局域网课程设计报告

1、商丘职业技术学院局域网组建与维护课程设计学生姓名 李华阳 郭朝凤 专业班级 10级计算机网络一班 指导老师 李德启 2012 年11月局域网组建与维护课程设计报告摘要 随着Internet的快速发展，人们逐渐把技术的焦点从网络的可用性、信息的获取性转移到网络的安全性、应用的简易性上来 。建立在IP技术基础上的虚拟专用网（Virtual Private Network，VPN）正快速成为新一代网络服务的基础，许多服务供应商推出了基于VPN的各种业务。与此相应，Internet的安全问题也日益受到重视。Internet 是一个建立在TCP/IP协议基础上的开放的分组交换网，由于其在最初设计时缺乏安

2、全考虑，导致目前Internet的安全性能严重不足。网络上的IP数据包几乎都是用明文传输的，非常容易遭到窃听、篡改等攻击。本文通过对现代VLAN的划分、VPN及网络地址转换(NAT)相关技术的解析，使我们更好的了解数据传输的安全性、VPN技术及VLAN划分的特点，同时熟悉VPN的配置，使我们做到心中有数，能针对不同的入侵、窃取手段采取相应的防御技术，划分相应的VPN，从而使我们的网络更加安全。关 键 字 VLAN技术；SSL VPN；IPSec VPN；VPN技术；NAT(网络地址转换)；SNAT超载配置；NAPT网络地址端口转换；PAT配置等 前 言计算机网络是计算机技术和通信技术相结合的产

3、物，其目的是为了实现通信和资源共享，目前己经成为社会各个行业传递信息的一个重要工具，为人们的工作、生活提供了极大的便利。由于局域网技术发展迅速，局域网己普通存在人们的生活、学习和工作环境中，并正朝着高速信息传输的方向发展。因此，人们只有掌握基本的局域网知识，学会组建和使用局域网，才能在信息高速发展的今天得以更好地生存。在计算机网络中，局域网是最简单的网络类型，但它的发展非常迅速，应用非常广泛，同时也是组建大型网络的基础。学习组建和维护局域网，目的不在于能记住多少网络术语和工作原理，关键在于技能的提高、经验的不断积累。本书分为3部分内容，分别介绍VLAN的划分，VPN的配置，NAT网络地址转换。

4、在各个部分者的内容组织上，均按“原理、实现方法、得出结论”的递进顺序展开，力求使不同读者群各得所需。另外，本书的3部分内容互相联系又自成体系，读者可也根据需用有选择地进行自学或参考。第1章 主要讲了VLAN即是虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。第2章 主要讲了VPN即虚拟专用网络，就是两个具有VPN发起连接能力的设备通过Internet 形式的一条安全的隧道。介绍了SSL VPN 、IPSec VPN(传输模式)、2层VPN等相关技术。第3章 主要讲了NAT即网络地址转换，网络地址转换被广泛应用于各种类型Internet接入方

5、式和备种类型的网络中。介绍了对路由器进行静态的NAT、动态的NAT、SNAT超载配置、PAT 配置的设置。课程主要采用理论和实际，互相合作的方式进行研究的，因为它是一综合课程，不仅要求掌握好理论部分，对于实践部分也同样的重视，所以在今后学习类似的课程时也都要采用这种方法。最后这门课程的研究范围不是很大，内容也不是很多，所以假如想要更多地了解局域网组建等方面的知识，那就还应当更加深入的了解网络。目 录摘要1第一章 VLAN的划分41.1VLAN划分的原理和作用41.2VLAN实现的代码51.3 总结6第二章 VPN72.1SSL VPN72.2 IPSEC VPN（传输模式）72.3 2层VPN

6、112.4总结17第三章NAT183.1NAT的功能和作用183.2在路由器上实现网络地址的转换183.2.1静态的NAT配置183.2.2 动态的NAT配置203.2.3 SNAT超载配置203.2.4 PAT 配置203.3总结21课程设计总结22致谢23第一章 VLAN的划分1.1 vlan划分的原理和作用 VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物

7、理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN在交换机上的实现方法，可以大致划分为4类: 1、基于端口划分的VLAN 2、基于MAC地址划分VLAN 3、基于网络层划分VLAN 4、根据IP组播划分VLAN 其具体作

8、用：1、控制网络的广播风暴2、确保网络安全3、简化网络管理 采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。 共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。1.2 vlan实现的代码 Vlan2 Teach Vlan3 Stu Vlan Office代码如下：Switch#show runBuilding configuration.Current configuration :

9、 1785 bytesversion 12.2no service timestamps log datetime msecno service timestamps debug datetime msecno service password-encryptionhostname Switchinterface FastEthernet0/1switchport access vlan 2interface FastEthernet0/2switchport access vlan 2switchport trunk encapsulation dot1qswitchport mode tr

10、unkinterface FastEthernet0/3switchport access vlan 3switchport trunk encapsulation dot1qswitchport mode trunkinterface FastEthernet0/4switchport access vlan 4switchport trunk encapsulation dot1qswitchport mode trunkinterface FastEthernet0/5interface FastEthernet0/24interface GigabitEthernet0/1interf

11、ace GigabitEthernet0/2interface Vlan1ip address interface Vlan2ip address ip access-group 101 ininterface Vlan3ip address ip access-group 102 ininterface Vlan4ip address ip access-group 103 inip class

12、lessaccess-list 101 permit ip 55 host access-list 102 permit ip 55 host access-list 103 permit ip 55 host line con 0line vty 0 4loginend1.3 总结本章主要讲了VLAN划分及相关配置。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用V

13、LAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。在实训期间，对于VLAN划分还是有点混乱。通过这次实训才知道自己对于子网划分还是有点不太清楚。希望以后有时间多看点书。第二章 VPN2.1 SSL VPN SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Tenlnet、和FTP等)和TCP/IP协议之间进行数据交换的安全机制，为TCP/IP

14、连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。VPN(虚拟专用网)则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定访问控制功能。VPN是一项非常实用的技术，它可以扩展企业的内部网络，允许企业的员工、客户以及合作伙伴利用Internet访问企业网，而成本远远低于传统的专线接入。过去，VPN总是和IPSec 联系在一起，因为它是VPN加密信息实际用到的协议。IPSec运行于网络层，IPSec VPN 则多用

15、于连接两个网络或点到点之间的连接。2.2 IPSEC VPN（传输模式）R1:Router#show runBuilding configuration.Current configuration : 1100 bytesversion 12.4no service timestamps log datetime msecno service timestamps debug datetime msecno service password-encryptionhostname R1crypto isakmp policy 11encr 3desauthentication pre-share

16、group 2lifetime 5000crypto isakmp key address crypto ipsec transform-set set1 ah-md5-hmac esp-3des esp-md5-hmaccrypto map map1 10 ipsec-isakmp set peer set transform-set set1 match address 111interface FastEthernet0/0ip address duplex autospeed autointe

17、rface FastEthernet0/1no ip addressduplex autospeed autoshutdowninterface Serial1/0ip address clock rate 64000crypto map map1interface Serial1/1no ip addressshutdowninterface Serial1/2no ip addressshutdowninterface Serial1/3no ip addressshutdowninterface Vlan1no ip addressshu

18、tdownrouter ripversion 2network network ip classlessaccess-list 111 permit ip any anyline con 0line vty 0 4loginendR2:Router#show runBuilding configuration.Current configuration : 1082 bytesversion 12.4no service timestamps log datetime msecno service timestamps debug datetime

19、msecno service password-encryptionhostname R2crypto isakmp policy 11encr 3desauthentication pre-sharegroup 2lifetime 5000crypto isakmp key address crypto ipsec transform-set set1 ah-md5-hmac esp-3des esp-md5-hmaccrypto map map1 10 ipsec-isakmp set peer set transform-set set1 ma

20、tch address 111interface FastEthernet0/0ip address duplex autospeed autointerface FastEthernet0/1no ip addressduplex autospeed autoshutdowninterface Serial1/0ip address crypto map map1interface Serial1/1no ip addressshutdowninterface Serial1/2no ip a

21、ddressshutdowninterface Serial1/3no ip addressshutdowninterface Vlan1no ip addressshutdownrouter ripversion 2network network ip classlessaccess-list 111 permit ip any anyline con 0line vty 0 4loginend2.3 2层VPN要求：早九晚六能拨入VPN服务器，并且在域管理组才能拨入。 内容及步骤如下图所示：图2-1 拨号配置图2-2 网络接口图2-3 新建组图2

22、-4 IP范围图2-5 身份认证图2-6 策略加密级别图2-7 拨入时段图2-8选择组图2-9 用户属性图2-10 网络连接图2-11连接图2-12 连接效果图2-13 权限连接效果2.4 总结 本章主要介绍了VPN隧道协议的原理及传输模式的配置。重点介绍了目前主要的隧道技术：SSL VPN 、IPsec VPN、2层VPN。SSL是套接层协议，它是保障在Internet上基于Web的通信的安全而提供的协议。SSL VPN属于高层安全机制，广泛应用于Web浏览程序和Web服务器程序。SSL协议过程通过三个元素来完成的：握手协议、记录协议、警告协议。SSL VPN通信基于标准TCP/UDP协议传

23、输，因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。IPSec协议是网络层协议, 是为保障IP通信而提供的一系列协议族。IPsec VPN基于隧道技术及加密模块技术，可在两上位置间安全地传输数据。IPsec的作用是对IP数据包进行加密。IPsec可用两种方式对数据流进行加密：隧道方式和传输方式。IPsec VPN提供私有信息通过公用网的安全保障。IPsec基于AH、ESP、IKE等协议。VPN基本用途就是提供企业分支机构和企业，企业客户和企业以及企业内部的，远端企业员工与企业安全的点对点通信。VPN技术的这种应用代替了传统的直接拨入内联网的远程访问方式，这样可以大大降低远程访问的费

24、用。VPN是利用开放的公众网络资源建立私有数据传输通道，将远程的分支机构、商业伙伴、移动办公人员等连接起来，并且提供安全的端到端的数据通信的一种广域网技术。 第三章NAT3.1 NAT的功能和作用NAT（Network Address Translation）网络地址转换, 其功能是将企业内部自行定义的非法IP地址转换为Internet公网上可识别的合法IP地址。 网络地址转换被广泛应用于各种类型Internet接入方式和备种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT有三种类型：静态NAT(St

25、atic NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（PortLevel NAT）。3.2 在路由器上实现网络地址的转换3.2.1静态的NAT配置R2#show runBuilding configuration.Current configuration : 789 bytesversion 12.4no service timestamps log datetime msecno service timestamps debug datetime msecno service password-encryptionhostname R2interface F

26、astEthernet0/0ip address 00 ip nat insideduplex autospeed autointerface FastEthernet0/1no ip addressduplex autospeed autoshutdowninterface Serial1/0ip address ip nat outsideinterface Serial1/1no ip addressshutdowninterface Serial1/2no ip addressshutdown

27、interface Serial1/3no ip addressshutdowninterface Vlan1no ip addressshutdownrouter ripversion 2network ip nat inside source static 01 00 ip classlessline con 0line vty 0 4login3.2.2 动态的NAT配置router ripversion 2network ip nat pool hy 01 50 netmas

28、k ip nat inside source list 11 pool hyip nat inside source static 01 00 ip classlessaccess-list 11 permit 55line con 0line vty 0 4loginend3.2.3 SNAT超载配置router ripversion 2network ip nat pool hy 01 50 netmask

29、ip nat inside source list 11 pool hy overloadip nat inside source static 01 00 ip classlessaccess-list 11 permit 55line con 0line vty 0 4loginend3.2.4 PAT 配置 ip nat pool hy netmask ip nat inside source list 11 pool hy overloadip nat inside source static 01 00 ip classlessaccess-list 11 permit 55line con 0line vty 0 4loginend3.3 总结NAT就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经