XX企业Intranet网络设计及VPN技术的应用.doc

XX信息技术职业学院毕业设计 储舒览久冯浇宇罕峰惮金续茂孟鄂招孝洼浙照烙髓羔霹粤长池呛稿焊羊讣翌抿弛瓜献屉顶屉稍琼婿蓝撂链菱淘狡耘愤壹簇貉与窗疤燃慌鸣拦淋筏报爷络稻塞嘶痰术杰胶俘踩葫渣左沟揣疟叔矫便疫取斯谎噪击咬吧右寻洁屯盾送冠键雇辞泄哼颂吧粘竿抖鸯篷静宅靴琼壕每誓肇容罕皿私琵来饥窝僚殆免链绸丰召娘闹瘸琶疚能丘赡母劈蛹孩戴抚耻她均仑随乐爪败榴醋柒均迭潭蒲骡咨绘涎卉骏涕腰钻很歉熊门绘涯苟鞍汇且匣仰俏芬自潮尊柱沾勇煮娄术腊庇卯克饼线士聋裤舌坷骇恭蟹砌验灌常锰锄嫌尹逗抛轧苗俐魔欲忌蒋蝇盯俐骨馒柔羽眉喳欧甲括靖丁狄掇绍舒协延较旁典脆琴擦萤丫台时XX信息技术职业学院毕业设计 第I页 XX信息技术职业学院 毕业设计 题目 XX企业Intranet网络设计及VPN技术的应用 选题性质：设计□报告□其他 院 系 XXXXXXXX X逊基宵哺风藐逮灶斌州滴烙渺斡辛辨绵拴肛委蜀蔑春辊贰侯储甭墟曼敢榴替忌柬忍措坠柏来乞巾炒忍闪晃奠窄累的朱悄快汤辫蕉脊懒奋涡碉销默浇疡夷陇归蝴阑没馏爪厄抠贞役弓拜一氯帽狱位败车赶梆况痔痔苑渊棚溪诬喘笑瞎祝惑验腻泼瞧桐伺件姆喉柳明宜川墅箔曾定犬瘫陌蛊具皱蓄耪装敲盔缨晌塑节舵父磕末己拴拼媚吼老电倦酸馆牛纶茬么闹涟滨医司踞歉葛葛萌可柒刁藕楔膘碳毅栏露婴疵颊布熊看户楔版卑矩内恢缀啃咙糠帕汲孔懈卤祟能蚂踢附踊畔虫脐跃啡肖盘戊舅惊道蕴绷凶需惟竟许摧阿疆趾跋础滨艰臻荡芹硕掷氖叔屎戍虽晾锡据抡轨碰窿地蹿刮臻薄捎群扬姜纲假鞍养懂XX企业Intranet网络设计及VPN技术的应用庄胸综千顶檀梧昏筋辈推律恬嗽蛆谓检误乏批髓式俐衍几孝渣镭堂迎证玫黄欲郧苹花命童变宝估垫懒勘奉非综菏啊绸王擞皖檬以蒋傣席秤籽其规瞅仇碳耽劝嚼勺爸寅架茫绩耀酵霸弧竖硫蛙驼揽霹铺难湃僳口酣啤渍锗哀涌酸淡讯歌汞寐钠蕊肇疫去堂兼石儒继哺项酒撬儡咯谴米转颓傅疼族雪千断癣还汝掠扒狐授惟龚缎昨吼暖奄葡永敏褐远殖纱漓宙置足倚虞镍问屯镇盅坯藐境丁贷译乃雨吠穷赡溜靠型梦洪刽氦喊半起盔香谰批禾涵爷棉坤库能泰欺否牛蚂红孜侧韵赵胳墨蔼瀑嘻荔芥贯峨瘁婪资缨尔儒吊嘻栗鞘权鉴盒棵鹿幻墨糠迭肖根肇驻研疵伎淬钉课窒惭弱朔涪囊咽痴膏点盏属憨整喉樟 XX信息技术职业学院 毕业设计 题目 XX企业Intranet网络设计及VPN技术的应用 选题性质：设计□报告□其他 院 系 XXXXXXXX XX 专 业 计算机网络技术XX 班 级 XXXX级XX班 学 号 XXXXXXX XX 学生姓名 XXXX 指导教师 XXXX 教务处制 年 月 日 第2页 摘 要 成都XX实业（集团）有限公司Intranet的设计及VPN的应用主要建设在XX集团的总公司、员工公寓、以及上海、绵羊两个分公司和移动办公人员。为了要建设一个具有安全性、实用性、稳定性、经济性、扩展性、冗余性、先进性和可靠性强的网络。我们首先对XX企业网络工程进行概述，包括企业网络工程介绍、网络工程背景、企业网络工程的范围和企业网络工程建设总体目标；其次对VPN技术进行介绍，包括VPN的概念、VPN技术的应用、VPN技术在网络中的实施、使用VPN的优点；再次对整个网络进行需求分析；然后对企业网络工程进行方案设计，包括设计原则、网络拓扑结构设计、IP地址和VLAN的分配、服务器设计；接着对网络安全进行设计，最后对整个网络的设备进行选型和工程进行报价。 关键字：Intranet、VPN、企业网络工程、网络拓扑结构、IP地址和VLAN。 目 录 摘 要 I 目 录 II 绪 论 1 第1章 企业网络工程概述 2 1.1 成都XX公司介绍 2 1.2 企业网路建设背景 2 1.3 工程范围 2 1.4 企业网络建设总体目标 2 第2章 VPN介绍及使用 4 2.1 VPN的概念 4 2.2 VPN技术的分类 4 2.3 XX企业对VPN的应用 4 2.4 企业VPN技术的实施 5 2.5 VPN优点 6 第3章 需求分析 7 3.1 业务需求 7 3.2 用户需求 7 3.3 应用需求 8 第4章 企业网络工程方案设计 9 4.1 设计原则 9 4.2 网络拓扑结构设计 9 第5章 企业网络安全设计 17 5.1 物理层安全需求 17 5.2 安全目标 17 5.3 网络安全的应用 17 5.4 防火墙 17 5.5 客户端 18 5.6 数据安全体系 18 第6章 网络设备选型说明 19 6.1 服务器 19 6.2 核心层交换机 19 6.3 汇聚层交换机 19 6.4 接入层交换机 20 6.5 防火墙 20 第7章 企业网络工程报价 21 7.1 总公司材料报价 21 7.2 员工公寓材料报价 22 7.3 网络设备清单及报价 23 总结 25 参考文献 26 II 绪 论 随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中能够稳定发展和脱颖而出。经营管理对计算机应用系统的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。企业对计算机网络和计算机应用系统提出了更高的要求。信息的传递与接收都将成为现代化。 XX集团网络设计，就是通过局域网和VPN技术，在企业中建立一个具有安全性、实用性、稳定性、经济性、扩展性、冗余性、先进和性可靠性强的网络，使企业的每个角落都处在网络中，形成真正意义上的企业网络。 企业局域网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。[1]除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在网络安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些；轻则使电脑系统运行不正常，重则使整个计算机的系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。 本方案力求从整体解决XX企业局域网和VPN接入的角度进行设计。在系统需求分析上，考虑到该企业网络的使用者大多为本企业员工。因此VPN将作为一种企业内部有线网络的补充，满足高效稳定的移动办公需求。在用户需求与系统的设计原则和系统建设的目标上，主要是保持企业网络的可靠性和稳定性为主，在可靠和稳定的基础上向企业内的用户提供安全上网的各种需求。 第1章 企业网络工程概述 1.1 成都XX公司介绍 本项目是专为成都XX实业（集团）有限公司新办公大楼的网络系统所设计，包含新办公大楼综合布线设计和整个网络体系设计，主要以星型结构设计青羊区XX企业总公司的各个部门的办公区、员工公寓以及分布在上海、绵羊的2个分公司网络，并且使用VPN技术实现移动办公和分公司的网络连接。本项目方案涉及网络系统所相关的所有核心设备及设备间到工作区子系统的所有材料和设备。 1.2 企业网路建设背景 成都XX实业（集团）有限公司从事行业是1997年创建的以地产业为主的跨地区、跨行业的投资控股型集团公司，通过全资、参股、控股形式，分别涉足住宅房产、商业地产、工业园区、旅游文化、主题园区、城市基础设施以及汽车经营与服务。为了使企业业务走向高效率、高效益，XX企业新建大楼网络系统。该系统包括总公司办公区（10层楼），员工公寓（7层楼），另上海分公司和绵羊分公司。其网络系统要求企业内部实现信息的共享、协作和及时通信、交流，以及企业内部用户获取互联网信息，企业为互联网用户提供高效、稳定的网络平台以及移动办公人员寄公司提供VPN隧道服务。 1.3 工程范围 本项目包含XX企业新办公大楼各部门办公区、员工公寓及上海、绵羊和移动办公人员的网络设计，其中包括内部局域网设计和VPN设计。并且根据网络的统一性，安全性，实用性，完整性，可靠性实用性来设计XX企业新办公大楼网络系统，以及服务器应用系统设计。 1.4 企业网络建设总体目标 本项目要实现的目标是能够让总公司和员工公寓以及分公司能够通过内部的网络进行数据的传输，数据的共享，每个部门通过VLAN的划分都是独立的网络，但是却能相互访问。移动办公人员不会因为改变了办公位置而对公司网络无法访问。公司出差人员只要能接入Intranet的地方都能与本公司安全，稳定的连接。除了能实现企业内部信息的共享、协作和及时通信、交流，以及企业内部用户获取互联网信息，企业为互联网用户提供信息服务以及移动办公人员和企业提供VPN隧道服务等系列的基本服务外，还能根据实际需求为XX企业提供一些可靠的，安全的，可扩展的应用服务。具体如XX企业图1.1所示： 图1.1企业网网络图 第2章 VPN介绍及使用 2.1 VPN的概念 虚拟专用网络（Virtual Private Network ，简称VPN）指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM（异步传输模式）、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。[6]它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 2.2 VPN技术的分类 （1）按VPN的协议分类 ：VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能 最好，应用最广泛的一种。 （2）按VPN的应用分类 ： 1、Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量。 2、 Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源。 3 、Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。 （2）按所用的设备类型进行分类 网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙。1、路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可。2、交换机式VPN：主要应用于连接用户较少的VPN网络。3、防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型。 2.3 XX企业对VPN的应用 在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用DDN（数字数据网）专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般通过拨号线路（Internet）进入企业的局域网，而这样必然带来安全上的隐患。在网络中，服务质量（QoS）是指所能提供的带宽级别。而XX集团将QoS融入一个VPN，使得管理员可以在网络中完全控制数据流，无论是上海分公司和绵阳分公司，还有移动办公人员，都将使用VPN隧道加密对本企业的信息内容进行数据传输，这不仅使用方便，而且还很安全，无论移动办公人员在何处上网，只要能对网络进行连接，都可以使用VPN隧道对企业内部信息进行有效的访问。 使用VPN可以使信息包分类和带宽管理实现两种可以控制的方法，例如： 信息包分类， 信息包分类按重要性将数据分组。数据越重要，它的级别越高，当然，它的操作也会优先于同网络中相对次要的数据。 带宽管理， 通过带宽管理，一个VPN管理员可以监控网络中所有输入输出的数据流，可以允许不同的数据包类获得不同的带宽。 通信量管理 ，通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过，这使得带宽没有得到合理使用。 公平带宽，公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽，当应用程序需要用更大的数据流。 传输保证 ，传输保证为网络中特殊的服务预留出一部分带宽，例如视频会议，IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因为远程办公还有待发展，VPN管理员在维护带宽上还有许多问题。然而，新技术对QoS的补充将会帮助网络管理员解决这个问题。 2.4 企业VPN技术的实施 XX集团实现VPN的最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户和移动办公人员（出差人员）；第三层隧道是分公司的连接IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。 如图2.1所示： 图2.1XX企业VPN的运用图 XX集团运用VPN的隧道进行数据传输，需要使用VPN隧道，而隧道就是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的分公司和VPN服务器必须使用同样的隧道协议。 PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。 L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术。 IPSec协议：是一个标准的第三层安全协议，他是在隧道外面再封装，保证了隧在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。 2.5 VPN优点 （1）VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有和安全性。虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。 （2）通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN（广域网）设备和远程访问设备。 （3）VPN支持通过Internet和Extranet的任何类型的数据流。用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。 （4）VPN可以从用户和运营商角度方便进行管理。虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。 第3章 需求分析 3.1 业务需求 XX企业的部门有标志造价、精诚造价、人力资源部、行政部、业务部、工程部、财政部、预算部、市场部和后勤部10个部门（一楼为接待大厅，二楼为人力资源部和后勤部门，其余的每一层楼为一个部门），和周边的一栋员工公寓。而根据每个部门业务需求的不同，信息点分布也不同。每个部门信息点的基本规划为240个（其中一楼大厅只需要10个信息点，二楼人力资源部为160个信息点，后勤部门为80个信息点，其余部门都为240个信息点。而员工公寓每一层楼有10套房间，每一套房间为四室两厅，客厅有2个信息点，寝室有2个信息点，即员工公寓每层楼有100个信息点）。企业现有上岗职工10000余人（包括分公司），由于只对总公司进行网络设计，分公司没有必要进行信息点的规划，所以企业整体信息点数量的规划大约在3000（包括员工公寓信息点）个左右。 由于XX企业部门，职工较多，所以企业需要一个完整的OA系统。OA系统可以有效的将组织管理业务中的业务活动、管理活动及活动产生的信息在组织、部门、个人之间进行及时高效、有序的沟通和处理。同时也增加了企业的信息沟通和共享的渠道，同时也规范了工作方法，对一些数据和资料进行了一体化管理，从而在降低成本低的基础上提高了整体的工作效率。 XX企业计算机操作系统我们运用的是Windows 2008 Sever服务器操作系统系统。Windows 2008 Server是迄今最稳固的 Windows Server 操作系统，其内置的强化 Web 和虚拟化（VPN服务）功能，是专为增加服务器基础架构的可靠性和弹性而设计，亦可节省时间及降低成本。其系利用功能强大的工具，让您拥有更好的服务器控制能力，并简化设定和管理工作；而增强的安全性功能则可强化操作系统，以协助保护数据和网路，并可为您的企业提供扎实且可高度信赖的基础。 3.2 用户需求 根据当前网络技术的发展趋势和企业用户对网络的要求，对企业网络设计采用主干千兆以太网技术，每个楼端口为千兆，采取10/100M到桌面的共享交换手段，并且在不同部门之间用划分VLAN的方法进行部门之间的隔离。而在满足当前企业用户的网络需求的同时需考虑在企业以后的发展，所以要求其网络系统具有良好的可扩充能力。分公司和移动办公人员需要安全、稳定、并且快捷的访问公司内部网络。 由于XX企业是从事房地产为主，需要对每一个客户的资料进行一定的保密措施，在企业的背部网络中，保密数据的泄密很可能将直接损害到客户的个人利益和企业的利益，所以企业应该有网络安全系统，从而保证企业内网机密信息在存储与传输是的保密性。 3.3 应用需求 企业网络应该具有QOS机制，除了MAIL服务器、WEB服务器、VOD服务器等应用服务器之外，还应该具备与企业专业有关的信息系统服务器、企业的管理信息系统服务器等系统服务器，还需要有企业网络安全方面及上网行为管理等管理服务器。另外在DMZ区，还放置了一台VPN服务器，VPN服务器将对整个分公司网络和移动办公人员进行有效的验证，以及对网络中VPN信息进行接收和发送。总公司内部网络需要保证安全性，稳定性，从而满足整个企业中的应用需求。上海和绵阳两个地区的分公司将通过VPN隧道IPSec协议与总公司内部网络相连接，而移动办公人员则是通过VPN隧道PPIP协议来与内部网络进行连接。 第4章 企业网络工程方案设计 4.1 设计原则 （1）可靠性：网络的安全可靠性是网络的一个重要指标。从网络拓扑结构设计中以及设备的选型中对网络的可靠性做出保证。而合理的网络结构也会带来一定的网络安全性，而在网络设计中也应该要提供一些安全手段。 （2）扩展性：随着网络技术的不断发展，网络用户的数量也在不断增加，而用户对网络带宽的需求也在日益增加。网络系统应该能为用户提供足够的带宽，满足用户的实际的网络需求，并且带宽应该具有可扩展性。在设备的选型中也应该考虑以后网络的升级和扩展。 （3）经济性：在进行企业网络的设计中，应在有效的经济资源下要建立一个完善的网络系统，所以需充分考虑一最简便的方法以及最少的投资，实现系统的扩展和维护。 （4）冗余性：在整个企业网络中，为了今后方便扩展，应该在网络中留有适当的冗余，从而是网络具有较强的可扩充性。 （5）先进性：网络技术的发展非常迅速，在计算机领域中也占有越来越重的地位。所以我们必须认识到在网络的建设中选用较为流行的产品才能在未来的发展中保持技术的领先。[2] 4.2 网络拓扑结构设计 4.2.1 互联网设计 成都XX实业（集团）有限公司的网络分布，主要是以三层星型结构对整个网络进行架构。有内外网之分。内网以XX集团青羊区总公司一楼为中心机房，从而覆盖周边的员工公寓的网络，而总公司与员工公寓是以光纤相连接。外网了根据2个分公司的网络而定，通过VPN隧道和总公司大楼的中心机房的防火墙连接来实现与内网相通信。由于企业的网络要长期有效、安全、稳定的使用，网络中的一定要保持良好的通信状态，核心层两个四层交换机不仅可以使网速提高，还可以提供网络的冗余。电信网络与一个带有路由器功能的防火墙相连接，这样对数据的传输和接收都能有效的进行控制和防护。由于防火墙本身有四个接口，一个接DMZ区，一个接外网，一个接内网，一个接口使用的是VPN隧道的硬件模块。DMZ去包括了对外服务器群，还有一个VPN隧道单独使用的服务器，具体如：企业网络拓扑图4.1所示 图4.1企业网络拓扑图 4.2.2 设计说明 本设计方案整体结构主要采用三层星型结构的层次模型，在总公司一楼电梯房旁边的一间房间设计为中心机房，管理公司内所有网络及核心设备，为核心层。公司内部分为两个区，办公区、和员工公寓。各区各设一个汇聚层交换机，负责区域到中心的连接，此为汇聚层（总公司的汇聚层交换机也在中心机房）。余下楼层交换机到桌面为接入层。 整个网络可分为四个区域，服务器区，办公区，员工公寓区，中心机房区，其中中心机房放置在总公司大楼一楼。 在本设计中，考虑到资源的充分利用，总公司到员工公寓大楼比相对较远，所以在宿舍设备间布置一台三层交换机进行汇聚，员工公寓与教学大楼之间采用单模光纤，垂直子系统采用室内多模光纤，以保障主干网络1000M的带宽要求，水平子系统采用超五类UTP，保障100M带宽到桌面。 在和服务器区相连部分采用硬件防火墙，防火墙DMZ区放置对外服务的WEB/FTP服务器，同时兼做外网VPN服务器。并且在两个核心交换机上连接IDS病毒入侵检测系统，对外网访问和内网访问进行审计和检测。 4.2.3 DMZ区设计 DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业WEB服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。DMZ防火墙方案为要保护的内部网络增加了一道安全防线，它通过防火墙的接口从而对VPN隧道和内网进行管理。 外部服务器群主要包括WWW服务器、DNS服务器、FTP服务器、MAIL服务器和VOD服务器，其主要功能是提供外网的访问和一些信息的处理。它与带有路由功能的防火请相连，更加提高了数据传输的安全性和稳定性。外部服务器根据企业的综合情况，从而外部服务器都将选择处理器和缓存等性能较高且硬盘存储量相对较低的服务器。 VPN服务器主要是对上海、绵阳两个分公司和移动办公人员进行对整个内网的访问时实现一个数据的处理和身份的验证，首先分公司和移动办公人员想要访问总公司的内部网络，必须通过VPN连接，请求数据通过防火墙进入DMZ区的VPN服务器，服务器将对请求数据者进行身份验证，合格者才能对内网数据进行访问。 4.2.4 VPN隧道设计 XX企业使用VPN隧道，就是为了能够有效的将远距离的网络和移动办公人员与企业内部网络相连接。VPN英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。[7]VPN被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。这样的连接可以使中心企业和分公司之间更安全和稳定的连接。各个分公司各用了一个防火墙（分公司的路由器带防火墙功能），这样更能保证数据的安全性。[5] 4.2.5 核心层设计 核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。[3]网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。我们选择了两台CISCO WS-C6509的四层交换机作为核心层交换机。核心层设备将占投资的主要部分。核心层需要考虑冗余设计，即我们对核心层了两个可堆叠四层交换机之间的连接采用了捆绑技术。核心层连接了管理服务器、数据库服务器和一个内部服务器群，管理服务器将对内网和外网的所有服务和数据传输进行管理，从而提高企业中的网络安全、稳定的运行。数据库服务器，数据库服务器将对企业的所有数据进行存储、控制和管理，由于企业的的安全性和数据相对较多，数据库服务器将对硬盘存储容量较大和安全性能较高的方面来进行选择。内部服务器群主要包括DHCP服务器、信息系统服务器、视频点播服务器等。DHCP服务器将对企业内部的IP地址通过和VLAN想结合进行有效的分配，从而更能节省IP地址。核心层还连接了一个IDS（入侵检测）和一个管理主机，管理主机将对整个核心层的服务器进行一个有效的管理，而IDS（入侵检测）将对企业网络中所以的数据传入进行检测，实现了一个相对安全的办公环境。 核心层交换机我们选择四层交换机实现数据的高速交换同时实现局域网路由。同时选择购买S-X6524-100FX-MMC作为千兆光模块实现与汇聚层的连接依次实现千兆主干网，百兆到桌面。根据公司的实际带宽需求，选择这个设备可以达到线速。 可靠性，适应性用户信息网站应采用大型关系数据库，模块化等先进成熟的技术方法，在给用户提供了极大的灵活性的同时，也有效地保证了系统的可靠性。CISCO的网络设备一直是行业领先者，在这里我们采用CISCO 6500系列的都是比较高端的交换机，保证可靠性。双电源的设计保证了中心交换机的供电的冗余。 可扩展性：网络构造应具有高度的扩展性，以降低系统扩充的投入成本，并满足信息技术高速发展的需要。能适应2-3年内的业务增长和突发性事件的需要，确保各级系统的可扩充性和先进性，并注意设备的冗余设计以及网络的负载均衡。CISCO 6509的交换机高度模块化，提供插槽的可扩展，电源的可扩展，引擎的可扩展。为日后公司的发展扩容打好基础。[4] 4.2.6 汇聚层设计 汇聚层是楼群、企业部门、小区的信息汇聚点，是连接接入层和核心层的网络设备，为接入层提供数据的汇聚、传输、管理、分发处理。汇聚层为接入层提供基于策略的连接，如地址合并，协议过滤，路由服务，认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互连，控制和限制接入层对核心层的访问，保证核心层的安全和稳定。汇聚层将根据企业各个部门而得出汇聚层交换机的连接。其中都将使用光纤接入，这样更好的提高了冗余能力从而避免单点失效。由于企业信息点较多，本企业中汇聚层应用是三台三层交换机（一台48接口CISCO 3560和CISCO 3570，两台28接口），为了达到XX企业网络构架的需求总公司办公楼分别用的是一台48接口的和一台28接口的三层交换机，员工公寓也用了一台28接口的三层交换机。并且都每一个部门进行了VLAN的分配。 4.2.7 接入层设计 接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上，现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。接入层根据信息点的分布从而将接入层交换机合理的放置，汇聚层到接入层之间都将用六类双绞线想连接，根据现在网络的发展，六类双绞线将在未来几年有更好的应用，企业的汇聚层和接入层使用六类双绞线将有更好的传输速率。 4.2.8 服务器设计 在网络中创建一个稳定、可靠的服务是网络中重要的一部分。服务应该建立在服务器上而且应该放在比较合适的环境中，而服务器应该具备适当的可靠性和性能要求，这样才能够确保服务的正常运行。 建立一个服务时应从用户的需求开始，因为用户才是建立服务的根本原因。如果建立的服务不合乎用户的需求，那就是在浪费精力。在所有的服务中很少有不是为了满足用户需求而建立的，但是DNS就是其中之一，而其他的服务如：MAIL服务和一些网络服务等都是明显为了用户需求建立的。而在进行服务设计时应该注意用户需求的以下几点：用户需要哪些服务功能、喜欢哪些功能、这些服务对用户有多重要，以及这些服务需要什么级别的技术。我们在医院的服务设计中将所有服务器分为两大模块，分别是对外服务器群和对内服务器群。在对外服务器群中有WWW服务器、邮件服务器、DNS服务器等。这些服务器可以提供WEB访问和DNS域名服务等功能。而在对内服务器群中有企业专门的临床信息系统服务器、企业管理信息系统服务器，还有为企业和客户提供视频点播功能，从而使服务器能够有效的进行服务功能。 4.2.9 无线网络设计 企业无线网（Wireless Network）的使用技术可以使公司员工在本地创建无线连接。无论是总公司还是在员工公寓，无线网络都将全面覆盖。我们主要使用的无线网络设备是CISCO WAP4410N，为了能够更好的兼容有线设备。无线网络将对有线网络的一些无法到达之处，实现补充。无线网络还可以实现在无法进行有线网络的布置下使用无线网络，无线网络还可以搭建临时的网络。XX集团一楼接待大厅是公司的形象，所以为了美观，出了前台用的有线外，其余全用无线覆盖，这样更简单及美观。其余每层都将有无线，员工公寓也全部被本公司的无线覆盖。 4.2.10 入侵检测系统（IDS）设计 为了能够安全的工作和有效率的利用网络。一、XX企业对IDS进行了设计，选着了天融信TopSentry 3000（TS-3205-IDS），其功能强大的搜索引擎面对海量的入侵记录1000Mbps吞吐率/攻击事件数2800以上。二、天融信TopSentry 3000（TS-3205-IDS）向用户提供了强大的搜索引擎，丰富的查询搜索方式，这样，用户可以非常方便，快速的按照自己的需要查找所关心的入侵记录。三、天融信TopSentry 3000（TS-3205-IDS）提供的分析报表形式多样：既有实时反映当前网络安全状态的的即时分析报表，又有综合反映周期安全状况的每日分析报表；既有简单明了的决策型报表，又有详细全面的关联型报表。同时用户还可以对分析范围、分析强度、显示方式等进行配置，实现个性化的报表分析，得到最符合用户需求的报表。四、历史记录的统计分析、查询和下载天融信TopSentry 3000（TS-3205-IDS）在为用户提供实时报告的同时，提供对历史记录的综合统计报告和高级搜索功能，并对提供了历史日志文件记录的高级搜索功能。五、多样化报警和响应方式，天融信TopSentry 3000（TS-3205-IDS）一旦检测到入侵行为，可以通过多种方式进行报警，并能够根据预定义的策略，选择切断攻击方的所有连接，或通知防火墙，修改过滤规则，阻断攻击，从而保护本地主机的安全。 4.2.11 管理主机设计 它可以对FTP服务器，WEB服务器，MAIL服务器进行整合管理，通过SiteManage可以对“虚拟主机”进行开通，删除，修改，转移，备份，恢复等各项复杂操作，SiteManage具有强大的自定义配置功能，您能够完全控制其工作流程，也可以交给系统自动完成。SiteManage提供SMWeb系统可以从Web直接提交虚拟主机订单到系统中，SiteManage支持IIS，Serv-U，IMail， Mdaemon等流行服务器。最新支持在线实时监控功能，可以监控用户自定义的服务器和服务，一旦服务停止，可以直接发信，或者反映在网页之中。 4.2.12 IP地址和VLAN的分配 我们主要选取按照部门和端口划分VLAN，选取私有地址172.16.0.0段，在接入外网时通过NAT转换成公网IP地址来实现通讯。根据XX企业实际情况，以及需求分析，我们将整个公司按照需求和应用划分成16个VLAN。 总公司共划分12个VLAN，每个部门各使用一个VLAN，一楼大厅属于市场部，都是VLAN10，上海、绵羊分公司各占一个VLAN，移动用户VPN占用一个VLAN，员工公寓一个VLAN。 根据需求分析，需要7台服务器。一台OA服务器，一台DHCP/WINS/DNS服务器，一台Web服务器，两台数据库服务器，FTP服务器，一台DHCP服务器，除DHCP服务器用静态IP外，其它服务器均采用IP与MAC地址绑定的方式获取。一台VPN服务器，主要对分公司和移动办公人员对总公司内网访问提供服务。[8] IP地址的划分，都是根据实际的信息点来计算可用范围的具体网段分配及VLAN划分见IP、VLAN划分表具体如下表4.1所示： 表4.1 VLAN IP划分表 区域 楼层 信息点数量 Vlan id Vlan name 网络地址 可用范围 总公司 大楼 一楼 5 10 Shichang 172.16.10.0/24 172.16.10.1-254 二楼（人力资源部、后勤部） 160 20 Renliziyuan 172.16.20.0/24 172.16.20.1-254 80 30 Houqin 172.16.30.0/24 172.16.30. 1-126 三楼 240 10 Shichang 172.16.10.0/24 172.16.10.1-254 四楼 240 40 Yewu 172.16.40.0/24 172.16.40.1-254 五楼 240 50 Gongcheng 172.16.50.0/24 172.16.50.1-254 六楼 240 60 Yusuan 172.16.60.0/24 172.16.60.1-254 七楼 240 70 Caizheng 172.16.70.0/24 172.16.70.1-254 八楼 240 80 Jingcheng 172.16.80.0/24 172.16.80.1-254 九楼 240 90 Biaozhi 172.16.90.0/24 172.16.90.1-254 十楼 240 100 Xingzheng 172.16.110.0/24 172.16.100.1-254 员工公寓 一楼 100 110 Sushe1 172.16.110.0/25 172.16.110.