《網(wǎng)絡(luò)工程規(guī)劃與集成》課程設(shè)計(jì)方案

PAGE武漢長(zhǎng)江工商學(xué)院工學(xué)院·計(jì)算機(jī)技術(shù)系項(xiàng)目名稱：中學(xué)校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)學(xué)生姓名：馮春玲學(xué)號(hào)：20082533班級(jí):08801指導(dǎo)教師:陳濤、柯赟2011

目錄_Toc310626973"2.1需求描述 12。3服務(wù)器的配置 2HYPERLINK\l”_Toc310626976”2.4無(wú)線路由器的設(shè)置 3_Toc310626978"3.1VLAN 43。2訪問(wèn)控制列表 4HYPERLINK\l”_Toc310626980"3。3NAT 43.4PPP協(xié)議 5HYPERLINK\l”_Toc310626982"3.5DHCP服務(wù) 64實(shí)驗(yàn)內(nèi)容和步驟 7HYPERLINK\l”_Toc310626984"4.1實(shí)驗(yàn)拓?fù)湓O(shè)計(jì) 7HYPERLINK\l”_Toc310626985"4。2實(shí)驗(yàn)拓?fù)湟?guī)劃說(shuō)明 75.2內(nèi)網(wǎng)與外網(wǎng)的連通 96附錄代碼 126。1訪問(wèn)控制列表 126。2配置靜態(tài)NAT 126。3配置動(dòng)態(tài)NAT 12HYPERLINK\l”_Toc310626994"7課程設(shè)計(jì)小結(jié) 13虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。但又不是所有交換機(jī)都具有此功能，只有VLAN協(xié)議的第三層以上交換機(jī)才具有此功能，這一點(diǎn)可以查看相應(yīng)交換機(jī)的說(shuō)明書(shū)即可得知。通過(guò)將校園網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段,可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個(gè)物理的網(wǎng)段就是一個(gè)廣播域。而在交換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址（MAC地址)組成的虛擬網(wǎng)段。這樣,網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來(lái)劃分。這種基于工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能.在同一個(gè)VLAN中的工作站,不論它們實(shí)際與哪個(gè)交換機(jī)連接，它們之間的通訊就好像在獨(dú)立的交換機(jī)上一樣。同一個(gè)VLAN中的廣播只有VLAN中的成員才能聽(tīng)到，而不會(huì)傳輸?shù)狡渌腣LAN中去,這樣可以很好的控制不必要的廣播風(fēng)暴的產(chǎn)生.同時(shí)，若沒(méi)有路由的話,不同VLAN之間不能相互通訊，這樣增加了校園網(wǎng)網(wǎng)絡(luò)中不同部門(mén)之間的安全性。網(wǎng)絡(luò)管理員可以通過(guò)配置VLAN之間的路由來(lái)全面管理內(nèi)部不同管理單元之間的信息互訪。交換機(jī)是根據(jù)用戶工作站的MAC地址來(lái)劃分VLAN的。所以，用戶可以自由的在網(wǎng)絡(luò)中移動(dòng)辦公，不論他在何處接入交換網(wǎng)絡(luò)，他都可以與VLAN內(nèi)其他用戶自如通訊.3.2訪問(wèn)控制列表訪問(wèn)控制列表（AccessControlList,ACL）是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。訪問(wèn)控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用,而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用.作為外網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)的第一道關(guān)卡，路由器上的訪問(wèn)控制列表成為保護(hù)內(nèi)網(wǎng)安全的有效手段.ACL技術(shù)在路由器中被廣泛采用，它是一種基于包過(guò)濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問(wèn)控制列表通過(guò)把源地址、目的地址及端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過(guò)。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過(guò)實(shí)施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開(kāi)始使用ACL來(lái)控制對(duì)局域網(wǎng)內(nèi)部資源的訪問(wèn)能力，進(jìn)而來(lái)保障這些資源的安全性。ACL功能：1可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能;2提供對(duì)通信流量的控制手段;3是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段；4可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。3。3NAT網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，NetworkAddressTranslation）屬接入廣域網(wǎng)(WAN）技術(shù)，是一種將私有(保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，NAT不僅完美地解決了IP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī).網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（靜態(tài)NAT配置、動(dòng)態(tài)NAT配置及端口多路復(fù)用PAT)；=1\*GB3①NAT簡(jiǎn)介借助于NAT，私有(保留）地址的”內(nèi)部”網(wǎng)絡(luò)通過(guò)路由器發(fā)送數(shù)據(jù)包時(shí),私有地址被轉(zhuǎn)換成合法的IP地址，一個(gè)局域網(wǎng)只需使用少量IP地址（甚至是1個(gè)）即可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)與Internet的通信需求.NAT將自動(dòng)修改IP報(bào)文的源IP地址和目的IP地址,Ip地址校驗(yàn)則在NAT處理過(guò)程中自動(dòng)完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報(bào)文的數(shù)據(jù)部分中，所以還需要同時(shí)對(duì)報(bào)文進(jìn)行修改,以匹配IP頭中已經(jīng)修改過(guò)的源IP地址。否則，在報(bào)文數(shù)據(jù)都分別嵌入IP地址的應(yīng)用程序就不能正常工作。=2\＊GB3②NAT實(shí)現(xiàn)方式NAT的實(shí)現(xiàn)方式有三種,即靜態(tài)轉(zhuǎn)換StaticNat、動(dòng)態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用OverLoad。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址.借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器)的訪問(wèn)。動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的,是隨機(jī)的,所有被授權(quán)訪問(wèn)上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí),就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。可以采用動(dòng)態(tài)轉(zhuǎn)換的方式.=3\*GB3③網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的實(shí)現(xiàn)在配置網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程之前，首先必須搞清楚內(nèi)部接口和外部接口，以及在哪個(gè)外部接口上啟用NAT.通常情況下,連接到用戶內(nèi)部網(wǎng)絡(luò)的接口是NAT內(nèi)部接口,而連接到外部網(wǎng)絡(luò)(如Internet)的接口是NAT外部接口。3.4PPP協(xié)議點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）為在點(diǎn)對(duì)點(diǎn)連接上傳輸多協(xié)議數(shù)據(jù)包提供了一個(gè)標(biāo)準(zhǔn)方法.PPP最初設(shè)計(jì)是為兩個(gè)對(duì)等節(jié)點(diǎn)之間的IP流量傳輸提供一種封裝協(xié)議。在TCP-IP協(xié)議集中它是一種用來(lái)同步調(diào)制連接的數(shù)據(jù)鏈路層協(xié)議（OSI模式中的第二層），替代了原來(lái)非標(biāo)準(zhǔn)的第二層協(xié)議，即SLIP。PPP工作流程當(dāng)用戶撥號(hào)接入ISP時(shí)，路由器的調(diào)制解調(diào)器對(duì)撥號(hào)做出確認(rèn)，并建立一條物理連接.PC機(jī)向路由器發(fā)送一系列的LCP分組（封裝成多個(gè)PPP幀）.這些分組及其響應(yīng)選擇一些PPP參數(shù)，和進(jìn)行網(wǎng)絡(luò)層配置，NCP給新接入的PC機(jī)分配一個(gè)臨時(shí)的IP地址,使PC機(jī)成為因特網(wǎng)上的一個(gè)主機(jī)。通信完畢時(shí)，NCP釋放網(wǎng)絡(luò)層連接,收回原來(lái)分配出去的IP地址.接著，LCP釋放數(shù)據(jù)鏈路層連接。最后釋放的是物理層的連接.PAP：是PPP協(xié)議集中的一種鏈路控制協(xié)議，主要是通過(guò)使用2次握手提供一種對(duì)等結(jié)點(diǎn)的建立認(rèn)證的簡(jiǎn)單方法，這是建立在初始鏈路確定的基礎(chǔ)上的。完成鏈路建立階段之后，對(duì)等結(jié)點(diǎn)持續(xù)重復(fù)發(fā)送ID/密碼給驗(yàn)證者，直至認(rèn)證得到響應(yīng)或連接終止。3。5DHCP服務(wù)隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)復(fù)雜度的提高，計(jì)算機(jī)的數(shù)量經(jīng)常超過(guò)可供分配的IP地址數(shù)量.同時(shí)隨著便攜機(jī)及無(wú)線網(wǎng)絡(luò)的廣泛使用，計(jì)算機(jī)的位置也經(jīng)常變化,相應(yīng)的IP地址也必須經(jīng)常更新,從而導(dǎo)致網(wǎng)絡(luò)配置越來(lái)越復(fù)雜。動(dòng)態(tài)主機(jī)配置協(xié)議DHCP（DynamicHostConfigurationProtocol）就是為解決這些問(wèn)題而發(fā)展起來(lái)的。DHCP采用客戶端/服務(wù)器通信模式,由客戶端向服務(wù)器提出配置申請(qǐng)，服務(wù)器返回為客戶端分配的IP地址等相應(yīng)的配置信息，以實(shí)現(xiàn)IP地址等信息的動(dòng)態(tài)配置.4實(shí)驗(yàn)內(nèi)容和步驟4。1實(shí)驗(yàn)拓?fù)湓O(shè)計(jì)該拓?fù)渲饕捎昧诵切徒Y(jié)構(gòu)，用一臺(tái)核心三層交換機(jī)實(shí)現(xiàn)校園內(nèi)數(shù)據(jù)的快速轉(zhuǎn)發(fā)。圖4—1網(wǎng)絡(luò)拓?fù)湟?guī)劃圖4.2實(shí)驗(yàn)拓?fù)湟?guī)劃說(shuō)明核心交換機(jī)上通過(guò)ACL（訪問(wèn)控制列表）功能，來(lái)控制和實(shí)現(xiàn)內(nèi)網(wǎng)對(duì)于FTP服務(wù)器的訪問(wèn)權(quán)限問(wèn)題。在接入路由器上,通過(guò)NAT轉(zhuǎn)換技術(shù)，來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)的上網(wǎng)問(wèn)題.使用靜態(tài)NAT來(lái)實(shí)現(xiàn)外網(wǎng)對(duì)Web服務(wù)器的訪問(wèn).使用動(dòng)態(tài)NAT來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)對(duì)Internet的訪問(wèn)。在多媒體機(jī)房，使用無(wú)線AP提供無(wú)線設(shè)備的接入。星型結(jié)構(gòu)是用集線器或交換機(jī)作為網(wǎng)絡(luò)的中央節(jié)點(diǎn)，網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)都通過(guò)網(wǎng)卡連接到中央節(jié)點(diǎn)，計(jì)算機(jī)之間通過(guò)中央節(jié)點(diǎn)進(jìn)行信息交換，各節(jié)點(diǎn)呈星狀分布而得名。5網(wǎng)絡(luò)測(cè)試5。1內(nèi)網(wǎng)間的連通內(nèi)網(wǎng)中各主機(jī)之間的測(cè)試（多媒體和教學(xué)辦公、行政辦公)PC2與PC3、PC4的測(cè)試如下圖所示：圖5-1多媒體和教學(xué)辦公、行政辦公的測(cè)試圖內(nèi)網(wǎng)中各主機(jī)之間的測(cè)試（教學(xué)辦公和行政辦公)PC3與PC4的測(cè)試如下圖所示：圖5—1教學(xué)辦公與行政辦公的測(cè)試圖內(nèi)網(wǎng)中多媒體與筆記本的測(cè)試筆記本與PC1、PC2的測(cè)試如下圖所示：圖5-3多媒體與筆記本的測(cè)試圖5。2內(nèi)網(wǎng)與外網(wǎng)的連通內(nèi)網(wǎng)與外網(wǎng)的測(cè)試，內(nèi)網(wǎng)可以ping同外網(wǎng)，外網(wǎng)ping不通內(nèi)網(wǎng)PC3與Internet的測(cè)試如下圖所示：圖5—4內(nèi)網(wǎng)與外網(wǎng)的測(cè)試圖Internet與PC3的測(cè)試如下圖所示：圖5—5外網(wǎng)與內(nèi)網(wǎng)的測(cè)試圖5.3內(nèi)網(wǎng)與服務(wù)器的連通內(nèi)網(wǎng)除多媒體可以ping通FTP服務(wù)器和Web服務(wù)器PC3分別和FTP、Web服務(wù)器的測(cè)試如下圖所示：圖5—6內(nèi)網(wǎng)與服務(wù)器的測(cè)試圖多媒體不能ping同F(xiàn)TP服務(wù)器,如下圖所示：圖5-7多媒體與FTP服務(wù)器的測(cè)試圖外網(wǎng)主機(jī)到內(nèi)網(wǎng)web服務(wù)器的連通性:圖5—8外網(wǎng)主機(jī)到內(nèi)網(wǎng)web服務(wù)器的測(cè)試6附錄代碼6。1訪問(wèn)控制列表內(nèi)網(wǎng)中除多媒體機(jī)房外可以訪問(wèn)FTP服務(wù)器的代碼如下：switch>ebableswitch＃configtswitch(config)#access—list1deny0。0.0。255switch（config)#access—list1permitanyswitch（config)#interfacevlan50switch（config—if）#ipaccess—group1out6.2配置靜態(tài)NAT靜態(tài)NAT將web的地址映射為公網(wǎng)地址202.69.10。3，使外網(wǎng)可以訪問(wèn)web服務(wù)器.主要代碼如下:首先聲明三層交換機(jī)上的所有網(wǎng)段：switch>ebableswitch#configtswitch(config)#routerripswitch（config—router)#network192。168。0.0switch(config-router）#network192.168.3。0switch(config—router)#network192。168.4.0switch(config-router）＃network192。168。1。0switch（config-router)＃network192。168。5.0switch（config-router）#network192。168。6。0switch（config—router）＃network192。168.8.0switch（config)＃end在路由器router1上配置靜態(tài)NATRouter1（config)#ipnatinsidesourcestatic202.69.10。3Router1(config）＃interfacef0/0Router1(config）＃ipnatinsideRouter1（config）＃interfaces2/0Router1(config）＃ipnatoutsideRouter1(config）#end6。3配置動(dòng)態(tài)NAT配置動(dòng)態(tài)NAT使內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng).主要代碼如下：Router1(config）#access-list10permit0。0.255。255Router1（config)＃ipnatpoolab202。69.10.5natmask255。255.255。0Router1(config）＃ipnatinsidesourcelist10poolaboverload7課程設(shè)計(jì)小結(jié)在這兩周的計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)實(shí)驗(yàn)中,我收獲頗多.計(jì)算機(jī)網(wǎng)絡(luò)是一門(mén)很有探究性的學(xué)科,在課程設(shè)計(jì)下達(dá)后,我們都饒有興趣的開(kāi)始了探究?，F(xiàn)在想想看來(lái)，從一開(kāi)始的無(wú)知，到今天的對(duì)網(wǎng)絡(luò)搭建成熟的想法和看法,我確實(shí)從中學(xué)到很多，每天的不斷嘗試，不斷創(chuàng)新,不斷學(xué)習(xí)，讓我們的這美好的兩周過(guò)的充實(shí)而又充滿挑戰(zhàn)。課程設(shè)計(jì)是培養(yǎng)我們綜合運(yùn)用所學(xué)知識(shí)，發(fā)現(xiàn)、提出、分析、解決問(wèn)題的一個(gè)過(guò)程，是對(duì)我們所學(xué)知識(shí)及綜合能力的一次考察.通過(guò)這次課程設(shè)計(jì)，很深刻的了解到了工程實(shí)踐的重要性。書(shū)本上的知識(shí)學(xué)的再多，實(shí)踐中碰到的問(wèn)題，有些還是難以輕松解決,這就需要經(jīng)驗(yàn)的積累.這些只能通過(guò)實(shí)踐才能有如此