【正文】 潮中。通過 Inter，企業(yè)不僅可以獲得大量的有價值的信息，同時也可以將企業(yè)的信息通過 Inter 發(fā)布到世界各地。網(wǎng)絡(luò)技術(shù)的發(fā)展使得網(wǎng)絡(luò)建設(shè)從基礎(chǔ)架構(gòu)到維護和管理都變得十分簡單和智能，豐富的網(wǎng)絡(luò)產(chǎn)品線和不斷降低的價格，可以讓中小企業(yè)根據(jù)自身的情況，按照實際的經(jīng)濟條件來構(gòu)建自己的網(wǎng)絡(luò)，用于網(wǎng)絡(luò)建設(shè)的投資對 于企業(yè)而言不再成為一個負擔。本文是對某 IT 企業(yè)的一個企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計的解決方案 ， 文章首先分析了企業(yè)網(wǎng)絡(luò)的設(shè)計需求，根據(jù)需求提 出了設(shè)計原則與設(shè)計目標，制定了總體的規(guī)劃設(shè)計方案， 然后 再分層次具體地對該企業(yè)的局域網(wǎng)和廣域網(wǎng)進行 設(shè)計， 在 該方案中 ，我們 采用了 VLAN、三層交換、千兆 交換 、光纖接入 、 VPN 等 先進網(wǎng)絡(luò) 技術(shù) ，基本滿足了該企業(yè)的需求 ， 并留有足夠的擴充空間，以 適應(yīng) 今后發(fā)展 。 關(guān)鍵詞 企業(yè)網(wǎng)絡(luò) 規(guī)劃設(shè)計 遠程接入 VPN 畢業(yè)設(shè)計論文外文摘要 Title Planning and design of Remote Access enterprise work Abstract As the technology of inter increasingly popularizes, it is getting more and more important that the technology of develops at full speed, and the work of enterprise is informational. Now it is the twentyfirst century, the informational enterprise can39。各自為戰(zhàn)的單機應(yīng)用逐步暴露出現(xiàn)有資源利用率低、信息冗余大等問題，而解決這些問題的惟一途徑就是建設(shè)一個滿足應(yīng)用需求的網(wǎng)絡(luò)系統(tǒng)來實現(xiàn)資源的共享。 因此， 企業(yè)進行計算機網(wǎng)絡(luò)的建設(shè)，不僅是信息社會發(fā)展的要求，也是自身發(fā)展所必須的。但從目前情況看國內(nèi)相當多的企業(yè)還處于網(wǎng)絡(luò)初步應(yīng)用階段，其具有以下特點： 1 應(yīng)用水平較低，分散且不一致。 人事部 23 人，開發(fā)部 57 人，財務(wù)部 7 人，商務(wù)部 18 人，工程部 47 人，業(yè)務(wù)部 32 人，信息中心 5 人，經(jīng)理部 4 人 。 網(wǎng)絡(luò) 設(shè)計 需求分析 網(wǎng)絡(luò)需求分析 就是根據(jù)企業(yè)信息技術(shù)應(yīng)用要求和企業(yè)的業(yè)務(wù)發(fā)展需求，結(jié)合企業(yè)現(xiàn)有設(shè)備狀況和人員素質(zhì)，較為全面地調(diào)查和分析企業(yè)在信息技術(shù)方面的技術(shù)需求，然后從網(wǎng)絡(luò)建設(shè)的角度，將這些需求轉(zhuǎn)換成構(gòu) 造網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)能夠提供服務(wù)的需求。服務(wù)器、連接設(shè)備、綜合布線等統(tǒng)一購買和配置，客戶機應(yīng)利用現(xiàn)有各部門的計算機，以保護原有投資和不影響正常工作。建立企業(yè)對外網(wǎng)站，提供一個對外宣傳的平臺 ，提高企業(yè)知名度 。使用防火墻，防止來自互聯(lián)網(wǎng)上的入侵，保障企業(yè)資源的安全。 該 IT 企業(yè)網(wǎng)絡(luò)建設(shè)的目標，就是在總公司和分公司分別建設(shè)局域網(wǎng)，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，使用遠程接入技術(shù)將公司與分公司之間連接起來， 并使在外員工可隨時接入公司網(wǎng)絡(luò)，從而建立起統(tǒng)一、快捷、高效的 中型 Intranent 系統(tǒng)，整個系統(tǒng)在安全、可靠、穩(wěn)定的前提下，符合經(jīng)濟的原則，即實現(xiàn)合理的投入，最大的產(chǎn)出。這樣，可以提供遠程撥號訪問和通過 Inter 訪問兩種方式，來實現(xiàn)全國各分支機構(gòu)、相關(guān)部門以及公眾對公司信息的限制性訪問 。因此，不可能也沒有必要實現(xiàn)所謂“一步到位”。在實用的基礎(chǔ)上還可以具有一定的前瞻性，在網(wǎng)絡(luò)結(jié)構(gòu)上要做到能適應(yīng)較長時期企業(yè)和網(wǎng)絡(luò)技術(shù)的發(fā)展，不要在網(wǎng)絡(luò)剛組建不久就發(fā)現(xiàn)很難實現(xiàn)某些較新的應(yīng)用，或者根本不能應(yīng)用目前的一些主流軟件，這樣勢必造成企業(yè)網(wǎng)絡(luò)資源的浪費。 4） 可靠性原則。 5）安全性原則。倘若安全性系統(tǒng)保護企業(yè)免受病毒及駭客攻 擊，但卻阻撓其服務(wù)客戶及邁向電子商務(wù)腳步，那么 此系統(tǒng)就已超越其權(quán)限了。 7）可擴展性原則。由于目前網(wǎng)絡(luò)產(chǎn)品標準化程度較高，因此可擴展性要求基本不成問題。 目前，主要的協(xié)議體系結(jié)構(gòu)有 OSI 族和 TCP/IP 族。 2）數(shù)據(jù)鏈路層是第二層，它的主要任務(wù)是加強物理層傳輸比特的可靠性。 6）表示層是第六層，它把 上層交付的信息變換為能夠共同理解的形式，它關(guān)心的是所傳輸?shù)男畔⒌恼Z法和語義，它只對應(yīng)用層信息的形式進行變換，但不改變信息內(nèi)容 本身。 TCP/IP 協(xié)議族亦采用層次化的結(jié)構(gòu)模型，共包括四個層次 1）硬件接口層， TCP/IP 協(xié)議族沒有具體定義硬件層，因而它對各種各樣的網(wǎng)絡(luò)硬件具有高度的適應(yīng)性，這正式它的成功之處。它提供端到端的數(shù)據(jù)傳輸服務(wù)。該層最接近用戶 ，主要協(xié)議有 SMTP、 DNS、 FTP、 TELNET。在這個階段，要對該企業(yè)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、 IP 地址規(guī)劃、子網(wǎng)劃分、Inter 接入等方面進行詳細的規(guī)劃與設(shè)計。不同的連接方法網(wǎng)絡(luò)的性能不同 ，局域網(wǎng)拓撲結(jié)構(gòu)通常分為 3 種，分別是總線型、星型和環(huán)型。而 在接入層的設(shè)計上 ，總分公司都 使用 多臺 二層交換機， 100 兆到桌面。 TCP/IP 協(xié)議規(guī)定，根據(jù)網(wǎng)絡(luò)規(guī)模的大小將 IP 地址分為 5 類 （ A、 B、 C、D、 E） ： A 類 ~ B 類 ~ C 類 ~ D 類 ~ 雖然有這么多 IP 地址，但是 這些 IP 地址我們是不能隨便用的， 大多數(shù)的地址都被互聯(lián)網(wǎng)專業(yè)機構(gòu)注冊并指定， 在 IP 地址日益匱乏的今天，企業(yè)一般只能申請到幾個公網(wǎng)地址。用動態(tài) IP 地址分配（ DHCP）的最大優(yōu)點是客戶端網(wǎng)絡(luò)的配置非常簡單，在沒有管理員的幫助和干預(yù)的情況下，用 戶自己便可以對網(wǎng)絡(luò)進行連接設(shè)置。但如果網(wǎng)絡(luò)規(guī)模較大，則 IP 地址管理的工作量就相當大。同樣可以基于中心交換機的 VLAN 功能進行配置，劃分網(wǎng)段，根據(jù)各個二級單位信息點所在的網(wǎng)段進行動態(tài)地址分配 。 VLSM(Variable Length Sub masks)變長子網(wǎng)掩碼 ， 是在標準的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡(luò)號碼 ， 不同子網(wǎng)的子網(wǎng) 掩碼可能有不同的長度，但一旦子網(wǎng)掩碼的長度確定了，它們就不變了， 這個技術(shù)對于高效分配 IP 地址 。 總公司子網(wǎng)劃分 部門 子網(wǎng)網(wǎng)絡(luò)號 子網(wǎng)掩碼 網(wǎng)關(guān) 開發(fā)部 工程部 業(yè)務(wù)部 人事部 商務(wù)部 財務(wù)部 信息中心 經(jīng)理 部 分公司子網(wǎng)劃分 部門 子網(wǎng)網(wǎng)絡(luò)號 子網(wǎng)掩碼 網(wǎng)關(guān) 開發(fā)部 工程部 業(yè)務(wù)部 人事部 商務(wù)部 財務(wù)部 信息中心 經(jīng)理部 規(guī)劃 VLAN（ Virtual Local Area Network）即虛擬局域網(wǎng)，是一 種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。一個 VLAN 內(nèi) 部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他 VLAN 中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的 VLAN 號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā) ,從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。這樣看來好像不必要再劃分 VLAN 了，其實不然，因為這樣只作子網(wǎng)劃分是存在安全性問題的。 MAC 地址劃分VLAN。只要把同一個部門的端口全部劃分進同一個 VLAN 就行了，而且還可以進行跨交換機的端口 VLAN 劃分，也就是說不同交換機上的端口也可以在同一個 VLAN 里，這樣 VLAN 的劃分就不必要受到物理空間的限制，具有很好的靈活性 。與接入鏈路不同，中繼連接能為多個 VLAN 傳送流量。傳統(tǒng)局域網(wǎng)交換機只在介質(zhì)訪問層（ mac）處理數(shù)據(jù)包。傳統(tǒng)路由器工作在第三層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點的網(wǎng)絡(luò) 地址時被識別，路由技術(shù)可以有效地控制數(shù)據(jù)包，但轉(zhuǎn)發(fā)包的速度太慢，同時路由器存在價格高等方面缺點。而且，三層交換機還可以實現(xiàn)部分安全機制，它的 訪問列表的功能，可以實現(xiàn)不同 VLAN 間的單向或雙向通訊。 冗余鏈路 是提高網(wǎng)絡(luò)系統(tǒng)可用性的重要方法。鏈路聚合中，成員互相動態(tài)備份，當某一鏈路中斷時，其它成員能夠迅速接替其工作，這樣就很好的保障了整個網(wǎng)絡(luò)的穩(wěn)定性。 一般現(xiàn)今比較流行的企業(yè)寬帶接入方式有以下幾種： ADSL、 DDN、光纖等。 這種接入方式具有很多優(yōu)勢：網(wǎng)絡(luò)上行下行速度高，而且可擴展度高；因為是光纖出口，所以網(wǎng)絡(luò)可靠、穩(wěn)定；可以使用固定 IP，方便建立企業(yè)網(wǎng)站； 性價比高，支持 VPN 技術(shù)等。 地址轉(zhuǎn)換 最初 主要用來解決是 IP 地址短缺的問題 ，后來地址轉(zhuǎn)換技術(shù)有了更多的用途，逐漸顯示出它的優(yōu)勢。 PAT 把許多內(nèi)部 IP 地址轉(zhuǎn)換成一個單獨的IP 地址，每一個內(nèi)部地址通過給定一個不同 的端口好來確定轉(zhuǎn)換的唯一性。以前各分支機構(gòu)互訪所采用的常規(guī)方法是租用專線 ，這樣的連接方式一則要支付昂貴的通信費用，再則缺乏靈活性，對于企業(yè)地理位置的改變不能很好地適應(yīng)。在Inter 上傳輸?shù)臄?shù)據(jù)都是采用明文傳輸?shù)?，這就給一些非法用戶以可乘之機，從而出現(xiàn)目前 經(jīng)常遇到的如：偽裝欺騙、消息竊聽、對話插隊、拒絕服務(wù)等網(wǎng)絡(luò)安全隱患。 虛擬專用網(wǎng) (Virtual Private Network, VPN)是指在公共通信基礎(chǔ)設(shè)施上構(gòu)建的虛擬專用網(wǎng)，可以被認為是一種從公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò)，它與真實網(wǎng)絡(luò)的差別在于 VPN 以隔離方式通過共享公共通信基礎(chǔ)設(shè)施，提供了不與 VPN 網(wǎng)外用戶共享互聯(lián)點的排他性網(wǎng)絡(luò)通信環(huán)境。 Extra VPN 即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。這里協(xié)議 X 稱為被封裝協(xié)議，協(xié)議 Y 稱為封裝協(xié)議，封裝時一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般封裝形式為 (協(xié)議 Y(隧道協(xié)議 (協(xié)議 X)))在實現(xiàn)基于 Inter 的 VPN 時，我們使用的封裝協(xié)議為 IP協(xié)議，相應(yīng)的隧道協(xié)議稱為 IP隧道協(xié)議，其封裝形式為 (IP隧道協(xié)議 (協(xié)議 x)))。各種應(yīng)用程序可以享用 IP 層提供的安全服務(wù)和密鑰管理，而不必設(shè)計和實現(xiàn)自己的安全機制，因此減少密鑰協(xié)商的開銷， 也降低了產(chǎn)生安全漏洞的可能性。軟件VPN 一般性能較差，適用于對數(shù)據(jù)連接速率較低要求不高，性能和安全性要求不強的小型企業(yè)。 軟硬件結(jié)合 VPN 也需要硬件方案的支持，目前主要有集中器、交換機、路由器、網(wǎng)關(guān)和防火墻等 VPN 方案。企業(yè)合作伙伴的企業(yè)外聯(lián)網(wǎng)與企業(yè)內(nèi)聯(lián)網(wǎng) VPN 差不多，使用軟件或者硬件接入均可，這要視乎 企業(yè)合作 的程度 與時間長短而定，它與企業(yè)內(nèi)聯(lián)網(wǎng)的主要區(qū)別在于用戶訪問權(quán)限的設(shè)置，外聯(lián)網(wǎng)用戶通常只具備部分企業(yè)內(nèi)部網(wǎng)訪問資源的權(quán)限 ，所以我們要對 VPN 防火墻進行相關(guān)設(shè)置，以屏蔽企業(yè)內(nèi)部網(wǎng)，確保