【正文】 肖老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度和優(yōu)秀的做人的品格將讓我終生受益匪淺。網(wǎng)絡(luò)設(shè)計(jì)技術(shù)非常復(fù)雜而且更新很快，因此我們必須根據(jù)實(shí)際情況具體分析。防火墻選型 因?yàn)樵撈髽I(yè)的網(wǎng)絡(luò)設(shè)計(jì)使用到的IPSEC VPN技術(shù)是在防火墻上實(shí)現(xiàn)的，所以在防火墻的選擇上一定要具備IPSEC VPN功能。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，Catalyst 3750 系列可作為中型企業(yè)布線室的強(qiáng)大訪問(wèn)層交換機(jī)和中型網(wǎng)絡(luò)的骨干網(wǎng)交換機(jī)。軟硬件結(jié)合VPN也需要硬件方案的支持，目前主要有集中器、交換機(jī)、路由器、網(wǎng)關(guān)和防火墻等VPN方案。各種應(yīng)用程序可以享用IP層提供的安全服務(wù)和密鑰管理，而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制，因此減少密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可能性。Extranet VPN即企業(yè)間發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過(guò)公網(wǎng)來(lái)構(gòu)筑的虛擬網(wǎng)。在Internet上傳輸?shù)臄?shù)據(jù)都是采用明文傳輸?shù)模@就給一些非法用戶以可乘之機(jī)，從而出現(xiàn)目前經(jīng)常遇到的如：偽裝欺騙、消息竊聽(tīng)、對(duì)話插隊(duì)、拒絕服務(wù)等網(wǎng)絡(luò)安全隱患。PAT把許多內(nèi)部IP地址轉(zhuǎn)換成一個(gè)單獨(dú)的IP地址，每一個(gè)內(nèi)部地址通過(guò)給定一個(gè)不同的端口好來(lái)確定轉(zhuǎn)換的唯一性。這種接入方式具有很多優(yōu)勢(shì)：網(wǎng)絡(luò)上行下行速度高，而且可擴(kuò)展度高；因?yàn)槭枪饫w出口，所以網(wǎng)絡(luò)可靠、穩(wěn)定；可以使用固定IP，方便建立企業(yè)網(wǎng)站；性價(jià)比高，支持VPN技術(shù)等。鏈路聚合中，成員互相動(dòng)態(tài)備份，當(dāng)某一鏈路中斷時(shí)，其它成員能夠迅速接替其工作，這樣就很好的保障了整個(gè)網(wǎng)絡(luò)的穩(wěn)定性。而且，三層交換機(jī)還可以實(shí)現(xiàn)部分安全機(jī)制，它的訪問(wèn)列表的功能，可以實(shí)現(xiàn)不同VLAN間的單向或雙向通訊。傳統(tǒng)局域網(wǎng)交換機(jī)只在介質(zhì)訪問(wèn)層（mac）處理數(shù)據(jù)包。只要把同一個(gè)部門的端口全部劃分進(jìn)同一個(gè)VLAN就行了，而且還可以進(jìn)行跨交換機(jī)的端口VLAN劃分，也就是說(shuō)不同交換機(jī)上的端口也可以在同一個(gè)VLAN里，這樣VLAN的劃分就不必要受到物理空間的限制，具有很好的靈活性。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。由于該企業(yè)人數(shù)不多，如果給每個(gè)子網(wǎng)分配一個(gè)C類地址，就會(huì)造成IP地址的浪費(fèi)，所以要采用可變長(zhǎng)子網(wǎng)掩碼技術(shù)對(duì)該企業(yè)局域網(wǎng)進(jìn)行子網(wǎng)劃分。綜合以上考慮，由于該企業(yè)的規(guī)模不是很大，因此從網(wǎng)絡(luò)安全的角度出發(fā)，采用靜態(tài)地址分配的方法。但是有部分的IP地址被特別區(qū)分出來(lái)用作私有網(wǎng)絡(luò)使用，它們被稱為私有IP地址：A類： ~ B類： ~ C類： ~ 該企業(yè)只有一個(gè)公網(wǎng)IP，考慮到內(nèi)網(wǎng)計(jì)算機(jī)終端數(shù)量不多，該企業(yè)局域網(wǎng)IP使用C類私有地址進(jìn)行分配。該企業(yè)局域網(wǎng)網(wǎng)絡(luò)主要采用了星型的拓?fù)浣Y(jié)構(gòu)，因?yàn)槠髽I(yè)規(guī)模不大，所以在設(shè)計(jì)上只劃分了兩層來(lái)設(shè)計(jì)：核心層和接入層。OSI強(qiáng)調(diào)的是如何把開放式系統(tǒng)連接起來(lái)的，它是一個(gè)理論上的參考模型。2）網(wǎng)絡(luò)層，它的主要功能是定義信息包（IP數(shù)據(jù)包）并處理信息包的路由選擇。3）網(wǎng)絡(luò)層是第三成，它的主要功能是利用數(shù)據(jù)鏈路層所保證的鄰接節(jié)點(diǎn)之間的無(wú)差錯(cuò)數(shù)據(jù)傳輸功能，通過(guò)路由選擇和中繼功能，實(shí)現(xiàn)兩個(gè)端系統(tǒng)之間的連接。網(wǎng)絡(luò)協(xié)議是需要通信的計(jì)算機(jī)之間共同遵循的數(shù)據(jù)結(jié)構(gòu)、語(yǔ)義和操作規(guī)則。網(wǎng)絡(luò)安全應(yīng)是永遠(yuǎn)以能符合企業(yè)經(jīng)營(yíng)目標(biāo)的最大利益為優(yōu)先考量。作為一個(gè)具有一定規(guī)模的中型企業(yè)。所以，網(wǎng)絡(luò)方案設(shè)計(jì)中應(yīng)把握“夠用”和“實(shí)用”原則。總體設(shè)計(jì)如下： 1）以千兆以太網(wǎng)為主干網(wǎng)，利用第三層交換技術(shù)實(shí)現(xiàn)大型局域網(wǎng)的VLAN的劃分。4）網(wǎng)絡(luò)管理：控制不同權(quán)限的員工使用Internet的方式和范圍，限制普通員工利用公司網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)無(wú)關(guān)的活動(dòng)。在網(wǎng)絡(luò)需求分析過(guò)程中，網(wǎng)絡(luò)系統(tǒng)用戶往往從系統(tǒng)外部關(guān)注整個(gè)網(wǎng)絡(luò)系統(tǒng)的功能和性能，而網(wǎng)絡(luò)設(shè)計(jì)者往往從網(wǎng)絡(luò)系統(tǒng)內(nèi)部關(guān)注整個(gè)網(wǎng)絡(luò)系統(tǒng)的技術(shù)和結(jié)構(gòu)。企業(yè)網(wǎng)絡(luò)缺乏整體性的設(shè)計(jì)，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，在業(yè)務(wù)互相銜接的應(yīng)用系統(tǒng)之間缺乏一致性2應(yīng)用者的整體水平比較低，缺乏對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)全面的認(rèn)識(shí)，難以接受將計(jì)算機(jī)作為一種工作方式3信息部門處于邊緣性地位，綜合實(shí)力較低，地位較低，給信息技術(shù)的應(yīng)用帶來(lái)了相當(dāng)大的難度。一個(gè)成功的企業(yè)不僅要了解世界，還要讓世界知道自己。 畢 業(yè) 設(shè) 計(jì)（論 文）遠(yuǎn)程接入企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)畢業(yè)設(shè)計(jì)論文中文摘要 隨著Internet技術(shù)的日益普及，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，企業(yè)信息化工作越來(lái)越受到重視，進(jìn)入二十一世紀(jì)后，企業(yè)信息化不再滿足于個(gè)人或單個(gè)部門的少量計(jì)算機(jī)應(yīng)用，而逐步過(guò)渡到多部門、整個(gè)企業(yè)甚至跨企業(yè)跨地域的大量計(jì)算機(jī)的協(xié)同工作，因此我們需要把這些計(jì)算機(jī)用網(wǎng)絡(luò)聯(lián)系起來(lái)，這也就是我們所說(shuō)的企業(yè)網(wǎng)。實(shí)現(xiàn)這個(gè)目標(biāo)的最佳途徑就是要利用Internet。假設(shè)我們要設(shè)計(jì)的是一個(gè)中型的IT企業(yè)的網(wǎng)絡(luò)，該企業(yè)分為一個(gè)總公司和一家分公司，共有員工292人。因此，如何正確地將用戶對(duì)網(wǎng)絡(luò)系統(tǒng)功能和性能的需求轉(zhuǎn)換成對(duì)網(wǎng)絡(luò)系統(tǒng)技術(shù)和結(jié)構(gòu)的需求并給予量化表示是網(wǎng)絡(luò)需求分析的關(guān)鍵。5）安全性：對(duì)不同部門之間的相互訪問(wèn)作限制，防止非法訪問(wèn)，保護(hù)商業(yè)機(jī)密。規(guī)劃中服務(wù)器、信息中心采用千兆，與中心主交換機(jī)連接，其他部門采用100M網(wǎng)卡通過(guò)其他二級(jí)交換機(jī)接入主干網(wǎng)。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用成熟可靠的技術(shù)和設(shè)備，達(dá)到實(shí)用、經(jīng)濟(jì)和有效的目的。企業(yè)的網(wǎng)絡(luò)不允許有異常情況發(fā)生，因?yàn)橐坏┚W(wǎng)絡(luò)發(fā)生異常情況，就會(huì)帶來(lái)很大的損失。6）可管理性原則。網(wǎng)絡(luò)協(xié)議常采用分層的體系結(jié)構(gòu)。4）傳輸層是第四層，它利用下三層所提供的網(wǎng)絡(luò)服務(wù)向高層提供可靠的端到端的透明數(shù)據(jù)傳輸。該層的主要協(xié)議有：IP、ARP、RARP。而TCP/IP框架包含了大量的協(xié)議和應(yīng)用，他雖然不是ISO標(biāo)準(zhǔn)，但一致于ISO的OSI參考模型制定，并在不斷發(fā)展過(guò)程中吸收了OSI模型中的概念及特征，它的使用已經(jīng)越來(lái)越廣泛，幾乎成為“事實(shí)上的標(biāo)準(zhǔn)”，著名的Internet就是基于TCP/IP協(xié)議族的?？偣镜墓ぷ髡敬蠹s為200人，考慮到規(guī)模較大而且該總公司的業(yè)務(wù)比較重要，核心層的設(shè)計(jì)上采用了兩臺(tái)千兆三層交換機(jī)作一個(gè)冗余備份，在這兩臺(tái)三層交換機(jī)之間作鏈路聚合，就算其中一個(gè)核心交換機(jī)當(dāng)機(jī)，也可以保證網(wǎng)絡(luò)的瞬間恢復(fù)，大大增加了網(wǎng)絡(luò)的可靠性。對(duì)于局域網(wǎng)的 IP 地址分配問(wèn)題，用戶規(guī)模越大，管理工作就越困難，必須深思加以解決。并結(jié)合核心交換機(jī)的第三層交換功能，進(jìn)行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡(luò)風(fēng)暴的發(fā)生，另一方面也加強(qiáng)了網(wǎng)絡(luò)的安全性。該企業(yè)的子網(wǎng)是按照部門來(lái)劃分的，基于可擴(kuò)展性的原則，除了滿足每個(gè)部門都能分到足夠的IP地址外，還要為以后的人事調(diào)動(dòng)、部門擴(kuò)展等留有冗余的IP，否則可能會(huì)由于一些很小的人事變化就得重新劃分子網(wǎng)。我們已經(jīng)為該企業(yè)劃分了子網(wǎng)，不同的部門在不同的子網(wǎng)里，子網(wǎng)與子網(wǎng)之間不能訪問(wèn)，也控制了廣播域太大的問(wèn)題。今后如果有人事調(diào)動(dòng)或者部門擴(kuò)充，只要在交換機(jī)上作相應(yīng)的配置就可以了。它可理解網(wǎng)絡(luò)協(xié)議的第二層如 MAC 地址等。就像該企業(yè)的財(cái)務(wù)部，它既沒(méi)有必要訪問(wèn)別的部門，出于安全考慮別的部門也不能訪問(wèn)財(cái)務(wù)部。三層交換部分配置摘錄：switch1(config)ip routing 啟用交換機(jī)上的IP路由功能switch1(config)router rip 指定IP路由協(xié)議為RIPswitch1(configrouter)network switch1(config)int vlan 10 通過(guò)使用VLAN接口命令制定虛擬接口switch1(configif)ip address 為開發(fā)部VLAN分配IP地址switch1(configif)no shutdown 開啟接口switch1(config)int vlan 20switch1(configif)ip address 為財(cái)務(wù)部VLAN分配IP地址switch1(configif)no shutdownswitch1(config)accesslist 1 deny switch1(config)accesslist 1 permit any 配置ACL策略switch1(config)int vlan 20switch1(configif)ip accessgroup 1 in 在財(cái)務(wù)部VLAN進(jìn)入方向?qū)嵤〢CL策略鏈路聚合部分配置摘錄：switch1(config)interface port－channel 1 創(chuàng)建一個(gè)邏輯端口通道switch1(configif)exitswitch1(config)interface gigabitethernet 1/1進(jìn)入千兆端口switch1(config)no switchport 轉(zhuǎn)換為三層接口switch1(config)no ip address 刪除任何協(xié)議地址switch1(config)channelgroup 1 mod on 把該端口分配到通道1中在完成了企業(yè)內(nèi)部的網(wǎng)絡(luò)設(shè)計(jì)之后，就進(jìn)入了企業(yè)廣域網(wǎng)的設(shè)計(jì)階段，首先就是企業(yè)Internet接入的設(shè)計(jì)。我們只要向ISP申請(qǐng)一條光纖接入Internet，把光纖拉到企業(yè)機(jī)房，將光纖接入光纖收發(fā)器或者直接接入帶有光纖口的防火墻和路由器上，再把路由器用雙絞線接