【正文】 持的、成本低廉的安全解決方案的企業(yè)的理想選擇。最后，我還要感謝所有為我的論文提出指導(dǎo)意見的同學(xué)和朋友，他們的名字無(wú)法一一盡述，在此一并表示誠(chéng)摯的感謝。Cisco PIX 515E是被廣泛采用的Cisco PIX 515平臺(tái)的增強(qiáng)版本，它可以提供業(yè)界領(lǐng)先的狀態(tài)防火墻和IP安全（IPSec）虛擬專用網(wǎng)服務(wù)。而對(duì)于出差辦公或者SOHO辦公的員工，進(jìn)行VPN連接就必須在他們的計(jì)算機(jī)中安裝配套的VPN接入軟件，例如思科的VPN客戶端產(chǎn)品EASYVPN，當(dāng)要訪問公司資源時(shí)，通過(guò)一些簡(jiǎn)單的配置，就可以進(jìn)行遠(yuǎn)程撥號(hào)連接。所謂隧道，實(shí)質(zhì)上是一種封裝，它通過(guò)將待傳輸?shù)脑夹畔?協(xié)議x)經(jīng)過(guò)加密和協(xié)議封裝處理后再嵌套裝入另一種協(xié)議(協(xié)議Y)的數(shù)據(jù)包送入網(wǎng)絡(luò)中，像普通數(shù)據(jù)包一樣進(jìn)行傳輸，實(shí)現(xiàn)跨越公共網(wǎng)絡(luò)傳送私有數(shù)據(jù)包的目的。PAT配置部分摘錄：Router(config)accesslist 1 permit 創(chuàng)建內(nèi)部本地地址池Router(config)ip nat pool natpool netmask 創(chuàng)建內(nèi)部全局地址池Router(config)ip nat inside source list 1 pool natpool overload 加入overload實(shí)現(xiàn)PAT轉(zhuǎn)換，全部本地地址共用一個(gè)外部地址Router(config)int FastEthernet0/0Router(configif)ip nat inside 把fe0/0口配置為內(nèi)部接口Router(config)int FastEthernet0/1Router(configif)ip nat outside 把fe0/1口配置為外部接口隨著企業(yè)的收購(gòu)和合并愈演愈烈，再加上企業(yè)自身的發(fā)展壯大與國(guó)際化，每家企業(yè)的分支機(jī)構(gòu)不僅越來(lái)越多，而且它們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為突出。以前的窄帶網(wǎng)絡(luò)已經(jīng)不能滿足企業(yè)寬帶業(yè)務(wù)發(fā)展要求，迫切需要建立一個(gè)高寬帶、業(yè)務(wù)發(fā)展受限制少的寬帶業(yè)務(wù)網(wǎng)。這個(gè)工作用 ASIC（專用集成電路）芯片來(lái)做速度是非?？斓?，但同時(shí)由于它不察看數(shù)據(jù)包里的更多的內(nèi)容，所以無(wú)法作出有關(guān)策略方面的判斷，對(duì)數(shù)據(jù)流的控制能力不強(qiáng)。局域網(wǎng)內(nèi)的任何用戶只要稍微修改一下IP與子網(wǎng)掩碼就可以訪問到該企業(yè)的任何部門了。同樣可以基于中心交換機(jī)的 VLAN 功能進(jìn)行配置，劃分網(wǎng)段，根據(jù)各個(gè)二級(jí)單位信息點(diǎn)所在的網(wǎng)段進(jìn)行動(dòng)態(tài)地址分配。而在接入層的設(shè)計(jì)上，總分公司都使用多臺(tái)二層交換機(jī)，100兆到桌面。它提供端到端的數(shù)據(jù)傳輸服務(wù)。目前，主要的協(xié)議體系結(jié)構(gòu)有OSI族和TCP/IP族。5）安全性原則。這樣，可以提供遠(yuǎn)程撥號(hào)訪問和通過(guò)Internet 訪問兩種方式，來(lái)實(shí)現(xiàn)全國(guó)各分支機(jī)構(gòu)、相關(guān)部門以及公眾對(duì)公司信息的限制性訪問。服務(wù)器、連接設(shè)備、綜合布線等統(tǒng)一購(gòu)買和配置，客戶機(jī)應(yīng)利用現(xiàn)有各部門的計(jì)算機(jī)，以保護(hù)原有投資和不影響正常工作。因此，企業(yè)進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)，不僅是信息社會(huì)發(fā)展的要求，也是自身發(fā)展所必須的。網(wǎng)絡(luò)技術(shù)的發(fā)展使得網(wǎng)絡(luò)建設(shè)從基礎(chǔ)架構(gòu)到維護(hù)和管理都變得十分簡(jiǎn)單和智能，豐富的網(wǎng)絡(luò)產(chǎn)品線和不斷降低的價(jià)格，可以讓中小企業(yè)根據(jù)自身的情況，按照實(shí)際的經(jīng)濟(jì)條件來(lái)構(gòu)建自己的網(wǎng)絡(luò)，用于網(wǎng)絡(luò)建設(shè)的投資對(duì)于企業(yè)而言不再成為一個(gè)負(fù)擔(dān)。由于公司規(guī)模的擴(kuò)大，為了提高工作效率、公司知名度、公司效益以及管理水平，該企業(yè)決定投資重新建設(shè)完善的企業(yè)網(wǎng)絡(luò)。網(wǎng)絡(luò)總體規(guī)劃反映了網(wǎng)絡(luò)設(shè)計(jì)“總體規(guī)劃、分布實(shí)施”的網(wǎng)絡(luò)建設(shè)原則，是從網(wǎng)絡(luò)需求分析到網(wǎng)絡(luò)具體設(shè)計(jì)之間必經(jīng)的階段，網(wǎng)絡(luò)規(guī)劃通過(guò)對(duì)企業(yè)網(wǎng)絡(luò)需求的調(diào)查、分析、歸納，把企業(yè)現(xiàn)在和未來(lái)對(duì)網(wǎng)絡(luò)的需求轉(zhuǎn)換成對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、功能、性能、協(xié)議等技術(shù)指標(biāo)的具體要求。其目標(biāo)首先是要有利于未來(lái)網(wǎng)絡(luò)系統(tǒng)的擴(kuò)充，其次還要有利于在需要時(shí)與外部網(wǎng)絡(luò)互通。網(wǎng)絡(luò)系統(tǒng)應(yīng)在規(guī)模和性能兩方面具有良好的可擴(kuò)展性。該協(xié)議族是一組獨(dú)立的協(xié)議的集合，其中最主要的是TCP協(xié)議和IP協(xié)議。拓?fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和相互間的連接，它的結(jié)構(gòu)主要有星型結(jié)構(gòu)、總線結(jié)構(gòu)、樹型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、蜂窩狀結(jié)構(gòu)、分布式結(jié)構(gòu)等。使用靜態(tài) IP 地址分配可以對(duì)各部門進(jìn)行合理的 IP 地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對(duì)網(wǎng)卡 MAC 地址的管理，網(wǎng)絡(luò)就會(huì)具有更好的可管理性。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。在該企業(yè)的VLAN端口配置中，各接入層的二層交換機(jī)與核心層的三層交換機(jī)之間的鏈路要配置成trunk鏈路，其他端口配置成access鏈路，這樣VLAN信息就可以在各二層交換機(jī)之間傳遞，不同交換機(jī)但是同一個(gè)VLAN的用戶就可以相互訪問了。鏈路聚合技術(shù)亦稱主干技術(shù)（Trunking）或捆綁技術(shù)（Bonding），其實(shí)質(zhì)是將兩臺(tái)設(shè)備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路，簡(jiǎn)單地說(shuō)就是把多個(gè)端口綁定成一個(gè)虛擬端口。地址轉(zhuǎn)換主要分為兩種類型，網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation,NAT）、端口地址轉(zhuǎn)換（Port Address Translation，PAT）。Access VPN是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過(guò)公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)建的虛擬網(wǎng)。軟硬結(jié)合VPN這種平臺(tái)是最為通用的一種方式，它既具備了硬件平臺(tái)的高性能、高安全性、同時(shí)也具有軟件平臺(tái)的靈活性，是目前絕大多數(shù)企業(yè)選用的VPN方案。Cisco 2600 系列是一款屢獲大獎(jiǎng)的模塊化多服務(wù)接入路由器系列，具有靈活的LAN 和 WAN 配置、多個(gè)安全性選項(xiàng)、語(yǔ)音/數(shù)據(jù)集成和一系列高性能處理器。本規(guī)劃設(shè)計(jì)方案只是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀及網(wǎng)絡(luò)安全的解決方案，在隨后的分期分批的項(xiàng)目實(shí)施過(guò)程中，由于企業(yè)網(wǎng)絡(luò)環(huán)境、以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的變化，會(huì)在細(xì)節(jié)上根據(jù)實(shí)際情況進(jìn)行相應(yīng)的調(diào)整，如：安裝設(shè)備數(shù)量、設(shè)備安裝具體地點(diǎn)等，只要在總的布局、要求以及標(biāo)準(zhǔn)上保持不變，實(shí)施之后就能夠達(dá)到本方案的設(shè)計(jì)要求。無(wú)論網(wǎng)絡(luò)技術(shù)怎么發(fā)展變化，對(duì)每個(gè)網(wǎng)絡(luò)來(lái)說(shuō)，如此多的復(fù)雜協(xié)議進(jìn)行交互都會(huì)產(chǎn)生唯一的結(jié)果，就是將數(shù)據(jù)送到目的地。因?yàn)榻尤雽咏粨Q機(jī)必須配置trunk口， 必須使用，又要求性能必須穩(wěn)定，所以對(duì)本項(xiàng)目而言 Cisco 2950－24 交換機(jī)是性價(jià)比最好的交換機(jī)?？紤]到該企業(yè)的組網(wǎng)規(guī)模以及安全需求，我們也采用IPSec協(xié)議族組建VPN內(nèi)聯(lián)網(wǎng)。在這樣的背景下，一種基于公用網(wǎng)絡(luò)的動(dòng)態(tài)、安全的連接解決方案就成為時(shí)代之需，VPN就是這樣一種網(wǎng)絡(luò)連接技術(shù)。這樣，就實(shí)現(xiàn)了兩種不同傳輸介質(zhì)的企業(yè)網(wǎng)絡(luò)的Internet接入方案。而經(jīng)理室應(yīng)該可以訪問所有的部門，但是別的部門是不可以訪問他的……基于這些不同的訪問需求，可在三層交換機(jī)上配置ACL語(yǔ)句加以限制。處理VLAN時(shí)，交換機(jī)端口支持兩種連接類型：接入鏈路（access link）與中繼（trunk）?？紤]到總公司與分公司之間要通過(guò)VPN技術(shù)遠(yuǎn)程互聯(lián)，所以總公司與分公司的內(nèi)網(wǎng)IP不能有重復(fù)。目前一般來(lái)說(shuō)有兩種分配方案，一是使用動(dòng)態(tài) IP地址分配（DHCP），另一種方案是使用靜態(tài)地址分配，但必須加強(qiáng) MAC 地址的管理。4網(wǎng)絡(luò)具體規(guī)劃與設(shè)計(jì) 在總體上規(guī)劃好企業(yè)網(wǎng)絡(luò)之后，就要進(jìn)入具體設(shè)計(jì)的階段，這也是網(wǎng)絡(luò)設(shè)計(jì)的最重要的環(huán)節(jié)。5）會(huì)話層是第五層，它提供一種經(jīng)過(guò)組織的方法在用戶之間交換數(shù)據(jù)。網(wǎng)絡(luò)管理員能夠在不改變系統(tǒng)運(yùn)行的情況下對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。2）前瞻性原則。預(yù)防計(jì)算機(jī)病毒，盡可能把病毒感染的幾率降到最低?？偣?93人，分8個(gè)部門，包括人事部、開發(fā)部、財(cái)務(wù)部、商務(wù)部、工程部、業(yè)務(wù)部、信息中心、經(jīng)理部。本文是對(duì)某IT企業(yè)的一個(gè)企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的解決方案，文章首先分析了企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)需求，根據(jù)需求提出了設(shè)計(jì)原則與設(shè)計(jì)目標(biāo)，制定了總體的規(guī)劃設(shè)計(jì)方案，然后再分層次具體地對(duì)該企業(yè)的局域網(wǎng)和廣域網(wǎng)進(jìn)行設(shè)計(jì)，在該方案中，我們采用了VLAN、三層交換、千兆交換、光纖接入、VPN等先進(jìn)網(wǎng)絡(luò)技術(shù)，基本滿足了該企業(yè)的需求，并留有足夠的擴(kuò)充空間，以適應(yīng)今后發(fā)展。但從目前情況看國(guó)內(nèi)相當(dāng)多的企業(yè)還處于網(wǎng)絡(luò)初步應(yīng)用階段，其具有以下特點(diǎn)：1應(yīng)用水平較低，分散且不一致。建立企業(yè)對(duì)外網(wǎng)站，提供一個(gè)對(duì)外宣傳的平臺(tái)，提高企業(yè)知名度。因此，不可能也沒有必要實(shí)現(xiàn)所謂“一步到位”。倘若安全性系統(tǒng)保護(hù)企業(yè)免受病毒及駭客攻擊，但卻阻撓其服務(wù)客戶及邁向電子商務(wù)腳步，那么此系統(tǒng)就已超越其權(quán)限了。2）數(shù)據(jù)鏈路層是第二層，它的主要任務(wù)是加強(qiáng)物理層傳輸比特的可靠性。該層最接近用戶，主要協(xié)議有SMTP、DNS、FTP、TELNET。TCP/IP協(xié)議規(guī)定，根據(jù)網(wǎng)絡(luò)規(guī)模的大小將IP地址分為5類（A、B、C、D、E）：A類~B類~C類~D類~雖然有這么多IP地址，但是這些IP地址我們是不能隨便用的，大多數(shù)的地址都被互聯(lián)網(wǎng)專業(yè)機(jī)構(gòu)注冊(cè)并指定，在IP地址日益匱乏的今天，企業(yè)一般只能申請(qǐng)到幾個(gè)公網(wǎng)地址。VLSM(Variable Length Subnet masks)變長(zhǎng)子網(wǎng)掩碼，是在標(biāo)準(zhǔn)的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡(luò)號(hào)碼，不同子網(wǎng)的子網(wǎng)掩碼可能有不同的長(zhǎng)度，但一旦子網(wǎng)掩碼的長(zhǎng)度確定了，它們就不變了，這個(gè)技術(shù)對(duì)于高效分配IP地址。該企業(yè)的VLAN我們采取根據(jù)端口來(lái)劃分，這種劃分方式是現(xiàn)在最常用的。在該企業(yè)的網(wǎng)絡(luò)核心層使用三層交換機(jī)，大大增快了網(wǎng)絡(luò)的速度，充分利用了現(xiàn)有資源