1、<p><b>　　網絡工程</b></p><p><b>　　課程設計</b></p><p><b>　　題目：企業(yè)，學校</b></p><p><b>　　目錄</b></p><p>　　第一章 課程設計所完成的任務內容及要求3&l

2、t;/p><p>　　1.1課程設計的任務內容4</p><p>　　1.2課程設計的任務要求5</p><p>　　第二章 使用工具介紹及系統(tǒng)環(huán)境配置6</p><p>　　2.1二層交換機6</p><p>　　2.1.1二層交換機概念6</p><p>　　2.1.2二層交換機原理

3、6</p><p>　　2.1.3路由技術7</p><p>　　2.2三層交換機7</p><p>　　2.2.1三層交換機概念7</p><p>　　2.2.2三層交換機工作原理8</p><p>　　2.2.3三層交換機優(yōu)勢8</p><p><b>　　2.3路由器

4、10</b></p><p>　　2.3.2路由器工作原理10</p><p>　　2.3.3路由器的作用11</p><p>　　第三章 可行性分析和系統(tǒng)需求分析13</p><p>　　3.1劃分VLAN的分析13</p><p>　　劃分VLAN的基本策略14</p><

5、p>　　1、基于端口的VLAN劃分14</p><p>　　2、基于MAC地址的VLAN劃分14</p><p>　　3、基于路由的VLAN劃分14</p><p>　　3.2配置RSTP協議分析14</p><p>　　3.3RouterA上配置NAT的分析16</p><p>　　3.4ACL的相關

6、分析17</p><p>　　第四章 系統(tǒng)總體規(guī)劃和拓撲設計19</p><p>　　4.1系統(tǒng)拓撲圖總體規(guī)劃19</p><p>　　第五章 詳細設計21</p><p>　　5.1在L2-Switch上劃分VLAN12,13，L3-Switch上劃分VLAN1121</p><p>　　5.2配置RSTP

7、協議實現L2-Switch和L3-Switch之間的冗余鏈路23</p><p>　　5.3在RouterA上配置NAT25</p><p>　　5.4在路由器A上應用ACL27</p><p>　　第六章 系統(tǒng)安裝配置與調試28</p><p>　　6.1系統(tǒng)安裝配置調試28</p><p>　　第七章 課

8、程設計總結31</p><p><b>　　參考文獻32</b></p><p>　　為保證網絡的穩(wěn)定，接入層和匯聚層通過兩條鏈路連接，匯聚層交換機通過VLAN1中的接口F0/24與RouterA相連嗎，RouterA 通過廣域網口和Router B相連，Router B則通過以太網口連接到ISP，通過ISP連接到Internet。通過路由協議，實現全網的互通用訪

9、問控制表使VLAN11和VLAN13的用戶在時間（9：00-17：00）不允許訪問FTP服務器，可以訪問WWW服務器。在L2-Switch上劃分VLAN12,13，L3-Switch上劃分VLAN11配置RAPT協議實現L2-Switch之間的冗余鏈路，選取L3-Switch為根。配置三層交換機的路由功能，運用OSPF配置全網路由在路由器上應用ACL，要求：銷售部子網和技術部子網不可以訪問WEB服務器；技術部子網可以訪問其他網絡和服務不

10、受限制；銷售部子網只能訪問Internet上的Web服務器；行政部子網的其他網絡訪問不受限制</p><p>　　第一章 課程設計所完成的任務內容及要求</p><p>　　課程設計題目： 題目五 </p><p>　　1.1課程設計的任務內容</p><p>　　下圖為XX 企業(yè)的網絡拓撲模擬圖，接入層設備采用二層交換機，匯

11、聚層設備采用三層交換機。在接入交換機上劃分了設計部子網VLAN 12 和工程部子網VLAN 13，在匯聚交換機上劃分了財務部子網VLAN 11。</p><p>　　為了保證網絡的穩(wěn)定性，接入層和匯聚層通過兩條鏈路相連，匯聚層交換機通過VLAN1中的接口F0/24 與Router A 相連，Router A 通過廣域網口和Router B 相連，Router B 則通過以太網口連接到ISP，通過ISP 連接到In

12、ternet。通過路由協議，實現全網的互通。</p><p>　　用訪問控制列表使VLAN12和VLAN13中的用戶在時間（9:00~17:00）不允許訪問 FTP服務器，可以訪問WWW服務器。</p><p>　　在L2-Switch上劃分VLAN12,13，L3-Switch上劃分VLAN11；</p><p>　　配置RSTP協議實現L2-Switch和L3-

13、Switch之間的冗余鏈路，選取L3-Switch為根。</p><p>　　配置三層交換機的路由功能，在L3-Switch、RouterA、RouterB上運用OSPF配置全網路由。</p><p>　　在RouterA上配置NAT，要求：工程部子網和設計部子網能夠訪問Internet，財務部子網不允許訪問Internet</p><p>　　在路由器A上應用AC

14、L，要求：工程部子網和設計部子網可以訪問FTP服務，工程部子網和設計部子網能夠訪問Internet上的WEB服務；工程部子網可以訪問Internet上的telnet服務，其余訪問均不允許。</p><p>　　1.2課程設計的任務要求</p><p>　　針對本課程設計，需完成以下課程設計任務：</p><p>　　1、熟悉系統(tǒng)實現工具和上機環(huán)境

15、 </p><p>　　2、本課題的可行性分析、開發(fā)計劃，通過調研完成系統(tǒng)的需求分析</p><p>　　簡要敘述技術可行性、省略經濟可行性和法律可行性等。制定項目開發(fā)計劃。完成項目需求分析</p><p><b>　　3、系統(tǒng)設計</b&

16、gt;</p><p>　　包括：系統(tǒng)總體設計，拓撲設計，物理設計（設備選型），IP設計</p><p>　　4、針對不同設備選擇不同命令集，完成對設備的配置</p><p><b>　　5、設備安裝及調試</b></p><p>　　6、書寫系統(tǒng)上述文檔和撰寫課程設計報告</p><p>　　第

17、二章 使用工具介紹及系統(tǒng)環(huán)境配置</p><p><b>　　2.1二層交換機</b></p><p>　　2.1.1二層交換機概念</p><p>　　二層交換技術是發(fā)展比較成熟，二層交換機屬數據鏈路層設備，可以識別數據包中的MAC地址信息，根據MAC地址進行轉發(fā)，并將這些MAC地址與對應的端口記錄在自己內部的一個地址表中。</p>

18、;<p>　　2.1.2二層交換機原理</p><p>　　從二層交換機的工作原理可以推知以下三點： </p><p>　?。?） 由于交換機對多數端口的數據進行同時交換，這就要求具有很寬的交換總線帶寬，如果二層交換機有N個端口，每個端口的帶寬是M，交換機總線帶寬超過N×M，那么這交換機就可以實現線速交換； </p><p>　?。?） 學習

19、端口連接的機器的MAC地址，寫入地址表，地址表的大?。ㄒ话銉煞N表示方式：一為BUFFER RAM，一為MAC表項數值），地址表大小影響交換機的接入容量； </p><p>　　（3） 還有一個就是二層交換機一般都含有專門用于處理數據包轉發(fā)的ASIC （Application specific Integrated Circuit）芯片，因此轉發(fā)速度可以做到非常快。由于各個廠家采用ASIC不同，直接影響產品性能。

20、</p><p>　　以上三點也是評判二三層交換機性能優(yōu)劣的主要技術參數，這一點請大家在考慮設備選型時注意比較。</p><p><b>　　2.1.3路由技術</b></p><p>　　路由器工作 在OSI模型的第三層---網絡層操作，其工作模式與二層交換相似，但路由器工作在第三層，這個區(qū)別決定了路由和交換在傳遞包時使用不同的控制信息，實現

21、 功能的方式就不同。工作原理是在路由器的內部也有一個表，這個表所標示的是如果要去某一個地方，下一步應該向哪里走，如果能從路由表中找到數據包下一步往哪里走，把鏈路層信息加上轉發(fā)出去；如果不能知道下一步走向哪里，則將此包丟棄，然后返回一個信息交給源地址。 </p><p>　　路由技術實質上來說不過兩種功能：決定最優(yōu)路由和轉發(fā)數據包。路由表中寫入各種信息，由路由算法計算出到達目的地址的最佳路徑，然后由相對簡單直接的轉

22、發(fā)機制發(fā)送數據包。接受數據的下一臺路由器依照相同的工作方式繼續(xù)轉發(fā)，依次類推，直到數據包到達目的路由器。</p><p><b>　　2.2三層交換機</b></p><p>　　2.2.1三層交換機概念</p><p>　　三層交換機就是具有部分路由器功能的交換機，三層交換機的最重要目的是加快大型局域網內部的數據交換，所具有的路由功能也是為這

23、目的服務的，能夠做到一次路由，多次轉發(fā)。對于數據包轉發(fā)等規(guī)律性的過程由硬件高速實現，而象路由信息更新、路由表維護、路由計算、路由確定等功能，由軟件實現。三層交換技術就是二層交換技術＋三層轉發(fā)技術。傳統(tǒng)交換技術是在OSI網絡標準模型第二層——數據鏈路層進行操作的，而三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發(fā)，既可實現網絡路由功能，又可根據不同網絡狀況做到最優(yōu)網絡性能。</p><p>　　2.2.2三

24、層交換機工作原理</p><p>　　使用IP的設備A------------------------三層交換機------------------------使用IP的設備B </p><p>　　比如A要給B發(fā)送數據，已知目的IP，那么A就用子網掩碼取得網絡地址，判斷目的IP是否與自己在同一網段。 </p><p>　　如果在同一網段，但不知道轉發(fā)數據所需的MA

25、C地址，A就發(fā)送一個ARP請求，B返回其MAC地址，A用此MAC封裝數據包并發(fā)送給交換機，交換機起用二層交換模塊，查找MAC地址表，將數據包轉發(fā)到相應的端口。 </p><p>　　如果目的IP地址顯示不是同一網段的，那么A要實現和B的通訊，在流緩存條目中沒有對應MAC地址條目，就將第一個正常數據包發(fā)送向一個缺省網關，這個缺省網關一般在操作系統(tǒng)中 已經設好，對應第三層路由模塊，所以可見對于不是同一子網的數據，最先

26、在MAC表中放的是缺省網關的MAC地址；然后就由三層模塊接收到此數據包，查詢路 由表以確定到達B的路由，將構造一個新的幀頭，其中以缺省網關的MAC地址為源MAC地址，以主機B的MAC地址為目的MAC地址。通過一定的識別觸發(fā)機 制，確立主機A與B的MAC地址及轉發(fā)端口的對應關系，并記錄進流緩存條目表，以后的A到B的數據，就直接交由二層交換模塊完成。這就通常所說的一次路由 多次轉發(fā)。</p><p>　　2.2.3三

27、層交換機優(yōu)勢</p><p>　　除了優(yōu)秀的性能之外，三層交換機還具有一些傳統(tǒng)的二層交換機沒有的特性，這些特性可以給校園網和城域教育網的建設帶來許多好處，列舉如下。</p><p><b>　　1、高可擴充性</b></p><p>　　三層交換機在連接多個子網時，子網只是與第三層交換模塊建立邏輯連接，不像傳統(tǒng)外接路由器那樣需要增加端口，從而保

28、護了用戶對校園網、城域教育網的投資。并滿足學校3~5年網絡應用快速增長的需要。</p><p><b>　　2、高性價比</b></p><p>　　三層交換機具有連接大型網絡的能力，功能基本上可以取代某些傳統(tǒng)路由器，但是價格卻接近二層交換機?，F在一臺百兆三層交換機的價格只有幾萬元，與高端的二層交換機的價格差不多。</p><p><b&

29、gt;　　3、內置安全機制</b></p><p>　　三層交換機可以與普通路由器一樣，具有訪問列表的功能，可以實現不同VLAN間的單向或雙向通訊。如果在訪問列表中進行設置，可以限制用戶訪問特定的IP地址，這樣學校就可以禁止學生訪問不健康的站點。 </p><p>　　訪問列表不僅可以用于禁止內部用戶訪問某些站點，也可以用于防止校園網、城域教育網外部的非法用戶訪問校園網、城域教

30、育網內部的網絡資源，從而提高網絡的安全。</p><p><b>　　4、適合多媒體傳輸</b></p><p>　　教育網經常需要傳輸多媒體信息，這是教育網的一個特色。三層交換機具有QoS（服務質量）的控制功能，可以給不同的應用程序分配不同的帶寬。 </p><p>　　例如，在校園網、城域教育網中傳輸視頻流時，就可以專門為視頻傳輸預留一定量

31、的專用帶寬，相當 于在網絡中開辟了專用通道，其他的應用程序不能占用這些預留的帶寬，因此能夠保證視頻流傳輸的穩(wěn)定性。而普通的二層交換機就沒有這種特性，因此在傳輸視頻 數據時，就會出現視頻忽快忽慢的抖動現象。 </p><p>　　另外，視頻點播（VOD）也是教育網中經常使用的業(yè)務。但是由于有些視頻點播系統(tǒng)使用廣播來傳輸，而廣播包是不能實現跨網段的，這樣VOD就不能實現跨網段進行；如果采用單播形式實現VOD，雖然可以

32、實現跨網段，但是支持的同時連接數就非常少，一般幾十個連接就占用了全部帶寬。而三層交換機具有組播功能，VOD的數據包以組播的形式發(fā)向各個子網，既實現了跨網段傳輸，又保證了VOD的性能。</p><p><b>　　5、計費功能</b></p><p>　　在高校校園網及有些地區(qū)的城域教育網中，很可能有計費的需求，因為三層交換機可以識別數據包中的IP地址信息，因此可以統(tǒng)計

33、網絡中計算機的數據流量，可以按流量計費，也可以統(tǒng)計計算機連接在網絡上的時間，按時間進行計費。而普通的二層交換機就難以同時做到這兩點。</p><p><b>　　2.3路由器</b></p><p>　　2.3.1路由器的概念</p><p>　　路由器（Router）是連接因特網中各局域網、廣域網的設備，它會根據信道的情況自動選擇和設定路由，

34、以最佳路徑，按前后順序發(fā)送信號的設備。 路由器是互聯網絡的樞紐、"交通警察"。目前路 由器已經廣泛應用于各行各業(yè)，各種不同檔次的產品已成為實現各種骨干網內部連接、骨干網間互聯和骨干網與互聯網互聯互通業(yè)務的主力軍。路由和交換之間的主 要區(qū)別就是交換發(fā)生在OSI參考模型第二層（數據鏈路層），而路由發(fā)生在第三層，即網絡層。這一區(qū)別決定了路由和交換在移動信息的過程中需使用不同的控制 信息，所以兩者實現各自功能的方式是不同的。

35、</p><p>　　2.3.2路由器工作原理</p><p>　　（1）工作站A將工作站B的地址12.0.0.5連同數據信息以數據包的形式發(fā)送給路由器1?！?</p><p>　?。?）路由器1收到工作站A的數據包后，先從包頭中取出地址12.0.0.5，并根據路徑表計算出發(fā)往工作站B的最佳路徑：R1->R2->R5->B；并將數據包發(fā)往路由器2。

36、　 </p><p>　?。?）路由器2重復路由器1的工作，并將數據包轉發(fā)給路由器5?！?</p><p>　?。?）路由器5同樣取出目的地址，發(fā)現12.0.0.5就在該路由器所連接的網段上，于是將該數據包直接交給工作站B?！?</p><p>　?。?）工作站B收到工作站A的數據包，一次通信過程宣告結束。 </p><p>　　事實上，路由

37、器除了上述的路由選擇這一主要功能外，還具有網絡流量控制功能。有的路由器僅支持單一協議，但大部分路由器可以支持多種協議的傳輸，即多協議路由器。由于每一種協議都有自己的規(guī)則，要在一個路由器中完成多種協議的算法，勢必會降低路由器的性能。因此，我們以為，支持多協議的路由器性能相對較低。用戶購買路由器時，需要根據自己的實際情況，選擇自己需要的網絡協議的路由器。 </p><p>　　近年來出現了交換路由器產品，從本質上來說

38、它不是什么新技術，而是為了提高通信能力，把交換機的原理組合到路由器中，使數據傳輸能力更快、更好</p><p>　　2.3.3路由器的作用</p><p>　　路由器的一個作用是連通不同的網絡，另一個作用是選擇信息傳送的線路。選擇通暢快捷的近路，能大大提高通信速度，減輕網絡系統(tǒng)通信負荷，節(jié)約網絡系統(tǒng)資源，提高網絡系統(tǒng)暢通率，從而讓網絡系統(tǒng)發(fā)揮出更大的效益來。</p><

39、p><b>　　1、靜態(tài)路徑表 </b></p><p>　　由系統(tǒng)管理員事先設置好固定的路徑表稱之為靜態(tài)（static）路徑表，一般是在系統(tǒng)安裝時就根據網絡的配置情況預先設定的，它不會隨未來網絡結構的改變而改變。 </p><p><b>　　2、動態(tài)路徑表 </b></p><p>　　動態(tài)（Dynamic）路徑

40、表是路由器根據網絡系統(tǒng)的運行情況而自動調整的路徑表。路由器根據路由選擇協議（Routing Protocol）提供的功能，自動學習和記憶網絡運行情況，在需要時自動計算數據傳輸的最佳路徑。</p><p>　　2.4系統(tǒng)環(huán)境配置：</p><p>　　處理器系列 英特爾 酷睿2雙核 T5系列 </p><p>　　處理器型號 Intel 酷睿2雙核 T5670 <

41、;/p><p>　　標稱主頻 1.8GHz </p><p>　　前端總線 800MHz </p><p><b>　　二級緩存 2MB </b></p><p>　　內核架構 Merom </p><p>　　主板芯片組 Intel PM45 </p><p>　　標配內存容

42、量 1GB </p><p>　　內存類型 DDRII </p><p>　　最大支持內存 4GB </p><p><b>　　硬盤/光驅 </b></p><p>　　硬盤容量 160GB </p><p>　　硬盤描述 5400轉 </p><p><b>

43、　　光驅類型 康寶 </b></p><p>　　設計類型 光驅內置 </p><p><b>　　顯卡/音效 </b></p><p>　　顯卡類型 中低端獨立顯卡 </p><p>　　顯卡芯片 NVIDIA GeForce 9300M GS </p><p>　　流處理器個數 1

44、6 </p><p>　　顯存 256MB/64bit </p><p>　　顯存類型 DDRII </p><p>　　音頻系統(tǒng) Intel High Definition Audio, 立體聲音效 </p><p>　　揚聲器 立體聲揚聲器 </p><p><b>　　顯示屏 </b><

45、;/p><p>　　屏幕尺寸 14.1英寸 </p><p><b>　　屏幕比例 是 </b></p><p>　　屏幕分辨率 1280×800 </p><p>　　背光技術 CCFL背光 </p><p><b>　　尺寸/重量 </b></p>&

46、lt;p>　　筆記本重量 2.5Kg </p><p>　　外形尺寸 336×247×34-39mm </p><p>　　外殼描述 鋼琴漆外殼 </p><p><b>　　網絡通信 </b></p><p>　　無線網卡 支持802.11b/g(54Mbps)無線協議 </p>

47、<p>　　網卡描述 1000Mbps以太網卡 </p><p><b>　　支持藍牙 無 </b></p><p>　　調制解調器 56K </p><p><b>　　鼠標/鍵盤 </b></p><p>　　指取設備 ThinkPad UltraNav(指點桿和觸摸板) </

48、p><p><b>　　接口 </b></p><p>　　USB接口 4×USB2.0 </p><p>　　擴展接口 ExpressCard </p><p>　　讀卡器 SD卡插槽 </p><p>　　視頻輸出 1個VGA、1個HDMI </p><p>　　

49、其他接口 IEEE1394、1×RJ-11、1×RJ-45、1組音頻輸入輸出接口 </p><p><b>　　電源描述 </b></p><p>　　電池類型 6芯鋰電池 </p><p>　　續(xù)航時間 2-3小時, 具體時間視使用環(huán)境而定 </p><p>　　電源適配器 100V/240V 自適

50、應交流電源供應器</p><p>　　第三章 可行性分析和系統(tǒng)需求分析</p><p>　　3.1劃分VLAN的分析</p><p>　　虛擬局域網VLAN（Virtual Local Area Network）的中文名為"虛擬局域網"。VLAN是一種將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬工作組的新興數據交換技術。這一新興技術主要應用

51、于交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協議的第三層以上交換機才具有此功能，這一點可以查看相應交換機的說明書即可得知。</p><p>　　VLAN的優(yōu)點1. 廣播風暴防范：2. 安全：3.成本降低：4.性能提高：5.提高IT員工效率：6.簡化項目管理或應用管理：7. 增加了網絡連接的靈活性。</p><p><b>　　組建V

52、LAN的條件</b></p><p>　　VLAN的劃分1.根據端口來劃分VLAN2.根據MAC地址劃分VLAN3.根據網絡層劃分VLAN4.根據IP組播劃分VLAN5.基于規(guī)則的VLAN6. 按用戶定義、非用戶授權劃分VLAN</p><p><b>　　VLAN的標準：</b></p><p>　　劃分VLAN的基本策略1、基于

53、端口的VLAN劃分2、基于MAC地址的VLAN劃分3、基于路由的VLAN劃分</p><p>　　VLAN的分類及優(yōu)缺點1. 基于端口的VLAN(1) 多交換機端口定義VLAN(2) 單交換機端口定義VLAN2. 基于MAC地址的VLAN3. 基于路由的VLAN4. 基于策略的VLAN</p><p>　　劃分VLAN的基本策略</p><p>　　從技術角度講，V

54、LAN的劃分可依據不同原則，一般有以下三種劃分方法： </p><p>　　1、基于端口的VLAN劃分</p><p>　　這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網絡管理員對網絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備。 </p><p>　　2、基于MAC地址的VLAN劃分</p&g

55、t;<p>　　MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是唯一且固化在網卡上的。MAC地址由12位16進制數表示，前6位為網卡的廠商標識（OUI），后6位為網卡標識（NIC）。網絡管理員可按MAC地址把一些站點劃分為一個邏輯子網。 </p><p>　　3、基于路由的VLAN劃分</p><p>　　路由協議工作在網絡層，相應的工作設備有路由器和路由交換機（

56、即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。 </p><p>　　就目前來說，對于VLAN的劃分主要采取上述第1、3種方式，第2種方式為輔助性的方案</p><p>　　3.2配置RSTP協議分析</p><p>　　配置算法協議RSTP(Rapid Spanning Tree Algorithm and Protocol快

57、速生 成樹算法)將一個橋接LAN (Bridged LAN)的拓撲簡化為一個生成樹(Spanning Tree).這里 描述的RSTP算法協議已經代替了STP(Spanning Tree Algorithm and Protocol生成樹算法) 算法協議.相比STP,RSTP提供了非?？焖俚闹嘏渲霉δ?同時RSTP可以與STP進行互操作, 也即:運行RSTP的網橋可以和運行STP的網橋協同工作。</p><p>

58、　　橋接 LAN:將多個獨立 LAN 用網橋連起來形成的一個大的 LAN</p><p>　　1 對RSTP算法協議的需求</p><p>　　a) 從任意物理拓撲結構的橋接 LAN 中選出一個簡單無環(huán),完全連通的活動拓撲:生成樹 </p><p>　　b) 錯誤容忍:當 LAN 的成員(網橋,網橋端口或 LANs)發(fā)生故障時,可以自動重新配置生 成樹拓撲;自適應:

59、當向橋接 LAN 中加入網橋或網橋端口時,不會形成暫時環(huán) </p><p>　　c) 活動拓撲會以一個很高的概率在一個很段的有限制(已知)的時間內穩(wěn)定, 以最小化任何 兩個終端站點之間的不可達時間 </p><p>　　d) 活動拓撲是可預測的,可再現的,可以通過配置算法參數來選擇的:這允許配置管理程 序根據流量分析來滿足性能要求</p><p>　　e) 算法的運

60、行對終端站點透明:當使用 MAC 服務時,它們不知道它們是接在一個獨立 LAN 上還是一個橋接 LAN 上</p><p>　　f) 算法運行消耗的通信帶寬非常小 下面的需求是為了降低網橋和配置網橋的復雜性 </p><p>　　g) 每個網橋端口的內存需求與網橋和 LANs 的數量無關 </p><p>　　h) 一個分配了 MAC 地址的網橋不經配置就可以加入橋

61、接 LAN 中 </p><p>　　i) 在正常工作中,用來配置活動拓撲的時間與協議的定時間值是獨立的</p><p>　　2 對MAC網橋的需求</p><p>　　a) 有一個唯一的組地址可以被橋接 LAN 中的所有網橋識別,這個組地址標識一個獨立 LAN 上的所有網橋(即在一個獨立 LAN 中發(fā)一個目的地址是該組地址的消息,可以被該 LAN 上的所有網橋接收

62、,該消息不會被它們直接轉發(fā)) </p><p>　　b) 每個網橋在橋接 LAN 中都有一個唯一的網橋標識,稱為網橋 ID(BridgeIdentifier). 這個 ID 部分來自網橋地址,部分來自網橋優(yōu)先級.并且這個值越小,這個網橋的優(yōu)先 級越高</p><p>　　c) 每個網橋的所有端口都有不同的端口標識,稱為端口 ID(portId 每個網橋獨立分配). 這個 ID 部分是固定的

63、(與其它端口不同,比如是端口號),部分來自端口優(yōu)先級.并且 這個值越小,這個端口的優(yōu)先級越高 下面的需求是為了支持管理配置生成樹的活動拓撲 </p><p>　　d) 可以為橋接 LAN 中的每個網橋分配一個相對優(yōu)先級 </p><p>　　e) 可以為每個網橋的每個端口分配一個相對優(yōu)先級 </p><p>　　f) 可以為每個網橋的每個端口分配一個路徑代價(pat

64、h cost). 當支持網橋管理時,這些參數可以通過管理進行配置</p><p>　　3.3RouterA上配置NAT的分析</p><p>　　1． 什么是NAT？          NAT即Network Address Translation,它可以讓那些使用私有地址的內部網絡連接到Internet或其它IP網絡上。NAT

65、路由器在將內部網絡的數據包發(fā)送到公用網絡時，在IP包的報頭把私有地址轉換成合法的IP地址。2．在NAT實驗中需要理解的術語：         1） 內部局部地址（Inside Local）：在內部網絡中分配給主機的私有IP地址。         2） 內部全局地址（Inside Global）：一個合法的IP地址

66、，它對外代表一個或多個內部局部IP地址。         3） 外部全局地址（Outside Global）：由其所有者給外部網絡上的主機分配的IP地址。         4） 外部局部地址（Outside Local）：外部主機在內部網絡中表現出來的IP地址。3．NAT的優(yōu)點和缺點：   

67、      NAT的優(yōu)點:         (1) 對于那些家庭用戶或者小型的商業(yè)機構來說，使用NAT可以更便宜，更有效率地接入Internet。         (2) 使用NAT可以緩解</p><p>　　3.4ACL的相關分析</p>

68、;<p><b>　　什么是ACL？</b></p><p>　　訪問控制列表簡稱為ACL，訪問控制列表使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源端口，目的端口等， 根據預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。該技術初期僅在路由器上支持，近些年來已經擴展到三層交換機，部分最新的二層交換機也開始提 供ACL的支持了。</p&

69、gt;<p>　　訪問控制列表使用原則</p><p>　　由于ACL涉及的配置命令很靈活，功能也很強大，所以我們不能只通過一個小小的例子就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設置原則羅列出來，方便各位讀者更好的消化ACL知識。</p><p><b>　　1、最小特權原則</b></p><p>　　只給受控對象

70、完成任務所必須的最小的權限。也就是說被控制的總規(guī)則是各個規(guī)則的交集，只滿足部分條件的是不容許通過規(guī)則的。</p><p>　　2、最靠近受控對象原則</p><p>　　所有的網絡層訪問權限控制。也就是說在檢查規(guī)則時是采用自上而下在ACL中一條條檢測的，只要發(fā)現符合條件了就立刻轉發(fā)，而不繼續(xù)檢測下面的ACL語句。</p><p><b>　　3、默認丟棄原

71、則</b></p><p>　　在CISCO路由交換設備中默認最后一句為ACL中加入了DENY ANY ANY，也就是丟棄所有不符合條件的數據包。這一點要特別注意，雖然我們可以修改這個默認，但未改前一定要引起重視。</p><p>　　由于ACL是使用包過濾技術來實現的，過濾的依據又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法

72、識別到應用內部的權限級別等。因此，要達到端到端的權限控制目的，需要和系統(tǒng)級及應用級的訪問權限控制結合使用。</p><p><b>　　標準訪問列表：</b></p><p>　　訪問控制列表ACL分很多種，不同場合應用不同種類的ACL。其中最簡單的就是標準訪問控制列表，標準訪問控制列表是通過使用IP包中的源IP地址進行過濾，使用的訪問控制列表號1到99來創(chuàng)建相應的A

73、CL</p><p>　　標準訪問控制列表的格式</p><p>　　訪問控制列表ACL分很多種，不同場合應用不同種類的ACL。其中最簡單的就是標準訪問控制列表，他是通過使用IP包中的源IP地址進行過濾，使用的訪問控制列表號1到99來創(chuàng)建相應的ACL。</p><p>　　第四章 系統(tǒng)總體規(guī)劃和拓撲設計</p><p>　　4.1系統(tǒng)拓撲圖總

74、體規(guī)劃</p><p>　　接入層和匯聚層通過兩條鏈路相連，匯聚層交換機通過VLAN1中的接口F0/24 與Router A 相連，Router A 通過廣域網口和Router B 相連，Router B 則通過以太網口連接到ISP，通過ISP 連接到Internet。通過路由協議，實現全網的互通。</p><p><b>　　第五章 詳細設計</b></p&g

75、t;<p>　　5.1在L2-Switch上劃分VLAN12,13，L3-Switch上劃分VLAN11</p><p><b>　　【設備】</b></p><p><b>　　三層交換機 1臺</b></p><p><b>　　二層交換機 1臺</b></p><

76、;p><b>　　【原理】</b></p><p>　　VLAN（Virtual Local Area Network，虛擬局域網）是指在一個物理網段內，進行邏輯的劃分，劃分成若干個虛擬局域網。VLAN最大的特性是不受物理位置的限制，可以進行靈活的劃分。VLAN具備了一個物理網段所具備的特性。相同VLAN內的主機可以互相直接訪問，不同VLAN間的主機之間互相訪問必須經由路由設備進行轉發(fā)

77、。廣播數據包只可以在本VLAN內進行傳播，不能傳輸到其他VLAN中。</p><p>　　Port Vlan是實現VLAN的方式之一，Port Vlan是利用交換機的端口進行VLAN的劃分，一個端口只能屬于一個VLAN。</p><p>　　Tag Vlan是基于交換機端口的另外一種類型，主要用于實現跨交換機的相同VLAN內主機之間可以直接訪問，同時對于不同VLAN的主機進行隔離。Tag

78、Vlan遵循了IEEE802.1q協議的標準。在利用配置了Tag vlan的接口進行數據傳輸時，需要在數據幀內添加4個字節(jié)的802.1q標簽信息，用于標識該數據幀屬于哪個VLAN，以便于對端交換機接收到數據幀后進行準確的過濾。</p><p>　　第一步：配置兩臺交換機的主機名</p><p>　　Switch#configure terminal </p><p>

79、;　　Enter configuration commands, one per line. End with CNTL/Z. </p><p>　　Switch(config)#hostname L3-SW </p><p>　　L3-SW(config)# </p><p>　　S3750#configure terminal </p><p

80、>　　Enter configuration commands, one per line. End with CNTL/Z. </p><p>　　S3750(config)#hostname L2-SW </p><p>　　L2-SW(config)# </p><p>　　第二步：在三層交換機上劃分VLAN 添加端口</p><p&

81、gt;　　L2-SW(config)#vlan 12 </p><p>　　L2-SW(config-vlan)#name sheji </p><p>　??！劃設計部的VLAN 12 </p><p>　　L2-SW(config-vlan)#vlan13 </p><p>　　L2-SW(config-vlan)#name gongche

82、ng </p><p>　?。澐止こ滩康腣LAN 13 </p><p>　　L2-SW(config-vlan)#exit </p><p>　　L2-SW(config)# </p><p>　　L2-SW(config)#interface range fastEthernet 0/6-10 </p><p>

83、　　！將端口Fa0/6至Fa0/10劃分到VLAN 12 </p><p>　　L2-SW(config-if-range)#switchport mode access </p><p>　　L2-SW(config-if-range)#switchport access vlan 12 </p><p>　　L2-SW(config-if-range)#exit

84、 </p><p>　　L2-SW(config)#interface range fastEthernet 0/11-15 </p><p>　??！將端口Fa0/11至Fa0/15劃分到VLAN 13 </p><p>　　L2-SW(config-if-range)#switchport mode access </p><p>　　L2

85、-SW(config-if-range)#switchport access vlan 13 </p><p>　　L2-SW(config-if-range)#exit </p><p>　　L2-SW(config)# </p><p>　　第三步：在二層交換機上劃分VLAN添加端口</p><p>　　L3-SW(config)#vla

86、n 11 </p><p>　　L3-SW(config-vlan)#name caiwu </p><p>　　！劃分財務部的VLAN 11 </p><p>　　L3-SW(config-vlan)#exit </p><p>　　L3-SW(config)# </p><p>　　L3-SW(config)#in

87、terface range fastEthernet 0/6-10 </p><p>　?。⒍丝贔a0/6至Fa0/10劃分到VLAN 11 </p><p>　　L3-SW(config-if-range)#switchport mode access </p><p>　　L3-SW(config-if-range)#switchport access vla

88、n 11 </p><p>　　L3-SW(config-if-range)#exit </p><p>　　L3-SW(config)#</p><p>　　5.2配置RSTP協議實現L2-Switch和L3-Switch之間的冗余鏈路，選取L3-Switch為根</p><p><b>　　【原理】</b></

89、p><p>　　在交換網絡中，通過VLAN對一個物理網絡進行了邏輯劃分，不同的VLAN之間是無法直接訪問的，必須通過三層的路由設備進行連接。一般利用路由器或三層交換機來實現不同VLAN之間的互相訪問。</p><p>　　將路由器和交換機相連，使用IEEE 802.1Q來啟動一個路由器上的子接口成為干道模式，就可以利用路由器來實現VLAN之間的通信。</p><p>　

90、　路由器可以從某一個VLAN接收數據包并且將這個數據包轉發(fā)到另外的一個VLAN，要實施VLAN間的路由，必須在一個路由器的物理接口上啟用子接口，也就是將以太網物理接口劃分為多個邏輯的、可編址的接口，并配置成干道模式，每個VLAN對應一個這種接口，這樣路由器就能夠知道如何到達這些互聯的VLAN。</p><p><b>　　【步驟】</b></p><p>　　第一步：

91、配置交換機的主機名、劃分VLAN和添加端口、設置Trunk </p><p>　　Switch#configure terminal </p><p>　　Switch(config)#hostname L2-SW </p><p>　　L2-SW(config)#vlan 12 </p><p>　　L2-SW(config-vlan)#n

92、ame sheji </p><p>　　L2-SW(config-vlan)#vlan 13</p><p>　　L2-SW(config-vlan)#name gongcheng </p><p>　　L2-SW(config-vlan)#exit </p><p>　　L2-SW(config)#interface range fast

93、Ethernet 0/6-12 </p><p>　　L2-SW(config-if-range)#switchport mode access </p><p>　　L2-SW(config-if-range)#switchport access VLAN 12 </p><p>　　L2-SW(config-if-range)#exit </p>

94、<p>　　L2-SW(config)#interface range fastEthernet 0/11-15 </p><p>　　L2-SW(config-if-range)#switchport mode access </p><p>　　L2-SW(config-if-range)#switchport access vlan 13 </p><p

95、>　　L2-SW(config-if-range)#exit </p><p>　　L2-SW(config)#interface fastEthernet 0/1 </p><p>　　L2-SW(config-if)#switchport mode trunk </p><p>　　L2-SW(config-if)#end </p><

96、p>　　第二步：在路由器上設置名稱、劃分子接口、配置IP地址</p><p>　　RSR20#configure terminal </p><p>　　RSR20(config)#hostname Router </p><p>　　Router(config)#interface fastEthernet 0/0 </p><p>

97、　　Router(config-if)#no ip address </p><p>　?。∪サ袈酚善髦鹘涌谏系腎P地址</p><p>　　Router(config-if)#no shutdown </p><p>　　Router(config-if)#exit </p><p>　　Router(config)#interface f

98、astEthernet 0/0.10 </p><p>　??！進入子接口Fa0/0.10 </p><p>　　Router(config-subif)#encapsulation dot1Q 10 </p><p>　??！指定子接口Fa0/0.10對應VLAN 10，并配置干道模式</p><p>　　Router(config-subif

99、)#ip address 192.168.2.2 255.255.255.0 </p><p>　??！配置子接口Fa0/0.10的IP地址</p><p>　　Router(config-subif)#exit </p><p>　　Router(config)#interface fastEthernet 0/0.20 ！進入子接口Fa0/0.20 </p

100、><p>　　Router(config-subif)#encapsulation dot1Q 20 </p><p>　　！指定子接口Fa0/0.20對應VLAN 13，并配置干道模式</p><p>　　Router(config-subif)#ip address 192.168.12.6 255.255.255.0 </p><p>　　

101、！配置子接口Fa0/0.20的IP地址</p><p>　　Router(config-subif)#end </p><p>　　第三步：查看交換機的VLAN和Trunk配置</p><p>　　L2-SW#show vlan </p><p>　　L2-SW#show interfaces fastEthernet 0/1 switchp

102、ort </p><p>　　5.3在RouterA上配置NAT</p><p>　　NAT的設置方法：　　　　　　　　NAT設置可以分為靜態(tài)地址轉換、動態(tài)地址轉換、復用動態(tài)地址轉換。　　　　　　　　1、靜態(tài)地址轉換適用的環(huán)境　　　　　　　　靜態(tài)地址轉換將內部本地地址與內部合法地址進行一對一的轉換，且需要指定和哪個合法地址進行轉換。如果內部網絡有E-mail服務器或FTP服務器

103、等可以為外部用戶提供的服務，這些服務器的IP地址必須采用靜態(tài)地址轉換，以便外部用戶可以使用這些服務?！　§o態(tài)地址轉換基本配置步驟：　　　　（1）、在內部本地地址與內部合法地址之間建立靜態(tài)地址轉換。在全局設置狀態(tài)下輸入：　　Ip　　nat　　inside　　source　　static　　內部本地地址　　內部合法地址　　　?。?）、指定連接網絡的內部端口　　在端口設置狀態(tài)下輸入：　　　　ip　　nat　　inside　　

104、（3）、指定連接外部網絡的外部端口　　在端口設置狀態(tài)下輸入：　　　　 ip　　nat　　outside　　　　注：可以根據實際需要定義多個內部端口及多個外部端口?！　　　嵗?：　　　　本實例實現靜態(tài)NAT地址轉換功能。將2501的以太口作為內</p><p>　　5.4在路由器A上應用ACL</p><p><b>　　【原理】 </b></p>

105、;<p>　　標準IP ACL可以對數據包的源IP地址進行檢查。當應用了ACL的接口接收或發(fā)送數據包時，將根據接口配置的ACL規(guī)則對數據進行檢查，并采取相應的措施，允許通過或拒絕通過，從而達到訪問控制的目的，提高網絡安全性。</p><p>　　步驟1 RA基本配置。</p><p>　　RA#configure terminal </p><p>　

106、　RA (config)#interface fastEthernet 1/0 </p><p>　　RA (config-if)#ip address 192.69.5.1 255.255.255.0 </p><p>　　RA (config-if)#exit </p><p>　　RA (config)#interface fastEthernet 1/1 &

107、lt;/p><p>　　RA (config-if)#ip address 192.69.6.1 255.255.255.0 </p><p>　　RA (config-if)#exit </p><p>　　RA (config)#interface serial 1/2 </p><p>　　RA (config-if)#ip address

108、 192.69.7.1 255.255.255.0 </p><p>　　RA (config-if)#exit </p><p>　　步驟3 查看RA接口狀態(tài)。</p><p>　　RA#show ip interface brief </p><p>　　Interface IP-Address(Pri) OK? Status </

109、p><p>　　serial 1/2 192.69.7.1 /24 YES UP </p><p>　　serial 1/3 no address YES DOWN </p><p>　　FastEthernet 1/0 192.69.5.1/24 YES UP </p><p>　　FastEthernet 1/1 192.69.6.1/24

110、YES UP </p><p>　　Null 0 no address YES UP </p><p>　　步驟4 在R1上配置靜態(tài)路由。</p><p>　　RA(config)#ip route 192. 96.4.0 255.255.255.0 serial 1/2 </p><p>　　步驟5 配置標準IP ACL。</p>

111、;<p>　　步驟6 應用ACL。</p><p>　　RA(config)#interface fastEthernet 1/0 </p><p>　　RA(config-if)#ip access-group 1 out </p><p><b>　　步驟7 驗證測試。</b></p><p>　　在工

112、程部主機192.69.1.0ping設計部主機，可以ping通。在財務部主機（192.69.2.0）ping設計部主機，不能ping通。</p><p>　　Codes: C - connected, S - static, R - RIP B - BGP </p><p>　　O - OSPF, IA - OSPF inter area </p><p>　　N1

113、 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 </p><p>　　E1 - OSPF external type 1, E2 - OSPF external type 2 </p><p>　　i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-I

114、S inter area </p><p>　　* - candidate default </p><p>　　Gateway of last resort is no set </p><p>　　C 192.168.10.0/24 is directly connected, FastEthernet 0/0.10 </p><p>　

115、　C 192.168.10.1/32 is local host. </p><p>　　C 192.168.20.0/24 is directly connected, FastEthernet 0/0.20 </p><p>　　C 192.168.20.1/32 is local host. </p><p><b>　　測試網絡連通性</b&

116、gt;</p><p>　　給PC1和PC2分別配置192.68.12.0/24和192.68.13.0/24網段內的IP地址，并分別以192.68.12.1和192.68.13.1作為網關。 </p><p>　　從PC2上ping所屬VLAN的網關、VLAN 11的網關和PC1的結果如下，說明配置單臂路由后，網絡已經全部實現互聯互通。</p><p>　　對于標

117、準IP ACL，由于只能對報文的源IP地址進行檢查，所以為了不影響源端的其他通信，通常將其放置到距離目標近的位置，在本設計中是R2的F1/0接口。</p><p>　　RA(config)#access-list 1 deny 192.69.2.0 0.0.0.255 </p><p>　　！拒絕來自財務部192.69.2.0/24子網的流量通過</p><p>