j计算机网络课程设计报告.docx
《j计算机网络课程设计报告.docx》由会员分享,可在线阅读,更多相关《j计算机网络课程设计报告.docx(21页珍藏版)》请在冰点文库上搜索。
j计算机网络课程设计报告
企业组网配置
一、使用设备
1.3560三层交换机1台
2.2960二层交换机5台
3.Linksys-WRT300N无线路由器1台
4.2621路由器1台
5.服务器1台
6.主机若干
7.来访客户主机若干
8.直连线、交叉线若干
说明:
以上设备是公司内部,在拓扑图中还将使用一台1841路由器和一台主机表示外网,以测试内外网通信情况。
二、方案设计及拓扑结构图
3.1方案设计
3.1.1子网划分
网段划分:
四个部门所处网段均位于192.168.0.0/16,且服务器ip所在网段为192.168.1.0/24,四部门不与之相同。
这里划分四个部门所在网段为:
行政部:
192.168.10.0/24网关:
192.168.10.254
市场部:
192.168.20.0/24网关:
192.168.20.254
客户服务部:
192.168.30.0/24网关:
192.168.30.254
开发部:
192.168.40.0/24网关:
192.168.40.254
实现设备:
考虑到四个部门分别划分为vlan,且路由器接口较少,三层交换机接口较多,适合做vlan划分,因此采用一台三层交换机实现四个网段的划分。
此外,各个部门主机数分别为5,10,10,15,在拓扑图中每个部门用两台主机作为代表。
每个部门划分一个二层交换机,用于主机与三层交换机之间的连接。
实现方法手段:
二层交换机与三层交换机相连接的端口设为trunk口,用于vlan间通信。
在三层交换机上命名四个vlan名为:
vlan10,vlan20,vlan30,vlan40,并分别配置网关,具体如上所示。
在二层交换机上也分别将各vlan加入各自数据库,并将与办公机相连的端口划分至对应vlan。
最终使四部门能相互之间能进行通信。
3.1.2两个IP的分配:
公司分配到的两个ip分别用于服务器的外网接口和内部电脑接入外网的路由器接口。
内部电脑访问Internet需要通过使用具有NAT功能的路由器实现,在该路由器上配置公司内网访问Internet的静态网络地址转换方式为:
192.168.0.0/16转换为221.10.251.218.
3.1.3公司用户访问Internet:
如上所言,通过具有NAT功能的路由器实现网络地址转换实现上网功能。
NAT功能的具体实现是通过在路由器IOS命令行中用设置外网接口和内网接口并设置静态地址转换的对应关系来达成。
3.1.4四部门访问公司服务器的控制:
在三层交换机上配置一个ACL,使之允许开发部而拒绝其他三个部门的主机访问服务器ftp。
在ACL中具体通过20和21端口可实现对ftp的控制,然后允许其他服务。
所用到的ACL由于限制了具体的协议、端口等信息,应使用扩展访问控制列表。
最后将配置好的ACL应用到三层交换机与服务器相连的端口,实现对流入服务器的数据包的控制。
3.1.5来访客户的访问控制
在无线路由器上配置局域网ip为192.168.254.1,使来访客户的网段位于192.168.254.0/24,无线路由器的Internet接口接具有NAT功能的路由器。
在具有NAT功能的路由器上设置第二处ACL,限制来访客户对公司四部门及服务器的访问,但允许其访问服务器上的公司官网,通过允许使用80端口对服务器的通信而拒绝来访客户的其他服务来实现。
3.1.6公司整体接入Internet的结构
公司采用一条光纤专线接入Internet,且两个ip的网关相同,因此使用一台交换机接入外网,使之具有相同的网关。
3.1.7设置登录显示语句banner
不妨选择具有NAT功能的路由器,使用“bannermotd+结束符”指令,输入显示学号姓名的语句完成该功能。
3.2拓扑结构图(要有简明扼要的文字说明,光纤部分可以用普通线代替)
3.3方案特点
1.使用四台交换机,能容纳的最大主机数大。
相比只使用一台三层交换机,能接入的主机数提高了许多。
在packettracer模拟环境中,可以发现一台三层交换机仅有24个快速以太网接口。
2.使用的设备较少,对于给定的3台三层交换机,3台路由器,只使用了1台三层交换机和2台路由器。
3.三层交换机既具有划分vlan的功能,又具有路由的功能。
四、各个功能实现的关键命令
1.划分vlan关键点:
三层交换机vlan间路由的建立
第1步:
开启三层交换机路由功能
Switch#configureterminal
Switch(conifg)#iprouting
第2步:
建立Vlan,并分配端口
Switch(conifg)#vlan10
Switch(config-vlan)#namevlan10
Switch(config-vlan)#exit
Switch(conifg)#interfacefastethernet0/1
Switch(conifg-if)#switchportmodeaccess
Switch(conifg-if)#switchportaccessvlan10
Switch(conifg-if)#exit
其余三个vlan的建立与上相同。
第3步:
配置三层交换机端口的路由功能
Switch(config)#interfacevlan10
Switch(conifg-if)#ipaddress192.168.10.254255.255.255.0
Switch(conifg-if)#noshutdown
Switch(conifg-if)#exit
第4步:
查看路由表
Switch#showiproute
2.NAT功能的实现:
采用静态网络地址转换
Router(config)#interfacef0/1
Router(config-if)#ipnatoutside
Router(config)#interfacef0/0
Router(config-if)#ipnatinside
Router(config)#ipnatinsidesourcestatic192.168.0.0221.10.251.217
3.ACL的实现:
采用扩展访问控制列表
3.1通过ACL控制四部门访问服务器—在三层交换机上配置
Switch(config)#access-list100permittcp192.168.40.00.0.0.255host192.168.1.2eq20
Switch(config)#access-list100permittcp192.168.40.00.0.0.255host192.168.1.2eq21
Switch(config)#access-list100denytcpanyhost192.168.1.2eq20
Switch(config)#access-list100denytcpanyhost192.168.1.2eq21
Switch(config)#access-list100permitipanyany
Switch(config)#interfacef0/5
Switch(config-if)#ipaccess-group100out
3.2通过ACL控制来访客户访问服务器—在具有NAT功能的路由器上配置
Router(config)#access-list110permittcp192.168.8.00.0.0.255host192.168.1.2eq80
Router(config)#access-list110permiticmp192.168.8.00.0.0.255host192.168.1.2
Router(config)#access-list110denyip192.168.8.00.0.0.255any
Router(config)#access-list110permitipanyany
Router(config)#interfacef0/0
Router(config-if)#ipaccess-group110out
4.设置登录显示语句banner—在具有NAT功能的路由器上设置
Router(config)#bannermotd#
Youhaveenteredasecuredsystem.
1142051077LiuShengzhong
1142051020YanXuechao
1142051082YangZhiliang
1142051161LiXin
#
备注:
功能实现截图
五、功能验证
5.1各部门主机互相通信情况
行政部与市场部行政部与客户服务部
行政部与开发部市场部与客服部
市场部与开发部客户服务部与开发部
5.2各部门主机与服务器通信情况(包括访问web和FTP的情况)
行政部:
PC1、PC2访问服务器web,在web浏览器中输入服务器地址,访问成功;
访问服务器ftp,在命令提示符中输入ftp192.168.1.2,访问被拒绝,显示超时;
市场部:
PC3、PC4访问服务器web,在web浏览器中输入服务器地址,访问成功;
访问服务器ftp,在命令提示符中输入ftp192.168.1.2,访问被拒绝,显示超时;
客户服务部:
PC5、PC6访问服务器web,在web浏览器中输入服务器地址,访问成功;
访问服务器ftp,在命令提示符中输入ftp192.168.1.2,访问被拒绝,显示超时;
开发部:
PC7、PC8访问服务器web,在web浏览器中输入服务器地址,访问成功;
访问服务器ftp,在命令提示符中输入ftp192.168.1.2,输入用户名cisco和密码cisco后访问成功,并且可以从服务器查看文件,重命名文件,下载文件。
用dir指令查看服务器文件:
用rename指令重命名服务器文件:
重命名第一个文件为a.bin。
5.3无线通信情况
在Laptop1上测试来访客户无线通信情况:
5.3.1访问四部门:
访问行政部:
显示超时
访问市场部:
显示超时
访问客户服务部:
显示超时
访问开发部:
显示超时
5.3.2访问公司服务器
访问服务器web:
可以访问公司官网
访问服务器ftp:
被拒绝,显示超时
5.3.3访问Internet
访问Internet:
可以访问
5.4其他(包括内网、外网访问、NAT等)
5.4.1四部门访问Internet:
行政部市场部
客户服务部开发部
5.4.2NAT功能的实现(静态网络地址转换)
5.4.3服务器访问Internet:
可以访问
六、问题与思考:
1.公司的三个部门与来访客户均不能通过内网访问服务器ftp,那么能否通过外网访问服务器外网接口,从而实现ftp的访问?
实际测试中可以发现,是可以的。
如果要让其也不能通过外网接口访问服务器ftp,只需在具有NAT功能的路由器上加上ACL,拒绝该三部门与来访客户的ftp请求,即可实现。
2.服务器能通过外网接口与Internet相互通信,且能ping通,通过在ciscopackettracer中放置数据包然后捕获的方式发现,他们之间默认的路线却是绕到内网的?
这个可能是软件模拟的问题,也可能是服务器的双网卡产生的问题,当然也可能是其他问题。
这个问题虽不影响该项目全部功能的实现,但如果实际中也是如此,那么服务器接入外网的那根网线作用就并不突出。
七、心得体会
在几天的奋斗中,通过小组合作,从一开始对软件的不熟悉到最终实现全部功能,期间查阅了许多资料,请教了不少人,学到了很多也收获了很多。
通过该项目,将计算机网络在课堂上所学的理论知识运用到了实际中,提高了学习兴趣,也锻炼了动手能力,并掌握了packettracer软件的使用,以及对路由器、交换机的简单配置,能够进行一些简单的子网划分。
为将来能够从事该行业的工作奠定了基础。
当然,通过这次项目制作,学习到的知识仅是基础,要想精通这门知识,需要学习和实践的还有很多。
升级会员 