【文章內(nèi)容簡介】 第三章 項目可行性與需求分析本次基于IPSec vpn和NAT的小型企業(yè)網(wǎng)利用網(wǎng)絡、文獻搜索理論資料，及了解企業(yè)網(wǎng)絡中關(guān)于IPSec vpn和NAT的應用，所涉及的技術(shù)都是在學校學習時所接觸到的內(nèi)容，其中的每一項技術(shù)經(jīng)過老師的講解、自身的消化，以及反復的上機實驗而得以掌握的，所以技術(shù)上是可行的。技術(shù)可行性這一部分建議重寫，重心應是：小型企業(yè)網(wǎng)自身的網(wǎng)絡特點，導致IPSec跟NAT在其中的應用是非常合適的。 你寫的是技術(shù)的可實現(xiàn)行，而不是可行性。目前企業(yè)網(wǎng)對網(wǎng)絡化管理與辦公的需求隨著時代的進步而提高，因此，企業(yè)網(wǎng)中對IPSec協(xié)議和NAT技術(shù)的需求是迫切的、必要的，且本次設(shè)計不需要很高的成本，僅僅是一個小型企業(yè)網(wǎng)的設(shè)計。通過本設(shè)計可以提高企業(yè)辦公信息安全，減少問題出現(xiàn)，簡化網(wǎng)絡管理和降低網(wǎng)絡建設(shè)的成本，所以經(jīng)濟上是可行的。本設(shè)計可以在模擬器上進行反復的試驗與調(diào)試，因此具有操作方便、快捷的特點，表明具有操作可行性。這一段也重寫。如果寫不出，就去掉這個操作可行性這一部分。近幾年來，電子商務的飛速發(fā)展，像阿里巴巴、當當網(wǎng)、京東商城、淘寶網(wǎng)等B2B、B2C和C2C企業(yè)，每天的交易量巨大，已經(jīng)引領(lǐng)了新一代電子商務企業(yè)的快速發(fā)展，不過很多小型的電子商務企業(yè)的面臨最大的問題就是現(xiàn)金流，幾乎沒有更多的資金來投入到網(wǎng)絡建設(shè)，所以價格低廉并且高效、堅強的網(wǎng)絡是幫助中小企業(yè)成長的有效方法之一。本項目所建設(shè)的網(wǎng)絡覆蓋分為兩個點，一個是總部，一個是分部?？偛考茉O(shè)一臺服務器，分部通過互聯(lián)網(wǎng)來對總部進行訪問。從安全性考慮，在總部架設(shè)一個防火墻對流量進行控制，防火墻配成NAT設(shè)備，進行地址的轉(zhuǎn)換。項目建成后，該網(wǎng)絡將承載總部和分部之間所有的流量。通過IPSec數(shù)據(jù)加密使得信息能有效安全的傳輸。（1）本項目最主要的一點就是使總部和分部進行信息資源的共享，總部可以訪問分部，分部可以訪問總部。（2）本項目為了實現(xiàn)安全高速地通信在總部網(wǎng)絡出口出架設(shè)了一臺防火墻，防火墻可以有效的進行流量的控制，使得總部和總部之間的信息交流更加高速安全。（3）為了驗證訪問總部的主機的身份，在總部架設(shè)AAA服務器，在分部運用DOT1X進行訪問的一個驗證。（4）為了保證數(shù)據(jù)能正常地穿越互聯(lián)網(wǎng)在R3和R1之間搭起一條GRE隧道，GRE封裝在里面IPSec的封裝在外面，形成了GREoverIPSec。（5）為了使流量得到充分的保護，把加密點分別設(shè)在R3的出接口和防火墻的OUTSIDE口，R3的協(xié)商對端是防火墻的OUTSIDE口，防火墻的協(xié)商對端是R3的e0/0口（6）把企業(yè)的網(wǎng)絡架設(shè)成MPLS承載網(wǎng)，可以使網(wǎng)絡擴展性增強，當公司業(yè)務增多時，需要區(qū)分生產(chǎn)網(wǎng)或者業(yè)務網(wǎng)，則通過MPLS VPN來實現(xiàn)這個需求，即建立兩個VPN：生產(chǎn)VPN和辦公VPN。（7）在防火墻上部署NAT協(xié)議，保障內(nèi)部網(wǎng)絡地址不外漏。同時又可以轉(zhuǎn)換為公有IP在公網(wǎng)上運行。企業(yè)網(wǎng)絡必須要擁有技術(shù)線路較高的性價比，而且還要有成熟可靠的技術(shù)。為了方便在發(fā)生網(wǎng)絡發(fā)生故障時對故障問題點的定位和排查，減少網(wǎng)絡故障點數(shù)量，所以需要采用簡單、清晰的網(wǎng)絡拓撲結(jié)構(gòu)，以減少分析故障的復雜程度。同時網(wǎng)絡設(shè)備還需要有較強可擴展性，在未來網(wǎng)絡建設(shè)需求增長的前提下，可以通過增加新的應用模塊和部分關(guān)鍵網(wǎng)絡設(shè)備解決需求的增長。并且網(wǎng)絡設(shè)備需要穩(wěn)定可靠，有較高性能，同時需要能夠耐受大量的業(yè)務數(shù)據(jù)的沖擊和安全問題干擾。企業(yè)網(wǎng)絡必須采用簡單、靈活、快捷的網(wǎng)絡管理方式，并且需要支持分層的IP管理。同時網(wǎng)絡管理系統(tǒng)需要支持對網(wǎng)絡設(shè)備的個性化設(shè)置、支持對網(wǎng)絡設(shè)備的配置管理、流量管理、故障管理等管理方式。第四章 項目的概要設(shè)計本項目針對中小企業(yè)的壯大發(fā)展做好準備，廣域網(wǎng)接入路由器使用高性能路由器，擁有多功能擴展插槽,通過擴展模塊可展到10G以太網(wǎng)。不僅僅支持現(xiàn)有的IPv4技術(shù)，同時支持先進的IPv6技術(shù)，可以實現(xiàn)IPv4到IPv6的平穩(wěn)過渡。為了業(yè)務的增加和拓展做好充分準備。由于企業(yè)內(nèi)部員工存在著使用P2P、迅雷等軟件惡意下載，還有、MSN等流行聊天工具的視頻使用和在線傳輸數(shù)據(jù)等不當行為，對網(wǎng)絡造成較大的壓力，要求實現(xiàn)對每個終端的帶寬限制，避免不必要的帶寬浪費，同時保障關(guān)鍵業(yè)務的開展，如電子郵件、視頻會議、電話會議等。 網(wǎng)絡安全防護一直是網(wǎng)絡建設(shè)的重點關(guān)注的對象，近幾年來，網(wǎng)絡帶寬迅速增長，網(wǎng)絡威脅也隨之大幅增加，包括攻擊、各類掃描、入侵、DDOS攻擊、蠕蟲病毒攻擊、惡意軟件、垃圾郵件。網(wǎng)絡帶寬越大，網(wǎng)絡威脅可能造成的危害也就越大，設(shè)備的安全防御面臨著空前挑戰(zhàn)，設(shè)備需要防范校外網(wǎng)絡威脅的攻擊或入侵，要求必須對DoS攻擊、ARP欺騙/攻擊等網(wǎng)絡攻擊行為有較強的防范能力。面對日益突出的信息安全問題，安全建設(shè)更加重要。所以，可以在邊界路由器R3與Internet之間加一防火墻。如圖41示： 圖41此圖必須要有圖題。而且，圖片居中放置。對本項目的拓撲設(shè)計如下圖42所示： 圖42 中小型企業(yè)拓撲結(jié)構(gòu)該企業(yè)均采用兩臺思科的cisco7600（RR5）高效率高質(zhì)量的數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備。為了確保鏈路的穩(wěn)定性和可靠性，分支機構(gòu)路廣域網(wǎng)接入路由器選用思科公司高性能cisco3800路由器（R1），采用直接接入互聯(lián)網(wǎng)的方式。企業(yè)分部的交換機采用兩臺思科的大容量Catalyst 6509設(shè)備（R2）。 IP與VLSM技術(shù)IP地址是TCP/IP協(xié)議族中的網(wǎng)絡層邏輯地址，它是用來唯一標識網(wǎng)絡中的一個節(jié)點。IP地址空間的分配，要與網(wǎng)絡層次結(jié)構(gòu)相適應，既要有效的利用地址空間，又要體現(xiàn)出網(wǎng)絡的可擴展性和靈活性，同時能夠滿足路由協(xié)議的要求，提高路由算法的效率，加快路有變化的收斂速度。VLSM（可變長子網(wǎng)掩碼）技術(shù)為用戶地址分配提供了很大方便。 IP地址分配應遵循的原則唯一性：同一個的IP地址不能同時分配給網(wǎng)絡中兩臺主機。連續(xù)性：在網(wǎng)絡規(guī)劃與設(shè)計中，連續(xù)地址在層次結(jié)構(gòu)中容易進行路由疊合，大大縮減路由表，提高路由查找的效率。簡單性：IP地址的分配應簡單以便于管理，降低網(wǎng)絡擴展的復雜性，縮減路由表的條目。靈活性：IP地址分配應具有較高的靈活性，以優(yōu)化多種路由策略，充分利用IP地址空間?？蓴U展性：在網(wǎng)絡規(guī)劃與設(shè)計中，IP地址分配需要在每一層上都要留有余量的IP地址，在網(wǎng)絡擴展時能保證地址疊合所需的連續(xù)性。 IP詳細規(guī)劃本項目IP地址規(guī)劃如下表51所示：表41 詳細IP地址規(guī)劃表頭跟表必須在同一頁。設(shè)備接口IP對端設(shè)備對端接口IPInternetE0/0InternetE0/1R1E0/0R1E0/1R1Tunnel1R3Tunnel1R3E0/1R3E0/0R5E0/0R5E0/1AAAServerFWE0FWE1第五章 項目詳細設(shè)計與實現(xiàn)（1）代表目前網(wǎng)絡設(shè)備的先進水平。（2）具備較強的安全性。（3）具備優(yōu)良的RAS性能可用性、可靠性、可維護性。（4）具備優(yōu)良的可擴展性能力。（5）具備優(yōu)良的性價比，根據(jù)目前的需求和可以預見的需求增長情況規(guī)劃與設(shè)計網(wǎng)絡，不一味地追求空洞的先進技術(shù)，以避免追求高檔設(shè)備和最新技術(shù)花費巨大成本。 CISCO網(wǎng)絡設(shè)備的優(yōu)點Cisco作為世界第一大網(wǎng)絡設(shè)備生產(chǎn)商，是國際網(wǎng)絡的設(shè)備的領(lǐng)跑者，擁有非常強大的技術(shù)研發(fā)團隊，經(jīng)驗豐富的技術(shù)支持工程師，其產(chǎn)品已經(jīng)受到全球用戶的一致好評。Cisco網(wǎng)絡設(shè)備的穩(wěn)定性是首屈一指的，返修率同比其他網(wǎng)絡設(shè)備生產(chǎn)商要低出許多。對于追求高穩(wěn)定性的客戶來說Cisco設(shè)備是不二之選。 總部路由器與出口路由器隨著公司的發(fā)展，會有大量的數(shù)據(jù)流量流經(jīng)總部，對接入路由器要求較高，故選擇Cisco的7609S路由器，如下圖61圖51.所示。Cisco 7609路由器是部署于網(wǎng)絡邊緣的高性能路由器，網(wǎng)絡邊緣性能、IP服務、冗余性和故障彈性都是十分重要。他通過中央路由處理器和轉(zhuǎn)發(fā)引擎相結(jié)合，可提供720Gbps的總吞吐量。擁有多功能擴展插槽,通過擴展模塊可展到10G以太網(wǎng)。同時還可以通過NAT加速模塊提高NAT IP轉(zhuǎn)換時的效率，也可以加裝防火墻模塊達到路由器防火墻的效果。Cisco 7609 路由器是9插槽機箱產(chǎn)品。這一增強型機箱進行了設(shè)計改進，采用冗余、可變速的風扇架，帶有路由處理器、交換矩陣和電源冗余性。圖51 CISCO 7609產(chǎn)品圖 交換機的選擇處于安全考慮重要分部的流量也非常大，要保證安全、可靠和連續(xù)性，在交換機方面