网络集成实习报告.docx
《网络集成实习报告.docx》由会员分享,可在线阅读,更多相关《网络集成实习报告.docx(15页珍藏版)》请在冰豆网上搜索。
网络集成实习报告
网络集成实习报告
江苏科技大学
一、实习目的
本实习是网络工程专业的一门核心骨干课,是本专业学生必须学习和掌握的基本专业课程。
通过几周的实习,加深对网络组网技术的理解和掌握,提高实践能力,为今后的实际工作打下基础,被实践课的主要目的:
(1)熟练掌握子网划分方法;
(2)了解并熟练运用各路由协议,静态路由及动态路由协议;
(3)了解Vlan划分的目的及方法;
(4)掌握交换机与路由器的基本配置
二、实习要求
校园网的建设是现代教育发展的必然趋势,建设校园网不仅能够更加合理有效地利用学校现有的各种资源,而且为学校未来的不断发展奠定了基础,使之能够适合信息时代的要求。
校园网络的建设及其与Internet的互联,已经成为教育领域信息化建设的当务之急。
假设学校有100台计算机,请规划各个部门,便于管理。
二、实习的内容
(一)建设校园网的必要性
校园网特点就是把分布在校园不同地点的多台电脑连接,按照网络协议相互通信,以共享软件、硬件和数据资源为目标的网络系统。
提供丰富的教育教学信息和资源是校园网的生命力。
校园网络具有距离短、延时少、相对成本低和传输速率高等优点;它的低层协议较简单,控制选择等问题大大简化,因而又具有组网简单、易于实现的特点。
校园网的功能作用主要体现在以下四个方面:
(1)信息传递。
这是校园网络最基本的功能之一,用来实现电脑与电脑之间传递各种信息,使分散在校园内不同地点的电脑用户可以进行集中的控制管理。
在校务部门建立网络服务器,可以为整个校园网络提供各类教学资源,并对这些资源进行综合管理。
(2)资源共享。
①信息资源共享。
通过接入ddn或isdn,很容易将校园网连接到internet,这样,网络内的各电脑终端不但可以互通信息资源,而且可以享受网络服务器上的相关数据及internet网上取之不尽,用之不竭的巨大信息资源,校园网在教学活动中的作用也将成倍地增强。
②硬件资源共享。
网络中各台电脑可以彼此互为后备机,一旦某台电脑出现故障,它的任务就由网络中其他电脑代而为之,当网络中的某台电脑负担过重时,网络又可将新的任务转交给网络中较空闲的电脑完成。
(3)方便教学。
网络可以进行图、文、声并茂的多媒体教学,可以取代语言实验室进行更生动的语言教学,也可以利用大量现成的教学软件,提供一个良好的教学环境,这些都是以往任何教学手段所不能达到的。
校园网络不但可以在校内进行网络教学,还很容易同外界大型网络连结,形成更大范围的网络交互学习环境。
(二)校园网系统设计原则
网上资源丰富,包含各种教学和科研内容信息,学生可以方便地浏览和查询网上资源实现远程学习,通过网上学习学会信息处理能力。
学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享,因此,校园网的建设必须有明确的建设目标。
校园网的总体设计原则是:
实用性 应当从实际情况出发,使之达到使用方便且能发挥效益的目的。
采用成熟的技术和产品来建设该系统。
要能将新系统与已有的系统兼容,保持资源的连续性和可用性。
系统是安全的,可靠的。
使用相当方便,不需要太多的培训即可容易的使用和维护。
先进性采用当前国际先进成熟的主流技术,采用业界相关国际标准。
设备选型要是先进和系列化的,系统应是可扩充的。
便于进行升级换代。
建立Intranet/Internet模式的总体结构,符合当今信息化发展的趋势。
通过Intranet/Internet的建立,加速国内外院校之间的信息交流。
安全性采用各种有效的安全措施,保证网络系统和应用系统安全运行。
安全包括4个层面-网络安全,操作系统安全,数据库安全,应用系统安全。
由于Internet的开放性,世界各地的Internet用户也可访问校园网,校园网将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。
同时要建立系统和数据库的磁带备份系统。
可扩充性采用符合国际和国内工业标准的协议和接口,从而使校园网具有良好的开放性,实现与其他网络和信息资源的容易互联互通。
并可以在网络的不同层次上增加节点和子网。
一般包括开放标准、技术、结构、系统组件和用户接口等原则。
在实用的基础上必须采用先进的成熟的技术,选购具有先进水平的计算机网络系统和设备,并保留向ATM过渡的自然性。
由于计算机技术的飞速发展和计算机网络技术的日新月异,网络系统扩充能力的大小已变得非常重要,因此考虑网络系统的可扩充性是相当重要的。
可管理性设计网络时充分考虑网络日后的管理和维护工作,并选用易于操作和维护的网络操作系统,大大减轻网络运营时的管理和维护负担。
采用智能化网络管理,最大程度地降低网络的运行成本和维护。
高性能价格比 结合日益进步的科技新技术和校园的具体情况,制定合乎经济效益的解决方案,在满足需求的基础上,充分保障学校的经济效益。
坚持经济性原则,力争用最少的钱办更多的事,以获得最大的效益。
(三)网络系统设计
(1)系统构成
校园信息系统网络应是为办公、科研和管理服务的综合性网络系统。
一个典型的信息系统网络通常由以下几部分组成:
1.网络主干,用于连接各个主要建筑物,为主要的部门提供上网条件,主干的选型和设计是信息系统网络的主要工作之一。
2.Vlan划分(虚拟局域网系统),以各个职能部门为单位而建立、独立的计算环境和实验环境。
3.主机系统,网络中心的服务器和分布在各个LAN上的服务器是网络资源的载体,它的投资和建设也是信息系统网络建设的重要工作。
4.应用软件系统,包括网上Web公共信息发布系统、办公自动化系统、管理信息系统、电子邮件系统、行政办公系统、人事管理系统和财务系统等专用的系统。
我们认为更主要的是建设内部的Intranet系统。
5.出口(通讯)系统,是指将信息系统网络与Internet等广域网络相连接的系统。
(2)网络技术选型
在局域和园区网络中有多种可选的主流网络技术,以下我们将针对不同技术类型,简单阐明其特点,为我们的技术选型提供科学的依据。
主要选用以下三种网络技术方案:
以太网络技术、FDDI网络、ATM网络。
结合校园网系统设计原则和用户的具体需求,我们可以得出一个最佳的主干设计方案。
所推荐的方案采用交换式千兆以太网作为校园网范围内的全网主干。
主干网选用千兆以太网,其第三层以太网路由器交换机大都满足IEEE802.3标准,技术成熟,具有流量优先机制能有效的保证多媒体传输时的QOS。
(3)网络基本结构设计
1.网络采用树形拓扑结构,树形结构是总线形的延伸,它是一个分层分支的结构。
一个分支和节点故障不影响其他分支和节点的工作。
像总线结构一样,它也是一种广播式网络。
任何一个节点发送的信息,其它节点都能接收。
此种结构的优点是在原网上易于扩充。
2.校园网主干设备采用两台100/1000M自适应全双工交换机,连接各部门局域网及用于连接外网的路由器。
3.为了便于网络管理,抑制网络风暴,提高网络安全性能,校园网划分为两个虚拟子网(VLAN),通过路由交换机本身线速的路由能力建立起VLAN之间的高速连接。
4.选用一台Cisco路由器将校园网连入Internet。
5.在需进行动态获取地址的部门设置一台DHCP服务器用于动态获取IP地址。
6.网络中心配置两台网络服务器:
1台服务器用作WebServer、DNSServer;1台用作备用DNSServer、E-mailServer、FTP等。
(4)网络实现功能
本网络除了能够实现文件打印服务、网络数据通信、校园网络管理系统等一般网络的基本功能外,外部网络还可实现基于Intranet/Internet的信息服务。
提供Internet的访问、电子邮件服务等功能,如果需要还可提供远程访问的功能,同时可以在Internet上发布信息。
1.DHCP功能对于某些地点配置静态IP过于麻烦,浪费时间,因此利用DHCP功能,为每台PC机动态获取IP地址,节省人力,时间。
2.Vlan划分对于办公楼等地方,都存有重要的内部信息等,不能允许学生或外部人员随意访问,因此通过划分Vlan,禁止双方互相通信。
3.VTP设置在本课程设计中虽然只划分了两个Vlan,但在实际运行过程中,可能会随时添加或修改Vlan信息,因此将其中一交换机设置成server模式,其他交换机设置成client模式,通过动态获取Vlan信息使Vlan的维护和修改更加方便省力。
4.动态NAT在本课程设计中,校园内部网均使用了私有IP地址,而实际生活中,私有IP地址不能在Internet中通信,因此需通过配置NAT,将私有地址转化成公有地址。
由于需转化的用户很多,并且不能允许外部网进入到内部网中,因此应配置动态NAT
5.扩展ACL在端口中添加访问控制列表,以添加约束,组织Vlan间相互通信,保证一些机密数据信息的保密性和安全性。
三、绘制拓扑结构图
四、详细步骤
(一)Vlan及IP规划
1、各部门的Vlan及IP规划
Vlan号
部门
IP网段
IP地址范围
默认网关
Vlan10
宿舍楼
192.168.10.0/24
10.2-10.99
192.168.10.1
Vlan10
教学楼
192.168.10.0/24
10.100-10.253
192.168.10.1
Vlan20
办公楼
192.168.20.0/24
20.2-20.49
192.168.20.1
Vlan20
图书馆
192.168.20.0/24
20.50-20.254
192.168.20.1
2、交换机管理Vlan及IP地址
Vlan号
IP地址
接口
Vlan1
192.168.0.2
Fastether0/24
3、与路由器连接的外部网段
200.10.10.0/24
210.1.1.0/24
(二)接入层终端设备
1、宿舍楼
对于宿舍楼的IP管理,采用动态分配IP地址,在该部门加了一台DHCP服务器,使各宿舍的计算机从该服务器获取IP地址。
对于DHCP服务器的配置:
(1)displayname:
DHCPserver
(2)IPConfiguration:
IPaddress:
192.168.10.254
SubnetMask(子网掩码):
255.255.255.0
DefaultGateway(默认网关):
192.168.10.1
(3)DHCP:
Service:
on
DefaultGateway:
192.168.10.1
DNSserver(域名服务器):
192.168.10.254
StartIPaddress:
192.168.10.2
MaximumnumberofUsers:
98
2、教学楼、图书馆、办公楼
这些部门均需静态配置IP地址。
3、四个部门每个部门均有一单独交换机与之相连即四台交换机,从而便于管理。
(三)分布层交换机
分布层由两台交换机组成即DistributeSwitch1及DistributeSwitch2,其中DistributeSwitch1与宿舍楼和图书馆的两台交换机相连,而DistributeSwitch2与教学楼和办公楼的两台交换机相连。
(1)设置交换机名称。
也就是出现在交换机CLI提示符中的名字。
一般以地理位置或行政划分来为交换机命名。
当需要Telnet登录到若干台交换机以维护一个大型网络时,通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。
因此将两个交换机分别命名为:
DistributeSwitch1和DistributeSwitch2。
(2)设置加密使能口令。
当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。
此口令会以MD5的形式加密,因此,当用户查看配置文件时,无法看到明文形式的口令。
Switch>en
Switch#conft
Switch(config)#enablesecretadmin
(3)设置远程登录虚拟终端口令。
对于一个已经运行着的交换网络来说,交换机的带内远程管理为网络管理人员提供了很多的方便。
但是,出于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。
Linevty015就是指同时允许16个虚拟终端登陆进行配置
(4)在DistributeSwitch1中添加管理Vlan,即Vlan1,并为其配置管理
(5)配置中继链路。
中继链路是只承载标记数据(即具有VLANID标签的数据包)的干线链路,只能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备。
中继链路最通常的实现就是连接两个VLAN交换机的链路。
在DistributeSwitch1与DistributeSwitch2间设置Vlan中继,使同一Vlan的设备可以相互通信。
(6)在DistributeSwitch1与DistributeSwitch2中均添加Vlan10与Vlan20。
(7)配置VTP。
当网络中交换机数量很多时,需要分别在每台交换机上创建很多重复VLAN。
工作量很大、过程很繁琐,并且容易出错。
在实际工作中常采用VLAN中继协议(VlanTrunkingProtocol,VTP)来解决这个问题。
VTP允许在一台交换机上创建所有的VLAN。
然后,利用交换机之间的互相学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。
同时,有关VLAN的删除、参数更改操作均可传播到其他交换机。
从而大大减轻了网络管理人员配置交换机的负担。
因此,将DistributeSwitch1设置为VTPserver,并将DistributeSwitch2设置为VTPclient。
(四)核心层路由器
设置一台路由器,用于连接校园网与外部网,实现校园局域网与Internet将路由器与内部网的分布与两台交换机相连。
(1)对路由器进行命名,即CoreRouter。
(2)配置加密使能口令,远程访问虚拟终端口令等。
(3)对路由器的两个Fastethernet接口设置IP地址及子网掩码,即Vlan10与Vlan20的各终端设备的网关地址。
即:
Fastethernet0/0:
192.168.10.1255.255.255.0
Fastethernet0/1:
192.168.20.1255.255.255.0
(4)在路由器连接外网的接口上配置IP地址及子网掩码。
即:
Serial2/0:
200.10.10.1255.255.255.0
(5)配置NAT。
NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
动态转换可以使用多个合法外部地址集。
当ISP提供的合法IP地址略少于网络内部的计算机数量时。
可以采用动态转换的方式。
因此,在本课程设计中使用动态NAT配置来实现内部网对外部网的访问。
(6)配置ACL。
路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵地。
路由器上的访问控制列表(AccessControlList,ACL)是保护内网安全的有效手段。
一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护。
具体可以有以下几项:
a)在Fastethernet0/1上添加ACL,阻止Vlan10与Vlan20之间相互通信
b)对外屏蔽远程登录协议telnet,telnet是一种不安全的协议类型。
用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。
这是极其危险的,因此必须加以屏蔽。
c)对外屏蔽其它不安全的协议或服务这样的协议主要有SUNOS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。
d)针对DoS攻击的设计。
DoS攻击是一种非常常见而且极具破坏力的攻击手段,它可以导致服务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。
e)保护路由器自身安全。
作为内网、外网间屏障的路由器,保护自身安全的重要性也是不言而喻的。
为了阻止黑客入侵路由器,必须对路由器的访问位置加以限制。
应只允许来自服务器群的IP地址访问并配置路由器。
五、路由器及交换机的配置代码
(一)路由器配置代码
1、路由器命名:
Router(config)#hostnameCoreRouter
2、设置路由器加密使能口令:
CoreRouter(config)#enablesecret123
3、设置远程访问虚拟终端口令:
CoreRouter(config)#linevty04
CoreRouter(config-line)#passwordabc
CoreRouter(config-line)#login
CoreRouter(config-line)#exit
4、配置NAT(私有IP地址转换为公用IP地址):
1)对Vlan10中的地址:
CoreRouter(config)#ipnatpoolaa200.10.10.3200.10.10.12netmask255.255.255.240(配置外网的IP地址及子网掩码)
CoreRouter(config)#access-list11permit192.168.10.00.0.0.255
//允许访问Internet的网段为172.16.100.0~172.16.100.255,反掩码为0.0.0.255
CoreRouter(config)#ipnatinsidesourcelist11poolaa
//置内部本地地址与内部全局地址的影射关系
reRouter(config)#interfacefastEthernet0/0(代表路由器上的0号物理接口)
CoreRouter(config-if)#ipnatinside(对于路由器来说一般是局域网,一般是私有地址连接口)
CoreRouter(config-if)#exit
CoreRouter(config)#interfaceserial2/0(串行端口)
CoreRouter(config-if)#ipnatoutside(对于路由器来说一般是广域网,一般是公有地址连接口)
CoreRouter(config-if)#exit
2)对Vlan20中的地址:
CoreRouter(config)#ipnatpoolbb200.10.10.17200.10.10.30netmask255.255.255.240(配置地址池)
CoreRouter(config)#access-list12permit192.168.20.00.0.0.255
CoreRouter(config)#ipnatinsidesourcelist12poolbb
CoreRouter(config)#interfacefastEthernet1/0
CoreRouter(config-if)#ipnatinside
CoreRouter(config-if)#exit
CoreRouter(config)#interfaceserial2/0
CoreRouter(config-if)#ipnatoutside
CoreRouter(config-if)#exit
5、配置ACL:
1)阻止Vlan10与Vlan20间的通信,在fastethernet0/1上使用:
CoreRouter(config)#access-list102denyicmp192.168.20.00.0.0.255192.168.10.00.0.0.255
//限制了192.168.10.0和192.168.20.0的整个一个C网络
CoreRouter(config)#access-list102permiticmpanyany(准许ping入)
CoreRouter(config)#intfa1/0
CoreRouter(config-if)#ipaccess-group102in(out是用于过滤进站的包)
CoreRouter(config-if)#exit
2)对外屏蔽远程登录协议telnet:
CoreRouter(config)#access-list101denytcpanyanyeqtelnet
CoreRouter(config)#access-list101permitipanyany
CoreRouter(config)#intserial2/0
CoreRouter(config-if)#ipaccess-group101in
CoreRouter(config-if)#exit
3)对外屏蔽其它不安全的协议或服务:
CoreRouter(config)#access-list103denytcpanyanyrange512514
CoreRouter(config)#access-list103denytcpanyanyeq111
CoreRouter(config)#access-list103denyudpanyanyeq111
CoreRouter(config)#access-list103denytcpanyanyrange2049
CoreRouter(config)#access-list103permitipanyany
CoreRouter(config)#intserial0/1/0
CoreRouter(config-if)#ipaccess-group103in
CoreRouter(config-if)#exit
4)针对DoS攻击的设计:
CoreRouter(config)#access-list104denyicmpanyanyeqecho-request
CoreRouter(config)#access-list104denyudpanyanyeqecho
CoreRouter(config)#intserial2/0
CoreRouter(config-if
升级会员 