为何局域网?
所谓的局域网(Local Area Network,简称LAN),用于将有限范围内(例如一个实验室、一层办公楼或者校园)的各种计算机、终端与外部设备互联成网。
为什么组建局域网?
1.IPv4地址渐渐枯竭,申请IPv4越来越难。
2.成本控制,IP申请需要费用,如果每一个员工都申请IP,费用高。
3.能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
公司局域网如何组建?
不同规模的公司组建公司局域网时,出于成本与性能的考虑,方案有所不同。
1 规模(10人以下的企业)
10人以下,规模比较小的公司一般对网络应用需求较低,由于人数少,基本也不存在划分VLAN(虚拟局域网)的需求,所以,选择一个多口的交换机或者路由器就足够了。
2 规模(10人以上的企业)
一般比较合适的是防火墙设备+网络管理设备+三层交换机+二层交换机的配置。防火墙帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性,以及提供内网和外网的链接。网络管理用于管理网络节点(服务器、工作站、路由器、交换机及HUBS等),使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。三层交换机提供VLAN(虚拟局域网)的划分,以及加快大型局域网内部的数据交换,不同部门可能需要区分管理,设置不同的网络权限,可以对三层交换机的端口分组划分多个网段。而二层交换机一头连到三层交换机上,作为一个子网,另一头链接子网中的各台终端。现在比较流行的公司局域网一般选择树形拓扑结构进行组建(星型拓扑的延伸)。树形拓扑结构有以下优点:1、易于故障的诊断; 2、易于网络的升级。组建构结构如下图(图:1-1):
防火墙设备
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。同时根据不同的网段,把数据包转发到不同的网关上。
三层交换机
三层交换机就是具有部分路由器功能的交换机,工作在OSI网络标准模型的第三层:网络层。三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。企业里面一般连接有多个部门,不同部门可能需要区分管理,设置不同的网络权限,三层交换机可以划分多个网段,实现不同部门设置在不同的网段,方便管理。划分多网段还可以隔离广播包,避免网络上因大量广播包而导致的网络传输效率低的问题。
两层交换机
二层交换机工作于OSI模型的第2层(数据链路层),故而称为二层交换机。二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。二层交换机主要是实现大家通过一根网线上网,各自使用自己的宽带,大家各自上网没有影响,哪怕其他人在下载,对自己上网也没有影响,并且所有使用同一台交换机的电脑都是在同一个局域网内。
如何划分网段
假如使用24个端口的三层交换机,可以设置端口1到端口10用同一个网段,端口11到端口20用同一个网段,端口21用一个网段,端口22用一个网段。
技术部:端口1 - 端口10 对应VLAN 2,IP网段192.168.2.0/24 可以接入多个二层交换机
财务部:端口11 - 端口20 对应VLAN 3,IP网段192.168.3.0/24 可以接入多个二层交换机
邮件服务器: 端口21 对应VLAN 4,IP网段192.168.4.0/24 服务器的IP地址可以设置为192.168.4.2
VPN服务器: 端口21 对应VLAN 5,IP网段192.168.5.0/24 服务器的IP地址可以设置为192.168.5.2
为何划分多个网段
1.便于管理,可以按照不同的楼层或者部门划分不同的网段,可以给不同的网段设置不同的权限
2.IP地址有效地址的数量是有限的,如192.168.0.X网段,X可以表示2到254(除去1和255),总共才253个有效的地址位。如果终端设备过多的情况,需要多个网段来支持局域网内全部终端设备。
3.广播只能在同一网段中传播数据包,节省网络资源。
为何要设立邮件服务器?
提供电子邮件服务的协议叫做SMTP(Simple Mail Transfer Protocol)。STMP为了实现高效发送电子邮件内容,在其传输层使用了TCP协议。TCP作为一种面向有连接的协议,要求两台设备必须同时在线才能建立连接传输邮件内容,如果发送端和接收端时差比较大,大家只在白天工作时间内开机,那么发送端和接收端根本无法建立连接发送邮件。为此,在技术上改变了以往直接在发送端和接收端之间建立TCP连接的机制,而引入了一直会在线的邮件服务器,发送端和接收端通过邮件服务器收发邮件。接收端从邮件服务器接收邮件时使用的是POP3协议。
为何要设立VPN服务器?
虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。例如某公司员工出差到外地,他想访问企业内网的服务器资源,或者分公司和总公司内网资源相互共享,都需要使用VPN的功能。
局域网有限的出口IP,如何现实局域网内全部终端连网?
小规模的公司一般只有一个出口IP,大规模的公司可能有多个出口IP,但是数量远远少于局域网内的终端设备的数量。局域网内部的IP不会被通知到因特网,因特网无法识别局域网内部的IP。为了已分配局域网本地IP的终端设备和因特网上的主机通信(并不需要加密),需要使用NAPT技术。
什么是NAPT?
NAPT(Network Address Port Translation),即网络地址端口转换,是人们比较熟悉的一种转换方式,使用一个合法公网地址,以不同的协议端口号与不同的内部地址相对应,也就是<内部地址+内部端口>与<外部地址+外部端口>之间的转换,用于企业只有一个公网IP但是有多个业务系统需要被互联网访问的场景。NAPT普遍用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT也被称为“一对多”的NAT,或者叫PAT(Port Address Translations,端口地址转换)、地址超载(address overloading)。
假如:技术部员工1的电脑的IP是192.168.0.2,此电脑上的某个应用程序A(端口:6700)需要与因特网上某一主机(244.80.34.20)的某一应用程序B(端口:4900)通信。应用程序A需要发送一个数据包给应用程序B,数据包的源IP是192.168.0.2,源端口是6700,目标IP是244.80.34.20,目标端口是4900,数据包经过NAPT路由器时(图:1-1中的防火墙),NAPT路由器会把源IP地址替换为合法的出口IP(假如为210.10.30.1),把源端口替换为一个未被使用的外部端口(假如端口为3200),并记录转换关系。当应用程序B发送数据包给应用程序A时,数据包的源IP是244.80.34.20,源端口是4900,目标IP是210.10.30.1,目标端口是3200,数据包可以正确的被发送到NAPT路由器,此路由器根据转换关系替换数据包中的目标IP和目标端口,这样便实现了局域网内设备连网。
由于此技术太依赖转换表,因此会有以下几点限制
1.无法从NAPT的外部向内部设备主动建立连接。
2.转换表的生成和转换操作都会造成一定的开销。
3.通信过程中,一旦NAPT服务器需要重启时,所有TCP连接都会被重置。
4.即使做了容灾备份,TCP连接还是会被断开。
如何解决NAPT潜在问题?
1.改用IPv6。在IPv6环境下可用的IP有了极大的扩展,以至于公司和家庭都可以配置一个全局的IP地址,这样就不需要使用NAPT技术了,但是IPv6的发展远不及人们的的预期,前景不容乐观。
2.局域网内部设备上运行的应用程序主动发起一个虚拟数据包到外部网络,NAPT路由器并不知道数据包的细节,依然会生成转换关系表。如果转换关系表构建合理的话,可以实现外部终端和内部终端建立连接。