【正文】 n switching, optical fiber receiving, VPN and so on, to basically meet the needs of the enterprise and save enough room for expanding to adapt to the development henceforward.Keywords enterprise network、Planning and Design、Remote Access、VPN目 次1 引言 42 概述 5 5 63網(wǎng)絡(luò)總體規(guī)劃 7 7 7 84網(wǎng)絡(luò)具體規(guī)劃與設(shè)計(jì) 10 10 IP地址規(guī)劃 12 13 15 16 18 20 24致謝 28參考文獻(xiàn) 291 引言目前，對(duì)于國(guó)內(nèi)的部分企業(yè)而言，計(jì)算機(jī)技術(shù)的應(yīng)用很大程度上還只是停留在單機(jī)應(yīng)用的水平上，應(yīng)用軟件也只是辦公軟件和簡(jiǎn)單的數(shù)據(jù)庫(kù)應(yīng)用。網(wǎng)絡(luò)技術(shù)的發(fā)展使得網(wǎng)絡(luò)建設(shè)從基礎(chǔ)架構(gòu)到維護(hù)和管理都變得十分簡(jiǎn)單和智能，豐富的網(wǎng)絡(luò)產(chǎn)品線和不斷降低的價(jià)格，可以讓中小企業(yè)根據(jù)自身的情況，按照實(shí)際的經(jīng)濟(jì)條件來(lái)構(gòu)建自己的網(wǎng)絡(luò)，用于網(wǎng)絡(luò)建設(shè)的投資對(duì)于企業(yè)而言不再成為一個(gè)負(fù)擔(dān)。一個(gè)成功的企業(yè)不僅要了解世界，還要讓世界知道自己。通過(guò)Internet，企業(yè)不僅可以獲得大量的有價(jià)值的信息，同時(shí)也可以將企業(yè)的信息通過(guò)Internet發(fā)布到世界各地。2 概述企業(yè)網(wǎng)絡(luò)指的是具有一定規(guī)模的網(wǎng)絡(luò)系統(tǒng)，它可以是單座建筑物內(nèi)的局域網(wǎng)，可以是覆蓋一個(gè)園區(qū)的園區(qū)網(wǎng)，還可以是跨地區(qū)的廣域網(wǎng)，其覆蓋范圍可以是幾公里、幾十公里、幾百公里，甚至更廣。我國(guó)的企業(yè)網(wǎng)絡(luò)建設(shè)經(jīng)過(guò)了單機(jī)應(yīng)用階段，目前正處在Internet應(yīng)用熱潮中。企業(yè)網(wǎng)絡(luò)缺乏整體性的設(shè)計(jì)，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，在業(yè)務(wù)互相銜接的應(yīng)用系統(tǒng)之間缺乏一致性2應(yīng)用者的整體水平比較低，缺乏對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)全面的認(rèn)識(shí)，難以接受將計(jì)算機(jī)作為一種工作方式3信息部門(mén)處于邊緣性地位，綜合實(shí)力較低，地位較低，給信息技術(shù)的應(yīng)用帶來(lái)了相當(dāng)大的難度。總公司193人，分8個(gè)部門(mén)，包括人事部、開(kāi)發(fā)部、財(cái)務(wù)部、商務(wù)部、工程部、業(yè)務(wù)部、信息中心、經(jīng)理部。分公司99人，部門(mén)結(jié)構(gòu)與總公司一致，人事部12人，開(kāi)發(fā)部34人，工程部20人，財(cái)務(wù)部3人，業(yè)務(wù)部16人，信息中心3人，商務(wù)部9人，經(jīng)理部2人。由于公司規(guī)模的擴(kuò)大，為了提高工作效率、公司知名度、公司效益以及管理水平，該企業(yè)決定投資重新建設(shè)完善的企業(yè)網(wǎng)絡(luò)。在網(wǎng)絡(luò)需求分析過(guò)程中，網(wǎng)絡(luò)系統(tǒng)用戶(hù)往往從系統(tǒng)外部關(guān)注整個(gè)網(wǎng)絡(luò)系統(tǒng)的功能和性能，而網(wǎng)絡(luò)設(shè)計(jì)者往往從網(wǎng)絡(luò)系統(tǒng)內(nèi)部關(guān)注整個(gè)網(wǎng)絡(luò)系統(tǒng)的技術(shù)和結(jié)構(gòu)。經(jīng)過(guò)對(duì)該公司各個(gè)部門(mén)職能的分析以及調(diào)研，將系統(tǒng)需求歸納為如下幾點(diǎn)：1）在該企業(yè)的總公司以及分公司各建立一個(gè)新的計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，將該企業(yè)內(nèi)現(xiàn)有計(jì)算機(jī)以及外設(shè)連在一起工作。2）該網(wǎng)絡(luò)系統(tǒng)能實(shí)現(xiàn)資源共享，包括軟件共享，文件共享，打印機(jī)共享。3）能高速接入Internet進(jìn)行工作，收發(fā)郵件，瀏覽網(wǎng)頁(yè)查找資料。4）網(wǎng)絡(luò)管理：控制不同權(quán)限的員工使用Internet的方式和范圍，限制普通員工利用公司網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)無(wú)關(guān)的活動(dòng)。預(yù)防計(jì)算機(jī)病毒，盡可能把病毒感染的幾率降到最低。6）可擴(kuò)展性：考慮到企業(yè)的發(fā)展與以后規(guī)模的擴(kuò)大，企業(yè)網(wǎng)絡(luò)設(shè)計(jì)需預(yù)留擴(kuò)展空間，以便今后的網(wǎng)絡(luò)改造。網(wǎng)絡(luò)總體規(guī)劃反映了網(wǎng)絡(luò)設(shè)計(jì)“總體規(guī)劃、分布實(shí)施”的網(wǎng)絡(luò)建設(shè)原則，是從網(wǎng)絡(luò)需求分析到網(wǎng)絡(luò)具體設(shè)計(jì)之間必經(jīng)的階段，網(wǎng)絡(luò)規(guī)劃通過(guò)對(duì)企業(yè)網(wǎng)絡(luò)需求的調(diào)查、分析、歸納，把企業(yè)現(xiàn)在和未來(lái)對(duì)網(wǎng)絡(luò)的需求轉(zhuǎn)換成對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、功能、性能、協(xié)議等技術(shù)指標(biāo)的具體要求?？傮w設(shè)計(jì)如下： 1）以千兆以太網(wǎng)為主干網(wǎng)，利用第三層交換技術(shù)實(shí)現(xiàn)大型局域網(wǎng)的VLAN的劃分。 2）網(wǎng)絡(luò)通過(guò)光纖接入 Internet/ChinaNET，在公網(wǎng)上建立虛擬專(zhuān)用網(wǎng)(VPN)；通過(guò)采用 Web 技術(shù)和 InternetVPN 技術(shù)以及信息加密技術(shù)實(shí)現(xiàn)電子商務(wù)。3）網(wǎng)絡(luò)的安全機(jī)制：（1） 通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的配置，控制訪問(wèn)列表等方式來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性措施；（2） 更重要的是，在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處，采用先進(jìn)的防火墻技術(shù)、代理服務(wù)器技術(shù)、以及 Web 服務(wù)器的口令驗(yàn)證、數(shù)據(jù)加密等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的安全性4）網(wǎng)絡(luò)中心設(shè)立 WEB 應(yīng)用服務(wù)器、EMAIL 服務(wù)器、DNS 服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器，實(shí)現(xiàn) WEB 訪問(wèn)、Internet接入、EMAIL 系統(tǒng)、域名解析、應(yīng)用系統(tǒng)等各種功能。計(jì)算機(jī)設(shè)備、服務(wù)器設(shè)備和網(wǎng)絡(luò)設(shè)備在技術(shù)性能逐步提升的同時(shí)，其價(jià)格卻在逐年下降。所以，網(wǎng)絡(luò)方案設(shè)計(jì)中應(yīng)把握“夠用”和“實(shí)用”原則。2）前瞻性原則。3）開(kāi)放性原則。其目標(biāo)首先是要有利于未來(lái)網(wǎng)絡(luò)系統(tǒng)的擴(kuò)充，其次還要有利于在需要時(shí)與外部網(wǎng)絡(luò)互通。作為一個(gè)具有一定規(guī)模的中型企業(yè)。在這樣的網(wǎng)絡(luò)中，就要盡量使用冗余備份，當(dāng)某個(gè)網(wǎng)絡(luò)設(shè)備故障時(shí)，網(wǎng)絡(luò)還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網(wǎng)絡(luò)的可靠性。在企業(yè)網(wǎng)的設(shè)計(jì)中，安全性的設(shè)計(jì)是很重要的。企業(yè)必須保護(hù)其網(wǎng)絡(luò)系統(tǒng)，以避免受外來(lái)惡意性入侵，但也必須保留足夠空間，使其主要經(jīng)營(yíng)之業(yè)務(wù)能順利運(yùn)作。網(wǎng)絡(luò)安全應(yīng)是永遠(yuǎn)以能符合企業(yè)經(jīng)營(yíng)目標(biāo)的最大利益為優(yōu)先考量。網(wǎng)絡(luò)管理員能夠在不改變系統(tǒng)運(yùn)行的情況下對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。網(wǎng)絡(luò)總體設(shè)計(jì)不僅要考慮到近期目標(biāo)，也要為企業(yè)以及網(wǎng)絡(luò)的進(jìn)一步發(fā)展留有余地。網(wǎng)絡(luò)系統(tǒng)應(yīng)在規(guī)模和性能兩方面具有良好的可擴(kuò)展性。網(wǎng)絡(luò)協(xié)議是需要通信的計(jì)算機(jī)之間共同遵循的數(shù)據(jù)結(jié)構(gòu)、語(yǔ)義和操作規(guī)則。各協(xié)議層互相獨(dú)立，下層提供上層某項(xiàng)功能的服務(wù)（一般有面向連接和無(wú)連接兩類(lèi)），上層利用該功能再向上提供更完善的服務(wù)。它們的參考模型及各層的對(duì)應(yīng)關(guān)系如圖所示。1）物理層是第一層，它決定設(shè)備之間的物理接口以及在傳輸介質(zhì)上比特傳送的規(guī)則。3）網(wǎng)絡(luò)層是第三成，它的主要功能是利用數(shù)據(jù)鏈路層所保證的鄰接節(jié)點(diǎn)之間的無(wú)差錯(cuò)數(shù)據(jù)傳輸功能，通過(guò)路由選擇和中繼功能，實(shí)現(xiàn)兩個(gè)端系統(tǒng)之間的連接。5）會(huì)話(huà)層是第五層，它提供一種經(jīng)過(guò)組織的方法在用戶(hù)之間交換數(shù)據(jù)。7）應(yīng)用層是第七層，它的功能是提供應(yīng)用進(jìn)程（用戶(hù)程序）之間信息交換的基本任務(wù)。該協(xié)議族是一組獨(dú)立的協(xié)議的集合，其中最主要的是TCP協(xié)議和IP協(xié)議。2）網(wǎng)絡(luò)層，它的主要功能是定義信息包（IP數(shù)據(jù)包）并處理信息包的路由選擇。3）傳輸層。該層的主要協(xié)議有：TCP、UDP。它由使用網(wǎng)路的應(yīng)用程序和進(jìn)程組成。OSI強(qiáng)調(diào)的是如何把開(kāi)放式系統(tǒng)連接起來(lái)的，它是一個(gè)理論上的參考模型。4網(wǎng)絡(luò)具體規(guī)劃與設(shè)計(jì) 在總體上規(guī)劃好企業(yè)網(wǎng)絡(luò)之后，就要進(jìn)入具體設(shè)計(jì)的階段，這也是網(wǎng)絡(luò)設(shè)計(jì)的最重要的環(huán)節(jié)。所謂拓?fù)涫且环N研究與大小、距離無(wú)關(guān)的幾何圖形特性的方法。拓?fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和相互間的連接，它的結(jié)構(gòu)主要有星型結(jié)構(gòu)、總線結(jié)構(gòu)、樹(shù)型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、蜂窩狀結(jié)構(gòu)、分布式結(jié)構(gòu)等。該企業(yè)局域網(wǎng)網(wǎng)絡(luò)主要采用了星型的拓?fù)浣Y(jié)構(gòu)，因?yàn)槠髽I(yè)規(guī)模不大，所以在設(shè)計(jì)上只劃分了兩層來(lái)設(shè)計(jì)：核心層和接入層。分公司由于規(guī)模較小，考慮到企業(yè)網(wǎng)絡(luò)設(shè)計(jì)上的實(shí)用性與經(jīng)濟(jì)性原則，核心層的設(shè)計(jì)只使用一臺(tái)千兆三層交換機(jī)。服務(wù)器選擇擺放在信息中心，以便管理?？偣揪W(wǎng)絡(luò)拓?fù)鋱D分公司網(wǎng)絡(luò)拓?fù)鋱D IP地址規(guī)劃每臺(tái)計(jì)算機(jī)、服務(wù)器、或者路由器的接口都有一個(gè)由授權(quán)機(jī)構(gòu)分配的號(hào)碼，我們稱(chēng)它為IP地址。但是有部分的IP地址被特別區(qū)分出來(lái)用作私有網(wǎng)絡(luò)使用，它們被稱(chēng)為私有IP地址：A類(lèi)： ~ B類(lèi)： ~ C類(lèi)： ~ 該企業(yè)只有一個(gè)公網(wǎng)IP，考慮到內(nèi)網(wǎng)計(jì)算機(jī)終端數(shù)量不多，該企業(yè)局域網(wǎng)IP使用C類(lèi)私有地址進(jìn)行分配。目前一般來(lái)說(shuō)有兩種分配方案，一是使用動(dòng)態(tài) IP地址分配（DHCP），另一種方案是使用靜態(tài)地址分配，但必須加強(qiáng) MAC 地址的管理。但是，因?yàn)?IP 地址是動(dòng)態(tài)分配的，網(wǎng)管員不能從 IP 地址上鑒定客戶(hù)的身份，相應(yīng)的 IP 層管理將失去作用。使用靜態(tài) IP 地址分配可以對(duì)各部門(mén)進(jìn)行合理的 IP 地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對(duì)網(wǎng)卡 MAC 地址的管理，網(wǎng)絡(luò)就會(huì)具有更好的可管理性。綜合以上考慮，由于該企業(yè)的規(guī)模不是很大，因此從網(wǎng)絡(luò)安全的角度出發(fā)，采用靜態(tài)地址分配的方法。但當(dāng)隨著以后企業(yè)規(guī)模的不斷擴(kuò)大發(fā)展，整個(gè)網(wǎng)絡(luò)信息的規(guī)模不斷擴(kuò)大，則可以考慮采用 DHCP 動(dòng)態(tài) IP 地址分配的方案，設(shè)立專(zhuān)門(mén)的 DHCP 服務(wù)器進(jìn)行動(dòng)態(tài) IP 地址分配。該企業(yè)總公司有193人，分公司有99人。因此必須對(duì)這些主機(jī)進(jìn)行子網(wǎng)劃分控制廣播域的規(guī)模。由于該企業(yè)人數(shù)不多，如果給每個(gè)子網(wǎng)分配一個(gè)C類(lèi)地址，就會(huì)造成IP地址的浪費(fèi)，所以要采用可變長(zhǎng)子網(wǎng)掩碼技術(shù)對(duì)該企業(yè)局域網(wǎng)進(jìn)行子網(wǎng)劃分。考慮到總公司與分公司之間要通過(guò)VPN技術(shù)遠(yuǎn)程互聯(lián)，所以總公司與分公司的內(nèi)網(wǎng)IP不能有重復(fù)。 VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱(chēng)虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒(méi)有相同的VLAN號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。這樣看來(lái)好像不必要再劃分VLAN了，其實(shí)不然，因?yàn)檫@樣只作子網(wǎng)劃分是存在安全性問(wèn)題的。所以，我們必須在交換機(jī)上劃分好VLAN，這樣，只要加強(qiáng)對(duì)交