Mapeo e implementación de puertos de red de servidores para pequeñas y medianas empresas basado en NAT estática (documento completo + diagrama de topología de Cisco)

Hola a todos, soy el mayor Xiaohua, un bloguero en el campo de la informática. Después de años de estudio y práctica, he acumulado un rico conocimiento y experiencia en informática. Aquí me gustaría compartir mi experiencia de aprendizaje y mis habilidades contigo para ayudarte a convertirte en un mejor programador.
Como blogger informático, me he centrado en programación, algoritmos, desarrollo de software y otros campos, y he acumulado mucha experiencia en estas áreas. Creo que compartir es una situación en la que todos ganan. Al compartir, puedo ayudar a otros a mejorar su nivel técnico y al mismo tiempo tener la oportunidad de aprender y comunicarse.
En mis artículos, verá mi análisis y análisis de varios lenguajes de programación, herramientas de desarrollo y problemas comunes. Le proporcionaré soluciones prácticas y técnicas de optimización basadas en mi experiencia real en proyectos. Creo que estas experiencias no solo lo ayudarán a resolver los problemas que enfrenta actualmente, sino que también mejorarán su pensamiento en programación y sus habilidades para resolver problemas.
Además de compartir aspectos técnicos, también tocaré algunos temas sobre desarrollo profesional y métodos de aprendizaje. Como ex alumno, sé cómo superarme mejor y afrontar los desafíos en el campo de la informática. Compartiré algunos métodos de aprendizaje, habilidades para entrevistas y experiencias laborales, con la esperanza de tener un impacto positivo en su desarrollo profesional.
Mis artículos se publicarán en la comunidad CSDN, que es una comunidad de tecnología informática muy activa y profesional. Aquí podrás comunicarte, aprender y compartir con otras personas amantes de la tecnología. Si sigue mi blog, podrá obtener mis últimos artículos lo antes posible e interactuar conmigo y con otros lectores.
Si está interesado en el campo de la informática y espera mejorar sus habilidades de programación y su nivel técnico, siga mi blog de CSDN. ¡Creo que lo que comparto te ayudará e inspirará, permitiéndote lograr un mayor éxito en el campo de la informática!
¡Convirtámonos juntos en mejores programadores y exploremos juntos el maravilloso mundo de la informática! ¡Gracias por su atención y apoyo!
Todos los códigos fuente de proyectos informáticos compartidos incluyen documentos y pueden usarse para proyectos de graduación o diseños de cursos. ¡Bienvenido a dejar un mensaje para compartir preguntas e intercambiar experiencias!

Resumen

Con el desarrollo de la tecnología de redes informáticas, las direcciones de red son cada vez más escasas y se han considerado un recurso de red valioso. Solo en 2019, se asignaron direcciones IPV4 globales, lo que demuestra que el desarrollo de la tecnología de la información de Internet es muy rápido.

Para resolver este problema, se utiliza ampliamente la tecnología de traducción de direcciones de red (NAT), que asigna direcciones de red de un dominio de direcciones a otro. La creciente escasez de direcciones IPv4 es una de las principales razones por las que con frecuencia se implementa NAT. Con el desarrollo de la tecnología de red y la mejora de los requisitos de seguridad, NAT ha evolucionado gradualmente hasta convertirse en un medio básico para aislar las redes internas y externas y garantizar la seguridad de la red. Con esta tecnología, no se requiere inversión adicional y los propósitos de seguridad se pueden lograr fácilmente mediante simplemente utilizando el equipo de red existente. Por lo tanto, generalmente se utiliza para la comunicación entre empresas, escuelas, cibercafés, comunidades, etc. e Internet.

La NAT estática implementada en este proyecto implementa la tecnología de mapeo de puertos de red. En el entorno de implementación de la red empresarial, puede permitir que los servidores internos de la empresa se publiquen en Internet para que los usuarios de la red pública accedan, al igual que cuando accedemos a Baidu. , Tencent, etc.en casa o a través del tráfico de teléfonos móviles.Al igual que en el sitio web, el sistema interno está montado en la red pública.

Palabras clave: dirección de red corporativa de red de mapeo de puertos NAT

Abstracto

Con el desarrollo de la tecnología de redes informáticas, las direcciones de red son cada vez más escasas, lo que se ha considerado un recurso de red valioso. Solo en 2019, se asignó la dirección IPv4 global, lo que demuestra que el desarrollo de la tecnología de la información de Internet es muy rápido.

Para resolver este problema, se utiliza ampliamente la tecnología de traducción de direcciones de red (NAT). Asigna direcciones de red de un dominio de direcciones a otro. La creciente escasez de direcciones IPv4 es una de las principales razones del frecuente despliegue de NAT. Con el desarrollo de la tecnología de redes y la mejora de los requisitos de seguridad, NAT ha evolucionado gradualmente hasta convertirse en un medio básico para aislar redes internas y externas y garantizar la seguridad de la red. Además, con esta tecnología, es fácil lograr el objetivo de seguridad sin inversión adicional y simplemente utilizando el equipo de red existente. Por lo tanto, generalmente se utiliza para la comunicación entre empresas, escuelas, cibercafés, comunidades e Internet.

En el entorno de implementación de la red empresarial, la tecnología de mapeo de puertos de red NAT estática investigada en este documento puede hacer que el servidor interno de la empresa publique en Internet para que lo visiten los usuarios de la red pública, lo cual es similar al tráfico de nuestro hogar o móvil que visita Baidu, Tencent. y otros sitios web, y montar el sistema interno en la red pública.

Palabras clave: NAT Red de mapeo de puertos Dirección de red empresarial

Tabla de contenido

Capítulo 1 Introducción... 1

1.1 Antecedentes de la investigación... 1

1.2 Importancia de la investigación... 2

1.3 Contenido de la investigación... 2

Capítulo 2 Análisis del sistema... 2

2.1 Análisis de viabilidad... 2

2.2 Análisis de requisitos... 3

Capítulo 3 Descripción general de las tecnologías relacionadas... 5

3.1 Tecnología VLAN... 5

3.2 Tecnología OSPF... 5

3.3 Tecnología DHCP... 6

3.4 Tecnología NAT... 7

Capítulo 4 Diseño del sistema... 10

4.1 Planificación del diseño de la red... 10

4.2 Diagrama de topología de la red... 11

4.3 Planificación de direcciones IP... 11

4.4 Selección del equipo... 12

4.5 Principios completos de cableado... 16

Capítulo 5 Diseño detallado... 17

5.1 Diseño de la capa central... 17

5.2 Diseño de la capa de agregación... 17

5.3 Diseño de la capa de acceso... 18

5.3 Tecnologías clave y dificultades... 18

5.4 Problemas y soluciones... 18

Capítulo 6 Pruebas del sistema... 18

6.1 Implementación de la configuración... 18

6.2 Prueba de conectividad... 23

Resumen del Capítulo 7... 27

Referencias... 28

Agradecimientos... 29

Apéndice...30

Cambiar:... 30

Capítulo 1 Introducción

Porque la aparición de las computadoras nos trajo INTERNET, que es como la gente ahora llama Internet. Hoy en día, la llegada de Internet ha provocado cambios trascendentales para las personas, hasta el punto de que no pueden ir a ningún lado sin Internet. La aparición de las redes informáticas también ha cambiado la forma en que las personas usan las computadoras, permitiéndoles hacer diversas cosas sin salir de casa Puedes conectarte con amigos de todo el mundo y trabajar desde casa... Así que ahora Internet ha penetrado en todos los ámbitos de la vida y está estrechamente relacionado con nuestra vida, trabajo y estudio. Debido al rápido desarrollo de diversas tecnologías de red, empresas de todos los ámbitos de la vida han optado por utilizar la tecnología de red para mejorar la eficiencia general del trabajo y los niveles gerenciales medios y superiores de toda la empresa. El objetivo principal de la construcción de redes empresariales es la funcionalización de la plataforma, con la dirección principal de mejorar la comunicación entre los empleados dentro de la empresa y la gestión rápida de los empleados de nivel medio y alto.

Este proyecto de graduación se basa en la investigación y el análisis de casos anteriores de pequeñas y medianas empresas, combinados con los requisitos propios de las pequeñas y medianas empresas, y luego determina la realización de la gestión real de redes de información por parte de las empresas. Para establecer una gestión empresarial en red, el primer paso que debemos dar es establecer la LAN interna de la empresa. Al establecer la LAN empresarial, podemos desarrollar diversos programas de aplicación y de propósito especial aplicables. Con base en la implementación de esta plataforma de gestión y diversos software de aplicaciones, se puede lograr el intercambio de recursos empresariales, el intercambio de información y una gestión eficiente. Las ideas de investigación de la LAN empresarial se actualizan constantemente durante todo el proceso de investigación y desarrollo de la plataforma, y los diversos requisitos para establecer la LAN se completan uno por uno. Esta red de administración se centra principalmente en enrutamiento y conmutación, y la mayoría utiliza productos de red de Cisco. El rendimiento y el soporte de aplicaciones de los equipos relacionados se pueden ver a través de los manuales de productos de Cisco.

1.1 Antecedentes de la investigación

Con la popularidad de Internet, un hecho obvio es: la cantidad de personas y dispositivos conectados a la red aumenta cada momento. En teoría, sólo hay unas 232 direcciones disponibles para IPv4 y, de hecho, los dispositivos sólo pueden utilizar unos 250 millones de direcciones. Numerosos informes muestran que hay aproximadamente 6.500 millones de personas en la Tierra y más del 10% de ellas están conectadas a Internet. Estas estadísticas llaman nuestra atención sobre una realidad preocupante: según la capacidad de IPv4, todos los habitantes del planeta ni siquiera pueden poseer una computadora, e IPv4 se enfrenta a una crisis de agotamiento de direcciones. En respuesta a este problema, la gente ha trabajado mucho y se ha esforzado en la asignación y reserva de direcciones IP para aliviar el empeoramiento del problema de escasez de direcciones. Como tecnología estándar de Internet, NAT permite que las comunicaciones LAN internas utilicen un conjunto de direcciones IP, mientras que las comunicaciones externas utilizan otro conjunto de direcciones IP, lo cual es de gran importancia en el entorno actual del protocolo IPv4. Al separar las direcciones de Internet y LAN a través de NAT, se pueden guardar muchas direcciones en comparación con un único mecanismo de asignación de direcciones global. Para muchas empresas que no pueden solicitar muchas direcciones públicas enrutables globalmente, proporciona una solución que permite que los terminales de la LAN se conecten a Internet. Sin embargo, las deficiencias de NAT son un problema que no se puede ignorar. Las direcciones internas no se enrutan en la red. red pública y los usuarios pueden acceder a otros, pero es difícil que otros accedan. En la red IP de China, muchos usuarios utilizan actualmente "direcciones internas", lo que sin duda tiene un gran daño potencial para el desarrollo del negocio de propiedad intelectual de China. De hecho, este daño se ha ido manifestando gradualmente: a medida que la telefonía IP madura gradualmente a nivel técnico, se lanzan una serie de protocolos y estándares correspondientes, como el H.323, un componente de la serie de estándares de comunicación multimedia, y el SIP del IETF. Los productos del protocolo, como los sistemas telefónicos IP, las puertas de enlace de medios, etc., se han utilizado ampliamente y también han surgido algunos conflictos de red. Por ejemplo, algunas entidades de red actualmente restringen el paso de dichos estándares. paquetes de extremo a extremo. Estas entidades se refieren a firewalls y convertidores de direcciones de red. Sin embargo, con el desarrollo de la telefonía IP en China, esta serie de estándares y protocolos se aplicarán en la práctica. Por lo tanto, la dirección de investigación actual de NAT se basa en Tecnología transversal NAT de varios estándares y protocolos.

1.2 Importancia de la investigación

Al principio, las computadoras solo podían funcionar de forma independiente y luego cada departamento no podía compartir datos en tiempo real, lo que llevaría a una eficiencia muy baja en la empresa. Naturalmente, el simple modelo de gestión manual no puede satisfacer las necesidades de modernización Como resultado, la empresa no puede sobrevivir y desarrollarse bien. Entonces, la red empresarial tenía sus requisitos de red iniciales, que surgían de la necesidad de compartir recursos LAN y realizar negocios. En ese momento, se podría considerar que la red de área local más pequeña utiliza un concentrador compartido para conectar la impresora y el servidor de archivos. Sin embargo, con el rápido desarrollo actual de Internet, la red de tecnología compartida simple anterior definitivamente no podrá satisfacer las necesidades actuales del desarrollo empresarial. Hoy, con el rápido desarrollo de la ciencia y la tecnología, necesitamos una red más rápida, más segura y más Red confiable y más conveniente. La tecnología viene a gestionar el negocio. Por lo tanto, la cuestión clave de este tema es cómo utilizar la tecnología de red para satisfacer mejor el desarrollo de las empresas actuales.

1.3 Contenido de la investigación

Este tema se basa en los antecedentes de la aplicación NAT y toma la tecnología transversal NAT como objeto de investigación. Primero se introducen los principios básicos y los tipos de tecnología comunes de NAT, luego se encuentran los defectos existentes mediante la aplicación de NAT en entornos de red reales, se analizan los principios de implementación de las soluciones populares actualmente y finalmente se propone y se lleva a cabo su análisis. También se ha confirmado que la viabilidad teórica es factible en experimentos reales, y el esquema se demuestra y se diseña de manera simple. En el primer capítulo, se describen brevemente los antecedentes de NAT y el propósito de investigación de este tema; en el segundo capítulo, el principal Explica el análisis de viabilidad de la construcción de la red, el Capítulo 3 presenta la definición de NAT, el principio de NAT, la clasificación de NAT y los tipos de tecnología NAT, etc. Los defectos de la aplicación NAT y las diversas soluciones NAT actuales y sus respectivas ventajas. y desventajas; el Cuarto Capítulo 5 presenta su propia solución en detalle, realiza análisis teóricos y verificación experimental, y finalmente la compara con las soluciones existentes basadas en los resultados de la demostración; el Capítulo 5 brinda un ejemplo de implementación de la solución y diagramas de flujo del programa relacionados. ;Capítulo 6 Es una prueba de todo el tema.

Capítulo 2 Análisis del sistema

2.1 Análisis de viabilidad

2.1.1 Viabilidad técnica

Principios básicos de la tecnología NAT. La tecnología NAT puede ayudar a resolver el problema de la escasez de direcciones IP y puede aislar redes internas y externas y proporcionar una cierta garantía de seguridad de la red. La forma de resolver el problema es usar la dirección local interna en la red interna y traducir la dirección local interna a una dirección global interna a través de NAT para usar en Internet. El método específico es usar la dirección IP legal en la dirección campo en el paquete IP.reemplazar. La funcionalidad NAT suele estar integrada en un enrutador o en un dispositivo NAT independiente.

2.1.2 Viabilidad económica

Ethernet tiene una serie de ventajas como bajo coste, alta fiabilidad, etc., por lo que ha sido ampliamente utilizado [1]. La tecnología Ethernet se puede implementar de manera rápida y confiable dentro de una empresa o entre pisos. Combinado con varias tecnologías de redes de área amplia, puede realizar redes de interconexión entre empresas e incluso a nivel mundial. Ethernet representa la mayoría de las redes interconectadas con Internet internacional. Hoy en día, con el desarrollo de Internet y las continuas actualizaciones de Ethernet, ha ocupado de manera más estable el primer lugar en los productos de redes de área local.

A partir de los beneficios económicos de la empresa, el intercambio de información sobre recursos de datos se realiza a través de la red de área local, lo que mejora los intercambios y la comunicación internos y externos, permitiendo a la empresa captar rápidamente diversas dinámicas en la información de la red que cambia rápidamente; realizando la automatización de oficinas. , dirigido a la gestión interna Es más conveniente, aprovecha al máximo los recursos relevantes, mejora en gran medida la eficiencia del trabajo y reduce eficazmente los costos. A través de la LAN interna de la empresa, está separada de Internet, mejorando efectivamente la seguridad de la red y evitando pérdidas innecesarias causadas por el robo de recursos y daños maliciosos.

2.1.3 Viabilidad operativa

De acuerdo con el estado actual de desarrollo de las empresas, la demanda de información, recopilación, procesamiento y otras tareas de las empresas está en constante expansión. El método de trabajo original con una sola máquina está lejos de satisfacer las necesidades actuales y el método de trabajo con una sola máquina no propicio para la comunicación entre diversos campos. El intercambio de información y recursos ha reducido en gran medida la eficiencia del trabajo y ha afectado el desarrollo de las empresas. Una red de alta eficiencia, alto rendimiento y alta confiabilidad puede resolver estos problemas de manera fácil y satisfactoria. Por lo tanto, es factible establecer un sistema de red empresarial completo y utilizar este sistema de red para cambiar el sistema de gestión existente para satisfacer las necesidades de red actuales de la empresa.

2.2 Análisis de la demanda

2.2.1 Análisis general de la demanda

Con el desarrollo de la ciencia y la tecnología, la escala de las empresas continúa expandiéndose y el equipo de gerentes continúa expandiéndose. La estructura de red actual ya no puede satisfacer las necesidades del desarrollo actual. Las principales manifestaciones incluyen inestabilidad de la red, fluctuaciones frecuentes de la red y conexiones de líneas de red que son costosas, de largo plazo, difíciles de gestionar e inadecuadas para su implementación. Por lo tanto, se debe establecer una plataforma de red y sistema con diseño estandarizado, funciones completas, excelente rendimiento, seguridad y confiabilidad, buena escalabilidad y disponibilidad, manejabilidad y fácil mantenimiento para mejorar el trabajo de los empleados de la empresa de una manera altamente eficiente y rápida. y de bajo costo. La eficiencia y la eficiencia en la ejecución son muy necesarias. Por lo tanto, debemos utilizar computadoras, equipos de red y software de alta gama, y utilizar tecnología de comunicación de red avanzada y madura para la creación de redes y tecnología avanzada de integración de sistemas y modelos de gestión. Establecer un sistema de red de oficinas eficiente es una tarea urgente para la empresa.

2.2.2 Requisitos no funcionales

1.Necesidades del usuario de Office

Varias funciones de la red empresarial conectan todas las computadoras y dispositivos de red de la empresa; admiten que alrededor de cien computadoras accedan a Internet al mismo tiempo; la empresa tiene múltiples departamentos y diferentes departamentos pueden acceder entre sí, pero existen restricciones; el la empresa debe tener su propio sitio web corporativo, al que se puede acceder desde la red externa, la empresa debe tener su propio sistema FTP;

2. Necesidades de personal de operación y mantenimiento

La selección de equipos debe ser tecnológicamente avanzada, versátil y fácil de gestionar y mantener. Debería tener buena escalabilidad y capacidad de actualización en el futuro para proteger la inversión de la empresa. El equipo debe cumplir con las funciones y prestaciones del proyecto y tener una buena relación precio/rendimiento. Al seleccionar el equipo, debe ser un producto convencional con suficiente solidez y participación de mercado, y también debe tener un buen servicio postventa. Todos los equipos de red pueden monitorearse, administrarse y configurarse con el software de administración de red apropiado; se deben cumplir estándares internacionales unificados. adoptado.

3.Necesidades del departamento

El departamento de redes de la empresa incluye principalmente lo siguiente:

Ventas;

Departamento de Personal;

Departamento de Finanzas;

sala del gerente;

Oficina 1;

Oficina 2;

Departamento técnico.

8 departamentos en total 。

Cada departamento debe tener acceso al servidor de correo interno y se pueden enviar y recibir correos electrónicos entre departamentos. Las computadoras dentro de la empresa están conectadas mediante el sistema interno de la empresa. Se utiliza un acceso de fibra óptica de 1000M entre la red interna de la empresa e Internet. La empresa configura internamente un servidor web para proporcionar los servicios de imagen y comercio electrónico de la empresa a Internet. Para garantizar la seguridad, se deben adoptar medidas de protección entre Internet y la red interna de la empresa para evitar el acceso no autorizado a la red interna desde el mundo exterior.

4.Requisitos de rendimiento

Toda la empresa planea utilizar fibra óptica de 1000M para acceder a Internet proporcionada por el operador. Requisitos de rendimiento: incluida la eficiencia del servicio, la calidad del servicio, la tasa de rendimiento de la red, el tiempo de respuesta de la red, la velocidad de transmisión de datos, la utilización de recursos, la confiabilidad, la relación rendimiento/precio, etc.;

De acuerdo con la particularidad de este proyecto, los puntos de voz y los puntos de datos utilizan el mismo medio de transmisión, es decir, cables de par trenzado de 4 pares Categoría 5e se utilizan uniformemente para satisfacer la necesidad de respaldo mutuo de voz y datos; los cables de conexión entre edificios están expuestos al aire libre. Afectados por el sol, la selva tropical y los rayos durante todo el año, los pares trenzados, cables coaxiales delgados, cables coaxiales gruesos y cables ópticos de uso común actualmente son

Desde la perspectiva de los medios de transmisión por cable, el cable óptico es el medio de transmisión más adecuado desde los aspectos de antiinterferencia, anticorrosión, alto ancho de banda y distancia de transmisión permitida.

Capítulo 3 Descripción general de las tecnologías relacionadas

3.1 tecnología VLAN

VLAN (Red de área local virtual) es una tecnología que implementa grupos de trabajo virtuales dividiendo los dispositivos de la LAN en segmentos de red de forma lógica en lugar de física. IEEE promulgó el borrador del estándar del protocolo IEEE 802.1Q en 1999 para estandarizar la implementación de VLAN. LAN virtual (VLAN) se refiere a una tecnología de red que permite agregar sitios de la red de manera flexible a diferentes subredes lógicas según sea necesario, independientemente de su ubicación física. LAN virtual basada en Ethernet conmutada En Ethernet conmutada, la tecnología VLAN se puede utilizar para dividir la red física conectada por conmutadores en múltiples subredes lógicas. Es decir, los paquetes de difusión enviados por una estación en una VLAN sólo se reenviarán a estaciones que pertenecen a la misma VLAN. En Ethernet conmutada, cada sitio puede pertenecer a diferentes LAN virtuales. Los sitios que constituyen una LAN virtual no se limitan a sus ubicaciones físicas, pueden conectarse al mismo conmutador o a diferentes conmutadores. La tecnología de LAN virtual hace que la topología de la red sea muy flexible. Por ejemplo, los usuarios de diferentes plantas o departamentos pueden unirse a diferentes LAN virtuales según sea necesario.

3.2 tecnología OSPF

3.2.1 Cómo funciona OSPF

OSPF es la abreviatura de Abrir primero la ruta más corta. Es un protocolo de puerta de enlace interior basado en el estado del enlace desarrollado por la organización IETF. Actualmente, se utiliza OSPF Versión 2 (RFC2328) para el protocolo IPv4.

OSPF tiene las siguientes características:

(1) Tiene una amplia gama de adaptabilidad, admite redes de varios tamaños y puede admitir hasta varios cientos de enrutadores.

(2) Convergencia rápida, que puede enviar mensajes de actualización inmediatamente después de que cambia la topología de la red, de modo que este cambio pueda sincronizarse en el sistema autónomo.

(3) Sin bucle automático Dado que OSPF utiliza el algoritmo de árbol de ruta más corto para calcular rutas basadas en el estado del enlace recopilado, el algoritmo en sí garantiza que no se generarán rutas de bucle automático.

(4) La división de áreas permite que la red de sistemas autónomos se divida en áreas para su gestión, y la información de enrutamiento transmitida entre áreas se abstrae aún más, lo que reduce el ancho de banda ocupado de la red.

(5) El enrutamiento de igual costo admite múltiples rutas de igual costo a la misma dirección de destino.

Cuando los dispositivos de red con funciones de enrutamiento ejecutan el protocolo OSPF, los dispositivos comenzarán a intercambiar mensajes de saludo. Los mensajes de saludo generalmente contienen información de enrutamiento básica y luego se intercambiarán mensajes DBD. El artículo describe brevemente su propia información LSA y la compara. con su propia información LSA a través del mensaje DBD recibido. Si falta parte de la información LSA, se envía un mensaje LSR para solicitar que se envíe la parte faltante. En este momento, el dispositivo par enviará un mensaje LSU, LSU principalmente actualiza información LSA y luego envía un mensaje de confirmación para garantizar la seguridad. Finalmente, LSU se almacena en la base de datos LSA para formar LSDB y luego ejecuta el algoritmo SPF para calcular la ruta óptima y formar una tabla de enrutamiento.

Tabla 3-1 Tabla de comparación entre RIP y OSPF

ROTURA	OSPF
Basado en el algoritmo del vector de distancia, se utiliza el recuento de saltos como método de medición y se ignora el impacto del ancho de banda.	Según el estado del enlace, el costo del enlace se utiliza como método de medición y el ancho de banda como valor de referencia. El método de medición es más científico.
El recuento de saltos de RIP está limitado a 15, lo que limita la escala de red de RIP.	No hay límite en la cantidad de saltos y es aplicable a redes más grandes.
Las actualizaciones y selecciones de rutas se realizan de acuerdo con los anuncios de rutas. Los enrutadores no comprenden toda la topología de la red y son propensos a generar bucles de enrutamiento.	Cada enrutador puede captar la topología de toda la red y calcular rutas a través del algoritmo de prioridad de ruta más corta SPF (Shortest Path First), sin provocar bucles de enrutamiento.
La velocidad de convergencia es lenta y las actualizaciones de enrutamiento pasarán por un período de supresión y recolección de basura, lo que fácilmente puede provocar inconsistencias en el enrutamiento entre enrutadores.	La convergencia es rápida porque las actualizaciones de enrutamiento se entregan de manera oportuna y rápida a toda la red.
No se pueden manejar máscaras de subred de longitud variable (VLSM).	Capaz de manejar VLSM y asignar direcciones IP de manera flexible.

3.3 tecnología DHCP

DHCP , Protocolo de configuración dinámica de host, anteriormente protocolo BOOTP , es un protocolo de red LAN que utiliza el protocolo UDP para funcionar. Hay dos puertos de uso común : 67 (servidor DHCP), 68 (cliente DHCP) . DHCP se usa generalmente en entornos LAN y su función principal es administrar y asignar direcciones IP de manera centralizada, lo que permite al cliente obtener información dinámica como direcciones IP , direcciones de puerta de enlace , direcciones de servidor DNS y mejorar el uso de direcciones. En pocas palabras, DHCP es un protocolo que asigna automáticamente direcciones IP y otra información a las máquinas de la intranet sin requerir una cuenta o contraseña para iniciar sesión .

Hay varios tipos de mensajes DHCP :

DHCP DISCOVER : El paquete enviado por el cliente para iniciar el proceso DHCP es el comienzo del protocolo DHCP .
OFERTA DHCP : La respuesta realizada por el servidor después de recibir DHCP DISCOVER . Incluye la IP proporcionada al cliente ( yiaddr ), la dirección MAC del cliente , el tiempo de vencimiento del arrendamiento, el identificador del servidor y otra información.
SOLICITUD DHCP : El cliente responde a la OFERTA DHCP emitida por el servidor. También se utilizará a la hora de renovar el contrato de arrendamiento.
DHCP ACK : un mensaje de confirmación exitoso enviado por el servidor después de recibir la SOLICITUD DHCP del cliente. Al establecer una conexión, el cliente confirmará que se puede permitir el uso de la IP y otra información asignada a ella después de recibir este mensaje .
DHCP NAK : el mensaje opuesto a DHCP ACK , que indica que el servidor rechazó la solicitud del cliente.
LIBERACIÓN DE DHCP : Generalmente ocurre cuando el cliente está apagado o fuera de línea. Este mensaje hará que el servidor DHCP libere la dirección IP del cliente que envió este mensaje.
DHCP INFORM : Un mensaje enviado por el cliente para solicitar información del servidor.
DECLINACIÓN DHCP: cuando el cliente descubre que la dirección IP asignada por el servidor no se puede utilizar (como un conflicto de direcciones IP), enviará este mensaje para notificar al servidor que el uso de la dirección IP está prohibido.

Flujo de trabajo DHCP :

Figura 3-1 Flujo de trabajo DHCP

3.4 tecnología STP

STP (Spanning Tree Protocol) es la abreviatura en inglés de Spanning Tree Protocol. Se puede utilizar para establecer estructuras de topología de árbol en redes informáticas. Su función principal es evitar que los enlaces redundantes en la red puente formen bucles. Pero ciertos factores pueden hacer que STP falle y la resolución de problemas puede resultar difícil, según el diseño de la red. El protocolo Spanning Tree es adecuado para equipos de red de todos los fabricantes. Existen diferencias en la configuración y la intensidad funcional, pero los principios y efectos de la aplicación son los mismos. El principio básico de STP es determinar la topología de la red transmitiendo un mensaje de protocolo especial, Unidad de datos de protocolo de puente (BPDU), entre conmutadores. Hay dos tipos de BPDU, BPDU de configuración (Configuration BPDU) y TCN BPDU. El primero se utiliza para calcular un árbol de expansión sin bucles y el segundo se utiliza para acortar el tiempo de actualización de las entradas de la tabla MAC cuando cambia la topología de la red de capa 2 (acortado del valor predeterminado de 300 a 15 s).

El protocolo Spanning Tree (STP) se define en el documento IEEE 802.1D. El principio de este protocolo es construir la topología de la red de acuerdo con la estructura del árbol, eliminar los bucles en la red y evitar problemas de tormentas de transmisión causados por la existencia de bucles.

La idea básica del Spanning Tree Protocol (STP) es construir la topología de la red de acuerdo con la estructura de "árbol". La raíz del árbol es un dispositivo puente llamado puente raíz. El puente raíz lo establece el BID (Bridge ID) del conmutador o puente. ), el dispositivo con el BID más pequeño se convierte en el puente raíz en la red de Capa 2. El BID se compone de la prioridad del puente y la dirección MAC. El número de bytes de la prioridad del puente de dispositivos de diferentes fabricantes puede ser diferente. A partir del puente raíz, se forma un árbol paso a paso. El puente raíz envía periódicamente BPDU de configuración. Los puentes que no son raíz reciben BPDU de configuración, actualizan las mejores BPDU y las reenvían. La mejor BPDU aquí se refiere a la BPDU enviada por el puente raíz actual. Si se recibe una BPDU de nivel inferior (el dispositivo recién conectado enviará una BPDU, pero el BID del dispositivo es mayor que el puente raíz actual), el dispositivo que recibe la BPDU de nivel inferior enviará su BPDU mejor almacenada al dispositivo recién conectado. Para informarle del puente raíz en la red actual; si la BPDU recibida es mejor, se recalculará la topología del árbol de expansión. Cuando el puente no raíz no ha recibido la mejor BPDU después de la edad máxima (Edad máxima, predeterminado 20 s) desde la última vez que recibió la mejor BPDU, el puerto entrará en el estado de escucha y el dispositivo generará BPDU TCN y enviará desde El puerto raíz reenvía, y el dispositivo de nivel superior que recibe la BPDU TCN del puerto designado enviará una confirmación y luego enviará la BPDU TCN al dispositivo de nivel superior. Este proceso continúa hasta el puente raíz, y luego el puente raíz llevará la etiqueta en la configuración BPDU enviada a partir de entonces. Indica que la topología ha cambiado. Después de recibir el cambio, todos los dispositivos en la red acortan el tiempo de actualización de las entradas de la tabla MAC de 300 a 15 segundos. El tiempo total de convergencia es de unos 50 segundos.

El protocolo Spanning Tree es un protocolo de capa de enlace de datos acordado en IEEE 802.1D. Se utiliza para resolver el problema de bucle de red causado por la construcción de enlaces redundantes en la capa central de la red mediante la transmisión de unidades de datos de protocolo de puente (Unidad de datos de protocolo de puente (BPDU para En resumen), al utilizar el algoritmo de árbol de expansión de STA para elegir el puente raíz, el puerto raíz y el puerto designado, la red eventualmente formará una red estructurada en árbol, en la que el puerto raíz y el puerto designado están ambos en estado de reenvío. se desactivan. Si la topología de la red cambia, se volverá a calcular la topología del árbol de expansión. La existencia del protocolo de árbol de expansión no solo resuelve el requisito de robustez de la red de los enlaces redundantes en la red de capa central, sino que también resuelve el problema de la "tormenta de transmisión" causada por los bucles físicos formados por enlaces redundantes.

Sin embargo, debido a las limitaciones del mecanismo del protocolo en sí, la velocidad de protección STP es lenta (incluso la velocidad de convergencia de 1 s no puede cumplir con los requisitos de clase de operador). Si se utiliza la tecnología STP dentro de la red del área metropolitana, la turbulencia en la red del usuario causará Agitación en la red del operador. En la red de anillo MSTP, dado que el tiempo de conmutación de protección SDH es mucho más rápido que el tiempo de convergencia del protocolo STP, el sistema todavía usa SDH MS-SPRING o SNCP, y el tiempo de conmutación general está dentro de los 50 ms. Sin embargo, durante la prueba, el tiempo de conmutación de algunos servicios Ethernet fue 0 o menos de unos pocos milisegundos debido al gran caché interno. Las acciones de conmutación de protección SDH son invisibles para la capa MAC. Estos dos niveles de protección pueden funcionar en coordinación y establecer un cierto tiempo de "retención". Generalmente, no se producirán múltiples problemas de conmutación.

El estado del puerto del árbol de expansión se divide en las siguientes partes:

Bloqueo: en este momento, el puerto de Capa 2 es un puerto no designado y no participará en el reenvío de tramas de datos. El puerto determina la ubicación y el ID de raíz del conmutador raíz al recibir BPDU y en qué estado debe estar cada puerto del conmutador después de que se complete la convergencia de la topología STP. De forma predeterminada, el puerto permanecerá en este estado durante 20 segundos.

Escucha (estado de escucha): en este momento, el árbol de expansión ha determinado que este puerto debe participar en el reenvío de tramas de datos según la BPDU recibida por el conmutador. Como resultado, el puerto del conmutador ya no estará satisfecho con recibir BPDU, sino que también comenzará a enviar sus propias BPDU, notificando así a los conmutadores adyacentes que el puerto participará en el reenvío de tramas de datos en la topología activa. De forma predeterminada, el puerto permanecerá en este estado durante 15 segundos.

Aprendizaje (estado de aprendizaje): este puerto de capa 2 está listo para participar en el reenvío de tramas de datos y comienza a completar la tabla MAC. De forma predeterminada, el puerto permanecerá en este estado durante 15 segundos.

Reenvío: este puerto de Capa 2 se ha convertido en una parte integral de la topología activa. Reenviará tramas de datos y enviará y recibirá BPDU al mismo tiempo.

Deshabilitado: este puerto de Capa 2 no participará en el árbol de expansión y no reenviará tramas de datos.

3.5 tecnología NAT

3.5.1 Principios de la tecnología NAT

NAT se instala en un dispositivo con función NAT entre la red interna y la red externa. El host interno necesita comunicarse con la red externa.

Cuando se comunican entre sí, NAT es responsable de la traducción de direcciones, por lo que una tabla de traducción (NAT

tabla) para almacenar la información de traducción de direcciones correspondiente. Si un dominio tiene múltiples salidas, también se debe garantizar que cada NAT tenga

Tener la misma tabla de traducción. En pocas palabras, NAT utiliza direcciones internas en la red LAN interna, y cuando la red interna

Cuando un punto quiere comunicarse con una red externa, reemplaza la dirección interna con una dirección pública en la puerta de enlace, por lo tanto

Se puede utilizar normalmente en Internet. Con la ayuda de NAT, la dirección privada (reservada) de la red "interna" se convierte en una dirección IP legal cuando los paquetes se envían a través del enrutador.

3.4.2 Términos relacionados con NAT

(1) Red interna (Interior): se refiere a la red de área local interna, que es la misma que la red definida como interna en el enrutador de frontera.

La interfaz está conectada.

(2) Red externa (Exterior): se refiere a todas las redes excepto la red interna, generalmente Internet, y sus límites.

Conéctese a la interfaz de red definida como externa en el enrutador.

(3) Direcciones locales internas: se refiere a la dirección IP utilizada por los hosts en la LAN interna.

Estas direcciones suelen ser direcciones de redes privadas.

(4) Direcciones globales internas: se refiere a la dirección pública utilizada por algunos hosts en la LAN interna.

dirección IP de la red. Por ejemplo, si el servidor está ubicado en la red de área local, la dirección IP pública legal utilizada por el servidor.

(5) Dirección local externa: la dirección IP utilizada por el host en la red externa.

Estas direcciones IP no son necesariamente direcciones de redes públicas.

(6) Direcciones globales externas: direcciones IP utilizadas por los hosts en la red externa,

Estas direcciones IP son direcciones IP públicas legales y enrutables globalmente.

(7) Grupo de direcciones: se refiere a múltiples direcciones IP públicas legales que se pueden usar para la traducción NAT.

3.4.4 Tipos de tecnología NAT

(1) Traducción de direcciones estáticas

Se refiere a convertir la dirección IP privada de la red interna en una dirección IP pública, el par de direcciones IP es uno a uno.

, es inmutable, una determinada dirección IP privada solo se convierte en una determinada dirección IP pública. Con la ayuda de la conversión estática,

Permite que las redes externas accedan a ciertos dispositivos específicos (como servidores) en la red interna.

(2) Traducción dinámica de direcciones

El grupo de NAT dinámica (NAT agrupada) utiliza un método de asignación dinámica para asignar las direcciones IP de la red interna y la red externa. El uso de la agrupación NAT significa que se pueden definir muchos usuarios internos en la intranet y compartir algunas direcciones IP externas mediante asignación dinámica. En un entorno NAT dinámico, la cantidad de usuarios que pueden comunicarse con el mundo exterior al mismo tiempo está limitada por la cantidad de direcciones en el grupo de direcciones. Cuando el usuario remoto se conecta, la dirección dinámica NAT le asignará una dirección IP en el grupo de direcciones que no está asignada a otros usuarios. Cuando el usuario se desconecta, esta dirección IP será liberada y reservada para uso futuro. Esto muestra que la dirección dinámica NAT La NAT de direcciones también debe mantener una tabla dinámica para registrar la correspondencia entre las direcciones IP privadas y las direcciones IP globales, porque la correspondencia entre ellas no es tan uno a uno como la NAT estática, por lo que la NAT dinámica es mucho más complicada que la NAT estática. Cabe señalar que después de que todas las direcciones IP externas asignadas dinámicamente en el grupo NAT estén ocupadas, las aplicaciones de traducción NAT posteriores fallarán y se devolverá un paquete ICMP del host inalcanzable. Solo cuando un usuario finalice la conexión, la asignación será liberado automáticamente. Una vez obtenida la dirección global, se pueden ejecutar nuevos requisitos de traducción de direcciones.

(3) Multiplexación de puertos

La traducción de direcciones de puertos (PAT) se refiere a cambiar el puerto de origen de los paquetes de datos salientes y realizar la traducción de puertos, es decir, la traducción de direcciones de puertos (PAT, traducción de direcciones de puertos) Se utiliza la multiplexación de puertos. Todos los hosts de la red interna pueden compartir una dirección IP externa legal para acceder a Internet, maximizando así el ahorro en recursos de direcciones IP. Al mismo tiempo, puede ocultar todos los hosts dentro de la red para evitar eficazmente ataques desde Internet. Por tanto, la multiplexación de puertos es actualmente el método más utilizado en la red.

3.4.5 Problemas existentes con la tecnología NAT

En las redes IPv4, la escasez de direcciones IP públicas ha llevado al uso generalizado de direcciones IP privadas en las redes de usuarios. Para lograr que los paquetes IP enviados desde la red privada del usuario puedan enrutarse a la red pública, se necesita un equipo de traducción especial en la interfaz entre la red del usuario y la red pública: un traductor de direcciones de red (NAT) para realizar la dirección pública. y dirección privada en el encabezado IP. Como tecnología estándar de Internet, NAT permite que las comunicaciones LAN internas utilicen un conjunto de direcciones IP y las comunicaciones externas utilicen otro conjunto de direcciones IP, lo cual es de gran importancia en el entorno actual del protocolo IPv4. Al separar las direcciones de Internet (dominio público) y LAN (dominio privado) a través de NAT, se pueden guardar muchas direcciones en comparación con un único mecanismo de asignación de direcciones global. Por un lado, esto proporciona a muchas empresas que no pueden solicitar muchas direcciones públicas enrutables globalmente una solución que permite que todos los terminales de la LAN se conecten a Internet, y por otro lado, porque los terminales dentro de la red privada no pueden comunicarse directamente con la red privada. mundo exterior, la red externa no puede ver No hay hosts en la red interna, lo que proporciona ciertas características de seguridad de la red interna y actúa como un firewall en este sentido. Pero también lo es el defecto de NAT, un problema que no se puede ignorar.

La dirección interna no tiene ruta en la red pública, los usuarios pueden acceder a ella desde otros, pero es difícil que otros accedan. En la red IP de mi país, muchos usuarios utilizan actualmente "direcciones internas", fenómeno que sin duda tiene un gran daño potencial para el desarrollo del negocio de IP de mi país. En realidad, este daño se ha ido revelando gradualmente. A medida que los teléfonos IP maduran gradualmente a nivel técnico, se han lanzado una serie de protocolos y estándares, como el H. 323 de ITU-T y el SIP de IETF, así como productos basados en estos protocolos estándar, como los sistemas de telefonía IP. Se han utilizado ampliamente puertas de enlace, etc., y también se han destacado algunos conflictos de red. Por ejemplo, algunas entidades de red restringen actualmente el paso de dichos paquetes de un extremo a otro, como los cortafuegos y los convertidores de direcciones de red. Las aplicaciones de voz y video basadas en protocolos como H.323, SIP, MGCP y H.248 necesitan implementar el direccionamiento de destino a través de direcciones IP y parámetros de puerto en los mensajes de señalización, por lo que el cruce NAT requiere no solo la capa TCP / UCP La información del puerto y la dirección de origen y la dirección de destino de la capa IP deben transformarse, y la información de dirección relevante en la carga útil del paquete IP debe transformarse; sin embargo, NAT solo modifica la dirección de origen, el puerto de origen, la dirección de destino y el destino de la capa IP. Cuando el paquete de datos pasa a través del puerto, cualquier información en la carga útil del paquete IP, incluida la información de la dirección, no se modifica, lo que hace que la comunicación no pueda continuar normalmente y este problema debe resolverse con urgencia.

3.4.5 Proceso de trabajo técnico NAT

En la terminal:

Cuando una aplicación quiere comunicarse con un servidor, abre un socket asociado con la dirección IP de origen, el puerto de origen, la dirección IP de destino, el puerto de destino y el protocolo de red. Esto identifica los dos puntos finales necesarios para la comunicación. Cuando una aplicación utiliza este socket para transferir información, la dirección IP privada del cliente (dirección IP de origen) y el puerto (puerto de origen) se insertan en el campo de origen del paquete. El campo de destino del paquete contendrá la dirección IP del servidor (host remoto - dirección IP de destino) y el puerto. Dado que el paquete está destinado a una ubicación fuera de la red privada, el cliente tomará el paquete y lo enviará a la puerta de enlace predeterminada. La puerta de enlace predeterminada en este caso es el dispositivo NAT.

En el dispositivo NAT:

El dispositivo NAT interceptará el paquete saliente. Luego cree una asignación de puerto utilizando la dirección IP de destino (servidor), el puerto de destino, la dirección IP externa del dispositivo NAT, el puerto externo, el protocolo de red o la dirección IP y el puerto internos del cliente. El dispositivo NAT mantendrá una tabla compuesta de estas asignaciones y almacenará la asignación del puerto en la tabla. La dirección IP y el puerto externos son la dirección IP pública y el puerto utilizados para este tráfico de datos en lugar de la dirección IP y el puerto internos del cliente. Luego, el dispositivo NAT traduce los paquetes provenientes de la dirección IP y el puerto internos del cliente al convertir el campo de origen de los paquetes a la dirección IP y el puerto públicos del dispositivo NAT. Luego, el paquete se envía a través de la red externa y finalmente llega al servidor de destino.

Capítulo 4 Diseño del sistema

4.1 Planificación del diseño de la red

4.1.1 Principios de diseño de la arquitectura de red.

1. Seguridad y confiabilidad: puede garantizar la seguridad y confiabilidad de toda la arquitectura de la red. Al construir la arquitectura de la red, se diseña un procesamiento de respaldo redundante para el núcleo relevante, la capa de agregación y el equipo de red de la capa de acceso, y se pueden establecer políticas de seguridad relevantes. de manera oportuna Para evitar fugas de datos internos y ataques de piratas informáticos

2. Cumplir con las regulaciones nacionales relevantes: al construir esta red empresarial, cumplimos estrictamente con la última orden nacional No. 82 y otros documentos relevantes, protocolos multimedia relevantes y requisitos más altos para la tecnología de comunicación, así como algunas tecnologías y estándares internacionales comunes. Protección del registro de seguridad nacional

3. Económico, práctico y escalable: cuando pueda satisfacer las diversas necesidades de la empresa, elija el equipo de red y los servidores más rentables que también sean convenientes para actualizaciones posteriores.

4. Practicidad avanzada: al diseñar y construir una red empresarial, debe considerar el uso de informática avanzada y confiable para garantizar que la red empresarial no se quede atrás de la tendencia del desarrollo de redes modernas y pueda seguir el desarrollo de los tiempos.

4.1.2 Diseño de estructura jerárquica de red

La red para pequeñas y medianas empresas diseñada esta vez adopta un diseño de estructura jerárquica de tres capas. El diseño de la arquitectura de red de tres capas es dividir el diseño de red complejo en varios niveles, y cada nivel se centra en ciertas funciones específicas, por lo que que puede Un gran problema complejo se convierte en muchos problemas pequeños y simples. La red diseñada por la arquitectura de red de tres capas tiene tres capas: la capa central (la columna vertebral de conmutación de alta velocidad de la red), la capa de agregación (que proporciona conexiones basadas en políticas) y la capa de acceso (que conecta estaciones de trabajo a la red). ).

4.2 Diagrama de topología de red

Figura 4.1 Diagrama de topología de red

4.3 Planificación de direcciones IP

Los principios de la planificación de direcciones IP de red son:

(1) Simplicidad: la asignación de direcciones IP debe ser simple y clara, evitando el uso de máscaras más complejas en las redes principales.

(2) Continuidad: asigne una serie de direcciones consecutivas a un área de red para aumentar la velocidad de procesamiento del enrutador.

(3) Escalabilidad: las direcciones asignadas a un área de red deben tener una cierta capacidad para que se pueda garantizar la continuidad de las direcciones cuando el número de terminales aumente aún más en el futuro.

(4) Manejabilidad: la planificación de direcciones debe dividirse en direcciones primarias y secundarias. Los cambios en las direcciones en un área determinada no pueden afectar la situación general.

(5) Seguridad: Las direcciones de red deben planificarse para diferentes segmentos de red según el contenido del trabajo para la gestión.

Tabla 4.1 Tabla de planificación de direcciones IP

departamento	segmento de red	mascarilla	puerta
Ventas	10.10.0.0	255.255.255.0	10.10.0.254
Departamento de Finanzas	10.10.1.0	255.255.255.0	10.10.1.254
Departamento de Personal	10.10.2.0	255.255.255.0	10.10.2.254
Oficina 1	10.10.3.0	255.255.255.0	10.10.3.254
oficina 2	10.10.4.0	255.255.255.0	10.10.4.254
Departamento de Tecnología	10.10.5.0	255.255.255.0	10.10.5.254
habitación del gerente	10.10.6.0	255.255.255.0	10.10.6.254
servidor DNS	10.10.200.53	255.255.255.0	10.10.200.254
Servidor web	10.10.200.80	255.255.255.0	10.10.200.254
Servidor de correo	10.10.200.25	255.255.255.0	10.10.200.254

4.4 Selección de equipo

Al seleccionar equipos, se recomienda elegir equipos Cisco. Cisco siempre ha sido una empresa líder en el campo de equipos de red y el equipo es estable y rentable.

4.4.1 Selección del equipo de la capa central:

Los productos de la serie Cisco Catalyst 3750 son conmutadores empresariales de nivel profesional que han ganado con éxito el mercado con sus destacadas características innovadoras y su tecnología líder en la industria, y han obtenido buenos resultados en términos de ventas y revisiones. Además, también podemos aprender que los conmutadores de la serie Cisco Catalyst 3750 tienen una practicidad y rentabilidad excepcionales en la industria y pueden satisfacer las diferentes necesidades de una variedad de escenarios. Luego, el próximo anuncio le brindará una introducción detallada a los parámetros de la serie Cisco Catalyst 3750:

Tabla 4.1 3750 parámetros

tipo de producto	Cambio de nivel empresarial
tabla de direcciones MAC	12K
Estructura portuaria	no modular
Número de puertos	26
Descripción del puerto	24 puertos Ethernet 10/100Mpps, 2 puertos Gigabit Ethernet basados en SFP
nivel de aplicación	tercer piso
Velocidad de transmision	10/100/1000Mbps
método de intercambio	almacenamiento y reenvio
Ancho de banda del plano posterior	32Gbps
Función de apilamiento	Apilable
Tasa de reenvío de paquetes	6.5Mpps
Modo de transmisión	Soporta dúplex completo
VLAN	apoyo
Tamaño del producto	445×301×44mm
QOS	apoyo
administración de redes	SNMP, CLI, Web, software de gestión

El esquema del producto de Cisco Catalyst 3750 es el siguiente:

Figura 4.2 Switches Cisco Catalyst serie 3750

4.4.2 Cambio de capa de agregación

Elija los conmutadores de la serie Cisco Catalyst 2960 en la capa de agregación. Debido a sus características de red similares a los conmutadores de gama alta y sus puertos fijos de alta densidad, los conmutadores de la serie 2960 son generalmente adecuados para conmutadores de acceso en redes de campus. Los conmutadores de la serie 2960 pueden admitir muchas funciones de conmutación avanzadas, como control de admisión de red (NAC), calidad de servicio avanzada (QoS), seguridad integrada, flexibilidad, etc., y tienen un precio razonable y son rentables. Puede proporcionar servicios inteligentes hasta el borde de la red.

En términos de rendimiento, los conmutadores de la serie 2960 admiten matrices de conmutación de 32 Gbit/s; admiten enlaces EtherChannel; proporcionan hasta 48 puertos 10/100BASE-FX y 2 puertos Ethernet 10/100/1000BASE-T; admiten un ancho de banda agregado de hasta 8 Gbit/s ; admite hasta 8.000 direcciones MAC. También se admite la redundancia de árbol de expansión y 802.3ad.

En términos de seguridad, los conmutadores de la serie 2960 admiten funciones de seguridad avanzadas 802.1x; admiten VLAN privada, seguridad de puerto, DHCP Snooping y seguimiento de interfaz; admiten autenticación TACACS+ y RADIUS, etc., permiten acceso remoto y administración remota, y admiten cifrado en modo remoto. sesiones de tráfico del administrador, protegiendo eficazmente la seguridad de la red.

Tabla 4.2 2960 parámetros

Número de producto	2960
nivel de aplicación	Segunda planta
tipo de producto	conmutador gestionado
Velocidad de transmision	10/100/1000Mbps
procesador	APM86392 600MHz de doble núcleo
Memoria del producto	Memoria flash: 128MB
memoria DRAM	512MB
Ancho de banda del plano posterior	108 Gbps
método de intercambio	almacenamiento y reenvio
Tasa de reenvío de paquetes	71,4Mpps
Estructura portuaria	no modular
Número de puertos	48
Descripción del puerto	24 interfaces 10/100/1000, 4 interfaces SFP
Modo de transmisión	Adaptable full duplex/half duplex
Voltaje	CA 100-240 V, 50-60 Hz
Tamaño del producto	45×279×445mm
产品重量	4kg
平均无故障时间	564,910小时

Cisco Catalyst 2960的产品外形图如下：

图 4-2 Cisco Catalyst 2960系列交换机

4.4.3 路由器选型

局域网出口路由器选择思科2911路由器，具体参数如下：

表4.3 2911参数

路由器类型	多业务路由器
网络协议	IPv4，IPv6，静态路由，IGMPv3，PIM SM，DVMRP，IPSec
传输速率	10/100/1000Mbps
端口结构	模块化
扩展模块	1个服务模块插槽数+4个EHWIC插槽+2个双宽度EHWIC插槽（使用双宽度EHWIC插槽将占用两个EHWIC插槽）+1个ISM插槽+2个板载DSP（PVDM）插槽
防火墙	内置防火墙
Qos支持	支持
VPN支持	支持
产品内存	DRAM内存：512MB，最大2GB
FLASH内存：256MB	FLASH内存：256MB
电源电压	AC 100-240V，47-63Hz
产品认证	UL 60950-1，CAN/CSA C22.2 No. 60950-1，EN 60950-1，AS/NZS 60950-1，IEC 60950-1
产品尺寸	44.5×438.2×304.9mm
产品重量	9.5kg（完整配置）
环境标准	工作温度：0-40℃
工作湿度：10%-85%RH	工作湿度：10%-85%RH
存储温度：-40-70℃	存储温度：-40-70℃
存储湿度：5%-95%RH	存储湿度：5%-95%RH
其它性能	基于硬件的嵌入式密码加速（IPSec+SSL）

下图为2911的产品外形图：

图4.3 2911路由器

4.5 综合布线原则

综合布线系统是建筑物或建筑群内的信息传输系统。它使话音和数据通信设备、交换机设备、信息管理系统及设备控制系统、安全系统彼此相连，也使这些设备与外部通信网络连接。它包括建筑物到外部网络或电话局线路上的连线、与工作区的话音或数据终端之间的所有电缆及相关联的布线部件。布线系统由不同系列的部件组成，其中包括:传输介质、线路管理硬件、连接器、插座、插头、适配器、传输电子线路、电器保护设备和支持硬件。

建筑物结构化综合布线网是由六个独立的子系统组成:

工作区(WORK AREA)子系统---由工作区内的终端设备连接到信息插座的连接电缆组成。常用设备是计算机(PC，工作站，中端，打印机)，电话，传真机等设备。

管理子系统(ADMINISTRATION)--由交叉连接、直接连接配线的(配线架)连接硬件等设备所组成。实现配线管理，其设计很完善，使用颜色编码，很容易追踪和跳线，体积小比传统配线箱节省50%空间。

水平子系统(HRIZONTAL--由每一个工作区的信息插座开始，经水平布置一直到管理区的内侧配线架的线缆所组成。实现信息插座和管理子系统间(跳线架)的连接，常用六类双绞线实现这种连接。

主干线(RISER; BACKBONE)子系统---由建筑物内所有的(垂直)干线多对数线缆组成，即多对数铜缆和多模多芯光纤以及将此线缆连接到其他地方的相关支撑硬件所组成。实现计算机设备、程控机PBX和各管理子系统间的连接。常用通信介质是光纤，使系统传输率达到1000MBPS以上。

设备间子系统(EQUIPMENT)---由设备间的线缆、连接器和相关支撑硬件组成。实现布线系统与设备的连接，主要为配合不同设备有关的适配器。

建筑群子系统---将一个建筑物中的线缆延伸到建筑物群，实现楼宇之间布线，连接到另一些建筑物中的通讯设备和装置上，它由电缆、光缆和入楼处线缆上过流过压的电器保护设备等相关硬件组成。

综合布线系统本身具有很高的兼容性，根据用户要求，本方案为开放式结构，能支持话音及多种计算机数据和图像传输系统。系统能兼容话音、数据、图像的传输，并可与外部公用网络进行连接。

第5章详细设计

在通信网络当中,应当对网络的生存能力和业务能力进行共同的考虑，才能更好的确保网络功能的正常发挥。在设计网络可靠性的时候,应当满足网络可行性，也就足限定费用条件的限制下,最大程度上提高网络的可行性。或者是在满足网络可行性的条件下，尽可能降低费用。

在网络设计方面,已经拥有很多的研究成果,但是,这些相关的研究只对网络的业务能力进行关注,却缺乏网络可靠性方面的思考。如果有一些网络部件失效,将会极大的影响网络的业务性能。因此在进行网络设计时,既要考虑到网络的业务能力，也要充分的认识到网络的可靠性

在COST239欧洲光纤网的设计过程中,采用了进化规划和遗传算法，有效的降低了网络造价，同时具有网络冗余。其网络拓扑结构为网状,适用于具有对等关系、节点数较少的广域网拓扑的设计。此外,网络拓扑的可靠性设计也十分重要。对此环形网络可靠性较高,但设计难度较高.尤其是双向自愈环形网络更为复杂。因此,可采用遗传算法来设计环形网,同时兼顾路由的选择和带宽的分配。

在子网划分的过程中，可以建立新的网络适应度函数,这样能够极大的提高子网划分的平衡性。结仓实际情况，可对网络划分的方式进行优化和改送，使其能够自动进行网络的划分。由于遗传法具有一.定的局限性,容易引起局部最优的问题,可以在遗传算法中利用慎拟退火法米改进其中的选择算子。同时在变异操作中,进行白适应控制技术的应用.能够有效提高收敛速度.改进子网划分的逼近精度。

在路由选择方面,进化算法已经进行了很多的相关研究。例如，对于计算机通信的容量分配和路由选择,也就是分别选择一条路由给每一对通信节点,同时提供一个容星值给网络中的每一条链路。这样,就能够有效的降低网络规划设计的整体费用。此外,在电信网.络当中,对于带宽分配、波长分配频率分配等方面问题的解决.都很好的体现出了进化算法中较高的通用性和鲁棒性,同时方法十分简单

本项目的网络设计考虑到中小型企业的日常办公和业务办理，网络拓扑结构采用的是双线冗余的机制，网关部署核心交换机，核心负责查询路由表进行转发，互联网接入设备负责NAT的转换和内部服务器的映射工作，让互联网用户通过设备配置的静态NAT映射可直接访问内部WEB服务器来浏览企业官网，汇聚交换机主要就是上联核心交换机，下联各部门接入交换机，让核心上的流量数据清晰。网络部署原则：

先进性原则：以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。、

开放性原则：企业网的建设应遵循国际标准，采用大多数厂家支持的标准协议及标准接口，从而为异种机、异种操作系统的互连提供便利和可能。

可管理性原则：网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。

安全性原则：信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。

灵活性和可扩充性：选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一成不变的，如需要添加或删除一个工作站，对一些设备进行更新换代，或变动设备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。

稳定性和可靠性：可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。

高带宽：由于企业网络应用的特殊性 , 它对整个网络系统的性能要求相对来说比较高。其中，网络速率要求主要的信息点100M交换到桌面，园区网中各终端间具有快速交换功能。为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。

QoS 保证：随着网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证 QoS，以支持这类应用。

IP Multicast：由于园区网络中包含许多多媒体应用通信，会存在许多的广播信息，占用大量的带宽资源。所以网络系统应能支持 IP Multicast ，可以减少网络中不必要的广播，节省主干的带宽。

符合IP发展趋势的网络：在当前任何一个提供服务的网络中，对IP的支持服务是最普遍的，而IP技术本身又处在发展变化中，如 IpV6，IP QoS，IP Over SONET等等新兴的技术不断出现，企业网络必须跟紧 IP发展的步伐，也就是必须选择处于 IP发展领导地位的网络厂商。

5.1 核心层设计

图5.1 核心层设计

核心层的功能主要是实现骨干网络之间的优化传输,是所有流量的最终承受者和汇聚者核心层设计任务的重点通常冗余能力、可靠性和高速的传输。随着网络时代的到来,企业的网络也在不停地发展业务流量、分支接入都在考验着核心网络的承载能力,因此对核心层网络的设计以及规划也变得具有非常重要的现实意义。网络核心层主要功能为:负责骨干网络之间的优化传输、实现业务服务器(数据中心)的高速接入、构建统一的数据传输交换中心、安全控制中心与网络管理中心。因此，在网络核心层设计时，网络的高性能与高可靠性是设计的重点。将来系统建设完成后，网络核心层主要包括:网络核心交换机、网络核心路由器，核心设备间采用高速链路实现互连，核心层内的设备配置OSPF来保证网络路由的可靠性；并且交换机还为各终端设备提供DHCP地址下发；路由器属于互联网接入，要拒绝公网地址直接访问内部网络，同时要保证终端用户上网和服务器的业务对外正常。

局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机(通信设备)为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。优点是网络结构简单，易于维护，便于管理(集中式);每台入网机均需物理线路与处理机互连，线路利用率低;处理机负载重(需处理所有的服务)，因为任何两台入网机之间交换信息，都必须通过中心处理机;入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。连接设备采用可网管的24口交换机，这样更能保护内部数据，安全性更好。局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。为移动办公的需要，公司配有笔记本电脑,办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。

整个网络的主干部分和各建筑物内部的主干网络结构确定后，接下就要进行主要网络设备，如各种服务器、边界路由器和防火墙等的连接了。首先在整个网络的机房内把网络根域控制器和额外域控制器均连接在校园网核心交换机高速端口上，整个网络的边界路由器则根据实际需要选择，通常直接利用中间节点路由器即可，因为中间节点路由器除了具有局域网内部网段连接功能外，同样具有外部网络连接功能，支持多种接入方式。然后再把边界防火墙接在路由器的一个WAN端口上。另外，还需要配置一台管理控制台计算机，直接连接在机房核心交换机的普通端口上。在各子网设备间同样把子网的域控制器连接在子网设备问交换机高速端口上，同样在子网设备间和建筑物设备问都可以部署一台管理控制计算机，连接在交换机的普通端口即可。

最后再把各建筑物内部的用户终端连接在各建筑物内部各楼层交换机的普通端口上即可，要注意的是各交换机所连接的用户终端数和负荷要尽可能均衡，同时要为每台交换机预留至少4个以上的端口用于维护和未来扩展。

核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。

5.2 汇聚层设计

图5.2汇聚层设计

汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。园区网可基本保持原有的二层网络架构，并在自己的园区网中使用专用IP地址块，楼层之间采用千兆光纤相连，建议划分为若干个子网，也可以划分为多个VLAN，以隔离广播流量，提高网络工作效率，并提高安全性。

交换机的网络扩展主要体现在两个方面：一是用于与下级交换机连接的端口，另一个是用于连接后续添加的工作站用户。与下级交换机连接方面，一般是通过高带宽端口进行的，毕竟下级交换机所连用户都是通过这个端口进行的。如果交换机提供了Uplink(级联)端口，则直接用这个端口即可，因为它本身就是一个经过特殊处理的端口，其可利用的背板带宽比一般的端口宽。但如果没有级联端口，则只能通过普通端口进行了，这时为了确保下级交换机所连用户的连接性能，最好选择一个较高带宽的端口。本示例中可以留下一个干兆位端口用于扩展连接，当然在实际工作中，这个高带宽端口还是可以得到充分利用的，只是到需要时能重新空余下来即可。

在企业网中，汇聚层是核心层和接入层之间的分界点。它能帮助定义和区分核心层。汇聚层的功能是对网络的边界进行定义。对数据包/帧的处理应该在这一层完成。在中小型企业的网络环境中，汇聚层设计了两台交换机，与接入交换机两两互联，物理链路冗余，某台汇聚交换机故障时只需要等待STP生成树收敛时间完成，保证用户的办公和上网体验。

汇聚层：汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中，应该选用支持三层交换技术和VLAN的交换机，以达到网络隔离和分段的目的。

5.3接入层设计

图5.3接入层设计

接入层向本地网段提供工作站接入。交换机端口总数不等于可连接的工作站用户数，因为交换机中的一些端口还要用来连接那些不是工作站的网络设备，如服务器、下级交换机、网络打印机、路由器、网关、网桥等。假设，网络中有一台专门的服务器、一台宽带路由器和一台网络打印机，所以网络中可连接的工作站用户总数就为26(24个1 O／1 00Mbps端口+2个1 O／1 00／1 00Mbps端口)一3=23 个。如果要保留一个端口用于网络扩展(在小型网络中保留一个扩展端口基本上可以满足，因为在一般的交换机上还有一个用于级联下级交换机的级联端口Uplink)，则实际上可连接的最多工作站用户数为22个。在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。接入层因为部署在楼层弱电间内，需要注意的就是各个部门之间的VLAN需要注意划分。

5.3 关键性技术及难点

这种扩展型星型网络比起前面介绍的小型星型网络要复杂得多,在其中涉及到的网络技术也复杂许多。下面是设计这类网络结构的基本思路。

采用白上而下的分层结构设计

首先确定的是核心交换机的连接，然后是会聚层交换机的连接。再次是边缘层的交换机连接。

把关键设备冗余连接在两台核心交换机上

要实现核心交换机负载均衡和冗余配置,最好对核心交换机之问、核心交换机与骨干层交换机之间，以及核心交换机与关键设备之间进行均衡和冗余连接和配置。

连接其他网络设备

把关键用户的工作站和大负荷网络打印机等设备连接在核心交换机，或者会聚层交换机的普通端口上;把工作负荷相对较小的普通工作站用户连接在边缘交换机上。

本项目采用的关键技术为NAT地址转换、OSPF动态路由协议以及DHCP动态主机协议的地址下发和STP生成树的链路冗余。

主要难点在于互联网接入路由器对于静态映射需要格外注意，端口一一对应，需要精确到某个协议的某个端口。

5.4 存在问题和解决办法

就是STP生成树的根桥问题，需要了解生成树选举规则，并根据规则和最优路径来指定根设备，或者手动对设备指定根桥来确保网络转发正常，避免MAC地址抖动等影响网络体验感的事件发生

第6章系统测试

6.1 配置实施

6.1.1 出口路由器

图5.1 出口路由器

PNAT与静态NAT配置：

access-list 1 permit any //创建供NAT调用的ACL列表

ip nat inside source list 1 interface GigabitEthernet0/2 overload //配置源地址转换

ip nat inside source static tcp 10.10.200.80 80 188.245.202.1 80 //内部WEB服务器映射互联网

出口路由器作为互联网接入设备，对于整个局域网网络来说是至关重要的一个设备，它既负责着内部网络的上网转换，又对外部访问内部服务器的业务做了一个目的转换，如果出口路由器宕机，那么将造成整个局域网无法访问互联网，企业发布在公网上的业务自然也是会中断的。

6.1.2 核心交换机

图6.2 核心交换机

DHCP地址池配置：

ip dhcp pool 10 //创建地址池

network 10.10.0.0 255.255.255.0 //设置DHCP下发网段

default-router 10.10.0.254 //指定网关

dns-server 10.10.200.53 //指定下发DNS地址

交换机开启路由功能：

ip routing

核心交换机对于整个局域网来说就是一个中转设备，内部终端设备的网关部署在核心上，核心交换机通过内部交换实现了各个网段的互联互通，并且与路由器之间配置了OSPF的骨干区域路由，让本地网段可自动发送至DR让路由器学习，无需人工手动进行配置，方便了运维人员运维。

6.1.3 汇聚交换机

图6.3 汇聚交换机。

接口配置：

interface ran FastEthernet0/1-10

sw tr en do

sw mo trunk

汇聚层设备主要与核心和接入层线路都是交叉互联的，通过STP生成树协议的特点来对网络环路进行破环，汇聚承接了所有接入交换机的流量，并且链路备份可让网络具有更高的可靠性。

6.1.4接入交换机

图6.4 接入交换机

销售部交换机接口配置：

interface FastEthernet0/1

switchport mode trunk

interface FastEthernet0/2

switchport mode trunk

interface FastEthernet0/3

switchport access vlan 10

接入层设备是终端接入的信息点了，设备的端口数多，设置两条上联线做主备来实现冗余，上联口配置trunk并允许VLAN通过，终端则就按需配置相应的VLAN号，让终端可接入网络中。

6.1.5 服务器配置

图6.5 DNS服务器配置

DNS服务器的主要作用就是在于域名解析，设立一个域名通过与IP地址的对应关系配置，实现访问域名自动解析到相应的IP地址，本地DNS服务器配置了邮件服务器的解析和WEB服务器的内网地址解析和外网地址解析。

图6.6 WEB服务器配置

局域网的内部搭建了WEB服务器，服务器对内部和外部开启HTTP功能，并且按需修改index首页内容，通过DNS的解析和设备的公网发布让局域网以及互联网用户打开WEB服务器都能同步到此项内容。

图6.7 email服务器配置

邮件服务器设置域名为email.com,创建usre1和user2两个账号，开启服务后，通过内网的DNS服务器解析此域名就可以通过账户密码登录的方式正常的连接到邮件服务器来进行收发邮件。

6.2 连通性测试

6.2.1 终端DHCP自动获取

终端通过核心交换机的DHCP地址池的下发自动获取到了IP、网关和DNS。

图6.8 DHCP自动获取

6.2.2 部门之间互访测试

销售部ping人事部和办公室1测试，返回结果正常。

图6.9 局域网互访

6.2.3 OSPF效果测试

核心交换机上查看OSPF的邻接关系，返回结果为FULL。

图6.10 OSPF邻居建立成功

路由器查看路由器，发现OSPF的路由已经成功写进路由表里了，与邻居的关系建立和路由学习正常。

图6.11 路由器学习到的OSPF路由

6.2.4 终端上网测试

人事部访问互联网的PC地址，测试正常。

人事部访问互联网正常

路由器监测到人事部访问互联网，在设备上做了源地址转换。

路由器nat信息

6.2.5 email邮件服务器测试

经理室设置user1，财务部配置user2的邮箱信息，通过经理室发送邮件到[email protected]，财务部正常接收邮件，测试正常。

经理室发送邮件财务部接收

6.2.6 静态NAT访问测试

互联网PC通过设置内部映射出公网的DNS地址，成功解析了域名为www.internet.com的网站服务器。

互联网PC通过内部DNS解析访问WEB服务器

第7章总结

本次设计的题目为基于静态NAT的中小企业服务器网络端口映射与实现。通过本次的毕业设计，开始时，我对毕业设计和论文的写法做法都一头雾水，完全不知道要从哪开始动手，后来，通过导师和同学的帮助，让我对毕业设计和论文所需了解得知识越来越丰富，再加上资料得查询，对网络知识的不断加深。在搜集资料后，我在电脑中都进行分类的整理，然后针对自己不同部分的写作内容进行归纳和总结。尽量使我的资料和论文的内容符合,这有利于论文的撰写。然后及时拿给老师进行沟通,听取老师的意见后再进行相关的修改。老师的意见总是很宝贵的，可以很好的指出我的资料收集的不足以及需要什么样的资料来完善文章。一步一脚印的对毕业设计进行设计、搭建、调试、测试再到最后的设计完成。这一阶段的学习让我对网络这个IT方向更加的了解和深入，也对这个行业有了更深的研究，但是根据目前所学的技术，本课题的设计还存在很多不够成熟的地址，我会在接下来的学习和工作中，对此次设计不断的完善和改进。不足之处如下：

发现局域网的安全系数不够高，网络安全性保障不高，没办法实现全面的阻止互联网的一切可疑信息攻击以及恶意的DOS请求，也无法对局域网内的终端采取防病毒措施。
未实现对内部人员使用的网络应用进行管控，因此增加了网络安全的不确定性。

附录

附录1：核心源代码

交换机：

Vlan 10 //创建VLAN10

Vlan 11 //创建VLAN11

Vlan 12 //创建VLAN12

Vlan 13 //创建VLAN13

Vlan 14 //创建VLAN14

Vlan 15 //创建VLAN15

Vlan 16 //创建VLAN16

Vlan 254 //创建VLAN254

ip dhcp pool 10 //创建DHCP地址池

network 10.10.0.0 255.255.255.0 //地址池网段

default-router 10.10.0.254 //网关地址