【正文】 ，將互聯(lián)網(wǎng)技術引入企業(yè)內(nèi)部網(wǎng)，使用遠程接入技術將公司與分公司之間連接起來，并使在外員工可隨時接入公司網(wǎng)絡，從而建立起統(tǒng)一、快捷、高效的中型Intranent系統(tǒng)，整個系統(tǒng)在安全、可靠、穩(wěn)定的前提下，符合經(jīng)濟的原則，即實現(xiàn)合理的投入，最大的產(chǎn)出。總體設計如下： 1）以千兆以太網(wǎng)為主干網(wǎng)，利用第三層交換技術實現(xiàn)大型局域網(wǎng)的VLAN的劃分。規(guī)劃中服務器、信息中心采用千兆，與中心主交換機連接，其他部門采用100M網(wǎng)卡通過其他二級交換機接入主干網(wǎng)。 2）網(wǎng)絡通過光纖接入 Internet/ChinaNET，在公網(wǎng)上建立虛擬專用網(wǎng)(VPN)；通過采用 Web 技術和 InternetVPN 技術以及信息加密技術實現(xiàn)電子商務。這樣，可以提供遠程撥號訪問和通過Internet 訪問兩種方式，來實現(xiàn)全國各分支機構(gòu)、相關部門以及公眾對公司信息的限制性訪問。3）網(wǎng)絡的安全機制：（1） 通過對網(wǎng)絡設備的配置，控制訪問列表等方式來加強網(wǎng)絡的安全性措施；（2） 更重要的是，在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處，采用先進的防火墻技術、代理服務器技術、以及 Web 服務器的口令驗證、數(shù)據(jù)加密等技術實現(xiàn)網(wǎng)絡的安全性4）網(wǎng)絡中心設立 WEB 應用服務器、EMAIL 服務器、DNS 服務器、數(shù)據(jù)庫服務器、文件服務器，實現(xiàn) WEB 訪問、Internet接入、EMAIL 系統(tǒng)、域名解析、應用系統(tǒng)等各種功能。1）實用性原則。計算機設備、服務器設備和網(wǎng)絡設備在技術性能逐步提升的同時，其價格卻在逐年下降。因此，不可能也沒有必要實現(xiàn)所謂“一步到位”。所以，網(wǎng)絡方案設計中應把握“夠用”和“實用”原則。網(wǎng)絡系統(tǒng)應采用成熟可靠的技術和設備，達到實用、經(jīng)濟和有效的目的。2）前瞻性原則。在實用的基礎上還可以具有一定的前瞻性，在網(wǎng)絡結(jié)構(gòu)上要做到能適應較長時期企業(yè)和網(wǎng)絡技術的發(fā)展，不要在網(wǎng)絡剛組建不久就發(fā)現(xiàn)很難實現(xiàn)某些較新的應用，或者根本不能應用目前的一些主流軟件，這樣勢必造成企業(yè)網(wǎng)絡資源的浪費。3）開放性原則。網(wǎng)絡系統(tǒng)應采用開放的標準和技術，如TCP/IP協(xié)議、IEEE802系列標準等。其目標首先是要有利于未來網(wǎng)絡系統(tǒng)的擴充，其次還要有利于在需要時與外部網(wǎng)絡互通。4）可靠性原則。作為一個具有一定規(guī)模的中型企業(yè)。企業(yè)的網(wǎng)絡不允許有異常情況發(fā)生，因為一旦網(wǎng)絡發(fā)生異常情況，就會帶來很大的損失。在這樣的網(wǎng)絡中，就要盡量使用冗余備份，當某個網(wǎng)絡設備故障時，網(wǎng)絡還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網(wǎng)絡的可靠性。5）安全性原則。在企業(yè)網(wǎng)的設計中，安全性的設計是很重要的。每家企業(yè)都有自己的商業(yè)機密，如果這些機密被竊取，后果是不堪設想的。企業(yè)必須保護其網(wǎng)絡系統(tǒng)，以避免受外來惡意性入侵，但也必須保留足夠空間，使其主要經(jīng)營之業(yè)務能順利運作。倘若安全性系統(tǒng)保護企業(yè)免受病毒及駭客攻擊，但卻阻撓其服務客戶及邁向電子商務腳步，那么此系統(tǒng)就已超越其權限了。網(wǎng)絡安全應是永遠以能符合企業(yè)經(jīng)營目標的最大利益為優(yōu)先考量。6）可管理性原則。網(wǎng)絡管理員能夠在不改變系統(tǒng)運行的情況下對網(wǎng)絡進行調(diào)整，不管網(wǎng)絡設備的物理位置在何處，網(wǎng)絡都應該是可以控制的。7）可擴展性原則。網(wǎng)絡總體設計不僅要考慮到近期目標，也要為企業(yè)以及網(wǎng)絡的進一步發(fā)展留有余地。因此，需要統(tǒng)一規(guī)劃和設計。網(wǎng)絡系統(tǒng)應在規(guī)模和性能兩方面具有良好的可擴展性。由于目前網(wǎng)絡產(chǎn)品標準化程度較高，因此可擴展性要求基本不成問題。網(wǎng)絡協(xié)議是需要通信的計算機之間共同遵循的數(shù)據(jù)結(jié)構(gòu)、語義和操作規(guī)則。網(wǎng)絡協(xié)議常采用分層的體系結(jié)構(gòu)。各協(xié)議層互相獨立，下層提供上層某項功能的服務（一般有面向連接和無連接兩類），上層利用該功能再向上提供更完善的服務。目前，主要的協(xié)議體系結(jié)構(gòu)有OSI族和TCP/IP族。它們的參考模型及各層的對應關系如圖所示。OSI協(xié)議族OSI（開放系統(tǒng)互聯(lián)參考模型）協(xié)議族是國際標準化組織（ISO）建議并主持制定的有廣泛影響的網(wǎng)絡互聯(lián)協(xié)議。1）物理層是第一層，它決定設備之間的物理接口以及在傳輸介質(zhì)上比特傳送的規(guī)則。2）數(shù)據(jù)鏈路層是第二層，它的主要任務是加強物理層傳輸比特的可靠性。3）網(wǎng)絡層是第三成，它的主要功能是利用數(shù)據(jù)鏈路層所保證的鄰接節(jié)點之間的無差錯數(shù)據(jù)傳輸功能，通過路由選擇和中繼功能，實現(xiàn)兩個端系統(tǒng)之間的連接。4）傳輸層是第四層，它利用下三層所提供的網(wǎng)絡服務向高層提供可靠的端到端的透明數(shù)據(jù)傳輸。5）會話層是第五層，它提供一種經(jīng)過組織的方法在用戶之間交換數(shù)據(jù)。6）表示層是第六層，它把上層交付的信息變換為能夠共同理解的形式，它關心的是所傳輸?shù)男畔⒌恼Z法和語義，它只對應用層信息的形式進行變換，但不改變信息內(nèi)容本身。7）應用層是第七層，它的功能是提供應用進程（用戶程序）之間信息交換的基本任務。TCP/IP協(xié)議族TCP/IP協(xié)議族是廣泛應用于計算機互聯(lián)的業(yè)界標準。該協(xié)議族是一組獨立的協(xié)議的集合，其中最主要的是TCP協(xié)議和IP協(xié)議。TCP/IP協(xié)議族亦采用層次化的結(jié)構(gòu)模型，共包括四個層次1）硬件接口層，TCP/IP協(xié)議族沒有具體定義硬件層，因而它對各種各樣的網(wǎng)絡硬件具有高度的適應性，這正式它的成功之處。2）網(wǎng)絡層，它的主要功能是定義信息包（IP數(shù)據(jù)包）并處理信息包的路由選擇。該層的主要協(xié)議有：IP、ARP、RARP。3）傳輸層。它提供端到端的數(shù)據(jù)傳輸服務。該層的主要協(xié)議有：TCP、UDP。4）應用層。它由使用網(wǎng)路的應用程序和進程組成。該層最接近用戶，主要協(xié)議有SMTP、DNS、FTP、TELNET。OSI強調(diào)的是如何把開放式系統(tǒng)連接起來的，它是一個理論上的參考模型。而TCP/IP框架包含了大量的協(xié)議和應用，他雖然不是ISO標準，但一致于ISO的OSI參考模型制定，并在不斷發(fā)展過程中吸收了OSI模型中的概念及特征，它的使用已經(jīng)越來越廣泛，幾乎成為“事實上的標準”，著名的Internet就是基于TCP/IP協(xié)議族的。4網(wǎng)絡具體規(guī)劃與設計 在總體上規(guī)劃好企業(yè)網(wǎng)絡之后，就要進入具體設計的階段，這也是網(wǎng)絡設計的最重要的環(huán)節(jié)。在這個階段，要對該企業(yè)網(wǎng)絡的拓撲結(jié)構(gòu)、IP地址規(guī)劃、子網(wǎng)劃分、Internet接入等方面進行詳細的規(guī)劃與設計。所謂拓撲是一種研究與大小、距離無關的幾何圖形特性的方法。網(wǎng)絡的拓撲結(jié)構(gòu)是拋開網(wǎng)絡物理連接來討論網(wǎng)絡系統(tǒng)的連接形式，網(wǎng)絡中各站點相互連接的方法和形式稱為網(wǎng)絡拓撲。拓撲圖給出網(wǎng)絡服務器、工作站的網(wǎng)絡配置和相互間的連接，它的結(jié)構(gòu)主要有星型結(jié)構(gòu)、總線結(jié)構(gòu)、樹型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、蜂窩狀結(jié)構(gòu)、分布式結(jié)構(gòu)等。不同的連接方法網(wǎng)絡的性能不同，局域網(wǎng)拓撲結(jié)構(gòu)通常分為3種，分別是總線型、星型和環(huán)型。該企業(yè)局域網(wǎng)網(wǎng)絡主要采用了星型的拓撲結(jié)構(gòu)，因為企業(yè)規(guī)模不大，所以在設計上只劃分了兩層來設計：核心層和接入層。總公司的工作站大約為200人，考慮到規(guī)模較大而且該總公司的業(yè)務比較重要，核心層的設計上采用了兩臺千兆三層交換機作一個冗余備份，在這兩臺三層交換機之間作鏈路聚合，就算其中一個核心交換機當機，也可以保證網(wǎng)絡的瞬間恢復，大大增加了網(wǎng)絡的可靠性。分公司由于規(guī)模較小，考慮到企業(yè)網(wǎng)絡設計上的實用性與經(jīng)濟性原則，核心層的設計只使用一臺千兆三層交換機。而在接入層的設計上，總分公司都使用多臺二層交換機，100兆到桌面。服務器選擇擺放在信息中心，以便管理。為了防止企業(yè)外部對內(nèi)的攻擊，在路由器外部安裝硬件防火墻。總公司網(wǎng)絡拓撲圖分公司網(wǎng)絡拓撲圖 IP地址規(guī)劃每臺計算機、服務器、或者路由器的接口都有一個由授權機構(gòu)分配的號碼，我們稱它為IP地址。TCP/IP協(xié)議規(guī)定，根據(jù)網(wǎng)絡規(guī)模的大小將IP地址分為5類（A、B、C、D、E）：A類~B類~C類~D類~雖然有這么多IP地址，但是這些IP地址我們是不能隨便用的，大多數(shù)的地址都被互聯(lián)網(wǎng)專業(yè)機構(gòu)注冊并指定，在IP地址日益匱乏的今天，企業(yè)一般只能申請到幾個公網(wǎng)地址。但是有部分的IP地址被特別區(qū)分出來用作私有網(wǎng)絡使用，它們被稱為私有IP地址：A類： ~ B類： ~ C類： ~ 該企業(yè)只有一個公網(wǎng)IP，考慮到內(nèi)網(wǎng)計算機終端數(shù)量不多，該企業(yè)局域網(wǎng)IP使用C類私有地址進行分配。對于局域網(wǎng)的 IP 地址分配問題，用戶規(guī)模越大，管理工作就越困難，必須深思加以解決。目前一般來說有兩種分配方案，一是使用動態(tài) IP地址分配（DHCP），另一種方案是使用靜態(tài)地址分配，但必須加強 MAC 地址的管理。用動態(tài) IP 地址分配（DHCP）的最大優(yōu)點是客戶端網(wǎng)絡的配置非常簡單，在沒有管理員的幫助和干預的情況下，用戶自己便可以對網(wǎng)絡進行連接設置。但是，因為 IP 地址是動態(tài)分配的，網(wǎng)管員不能從 IP 地址上鑒定客戶的身份，相應的 IP 層管理將失去作用。而且使用動態(tài) IP 地址分配需要設置額外 DHCP 服務器。使用靜態(tài) IP 地址分配可以對各部門進行合理的 IP 地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對網(wǎng)卡 MAC 地址的管理，網(wǎng)絡就會具有更好的可管理性。但如果網(wǎng)絡規(guī)模較大，則 IP 地址管理的工作量就相當大。綜合以上考慮，由于該企業(yè)的規(guī)模不是很大，因此從網(wǎng)絡安全的角度出發(fā)，采用靜態(tài)地址分配的方法。并結(jié)合核心交換機的第三層交換功能，進行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡風暴的發(fā)生，另一方面也加強了網(wǎng)絡的安全性。但當隨著以后企業(yè)規(guī)模的不斷擴大發(fā)展，整個網(wǎng)絡信息的規(guī)模不斷擴大，則可以考慮采用 DHCP 動態(tài) IP 地址分配的方案，設立專門的 DHCP 服務器進行動態(tài) IP 地址分配。同樣可以基于中心交換機的 VLAN 功能進行配置，劃分網(wǎng)段，根據(jù)各個二級單位信息點所在的網(wǎng)段進行動態(tài)地址分配。該企業(yè)總公司有193人，分公司有99人。如果分別把各自所有的主機放到一個子網(wǎng)