网工网络实训报告.docx

1、网工网络实训报告网络实训报告课程名称 网络实训 课题名称 ACL标准访问控制列表 &路由器实现VLAN间通信 专 业 网络工程 班 级 学 号 姓 名 指导教师 陈淑红、张晓清 2016年 12 月 28 日湖南工程学院课 程 设 计 任 务 书课程名称 网络实训 课 题 ACL标准访问控制列表 &路由器实现VLAN间通信专业班级 网络工程 学生姓名 学 号 指导老师 陈淑红、张晓清 审 批 任务书下达日期 2016 年 12 月 16 日任务完成日期 2016 年 12 月 28 日 网络实训任务书1 设计内容与设计要求1.1设计内容课题1 路由器实现VLAN间通信实训内容 首先连接实验拓扑

2、图，然后创建vlan10和vlan20，接着进行交换机端口分配给vlan和配置交换机的trunk端口，完成上述步骤后，进行配置路由器子接口。最后配置电脑，进行调试。课题2 动态路由RIP配置实训内容 动态路由协议采用自适应路由算法，能够根据网络拓扑的变化而重新计算最佳路由。首先连接网络拓扑图，完成各个端口的基本配置，接着进行RIP路由协议的配置，包括启用路由器RIP协议第二版本，配置network等，配置结束后，最后进行检测。课题3 动态路由OSPF配置实训内容OPSF即开放式最短路径优先，是一个内部网关协议。首先连接网络拓扑图，对各个路由器进行基本配置，接着进行OSPF配置，包括启动OSPF

3、以及network的配置等，完成后进行检测。课题4 局域网的访问控制之ACL标准访问控制列表实训内容 你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门PC2不能对财务部门PC3进行访问，但经理部PC1可以对财务部门PC3进行访问。课题5 局域网的访问控制之扩展访问控制列表实训内容 学校规定学生只能对服务器进行FTP访问，不能进行WWW访问，教工则没有此限制。连接网络拓扑，在交换机上配置扩展ACL，以实现要求，最后进行检测。课题6 网络边界的NAT地址转换实训内容配置各路由器和PC地址的IP地址，并使

4、用ping命令确认直连接口相互可以ping通。分别用静态地址转换，动态地址转换，PAT三种方式。最后进行检测。1.2 选题方案：每个同学需要完成上述题目中的两个题目。其中一个题目根据学号确定，学号模6加1，即（学号%6+1）。如你的学号为16，则所选题目号为：16%6+1（题目5）。每个同学除了做出指定序号的题目外，再自选16中另外一个课题做。1.3设计要求1.3.1网络实训报告规范实训报告内容需求分析： 从功能需求，性能需求，运行环境需求，可靠性需求，安全需求等方面进行分析。网络规划包括网络结构分析，网络架构设计，网络设备选用，IP地址规划，安全规划，网络拓扑图等。网络实施包括配置的思路，设

5、计的原理及应用，具体的网络配置命令等。调试分析包括测试目标，测试数据，测试过程，测试结果等。心得体会参考文献评分表附件包括所有的配置命令 （2）书写格式课程设计报告装订顺序：封面、任务书、目录、正文、评分、附件（A4大小的图纸及程序清单）。 正文的格式:一级标题用3号黑体,二级标题用四号宋体加粗, 三级标题用小四号宋体加粗，正文用小四号宋体;行距为22。正文总字数要求在5000字以上（不含配置命令）。1.3.2考核方式指导老师负责验收程序的运行结果，并结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评，并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。具体考

6、核标准包含以下几个部分：（1）平时出勤 （占10%）（2）原理阐述，拓扑结构，交换设备配置合理与否（占10%）（3）实验结果是否正确（占40%）（4）设计报告（占30%）注意：不得抄袭他人的报告（或给他人抄袭），一旦发现，成绩为零分。（5）独立完成情况（占10%）。1.3.3 课程验收要求（1）运行所设计的系统。（2）回答有关问题。（3）提交网络实训报告。2 进度安排第 17周：星期日 14：0018：00 上机 第 18 周：星期一8：0012：00 上机 第 18周：星期三 14：0018：00 上机 第 18周：星期四 14：0018：00 上机 目 录1 局域网的访问控制之ACL标准访

7、问控制列表 1 1.1 需求分析 1 1.2 网络规划 11.2.1 网络结构分析 11.2.2 网络设备选用 21.2.3 IP地址规划配置 21.2.4 实验拓扑图 4 1.3网络实施 41.3.1 实验原理 41.3.2 网络配置命令 51.3.3 配置ACL访问控制列表 6 1.4调试分析 71.4.1 测试目标 71.4.2 测试结果 72 路由器实现VLAN间通信 8 2.1 需求分析 82.1.1 实验目的 82.1.2 实验思想 9 2.2 网络规划 102.2.1 结构分析 102.2.2 网络设备选用 102.2.3 IP地址规划配置 102.2.4 实验拓扑图 13 2.

8、3网络实施 142.3.1 实验原理 142.3.2 网络配置命令 16 2.4 调试分析 172.4.1 测试目标 172.4.2 测试结果 183 心得体会 194 参考文献 21 网络实训报告1 局域网的访问控制之ACL标准访问控制列表1.1 需求分析 公司的经理部PC1、销售部PC2、财务部PC3分属于不同的网段，3个PC之间用路由器连接。为安全起见，要求经理部的PC1能访问财务部的PC2，但是销售部的PC1不可以可以访问财务部的PC3。1.2 网络规划 1.2.1网络结构分析选用两台路由器连通各PC所在的网段，在router1中设置访问控制列表并且将该列表应用到f0/0端口，使得来自

9、PC1的流量可以通过而来自PC2的流量不可以通过。一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。如果设备使用了TCAM，比如aute U3052交换机，那么所有的ACL是并

10、行执行的。举例来说，如果一个端口设定了多条ACL规则，并不是逐条匹配，而是一次执行所有ACL语句。ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。假设在的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能

11、检查源IP地址，所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上（E0接口），网络才能准确实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢

12、弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。ACL的主要的命令 命令描述access-list 定义访问控制列表参数ip access-group 指派一个访问控制列表到一个接口ip access-list extended 定义一个扩展访问控制列表Remark 注释一个访问控制列表show ip access-list 显示已配置的访问控制列表。 1.2.2 网络设备选用 先准备三台主机,两台路由器,直连线或交叉线3条。 1.2.3 IP地址规划配置首先给各台PC机配置IP地址与网关 点击PC

13、1在桌面上选择IP设置用来给PC1配置IP地址，其IP地址为172.16.1.5，掩码为255.255.255.0，网关为172.16.1.1。完成设置后如图2.1： 图2.1PC1 IP地址设置 点击PC2在桌面选择IP设置来给PC2配置IP地址，其IP地址为172.16.2.8，掩码为255.255.255.0，网关为172.16.2.1。完成设置后如图2.2： 图2.2PC2 IP地址设置 点击PC3在桌面给PC3配置IP地址，其IP地址为172.16.4.2，掩码为255.255.255.0，网关为172.16.4.1。完成设置后如图2.3： 图2.3PC3 IP地址设置1.2.4实验

14、拓扑图 从软件下方拖出两个路由器、三台PC机按顺序将设备连接起来，连接完成后的如图2.4： 图2.4 实验拓扑图1.3网络实施 1.3.1 实验原理 ACL是实现对流经路由器或交换机数据包根据一定的规划进行过滤，从而提高网络可管理性和安全性。IP ACL分两种：标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规划，进行数据包的过滤。扩展访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规划，进行数据包的过滤。所以在router1中设置创建一个ACL控制访问列表,将这个控制列表应用到其上的F0/0接口以达到控制流量来往的目的。之所以将列表应用

15、到F0/0接口，是因为该实验目的是控制访问财务部的PC3，如果将其应用到F0/1接口的话，那么所有来自PC2的流量都将无法通过router1。静态路由是指由用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。在一个支持DDR（Dial-on-Demand Routing）的网络中，拨号链路只在

16、需要时才拨通，因此不能为动态路由信息表提供路由信息的变更情况。在这种情况下，网络也适合使用静态路由。使用静态路由的好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此，网络出于安全方面的考虑也可以采用静态路由。不占用网络带宽，因为静态路由不会产生更新流量。大型和复杂的网络环境通常不宜采用静态路由。一方面，网络管理员难以全面地了解整个网络的拓扑结构；另一方面，当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。当网络发生变化或网络发生故障时，不能重选路由，很

17、可能使路由失败。1.3.2 网络配置命令 （1）Router0路由器F0/0端口IP地址配置 172.16.1.5 Router(config)#interfacefastEthernet0/0（进入F0/0端口） Router(config-if)#ipadd172.16.1.5255.255.255.0（给端口配置IP地址） Router(config-if)#noshutdown （将端口打开） （2）Router0路由器F0/1端口IP地址配置 172.16.2.8 Router(config)#interfacefastEthernet0/1（进入F0/1端口） Router(con

18、fig-if)#ipadd172.16.2.8255.255.255.0（给端口配置IP地址） Router(config-if)#noshutdown （将端口打开） （3）Router0路由器F1/0端口IP地址配置 172.16.3.1 Router(config)#interfacefastEthernet1/0（进入F1/0端口） Router(config-if)#ipadd172.16.3.1255.255.255.0（给端口配置IP地址） Router(config-if)#noshutdown （将端口打开）（4）Router0路由器配置静态路由条目 Router(confi

19、g)#iproute 172.16.4.0255.255.255.0172.16.3.2（去往4.0网段的数据包送到3.2端口）（5）Router路由器F0/0口IP地址配置 172.16.4.1 Router(config)#interfacefastEthernet0/0（进入F0/0端口） Router(config-if)#ipadd172.16.4.1255.255.255.0（给端口配置IP地址） Router(config-if)#noshutdown （将端口打开）（6）Router1路由器F0/1口IP地址配置 172.16.3.1 Router(config)#interf

20、acefastEthernet0/1（进入F0/1端口） Router(config-if)#ipadd 172.16.3.1255.255.255.0（给端口配置IP地址） Router(config-if)#noshutdown（将端口打开）（7）Router1路由器配置静态路由条目 Router(config)#iproute172.16.1.0255.255.255.0172.16.3.1（去往1.0网段的数据包送到3.1端口） Router(config)#iproute172.16.2.0255.255.255.0172.16.3.1（去往2.0网段的数据包送到3.1端口）1.3.

21、3配置ACL访问控制列表 本次实验中的要求主要是用ACL控制访问列表来实现，其具体命令如下： Router(config)#access-list1deny 172.16.2.00.0.0.255 （拒绝网段2.0的流量通过） Router(config)#access-list1permit172.16.1.00.0.0.255 （允许网段1.0的流量通过） Router(config)#interfacefastEthernet0/0（进入F0/0端口） Router(config-if)#ipaccess-group1out （在接口F0/0应用访问控制列表） 1.4调试分析1.4.1测

22、试目标 从经理部使用PC1使用ping命令能够得到PC3的回复，但是从销售部的PC2使用ping命令无法得到PC3的回复。1.4.2测试结果 图4.1 PC1测试图 从图4.1中可看出使用ping命令后PC1可以ping通PC3，从 PC1发出的数据包都得到了PC3的回复。该项目标达到试验要求，测试成功。 图4.2 PC2测试图 从测试结果图4.2可以看到使用ping命令后从 PC2发出的数据包无法得到PC3的回复，证明PC2的流量无法通过router1的F0/0接口，符合验要求，测试成功。2 路由器实现VLAN间通信2.1 需求分析 该实验要求在同一台交换机上的不同VLAN间能够通信，因此需

23、要在交换机配置两个VLAN,因为不同VLAN间无法直接通信，所以需要使用三层交换机或者使用一个路由器做单臂路由，根据该实验要求使用路由器，因此该实验重点在使用路由器做单臂路由，在交换机上将相应的端口上划分给不同VLAN，给相应的pc配置IP地址与网关，然后将交换机与路由器之间连接的端口做trunk并将路由器做单臂路由以实现不同VLAN间的通信。 2.1.1 实验目的 一般情况下VLAN之间无法直接通信，本次实验要求掌握在路由器做单臂路由和来实现VLAN间的通信，实验要求掌握单臂路由及封装dotlq协议，以实现不同VLAN间的通信。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并

24、不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。 在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信，需要通过一个或多个路由

25、器。这样的一个广播域就称为VLAN。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很

26、好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使

27、网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。 物理位置不同的多个主机如果划分属于同一个VLAN，则这些主机之间可以相互通信。物理位置相同的多个主机如果属于不同的VLAN，则这些主机之间不能直接通信。VLAN通常在交换机或路由器上实现，在以太网帧中增加VLAN标签来给以太网帧分类，具有相同VLAN标签的以太网帧在同一个广播域中传送。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制

28、广播范围，并能够形成虚拟工作组，动态管理网络。2.1.2 实验思想首先连接实验拓扑图，然后在交换机创建vlan10和vlan20，接着将各交换机端口所对应的PC划分给vlan10和vlan20再将交换机与路由器相连接的端口设置为trunk端口，完成上述步骤后，对路由器的单臂路由及配置封装dot1Q协议进行操作。然后配置电脑IP地址与网关，最后进行调试分析。单臂路由（router-on-a-stick）是指在路由器的一个接口上通过配置子接口（或“逻辑接口”，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。在Cisco网络体系中，单臂路由是一个重要的学习知

29、识点。通过单臂路由的学习，能够深入的了解VLAN（虚拟局域网）的划分、封装和通信原理，理解路由器子接口、ISL协议和802.1Q协议2.2 网络规划 2.2.1 结构分析 本次实验用到了二层交换机用来划分两个不同VLAN，交换机的四个接口各连接四台PC还有一个接口连接路由器，将交换机的该接口配置一个trunk接口。后与路由器连接。 VLAN的中继端口叫做trunk。trunk技术用在交换机之间互连，使不同VLAN通过共享链路与其它交换机中的相同VLAN通信。交换机之间互连的端口就称为trunk端口。trunk是基于OSI第二层数据链路层（DataLinkLayer)的技术。两台交换机上分别创建

30、了多个VLAN（VLAN是基于Layer 2的），在两台交换机上相同的VLAN（比如VLAN10）要通信，需要将交换机A上属于VLAN10的一个端口与交换机B上属于VLAN10的一个端口互连；如果这两台交换机其它相同VLAN间需要通信，那么交换机之间需要更多的互连线，端口利用率就太低了。 交换机通过trunk功能，事情就简单了，只需要两台交换机之间有一条互连线，将互连线的两个端口设置为trunk模式，这样就可以使交换机上不同VLAN共享这条线路。交换端口两种模式：access和trunk。连接终端（如PC）用access模式，设备级连接用trunk模式。把access端口加入到某个 VLAN，

31、那么这个端口就只将这个VLAN的数据转发给PC，PC发送的数据通过这个端口后会打上这个VLAN的ID，转发到相同VLAN。 2.2.2 网络设备选用四台PC、一台二层交换机、一台2811路由器 2.2.3 IP地址规划配置 PC IP地址 网关 VLANPC0192.168.1.10192.168.1.2VLAN 10PC1192.168.1.10192.168.1.2VLAN 10PC3192.168.1.10192.168.2.2VLAN 20PC4192.168.1.10192.168.2.2VLAN 20 表2.1 IP地址规划表 点击PC0在桌面给PC0配置IP地址，其IP地址为192.16