計(jì)算機(jī)網(wǎng)絡(luò)綜合設(shè)計(jì)報(bào)告答案(共10頁(yè))_第1頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)綜合設(shè)計(jì)報(bào)告答案(共10頁(yè))_第2頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)綜合設(shè)計(jì)報(bào)告答案(共10頁(yè))_第3頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)綜合設(shè)計(jì)報(bào)告答案(共10頁(yè))_第4頁(yè)
計(jì)算機(jī)網(wǎng)絡(luò)綜合設(shè)計(jì)報(bào)告答案(共10頁(yè))_第5頁(yè)
已閱讀5頁(yè),還剩8頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、計(jì)算機(jī)網(wǎng)絡(luò)綜合設(shè)計(jì)(shj)報(bào)告 -中小型企業(yè)網(wǎng)絡(luò)(wnglu)組建方案姓名(xngmng):高欣學(xué)號(hào): 201113010126班級(jí): 11級(jí)信息工程1班指導(dǎo)老師:王權(quán)海一、背景(bijng)描述某公司計(jì)劃(jhu)建設(shè)自己的網(wǎng)絡(luò) ,希望通過(guò)這個(gè)新建網(wǎng)絡(luò),提供一個(gè)安全可靠、可擴(kuò)展、高效的網(wǎng)絡(luò)環(huán)境。使公司能夠方便快捷的實(shí)現(xiàn)網(wǎng)絡(luò)資源共享、接入Internet 等目標(biāo)。二、公司環(huán)境(hunjng)和要求1、公司有4個(gè)部門:市場(chǎng)部(30臺(tái)主機(jī))、財(cái)務(wù)部(4臺(tái)主機(jī))和經(jīng)理部(2臺(tái)主機(jī))以及網(wǎng)絡(luò)部(3臺(tái)服務(wù)器主機(jī):分別提供www、FTP、DHCP服務(wù))。2、公司內(nèi)部使用私有地址段/16。公司租用了三間大

2、型寫字間,每間的職員位置固定。已有的機(jī)器的分布如下:(1)市場(chǎng)部120號(hào)主機(jī)與經(jīng)理部的兩臺(tái)分布于房間1,接在交換機(jī)SW1上;(2)市場(chǎng)部2130號(hào)主機(jī)與財(cái)務(wù)部的4臺(tái)主機(jī)分布于房間2,接在交換機(jī)SW2上;(3)網(wǎng)絡(luò)部的三臺(tái)服務(wù)器分布于房間3,接在交換機(jī)SW3上。要求將不同職能的計(jì)算機(jī)劃分成獨(dú)立組群:市場(chǎng)部、財(cái)務(wù)部、經(jīng)理部、服務(wù)器組。(提示:采用VLAN技術(shù)實(shí)現(xiàn)不同組群相互間的隔離;在此基礎(chǔ)上,利用路由器實(shí)現(xiàn)VLAN間的通信。)3、全公司除服務(wù)器以外的所有主機(jī)通過(guò)DHCP服務(wù)器實(shí)現(xiàn)地址自動(dòng)分配,避免個(gè)人設(shè)置IP 地址的麻煩。(提示:需要在路由器上配置DHCP中繼)4、三個(gè)服務(wù)器使用固定的地址(WW

3、W/24,F(xiàn)TP/24,DHCP/24),內(nèi)網(wǎng)用戶可通過(guò)內(nèi)部地址訪問(wèn)這些服務(wù)器。5、公司只申請(qǐng)到有限個(gè)接入公網(wǎng)的IP 地址(/29/29),供企業(yè)內(nèi)網(wǎng)接入公網(wǎng)使用。其中分配給公司網(wǎng)絡(luò)部的WWW服務(wù)器,以提供對(duì)外Web服務(wù),余下的地址可供員工上網(wǎng)使用。公司的FTP服務(wù)不提供給外網(wǎng)。(提示:采用ACL+NAT)6、為了確保(qubo)財(cái)務(wù)部數(shù)據(jù)安全,財(cái)務(wù)部與外部公網(wǎng)不能互訪;內(nèi)部?jī)H允許經(jīng)理部訪問(wèn)財(cái)務(wù)部,其他部門均不能與財(cái)務(wù)部互訪。其他部門(市場(chǎng)部、經(jīng)理部、網(wǎng)絡(luò)部)之間,可以相互訪問(wèn)。(提示:采用ACL技術(shù))7、公司為外地出差員工提供“遠(yuǎn)程接入式VPN”服務(wù),使得外地員工可以通過(guò)公網(wǎng)連接以賬戶+密碼

4、的方式接入到公司內(nèi)部網(wǎng)絡(luò)。該類接入用戶(yngh)統(tǒng)一安排/24的地址段。 三、IP地址分配(fnpi)綜合公司環(huán)境和網(wǎng)絡(luò)使用要求,內(nèi)網(wǎng)地址安排為:經(jīng)理部Manager:/24財(cái)務(wù)部Finance: /24市場(chǎng)部Market: /24網(wǎng)絡(luò)部Servers: /24遠(yuǎn)程接入VPN地址池:/24四、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)五、相關(guān)原理簡(jiǎn)述1. NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(zhunhun)NAT(Network Address Translation),被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單,NAT不僅完美解決了IP地址不足的問(wèn)題,而且還能夠有效地避免來(lái)自(li z

5、)網(wǎng)絡(luò)外部的攻擊,隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。默認(rèn)情況下,內(nèi)部IP地址是無(wú)法被路由到外網(wǎng)的,例如(lr),內(nèi)部主機(jī)要與外部internet通信,IP包到達(dá)NAT路由器時(shí),IP包頭的源地址被替換成一個(gè)合法的外網(wǎng)IP,并在NAT轉(zhuǎn)換表中保存這條記錄。當(dāng)外部主機(jī)發(fā)送一個(gè)應(yīng)答到內(nèi)網(wǎng)時(shí),NAT路由器收到后,查看當(dāng)前NAT轉(zhuǎn)換表,用替換掉這個(gè)外網(wǎng)地址。NAT可將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩部分,局域網(wǎng)主機(jī)利用NAT訪問(wèn)網(wǎng)絡(luò)時(shí),是將局域網(wǎng)內(nèi)部的本地地址轉(zhuǎn)換為全局地址(互聯(lián)網(wǎng)合法的IP地址)后轉(zhuǎn)發(fā)數(shù)據(jù)包。2.VLAN虛擬局域網(wǎng)(VLAN)是一組邏輯上的設(shè)備和用戶,這些設(shè)備和用戶并不受物理位置的限制,可以根據(jù)

6、功能、部門及應(yīng)用等因素將它們組織起來(lái),相互之間的通信就好像它們?cè)?HYPERLINK /view/4200848.htm t _blank 同一個(gè)網(wǎng)段中一樣,由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù),工作在 HYPERLINK /view/38361.htm t _blank OSI參考模型的第2層和第3層,一個(gè)VLAN就是一個(gè) HYPERLINK /view/291982.htm t _blank 廣播域,VLAN之間的通信是通過(guò)第3層的 HYPERLINK /view/1360.htm t _blank 路由器來(lái)完成的。與傳統(tǒng)的 HYPERLINK /view/1598669.htm

7、 t _blank 局域網(wǎng)技術(shù)相比較,VLAN技術(shù)更加靈活,它具有以下優(yōu)點(diǎn): 網(wǎng)絡(luò)設(shè)備的移動(dòng)、添加和修改的管理開銷減少;可以控制 HYPERLINK /view/35385.htm t _blank 廣播活動(dòng);可提高 HYPERLINK /view/3487.htm t _blank 網(wǎng)絡(luò)的安全性。在計(jì)算機(jī)網(wǎng)絡(luò)中,一個(gè)二層網(wǎng)絡(luò)可以被劃分為多個(gè)不同的廣播域,一個(gè)廣播域?qū)?yīng)了一個(gè)特定的用戶組,默認(rèn)情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信,需要通過(guò)一個(gè)或多個(gè)路由器。這樣的一個(gè)廣播域就稱為VLAN。交換機(jī)1配置:SwitchenableSwitch#conf tSwitch(con

8、fig)#hostname s1s1(config)#ends1#vlan database% Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode.s1#vlan 10 name vlan10s1#vlan 20 name vlan20s1#exits1enable s1#config tE

9、nter configuration commands, one per line. End with CNTL/Z.s1(config)#interface fastethernet 0/2s1(config-if)#switchport mode accesss1(config-if)#switch access vlan10s1(config-if)#exits1(config)#interface fastethernet 0/3s1(config-if)#switchport mode accesss1(config-if)#switch access vlan10s1(config

10、-if)#exits1(config)#interface fastethernet 0/4s1(config-if)#switchport mode accesss1(config-if)#switch access vlan20s1(config-if)#exits1(config)#interface fastethernet 0/5s1(config-if)#switchport mode accesss1(config-if)#switch access vlan20s1(config-if)#exits1(config)#interface fastethernet 0/1s1(c

11、onfig-if)#switchport mode trunks1(config-if)#switchport trunk allowed vlan alls1(config-if)#exits1(config)#ends1#%SYS-5-CONFIG_I: Configured from console by consoles1#copy run start交換機(jī)2配置(pizh):SwitchenableSwitch#conf tSwitch(config)#hostname s1S2(config)#endS2#vlan database% Warning: It is recommen

12、ded to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode.S2#vlan 10 name vlan30S3#vlan 20 name vlan40s2#vlan 20 name vlan50s2#exits2enable s2#config tEnter configuration commands, one per line. End wi

13、th CNTL/Z.s2(config)#interface fastethernet 0/2s2(config-if)#switchport mode accesss2(config-if)#switch access vlan30s2(config-if)#exits2(config)#interface fastethernet 0/3s2(config-if)#switchport mode accesss2(config-if)#switch access vlan30s2(config-if)#exits2(config)#interface fastethernet 0/4s2(

14、config-if)#switchport mode accesss2(config-if)#switch access vlan40s2(config-if)#exits2(config)#interface fastethernet 0/5s2(config-if)#switchport mode accesss2(config-if)#switch access vlan40s2(config-if)#exits2(config)#interface fastethernet 0/1s2(config-if)#switchport mode trunks2(config-if)#swit

15、chport trunk allowed vlan alls2(config-if)#exits2(config)#end%SYS-5-CONFIG_I: Configured from console by consoles1#copy run start%SYS-5-CONFIG_I: Configured from console by consoles1#copy run start交換機(jī)3配置(pizh):Switch(config-if)#int f0/2Switch(config-if)#switchport access vlan10Switch(config-if)#int

16、f0/3Switch(config-if)#switchport access vlan303. ACL訪問(wèn)控制列表(ACL)可以對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)包按照設(shè)定的規(guī)則進(jìn)行過(guò)濾(gul),使數(shù)據(jù)包有選擇的通過(guò)路由器,起到防火墻的作用。ACL由一系列規(guī)則組成,在規(guī)則中定義允許或拒絕通過(guò)路由器的條件。其過(guò)濾依據(jù)主要包括源地址、目的地址、上層協(xié)議等。主要用于限制訪問(wèn)網(wǎng)絡(luò)的用戶,保護(hù)網(wǎng)絡(luò)的安全。在Cisco路由器中的配置過(guò)程包括兩步:(1)、在網(wǎng)絡(luò)設(shè)備上配置編號(hào)(bin ho)(或命名)的IP訪問(wèn)控制列表;(2)、將該編號(hào)(該名字)的IP訪問(wèn)控制列表應(yīng)用到設(shè)備的某一接口上。根據(jù)設(shè)計(jì)中的要求:確保財(cái)務(wù)部數(shù)據(jù)

17、安全,財(cái)務(wù)部與外部公網(wǎng)不能互訪;內(nèi)部?jī)H允許經(jīng)理部訪問(wèn)財(cái)務(wù)部,其他部門均不能與財(cái)務(wù)部互訪。其他部門(市場(chǎng)部、經(jīng)理部、網(wǎng)絡(luò)部)之間,可以相互訪問(wèn)。根據(jù)圖1拓?fù)浣Y(jié)構(gòu)可進(jìn)行如下配置:3.1為不同IP網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備配置IP地址(網(wǎng)絡(luò)設(shè)備包括PC機(jī)和路由器的網(wǎng)絡(luò)接口)。R0:Fa0/0:/24;Fa1/0:/24;Se2/0:/30R1:Fa0/0:/24;Se2/0:/303.2在在路由器R0上設(shè)計(jì)標(biāo)準(zhǔn)ACL,使得財(cái)務(wù)部部網(wǎng)絡(luò)的IP分組無(wú)法從接口Se2/0發(fā)出。配置命令參考如下:R0#conf tR0(config)#ip access-list standard LIST01R0(config-st

18、d-nacl)#permit 55R0(config-std-nacl)#deny 55R0(config-std-nacl)#exitR0(config)#int s2/0R0(config-if)#ip access-group LIST01 outR0(config-if)#exitR0(config)#3.3在路由器R0上設(shè)計(jì)(shj)擴(kuò)展ACL,使得經(jīng)理部的主機(jī)(zhj)可以訪問(wèn)財(cái)務(wù)部的Web頁(yè)面(y min),但不能ping通服務(wù)器。配置命令參考如下:R0(config)#ip access-list extended LIST02R0(config-ext-nacl)#permi

19、t tcp 55 host eq 80R0(config-ext-nacl)#deny icmp 55 host R0(config-ext-nacl)#exitR0(config)#int s2/0R0(config-if)#ip access-group LIST02 outR0(config-if)#exitR0(config)#3.4 在經(jīng)理部PC上的命令行里運(yùn)行ftp ,從而訪問(wèn)服務(wù)器上的FTP服務(wù),觀察記錄運(yùn)行結(jié)果。接著參照下面的配置命令修改R0上的ACL列表,然后再次在命令行里運(yùn)行ftp 。R0(config)#ip access-list extended LIST02R0(c

20、onfig-ext-nacl)#permit tcp 55 host eq 21R0(config-ext-nacl)#exitR0(config)#六、路由器配置R0:RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#enablepassword123Router(config)#exit%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleRouter#exitRouterenablePassword:*Router#conftR

21、outer(config)#interfa0/0.1Router_config)#encapsulationdot1q10Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#exitRouter(config)#intfa0/0.2Router_config)#encapsulationdot1q1Router(config-if)#ipaddressRouter(config-if)#clockrate100000Router(config-if)#noshutdownRouter(config-i

22、f)#exitRouter(config)#exitRouterenPassword:*Router#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#routerripRouter(config-router)#netRouter(config-router)#netRouter(config-router)#netRouter(config-router)#netRouter(config-router)#netRouter(config-router)#exitRouter(config)#exitR1:RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#enablepassword123Router(config)#exit%SYS-5-CONFIG_I:Configuredfr

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論