远程接入企业网络规划与设计毕业论文(编辑修改稿)

远程接入企业网络规划与设计毕业论文(编辑修改稿)内容摘要：

IP 地址分配（ DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用 户自己便可以对网络进行连接设置。 但是，因为 IP 地址是动态分配的，网管员不能从 IP 地址上鉴定客户的身份，相应的 IP 层管理将失去作用。 而且使用动态 IP 地址分配需要设置额外 DHCP 服务器。 使用静态 IP 地址分配可以对各部门进行合理的 IP 地址规划，能够在第三层上方便地跟踪管理，再加上对网卡 MAC 地址的管理，网络就会具有更好的可管理性。 但如果网络规模较大，则 IP 地址管理的工作量就相当大。 综合以上考虑， 由于该企业 的规模不是很大，因此从网 络安全的角度出发，采用静态地址分配的方法。 并结合核 心交换机的第三层交换功能，进行子网的划分，一方面可以降低网络风暴的发生，另一方面也加强了网络的安全性。 但当随着 以后企业规模的不断扩大发展 ，整个网络信息的规模不断扩大，则可以考虑采用 DHCP 动态 IP 地址分配的方案，设立专门的 DHCP 服务器进行动态 IP 地址分配。 同样可以基于中心交换机的 VLAN 功能进行配置，划分网段，根据各个二级单位信息点所在的网段进行动态地址分配。 VLSM的子网划分 该企业总公司有 193 人，分公司有 99 人。 如果分别把各自所有的主机放到一个子网里，对企业的安全性管 理极为不利，而且如果有站点更新（计算机的配置调整或增减计算机）或发生故障，大量的广播数据会严重影响网络的整体性能。 因此必须对这些主机进行子网划分控制广播域的规模。 VLSM(Variable Length Sub masks)变长子网掩码 ， 是在标准的掩码上面再划分的子网的网络号码 ， 不同子网的子网 掩码可能有不同的长度，但一旦子网掩码的长度确定了，它们就不变了， 这个技术对于高效分配 IP 地址。 由于该企业人数不多，如果给每个子网分配一个 C 类地址，就会造成 IP 地址的浪费，所以 要 采用可变长子网掩码技术对该企业局 域网进行子网划分。 该企业的子网是按照部门来划分的，基于可扩展性的原则，除了满足每个部门都能分到足够的 IP地址外，还要为以后的人事调动、部门扩展等留有冗余的 IP，否则可能会由于一些很小的人事变化就得重新划分子网。 考虑到总公司与分公司之间要通过 VPN 技术远程互联，所以总公司与分公司的内网 IP 不能有重复。 总公司子网划分 部门 子网网络号 子网掩码 网关 开发部 工程部 业务部 人事部 商务部 财务部 信息中心 经理 部 分公司子网划分 部门 子网网络号 子网掩码 网关 开发部 工程部 业务部 人事部 商务部 财务部 信息中心 经理部 规划 VLAN（ Virtual Local Area Network）即虚拟局域网，是一 种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 IEEE于 1999 年颁布了用以标准化 VLAN 实现方案的 协议标准草案。 VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域（或称虚拟 LAN，即 VLAN），每一个 VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的 LAN 有着相同的属性。 但由于它是逻辑地而不是物理地划分，所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理 LAN 网段。 一个 VLAN 内 部的广播和单播流量都不会转发到其他 VLAN 中，即使是两台计算机有着同样的网段，但是它们却没有相同的 VLAN 号，它们各自的广播流也不会相互转发 ,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN 是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了 VLAN 头，用 VLAN ID 把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。 虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 我们已经为该企业划分了子网，不同的部 门在不同的子网里，子网与子网之间不能访问，也控制了广播域太大的问题。 这样看来好像不必要再划分 VLAN 了，其实不然，因为这样只作子网划分是存在安全性问题的。 局域网内的任何用户只要稍微修 改一下 IP 与子网掩码就可以访问到该企业的任何部门了。 所以，我们必须在交换机上划分好 VLAN，这样， 只要加强对交换机的保护，不让一般员工改变交换机的配置，就算 他们 更改 自己电脑的 IP 和子网掩码也 无法访问到其它部门了。 VLAN 有几种不同的划分方法： VLAN。 MAC 地址划分VLAN。 VLAN。 IP 组播划分 VLAN。 该企业的 VLAN 我们采取根据端口来划分，这种划分方式是现在最常用的。 只要把同一个部门的端口全部划分进同一个 VLAN 就行了，而且还可以进行跨交换机的端口 VLAN 划分，也就是说不同交换机上的端口也可以在同一个 VLAN 里，这样 VLAN 的划分就不必要受到物理空间的限制，具有很好的灵活性。 今后如果有人事调动或者 部门 扩充 ，只要在交换机上作相应的配置就可以了。 处理 VLAN 时，交换机端口 支持两种连接类型：接入链路（ access link）与中继（ trunk）。 接入链路连接只能与单个 VLAN 相关，任何连接到该端口的任何设备将会在相同的广播域中。 与接入链路不同，中继连接能为多个 VLAN 传送流量。 中继链路一般在特点的设备之间，包括交换机到交换机，交换机到路由器，交换机到文件服务器等。 在该企业的 VLAN 端口配置中，各接入层的二层交换机与核心层的三层交换机之间的链路要配置成 trunk 链路 ， 其他端口配置成 access 链路， 这样 VLAN 信息就可以在各二层交换机之间传递，不同交换机但是同一个 VLAN 的用户就可以相互访问了。 VLAN 部分配置摘录： switch1(config)vlan 10 创建一个 vlan（开发部） switch1(configvlan)name kaifabu 为此 vlan 取名 switch1(configvlan)exit switch1(config)int fa0/1 进入一个快速以太端口配置 switch1(configif)switchport mode access 把该接口配置为 access 链路 switch1(configif)switchport access vlan 1 把该端口加入 vlan1 switch1(configif)exit switch1(config)int gig 2/1 进入千兆端口 switch1(configi}switch mode trunk 把该端口配置为 trunk 链路 与 链路聚合 的应用 传统的以太网交换机工作在 OSI 模型的第二层上，数据流中的每个数据包通过源站点和目的站点 的 MAC 地址时被识别。 传统局域网交换机只在介质访问层（ mac）处理数据包。 它可理解网络协议的第二层如 MAC 地址等。 交换机在操作过程中不断的收集资料去建立它本身的地址表，当交换机接收到一个数据包时，它会检查该包的目的 MAC 地址，核对一下自己的地址表以决定从哪个端口发送出去。 这个工作用 ASIC（专用集成电路）芯片来做速度是非常快的，但同时由于它不察看数据包里的更多的内容，所以无法作出有关策略方面的判断，对数据流的控制能力不强。 传统路由器工作在第三层上，数据流中的每个数据包通过源站点和目的站点的网络 地址时被识别，路由技术可以有效地控制数据包，但转发包的速度太慢，同时路由器存在价格高等方面缺点。 这种状况促使业界不得不去寻找一种新的方法 ,产生了“升级”技术──第三层交换技术。 第三层交换技术正是为了解决传统交换技术和路由器的缺陷而出现的，三层交换技术是在网络模型中的第三层实现了数据包的高速转发，第三层交换具有以下特征： 1) 执行路由处理 2) 转发基于第三层的业务流 3) 完成交换功能 4) 可以完成特殊服务，如报文过滤或访问控制 该企业各部门处于不同的 VLAN 中， 某些部门之间是需要互相访问的，如果用传统的路由器来完成 VLAN 间互访，所有跨 VLAN 的数据必须通过路由器转发，路由的高延迟会引来用户对网络速度的抱怨， 不使用三层交换技术的话，唯一的解决方法是添置昂贵的路由器，而随着日后企业不断扩大部门间的流量会更加增多，到时可能又要投入更多资金 更换更贵的路由器，这不符合企业网络设计的可扩展性原则。 在 该企业的网络核心层使用三层交换机， 大大增快了网络的速度，充分利用了现有资源，降低了网络成本，增加了网络的可扩展性。 而且，三层交换机还可以实现部分安全机制，它的 访问列表的功能，可以实现不同 VLAN 间的单向或双向通讯。 就像该企业的财务部，它既没有必要访问别的部门，出于安全考虑别的部门也不能访问财务部。 而经理室应该可以访问所有的部门，但是别的部门是不可以访问他的„„基于这些不同的访问需求，可在三层交换机上配置 ACL 语句加以限制。 该企业的三层交换机位于整个局域网的核心部分， 企业上网的流量、 VLAN 间的流量、 VPN 产生的流量全部都要经过核心三层交换机进行转发，所以核心交换机的速 度与稳定性非常重要。 冗余链路 是提高网络系统可用性的重要方法。 目前的技术中，以链路聚合（ Link Aggregation）技术应用最为广泛。 链路聚合技 术亦称主干技术（ Trunking）或捆绑技术（ Bonding），其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路，称为一条聚合链路， 简单地说就是把多个端口绑定成一个虚拟端口。 采用链路聚合可以 提高数据链路的带宽，捆绑起来的链路的带宽相当于物理链路带宽之和。 链路聚合中，成员互相动态备份，当某一链路中断时，其它成员能够迅速接替其工作，这样就很好的保障了整个网络的稳定性。 三层交换 部分配置摘录： switch1(config)ip routing 启用交换 机上的 IP 路由功能 switch1(config)router rip 指。