最新网络工程课程设计.doc

《最新网络工程课程设计.doc》由会员分享，可在线阅读，更多相关《最新网络工程课程设计.doc（113页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络工程课程设计(可以直接使用，可编辑 优秀版资料，欢迎下载）武汉软件工程职业学院网络工程课程设计报告书实训课题：数字化校园班级:网络1106班姓名:刘 浩学号：年级：2021级2021年4月15日前言计算机网络技术是一个技术复杂、涉及面广、专业性较强的系统工程。想要成为一名合格的网络工程师，除了学习网络基础知识和相关的网络设备使用外，还需要系统地掌握网络系统工程技术、施工相关的知识和技术。本次实训根据培养目标,按照网络工程项目建设的工作流程，首先全面而有精炼地讲解了网络工程建设之前的准备工作-用户调查与需求分析，其中包括需求调查的内容及方式、用户需求分析;然后详细介绍网络工程项目逻辑网设计,

2、主要包括网络拓扑结构的设计、IP 地址规划及VLAN的划分、局域网设计，广域网管理，网络管理及网络安全设计，网络设备选型等.接下来，按照综合布线的标准，系统地讲解了网络工程项目的物理网络设计、工程施工、工程的设计.实训安排包括校园网的组建，网络需求调查与分析，网络逻辑方案设计，网络管理系统，信息插座与配线架安装，减缓及与路由配置。最后，设计一个完整的网络工程项目，力求通过项目实训掌握网络工程建设的全过程，将所学的知识应用到实践中去目录一、 项目背景及设计要求 3二、 需求分析及设计原则4三、 拓扑结构规划5四、 网络功能设计 51。拓扑图52。IP与VLAN划分63。 GLBP74。 VRRP

3、105。 STP生成树126.HSRP157. VPN 18五、 综合布线设计21六、 服务器的配置 22七、 设计总结体会27八、 设计参考文献28一、 项目背景与设计要求在以计算机技术、网络技术、多媒体技术为代表的现代信息技术快速发展的今天，信息化的浪潮正冲击着人类社会的方方面面,在社会的许多领域中引发了深刻的变革.教育信息化也是摆在教育领域面前的一个迫切需要解决的问题，信息技术与教育相结合成为当今世界教育现代化改革和发展的方向,“数字化校园”已成为推进教育信息化的重要建设任务。数字化校园是以数字化信息和网络为基础,利用计算机和网络技术对学校的教学、科研、管理和生活服务等所有信息资源进行全

4、面的数字化，形成一个高度集成的、高性能的应用中心和高度集中的、高可靠性的数据中心，既有效地提供相应的服务，又有效地共享教育资源、降低教育运行成本，提高教育资源使用率、提高教学质量，还能有效地对学校进行全方位的管理，同时提高全校师生信息化水平素养，通过数字化校园的建设,为培养高技能应用型人才和服务社会搭建公共服务平台。该应用框架将充分支持学校的应用需求和未来发展，同时考虑到系统的总体拥有成本,必须采用先进的理念和思路,辅以成熟的、主流的、符合未来发展趋势的技术，运用现代系统工程和项目管理规范标准，科学合理地进行建设。1) 本设计要求涉及的以下5个方面的内容，各方面又包括若干环节:1. 网络功能设

5、计（内容:VRRP 动态路由协议 生成树 VPN等的配置）;2. 综合布线设计（内容：工作区、水平子系统、垂直子系统、建筑物子系统等设计)；3. 服务器的配置（内容：基本服务与安全的配置 及 DNS群集）；4. 连通性测试（内容:路由交换调试命令、服务器的测试、线路测试)；5. 工程文档的制作（内容：需求分析和设计原则、网络详细设计方案)；2) 关键字：网络工程设计 数字化 实验拓扑图 HRSP VRRP GLBP 生成树 VPN的配置 综合布线网络负载平衡 DNS群集二、 需求分析及设计原则1）需求分析:1. 用户需求分析包括以下方面：连通性、服务响应时间的可预测性、数据传输和访问服务的安全

6、性和可靠性、成本、方便和灵活性、物力、财力等2. 业务需求包括以下方面：上网需求的业务、数据共享模式、带宽需求、升级需求、加密系统、网络拓扑设计、应用的可靠性和安全性要求、物力、财力等3. 管理需求包括以下方面：学校应成立专门的领导机构，对相关工作进行规划、组织、协调,明确职责;在加强规范管理的同时，更要加强培训,数字化校园的应用，需要有一支有技术，懂管理的队伍,进行数字化校园的技术培训，通过培训更新教职员工的观念,提高教职员工的综合素质. 4. 可靠性和安全性需求包括以下方面：在应用平台设计中,既要充分考虑信息资源的共享，更要注意信息资源的保护和隔离，应分别针对不同的应用和不同的网络通信环境

7、，采取不同的措施,包括系统安全机制、数据存取的权限控制等.要制定一系列的保障计划,使数字化校园运行安全。2）设计原则1 加强领导，注重管理数字化校园建设需要强有力的组织和制度保证。学校主要领导直接负责数字化校园建设,学校应成立专门的领导机构，对相关工作进行规划、组织、协调,明确职责。 2 统一规划，分步实施 数字化校园建设是一项长期的任务，是一项复杂技术含量高的系统工程,是一项资金投入大的工程，必须在充分论证的基础上，学校将应采取统一规划，分步实施策略才能避免走弯路，造成不必要的浪费。 3 合作开发，结合实际 数字化校园建设，不可能靠一个学校的力量建设完成.因此在建设的过程中,避免不了要遇到引

8、进开发的问题，这就需要学校在适当引进成熟软件的同时，坚持“自主开发，在开发时结合自己本身的实际，突出自身的特点，形成自身特色鲜明而又有实用价值的软件(课件）. 4 注重应用，加强培训 数字化校园建设，需要有完善的规章制度作保证，在加强规范管理的同时，更要加强培训,数字化校园的应用，需要有一支有技术，懂管理的队伍，进行数字化校园的技术培训，通过培训更新教职员工的观念，提高教职员工的综合素质。 三、 拓扑结构规划：用Visio绘制简要的拓扑结构示意图，如下： 四、 网络功能设计：用GNS3搭建相应的网络规划拓扑图，如下：IP和VLAN划分：设备接口Ip地址R1S1/0172。16。13.2/24F

9、0/0172.16。23.2/24F0/1192。168.12。2/24R2F0/1192。168.13。1/24S1/0172。168。12.1/24R3F0/0172.168。3。3/24F0/1/24S1F0/3192.168。9。1/24Vlan1192。168.1。1S2F0/3192.168.10.2/24Vlan2192.168。2。2S3F0/2192。168。9。3/24F0/1192。168.10。2/24S4VLAN 1192。168。1。1VLAN 99Pc1F0/17192.168.1.0/24Pc2F0/18192。168.2。0/24设备配置：三台路由器、四台交换

10、机、两台pcVlan划分创建vlan,把交换机的端口划分到特定的端口上GLBP：提供冗余网关功能，在个网络之间提供负载均衡。交换机S1作为计算机使用，用于测试。在交换机S2上启用路由功能，并且创建环回口，该环回口用于测试.R1：R2：R3：VRRP：VRRP把多台路由器组成一个“热备分组”，形成一个虚拟路由器,这个组只有一个路由器是活动的，并且里由他来转发数据包，如果活路由器发生了故障,备份路由将成为活动路由器。R1：R3：STP生成树在网络中配置两个vlan，利用不同vlan 间的STP的不同根桥，实现负载均衡.S1:S2：S3：HSRP:HSRP把多台路由器组成一个“热备分组，形成一个虚拟

11、路由器，这个组只有一个路由器是活动的,并且里由他来转发数据包，如果活路由器发生了故障，备份路由将成为活动路由器。R1R3：VPN：用来提供机密性，数据源验证,无连接完整性和反重放服务，并且通过防止流量分析来限制流量的机密性，这些服务以来于SA建立和实现时的选择。R1：R2：五、 综合布线设计用Visio绘制简要的拓扑结构示意图，如下：(注：由于实验室设备和实验时间有限,故用画图的方式表明设计的结构图。）六服务器的配置NLB群集网络负载均衡、服务器群集1. 建立DC和DNS服务器，在同一台机器上建立.2起两台虚拟机,一台做为IIS1和NLB1，另外一台作为IIS2和NLB2，首先把两台机子加入域

12、中.3在第一台服务器上建立IIS1，在第二台服务器上建立IIS2，并进行测试.第一台主机上的网页:第二台主机上的网页：虚拟IP,也就是群集用的主IP，外网访问就是访问到这个IP地址,两个IIS都用192.168。1。424在第一台服务器上建立群集，添加自己到群集中，再添加另外一台机子到群集中先建群集删除默认规则先将自己加入群集（在域里先加自己再加别人，在工作组里先加别人再加自己）1。0.0。1是两台服务器相连网卡的IP地址添加主机的IP 和优先级添加别的主机到此集里DNS上添加主机记录,用域名访问WEB www。sjdwm 5利用 :/www。sjdwm。cn进行测试,在真机上设DNS192.

13、168。1.83,用真机来测试。再用www。sjdwm 访问,访问到的是第每一个网页.再把第一个主机网卡禁用再访问www。sjdwm ，它就会自动访问第二台主机上的网页.服务器群集（它最多可以台主机群集）而且只有两个服务器版本可以做，一个是企业版。一个是数据版(）.服务器群集是由独立的计算机系统（称为节点)构成的组,不同节点协同工作，就象单个系统一样,从面确保关键的应用程序和资源始终可由客户端使用.一般地,利用服务器群集技术可以实现、文件共享、后台打印、等服务的可靠性。1搭建DC和DNS,在同一台pc上就可以。2起两台虚拟机，第一台做为节点1，第二台作为节点2，把两台虚拟机加入到域中.启动第一

14、台虚拟机，在第一台使用管理工具里的群集管理器来创建群集。六、 设计总结体会通过这次实训，认识到仅仅依靠所学的知识是远远不够的，还要多看相关的书籍，才能有所突破.团队合作如此重要，基础知识如此重要!团队给了我动力和帮助，使我学习到很多书本中没有的知识。同样我也学习到了许多时间和理论结合起来的东西,这些都是无价之宝！在团队合作中认识到自己的不足，同时通过讨论学习的形式,增强了知识。通过本次实训，我们全面的复习了知识点，同时与实际相结合，加强了对知识的理解，达到理论与实际的融合。七、 设计参考文献1.CCNP SWITCH认证考试指南 （642813） .人民邮电出版社2. 网络工程【M】.北京:

15、人民邮电出版社，2005。3. 计算机网络工程基础【M】。北京:清华大学出版社，2005.，4. 网络工程与综合布线【M】.北京：清华大学出版社，2006.5. 网络集成技术与实训【M】.北京:电子工业出版社，2005.6. 网络信息安全【M】.北京：中国铁道出版社，2006。7. 网络安全技术与实训【M】.北京:人民邮电出版社,2007.网络安全与维护课程设计班级：姓名：学号：基于认证的攻击设计报告一、课程设计目的：1、熟悉使用端口扫描进行漏洞检测；2、掌握基于认证的攻击方法;3、掌握留后门和清脚印的方法。二、课程设计内容：、认证漏洞的检测在物理主机使用XScan检测自己的虚拟机的密码（虚拟

16、机的密码设置为空密码或者简单的密码）、使用IPC进行连接，祛除NTLM验证利用相关命令进行IPC$连接，连接成功后，编写Bat文件祛除虚拟机中的NTML验证，文件名自己设定.、利用IPC$开启对方的Telnet服务自己编写批处理文件开启虚拟机中的Telnet服务.、利用Telnet连接，为对方主机设定Telnet服务Mytel利用Telnet连接和相关的软件，在虚拟机中设立一个服务名称是Mytel的服务，且该服务为开机自启动服务，服务实际巡行程序为Telnet关闭原有的Telnet服务。、留下后门账号和清除自己的脚印自己编写批处理文件,留下后门账号,并将前面进行攻击所使用的所有文件和系统日志清

17、除,并在最后清除批处理文件本身。、端口扫描使用端口扫描工具对自己的虚拟机进行端口扫描,分别使用Syn扫描和Fin扫描进行探测，比较两种扫描方式的不同点。三、课程实施方案：1。认证漏洞检测 利用x-scan进行扫描打开xscan扫描，在“设置”菜单里点击“扫描参数”，进行全局核查建设置。在“检测范围中的“指定 IP 范围”输入要检测的目标主机的域名或 IP，也可以对一个IP段进行检查在全局设置中，我们可以选择线程和并发主机数量。 在“端口相关设置”中我们可以自定义一些需要检测的端口。检测方式“TCP”、“SYN”两种。“SNMP 设置主要是针对简单网络管理协议（SNMP)信息的一些检测设置。“N

18、ETBIOS 相关设置”是针对 WINDOWS 系统的网络输入输出系统（NetworkBasic Input/Output System）信息的检测设置，NetBIOS 是一个网络协议，包括的服务有很多，我们可以选择其中的一部分或全选。“漏洞检测脚本设置”主要是选择漏洞扫描时所用的脚本.漏洞扫描大体包括 CGI 漏洞扫描、POP3 漏洞扫描、FTP 漏洞扫描、SSH 漏洞扫描、HTTP 漏洞扫描等.这些漏洞扫描是基于漏洞库,将扫描结果与漏洞库相关数据匹配比较得到漏洞信息；漏洞扫描还包括没有相应漏洞库的各种扫描，比如 Unicode 遍历目录漏洞探测、FTP 弱势密码探测、OPENRelay 邮

19、件转发漏洞探测等,这些扫描通过使用插件（功能模块技术）进行模拟攻击，测试出目标主机的漏洞信息。开始扫描 设置好参数以后,点击“开始扫描”进行扫描，XScan 会对目标主机进行详细的检测。扫描过程信息会在右下方的信息栏中看到，如图所示:扫描结果扫描结束后,默认会自动生成 HTML 格式的扫描报告,显示目标主机的系统、开放端口及服务、安全漏洞等信息:可以看到管理员密码为空 2使用IPC$进行连接,去除NTLM验证 建立ipc$空连接建立磁盘映射建立批处理文件上传至远程主机按计划执行文件建立开启telnet批处理命令传送到远程主机并执行将instsrv。exe上传到远程主机telnet连接远程主机后

20、使用instsrv。exe建立一个名为syshealth的服务清除痕迹手工清除服务器日志入侵者通过多种途径来擦除留下的痕迹,其中手段之一就是在远程被控主机的【控制面板】窗口中，打开事件记录窗口，从中对服务器日志进行手工清除。具体的实现方法如下:（1)入侵者先用IPC$连接过去之后，在远程主机的【控制面板】窗口中,双击【管理工具】图标项打开【管理工具】窗口。(2)双击其中的【计算机管理】图标项，即可打开【计算机管理】窗口.（3）展开【计算机管理（本地)】【系统工具】【事件查看器】选项之后，打开事件记录窗格,其中的事件日志分为三类:“应用程序”日志、“安全性日志及“系统日志,如图12-10所示.(

21、4）这三类日志分别记录不同种类的事件,右击相应日志，在弹出的快捷菜单中选择【清除】菜单项，即可清除指定日志。（5）如果入侵者想做得更干净一点，则可以在【计算机管理】窗口的左窗格中展开【计算机管理（本地）】【服务和应用程序】【服务】选项,再在其右窗格中找到“Event Log”服务，并把该服务禁用,如图所示。经过上述设置之后，用户只要重新启动了系统，该主机/服务器就不会对任何操作进行日志记录了.四、课程设计结果：出现的问题及解决方法：1、在进行帐号克隆和清除日志时经常会遇到到空连接和ipc连接，它们区别在哪里？解答:在进行帐号克隆和清除日志时都需要用到远程上传工具,这就用到了连接,其中最常用的就

22、是空连接和ipc连接，可以从概念和访问方式上对其进行区分.空连接是指在没有信任的情况下与服务器建立的会话，即它是一个到服务器的匿名访问，不需要用户名和密码。而IPC连接是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，有许多的远程工具必须用到IPC$连接，如使用命令“net use IPipc “/user：“”就可以简单地和目标主机建立一个空连接（需要目标开放ipc$）.2、在克隆帐号时，需要对注册表中用于存放帐号所有属性的SAM键值进行访问，但在手动克隆帐号时却会出现无法访问SAM键的情况，该怎样解决？解答：当出现手动克隆无法访问注册表SAM键时，在图形界面下，可

23、以在【注册表编辑器】窗口中，右击HKEY_LOCAL_MACHINESAM子项之后，在弹出的快捷菜单中选择【权限】菜单项,在打开的【SAM的权限】对话框中将administrator帐户属性设置为和SYSTEM一样有完全控制权限。这样,在关闭注册表编辑器之后再将其打开，就可以访问SAM键了。另外，还可以在命令行方式下使用psu工具来获得SYSTEM权限,从而访问SAM键.本次实验，我们是利用IPC$漏洞进行攻击的。不过，事实上仅仅使用IPC$漏洞扫描器并不太容易找到存在漏洞可供植入病毒的主机，通过其他途径下载运行隐藏病毒文件更容易使远程主机中木马病毒.对木马病毒的防护建议：1、及时下载系统补丁

24、,修补系统漏洞。2、提高防范意识，不要打开陌生人的可以邮件和附件、其中可能隐藏病毒。3、如果电脑出现无故重启、桌面异常、速度变慢等情况、注意检查是否已中病毒。4、使用杀毒软件和防火墙，配置好运行规则密码服务滥用攻击密码服务滥用是指协议中的密码算法没有提供正确的保护，从而在协议汇总缺少所需的密码保护。这种缺陷会引发各种攻击。以下是最常见的两种：1：归因于缺失数据完整保护性的攻击。2:归因于缺失“语义安全”保护造成的机密性失败。密码滥用服务太复杂了已经设计到认证协议的设计领域，在此不做过多赘述。最后攻击方法难以穷尽，如“边信道攻击”“实现相关攻击”“绑定攻击”“封装攻击“服务器误信攻击”“交错攻击

25、“类型缺陷攻击和“姓名遗漏攻击”等，即使是把以上攻击全部都包含进去，我们仍然不能穷尽所有攻击类型，另外,认证协议依然容易包含安全缺陷，因此不要认为某些所谓的认证或者加密技术就是万无一失的.五、课程总结心得：1、总结对于常见的认证协议：（1）IPSec协议因特网工程任务组（IETF）制定了用于IP安全的系列标准，这些标准统称为IPSec简单的说，IPSec就是给IP数据包中前三个方框构成的“IP头”增加密码保护。IPSec规定了用于“IP头”的强制性认证保护和可选的机密性保护，后者用于保护出现在“IP头域”中的中端身份信息。（2）IKE协议IKE是认证和认证密钥协议族的总称。该协议族中每个协议都

26、是由三个部分合成的，分别是Oakley(密钥确定协议）“SKEME”（通用因特网安全密钥交换机制)和“ISAKMP（因特网安全连接和密钥交换协议）Oakley描述了系列的密钥交换方式，其中每一种方式都称为一种模式并且Oakley对每种模式所提供的安全服务都给出了详细的描述（这些安全服务包括会话密钥的完善前向保密，隐藏终端身份,双方认证等）。SKEME描述了认证的密钥交换技术,该技术支持通信各方对于曾经存在连接的可拒绝特性（指否认发生在通信双方的连接，它基于密钥共享，是IKE和IKEV2的一个特性）和快速密钥更新。ISAKMP为通信双方达到认证和认证的密钥交换提供了通用的框架。该框架用于协商和确

27、认各种安全属性，机密算法，安全参数，认证机制等。这些协商的结果统城为“安全连接（SA）”。然而.ISAKMP没有提供任何具体的密钥交换技术，所以它可以支持各种密钥交换技术。作为以上工作的和体，可以认为IKE是适用于双方参与的协议族。他们具有认证的会话密钥交换特性,大部分是用DiffieHellman密钥交换机制完成的，包含许多的可选项用于参与双方以在线的方式协商和确认选择项。（3）SSH远程登陆协议安全壳（SSH）是一套基于公钥的认证协议族。使用改协议，用户可以通过不安全网络，从客户端计算机安全地登陆到远端的服务器主机计算机，并且能够在远端主机安全地执行用户的命令，能够在两个计算机间安全地传输

28、文件.该协议是工业界的事实标准，在运行UNIX和Liunx操作系统的服务器计算机上应用广泛。该协议的客户端可以在任何操作系统平台上运行.该协议主要在UNIX服务器上运行的原因是这些操作系统具有开放架构，支持远端用户交互会话命令.SSH协议的基本思想是客户断计算机用户下载远程服务器的某个公钥,然后使用该公钥和用户的某些密码证件建立客户端和服务器之间的安全信道。（4）SSL和TLSSSL是一个通用的协议,用户管理因特网上消息传输的安全性。该协议最初由Netscape通信公司设计，并集成到该公司的WEB浏览器和WEB服务器中，后来也被微软和其他因特网客户/服务器开发者采纳，并进而发展成为WEB安全的

29、事实标准，直到最近才发展成为传输层安全协议（TLS)。TLS是用于保障WEB安全的因特网标准，由工业标准组因特网任务组（IETF）制定。2、常见攻击方法:（1）消息重放攻击在消息重放攻击中，攻击者预先记录某个协议先前的某次运行中的某条消息，然后在该协议新的运行中重放记录的消息。由于认证协议的目的是建立通信方之间真实通信，并且该目标通常通过在两个或者多个通信方之间交换新鲜的消息，所以认证协议中的消息重放违反了认证的的目标.（2)中间人攻击中间人攻击的本质上就是广为人知的“象棋大师问题”，它适应于缺少双方认证的通信协议，在攻击时，攻击者能够把协议的某参与者所提出的困难问题提交给另外的参与者来回答，

30、然后把答案（可能经过简单处理）交给体温的主题,反之亦然。PS：什么是象棋大师问题-某个新手和远距离通信的两位象棋大师同时进行两场象棋比赛，在一场比赛中执黑，另一场比赛执白.每次他都是把他在某一场比赛中对手的走子原封不动的用在另一场比赛中,这样他就能够保证自己要么同时和两位大师下和，要么赢一场输一场,用这种作弊方式来提升自己的积分。（3）平行会话攻击在平行会话攻击中，在攻击者的特意安排下,一个协议的两个或者更多的运行并发执行。并发的多个运行使得攻击者能够从一个运行中得到另外某个运行中困难问题的答案.关于平行会话的攻击偶了解的并不多所以这里说不出来什么,只能简单介绍这么多.（4)反射攻击在反射攻击

31、当中，当一个诚实的主体给某个意定的通信方发送消息用来让他完成密码操作时，攻击者截获消息,并把该消息发送给消息产生者。注意，这里把消息返回,并不是把消息原封不动地返回，攻击者会修改底层通信协议处理的地址和身份信息，以便消息的产生者不会意识到反射回来的消息是由他产生的。在此类攻击中，攻击者的目的是使消息产生者相信反射过来的消息是来自于消息产生者所意定的通信方。该消息可以是对消息产生者的应答或者询问，如果攻击者成功了,那么要么消息产生者接受对问题的“回答”，实质上是自问自答,要么给攻击者提供了语言机服务，完成了攻击者所完不成的功能并把结果提交给了攻击者。对于认证攻击的概念，我们都还局限在很窄的层面,

32、通过本次课程设计实验，认识到互联网一些认证是怎样侵入到我们的计算机并获得所需要的信息的。 如果要我对认证做一个全面的概述，我很难做到面面具到,因此只得就某一个方面，对认证进行一下定义：如果要对认证做一个描述的话，我们可以说认证是个过程，通过这个过程,一个实体向另一个实体证明了某种声称的属性。列如,我是一个主体，声称我有某种权限，可以进入八进制论坛的系统或者使用八进制论坛的某种服务，通过认证后,八进制论坛确认我确实拥有这种资格，才对我赋予这种权限，我才算正式拥有这种权限。由这样一个简短的描述，我们看出，认证至少涉及到两个独立的通信实体.按照惯例，协议指的就是在两方或互相协作的多方之间进行通信的过

33、程。因此，一个人证过程也是一个认证协议。课程设计报告设计名称:网络工程综合实验系 （院): 计算机科学学院 专业班级: 网络11102班 姓 名：刘XX学 号:指导教师：邱林 陈中举设计时间： 2021。12。16 2021。12.27设计地点:4#网络工程实验室目录一、课程设计目的3二、设计任务及要求3三、需求分析4四、网络设计41、总体规划42、拓扑设计53、物理设计54、IP设计55、路由设计7五、设备安装调试含代码71、调试结果72、源代码8六、实验小结19一、课程设计目的网络工程综合实验是网络工程及计算机相关专业的重要实践环节之一，该内容可以培养学生理论联系实际的设计思想,训练综合运

34、用所学的计算机网络基础理论知识，结合实际网络设备，解决在设计、安装、调试网络中所遇到的问题，从而使基础理论知识得到巩固和加深.学生通过综合实验学习掌握网络设计中的一般设计过程和方法，熟悉并掌握运用二层交换机、三层交换机、路由器和防火墙的配置技术.(大家根据自己理解的情况编写，这里的内容只是一个模板性的文字描述）另外通过实验，可以掌握组建计算机网络工程的基本技术，特别是网络规划、交换机路由器等网络设备的基本功能与选型以及网络应用服务器的基本配置，同时提高学生的应用能力和动手实践能力.二、设计任务及要求用一组实验设备(4个路由器、二台交换机、二台三层交换机、一台防火墙）构建一个园区网，通过防火墙与

35、校园网相联，实现到Internet的访问.具体要求如下：（1） 在一台两层交换机SW1上划分2个VLAN（Vlan 100和Vlan 200,用户数均为100).要求实现：两个Vlan均能通过路由器访问外网,但两个Vlan之间不能通信。（2） 在一台三层交换机SW3上划分2个VLAN(Vlan 300和Vlan 400,Vlan300用户数100,Vlan400用户数200)，两个Vlan之间能够通信。要求：两个Vlan均只能通过路由器访问校园网(10。X.X.X），而不能访问Internet。（3） 另外一台两层交换机SW2和一台三层交换机SW4之间使用冗余连接，在两台交换机上均划分两个Vl

36、an(Vlan 500和Vlan 600，Vlan500用户数200,Vlan600用户数100）,要求Vlan500可以访问内网所有VLAN，Vlan600既可以访问内网，又可以访问Internet.（4） 园区网全网通信采用OSPF动态路由协议，路由设计要求有路由汇聚。（5） SW1 、SW3、SW4分别和三台接入级路由器DCR1700相连，三台路由器和部门级路由器DCR2600相连。然后DCR2600路由器通过防火墙实现此园区网与外网(校园网）相联，要求内网通过防火墙上配置NAT协议访问外网。（6） 画出网络拓扑图，并给各VLAN划分IP地址、掩码、网关，以及各网络设备接口的IP地址.（

37、7） 需要在SW1中的VLAN100里面安装WWW、FTP、电子邮件等基本服务.用访问控制列表使VLAN300和VLAN500中的用户在上班时间（9:0017：00）不允许访问 FTP服务器和 WWW服务器,但可以访问 EMail 服务器。（8） IP分配规则根据实验室分区划分）：A区： IP范围： 192。168。0。0 192.168。7。255 192.168。254。0192.168。254.15 （ 路由器Serial口用） 202.103。0.11（防火墙连互联网用IP） 10.206.207.11 （防火墙连校园网用IP)B区： 192.168。254。16192。168。254

38、.31( 路由器Serial口用） 202.103.0。12(防火墙连互联网用IP） 10.206。207。12 (防火墙连校园网用IP)C区： IP范围： 192.168。16.0 192.168。23.255 192.168。254.32192.168。254。47 ( 路由器Serial口用） 202。103.0.13（防火墙连互联网用IP） 10.206。207.13 (防火墙连校园网用IP）D区： IP范围： 192。168。24。0 192。168。31.255 192。168。254。48192。168。254.63 （ 路由器Serial口用) 202。103。0。14（防火墙

39、连互联网用IP） 10。206.207.14 (防火墙连校园网用IP）E区： 192。168.254.64192.168。254.79 （ 路由器Serial口用） 202。103。0。15（防火墙连互联网用IP） 10。206。207.15(防火墙连校园网用IP）F区： 192。168.254。80192.168.254.95 ( 路由器Serial口用) 202.103.0。16（防火墙连互联网用IP) 10。206。207。16 (防火墙连校园网用IP）三、需求分析 园区网共有一个总部，分成三个子部，每个子部划分成两个vlan，使其隔离和管理方便。使用分层设计网络的思想。 子网区域有4个

40、部分，所以选择4台路由器；并且选用2台三层交换机，2台二层交换机；同时,为了使远程局域网可以实现访问小区局域网的功能，选择一个网云作为internet；再选择若干台pc机和服务器。四、网络设计1.总体规划三层交换机SW7:划分vlan300(1-10号端口）、vlan400（1120号端口）并给vlan设置管理ip 三层交换机SW8：划分vlan500（110号端口）、vlan600（1120号端口）并给vlan设置管理ip 将23、24端口设为trunk口，与SW10的23、24号端口做链路聚合。二层交换机SW9:划分vlan100（1-10号端口）、vlan200（11-20号端口)二层交

41、换机SW10：划分vlan500(110号端口)、vlan600（1120号端口） 将23、24端口设为trunk口，与SW8的23、24端口做链路聚合。路由器R1、R4、R5、R6声明直连网段，给端口设置ip，并给s端口封装ppp协议,做访问控制列表达到访问要求。防火墙：做nat在一台pc机上配置WEB服务器、FTP服务器、Email服务器。2。拓扑设计3。物理设计根据园区网的拓扑结构特点、应用及面临的安全隐患,我们将通过路由器、防火墙、杀毒软件，实现网络安全隔离、网络监控措施、网络病毒的防范等安全需求，为园区构建统一、安全的网络。 （1）通过一台路由器隔开外网与园区网，路由器中我们设置了防

42、御外部的第一道屏障。(2)通过防火墙隔离，在园区网络与外界连接处实施网络访问控制，地址转换。（3）汇聚层的三台路由器中设置扩展访问控制列表,对内网中的vlan访问进行设置,使某些vlan能访问哪些资源,某些vlan不能访问哪些资源。物理设备清单设备名称设备型号telnet登陆路由器R1DCR-260010。106。202.254 20001路由器R4DCR170010.106.202。254 20004路由器R5DCR-170010.106.202.254 20005路由器R6DCR-170010.106。202。254 20006交换机SW7DCRS-5526S10.106。202。254

43、20007交换机SW8DCRS-5526S10。106.202。254 20008交换机SW9DCS3926S10.106.202。254 20009交换机SW10DCS3926S10。106.202。254 200104。IP设计端口IP子网掩码路由器R1f0/0192。168。254。91/28255.255.255。240S1/0192.168。254。81/30255.255。255。252S0/2192.168。254.84/30255。255。255。252S1/0192.168。254.89/30255.255。255。252路由器R4S0/2192。168。254.82/30255。255。255.252F0/0。1192.168.40。1/25F0/0。2255。255.255。128路由器R5S0/2255.255。255.252F0/0192。168.42。1/25255。2