【文章內(nèi)容簡(jiǎn)介】 全的安全保密方案。 用 戶現(xiàn)實(shí)需求 （ 1）實(shí)現(xiàn)公司內(nèi)部資源共享（文件共享，打印機(jī)共享）。 （ 2）架設(shè)公司 web 服務(wù)器，方便發(fā)布公司自主網(wǎng)站。 （ 3） 內(nèi)部網(wǎng)絡(luò)使用 VLAN 分段，隔離廣播，防止內(nèi)部網(wǎng)絡(luò)非授權(quán)的跨網(wǎng)段訪問(wèn)，如公司其他部門不允許訪問(wèn)財(cái)務(wù)部。 （ 4）核心網(wǎng)絡(luò)必須有冗余設(shè)計(jì)，其中包括鏈路冗余和設(shè)備冗余。 東華理工大學(xué)畢業(yè)設(shè)計(jì)（ 論文） 需求分析 7 （ 5）對(duì)于移動(dòng)辦公出入頻繁的位置，須有無(wú)線 AP 的部署。 （ 6) 內(nèi)、外網(wǎng)之間有防火墻設(shè)置，并且能夠?qū)崿F(xiàn)私有地址向公有地址轉(zhuǎn)換。 （ 7） 外網(wǎng)用戶可以與內(nèi)網(wǎng)用戶通信，但不能訪問(wèn)公司內(nèi)網(wǎng)服務(wù)器 和財(cái)務(wù)部。 技術(shù)可行 對(duì)于公司網(wǎng)絡(luò)的設(shè)計(jì)與規(guī)劃，技術(shù)可行性分析是不可缺少的一部分，目前常用的網(wǎng)絡(luò)技術(shù)主要有 VLAN 技術(shù)， ACL 技術(shù)， DHCP 技術(shù)， NAT 技術(shù)， WLAN 技術(shù)，下面將對(duì)這 5 種技術(shù)進(jìn)行逐個(gè)講解。 VLAN 技術(shù) 虛擬網(wǎng)（ VLAN）技術(shù)就是將一個(gè)交換網(wǎng)絡(luò)邏輯地劃分成若干子網(wǎng)，每一個(gè)子網(wǎng)就是一個(gè)廣播域。邏輯上劃分的子網(wǎng)在功能上與傳統(tǒng)物理上劃分的子網(wǎng)相同，劃分可以根據(jù)交換機(jī)的端口、 MAC 地址、 IP 地址來(lái)進(jìn)行。 虛擬局域網(wǎng)在功能和操作上與傳統(tǒng) LAN 基本相同， VLAN 與傳統(tǒng)的 LAN 相比，具有以下優(yōu)勢(shì)： 減少移動(dòng)和改變的代價(jià) 即所說(shuō)的動(dòng)態(tài)管理網(wǎng)絡(luò)，也就是當(dāng)一個(gè)用戶從一個(gè)位置移動(dòng)到另一個(gè)位置是，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動(dòng)態(tài)的完成，這種動(dòng)態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來(lái)了極大的好處，一個(gè)用戶，無(wú)論他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好的。 虛擬工作組 使用 VLAN 的最終目標(biāo)就是建立虛擬工作組模型，例如，在企業(yè)網(wǎng)中，同一個(gè)部門的就好象在同一個(gè) LAN 上一樣，很容易的互相訪問(wèn)，交流信息，同時(shí)，所有的廣播包也都限制在該虛擬 LAN 上，而不影響其他 VLAN 的人。一個(gè)人如果從一個(gè)辦公地點(diǎn)換到另外一個(gè)地點(diǎn)，而他仍然在該部門，那么，該用戶的配置無(wú)須改變；同時(shí)，如果一個(gè)人雖然辦公地點(diǎn)沒(méi)有變，但他更換了部門，那么，只需網(wǎng)絡(luò)管理員更改一下該用戶的配置即可。這個(gè)功能的目標(biāo)就是建立一個(gè)動(dòng)態(tài)的組織環(huán)境，當(dāng)然，這只是一個(gè)理想的目標(biāo)，要實(shí)現(xiàn)它，還需要一些其他方面的支持；用戶不受到物理設(shè)備的限制， VLAN 用戶可以處于網(wǎng)絡(luò)中的任何地方； VLAN對(duì)用戶的應(yīng)用是不產(chǎn)生影響， VLAN 的應(yīng)用解決了許多大型二層交換網(wǎng)絡(luò)產(chǎn)生的問(wèn)題。 限 制廣播包，提高帶寬的利用率 有效地解決了廣播風(fēng)暴帶來(lái)的性能下降問(wèn)題。一個(gè) VLAN 形成一個(gè)小的廣播域，同一個(gè) VLAN 成員都在由所屬 VLAN 確定的廣播域內(nèi)，那么，當(dāng)一個(gè)數(shù)據(jù)包沒(méi)有路由時(shí)，交換機(jī)只會(huì)將此數(shù)據(jù)包發(fā)送到所有屬于該 VLAN 的其他端口，而不是所有的交換機(jī)的端口，這樣，就將數(shù)據(jù)包限制到了一個(gè) VLAN 內(nèi)，在一定程度上可以節(jié)省帶寬。 增強(qiáng)通迅的安全性 東華理工大學(xué)畢業(yè)設(shè)計(jì)（ 論文） 需求分析 8 一個(gè) VLAN 的數(shù)據(jù)包不會(huì)發(fā)送到另一個(gè) VLAN，這樣，其他 VLAN 的用戶的網(wǎng)絡(luò)上是收不到任何該 VLAN 的數(shù)據(jù)包，這樣就確保了該 VLAN 的信息不會(huì)被其他 VLAN 的人竊聽(tīng)，從而實(shí)現(xiàn)了信息的保密。 增強(qiáng)網(wǎng)絡(luò)的健壯性 當(dāng)網(wǎng)絡(luò)規(guī)模增大時(shí)，部分網(wǎng)絡(luò)出 現(xiàn)問(wèn)題往往會(huì)影響整個(gè)網(wǎng)絡(luò)，引入 VLAN之后，可以將一些網(wǎng)絡(luò)故障限制在一個(gè) VLAN 之內(nèi)。由于 VLAN 是邏輯上對(duì)網(wǎng)絡(luò)進(jìn)行劃分，組網(wǎng)方案靈活，配置管理簡(jiǎn)單，降低了管理維護(hù)的成本。 ACL 技術(shù) ACL（訪問(wèn)控制列表）是一種對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)流進(jìn)行判斷、分類和過(guò)濾的方法。其主要作用是根據(jù)數(shù)據(jù)包與數(shù)據(jù)段的特征來(lái)進(jìn)行判斷，決定是否允許數(shù)據(jù)包通過(guò)路由器轉(zhuǎn)發(fā)，其主要目的是對(duì)數(shù)據(jù)流量進(jìn)行管理和控制。在一個(gè) ACL中可以包含一條或多條特定類型的 IP 數(shù)據(jù)報(bào)的規(guī)則， ACL 可以簡(jiǎn)單到只包括一條規(guī)則，也可以是復(fù)雜到包括很多規(guī)則 。通過(guò)多條規(guī)則來(lái)定義與規(guī)則中相匹配的數(shù)據(jù)分組。訪問(wèn)控制列表分為兩種類型： 標(biāo)準(zhǔn) ACL 只針對(duì)數(shù)據(jù)包的源地址信息作為過(guò)濾的標(biāo)準(zhǔn)而不能基于協(xié)議或應(yīng)用來(lái)進(jìn)行過(guò)濾。即只能根據(jù)數(shù)據(jù)包是從那里來(lái)的來(lái)進(jìn)行控制，而不能基于數(shù)據(jù)包的協(xié)議類型及應(yīng)用來(lái)對(duì)其進(jìn)行控制， 其編號(hào)號(hào)碼范圍從 1 到 99。 擴(kuò)展 ACL 可以針對(duì)數(shù)據(jù)包的源地址、目的地址、協(xié)議類型及應(yīng)用類型（端口號(hào)）等信息作為過(guò)濾的標(biāo)準(zhǔn)。即可以根據(jù)數(shù)據(jù)包是從那里來(lái)、到那里去、何種協(xié)議、什么樣的應(yīng)用等特征的來(lái)進(jìn)行精確地控制， 其編號(hào)號(hào)碼范圍從 100 到 199。 接下來(lái)討論 ACL 內(nèi)部的具 體處理過(guò)程：如圖 21 東華理工大學(xué)畢業(yè)設(shè)計(jì)（ 論文） 需求分析 9 圖 21 ACL工作原理 每個(gè) ACL 可以有多條語(yǔ)句（規(guī)則）組成，當(dāng)一個(gè)數(shù)據(jù)包要通過(guò) ACL 的檢查時(shí)首先檢查 ACL 中的第一條語(yǔ)句。如果匹配其判別條件則依據(jù)這條語(yǔ)句所配 置的關(guān)鍵字對(duì)數(shù)據(jù)包操作。如果關(guān)鍵字是 permit 則轉(zhuǎn)發(fā)數(shù)據(jù)包，如果關(guān)鍵字是 deny 則直接丟棄此數(shù)據(jù)包。 如果沒(méi)有匹配第一條語(yǔ)句的判別條件則進(jìn)行下一條語(yǔ)句的匹配，同樣如果匹配其判別條件則依據(jù)這條語(yǔ)句所配置的關(guān)鍵字對(duì)數(shù)據(jù)包操作。如果關(guān)鍵字是permit 則轉(zhuǎn)發(fā)數(shù)據(jù)包，如果關(guān)鍵字是 deny 則直接丟棄此數(shù)據(jù)包。 這樣的過(guò)程一直進(jìn)行，一旦數(shù)據(jù)包匹配了某條語(yǔ)句的判別語(yǔ)句則根據(jù)這條語(yǔ)句所配置的關(guān)鍵字或轉(zhuǎn)發(fā)或丟棄。 如果一個(gè)數(shù)據(jù)包沒(méi)有匹配上 ACL 中的任何一條語(yǔ)句則會(huì)被丟棄掉，因?yàn)槿笔∏闆r下每一個(gè) ACL 在最后都有一條隱含的匹配 所有數(shù)據(jù)包的條目，其關(guān)鍵字是 deny。 以上 ACL 內(nèi)部的處理過(guò)程總的來(lái)說(shuō)，就是自上而下，順序執(zhí)行，直到找到匹配的規(guī)則，拒絕或允許。 DHCP 技術(shù) 動(dòng)態(tài) 主機(jī) 設(shè)置協(xié)議（ Dynamic Host Configuration Protocol, DHCP）是一個(gè) 局域網(wǎng) 的 網(wǎng)絡(luò)協(xié)議 ，使用 UDP 協(xié)議工作，主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)或 網(wǎng)絡(luò)服務(wù) 供應(yīng)商自動(dòng)分配 IP 地址 ，給 用戶或者內(nèi)部 網(wǎng)絡(luò)管理員 作為對(duì)所有 計(jì)算機(jī) 作中央管理的手段 。它分為兩個(gè)部份：一個(gè)是服務(wù)器端，而另一個(gè)是客戶端。 所有的 IP 網(wǎng)絡(luò)設(shè)定資料都由 DHCP 服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的 DHCP 要東華理工大學(xué)畢業(yè)設(shè)計(jì)（ 論文） 需求分析 10 求；而客戶端則會(huì)使用從服務(wù)器分配下來(lái)的 IP 信息。 DHCP 協(xié)議的主要特點(diǎn)有： 整個(gè) IP 分配過(guò)程自動(dòng)實(shí)現(xiàn)，在客戶端上，除了將 DHCP 選項(xiàng) 打勾外，無(wú)需做任何 IP 環(huán)境設(shè)定； 所有的 IP 網(wǎng)絡(luò)設(shè)定資料都由 DHCP 服務(wù)器統(tǒng)一管理，還可以幫客戶端指定mask、 DNS 服務(wù)器、缺省網(wǎng)關(guān)等參數(shù)； 通過(guò) IP 地址租期管理（到達(dá)期限時(shí)，可能會(huì)延長(zhǎng)“租約”或重新分配地址），實(shí)現(xiàn) IP 地址分時(shí)復(fù)用； DHCP 采用廣播方式交互報(bào)文，由于默認(rèn)情況下路由器不會(huì)將收到的廣播包從一個(gè)子網(wǎng)發(fā)送到另一個(gè)子網(wǎng)，因而當(dāng) DHCP 服務(wù)器與客戶主機(jī)不在同一個(gè)子網(wǎng)時(shí)，必須使用 DHCP 中繼（即 DHCP relay）； DHCP 協(xié)議的安全性較差，服務(wù)器容易受到攻擊。 DHCP 的工作原理： DHCP 采用客戶 /服務(wù)器模型，其工作原理遵循客戶 /服務(wù)器模型。當(dāng) PC 連接到 DHCP 服務(wù)器時(shí)，服務(wù)器向它分配或出租 IP 地址。 PC 將使用租借的 IP 地址連接到網(wǎng)絡(luò)，直到租期結(jié)束。主機(jī)必須定期與 DHCP 服務(wù)器聯(lián)系以續(xù)展租期，這種租用機(jī)制確保主機(jī)移動(dòng)或關(guān)閉后不會(huì)繼續(xù)占用不再需要的地址。 DHCP 服務(wù)器將這些地址歸還給地址池，并在必要時(shí)從新分配它們。圖 22 和下面的步驟說(shuō)明了 DHCP 服務(wù)器如何給 DHCP 客戶端分配 IP 地址配置。 圖 22 DHCP 工作原理 第 1 步 DHCP 發(fā)現(xiàn)?？蛻舳藛?dòng)要加入網(wǎng)絡(luò)時(shí)，為獲得地址租用完成 4 個(gè)步驟。在第 1 步中，客戶端廣播 DHCPDISCOVER 消息，以便找到網(wǎng)絡(luò)中的 DHCP 服務(wù)器。由于主機(jī)啟動(dòng)時(shí)沒(méi)有有效的 IP 信息，因此它使用第 2 層和第 3 層廣播地址與服務(wù)器通信。 第 2 步 DHCP 提議。 DHCP 服務(wù)器收到 DHCPDISCOVER 消息后，它找到一個(gè)可東華理工大學(xué)畢業(yè)設(shè)計(jì)（ 論文） 需求分析 11 租用的 IP 地址，然后創(chuàng)建一個(gè) ARP 條目，其中包含請(qǐng)求主機(jī)的 MAC 地址和要出租的 IP 地址，最后，它使用 DHCPOFFER 消 息傳輸提議。 DHCPOFFER 消息是以單播發(fā)送的，它將服務(wù)器的第二層 MAC 地址作為源地址，將客戶端的第 2 層地址作為目標(biāo)地址。 第 3 步 DHCP 請(qǐng)求?？蛻舳耸盏絹?lái)自服務(wù)器的 DHCPOFFER 后，它發(fā)送一條DHCPREQUEST 消息。該消息有兩個(gè)作用：請(qǐng)求租用以及續(xù)租和驗(yàn)證。用于請(qǐng)求租用時(shí)，客戶端的 DHCPREQUEST 消息要求在 IP 地址分配后檢驗(yàn)其有效性。該消息提供錯(cuò)誤檢查，確保地址分配仍然有效。 DHCPEQUEST 還用于向選定服務(wù)器發(fā)送綁定接受通知，并隱式拒絕其他服務(wù)器提供的綁定提議。 第 4 步 DHCP 確認(rèn)。收到 DHCPEQUEST 消息后，服務(wù)器驗(yàn)證租用信息，為客戶端租用創(chuàng)建一個(gè)新的 ARP 條目，并使用單播 DHCPACK 消息進(jìn)行應(yīng)答。除消息類型字段不同外， DHCPACK 消息與 DHCPOFFER 消息別無(wú)二致。客戶端收到 DHCPACK消息后，將記錄配置信息，并根據(jù)分配的地址執(zhí)行 ARP 查找。如果沒(méi)有收到應(yīng)答，便可確定該 IP 地址仍可用，因此將其作為自己的 IP 地址。 NAT 技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT,Network Address Translation)屬接入廣域網(wǎng) (WAN)技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法 IP 地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型 Inter 接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單， NAT 不僅完美地解決了 lP 地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 NAT 在帶來(lái)優(yōu)點(diǎn)的同時(shí)，也帶來(lái)了不少缺點(diǎn)：使用 NAT 必然要引入額外的延遲；喪失端到端的 IP 跟蹤能力； 地址轉(zhuǎn)換由于隱藏了內(nèi)部主機(jī)地址，有時(shí)候會(huì)使網(wǎng)絡(luò)調(diào)試變得復(fù)雜 。 NAT 的 工 作原理： 如圖 23 所示 圖 23 NAT工作原理圖 首先，我們要清楚，在局域網(wǎng)內(nèi)部的私有地址是不能訪問(wèn)外網(wǎng)的，必須通過(guò)轉(zhuǎn)換成公有地址才可以訪問(wèn) Inter，以上所圖，是兩個(gè)公司之間的 Inter 網(wǎng)東華理工大學(xué)畢業(yè)設(shè)計(jì)（ 論文） 需求分析 12 絡(luò)互相交流，下面來(lái)談?wù)勊墓ぷ髟?： 網(wǎng)絡(luò)的 PC1 想要訪 問(wèn) 網(wǎng)絡(luò)的 User1 PC1 向 RA（網(wǎng)關(guān)）發(fā)送請(qǐng)求，告訴自己的私有 IP 地址和 MAC 地址，并且要求自己要到達(dá) 網(wǎng)絡(luò)的 User1 主機(jī) ； RA 收到請(qǐng)求后，把 PC1 的源 IP 地址進(jìn)行轉(zhuǎn)換，變成內(nèi)部全局地址，即公有地址 ，并且為 PC1 制定一個(gè)隨機(jī)產(chǎn)生的端口號(hào)（來(lái)識(shí)別某臺(tái)主機(jī)），發(fā)送到 Inter 網(wǎng) ； Inter 網(wǎng)絡(luò)收到了內(nèi)部全局 IP 地址的請(qǐng)求，之間進(jìn)行路由選擇，被 RB接收， RB 通過(guò)查看 RA 發(fā)送過(guò)來(lái)的內(nèi)部全局 IP 地址和端口號(hào)等信息，直接發(fā)送給 網(wǎng)絡(luò)的網(wǎng)關(guān) ； 網(wǎng)關(guān)路由器 RB 收到了信息，根據(jù)對(duì)方發(fā)過(guò)來(lái)的目標(biāo)主機(jī)信息，把數(shù)據(jù)傳輸給 網(wǎng)絡(luò)的 User1 主機(jī) ； 根據(jù) ICMP 協(xié)議， user1 主機(jī)需要 回應(yīng)，對(duì)數(shù)據(jù)進(jìn)行相應(yīng)的處理，把數(shù)據(jù)封裝后發(fā)送給網(wǎng)關(guān) ； 網(wǎng)關(guān)把 user1 的私有 IP 地址轉(zhuǎn)換成外部局部 IP 地址，即公有地址，通過(guò)這個(gè)公有地址，轉(zhuǎn)發(fā)到路由器 RA； RA 收到數(shù)據(jù)包，查看自己緩存里的對(duì)應(yīng)的主機(jī)和端口，并對(duì) 網(wǎng)絡(luò)的 PC1 進(jìn)行轉(zhuǎn)發(fā) 。 WLAN 技術(shù) 無(wú)線局域網(wǎng)絡(luò)是指以無(wú)線電波、激光、紅外線等無(wú)線媒介來(lái)代替有線局域網(wǎng)中的部分或全部傳輸媒介而構(gòu)成的網(wǎng)絡(luò)。它不僅可以作為有線數(shù)據(jù)通信的補(bǔ)充和延伸，而且還可以與有線網(wǎng)絡(luò)環(huán)境互為備份。無(wú)線局 域網(wǎng)絡(luò)技術(shù)或許是應(yīng)用最廣泛、最具有商業(yè)價(jià)值并且發(fā)展的最好的無(wú)線網(wǎng)絡(luò)技術(shù)。在無(wú)線 LAN 中，每個(gè)客戶端分別使用一個(gè)無(wú)線適配器通過(guò)無(wú)線 AP 訪問(wèn)網(wǎng)絡(luò)， 無(wú)線 AP（ AP， Access Point，無(wú)線訪問(wèn)節(jié)點(diǎn)、會(huì)話點(diǎn)或存取橋接器）是一個(gè)包含很廣的名稱，它不僅包含單純性無(wú)線