《北校区宿舍楼及家属楼网络构建方案设计.docx》由会员分享,可在线阅读,更多相关《北校区宿舍楼及家属楼网络构建方案设计.docx(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、长治学院课程设计报告课程名称: 网络工程 课程设计设计题目:北校区宿舍楼及家属楼网络构建方案设计 系 别: 计算机系 专 业: 网络工程 组 别: 第五组 学生姓名: 学 号: 起止日期: 2015年7月16日 2015年7月22日 指导教师: 目录1.需求分析1现状分析1信息点分布需求分析1需求划分2布线工程分析32.网络设备配置3拓扑图设计42.2 交换机模块设计4交换机的选择4核心层交换机的说明配置52.2.3 汇聚层交换机的说明配置82.2.4 接入层交换机的说明配置92.3 路由器模块设计102.3.1 路由协议的概念和种类102.3.2 管理路由器的访问方式112.3.3 无线路由
2、123.服务器的配置12服务器的配置12服务器的配置144.网络安全144.1 NAT144.2 ACL165.课程设计总结与体会166.致谢177.参考文献17第 18 页长治学院北校区宿舍楼及家属楼网络构建方案设计1.需求分析现状分析1号楼A区宿舍楼 家属楼2号楼核心交换机B区3号楼C区图1-1 宿舍、家属楼建筑图如图所示宿舍楼分为宿舍楼A、B、C区与家属楼1、2、3号楼,其中A区(男生楼,女生楼),B区(男生楼,女生楼),C区(男生楼,女生楼);1号楼(1单元,2单元,3单元),2号楼(1单元,2单元,3单元),,3号楼(1单元,2单元)。信息点分布需求分析表1-1 信息点的分析表大楼功
3、能分布信息点信息点合计距核心网络的距离A区男生楼50100250m女生楼50B区男生楼50100250m女生楼50C区男生楼50100500m女生楼501号楼1单元20601000m2单元203单元202号楼1单元2060200m2单元203单元203号楼1单元2040250m2单元20合计4602450mVLAN需求划分VLAN(Virtual Local Area Network)称为虚拟局域网,是指在逻辑上将物理的LAN分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。因为交换
4、机通信的原理就是要通过“广播”来发现通往的目的MAC地址,以便在交换机内部的MAC数据库建立MAC地址表,而广播不能跨越不同网段。VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理 上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个 VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段 。由VLAN的特点可知,一个VLAN内部的广播与单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高
5、网络的安全性。VLAN除了能将网络划 分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。通过划分VLAN子网,能划小了广播域,避免了数据碰撞在大的物理LAN内产生严重后果的可能,也避免了广播风暴的产生。提高交换网络的交换效率,保证网络稳定。提高网络安全性,通过划分VLAN,LAN被划分不同子网段,因此不能直接通信。必要的通信必须经过路由来实现,因此可在路由器(或三层交换机)上配置访问列表来进行跨子网段的授权访问,从而提高校园内部网络访问的安全性。方便网络管理:采用VLAN技术来划分校园网络,一个VLAN
6、可以根据不同的院系、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动,VLAN提供了网段与机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题,能实现网络监督与管理的自动化,从而更有效的进行网络监控。如表2-3所示,该学校校园网络Vlan的划分及IP的分配。表1-2 vlan的划分及IP的分配表序号子网名称网段IP网关IP备注1A区1721600/161721621Vlan 22B区1721700/161721731Vlan 33C区19216840/2419216841Vlan 443号楼19216870/2419
7、216871Vlan 752号楼1721800/161721861Vlan 661号楼19216850/2419216851Vlan 57服务器群子网19216880/2419216881Vlan 88无线网子网19216890/2419216891Vlan 9布线工程分析1单元因为以上的需求特点与信息点分布,结合学校的实际情况总结得到如图2-2所示: 男生楼2单元1号楼A区3单元女生楼1单元核心交换机核心交换机男生楼2号楼B区2单元女生楼3单元1单元3号楼男生楼C区2单元女生楼图1-2 信息点的分布图2.网络设备配置本次的课程设计是在模拟软件的基础上实现的,因此此次的网络设备选择主要是依据该
8、软件中具有的设备。Packet Tracer是思科公司专门为CCNA考试人员设计的一块软件,通过这个软件能够让我们模拟出各种路由、交换协议,而且,能够测试各种设备的工作情况。拓扑图设计图2-1 宿舍楼及家属楼的拓扑图2.2 交换机模块设计使用双核心网络的主要目的是实现冗余的连接防止单点失效,从逻辑上,大型网络可分为核心层、分布层与接入层,每层都有其特点。层次化设计的优点可以总结为如下几点:l 可扩展性:因为网络可模块化增长而不会遇到问题;l 简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;l 设计的灵活性:使网络容易升
9、级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;l 可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。2.2.1交换机的选择交换机分为二层交换机与三层交换机两种类型,其中二层交换机的工作原理是:(1)当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的; (2)再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;(3)如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;(4)如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的M
10、AC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立与维护它自己的地址表。可以看出二层交换机没有路由功能,当不同的子网进行通信是要借助路由器实现数据包的转发,所以当子网数量较多时,路由器的接口数量就成了一个瓶颈,而三层交换机就能解决这一缺点。三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发,加入路由功能也是为这个目的服务的。因此具有路由功能的快速转发的三层交换机就成为首选。我们选择 CISCO 3560-24PS作为核心层交换机,这个设备有26个端口,其中有两个端口支持1Gbps的
11、带宽,选择CISCO 2950-24二层交换机作为接入层交换机,这个设备有24个接口,能够实现10M/100M自适应到桌面的功能,而且,这两款交换机都支持vlan功能。2.2.2核心层交换机的说明配置核心交换机采用两个三层交换机,该校园网分为8个vlan,vlan2、vlan3、vlan4分别接在核心交换机一的f0/1 、f0/2、 f0/3接口,vlan5、vlan6、vlan7、vlan8、vlan9分别接在核心交换机二的f0/1 、f0/2、 f0/3、f0/4、f0/5接口。(1)基于端口vlan的划分这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议
12、的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口与VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。在核心交换机上的配置如下:Switch0(config)#int f 0/1Switch0(config-if)#switch
13、port mode trunkSwitch0(config-if)#switchport access vlan 2Switch0(config)#int f 0/2Switch0(config-if)#switchport mode trunkSwitch0(config-if)#switchport access vlan 3Switch0(config)#int f 0/3Switch0(config-if)#switchport mode trunkSwitch0(config-if)#switchport access vlan 4Switch1(config)#int f 0/1S
14、witch1(config-if)#switchport mode trunkSwitch1(config-if)#switchport access vlan 5Switch1(config)#int f 0/2Switch1(config-if)#switchport mode trunkSwitch1(config-if)#switchport access vlan 6Switch1(config)#int f 0/3Switch1(config-if)#switchport mode trunkSwitch1(config-if)#switchport access vlan 7Sw
15、itch1(config)#int f 0/4Switch1(config-if)#switchport mode trunkSwitch1(config-if)#switchport access vlan 8Switch1(config)#int f 0/5Switch1(config-if)#switchport access vlan 9(2)配置VLAN的各各接口的地址Switch0(config)#int vlan 2Switch0(config-if)#ipSwitch0(config-if)#no shutdownSwitch0(config-if)#exitSwitch0(c
16、onfig)#int vlan 3Switch0(config-if)#ipSwitch0(config-if)#no shutdownSwitch0(config-if)#exitSwitch0(config)#int vlan 4Switch0(config-if)#ipSwitch0(config-if)#no shutdownSwitch1(config)#int vlan 5Switch1(config-if)#ipSwitch1(config-if)#no shutdownSwitch1(config-if)#exitSwitch1(config)#int vlan 6Switch
17、1(config-if)#ipSwitch1(config-if)#no shutdownSwitch1(config-if)#exitSwitch1(config)#int vlan 7Switch1(config-if)#ipSwitch1(config-if)#no shutdownSwitch1(config-if)#exitSwitch1(config)#int vlan 8Switch1(config-if)#ipsw1(config-if)#no shutdownSwitch1(config)#int vlan 9Switch1(config-if)#ipSwitch1(conf
18、ig-if)#no shutdown(3)端口聚合提供冗余备份链路,端口聚合又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路。从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。该核心交换机采用的是两条,具体配置如下:Switch(config)#inter port-channel 1 Switch(config-if)#no switchport Switch(config-if)#no shutdown Switch(config-if)#ipSwitch
19、(config)#inter gig0/1Switch(config-if)#channel-gSwitch(config-if)#channel-group 1 m onSwitch(config)#inter gig0/2Switch(config-if)#channel-group 1 m on(4)两个三层核心交换机之间的RIP路由协议,具体配置代码如下:Switch0(config)#router ripSwitch0(configSwitch0(configSwitch0(configSwitch0(configSwitch0(configSwitch0(config-router
20、)#version 2Switch0(config-router)#no auto-summarySwitch1(config)#router ripSwitch1(configSwitch1(configSwitch1(configSwitch1(configSwitch1(configSwitch1(configSwitch1(configSwitch1(config-router)#version 2Switch1(config-router)#no auto-summary2.2.3 汇聚层交换机的说明配置分布层提供基于统一策略的互连性,它是核心层与访问层的分界点,定义了网络的边界,对
21、数据包进行复杂的运算。在园区网络环境中,分布层主要提供如下功能:l 地址的聚集l 部门与工作组的接入l 广播域/多目传输域的定义l Inter VLAN路由l 介质的转换l 安全控制当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担与工作强度。将分布层交换机学生公寓区的交换机设置成为VTP服务器,其他交换机设置成为VTP客户机。(1)访问层交换机学生公寓区的交换机作为服务
22、器的配置如下:s4#vlan databases4(vlan)#vtp domain dongs4(vlan)#vlan 2s4(vlan)#vlan 3s4(vlan)#vlan 4s4(vlan)#vlan 5s4(vlan)#vlan 6s4(vlan)#vlan 7s4(vlan)#vlan 8s4(vlan)#vlan 9s4(vlan)#vtp server(2)trunk端口在最普遍的路由与交换领域,VLAN的端口聚合也有的叫TRUNK,不过大多数都叫TRUNKING ,如CISCO公司。所谓的TRUNKING是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个
23、VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联不同,TRUNKING是基于OSI第二层数据链路层(DataLinkLayer)RUNKING技术,如果你在2个交换机上分别划分了多个VLAN(VLAN也是基于Layer2的),那么分别在两个交换机上的VLAN10与VLAN20的各自的成员如果要互通,就需要在A交换机上设为VLAN10的端口中取一个与交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN就需要分别连10条线作级联,端口效率就太低了。 当交换机支持TRUNKING的时候,事情就简单了,
24、只需要2个交换机之间有一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。这样的话,就算交换机上设了上百个个VLAN也只用1个端口就解决了。如果是不同台的交换机上相同id的vlan要相互通信,那么可以通过共享的trunk端口就可以实现,如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信,需要通过第三方的路由来实现。该层对学生公寓区交换机trunk配置如下:s4(config)#int f 0/1s4(config-if)#switchport mode trunks4(config)#int f 0/2s4(config-if)#
25、switchport mode trunks4(config)#int f 0/3s4(config-if)#switchport mode trunks4(config)#int f 0/4s4(config-if)#switchport mode trunk2.2.4 接入层交换机的说明配置接入层是最终用户(教师、学生) 与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用与维护。另外,通过VTP的设置,我们可以更好的将汇聚层的vlan信息导入到接入层,只需要将不同的端口加入不同的vlan,就能够是机器之间通信。在该层的一个交换机上的配置如下:!进入vtp数据库Switch#vla
26、n datadase!设置vtp域名Switch(vlan)#vtp domain dong!设置vtp模式Switch(vlan)#vtp clientSwitch(vlan)#exitSwitch#configgure terminal!配置接口F0/1为中继接口Switch(config-if)#int f0/1!设置为trunk模式Switch(config-if)#switchport mode trunk2.3 路由器模块设计路由器是内部局域网与广域网的分界点,主要是能够进行数据包的转发与路径的选择。另外,路由器要能够支持不同网络提供商的接入,实现线路的冗余,我在次课题中我选择Ci
27、sco 1841路由器。2.3.1 路由协议的概念与种类在大型局域网络的建设中熟练掌握路由与交换技术是不可缺少的,采取什么样的路由算法,要根据网络的拓扑结构而定,路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。下面简单的介绍几种常见的路由协议。1.RIP协议RIP(RoutinginformationProtocol)是应用较早、使用较普遍的内部网关协议(InteriorGatewayProtocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议。RIP通过广播UDP报文
28、来交换路由信息,每30秒发送一次路由信息更新。RIP提供跳跃计数(hopcount)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源与目的网间所要经过的最多路由器的数目为15,跳数16表示不可达。2.OSPF开放最短路径优先路由协议OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous syst
29、em,AS)内决策路由。与RIP相对,OSPF是链路状态路由协议,而RIP是距离向量路由协议。链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数
30、据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。在一个OSPF区域中只能有一个骨干区域,可以有多个非骨干区域,骨干区域的区域号为0。各非骨干区域间是不可以交换信息的,他们只有与骨干区域相连,通过骨干区域相互交换信息。非骨干区域与骨干区域之间相连的路由叫边界路由(ABRs-Area Border
31、Routers),只有ABRs记载了各区域的所有路由表。各非骨干区域内的非ABRs只记载了本区域内的路由表,若要与外部区域中的路由相连,只能通过本区域的ABRs,由ABRs连到骨干区域的BR,再由骨干区域的BR连到要到达的区域。骨干区域与非骨干区域的划分,大大降低了区域内工作路由的负担。2.3.2 管理路由器的访问方式路由器的管理方式可分为两种:带内管理与带外管理。通过路由器的Console口管理交换机属于带外管理,不占用交换机的网络接口,特点是线缆特殊,需要近距离配置。telnet指路由器的网络接口,连接到网络中的某台主机。利用这台主机进行远程管理与配置,特点是网管可以进行远程控制。配置路由
32、器远程登录密码,代码如下:Router(config)#line vty 0 4Router(config-line)#password dongRouter(config-line)#login配置路由器特权模式密码:Router(config)#enable password cisco1232.3.3 无线路由考虑到学校无线网络可能要连接室外的信息点,以实现全面有效的网络覆盖,因此,方案中采用的是室外无线接入设备。Cisco无线校园网的特点:(1)无线室外路由器、无线AP与无线网卡组成了完整的无线系统,实施极为便利,免去布线的困难,节约用户建设校园网络环境的时间、精力与财力;(2) WA
33、P200E室外无线路由器适应性出色,使用中避免了网络施工造成的环境破坏,利用无线网络空中连接校园内建筑物;(3)对于很多学校存在分校的现象予以充分考虑。产品的传输能力较强,稳定性好,能够方便的连接分校与本部的校园网络,解决校园外地域网络施工的难题;(4)网络的应变性好,使用灵活。能够充分配合学校举办的各类临时性或者应急性活动,根据需要迅速架设后者调整网络;(5)Cisco无线网络产品提供了可靠的安全保证,其全部无线网络产品均支持WPA/WPA2加密,并可扩充至256位的AES加密算法,为无线校园网络在覆盖区域内的全面应用提供了保障,无论是办公,还是个人传输,都能够放心应用。(6)极高的网络安全
34、性,网络设备支持802.1X的认证,结合校园网的认证计费系统,实现了校园网极高的安全控制策略;此外,通过IP地址、MAC地址、端口、VLAN号、用户帐号等多元素的绑定,实现多种方式的用户接入访问控制,保证用户接入的安全具体的无线局域网的配置代码如下:ip dhcp pool wirelessnetworkdefault-routerdns-server3.服务器的配置服务器的配置WWW是建立在客户机服务器模型之上的。WWW是以超文本标注语言HTML(Hyper Markup Language)与超文本传输协议HTTP(Hyper Text Transfer Protocol)为基础。能够提供面
35、向Internet服务的、一致的用户界面的信息浏览系统。其中WWW服务器采用超文本链路来链接信息页,这些信息页既可放置在同一主机上,也可放置在不同地理位置的主机上;本链路由统一资源定位器(URL)维持,WWW客户端软件(即WWW浏览器)负责信息显示与向服务器发送请求。 Internet采用超文本与超媒体的信息组织方式,将信息的链接扩展到整个Internet上。目前,用户利用WWW不仅能访问到Web Server的信息,而且可以访问到FTP、Telnet等网络服务。因此,它已经成为Internet 上应用最广与最有前途的访问工具,并在商业范围内日益发挥着越来越重要的作用。WWW客户程序在Inte
36、rnet上被称为WWW浏览器(Browser),它是用来浏览Internet上WWW主页的软件。目前,最流行的浏览器软件主要有Netscape communicator 与Microsoft Internet Explorer。 WWW浏览提供界面友好的信息查询接口,用户只需提出查询要求,至于到什么地方查询,如何查询则由WWW自动完成。因此WWW为用户带来的是世界范围的超级文本服务。用户只要操纵鼠标,就可以通过Internet从全世界任何地方调来所需的文本、图像、声音等信息。WWW使得非常复杂的Internet使用起来异常简单。WWW浏览器不仅为用户打开了寻找Internet上内容丰富、形式多
37、样的主页信息资源的便捷途径,而且提供了Usernet新闻组电子邮件与FTP协议等功能强大的通信手段。局域网WWW服务器的配置如图4-1所示:图3-1 局域网WWW服务器配置图服务器的配置图3-2 局域网DHCP服务器配置图4.网络安全4.1 NAT网络地址转换(NAT,Network Address Translation)被广泛应用于各种类型Internet接入方式与各种类型的网络中。原因很简单,NAT不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本与网络性能,很多时候都是在路由
38、器上来实现的。 NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 与端口多路复用OverLoad。静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就
39、可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation)。采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。(1)外网主机访问内网服
40、务器,采用的是静态转换。具体代码如下:ip nat(2)实现局域网访问互联网,采用的是端口复用动态地址转换,当内部多个私有ip地址对应外部很少的公网地址时所使用的,它可以根据端口的不同来区分不同的服务与对应的内部地址。在这次的课题设计中局域网访问外网就是采用这种技术,具体代码如下:Router(config)#int f 0/1Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#int s 0/1/0Router(config-if)#ip nat outsideRouter(config-if)#exitRo
41、uter(config)#ip nat pool test 202.106.0.3 202.106.0.200 netmask Router(configRouter(configRouter(config)#access-list 10 permit 192.168.4.0 .255Router(config)#access-list 10 permit 192.168.5.0 .255Router(configRouter(config)#access-list 10 permit 192.168.7.0 .255Router(config)#access-list 10 permit 1
42、92.168.8.0 .255Router(configRouter(configRouter(config)#access-list 10 permit 192.168.9.0 .255Router(config)#ip nat inside source list 10 pool test overload4.2 ACL访问控制列表(Access Control List,ACL) 是路由器与交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件与查询语句,表只是一个框架结构,其目的是为了对某种访问进
43、行控制。 信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。ACL技术用在了核心交换机的SW0上面,不允许学生公寓区访问行政区,其它的都可以,具体配置如下:interface Vlan4ipip access-group 100 outaccess-list 100 deny ip 172.16.0.0 0.0.255.255 192.168.4.0 .255access-list 100 permit i
44、p any any5.课程设计总结与体会一个设计方案的好坏,特别是校园组网。与设计人员对其电脑硬件与设备的方方面面地掌握程度息息相关。在本组网过程中,由于我对网络知识的掌握有限,可以说整个的组网过程是一边摸索一边实践出来的。但令人高兴的是,通过这样一个边学习边应用的过程,我完成了宿舍楼与家属楼的组网的规划工作。我考虑到可行性因素,在写这篇论文中,在网络中搜索了大量的资料与阅读了大量的书籍资料,考虑了方面齐全,收获也甚多。但总的来说,该方案仍然存在许多不足之处。如:受开发条件与时间的限制,本方案校园网络的组建模式较简单,涉及的内容深度与一些细节的东西也许欠缺。对网络安全方面考虑较少,尤其是局域网
45、的安全性,只是粗略的涉及。这些都是需要完善的地方,该组网离实际还是有相当的距离,需要改进,需要不断地补充与完善。通过本次毕业设计我学到了不少新的东西,也发现了大量的问题,有些在设计过程中已经解决,有些还有待今后慢慢学习,如防火墙的配置与设置方面,网络安全方面。总的来说,只要学习就会有更多的问题,有更多的难点,但也会有更多的收获。局域网作为一个大中型网络的组成部分,其网络性能、安全性等均是非常重要的。一个好的局域网,就是要能够时刻满足使用者的需求,具有良好的可靠性、可扩展性、网络安全性等,既能适应当前需求,又能轻易扩展并满足未来的需求。网络设计规划是组网之前必需的工作,无论是一个简单的局域网还是
46、大型的网络,都是如此。通过此次课题实验,了解了很多网络的问题。作为一个计算机专业的人员,一定要理论两结合实践,无论是软件还是网络均是这样。而且要时刻保持清醒的头脑,否则一着不慎,满盘皆输。组建网络,只有能够满足人们的需求,适应网络技术的发展,才能被采纳并长久的使用。6.致谢在教师与同学的帮助下我终于完成课程设计了,在这里非常感谢教师对我的严格要求与辛勤指导,同时也感谢小组成员对我的帮助。7.参考文献1斯桃枝.局域网技术与局域网组建.北京:人民邮电出版社,2009-4.2美RichardDeal.CCNA学习指南CiscoCertifiedNetworkAssociate(Exam640-802)(中文版).北京:人民邮电出版社,2009-4. 3杨威贾祥福杨陟卓.