【正文】 術(shù)、訪問控制技術(shù)和加密技術(shù)，并通過一定的用戶管理機(jī)制，在公共網(wǎng)絡(luò)中建立起安全的”專用”網(wǎng)絡(luò)，保證數(shù)據(jù)在”加密通道”中進(jìn)行安全傳輸?shù)募夹g(shù)。為了避免以上的問題，通過撥號(hào)與企業(yè)內(nèi)部專用網(wǎng)絡(luò)建立 VPN 連接是一個(gè)理想的選擇 。狹義的企業(yè)網(wǎng)主要指大型的工業(yè)、商業(yè)、金融、交通企業(yè)等各類公司和企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)；廣義的企業(yè)網(wǎng)則包括各種科研、教育部門和政府部門專有的信息網(wǎng)絡(luò)。但從目前情況看國內(nèi)相當(dāng)多的企業(yè)還處于網(wǎng)絡(luò)初步應(yīng)用階段，其具有以下特點(diǎn)： 1 應(yīng)用水平較低，分 散且不一致。 根據(jù)實(shí)際分析企業(yè)網(wǎng) 假設(shè)我們要設(shè)計(jì)的是一個(gè)中型的 IT 企業(yè)的網(wǎng)絡(luò)，該企業(yè)分為一個(gè)總公司和一家分公司，共有員工 292 人。人事部 23 人，開發(fā)部 57 人，財(cái)務(wù)部 7 人，商務(wù)部 18 人，工程部 47 人，業(yè)務(wù)部 32 人，信息中心 5 人，經(jīng)理部 4 人。每人都配有一臺(tái)個(gè)人電腦。 企業(yè)要求實(shí)現(xiàn)的技術(shù) 網(wǎng)絡(luò)需求分析就是根據(jù)企業(yè)信息技術(shù)應(yīng)用要求和企業(yè)的業(yè)務(wù)發(fā)展需求，結(jié)合企業(yè)現(xiàn)有設(shè)備狀況和人員素質(zhì)，較為全面地調(diào)查和分析企業(yè)在信息 技術(shù)方面的技術(shù)需求，然后從網(wǎng)絡(luò)建設(shè)的角度，將這些需求轉(zhuǎn)換成構(gòu)造網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)能夠提供服務(wù)的需求。因此，如何正確地將用戶對(duì)網(wǎng)絡(luò)系統(tǒng)功能和性能的需求轉(zhuǎn)換成對(duì)網(wǎng)絡(luò)系統(tǒng)技術(shù)和結(jié)構(gòu)的需求并給予量化表示是網(wǎng)絡(luò)需求分析的關(guān)鍵。服務(wù)器、連接設(shè)備、綜合布線等統(tǒng)一購買和配置，客戶機(jī)應(yīng)利用現(xiàn)有各部門的計(jì)算機(jī)，以保護(hù)原有投資和不影響正常工作。在外工作的員工可以透過 inter 安全訪問企業(yè)資源，遠(yuǎn)程辦公。建立企業(yè)對(duì)外網(wǎng)站，提供一個(gè)對(duì)外宣傳的平臺(tái)，提高企業(yè)知名度。 5）安 全性：對(duì)不同部門之間的相互訪問作限制，防止非法訪問，保護(hù)商業(yè)機(jī)密。使用防火墻，防止來自互聯(lián)網(wǎng)上的入侵，保障企業(yè)資源的安全。 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 8 2 企業(yè) 網(wǎng)絡(luò)總體規(guī)劃 網(wǎng)絡(luò)規(guī)劃是對(duì)擬建網(wǎng)絡(luò)的初步設(shè)計(jì)，應(yīng)該遵循網(wǎng)絡(luò)設(shè)計(jì)的一般原則和方法，并提出相應(yīng)的解決方案為后續(xù)的設(shè)計(jì)和實(shí)現(xiàn)工作的依據(jù)。 企業(yè)網(wǎng)絡(luò)設(shè)計(jì)要領(lǐng) 該 IT 企業(yè)網(wǎng)絡(luò)建設(shè)的目標(biāo)，就是在總公司和分公司分別建設(shè)局域網(wǎng)，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，使用遠(yuǎn)程接入技術(shù)將公司與分公司之間連接起來，并使在外員工可隨時(shí)接入公司網(wǎng)絡(luò)，從而建立起統(tǒng)一、快捷、高效的中型 Intranent 系統(tǒng)，整個(gè)系統(tǒng)在安全、可靠、穩(wěn)定的前提下，符合經(jīng)濟(jì)的原則，即實(shí)現(xiàn)合理的投入，最大的產(chǎn)出。規(guī)劃中服務(wù)器、信息中心采用千兆，與中心主交換機(jī)連接，其他部門采用 100M 網(wǎng)卡通過其他二級(jí)交換機(jī)接入主干網(wǎng)。這樣，可以提供遠(yuǎn)程撥號(hào)訪問和通過 Inter 訪問兩種方式，來實(shí)現(xiàn)全國各分支機(jī)構(gòu)、相關(guān)部門以及公眾對(duì)公司信息的限制性訪問。 VPN 技術(shù)的實(shí)現(xiàn) VPN 即虛擬專用網(wǎng)（ Virtal Private Network），是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的 隧道。通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的鏈接，從而實(shí)現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別，如果接入方式為撥號(hào)方式，則稱之為 VPDN。 VPN 可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地鏈接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。計(jì)算機(jī)設(shè)備、服務(wù)器設(shè)備和網(wǎng)絡(luò)設(shè)備在技術(shù)性能逐步提升的同時(shí)，其價(jià)格卻在逐年下降。所以，網(wǎng)絡(luò)方案設(shè)計(jì)中應(yīng)把握“夠用”和“實(shí)用”原則。 2）前瞻性原則。 3）開放性原則。其目標(biāo)首先是要有利于未來網(wǎng)絡(luò)系統(tǒng)的擴(kuò)充，其次還要有利于在需要時(shí)與外部網(wǎng)絡(luò)互通。作為一個(gè)具有一定規(guī)模的中型企業(yè)。在這樣的網(wǎng)絡(luò)中，就要盡量使用冗余備份，當(dāng) 某個(gè)網(wǎng)絡(luò)設(shè)備故障企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 10 時(shí)，網(wǎng)絡(luò)還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網(wǎng)絡(luò)的可靠性。在企業(yè)網(wǎng)的設(shè)計(jì)中，安全性的設(shè)計(jì)是很重要的。企業(yè)必須保護(hù)其網(wǎng)絡(luò)系統(tǒng)，以避免受外來惡意性入侵，但也必須保留足夠空間，使其主要經(jīng)營(yíng)之業(yè)務(wù)能順利運(yùn)作。網(wǎng)絡(luò)安全應(yīng)是永遠(yuǎn)以能符合企業(yè)經(jīng)營(yíng)目標(biāo)的最大利益為優(yōu)先考量。網(wǎng)絡(luò)管理員能夠在 不改變系統(tǒng)運(yùn)行的情況下對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。網(wǎng)絡(luò)總體設(shè)計(jì)不僅要考慮到近期目標(biāo)，也要為企業(yè)以及網(wǎng)絡(luò)的進(jìn)一步發(fā)展留有余地。網(wǎng)絡(luò)系統(tǒng)應(yīng)在規(guī)模和性能兩方面具有良好的可擴(kuò)展性。 配置 VPN 服務(wù)器 網(wǎng)絡(luò)協(xié)議是需要通信的計(jì)算機(jī)之間共同遵循的數(shù)據(jù)結(jié)構(gòu)、語義和操作規(guī)則。各協(xié)議層互相獨(dú)立，下層提供上層某項(xiàng)功能的服務(wù)（一般有面向連接和無連接 兩類），上層利用該功能再向上提供更完善的服務(wù)。它們的參考模型及各層的對(duì)應(yīng)關(guān)系如圖 所示。 1）物理層是第一層，它決定設(shè)備之間的物理接口以及在傳輸介質(zhì)上比特傳送的規(guī)則。 3）網(wǎng)絡(luò)層是第三成，它的主要功能是利用數(shù)據(jù)鏈路層所保證的鄰接節(jié) 點(diǎn)之間的無差錯(cuò)數(shù)據(jù)傳輸功能，通過路由選擇和中繼功能，實(shí)現(xiàn)兩個(gè)端系統(tǒng)之間的連接。 5）會(huì)話層是第五層，它提供一種經(jīng)過組織的方法在用戶之間交換數(shù)據(jù)。 7）應(yīng)用層是第七層，它的功能是提供應(yīng)用進(jìn)程（用戶程序）之間信息交換的基本任務(wù)。該協(xié)議族是一組獨(dú)立的協(xié)議的集合，其中最主要的是 TCP 協(xié)議和 IP 協(xié)議。 2）網(wǎng)絡(luò)層，它的主要功能是定義信息包（ IP 數(shù)據(jù)包）并處理信息包的路由選擇。 3）傳輸層。該層的主要協(xié)議有：TCP、 UDP。它由使用網(wǎng)路的應(yīng)用程序和進(jìn)程組 成。 OSI 強(qiáng)調(diào)的是如何把開放式系統(tǒng)連接起來的，它是一個(gè)理論上的參考模型。 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 13 3 網(wǎng)絡(luò)具體規(guī)劃與設(shè)計(jì) 在總體上規(guī)劃好企業(yè)網(wǎng)絡(luò)之后，就要進(jìn)入具體設(shè)計(jì)的階段，這也是網(wǎng)絡(luò)設(shè)計(jì)的最重要的環(huán)節(jié)。 網(wǎng)絡(luò)拓?fù)鋱D 所謂拓?fù)涫且环N研究與大小、距離無關(guān)的幾何圖形特性的方法。拓?fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和相互間的連接，它的結(jié)構(gòu)主要有星型結(jié)構(gòu)、總線結(jié)構(gòu)、樹型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、蜂窩狀結(jié)構(gòu)、分布式結(jié)構(gòu)等。 該企業(yè)局域網(wǎng)網(wǎng) 絡(luò)主要采用了星型的拓?fù)浣Y(jié)構(gòu)，因?yàn)槠髽I(yè)規(guī)模不大，所以在設(shè)計(jì)上只劃分了兩層來設(shè)計(jì)：核心層和接入層。分公司由于規(guī)模較小，考慮到企業(yè)網(wǎng)絡(luò)設(shè)計(jì)上的實(shí)用性與經(jīng)濟(jì)性原則，核心層的設(shè)計(jì)只使用一臺(tái)千兆三層交換機(jī)。服務(wù)器選擇擺放 在信息中心，以便管理。 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 14 圖 分公司網(wǎng)絡(luò)拓?fù)鋱D 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 15 分公司網(wǎng)絡(luò)拓?fù)鋱D IP 地址規(guī)劃 每臺(tái)計(jì)算機(jī)、服務(wù)器、或者路由器的接口都有一個(gè)由授權(quán)機(jī)構(gòu)分配的號(hào)碼，我們稱它為 IP 地址。但是有部分的 IP 地址被特別區(qū)分出來用作私有網(wǎng)絡(luò)使用，它們被稱為私有 IP 地址 表 私有 IP 地址 A 類 ~ B 類 ~ C 類 ~ D 類 ~ 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 16 A 類： ~ B 類： ~ C 類： ~ 該企業(yè)只有一個(gè)公網(wǎng) IP，考慮到內(nèi)網(wǎng)計(jì)算機(jī)終端數(shù)量不多，該企業(yè)局域網(wǎng) IP 使用 C 類私有地址進(jìn)行分配。目前一般來說有兩種分配方案，一是使用動(dòng)態(tài) IP 地址分配（ DHCP），另一種方案是使用靜態(tài)地址分配，但必須加強(qiáng) MAC 地址的管理。但是，因?yàn)? IP 地址是動(dòng)態(tài)分配的，網(wǎng)管員不能從 IP 地 址上鑒定客戶的身份，相應(yīng)的 IP 層管理將失去作用。使用靜態(tài) IP 地址分配可以對(duì)各部門進(jìn)行合理的 IP 地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對(duì)網(wǎng)卡 MAC 地址的管理，網(wǎng)絡(luò)就會(huì)具有更好的可管理性。綜合以上考慮，由于該企業(yè)的規(guī)模不是很大，因此從網(wǎng)絡(luò)安全的角度出發(fā)，采用靜態(tài)地址分配的方法。但當(dāng)隨著以后企業(yè)規(guī)模的不斷擴(kuò)大發(fā)展，整個(gè)網(wǎng)絡(luò)信息的規(guī)模不斷擴(kuò)大，則可以考慮采用 DHCP 動(dòng)態(tài) IP 地址分配的方案，設(shè)立專門的 DHCP 服務(wù)器進(jìn)行動(dòng)態(tài) IP 地址分配。 基于 VLSM 的子網(wǎng)劃分 該企業(yè)總公司有 193 人，分公司有 99 人。因此必須對(duì)這些主機(jī)進(jìn)行子網(wǎng)劃分控制廣播域的規(guī)模。 由于該企業(yè)人數(shù)不多，如果給每個(gè)子網(wǎng)分配一個(gè) C 類地址，就會(huì)造成 IP 地址的浪費(fèi)，所以要采用可變長(zhǎng)子網(wǎng)掩碼技術(shù)對(duì)該企業(yè)局域網(wǎng)進(jìn)行子網(wǎng)劃分?？紤]到總公司與分公司之間要通過 VPN 技術(shù)遠(yuǎn)程互聯(lián)，所以總公司與分公司的內(nèi)網(wǎng) IP 不能有重復(fù)。原來是為了安全起見，路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)г?VPN 服務(wù)器的 INTERNET 接口上設(shè)置了篩選器，只能允許 PPTP 和 L2TP 包通過該接口。 打開 “路由和遠(yuǎn)程訪問服務(wù) ”－ “IP 路由選擇 ”－ “常規(guī) ”－在右邊的窗口中選擇外網(wǎng)卡并打開－ “屬性 ”－ “啟用 IP 路由器管理器 ”－分別設(shè)置－“輸入篩選器 ”和 “輸出篩選器 ”。 IEEE 于 1999 年頒布了用以標(biāo)準(zhǔn)化 VLAN 實(shí)現(xiàn)方案的 協(xié)議標(biāo)準(zhǔn)草案。但由于它是邏輯地而不是物理地劃分，所以同一個(gè) VLAN 內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，即這些工 作站不一定屬于同一個(gè)物理 LAN 網(wǎng)段。 VLAN 是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN 頭，用 VLAN ID 把用戶劃分為更小的工作組，限制不同工作組企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 19 間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。 我們已經(jīng)為該企業(yè)劃分了子網(wǎng)，不同的部門在不同的子網(wǎng)里，子網(wǎng)與子網(wǎng)之間不能訪問，也控制了廣播域太大的問題。局域網(wǎng)內(nèi)的任何用戶只要稍微修改一下 IP 與子網(wǎng)掩碼就可以訪問到該企業(yè)的任何部門了。 VLAN 有幾種不同的劃分方法： VLAN。 VLAN。 該企業(yè)的 VLAN 我們采取根據(jù)端口來劃分，這種劃分方式是現(xiàn)在最常用的。今后如果有人事調(diào)動(dòng)或者部門擴(kuò)充，只要在交換機(jī)上作相應(yīng)的配置就可以了。接入鏈路連接只能與單個(gè) VLAN 相關(guān)，任何連接到該端口的任何設(shè)備將會(huì)在相同的廣播域中。中繼鏈路一般在特點(diǎn)的設(shè)備之間，包括交換機(jī)到交換機(jī)，交換機(jī)到路由器，交換機(jī)到文件服務(wù)器等。 VLAN 部分配置摘錄： 企業(yè)網(wǎng)遠(yuǎn)程接入技術(shù)的實(shí)現(xiàn) 20 switch1(config)vlan 10 創(chuàng)建一個(gè) vlan（開發(fā)部） switch1(configvlan)name kaifabu 為此 vlan 取名 switch1(configvlan)exit switch1(config)int fa0/1 進(jìn)入一個(gè)快速以太端口配置 switch1(configif)switchport mode access 把 該接口配置為access 鏈路 switch1(configif)switchport access vlan 1 把該端口加入 vlan1 switch1(configif)exit switch1(config)int gig 2/1 進(jìn)入千兆端口 switch1(configi}switch mode trunk 把該端口配置為trunk 鏈路 三層交換技術(shù)與鏈路聚合的應(yīng)用 傳統(tǒng)的以太網(wǎng)交換機(jī)工作在 OSI 模型的 第二層上，數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包通過源站點(diǎn)和目的站點(diǎn)的 MAC 地址時(shí)被識(shí)別。它可理解網(wǎng)絡(luò)協(xié)議的第二層如 MAC 地址等。這個(gè)工作用 ASIC（專用集成電路）芯片來做速度是非常快的，但同時(shí)由于它不察看數(shù)據(jù)包里的更多的內(nèi)容，所以無法作出有關(guān)策略方面的判斷，對(duì)數(shù)據(jù)流的控制能力不強(qiáng)。這種狀況促使業(yè)界不得