【正文】 互聯(lián)網(wǎng)絡(luò)今后的發(fā)展趨勢(shì)，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全和服務(wù)質(zhì)量，以及共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡(jiǎn)單和低成本，建立安全的數(shù)據(jù)通道。這些特性使 Cisco 2600 系列成為可滿足當(dāng)今及未來(lái)客戶要求的理想企業(yè)路由器。 Cisco Catalyst 3750 系列智能以太網(wǎng)交換機(jī)是一種新型的企業(yè)級(jí)可堆疊多層交換機(jī)，可提供高可用性、可擴(kuò)展性、安全性和可改進(jìn)網(wǎng)絡(luò)運(yùn)營(yíng)的管理能力。對(duì)于我們要設(shè)計(jì)的這家企業(yè)來(lái)說(shuō)，采用軟硬件結(jié)合的這種 VPN 方式最適合不過(guò)了。 IPSec 協(xié)議是第三層的隧道協(xié)議， IPSec 在 IP 層上對(duì)數(shù)據(jù)包進(jìn)行安全處理，提供數(shù)據(jù)源、無(wú)連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限數(shù)據(jù)流機(jī)密性等安全服務(wù)。 Intra VPN 指企業(yè)的總部與分支機(jī)構(gòu)間通過(guò) VPN 虛擬網(wǎng)進(jìn)行網(wǎng)絡(luò)連接。但 Inter 有一個(gè)致命的弱點(diǎn)，那就是它的安全性。 PAT 把許多內(nèi)部IP 地址轉(zhuǎn)換成一個(gè)單獨(dú)的 IP 地址，每一個(gè)內(nèi)部地址通過(guò)給定一個(gè)不同的端口好來(lái)確定轉(zhuǎn)換的唯一性。這種接入方式具有很多優(yōu)勢(shì)：網(wǎng)絡(luò)上行下行速 度高，而且可擴(kuò)展度高；因?yàn)槭枪饫w出口，所以網(wǎng)絡(luò)可靠、穩(wěn)定；可以使用固定 IP，方便建立企業(yè)網(wǎng)站；性價(jià)比高，支持 VPN 技術(shù)等。鏈路聚合中，成員互相動(dòng)態(tài)備份，當(dāng)某一鏈路中斷時(shí)，其它成員能夠迅速接替其工作，這樣就很好的保障了整個(gè)網(wǎng)絡(luò)的穩(wěn)定性。而且，三層交換機(jī)還可以實(shí)現(xiàn)部分安全機(jī)制，它的訪問(wèn)列表的功能，可以實(shí)現(xiàn)不同 VLAN 間的單向或雙向通訊。傳統(tǒng)局域網(wǎng)交換機(jī)只在介質(zhì)訪問(wèn)層（ mac）處理數(shù)據(jù)包。只要把同一個(gè)部門(mén)的端口全部劃分進(jìn)同一個(gè) VLAN 就行了，而且還可以進(jìn)行跨交換機(jī)的端口 VLAN 劃分，也就是說(shuō)不同交換機(jī)上的端口也可以在同一個(gè) VLAN 里，這樣 VLAN 的劃分就不必要受到物理空間的限制，具有很好的靈活性。這樣看來(lái)好像不必要再劃分 VLAN 了，其實(shí)不然，因?yàn)檫@樣只作子網(wǎng)劃分是存在安全性問(wèn)題的。 VLAN（ Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。 VLSM(Variable Length Sub masks)變長(zhǎng)子網(wǎng)掩碼，是在標(biāo)準(zhǔn)的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡(luò)號(hào)碼，不同子網(wǎng)的子網(wǎng)掩碼可能有不同的長(zhǎng)度，但一旦子網(wǎng)掩碼的長(zhǎng)度確定了，它們就不變了，這個(gè)技術(shù)對(duì)于高效分配 IP 地址。但如果網(wǎng)絡(luò)規(guī)模較大，則 IP 地址管理的工作量就相當(dāng)大。 TCP/IP 協(xié)議規(guī)定，根 據(jù)網(wǎng)絡(luò)規(guī)模的大小將 IP 地址分為 5 類(lèi)（ A、 B、 C、 D、 E） 表 IP 地址分類(lèi) 雖然有這么多 IP 地址，但是這些 IP 地址我們是不能隨便用的，大多數(shù)的地址都被互聯(lián)網(wǎng)專(zhuān)業(yè)機(jī)構(gòu)注冊(cè)并指定，在 IP 地址日益匱乏的今天，企業(yè)一般只能申請(qǐng)到幾個(gè)公網(wǎng)地址。不同的連接方法網(wǎng)絡(luò)的性能不同，局域網(wǎng)拓?fù)浣Y(jié)構(gòu)通常分為 3 種，分別是總線型、星型和環(huán)型。該層最接近用戶，主要協(xié)議有 SMTP、 DNS、 FTP、 TELNET。 TCP/IP企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 12 協(xié)議族亦采用層次化的結(jié)構(gòu)模型，共包括四個(gè)層次 1）硬件接口層， TCP/IP 協(xié)議族沒(méi)有具體定義硬件層，因而它對(duì)各種各樣的網(wǎng)絡(luò)硬件具有高度的適應(yīng)性，這正式它的成功之處。 2）數(shù)據(jù)鏈路層是第二層，它的主要任務(wù)是加強(qiáng)物理層傳輸比特的可靠性。由于目前網(wǎng)絡(luò)產(chǎn)品標(biāo)準(zhǔn)化程度較高，因此可擴(kuò)展性要求基本不成問(wèn)題。倘若安全性系統(tǒng)保護(hù)企業(yè)免受病毒及駭客攻擊，但卻阻撓其服務(wù)客戶及邁向電子商務(wù)腳步，那么此系統(tǒng)就已超越其權(quán)限了。 4）可靠性原則。因此，不可能也沒(méi)有必要實(shí)現(xiàn)所謂“一步到位”。 3）網(wǎng)絡(luò)的安全機(jī)制： ① 通 過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的配置，控 制訪問(wèn)列表等方式來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性措施；② 更重要的是，在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處，采用先進(jìn)的防火墻技術(shù)、代理服務(wù)器技術(shù)、以及 Web 服務(wù)器的口令驗(yàn)證、數(shù)據(jù)加密等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的安全性 4）網(wǎng)絡(luò)中心設(shè)立 WEB 應(yīng)用服務(wù)器、 EMAIL 服務(wù)器、 DNS 服務(wù)企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 9 器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器，實(shí)現(xiàn) WEB 訪問(wèn)、 Inter 接入、 EMAIL 系統(tǒng)、域名解析、應(yīng)用系統(tǒng)等各種功能。 6）可擴(kuò)展性：考慮到企業(yè)的發(fā)展與以后規(guī)模的擴(kuò)大，企業(yè)網(wǎng)絡(luò)設(shè)計(jì)需預(yù)留擴(kuò)展空間，以便今后的網(wǎng)絡(luò)改造。 2）該網(wǎng)絡(luò)系統(tǒng)能實(shí)現(xiàn)資源共享，包括軟件共享，文件共享，打印機(jī)共享。分公司 99人，部門(mén)結(jié)構(gòu)與總公司一致，人事部 12 人，開(kāi)發(fā)部 34 人，工程部 20人，財(cái)務(wù)部 3 人，業(yè)務(wù)部 16 人，信息中心 3 人，商務(wù)部 9 人，經(jīng)理部2 人。 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 6 1 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù) 企業(yè)網(wǎng)絡(luò)指的是具有一定規(guī)模的網(wǎng)絡(luò)系統(tǒng)，它可以是單座建筑物內(nèi)的局域網(wǎng)，可以是覆蓋一個(gè)園區(qū)的園區(qū)網(wǎng)，還可以是跨地區(qū)的廣域網(wǎng)，其覆蓋范圍可以是幾公里、幾十公里、幾百公里，甚至更廣。 VPN技術(shù)在這方面可以發(fā)揮很大作用。 關(guān)鍵詞： 企業(yè)網(wǎng)絡(luò) 規(guī)劃設(shè)計(jì) 遠(yuǎn)程接入 VPN 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) II Abstract As enterprise work platform of a kind of effective extensions, remote access pick up person has been in the work applications technology plays a very important role. It overe the local area work technology in coverage and pick up person in the form of the limitations, and make the work users in the local area work outside the scope of also is convenient to access enterprise work platform at any time. This thesis is a design project for solution to the in one IT enterprise. First, it analyzes the needs of design for the enterprise according to which it puts forward the design principle and aim and formulates the scheme of the whole design project. Secondly, it designs the inter particularly in different aspects. In this scheme, it uses advance technology of inter, for instance, VLAN, exchange of three layers, thousandtrillion switching, optical fiber receiving, VPN and so on, to basically meet the needs of the enterprise and save enough room for expanding to adapt to the development henceforward. Keywords: enterprise work, Remote Access, VPN 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) III 目錄 摘要 ......................................................................................................... I Abstract .................................................................................................. II 目錄 ....................................................................................................... III 前言 .........................................................................................................5 1 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù) ..........................................................................6 根據(jù)實(shí)際分析企業(yè)網(wǎng) ...................................................................6 企業(yè)要求實(shí)現(xiàn)的 技術(shù) ...................................................................7 2 網(wǎng)絡(luò)總體規(guī)劃 ......................................................................................8 企業(yè)網(wǎng)絡(luò)設(shè)計(jì)要領(lǐng) .......................................................................8 VPN 技術(shù)的實(shí)現(xiàn) ..........................................................................9 配置 VPN 服務(wù)器 .......................................................................10 3 網(wǎng)絡(luò)具體規(guī)劃與設(shè)計(jì) ........................................................................13 網(wǎng)絡(luò)拓?fù)鋱D .................................................................................13 IP 地址 的 規(guī)劃 .............................................................................15 基于 VLSM 的子網(wǎng)劃分 ............................................................16 在 VPN 服務(wù)器的外網(wǎng)卡上添加相關(guān)協(xié)議 ...............................18 三層交換技術(shù)與鏈路聚合的應(yīng)用 .............................................20 接入及地址轉(zhuǎn)換 ..........................................................22 VPN 服務(wù)器設(shè)置用戶撥入并授權(quán) ............................................24 設(shè)備選型 .....................................................................