【正文】 ....................................................... 50 1 前言 信息化浪潮風(fēng)起云涌的今天，企業(yè)的業(yè)務(wù)已經(jīng)全面電子化，與 Inter 的聯(lián)系相當(dāng)緊密，所以他們需要良好的信息平臺(tái)去支撐業(yè) 務(wù)的高速發(fā)展。沒有信息技術(shù)背景的企業(yè)也將會(huì)對(duì)網(wǎng)絡(luò)建設(shè)有主動(dòng)訴求。任何決策的科學(xué)性和可靠性都是以信息為基礎(chǔ)的，信息和決策是同一管理過程中的兩個(gè)方面，因此行業(yè)信息化也就成了人們所討論并實(shí)踐著的重要課題。公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競(jìng)爭(zhēng)力的關(guān)鍵因素。公司網(wǎng)已經(jīng)越來越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通，公司網(wǎng)絡(luò)的優(yōu)劣直接關(guān)系到公司能否獲 得關(guān)鍵的競(jìng)爭(zhēng)優(yōu)勢(shì)。眾多行業(yè)巨擘紛紛上馬各種應(yīng)用方案且取得了巨大的成功，這使信息化建設(shè)更具吸引力。 在現(xiàn)在企業(yè)中，普遍存在 資金不足、信息基礎(chǔ)薄弱、技術(shù)人員匱乏等特點(diǎn)，使得他們不能有效地將自身傳統(tǒng)業(yè)務(wù)與信息系統(tǒng)很好的結(jié)合起來，以至于常常會(huì)出現(xiàn)投入不見效的情況。究其原因，在于企業(yè)信息化觀念不夠，信息系統(tǒng)沒有總體設(shè)計(jì)原則，信息化建設(shè)缺乏規(guī)劃，致使企業(yè)協(xié)同運(yùn)作存在障礙，運(yùn)營(yíng)成本居高不下。作為企業(yè)的局域網(wǎng)，它不僅可以為企業(yè)提供高效的辦公環(huán)境，還可以實(shí)現(xiàn)硬件資源和軟件資源的共享從而節(jié)省了企業(yè)大量開支，又便于集中管理和提高工作效率。其次企業(yè)局域網(wǎng)要實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接，從而極大的方便了企業(yè)和外界的溝通，這樣不僅可以降低企業(yè)的生產(chǎn)成本 ，也可以實(shí)現(xiàn)異地辦公。企業(yè)用戶可以方便地傳輸各類數(shù)據(jù)，開展各類網(wǎng)絡(luò)應(yīng)用。 隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)尤其是 Inter 技術(shù)的高速發(fā)展，加快對(duì)企業(yè)局域網(wǎng)建設(shè)迫在眉睫。因此構(gòu)建一個(gè)“安全可靠、性能卓越、管理方便”的企業(yè)局域網(wǎng)，已經(jīng)成為企業(yè)信息化建設(shè)成功的關(guān)鍵基石。 2 本課題的設(shè)計(jì)需要綜合運(yùn)用各種知識(shí)來完成本課題，不僅可以使我進(jìn)一步掌握計(jì)算機(jī)網(wǎng)絡(luò)原理、熟悉企業(yè)局域網(wǎng)的設(shè)計(jì)搭建，而且可以增強(qiáng)了我的自學(xué)能力和動(dòng)手能力。 3 第一章 技術(shù)可行性 和需求分析 技術(shù)可行性 NAT 技術(shù) 隨著 Inter 的迅速發(fā)展， IP 地址短缺已經(jīng)成為一個(gè)十分突出的問題。為了解決這個(gè)問題，出現(xiàn)了多種解決方案，而 NAT（ Network Address Translation 網(wǎng)絡(luò)地址轉(zhuǎn)換）是目前網(wǎng)絡(luò)環(huán)境中比較有效的方法。 1）什么是 NAT NAT 提供了連接互聯(lián)網(wǎng)的一種簡(jiǎn)單方式，并且通過隱藏內(nèi)部網(wǎng)絡(luò)地址的手段為用戶提供了安全保護(hù)。內(nèi)部用戶連接互聯(lián)網(wǎng)時(shí)， NAT 將用戶的內(nèi)部網(wǎng)絡(luò) IP 地址轉(zhuǎn)換成一個(gè)外部公共 IP 地址，并在 NAT 地址轉(zhuǎn)換表中記錄下這個(gè)轉(zhuǎn)換項(xiàng)；當(dāng)外部網(wǎng)絡(luò)數(shù)據(jù)返回時(shí)， NAT 技術(shù)查 詢 NAT 地址轉(zhuǎn)換項(xiàng)，將目標(biāo) IP 地址替換成初始的內(nèi)部用戶的 IP 地址，報(bào)數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)用戶。由于這樣對(duì)外隱藏了內(nèi)部網(wǎng)絡(luò)的 IP 地址，因此，外部用戶無法直接發(fā)起到內(nèi)部網(wǎng)絡(luò)的連接，從而保護(hù)了內(nèi)部網(wǎng)絡(luò)用戶。 2） NAT 的優(yōu)點(diǎn)和缺點(diǎn) （ 1） NAT 的優(yōu)點(diǎn) NAT 節(jié)省了公共地址：一個(gè)企業(yè)申請(qǐng)的合法 IP 地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多，可以通過 NAT 功能實(shí)現(xiàn)多個(gè)用戶同時(shí)公用一個(gè)合法 IP 地址與外部網(wǎng)絡(luò)進(jìn)行通信。 NAT 允許內(nèi)部網(wǎng)絡(luò)編址的一致性 ：如果一個(gè)單位沒有使用私有地址和 NAT， 4 當(dāng)公有地址發(fā)生變化時(shí)，要改變公司內(nèi)的所有主機(jī) IP 地址，工作量巨大。如果采用了 NAT 只更改 NAT 設(shè)備的 IP 地址池配置，內(nèi)部網(wǎng)絡(luò)的編址不受影響。這意味著，一個(gè)單位可以更換 ISP 而不需要改變 內(nèi)部主機(jī)的 IP 地址。 NAT 增加了連接到公網(wǎng)的彈性：可以使用多地址池、備份池、負(fù)載均衡池，確?？煽康墓W(wǎng)連接。 NAT 提高了內(nèi)部網(wǎng)絡(luò)的安全：一個(gè)企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，可以通過 NAT 將內(nèi)部網(wǎng)絡(luò)與外部 Inter 隔離開，則外部用戶根本不知道通過 NAT 的內(nèi)部 IP 地址。 NAT 雖然能提高內(nèi)部網(wǎng)絡(luò)的安全，但無法取代防火墻。 （ 2） NAT 的缺點(diǎn) NAT 影 響性能：轉(zhuǎn)換每一個(gè)包頭中的 IP 地址需要時(shí)間， NAT 增加了交換延時(shí)。路由器必須檢查每一個(gè)包來決定是否需要轉(zhuǎn)換，路由器需要轉(zhuǎn)換 IP 頭，有時(shí)還需要轉(zhuǎn)換 TCP 或 UDP 頭部。 NAT 缺乏對(duì)一些應(yīng)用的支持：很多 Imter 協(xié)議和應(yīng)用依賴于端到端的應(yīng)用，包從源到目的地不能被修改。通過修改端到端的地址， NAT 阻止了一些應(yīng)用，比如一些安全應(yīng)用，如數(shù)字簽名就會(huì)失敗，因?yàn)閿?shù)據(jù)包中源 IP 地址發(fā)生了變化。 NAT 不利于追蹤：經(jīng)過多次 NAT，端到端的追蹤變得非常困難。另外，因?yàn)镹AT 的存在，也很難追蹤或獲得黑客使用的真是 IP 地址。 NAT 使一些隧道協(xié)議變得復(fù)雜：因?yàn)?NAT 修改了包頭中的值，給 IPSec 或其他隧道協(xié)議的完整性帶來困難。 5 VLAN 技術(shù) VLAN（ 虛擬局域網(wǎng) ）是對(duì)連接到的 第二層交換機(jī) 端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行 網(wǎng)絡(luò)分段 。一個(gè) VLAN 可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。 VLAN 可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的 應(yīng)用程序 和協(xié)議來進(jìn)行分組?；诮粨Q機(jī)的 虛擬局域網(wǎng) 能夠?yàn)榫钟蚓W(wǎng)解決 沖突域 、 廣播域 、 帶寬 問題。 傳統(tǒng)的共享介質(zhì)的 以太網(wǎng) 和交換式的以太網(wǎng)中，所有的用戶在同一個(gè) 廣播域 中，會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬；而且對(duì) 廣播風(fēng)暴 的控制和網(wǎng)絡(luò)安全只能在第三層的 路由器 上實(shí)現(xiàn)。 VLAN 相當(dāng)于 OSI 參考模型 的第二層的 廣播域 ，能夠?qū)?廣播風(fēng)暴控制 在一個(gè)VLAN 內(nèi)部，劃分 VLAN 后，由于廣播域的縮小，網(wǎng)絡(luò)中 廣播包 消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的 VLAN 之間的數(shù)據(jù)傳輸是通過第三層（ 網(wǎng)絡(luò)層 ）的路由來實(shí)現(xiàn)的，因此使用 VLAN 技術(shù)，結(jié)合 數(shù)據(jù)鏈路層 和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。 網(wǎng)絡(luò)管理員 通過控制 交換機(jī) 的每一個(gè)端口來控制網(wǎng)絡(luò)用戶對(duì) 網(wǎng)絡(luò)資源 的訪問，同時(shí) VLAN 和第三層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全措施。 另外， VLAN 具有靈活性和 可 擴(kuò)張性等特點(diǎn)，方便于 網(wǎng)絡(luò)維護(hù) 和管理，這兩個(gè)特點(diǎn)正是現(xiàn)代局域網(wǎng)設(shè)計(jì)必須實(shí)現(xiàn)的兩個(gè)基本目標(biāo)，在局域網(wǎng)中有效利用 虛擬局域網(wǎng) 技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率。 DHCP 技術(shù) DHCP 是 Dynamic Host Configuration Protocol(動(dòng)態(tài) 主機(jī) 配置協(xié)議）縮寫，它的前身是 BOOTP。 BOOTP 原本是用于無磁盤 主機(jī) 連接的網(wǎng)絡(luò)上面的：網(wǎng)絡(luò)主機(jī)使用 BOOT ROM 而不是磁盤啟動(dòng)并連接上網(wǎng)絡(luò)， BOOTP 則可以自動(dòng)地為那些主機(jī)設(shè)定 TCP/IP 環(huán)境。但 BOOTP 有一個(gè)缺點(diǎn)：您在設(shè)定前須事先獲得 客戶端 的硬件地址，而且與 IP 的對(duì)應(yīng)是靜態(tài)的。換而言之， BOOTP 非常缺乏 動(dòng)態(tài)性 ， 6 若在有限的 IP 資源環(huán)境中， BOOTP 的一一對(duì)應(yīng)會(huì)造成非常嚴(yán)重的資源浪費(fèi)。 DHCP 可以說是 BOOTP 的增強(qiáng)版本，它分為兩個(gè)部份：一個(gè)是 服務(wù)器 端，而另一個(gè)是客戶端 。所有的 IP 網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器 集中管理，并負(fù)責(zé)處理 客戶端 的 DHCP 要求；而客戶端則會(huì)使用從 服務(wù)器 分配下來的 IP環(huán)境數(shù)據(jù)。使用 DHCP，整個(gè)計(jì)算機(jī)的配置文件都可以在一條信息中獲得（除了 IP 地址，服務(wù)器可以同時(shí)發(fā)送 子網(wǎng)掩碼 、 缺省網(wǎng)關(guān) 、 DNS服務(wù)器 和其他的 TCP/IP配置）。比較起 BOOTP ，DHCP 透過 租約 的概念，有效且動(dòng)態(tài)的分配 客戶端 的 TCP/IP 設(shè)定，而且，作為兼容考慮， DHCP 也完全照顧了 BOOTP Client 的需求。 DHCP 的分配形式 首先，必須至少有一臺(tái) DHCP 服務(wù)器 工作在網(wǎng)絡(luò)上面，它會(huì)監(jiān)聽網(wǎng)絡(luò)的 DHCP 請(qǐng)求，并與客戶端磋商 TCP/IP 的設(shè)定環(huán)境。 ACL 技術(shù) 訪問控制列表 （ Access Control List， ACL） 是 路由器 和 交換機(jī) 接口的指令列表，用來 控制端口 進(jìn)出的數(shù)據(jù)包。 ACL 適用于所有的 被路由協(xié)議 ，如 IP、IPX、 AppleTalk 等。這張表中包含了匹配 關(guān)系、條件和查詢語句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種 訪問 進(jìn)行控制。 ACL 可以用作控制和過濾流經(jīng)路由器端口的數(shù)據(jù)包的工具。通過使用 ACL，路由器提供了基本的數(shù)據(jù)流過濾能力。 ACL 具有下列作用： 1）限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能 2） 提供數(shù)據(jù)流控制 3）為網(wǎng)絡(luò)訪問提供基本的安全層 4）決定轉(zhuǎn)發(fā)或者阻止哪些類型的數(shù)據(jù)流 7 PPP 協(xié)議 點(diǎn)對(duì)點(diǎn)協(xié)議（ PPP）為在點(diǎn)對(duì)點(diǎn)連接上傳輸多協(xié)議數(shù)據(jù)包提供了一個(gè)標(biāo)準(zhǔn)方法。 PPP 最初設(shè)計(jì)是為兩個(gè)對(duì)等節(jié)點(diǎn)之間的 IP 流量傳輸提供一種封裝協(xié)議。在 TCPIP 協(xié)議集中它是一種用來同步調(diào)制連接的數(shù)據(jù)鏈路層協(xié)議（ OSI 模式中的第二層），替代了原來非標(biāo)準(zhǔn)的第二層協(xié)議，即 SLIP。除了 IP 以外 PPP 還可以攜帶其它協(xié)議，包括 DEC 和 Novell 的 Inter 網(wǎng)包交換（ IPX）。 VTP 技術(shù) 它是一個(gè) OSI 參考模型 第二層的 通信協(xié)議 ，主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi) VLANs 的建立 、刪除和 重命名 。在一臺(tái) VTP Server 上配置一個(gè)新的VLAN 時(shí)，該 VLAN 的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有 交換機(jī) 。這些 交換機(jī) 會(huì)自動(dòng)地接收這些配置信息，使其 VLAN 的配置與 VTP Server 保持一致，從而減少在多臺(tái)設(shè)備上配置同一個(gè) VLAN 信息的工作量，而且保持了 VLAN 配置的統(tǒng)一性。 VTP 通過網(wǎng)絡(luò) (ISL 幀或 cisco 私有 DTP 幀 )保持 VLAN 配置統(tǒng)一性。 VTP 在系統(tǒng)級(jí)管理增加，刪除，調(diào)整的 VLAN，自動(dòng)地將信息向網(wǎng)絡(luò)中其它的 交換機(jī) 廣播。此外， VTP 減小了那些可能導(dǎo)致安全問題的配置。便于管理 ,只要在 vtp server 做相應(yīng)設(shè)置 ,vtp client 會(huì)自動(dòng)學(xué)習(xí) vtp server 上的 vlan 信息 * 當(dāng)使用多重名字 VLAN 能變成交叉 連接。 * 當(dāng)它們是 錯(cuò)誤 地映射在一個(gè)和其它 局域網(wǎng) ， VLAN 能變成內(nèi)部斷開。 VTP 有三種工作模式： VTP Server、 VTP Client 和 VTP Transparent。新 交換機(jī) 出廠時(shí)的默認(rèn)配置是預(yù)配置為 VLAN1， VTP 模式為服務(wù)器。 一般，一個(gè) VTP域 內(nèi)的整個(gè)網(wǎng)絡(luò)只設(shè)一個(gè) VTP Server。 VTP Server 維護(hù)該 VTP 域中所有 VLAN 信息列表， VTP Server 可以建立、刪除或修改 VLAN，發(fā)送并轉(zhuǎn)發(fā)相關(guān)的通告信息，同步 vlan 配置，會(huì)把配置保存在 NVRAM 中。 VTP Client 雖然也維護(hù)所有 VLAN 8 信息列表，但其 VLAN 的配置信息是從 VTP Server 學(xué)到的， VTP Client 不能建立、刪除或修改 VLAN，但可以轉(zhuǎn)發(fā)通告，同步 vlan 配置，不保存配置到 NVRAM中。 VTP Transparent 相當(dāng)于是一項(xiàng)獨(dú)立的 交換機(jī) ，它不參與 VTP 工作，不從VTP Server 學(xué)習(xí) VLAN 的配置信息，而只擁有本設(shè)備上自己維護(hù)的 VLAN 信息。VTP Transparent 可以建立、刪除和修改本機(jī)上的 VLAN 信息，同時(shí)會(huì)轉(zhuǎn)發(fā)通告并把配置保存到 NVRAM 中。 STP 技術(shù) STP（ Spanning Tree Protocol）是生成樹協(xié)議的英文縮寫。該協(xié)議可應(yīng)用于在網(wǎng)絡(luò)中建立樹形拓?fù)?，消除網(wǎng)絡(luò)中的環(huán)路，并且可以通過一定的方法實(shí)現(xiàn)路徑冗余，但不是一定可以實(shí)現(xiàn)路徑冗余。生成樹協(xié)議適合所有廠商的網(wǎng)絡(luò)設(shè)備，在配置上和體現(xiàn)功能強(qiáng)度上有所差別，但是在原理和應(yīng)用效果是一致的。 STP 的基本原理是，通過在交換機(jī) 之間傳遞一種特殊的協(xié)議報(bào)文，網(wǎng)橋協(xié)議數(shù)據(jù)單元（ Bridge Protocol Data Unit，簡(jiǎn)稱 BPDU），來確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。BPDU 有兩種，配置 BPDU（ Configuration BPDU）和 TCN BPDU。前者是用于計(jì)算無環(huán)的生成樹的，后者則是用于在二層網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)產(chǎn)生用來縮短 CAM表項(xiàng)的刷新時(shí)間的（由默認(rèn)的 300s 縮短為 15s）。 Spanning Tree Protocol(STP)在 文檔中定義。該協(xié)議的原理是按照樹的結(jié)構(gòu)來構(gòu)造網(wǎng)絡(luò)拓?fù)洌W(wǎng)絡(luò)中的環(huán)路，避免 由于環(huán)路的存在而造成廣播風(fēng)暴問題。 Spanning Tree Protocol(STP)的基本思想就是按照 樹 的結(jié)構(gòu)構(gòu)造網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，樹的根是一個(gè)稱為根橋的橋設(shè)備，根橋的確立是由交換機(jī)或網(wǎng)橋的BID（ Bridge ID）確定的， BID 最小的設(shè)備成為二層網(wǎng)絡(luò)中的根橋。 BID 又是由網(wǎng)橋優(yōu)先級(jí)和 MAC 地址構(gòu)成，不同廠商的設(shè)備的網(wǎng)橋優(yōu)先級(jí)的字節(jié)個(gè)數(shù)可能不同。由根橋開始，逐級(jí)形成