《网络工程规划与集成》课程设计方案

PAGE武汉长江工商学院工学院·计算机技术系项目名称：中学校园计算机网络系统的设计学生姓名：冯春玲学号：20082533班级:08801指导教师:陈涛、柯赟2011

目录_Toc310626973"2.1需求描述 12。3服务器的配置 2HYPERLINK\l”_Toc310626976”2.4无线路由器的设置 3_Toc310626978"3.1VLAN 43。2访问控制列表 4HYPERLINK\l”_Toc310626980"3。3NAT 43.4PPP协议 5HYPERLINK\l”_Toc310626982"3.5DHCP服务 64实验内容和步骤 7HYPERLINK\l”_Toc310626984"4.1实验拓扑设计 7HYPERLINK\l”_Toc310626985"4。2实验拓扑规划说明 75.2内网与外网的连通 96附录代码 126。1访问控制列表 126。2配置静态NAT 126。3配置动态NAT 12HYPERLINK\l”_Toc310626994"7课程设计小结 13虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。通过将校园网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能.在同一个VLAN中的工作站,不论它们实际与哪个交换机连接，它们之间的通讯就好像在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去,这样可以很好的控制不必要的广播风暴的产生.同时，若没有路由的话,不同VLAN之间不能相互通讯，这样增加了校园网网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯.3.2访问控制列表访问控制列表（AccessControlList,ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用.作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段.ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。ACL功能：1可以限制网络流量、提高网络性能;2提供对通信流量的控制手段;3是提供网络安全访问的基本手段；4可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。3。3NAT网络地址转换（NAT，NetworkAddressTranslation）属接入广域网(WAN）技术，是一种将私有(保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机.网络地址转换NAT（静态NAT配置、动态NAT配置及端口多路复用PAT)；=1\*GB3①NAT简介借助于NAT，私有(保留）地址的”内部”网络通过路由器发送数据包时,私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求.NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。否则，在报文数据都分别嵌入IP地址的应用程序就不能正常工作。=2\＊GB3②NAT实现方式NAT的实现方式有三种,即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址.借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式.=3\*GB3③网络地址转换（NAT）的实现在配置网络地址转换的过程之前，首先必须搞清楚内部接口和外部接口，以及在哪个外部接口上启用NAT.通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。3.4PPP协议点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法.PPP最初设计是为两个对等节点之间的IP流量传输提供一种封装协议。在TCP-IP协议集中它是一种用来同步调制连接的数据链路层协议（OSI模式中的第二层），替代了原来非标准的第二层协议，即SLIP。PPP工作流程当用户拨号接入ISP时，路由器的调制解调器对拨号做出确认，并建立一条物理连接.PC机向路由器发送一系列的LCP分组（封装成多个PPP帧）.这些分组及其响应选择一些PPP参数，和进行网络层配置，NCP给新接入的PC机分配一个临时的IP地址,使PC机成为因特网上的一个主机。通信完毕时，NCP释放网络层连接,收回原来分配出去的IP地址.接着，LCP释放数据链路层连接。最后释放的是物理层的连接.PAP：是PPP协议集中的一种链路控制协议，主要是通过使用2次握手提供一种对等结点的建立认证的简单方法，这是建立在初始链路确定的基础上的。完成链路建立阶段之后，对等结点持续重复发送ID/密码给验证者，直至认证得到响应或连接终止。3。5DHCP服务随着网络规模的不断扩大和网络复杂度的提高，计算机的数量经常超过可供分配的IP地址数量.同时随着便携机及无线网络的广泛使用，计算机的位置也经常变化,相应的IP地址也必须经常更新,从而导致网络配置越来越复杂。动态主机配置协议DHCP（DynamicHostConfigurationProtocol）就是为解决这些问题而发展起来的。DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请，服务器返回为客户端分配的IP地址等相应的配置信息，以实现IP地址等信息的动态配置.4实验内容和步骤4。1实验拓扑设计该拓扑主要采用了星型结构，用一台核心三层交换机实现校园内数据的快速转发。图4—1网络拓扑规划图4.2实验拓扑规划说明核心交换机上通过ACL（访问控制列表）功能，来控制和实现内网对于FTP服务器的访问权限问题。在接入路由器上,通过NAT转换技术，来实现内网主机的上网问题.使用静态NAT来实现外网对Web服务器的访问.使用动态NAT来实现内网主机对Internet的访问。在多媒体机房，使用无线AP提供无线设备的接入。星型结构是用集线器或交换机作为网络的中央节点，网络中的每一台计算机都通过网卡连接到中央节点，计算机之间通过中央节点进行信息交换，各节点呈星状分布而得名。5网络测试5。1内网间的连通内网中各主机之间的测试（多媒体和教学办公、行政办公)PC2与PC3、PC4的测试如下图所示：图5-1多媒体和教学办公、行政办公的测试图内网中各主机之间的测试（教学办公和行政办公)PC3与PC4的测试如下图所示：图5—1教学办公与行政办公的测试图内网中多媒体与笔记本的测试笔记本与PC1、PC2的测试如下图所示：图5-3多媒体与笔记本的测试图5。2内网与外网的连通内网与外网的测试，内网可以ping同外网，外网ping不通内网PC3与Internet的测试如下图所示：图5—4内网与外网的测试图Internet与PC3的测试如下图所示：图5—5外网与内网的测试图5.3内网与服务器的连通内网除多媒体可以ping通FTP服务器和Web服务器PC3分别和FTP、Web服务器的测试如下图所示：图5—6内网与服务器的测试图多媒体不能ping同FTP服务器,如下图所示：图5-7多媒体与FTP服务器的测试图外网主机到内网web服务器的连通性:图5—8外网主机到内网web服务器的测试6附录代码6。1访问控制列表内网中除多媒体机房外可以访问FTP服务器的代码如下：switch>ebableswitch＃configtswitch(config)#access—list1deny0。0.0。255switch（config)#access—list1permitanyswitch（config)#interfacevlan50switch（config—if）#ipaccess—group1out6.2配置静态NAT静态NAT将web的地址映射为公网地址202.69.10。3，使外网可以访问web服务器.主要代码如下:首先声明三层交换机上的所有网段：switch>ebableswitch#configtswitch(config)#routerripswitch（config—router)#network192。168。0.0switch(config-router）#network192.168.3。0switch(config—router)#network192。168.4.0switch(config-router）＃network192。168。1。0switch（config-router)＃network192。168。5.0switch（config-router）#network192。168。6。0switch（config—router）＃network192。168.8.0switch（config)＃end在路由器router1上配置静态NATRouter1（config)#ipnatinsidesourcestatic202.69.10。3Router1(config）＃interfacef0/0Router1(config）＃ipnatinsideRouter1（config）＃interfaces2/0Router1(config）＃ipnatoutsideRouter1(config）#end6。3配置动态NAT配置动态NAT使内网可以访问外网.主要代码如下：Router1(config）#access-list10permit0。0.255。255Router1（config)＃ipnatpoolab202。69.10.5natmask255。255.255。0Router1(config）＃ipnatinsidesourcelist10poolaboverload7课程设计小结在这两周的计算机网络课程设计实验中,我收获颇多.计算机网络是一门很有探究性的学科,在课程设计下达后,我们都饶有兴趣的开始了探究。现在想想看来，从一开始的无知，到今天的对网络搭建成熟的想法和看法,我确实从中学到很多，每天的不断尝试，不断创新,不断学习，让我们的这美好的两周过的充实而又充满挑战。课程设计是培养我们综合运用所学知识，发现、提出、分析、解决问题的一个过程，是对我们所学知识及综合能力的一次考察.通过这次课程设计，很深刻的了解到了工程实践的重要性。书本上的知识学的再多，实践中碰到的问题，有些还是难以轻松解决,这就需要经验的积累.这些只能通过实践才能有如此