【正文】 著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網絡。所以，我們必須在交換機上劃分好VLAN，這樣，只要加強對交換機的保護，不讓一般員工改變交換機的配置，就算他們更改自己電腦的IP和子網掩碼也無法訪問到其它部門了。只要把同一個部門的端口全部劃分進同一個VLAN就行了，而且還可以進行跨交換機的端口VLAN劃分，也就是說不同交換機上的端口也可以在同一個VLAN里，這樣VLAN的劃分就不必要受到物理空間的限制，具有很好的靈活性。與接入鏈路不同，中繼連接能為多個VLAN傳送流量。傳統(tǒng)局域網交換機只在介質訪問層（mac）處理數據包。傳統(tǒng)路由器工作在第三層上，數據流中的每個數據包通過源站點和目的站點的網絡地址時被識別，路由技術可以有效地控制數據包，但轉發(fā)包的速度太慢，同時路由器存在價格高等方面缺點。而且，三層交換機還可以實現部分安全機制，它的訪問列表的功能，可以實現不同VLAN間的單向或雙向通訊。冗余鏈路是提高網絡系統(tǒng)可用性的重要方法。鏈路聚合中，成員互相動態(tài)備份，當某一鏈路中斷時，其它成員能夠迅速接替其工作，這樣就很好的保障了整個網絡的穩(wěn)定性。一般現今比較流行的企業(yè)寬帶接入方式有以下幾種：ADSL、DDN、光纖等。這種接入方式具有很多優(yōu)勢：網絡上行下行速度高，而且可擴展度高；因為是光纖出口，所以網絡可靠、穩(wěn)定；可以使用固定IP，方便建立企業(yè)網站；性價比高，支持VPN技術等。地址轉換最初主要用來解決是IP地址短缺的問題，后來地址轉換技術有了更多的用途，逐漸顯示出它的優(yōu)勢。PAT把許多內部IP地址轉換成一個單獨的IP地址，每一個內部地址通過給定一個不同的端口好來確定轉換的唯一性。隨著企業(yè)的收購和合并愈演愈烈，再加上企業(yè)自身的發(fā)展壯大與國際化，每家企業(yè)的分支機構不僅越來越多，而且它們的網絡基礎設施互不兼容也更為突出。但Internet有一個致命的弱點，那就是它的安全性。VPN技術的成功引入可以從根本上滿足企業(yè)用戶的低通信費和高靈活性的雙重需求，更重要的是它可以提供與專線相媲美的通信安全保障，是一種非常廉價、安全、靈活自如的遠程網絡接入解決方案。Intranet VPN指企業(yè)的總部與分支機構間通過VPN虛擬網進行網絡連接。所謂隧道，實質上是一種封裝，它通過將待傳輸的原始信息(協議x)經過加密和協議封裝處理后再嵌套裝入另一種協議(協議Y)的數據包送入網絡中，像普通數據包一樣進行傳輸，實現跨越公共網絡傳送私有數據包的目的。IPSec協議是第三層的隧道協議，IPSec在IP層上對數據包進行安全處理，提供數據源、無連接數據完整性、數據機密性、抗重播和有限數據流機密性等安全服務。根據VPN的應用平臺可分為三類：軟件平臺、硬件平臺、軟硬件結合平臺。對于我們要設計的這家企業(yè)來說，采用軟硬件結合的這種VPN方式最適合不過了。而對于出差辦公或者SOHO辦公的員工，進行VPN連接就必須在他們的計算機中安裝配套的VPN接入軟件，例如思科的VPN客戶端產品EASYVPN，當要訪問公司資源時，通過一些簡單的配置，就可以進行遠程撥號連接。Cisco Catalyst 3750 系列智能以太網交換機是一種新型的企業(yè)級可堆疊多層交換機，可提供高可用性、可擴展性、安全性和可改進網絡運營的管理能力。路由器選型對于路由器的品牌，我們推薦國際知名廠商 CISCO，或者為求便宜可以使用聯想的路由器。這些特性使Cisco 2600 系列成為可滿足當今及未來客戶要求的理想企業(yè)路由器。Cisco PIX 515E是被廣泛采用的Cisco PIX 515平臺的增強版本，它可以提供業(yè)界領先的狀態(tài)防火墻和IP安全（IPSec）虛擬專用網服務。總結VPN的發(fā)展代表了互聯網絡今后的發(fā)展趨勢，它綜合了傳統(tǒng)數據網絡的安全和服務質量，以及共享數據網絡結構的簡單和低成本，建立安全的數據通道。網絡設計技術非常復雜而且更新很快，因此我們必須根據實際情況具體分析。該企業(yè)網絡在功能性、安全性、可靠性、可管理性等方面完全符合企業(yè)所屬各部門的工作需求，并具有一定的可擴展性，達到了預期的目標。胡老師嚴謹的治學態(tài)度和優(yōu)秀的做人的品格將讓我終生受益匪淺。參考文獻[1] Richard Froom, Balaji Sivasubramanian, Erum ：組建Cisco多層交換網絡（BCMSN）.[2] Richard . Cisco路由器防火墻安全. [3] Cisco Systems公司, Cisco Networking Academy [4] 《Catherine Paquet,Diane ：組建可擴展的Cisco互聯網絡（BSCI）.[5] [M]..。我還要向我的父母致以最誠摯的謝意，是你們的養(yǎng)育、期望和支持，使我順利地完成學業(yè)。本規(guī)劃設計方案只是一個計算機網絡現狀及網絡安全的解決方案，在隨后的分期分批的項目實施過程中，由于企業(yè)網絡環(huán)境、以及網絡應用系統(tǒng)的變化，會在細節(jié)上根據實際情況進行相應的調整，如：安裝設備數量、設備安裝具體地點等，只要在總的布局、要求以及標準上保持不變，實施之后就能夠達到本方案的設計要求。無論網絡技術怎么發(fā)展變化，對每個網絡來說，如此多的復雜協議進行交互都會產生唯一的結果，就是將數據送到目的地。隨著市場的擴大，用戶需求將成為VPN技術發(fā)展的動力，多形式、多用途、靈活易用、功能強大、服務優(yōu)異的VPN產品將適用于不同的用戶群，部署在寬帶、窄帶、撥號或者移動通信網絡上。Cisco PIX 515E多功能的單機架單元（1RU）機箱可以支持六個接口，使之成為那些需要一個具有DMZ支持的、成本低廉的安全解決方案的企業(yè)的理想選擇。除此以外，防火墻的安全保護能力一定要強大，吞吐量要夠，而且必須具有很強的穩(wěn)定性，以保障日常工作順利進行。在 CISCO 的產品中有很多不同的型號，在該方案中，我們采用CISCO 2600系列路由器。接入層交換機選型為方便跨交換機的VLAN劃分，優(yōu)化網絡性能，簡化網絡拓撲結構，在網絡設計中，接入層統(tǒng)一使用 Cisco 2950－24交換機。VPN配置部分摘錄：Firewall1(config)accesslist 100 permit udp host host eq isakmpFirewall1(config)accesslist 100 permit esp host host 該ACL允許兩防火墻之間的ISAKMP/IKE和ESP流量Firewall1(config)crypto isakmp policy 10Firewall1(configisakmp)authentication preshareFirewall1(configisakmp)encryption 3desFirewall1(configisakmp)group 2Firewall1(configisakmp)lifetime 3600Firewall1(configisakmp)exit 定義ISAKMP策略中的各種參數Firewall1(config)crypto isakmp key cisco123 address 指定預共享密鑰，它必須與對方的密鑰值相匹配Firewall1(config)accesslist 101 permit ip Firewall1(config)accesslist 101 permit ip ACL101是加密ACL指定兩方的流量被保護Firewall1(config)crypto ipsec transformset Firewall2transform espshahmac esp3des IKE階段2數據連接應該用ESP SHA數據包認證和ESP 3DES加密進行保護Firewall1(config)cryto map IPSECMAP 100 ipsecisakmpFirewall1(configcryptomap)match address 101Firewall1(configcryptomap)set peer Firewall1(configcryptomap)set transformset Firewall2transformFirewall1(configcryptomap)exit配置加密映射中的條目100，指定被保護流量，遠程對等體和用來保護流量的變換集Firewall1(config)int ethernet1Firewall1(configif)ip accessgroup 100 in 在接口上應用保護ACLFirewall1(configif)cryptp map IPSECMAP 激活加密映射核心交換機選型在本企業(yè)網絡的設計中，對核心交換機的要求比較高，基于本網絡的規(guī)模、用戶當前的應用、當前網絡技術、網絡技術及應用的發(fā)展趨勢，我們對用戶中心交換機的性能要求作出如下歸納：中心交換機必須具備足夠的端口，且應能夠實現多種網絡帶寬及介質的連接能力；必須具備劃分VLAN的功能和三層交換能力，而且要有擴展訪問控制列表功能，以保證部門間安全訪問；中心交換機應具備足夠的千兆擴展能力，以便能對網絡主干聯接及中心交換機與重要服務器的聯接能使用千兆以太網。其中防火墻VPN方案是目前應用最廣的一種VPN方案，它的優(yōu)勢主要體現在它的安全性方面，這一點從它的方案名稱可以看出，它是采用防火墻設備作為VPN通信的主要設備，在傳統(tǒng)的防火墻設備中嵌入VPN技術，就是的原來不是VPN這樣的邏輯上一體的網絡之間通信成為可能。硬件VPN雖然有高速率高數據安全及通信性能的優(yōu)點