广域网课程设计1

第一章理论概述《广域网技术》这门课程主要讲解了广域网基本构成、实施技术（PPP、FrameRelay）、网络安全防御（路由器保护）、网络访问控制（ACL）、远程工作者服务（VPN）和IP编址服务（DHCP和NAT）。本次课程设计的基本任务就是充分理解课程所学基本理论，在此基础上，在真实网络环境中构建并实施一个综合性较强、具有一定复杂性和实用性的网络案例，通过实践巩固理论学习，在实践中培养灵活运用理论知识分析问题、解决问题的能力。1.1相关知识与技术1.1.1PPP点到点协议点到点协议（PPP）提供同时处理TCP/IP、IPX和AppleTalk的多协议LAN到WAN连接。它可用于双绞线、光纤线路和卫星传输链路。PPP可以通过ATM、帧中继、ISDN和光纤链路传输数据。在现代网络中，安全性是重要的考虑因素。PPP让您能够使用密码验证协议（PAP）或更有效的挑战握手验证协议（CHAP）。学习完PPP后，理解了如何使用LCP和NCP的功能建立PPP会话；掌握了配置命令的语法、PPP连接配置选项的用法以及如何使用身份验证协议PAP或CHAP来确保连接的安全。最后，还学习了查看PPP配置及排除故障的步骤。1.1.2FrameRelay帧中继帧中继(FrameRelay)是一种高性能WAN协议，运行在OSI参考模型的物理层和数据链路层，它是X.25协议的简化版。如今，帧中继已成为应用最广泛的WAN的协议之一，这是由于其成本第一专用线。帧中继的主要特点是:使用光纤作为传输介质,因此误码率极低,能实现近似无差错传输,减少了进行差错校验的开销,提高了网络的吞吐量；帧中继是一种宽带分组交换,使用复用技术时,其传输速率可高达44.6Mbps。但是,帧中继不适合于传输诸如话音、电视等实时信息,它仅限于传输数据。学习完帧中继后，基本对帧中继有了一定的了解，掌握了基本帧中继的配置和学会了帧中继基本故障的排除。1.1.3网络安全防御安全已成为网络管理和实现的最前线。总体安全挑战如何在两种重要需求之间达到平衡——开放网络以支持业务发展以及保护隐私、个人信息和战略业务信息。为保护网络，组织可采取的最重要措施是实施有效的安全策略。这种策略指南，引导组织采取措施和使用资源保护其网络。保护网络的重要任务之一是保护路由器。路由器是进入网络的网关，也是显而易见的攻击目标。基本的管理措施包括良好的物理安全、更新IOS以及备份配置文件，这只是网络安全的起点。CiscoIOS软件提供大量安全功能，可加固路由器、关闭使用的端口与服务开启的大门，其中的大部分功能都可使用CiscoSDM的一步保护功能实现。最后，学习了如何回复密码。1.1.4ACL访问控制列表访问控制列表（ACL）是一系列permit或deny语句组成的顺序列表，他应用于地址或上层协议。在控制数据流进出网络方面，ACL提供了一种功能强大的方法，可为所有被路由器的网络协议配置ACL.ACL让你能够控制进出网络的数据流。这种控制可能很简单，只是允许或拒绝特定的网络主机或地址，但还是可将ACL配置为根据使用的TCP端口来控制网络数据流。要理解ACL如何处理TCP数据流，来看看将网页下载到计算机是TCP会话期间发生的对话。1.1.5VPN远程工作者服务远程办公是指员工在远离传统工作场所的地点完成其工作。虚拟专用网（VPN）技术。因特网是一个全球性IP网络，可供人们开公司访问。由于在全球范围内的迅猛发展，它已成为一种有吸引力的远程站点互连途径。由于因特网属于公共基础设施，这给企业及其内部网络带来安全风险。幸运的是，组织都可以使用VPN技术通过公共因特网基础设施创建能够确保机密和安全性的私有网络。组织使用VPN提供虚拟WAN基础设施，从而将分支机构、家庭办公室、业务合作伙伴站点以及远程工作人员连接到其整个或部分企业网络。VPN意味着通过不安全的共享网络基础设施以安全、独占的方式传输数据。1.1.6DHCP和NATIP编址服务第2章实作过程根据拓扑图规划IP地址，该拓扑图可划分为三部分：公司总部部分；分支机构部分；公网部分。其中，公司总部和分支机构部分采用私网IP地址，公网部分采用公网IP地址。在各个设备上配置相应的IP地址、子网掩码、默认网关和应用层设备。在公网部分中配置帧中继，使帧中继部分连通。分别在公司总部、分支机构和公网部分配置相应的路由协议，首先保证各个部分内部实现路由连通。在公司总部、分支机构和公网的交界处配置默认路由，使三部分的网络连通。根据课程设计要求，在公司总部和分支机构与公网的交界处配置相应的NAT，ACL。配置VPN。测试。第3章拓扑与设计说明3.1拓扑设计说明3.1.1拓扑图图3-1拓扑设计拓扑设计如图1所示。3.1.2IP地址规划公司总部地址规划：R1：f0/0：10.23.1.1/24f0/1：10.23.2.1/24s0/0/0（DCE端口）：10.23.3.1/24R2：s0/0/1：10.23.3.2/24s0/0/0：200.123.1.2/24f0/0：10.23.4.1/24主机A：动态获取IP地址主机B：10.23.1.3/24FTP-WEB：10.23.2.2/24FTP2：10.23.4.2/24WEB2：10.23.4.3/24分支机构：R8：f0/0：10.123.1.1/24f0/1：10.123.2.1/24s0/0/0：200.123.8.2/24主机E、F、H：动态获取IP地址Dhcp-server：10.132.2.2/24公网部分：R3：s0/0/0（DCE端口）：200.123.1.1/24s0/0/0.102：200.123.2.1/24s0/0/0.103：200.123.3.1/24R4：s0/0/0：200.123.4.2/24f0/0：200.123.6.1/24R5：s0/0/0:200.123.2.2/24s0/0/1（DCE端口）：200.123.4.1/24s0/1/0（DCE端口）：200.123.5.1/24R6：s0/0/1：200.123.5.2/24f0/0:200.123.7.1/24R7：s0/0/0：200.123.3.2/24s0/0/1（DCE端口）：200.123.8.1/243.3任务要求通过设计该拓扑图，实现以下几项功能：1、公司总部FTP-WEB服务器仅对公司总部和远程工作的员工提供服务；FTP2和WEB2对公网用户提供服务，DNS和WEB3服务器对全网客户端用户提供服务；DHCP服务器为客户端E、F、H动态分配IP信息；路由器R1为客户端A动态分配IP信息。其中各服务器的域名为：FTP2（ftp.Y.com）；WEB2（）；WEB3（）；2、FTP2和WEB2服务器对公网用户提供服务；公司总部子网1的用户和分支机构子网13、子网14的用户通过域名访问公网WEB3服务器；3、远程用户通过VPN连接到公司总部，通过私有IP地址访问公司内部FTP-WEB服务器；4、FTP2和WEB2服务器由专人负责管理，不允许公司总部的普通客户端（子网1的用户）和远程工作的用户通过私有IP访问。5、管理人员利用“控制终端B”主机（仅此主机）可以通过telnet方式登录公司总部（R1、R2、S1、S2、S3）的网络设备实施配置。3.4DHCP服务首先，在公司总部的R1上配置DHCP服务，为主机A动态分配IP地址。在R1上配置DHCP服务，命令如下：R1(config)#ipdhcpexcluded-address10.23.1.1R1(config)#ipdhcppoolwgt1R1(dhcp-config)#network10.23.1.0255.255.255.0R1(dhcp-config)#default-router10.23.1.1通过上述命令，完成了对主机A地址的动态分配。其次，在分支机构的DHCP服务器和R8上设置DHCP服务，为主机E、F、H动态分配IP地址。（1）、在DHCP服务器上设置DCHP服务，如图2所示。图3-2设置DHCP服务（2）、在R8上配置DHCP服务，命令如下：R8(config)#ipdhcpexcluded-address10.123.1.1R8(config)#ipdhcppoolwgt3R8(dhcp-config)#network10.123.1.0255.255.255.0R8(dhcp-config)#default-router10.123.1.1通过上述设置及命令的输入完成了对主机E、F、H地址的动态分配。3.5默认路由配置在公司总部和分支机构与公网连接的路由器R2和R8上配置默认路由，命令如下：R2的默认路由：R2(config)#iproute0.0.0.00.0.0.0200.123.1.1R8的默认路由：R8(config)#iproute0.0.0.00.0.0.0200.123.8.13.6NAT地址转换与ACL访问控制在公司总部的R2路由器上配置NAT地址转换与ACL访问控制以实现公司总部FTP-WEB服务器仅对公司总部和远程工作的员工提供服务；FTP2和WEB2对公网用户提供服务，DNS和WEB3服务器对全网客户端用户提供服务；不允许公司总部的普通客户端（子网1的用户）和远程工作的用户通过私有IP访问。在R2上配置NAT,命令如下：R2(config)#ipnatinsidesourcelist1interfaceSerial0/0/0overloadR2(config)#ipnatinsidesourcestatic10.23.4.2200.123.1.3R2(config)#ipnatinsidesourcestatic10.23.4.3200.123.1.3在R2上配置ACL，命令如下：R2(config)#iaccess-list1permitany通过上述配置，实现了所要求的访问控制。3.7帧中继配置在公网部中帧中继部分进行配置。首先达到帧中继网云部分的连通。使用点对点实现子网6和子网7连通步骤1、在网云上设置虚链路，设置步骤如图3所示：图3-3在s0口设置两条虚链路DLCI步骤2、分别在s1口和s2口上设置对应的虚链路DLCI值，如图3-4和3-5所示：图3-4在S1口上设置虚链路图3-5在S2口上设置虚链路步骤3、添加点对点虚链路，如图3-6所示：图3-6步骤4、在R3上配置帧中继，命令如下：R3(config)#interfaceSerial0/0/0R3(config-if)#encapsulationframe-relayR3(config)#interfaceSerial0/0/0.102point-to-pointR3(config-subif)#ipaddress200.123.2.1255.255.255.252R3(config-subif)#frame-relayinterface-dlci102R3(config)#interfaceSerial0/0/0.103point-to-pointR3(config-subif)#ipaddress200.123.3.1255.255.255.252R3(config-subif)#frame-relayinterface-dlci103步骤5、在R5和R7上配置对应的帧中继封装，命令如下：R5：R5(config)#interfaceSerial0/0/0R5(config-if)#ipaddress200.123.2.2255.255.255.252R5(config-if)#encapsulationframe-relayR5(config-if)#frame-relayinterface-dlci301R7：R7(config)#interfaceSerial0/0/0R7(config-if)#ipaddress200.123.3.2255.255.255.252R7(config-if)#encapsulationframe-re