計(jì)算機(jī)網(wǎng)絡(luò)綜合設(shè)計(jì)報(bào)告答案;

1、計(jì)算機(jī)網(wǎng)絡(luò)綜合設(shè)計(jì)報(bào)告 -中小型企業(yè)網(wǎng)絡(luò)組建方案姓名：高欣學(xué)號(hào)： 201113010126班級(jí)： 11級(jí)信息工程1班指導(dǎo)老師：王權(quán)海一、背景描述某公司計(jì)劃建設(shè)自己的網(wǎng)絡(luò) ，希望通過(guò)這個(gè)新建網(wǎng)絡(luò)，提供一個(gè)安全可靠、可擴(kuò)展、高效的網(wǎng)絡(luò)環(huán)境。使公司能夠方便快捷的實(shí)現(xiàn)網(wǎng)絡(luò)資源共享、接入internet 等目標(biāo)。二、公司環(huán)境和要求1、公司有4個(gè)部門(mén)：市場(chǎng)部（30臺(tái)主機(jī)）、財(cái)務(wù)部（4臺(tái)主機(jī)）和經(jīng)理部（2臺(tái)主機(jī)）以及網(wǎng)絡(luò)部（3臺(tái)服務(wù)器主機(jī)：分別提供www、ftp、dhcp服務(wù)）。2、公司內(nèi)部使用私有地址段/16。公司租用了三間大型寫(xiě)字間，每間的職員位置固定。已有的機(jī)器的分布如下：（1）市

2、場(chǎng)部120號(hào)主機(jī)與經(jīng)理部的兩臺(tái)分布于房間1，接在交換機(jī)sw1上；（2）市場(chǎng)部2130號(hào)主機(jī)與財(cái)務(wù)部的4臺(tái)主機(jī)分布于房間2，接在交換機(jī)sw2上；（3）網(wǎng)絡(luò)部的三臺(tái)服務(wù)器分布于房間3，接在交換機(jī)sw3上。要求將不同職能的計(jì)算機(jī)劃分成獨(dú)立組群：市場(chǎng)部、財(cái)務(wù)部、經(jīng)理部、服務(wù)器組。（提示：采用vlan技術(shù)實(shí)現(xiàn)不同組群相互間的隔離；在此基礎(chǔ)上，利用路由器實(shí)現(xiàn)vlan間的通信。）3、全公司除服務(wù)器以外的所有主機(jī)通過(guò)dhcp服務(wù)器實(shí)現(xiàn)地址自動(dòng)分配，避免個(gè)人設(shè)置ip 地址的麻煩。（提示：需要在路由器上配置dhcp中繼）4、三個(gè)服務(wù)器使用固定的地址（www/24，ftp/2

3、4，dhcp/24），內(nèi)網(wǎng)用戶可通過(guò)內(nèi)部地址訪問(wèn)這些服務(wù)器。5、公司只申請(qǐng)到有限個(gè)接入公網(wǎng)的ip 地址（/29/29），供企業(yè)內(nèi)網(wǎng)接入公網(wǎng)使用。其中分配給公司網(wǎng)絡(luò)部的www服務(wù)器，以提供對(duì)外web服務(wù)，余下的地址可供員工上網(wǎng)使用。公司的ftp服務(wù)不提供給外網(wǎng)。（提示：采用acl+nat）6、為了確保財(cái)務(wù)部數(shù)據(jù)安全，財(cái)務(wù)部與外部公網(wǎng)不能互訪；內(nèi)部?jī)H允許經(jīng)理部訪問(wèn)財(cái)務(wù)部，其他部門(mén)均不能與財(cái)務(wù)部互訪。其他部門(mén)（市場(chǎng)部、經(jīng)理部、網(wǎng)絡(luò)部）之間，可以相互訪問(wèn)。（提示：采用acl技術(shù)）7、公司為外地出差員工提供“遠(yuǎn)程接入式vpn”服務(wù)

4、，使得外地員工可以通過(guò)公網(wǎng)連接以賬戶+密碼的方式接入到公司內(nèi)部網(wǎng)絡(luò)。該類接入用戶統(tǒng)一安排/24的地址段。 三、ip地址分配綜合公司環(huán)境和網(wǎng)絡(luò)使用要求，內(nèi)網(wǎng)地址安排為：經(jīng)理部manager：/24財(cái)務(wù)部finance： /24市場(chǎng)部market： /24網(wǎng)絡(luò)部servers： /24遠(yuǎn)程接入vpn地址池：/24四、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)五、相關(guān)原理簡(jiǎn)述1. nat網(wǎng)絡(luò)地址轉(zhuǎn)換nat（network address translation），被廣泛應(yīng)用于各種類型inter

5、net接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，nat不僅完美解決了ip地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。默認(rèn)情況下，內(nèi)部ip地址是無(wú)法被路由到外網(wǎng)的，例如，內(nèi)部主機(jī)要與外部internet通信，ip包到達(dá)nat路由器時(shí)，ip包頭的源地址被替換成一個(gè)合法的外網(wǎng)ip，并在nat轉(zhuǎn)換表中保存這條記錄。當(dāng)外部主機(jī)發(fā)送一個(gè)應(yīng)答到內(nèi)網(wǎng)時(shí)，nat路由器收到后，查看當(dāng)前nat轉(zhuǎn)換表，用替換掉這個(gè)外網(wǎng)地址。nat可將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩部分，局域網(wǎng)主機(jī)利用nat訪問(wèn)網(wǎng)絡(luò)時(shí)，是將局域網(wǎng)內(nèi)部的本地地址轉(zhuǎn)換為全

6、局地址（互聯(lián)網(wǎng)合法的ip地址）后轉(zhuǎn)發(fā)數(shù)據(jù)包。2.vlan虛擬局域網(wǎng)（vlan）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門(mén)及應(yīng)用等因素將它們組織起來(lái)，相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。vlan是一種比較新的技術(shù)，工作在osi參考模型的第2層和第3層，一個(gè)vlan就是一個(gè)廣播域，vlan之間的通信是通過(guò)第3層的路由器來(lái)完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，vlan技術(shù)更加靈活，它具有以下優(yōu)點(diǎn)： 網(wǎng)絡(luò)設(shè)備的移動(dòng)、添加和修改的管理開(kāi)銷減少；可以控制廣播活動(dòng)；可提高網(wǎng)絡(luò)的安全性。在計(jì)算機(jī)網(wǎng)絡(luò)中，一個(gè)二層網(wǎng)絡(luò)可以被劃分為多個(gè)不同的廣播域，一個(gè)

7、廣播域?qū)?yīng)了一個(gè)特定的用戶組，默認(rèn)情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過(guò)一個(gè)或多個(gè)路由器。這樣的一個(gè)廣播域就稱為vlan。交換機(jī)1配置：switchenableswitch#conf tswitch(config)#hostname s1s1(config)#ends1#vlan database% warning: it is recommended to configure vlan from config mode, as vlan database mode is being deprecated. please consult user documen

8、tation for configuring vtp/vlan in config mode.s1#vlan 10 name vlan10s1#vlan 20 name vlan20s1#exits1enable s1#config tenter configuration commands, one per line. end with cntl/z.s1(config)#interface fastethernet 0/2s1(config-if)#switchport mode accesss1(config-if)#switch access vlan10s1(config-if)#e

9、xits1(config)#interface fastethernet 0/3s1(config-if)#switchport mode accesss1(config-if)#switch access vlan10s1(config-if)#exits1(config)#interface fastethernet 0/4s1(config-if)#switchport mode accesss1(config-if)#switch access vlan20s1(config-if)#exits1(config)#interface fastethernet 0/5s1(config-

10、if)#switchport mode accesss1(config-if)#switch access vlan20s1(config-if)#exits1(config)#interface fastethernet 0/1s1(config-if)#switchport mode trunks1(config-if)#switchport trunk allowed vlan alls1(config-if)#exits1(config)#ends1#%sys-5-config_i: configured from console by consoles1#copy run start

11、交換機(jī)2配置：switchenableswitch#conf tswitch(config)#hostname s1s2(config)#ends2#vlan database% warning: it is recommended to configure vlan from config mode, as vlan database mode is being deprecated. please consult user documentation for configuring vtp/vlan in config mode.s2#vlan 10 name vlan30s3#vlan

12、20 name vlan40s2#vlan 20 name vlan50s2#exits2enable s2#config tenter configuration commands, one per line. end with cntl/z.s2(config)#interface fastethernet 0/2s2(config-if)#switchport mode accesss2(config-if)#switch access vlan30s2(config-if)#exits2(config)#interface fastethernet 0/3s2(config-if)#s

13、witchport mode accesss2(config-if)#switch access vlan30s2(config-if)#exits2(config)#interface fastethernet 0/4s2(config-if)#switchport mode accesss2(config-if)#switch access vlan40s2(config-if)#exits2(config)#interface fastethernet 0/5s2(config-if)#switchport mode accesss2(config-if)#switch access v

14、lan40s2(config-if)#exits2(config)#interface fastethernet 0/1s2(config-if)#switchport mode trunks2(config-if)#switchport trunk allowed vlan alls2(config-if)#exits2(config)#end%sys-5-config_i: configured from console by consoles1#copy run start%sys-5-config_i: configured from console by consoles1#copy

15、 run start交換機(jī)3配置：switch(config-if)#int f0/2switch(config-if)#switchport access vlan10switch(config-if)#int f0/3switch(config-if)#switchport access vlan303. acl訪問(wèn)控制列表（acl）可以對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)包按照設(shè)定的規(guī)則進(jìn)行過(guò)濾，使數(shù)據(jù)包有選擇的通過(guò)路由器，起到防火墻的作用。acl由一系列規(guī)則組成，在規(guī)則中定義允許或拒絕通過(guò)路由器的條件。其過(guò)濾依據(jù)主要包括源地址、目的地址、上層協(xié)議等。主要用于限制訪問(wèn)網(wǎng)絡(luò)的用戶，保護(hù)網(wǎng)絡(luò)的安全。在cisc

16、o路由器中的配置過(guò)程包括兩步：(1)、在網(wǎng)絡(luò)設(shè)備上配置編號(hào)（或命名）的ip訪問(wèn)控制列表；(2)、將該編號(hào)（該名字）的ip訪問(wèn)控制列表應(yīng)用到設(shè)備的某一接口上。根據(jù)設(shè)計(jì)中的要求：確保財(cái)務(wù)部數(shù)據(jù)安全，財(cái)務(wù)部與外部公網(wǎng)不能互訪；內(nèi)部?jī)H允許經(jīng)理部訪問(wèn)財(cái)務(wù)部，其他部門(mén)均不能與財(cái)務(wù)部互訪。其他部門(mén)（市場(chǎng)部、經(jīng)理部、網(wǎng)絡(luò)部）之間，可以相互訪問(wèn)。根據(jù)圖1拓?fù)浣Y(jié)構(gòu)可進(jìn)行如下配置：3.1為不同ip網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備配置ip地址（網(wǎng)絡(luò)設(shè)備包括pc機(jī)和路由器的網(wǎng)絡(luò)接口）。r0：fa0/0：/24；fa1/0：/24；se2/0：/30r1：fa0/0：172.1

17、6.4.1/24；se2/0：/303.2在在路由器r0上設(shè)計(jì)標(biāo)準(zhǔn)acl，使得財(cái)務(wù)部部網(wǎng)絡(luò)的ip分組無(wú)法從接口se2/0發(fā)出。配置命令參考如下：r0#conf tr0(config)#ip access-list standard list01r0(config-std-nacl)#permit 55r0(config-std-nacl)#deny 55r0(config-std-nacl)#exitr0(config)#int s2/0r0(config-if)#ip access-group lis

18、t01 outr0(config-if)#exitr0(config)#3.3在路由器r0上設(shè)計(jì)擴(kuò)展acl，使得經(jīng)理部的主機(jī)可以訪問(wèn)財(cái)務(wù)部的web頁(yè)面，但不能ping通服務(wù)器。配置命令參考如下：r0(config)#ip access-list extended list02r0(config-ext-nacl)#permit tcp 55 host eq 80r0(config-ext-nacl)#deny icmp 55 host r0(config-ext-nacl)#exi

19、tr0(config)#int s2/0r0(config-if)#ip access-group list02 outr0(config-if)#exitr0(config)#3.4 在經(jīng)理部pc上的命令行里運(yùn)行ftp ，從而訪問(wèn)服務(wù)器上的ftp服務(wù)，觀察記錄運(yùn)行結(jié)果。接著參照下面的配置命令修改r0上的acl列表，然后再次在命令行里運(yùn)行ftp 。r0(config)#ip access-list extended list02r0(config-ext-nacl)#permit tcp 55 host 172.16.

20、4.4 eq 21r0(config-ext-nacl)#exitr0(config)#六、路由器配置r0:routerenrouter#conftenterconfigurationcommands,oneperline.endwithcntl/z.router(config)#enablepassword123router(config)#exit%sys-5-config_i:configuredfromconsolebyconsolerouter#exitrouterenablepassword:*router#conftrouter(config)#interfa0/0.1route

21、r_config)#encapsulationdot1q10router(config-if)#ipaddressrouter(config-if)#noshutdownrouter(config-if)#exitrouter(config)#intfa0/0.2router_config)#encapsulationdot1q1router(config-if)#ipaddressrouter(config-if)#clockrate100000router(config-if)#noshutdown

22、router(config-if)#exitrouter(config)#exitrouterenpassword:*router#conftenterconfigurationcommands,oneperline.endwithcntl/z.router(config)#routerriprouter(config-router)#netrouter(config-router)#netrouter(config-router)#netrouter(config-router)#netrouter(config-router)#netrouter(config-router)#exitrouter(config)#exitr1:routerenrouter#conftenterconfigurationcommands,oneperline.endwi