辽宁工业大学计算机网络基础实训报告
题目:学生寝室楼网络规划
院(系): 软件学院
专业班级:软件技术000班
学号: 000404000 000
学生姓名: 0000000
指导教师: 0000000
教师职称:助教
起止时间: 2009.6.22-2009.7.5
实训任务及评语
目录
第1章实训目的与要求 (1)
1.1 实训目的 (1)
1.2 实训环境 (1)
1.3 实训的预备知识 (1)
1.4 实训要求 (1)
第2章实训内容 (2)
2.1网络总体设计 (2)
2.2网络详细设计 (3)
2.3网络管理软件的应用 (9)
第3章实训日记 (11)
第4章实训总结 (12)
参考资料 (13)
第1章实训目的与要求
1.1 实训目的
本实训要求学生能够对网络进行子网划分,掌握WEB、FTP服务器的组建方法,了解WEB、FTP服务器的用途及测试方法。
1.2 实训环境
网络环境下,多媒体计算机一台(每人)。
1.3 实训的预备知识
该实训安排在计算机网络基础课程结束后进行,学生已经掌握了一定的网络基础知识。
1.4 实训要求
实训过程中,要严格遵守实训的时间安排,听从指导教师的指导。正确地完成上述内容,记录实习日记,规范完整地撰写出实训报告。
第2章实训内容
2.1 网络总体设计
1、背景描述
在大学校园中,购买计算机的学生越来越多,宿舍楼往往有很多台计算机。为了使相邻宿舍之间的多台电脑连接成局域网,实现资源共享。多台电脑共享上网。各个宿舍或同学间进行信息交流,提高学习效率。因此对学生寝室楼的网络进行可行性规划。随着时代的变迁与人们生活的改善,越来越多的大学生希望改善住宿条件,完善设施建设,享受优美环境,提供多层次、全方位的便利服务,宿舍局域网的形成,可使多个宿舍乃至整个宿舍楼的电脑共享一个internet帐户,通过局域网服务工作站主机访问internet。其实,局域网的形成不仅仅为宿舍电脑访问internet提供了便利条件,它的建立将给学生的生活、学习。为了更好地保障学生宿舍网安全、高效地运行,我想对学校寝室楼的网络进行规划,进一步加强安全管理,用户通信监控,IP子网划分,VLAN 的划分等,给学生提供更多的应用服务。寝室楼的网络对整个网络性能要求不是太高。经过规划,整个寝室楼就可以更好的应用网络,以免发生网络冲突。我想给整个寝室楼划分成4个局域网,用4个交换机分别连接4各楼层的用户,这样整个寝室楼在通过VLAN的调试,就可以互相连接起来,这样就可以实现资源共享的目的。子网划分说白了是这样一个事情:因为在划分了子网后,ip地址的网络号是不变的,因此在局域网外部看来,这里仍然只存在一个网络,即网络号所代表的那个网络;但在网络内部却是另外一个景象,因为我们每个子网的子网号是不同的,当用化分子网后的ip地址与子网掩码(注意,这里指的子网掩码已经不是缺省子网掩码了,而是自定义子网掩码,是管理员在经过计算后得出的)做'与'运算时,每个子网将得到不同的子网地址,从而实现了对网络的划分(得到了不同的地址,当然就能区别出各个子网了)。
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护。把当前先进性、未来可扩展性和经济可行性结合起来,保护以往投资,实现较高的总体性能由于网络的设计并不是很好。它们都或多或少的有着一些的问题。如各个电脑之间的带宽争夺,局域网内部的安全性及数据互通性,局域网与外界连通的安全性等。因此,我所需要去完成的,就是在现有的局域网的基础上,对其进行一些优化与升级。例如,当局域网中某台电脑中了病毒之后,如何防止其对网内的其他电脑发
送垃圾包,这样就能减少某些电脑的不明原因的网络连接速度的问题了;再有的就是解决每台电脑的带宽限制,尽量减少因一部分人下载东西影响他人的网速;再一个就是连接外网的路由器如何阻止外部的病毒进入到局域网内部。
2、网络拓扑图
图2.1 网络拓扑图
3、网络拓扑说明
在大学校园寝室楼, 图所示是一个最基本的寝室楼网络规划架构,实际的寝室楼网络规划比这可能要复杂许多。在图中最上面的一层为A,A为寝室楼的主机,分别通过中间的交换机路由器划分IP子网到最下面寝室楼中的各个寝室,合理配置系统资源,减少资源浪费。
(1)路由器:用来至少连接两个网络或是移动无线网络(mobile ad-hoc network)。一种特殊类型的路由器(one-armed-R-wht011)用来在虚拟区域网(Virtual LAN)环境中传递数据包。
路由器有两个作用,一个作用是连通不同的网络,另一个作用是选择信息传送的线路,它是共享宽带连接的最佳解决方案。并以易使用、易管理、零维护的优点成为Internet共享接入的首选设备,路由器的优点在于接口类型丰富,支持的三层功能强大,路由能力强大,适合用于大型的网络间的路由,它的优势在于选择最佳路由,负荷分担,链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。
(2)交换机:交换机也叫交换式集线器,它通过对信息进行重新生成,并经过内部处理后转发至指定端口,具备自动寻址能力和交换作用,由于交换机根据所传递信息包的目的地址,将每一信息包独立地从源端口送至目的端口,避免了和其他端口发生碰撞。广义的交换机就是一种在通信系统中完成信息交换功能的设备。这个集线器的后续产品,无论是在速度及具备功能上,都是前者所不能比拟的。其主要功能就是实现多台计算机的互连互通,相当于文前提到的“中间人”的作用。
交换机分会三层交换机和二层交换机。二层交换机用于小型的局域网络。这个就不用多言了,在小型局域网中,广播包影响不大,二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。
交换机是一种基于MAC(网卡的硬件地址)识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。
(3)集线器:将多个节点汇接到一起的能力,而且采取了模块化结构,可根据需要选择各种模块。这些模块支持的传输媒体,与媒体的连接方式,通信协议等几乎无所不包,这种将多种网络技术集中到一个机箱内的设备,
(4)网桥:网桥工作在数据链路层,将两个LAN连起来,根据MAC地址来转发帧,可以看作一个“低层的路由器”(路由器工作在网络层,根据网络地址如IP地址进行转发)。
2.2网络详细设计
1、ip分配
选用C类IP地址,191.16.12.0,子网掩码255.255.255.0
1)需要分给六层,所以23=8>7
新的子网掩码255.255.255.225
2)每个网段主机数=25=32
3)每个部门所用IP范围
192.16.12.1------192.16.12.30
192.16.12.31-----192.16.12.62
192.16.12.63-----192.16.12.94
192.16.12.95-----192.16.12.126
192.16.12.127----192.16.12.158
192.16.12.159----192.16.12.190
192.16.12.191----192.16.12.223
192.16.12.224----192.16.12.254
2、设备选择
(1)路由器:锐捷网络 RG-NBR3000
产品类型:千兆防攻击核心宽带路由器
处理器:1.3GHz主频64位RISC专业网络处理器
内存:512MB
固定广域网接口:2个10/100M/1000M光
电复用端口(Combo),1个10/100M /1000M自适应RJ45端口(Auto MDI/MDIX)
固定局域网接口:5个10/100M/1000M自适应RJ45端口(Auto MDI/MDIX)交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能,有的交换机还可以配置监视端口检查任何两个端口之间的通信量。
路由器的一个作用是连通不同的网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
图2.2路由器
(2)交换机: 锐捷网络 RG-S1826R
产品类型:快速以太网交换机
接口类型:RJ45/接口数目:24口
模块化插槽数:1个扩展接口插槽,可扩展单口或双口百兆多
单模光纤接口模块VLAN支持:不支持VLAN
传输速率:10M/100Mbps
传输方式:存储转发
采用高性能交换芯片,高达48Gbps的背板带宽可保证高流量负载环境下,所有端口全线速无阻塞传输,满足千兆接入或汇聚的高流量数据转发要求,亦可直接作为中小型网络的核心设备来构建经济型千兆骨干网络。
高性价比的千兆服务器群连接能力
每个独立的千兆铜缆端口,都可以协助用户以千兆速度直接高速连接服务器,将彻底消除局域网传输及访问服务器群的带宽瓶颈。
直连线与交叉线序自动识别
所有端口支持MDI/MDI-X自适应,对于直连线和交叉线均可直接使用,避免线缆差别带来的麻烦与不便。
高效SRAM提高交换效率
内建高效SRAM数据缓存及集成地址搜寻引擎,各端口动态分配SRAM数据缓存,有效提高数据交换效率。
双向地址学习
所有端口均支持双向地址学习,自动记录端口连接设备地址并存储于地址表中,有效提高地址学习刷新效率,协助用户快速连接网络。
宽频电信级电源设计
采用电信级的开关电源,具有防雷设计、防过压设计、防浪涌设计,电压可适应100~240V大范围,保证在不良自然天气及电压不稳环境下网络的正常运行。
符合标准:IEEE 802.3、IEEE 802.3u、IEEE802.3x、IEEE 802.3ab
固定端口:24个10/100/1000Mbps自适应以太网端口RJ-45交换端口
网络介质:10Base-T:3类或3类以上双绞线(支持最大传输距离200m);100Base-TX:5类双绞线(支持最大传输距离100m);1000Base-T:5类双绞线(支持最大传输距离100m)。
工作模式:半双工、全双工、自协商模式,支持MDI/MDI-X自适应;背板,48Gbps,二层交换,所有端口支持线速转发。
MAC地址:8K,地址自动学习、自动老化。
交换模式:存储转发模式;流控:支持IEEE 802.3x全双工流控;
尺寸(宽×高×深):440mm ×44mm ×200mm;
电源:AC 100VAC~240V AC,50Hz~60Hz;
最大功耗:30W;温度:工作温度:0℃~50℃;
存储温度:-40℃~70℃
湿度:工作湿度:10%~90% RH,存储湿度:5%~95% RH
图2.3交换机
3、设备调试
(1)交换机远程登录
Switch>enable 进入特权模式
Switch#configure terminal 进入全局模式
Switch (config)#hostname zym081408070
DSX081 (config)#interface vlan 1 进入交换机管理接口配置模式
DSX081 (config-if)#no shutdown 开启交换机管理端口
DSX081 (config-if)#ip address 192.168.1.1 255.255.255.0 配置交换机管理接口IP 地址。
DSX081 (config-if)#end
DSX081 (config)#enable secret level 1 0 star !配置远程登陆密码
DSX081 (config)#enable secret level 15 0 star !配置进入特权模式密码
图2.4交换机远程登录
(2)交换机端口隔离
Switch>enable (进入交换机特权模式)
Switch#configure terminal (进入交换机全局模式)
Switch(config)#hostname Yy082(重新命名)
Yy082 (config)#vlan 10 (创建vlan10)
Yy082(config-vlan)#exit(退出vlan模式)
DSX081(config-vlan)#exit
DSX081(config)#exit
DSX081#show vlan
DSX081#configure terminal
DSX081(config)#interface f0/5 (进入f0/5的接口配置模式)
DSX081(config-if)#switch access vlan 10 (将f0/5端口加入vlan10中)DSX081(config-if)#exit
DSX081(config)#interface f0/15(进入f0/15的接口配置模式)
DSX081(config-if)#switch access vlan 20(将f0/15端口加入vlan20中)DSX081#show vlan
验证配置信息
Zym081408070# show vlan
VLAN Name Status Ports
---- -------- -------- ---------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4,
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23,Fa0/24
4 VLANZym081408070 active Fa0/5
PC1 Ping PC2(ping不通,隔离成功)。
图2.5交换机端口隔离
(3)路由器远程登录配置
ter>enable !进入特权模式
Router# configure terminal !进入全局配置模式Router(config)#hostname Zym081408070 !重新命名
DSX081 (config)# interface fastethernet 1/0 !进入路由器接口配置模式DSX081config-if)# ip address 192.168.1.1 255.255.255.0 !配置路由器管理接口IP地址
DSX081 (config-if)# no shutdown !开启路由器f 1/0接口
DSX081 (config)#show ip interface fastethernet 1/0 !验证接口fastethernet 1/0的IP地址已经配置和开启
DSX081 (config)# line vty 0 4 !进入路由器线路配置模式DSX081 (config-line)# login !配置远程登录
DSX081 (config-line)# password star !设置路由器远程登录密码为“star”
DSX081 (config-line)#end
DSX081 (config)# enable secret star !设置路由器特权模式密码为“star”或者
DSX081(config)# enable password star
TELNET管理路由器
图2.6 VLAN
4、网络安全
网络已经成为生活离不开的工具,经济、文化、军事和社会活动都强烈地依赖于网络。随信息化发展而来的网络安全问题日渐突出,这不仅严重阻碍了社会信息化发展的进程,而且还进一步影响到整个国家的安全和经济发展。面对网络安全的严峻形势,如何建设高质量、高稳定性、高可靠性的安全网络成为我们通信行业乃至整个社会发展所
要面临和解决的重大课题。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。人们在享受到各种生活便利和沟通便捷的同时,网络安全问题也日渐突出、形势日益严峻。网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序,严重损害了网民的利益;网上色情、暴力等不良和有害信息的传播,严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。企业必须采取统一的安全策略来保证网络的安全性。一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制进、出一个网络的权限,在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计,防止外部网络用户以非法手段通过外部网络进入内部网络,访问、干扰和破坏内部网络资源。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间的任何活动,保证了内部网络的安全。
防火墙有软、硬件之分,实现防火墙功能的软件,称为软件防火墙。软件防火墙运行于特定的计算机上,它需要计算机操作系统的支持。基于专用的硬件平台的防火墙系统,称为硬件防火墙。它们也是基于PC架构,运行一些经过裁剪和简化的操作系统,承载防火墙软件。
2.3网络管理软件应用
部署入侵检测产品,并与防火墙联动,以监视局域网外部绕过或透过防火墙的攻击,并及时触发联动的防火墙及时关闭该连接;同时监视主服务器网段的异常行为,以防止来自局域网内部的攻击或无意的误用及滥用行为。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力。
(1)防火墙
图2.7 安装
支持任何形式的网络接入方式。(如以太网卡/Proxy方式、拨号上网、Cable Modem 接入、ADSL接入、Irad接入等)不影响网络通讯的速度,也不会干扰其它运行中的程序。方便灵活的规则设置功能可使您任意设置可信的网络连接,同时把不可信的网络连接拒之门外。保证您的计算机和私人资料处于安全的状态。提供网络实时过滤监控功能。防御各种木马攻击。如BO、冰河。防御ICMP洪水攻击及ICMP碎片攻击。防御诸如WinNuke,IpHacker之类的OOB攻击。在受到攻击时,系统会自动切断攻击连接,发出报警声音并且闪烁图标提示。详细的日志功能实时记录网络恶意攻击行为和一些网络通讯状况;若受到攻击时,可通过查看日志使攻击者原形毕露。在Windows XP的早期版本中就推出过免费的Internet连接防火墙,但是该软件的功能非常有限,只有简单的入站访问限制(也就是说,只能对主动从网络向本机发起的网络连接进行限制)。虽然在Windows XP SP2中该防火墙改名为Windows防火墙,但是功能上并没有太大改进。在功能上,Vista中的防火墙(下文统一简称为防火墙)主要增加了对内部程序访问网络(也就是出站连接)的限制,以及和其他计算机之间的连接限制。
启用防火墙
首先运行secpol.msc,打开“Local Security Settings(本地安全设置)”窗口,接着在左侧的树形图中定位到“Security Settings(安全设置)”|“Windows Firewall with Advanced Security(具有高级安全功能的Windows防火墙)”|“ Windows Firewall with Advanced Security on Local Computer(本地计算机上具有高级安全功能的Windows 防火墙)”节点,你将能看到类似图1的界面,下文所介绍的所有功能都将在这里设置。
图2.8 瑞星杀毒软件
第3章实训日记
第4章实训总结
转眼间我期望已久的实训已经结束。经过这么长时间的实训练习,是我受益不少。这这次实训中知道了寝室楼用交换器配IP,也知道了IP地址的计算让我更巩固了计算机网络中交换机的用途。
在计算机网络系统中,交换概念的提出是对于共享工作模式的改进。我们以前介绍过的HUB集线器就是一种共享设备,HUB本身不能识别目的地址,当同一局域网内的A主机给B主机传输数据时,数据包在以HUB为架构的网络上是以广播方式传输的,由每一台终端通过验证数据包头的地址信息来确定是否接收。也就是说,在这种工作方式下,同一时刻网络上只能传输一组数据帧的通讯,如果发生碰撞还得重试。这种方式就是共享网络带宽。交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在才广播到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”,通过对照MAC地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的隔离广播风暴,减少误包和错包的出现,避免共享冲突。交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段,连接在其上的网络设备独自享有全部的带宽,无须同其他设备竞争使用。当节点A向节点D发送数据时,节点B可同时向节点C发送数据,而且这两个传输都享有网络的全部带宽,都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交换机,那么该交换机这时的总流通量就等于2×10M bps=20Mbps,而使用10Mbps的共享式HUB时,一个HUB的总流通量也不会超出10Mbps。总之,交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。
参考资料
[1] 王群.计算机网络教程.北京:清华大学出版社,2005.12
[2]陈应明.计算机网络与应用.北京:冶金工业出版社,2005.11
[3]谢希仁.计算机网络(第二版).北京:电子工业出版社,2001.3
[4]林全新.周围.计算机网络工程.北京:人民邮电出版社,2003.2
[5]张恒杰.曹隽.计算机网络工程.大连:大连理工大学出版社,2006.10
[6]王权威.王绪溢.网络设备与管理应用基础教程.中国铁道出版社,2004.4
[7]王达.网络组建(第二版).北京:电子工业出版社,2007.9
[8]陆魁军.基于Cisco路由器和交换机.北京:清华大学出版社,2007.7
[9]蔡建新.网络工程概论.北京:清华大学出版社,2002.8
[10]鲁士文.计算机网络习题与解析(第2版).北京:清华大学出版社, 2005.9
[11](美)弗鲁姆(美)西瓦萨布拉玛尼安.(美)弗拉姆.组建Cisco 多层交换网络[M].北
京:人民邮电出版社,2007.6
[12]王群.计算机网络管理技术.清华大学出版社,2008.6.1
[13]杨凡.计算机网络信息安全理论与实践教程.北京:邮电大学出版社,2008.5.1
[14]张晓云.计算机网络实训教程.西安电子科技大学出版社,2008.1.5