网络工程课程设计.docx
- 文档编号:11515995
- 上传时间:2023-03-02
- 格式:DOCX
- 页数:30
- 大小:177.61KB
网络工程课程设计.docx
《网络工程课程设计.docx》由会员分享,可在线阅读,更多相关《网络工程课程设计.docx(30页珍藏版)》请在冰豆网上搜索。
网络工程课程设计
第1章课程设计题目名称及设计所完成的任务要求
1.1课程设计任务
下图为XX企业的网络拓扑模拟图,接入层设备采用二层交换机,汇聚层设备采用三层交换机。
在接入层交换机上划分了设计部子网VLAN12和工程部子网VLAN13,在汇聚层交换机上划分了财务部子网VLAN11。
图1-1拓扑图
为了保证网络的稳定性,接入层和汇聚层通过两条链路相连,汇聚层交换机通过VLAN1中的接口F0/24与RouterA相连,RouterA通过广域网口和RouterB相连,RouterB则通过以太网口连接到ISP,通过ISP连接到Internet。
通过路由协议,实现全网的互通。
用访问控制列表使VLAN12和VLAN13中的用户在时间(9:
00-17:
00)不允许访问FTP服务器,可以访问WWW服务器。
在L2-Switch上划分VLAN12,13,L3-Switch上划分VLAN1。
配置RSTP协议实现L2-Switch和L3-Switch之前的荣誉链路,选取L3-Switch为根。
配置三层交换机的路由功能,在L3-Switch、RouterA、RouterB上运用OSPF配置全网路由。
在RouterA上配置NAT,要求:
工程部子网和设计部子网能够访问Internet,财务部子网不允许访问Internet。
在RouterA上应用ACL,要求:
工程部子网和设计部子网可以访问FTP服务,工程部子网和设计部子网能够访问Internet上的WEB服务;工程部子网可以访问Internet上的Telnet服务,其余访问均不允许。
1.2课程设计任务要求
针对本课程设计,以小组形式实现该系统,需完成以下课程设计任务:
1、熟悉系统实现工具和上机环境。
2、本课题的可行性分析、开发计划,通过调研完成系统的需求分析。
简要叙述技术可行性、省略经济可行性和法律可行性等。
制定项目开发计划,完成项目需求分析。
3、系统设计
包括:
系统总体设计,拓扑设计,物理设计(设备选型),IP设计。
根据分层设计思想,确定本项目的核心层、汇聚层及接入层相关设备,包括交换机、路由器、服务器及防火墙等,根据总体规划给出项目的拓扑设计。
4、针对不同设备选择不同命令集,为各层设备编写配置代码,完成对设备的配置。
5、设备的安装及调试。
6、书写系统上述文档和撰写课程设计报告。
第2章系统环境配置和使用工具简单介绍
2.1系统环境配置
电脑配置概览如下:
2.2使用工具简单介绍
CiscoPacketTracer是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。
用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况。
可以学习IOS的配置、锻炼故障排查能力。
CiscoPacketTracer是一个功能强大的网络仿真程序,允许学生实验与网络行为,问“如果”的问题。
随着网络技术学院的全面的学习经验的一个组成部分,包示踪提供的仿真,可视化,编辑,评估,和协作能力,有利于教学和复杂的技术概念的学习。
CiscoPacketTracer软件是免费提供的唯一的网络学院的教师,学生,校友,和管理人员,注册学校连接的用户。
CiscoPacketTracer补充物理设备在课堂上允许学生用的设备,一个几乎无限数量的创建网络鼓励实践,发现,和故障排除。
基于仿真的学习环境,帮助学生发展如决策第二十一世纪技能,创造性和批判性思维,解决问题。
PacketTracer补充的网络学院的课程,使教师易教,表现出复杂的技术概念和网络系统的设计。
第3章可行性分析和系统需求分析文档
3.1VLAN划分分析
3.1.1VLAN的定义
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:
网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。
不同的广播域之间想要通信,需要通过一个或多个路由器。
这样的一个广播域就称为VLAN。
3.1.2使用VLAN的目的
VLAN(VirtualLocalAreaNetwork,虚拟局域网)的目的非常的多。
通过认识VLAN的本质,将可以了解到其用处究竟在哪些地方。
第一,要知道192.168.1.2/30和192.168.2.6/30都属于不同的网段,都必须要通过路由器才能进行访问,凡是不同网段间要互相访问,都必须通过路由器。
第二,VLAN本质就是指一个网段,之所以叫做虚拟的局域网,是因为它是在虚拟的路由器的接口下创建的网段。
下面,给予说明。
比如一个路由器只有一个用于终端连接的端口(当然这种情况基本不可能发生,只不过简化举例),这个端口被分配了192.168.1.1/24的地址。
然而由于公司有两个部门,一个销售部,一个企划部,每个部门要求单独成为一个子网,有单独的服务器。
那么当然可以划分为192.168.1.0--127/25、192.168.1.128--255/25。
但是路由器的物理端口只应该可以分配一个IP地址,那怎样来区分不同网段了?
这就可以在这个物理端口下,创建两个子接口---逻辑接口实现。
比如逻辑接口F0/0.1就分配IP地址192.168.1.1/25,用于销售部,而F0/0.2就分配IP地址192.168.1.129/25,用于企划部。
这样就等于用一个物理端口却实现了两个逻辑接口的功能,这样就将原本只能划分一个网段的情形,扩展到了可以划分2个或者更多个网段的情形。
这些网段因为是在逻辑接口下创建的,所以称之为虚拟局域网VLAN。
这是在路由器的层次上阐述了VLAN的目的。
第三,将在交换机的层次上阐述VLAN的目的。
在现实中,由于很多原因必须划分出不同网段。
比如就简单的只有销售部和企划部两个网段。
那么可以简单的将销售部全部接入一个交换机,然后接入路由器的一个端口,把企划部全部接入一个交换机,然后接入一个路由器端口。
这种情况是LAN。
然而正如上面所说,如果路由器就一个用于终端的接口,那么这两个交换机就必须接入这同一个路由器的接口,这个时候,如果还想保持原来的网段的划分,那么就必须使用路由器的子接口,创建VLAN。
同样,比如两个交换机,如果你想要每个交换机上的端口都分别属于不同的网段,那么你有几个网段,就提供几个路由器的接口,这个时候,虽然在路由器的物理接口上可以定义这个接口可以连接哪个网段,但是在交换机的层次上,它并不能区分哪个端口属于哪个网段,那么唯一实现能区分的方法,就是划分VLAN,使用了VLAN就能区分出某个交换机端口的终端是属于哪个网段的。
综上,当一个交换机上的所有端口中有至少一个端口属于不同网段的时候,当路由器的一个物理端口要连接2个或者以上的网段的时候,就是VLAN发挥作用的时候,这就是VLAN的目的。
3.1.3VLAN的优点
限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。
LAN分段可以防止广播风暴波及整个网络。
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。
使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。
同样,相邻的端口不会收到其他VLAN产生的广播。
这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
3.1.4VLAN的划分策略
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
基于端口:
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
基于MAC地址:
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的。
MAC地址是由6个字节的16进制数(48位)表示,前3个字节(24位)为网卡的厂商标识(OUI),后3个字节(24位)为网卡标识(NIC)。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
基于路由:
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。
对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
3.1.5VLAN的应用
PortVLAN是实现VLAN的方式之一,PortVLAN是利用交换机的端口进行VLAN的划分,一个端口只能属于一个VLAN。
TagVLAN是基于交换机端口的另外一种类型,主要用于实现跨交换机的相同VLAN内主机之间可以直接访问,同时对于不同VLAN的主机进行隔离。
TagVALN遵循了IEEE802.1q协议的标砖。
在利用配置了TagVALN的接口进行数据传输时,需要在数据帧内添加4个字节的802.1q标签信息,用于标识该数据帧属于哪个VLAN,以便于对端交换机接受到数据帧胡进行准确的过滤。
3.2配置RSTP协议分析
3.2.1RSTP的定义
RSTP:
快速生成树协议(rapidspanningTreeProtocol):
802.1w由802.1d发展而成,这种协议在网络结构发生变化时,能更快的收敛网络。
它比802.1d多了两种端口类型:
预备端口类型(alternateport)和备份端口类型。
STP(SpanningTreeProtocol)是生成树协议的英文缩写。
该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。
3.2.2RSTP的技术原理
STP协议由IEEE802.1D定义,RSTP由IEEE802.1W定义。
STP的基本原理是,通过交换机之间传递一种特殊的协议报文(在IEEE802.1D中这种协议报文被称为“配置消息”)来确定网络的拓扑结构。
配置消息中包含了足够的信息来保证交换机完成生成树计算。
RSTP是从STP发展过来的,其实现基本思想一致,但它更进一步的处理了网络临时失去连通性的问题。
RSTP规定在某些情况下,处于Blocking状态的端口不必经历2倍的ForwardDelay时延而可以直接进入转发状态。
如网络边缘端口(即直接与终端相连的端口),可以直接进入转发状态,不需要任何时延。
或者是网桥旧的根端口已经进入Blocking状态,并且新的根端口所连接的对端网桥的指定端口仍处于Forwarding状态,那么新的根端口可以立即进入Forwarding状态。
即使是非边缘的指定端口,也可以通过与相连的网桥进行一次握手,等待对端网桥的赞同报文而快速进入Forwarding状态。
当然,这有可能导致进一步的握手,但握手次数会受到网络直径的限制。
3.2.3配置RSTP的目的
生成树协议最主要的应用是为了避免局域网中的网络环回,解决成环以太网网络的“广播风暴”问题,从某种意义上说是一种网络保护技术,可以消除由于失误或者意外带来的循环连接。
STP也提供了为网络提供备份连接的可能,可与SDH保护配合构成以太环网的双重保护。
新型以太单板支持符合ITU-T802.1d标准的生成树协议STP及802.1w规定的快速生成树协议RSTP,收敛速度可达到1s。
3.3配置OSPF实现全网路由分析
3.3.1OSPF的定义
OSPF(OpenShortestPathFirst开放式最短路径优先)是一个内部网关协议(InteriorGatewayProtocol,简称IGP),用于在单一自治系统(autonomoussystem,AS)内决策路由。
是对链路状态路由协议的一种实现,隶属内部网关协议(IGP),故运作于自治系统内部。
著名的迪克斯加算法(Dijkstra)算法被用来计算最短路径树。
OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络,OSPFv3用在IPv6网络。
OSPFv2是由RFC2328定义的,OSPFv3是由RFC5340定义的。
与RIP相比,OSPF是链路状态协议,而RIP是距离矢量协议。
3.3.2OSPF常见术语介绍
链路(Link):
就是路由器上的接口,在这里,应该指运行在OSPF进程下的接口。
链路状态(LSA):
就是OSPF接口上的描述信息,例如接口上的IP地址,子网掩码,网络类型,Cost值等等,OSPF路由器之间交换的并不是路由表,而是链路状态(LSA),OSPF通过获得网络中所有的链路状态信息,从而计算出到达每个目标精确的网络路径。
OSPF路由器会将自己所有的链路状态毫不保留地全部发给邻居,邻居将收到的链路状态全部放入链路状态数据库(Link-StateDatabase),邻居再发给自己的所有邻居,并且在传递过程中,绝对不会有任何更改。
通过这样的过程,最终,网络中所有的OSPF路由器都拥有网络中所有的链路状态,并且所有路由器的链路状态应该能描绘出相同的网络拓扑。
邻居(Neighbor):
OSPF只有邻接状态才会交换LSA,路由器会将链路状态数据库中所有的内容毫不保留地发给所有邻居,要想在OSPF路由器之间交换LSA,必须先形成OSPF邻居,OSPF邻居靠发送Hello包来建立和维护,Hello包会在启动了OSPF的接口上周期性发送,在不同的网络中,发送Hello包的间隔也会不同,当超过4倍的Hello时间,也就是Dead时间过后还没有收到邻居的Hello包,邻居关系将被断开。
OSPF区域:
因为OSPF路由器之间会将所有的链路状态(LSA)相互交换,毫不保留,当网络规模达到一定程度时,LSA将形成一个庞大的数据库,势必会给OSPF计算带来巨大的压力;为了能够降低OSPF计算的复杂程度,缓存计算压力,OSPF采用分区域计算,将网络中所有OSPF路由器划分成不同的区域,每个区域负责各自区域精确的LSA传递与路由计算,然后再将一个区域的LSA简化和汇总之后转发到另外一个区域,这样一来,在区域内部,拥有网络精确的LSA,而在不同区域,则传递简化的LSA。
区域的划分为了能够尽量设计成无环网络,所以采用了Hub-Spoke的拓扑架构,也就是采用核心与分支的拓扑。
OSPF区域是基于路由器的接口划分的,而不是基于整台路由器划分的,一台路由器可以属于单个区域,也可以属于多个区域。
Area-id(区域号码):
即路由器之间必须配置在相同的OSPF区域,否则无法形成邻居。
3.3.3OSPF的基本原理
OSPF路由协议通过向全网扩散本设备的链路状态信息,使网络中每台设备最终同步一个具有全网链路状态的数据库(LSDB),然后路由器采用SPF算法,以自己为根,计算到达其他网络的最短路径,最终形成全网路由信息。
OSPF属于无类路由协议,支持VLSM(变长子网掩码)。
OSPF是以组播形式进行链路状态的通告的。
在大规模的网络环境中,OSPF支持区域的划分,将网络进行合理规划。
划分区域时必须存在area0(骨干区域)。
其他区域和骨干区域直接相连,或通过虚链路的方式连接。
3.4应用ACL分析
3.4.1ACL的定义
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。
简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
3.4.2应用ACL的一般原则
记住3P原则,便记住了在路由器上应用ACL的一般规则。
可以为每种协议(perprotocol)、每个方向(perdirection)、每个接口(perinterface)配置一个ACL:
每种协议一个ACL:
要控制接口上的流量,必须为接口上启用的每种协议定义相应的ACL。
每个方向一个ACL:
一个ACL只能控制接口上一个方向的流量。
要控制入站流量和出站流量,必须分别定义两个ACL。
每个接口一个ACL:
一个ACL只能控制一个接口(例如快速以太网0/0)上的流量。
ACL的编写可能相当复杂而且极具挑战性。
每个接口上都可以针对多种协议和各个方向进行定义。
3.4.3ACL的执行过程
一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。
如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。
如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。
如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
这里要注意,ACL不能对本路由器产生的数据包进行控制。
3.4.4ACL的分类
目前有三种主要的ACL:
标准ACL、扩展ACL及命名ACL。
其他的还有标准MACACL、时间控制ACL、以太协议ACL、IPv6ACL等。
标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制范围。
例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。
使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。
在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。
随着网络的发展和用户要求的变化,从IOS12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。
通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。
这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。
首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。
基于时间访问列表的设计中,用time-range命令来指定时间范围的名称,然后用absolute命令,或者一个或多个periodic命令来具体定义时间范围。
3.5配置NAT的分析
3.5.1NAT的定义
NAT(NetworkAddressTranslation,网络地址转换)是1994年提出的。
当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
这种方法需要在专用网连接到因特网的路由器上安装NAT软件。
装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。
这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。
另外,这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用的IP地址空间的枯竭。
在RFC1632中有对NAT的说明。
3.5.2NAT工作原理
借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。
有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文的数据部分进行修改,以匹配IP头中已经修改过的源IP地址。
否则,在报文数据部分嵌入IP地址的应用程序就不能正常工作。
3.5.3NAT的功能
NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
1.宽带分享:
这是NAT主机的最大功能。
2.安全防护:
NAT之内的PC联机到Internet上面时,他所显示的IP是NAT主机的公共IP,所以Client端的PC当然就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就侦测不到源客户端的PC。
3.5.4NAT的实现方式
NAT的实现方式有三种,即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。
借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
动态转换可以使用多个合法外部地址集。
当ISP提供的合法IP地址略少于网络内部的计算机数量时。
可以采用动态转换的方式。
端口多路复用(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,PortAddressTranslation).采用端口多路复用方式。
内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。
同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。
因此,目前网络中应用最多的就是端口多路复用方式。
3.5.5NAPT
NAPT(NetworkAddressPortTranslation),即网络端口地址转换,可将多个内部地址映射为一个合法公网地址,但以不同的协议端口号与不同的内部地址相对应,也就是<内部地址+内部端口>与<外部地址+外部端口>之间的转换。
NAPT普遍用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。
NAPT也被称为“多对一”的NAT,或者叫PAT(PortAddressTranslations,端口地址转换)、地址超载(addressoverloading)。
NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的T
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络工程 课程设计