【正文】 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 34 參考文獻(xiàn) [1] Richard Froom, Balaji Sivasubramanian, Erum 學(xué)習(xí)指南：組建 Cisco 多層交換網(wǎng)絡(luò)（ BCMSN） .第二版 .人民郵電出版社 .2021 [2] Richard . Cisco 路由器防火墻 安全 . 人民郵電出版社 .2021 [3] Cisco Systems 公司 , Cisco Networking Academy 網(wǎng)路技術(shù)學(xué)院教程網(wǎng)絡(luò)安全基礎(chǔ) .人民郵電出版社 .2021 [4] 《 Catherine Paquet,Diane 自學(xué)指南：組建可擴(kuò)展的Cisco 互聯(lián)網(wǎng)絡(luò)（ BSCI） .第二版 .人民郵電出版社 .2021 [5] 王達(dá) .虛擬專用網(wǎng)精解 [M].北京清華大學(xué)出版社 .2021. 。 我還要向我的父母致以最誠摯的謝意，是你們的養(yǎng)育、期望和支持，使我順利地完成學(xué)業(yè)。胡 老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度和優(yōu)秀的做人的品格將讓我終生受益匪淺。本規(guī)劃設(shè)計(jì) 方案只是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀及網(wǎng)絡(luò)安全的解決方案，在隨后的分期分批的項(xiàng)目實(shí)施過程中，由于企業(yè)網(wǎng)絡(luò)環(huán)境、以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的變化，會(huì)在細(xì)節(jié)上根據(jù)實(shí)際情況進(jìn)行相應(yīng)的調(diào)整，如：安裝設(shè)備數(shù)量、設(shè)備安裝具體地點(diǎn)等，只要在總的布局、要求以及標(biāo)準(zhǔn)上保持不變，實(shí)施之后就能夠達(dá)到本方案的設(shè)計(jì)要求。該企業(yè)網(wǎng)絡(luò)在功能性、安全性、可靠性、可管理性等方面完全符合企業(yè)所屬各部門的工作需求，并具有一定的可擴(kuò)展性，達(dá)到了預(yù)期的目標(biāo)。無論網(wǎng)絡(luò)技術(shù)怎么發(fā)展變化，對(duì)每個(gè)網(wǎng)絡(luò)來說，如此多的復(fù)雜協(xié)議進(jìn)行交互都會(huì)產(chǎn)生唯一的結(jié)果，就是將數(shù)據(jù)送到目的地。網(wǎng)絡(luò)設(shè)計(jì)技術(shù)非常復(fù)雜而且更新很快，因此我們必須根據(jù)實(shí)際情況具體分析。 隨 著市場(chǎng)的擴(kuò)大，用戶需求將成為 VPN 技術(shù)發(fā)展的動(dòng)力，多形式、多用途、靈活易用、功能強(qiáng)大、服務(wù)優(yōu)異的 VPN 產(chǎn)品將適用于不同的用戶群，部署在寬帶、窄帶、撥號(hào)或者移動(dòng)通信網(wǎng)絡(luò)上。 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 32 總結(jié) VPN 的發(fā)展代表了互聯(lián)網(wǎng)絡(luò)今后的發(fā)展趨勢(shì)，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全和服務(wù)質(zhì)量，以及共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡單和低成本，建立安全的數(shù)據(jù)通道。 Cisco PIX 515E多功能的單機(jī)架單元（ 1RU）機(jī)箱可以支持六個(gè)接口，使之成為那些需要一個(gè)具有 DMZ 支持的、成本低廉的安全解決方案的企業(yè)的理想選擇。 Cisco PIX 515E 是被廣泛采用的 Cisco PIX 515 平臺(tái)的增強(qiáng)版本，它可以提供業(yè)界領(lǐng)先的狀態(tài)防火墻和 IP 安全（ IPSec）虛擬專用網(wǎng)服務(wù)。除此以外，防火墻的安全保護(hù)能力一定要強(qiáng)大，吞吐量要夠，而且必須具有很強(qiáng)的穩(wěn)定性，以保障日常工作順利進(jìn)行。這些特性使 Cisco 2600 系列成為可滿足當(dāng)今及未來客戶要求的理想企業(yè)路由器。在 CISCO 的產(chǎn)品中有很多不同的型號(hào)，在該方案中，我們采用 CISCO 2600 系列路由器。 路由器選型 對(duì)于路由器的品牌，我們推薦國際知名廠商 CISCO，或者為求便宜可以使用聯(lián)想的 路由器。 接入層交換機(jī)選型 為方便跨交換機(jī)的 VLAN 劃分，優(yōu)化網(wǎng)絡(luò)性能，簡化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在網(wǎng)絡(luò)設(shè)計(jì)中，接入層統(tǒng)一使用 Cisco 2950－ 24 交換機(jī)。 Cisco Catalyst 3750 系列智能以太網(wǎng)交換機(jī)是一種新型的企業(yè)級(jí)可堆疊多層交換機(jī)，可提供高可用性、可擴(kuò)展性、安全性和可改進(jìn)網(wǎng)絡(luò)運(yùn)營的管理能力。 VPN 配置部分摘錄： Firewall1(config)accesslist 100 permit udp host 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 29 host eq isakmp Firewall1(config)accesslist 100 permit esp host host 該 ACL 允許兩防火墻之間的 ISAKMP/IKE 和 ESP 流量 Firewall1(config)crypto isakmp policy 10 Firewall1(configisakmp)authentication preshare Firewall1(configisakmp)encryption 3des Firewall1(configisakmp)group 2 Firewall1(configisakmp)lifetime 3600 Firewall1(configisakmp)exit 定義 ISAKMP 策略中的各種參數(shù) Firewall1(config)crypto isakmp key cisco123 address 指定預(yù)共享密鑰，它必須與對(duì)方的密鑰值相匹配 Firewall1(config)accesslist 101 permit ip Firewall1(config)accesslist 101 permit ip ACL101 是加密ACL 指定兩方的流量被保護(hù) Firewall1(config)crypto ipsec transformset Firewall2transform espshahmac esp3des IKE 階段 2 數(shù)據(jù)連接應(yīng)該用 ESP SHA 數(shù)據(jù)包認(rèn)證和 ESP 3DES 加密進(jìn)行保護(hù) Firewall1(config)cryto map IPSECMAP 100 ipsecisakmp Firewall1(configcryptomap)match address 101 Firewall1(configcryptomap)set peer Firewall1(configcryptomap)set transformset Firewall2transform Firewall1(configcryptomap)exit 配置加密映射中的條目 100，指定被保護(hù)流量，遠(yuǎn)程對(duì)等體和用來保護(hù)流量的變換集 Firewall1(config)int ether1 Firewall1(configif)ip accessgroup 100 in 在接口上應(yīng)用保護(hù) ACL 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 30 Firewall1(configif)cryptp map IPSECMAP 激活加密映射 設(shè)備選型 核心交換機(jī)選型 在本企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)中，對(duì)核心交換機(jī)的要求比較高，基于本網(wǎng)絡(luò)的規(guī)模、用戶當(dāng)前的應(yīng)用、當(dāng)前網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)技術(shù)及應(yīng)用的發(fā)展趨勢(shì)，我們對(duì)用戶中心交換機(jī)的性能要求作出如下歸納：中心交換機(jī)必須具備足夠的端口，且應(yīng)能夠?qū)崿F(xiàn)多種網(wǎng)絡(luò)帶寬及介質(zhì)的連接能力；必須具備劃分 VLAN 的功能和三層交換能力，而且要有擴(kuò)展訪問控制列表功能，以保證部門間安全訪問；中心交換機(jī)應(yīng)具備足夠的千兆擴(kuò)展能力，以便能對(duì)網(wǎng)絡(luò)主干聯(lián)接及中心交換機(jī)與重要服務(wù)器的聯(lián)接能使用千兆以太網(wǎng)。而對(duì)于出差辦公或者 SOHO 辦公的員工，進(jìn)行 VPN 連接就必須在他們的計(jì)算機(jī)中安裝配套的 VPN 接入軟件，例如思科的 VPN 客戶端產(chǎn)品EASYVPN，當(dāng)要訪問公司資源時(shí)，通過一些簡單的配置，就可以進(jìn)行遠(yuǎn)程撥號(hào)連接。其中防火墻 VPN 方案是目前應(yīng)用最廣的一種 VPN 方案，它的優(yōu)勢(shì)主要體現(xiàn)在它的安全性方面，這一點(diǎn)從它的方案名稱可以看出，它是采用防火墻設(shè)備作為 VPN 通信的主要設(shè)備，在傳統(tǒng)的防火墻設(shè)備中嵌入 VPN 技術(shù)，就是的原來不是VPN 這樣的邏輯上一體的網(wǎng)絡(luò)之間通信成為可能。對(duì)于我們要設(shè)計(jì)的這家企業(yè)來說，采用軟硬件結(jié)合的這種 VPN 方式最適合不過了。硬件 VPN 雖然有高速率高數(shù)據(jù)安全及通信性能的優(yōu)點(diǎn)，但是它成本太高，中小型企業(yè)很難承受，通常是對(duì)于專業(yè)的 VPN 網(wǎng)絡(luò)服務(wù)提供商來說選擇這一平臺(tái)較為合適。 根據(jù) VPN 的應(yīng)用平臺(tái)可分為三類：軟件平臺(tái)、硬件平臺(tái)、軟硬件結(jié)合平臺(tái)。因此， IPSec 成為實(shí)現(xiàn) VPN 的一種重要的方法，非常適用現(xiàn)企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 28 有的網(wǎng)絡(luò)狀況，是中小型網(wǎng)絡(luò)的首選方式。 IPSec 協(xié)議是第三層的隧道協(xié)議， IPSec 在 IP 層上對(duì)數(shù)據(jù)包進(jìn)行安全處理，提供數(shù)據(jù)源、無連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限數(shù)據(jù)流機(jī)密性等安全服務(wù)。目前 IP 網(wǎng)上較為常見的隧道協(xié)議大致有兩類 :第二層隧道協(xié)議 (包括 PPTP, L2TP)和第三層隧道協(xié)議 (包括 GRE、 IPSec, MPLS)，它們的比較如下圖： 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 27 圖 兩內(nèi)隧道協(xié)議對(duì)比 根據(jù)比較可以看出 L2TP 等二層隧道協(xié)議適用于用戶遠(yuǎn)程撥號(hào)上網(wǎng)訪問遠(yuǎn)端總部資源 。所謂隧道，實(shí)質(zhì)上是一種封裝，它通過將待傳輸?shù)脑夹畔?(協(xié)議 x)經(jīng)過加密和協(xié)議封裝處理后再嵌套裝入另一種協(xié)議 (協(xié)議 Y)的數(shù)據(jù)包送入網(wǎng)絡(luò)中，像普通數(shù)據(jù)包一樣進(jìn)行傳輸，實(shí)現(xiàn)跨越公共網(wǎng)絡(luò)傳送私有數(shù)據(jù)包的目的。 VPN 具體實(shí)現(xiàn)形式多種多樣，但都基于一種稱作安全或者加密的隧道技術(shù)。 Intra VPN 指企業(yè)的總部與分支機(jī)構(gòu)間通過 VPN 虛擬網(wǎng)進(jìn)行網(wǎng)絡(luò)連接。 I n t e r n e t V P N合 作 伙 伴分 公 司出 差 員 工S O H O 員 工總 公 司圖 VPN 拓?fù)鋱D 按 VPN 應(yīng)用的類型來分， VPN 應(yīng)用業(yè)務(wù)大致可分為三類： Intra VPN、 Access VPN 與 Extra VPN，一般的情況下企業(yè)需要同時(shí)用到這三種 VPN。 VPN 技術(shù)的成功引入可以從根本上滿足企業(yè)用戶的低通信費(fèi)和高靈活性的雙重需求，更重要的是它可以提供與專線相媲美的通信安全保障，是一種非常廉價(jià)、安全、靈活自如的遠(yuǎn)程網(wǎng)絡(luò)接入解決方案。由此看來， Inter 是一個(gè)開放的、不安全的網(wǎng)絡(luò)，要想在這樣一個(gè)不安全企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 25 的網(wǎng)絡(luò)上實(shí)現(xiàn)敏感數(shù)據(jù)的安全傳輸，就需要采用一些安全技術(shù)。但 Inter 有一個(gè)致命的弱點(diǎn)，那就是它的安全性。隨著企業(yè)業(yè)務(wù)和自身應(yīng)用需求的發(fā)展，企業(yè)之間的合作及企業(yè)與客戶之間的聯(lián)系也日趨緊密，且這些合作和聯(lián)系都是動(dòng)態(tài)的，總是處于變化和發(fā)展中，這種關(guān)系也需要靠網(wǎng)絡(luò)來維持和加強(qiáng)。 隨著企業(yè)的收購和合并愈演愈烈，再加上企業(yè)自身的發(fā)展壯大與國際化，每家企業(yè)的分支機(jī)構(gòu)不僅越來越多，而且它們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為突出。而對(duì)于該企業(yè)的 WEB 服務(wù)器，我們采用靜態(tài) PAT 技術(shù)，這就相當(dāng)于做了一個(gè)端口映射，使得企業(yè)外部可以訪問到該企業(yè)內(nèi)部的 WEB 服務(wù)器，即可以訪問到該企業(yè)的網(wǎng)站。 PAT 把許多內(nèi)部IP 地址轉(zhuǎn)換成一個(gè)單獨(dú)的 IP 地址，每一個(gè)內(nèi)部地址通過給定一個(gè)不同的端口好來確定轉(zhuǎn)換的唯一性。 地址轉(zhuǎn)換主要分為兩種類型，網(wǎng)絡(luò)地址轉(zhuǎn)換（ Network Address Translation,NAT）、端口地址轉(zhuǎn)換（ Port Address Translation， PAT）。地址轉(zhuǎn)換最初主要用來解決是 IP 地址短缺的問題，后來地址轉(zhuǎn)換技術(shù)有了更多的用途，逐漸顯示出它的優(yōu)勢(shì)。這樣，就實(shí)現(xiàn)了兩種不同傳輸介質(zhì)的企業(yè)網(wǎng)絡(luò)的 Inter 接入方案。這種接入方式具有很多優(yōu)勢(shì)：網(wǎng)絡(luò)上行下行速 度高，而且可擴(kuò)展度高；因?yàn)槭枪饫w出口，所以網(wǎng)絡(luò)可靠、穩(wěn)定；可以使用固定 IP，方便建立企業(yè)網(wǎng)站；性價(jià)比高，支持 VPN 技術(shù)等。企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 23 Fiber To The Building(FTTB，光纖到樓 )，它是利用數(shù)字寬帶技術(shù)，光纖直接到樓內(nèi)機(jī)房，再通過高速以太網(wǎng)的形式