【正文】 前言 信息化浪潮風起云涌的今天，企業(yè)的業(yè)務(wù)已經(jīng)全面電子化，與 Inter 的聯(lián)系相當緊密，所以他們需要良好的信息平臺去支撐業(yè) 務(wù)的高速發(fā)展。 交換機的主要功能包括物理編址、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、錯誤校驗、幀序列以及流控。使企業(yè)網(wǎng)的用戶訪問 Inter 同時 Inter 用戶能在一定程度上訪問企業(yè)網(wǎng)。借助交換機的路由功能，可以實現(xiàn)各 VLAN 間數(shù)據(jù)包高速轉(zhuǎn)發(fā)，解決 VLAN 之間的傳輸瓶頸。 I 摘要 本設(shè)計方案是關(guān)于小型企業(yè)局域網(wǎng)的設(shè)計，設(shè)計方案分為 兩 個模塊：交換模塊 和路由器 模塊。 根據(jù)各部門職能 不同 把交換模塊劃分為不同的 兩個 VLAN，從而減少了廣播沖突提高了傳輸效率，通過部署 ACL 限制用戶的訪問，有效地保護敏感數(shù)據(jù)，提高了網(wǎng)絡(luò)安全性。 Inter 接入功能主要通過路由器來實現(xiàn)，它的作用主要是建立外網(wǎng)和企業(yè)網(wǎng)的正常通信。通過配置 NAT(Net Address Translation)，不僅是企業(yè)網(wǎng)用戶可以訪問 Inter，而且對 外隱藏企業(yè)網(wǎng)內(nèi)部地址，從而實現(xiàn)地址保護。目前交換機還具備了一些新的功能，如對 VLAN（虛擬局域網(wǎng)）的支持、對鏈路匯聚的支持，甚至有的還具有防火墻的功能 ，極大地提高了辦公效 率，同時免去了高昂的專線租用費用。沒有信息技術(shù)背景的企業(yè)也將會對網(wǎng)絡(luò)建設(shè)有主動訴求。公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。眾多行業(yè)巨擘紛紛上馬各種應(yīng)用方案且取得了巨大的成功，這使信息化建設(shè)更具吸引力。究其原因，在于企業(yè)信息化觀念不夠，信息系統(tǒng)沒有總體設(shè)計原則，信息化建設(shè)缺乏規(guī)劃，致使企業(yè)協(xié)同運作存在障礙，運營成本居高不下。其次企業(yè)局域網(wǎng)要實現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接，從而極大的方便了企業(yè)和外界的溝通，這樣不僅可以降低企業(yè)的生產(chǎn)成本 ，也可以實現(xiàn)異地辦公。 隨著我國計算機網(wǎng)絡(luò)技術(shù)尤其是 Inter 技術(shù)的高速發(fā)展，加快對企業(yè)局域網(wǎng)建設(shè)迫在眉睫。 2 本課題的設(shè)計需要綜合運用各種知識來完成本課題，不僅可以使我進一步掌握計算機網(wǎng)絡(luò)原理、熟悉企業(yè)局域網(wǎng)的設(shè)計搭建，而且可以增強了我的自學能力和動手能力。為了解決這個問題，出現(xiàn)了多種解決方案，而 NAT（ Network Address Translation 網(wǎng)絡(luò)地址轉(zhuǎn)換）是目前網(wǎng)絡(luò)環(huán)境中比較有效的方法。內(nèi)部用戶連接互聯(lián)網(wǎng)時， NAT 將用戶的內(nèi)部網(wǎng)絡(luò) IP 地址轉(zhuǎn)換成一個外部公共 IP 地址，并在 NAT 地址轉(zhuǎn)換表中記錄下這個轉(zhuǎn)換項；當外部網(wǎng)絡(luò)數(shù)據(jù)返回時， NAT 技術(shù)查 詢 NAT 地址轉(zhuǎn)換項，將目標 IP 地址替換成初始的內(nèi)部用戶的 IP 地址，報數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)用戶。 2） NAT 的優(yōu)點和缺點 （ 1） NAT 的優(yōu)點 NAT 節(jié)省了公共地址：一個企業(yè)申請的合法 IP 地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多，可以通過 NAT 功能實現(xiàn)多個用戶同時公用一個合法 IP 地址與外部網(wǎng)絡(luò)進行通信。如果采用了 NAT 只更改 NAT 設(shè)備的 IP 地址池配置，內(nèi)部網(wǎng)絡(luò)的編址不受影響。 NAT 增加了連接到公網(wǎng)的彈性：可以使用多地址池、備份池、負載均衡池，確?？煽康墓W(wǎng)連接。 NAT 雖然能提高內(nèi)部網(wǎng)絡(luò)的安全，但無法取代防火墻。路由器必須檢查每一個包來決定是否需要轉(zhuǎn)換，路由器需要轉(zhuǎn)換 IP 頭，有時還需要轉(zhuǎn)換 TCP 或 UDP 頭部。通過修改端到端的地址， NAT 阻止了一些應(yīng)用，比如一些安全應(yīng)用，如數(shù)字簽名就會失敗，因為數(shù)據(jù)包中源 IP 地址發(fā)生了變化。另外，因為NAT 的存在，也很難追蹤或獲得黑客使用的真是 IP 地址。 5 VLAN 技術(shù) VLAN（ 虛擬局域網(wǎng) ）是對連接到的 第二層交換機 端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進行 網(wǎng)絡(luò)分段 。 VLAN 可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的 應(yīng)用程序 和協(xié)議來進行分組。 傳統(tǒng)的共享介質(zhì)的 以太網(wǎng) 和交換式的以太網(wǎng)中，所有的用戶在同一個 廣播域 中，會引起網(wǎng)絡(luò)性能的下降，浪費可貴的帶寬；而且對 廣播風暴 的控制和網(wǎng)絡(luò)安全只能在第三層的 路由器 上實現(xiàn)。不同的 VLAN 之間的數(shù)據(jù)傳輸是通過第三層（ 網(wǎng)絡(luò)層 ）的路由來實現(xiàn)的，因此使用 VLAN 技術(shù)，結(jié)合 數(shù)據(jù)鏈路層 和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。 另外， VLAN 具有靈活性和 可 擴張性等特點，方便于 網(wǎng)絡(luò)維護 和管理，這兩個特點正是現(xiàn)代局域網(wǎng)設(shè)計必須實現(xiàn)的兩個基本目標，在局域網(wǎng)中有效利用 虛擬局域網(wǎng) 技術(shù)能夠提高網(wǎng)絡(luò)運行效率。 BOOTP 原本是用于無磁盤 主機 連接的網(wǎng)絡(luò)上面的：網(wǎng)絡(luò)主機使用 BOOT ROM 而不是磁盤啟動并連接上網(wǎng)絡(luò)， BOOTP 則可以自動地為那些主機設(shè)定 TCP/IP 環(huán)境。換而言之， BOOTP 非常缺乏 動態(tài)性 ， 6 若在有限的 IP 資源環(huán)境中， BOOTP 的一一對應(yīng)會造成非常嚴重的資源浪費。所有的 IP 網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器 集中管理，并負責處理 客戶端 的 DHCP 要求；而客戶端則會使用從 服務(wù)器 分配下來的 IP環(huán)境數(shù)據(jù)。比較起 BOOTP ，DHCP 透過 租約 的概念，有效且動態(tài)的分配 客戶端 的 TCP/IP 設(shè)定，而且，作為兼容考慮， DHCP 也完全照顧了 BOOTP Client 的需求。 ACL 技術(shù) 訪問控制列表 （ Access Control List， ACL） 是 路由器 和 交換機 接口的指令列表，用來 控制端口 進出的數(shù)據(jù)包。這張表中包含了匹配 關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種 訪問 進行控制。通過使用 ACL，路由器提供了基本的數(shù)據(jù)流過濾能力。 PPP 最初設(shè)計是為兩個對等節(jié)點之間的 IP 流量傳輸提供一種封裝協(xié)議。除了 IP 以外 PPP 還可以攜帶其它協(xié)議，包括 DEC 和 Novell 的 Inter 網(wǎng)包交換（ IPX）。在一臺 VTP Server 上配置一個新的VLAN 時，該 VLAN 的配置信息將自動傳播到本域內(nèi)的其他所有 交換機 。 VTP 通過網(wǎng)絡(luò) (ISL 幀或 cisco 私有 DTP 幀 )保持 VLAN 配置統(tǒng)一性。此外， VTP 減小了那些可能導(dǎo)致安全問題的配置。 * 當它們是 錯誤 地映射在一個和其它 局域網(wǎng) ， VLAN 能變成內(nèi)部斷開。新 交換機 出廠時的默認配置是預(yù)配置為 VLAN1， VTP 模式為服務(wù)器。 VTP Server 維護該 VTP 域中所有 VLAN 信息列表， VTP Server 可以建立、刪除或修改 VLAN，發(fā)送并轉(zhuǎn)發(fā)相關(guān)的通告信息，同步 vlan 配置，會把配置保存在 NVRAM 中。 VTP Transparent 相當于是一項獨立的 交換機 ，它不參與 VTP 工作，不從VTP Server 學習 VLAN 的配置信息，而只擁有本設(shè)備上自己維護的 VLAN 信息。 STP 技術(shù) STP（ Spanning Tree Protocol）是生成樹協(xié)議的英文縮寫。生成樹協(xié)議適合所有廠商的網(wǎng)絡(luò)設(shè)備，在配置上和體現(xiàn)功能強度上有所差別，但是在原理和應(yīng)用效果是一致的。BPDU 有兩種，配置 BPDU（ Configuration BPDU）和 TCN BPDU。 Spanning Tree Protocol(STP)在 文檔中定義。 Spanning Tree Protocol(STP)的基本思想就是按照 樹 的結(jié)構(gòu)構(gòu)造網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，樹的根是一個稱為根橋的橋設(shè)備，根橋的確立是由交換機或網(wǎng)橋的BID（ Bridge ID）確定的， BID 最小的設(shè)備成為二層網(wǎng)絡(luò)中的根橋。由根橋開始，逐級形成一棵樹，根橋定時發(fā)送配置 BPDU，非根橋接收配置BPDU，刷新最佳 BPDU 并轉(zhuǎn)發(fā)。 9 如 果接收到了下級 BPDU（新接入的設(shè)備會發(fā)送 BPDU，但該設(shè)備的 BID 比當前根橋大），接收到該下級 BPDU的設(shè)備將會向新接入的設(shè)備發(fā)送自己存儲的最佳 BPDU，以告知其當前網(wǎng)絡(luò)中根橋；如果接收到的 BPDU 更優(yōu)，將會重新計算 生成樹 拓撲。整個收斂的時間為 50s 左右。當網(wǎng)絡(luò)的拓撲結(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時，網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。使用靜態(tài) 路由的另一個好處是網(wǎng)絡(luò)安全保密性高。大型和復(fù)雜的網(wǎng)絡(luò)環(huán)境通常不宜采用靜態(tài)路由。 10 需求分析 帶寬性能需求 現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)該有更高的帶寬 ,更強大的性能 ,以滿足日益增長的通信需求的用戶。因此 ,數(shù)據(jù)流將大大增加 ,特別是提出了更高的要求 ,數(shù)據(jù)交換能力的核心網(wǎng)絡(luò)。建立一個無障礙的 “ 高品質(zhì) ” 的企業(yè)局 域網(wǎng) ,擴大網(wǎng)絡(luò)適應(yīng)需求不斷增長的營業(yè)額 。傳統(tǒng)企業(yè)的網(wǎng)絡(luò)安全主要是通過部署防火墻， IDS，防病毒軟件，交換機或路由器的 ACL 和協(xié)調(diào)防御病毒和黑客攻擊。 應(yīng)用服務(wù)需求 現(xiàn)代企業(yè)網(wǎng)絡(luò)應(yīng)該有一個更智能的網(wǎng)絡(luò)管理解決方案 ,以滿足網(wǎng)絡(luò)大小增加的維護工作更復(fù)雜的需求?，F(xiàn)代企業(yè)網(wǎng)絡(luò)迫切需要一個網(wǎng)絡(luò) 11 設(shè)備支持 “ 以應(yīng)用程序為中心的 “ 智能網(wǎng)絡(luò)操作和維護 ,和一組智能管理軟件 ,網(wǎng)絡(luò)管理人員從繁重的工作釋放 。成熟的技術(shù)和產(chǎn)品系統(tǒng)的建設(shè)。該系統(tǒng)是安全可靠的。 安全性 使用各種有效的安全措施 ,確保安全運行的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用程序。由于互聯(lián)網(wǎng)的開放性 ,世界各地的網(wǎng)絡(luò)用戶可以訪問公司網(wǎng)絡(luò)、企業(yè)網(wǎng)絡(luò)防火墻、數(shù)據(jù)加密技術(shù) ,以防止非法入侵 ,防止竊聽和篡改數(shù)據(jù)和路由信息安全保護 ,確保安全。 可擴充性 符合國際和國內(nèi)行業(yè)標準協(xié)議和接口 ,因此 ,企業(yè)網(wǎng)絡(luò)具有良好的開放 ,容易與其他網(wǎng)絡(luò)互連和信息資源。一般包括開放標準的原則、技術(shù)、結(jié)構(gòu)、系統(tǒng)組件和用戶界面。隨著不斷變化的計算機技術(shù)和計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展 ,網(wǎng)絡(luò)系統(tǒng)的規(guī)?？缮炜s性已經(jīng)十分重要 ,所以考慮可伸縮性的網(wǎng)絡(luò)系統(tǒng)是非常重要的 。使用智能網(wǎng)絡(luò)管理 ,減少運營成本和維護的網(wǎng)絡(luò) 。堅持經(jīng)濟原則 ,努力做更多的事情 ,錢最少的 ,為了獲得最大 的利益 。 表 31 網(wǎng)絡(luò)設(shè)備選型 型號 及數(shù)量 價格（單位：元） 說明 Cisco 1841 四臺 3700/臺 集成多業(yè)務(wù)路由器能夠以線速提供 安全的數(shù)據(jù)訪問應(yīng)用，從而為中小企業(yè)和小型分支機構(gòu)提供全套功能和靈活性，以便實現(xiàn)安全的互聯(lián)網(wǎng)和內(nèi)部網(wǎng)接入 CISCO WSC296024TT 兩臺 4000/臺 用于接入層交換機，具有 24 14 個以太網(wǎng) 10/100 端口 2 個以太網(wǎng) 10/100/1000 端口 系統(tǒng)總體設(shè)計和拓撲結(jié)構(gòu) 對于一個 大中型 企業(yè)局域網(wǎng)，通常在設(shè)計上將 網(wǎng)絡(luò)分 為核心層、匯聚層 和接入層分別考慮。 核心層 核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，復(fù)雜整個網(wǎng)絡(luò)的網(wǎng)內(nèi)數(shù)據(jù)交換。核心層一直被認為流量的最終承受著和匯聚者，所以要求核心交換機擁有較高的可靠性和性能。匯聚層交換機還負責本區(qū)域的數(shù)據(jù)交換，匯聚層交換機一般與中心交換機同類型，仍需較高的性能和較豐富功能。接入層在整個網(wǎng)絡(luò)中接入交換機的數(shù)據(jù)最多，具有即插即用的特性。 系統(tǒng)總體設(shè)計方案 本 次設(shè)計為小型 企業(yè)局域網(wǎng)， 對網(wǎng)絡(luò)進行簡化，并未采用三層結(jié)構(gòu)， 重點放在網(wǎng)絡(luò)主干的設(shè)計與路由器交換機的配置上，同時還有 VLAN 的 劃分， VTP 協(xié)議的使用、 STP 協(xié)議的配置、動態(tài) /靜態(tài)路由協(xié)議的配置、 DHCP 的配置、 NAT 的配置、 PPP 的配置及 ACL 的應(yīng)用。 PC1 和 PC2 屬于 VLAN2， VLAN2 所在的 IP 子網(wǎng)是 。 Web 服務(wù)器： 18 第三章 路由器 模塊 路由器 （ Router）是連接 因特網(wǎng) 中各 局域網(wǎng) 、 廣域網(wǎng) 的設(shè)備，它會根據(jù)信道的情況自動選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送 信號 的設(shè)備。 目前路由器 已經(jīng)廣泛應(yīng)用于各行各業(yè)，各種不同檔次的產(chǎn)品已成為實現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與 互聯(lián)網(wǎng) 互聯(lián)互通業(yè)務(wù)的主力軍。這一區(qū)別決定了 路由 和交換在移動信息的過程中需使用不同的控制信息，所以兩者實現(xiàn)各自功能的方式是不同的。輸出如圖 34： 圖 34 PPP 的 CHAP 驗證 29 配置 NAT 在路由器 R1 上配置動態(tài) PAT，使四臺 PC 都可以通過 R1 訪問 Inter。 R1 的配置如下： R1(config)int fa0/ R1(configsubif)ipnat inside R1(configsubif)ex 30 R1(config)ipnat inside source static tcp 23 2323 31 第四章 交換機 模塊 交換（ switching） 是按照通信兩端傳輸信息的需要，用人工或設(shè)備自動完成的方法，把要傳輸?shù)男畔⑺偷椒弦蟮南鄳?yīng) 路由 上的技術(shù)的統(tǒng)稱。廣域的 交換機（ switch）就是一種在 通信系統(tǒng) 中完成 信息交換 功能的設(shè)備。而 HUB 集線器 就是一種共享設(shè)備， HUB 本身不能識別目的地址，當同一 局域網(wǎng) 內(nèi)的 A 主機給 B 主機傳輸數(shù)據(jù)時， 數(shù)據(jù)包 在以 HUB 為架構(gòu)的網(wǎng)絡(luò)上是以廣播方