【正文】 域網(wǎng)、廣域網(wǎng)。局域網(wǎng)的地域范 圍一般只有幾公里，它適用機關(guān)、校園、工廠等有限范圍內(nèi)的計算機、終端與各類信息處理設(shè)備連網(wǎng)的需求。城域網(wǎng)設(shè)計目標是滿足幾十公里范圍內(nèi)的大量企業(yè)、機關(guān)、公司的多個局域網(wǎng)的互聯(lián)需求，以實現(xiàn)大量用戶之間的數(shù)據(jù)、語音、圖形與視頻等多種信息的傳輸。廣域網(wǎng)可以覆蓋幾個國家或地區(qū)，甚至橫跨幾個洲，形成國際性的遠程計算機網(wǎng)絡(luò)。 東華理工大學畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)概述 3 網(wǎng)絡(luò)拓樸結(jié)構(gòu) 網(wǎng)絡(luò)的拓撲結(jié)構(gòu)是指網(wǎng)絡(luò)中通信線路和站點（計算機或設(shè)備）的相互連接的幾何形式。 星型網(wǎng) 以中央節(jié)點為中心，若干外圍節(jié)點連接到中央節(jié)點，任意兩個外圍節(jié)點之間的通信都要通過中央節(jié)點。 樹型網(wǎng) 是星型結(jié)構(gòu)的變形，各站點發(fā)送的信息都要經(jīng)由根節(jié)點廣播到全網(wǎng)。樹型網(wǎng)的同一線路可以連接多 個終端，與星型相比，具有節(jié)省線路，成本較低和易于擴展的特點。網(wǎng)中任一節(jié)點均至少與兩條線路相連，當任意一條線路發(fā)生故障時，通信可轉(zhuǎn)經(jīng)其它鏈路完成，具有較高的可靠性。缺點是網(wǎng)絡(luò)控制機構(gòu)復(fù)雜，線路增多使成本增加?？梢杂嬎?，一個具有 N 個節(jié)點的全連通網(wǎng)需要有 N（ N1） /2 條鏈路，這樣，當 N 值較大時，傳輸鏈路數(shù)很大，而傳輸?shù)逆溌返睦寐瘦^低，因此，在實際應(yīng)用中一般不選 擇全連通網(wǎng)絡(luò)，而是在保證可靠性的前提下，盡量減少鏈路的冗余和降低造價?？偩€型網(wǎng)絡(luò)結(jié)構(gòu)比較簡單，擴展十分方便。 環(huán)型網(wǎng) 各設(shè)備經(jīng)環(huán)路節(jié)點機連成環(huán)型。這種結(jié)構(gòu)常用于計算機局域網(wǎng)中，有單環(huán)和雙環(huán)之分，雙環(huán)的可靠性明顯優(yōu)于單環(huán)。如可在計算機網(wǎng)絡(luò)中的骨干網(wǎng)部分采用網(wǎng)型網(wǎng)結(jié)構(gòu)，而在基層網(wǎng)中 構(gòu)成星型網(wǎng)絡(luò)，這樣既提高了網(wǎng)絡(luò)的可靠性，又節(jié)省了鏈路成本。典型的網(wǎng)絡(luò)體系結(jié)構(gòu)包括：開放系統(tǒng)互連（ Open System 東華理工大學畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)概述 4 Interconnection， OSI）參考模型和傳輸控制協(xié)議 /互聯(lián)網(wǎng)協(xié)議（ Transmission Control Protocol/Inter Protocol， TCP/IP）參考模型 。各層功能描述如下 ： 應(yīng)用層：是 OSI 參考模型的最高層，也是用戶訪問網(wǎng)絡(luò)的接口層，是直接面向用戶的。 表示層：負責處理不同的數(shù)據(jù)在表示上的差異以及相互轉(zhuǎn)換，如 ASCII 與UNICODE 之間的轉(zhuǎn)換，不同格式文件的轉(zhuǎn)換，不兼容終端的數(shù)據(jù)格式之間的轉(zhuǎn)換以及數(shù)據(jù)加密、解密等。 傳輸層：提供端到端的通信，它從會話層接收數(shù)據(jù)，進行適當?shù)奶幚碇髠魉偷木W(wǎng)絡(luò) 層。 網(wǎng)絡(luò)層：負責提供連接和數(shù)據(jù)路由，包括處理輸出報文分組的地址，解析輸入報文的地址和維護路由信息，以便對通信鏈路的變化作出適當?shù)捻憫?yīng)。傳輸以幀為單位的數(shù)據(jù)包，向網(wǎng)絡(luò)層提供正確無誤的信息包的發(fā)送和接收服務(wù)。 圖 11 OSI 七層模型 東華理工大學畢業(yè)設(shè)計（ 論文） 網(wǎng)絡(luò)概述 5 TCP /IP 模型 TCP/IP 參考模型共有四個層次，相對 OSI 參考 模型要簡單得多，因 此在實際的使用中比 OSI 模型 更具有實用性，所以它得到了更好的發(fā)展。圖 12 所 示為 OSI 參 考模型與 TCP/IP 參考模型的對比。例如： HTTP 在 如 Inter 瀏 覽器 的 Web 瀏覽器應(yīng)用程序中為用戶表示數(shù)據(jù)。 Inter 層 （ 網(wǎng)際層 ） ：確定通過網(wǎng)絡(luò)的最佳路徑。 TCP /IP 與 OSI 模型比較 通過圖 12 的 對比很容易可以發(fā)現(xiàn)： OSI 的應(yīng)用、表示、會話層的功能被合并到 TCP/IP 模型的應(yīng)用層；網(wǎng)絡(luò)的大部分功能存在于傳輸層和網(wǎng)絡(luò)層，因而他們保留在獨立的層里； OSI 模型的數(shù)據(jù)鏈路層與物理層被合并到了 TCP/IP 模型的網(wǎng)絡(luò)接口層。但它卻很好的為我們擔供了一個體系分層的參考，有著很好的指導(dǎo)作用。 圖 12 TCP/IP 與 OSI 模型對比 東華理工大 學畢業(yè)設(shè)計（ 論文） 需求分析 6 第 2 章 需求分析 項目背景 我 公司是一家生產(chǎn) 型 大型企業(yè)， 總公司設(shè)在深圳，另外在北京還有個分支機構(gòu)，公司 擁有 員工 上 千 名， 有行政管理部、財務(wù)部、人力資源部、技術(shù)部、生產(chǎn)部和銷售部 6 個部門。 在網(wǎng)絡(luò)項目實施之前，該公司用下行 2M、上行 512K 寬帶，普通交換機作為 主要網(wǎng)絡(luò)連接設(shè)備，帶寬低，速度慢， 各個部門之間不能相互通信，并且園區(qū)內(nèi)部也沒有無線網(wǎng)絡(luò)部署，網(wǎng)絡(luò)安全防御能力低，時常受到各種攻擊 。 設(shè)計原則 網(wǎng)絡(luò)設(shè)計遵循技術(shù)和行業(yè)標準的指導(dǎo)原則，確保設(shè)計的解決方案滿足網(wǎng)絡(luò)建設(shè)的需要，并符合 IT 建設(shè)的標準，為將來的網(wǎng)絡(luò)升級提供向后兼容能力。 （ 1）實用性： 網(wǎng)絡(luò)建設(shè)從應(yīng)用實際需求出發(fā)，堅持為 領(lǐng)導(dǎo)決策服務(wù)，為經(jīng)營管理服務(wù)，為生產(chǎn)建設(shè)服務(wù)。 （ 2）先進性：規(guī)劃局域網(wǎng)，不但要滿足用戶當前的需要，還應(yīng)該有一定技術(shù)前瞻性和用戶需求預(yù)見性，考慮到能夠滿足未來幾年內(nèi)用戶對網(wǎng)絡(luò)功能和帶寬的需要。 （ 3）安全可靠性：確保網(wǎng)絡(luò)可靠運行，在網(wǎng)絡(luò)的關(guān)鍵部分應(yīng)具有容錯能力，提供公共網(wǎng)絡(luò)連接、通信鏈路、服務(wù)器等全方位的安全管理系統(tǒng)。 用戶現(xiàn)實需求 （ 1）實現(xiàn)公司內(nèi)部資源共享（文件共享，打印機共享）。 （ 3） 內(nèi)部網(wǎng)絡(luò)使用 VLAN 分段，隔離廣播，防止內(nèi)部網(wǎng)絡(luò)非授權(quán)的跨網(wǎng)段訪問，如公司其他部門不允許訪問財務(wù)部。 東華理工大 學畢業(yè)設(shè)計（ 論文） 需求分析 7 （ 5）對于移動辦公出入頻繁的位置，須有無線 AP 的部署。 （ 7） 外網(wǎng)用戶可以與內(nèi)網(wǎng)用戶通信，但不能訪問公司內(nèi)網(wǎng)服務(wù)器和財務(wù)部。 VLAN 技術(shù) 虛擬網(wǎng)（ VLAN）技術(shù)就是將一個交換網(wǎng)絡(luò)邏輯地劃分成若干子網(wǎng)，每一個子網(wǎng)就是一個廣播域。 虛擬局域網(wǎng)在功能和操作上與傳統(tǒng) LAN 基本相同， VLAN 與傳統(tǒng)的 LAN 相比，具有以下優(yōu)勢： 減少移動和改變的代價 即所說的動態(tài)管理網(wǎng)絡(luò)，也就是當一個用戶從一個位置移動到另一個位置是，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動態(tài)的完成，這種動態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來了極大的好處，一個用戶，無論他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好的。一個人如果從一個辦公地點換到另外一個地點，而他仍然在該部門，那么，該用戶的配置無須改變；同時，如果一個人雖然辦公地點沒有變，但他更換了部門，那么，只需網(wǎng)絡(luò)管理員更改一下該用戶的配置即可。 限 制廣播包，提高帶寬的利用率 有效地解決了廣播風暴帶來的性能下降問題。 增強通迅的安全性 東華理工大 學畢業(yè)設(shè)計（ 論文） 需求分析 8 一個 VLAN 的數(shù)據(jù)包不會發(fā)送到另一個 VLAN，這樣，其他 VLAN 的用戶的網(wǎng)絡(luò)上是收不到任何該 VLAN 的數(shù)據(jù)包，這樣就確保了該 VLAN 的信息不會被 其他 VLAN 的人竊聽，從而實現(xiàn)了信息的保密。由于 VLAN 是邏輯上對網(wǎng)絡(luò)進行劃分，組網(wǎng)方案靈活，配置管理簡單，降低了管理維護的成本。其主要作用是根據(jù)數(shù)據(jù)包與數(shù)據(jù)段的特征來進行判斷，決定是否允許數(shù)據(jù)包通過路由器轉(zhuǎn)發(fā)，其主要目的是對數(shù)據(jù)流量進行管理和控制。通過多條規(guī)則來定義與規(guī)則中相匹配的數(shù)據(jù)分組。即只能根據(jù)數(shù)據(jù)包是從那里來的來進行控制，而不能基于數(shù)據(jù)包的協(xié)議類型及應(yīng)用來對其進行控制， 其編號號碼范圍從 1 到 99。即可以根據(jù)數(shù)據(jù)包是從那里來、到那里去、何種協(xié)議、什么樣的應(yīng)用等特征的來進行精確地控制， 其編號號碼范圍從 100 到 199。如果匹配其判別條件則依據(jù)這條語句所配置的關(guān)鍵字對數(shù)據(jù)包操作。 如果沒有匹配第一條語句的判別條件則進行下一條語句的匹配，同樣如果匹配其判別條件則依據(jù)這條語句所配置的關(guān)鍵字對數(shù)據(jù)包操作。 這樣的過程一直進行，一旦數(shù)據(jù)包匹配了某條語句的判別語句則根據(jù)這條語句所配置的關(guān)鍵字或轉(zhuǎn)發(fā)或丟棄。 以上 ACL 內(nèi)部的處理過程總的來說，就是自上而下，順序執(zhí)行，直到找到匹配的規(guī)則，拒絕或允許。它分為兩個部份：一個是服務(wù)器端，而另一個是客戶端。 DHCP 協(xié)議的主要特點有： 整個 IP 分配過程自動實現(xiàn)，在客戶端上，除了將 DHCP 選項 打勾外，無需做任何 IP 環(huán)境設(shè)定； 所有的 IP 網(wǎng)絡(luò)設(shè)定資料都由 DHCP 服務(wù)器統(tǒng)一管理，還可以幫客戶端指定mask、 DNS 服務(wù)器、缺省網(wǎng)關(guān)等參數(shù)； 通過 IP 地址租期管理（到達期限時，可能會延長“租約”或重新分配地址），實現(xiàn) IP 地址分時復(fù)用； DHCP 采用廣播方式交互報文，由于默認情況下路由器不會將收到的廣播包從一個子網(wǎng)發(fā)送到另一個子網(wǎng) ，因而當 DHCP 服務(wù)器與客戶主機不在同一個子網(wǎng)時，必須使用 DHCP 中繼（即 DHCP relay）； DHCP 協(xié)議的安全性較差，服務(wù)器容易受到攻擊。當 PC 連接到 DHCP 服務(wù)器時，服務(wù)器向它分配或出租 IP 地址。主機必須定期與 DHCP 服務(wù)器聯(lián)系以續(xù)展租期，這種租用機制確保主機移動或關(guān)閉后不會繼續(xù)占用不再需要的地址。圖 22 和下面的步驟說明了 DHCP 服務(wù)器如何給 DHCP 客戶端分配 IP 地址配置?？蛻舳藛右尤刖W(wǎng)絡(luò)時，為獲得地址租用完成 4 個步驟。由于主機啟動時沒有有效的 IP 信息，因此它使用第 2 層和第 3 層廣播地址與服務(wù)器通信。 DHCP 服務(wù)器收到 DHCPDISCOVER 消息后，它找到一個可東華理工大 學畢業(yè)設(shè)計（ 論文） 需求分析 11 租用的 IP 地址，然后創(chuàng)建一個 ARP 條目，其中包含請求主機的 MAC 地址和要出租的 IP 地址，最后，它使用 DHCPOFFER 消息傳輸提議。 第 3 步 DHCP 請求。該消息有兩個作用：請求租用以及續(xù)租和驗證。該消息提供錯誤檢查，確保地址分配仍然有效。 第 4 步 DHCP 確認。除消息類型字段不同外， DHCPACK 消息與 DHCPOFFER 消息別無二致。如果沒有收到應(yīng)答，便可確定該 IP 地址仍可用，因此將其作為自己的 IP 地址。原因很簡單， NAT 不僅完美地解決了 lP 地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。 NAT 的 工 作原理： 如圖 23 所示 圖 23 NAT工作原理圖 首先，我們要清楚，在局域網(wǎng)內(nèi)部的私有地址是不能訪問外網(wǎng)的，必須通過轉(zhuǎn)換成公有地址才可以訪問 Inter，以上所圖，是兩個公司之間的 Inter 網(wǎng)東華理工大 學畢業(yè)設(shè)計（ 論文） 需求分析 12 絡(luò)互相交流，下面來談?wù)勊墓ぷ髟?： 網(wǎng)絡(luò)的 PC1 想要訪 問 網(wǎng)絡(luò)的 User1 PC1 向 RA（網(wǎng)關(guān)）發(fā)送請求，告訴自己的私有 IP 地址和 MAC 地址，并且要求自己要到達 網(wǎng)絡(luò)的 User1 主機 ； RA 收到請求后，把 PC1 的源 IP 地址進行轉(zhuǎn)換，變成內(nèi)部全局地址，即公有地址 ，并且為 PC1 制定一個隨機產(chǎn)生的端口號（來識別某臺主機），發(fā)送到 Inter 網(wǎng) ； Inter 網(wǎng)絡(luò)收到了內(nèi)部全局 IP 地址的請求，之間進行路由選擇，被 RB接收， RB 通過查看 RA 發(fā)送過來的內(nèi)部全局 IP 地址和端口號等信息，直接發(fā)送給 網(wǎng)絡(luò)的網(wǎng)關(guān) ； 網(wǎng)關(guān)路由器 RB 收到了信息，根據(jù)對方發(fā)過來的目標主機信息，把數(shù)據(jù)傳輸給 網(wǎng)絡(luò)的 User1 主機 ； 根據(jù) ICMP 協(xié)議， user1 主機需要回應(yīng)，對數(shù)據(jù)進行相應(yīng)的處理，把數(shù)據(jù)封裝后發(fā)送給網(wǎng)關(guān) ； 網(wǎng)關(guān)把 user1 的私有 IP 地址轉(zhuǎn)換成外部局部 IP 地址，即公有地址，通過這個公有地址，轉(zhuǎn)發(fā)到路由器 RA； RA 收到數(shù)據(jù)包，查看自己緩存里的對應(yīng)的主機和端口，并對 網(wǎng)絡(luò)的 PC1 進行轉(zhuǎn)發(fā) 。它不僅可以作為有線數(shù)據(jù)通信的補充和延伸，而且還可以與有線網(wǎng)絡(luò)環(huán)境互為備份。在無線 LAN 中，每個客戶端分別使用一個無線適配器通過無線 AP 訪問網(wǎng)絡(luò)， 無線 AP（ AP， Access Point，無線訪問節(jié)點、會話點或存取橋接器）是一個包含很廣的名稱，它不僅包含單純性無線接入點（無線 AP），也同樣是無線路由器（含無線網(wǎng)關(guān)、無線網(wǎng)橋）等類設(shè)備的統(tǒng)稱 。無需 AP，安全由各個客戶端自行維護。 （ 2）基礎(chǔ)架構(gòu)模式：由無線接入點 AP、無線工作站 STA 以及分布式系統(tǒng)DSS 構(gòu)，覆蓋區(qū)域稱基本服務(wù)區(qū) BSS。 AP東華理工大 學畢業(yè)設(shè)計（ 論文）