计算机网络综合设计报告答案;VIP

1、计算机网络综合设计报告 -中小型企业网络组建方案姓名：高欣学号： 201113010126班级： 11级信息工程1班指导老师：王权海一、背景描述某公司计划建设自己的网络 ，希望通过这个新建网络，提供一个安全可靠、可扩展、高效的网络环境。使公司能够方便快捷的实现网络资源共享、接入internet 等目标。二、公司环境和要求1、公司有4个部门：市场部（30台主机）、财务部（4台主机）和经理部（2台主机）以及网络部（3台服务器主机：分别提供www、ftp、dhcp服务）。2、公司内部使用私有地址段/16。公司租用了三间大型写字间，每间的职员位置固定。已有的机器的分布如下：（1）市

2、场部120号主机与经理部的两台分布于房间1，接在交换机sw1上；（2）市场部2130号主机与财务部的4台主机分布于房间2，接在交换机sw2上；（3）网络部的三台服务器分布于房间3，接在交换机sw3上。要求将不同职能的计算机划分成独立组群：市场部、财务部、经理部、服务器组。（提示：采用vlan技术实现不同组群相互间的隔离；在此基础上，利用路由器实现vlan间的通信。）3、全公司除服务器以外的所有主机通过dhcp服务器实现地址自动分配，避免个人设置ip 地址的麻烦。（提示：需要在路由器上配置dhcp中继）4、三个服务器使用固定的地址（www/24，ftp/2

3、4，dhcp/24），内网用户可通过内部地址访问这些服务器。5、公司只申请到有限个接入公网的ip 地址（/29/29），供企业内网接入公网使用。其中分配给公司网络部的www服务器，以提供对外web服务，余下的地址可供员工上网使用。公司的ftp服务不提供给外网。（提示：采用acl+nat）6、为了确保财务部数据安全，财务部与外部公网不能互访；内部仅允许经理部访问财务部，其他部门均不能与财务部互访。其他部门（市场部、经理部、网络部）之间，可以相互访问。（提示：采用acl技术）7、公司为外地出差员工提供“远程接入式vpn”服务

4、，使得外地员工可以通过公网连接以账户+密码的方式接入到公司内部网络。该类接入用户统一安排/24的地址段。 三、ip地址分配综合公司环境和网络使用要求，内网地址安排为：经理部manager：/24财务部finance： /24市场部market： /24网络部servers： /24远程接入vpn地址池：/24四、网络拓扑结构图1 网络拓扑结构五、相关原理简述1. nat网络地址转换nat（network address translation），被广泛应用于各种类型inter

5、net接入方式和各种类型的网络中。原因很简单，nat不仅完美解决了ip地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。默认情况下，内部ip地址是无法被路由到外网的，例如，内部主机要与外部internet通信，ip包到达nat路由器时，ip包头的源地址被替换成一个合法的外网ip，并在nat转换表中保存这条记录。当外部主机发送一个应答到内网时，nat路由器收到后，查看当前nat转换表，用替换掉这个外网地址。nat可将网络划分为内部网络和外部网络两部分，局域网主机利用nat访问网络时，是将局域网内部的本地地址转换为全

6、局地址（互联网合法的ip地址）后转发数据包。2.vlan虚拟局域网（vlan）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。vlan是一种比较新的技术，工作在osi参考模型的第2层和第3层，一个vlan就是一个广播域，vlan之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，vlan技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个

7、广播域对应了一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信，需要通过一个或多个路由器。这样的一个广播域就称为vlan。交换机1配置：switchenableswitch#conf tswitch(config)#hostname s1s1(config)#ends1#vlan database% warning: it is recommended to configure vlan from config mode, as vlan database mode is being deprecated. please consult user documen

8、tation for configuring vtp/vlan in config mode.s1#vlan 10 name vlan10s1#vlan 20 name vlan20s1#exits1enable s1#config tenter configuration commands, one per line. end with cntl/z.s1(config)#interface fastethernet 0/2s1(config-if)#switchport mode accesss1(config-if)#switch access vlan10s1(config-if)#e

9、xits1(config)#interface fastethernet 0/3s1(config-if)#switchport mode accesss1(config-if)#switch access vlan10s1(config-if)#exits1(config)#interface fastethernet 0/4s1(config-if)#switchport mode accesss1(config-if)#switch access vlan20s1(config-if)#exits1(config)#interface fastethernet 0/5s1(config-

10、if)#switchport mode accesss1(config-if)#switch access vlan20s1(config-if)#exits1(config)#interface fastethernet 0/1s1(config-if)#switchport mode trunks1(config-if)#switchport trunk allowed vlan alls1(config-if)#exits1(config)#ends1#%sys-5-config_i: configured from console by consoles1#copy run start

11、交换机2配置：switchenableswitch#conf tswitch(config)#hostname s1s2(config)#ends2#vlan database% warning: it is recommended to configure vlan from config mode, as vlan database mode is being deprecated. please consult user documentation for configuring vtp/vlan in config mode.s2#vlan 10 name vlan30s3#vlan

12、20 name vlan40s2#vlan 20 name vlan50s2#exits2enable s2#config tenter configuration commands, one per line. end with cntl/z.s2(config)#interface fastethernet 0/2s2(config-if)#switchport mode accesss2(config-if)#switch access vlan30s2(config-if)#exits2(config)#interface fastethernet 0/3s2(config-if)#s

13、witchport mode accesss2(config-if)#switch access vlan30s2(config-if)#exits2(config)#interface fastethernet 0/4s2(config-if)#switchport mode accesss2(config-if)#switch access vlan40s2(config-if)#exits2(config)#interface fastethernet 0/5s2(config-if)#switchport mode accesss2(config-if)#switch access v

14、lan40s2(config-if)#exits2(config)#interface fastethernet 0/1s2(config-if)#switchport mode trunks2(config-if)#switchport trunk allowed vlan alls2(config-if)#exits2(config)#end%sys-5-config_i: configured from console by consoles1#copy run start%sys-5-config_i: configured from console by consoles1#copy

15、 run start交换机3配置：switch(config-if)#int f0/2switch(config-if)#switchport access vlan10switch(config-if)#int f0/3switch(config-if)#switchport access vlan303. acl访问控制列表（acl）可以对经过路由器的数据包按照设定的规则进行过滤，使数据包有选择的通过路由器，起到防火墙的作用。acl由一系列规则组成，在规则中定义允许或拒绝通过路由器的条件。其过滤依据主要包括源地址、目的地址、上层协议等。主要用于限制访问网络的用户，保护网络的安全。在cisc

16、o路由器中的配置过程包括两步：(1)、在网络设备上配置编号（或命名）的ip访问控制列表；(2)、将该编号（该名字）的ip访问控制列表应用到设备的某一接口上。根据设计中的要求：确保财务部数据安全，财务部与外部公网不能互访；内部仅允许经理部访问财务部，其他部门均不能与财务部互访。其他部门（市场部、经理部、网络部）之间，可以相互访问。根据图1拓扑结构可进行如下配置：3.1为不同ip网络中的网络设备配置ip地址（网络设备包括pc机和路由器的网络接口）。r0：fa0/0：/24；fa1/0：/24；se2/0：/30r1：fa0/0：172.1

17、6.4.1/24；se2/0：/303.2在在路由器r0上设计标准acl，使得财务部部网络的ip分组无法从接口se2/0发出。配置命令参考如下：r0#conf tr0(config)#ip access-list standard list01r0(config-std-nacl)#permit 55r0(config-std-nacl)#deny 55r0(config-std-nacl)#exitr0(config)#int s2/0r0(config-if)#ip access-group lis

18、t01 outr0(config-if)#exitr0(config)#3.3在路由器r0上设计扩展acl，使得经理部的主机可以访问财务部的web页面，但不能ping通服务器。配置命令参考如下：r0(config)#ip access-list extended list02r0(config-ext-nacl)#permit tcp 55 host eq 80r0(config-ext-nacl)#deny icmp 55 host r0(config-ext-nacl)#exi

19、tr0(config)#int s2/0r0(config-if)#ip access-group list02 outr0(config-if)#exitr0(config)#3.4 在经理部pc上的命令行里运行ftp ，从而访问服务器上的ftp服务，观察记录运行结果。接着参照下面的配置命令修改r0上的acl列表，然后再次在命令行里运行ftp 。r0(config)#ip access-list extended list02r0(config-ext-nacl)#permit tcp 55 host 172.16.

20、4.4 eq 21r0(config-ext-nacl)#exitr0(config)#六、路由器配置r0:routerenrouter#conftenterconfigurationcommands,oneperline.endwithcntl/z.router(config)#enablepassword123router(config)#exit%sys-5-config_i:configuredfromconsolebyconsolerouter#exitrouterenablepassword:*router#conftrouter(config)#interfa0/0.1route

21、r_config)#encapsulationdot1q10router(config-if)#ipaddressrouter(config-if)#noshutdownrouter(config-if)#exitrouter(config)#intfa0/0.2router_config)#encapsulationdot1q1router(config-if)#ipaddressrouter(config-if)#clockrate100000router(config-if)#noshutdown

22、router(config-if)#exitrouter(config)#exitrouterenpassword:*router#conftenterconfigurationcommands,oneperline.endwithcntl/z.router(config)#routerriprouter(config-router)#netrouter(config-router)#netrouter(config-router)#netrouter(config-router)#netrouter(config-router)#netrouter(config-router)#exitrouter(config)#exitr1:routerenrouter#conftenterconfigurationcommands,oneperline.endwi