宝塔服务器面板,一键全能部署及管理,送你10850元礼包,点我领取
为什么是局域网?
所谓的LAN 局域网,简称LAN )被用于在有限的范围内例如实验室、一层办公楼、校园)的各种计算机、终端和外部设备之间进行互联网连接。
为什么要建局域网?
1.IPv4地址枯竭,向IPv4申请越来越难。
2 .成本管理、IP申请需要费用,每个工作人员申请IP都需要费用。
3 .可以有效避免来自网络外部的攻击,隐藏和保护网络内部的计算机。
公司的局域网是如何建立的?
规模不同的公司构建公司的局域网时,从成本和性能的观点来看,计划不同。
1规模10人以下的企业)
10人以下、规模比较小的公司一般网络APP需求低、人数少,所以也几乎没有划分VLAN 虚拟LAN )的需求,因此选择多端口的交换机或路由器就足够了。
2规模10人以上的企业)
通常合适的是防火墙设备的网络管理设备的三层交换机双层交换机的结构。 防火墙有助于计算机网络在内外网络之间建立相对隔离的保护屏障,保护用户的数据和信息安全,并提供内部网和外网的链接。 网络管理用于管理服务器、工作站、路由器、交换机和HUBS等网络节点,网络管理员可以管理网络性能,发现网络问题并解决网络增长问题第3层交换机提供了VLAN 虚拟LAN )分区,加快了大规模LAN内部的数据交换。 您可能需要根据部门划分管理,设置不同的网络权限,并将第3层交换机上的端口分组,以划分多个网络段。 第2层交换机的一个连接到第3层交换机,作为子网,另一个连接到子网中的每个终端。 现在普及的公司LAN一般选择树形拓扑构建星型拓扑的扩展)。 树结构有以下优点。 1、易发生故障的诊断; 2、网络升级容易。 组构建结构如下图图:1-1) :
防火墙设备
防火墙技术的功能主要在于及时发现和处理计算机网络运行中可能存在的安全风险、数据传输等问题,其中的处理措施包括隔离和保护,同时对计算机网络安全中的各项操作进行记录和检测确保计算机网络运行的安全性,保障用户资料和信息的完整性,为用户提供更好、更安全的计算机网络使用体验。 另外,不同的网络段还会将数据包传输到不同的网关。
三层开关
第3层交换机是具有某些路由器功能的交换机,在OSI网络标准模型的第3层即网络层)上工作。 第3层交换机的最重要的目的是加速大规模的LAN内部的数据交换,路由功能也为此目的而提供,能够进行一次路由、多次传输。 企业中一般连接有多个部门。 可能需要根据部门划分管理,设置不同的网络权限。 三层交换机可以划分多个网段,不同的部门设置在不同的网段上,便于管理。 也可以通过分割多网段来隔离广播数据包,避免网络上大量广播数据包引起的网络传输效率下降。
双层开关
由于第2层交换机在OSI模型的第2层数据链路层)上工作,因此称为第2层交换机。 第2层交换机是数据链路层设备,可以识别分组中的MAC地址信息,基于MAC地址进行转发,并将这些MAC地址和对应的端口记录在自己内部的地址表中。 两层交换机主要实现大家用一根网线上网,各自使用自己的宽带,大家各自上网都没有影响,别人下载也不会影响自己的互联网
网络段的分割方法
在使用具有24个端口的三重交换机时,从端口1到端口10为相同的网段,从端口11到端口20为相同的网段,端口21为一个网段,端口22为一个网段
技术部:端口1 -端口10支持VLAN 2,IP网段192.168.2.0/24可以访问多个双层交换机
财务部:端口11 -端口20支持VLAN 3,IP网段192.168.3.0/24可以访问多个双层交换机
邮件服务器:端口21支持VLAN 4,IP网络段192.168.4.0/24服务器的IP地址可以设置为192.168.4.2
VPN服务器:端口21支持VLAN 5,IP网络段192.168.5.0/24服务器的IP地址可以设置为192.168.5.2
为什么要分割多个网段
1 .易于管理,可以根据楼层和部门划分不同的网段,可以根据每个网段设定不同的权限
2.IP地址的有效地址数量有限。 例如,192.168.0.X网络段,x可以表示2-2541 不包括1和255 ),总共只有253个有效地址位。 如果终端设备太多,则需要多个网段来支持LAN中的所有终端设备。
3 .广播只能在同一网段内传播数据包,从而节约网络资源。
为什么要设置邮件服务器?
提供电子邮件服务的协议被称为简单邮件传输协议SMTP )。 STMP为了有效地发送电子邮件内容,在其传输层使用了TCP协议。 TCP作为面向连接的协议,只有两台设备同时在线,才能建立连接传输邮件内容。 发送侧和接收侧的时差很大,如果大家只在白天的工作时间内接通电源,发送侧和接收侧就完全无法建立
连接发送邮件。为此,在技术上改变了以往直接在发送端和接收端之间建立TCP连接的机制,而引入了一直会在线的邮件服务器,发送端和接收端通过邮件服务器收发邮件。接收端从邮件服务器接收邮件时使用的是POP3协议。
为何要设立VPN服务器?
虚拟专用网络VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。例如某公司员工出差到外地,他想访问企业内网的服务器资源,或者分公司和总公司内网资源相互共享,都需要使用VPN的功能。
局域网有限的出口IP,如何现实局域网内全部终端连网?
小规模的公司一般只有一个出口IP,大规模的公司可能有多个出口IP,但是数量远远少于局域网内的终端设备的数量。局域网内部的IP不会被通知到因特网,因特网无法识别局域网内部的IP。为了已分配局域网本地IP的终端设备和因特网上的主机通信(并不需要加密),需要使用NAPT技术。
什么是NAPT?
NAPT(Network Address Port Translation),即网络地址端口转换,是人们比较熟悉的一种转换方式,使用一个合法公网地址,以不同的协议端口号与不同的内部地址相对应,也就是<内部地址+内部端口>与<外部地址+外部端口>之间的转换,用于企业只有一个公网IP但是有多个业务系统需要被互联网访问的场景。NAPT普遍用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT也被称为“一对多”的NAT,或者叫PAT(Port Address Translations,端口地址转换)、地址超载(address overloading)。
假如:技术部员工1的电脑的IP是192.168.0.2,此电脑上的某个应用程序A(端口:6700)需要与因特网上某一主机(244.80.34.20)的某一应用程序B(端口:4900)通信。应用程序A需要发送一个数据包给应用程序B,数据包的源IP是192.168.0.2,源端口是6700,目标IP是244.80.34.20,目标端口是4900,数据包经过NAPT路由器时(图:1-1中的防火墙),NAPT路由器会把源IP地址替换为合法的出口IP(假如为210.10.30.1),把源端口替换为一个未被使用的外部端口(假如端口为3200),并记录转换关系。当应用程序B发送数据包给应用程序A时,数据包的源IP是244.80.34.20,源端口是4900,目标IP是210.10.30.1,目标端口是3200,数据包可以正确的被发送到NAPT路由器,此路由器根据转换关系替换数据包中的目标IP和目标端口,这样便实现了局域网内设备连网。
由于此技术太依赖转换表,因此会有以下几点限制
1.无法从NAPT的外部向内部设备主动建立连接。
2.转换表的生成和转换操作都会造成一定的开销。
3.通信过程中,一旦NAPT服务器需要重启时,所有TCP连接都会被重置。
4.即使做了容灾备份,TCP连接还是会被断开。
如何解决NAPT潜在问题?
1.改用IPv6。在IPv6环境下可用的IP有了极大的扩展,以至于公司和家庭都可以配置一个全局的IP地址,这样就不需要使用NAPT技术了,但是IPv6的发展远不及人们的的预期,前景不容乐观。
2.局域网内部设备上运行的应用程序主动发起一个虚拟数据包到外部网络,NAPT路由器并不知道数据包的细节,依然会生成转换关系表。如果转换关系表构建合理的话,可以实现外部终端和内部终端建立连接。
支付宝扫一扫
微信扫一扫
