【文章內容簡介】 VLAN 劃分；可在一個交換機上實現(xiàn)，也可跨交換機實現(xiàn)；可以根據網絡使用者的位置、作用、部門或根據使用的應用程序、上層協(xié)議或者以太網路連接硬件地址來進行劃分。一個 VLAN 相當于 OSI 模型第 2 層的廣播域，它能將廣播控制在一個VLAN 內部。而不同 VLAN 之間或 VLAN 與 LAN / WAN 的數(shù)據通訊必須通過第 3 層（網絡層）完成。否則，即便是同一交換機上的連接，假如它們不處于同一個 VLAN，正常情況下也無法進行數(shù)據通訊 為了解決資訊安全議題，1995 年 IEEE 802 委員會發(fā)表了 VLAN 技術的實作標準與訊框結構，希望能透過設定邏輯位址（TPID、TCI） ，對實體局域網區(qū)隔成獨立虛擬網段，以規(guī)范封包廣播時的最大范圍。如下圖，VLAN 解決了物理位置的限制圖 VLAN 示意圖安徽工業(yè)大學 畢業(yè)設計（論文）說明書第 6 頁 共 49 頁┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊VLAN 的標準有兩種，Cisco 公司的 ISL,以及 IEEE 由于后者是國際化標準，而且其傳輸效率更高，所以更適合網絡需求。使用 VLAN 的好處有以下幾點：廣播風暴防范：限制網絡上的廣播，在一個 VLAN 中的廣播不會送到VLAN 之外。同樣，相鄰的端口不會收到其他 VLAN 產生的廣 播。這樣可以減少廣播流量，釋放帶寬給用戶應用，減少廣播的產生。安全：不同 VLAN 內的報文在傳輸時是相互隔離的，即一個 VLAN 內的用戶不能和其它 VLAN 內的用戶直接通信，如果不同 VLAN 要進行通信，則需要通過路由器或三層交換機等三層設備。成本降低：成本高昂的網絡升級需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。性能提高：將第二層平面網絡劃分為多個邏輯工作組（廣播域）可以減少網絡上不必要的流量并提高性能。另外使用 VLAN 還可以提高 IT 員工效率，簡化項目管理或應用管理，增加了網絡連接的靈活性等優(yōu)點。 DHCP 某些的主機不需要靜態(tài)的 IP，因為其并非永久的使用該地址，當主機離開網絡，就得釋放這個 IP 地址，以給其它工作站使用，動態(tài)分配顯然更加靈活。DHCP 是目前應用最為廣泛的為網絡主機分配 IP 地址的方式之一。DHCP允許 DHCP 客戶端從 DHCP 服務器獲取 IP 地址，子網掩碼，默認網關 IP 地址，DNS 服務器 IP 地址以及其他 IP 地址類型信息。DHCP 工作原理如圖圖 DHCP 的工作原理第一步：由于 DHCP 客戶端初始啟動時沒有 IP 地址，默認網關或這類配置信息，因而 DHCP 客戶端初始啟動后通過發(fā)送目的地為 的廣播消息（DHCP discovery）來試圖發(fā)現(xiàn) DHCP 服務器。第二步：DHCP 服務器接收到 DHCP discovery 消息后，響應以 DHCP offer消息。由于 DHCP discovery 消息是以廣播方式向外發(fā)送的，因而可能會有多個DHCP 服務器響應發(fā)現(xiàn)請求，不過客戶端通常會選擇其接收到的第一個 DHCP 安徽工業(yè)大學 畢業(yè)設計（論文）說明書第 7 頁 共 49 頁┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊offer 消息的服務器作為 DHCP 服務器。第三步：DHCP 客戶端通過發(fā)送 DHCP request 消息與選定的服務器進行通信，讓 DHCP 服務器提供 IP 配置參數(shù)。 第四步：最后，DHCP 服務器以 DHCPACK 消息響應客戶端， DHCPACK消息包含了響應的 IP 配置參數(shù)。 NAT在計算機網絡中，網絡地址轉換（Network Address Translation 或簡稱NAT，也叫做網絡掩蔽或者 IP 掩蔽）是一種在 IP 數(shù)據包通過路由器或防火墻時重寫源 IP 地址或/和目的 IP 地址的技術。這種技術被普遍使用在有多臺主機但只通過一個公有 IP 地址訪問因特網的私有網絡中。目前人們普遍認為 NAT 完美的解決了 IP 地址不足的問題，的確，他真的是一樣很有用的工具，可以說沒有 NAT，我們的網絡不會得到如此迅速的發(fā)展。但 NAT 也讓主機之間的通信變得復雜，導致通信效率的降低。NAT 優(yōu)點：節(jié)約合法注冊地址，減少地址重疊出現(xiàn)，增加鏈接 Inter 的靈活性，網絡變更時避免地址的重新分配。NAT 缺點：地址轉換產生交換延遲，無法進行端到端的 IP 跟蹤，某些應用程序無法實現(xiàn)在 NAT 的網絡中運行。NAT 運行示例：在下圖中主機 發(fā)送一個外出數(shù)據包到配置了 NAT的邊界路由器，邊界路由器識別出此 IP 地址為內部 IP 地址，目標是外部網絡，他要轉換內部本地 IP 地址，并把轉換結果記錄到 NAT 表中，這個數(shù)據包使用轉換后的新的源地址被發(fā)送到外部接口，外部主機返回此包到目標主機，NAT路由使用 NAT 表轉換內部全局 IP 地址為內部 IP 地址，整個過程基本就是這樣。下圖是基本的 NAT 工作原理示意圖圖 NAT 工作原理示意圖 ACL安徽工業(yè)大學 畢業(yè)設計（論文）說明書第 8 頁 共 49 頁┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊內外網絡的通信都是企業(yè)網絡中必不可少的業(yè)務需求，但是為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL 可以過濾網絡中的流量，控制訪問的一種網絡技術手段。ACL 可以限制網絡流量、提高網絡性能。例如，ACL 可以根據數(shù)據包的協(xié)議，指定數(shù)據包的優(yōu)先級。ACL 提供對通信流量的控制手段。例如，ACL 可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量。ACL 是提供網絡安全訪問的基本手段。ACL 允許主機 A 訪問人力資源網絡，而拒絕主機 B 訪問。ACL 可以在路由器端口處決定哪種類型的通信流量被轉發(fā)或被阻塞。例如，用戶可以允許 Email 通信流量被路由，拒絕所有的 Tel 通信流量。 例如：某部門要求只能使用 WWW 這個功能，就可以通過 ACL 實現(xiàn)； 又例如，為了某部門的保密性，不允許其訪問外網，也不允許外網訪問它，就可以通過ACL 實現(xiàn)。訪問控制列表的工作示意圖數(shù)據包進入接口允許通過是否設置了ACL與 ACL 對比是否匹配有沒有更多的 ACL?與下一條ACL 對比丟棄圖 ACL 工作示意圖 拓撲結構圖設計網絡的拓撲結構對整個網絡系統(tǒng)的運行效率，技術性能發(fā)揮，可靠性與費用等方面都有著中重要的影響。確立為網絡的拓撲結構是整個網絡系統(tǒng)方案的規(guī)劃設計的基礎。拓撲結構的選擇和地理環(huán)境的分布，傳輸介質，介質訪問控安徽工業(yè)大學 畢業(yè)設計（論文）說明書第 9 頁 共 49 頁┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊制方法，甚至網絡設備選型等因素緊密相關。 網絡拓撲結構的規(guī)劃設計原則構成局域網的拓撲結構有很多種，最常見到的有總線拓撲、星型拓撲、環(huán)型拓撲及各種混合性拓撲等。采用不同的網絡控制策略（即網絡數(shù)據的傳輸與通信的有關協(xié)議和控制方法），所有使用的網絡連接設備也不一樣。因此，無論在網絡的規(guī)劃或設計時都必須首先決定將采用那一種網絡拓撲結構，選擇合適的網絡拓撲結構非常重要的。也就是說，選擇網絡拓撲結構是網絡規(guī)劃設計的第一步。中小企業(yè)在選擇網絡拓撲結構的時候，應從經濟性、靈活性和擴展性好、可靠性、易于管理和維護幾個方面著重入手。在現(xiàn)在企業(yè)中經濟效益都是首要考慮的，在建設網絡投資的同時就考慮到經濟效益的回報。拓撲結構的選擇直接決定了網絡安裝和維護的費用。因為，拓撲結構的選擇與傳輸介質的選擇、傳輸距離的長短及所需網絡的連接設備密切相關。靈活性和擴展性也是選擇網絡拓撲結構時應充分重視的問題。任何一個網絡都不能一勞永逸的，隨著用戶的增加，應用的深入和擴大，網絡新技術的不斷涌現(xiàn)，特別是應用方式和要求的改變，網絡經常需要加以調整。然而，網絡的可調性與靈活性，以及可擴展性與建立網絡時拓撲結構直接相關。網絡的可靠性是任何一個網絡的生命。當網絡總的某個節(jié)點或站點發(fā)生問題的時候時，網絡不能正常工作。網絡拓撲結構的選擇還直接決定網絡故障檢測和故障隔離的方便性。總之，中小企業(yè)網拓撲結構的選擇，需要考慮的因素很多，這些因素同時影響網絡的運行速度和網絡軟硬件接口的復雜程度等等。 主干網絡（核心層）設計主干網絡技術的選擇，需根據需求分析中地理距離、信息流量個數(shù)據負載的輕重而定。一般而言，主干網一般用來連接建筑群和服務器群，可能會容納網絡上的 40%60%的信息流，是網絡的大動脈。連接建筑群的主干網一般以光纖作為傳輸介質，典型的主干網技術主要有千兆以太網、ATM 和 FDDI 等。根據中小企業(yè)的需求和中小企業(yè)網絡拓撲結構的規(guī)劃設計原則等角度來考慮，采用千兆以太網是中小企業(yè)比較理想的做法。FDDI 基本已屬于昨天的技術，支持它的廠商越來越少。ATM 是面向連接的網絡，能保證一些突出負載在網上傳輸，但由于 ATM 在企業(yè)局域網的所有應用需要 ELAN 仿真來實現(xiàn)，不僅技術難度大，且?guī)捫实?，已證明不適合做企業(yè)網絡，但如果單建網單位對實時傳輸要求極高，也可以考慮選用。根據中小企業(yè)的建網規(guī)模，對經費比較緊張的企業(yè)，可以采用 100 BASEFX，即用光傳輸介質上快速以太網。端口價格低，對光纜要求不高。是一種非常經濟的選擇。主干網的焦點是核心交換機（或路由器）。如果考慮提供較高的可用性，而且經費允許，主干網可采用雙星（樹）結構，即采用兩臺同樣的交換機，與接入層/分布層交換機分別連接。雙星結構解決了單點故障失效問題，不僅抗毀性強，而且通過采用較新的鏈路聚合技術，例如快速以太網的 FEC、千兆以太網的 GEC 等技術，則可以通過允許每條冗余連接鏈路實現(xiàn)負載分擔。安徽工業(yè)大學 畢業(yè)設計（論文）說明書第 10 頁 共 49 頁┊┊┊┊┊┊┊┊┊┊┊┊┊裝┊┊┊┊┊訂┊┊┊┊┊線┊┊┊┊┊┊┊┊┊┊┊┊┊千兆以太網一般采用光纜作為傳世介質。多種波長的單模和多模光纖分別用于不同的場合和距離。由于企業(yè)建筑群布線路徑復雜的特殊性，一般直線距離超過 300M 的建筑群之間的千兆以太網線路就必須要用單模光纖。單模光纖本身不貴，昂貴的是光端口及組件。在企業(yè)中，經常會根據需要對骨干網及核心交換機改善設計或對舊網經行升級改造的技術，如：FEC/GEC（快速以太網/千兆以太網鏈路聚合技術）、CGMP（分組管理協(xié)議）、 GBIC(千兆位集成電路)、HSRP（熱等待路由協(xié)議）。 分布層/接入層設計中小企業(yè)網絡中分布層的存在與否，取決于外圍網采用的擴充互聯(lián)方法。當建筑物內信息點較多（如，220 個）超出一臺交換機所容納的端口密度，而不得不增加交換機擴充端口密度時，如果采用級聯(lián)方式，即將一組固定端口交換機上聯(lián)到一臺背板寬帶和性能較好的二級交換機上，再由二級交換機上聯(lián)到主干；如果采用多個并行交換機堆疊方式擴充端口密度，其中一臺交換機上聯(lián)，則網絡中就有接入層，沒有分布層。要不要分布層，采用級連還是堆疊，要看網絡信息流的特點，堆疊體內能夠有充足的寬帶保證，適合本地（樓宇內）信息流密集、全局信息負載相對較輕的情況；級連適宜于全網信息流較平均的場合，且分布層交換機大都具有組播和初級 QoS（服務質量）管理能力，適合處理一些突發(fā)的重負載（如 VOD 視頻點播），但增加分布層的同時也會使成本提高。分布層/接入層一般采用 100BASET（X）快速（交換式）以太網，采用10/100Mbit/s 自動適宜傳輸速率到桌面計算機。傳輸介質則基本上是雙絞線。接入層交換機可選擇的產品很多，但是一定要注意接入層交換機必須支持 1~2個光端口模塊，必須支持堆疊，如果主干網為千兆以太網，接入層交換機還必須支持 GBE 模塊。 遠程接入訪問的規(guī)劃設計在企業(yè)中，由于布線系統(tǒng)費用與實現(xiàn)上的限制，對于零散的遠程用戶接入，利用 PSTM 市話網絡進行遠程撥號訪問幾乎是唯一的經濟、簡便的選擇。遠程撥號訪問需要規(guī)劃遠程訪問服務器和 Modem 設備，并申請一組中繼線（企業(yè)內部有 PABX 電話交換機則最好）。由于整個網絡中惟一的窄寬設備，這一部分在未來的網絡中可能會逐步減少使用。遠程訪問服務器（RAS）和 Modem 組的端口數(shù)目一一對應，一般按一個