《網(wǎng)絡(luò)工程規(guī)劃與集成》課程設(shè)計方案

PAGE武漢長江工商學(xué)院工學(xué)院·計算機技術(shù)系項目名稱：中學(xué)校園計算機網(wǎng)絡(luò)系統(tǒng)的設(shè)計學(xué)生姓名：馮春玲學(xué)號：20082533班級:08801指導(dǎo)教師:陳濤、柯赟2011

目錄_Toc310626973"2.1需求描述 12。3服務(wù)器的配置 2HYPERLINK\l”_Toc310626976”2.4無線路由器的設(shè)置 3_Toc310626978"3.1VLAN 43。2訪問控制列表 4HYPERLINK\l”_Toc310626980"3。3NAT 43.4PPP協(xié)議 5HYPERLINK\l”_Toc310626982"3.5DHCP服務(wù) 64實驗內(nèi)容和步驟 7HYPERLINK\l”_Toc310626984"4.1實驗拓撲設(shè)計 7HYPERLINK\l”_Toc310626985"4。2實驗拓撲規(guī)劃說明 75.2內(nèi)網(wǎng)與外網(wǎng)的連通 96附錄代碼 126。1訪問控制列表 126。2配置靜態(tài)NAT 126。3配置動態(tài)NAT 12HYPERLINK\l”_Toc310626994"7課程設(shè)計小結(jié) 13虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機和路由器中，但主流應(yīng)用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協(xié)議的第三層以上交換機才具有此功能，這一點可以查看相應(yīng)交換機的說明書即可得知。通過將校園網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段,可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個物理的網(wǎng)段就是一個廣播域。而在交換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址（MAC地址)組成的虛擬網(wǎng)段。這樣,網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來劃分。這種基于工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能.在同一個VLAN中的工作站,不論它們實際與哪個交換機連接，它們之間的通訊就好像在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸?shù)狡渌腣LAN中去,這樣可以很好的控制不必要的廣播風(fēng)暴的產(chǎn)生.同時，若沒有路由的話,不同VLAN之間不能相互通訊，這樣增加了校園網(wǎng)網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過配置VLAN之間的路由來全面管理內(nèi)部不同管理單元之間的信息互訪。交換機是根據(jù)用戶工作站的MAC地址來劃分VLAN的。所以，用戶可以自由的在網(wǎng)絡(luò)中移動辦公，不論他在何處接入交換網(wǎng)絡(luò)，他都可以與VLAN內(nèi)其他用戶自如通訊.3.2訪問控制列表訪問控制列表（AccessControlList,ACL）是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進行控制。訪問控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用,而且在很大程度上起到保護網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用.作為外網(wǎng)進入企業(yè)內(nèi)網(wǎng)的第一道關(guān)卡，路由器上的訪問控制列表成為保護內(nèi)網(wǎng)安全的有效手段.ACL技術(shù)在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。標準訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過實施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開始使用ACL來控制對局域網(wǎng)內(nèi)部資源的訪問能力，進而來保障這些資源的安全性。ACL功能：1可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能;2提供對通信流量的控制手段;3是提供網(wǎng)絡(luò)安全訪問的基本手段；4可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。3。3NAT網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，NetworkAddressTranslation）屬接入廣域網(wǎng)(WAN）技術(shù)，是一種將私有(保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機.網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（靜態(tài)NAT配置、動態(tài)NAT配置及端口多路復(fù)用PAT)；=1\*GB3①NAT簡介借助于NAT，私有(保留）地址的”內(nèi)部”網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時,私有地址被轉(zhuǎn)換成合法的IP地址，一個局域網(wǎng)只需使用少量IP地址（甚至是1個）即可實現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計算機與Internet的通信需求.NAT將自動修改IP報文的源IP地址和目的IP地址,Ip地址校驗則在NAT處理過程中自動完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報文的數(shù)據(jù)部分中，所以還需要同時對報文進行修改,以匹配IP頭中已經(jīng)修改過的源IP地址。否則，在報文數(shù)據(jù)都分別嵌入IP地址的應(yīng)用程序就不能正常工作。=2\＊GB3②NAT實現(xiàn)方式NAT的實現(xiàn)方式有三種,即靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用OverLoad。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址.借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器)的訪問。動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定的,是隨機的,所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時,就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式.=3\*GB3③網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的實現(xiàn)在配置網(wǎng)絡(luò)地址轉(zhuǎn)換的過程之前，首先必須搞清楚內(nèi)部接口和外部接口，以及在哪個外部接口上啟用NAT.通常情況下,連接到用戶內(nèi)部網(wǎng)絡(luò)的接口是NAT內(nèi)部接口,而連接到外部網(wǎng)絡(luò)(如Internet)的接口是NAT外部接口。3.4PPP協(xié)議點對點協(xié)議（PPP）為在點對點連接上傳輸多協(xié)議數(shù)據(jù)包提供了一個標準方法.PPP最初設(shè)計是為兩個對等節(jié)點之間的IP流量傳輸提供一種封裝協(xié)議。在TCP-IP協(xié)議集中它是一種用來同步調(diào)制連接的數(shù)據(jù)鏈路層協(xié)議（OSI模式中的第二層），替代了原來非標準的第二層協(xié)議，即SLIP。PPP工作流程當(dāng)用戶撥號接入ISP時，路由器的調(diào)制解調(diào)器對撥號做出確認，并建立一條物理連接.PC機向路由器發(fā)送一系列的LCP分組（封裝成多個PPP幀）.這些分組及其響應(yīng)選擇一些PPP參數(shù)，和進行網(wǎng)絡(luò)層配置，NCP給新接入的PC機分配一個臨時的IP地址,使PC機成為因特網(wǎng)上的一個主機。通信完畢時，NCP釋放網(wǎng)絡(luò)層連接,收回原來分配出去的IP地址.接著，LCP釋放數(shù)據(jù)鏈路層連接。最后釋放的是物理層的連接.PAP：是PPP協(xié)議集中的一種鏈路控制協(xié)議，主要是通過使用2次握手提供一種對等結(jié)點的建立認證的簡單方法，這是建立在初始鏈路確定的基礎(chǔ)上的。完成鏈路建立階段之后，對等結(jié)點持續(xù)重復(fù)發(fā)送ID/密碼給驗證者，直至認證得到響應(yīng)或連接終止。3。5DHCP服務(wù)隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和網(wǎng)絡(luò)復(fù)雜度的提高，計算機的數(shù)量經(jīng)常超過可供分配的IP地址數(shù)量.同時隨著便攜機及無線網(wǎng)絡(luò)的廣泛使用，計算機的位置也經(jīng)常變化,相應(yīng)的IP地址也必須經(jīng)常更新,從而導(dǎo)致網(wǎng)絡(luò)配置越來越復(fù)雜。動態(tài)主機配置協(xié)議DHCP（DynamicHostConfigurationProtocol）就是為解決這些問題而發(fā)展起來的。DHCP采用客戶端/服務(wù)器通信模式,由客戶端向服務(wù)器提出配置申請，服務(wù)器返回為客戶端分配的IP地址等相應(yīng)的配置信息，以實現(xiàn)IP地址等信息的動態(tài)配置.4實驗內(nèi)容和步驟4。1實驗拓撲設(shè)計該拓撲主要采用了星型結(jié)構(gòu)，用一臺核心三層交換機實現(xiàn)校園內(nèi)數(shù)據(jù)的快速轉(zhuǎn)發(fā)。圖4—1網(wǎng)絡(luò)拓撲規(guī)劃圖4.2實驗拓撲規(guī)劃說明核心交換機上通過ACL（訪問控制列表）功能，來控制和實現(xiàn)內(nèi)網(wǎng)對于FTP服務(wù)器的訪問權(quán)限問題。在接入路由器上,通過NAT轉(zhuǎn)換技術(shù)，來實現(xiàn)內(nèi)網(wǎng)主機的上網(wǎng)問題.使用靜態(tài)NAT來實現(xiàn)外網(wǎng)對Web服務(wù)器的訪問.使用動態(tài)NAT來實現(xiàn)內(nèi)網(wǎng)主機對Internet的訪問。在多媒體機房，使用無線AP提供無線設(shè)備的接入。星型結(jié)構(gòu)是用集線器或交換機作為網(wǎng)絡(luò)的中央節(jié)點，網(wǎng)絡(luò)中的每一臺計算機都通過網(wǎng)卡連接到中央節(jié)點，計算機之間通過中央節(jié)點進行信息交換，各節(jié)點呈星狀分布而得名。5網(wǎng)絡(luò)測試5。1內(nèi)網(wǎng)間的連通內(nèi)網(wǎng)中各主機之間的測試（多媒體和教學(xué)辦公、行政辦公)PC2與PC3、PC4的測試如下圖所示：圖5-1多媒體和教學(xué)辦公、行政辦公的測試圖內(nèi)網(wǎng)中各主機之間的測試（教學(xué)辦公和行政辦公)PC3與PC4的測試如下圖所示：圖5—1教學(xué)辦公與行政辦公的測試圖內(nèi)網(wǎng)中多媒體與筆記本的測試筆記本與PC1、PC2的測試如下圖所示：圖5-3多媒體與筆記本的測試圖5。2內(nèi)網(wǎng)與外網(wǎng)的連通內(nèi)網(wǎng)與外網(wǎng)的測試，內(nèi)網(wǎng)可以ping同外網(wǎng)，外網(wǎng)ping不通內(nèi)網(wǎng)PC3與Internet的測試如下圖所示：圖5—4內(nèi)網(wǎng)與外網(wǎng)的測試圖Internet與PC3的測試如下圖所示：圖5—5外網(wǎng)與內(nèi)網(wǎng)的測試圖5.3內(nèi)網(wǎng)與服務(wù)器的連通內(nèi)網(wǎng)除多媒體可以ping通FTP服務(wù)器和Web服務(wù)器PC3分別和FTP、Web服務(wù)器的測試如下圖所示：圖5—6內(nèi)網(wǎng)與服務(wù)器的測試圖多媒體不能ping同F(xiàn)TP服務(wù)器,如下圖所示：圖5-7多媒體與FTP服務(wù)器的測試圖外網(wǎng)主機到內(nèi)網(wǎng)web服務(wù)器的連通性:圖5—8外網(wǎng)主機到內(nèi)網(wǎng)web服務(wù)器的測試6附錄代碼6。1訪問控制列表內(nèi)網(wǎng)中除多媒體機房外可以訪問FTP服務(wù)器的代碼如下：switch>ebableswitch＃configtswitch(config)#access—list1deny0。0.0。255switch（config)#access—list1permitanyswitch（config)#interfacevlan50switch（config—if）#ipaccess—group1out6.2配置靜態(tài)NAT靜態(tài)NAT將web的地址映射為公網(wǎng)地址202.69.10。3，使外網(wǎng)可以訪問web服務(wù)器.主要代碼如下:首先聲明三層交換機上的所有網(wǎng)段：switch>ebableswitch#configtswitch(config)#routerripswitch（config—router)#network192。168。0.0switch(config-router）#network192.168.3。0switch(config—router)#network192。168.4.0switch(config-router）＃network192。168。1。0switch（config-router)＃network192。168。5.0switch（config-router）#network192。168。6。0switch（config—router）＃network192。168.8.0switch（config)＃end在路由器router1上配置靜態(tài)NATRouter1（config)#ipnatinsidesourcestatic202.69.10。3Router1(config）＃interfacef0/0Router1(config）＃ipnatinsideRouter1（config）＃interfaces2/0Router1(config）＃ipnatoutsideRouter1(config）#end6。3配置動態(tài)NAT配置動態(tài)NAT使內(nèi)網(wǎng)可以訪問外網(wǎng).主要代碼如下：Router1(config）#access-list10permit0。0.255。255Router1（config)＃ipnatpoolab202。69.10.5natmask255。255.255。0Router1(config）＃ipnatinsidesourcelist10poolaboverload7課程設(shè)計小結(jié)在這兩周的計算機網(wǎng)絡(luò)課程設(shè)計實驗中,我收獲頗多.計算機網(wǎng)絡(luò)是一門很有探究性的學(xué)科,在課程設(shè)計下達后,我們都饒有興趣的開始了探究。現(xiàn)在想想看來，從一開始的無知，到今天的對網(wǎng)絡(luò)搭建成熟的想法和看法,我確實從中學(xué)到很多，每天的不斷嘗試，不斷創(chuàng)新,不斷學(xué)習(xí)，讓我們的這美好的兩周過的充實而又充滿挑戰(zhàn)。課程設(shè)計是培養(yǎng)我們綜合運用所學(xué)知識，發(fā)現(xiàn)、提出、分析、解決問題的一個過程，是對我們所學(xué)知識及綜合能力的一次考察.通過這次課程設(shè)計，很深刻的了解到了工程實踐的重要性。書本上的知識學(xué)的再多，實踐中碰到的問題，有些還是難以輕松解決,這就需要經(jīng)驗的積累.這些只能通過實踐才能有如此