网络工程与组网技术题目四.docx
《网络工程与组网技术题目四.docx》由会员分享,可在线阅读,更多相关《网络工程与组网技术题目四.docx(32页珍藏版)》请在冰豆网上搜索。
网络工程与组网技术题目四
课程设计任务书
课程设计题目:
网络工程与组网技术题目四
课程设计任务:
1、熟悉系统实现工具和上机环境
2、本课程设计的可行性分析、开发计划,通过调研完成系统的需求分析
简要叙述技术可行性、省略经济可行性和法律可行性等。
制定项目开发计划。
完成项目需求分析。
3、系统设计
包括:
系统总体设计,拓扑设计,物理设计(设备选型),IP设计。
4、针对不同设备选择不同命令集,完成对设备的配置
5、设备安装及调式
6、书写系统上述文档和撰写课程设计报告
课程设计目的:
1:
在校园网中建成一个适合于信息采集、共享的内部网络,在此基础上建立起供用户使用的内部网络以及内部办公网络。
2:
使用访问控制列表、地址转换安全的实现到Internet的接入与访问,限制访问权限及实现在校园网内的全网互通。
指导教师(签名)
年月日
第一章:
系统环境配置和使用工具简单介绍................................1
1.1二层交换机概念和作用..............................................1
1.2三层交换机概念和作用..............................................1
1.3路由器概念和作用..................................................1
1.4思科模拟器........................................................2
1.5系统环境..........................................................3
第二章:
可行性分析和系统需求分析文档..................................4
2.1划分VLAN分析分析.................................................4
2.1.1VLAN定义.......................................................4
2.1.2划分VLAN的基本策略.............................................4
2.2配置RSTP协议分析.................................................5
2.2.1RSTP定义........................................................5
2.2.2RSTP技术原理....................................................5
2.3RouterA上配置NAT分析.............................................5
2.3.1NAT定义.........................................................5
2.3.2NAT功能.........................................................6
2.3.3NAT实现方式.....................................................6
2.3.4NAT工作原理.....................................................6
2.4ACL相关分析.......................................................7
2.4.1ACL定义..........................................................7
2.4.2ACL分类.........................................................7
2.5系统需求分析.......................................................8
2.5.1课程设计目标......................................................8
2.5.2功能需求分析......................................................8
第三章:
系统总体规划和拓扑设计文档......................................9
3.1系统总体规划........................................................9
3.2系统拓扑设计........................................................9
第四章:
系统物理设计和IP设计文档......................................10
4.1在交换机上划分VLAN...............................................10
4.1.1:
配置两台交换机的主机名.........................................10
4.1.2:
在三层交换机上划分VLAN添加端口................................11
4.1.3:
在二层交换机上划分VLAN添加端口................................11
4.1.4设置交换机之间的链路为Trunk.....................................12
4.2配置RSTP协议......................................................13
4.2.1配置快速生成树协议...............................................13
4.2.3查看交换机及端口Rstp状态........................................13
4.3OSPF配置..........................................................16
4.3.1配置路由器名称、接口IP和时钟...................................16
4.3.2在路由器和三层交换机上配置IP地址................................16
4.3.3配置OSPF路由协议................................................18
4.4.4配置ACL..........................................................18
4.4.5应用ACL..........................................................18
4.4在路由器上应用ACL..................................................18
4.4.1在RouterA上配置静态路由..........................................18
4.4.2配置时间段........................................................18
4.4.3在RouterA上配置NAT...............................................18
4.4.4配置ACL...........................................................19
4.4.5应用ACL...........................................................19
4.5IP设计文档..........................................................19
第五章:
系统安装调试与配置..............................................20
5.1系统安装配置.........................................................20
5.1.1查看VLAN..........................................................20
5.1.2查看SVI端口.......................................................21
5.1.3查看VLAN端口......................................................22
5.2系统调试.............................................................25
第六章:
课程设计总结.....................................................28
参考文献.................................................................29
第一章:
系统环境配置和使用工具简单介绍
1.1二层交换机概念和作用
二层交换机工作于OSI模型的第2层(数据链路层),故而称为二层交换机。
二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。
1.2三层交换机概念和作用
三层交换机就是具有部分路由器功能的交换机,三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。
对于数据包转发等规律性的过程由硬件高速实现,而像路由信息更新、路由表维护、路由计算、路由确定等功能,由软件实现。
三层交换技术就是二层交换技术+三层转发技术。
传统交换技术是在OSI网络标准模型第二层——数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发,既可实现网络路由功能,又可根据不同网络状况做到最优网络性能。
1.3路由器概念和作用
路由器(Router)又称网关设备(Gateway)是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网。
当数据从一个子网传输到另一个子网时,可通过路由器的路由功能来完成。
因此,路由器具有判断网络地址和选择IP路径的功能,它能在多网络互联环境中,建立灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网,路由器只接受源站或其他路由器的信息,属网络层的一种互联设备。
路由器(Router),是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号。
路由器是互联网络的枢纽,"交通警察"。
目前路由器已经广泛应用于各行各业,各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。
路由和交换机之间的主要区别就是交换机发生在OSI参考模型第二层(数据链路层),而路由发生在第三层,即网络层。
这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息,所以说两者实现各自功能的方式是不同的。
1.4思科模拟器
本次课程设计使用的思科模拟器版本为思科模拟器v6.0
思科模拟器项目是开源的自由的程序,适用于多种操作系统,包括Windows,Linux和MacOSX。
思科模拟器截图:
1.5系统环境
本次课程设计系统环境为WIN832位操作系统:
第二章:
可行性分析和系统需求分析文档
2.1划分VLAN分析分析
本次设计要求在二层交换机L2-Switch上划分VLAN20,VLAN30;
三层交换机L3-Switch上划分VLAN1,VLAN10,VLAN20,VLAN30.
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:
网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。
不同的广播域之间想要通信,需要通过一个或多个路由器。
这样的一个广播域就称为VLAN。
2.1.2划分VLAN的基本策略:
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
1、基于端口的VLAN划分:
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2、基于MAC地址的VLAN划分:
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的。
MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡标识(NIC)。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
3、基于路由的VLAN划分:
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
2.2配置RSTP协议分析
2.2.1RSTP定义:
快速生成树协议(rapidspanningTreeProtocol):
802.1w由802.1d发展而成,这种协议在网络结构发生变化时,能更快的收敛网络。
它比802.1d多了两种端口类型:
预备端口类型(alternateport)和备份端口类型。
STP(SpanningTreeProtocol)是生成树协议的英文缩写。
该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。
相比STP,RSTP提供了非常快速的重配置功能,同时RSTP可以与STP进行互操作,也即:
运行RSTP的网桥可以和运行STP的网桥协同工作。
2.2.2RSTP技术原理:
Rstp是从stp发展过来的,其实现基本思想一致,但它更进一步的处理了网络临时失去连通性的问题。
Rstp规定在某些情况下,处于Blocking状态的端口不必经历2倍的ForwardDelay时延而可以直接进入转发状态。
如网络边缘端口(即直接与终端相连的端口),可以直接进入转发状态,不需要任何时延。
或者是网桥旧的根端口已经进入Blocking状态,并且新的根端口所连接的对端网桥的指定端口仍处于Forwarding状态,那么新的根端口可以立即进入Forwarding状态。
即使是非边缘的指定端口,也可以通过与相连的网桥进行一次握手,等待对端网桥的赞同报文而快速进入Forwarding状态。
当然,这有可能导致进一步的握手,但握手次数会受到网络直径的限制。
2.3RouterA上配置NAT分析
2.3.1NAT定义:
NAT(NetworkAddressTranslation,网络地址转换)是1994年提出的。
当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
这种方法需要在专用网连接到因特网的路由器上安装NAT软件。
装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。
这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。
另外,这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用的IP地址空间的枯竭。
2.3.2NAT功能:
NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
1.宽带分享:
这是NAT主机的最大功能。
2.安全防护:
NAT之内的PC联机到Internet上面时,他所显示的IP是NAT主机的公共IP,所以Client端的PC当然就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就侦测不到源Client端的PC。
2.3.3NAT实现方式:
NAT的实现方式有三种,即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。
静态转换:
是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。
借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换:
是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
动态转换可以使用多个合法外部地址集。
当ISP提供的合法IP地址略少于网络内部的计算机数量时。
可以采用动态转换的方式。
端口多路复用:
(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,PortAddressTranslation).采用端口多路复用方式。
内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。
同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。
因此,目前网络中应用最多的就是端口多路复用方式。
2.3.4NAT工作原理:
借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。
有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文的数据部分进行修改,以匹配IP头中已经修改过的源IP地址。
否则,在报文数据部分嵌入IP地址的应用程序就不能正常工作。
2.4ACL相关分析
2.4.1ACL定义:
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。
简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。
如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。
ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。
ACL是物联网中保障系统安全性的重要技术,在设备硬件层安全基础上,通过对在软件层面对设备间通信进行访问控制,使用可编程方法指定访问规则,防止非法设备破坏系统安全,非法获取系统数据。
2.4.2ACL分类
目前有三种主要的ACL:
标准ACL、扩展ACL及命名ACL。
其他的还有标准MACACL、时间控制ACL、以太协议ACL、IPv6ACL等。
标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制范围。
例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。
使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。
在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。
随着网络的发展和用户要求的变化,从IOS12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。
通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。
这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。
首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。
基于时间访问列表的设计中,用time-range命令来指定时间范围的名称,然后用absolute命令,或者一个或多个periodic命令来具体定义时间范围。
2.5系统需求分析
2.5.1课程设计目标:
1:
在校园网中建成一个适合于信息采集、共享的内部网络,在此基础上建立起供用户使用的内部网络以及内部办公网络。
2:
使用访问控制列表、地址转换安全的实现到Internet的接入与访问,限制访问权限及实现在校园网内的全网互通。
2.5.2功能需求分析:
校园网分为三个子网:
教师子网,宿舍子网,实验子网。
其中宿舍子网用户在时间9a.m-5p.m不允许访问FTP服务器,可以访问WWW服务器。
实验子网不允许访问Internet,宿舍子网和教师子网访问Internet不受限制。
同时,在RouterA上应用ACL,宿舍子网不可以访问FTP服务,宿舍子网可以访问其他网络的任何资源,对教师子网的任何访问不做限制。
第3章:
系统总体规划和拓扑设计文档
为了保证网络的稳定性,接入层和汇聚层通过两条链路相连,汇聚层交换机通过VLAN1中的接口F0/1与RouterA相连,RouterA通过广域网口和RouterB相连,RouterB则通过以太网口连接到ISP,
升级会员 