【文章內(nèi)容簡介】 全的安全保密方案。 用 戶現(xiàn)實需求 （ 1）實現(xiàn)公司內(nèi)部資源共享（文件共享，打印機共享）。 （ 2）架設(shè)公司 web 服務(wù)器，方便發(fā)布公司自主網(wǎng)站。 （ 3） 內(nèi)部網(wǎng)絡(luò)使用 VLAN 分段，隔離廣播，防止內(nèi)部網(wǎng)絡(luò)非授權(quán)的跨網(wǎng)段訪問，如公司其他部門不允許訪問財務(wù)部。 （ 4）核心網(wǎng)絡(luò)必須有冗余設(shè)計，其中包括鏈路冗余和設(shè)備冗余。 東華理工大學畢業(yè)設(shè)計（ 論文） 需求分析 7 （ 5）對于移動辦公出入頻繁的位置，須有無線 AP 的部署。 （ 6) 內(nèi)、外網(wǎng)之間有防火墻設(shè)置，并且能夠?qū)崿F(xiàn)私有地址向公有地址轉(zhuǎn)換。 （ 7） 外網(wǎng)用戶可以與內(nèi)網(wǎng)用戶通信，但不能訪問公司內(nèi)網(wǎng)服務(wù)器 和財務(wù)部。 技術(shù)可行 對于公司網(wǎng)絡(luò)的設(shè)計與規(guī)劃，技術(shù)可行性分析是不可缺少的一部分，目前常用的網(wǎng)絡(luò)技術(shù)主要有 VLAN 技術(shù)， ACL 技術(shù)， DHCP 技術(shù)， NAT 技術(shù)， WLAN 技術(shù)，下面將對這 5 種技術(shù)進行逐個講解。 VLAN 技術(shù) 虛擬網(wǎng)（ VLAN）技術(shù)就是將一個交換網(wǎng)絡(luò)邏輯地劃分成若干子網(wǎng)，每一個子網(wǎng)就是一個廣播域。邏輯上劃分的子網(wǎng)在功能上與傳統(tǒng)物理上劃分的子網(wǎng)相同，劃分可以根據(jù)交換機的端口、 MAC 地址、 IP 地址來進行。 虛擬局域網(wǎng)在功能和操作上與傳統(tǒng) LAN 基本相同， VLAN 與傳統(tǒng)的 LAN 相比，具有以下優(yōu)勢： 減少移動和改變的代價 即所說的動態(tài)管理網(wǎng)絡(luò)，也就是當一個用戶從一個位置移動到另一個位置是，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動態(tài)的完成，這種動態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來了極大的好處，一個用戶，無論他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好的。 虛擬工作組 使用 VLAN 的最終目標就是建立虛擬工作組模型，例如，在企業(yè)網(wǎng)中，同一個部門的就好象在同一個 LAN 上一樣，很容易的互相訪問，交流信息，同時，所有的廣播包也都限制在該虛擬 LAN 上，而不影響其他 VLAN 的人。一個人如果從一個辦公地點換到另外一個地點，而他仍然在該部門，那么，該用戶的配置無須改變；同時，如果一個人雖然辦公地點沒有變，但他更換了部門，那么，只需網(wǎng)絡(luò)管理員更改一下該用戶的配置即可。這個功能的目標就是建立一個動態(tài)的組織環(huán)境，當然，這只是一個理想的目標，要實現(xiàn)它，還需要一些其他方面的支持；用戶不受到物理設(shè)備的限制， VLAN 用戶可以處于網(wǎng)絡(luò)中的任何地方； VLAN對用戶的應(yīng)用是不產(chǎn)生影響， VLAN 的應(yīng)用解決了許多大型二層交換網(wǎng)絡(luò)產(chǎn)生的問題。 限 制廣播包，提高帶寬的利用率 有效地解決了廣播風暴帶來的性能下降問題。一個 VLAN 形成一個小的廣播域，同一個 VLAN 成員都在由所屬 VLAN 確定的廣播域內(nèi)，那么，當一個數(shù)據(jù)包沒有路由時，交換機只會將此數(shù)據(jù)包發(fā)送到所有屬于該 VLAN 的其他端口，而不是所有的交換機的端口，這樣，就將數(shù)據(jù)包限制到了一個 VLAN 內(nèi)，在一定程度上可以節(jié)省帶寬。 增強通迅的安全性 東華理工大學畢業(yè)設(shè)計（ 論文） 需求分析 8 一個 VLAN 的數(shù)據(jù)包不會發(fā)送到另一個 VLAN，這樣，其他 VLAN 的用戶的網(wǎng)絡(luò)上是收不到任何該 VLAN 的數(shù)據(jù)包，這樣就確保了該 VLAN 的信息不會被其他 VLAN 的人竊聽，從而實現(xiàn)了信息的保密。 增強網(wǎng)絡(luò)的健壯性 當網(wǎng)絡(luò)規(guī)模增大時，部分網(wǎng)絡(luò)出 現(xiàn)問題往往會影響整個網(wǎng)絡(luò)，引入 VLAN之后，可以將一些網(wǎng)絡(luò)故障限制在一個 VLAN 之內(nèi)。由于 VLAN 是邏輯上對網(wǎng)絡(luò)進行劃分，組網(wǎng)方案靈活，配置管理簡單，降低了管理維護的成本。 ACL 技術(shù) ACL（訪問控制列表）是一種對經(jīng)過路由器的數(shù)據(jù)流進行判斷、分類和過濾的方法。其主要作用是根據(jù)數(shù)據(jù)包與數(shù)據(jù)段的特征來進行判斷，決定是否允許數(shù)據(jù)包通過路由器轉(zhuǎn)發(fā)，其主要目的是對數(shù)據(jù)流量進行管理和控制。在一個 ACL中可以包含一條或多條特定類型的 IP 數(shù)據(jù)報的規(guī)則， ACL 可以簡單到只包括一條規(guī)則，也可以是復(fù)雜到包括很多規(guī)則 。通過多條規(guī)則來定義與規(guī)則中相匹配的數(shù)據(jù)分組。訪問控制列表分為兩種類型： 標準 ACL 只針對數(shù)據(jù)包的源地址信息作為過濾的標準而不能基于協(xié)議或應(yīng)用來進行過濾。即只能根據(jù)數(shù)據(jù)包是從那里來的來進行控制，而不能基于數(shù)據(jù)包的協(xié)議類型及應(yīng)用來對其進行控制， 其編號號碼范圍從 1 到 99。 擴展 ACL 可以針對數(shù)據(jù)包的源地址、目的地址、協(xié)議類型及應(yīng)用類型（端口號）等信息作為過濾的標準。即可以根據(jù)數(shù)據(jù)包是從那里來、到那里去、何種協(xié)議、什么樣的應(yīng)用等特征的來進行精確地控制， 其編號號碼范圍從 100 到 199。 接下來討論 ACL 內(nèi)部的具 體處理過程：如圖 21 東華理工大學畢業(yè)設(shè)計（ 論文） 需求分析 9 圖 21 ACL工作原理 每個 ACL 可以有多條語句（規(guī)則）組成，當一個數(shù)據(jù)包要通過 ACL 的檢查時首先檢查 ACL 中的第一條語句。如果匹配其判別條件則依據(jù)這條語句所配 置的關(guān)鍵字對數(shù)據(jù)包操作。如果關(guān)鍵字是 permit 則轉(zhuǎn)發(fā)數(shù)據(jù)包，如果關(guān)鍵字是 deny 則直接丟棄此數(shù)據(jù)包。 如果沒有匹配第一條語句的判別條件則進行下一條語句的匹配，同樣如果匹配其判別條件則依據(jù)這條語句所配置的關(guān)鍵字對數(shù)據(jù)包操作。如果關(guān)鍵字是permit 則轉(zhuǎn)發(fā)數(shù)據(jù)包，如果關(guān)鍵字是 deny 則直接丟棄此數(shù)據(jù)包。 這樣的過程一直進行，一旦數(shù)據(jù)包匹配了某條語句的判別語句則根據(jù)這條語句所配置的關(guān)鍵字或轉(zhuǎn)發(fā)或丟棄。 如果一個數(shù)據(jù)包沒有匹配上 ACL 中的任何一條語句則會被丟棄掉，因為缺省情況下每一個 ACL 在最后都有一條隱含的匹配 所有數(shù)據(jù)包的條目，其關(guān)鍵字是 deny。 以上 ACL 內(nèi)部的處理過程總的來說，就是自上而下，順序執(zhí)行，直到找到匹配的規(guī)則，拒絕或允許。 DHCP 技術(shù) 動態(tài) 主機 設(shè)置協(xié)議（ Dynamic Host Configuration Protocol, DHCP）是一個 局域網(wǎng) 的 網(wǎng)絡(luò)協(xié)議 ，使用 UDP 協(xié)議工作，主要有兩個用途：給內(nèi)部網(wǎng)絡(luò)或 網(wǎng)絡(luò)服務(wù) 供應(yīng)商自動分配 IP 地址 ，給 用戶或者內(nèi)部 網(wǎng)絡(luò)管理員 作為對所有 計算機 作中央管理的手段 。它分為兩個部份：一個是服務(wù)器端，而另一個是客戶端。 所有的 IP 網(wǎng)絡(luò)設(shè)定資料都由 DHCP 服務(wù)器集中管理，并負責處理客戶端的 DHCP 要東華理工大學畢業(yè)設(shè)計（ 論文） 需求分析 10 求；而客戶端則會使用從服務(wù)器分配下來的 IP 信息。 DHCP 協(xié)議的主要特點有： 整個 IP 分配過程自動實現(xiàn)，在客戶端上，除了將 DHCP 選項 打勾外，無需做任何 IP 環(huán)境設(shè)定； 所有的 IP 網(wǎng)絡(luò)設(shè)定資料都由 DHCP 服務(wù)器統(tǒng)一管理，還可以幫客戶端指定mask、 DNS 服務(wù)器、缺省網(wǎng)關(guān)等參數(shù)； 通過 IP 地址租期管理（到達期限時，可能會延長“租約”或重新分配地址），實現(xiàn) IP 地址分時復(fù)用； DHCP 采用廣播方式交互報文，由于默認情況下路由器不會將收到的廣播包從一個子網(wǎng)發(fā)送到另一個子網(wǎng)，因而當 DHCP 服務(wù)器與客戶主機不在同一個子網(wǎng)時，必須使用 DHCP 中繼（即 DHCP relay）； DHCP 協(xié)議的安全性較差，服務(wù)器容易受到攻擊。 DHCP 的工作原理： DHCP 采用客戶 /服務(wù)器模型，其工作原理遵循客戶 /服務(wù)器模型。當 PC 連接到 DHCP 服務(wù)器時，服務(wù)器向它分配或出租 IP 地址。 PC 將使用租借的 IP 地址連接到網(wǎng)絡(luò)，直到租期結(jié)束。主機必須定期與 DHCP 服務(wù)器聯(lián)系以續(xù)展租期，這種租用機制確保主機移動或關(guān)閉后不會繼續(xù)占用不再需要的地址。 DHCP 服務(wù)器將這些地址歸還給地址池，并在必要時從新分配它們。圖 22 和下面的步驟說明了 DHCP 服務(wù)器如何給 DHCP 客戶端分配 IP 地址配置。 圖 22 DHCP 工作原理 第 1 步 DHCP 發(fā)現(xiàn)。客戶端啟動要加入網(wǎng)絡(luò)時，為獲得地址租用完成 4 個步驟。在第 1 步中，客戶端廣播 DHCPDISCOVER 消息，以便找到網(wǎng)絡(luò)中的 DHCP 服務(wù)器。由于主機啟動時沒有有效的 IP 信息，因此它使用第 2 層和第 3 層廣播地址與服務(wù)器通信。 第 2 步 DHCP 提議。 DHCP 服務(wù)器收到 DHCPDISCOVER 消息后，它找到一個可東華理工大學畢業(yè)設(shè)計（ 論文） 需求分析 11 租用的 IP 地址，然后創(chuàng)建一個 ARP 條目，其中包含請求主機的 MAC 地址和要出租的 IP 地址，最后，它使用 DHCPOFFER 消 息傳輸提議。 DHCPOFFER 消息是以單播發(fā)送的，它將服務(wù)器的第二層 MAC 地址作為源地址，將客戶端的第 2 層地址作為目標地址。 第 3 步 DHCP 請求。客戶端收到來自服務(wù)器的 DHCPOFFER 后，它發(fā)送一條DHCPREQUEST 消息。該消息有兩個作用：請求租用以及續(xù)租和驗證。用于請求租用時，客戶端的 DHCPREQUEST 消息要求在 IP 地址分配后檢驗其有效性。該消息提供錯誤檢查，確保地址分配仍然有效。 DHCPEQUEST 還用于向選定服務(wù)器發(fā)送綁定接受通知，并隱式拒絕其他服務(wù)器提供的綁定提議。 第 4 步 DHCP 確認。收到 DHCPEQUEST 消息后，服務(wù)器驗證租用信息，為客戶端租用創(chuàng)建一個新的 ARP 條目，并使用單播 DHCPACK 消息進行應(yīng)答。除消息類型字段不同外， DHCPACK 消息與 DHCPOFFER 消息別無二致。客戶端收到 DHCPACK消息后，將記錄配置信息，并根據(jù)分配的地址執(zhí)行 ARP 查找。如果沒有收到應(yīng)答，便可確定該 IP 地址仍可用，因此將其作為自己的 IP 地址。 NAT 技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT,Network Address Translation)屬接入廣域網(wǎng) (WAN)技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法 IP 地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型 Inter 接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單， NAT 不僅完美地解決了 lP 地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。 NAT 在帶來優(yōu)點的同時，也帶來了不少缺點：使用 NAT 必然要引入額外的延遲；喪失端到端的 IP 跟蹤能力； 地址轉(zhuǎn)換由于隱藏了內(nèi)部主機地址，有時候會使網(wǎng)絡(luò)調(diào)試變得復(fù)雜 。 NAT 的 工 作原理： 如圖 23 所示 圖 23 NAT工作原理圖 首先，我們要清楚，在局域網(wǎng)內(nèi)部的私有地址是不能訪問外網(wǎng)的，必須通過轉(zhuǎn)換成公有地址才可以訪問 Inter，以上所圖，是兩個公司之間的 Inter 網(wǎng)東華理工大學畢業(yè)設(shè)計（ 論文） 需求分析 12 絡(luò)互相交流，下面來談?wù)勊墓ぷ髟?： 網(wǎng)絡(luò)的 PC1 想要訪 問 網(wǎng)絡(luò)的 User1 PC1 向 RA（網(wǎng)關(guān)）發(fā)送請求，告訴自己的私有 IP 地址和 MAC 地址，并且要求自己要到達 網(wǎng)絡(luò)的 User1 主機 ； RA 收到請求后，把 PC1 的源 IP 地址進行轉(zhuǎn)換，變成內(nèi)部全局地址，即公有地址 ，并且為 PC1 制定一個隨機產(chǎn)生的端口號（來識別某臺主機），發(fā)送到 Inter 網(wǎng) ； Inter 網(wǎng)絡(luò)收到了內(nèi)部全局 IP 地址的請求，之間進行路由選擇，被 RB接收， RB 通過查看 RA 發(fā)送過來的內(nèi)部全局 IP 地址和端口號等信息，直接發(fā)送給 網(wǎng)絡(luò)的網(wǎng)關(guān) ； 網(wǎng)關(guān)路由器 RB 收到了信息，根據(jù)對方發(fā)過來的目標主機信息，把數(shù)據(jù)傳輸給 網(wǎng)絡(luò)的 User1 主機 ； 根據(jù) ICMP 協(xié)議， user1 主機需要 回應(yīng)，對數(shù)據(jù)進行相應(yīng)的處理，把數(shù)據(jù)封裝后發(fā)送給網(wǎng)關(guān) ； 網(wǎng)關(guān)把 user1 的私有 IP 地址轉(zhuǎn)換成外部局部 IP 地址，即公有地址，通過這個公有地址，轉(zhuǎn)發(fā)到路由器 RA； RA 收到數(shù)據(jù)包，查看自己緩存里的對應(yīng)的主機和端口，并對 網(wǎng)絡(luò)的 PC1 進行轉(zhuǎn)發(fā) 。 WLAN 技術(shù) 無線局域網(wǎng)絡(luò)是指以無線電波、激光、紅外線等無線媒介來代替有線局域網(wǎng)中的部分或全部傳輸媒介而構(gòu)成的網(wǎng)絡(luò)。它不僅可以作為有線數(shù)據(jù)通信的補充和延伸，而且還可以與有線網(wǎng)絡(luò)環(huán)境互為備份。無線局 域網(wǎng)絡(luò)技術(shù)或許是應(yīng)用最廣泛、最具有商業(yè)價值并且發(fā)展的最好的無線網(wǎng)絡(luò)技術(shù)。在無線 LAN 中，每個客戶端分別使用一個無線適配器通過無線 AP 訪問網(wǎng)絡(luò)， 無線 AP（ AP， Access Point，無線訪問節(jié)點、會話點或存取橋接器）是一個包含很廣的名稱，它不僅包含單純性無線