公司局域网设计与规划

. . . 42 / 50本科生毕业设计（论文）论文题目：公司局域网设计与规划：齐坚明学号：09114119班级：091141班年级： 09级专业：网络工程学院：软件学院指导教师：王志波（讲师）完成时间：2013年6月2日作者声明本人以信誉重声明：所呈交的学位毕业设计（论文），是本人在指导教师指导下由本人独立撰写完成的，没有剽窃、抄袭、造假等违反道德、学术规和其他侵权行为。文中引用他人的文献、数据、图件、资料均已明确标注出，不包含他人成果与为获得东华理工大学或其他教育机构的学位或证书而使用过的材料。对本设计（论文）的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本毕业设计（论文）引起的法律结果完全由本人承担。本毕业设计（论文）成果归东华理工大学所有。特此声明。毕业设计（论文）作者（签字）：签字日期：年月日本人声明：该学位论文是本人指导学生完成的研究成果，已经审阅过论文的全部容，并能够保证题目、关键词、摘要部分中英文容的一致性和准确性。学位论文指导教师签名：年 月 日公司局域网设计与规划齐坚明Company Local Area Network Design And PlanningJianming QI2013年6月2 日摘 要当今时代的知识经济的产生和信息技术的发展与Internet的全球普与化都决定了网络将成为信息时代的主要工具。随着计算机网络技术的发展，网络已成为人们交流信息的重要平台，企业网络的优劣已经成为衡量企业竞争力的标准之一。在国民经济信息化进程中, 企业如何提高自身竞争力, 怎样利用Internet技术带来的机遇和挑战, 来提高工作效率和管理科学水平, 是亟待解决的问题。课题以构建公司局域网络为出发点，首先介绍一些关于网络的基础知识，让读者对网络技术的框架有一个初步的了解，然后结合背景实例进行用户需求分析，最后按照需求分析结果来阐述公司局域网络的设计与规划。在网络的设计过程中，充分考虑到公司网络的负载均衡和稳定性能，依据网络分层的原则，使用了自上而下的设计思想，从核心层到汇聚层，再到接入层，逐步完成网络的规划设计。对于网络中可能存在的安全威胁，针对不同的需求，方案中提出了VLAN技术、WLAN技术、访问控制列表、防火墙技术以等解决方案，以求构建一个安全、高效、可靠的公司网络。关键词：虚拟局域网； ACL； WLAN； STP； 防火墙； VRRP； 综合布线； 网络地址转换ABSTRACTIn todays era of knowledge economy and the development of information technology and the Internet world is blossoming determines the network will become the main tool of the information age. With the development of computer network technology, network has become an important platform forpeople to communicate information, enterprise network quality has become one of the standard to measure enterprise competitiveness. In the process of national economyinformationizationand enterprise how to improve their competitiveness and how to use Internet technology brings opportunity and challenge, to improve the work efficiency and scientific management level, is the problem to be solved.This topic to build the company network as a starting point, First introduce some basic knowledge about network, let the reader to have a preliminary understanding of the framework of network technology, and then combining background instance user demand analysis, and finally according to the demand analysis results to illustrate the company local area network design and planning.Duringnetwork design, fully consider the companys network load balancing and stable performance, according to the principle of network layer USES the top-down design ideas, from the core to the convergence layer, and then to access layer, gradually complete the network planning and design. For possible security threats in the Internet, according to different requirements, the solution is put forward in the VLAN technology, WLAN technology,access control lists, firewall and VPN security solutions, in order to build a safe, efficient and reliable enterprise network.Keywords:Virtual local area network (LAN); The ACL;WLAN; STP; Firewall; VRRP; Integrated wiring;Network address translation目 录绪论.1第1章 网络概述21.1 网络的定义21.2 网络的分类21.3 网络拓朴结构31.4 网络体系结构31.4.1 OSI参考模型.41.4.2 TCP/IP模型.51.4.3 TCP/IP与OSI模型比较.5第2章 需求分析62.1 项目背景62.2设计原则62.3 用户现实需求62.4 技术可行性72.4.1VLAN技术72.4.2 ACL技术82.4.3 DHCP技术.92.4.4 NAT技术112.4.5 WLAN技术12第3章 网络设计143.1 网络层次化设计143.2 拓朴设计143.3 设备选型153.3.1 设备选型原则153.3.2交换机选型163.3.3路由器选型183.3.4服务器选型193.4 路由协议选择193.5 综合布线设计203.5.1 综合布线系统构成. 20 3.5.2 公司综合布线设计. 21第4章 网络规划234.1 VLAN的划分与IP地址规划234.2 基本配置命令244.3 交换机的配置264.4 路由器的配置32 4.5 Web服务器的配置.34第5章 总结39致 .40参考文献.41绪 论我们知道，21世纪的一些重要特征就是数字化、网络化和信息化，它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络，因为网络可以非常迅速地传递信息。因此网络现在已经成为信息社会的命脉和发展知识经济的重要基础。国家“十二五”规划中明确指出全面提高信息化水平。在工信部“十二五”规划纲要落实指导意见中，特别提出要推动我国宽带基础设施水平的提升，促进宽带应用的普与和推广，更好地发挥宽带在支撑国家信息化水平全面提升和经济社会发展中的关键作用，并布置了积极支持中小企业提高宽带接入和应用水平的工作任务，明确指出要支持并鼓励中小企业积极改善企业网络环境，从而提高企业应用宽带网络和信息服务能力和水平。我国中小企业计算计使用普与率基本稳定在较高水平，但互联网普与率与部分发达国家相比仍存在很大差距，计算机“不上网”的情况仍然普遍存在。受访企业中91.3%在过去一年使用计算机办公，78.5%在过去一年使用互联网办公，在发达国家50人一下规模的小微企业中，互联网普与率基本达到了95%，其中欧盟27国的互联网平均普与为94%，国在2010年的互联网普与率则高达98.2%，另外大部分国家50人与以上规模的企业中，互联网普与率更是接近100%。从企业互联网的接入方式来看，固定带宽是企业接入互联网的最主要方式，截至2012年12月底，受访中小企业中，固定宽带普与率为71.0%。2012年，我国的宽带建设已经进人全面提升阶段，其中包括加快发展光纤宽带网络、无线移动宽带网络等多方面容。根据最近几次中国中小企业互联网应用调查结果显示，中小企业建站率基本保持在40%-50%的水平上，由于企业越来越多的开展互联网活动，所以企业建站也正逐渐成为重要的基础建设工作。目前看来，我国中小企业的建站水平，无论是在用户体验或是在实际功能方面，都还有很大的提升空间。在受访中小企业中拥有独立或网店的比例为49.9%，普与率最高的互联网应用分别为发送和接受电子、网上银行、了解商品或服务信息，分别为84.7%、71.1%和68.1%。根据调查58.3%的受访企业都设有专门的互联网相关从业岗位，包括网络环境的建设和维护人员，技术研发人员，电子商务相关人员等。网络对社会生活的很多方面以与对社会经济的发展已经产生了不可估量的影响。企业网络的优劣已经成为衡量企业竞争力的标准之一，设计出好的公司局域网络既能给公司日常办公带来方便，又能提高公司的整体经济收入，所以对公司局域网设计与规划课题的研究十分必要。第1章 网络概述1.1 网络的定义网络是为实现某种目的的互连系统。日常生活中到处可以见到网络的存在，例如公路交通网、无线网、物联网等。本课程中我们研究的畴的是计算机网络。计算机网络是一些互相连接的、自治的计算机的集合。“互连”意味着连接的两台或两台以上计算机能够交互信息，达到资源共享的目的；“自治”是指计算机地理上分散、独立工作。互联网就是一个大型的计算机网络。计算机网络的这个定义涉与到两方面的容：1、互连的目的是交互信息和资源共享，这些资源的集合称为计算机网络的 资源子网。常见的互联网提供的网页浏览、视频下载、网络游戏都属于资源子网的畴。2、计算机必须互相连接，并且通信双方需要约定好共同遵循的格式和规，才能识别对方的计算机语言，实现资源的共享。通信双方约定并且共同遵守的格式和规就是协议。著名的TCP/IP协议就是互联网事实上的标准协议。为双方提供通信服务的设备和协议的集合称为计算机网络的通信子网。总而言之，计算机网络是计算机硬件、线缆、网络设备和让计算机能相互通信的计算机软件的集合。1.2 网络的分类计算机网络的种类划分方法很多，可以根据连接介质来划分，也可以按照通信协议或覆盖地理围来划分。计算机网络按照覆盖的地理围可以划分为局域网、城域网、广域网。局域网（LAN）局域网（LAN）是一个高速数据通信系统，它在较小的区域将若干独立的数据设备连接起来，使用户共享计算机资源。局域网的地域围一般只有几公里，它适用机关、校园、工厂等有限围的计算机、终端与各类信息处理设备连网的需求。城域网（MAN）城域网是介于广域网与局域网之间的一种高速网络。城域网设计目标是满足几十公里围的大量企业、机关、公司的多个局域网的互联需求，以实现大量用户之间的数据、语音、图形与视频等多种信息的传输。广域网（WAN）广域网又称远程网，所覆盖的地理围从几十公里到几千公里。广域网可以覆盖几个国家或地区，甚至横跨几个洲，形成国际性的远程计算机网络。连接广域网各节点交换机的链路一般都是高速链路，具有较大的通信容量。1.3 网络拓朴结构网络的拓扑结构是指网络信线路和站点（计算机或设备）的相互连接的几何形式。常见的计算机网络拓扑结构有：星型结构、树形结构、分布式结构、总线型结构、环型结构和复合型结构。星型网以中央节点为中心，若干外围节点连接到中央节点，任意两个外围节点之间的通信都要通过中央节点。星型结构简单，配置灵活，容易增加新节点，但中央节点有故障会导致整个网络的瘫痪。树型网是星型结构的变形，各站点发送的信息都要经由根节点广播到全网。它是一种分层网络，适用于分级控制系统。树型网的同一线路可以连接多个终端，与星型相比，具有节省线路，成本较低和易于扩展的特点。分布式网络该网络结构是由分布在不同地点且具有多个终端的节点机互连而成的。网中任一节点均至少与两条线路相连，当任意一条线路发生故障时，通信可转经其它链路完成，具有较高的可靠性。同时，网络易于扩充。缺点是网络控制机构复杂，线路增多使成本增加。分布式网络又称网型网，较有代表性的网型网就是全连通网络。可以计算，一个具有N个节点的全连通网需要有N（N-1）/2条链路，这样，当N值较大时，传输链路数很大，而传输的链路的利用率较低，因此，在实际应用中一般不选择全连通网络，而是在保证可靠性的前提下，尽量减少链路的冗余和降低造价。总线型网它是通过总线把所有节点连接起来，从而形成一条信道。总线型网络结构比较简单，扩展十分方便。该网络结构常用于计算机局域网中。环型网各设备经环路节点机连成环型。信息流一般为单向，线路是公用的，采用分布控制方式。这种结构常用于计算机局域网中，有单环和双环之分，双环的可靠性明显优于单环。复合型网络该网络结构是现实中常见的组网方式，其典型特点是将分布式网络与树型网结合起来。如可在计算机网络中的骨干网部分采用网型网结构，而在基层网中构成星型网络，这样既提高了网络的可靠性，又节省了链路成本。1.4 网络体系结构网络体系结构是指通信系统的整体设计，它为网络硬件、软件、协议、存取控制和拓扑提供标准。典型的网络体系结构包括：开放系统互连（Open System Interconnection，OSI）参考模型和传输控制协议/互联网协议（Transmission Control Protocol/Internet Protocol，TCP/IP）参考模型。1.4.1 OSI参考模型OSI参考模型分为七层，如图1-1所示。各层功能描述如下：应用层：是OSI参考模型的最高层，也是用户访问网络的接口层，是直接面向用户的。在OSI的环境下，应用层为用户提供各种服务，例如：电子、文件传输和远程登录等。表示层：负责处理不同的数据在表示上的差异以与相互转换，如ASCII与UNICODE之间的转换，不同格式文件的转换，不兼容终端的数据格式之间的转换以与数据加密、解密等。会话层：负责建立、管理和拆除进程之间的通信连接，“进程”是指电子、文件传输等一次独立运行的程序。传输层：提供端到端的通信，它从会话层接收数据，进行适当的处理之后传送的网络层。在网络另一端的传输层从网络层接收对方传来的数据，进行逆向处理后提交给会话层。网络层：负责提供连接和数据路由，包括处理输出报文分组的地址，解析输入报文的地址和维护路由信息，以便对通信链路的变化作出适当的响应。数据链路层：提供网络相邻节点间的可靠通信。传输以帧为单位的数据包，向网络层提供正确无误的信息包的发送和接收服务。物理层：通过物理介质传送和接收原始的二进制位流。图1-1 OSI七层模型1.4.2 TCP /IP模型TCP/IP参考模型共有四个层次，相对OSI参考模型要简单得多，因此在实际的使用中比OSI模型更具有实用性，所以它得到了更好的发展。现在的计算机网络大多是TCP/IP参考模型结构。图1-2所示为OSI参考模型与TCP/IP参考模型的对比。TCP/IP模型所定义的4个层次的主要功能如下：应用层：为用户表示应用数据。例如： 在如Internet浏览器的Web浏览器应用程序中为用户表示数据。传输层：支持设备间的通信和执行错误纠正。Internet层（网际层）：确定通过网络的最佳路径。网络接口层：控制网络的硬件设备和介质。1.4.3 TCP /IP与OSI模型比较通过图1-2的对比很容易可以发现：OSI的应用、表示、会话层的功能被合并到TCP/IP模型的应用层；网络的大部分功能存在于传输层和网络层，因而他们保留在独立的层里；OSI模型的数据链路层与物理层被合并到了TCP/IP模型的网络接口层。OSI参考模型是一种过于理想化的体系结构，在实际的实施过程中有比较大的难度。但它却很好的为我们担供了一个体系分层的参考，有着很好的指导作用。TCP/IP参考模型是一个事实上模型，因其更具有实用性，所以它得到了更广泛的支持和应用，使得TCP/IP成为事实上的工业标准。图1-2 TCP/IP与OSI模型对比第2 章 需求分析2.1 项目背景我公司是一家生产型大型企业，总公司设在，另外在还有个分支机构，公司拥有员工上千名，有行政管理部、财务部、人力资源部、技术部、生产部和销售部6个部门。公司主要建筑有行政办公楼、综合楼、加工车间（仓库）、职工公寓（男、女职工各两栋），共约720个信息结点，其中总部600个，分支机构120个，中心机房设在公司总部行政办公楼第10层。在网络项目实施之前，该公司用下行2M、上行512K 宽带，普通交换机作为主要网络连接设备，带宽低，速度慢，各个部门之间不能相互通信，并且园区部也没有无线网络部署，网络安全防御能力低，时常受到各种攻击。随着公司规模的不断扩，对办公信息化、自动化，对信息安全的要求也越来越高，公司决定组建一个完善的具有可扩展性的局域网。2.2 设计原则网络设计遵循技术和行业标准的指导原则，确保设计的解决方案满足网络建设的需要，并符合IT建设的标准，为将来的网络升级提供向后兼容能力。在整体方案设计中，必须遵循实用性、先进性、可靠性和安全性原则。（1）实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经营管理服务，为生产建设服务。另外，如果是对现有网络升级改造，还应该充分考虑如何利用现有资源，尽量发挥设备效益。（2）先进性：规划局域网，不但要满足用户当前的需要，还应该有一定技术前瞻性和用户需求预见性，考虑到能够满足未来几年用户对网络功能和带宽的需要。采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。（3）安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。（4）安全性：为了保证网上信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全方案。2.3 用户现实需求 （1）实现公司部资源共享（文件共享，打印机共享）。 （2）架设公司web服务器，方便发布公司自主。 （3）部网络使用VLAN分段，隔离广播，防止部网络非授权的跨网段访问，如公司其他部门不允许访问财务部。 （4）核心网络必须有冗余设计，其中包括链路冗余和设备冗余。 （5）对于移动办公出入频繁的位置，须有无线AP的部署。（6) 、外网之间有防火墙设置，并且能够实现私有地址向公有地址转换。（7）外网用户可以与网用户通信，但不能访问公司网服务器和财务部。2.4 技术可行 对于公司网络的设计与规划，技术可行性分析是不可缺少的一部分，目前常用的网络技术主要有VLAN技术，ACL技术，DHCP技术，NAT技术，WLAN技术，下面将对这5种技术进行逐个讲解。2.4.1 VLAN技术虚拟网（VLAN）技术就是将一个交换网络逻辑地划分成若干子网，每一个子网就是一个广播域。逻辑上划分的子网在功能上与传统物理上划分的子网一样，划分可以根据交换机的端口、MAC地址、IP地址来进行。虚拟局域网在功能和操作上与传统LAN基本一样，VLAN与传统的LAN相比，具有以下优势：减少移动和改变的代价即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置是，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。虚拟工作组使用VLAN的最终目标就是建立虚拟工作组模型，例如，在企业网中，同一个部门的就好象在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在该虚拟LAN上，而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点，而他仍然在该部门，那么，该用户的配置无须改变；同时，如果一个人虽然办公地点没有变，但他更换了部门，那么，只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个理想的目标，要实现它，还需要一些其他方面的支持；用户不受到物理设备的限制，VLAN用户可以处于网络中的任何地方；VLAN对用户的应用是不产生影响，VLAN的应用解决了许多大型二层交换网络产生的问题。限制广播包，提高带宽的利用率有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域，同一个VLAN成员都在由所属VLAN确定的广播域，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该VLAN的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个VLAN，在一定程度上可以节省带宽。增强通迅的安全性一个VLAN的数据包不会发送到另一个VLAN，这样，其他VLAN的用户的网络上是收不到任何该VLAN的数据包，这样就确保了该VLAN的信息不会被其他VLAN的人窃听，从而实现了信息的。增强网络的健壮性当网络规模增大时，部分网络出现问题往往会影响整个网络，引入VLAN之后，可以将一些网络故障限制在一个VLAN之。由于VLAN是逻辑上对网络进行划分，组网方案灵活，配置管理简单，降低了管理维护的成本。2.4.2 ACL技术ACL（访问控制列表）是一种对经过路由器的数据流进行判断、分类和过滤的方法。其主要作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发，其主要目的是对数据流量进行管理和控制。在一个ACL中可以包含一条或多条特定类型的IP数据报的规则，ACL可以简单到只包括一条规则，也可以是复杂到包括很多规则。通过多条规则来定义与规则中相匹配的数据分组。访问控制列表分为两种类型：标准ACL只针对数据包的源地址信息作为过滤的标准而不能基于协议或应用来进行过滤。即只能根据数据包是从那里来的来进行控制，而不能基于数据包的协议类型与应用来对其进行控制，其编号围从1到99。扩展ACL可以针对数据包的源地址、目的地址、协议类型与应用类型（端口号）等信息作为过滤的标准。即可以根据数据包是从那里来、到那里去、何种协议、什么样的应用等特征的来进行精确地控制，其编号围从100到199。接下来讨论ACL部的具体处理过程：如图2-1图2-1 ACL工作原理每个ACL可以有多条语句（规则）组成，当一个数据包要通过ACL的检查时首先检查ACL中的第一条语句。如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。如果关键字是permit则转发数据包，如果关键字是deny则直接丢弃此数据包。如果没有匹配第一条语句的判别条件则进行下一条语句的匹配，同样如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。如果关键字是permit则转发数据包，如果关键字是deny则直接丢弃此数据包。这样的过程一直进行，一旦数据包匹配了某条语句的判别语句则根据这条语句所配置的关键字或转发或丢弃。如果一个数据包没有匹配上ACL中的任何一条语句则会被丢弃掉，因为缺省情况下每一个ACL在最后都有一条隐含的匹配所有数据包的条目，其关键字是deny。以上ACL部的处理过程总的来说，就是自上而下，顺序执行，直到找到匹配的规则，拒绝或允许。2.4.3 DHCP技术动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给部网络或网络服务供应商自动分配IP地址，给用户或者部网络管理员作为对所有计算机作中央管理的手段。它分为两个部份：一个是服务器端，而另一个是客户端。所有的IP网络设定资料都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP信息。DHCP协议的主要特点有：整个IP分配过程自动实现，在客户端上，除了将DHCP选项 打勾外，无需做任何IP环境设定； 所有的IP网络设定资料都由DHCP服务器统一管理，还可以帮客户端指定netmask、DNS服务器、缺省网关等参数；通过IP地址租期管理（到达期限时，可能会延长“租约”或重新分配地址），实现IP地址分时复用；DHCP采用广播方式交互报文，由于默认情况下路由器不会将收到的广播包从一个子网发送到另一个子网，因而当DHCP服务器与客户主机不在同一个子网时，必须使用DHCP中继（即DHCP relay）；DHCP协议的安全性较差，服务器容易受到攻击。DHCP的工作原理：DHCP采用客户/服务器模型，其工作原理遵循客户/服务器模型。当PC连接到DHCP服务器时，服务器向它分配或出租IP地址。PC将使用租借的IP地址连接到网络，直到租期结束。主机必须定期与DHCP服务器联系以续展租期，这种租用机制确保主机移动或关闭后不会继续占用不再需要的地址。DHCP服务器将这些地址归还给地址池，并在必要时从新分配它们。图2-2和下面的步骤说明了DHCP服务器如何给DHCP客户端分配IP地址配置。图2-2 DHCP工作原理第1步 DHCP发现。客户端启动要加入网络时，为获得地址租用完成4个步骤。在第1步中，客户端广播DHCPDISCOVER消息，以便找到网络中的DHCP服务器。由于主机启动时没有有效的IP信息，因此它使用第2层和第 3层广播地址与服务器通信。第2步 DHCP提议。DHCP服务器收到DHCPDISCOVER消息后，它找到一个可租用的IP地址，然后创建一个ARP条目，其中包含请求主机的MAC地址和要出租的IP地址，最后，它使用DHCPOFFER消息传输提议。DHCPOFFER消息是以单播发送的，它将服务器的第二层MAC地址作为源地址，将客户端的第2层地址作为目标地址。第3步 DHCP请求。客户端收到来自服务器的DHCPOFFER后，它发送一条DHCPREQUEST消息。该消息有两个作用：请求租用以与续租和验证。用于请求租用时，客户端的DHCPREQUEST消息要求在IP地址分配后检验其有效性。该消息提供错误检查，确保地址分配仍然有效。DHCPEQUEST还用于向选定服务器发送绑定接受通知，并隐式拒绝其他服务器提供的绑定提议。第4步 DHCP确认。收到DHCPEQUEST消息后，服务器验证租用信息，为客户端租用创建一个新的ARP条目，并使用单播DHCPACK消息进行应答。除消息类型字段不同外，DHCPACK消息与DHCPOFFER消息别无二致。客户端收到DHCPACK消息后，将记录配置信息，并根据分配的地址执行ARP查找。如果没有收到应答，便可确定该IP地址仍可用，因此将其作为自己的IP地址。2.4.4 NAT技术网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络部的计算机。NAT在带来优点的同时，也带来了不少缺点：使用NAT必然要引入额外的延迟；丧失端到端的IP跟踪能力；地址转换由于隐藏了部主机地址，有时候会使网络调试变得复杂。NAT的工作原理：如图2-3所示图2-3 NAT工作原理图首先，我们要清楚，在局域网部的私有地址是不能访问外网的，必须通过转换成公有地址才可以访问Internet，以上所图，是两个公司之间的Inter网络互相交流，下面来谈谈它的工作原理：192.168.1.0网络的PC1想要访问192.168.10.0网络的User11、 PC1向RA（网关）发送请求，告诉自己的私有IP地址和MAC地址，并且要求自己要到达192.168.10.0网络的User1主机；2、RA收到请求后，把PC1的源IP地址进行转换，变成部全局地址，即公有地址202.16.58.1，并且为PC1制定一个随机产生的端口号（来识别某台主机），发送到Inter网；3、Inter网络收到了部全局IP地址的请求，之间进行路由选择，被RB接收，RB通过查看RA发送过来的部全局IP地址和端口号等信息，直接发送给192.168.10.0网络的网关；4、网关路由器RB收到了信息，根据对方发过来的目标主机信息，把数据传输给192.168.10.0网络的User1主机；5、根据ICMP协议，user1主机需要回应，对数据进行相应的处理，把数据封装后发送给网关；6、网关把user1的私有IP地址转换成外部局部IP地址，即公有地址202.16.58.2，通过这个公有地址，转发到路由器RA；7、RA收到数据包，查看自己缓存里的对应的主机和端口，并对192.168.1.0网络的PC1进行转发。2.4.5 WLAN技术无线局域网络是指以无线电波、激光、红外线等无线媒介来代替有线局域网中的部分或全部传输媒介而构成的网络。它不仅可以作为有线数据通信的补充和延伸，而且还可以与有线网络环境互为备份。无线局域网络技术或许是应用最广泛、最具有商业价值并且发展的最好的无线网络技术。在无线LAN中，每个客户端分别使用一个无线适配器通过无线AP访问网络，无线AP（AP，Access Point，无线访问节点、会话点或存取桥接器）是一个包含很广的名称，它不仅包含单纯性无线接入点（无线AP），也同样是无线路由器（含无线网关、无线网桥）等类设备的统称。常见的无线局域网络拓朴类型有：（1）点对点模式(Peer-to-Peer) /对等模式：无中心拓扑结构，由无线工作站组成，用于一台无线工作站和另一台或多台其他无线工作站的直接通讯，该网络无法接入到有线网络中，只能独立使用。无需AP，安全由各个客户端自行维护。点对点模式中的一个节点必需能同时“看”到网络中的其他节点，否则就认为网络中断，因此对等网络只能用于少数用户的组网环境。（2）基础架构模式：由无线接入点AP、无线工作站STA以与分布式系统DSS构，覆盖区域称基本服务区BSS。无线接入点AP用于在无线STA和有线网络之间接收缓存和转发数有无线通讯都经过AP完成，是有中心拓扑结构。AP通常能覆盖几十至几百用户，覆盖半径达上百米。AP可连接有线网络，实现无线网络和有线网络的互联。（3）多AP模式：指由多个AP以与连接它们的分布式系统DSS组成的基础架构模式网络，也称为扩展服务区ESS。扩展服务区的每个AP都是一个独立的无线网络基本服务区BSS，所有AP共享同一个扩展服务区标示符ESSID。分布式系统DSS在802.11标准中并没有定义，但是目前大都是指以太网。一样ESSID的无线网络间可以进行漫游，不同ESSID的无线网络形成逻辑子网。多AP模式有时也称为多蜂窝结构，蜂窝之间建议有15的重叠，以便于无线工作站在不同的蜂窝之间做无缝漫游。所谓漫游是指一个用户从一个地点移动到另外一个地点，应该被认定为离开一个接入点，进入另一个接入点。在有线不能到达情况下，可采用多蜂窝无线中继结构，要求中继蜂窝之间有50左右的信号重叠，同时中继蜂窝的客户端使用效率会下降50。802.11无线LAN是一套IEEE标准，该标准定义了如何使用免授权的工业、科学和医疗（ISM）频段的射频（RF）作为无线链路的物理层和MAC子层。IEEE 802.11a高速WLAN标准，支持速率54Mbps，工作在5GHz频段，使用OFDM调制，优点距离高达35米，速度更快，不易受干扰。缺点成本高，围小。IEEE 802.11b最初的Wi-Fi标准，提供速率11Mbps，工作在2.4GHz频段，使用DSSS和CCK，优点距离高达35米，成本低，覆盖围广。缺点速度慢，容易受干扰。IEEE 802.11g数据速率提高到54Mbps，工作在2.4GHz频段，使用OFDM调制技术，可与一样网络中的IEEE 802.11b设备共同工作，优点距离高达35米，速度快，围广，不容易受阻挡。缺点容易受2.4GHz频段上运行的设备干扰。IEEE 802.11n采用MIMO无线通信技术、更宽的RF信道与改进的协议栈，提供更高的数据速率，从150Mbps，350-600Mbps，可向后兼容IEEE 802.11a/b和IEEE 802g，优点距离高达70米，很高的数据传输速度，扩大的覆盖围。第3 章 网络设计3.1 网络层次化设计 大型和中型网络系统必须采用分层设计思想，这是解决网络系统规模、结构和技术的复杂性的最有效方法。这一点已在很多工程实践中得到证明，是否需要分层3层组建的经验数据是：如果节点数为250-5000个，一般需要按3层结构来设计；如果节点数为100-500个，可以不必设计接入层网络，节点可直接通过汇聚层的路由器或交换机接入；如果节点数为5-250个，也可以不设计接入层网络与汇聚层网络。考虑到公司具有720个节点，所以网络采用3层结构设计。其中，核心层网络用于连接服务器集群、各建筑物子网交换路由器，以与与城域网连接的出口；汇聚层网络用于将分布在不同位置的子网连接到核心层网络，实现路由汇聚的功能；接入层网络用于将终端用户计算机接入到网络之中。1、核心层核心层的功能主要是实现骨干网络之间的优化传输，复杂整个网络的网数据交换。网络的功能控制最好尽量在骨干层上实施，核心层设计任务的重点是冗余能力、可靠性和高速传输。核心层一直被认为流量的最终承受着和汇聚者，所以要求核心交换机拥有较高的可靠性和性能。2、汇聚层汇聚层主要负责连接接入层节点和核心层，汇聚分散的接入点，扩大核心设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚层交换机还负责本区域的数据交换，汇聚层交换机一般与中心交换机同类型，仍需较高的性能和较丰富功能。3、接入层接入层交换机作为二层交换网络设备，提供功能工作站等设备的网络接入。接入层在整个网络中接入交换机的数据最多，具有即插即用的特性。对于此类交换机要求，一是价格合理；二是可管理性号，易于使用维护；三是稳定性要好。 运用层次模型的设计方法，具有以下优点：1、结构清晰，网络易于理解和维护；2、具有良好的扩展性；3、功能分解在不通的层次，利于网络的稳定；4、利于定位网络故障点。3.2 拓朴设计根据网络的三层设计思想和公司建筑的地理分布特点，公司网络拓朴设计如下：核心部分主要由两台CISCO 6905路由交换机组成，分别用万兆光纤上联至两台路由器，用千兆光纤下联4台汇聚交换机CISCO 3750。其中一台路由器用于连接ISP实现公司部与外网互联，另一台路由器与广域网的帧中继相连，用于实现总公司与分公司之间的通信。两台核心路由交换机相互连接，并且服务器也连接在这两台核心路由交换机上，用于实现实现数据的高速访问。汇聚层交换机采用千兆双绞线与接入层设备CISCO 2960互联，接入层设备连接着终端用户，实现百兆到桌面。如图3-1所示：图3-1 公司网络拓朴图3.3 设备选型目前生产网络设备的厂商比较多，著名的有思科（Cisco）、华为（HUAWEI）、H3C、锐捷、IBM、等。Cisco Systems（思科系统）公司是全球领先的互联网设备供应商。它的网络设备和应用方案将世界各地的人、计算设备以与网络联结起来，使人们能够随时随地利用各种设备传送信息。思科公司向客户提供端到端的网络解决方案，使客户能够建立起自己的统一信息基础设施或者与其他网络相连。根据公司的预算要求，本项目中的路由器和交换机选择CISCO公司的设备，服务器则选择IBM公司的设备。3.3.1 设备选型原则1、厂商的选择 所有网络设备尽可能选取同一厂家的产品，这样在设备可互连性、协议互操作性、技术支持、价格等各方面都更有优势。从这个角度来看，产品线齐全、技术认证队伍力量雄厚、产品市场占有率高的厂商是网络设备品牌的首选。其产品经过更多用户的检验，产品成熟度高，而且这些厂商出货频繁，生产量大，质保体系更完备。作为系统集成商或建网单位不应依赖于任何一家的产品，能够根据需求和费用公正地评价各种产品，选择最优的。在制定网络方案之前，应就建网单位承受能力确定好网络设备品牌，国厂商的网络产品价格不错，但产品线短。2、扩展性考虑在网络的层次结构中，主干设备选择应预留一定的能力，以便于将来扩展，而低端设备则够用即可。因为低端设备更新较快，且易于扩展。3、根据方案实际需要选型主要是在参照整体网络设计要求的基础上，根据网络实际带宽性能需求、端口类型和端口密度选型。如果是旧网改造项目，应尽可能保留并延长用户对原有网络设备的投资，减少在资金投入方面的浪费。4、选择性能价格比高、质量过硬的产品为使资金的投人产出达到最大值，能以较低的成本、较少的人员投入来维持系统运转；网络开通后，会运行许多关键业务，因而要求系统具有较高的可靠性。全系统的可靠性主要体现在网络设备的可靠性，尤其是GBE主干交换机的可靠性以与线路的可靠性。3.3.2 交换机选型核心交换机的选型核心层是网络的中心，其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机，可实现高速度的交换传输，以连接服务器等核心设备，并且非常可靠，实现不间断工作。Catalyst 6500家族是专为满足对千兆位密度、数据和语音集成、LAN/WAN/MAN集中、可扩展性、高可用性、以与主干/分布、服务器整合和服务供应商环境中智能多层交换的不断增长的需求而设计的，因此我们为公司的骨干网络选用两台CISCO WS-C6509-E（36500元）交换机。CISCO WS-C6509-E的外观结构如图3-2，它拥有9个模块化插槽，背板带宽为720Gbps，包转发率为387Mpps，支持网络标准（IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad）、网络管理（CiscoWorks2000，RMON， ESPAN，SNMP，Telnet，BOOTP，TFTP）、VLAN、QoS，电源功率为4000W。图3-2 CISCO WS-C6509-E汇聚交换机的选型汇聚层主要负责连接接入层节点和核心层，将分布在不同位置的子网连接到核心层网络，实现数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表、VLAN 路由等等。 Cisco Catalyst 3750 系列交换机是一个创新的产品系列，它通过提供配置灵活性、支持融合网络模式与自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进行调整，因此我们为公司采用四台CISCO WS-C3750G-24TS-S1U（17500元）作为汇聚交换机。CISCO WS-C3750G-24TS-S1U的外观结构如图3-3，它拥有28个端口数量，24个以太网10/100/1000端口，4个基于SFP的千兆位以太网端口。其背板带宽为32Gbps，包转发率为38.7Mpps，支持网络标准（IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.1s，IEEE 802.1w，IEEE 802.1x，IEEE 802.3ad，IEEE 802.3x，IEEE 802.1D，IEEE 802.1p，IEEE 802.1Q）、VLAN、QoS。图3-3 CISCO WS-C3750G-24TS-S1U接入交换机的选型接入层主要提供最终用户接入网络的途径。主要是进行VLAN的划分、与分布层的连接等等。CISCO Catalyst 2960系列交换机是一系列采用以太网供电或非PoE配置，可提供桌面快速以太网和千兆以太网连接，并可为入门级企业、中间市场和分支机构网络实现高级局域网服务的固定配置独立式智能以太网设备。因此我们采用二十四台CISCO WS-C2960-24TC-L（4700元）作为公司接入层交换机。CISCO WS-C2960-24TC-L的外观结构如图3-4，它拥有26个端口数量，24个以太网10/100Mbps端口，2个两用上行端口。其背板带宽为4.4Gbps，包转发率6.5Mpps，支持网络标准（IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad）、网络管理（Web浏览器，SNMP，CLI）、VLAN、QoS，电源功率为30W。图3-4 CISCO WS-C2960-24TC-L3.3.3 路由器选型路由器是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。目前路由器已经广泛应用于各行各业，各种不同档次的产品已经成为实现各种骨干网部连接、骨干网间互联和骨干网与互联网互联的主力军。我们选用3台CISCO 2911/K9（8400元）作为公司的边缘路由器。CISCO 2911/K9的外观结构如图3-5，它拥有3个广域网接口，置防火墙功能，支持网络协议（IPv4，IPv6，静态路由，IGMPv3，PIM SM，DVMRP，IPSec）、VPN，QoS。图3-5 CISCO 2911/K93.3.4 服务器选型网络服务器的选型是网络系统建设的重要容之一，从应用的角度来看，网络服务器的类型可以分为：文件服务器、数据库服务器、Internet通用服务器与应用服务器等。我们选择一台机架式IBM System x3650 M4(24500元)作为公司的服务器，IBM System x3650 M4的外观结构如图3-6，该服务器CUP为8核16线程，CPU频率2GHz，存容量8GB，存插槽数24，最大存容量768GB，硬盘接口类型是SATA/SAS，最大硬盘容量为9TB。系统支持（Windows Server，Red Hat Enterprise Linux，SUSE Linux Enterprise Server,VMware vSphere），电源功率为750W。图3-6 IBM System x3650 M43.4 路由协议选择路由器的基本工作原理是接口收到IP包后，分析IP包的目的地址然后根据路由表的指示，进行下一跳的转发。根据路由的生成方式，路由被分为静态路由和动态路由。静态路由通过手工配置生成路由，是建立路由表最简单的方法，对于小型网络，一般只使用静态路由。动态路由由运行在路由器上的动态路由协议自动生成的，适用与经常发生变化的网络，减小了网管人员的维护难度。为达到路由快速收敛、寻址以与方便网络管理员管理的目的，我们采用动态路由协议，目前较好的动态路由协议是OSPF协议和EIGRP协议，OSPF以协议标准化强，支持厂家多，受到广泛应用，而EIGRP协议由CISCO公司发明，只有CISCO公司自己的产品支持，属于私有性质。OSPF路由协议特点有：链路状态协议没有环路；根据带宽选择路径；路由会聚能力更强；快速收敛；支持VLSM和CIDR。在网络设计中，路由协议的选择，主要是考虑各种协议的不同特点，而且有时会是几种路由协议配合工作。考虑到公司网络的扩展性、稳定性、可靠性等原因，我们选择OSPF 作为主要的路由协议，与ISP的边缘部分则选用静态路由的方式连接，另外我们还采用了VRRP虚拟路由冗余协议，它保证当主机的下一跳路由器失效时，可以与时地由另一台路由器来代替，从而保持通讯的连续性和可靠性。3.5 综合布线设计综合布线是对传统布线方式的彻底变革，经过统一的规划设计，它将所有话音、数据、视频信号与控制设备的配线等综合在一套标准的配线系统中。目前被广泛遵循的综合布线标准有：TIA/EIA标准；ISO/IEC标准。公司局域网综合布线设计的依据是网络的分布架构，网络布线必须有较长远的考虑。在局域网布线时，应该充分考虑到将来网络扩展可能需要的最大接入节点数量、接入位置的分布和用户使用的方便性。3.5.1 综合布线系统构成 综合布线系统是开放式结构，能支持与多种计算机数据系统，还能支持会议电视、监视电视等系统的需要。根据ISO/IEC标准，结构化综