【文章內(nèi)容簡介】 、 D、 E） 表 IP 地址分類 雖然有這么多 IP 地址，但是這些 IP 地址我們是不能隨便用的，大多數(shù)的地址都被互聯(lián)網(wǎng)專業(yè)機構(gòu)注冊并指定，在 IP 地址日益匱乏的今天，企業(yè)一般只能申請到幾個公網(wǎng)地址。但是有部分的 IP 地址被特別區(qū)分出來用作私有網(wǎng)絡使用，它們被稱為私有 IP 地址 表 私有 IP 地址 A 類 ~ B 類 ~ C 類 ~ D 類 ~ 企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) 16 A 類： ~ B 類： ~ C 類： ~ 該企業(yè)只有一個公網(wǎng) IP，考慮到內(nèi)網(wǎng)計算機終端數(shù)量不多，該企業(yè)局域網(wǎng) IP 使用 C 類私有地址進行分配。 對于局域網(wǎng)的 IP 地址分配問題，用戶規(guī)模越大，管理工作就越困難，必須深思加以解決。目前一般來說有兩種分配方案，一是使用動態(tài) IP 地址分配（ DHCP），另一種方案是使用靜態(tài)地址分配，但必須加強 MAC 地址的管理。用動態(tài) IP 地址分配（ DHCP）的最大優(yōu)點是客戶端網(wǎng)絡的配置非常簡單，在沒有管理員的幫助和干預的情況下，用戶自己便可以對網(wǎng)絡進行連接設置。但是，因為 IP 地址是動態(tài)分配的，網(wǎng)管員不能從 IP 地 址上鑒定客戶的身份，相應的 IP 層管理將失去作用。而且使用動態(tài) IP 地址分配需要設置額外 DHCP 服務器。使用靜態(tài) IP 地址分配可以對各部門進行合理的 IP 地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對網(wǎng)卡 MAC 地址的管理，網(wǎng)絡就會具有更好的可管理性。但如果網(wǎng)絡規(guī)模較大，則 IP 地址管理的工作量就相當大。綜合以上考慮，由于該企業(yè)的規(guī)模不是很大，因此從網(wǎng)絡安全的角度出發(fā)，采用靜態(tài)地址分配的方法。并結(jié)合核心交換機的第三層交換功能，進行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡風暴的發(fā)生，另一方面也加強了網(wǎng) 絡的安全性。但當隨著以后企業(yè)規(guī)模的不斷擴大發(fā)展，整個網(wǎng)絡信息的規(guī)模不斷擴大，則可以考慮采用 DHCP 動態(tài) IP 地址分配的方案，設立專門的 DHCP 服務器進行動態(tài) IP 地址分配。同樣可以基于中心交換機的 VLAN 功能進行配置，劃分網(wǎng)段，根據(jù)各個二級單位信息點所在的網(wǎng)段進行動態(tài)地址分配。 基于 VLSM 的子網(wǎng)劃分 該企業(yè)總公司有 193 人，分公司有 99 人。如果分別把各自所有的主機放到一個子網(wǎng)里，對企業(yè)的安全性管理極為不利，而且如果有站點企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) 17 更新（計算機的配置調(diào)整或增減計算機）或發(fā)生故障，大量的廣播數(shù)據(jù)會 嚴重影響網(wǎng)絡的整體性能。因此必須對這些主機進行子網(wǎng)劃分控制廣播域的規(guī)模。 VLSM(Variable Length Sub masks)變長子網(wǎng)掩碼，是在標準的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡號碼，不同子網(wǎng)的子網(wǎng)掩碼可能有不同的長度，但一旦子網(wǎng)掩碼的長度確定了，它們就不變了，這個技術(shù)對于高效分配 IP 地址。 由于該企業(yè)人數(shù)不多，如果給每個子網(wǎng)分配一個 C 類地址，就會造成 IP 地址的浪費，所以要采用可變長子網(wǎng)掩碼技術(shù)對該企業(yè)局域網(wǎng)進行子網(wǎng)劃分。該企業(yè)的子網(wǎng)是按照部門來劃分的，基于可擴展性的原則，除了滿足每個部門都能 分到足夠的 IP 地址外，還要為以后的人事調(diào)動、部門擴展等留有冗余的 IP，否則可能會由于一些很小的人事變化就得重新劃分子網(wǎng)?？紤]到總公司與分公司之間要通過 VPN 技術(shù)遠程互聯(lián)，所以總公司與分公司的內(nèi)網(wǎng) IP 不能有重復。 表 總公司子網(wǎng)劃分 部門 子網(wǎng)網(wǎng)絡號 子網(wǎng)掩碼 網(wǎng)關 開發(fā)部 8 6 工程部 2 0 業(yè)務部 2 3 人事部 4 商務部 4 財務部 0 信息中心 0 企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) 18 經(jīng)理部 0 0 在 VPN 服務器的外網(wǎng)卡上添加相關協(xié)議 當上述安裝成功以后，嘗試遠程接入 VPN 服務器，則不能接入。原來是為了安全起見，路由和遠程訪問服務器安裝向?qū)г?VPN 服務器的 INTERNET 接口上設置了篩選器，只能允許 PPTP 和 L2TP 包通過該接口。要想使內(nèi)部計算機上網(wǎng)，只有對外網(wǎng)卡增加相關協(xié)議。 打開 “路由和遠程訪問服務 ”－ “IP 路由選擇 ”－ “常規(guī) ”－在右邊的窗口中選擇外網(wǎng)卡并打開－ “屬性 ”－ “啟用 IP 路由器管理器 ”－分別設置－“輸入篩選器 ”和 “輸出篩選器 ”。 VLAN（ Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。 IEEE 于 1999 年頒布了用以標準化 VLAN 實現(xiàn)方案的 協(xié)議標準草案。 VLAN 技術(shù)允許網(wǎng)絡管理者將一個物理的 LAN 邏輯地劃分成不同的廣播域（或稱虛擬 LAN，即 VLAN），每一個 VLAN 都包含一組有著相同需求的計算機工作站，與物理上形成的 LAN 有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個 VLAN 內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工 作站不一定屬于同一個物理 LAN 網(wǎng)段。一個 VLAN 內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN 中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN 號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā) ,從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。 VLAN 是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了VLAN 頭，用 VLAN ID 把用戶劃分為更小的工作組，限制不同工作組企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) 19 間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動 態(tài)管理網(wǎng)絡。 我們已經(jīng)為該企業(yè)劃分了子網(wǎng)，不同的部門在不同的子網(wǎng)里，子網(wǎng)與子網(wǎng)之間不能訪問，也控制了廣播域太大的問題。這樣看來好像不必要再劃分 VLAN 了，其實不然，因為這樣只作子網(wǎng)劃分是存在安全性問題的。局域網(wǎng)內(nèi)的任何用戶只要稍微修改一下 IP 與子網(wǎng)掩碼就可以訪問到該企業(yè)的任何部門了。所以，我們必須在交換機上劃分好VLAN，這樣，只要加強對交換機的保護，不讓一般員工改變交換機的配置，就算他們更改自己電腦的 IP 和子網(wǎng)掩碼也無法訪問到其它部門了。 VLAN 有幾種不同的劃分方法： VLAN。 MAC 地址劃分 VLAN。 VLAN。 IP 組播劃分VLAN。 該企業(yè)的 VLAN 我們采取根據(jù)端口來劃分，這種劃分方式是現(xiàn)在最常用的。只要把同一個部門的端口全部劃分進同一個 VLAN 就行了，而且還可以進行跨交換機的端口 VLAN 劃分，也就是說不同交換機上的端口也可以在同一個 VLAN 里，這樣 VLAN 的劃分就不必要受到物理空間的限制，具有很好的靈活性。今后如果有人事調(diào)動或者部門擴充，只要在交換機上作相應的配置就可以了。 處理 VLAN 時，交換機端口支持兩種連接類型：接入鏈路（ access link）與中繼（ trunk）。接入鏈路連接只能與單個 VLAN 相關，任何連接到該端口的任何設備將會在相同的廣播域中。與接入鏈路不同，中繼連接能為多個 VLAN 傳送流量。中繼鏈路一般在特點的設備之間，包括交換機到交換機，交換機到路由器，交換機到文件服務器等。 在該企業(yè)的 VLAN 端口配置中，各接入層的二層交換機與核心層的三層交換機之間的鏈路要配置成 trunk 鏈路，其他端口配置成 access鏈路，這樣 VLAN 信息就可以在各二層交換機之間傳遞，不同交換機但是同一個 VLAN 的用戶就可以相互訪問了。 VLAN 部分配置摘錄： 企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) 20 switch1(config)vlan 10 創(chuàng)建一個 vlan（開發(fā)部） switch1(configvlan)name kaifabu 為此 vlan 取名 switch1(configvlan)exit switch1(config)int fa0/1 進入一個快速以太端口配置 switch1(configif)switchport mode access 把 該接口配置為access 鏈路 switch1(configif)switchport access vlan 1 把該端口加入 vlan1 switch1(configif)exit switch1(config)int gig 2/1 進入千兆端口 switch1(configi}switch mode trunk 把該端口配置為trunk 鏈路 三層交換技術(shù)與鏈路聚合的應用 傳統(tǒng)的以太網(wǎng)交換機工作在 OSI 模型的 第二層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點的 MAC 地址時被識別。傳統(tǒng)局域網(wǎng)交換機只在介質(zhì)訪問層（ mac）處理數(shù)據(jù)包。它可理解網(wǎng)絡協(xié)議的第二層如 MAC 地址等。交換機在操作過程中不斷的收集資料去建立它本身的地址表，當交換機接收到一個數(shù)據(jù)包時，它會檢查該 包的目的 MAC 地址，核對一下自己的地址表以決定從哪個端口發(fā)送出去。這個工作用 ASIC（專用集成電路）芯片來做速度是非常快的，但同時由于它不察看數(shù)據(jù)包里的更多的內(nèi)容，所以無法作出有關策略方面的判斷，對數(shù)據(jù)流的控制能力不強。傳統(tǒng)路由器工作在第三層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點的網(wǎng)絡地址時被識別，路由技術(shù)可以有效地控制數(shù)據(jù)包，但轉(zhuǎn)發(fā)包的速度太慢，同時路由器存在價格高等方面缺點。這種狀況促使業(yè)界不得不去尋找一種新的方法 ,產(chǎn)生了“升級”技術(shù)──第三層交換技術(shù)。 第三層交換技術(shù)正是為了解決傳統(tǒng)交換技 術(shù)和路由器的缺陷而出現(xiàn)的，三層交換技術(shù)是在網(wǎng)絡模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，第三層交換具有以下特征： 1) 執(zhí)行路由處理 企業(yè)網(wǎng)遠程接入技術(shù)的實現(xiàn) 21 2) 轉(zhuǎn)發(fā)基于第三層的業(yè)務流 3) 完成交換功能 4) 可以完成特殊服務，如報文過濾或訪問控制 該企業(yè)各部門處于不同的 VLAN 中，某些部門之間是需要互相訪問的，如果用傳統(tǒng)的路由器來完成 VLAN 間互訪，所有跨 VLAN 的數(shù)據(jù)必須通過路由器轉(zhuǎn)發(fā)，路由的高延遲會引來用戶對網(wǎng)絡速度的抱怨，不使用三層交換技術(shù)的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴大部門間的流量會更加增多 ，到時可能又要投入更多資金更換更貴的路由器，這不符合企業(yè)網(wǎng)絡設計的可擴展性原則。 在該企業(yè)的網(wǎng)絡核心層使用三層交換機，大大增快了網(wǎng)絡的速度，充分利用了現(xiàn)有資源，降低了網(wǎng)絡成本，增加了網(wǎng)絡的可擴展性。而且，三層交換機還可以實現(xiàn)部分安全機制，它的訪問列表的功能，可以實現(xiàn)不同 VLAN 間的單向或雙向通訊。就像該企業(yè)的財務部，它既沒有必要訪問別的部門，出于安全考慮別的部門也不能訪問財務部。而經(jīng)理室應該可以訪問所有的部門，但是別的部門是不可以訪問他的??基于這些不同的訪問需求，可在三層交換機上配置 ACL 語句加以限制。 該企業(yè)的三層交換機位于整個局域網(wǎng)的核心部分，企業(yè)上網(wǎng)的流量、 VLAN 間的流量、 VPN 產(chǎn)生的流量全部都要經(jīng)過核心三層交換機進行轉(zhuǎn)發(fā)，所以核心交換機的速度與穩(wěn)定性非常重要。冗余鏈路是提高網(wǎng)絡系統(tǒng)可用性的重要方法。目前的技術(shù)中，以鏈路聚合（ Link Aggregation）技術(shù)