计算机网络综合设计报告答案(共10页)_第1页
计算机网络综合设计报告答案(共10页)_第2页
计算机网络综合设计报告答案(共10页)_第3页
计算机网络综合设计报告答案(共10页)_第4页
计算机网络综合设计报告答案(共10页)_第5页
已阅读5页,还剩8页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、计算机网络综合设计(shj)报告 -中小型企业网络(wnglu)组建方案姓名(xngmng):高欣学号: 201113010126班级: 11级信息工程1班指导老师:王权海一、背景(bijng)描述某公司计划(jhu)建设自己的网络 ,希望通过这个新建网络,提供一个安全可靠、可扩展、高效的网络环境。使公司能够方便快捷的实现网络资源共享、接入Internet 等目标。二、公司环境(hunjng)和要求1、公司有4个部门:市场部(30台主机)、财务部(4台主机)和经理部(2台主机)以及网络部(3台服务器主机:分别提供www、FTP、DHCP服务)。2、公司内部使用私有地址段/16。公司租用了三间大

2、型写字间,每间的职员位置固定。已有的机器的分布如下:(1)市场部120号主机与经理部的两台分布于房间1,接在交换机SW1上;(2)市场部2130号主机与财务部的4台主机分布于房间2,接在交换机SW2上;(3)网络部的三台服务器分布于房间3,接在交换机SW3上。要求将不同职能的计算机划分成独立组群:市场部、财务部、经理部、服务器组。(提示:采用VLAN技术实现不同组群相互间的隔离;在此基础上,利用路由器实现VLAN间的通信。)3、全公司除服务器以外的所有主机通过DHCP服务器实现地址自动分配,避免个人设置IP 地址的麻烦。(提示:需要在路由器上配置DHCP中继)4、三个服务器使用固定的地址(WW

3、W/24,FTP/24,DHCP/24),内网用户可通过内部地址访问这些服务器。5、公司只申请到有限个接入公网的IP 地址(/29/29),供企业内网接入公网使用。其中分配给公司网络部的WWW服务器,以提供对外Web服务,余下的地址可供员工上网使用。公司的FTP服务不提供给外网。(提示:采用ACL+NAT)6、为了确保(qubo)财务部数据安全,财务部与外部公网不能互访;内部仅允许经理部访问财务部,其他部门均不能与财务部互访。其他部门(市场部、经理部、网络部)之间,可以相互访问。(提示:采用ACL技术)7、公司为外地出差员工提供“远程接入式VPN”服务,使得外地员工可以通过公网连接以账户+密码

4、的方式接入到公司内部网络。该类接入用户(yngh)统一安排/24的地址段。 三、IP地址分配(fnpi)综合公司环境和网络使用要求,内网地址安排为:经理部Manager:/24财务部Finance: /24市场部Market: /24网络部Servers: /24远程接入VPN地址池:/24四、网络拓扑结构图1 网络拓扑结构五、相关原理简述1. NAT网络地址转换(zhunhun)NAT(Network Address Translation),被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美解决了IP地址不足的问题,而且还能够有效地避免来自(li z

5、)网络外部的攻击,隐藏并保护网络内部的计算机。默认情况下,内部IP地址是无法被路由到外网的,例如(lr),内部主机要与外部internet通信,IP包到达NAT路由器时,IP包头的源地址被替换成一个合法的外网IP,并在NAT转换表中保存这条记录。当外部主机发送一个应答到内网时,NAT路由器收到后,查看当前NAT转换表,用替换掉这个外网地址。NAT可将网络划分为内部网络和外部网络两部分,局域网主机利用NAT访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包。2.VLAN虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据

6、功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在 HYPERLINK /view/4200848.htm t _blank 同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在 HYPERLINK /view/38361.htm t _blank OSI参考模型的第2层和第3层,一个VLAN就是一个 HYPERLINK /view/291982.htm t _blank 广播域,VLAN之间的通信是通过第3层的 HYPERLINK /view/1360.htm t _blank 路由器来完成的。与传统的 HYPERLINK /view/1598669.htm

7、 t _blank 局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制 HYPERLINK /view/35385.htm t _blank 广播活动;可提高 HYPERLINK /view/3487.htm t _blank 网络的安全性。在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信,需要通过一个或多个路由器。这样的一个广播域就称为VLAN。交换机1配置:SwitchenableSwitch#conf tSwitch(con

8、fig)#hostname s1s1(config)#ends1#vlan database% Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode.s1#vlan 10 name vlan10s1#vlan 20 name vlan20s1#exits1enable s1#config tE

9、nter configuration commands, one per line. End with CNTL/Z.s1(config)#interface fastethernet 0/2s1(config-if)#switchport mode accesss1(config-if)#switch access vlan10s1(config-if)#exits1(config)#interface fastethernet 0/3s1(config-if)#switchport mode accesss1(config-if)#switch access vlan10s1(config

10、-if)#exits1(config)#interface fastethernet 0/4s1(config-if)#switchport mode accesss1(config-if)#switch access vlan20s1(config-if)#exits1(config)#interface fastethernet 0/5s1(config-if)#switchport mode accesss1(config-if)#switch access vlan20s1(config-if)#exits1(config)#interface fastethernet 0/1s1(c

11、onfig-if)#switchport mode trunks1(config-if)#switchport trunk allowed vlan alls1(config-if)#exits1(config)#ends1#%SYS-5-CONFIG_I: Configured from console by consoles1#copy run start交换机2配置(pizh):SwitchenableSwitch#conf tSwitch(config)#hostname s1S2(config)#endS2#vlan database% Warning: It is recommen

12、ded to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode.S2#vlan 10 name vlan30S3#vlan 20 name vlan40s2#vlan 20 name vlan50s2#exits2enable s2#config tEnter configuration commands, one per line. End wi

13、th CNTL/Z.s2(config)#interface fastethernet 0/2s2(config-if)#switchport mode accesss2(config-if)#switch access vlan30s2(config-if)#exits2(config)#interface fastethernet 0/3s2(config-if)#switchport mode accesss2(config-if)#switch access vlan30s2(config-if)#exits2(config)#interface fastethernet 0/4s2(

14、config-if)#switchport mode accesss2(config-if)#switch access vlan40s2(config-if)#exits2(config)#interface fastethernet 0/5s2(config-if)#switchport mode accesss2(config-if)#switch access vlan40s2(config-if)#exits2(config)#interface fastethernet 0/1s2(config-if)#switchport mode trunks2(config-if)#swit

15、chport trunk allowed vlan alls2(config-if)#exits2(config)#end%SYS-5-CONFIG_I: Configured from console by consoles1#copy run start%SYS-5-CONFIG_I: Configured from console by consoles1#copy run start交换机3配置(pizh):Switch(config-if)#int f0/2Switch(config-if)#switchport access vlan10Switch(config-if)#int

16、f0/3Switch(config-if)#switchport access vlan303. ACL访问控制列表(ACL)可以对经过路由器的数据包按照设定的规则进行过滤(gul),使数据包有选择的通过路由器,起到防火墙的作用。ACL由一系列规则组成,在规则中定义允许或拒绝通过路由器的条件。其过滤依据主要包括源地址、目的地址、上层协议等。主要用于限制访问网络的用户,保护网络的安全。在Cisco路由器中的配置过程包括两步:(1)、在网络设备上配置编号(bin ho)(或命名)的IP访问控制列表;(2)、将该编号(该名字)的IP访问控制列表应用到设备的某一接口上。根据设计中的要求:确保财务部数据

17、安全,财务部与外部公网不能互访;内部仅允许经理部访问财务部,其他部门均不能与财务部互访。其他部门(市场部、经理部、网络部)之间,可以相互访问。根据图1拓扑结构可进行如下配置:3.1为不同IP网络中的网络设备配置IP地址(网络设备包括PC机和路由器的网络接口)。R0:Fa0/0:/24;Fa1/0:/24;Se2/0:/30R1:Fa0/0:/24;Se2/0:/303.2在在路由器R0上设计标准ACL,使得财务部部网络的IP分组无法从接口Se2/0发出。配置命令参考如下:R0#conf tR0(config)#ip access-list standard LIST01R0(config-st

18、d-nacl)#permit 55R0(config-std-nacl)#deny 55R0(config-std-nacl)#exitR0(config)#int s2/0R0(config-if)#ip access-group LIST01 outR0(config-if)#exitR0(config)#3.3在路由器R0上设计(shj)扩展ACL,使得经理部的主机(zhj)可以访问财务部的Web页面(y min),但不能ping通服务器。配置命令参考如下:R0(config)#ip access-list extended LIST02R0(config-ext-nacl)#permi

19、t tcp 55 host eq 80R0(config-ext-nacl)#deny icmp 55 host R0(config-ext-nacl)#exitR0(config)#int s2/0R0(config-if)#ip access-group LIST02 outR0(config-if)#exitR0(config)#3.4 在经理部PC上的命令行里运行ftp ,从而访问服务器上的FTP服务,观察记录运行结果。接着参照下面的配置命令修改R0上的ACL列表,然后再次在命令行里运行ftp 。R0(config)#ip access-list extended LIST02R0(c

20、onfig-ext-nacl)#permit tcp 55 host eq 21R0(config-ext-nacl)#exitR0(config)#六、路由器配置R0:RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#enablepassword123Router(config)#exit%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleRouter#exitRouterenablePassword:*Router#conftR

21、outer(config)#interfa0/0.1Router_config)#encapsulationdot1q10Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#exitRouter(config)#intfa0/0.2Router_config)#encapsulationdot1q1Router(config-if)#ipaddressRouter(config-if)#clockrate100000Router(config-if)#noshutdownRouter(config-i

22、f)#exitRouter(config)#exitRouterenPassword:*Router#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#routerripRouter(config-router)#netRouter(config-router)#netRouter(config-router)#netRouter(config-router)#netRouter(config-router)#netRouter(config-router)#exitRouter(config)#exitR1:RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#enablepassword123Router(config)#exit%SYS-5-CONFIG_I:Configuredfr

人人文库> 全部分类> 教育资料 > 备课教案

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论