計算機(jī)網(wǎng)絡(luò)綜合設(shè)計報告答案(共10頁)

1、計算機(jī)網(wǎng)絡(luò)綜合設(shè)計(shj)報告 -中小型企業(yè)網(wǎng)絡(luò)(wnglu)組建方案姓名(xngmng)：高欣學(xué)號： 201113010126班級： 11級信息工程1班指導(dǎo)老師：王權(quán)海一、背景(bijng)描述某公司計劃(jhu)建設(shè)自己的網(wǎng)絡(luò) ，希望通過這個新建網(wǎng)絡(luò)，提供一個安全可靠、可擴(kuò)展、高效的網(wǎng)絡(luò)環(huán)境。使公司能夠方便快捷的實現(xiàn)網(wǎng)絡(luò)資源共享、接入Internet 等目標(biāo)。二、公司環(huán)境(hunjng)和要求1、公司有4個部門：市場部（30臺主機(jī)）、財務(wù)部（4臺主機(jī)）和經(jīng)理部（2臺主機(jī)）以及網(wǎng)絡(luò)部（3臺服務(wù)器主機(jī)：分別提供www、FTP、DHCP服務(wù)）。2、公司內(nèi)部使用私有地址段/16。公司租用了三間大

2、型寫字間，每間的職員位置固定。已有的機(jī)器的分布如下：（1）市場部120號主機(jī)與經(jīng)理部的兩臺分布于房間1，接在交換機(jī)SW1上；（2）市場部2130號主機(jī)與財務(wù)部的4臺主機(jī)分布于房間2，接在交換機(jī)SW2上；（3）網(wǎng)絡(luò)部的三臺服務(wù)器分布于房間3，接在交換機(jī)SW3上。要求將不同職能的計算機(jī)劃分成獨立組群：市場部、財務(wù)部、經(jīng)理部、服務(wù)器組。（提示：采用VLAN技術(shù)實現(xiàn)不同組群相互間的隔離；在此基礎(chǔ)上，利用路由器實現(xiàn)VLAN間的通信。）3、全公司除服務(wù)器以外的所有主機(jī)通過DHCP服務(wù)器實現(xiàn)地址自動分配，避免個人設(shè)置IP 地址的麻煩。（提示：需要在路由器上配置DHCP中繼）4、三個服務(wù)器使用固定的地址（WW

3、W/24，F(xiàn)TP/24，DHCP/24），內(nèi)網(wǎng)用戶可通過內(nèi)部地址訪問這些服務(wù)器。5、公司只申請到有限個接入公網(wǎng)的IP 地址（/29/29），供企業(yè)內(nèi)網(wǎng)接入公網(wǎng)使用。其中分配給公司網(wǎng)絡(luò)部的WWW服務(wù)器，以提供對外Web服務(wù)，余下的地址可供員工上網(wǎng)使用。公司的FTP服務(wù)不提供給外網(wǎng)。（提示：采用ACL+NAT）6、為了確保(qubo)財務(wù)部數(shù)據(jù)安全，財務(wù)部與外部公網(wǎng)不能互訪；內(nèi)部僅允許經(jīng)理部訪問財務(wù)部，其他部門均不能與財務(wù)部互訪。其他部門（市場部、經(jīng)理部、網(wǎng)絡(luò)部）之間，可以相互訪問。（提示：采用ACL技術(shù)）7、公司為外地出差員工提供“遠(yuǎn)程接入式VPN”服務(wù)，使得外地員工可以通過公網(wǎng)連接以賬戶+密碼

4、的方式接入到公司內(nèi)部網(wǎng)絡(luò)。該類接入用戶(yngh)統(tǒng)一安排/24的地址段。 三、IP地址分配(fnpi)綜合公司環(huán)境和網(wǎng)絡(luò)使用要求，內(nèi)網(wǎng)地址安排為：經(jīng)理部Manager：/24財務(wù)部Finance： /24市場部Market： /24網(wǎng)絡(luò)部Servers： /24遠(yuǎn)程接入VPN地址池：/24四、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)五、相關(guān)原理簡述1. NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(zhunhun)NAT（Network Address Translation），被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美解決了IP地址不足的問題，而且還能夠有效地避免來自(li z

5、)網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)。默認(rèn)情況下，內(nèi)部IP地址是無法被路由到外網(wǎng)的，例如(lr)，內(nèi)部主機(jī)要與外部internet通信，IP包到達(dá)NAT路由器時，IP包頭的源地址被替換成一個合法的外網(wǎng)IP，并在NAT轉(zhuǎn)換表中保存這條記錄。當(dāng)外部主機(jī)發(fā)送一個應(yīng)答到內(nèi)網(wǎng)時，NAT路由器收到后，查看當(dāng)前NAT轉(zhuǎn)換表，用替換掉這個外網(wǎng)地址。NAT可將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩部分，局域網(wǎng)主機(jī)利用NAT訪問網(wǎng)絡(luò)時，是將局域網(wǎng)內(nèi)部的本地地址轉(zhuǎn)換為全局地址（互聯(lián)網(wǎng)合法的IP地址）后轉(zhuǎn)發(fā)數(shù)據(jù)包。2.VLAN虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)

6、功能、部門及應(yīng)用等因素將它們組織起來，相互之間的通信就好像它們在 HYPERLINK /view/4200848.htm t _blank 同一個網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，工作在 HYPERLINK /view/38361.htm t _blank OSI參考模型的第2層和第3層，一個VLAN就是一個 HYPERLINK /view/291982.htm t _blank 廣播域，VLAN之間的通信是通過第3層的 HYPERLINK /view/1360.htm t _blank 路由器來完成的。與傳統(tǒng)的 HYPERLINK /view/1598669.htm

7、 t _blank 局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點： 網(wǎng)絡(luò)設(shè)備的移動、添加和修改的管理開銷減少；可以控制 HYPERLINK /view/35385.htm t _blank 廣播活動；可提高 HYPERLINK /view/3487.htm t _blank 網(wǎng)絡(luò)的安全性。在計算機(jī)網(wǎng)絡(luò)中，一個二層網(wǎng)絡(luò)可以被劃分為多個不同的廣播域，一個廣播域?qū)?yīng)了一個特定的用戶組，默認(rèn)情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過一個或多個路由器。這樣的一個廣播域就稱為VLAN。交換機(jī)1配置：SwitchenableSwitch#conf tSwitch(con

8、fig)#hostname s1s1(config)#ends1#vlan database% Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode.s1#vlan 10 name vlan10s1#vlan 20 name vlan20s1#exits1enable s1#config tE

9、nter configuration commands, one per line. End with CNTL/Z.s1(config)#interface fastethernet 0/2s1(config-if)#switchport mode accesss1(config-if)#switch access vlan10s1(config-if)#exits1(config)#interface fastethernet 0/3s1(config-if)#switchport mode accesss1(config-if)#switch access vlan10s1(config

10、-if)#exits1(config)#interface fastethernet 0/4s1(config-if)#switchport mode accesss1(config-if)#switch access vlan20s1(config-if)#exits1(config)#interface fastethernet 0/5s1(config-if)#switchport mode accesss1(config-if)#switch access vlan20s1(config-if)#exits1(config)#interface fastethernet 0/1s1(c

11、onfig-if)#switchport mode trunks1(config-if)#switchport trunk allowed vlan alls1(config-if)#exits1(config)#ends1#%SYS-5-CONFIG_I: Configured from console by consoles1#copy run start交換機(jī)2配置(pizh)：SwitchenableSwitch#conf tSwitch(config)#hostname s1S2(config)#endS2#vlan database% Warning: It is recommen

12、ded to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode.S2#vlan 10 name vlan30S3#vlan 20 name vlan40s2#vlan 20 name vlan50s2#exits2enable s2#config tEnter configuration commands, one per line. End wi

13、th CNTL/Z.s2(config)#interface fastethernet 0/2s2(config-if)#switchport mode accesss2(config-if)#switch access vlan30s2(config-if)#exits2(config)#interface fastethernet 0/3s2(config-if)#switchport mode accesss2(config-if)#switch access vlan30s2(config-if)#exits2(config)#interface fastethernet 0/4s2(

14、config-if)#switchport mode accesss2(config-if)#switch access vlan40s2(config-if)#exits2(config)#interface fastethernet 0/5s2(config-if)#switchport mode accesss2(config-if)#switch access vlan40s2(config-if)#exits2(config)#interface fastethernet 0/1s2(config-if)#switchport mode trunks2(config-if)#swit

15、chport trunk allowed vlan alls2(config-if)#exits2(config)#end%SYS-5-CONFIG_I: Configured from console by consoles1#copy run start%SYS-5-CONFIG_I: Configured from console by consoles1#copy run start交換機(jī)3配置(pizh)：Switch(config-if)#int f0/2Switch(config-if)#switchport access vlan10Switch(config-if)#int

16、f0/3Switch(config-if)#switchport access vlan303. ACL訪問控制列表（ACL）可以對經(jīng)過路由器的數(shù)據(jù)包按照設(shè)定的規(guī)則進(jìn)行過濾(gul)，使數(shù)據(jù)包有選擇的通過路由器，起到防火墻的作用。ACL由一系列規(guī)則組成，在規(guī)則中定義允許或拒絕通過路由器的條件。其過濾依據(jù)主要包括源地址、目的地址、上層協(xié)議等。主要用于限制訪問網(wǎng)絡(luò)的用戶，保護(hù)網(wǎng)絡(luò)的安全。在Cisco路由器中的配置過程包括兩步：(1)、在網(wǎng)絡(luò)設(shè)備上配置編號(bin ho)（或命名）的IP訪問控制列表；(2)、將該編號（該名字）的IP訪問控制列表應(yīng)用到設(shè)備的某一接口上。根據(jù)設(shè)計中的要求：確保財務(wù)部數(shù)據(jù)

17、安全，財務(wù)部與外部公網(wǎng)不能互訪；內(nèi)部僅允許經(jīng)理部訪問財務(wù)部，其他部門均不能與財務(wù)部互訪。其他部門（市場部、經(jīng)理部、網(wǎng)絡(luò)部）之間，可以相互訪問。根據(jù)圖1拓?fù)浣Y(jié)構(gòu)可進(jìn)行如下配置：3.1為不同IP網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備配置IP地址（網(wǎng)絡(luò)設(shè)備包括PC機(jī)和路由器的網(wǎng)絡(luò)接口）。R0：Fa0/0：/24；Fa1/0：/24；Se2/0：/30R1：Fa0/0：/24；Se2/0：/303.2在在路由器R0上設(shè)計標(biāo)準(zhǔn)ACL，使得財務(wù)部部網(wǎng)絡(luò)的IP分組無法從接口Se2/0發(fā)出。配置命令參考如下：R0#conf tR0(config)#ip access-list standard LIST01R0(config-st

18、d-nacl)#permit 55R0(config-std-nacl)#deny 55R0(config-std-nacl)#exitR0(config)#int s2/0R0(config-if)#ip access-group LIST01 outR0(config-if)#exitR0(config)#3.3在路由器R0上設(shè)計(shj)擴(kuò)展ACL，使得經(jīng)理部的主機(jī)(zhj)可以訪問財務(wù)部的Web頁面(y min)，但不能ping通服務(wù)器。配置命令參考如下：R0(config)#ip access-list extended LIST02R0(config-ext-nacl)#permi

19、t tcp 55 host eq 80R0(config-ext-nacl)#deny icmp 55 host R0(config-ext-nacl)#exitR0(config)#int s2/0R0(config-if)#ip access-group LIST02 outR0(config-if)#exitR0(config)#3.4 在經(jīng)理部PC上的命令行里運行ftp ，從而訪問服務(wù)器上的FTP服務(wù)，觀察記錄運行結(jié)果。接著參照下面的配置命令修改R0上的ACL列表，然后再次在命令行里運行ftp 。R0(config)#ip access-list extended LIST02R0(c

20、onfig-ext-nacl)#permit tcp 55 host eq 21R0(config-ext-nacl)#exitR0(config)#六、路由器配置R0:RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#enablepassword123Router(config)#exit%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleRouter#exitRouterenablePassword:*Router#conftR

21、outer(config)#interfa0/0.1Router_config)#encapsulationdot1q10Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#exitRouter(config)#intfa0/0.2Router_config)#encapsulationdot1q1Router(config-if)#ipaddressRouter(config-if)#clockrate100000Router(config-if)#noshutdownRouter(config-i

22、f)#exitRouter(config)#exitRouterenPassword:*Router#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#routerripRouter(config-router)#netRouter(config-router)#netRouter(config-router)#netRouter(config-router)#netRouter(config-router)#netRouter(config-router)#exitRouter(config)#exitR1:RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#enablepassword123Router(config)#exit%SYS-5-CONFIG_I:Configuredfr