【正文】 最后，我還要感謝所有為我的論文提出指導(dǎo)意見(jiàn)的同學(xué)和朋友，他們的名字無(wú)法一一盡述，在此一并表示誠(chéng)摯的感謝。其次我要感謝我的計(jì)算機(jī)網(wǎng)絡(luò)課程的授課教師何懷文老師，是他幫我打好了計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)的基礎(chǔ)。致謝感謝我的論文指導(dǎo)教師肖濤老師，在我的論文撰寫過(guò)程中多次給予指導(dǎo)，并細(xì)心地幫助我檢查論文，提出修改意見(jiàn)，使我得以順利完成學(xué)士論文。在該項(xiàng)目中成功地應(yīng)用了較為先進(jìn)的VLAN、光纖接入、第三層交換、千兆核心交換、VPN遠(yuǎn)程接入等技術(shù)，使得網(wǎng)絡(luò)系統(tǒng)在性能、安全性、可管理性、擴(kuò)展性等方面領(lǐng)先于一般的企業(yè)網(wǎng)絡(luò)。在本文中，我們按照計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的一般原則和基本過(guò)程，開(kāi)展了網(wǎng)絡(luò)需求的調(diào)研分析，提出了網(wǎng)絡(luò)系統(tǒng)的總體設(shè)計(jì)方案以及設(shè)計(jì)目標(biāo)，采用層次化模型方法，將網(wǎng)絡(luò)的結(jié)構(gòu)分層為核心層和接入層，對(duì)該企業(yè)闡述了網(wǎng)絡(luò)系統(tǒng)的物理設(shè)計(jì)和實(shí)現(xiàn)過(guò)程。作為網(wǎng)絡(luò)設(shè)計(jì)者，有時(shí)負(fù)責(zé)從無(wú)到有實(shí)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)，有時(shí)則不得不在現(xiàn)有的基礎(chǔ)設(shè)施里融合進(jìn)新技術(shù)。5結(jié)論在網(wǎng)絡(luò)設(shè)計(jì)中，沒(méi)有一種設(shè)計(jì)方案可以適合所有的網(wǎng)絡(luò)。Cisco PIX 515E多功能的單機(jī)架單元（1RU）機(jī)箱可以支持六個(gè)接口，使之成為那些需要一個(gè)具有DMZ支持的、成本低廉的安全解決方案的企業(yè)的理想選擇。Cisco PIX 515E是被廣泛采用的Cisco PIX 515平臺(tái)的增強(qiáng)版本，它可以提供業(yè)界領(lǐng)先的狀態(tài)防火墻和IP安全（IPSec）虛擬專用網(wǎng)服務(wù)。除此以外，防火墻的安全保護(hù)能力一定要強(qiáng)大，吞吐量要夠，而且必須具有很強(qiáng)的穩(wěn)定性，以保障日常工作順利進(jìn)行。這些特性使Cisco 2600 系列成為可滿足當(dāng)今及未來(lái)客戶要求的理想企業(yè)路由器。在 CISCO 的產(chǎn)品中有很多不同的型號(hào)，在該方案中，我們采用CISCO 2600系列路由器。路由器選型對(duì)于路由器的品牌，我們推薦國(guó)際知名廠商 CISCO，或者為求便宜可以使用聯(lián)想的路由器。接入層交換機(jī)選型為方便跨交換機(jī)的VLAN劃分，優(yōu)化網(wǎng)絡(luò)性能，簡(jiǎn)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在網(wǎng)絡(luò)設(shè)計(jì)中，接入層統(tǒng)一使用 Cisco 2950－24交換機(jī)。Cisco Catalyst 3750 系列智能以太網(wǎng)交換機(jī)是一種新型的企業(yè)級(jí)可堆疊多層交換機(jī)，可提供高可用性、可擴(kuò)展性、安全性和可改進(jìn)網(wǎng)絡(luò)運(yùn)營(yíng)的管理能力。VPN配置部分摘錄：Firewall1(config)accesslist 100 permit udp host host eq isakmpFirewall1(config)accesslist 100 permit esp host host 該ACL允許兩防火墻之間的ISAKMP/IKE和ESP流量Firewall1(config)crypto isakmp policy 10Firewall1(configisakmp)authentication preshareFirewall1(configisakmp)encryption 3desFirewall1(configisakmp)group 2Firewall1(configisakmp)lifetime 3600Firewall1(configisakmp)exit 定義ISAKMP策略中的各種參數(shù)Firewall1(config)crypto isakmp key cisco123 address 指定預(yù)共享密鑰，它必須與對(duì)方的密鑰值相匹配Firewall1(config)accesslist 101 permit ip Firewall1(config)accesslist 101 permit ip ACL101是加密ACL指定兩方的流量被保護(hù)Firewall1(config)crypto ipsec transformset Firewall2transform espshahmac esp3desIKE階段2數(shù)據(jù)連接應(yīng)該用ESP SHA數(shù)據(jù)包認(rèn)證和ESP 3DES加密進(jìn)行保護(hù)Firewall1(config)cryto map IPSECMAP 100 ipsecisakmpFirewall1(configcryptomap)match address 101Firewall1(configcryptomap)set peer Firewall1(configcryptomap)set transformset Firewall2transformFirewall1(configcryptomap)exit配置加密映射中的條目100，指定被保護(hù)流量，遠(yuǎn)程對(duì)等體和用來(lái)保護(hù)流量的變換集Firewall1(config)int ethernet1Firewall1(configif)ip accessgroup 100 in 在接口上應(yīng)用保護(hù)ACLFirewall1(configif)cryptp map IPSECMAP 激活加密映射核心交換機(jī)選型在本企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)中，對(duì)核心交換機(jī)的要求比較高，基于本網(wǎng)絡(luò)的規(guī)模、用戶當(dāng)前的應(yīng)用、當(dāng)前網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)技術(shù)及應(yīng)用的發(fā)展趨勢(shì)，我們對(duì)用戶中心交換機(jī)的性能要求作出如下歸納：中心交換機(jī)必須具備足夠的端口，且應(yīng)能夠?qū)崿F(xiàn)多種網(wǎng)絡(luò)帶寬及介質(zhì)的連接能力；必須具備劃分VLAN的功能和三層交換能力，而且要有擴(kuò)展訪問(wèn)控制列表功能，以保證部門間安全訪問(wèn)；中心交換機(jī)應(yīng)具備足夠的千兆擴(kuò)展能力，以便能對(duì)網(wǎng)絡(luò)主干聯(lián)接及中心交換機(jī)與重要服務(wù)器的聯(lián)接能使用千兆以太網(wǎng)。而對(duì)于出差辦公或者SOHO辦公的員工，進(jìn)行VPN連接就必須在他們的計(jì)算機(jī)中安裝配套的VPN接入軟件，例如思科的VPN客戶端產(chǎn)品EASYVPN，當(dāng)要訪問(wèn)公司資源時(shí)，通過(guò)一些簡(jiǎn)單的配置，就可以進(jìn)行遠(yuǎn)程撥號(hào)連接。其中防火墻VPN方案是目前應(yīng)用最廣的一種VPN方案，它的優(yōu)勢(shì)主要體現(xiàn)在它的安全性方面，這一點(diǎn)從它的方案名稱可以看出，它是采用防火墻設(shè)備作為VPN通信的主要設(shè)備，在傳統(tǒng)的防火墻設(shè)備中嵌入VPN技術(shù)，就是的原來(lái)不是VPN這樣的邏輯上一體的網(wǎng)絡(luò)之間通信成為可能。對(duì)于我們要設(shè)計(jì)的這家企業(yè)來(lái)說(shuō)，采用軟硬件結(jié)合的這種VPN方式最適合不過(guò)了。硬件VPN雖然有高速率高數(shù)據(jù)安全及通信性能的優(yōu)點(diǎn)，但是它成本太高，中小型企業(yè)很難承受，通常是對(duì)于專業(yè)的VPN網(wǎng)絡(luò)服務(wù)提供商來(lái)說(shuō)選擇這一平臺(tái)較為合適。根據(jù)VPN的應(yīng)用平臺(tái)可分為三類：軟件平臺(tái)、硬件平臺(tái)、軟硬件結(jié)合平臺(tái)。因此，IPSec成為實(shí)現(xiàn)VPN的一種重要的方法，非常適用現(xiàn)有的網(wǎng)絡(luò)狀況，是中小型網(wǎng)絡(luò)的首選方式。IPSec協(xié)議是第三層的隧道協(xié)議，IPSec在IP層上對(duì)數(shù)據(jù)包進(jìn)行安全處理，提供數(shù)據(jù)源、無(wú)連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限數(shù)據(jù)流機(jī)密性等安全服務(wù)。目前IP網(wǎng)上較為常見(jiàn)的隧道協(xié)議大致有兩類:第二層隧道協(xié)議(包括PPTP, L2TP)和第三層隧道協(xié)議(包括GRE、IPSec, MPLS)，它們的比較如下圖：根據(jù)比較可以看出L2TP等二層隧道協(xié)議適用于用戶遠(yuǎn)程撥號(hào)上網(wǎng)訪問(wèn)遠(yuǎn)端總部資源。所謂隧道，實(shí)質(zhì)上是一種封裝，它通過(guò)將待傳輸?shù)脑夹畔?協(xié)議x)經(jīng)過(guò)加密和協(xié)議封裝處理后再嵌套裝入另一種協(xié)議(協(xié)議Y)的數(shù)據(jù)包送入網(wǎng)絡(luò)中，像普通數(shù)據(jù)包一樣進(jìn)行傳輸，實(shí)現(xiàn)跨越公共網(wǎng)絡(luò)傳送私有數(shù)據(jù)包的目的。VPN具體實(shí)現(xiàn)形式多種多樣，但都基于一種稱作安全或者加密的隧道技術(shù)。Intranet VPN指企業(yè)的總部與分支機(jī)構(gòu)間通過(guò)VPN虛擬網(wǎng)進(jìn)行網(wǎng)絡(luò)連接。VPN拓?fù)鋱D按VPN應(yīng)用的類型來(lái)分，VPN應(yīng)用業(yè)務(wù)大致可分為三類：Intranet VPN、Access VPN與Extranet VPN，一般的情況下企業(yè)需要同時(shí)用到這三種VPN。VPN技術(shù)的成功引入可以從根本上滿足企業(yè)用戶的低通信費(fèi)和高靈活性的雙重需求，更重要的是它可以提供與專線相媲美的通信安全保障，是一種非常廉價(jià)、安全、靈活自如的遠(yuǎn)程網(wǎng)絡(luò)接入解決方案。由此看來(lái)，Internet是一個(gè)開(kāi)放的、不安全的網(wǎng)絡(luò)，要想在這樣一個(gè)不安全的網(wǎng)絡(luò)上實(shí)現(xiàn)敏感數(shù)據(jù)的安全傳輸，就需要采用一些安全技術(shù)。但I(xiàn)nternet有一個(gè)致命的弱點(diǎn)，那就是它的安全性。隨著企業(yè)業(yè)務(wù)和自身應(yīng)用需求的發(fā)展，企業(yè)之間的合作及企業(yè)與客戶之間的聯(lián)系也日趨緊密，且這些合作和聯(lián)系都是動(dòng)態(tài)的，總是處于變化和發(fā)展中，這種關(guān)系也需要靠網(wǎng)絡(luò)來(lái)維持和加強(qiáng)。PAT配置部分摘錄：Router(config)accesslist 1 permit 創(chuàng)建內(nèi)部本地地址池Router(config)ip nat pool natpool netmask 創(chuàng)建內(nèi)部全局地址池Router(config)ip nat inside source list 1 pool natpool overload 加入overload實(shí)現(xiàn)PAT轉(zhuǎn)換，全部本地地址共用一個(gè)外部地址Router(config)int FastEthernet0/0Router(configif)ip nat inside 把fe0/0口配置為內(nèi)部接口Router(config)int FastEthernet0/1Router(configif)ip nat outside 把fe0/1口配置為外部接口隨著企業(yè)的收購(gòu)和合并愈演愈烈，再加上企業(yè)自身的發(fā)展壯大與國(guó)際化