網(wǎng)絡規(guī)劃與設計實驗報告參考模板

1、網(wǎng)絡規(guī)劃與設計集中實踐報告(14-15 學年夏學期)學院 電子信息學院 班級 13廣播電視工程 3班 學號 130701320 姓名 寧文峮 0 / 101需求分析（對本次集中實踐文件設計需求.xlsx中需求的文字描述） 序號：規(guī)劃網(wǎng)絡中需要的部門的編號。部門名稱：每個部門相應的名稱。VLAN ID:每個部門所劃定的區(qū)域，以便存入相應的數(shù)據(jù)。IP地址范圍:每個部門的各臺電腦可以使用的IP地址。子網(wǎng)掩碼：用來指明一個IP地址的哪些位標識的是主機所在的子網(wǎng)，以及哪些位標識的是主機的位掩碼。 網(wǎng)關地址：從一個網(wǎng)絡向另一個網(wǎng)絡發(fā)送信息的關口的地址。2 網(wǎng)絡規(guī)劃與設計的主要技術（介紹VLAN及VLAN路

2、由技術，靜態(tài)路由技術，訪問控制技術（ACL），網(wǎng)絡地址翻譯技術（NAT） VLAN:VLAN（Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"。虛擬局域網(wǎng)（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統(tǒng)的局域網(wǎng)技術相比較，VLAN技術更加靈活，它具有以下優(yōu)點： 網(wǎng)絡

3、設備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網(wǎng)絡的安全性。這兩個特點正是現(xiàn)代局域網(wǎng)設計必須實現(xiàn)的兩個基本目標，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術能夠提高網(wǎng)絡運行效率。VLAN路由技術：VLAN路由技術即實現(xiàn)不同VLAN、不同部門之間能進行通信路由，路由技術主要是指路由選擇算法。其中，路由選擇算法可以分為靜態(tài)路由選擇算法和動態(tài)路由選擇算法。因特網(wǎng)的路由選擇協(xié)議的特點是：屬于自適應的選擇協(xié)議（即動態(tài)的）；是分布式路由選擇協(xié)議；采用分層次的路由選擇協(xié)議，即分自治系統(tǒng)內(nèi)部和自治系統(tǒng)外部路由選擇協(xié)議。靜態(tài)路由技術：是一種特殊的路由，由管理員手工配置。當網(wǎng)絡結(jié)構(gòu)比較簡單時，只需配置靜態(tài)路由

4、就可以使網(wǎng)絡正常工作。靜態(tài)路由不能自動適應網(wǎng)絡拓撲結(jié)構(gòu)的變化。當網(wǎng)絡發(fā)生故障或者拓撲發(fā)生變化后，必須由網(wǎng)絡管理員手工修改配置。訪問控制技術（ACL):是一種基于包過濾的流控制技術。控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應用在企業(yè)的出口控制上，可以通過實施ACL，可以有效的部署企業(yè)網(wǎng)絡出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡資源的增加，一些企業(yè)已經(jīng)開始使用ACL來控制對局域網(wǎng)內(nèi)部資源的訪問能力，進而來保障這些資源的安全性。訪問控制列表分為標準IP訪問控制列表、擴展IP訪問控制列表、命名的IP訪問控制列表、標準IPX訪問控制列表、擴展

5、IPX訪問控制列表、擴展IPX訪問控制列表和命名的IPX訪問控制列表6種，其中，一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標準IP訪問控制列表。 網(wǎng)絡地址翻譯技術（NAT）：能解決不少令人頭疼的問題。它解決問題的辦法是：在內(nèi)部網(wǎng)絡中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址，在Internet上使用。其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。NAT設備維護一個狀態(tài)表，用來把非法的IP地址映射到合法的I

6、P地址上去。每個包在NAT設備中都被翻譯成正確的IP地址發(fā)往下一級，這意味著給處理器帶來了一定的負擔。但這對于一般的網(wǎng)絡來說是微不足道的，除非是有許多主機的大型網(wǎng)絡。NAT有三種類型：靜態(tài)NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。其中靜態(tài)NAT設置起來最為簡單，內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址。而NAT池則是在外部網(wǎng)絡中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡。PAT則是把內(nèi)部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上。根據(jù)不同的需要，各種NAT方案都是有利有弊。需要注意的是，NAT并不是一種有安全保證的方

7、案，它不能提供類似防火墻、包過濾、隧道等技術的安全性，僅僅在包的最外層改變IP地址。這使得黑客可以很容易地竊取網(wǎng)絡信息，危及網(wǎng)絡安全。3 內(nèi)部網(wǎng)絡設計（拓撲結(jié)構(gòu)，VLAN設計與IP地址規(guī)劃（給出IP地址，子網(wǎng)掩碼的設計過程和設計任務表（增加了VLAN ID列），設備配置） 拓撲結(jié)構(gòu)： 設計任務表： VLAN設計與IP地址規(guī)劃：根據(jù)需求給出的每個部門的電腦數(shù)來確定每個部門所需要的IP地址范圍，例如部門1.2：因為需要14臺電腦，即至少需2的四次方即16的地址空間，所以是172.16.192.1631。但是像部門1.1,需要8臺電腦，但并不是2的三次方即8的地址空間能滿足的，需要大于8的2的N次冪

8、，所以也是需要16的地址空間，所以是172.16.192.115。同時，VLAN ID應保持每個部門都不相同，以免重疊影響通信。子網(wǎng)掩碼的算法則要根據(jù)每個部門的信息點數(shù)來計算，例如部門2是8個信息點，至少需要2的四次方即16的地址空間，就是4次方，32-4=28，二進制數(shù)表示為，11111111 11111111 11111111 11110000，轉(zhuǎn)換為十進制則是240，所以該部門的子網(wǎng)掩碼為255.255.255.240。其他部門的子網(wǎng)掩碼也應以此類推。至于網(wǎng)絡號，則是根據(jù)每個部門的信息點數(shù)推算出每個部門占有的2的N次方，依次疊加，例如部門1.1為172.16.152.0，部門1.2要加上

9、16位172.16.152.16，依次類推。當我們了解了IP地址范圍和子網(wǎng)掩碼之后，網(wǎng)關地址、所在子網(wǎng)的第一個可用地址和所在子網(wǎng)的倒數(shù)第二個可用地址就很好求得了。 設備配置：此次組建的小型網(wǎng)絡中，共用到3個路由器，10個交換機以及16臺PC電腦，3個路由器中分別用作運營商路由器ISPRouter、網(wǎng)絡地址轉(zhuǎn)化路由器NATRouter和虛擬局域網(wǎng)路由器VLANRouter，交換機中7個是用于控制PC的基層交換機，1個是用于使不同部門間通信的中心交換機CenterSwitch，還有1個則是用于與運營商相連的ISP交換機ISPSwitch，PC就是用戶。4 Internet接入設計（給出設計思想及實

10、現(xiàn)，邊緣路由器的配置） 設計思想及實現(xiàn)：首先對設計需求進行了解和分析，了解了部門數(shù)，開始IP地址，終止IP地址，各個部門的VLAN電腦數(shù)，公網(wǎng)IP地址以及不允許通信的部門號等相關信息。首先構(gòu)建拓撲結(jié)構(gòu)，把主要的路由器、交換機搭建起來并且使之能夠通信，設置完畢后進行檢驗。然后再來搭建各個部門的交換機和信息點（即PC），也設置好接口，單擊每一個部件并且進行各種模式的設置使之能夠相互通信。搭建好物理模型之后，要開始進行進一步的設置，包括VLAN的設置、路由器屬性、交換機屬性和PC機的屬性設置。當設置完之后要開始考慮不允許通信的部門，要在之間進行更進一步的阻斷設置。當所有設置工作完成以后要一一檢測各個

11、位置之間的導通性，如果有不能夠PING通的地方要進行排查和調(diào)試直到整個網(wǎng)絡處處流通并且能按照需求來阻斷部分通信。 邊緣路由器的配置：邊緣路由器即同時連接內(nèi)網(wǎng)和公網(wǎng)的路由器。VLANRouter為邊緣路由器，接口fa0/1連接公網(wǎng)，接口fa0/0與內(nèi)網(wǎng)相連。先定義邊緣路由器的內(nèi)網(wǎng)接口和外網(wǎng)接口，在全局模式下執(zhí)行VLANRouter（config）#int fa0/0;VLANRouter（config-if）#ip nat inside;將該接口設置為內(nèi)網(wǎng)接口。同樣執(zhí)行VLANRouter（config）#int fa0/1;VLANRouter（config-if）#ip nat outsid

12、e;將該接口設置為外網(wǎng)接口。然后利用IP訪問控制列表，定義允許進行地址轉(zhuǎn)換的內(nèi)部地址范圍，在全局配置模式下執(zhí)行access-list 10 permit any，定義標準訪問控制列表定義所有的內(nèi)網(wǎng)地址都可以轉(zhuǎn)換。接著定義內(nèi)部公網(wǎng)地址池，在全局配置模式下執(zhí)行ip nat pool global 172.16.153.254 172.16.153.254 netmask 255.255.0.0命令設置內(nèi)網(wǎng)地址轉(zhuǎn)換成公網(wǎng)的地址池為global。最后建立映射關系（將可以轉(zhuǎn)換的內(nèi)網(wǎng)地址，與轉(zhuǎn)換的公網(wǎng)地址聯(lián)系起來），在全局配置模式下執(zhí)行ip nat inside source list 10 pool g

13、lobal overload。 這樣internet接入設計就配置完畢。5 設計心得與體會 這次的課程設計讓我體會到課本知識到實際應用的過渡過程，開始確實有些不適應和吃力，但是隨著課程設計的慢慢進行和老師反復細心的講解，逐漸地習慣了這個過程。之前在課堂上學到的似懂非懂的知識點，在課程設計的應用中得到了鞏固，變得清晰明了，這讓我意識到打下扎實的基本功的重要性。整個課程設計是既有趣又枯燥的，有趣的是新的軟件學習和課題的探索過程，枯燥的是逐一排查錯誤反復地進行某些操作卻還是不能找出錯誤原因的過程。有的時候進度快一點，覺得似乎沒有什么難度可言，但是有的時候進度慢下來，看著身邊的同學都完成了大半，心里焦躁不安甚至無法集中精神。經(jīng)過幾番掙扎，最后還是選擇了耐下性子慢慢來，不去考慮自己的進度快慢和外界的影響，專心把自己手上的東西弄好。到了最后的階段，還是有很多地方不明白，就點開之前的教學文檔一點點重新理解，實在不懂的地方就問同學問老師，再一點點排查自己的錯誤，當終于可以每一