計算機網絡原理組網設計實驗報告

PAGEPAGE2計算機網絡原理實驗報告課程：計算機網絡原理實驗班級：學號：姓名：指導教師：提交日期：2014/6/13PAGE15目錄：TOC\o"1-2"\h\z\u1實驗內容簡述 21.1實驗題目 21.2實驗內容 22基本結構設計 32.1設備需求 32.2交換機結構設置 32.3路由器結構設置 42.4整個網絡的拓撲圖 43具體實施 53.1交換機配置 53.2路由器配置 114體會感想 15中國地質大學（北京）課程名稱：計算機網絡原理實驗班號：學號：姓名：1實驗內容簡述1.1實驗題目組網設計1.2實驗內容某公司有A、B、C、D、E5個部門200個PC機，有WEB服務器，EMAIL服務器，財務服務器和文件服務器各一臺,按以下要求詳細設計此公司網絡。每臺PC能上公網對公網發(fā)布WEB服務器，但EMAIL服務器，財務服務器和文件服務器只對內網開放,部門E不能訪問財務服務器內網用戶不能修改IP地址，并可控制內網用戶下載速度出差用戶可聯接內網EMAIL服務器和文件服務器，財務服務器注：網絡拓撲圖,各個節(jié)點IP,設備型號，數量，關鍵網絡設備配置注：網絡拓撲圖,各個節(jié)點IP,設備型號，數量，關鍵網絡設備配置。2基本結構設計2.1設備需求根據實驗內容要求，假設5個部門各有40臺PC機，另有4臺服務器，則所需設備如下表所示：表一：設備配置表設備名稱型號數量路由器AR12201三層交換機S3700１二層交換機S1700-24102.2交換機結構設置交換機作用：劃分vlan,不同部門和部門與服務器之間在不同的vlan中，PC可以相互訪問；設置靜態(tài)路由，使得每臺host可以訪問到路由器；在E部門的端口上設置訪問限制，使得E部門不能訪問財務服務器；設置不同部門的主機下載速度限制；設置交換機的遠程服務。根據實驗內容要求，在交換機上設置8個vlan，其中包括5個部門A、B、C、D、E分別是5個vlan（vlan201~vlan205）,5個服務器在vlan206中。此外，還有2個為路由器連接的vlan207和vlan208，各部門對應的三層交換機接口情況如下表所示：部門VLAN網關端口IP地址范圍AVLAN20154Ethernet0/0/1-754BVLAN20254Ethernet0/0/8-1554CVLAN20354Ethernet0/016-2354DVLAN20454Ethernet0/0/1-754EVLAN20554Ethernet0/0/8-1554服務器VLAN20654Ethernet0/0/3Ethernet0/0/4Ethernet0/0/5Ethernet0/0/6Ethernet0/0/754與路由器連VLAN207Ethernet0/0/24.1VLAN208Ethernet0/0/24.1注：1）Ethernet0/0/3，Ethernet0/0/4，Ethernet0/0/5，Ethernet0/0/6,Ethernet0/0/7五個端口對應的服務器分別是WEB服務器、E-mail服務器、財務服務器、文件服務器、路由器。2)vlan207和vlan208中的端口號是Ethernet0/0/24.1用來連接路由器的虛擬網絡，ip是和（和連接pc的vlan的ip進行區(qū)分）3）端口為3、4、5、6、7還沒有配，端口類型配置成trunk類型（portlink-typetrunk，porttrunkpermitvlanall）連接二層的交換機以便使五個部門的虛擬局域網內能連接多臺主機，其余所有端口類型均為access。對每個端口所連接的二層交換機進行配置：所有端口都是一個vlan，與其所連接S3700相應端口同屬一個vlan，與S3700連接的端口類型為trunk，允許所有網絡通過，其他所有端口的類型均為access。2.3路由器結構設置路由器的作用：設置路由表項的靜態(tài)路由，訪問內網的靜態(tài)路由，訪問外網的靜態(tài)路由；連接內網和外網，對所有的內網ip進行轉換，通過網絡地址轉換(NAT,NetworkAddressTranslation)接入廣域網(WAN)技術進行轉換；對WEB服務器的發(fā)布；設置VPN虛擬專用網絡，使得在外出差的用戶也可以自如的訪問內網，就像是在內網一樣。路由器配置ip分配如下：1）虛擬網絡：vlan207和vlan208端口號：Ethernet0/0/24.2端口類型：access網絡ip：和2）連接外網端口號：GigabitEthernet0/0/1ip:73)WEB服務器的對外ip地址：544）對于內網的所有ip進行natoutbound轉換的地址段為：網段轉換為6到7網段轉換為6到72.4整個網絡的拓撲圖畫出整個網絡的拓撲結構畫出基本的網絡拓撲圖，如圖一所示，其中每臺計算機代表一個部門的所有PC機，每個代表兩個二層交換機串接，它與S3700中對應其部門的端口進行連接，接口類型為trunk。（在實驗中各部門的端口連接的是奇數號端口，類型為access分別連接一臺PC機）3具體實施3.1交換機配置實現內網通信，E部門不能訪問財務服務器，實現下載速度的控制在S3700交換機上操作，并且設置PC機的ip地址及網關。通過ping命令在命令提示符中進行測試，內網的PC機之間可以相互訪問。進入系統(tǒng)視圖，設置系統(tǒng)名：<switch>system-view[switch]sysnameswitchSA[switchSA]交換機劃分vlan201~vlan203，并將相應的端口加入各個虛擬網絡[switchSA]vlan201//創(chuàng)建vlan201 [switchSA-vlan201]quit[switchSA]interfaceEthernet0/0/1[switchSA-Ethernet0/0/1]portlink-typeaccess//端口類型為access[switchSA-Ethernet0/0/1]portdefaultvlan201//端口加入vlan201中[switchSA-Ethernet0/0/1]quit[switchSA]interfacevlan201[switchSA-Vlanif201]ipaddress54//為虛擬網設置ip，作為相應虛擬網中PC的網關[switchSA-Vlanif201]quit[switchSA]vlan202//創(chuàng)建vlan202[switchSA-vlan202]quit[switchSA]interfaceEthernet0/0/8[switchSA-Ethernet0/0/8]portlink-typeaccess//端口類型為access[switchSA-Ethernet0/0/8]portdefaultvlan202//端口加入vlan202中[switchSA-Ethernet0/0/8]quit[switchSA]interfacevlan202[switchSA-Vlanif202]ipaddress54//為虛擬網設置ip，作為相應虛擬網中PC的網關[switchSA-Vlanif203]quit[switchSA]vlan203//創(chuàng)建vlan203[switch4SA-vlan203]quit[switchSA]interfaceEthernet0/0/16[switchSA-Ethernet0/0/16]portlink-typeaccess//端口類型為access[switchSA-Ethernet0/0/16]portdefaultvlan203//端口加入vlan203中[switchSA-Ethernet0/0/16]quit[switchSA]interfacevlan203[switchSA-Vlanif203]ipaddress54//為虛擬網設置ip，作為相應虛擬網中PC的網關[switchSA-Vlanif203]quit<switch>system-view[switch]sysnameswitchSB[switchSB]交換機劃分vlan204~vlan205，并將相應的端口加入各個虛擬網絡[switchSB]vlan204//創(chuàng)建vlan204[switchSB-vlan204]quit[switchSB]interfaceEthernet0/0/1[switchSB-Ethernet0/0/1]portlink-typeaccess//端口類型為access[switchSB-Ethernet0/0/1]portdefaultvlan204//端口加入vlan204中[switchSB-Ethernet0/0/1]quit[switchSB]interfacevlan204[switchSB-Vlanif204]ipaddress54//為虛擬網設置ip，作為相應虛擬網中PC的網關[switchSB-Vlanif204]quit[switchSB]vlan205//創(chuàng)建vlan205[switchSB-vlan205]quit[switchSB]interfaceEthernet0/0/8[switchSB-Ethernet0/0/8]portlink-typeaccess//端口類型為access[switchSB-Ethernet0/0/8]portdefaultvlan205//端口加入vlan205中[switchSB-Ethernet0/0/8]quit[switchSB]interfacevlan205[switchSB-Vlanif205]ipaddress54//為虛擬網設置ip，作為相應虛擬網中PC的網關[switchSA-Vlanif206]quit[switchSA]vlan206//創(chuàng)建vlan206[switchSA-vlan206]quit[switchSA]interfaceEthernet0/0/3[switchSA-Ethernet0/0/3]portlink-typeaccess//端口類型為access[switchSA-Ethernet0/0/3]portdefaultvlan206//端口加入vlan206中[switchSA-Ethernet0/0/3]quit[switchSA]interfacevlan206[switchSA-Vlanif206]ipaddress54//為虛擬網設置ip作為相應虛擬網中服務器的網關[switchSA-Vlanif206]quit[switchSA]interfaceEthernet0/0/4[switchSA-Ethernet0/0/4]portlink-typeaccess//端口類型為access[switchSA-Ethernet0/0/4]portdefaultvlan206//端口加入vlan206中[switchSA-Ethernet0/0/4]quit[switchSA]interfaceEthernet0/0/5[switchSA-Ethernet0/0/5]portlink-typeaccess//端口類型為access[switchSA-Ethernet0/0/5]portdefaultvlan206//端口加入vlan206中[switchSA-Ethernet0/0/5]quit[switchSA]interfaceEthernet0/0/6[switchSA-Ethernet0/0/6]portlink-typeaccess//端口類型為access[switchSA-Ethernet0/0/6]portdefaultvlan206//端口加入vlan206中[switchSA-Ethernet0/0/6]quit[switchSA]interfaceEthernet0/0/7[switchSA-Ethernet0/0/7]portlink-typeaccess//端口類型為access[switchSA-Ethernet0/0/7]portdefaultvlan206//端口加入vlan206中[switchSA-Ethernet0/0/7]quit[switchSA]vlan207//創(chuàng)建vlan3[switchSA-vlan207]quit[switchSA]interfaceEthernet0/0/24.1[switchSA-Ethernet0/0/24.1]portlink-typeaccess//端口類型為access[switchSA-Ethernet0/0/24.1]portdefaultvlan207//端口加入vlan207中[switchSA-Ethernet0/0/24.1]quit[switchSA]interfacevlan207[switchSA-Vlanif207]ipaddress//為虛擬網設置ip[switchSA-Vlanif207]quit[switchSBvlan208//創(chuàng)建vlan208[switchSB-vlan208]quit[switchSB]interfaceEthernet0/0/24.1[switchSB-Ethernet0/0/24.1]portlink-typeaccess//端口類型為access[switchSB-Ethernet0/0/24.1]portdefaultvlan208//端口加入vlan208中[switchSBEthernet0/0/24.1]quit[switchSB]nterfacevlan208[switchSBVlanif208ipaddress255.255.2550//為虛擬網設置ip[switchSBVlanif208quit為實現多臺電腦的連接，用Ethernet0/0/3、Enet0/0/4、thernet0/0/5thernet0/0/6Ethernet0/0/7別連接一個二層交換機，并設置這幾個端口的類型為trunk具體如下：[switchSA]interfaceEthernet0/0/3[switchSA-Ethernet0/0/3portlink-typetrunk//端口類型為trunk[switchSA-Ethernet0/0/3porttrunkpermitvlanall[switchSA-Ethernet0/0/3quit[switchSA]interfaceEthernet0/0/4[switchSA-Ethernet0/0/4]portlink-typetrunk//端口類型為trunk[switchSA-Ethernet0/0/4]porttrunkpermitvlanall[switchSA-Ethernet0/0/4]quit[switchSA]interfaceEthernet0/0/5[switchSA-Ethernet0/0/5portlink-typetrunk//端口類型為trunk[switchSA-Ethernet0/0/5porttrunkpermitvlanall[switchSA-Ethernet0/0/5quit[switchSA]interfaceEthernet0/0/6[switchSA-Ethernet0/0/6portlink-typetrunk//端口類型為trunk[switchSA-Ethernet0/0/6porttrunkpermitvlanall[switchSA-Ethernet0/0/6quit[switchSA]interfaceEthernet0/0/7[switchSA-Ethernet0/0/7portlink-typetrunk//端口類型為trunk[switchSA-Ethernet0/0/7porttrunkpermitvlanall[switchSA-Ethernet0/0/7quit（2）配置相應部門的PC機，ip地址，網關為其所在虛擬局域網的ip地址這樣可以實現內網之間的PC的相互通信。設置默認路由，使得交換機連接的所有PC都可以訪問到路由器上。[switchiproute-staticvlan207的ip，下一跳路由器）[switchiproute-staticvlan208的ip，下一跳路由器）設置遠程訪問交換機[switchSA]User-interfacevty04[switchSA-ui-vty0-4]authentication-modepassword[switchSA-ui-vty0-4]setauthenticationpasswordcipherhuawei[switchSA-ui-vty0-4]userprivilegelevel15設置E部門不能訪問財務服務器這里有兩種方法一種是簡單的acl訪問控制列表，另一種是流行為，流分類，流策略，但是都要在E部門的vlan205下的端口配置(這里只配置一個端口)，在財務服務器的端口下配置是失敗的。方法一：[switchSB]acl3000[switchSB-acl-adv-3000]rule5denyipsourcedestination[switchSB-acl-adv-3000]quit[switchSB]interfaceEthernet0/0/9[switchSB-Ethernet0/0/1]traffic-filterinboundacl3000[switchSB-Ethernet0/0/1]quitE部門不能訪問財務服務器Ip為6的不能ping通7限制用戶下載的速度在不同部門的端口下限制速度，分別下載大小相近的文件，觀察速度。設置A部門Ethernet0/0/1端口的速度[switchSA]Ethernet0/0/1[switchSA-Ethernet0/0/1]qoslrinboundcir1024[switchSA-Ethernet0/0/1]quit[switchSA]Ethernet0/0/24.1[switchSA-Ethernet0/0/24.1]qoslrinboundcir2048displayqoslrinboundinterfaceEthernet0/0/1displayqoslrinboundinterfaceEthernet0/0/24.1速度分別為Ethernet0/0/1：1024kbpsEthernet0/0/9：2048kbps保存配置[switchSA]savehappy4333.zip[switchSA]starpupsaved-configurationhappy4333.zip在E-mail服務器上配置ftp站點，文件放到ftp上<switch433>ftp7Trying...7PressCTRL+KtoabortConnectedto7.220MicrosoftFTPServiceUser(7:(none)):anonymous331Anonymousaccessallowed,sendidentity(e-mailname)aspassword.Enterpassword:230Anonymoususerloggedin.[ftp]puthappy4333.zip200PORTcommandsuccessful.150OpeningASCIImodedataconnectionforhappy4332.zip.226Transfercomplete.FTP:968byte(s)sentin0.330second(s)2.93Kbyte(s)/sec.3.2路由器配置1、實現內網的PC可以訪問外網，并且發(fā)布WEB服務器<Huawei>system-view[Huawei]sysnamerouterRA[routerRA]（1）創(chuàng)建vlan208，并讓連接交換機的端口Ethernet0/0/24.1加入vlan208[routerRA]vlan208[routerRA-vlan8]quit[routerRA]interfaceEthernet0/0/24.1[routerRA-Ethernet0/0/0]portlink-typeaccess[routerRA-Ethernet0/0/0]portdefaultvlan8[routerRA-Ethernet0/0/0]quit//給vlan208分配ip地址[routerRA]interfacevlan208[routerRA-Vlanif8]ipaddress[routerRA-Vlanif208]quit（2）設置路由器上連接外網的端口GigabitEthernet0/0/0[routerRA]interfaceGigabitEthernet0/0/0[routerRA-GigabitEthernet0/0/0]ipaddress7[routerRA-GigabitEthernet0/0/0]quit（3）設置路由器的默認路由，靜態(tài)路由連到外網的默認路由，下一跳是外網的某個端口ip[routerRA]iproute-static54靜態(tài)路由，連到交換機上的A—E部門以及路由器組，即vlan201—vlan206[routerRA]iproute-static[routerRA]iproute-static[routerRA]iproute-stati[routerRA]iproute-static[routerRA]iproute-static[routerRA]iproute-static注：vlan206不用配置，因為路由器和交換機之間vlan206上是直接交付的（4）通過natoutbound轉換內網的ip地址到外網的ip地址，這樣做節(jié)省了ipv4的地址，對外看來只有幾個ip地址。網段轉換為6到7[routerRA]nataddress-group11718[routerRA]acl2000[routerRA-acl-basic-2000]rule5permitsource55[routerRA-acl-basic-2000]quit[routerRA]interfaceGigabitEthernet0/0/24[rootRAigabitEthernet0/0/24]natoutbound2000address-group1[routerRA]nataddress-group267[routerRA]acl2001[routerRA-acl-basic-2001]rule6permitsource55[routerRA-acl-basic-2001]quit[routerRA]interfaceGigabitEthernet0/0/24[rootRA-GigabitEthernet0/0/0]natoutbound2001address-group2（5）WEB服務器的發(fā)布(對于外網web服務器的ip為54：80)[routerRA]interfaceGigabitEthernet0/0/24[rootRA-GigabitEthernet0/0/24]natserverprotocoltcpglobal54wwwinside7在PC機上配置：1）進入控制面板->管理工具->信息服務->本地計算機->網站->默認網站右鍵，選擇屬性->網站：IP地址變?yōu)閣eb服務器端口IP(1)端口號是80->主目錄：本地路徑：c:/inetpub/wwwroot勾選寫入選項->文檔：默認文檔下只添加web.html其余的刪除2）在根目錄下創(chuàng)建web.html3）WEB發(fā)布在根目錄下創(chuàng)建web.html4）web發(fā)布效果圖Ip為49的外網的主機上測試外網電腦ip49訪問web服務器的ip為45:802、配置VPN使出差用戶可以任意訪問內網，就像在內網一樣1）配置aaalocal-uservpn_SApasswordcipherhuaweilocal-uservpn_SAservice-typepppquitippool1gateway-listnetworkmaskquitinterfaceVirtual-Template1pppauthentication-modechapremoteaddresspool1ipaddressquitl2tp-group1undotunnelauthenticationallowl2tpvirtual-template1tunnelnametunnel_SAquitl2tpenablepc機的設置：運行窗口輸入regedit，確認HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters新建DWORD：Name：ProhibitIpSecType：REG_DWORDValue：1更改注冊表后重啟PC。2）效果顯示創(chuàng)建虛擬網絡，并且修改屬性ip地址填寫路由器連接外網的接口的ip地址連接后獲得內網的一個ip：54此時測試該主機可以ping通內網的主機ping7E-mail服務器3、路由器的配置顯示#sysnameroot436#snmp-agentlocal-engineid800007DB0310478029772Esnmp-agent#dropillegal-macalarm#l2tpena#vlanbatch8#settransceiver-monitoringdisable#aclnumber