网络工程作业2

网络工程作业2一、作业目标本次网络工程作业旨在深入理解网络架构、协议以及网络安全等方面的知识，并通过实际操作和案例分析来巩固所学内容。具体目标包括：1.设计并实现一个小型网络拓扑结构，包括不同类型的网络设备（如路由器、交换机等）的配置。2.掌握常见网络协议（如TCP/IP、HTTP、FTP等）的工作原理，并能够进行简单的故障排查。3.理解网络安全的重要性，实施基本的网络安全防护措施，如访问控制列表（ACL）。

二、网络拓扑设计

（一）拓扑结构概述本次设计的网络拓扑结构为一个包含多个子网的园区网络。园区网络主要由核心层、汇聚层和接入层组成，通过路由器与外部网络相连。

核心层采用高性能的三层交换机，负责高速转发数据流量，连接汇聚层交换机以及外部路由器。汇聚层交换机负责将接入层的流量进行汇聚，并根据VLAN等策略进行初步的流量处理，同时与核心层交换机相连。接入层交换机直接连接终端设备，如计算机、服务器等，为用户提供网络接入。

外部网络通过路由器接入园区网络，路由器配置了适当的广域网接口（如Ethernet接口连接到ISP），并设置了相应的路由策略以实现与园区网络内部子网的通信以及与Internet的连接。

（二）具体设备选型及连接1.核心层交换机：选用华为S5700系列三层交换机，该交换机具有高性能、高可靠性等特点，支持丰富的VLAN划分、路由功能以及端口聚合等功能。核心层交换机通过多条链路分别连接到汇聚层交换机，形成冗余链路，提高网络的可靠性。2.汇聚层交换机：同样选用华为S5700系列三层交换机，与核心层交换机进行级联，并通过VLAN划分将不同区域的接入层交换机连接起来。汇聚层交换机根据VLAN策略对流量进行分类和初步处理，如设置不同VLAN之间的访问控制等。3.接入层交换机：采用华为S2700系列二层交换机，提供多个以太网接口，直接连接终端设备。接入层交换机根据接入端口所属的VLAN将终端设备接入相应的网络区域。4.路由器：选用华为AR2200系列路由器，配置了Ethernet接口连接到ISP，同时配置了多个Ethernet接口与核心层交换机相连，实现园区网络与外部网络的互联互通。通过配置静态路由和动态路由协议（如OSPF），确保网络之间的路由可达。

（三）子网划分根据园区网络的功能需求，将网络划分为多个子网。例如，将办公区域划分为一个子网，服务器区域划分为一个子网，无线网络覆盖区域划分为一个子网等。具体子网划分如下：1.办公子网：/24，用于连接办公区域的计算机设备。2.服务器子网：/24，用于部署各种服务器，如Web服务器、邮件服务器等。3.无线网络子网：/24，通过无线接入点为移动设备提供无线网络接入。4.管理子网：/24，用于网络设备的管理和监控。

三、网络设备配置

（一）核心层交换机配置1.基本配置配置交换机名称：```systemviewsysnameCoreSwitch```配置接口IP地址：```interfaceVlanif1ipaddress```开启生成树协议（STP），增强网络可靠性：```stpmodestp```2.VLAN配置创建VLAN：```vlanbatch10203040```将接口加入相应VLAN：```interfaceEthernet0/0/1portlinktypeaccessportdefaultvlan10```配置VLAN间路由：```interfaceVlanif10ipaddress```（其他VLANif接口类似配置）3.端口聚合配置创建EthTrunk接口：```interfaceEthTrunk1trunkportEthernet0/0/2toEthernet0/0/3modelacpstatic```配置EthTrunk接口的IP地址：```interfaceVlanif20ipaddress```（假设通过EthTrunk1连接汇聚层交换机）

（二）汇聚层交换机配置1.基本配置配置交换机名称：```systemviewsysnameAggregateSwitch```配置接口IP地址：```interfaceVlanif1ipaddress```2.VLAN配置与核心层交换机相同VLAN划分：```vlanbatch10203040```将接入层交换机连接的接口加入相应VLAN：```interfaceEthernet0/0/1portlinktypeaccessportdefaultvlan10```配置VLAN间路由：```interfaceVlanif10ipaddress```（其他VLANif接口类似配置）3.访问控制配置配置访问控制列表（ACL），限制办公子网对服务器子网的访问：```aclnumber2000rule10denyipsource55destination55rule20permitipinterfaceVlanif10trafficfilteroutboundacl2000```

（三）接入层交换机配置1.基本配置配置交换机名称：```systemviewsysnameAccessSwitch```配置接口IP地址：```interfaceVlanif1ipaddress```2.VLAN配置与汇聚层交换机相同VLAN划分：```vlanbatch10203040```将终端设备连接的接口加入相应VLAN：```interfaceEthernet0/0/1portlinktypeaccessportdefaultvlan10```

（四）路由器配置1.基本配置配置路由器名称：```systemviewsysnameRouter```配置接口IP地址：```interfaceGigabitEthernet0/0/0ipaddressinterfaceGigabitEthernet0/0/1ipaddress```2.路由配置配置静态路由：```iproutestatic```配置动态路由协议OSPF：```ospf1areanetwork55```

四、网络协议分析

（一）TCP/IP协议分析1.IP协议IP协议是TCP/IP协议栈的核心，负责将数据包从源主机传输到目的主机。在本次网络拓扑中，每个设备都有唯一的IP地址，数据包通过IP协议在不同子网之间进行路由转发。例如，当办公子网的计算机向服务器子网发送数据包时，数据包首先到达接入层交换机，然后通过汇聚层交换机，最后由核心层交换机根据IP地址进行路由决策，将数据包转发到服务器子网的路由器接口，再通过路由器转发到服务器子网。IP协议提供了无连接的数据报服务，它不保证数据包的可靠传输，但通过IP首部中的校验和字段来检测数据包在传输过程中是否发生错误。如果发生错误，数据包将被丢弃。2.TCP协议TCP协议是一种面向连接的、可靠的传输层协议。在需要可靠数据传输的应用场景中（如HTTP、FTP等），通常会使用TCP协议。例如，当用户通过浏览器访问Web服务器时，客户端和服务器之间首先会建立TCP连接。TCP连接的建立通过三次握手过程实现：客户端向服务器发送SYN包，请求建立连接；服务器收到SYN包后，向客户端发送SYN+ACK包，表示同意建立连接；客户端收到SYN+ACK包后，再向服务器发送ACK包，连接建立成功。在数据传输过程中，TCP协议通过滑动窗口机制来控制数据的流量和传输效率。发送方和接收方都维护一个窗口大小，发送方根据接收方的窗口大小来发送数据，接收方通过确认号来告知发送方已经正确接收的数据字节数。同时，TCP协议还通过重传机制来确保丢失或损坏的数据包能够被重新发送。3.UDP协议UDP协议是一种无连接的、不可靠的传输层协议。它适用于对传输效率要求较高，但对数据可靠性要求相对较低的应用场景，如DNS服务、视频流等。UDP协议在传输数据时，不建立连接，直接将数据包发送出去。由于没有连接建立和维护的开销，UDP协议的传输效率较高。但由于它不保证数据包的可靠传输，可能会出现数据包丢失或乱序的情况。例如，在DNS查询过程中，客户端向DNS服务器发送UDP数据包，DNS服务器收到数据包后直接返回查询结果，不进行可靠性验证。

（二）HTTP协议分析1.HTTP工作原理HTTP是用于传输超文本的协议，它基于TCP协议提供可靠的数据传输。当用户在浏览器中输入网址并回车后，浏览器首先向服务器发送HTTP请求。HTTP请求通常包括请求方法（如GET、POST等）、请求头和请求体。例如，当使用GET方法请求一个网页时，请求头中会包含用户代理信息、Cookie等。服务器收到请求后，根据请求内容进行处理，并返回HTTP响应。HTTP响应包括响应状态码、响应头和响应体。响应状态码表示请求的结果，如200表示成功，404表示请求的资源不存在等。浏览器接收到响应后，根据响应头中的信息对网页进行解析和渲染。如果响应头中包含了重定向信息，浏览器会根据重定向地址再次发送请求。2.HTTP缓存机制HTTP缓存机制可以提高网页的加载速度。浏览器在第一次请求网页时，会将请求和响应信息缓存起来。当再次请求相同的网页时，如果缓存未过期，浏览器可以直接使用缓存中的内容，而不需要再次向服务器发送请求。HTTP缓存分为强缓存和协商缓存。强缓存通过设置响应头中的Expires和CacheControl字段来控制。例如，CacheControl:maxage=3600表示缓存有效期为3600秒。协商缓存则通过ETag和LastModified字段来实现。浏览器在发送请求时，会携带相应的ETag或LastModified值，服务器根据这些值判断资源是否有更新，如果有更新则返回新的资源，否则返回304状态码表示资源未修改，浏览器可以使用缓存中的内容。

（三）FTP协议分析1.FTP工作原理FTP是用于文件传输的协议，它基于TCP协议提供可靠的数据传输。FTP协议使用两个TCP连接，一个用于控制连接（端口号21），另一个用于数据连接（端口号20）。当用户通过FTP客户端连接到FTP服务器时，首先建立控制连接。在控制连接上，客户端向服务器发送命令，如USER（用户名）、PASS（密码）等，进行身份验证。服务器验证通过后，客户端可以发送其他命令，如LIST（列出目录内容）、GET（下载文件）、PUT（上传文件）等。当客户端发送下载或上传文件的命令时，服务器会根据命令要求建立数据连接。在数据连接上，进行文件的实际传输。例如，当客户端发送GET命令下载文件时，服务器会将文件内容通过数据连接发送给客户端。2.FTP主动模式和被动模式FTP主动模式下，服务器主动发起数据连接。客户端向服务器发送PASV命令后，服务器会返回一个端口号，客户端使用该端口号建立与服务器的数据连接。FTP被动模式下，客户端主动发起数据连接。客户端向服务器发送PASV命令后，服务器返回一个端口范围，客户端随机选择一个端口号，然后向服务器发送PORT命令，告知服务器自己选择的端口号，服务器再使用该端口号与客户端建立数据连接。

五、网络安全措施

（一）访问控制列表（ACL）1.基于源地址的访问控制在汇聚层交换机上配置了ACL2000，规则如下：```aclnumber2000rule10denyipsource55destination55rule20permitip```该ACL限制了办公子网（/24）对服务器子网（/24）的访问，只允许其他合法的流量通过。这样可以防止办公区域的计算机非法访问服务器区域的资源，保护服务器的安全性。2.基于端口的访问控制除了基于源地址的访问控制，还可以根据端口号进行访问控制。例如，限制外部网络对内部网络特定服务端口的访问。在路由器上配置ACL，如下：```aclnumber3000rule10denytcpsourceanydestination55destinationporteq80rule20permitip```此ACL拒绝了外部网络对园区网络内部Web服务器端口80的访问，只有通过路由器进行适当配置（如设置端口映射等），允许合法的外部访问请求时，才能访问内部Web服务器。

（二）防火墙配置1.防火墙策略设置在防火墙设备上配置策略，允许内部网络与外部网络之间的合法流量通过，同时阻止非法流量。例如，允许办公子网的计算机访问Internet的HTTP和DNS服务，策略如下：```accesslistinside_outboundpermittcpanyanyeqhttpaccesslistinside_outboundpermitudpanyanyeqdns```同时，设置拒绝其他非法流量的策略，如拒绝外部网络对内部网络的非法端口扫描等：```accesslistoutside_insidedenytcpanyanyeq135accesslistoutside_insidedenytcpanyanyeq139accesslistoutside_insidedenytcpanyanyeq445```2.防火墙规则应用将上述访问控制列表应用到防火墙的相应接口上，使防火墙能够对进出网络的流量进行过滤。例