【正文】 h1(config)int vlan 20switch1(configif)ip accessgroup 1 in 在財務(wù)部VLAN進(jìn)入方向?qū)嵤〢CL策略switch1(config)interface port－channel 1 創(chuàng)建一個邏輯端口通道switch1(configif)exitswitch1(config)interface gigabitethernet 1/1進(jìn)入千兆端口switch1(config)no switchport 轉(zhuǎn)換為三層接口switch1(config)no ip address 刪除任何協(xié)議地址switch1(config)channelgroup 1 mod on 把該端口分配到通道1中 Internet接入及地址轉(zhuǎn)換在完成了企業(yè)內(nèi)部的網(wǎng)絡(luò)設(shè)計之后，就進(jìn)入了企業(yè)廣域網(wǎng)的設(shè)計階段，首先就是企業(yè)Internet接入的設(shè)計?，F(xiàn)今企業(yè)對信息的需求急劇增加，信息量呈指數(shù)增長，通信業(yè)務(wù)也從電話、數(shù)據(jù)向視頻、多媒體等寬帶業(yè)務(wù)發(fā)展。以前的窄帶網(wǎng)絡(luò)已經(jīng)不能滿足企業(yè)寬帶業(yè)務(wù)發(fā)展要求，迫切需要建立一個高寬帶、業(yè)務(wù)發(fā)展受限制少的寬帶業(yè)務(wù)網(wǎng)。一般現(xiàn)今比較流行的企業(yè)寬帶接入方式有以下幾種：ADSL、DDN、光纖等。在該企業(yè)的Internet接入設(shè)計部分，我們采用FTTB+LAN的方式。Fiber To The Building(FTTB，光纖到樓)，它是利用數(shù)字寬帶技術(shù)，光纖直接到樓內(nèi)機房，再通過高速以太網(wǎng)的形式到各個用戶。FTTB方式將傳統(tǒng)的語音信號和數(shù)據(jù)信號并網(wǎng)而行，是一種性價比最高的組網(wǎng)方式，采用的是專線接入，無需撥號，安裝簡便，可為用戶提供一個多媒體網(wǎng)絡(luò)環(huán)境以及低價高質(zhì)的共享專線上因特網(wǎng)的方式。這種接入方式具有很多優(yōu)勢：網(wǎng)絡(luò)上行下行速度高，而且可擴(kuò)展度高；因為是光纖出口，所以網(wǎng)絡(luò)可靠、穩(wěn)定；可以使用固定IP，方便建立企業(yè)網(wǎng)站；性價比高，支持VPN技術(shù)等。我們只要向ISP申請一條光纖接入Internet，把光纖拉到企業(yè)機房，將光纖接入光纖收發(fā)器或者直接接入帶有光纖口的防火墻和路由器上，再把路由器用雙絞線接到核心交換機上，然后分散接入到各部門交換機。這樣，就實現(xiàn)了兩種不同傳輸介質(zhì)的企業(yè)網(wǎng)絡(luò)的Internet接入方案。在路由器上，我們除了要配置一條靜態(tài)路由器指向ISP之外，我們還需要對內(nèi)網(wǎng)IP地址做一個網(wǎng)絡(luò)地址轉(zhuǎn)換。地址轉(zhuǎn)換最初主要用來解決是IP地址短缺的問題，后來地址轉(zhuǎn)換技術(shù)有了更多的用途，逐漸顯示出它的優(yōu)勢。地址轉(zhuǎn)換設(shè)備提供幾乎無限的地址空間并隱藏內(nèi)部網(wǎng)絡(luò)尋址方案；如果更改了ISP或與另一個公司合并，則可以保持當(dāng)前的尋址方案，并在地址轉(zhuǎn)換設(shè)備上作任何必要的改變，可使地址管理更容易；它還有一個顯著的優(yōu)點是允許嚴(yán)格控制進(jìn)入和離開網(wǎng)絡(luò)的流量，更容易實施安全和商業(yè)策略。地址轉(zhuǎn)換主要分為兩種類型，網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation,NAT）、端口地址轉(zhuǎn)換（Port Address Translation，PAT）。在該企業(yè)的網(wǎng)絡(luò)設(shè)計中，我們主要用到了PAT技術(shù)。PAT把許多內(nèi)部IP地址轉(zhuǎn)換成一個單獨的IP地址，每一個內(nèi)部地址通過給定一個不同的端口好來確定轉(zhuǎn)換的唯一性。對于該企業(yè)的各計算機我們采用動態(tài)PAT技術(shù)進(jìn)行地址轉(zhuǎn)換，讓路由器動態(tài)分配端口號給內(nèi)部的計算機。而對于該企業(yè)的WEB服務(wù)器，我們采用靜態(tài)PAT技術(shù)，這就相當(dāng)于做了一個端口映射，使得企業(yè)外部可以訪問到該企業(yè)內(nèi)部的WEB服務(wù)器，即可以訪問到該企業(yè)的網(wǎng)站。PAT配置部分摘錄：Router(config)accesslist 1 permit 創(chuàng)建內(nèi)部本地地址Router(config)ip nat pool natpool netmask 創(chuàng)建內(nèi)部全局地址池Router(config)ip nat inside source list 1 pool natpool overload 加入overload實現(xiàn)PAT轉(zhuǎn)換，全部本地地址共用一個外部地址Router(config)int FastEthernet0/0Router(configif)ip nat inside 把fe0/0口配置為內(nèi)部接口Router(config)int FastEthernet0/1Router(configif)ip nat outside 把fe0/1口配置為外部接口 VPN服務(wù)器設(shè)置用戶撥入并授權(quán)為了讓遠(yuǎn)程客戶能夠訪問域中的資源，我們在域控制器上為遠(yuǎn)程用戶建立帳戶，并賦予訪問權(quán)限。隨著企業(yè)的收購和合并愈演愈烈，再加上企業(yè)自身的發(fā)展壯大與國際化，每家企業(yè)的分支機構(gòu)不僅越來越多，而且它們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為突出。以前各分支機構(gòu)互訪所采用的常規(guī)方法是租用專線，這樣的連接方式一則要支付昂貴的通信費用，再則缺乏靈活性，對于企業(yè)地理位置的改變不能很好地適應(yīng)。隨著企業(yè)業(yè)務(wù)和自身應(yīng)用需求的發(fā)展，企業(yè)之間的合作及企業(yè)與客戶之間的聯(lián)系也日趨緊密，且這些合作和聯(lián)系都是動態(tài)的，總是處于變化和發(fā)展中，這種關(guān)系也需要靠網(wǎng)絡(luò)來維持和加強。雖然Internet為企業(yè)廣域網(wǎng)連接提供了物質(zhì)基礎(chǔ)，并且TCP/IP協(xié)議為網(wǎng)絡(luò)的互聯(lián)提供了極大的靈活性。但I(xiàn)nternet有一個致命的弱點，那就是它的安全性。在Internet上傳輸?shù)臄?shù)據(jù)都是采用明文傳輸?shù)模@就給一些非法用戶以可乘之機，從而出現(xiàn)目前經(jīng)常遇到的如：偽裝欺騙、消息竊聽、對話插隊、拒絕服務(wù)等網(wǎng)絡(luò)安全隱患。由此看來，Internet是一個開放的、不安全的網(wǎng)絡(luò)，要想在這樣一個不安全的網(wǎng)絡(luò)上實現(xiàn)敏感數(shù)據(jù)的安全傳輸，就需要采用一些安全技術(shù)。在這樣的背景下，一種基于公用網(wǎng)絡(luò)的動態(tài)、安全的連接解決方案就成為時代之需，VPN就是這樣一種網(wǎng)絡(luò)連接技術(shù)。VPN技術(shù)的成功引入可以從根本上滿足企業(yè)用戶的低通信費和高靈活性的雙重需求，更重要的是它可以提供與專線相媲美的通信安全保障，是一種非常廉價、安全、靈活自如的遠(yuǎn)程網(wǎng)絡(luò)接入解決方案。虛擬專用網(wǎng)(Virtual Private Network, VPN)是指在公共通信基礎(chǔ)設(shè)施上構(gòu)建的虛擬專用網(wǎng)，可以被認(rèn)為是一種從公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò)，它與真實網(wǎng)絡(luò)的差別在于VPN以隔離方式通過共享公共通信基礎(chǔ)設(shè)施，提供了不與VPN網(wǎng)外用戶共享互聯(lián)點的排他性網(wǎng)絡(luò)通信環(huán)境。 VPN拓?fù)鋱D按VPN應(yīng)用的類型來分，VPN應(yīng)用業(yè)務(wù)大致可分為三類：Intranet VPN、Access VPN與Extranet VPN，一般的情況下企業(yè)需要同時用到這三種VPN。Access VPN是指企業(yè)員工或企業(yè)的小分支機構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)建的虛擬網(wǎng)。Intranet VPN指企業(yè)的總部與分支機構(gòu)間通過VPN虛擬網(wǎng)進(jìn)行網(wǎng)絡(luò)連接。Extranet VPN即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。VPN具體實現(xiàn)形式多種多樣，但都基于一種稱作安全或者加密的隧道技術(shù)。這種技術(shù)可以用來提供網(wǎng)絡(luò)到網(wǎng)絡(luò)，主機到主機，或者主機到網(wǎng)絡(luò)的安全連接。所謂隧道，實質(zhì)上是一種封裝，它通過將待傳輸?shù)脑夹畔?協(xié)議x)經(jīng)過加密和協(xié)議封裝處理后再嵌套裝入另一種協(xié)議(協(xié)議Y)的數(shù)據(jù)包送入網(wǎng)絡(luò)中，像普通數(shù)據(jù)包一樣進(jìn)行傳輸，實現(xiàn)跨越公共網(wǎng)絡(luò)傳送私有數(shù)據(jù)包的目的。這里協(xié)議X稱為被封裝協(xié)議，協(xié)議Y稱為封裝協(xié)議，封裝時一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般封裝形式為(協(xié)議Y(隧道協(xié)議(協(xié)議X)))在實現(xiàn)基于Internet的VPN時，我們使用的封裝協(xié)議為IP協(xié)議，相應(yīng)的隧道協(xié)議稱為IP隧道協(xié)議，其封裝形式為(IP隧道協(xié)議(協(xié)議x)))。目前IP網(wǎng)上較為常見的隧道協(xié)議大致有兩類:第二層隧道協(xié)議(包括PPTP, L2TP)和第三層隧道協(xié)議(包括GRE、IPSec, MPLS)，它們的比較如下圖： 兩內(nèi)隧道協(xié)議對比根據(jù)比較可以看出L2TP等二層隧道協(xié)議適用于用戶遠(yuǎn)程撥號上網(wǎng)訪問遠(yuǎn)端總部資源。MPLS適用于骨干網(wǎng)絡(luò)上大型企業(yè)的多分支機構(gòu)建立自己私有專用網(wǎng)絡(luò)，雖然具備Qos等其他協(xié)議所不具備的特性，但對用戶設(shè)備要求比較高，而且目前還在完善中。IPSec協(xié)議是第三層的隧道協(xié)議，IPSec在IP層上對數(shù)據(jù)包進(jìn)行安全處理，提供數(shù)據(jù)源、無連接數(shù)據(jù)完整性、數(shù)據(jù)機密性、抗重播和有限數(shù)據(jù)流機密性等安全服務(wù)。各種應(yīng)用程序可以享用IP層提供的安全服務(wù)和密鑰管理，而不必設(shè)計和實現(xiàn)自己的安全機制，因此減少密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可能性。因此，IPSec成為實現(xiàn)VPN的一種重要的方法，非常適用現(xiàn)有的網(wǎng)絡(luò)狀況，是中小型網(wǎng)絡(luò)的首選方式?？紤]到該企業(yè)的組網(wǎng)規(guī)模以及安全需求，我們也采用IPSec協(xié)議族組建VPN內(nèi)聯(lián)網(wǎng)。根據(jù)VPN的應(yīng)用平臺可分為三類：軟件平臺、硬件平臺、軟硬件結(jié)合平臺。軟件VPN一般性能較差，適用于對數(shù)據(jù)連接速率較低要求不高，性能和安全性要求不強的小型企業(yè)。硬件VPN雖然有高速率高數(shù)據(jù)安全及通信性能的優(yōu)點，但是它成本太高，中小型企業(yè)很難承受，通常是對于專業(yè)的VPN網(wǎng)絡(luò)服務(wù)提供商來說選擇這一平臺較為合適。軟硬結(jié)合VPN這種平臺是最為通用的一種方式，它既具備了硬件平臺的高性能、高安全性、同時也具有軟件平臺的靈活性，是目前絕大多數(shù)企業(yè)選用的VPN方案。對于我們要設(shè)計的這家企業(yè)來說，采用軟硬件結(jié)合的這種VPN方式最適合不過了。軟硬件結(jié)合VPN也需要硬件方案的支持，目前主要有集中器、交換機、路由器、網(wǎng)關(guān)和防火墻等VPN方案。其中防火墻VPN方案是目前應(yīng)用最廣的一種VPN方案，它的優(yōu)勢主要體現(xiàn)在它的安全性方面，這一點從它的方案名稱可以看出，它是采用防火墻設(shè)備作為VPN通信的主要設(shè)備，在傳統(tǒng)的防火墻設(shè)備中