《通信专业—毕业设计gopj.docx》由会员分享,可在线阅读,更多相关《通信专业—毕业设计gopj.docx(56页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、成都理工大学工程技术学院毕业论文企业网远远程接入入技术的的实现作者姓名名:专业名称称:计算算机通信信指导教师师:企业网远程接入技术的实现摘要作为企业业网络平平台的一一种有效效的延伸伸,远程程访问接接人技术术一直在在网络应应用中扮扮演着非非常重要要的角色色。它克克服了局局域网络络技术在在覆盖范范围和接接人形式式上的局局限性,使使网络用用户在局局域网络络范围之之外也能能够方便便地随时时访问企企业的网网络平台台。本文是对对某ITT企业的的一个企企业网络络规划设设计的解解决方案案,文章章首先分分析了企企业网络络的设计计需求,根根据需求求提出了了设计原原则与设设计目标标,制定定了总体体的规划划设计方方案
2、,然然后再分分层次具具体地对对该企业业的局域域网和广广域网进进行设计计,在该该方案中中,我们们采用了了VLAAN、三三层交换换、千兆兆交换、光光纤接入入、VPPN等先先进网络络技术,基基本满足足了该企企业的需需求,并并留有足足够的扩扩充空间间,以适适应今后后发展。关键词:企业网网络规划划设计 远程接接入 VVPN- 55AbsttracctAs eenteerprrisee neetwoork plaatfoorm of a kkindd off efffecctivve eexteensiionss, rremoote acccesss piick up perrsonn haas bbee
3、nn inn thhe nnetwworkk apppliicattionns ttechhnollogyy pllayss a verry iimpoortaant rolle. It oveercoome thee loocall arrea nettworrk ttechhnollogyy inn cooverragee annd ppickk upp peersoon iin tthe forrm oof tthe limmitaatioons, annd mmakee thhe nnetwworkk usserss inn thhe llocaal aareaa neetwoork
4、outtsidde tthe scoope of alsso iis cconvveniientt too acccesss eenteerprrisee neetwoork plaatfoorm at anyy tiime. Thiss thhesiis iis aa deesiggn pprojjectt foor ssoluutioon tto tthe nett inn onne IIT eenteerprrisee. FFirsst, it anaalyzzes thee neeedss off deesiggn ffor thee ennterrpriise acccordding
5、g too whhichh itt puuts forrwarrd tthe dessignn prrincciplle aand aimm annd fformmulaatess thhe sscheeme of thee whholee deesiggn pprojjectt. SSecoondlly, it dessignns tthe intternnet parrticculaarlyy inn diiffeerennt aaspeectss. IIn tthiss scchemme, it usees aadvaancee teechnnoloogy of intternnet,
6、foor iinsttancce, VLAAN, excchannge of thrree layyerss, tthouusannd-ttrilllioon sswittchiing, oppticcal fibber recceivvingg, VVPN andd soo onn, tto bbasiicallly meeet tthe neeeds of thee ennterrpriise andd saave enooughh rooom forr exxpanndinng tto aadappt tto tthe devveloopmeent henncefforwwardd.Ke
7、ywwordds:entterpprisse nnetwworkk,Remmotee Acccesss,VPNN目录摘要IAbsttracctIII目录IIII前言51企业网网远程接入技技术61.1根根据实际际分析企企业网61.2企企业要求求实现的的技术62网络总总体规划划82.1企企业网络络设计要领82.2VVPN技技术的实实现92.3配配置VPPN服务务器1003网络具具体规划划与设计计123.1网网络拓扑扑图123.2 IP地地址的规划1443.3基基于VLLSM的的子网划划分1663.4在在VPNN服务器器的外网卡上上添加相相关协议议173.5三三层交换换技术与链链路聚合合的应用用18
8、3.6IInteerneet接入入及地址转换换213.7VVPN服服务器设设置用户拨入入并授权权233.8设设备选型型28总结300致谢311参考文献献32前言远程访问问接入技技术一直直在网络络应用中中扮演着着非常重重要的角角色。VVPN技技术在这这方面可可以发挥挥很大作作用。远远程访问问技术首首先解决决的问题题就是地地域的局局限。用用户不再再需要处处于企业业局域网网络平台台覆盖范范围之内内,通过过局域网网接入方方式来访访问企业业网络应应用服务务 此外外,远程程访问技技术解决决的另一一个问题题是灵活活性,不不论片jj户身在在何处,均均能够利利用远程程访问技技术接入入到企业业内部网网络平台台。正
9、因为要要实现这这些目标标,远程程访问技技术必须须要使用用公共传传输媒介介。换句句话说,企企业私有有网络平平台是无无法实现现该功能能的,解解决方案案就是利利用Innterrnett作为传传输载体体,采用用VPNN技术,实实现企业业网远程程接入技技术。VPN(Virrtuaal PPrivvatee Neetwoork)是指通通过综合合利用网网络技术术、访问问控制技技术和加加密技术术,并通通过一定定的用户户管理机机制,在在公共网网络中建建立起安安全的”专用”网络,保保证数据据在”加密通通道”中进行行安全传传输的技技术。当当移动用用户或远远程用户户通过拨拨号方式式远程访访问公司司或企业业内部专专用网
10、络络时,采采用传统统的远程程访问方方式通讯讯费用比比较高,且且在与内内部专用用网络中中的计算算机进行行数据传传输时,不不能保证证通信安安全性。为为了避免免以上的的问题,通通过拨号号与企业业内部专专用网络络建立VVPN连连接是一一个理想想的选择择。1企业网网远程接接入技术术企业网络络指的是是具有一一定规模模的网络络系统,它它可以是是单座建建筑物内内的局域域网,可可以是覆覆盖一个个园区的的园区网网,还可可以是跨跨地区的的广域网网,其覆覆盖范围围可以是是几公里里、几十十公里、几几百公里里,甚至至更广。狭狭义的企企业网主主要指大大型的工工业、商商业、金金融、交交通企业业等各类类公司和和企业的的计算机机
11、网络;广义的的企业网网则包括括各种科科研、教教育部门门和政府府部门专专有的信信息网络络。我国的企企业网络络建设经经过了单单机应用用阶段,目目前正处处在Innterrnett应用热热潮中。但但从目前前情况看看国内相相当多的的企业还还处于网网络初步步应用阶阶段,其其具有以以下特点点:1应应用水平平较低,分分散且不不一致。企企业网络络缺乏整整体性的的设计,没没有统一一的标准准,在业业务互相相衔接的的应用系系统之间间缺乏一一致性22应用者者的整体体水平比比较低,缺缺乏对计计算机和和网络全全面的认认识,难难以接受受将计算算机作为为一种工工作方式式3信息息部门处处于边缘缘性地位位,综合合实力较较低,地地位
12、较低低,给信信息技术术的应用用带来了了相当大大的难度度。1.1根根据实际际分析企企业网假设我们们要设计计的是一一个中型型的ITT企业的的网络,该该企业分分为一个个总公司司和一家家分公司司,共有有员工2292人人。总公公司1993人,分分8个部部门,包包括人事事部、开开发部、财财务部、商商务部、工工程部、业业务部、信信息中心心、经理理部。人人事部223人,开开发部557人,财财务部77人,商商务部118人,工工程部447人,业业务部332人,信信息中心心5人,经经理部44人。分分公司999人,部部门结构构与总公公司一致致,人事事部122人,开开发部334人,工工程部220人,财财务部33人,业业
13、务部116人,信信息中心心3人,商商务部99人,经经理部22人。每每人都配配有一台台个人电电脑。由由于公司司规模的的扩大,为为了提高高工作效效率、公公司知名名度、公公司效益益以及管管理水平平,该企企业决定定投资重重新建设设完善的的企业网网络。1.2企企业要求求实现的的技术网络需求求分析就就是根据据企业信信息技术术应用要要求和企企业的业业务发展展需求,结结合企业业现有设设备状况况和人员员素质,较较为全面面地调查查和分析析企业在在信息技技术方面面的技术术需求,然然后从网网络建设设的角度度,将这这些需求求转换成成构造网网络系统统以及网网络系统统能够提提供服务务的需求求。在网络需需求分析析过程中中,网
14、络络系统用用户往往往从系统统外部关关注整个个网络系系统的功功能和性性能,而而网络设设计者往往往从网网络系统统内部关关注整个个网络系系统的技技术和结结构。因因此,如如何正确确地将用用户对网网络系统统功能和和性能的的需求转转换成对对网络系系统技术术和结构构的需求求并给予予量化表表示是网网络需求求分析的的关键。经过对该该公司各各个部门门职能的的分析以以及调研研,将系系统需求求归纳为为如下几几点:1)在该该企业的的总公司司以及分分公司各各建立一一个新的的计算机机网络基基础设施施,将该该企业内内现有计计算机以以及外设设连在一一起工作作。服务务器、连连接设备备、综合合布线等等统一购购买和配配置,客客户机应
15、应利用现现有各部部门的计计算机,以以保护原原有投资资和不影影响正常常工作。2)该网网络系统统能实现现资源共共享,包包括软件件共享,文文件共享享,打印印机共享享。在外外工作的的员工可可以透过过intternnet安安全访问问企业资资源,远远程办公公。3)能高高速接入入Intternnet进进行工作作,收发发邮件,浏浏览网页页查找资资料。建建立企业业对外网网站,提提供一个个对外宣宣传的平平台,提提高企业业知名度度。4)网络络管理:控制不不同权限限的员工工使用IInteerneet的方方式和范范围,限限制普通通员工利利用公司司网络进进行业务务无关的的活动。5)安全全性:对对不同部部门之间间的相互互访
16、问作作限制,防防止非法法访问,保保护商业业机密。预预防计算算机病毒毒,尽可可能把病病毒感染染的几率率降到最最低。使使用防火火墙,防防止来自自互联网网上的入入侵,保保障企业业资源的的安全。6)可扩扩展性:考虑到到企业的的发展与与以后规规模的扩扩大,企企业网络络设计需需预留扩扩展空间间,以便便今后的的网络改改造。2企业网网络总体体规划网络规划划是对拟拟建网络络的初步步设计,应应该遵循循网络设设计的一一般原则则和方法法,并提提出相应应的解决决方案为为后续的的设计和和实现工工作的依依据。网网络总体体规划反反映了网网络设计计“总体规规划、分分布实施施”的网络络建设原原则,是是从网络络需求分分析到网网络具
17、体体设计之之间必经经的阶段段,网络络规划通通过对企企业网络络需求的的调查、分分析、归归纳,把把企业现现在和未未来对网网络的需需求转换换成对网网络结构构、功能能、性能能、协议议等技术术指标的的具体要要求。2.1企企业网络络设计要要领该IT企企业网络络建设的的目标,就就是在总总公司和和分公司司分别建建设局域域网,将将互联网网技术引引入企业业内部网网,使用用远程接接入技术术将公司司与分公公司之间间连接起起来,并并使在外外员工可可随时接接入公司司网络,从从而建立立起统一一、快捷捷、高效效的中型型Inttrannentt系统,整整个系统统在安全全、可靠靠、稳定定的前提提下,符符合经济济的原则则,即实实现
18、合理理的投入入,最大大的产出出。总体体设计如如下:1)以千千兆以太太网为主主干网,利利用第三三层交换换技术实实现大型型局域网网的VLLAN的的划分。规规划中服服务器、信信息中心心采用千千兆,与与中心主主交换机机连接,其其他部门门采用1100MM网卡通通过其他他二级交交换机接接入主干干网。2)网络络通过光光纤接入入 Innterrnett/ChhinaaNETT,在公公网上建建立虚拟拟专用网网(VPPN);通过采采用 WWeb 技术和和 Innterrnett-VPPN 技技术以及及信息加加密技术术实现电电子商务务。这样样,可以以提供远远程拨号号访问和和通过IInteerneet 访访问两种种方
19、式,来来实现全全国各分分支机构构、相关关部门以以及公众众对公司司信息的的限制性性访问。3)网络络的安全全机制: 通过对对网络设设备的配配置,控控制访问问列表等等方式来来加强网网络的安安全性措措施; 更重重要的是是,在内内部网与与公众网网的结合合处,采采用先进进的防火火墙技术术、代理理服务器器技术、以以及 WWeb 服务器器的口令令验证、数数据加密密等技术术实现网网络的安安全性4)网络络中心设设立 WWEB 应用服服务器、EE-MAAIL 服务器器、DNNS 服服务器、数数据库服服务器、文文件服务务器,实实现 WWEB 访问、IInteerneet接入入、E-MAIIL 系系统、域域名解析析、应
20、用用系统等等各种功功能。2.2 VPNN技术的的实现VPN即即虚拟专专用网(VVirttal Priivatte NNetwworkk),是是一条穿穿过混乱乱的公用用网络的的安全、稳稳定的隧隧道。VVPN彻彻底改变变了通过过长途电电话实现现远程访访问的传传统通信信方式,VVPN是是使用隧隧道(TTunnneliing)技技术,利利用PPPTP与与L2TTP等协协议对数数据包进进行封装装和加密密,实现现在INNTERRNETT公用网网上低成成本,高高安全的的数据传传输。通通过对网网络数据据的封包包和加密密传输,在在一个公公用网络络(通常常是因特特网)建建立一个个临时的的、安全全的链接接,从而而实
21、现在在公网上上传输私私有数据据、达到到私有网网络的安安全级别别,如果果接入方方式为拨拨号方式式,则称称之为VVPDNN。通常常,VPPN是对对企业内内部网的的扩展,通通过它可可以帮助助远程用用户、公公司分支支机构、商商业伙伴伴及供应应商同公公司的内内部网建建立可信信的安全全链接,并并保证数数据的安安全传输输。VPPN可用用于不断断增长的的移动用用户的全全球因特特网接入入,以实实现安全全连接;可用于于实现企企业网站站之间安安全通信信的虚拟拟专用线线路,用用于经济济有效地地链接到到商业伙伙伴和用用户的安安全外联联网虚拟拟专用网网。1)实用用性原则则。计算算机设备备、服务务器设备备和网络络设备在在技
22、术性性能逐步步提升的的同时,其其价格却却在逐年年下降。因因此,不不可能也也没有必必要实现现所谓“一步到到位”。所以以,网络络方案设设计中应应把握“够用”和“实用”原则。网网络系统统应采用用成熟可可靠的技技术和设设备,达达到实用用、经济济和有效效的目的的。2)前瞻瞻性原则则。在实实用的基基础上还还可以具具有一定定的前瞻瞻性,在在网络结结构上要要做到能能适应较较长时期期企业和和网络技技术的发发展,不不要在网网络刚组组建不久久就发现现很难实实现某些些较新的的应用,或或者根本本不能应应用目前前的一些些主流软软件,这这样势必必造成企企业网络络资源的的浪费。3)开放放性原则则。网络络系统应应采用开开放的标
23、标准和技技术,如如TCPP/IPP协议、IIEEEE8022系列标标准等。其其目标首首先是要要有利于于未来网网络系统统的扩充充,其次次还要有有利于在在需要时时与外部部网络互互通。4)可靠靠性原则则。作为为一个具具有一定定规模的的中型企企业。企企业的网网络不允允许有异异常情况况发生,因因为一旦旦网络发发生异常常情况,就就会带来来很大的的损失。在在这样的的网络中中,就要要尽量使使用冗余余备份,当当某个网网络设备备故障时时,网络络还可以以零间断断地继续续工作,这这样就很很好的保保障了企企业网络络的可靠靠性。5)安全全性原则则。在企企业网的的设计中中,安全全性的设设计是很很重要的的。每家家企业都都有自
24、己己的商业业机密,如如果这些些机密被被窃取,后后果是不不堪设想想的。企企业必须须保护其其网络系系统,以以避免受受外来恶恶意性入入侵,但但也必须须保留足足够空间间,使其其主要经经营之业业务能顺顺利运作作。倘若若安全性性系统保保护企业业免受病病毒及骇骇客攻击击,但却却阻挠其其服务客客户及迈迈向电子子商务脚脚步,那那么此系系统就已已超越其其权限了了。网络络安全应应是永远远以能符符合企业业经营目目标的最最大利益益为优先先考量。6)可管管理性原原则。网网络管理理员能够够在不改改变系统统运行的的情况下下对网络络进行调调整,不不管网络络设备的的物理位位置在何何处,网网络都应应该是可可以控制制的。7)可扩扩展
25、性原原则。网网络总体体设计不不仅要考考虑到近近期目标标,也要要为企业业以及网网络的进进一步发发展留有有余地。因因此,需需要统一一规划和和设计。网网络系统统应在规规模和性性能两方方面具有有良好的的可扩展展性。由由于目前前网络产产品标准准化程度度较高,因因此可扩扩展性要要求基本本不成问问题。2.3配配置VPPN服务务器网络协议议是需要要通信的的计算机机之间共共同遵循循的数据据结构、语语义和操操作规则则。网络络协议常常采用分分层的体体系结构构。各协协议层互互相独立立,下层层提供上上层某项项功能的的服务(一一般有面面向连接接和无连连接两类类),上上层利用用该功能能再向上上提供更更完善的的服务。目前,主
26、主要的协协议体系系结构有有OSII族和TCCP/IIP族。它它们的参参考模型型及各层层的对应应关系如如图2.1所示示。图2.11 OSSI参考考模型OSI协协议族OSI(开开放系统统互联参参考模型型)协议议族是国国际标准准化组织织(ISSO)建建议并主主持制定定的有广广泛影响响的网络络互联协协议。1)物理理层是第第一层,它它决定设设备之间间的物理理接口以以及在传传输介质质上比特特传送的的规则。2)数据据链路层层是第二二层,它它的主要要任务是是加强物物理层传传输比特特的可靠靠性。3)网络络层是第第三成,它它的主要要功能是是利用数数据链路路层所保保证的邻邻接节点点之间的的无差错错数据传传输功能能,
27、通过过路由选选择和中中继功能能,实现现两个端端系统之之间的连连接。4)传输输层是第第四层,它它利用下下三层所所提供的的网络服服务向高高层提供供可靠的的端到端端的透明明数据传传输。5)会话话层是第第五层,它它提供一一种经过过组织的的方法在在用户之之间交换换数据。6)表示示层是第第六层,它它把上层层交付的的信息变变换为能能够共同同理解的的形式,它它关心的的是所传传输的信信息的语语法和语语义,它它只对应应用层信信息的形形式进行行变换,但但不改变变信息内内容本身身。7)应用用层是第第七层,它它的功能能是提供供应用进进程(用用户程序序)之间间信息交交换的基基本任务务。TCP/IP协协议族TCP/IP协协
28、议族是是广泛应应用于计计算机互互联的业业界标准准。该协协议族是是一组独独立的协协议的集集合,其其中最主主要的是是TCPP协议和和IP协协议。TTCP/IP协协议族亦亦采用层层次化的的结构模模型,共共包括四四个层次次1)硬件件接口层层,TCCP/IIP协议议族没有有具体定定义硬件件层,因因而它对对各种各各样的网网络硬件件具有高高度的适适应性,这这正式它它的成功功之处。2)网络络层,它它的主要要功能是是定义信信息包(IIP数据据包)并并处理信信息包的的路由选选择。该该层的主主要协议议有:IIP、AARP、RRARPP。3)传输输层。它它提供端端到端的的数据传传输服务务。该层层的主要要协议有有:TC
29、CP、UUDP。4)应用用层。它它由使用用网路的的应用程程序和进进程组成成。该层层最接近近用户,主主要协议议有SMMTP、DDNS、FFTP、TTELNNET。OSI强强调的是是如何把把开放式式系统连连接起来来的,它它是一个个理论上上的参考考模型。而而TCPP/IPP框架包包含了大大量的协协议和应应用,他他虽然不不是ISSO标准准,但一一致于IISO的的OSII参考模模型制定定,并在在不断发发展过程程中吸收收了OSSI模型型中的概概念及特特征,它它的使用用已经越越来越广广泛,几几乎成为为“事实上上的标准准”,著名名的Innterrnett就是基基于TCCP/IIP协议议族的。3网络具具体规划划
30、与设计计在总体上上规划好好企业网网络之后后,就要要进入具具体设计计的阶段段,这也也是网络络设计的的最重要要的环节节。在这这个阶段段,要对对该企业业网络的的拓扑结结构、IIP地址址规划、子子网划分分、Innterrnett接入等等方面进进行详细细的规划划与设计计。3.1网网络拓扑扑图所谓拓扑扑是一种种研究与与大小、距距离无关关的几何何图形特特性的方方法。网网络的拓拓扑结构构是抛开开网络物物理连接接来讨论论网络系系统的连连接形式式,网络络中各站站点相互互连接的的方法和和形式称称为网络络拓扑。拓拓扑图给给出网络络服务器器、工作作站的网网络配置置和相互互间的连连接,它它的结构构主要有有星型结结构、总总
31、线结构构、树型型结构、网网状结构构、蜂窝窝状结构构、分布布式结构构等。不不同的连连接方法法网络的的性能不不同,局局域网拓拓扑结构构通常分分为3种种,分别别是总线线型、星星型和环环型。该该企业局局域网网网络主要要采用了了星型的的拓扑结结构,因因为企业业规模不不大,所所以在设设计上只只划分了了两层来来设计:核心层层和接入入层。总总公司的的工作站站大约为为2000人,考考虑到规规模较大大而且该该总公司司的业务务比较重重要,核核心层的的设计上上采用了了两台千千兆三层层交换机机作一个个冗余备备份,在在这两台台三层交交换机之之间作链链路聚合合,就算算其中一一个核心心交换机机当机,也也可以保保证网络络的瞬间
32、间恢复,大大大增加加了网络络的可靠靠性。分分公司由由于规模模较小,考考虑到企企业网络络设计上上的实用用性与经经济性原原则,核核心层的的设计只只使用一一台千兆兆三层交交换机。而而在接入入层的设设计上,总总分公司司都使用用多台二二层交换换机,1100兆兆到桌面面。服务务器选择择摆放在在信息中中心,以以便管理理。为了了防止企企业外部部对内的的攻击,在在路由器器外部安安装硬件件防火墙墙。图3.11分公司司网络拓拓扑图3.2分分公司网网络拓扑扑图3.2 IP地地址规划划每台计算算机、服服务器、或或者路由由器的接接口都有有一个由由授权机机构分配配的号码码,我们们称它为为IP地地址。TTCP/IP协协议规定
33、定,根据网络规规模的大大小将IIP地址址分为55类(AA、B、CC、D、EE)表3.11 IPP地址分分类A类1.0.0.001226.00.0.0B类128.0.00.01911.2555.00.0C类192.0.00.02233.2555.2255.0D类224.0.00.02399.2555.2255.2555虽然有这这么多IIP地址址,但是是这些IIP地址址我们是是不能随随便用的的,大多多数的地地址都被被互联网网专业机机构注册册并指定定,在IIP地址址日益匮匮乏的今今天,企企业一般般只能申申请到几几个公网网地址。但但是有部部分的IIP地址址被特别别区分出出来用作作私有网网络使用用,它们
34、们被称为为私有IIP地址址表3.22 私有有IP地地址A类:10.00.0.0 100.2555.2255.2555B类:172.16.0.00 1722.311.2555.2255C类:192.1688.0.0 1992.1168.2555.2555该企业只只有一个个公网IIP,考考虑到内内网计算算机终端端数量不不多,该该企业局局域网IIP使用用C类私私有地址址进行分分配。对于局域域网的 IP 地址分分配问题题,用户户规模越越大,管管理工作作就越困困难,必必须深思思加以解解决。目目前一般般来说有有两种分分配方案案,一是是使用动动态 IIP地址址分配(DDHCPP),另另一种方方案是使使用静态
35、态地址分分配,但但必须加加强 MMAC 地址的的管理。用用动态 IP 地址分分配(DDHCPP)的最最大优点点是客户户端网络络的配置置非常简简单,在在没有管管理员的的帮助和和干预的的情况下下,用户户自己便便可以对对网络进进行连接接设置。但但是,因因为 IIP 地地址是动动态分配配的,网网管员不不能从 IP 地址上上鉴定客客户的身身份,相相应的 IP 层管理理将失去去作用。而而且使用用动态 IP 地址分分配需要要设置额额外 DDHCPP 服务务器。使使用静态态 IPP 地址址分配可可以对各各部门进进行合理理的 IIP 地地址规划划,能够够在第三三层上方方便地跟跟踪管理理,再加加上对网网卡 MMA
36、C 地址的的管理,网网络就会会具有更更好的可可管理性性。但如如果网络络规模较较大,则则 IPP 地址址管理的的工作量量就相当当大。综综合以上上考虑,由由于该企企业的规规模不是是很大,因因此从网网络安全全的角度度出发,采采用静态态地址分分配的方方法。并并结合核核心交换换机的第第三层交交换功能能,进行行子网的的划分,一一方面可可以降低低网络风风暴的发发生,另另一方面面也加强强了网络络的安全全性。但但当随着着以后企企业规模模的不断断扩大发发展,整整个网络络信息的的规模不不断扩大大,则可可以考虑虑采用 DHCCP 动动态 IIP 地地址分配配的方案案,设立立专门的的 DHHCP 服务器器进行动动态 I
37、IP 地地址分配配。同样样可以基基于中心心交换机机的 VVLANN 功能能进行配配置,划划分网段段,根据据各个二二级单位位信息点点所在的的网段进进行动态态地址分分配。3.3基基于VLLSM的的子网划划分该企业总总公司有有1933人,分分公司有有99人人。如果果分别把把各自所所有的主主机放到到一个子子网里,对对企业的的安全性性管理极极为不利利,而且且如果有有站点更更新(计计算机的的配置调调整或增增减计算算机)或或发生故故障,大大量的广广播数据据会严重重影响网网络的整整体性能能。因此此必须对对这些主主机进行行子网划划分控制制广播域域的规模模。VLSMM(Vaariaablee Leengtth S
38、Subnnet massks)变长子子网掩码码,是在在标准的的掩码上上面再划划分的子子网的网网络号码码,不同同子网的的子网掩掩码可能能有不同同的长度度,但一一旦子网网掩码的的长度确确定了,它它们就不不变了,这这个技术术对于高高效分配配IP地地址。由于该企企业人数数不多,如如果给每每个子网网分配一一个C类类地址,就就会造成成IP地地址的浪浪费,所所以要采采用可变变长子网网掩码技技术对该该企业局局域网进进行子网网划分。该该企业的的子网是是按照部部门来划划分的,基基于可扩扩展性的的原则,除除了满足足每个部部门都能能分到足足够的IIP地址址外,还还要为以以后的人人事调动动、部门门扩展等等留有冗冗余的I
39、IP,否否则可能能会由于于一些很很小的人人事变化化就得重重新划分分子网。考考虑到总总公司与与分公司司之间要要通过VVPN技技术远程程互联,所所以总公公司与分分公司的的内网IIP不能能有重复复。表3.33总公司司子网划划分部门子网网络络号子网掩码码网关开发部192.1688.0.0255.2555.2555.1128192.1688.0.1266工程部192.1688.0.1288255.2555.2555.1192192.1688.0.1900业务部192.1688.0.1922255.2555.2555.1192192.1688.0.2533人事部192.1688.1.0255.2555.2
40、555.2224192.1688.1.30商务部192.1688.1.32255.2555.2555.2224192.1688.1.62财务部192.1688.1.64255.2555.2555.2240192.1688.1.78信息中心心192.1688.1.80255.2555.2555.2240192.1688.1.94经理部192.1688.1.96255.2555.2555.2240192.1688.1.11003.4在在VPNN服务器器的外网网卡上添添加相关关协议当上述安安装成功功以后,尝尝试远程程接入VVPN服服务器,则则不能接接入。原原来是为为了安全全起见,路路由和远远程访问问
41、服务器器安装向向导在VVPN服服务器的的INTTERNNET接接口上设设置了筛筛选器,只只能允许许PPTTP和LL2TPP包通过过该接口口。要想想使内部部计算机机上网,只只有对外外网卡增增加相关关协议。 打打开“路路由和远远程访问问服务”“IPP路由选选择”“常规规”在在右边的的窗口中中选择外外网卡并并打开“属性性”“启启用IPP路由器器管理器器”分分别设置置“输输入筛选选器”和和“输出出筛选器器”。VLANN(Viirtuual Loccal Areea NNetwworkk)即虚虚拟局域域网,是是一种通通过将局局域网内内的设备备逻辑地地而不是是物理地地划分成成一个个个网段从从而实现现虚拟工
42、工作组的的新兴技技术。IIEEEE于19999年年颁布了了用以标标准化VVLANN实现方方案的8802.1Q协协议标准准草案。 VLANN技术允允许网络络管理者者将一个个物理的的LANN逻辑地地划分成成不同的的广播域域(或称称虚拟LLAN,即即VLAAN),每每一个VVLANN都包含含一组有有着相同同需求的的计算机机工作站站,与物物理上形形成的LLAN有有着相同同的属性性。但由由于它是是逻辑地地而不是是物理地地划分,所所以同一一个VLLAN内内的各个个工作站站无须被被放置在在同一个个物理空空间里,即即这些工工作站不不一定属属于同一一个物理理LANN网段。一一个VLLAN内内部的广广播和单单播流
43、量量都不会会转发到到其他VVLANN中,即即使是两两台计算算机有着着同样的的网段,但但是它们们却没有有相同的的VLAAN号,它它们各自自的广播播流也不不会相互互转发,从而有有助于控控制流量量、减少少设备投投资、简简化网络络管理、提提高网络络的安全全性。 VLAAN是为为解决以以太网的的广播问问题和安安全性而而提出的的,它在在以太网网帧的基基础上增增加了VVLANN头,用用VLAAN IID把用用户划分分为更小小的工作作组,限限制不同同工作组组间的用用户二层层互访,每每个工作作组就是是一个虚虚拟局域域网。虚虚拟局域域网的好好处是可可以限制制广播范范围,并并能够形形成虚拟拟工作组组,动态态管理网网
44、络。我们已经经为该企企业划分分了子网网,不同同的部门门在不同同的子网网里,子子网与子子网之间间不能访访问,也也控制了了广播域域太大的的问题。这这样看来来好像不不必要再再划分VVLANN了,其其实不然然,因为为这样只只作子网网划分是是存在安安全性问问题的。局局域网内内的任何何用户只只要稍微微修改一一下IPP与子网网掩码就就可以访访问到该该企业的的任何部部门了。所所以,我我们必须须在交换换机上划划分好VVLANN,这样样,只要要加强对对交换机机的保护护,不让让一般员员工改变变交换机机的配置置,就算算他们更更改自己己电脑的的IP和和子网掩掩码也无无法访问问到其它它部门了了。VLANN有几种种不同的的
45、划分方方法:11.根据据端口来来划分VVLANN。2.根据MMAC地地址划分分VLAAN。3.根根据网络络层划分分VLAAN。 4.根根据IPP组播划划分VLLAN。该企业的的VLAAN我们们采取根根据端口口来划分分,这种种划分方方式是现现在最常常用的。只只要把同同一个部部门的端端口全部部划分进进同一个个VLAAN就行行了,而而且还可可以进行行跨交换换机的端端口VLLAN划划分,也也就是说说不同交交换机上上的端口口也可以以在同一一个VLLAN里里,这样样VLAAN的划划分就不不必要受受到物理理空间的的限制,具具有很好好的灵活活性。今今后如果果有人事事调动或或者部门门扩充,只只要在交交换机上上作
46、相应应的配置置就可以以了。处理VLLAN时时,交换换机端口口支持两两种连接接类型:接入链链路(aacceess linnk)与与中继(ttrunnk)。接接入链路路连接只只能与单单个VLLAN相相关,任任何连接接到该端端口的任任何设备备将会在在相同的的广播域域中。与与接入链链路不同同,中继继连接能能为多个个VLAAN传送送流量。中中继链路路一般在在特点的的设备之之间,包包括交换换机到交交换机,交交换机到到路由器器,交换换机到文文件服务务器等。在该企业业的VLLAN端端口配置置中,各各接入层层的二层层交换机机与核心心层的三三层交换换机之间间的链路路要配置置成trrunkk链路,其其他端口口配置成
47、成acccesss链路,这这样VLLAN信信息就可可以在各各二层交交换机之之间传递递,不同同交换机机但是同同一个VVLANN的用户户就可以以相互访访问了。VLANN部分配配置摘录录:swittch-1(cconffig)#vllan 10 创建一一个vllan(开开发部)swittch-1(cconffig-vlaan)#namme kkaiffabuu 为为此vllan取取名swittch-1(cconffig-vlaan)#exiitswittch-1(cconffig)#innt ffa0/1 进进入一个个快速以以太端口口配置swittch-1(cconffig-if)#swwitcchpoort modde aacceess 把该接接口配置置为acccesss链路路swittch-1(cconffig-if)#swwitcchpoort acccesss vllan 1 把把该端口口加入vvlann1swittch-1(cconffig-if)#exiitswittch-1(coonfiig)