公司局域网设计与规划

1、公司局域网设计与规划概括当今时代知识经济的出现、信息技术的发展和互联网的全球化，都决定了网络将成为信息时代的主要工具。随着计算机网络技术的发展，网络已成为人们交流信息的重要平台。在国民经济信息化进程中，如何提高企业竞争力，如何利用互联网技术带来的机遇和挑战，提高工作效率和科学管理水平，是亟待解决的问题。话题从公司局域网的建设说起。首先介绍了一些关于网络的基础知识，让读者对网络技术的框架有一个初步的了解，然后结合背景实例分析用户的需求。最后根据需求分析设计规划的结果对公司局域网进行说明。在网络设计过程中，充分考虑公司网络的负载均衡和性能稳定，按照网络分层的原则，采用自上而下的设计理念，从核心层到

2、汇聚层，再到汇聚层。接入层。完成网络规划设计。针对网络中可能存在的安全威胁，根据不同需求，提出VLAN技术、WLAN技术、访问控制列表、防火墙技术等解决方案，构建安全、高效、可靠的公司网络。关键词：虚拟局域网；访问控制列表；无线局域网；直通车；防火墙； VRRP；布线；网络地址解读目录介绍. .1 HYPERLINK l _Toc264568677 第 1 章 网络概述 2 HYPERLINK l _Toc264568678 1.1网络2的定义 HYPERLINK l _Toc264568678 1.2网络分类2 HYPERLINK l _Toc264568678 1.3 网络拓扑3 HYPE

3、RLINK l _Toc264568679 1.4网络架构 3 HYPERLINK l _Toc264568683 1.4.1 OSI参考模型. . _ . 4 HYPERLINK l _Toc264568683 1.4.2 TCP / IP 模型. . . 5 HYPERLINK l _Toc264568683 1.4.3 TCP/IP 和 OSI 模型的比较. 5 HYPERLINK l _Toc264568673 第 2 章 需求分析 6 HYPERLINK l _Toc264568674 2.1项目背景 6 HYPERLINK l _Toc264568675 2.2 设计原则6 HYP

4、ERLINK l _Toc264568676 2.3 用户的现实需求6 HYPERLINK l _Toc264568676 2.4技术可行性7 HYPERLINK l _Toc264568695 2.4.1 VLAN技术7 _ _ HYPERLINK l _Toc264568696 2.4.2 ACL技术8 _ _ HYPERLINK l _Toc264568697 2.4.3 DHCP技术. _ . 9 HYPERLINK l _Toc264568698 2.4.4 NAT技术1 1 _ HYPERLINK l _Toc264568696 2.4.5 WLAN技术1 2 _ _ _ HYPE

5、RLINK l _Toc264568677 第 3 章 网络设计 14 HYPERLINK l _Toc264568678 3.1 网络分层设计 14 HYPERLINK l _Toc264568679 3.2拓扑设计14 HYPERLINK l _Toc264568679 3.3设备选型 15 HYPERLINK l _Toc264568680 3.3.1 设备选型原则15 _ HYPERLINK l _Toc264568681 3.3.2开关选择1 6 _ _ HYPERLINK l _Toc264568682 3.3.3 路由器选择18 _ HYPERLINK l _Toc2645686

6、83 3.3.4 服务器选择19 _ HYPERLINK l _Toc264568685 3.4路由协议选择 19 HYPERLINK l _Toc264568685 3.5综合布线设计 20 HYPERLINK l _Toc264568686 3.5.1综合布线系统的组成. 20 3.5.2 公司综合布线设计 . 21 HYPERLINK l _Toc264568677 第 4 章 网络规划 23 HYPERLINK l _Toc264568684 4.1 VLAN划分及IP地址规划23 HYPERLINK l _Toc264568678 4.2基本配置命令24 HYPERLINK l _T

7、oc264568679 4.3 开关配置26 HYPERLINK l _Toc264568679 4.4路由器的配置324.5 Web 服务器的配置. . 34 HYPERLINK l _Toc264568677 第 5 章 总结 39至 . 40参考. 。 .41介绍我们知道，21世纪的一些重要特征是数字化、网络化和信息化。这是一个以网络为核心的信息时代。实现信息化，必须依靠完善的网络，因为网络可以非常迅速地传递信息。因此，网络现已成为信息社会的命脉和知识经济发展的重要基础。国家“十二五”规划明确指出全面提升信息化水平。在工信部实施“十二五”规划纲要的指导意见中，特别提出促进我国宽带基础设施

8、完善，促进宽带应用的普及和推广，给予更好发挥宽带对国家信息化水平整体提升和经济发展的支撑作用。社会发展的关键作用，积极支持中小企业提高宽带接入和应用水平的任务，明确指出要支持和鼓励中小企业积极完善企业网络环境，提高企业应用宽带网络和信息服务的能力。等级。我国中小企业计算机使用普及率基本稳定在较高水平，但互联网普及率与部分发达国家仍有较大差距。 91.3%的受访企业在过去一年使用电脑办公，78.5%的受访企业在过去一年使用互联网办公。在发达国家员工50人以下的小微企业中，互联网普及率基本达到95%，其中欧盟27家中国互联网普及率平均为94%，2010年中国互联网普及率高达98.2%。此外，在大多

9、数拥有 50 家以上企业的国家，互联网普及率接近 100%。从企业上网方式来看，固定带宽是企业上网的最主要方式。截至2012年12月末，在受访中小企业中，固定宽带普及率为71.0%。 2012年，我国宽带建设进入全面提升阶段，包括加快发展光纤宽带网络、无线移动宽带网络等方面。根据近期中国中小企业互联网应用调查结果，中小企业建站率基本保持在40%-50%的水平。随着越来越多的企业开展互联网活动，企业网站的建立正逐渐成为重要的基础。施工作业。目前，我国中小企业网站建设水平，无论是用户体验还是实用功能，都还有很大的提升空间。在被调查的中小企业中，有49.9%的中小企业拥有独立或网上商店，渗透率最高的

10、互联网应用是致和接收电子产品、网上银行和获取商品或服务信息，分别占84.7%、71.1%和68.1% . .调查显示，58.3%的受访企业拥有互联网相关专业岗位，包括网络环境建设与维护人员、技术研发人员、电子商务相关人员等。网络对社会生活的方方面面和社会经济的发展产生了不可估量的影响。企业网络的优劣已经成为衡量企业竞争力的标准之一。设计一个好的公司局域网不仅可以给公司的日常办公带来方便，还能提高公司的整体经济收入，所以公司局域网的设计和规划研究是很有必要的。第一章网络概述1.1网络定义网络是出于某种目的而互连的系统。网络的存在在日常生活中随处可见，如道路交通网络、无线网络、物联网等。我们在本课

11、程中学习的领域是计算机网络。计算机网络是互连的、自主的计算机的集合。 “互联互通”是指两台或多台相连的计算机可以交换信息，以达到资源共享的目的； “自治”是指计算机在地理上分散并独立工作。 Internet 是一个大型计算机网络。这个计算机网络的定义涉及两个方面：1、互联互通的目的是交换信息，共享资源。这些资源的集合称为计算机网络的资源子网。互联网提供的常见网页浏览、视频下载和网络游戏都属于资源子网的范畴。2、计算机必须相互连接，双方需要约定格式和遵循的规则，才能识别对方的计算机语言，实现资源共享。双方在沟通中约定并共同遵守的格式和规则即为本协议。众所周知的 TCP/IP 协议是 Intern

12、et 的事实上的标准协议。为两方提供通信服务的设备和协议的集合称为计算机网络的通信子网。总之，计算机网络是使计算机能够相互通信的计算机硬件、电缆、网络设备和计算机软件的集合。1.2 网络分类计算机网络有多种类型，可以根据连接介质、通信协议或地理覆盖范围进行划分。计算机网络按覆盖的地理区域可分为局域网、城域网和广域网。（局域网）局域网（ LAN ）是一种高速数据通信系统，它在一个小区域内连接多个独立的数据设备，允许用户共享计算机资源。局域网的范围一般只有几公里，适合机关、校园、工厂等有限区域内对计算机、终端和各种信息处理设备的需求。城域网 ( MAN )城域网是广域网和局域网之间的高速网络。城域

13、网的设计目标是满足几十公里范围内大量企事业单位和公司的多个局域网的互联需求，从而实现数据、语音、图形等各种信息的传输。和大量用户中的视频。广域网 ( WAN )广域网又称长途网，覆盖的地理区域从几十公里到几千公里不等。一个广域网可以覆盖多个国家或地区，甚至跨越几大洲，形成一个国际远程计算机网络。连接广域网各节点交换机的链路一般为通信容量大的高速链路。1.3 网络拓扑网络拓扑是指网络线路和站点（计算机或设备）的互连几何结构。常见的计算机网络拓扑结构有：星形结构、树形结构、分布式结构、总线结构、环形结构和复合结构。星网以中心节点为中心，多个外围节点连接到中心节点，任意两个外围节点之间的通信都必须经

14、过中心节点。星型结构简单，配置灵活，容易添加新节点，但中心节点故障会导致整个网络瘫痪。树状网络它是星型结构的变形，每个站点致的信息都必须通过根节点广播到全网。它是一种适用于分级控制系统的分级网络。树形网络的同一条线路可以连接多个终端。与星型网络相比，具有节省线路、成本更低、易于扩展的特点。分布式网络网络结构是由分布在不同位置、具有多个终端的节点机器互连而成。网络中的任何节点都至少与两条线路相连。当任一线路发生故障时，可通过其他链路完成通信，可靠性高。同时，网络易于扩展。缺点是网络控制机制复杂，线路的增加增加了成本。分布式网络也称为网型网络，比较有代表性的网型网络是全连接网络。可以计算出，一个有

15、 N 个节点的全连接网络需要有N ( N-1 )/2 条链路。这样，当N取值大时，传输链路的数量就大，传输链路的利用率就大。因此，在实际应用中，一般不会选择全连接网络，而是在保证可靠性的前提下，尽可能降低链路的冗余度和成本。公交网络它通过总线将所有节点连接起来，形成一个通道。总线式网络结构比较简单，扩展非常方便。这种网络结构常用于计算机局域网。环网每个设备通过环节点机连接形成一个环。信息流一般为单向，线路公开，采用分布式控制方式。这种结构常用于计算机局域网，有单环和双环之分。双环的可靠性明显优于单环。复杂网络网络结构是现实中常见的组网方式，其典型特点是将分布式网络与树形网络相结合。例如，在计算

16、机网络的骨干网络中可以采用一种网络结构，在基础网络中可以形成星型网络，既提高了网络的可靠性，又节省了链路成本。1.4 网络架构网络架构是指为网络硬件、软件、协议、访问控制和拓扑提供标准的通信系统的整体设计。典型的网络架构包括开放系统互连 (OSI) 参考模型和传输控制协议/互联网协议(TCP/IP) 参考模型。1.4.1 OSI 参考模型OSI 参考模型分为七层，如图 1-1 所示。各层功能描述如下：应用层：是OSI参考模型的最高层，也是用户访问网络的接口层，直接面向用户。在OSI环境中，应用层为用户提供各种服务，如：电子、文件传输和远程登录。表示层：负责处理不同数据在表示上的差异进行相互转换

17、，如ASCII和UNICODE之间的转换，不同格式文件的转换，不兼容终端数据格式之间的转换，以及数据加密、解密、 ETC。 。会话层：负责建立、管理和拆除进程之间的通信连接。 “进程”是指独立运行的程序，例如电子和文件传输。传输层：提供端到端通信的网络层，它从会话层接收数据并经过适当处理后传输。网络另一端的传输层从网络层接收数据，进行逆向处理，提交给会话层。网络层：负责提供连接和数据路由，包括处理输出数据包的地址，解析输入数据包的地址，维护路由信息，以便对通信链路的变化做出适当的响应。数据链路层：提供网络中相邻节点之间的可靠通信。它以帧为单位传输数据包，为网络层提供正确无误的数据包收发服务。物

18、理层：原始二进制比特流通过物理介质传输和接收。图 1-1 OSI 七层模型1.4.2 TCP/IP 模型TCP/IP参考模型有四个层次，比OSI参考模型简单很多，所以在实际使用中比OSI模型更实用，所以得到了更好的发展。当今大多数计算机网络都基于TCP/IP 参考模型结构。图1-2 显示了 OSI 参考模型和 TCP/IP参考模型的比较。 TCP/IP模型定义的四个层次的主要功能如下：应用层：代表用户的应用数据。例如：在网络浏览器应用程序（如Internet 浏览器）中为用户表示数据。传输层：支持设备之间的通信并进行纠错。互联网层（Internet layer）：确定通过网络的最佳路径。网络接

19、口层：控制网络的硬件设备和媒体。1.4.3 TCP/IP与OSI模型比较通过图1-2的对比不难发现：OSI的应用层、表示层和会话层的功能被合并到TCP/IP模型的应用层中；网络的大部分功能都存在于传输层和网络层，因此它们保持在单独的层中； OSI模型的数据链路层和物理层合并到TCP/IP模型的网络接口层。 OSI参考模型是一种过于理想化的架构，在实践中很难实现。但它为我们的系统分层提供了很好的参考，具有很好的指导作用。 TCP/IP参考模型是事实上的模型，因为更实用，所以得到更广泛的支持和使用，使TCP /IP成为事实上的行业标准。图 1-2 TCP/IP 与 OSI 模型对比第二章需求分析2

20、.1 项目背景我公司是一家以生产为主的大型企业，总公司设在其中，另有一个分公司。公司现有员工数千人，包括行政管理部、财务部、人力资源部、技术部、生产部、销售部。 6个部门。公司主体建筑包括行政办公楼、综合楼、加工车间（仓库） 、员工公寓（男女员工各两栋） ，共有信息节点约720个，其中总部600个，分公司120个，中央计算机一台房间。公司总部行政办公楼10楼。网络项目实施前，公司采用下行2M和上行512K宽带，普通交换机作为主要网络连接设备，带宽低，速度慢，各部门无法互通，无无线网络部署在园区部门，网络安全防御能力低，经常受到各种攻击。随着公司规模的不断扩大，对办公信息化、自动化和信息安全的要

21、求越来越高，公司决定建立一个完善、可扩展的局域网。2.2 设计原则网络设计遵循技术和行业标准的指导原则，确保设计方案满足网络建设需求，符合IT建设标准，为未来网络升级提供后向兼容。在总体方案设计中，必须遵循实用性、先进性、可靠性和安全性的原则。（1）实用性：网络建设从应用实际需求出发，坚持服务于领导决策、运营管理、生产建设。此外，如果对现有网络进行升级改造，还应充分考虑如何利用现有资源，最大限度地发挥设备效益。（2）超前性：局域网的规划不仅要满足用户当前的需求，还要对用户的需求有一定的技术预见性和可预见性，考虑到能够满足用户未来几年对网络功能和带宽的需求.采用成熟的先进技术，兼顾未来发展趋势，

22、即力所能及，适当推进，留有发展空间。( 3 )安全可靠：为保证网络的可靠运行，网络的关键部分应具备容错能力，并提供公网连接、通信链路、服务器等完善的安全管理体系。( 4 )安全性：为了保证网上信息的安全和各种应用系统的安全，在规划时必须考虑局域网的综合安全方案。2.3 用户的现实需求（1）实现公司部门资源共享（文件共享、打印机共享）。（2）搭建公司网络服务器，方便公司自主权的发布。(3) 部门网络采用VLAN分段来隔离广播，防止未经授权的跨网段访问部门网络。例如，不允许公司的其他部门访问财务部门。(4)核心网必须有冗余设计，包括链路冗余和设备冗余。(5) 对于移动办公频繁接入的场所，必须部署无

23、线AP。(6) 外网之间有防火墙设置，可以实现私有地址到公有地址的转换。(7) 外网用户可以与网络用户进行通讯，但不能访问公司的网络服务器和财务部门。2.4 技术可行性对于公司网络的设计和规划，技术可行性分析是必不可少的一环。目前常用的网络技术主要有VLAN技术、ACL技术、DHCP技术、NAT技术、WLAN技术等。以下五种技术将一一讲解。 .2.4.1 VLAN技术虚拟网络（ VLAN ）技术是在逻辑上将一个交换网络划分为若干个子网，每个子网都是一个广播域。逻辑划分子网的功能与传统物理子网相同，可以根据交换机的端口、 MAC地址、 IP地址进行划分。虚拟局域网在功能和操作上与传统局域网基本相

24、同。与传统局域网相比， VLAN具有以下优点：降低搬家和更换成本也就是所谓的动态管理网络，即当用户从一个位置移动到另一个位置时，他的网络属性不需要重新配置，而是动态完成的。该动态管理网络提供网络管理员和用户。两者都带来很大的好处。用户无论走到哪里，都可以不加任何修改地访问网络。这个前景非常光明。虚拟工作组使用VLAN就是建立一个虚拟工作组模型。比如在企业网络中，同一个部门就像在同一个局域网上，很容易互相访问和交换信息，同时所有的广播包也被限制在那个虚拟局域网内，不影响其他人。 VLAN 。如果一个人从一个办公地点换到另一个办公地点，而他还在部门，那么用户的配置不需要改变；同时，如果一个人改变了

25、部门，虽然办公地点没有改变，那么只有网络管理员可以改变用户的配置。该功能的目标是建立一个动态的组织环境。当然，这只是一个理想的目标。为了实现它，需要一些其他的支持；用户不受物理设备的限制， VLAN用户可以在网络中的任何位置。 ; VLAN不影响用户的应用， VLAN的应用解决了大规模二层交换网络带来的诸多问题。限制广播数据包以提高带宽利用率有效解决广播风暴导致的性能下降问题。一个VLAN组成一个小的广播域，同一个VLAN的成员都在由它们所属的 VLAN 确定的广播域中。然后，当数据包没有被路由时，交换机只会将数据包致到属于该VLAN 的所有其他端口。代替交换机的所有端口，这种方式将数据包限制

26、在一个VLAN内，可以在一定程度上节省带宽。增强的通信安全性一个VLAN不会被致到另一个VLAN ，从而使其他VLAN的用户在网络上无法接收到该 VLAN 的任何数据包，从而保证了该VLAN 的信息不会被其他VLAN的人窃听。从而实现信息。增强网络的健壮性当网络规模增大时，一些网络问题往往会影响到整个网络。引入 VLAN后，一些网络故障可以限制在一个VLAN内。由于VLAN对网络进行了逻辑划分，组网方案灵活，配置管理简单，降低了管理和维护成本。2.4.2 ACL 技术ACL（Access Control List）是一种对通过路由器的数据流进行判断、分类和过滤的方法。它的主要作用是根据数据包和

27、数据段的特点进行判断，决定是否允许数据包通过路由器转发。其主要目的是管理和控制数据流量。 ACL 可以包含一个或多个特定类型 IP 数据报的规则。 ACL 可以简单到只有一条规则，也可以复杂到多条规则。与规则匹配的数据组由多个规则定义。有两种类型的访问控制列表：标准 ACL仅将数据包的源地址信息作为过滤标准，不能基于协议或应用进行过滤。即只能根据数据包的来源进行控制，不能根据数据包的协议类型和应用进行控制，其编号范围为199。扩展 ACL数据包的源地址、目的地址、协议类型和应用类型（端口号）等信息可以作为过滤条件。也就是说，可以根据数据包从哪里来、去哪里、用什么协议、用什么应用等特性进行精确控

28、制，个数从100到199不等。接下来，我们将讨论ACL部门的具体处理流程： 图2-1图 2-1 ACL 工作原理每个 ACL 可以由多个语句（规则）组成。当数据包要通过 ACL 检查时，首先检查 ACL 中的第一条语句。如果符合其判断条件，则按照本语句中配置的关键字对数据包进行操作。如果关键字是permit，则转发数据包，如果关键字是deny，则直接丢弃数据包。如果第一条语句的判断条件不匹配，则匹配下一条语句，如果判断条件匹配，则按照本语句中配置的关键字对数据包进行操作。如果关键字是permit，则转发数据包，如果关键字是deny，则直接丢弃数据包。这个过程一直在进行。一旦数据包与某条语句的判

29、别语句相匹配，就根据该语句中配置的关键字进行转发或丢弃。如果一个数据包不匹配 ACL 中的任何语句，它将被丢弃，因为默认情况下，每个 ACL 都有一个隐含的条目匹配所有数据包，其关键字是拒绝。一般来说，上面ACL部分的处理过程是从上到下依次执行，直到找到匹配的规则，拒绝或允许。2.4.3 DHCP技术动态 HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/view/23880.htm t _blank 主机配置协议（DHCP）是一种使用UDP协议 HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/vie

30、w/788.htm t _blank 工作的局域网 HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/view/16603.htm t _blank 网络协议，主要有两个目的：自动分配 HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/view/1279152.htm t _blank IP地址给部门网络或网络服务提供商 HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/view/3930.htm t _blank ，给用户或部门 HYPERLINK %20

31、%20%20%20:/baike.baidu%20%20%20%20/view/31921.htm t _blank 网络管理员作为一种手段所有计算机的集中管理 HYPERLINK %20%20%20%20:/baike.baidu%20%20%20%20/view/3314.htm t _blank 。它分为两部分：一是服务器端，二是客户端。所有IP网络配置数据都由DHCP服务器集中管理，负责处理来自客户端的DHCP请求；客户端使用从服务器分配的 IP 信息。 DHCP协议的主要特点是：整个IP分配过程是自动实现的。在客户端，除了勾选 DHCP 选项外，无需进行任何 IP 环境设置；所有IP

32、网络设置均由DHCP服务器管理，还可以帮助客户端指定网络掩码、DNS服务器、默认网关等参数；通过IP地址租用管理（到期时可以延长“租用”或重新分配地址），实现IP地址的时分复用；DHCP 使用广播模式交换数据包。默认情况下，路由器不会将收到的广播数据包从一个子网致到另一个子网。因此，当 DHCP 服务器和客户端主机不在同一个子网时，必须使用 DHCP 中继。 （即DHCP中继）；DHCP协议的安全性较差，服务器容易受到攻击。DHCP 的工作原理：DHCP采用客户端/服务器模型，其工作原理遵循客户端/服务器模型。当 PC 连接到 DHCP 服务器时，服务器会为其分配或租用 IP 地址。 PC 将

33、使用租用的 IP 地址连接到网络，直到租用到期。主机必须定期联系 DHCP 服务器来更新租约，而这种租约机制保证了主机在移动或关闭后不会继续占用不再需要的地址。 DHCP 服务器将这些地址返回到地址池，并在必要时重新分配它们。图 2-2 和以下步骤说明了 DHCP 服务器如何为 DHCP 客户端分配 IP 地址配置。图 2-2 DHCP 工作原理步骤 1 DHCP 发现。当客户端开始加入网络时，它会完成 4 个步骤来获得地址租约。在步骤 1 中，客户端广播 DHCPDISCOVER 消息以便在网络中找到 DHCP 服务器。由于主机在启动时没有有效的IP信息，所以它使用二层和三层广播地址与服务器

34、通信。步骤 2 DHCP 提议。 DHCP 服务器收到 DHCPDISCOVER 消息后，它会找到一个可租用的 IP 地址，然后创建一个包含请求主机的 MAC 地址和要租用的 IP 地址的 ARP 条目，最后，它使用 DHCPOFFER 消息致提议。 DHCPOFFER 消息以单播方式致，使用服务器的第 2 层 MAC 地址作为源地址，客户端的第 2 层地址作为目标地址。步骤 3 DHCP 请求。客户端收到服务器的 DHCPOFFER 后，会致 DHCPREQUEST 消息。此消息有两个目的：请求续订和验证的租约。当用于请求租用时，客户端的 DHCPREQUEST 消息需要在分配后验证 IP

35、地址的有效性。此消息提供错误检查以确保地址分配仍然有效。 DHCPEQUEST 还用于向所选服务器致绑定接受通知，并隐式拒绝来自其他服务器的绑定提议。步骤 4 DHCP 确认。服务器收到DHCPEQUEST消息后，验证租约信息，为客户端租约创建新的ARP表项，并以单播DHCPACK消息进行回复。除了消息类型字段之外，DHCPACK 消息与 DHCPOFFER 消息相同。客户端收到DHCPACK报文后，记录配置信息，并根据分配的地址进行ARP查找。如果没有收到回复，则确定该IP地址仍然可用，因此将其作为自己的。2.4.4 NAT技术 HYPERLINK %20%20%20%20:/baike.b

36、aidu%20%20%20%20/view/875777.htm t _blank 网络地址转换（NAT，Network Address Translation）是一种接入广域网（WAN）技术，是一种将私有（保留）地址转换为合法IP地址的转换技术。广泛应用于各类互联网接入方式和各类网络中。原因很简单，NAT不仅完美解决了IP地址不足的问题，还可以有效避免来自网络外的攻击，隐藏和保护网络部门的计算机。 NAT带来优势的同时，也带来了很多劣势：使用NAT必然会引入额外的延迟；失去端到端 IP 跟踪能力；地址转换因为主机地址是隐藏的，有时网络调试变得困难。复杂的。NAT工作：如图2-3图2-3 NA

37、T工作原理首先我们要明确局域网部门的私有地址不能访问外网。必须将其转换为公共地址才能访问 Internet。上图为两家公司的跨网通信。让我们来谈谈它。它有效： 网络的 PC1 想要访问 网络的 User1PC1向RA（网关）致请求，告诉自己自己的私有IP地址和MAC地址，并要求自己到达网络的User1主机； 2 、 RA收到请求后，将PC1的源IP地址转换为部门的全局地址，即公网地址，并制定一个随机生成的端口号（用于标识某台主机） PC1并致到Inter网络； 3 、 Inter网络接收到部门全局IP地址的请求，由RB选择并接收Interest Routing。 RB直接将RA致的全球IP地址

38、、端口号等信息致给网络的网关； 4 、网关路由器RB根据对方致的目标接收信息。主机信息，将数据传输到网络的User1主机； 5、根据ICMP协议，user1主机需要响应，对数据进行相应的处理，并将数据封装后致给网关； 6 、网关将user1的私网IP地址转换为外部本地IP地址，即公网地址，通过这个公网地址转发给路由器RA ； 7. RA收到数据包，检查自己缓存中对应的主机和端口，响应网络。 PC1 转发。2.4.5 无线局域网技术无线局域网是指用无线电波、激光、红外线等无线介质代替有线局域网中的部分或全部传输介质而形成的网络。它不仅可以作为有线数据通信的补充和延伸，也可以作为有线网络环境的备份

39、。无线局域网技术可能是应用最广泛、最具商业价值和发展最好的无线网络技术。在无线局域网中，每个客户端都使用无线适配器通过无线 AP 访问网络。无线AP（AP，Access Point，无线接入节点，会话点，或接入网桥）是一个广义的名称，它不仅包括简单的无线接入点（无线AP），也是无线等设备的总称。路由器（包括无线网关和无线网桥） 。常见的 WLAN 拓扑有：(1)对等模式(Peer-to-Peer)/对等模式：无中心拓扑，由无线工作站组成，用于一个无线工作站与另一个或多个其他无线工作站之间的直接通信，网络无法接入有线网络，只能独立使用。无需AP，安全由每个客户端维护。点对点模式下的节点必须能够同

40、时“看到”网络中的其他节点，否则认为网络中断，所以点对点网络只能在组网环境中使用有几个用户。(2)基础设施模式：由无线接入点AP、无线工作站STA和分布式系统DSS组成，覆盖区域称为基本服务区BSS。无线接入点AP用于接收无线STA与有线网络之间的缓存转发数据，通过AP完成无线通信，具有中心拓扑结构。 AP通常可以覆盖数十到数百个用户，覆盖半径可达数百米。 AP可以接入有线网络，实现无线网络和有线网络的互联互通。(3)多AP模式：指由多个AP和连接它们的分布式系统DSS组成的基础设施模式网络，也称为扩展服务区ESS。扩展服务区内的每个AP都是一个独立的无线网络基础服务区BSS，所有AP共享同一

41、个扩展服务区标识ESSID。分布式系统DSS在802.11标准中没有定义，但目前大部分是指以太网。具有相同ESSID的无线网络之间可以进行漫游，具有不同ESSID的无线网络形成逻辑子网。多AP模式有时被称为多小区结构，建议小区之间有15%的重叠，以实现小区之间无线站的无缝漫游。所谓漫游，是指用户从一个位置移动到另一个位置，应视为离开一个接入点，进入另一个接入点。在无法达到有线连接的情况下，可以采用多蜂窝无线中继结构，中继小区之间需要50%左右的信号重叠，中继小区的客户端使用效率会下降50%。802.11 无线 LAN 是一组 IEEE 标准，它定义了如何在未经许可的工业、科学和医疗 (ISM)

42、 频段中使用射频 (RF) 作为无线链路的物理层和 MAC 子层。IEEE 802.11a高速WLAN标准，支持速率54Mbps，工作在5GHz频段，采用OFDM调制，优势距离可达35米，速度更快，不易受干扰。缺点：成本高，体积小。IEEE 802.11b原Wi-Fi标准提供11Mbps速率，工作在2.4GHz频段，使用DSSS和CCK，具有距离可达35米、成本低、覆盖广等优点。缺点是速度慢，容易被打扰。IEEE 802.11g数据速率提高到54Mbps，工作在2.4GHz频段。它采用OFDM调制技术，可以与同一网络中的IEEE 802.11b设备一起工作。优点是距离可达35米，速度快，周边范

43、围广，不易被阻挡。缺点是容易受到工作在 2.4GHz 频段的设备的干扰。IEEE 802.11n采用MIMO无线通信技术，更宽的射频通道和改进的协议栈，提供更高的数据速率，从150Mbps、350-600Mbps，向后兼容IEEE 802.11a/b和IEEE 802g，优势距离可达70米，数据传输率高速度快，覆盖面广。第三章网络设计3.1 网络分层设计大中型网络系统必须采用分层设计的思想，这是解决网络系统规模、结构和技术复杂性的最有效途径。这已在许多工程实践中得到证明。是否需要按3层搭建的经验数据是：如果节点数为250-5000，一般需要按3层结构设计；如果节点数量为100-500，则无需设

44、计接入层网络，可以通过汇聚层的路由器或交换机直接连接节点；如果节点数为5-250，则可能不设计接入层网络和汇聚层网络。考虑到公司有720个节点，网络设计为3层结构。其中，核心层网络用于连接服务器集群和各楼的子网交换路由器，与城域网的出口连接；汇聚层网络用于将分布在不同位置的子网连接到核心层网络，实现路由汇聚功能；接入层网络用于将最终用户计算机连接到网络。1.核心层核心层的作用主要是实现骨干网之间的优化传输和复杂全网的网络数据交换。网络的功能控制最好尽可能在骨干层实现，核心层设计任务侧重于冗余、可靠性和高速传输。核心层一直被认为是流量的最终承载和汇聚，因此要求核心交换机具有高可靠性和高性能。2.

45、聚合层汇聚层主要负责连接接入层节点和核心层，汇聚分散的接入点，扩展核心设备的端口密度和种类，汇聚各个区域的数据流量，实现骨干网之间的最优传输。汇聚层交换机也负责该区域的数据交换。汇聚层交换机一般和中心交换机是同一类型的，仍然需要更高的性能和更丰富的功能。3.接入层接入层交换机作为二层交换网络设备，为功能工作站等设备提供网络接入。接入层接入交换机的数据是全网最多的，具有即插即用的特点。对于这样的开关，首先是合理的价格；二是可管理性，易于使用和维护；三是稳定性较好。采用层次模型的设计方法有以下优点： 1、结构清晰，网络易于理解和维护； 2、具有良好的扩展性； 3、功能进行了不同层次的分解，有利于网

46、络的稳定性； 4、有利于定位网络故障点。3.2 拓扑设计根据网络的三层设计思想和公司楼宇的地理分布特点，公司网络拓扑设计如下：核心部分主要由两台CISCO 6905路由交换机组成，通过两台路由器连接10个千兆光纤，并使用千兆光纤。下行4台汇聚交换机CISCO 3750。其中一台路由器用于连接ISP，实现公司部门与外网的互联互通，另一台路由器连接广域网的帧中继，实现机头之间的通信办事处和分公司。两台核心路由交换机相互连接，服务器也与两台核心路由交换机相连，实现高速数据访问。汇聚层交换机通过千兆双绞线与接入层设备CISCO 2960互联，接入层设备与终端用户实现100M到桌面。如图 3-1 所示：

47、图3-1 公司网络拓扑3.3 设备选型目前网络设备制造商众多，如思科、华为、H3C、锐捷、IBM等。思科系统公司（Cisco Systems）是全球领先的互联网设备提供商。其网络设备和应用解决方案将世界各地的人和计算设备与网络连接起来，使人们能够随时随地使用各种设备传输信息。思科为客户提供端到端的网络解决方案，使客户能够构建自己的统一信息基础设施或连接到其他网络。根据公司预算要求，本项目的路由器和交换机选用CISCO的设备，服务器选用IBM的设备。3.3.1 设备选型原则1.厂商的选择所有网络设备尽量选择同一厂家的产品，在设备互联、协议互通、技术支持、价格等方面更有优势。由此看来，产品线齐全、

48、技术认证团队强大、产品市场占有率高的厂商是网络设备品牌的首选。其产品经过更多用户的测试，产品成熟度高。而且这些厂家出货频繁，生产量大，质量保证体系较为完善。作为系统集成商或网络建设单位，您不应该依赖任何一种产品，可以公平地评估各种产品，根据需求和成本选择最好的。在制定网络规划之前，应根据网络建设单位的承受能力确定网络设备的品牌。国内厂商的网络产品价格不错，但产品线短。2 、扩容注意事项在网络的层次结构中，骨干设备要为以后的扩展预留一定的容量，低端设备要充足。因为低端设备更新更快，易于扩展。3 、根据实际需要选择方案主要在参考整体网络设计要求的基础上，根据实际网络带宽性能要求、端口类型和端口密度

49、进行选择。如果是旧网改造项目，应尽可能保留和延长用户对原有网络设备的投资，以减少资金投入的浪费。4 、选择性价比高、品质优良的产品为了使资金的投入和产出最大化，可以以较低的成本和较少的人员投入来维护系统；网络开通后，会运行很多关键业务，因此要求系统具有较高的可靠性。整个系统的可靠性主要体现在网络设备的可靠性，尤其是GBE骨干交换机的可靠性和线路的可靠性上。3.3.2 开关选择核心交换机的选择核心层是网络的中心，其功能是实现高性能的交换和传输。因此，核心层设备应该是高性能的交换机，可以实现高速交换传输连接服务器等核心设备，实现不间断工作非常可靠。 Catalyst 6500 系列旨在满足对千兆密

50、度、数据和语音集成、LAN/WAN/MAN 集中度、可扩展性、高可用性以及具有骨干/分布、服务器整合和服务提供商环境的智能多层交换的需求。它是针对公司不断增长的需求而设计的，所以我们选择了两台CISCO WS-C6509-E （3 65 00元）交换机作为公司的骨干网。 CISCO WS-C6509-E的外观结构如图3-2所示。 9个模块化插槽，背板带宽720Gbps，包转发率387Mpps，支持网络标准（ IEEE 802.3、IEEE 802.3u、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad ）、网络管理（ CiscoWorks2000、 RMON, ESPA

51、N, SNMP, Telnet, BOOTP, TFTP ), VLAN, QoS, 电源4000W。图 3-2 HYPERLINK %20%20%20%20:/detail.zol%20%20%20% o CISCO WS-C6509-E 性能参数 思科 WS-C6509-E汇聚交换机的选择汇聚层主要负责连接接入层节点和核心层，将分布在不同位置的子网连接到核心层网络，实现数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表、 VLAN路由等。 Cisco Catalyst 3750系列交换机是一个创新的产品系列，通过提供配置灵活性、对融合网络模型的支持和自动智能网络服务调配来简化融合应用

52、的部署 我们使用四台CISCO WS-C3750G-24TS-S1U （17,500 元）作为公司的汇聚交换机。 CISCO WS-C3750G-24TS-S1U外观结构如图3-3所示。它有 28 个端口、 24 个以太网 10/100/1000 端口和 4 个基于 SFP 的千兆以太网端口。背板带宽32Gbps，包转发率38.7Mpps，支持网络标准（ IEEE 802.3、IEEE 802.3u、IEEE 802.3ab、IEEE 802.3z、IEEE 802.1s、IEEE 802.1w、IEEE 802.1x、IEEE 802.3ad , IEEE 802.3x, IEEE 802.

53、1D, IEEE 802.1p, IEEE 802.1Q ), VLAN, QoS。图 3-3思科 WS-C3750G-24TS-S1U接入交换机的选择接入层主要为终端用户提供接入网络的途径。主要用于VLAN划分、与分布层的连接等。 CISCO Catalyst 2960 系列交换机是以太网供电或非 PoE 配置的交换机系列，可提供桌面快速以太网和千兆以太网连接，以及为入门级企业、中端市场、和分支机构网络配置独立的智能以太网设备。因此，我们选用二十四台CISCO WS-C2960-24TC-L （4700元）作为公司的接入层交换机。 CISCO WS-C2960-24TC-L的外观结构如图3-

54、4所示。它有 26 个端口、 24 个以太网 10/100Mbps 端口和 2 个两用上行端口。背板带宽4.4Gbps，包转发率6.5Mpps，支持网络标准（ IEEE 802.3、IEEE 802.3u、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad ）、网络管理（ Web浏览器、SNMP、CLI） )、VLAN、QoS、电源为30W。图 3-4 CISCO WS-C2960-24TC-L3.3.3 路由器选择路由器是连接互联网中各种局域网和广域网的设备。它会根据信道条件自动选择和设置路由，并按最佳路径和顺序致信号。目前，路由器已广泛应用于各行各业，各种不同档次的产

55、品已成为实现各种骨干网连接、骨干网间互联、骨干网与互联网互联互通的主力军。我们选择3台CISCO 2911/K9（8400元）作为公司的边缘路由器。 CISCO 2911/K9的外观和结构如图3-5所示。拥有3个WAN接口，内置防火墙功能，支持网络协议（IPv4、IPv6、静态路由、 IGMPv3、PIM SM、DVMRP、IPSec ）、VPN、QoS。图 3-5 思科 2911/K93.3.4 服务器选择网络服务器的选型是网络系统建设的重要内容之一。从应用的角度来看，网络服务器的类型可以分为：文件服务器、数据库服务器、互联网通用服务器和应用服务器。我们选择了机架式IBM System x3

56、650 M4（ 24500元）作为公司的服务器。 IBM System x3650 M4的外观结构如图3-6所示。服务器的CUP为8核16线程，CPU频率为2GHz，存储容量为8GB。存储槽位24个，最大存储容量768GB，硬盘接口类型为SATA/SAS，最大硬盘容量9TB。 HYPERLINK %20%20%20%20:/detail.zol%20%20%20% 系统支持（ Windows Server 、 Red Hat Enterprise Linux 、 SUSE Linux Enterprise Server 、 VMware vSphere） ，电源为750W。图 3-6 IBM

57、System x3650 M43.4 路由协议选择路由器的基本工作原理是接口接收到IP报文后，解析IP报文的目的地址，根据路由表中的指示转发到下一跳。路由根据生成方式分为静态路由和动态路由。静态路由通过手动配置生成路由，这是构建路由表最简单的方法。对于小型网络，一般只使用静态路由。动态路由由路由器上运行的动态路由协议自动生成，适用于频繁变化的网络，降低了网络管理员的维护难度。为了实现网络管理员的快速路由收敛、寻址和方便管理，我们使用动态路由协议。目前比较好的动态路由协议是OSPF和EIGRP。 OSPF协议标准化能力强，支持多家厂商，应用广泛。应用，EIGRP协议是CISCO发明的，只有CIS

58、CO自己的产品支持，属于私有财产。 OSPF路由协议的特点是：链路状态协议没有环路；根据带宽选择路径；更强的路由收敛能力；快速收敛；支持 VLSM 和 CIDR。在网络设计中，路由协议的选择主要考虑各种协议的不同特性，有时也有几种路由协议协同工作的情况。考虑到公司网络的可扩展性、稳定性、可靠性等原因，我们选择OSPF作为主要路由协议，并使用静态路由连接ISP的边缘部分。此外，我们还使用 VRRP 虚拟路由冗余协议。它保证了当主机的下一跳路由器发生故障时，能够及时、就地更换另一台路由器，从而保持通信的连续性和可靠性。3.5 综合布线设计综合布线是对传统布线方式的彻底改变。经过统一规划设计，将所有

59、语音、数据、视频信号和控制设备布线集成到一个标准的布线系统中。目前广泛采用的综合布线标准有：TIA/EIA标准； ISO/IEC 标准。公司的局域网布线设计是基于网络的分布结构，网络布线必须有长远的考虑。在进行局域网布线时，应充分考虑未来网络扩展可能需要的最大接入节点数、接入位置的分布和用户的便利性。3.5.1 综合布线系统的组成综合布线系统为开放式结构，可支持多种计算机数据系统，以及会议电视、监控电视等系统的需求。根据 ISO/IEC 标准，结构化布线系统可分为 6 个独立的布线子系统。工作区子系统工作区子系统，也称为服务区子系统，由RJ-45插座和其他连接的设备（终端或计算机）组成。水平布

60、线子系统水平子系统也成为水平路由子系统。水平子系统从 RJ-45 插座到管理子系统的接线柜一般为星形。与主干子系统的区别在于：水平布线子系统该系统始终位于一层并连接到插座。垂直主干子系统垂直干线子系统为楼宇提供垂直电缆，负责连接管理子系统和机房子系统。设备间子系统设备间子系统是布线系统最重要的管理区域，所有楼层的通信都在这里通过电缆或光缆传输。该系统通常安装在计算机系统、网络系统和程控计算机系统的主机房中。管理子系统管理子系统安装通信布线系统设备，包括用于水平主干布线系统的机械和电气终端。管理子系统设置在楼层布线设备的房间内，应由交接间的布线设备、输入/输出设备等组成。构建复杂的子系统Buil