【文章內容簡介】 23 六、總結 23 計算機網絡課程設計申請 —— soho 組網方式 Page3 of 23 一、 SOHO 的概述 SOHO 是 Small Office Home Office（小型辦公與家居辦公）的簡稱。 1. 背景 隨著電腦及互聯網的迅速普及，人們體驗到了越來越多的便捷?，F在的 SOHO 一族們也正在迅速的成長起來。 SOHO 一方面使得小型企業(yè)或小型部門的辦公室內部的各個 計算機終端互聯，形成便捷的內部資源共享，實現企業(yè)辦公自動化，從而提高企業(yè)的運轉速度；另外一方面，也使得從業(yè)人員可以在家里通過網絡進行工作，節(jié)省奔波的時間，提高工作效率，并為員工自由安排個人的工作時間提供了可能。 因此 , 很多 SOHO 管理者希望通過寬帶接入或智能小區(qū)內部計算機局域網實現信息高速公路進入 SOHO 網絡的夢想，以期實現快捷高效的超值服務與管理，提供安全舒適家居環(huán)境。而 SOHO 一族們也希望安全、便捷地通過網絡自由安排自己的時間。 2. 適用環(huán)境 SOHO 主要針對的是小型企業(yè)的小型辦公環(huán)境，因而該網絡用戶數 量較少且相對集中。主要實現企業(yè)內資源共享，無紙辦公，提供管理應用系統(tǒng)，實現企業(yè)辦公自動化，能夠接入 Inter ，收發(fā) Email，共享 Inter 資源。 3. 需求分析 一般而言， SOHO 級企業(yè)對網絡的要求不高，基本需求如下： 1) 實現企業(yè)內 部 的資源 共享 實現文件的共享、打印等。 2) 能過 寬帶 接入 Inter 方便企業(yè)了解市場狀況，及與客戶的交流 ，提高辦公效率。 3) 保證安全的網絡環(huán)境 保證公司內部信息的安全 4) 共享 Inter 資源 實現局域網內部共享一條線路實現對 Inter 的訪問，并能實現享受Inter 提供的各種服務。 5) 能夠提供 管理應用 系統(tǒng) 能夠使用適當的管理軟件，對局域網的各終端進行管理，以及能夠使用某些系統(tǒng)增強 各終端 辦公的協調性 ，提高工作效率，降低成本 。 通過攝像頭進行簡單的點對點的交流和多方的語音會談 。 二、 整體設計方案 計算機網絡課程設計申請 —— soho 組網方式 Page4 of 23 1. 網絡拓撲結構 P B XF X O R o u t e rI n t e r n e tN A T合 法 I n t e r n e t I PV o I PH o m e O f f i c eS m a l l O f f i c eV P N本 地 I P ( 網 關 )防 火 墻I S P 2. 對組網方案的描述 1） 局域網資源共享功能 通過路由器、交換機將 SOHO 公司中的所有計算機連接起來， 形成簡單的 共享局域網絡。實現文件，資料和打印機的共享 2） VLAN 設置虛擬局域網，使得各個部門的計算機無論物理位置如何劃分到一個廣播域，減少擁塞。便于對公司網絡進行管理。 3） 防火墻 通過路由設置硬件防火墻，使得公司內部信息更加安全。 4） 共享上網功能 （ NAT） SOHO 局域網內的算機能共享一條線路實現對 Inter 的訪問，并能實現享受Inter 提供的各種服務。 5） VoIP 建立公司內部的 VoIP 通道，使得 SOHO 長途話費支出得到優(yōu)化，節(jié)約成本。 6） VPN 對于 HomeOffice，使用 VPN 提供更加安全的連接。利用應用層提供的服務，可以實現文件的共享 、打印等功能。 三、 具體 解決方案 計算機網絡課程設計申請 —— soho 組網方式 Page5 of 23 1. VLAN VLAN(Virtual Local Area Network)的中文名為 虛擬局域網 。 VLAN 是一種將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬工作組的新興數據交換技術。 VLAN 技術的出現，使得管理員根據實際應用需求，把同一物理局域網內的不同用戶邏輯地劃分成不同的廣播域，每一個 VLAN 都包含一組有著相同需求的計算機工作站，與物理上形成的 LAN 有著相同的屬性。所以同一個 VLAN 內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理 LAN 網 段。由 VLAN 的特點可知，一個 VLAN 內部的廣播和單播流量都不會轉發(fā)到其他 VLAN 中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。 對于我們組建的 SOHO 級企業(yè)局域網來說： 通過將企業(yè)網絡劃分為虛擬網絡 VLAN網段，可以強化網絡管理和網 絡安全，控制不必要的數據廣播。在共享網絡中，一個物理的網段就是一個廣播域。而在交換網絡中，廣播域可以是有一組任意選定的第二層 網絡地址 (MAC 地址 )組成的虛擬網段。這樣，網絡中工作組的劃分可以突破共享網絡中的地理位置限制，而完全根據管理功能來劃分 。這種基于 工作流的分組模式，大大提高了網絡規(guī)劃和重組的管理功能。在同一個 VLAN 中的工作站，不論它們實際與哪個交換機連接，它們之間的通訊就 好象在獨立的交換機上一樣。同一個 VLAN 中的廣播只有 VLAN 中的成員才能聽到，而不會傳輸到其他的 VLAN 中去，這樣可以很好的控制不必要的 廣播風暴的產生。同時，若沒有路由的話，不同 VLAN 之間不能相互通訊，這樣增加了企業(yè)網絡中不同部門之間的安全性。網絡管理員可以通過 配置 VLAN之間的路由來全面管理企業(yè)內部不同管理單元之間的信息互訪。用戶可以自 由的在企業(yè)網絡中移動 辦公 ， 不論在何處接入交換網絡，他都可以與 VLAN 內其他用戶自如通訊。 2. 路由器 所謂 “路由 ”，是指把數據從一個地方傳送到另一個地方的行為和動作，而路由器，正是執(zhí)行這 種行為動作的機器，它的英文名稱為 Router。 路由器是一種專用的計算機，它有多個輸入端口和多個輸出端口，每個端口都可以設置 IP 地址，它的主要任務是路由選擇和分組轉發(fā)，根據一定的路由協議 可生成路由表，通過查詢路由表可實現不同網段的主機之間的互相通信。 路由器在連接不同網絡或網段時，可以對這些網絡之間的數據信息進行 “翻譯 ”，然后 “翻譯 ”成雙方都能 “讀 ”懂的數據，這樣就可以實現不同網絡或網段間的互聯互通。同時，它還具有判斷網絡地址和選擇路徑的功能以及過濾和分隔網絡信息流的功能。目前，路由器已成為各種骨干網絡內部之間、骨干網之間以及骨干網和互聯網之間連接的樞紐。 因此，路由器在網絡互聯中起著至關重要的作用 ,對路由器進行正確和靈活的設置可謂是我們實現設計方案的基礎。 路由器主要的功能： 第一，網絡互連，路由器支持各種 局域網 和 廣域網 接口，主要用于互連局域網和廣域網，實現不同網絡互相通信； 第二，數據處理，提供包括分組過濾、分組轉發(fā)、優(yōu)先級、復用、加密、壓 縮和防火計算機網絡課程設計申請 —— soho 組網方式 Page6 of 23 墻等功能； 第三，網絡管理，路由器提供包括配置管理、性能管理、容錯管理和流量控制等功能。 一，路由器的基本配置 目前 R2501E 系列路由器和 S2020 系列以太網交換機支持的配置方式有： 1，通過以太網口 Console 進行本地配置。 2，通過以太網口利用 Tel 進行遠程登錄配置。 3，通過 Console 口利用 FTP 進行配置。 二，在使用路由器時，需要幾個步驟 （一）設置屬性 為了實現互相通信，各個網絡之間需要提前達成協議，所以在使用路由器之前要設置好它的屬性。由于是串行通信，路由器中需要設 置波特率，數據位，停止位等參數。 （二）設置用戶名和密碼 為了保證路由器的安全，需要設置路由器的用戶名和密碼，以限制不同用戶的訪問權限，在初次使用時，可以直接登陸，當設置了身份驗證之后，每次登陸前都得輸入正確的用戶名和密碼才可以進入，在設置用戶的訪問權限時可以根據需要設置管理員模式或者用戶模式等，管理員不僅可以查看路由器的信息，還可以對路由器進行設置，比如設置路由器的 IP 地址等，而用戶只可以查看信息，不能對路由器進行設置。 （三）給路由器的接口分配 IP 地址 路由器每個接口都要設置相應的 IP 地址和掩碼才可 以應用在網絡中，而且每個接口都可以配置多個 IP 地址，其中一個為主 IP 地址，其余的為從 IP 地址。路由器以太網口主 IP 地址必須與該以太網口所連的局域網在同一網段，而且理論上廣域網兩端的路由器的連接口 IP 地址必須在同一網段。 (四 )設置路由表 路由器轉發(fā)數據包的關鍵是路由表 ,路由表中保存著收到的每個數據包到某子網或某主機應通過路由器的哪個物理端口發(fā)送，然后就可到達該路徑的下一個路由器，或者不再經過別的路由器而傳送到直接相連的網絡中的目的主機。 3. 交換機 交換 switching 是按照通信兩端傳輸信息的需要， 用人工或設備自動完成的方法，把要傳輸的信息送到符合要求的相應路由上的技術統(tǒng)稱。廣義的交換機 就是一種在通信系統(tǒng)中完成信息交換功能的設備。 交換機擁有一條很高帶寬的背部總線和內部交換矩陣。交換機的所有的端口都掛接在這條背部總線上，控制電路收到數據包以后，處理端口會查找內存中的地址對照表以確定目的 MAC（網卡的硬件地址）的 NIC（網卡）掛接在哪個端口上，通過內部交計算機網絡課程設計申請 —— soho 組網方式 Page7 of 23 換矩陣迅速將數據包傳送到目的端口，目的 MAC 若不存在才廣播到所有的端口，接收端口回應后交換機會 “學習 ”新的地址，并把它添加入內部 MAC 地 址表中。 使用交換機也可以把網絡 “分段 ”，通過對照 MAC 地址表，交換機只允許必要的網絡流量通過交換機。通過交換機的過濾和轉發(fā)，可以有效的隔離廣播風暴，減少誤包和錯包的出現，避免共享沖突。 交換機的三個主要功能： 學習：以太網交換機了解每一端口相連設備的 MAC 地址，并將地址同相應的端口映射起來存放在交換機緩存中的 MAC 地址表中。 轉發(fā) /過濾：當一個數據幀的目的地址在 MAC 地址表中有映射時，它被轉發(fā)到連接目的節(jié)點的端口而不是所有端口（如該數據幀為廣播 /組播幀則轉發(fā)至所有端口）。 消除回路：當交換機包 括一個冗余回路時，以太網交換機通過生成樹協議避免回路的產生，同時允許存在后備路徑。 交換機除了能夠連接同種類型的網絡之外，還可以在不同類型的網絡（如以太網和快速以太網）之間起到互連作用。如今許多交換機都能夠提供支持快速以太網或 FDDI等的高速連接端口，用于連接網絡中的其它交換機或者為帶寬占用量大的關鍵服務器提供附加帶寬。 一般來說，交換機的每個端口都用來連接一個獨立的網段，但是有時為了提供更快的接入速度，我們可以把一些重要的網絡計算機直接連接到交換機的端口上。這樣，網絡的關鍵服務器和重要用戶就擁 有更快的接入速度，支持更大的信息流量。 4. 防火墻 防火墻的概念 所謂防火墻指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障 .是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使 Inter 與 Intra 之間建立起一個安全網關（ Security Gateway），從而保護內部網免受非法用戶的侵入 。 防火墻的功能 防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁 止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。 我們認為， SOHO 級別的辦公網絡，就是本著“一切方便辦公”的原則設計。 SOHO本身的內在含義就是要減少上下班的時間浪費，提高工作效率。因此，要搭建 SOHO級別的辦公網絡，應該考慮網絡的安全性和可靠性，保證減少安全事件，減小維護強度。防火墻無疑是一個良好的選擇。 防火墻適用于將信任網絡和非信任網絡隔離的應用。通過單一集中的安全檢查點，按照相應的安全策略對網絡間的所有數據流進行檢查，防止對重要資源信息 進行非法存取和訪問。在本 SOHO 級解決方案中，信任網絡就是辦公環(huán)境，即我們需要搭建的網絡方案，在這里資源是可以共享的，用戶之間是相互信任的關系；非信任網絡泛指計算機網絡課程設計申請 —— soho 組網方式 Page8 of 23 Inter。既然辦公環(huán)境要接入 Inter 以實現企業(yè)的展示和服務，那么就避免不了要經受網絡安全的考驗。因此，內外網之間的所有數據流必須經過防火墻，使得符合安全策略的數據流通過。 5. NAT 由于 SOHO 級企業(yè)內部每臺主機都可能有上網的需求，因此最簡單的解決方法就是給每一臺主機申請一個合法的 IP，而現在剩余的的全球 IP 已經不多了，更何況對于一個 SOHO 級企業(yè)來說，不可能有那么多的資金為每臺主機都申請一個合法的 IP，這樣既浪費資金，同時也沒有太大的必要。所以我們需要用一種技術，將企業(yè)內部已經分配到本地 IP 的主機能夠共用一個合法的 IP 到 INTERNET 上，而 NAT 正好可以解決這個問題。 NAT 即網絡地址轉換，英文全稱為 NETWORK ADDRESS TRANSLATION，它需要在路由器上安裝 NAT 軟件，而該路由器至少要有一個合法的全球 IP 地址供其轉換，這樣，所有本地的主機在和外部通信的時候都要在 NAT 路由器上將其本地址轉換成全球合法IP 才能和因特網相接 。 NAT 使用的幾種情況： a，連接到 inter，但卻沒有足夠的合法地址分配給內部主機。 b，更改到一個需要重新分配地址的 ISP。 c，有相同的 IP 地址的兩個 Internat 合并。d，想支持負載均衡（主機）。 NAT 的翻譯可以采取靜態(tài)翻譯（ Static Translation）和動態(tài)翻譯（ Dynamic Translation）兩種。靜態(tài)翻譯將內部地址和外部地址一對一對應。當 NAT 需要確認哪個地址需要翻譯，翻譯時采用哪個地址 pool 時，就使用了動態(tài)翻譯。采用 Port Multiplexing 技術，或改 變外出數據的源 port 技術可以將多個內部 IP 地址影射到同一個外部地址，這就是 PAT（ Port Address Translator）。 當影射一個外部 IP 到內部地址時，可以利用 TCP 的 Load Distribution 技術。使用這個特征時，內部主機基于 RoundRobin 機制，將外部進來的新連接定向到不同的主機上去。注意： Load Distributiong 只有在影射外部地址到內部的時候才有效。 6. VOIP VoIP（ Voice over Inter Protocol）簡而言之就是將模擬聲音訊號 (Voice)數字化，以數據封包 (Data Packet)的型式在 IP 數據網絡 (IP Network)上做實時傳遞。 VoIP 最大的優(yōu)勢是能廣泛地采用 Inter 和全球 IP 互連的環(huán)境，提供比傳統(tǒng)業(yè)務更多、更好的服務。 VoIP 可以在 IP 網絡上便宜的傳送語音、傳真、視頻、和數據等業(yè)務，如統(tǒng)一消息、虛擬電話、虛擬語音 /傳真郵箱、查號業(yè)務、 Inter 呼叫中心、 Inter 呼叫管理、電視會議、電子商務、傳真存儲轉發(fā)和各種信息的存儲轉發(fā)等。 隨著 Inter 在全球范圍內的興起和語音編碼技術的發(fā) 展， VoIP 獲得了突破性的進展和實際應用，而且正在逐步占領傳統(tǒng)電話業(yè)務的市場。由于相關的硬件、軟件、協議和標準中的許多發(fā)展和技術突破，使得 VoIP 的廣泛使用能夠成為現實。 SOHO 工作室具有很強的靈活性，很多公司的員工每周都要到公司總部去匯報工作，并且還可能在總部工作一段時間，這就要求