毕 业 设 计(论 文)
远程接入企业网络规划与设计
毕业设计论文中文摘要
| 随着Internet技术的日益普及,网络技术的飞速发展,企业信息化工作越来越受到重视,进入二十一世纪后,企业信息化不再满足于个人或单个部门的少量计算机应用,而逐步过渡到多部门、整个企业甚至跨企业跨地域的大量计算机的协同工作,因此我们需要把这些计算机用网络联系起来,这也就是我们所说的企业网。本文是对某IT企业的一个企业网络规划设计的解决方案,文章首先分析了企业网络的设计需求,根据需求提出了设计原则与设计目标,制定了总体的规划设计方案,然后再分层次具体地对该企业的局域网和广域网进行设计,在该方案中,我们采用了VLAN、三层交换、千兆交换、光纤接入、VPN等先进网络技术,基本满足了该企业的需求,并留有足够的扩充空间,以适应今后发展。 关键词 企业网络 规划设计 远程接入 VPN |
目 次
1 引言
2 概述
2.1企业概况分析
2.2企业网络设计需求分析
3网络总体规划
3.1企业网络设计目标
3.2企业网络设计原则
3.3网络设计相关协议说明
4网络具体规划与设计
4.1企业网络拓扑结构设计
4.2 IP地址规划
4.3基于VLSM的子网划分
4.4VLAN规划
4.5三层交换技术与链路聚合的应用
4.6Internet接入设计及地址转换技术应用
4.7VPN远程接入设计
4.8设备选型
致谢
参考文献
目前,对于国内的部分企业而言,计算机技术的应用很大程度上还只是停留在单机应用的水平上,应用软件也只是办公软件和简单的数据库应用。但是,随着计算机网络技术不断发展与普及、企业信息化的逐步深入和企业自身发展需求日益增大,在充分利用现有资源、不需要很大投资的基础上,构建适合自身情况、满足实际需求的网络系统是非常必要的,也是切实可行的
社会进入信息时代后,要求企业用信息技术来强化企业的管理、生产和经营,而企业要创造更多的经济效益就必须借助信息技术来提高企业的生产效率和管理水平,这不但适用于大型企业,对占相当比重的中小企业同样适用。网络技术的发展使得网络建设从基础架构到维护和管理都变得十分简单和智能,丰富的网络产品线和不断降低的价格,可以让中小企业根据自身的情况,按照实际的经济条件来构建自己的网络,用于网络建设的投资对于企业而言不再成为一个负担。各自为战的单机应用逐步暴露出现有资源利用率低、信息冗余大等问题,而解决这些问题的惟一途径就是建设一个满足应用需求的网络系统来实现资源的共享。一个成功的企业不仅要了解世界,还要让世界知道自己。实现这个目标的最佳途径就是要利用Internet。通过Internet,企业不仅可以获得大量的有价值的信息,同时也可以将企业的信息通过Internet发布到世界各地。
因此,企业进行计算机网络的建设,不仅是信息社会发展的要求,也是自身发展所必须的。
企业网络指的是具有一定规模的网络系统,它可以是单座建筑物内的局域网,可以是覆盖一个园区的园区网,还可以是跨地区的广域网,其覆盖范围可以是几公里、几十公里、几百公里,甚至更广。狭义的企业网主要指大型的工业、商业、金融、交通企业等各类公司和企业的计算机网络;广义的企业网则包括各种科研、教育部门和政府部门专有的信息网络。
我国的企业网络建设经过了单机应用阶段,目前正处在Internet应用热潮中。但从目前情况看国内相当多的企业还处于网络初步应用阶段,其具有以下特点:1应用水平较低,分散且不一致。企业网络缺乏整体性的设计,没有统一的标准,在业务互相衔接的应用系统之间缺乏一致性2应用者的整体水平比较低,缺乏对计算机和网络全面的认识,难以接受将计算机作为一种工作方式3信息部门处于边缘性地位,综合实力较低,地位较低,给信息技术的应用带来了相当大的难度。
假设我们要设计的是一个中型的IT企业的网络,该企业分为一个总公司和一家分公司,共有员工292人。总公司193人,分8个部门,包括人事部、开发部、财务部、商务部、工程部、业务部、信息中心、经理部。人事部23人,开发部57人,财务部7人,商务部18人,工程部47人,业务部32人,信息中心5人,经理部4人。分公司99人,部门结构与总公司一致,人事部12人,开发部34人,工程部20人,财务部3人,业务部16人,信息中心3人,商务部9人,经理部2人。每人都配有一台个人电脑。由于公司规模的扩大,为了提高工作效率、公司知名度、公司效益以及管理水平,该企业决定投资重新建设完善的企业网络。
网络需求分析就是根据企业信息技术应用要求和企业的业务发展需求,结合企业现有设备状况和人员素质,较为全面地调查和分析企业在信息技术方面的技术需求,然后从网络建设的角度,将这些需求转换成构造网络系统以及网络系统能够提供服务的需求。
在网络需求分析过程中,网络系统用户往往从系统外部关注整个网络系统的功能和性能,而网络设计者往往从网络系统内部关注整个网络系统的技术和结构。因此,如何正确地将用户对网络系统功能和性能的需求转换成对网络系统技术和结构的需求并给予量化表示是网络需求分析的关键。
经过对该公司各个部门职能的分析以及调研,将系统需求归纳为如下几点:
1)在该企业的总公司以及分公司各建立一个新的计算机网络基础设施,将该企业内现有计算机以及外设连在一起工作。服务器、连接设备、综合布线等统一购买和配置,客户机应利用现有各部门的计算机,以保护原有投资和不影响正常工作。
2)该网络系统能实现资源共享,包括软件共享,文件共享,打印机共享。在外工作的员工可以透过internet安全访问企业资源,远程办公。
3)能高速接入Internet进行工作,收发邮件,浏览网页查找资料。建立企业对外网站,提供一个对外宣传的平台,提高企业知名度。
4)网络管理:控制不同权限的员工使用Internet的方式和范围,限制普通员工利用公司网络进行业务无关的活动。
5)安全性:对不同部门之间的相互访问作限制,防止非法访问,保护商业机密。预防计算机病毒,尽可能把病毒感染的几率降到最低。使用防火墙,防止来自互联网上的入侵,保障企业资源的安全。
6)可扩展性:考虑到企业的发展与以后规模的扩大,企业网络设计需预留扩展空间,以便今后的网络改造。
网络规划是对拟建网络的初步设计,应该遵循网络设计的一般原则和方法,并提出相应的解决方案为后续的设计和实现工作的依据。网络总体规划反映了网络设计“总体规划、分布实施”的网络建设原则,是从网络需求分析到网络具体设计之间必经的阶段,网络规划通过对企业网络需求的调查、分析、归纳,把企业现在和未来对网络的需求转换成对网络结构、功能、性能、协议等技术指标的具体要求。
该IT企业网络建设的目标,就是在总公司和分公司分别建设局域网,将互联网技术引入企业内部网,使用远程接入技术将公司与分公司之间连接起来,并使在外员工可随时接入公司网络,从而建立起统一、快捷、高效的中型Intranent系统,整个系统在安全、可靠、稳定的前提下,符合经济的原则,即实现合理的投入,最大的产出。总体设计如下:
1)以千兆以太网为主干网,利用第三层交换技术实现大型局域网的VLAN的划分。规划中服务器、信息中心采用千兆,与中心主交换机连接,其他部门采用100M网卡通过其他二级交换机接入主干网。
2)网络通过光纤接入 Internet/ChinaNET,在公网上建立虚拟专用网(VPN);通过采用 Web 技术和 Internet-VPN 技术以及信息加密技术实现电子商务。这样,可以提供远程拨号访问和通过Internet 访问两种方式,来实现全国各分支机构、相关部门以及公众对公司信息的限制性访问。
3)网络的安全机制:(1) 通过对网络设备的配置,控制访问列表等方式来加强网络的安全性措施;(2) 更重要的是,在内部网与公众网的结合处,采用先进的防火墙技术、代理服务器技术、以及 Web 服务器的口令验证、数据加密等技术实现网络的安全性
4)网络中心设立 WEB 应用服务器、E-MAIL 服务器、DNS 服务器、数据库服务器、文件服务器,实现 WEB 访问、Internet接入、E-MAIL 系统、域名解析、应用系统等各种功能。
1)实用性原则。计算机设备、服务器设备和网络设备在技术性能逐步提升的同时,其价格却在逐年下降。因此,不可能也没有必要实现所谓“一步到位”。所以,网络方案设计中应把握“够用”和“实用”原则。网络系统应采用成熟可靠的技术和设备,达到实用、经济和有效的目的。
2)前瞻性原则。在实用的基础上还可以具有一定的前瞻性,在网络结构上要做到能适应较长时期企业和网络技术的发展,不要在网络刚组建不久就发现很难实现某些较新的应用,或者根本不能应用目前的一些主流软件,这样势必造成企业网络资源的浪费。
3)开放性原则。网络系统应采用开放的标准和技术,如TCP/IP协议、IEEE802系列标准等。其目标首先是要有利于未来网络系统的扩充,其次还要有利于在需要时与外部网络互通。
4)可靠性原则。作为一个具有一定规模的中型企业。企业的网络不允许有异常情况发生,因为一旦网络发生异常情况,就会带来很大的损失。在这样的网络中,就要尽量使用冗余备份,当某个网络设备故障时,网络还可以零间断地继续工作,这样就很好的保障了企业网络的可靠性。
5)安全性原则。在企业网的设计中,安全性的设计是很重要的。每家企业都有自己的商业机密,如果这些机密被窃取,后果是不堪设想的。企业必须保护其网络系统,以避免受外来恶意性入侵,但也必须保留足够空间,使其主要经营之业务能顺利运作。倘若安全性系统保护企业免受病毒及骇客攻击,但却阻挠其服务客户及迈向电子商务脚步,那么此系统就已超越其权限了。网络安全应是永远以能符合企业经营目标的最大利益为优先考量。
6)可管理性原则。网络管理员能够在不改变系统运行的情况下对网络进行调整,不管网络设备的物理位置在何处,网络都应该是可以控制的。
7)可扩展性原则。网络总体设计不仅要考虑到近期目标,也要为企业以及网络的进一步发展留有余地。因此,需要统一规划和设计。网络系统应在规模和性能两方面具有良好的可扩展性。由于目前网络产品标准化程度较高,因此可扩展性要求基本不成问题。
网络协议是需要通信的计算机之间共同遵循的数据结构、语义和操作规则。网络协议常采用分层的体系结构。各协议层互相独立,下层提供上层某项功能的服务(一般有面向连接和无连接两类),上层利用该功能再向上提供更完善的服务。
目前,主要的协议体系结构有OSI族和TCP/IP族。它们的参考模型及各层的对应关系如图所示。
OSI协议族
OSI(开放系统互联参考模型)协议族是国际标准化组织(ISO)建议并主持制定的有广泛影响的网络互联协议。
1)物理层是第一层,它决定设备之间的物理接口以及在传输介质上比特传送的规则。
2)数据链路层是第二层,它的主要任务是加强物理层传输比特的可靠性。
3)网络层是第三成,它的主要功能是利用数据链路层所保证的邻接节点之间的无差错数据传输功能,通过路由选择和中继功能,实现两个端系统之间的连接。
4)传输层是第四层,它利用下三层所提供的网络服务向高层提供可靠的端到端的透明数据传输。
5)会话层是第五层,它提供一种经过组织的方法在用户之间交换数据。
6)表示层是第六层,它把上层交付的信息变换为能够共同理解的形式,它关心的是所传输的信息的语法和语义,它只对应用层信息的形式进行变换,但不改变信息内容本身。
7)应用层是第七层,它的功能是提供应用进程(用户程序)之间信息交换的基本任务。
TCP/IP协议族
TCP/IP协议族是广泛应用于计算机互联的业界标准。该协议族是一组独立的协议的集合,其中最主要的是TCP协议和IP协议。TCP/IP协议族亦采用层次化的结构模型,共包括四个层次
1)硬件接口层,TCP/IP协议族没有具体定义硬件层,因而它对各种各样的网络硬件具有高度的适应性,这正式它的成功之处。
2)网络层,它的主要功能是定义信息包(IP数据包)并处理信息包的路由选择。该层的主要协议有:IP、ARP、RARP。
3)传输层。它提供端到端的数据传输服务。该层的主要协议有:TCP、UDP。
4)应用层。它由使用网路的应用程序和进程组成。该层最接近用户,主要协议有SMTP、DNS、FTP、TELNET。
OSI强调的是如何把开放式系统连接起来的,它是一个理论上的参考模型。而TCP/IP框架包含了大量的协议和应用,他虽然不是ISO标准,但一致于ISO的OSI参考模型制定,并在不断发展过程中吸收了OSI模型中的概念及特征,它的使用已经越来越广泛,几乎成为“事实上的标准”,著名的Internet就是基于TCP/IP协议族的。
在总体上规划好企业网络之后,就要进入具体设计的阶段,这也是网络设计的最重要的环节。在这个阶段,要对该企业网络的拓扑结构、IP地址规划、子网划分、Internet接入等方面进行详细的规划与设计。
所谓拓扑是一种研究与大小、距离无关的几何图形特性的方法。网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式,网络中各站点相互连接的方法和形式称为网络拓扑。拓扑图给出网络服务器、工作站的网络配置和相互间的连接,它的结构主要有星型结构、总线结构、树型结构、网状结构、蜂窝状结构、分布式结构等。不同的连接方法网络的性能不同,局域网拓扑结构通常分为3种,分别是总线型、星型和环型。
该企业局域网网络主要采用了星型的拓扑结构,因为企业规模不大,所以在设计上只划分了两层来设计:核心层和接入层。总公司的工作站大约为200人,考虑到规模较大而且该总公司的业务比较重要,核心层的设计上采用了两台千兆三层交换机作一个冗余备份,在这两台三层交换机之间作链路聚合,就算其中一个核心交换机当机,也可以保证网络的瞬间恢复,大大增加了网络的可靠性。分公司由于规模较小,考虑到企业网络设计上的实用性与经济性原则,核心层的设计只使用一台千兆三层交换机。而在接入层的设计上,总分公司都使用多台二层交换机,100兆到桌面。服务器选择摆放在信息中心,以便管理。为了防止企业外部对内的攻击,在路由器外部安装硬件防火墙。
总公司网络拓扑图
分公司网络拓扑图
每台计算机、服务器、或者路由器的接口都有一个由授权机构分配的号码,我们称它为IP地址。TCP/IP协议规定,根据网络规模的大小将IP地址分为5类(A、B、C、D、E):
| A类 | 1.0.0.0~126.0.0.0 |
| B类 | 128.0.0.0~191.255.0.0 |
| C类 | 192.0.0.0~223.255.255.0 |
| D类 | 224.0.0.0~239.255.255.255 |
虽然有这么多IP地址,但是这些IP地址我们是不能随便用的,大多数的地址都被互联网专业机构注册并指定,在IP地址日益匮乏的今天,企业一般只能申请到几个公网地址。但是有部分的IP地址被特别区分出来用作私有网络使用,它们被称为私有IP地址:
| A类: | 10.0.0.0 ~ 10.255.255.255 |
| B类: | 172.16.0.0 ~ 172.31.255.255 |
| C类: | 192.168.0.0 ~ 192.168.255.255 |
该企业只有一个公网IP,考虑到内网计算机终端数量不多,该企业局域网IP使用C类私有地址进行分配。
对于局域网的 IP 地址分配问题,用户规模越大,管理工作就越困难,必须深思加以解决。目前一般来说有两种分配方案,一是使用动态 IP地址分配(DHCP),另一种方案是使用静态地址分配,但必须加强 MAC 地址的管理。用动态 IP 地址分配(DHCP)的最大优点是客户端网络的配置非常简单,在没有管理员的帮助和干预的情况下,用户自己便可以对网络进行连接设置。但是,因为 IP 地址是动态分配的,网管员不能从 IP 地址上鉴定客户的身份,相应的 IP 层管理将失去作用。而且使用动态 IP 地址分配需要设置额外 DHCP 服务器。使用静态 IP 地址分配可以对各部门进行合理的 IP 地址规划,能够在第三层上方便地跟踪管理,再加上对网卡 MAC 地址的管理,网络就会具有更好的可管理性。但如果网络规模较大,则 IP 地址管理的工作量就相当大。综合以上考虑,由于该企业的规模不是很大,因此从网络安全的角度出发,采用静态地址分配的方法。并结合核心交换机的第三层交换功能,进行子网的划分,一方面可以降低网络风暴的发生,另一方面也加强了网络的安全性。但当随着以后企业规模的不断扩大发展,整个网络信息的规模不断扩大,则可以考虑采用 DHCP 动态 IP 地址分配的方案,设立专门的 DHCP 服务器进行动态 IP 地址分配。同样可以基于中心交换机的 VLAN 功能进行配置,划分网段,根据各个二级单位信息点所在的网段进行动态地址分配。
该企业总公司有193人,分公司有99人。如果分别把各自所有的主机放到一个子网里,对企业的安全性管理极为不利,而且如果有站点更新(计算机的配置调整或增减计算机)或发生故障,大量的广播数据会严重影响网络的整体性能。因此必须对这些主机进行子网划分控制广播域的规模。
VLSM(Variable Length Subnet masks)变长子网掩码,是在标准的掩码上面再划分的子网的网络号码,不同子网的子网掩码可能有不同的长度,但一旦子网掩码的长度确定了,它们就不变了,这个技术对于高效分配IP地址。
由于该企业人数不多,如果给每个子网分配一个C类地址,就会造成IP地址的浪费,所以要采用可变长子网掩码技术对该企业局域网进行子网划分。该企业的子网是按照部门来划分的,基于可扩展性的原则,除了满足每个部门都能分到足够的IP地址外,还要为以后的人事调动、部门扩展等留有冗余的IP,否则可能会由于一些很小的人事变化就得重新划分子网。考虑到总公司与分公司之间要通过VPN技术远程互联,所以总公司与分公司的内网IP不能有重复。
总公司子网划分
| 部门 | 子网网络号 | 子网掩码 | 网关 |
| 开发部 | 192.168.0.0 | 255.255.255.128 | 192.168.0.126 |
| 工程部 | 192.168.0.128 | 255.255.255.192 | 192.168.0.190 |
| 业务部 | 192.168.0.192 | 255.255.255.192 | 192.168.0.253 |
| 人事部 | 192.168.1.0 | 255.255.255.224 | 192.168.1.30 |
| 商务部 | 192.168.1.32 | 255.255.255.224 | 192.168.1.62 |
| 财务部 | 192.168.1.64 | 255.255.255.240 | 192.168.1.78 |
| 信息中心 | 192.168.1.80 | 255.255.255.240 | 192.168.1.94 |
| 经理部 | 192.168.1.96 | 255.255.255.240 | 192.168.1.110 |
分公司子网划分
| 部门 | 子网网络号 | 子网掩码 | 网关 |
| 开发部 | 192.168.2.0 | 255.255.255.192 | 192.168.2.62 |
| 工程部 | 192.168.2.64 | 255.255.255.224 | 192.168.2.94 |
| 业务部 | 192.168.2.96 | 255.255.255.224 | 192.168.2.126 |
| 人事部 | 192.168.2.128 | 255.255.255.224 | 192.168.2.158 |
| 商务部 | 192.168.2.160 | 255.255.255.240 | 192.168.2.174 |
| 财务部 | 192.168.2.176 | 255.255.255.248 | 192.168.2.182 |
| 信息中心 | 192.168.2.184 | 255.255.255.248 | 192.168.2.190 |
| 经理部 | 192.168.2.192 | 255.255.255.248 | 192.168.2.198 |
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
我们已经为该企业划分了子网,不同的部门在不同的子网里,子网与子网之间不能访问,也控制了广播域太大的问题。这样看来好像不必要再划分VLAN了,其实不然,因为这样只作子网划分是存在安全性问题的。局域网内的任何用户只要稍微修改一下IP与子网掩码就可以访问到该企业的任何部门了。所以,我们必须在交换机上划分好VLAN,这样,只要加强对交换机的保护,不让一般员工改变交换机的配置,就算他们更改自己电脑的IP和子网掩码也无法访问到其它部门了。
VLAN有几种不同的划分方法:1.根据端口来划分VLAN。2.根据MAC地址划分VLAN。3.根据网络层划分VLAN。 4.根据IP组播划分VLAN。
该企业的VLAN我们采取根据端口来划分,这种划分方式是现在最常用的。只要把同一个部门的端口全部划分进同一个VLAN就行了,而且还可以进行跨交换机的端口VLAN划分,也就是说不同交换机上的端口也可以在同一个VLAN里,这样VLAN的划分就不必要受到物理空间的限制,具有很好的灵活性。今后如果有人事调动或者部门扩充,只要在交换机上作相应的配置就可以了。
处理VLAN时,交换机端口支持两种连接类型:接入链路(access link)与中继(trunk)。接入链路连接只能与单个VLAN相关,任何连接到该端口的任何设备将会在相同的广播域中。与接入链路不同,中继连接能为多个VLAN传送流量。中继链路一般在特点的设备之间,包括交换机到交换机,交换机到路由器,交换机到文件服务器等。
在该企业的VLAN端口配置中,各接入层的二层交换机与核心层的三层交换机之间的链路要配置成trunk链路,其他端口配置成access链路,这样VLAN信息就可以在各二层交换机之间传递,不同交换机但是同一个VLAN的用户就可以相互访问了。
VLAN部分配置摘录:
switch-1(config)#vlan 10 创建一个vlan(开发部)
switch-1(config-vlan)#name kaifabu 为此vlan取名
switch-1(config-vlan)#exit
switch-1(config)#int fa0/1 进入一个快速以太端口配置
switch-1(config-if)#switchport mode access 把该接口配置为access链路
switch-1(config-if)#switchport access vlan 1 把该端口加入vlan1
switch-1(config-if)#exit
switch-1(config)#int gig 2/1 进入千兆端口
switch-1(config-i}#switch mode trunk 把该端口配置为trunk链路
传统的以太网交换机工作在 OSI 模型的第二层上,数据流中的每个数据包通过源站点和目的站点的 MAC 地址时被识别。传统局域网交换机只在介质访问层(mac)处理数据包。它可理解网络协议的第二层如 MAC 地址等。交换机在操作过程中不断的收集资料去建立它本身的地址表,当交换机接收到一个数据包时,它会检查该包的目的 MAC 地址,核对一下自己的地址表以决定从哪个端口发送出去。这个工作用 ASIC(专用集成电路)芯片来做速度是非常快的,但同时由于它不察看数据包里的更多的内容,所以无法作出有关策略方面的判断,对数据流的控制能力不强。传统路由器工作在第三层上,数据流中的每个数据包通过源站点和目的站点的网络地址时被识别,路由技术可以有效地控制数据包,但转发包的速度太慢,同时路由器存在价格高等方面缺点。这种状况促使业界不得不去寻找一种新的方法,产生了“升级”技术──第三层交换技术。
第三层交换技术正是为了解决传统交换技术和路由器的缺陷而出现的,三层交换技术是在网络模型中的第三层实现了数据包的高速转发,第三层交换具有以下特征:
1) 执行路由处理
2) 转发基于第三层的业务流
3) 完成交换功能
4) 可以完成特殊服务,如报文过滤或访问控制
该企业各部门处于不同的VLAN中,某些部门之间是需要互相访问的,如果用传统的路由器来完成VLAN间互访,所有跨VLAN的数据必须通过路由器转发,路由的高延迟会引来用户对网络速度的抱怨,不使用三层交换技术的话,唯一的解决方法是添置昂贵的路由器,而随着日后企业不断扩大部门间的流量会更加增多,到时可能又要投入更多资金更换更贵的路由器,这不符合企业网络设计的可扩展性原则。
在该企业的网络核心层使用三层交换机,大大增快了网络的速度,充分利用了现有资源,降低了网络成本,增加了网络的可扩展性。而且,三层交换机还可以实现部分安全机制,它的访问列表的功能,可以实现不同VLAN间的单向或双向通讯。就像该企业的财务部,它既没有必要访问别的部门,出于安全考虑别的部门也不能访问财务部。而经理室应该可以访问所有的部门,但是别的部门是不可以访问他的……基于这些不同的访问需求,可在三层交换机上配置ACL语句加以限制。
该企业的三层交换机位于整个局域网的核心部分,企业上网的流量、VLAN间的流量、VPN产生的流量全部都要经过核心三层交换机进行转发,所以核心交换机的速度与稳定性非常重要。冗余链路是提高网络系统可用性的重要方法。目前的技术中,以链路聚合(Link Aggregation)技术应用最为广泛。
链路聚合技术亦称主干技术(Trunking)或捆绑技术(Bonding),其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路,称为一条聚合链路,简单地说就是把多个端口绑定成一个虚拟端口。采用链路聚合可以提高数据链路的带宽,捆绑起来的链路的带宽相当于物理链路带宽之和。链路聚合中,成员互相动态备份,当某一链路中断时,其它成员能够迅速接替其工作,这样就很好的保障了整个网络的稳定性。
三层交换部分配置摘录:
switch-1(config)#ip routing 启用交换机上的IP路由功能
switch-1(config)#router rip 指定IP路由协议为RIP
switch-1(config-router)#network 192.168.0.0
switch-1(config)#int vlan 10 通过使用VLAN接口命令制定虚拟接口
switch-1(config-if)#ip address 192.168.0.126 255.255.0.0
为开发部VLAN分配IP地址
switch-1(config-if)#no shutdown 开启接口
switch-1(config)#int vlan 20
switch-1(config-if)#ip address 192.168.1.78 255.255.0.0
为财务部VLAN分配IP地址
switch-1(config-if)#no shutdown
switch-1(config)#access-list 1 deny 192.168.0.0 0.0.255.255
switch-1(config)#access-list 1 permit any 配置ACL策略
switch-1(config)#int vlan 20
switch-1(config-if)#ip access-group 1 in 在财务部VLAN进入方向实施ACL策略
链路聚合部分配置摘录:
switch-1(config)#interface port-channel 1 创建一个逻辑端口通道
switch-1(config-if)#exit
switch-1(config)#interface gigabitethernet 1/1进入千兆端口
switch-1(config)#no switchport 转换为三层接口
switch-1(config)#no ip address 删除任何协议地址
switch-1(config)#channel-group 1 mod on 把该端口分配到通道1中
在完成了企业内部的网络设计之后,就进入了企业广域网的设计阶段,首先就是企业Internet接入的设计。现今企业对信息的需求急剧增加,信息量呈指数增长,通信业务也从电话、数据向视频、多媒体等宽带业务发展。以前的窄带网络已经不能满足企业宽带业务发展要求,迫切需要建立一个高宽带、业务发展受限制少的宽带业务网。一般现今比较流行的企业宽带接入方式有以下几种:ADSL、DDN、光纤等。
在该企业的Internet接入设计部分,我们采用FTTB+LAN的方式。Fiber To The Building(FTTB,光纤到楼),它是利用数字宽带技术,光纤直接到楼内机房,再通过高速以太网的形式到各个用户。FTTB方式将传统的语音信号和数据信号并网而行,是一种性价比最高的组网方式,采用的是专线接入,无需拨号,安装简便,可为用户提供一个多媒体网络环境以及低价高质的共享专线上因特网的方式。这种接入方式具有很多优势:网络上行下行速度高,而且可扩展度高;因为是光纤出口,所以网络可靠、稳定;可以使用固定IP,方便建立企业网站;性价比高,支持VPN技术等。
我们只要向ISP申请一条光纤接入Internet,把光纤拉到企业机房,将光纤接入光纤收发器或者直接接入带有光纤口的防火墙和路由器上,再把路由器用双绞线接到核心交换机上,然后分散接入到各部门交换机。这样,就实现了两种不同传输介质的企业网络的Internet接入方案。
在路由器上,我们除了要配置一条静态路由器指向ISP之外,我们还需要对内网IP地址做一个网络地址转换。地址转换最初主要用来解决是IP地址短缺的问题,后来地址转换技术有了更多的用途,逐渐显示出它的优势。地址转换设备提供几乎无限的地址空间并隐藏内部网络寻址方案;如果更改了ISP或与另一个公司合并,则可以保持当前的寻址方案,并在地址转换设备上作任何必要的改变,可使地址管理更容易;它还有一个显著的优点是允许严格控制进入和离开网络的流量,更容易实施安全和商业策略。
地址转换主要分为两种类型,网络地址转换(Network Address Translation,NAT)、端口地址转换(Port Address Translation,PAT)。在该企业的网络设计中,我们主要用到了PAT技术。PAT把许多内部IP地址转换成一个单独的IP地址,每一个内部地址通过给定一个不同的端口好来确定转换的唯一性。对于该企业的各计算机我们采用动态PAT技术进行地址转换,让路由器动态分配端口号给内部的计算机。而对于该企业的WEB服务器,我们采用静态PAT技术,这就相当于做了一个端口映射,使得企业外部可以访问到该企业内部的WEB服务器,即可以访问到该企业的网站。
PAT配置部分摘录:
Router(config)#access-list 1 permit 192.168.0.0 0.0.255.255
创建内部本地地址池
Router(config)#ip nat pool nat-pool 200.168.56.2 200.168.56.2 netmask 255.255.255.0 创建内部全局地址池
Router(config)#ip nat inside source list 1 pool nat-pool overload 加入overload实现PAT转换,全部本地地址共用一个外部地址
Router(config)#int FastEthernet0/0
Router(config-if)#ip nat inside 把fe0/0口配置为内部接口
Router(config)#int FastEthernet0/1
Router(config-if)#ip nat outside 把fe0/1口配置为外部接口
随着企业的收购和合并愈演愈烈,再加上企业自身的发展壮大与国际化,每家企业的分支机构不仅越来越多,而且它们的网络基础设施互不兼容也更为突出。以前各分支机构互访所采用的常规方法是租用专线,这样的连接方式一则要支付昂贵的通信费用,再则缺乏灵活性,对于企业地理位置的改变不能很好地适应。随着企业业务和自身应用需求的发展,企业之间的合作及企业与客户之间的联系也日趋紧密,且这些合作和联系都是动态的,总是处于变化和发展中,这种关系也需要靠网络来维持和加强。虽然Internet为企业广域网连接提供了物质基础,并且TCP/IP协议为网络的互联提供了极大的灵活性。但Internet有一个致命的弱点,那就是它的安全性。在Internet上传输的数据都是采用明文传输的,这就给一些非法用户以可乘之机,从而出现目前经常遇到的如:伪装欺骗、消息窃听、对话插队、拒绝服务等网络安全隐患。由此看来,Internet是一个开放的、不安全的网络,要想在这样一个不安全的网络上实现敏感数据的安全传输,就需要采用一些安全技术。在这样的背景下,一种基于公用网络的动态、安全的连接解决方案就成为时代之需,VPN就是这样一种网络连接技术。VPN技术的成功引入可以从根本上满足企业用户的低通信费和高灵活性的双重需求,更重要的是它可以提供与专线相媲美的通信安全保障,是一种非常廉价、安全、灵活自如的远程网络接入解决方案。
虚拟专用网(Virtual Private Network, VPN)是指在公共通信基础设施上构建的虚拟专用网,可以被认为是一种从公共网络中隔离出来的网络,它与真实网络的差别在于VPN以隔离方式通过共享公共通信基础设施,提供了不与VPN网外用户共享互联点的排他性网络通信环境。
VPN拓扑图
按VPN应用的类型来分,VPN应用业务大致可分为三类:Intranet VPN、Access VPN与Extranet VPN,一般的情况下企业需要同时用到这三种VPN。Access VPN是指企业员工或企业的小分支机构通过公网远程拨号的方式构建的虚拟网。Intranet VPN指企业的总部与分支机构间通过VPN虚拟网进行网络连接。Extranet VPN即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。
VPN具体实现形式多种多样,但都基于一种称作安全或者加密的隧道技术。这种技术可以用来提供网络到网络,主机到主机,或者主机到网络的安全连接。所谓隧道,实质上是一种封装,它通过将待传输的原始信息(协议x)经过加密和协议封装处理后再嵌套装入另一种协议(协议Y)的数据包送入网络中,像普通数据包一样进行传输,实现跨越公共网络传送私有数据包的目的。这里协议X称为被封装协议,协议Y称为封装协议,封装时一般还要加上特定的隧道控制信息,因此隧道协议的一般封装形式为(协议Y(隧道协议(协议X)))在实现基于Internet的VPN时,我们使用的封装协议为IP协议,相应的隧道协议称为IP隧道协议,其封装形式为(IP隧道协议(协议x)))。目前IP网上较为常见的隧道协议大致有两类:第二层隧道协议(包括PPTP, L2TP)和第三层隧道协议(包括GRE、IPSec, MPLS),它们的比较如下图:
根据比较可以看出L2TP等二层隧道协议适用于用户远程拨号上网访问远端总部资源;MPLS适用于骨干网络上大型企业的多分支机构建立自己私有专用网络,虽然具备Qos等其他协议所不具备的特性,但对用户设备要求比较高,而且目前还在完善中。IPSec协议是第三层的隧道协议,IPSec在IP层上对数据包进行安全处理,提供数据源、无连接数据完整性、数据机密性、抗重播和有限数据流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。因此,IPSec成为实现VPN的一种重要的方法,非常适用现有的网络状况,是中小型网络的首选方式。考虑到该企业的组网规模以及安全需求,我们也采用IPSec协议族组建VPN内联网。
根据VPN的应用平台可分为三类:软件平台、硬件平台、软硬件结合平台。软件VPN一般性能较差,适用于对数据连接速率较低要求不高,性能和安全性要求不强的小型企业。硬件VPN虽然有高速率高数据安全及通信性能的优点,但是它成本太高,中小型企业很难承受,通常是对于专业的VPN网络服务提供商来说选择这一平台较为合适。软硬结合VPN这种平台是最为通用的一种方式,它既具备了硬件平台的高性能、高安全性、同时也具有软件平台的灵活性,是目前绝大多数企业选用的VPN方案。对于我们要设计的这家企业来说,采用软硬件结合的这种VPN方式最适合不过了。
软硬件结合VPN也需要硬件方案的支持,目前主要有集中器、交换机、路由器、网关和防火墙等VPN方案。其中防火墙VPN方案是目前应用最广的一种VPN方案,它的优势主要体现在它的安全性方面,这一点从它的方案名称可以看出,它是采用防火墙设备作为VPN通信的主要设备,在传统的防火墙设备中嵌入VPN技术,就是的原来不是VPN这样的逻辑上一体的网络之间通信成为可能。
对于该企业的内联网构建,我们只要购买两台支持IPSec隧道协议的VPN防火墙,安装在总公司和分公司两个网络边界,然后对两台VPN防火墙进行相关配置,当建立起VPN连接后,这时总公司与分公司就相当于处于同一个局域网中,这些配置对于员工来说这是透明的。而对于出差办公或者SOHO办公的员工,进行VPN连接就必须在他们的计算机中安装配套的VPN接入软件,例如思科的VPN客户端产品EASYVPN,当要访问公司资源时,通过一些简单的配置,就可以进行远程拨号连接。企业合作伙伴的企业外联网与企业内联网VPN差不多,使用软件或者硬件接入均可,这要视乎企业合作的程度与时间长短而定,它与企业内联网的主要区别在于用户访问权限的设置,外联网用户通常只具备部分企业内部网访问资源的权限,所以我们要对VPN防火墙进行相关设置,以屏蔽企业内部网,确保需要保护的内部网资源的安全性。
VPN配置部分摘录:
Firewall1(config)#access-list 100 permit udp host 200.168.56.3 host 200.168.56.2 eq isakmp
Firewall1(config)#access-list 100 permit esp host 200.168.56.3 host 200.168.56.2 该ACL允许两防火墙之间的ISAKMP/IKE和ESP流量
Firewall1(config)#crypto isakmp policy 10
Firewall1(config-isakmp)#authentication pre-share
Firewall1(config-isakmp)#encryption 3des
Firewall1(config-isakmp)#group 2
Firewall1(config-isakmp)#lifetime 3600
Firewall1(config-isakmp)#exit
定义ISAKMP策略中的各种参数
Firewall1(config)#crypto isakmp key cisco123 address 200.168.56.3 指定预共享密钥,它必须与对方的密钥值相匹配
Firewall1(config)#access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
Firewall1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ACL101是加密ACL指定两方的流量被保护
Firewall1(config)#crypto ipsec transform-set Firewall2transform esp-sha-hmac esp-3des
IKE阶段2数据连接应该用ESP SHA数据包认证和ESP 3DES加密进行保护
Firewall1(config)#cryto map IPSECMAP 100 ipsec-isakmp
Firewall1(config-crypto-map)#match address 101
Firewall1(config-crypto-map)#set peer 200.168.56.3
Firewall1(config-crypto-map)#set transform-set Firewall2transform
Firewall1(config-crypto-map)#exit
配置加密映射中的条目100,指定被保护流量,远程对等体和用来保护流量的变换集
Firewall1(config)#int ethernet1
Firewall1(config-if)#ip access-group 100 in 在接口上应用保护ACL
Firewall1(config-if)#cryptp map IPSECMAP 激活加密映射
核心交换机选型
在本企业网络的设计中,对核心交换机的要求比较高,基于本网络的规模、用户当前的应用、当前网络技术、网络技术及应用的发展趋势,我们对用户中心交换机的性能要求作出如下归纳:中心交换机必须具备足够的端口,且应能够实现多种网络带宽及介质的连接能力;必须具备划分VLAN的功能和三层交换能力,而且要有扩展访问控制列表功能,以保证部门间安全访问;中心交换机应具备足够的千兆扩展能力,以便能对网络主干联接及中心交换机与重要服务器的联接能使用千兆以太网。
基于上述对本网络中心交换机性能要求的认识,我们推荐 Cisco Catalyst 3750 或者同等档次具有同等功能的交换机作为该网络的中心交换机。Cisco Catalyst 3750 系列智能以太网交换机是一种新型的企业级可堆叠多层交换机,可提供高可用性、可扩展性、安全性和可改进网络运营的管理能力。凭借一系列快速以太网和千兆位以太网配置,Catalyst 3750 系列可作为中型企业布线室的强大访问层交换机和中型网络的骨干网交换机。
接入层交换机选型
为方便跨交换机的VLAN划分,优化网络性能,简化网络拓扑结构,在网络设计中,接入层统一使用 Cisco 2950-24交换机。因为接入层交换机必须配置trunk口,所以802.1Q 必须使用,又要求性能必须稳定,所以对本项目而言 Cisco 2950-24 交换机是性价比最好的交换机。
路由器选型
对于路由器的品牌,我们推荐国际知名厂商 CISCO,或者为求便宜可以使用联想的路由器。而华为的路由器功能上不及 CISCO,但是现在价位上已经追上CISCO 了。在 CISCO 的产品中有很多不同的型号,在该方案中,我们采用CISCO 2600系列路由器。Cisco 2600 系列是一款屡获大奖的模块化多服务接入路由器系列,具有灵活的LAN 和 WAN 配置、多个安全性选项、语音/数据集成和一系列高性能处理器。这些特性使Cisco 2600 系列成为可满足当今及未来客户要求的理想企业路由器。
防火墙选型
因为该企业的网络设计使用到的IPSEC VPN技术是在防火墙上实现的,所以在防火墙的选择上一定要具备IPSEC VPN功能。除此以外,防火墙的安全保护能力一定要强大,吞吐量要够,而且必须具有很强的稳定性,以保障日常工作顺利进行。基于以上理由,我们推荐Cisco PIX 515E防火墙。
Cisco PIX 515E是被广泛采用的Cisco PIX 515平台的增强版本,它可以提供业界领先的状态防火墙和IP安全(IPSec)虚拟专用网服务。Cisco PIX 515E针对中小型企业和企业远程办公机构而设计,具有更强的处理能力和集成化的、基于硬件的IPSec加速功能。Cisco PIX 515E多功能的单机架单元(1RU)机箱可以支持六个接口,使之成为那些需要一个具有DMZ支持的、成本低廉的安全解决方案的企业的理想选择。作为全球领先的Cisco PIX 防火墙系列的一部分,它可以为今天的网络用户提供无以伦比的安全性、可靠性和性能。
5结论
在网络设计中,没有一种设计方案可以适合所有的网络。网络设计技术非常复杂而且更新很快,因此我们必须根据实际情况具体分析。作为网络设计者,有时负责从无到有实现网络结构设计,有时则不得不在现有的基础设施里融合进新技术。无论网络技术怎么发展变化,对每个网络来说,如此多的复杂协议进行交互都会产生唯一的结果,就是将数据送到目的地。
在本文中,我们按照计算机网络系统设计的一般原则和基本过程,开展了网络需求的调研分析,提出了网络系统的总体设计方案以及设计目标,采用层次化模型方法,将网络的结构分层为核心层和接入层,对该企业阐述了网络系统的物理设计和实现过程。该企业网络在功能性、安全性、可靠性、可管理性等方面完全符合企业所属各部门的工作需求,并具有一定的可扩展性,达到了预期的目标。在该项目中成功地应用了较为先进的VLAN、光纤接入、第三层交换、千兆核心交换、VPN远程接入等技术,使得网络系统在性能、安全性、可管理性、扩展性等方面领先于一般的企业网络。本规划设计方案只是一个计算机网络现状及网络安全的解决方案,在随后的分期分批的项目实施过程中,由于企业网络环境、以及网络应用系统的变化,会在细节上根据实际情况进行相应的调整,如:安装设备数量、设备安装具体地点等,只要在总的布局、要求以及标准上保持不变,实施之后就能够达到本方案的设计要求。
感谢我的论文指导教师肖涛老师,在我的论文撰写过程中多次给予指导,并细心地帮助我检查论文,提出修改意见,使我得以顺利完成学士论文。肖老师严谨的治学态度和优秀的做人的品格将让我终生受益匪浅。其次我要感谢我的计算机网络课程的授课教师何怀文老师,是他帮我打好了计算机网络知识的基础。
我还要向我的父母致以最诚挚的谢意,是你们的养育、期望和支持,使我顺利地完成学业。
最后,我还要感谢所有为我的论文提出指导意见的同学和朋友,他们的名字无法一一尽述,在此一并表示诚挚的感谢。
1.Richard Froom, Balaji Sivasubramanian, Erum Frahim.CCNP学习指南:组建Cisco多层交换网络(BCMSN).第二版.人民邮电出版社,2004
2.Richard A.Deal. Cisco路由器防火墙安全. 人民邮电出版社.2006
3.Cisco Systems公司, Cisco Networking Academy Program.思科网路技术学院教程网络安全基础.人民邮电出版社.2005
4.Catherine Paquet,Diane Teare.CCNP自学指南:组建可扩展的Cisco互联网络(BSCI).第二版.人民邮电出版社,2004
5.王达.虚拟专用网(VPN)精解.清华大学出版社.2004
![图表检测检测系统源码分享 # [一条龙教学YOLOV8标注好的数据集一键训练_70+全套改进创新点发刊_Web前端展示]](https://i-blog.csdnimg.cn/direct/6a5693b8d2104029863455b0d63c7a96.png#pic_center)
