵活性，对于企业地理位置的改变不能很好地适应。随着企业业务和自身应用需求的发展，企业之间的合作及企业与客户之间的联系也日趋紧密，且这些合作和联系都是动态的，总是处于变化和发展中，这种关系也需要靠网络来维持和加强。虽然INTERNET为企业广域网连接提供了物质基础，并且TCP/IP协议为网络的互联提供了极大的灵活性。但INTERNET有一个致命的弱点，那就是它的安全性。在INTERNET上传输的数据都是采用明文传输的，这就给一些非法用户以可乘之机，从而出现目前经常遇到的如伪装欺骗、消息窃听、对话插队、拒绝服务等网络安全隐患。由此看来，INTERNET是一个开放的、不安全的网络，要想在这样一个不安全的网络上实现敏感数据的安全传输，就需要采用一些安全技术。在这样的背景下，一种基于公用网络的动态、安全的连接解决方案就成为时代之需，VPN就是这样一种网络连接技术。VPN技术的成功引入可以从根本上满足企业用户的低通信费和高灵活性的双重需求，更重要的是它可以提供与专线相媲美的通信安全保障，是一种非常廉价、安全、灵活自如的远程网络接入解决方案。虚拟专用网VIRTUALPRIVATENETWORK,VPN是指在公共通信基础设施上构建的虚拟专用网，可以被认为是一种从公共网络中隔离出来的网络，它与真实网络的差别在于VPN以隔离方式通过共享公共通信基础设施，提供了不与VPN网外用户共享互联点的排他性网络通信环境。成都理工大学工程技术学院毕业论文20VPN拓扑图图42按VPN应用的类型来分，VPN应用业务大致可分为三类INTRANETVPN、ACCESSVPN与EXTRANETVPN，一般的情况下企业需要同时用到这三种VPN。ACCESSVPN是指企业员工或企业的小分支机构通过公网远程拨号的方式构建的虚拟网。INTRANETVPN指企业的总部与分支机构间通过VPN虚拟网进行网络连接。EXTRANETVPN即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。VPN具体实现形式多种多样，但都基于一种称作安全或者加密的隧道技术。这种技术可以用来提供网络到网络，主机到主机，或者主机到网络的安全连接。所谓隧道，实质上是一种封装，它通过将待传输的原始信息协议X经过加密和协议封装处理后再嵌套装入另一种协议协议Y的数据包送入网络中，像普通数据包一样进行传输，实现跨越成都理工大学工程技术学院毕业论文21公共网络传送私有数据包的目的。这里协议X称为被封装协议，协议Y称为封装协议，封装时一般还要加上特定的隧道控制信息，因此隧道协议的一般封装形式为协议Y隧道协议协议X在实现基于INTERNET的VPN时，我们使用的封装协议为IP协议，相应的隧道协议称为IP隧道协议，其封装形式为IP隧道协议协议X。目前IP网上较为常见的隧道协议大致有两类第二层隧道协议包括PPTP,L2TP和第三层隧道协议包括GRE、IPSEC,MPLS，它们的比较如下图图43成都理工大学工程技术学院毕业论文22根据比较可以看出L2TP等二层隧道协议适用于用户远程拨号上网访问远端总部资源MPLS适用于骨干网络上大型企业的多分支机构建立自己私有专用网络，虽然具备QOS等其他协议所不具备的特性，但对用户设备要求比较高，而且目前还在完善中。IPSEC协议是第三层的隧道协议，IPSEC在IP层上对数据包进行安全处理，提供数据源、无连接数据完整性、数据机密性、抗重播和有限数据流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少密钥协商的开销，也降低了产生安全漏洞的可能性。因此，IPSEC成为实现VPN的一种重要的方法，非常适用现有的网络状况，是中小型网络的首选方式。考虑到该企业的组网规模以及安全需求，我们也采用IPSEC协议族组建VPN内联网。根据VPN的应用平台可分为三类软件平台、硬件平台、软硬件结合平台。软件VPN一般性能较差，适用于对数据连接速率较低要求不高，性能和安全性要求不强的小型企业。硬件VPN虽然有高速率高数据安全及通信性能的优点，但是它成本太高，中小型企业很难承受，通常是对于专业的VPN网络服务提供商来说选择这一平台较为合适。软硬结合VPN这种平台是最为通用的一种方式，它既具备了硬件平台的高性能、高安全性、同时也具有软件平台的灵活性，是目前绝大多数企业选用的VPN方案。对于我们要设计的这家企业来说，采用软硬件结合的这种VPN方式最适合不过了。软硬件结合VPN也需要硬件方案的支持，目前主要有集中器、交换机、路由器、网关和防火墙等VPN方案。其中防火墙VPN方案是目前应用最广的一种VPN方案，它的优势主要体现在它的安全性方面，这一点从它的方案名称可以看出，它是采用防火墙设备作为VPN通信的主要设备，在传统的防火墙设备中嵌入VPN技术，就是的原来不是VPN这样的逻辑上一体的网络之间通信成为可能。对于该企业的内联网构建，我们只要购买两台支持IPSEC隧道协议的VPN防火墙，安装在总公司和分公司两个网络边界，然后对两台VPN防火墙进行相关配置，当建立起VPN连接后，这时总公司与分公司就相当于处于同一个局域网中，这些配置对于员工来说这是透明的。而对于出差办公或者SOHO办公的员工，进行VPN连接就必须在他们的计算机中安装配套的VPN接入软件，例如思科的VPN客户端产品成都理工大学工程技术学院毕业论文23EASYVPN，当要访问公司资源时，通过一些简单的配置，就可以进行远程拨号连接。企业合作伙伴的企业外联网与企业内联网VPN差不多，使用软件或者硬件接入均可，这要视乎企业合作的程度与时间长短而定，它与企业内联网的主要区别在于用户访问权限的设置，外联网用户通常只具备部分企业内部网访问资源的权限，所以我们要对VPN防火墙进行相关设置，以屏蔽企业内部网，确保需要保护的内部网资源的安全性。VPN配置部分摘录FIREWALL1CONFIGACCESSLIST100PERMITUDPHOST200168563HOST200168562EQISAKMPFIREWALL1CONFIGACCESSLIST100PERMITESPHOST200168563HOST200168562该ACL允许两防火墙之间的ISAKMP/IKE和ESP流量FIREWALL1CONFIGCRYPTOISAKMPPOLICY10FIREWALL1CONFIGISAKMPAUTHENTICATIONPRESHAREFIREWALL1CONFIGISAKMPENCRYPTION3DESFIREWALL1CONFIGISAKMPGROUP2FIREWALL1CONFIGISAKMPLIFETIME3600FIREWALL1CONFIGISAKMPEXIT定义ISAKMP策略中的各种参数FIREWALL1CONFIGCRYPTOISAKMPKEYCISCO123ADDRESS200168563指定预共享密钥，它必须与对方的密钥值相匹配FIREWALL1CONFIGACCESSLIST101PERMITIP1921680000025519216820000255FIREWALL1CONFIGACCESSLIST101PERMITIP1921681000025519216820000255ACL101是加密ACL指定两方的流量被保护FIREWALL1CONFIGCRYPTOIPSECTRANSFORMSETFIREWALL2TRANSFORMESPSHAHMACESP3DESIKE阶段2数据连接应该用ESPSHA数据包认证和ESP3DES加密进行保护FIREWALL1CONFIGCRYTOMAPIPSECMAP100IPSECISAKMP成都理工大学工程技术学院毕业论文24FIREWALL1CONFIGCRYPTOMAPMATCHADDRESS101FIREWALL1CONFIGCRYPTOMAPSETPEER200168563FIREWALL1CONFIGCRYPTOMAPSETTRANSFORMSETFIREWALL2TRANSFORMFIREWALL1CONFIGCRYPTOMAPEXIT配置加密映射中的条目100，指定被保护流量，远程对等体和用来保护流量的变换集FIREWALL1CONFIGINTETHERNET1FIREWALL1CONFIGIFIPACCESSGROUP100IN在接口上应用保护ACLFIREWALL1CONFIGIFCRYPTPMAPIPSECMAP激活加密映射48设备选型核心交换机选型在本企业网络的设计中，对核心交换机的要求比较高，基于本网络的规模、用户当前的应用、当前网络技术、网络技术及应用的发展趋势，我们对用户中心交换机的性能要求作出如下归纳中心交换机必须具备足够的端口，且应能够实现多种网络带宽及介质的连接能力；必须具备划分VLAN的功能和三层交换能力，而且要有扩展访问控制列表功能，以保证部门间安全访问；中心交换机应具备足够的千兆扩展能力，以便能对网络主干联接及中心交换机与重要服务器的联接能使用千兆以太网。基于上述对本网络中心交换机性能要求的认识，我们推荐C