【文章內(nèi)容簡介】 23 六、總結(jié) 23 計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)申請 —— soho 組網(wǎng)方式 Page3 of 23 一、 SOHO 的概述 SOHO 是 Small Office Home Office（小型辦公與家居辦公）的簡稱。 1. 背景 隨著電腦及互聯(lián)網(wǎng)的迅速普及，人們體驗(yàn)到了越來越多的便捷。現(xiàn)在的 SOHO 一族們也正在迅速的成長起來。 SOHO 一方面使得小型企業(yè)或小型部門的辦公室內(nèi)部的各個 計(jì)算機(jī)終端互聯(lián)，形成便捷的內(nèi)部資源共享，實(shí)現(xiàn)企業(yè)辦公自動化，從而提高企業(yè)的運(yùn)轉(zhuǎn)速度；另外一方面，也使得從業(yè)人員可以在家里通過網(wǎng)絡(luò)進(jìn)行工作，節(jié)省奔波的時(shí)間，提高工作效率，并為員工自由安排個人的工作時(shí)間提供了可能。 因此 , 很多 SOHO 管理者希望通過寬帶接入或智能小區(qū)內(nèi)部計(jì)算機(jī)局域網(wǎng)實(shí)現(xiàn)信息高速公路進(jìn)入 SOHO 網(wǎng)絡(luò)的夢想，以期實(shí)現(xiàn)快捷高效的超值服務(wù)與管理，提供安全舒適家居環(huán)境。而 SOHO 一族們也希望安全、便捷地通過網(wǎng)絡(luò)自由安排自己的時(shí)間。 2. 適用環(huán)境 SOHO 主要針對的是小型企業(yè)的小型辦公環(huán)境，因而該網(wǎng)絡(luò)用戶數(shù) 量較少且相對集中。主要實(shí)現(xiàn)企業(yè)內(nèi)資源共享，無紙辦公，提供管理應(yīng)用系統(tǒng)，實(shí)現(xiàn)企業(yè)辦公自動化，能夠接入 Inter ，收發(fā) Email，共享 Inter 資源。 3. 需求分析 一般而言， SOHO 級企業(yè)對網(wǎng)絡(luò)的要求不高，基本需求如下： 1) 實(shí)現(xiàn)企業(yè)內(nèi) 部 的資源 共享 實(shí)現(xiàn)文件的共享、打印等。 2) 能過 寬帶 接入 Inter 方便企業(yè)了解市場狀況，及與客戶的交流 ，提高辦公效率。 3) 保證安全的網(wǎng)絡(luò)環(huán)境 保證公司內(nèi)部信息的安全 4) 共享 Inter 資源 實(shí)現(xiàn)局域網(wǎng)內(nèi)部共享一條線路實(shí)現(xiàn)對 Inter 的訪問，并能實(shí)現(xiàn)享受Inter 提供的各種服務(wù)。 5) 能夠提供 管理應(yīng)用 系統(tǒng) 能夠使用適當(dāng)?shù)墓芾碥浖?，對局域網(wǎng)的各終端進(jìn)行管理，以及能夠使用某些系統(tǒng)增強(qiáng) 各終端 辦公的協(xié)調(diào)性 ，提高工作效率，降低成本 。 通過攝像頭進(jìn)行簡單的點(diǎn)對點(diǎn)的交流和多方的語音會談 。 二、 整體設(shè)計(jì)方案 計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)申請 —— soho 組網(wǎng)方式 Page4 of 23 1. 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) P B XF X O R o u t e rI n t e r n e tN A T合 法 I n t e r n e t I PV o I PH o m e O f f i c eS m a l l O f f i c eV P N本 地 I P ( 網(wǎng) 關(guān) )防 火 墻I S P 2. 對組網(wǎng)方案的描述 1） 局域網(wǎng)資源共享功能 通過路由器、交換機(jī)將 SOHO 公司中的所有計(jì)算機(jī)連接起來， 形成簡單的 共享局域網(wǎng)絡(luò)。實(shí)現(xiàn)文件，資料和打印機(jī)的共享 2） VLAN 設(shè)置虛擬局域網(wǎng)，使得各個部門的計(jì)算機(jī)無論物理位置如何劃分到一個廣播域，減少擁塞。便于對公司網(wǎng)絡(luò)進(jìn)行管理。 3） 防火墻 通過路由設(shè)置硬件防火墻，使得公司內(nèi)部信息更加安全。 4） 共享上網(wǎng)功能 （ NAT） SOHO 局域網(wǎng)內(nèi)的算機(jī)能共享一條線路實(shí)現(xiàn)對 Inter 的訪問，并能實(shí)現(xiàn)享受Inter 提供的各種服務(wù)。 5） VoIP 建立公司內(nèi)部的 VoIP 通道，使得 SOHO 長途話費(fèi)支出得到優(yōu)化，節(jié)約成本。 6） VPN 對于 HomeOffice，使用 VPN 提供更加安全的連接。利用應(yīng)用層提供的服務(wù)，可以實(shí)現(xiàn)文件的共享 、打印等功能。 三、 具體 解決方案 計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)申請 —— soho 組網(wǎng)方式 Page5 of 23 1. VLAN VLAN(Virtual Local Area Network)的中文名為 虛擬局域網(wǎng) 。 VLAN 是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。 VLAN 技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個 VLAN 都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的 LAN 有著相同的屬性。所以同一個 VLAN 內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理 LAN 網(wǎng) 段。由 VLAN 的特點(diǎn)可知，一個 VLAN 內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他 VLAN 中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 對于我們組建的 SOHO 級企業(yè)局域網(wǎng)來說： 通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò) VLAN網(wǎng)段，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng) 絡(luò)安全，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個物理的網(wǎng)段就是一個廣播域。而在交換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定的第二層 網(wǎng)絡(luò)地址 (MAC 地址 )組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來劃分 。這種基于 工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個 VLAN 中的工作站，不論它們實(shí)際與哪個交換機(jī)連接，它們之間的通訊就 好象在獨(dú)立的交換機(jī)上一樣。同一個 VLAN 中的廣播只有 VLAN 中的成員才能聽到，而不會傳輸?shù)狡渌? VLAN 中去，這樣可以很好的控制不必要的 廣播風(fēng)暴的產(chǎn)生。同時(shí)，若沒有路由的話，不同 VLAN 之間不能相互通訊，這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過 配置 VLAN之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。用戶可以自 由的在企業(yè)網(wǎng)絡(luò)中移動 辦公 ， 不論在何處接入交換網(wǎng)絡(luò)，他都可以與 VLAN 內(nèi)其他用戶自如通訊。 2. 路由器 所謂 “路由 ”，是指把數(shù)據(jù)從一個地方傳送到另一個地方的行為和動作，而路由器，正是執(zhí)行這 種行為動作的機(jī)器，它的英文名稱為 Router。 路由器是一種專用的計(jì)算機(jī)，它有多個輸入端口和多個輸出端口，每個端口都可以設(shè)置 IP 地址，它的主要任務(wù)是路由選擇和分組轉(zhuǎn)發(fā)，根據(jù)一定的路由協(xié)議 可生成路由表，通過查詢路由表可實(shí)現(xiàn)不同網(wǎng)段的主機(jī)之間的互相通信。 路由器在連接不同網(wǎng)絡(luò)或網(wǎng)段時(shí)，可以對這些網(wǎng)絡(luò)之間的數(shù)據(jù)信息進(jìn)行 “翻譯 ”，然后 “翻譯 ”成雙方都能 “讀 ”懂的數(shù)據(jù)，這樣就可以實(shí)現(xiàn)不同網(wǎng)絡(luò)或網(wǎng)段間的互聯(lián)互通。同時(shí)，它還具有判斷網(wǎng)絡(luò)地址和選擇路徑的功能以及過濾和分隔網(wǎng)絡(luò)信息流的功能。目前，路由器已成為各種骨干網(wǎng)絡(luò)內(nèi)部之間、骨干網(wǎng)之間以及骨干網(wǎng)和互聯(lián)網(wǎng)之間連接的樞紐。 因此，路由器在網(wǎng)絡(luò)互聯(lián)中起著至關(guān)重要的作用 ,對路由器進(jìn)行正確和靈活的設(shè)置可謂是我們實(shí)現(xiàn)設(shè)計(jì)方案的基礎(chǔ)。 路由器主要的功能： 第一，網(wǎng)絡(luò)互連，路由器支持各種 局域網(wǎng) 和 廣域網(wǎng) 接口，主要用于互連局域網(wǎng)和廣域網(wǎng)，實(shí)現(xiàn)不同網(wǎng)絡(luò)互相通信； 第二，數(shù)據(jù)處理，提供包括分組過濾、分組轉(zhuǎn)發(fā)、優(yōu)先級、復(fù)用、加密、壓 縮和防火計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)申請 —— soho 組網(wǎng)方式 Page6 of 23 墻等功能； 第三，網(wǎng)絡(luò)管理，路由器提供包括配置管理、性能管理、容錯管理和流量控制等功能。 一，路由器的基本配置 目前 R2501E 系列路由器和 S2020 系列以太網(wǎng)交換機(jī)支持的配置方式有： 1，通過以太網(wǎng)口 Console 進(jìn)行本地配置。 2，通過以太網(wǎng)口利用 Tel 進(jìn)行遠(yuǎn)程登錄配置。 3，通過 Console 口利用 FTP 進(jìn)行配置。 二，在使用路由器時(shí)，需要幾個步驟 （一）設(shè)置屬性 為了實(shí)現(xiàn)互相通信，各個網(wǎng)絡(luò)之間需要提前達(dá)成協(xié)議，所以在使用路由器之前要設(shè)置好它的屬性。由于是串行通信，路由器中需要設(shè) 置波特率，數(shù)據(jù)位，停止位等參數(shù)。 （二）設(shè)置用戶名和密碼 為了保證路由器的安全，需要設(shè)置路由器的用戶名和密碼，以限制不同用戶的訪問權(quán)限，在初次使用時(shí)，可以直接登陸，當(dāng)設(shè)置了身份驗(yàn)證之后，每次登陸前都得輸入正確的用戶名和密碼才可以進(jìn)入，在設(shè)置用戶的訪問權(quán)限時(shí)可以根據(jù)需要設(shè)置管理員模式或者用戶模式等，管理員不僅可以查看路由器的信息，還可以對路由器進(jìn)行設(shè)置，比如設(shè)置路由器的 IP 地址等，而用戶只可以查看信息，不能對路由器進(jìn)行設(shè)置。 （三）給路由器的接口分配 IP 地址 路由器每個接口都要設(shè)置相應(yīng)的 IP 地址和掩碼才可 以應(yīng)用在網(wǎng)絡(luò)中，而且每個接口都可以配置多個 IP 地址，其中一個為主 IP 地址，其余的為從 IP 地址。路由器以太網(wǎng)口主 IP 地址必須與該以太網(wǎng)口所連的局域網(wǎng)在同一網(wǎng)段，而且理論上廣域網(wǎng)兩端的路由器的連接口 IP 地址必須在同一網(wǎng)段。 (四 )設(shè)置路由表 路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的關(guān)鍵是路由表 ,路由表中保存著收到的每個數(shù)據(jù)包到某子網(wǎng)或某主機(jī)應(yīng)通過路由器的哪個物理端口發(fā)送，然后就可到達(dá)該路徑的下一個路由器，或者不再經(jīng)過別的路由器而傳送到直接相連的網(wǎng)絡(luò)中的目的主機(jī)。 3. 交換機(jī) 交換 switching 是按照通信兩端傳輸信息的需要， 用人工或設(shè)備自動完成的方法，把要傳輸?shù)男畔⑺偷椒弦蟮南鄳?yīng)路由上的技術(shù)統(tǒng)稱。廣義的交換機(jī) 就是一種在通信系統(tǒng)中完成信息交換功能的設(shè)備。 交換機(jī)擁有一條很高帶寬的背部總線和內(nèi)部交換矩陣。交換機(jī)的所有的端口都掛接在這條背部總線上，控制電路收到數(shù)據(jù)包以后，處理端口會查找內(nèi)存中的地址對照表以確定目的 MAC（網(wǎng)卡的硬件地址）的 NIC（網(wǎng)卡）掛接在哪個端口上，通過內(nèi)部交計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)申請 —— soho 組網(wǎng)方式 Page7 of 23 換矩陣迅速將數(shù)據(jù)包傳送到目的端口，目的 MAC 若不存在才廣播到所有的端口，接收端口回應(yīng)后交換機(jī)會 “學(xué)習(xí) ”新的地址，并把它添加入內(nèi)部 MAC 地 址表中。 使用交換機(jī)也可以把網(wǎng)絡(luò) “分段 ”，通過對照 MAC 地址表，交換機(jī)只允許必要的網(wǎng)絡(luò)流量通過交換機(jī)。通過交換機(jī)的過濾和轉(zhuǎn)發(fā)，可以有效的隔離廣播風(fēng)暴，減少誤包和錯包的出現(xiàn)，避免共享沖突。 交換機(jī)的三個主要功能： 學(xué)習(xí)：以太網(wǎng)交換機(jī)了解每一端口相連設(shè)備的 MAC 地址，并將地址同相應(yīng)的端口映射起來存放在交換機(jī)緩存中的 MAC 地址表中。 轉(zhuǎn)發(fā) /過濾：當(dāng)一個數(shù)據(jù)幀的目的地址在 MAC 地址表中有映射時(shí)，它被轉(zhuǎn)發(fā)到連接目的節(jié)點(diǎn)的端口而不是所有端口（如該數(shù)據(jù)幀為廣播 /組播幀則轉(zhuǎn)發(fā)至所有端口）。 消除回路：當(dāng)交換機(jī)包 括一個冗余回路時(shí)，以太網(wǎng)交換機(jī)通過生成樹協(xié)議避免回路的產(chǎn)生，同時(shí)允許存在后備路徑。 交換機(jī)除了能夠連接同種類型的網(wǎng)絡(luò)之外，還可以在不同類型的網(wǎng)絡(luò)（如以太網(wǎng)和快速以太網(wǎng)）之間起到互連作用。如今許多交換機(jī)都能夠提供支持快速以太網(wǎng)或 FDDI等的高速連接端口，用于連接網(wǎng)絡(luò)中的其它交換機(jī)或者為帶寬占用量大的關(guān)鍵服務(wù)器提供附加帶寬。 一般來說，交換機(jī)的每個端口都用來連接一個獨(dú)立的網(wǎng)段，但是有時(shí)為了提供更快的接入速度，我們可以把一些重要的網(wǎng)絡(luò)計(jì)算機(jī)直接連接到交換機(jī)的端口上。這樣，網(wǎng)絡(luò)的關(guān)鍵服務(wù)器和重要用戶就擁 有更快的接入速度，支持更大的信息流量。 4. 防火墻 防火墻的概念 所謂防火墻指的是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障 .是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使 Inter 與 Intra 之間建立起一個安全網(wǎng)關(guān)（ Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入 。 防火墻的功能 防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁 止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。 我們認(rèn)為， SOHO 級別的辦公網(wǎng)絡(luò)，就是本著“一切方便辦公”的原則設(shè)計(jì)。 SOHO本身的內(nèi)在含義就是要減少上下班的時(shí)間浪費(fèi)，提高工作效率。因此，要搭建 SOHO級別的辦公網(wǎng)絡(luò)，應(yīng)該考慮網(wǎng)絡(luò)的安全性和可靠性，保證減少安全事件，減小維護(hù)強(qiáng)度。防火墻無疑是一個良好的選擇。 防火墻適用于將信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)隔離的應(yīng)用。通過單一集中的安全檢查點(diǎn)，按照相應(yīng)的安全策略對網(wǎng)絡(luò)間的所有數(shù)據(jù)流進(jìn)行檢查，防止對重要資源信息 進(jìn)行非法存取和訪問。在本 SOHO 級解決方案中，信任網(wǎng)絡(luò)就是辦公環(huán)境，即我們需要搭建的網(wǎng)絡(luò)方案，在這里資源是可以共享的，用戶之間是相互信任的關(guān)系；非信任網(wǎng)絡(luò)泛指計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)申請 —— soho 組網(wǎng)方式 Page8 of 23 Inter。既然辦公環(huán)境要接入 Inter 以實(shí)現(xiàn)企業(yè)的展示和服務(wù)，那么就避免不了要經(jīng)受網(wǎng)絡(luò)安全的考驗(yàn)。因此，內(nèi)外網(wǎng)之間的所有數(shù)據(jù)流必須經(jīng)過防火墻，使得符合安全策略的數(shù)據(jù)流通過。 5. NAT 由于 SOHO 級企業(yè)內(nèi)部每臺主機(jī)都可能有上網(wǎng)的需求，因此最簡單的解決方法就是給每一臺主機(jī)申請一個合法的 IP，而現(xiàn)在剩余的的全球 IP 已經(jīng)不多了，更何況對于一個 SOHO 級企業(yè)來說，不可能有那么多的資金為每臺主機(jī)都申請一個合法的 IP，這樣既浪費(fèi)資金，同時(shí)也沒有太大的必要。所以我們需要用一種技術(shù)，將企業(yè)內(nèi)部已經(jīng)分配到本地 IP 的主機(jī)能夠共用一個合法的 IP 到 INTERNET 上，而 NAT 正好可以解決這個問題。 NAT 即網(wǎng)絡(luò)地址轉(zhuǎn)換，英文全稱為 NETWORK ADDRESS TRANSLATION，它需要在路由器上安裝 NAT 軟件，而該路由器至少要有一個合法的全球 IP 地址供其轉(zhuǎn)換，這樣，所有本地的主機(jī)在和外部通信的時(shí)候都要在 NAT 路由器上將其本地址轉(zhuǎn)換成全球合法IP 才能和因特網(wǎng)相接 。 NAT 使用的幾種情況： a，連接到 inter，但卻沒有足夠的合法地址分配給內(nèi)部主機(jī)。 b，更改到一個需要重新分配地址的 ISP。 c，有相同的 IP 地址的兩個 Internat 合并。d，想支持負(fù)載均衡（主機(jī)）。 NAT 的翻譯可以采取靜態(tài)翻譯（ Static Translation）和動態(tài)翻譯（ Dynamic Translation）兩種。靜態(tài)翻譯將內(nèi)部地址和外部地址一對一對應(yīng)。當(dāng) NAT 需要確認(rèn)哪個地址需要翻譯，翻譯時(shí)采用哪個地址 pool 時(shí)，就使用了動態(tài)翻譯。采用 Port Multiplexing 技術(shù)，或改 變外出數(shù)據(jù)的源 port 技術(shù)可以將多個內(nèi)部 IP 地址影射到同一個外部地址，這就是 PAT（ Port Address Translator）。 當(dāng)影射一個外部 IP 到內(nèi)部地址時(shí)，可以利用 TCP 的 Load Distribution 技術(shù)。使用這個特征時(shí)，內(nèi)部主機(jī)基于 RoundRobin 機(jī)制，將外部進(jìn)來的新連接定向到不同的主機(jī)上去。注意： Load Distributiong 只有在影射外部地址到內(nèi)部的時(shí)候才有效。 6. VOIP VoIP（ Voice over Inter Protocol）簡而言之就是將模擬聲音訊號 (Voice)數(shù)字化，以數(shù)據(jù)封包 (Data Packet)的型式在 IP 數(shù)據(jù)網(wǎng)絡(luò) (IP Network)上做實(shí)時(shí)傳遞。 VoIP 最大的優(yōu)勢是能廣泛地采用 Inter 和全球 IP 互連的環(huán)境，提供比傳統(tǒng)業(yè)務(wù)更多、更好的服務(wù)。 VoIP 可以在 IP 網(wǎng)絡(luò)上便宜的傳送語音、傳真、視頻、和數(shù)據(jù)等業(yè)務(wù)，如統(tǒng)一消息、虛擬電話、虛擬語音 /傳真郵箱、查號業(yè)務(wù)、 Inter 呼叫中心、 Inter 呼叫管理、電視會議、電子商務(wù)、傳真存儲轉(zhuǎn)發(fā)和各種信息的存儲轉(zhuǎn)發(fā)等。 隨著 Inter 在全球范圍內(nèi)的興起和語音編碼技術(shù)的發(fā) 展， VoIP 獲得了突破性的進(jìn)展和實(shí)際應(yīng)用，而且正在逐步占領(lǐng)傳統(tǒng)電話業(yè)務(wù)的市場。由于相關(guān)的硬件、軟件、協(xié)議和標(biāo)準(zhǔn)中的許多發(fā)展和技術(shù)突破，使得 VoIP 的廣泛使用能夠成為現(xiàn)實(shí)。 SOHO 工作室具有很強(qiáng)的靈活性，很多公司的員工每周都要到公司總部去匯報(bào)工作，并且還可能在總部工作一段時(shí)間，這就要求