【文章內(nèi)容簡介】 絡(luò)地址翻譯（ NAT） 網(wǎng)絡(luò)地址翻譯（ NAT）解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過 NAT把內(nèi)部地址翻譯成合法的 IP 地址，在 Inter 上使用。其具體的做法是把 IP 包內(nèi)的地址域用合法的 IP 地址來替換。 NAT 有三種類型： 靜態(tài) NAT（ staticNAT）、 NAT 池（ pooledNAT）和端口 NAT（ PAT）。 PAT 是把內(nèi)部 地址映射 到外部網(wǎng)絡(luò)的一個(gè) IP 地址的不同端口上 協(xié)議是基于 Client/Server 的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶 /設(shè)備通過接入端口 (access port)訪問 LAN/WLAN。在獲得交換機(jī)或 LAN 提供的各種業(yè)務(wù)之前， 對連接到交換機(jī)端口上的用戶 /設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前， 只允許 EAPoL（基于 局域網(wǎng) 的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。 網(wǎng)絡(luò)訪問技術(shù)的核心部分是 EAP（端口訪問實(shí)體）。在訪問控制流程中，端口訪問實(shí)體包含 3部分：認(rèn)證者 對接入的用戶 /設(shè)備進(jìn)行認(rèn)證的端口；請求者 被認(rèn)證的用戶 /設(shè)備；認(rèn)證 服務(wù)器 根據(jù)認(rèn)證者的信息，對請求訪問網(wǎng)絡(luò)資源 的用戶 /設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。 湖南工程學(xué)院畢業(yè)設(shè)計(jì)（論文） 7 第 2 章 組網(wǎng)設(shè)計(jì)原則與需求分析 設(shè)計(jì)一個(gè)網(wǎng)絡(luò)，首先要確定用戶對網(wǎng)絡(luò)的真正需求，其中包括分析原有網(wǎng)絡(luò)現(xiàn)在面臨的主要問題，并找出新的用戶需求和未來的發(fā)展可能，在此基礎(chǔ)上設(shè)計(jì)選擇合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，建設(shè)滿足需求的網(wǎng)絡(luò)。 組網(wǎng)設(shè)計(jì)原則 (1)實(shí)用性和先進(jìn)性 根據(jù)企業(yè)情況和特點(diǎn)，在設(shè)計(jì)中特別強(qiáng)調(diào)實(shí)用性和先進(jìn)性的結(jié)合，應(yīng)采用成熟的網(wǎng)絡(luò)技術(shù)，保證企業(yè)網(wǎng)實(shí)用；跟蹤國際網(wǎng)絡(luò)技術(shù)的新發(fā)展，設(shè)計(jì)技術(shù)先進(jìn)的網(wǎng)絡(luò)。在保證企業(yè)網(wǎng)可靠、實(shí)用、先進(jìn)的基礎(chǔ)上，可以提供研究先進(jìn) 網(wǎng)絡(luò)技術(shù)的科研環(huán)境，方便企業(yè)的管理。 (2)開放性和標(biāo)準(zhǔn)化 整個(gè)企業(yè)網(wǎng)的設(shè)計(jì)采用開放的網(wǎng)絡(luò)體系，以方便網(wǎng)絡(luò)的升級、擴(kuò)展和互聯(lián)。同時(shí)，在選擇服務(wù)器、網(wǎng)絡(luò)產(chǎn)品時(shí)，強(qiáng)調(diào)產(chǎn)品支持的網(wǎng)絡(luò)協(xié)議的國際化。 (3)可靠性與安全性 在企業(yè)網(wǎng)的設(shè)計(jì)中，主要考慮兩個(gè)層次：一是整個(gè)網(wǎng)絡(luò)的可靠性與安全性，采用高可靠性、高安全性的網(wǎng)絡(luò)體系結(jié)構(gòu)，包括合理設(shè)計(jì)廣域網(wǎng)的訪問控制和內(nèi)部局域網(wǎng)的訪問控制、對外部網(wǎng)絡(luò)訪問鏈路的備份等；二是網(wǎng)絡(luò)設(shè)備的可靠性與安全性，主要是采用可帶電插拔的模塊、配置雙電源、端口冗余、設(shè)置網(wǎng)絡(luò)設(shè)備的用戶表及口令 限制等手段。 (4)經(jīng)濟(jì)性與可擴(kuò)充性 在滿足企業(yè)需求的前提下，選用性價(jià)比高的網(wǎng)絡(luò)設(shè)備和服務(wù)器。采用的網(wǎng)絡(luò)構(gòu)架和設(shè)備，應(yīng)充分考慮到易升級換代，并且在升級時(shí)可以最大限度地保護(hù)原有的硬件設(shè)備和軟件投資。 功能需求 企業(yè)網(wǎng)是以企業(yè)的業(yè)務(wù)、管理、技術(shù)、信息交流和資源共享為目的的，以一個(gè)企業(yè)的管轄區(qū)域?yàn)楦采w范圍的局域網(wǎng)，是通過與 Inter 的互連實(shí)現(xiàn)信息交流和資源共享的系統(tǒng)。本企業(yè)網(wǎng)設(shè)計(jì)的需求目標(biāo)是將各種不同應(yīng)用的信息資源通過網(wǎng)絡(luò)設(shè)備互連起來，形成企業(yè)內(nèi)部的 Intra 系統(tǒng)（內(nèi)部網(wǎng)絡(luò)系統(tǒng)），對外通 過接入設(shè)備接入 CERNET，實(shí)現(xiàn)與 Inter 的互連，即建設(shè)一個(gè)以辦公自動(dòng)化、信息共享、現(xiàn)代企業(yè)文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、覆蓋企業(yè)主要樓宇及分公司的企業(yè)主干網(wǎng)絡(luò)。某單位組網(wǎng)方案設(shè)計(jì)與實(shí)施 8 將企業(yè)的各種 PC 工作站，終端設(shè)備和局域網(wǎng)連接起來，并與 CERNET 相連，在網(wǎng)上發(fā)布和獲取信息資源，并在此基礎(chǔ)上建立能滿足業(yè)務(wù)、技術(shù)和管理工作需求的軟、硬件環(huán)境，開發(fā)各類信息和應(yīng)用系統(tǒng)，為企業(yè)中的各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)。主要提供以下幾種功能： (1)本企業(yè)網(wǎng)為中小型規(guī)模的組網(wǎng)，企業(yè)網(wǎng)主干采用萬兆以太網(wǎng)技術(shù)（第三 層交換），使用三層結(jié)構(gòu)。二級交換機(jī)采用 千 兆以太網(wǎng)交換機(jī)，服務(wù)器采用兆網(wǎng)卡，百兆到桌面 (2)電子郵件系統(tǒng)、信息發(fā)布、網(wǎng)管軟件、自動(dòng)備份軟件、辦公自動(dòng)化軟件、視頻語音會(huì)議及其他網(wǎng)絡(luò)應(yīng)用和開發(fā)軟件等。 (3)文件傳送功能：該功能是基于 FTP(File Transfer Protocol)協(xié)議的 ,網(wǎng)絡(luò)上的兩臺計(jì)算機(jī)無論地理位置如何 ,只要它們都支持 FTP,則網(wǎng)上用戶可將需要的文件在兩臺計(jì)算機(jī)之間進(jìn)行傳送 ,使用 FTP 幾乎可以傳送任何類型的正文文件、二進(jìn)制文件、圖像文件、聲音文件和數(shù)據(jù)壓縮文件等。 (4)用戶與安全管理 ：根據(jù)具體情況建立用戶組 ,用戶組由若干個(gè)用戶組成 ,可以對不同的用戶組或用戶設(shè)置不同的訪問權(quán)限 ,以達(dá)到對各種信息的訪問權(quán)限進(jìn)行控制的目的 ,對于需要在傳輸中保密的信息 ,還可以采用加密技術(shù)和手段 ,保護(hù)信息提供者的利益。 (5)數(shù)據(jù)處理與查詢：通過 WWW 的某些技術(shù) ,實(shí)現(xiàn) Web 服務(wù)器與數(shù)據(jù)庫系統(tǒng)的連接 ,完成對數(shù)據(jù)的處理與查詢 ,用戶可以通過操作簡單易用的瀏覽器來查詢所需要的數(shù)據(jù)、聲音和圖像信息。 (6)分公司（湘潭、株洲）與總部（長沙總部）信息交流以及資源共享，同時(shí)出差人員的遠(yuǎn)程訪問等。 管理與安全需求 隨著 網(wǎng)絡(luò)復(fù)雜度的增加，給網(wǎng)絡(luò)管理帶來成級數(shù)增長的工作量。網(wǎng)絡(luò)管理要求解決問題包括： (1)虛擬局域網(wǎng)管理、分配。目前的虛擬局域網(wǎng)只要基于交換機(jī)端口劃分，如果一個(gè)部門擴(kuò)展新的入網(wǎng)點(diǎn)，擴(kuò)展將改換交換機(jī)端口設(shè)置。管理軟件需提供原地虛擬網(wǎng)的修改功能。 (2)接入層網(wǎng)絡(luò)設(shè)備需要支持基于 MAC地址的 ，以保證帳號的唯一性；同時(shí)，支持遠(yuǎn)程 tel 管理遠(yuǎn)程開關(guān)交換機(jī)端口功能；此外還要求適應(yīng)大量用戶并發(fā)認(rèn)證及復(fù)雜的工作環(huán)境等。 (3)要求能夠?qū)崿F(xiàn)對用戶名、 IP 地址、 MAC 地址、交換機(jī)端 口的同時(shí)綁定，以杜絕非法用戶惡意盜用合法用戶的用戶名、密碼、 IP 和 MAC 等現(xiàn)象，確保計(jì)費(fèi)工作。網(wǎng)絡(luò)湖南工程學(xué)院畢業(yè)設(shè)計(jì)（論文） 9 必須舉辦高可靠、以管理等特征 (4)企業(yè)網(wǎng)安全主要考慮以下幾個(gè)方面要求：各部門訪問網(wǎng)絡(luò)的控制，網(wǎng)絡(luò)需要建立防火墻，禁止外部用戶未經(jīng)許可訪問內(nèi)部的數(shù)據(jù)，或者內(nèi)部用戶未經(jīng)許可訪問外部數(shù)據(jù)。主要利用虛擬網(wǎng)技術(shù)和防火墻技術(shù)來合理解決安全與開放的問題。 業(yè)務(wù)需求 此企業(yè)業(yè)務(wù)需求較多不用的需求需要不同的設(shè)備，如表 表 業(yè)務(wù)需求 業(yè)務(wù) 設(shè)備 文件共享 PC 打印 打印機(jī) 語音 PBX 交換機(jī) 視 頻 交換機(jī) 數(shù)據(jù)存儲(chǔ) 服務(wù)器 數(shù)據(jù)過濾 防火墻 無線 無線路由器、 AP 應(yīng)用需求分析 設(shè)計(jì)一個(gè)網(wǎng)絡(luò)，首先要確定用戶對網(wǎng)絡(luò)的真正需求，其中包括分析原有網(wǎng)絡(luò)現(xiàn)在面臨的主要問題，并找出新的用戶需求和未來的發(fā)展可能，在此基礎(chǔ)上設(shè)計(jì)選擇合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，建設(shè)滿足需求的網(wǎng)絡(luò)。 我主要模擬的是公司總部網(wǎng)絡(luò)，圖 是該單位總部各部門地理分布圖： 某單位組網(wǎng)方案設(shè)計(jì)與實(shí)施 10 圖 該單位具有網(wǎng)絡(luò)中心，財(cái)務(wù)部、人事部、生產(chǎn)部、技術(shù)部、銷售部、質(zhì)量部、后勤部。并且各個(gè)部門分散在不同的辦公樓內(nèi)，其中行政部分布在行政樓和辦公樓兩個(gè)建筑內(nèi)。其中網(wǎng)絡(luò)中心大概有 60 臺客戶機(jī)，其他各部門的客戶機(jī)數(shù)量均在 20 臺左右，分支機(jī)構(gòu)（部分部門沒有） 20 臺左右，隨著該單位業(yè)務(wù)量的不斷提高，對網(wǎng)絡(luò)的要求也越來越高。單位領(lǐng)導(dǎo)對新建的網(wǎng)絡(luò)有以下要求： (1) 光纖萬兆 主干連接到各部門。 (2) 采用超 5 類雙絞線系統(tǒng)連接各樓樓層網(wǎng)間設(shè)備與用戶信息設(shè)備，使計(jì)算機(jī)信息傳輸時(shí)達(dá)到兆速率。 (3) 各布線系統(tǒng)符合交互式網(wǎng)絡(luò)環(huán)境需求，支持多媒體傳輸及局部科研應(yīng)用。 (4) 光纜鋪設(shè)利用現(xiàn)有管道直埋式鋪設(shè)，樓內(nèi)信息干線采用 PVC 線槽，線管鋪設(shè)。 (5) 整個(gè)網(wǎng)絡(luò)采用先進(jìn)的網(wǎng)絡(luò)結(jié)構(gòu)，以滿足傳輸、存儲(chǔ)和分散辦公的需要。 (6) 和 Inter 接通。 (7) 滿足網(wǎng)上的集成系統(tǒng)和業(yè)務(wù)系統(tǒng)的需求。 (8) 完整統(tǒng)一的系統(tǒng)管理平臺。 (9) 經(jīng)濟(jì)實(shí)用性：設(shè)備的選型應(yīng)有最優(yōu)的性能價(jià)格比，以最省的投資實(shí)現(xiàn)盡可能多的功能 根據(jù)企業(yè)的建筑物布局和用戶量 ，設(shè)計(jì)每棟樓需要接入點(diǎn)數(shù)，設(shè)備的需求量，如表 和表 所示： 湖南工程學(xué)院畢業(yè)設(shè)計(jì)（論文） 11 表 區(qū)域 信息點(diǎn)數(shù)量（個(gè)） 財(cái)務(wù)部 10 人事部 10 后勤部 10 技術(shù)部 15 服務(wù)器群 60 質(zhì)量部 10 銷售部 15 生產(chǎn)部 10 表 設(shè)備名稱 數(shù)量（臺） 服務(wù)器 8 核心交換機(jī) 2 分布層交換機(jī) 4 訪問層交換機(jī) 6 路由器 3 防火墻 1 AP 25 UPS 2 問題及解決方案 （ 1）企業(yè)規(guī)模較大，部門多，不做限制的話，廣播流量會(huì)非常大； 解決方案：為每個(gè)部門劃分 VLAN （ 2）公司分布在不同的區(qū)域，需要實(shí)現(xiàn)內(nèi)部之間的通信和文件共享； 解決方案：為每兩個(gè)區(qū)域間配置 GRE 隧道 （ 3）員工要方便快速的 聯(lián)網(wǎng)，不需要知道 IP 某單位組網(wǎng)方案設(shè)計(jì)與實(shí)施 12 解決方案：用 DHCP 技術(shù)，員工可配置自動(dòng)獲取； （ 4）企業(yè)用的是私有 IP，只用公網(wǎng)才可以訪問外網(wǎng) 解決方案： NAT 技術(shù)，將私有 IP 轉(zhuǎn)換為共有 IP （ 5）核心層需要告訴的交換數(shù)據(jù) 解決方案： EtherChannel 技術(shù)，將多條鏈路匯聚在一起，提高鏈路帶寬 （ 6）交換機(jī)設(shè)備較多，相互之間互聯(lián)可能會(huì)形成環(huán)路 解決方案： STP 技術(shù)，使拓?fù)洳粫?huì)存在環(huán)路 （ 7）公司不希望外界的任何數(shù)據(jù)包都可以進(jìn)入內(nèi)部的網(wǎng)絡(luò) 解決方案：標(biāo)準(zhǔn) ACL、擴(kuò)展 ACL，可進(jìn)行有選擇的過濾數(shù)據(jù) 湖南工程學(xué)院畢業(yè)設(shè)計(jì)（論文） 13 第 3 章 邏輯網(wǎng)絡(luò)設(shè)計(jì) 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)分析 在邏輯網(wǎng)絡(luò)設(shè)計(jì)階段，要根據(jù)網(wǎng)絡(luò)的大小和通信量的特點(diǎn)，選擇合適的網(wǎng)絡(luò)設(shè)計(jì)模型，鑒于本公司是一個(gè)中小型的網(wǎng)絡(luò)與此同時(shí)考慮到以后的可擴(kuò)展性，此方案采用層次化的設(shè)計(jì)方案。層次化模型的每一層都有特定的任務(wù)。核心層提供站點(diǎn)之間的優(yōu)化傳輸；分布層把網(wǎng)絡(luò)服務(wù)喝接入訪問層連接起來，并且執(zhí)行安全、通信負(fù)載和路由策略；訪問層為終端用戶提供交換機(jī)或者集線器。 拓?fù)浣Y(jié)構(gòu)圖 網(wǎng)絡(luò)的拓?fù)渲傅氖怯?jì)算機(jī)網(wǎng)絡(luò)的物理布局。簡單是說，是指將一組設(shè)備以什么結(jié)構(gòu)連接起 來。連接的結(jié)構(gòu)有多種，主要有總線型拓?fù)洌h(huán)型拓?fù)?，星型拓?fù)浜途W(wǎng)狀拓?fù)?。公司網(wǎng)絡(luò)采用核心層，分布層與接入層混合的模形。整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖，以下是此企業(yè)的拓?fù)鋱D，如圖 圖 企業(yè)網(wǎng)絡(luò)拓?fù)鋱D 此拓?fù)鋱D有 5 個(gè)不同的 地點(diǎn)，共分為三個(gè)地區(qū)：長沙（總部）、湘潭、株洲，它們通過英特網(wǎng)服務(wù)商（ ISP）連接起來。 某單位組網(wǎng)方案設(shè)計(jì)與實(shí)施 14 長沙地區(qū)有 3 個(gè)不同的網(wǎng)絡(luò)，網(wǎng)絡(luò)中心中心，共 60 臺主機(jī)，總部大樓大概 40 臺主機(jī)（分兩個(gè)不同網(wǎng)絡(luò)），此區(qū)域采用分層的層次結(jié)構(gòu)， core1與 core2 為核心層， dis1—dis4為匯聚層，二層交換機(jī)為接入層。 湘潭和株洲地區(qū)分別有 20 臺主機(jī)，它們用一個(gè)三層交換機(jī)實(shí)現(xiàn)不同網(wǎng)段的連通，通過路由器實(shí)現(xiàn)與外網(wǎng)的連接。 IP 地址及 VLAN 的劃分 各部門的 IP 規(guī)劃 考慮到安全問題，企業(yè)內(nèi)部采用私有 IP，根據(jù) 實(shí)際情況得知，該公司共有 140 臺主機(jī)，采用私有 IP 綽綽有余，因此，為了簡單與方便維護(hù)，我們采用 24 為額子網(wǎng)掩碼，不同部門間采用有規(guī)律的遞增的 IP，如表 . 表 各部門 IP 及 VLAN 的劃分 企業(yè)部門 VLAN 簡（中文縮寫） VLAN IP 地址 子網(wǎng)掩碼 主機(jī)數(shù) 財(cái)務(wù)部 CW 10 10 人事部 RL 20 10 服務(wù)器群 FWQ 30 60 生產(chǎn)部 SC 40 10 技術(shù)部 JS 50 10 銷售部 XS 60 20 后勤部 HQ 70 10 質(zhì)量部 ZL 80 10 PAT 地址池 IP的規(guī)劃 單位內(nèi)部的 IP 通過 NAT 轉(zhuǎn)換訪問外網(wǎng)，其他地址 池中的可用單位申請到的 C 類網(wǎng)絡(luò) 。因?yàn)橐D(zhuǎn)換的臺數(shù)較多，且為了可擴(kuò)展性，可在地址池中多放一些地址，并采用 PAT 技術(shù)，根據(jù)拓?fù)鋱D，知長沙地區(qū)有 100 臺主機(jī)，湘潭與株洲分別有 20臺主機(jī)，地址池的 IP 分配如表 . 湖南工程學(xué)院畢業(yè)設(shè)計(jì)（論文） 15 表 公網(wǎng)地址池的分配 區(qū)域 地址池 IP個(gè)數(shù) 地址池 子網(wǎng)掩碼 長沙 50 — 湘潭 10 — 株洲 10 —