【正文】 e0/0口配置為內(nèi)部接口Router(config)int FastEthernet0/1Router(configif)ip nat outside 把fe0/1口配置為外部接口隨著企業(yè)的收購和合并愈演愈烈，再加上企業(yè)自身的發(fā)展壯大與國際化，每家企業(yè)的分支機構(gòu)不僅越來越多，而且它們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為突出。但I(xiàn)nternet有一個致命的弱點，那就是它的安全性。VPN技術(shù)的成功引入可以從根本上滿足企業(yè)用戶的低通信費和高靈活性的雙重需求，更重要的是它可以提供與專線相媲美的通信安全保障，是一種非常廉價、安全、靈活自如的遠(yuǎn)程網(wǎng)絡(luò)接入解決方案。Intranet VPN指企業(yè)的總部與分支機構(gòu)間通過VPN虛擬網(wǎng)進行網(wǎng)絡(luò)連接。所謂隧道，實質(zhì)上是一種封裝，它通過將待傳輸?shù)脑夹畔?協(xié)議x)經(jīng)過加密和協(xié)議封裝處理后再嵌套裝入另一種協(xié)議(協(xié)議Y)的數(shù)據(jù)包送入網(wǎng)絡(luò)中，像普通數(shù)據(jù)包一樣進行傳輸，實現(xiàn)跨越公共網(wǎng)絡(luò)傳送私有數(shù)據(jù)包的目的。IPSec協(xié)議是第三層的隧道協(xié)議，IPSec在IP層上對數(shù)據(jù)包進行安全處理，提供數(shù)據(jù)源、無連接數(shù)據(jù)完整性、數(shù)據(jù)機密性、抗重播和有限數(shù)據(jù)流機密性等安全服務(wù)。根據(jù)VPN的應(yīng)用平臺可分為三類：軟件平臺、硬件平臺、軟硬件結(jié)合平臺。對于我們要設(shè)計的這家企業(yè)來說，采用軟硬件結(jié)合的這種VPN方式最適合不過了。而對于出差辦公或者SOHO辦公的員工，進行VPN連接就必須在他們的計算機中安裝配套的VPN接入軟件，例如思科的VPN客戶端產(chǎn)品EASYVPN，當(dāng)要訪問公司資源時，通過一些簡單的配置，就可以進行遠(yuǎn)程撥號連接。Cisco Catalyst 3750 系列智能以太網(wǎng)交換機是一種新型的企業(yè)級可堆疊多層交換機，可提供高可用性、可擴展性、安全性和可改進網(wǎng)絡(luò)運營的管理能力。路由器選型對于路由器的品牌，我們推薦國際知名廠商 CISCO，或者為求便宜可以使用聯(lián)想的路由器。這些特性使Cisco 2600 系列成為可滿足當(dāng)今及未來客戶要求的理想企業(yè)路由器。Cisco PIX 515E是被廣泛采用的Cisco PIX 515平臺的增強版本，它可以提供業(yè)界領(lǐng)先的狀態(tài)防火墻和IP安全（IPSec）虛擬專用網(wǎng)服務(wù)。5結(jié)論在網(wǎng)絡(luò)設(shè)計中，沒有一種設(shè)計方案可以適合所有的網(wǎng)絡(luò)。在本文中，我們按照計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計的一般原則和基本過程，開展了網(wǎng)絡(luò)需求的調(diào)研分析，提出了網(wǎng)絡(luò)系統(tǒng)的總體設(shè)計方案以及設(shè)計目標(biāo)，采用層次化模型方法，將網(wǎng)絡(luò)的結(jié)構(gòu)分層為核心層和接入層，對該企業(yè)闡述了網(wǎng)絡(luò)系統(tǒng)的物理設(shè)計和實現(xiàn)過程。致謝感謝我的論文指導(dǎo)教師肖濤老師，在我的論文撰寫過程中多次給予指導(dǎo)，并細(xì)心地幫助我檢查論文，提出修改意見，使我得以順利完成學(xué)士論文。最后，我還要感謝所有為我的論文提出指導(dǎo)意見的同學(xué)和朋友，他們的名字無法一一盡述，在此一并表示誠摯的感謝。其次我要感謝我的計算機網(wǎng)絡(luò)課程的授課教師何懷文老師，是他幫我打好了計算機網(wǎng)絡(luò)知識的基礎(chǔ)。在該項目中成功地應(yīng)用了較為先進的VLAN、光纖接入、第三層交換、千兆核心交換、VPN遠(yuǎn)程接入等技術(shù)，使得網(wǎng)絡(luò)系統(tǒng)在性能、安全性、可管理性、擴展性等方面領(lǐng)先于一般的企業(yè)網(wǎng)絡(luò)。作為網(wǎng)絡(luò)設(shè)計者，有時負(fù)責(zé)從無到有實現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，有時則不得不在現(xiàn)有的基礎(chǔ)設(shè)施里融合進新技術(shù)。Cisco PIX 515E多功能的單機架單元（1RU）機箱可以支持六個接口，使之成為那些需要一個具有DMZ支持的、成本低廉的安全解決方案的企業(yè)的理想選擇。除此以外，防火墻的安全保護能力一定要強大，吞吐量要夠，而且必須具有很強的穩(wěn)定性，以保障日常工作順利進行。在 CISCO 的產(chǎn)品中有很多不同的型號，在該方案中，我們采用CISCO 2600系列路由器。接入層交換機選型為方便跨交換機的VLAN劃分，優(yōu)化網(wǎng)絡(luò)性能，簡化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在網(wǎng)絡(luò)設(shè)計中，接入層統(tǒng)一使用 Cisco 2950－24交換機。VPN配置部分摘錄：Firewall1(config)accesslist 100 permit udp host host eq isakmpFirewall1(config)accesslist 100 permit esp host host 該ACL允許兩防火墻之間的ISAKMP/IKE和ESP流量Firewall1(config)crypto isakmp policy 10Firewall1(configisakmp)authentication preshareFirewall1(configisakmp)encryption 3desFirewall1(configisakmp)group 2Firewall1(configisakmp)lifetime 3600Firewall1(configisakmp)exit 定義ISAKMP策略中的各種參數(shù)Firewall1(config)crypto isakmp key cisco123 address 指定預(yù)共享密鑰，它必須與對方的密鑰值相匹配Firewall1(config)accesslist 101 permit ip Firewall1(config)accesslist 101 permit ip ACL101是加密ACL指定兩方的流量被保護Firewall1(config)crypto ipsec transformset Firewall2transform espshahmac esp3desIKE階段2數(shù)據(jù)連接應(yīng)該用ESP SHA數(shù)據(jù)包認(rèn)證和ESP 3DES加密進行保護Firewall1(config)cryto map IPSECMAP 100 ipsecisakmpFirewall1(configcryptomap)match address 101Firewall1(configcryptomap)set peer Firewall1(configcryptomap)set transformset Firewall2transformFirewall1(configcryptomap)exit配置加密映射中的條目100，指定被保護流量，遠(yuǎn)程對等體和用來保護流量的變換集Firewall1(config)int ethernet1Firewall1(configif)ip accessgroup 100 in 在接口上應(yīng)用保護ACLFirewall1(configif)cryptp map IPSECMAP 激活加密映射核心交換機選型在本企業(yè)網(wǎng)絡(luò)的設(shè)計中，對核心交換機的要求比較高，基于本網(wǎng)絡(luò)的規(guī)模、用戶當(dāng)前的應(yīng)用、當(dāng)前網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)技術(shù)及應(yīng)用的發(fā)展趨勢，我們對用戶中心交換機的性能要求作出如下歸納：中心交換機必須具備足夠的端口，且應(yīng)能夠?qū)崿F(xiàn)多種網(wǎng)絡(luò)帶寬及介質(zhì)的連接能力；必須具備劃分VLAN的功能和三層交換能力，而且要有擴展訪問控制列表功能，以保證部門間安全訪問；中心交換機應(yīng)具備足夠的千兆擴展能力，以便能對網(wǎng)絡(luò)主干聯(lián)接及中心交換機與重要服務(wù)器的聯(lián)接能使用千兆以太網(wǎng)。其中防火墻VPN方案是目前應(yīng)用最廣的一種VPN方案，它的優(yōu)勢主要體現(xiàn)在它的安全性方面，這一點從它的方案名稱可以看出，它是采用防火墻設(shè)備作為VPN通信的主要設(shè)備，在傳統(tǒng)的防火墻設(shè)備中嵌入VPN技術(shù)，就是的原來不是VPN這樣的邏輯上一體的網(wǎng)絡(luò)之間通信成為可能。硬件VPN雖然有高速率高數(shù)據(jù)安全及通信性能的優(yōu)點，但是它成本太高，中小型企業(yè)很難承受，通常是對于專業(yè)的VPN網(wǎng)絡(luò)服務(wù)提供商來說選擇這一平臺較為合適。因此，IPSec成為實現(xiàn)VPN的一種重要的方法，非常適用現(xiàn)有的網(wǎng)絡(luò)狀況，是中小型網(wǎng)絡(luò)的首選方式。目前IP網(wǎng)上較為常見的隧道協(xié)議大致有兩類:第二層隧道協(xié)議(包括PPTP, L2TP)和第三層隧道協(xié)議(包括GRE、IPSec, MPLS)，它們的比較如下圖：根據(jù)比較可以看出L2TP等二層隧道協(xié)議適用于用戶遠(yuǎn)程撥號上網(wǎng)訪問遠(yuǎn)端總部資源。VPN具體實現(xiàn)形式多種多樣，但都基于一種稱作安全或者加密的隧道技術(shù)。VPN拓?fù)鋱D按VPN應(yīng)用的類型來分，VPN應(yīng)用業(yè)務(wù)大致可分為三類：Intranet VPN、Access VPN與Extranet VPN，一般的情況下企業(yè)需要同時用到這三種VPN。由此看來，Internet是一個開放的、不安全的網(wǎng)絡(luò)，要想在這樣一個不安全的網(wǎng)絡(luò)上實現(xiàn)敏感數(shù)據(jù)的安全傳輸，就需要采用一些安全技術(shù)。隨著企業(yè)業(yè)務(wù)和自身應(yīng)用需求的發(fā)展，企業(yè)之間的合作及企業(yè)與客戶之間的聯(lián)系也日趨緊密，且這些合作和聯(lián)系都是動態(tài)的，總是處于變化和發(fā)展中，這種關(guān)系也需要靠網(wǎng)絡(luò)來維持和加強。對于該企業(yè)的各計算機我們采用動態(tài)PAT技術(shù)進行地址轉(zhuǎn)換，讓路由器動態(tài)分配端口號給內(nèi)部的計算機。地址轉(zhuǎn)換設(shè)備提供幾乎無限的地址空間并隱藏內(nèi)部網(wǎng)絡(luò)尋址方案；如果更改了ISP或與另一個公司合并，則可以保持當(dāng)前的尋址方案，并在地址轉(zhuǎn)換設(shè)備上作任何必要的改變，可使地址管理更容易；它還有一個顯著的優(yōu)點是允許嚴(yán)格控制進入和離開網(wǎng)絡(luò)的流量，更容易實施安全和商業(yè)策略。我們只要向ISP申請一條光纖接入Internet，把光纖拉到企業(yè)機房，將光纖接入光纖收發(fā)器或者直接接入帶有光纖口的防火墻和路由器上，再把路由器用雙絞線接到核心交換機上，然后分散接入到各部門交換機。在該企業(yè)的Internet接入設(shè)計部分，我們采用FTTB+LAN的方式。三層