版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、0江 西 理 工 大 学 南 昌 校 区毕 业 设 计(论文)题 目:中型网络综合配置与安全配置系 :专 业:班 级:学 生:学 号:指导教师: 职称:1引引 言言 .51. 1.网络技术介绍网络技术介绍.51.1 因特网协议因特网协议.51.1.1、tcp/ip 协议 .51.1.2、主机到主机层协议.61.1.3、因特网层协议.71.2 路由与路由与交换技术交换技术.81.2.1 什么是路由.81.2.2 什么是交换.81.2.3 局域网交换机的种类和选择.91.3 vlan 虚拟虚拟局域网局域网.91.3.1 vlan 简介.91.3.2 vlan 的优点.101.3.3 vtp:思科
2、vlan 中继协议(vtp:cisco vlan trunking protocol).101.4 nat 地址转换技术地址转换技术.111.4.1 nat 原理简介.111.4.2 nat 技术类型.111.5 访问控制列表访问控制列表 acl(access control list,acl).121.5.1 概述.121.5.2 acl 的作用.122.项目分析项目分析 .132.1 案例概况案例概况.132.2 案例技术要求案例技术要求.142.3 案例深入分析案例深入分析.142.3.1 拓扑结构分析.142.3.2 vlan 划分原则.142.3.3 其他网络技术的使用.152.4
3、网络布线工程网络布线工程.152.5 项目设计总结项目设计总结.152.5.1 总拓扑图:.152.5.2 ip 地址及 vlan 划分对照表 .163.网络设置与调试网络设置与调试 .183.1 试验环境说明试验环境说明.183.2 交换机配置部分交换机配置部分.183.2.1 配置前说明.183.2.2 一楼交换机配置命令.183.2.3 二楼交换机配置.203.2.4 三楼交换机配置.203.2.5 主交换机配置.203.2.6 vtp 配置 .213.2.7 默认网关.223.3 路由器配置部分路由器配置部分.2323.3.1 基本配置.233.3.2 路由协议配置.243.3.3 n
4、at 地址转换配置.243.3.4 访问控制列表配置.254.项目验收测试项目验收测试 .284.1 网络性能测试网络性能测试.284.2 网络安全测试网络安全测试.29结结 论论 .30谢谢 辞辞 .31参考文献参考文献 .323摘要摘要在当今社会,全球经济发展和信息技术不断发展,不断结合;网络已经成为企业领导者和员工传递信息和管理的主要途径。在淘汰了复杂的手工管理后,自动化和智能化的计算机管理逐渐被企业所认可,特别是现在特别流行的公司局域网。企业内部网络的架设,不仅让企业的运作更有效率,而且带来了管理上的便捷。起初,企业内部架设网络仅仅是为了实现企业内部信息的共享,帮助员工快速的查找到他们
5、需要的资料。但是后来全问题逐步凸显了出来,机密文件外泄、得到权限的用户不能行使自己的权利,对企业的利益造成了损害。随需求确定安全管理策略随着网络拓扑结构、网络应用以及网络安全技术的不断发展,安全策略的制订和实施是一个动态的延续过程。当然可以请有经验的安全专家或购买服务商的专业服务。但是一个单位的网络安全服务建设不可能仅依靠公司提供的安全服务,因为商业行为与企业安全有本质差别,不是所有的网络都需要所有的安全技术,何况有些安全技术本身并不成熟,只有采取适当防护,重点突出的策略,才能有的放矢,不会盲目跟风。本文通过进行对一个公司的内部网络的设计、调试及安全方面的配置。解决了上面所考虑到的一些问题,具
6、有一定的参考价值。关键词:关键词:企业内部网络管理,网络安全管理4medium network configuration and security configurationabstractin now society,global economic development and information technology continuous development and integration; networks have become leaders and impart information and the staff are the main channels. out i
7、n a complex manual management, automation and management of intelligent computers have been gradually recognized by the enterprise, especially now extremely popular network management. enterprises to set up internal network, not only to allow enterprises to work more efficiently, but also create a c
8、onvenient management. initially, the internal network is only set up in order to achieve the enterprises internal information sharing, helping staff to quickly find the information they need. but he highlighted security problems out, confidential documents leaked, the competence of the users to be u
9、nable to exercise their rights, to the interests of the damage caused. with the demand for security management strategy identified with the network topology, network applications and network security technology continues to develop, security strategy formulation and implementation is a dynamic proce
10、ss of renewal. requests can certainly experienced security experts to purchase services or professional services. however, a unit of internet security service building company can not rely solely on the provision of security services, because commercial and enterprise security is a fundamental diffe
11、rence, and not all of the needs of all network security technology, moreover, some security technology itself is not mature enough, only to take appropriate protection, focused strategy to targeted, not blindly follow the trend. by conducting a companys internal network design, debug and security co
12、nfiguration. solve the above into account some issues with reference value. keywords:enterprise network management,network security management5引引 言言从 1973 年第一个局域网alto aloha (事实上它的创造者叫它 ethernet,也就是我们现在所说的以太网)的出现已经有 30 余年的历史了。从一开始 2.94mbps 的传输速率到现在已经开始普及的千兆以太网其中过程可谓曲折。中间变革不仅仅从网络拓扑上,传输介质,网络标准也不断更新换代。现
13、在网络化办公,自动化办公已经从当年的设想演变成现在普及使用,其功能上甚至有胜于当年的设想蓝图。soho 是以前上班族的梦想,现在已经是现代白领生活中的一部分了。在家办公,自由职业者由于网络这个媒介的日渐成熟而成为现实。政府以及企业都在实行网络化办公。不仅方便快捷提高了效率而且便于管理。异地办公,分公司访问总公司的服务器以查找需要的资料,这一方式正在大中型企业里开始应用。其好处可想而知。而且网络权限的设置规定了,哪些人可以访问机密文件,哪些人则被拒绝。安全系数也比较高,不用担心泄密问题。当然没有完全安全的网络环境,所以网络专家们仍在继续研究安全技术以使网络环境更加的安全,这不仅仅是技术层面上的问
14、题,这还涉及到管理体制的方法。本次论文将要构建的一个小型公司网络就是一个典型的公司办公网络。不仅要保证一个稳定的网络运行,而且要保证网络环境的安全确保公司的机密资料不会被未授权的人盗取。当然我只能做到网络技术层面上的万无一失,如果人员职能问题上出现漏洞不是网络安全所能解决的。1网络技术介绍网络技术介绍 1.1 因特网协议因特网协议1.1.1、tcp/ip 协议tcp/ip(传输入控制地议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与另一个主机之间的数据传输格式以及传送方式。tcp/ip 是因特网的基础协议。如果能够正确地设计和应用,一个 tcp/ip 网络将是一
15、个可靠的并富有弹性的网络。 世界上有各种不同类型的计算机,也有不同的操作系统,要想让这些装有不同操作系统的不同类型计算机互相通讯,就必须有统一的标准。tcpip 协议就是目前被各方面遵从的网际互联工业标准。tcp/ip 协议覆盖了 osi 网络结构七层模型中的六层,并支持从交换(第二层)诸如6多协议标记交换,到应用程序诸如邮件服务方面的功能。tcp/ip 的核心功能是寻址和路由选择(网络层的 ip/ipv6 )以及传输控制(传输层的 tcp、udp) 。 1.1.2、主机到主机层协议主机到主机层的主要目的,是将上层的应用程序从网络传输的复杂性中层屏蔽出来。在这一层可以对它的上层说:“你只需给我
16、你的数据流,它的结构可以是任意的,让我来负责这些数据的发送准备。 ”本层的两个协议: 传输控制协议(tcp) 用户数据报协议(udp)、传输控制协议传输控制协议(transmission control protocol,tcp)是一种面向连接的、可靠的、基于字节流的运输层通信协议,通常由 ietf 的 rfc 793 说明。在简化的计算机网络 osi 模型中,它完成运输层所指定的功能。在因特网协议族中,tcp 层是位于 ip 层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接,但是 ip 层不提供这样的流机制,而是提供不可靠的包交换。应用层向 tc
17、p 层发送用于网间传输的、用 8 位字节表示的数据流,然后 tcp 把数据流分割成适当长度的报文段(通常受该计算机连接的网络的数据链路层的最大传送单元(mtu)的限制) 。之后 tcp 把结果包传给 ip 层,由它来通过网络将包传送给接收端实体的tcp 层。tcp 为了保证不发生丢包,就给每个字节一个序号,同时序号也保证了传送到接收端实体的包的按序接收。然后接收端实体对已成功收到的字节发回一个相应的确认(ack);如果发送端实体在合理的往返时延(rtt)内未收到确认,那么对应的数据(假设丢失了)将会被重传。tcp 用一个校验和函数来检验数据是否有错误;在发送和接收时都要计算校验和。 tcp 连
18、接包括三个状态:连接建立、数据传送和连接终止。tcp 用三路握手过程建立一个连接,用四路握手过程建立来拆除一个连接。在连接建立过程中,很多参数要被初始化,例如序号被初始化以保证按序传输和连接的强壮性。tcp 并不是对所有的应用都适合,一些新的带有一些内在的脆弱性的运输层协议也被设计出来。比如,实时应用并不需要甚至无法忍受 tcp 的可靠传输机制。在这种类型的应用中,通常允许一些丢包、出错或拥塞,而不是去校正它们。例如通常不使用 tcp 的应用有:实时流多媒体(如因特网广播) 、实时多媒体播放器和游戏、ip 电话(voip)等等。任何不是很需要可靠性或者是想将功能减到最少的应用可以避免使用 tc
19、p。在很多情况下,当只需要多路复用应用服务时,用户数据报协议(udp)可以代替 tcp 为应用提供服务。 、用户数据报协议用户数据报协议 (user datagram protoco, udp)是一个简单的面向数据报的传输层(transport layer)协议,ietf rfc 768 是 udp 的正式规范。在 tcp/ip 模型中,udp 为网络层(network layer)以下和应用层(application layer)以上提供了一个简单的接口。udp 只提供数据的不可靠交付,它一旦把应用程序发给网络层的数据发送出去,就不保留数据备份(所以 udp 有时候也被认为是不
20、可靠的数据报协议) 。udp 在 ip 数据报的头部仅仅加入了复用和数据校验(字段) 。udp 首部字段由 4 个部分组成,其中两个是可选的。各 16-bit 的源端口和目的端口用7来标记发送和接受的应用进程。因为 udp 不需要应答,所以源端口是可选的,如果源端口不用,那么置为零。在目的端口后面是长度固定的以字节为单位的长度域,用来指定 udp数据报包括数据部分的长度,长度最小值为 8 (octets)。首部剩下地 16-bit 是用来对首部和数据部分一起做校验和的,这部分是可选的,但在实际应用中一般都使用这一功能。由于缺乏可靠性,udp 应用一般必须允许一定量的丢包、出错和复制。有些应用,
21、比如 tftp,如果需要则必须在应用层增加根本的可靠机制。但是绝大多数 udp 应用都不需要可靠机制,甚至可能因为引入可靠机制而降低性能。流媒体 streaming media、实时多媒体游戏和 voice over ip (voip)就是典型的 udp 应用。如果某个应用需要很高的可靠性,那么可以用传输控制协议 transmission control protocol 来代替 udp。由于缺乏拥塞避免和控制机制,需要基于网络的机制来减小因失控和高速 udp 流量负荷而导致的拥塞崩溃效应。换句话说,因为 udp 发送者不能够检测拥塞,所以像使用包队列和丢弃技术的路由器这样的网络基本设备往往就
22、成为降低 udp 过大通信量的有效工具。数据报拥塞控制协议 datagram congestion control protocol (dccp)设计成通过在诸如流媒体类型的高速率 udp 流中增加主机拥塞控制来减小这个潜在的问题。1.1.3、因特网层协议在 dod 的模型中,设置因特网层有两个主要的理由:路由及为上层提供一个简单的网络接口。没有任何一个其他的高层或低层协议会涉及到任何有关路由的功能,这个复杂和重要的任务是完全属于因特网层。因特网层协议:1 因特网协议(ip)2 因特网控制报文协议(icmp)3 地址解析协议(arp)4 逆向地址解析协议(rarp)、因特网协议(
23、ip)因特网协议其实质就是因特网层。其他的协议仅仅是建在离其基础上用于支持 ip 协议的。ip 是从主机到主机层处接受数据段的,在需要时再将他们组合成数据报(数据包) ,然后接收方的 ip 再重新组合数据报为数据段。每个数据报都被指定了发送者和接收者的 ip地址。每个接收了数据报的路由器都是基于数据包的目的 ip 地址来决定路由的。构成 ip 报头的字段如下:1 版本 4 2 报头长度(hlen) 4 3 ip 优先位或 tos 84 总长度 16 5 标识 16 6 标志 37 分段偏移 13 8 ttl(存活期) 8 9 协议 810 报头和效验和 16 11 源 ip 地址 32 12
24、ip 选项 0 或 3213 数据 可变注:后面的数字表示长度在 ip 报头的协议字段中可能发现的协议协议 协议号icmp 1 igrp 9 eigrsp 88ospf 89 ipv6 41 gre 47ipx in ip 111 layer-2 tunnel(l2tp) 115、因特网控制报文协议因特网控制报文协议(icmp)工作在网络层,它被 ip 用于提供许多不同的服务。icmp 是一个管理性协议,并且也是一个 ip 信息服务的提供者。他的信息是被作为 ip 数据报来传送的。下面是与 icmp 相关的一些常见的事件和信息:1 目的不可达 如果路由器不能再向前发送某个 ip
25、 数据报,这是路由器会使用icmp 来传送一个信息返回给发送端,来通告这一情况。2 缓冲区满 如果路由器用于接收输入数据的内存缓冲区已经满了,他将会使用icmp 向外发送这个信息直道拥塞解除。3 跳 每个 ip 数据报都被分配了一个所允许经过路由器个数的数值,被称为跳(hop) 。4 ping ping(即数据包的因特网探测)使用 icmp 回应信息在互联网络上检查计算机间物理连接的连通性。5 traceroute traceroute 是通过使用 icmp 的超时机制,来发现一个数据报在穿越互联网络时它所经历的路径。、地址解析协议(arp)地址解析协议(arp)可以由已知主机的
26、 ip 地址,在网络上查找到他的硬件地址。、逆向地址解析协议(rarp)当一台误判计算机被用做 ip 主机时,它没有办法在其初始化时了解自己的 ip 地址。但是他可以知道自己的 mac 地址。逆向地址解析协议(rarp)可以通过发送一个包含有无盘主机 mac 地址的数据包,来询问与此 mac 地址相对应的 ip 地址。 1.2路由与路由与交换技术交换技术1.2.1 什么是路由路由是把信息从源穿过网络传递到目的的行为,在路上,至少遇到一个中间节点。路由通常与桥接来对比,在粗心的人看来,它们似乎完成的是同样的事。它们的主要区别在于桥接发生在osi参考协议的第二层(链接层) ,而路由发
27、生在第三层(网络层) 。这一区别使二者在传递信息的过程中使用不同的信息,从而以不同的方式来完成其任务。路由的话题早已在计算机界出现,但直到八十年代中期才获得商业成功,这一时间延迟的主要原因是七十年代的网络很简单,后来大型的网络才较为普遍。 1.2.2 什么是交换1993 年,局域网交换设备出现,1994 年,国内掀起了交换网络技术的热潮。其实,交换技术是一个具有简化、低价、高性能和高端口密集特点的交换产品,体现了桥接技术的复杂交换技术在 osi 参考模型的第二层操作。与桥接器一样,交换机按每一个包中的mac 地址相对简单地决策信息转发。而这种转发决策一般不考虑包中隐藏的更深的其他信息。与桥接器
28、不同的是交换机转发延迟很小,操作接近单个局域网性能,远远超过了普通桥接互联网络之间的转发性能。9交换技术允许共享型和专用型的局域网段进行带宽调整,以减轻局域网之间信息流通出现的瓶颈问题。现在已有以太网、快速以太网、fddi 和 atm 技术的交换产品。类似传统的桥接器,交换机提供了许多网络互联功能。交换机能经济地将网络分成小的冲突网域,为每个工作站提供更高的带宽。协议的透明性使得交换机在软件配置简单的情况下直接安装在多协议网络中;交换机使用现有的电缆、中继器、集线器和工作站的网卡,不必作高层的硬件升级;交换机对工作站是透明的,这样管理开销低廉,简化了网络节点的增加、移动和网络变化的操作。利用专
29、门设计的集成电路可使交换机以线路速率在所有的端口并行转发信息,提供了比传统桥接器高得多的操作性能。如理论上单个以太网端口对含有 64 个八进制数的数据包,可提供 14880bps 的传输速率。这意味着一台具有 12 个端口、支持 6 道并行数据流的“线路速率”以太网交换器必须提供 89280bps 的总体吞吐率(6 道信息流14880bps道信息流) 。专用集成电路技术使得交换器在更多端口的情况下以上述性能运行,其端口造价低于传统型桥接器。1.2.3 局域网交换机的种类和选择局域网交换机根据使用的网络技术可以分为:以大网交换机;令牌环交换机;fddi 交换机;atm 交换机;快速以太网交换机等
30、。如果按交换机应用领域来划分,可分为:台式交换机;工作组交换机;主干交换机;企业交换机;分段交换机;端口交换机;网络交换机等。局域网交换机是组成网络系统的核心设备。对用户而言,局域网交换机最主要的指标是端口的配置、数据交换能力、包交换速度等因素。因此,在选择交换机时要注意以下事项:(1)交换端口的数量; (2)交换端口的类型;(3)系统的扩充能力; (4)主干线连接手段;(5)交换机总交换能力; (6)是否需要路由选择能力;(7)是否需要热切换能力; (8)是否需要容错能力;(9)能否与现有设备兼容,顺利衔接;(10)网络管理能力。1.31.3 vlanvlan 虚拟局域网虚拟局域网1.3.1
31、 vlan 简介vlan(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个 vlan 可以在一个交换机或者跨交换机实现。vlan 可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。 10传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。 vlan 相当于 osi 参考模型的第二层的广播域,能够将广播风暴控制在一个
32、 vlan 内部,划分 vlan 后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的 vlan 之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用 vlan 技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时 vlan 和第三层第四层的交换结合使用能够为网络提供较好的安全措施。 随着 vlan 技术的日益完善,vlan 技术越来越多的应用在交换以太网中,成为网络灵活分段和提高网络安全的方法。1.3.2 vlan 的优点vlan 的优点主要体现在以下 3 个方面
33、:1、控制广播风暴网络管理必须解决因大量广播信息带来带宽消耗的问题。vlan 作为一种网络分段技术,可将广播风暴限制在一个 vlan 内部,避免影响其他网段。与传统局域网相比,vlan 能够更加有效地利用带宽。在 vlan 中,网络被逻辑地分割成广播域,由 vlan 成员所发送的信息帧或数据包仅在 vlan 内的成员之间传送,而不是向网上的所有工作站发送。这样可减少主干网的流量,提高网络速度。2、增强网络的安全性 共享式 lan 上的广播必然会产生安全性问题,因为网络上的所有用户都能监测到流经的业务,用户只要插入任一活动端口就可访问网段上的广播包。采用 vlan 提供的安全机制,可以限制特定用
34、户的访问,控制广播组的大小和位置,甚至锁定网络成员的 mac 地址,这样,就限制了未经安全许可的用户和网络成员对网络的使用。3、增强网络管理采用 vlan 技术,使用 vlan 管理程序可对整个网络进行集中管理,能够更容易地实现网络的管理性。用户可以根据业务需要快速组建和调整 vlan。当链路拥挤时,利用管理程序能够重新分配业务。管理程序还能够提供有关工作组的业务量、广播行为以及统计特性等的详尽报告。对于网络管理员来说,所有这些网络配置和管理工作都是透明的。vlan 变动时,用户无需了解网络的接线情况和协议是如何重新设置的。vlan 还能减少因网络成员变化所带来的开销。在添加、删除和移动网络成
35、员时,不用重新布线,也不用直接对成员进行配置。若采用传统局域网技术,那么当网络达到一定规模时,此类开销往往会成为管理员的沉重负担。1.3.3 vtp:思科 vlan 中继协议(vtp:cisco vlan trunking protocol)vlan 中继协议(vtp)是思科第 2 层信息传送协议,主要控制网络范围内 vlans 的添加、删除和重命名。vtp 减少了交换网络中的管理事务。当用户要为 vtp 服务器配置新 vlan 时,可以通过域内所有交换机分配 vlan,这样可以避免到处配置相同的 vlan。vtp 是思科私有协议,它支持大多数的 cisco catalyst 系列产品。通过
36、vtp,其域内的所有交换机都清楚所有的 vlans 情况,但当 vtp 可以建立多余流量时情况例外。这时,所有未知的单播(unicasts)和广播在整个 vlan 内进行扩散,使得网络中的所有交换机接收到所有广播,即使 vlan 中没有连接用户,情况也不例外。而 vtp pruning 技术正可以消除该多余流量。11缺省方式下,所有 cisco catalyst 交换机都被配置为 vtp 服务器。这种情形适用于 vlan 信息量小且易存储于任意交换机(nvram)上的小型网络。对于大型网络,由于每台交换机都会进行 nvram 存储操作,但该操作对于某些点是多余的,所以在这些点必须设置一个“判决
37、呼叫”(judgment call)。基于此,网络管理员所使用的 vtp 服务器应该采用配置较好的交换机,其它交换机则作为客户机使用。此外需要有某些 vtp 服务器能提供网络所需的一定量的冗余。1.41.4 natnat 地址转换技术地址转换技术1.4.1 nat 原理简介nat 英文全称是“network address translation”,中文意思是“网络地址转换”,它是一个 ietf(internet engineering task force, internet 工程任务组)标准,允许一个整体机构以一个公用 ip(internet protocol)地址出现在 internet
38、 上。顾名思义,它是一种把内部私有网络地址(ip 地址)翻译成合法网络 ip 地址的技术。简单地说,nat 就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将 内部地址替换成公用地址,从而在外部公网(internet)上正常使用,nat 可以使多台计算机共享internet 连接,这一功能很好地解决了公共 ip 地址紧缺的问题。通过这种方法,您可以只申请一个合法 ip 地址,就把整个局域网中的计算机接入 internet 中。这时,nat 屏蔽了内部网络,所有 内部网计算机对于公共网络来说是不可见的,而内部网计算机
39、用户通常不会意识到 nat 的存在。如图 2 所示。这里提到的内部地址,是指在内部网络中分配给节点 的私有 ip 地址,这个地址只能在内部网络中使用,不能被路由(一种网络技术,可以实现不同路径转发)。虽然内部地址可以随机挑选,但是通常使用的是下面的 地址:55,55, 55。nat 将这些无法在互联网上使用的保留 ip 地址翻译成可以在互联网上使用的合法 ip 地址。而全 局地址,是指合法的 ip 地址,它是由 nic(网络信息中心)或者 isp(网络服务提供商)
40、分配的地址,对外代表一个或多个内部局部地址,是全球统一的可寻 址的地址。nat 功能通常被集成到路由器、防火墙、isdn 路由器或者单独的 nat 设备中。比如cisco 路由器中已经加入这一功能,网络管理员只需在路由器的 ios 中设 置 nat 功能,就可以实现对内部网络的屏蔽。再比如防火墙将 web server 的内部地址 映射为外部地址 1,外部访问 1 地址实际上就是访问访问 。另外资金有限的小型企业来说,现在通过软件也可以实现这一功能。windows 98 se、windows 2000 都
41、包含了这一功能。1.4.2 nat 技术类型nat 有三种类型:静态 nat(static nat)、动态地址 nat(pooled nat)、网络地址端口转换 napt(portlevel nat)。1.静态 nat 转换静态 nat 设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址 nat 则是在外部网络中定 义了一系列的合法地址,采用动态分配的方法映射到内部网络。napt 则是把内部地址映射到外部网络的一个 ip 地址的不同端口上。根据不同的需要,三种 nat 方案各有利弊。2.动态 nat 转换动态地址 nat 只是转换 ip
42、 地址,它为每一个内部的 ip 地址分配一个临时的外部 ip 地址,主要应用于拨号,对于频繁的远程联接也可以采用动态 nat。当远程用户联接上之后,12动态地址 nat 就会分配给他一个 ip 地址,用户断开时,这个 ip 地址就会被释放而留待以后使用。3.nat 过载技术网络地址端口转换 napt(network address port translation)是人们比较熟悉的一种转换方式。napt 普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的 ip地址后面。napt 与动态地址 nat 不同,它将内部连接映射到外部网络中的一个单独的 ip地址上,同时在该地址上加上一个由 n
43、at 设备选定的 tcp 端口号。在 internet 中使用 napt 时,所有不同的信息流看起来好像来源于同一个 ip 地址。这个优点在小型办公室内非常实用,通过从 isp 处申请的一个 ip 地址,将多个连接通 过napt 接入 internet。实际上,许多 soho 远程访问设备支持基于 ppp 的动态 ip 地址。这样,isp 甚至不需要支持 napt,就可以做到多个内部 ip 地址共用一个外部 ip 地址上internet,虽然这样会导致信道的一定拥塞,但考虑到节省的 isp 上网费用和易管理的特点,用 napt 还是很值得的。1.51.5 访问控制列表访问控制列表 aclacl
44、(accessaccess controlcontrol listlist,acl)acl)1.5.1 概述访问控制列表(access control list,acl) 是路由器接口的指令列表,用来控制端口进出的数据包。acl 适用于所有的被路由协议,如 ip、ipx、appletalk 等。 acl 的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议(ip、appletalk 以及 ipx)的情况,那么,用户必须定义三种 acl 来分别控制这三种协议的数据包。 1.5.2 acl 的作用 acl 可以限制网络流量、提高网络性能。例如,acl 可以根据数据包的协议,指定数据包的优
45、先级。 acl 提供对通信流量的控制手段。例如,acl 可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 acl 是提供网络安全访问的基本手段。如图 1 所示,acl 允许主机 a 访问人力资源网络,而拒绝主机 b 访问。 acl 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许 e-mail 通信流量被路由,拒绝所有的 telnet 通信流量。132.2.项目分析项目分析2.12.1 案例概况案例概况某公司拥有一栋三层办公楼。公司部门分为销售部,财务部和仓储部三个部门。且每个部门下分三个管理层。公司人事组织结构图如下:该公司对网络的要求是每个
46、部门的部级对处级(处级对组)的电脑有完全的访问权,并且每个部门的上级对其他两个部门的下级部门的电脑有访问权。三个部门同等级间的访问权限要求从上至下是:财务销售仓储。办公楼内的办公室及各办公室内的电脑数量分配如下表:公司向 isp 申请了一个公网地址3 以访问国际互连网,这条线路是公司唯一通向外网线路。并且为了管理方便,公司内网只使用 /24这一个网段。总经理办公室2 台 pc销售部办公室5 台 pc财务部办公室3 台 pc仓储部办公室4 台 pc会议室预留 4 个网络接口销售处办公室20 台 pc财务处办公室7 台 pc仓储处办公室10 台 pc财
47、务组办公室10 台 pc销售组办公室47 台 pc仓储组办公室16 台 pc楼内弱电设备管理间142.22.2 案例技术要求案例技术要求1.这个项目由于涉及到部门划分所以必须要用到 vlan。2.内网只使用一个网段于是必须使用 vlsm 可变长子网掩码。3.而且部门间有上下级造成访问权限的需要,于是访问控制列表必不不可少。4.为了节省成本公司最好只使用一台路由器,这将要使用到单臂路由技术。5.公司只有一个公网地址,但是却有 124 台电脑需要上网。于是必须使用 nat 过载。2.32.3 案例深入分析案例深入分析2.3.1 拓扑结构分析初步设计逻辑拓扑图如下:如上图所示,由一台路由负责这栋楼对
48、外网的通信,同时要担负这栋楼内的各个部门的 vlan 之间的通信。路由器用的是 cisco 2620 选了两个串口和一个快速以太网口。主交换机连接到主分别连接到各层楼的交换机和主路由,是内部网络的主通道。网内的交换机全部选用 cisco catalyst 2950 交换机。2.3.2 vlan 划分原则根据案例概况里面描述的情况,按 vlan 访问权限划分等级如下表:办公室vlan 号访问优先级(数字越小等级越高)总经理办公室21财务部办公室32销售部办公室4315仓储部办公室54财务处办公室65销售处办公室76仓储处办公室87财务组办公室98销售组办公室109仓储组办公室1110会议室111
49、由于会议室是预留网络接口以备会议时需要使用互联网而单独划分 vlan,在 cisco vlan 协议中 vlan 1 是保留 vlan 用于管理的,所以将会议室的插口划分到 vlan 1 当中,但是出于安全考虑,在配置访问控制列表时会禁止 vlan 1 访问内部网络中的任何其他办公室的主机。2.3.3 其他网络技术的使用napt 将被配置在主路由上负责公司的 internet 上网服务,acl 访问控制列表和 vlan划分负责楼内网络的安全控制。2.42.4 网络布线工程网络布线工程布线工程这方面仔细的来说就可以单写一篇论文。所以我只粗略的描述一下这个项目的布线方式。1设备间子系统设备间子系统
50、设在办公楼的一层,方便 internet 专线由地下接入办公楼。主路由、主交换和一层的管理间子系统的堆叠交换机组都放在一楼的弱电设备管理间。2.管理间子系统与工作区子系统为了节省成本只在每层楼安放一个 2950 交换机作为水平子系统与垂直子系统的连接点。因为每个办公室都是一个独立的 vlan,所以每个办公室都安装一个两口的 rj-45 墙座插口分别对应 2950 交换机上的两个端口。然后再在每个办公室内放置一个相应接口的 d-link交换机作为接入层设备。3.布线标准所有的线缆都采用超五类非屏蔽双绞线。施工标准参考中华人民共和国信息产业部发布的建筑与建筑群综合布线工程系统设计规范。2.52.5
51、 项目设计总结项目设计总结2.5.1 总拓扑图:162.5.2 ip 地址及 vlan 划分对照表由于只有一个 c 类的私有地址网段可供使用,而且同时要划分这么多个 vlan。所以必须事先利用 vlsm 可变长子网掩码将各个办公室的 ip 网段划分出来。另外每个 vlan 下独立的网段在配置时还需要设置一个可用的主机位为默认网关,所以在进行 vlsm 计算子网大小时需要在原本需要使用的 ip 地址数量上加 1。详细划分方案见下表:办公室主机(接口)数实际 ip地址需求数ip 网段可用主机位地址范围总经理23/29财务部34192
52、.168.0.8/29174销售部566/2972仓储部454/2950会议室452/2938财务处788/2892销售处20216/27726仓储处10114/285192.168
53、.0.78财务组10110/2814销售组474892/269354仓储组161728/272959基本上理论分析的部分就这么多了。接下来进入实际配制的环节。183.3.网络设置与调试网络设置与调试3.13.1 试验环境说明试验环境说明由于没有真实的试验环境,所以我使用的是 boson software 公司的 boson_netsim 5.31 网络试验模拟软件。该软件能够十分真实的模拟运行你所设
54、计的拓扑结构的网络。试验中所使用的拓扑图见下图,接口信息参见 2.5.1 总拓扑图中的说明。图中的 internet路由器和 server 分别代表公司的 internet 外部网络和因特网上的服务器3.23.2 交换机配置部分交换机配置部分3.2.1 配置前说明为了配置时不混淆也为了方便以后的管理,在配置时将一二三楼的 2950 交换机分别命名为floor1floor2floor3,主交换机命名为center。3.2.2 一楼交换机配置命令switchswitchenable switch#configure terminalswitch(config)#hostname floor1flo
55、or1(config)#enable secret rocker /设定登陆交换机密码为 rockerfloor1#vlan database /进入 vlan 配置模式floor1(vlan)#vlan 9 name fingroupvlan 9 added: name:fingroup /财务组的 vlan9 取名 fingroupfloor1(vlan)#vlan 10 name salgroupvlan 10 added: name:salgroup /销售组的 vlan10 取名 salgroupfloor1(vlan)#vlan 11 name stogroupvlan 11 ad
56、ded: name:stogroup /仓储组的 vlan11 取名 stogroupfloor1(config)#interface vlan 9floor1(config-if)#ip address 2 40floor1(config-if)#no shutdown floor1(config-if)#interface vlan 10floor1(config-if)#ip address 94 92floor1(config-if)#no shutdown 19floor1(config-
57、if)#interface vlan 11floor1(config-if)#ip address 30 24floor1(config-if)#no shutdown /分别配置三个 vlan 的 ip 地址floor1(config)#interface f0/1floor1(config-if)#switchport access vlan 9floor1(config-if)#interface f0/2floor1(config-if)#switchport access vlan 9floor1(config-if)#interfac
58、e f0/3floor1(config-if)#switchport access vlan 10floor1(config-if)#interface f0/4floor1(config-if)#switchport access vlan 10floor1(config-if)#interface f0/5floor1(config-if)#switchport access vlan 11floor1(config-if)#interface f0/6floor1(config-if)#switchport access vlan 11floor1(config-if)#interfac
59、e f0/12floor1(config-if)#switchport mode trunk /按事先设计好的将端口划分到 vlan里并将 f0/12 口配置为串口模式floor1#copy running-config startup-config /将刚才的配置保存到 nvram 中去现在让我们来验证一下使用 show running-config 查看串口信息3.2.3 二楼交换机配置20由于大体上配置命令都是一样的后面的我就配置好后放上验证的截图好了show running-config 查看串口信息3.2.4 三楼交换机配置验证截图使用 show running-config 命令查
60、看串口信息3.2.5 主交换机配置主交换只需要配置四个串口就行了,下面是验证配置截图213.2.6 vtp 配置在这里需要先将所有的交换机使用 vtp domain company 命令将所有的交换机归集到同一个 vtp 域中,company 是我使用的域名。在所有交换机汇总完后再使用 vtp mode client 命令将一二三楼的楼层主交换机更改为客户端模式。配制完毕后使用 show vtp status 命令察看截图如下。一楼:二楼:22三楼:主交换:3.2.7 默认网关每个 vlan 都还需要一个默认网关来支持他们与其他 vlan 和外网进行通信。在交换机上使用 ip default-
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论