计算机网络综合设计报告答案.docxVIP

计算机网络综合设计报告 --中小型企业网络组建方案姓名：高欣学号： 201113010126班级： 11级信息工程1班指导老师：王权海一、背景描述某公司计划建设自己的网络 ，希望通过这个新建网络，提供一个安全可靠、可扩展、高效的网络环境。使公司能够方便快捷的实现网络资源共享、接入Internet 等目标。二、公司环境和要求1、公司有4个部门：市场部（30台主机）、财务部（4台主机）和经理部（2台主机）以及网络部（3台服务器主机：分别提供www、FTP、DHCP服务）。2、公司内部使用私有地址段/16。公司租用了三间大型写字间，每间的职员位置固定。已有的机器的分布如下：（1）市场部1~20号主机与经理部的两台分布于房间1，接在交换机SW1上；（2）市场部21~30号主机与财务部的4台主机分布于房间2，接在交换机SW2上；（3）网络部的三台服务器分布于房间3，接在交换机SW3上。要求将不同职能的计算机划分成独立组群：市场部、财务部、经理部、服务器组。（提示：采用VLAN技术实现不同组群相互间的隔离；在此基础上，利用路由器实现VLAN间的通信。）3、全公司除服务器以外的所有主机通过DHCP服务器实现地址自动分配，避免个人设置IP 地址的麻烦。（提示：需要在路由器上配置DHCP中继）4、三个服务器使用固定的地址（WWW——/24，FTP——/24，DHCP——/24），内网用户可通过内部地址访问这些服务器。5、公司只申请到有限个接入公网的IP 地址（/29~/29），供企业内网接入公网使用。其中分配给公司网络部的WWW服务器，以提供对外Web服务，余下的地址可供员工上网使用。公司的FTP服务不提供给外网。（提示：采用ACL+NAT）6、为了确保财务部数据安全，财务部与外部公网不能互访；内部仅允许经理部访问财务部，其他部门均不能与财务部互访。其他部门（市场部、经理部、网络部）之间，可以相互访问。（提示：采用ACL技术）7、公司为外地出差员工提供“远程接入式VPN”服务，使得外地员工可以通过公网连接以账户+密码的方式接入到公司内部网络。该类接入用户统一安排/24的地址段。 三、IP地址分配综合公司环境和网络使用要求，内网地址安排为：经理部Manager：/24财务部Finance： /24市场部Market： /24网络部Servers： /24远程接入VPN地址池：/24四、网络拓扑结构图1 网络拓扑结构五、相关原理简述1. NAT网络地址转换NAT（Network Address Translation），被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。默认情况下，内部IP地址是无法被路由到外网的，例如，内部主机要与外部internet通信，IP包到达NAT路由器时，IP包头的源地址被替换成一个合法的外网IP，并在NAT转换表中保存这条记录。当外部主机发送一个应答到内网时，NAT路由器收到后，查看当前NAT转换表，用替换掉这个外网地址。NAT可将网络划分为内部网络和外部网络两部分，局域网主机利用NAT访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法的IP地址）后转发数据包。2.VLAN虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在/view/4200848.htm同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在/view/38361.htmOSI参考模型的第2层和第3层，一个VLAN就是一个/view/291982.htm广播域，VLAN之间的通信是通过第3层的/view/1360.htm路由器来完成的。与传统的/view/1598669.htm局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制/view/35385.htm广播活动；可提高/view/3487.htm网络的安全性。在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信，需要通过一个或多个路由器。这样的一个广播域就称为VLAN。交换机1配置：交换机2配置：交换机3配置：3. ACL访问控制列表（ACL）可以对经过路由器的数据包按照设定的规则进行过滤，使数据包有选择的通过路由器，起到防火墙的作用。ACL由一系列规则组成，在规则中定义允许或拒绝通过路由器的条件。其过滤依据主要包括源地址、目的地址、上层协议等。主要用于限制访问网络的