【文章內(nèi)容簡介】 VLAN 劃分；可在一個(gè)交換機(jī)上實(shí)現(xiàn)，也可跨交換機(jī)實(shí)現(xiàn)；可以根據(jù)網(wǎng)絡(luò)使用者的位置、作用、部門或根據(jù)使用的應(yīng)用程序、上層協(xié)議或者以太網(wǎng)路連接硬件地址來進(jìn)行劃分。一個(gè) VLAN 相當(dāng)于 OSI 模型第 2 層的廣播域，它能將廣播控制在一個(gè)VLAN 內(nèi)部。而不同 VLAN 之間或 VLAN 與 LAN / WAN 的數(shù)據(jù)通訊必須通過第 3 層（網(wǎng)絡(luò)層）完成。否則，即便是同一交換機(jī)上的連接，假如它們不處于同一個(gè) VLAN，正常情況下也無法進(jìn)行數(shù)據(jù)通訊 為了解決資訊安全議題，1995 年 IEEE 802 委員會(huì)發(fā)表了 VLAN 技術(shù)的實(shí)作標(biāo)準(zhǔn)與訊框結(jié)構(gòu)，希望能透過設(shè)定邏輯位址（TPID、TCI） ，對(duì)實(shí)體局域網(wǎng)區(qū)隔成獨(dú)立虛擬網(wǎng)段，以規(guī)范封包廣播時(shí)的最大范圍。如下圖，VLAN 解決了物理位置的限制圖 VLAN 示意圖安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說明書第 6 頁 共 49 頁┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊VLAN 的標(biāo)準(zhǔn)有兩種，Cisco 公司的 ISL,以及 IEEE 由于后者是國際化標(biāo)準(zhǔn)，而且其傳輸效率更高，所以更適合網(wǎng)絡(luò)需求。使用 VLAN 的好處有以下幾點(diǎn)：廣播風(fēng)暴防范：限制網(wǎng)絡(luò)上的廣播，在一個(gè) VLAN 中的廣播不會(huì)送到VLAN 之外。同樣，相鄰的端口不會(huì)收到其他 VLAN 產(chǎn)生的廣 播。這樣可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播的產(chǎn)生。安全：不同 VLAN 內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè) VLAN 內(nèi)的用戶不能和其它 VLAN 內(nèi)的用戶直接通信，如果不同 VLAN 要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。成本降低：成本高昂的網(wǎng)絡(luò)升級(jí)需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。性能提高：將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。另外使用 VLAN 還可以提高 IT 員工效率，簡化項(xiàng)目管理或應(yīng)用管理，增加了網(wǎng)絡(luò)連接的靈活性等優(yōu)點(diǎn)。 DHCP 某些的主機(jī)不需要靜態(tài)的 IP，因?yàn)槠洳⒎怯谰玫氖褂迷摰刂?，?dāng)主機(jī)離開網(wǎng)絡(luò)，就得釋放這個(gè) IP 地址，以給其它工作站使用，動(dòng)態(tài)分配顯然更加靈活。DHCP 是目前應(yīng)用最為廣泛的為網(wǎng)絡(luò)主機(jī)分配 IP 地址的方式之一。DHCP允許 DHCP 客戶端從 DHCP 服務(wù)器獲取 IP 地址，子網(wǎng)掩碼，默認(rèn)網(wǎng)關(guān) IP 地址，DNS 服務(wù)器 IP 地址以及其他 IP 地址類型信息。DHCP 工作原理如圖圖 DHCP 的工作原理第一步：由于 DHCP 客戶端初始啟動(dòng)時(shí)沒有 IP 地址，默認(rèn)網(wǎng)關(guān)或這類配置信息，因而 DHCP 客戶端初始啟動(dòng)后通過發(fā)送目的地為 的廣播消息（DHCP discovery）來試圖發(fā)現(xiàn) DHCP 服務(wù)器。第二步：DHCP 服務(wù)器接收到 DHCP discovery 消息后，響應(yīng)以 DHCP offer消息。由于 DHCP discovery 消息是以廣播方式向外發(fā)送的，因而可能會(huì)有多個(gè)DHCP 服務(wù)器響應(yīng)發(fā)現(xiàn)請(qǐng)求，不過客戶端通常會(huì)選擇其接收到的第一個(gè) DHCP 安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說明書第 7 頁 共 49 頁┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊offer 消息的服務(wù)器作為 DHCP 服務(wù)器。第三步：DHCP 客戶端通過發(fā)送 DHCP request 消息與選定的服務(wù)器進(jìn)行通信，讓 DHCP 服務(wù)器提供 IP 配置參數(shù)。 第四步：最后，DHCP 服務(wù)器以 DHCPACK 消息響應(yīng)客戶端， DHCPACK消息包含了響應(yīng)的 IP 配置參數(shù)。 NAT在計(jì)算機(jī)網(wǎng)絡(luò)中，網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation 或簡稱NAT，也叫做網(wǎng)絡(luò)掩蔽或者 IP 掩蔽）是一種在 IP 數(shù)據(jù)包通過路由器或防火墻時(shí)重寫源 IP 地址或/和目的 IP 地址的技術(shù)。這種技術(shù)被普遍使用在有多臺(tái)主機(jī)但只通過一個(gè)公有 IP 地址訪問因特網(wǎng)的私有網(wǎng)絡(luò)中。目前人們普遍認(rèn)為 NAT 完美的解決了 IP 地址不足的問題，的確，他真的是一樣很有用的工具，可以說沒有 NAT，我們的網(wǎng)絡(luò)不會(huì)得到如此迅速的發(fā)展。但 NAT 也讓主機(jī)之間的通信變得復(fù)雜，導(dǎo)致通信效率的降低。NAT 優(yōu)點(diǎn)：節(jié)約合法注冊(cè)地址，減少地址重疊出現(xiàn)，增加鏈接 Inter 的靈活性，網(wǎng)絡(luò)變更時(shí)避免地址的重新分配。NAT 缺點(diǎn)：地址轉(zhuǎn)換產(chǎn)生交換延遲，無法進(jìn)行端到端的 IP 跟蹤，某些應(yīng)用程序無法實(shí)現(xiàn)在 NAT 的網(wǎng)絡(luò)中運(yùn)行。NAT 運(yùn)行示例：在下圖中主機(jī) 發(fā)送一個(gè)外出數(shù)據(jù)包到配置了 NAT的邊界路由器，邊界路由器識(shí)別出此 IP 地址為內(nèi)部 IP 地址，目標(biāo)是外部網(wǎng)絡(luò)，他要轉(zhuǎn)換內(nèi)部本地 IP 地址，并把轉(zhuǎn)換結(jié)果記錄到 NAT 表中，這個(gè)數(shù)據(jù)包使用轉(zhuǎn)換后的新的源地址被發(fā)送到外部接口，外部主機(jī)返回此包到目標(biāo)主機(jī)，NAT路由使用 NAT 表轉(zhuǎn)換內(nèi)部全局 IP 地址為內(nèi)部 IP 地址，整個(gè)過程基本就是這樣。下圖是基本的 NAT 工作原理示意圖圖 NAT 工作原理示意圖 ACL安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說明書第 8 頁 共 49 頁┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問進(jìn)行控制的目的。簡而言之，ACL 可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。ACL 可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL 可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。ACL 提供對(duì)通信流量的控制手段。例如，ACL 可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。ACL 是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL 允許主機(jī) A 訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī) B 訪問。ACL 可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許 Email 通信流量被路由，拒絕所有的 Tel 通信流量。 例如：某部門要求只能使用 WWW 這個(gè)功能，就可以通過 ACL 實(shí)現(xiàn)； 又例如，為了某部門的保密性，不允許其訪問外網(wǎng)，也不允許外網(wǎng)訪問它，就可以通過ACL 實(shí)現(xiàn)。訪問控制列表的工作示意圖數(shù)據(jù)包進(jìn)入接口允許通過是否設(shè)置了ACL與 ACL 對(duì)比是否匹配有沒有更多的 ACL?與下一條ACL 對(duì)比丟棄圖 ACL 工作示意圖 拓?fù)浣Y(jié)構(gòu)圖設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行效率，技術(shù)性能發(fā)揮，可靠性與費(fèi)用等方面都有著中重要的影響。確立為網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是整個(gè)網(wǎng)絡(luò)系統(tǒng)方案的規(guī)劃設(shè)計(jì)的基礎(chǔ)。拓?fù)浣Y(jié)構(gòu)的選擇和地理環(huán)境的分布，傳輸介質(zhì)，介質(zhì)訪問控安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說明書第 9 頁 共 49 頁┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊制方法，甚至網(wǎng)絡(luò)設(shè)備選型等因素緊密相關(guān)。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的規(guī)劃設(shè)計(jì)原則構(gòu)成局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)有很多種，最常見到的有總線拓?fù)?、星型拓?fù)洹h(huán)型拓?fù)浼案鞣N混合性拓?fù)涞?。采用不同的網(wǎng)絡(luò)控制策略（即網(wǎng)絡(luò)數(shù)據(jù)的傳輸與通信的有關(guān)協(xié)議和控制方法），所有使用的網(wǎng)絡(luò)連接設(shè)備也不一樣。因此，無論在網(wǎng)絡(luò)的規(guī)劃或設(shè)計(jì)時(shí)都必須首先決定將采用那一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，選擇合適的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)非常重要的。也就是說，選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的第一步。中小企業(yè)在選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的時(shí)候，應(yīng)從經(jīng)濟(jì)性、靈活性和擴(kuò)展性好、可靠性、易于管理和維護(hù)幾個(gè)方面著重入手。在現(xiàn)在企業(yè)中經(jīng)濟(jì)效益都是首要考慮的，在建設(shè)網(wǎng)絡(luò)投資的同時(shí)就考慮到經(jīng)濟(jì)效益的回報(bào)。拓?fù)浣Y(jié)構(gòu)的選擇直接決定了網(wǎng)絡(luò)安裝和維護(hù)的費(fèi)用。因?yàn)?，拓?fù)浣Y(jié)構(gòu)的選擇與傳輸介質(zhì)的選擇、傳輸距離的長短及所需網(wǎng)絡(luò)的連接設(shè)備密切相關(guān)。靈活性和擴(kuò)展性也是選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)應(yīng)充分重視的問題。任何一個(gè)網(wǎng)絡(luò)都不能一勞永逸的，隨著用戶的增加，應(yīng)用的深入和擴(kuò)大，網(wǎng)絡(luò)新技術(shù)的不斷涌現(xiàn)，特別是應(yīng)用方式和要求的改變，網(wǎng)絡(luò)經(jīng)常需要加以調(diào)整。然而，網(wǎng)絡(luò)的可調(diào)性與靈活性，以及可擴(kuò)展性與建立網(wǎng)絡(luò)時(shí)拓?fù)浣Y(jié)構(gòu)直接相關(guān)。網(wǎng)絡(luò)的可靠性是任何一個(gè)網(wǎng)絡(luò)的生命。當(dāng)網(wǎng)絡(luò)總的某個(gè)節(jié)點(diǎn)或站點(diǎn)發(fā)生問題的時(shí)候時(shí)，網(wǎng)絡(luò)不能正常工作。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇還直接決定網(wǎng)絡(luò)故障檢測(cè)和故障隔離的方便性?？傊?，中小企業(yè)網(wǎng)拓?fù)浣Y(jié)構(gòu)的選擇，需要考慮的因素很多，這些因素同時(shí)影響網(wǎng)絡(luò)的運(yùn)行速度和網(wǎng)絡(luò)軟硬件接口的復(fù)雜程度等等。 主干網(wǎng)絡(luò)（核心層）設(shè)計(jì)主干網(wǎng)絡(luò)技術(shù)的選擇，需根據(jù)需求分析中地理距離、信息流量個(gè)數(shù)據(jù)負(fù)載的輕重而定。一般而言，主干網(wǎng)一般用來連接建筑群和服務(wù)器群，可能會(huì)容納網(wǎng)絡(luò)上的 40%60%的信息流，是網(wǎng)絡(luò)的大動(dòng)脈。連接建筑群的主干網(wǎng)一般以光纖作為傳輸介質(zhì)，典型的主干網(wǎng)技術(shù)主要有千兆以太網(wǎng)、ATM 和 FDDI 等。根據(jù)中小企業(yè)的需求和中小企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的規(guī)劃設(shè)計(jì)原則等角度來考慮，采用千兆以太網(wǎng)是中小企業(yè)比較理想的做法。FDDI 基本已屬于昨天的技術(shù)，支持它的廠商越來越少。ATM 是面向連接的網(wǎng)絡(luò)，能保證一些突出負(fù)載在網(wǎng)上傳輸，但由于 ATM 在企業(yè)局域網(wǎng)的所有應(yīng)用需要 ELAN 仿真來實(shí)現(xiàn)，不僅技術(shù)難度大，且?guī)捫实?，已證明不適合做企業(yè)網(wǎng)絡(luò)，但如果單建網(wǎng)單位對(duì)實(shí)時(shí)傳輸要求極高，也可以考慮選用。根據(jù)中小企業(yè)的建網(wǎng)規(guī)模，對(duì)經(jīng)費(fèi)比較緊張的企業(yè)，可以采用 100 BASEFX，即用光傳輸介質(zhì)上快速以太網(wǎng)。端口價(jià)格低，對(duì)光纜要求不高。是一種非常經(jīng)濟(jì)的選擇。主干網(wǎng)的焦點(diǎn)是核心交換機(jī)（或路由器）。如果考慮提供較高的可用性，而且經(jīng)費(fèi)允許，主干網(wǎng)可采用雙星（樹）結(jié)構(gòu)，即采用兩臺(tái)同樣的交換機(jī)，與接入層/分布層交換機(jī)分別連接。雙星結(jié)構(gòu)解決了單點(diǎn)故障失效問題，不僅抗毀性強(qiáng)，而且通過采用較新的鏈路聚合技術(shù)，例如快速以太網(wǎng)的 FEC、千兆以太網(wǎng)的 GEC 等技術(shù)，則可以通過允許每條冗余連接鏈路實(shí)現(xiàn)負(fù)載分擔(dān)。安徽工業(yè)大學(xué) 畢業(yè)設(shè)計(jì)（論文）說明書第 10 頁 共 49 頁┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊千兆以太網(wǎng)一般采用光纜作為傳世介質(zhì)。多種波長的單模和多模光纖分別用于不同的場(chǎng)合和距離。由于企業(yè)建筑群布線路徑復(fù)雜的特殊性，一般直線距離超過 300M 的建筑群之間的千兆以太網(wǎng)線路就必須要用單模光纖。單模光纖本身不貴，昂貴的是光端口及組件。在企業(yè)中，經(jīng)常會(huì)根據(jù)需要對(duì)骨干網(wǎng)及核心交換機(jī)改善設(shè)計(jì)或?qū)εf網(wǎng)經(jīng)行升級(jí)改造的技術(shù)，如：FEC/GEC（快速以太網(wǎng)/千兆以太網(wǎng)鏈路聚合技術(shù)）、CGMP（分組管理協(xié)議）、 GBIC(千兆位集成電路)、HSRP（熱等待路由協(xié)議）。 分布層/接入層設(shè)計(jì)中小企業(yè)網(wǎng)絡(luò)中分布層的存在與否，取決于外圍網(wǎng)采用的擴(kuò)充互聯(lián)方法。當(dāng)建筑物內(nèi)信息點(diǎn)較多（如，220 個(gè)）超出一臺(tái)交換機(jī)所容納的端口密度，而不得不增加交換機(jī)擴(kuò)充端口密度時(shí)，如果采用級(jí)聯(lián)方式，即將一組固定端口交換機(jī)上聯(lián)到一臺(tái)背板寬帶和性能較好的二級(jí)交換機(jī)上，再由二級(jí)交換機(jī)上聯(lián)到主干；如果采用多個(gè)并行交換機(jī)堆疊方式擴(kuò)充端口密度，其中一臺(tái)交換機(jī)上聯(lián)，則網(wǎng)絡(luò)中就有接入層，沒有分布層。要不要分布層，采用級(jí)連還是堆疊，要看網(wǎng)絡(luò)信息流的特點(diǎn)，堆疊體內(nèi)能夠有充足的寬帶保證，適合本地（樓宇內(nèi)）信息流密集、全局信息負(fù)載相對(duì)較輕的情況；級(jí)連適宜于全網(wǎng)信息流較平均的場(chǎng)合，且分布層交換機(jī)大都具有組播和初級(jí) QoS（服務(wù)質(zhì)量）管理能力，適合處理一些突發(fā)的重負(fù)載（如 VOD 視頻點(diǎn)播），但增加分布層的同時(shí)也會(huì)使成本提高。分布層/接入層一般采用 100BASET（X）快速（交換式）以太網(wǎng)，采用10/100Mbit/s 自動(dòng)適宜傳輸速率到桌面計(jì)算機(jī)。傳輸介質(zhì)則基本上是雙絞線。接入層交換機(jī)可選擇的產(chǎn)品很多，但是一定要注意接入層交換機(jī)必須支持 1~2個(gè)光端口模塊，必須支持堆疊，如果主干網(wǎng)為千兆以太網(wǎng)，接入層交換機(jī)還必須支持 GBE 模塊。 遠(yuǎn)程接入訪問的規(guī)劃設(shè)計(jì)在企業(yè)中，由于布線系統(tǒng)費(fèi)用與實(shí)現(xiàn)上的限制，對(duì)于零散的遠(yuǎn)程用戶接入，利用 PSTM 市話網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程撥號(hào)訪問幾乎是唯一的經(jīng)濟(jì)、簡便的選擇。遠(yuǎn)程撥號(hào)訪問需要規(guī)劃遠(yuǎn)程訪問服務(wù)器和 Modem 設(shè)備，并申請(qǐng)一組中繼線（企業(yè)內(nèi)部有 PABX 電話交換機(jī)則最好）。由于整個(gè)網(wǎng)絡(luò)中惟一的窄寬設(shè)備，這一部分在未來的網(wǎng)絡(luò)中可能會(huì)逐步減少使用。遠(yuǎn)程訪問服務(wù)器（RAS）和 Modem 組的端口數(shù)目一一對(duì)應(yīng)，一般按一個(gè)