计算机网络综合设计报告答案文档格式.docx
《计算机网络综合设计报告答案文档格式.docx》由会员分享,可在线阅读,更多相关《计算机网络综合设计报告答案文档格式.docx(8页珍藏版)》请在冰豆网上搜索。
一、背景描述
某公司计划建设自己的网络,希望通过这个新建网络,提供一个安全可靠、可扩展、高效的网络环境。
使公司能够方便快捷的实现网络资源共享、接入Internet等目标。
二、公司环境和要求
1、公司有4个部门:
市场部(30台主机)、财务部(4台主机)和经理部(2台主机)以及网络部(3台服务器主机:
分别提供www、FTP、DHCP服务)。
2、公司内部使用私有地址段172.16.0.0/16。
公司租用了三间大型写字间,每间的职员位置固定。
已有的机器的分布如下:
(1)市场部1~20号主机与经理部的两台分布于房间1,接在交换机SW1上;
(2)市场部21~30号主机与财务部的4台主机分布于房间2,接在交换机SW2上;
(3)网络部的三台服务器分布于房间3,接在交换机SW3上。
要求将不同职能的计算机划分成独立组群:
市场部、财务部、经理部、服务器组。
(提示:
采用VLAN技术实现不同组群相互间的隔离;
在此基础上,利用路由器实现VLAN间的通信。
)
3、全公司除服务器以外的所有主机通过DHCP服务器实现地址自动分配,避免个人设置IP地址的麻烦。
需要在路由器上配置DHCP中继)
4、三个服务器使用固定的地址(WWW——172.16.4.2/24,FTP——172.16.4.3/24,DHCP——172.16.4.4/24),内网用户可通过内部地址访问这些服务器。
5、公司只申请到有限个接入公网的IP地址(202.1.1.2/29~202.1.1.6/29),供企业内网接入公网使用。
其中202.1.1.3分配给公司网络部的WWW服务器,以提供对外Web服务,
余下的地址可供员工上网使用。
公司的FTP服务不提供给外网。
采用ACL+NAT)
6、为了确保财务部数据安全,财务部与外部公网不能互访;
内部仅允许经理部访问财务部,其他部门均不能与财务部互访。
其他部门(市场部、经理部、网络部)之间,可以相互访问。
采用ACL技术)
7、公司为外地出差员工提供“远程接入式VPN”服务,使得外地员工可以通过公网连接以账户+密码的方式接入到公司内部网络。
该类接入用户统一安排172.16.5.0/24的地址段。
三、IP地址分配
综合公司环境和网络使用要求,内网地址安排为:
经理部Manager:
172.16.1.0/24
财务部Finance:
172.16.2.0/24
市场部Market:
172.16.3.0/24
网络部Servers:
172.16.4.0/24
远程接入VPN地址池:
172.16.5.0/24
四、网络拓扑结构
图1网络拓扑结构
五、相关原理简述
1.NAT
网络地址转换NAT(NetworkAddressTranslation),被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
默认情况下,内部IP地址是无法被路由到外网的,例如,内部主机10.1.1.1要与外部internet通信,IP包到达NAT路由器时,IP包头的源地址10.1.1.1被替换成一个合法的外网IP,并在NAT转换表中保存这条记录。
当外部主机发送一个应答到内网时,NAT路由器收到后,查看当前NAT转换表,用10.1.1.1替换掉这个外网地址。
NAT可将网络划分为内部网络和外部网络两部分,局域网主机利用NAT访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包。
2.VLAN
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:
网络设备的移动、添加和修改的管理开销减少;
可以控制广播活动;
可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。
不同的广播域之间想要通信,需要通过一个或多个路由器。
这样的一个广播域就称为VLAN。
交换机1配置:
交换机2配置:
交换机3配置:
3.ACL
访问控制列表(ACL)可以对经过路由器的数据包按照设定的规则进行过滤,使数据包有选择的通过路由器,起到防火墙的作用。
ACL由一系列规则组成,在规则中定义允许或拒绝通过路由器的条件。
其过滤依据主要包括源地址、目的地址、上层协议等。
主要用于限制访问网络的用户,保护网络的安全。
在Cisco路由器中的配置过程包括两步:
(1)、在网络设备上配置编号(或命名)的IP访问控制列表;
(2)、将该编号(该名字)的IP访问控制列表应用到设备的某一接口上。
根据设计中的要求:
确保财务部数据安全,财务部与外部公网不能互访;
根据图1拓扑结构可进行如下配置:
3.1为不同IP网络中的网络设备配置IP地址(网络设备包括PC机和路由器的网络接口)。
R0:
Fa0/0:
172.16.1.1/24;
Fa1/0:
172.16.2.1/24;
Se2/0:
172.16.3.1/30
R1:
172.16.4.1/24;
172.16.3.2/30
3.2在在路由器R0上设计标准ACL,使得财务部部网络的IP分组无法从接口Se2/0发出。
配置命令参考如下:
3.3在路由器R0上设计扩展ACL,使得经理部的主机可以访问财务部的Web页面,但不能ping通服务器。
3.4在经理部PC上的命令行里运行ftp172.16.4.4,从而访问服务器上的FTP服务,观察记录运行结果。
接着参照下面的配置命令修改R0上的ACL列表,然后再次在命令行里运行ftp172.16.4.4。
六、路由器配置
七、实验结果
升级会员 