计算机网络课程设计

沈阳农业大学（计算机网络课程设计）PAGEPAGE2课程设计（2012-2013学年第1学期）课程名称：计算机网络课程设计学生姓名：专业班级：学院：学号：学生成绩：目录一、具体设计任务……………………3二、涉及的相关理论…………………42.1TCP/IP协议……………………42.2虚拟VLAN………………………52.3综合布线方案…………………7三、设计方案（设备、拓扑结构图）…………‥…93.1设备………………………‥…93.2拓扑结构图……………………9四、具体配置步骤………………‥…104.1Switch-A三层交换机上VLAN的划分………104.2配置Router-A路由器上两个接口的IP地址………………124.3配置Router-B路由器上两个接口的IP地址……………124.4Router-A路由器动态NAT配置……………124.5Router-B路由器动态NAT配置……………124.6Router-A路由器静态NAT配置……………134.7Router-A路由器回址路由和默认路由的配置……………134.8Router-B路由器默认路由的配置…………14五、结果验证…………155.1普通入网信息点上PC和应用服务器上IP地址和网关的设置……………155.2详细结果验证Ping测试……………………15六、调试过程中出现的问题及解决方法…………226.1“主机掩码”问题……………226.2路由器接入时出现的问题……………………236.3不同VLAN要进行通信………23七、个人体会及建议………………237.1方案分析………………………237.2个人体会………………………24八、参考资料………………………26第一部分具体设计任务（1）题目：校园网网络构建方案设计与实现（2）任务：某高校现有两个地理位置分离的分校区，每个校区入网信息点有2000多个，现准备通过科教网接入因特网，但从科教网只申请到4个C类网络（——），为了安全，要求每个分校区的学生公寓子网和教师子网不在同一广播域。同时，学校有若干台应用服务器，同时对内和对外提供Web等网络服务。（3）课程设计目的和意义：通过对生产实习的学习，我们已经对网络配置和路由交换有一定程度的掌握，经过这一周的课程设计，让我们进一步地掌握网络配置方面的知识，正所谓学海无涯，同时温故而知新；课程设计就是学习过后的一个实践，光说不练也白搭，只有真正做出东西来了才算得上真正学到了东西，总之，课程设计就是为了温故知识，加以实践，更好地掌握网络配置相关的知识。（4）设计原则：1.拓扑设计局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。2.设计原则根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。我们遵循以下的原则进行网络设计：⑴实用性和经济性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。⑵先进性和成熟性网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。⑶可靠性和稳定性为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。⑷安全性和保密性在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，锐捷网络充分考虑安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。⑸可扩展性和可管理性为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。第二部分涉及的相关理论2.1TCP/IP协议TCP/IP（TransmissionControlProtocol/InternetProtocol)的简写，中文译名为传输控制协议/因特网互联协议，又叫网络通讯协议，这个协议是Internet最基本的协议、Internet国际互联网络的基础，简单地说，就是由网络层的IP协议和传输层的TCP协议组成的。=1\*GB3①定义TCP/IP是供已连接因特网的计算机进行通信的通信协议。TCP/IP指传输控制协议/网际协议(TransmissionControlProtocol/InternetProtocol)。TCP/IP定义了电子设备（比如计算机）如何连入因特网，以及数据如何在它们之间传输的标准。TCP/IP（传输控制协议/网际协议）是互联网中的基本通信语言或协议。在私网中，它也被用作通信协议。当你直接网络连接时，你的计算机应提供一个TCP/IP程序的副本，此时接收你所发送的信息的计算机也应有一个TCP/IP程序的副本。②基本原理TCP/IP协议并不完全符合OSI的七层参考模型。传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为：应用层：应用程序间沟通的层，如简单电子邮件传输（SMTP）、文件传输协议（FTP）、网络远程访问协议（Telnet）等。传输层：在此层中，它提供了节点间的数据传送，应用程序之间的通信服务，主要功能是数据格式化、数据确认和丢失重传等。如传输控制协议（TCP）、用户数据报协议（UDP）等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。互连网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如网际协议（IP）。网络接口层（主机-网络层）：接收IP数据报并进行传输，从网络上接收物理帧，抽取IP数据报转交给下一层，对实际的网络媒体的管理，定义如何使用实际网络（如Ethernet、SerialLine等）来传送数据。2.2虚拟局域网VLAN=1\*GB3①什么是VLANIEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。=2\*GB3②VLAN的目的VLAN（VirtualLocalAreaNetwork，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。=3\*GB3③VLAN的优点1.广播风暴防范：限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。2.安全：增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。3.成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。4.性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。5.提高IT员工效率：VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。6.简化项目管理或应用管理：VLAN将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此外，也很容易确定升级网络服务的影响范围。[1]7.增加了网络连接的灵活性。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。=4\*GB3④组建VLAN的条件VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。同时还严格限制了用户数量。=5\*GB3⑤VLAN的划分1.根据端口来划分VLAN许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。2.根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。3.根据网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。4.根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。5.基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自己地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。6.按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。2.3综合布线方案该设计的校园网是一典型的LAN，它覆盖了学校的教学、管理、信息共享、远程访问等多功能。我们在设计时要考虑到校园网的需求，成本因素及网络技术的发展，采用结构化布线系统设计，规划完善的计算机网络，同时预留通信系统模块，以便将业网络扩展。1.进行结构化布线系统设计方案一般采取以计算机网络系统布线为主，预留语音、视频系统接口，但又要考虑系统高度可靠性、高速率传输性、可扩充性，整个布线系统由可以看成由工作区，水平布线系统、干线子系统和管理中心四个部分构成。2.布线设计综合布线系统（PDS，PremisesDistributionSystem）是一套开放式的布线系统，可以支持几乎所有的数据、话音设备及各种通信协议，同时，由于PDS充分考虑了通信技术的发展，设计时有足够的技术储备，能充分满足用户长期的需求，应用范围十分广泛。而且结构化综合布线系统具有高度的灵活性，各种设备位置的改变，局域网的变化，不需重新布线，只要在配线间作适当布线调整即可满足需求。结构化综合布线一般划分为六个子系统。(1)工作区子系统（WorkArea）及其网络设计工作区子系统由终端设备连接到信息插座的连线，以及信息插座所组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定，并预留适当数量的冗余。在办公区内的每个办公点可配置2～3个信息点，此外应为此办公区配置3～5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等等。在办公楼区设带宽为100M可满足要求；而实验楼区则每个信息点设为交换式100M甚至是光纤信息点。工作区的终端设备（如：电话机、传真机）可用超五类或六类双绞线直接与工作区内的每一个信息插座相连接，或用适配器（如ISDN终端设备）、平衡/非平衡转换器进行转换连接到信息插座上。(2)水平子系统（Horizontal）及其网络设计水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF）间的连接。水平子系统指定的拓扑结构为星形拓扑。水平干线选择超五类或六类非屏蔽双绞线,单模或多模光纤。双绞线水平布线链路中，水平电缆的最大长度为90m。若使用100ΩUTP双绞线作为水平子系统的线缆，可根据信息点类型的不同采用不同类型的电缆，例如对于语音信息点和数据信息点可采用超五类或六类双绞线，甚至使用光缆；对于电磁干扰严重的场合应尽量采用六类屏蔽双绞线。但是从系统的兼容性和信息点的灵活互换性角度出发，水平子系统采用均采用超五类双绞线。(3)管理子系统（Administration）及其网络设计管理子系统由交连、互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件.甘肃工业职业技术学校的LANscape综合布线解决方案采用搭配科学、管理简便的成套产品用于管理子系统。(4)干线子系统（Backbone）及其网络设计干线子系统指提供建筑物的主干电缆的路由，是实现主配线架与中间配线架，计算机、PBX、控制中心与各管理子系统间的连接。干线传输电缆的设计必须既满足当前的需要,又适应今后的发展。干线子系统布线走向应选择干线线缆最短、最安全和最经济的路由。干线子系统在系统设计施工时，应预留一定的线缆做冗余信道，这一点对于综合布线系统的可扩展性和可靠性来说是十分重要的。干线子系统可以使用FutureCom超五类或六类双绞线；FutureLink室内单模或多模光纤。超五类双绞线可以支持1000BASE－T，但如要求支持1000BASE－TX则必须使用六类双绞线。如果已安装的电缆仅满足5类线标准(1995)，那么在连接1000BASE－T设备之前，应对布线系统按照新增加的布线参数（如：回波损耗，等级远端串扰（ELFEXT），传播延迟和延时畸变等）进行测量和认证。(5)设备间子系统（EquipmentRoom）及其网络设计设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种公用系统设备互连起来。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起，也可分别设置。在该设计的综合布线中，可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房，把与综合布线密切相关的硬件设备放置在设备间，计算机网络设备的机房放在离设备间不远的位置。(6)建筑群子系统（CampusSubsystem）及其网络设计建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件，建筑群之间可以采用有线通信的手段。第三部分设计方案（设备、拓扑结构图）3.1设备：DCRS-5526S三层交换机（2台）DCR-2626路由器（2台）直连双绞线（4根）交叉双绞线（3根）Console电缆（1根）[注：该线本实验没用到]PC机（4台）3.2拓扑结构图：（利用MicrosoftOfficeVisio环境绘制拓扑结构图如下：）第四部分具体配置步骤4.1Switch-A三层交换机上VLAN的划分Switch-A交换机VLAN端口成员IP地址1缺省VLAN1001~82009~16第一步：交换机恢复出厂设置switch#setdefaultswitch#writeswitch#reload第二步：给交换机设置IP地址即管理IP。switch#configswitch(Config)#interfacevlan1switch(Config-If-Vlan1)#ipaddressswitch(Config-If-Vlan1)#noshutdownswitch(Config-If-Vlan1)#exitswitch(Config)#exit第三步：创建vlan100和vlan200。switch(Config)#switch(Config)#vlan100switch(Config-Vlan100)#exitswitch(Config)#vlan200switch(Config-Vlan200)#exitswitch(Config)#第四步：给vlan100和vlan200添加端口。switch(Config)#vlan100！进入vlan100switch(Config-Vlan100)#switchportinterfaceethernet0/0/1-8！给vlan100加入端口1-8SettheportEthernet0/0/1accessvlan100successfullySettheportEthernet0/0/2accessvlan100successfullySettheportEthernet0/0/3accessvlan100successfullySettheportEthernet0/0/4accessvlan100successfullySettheportEthernet0/0/5accessvlan100successfullySettheportEthernet0/0/6accessvlan100successfullySettheportEthernet0/0/7accessvlan100successfullySettheportEthernet0/0/8accessvlan100successfullyswitch(Config-Vlan100)#exitswitch(Config)#vlan200！进入vlan200switch(Config-Vlan200)#switchportinterfaceethernet0/0/9-16！给vlan200加入端口9-16SettheportEthernet0/0/9accessvlan200successfullySettheportEthernet0/0/10accessvlan200successfullySettheportEthernet0/0/11accessvlan200successfullySettheportEthernet0/0/12accessvlan200successfullySettheportEthernet0/0/13accessvlan200successfullySettheportEthernet0/0/14accessvlan200successfullySettheportEthernet0/0/15accessvlan200successfullySettheportEthernet0/0/16accessvlan200successfullyswitch(Config-Vlan200)#exit第五步：配置交换机各vlan虚接口的IP地址DCRS-5526S(Config)#intvlan100DCRS-5526S(Config-If-Vlan100)#ipaddressDCRS-5526S(Config-If-Vlan100)#noshutDCRS-5526S(Config-If-Vlan100)#exitDCRS-5526S(Config)#intvlan200DCRS-5526S(Config-If-Vlan200)#ipaddressDCRS-5526S(Config-If-Vlan200)#noshutDCRS-5526S(Config-If-Vlan200)#exitDCRS-5526S(Config)#部分验证配置如下图：4.2配置Router-A路由器上两个接口的IP地址Router-A配置表F0/0/24F0/1/244.3配置Router-B路由器上两个接口的IP地址Router-B配置表F0/0/24F0/1/244.4Router-A路由器动态NAT配置：（配置Router-A的NAT）(a).定义合法IP地址池命令的语法如下：ipnatpool地址池名称起始IP地址终止IP地址子网掩码(b).定义内部访问列表命令的语法如下：access-list标号permit源地址通配符（其中，标号为1~99之间的整数）本实验实际对Router-A配置动态NAT过程如下：Router-A#confRouter-A_config#ipaccess-liststandard1 ！定义访问控制列表Router-A_config_std_nacl#permit55 ！定义允许转换的源地址范围Router-A_config_std_nacl#exitRouter-A_config#ipnatpoolnetA054！定义名为netA的转换地址池【注：为了简便本次实验暂时只用了两个C类网络~，而真实当中应该利用以下配置来添加IP池里面的IP：ipnatpoolcernet54netmask】Router-A_config#ipnatinsidesourcelist1poolnetAoverload！配置将ACL允许的源地址转换成netA中的地址，并且做PAT的地址复用Router-A_config#intf0/0Router-A_config_f0/0#ipnatinside ！定义F0/0为内部接口Router-A_config_f0/0#intf0/1Router-A_config_f0/1#ipnatoutside ！定义F0/1为外部接口Router-A_config_f0/1#exitRouter-A_config#iproute ！配置路由器A的缺省路由Router-A#shipnattranslatiosPro.DirInsidelocalInsideglobalOutsidelocalOutsideglobalICMPOUT:5120:12512:12512:125124.5Router-B路由器动态NAT配置本实验实际对Router-B配置动态NAT过程如下：Router-B#confRouter-B_config#ipaccess-liststandard2 ！定义访问控制列表Router-B_config_std_nacl#permit55 ！定义允许转换的源地址范围Router-B_config_std_nacl#exitRouter-B_config#ipnatpoolnetB054！定义名为netB的转换地址池【注：为了简便本次实验暂时只用了两个C类网络~，而真实当中应该利用以下配置来添加IP池里面的IP：ipnatpoolcernet54netmask】Router-B_config#ipnatinsidesourcelist2poolnetBoverload！配置将ACL允许的源地址转换成netB中的地址，并且做PAT的地址复用Router-B_config#intf0/0Router-B_config_f0/0#ipnatinside ！定义F0/0为内部接口Router-B_config_f0/0#intf0/1Router-B_config_f0/1#ipnatoutside ！定义F0/1为外部接口Router-B_config_f0/1#exitRouter-B_config#iproute ！配置路由器B的缺省路由Router-B#shipnattranslatiosPro.DirInsidelocalInsideglobalOutsidelocalOutsideglobalICMPOUT:5120:12512:12512:125124.6Router-A路由器静态NAT配置Router-A(config)#interfaceFastEthernet0/0Router-A(config-if)#ipnatinsideRouter-A(config-if)#exitRouter-A(config)#interfaceFastEthernet0/1Router-A(config-if)#ipnatoutsideRouter-A(config-if)#exitRouter-A(config)#ipnatinsidesourcestatic1010【!将内部网络地址10转换为合法IP地址10】Router-A(config)#writeRouter-A(config)#验证配置：Router-A#shipnattranslationsProInsidelocal Insideglobal Outsidelocal Outsideglobal10 10 4.7Router-A路由器回址路由和默认路由的配置配置类型配置命令回址路由iprouteiprouteiproute默认路由iproute配置成功以后执行shiproute所显示的正确结果如下：4.8Router-B路由器默认路由的配置配置类型配置命令默认路由iproute配置成功以后执行shiproute所显示的正确结果如下：第五部分结果验证5.1普通入网信息点上PC和应用服务器上IP地址和网关的设置入网信息点类型IP地址网关校区A学生子网（VLAN100）(实验时配置为亦可)校区A教师子网(VLAN200)校区B入网信息点校区A应用服务器(VLAN1)10部分验证配置如下图：校区A学生子网（VLAN100）如下：校区A应用服务器(VLAN1)如下：校区B入网信息点如下：5.2详细结果验证Ping测试（1）校区A学生子网（VLAN100）Ping各个网段的结果如下：分别是Ping通、Ping通、Ping通、Ping不通。校区A学生子网（VLAN100）Ping服务器的结果如下：结果是Ping10通。（2）校区A教师子网(VLAN200)Ping各个网段的结果如下：分别是Ping通、Ping通、Ping通、Ping不通。校区A教师子网(VLAN200)Ping服务器的结果如下：结果是Ping10通。（3）校区B入网信息点Ping各个网段的结果如下：分别是、Ping通、Ping通、Ping通、Ping不通。（4）校区A应用服务器(VLAN1)Ping各个网段的结果如下：分别是Ping通、Ping通、Ping通、Ping不通、Ping校区A内的学生子网上的PC通。（5）最后，选择Router-B路由器ping各个网段的结果显示如下：分别是Ping通、Ping通、Ping通、Ping不通。第六部分调试过程中出现的问题及解决方法6.1“主机掩码”问题在做路由器的动态NAT配置中，当要定义内部网络中允许访问Internet的访问列表时，即有关命令如下：access-listl标号permit源地址通配符（其中，标号为1~99之间的整数）据此，本实验中应该这样配置：permit55 ！定义允许转换的源地址范围但是在实验系统所给出的一些帮助文档时，是这样配置的：permit ！定义允许转换的源地址范围而刚开始时，我们就是这样配置的。后来经上网查阅[3]，得知这后面的一个掩码是一种主机掩码，而不是子网掩码。具体描述如下：“需要注意的是，在这里采用的是主机掩码，而非子网掩码。子网掩码与主机掩码的关系为：主机掩码+子网掩码=55。例如，子网掩码为，则主机掩码为55；子网掩码为,则主机掩码为55;子网掩码为,则主机掩码为55;子网掩码为92，刚主机掩码为3。”6.2路由器接入时出现的问题不仅在实验中，还是在课程设计中，凡是有用到路由器接入时通常会出现PC与PC之间Ping不通，而各PC只能Ping通到对方PC所接的交换机端口或路由器端口。然而这从理论上说既然一台PC能Ping通到对方PC所接的交换机端口或路由器端口，那么就应该可以Ping通对方PC的。但好几次实验都出现这种情况，可能由于机器设备的缘故，该问题还有待于解决。6.3不同VLAN要进行通信不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。所以本次实验中，两个子网里的学生机器和教师机器由于利用了三层交换机从而导致了在一定条件下是可以Ping通的。第七部分个人体会及建议7.1方案分析1.PAT配置的方案更好端口多路复用(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。而用动态NAT配置则实际还是分配一个IP地址给一台主机，只是动态分配而已，当某一时间上外网的入网信息点很多时，则会导致其他问题，影响学生或教师的正常上网。所以在真实方案中，该高校最好是用PAT的配置来解决几千个入网信息点却只有几百个合法IP地址的问题。2.添加多个合法IP地址范围在本实验中，由于从科教网那边申请到4个C类网络（——），而本次实验为了简便，只使用2个C类网络（~），所以应该在配置路由的动态NAT时，应该用以下命令把其2个C类网络也添加到IP地址池中，具体命令如下：（Router-A配置如下：）ipnatpoolcernet54netmask或ipnatpooltest54prefix-length24（Router-B配置如下：）ipnatpoolcernet54netmask或ipnatpooltest54prefix-length243.添加多个访问列表如果想将多个IP地址段转换为合法IP地址，可以添加多个访问列表。在本次实验中，当欲将~55和~55转换为合法IP地址时，应当添加下述命令：access-list2permit~55access-list2permit~554.2000多台入网信息点的接入通过更多的交换机和路由器来实现2000多台入网信息点的接入。比如在顶层交换机的不同端口中，配置不同的路由器和交换机在接出来以后，建议其IP地址的分配按不同的VLAN的使用情况从网段开始节约分配，在不同使用IP范围内，把路由器的端口配置成相应网段使用的开始IP地址就可以实现。大概网络的拓扑结构图如下：7.2个人体会方案中确定了校园网的拓扑方案，完成了对设备的选型，基本确定了各类硬件和软件的配置。在具体设计过程中，构建了工作型局域网，通过计算机与集线器（交换机）相连，在工作组中指定的基于计算机上分别安装操作系统WindowsServer2000、TCP/IP协议，配置IP地址、掩码和网关等参数，创建一个简单的WEB服务器，并制作一些网页，放入WEB服务器内以及一个FTP服务器，实现文件的上、下传；并在局域网内创建DNS服务器，配置了相关文件，进行对局域网内的主机作域名解析。本次设计查阅了很多案例，学习到了很多知识，原先很多不懂的东西、都有了初步的了解。设计一个校园网，不仅要求结构要合理，还要根据实际需要，对性能和价格作出合理的搭配，达到性能价格比达到最优。本次设计是一次自我学习的过程。开始的时候就遇到了困难。因为需求分析是整个设计的纲领，只有搞好了这个纲领下面才有思路往下继续。课程设计是培养我们综合运用所学知识，发现、提出、分析和解决实际问题，锻炼实践能力的重要环节,是对我们实际工作能力的具体训练和考察过程。随着科学技术发展的日新月异，网络已经成为当今计算机发展中空前活跃的领域，在生活中可以说是无处不在，因此作为二十