中型网络综合配置与安全配置.doc

《中型网络综合配置与安全配置.doc》由会员分享，可在线阅读，更多相关《中型网络综合配置与安全配置.doc（33页珍藏版）》请在三一办公上搜索。

1、江 西 理 工 大 学 南 昌 校 区毕 业 设 计（论文）题 目：中型网络综合配置与安全配置系 ：专 业：班 级：学 生：学 号：指导教师： 职称：引 言51.网络技术介绍51.1因特网协议51.1.1、Tcp/Ip协议51.1.2、主机到主机层协议61.1.3、因特网层协议71.2 路由与交换技术81.2.1 什么是路由81.2.2 什么是交换81.2.3 局域网交换机的种类和选择91.3 VLAN虚拟局域网91.3.1 VLAN简介91.3.2 VLAN的优点101.3.3 VTP：思科VLAN中继协议（VTP：Cisco VLAN Trunking Protocol）101.4 NAT

2、地址转换技术111.4.1 NAT原理简介111.4.2 NAT技术类型111.5访问控制列表 ACL（Access Control List，ACL)121.5.1 概述121.5.2 ACL的作用122.项目分析132.1 案例概况132.2 案例技术要求142.3 案例深入分析142.3.1 拓扑结构分析142.3.2 VLAN划分原则142.3.3 其他网络技术的使用152.4 网络布线工程152.5 项目设计总结152.5.1 总拓扑图：152.5.2 IP地址及VLAN划分对照表163.网络设置与调试183.1试验环境说明183.2 交换机配置部分183.2.1 配置前说明183.

3、2.2 一楼交换机配置命令183.2.3 二楼交换机配置203.2.4 三楼交换机配置203.2.5 主交换机配置203.2.6 VTP配置213.2.7 默认网关223.3 路由器配置部分233.3.1 基本配置233.3.2 路由协议配置243.3.3 NAT地址转换配置243.3.4 访问控制列表配置254.项目验收测试284.1 网络性能测试284.2 网络安全测试29结 论30谢 辞31参考文献32摘要在当今社会，全球经济发展和信息技术不断发展，不断结合；网络已经成为企业领导者和员工传递信息和管理的主要途径。在淘汰了复杂的手工管理后，自动化和智能化的计算机管理逐渐被企业所认可，特别是

4、现在特别流行的公司局域网。企业内部网络的架设，不仅让企业的运作更有效率，而且带来了管理上的便捷。起初，企业内部架设网络仅仅是为了实现企业内部信息的共享，帮助员工快速的查找到他们需要的资料。但是后来全问题逐步凸显了出来，机密文件外泄、得到权限的用户不能行使自己的权利，对企业的利益造成了损害。随需求确定安全管理策略随着网络拓扑结构、网络应用以及网络安全技术的不断发展，安全策略的制订和实施是一个动态的延续过程。当然可以请有经验的安全专家或购买服务商的专业服务。但是一个单位的网络安全服务建设不可能仅依靠公司提供的安全服务，因为商业行为与企业安全有本质差别，不是所有的网络都需要所有的安全技术，何况有些安

5、全技术本身并不成熟，只有采取适当防护，重点突出的策略，才能有的放矢，不会盲目跟风。本文通过进行对一个公司的内部网络的设计、调试及安全方面的配置。解决了上面所考虑到的一些问题，具有一定的参考价值。关键词：企业内部网络管理，网络安全管理Medium Network Configuration and Security ConfigurationAbstractIn now society，global economic development and information technology continuous development and integration; Networks ha

6、ve become leaders and impart information and the staff are the main channels. Out in a complex manual management, automation and management of intelligent computers have been gradually recognized by the enterprise, Especially now extremely popular network management. Enterprises to set up internal n

7、etwork, not only to allow enterprises to work more efficiently, but also create a convenient management. Initially, the internal network is only set up in order to achieve the enterprises internal information sharing, helping staff to quickly find the information they need. But he highlighted securi

8、ty problems out, confidential documents leaked, the competence of the users to be unable to exercise their rights, to the interests of the damage caused. With the demand for security management strategy identified with the network topology, network applications and network security technology contin

9、ues to develop, security strategy formulation and implementation is a dynamic process of renewal. Requests can certainly experienced security experts to purchase services or professional services. However, a unit of Internet security service building company can not rely solely on the provision of s

10、ecurity services, because commercial and enterprise security is a fundamental difference, and not all of the needs of all network security technology, Moreover, some security technology itself is not mature enough, only to take appropriate protection, focused strategy to targeted, not blindly follow

11、 the trend. By conducting a companys internal network design, debug and security configuration. Solve the above into account some issues with reference value. Keywords：Enterprise network management，Network Security Management引 言从1973年第一个局域网ALTO ALOHA（事实上它的创造者叫它Ethernet，也就是我们现在所说的以太网）的出现已经有30余年的历史了。从

12、一开始2.94Mbps的传输速率到现在已经开始普及的千兆以太网其中过程可谓曲折。中间变革不仅仅从网络拓扑上，传输介质，网络标准也不断更新换代。现在网络化办公，自动化办公已经从当年的设想演变成现在普及使用，其功能上甚至有胜于当年的设想蓝图。SOHO是以前上班族的梦想，现在已经是现代白领生活中的一部分了。在家办公，自由职业者由于网络这个媒介的日渐成熟而成为现实。政府以及企业都在实行网络化办公。不仅方便快捷提高了效率而且便于管理。异地办公，分公司访问总公司的服务器以查找需要的资料，这一方式正在大中型企业里开始应用。其好处可想而知。而且网络权限的设置规定了，哪些人可以访问机密文件，哪些人则被拒绝。安全

13、系数也比较高，不用担心泄密问题。当然没有完全安全的网络环境，所以网络专家们仍在继续研究安全技术以使网络环境更加的安全，这不仅仅是技术层面上的问题，这还涉及到管理体制的方法。本次论文将要构建的一个小型公司网络就是一个典型的公司办公网络。不仅要保证一个稳定的网络运行，而且要保证网络环境的安全确保公司的机密资料不会被未授权的人盗取。当然我只能做到网络技术层面上的万无一失，如果人员职能问题上出现漏洞不是网络安全所能解决的。1网络技术介绍 1.1因特网协议1.1.1、Tcp/Ip协议TCP/IP（传输入控制地议/网际协议）是一种网络通信协议，它规范了网络上的所有通信设备，尤其是一个主机与另一个主机之间的

14、数据传输格式以及传送方式。TCP/IP是因特网的基础协议。如果能够正确地设计和应用，一个Tcp/Ip网络将是一个可靠的并富有弹性的网络。 世界上有各种不同类型的计算机，也有不同的操作系统，要想让这些装有不同操作系统的不同类型计算机互相通讯，就必须有统一的标准。TCPIP协议就是目前被各方面遵从的网际互联工业标准。TCP/IP 协议覆盖了 OSI 网络结构七层模型中的六层，并支持从交换（第二层）诸如多协议标记交换，到应用程序诸如邮件服务方面的功能。TCP/IP 的核心功能是寻址和路由选择（网络层的 IP/IPV6 ）以及传输控制（传输层的 TCP、UDP）。 1.1.2、主机到主机层协议主机到主

15、机层的主要目的，是将上层的应用程序从网络传输的复杂性中层屏蔽出来。在这一层可以对它的上层说：“你只需给我你的数据流，它的结构可以是任意的，让我来负责这些数据的发送准备。”本层的两个协议： 传输控制协议（TCP） 用户数据报协议（UDP）1.1.2.1、传输控制协议传输控制协议（Transmission Control Protocol，TCP）是一种面向连接的、可靠的、基于字节流的运输层通信协议，通常由IETF的RFC 793说明。在简化的计算机网络OSI模型中，它完成运输层所指定的功能。在因特网协议族中，TCP层是位于IP层之上，应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道

16、一样的连接，但是IP层不提供这样的流机制，而是提供不可靠的包交换。应用层向TCP层发送用于网间传输的、用8位字节表示的数据流，然后TCP把数据流分割成适当长度的报文段（通常受该计算机连接的网络的数据链路层的最大传送单元(MTU)的限制）。之后TCP把结果包传给IP层，由它来通过网络将包传送给接收端实体的TCP层。TCP为了保证不发生丢包，就给每个字节一个序号，同时序号也保证了传送到接收端实体的包的按序接收。然后接收端实体对已成功收到的字节发回一个相应的确认(ACK)；如果发送端实体在合理的往返时延(RTT)内未收到确认，那么对应的数据（假设丢失了）将会被重传。TCP用一个校验和函数来检验数据是

17、否有错误；在发送和接收时都要计算校验和。 TCP连接包括三个状态：连接建立、数据传送和连接终止。TCP用三路握手过程建立一个连接，用四路握手过程建立来拆除一个连接。在连接建立过程中，很多参数要被初始化，例如序号被初始化以保证按序传输和连接的强壮性。TCP并不是对所有的应用都适合，一些新的带有一些内在的脆弱性的运输层协议也被设计出来。比如，实时应用并不需要甚至无法忍受TCP的可靠传输机制。在这种类型的应用中，通常允许一些丢包、出错或拥塞，而不是去校正它们。例如通常不使用TCP的应用有：实时流多媒体（如因特网广播）、实时多媒体播放器和游戏、IP电话（VoIP）等等。任何不是很需要可靠性或者是想将功

18、能减到最少的应用可以避免使用TCP。在很多情况下，当只需要多路复用应用服务时，用户数据报协议（UDP）可以代替TCP为应用提供服务。 1.1.2.2、用户数据报协议用户数据报协议 (User Datagram Protoco, UDP)是一个简单的面向数据报的传输层(transport layer)协议，IETF RFC 768是UDP的正式规范。在TCP/IP模型中，UDP为网络层(network layer)以下和应用层(application layer)以上提供了一个简单的接口。UDP只提供数据的不可靠交付，它一旦把应用程序发给网络层的数据发送出去，就不保留数据备份（所以UDP有时候也

19、被认为是不可靠的数据报协议）。UDP在IP数据报的头部仅仅加入了复用和数据校验（字段）。UDP首部字段由4个部分组成，其中两个是可选的。各16-bit的源端口和目的端口用来标记发送和接受的应用进程。因为UDP不需要应答，所以源端口是可选的，如果源端口不用，那么置为零。在目的端口后面是长度固定的以字节为单位的长度域，用来指定UDP数据报包括数据部分的长度,长度最小值为8 (octets)。首部剩下地16-bit是用来对首部和数据部分一起做校验和的，这部分是可选的，但在实际应用中一般都使用这一功能。由于缺乏可靠性，UDP应用一般必须允许一定量的丢包、出错和复制。有些应用，比如TFTP，如果需要则必

20、须在应用层增加根本的可靠机制。但是绝大多数UDP应用都不需要可靠机制，甚至可能因为引入可靠机制而降低性能。流媒体Streaming media、实时多媒体游戏和voice over IP (VoIP)就是典型的UDP应用。如果某个应用需要很高的可靠性，那么可以用传输控制协议Transmission Control Protocol来代替UDP。由于缺乏拥塞避免和控制机制，需要基于网络的机制来减小因失控和高速UDP流量负荷而导致的拥塞崩溃效应。换句话说，因为UDP发送者不能够检测拥塞，所以像使用包队列和丢弃技术的路由器这样的网络基本设备往往就成为降低UDP过大通信量的有效工具。数据报拥塞控制协议

21、Datagram Congestion Control Protocol (DCCP)设计成通过在诸如流媒体类型的高速率UDP流中增加主机拥塞控制来减小这个潜在的问题。1.1.3、因特网层协议在DoD的模型中，设置因特网层有两个主要的理由：路由及为上层提供一个简单的网络接口。没有任何一个其他的高层或低层协议会涉及到任何有关路由的功能，这个复杂和重要的任务是完全属于因特网层。因特网层协议：1 因特网协议（IP）2 因特网控制报文协议（ICMP）3 地址解析协议（ARP）4 逆向地址解析协议（RARP）1.1.3.1、因特网协议（IP）因特网协议其实质就是因特网层。其他的协议仅仅是建在离其基础上用

22、于支持IP协议的。IP是从主机到主机层处接受数据段的，在需要时再将他们组合成数据报（数据包），然后接收方的IP再重新组合数据报为数据段。每个数据报都被指定了发送者和接收者的IP地址。每个接收了数据报的路由器都是基于数据包的目的IP地址来决定路由的。构成IP报头的字段如下：1 版本 4 2 报头长度（HLEN） 4 3 IP优先位或ToS 84 总长度 16 5 标识 16 6 标志 37 分段偏移 13 8 TTL(存活期) 8 9 协议 810 报头和效验和 16 11 源IP地址 32 12 IP选项 0或3213 数据 可变注：后面的数字表示长度在IP报头的协议字段中可能发现的协议协议

23、协议号ICMP 1 IGRP 9 EIGRSP 88OSPF 89 IPv6 41 GRE 47IPX in IP 111 Layer-2 tunnel(L2TP) 1151.1.3.2、因特网控制报文协议因特网控制报文协议（ICMP）工作在网络层，它被IP用于提供许多不同的服务。ICMP是一个管理性协议，并且也是一个IP信息服务的提供者。他的信息是被作为IP数据报来传送的。下面是与ICMP相关的一些常见的事件和信息：1 目的不可达 如果路由器不能再向前发送某个IP数据报，这是路由器会使用ICMP来传送一个信息返回给发送端，来通告这一情况。2 缓冲区满 如果路由器用于接收输入数据的内存缓冲区已

24、经满了，他将会使用ICMP向外发送这个信息直道拥塞解除。3 跳 每个ip数据报都被分配了一个所允许经过路由器个数的数值，被称为跳（hop）。4 Ping Ping（即数据包的因特网探测）使用ICMP回应信息在互联网络上检查计算机间物理连接的连通性。5 Traceroute Traceroute是通过使用ICMP的超时机制，来发现一个数据报在穿越互联网络时它所经历的路径。1.1.3.3、地址解析协议（ARP）地址解析协议（ARP）可以由已知主机的IP地址，在网络上查找到他的硬件地址。1.1.3.4、逆向地址解析协议（RARP）当一台误判计算机被用做IP主机时，它没有办法在其初始化时了解自己的IP

25、地址。但是他可以知道自己的MAC地址。逆向地址解析协议（RARP）可以通过发送一个包含有无盘主机MAC地址的数据包，来询问与此MAC地址相对应的IP地址。 1.2路由与交换技术1.2.1 什么是路由路由是把信息从源穿过网络传递到目的的行为，在路上，至少遇到一个中间节点。路由通常与桥接来对比，在粗心的人看来，它们似乎完成的是同样的事。它们的主要区别在于桥接发生在OSI参考协议的第二层（链接层），而路由发生在第三层（网络层）。这一区别使二者在传递信息的过程中使用不同的信息，从而以不同的方式来完成其任务。路由的话题早已在计算机界出现，但直到八十年代中期才获得商业成功，这一时间延迟的主要原因是七十年代

26、的网络很简单，后来大型的网络才较为普遍。 1.2.2 什么是交换1993年，局域网交换设备出现，1994年，国内掀起了交换网络技术的热潮。其实，交换技术是一个具有简化、低价、高性能和高端口密集特点的交换产品，体现了桥接技术的复杂交换技术在OSI参考模型的第二层操作。与桥接器一样，交换机按每一个包中的MAC地址相对简单地决策信息转发。而这种转发决策一般不考虑包中隐藏的更深的其他信息。与桥接器不同的是交换机转发延迟很小，操作接近单个局域网性能，远远超过了普通桥接互联网络之间的转发性能。交换技术允许共享型和专用型的局域网段进行带宽调整，以减轻局域网之间信息流通出现的瓶颈问题。现在已有以太网、快速以太

27、网、FDDI和ATM技术的交换产品。类似传统的桥接器，交换机提供了许多网络互联功能。交换机能经济地将网络分成小的冲突网域，为每个工作站提供更高的带宽。协议的透明性使得交换机在软件配置简单的情况下直接安装在多协议网络中；交换机使用现有的电缆、中继器、集线器和工作站的网卡，不必作高层的硬件升级；交换机对工作站是透明的，这样管理开销低廉，简化了网络节点的增加、移动和网络变化的操作。利用专门设计的集成电路可使交换机以线路速率在所有的端口并行转发信息，提供了比传统桥接器高得多的操作性能。如理论上单个以太网端口对含有64个八进制数的数据包，可提供14880bps的传输速率。这意味着一台具有12个端口、支持

28、6道并行数据流的“线路速率”以太网交换器必须提供89280bps 的总体吞吐率（6道信息流14880bps道信息流）。专用集成电路技术使得交换器在更多端口的情况下以上述性能运行，其端口造价低于传统型桥接器。1.2.3 局域网交换机的种类和选择局域网交换机根据使用的网络技术可以分为：以大网交换机；令牌环交换机；FDDI交换机；ATM交换机；快速以太网交换机等。如果按交换机应用领域来划分，可分为：台式交换机；工作组交换机；主干交换机；企业交换机；分段交换机；端口交换机；网络交换机等。局域网交换机是组成网络系统的核心设备。对用户而言，局域网交换机最主要的指标是端口的配置、数据交换能力、包交换速度等因

29、素。因此，在选择交换机时要注意以下事项：（1）交换端口的数量； （2）交换端口的类型；（3）系统的扩充能力； （4）主干线连接手段；（5）交换机总交换能力； （6）是否需要路由选择能力；（7）是否需要热切换能力； （8）是否需要容错能力；（9）能否与现有设备兼容，顺利衔接；（10）网络管理能力。1.3 VLAN虚拟局域网1.3.1 VLAN简介VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来

30、进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。 传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。 VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一

31、个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。 随着VLAN技术的日益完善，VLAN技术越来越多的应用在交换以太网中，成为网络灵活分段和提高网络安全的方法。1.3.2 VLAN的优点VLAN的优点主要体现在以下3个方面：1、控制广播风暴网络管理必须解决因大量广播信息带来带宽消耗的问题。VLAN作为一种网络分段技术，可将广播风暴限制在一个VLAN内部，避免影响其他网段。与传统局域网相比，VLAN能够更加有效地利用带宽。在VLAN中，网络被逻辑地分割成广播域，由VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送，而不是向网上

32、的所有工作站发送。这样可减少主干网的流量，提高网络速度。2、增强网络的安全性 共享式LAN上的广播必然会产生安全性问题，因为网络上的所有用户都能监测到流经的业务，用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。3、增强网络管理采用VLAN技术，使用VLAN管理程序可对整个网络进行集中管理，能够更容易地实现网络的管理性。用户可以根据业务需要快速组建和调整VLAN。当链路拥挤时，利用管理程序能够重新分配业务。管理程序还能够提供有关工作组的

33、业务量、广播行为以及统计特性等的详尽报告。对于网络管理员来说，所有这些网络配置和管理工作都是透明的。VLAN变动时，用户无需了解网络的接线情况和协议是如何重新设置的。VLAN还能减少因网络成员变化所带来的开销。在添加、删除和移动网络成员时，不用重新布线，也不用直接对成员进行配置。若采用传统局域网技术，那么当网络达到一定规模时，此类开销往往会成为管理员的沉重负担。1.3.3 VTP：思科VLAN中继协议（VTP：Cisco VLAN Trunking Protocol）VLAN 中继协议（VTP）是思科第2层信息传送协议，主要控制网络范围内 VLANs 的添加、删除和重命名。VTP 减少了交换网

34、络中的管理事务。当用户要为 VTP 服务器配置新 VLAN 时，可以通过域内所有交换机分配 VLAN，这样可以避免到处配置相同的 VLAN。VTP 是思科私有协议，它支持大多数的 Cisco Catalyst 系列产品。通过 VTP，其域内的所有交换机都清楚所有的 VLANs 情况，但当 VTP 可以建立多余流量时情况例外。这时，所有未知的单播（Unicasts）和广播在整个 VLAN 内进行扩散，使得网络中的所有交换机接收到所有广播，即使 VLAN 中没有连接用户，情况也不例外。而 VTP Pruning 技术正可以消除该多余流量。缺省方式下，所有Cisco Catalyst交换机都被配置为

35、 VTP 服务器。这种情形适用于 VLAN 信息量小且易存储于任意交换机（NVRAM）上的小型网络。对于大型网络，由于每台交换机都会进行 NVRAM 存储操作，但该操作对于某些点是多余的，所以在这些点必须设置一个“判决呼叫”（Judgment Call）。基于此，网络管理员所使用的 VTP 服务器应该采用配置较好的交换机，其它交换机则作为客户机使用。此外需要有某些 VTP 服务器能提供网络所需的一定量的冗余。1.4 NAT地址转换技术1.4.1 NAT原理简介NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Interne

36、t Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。简单地说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将 内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共 IP地址紧缺的问题。通过这种方法，您可以只申请

37、一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有 内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。如图2所示。这里提到的内部地址，是指在内部网络中分配给节点 的私有IP地址，这个地址只能在内部网络中使用，不能被路由（一种网络技术，可以实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的 地址：10.0.0.010.255.255.255，172.16.0.0172.16.255.255， 192.168.0.0192.168.255.255。NAT将这些无法在互联网上使用的保留IP地址翻译成

38、可以在互联网上使用的合法IP地址。而全 局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻 址的地址。NAT 功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能，网络管理员只需在路由器的IOS中设 置NAT功能，就可以实现对内部网络的屏蔽。再比如防火墙将WEB Server的内部地址192.168.1.1映射为外部地址202.96.23.11，外部访问202.96.23.11地址实际上就是访问访问 192.168.1.1。另外资金有限的小型企业

39、来说，现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能。1.4.2 NAT技术类型NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（PortLevel NAT）。1.静态NAT转换静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定 义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种 NAT方案

40、各有利弊。2.动态NAT转换动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。3.NAT过载技术网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上

41、一个由NAT设备选定的TCP端口号。在Internet 中使用NAPT时，所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通 过NAPT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址上Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。1.5 访问控制列表 ACL（Access Control List，ACL)1.5.1 概述访问控制列

42、表（Access Control List，ACL) 是路由器接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。 ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。 1.5.2 ACL的作用 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网

43、络安全访问的基本手段。如图1所示，ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。2.项目分析2.1 案例概况某公司拥有一栋三层办公楼。公司部门分为销售部，财务部和仓储部三个部门。且每个部门下分三个管理层。公司人事组织结构图如下：该公司对网络的要求是每个部门的部级对处级（处级对组）的电脑有完全的访问权，并且每个部门的上级对其他两个部门的下级部门的电脑有访问权。三个部门同等级间的访问权限要求从上至下是：财务销售仓储。办公楼内的办公室及各办公室内的电脑数

44、量分配如下表：总经理办公室2台PC销售部办公室5台PC财务部办公室3台PC仓储部办公室4台PC会议室预留4个网络接口销售处办公室20台PC财务处办公室7台PC仓储处办公室10台PC财务组办公室10台PC销售组办公室47台PC仓储组办公室16台PC楼内弱电设备管理间公司向ISP申请了一个公网地址202.106.99.83以访问国际互连网，这条线路是公司唯一通向外网线路。并且为了管理方便，公司内网只使用192.168.0.0/24这一个网段。2.2 案例技术要求1. 这个项目由于涉及到部门划分所以必须要用到VLAN。2. 内网只使用一个网段于是必须使用VLSM可变长子网掩码。3. 而且部门间有上下

45、级造成访问权限的需要，于是访问控制列表必不不可少。4. 为了节省成本公司最好只使用一台路由器，这将要使用到单臂路由技术。5. 公司只有一个公网地址，但是却有124台电脑需要上网。于是必须使用NAT过载。2.3 案例深入分析2.3.1 拓扑结构分析初步设计逻辑拓扑图如下：如上图所示，由一台路由负责这栋楼对外网的通信，同时要担负这栋楼内的各个部门的VLAN之间的通信。路由器用的是CISCO 2620选了两个串口和一个快速以太网口。主交换机连接到主分别连接到各层楼的交换机和主路由，是内部网络的主通道。网内的交换机全部选用Cisco Catalyst 2950交换机。2.3.2 VLAN划分原则根据案

46、例概况里面描述的情况，按VLAN访问权限划分等级如下表：办公室VLAN号访问优先级（数字越小等级越高）总经理办公室21财务部办公室32销售部办公室43仓储部办公室54财务处办公室65销售处办公室76仓储处办公室87财务组办公室98销售组办公室109仓储组办公室1110会议室111由于会议室是预留网络接口以备会议时需要使用互联网而单独划分VLAN，在CISCO VLAN协议中VLAN 1是保留VLAN用于管理的，所以将会议室的插口划分到VLAN 1当中，但是出于安全考虑，在配置访问控制列表时会禁止VLAN 1访问内部网络中的任何其他办公室的主机。2.3.3 其他网络技术的使用NAPT将被配置在主路由上负责公司的INTERNET上网服务，ACL访问控制列表和VLAN划分负责楼内网络的安全控制。2.4 网络布线工程布线工程这方面仔细的来说就可以单写一篇论文。所以我只粗略的描述一下这个项目的布线方式。1设备间子系统设备间子系统设在办公楼的一层，方便INTERNET专线由地下接入办公楼。主路由、主交换和一层的管理间子系统的堆叠交换机组都放在一楼的弱电设备管理间。2.管理间子系统与工作区子系统为了节省成本只在