計算機(jī)網(wǎng)絡(luò)課程設(shè)計報告-校園網(wǎng)網(wǎng)絡(luò)構(gòu)建方案設(shè)計和實現(xiàn)1

長春工業(yè)大學(xué)（計算機(jī)網(wǎng)絡(luò)課程設(shè)計）110506班20111922張敏PAGEPAGE6計算機(jī)網(wǎng)絡(luò)課程設(shè)計校園網(wǎng)網(wǎng)絡(luò)構(gòu)建方案設(shè)計和實現(xiàn)學(xué)院：班級：姓名：學(xué)號：指導(dǎo)教師：具體設(shè)計任務(wù)（一）題目：校園網(wǎng)網(wǎng)絡(luò)構(gòu)建方案設(shè)計與實現(xiàn)（二）任務(wù)：某高?，F(xiàn)有兩個地理位置分離的分校區(qū)，每個校區(qū)入網(wǎng)信息點有2000多個，現(xiàn)準(zhǔn)備通過教科網(wǎng)接入因特網(wǎng)，但從科教網(wǎng)只申請到4個C類網(wǎng)絡(luò)（——），為了安全，要求每個分校區(qū)的學(xué)生公寓子網(wǎng)和教師子網(wǎng)不在同一廣播域。同時，學(xué)校有若干臺應(yīng)用服務(wù)器，同時對內(nèi)和對外提供Web等網(wǎng)絡(luò)服務(wù)。（三）要求：1、分析以上情況，結(jié)合實驗室條件，完成需求分析；2、列出所需設(shè)備，設(shè)計完成網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；3、在實驗環(huán)境下完成設(shè)備的具體配置；4、調(diào)試驗證?；舅悸芳八婕暗南嚓P(guān)理論（一）相關(guān)理論：1、虛擬局域網(wǎng)VLAN的劃分；2、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（靜態(tài)NAT配置、動態(tài)NAT配置及端口多路復(fù)用PAT）；3、路由表的配置（回址路由和默認(rèn)路由）；4、網(wǎng)際控制報文協(xié)議ICMP。（二）基本思路：1、虛擬局域網(wǎng)VLAN[1]主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把一個LAN劃分成多個邏輯的LAN——VLAN，每個VLAN是一個廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通。所以通過虛擬局域網(wǎng)VLAN技術(shù)可以很好地達(dá)到把每個分校區(qū)的學(xué)生公寓子網(wǎng)和教師子網(wǎng)分在不同的廣播域。這樣，廣播報文被限制在一個VLAN內(nèi)，使得學(xué)生公寓子網(wǎng)和教師子網(wǎng)不能直接通信。所以，虛擬局域網(wǎng)VLAN技術(shù)不但增強(qiáng)了局域網(wǎng)的安全性，同時也靈活于構(gòu)建虛擬工作組，用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，所以也很好解決了該高校有兩個地理位置分離的分校區(qū)的問題，使得網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活。而且VLAN是在數(shù)據(jù)鏈路層的，劃分子網(wǎng)是在網(wǎng)絡(luò)層的，所以不同子網(wǎng)之間的VLAN即使是同名也不可以相互通信。2、網(wǎng)絡(luò)地址轉(zhuǎn)換[2]（NetworkAddressTranslation或簡稱NAT）是一種在IP數(shù)據(jù)包通過路由器或防火墻時重寫源IP地址或目的IP地址的技術(shù)。借助于NAT[3]，私有(保留)地址的“內(nèi)部”網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時，私有地址被轉(zhuǎn)換成合法的IP地址，一個局域網(wǎng)只需使用少量IP地址(甚至是1個)即可實現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計算機(jī)與Internet的通信需求。NAT將自動修改IP報文頭中的源IP地址和目的IP地址，IP地址校驗則在NAT處理過程中自動完成。NAT的實現(xiàn)方式[3]有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用OverLoad。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問，所以，對于學(xué)校有若干臺應(yīng)用服務(wù)器，要同時對內(nèi)和對外提供Web等網(wǎng)絡(luò)服務(wù)，就可以通過對路由器進(jìn)行靜態(tài)NAT配置來實現(xiàn)。動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址對是不確定的，而是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進(jìn)行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機(jī)數(shù)量時，可以采用動態(tài)轉(zhuǎn)換的方式。所以，針對學(xué)校只申請到4個C類網(wǎng)絡(luò)（——），而該高校的每個校區(qū)入網(wǎng)信息點就達(dá)到2000多個的情況，可以利用動態(tài)NAT配置解決這個IP地址不足的問題。端口多路復(fù)用(PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，PortAddressTranslation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自Internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。所以在真實方案中，該高校最好是用PAT的配置來解決幾千個入網(wǎng)信息點卻只有幾百個合法IP地址的問題。設(shè)計方案（設(shè)備、拓?fù)浣Y(jié)構(gòu)圖）（一）設(shè)備：三層交換機(jī)（2臺）路由器（6臺）PC機(jī)（8臺）服務(wù)器終端（2臺）直通線若干（二）拓?fù)浣Y(jié)構(gòu)圖：（利用PackerTracer繪制拓?fù)浣Y(jié)構(gòu)圖如下：）具體配置步驟（一）Switch-0三層交換機(jī)上VLAN的劃分：Switch-A交換機(jī)VLAN端口成員IP地址1缺省VLAN1001~82009~16第一步：交換機(jī)恢復(fù)出廠設(shè)置switch#setdefaultswitch#writeswitch#reload第二步：給交換機(jī)設(shè)置IP地址即管理IP。switch#configswitch(Config)#interfacevlan1switch(Config-If-Vlan1)#ipaddressswitch(Config-If-Vlan1)#noshutdownswitch(Config-If-Vlan1)#exitswitch(Config)#exit第三步：創(chuàng)建vlan100和vlan200。switch(Config)#switch(Config)#vlan100switch(Config-Vlan100)#exitswitch(Config)#vlan200switch(Config-Vlan200)#exitswitch(Config)#驗證配置：switch#showvlanVLANNameTypeMediaPorts1defaultStaticENETEthernet0/0/1Ethernet0/0/2Ethernet0/0/3Ethernet0/0/4Ethernet0/0/5Ethernet0/0/6Ethernet0/0/7Ethernet0/0/8Ethernet0/0/9Ethernet0/0/10Ethernet0/0/11Ethernet0/0/12Ethernet0/0/13Ethernet0/0/14Ethernet0/0/15Ethernet0/0/16Ethernet0/0/17Ethernet0/0/18Ethernet0/0/19Ethernet0/0/20Ethernet0/0/21Ethernet0/0/22Ethernet0/0/23Ethernet0/0/24100VLAN0100StaticENET！已經(jīng)創(chuàng)建了vlan100，vlan100中沒有端口；200VLAN0200StaticENET！已經(jīng)創(chuàng)建了vlan200，vlan200中沒有端口；第四步：給vlan100和vlan200添加端口。switch(Config)#vlan100！進(jìn)入vlan100switch(Config-Vlan100)#switchportinterfaceethernet0/0/1-8！給vlan100加入端口1-8SettheportEthernet0/0/1accessvlan100successfullySettheportEthernet0/0/2accessvlan100successfullySettheportEthernet0/0/3accessvlan100successfullySettheportEthernet0/0/4accessvlan100successfullySettheportEthernet0/0/5accessvlan100successfullySettheportEthernet0/0/6accessvlan100successfullySettheportEthernet0/0/7accessvlan100successfullySettheportEthernet0/0/8accessvlan100successfullyswitch(Config-Vlan100)#exitswitch(Config)#vlan200！進(jìn)入vlan200switch(Config-Vlan200)#switchportinterfaceethernet0/0/9-16！給vlan200加入端口9-16SettheportEthernet0/0/9accessvlan200successfullySettheportEthernet0/0/10accessvlan200successfullySettheportEthernet0/0/11accessvlan200successfullySettheportEthernet0/0/12accessvlan200successfullySettheportEthernet0/0/13accessvlan200successfullySettheportEthernet0/0/14accessvlan200successfullySettheportEthernet0/0/15accessvlan200successfullySettheportEthernet0/0/16accessvlan200successfullyswitch(Config-Vlan200)#exit驗證配置：switch#showvlanVLANNameTypeMediaPorts1defaultStaticENETEthernet0/0/17Ethernet0/0/18Ethernet0/0/19Ethernet0/0/20Ethernet0/0/21Ethernet0/0/22Ethernet0/0/23Ethernet0/0/24100VLAN0100StaticENETEthernet0/0/1Ethernet0/0/2Ethernet0/0/3Ethernet0/0/4Ethernet0/0/5Ethernet0/0/6Ethernet0/0/7Ethernet0/0/8200VLAN0200StaticENETEthernet0/0/9Ethernet0/0/10Ethernet0/0/11Ethernet0/0/12Ethernet0/0/13Ethernet0/0/14Ethernet0/0/15Ethernet0/0/16第五步：配置交換機(jī)各vlan虛接口的IP地址DCRS-5526S(Config)#intvlan100DCRS-5526S(Config-If-Vlan100)#ipaddressDCRS-5526S(Config-If-Vlan100)#noshutDCRS-5526S(Config-If-Vlan100)#exitDCRS-5526S(Config)#intvlan200DCRS-5526S(Config-If-Vlan200)#ipaddressDCRS-5526S(Config-If-Vlan200)#noshutDCRS-5526S(Config-If-Vlan200)#exitDCRS-5526S(Config)#（二）配置Router-1路由器上兩個接口的IP地址：Router-1配置表F0/0/24F0/1/24（三）配置Router-3路由器上兩個接口的IP地址：Router-3配置表F0/0/24F0/1/24（四）Router-1路由器動態(tài)NAT配置：（配置Router-1的NAT）(a).定義合法IP地址池命令的語法如下：ipnatpool地址池名稱起始IP地址終止IP地址子網(wǎng)掩碼(b).定義內(nèi)部訪問列表命令的語法如下：access-list標(biāo)號permit源地址通配符（其中，標(biāo)號為1~99之間的整數(shù)）本實驗實際對Router-A配置動態(tài)NAT過程如下：Router-A#confRouter-A_config#ipaccess-liststandard1 ！定義訪問控制列表Router-A_config_std_nacl#permit55 ！定義允許轉(zhuǎn)換的源地址范圍Router-A_config_std_nacl#exitRouter-A_config#ipnatpoolnetA054！定義名為netA的轉(zhuǎn)換地址池【注：為了簡便本次實驗暫時只用了兩個C類網(wǎng)絡(luò)~，而真實當(dāng)中應(yīng)該利用以下配置來添加IP池里面的IP：ipnatpoolcernet54netmask】Router-1_config#ipnatinsidesourcelist1poolnetAoverload！配置將ACL允許的源地址轉(zhuǎn)換成netA中的地址，并且做PAT的地址復(fù)用Router-1_config#intf0/0Router-1_config_f0/0#ipnatinside ！定義F0/0為內(nèi)部接口Router-1_config_f0/0#intf0/1Router-1_config_f0/1#ipnatoutside ！定義F0/1為外部接口Router-1_config_f0/1#exitRouter-1_config#iproute ！配置路由器1的缺省路由Router-1#shipnattranslatiosPro.DirInsidelocalInsideglobalOutsidelocalOutsideglobalICMPOUT:5120:12512:12512:12512……結(jié)果驗證普通入網(wǎng)信息點上PC和應(yīng)用服務(wù)器上IP地址和網(wǎng)關(guān)的設(shè)置：入網(wǎng)信息點類型IP地址網(wǎng)關(guān)校區(qū)A學(xué)生子網(wǎng)（VLAN100）3校區(qū)A教師子網(wǎng)(VLAN200)校區(qū)B入網(wǎng)信息點222.198.1．1222.198.1．1校區(qū)A應(yīng)用服務(wù)器(VLAN1)0222.198..1.2部分驗證配置如下圖：校區(qū)A學(xué)生子網(wǎng)（VLAN100）如下：校區(qū)A應(yīng)用服務(wù)器(VLAN1)如下：不同VLAN要進(jìn)行通信：不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。所以本次實驗中，兩個子網(wǎng)里的學(xué)生機(jī)器和教師機(jī)器由于利用了三層交換機(jī)從而導(dǎo)致了在一定條件下是可以Ping通的。個人體會及建議（一）方案分析1.PAT配置的方案更好端口多路復(fù)用(PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，PortAddressTranslation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自Internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。而用動態(tài)NAT配置則實際還是分配一個IP地址給一臺主機(jī)，只是動態(tài)分配而已，當(dāng)某一時間上外網(wǎng)的入網(wǎng)信息點很多時，則會導(dǎo)致其他問題，影響學(xué)生或教師的正常上網(wǎng)。所以在真實方案中，該高校最好是用PAT的配置來解決幾千個入網(wǎng)信息點卻只有幾百個合法IP地址的問題。2.添加多個合法IP地址范圍在本實驗中，由于從科教網(wǎng)那邊申請到4個C類網(wǎng)絡(luò)（——），而本次實驗為了簡便，只使用2個C類網(wǎng)絡(luò)（~），所以應(yīng)該在配置路由的動態(tài)NAT時，應(yīng)該用以下命令把其2個C類網(wǎng)絡(luò)也添加到IP地址池中，具體命令如下：（Router-A配置如下：）ipn