【導(dǎo)讀】本文是對(duì)某IT企業(yè)的一個(gè)企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的解決方案，文章首先分析了。中，我們采用了VLAN、三層交換、千兆交換、光纖接入、VPN等先進(jìn)網(wǎng)絡(luò)技術(shù)，基本滿足了該企業(yè)的需求，并留有足夠的擴(kuò)充空間，以適應(yīng)今后發(fā)展。機(jī)應(yīng)用的水平上，應(yīng)用軟件也只是辦公軟件和簡(jiǎn)單的數(shù)據(jù)庫(kù)應(yīng)用。但是，隨著計(jì)算機(jī)。企業(yè)要?jiǎng)?chuàng)造更多的經(jīng)濟(jì)效益就必須借助信息技術(shù)來(lái)提高企業(yè)的生產(chǎn)效率和管理水平，

　　

【正文】 它成本太高，中小型企業(yè)很難承受，通常是對(duì)于專業(yè)的 VPN 網(wǎng)絡(luò)服務(wù)提供商來(lái)說(shuō)選擇這一平臺(tái)較為合適 。軟硬結(jié)合 VPN 這種平臺(tái)是最為通用的一種方式，它既具備了硬件平臺(tái)的高性能、高安全性、同時(shí)也具有軟件平臺(tái)的靈活性，是目前絕大多數(shù)企業(yè)選用的 VPN 方案。對(duì)于我們要設(shè)計(jì)的這家企業(yè)來(lái)說(shuō)，采用軟硬件結(jié)合的這種 VPN 方式最適合不過(guò)了。 軟硬件結(jié)合 VPN 也需要硬件方案的支持，目前主要有集中器、交換機(jī)、路由器、網(wǎng)關(guān)和防火墻等 VPN 方案。 其中防火墻 VPN 方案是目前應(yīng)用最廣的一種 VPN 方案，它的優(yōu)勢(shì)主要體現(xiàn)在它的安全性方面，這一點(diǎn)從它的方案名稱可以看出，它是采用防火墻設(shè)備作為 VPN 通信的主要設(shè)備 ，在傳統(tǒng)的防火墻設(shè)備中嵌入 VPN 技術(shù)，就是的原來(lái)不是 VPN 這樣的邏輯上一體的網(wǎng)絡(luò)之間通信成為可能。 對(duì)于該企業(yè) 的內(nèi)聯(lián)網(wǎng)構(gòu)建 ，我們只要購(gòu)買兩臺(tái)支持 IPSec隧道協(xié)議的 VPN防火墻，安裝在總公司和分公司兩個(gè)網(wǎng)絡(luò)邊界，然后對(duì)兩臺(tái) VPN 防火墻進(jìn)行相關(guān)配置，當(dāng)建立起 VPN 連接后，這時(shí)總公司與分公司就相當(dāng)于處于同一個(gè)局域網(wǎng)中， 這些配置 對(duì)于員工來(lái)說(shuō)這是透明的 。而對(duì)于出差辦公或者 SOHO 辦公的員工，進(jìn)行 VPN 連接就必須在他們的計(jì)算機(jī)中安裝配套的 VPN 接入軟件 ，例如思科的 VPN 客戶端產(chǎn)品 EASYVPN，當(dāng)要訪問(wèn)公司資源時(shí)， 通過(guò)一些簡(jiǎn)單的配置，就可以 進(jìn)行遠(yuǎn)程 撥號(hào)連接。企業(yè)合作伙伴的企業(yè)外聯(lián)網(wǎng)與企業(yè)內(nèi)聯(lián)網(wǎng) VPN 差不多，使用軟件或者硬件接入均可，這要視乎 企業(yè)合作 的程度 與時(shí)間長(zhǎng)短而定，它與企業(yè)內(nèi)聯(lián)網(wǎng)的主要區(qū)別在于用戶訪問(wèn)權(quán)限的設(shè)置，外聯(lián)網(wǎng)用戶通常只具備部分企業(yè)內(nèi)部網(wǎng)訪問(wèn)資源的權(quán)限 ，所以我們要對(duì) VPN 防火墻進(jìn)行相關(guān)設(shè)置，以屏蔽企業(yè)內(nèi)部網(wǎng)，確保需要保護(hù)的內(nèi)部網(wǎng)資源的安全性 。 VPN 配置部分摘錄： Firewall1(config)accesslist 100 permit udp host host eq isakmp Firewall1(config)accesslist 100 permit esp host host 該 ACL允許兩防火墻之間的 ISAKMP/IKE和 ESP流量 Firewall1(config)crypto isakmp policy 10 Firewall1(configisakmp)authentication preshare Firewall1(configisakmp)encryption 3des Firewall1(configisakmp)group 2 Firewall1(configisakmp)lifetime 3600 Firewall1(configisakmp)exit 定義 ISAKMP 策略中的各種參數(shù) Firewall1(config)crypto isakmp key cisco123 address 指定預(yù)共享密鑰，它必須與對(duì)方的密鑰值相匹配 Firewall1(config)accesslist 101 permit ip Firewall1(config)accesslist 101 permit ip ACL101 是 加密 ACL 指定兩方的流量被保護(hù) Firewall1(config)crypto ipsec transformset Firewall2transform espshahmac esp3des IKE 階段 2 數(shù)據(jù)連接應(yīng)該用 ESP SHA 數(shù)據(jù)包認(rèn)證和 ESP 3DES 加密進(jìn)行保護(hù) Firewall1(config)cryto map IPSECMAP 100 ipsecisakmp Firewall1(configcryptomap)match address 101 Firewall1(configcryptomap)set peer Firewall1(configcryptomap)set transformset Firewall2transform Firewall1(configcryptomap)exit 配置加密映射中的條目 100，指定被保護(hù)流量，遠(yuǎn)程對(duì)等體和用來(lái)保護(hù)流量的變換集 Firewall1(config)int ether1 Firewall1(configif)ip accessgroup 100 in 在接口上應(yīng)用保護(hù) ACL Firewall1(configif)cryptp map IPSECMAP 激活加密映射 核心交換機(jī)選型 在本企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)中，對(duì)核心交換機(jī)的要求比較高 ， 基于本網(wǎng)絡(luò)的規(guī)模、用戶當(dāng)前的應(yīng)用、當(dāng)前網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)技術(shù)及應(yīng)用的發(fā)展趨勢(shì)，我們對(duì)用戶中心交換機(jī)的性能要求作出如下歸納 ： 中心交換機(jī)必須具備足夠的端口，且應(yīng)能夠?qū)崿F(xiàn)多種網(wǎng)絡(luò)帶寬及介質(zhì)的連接能力 ；必須具備劃分 VLAN 的功能和三層交換能力，而且要有擴(kuò)展訪問(wèn) 控制 列表功能，以保證部門間安全訪問(wèn)； 中心交換機(jī)應(yīng)具備足夠的千兆擴(kuò)展能力，以便能對(duì)網(wǎng)絡(luò)主干聯(lián)接及中心交換機(jī)與重要服務(wù)器的聯(lián)接能使用千兆 以太網(wǎng) 。 基于上述對(duì)本網(wǎng)絡(luò)中心交換機(jī)性能要求的認(rèn)識(shí)，我們推薦 Cisco Catalyst 3750 或者同等檔次具有同等功能的交換機(jī)作為該網(wǎng)絡(luò)的中心交換機(jī) 。 Cisco Catalyst 3750 系列智能以太網(wǎng)交換機(jī)是一種新型的企業(yè)級(jí)可堆疊多層交換機(jī)，可提供高可用性、可擴(kuò)展性、安全性和可改進(jìn)網(wǎng)絡(luò)運(yùn)營(yíng)的管理能力。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置， Catalyst 3750 系列可作為中型企業(yè)布線室的強(qiáng)大訪問(wèn)層交換機(jī)和中型網(wǎng)絡(luò)的骨干網(wǎng)交換機(jī)。 接入層交換機(jī)選型 為 方便跨交換機(jī)的 VLAN 劃分， 優(yōu)化網(wǎng)絡(luò)性 能，簡(jiǎn)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在網(wǎng)絡(luò)設(shè)計(jì)中，接入層 統(tǒng)一使用 Cisco 2950－ 24 交換機(jī) 。 因?yàn)?接入層交換機(jī)必須配置 trunk 口，所以 必須使用，又要求性能必須穩(wěn)定，所以對(duì)本項(xiàng)目而言 Cisco 2950－ 24 交換機(jī)是性價(jià)比最好的交換機(jī) 。 路由器選型 對(duì)于路由器的品牌，我們推薦國(guó)際知名廠商 CISCO，或者為求便宜可以使用聯(lián)想的路由器。而華為的路由器功能上不及 CISCO，但是現(xiàn)在價(jià)位上已經(jīng)追上 CISCO 了。在 CISCO 的產(chǎn)品中有很多不同的型號(hào) ， 在該方案中，我們采用 CISCO 2600 系列路 由器。 Cisco 2600 系列是一款屢獲大獎(jiǎng)的模塊化多服務(wù)接入路由器系列，具有靈活的LAN 和 WAN 配置、多個(gè)安全性選項(xiàng)、語(yǔ)音 /數(shù)據(jù)集成和一系列高性能處理器。這些特性使 Cisco 2600 系列成為可滿足當(dāng)今及未來(lái)客戶要求的理想 企業(yè) 路由器 。 防火墻選型 因?yàn)樵撈髽I(yè)的網(wǎng)絡(luò)設(shè)計(jì)使用到的 IPSEC VPN 技術(shù)是在防火墻上實(shí)現(xiàn)的，所以在防 火墻的選擇上一定要具備 IPSEC VPN 功能。除此以外，防火墻的安全保護(hù)能力一定要強(qiáng)大，吞吐量要夠，而且必須具有很強(qiáng)的穩(wěn)定性，以保障日常工作順利進(jìn)行。 基于以上理由， 我們推薦 Cisco PIX 515E 防火墻。 Cisco PIX 515E 是被廣泛采用的 Cisco PIX 515 平臺(tái)的增強(qiáng)版本，它可以提供業(yè)界領(lǐng)先的狀態(tài)防火墻和 IP 安全（ IPSec）虛擬專用網(wǎng)服務(wù)。 Cisco PIX 515E 針對(duì)中小型企業(yè)和企業(yè)遠(yuǎn)程辦公機(jī)構(gòu)而設(shè)計(jì)，具有更強(qiáng)的處理能力和集成化的、基于硬件的 IPSec 加速功能。 Cisco PIX 515E 多功能的單機(jī)架單元（ 1RU）機(jī)箱可以支持六個(gè)接口，使之成為那些需要一個(gè)具有 DMZ 支持的、成本低廉的安全解決方案的企業(yè)的理想選擇。作為全球領(lǐng)先的 Cisco PIX 防火墻系列的一部分，它可以為今天的網(wǎng)絡(luò)用戶提供無(wú)以倫比的安全性、可靠性和性能。 5 結(jié)論 在網(wǎng)絡(luò)設(shè)計(jì)中，沒(méi)有一種設(shè)計(jì)方案可以適合所有的網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)計(jì)技術(shù)非常復(fù)雜而且更新很快 ，因此我們必須根據(jù)實(shí)際情況具體分析 。作為網(wǎng)絡(luò)設(shè)計(jì)者，有時(shí)負(fù)責(zé)從無(wú)到有實(shí)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)，有時(shí)則不得不在現(xiàn)有的基礎(chǔ)設(shè)施里融合進(jìn)新技術(shù)。 無(wú)論網(wǎng)絡(luò)技術(shù)怎么發(fā)展變化， 對(duì)每個(gè)網(wǎng)絡(luò)來(lái)說(shuō)，如此多的復(fù)雜協(xié)議進(jìn)行交互都會(huì)產(chǎn)生唯一的結(jié)果，就是將數(shù)據(jù)送到目的地。 在本文中， 我們 按照計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的一般原則和基本過(guò)程，開(kāi)展了網(wǎng)絡(luò)需求 的調(diào)研分析，提出了網(wǎng)絡(luò) 系統(tǒng)的總體設(shè)計(jì)方案 以及設(shè)計(jì)目標(biāo) ， 采用層次化模型方法，將網(wǎng)絡(luò)的結(jié)構(gòu)分層為核心層和接入層 ，對(duì)該企業(yè) 闡述了網(wǎng)絡(luò)系統(tǒng)的物理設(shè)計(jì)和實(shí)現(xiàn)過(guò)程。 該企業(yè) 網(wǎng)絡(luò)在功能性、安全性、可靠性、 可管理性 等方面完全符合 企業(yè) 所屬各部門的工作需求，并具有一定的可擴(kuò)展性，達(dá)到了預(yù)期的目標(biāo)。在該項(xiàng)目中成功地應(yīng)用了較為先進(jìn)的 VLAN、光纖接入 、 第三層交換 、千兆核心交換、 VPN 遠(yuǎn)程接入等技術(shù) ，使得網(wǎng)絡(luò)系統(tǒng)在性能、安全性、 可管理性 、 擴(kuò) 展性等方面領(lǐng)先于一般的 企業(yè) 網(wǎng)絡(luò)。 本規(guī)劃設(shè)計(jì) 方案 只是 一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀及網(wǎng)絡(luò)安全的解決方案，在隨后的分期分批的項(xiàng)目實(shí)施過(guò) 程中，由于企業(yè)網(wǎng)絡(luò)環(huán)境、以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的變化，會(huì)在細(xì)節(jié)上根據(jù)實(shí)際情況進(jìn)行相應(yīng)的調(diào)整，如：安裝設(shè)備數(shù)量、設(shè)備安裝具體地點(diǎn)等，只要在總的布局、要求以及標(biāo)準(zhǔn)上保持不變，實(shí)施之后就能 夠達(dá)到本方案的設(shè)計(jì)要求 。 致謝 感謝我的 論文 指導(dǎo) 教 師 肖濤老師 ，在我的論文撰寫過(guò)程中多次給予指導(dǎo)，并細(xì)心地幫助我檢查論文，提出修改意見(jiàn)，使我得以順利完成 學(xué)士 論文。 肖 老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度和優(yōu)秀的做人的品格將讓我終生受益匪淺。 其次我要感謝我的計(jì)算機(jī)網(wǎng)絡(luò)課程的授課教師何懷文老師， 是他幫我打好了計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)的基礎(chǔ)。 我 還 要向我的父母致以最誠(chéng)摯的 謝意，是你們的養(yǎng)育、期望和支持，使我順利地完成學(xué)業(yè)。 最后，我還要感謝所有為我的論文提出指導(dǎo)意見(jiàn)的同學(xué)和朋友，他們的名字無(wú)法一一盡述，在此一并表示誠(chéng)摯的感謝。 參考文獻(xiàn) Froom, Balaji Sivasubramanian, Erum 學(xué)習(xí)指南：組建 Cisco多層交換網(wǎng)絡(luò)（ BCMSN） .第二版 .人民郵電出版社 ,2020 . Cisco 路由器防火墻安全 . 人民郵電出版社 .2020 Systems 公司 , Cisco Networking Academy 程網(wǎng)絡(luò)安全基礎(chǔ) .人民郵電出版社 .2020 Paquet,Diane 自學(xué)指南：組建可擴(kuò)展的 Cisco 互聯(lián)網(wǎng)絡(luò)（ BSCI） .第二版 .人民郵電出版社 ,2020 .虛擬專用網(wǎng)（ VPN）精解 .清華大學(xué)出版社 .202