《计算机网络课程设计和实验计算机网络课程设计.docx》由会员分享,可在线阅读,更多相关《计算机网络课程设计和实验计算机网络课程设计.docx(12页珍藏版)》请在第一文库网上搜索。
1、计算机网络课程设计学院计算机专业信息安全年级班别201601学号3116005128学生姓名陈旭钦指导教师_许青林成绩1引言在企业中,要实现所有的员工都能与互联网进行通信,每个人各使用一个公网地址是很不现实的。一般,企业有1个或几个公网地址,而企业有几十、几百个员工。要想让所有的员工使用这仅有的几个公网地址与互联网通信该怎么做呢?使用NAT技术!在企业中,一般会有多个部门,像财务部、技术部、工程部等等。每个部门有每个部门的职责。像财务部这种重要的部门有些资料是不允许被其他员工知道的。怎样能清楚的区分不同的部门,以便于管理呢?使用V1AN技术!为了工作方便、增强工作效率,各部门经理必须能相互通信
2、。但不允许员工之间相互通信。我们又该怎样做呢?使用AC1技术!2 .相关技术-NAT、V1AN、AC1和子接口NAT:(1)简介:networkaddresstrans1ation,即网络地址转换.当在专用网内部的一些主机本来已经分配到了本地ip地址(仅在本专用网内使用的地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法.(2)功能:通过使用少量的公有ip地址代表较多的私有ip地址的方式,将有助于减缓可用的ip地址空间的枯竭.使用NAT还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的主机.(3)实现方式:NAT有三种实现方式,静态转换,动态转换和端口多路复用.静
3、态转换,是指将内部网络的私有ip地址转换为公有ip地址,ip地址对是一对一的,某个私有ip地址只转换为某个公有ip地址.借助于静态转换,可以实现外部网络对内部网络中某些特定设备的访问.动态转换,是指将内部网络的私有ip地址转换为公用ip地址时,ip地址是不确定的,随机的,所有被授权访问上internet的私有ip地址可随机转换为任何指定的合法ip地址.只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换.端口多路复用,是指改变外出数据包的源端口并进行端口转换.内部网络的所有主机均可共享一个合法外部ip地址,从而可以最大限度地节约ip地址资源.目前网络上应用最多
4、的就是端口多路复用.(4) NAPT:networkaddressporttrans1ation,即网络端口地址转换,可将多个内部地址映射为一个合法公网地址,但是以不同的协议端口号与不同的内部地址相对应.NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的ip地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号.V1AN:(1)简介:virtua11oca1areanetwork,即虚拟局域网.V1AN是一组逻辑上的设备和用户,这些设备和用户不受物理位置的限制,相互之间的通信就好像它们在同一个网段一样.V1AN工作在OS1参考模型的第2层和第3层,一个V1AN就是一个
5、广播域,V1AN之间的通信就是通过第3层的路由器来完成.(2)功能:不同V1AN之间一般不能相互通讯,这样增加了企业网络中不同部门之间的安全性.网络管理员可以通过配置V1AN之间的路由来全面管理企业内部不同管理单元之间的信息互访.V1AN还可以限制网络上的广播,将网络划分为多个V1AN可减少参与广播风暴的设备数量,在一个V1AN中的广播不会送到V1AN之外.(3)实现方式:按端口划分V1AN,利用交换机的端口来划分V1AN成员.例如,一个交换机的1,2,3,4,5端口被定义为V1AN2,同一交换机的6,7,8端口组成V1AN3.按MAC地址划分V1AN,根据每个主机的MAe地址来划分,即对每个
6、MAC地址的主机都配置它属于哪个组.按网络层划分,根据每个主机的网络层地址或协议类型划分.AC1:(1)简介:accesscontro11ist,即访问控制列表.是指路由器和交换机接口的指令列表,用来控制端口进出的数据包.ac1可以过滤网络中的流量,允许特定设备访问,是控制访问的一种网络技术手段.(2)功能:ac1可以限制网络流量,提高网络性能.提供对通信流量的控制手段,提供网络安全访问的基本手段.3P原则:每种协议一个AC1,要控制接口上的流量,必须为接口上启用的每种协议定义相应的AC1.每个方向一个AC1,一个AC1只能控制接口上一个方向的流量.要控制入站流量和出站流量,必须分别定义两个A
7、C1.每个接口一个AC1一个AC1只能控制一个接口上的流量.(4)执行过程:一个端口执行哪条AC1这需要按照列表中的条件语句执行顺序来判断.如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查.数据包只有在跟第一个判断条件不匹配时,它才会被交给列表中的下一个条件判断语句进行比较.如果匹配,数据会立即发送到目的接口.如果整个列表都没有匹配的语句,则该数据包将被视为拒绝而被丢弃.(5)三种主要分类:标准AC1扩展AC1以及命名AC1.标准的AC1使用1-99以及1300-1999之间的数字作为表号.扩展AC1使用100-199以及2000-2699之间的数字作为
8、表号.扩展AC1比标准AC1提供了更广泛的控制范围.命名AC1使用一个字母数字组合的字符串作为字符串.使用命名AC1可以用来删除某一条特定的控制条目,方便修改.子接口:(1)简介:subinterface,通过协议和技术将一个物理接口虚拟出来的多个逻辑接口.相对子接口而言,这个物理接口称为主接口.每个子接口从功能作用上来说,与普通物理接口是没有任何区别的.在路由器中,一个子接口的取值范围是0-4095,受主接口物理性能限制,子接口数量越多,各子接口性能越差.(2)功能:子接口打破了物理接口的数量限制,它允许一个路由器的单个物理接口通过划分多个子接口的方式,实现多个V1AN间的路由和通信.3 .
9、网络结构及地址分配O/3/O2001eT/24S1981/240/3/0200i87/24s0302.1.8.7/24f0063.196.1/240302811200.1.8.8/24Router1Server-PT6319.6.2/243/01f00.2192168.2.1/24192.1683.1/240/03192.168.4.1/24外部网络结构V 1AN2(财务部):PCO(财务部门经理):192.168.2.2/24PC1:192.168.2.3/24PC2:192.168.2.4/24V 1AN3(技术部):PC3(技术部门经理):192.168.3.2/24PC4:192.16
10、8.3.3/24PC5:192.168.3.4/24V 1AN4(工程部):PC6(工程部门经理):192.168.4.2/24PC7:192.168.4.3/24PC8:192,168.4.4/24RouterO(NAT路由器):S030:200.1.8.7/24Fa00.1:192,168.2.1/24FaOO.2:192.168.3.1/24FaOO.3:192,168.4.1/24ROUterI(公网中的路由器):S0/3/0:200.1.8.8/24FaO/O:63.19.6.1/24SerVerO(公网中的服务器):63.19.6.2/244,配置与实施(1)先配置好每台PC的ip
11、地址,子网掩码和网关.IPConfiguration(2)在SwitChO上添加V1AN2,V1AN3,V1AN4,并按照端口划分V1ANV1ANConfigurationV1ANNumberV1ANNameV1AN2AddIRemOVJ0OnBAutoBandwidthV1ANNoV1ANName1defau1t2V1AN23 V1AN34 V1AN41002fddi-defau1t1003token-nng-defau1t1004fddinet-defau1tFastEthernetO/1PortStatusFastEthernetO/4PortStatus0AutoBandwidthPo
12、rtStatusFastEthernetO/70On0AutoBandwidthFastEthernetO/240OnPortStatus0AutoBandwidth(3)在RoUtCrO完成子接口的配置,配置成功后同个V1AN可以访问,不同V1AN不能访问RouterO(config)#intfa00.1RouterO(config-subif)ttencapsu1ationdotIQ2RouterO(config-subif)#ipadd192.168.2.1255.255.255.0RouterO(config-subif)#noshutRouterO(config-subif)#exi
13、tRouterO(config)#intfa00.2RouterO(config-subif)Sencapsu1ationdot1Q3RouterO(config-subif)#ipadd192.168.3.1255.255.255.0RouterO(config-subif)#noshutRouterO(config-subif)#exitRouterO(config)#intfa00.3RouterO(config-subif)Sencapsu1ationdot1Q4RouterO(config-subif)#ipadd192.168.4.1255.255.255.0RouterO(con
14、fig-subif)#noshutRouterO(config-subif)#exit(4)在RouterO配置AC1,完成后部门经理之间可以互相通信RouterO(config)ttaccess-1istRouterO(config)#access-1istRouterO(config)ftaccess-1istRouterO(config)ttaccess-1istRouterO(config)ttaccess-1istRouterO(config)#intfa00.110permit192.168.3.20.0.0.010deny192.168.3.00.0.0.25510permit192.168.4.20.0.0.010deny192.168.4.00.0.0.25510permitanyRouterO(config-subif)#ipaccess-group10outRouterO(config-subif)#exitRouterO(config)ttaccess-1istRouterO(config)#access-1istRouterO(config)ftaccess-1istRouterO(config)ttaccess-1istRouterO(config)ttaccess-1istRouterO(config)#intfa00.211permit192.1