【正文】 理室應該可以訪問所有的部門，但是別的部門是不可以訪問他的……基于這些不同的訪問需求，可在三層交換機上配置ACL語句加以限制?，F(xiàn)今企業(yè)對信息的需求急劇增加，信息量呈指數(shù)增長，通信業(yè)務也從電話、數(shù)據(jù)向視頻、多媒體等寬帶業(yè)務發(fā)展。這樣，就實現(xiàn)了兩種不同傳輸介質(zhì)的企業(yè)網(wǎng)絡的Internet接入方案。而對于該企業(yè)的WEB服務器，我們采用靜態(tài)PAT技術，這就相當于做了一個端口映射，使得企業(yè)外部可以訪問到該企業(yè)內(nèi)部的WEB服務器，即可以訪問到該企業(yè)的網(wǎng)站。在這樣的背景下，一種基于公用網(wǎng)絡的動態(tài)、安全的連接解決方案就成為時代之需，VPN就是這樣一種網(wǎng)絡連接技術。這種技術可以用來提供網(wǎng)絡到網(wǎng)絡，主機到主機，或者主機到網(wǎng)絡的安全連接?？紤]到該企業(yè)的組網(wǎng)規(guī)模以及安全需求，我們也采用IPSec協(xié)議族組建VPN內(nèi)聯(lián)網(wǎng)。對于該企業(yè)的內(nèi)聯(lián)網(wǎng)構(gòu)建，我們只要購買兩臺支持IPSec隧道協(xié)議的VPN防火墻，安裝在總公司和分公司兩個網(wǎng)絡邊界，然后對兩臺VPN防火墻進行相關配置，當建立起VPN連接后，這時總公司與分公司就相當于處于同一個局域網(wǎng)中，這些配置對于員工來說這是透明的。因為接入層交換機必須配置trunk口， 必須使用，又要求性能必須穩(wěn)定，所以對本項目而言 Cisco 2950－24 交換機是性價比最好的交換機?；谝陨侠碛?，我們推薦Cisco PIX 515E防火墻。無論網(wǎng)絡技術怎么發(fā)展變化，對每個網(wǎng)絡來說，如此多的復雜協(xié)議進行交互都會產(chǎn)生唯一的結(jié)果，就是將數(shù)據(jù)送到目的地。我還要向我的父母致以最誠摯的謝意，是你們的養(yǎng)育、期望和支持，使我順利地完成學業(yè)。本規(guī)劃設計方案只是一個計算機網(wǎng)絡現(xiàn)狀及網(wǎng)絡安全的解決方案，在隨后的分期分批的項目實施過程中，由于企業(yè)網(wǎng)絡環(huán)境、以及網(wǎng)絡應用系統(tǒng)的變化，會在細節(jié)上根據(jù)實際情況進行相應的調(diào)整，如：安裝設備數(shù)量、設備安裝具體地點等，只要在總的布局、要求以及標準上保持不變，實施之后就能夠達到本方案的設計要求。作為全球領先的Cisco PIX 防火墻系列的一部分，它可以為今天的網(wǎng)絡用戶提供無以倫比的安全性、可靠性和性能。Cisco 2600 系列是一款屢獲大獎的模塊化多服務接入路由器系列，具有靈活的LAN 和 WAN 配置、多個安全性選項、語音/數(shù)據(jù)集成和一系列高性能處理器。基于上述對本網(wǎng)絡中心交換機性能要求的認識，我們推薦 Cisco Catalyst 3750 或者同等檔次具有同等功能的交換機作為該網(wǎng)絡的中心交換機。軟硬結(jié)合VPN這種平臺是最為通用的一種方式，它既具備了硬件平臺的高性能、高安全性、同時也具有軟件平臺的靈活性，是目前絕大多數(shù)企業(yè)選用的VPN方案。MPLS適用于骨干網(wǎng)絡上大型企業(yè)的多分支機構(gòu)建立自己私有專用網(wǎng)絡，雖然具備Qos等其他協(xié)議所不具備的特性，但對用戶設備要求比較高，而且目前還在完善中。Access VPN是指企業(yè)員工或企業(yè)的小分支機構(gòu)通過公網(wǎng)遠程撥號的方式構(gòu)建的虛擬網(wǎng)。雖然Internet為企業(yè)廣域網(wǎng)連接提供了物質(zhì)基礎，并且TCP/IP協(xié)議為網(wǎng)絡的互聯(lián)提供了極大的靈活性。地址轉(zhuǎn)換主要分為兩種類型，網(wǎng)絡地址轉(zhuǎn)換（Network Address Translation,NAT）、端口地址轉(zhuǎn)換（Port Address Translation，PAT）。Fiber To The Building(FTTB，光纖到樓)，它是利用數(shù)字寬帶技術，光纖直接到樓內(nèi)機房，再通過高速以太網(wǎng)的形式到各個用戶。鏈路聚合技術亦稱主干技術（Trunking）或捆綁技術（Bonding），其實質(zhì)是將兩臺設備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路，簡單地說就是把多個端口綁定成一個虛擬端口。第三層交換技術正是為了解決傳統(tǒng)交換技術和路由器的缺陷而出現(xiàn)的，三層交換技術是在網(wǎng)絡模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，第三層交換具有以下特征：1) 執(zhí)行路由處理2) 轉(zhuǎn)發(fā)基于第三層的業(yè)務流3) 完成交換功能4) 可以完成特殊服務，如報文過濾或訪問控制該企業(yè)各部門處于不同的VLAN中，某些部門之間是需要互相訪問的，如果用傳統(tǒng)的路由器來完成VLAN間互訪，所有跨VLAN的數(shù)據(jù)必須通過路由器轉(zhuǎn)發(fā)，路由的高延遲會引來用戶對網(wǎng)絡速度的抱怨，不使用三層交換技術的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴大部門間的流量會更加增多，到時可能又要投入更多資金更換更貴的路由器，這不符合企業(yè)網(wǎng)絡設計的可擴展性原則。在該企業(yè)的VLAN端口配置中，各接入層的二層交換機與核心層的三層交換機之間的鏈路要配置成trunk鏈路，其他端口配置成access鏈路，這樣VLAN信息就可以在各二層交換機之間傳遞，不同交換機但是同一個VLAN的用戶就可以相互訪問了。 。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。因此必須對這些主機進行子網(wǎng)劃分控制廣播域的規(guī)模。使用靜態(tài) IP 地址分配可以對各部門進行合理的 IP 地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對網(wǎng)卡 MAC 地址的管理，網(wǎng)絡就會具有更好的可管理性?？偣揪W(wǎng)絡拓撲圖分公司網(wǎng)絡拓撲圖 IP地址規(guī)劃每臺計算機、服務器、或者路由器的接口都有一個由授權(quán)機構(gòu)分配的號碼，我們稱它為IP地址。拓撲圖給出網(wǎng)絡服務器、工作站的網(wǎng)絡配置和相互間的連接，它的結(jié)構(gòu)主要有星型結(jié)構(gòu)、總線結(jié)構(gòu)、樹型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、蜂窩狀結(jié)構(gòu)、分布式結(jié)構(gòu)等。它由使用網(wǎng)路的應用程序和進程組成。該協(xié)議族是一組獨立的協(xié)議的集合，其中最主要的是TCP協(xié)議和IP協(xié)議。1）物理層是第一層，它決定設備之間的物理接口以及在傳輸介質(zhì)上比特傳送的規(guī)則。網(wǎng)絡系統(tǒng)應在規(guī)模和性能兩方面具有良好的可擴展性。企業(yè)必須保護其網(wǎng)絡系統(tǒng)，以避免受外來惡意性入侵，但也必須保留足夠空間，使其主要經(jīng)營之業(yè)務能順利運作。其目標首先是要有利于未來網(wǎng)絡系統(tǒng)的擴充，其次還要有利于在需要時與外部網(wǎng)絡互通。計算機設備、服務器設備和網(wǎng)絡設備在技術性能逐步提升的同時，其價格卻在逐年下降。網(wǎng)絡總體規(guī)劃反映了網(wǎng)絡設計“總體規(guī)劃、分布實施”的網(wǎng)絡建設原則，是從網(wǎng)絡需求分析到網(wǎng)絡具體設計之間必經(jīng)的階段，網(wǎng)絡規(guī)劃通過對企業(yè)網(wǎng)絡需求的調(diào)查、分析、歸納，把企業(yè)現(xiàn)在和未來對網(wǎng)絡的需求轉(zhuǎn)換成對網(wǎng)絡結(jié)構(gòu)、功能、性能、協(xié)議等技術指標的具體要求。3）能高速接入Internet進行工作，收發(fā)郵件，瀏覽網(wǎng)頁查找資料。由于公司規(guī)模的擴大，為了提高工作效率、公司知名度、公司效益以及管理水平，該企業(yè)決定投資重新建設完善的企業(yè)網(wǎng)絡。我國的企業(yè)網(wǎng)絡建設經(jīng)過了單機應用階段，目前正處在Internet應用熱潮中。網(wǎng)絡技術的發(fā)展使得網(wǎng)絡建設從基礎架構(gòu)到維護和管理都變得十分簡單和智能，豐富的網(wǎng)絡產(chǎn)品線和不斷降低的價格，可以讓中小企業(yè)根據(jù)自身的情況，按照實際的經(jīng)濟條件來構(gòu)建自己的網(wǎng)絡，用于網(wǎng)絡建設的投資對于企業(yè)而言不再成為一個負擔。關鍵詞 企業(yè)網(wǎng)絡 規(guī)劃設計 遠程接入 VPN畢業(yè)設計論文外文摘要Title Planning and design of Remote Access enterprise network AbstractAs the technology of internet increasingly popularizes, it is getting more and more important that the technology of net develops at full speed, and the work of enterprise is informational. Now it is the twentyfirst century, the informational enterprise can39。因此，企業(yè)進行計算機網(wǎng)絡的建設，不僅是信息社會發(fā)展的要求，也是自身發(fā)展所必須的。人事部23人，開發(fā)部57人，財務部7人，商務部18人，工程部47人，業(yè)務部32人，信息中心5人，經(jīng)理部4人。服務器、連接設備、綜合布線等統(tǒng)一購買和配置，客戶機應利用現(xiàn)有各部門的計算機，以保護原有投資和不影響正常工作。使用防火墻，防止來自互聯(lián)網(wǎng)上的入侵，保障企業(yè)資源的安全。這樣，可以提供遠程撥號訪問和通過Internet 訪問兩種方式，來實現(xiàn)全國各分支機構(gòu)、相關部門以及公眾對公司信息的限制性訪問。在實用的基礎上還可以具有一定的前瞻性，在網(wǎng)絡結(jié)構(gòu)上要做到能適應較長時期企業(yè)和網(wǎng)絡技術的發(fā)展，不要在網(wǎng)絡剛組建不久就發(fā)現(xiàn)很難實現(xiàn)某些較新的應用，或者根本不能應用目前的一些主流軟件，這樣勢必造成企業(yè)網(wǎng)絡資源的浪費。5）安全性原則。7）可擴展性原則。目前，主要的協(xié)議體系結(jié)構(gòu)有OSI族和TCP/IP族。6）表示層是第六層，它把上層交付的信息變換為能夠共同理解的形式，它關心的是所傳輸?shù)男畔⒌恼Z法和語義，它只對應用層信息的形式進行變換，但不改變信息內(nèi)容本身。它提供端到端的數(shù)據(jù)傳輸服務。在這個階段，要對該企業(yè)網(wǎng)絡的拓撲結(jié)構(gòu)、IP地址規(guī)劃、子網(wǎng)劃分、Internet接入等方面進行詳細的規(guī)劃與設計。而在接入層的設計上，總分公司都使用多臺二層交換機，100兆到桌面。用動態(tài) IP 地址分配（DHCP）的最大優(yōu)點是客戶端網(wǎng)絡的配置非常簡單，在沒有管理員的幫助和干預的情況下，用戶自己便可以對網(wǎng)絡進行連接設置。同樣可以基于中心交換機的 VLAN 功能進行配置，劃分網(wǎng)段，根據(jù)各個二級單位信息點所在的網(wǎng)段進行動態(tài)地址分配。總公司子網(wǎng)劃分部門子網(wǎng)網(wǎng)絡號子網(wǎng)掩碼網(wǎng)關開發(fā)部工程部業(yè)務部人事