中型網(wǎng)絡(luò)綜合配置與安全配置

0 江 西 理 工 大 學(xué) 南 昌 校 區(qū) 畢 業(yè) 設(shè) 計(jì)（論文） 題 目： 中型網(wǎng)絡(luò)綜合配置與安全配置 系 ： 專 業(yè)： 班 級(jí)： 學(xué) 生： 學(xué) 號(hào)： 指導(dǎo)教師： 職稱： 1 引 言 . 5 1.網(wǎng)絡(luò)技術(shù)介紹 . 錯(cuò)誤 !未定義書簽。 1.1 因特網(wǎng)協(xié)議 . 5 1.1.1、 Tcp/Ip 協(xié)議 . 5 1.1.2、主機(jī)到主機(jī)層協(xié)議 . 6 1.1.3、因特網(wǎng)層協(xié)議 . 7 1.2 路由與 交換技術(shù) . 8 1.2.1 什么是路由 . 8 1.2.2 什么是交 換 . 8 1.2.3 局域網(wǎng)交換機(jī)的種類和選擇 . 9 1.3 VLAN 虛擬 局域網(wǎng) . 9 1.3.1 VLAN 簡介 . 9 1.3.2 VLAN 的優(yōu)點(diǎn) . 10 1.3.3 VTP：思科 VLAN 中繼協(xié)議（ VTP： Cisco VLAN Trunking Protocol） . 10 1.4 NAT 地址轉(zhuǎn)換技術(shù) . 11 1.4.1 NAT 原理簡介 . 11 1.4.2 NAT 技術(shù)類型 . 11 1.5 訪問控制列表 ACL（ ACCESS CONTROL LIST， ACL) . 12 1.5.1 概述 . 12 1.5.2 ACL 的作用 . 12 2.項(xiàng)目分析 . 13 2.1 案例概況 . 13 2.2 案例技術(shù)要求 . 14 2.3 案例深入分析 . 14 2.3.1 拓?fù)浣Y(jié)構(gòu)分析 . 14 2.3.2 VLAN 劃分原則 . 14 2.3.3 其他網(wǎng)絡(luò)技術(shù)的使用 . 15 2.4 網(wǎng)絡(luò)布線工程 . 15 2.5 項(xiàng)目設(shè)計(jì)總結(jié) . 15 2.5.1 總拓?fù)鋱D： . 15 2.5.2 IP 地址及 VLAN 劃分對(duì)照表 . 16 3.網(wǎng)絡(luò)設(shè)置與調(diào)試 . 18 3.1 試驗(yàn)環(huán)境說明 . 18 3.2 交換機(jī)配置部分 . 18 3.2.1 配置前說明 . 18 3.2.2 一樓交換機(jī)配置命令 . 18 3.2.3 二樓交換機(jī)配置 . 20 3.2.4 三樓交換機(jī)配置 . 20 3.2.5 主交換機(jī)配置 . 20 3.2.6 VTP 配置 . 21 3.2.7 默認(rèn)網(wǎng)關(guān) . 22 3.3 路由器配置部分 . 23 2 3.3.1 基本配置 . 23 3.3.2 路由協(xié)議配置 . 24 3.3.3 NAT 地址轉(zhuǎn)換配置 . 24 3.3.4 訪問控制列表配置 . 25 4.項(xiàng)目驗(yàn)收測試 . 28 4.1 網(wǎng)絡(luò)性能測試 . 28 4.2 網(wǎng)絡(luò)安全測試 . 29 結(jié) 論 . 30 謝 辭 . 31 參考文獻(xiàn) . 32 3 摘要 在當(dāng)今社會(huì)，全球經(jīng)濟(jì)發(fā)展和信息技術(shù)不斷發(fā)展，不斷結(jié)合；網(wǎng)絡(luò)已經(jīng)成為企業(yè)領(lǐng)導(dǎo)者和員工傳遞信息和管理的主要途徑。在淘汰了復(fù)雜的手工管理后，自動(dòng)化和智能化的計(jì)算機(jī)管理逐漸被企業(yè)所認(rèn)可，特別是現(xiàn)在特別流行的公司局域網(wǎng)。企業(yè)內(nèi)部網(wǎng)絡(luò)的架設(shè)，不僅讓企業(yè)的運(yùn)作更有效率，而且?guī)砹斯芾砩系谋憬?。起初，企業(yè)內(nèi)部架設(shè)網(wǎng)絡(luò)僅僅是為了實(shí)現(xiàn)企業(yè)內(nèi)部信息的共享，幫助員工快速的查找到他們需要的資料。但是后來全問題逐步凸顯了出來，機(jī)密文件外泄、得到權(quán)限的用戶不能行使自己的權(quán)利，對(duì)企業(yè)的利益造成了損害。 隨需求確定安全管理策 略隨著網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，安全策略的制訂和實(shí)施是一個(gè)動(dòng)態(tài)的延續(xù)過程。當(dāng)然可以請(qǐng)有經(jīng)驗(yàn)的安全專家或購買服務(wù)商的專業(yè)服務(wù)。但是一個(gè)單位的網(wǎng)絡(luò)安全服務(wù)建設(shè)不可能僅依靠公司提供的安全服務(wù)，因?yàn)樯虡I(yè)行為與企業(yè)安全有本質(zhì)差別，不是所有的網(wǎng)絡(luò)都需要所有的安全技術(shù)，何況有些安全技術(shù)本身并不成熟，只有采取適當(dāng)防護(hù)，重點(diǎn)突出的策略，才能有的放矢，不會(huì)盲目跟風(fēng)。 本文通過進(jìn)行對(duì)一個(gè)公司的內(nèi)部網(wǎng)絡(luò)的設(shè)計(jì)、調(diào)試及安全方面的配置。解決了上面所考慮到的一些問題，具有一定的參考價(jià)值。 關(guān)鍵詞： 企業(yè)內(nèi)部網(wǎng)絡(luò)管 理，網(wǎng)絡(luò)安全管理 4 Medium Network Configuration and Security Configuration Abstract In now society， global economic development and information technology continuous development and integration; Networks have become leaders and impart information and the staff are the main channels. Out in a complex manual management, automation and management of intelligent computers have been gradually recognized by the enterprise, Especially now extremely popular network management. Enterprises to set up internal network, not only to allow enterprises to work more efficiently, but also create a convenient management. Initially, the internal network is only set up in order to achieve the enterprises internal information sharing, helping staff to quickly find the information they need. But he highlighted security problems out, confidential documents leaked, the competence of the users to be unable to exercise their rights, to the interests of the damage caused. With the demand for security management strategy identified with the network topology, network applications and network security technology continues to develop, security strategy formulation and implementation is a dynamic process of renewal. Requests can certainly experienced security experts to purchase services or professional services. However, a unit of Internet security service building company can not rely solely on the provision of security services, because commercial and enterprise security is a fundamental difference, and not all of the needs of all network security technology, Moreover, some security technology itself is not mature enough, only to take appropriate protection, focused strategy to targeted, not blindly follow the trend. By conducting a companys internal network design, debug and security configuration. Solve the above into account some issues with reference value. Keywords： Enterprise network management， Network Security Management 5 引 言 從 1973 年第一個(gè)局域網(wǎng) ALTO ALOHA（事實(shí)上它的創(chuàng)造者叫它 Ethernet，也就是我們現(xiàn)在所說的以太網(wǎng)） 的出現(xiàn)已經(jīng)有 30 余年的歷史了。從一開始 2.94Mbps 的傳輸速率到現(xiàn)在已經(jīng)開始普及的千兆以太 網(wǎng)其中過程可謂曲折。中間變革不僅僅從網(wǎng)絡(luò)拓?fù)渖?，傳輸介質(zhì)，網(wǎng)絡(luò)標(biāo)準(zhǔn)也不斷更新?lián)Q代。 現(xiàn)在網(wǎng)絡(luò)化辦公，自動(dòng)化辦公已經(jīng)從當(dāng)年的設(shè)想演變成現(xiàn)在普及使用，其功能上甚至有勝于當(dāng)年的設(shè)想藍(lán)圖。 SOHO 是以前上班族的夢(mèng)想，現(xiàn)在已經(jīng)是現(xiàn)代白領(lǐng)生活中的一部分了。在家辦公，自由職業(yè)者由于網(wǎng)絡(luò)這個(gè)媒介的日漸成熟而成為現(xiàn)實(shí)。 政府以及企業(yè)都在實(shí)行網(wǎng)絡(luò)化辦公。不僅方便快捷提高了效率而且便于管理。異地辦公，分公司訪問總公司的服務(wù)器以查找需要的資料，這一方式正在大中型企業(yè)里開始應(yīng)用。其好處可想而知。而且網(wǎng)絡(luò)權(quán)限的設(shè)置規(guī)定了，哪些人可以訪 問機(jī)密文件，哪些人則被拒絕。安全系數(shù)也比較高，不用擔(dān)心泄密問題。當(dāng)然沒有完全安全的網(wǎng)絡(luò)環(huán)境，所以網(wǎng)絡(luò)專家們?nèi)栽诶^續(xù)研究安全技術(shù)以使網(wǎng)絡(luò)環(huán)境更加的安全，這不僅僅是技術(shù)層面上的問題，這還涉及到管理體制的方法。 本次論文將要構(gòu)建的一個(gè)小型公司網(wǎng)絡(luò)就是一個(gè)典型的公司辦公網(wǎng)絡(luò)。不僅要保證一個(gè)穩(wěn)定的網(wǎng)絡(luò)運(yùn)行，而且要保證網(wǎng)絡(luò)環(huán)境的安全確保公司的機(jī)密資料不會(huì)被未授權(quán)的人盜取。 當(dāng)然我只能做到網(wǎng)絡(luò)技術(shù)層面上的萬無一失，如果人員職能問題上出現(xiàn)漏洞不是網(wǎng)絡(luò)安全所能解決的。 1 網(wǎng)絡(luò)技術(shù)介紹 1.1 因特網(wǎng)協(xié)議 1.1.1、 Tcp/Ip 協(xié)議 TCP/IP（傳輸入控制地議 /網(wǎng)際協(xié)議）是一種網(wǎng)絡(luò)通信協(xié)議，它規(guī)范了網(wǎng)絡(luò)上的所有通信設(shè)備，尤其是一個(gè)主機(jī)與另一個(gè)主機(jī)之間的數(shù)據(jù)傳輸格式以及傳送方式。 TCP/IP 是因特網(wǎng)的基礎(chǔ)協(xié)議。 如果能夠正確地設(shè)計(jì)和應(yīng)用，一個(gè) Tcp/Ip 網(wǎng)絡(luò)將是一個(gè)可靠的并富有彈性的網(wǎng)絡(luò)。 世界上有各種不同類型的計(jì)算機(jī)，也有不同的操作系統(tǒng)，要想讓這些裝有不同操作系統(tǒng)的不同類型計(jì)算機(jī)互相通訊，就必須有統(tǒng)一的標(biāo)準(zhǔn)。 TCP IP 協(xié)議就是目前被各方面遵從的網(wǎng)際互聯(lián)工業(yè)標(biāo)準(zhǔn)。 TCP/IP 協(xié)議覆蓋了 OSI 網(wǎng)絡(luò)結(jié)構(gòu)七層模型中的六層 ，并支持從交換（第二層）諸如多協(xié)議標(biāo)記交換，到應(yīng)用程序諸如郵件服務(wù)方面的功能。 TCP/IP 的核心功能是尋址和路由選擇（網(wǎng)絡(luò)層的 IP/IPV6 ）以及傳輸控制（傳輸層的 TCP、 UDP）。 6 1.1.2、主機(jī)到主機(jī)層協(xié)議 主機(jī)到主機(jī)層的主要目的，是將上層的應(yīng)用程序從網(wǎng)絡(luò)傳輸?shù)膹?fù)雜性中層屏蔽出來。在這一層可以對(duì)它的上層說：“你只需給我你的數(shù)據(jù)流，它的結(jié)構(gòu)可以是任意的，讓我來負(fù)責(zé)這些數(shù)據(jù)的發(fā)送準(zhǔn)備?！?本層的兩個(gè)協(xié)議： 傳輸控制協(xié)議（ TCP） 用戶數(shù)據(jù)報(bào)協(xié)議（ UDP） 、傳輸控制 協(xié)議 傳輸控制協(xié)議（ Transmission Control Protocol， TCP）是一種面向連接的、可靠的、基于字節(jié)流的運(yùn)輸層通信協(xié)議，通常由 IETF 的 RFC 793 說明。在簡化的計(jì)算機(jī)網(wǎng)絡(luò) OSI 模型中，它完成運(yùn)輸層所指定的功能。 在因特網(wǎng)協(xié)議族中， TCP 層是位于 IP 層之上，應(yīng)用層之下的中間層。不同主機(jī)的應(yīng)用層之間經(jīng)常需要可靠的、像管道一樣的連接，但是 IP 層不提供這樣的流機(jī)制，而是提供不可靠的包交換。 應(yīng)用層向 TCP 層發(fā)送用于網(wǎng)間傳輸?shù)?、?8 位字節(jié)表示的數(shù)據(jù)流，然后 TCP 把數(shù)據(jù)流分割成適當(dāng)長度的報(bào)文段 （通常受該計(jì)算機(jī)連接的網(wǎng)絡(luò)的數(shù)據(jù)鏈路層的最大傳送單元 (MTU)的限制）。之后 TCP 把結(jié)果包傳給 IP 層，由它來通過網(wǎng)絡(luò)將包傳送給接收端實(shí)體的 TCP 層。TCP 為了保證不發(fā)生丟包，就給每個(gè)字節(jié)一個(gè)序號(hào)，同時(shí)序號(hào)也保證了傳送到接收端實(shí)體的包的按序接收。然后接收端實(shí)體對(duì)已成功收到的字節(jié)發(fā)回一個(gè)相應(yīng)的確認(rèn) (ACK)；如果發(fā)送端實(shí)體在合理的往返時(shí)延 (RTT)內(nèi)未收到確認(rèn)，那么對(duì)應(yīng)的數(shù)據(jù)（假設(shè)丟失了）將會(huì)被重傳。 TCP 用一個(gè)校驗(yàn)和函數(shù)來檢驗(yàn)數(shù)據(jù)是否有錯(cuò)誤；在發(fā)送和接收時(shí)都要計(jì)算校驗(yàn)和。 TCP 連接包括三個(gè)狀態(tài)：連接建立、 數(shù)據(jù)傳送和連接終止。 TCP 用三路握手過程建立一個(gè)連接，用四路握手過程建立來拆除一個(gè)連接。在連接建立過程中，很多參數(shù)要被初始化，例如序號(hào)被初始化以保證按序傳輸和連接的強(qiáng)壯性。 TCP 并不是對(duì)所有的應(yīng)用都適合，一些新的帶有一些內(nèi)在的脆弱性的運(yùn)輸層協(xié)議也被設(shè)計(jì)出來。比如，實(shí)時(shí)應(yīng)用并不需要甚至無法忍受 TCP 的可靠傳輸機(jī)制。在這種類型的應(yīng)用中，通常允許一些丟包、出錯(cuò)或擁塞，而不是去校正它們。例如通常不使用 TCP 的應(yīng)用有：實(shí)時(shí)流多媒體（如因特網(wǎng)廣播）、實(shí)時(shí)多媒體播放器和游戲、 IP 電話（ VoIP）等等。任何不是很需要可靠 性或者是想將功能減到最少的應(yīng)用可以避免使用 TCP。在很多情況下，當(dāng)只需要多路復(fù)用應(yīng)用服務(wù)時(shí)，用戶數(shù)據(jù)報(bào)協(xié)議（ UDP）可以代替 TCP 為應(yīng)用提供服務(wù)。 、用戶數(shù)據(jù)報(bào)協(xié)議 用戶數(shù)據(jù)報(bào)協(xié)議 (User Datagram Protoco, UDP)是一個(gè)簡單的面向數(shù)據(jù)報(bào)的傳輸層(transport layer)協(xié)議， IETF RFC 768 是 UDP 的正式規(guī)范。 在 TCP/IP 模型中， UDP 為網(wǎng)絡(luò)層 (network layer)以下和應(yīng)用層 (application layer)以上提供了一個(gè)簡單的接口。 UDP 只提供數(shù)據(jù)的不可靠交付，它一旦把應(yīng)用程序發(fā)給網(wǎng)絡(luò)層的數(shù)據(jù)發(fā)送出去，就不保留數(shù)據(jù)備份（所以 UDP 有時(shí)候也被認(rèn)為是不可靠的數(shù)據(jù)報(bào)協(xié)議）。 UDP在 IP 數(shù)據(jù)報(bào)的頭部僅僅加入了復(fù)用和數(shù)據(jù)校驗(yàn)（字段）。 UDP 首部字段由 4 個(gè)部分組成，其中兩個(gè)是可選的。各 16-bit 的源端口和目的端口用來標(biāo)記發(fā)送和接受的應(yīng)用進(jìn)程。因?yàn)?UDP 不需要應(yīng)答，所以源端口是可選的，如果源端口不用，那么置為零。在目的端口后面是長度固定的以字節(jié)為單位的長度域，用來指定 UDP數(shù)據(jù)報(bào)包括數(shù)據(jù)部分的長度 ,長度最小值為 8 (octets)。首部剩下地 16-bit 是用來對(duì)首部和數(shù) 7 據(jù)部分一起做校驗(yàn)和的，這部分是可選的，但在實(shí)際應(yīng)用中一般都使用這一功能。 由于缺乏可靠性， UDP 應(yīng)用一般必須允許一定量的丟包、出錯(cuò)和復(fù)制。有些應(yīng)用，比如 TFTP，如果需要?jiǎng)t必須在應(yīng)用層增加根本的可靠機(jī)制。但是絕大多數(shù) UDP 應(yīng)用都不需要可靠機(jī)制，甚至可能因?yàn)橐肟煽繖C(jī)制而降低性能。流媒體 Streaming media、實(shí)時(shí)多媒體游戲和 voice over IP (VoIP)就是典型的 UDP 應(yīng)用。如果某個(gè)應(yīng)用需要很高的可靠性，那么可以用傳輸控制協(xié)議 Transmission Control Protocol 來代替 UDP。 由于缺乏擁塞避免和控制機(jī)制，需要基于網(wǎng)絡(luò)的機(jī)制來減小因失控和高速 UDP 流量負(fù)荷而導(dǎo)致的擁塞崩潰效應(yīng)。換句話說，因?yàn)?UDP 發(fā)送者不能夠檢測擁塞，所以像使用包隊(duì)列和丟棄技術(shù)的路由器這樣的網(wǎng)絡(luò)基本設(shè)備往往就成為降低 UDP 過大通信量的有效工具。數(shù)據(jù)報(bào)擁塞控制協(xié)議 Datagram Congestion Control Protocol (DCCP)設(shè)計(jì)成通過在諸如流媒體類型的高速率 UDP 流中增加主機(jī)擁塞控制來減小這個(gè)潛在的問題。 1.1.3、因特網(wǎng)層協(xié)議 在 DoD 的模型中，設(shè)置因特 網(wǎng)層有兩個(gè)主要的理由：路由及為上層提供一個(gè)簡單的網(wǎng)絡(luò)接口。 沒有任何一個(gè)其他的高層或低層協(xié)議會(huì)涉及到任何有關(guān)路由的功能，這個(gè)復(fù)雜和重要的任務(wù)是完全屬于因特網(wǎng)層。 因特網(wǎng)層協(xié)議： 1 因特網(wǎng)協(xié)議（ IP） 2 因特網(wǎng)控制報(bào)文協(xié)議（ ICMP） 3 地址解析協(xié)議（ ARP） 4 逆向地址解析協(xié)議（ RARP） 、因特網(wǎng)協(xié)議（ IP） 因特網(wǎng)協(xié)議其實(shí)質(zhì)就是因特網(wǎng)層。其他的協(xié)議僅僅是建在離其基礎(chǔ)上用于支持 IP 協(xié)議的。 IP 是從主機(jī)到主機(jī)層處接受數(shù)據(jù)段的，在需要時(shí)再將他們組合成數(shù)據(jù)報(bào)（ 數(shù)據(jù)包），然后接收方的 IP 再重新組合數(shù)據(jù)報(bào)為數(shù)據(jù)段。每個(gè)數(shù)據(jù)報(bào)都被指定了發(fā)送者和接收者的 IP 地址。每個(gè)接收了數(shù)據(jù)報(bào)的路由器都是基于數(shù)據(jù)包的目的 IP 地址來決定路由的。 構(gòu)成 IP 報(bào)頭的字段如下： 1 版本 4 2 報(bào)頭長度（ HLEN） 4 3 IP 優(yōu)先位或 ToS 8 4 總長度 16 5 標(biāo)識(shí) 16 6 標(biāo)志 3 7 分段偏移 13 8 TTL(存活期 ) 8 9 協(xié)議 8 10 報(bào)頭和效驗(yàn)和 16 11 源 IP 地址 32 12 IP 選項(xiàng) 0 或 32 13 數(shù)據(jù) 可變 注：后面的數(shù)字表示長度 在 IP 報(bào)頭的協(xié)議字段中可能發(fā)現(xiàn)的協(xié)議 協(xié)議 協(xié)議號(hào) ICMP 1 IGRP 9 EIGRSP 88 OSPF 89 IPv6 41 GRE 47 IPX in IP 111 Layer-2 tunnel(L2TP) 115 、因特網(wǎng)控制報(bào)文協(xié)議 因特網(wǎng)控制報(bào)文協(xié)議（ ICMP）工作 在網(wǎng)絡(luò)層，它被 IP 用于提供許多不同的服務(wù)。 ICMP 8 是一個(gè)管理性協(xié)議，并且也是一個(gè) IP 信息服務(wù)的提供者。他的信息是被作為 IP 數(shù)據(jù)報(bào)來傳送的。 下面是與 ICMP 相關(guān)的一些常見的事件和信息： 1 目的不可達(dá) 如果路由器不能再向前發(fā)送某個(gè) IP 數(shù)據(jù)報(bào)，這是路由器會(huì)使用 ICMP來傳送一個(gè)信息返回給發(fā)送端，來通告這一情況。 2 緩沖區(qū)滿 如果路由器用于接收輸入數(shù)據(jù)的內(nèi)存緩沖區(qū)已經(jīng)滿了，他將會(huì)使用 ICMP向外發(fā)送這個(gè)信息直道擁塞解除。 3 跳 每個(gè) ip 數(shù)據(jù)報(bào)都被分配了一個(gè)所允許經(jīng)過路由器個(gè)數(shù)的數(shù)值，被稱為跳（ hop） 。 4 Ping Ping（即數(shù)據(jù)包的因特網(wǎng)探測）使用 ICMP 回應(yīng)信息在互聯(lián)網(wǎng)絡(luò)上檢查計(jì)算機(jī)間物理連接的連通性。 5 Traceroute Traceroute 是通過使用 ICMP 的超時(shí)機(jī)制，來發(fā)現(xiàn)一個(gè)數(shù)據(jù)報(bào)在穿越互聯(lián)網(wǎng)絡(luò)時(shí)它所經(jīng)歷的路徑。 、地址解析協(xié)議（ ARP） 地址解析協(xié)議（ ARP）可以由已知主機(jī)的 IP 地址，在網(wǎng)絡(luò)上查找到他的硬件地址。 、逆向地址解析協(xié)議（ RARP） 當(dāng)一臺(tái)誤判計(jì)算機(jī)被用做 IP 主機(jī)時(shí)，它沒有辦法在其初始化時(shí)了解自己的 IP 地址。但是他可以知道自己的 MAC 地 址。逆向地址解析協(xié)議（ RARP）可以通過發(fā)送一個(gè)包含有無盤主機(jī) MAC 地址的數(shù)據(jù)包，來詢問與此 MAC 地址相對(duì)應(yīng)的 IP 地址。 1.2 路由與 交換技術(shù) 1.2.1 什么是路由 路由是把信息從源穿過網(wǎng)絡(luò)傳遞到目的的行為，在路上，至少遇到一個(gè)中間節(jié)點(diǎn)。路由通常與橋接來對(duì)比，在粗心的人看來，它們似乎完成的是同樣的事。它們的主要區(qū)別在于橋接發(fā)生在 OSI參考協(xié)議的第二層（鏈接層），而路由發(fā)生在第三層（網(wǎng)絡(luò)層）。這一區(qū)別使二者在傳遞信息的過程中使用不同的信息，從而以不同的方式來完成其任務(wù)。 路由的話題早已在計(jì)算機(jī)界出現(xiàn)，但 直到八十年代中期才獲得商業(yè)成功，這一時(shí)間延遲的主要原因是七十年代的網(wǎng)絡(luò)很簡單，后來大型的網(wǎng)絡(luò)才較為普遍。 1.2.2 什么是交 換 1993 年，局域網(wǎng)交換設(shè)備出現(xiàn)， 1994 年，國內(nèi)掀起了交換網(wǎng)絡(luò)技術(shù)的熱潮。其實(shí)，交換技術(shù)是一個(gè)具有簡化、低價(jià)、高性能和高端口密集特點(diǎn)的交換產(chǎn)品，體現(xiàn)了橋接技術(shù)的復(fù)雜交換技術(shù)在 OSI 參考模型的第二層操作。與橋接器一樣，交換機(jī)按每一個(gè)包中的 MAC 地址相對(duì)簡單地決策信息轉(zhuǎn)發(fā)。而這種轉(zhuǎn)發(fā)決策一般不考慮包中隱藏的更深的 其他信息。與橋接器不同的是交換機(jī)轉(zhuǎn)發(fā)延遲很小，操作接近單個(gè)局域網(wǎng)性能，遠(yuǎn)遠(yuǎn)超過了普通橋接互聯(lián)網(wǎng)絡(luò)之間的轉(zhuǎn)發(fā)性能。 交換技術(shù)允許共享型和專用型的局域網(wǎng)段進(jìn)行帶寬調(diào)整，以減輕局域網(wǎng)之間信息流通出現(xiàn)的瓶頸問題。現(xiàn)在已有以太網(wǎng)、快速以太網(wǎng)、 FDDI 和 ATM 技術(shù)的交換產(chǎn)品。類似傳統(tǒng)的橋接器，交換機(jī)提供了許多網(wǎng)絡(luò)互聯(lián)功能。交換機(jī)能經(jīng)濟(jì)地將網(wǎng)絡(luò)分成小的沖突網(wǎng)域，為每個(gè)工作站提供更高的帶寬。協(xié)議的透明性使得交換機(jī)在軟件配置簡單的情況下直接安裝在多協(xié)議網(wǎng)絡(luò)中；交換機(jī)使用現(xiàn)有的電纜、中繼器、集線器和工作站的網(wǎng)卡，不必作高層的硬 9 件升級(jí)；交換機(jī)對(duì)工作站是透明的，這樣管理開銷低廉，簡化了網(wǎng)絡(luò)節(jié)點(diǎn)的增加、移動(dòng)和網(wǎng)絡(luò)變化的操作。 利用專門設(shè)計(jì)的集成電路可使交換機(jī)以線路速率在所有的端口并行轉(zhuǎn)發(fā)信息，提供了比傳統(tǒng)橋接器高得多的操作性能。如理論上單個(gè)以太網(wǎng)端口對(duì)含有 64 個(gè)八進(jìn)制數(shù)的數(shù)據(jù)包，可提供 14880bps 的傳輸速率。這意味著一臺(tái)具有 12 個(gè)端口、支持 6 道并行數(shù)據(jù)流的 “線路速率 ”以太網(wǎng)交換器必須提供 89280bps 的總體吞吐率（ 6 道信息流 14880bps道信息流）。專用集成電路技術(shù)使得交換器在更多端口的情況下以上述性能運(yùn)行，其端口造價(jià)低 于傳統(tǒng)型橋接器。 1.2.3 局域網(wǎng)交換機(jī)的種類和選擇 局域網(wǎng)交換機(jī)根據(jù)使用的網(wǎng)絡(luò)技術(shù)可以分為： 以大網(wǎng)交換機(jī)； 令牌環(huán)交換機(jī)； FDDI 交換機(jī)； ATM 交換機(jī)； 快速以太網(wǎng)交換機(jī)等。 如果按交換機(jī)應(yīng)用領(lǐng)域來劃分，可分為： 臺(tái)式交換機(jī)； 工作組交換機(jī)； 主干交換機(jī)； 企業(yè)交換機(jī)； 分段交換機(jī)； 端口交換機(jī)； 網(wǎng)絡(luò)交換機(jī)等。 局域網(wǎng)交換機(jī)是組成網(wǎng)絡(luò)系統(tǒng)的核心設(shè)備。對(duì)用戶而言，局域網(wǎng)交換機(jī)最主 要的指標(biāo)是端口的配置、數(shù)據(jù)交換能力、包交換速度等因素。因此，在選擇交換機(jī)時(shí)要注意以下事項(xiàng)： （ 1）交換端口的數(shù)量； （ 2）交換端口的類型； （ 3）系統(tǒng)的擴(kuò)充能力； （ 4）主干線連接手段； （ 5）交換機(jī)總交換能力； （ 6）是否需要路由選擇能力； （ 7）是否需要熱切換能力； （ 8）是否需要容錯(cuò)能力； （ 9）能否與現(xiàn)有設(shè)備兼容，順利銜接； （ 10）網(wǎng)絡(luò)管理能力。 1.3 VLAN 虛擬局域網(wǎng) 1.3.1 VLAN 簡介 VLAN（虛擬局域網(wǎng)）是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè) VLAN 可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。 VLAN 可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。 傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個(gè)廣播域中，會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬；而且對(duì)廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實(shí)現(xiàn) 。 VLAN 相當(dāng)于 OSI 參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個(gè) VLAN 內(nèi)部，劃分 VLAN 后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的 VLAN 之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來實(shí)現(xiàn)的，因此使用 VLAN 技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管 10 理員通過控制交換機(jī)的每一個(gè)端口來控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問，同時(shí) VLAN 和第三層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全措施。 隨著 VLAN 技術(shù)的日益完善， VLAN技術(shù) 越來越多的應(yīng)用在交換以太網(wǎng)中，成為網(wǎng)絡(luò)靈活分段和提高網(wǎng)絡(luò)安全的方法。 1.3.2 VLAN 的優(yōu)點(diǎn) VLAN 的優(yōu)點(diǎn)主要體現(xiàn)在以下 3 個(gè)方面： 1、控制廣播風(fēng)暴 網(wǎng)絡(luò)管理必須解決因大量廣播信息帶來帶寬消耗的問題。 VLAN 作為一種網(wǎng)絡(luò)分段技術(shù)，可將廣播風(fēng)暴限制在一個(gè) VLAN 內(nèi)部，避免影響其他網(wǎng)段。與傳統(tǒng)局域網(wǎng)相比， VLAN 能夠更加有效地利用帶寬。在 VLAN 中，網(wǎng)絡(luò)被邏輯地分割成廣播域，由 VLAN 成員所發(fā)送的信息幀或數(shù)據(jù)包僅在 VLAN 內(nèi)的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。這樣可減少主干網(wǎng)的流量，提高網(wǎng)絡(luò)速度 。 2、增強(qiáng)網(wǎng)絡(luò)的安全性 共享式 LAN 上的廣播必然會(huì)產(chǎn)生安全性問題，因?yàn)榫W(wǎng)絡(luò)上的所有用戶都能監(jiān)測到流經(jīng)的業(yè)務(wù)，用戶只要插入任一活動(dòng)端口就可訪問網(wǎng)段上的廣播包。采用 VLAN 提供的安全機(jī)制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的 MAC 地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對(duì)網(wǎng)絡(luò)的使用。 3、增強(qiáng)網(wǎng)絡(luò)管理 采用 VLAN 技術(shù)，使用 VLAN 管理程序可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中管理，能夠更容易地實(shí)現(xiàn)網(wǎng)絡(luò)的管理性。用戶可以根據(jù)業(yè)務(wù)需要快速組建和調(diào)整 VLAN。當(dāng)鏈路擁擠時(shí)，利用管理程序能夠重 新分配業(yè)務(wù)。管理程序還能夠提供有關(guān)工作組的業(yè)務(wù)量、廣播行為以及統(tǒng)計(jì)特性等的詳盡報(bào)告。對(duì)于網(wǎng)絡(luò)管理員來說，所有這些網(wǎng)絡(luò)配置和管理工作都是透明的。 VLAN 變動(dòng)時(shí)，用戶無需了解網(wǎng)絡(luò)的接線情況和協(xié)議是如何重新設(shè)置的。 VLAN 還能減少因網(wǎng)絡(luò)成員變化所帶來的開銷。在添加、刪除和移動(dòng)網(wǎng)絡(luò)成員時(shí)，不用重新布線，也不用直接對(duì)成員進(jìn)行配置。若采用傳統(tǒng)局域網(wǎng)技術(shù)，那么當(dāng)網(wǎng)絡(luò)達(dá)到一定規(guī)模時(shí)，此類開銷往往會(huì)成為管理員的沉重負(fù)擔(dān)。 1.3.3 VTP：思科 VLAN 中繼協(xié)議（ VTP： Cisco VLAN Trunking Protocol） VLAN 中繼協(xié)議（ VTP）是思科第 2 層信息傳送協(xié)議，主要控制網(wǎng)絡(luò)范圍內(nèi) VLANs 的添加、刪除和重命名。 VTP 減少了交換網(wǎng)絡(luò)中的管理事務(wù)。當(dāng)用戶要為 VTP 服務(wù)器配置新 VLAN 時(shí)，可以通過域內(nèi)所有交換機(jī)分配 VLAN，這樣可以避免到處配置相同的 VLAN。 VTP 是思科私有協(xié)議，它支持大多數(shù)的 Cisco Catalyst 系列產(chǎn)品。 通過 VTP，其域內(nèi)的所有交換機(jī)都清楚所有的 VLANs 情況，但當(dāng) VTP 可以建立多余流量時(shí)情況例外。這時(shí)，所有未知的單播（ Unicasts）和廣播在 整個(gè) VLAN 內(nèi)進(jìn)行擴(kuò)散，使得網(wǎng)絡(luò)中的所有交換機(jī)接收到所有廣播，即使 VLAN 中沒有連接用戶，情況也不例外。而 VTP Pruning 技術(shù)正可以消除該多余流量。 缺省方式下，所有 Cisco Catalyst 交換機(jī)都被配置為 VTP 服務(wù)器。這種情形適用于 VLAN 信息量小且易存儲(chǔ)于任意交換機(jī)（ NVRAM）上的小型網(wǎng)絡(luò)。對(duì)于大型網(wǎng)絡(luò)，由于每臺(tái)交換機(jī)都會(huì)進(jìn)行 NVRAM 存儲(chǔ)操作，但該操作對(duì)于某些點(diǎn)是多余的，所以在這些點(diǎn)必須設(shè)置一個(gè)“判決呼叫”（ Judgment Call）?；诖?，網(wǎng)絡(luò)管理員所使用的 VTP 服務(wù)器應(yīng)該采用配置較好的交換機(jī)，其它交換機(jī)則作為客戶機(jī)使用。此外需要有某些 VTP 服務(wù)器能提供網(wǎng)絡(luò)所需的一定量的冗余。 11 1.4 NAT 地址轉(zhuǎn)換技術(shù) 1.4.1 NAT 原理簡介 NAT 英文全稱是“ Network Address Translation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個(gè) IETF(Internet Engineering Task Force, Internet 工程任務(wù)組 )標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用 IP（ Internet Protocol）地址出現(xiàn)在 Internet 上。顧名思 義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（ IP 地址）翻譯成合法網(wǎng)絡(luò) IP 地址的技術(shù)。 簡單地說， NAT 就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)（可以理解為出口，打個(gè)比方就像院子的門一樣）處，將 內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（ internet）上正常使用， NAT 可以使多臺(tái)計(jì)算機(jī)共享Internet 連接，這一功能很好地解決了公共 IP 地址緊缺的問題。通過這種方法，您可以只申請(qǐng)一個(gè)合法 IP 地址，就把整個(gè)局域網(wǎng)中的計(jì)算機(jī)接入 Internet 中。這時(shí)， NAT 屏蔽了內(nèi)部網(wǎng)絡(luò)，所有 內(nèi)部網(wǎng)計(jì)算機(jī)對(duì)于公共網(wǎng)絡(luò)來說是不可見的，而內(nèi)部網(wǎng)計(jì)算機(jī)用戶通常不會(huì)意識(shí)到 NAT 的存在。如圖 2 所示。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié)點(diǎn) 的私有 IP 地址，這個(gè)地址只能在內(nèi)部網(wǎng)絡(luò)中使用，不能被路由（一種網(wǎng)絡(luò)技術(shù)，可以實(shí)現(xiàn)不同路徑轉(zhuǎn)發(fā)）。雖然內(nèi)部地址可以隨機(jī)挑選，但是通常使用的是下面的 地址：55， 55， 55。NAT 將這些無法在互聯(lián)網(wǎng)上使用的保留 IP 地址翻譯成可以在 互聯(lián)網(wǎng)上使用的合法 IP 地址。而全 局地址，是指合法的 IP 地址，它是由 NIC（網(wǎng)絡(luò)信息中心）或者 ISP(網(wǎng)絡(luò)服務(wù)提供商 )分配的地址，對(duì)