路由器实现vlan间通信

1、课程设计报告课程名称计算机网络课题一 局域网的访问控制之扩展访问控制列表课题二路由器实现VLAN间通信专业通信工程班级1102班学 号姓 名指导教师2014年6月29日湖南工程学院课程设计任务书课程名称计算机网络课题一 局域网的访问控制之扩展访问控制列表 课题一路由器实现VLAN间通信专业班级学生姓名学 号指导老师审 批任务书下达日期2014年6月23日任务完成日期 2014年6月29日 TOC o 1-5 h z HYPERLINK l bookmark10 o Current Document 课题一 局域网的访问控制之扩展访问控制列表 4 HYPERLINK l bookmark56 o

2、 Current Document 1.1课题概述4 HYPERLINK l bookmark14 o Current Document 1.1.1课题内容4 HYPERLINK l bookmark17 o Current Document 1.1.2课题要求和目标4 HYPERLINK l bookmark20 o Current Document 1.2理论概述5 HYPERLINK l bookmark23 o Current Document 1.2.1局域网的基本控制算法5 HYPERLINK l bookmark41 o Current Document 1.2.2扩展访问控制列

3、表7 HYPERLINK l bookmark44 o Current Document 1.3系统设计81.3.1 创建 VLAN 8 HYPERLINK l bookmark47 o Current Document 1.3.2端口配置91.3.3 配置 IP 101.3.4配置扩展IP访问控制列表 101.3.5开启路由功能 10 HYPERLINK l bookmark50 o Current Document 1.4测试结果11 HYPERLINK l bookmark53 o Current Document 课题二路由器实现VLAN间通信132.1课题概述13 HYPERLINK

4、 l bookmark59 o Current Document 2.1.1课题内容13 HYPERLINK l bookmark62 o Current Document 2.1.2课题要求、目标13 HYPERLINK l bookmark74 o Current Document 2.3系统分析、设计方案142.5测试16 HYPERLINK l bookmark96 o Current Document 3体会17 HYPERLINK l bookmark99 o Current Document 4附录184.1课题一代码18 HYPERLINK l bookmark111 o Cu

5、rrent Document 4.2课题二代码20课题一局域网的访问控制之扩展访问控制列表1.1课题概述1.1.1课题内容学校规定学生只能对服务器进行FTP访问，不能进行WWW访问，教工则没有此限制。 连接网络拓扑，在交换机上配置扩展ACL，以实现要求，最后进行检测。主要系统设备 包括三台电脑，他们的功能室能经过路由器接受和发送数据；两台路由器，他们的主要 功能是学习临近的PC机路劲并把它们保存在路由表里，路由器能根据路由表路径选择 最佳路径以及过滤掉一些不允许访问的路径。若干条交叉线和直连线接通电脑和路由器 以及路由器和路由器之间的通信线路。图1.1网络拓扑图1.1.2课题要求和目标要求：要

6、求三个VLAN之间可以相互通信，但是学生的不能对服务器进行网络访问， 而老师的可以对服务器进行网络访问。目标：掌握访问控制的基本配置，以及在交换机上命名的扩展IP访问列表规则，了 解扩展访问控制列表和软件的基本使用方法以及对网络有一定的认识，并且认识Cisco Packet Tracer软件，并学会使用此软件对本次课题进行模拟仿真。1.2理论概述1.2.1局域网的基本控制算法在计算机网络中工作站、服务器与工作站、工作站之间信息的传播，必然要产生冲 突现象，因此，要使网络达到最好的工作效率及可靠性，应该有效地减少或者避免冲突。 这就需要一个好的访问控制方式，计算机局域网常用的访问控制方式有三种。

7、1、令牌环网是IBM公司于世纪70年代开发的，现在仍然是一个主要的LAN技术，它的主要技 术指标是：拓朴结构是环形，基带网，数据传送速度是4Mbit/s，采用单个令牌或双令 牌传递方式，只有一条环路，数据单向传送。（1）令牌的概念：（token）也叫通行证，使用一种专门的数据包，在环路上持续 循环传输来确定一个节点何时可以发送包。例如：令牌可以有两种状态，忙和空，它依次向每个节点传送，当某个节点想传送 信息时，要等令牌的到来，并检测是否为空，若为空，则将令牌设为忙，并发送信息， 直至发送完，令牌才转为忙，再继续传下去。（2）令牌环网的接收过程每一站随时检测经过本站的数据包，当查到数据包与本站的

8、地址相符，则一面拷贝 全部信息，一面继续转发该信息包，信息包循环一周之回到源地址，再检测是否继续发 送，不发送才将令牌传下去。（3）特点：在工作少时，由于发送之间要等令牌，有的环路在传送无用的信息，所以效率低。在工作多时，令牌以循环的方式工作，故效率高，各站获令牌的机会均等。优点：访问方式可调整，实时性好。缺点：维护难。单向环图1.2单向环图1.2令牌环网基本过程2、令牌总线网主要用于总线和树型网络中，综合了令牌和总线的优点。是一个主流的控制方式。（1）工作原理把总路线型和树型上的各个工作站形成一个逻辑上的环，然后将各个工作站设置一 定的顺序，形成一个逻辑的环。（2）优点:a、可以避免冲突，类

9、似于令牌网，每一个站点都可以帧听其它站点所发的信息， 只有令牌的站的才可以发送信息。b、吞吐能力好。c、连网的距离较远。（3）缺点:复杂、时间开销大，工作站必须等多个无效的令牌传送才可获得令牌。D 口图1.3令牌总线工作顶3、 CSMA/CDCSMA （载波侦听）和CD （冲突检测）即带冲突检测的载波侦听多路访问控制方式。 主要用于树型和总线型。（1）侦听总线查看线路上是否有信号，有则继续侦听，或者隔一段时间再侦听，信道上无信号才 发送信息。（2）冲突检测解决信道上有冲突时候，对发生冲突的两个信号如何收发。（3）特点：各工作站处于相同的地位，可以互相争用总线，不能提供优先级，当负载较大时， 发

10、送信息等待时间较长。图1.4 CSMA/CD算法流程图应该指出，ARCnet网实际上采用称为集中器的硬件联网，物理拓扑上有星状和总线 型两种连接方式。1.2.2扩展访问控制列表访问控制列表简称为ACL，路由器为了过滤数据包，需要配置一系列的规则，以决 定什么样的数据包能够通过，这些规则通过访问控制列表ACL定义的。访问控制列表 是偶permit/deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目 的地址、端口号等来描述。访问控制是网络安全防范和保护的主要策略，它的主要任务 是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问 控制涉及的技术也比较广，包

11、括入网访问控制、网络权限控制、目录级控制以及属性控 制等多种手段。IP ACL分为两种：标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据 数据包的源IP地址定义规则，进行数据包的过滤。扩展IP访问列表可以根据数据包的 源小、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。扩展IP访问控制列表是其中重要的一种。扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、 源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100 到199的访问控制列表是扩展IP访问控制列表。1.3系统设计设备：3560-24ps型三层交换机一台，PC

12、机三台，直通线3条。图1.5网络拓扑图1.3.1 创建 VLAN3560-24(config)#vlan 103560-24(config-vlan)#name server3560-24(config-vlan)#vlan 203560-24(config-vlan)#name teachers3560-24(config-vlan)#vlan 303560-24(config-vlan)#name students此段代码是创建VLAN10，VLAN20，VLAN30，并分别命名为server，teachers，students,即为服务器，提供FTP和WWW服务。1.3.2端口配置356

13、0-24(config-vlan)#exit3560-24(config)#vlan 103560-24(config-vlan)#name server3560-24(config-vlan)#vlan 203560-24(config-vlan)#name teachers3560-24(config-vlan)#vlan 303560-24(config-vlan)#name students3560-24(config-vlan)#exit3560-24(config)#int fa 0/13560-24(config-if)#switchport mode access3560-24

14、(config-if)#switchport access vlan 103560-24(config-if)#exit3560-24(config)#int f a0/23560-24(config-if)#switchport mode access3560-24(config-if)#switchport access vlan 203560-24(config-if)#exit3560-24(config)#int f a0/33560-24(config-if)#switchport mode access3560-24(config-if)#switchport access vl

15、an 303560-24(config)#int f a0/13560-24(config-if)#switchport mode access3560-24(config-if)#switchport access vlan 103560-24(config-if)#exit3560-24(config)#int f a0/23560-24(config-if)#switchport mode access3560-24(config-if)#switchport access vlan 203560-24(config-if)#exit3560-24(config)#int f a0/33

16、560-24(config-if)#switchport mode access3560-24(config-if)#switchport access vlan 30此段代码的功能是进入端口，再设置端口为接入端口模式，把端口接到对应的 VLAN，并对端口进行配置。1.3.3 配置 IP3560-24(config-if)#int vlan 103560-24(config-if)#ip address 3560-24(config-if)#no shutdown3560-24(config-if)#int vlan 203560-24(config-if)#ip address 3560-2

17、4(config-if)#no shutdown3560-24(config-if)#int vlan 303560-24(config-if)#ip address 3560-24(config-if)#no shutdown此段代码实现了 IP配置。IP为192.168.x.1，子网掩码为。1.3.4配置扩展IP访问控制列表3560-24(config)#access-list 110 deny tcp 55 55 eq w ww3560-24(config)#access-list 110 permit ip any any3560-24(config)#int vlan 303560-

18、24(config-if)#ip access-group 110 in3560-24(config-if)#exit3560-24(config)#exit3560-24#首先定义命名扩展访问列表，然后禁止学生对对应的VLAN访问WWW，再使能 其他的服务，从而VLAN30无法访问WWW，但是可以进行FTP访问。1.3.5开启路由功能SwitchenSwitch#config tSwitch(config)#no ip domain-looSwitch(config)#ip routingSwitch(config)#int vlan真正实现路由功能开启的代码是ip routing,其余是进

19、入配置的操作。注意路由开启 必须有IP地址。如果没有IP地址，开了也没有用，因为找不到网关，整个3层交换上 也没有个ip，所以不可能会出现路由1.4测试结果学生和服务器的ping指令，看是否连接通顺图1.5.1学生和服务器的通信测试 学生和老师的ping指令，看是否连接通顺POping 1SE.16日Pinging 132_18_2Q_Z with 32 bytes of data:Replyfrom192 _ 158 _ 0 _ 2 zbytes=3Ztime=0EisTTT127ReplyEEDm192 _ 18 _ 20 _ 2 zbytes=32time=CimsT 11127Repl

20、yfrom192 _158 _ 0 _ 2:bytes=32time=0msTTI127Replyfrem192 _ 18 _ 20 _ 2 :bytea=32time=0msTH127Ping statistics for 192_1S8_ZO_Z:Packets: Sent = 4 F Retzeived = 4 r Last = 0 (0% Ids a) FApproximatE round trip times in mi11i-seconds:Minimum = Oma r MaximELm = Ozis, Aver = 0ms图.m2学生an和老师umw通信i测测试老师和服务器的p

21、ing指令，看是否连接通顺PCping 192-1SS.10.2Pinging 192-ICB_10_2 with 32 bytes of data:Reply from 192-1GS-10.2: bytes=32 time=2ms TTL=127Reply from 192-1S810-2: bytes=32 time=0ms TTL=127 Reply from 132 - IffB 10 - 2 : bytes=32 time=0ins TTIj=127Reply from. 192 -18 -10.2: bytes=32 time=0ins TTL=127Ping statistic

22、s for 192-lfi8-102:Pack&ta: S&nt = 4F Received = 4p Lost = 0 (0% lass), Approjcimate rcund trip times in milli-seacmds:Minimi. = 0ms F Majcimuin = 2m3 p Ave rage = 0ms图1.5.3老师和服务器的通信测试学生和服务器的WWW测试，看是否通顺，有测试结果可知，该功能的设置时成功的。“Request Timeout”指访问超时，后者的PC2是成功的。经过上面的各种测试可知， 设计是符合要求的。图1.5.4学生和服务器的WWW服务测试结果

23、老师和服务器的WWW测试，看是否通顺。图1.5.5老师和服务器的WWW服务测试结果 经过上面的各种测试可知，设计是符合要求的。课题二路由器实现VLAN间通信2.1课题概述2.1.1课题内容首先连接实验拓扑图，然后创建vlan10和vlan20,接着进行讲交换机端口分配给 vlan和配置交换机的trunk端口，完成上述步骤后，进行配置路由器子接口。最后配置 电脑，进行调试。图2.1.1 VLAN间通信拓扑图2.1.2课题要求、目标要求用Cisco Packet Tracer仿真软件组建跨路由器的虚拟VLAN网络。设计模拟拓扑图，分析路由器的端口设置，IP地址分配以及二层交换机、路 由器的配置命令

24、和路由表信息。对虚拟VLAN网进行仿真测试，实现跨路由器的VLAN间通信。2.2理论基础使用路由器实现VLAN间通信时，路由器与交换机的连接方式有两种。第一种通过 路由器的不同物理接口与交换机上的每个VLAN分别连接。第二种通过路由器的逻辑子 接口与交换机的各个VLAN连接。1、通过路由器的不同物理接口与交换机上的每个VLAN分别连接。这种方式的优点是管理简单，缺点是网络扩展难度大。每增加一个新的VLAN，都需 要消耗路由器的端口和交换机上的访问链接，而且还需要重新布设一条网线。而路由器， 通常不会带有太多LAN接口的。新建VLAN时，为了对应增加的VLAN所需的端口，就必 须将路由器升级成带

25、有多个LAN接口的高端产品，这部分成本、还有重新布线所带来的 开销，都使得这种接线法成为一种不受欢迎的办法。2、通过路由器的逻辑子接口与交换机的各个VLAN连接。这种连接方式要求路由器和交换机的端口都支持汇聚链接，且双方用于汇聚链路的 协议自然也必须相同。接着在路由器上定义对应各个VLAN的逻辑子接口 E1.1和E1.2。 由于这种方式是靠在一个物理端口上设置多个逻辑子接口的方式实现网络扩展，因此网 络扩展比较容易且成本较低，只是对路由器的配置要复杂一些。路由器也称为网关，即Gateway。是将局域网连接在一起组成更大的广域网络，并 在每个局域网出口对数据进行筛选和处理。局域网络的类型是多种多

26、样的，除了最常见 以太网外，还有ATM网络、FDDI网络等。异构网络由于分别采用不同的数据封装方式， 因此，它们之间是无法通信的，即使它们都采用同一种网络协议(比如TCP/IP协议)。 而路由器能够将不同类型之间的数据信息进行“翻译”，使他们能够相互“读懂”对方的数 据，因此，若要实现异构网络间的通信，路由器是必不可少的。本实验假设选取校园网的一小部分进行说明。现假使一班和二班和三班分属于不同 的网络，一班定义为VLAN 10，二班定义为VLAN 20，三班定义为VLAN 30，一班的 IP地址可为，二班的可为，三班的可为，三个班的默 认网关均为。为了简化实验，现只取每个网络中的一台计算机进行

27、配置运 算，在Packet Tracer软件上构建网络拓扑结构。专用VALN将端口分为混杂端口、隔离端口和群体端口三类，只有混杂端口能够和路 由器或三层交换机连接。对应混杂端口的VLAN称为Primary VLAN，它可以和映射到混 杂端口的所有隔离VLAN(Isolated VLAN)的端口及群体VLAN(Community VLAN)的端口通信。Community VLAN的端口除了可以和Primary VLAN通信外，内部端口间 也可以相互通信。Isolated VLAN内的端口只能和Primary VLAN的端口通信外，内部端 口间是互相隔离的。2.3系统分析、设计方案本次课设所用到的

28、是Cisco Packet Tracer模拟仿真软件，其中所用到的路由器的型号 2811，交换机型号是2950-24,用路由器的fa0/0连接交换机的fa0/1，用交换机的fa0/2、 fa0/3、fa0/4分别连着电脑的f0。首先先创建 vlan10、vlan20 和 vlan30；进入端口，将各个端口分别分配给各个vlan；进入各个vlan，并且设置各个vlan的ip地址和子网掩码；然后将交换机上连接路由器的端口设置为串口；配置路由器；将路由器连接交换机的端口分为三个逻辑接口；将第一个逻辑接口分配给vlan10，并设置ip地址和子网掩码；将第二个逻辑接口分配给vlan20，并设置ip地址和

29、子网掩码；将第三个逻辑接口分配给vlan30，并设置ip地址和子网掩码；最后配置各个电脑的ip地址，子网掩码以及它们的默认网关；2.4实现方案创建3个vlanvlan 10vlan 20vlan 30利用这几行代码来实现创建三个vlan把各个端口分配给vlanint f0/2switchport mode accessswitchport access vlan 10/多加两段端口 号改为 f0/3、f0/4，改为 vlan 20 和 vlan 30分配ip地址设置串口int vlan 10ip address no shutdown把上面四句话写三遍改掉vlan号和ip地址int f0/1s

30、witchport mode trunkexit设置串口路由器配置int f0/0no shutdownint f0/0.1/0端口分为三个逻辑端口来分别分配给vlanencapsulation dot1q 10ip address no shutdownencapsulation dotlq 20ip address no shutdownin f0/0.3encapsulation dot1q 30ip address no shutdown(5)三台电脑的ip分别设置为为, , ；子网掩码都 为 。2.5测试图2.5.1 PC0和PC1通信图图2.5.2 PC0和PC2通信图如上面的两张

31、图可知当配置好了数据以后，可以用PC0分别和PC1和PC2 ping通。3体会通过这次课程设计学到的不仅是知识，而是解决困难的能力。在这次的课程设计中， 遇到了以前实验时没有碰到过的很多困难，因为之前没有做过计算机网络课设，在刚开 始的时候，遇到了很多困难，感觉到自己根本无从下手。但通过老师的讲解以及同学的 帮助，终于完成了任务。通过这次课程设计，基本语法和常用的中断有了更加深入的了 解。总的来说，课程设计就是培养我们综合运用所学知识，发现、提出、分析和解决实 际问题，锻炼实践能力的重要环节。当今计算机应用在生活中可以说是无处不在，因此 掌握一些计算机网络对我们来说是基本的要求，也让我感觉到要

32、掌握好一门技术，必须 通过长时间的积累、运用和思考，这样才能学到真正的知识。不管怎么说，我觉得最重 要的是能有这样的一次课设经历让我在遇到困难的时候学会了怎么解决问题。4附录4.1课题一代码SwitchenSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname 35603560-24(config)#vlan 103560-24(config-vlan)#name servers3560-24(config-vlan)#vlan 203560-24(con

33、fig-vlan)#name teachers3560-24(config-vlan)#vlan 303560-24(config-vlan)#name students3560-24(config-vlan)#exit3560-24(config)#vlan 103560-24(config-vlan)#name servers3560-24(config-vlan)#vlan 203560-24(config-vlan)#name teachers3560-24(config-vlan)#vlan 303560-24(config-vlan)#name students3560-24(co

34、nfig-vlan)#exit3560-24(config)#int f a0/13560-24(config-if)#switchport mode access3560-24(config-if)#switchport access vlan 103560-24(config-if)#exit3560-24(config)#int fa 0/23560-24(config-if)#switchport mode access3560-24(config-if)#switchport access vlan 203560-24(config-if)#exit3560-24(config)#i

35、nt f a0/33560-24(config-if)#switchport mode access3560-24(config-if)#switchport access vlan 303560-24(config)#int f a0/13560-24(config-if)#switchport mode access3560-24(config-if)#switchport access vlan 103560-24(config-if)#exit3560-24(config)#int fa 0/23560-24(config-if)#switchport mode access3560-

36、24(config-if)#switchport access vlan 203560-24(config-if)#exit3560-24(config)#int f a0/33560-24(config-if)#switchport mode access3560-24(config-if)#switchport access vlan 303560-24(config-if)#int vlan 103560-24(config-if)#ip address 3560-24(config-if)#no shutdown3560-24(config-if)#int vlan 203560-24(config-if)#ip