企业局域网组网方案与实现

摘要：计算机网络技术已成为未来信息化社会的主流，并成为大学生知识结构中必不可少的技能。为构建适合教学规范的计算机网络教学环境，提出了利用快速以太网技术建立企业网络的组网方案和实现方法以及使用的技术，用项目教学法，详细讲解组建局域网的过程。

关键词：网络拓扑结构；VLAN；RIP；访问控制列表；NAPT

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)23-5603-03

The Networking Scheme of Enterprise Lan and Achievement

WANG Jia-lan

(Vocational and Technical College of Chizhou, Chizhou 247000, China)

Abstract: Computer network technology has become the mainstream of the future information society, and become the necessary skills of knowledge structure for University students. For building Teaching standards of computer networks for teaching and learning environment, it proposed the use of Fast Ethernet technology to build enterprise networking solutions and network implementation and the use of technology, Explain in detail the process of formation of local area network With the Project Approach.

Key words: network topology; Vlan; RIP; Access control list; NAPT

计算机网络及应用已成为未来信息化时代的显著标志，它正以前所未有的速度改变着我们的世界。计算机网络应用的知识、技术和方法已成为大学生必修课内容。为此所在计算机教学和实验中心组建了局域网络，以项目为载体，对网络中比较难于理解的概念、技术进行详细的解说，并在项目中演示某种技术具体的操作方法，同时配套多媒体教学，收到了良好的教学效果。

1 具体实训项目及要求

某公司有计算机约50台。该公司设置了信息处、销售处和财务处三个部门，各部门的地理位置，如图1所示。

该公司需要建立内部网络，要求如下：

1）各部门内部计算机终端之间能够直接通信；

2）各部门之间数据信息具有一定的独立性；

3）公司内所有计算机都能够访问互联网；

4）财务处的数据必须受到严格保护，非授权人员不能访问；

5）总经理兼管财务处，副总经理兼管销售处；

6）网络设备要高速、稳定运行。

2 可行性分析

1) 构建网络拓扑结构图。

局域网的拓扑结构图的种类有：星型结构、总线型结构、环形结构，以及他们之间的混合。本项目按其规模和实际需求，拓扑结构图选择星型结构构建局域网。

2) 由于该公司的地理分布位置和实际的需求，各个部门之间数据信息具有一定的独立性，各个部门分布在不同楼层上，即同一个部门之间的不同用户电脑也连接不同楼层的Switch上，这样决定了要组建该局域网，必须划分Vlan(Virtual Local Area Network)，同时也便于网络管理。

3) 按各个部门内部计算机终端之间能够直接通信，组建该局域网要解决不同的vlan之间的通讯问题。实现的方法通过对Router的配置可以满足这一需求。

4) 根据财务处的数据必须受到严格保护，非授权人员不能访问和总经理兼管财务处，副总经理兼管销售处。这样的实际需求，组建该局域网就要考虑网络安全问题。即授权的用户才可以访问所允许的资源，没有授权的用户是不允许访问的。实现这样的需求，必须使用访问控制列表策略去控制。

5) 根据公司内所有计算机都能够访问互联网这一需求，目前现状，由于 Ipv4枯竭，，绝大部公司组建局域网时，内部的电脑使用的地址都不是唯一的公网地址，而是私网地址，那么使用私有地址进行内部通讯没问题，要想访问互联网，必须使用公网地址访问。怎么让私有地址转换成公网地址呢？即需要解决NAPT(Network Address Port Translation)网络地址转换的问题。

3 组建局域网使用的技术

3.1 Vlan含义及划分方法

VLAN即虚拟局域网，一个VLAN可以看成是一组工作上相关的部门工作站的集合，它们的物理位置可以处于同一物理网络，也可以处于不同的物理网络，但是逻辑上可以像在同一局域网中一样“广播”数据 。其VLAN的划分方法：

1) 根据交换机端口号来划分；

2) 根据MAC(Media Access Control)地址来划分；

3) 根据网络层地址IP来划分；

比较常用的是第一种方法，本项目也使用的是用交换机端口号来划分VLAN的。

3.2 VTP

VTP(Vlan Trunk Protocol)即VLAN中继协议。VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在vtp server做相应设置,vtp client会自动学习vtp server上的vlan信息。

3.3 IP 地址规划

在设计IP地址方案之前，应考虑以下几个问题：

1）是否将网络连入Internet；

2）是否将网络划分为若干网段以方便网络管理；

3）是采用静态IP地址分配还是动态IP地址分配

如果不计划连到Internet上，则可用RFC1918中定义的非Internet连接的网络地址，称为“专用Internet地址分配”。RFC1918规定了不想连入Internet的IP地址分配指导原则。由Internet地址授权机构(IANA)控制IP地址分配方案中，留出了三类网络号，给不连到Internet上的专用网用，分别用于A，B和C类IP网，具体如下：10.0.0.0～10.255.255.255； 172.16.0.0～172.31.255.255；192.168.0.0～192.168.255.255。

3.4 路由器的基本配置

路由器设备主要用来连接异构网络或者不同的子网之间互联。本项目用路由器互联不同VLAN，从而实现各个部门相互通信。具体配置涉及到路由器的各种模式，路由器以太网端口配置，子接口（逻辑接口）创建及配置，串口配置，超级终端配置，远程登陆TELNET配置，更改路由器用户名和特权密码等。最终实现各部门相互通信

3.5 路由器路由配置

1) 静态路由：由管理员手动配置的，在路由器全局配置模式下配置到达对方网络的方法，如router(config)#network 目标网络地址 目标网络的子网掩码下一条路由器端口IP地址。

2) 动态路由：Rip路由、Ospf 路由等。

(1) RIP （Routing information Protocol）路由信息协议，是应用比较早，使用比较普遍的内部网关协议（Interior Gateway protocol,IGP），适用小型同类网络，是典型的距离向量协议。RIP 通过广播UDP报文来交换路由信息，每30秒发送一次路由信息更新。 RIP 提供跳数（Hop count）作为尺度来衡量路由距离，跳数是一个包到达目标所必须经过的路由器的数目。（如果到相同目标有两个不等速或者不同带宽的路由器，但跳数相同，则RIP认为两个路由是等距离的）。RIP 最多支持的跳数位15，即在源和目的网间所要经过的最多路由器的数目为15，跳数位16表示不可达。 因此RIP 协议适合在小型网络中运行。

(2) Ospf (open shortest path first)开放的最短路径优先路由协议。互联的网络构造最小生成树思想，按构造的最小生成树寻找最短路径。具体做法如下：首先，启用ospf动态路由协议：在配置模式下输入“router ospf process-id”，如router ospf 2.其中process-id的范围在1~65535；其次，定义参与OSPF的子网：在配置路由子模式下输入“networkaddresswildcard-mask areaarea-id”，其中address的相应端口IP地址所对应的包括子网地址在内的网络地址部分，wildcard-mask，是子网掩码的反码，area-id是在0~4、294、967、295内的十进制数，当area-id为0时是主干域。例如：Router4 的Ethernet0端口IP地址为172.16.10.1，子网掩码为255.255.255.0。则其网络地址部分（address）为172.16.10.0，相应wildcard-mask 为0.0.0.255，相应的配置命令为： network 172.16.10.0 0.0.0.255 area 2。使用ospf协议定义不同区域，限定对应路由器只能在相同区域内交换子网信息，不同区域间不能交换路由信息。

本项目使用的是RIP路由协议配置动态路由。

3.6 访问控制列表技术

访问控制列表既是控制网络流量的手段，也是网络安全策略的一个组成部分。ACL有两种执行方式：一种方式是接受在ACL列表指定的主机和网络的访问，其他主机和网络都被拒绝；令一种方式是拒绝在ACL列表中指定的主机和网络的访问，其他主机和网路都被允许。 为了更好地描述和界定数据包过滤条件，ACL使用了通配掩码，在通配掩码中，二进制的“0”表示要检查IP 地址中的相应比特位，并要求其与ACL中的IP地址相应位匹配；而二进制的“1”则表示不考虑IP地址中的相应比特位。

标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表，其通过检查数据包的源地址，来确定是允许还是拒绝基于网络、子网络或者主机IP的某一协议族通过路由器的接口。

3.7 NAPT技术

目前绝大部使用的地址都不是唯一的公网地址，而是私网地址，好处可以缓解IP地址的枯竭的一种压力。NAPT 使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址，多对一，NAPT 采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用的方式。公司内所有计算机都能够访问互联网。

4 具体过程及实现

1) 构造拓扑结构图

配置电脑IP地址如图2及表1所示。

2) 用VTP中继协议配置交换机划分Vlan实现各部门的独立

Switch (vlan)#vtp domain wl

Switch (vlan)#vtp server

Switch (vlan)#vlan 10

Switchvlan)#vlan 20

Switch (vlan)#vlan 30

Switch (vlan)#vtp domain wl

Switch (vlan)#vtp client

3) 把端口划分到相对应VLan

Switch(config)#interface fa0/10

Switch(config-if)#switchport access vlan 10

4) 开通干道口

Switch(config)#interface fa0/3

Switch(config-if)#switchport mode trunk

5) 配置路由器的子端口IP地址，统一封装帧保持一致，实现各部门相互通信

Router(config)#int fa0/0.1

Router(config-subif)#ip address 192.168.1.1 255.255.255.0

Router(config-subif)#encapsulation dot1Q 1

Router(config-subif)#no shut

6) 做访问控制列表，非授权的部门不能访问财务处，总经理兼管财务处

Router(config)#ip access-list standard 1

Router(config-std-nacl)#deny 192.168.2.0 0.0.0.255

Router(config-std-nacl)#deny 192.168.3.0 0.0.0.255

Router(config-std-nacl)#deny 192.168.1.101 0.0.0.0

Router(config-std-nacl)#deny host 192.168.1.103

Router(config-std-nacl)#permit any

Router(config-std-nacl)#exit

Router(config)#interface fa0/0.4

Router(config-subif)#ip access-group 1 out

Router(config-subif)#exit

7) 做动态路由(rip)和NAPT 网络地址转换实现各部门能够上外网

RIP路由配置

Router(config)#router rip

Router(config-router)#network 192.168.1.0

Router(config-router)#network 192.168.2.0

Router(config-router)#network 192.168.3.0

Router(config-router)#network 192.168.5.0

Router(config-router)#network 192.168.6.0

Router(config-router)#network 200.2.2.0

NAPT 网络地址转换

Router(config)#access-list 2 permit 192.168.1.0 0.0.0.255

Router(config)#ipnatpool a200.4.4.3200.4.4.3netmask255.255.255.0

Router(config)#ip nat inside source list 2 pool a overload

Router(config)#int fa0/0.1

Router(config-subif)#ip nat inside

Router(config-subif)#exit

Router(config)#int se2/0

Router(config-if)#ip nat outside

Router(config-if)#exit

5 教学效果

通过对企业局域网组建，使学生对计算机网络知识有个系统的全面了解，掌握计算机网络中的一些关键技术并能够具体操作，比如当前的访问控制列表、RIP、OSPF、NAPT等。为将来从事计算机网络方面的工作打下坚实的基础。当然由于本学校网络设备的局限和我个人能力有限，在企业组网方案设计上还有些不足，还望大家多多指教。

参考文献：

[1] 周山.组网技术实训[M].北京:清华大学出版社,2010.

[2] 郭秋萍.计算机网络技术实验教程[M].北京:清华大学出版社,2009.

[3] 邵慧莹,高欢.计算机网络技术项目实训教程[M].北京:电子工业出版社,2009.

[4] 田庚林,田华,张少芳.计算机网络安全与管理[M].北京:清华大学出版社,2010.

[5] 叶忠杰.王勇,王永章. 局域网应用技术教程[M].北京:清华大学出版社,2006.

[6] 温卫.访问控制列表配置分析[J].计算机安全,2007(6).

[7] 谢希仁.计算机网络[M].北京:电子工业出版社,2003.

[8] 许为华.访问控制列表在网络安全深层防御中的应用[J].金华职业技术学院学报,2006(1).

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文