網(wǎng)工網(wǎng)絡(luò)實(shí)訓(xùn)報(bào)告

網(wǎng)絡(luò)實(shí)訓(xùn)報(bào)告課程名稱網(wǎng)絡(luò)實(shí)訓(xùn)課題名稱ACL標(biāo)準(zhǔn)訪問(wèn)控制列表&路由器實(shí)現(xiàn)VLAN間通信專業(yè)網(wǎng)絡(luò)工程班級(jí)學(xué)號(hào)姓名指導(dǎo)教師湖南工程學(xué)院課程設(shè)計(jì)任務(wù)書(shū)課程名稱網(wǎng)絡(luò)實(shí)訓(xùn)課題ACL標(biāo)準(zhǔn)訪問(wèn)控制列表&路由器實(shí)現(xiàn)VLAN間通信專業(yè)班級(jí)網(wǎng)絡(luò)工程學(xué)生姓名學(xué)號(hào)指導(dǎo)老師陳淑紅、張曉清審批任務(wù)書(shū)下達(dá)日期2016年12月16日任務(wù)完成日期2016年12月28日網(wǎng)絡(luò)實(shí)訓(xùn)報(bào)告1局域網(wǎng)的訪問(wèn)控制之ACL標(biāo)準(zhǔn)訪問(wèn)控制列表1.1需求分析公司的經(jīng)理部PC1、銷(xiāo)售部PC2、財(cái)務(wù)部PC3分屬于不同的網(wǎng)段，3個(gè)PC之間用路由器連接。為安全起見(jiàn)，要求經(jīng)理部的PC1能訪問(wèn)財(cái)務(wù)部的PC2，但是銷(xiāo)售部的PC1不可以可以訪問(wèn)財(cái)務(wù)部的PC3。1.2網(wǎng)絡(luò)規(guī)劃1.2.1網(wǎng)絡(luò)結(jié)構(gòu)分析選用兩臺(tái)路由器連通各PC所在的網(wǎng)段，在router1中設(shè)置訪問(wèn)控制列表并且將該列表應(yīng)用到f0/0端口，使得來(lái)自PC1的流量可以通過(guò)而來(lái)自PC2的流量不可以通過(guò)。一個(gè)端口執(zhí)行哪條ACL，這需要按照列表中的條件語(yǔ)句執(zhí)行順序來(lái)判斷。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語(yǔ)句相匹配，那么后面的語(yǔ)句就將被忽略，不再進(jìn)行檢查。數(shù)據(jù)包只有在跟第一個(gè)判斷條件不匹配時(shí)，它才被交給ACL中的下一個(gè)條件判斷語(yǔ)句進(jìn)行比較。如果匹配（假設(shè)為允許發(fā)送），則不管是第一條還是最后一條語(yǔ)句，數(shù)據(jù)都會(huì)立即發(fā)送到目的接口。如果所有的ACL判斷語(yǔ)句都檢測(cè)完畢，仍沒(méi)有匹配的語(yǔ)句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。這里要注意，ACL不能對(duì)本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制。如果設(shè)備使用了TCAM，比如auteU3052交換機(jī)，那么所有的ACL是并行執(zhí)行的。舉例來(lái)說(shuō)，如果一個(gè)端口設(shè)定了多條ACL規(guī)則，并不是逐條匹配，而是一次執(zhí)行所有ACL語(yǔ)句。ACL通過(guò)過(guò)濾數(shù)據(jù)包并且丟棄不希望抵達(dá)目的地的數(shù)據(jù)包來(lái)控制通信流量。然而，網(wǎng)絡(luò)能否有效地減少不必要的通信流量，這還要取決于網(wǎng)絡(luò)管理員把ACL放置在哪個(gè)地方。假設(shè)在的一個(gè)運(yùn)行TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)只想拒絕從RouterA的T0接口連接的網(wǎng)絡(luò)到RouterD的E1接口連接的網(wǎng)絡(luò)的訪問(wèn)，即禁止從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2的訪問(wèn)。根據(jù)減少不必要通信流量的通行準(zhǔn)則，網(wǎng)管員應(yīng)該盡可能地把ACL放置在靠近被拒絕的通信流量的來(lái)源處，即RouterA上。如果網(wǎng)管員使用標(biāo)準(zhǔn)ACL來(lái)進(jìn)行網(wǎng)絡(luò)流量限制，因?yàn)闃?biāo)準(zhǔn)ACL只能檢查源IP地址，所以實(shí)際執(zhí)行情況為：凡是檢查到源IP地址和網(wǎng)絡(luò)1匹配的數(shù)據(jù)包將會(huì)被丟掉，即網(wǎng)絡(luò)1到網(wǎng)絡(luò)2、網(wǎng)絡(luò)3和網(wǎng)絡(luò)4的訪問(wèn)都將被禁止。由此可見(jiàn)，這個(gè)ACL控制方法不能達(dá)到網(wǎng)管員的目的。同理，將ACL放在RouterB和RouterC上也存在同樣的問(wèn)題。只有將ACL放在連接目標(biāo)網(wǎng)絡(luò)的RouterD上（E0接口），網(wǎng)絡(luò)才能準(zhǔn)確實(shí)現(xiàn)網(wǎng)管員的目標(biāo)。由此可以得出一個(gè)結(jié)論:標(biāo)準(zhǔn)ACL要盡量靠近目的端。網(wǎng)管員如果使用擴(kuò)展ACL來(lái)進(jìn)行上述控制，則完全可以把ACL放在RouterA上，因?yàn)閿U(kuò)展ACL能控制源地址（網(wǎng)絡(luò)1），也能控制目的地址（網(wǎng)絡(luò)2），這樣從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2訪問(wèn)的數(shù)據(jù)包在RouterA上就被丟棄，不會(huì)傳到RouterB、RouterC和RouterD上，從而減少不必要的網(wǎng)絡(luò)流量。因此，我們可以得出另一個(gè)結(jié)論：擴(kuò)展ACL要盡量靠近源端。ACL的主要的命令命令描述access-list定義訪問(wèn)控制列表參數(shù)ipaccess-group指派一個(gè)訪問(wèn)控制列表到一個(gè)接口ipaccess-listextended定義一個(gè)擴(kuò)展訪問(wèn)控制列表Remark注釋一個(gè)訪問(wèn)控制列表showipaccess-list顯示已配置的訪問(wèn)控制列表。1.2.2網(wǎng)絡(luò)設(shè)備選用先準(zhǔn)備三臺(tái)主機(jī),兩臺(tái)路由器,直連線或交叉線3條。1.2.3IP地址規(guī)劃配置首先給各臺(tái)PC機(jī)配置IP地址與網(wǎng)關(guān)點(diǎn)擊PC1在桌面上選擇IP設(shè)置用來(lái)給PC1配置IP地址，其IP地址為，掩碼為，網(wǎng)關(guān)為。完成設(shè)置后如圖2.1：圖2.1PC1IP地址設(shè)置點(diǎn)擊PC2在桌面選擇IP設(shè)置來(lái)給PC2配置IP地址，其IP地址為，掩碼為，網(wǎng)關(guān)為。完成設(shè)置后如圖2.2：圖2.2PC2IP地址設(shè)置點(diǎn)擊PC3在桌面給PC3配置IP地址，其IP地址為，掩碼為，網(wǎng)關(guān)為。完成設(shè)置后如圖2.3：圖2.3PC3IP地址設(shè)置1.2.4實(shí)驗(yàn)拓?fù)鋱D從軟件下方拖出兩個(gè)路由器、三臺(tái)PC機(jī)按順序?qū)⒃O(shè)備連接起來(lái)，連接完成后的如圖2.4：圖2.4實(shí)驗(yàn)拓?fù)鋱D1.3網(wǎng)絡(luò)實(shí)施1.3.1實(shí)驗(yàn)原理ACL是實(shí)現(xiàn)對(duì)流經(jīng)路由器或交換機(jī)數(shù)據(jù)包根據(jù)一定的規(guī)劃進(jìn)行過(guò)濾，從而提高網(wǎng)絡(luò)可管理性和安全性。IPACL分兩種：標(biāo)準(zhǔn)IP訪問(wèn)列表和擴(kuò)展IP訪問(wèn)列表。標(biāo)準(zhǔn)IP訪問(wèn)列表可以根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)劃，進(jìn)行數(shù)據(jù)包的過(guò)濾。擴(kuò)展訪問(wèn)列表可以根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來(lái)定義規(guī)劃，進(jìn)行數(shù)據(jù)包的過(guò)濾。所以在router1中設(shè)置創(chuàng)建一個(gè)ACL控制訪問(wèn)列表,將這個(gè)控制列表應(yīng)用到其上的F0/0接口以達(dá)到控制流量來(lái)往的目的。之所以將列表應(yīng)用到F0/0接口，是因?yàn)樵搶?shí)驗(yàn)?zāi)康氖强刂圃L問(wèn)財(cái)務(wù)部的PC3，如果將其應(yīng)用到F0/1接口的話，那么所有來(lái)自PC2的流量都將無(wú)法通過(guò)router1。靜態(tài)路由是指由用戶或網(wǎng)絡(luò)管理員手工配置的路由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時(shí)，網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。靜態(tài)路由信息在缺省情況下是私有的，不會(huì)傳遞給其他的路由器。當(dāng)然，網(wǎng)管員也可以通過(guò)對(duì)路由器進(jìn)行設(shè)置使之成為共享的。靜態(tài)路由一般適用于比較簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境，在這樣的環(huán)境中，網(wǎng)絡(luò)管理員易于清楚地了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，便于設(shè)置正確的路由信息。在一個(gè)支持DDR（Dial-on-DemandRouting）的網(wǎng)絡(luò)中，撥號(hào)鏈路只在需要時(shí)才撥通，因此不能為動(dòng)態(tài)路由信息表提供路由信息的變更情況。在這種情況下，網(wǎng)絡(luò)也適合使用靜態(tài)路由。使用靜態(tài)路由的好處是網(wǎng)絡(luò)安全保密性高。動(dòng)態(tài)路由因?yàn)樾枰酚善髦g頻繁地交換各自的路由表，而對(duì)路由表的分析可以揭示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)地址等信息。因此，網(wǎng)絡(luò)出于安全方面的考慮也可以采用靜態(tài)路由。不占用網(wǎng)絡(luò)帶寬，因?yàn)殪o態(tài)路由不會(huì)產(chǎn)生更新流量。大型和復(fù)雜的網(wǎng)絡(luò)環(huán)境通常不宜采用靜態(tài)路由。一方面，網(wǎng)絡(luò)管理員難以全面地了解整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；另一方面，當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和鏈路狀態(tài)發(fā)生變化時(shí)，路由器中的靜態(tài)路由信息需要大范圍地調(diào)整，這一工作的難度和復(fù)雜程度非常高。當(dāng)網(wǎng)絡(luò)發(fā)生變化或網(wǎng)絡(luò)發(fā)生故障時(shí)，不能重選路由，很可能使路由失敗。1.3.2網(wǎng)絡(luò)配置命令

（1）Router0路由器F0/0端口IP地址配置Router(config)#interface

fastEthernet

0/0（進(jìn)入F0/0端口）

Router(config-if)#ip

add

（給端口配置IP地址）

Router(config-if)#no

shutdown（將端口打開(kāi)）

（2）Router0路由器F0/1端口IP地址配置

Router(config)#interface

fastEthernet

0/1（進(jìn)入F0/1端口）

Router(config-if)#ip

add

（給端口配置IP地址）

Router(config-if)#no

shutdown（將端口打開(kāi)）

（3）Router0路由器F1/0端口IP地址配置

Router(config)#interface

fastEthernet

1/0（進(jìn)入F1/0端口）

Router(config-if)#ip

add

（給端口配置IP地址）

Router(config-if)#no

shutdown（將端口打開(kāi)）（4）Router0路由器配置靜態(tài)路由條目

Router(config)#ip

route

（去往4.0網(wǎng)段的數(shù)據(jù)包送到3.2端口）

（5）Router路由器F0/0口IP地址配置

Router(config)#interface

fastEthernet

0/0（進(jìn)入F0/0端口）

Router(config-if)#ip

add

（給端口配置IP地址）

Router(config-if)#no

shutdown（將端口打開(kāi)）（6）Router1路由器F0/1口IP地址配置

Router(config)#interface

fastEthernet

0/1（進(jìn)入F0/1端口）

Router(config-if)#ip

add

（給端口配置IP地址）

Router(config-if)#no

shutdown（將端口打開(kāi)）

（7）Router1路由器配置靜態(tài)路由條目

Router(config)#ip

route

（去往1.0網(wǎng)段的數(shù)據(jù)包送到3.1端口）

Router(config)#ip

route

（去往2.0網(wǎng)段的數(shù)據(jù)包送到3.1端口）1.3.3配置ACL訪問(wèn)控制列表

本次實(shí)驗(yàn)中的要求主要是用ACL控制訪問(wèn)列表來(lái)實(shí)現(xiàn)，其具體命令如下：

Router(config)#access-list

1

deny

55

（拒絕網(wǎng)段2.0的流量通過(guò)）

Router(config)#access-list

1

permit

55

（允許網(wǎng)段1.0的流量通過(guò)）

Router(config)#interface

fastEthernet

0/0（進(jìn)入F0/0端口）

Router(config-if)#ip

access-group

1

out

（在接口F0/0

應(yīng)用訪問(wèn)控制列表）1.4調(diào)試分析1.4.1測(cè)試目標(biāo)從經(jīng)理部使用PC1使用ping命令能夠得到PC3的回復(fù)，但是從銷(xiāo)售部的PC2使用ping命令無(wú)法得到PC3的回復(fù)。1.4.2測(cè)試結(jié)果圖4.1PC1測(cè)試圖從圖4.1中可看出使用ping命令后PC1可以ping通PC3，從PC1發(fā)出的數(shù)據(jù)包都得到了PC3的回復(fù)。該項(xiàng)目標(biāo)達(dá)到試驗(yàn)要求，測(cè)試成功。圖4.2PC2測(cè)試圖從測(cè)試結(jié)果圖4.2可以看到使用ping命令后從PC2發(fā)出的數(shù)據(jù)包無(wú)法得到PC3的回復(fù)，證明PC2的流量無(wú)法通過(guò)router1的F0/0接口，符合驗(yàn)要求，測(cè)試成功。2路由器實(shí)現(xiàn)VLAN間通信2.1需求分析該實(shí)驗(yàn)要求在同一臺(tái)交換機(jī)上的不同VLAN間能夠通信，因此需要在交換機(jī)配置兩個(gè)VLAN,因?yàn)椴煌琕LAN間無(wú)法直接通信，所以需要使用三層交換機(jī)或者使用一個(gè)路由器做單臂路由，根據(jù)該實(shí)驗(yàn)要求使用路由器，因此該實(shí)驗(yàn)重點(diǎn)在使用路由器做單臂路由，在交換機(jī)上將相應(yīng)的端口上劃分給不同VLAN，給相應(yīng)的pc配置IP地址與網(wǎng)關(guān)，然后將交換機(jī)與路由器之間連接的端口做trunk并將路由器做單臂路由以實(shí)現(xiàn)不同VLAN間的通信。2.1.1實(shí)驗(yàn)?zāi)康囊话闱闆r下VLAN之間無(wú)法直接通信，本次實(shí)驗(yàn)要求掌握在路由器做單臂路由和來(lái)實(shí)現(xiàn)VLAN間的通信，實(shí)驗(yàn)要求掌握單臂路由及封裝dotlq協(xié)議，以實(shí)現(xiàn)不同VLAN間的通信。虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門(mén)及應(yīng)用等因素將它們組織起來(lái)，相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過(guò)第3層的路由器來(lái)完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點(diǎn)：網(wǎng)絡(luò)設(shè)備的移動(dòng)、添加和修改的管理開(kāi)銷(xiāo)減少；可以控制廣播活動(dòng)；可提高網(wǎng)絡(luò)的安全性。在計(jì)算機(jī)網(wǎng)絡(luò)中，一個(gè)二層網(wǎng)絡(luò)可以被劃分為多個(gè)不同的廣播域，一個(gè)廣播域?qū)?yīng)了一個(gè)特定的用戶組，默認(rèn)情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過(guò)一個(gè)或多個(gè)路由器。這樣的一個(gè)廣播域就稱為VLAN。通過(guò)將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個(gè)物理的網(wǎng)段就是一個(gè)廣播域。而在交換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址（MAC地址）組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來(lái)劃分。這種基于工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個(gè)VLAN中的工作站，不論它們實(shí)際與哪個(gè)交換機(jī)連接，它們之間的通訊就好象在獨(dú)立的交換機(jī)上一樣。同一個(gè)VLAN中的廣播只有VLAN中的成員才能聽(tīng)到，而不會(huì)傳輸?shù)狡渌腣LAN中去，這樣可以很好的控制不必要的廣播風(fēng)暴的產(chǎn)生。同時(shí)，若沒(méi)有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門(mén)之間的安全性。網(wǎng)絡(luò)管理員可以通過(guò)配置VLAN之間的路由來(lái)全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。交換機(jī)是根據(jù)工作站的MAC地址來(lái)劃分VLAN的。所以，用戶可以自由的在企業(yè)網(wǎng)絡(luò)中移動(dòng)辦公，不論他在何處接入交換網(wǎng)絡(luò)，他都可以與VLAN內(nèi)其他用戶自如通訊。VLAN網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類(lèi)型設(shè)備組成，比如：10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等，可以是工作站、服務(wù)器、集線器、網(wǎng)絡(luò)上行主干等等。VLAN除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門(mén)、不同站點(diǎn)之間的互相訪問(wèn)。物理位置不同的多個(gè)主機(jī)如果劃分屬于同一個(gè)VLAN，則這些主機(jī)之間可以相互通信。物理位置相同的多個(gè)主機(jī)如果屬于不同的VLAN，則這些主機(jī)之間不能直接通信。VLAN通常在交換機(jī)或路由器上實(shí)現(xiàn)，在以太網(wǎng)幀中增加VLAN標(biāo)簽來(lái)給以太網(wǎng)幀分類(lèi)，具有相同VLAN標(biāo)簽的以太網(wǎng)幀在同一個(gè)廣播域中傳送。VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。2.1.2實(shí)驗(yàn)思想首先連接實(shí)驗(yàn)拓?fù)鋱D，然后在交換機(jī)創(chuàng)建vlan10和vlan20，接著將各交換機(jī)端口所對(duì)應(yīng)的PC劃分給vlan10和vlan20再將交換機(jī)與路由器相連接的端口設(shè)置為trunk端口，完成上述步驟后，對(duì)路由器的單臂路由及配置封裝dot1Q協(xié)議進(jìn)行操作。然后配置電腦IP地址與網(wǎng)關(guān)，最后進(jìn)行調(diào)試分析。單臂路由（router-on-a-stick）是指在路由器的一個(gè)接口上通過(guò)配置子接口（或“邏輯接口”，并不存在真正物理接口）的方式，實(shí)現(xiàn)原來(lái)相互隔離的不同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通。在Cisco網(wǎng)絡(luò)體系中，單臂路由是一個(gè)重要的學(xué)習(xí)知識(shí)點(diǎn)。通過(guò)單臂路由的學(xué)習(xí)，能夠深入的了解VLAN（虛擬局域網(wǎng)）的劃分、封裝和通信原理，理解路由器子接口、ISL協(xié)議和802.1Q協(xié)議2.2網(wǎng)絡(luò)規(guī)劃2.2.1結(jié)構(gòu)分析本次實(shí)驗(yàn)用到了二層交換機(jī)用來(lái)劃分兩個(gè)不同VLAN，交換機(jī)的四個(gè)接口各連接四臺(tái)PC還有一個(gè)接口連接路由器，將交換機(jī)的該接口配置一個(gè)trunk接口。后與路由器連接。VLAN的中繼端口叫做trunk。trunk技術(shù)用在交換機(jī)之間互連，使不同VLAN通過(guò)共享鏈路與其它交換機(jī)中的相同VLAN通信。交換機(jī)之間互連的端口就稱為trunk端口。trunk是基于OSI第二層數(shù)據(jù)鏈路層（DataLinkLayer)的技術(shù)。兩臺(tái)交換機(jī)上分別創(chuàng)建了多個(gè)VLAN（VLAN是基于Layer2的），在兩臺(tái)交換機(jī)上相同的VLAN（比如VLAN10）要通信，需要將交換機(jī)A上屬于VLAN10的一個(gè)端口與交換機(jī)B上屬于VLAN10的一個(gè)端口互連；如果這兩臺(tái)交換機(jī)其它相同VLAN間需要通信，那么交換機(jī)之間需要更多的互連線，端口利用率就太低了。交換機(jī)通過(guò)trunk功能，事情就簡(jiǎn)單了，只需要兩臺(tái)交換機(jī)之間有一條互連線，將互連線的兩個(gè)端口設(shè)置為trunk模式，這樣就可以使交換機(jī)上不同VLAN共享這條線路。交換端口兩種模式：access和trunk。連接終端（如PC）用access模式，設(shè)備級(jí)連接用trunk模式。把a(bǔ)ccess端口加入到某個(gè)VLAN，那么這個(gè)端口就只將這個(gè)VLAN的數(shù)據(jù)轉(zhuǎn)發(fā)給PC，PC發(fā)送的數(shù)據(jù)通過(guò)這個(gè)端口后會(huì)打上這個(gè)VLAN的ID，轉(zhuǎn)發(fā)到相同VLAN。2.2.2網(wǎng)絡(luò)設(shè)備選用四臺(tái)PC、一臺(tái)二層交換機(jī)、一臺(tái)2811路由器2.2.3IP地址規(guī)劃配置PCIP地址網(wǎng)關(guān)VLANPC00VLAN10PC10VLAN10PC30VLAN20PC40VLAN20表2.1IP地址規(guī)劃表點(diǎn)擊PC0在桌面給PC0配置IP地址，其IP地址為0，掩碼為，網(wǎng)關(guān)為，如圖6.1：圖6.1PC0IP地址點(diǎn)擊PC1在桌面給PC1配置IP地址，其IP地址為1，掩碼為，網(wǎng)關(guān)為，如圖6.2：圖6.2PC1IP地址點(diǎn)擊PC2在桌面給PC2配置IP地址，其IP地址為0，掩碼為，網(wǎng)關(guān)為，如圖6.3：圖6.3PC2IP地址點(diǎn)擊PC3在桌面給PC3配置IP地址，其IP地址為1，掩碼為，網(wǎng)關(guān)為，如圖6.4：圖6.4PC3IP地址VLAN可以限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個(gè)VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過(guò)量廣播。使用VLAN，可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)，在一個(gè)VLAN中的廣播不會(huì)送到VLAN之外。同樣，相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播。這樣可以減少?gòu)V播流量，釋放帶寬給用戶應(yīng)用，減少?gòu)V播的產(chǎn)生。增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備。成本高昂的網(wǎng)絡(luò)升級(jí)需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。VLAN為網(wǎng)絡(luò)管理帶來(lái)了方便，因?yàn)橛邢嗨凭W(wǎng)絡(luò)需求的用戶將共享同一個(gè)VLAN。VLAN將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起，以支持商業(yè)需求或地域上的需求。通過(guò)職能劃分，項(xiàng)目管理或特殊應(yīng)用的處理都變得十分方便，例如可以輕松管理教師的電子教學(xué)開(kāi)發(fā)平臺(tái)。VLAN可以降低移動(dòng)或變更工作站地理位置的管理費(fèi)用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了VLAN后，這部分管理費(fèi)用大大降低。給四臺(tái)PC機(jī)配置IP地址與網(wǎng)關(guān)，一定要注意不要配置錯(cuò)誤，否則在接下來(lái)的步驟中將會(huì)導(dǎo)致網(wǎng)關(guān)的不正確或者IP地址的混亂，這樣在路由器的路由條表中將會(huì)沒(méi)有目標(biāo)網(wǎng)段的條目，數(shù)據(jù)包從PC機(jī)發(fā)送出去后，因?yàn)榫W(wǎng)關(guān)錯(cuò)誤數(shù)據(jù)包無(wú)法出去，或者出來(lái)網(wǎng)關(guān)之后，數(shù)據(jù)包的目的IP在路由器中沒(méi)有相應(yīng)的路由條目，這會(huì)導(dǎo)致數(shù)據(jù)包無(wú)法被路由器轉(zhuǎn)發(fā)，這樣VLAN間會(huì)無(wú)法通信。2.2.4實(shí)驗(yàn)拓?fù)鋱D圖6.5實(shí)驗(yàn)拓?fù)鋱D2.3網(wǎng)絡(luò)實(shí)施2.3.1實(shí)驗(yàn)原理（1）在交換機(jī)中，通過(guò)VLAN對(duì)一個(gè)物理網(wǎng)絡(luò)進(jìn)行了邏輯劃分，不同的VLAN之間是無(wú)法直接訪問(wèn)的，必須通過(guò)三層的路由設(shè)備進(jìn)行連接。一般利用路由器來(lái)做網(wǎng)關(guān)或者利用三層交換機(jī)來(lái)實(shí)現(xiàn)不同的VLAN之間的互相通信。將路由器或交換機(jī)相連接，采用IEEE802.1q來(lái)啟動(dòng)路由器上的子接口成為干道模式，就可以利用路由器來(lái)實(shí)現(xiàn)VLAN之間的通信。路由器可以從某一個(gè)VLAN接收數(shù)據(jù)包，并將這個(gè)數(shù)據(jù)包轉(zhuǎn)發(fā)到另外的一個(gè)VLAN。要實(shí)施VLAN間的路由，可以使用路由器的單臂路由功能，而該功能的使用必須在一個(gè)路由器的物理接口上啟用子接口，也就是將以太網(wǎng)物理接口劃分為多個(gè)邏輯的、可編址的接口，并配置成干道模式。這樣才能使用單臂路由功能。并且將每個(gè)VLAN對(duì)應(yīng)一個(gè)這種子接口，這樣路由器就能夠知道如何到達(dá)這些互連的VLAN。實(shí)現(xiàn)VLAN間的通信，完成實(shí)驗(yàn)。VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時(shí)，需要路由的支持，這時(shí)就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來(lái)完成，同時(shí)還嚴(yán)格限制了用戶數(shù)量。根據(jù)MAC地址劃分，這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無(wú)法限制廣播包了。另外，對(duì)于使用筆記本電腦的用戶來(lái)說(shuō)，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停地配置。產(chǎn)生很多的重復(fù)工作。按網(wǎng)絡(luò)層劃分，這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類(lèi)型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無(wú)關(guān)系。這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類(lèi)型來(lái)劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要，還有，這種方法不需要附加的幀標(biāo)簽來(lái)識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。按IP組播劃分，IP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高?；谝?guī)則的劃分，也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動(dòng)配置的能力，能夠把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕?，那么?dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí)，將會(huì)被“感知”，并被自動(dòng)地包含進(jìn)正確的VLAN中。同時(shí)，對(duì)站點(diǎn)的移動(dòng)和改變也可自動(dòng)識(shí)別和跟蹤。采用這種方法，整個(gè)網(wǎng)絡(luò)可以非常方便地通過(guò)路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個(gè)端口上的主機(jī)分別屬于不同的VLAN，這在交換機(jī)與共享式Hub共存的環(huán)境中顯得尤為重要。自動(dòng)配置VLAN時(shí)，交換機(jī)中軟件自動(dòng)檢查進(jìn)入交換機(jī)端口的廣播信息的IP源地址，然后軟件自動(dòng)將這個(gè)端口分配給一個(gè)由IP子網(wǎng)映射成的VLAN。（2）路由器上，指定以太網(wǎng)子接口屬于VLAN1,此命令應(yīng)用在以太網(wǎng)子接口上。只有配置了該命令之后，以太網(wǎng)子接口才會(huì)根據(jù)配置的VLANID號(hào)在以太網(wǎng)幀頭中嵌入VLAN標(biāo)簽，與該網(wǎng)口相連的交換機(jī)接口才能正確處理接收到的幀。在局域網(wǎng)中,通過(guò)交換機(jī)上配置VLAN可以減少主機(jī)通信廣播域的范圍,當(dāng)VLAN之間有部分主機(jī)需要通信,但交換機(jī)不支持三層交換時(shí),可以采用一臺(tái)支持802.1Q的路由器實(shí)現(xiàn)VLAN的互通.這需要在以太口上建立子接口,分配IP地址作為該VLAN的網(wǎng)關(guān),同時(shí)啟動(dòng)802.1Q.協(xié)議。路由器的工作原理為從某一個(gè)接口接收到一個(gè)數(shù)據(jù)包時(shí)，會(huì)查看包中的目標(biāo)網(wǎng)絡(luò)地址以判斷該包的目的地址在當(dāng)前的路由表中是否存在（即路由器是否知道到達(dá)目標(biāo)網(wǎng)絡(luò)的路徑）。如果發(fā)現(xiàn)包的目標(biāo)地址與本路由器的某個(gè)接口所連接的網(wǎng)絡(luò)地址相同，那么馬上數(shù)據(jù)轉(zhuǎn)發(fā)到相應(yīng)接口；如果發(fā)現(xiàn)包的目標(biāo)地址不是自己的直連網(wǎng)段，路由器會(huì)查看自己的路由表，查找包的目的網(wǎng)絡(luò)所對(duì)應(yīng)的接口，并從相應(yīng)的接口轉(zhuǎn)發(fā)出去；如果路由表中記錄的網(wǎng)絡(luò)地址與包的目標(biāo)地址不匹配，則根據(jù)路由器配置轉(zhuǎn)發(fā)到默認(rèn)接口，在沒(méi)有配置默認(rèn)接口的情況下會(huì)給用戶返回目標(biāo)地址不可達(dá)的ICMP信息。2.3.2網(wǎng)絡(luò)配置命令（1）先創(chuàng)建VLAN10，再將F0/2端口與F0/3端口所對(duì)應(yīng)的PC0與PC1配置到VLAN10

Switch(config)#vlan

10（創(chuàng)建VLAN10）

Switch(config)#int

f0/2（進(jìn)入f0/2端口）

Switch(config-if)#switchport

access

vlan

10（將端口2的PC0劃到VLAN10）

Switch(config)#int

f0/3（進(jìn)入f0/3端口）

Switch(config-if)#switchport

access

vlan

10（將端口3的PC1劃到VLAN10）

Switch(config-if)#exit（退出當(dāng)前端口）（2）再將F0/4端口與F0/5端口配置給VLAN20

Switch(config)#vlan

20（創(chuàng)建VLAN20）Switch(config)#int

f0/4（進(jìn)入f0/4端口）

Switch(config-if)#switchport

access

vlan

20(將端口4的PC2劃到VLAN20)

Switch(config-if)#exit（退出當(dāng)前端口）

Switch(config)#int

f0/5（進(jìn)入f0/5端口）Switch(config-if)#switchport

access

vlan

20(將端口5的PC3劃到VLAN20)

（3）將F0/1口配置trunk

Switch(config)#interface

fastEthernet0/1（進(jìn)入f0/1端口）

Switch(config-if)#switchport

mode

trunk（將該端口設(shè)置為trunk模式）

至此，已將四臺(tái)PC機(jī)所對(duì)應(yīng)端口劃分在VLAN10與VLAN20，并且將二層交換機(jī)與路由器相連接的端口配置為trunk模式，trunk技術(shù)用在交換機(jī)之間互連，使不同VLAN通過(guò)共享鏈路與其它交換機(jī)中的相同VLAN通信。交換機(jī)之間互連的端口就稱為trunk端口。交換機(jī)的配置完成，接下來(lái)將進(jìn)行路由器的單臂路由配置。（3）Router1單臂路由設(shè)置：配置F0/0.1口Router>enableRouter#configuretermianl

Router(config)#interface

fastEthernet

0/0.1（進(jìn)入f0/0.1端口）

Router(config-subif)#description

vlan

10（聲明該端口屬于VLAN10）

Router(config-subif)#encapsulation

dot1Q

10（封裝dot1Q協(xié)議）

Router(config-subif)#ip

address

（給該端口配置IP地址）

（4）配置F0/0.2口Router(config-subif)#exit（退出f0/0.1接口）Router(config)#int

f0/0.2（進(jìn)入f0/0.2接口）

Router(config-subif)#description

vlan

20（聲明該接口屬于VLAN20）

Router(config-subif)#encapsulation

dot1Q20（封裝dot1Q協(xié)議）

Router(config-subif)#ip

address

（給該端口配置IP地址）

2.4調(diào)試分析2.4.1測(cè)試目標(biāo)在VLAN10的PC1、PC2能夠ping通VLAN20的PC3、PC4。PING(PacketInternetGroper)，因特網(wǎng)包探索器，用于測(cè)試網(wǎng)絡(luò)連接量的程序。Ping發(fā)送一個(gè)ICMP(InternetControlMessagesProtocol）即因特網(wǎng)信報(bào)控制協(xié)議；回聲請(qǐng)求消息給目的地并報(bào)告是否收到所希望的ICMPecho（ICMP回聲應(yīng)答）。它是用來(lái)檢查網(wǎng)絡(luò)是否通暢或者網(wǎng)絡(luò)連接速度的命令。它所利用的原理是這樣的：利用網(wǎng)絡(luò)上機(jī)器IP地址的唯一性，給目標(biāo)IP地址發(fā)送一個(gè)數(shù)據(jù)包，再要求對(duì)方返回一個(gè)同樣大小的數(shù)據(jù)包來(lái)確定兩臺(tái)網(wǎng)絡(luò)機(jī)器是否連接相通，時(shí)延是多少。2.4.2測(cè)試結(jié)果圖8.1測(cè)試通信圖從圖8.1中可以看出使用ping命令后只有一個(gè)丟包，剩余的三個(gè)數(shù)據(jù)包都得到了回復(fù)，證明VLAN10的PC0能夠ping通VLAN20的PC2，測(cè)試成功。圖8.2測(cè)試通信圖從圖8.2中可以看到?jīng)]有丟包，即四個(gè)數(shù)據(jù)包都得到了回復(fù)，所以VLAN10的PC1能夠ping通VLAN20的PC3，測(cè)試成功。心得體會(huì)本次課程設(shè)計(jì)使我們學(xué)習(xí)并熟悉CiscoPacketTracer6.0軟件的一般操作和運(yùn)用，在加深對(duì)計(jì)算機(jī)網(wǎng)絡(luò)課本知識(shí)的理解的基礎(chǔ)上，學(xué)會(huì)運(yùn)用已學(xué)的知識(shí)設(shè)計(jì)一個(gè)小型互連網(wǎng)絡(luò)并對(duì)其進(jìn)行分析，并且進(jìn)一步理解互連網(wǎng)的基本組成、VLAN的基本原理及劃分、對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)配置并測(cè)試等相關(guān)知識(shí)。課程設(shè)計(jì)的目的，實(shí)際上是為了讓學(xué)生更深入的掌握計(jì)算機(jī)網(wǎng)絡(luò)的核心內(nèi)容，實(shí)現(xiàn)理論與實(shí)踐相結(jié)合的教學(xué)目的，讓學(xué)生能用具體的實(shí)踐成果來(lái)體現(xiàn)對(duì)理論知識(shí)掌握的程度，有利于學(xué)生提高計(jì)算機(jī)網(wǎng)絡(luò)方面的實(shí)踐能力和加深計(jì)算機(jī)網(wǎng)絡(luò)理論知識(shí)的理解。具體來(lái)講，安排計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)的目的主要有兩個(gè)：一是引導(dǎo)學(xué)生將書(shū)本上抽象的概念和具體實(shí)現(xiàn)技術(shù)結(jié)合起來(lái)，使學(xué)習(xí)深化；二是消除學(xué)生對(duì)計(jì)算機(jī)網(wǎng)絡(luò)理論知識(shí)的神秘感，調(diào)動(dòng)學(xué)生學(xué)習(xí)的積極性與主動(dòng)性，進(jìn)而鍛煉解決實(shí)際問(wèn)題的能力。通過(guò)本課程設(shè)計(jì)，使學(xué)生在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與發(fā)展整體了解基礎(chǔ)上，掌握了計(jì)算機(jī)網(wǎng)絡(luò)的核心內(nèi)容、基本概念及子網(wǎng)規(guī)劃和VLAN劃分，初步掌握以TCP/IP協(xié)議為主的網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)，培養(yǎng)學(xué)生在TCP/IP協(xié)議工程和VLAN上的實(shí)際工作能力；學(xué)會(huì)網(wǎng)絡(luò)構(gòu)建、日常維護(hù)及管理的方法，使學(xué)生掌握在信息化社會(huì)建設(shè)過(guò)程中所必需的計(jì)算機(jī)網(wǎng)絡(luò)組網(wǎng)和建設(shè)所需的基本知識(shí)與操作技能。次試驗(yàn)讓我更加充分的理解了課本上的知識(shí)，并能夠加以擴(kuò)展，從而應(yīng)用于實(shí)踐當(dāng)中。這幾天的課程設(shè)計(jì)令我受益匪淺，很多平時(shí)模棱兩可的知識(shí)點(diǎn)都認(rèn)真復(fù)習(xí)并實(shí)踐了。我對(duì)網(wǎng)絡(luò)編程提升了認(rèn)識(shí)，我意識(shí)到我們所學(xué)的東西將來(lái)都是要付諸實(shí)踐的，所以一切要從實(shí)際情況出發(fā)，理論聯(lián)系實(shí)際，這樣才能真正發(fā)揮我們所具備的能力。還有這次的課程設(shè)計(jì)我還是遇到了很多的問(wèn)題的，不過(guò)在老師和同學(xué)的幫助下，以及自己到網(wǎng)上的查找下，都順利的解決了。我覺(jué)得，在學(xué)習(xí)的過(guò)程中，當(dāng)遇到問(wèn)題苦思不得其所的時(shí)候，千萬(wàn)不要一根筋的非得自己做出來(lái)，這時(shí)候就是我們鍛煉交際能力的時(shí)候到了，我們可以問(wèn)老師，也可以問(wèn)機(jī)房里的同學(xué)，這樣我們既解決了問(wèn)題，又提升了大家的關(guān)系，這是一舉兩得的事情，因此大家千萬(wàn)不要羞于開(kāi)口。另外，也可以通過(guò)上網(wǎng)查詢資料來(lái)解決問(wèn)題，一般來(lái)說(shuō)當(dāng)我遇到問(wèn)題時(shí)我會(huì)先記下來(lái)，晚上或者問(wèn)題比較多的時(shí)候就到網(wǎng)絡(luò)上集中查詢或求助。這也是行之有效的辦法，通過(guò)查找資料，對(duì)于這些問(wèn)題的解決辦法我印象相當(dāng)深刻。并且通過(guò)這次實(shí)驗(yàn)我學(xué)會(huì)了標(biāo)準(zhǔn)IP訪問(wèn)列表和擴(kuò)展IP訪問(wèn)列表。標(biāo)準(zhǔn)IP訪問(wèn)列表可以根據(jù)數(shù)據(jù)包的源IP地址定