计算机网络综合设计报告答案.docx

计算机网络综合设计报告 --中小型公司网络组建方案 姓名：高欣 学号： 班级： 11级信息工程1班 指导老师：王权海 一、背景描述 某公司计划建设自己的网络 ，希望通过这个新建网络，提供一个安全可靠、可扩展、高效的网络环境。使公司可以方便快捷的实现网络资源共享、接入Internet 等目的。 二、公司环境和规定 1、公司有4个部门： 市场部（30台主机）、财务部（4台主机）和经理部（2台主机）以及网络部（3台服务器主机：分别提供www、FTP、DHCP服务）。 2、公司内部使用私有地址段172.16.0.0/16。公司租用了三间大型写字间，每间的职工位置固定。已有的机器的分布如下： （1）市场部1~20号主机与经理部的两台分布于房间1，接在互换机SW1上； （2）市场部21~30号主机与财务部的4台主机分布于房间2，接在互换机SW2上； （3）网络部的三台服务器分布于房间3，接在互换机SW3上。 规定将不同职能的计算机划提成独立组群：市场部、财务部、经理部、服务器组。 （提醒：采用VLAN技术实现不同组群互相间的隔离；在此基础上，运用路由器实现VLAN间的通信。） 3、全公司除服务器以外的所有主机通过DHCP服务器实现地址自动分派，避免个人设立IP 地址的麻烦。（提醒：需要在路由器上配置DHCP中继） 4、三个服务器使用固定的地址（WWW——172.16.4.2/24，FTP——172.16.4.3/24，DHCP——172.16.4.4/24），内网用户可通过内部地址访问这些服务器。 5、公司只申请到有限个接入公网的IP 地址（202.1.1.2/29~202.1.1.6/29），供公司内网接入公网使用。其中202.1.1.3分派给公司网络部的WWW服务器，以提供对外Web服务， 余下的地址可供员工上网使用。公司的FTP服务不提供应外网。（提醒：采用ACL+NAT） 6、为了保证财务部数据安全，财务部与外部公网不能互访；内部仅允许经理部访问财务部，其他部门均不能与财务部互访。其他部门（市场部、经理部、网络部）之间，可以互相访问。（提醒：采用ACL技术） 7、公司为外地出差员工提供“远程接入式VPN”服务，使得外地员工可以通过公网连接以账户+密码的方式接入到公司内部网络。该类接入用户统一安排172.16.5.0/24的地址段。 三、IP地址分派 综合公司环境和网络使用规定，内网地址安排为： 经理部Manager：172.16.1.0/24 财务部Finance： 172.16.2.0/24 市场部Market： 172.16.3.0/24 网络部Servers： 172.16.4.0/24 远程接入VPN地址池：172.16.5.0/24 四、网络拓扑结构 图1 网络拓扑结构 五、相关原理简述 1. NAT 网络地址转换NAT（Network Address Translation），被广泛应用于各种类型Internet接入方式和各种类型的网络中。因素很简朴，NAT不仅完美解决了IP地址局限性的问题，并且还可以有效地避免来自网络外部的袭击，隐藏并保护网络内部的计算机。默认情况下，内部IP地址是无法被路由到外网的，例如，内部主机10.1.1.1要与外部internet通信，IP包到达NAT路由器时，IP包头的源地址10.1.1.1被替换成一个合法的外网IP，并在NAT转换表中保存这条记录。当外部主机发送一个应答到内网时，NAT路由器收到后，查看当前NAT转换表，用10.1.1.1替换掉这个外网地址。NAT可将网络划分为内部网络和外部网络两部分，局域网主机运用NAT访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法的IP地址）后转发数据包。 2.VLAN 虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，互相之间的通信就仿佛它们在同一个网段中同样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完毕的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。 在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域相应了一个特定的用户组，默认情况下这些不同的广播域是互相隔离的。不同的广播域之间想要通信，需要通过一个或多个路由器。这样的一个广播域就称为VLAN。 互换机1配置： Switch>enable Switch#conf t Switch(config)#hostname s1 s1(config)#end s1#vlan database % Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode. s1#vlan 10 name vlan10 s1#vlan 20 name vlan20 s1#exit s1>enable s1#config t Enter configuration commands, one per line. End with CNTL/Z. s1(config)#interface fastethernet 0/2 s1(config-if)#switchport mode access s1(config-if)#switch access vlan10 s1(config-if)#exit s1(config)#interface fastethernet 0/3 s1(config-if)#switchport mode access s1(config-if)#switch access vlan10 s1(config-if)#exit s1(config)#interface fastethernet 0/4 s1(config-if)#switchport mode access s1(config-if)#switch access vlan20 s1(config-if)#exit s1(config)#interface fastethernet 0/5 s1(config-if)#switchport mode access s1(config-if)#switch access vlan20 s1(config-if)#exit s1(config)#interface fastethernet 0/1 s1(config-if)#switchport mode trunk s1(config-if)#switchport trunk allowed vlan all s1(config-if)#exit s1(config)#end s1# %SYS-5-CONFIG_I: Configured from console by console s1#copy run start 互换机2配置： Switch>enable Switch#conf t Switch(config)#hostname s1 S2(config)#end S2#vlan database % Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode. S2#vlan 10 name vlan30 S3#vlan 20 name vlan40 s2#vlan 20 name vlan50 s2#exit s2>enable s2#config t Enter configuration commands, one per line. End with CNTL/Z. s2(config)#interface fastethernet 0/2 s2(config-if)#switchport mode access s2(config-if)#switch access vlan30 s2(config-if)#exit s2(config)#interface fastethernet 0/3 s2(config-if)#switchport mode access s2(config-if)#switch access vlan30 s2(config-if)#exit s2(config)#interface fastethernet 0/4 s2(config-if)#switchport mode access s2(config-if)#switch access vlan40 s2(config-if)#exit s2(config)#interface fastethernet 0/5 s2(config-if)#switchport mode access s2(config-if)#switch access vlan40 s2(config-if)#exit s2(config)#interface fastethernet 0/1 s2(config-if)#switchport mode trunk s2(config-if)#switchport trunk allowed vlan all s2(config-if)#exit s2(config)#end %SYS-5-CONFIG_I: Configured from console by console s1#copy run start %SYS-5-CONFIG_I: Configured from console by console s1#copy run start 互换机3配置： Switch(config-if)#int f0/2 Switch(config-if)#switchport access vlan10 Switch(config-if)#int f0/3 Switch(config-if)#switchport access vlan30 …… …… 3. ACL 访问控制列表（ACL）可以对通过路由器的数据包按照设定的规则进行过滤，使数据包有选择的通过路由器，起到防火墙的作用。ACL由一系列规则组成，在规则中定义允许或拒绝通过路由器的条件。其过滤依据重要涉及源地址、目的地址、上层协议等。重要用于限制访问网络的用户，保护网络的安全。在Cisco路由器中的配置过程涉及两步： (1)、在网络设备上配置编号（或命名）的IP访问控制列表； (2)、将该编号（该名字）的IP访问控制列表应用到设备的某一接口上。 根据设计中的规定：保证财务部数据安全，财务部与外部公网不能互访；内部仅允许经理部访问财务部，其他部门均不能与财务部互访。其他部门（市场部、经理部、网络部）之间，可以互相访问。 根据图1拓扑结构可进行如下配置： 3.1为不同IP网络中的网络设备配置IP地址（网络设备涉及PC机和路由器的网络接口）。 R0：Fa0/0：172.16.1.1/24；Fa1/0：172.16.2.1/24； Se2/0：172.16.3.1/30 R1：Fa0/0：172.16.4.1/24；Se2/0：172.16.3.2/30 3.2在在路由器R0上设计标准ACL，使得财务部部网络的IP分组无法从接口Se2/0发出。配置命令参考如下： R0#conf t R0(config)#ip access-list standard LIST01 R0(config-std-nacl)#permit 172.16.1.0 0.0.0.255 R0(config-std-nacl)#deny 172.16.2.0 0.0.0.255 R0(config-std-nacl)#exit R0(config)#int s2/0 R0(config-if)#ip access-group LIST01 out R0(config-if)#exit R0(config)# 3.3在路由器R0上设计扩展ACL，使得经理部的主机可以访问财务部的Web页面，但不能ping通服务器。配置命令参考如下： R0(config)#ip access-list extended LIST02 R0(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.4 eq 80 R0(config-ext-nacl)#deny icmp 172.16.1.0 0.0.0.255 host 172.16.4.4 R0(config-ext-nacl)#exit R0(config)#int s2/0 R0(config-if)#ip access-group LIST02 out R0(config-if)#exit R0(config)# 3.4 在经理部PC上的命令行里运营ftp 172.16.4.4，从而访问服务器上的FTP服务，观测记录运营结果。接着参照下面的配置命令修改R0上的ACL列表，然后再次在命令行里运营ftp 172.16.4.4。 R0(config)#ip access-list extended LIST02 R0(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.4 eq 21 R0(config-ext-nacl)#exit R0(config)# 六、路由器配置 R0:  Router>en  Router#conf t  Enter configuration commands, one per line.  End with CNTL/Z.  Router(config)#enable password 123 Router(config)#exit   %SYS-5-CONFIG_I: Configured from console by console Router#exit   Router>enable Password:***   Router#conf t  Router(config)#inter fa 0/0.1  Router_config)#encapsulation dot1q  10  Router(config-if)#ip address 172.16.3.1 255.255.255.0  Router(config-if)#no shutdown Router(config-if)#exit  Router(config)#int fa 0/0.2  Router_config)#encapsulation dot1q  1  Router(config-if)#ip address 172.16.6.1 255.255.255.0  Router(config-if)#clock rate 100000  Router(config-if)#no shutdown  Router(config-if)#exit  Router(config)#exit  Router>en  Password:***  Router#conf t  Enter configuration commands, one per line.  End with CNTL/Z.  Router(config)#router rip   Router(config-router)#net 172.16.2.0  Router(config-router)#net 172.16.3.0  Router(config-router)#net 172.16.5.0  Router(config-router)#net 172.16.6.0  Router(config-router)#net 170.16.0.0  Router(config-router)#exit  Router(config)#exit R1:  Router>en  Router#conf t  Enter configuration commands, one per line.  End with CNTL/Z.  Router(config)#enable password 123  Router(config)#exit   %SYS-5-CONFIG_I: Configured from console by console Router#exit   Router>en  Password:***   Router#conf t  Enter configuration commands, one per line.  End with CNTL/Z.  Router(config)#router rip   Router(config-router)#net 172.16.2.0  Router(config-router)#net 172.16.1.0  Router(config-router)#exit  Router(config)#exit R2： Router>en  Router#conf t  Enter configuration commands, one per line.  End with CNTL/Z.  Router(config)#enable password 123  Router(config)#exit   %SYS-5-CONFIG_I: Configured from console by console Router#exit   Router>en  Password:***   Router#conf t  Enter configuration commands, one per line.  End with CNTL/Z.  Router(config)#router rip   Router(config-router)#net 172.16.4.0  Router(config-router)#net 172.16.5.0  Router(config-router)#exit Router(config)#exit  七、实验结果