【正文】 2）前瞻性原則。通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的鏈接，從而實現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)、達到私有網(wǎng)絡(luò)的安全級別，如果接入方式為撥號方式，則稱之為 VPDN。 企業(yè)網(wǎng)絡(luò)設(shè)計要領(lǐng) 該 IT 企業(yè)網(wǎng)絡(luò)建設(shè)的目標(biāo)，就是在總公司和分公司分別建設(shè)局域網(wǎng)，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，使用遠程接入技術(shù)將公司與分公司之間連接起來，并使在外員工可隨時接入公司網(wǎng)絡(luò)，從而建立起統(tǒng)一、快捷、高效的中型 Intranent 系統(tǒng)，整個系統(tǒng)在安全、可靠、穩(wěn)定的前提下，符合經(jīng)濟的原則，即實現(xiàn)合理的投入，最大的產(chǎn)出。建立企業(yè)對外網(wǎng)站，提供一個對外宣傳的平臺，提高企業(yè)知名度。 企業(yè)要求實現(xiàn)的技術(shù) 網(wǎng)絡(luò)需求分析就是根據(jù)企業(yè)信息技術(shù)應(yīng)用要求和企業(yè)的業(yè)務(wù)發(fā)展需求，結(jié)合企業(yè)現(xiàn)有設(shè)備狀況和人員素質(zhì)，較為全面地調(diào)查和分析企業(yè)在信息 技術(shù)方面的技術(shù)需求，然后從網(wǎng)絡(luò)建設(shè)的角度，將這些需求轉(zhuǎn)換成構(gòu)造網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)能夠提供服務(wù)的需求。但從目前情況看國內(nèi)相當(dāng)多的企業(yè)還處于網(wǎng)絡(luò)初步應(yīng)用階段，其具有以下特點： 1 應(yīng)用水平較低，分 散且不一致。 正因為要實現(xiàn)這些目標(biāo)，遠程訪問技術(shù)必須要使用公共傳輸媒介。成都理工大學(xué)工程技術(shù)學(xué)院畢業(yè)論文 企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) 作者姓名： 專業(yè)名稱： 計算機通信 指導(dǎo)教師： 企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) I 摘要 作為企業(yè)網(wǎng)絡(luò)平臺的一種有效的延伸，遠程訪問接人技術(shù)一直在網(wǎng)絡(luò)應(yīng)用中扮演著非常重要的角色。換句話說，企業(yè)私有網(wǎng)絡(luò)平臺是無法實現(xiàn)該功能的，解決方案就是利用Inter 作 為傳輸載體，采用 VPN 技術(shù)，實現(xiàn) 企業(yè)網(wǎng)遠程接入技術(shù)。企業(yè)網(wǎng)絡(luò)缺乏整體性的設(shè)計，沒有統(tǒng)一的標(biāo)準(zhǔn)，在業(yè)務(wù)互相銜接的應(yīng)用系統(tǒng)之間缺乏一致性 2 應(yīng)用者的整體水平比較低，缺乏對計算機和網(wǎng)絡(luò)全面的認(rèn)識，難以接受將計算機作為一種工作方式 3 信息部門處于邊緣性地位，綜合實力較低，地位較低，給信息技術(shù)的應(yīng)用帶來了相當(dāng)大的難度。 在網(wǎng)絡(luò)需求分析過程中，網(wǎng)絡(luò)系統(tǒng)用戶往往從系統(tǒng)外部關(guān)注整個網(wǎng)絡(luò)系統(tǒng)的功能和性能，而網(wǎng)絡(luò)設(shè)計者往往從網(wǎng)絡(luò)系統(tǒng)內(nèi)部關(guān)注整個網(wǎng)絡(luò)系統(tǒng)的技術(shù)和結(jié)構(gòu)。 4）網(wǎng)絡(luò)管理：控制不同權(quán)限的員工使用 Inter 的方式和范圍，限制普通員工利用公司網(wǎng)絡(luò)進行業(yè)務(wù)無關(guān)的活動。總體設(shè)計如下： 1）以千兆以太網(wǎng)為主干網(wǎng)， 利用第三層交換技術(shù)實現(xiàn)大型局域網(wǎng)的 VLAN 的劃分。通常， VPN 是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的 安全鏈接，并保證數(shù)據(jù)的安全傳輸。在實用的基礎(chǔ)上還可以具有一定的前瞻性，在 網(wǎng)絡(luò)結(jié)構(gòu)上要做到能適應(yīng)較長時期企業(yè)和網(wǎng)絡(luò)技術(shù)的發(fā)展，不要在網(wǎng)絡(luò)剛組建不久就發(fā)現(xiàn)很難實現(xiàn)某些較新的應(yīng)用，或者根本不能應(yīng)用目前的一些主流軟件，這樣勢必造成企業(yè)網(wǎng)絡(luò)資源的浪費。 5）安全性原則。 7）可擴展性原則。 目前，主要的協(xié)議體系結(jié)構(gòu)有 OSI 族和 TCP/IP 族。 6）表示層是第六層，它把上層交付的信息變換為能夠共同理解的形式，它關(guān)心的是所傳輸?shù)男畔⒌恼Z法和語義，它只對應(yīng)用層信息的形式進行變換，但不改變信息內(nèi)容本身。它提供端到端的數(shù)據(jù)傳輸服務(wù)。在這個階段 ，要對該企業(yè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、IP 地址規(guī)劃、子網(wǎng)劃分、 Inter 接入等方面進行詳細(xì)的規(guī)劃與設(shè)計。而在接入層的設(shè)計上，總分公司都使用多臺二層交換機， 100 兆到桌面。用動態(tài) IP 地址分配（ DHCP）的最大優(yōu)點是客戶端網(wǎng)絡(luò)的配置非常簡單，在沒有管理員的幫助和干預(yù)的情況下，用戶自己便可以對網(wǎng)絡(luò)進行連接設(shè)置。同樣可以基于中心交換機的 VLAN 功能進行配置，劃分網(wǎng)段，根據(jù)各個二級單位信息點所在的網(wǎng)段進行動態(tài)地址分配。 表 總公司子網(wǎng)劃分 部門 子網(wǎng)網(wǎng)絡(luò)號 子網(wǎng)掩碼 網(wǎng)關(guān) 開發(fā)部 8 6 工程部 2 0 業(yè)務(wù)部 2 3 人事部 4 商務(wù)部 4 財務(wù)部 0 信息中心 0 企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) 18 經(jīng)理部 0 0 在 VPN 服務(wù)器的外網(wǎng)卡上添加相關(guān)協(xié)議 當(dāng)上述安裝成功以后，嘗試遠程接入 VPN 服務(wù)器，則不能接入。一個 VLAN 內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN 中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN 號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā) ,從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 MAC 地址劃分 VLAN。與接入鏈路不同，中繼連接能為多個 VLAN 傳送流量。傳統(tǒng)路由器工作在第三層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點的網(wǎng)絡(luò)地址時被識別，路由技術(shù)可以有效地控制數(shù)據(jù)包，但轉(zhuǎn)發(fā)包的速度太慢，同時路由器存在價格高等方面缺點。冗余鏈路是提高網(wǎng)絡(luò)系統(tǒng)可用性的重要方法。一般現(xiàn)今比較流行的企業(yè)寬帶接入方式有以下幾種： ADSL、 DDN、光纖等。地址轉(zhuǎn)換最初主要用來解決是 IP 地址短缺的問題，后來地址轉(zhuǎn)換技術(shù)有了更多的用途，逐漸顯示出它的優(yōu)勢。 隨著企業(yè)的收購和合并愈演愈烈，再加上企業(yè)自身的發(fā)展壯大與國際化，每家企業(yè)的分支機構(gòu)不僅越來越多，而且它們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為突出。 VPN 技術(shù)的成功引入可以從根本上滿足企業(yè)用戶的低通信費和高靈活性的雙重需求，更重要的是它可以提供與專線相媲美的通信安全保障，是一種非常廉價、安全、靈活自如的遠程網(wǎng)絡(luò)接入解決方案。所謂隧道，實質(zhì)上是一種封裝，它通過將待傳輸?shù)脑夹畔?(協(xié)議 x)經(jīng)過加密和協(xié)議封裝處理后再嵌套裝入另一種協(xié)議 (協(xié)議 Y)的數(shù)據(jù)包送入網(wǎng)絡(luò)中，像普通數(shù)據(jù)包一樣進行傳輸，實現(xiàn)跨越公共網(wǎng)絡(luò)傳送私有數(shù)據(jù)包的目的。 根據(jù) VPN 的應(yīng)用平臺可分為三類：軟件平臺、硬件平臺、軟硬件結(jié)合平臺。而對于出差辦公或者 SOHO 辦公的員工，進行 VPN 連接就必須在他們的計算機中安裝配套的 VPN 接入軟件，例如思科的 VPN 客戶端產(chǎn)品EASYVPN，當(dāng)要訪問公司資源時，通過一些簡單的配置，就可以進行遠程撥號連接。 路由器選型 對于路由器的品牌，我們推薦國際知名廠商 CISCO，或者為求便宜可以使用聯(lián)想的 路由器。 Cisco PIX 515E 是被廣泛采用的 Cisco PIX 515 平臺的增強版本，它可以提供業(yè)界領(lǐng)先的狀態(tài)防火墻和 IP 安全（ IPSec）虛擬專用網(wǎng)服務(wù)。網(wǎng)絡(luò)設(shè)計技術(shù)非常復(fù)雜而且更新很快，因此我們必須根據(jù)實際情況具體分析。胡 老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度和優(yōu)秀的做人的品格將讓我終生受益匪淺。 我還要向我的父母致以最誠摯的謝意，是你們的養(yǎng)育、期望和支持，使我順利地完成學(xué)業(yè)。無論網(wǎng)絡(luò)技術(shù)怎么發(fā)展變化，對每個網(wǎng)絡(luò)來說，如此多的復(fù)雜協(xié)議進行交互都會產(chǎn)生唯一的結(jié)果，就是將數(shù)據(jù)送到目的地。 Cisco PIX 515E多功能的單機架單元（ 1RU）機箱可以支持六個接口，使之成為那些需要一個具有 DMZ 支持的、成本低廉的安全解決方案的企業(yè)的理想選擇。在 CISCO 的產(chǎn)品中有很多不同的型號，在該方案中，我們采用 CISCO 2600 系列路由器。 VPN 配置部分摘錄： Firewall1(config)accesslist 100 permit udp host 企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) 29 host eq isakmp Firewall1(config)accesslist 100 permit esp host host 該 ACL 允許兩防火墻之間的 ISAKMP/IKE 和 ESP 流量 Firewall1(config)crypto isakmp policy 10 Firewall1(configisakmp)authentication preshare Firewall1(configisakmp)encryption 3des Firewall1(configisakmp)group 2 Firewall1(configisakmp)lifetime 3600 Firewall1(configisakmp)exit 定義 ISAKMP 策略中的各種參數(shù) Firewall1(config)crypto isakmp key cisco123 address 指定預(yù)共享密鑰，它必須與對方的密鑰值相匹配 Firewall1(config)accesslist 101 permit ip Firewall1(config)accesslist 101 permit ip ACL101 是加密ACL 指定兩方的流量被保護 Firewall1(config)crypto ipsec transformset Firewall2transform espshahmac esp3des IKE 階段 2 數(shù)據(jù)連接應(yīng)該用 ESP SHA 數(shù)據(jù)包認(rèn)證和 ESP 3DES 加密進行保護 Firewall1(config)cryto map IPSECMAP 100 ipsecisakmp Firewall1(configcryptomap)match address 101 Firewall1(configcryptomap)set peer Firewall1(configcryptomap)set transformset Firewall2transform Firewall1(configcryptomap)exit 配置加密映射中的條目 100，指定被保護流量，遠程對等體和用來保護流量的變換集 Firewall1(config)int ether1 Firewall1(configif)ip accessgroup 100 in 在接口上應(yīng)用保護 ACL 企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) 30 Firewall1(configif)cryptp map IPSECMAP 激活加密映射 設(shè)備選型 核心交換機選型 在本企業(yè)網(wǎng)絡(luò)的設(shè)計中，對核心交換機的要求比較高，基于本網(wǎng)絡(luò)的規(guī)模、用戶當(dāng)前的應(yīng)用、當(dāng)前網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)技術(shù)及應(yīng)用的發(fā)展趨勢，我們對用戶中心交換機的性能要求作出如下歸納：中心交換機必須具備足夠的端口，且應(yīng)能夠?qū)崿F(xiàn)多種網(wǎng)絡(luò)帶寬及介質(zhì)的連接能力；必須具備劃分 VLAN 的功能和三層交換能力，而且要有擴展訪問控制列表功能，以保證部門間安全訪問；中心交換機應(yīng)具備足夠的千兆擴展能力，以便能對網(wǎng)絡(luò)主干聯(lián)接及中心交換機與重要服務(wù)器的聯(lián)接能使用千兆以太網(wǎng)。硬件 VPN 雖然有高速率高數(shù)據(jù)安全及通信性能的優(yōu)點，但是它成本太高，中小型企業(yè)很難承受，通常是對于專業(yè)的 VPN 網(wǎng)絡(luò)服務(wù)提供商來說選擇這一平臺較為合適。目前 IP 網(wǎng)上較為常見的隧道協(xié)議大致有兩類 :第二層隧道協(xié)議 (包括 PPTP, L2TP)和第三層隧道協(xié)議 (包括 GRE、 IPSec, MPLS)，它們的比較如下圖： 企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) 27 圖 兩內(nèi)隧道協(xié)議對比 根據(jù)比較可以看出 L2TP 等二層隧道協(xié)議適用于用戶遠程撥號上網(wǎng)訪問遠端總部資源 。 I n t e r n e t V P N合 作 伙 伴分 公 司出 差 員 工S O H O 員 工總 公 司圖 VPN 拓?fù)鋱D 按 VPN 應(yīng)用的類型來