毕业论文-课程设计-防火墙的设计与实现

1、课 程 设 计 报 告课程名称 计算机网络 课题名称 1、防火墙技术与实现 2、无线WLAN的设计与实现 专 业 计算机科学与技术 课 程 设 计 任 务 书一设计内容：建立为了便于集中认证和管理接入用户，采用AAAAuthentication、Authorization 和Accounting平安体系。通过某种一致的方法来配置网络效劳，控制用户通过网络接入效劳器的访问园区网络，设计内容如下：1掌握IEEE820.1X和RADIUS等协议的工作原理，了解EAP协议 2掌握HP5308/HP2626交换机的配置、调试方法3掌握WindowsIAS的配置方法和PAP，CHAP等用户验证方法4建立一

2、个基于三层交换机的模拟园区网络，用户通过AAA方式接入园区网络问题2：动态路由协议的研究与实现建立基于RIP和OSPF协议的局域网，对RIP和OSPF协议的工作原理进行研究，设计内容如下：1掌握RIP和OSPF路由协议的工作原理 2掌握HP5308三层交换机和HP7000路由器的配置、调试方法3掌握RIP和OSPF协议的报文格式，路由更新的过程4建立基于RIP和OSPF协议的模拟园区网络5设计实施与测试方案问题3：防火墙技术与实现建立一个园区网络应用防火墙的需求，对具体实施尽心设计并实施，设计内容如下：1掌握防火墙使用的主要技术：数据包过滤，应用网关和代理效劳 2掌握HP7000路由器的配置、

3、调试方法3掌握访问控制列表ACL，网络地址转换NAT和端口映射等技术4建立一个基于HP7000路由器的模拟园区网络出口5设计实施与测试方案问题4：生成树协议的研究与实现建立基于STP协议的局域网，对STP协议的工作原理进行研究，设计内容如下：1掌握生成树协议的工作原理 2掌握HP5308三层交换机和HP2626交换机的配置、调试方法3掌握STP/RSTP/MSTP协议的的工作过程4建立基于STP协议的模拟园区网络5设计实施与测试方案问题5：无线WLAN的设计与实现建立一个小型的无线局域网，设计内容如下：1掌握与无线网络有关的IEEE802标准与标准 2掌握无线通信采用的WEP和WPA加密算法3

4、掌握HP420无线AP的配置方法4建立基于Windows server和XP的无线局域网络5设计测试与维护方案二设计要求：1在规定时间内完成以上设计内容。2画出拓扑图和工作原理图用计算机绘图3编写设计说明书 4. 见附带说明。5.成绩评定：指导老师负责验收结果，结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评，并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。具体考核标准包含以下几个局部： 平时出勤 占20% 系统分析、功能设计、结构设计合理与否占10%个人能否独立、熟练地完成课题，是否到达目标占40% 设计报告占30%不得抄袭他人的报告或给他人抄袭，一旦

5、发现，成绩为零分。三进度安排注意：17周必须提交课设报告，迟交或未交只能计零分。下面是三个班总的时间安排，课设报告中，每班只需填写其实际设计时间因是3个班滚动执行，没有过多衔接时间，各位同学必须严格按时执行。第 1周时间8：00-12：0012：0015：0015：00-17：00星期一080108020803星期二080208030801星期三080308010802星期四080108020803第 2周时间8：00-12：0012：0015：0015：00-17：00星期二080208030801星期四080308010802附：课程设计报告装订顺序：封面、任务书、目录、正文、评分、附件A

6、4大小的图纸及程序清单。 正文的格式:一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。正文的内容:一、课题的主要功能；二、课题的功能模块的划分要求画出模块图；三、主要功能的实现至少要有一个主要模块的流程图；四、程序调试；五、总结；六、附件所有程序的原代码，要求对程序写出必要的注释。正文总字数要求在5000字以上不含程序原代码。 目 录 实验报告一 、 防火墙技术与实现必做一、防火墙的简介和使用技术.1 1、防火墙的简介 2、防火墙的使用技术 3、网络地址转换NAT技术二、网络拓扑图.3三、调试过程.4 1、建立内部网络 2、建立模拟internet网络 3、建立内外网

7、络的连接 4、配置NAT与ACI及其转换四、实验结果.五、实验总结.六、附件. 实验报告二、无线WLAN的设计与实现选做工作原理. 网络拓扑图.调试过程.实验结果.总结.附件. 实验报告一、防火墙技术与实现必做一、 防火墙的根本概念和使用技术 1、防火墙简介 防火墙是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个或两个以上的网络间，实施网络之间访问控制的一组组件集合。对于普通用户来说，所谓“防火墙，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，它对从网络发往计算机的所有数据都进行判断处理，并决定能否把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现对计算

8、机的保护功能。 设置防火墙的目的是防火墙是在网络之间执行控制策略的系统，它包括硬件和软件，目的是保护内部网络资源不被外部非授权用户使用、防止内部网络受到外部非法用户的攻击。 防火墙的主要功能检查所有从外部网络进入内部网络的数据包；检查所有从内部网络流出到外部网络的数据包；执行平安策略，限值所有不符合平安策略要求的数据包通过；具有防攻击能力，以保证自身的平安性;防火墙实现的主要技术：数据包过滤、应用网关和代理效劳。2 、防火墙使用的技术： 数据包过滤：包过滤路由器可以决定对它所收到的每个数据包的取舍。是基于路由器技术的，建立在网络层、传输层上。路由器对每发送或接收来的数据包审查是否与某个包过滤规

9、那么相匹配。包过滤规那么即访问控制表，通过检查每个分组的源IP地址、目的地址来决定该分组是否应该转发。如果找到一个匹配，且规那么允许该数据包通过，那么该数据包根据路由表中的信息向前转发。如果找到一个与规那么不相匹配的，且规那么拒绝此数据包，那么该数据包将被舍弃。包过滤路方法具有以下优点：1执行包过滤所用的时间很少或几乎不需要什么时间。2对路由器的负载较小3由于包过滤路由器对端用户和应用程序是透明的，因此不需要在每台主机上安装特别的软件。包过滤路方法的缺点：1在路由器中设置包过滤规那么比拟困难2由于包过滤只能工作在“假定内部主机是可靠地，外部诸暨市不可靠的这种简单的判断上，它只是控制在主机一级，

10、不涉及包内容的内容与用户一级，因此它有很大的局限性。 应用级网关：多归属主机具有多个网络接口卡，因为它具有在不同网络之间进行数据交换的能力，因此人们又称它为“网关。多归属主机用在应用层的用户身份认证与效劳请求合法性检查，可以起到防火墙的作用，称为应用级网关。应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的平安性。然而，应用网关防火墙是通过打破客户机效劳器模式实现的。每个客户机效劳器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到效劳器。另外，每个代理需要一个不同的应用进程，或一个后台运行的效劳程序，对每个新的应用必须添加针对此应用的效劳程序，否那

11、么不能使用该效劳。所以，应用网关防火墙具有可伸缩性差的缺点。 应用代理：应用代理是应用级网关的另一种形式，是以存储转发方式，检查和确定网络效劳的用户身份是否合法，检查和确定网络效劳请求的身份时候合法，决定是转发还是丢弃该效劳请求。3 、网络地址转换NAT技术： NAT的工作原理如下列图所示： 图1 NAT的根本工作原理如下图，如果内部网络地址为.1的主机希望访问Internet上地址为202.0.1.1的Web效劳器，那么它就会产生一个源地址S=10.0.1.1，目的地址为202.0.1.1的分组为1。NAT常与代理、防火墙技术一起使用。在防火墙中起到了重要的作用。二、网络拓扑图 防火墙的实现

12、与技术的实验拓扑图如下所示： 本实验采用2台HP2626交换机、一台HP7102路由器、HP5308三层交换机来实现防火墙的设计与实现其功能。三、调试过程这次实验的重点在于防火墙的配置，在配置防火墙的过程中，重点在于设置NAT和ACL，NAT用来配置内网计算机访问外网时的地址转换，保证内网与外网的计算机相互之间能够成功地访问对方。ACL是访问控制，主要用来设置内网计算机的访问权限，通过配置ACL，可以禁止或允许内网中的计算机之间的相互访问以及内网计算机访问外网，实验过程中，ACL访问控制配置在HP5308交换机。防火墙是在内网和外网中设置的气到网络平安的。实现防火墙技术的实验就需要建立内部网络

13、、外部网络，内部网络和外部网络中的局域网都是通过交换机来设计的。因此分以下4步。 1、建立内部网络：内部网络是将PC2、Edge和Core连接起来，然后利用超级终端软件对各个设备进行 配置， 配置如下： 首先在PC2计算机中对网络地址进行配置，IP地址设置为.15，子网掩码为255.255.255.0；其次对交换机2626B进行配置，将其分为多个局域网，此次实验只分配Vlan 1，其IP地址的范围是.3/24，在超级终端上的命令是2626B(config)#Vlan 1 2626B(Vlan-1)#ip address .3/242626B(Vlan-1)#Vlan 110 tagged 25

14、调试图如下： HP ProCurve 5308xl三层交换机，其背板交换引擎速度为76.8G bps，吞吐量高达48mpps，并配置双冗余电影，保证核心层高速、可靠的三层交换；给它配置两个Vlan，Vlan 1的地址为.1/24，Vlan 10的地址为10.，并在vlan 10上配置中继端口B1，在vlan 1上配置中继端口在vlan 10上配置中继端口B2，启用三层转发协议。设置局域网Vlan 1：Core (config)#Vlan 1 CoreVlan-1# ip address .1/24CoreVlan-1#tagged B2设置局域网Vlan 10：Core (config)#Vl

15、an 10 ip address 10.Core (config)#Vlan 110 tagged B1调试图如下：C. 给7102的两个以太网口配置地址，并激活。ETH0/1的地址为.2/24，ETH0/2的地址为202.100.1.2/24，指令如下：NAT (config)#interface Ethernet 0/1NAT (config-eth 0/1)#ip address .2NAT (config-eth 0/1)#no shutdownNAT (config)#interface Ethernet 0/2NAT (config-eth 0/2)#ip address NAT

16、(config-eth 0/2)#no shutdown运行图如下：在内部网络的各个设备设置完后，尝试使用PC2 ping 7102A的出口地址，但是因为缺少路由，所以ping不通。所以我们还需要在5308上写上内网默认路由，在7102A上添加10.10.110.0网络的出口路由，指令如下：Core(config)#Ip route .0NAT (config)#Ip route 添加上默认路由后，内部网络即构建完毕。如果从PC2 ping 7102A的出口地址.2，不通的话，还需要认真的检查确保各vlan或端口之间的tagged和untagged配置是否正确。2 、构建模拟internet网

17、络给2626A创立两个vlan，Vlan 1的地址为202.100.1.1/24，Vlan2的地址为202.100.2.1/24。给vlan2上分配1号端口，并配置中继端口26，启用三层转发。2626A(config)Vlan 1 ip address2626A(config)Vlan 2 ip address2626A(config)Vlan 2 tagged 12626A(config)Vlan 2 tagged 26用PC1 ping 2626A的vlan1 和 vlan2的地址，ping通检验配置正确。3 、建立内外网络的连接给7102A写指向2626A的静态路由，给2626A写指回7

18、102A的静态路由。2626A(config) Ip route .0NAT(config) Ip route .0这时，整个内外网络构建完毕，PC2能直接ping 通PC1，通过查看流量检测软件。4 、配置NAT转换NAT：1、设置外部接口IP Router(config)#interface serial 0/0 Router(config-if)#ip address 255.255.255.0 2、设置内部接口IP Router(config)#interface fa0/0 Router(config-if)#ip address 10.1.1.2 3、建立映射 Router(con

19、fig)#ip nat inside source static 10.1.1.2 202.100.1.2 4、在接口上启用NAT Router(config)#interface serial 0/0 Router(config-if)#ip nat outside Router(config)#interfacefa 0/0 Router(config-if)#ip nat insideACL：hostnamecore_5308max-vlans256connection-rate-filtersensitivityhighipaccess-listextended101rule perm

20、it source 10.10.110.10 rule deny source anyNAT与ACL的转换：ip firewallip access-list standard insidepermit anyip policy-class NATinsidenat source list MatchAll address overloadinterface eth 0/1 access-policy NATinside四、实验结果 在完成刚刚的配置后，还需对三层交换机5308增加一些配置，即配置ACI。再次过程中，我们在添加很多PC主机。给5308添加vlan10 .1/24、vlan11

21、10.1.20.1/24、vlan12 10.1.30.1/24，把D1-D4分配给vlan10，E1-E4分配给vlan11，E5-E8分配给vlan12.并再此根底上配置ACl命令，实现只允许节点地址10.1.10.10和网络地址10.1.30.1/24网段的地址对vlan1110.1.20.1/24网段进行访问。其中，D1-D4，E1-E4，E5-E8都是用来接主机的接口。Core (config)#Vlan 10 ip address 0.1/24Coreconfig)#Vlan 10 untagged D1-D4Core (config)#Vlan 11 ip address 10.

22、1.20.1/24Core (config)#Vlan 11 untagged E1-E4Core (config)#Vlan 12 ip address 10.1.30.1/24Core (config)#Vlan 12 untagged E5-E8Core (config)#Access-list 10 permit host .10Core (config)#Access-list 10 permit .1/24Core (config)#vlan 11 ip access-group 10 out在Ip地址为202.100.1.11 pingpc2，不通，ping 10.10.110.

23、15那么能通。结果如： PC1为外网的主机，IP地址为202.100.1.11；PC2为内网的主机，IP地址为10.10.110.15。 1、PC1的网络连通测试PC1的地址为202.100.1.1，测试它与交换机出口的连接。测试结果如图1.2所示。图1.2 PC2与交换机出口的连通测试 2 、PC2的连通测试1PC2与内网接入层交换机的连通测试，测试结果如图1.3和图1.4所示。图1.3 PC2与内网接入层交换机的连通测试图1.4 PC2与内网接入层交换机的连通测试2PC2与核心层交换机的连通测试，测试结果如图1.5所示。图1.5 PC2与核心层交换机的连通测试3PC2与防火墙的连通测试。测

24、试结果与图1.6所示。图1.6 PC2与防火墙的连通测试4PC2与PC1的连通测试，测试结果如图1.7所示。图1.7 PC2与PC1的连通测试五、实验小结 通过这次课设我从中学习到了很多的东西,熟悉了网络的根本知识的运用。但是在课设期间我遇到了很多的问题，为此我发现了我对网络的了解不是很透彻。我对防火墙的实现起到重要作用的ACI控制表和网络地址转换NAT技术了解的很少，无疑给我的课题增加了一定的难度。在实验的全过程，我一边认真做实验，一边查漏补缺，解决了我许多在ACl控制列表方面的知识漏洞与缺乏，增强了网络知识掌握广度与深度。对网络的中所用的交换机、路由器、三层交换机的原理不是很清楚。但是通过

25、网上的查询与跟老师和同学的交流对这些东西有了很深的了解。从而在做实验时能够根本的做出来。 三、其实这次设计不算顺利，虽然我和同学最后顺利完成了设计任务，但是我觉得从团队的角度来说是一种顺利的合作。但是我还发现了一下问题。 1首先，作为团队，我们没有把各自的任务分配清楚，而是一起走步，我觉得这样遇到问题的时候容易产生依赖心理，也不容易调动每个人的积极性。明确的分工是合作的必要因素，而遇到问题集体讨论才是发挥集体力量的时候。 2其次，我觉得我们没有在设计初期对问题的分析还不够深入，而在后期在遇到问题的时候有点对自己的东西掌控不住的感觉。我们根本上是走一步看一步，打个比方，把整个问题比作一棵树，我们

26、在初期没有把整棵树进行遍历，以做到大致心中有数，而我们走的只是其中一枝，在遇到问题的时候在回过头找其他的树杈，却在岔路口徘徊。 3总体上看来，我觉得我们比拟乱，缺少条理性或者是规划。我个人以前单独做课程设计的时候，都习惯先分析，再动手，而这次总体上不是这种风格。也许这里面涉及到一个集体合作的融洽性问题，但是我倒觉得有个进行总体部署的“牵头人比拟好。 总而言之这次课设给我的不仅仅是知识，更重要的是学习的积极性跟与同学何老师的交流。让我在这次课设受益匪浅。让我对网络的学习有了进一步的了解。让我多网络的学习有更深一步的了解，让我体会到了网络的魅力。 六、附件 7102A(config)#interf

27、ace Ethernet 0/17102A(config-eth 0/1)#ip address .27102A(config-eth 0/1)#no shutdown7102A(config)#interface Ethernet 0/27102A(config-eth 0/2)#ip address 7102A(config-eth 0/2)#no shutdown 给5308创立两个vlan，Vlan 1的地址为.1/24，Vlan 2的地址为10.，并启用三层转发协议。5308(config)#Vlan 1:.1/245308(config)#5308(config)#Ip routi

28、ng 给2626B创立两个vlan，Vlan 1的地址为.3/24，Vlan 2可以不必配置地址，并写上默认网关。2626B(config)Vlan 1:.3/242626B(config)Vlan 2 2626B(config)Ip default-gateway .1 此时使用PC2 ping不通7102A的出口地址.2，在5308上写上内网默认路由。在7102A上添加10.10.110.0网络的出口路由。5308(config)#Ip route 7102A(config)#Ip route 10.10.110.0 .1添加上默认路由后，内部网络即构建完毕。如果ping不通，请注意各vl

29、an或端口之间的tag和untag有没有写正确。 给2626A创立两个vlan，Vlan 1的地址为，Vlan2的地址为20。2626A(config)2626A(config) 给7102A写指向2626A的静态路由，给2626A写指向7102A的静态路由。2626A(config) Ip route .0/0 7102A(config) Ip route .0/0 7102A(config) Ip route 做net转换ip firewallip access-list standard insidepermit any ip policy-class NATinsidenat sour

30、ce list MatchAll address overloadinterface eth 0/1access-policy NATinside 实验报告二、无线WLAN的设计与实现选做一、工作原理 本次实验时我使用了WLAN的IEEE802.11b/g标准，使用5308交换机和ap420及效劳器相连组成一个小型的无线局域网，并通过802.11i相关平安机制为该无线局域网部入平安机制与加密法，同时为无线局域网设置了集中的DHCP效劳器与RADIUS效劳器，来为无线客户端动态分配IP与进行网络平安的身份认证。 1、DHCP效劳工作过程：当DHCP客户机首次启动时，客户机向DHCP效劳器发送一个

31、Dhcpdiscover数据包，该数据包表达了客户机的IP租用请示。当DHCP效劳器接收到Dhcpdiscover数据包后，该效劳器从地址范围中向那台主机提供一个还没有被分配的有效的IP地址。当你的网络中包含不止一个DHCP效劳器时，主机可能收到好几个dhcpoffer，在大多数情况下，主机或客户机接收到第一个dhcpoffer。接着，该DHCP效劳器向客户机发送一个确认，该确认里面已经包括了最初发送的IP地址和该地址的一个稳定期间的租约默认情况是8天。当租约期过了一半时，客户机将和设置它的TCP/IP配置的DHCP效劳器更新租约。但租期过了87.5%时，如果客户机仍然无法与当初的DHCP效劳

32、器联系上，他将与其他DHCP效劳器通信，如果网络上再没有任何DHCP效劳器在进行时，该客户机必须停止使用该IP地址，并从发送一个dhcpdiscover数据包开始，再一次重复整个过程。2、RADIUS效劳器的功能是为无线客户端进入进行网络平安的接入身份认证。二、网络拓扑图本实验采用采用了一台HP5308交换机，一台HP2626交换机，一台HP402AP和一台Windows Server 2003效劳器以及假设干连接线来完成有线无线接入配置以及自动获取IP地址的配置。由图2-1可知，交换机Core划分出4个vlan,vlan 1是默认的，vlan 10 用于有线接入，并通过vlan 100 与D

33、HCP效劳器取得联系，获取地址。Vlan 20 用于无线接入，也通过vlan 100 获取DHCP分配的IP地址。且无限接入的PC1能与有线接入的PC2相互通信。三、调试过程1、CHCP配置具体操作1单击“开始“管理工具“DHCP，翻开“DHCP控制台窗口，在左窗格中右击DHCP效劳器名称，执行“新建作用域命令。如图2-2所示。图2-22翻开“新建作用域向导对话框，单击“下一步按钮翻开“作用域名向导页。在“名称编辑框中为该作用域输入一个名称和一段描述信息，单击下一步“按钮，如图2-3所示。图2-33在翻开的“IP地址范围向导页中，分别在“起始IP地址和“结束IP地址编辑框中输入已经确定好的IP

34、地址范围，单击“下一步按钮，如图2-4所示。图2-44在翻开的“租约期限向导页，默认将客户端获取的IP地址使用期限限制为8天。如果没有特殊要求保持默认值不变，单击“下一步按钮，如图2-5所示。图2-55翻开“配置DHCP选项向导页，保持选“是，我想现在配置这些项单项选择框，单击“下一步按钮。6在翻开的“路由器默认网关向导页中根据实际情况输入网关地址，并单击“添加按钮。如果没有可以不填，直接单击“下一步按钮，如图2-6所示。图2-67在翻开的“域名称和DNS效劳器向导页中根据实际情况输入效劳器的名称和IP地址，并单击“添加按钮，如没有可以不填，直接单击“下一步按钮，如图2-7所示。图2-78在翻

35、开的“激活作用域向导页中选中“是，我想现在激活此作用域单项选择框，并单击“下一步“完成按钮完成配置。2、AP的调试接入点AP通过配置命令自动获取IP地址，如图2-8所示：图2-8通过页面设置AP，设置SSID号，如图2-9所示：图2-9AP激活前后的比照，如下列图：图2-10 AP激活前图2-11 AP激活后四、实验结果1、有线接入的PC2地址获取信息：与PC1的连通：2、无线接入的PC2地址获取信息：五、总结 这是我做的第二个课设，相比第一个这个实验对我来说有点难度。第一、我对无限的了解甚少。第二、不明白其中的原理。但是通过与同学的交流让我从中了解很多，在与同学的合作下完成了这个实验。 在这

36、个实验当中，我从中发现了我与其他同学的差距。从而表达了我对知识的掌握的不好，许多的知识都是同学说给我听的，有些问题说了半天还是不明白。因此通过这次实验，我不仅要从中找到差距而且要扩大知己的知识面。 总之课设是对我们知识掌握的总体考查，更能表达出我们对知识的运用能力。所以通过课设能够很大的改善自己。让自己对自己学习有了更深的了解。 六、附件Core上的配置命令如下：ProCurve Swtich 5380enProCurve Swtich 5380#conProCurve Swtich 5380(config)#CoreCore(config)#vlan 1Core(vlan-1)# ip address .1 255.255.255.0