基于静态NAT的中小企业服务器网络端口映射与实现(完整文档+思科拓扑图)

avatar
作者
筋斗云
阅读量:0

大家好,我是小华学长,一名计算机领域的博主。经过多年的学习和实践,我积累了丰富的计算机知识和经验,在这里我想与大家分享我的学习心得和技巧,帮助你成为更好的程序员。
作为一名计算机博主,我一直专注于编程、算法、软件开发等领域,在这些方面积累了大量的经验。我相信分享是一种双赢的方式,通过分享,我可以帮助他人提升技术水平,同时也能够得到学习交流的机会。
在我的文章中,你将会看到我对于各种编程语言、开发工具以及常见问题的解析和分析。我会结合自己的实际项目经验,为你提供实用的解决方案和优化技巧。我相信这些经验不仅能够帮助你解决当前遇到的问题,还能够提升你的编程思维和解决问题的能力。
除了技术方面的分享,我还会涉及到一些关于职业发展和学习方法的话题。作为一名曾经的学生,我深知在计算机领域如何更好地提升自己和面对挑战。我会分享一些学习方法、面试技巧和职场经验,希望能够对你的职业发展产生积极的影响。
我的文章会发布在CSDN社区,这是一个非常活跃和专业的计算机技术社区。在这里,你可以与其他热爱技术的人们交流、学习和分享。通过关注我的博客,你可以第一时间获取到我的最新文章,并与我和其他读者互动交流。
如果你对计算机领域有兴趣,希望能够更好地提升自己的编程能力和技术水平,那么请关注我的CSDN博客。我相信我的分享会带给你帮助和启发,让你在计算机领域取得更大的成就!
让我们一起成为更好的程序员,共同探索计算机领域的精彩世界吧!感谢你的关注与支持!
分享的所有计算机项目源码均包含文档,可做毕业设计或课程设计,欢迎留言分享问题,交流经验!

摘    要

随着计算机网络技术的发展,网络地址日益紧缺,已经被视为是一种宝贵的网络资源。就在2019年,全球的IPV4地址已经分配完毕了,足可见互联网信息技术的发展是如此之快。

为了解决这个问题,网络地址转换(networkaddresstranslation, NAT)技术被人们广泛使用,它将网络地址从一个地址域映射到另-一个地址域。IPv4 地址日益不足是经常部署NAT 的一个主要原因。随着网络技术的发展,安全需求的提升,NAT 逐渐演变为隔离内外网络、保障网络安全的基本手段,而且采用这种技术,无须额外投资,单纯利用现有网络设备,即可轻松达到安全目的。因此一般用于企业,学校,网吧,小区等与互联网的通信。

本课题研究的静态NAT实现网络端口映射技术,在企业网的部署环境中,能让企业内部的服务器发布到互联网上供公网用户访问,就类似于我们在家中或者手机流量访问百度、腾讯等网站相似,将内部系统挂载至公网。

关键词:  NAT    端口映射    网络    企业网   地址

 

Abstract

With the development of computer network technology, network address is increasingly scarce, which has been regarded as a valuable network resource. Just in 2019, the global IPv4 address has been allocated, which shows that the development of Internet information technology is so fast.

In order to solve this problem, network address translation (NAT) technology is widely used. It maps network address from one address domain to another. The increasing shortage of IPv4 addresses is one of the main reasons for the frequent deployment of NAT. With the development of network technology and the improvement of security requirements, NAT has gradually evolved into a basic means of isolating internal and external networks and ensuring network security. Moreover, with this technology, it is easy to achieve the purpose of security without additional investment and simply using the existing network equipment. Therefore, it is generally used for the communication between enterprises, schools, Internet cafes, communities and the Internet.

In the deployment environment of enterprise network, the static NAT network port mapping technology researched in this paper can make the internal server of enterprise publish to the Internet for public network users to visit, which is similar to our home or mobile traffic visiting Baidu, Tencent and other websites, and mount the internal system to the public network.

Keywords:  NAT    Port mapping    network    Enterprise network    address

目    录

第1章  引言... 1

1.1  研究背景... 1

1.2  研究意义... 2

1.3  研究内容... 2

第2章  系统分析... 2

2.1  可行性分析... 2

2.2  需求分析... 3

第3章  相关技术综述... 5

3.1 VLAN技术... 5

3.2 OSPF技术... 5

3.3 DHCP技术... 6

3.4 NAT技术... 7

第4章  系统设计... 10

4.1 网络设计规划... 10

4.2 网络拓扑图... 11

4.3 IP地址规划... 11

4.4  设备选型... 12

4.5 综合布线原则... 16

第5章  详细设计... 17

5.1 核心层设计... 17

5.2 汇聚层设计... 17

5.3接入层设计... 18

5.3  关键性技术及难点... 18

5.4 存在问题和解决办法... 18

第6章  系统测试... 18

6.1  配置实施... 18

6.2  连通性测试... 23

第7章  总结... 27

参考文献... 28

致    谢... 29

附    录... 30

交换机:... 30

1章  引言

因为计算机的出现,给我们带来了INTERNET因特网也就是人们现在说的互联网。如今,互联网的问世带给人们翻天覆地的变化,以至于到哪都离不开网络,计算机网络的出现也改变了人们使用计算机的方式,让人们可以足不出户就可以做各种事情,在家就可以和世界各地的朋友联系,在家就可以办公……所以现在的网络这个东西已经渗透到生活中的各行各业,和我们的生活、工作、学习都非常息息相关。由于各种网络技术发展迅速,各行各业的企业都选择使用网络技术,提升整个企业的整体工作效率和中高层管理水平。企业网络建设的主要目的是平台化功能化,以提升企业内部员工的沟通,中高层的快速管理为主要方向。

本次毕业设计以对以往中小型企业案例的研究分析,结合中小型企业的自身要求,进而决定企业要进行真正的信息化网络化管理的实现。而建立网络化的企业管理,我们要进行的第一步就是企业内部局域网的建立,通过建立企业局域网,开发各种适用的专用及应用软件。在该管理平台和各种应用软件的已经部署的基础上,可以实现企业的资源共享,信息交流,高效管理。整个平台研发过程不断更新的企业局域网的研究思路,逐一完成了组建该局域网络的各个要求。这个管理网络主要以路由和交换为中心,大多使用的是思科的网络产品,相关设备的性能和应用支持可以通过思科产品手册查看。

1.1  研究背景

随着互联网的普及,一个明显的事实是:连接到网络中的人员和设备数量每时每刻都在增加。理论上说,IPv4 的可用地址只有大约232个,实际上只有大约2亿5千万个地址能够给设备使用。大量的报告显示,在地球上大约有65 .亿人,超过10%的人连接到了Internet。 这些统计数据让我们注意到一个令人担忧的现实情况:按照IPv4 的容量,地球上的每个人甚至不能拥有一台计算机,IPv4正在面临着地址枯竭的危机。针对这个问题,人们在IP地址的分配和保留IP地址方面做了许多工作和努力,来缓解日益恶化的地址缺乏问题。作为一类标准Internet 技术,NAT能实现让内部LAN通信运用一套IP地址,而外部通信采用另一套IP地址,这在现行IPv4协议环境下意义重大。通过NAT分离Internet与LAN地址,相对于单一的全球地址分配机制来说,很多地址可以节省下来。为许多申请不到很多可全球路由公共地址的企业提供了局域网内终端都可连网的解决方案,但是,NAT的缺陷是--个不容忽视的问题”。内部地址在公网上没有路由,用户可以访问别人,但难以被别人访问。在我国的IP网上,目前很多用户都在用着“内部地址”,这种现象毫无疑问对我国IP业务的发展有很大的潜在危害。这种危害实际上已经逐渐显示出来。随着IP电话在技术层面也逐渐走向成熟,与之相应的一系 列协议、标准的出炉,多媒体通信系列标准的组成部分H.323和IETF的SIP,以及基于这些标准协议的产品,如IP电话系统、媒体网关等得到了广泛应用,一些网络冲突也突显出来。比如当前一-些网络实体限制这样端到端的分组通过,这些实体指的就是防火墙和网络地址转换器。但随着我国IP电话的发展,这一系列标准,协议都将会应用到实际中去,因此当前NAT的研究方向都是基于各种标准,各种协议的NAT穿越技术。

1.2  研究意义

一开始电脑都是只能单机工作,然后每个部门之间也不能实现数据实时共享,就会导致公司效率很低很低,自然简简单单的手工管理模式肯定是不能满足现代化的需求了,导致公司不能很好的生存和发展下去。于是企业网络有了最初的网络需求,是来自于对LAN的资源共享、和开展业务的需要。当时最小规模的局域网都可能算要用一台可以共享的集线器HUB来和打印机连接和文件服务器的组建模式了。可是,在网络发展日新月异的今天,以上简单的共享的技术的网络肯定不能满足当前企业发展的需求了,如今,科技高速发展的今天,我们需要更高速、更安全、更可靠、更方便的网络技术来管理企业了。因此,如何用网络技术更好的满足现在企业的发展才是本课题的关键问题。

1.3  研究内容

本课题是在以NAT应用为基础的背景下,以穿越NAT技术为研究对象。首先介绍NAT的基本原理及常用技术类型,接下来通过对NAT在实际网络环境中的应用找出存在的缺陷,分析目前较为流行的解决方案的实现原理,最后提出了自己的解决方案,分析其理论可行性,在实际的试验中也得到证实是切实可行的,并对方案进行论证和简单的设计在第一章中简要叙述了NAT 的背景及本课题的研究目的等内容;第二章主要说明网络建设的可行性分析;第三章介绍了NAT的定义, NAT的原理,NAT 分类及NAT的技术类型等内容NAT应用存在的缺陷及当前各种NAT解决方案以及各自的优缺点;第四章较详细的介绍了自己的解决方案,并进行理论分析和试验验证,最后根据论证结果与现有解决方案做比较;第五章给出了一个解决方案实现的例子,以及相关的程序流图;第六章是对整个课题的一个测试。 

2章  系统分析

2.1  可行性分析

2.1.1技术可行性

NAT技术的基本原理。NAT技术能帮助解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部本地地址,通过NAT把内部本地地址翻译成内部全局地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT功能通常被集成到路由器或者单独的NAT设备中。

2.1.2 经济可行性

以太网具有低成本、高可靠性等等一系列的优点,所以它能获得广泛的应用[1]。以太网技术可以快速可靠地部署完成企业内部或者楼层之间的网络。再结合各种广域网技术,实现企业之间,甚至是全球互连的网络。与国际的Internet互连的网络中以太网居多数。现如今随着Internet的发展,对以太网不断的进行更新,它就更加稳定的占据局域网络产品的首位。

从企业的经济效益出发,通过局域网实现数据资源信息的共享,提高了内部与外部的交流与沟通,使得企业能在高速变化的网络信息中迅速掌握各项动态;实现办公自动化,针对内部的管理更加便捷,充分利用有关资源,大大提高了工作效率,有效的降低了成本。通过企业内部局域网,实现与互联网的分离,有效地提高网络安全,避免资源被盗取和恶意破坏所引起的不必要的损失。

2.1.3 操作可行性

按当前企业的发展状况来看,企业对信息的需求、收集、加工等工作不断的扩大,原本的单机的工作方式已经远远不能满足现在的需求,并且单机的工作方式不利于各个领域之间的信息、资源共享,导致了工作效率大打折扣,影响了企业的发展。一个高效率、高性能、高可靠的网络能使这些问题轻松的得到圆满的解决。因此,建立一套完善的企业网络系统,通过这个网络系统来改变现有的管理体制,以满足企业如今的网络需求是可行的。

2.2  需求分析

2.2.1  整体需求分析

随着科技的发展,企业的规模不断扩大,管理人员的队伍不断的扩大。目前的网络结构已经不能满足当前发展的需求。主要表现再有网络不稳定,网络抖动现象频发,采用的网络线路连接存在成本高,周期长,不易管理,不宜实施等难题。因此建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台,以高效率,高速度,低成本的方式提高公司员工的工作效率与执行效率是十分必要的。所以我们要采用高端的计算机,网络设备,软件,以先进,成熟的网络通信技术进行组网及先进的系统集成技术和管理模式。 建立一个高效的办公网络体系是该公司迫在眉睫的任务。

2.2.2  非功能需求

1.办公用户需求

企业网络的几种功能连接企业里面的所有电脑和网络设备; 同时支持约百台电脑访问Internet; 企业共有多个部门,不同部门都可以相互访问,但有限制;企业要有 自己的企业网站,从外网能够访问;企业要有自己的FTP系统;

2.运维人员需求

设备选型上必须在技术,上具有先进性,通用性,且必须便于管理,维护。应具备未来良好的可扩展性,可升级性,保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品,同时也要有好的售后服务,所有网络设备均可用适当的网管软件进行监控、管理和设置;采用国际统一的标准。

3.部门需求

公司网络部门主要有以下几个:

销售部;

人事部;

财务部;

经理室;

办公室1;

办公室2;

技术部。

一共8个部门

各部门要能访问内部邮件服务器,且各部门之间可以进行邮件收发。公司内部的计算机间采用公司内部的系统联系。公司内部网络与Interner之间采用1000M光纤接入。公司内部架设Web服务器,对Internet提供公司的形象和电子商务服务。为保证安全,Internet与公司内部网络间应该采用防护措施,防止外界对内部网络未经授权的访问。

4.性能需求

整个公司计划采用1000M光纤接入到运营商提供的Internet。性能需求:有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等;

根据本工程的特殊性,语音点和数据点使用相同的传输介质,即统一使用超5类4对双绞电缆,以实现语音、数据相互备份的需要;楼宇间的连接线缆暴露在室外,常年受到日晒雨林的影响和雷电的干扰,就目前常用的双绞线、细同轴电缆和粗同轴电缆和光缆等几

种有线传输介质来看,从抗干扰,抗腐蚀,高带宽及允许传输距离等几方面看,以光缆作传输介质最为适宜。

3章  相关技术综述

3.1 VLAN技术

VLAN (Virtual Local Area Network),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布 了用以标准化VL AN实现方案的IEEE 802. 1Q协议标准草案。虚拟局域网(VLAN),是指网络中的站点不拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。基于交换式以太网的虚拟局域网在交换式以太网中,利用VL AN技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说,-一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一VL AN的站点。在交换式以太网中,各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站点不拘泥于所处的物理位置,它们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。虚拟局域网技术使得网络的拓扑结构变得非常灵活,例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。

3.2OSPF技术

3.2.1 OSPF的工作原理

OSPF是Open Shortest Path First (开放最短路径优先)的缩写。它是IETF组织开发的一个基于链路状态的内部网关协议。目前针对IPv4协议使用的是OSPF Version2 ( RFC2328 )。

OSPF具有如下特点:

(1)适应范围广,支持各种规模的网络,最多可支持几百台路由器。

(2)快速收敛,可以在网络的拓扑结构发生变化后立即发送更新报文,使这一变化在自治系统中同步。

(3)无自环由于OSPF根据收集到的链路状态用最短路径树算法计算路由,从算法本身保证了不会生成自环路由。

(4)区域划分,允许自治系统的网络被划分成区域来管理,区域间传送的路由信息被进一步抽象,从而减少了占用的网络带宽。

(5)等价路由,支持到同一目的地址的多条等价路由。

当带有路由功能的网络设备运行OSPF协议之后,设备之间会开始交互hello报文,hello报文内通常包含了一些路由的基本信息,之后交互的是DBD报文,DBD报文, DBD报文简要描述了自身的LSA信息,通过收到的DBD报文来跟自身的LSA信息作对比如果部分LSA信息缺失,则发送LSR报文,请求发送缺失部分,这时对等体设备会发出一个LSU报文,LSU主要更新LSA信息,然后发送ack报文来确保安全,最后LSU存放进LSA数据库,形成LSDB,再运行SPF算法,计算出最优路径,形成路由表。

表3-1                      RIP和OSPF对比表

RIP

OSPF

基于距离矢量算法,以跳数作为度量方式,忽略带宽的影响。

基于链路状态,以链路开销作为度量方式,并把带宽作为参考值,度量方式更科学。

RIP的跳数限制为15个,限制了RIP的网络规模。

没有跳数限制,适用的网络规模更大。

按照路由通告进行路由更新和选择,路由器不了解整个网络拓扑,容易产生路由环路。

每台路由器都能够掌握全网拓扑,通过最短路径优先算法SPF(Shortest Path First)计算路由,不会产生路由环路。

收敛速度慢,路由更新会经历一段抑制和垃圾收集期,容易导致路由器之间的路由不一致。

      

收敛速度快,因为路由更新是及时的,并且能够快速传递到整个网络。

不能处理可变长子网掩码(VLSM)。

能够处理VLSM,灵活进行IP地址分配。

3.3 DHCP技术

DHCP,动态主机配置协议,前身是BOOTP协议,是一个局域网的网络协议,使用UDP协议工作,常用的2个端口:67(DHCP server),68(DHCP client)DHCP通常被用于局域网环境,主要作用是集中的管理、分配IP地址,使client动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。简单来说,DHCP就是一个不需要账号密码登录的、自动给内网机器分配IP地址等信息的协议。

DHCP报文共有一下几种:

  • DHCP DISCOVER :客户端开始DHCP过程发送的包,是DHCP协议的开始
  • DHCP OFFER :服务器接收到DHCP DISCOVER之后做出的响应,它包括了给予客户端的IPyiaddr)、客户端的MAC地址、租约过期时间、服务器的识别符以及其他信息
  • DHCP REQUEST :客户端对于服务器发出的DHCP OFFER所做出的响应。在续约租期的时候同样会使用。
  • DHCP ACK :服务器在接收到客户端发来的DHCP REQUEST之后发出的成功确认的报文。在建立连接的时候,客户端在接收到这个报文之后才会确认分配给它的IP和其他信息可以被允许使用。
  • DHCP NAK DHCP ACK的相反的报文,表示服务器拒绝了客户端的请求。
  • DHCP RELEASE :一般出现在客户端关机、下线等状况。这个报文将会使DHCP服务器释放发出此报文的客户端的IP地址
  • DHCP INFORM :客户端发出的向服务器请求一些信息的报文
  • DHCP DECLINE :当客户端发现服务器分配的IP地址无法使用(如IP地址冲突时),将发出此报文,通知服务器禁止使用该IP地址。

DHCP 工作流程:

3-1 DHCP工作流程

3.4 STP技术

STP(Spanning Tree Protocol)是生成树协议的英文缩写,可应用于计算机网络中树形拓扑结构建立,主要作用是防止网桥网络中的冗余链路形成环路工作。但某些特定因素会导致STP失败,要排除故障可能非常困难,这取决于网络设计。生成树协议适合所有厂商的网络设备,在配置上和体现功能强度上有所差别,但是在原理和应用效果是一致的。STP的基本原理是,通过在交换机之间传递一种特殊的协议报文,网桥协议数据单元(Bridge Protocol Data Unit,简称BPDU),来确定网络的拓扑结构。BPDU有两种,配置BPDU(Configuration BPDU)和TCN BPDU。前者是用于计算无环的生成树的,后者则是用于在二层网络拓扑发生变化时产生用来缩短MAC表项的刷新时间的(由默认的300s缩短为15s)。

Spanning Tree Protocol(STP)是在IEEE 802.1D 文档中定义,该协议的原理是按照树的结构来构造网络拓扑,消除网络中的环路,避免由于环路的存在而造成广播风暴问题。

Spanning Tree Protocol(STP)的基本思想就是按照"树"的结构构造网络的拓扑结构,树的根是一个称为根桥的桥设备,根桥的确立是由交换机或网桥的BID(Bridge ID)确定的,BID最小的设备成为二层网络中的根桥。BID又是由网桥优先级和MAC地址构成,不同厂商的设备的网桥优先级的字节个数可能不同。由根桥开始,逐级形成一棵树,根桥定时发送配置BPDU,非根桥接收配置BPDU,刷新最佳BPDU并转发。这里的最佳BPDU指的是当前根桥所发送的BPDU。如果接收到了下级BPDU(新接入的设备会发送BPDU,但该设备的BID比当前根桥大),接收到该下级BPDU的设备将会向新接入的设备发送自己存储的最佳BPDU,以告知其当前网络中根桥;如果接收到的BPDU更优,将会重新计算生成树拓扑。当非根桥在离上一次接收到最佳BPDU最长寿命(Max Age,默认20s)后还没有接收到最佳BPDU的时候,该端口将进入监听状态,该设备将产生TCN BPDU,并从根端口转发出去,从指定端口接收到TCN BPDU的上级设备将发送确认,然后再向上级设备发送TCN BPDU,此过程持续到根桥为止,然后根桥在其后发送的配置BPDU中将携带标记表明拓扑已发生变化,网络中的所有设备接收到后将MAC表项的刷新时间从300s缩短为15s。整个收敛的时间为50s左右。

生成树协议是IEEE 802.1D中定议的数据链路层协议,用于解决在网络的核心层构建冗余链路里产生的网络环路问题,通过在交换机之间传递网桥协议数据单元(Bridge Protocol Data Unit,简称BPDU),通过采用STA生成树算法选举根桥、根端口和指定端口的方式,最终将网络形成一个树形结构的网络,其中,根端口、指定端口都处于转发状态,其他端口处于禁用状态。如果网络拓扑发生改变,将重新计算生成树拓扑。生成树协议的存在,既解决了核心层网络需要冗余链路的网络健壮性要求,又解决了因为冗余链路形成的物理环路导致“广播风暴”问题。

但是,由于协议机制本身的局限,STP保护速度慢(即使是1s的收敛速度也无法满足电信级的要求),如果在城域网内部运用STP技术,用户网络的动荡会引起运营商网络的动荡。在MSTP 组成环网中,由于SDH保护倒换时间比STP协议收敛时间快的多,系统采用依然是SDH MS-SPRING或SNCP,一般倒换时间在50ms以内。但测试时部分以太网业务的倒换时间为0或小于几个毫秒,原因是内部具有较大缓存。SDH保护倒换动作对MAC层是不可见的。这两个层次的保护可以协调工作,设置一定的“拖延时间”(hold-off),一般不会出现多次倒换问题。

   生成树的端口状态分为以下几部分:

Blocking(阻塞状态):此时,二层端口为非指定端口,也不会参与数据帧的转发。该端口通过接收BPDU来判断根交换机的位置和根ID,以及在STP拓扑收敛结束之后,各交换机端口应该处于什么状态,在默认情况下,端口会在这种状态下停留20秒钟时间。

Listening(侦听状态):生成树此时已经根据交换机所接收到的BPDU而判断出了这个端口应该参与数据帧的转发。于是交换机端口就将不再满足于接收BPDU,而同时也开始发送自己的BPDU,并以此通告邻接的交换机该端口会在活动拓扑中参与转发数据帧的工作。在默认情况下,该端口会在这种状态下停留15秒钟的时间。

Learning(学习状态):这个二层端口准备参与数据帧的转发,并开始填写MAC表。在默认情况下,端口会在这种状态下停留15秒钟时间。

Forwarding(转发状态):这个二层端口已经成为了活动拓扑的一个组成部分,它会转发数据帧,并同时收发BPDU。

Disabled(禁用状态):这个二层端口不会参与生成树,也不会转发数据帧。

3.5 NAT技术

3.5.1 NAT技术原理

NAT安装在内部网络和外部网络之间具有NAT功能的设备上,在内部主机需要和外

部进行通讯时,NAT负责进行地址翻译工作,所以在NAT.上还必须维护一个翻译表(NAT

表)来存储相应的地址转换信息,如果-一个域有多个出口,那么还必须保证每个NAT具

有相同的翻译表。简单地说,NAT就是在局域网内部网络中使用内部地址,而当内部节

点要与外部网络进行通讯时,就在网关处,将内部地址替换成公用地址,从而在外部公

网(internet). 上正常使用。借助于NAT,私有(保留)地址的"内部'网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,

3.4.2 NAT相关术语

(1) 内部网络(Inside):指内部的局域网络,它与边界路由器上被定义为inside的网络

接口相连。

(2)外部网络(Outside): 指除了内部网络之外的所有网络,通常指因特网,它与边界.

路由器上被定义为outside的网络接口相连。

(3) 内部本地地址(Inside Local Addreds :指内部局域网中主机所使用的IP地址。

这些地址通常为私网地址。

(4) 内部全局地址(Inside Global Addreds :指内部局域网中的部分主机所使用的公

网IP地址。如放在局域网中的服务器,服务器所使用的合法公网IP 地址。

(5) 外部本地地址(Outside Local Address) :外部网络中的主机所使用的IP地址,这

些IP地址不一-定是公网地址。

(6) 外部全局地址(Outside Global Addreds :外部网络中的主机所使用的IP地址,

这些IP地址是全局可路由的合法公网IP地址。

(7) 地址池(Address Pool :指可用来供NAT转换使用的多个合法公网IP地址。

3.4.4 NAT技术的种类

(1)静态地址转换

是指将内部网络的私有IP 地址转换为公有IP 地址,IP地址对是一对-一

的,是一成不变的,某个私有IP 地址只转换为某个公有IP地址。借助于静态转换,

可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

(2)动态地址转换

动态NAT池(Pooled NAT)是采用动态分配的方法映射内部网络的和外部网络的IP地址。采用NAT池意味着可以在内部网中定义很多的内部用户,通过动态分配的办法,共享很少的几个外部IP地址。在动态NAT环境中能够同时和外界通讯的用户个数受限于地址池中的地址个数。当远程用户连接上之后,动态地址NAT就会分配给他一个未分配给其它用户的地址池中的IP地址,用户断开时,这个IP地址就会被释放而留待以后使用,由此可见动态NAT还必需维护-一个动态表格以便纪录私有IP地址和全局IP地址的对应关系,因为它们之间的对应关系不像静态NAT那样一-对应,也因此动态NAT要比静态NAT复杂得多。该引起注意的是,NAT池中动态分配的外部IP地址全部被占用后,后续的NAT翻译申请将会失败,并传回host unreachable的ICMP包,只有当一个用户结束连接,自动释放分配给它的全局地址后,新的地址转换要求才能被执行

(3)端口多路复用

端口多路复用(Port address Translation, PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享-一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet 的攻击。因此,目前网络中应用最多的就是端口多路复用方式。

3.4.5NAT技术现存问题

在IPv4网络中,公有IP地址的不足导致了用户网络中广泛采用了私有IP地址。为了实现用户私网中发出的IP包在公网上可路由,在用户网络与公网交界处需要专门的翻译设备----网络地址翻译器(NAT)实现IP报头公有地址和私有地址等信息的翻译。作为一类标准Internet技术,NAT 能实现让内部LAN通信运用一套IP地址,而外部通信采用另一套IP地址,这在现行IPv4协议环境下意义重大。通过NAT分离Internet(公共域)与LAN (专用域)地址,相对于单一的全球地址分配机制来说,很多地址可以节省下来。这一方面为许多申请不到很多可全球路由公共地址的企业提供了局域网内终端都可连网的解决方案,另一方面,由于私网内部的终端与外界不能直接进行通信,使得外部网络看不到内网的主机的存在,从而提供了内部网络一定的安全特性,在这方面起到了防火墙的作用。但是,NAT的缺陷也是-一个不容忽视的问题。

内部地址在公网上没有路由,用户可以访问别人,但难以被别人访问。在我国的IP网上,目前很多用户都在用着“内部地址”,这种现象毫无疑问对我国IP业务的发展,有很大的潜在危害。这种危害实际上已经逐渐显示出来。随着IP电话在技术层面也逐渐走向成熟,与之相应的一.系列协议、标准的出炉,如ITU-T的H. 323和IETF的SIP,以及基于这些标准协议的产品,如IP电话系统、媒体网关等得到了广泛应用,一些网 络冲突也突显出来。比如当前一些网络实体限制这样端到端的分组通过,这些实体指的就是防火墙和网络地址转换器。基于H.323、SIP、MGCP 和H.248等协议的语音和视频应用需通过信令消息中的IP地址和端口参数来实现目的地寻址,因此NAT穿越时不仅需要对TCP/UCP层的端口信息以及IP层的源地址和目的地址进行变换,还需对IP包载荷中的相关地址信息进行变换;但是NAT只是在数据包通过时修改数据包的源地址、源端口以及目的地址、目的端口,对IP包载荷中的任何信息包括地址信息都不进行修改,这使得通信不能正常进行,而这个问题也急需解决。

3.4.5 NAT技术工作过程

在终端上:

当应用程序想同服务器通信时,它将打开与源IP地址、源端口、目标IP地址、目标端口机网络协议相关联的套接字。这样可以识别通信所需的两个端点。当应用程序利用该套接字传输信息时,客户机的专用IP地址(源IP地址)和端口(源端口)将被插入数据包的源字段中。数据包的目标字段将包含服务器的IP地址(远程主机-目标IP地址)和端口。由于该数据包的目的地是该专用网络之外的某个位置,因此客户机将把该数据包抓发给默认的网关。这种情况下的默认网关就是NAT设备。

在NAT设备上:

NAT设备将截获该输出数据包。然后利用目标IP地址(服务器)、目标端口、NAT 设备的外部IP地址、外部端口、网络协议即可户机的内部IP地址和端口来创建端口映射。NAT设备将维护这些映射组成的表,并将该端口的映射存储在表中。外部IP地址和端口就是该数据通信用于取代内部客户机IP地址和端口的公共IP地址和端口。NAT设备随即将来自客户机庄泳内部IP弟子和端口的数据包的源字段转换为NAT设备.的公共IP地址和端口,从而对这些数据包进行转换。然后,数据包将通过外部网络发送出去,并最终到达目标服务器。

4章  系统设计

4.1 网络设计规划

4.1.1网络架构的设计原则

1、安全防范可靠性:可以保障整个网络构架的体系安全可靠性,在搭建网络构架在相关的核心和汇聚层与接入层网络设备进行了冗余备份处理设计,可以及时设置相关的安全策略来防止内部的数据泄密以及黑客攻击

2、遵守国家相关规定:在搭建这个企业网络时严格遵守了国家最新发布的82号令等相关的文件,相关的多媒体协议,以及通信技术更高的要求,还有国际上一些通用的标准技术和国家安全登记保护

3、经济实用性可扩充性:在可以满足企业的各种需求时,选择性价比最高的,也便于后面的升级的网络设备和服务器

4、先进实用性:在设计搭建企业网络时候,应该考虑使用用那一些先进可靠计算,来保证企业网络不落后与现代网络发展的潮流,可以根据时代的发展而顺势而为。

4.1.2 网络层次化结构设计

此次设计的中小型企业网络采用三层层次化结构设计,三层网络架构的设计,就是通过把复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有三个层次:核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层 (将工作站接入网络)。

4.2 网络拓扑图

图 4.1 网络拓扑图

4.3 IP地址规划

网络IP地址规划的原则是:

(1)简易性:IP地址分配应简单明了,避免在主要网络上采用较为复杂的掩码。

(2)连续性:为一个网络区域分配一串接连不断的地址,以此增加路由器的处理速度。

(3)可扩充性:为一个网络区域分配的地址应该具有一定的容量,便于在以后终端数量进一步增多时还能够保障地址的连续性。

(4)可管理性:地址的规划应该有主次之分,某个区域的地址的变化不能影响全局。

(5)安全性:网络地址应该按工作内容规划到不同网段以便进行管理。

表4.1 IP地址规划表

部门

网段

掩码

网关

销售部

10.10.0.0

255.255.255.0

10.10.0.254

财务部

10.10.1.0

255.255.255.0

10.10.1.254

人事部

10.10.2.0

255.255.255.0

10.10.2.254

办公室1

10.10.3.0

255.255.255.0

10.10.3.254

办公室2

10.10.4.0

255.255.255.0

10.10.4.254

技术部

10.10.5.0

255.255.255.0

10.10.5.254

经理室

10.10.6.0

255.255.255.0

10.10.6.254

DNS服务器

10.10.200.53

255.255.255.0

10.10.200.254

WEB服务器

10.10.200.80

255.255.255.0

10.10.200.254

邮件服务器

10.10.200.25

255.255.255.0

10.10.200.254

4.4  设备选型

设备选型的话推荐选择思科的设备,思科一直在网络设备这一块属于龙头企业,并且设备的稳定性和性价比高。

4.4.1核心层设备选型:

Cisco Catalyst 3750系列产品属于专业级别的企业用交换机 ,其在业界凭借出色的创新特点和领先的技术而成功赢得市场,在销量和评价方面表现不错。除此之外,我们也可以了解到Cisco Catalyst 3750系列交换机业界领先的实用性和高性价比优势突出,能够满足多种场景的不同需求。那么接下来宣布就要为大家详细介绍关于Cisco Catalyst 3750系列的参数:

表4.1 3750参数

产品类型   

企业级交换机

MAC地址表

12K

端口结构

非模块化

端口数量

26个

端口描述

24个以太网10/100Mpps端口,2个基于SFP的千兆位以太网端口

应用层级

三层

传输速率   

10/100/1000Mbps

交换方式

存储-转发

背板带宽

32Gbps

堆叠功能

可堆叠

包转发率

6.5Mpps

传输模式

支持全双工

VLAN

支持

产品尺寸

445×301×44mm

QOS

支持

网络管理

SNMP,CLI,Web,管理软件

Cisco Catalyst 3750 的产品外形图如下:

图 4.2 Cisco Catalyst 3750系列交换机

4.4.2汇聚层交换机

在汇聚层选择Cisco Catalyst 2960系列交换机,2960系列交换机因为其类似高端交换机的网络特性,并且高密度的固定端口,所以一般适用于园区网的接入交换机。2960系列交换机能支持非常多的高级交换特性,比如:网络准入控制(NAC)、高级质量服务(QoS)、集成安全、弹性等,而且价格可观,性价比高。可以为网络边缘提供智能服务。

在性能方面,2960系类交换机支持32Gbit/s的交换阵列;支持EtherChannel链路;最多提供48个10/100BASE-FX端口和2个10/100/1000BASE-T的以太网端口;最高可支持8Gbit/s的汇聚带宽;最多支持8000个MAC地址。同时也支持生成树冗余和802.3ad。

在安全性方面,2960系列交换机支持802.1x高级安特性;支持私有VLAN、端口安全、DHCP Snooping和接口跟踪;支持TACACS+和RADIUS验证等,可远程接入和远程管理并且在远程的会话中支持加密管理员的流量,有效地保护网络安全。

表4.2 2960参数

产品型号

2960

应用层级      

二层

产品类型      

网管交换机

传输速率

10/100/1000Mbps

处理器

APM86392 600MHz dual core

产品内存      

Flash内存:128MB

DRAM内存

512MB

背板带宽      

108Gbps

交换方式

存储-转发

包转发率

71.4Mpps

端口结构

非模块化

端口数量

48个

端口描述

24个10/100/1000接口,4个SFP接口

传输模式

全双工/半双工自适应

电源电压

AC 100-240V,50-60Hz

产品尺寸

45×279×445mm

产品重量

4kg

平均无故障时间

564,910小时

Cisco Catalyst 2960的产品外形图如下:

图 4-2 Cisco Catalyst 2960系列交换机

4.4.3 路由器选型

局域网出口路由器选择思科2911路由器,具体参数如下:

表4.3 2911参数

路由器类型   

多业务路由器

网络协议

IPv4,IPv6,静态路由,IGMPv3,PIM SM,DVMRP,IPSec

传输速率

10/100/1000Mbps

端口结构

模块化

扩展模块

1个服务模块插槽数+4个EHWIC插槽+2个双宽度EHWIC插槽(使用双宽度EHWIC插槽将占用两个EHWIC插槽)+1个ISM插槽+2个板载DSP(PVDM)插槽

防火墙

内置防火墙

Qos支持

支持

VPN支持

支持

产品内存

DRAM内存:512MB,最大2GB

FLASH内存:256MB

FLASH内存:256MB

电源电压

AC 100-240V,47-63Hz

产品认证

UL 60950-1,CAN/CSA C22.2 No. 60950-1,EN 60950-1,AS/NZS 60950-1,IEC 60950-1

产品尺寸

44.5×438.2×304.9mm

产品重量

9.5kg(完整配置)

环境标准

工作温度:0-40℃

工作湿度:10%-85%RH

工作湿度:10%-85%RH

存储温度:-40-70℃

存储温度:-40-70℃

存储湿度:5%-95%RH

存储湿度:5%-95%RH

其它性能

基于硬件的嵌入式密码加速(IPSec+SSL)

下图为2911的产品外形图:

 

图4.3 2911路由器

4.5 综合布线原则

综合布线系统是建筑物或建筑群内的信息传输系统。它使话音和数据通信设备、交换机设备、信息管理系统及设备控制系统、安全系统彼此相连,也使这些设备与外部通信网络连接。它包括建筑物到外部网络或电话局线路上的连线、与工作区的话音或数据终端之间的所有电缆及相关联的布线部件。布线系统由不同系列的部件组成,其中包括:传输介质、线路管理硬件、连接器、插座、插头、适配器、传输电子线路、电器保护设备和支持硬件。

建筑物结构化综合布线网是由六个独立的子系统组成:

工作区(WORK AREA)子系统---由工作区内的终端设备连接到信息插座的连接电缆组成。常用设备是计算机(PC,工作站,中端,打印机),电话,传真机等设备。

管理子系统(ADMINISTRATION)--由交叉连接、直接连接配线的(配线架)连接硬件等设备所组成。实现配线管理,其设计很完善,使用颜色编码,很容易追踪和跳线,体积小比传统配线箱节省50%空间。

水平子系统(HRIZONTAL--由每一个工作区的信息插座开始,经水平布置一直到管理区的内侧配线架的线缆所组成。实现信息插座和管理子系统间(跳线架)的连接,常用六类双绞线实现这种连接。

主干线(RISER; BACKBONE)子系统---由建筑物内所有的(垂直)干线多对数线缆组成,即多对数铜缆和多模多芯光纤以及将此线缆连接到其他地方的相关支撑硬件所组成。实现计算机设备、程控机PBX和各管理子系统间的连接。常用通信介质是光纤,使系统传输率达到1000MBPS以上。

设备间子系统(EQUIPMENT)---由设备间的线缆、连接器和相关支撑硬件组成。实现布线系统与设备的连接,主要为配合不同设备有关的适配器。

建筑群子系统---将一个建筑物中的线缆延伸到建筑物群,实现楼宇之间布线,连接到另一些建筑物中的通讯设备和装置上,它由电缆、光缆和入楼处线缆上过流过压的电器保护设备等相关硬件组成。

综合布线系统本身具有很高的兼容性,根据用户要求,本方案为开放式结构,能支持话音及多种计算机数据和图像传输系统。系统能兼容话音、数据、图像的传输,并可与外部公用网络进行连接。

5章  详细设计

在通信网络当中,应当对网络的生存能力和业务能力进行共同的考虑,才能更好的确保网络功能的正常发挥。在设计网络可靠性的时候,应当满足网络可行性,也就足限定费用条件的限制下,最大程度上提高网络的可行性。或者是在满足网络可行性的条件下,尽可能降低费用。    

在网络设计方面,已经拥有很多的研究成果,但是,这些相关的研究只对网络的业务能力进行关注,却缺乏网络可靠性方面的思考。如果有一些网络部件失效,将会极大的影响网络的业务性能。因此在进行网络设计时,既要考虑到网络的业务能力,也要充分的认识到网络的可靠性

在COST239欧洲光纤网的设计过程中,采用了进化规划和遗传算法,有效的降低了网络造价,同时具有网络冗余。其网络拓扑结构为网状,适用于具有对等关系、节点数较少的广域网拓扑的设计。此外,网络拓扑的可靠性设计也十分重要。对此环形网络可靠性较高,但设计难度较高.尤其是双向自愈环形网络更为复杂。因此,可采用遗传算法来设计环形网,同时兼顾路由的选择和带宽的分配。

在子网划分的过程中,可以建立新的网络适应度函数,这样能够极大的提高子网划分的平衡性。结仓实际情况,可对网络划分的方式进行优化和改送, 使其能够自动进行网络的划分。由于遗传法具有一.定的局限性,容易引起局部最优的问题,可以在遗传算法中利用慎拟退火法米改进其中的选择算子。同时在变异操作中,进行白适应控制技术的应用.能够有效提高收敛速度.改进子网划分的逼近精度。

在路由选择方面,进化算法已经进行了很多的相关研究。例如,对于计算机通信的容量分配和路由选择,也就是分别选择一条路由给每一对通信节点,同时提供一个容星值给网络中的每一 条链路。这样,就能够有效的降低网络规划设计的整体费用。此外,在电信网.络当中,对于带宽分配、波长分配频率分配等方面问题的解决.都很好的体现出了进化算法中较高的通用性和鲁棒性,同时方法十分简单

本项目的网络设计考虑到中小型企业的日常办公和业务办理,网络拓扑结构采用的是双线冗余的机制,网关部署核心交换机,核心负责查询路由表进行转发,互联网接入设备负责NAT的转换和内部服务器的映射工作,让互联网用户通过设备配置的静态NAT映射可直接访问内部WEB服务器来浏览企业官网,汇聚交换机主要就是上联核心交换机,下联各部门接入交换机,让核心上的流量数据清晰。网络部署原则:

先进性原则:以先进、成熟的网络通信技术进行组网,支持数据、语音和视频图像等多媒体应用,采用基于交换的技术代替传统的基于路由的技术,并且能确保网络技术和网络产品在几年内基本满足需求。、

开放性原则:企业网的建设应遵循国际标准, 采用大多数厂家支持的标准协议及标准接口, 从而为异种机、异种操作系统的互连提供便利和可能。

可管理性原则:网络建设的一项重要内容是网络管理,网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下,将大大提高网络的运行速率,并可迅速简便地进行网络故障的诊断。

安全性原则:信息系统安全问题的中心任务是保证信息网络的畅通,确保授权实体经过该网络安全地获取信息,并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。

灵活性和可扩充性:选择网络拓扑结构的同时还需要考虑将来的发展,由于网络中的设备不是一成不变的,如需要添加或删除一个工作站,对一些设备进行更新换代,或变动设备的位置,因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。

稳定性和可靠性:可靠性对于一个网络拓扑结构是至关重要的, 在局域网中经常发生节点故障或传输介质故障,一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外,同时还应具有良好的故障诊断和故障隔离功能。

高带宽:由于企业网络应用的特殊性 , 它对整个网络系统的性能要求相对来说比较高。 其中,网络速率要求主要的信息点100M交换到桌面, 园区网中各终端间具有快速交换功能。为了支持数据、话音、视像多媒体的传输能力,在技术上要到达当前的国际先进水平。 要采用最先进的网络技术, 以适应大量数据和多媒体信息的传输, 既要满足目前的业务需求, 又要充分考虑未来的发展。 为此应选用高带宽的先进技术。

QoS 保证:随着网络中多媒体的应用越来越多, 这类应用对服务质量的要求较高,本网络系统应能保证 QoS,以支持这类应用。

IP Multicast:由于园区网络中包含许多多媒体应用通信, 会存在许多的广播信息, 占用大量的带宽资源。所以网络系统应能支持 IP Multicast ,可以减少网络中不必要的广播,节省主干的带宽。

符合IP发展趋势的网络:在当前任何一个提供服务的网络中, 对IP的支持服务是最普遍的, 而IP技术本身又处在发展变化中,如 IpV6,IP QoS,IP Over SONET等等新兴的技术不断出现,企业网络必须跟紧 IP发展的步伐,也就是必须选择处于 IP发展领导地位的网络厂商。

5.1 核心层设计

图5.1 核心层设计

核心层的功能主要是实现骨干网络之间的优化传输,是所有流量的最终承受者和汇聚者核心层设计任务的重点通常冗余能力、可靠性和高速的传输。随着网络时代的到来,企业的网络也在不停地发展业务流量、分支接入 都在考验着核心网络的承载能力,因此对核心层网络的设计以及规划也变得具有非常重要的现实意义。网络核心层主要功能为:负责骨干网络之间的优化传输、实现业务服务器(数据中心)的高速接入、构建统一的数据传输交换中心、安全控制中心与网络管理中心。因此,在网络核心层设计时,网络的高性能与高可靠性是设计的重点。将来系统建设完成后,网络核心层主要包括:网络核心交换机、网络核心路由器,核心设备间采用高速链路实现互连,核心层内的设备配置OSPF来保证网络路由的可靠性;并且交换机还为各终端设备提供DHCP地址下发;路由器属于互联网接入,要拒绝公网地址直接访问内部网络,同时要保证终端用户上网和服务器的业务对外正常。

局域网采用星型网络拓朴结构,星型拓朴结构为现在较为流行的一种网络结构,它是以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理,因此,对中央节点的要求比较高。优点是网络结构简单,易于维护,便于管理(集中式);每台入网机均需物理线路与处理机互连,线路利用率低;处理机负载重(需处理所有的服务),因为任何两台入网机之间交换信息,都必须通过中心处理机;入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。连接设备采用可网管的24口交换机,这样更能保护内部数据,安全性更好。局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。为移动办公的需要,公司配有笔记本电脑,办公电脑建议采用品牌的商用机,商用机运行比较稳定,而且比较耐用,运算速度较快,较适于开发使用。

整个网络的主干部分和各建筑物内部的主干网络结构确定后,接下就要进行主要网络设备,如各种服务器、边界路由器和防火墙等的连接了。首先在整个网络的机房内把网络根域控制器和额外域控制器均连接在校园网核心交换机高速端口上,整个网络的边界路由器则根据实际需要选择,通常直接利用中间节点路由器即可,因为中间节点路由器除了具有局域网内部网段连接功能外,同样具有外部网络连接功能,支持多种接入方式。然后再把边界防火墙接在路由器的一个WAN端口上。另外,还需要配置一台管理控制台计算机,直接连接在机房核心交换机的普通端口上。在各子网设备间同样把子网的域控制器连接在子网设备问交换机高速端口上,同样在子网设备间和建筑物设备问都可以部署一台管理控制计算机,连接在交换机的普通端口即可。

最后再把各建筑物内部的用户终端连接在各建筑物内部各楼层交换机的普通端口上即可,要注意的是各交换机所连接的用户终端数和负荷要尽可能均衡,同时要为每台交换机预留至少4个以上的端口用于维护和未来扩展。

核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。

5.2 汇聚层设计

图5.2汇聚层设计

汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计,以满足客户需求。园区网可基本保持原有的二层网络架构,并在自己的园区网中使用专用IP地址块,楼层之间采用千兆光纤相连,建议划分为若干个子网,也可以划分为多个VLAN,以隔离广播流量,提高网络工作效率,并提高安全性。

交换机的网络扩展主要体现在两个方面:一是用于与下级交换机连接的端口,另一个是用于连接后续添加的工作站用户。与下级交换机连接方面,一般是通过高带宽端口进行的,毕竟下级交换机所连用户都是通过这个端口进行的。如果交换机提供了Uplink(级联)端口,则直接用这个端口即可,因为它本身就是一个经过特殊处理的端口,其可利用的背板带宽比一般的端口宽。但如果没有级联端口,则只能通过普通端口进行了,这时为了确保下级交换机所连用户的连接性能,最好选择一个较高带宽的端口。本示例中可以留下一个干兆位端口用于扩展连接,当然在实际工作中,这个高带宽端口还是可以得到充分利用的,只是到需要时能重新空余下来即可。

在企业网中,汇聚层是核心层和接入层之间的分界点。它能帮助定义和区分核心层。汇聚层的功能是对网络的边界进行定义。对数据包/帧的处理应该在这一层完成。在中小型企业的网络环境中,汇聚层设计了两台交换机,与接入交换机两两互联,物理链路冗余,某台汇聚交换机故障时只需要等待STP生成树收敛时间完成,保证用户的办公和上网体验。

汇聚层:汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中,应该选用支持三层交换技术和VLAN的交换机,以达到网络隔离和分段的目的。

5.3接入层设计

图5.3接入层设计

接入层向本地网段提供工作站接入。交换机端口总数不等于可连接的工作站用户数,因为交换机中的一些端口还要用来连接那些不是工作站的网络设备,如服务器、下级交换机、网络打印机、路由器、网关、网桥等。假设,网络中有一台专门的服务器、一台宽带路由器和一台网络打印机,所以网络中可连接的工作站用户总数就为26(24个1 O/1 00Mbps端口+2个1 O/1 00/1 00Mbps端口)一3=23 个。如果要保留一个端口用于网络扩展(在小型网络中保留一个扩展端口基本上可以满足,因为在一般的交换机上还有一个用于级联下级交换机的级联端口Uplink),则实际上可连接的最多工作站用户数为22个。在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。接入层因为部署在楼层弱电间内,需要注意的就是各个部门之间的VLAN需要注意划分。

5.3  关键性技术及难点

这种扩展型星型网络比起前面介绍的小型星型网络要复杂得多,在其中涉及到的网络技术也复杂许多。下面是设计这类网络结构的基本思路。

采用白上而下的分层结构设计

首先确定的是核心交换机的连接,然后是会聚层交换机的连接。再次是边缘层的交换机连接。

把关键设备冗余连接在两台核心交换机上

要实现核心交换机负载均衡和冗余配置,最好对核心交换机之问、核心交换机与骨干层交换机之间,以及核心交换机与关键设备之间进行均衡和冗余连接和配置。

连接其他网络设备

把关键用户的工作站和大负荷网络打印机等设备连接在核心交换机,或者会聚层交换机的普通端口上;把工作负荷相对较小的普通工作站用户连接在边缘交换机上。

本项目采用的关键技术为NAT地址转换、OSPF动态路由协议以及DHCP动态主机协议的地址下发和STP生成树的链路冗余。

主要难点在于互联网接入路由器对于静态映射需要格外注意,端口一一对应,需要精确到某个协议的某个端口。

5.4 存在问题和解决办法

就是STP生成树的根桥问题,需要了解生成树选举规则,并根据规则和最优路径来指定根设备,或者手动对设备指定根桥来确保网络转发正常,避免MAC地址抖动等影响网络体验感的事件发生

6章  系统测试

6.1  配置实施

6.1.1 出口路由器

图5.1 出口路由器

PNAT与静态NAT配置:

access-list 1 permit any   //创建供NAT调用的ACL列表

ip nat inside source list 1 interface GigabitEthernet0/2 overload  //配置源地址转换

ip nat inside source static tcp 10.10.200.80 80 188.245.202.1 80   //内部WEB服务器映射互联网

出口路由器作为互联网接入设备,对于整个局域网网络来说是至关重要的一个设备,它既负责着内部网络的上网转换,又对外部访问内部服务器的业务做了一个目的转换,如果出口路由器宕机,那么将造成整个局域网无法访问互联网,企业发布在公网上的业务自然也是会中断的。

6.1.2 核心交换机

图6.2 核心交换机

DHCP地址池配置:

ip dhcp pool 10          //创建地址池

network 10.10.0.0 255.255.255.0   //设置DHCP下发网段

default-router 10.10.0.254     //指定网关

dns-server 10.10.200.53       //指定下发DNS地址

交换机开启路由功能:

ip routing

核心交换机对于整个局域网来说就是一个中转设备,内部终端设备的网关部署在核心上,核心交换机通过内部交换实现了各个网段的互联互通,并且与路由器之间配置了OSPF的骨干区域路由,让本地网段可自动发送至DR让路由器学习,无需人工手动进行配置,方便了运维人员运维。

6.1.3 汇聚交换机

图6.3 汇聚交换机。

接口配置:

interface ran FastEthernet0/1-10

sw tr en do

sw mo trunk

汇聚层设备主要与核心和接入层线路都是交叉互联的,通过STP生成树协议的特点来对网络环路进行破环,汇聚承接了所有接入交换机的流量,并且链路备份可让网络具有更高的可靠性。

6.1.4接入交换机

图6.4 接入交换机

销售部交换机接口配置:

interface FastEthernet0/1

switchport mode trunk

interface FastEthernet0/2

switchport mode trunk

interface FastEthernet0/3

switchport access vlan 10

接入层设备是终端接入的信息点了,设备的端口数多,设置两条上联线做主备来实现冗余,上联口配置trunk并允许VLAN通过,终端则就按需配置相应的VLAN号,让终端可接入网络中。

6.1.5 服务器配置

图6.5 DNS服务器配置

DNS服务器的主要作用就是在于域名解析,设立一个域名通过与IP地址的对应关系配置,实现访问域名自动解析到相应的IP地址,本地DNS服务器配置了邮件服务器的解析和WEB服务器的内网地址解析和外网地址解析。

图6.6 WEB服务器配置

局域网的内部搭建了WEB服务器,服务器对内部和外部开启HTTP功能,并且按需修改index首页内容,通过DNS的解析和设备的公网发布让局域网以及互联网用户打开WEB服务器都能同步到此项内容。

图6.7 email服务器配置

邮件服务器设置域名为email.com,创建usre1和user2两个账号,开启服务后,通过内网的DNS服务器解析此域名就可以通过账户密码登录的方式正常的连接到邮件服务器来进行收发邮件。

6.2  连通性测试

6.2.1 终端DHCP自动获取

终端通过核心交换机的DHCP地址池的下发自动获取到了IP、网关和DNS。

图6.8 DHCP自动获取

6.2.2 部门之间互访测试

销售部ping人事部和办公室1测试,返回结果正常。

图6.9 局域网互访

6.2.3 OSPF效果测试

核心交换机上查看OSPF的邻接关系,返回结果为FULL。

图6.10 OSPF邻居建立成功

路由器查看路由器,发现OSPF的路由已经成功写进路由表里了,与邻居的关系建立和路由学习正常。

图6.11 路由器学习到的OSPF路由

6.2.4 终端上网测试

人事部访问互联网的PC地址,测试正常。

人事部访问互联网正常

路由器监测到人事部访问互联网,在设备上做了源地址转换。

路由器nat信息

6.2.5 email邮件服务器测试

   经理室设置user1,财务部配置user2的邮箱信息,通过经理室发送邮件到user2@email.com,财务部正常接收邮件,测试正常。

经理室发送邮件财务部接收

6.2.6 静态NAT访问测试

   互联网PC通过设置内部映射出公网的DNS地址,成功解析了域名为www.internet.com的网站服务器。

互联网PC通过内部DNS解析访问WEB服务器

7章  总结

本次设计的题目为基于静态NAT的中小企业服务器网络端口映射与实现。通过本次的毕业设计,开始时,我对毕业设计和论文的写法做法都一头雾水,完全不知道要从哪开始动手,后来,通过导师和同学的帮助,让我对毕业设计和论文所需了解得知识越来越丰富,再加上资料得查询,对网络知识的不断加深。在搜集资料后,我在电脑中都进行分类的整理,然后针对自己不同部分的写作内容进行归纳和总结。尽量使我的资料和论文的内容符合,这有利于论文的撰写。然后及时拿给老师进行沟通,听取老师的意见后再进行相关的修改。老师的意见总是很宝贵的,可以很好的指出我的资料收集的不足以及需要什么样的资料来完善文章。一步一脚印的对毕业设计进行设计、搭建、调试、测试再到最后的设计完成。这一阶段的学习让我对网络这个IT方向更加的了解和深入,也对这个行业有了更深的研究,但是根据目前所学的技术,本课题的设计还存在很多不够成熟的地址,我会在接下来的学习和工作中,对此次设计不断的完善和改进。不足之处如下:

  1. 发现局域网的安全系数不够高,网络安全性保障不高,没办法实现全面的阻止互联网的一切可疑信息攻击以及恶意的DOS请求,也无法对局域网内的终端采取防病毒措施。
  2. 未实现对内部人员使用的网络应用进行管控,因此增加了网络安全的不确定性。

    录

附录1:核心源代码

交换机:

Vlan 10           //创建VLAN10

Vlan 11           //创建VLAN11

Vlan 12         //创建VLAN12

Vlan 13       //创建VLAN13

Vlan 14       //创建VLAN14

Vlan 15      //创建VLAN15

Vlan 16     //创建VLAN16

Vlan 254      //创建VLAN254

ip dhcp pool 10       //创建DHCP地址池

network 10.10.0.0 255.255.255.0  //地址池网段

default-router 10.10.0.254      //网关地址

dns-server 10.10.200.53       //DNS地址

ip dhcp pool 11 //创建DHCP地址池

network 10.10.1.0 255.255.255.0  //地址池网段     

default-router 10.10.1.254//网关地址

dns-server 10.10.200.53  //DNS地址

ip dhcp pool 12 //创建DHCP地址池

network 10.10.2.0 255.255.255.0//地址池网段

default-router 10.10.2.254//网关地址

dns-server 10.10.200.53  //DNS地址

ip dhcp pool 13 //创建DHCP地址池

network 10.10.3.0 255.255.255.0//地址池网段

default-router 10.10.3.254//网关地址

dns-server 10.10.200.53  //DNS地址

ip dhcp pool 14 //创建DHCP地址池

network 10.10.4.0 255.255.255.0//地址池网段

default-router 10.10.4.254//网关地址

dns-server 10.10.200.53  //DNS地址

ip dhcp pool 15 //创建DHCP地址池

network 10.10.5.0 255.255.255.0//地址池网段

default-router 10.10.5.254//网关地址

dns-server 10.10.200.53  //DNS地址

ip dhcp pool 16 //创建DHCP地址池

network 10.10.6.0 255.255.255.0//地址池网段

default-router 10.10.6.254//网关地址

dns-server 10.10.200.53  //DNS地址

ip routing   //开启路由功能

spanning-tree mode pvst   //STP模式

spanning-tree vlan 10-4094 priority 24576  //STP优先级设置

interface FastEthernet0/1    //进入接口

no switchport    //关闭交换模式

ip address 172.31.1.1 255.255.255.0   //设置IP

interface FastEthernet0/2    //进入接口

switchport trunk encapsulation dot1q    //接口封装dot1q

switchport mode trunk       //设置trunk口

!

interface FastEthernet0/3 //进入接口

switchport trunk encapsulation dot1q//接口封装dot1q

switchport mode trunk //设置trunk口

!

interface FastEthernet0/4 //进入接口

switchport trunk encapsulation dot1q//接口封装dot1q

switchport mode trunk //设置trunk口

!

interface FastEthernet0/5 //进入接口

switchport trunk encapsulation dot1q//接口封装dot1q

switchport mode trunk //设置trunk口

!

interface FastEthernet0/6 //进入接口

switchport trunk encapsulation dot1q//接口封装dot1q

switchport mode trunk //设置trunk口

interface Vlan10  //进入VLAN接口

ip address 10.10.0.254 255.255.255.0  //配置VLAN地址

!

interface Vlan11//进入VLAN接口

ip address 10.10.1.254 255.255.255.0 //配置VLAN地址

!

interface Vlan12//进入VLAN接口

ip address 10.10.2.254 255.255.255.0 //配置VLAN地址

!

interface Vlan13//进入VLAN接口

ip address 10.10.3.254 255.255.255.0 //配置VLAN地址

!

interface Vlan14//进入VLAN接口

ip address 10.10.4.254 255.255.255.0 //配置VLAN地址

!

interface Vlan15//进入VLAN接口

ip address 10.10.5.254 255.255.255.0 //配置VLAN地址

!

interface Vlan16//进入VLAN接口

ip address 10.10.6.254 255.255.255.0 //配置VLAN地址

!

interface Vlan254//进入VLAN接口

ip address 10.10.200.254 255.255.255.0 //配置VLAN地址

!

router ospf 1  //创建OSPF

network 172.31.1.0 0.0.0.255 area 0     //宣告本地网段设置区域为0

network 10.10.0.0 0.0.0.255 area 0       //宣告本地网段设置区域为0

network 10.10.200.0 0.0.0.255 area 0    //宣告本地网段设置区域为0

network 10.10.1.0 0.0.0.255 area 0//宣告本地网段设置区域为0

network 10.10.2.0 0.0.0.255 area 0//宣告本地网段设置区域为0

network 10.10.3.0 0.0.0.255 area 0//宣告本地网段设置区域为0

network 10.10.4.0 0.0.0.255 area 0//宣告本地网段设置区域为0

network 10.10.5.0 0.0.0.255 area 0//宣告本地网段设置区域为0

network 10.10.6.0 0.0.0.255 area 0//宣告本地网段设置区域为0

路由器:

interface GigabitEthernet0/0       //进入接口

ip address 172.31.1.2 255.255.255.0  //配置接口IP

ip nat inside  //nat内网口

interface GigabitEthernet0/2   //进入接口

ip address 188.245.202.1 255.255.255.0   //设置接口IP

ip nat outside  //设置nat外网口

router ospf 1   //创建OSPF

network 172.31.1.0 0.0.0.255 area 0 //宣告内网网段并设置区域0

default-information originate   //通告缺省路由

ip nat inside source list 1 interface GigabitEthernet0/2 overload   //源地址转换设置为G0/2出接口地址

ip nat inside source static tcp 10.10.200.80 80 188.245.202.1 80  //服务器映射80端口至互联网

ip nat inside source static tcp 10.10.200.53 53 188.245.202.1 53   

//DNS映射53端口至互联网

ip nat inside source static udp 10.10.200.53 53 188.245.202.1 53

//DNS映射53端口至互联网

ip route 0.0.0.0 0.0.0.0 188.245.202.2   //默认路由配置

access-list 1 permit any    //ACL 1 允许所有流量

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!