公司局域网设计与规划(编辑修改稿)

公司局域网设计与规划(编辑修改稿)内容摘要：

（ 4）安全保密性：为了保证网上 信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全保密方案。 用户现实需求 （ 1）实现公司内部资源共享（文件共享，打印机共享）。 （ 2）架设公司 web 服务器，方便发布公司自主网站。 （ 3） 内部网络使用 VLAN 分段，隔离广播，防止内部网络非授权的跨网段访问，如公司其他部门不允许访问财务部。 （ 4）核心网络必须有冗余设计，其中包括链路冗余和设备冗余。 东华理工大 学毕业设计（ 论文） 需求分析 7 （ 5）对于移动办公出入频繁的位置，须有无线 AP 的部署。 （ 6) 内、外网之间有防火墙设置，并且 能够实现私有地址向公有地址转换。 （ 7） 外网用户可以与内网用户通信，但不能访问公司内网服务器和财务部。 技术可行 对于公司网络的设计与规划，技术可行性分析是不可缺少的一部分，目前常用的网络技术主要有 VLAN 技术， ACL 技术， DHCP 技术， NAT 技术， WLAN 技术，下面将对这 5 种技术进行逐个讲解。 VLAN 技术 虚拟网（ VLAN）技术就是将一个交换网络逻辑地划分成若干子网，每一个子网就是一个广播域。 逻辑上划分的子网在功能上与传统物理上划分的子网相同，划分可以根据交换机的端口、 MAC 地址、 IP 地址来进行。 虚拟局域网在功能和操作上与传统 LAN 基本相同， VLAN 与传统的 LAN 相比，具有以下优势： 减少移动和改变的代价 即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置是，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。 虚拟工作组 使用 VLAN 的最终目标就是建立虚拟工作组模型，例如，在企业网中，同一个部门的就好象在同一个 LAN 上一样，很容易的互相访 问，交流信息，同时，所有的广播包也都限制在该虚拟 LAN 上，而不影响其他 VLAN 的人。 一个人如果从一个办公地点换到另外一个地点，而他仍然在该部门，那么，该用户的配置无须改变；同时，如果一个人虽然办公地点没有变，但他更换了部门，那么，只需网络管理员更改一下该用户的配置即可。 这个功能的目标就是建立一个动态的组织环境，当然，这只是一个理想的目标，要实现它，还需要一些其他方面的支持；用户不受到物理设备的限制， VLAN 用户可以处于网络中的任何地方； VLAN对用户的应用是不产生影响， VLAN 的应用解决了许多大型二层交换网 络产生的问题。 限 制广播包，提高带宽的利用率 有效地解决了广播风暴带来的性能下降问题。 一个 VLAN 形成一个小的广播域，同一个 VLAN 成员都在由所属 VLAN 确定的广播域内，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该 VLAN 的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个 VLAN 内，在一定程度上可以节省带宽。 增强通迅的安全性 东华理工大 学毕业设计（ 论文） 需求分析 8 一个 VLAN 的数据包不会发送到另一个 VLAN，这样，其他 VLAN 的用户的网络上是收不到任何该 VLAN 的数据包，这样就确保了该 VLAN 的信息不会被 其他 VLAN 的人窃听，从而实现了信息的保密。 增强网络的健壮性 当网络规模增大时，部分网络出现问题往往会影响整个网络，引入 VLAN之后，可以将一些网络故障限制在一个 VLAN 之内。 由于 VLAN 是逻辑上对网络进行划分，组网方案灵活，配置管理简单，降低了管理维护的成本。 ACL 技术 ACL（访问控制列表）是一种对经过路由器的数据流进行判断、分类和过滤的方法。 其主要作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发，其主要目的是对数据流量进行管理和控制。 在一个 ACL中可以包含一条 或多条特定类型的 IP 数据报的规则， ACL 可以简单到只包括一条规则，也可以是复杂到包括很多规则。 通过多条规则来定义与规则中相匹配的数据分组。 访问控制列表分为两种类型： 标准 ACL 只针对数据包的源地址信息作为过滤的标准而不能基于协议或应用来进行过滤。 即只能根据数据包是从那里来的来进行控制，而不能基于数据包的协议类型及应用来对其进行控制， 其编号号码范围从 1 到 99。 扩展 ACL 可以针对数据包的源地址、目的地址、协议类型及应用类型（端口号）等信息作为过滤的标准。 即可以根据数据包是从那里来、到那里去、何种协议、什么样的应用等特征的来进行精确地控制， 其编号号码范围从 100 到 199。 接下来讨论 ACL 内部的具体处理过程：如图 21 东华理工大 学毕业设计（ 论文） 需求分析 9 图 21 ACL工作原理 每个 ACL 可以有多条语句（规则）组成，当一个 数据包要通过 ACL 的检查时首先检查 ACL 中的第一条语句。 如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。 如果关键字是 permit 则转发数据包，如果关键字是 deny 则直接丢弃此数据包。 如果没有匹配第一条语句的判别条件则进行下一条语句的匹配，同样如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。 如果关键字是permit 则转发数据包，如果关键字是 deny 则直接丢弃此数据包。 这样的过程一直进行，一旦数据包匹配了某条语句的判别语句则根据这条语句所配置的关键字或转发或丢弃。 如果一个数据包没有 匹配上 ACL 中的任何一条语句则会被丢弃掉，因为缺省情况下每一个 ACL 在最后都有一条隐含的匹配所有数据包的条目，其关键字是 deny。 以上 ACL 内部的处理过程总的来说，就是自上而下，顺序执行，直到找到匹配的规则，拒绝或允许。 DHCP 技术 动态 主机 设置协议（ Dynamic Host Configuration Protocol, DHCP）是一个 局域网 的 网络协议 ，使用 UDP 协议工作，主要有两个用途：给内部网络或 网络服务 供应商自动分配 IP 地址 ，给用户或者内部 网络管理员 作为对所有 计算机 作中央管理的手段。 它分为两个部份：一个是服务器端，而另一个是客户端。 所有的 IP 网络设定资料都由 DHCP 服务器集中 管理，并负责处理客户端的 DHCP 要东华理工大 学毕业设计（ 论文） 需求分析 10 求；而客户端则会使用从服务器分配下来的 IP 信息。 DHCP 协议的主要特点有： 整个 IP 分配过程自动实现，在客户端上，除了将 DHCP 选项 打勾外，无需做任何 IP 环境设定； 所有的 IP 网络设定资料都由 DHCP 服务器统一管理，还可以帮客户端指定mask、 DNS 服务器、缺省网关等参数； 通过 IP 地址租期管理（到达期限时，可能会延长“租约”或重新分配地址），实现 IP 地址分时复用； DHCP 采用广播方式交互报文，由于默认情况下路由器不会将收到的广播包从一个子网发送到另一个子网 ，因而当 DHCP 服务器与客户主机不在同一个子网时，必须使用 DHCP 中继（即 DHCP relay）； DHCP 协议的安全性较差，服务器容易受到攻击。 DHCP 的工作原理： DHCP 采用客户 /服务器模型，其工作原理遵循客户 /服务器模型。 当 PC 连接到 DHCP 服务器时，服务器向它分配或出租 IP 地址。 PC 将使用租借的 IP 地址连接到网络，直到租期结束。 主机必须定期与 DHCP 服务器联系以续展租期，这种租用机制确保主机移动或关闭后不会继续占用不再需要的地址。 DHCP 服务器将这些地址归还给地址池，并在必要时从新分配它们。 图 22 和下面的步骤说明了 DHCP 服务器如何给 DHCP 客户端分配 IP 地址配置。 图 22 DHCP 工作原理 第 1 步 DHCP 发现。 客户端启动要加入网络时，为获得地址租用完成 4 个步骤。 在第 1 步中，客户端广播 DHCPDISCOVER 消息，以便找到网络中的 DHCP 服务器。 由于主机启动时没有有效的 IP 信息，因此它使用第 2 层和第 3 层广播地址与服务器通信。 第 2 步 DHCP 提议。 DHCP 服务器收到 DHCPDISCOVER 消息后，它找到一个可东华理工大 学毕业设计（ 论文） 需求分析 11 租用的 IP 地址，然后创建一个 ARP 条目，其中包含请求主机的 MAC 地址和要出租的 IP 地址，最后，它使用 DHCPOFFER 消息传输提议。 DHCPOFFER 消息是以单播发送的，它将服务器的第二层 MAC 地址作为源地址，将客户端的第 2 层地址作为目标地址。 第 3 步 DHCP 请求。 客户端收到来自服务器的 DHCPOFFER 后，它发送一条DHCPREQUEST 消息。 该消息有两个作用：请求租用以及续租和验证。 用于请求租用时，客户端的 DHCPREQUEST 消息要求在 IP 地址分配后检验其有效性。 该消息提供错误检查，确保地址分配仍然有效。 DHCPEQUEST 还用于向选定服务器发送绑定接受通知，并隐式拒绝其他服务器提供的绑定提议。 第 4 步 DHCP 确认。 收到 DHCPEQUEST 消息后，服务器验证租用信息，为客户端租用创建一个新的 ARP 条目，并使用单播 DHCPACK 消息进行应答。 除消息类型字段不同外， DHCPACK 消息与 DHCPOFFER 消息别无二致。 客户端收到 DHCPACK消息后，将记录配置信息，并根据分配的地址执行 ARP 查找。 如果没有收到应答，便可确定该 IP 地址仍可用，因此将其作为自己的 IP 地址。 NAT 技术 网络地址转换 (NAT,Network Address Translation)属接入广域网 (WAN)技术，是一种将私有（保留）地址转化为合法 IP 地址的转换技术，它被广泛应用于各种类型 Inter 接入方式和各种类型的网络中。 原因很简单， NAT 不仅完美地解决了 lP 地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 NAT 在带来优点的同时，也带来了不少缺点：使用 NAT 必然要引入额外 的延迟；丧失端到端的 IP 跟踪能力； 地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。 NAT 的 工 作原理： 如图 23 所示 图 23 NAT工作原理图 首先，我们要清楚，在局域网内部的私有地址是不能访问外网的，必须通过转换成公有地址才可以访问 Inter，以上所图，是两个公司之间的 Inter 网东华理工大 学毕业设计（ 论文） 需求分析 12 络互相交流，下面来谈谈它的工作原理 ： 网络的 PC1 想要访 问 网络的 User1 PC1 向 RA（网关）发送请求，告诉自己的私有 IP 地址和 MAC 地址，并且要求自己要到达 网络的 User1 主机 ； RA 收到请求后，把 PC1 的源 IP 地址进行转换，变成内部全局地址，即公有地址 ，并且为 PC1 制定一个随机产生的端口号（来识别某台主机），发送到 Inter 网 ； Inter 网络收到了内部全局 IP 地址的请求，之间进行路由选择，被 RB接收， RB 通过查看 RA 发送过来的内部全局 IP 地址和端口号等信息，直接发送给 网络的网关 ； 网关路由器 RB 收到了信息，根据对方发过来的目标主机信息，把数据传输给 网络的 User1 主机 ； 根据 ICMP 协议， user1 主机需要回应，对数据进行相应的处理，把数据封装后发送给网关 ； 网关把 user1 的私有 IP 地址转换成外部局部 IP 地址，即公有地址，通过这个公有地址，转发到路由器 RA； RA 收到数据包，查看自己缓存里的对应的主机和端口，并对 网络的 PC1 进行转发。 WLAN 技术 无线局域网络是指以无线电波、激光、红外线等无线媒介来代替有线局域网中的部分或全部传输媒介而 构成的网络。 它不仅可以作为有线数据通信的补充和延伸，而且还可以与有线网络环境互为备份。 无线局域网络技术或许是应用最广泛、最具有商业价值并且发展的最好的无线网络技术。 在无线 LAN 中，每个客户端分别使用一个无线适配器通过无线 AP 访问网络， 无线 AP（。