企业远程网络接入技术的实现
作者姓名:XXX
专业名称:计算机通信
指导老师:XXX讲师
XXX讲师XXX助教
成都理工大学工程技术学院毕业论文摘要
随着Internet技术的日益普及,网络技术的飞速发展,企业信息化工作越来越受到重视,进入二十一世纪后,企业信息化不再满足于个人或单个部门的少量计算机应用,而逐步过渡到多部门、这个企业甚至跨企业跨地域的大量计算机的协同工作,因此我们需要把这些计算机用网络联系起来,这也就是我们所说的企业网。本文是对某IT企业的一个企业网络规划设计的解决方案,文章首先分析了企业网络的设计需求,根据需求提出了设计原则与设计目标,制定了总体的规划设计方案,然后再分层次具体地对该企业的局域网和广域网进行设计,在该方案中,我们采用了VLAN、三层交换、千兆交换、VPN等先进网络技术,基本满足了该企业的需求,并留有足够的扩充空间,以适应今后发展。关键词:企业网络规划设计
远程接入VPN
II成都理工大学工程技术学院毕业论文Abstract
Asthetechnologyofinternetincreasinglypopularizes,itisgettingmoreandmoreimportantthatthetechnologyofnetdevelopsatfullspeed,andtheworkofenterpriseisinformational.Nowitisthetwenty-firstcentury,theinformationalenterprisecan'tjustbesatisfiedbytheusingoffewcomputersinsinglepersonordepartment,ithastochangeintocoordinationoflargequantityonesinmoredepartmentslikethewholeenterprisestepbystep,evenintrans-enterpriseortrans-district.ThisthesisisadesignprojectforsolutiontothenetinoneITenterprise.First,itanalyzestheneedsofdesignfortheenterpriseaccordingtowhichitputsforwardthedesignprincipleandaimandformulatestheschemeofthewholedesignproject.Secondly,itdesignstheinternetparticularlyindifferentaspects.Inthisscheme,itusesadvancetechnologyofinternet,forinstance,VLAN,exchangeofthreelayers,thousand-trillionswitching,opticalfiberreceiving,VPNandsoon,tobasicallymeettheneedsoftheenterpriseandsaveenoughroomforexpandingtoadapttothedevelopmenthenceforward.
Keywords:enterprisenetwork,PlanningandDesign,RemoteAccess,VPN
III成都理工大学工程技术学院毕业论文目录摘要..................................................................................................................................IIAbstract...........................................................................................................................III目录...................................................................................................................................11前言................................................................................................................................22企业远程网络接入详解................................................................................................32.1概述....................................................................................................................32.2企业网络设计需求分析....................................................................................32.3远程接入技术的发展........................................................................................42.4远程接入的安全性............................................................................................43网络总体规划..............................................................................................................53.1企业网络设计目标............................................................................................53.2企业网络设计原则............................................................................................63.3网络设计相关协议说明....................................................................................74网络具体规划与设计.................................................................................................84.1网络结构拓扑图设计........................................................................................94.2IP地址规划......................................................................................................104.3基于VLSM的子网划分................................................................................124.4VLAN规划........................................................................................................124.5三层交换技术与链路聚合的应用.................................................................144.6Internet接入设计及地址转换技术应用...............................................174.7VPN远程接入设计............................................................................................194.8设备选型..........................................................................................................24总结.................................................................................................................................26致谢.................................................................................................................................27参考文献........................................................................................................................281成都理工大学工程技术学院毕业论文1前言目前,对于国内的部分企业而言,计算机技术的应用很大程度上还只是停留在单机应用的水平上,应用软件也只是办公软件和简单的数据应用。但是,随着计算机网络技术的不断发展与普及、企业信息化得逐步深入和企业自身发展需求日益增大,在充分利用现有资源、不需要很大投资的基础上,构建适合自身的情况、满足实际需求的网络系统是非常有必要的,也是切实可行的。
伴随着企业业务的不断扩大和跨地域性发展,传统的远程办公只能通过对需要远程访问的PC或便携式电脑安装客户端程序以及远程访问客户机驱动程序才能实现的方案已逐渐显示出其发展的局限性。
从最终用户的角度来看,最佳的远程访问解决方案必须能够随时随地通过任何硬件或软件平台迅速和易于访问的连接快速地获得企业信息。从系统管理员的角度来看,最佳的远程访问的关键所在。业务系统必须充分满足不同用户、不同系统配置、不同接入方式的需求,同时,对业务系统管理和维护必须具备一定的灵活性和简易性。
因此,理想的解决方案是通过便捷的Web浏览器的远程访问方案,这种方法需要最少的管理开销,用户随时能即时而容易地访问远程应用程序并操作数据。
因此,企业进行计算机网络的建设,不仅是信息社会发展的要求,也是自身发展所必须的。
2成都理工大学工程技术学院毕业论文2企业远程网络接入详解2.1概述
作为企业网络平台的一种有效的延伸,远程访问接入技术一直在我们的网络应用中扮演非常重要的角色。但远程接入既需要跨越地域局限,又需要足够的带宽。远程接入的原理是:将企业所需要的各种应用软件集中部署在服务器上发布,客户端无需安装任何软件。用户通过各种设备使用服务器上安装的各种应用程序。通过采用一种传输协议,把应用程序的人机交互逻辑与计算逻辑进行分离,能使用户获得本地使用一样的效果。访问服务器应用时,传输的都是矢量数据,没有真实数据传输,相当于把鼠标、键盘的延伸,安全性得到有效保证。用户可以随时、随地、以任何设备和任意的连接方式访问服务器资源,实时应用。
2.2企业网络设计需求分析
网络需求分析就是根据企业信息技术应用要求和企业的业务发展需求,结合企业现有设备状况和人员素质,较为全面地调查和分析企业在信息技术方面的技术需求,然后从网络建设的角度,将这些需求转换成构造网络系统以及网络系统能够提供服务的需求。
在网络需求分析过程中,网络系统用户往往从系统外部关注整个网络系统的功能和性能,而网络设计者往往从网络系统内部关注整个网络系统的技术和结构。因此,如何正确地将用户对网络系统功能和性能的需求转换成对网络系统技术和结构的需求并给予量化表示是网络需求分析的关键。
经过对该公司各个部门职能的分析以及调研,将系统需求归纳为如下几点:
1)在该企业的总公司以及分公司各建立一个新的计算机网络基础设施,将该企业内现有计算机以及外设连在一起工作。服务器、连接设备、综合布线等统一购买和配置,客户机应利用现有各部门的计算机,以保护原有投资和不影响正常工作。
3成都理工大学工程技术学院毕业论文2)该网络系统能实现资源共享,包括软件共享,文件共享,打印机共享。在外工作的员工可以透过Internet安全访问企业资源,远程办公。
3)能高速接入Internet进行工作,收发邮件,浏览网页查找资料。建立企业对外网站,提供一个对外宣传的平台,提高企业知名度。
4)网络管理:控制不同权限的员工使用Internet的方式和范围,限制普通员工利用公司网络进行业务无关的活动。
5)安全性:对不同部门之间的相互访问作限制,防止非法访问,保护商业机密。预防计算机病毒,尽可能把病毒感染的几率降到最低。使用防火墙,防止来自互联网上的入侵,保障企业资源的安全。
6)可扩展性:考虑到企业的发展与以后规模的扩大,企业网络设计需预留扩展空间,以便今后的网络改造。
2.3远程接入技术的发展
这种远程管理平台产品,在中国是2004年萌芽的,随后许多厂商把目标聚焦到这一块上,远程接入产品的厂商便雨后春笋般的出现。在中国,短短三年多的时间里,已经有三十多个远程接入技术的产品供商出现。2005年以前,是由国外的Citrix一枝独秀,占有80%以上的市场份额。从2005年下半年开始,以金万维、惠尔顿、瑞友、科迈、沟通为代表的厂商相继出现,瓦解了一枝独秀的局面,也就进入了激烈的竞争时代。随着虚拟化技术的发展,远程接入的模式发生了根本性的变化。包括与远程接入配合应用的接入安全审计和单点登录形成整体企业集中化应用解决方案。
2.4远程接入的安全性
针对远程接入的不断发展与完善,接入应用安全需求日益显现。TSAuditor(详见百度搜索:安全接入审计)针对所有远程接入应用而进行安全强化的应用方案。TSAuditor可以实现远程操作行为录像、安全策略报警、服务器自动保护。充分强化接入应用安全。
达到专业防火墙技术级别,可以让具体客户端在具体时间,拒绝还是允许访问某服务器或者某服务器上的应用程序,控制手段具
4成都理工大学工程技术学院毕业论文有客户端机器名、IP地址、MAC地址、综合算法后的硬件特征码等。
3网络总体规划网络规划是对拟建网络的初步设计,应该遵循网络设计的一般原则和方法,并提出相应的解决方案为后续的设计和实现工作的依据。网络总体规划反映了网络设计“总体规划、分布实施”的网络建设原则,是从网络需求分析到网络具体设计之间必经的阶段,网络规划通过对企业网络需求的调查、分析、归纳,把企业现在和未来对网络的需求转换成对网络结构、功能、性能、协议等技术指标的具体要求。
3.1企业网络设计目标
该IT企业网络建设的目标,就是在总公司和分公司分别建设局域网,将互联网技术引入企业内部网,使用远程接入技术将公司与分公司之间连接起来,并使在外员工可随时接入公司网络,从而建立起统一、快捷、高效的中型Intranent系统,整个系统在安全、可靠、稳定的前提下,符合经济的原则,即实现合理的投入,最大的产出。总体设计如下:
1)以千兆以太网为主干网,利用第三层交换技术实现大型局
域网的VLAN的划分。规划中服务器、信息中心采用千兆,与中心主交换机连接,其他部门采用100M网卡通过其他二级交换机接入主干网。
2)网络通过光纤接入Internet/ChinaNET,在公网上建立虚拟
专用网(VPN);通过采用Web技术和Internet-VPN技术以及信息加密技术实现电子商务。这样,可以提供远程拨号访问和通过Internet访问两种方式,来实现全国各分支机构、相关部门以及公众对公司信息的限制性访问。
3)网络的安全机制:(1)通过对网络设备的配置,控制访问列表等方式来加强网络的安全性措施;(2)更重要的是,在内部网与公众网的结合处,采用先进的防火墙技术、代理服务器技术、以及Web服务器的口令验证、数据加密等技术实现网络的安全性
4)网络中心设立WEB应用服务器、E-MAIL服务器、DNS服务
5成都理工大学工程技术学院毕业论文器、数据库服务器、文件服务器,实现WEB访问、Internet接入、E-MAIL系统、域名解析、应用系统等各种功能。
3.2企业网络设计原则
1)实用性原则。计算机设备、服务器设备和网络设备在技术性能逐步提升的同时,其价格却在逐年下降。因此,不可能也没有必要实现所谓“一步到位”。所以,网络方案设计中应把握“够用”和“实用”原则。网络系统应采用成熟可靠的技术和设备,达到实用、经济和有效的目的。
2)前瞻性原则。在实用的基础上还可以具有一定的前瞻性,在网络结构上要做到能适应较长时期企业和网络技术的发展,不要在网络刚组建不久就发现很难实现某些较新的应用,或者根本不能应用目前的一些主流软件,这样势必造成企业网络资源的浪费。
3)开放性原则。网络系统应采用开放的标准和技术,如TCP/IP协议、IEEE802系列标准等。其目标首先是要有利于未来网络系统的扩充,其次还要有利于在需要时与外部网络互通。
4)可靠性原则。作为一个具有一定规模的中型企业。企业的网络不允许有异常情况发生,因为一旦网络发生异常情况,就会带来很大的损失。在这样的网络中,就要尽量使用冗余备份,当某个网络设备故障时,网络还可以零间断地继续工作,这样就很好的保障了企业网络的可靠性。
5)安全性原则。在企业网的设计中,安全性的设计是很重要的。每家企业都有自己的商业机密,如果这些机密被窃取,后果是不堪设想的。企业必须保护其网络系统,以避免受外来恶意性入侵,但也必须保留足够空间,使其主要经营之业务能顺利运作。倘若安全性系统保护企业免受病毒及骇客攻击,但却阻挠其服务客户及迈向电子商务脚步,那么此系统就已超越其权限了。网络安全应是永远以能符合企业经营目标的最大利益为优先考量。
6)可管理性原则。网络管理员能够在不改变系统运行的情况下对网络进行调整,不管网络设备的物理位置在何处,网络都应该是可以控制的。
7)可扩展性原则。网络总体设计不仅要考虑到近期目标,也要为
6成都理工大学工程技术学院毕业论文企业以及网络的进一步发展留有余地。因此,需要统一规划和设计。网络系统应在规模和性能两方面具有良好的可扩展性。由于目前网络产品标准化程度较高,因此可扩展性要求基本不成问题。
3.3网络设计相关协议说明
网络协议是需要通信的计算机之间共同遵循的数据结构、语义和操作规则。网络协议常采用分层的体系结构。各协议层互相独立,下层提供上层某项功能的服务(一般有面向连接和无连接两类),上层利用该功能再向上提供更完善的服务。
目前,主要的协议体系结构有OSI族和TCP/IP族。它们的参考模型及各层的对应关系如图所示。
OSITCP/IP应用层表示层会话层传输层网络层数据链路层物理层
OSI协议族
OSI(开放系统互联参考模型)协议族是国际标准化组织(ISO)建议并主持制定的有广泛影响的网络互联协议。
1)物理层是第一层,它决定设备之间的物理接口以及在传输介质上比特传送的规则。
2)数据链路层是第二层,它的主要任务是加强物理层传输比特的可靠性。
3)网络层是第三成,它的主要功能是利用数据链路层所保证的邻接节点之间的无差错数据传输功能,通过路由选择和中继功能,实现两个端系统之间的连接。
4)传输层是第四层,它利用下三层所提供的网络服务向高层提供可
7应用层无对应层传输层网络层硬件接口层
成都理工大学工程技术学院毕业论文靠的端到端的透明数据传输。
5)会话层是第五层,它提供一种经过组织的方法在用户之间交换数据。
6)表示层是第六层,它把上层交付的信息变换为能够共同理解的形式,它关心的是所传输的信息的语法和语义,它只对应用层信息的形式进行变换,但不改变信息内容本身。
7)应用层是第七层,它的功能是提供应用进程(用户程序)之间信息交换的基本任务。TCP/IP协议族
TCP/IP协议族是广泛应用于计算机互联的业界标准。该协议族是一组独立的协议的集合,其中最主要的是TCP协议和IP协议。TCP/IP协议族亦采用层次化的结构模型,共包括四个层次
1)硬件接口层,TCP/IP协议族没有具体定义硬件层,因而它对各种各样的网络硬件具有高度的适应性,这正式它的成功之处。
2)网络层,它的主要功能是定义信息包(IP数据包)并处理信息包的路由选择。该层的主要协议有:IP、ARP、RARP。
3)传输层。它提供端到端的数据传输服务。该层的主要协议有:TCP、UDP。
4)应用层。它由使用网路的应用程序和进程组成。该层最接近用户,主要协议有SMTP、DNS、FTP、TELNET。
OSI强调的是如何把开放式系统连接起来的,它是一个理论上的参考模型。而TCP/IP框架包含了大量的协议和应用,他虽然不是ISO标准,但一致于ISO的OSI参考模型制定,并在不断发展过程中吸收了OSI模型中的概念及特征,它的使用已经越来越广泛,几乎成为“事实上的标准”,著名的Internet就是基于TCP/IP协议族的。
4网络具体规划与设计在总体上规划好企业网络之后,就要进入具体设计的阶段,这也是网络设计的最重要的环节。在这个阶段,要对该企业网络的拓扑结构、IP地址规划、子网划分、Internet接入等方面进行详细的规划与设计。8成都理工大学工程技术学院毕业论文4.1网络结构拓扑图设计
所谓拓扑是一种研究与大小、距离无关的几何图形特性的方法。网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式,网络中各站点相互连接的方法和形式称为网络拓扑。拓扑图给出网络服务器、工作站的网络配置和相互间的连接,它的结构主要有星型结构、总线结构、树型结构、网状结构、蜂窝状结构、分布式结构等。不同的连接方法网络的性能不同,局域网拓扑结构通常分为3种,分别是总线型、星型和环型。
该企业局域网网络主要采用了星型的拓扑结构,因为企业规模不大,所以在设计上只划分了两层来设计:核心层和接入层。总公司的工作站大约为200人,考虑到规模较大而且该总公司的业务比较重要,核心层的设计上采用了两台千兆三层交换机作一个冗余备份,在这两台三层交换机之间作链路聚合,就算其中一个核心交换机当机,也可以保证网络的瞬间恢复,大大增加了网络的可靠性。分公司由于规模较小,考虑到企业网络设计上的实用性与经济性原则,核心层的设计只使用一台千兆三层交换机。而在接入层的设计上,总分公司都使用多台二层交换机,100兆到桌面。服务器选择摆放在信息中心,以便管理。为了防止企业外部对内的攻击,在路由器外部安装硬件防火墙。
9成都理工大学工程技术学院毕业论文总公司网络拓扑图
图4.14.2IP地址规划
每台计算机、服务器、或者路由器的接口都有一个由授权机构分配的号码,我们称它为IP地址。TCP/IP协议规定,根据网络规模的大小将IP地址分为5类(A、B、C、D、E):表4.1
A类B类C类D类
1.0.0.0~126.0.0.0128.0.0.0~191.255.0.0192.0.0.0~223.255.255.0224.0.0.0~239.255.255.255
10成都理工大学工程技术学院毕业论文虽然有这么多IP地址,但是这些IP地址我们是不能随便用的,大多数的地址都被互联网专业机构注册并指定,在IP地址日益匮乏的今天,企业一般只能申请到几个公网地址。但是有部分的IP地址被特别区分出来用作私有网络使用,它们被称为私有IP地址:表4.2
A类B类C类
10.0.0.0~10.255.255.255172.16.0.0~172.31.255.255192.168.0.0~192.168.255.255
该企业只有一个公网IP,考虑到内网计算机终端数量不多,该企业局域网IP使用C类私有地址进行分配。
对于局域网的IP地址分配问题,用户规模越大,管理工作就越困难,必须深思加以解决。目前一般来说有两种分配方案,一是使用动态IP地址分配(DHCP),另一种方案是使用静态地址分配,但必须加强MAC地址的管理。用动态IP地址分配(DHCP)的最大优点是客户端网络的配置非常简单,在没有管理员的帮助和干预的情况下,用户自己便可以对网络进行连接设置。但是,因为IP地址是动态分配的,网管员不能从IP地址上鉴定客户的身份,相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。使用静态IP地址分配可以对各部门进行合理的IP地址规划,能够在第三层上方便地跟踪管理,再加上对网卡MAC地址的管理,网络就会具有更好的可管理性。但如果网络规模较大,则IP地址管理的工作量就相当大。综合以上考虑,由于该企业的规模不是很大,因此从网络安全的角度出发,采用静态地址分配的方法。并结合核心交换机的第三层交换功能,进行子网的划分,一方面可以降低网络风暴的发生,另一方面也加强了网络的安全性。但当随着以后企业规模的不断扩大发展,整个网络信息的规模不断扩大,则可以考虑采用DHCP动态IP地址分配的方案,设立专门的DHCP服务器进行动态IP地址分配。同样可以基于中心交换机的VLAN功能进行配置,划分网段,根据各个二级单位信息点所在的网段进行动态地址分配。
11成都理工大学工程技术学院毕业论文4.3基于VLSM的子网划分
该企业总公司有193人,分公司有99人。如果分别把各自所有的主机放到一个子网里,对企业的安全性管理极为不利,而且如果有站点更新(计算机的配置调整或增减计算机)或发生故障,大量的广播数据会严重影响网络的整体性能。因此必须对这些主机进行子网划分控制广播域的规模。
VLSM(VariableLengthSubnetmasks)变长子网掩码,是在标准的掩码上面再划分的子网的网络号码,不同子网的子网掩码可能有不同的长度,但一旦子网掩码的长度确定了,它们就不变了,这个技术对于高效分配IP地址。
由于该企业人数不多,如果给每个子网分配一个C类地址,就会造成IP地址的浪费,所以要采用可变长子网掩码技术对该企业局域网进行子网划分。该企业的子网是按照部门来划分的,基于可扩展性的原则,除了满足每个部门都能分到足够的IP地址外,还要为以后的人事调动、部门扩展等留有冗余的IP,否则可能会由于一些很小的人事变化就得重新划分子网。考虑到总公司与分公司之间要通过VPN技术远程互联,所以总公司与分公司的内网IP不能有重复。表4.3部门开发部工程部业务部人事部商务部财务部信息中心经理部
子网网络号192.168.0.0192.168.0.128192.168.0.192192.168.1.0192.168.1.32192.168.1.64192.168.1.80192.168.1.96
子网掩码255.255.255.128255.255.255.192255.255.255.192255.255.255.224255.255.255.224255.255.255.240255.255.255.240255.255.255.240
网关
192.168.0.126192.168.0.190192.168.0.253192.168.1.30192.168.1.62192.168.1.78192.168.1.94192.168.1.110
4.4VLAN规划
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟
12成都理工大学工程技术学院毕业论文工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
我们已经为该企业划分了子网,不同的部门在不同的子网里,子网与子网之间不能访问,也控制了广播域太大的问题。这样看来好像不必要再划分VLAN了,其实不然,因为这样只作子网划分是存在安全性问题的。局域网内的任何用户只要稍微修改一下IP与子网掩码就可以访问到该企业的任何部门了。所以,我们必须在交换机上划分好VLAN,这样,只要加强对交换机的保护,不让一般员工改变交换机的配置,就算他们更改自己电脑的IP和子网掩码也无法访问到其它部门了。
VLAN有几种不同的划分方法:1.根据端口来划分VLAN。2.根据MAC地址划分VLAN。3.根据网络层划分VLAN。4.根据IP组播划分VLAN。
该企业的VLAN我们采取根据端口来划分,这种划分方式是现在最常用的。只要把同一个部门的端口全部划分进同一个VLAN就行了,而且还可以进行跨交换机的端口VLAN划分,也就是说不同交换机上的端口也可以在同一个VLAN里,这样VLAN的划分就不必要受到物理空间的限制,具有很好的灵活性。今后如果有人事调动或者部门扩充,只要在交换机上作相应的配置就可以了。
处理VLAN时,交换机端口支持两种连接类型:接入链路(access
13成都理工大学工程技术学院毕业论文link)与中继(trunk)。接入链路连接只能与单个VLAN相关,任何连接到该端口的任何设备将会在相同的广播域中。与接入链路不同,中继连接能为多个VLAN传送流量。中继链路一般在特点的设备之间,包括交换机到交换机,交换机到路由器,交换机到文件服务器等。
在该企业的VLAN端口配置中,各接入层的二层交换机与核心层的三层交换机之间的链路要配置成trunk链路,其他端口配置成access链路,这样VLAN信息就可以在各二层交换机之间传递,不同交换机但是同一个VLAN的用户就可以相互访问了。
VLAN部分配置摘录:switch-1(config)#vlan10创建一个vlan(开发部)
switch-1(config-vlan)#namekaifabu为此vlan取名switch-1(config-vlan)#exitswitch-1(config)#intfa0/1进入一个快速以太端口配置
switch-1(config-if)#switchportmodeaccess把该接口配置为access链路
switch-1(config-if)#switchportaccessvlan1把该端口加入vlan1switch-1(config-if)#exitswitch-1(config)#intgig2/1进入千兆端口switch-1(config-i}#switchmodetrunk把该端口配置为trunk链路
4.5三层交换技术与链路聚合的应用
传统的以太网交换机工作在OSI模型的第二层上,数据流中的每个数据包通过源站点和目的站点的MAC地址时被识别。传统局域网交换机只在介质访问层(mac)处理数据包。它可理解网络协议的第二层如MAC地址等。交换机在操作过程中不断的收集资料去建立它本身的地址表,当交换机接收到一个数据包时,它会检查该包的目的MAC地址,核对一下自己的地址表以决定从哪个端口发送出去。这个工作用ASIC(专用集成电路)芯片来做速度是非常快的,但同时由于它不察看数据包里的更多的内容,所以无法作出有关策略方面的判断,
14成都理工大学工程技术学院毕业论文对数据流的控制能力不强。传统路由器工作在第三层上,数据流中的每个数据包通过源站点和目的站点的网络地址时被识别,路由技术可以有效地控制数据包,但转发包的速度太慢,同时路由器存在价格高等方面缺点。这种状况促使业界不得不去寻找一种新的方法,产生了“升级”技术──第三层交换技术。
第三层交换技术正是为了解决传统交换技术和路由器的缺陷而出现的,三层交换技术是在网络模型中的第三层实现了数据包的高速转发,第三层交换具有以下特征:1)执行路由处理
2)转发基于第三层的业务流3)完成交换功能
4)可以完成特殊服务,如报文过滤或访问控制
该企业各部门处于不同的VLAN中,某些部门之间是需要互相访问的,如果用传统的路由器来完成VLAN间互访,所有跨VLAN的数据必须通过路由器转发,路由的高延迟会引来用户对网络速度的抱怨,不使用三层交换技术的话,唯一的解决方法是添置昂贵的路由器,而随着日后企业不断扩大部门间的流量会更加增多,到时可能又要投入更多资金更换更贵的路由器,这不符合企业网络设计的可扩展性原则。
在该企业的网络核心层使用三层交换机,大大增快了网络的速度,充分利用了现有资源,降低了网络成本,增加了网络的可扩展性。而且,三层交换机还可以实现部分安全机制,它的访问列表的功能,可以实现不同VLAN间的单向或双向通讯。就像该企业的财务部,它既没有必要访问别的部门,出于安全考虑别的部门也不能访问财务部。而经理室应该可以访问所有的部门,但是别的部门是不可以访问他的……基于这些不同的访问需求,可在三层交换机上配置ACL语句加以限制。
该企业的三层交换机位于整个局域网的核心部分,企业上网的流量、VLAN间的流量、VPN产生的流量全部都要经过核心三层交换机进行转发,所以核心交换机的速度与稳定性非常重要。冗余链路是提高网络系统可用性的重要方法。目前的技术中,以链路聚合(LinkAggregation)技术应用最为广泛。
链路聚合技术亦称主干技术(Trunking)或捆绑技术(Bonding),其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路,
15成都理工大学工程技术学院毕业论文称为一条聚合链路,简单地说就是把多个端口绑定成一个虚拟端口。采用链路聚合可以提高数据链路的带宽,捆绑起来的链路的带宽相当于物理链路带宽之和。链路聚合中,成员互相动态备份,当某一链路中断时,其它成员能够迅速接替其工作,这样就很好的保障了整个网络的稳定性。
三层交换部分配置摘录:switch-1(config)#iprouting启用交换机上的IP路由功能
switch-1(config)#routerrip指定IP路由协议为RIP
switch-1(config-router)#network192.168.0.0switch-1(config)#intvlan10通过使用VLAN接口命令制定虚拟接口
switch-1(config-if)#ipaddress192.168.0.126255.255.0.0
为开发部
VLAN分配IP地址switch-1(config-if)#noshutdown开启接口
switch-1(config)#intvlan20
switch-1(config-if)#ipaddress192.168.1.78255.255.0.0
为财务部
VLAN分配IP地址
switch-1(config-if)#noshutdown
switch-1(config)#access-list1deny192.168.0.00.0.255.255switch-1(config)#access-list1permitany配置ACL策略
switch-1(config)#intvlan20
switch-1(config-if)#ipaccess-group1in在财务部VLAN进入方向实施ACL策略
链路聚合部分配置摘录:
switch-1(config)#interfaceport-channel1创建一个逻辑端口通道
16成都理工大学工程技术学院毕业论文switch-1(config-if)#exit
switch-1(config)#interfacegigabitethernet兆端口
switch-1(config)#noswitchport为三层接口
switch-1(config)#noipaddress何协议地址
switch-1(config)#channel-group1modon到通道1中
1/1进入千
转换删除任
把该端口分配
4.6Internet接入设计及地址转换技术应用
在完成了企业内部的网络设计之后,就进入了企业广域网的设计阶段,首先就是企业Internet接入的设计。现今企业对信息的需求急剧增加,信息量呈指数增长,通信业务也从电话、数据向视频、多媒体等宽带业务发展。以前的窄带网络已经不能满足企业宽带业务发展要求,迫切需要建立一个高宽带、业务发展受限制少的宽带业务网。一般现今比较流行的企业宽带接入方式有以下几种:ADSL、DDN、光纤等。
在该企业的Internet接入设计部分,我们采用FTTB+LAN的方式。FiberToTheBuilding(FTTB,光纤到楼),它是利用数字宽带技术,光纤直接到楼内机房,再通过高速以太网的形式到各个用户。FTTB方式将传统的语音信号和数据信号并网而行,是一种性价比最高的组网方式,采用的是专线接入,无需拨号,安装简便,可为用户提供一个多媒体网络环境以及低价高质的共享专线上因特网的方式。这种接入方式具有很多优势:网络上行下行速度高,而且可扩展度高;因为是光纤出口,所以网络可靠、稳定;可以使用固定IP,方便建立企业网站;性价比高,支持VPN技术等。
我们只要向ISP申请一条光纤接入Internet,把光纤拉到企业机房,将光纤接入光纤收发器或者直接接入带有光纤口的防火墙和路由器上,再把路由器用双绞线接到核心交换机上,然后分散接入到各部门交换机。这样,就实现了两种不同传输介质的企业网络的Internet接入方案。
在路由器上,我们除了要配置一条静态路由器指向ISP之外,我们还需要对内网IP地址做一个网络地址转换。地址转换最初主要用来解
17成都理工大学工程技术学院毕业论文决是IP地址短缺的问题,后来地址转换技术有了更多的用途,逐渐显示出它的优势。地址转换设备提供几乎无限的地址空间并隐藏内部网络寻址方案;如果更改了ISP或与另一个公司合并,则可以保持当前的寻址方案,并在地址转换设备上作任何必要的改变,可使地址管理更容易;它还有一个显著的优点是允许严格控制进入和离开网络的流量,更容易实施安全和商业策略。
地址转换主要分为两种类型,网络地址转换(NetworkAddressTranslation,NAT)、端口地址转换(PortAddressTranslation,PAT)。在该企业的网络设计中,我们主要用到了PAT技术。PAT把许多内部IP地址转换成一个单独的IP地址,每一个内部地址通过给定一个不同的端口好来确定转换的唯一性。对于该企业的各计算机我们采用动态PAT技术进行地址转换,让路由器动态分配端口号给内部的计算机。而对于该企业的WEB服务器,我们采用静态PAT技术,这就相当于做了一个端口映射,使得企业外部可以访问到该企业内部的WEB服务器,即可以访问到该企业的网站。
PAT配置部分摘录:
Router(config)#access-list1permit192.168.0.00.0.255.255创建内部本地地址池
Router(config)#ipnatpoolnat-pool200.168.56.2200.168.56.2netmask255.255.255.0创建内部全局地址池
Router(config)#ipnatinsidesourcelist1poolnat-pooloverload加入overload实现PAT转换,全部本地地址共用一个外部地址
Router(config)#intFastEthernet0/0Router(config-if)#ipnatinside把fe0/0口配置为内部接口
Router(config)#intFastEthernet0/1Router(config-if)#ipnatoutside把fe0/1口配置为外部接口
18成都理工大学工程技术学院毕业论文4.7VPN远程接入设计
随着企业的收购和合并愈演愈烈,再加上企业自身的发展壮大与国际化,每家企业的分支机构不仅越来越多,而且它们的网络基础设施互不兼容也更为突出。以前各分支机构互访所采用的常规方法是租用专线,这样的连接方式一则要支付昂贵的通信费用,再则缺乏灵活性,对于企业地理位置的改变不能很好地适应。随着企业业务和自身应用需求的发展,企业之间的合作及企业与客户之间的联系也日趋紧密,且这些合作和联系都是动态的,总是处于变化和发展中,这种关系也需要靠网络来维持和加强。虽然Internet为企业广域网连接提供了物质基础,并且TCP/IP协议为网络的互联提供了极大的灵活性。但Internet有一个致命的弱点,那就是它的安全性。在Internet上传输的数据都是采用明文传输的,这就给一些非法用户以可乘之机,从而出现目前经常遇到的如:伪装欺骗、消息窃听、对话插队、拒绝服务等网络安全隐患。由此看来,Internet是一个开放的、不安全的网络,要想在这样一个不安全的网络上实现敏感数据的安全传输,就需要采用一些安全技术。在这样的背景下,一种基于公用网络的动态、安全的连接解决方案就成为时代之需,VPN就是这样一种网络连接技术。VPN技术的成功引入可以从根本上满足企业用户的低通信费和高灵活性的双重需求,更重要的是它可以提供与专线相媲美的通信安全保障,是一种非常廉价、安全、灵活自如的远程网络接入解决方案。
虚拟专用网(VirtualPrivateNetwork,VPN)是指在公共通信基础设施上构建的虚拟专用网,可以被认为是一种从公共网络中隔离出来的网络,它与真实网络的差别在于VPN以隔离方式通过共享公共通信基础设施,提供了不与VPN网外用户共享互联点的排他性网络通信环境。
19成都理工大学工程技术学院毕业论文VPN拓扑图
图4.2按VPN应用的类型来分,VPN应用业务大致可分为三类:IntranetVPN、AccessVPN与ExtranetVPN,一般的情况下企业需要同时用到这三种VPN。AccessVPN是指企业员工或企业的小分支机构通过公网远程拨号的方式构建的虚拟网。IntranetVPN指企业的总部与分支机构间通过VPN虚拟网进行网络连接。ExtranetVPN即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。
VPN具体实现形式多种多样,但都基于一种称作安全或者加密的隧道技术。这种技术可以用来提供网络到网络,主机到主机,或者主机到网络的安全连接。所谓隧道,实质上是一种封装,它通过将待传输的原始信息(协议x)经过加密和协议封装处理后再嵌套装入另一种协议(协议Y)的数据包送入网络中,像普通数据包一样进行传输,实现跨越
20成都理工大学工程技术学院毕业论文公共网络传送私有数据包的目的。这里协议X称为被封装协议,协议Y称为封装协议,封装时一般还要加上特定的隧道控制信息,因此隧道协议的一般封装形式为(协议Y(隧道协议(协议X)))在实现基于Internet的VPN时,我们使用的封装协议为IP协议,相应的隧道协议称为IP隧道协议,其封装形式为(IP隧道协议(协议x)))。目前IP网上较为常见的隧道协议大致有两类:第二层隧道协议(包括PPTP,L2TP)和第三层隧道协议(包括GRE、IPSec,MPLS),它们的比较如下图:
图4.321成都理工大学工程技术学院毕业论文根据比较可以看出L2TP等二层隧道协议适用于用户远程拨号上网访问远端总部资源;MPLS适用于骨干网络上大型企业的多分支机构建立自己私有专用网络,虽然具备Qos等其他协议所不具备的特性,但对用户设备要求比较高,而且目前还在完善中。IPSec协议是第三层的隧道协议,IPSec在IP层上对数据包进行安全处理,提供数据源、无连接数据完整性、数据机密性、抗重播和有限数据流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。因此,IPSec成为实现VPN的一种重要的方法,非常适用现有的网络状况,是中小型网络的首选方式。考虑到该企业的组网规模以及安全需求,我们也采用IPSec协议族组建VPN内联网。
根据VPN的应用平台可分为三类:软件平台、硬件平台、软硬件结合平台。软件VPN一般性能较差,适用于对数据连接速率较低要求不高,性能和安全性要求不强的小型企业。硬件VPN虽然有高速率高数据安全及通信性能的优点,但是它成本太高,中小型企业很难承受,通常是对于专业的VPN网络服务提供商来说选择这一平台较为合适。软硬结合VPN这种平台是最为通用的一种方式,它既具备了硬件平台的高性能、高安全性、同时也具有软件平台的灵活性,是目前绝大多数企业选用的VPN方案。对于我们要设计的这家企业来说,采用软硬件结合的这种VPN方式最适合不过了。
软硬件结合VPN也需要硬件方案的支持,目前主要有集中器、交换机、路由器、网关和防火墙等VPN方案。其中防火墙VPN方案是目前应用最广的一种VPN方案,它的优势主要体现在它的安全性方面,这一点从它的方案名称可以看出,它是采用防火墙设备作为VPN通信的主要设备,在传统的防火墙设备中嵌入VPN技术,就是的原来不是VPN这样的逻辑上一体的网络之间通信成为可能。
对于该企业的内联网构建,我们只要购买两台支持IPSec隧道协议的VPN防火墙,安装在总公司和分公司两个网络边界,然后对两台VPN防火墙进行相关配置,当建立起VPN连接后,这时总公司与分公司就相当于处于同一个局域网中,这些配置对于员工来说这是透明的。而对于出差办公或者SOHO办公的员工,进行VPN连接就必须在他们的计算机中安装配套的VPN接入软件,例如思科的VPN客户端产品
22成都理工大学工程技术学院毕业论文EASYVPN,当要访问公司资源时,通过一些简单的配置,就可以进行远程拨号连接。企业合作伙伴的企业外联网与企业内联网VPN差不多,使用软件或者硬件接入均可,这要视乎企业合作的程度与时间长短而定,它与企业内联网的主要区别在于用户访问权限的设置,外联网用户通常只具备部分企业内部网访问资源的权限,所以我们要对VPN防火墙进行相关设置,以屏蔽企业内部网,确保需要保护的内部网资源的安全性。
VPN配置部分摘录:
Firewall1(config)#access-list100permitudphost200.168.56.3host200.168.56.2eqisakmp
Firewall1(config)#access-list100permitesphost200.168.56.3host200.168.56.2该ACL允许两防火墙之间的ISAKMP/IKE和ESP流量
Firewall1(config)#cryptoisakmppolicy10
Firewall1(config-isakmp)#authenticationpre-shareFirewall1(config-isakmp)#encryption3desFirewall1(config-isakmp)#group2
Firewall1(config-isakmp)#lifetime3600Firewall1(config-isakmp)#exit
定义ISAKMP策略中的各种参数
Firewall1(config)#cryptoisakmpkeycisco123address200.168.56.3指定预共享密钥,它必须与对方的密钥值相匹配
Firewall1(config)#access-list101permitip192.168.0.00.0.0.255192.168.2.00.0.0.255
Firewall1(config)#access-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255ACL101是加密ACL指定两方的流量被保护
Firewall1(config)#cryptoipsectransform-setFirewall2transformesp-sha-hmacesp-3des
IKE阶段2数据连接应该用ESPSHA数据包认证和ESP3DES加密进行保护
Firewall1(config)#crytomapIPSECMAP100ipsec-isakmp
23成都理工大学工程技术学院毕业论文Firewall1(config-crypto-map)#matchaddress101Firewall1(config-crypto-map)#setpeer200.168.56.3
Firewall1(config-crypto-map)#settransform-setFirewall2transformFirewall1(config-crypto-map)#exit
配置加密映射中的条目100,指定被保护流量,远程对等体和用来保护流量的变换集
Firewall1(config)#intethernet1
Firewall1(config-if)#ipaccess-group100in在接口上应用保护ACL
Firewall1(config-if)#cryptpmapIPSECMAP激活加密映射
4.8设备选型
核心交换机选型
在本企业网络的设计中,对核心交换机的要求比较高,基于本网络的规模、用户当前的应用、当前网络技术、网络技术及应用的发展趋势,我们对用户中心交换机的性能要求作出如下归纳:中心交换机必须具备足够的端口,且应能够实现多种网络带宽及介质的连接能力;必须具备划分VLAN的功能和三层交换能力,而且要有扩展访问控制列表功能,以保证部门间安全访问;中心交换机应具备足够的千兆扩展能力,以便能对网络主干联接及中心交换机与重要服务器的联接能使用千兆以太网。
基于上述对本网络中心交换机性能要求的认识,我们推荐CiscoCatalyst3750或者同等档次具有同等功能的交换机作为该网络的中心交换机。CiscoCatalyst3750系列智能以太网交换机是一种新型的企业级可堆叠多层交换机,可提供高可用性、可扩展性、安全性和可改进网络运营的管理能力。凭借一系列快速以太网和千兆位以太网配置,Catalyst3750系列可作为中型企业布线室的强大访问层交换机和中型网络的骨干网交换机。
接入层交换机选型
为方便跨交换机的VLAN划分,优化网络性能,简化网络拓扑结
24成都理工大学工程技术学院毕业论文构,在网络设计中,接入层统一使用Cisco2950-24交换机。因为接入层交换机必须配置trunk口,所以802.1Q必须使用,又要求性能必须稳定,所以对本项目而言Cisco2950-24交换机是性价比最好的交换机。
路由器选型
对于路由器的品牌,我们推荐国际知名厂商CISCO,或者为求便宜可以使用联想的路由器。而华为的路由器功能上不及CISCO,但是现在价位上已经追上CISCO了。在CISCO的产品中有很多不同的型号,在该方案中,我们采用CISCO2600系列路由器。Cisco2600系列是一款屡获大奖的模块化多服务接入路由器系列,具有灵活的LAN和WAN配置、多个安全性选项、语音/数据集成和一系列高性能处理器。这些特性使Cisco2600系列成为可满足当今及未来客户要求的理想企业路由器。
防火墙选型
因为该企业的网络设计使用到的IPSECVPN技术是在防火墙上实现的,所以在防火墙的选择上一定要具备IPSECVPN功能。除此以外,防火墙的安全保护能力一定要强大,吞吐量要够,而且必须具有很强的稳定性,以保障日常工作顺利进行。基于以上理由,我们推荐CiscoPIX515E防火墙。
CiscoPIX515E是被广泛采用的CiscoPIX515平台的增强版本,它可以提供业界领先的状态防火墙和IP安全(IPSec)虚拟专用网服务。CiscoPIX515E针对中小型企业和企业远程办公机构而设计,具有更强的处理能力和集成化的、基于硬件的IPSec加速功能。CiscoPIX515E多功能的单机架单元(1RU)机箱可以支持六个接口,使之成为那些需要一个具有DMZ支持的、成本低廉的安全解决方案的企业的理想选择。作为全球领先的CiscoPIX防火墙系列的一部分,它可以为今天的网络用户提供无以伦比的安全性、可靠性和性能。
25成都理工大学工程技术学院毕业论文总结在网络设计中,没有一种设计方案可以适合所有的网络。网络设计技术非常复杂而且更新很快,因此我们必须根据实际情况具体分析。作为网络设计者,有时负责从无到有实现网络结构设计,有时则不得不在现有的基础设施里融合进新技术。无论网络技术怎么发展变化,对每个网络来说,如此多的复杂协议进行交互都会产生唯一的结果,就是将数据送到目的地。
在本文中,我们按照计算机网络系统设计的一般原则和基本过程,开展了网络需求的调研分析,提出了网络系统的总体设计方案以及设计目标,采用层次化模型方法,将网络的结构分层为核心层和接入层,对该企业阐述了网络系统的物理设计和实现过程。该企业网络在功能性、安全性、可靠性、可管理性等方面完全符合企业所属各部门的工作需求,并具有一定的可扩展性,达到了预期的目标。在该项目中成功地应用了较为先进的VLAN、光纤接入、第三层交换、千兆核心交换、VPN远程接入等技术,使得网络系统在性能、安全性、可管理性、扩展性等方面领先于一般的企业网络。本规划设计方案只是一个计算机网络现状及网络安全的解决方案,在随后的分期分批的项目实施过程中,由于企业网络环境、以及网络应用系统的变化,会在细节上根据实际情况进行相应的调整,如:安装设备数量、设备安装具体地点等,只要在总的布局、要求以及标准上保持不变,实施之后就能够达到本方案的设计要求。
26成都理工大学工程技术学院毕业论文致谢论文完成之际,心里也是长出了一口气。在此特别感谢胡晓玲老师、周玲老师和陆利刚老师在毕业设计阶段给自己的指导,从最初的选题,到资料收集,到写作,修改,到论文的定稿,老师都给了我耐心的指导和无私的帮助。为了指导我们的毕业论文,他放弃了自己的休息时间,时常在周末帮我们解答论文上的疑问,这种无私奉献的敬业精神令人钦佩,在此我向陆利刚老师表示我诚挚的谢意。同时,也感谢所有的任课老师在这四年来给我的指导和帮助,是他们教会了我专业知识,教会了我如何学习,才有了这篇论文的顺利完成。正是由于他们,我才能在各方面取得显著进步,在此向他们表示我由衷的谢意,并祝所有的老师身体健康,工作顺利,培养出越来越多的优秀人才,桃李满天下!
最后再一次感谢所有在毕业论文中曾经帮助过我的良师益友,以及在论文中被我引用或者参考论著的作者。
由于本人学术水平有限,论文难免存在不足之处,欢迎各位老师及学友批评和指导。
27成都理工大学工程技术学院毕业论文参考文献
1:RichardA.Deal.Cisco路由器防火墙安全.人民邮电出版社.2006
2:CiscoSystems公司,CiscoNetworkingAcademyProgram.思科网路技术学院教程网络安全基础.人民邮电出版社.2005
3:CatherinePaquet,DianeTeare.CCNP自学指南:组建可扩展的Cisco互联网络(BSCI).第二版.人民邮电出版社,2004
4:王达.虚拟专用网(VPN)精解.清华大学出版社.2004
28成都理工大学工程技术学院毕业论文29
因篇幅问题不能全部显示,请点此查看更多更全内容