【正文】 到各個(gè)用戶。一般現(xiàn)今比較流行的企業(yè)寬帶接入方式有以下幾種： ADSL、 DDN、光纖等?，F(xiàn)今企業(yè)對(duì)信息的需求急劇增加，信息量呈指數(shù)增長(zhǎng)，通信業(yè)務(wù)也從電話、數(shù)據(jù)向視頻、多媒體等寬帶業(yè)務(wù)發(fā)展。鏈路聚合中，成員互相動(dòng)態(tài)備份，當(dāng)某一鏈路中斷時(shí)，其它成員能夠迅速接替其工作，這樣就很好的保障了整個(gè)網(wǎng)絡(luò)的穩(wěn)定性。 鏈路聚合技術(shù)亦稱主干技術(shù)（ Trunking）或捆綁技術(shù)（ Bonding），其實(shí)質(zhì)是將兩臺(tái)設(shè)備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路，簡(jiǎn)單地說(shuō)就是把多個(gè)端口綁定成一個(gè)虛擬端口。冗余鏈路是提高網(wǎng)絡(luò)系統(tǒng)可用性的重要方法。而經(jīng)理室應(yīng)該可以訪問(wèn)所有的部門，但是別的部門是不可以訪問(wèn)他的??基于這些不同的訪問(wèn)需求，可在三層交換機(jī)上配置 ACL 語(yǔ)句加以限制。而且，三層交換機(jī)還可以實(shí)現(xiàn)部分安全機(jī)制，它的訪問(wèn)列表的功能，可以實(shí)現(xiàn)不同 VLAN 間的單向或雙向通訊。 第三層交換技術(shù)正是為了解決傳統(tǒng)交換技 術(shù)和路由器的缺陷而出現(xiàn)的，三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，第三層交換具有以下特征： 1) 執(zhí)行路由處理 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 21 2) 轉(zhuǎn)發(fā)基于第三層的業(yè)務(wù)流 3) 完成交換功能 4) 可以完成特殊服務(wù)，如報(bào)文過(guò)濾或訪問(wèn)控制 該企業(yè)各部門處于不同的 VLAN 中，某些部門之間是需要互相訪問(wèn)的，如果用傳統(tǒng)的路由器來(lái)完成 VLAN 間互訪，所有跨 VLAN 的數(shù)據(jù)必須通過(guò)路由器轉(zhuǎn)發(fā)，路由的高延遲會(huì)引來(lái)用戶對(duì)網(wǎng)絡(luò)速度的抱怨，不使用三層交換技術(shù)的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴(kuò)大部門間的流量會(huì)更加增多 ，到時(shí)可能又要投入更多資金更換更貴的路由器，這不符合企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的可擴(kuò)展性原則。傳統(tǒng)路由器工作在第三層上，數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包通過(guò)源站點(diǎn)和目的站點(diǎn)的網(wǎng)絡(luò)地址時(shí)被識(shí)別，路由技術(shù)可以有效地控制數(shù)據(jù)包，但轉(zhuǎn)發(fā)包的速度太慢，同時(shí)路由器存在價(jià)格高等方面缺點(diǎn)。交換機(jī)在操作過(guò)程中不斷的收集資料去建立它本身的地址表，當(dāng)交換機(jī)接收到一個(gè)數(shù)據(jù)包時(shí)，它會(huì)檢查該 包的目的 MAC 地址，核對(duì)一下自己的地址表以決定從哪個(gè)端口發(fā)送出去。傳統(tǒng)局域網(wǎng)交換機(jī)只在介質(zhì)訪問(wèn)層（ mac）處理數(shù)據(jù)包。 在該企業(yè)的 VLAN 端口配置中，各接入層的二層交換機(jī)與核心層的三層交換機(jī)之間的鏈路要配置成 trunk 鏈路，其他端口配置成 access鏈路，這樣 VLAN 信息就可以在各二層交換機(jī)之間傳遞，不同交換機(jī)但是同一個(gè) VLAN 的用戶就可以相互訪問(wèn)了。與接入鏈路不同，中繼連接能為多個(gè) VLAN 傳送流量。 處理 VLAN 時(shí)，交換機(jī)端口支持兩種連接類型：接入鏈路（ access link）與中繼（ trunk）。只要把同一個(gè)部門的端口全部劃分進(jìn)同一個(gè) VLAN 就行了，而且還可以進(jìn)行跨交換機(jī)的端口 VLAN 劃分，也就是說(shuō)不同交換機(jī)上的端口也可以在同一個(gè) VLAN 里，這樣 VLAN 的劃分就不必要受到物理空間的限制，具有很好的靈活性。 IP 組播劃分VLAN。 MAC 地址劃分 VLAN。所以，我們必須在交換機(jī)上劃分好VLAN，這樣，只要加強(qiáng)對(duì)交換機(jī)的保護(hù)，不讓一般員工改變交換機(jī)的配置，就算他們更改自己電腦的 IP 和子網(wǎng)掩碼也無(wú)法訪問(wèn)到其它部門了。這樣看來(lái)好像不必要再劃分 VLAN 了，其實(shí)不然，因?yàn)檫@樣只作子網(wǎng)劃分是存在安全性問(wèn)題的。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng) 態(tài)管理網(wǎng)絡(luò)。一個(gè) VLAN 內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN 中，即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒(méi)有相同的VLAN 號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā) ,從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN 技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的 LAN 邏輯地劃分成不同的廣播域（或稱虛擬 LAN，即 VLAN），每一個(gè) VLAN 都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的 LAN 有著相同的屬性。 VLAN（ Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。要想使內(nèi)部計(jì)算機(jī)上網(wǎng)，只有對(duì)外網(wǎng)卡增加相關(guān)協(xié)議。 表 總公司子網(wǎng)劃分 部門 子網(wǎng)網(wǎng)絡(luò)號(hào) 子網(wǎng)掩碼 網(wǎng)關(guān) 開(kāi)發(fā)部 8 6 工程部 2 0 業(yè)務(wù)部 2 3 人事部 4 商務(wù)部 4 財(cái)務(wù)部 0 信息中心 0 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 18 經(jīng)理部 0 0 在 VPN 服務(wù)器的外網(wǎng)卡上添加相關(guān)協(xié)議 當(dāng)上述安裝成功以后，嘗試遠(yuǎn)程接入 VPN 服務(wù)器，則不能接入。該企業(yè)的子網(wǎng)是按照部門來(lái)劃分的，基于可擴(kuò)展性的原則，除了滿足每個(gè)部門都能 分到足夠的 IP 地址外，還要為以后的人事調(diào)動(dòng)、部門擴(kuò)展等留有冗余的 IP，否則可能會(huì)由于一些很小的人事變化就得重新劃分子網(wǎng)。 VLSM(Variable Length Sub masks)變長(zhǎng)子網(wǎng)掩碼，是在標(biāo)準(zhǔn)的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡(luò)號(hào)碼，不同子網(wǎng)的子網(wǎng)掩碼可能有不同的長(zhǎng)度，但一旦子網(wǎng)掩碼的長(zhǎng)度確定了，它們就不變了，這個(gè)技術(shù)對(duì)于高效分配 IP 地址。如果分別把各自所有的主機(jī)放到一個(gè)子網(wǎng)里，對(duì)企業(yè)的安全性管理極為不利，而且如果有站點(diǎn)企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 17 更新（計(jì)算機(jī)的配置調(diào)整或增減計(jì)算機(jī)）或發(fā)生故障，大量的廣播數(shù)據(jù)會(huì) 嚴(yán)重影響網(wǎng)絡(luò)的整體性能。同樣可以基于中心交換機(jī)的 VLAN 功能進(jìn)行配置，劃分網(wǎng)段，根據(jù)各個(gè)二級(jí)單位信息點(diǎn)所在的網(wǎng)段進(jìn)行動(dòng)態(tài)地址分配。并結(jié)合核心交換機(jī)的第三層交換功能，進(jìn)行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡(luò)風(fēng)暴的發(fā)生，另一方面也加強(qiáng)了網(wǎng) 絡(luò)的安全性。但如果網(wǎng)絡(luò)規(guī)模較大，則 IP 地址管理的工作量就相當(dāng)大。而且使用動(dòng)態(tài) IP 地址分配需要設(shè)置額外 DHCP 服務(wù)器。用動(dòng)態(tài) IP 地址分配（ DHCP）的最大優(yōu)點(diǎn)是客戶端網(wǎng)絡(luò)的配置非常簡(jiǎn)單，在沒(méi)有管理員的幫助和干預(yù)的情況下，用戶自己便可以對(duì)網(wǎng)絡(luò)進(jìn)行連接設(shè)置。 對(duì)于局域網(wǎng)的 IP 地址分配問(wèn)題，用戶規(guī)模越大，管理工作就越困難，必須深思加以解決。 TCP/IP 協(xié)議規(guī)定，根 據(jù)網(wǎng)絡(luò)規(guī)模的大小將 IP 地址分為 5 類（ A、 B、 C、 D、 E） 表 IP 地址分類 雖然有這么多 IP 地址，但是這些 IP 地址我們是不能隨便用的，大多數(shù)的地址都被互聯(lián)網(wǎng)專業(yè)機(jī)構(gòu)注冊(cè)并指定，在 IP 地址日益匱乏的今天，企業(yè)一般只能申請(qǐng)到幾個(gè)公網(wǎng)地址。為了防止企業(yè)外部對(duì)內(nèi)的攻擊，在路由器外部安裝硬件防火墻。而在接入層的設(shè)計(jì)上，總分公司都使用多臺(tái)二層交換機(jī)， 100 兆到桌面?？偣镜墓ぷ髡敬蠹s為 200 人，考慮到規(guī)模較大而且該總公司的業(yè)務(wù)比較重要，核心層的設(shè)計(jì)上采用了兩臺(tái)千兆三層交換機(jī)作一個(gè)冗余備份，在這兩臺(tái)三層交換機(jī)之間作鏈路聚合，就算其中一個(gè)核心交換機(jī)當(dāng)機(jī)，也可以保證網(wǎng)絡(luò)的瞬間恢復(fù)，大大增加了網(wǎng)絡(luò)的可靠性。不同的連接方法網(wǎng)絡(luò)的性能不同，局域網(wǎng)拓?fù)浣Y(jié)構(gòu)通常分為 3 種，分別是總線型、星型和環(huán)型。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是拋開(kāi)網(wǎng)絡(luò)物理連接來(lái)討論網(wǎng)絡(luò)系統(tǒng)的連接形式，網(wǎng)絡(luò)中各站點(diǎn)相互連接的方法和形式稱為網(wǎng)絡(luò)拓?fù)洹Ｔ谶@個(gè)階段 ，要對(duì)該企業(yè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、IP 地址規(guī)劃、子網(wǎng)劃分、 Inter 接入等方面進(jìn)行詳細(xì)的規(guī)劃與設(shè)計(jì)。而 TCP/IP 框架包含了大量的協(xié)議和應(yīng)用，他雖然不是 ISO 標(biāo)準(zhǔn)，但一致于 ISO 的 OSI 參考模型制定，并在不斷發(fā)展過(guò)程中吸收了OSI 模型中的概念及特征，它的使用已經(jīng)越來(lái)越廣泛，幾乎成為“事實(shí)上的標(biāo)準(zhǔn)”，著名的 Inter 就是基于 TCP/IP 協(xié)議族的。該層最接近用戶，主要協(xié)議有 SMTP、 DNS、 FTP、 TELNET。 4）應(yīng)用層。它提供端到端的數(shù)據(jù)傳輸服務(wù)。該層的主要協(xié)議有： IP、 ARP、 RARP。 TCP/IP企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 12 協(xié)議族亦采用層次化的結(jié)構(gòu)模型，共包括四個(gè)層次 1）硬件接口層， TCP/IP 協(xié)議族沒(méi)有具體定義硬件層，因而它對(duì)各種各樣的網(wǎng)絡(luò)硬件具有高度的適應(yīng)性，這正式它的成功之處。 TCP/IP 協(xié)議族 TCP/IP 協(xié)議族是廣 泛應(yīng)用于計(jì)算機(jī)互聯(lián)的業(yè)界標(biāo)準(zhǔn)。 6）表示層是第六層，它把上層交付的信息變換為能夠共同理解的形式，它關(guān)心的是所傳輸?shù)男畔⒌恼Z(yǔ)法和語(yǔ)義，它只對(duì)應(yīng)用層信息的形式進(jìn)行變換，但不改變信息內(nèi)容本身。 4）傳輸層是第四層，它利用下三層所提供的網(wǎng)絡(luò)服務(wù)向高層提供可靠的端到端的透明數(shù)據(jù)傳輸。 2）數(shù)據(jù)鏈路層是第二層，它的主要任務(wù)是加強(qiáng)物理層傳輸比特的可靠性。 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 11 圖 OSI 參考模型 OSI 協(xié)議族 OSI（開(kāi)放系統(tǒng)互聯(lián)參考模型）協(xié)議族是國(guó)際標(biāo)準(zhǔn)化組織（ ISO）建議并主持制定的有廣泛影響的網(wǎng)絡(luò)互聯(lián)協(xié)議。 目前，主要的協(xié)議體系結(jié)構(gòu)有 OSI 族和 TCP/IP 族。網(wǎng)絡(luò)協(xié)議常采用分層的體系結(jié)構(gòu)。由于目前網(wǎng)絡(luò)產(chǎn)品標(biāo)準(zhǔn)化程度較高，因此可擴(kuò)展性要求基本不成問(wèn)題。因此，需要統(tǒng)一規(guī)劃和設(shè)計(jì)。 7）可擴(kuò)展性原則。 6）可管理性原則。倘若安全性系統(tǒng)保護(hù)企業(yè)免受病毒及駭客攻擊，但卻阻撓其服務(wù)客戶及邁向電子商務(wù)腳步，那么此系統(tǒng)就已超越其權(quán)限了。每家企業(yè)都有自己的商業(yè)機(jī)密，如果這些機(jī)密被竊取，后果是不堪設(shè)想的。 5）安全性原則。企業(yè)的網(wǎng)絡(luò)不允許有異常情況發(fā)生，因?yàn)橐坏┚W(wǎng)絡(luò)發(fā)生異常情況，就會(huì)帶來(lái)很大的損失。 4）可靠性原則。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用開(kāi)放的標(biāo)準(zhǔn)和技術(shù)，如 TCP/IP 協(xié)議、 IEEE802 系列標(biāo)準(zhǔn)等。在實(shí)用的基礎(chǔ)上還可以具有一定的前瞻性，在 網(wǎng)絡(luò)結(jié)構(gòu)上要做到能適應(yīng)較長(zhǎng)時(shí)期企業(yè)和網(wǎng)絡(luò)技術(shù)的發(fā)展，不要在網(wǎng)絡(luò)剛組建不久就發(fā)現(xiàn)很難實(shí)現(xiàn)某些較新的應(yīng)用，或者根本不能應(yīng)用目前的一些主流軟件，這樣勢(shì)必造成企業(yè)網(wǎng)絡(luò)資源的浪費(fèi)。網(wǎng)絡(luò)系統(tǒng)應(yīng)采用成熟可靠的技術(shù)和設(shè)備，達(dá)到實(shí)用、經(jīng)濟(jì)和有效的目的。因此，不可能也沒(méi)有必要實(shí)現(xiàn)所謂“一步到位”。 1）實(shí)用性原則。通常， VPN 是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過(guò)它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的 安全鏈接，并保證數(shù)據(jù)的安全傳輸。 VPN 徹底改變了通過(guò)長(zhǎng)途電話實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)的傳統(tǒng)通信方式， VPN 是使用隧道（ Tunneling）技術(shù)，利用PPTP 與 L2TP 等協(xié)議對(duì)數(shù)據(jù)包進(jìn)行封裝和加密，實(shí)現(xiàn)在 INTERNET 公用網(wǎng)上低成本，高安全的數(shù)據(jù)傳輸。 3）網(wǎng)絡(luò)的安全機(jī)制： ① 通 過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的配置，控 制訪問(wèn)列表等方式來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性措施；② 更重要的是，在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處，采用先進(jìn)的防火墻技術(shù)、代理服務(wù)器技術(shù)、以及 Web 服務(wù)器的口令驗(yàn)證、數(shù)據(jù)加密等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的安全性 4）網(wǎng)絡(luò)中心設(shè)立 WEB 應(yīng)用服務(wù)器、 EMAIL 服務(wù)器、 DNS 服務(wù)企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 9 器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器，實(shí)現(xiàn) WEB 訪問(wèn)、 Inter 接入、 EMAIL 系統(tǒng)、域名解析、應(yīng)用系統(tǒng)等各種功能。 2）網(wǎng)絡(luò)通過(guò)光纖接入 Inter/ChinaNET，在公網(wǎng)上建立虛擬專用網(wǎng) (VPN)；通過(guò)采用 Web 技術(shù)和 InterVPN 技術(shù)以及信息加密技術(shù)實(shí)現(xiàn)電子商務(wù)?？傮w設(shè)計(jì)如下： 1）以千兆以太網(wǎng)為主干網(wǎng)， 利用第三層交換技術(shù)實(shí)現(xiàn)大型局域網(wǎng)的 VLAN 的劃分。網(wǎng)絡(luò)總體規(guī)劃反映了網(wǎng)絡(luò)設(shè)計(jì)“總體規(guī)劃、分布實(shí)施”的網(wǎng)絡(luò)建設(shè)原則，是從網(wǎng)絡(luò)需求分析到網(wǎng)絡(luò)具體設(shè)計(jì)之間必經(jīng) 的階段，網(wǎng)絡(luò)規(guī)劃通過(guò)