網(wǎng)絡(luò)規(guī)劃與設(shè)計實驗報告參考模板

1、網(wǎng)絡(luò)規(guī)劃與設(shè)計集中實踐報告(14-15 學(xué)年夏學(xué)期)學(xué)院 電子信息學(xué)院 班級 13廣播電視工程 3班 學(xué)號 130701320 姓名 寧文峮 0 / 101需求分析（對本次集中實踐文件設(shè)計需求.xlsx中需求的文字描述） 序號：規(guī)劃網(wǎng)絡(luò)中需要的部門的編號。部門名稱：每個部門相應(yīng)的名稱。VLAN ID:每個部門所劃定的區(qū)域，以便存入相應(yīng)的數(shù)據(jù)。IP地址范圍:每個部門的各臺電腦可以使用的IP地址。子網(wǎng)掩碼：用來指明一個IP地址的哪些位標識的是主機所在的子網(wǎng)，以及哪些位標識的是主機的位掩碼。 網(wǎng)關(guān)地址：從一個網(wǎng)絡(luò)向另一個網(wǎng)絡(luò)發(fā)送信息的關(guān)口的地址。2 網(wǎng)絡(luò)規(guī)劃與設(shè)計的主要技術(shù)（介紹VLAN及VLAN路

2、由技術(shù)，靜態(tài)路由技術(shù)，訪問控制技術(shù)（ACL），網(wǎng)絡(luò)地址翻譯技術(shù)（NAT） VLAN:VLAN（Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"。虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來，相互之間的通信就好像它們在同一個網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點： 網(wǎng)絡(luò)

3、設(shè)備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網(wǎng)絡(luò)的安全性。這兩個特點正是現(xiàn)代局域網(wǎng)設(shè)計必須實現(xiàn)的兩個基本目標，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運行效率。VLAN路由技術(shù)：VLAN路由技術(shù)即實現(xiàn)不同VLAN、不同部門之間能進行通信路由，路由技術(shù)主要是指路由選擇算法。其中，路由選擇算法可以分為靜態(tài)路由選擇算法和動態(tài)路由選擇算法。因特網(wǎng)的路由選擇協(xié)議的特點是：屬于自適應(yīng)的選擇協(xié)議（即動態(tài)的）；是分布式路由選擇協(xié)議；采用分層次的路由選擇協(xié)議，即分自治系統(tǒng)內(nèi)部和自治系統(tǒng)外部路由選擇協(xié)議。靜態(tài)路由技術(shù)：是一種特殊的路由，由管理員手工配置。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)比較簡單時，只需配置靜態(tài)路由

4、就可以使網(wǎng)絡(luò)正常工作。靜態(tài)路由不能自動適應(yīng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的變化。當(dāng)網(wǎng)絡(luò)發(fā)生故障或者拓撲發(fā)生變化后，必須由網(wǎng)絡(luò)管理員手工修改配置。訪問控制技術(shù)（ACL):是一種基于包過濾的流控制技術(shù)。控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過實施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開始使用ACL來控制對局域網(wǎng)內(nèi)部資源的訪問能力，進而來保障這些資源的安全性。訪問控制列表分為標準IP訪問控制列表、擴展IP訪問控制列表、命名的IP訪問控制列表、標準IPX訪問控制列表、擴展

5、IPX訪問控制列表、擴展IPX訪問控制列表和命名的IPX訪問控制列表6種，其中，一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標準IP訪問控制列表。 網(wǎng)絡(luò)地址翻譯技術(shù)（NAT）：能解決不少令人頭疼的問題。它解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址，在Internet上使用。其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設(shè)備中。NAT設(shè)備維護一個狀態(tài)表，用來把非法的IP地址映射到合法的I

6、P地址上去。每個包在NAT設(shè)備中都被翻譯成正確的IP地址發(fā)往下一級，這意味著給處理器帶來了一定的負擔(dān)。但這對于一般的網(wǎng)絡(luò)來說是微不足道的，除非是有許多主機的大型網(wǎng)絡(luò)。NAT有三種類型：靜態(tài)NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。其中靜態(tài)NAT設(shè)置起來最為簡單，內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。而NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。PAT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。根據(jù)不同的需要，各種NAT方案都是有利有弊。需要注意的是，NAT并不是一種有安全保證的方

7、案，它不能提供類似防火墻、包過濾、隧道等技術(shù)的安全性，僅僅在包的最外層改變IP地址。這使得黑客可以很容易地竊取網(wǎng)絡(luò)信息，危及網(wǎng)絡(luò)安全。3 內(nèi)部網(wǎng)絡(luò)設(shè)計（拓撲結(jié)構(gòu)，VLAN設(shè)計與IP地址規(guī)劃（給出IP地址，子網(wǎng)掩碼的設(shè)計過程和設(shè)計任務(wù)表（增加了VLAN ID列），設(shè)備配置） 拓撲結(jié)構(gòu)： 設(shè)計任務(wù)表： VLAN設(shè)計與IP地址規(guī)劃：根據(jù)需求給出的每個部門的電腦數(shù)來確定每個部門所需要的IP地址范圍，例如部門1.2：因為需要14臺電腦，即至少需2的四次方即16的地址空間，所以是172.16.192.1631。但是像部門1.1,需要8臺電腦，但并不是2的三次方即8的地址空間能滿足的，需要大于8的2的N次冪

8、，所以也是需要16的地址空間，所以是172.16.192.115。同時，VLAN ID應(yīng)保持每個部門都不相同，以免重疊影響通信。子網(wǎng)掩碼的算法則要根據(jù)每個部門的信息點數(shù)來計算，例如部門2是8個信息點，至少需要2的四次方即16的地址空間，就是4次方，32-4=28，二進制數(shù)表示為，11111111 11111111 11111111 11110000，轉(zhuǎn)換為十進制則是240，所以該部門的子網(wǎng)掩碼為255.255.255.240。其他部門的子網(wǎng)掩碼也應(yīng)以此類推。至于網(wǎng)絡(luò)號，則是根據(jù)每個部門的信息點數(shù)推算出每個部門占有的2的N次方，依次疊加，例如部門1.1為172.16.152.0，部門1.2要加上

9、16位172.16.152.16，依次類推。當(dāng)我們了解了IP地址范圍和子網(wǎng)掩碼之后，網(wǎng)關(guān)地址、所在子網(wǎng)的第一個可用地址和所在子網(wǎng)的倒數(shù)第二個可用地址就很好求得了。 設(shè)備配置：此次組建的小型網(wǎng)絡(luò)中，共用到3個路由器，10個交換機以及16臺PC電腦，3個路由器中分別用作運營商路由器ISPRouter、網(wǎng)絡(luò)地址轉(zhuǎn)化路由器NATRouter和虛擬局域網(wǎng)路由器VLANRouter，交換機中7個是用于控制PC的基層交換機，1個是用于使不同部門間通信的中心交換機CenterSwitch，還有1個則是用于與運營商相連的ISP交換機ISPSwitch，PC就是用戶。4 Internet接入設(shè)計（給出設(shè)計思想及實

10、現(xiàn)，邊緣路由器的配置） 設(shè)計思想及實現(xiàn)：首先對設(shè)計需求進行了解和分析，了解了部門數(shù)，開始IP地址，終止IP地址，各個部門的VLAN電腦數(shù)，公網(wǎng)IP地址以及不允許通信的部門號等相關(guān)信息。首先構(gòu)建拓撲結(jié)構(gòu)，把主要的路由器、交換機搭建起來并且使之能夠通信，設(shè)置完畢后進行檢驗。然后再來搭建各個部門的交換機和信息點（即PC），也設(shè)置好接口，單擊每一個部件并且進行各種模式的設(shè)置使之能夠相互通信。搭建好物理模型之后，要開始進行進一步的設(shè)置，包括VLAN的設(shè)置、路由器屬性、交換機屬性和PC機的屬性設(shè)置。當(dāng)設(shè)置完之后要開始考慮不允許通信的部門，要在之間進行更進一步的阻斷設(shè)置。當(dāng)所有設(shè)置工作完成以后要一一檢測各個

11、位置之間的導(dǎo)通性，如果有不能夠PING通的地方要進行排查和調(diào)試直到整個網(wǎng)絡(luò)處處流通并且能按照需求來阻斷部分通信。 邊緣路由器的配置：邊緣路由器即同時連接內(nèi)網(wǎng)和公網(wǎng)的路由器。VLANRouter為邊緣路由器，接口fa0/1連接公網(wǎng)，接口fa0/0與內(nèi)網(wǎng)相連。先定義邊緣路由器的內(nèi)網(wǎng)接口和外網(wǎng)接口，在全局模式下執(zhí)行VLANRouter（config）#int fa0/0;VLANRouter（config-if）#ip nat inside;將該接口設(shè)置為內(nèi)網(wǎng)接口。同樣執(zhí)行VLANRouter（config）#int fa0/1;VLANRouter（config-if）#ip nat outsid

12、e;將該接口設(shè)置為外網(wǎng)接口。然后利用IP訪問控制列表，定義允許進行地址轉(zhuǎn)換的內(nèi)部地址范圍，在全局配置模式下執(zhí)行access-list 10 permit any，定義標準訪問控制列表定義所有的內(nèi)網(wǎng)地址都可以轉(zhuǎn)換。接著定義內(nèi)部公網(wǎng)地址池，在全局配置模式下執(zhí)行ip nat pool global 172.16.153.254 172.16.153.254 netmask 255.255.0.0命令設(shè)置內(nèi)網(wǎng)地址轉(zhuǎn)換成公網(wǎng)的地址池為global。最后建立映射關(guān)系（將可以轉(zhuǎn)換的內(nèi)網(wǎng)地址，與轉(zhuǎn)換的公網(wǎng)地址聯(lián)系起來），在全局配置模式下執(zhí)行ip nat inside source list 10 pool g

13、lobal overload。 這樣internet接入設(shè)計就配置完畢。5 設(shè)計心得與體會 這次的課程設(shè)計讓我體會到課本知識到實際應(yīng)用的過渡過程，開始確實有些不適應(yīng)和吃力，但是隨著課程設(shè)計的慢慢進行和老師反復(fù)細心的講解，逐漸地習(xí)慣了這個過程。之前在課堂上學(xué)到的似懂非懂的知識點，在課程設(shè)計的應(yīng)用中得到了鞏固，變得清晰明了，這讓我意識到打下扎實的基本功的重要性。整個課程設(shè)計是既有趣又枯燥的，有趣的是新的軟件學(xué)習(xí)和課題的探索過程，枯燥的是逐一排查錯誤反復(fù)地進行某些操作卻還是不能找出錯誤原因的過程。有的時候進度快一點，覺得似乎沒有什么難度可言，但是有的時候進度慢下來，看著身邊的同學(xué)都完成了大半，心里焦躁不安甚至無法集中精神。經(jīng)過幾番掙扎，最后還是選擇了耐下性子慢慢來，不去考慮自己的進度快慢和外界的影響，專心把自己手上的東西弄好。到了最后的階段，還是有很多地方不明白，就點開之前的教學(xué)文檔一點點重新理解，實在不懂的地方就問同學(xué)問老師，再一點點排查自己的錯誤，當(dāng)終于可以每一