網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)實(shí)驗(yàn)報(bào)告參考模板

1、網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)集中實(shí)踐報(bào)告(14-15 學(xué)年夏學(xué)期)學(xué)院 電子信息學(xué)院 班級(jí) 13廣播電視工程 3班 學(xué)號(hào) 130701320 姓名 寧文峮 0 / 101需求分析（對(duì)本次集中實(shí)踐文件設(shè)計(jì)需求.xlsx中需求的文字描述） 序號(hào)：規(guī)劃網(wǎng)絡(luò)中需要的部門的編號(hào)。部門名稱：每個(gè)部門相應(yīng)的名稱。VLAN ID:每個(gè)部門所劃定的區(qū)域，以便存入相應(yīng)的數(shù)據(jù)。IP地址范圍:每個(gè)部門的各臺(tái)電腦可以使用的IP地址。子網(wǎng)掩碼：用來(lái)指明一個(gè)IP地址的哪些位標(biāo)識(shí)的是主機(jī)所在的子網(wǎng)，以及哪些位標(biāo)識(shí)的是主機(jī)的位掩碼。 網(wǎng)關(guān)地址：從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送信息的關(guān)口的地址。2 網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的主要技術(shù)（介紹VLAN及VLAN路

2、由技術(shù)，靜態(tài)路由技術(shù)，訪問(wèn)控制技術(shù)（ACL），網(wǎng)絡(luò)地址翻譯技術(shù)（NAT） VLAN:VLAN（Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"。虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來(lái)，相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過(guò)第3層的路由器來(lái)完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點(diǎn)： 網(wǎng)絡(luò)

3、設(shè)備的移動(dòng)、添加和修改的管理開(kāi)銷減少；可以控制廣播活動(dòng)；可提高網(wǎng)絡(luò)的安全性。這兩個(gè)特點(diǎn)正是現(xiàn)代局域網(wǎng)設(shè)計(jì)必須實(shí)現(xiàn)的兩個(gè)基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率。VLAN路由技術(shù)：VLAN路由技術(shù)即實(shí)現(xiàn)不同VLAN、不同部門之間能進(jìn)行通信路由，路由技術(shù)主要是指路由選擇算法。其中，路由選擇算法可以分為靜態(tài)路由選擇算法和動(dòng)態(tài)路由選擇算法。因特網(wǎng)的路由選擇協(xié)議的特點(diǎn)是：屬于自適應(yīng)的選擇協(xié)議（即動(dòng)態(tài)的）；是分布式路由選擇協(xié)議；采用分層次的路由選擇協(xié)議，即分自治系統(tǒng)內(nèi)部和自治系統(tǒng)外部路由選擇協(xié)議。靜態(tài)路由技術(shù)：是一種特殊的路由，由管理員手工配置。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單時(shí)，只需配置靜態(tài)路由

4、就可以使網(wǎng)絡(luò)正常工作。靜態(tài)路由不能自動(dòng)適應(yīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化。當(dāng)網(wǎng)絡(luò)發(fā)生故障或者拓?fù)浒l(fā)生變化后，必須由網(wǎng)絡(luò)管理員手工修改配置。訪問(wèn)控制技術(shù)（ACL):是一種基于包過(guò)濾的流控制技術(shù)?？刂屏斜硗ㄟ^(guò)把源地址、目的地址及端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過(guò)。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過(guò)實(shí)施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開(kāi)始使用ACL來(lái)控制對(duì)局域網(wǎng)內(nèi)部資源的訪問(wèn)能力，進(jìn)而來(lái)保障這些資源的安全性。訪問(wèn)控制列表分為標(biāo)準(zhǔn)IP訪問(wèn)控制列表、擴(kuò)展IP訪問(wèn)控制列表、命名的IP訪問(wèn)控制列表、標(biāo)準(zhǔn)IPX訪問(wèn)控制列表、擴(kuò)展

5、IPX訪問(wèn)控制列表、擴(kuò)展IPX訪問(wèn)控制列表和命名的IPX訪問(wèn)控制列表6種，其中，一個(gè)標(biāo)準(zhǔn)IP訪問(wèn)控制列表匹配IP包中的源地址或源地址中的一部分，可對(duì)匹配的包采取拒絕或允許兩個(gè)操作。編號(hào)范圍是從1到99的訪問(wèn)控制列表是標(biāo)準(zhǔn)IP訪問(wèn)控制列表。 網(wǎng)絡(luò)地址翻譯技術(shù)（NAT）：能解決不少令人頭疼的問(wèn)題。它解決問(wèn)題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過(guò)NAT把內(nèi)部地址翻譯成合法的IP地址，在Internet上使用。其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來(lái)替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來(lái)把非法的IP地址映射到合法的I

6、P地址上去。每個(gè)包在NAT設(shè)備中都被翻譯成正確的IP地址發(fā)往下一級(jí)，這意味著給處理器帶來(lái)了一定的負(fù)擔(dān)。但這對(duì)于一般的網(wǎng)絡(luò)來(lái)說(shuō)是微不足道的，除非是有許多主機(jī)的大型網(wǎng)絡(luò)。NAT有三種類型：靜態(tài)NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。其中靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。PAT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要，各種NAT方案都是有利有弊。需要注意的是，NAT并不是一種有安全保證的方

7、案，它不能提供類似防火墻、包過(guò)濾、隧道等技術(shù)的安全性，僅僅在包的最外層改變IP地址。這使得黑客可以很容易地竊取網(wǎng)絡(luò)信息，危及網(wǎng)絡(luò)安全。3 內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)（拓?fù)浣Y(jié)構(gòu)，VLAN設(shè)計(jì)與IP地址規(guī)劃（給出IP地址，子網(wǎng)掩碼的設(shè)計(jì)過(guò)程和設(shè)計(jì)任務(wù)表（增加了VLAN ID列），設(shè)備配置） 拓?fù)浣Y(jié)構(gòu)： 設(shè)計(jì)任務(wù)表： VLAN設(shè)計(jì)與IP地址規(guī)劃：根據(jù)需求給出的每個(gè)部門的電腦數(shù)來(lái)確定每個(gè)部門所需要的IP地址范圍，例如部門1.2：因?yàn)樾枰?4臺(tái)電腦，即至少需2的四次方即16的地址空間，所以是172.16.192.1631。但是像部門1.1,需要8臺(tái)電腦，但并不是2的三次方即8的地址空間能滿足的，需要大于8的2的N次冪

8、，所以也是需要16的地址空間，所以是172.16.192.115。同時(shí)，VLAN ID應(yīng)保持每個(gè)部門都不相同，以免重疊影響通信。子網(wǎng)掩碼的算法則要根據(jù)每個(gè)部門的信息點(diǎn)數(shù)來(lái)計(jì)算，例如部門2是8個(gè)信息點(diǎn)，至少需要2的四次方即16的地址空間，就是4次方，32-4=28，二進(jìn)制數(shù)表示為，11111111 11111111 11111111 11110000，轉(zhuǎn)換為十進(jìn)制則是240，所以該部門的子網(wǎng)掩碼為255.255.255.240。其他部門的子網(wǎng)掩碼也應(yīng)以此類推。至于網(wǎng)絡(luò)號(hào)，則是根據(jù)每個(gè)部門的信息點(diǎn)數(shù)推算出每個(gè)部門占有的2的N次方，依次疊加，例如部門1.1為172.16.152.0，部門1.2要加上

9、16位172.16.152.16，依次類推。當(dāng)我們了解了IP地址范圍和子網(wǎng)掩碼之后，網(wǎng)關(guān)地址、所在子網(wǎng)的第一個(gè)可用地址和所在子網(wǎng)的倒數(shù)第二個(gè)可用地址就很好求得了。 設(shè)備配置：此次組建的小型網(wǎng)絡(luò)中，共用到3個(gè)路由器，10個(gè)交換機(jī)以及16臺(tái)PC電腦，3個(gè)路由器中分別用作運(yùn)營(yíng)商路由器ISPRouter、網(wǎng)絡(luò)地址轉(zhuǎn)化路由器NATRouter和虛擬局域網(wǎng)路由器VLANRouter，交換機(jī)中7個(gè)是用于控制PC的基層交換機(jī)，1個(gè)是用于使不同部門間通信的中心交換機(jī)CenterSwitch，還有1個(gè)則是用于與運(yùn)營(yíng)商相連的ISP交換機(jī)ISPSwitch，PC就是用戶。4 Internet接入設(shè)計(jì)（給出設(shè)計(jì)思想及實(shí)

10、現(xiàn)，邊緣路由器的配置） 設(shè)計(jì)思想及實(shí)現(xiàn)：首先對(duì)設(shè)計(jì)需求進(jìn)行了解和分析，了解了部門數(shù)，開(kāi)始IP地址，終止IP地址，各個(gè)部門的VLAN電腦數(shù)，公網(wǎng)IP地址以及不允許通信的部門號(hào)等相關(guān)信息。首先構(gòu)建拓?fù)浣Y(jié)構(gòu)，把主要的路由器、交換機(jī)搭建起來(lái)并且使之能夠通信，設(shè)置完畢后進(jìn)行檢驗(yàn)。然后再來(lái)搭建各個(gè)部門的交換機(jī)和信息點(diǎn)（即PC），也設(shè)置好接口，單擊每一個(gè)部件并且進(jìn)行各種模式的設(shè)置使之能夠相互通信。搭建好物理模型之后，要開(kāi)始進(jìn)行進(jìn)一步的設(shè)置，包括VLAN的設(shè)置、路由器屬性、交換機(jī)屬性和PC機(jī)的屬性設(shè)置。當(dāng)設(shè)置完之后要開(kāi)始考慮不允許通信的部門，要在之間進(jìn)行更進(jìn)一步的阻斷設(shè)置。當(dāng)所有設(shè)置工作完成以后要一一檢測(cè)各個(gè)

11、位置之間的導(dǎo)通性，如果有不能夠PING通的地方要進(jìn)行排查和調(diào)試直到整個(gè)網(wǎng)絡(luò)處處流通并且能按照需求來(lái)阻斷部分通信。 邊緣路由器的配置：邊緣路由器即同時(shí)連接內(nèi)網(wǎng)和公網(wǎng)的路由器。VLANRouter為邊緣路由器，接口fa0/1連接公網(wǎng)，接口fa0/0與內(nèi)網(wǎng)相連。先定義邊緣路由器的內(nèi)網(wǎng)接口和外網(wǎng)接口，在全局模式下執(zhí)行VLANRouter（config）#int fa0/0;VLANRouter（config-if）#ip nat inside;將該接口設(shè)置為內(nèi)網(wǎng)接口。同樣執(zhí)行VLANRouter（config）#int fa0/1;VLANRouter（config-if）#ip nat outsid

12、e;將該接口設(shè)置為外網(wǎng)接口。然后利用IP訪問(wèn)控制列表，定義允許進(jìn)行地址轉(zhuǎn)換的內(nèi)部地址范圍，在全局配置模式下執(zhí)行access-list 10 permit any，定義標(biāo)準(zhǔn)訪問(wèn)控制列表定義所有的內(nèi)網(wǎng)地址都可以轉(zhuǎn)換。接著定義內(nèi)部公網(wǎng)地址池，在全局配置模式下執(zhí)行ip nat pool global 172.16.153.254 172.16.153.254 netmask 255.255.0.0命令設(shè)置內(nèi)網(wǎng)地址轉(zhuǎn)換成公網(wǎng)的地址池為global。最后建立映射關(guān)系（將可以轉(zhuǎn)換的內(nèi)網(wǎng)地址，與轉(zhuǎn)換的公網(wǎng)地址聯(lián)系起來(lái)），在全局配置模式下執(zhí)行ip nat inside source list 10 pool g

13、lobal overload。 這樣internet接入設(shè)計(jì)就配置完畢。5 設(shè)計(jì)心得與體會(huì) 這次的課程設(shè)計(jì)讓我體會(huì)到課本知識(shí)到實(shí)際應(yīng)用的過(guò)渡過(guò)程，開(kāi)始確實(shí)有些不適應(yīng)和吃力，但是隨著課程設(shè)計(jì)的慢慢進(jìn)行和老師反復(fù)細(xì)心的講解，逐漸地習(xí)慣了這個(gè)過(guò)程。之前在課堂上學(xué)到的似懂非懂的知識(shí)點(diǎn)，在課程設(shè)計(jì)的應(yīng)用中得到了鞏固，變得清晰明了，這讓我意識(shí)到打下扎實(shí)的基本功的重要性。整個(gè)課程設(shè)計(jì)是既有趣又枯燥的，有趣的是新的軟件學(xué)習(xí)和課題的探索過(guò)程，枯燥的是逐一排查錯(cuò)誤反復(fù)地進(jìn)行某些操作卻還是不能找出錯(cuò)誤原因的過(guò)程。有的時(shí)候進(jìn)度快一點(diǎn)，覺(jué)得似乎沒(méi)有什么難度可言，但是有的時(shí)候進(jìn)度慢下來(lái)，看著身邊的同學(xué)都完成了大半，心里焦躁不安甚至無(wú)法集中精神。經(jīng)過(guò)幾番掙扎，最后還是選擇了耐下性子慢慢來(lái)，不去考慮自己的進(jìn)度快慢和外界的影響，專心把自己手上的東西弄好。到了最后的階段，還是有很多地方不明白，就點(diǎn)開(kāi)之前的教學(xué)文檔一點(diǎn)點(diǎn)重新理解，實(shí)在不懂的地方就問(wèn)同學(xué)問(wèn)老師，再一點(diǎn)點(diǎn)排查自己的錯(cuò)誤，當(dāng)終于可以每一