【正文】 我還要向我的父母致以最誠摯的謝意，是你們的養(yǎng)育、期望和支持，使我順利地完成學業(yè)。本規(guī)劃設計方案只是一個計算機網絡現(xiàn)狀及網絡安全的解決方案，在隨后的分期分批的項目實施過程中，由于企業(yè)網絡環(huán)境、以及網絡應用系統(tǒng)的變化，會在細節(jié)上根據實際情況進行相應的調整，如：安裝設備數量、設備安裝具體地點等，只要在總的布局、要求以及標準上保持不變，實施之后就能夠達到本方案的設計要求。無論網絡技術怎么發(fā)展變化，對每個網絡來說，如此多的復雜協(xié)議進行交互都會產生唯一的結果，就是將數據送到目的地。作為全球領先的Cisco PIX 防火墻系列的一部分，它可以為今天的網絡用戶提供無以倫比的安全性、可靠性和性能?；谝陨侠碛桑覀兺扑]Cisco PIX 515E防火墻。Cisco 2600 系列是一款屢獲大獎的模塊化多服務接入路由器系列，具有靈活的LAN 和 WAN 配置、多個安全性選項、語音/數據集成和一系列高性能處理器。因為接入層交換機必須配置trunk口， 必須使用，又要求性能必須穩(wěn)定，所以對本項目而言 Cisco 2950－24 交換機是性價比最好的交換機?；谏鲜鰧Ρ揪W絡中心交換機性能要求的認識，我們推薦 Cisco Catalyst 3750 或者同等檔次具有同等功能的交換機作為該網絡的中心交換機。對于該企業(yè)的內聯(lián)網構建，我們只要購買兩臺支持IPSec隧道協(xié)議的VPN防火墻，安裝在總公司和分公司兩個網絡邊界，然后對兩臺VPN防火墻進行相關配置，當建立起VPN連接后，這時總公司與分公司就相當于處于同一個局域網中，這些配置對于員工來說這是透明的。軟硬結合VPN這種平臺是最為通用的一種方式，它既具備了硬件平臺的高性能、高安全性、同時也具有軟件平臺的靈活性，是目前絕大多數企業(yè)選用的VPN方案?？紤]到該企業(yè)的組網規(guī)模以及安全需求，我們也采用IPSec協(xié)議族組建VPN內聯(lián)網。MPLS適用于骨干網絡上大型企業(yè)的多分支機構建立自己私有專用網絡，雖然具備Qos等其他協(xié)議所不具備的特性，但對用戶設備要求比較高，而且目前還在完善中。這種技術可以用來提供網絡到網絡，主機到主機，或者主機到網絡的安全連接。Access VPN是指企業(yè)員工或企業(yè)的小分支機構通過公網遠程撥號的方式構建的虛擬網。在這樣的背景下，一種基于公用網絡的動態(tài)、安全的連接解決方案就成為時代之需，VPN就是這樣一種網絡連接技術。雖然Internet為企業(yè)廣域網連接提供了物質基礎，并且TCP/IP協(xié)議為網絡的互聯(lián)提供了極大的靈活性。而對于該企業(yè)的WEB服務器，我們采用靜態(tài)PAT技術，這就相當于做了一個端口映射，使得企業(yè)外部可以訪問到該企業(yè)內部的WEB服務器，即可以訪問到該企業(yè)的網站。地址轉換主要分為兩種類型，網絡地址轉換（Network Address Translation,NAT）、端口地址轉換（Port Address Translation，PAT）。這樣，就實現(xiàn)了兩種不同傳輸介質的企業(yè)網絡的Internet接入方案。Fiber To The Building(FTTB，光纖到樓)，它是利用數字寬帶技術，光纖直接到樓內機房，再通過高速以太網的形式到各個用戶?，F(xiàn)今企業(yè)對信息的需求急劇增加，信息量呈指數增長，通信業(yè)務也從電話、數據向視頻、多媒體等寬帶業(yè)務發(fā)展。鏈路聚合技術亦稱主干技術（Trunking）或捆綁技術（Bonding），其實質是將兩臺設備間的數條物理鏈路“組合”成邏輯上的一條數據通路，稱為一條聚合鏈路，簡單地說就是把多個端口綁定成一個虛擬端口。而經理室應該可以訪問所有的部門，但是別的部門是不可以訪問他的……基于這些不同的訪問需求，可在三層交換機上配置ACL語句加以限制。第三層交換技術正是為了解決傳統(tǒng)交換技術和路由器的缺陷而出現(xiàn)的，三層交換技術是在網絡模型中的第三層實現(xiàn)了數據包的高速轉發(fā)，第三層交換具有以下特征：1) 執(zhí)行路由處理2) 轉發(fā)基于第三層的業(yè)務流3) 完成交換功能4) 可以完成特殊服務，如報文過濾或訪問控制該企業(yè)各部門處于不同的VLAN中，某些部門之間是需要互相訪問的，如果用傳統(tǒng)的路由器來完成VLAN間互訪，所有跨VLAN的數據必須通過路由器轉發(fā)，路由的高延遲會引來用戶對網絡速度的抱怨，不使用三層交換技術的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴大部門間的流量會更加增多，到時可能又要投入更多資金更換更貴的路由器，這不符合企業(yè)網絡設計的可擴展性原則。交換機在操作過程中不斷的收集資料去建立它本身的地址表，當交換機接收到一個數據包時，它會檢查該包的目的 MAC 地址，核對一下自己的地址表以決定從哪個端口發(fā)送出去。在該企業(yè)的VLAN端口配置中，各接入層的二層交換機與核心層的三層交換機之間的鏈路要配置成trunk鏈路，其他端口配置成access鏈路，這樣VLAN信息就可以在各二層交換機之間傳遞，不同交換機但是同一個VLAN的用戶就可以相互訪問了。處理VLAN時，交換機端口支持兩種連接類型：接入鏈路（access link）與中繼（trunk）。 。這樣看來好像不必要再劃分VLAN了，其實不然，因為這樣只作子網劃分是存在安全性問題的。一個VLAN內部的廣播和單播流量都不會轉發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發(fā),從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性?？紤]到總公司與分公司之間要通過VPN技術遠程互聯(lián)，所以總公司與分公司的內網IP不能有重復。因此必須對這些主機進行子網劃分控制廣播域的規(guī)模。但當隨著以后企業(yè)規(guī)模的不斷擴大發(fā)展，整個網絡信息的規(guī)模不斷擴大，則可以考慮采用 DHCP 動態(tài) IP 地址分配的方案，設立專門的 DHCP 服務器進行動態(tài) IP 地址分配。使用靜態(tài) IP 地址分配可以對各部門進行合理的 IP 地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對網卡 MAC 地址的管理，網絡就會具有更好的可管理性。目前一般來說有兩種分配方案，一是使用動態(tài) IP地址分配（DHCP），另一種方案是使用靜態(tài)地址分配，但必須加強 MAC 地址的管理?？偣揪W絡拓撲圖分公司網絡拓撲圖 IP地址規(guī)劃每臺計算機、服務器、或者路由器的接口都有一個由授權機構分配的號碼，我們稱它為IP地址。分公司由于規(guī)模較小，考慮到企業(yè)網絡設計上的實用性與經濟性原則，核心層的設計只使用一臺千兆三層交換機。拓撲圖給出網絡服務器、工作站的網絡配置和相互間的連接，它的結構主要有星型結構、總線結構、樹型結構、網狀結構、蜂窩狀結構、分布式結構等。4網絡具體規(guī)劃與設計 在總體上規(guī)劃好企業(yè)網絡之后，就要進入具體設計的階段，這也是網絡設計的最重要的環(huán)節(jié)。它由使用網路的應用程序和進程組成。3）傳輸層。該協(xié)議族是一組獨立的協(xié)議的集合，其中最主要的是TCP協(xié)議和IP協(xié)議。5）會話層是第五層，它提供一種經過組織的方法在用戶之間交換數據。1）物理層是第一層，它決定設備之間的物理接口以及在傳輸介質上比特傳送的規(guī)則。各協(xié)議層互相獨立，下層提供上層某項功能的服務（一般有面向連接和無連接兩類），上層利用該功能再向上提供更完善的服務。網絡系統(tǒng)應在規(guī)模和性能兩方面具有良好的可擴展性。網絡管理員能夠在不改變系統(tǒng)運行的情況下對網絡進行調整，不管網絡設備的物理位置在何處，網絡都應該是可以控制的。企業(yè)必須保護其網絡系統(tǒng)，以避免受外來惡意性入侵，但也必須保留足夠空間，使其主要經營之業(yè)務能順利運作。在這樣的網絡中，就要盡量使用冗余備份，當某個網絡設備故障時，網絡還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網絡的可靠性。其目標首先是要有利于未來網絡系統(tǒng)的擴充，其次還要有利于在需要時與外部網絡互通。2）前瞻性原則。計算機設備、服務器設備和網絡設備在技術性能逐步提升的同時，其價格卻在逐年下降。 2）網絡通過光纖接入 Internet/ChinaNET，在公網上建立虛擬專用網(VPN)；通過采用 Web 技術和 InternetVPN 技術以及信息加密技術實現(xiàn)電子商務。網絡總體規(guī)劃反映了網絡設計“總體規(guī)劃、分布實施”的網絡建設原則，是從網絡需求分析到網絡具體設計之間必經的階段，網絡規(guī)劃通過對企業(yè)網絡需求的調查、分析、歸納，把企業(yè)現(xiàn)在和未來對網絡的需求轉換成對網絡結構、功能、性能、協(xié)議等技術指標的具體要求。預防計算機病毒，盡可能把病毒感染的幾率降到最低。3）能高速接入Internet進行工作，收發(fā)郵件，瀏覽網頁查找資料。經過對該公司各個部門職能的分析以及調研，將系統(tǒng)需求歸納為如下幾點：1）在該企業(yè)的總公司以及分公司各建立一個新的計算機網絡基礎設施，將該企業(yè)內現(xiàn)有計算機以及外設連在一起工作。由于公司規(guī)模的擴大，為了提高工作效率、公司知名度、公司效益以及管理水平，該企業(yè)決定投資重新建設完善的企業(yè)網絡?？偣?93人，分8個部門，包括人事部、開發(fā)部、財務部、商務部、工程部、業(yè)務部、信息中心、經理部。我國的企業(yè)網絡建設經過了單機應用階段，目前正處在Internet應用熱潮中。通過Internet，企業(yè)不僅可以獲得大量的有價值的信息，同時也可以將企業(yè)的信息通過Internet發(fā)布到世界各地。網絡技術的發(fā)展使得網絡建設從基礎架構到維護和管理都變得十分簡單和智能，豐富的網絡產品線和不斷降低的價格，可以讓中小企業(yè)根據自身的情況，按照實際的經濟條件來構建自己的網絡，用于網絡建設的投資對于企業(yè)而言不再成為一個負擔。本文是對某IT企業(yè)的一個企業(yè)網絡規(guī)劃設計的解決方案，文章首先分析了企業(yè)網絡的設計需求，根據需求提出了設計原則與設計目標，制定了總體的規(guī)劃設計方案，然后再分層次具體地對該企業(yè)的局域網和廣域網進行設計，在該方案中，我們采用了VLAN、三層交換、千兆交換、光纖接入、VPN等先進網絡技術，