网络模拟实验系统的设计与实现毕业论文

. . . 网络模拟实验系统的设计实现摘 要 本文介绍了使用Cisco公司的Packet Tracer软件模拟网络实验系统平台，设计并实现了一个中小型公司部各部门之间、总公司与分公司之间、公司与互联网以与出差在外的个人与公司之间信息交流的互联网络，其间网络的配置涉与到网络的安全、数据的加密等相关网络技术问题。应用了虚拟局域网、动态主机设置协议、网络地址转换、点对点协议、帧中继、虚拟专用网络、开放式最短路径优先协议等相关网络技术与协议。 论文在撰写过程中，力求将理论与实践应用相结合，对各种理论进行阐述的同时，配合系统从实际应用和操作技巧上加以说明，能够比较充分地体现到这些知识与技术在本系统中的应用与实现。- 37 - / 44关键词网络模拟平台；网络；实验；信息创新点本文的创新点在于运用网络模拟软件十分真实地模拟出了网络工程项目设计的全部流程，并以网络实验项目的实现为平台来展示网络模拟系统的功能。Network simulation system Design and RealizationAuthor：Liu Tongquan Tutor：Chen JianhuiAbstract This paper describes using the Cisco Packet Tracer software platform designing and implementing a network of a small or medium company .It can realize the communication between departments, head office and branch office, the companies and the Internet ,and achieve the exchange between individuals and companies. It relates to network security, data encryption, and other related network issues in the process of designing the network. It applicate of virtual local area network protocols, network address translation, dynamic host settings, point to point protocol, frame relay, virtual private networks, open shortest path first protocol and other related networking technologies and protocols. In the process of writing this paper, it aims to combining theory and practical application. It expounds the theory with some instructions of practical applications and operating skills.And I hope it can fully reflect the knowledge and technology in the application and implementation ofthis system.Key wordsNetworksimulation platform; Network;Information; experimentationInnovation The innovation of this paper is that use virtual network platform quite vividly simulating all of the engineering project designing process of a network. It shows the strong function of network simulation system by realizing the network experimental projects as a platform . 目 录第1章 网络模拟实验系统研究背景- 1 -第2章 网络模拟实验工程需求分析- 2 -2.1 引言- 2 -2.2 项目功能需求- 2 -2.2.1 总公司部局域网间通信功能需求- 2 -2.2.2 总公司与分公司间网络通信功能需求- 3 -2.2.3 总公司与广域网间通信功能需求- 3 -2.2.4 总公司与合作伙伴间通信功能需求- 3 -2.2.5 总公司与出差人员间通信功能需求- 3 -2.3项目技术需求- 4 -2.3.1 总公司部局域网间通信技术需求- 4 -2.3.2 总公司与分公司间网络通信技术需求- 4 -2.3.3 总公司与广域网间通信技术需求- 5 -2.3.4 总公司与合作伙伴间通信技术需求- 6 -2.3.5 总公司与出差人员间通信技术需求- 6 -第3章 网络模拟实验工程技术与原理概述- 7 -3.1网络安全技术- 7 -3.2虚拟网支持- 9 -3.3第三层交换技术- 9 -3.4网络管理和流量监控- 11 -第4章 网络模拟实验工程总体规划- 12 -4.1网络总体拓扑- 12 -4.2项目工程网络规划- 13 -4.2.1总公司部局域网规划- 13 -4.2.2总公司与分公司网络规划- 13 -4.2.3 总公司与广域网间网络规划- 14 -4.2.4 总公司与合作伙伴间网络规划- 15 -4.2.5 总公司与出差人员间网络规划- 15 -第5章 网络模拟实验项目配置概述- 17 -5.1总公司部局域配置- 17 -5.1.1 核心层交换机配置- 17 -5.1.2 DHCP协议配置- 17 -5.2总公司与分公司间网络配置- 18 -5.3总公司接入互联网配置- 20 -5.4总公司与合作伙伴间网络配置- 22 -5.4.1帧中继配置- 22 -5.4.2 帧中继云配置- 23 -5.5出差人员与总公司间VPN配置- 23 -5.5.1 IKE第一阶段- 24 -5.5.2 IKE第二阶段- 24 -5.5.3 感兴趣流与变换集映射- 24 -5.5.4 绑定Map接口- 25 -第6章 网络模拟平台项目实验- 26 -6.1网络模拟系统平台项目实验- 26 -6.1.1 模拟VLAN相互通信实验- 26 -6.1.2 网络模拟DHCP实验- 27 -6.1.3 网络模拟NAT实验- 29 -6.1.4 网络模拟帧中继实验- 30 -6.1.5 网络模拟VPN实验- 32 -感言- 35 -致 - 36 -参考文献- 37 -网络模拟实验系统的设计与实现091007118 同全 指导教师 建辉 副教授第1章 网络模拟实验系统研究背景随着计算机网络通信技术和多媒体技术的快速发展，信息时代的学习、生活方式都发生了重大变革。作为培养和提高学生动手实践能力、观察能力、分析问题和解决问题能力等方面有着先天优势的实验教学是高校教育改革的关键问题之一。目前，我国传统实验教学环节不足、实验资源不均衡，学生创新能力不足，模拟实验教学环境研究与建设有利于解决当前实验教学中存在的问题。因此，对于模拟实验教学环境的研究已经成为当前教育研究一个新热点，分析其原因是主要信息技术的蓬勃发展已经使部分模拟实验环境的设计与开发成为现实，并在一定的理论指导下应用于实践，使各类模拟实验室建设成为可能。模拟实验降低了实验室建设成本，缓解了由于财政压力给实验实训教学环节带来的不利影响，有利于学生实践操作能力的培养。我国的网络模拟实验系统的研究起步较晚，但是发展速度较快。根据目前从网上可查到的信息和各院校开放的对外服务看，国部分高校已陆续建立了网络模拟实验系统。本文介绍了通过应用Packet Tracer软件搭建网络模拟工程项目规划、设计的平台，竟而比较具体的展示了网络模拟系统的功能。第2章 网络模拟实验工程需求分析2.1 引言近年来我国网络通信服务行业总体发展呈快速上升趋势，其总体规模不断增大，业务收入也不断在稳步提升。根据工信部相关数据表明，2011年网络通信行业共完成网络通信总量达12,964.6亿元，同比增长10.1%；实现网络通信业务收入10,762亿元，同比增长8.0%，呈现相对较快的发展态势。网络通信业务量的增长带来了网络工程服务市场规模的高速发展。 网络工程服务行业前景如此广阔，发展速度十分迅猛，日后必将称为我国重要的支柱产业之一。本论文详细地描述了网络服务行业关于网络工程的规划与设计，并根据网络市场的需求，比较系统地设计了关于国一些中小型企业部局域网以与其接入广域网的总体规划方案。以下是应用网络模拟系统平台来设计、实现该网络工程项目的方案。在网络工程设计中体现网络模拟平台的功能。2.2 项目功能需求2.2.1 总公司部局域网间通信功能需求1.为了方便管理，总公司部要进行模块化划分主要分为：销售部、研发部、后勤部以与保安部，为了方便工作，各部门之间要实现相互通信。 2.为了方便公司增添新设备的配置，各部门可以自动获得IP地址，为了减轻总公司路由器的负荷，保安部的IP地址，由分公司路由器提供进行自动分配。 3.网管中心可以远程对公司核心层交换机进行控制和管理。2.2.2 总公司与分公司间网络通信功能需求 1.由于总公司与分公司相距比较远，为了公司部的资源安全，它们相互通信的链路需要认证、加密。 2.为了部资源的安全，总公司后勤部只能访问分公司服务器的 服务。2.2.3 总公司与广域网间通信功能需求1.总公司部需要与互联网连通，由于保安部与后勤部只处理总公司部一些生活上的事务，禁止保安部与后勤部访问互联网上资源。 2.为了方便公司接入互联网，公司边缘路由器接入互联网的端口可以由网通供应商自动为其分配IP地址。2.2.4 总公司与合作伙伴间通信功能需求 总公司与其合作伙伴之间在广域网上进行互相通信，在通信时希望获得低网络时延、低设备费用、高带宽利用率以与点对点通信等优势。2.2.5 总公司与出差人员间通信功能需求 公司部人员在出差时，也能访问到总公司部的服务器，以获得公司的相关信息，方便自己在外办公。2.3项目技术需求2.3.1 总公司部局域网间通信技术需求 1.为了实现总公司模块化管理，将总公司分为四个部门，即销售部、研发部、后勤部、保安部，每一个部门划分为一个VLAN；各VLAN间实现相互通信的功能。本设计使用三层路由交换技术方便、简单的实现了该功能，因为三层交换机，既拥有二层交换机划分不同VLAN的功能，而且拥有路由的功能，能够使得不通VLAN间相互通信。 2.为了方便各部门设备的网络配置，这里应用了DHCP（动态主机设置协议）协议，当某个部门增添新设备后，不需要网络管理员手动设置，该设备就能自动获得IP地址，实现网络通信，而且DHCP避免了手动配置IP出现的不同设备IP地址重复的问题。 3.运用远程登录（TELNET）控制技术来实现网管中心对总公司核心层交换机的控制，网管中心远程控制核心层交换机而实现对总公司部局域网的控制。2.3.2 总公司与分公司间网络通信技术需求 1.本设计应用了OSPF（开放式最短路径优先）协议，实现了公司与分公司之间网络通信，为了总公司与分公司的通信安全，它们之间网络通信的链路封装了PPP协议，且PPP协议采用chap认证机制。 2.为实现减轻总公司网络负担的功能，分公司核心路由器为为总公司的保安部动态提供IP地址，由于总公司保安部设备和其DHCP服务器不在同一广播域，因此需要中间路由器，作为中继来实现这一功能，这里应用了DHCP+IP Helper-address技术来实现。 3.分公司为了自己部信息的安全，仅允许总公司后勤部的设备以 的方式访问其服务器，这里应用了ACL技术，仅允许后勤部网段通过80端口访问服务器，来实现这一功能。2.3.3 总公司与广域网间通信技术需求 1.由于公司部网络需要接入广域网，而公司部网络使用的是部私有的IP地址，而私有的网络是不可以与广域网上的设备直接相通信的，因此公司部网络与广域网通信时，需要将私有的IP地址转换为公有的IP地址，才能实现公司专用网与广域网的连通，这里应用了NAT（网络地址转换）技术实现了这一功能。 2.网络通信中，为实现禁止保安部与后勤部访问互联网上资源的功能，需要应用ACL（访问控制列表）技术，它可以过滤网络中的流量，允许控制列表中的网络设备（根据其IP地址）与外网之间实现通信，而阻止其他设备与外网相互通信。 3.网络提供商（网通）为总公司边缘路由器（用于连接广域网）与外网连接的端口提供IP地址，为了方便总公司与网络提供商的网络配置，这里网通路由器开启DHCP协议，使得缘路由器与外网连接的端口可以自动获得IP地址。2.3.4 总公司与合作伙伴间通信技术需求 为实现总公司与其合作伙伴的高质量的点对点通信，在他们之间建立了高性能的虚拟广域网连接，这里应用了帧中继技术，并在其上封装了点对点协议。2.3.5 总公司与出差人员间通信技术需求 为了方便公司员工在外地办公时，依然能够访问总公司的服务器，本设计应用了VPN（虚拟专用网络）来实现这一功能。第3章 网络模拟实验工程技术与原理概述3.1网络安全技术 网络系统对网络通信的安全性有着十分高的要求。虽然计算机系统本身具有一定的安防措施，但是网络系统的安全防仍然是整个网络系统安全性中一道重要的关卡。 局域网的交换机应当能够对公司部网络进行虚拟网划分和链路层网络管理，把实际地理位置上分散而逻辑上紧密相关的站点划入同一虚拟网，从而实现不相关网络的逻辑隔离是网络安全性的重要保证。因此，我们在网络方案施工过程中选用的网络设备应该具有包括物理层、网络层、应用层等多个层次实现安全管理的能力，从而避免发生在同一虚拟网以与虚拟网之间互联点上的非法侵犯。本网络工程方案涉与到的网络通信安全协议与数据加密技术有：1. 总公司部局域网与分公司网络连接链路采用PPP封装CHAP认证机制协议。CHAP协议是PPP（点对点协议）询问握手认证协议。它对对端身份的校验是通过三次握手机制周期性的检验，其完成是在链路建立初期。通过不断增长变化的标识符和可变的询问数值结果，可避免来自恶意端点的欺骗性攻击。从而保证了总公司与分公司之间网络通信的安全性。2. 在总公司接入互联网，总公司与分公司以与总公司与出差人员之间的通信中都应用到了访问控制列表（Access Control List，ACL）网络安全技术。ACL是交换机与路由器接口的指令表，用来对相关端口数据包的进出进行控制。ACL可以用于所有的路由协议，例如AppleTalk、IP等。相关的匹配关系、条件和查询语句都包含在这表中，表是一种基本框架结构，它的作用是控制某种网络资源访问。为了确保公司部网络的安全性，需要通过相关安全机制来保证没有授权的用户只能访问特定的网络资源，从而实现对访问进行控制的功能。ACL还可以过滤网络通信过程中的流量，这是一种控制访问的网络技术手段。应用ACL技术给公司不同部门设置不同的网络访问权限更加有效的保证了公司部资料的安全性。 3.在总公司与出差人员之间VPN通信中应用到网络安全协议以与网络安全机制相关算法有：IKE协议、IPSec协议、3DES加密算法、MD5算法。 IKE协议是因特网密钥交换协议，它能够解决在复杂的网络环境中十分安全地建立或更新共享密钥的问题。这是一种混合型协议，主要是由密钥管理协议（ISAKMP）和Internet安全关联以与SKEME与OAKLEY两种密钥交换协议构成。IKE创建在由ISAKMP定义的框架上，使用了密钥更新和SKEME的共享技术以与OAKLEY的密钥交换模式。 IPSec全称是Internet协议安全性（Internet Protocol Security），它通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行而安全的通讯，而且是一种开放标准的框架结构。它为了防止Internet与专用网络的攻击，采用端对端的安全性来提供对主动的保护。在通信过程中，只有收发两方才能而且必须了解 IPSec 保护的计算机。 3DES是三重数据加密算法（TDEA，Triple Data Encryption Algorithm）块密码的统称。它的本质就是将DES加密算法分别三次应用于每个要发送的数据块，使用的是对称密钥加密法算法。它是DES向AES过渡的加密算法，相对于DES，3DES的加密安全性更加可靠，以DES为基本模块，通过组合分组方法设计出分组加密算法。 MD5是一种散列函数，它广泛应用于计算机安全领域，它的功能是提供消息的完整性保护，它的作用是让大容量信息在用数字签名软件签署私人密钥前被压缩成一种的格式。3.2虚拟网支持 计算机网络系统采用现代交换原理，它促使虚拟网技术的应用在全球围快速猛增。按照网络区域的不同分布对全网实施虚拟网划分，这是提高网络安全性、增强网络性能、加强网络管理、隔离网络故障的有效措施。 但是如果虚拟网的应用仅仅局限于局部网络或单个交换机部，经过网络划分后，整个网络工程系统将成为一块块支离破碎的盲区。所以总公司选用的网络核心层交换机应具备跨越分支和主干自由地在全网围进行划分虚拟网的功能，而且所有网络设备的虚拟网划分功能应当基于IEEE 802.1Q这个统一的标准。3.3第三层交换技术 网络通信中的大部分数据流量不再局限于各子网部，这是Internet/Intranet的相关计算方式对各公司广域网计算机网络系统的另一个重大考验。网络通信大多是跨越子网边界访问，它对网络中相关设备处理子网间路由的能力要求非常高。传统路由器以软件方式进行路由操作，这种操作方式产生的传输延迟是交换机产生的几十倍，而且当网络负载变化时，延迟时间会随之有很大变化，这很不利于多媒体的传输；由于采用价格昂贵的高性能处理器和大量高速存而导致性能价格比非常低，无法进一步对吞吐量进行提高。 如今局域网主干上增加了许多的路由任务，以往路由器的吞吐量已经不能满足当前的网络需求，而过大的延迟又不能适应语音通信、多媒体视频的服务质量需求，使用具有网络层功能的交换机替代路由器实现低延迟、大容量的路由即第三层交换已势在必行。各公司广域网应选用具有硬件实现的第三层交换能力的网络交换机（本设计选用的是3560-24ps型三层交换机）用来满足不断增长的子网间通信需求，同时实现多媒体通信所要求的低延迟和延迟量的稳定性。为了使网络服务更好地支持不同应用的服务质量需求，应当考虑采用能够根据不同应用区别处理的具有应用认知功能的缓存设备和具有第四层智能的第二代多层交换机作为网络主干设备，从而更有效地利用宝贵的网络资源。 Internet/Intranet计算是网络计算进一步发展的总体趋势，它需要适应应用技术发展的需求，这不仅要求主干交换机，而且配线间工作组交换机也应选择具备第三层交换能力的设备，这样可以在需要时分担主干交换机的负载，更加有效地利用有限的主干带宽。 我们在强调网络第三层交换功能的同时，以前的第二层交换技术也不能被忽视，主干和分支交换机都应当能够在支持多层交换的同时支持我们可能需要的各种第二层交换技术，如快速以太网、ATM、FDDI、千兆以太网等。3.4网络管理和流量监控 计算机网络系统是全球各公司广域网智能系统的神经中枢，它的运行状态应该得到全面的管理和监控。OSI对网络管理功能提出了性能管理、配置管理、安全管理、错误管理、记帐管理等五大要求，以此为基础，该网络管理系统应当选用基于工业标准的简单网络管理协议（SNMP）的开放式管理平台，而且需要配合专用的网络管理应用作为网管系统的设计框架。网管系统应支持设备的配置和监视、网络故障的监测、网络拓扑自动发现和报告等功能，而且能够提供简单方便的图形用户接口。 第三章介绍了网络模拟工程施工过程中需要应用到的网络技术与其相关原理，其中重点介绍了网络安全应用技术。下面的第四章就是要对整个网络模拟工程的施工进行详细的说明。第4章 网络模拟实验工程总体规划4.1网络总体拓扑本网络工程方案的设计划分为五个模块，分别为：1. 总公司部局域网网络拓扑设计；2. 总公司与分公司之间ppp+chap网络拓扑设计；3. 总公司部局域网接入广域网拓扑设计；4. 总公司与合作伙伴间广域网上帧中继通信网络拓扑设计；5. 总公司与公司出差人员间VPN网络通信拓扑设计。网络总体布局拓扑,如图4-1：图4-1 网络工程总体拓扑图4.2项目工程网络规划4.2.1总公司部局域网规划1.在总公司核心交换机上创建四个VLAN:VLAN 2,VLAN 3,VLAN 4,VLAN 8,分别分配给公司部，销售部、研发部、后勤部、保安部，将公司划分为四个网段，便于管理； 2.各VLAN之间互相通信，由于公司各部门一些特殊的设备需要设置静态IP，所以设需要留地址围是：192.168.2.1 - 20 ， 192.168.3.1 - 30 ， 192.168.4.1 - 40；3.在核心层交换机上配置TELNET，网管中心对公司部局域网进行远程控制管理。4.2.2总公司与分公司网络规划1. 总公司与分公司之间PPP连接需封装CHAP认证，认证密码设为：123；2. 总公司与分公司之间应用OSPF技术实现网络连接。OSPF路由协议的相关配置过程有如下几个步骤：（1） 在相关路由器或三层交换上指定使用ospf协议，协议ID为10;（2） 在不同型号的路由设备上设置其路由ID；（3） 指定与路由器相连的网络，区域号设置为0。3. 分公司核心路由器为总公司保安部提供动态IP,其IP地址围是：192.168.8.2 - 192.168.8.254； 4.在总公司核心层交换机上应用ACL技术，仅允许后勤部网段的80端口可以访问分公司服务器。4.2.3 总公司与广域网间网络规划1. 应用了NAT技术，将公司部私有的IP地址转换为公有的IP地址，使得公司部网络接入广域网。该NAT的配置大致可分为以下步骤：（1） 在边缘路由器和ISP路由器上配置访问控制链表，用以规定允许访问广域网IP围；（2） 将访问控制链表与相应的路由端口映射在一起；（3） 指定NAT网络部和外部接口，用以确定NAT网络数据的流向。2.网络通信设置中，应用ACL技术，过滤网络中的流量，实现禁止保安部与后勤部访问互联网上资源的功能。3.网络提供商设置DHCP协议，使得缘路由器与外网连接的端口可以自动获得IP地址。DHCP协议的配置主要有以下步骤: （1）设定DHCP协议IP地址池； （2）定义DHCP网络地址，即一个网段，所有该网段的网络设备只能获得规定的该网段的IP地址； （3）配置该网段的网关； （4）给该网段配置DNS； （5）除去某些预留的IP地址段，网段设备启动DHCP协议获取IP地址时，不能获取该段的IP地址。4.2.4 总公司与合作伙伴间网络规划 总公司与其合作伙伴间采用点对点通信并结合帧中继技术，其网络设计主要分为以下步骤:（1） 在相关路由器广域网端口上封装帧中继协议；（2） 在上述物理端口上建立虚拟子接口，设置其为point-to-point类型，并为其配置相应IP地址；（3） 给子接口配置DLCI值并建立对端协议地址与本地DLCI的映射关系；（4） 配置帧中继中云相关端口,指定数据流流向的端口，从而实现点对点通信的链路连接。4.2.5 总公司与出差人员间网络规划总公司与在外出员工间采用VPN技术，实现出差人员能够访问总公司的服务器功能。在VPN设计中，主要做以下工作:1. IKE（Internet密钥交换）协议设置： （1）分别对通信两端建立isakmp策略并且采用3des加密协议；（2）哈希采用md5算法验证，双方采用欲共享密钥认证方式； （3）对通道进行加密，并设置对端IP地址； （4）为了增强数据传输中的安全性，创建变换集，采用esp-3des和 esp-md5-hmac算法。.应用ACL技术定义感兴趣流，确定通信双方数据的流向。.通过创建加密图将感兴趣流与变换集映射在一起，从而确定了受保护的数据流。.将加密图绑定在对应的端口上。 以上比较详细的介绍了整个模拟网络项目工程总体规划以与其中比较重要的网络技术或协议的设计流程，接下来是整个模拟网络工程拓扑的配置。第5章 网络模拟实验项目配置概述5.1总公司部局域配置5.1.1 核心层交换机配置在核心层交换机上配置:VLAN2、VLAN3、VLAN4、VLAN8四个虚拟局网段分别分配给：销售部、研发部、后勤部与保安部。配置命令如下：1.创建虚拟局域网：Sw-35(config)#vlan 2Sw-35(config-vlan)#vlan 3Sw-35(config-vlan)#vlan 4Sw-35(config-vlan)#vlan 8Sw-35(config-vlan)#exit2.将核心层交换机f0/2、f0/3、f0/4、f0/8端口分别接入到四个局域网中，而且这四个端口分别连接到四个部门的接入层交换机上，这里仅列出一个端口的配置，其他端口配置与此相似：Sw-35(config)#int f0/2Sw-35(config-if)#switchport access vlan 2Sw-35(config-if)#switchport mode access 5.1.2 DHCP协议配置1.创建三个IP DHCP地址池分别命名为：xsb,yfb,hqb分别分配给销售部、研发部、后勤部，其中之一配置为：Sw-35(config)#ip dhcp pool xsbSw-35(dhcp-config)#net 192.168.2.0 255.255.255.0Sw-35(dhcp-config)#default-router 192.168.2.1 Sw-35(dhcp-config)#dns 2.2.2.2 2.保留一定围的IP地址，其相关配置是：Sw-35(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.20Sw-35(config)#ip dhcp excluded-address 192.168.3.1 192.168.3.30Sw-35(config)#ip dhcp excluded-address 192.168.4.1 192.168.4.40 3.定义VLAN子接口，各部门的计算机可以自动获得IP：Sw-35(config-if)#int vlan 2Sw-35(config-if)#ip add 192.168.2.1 255.255.255.0Sw-35(config-if)#int vlan 3Sw-35(config-if)#ip add 192.168.3.1 255.255.255.0Sw-35(config-if)#int vlan 4Sw-35(config-if)#ip add 192.168.4.1 255.255.255.0 4.三层交换机上要实现各VLAN间的通信，需要开启路由功能，其命令是：Sw-35(config)#ip routing 5.网管中心对总公司核心层交换机进行控制和管理命令：Sw-35(config)#line vty 0 15Sw-35(config-line)#pass 123Sw-35(config)#enable pass 456Sw-35(config)#ip default-gateway 192.168.1.1Sw-35(config)#int f0/1 Sw-35(config-if)#ip add 192.168.1.1 255.255.255.05.2总公司与分公司间网络配置1.配置总公司与分公司实现网络连通相关端口：R1(config)#int f0/0R1(config-if)#no shutR1(config-if)#ip add 192.168.6.2 255.255.255.0R1(config)#int s1/0R1(config-if)#no shutR1(config-if)#ip add 192.168.7.1 255.255.255.02.配置OSPF路由协议实现总公司与分公司间相互通信，其中配置核心层交换机、路由器R1、R2的路由ID分别为：3.5.6.0、1.1.1.1、2.2.2.2，其中仅列出了核心层交换机上OSPF的配置：Sw-35(config-if)#int f0/6Sw-35(config-if)#no switchport Sw-35(config-if)#ip add 192.168.6.1 255.255.255.0Sw-35(config)#router ospf 10Sw-35(config-router)#router-id 3.5.6.0Sw-35(config-router)#net 192.168.0.0 0.0.255.255 a 03.为减轻总公司的负担分公司提供DHCP中继服务地址池 192.168.8.1- 254，为保安部提供动态IP:R2(config)#ip dhcp pool babR2(dhcp-config)#net 192.168.8.0 255.255.255.0R2(dhcp-config)#default-router 192.168.8.1R2(dhcp-config)#dns 8.8.8.8 4.需要在核心层交换机上给VLAN 8 配置IP，由于DHCP服务器与保安部设备不在同一广播域，需要应用IP Helper-address技术来实现为保安部提供动态IP的功能：Sw-35(config)#int vlan 8Sw-35(config-if)#ip add 192.168.8.1 255.255.255.0Sw-35(config-if)#ip helper-address 192.168.7.2 5.在R1与R2之间封装PPP协议，并且建立chap认证安全机制，认证密码为123，这里仅说明了R1的配置，R2配置与此相似：R1(config)#int s1/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap R1(config-if)#exitR1(config)#username R2 pass 1236.后勤部只能访问分公司服务器的 服务，其他部门不受此限制，实现此功能需要应用ACL技术，断开192.168.4.0网段与分公司服务器TCP连接（除80端口外）:Sw-35(config)#access-list 100 deny tcp 192.168.4.0 0.0.0.255 host 192.168.10.10 neq 80 Sw-35(config)#access-list 100 permit ip any anySw-35(config)#int f0/6Sw-35(config-if)#ip access-group 100 out5.3总公司接入互联网配置 1.为实现总公司与互联网的，核心层交换机f0/5端口作为与外部网络连接的接口，其配置：Sw-35(config-if)#int f0/5Sw-35(config-if)#no swSw-35(config-if)#ip add 192.168.5.1 255.255.255.0 2.边缘路由器是连接总公司与广域网的路由器，其f0/0端口配置IP： bound(config)#int f0/0bound(config-if)#ip add 192.168.5.2 255.255.255.03.网络供应商（网通）路由器ISP与总公司边缘路由相连接，将公司局域网连接到广域网上:ISP(config)#int f0/0ISP(config-if)#ip add 172.16.1.1 255.255.255.0ISP(config-if)#no shutISP(config)#int s1/0ISP(config-if)#ip add 200.1.1.1 255.255.255.0ISP(config-if)#no shut4.在ISP上配置DHCP为边缘路由器的f0/1端口提供动态IP:ISP(config)#ip dhcp pool boundISP(dhcp-config)#net 172.16.1.0 255.255.255.0ISP(dhcp-config)#de 172.16.1.1ISP(dhcp-config)#dns 222.2.2.25.打开边缘路由器的f0/1端口，并设置其从DHCP获得IP:bound(config)#int f0/1bound(config-if)#no shutbound(config-if)#ip add dhcp 6.配置INTERNET，在其上设置环回口lo1,模拟公司部局域网可以与互联网相连通：Internet(config)#int s1/0Internet(config-if)#no shutInternet(config-if)#ip add 200.1.1.10 255.255.255.0Internet(config-if)#clock rat 64000Internet(config-if)#int lo1Internet(config-if)#ip add 222.2.2.2 255.255.255.0 7.在边缘路由器上配置ospf协议,实现公司局域网与便于路由器的连接，为公司局域网接入广域网作中继：bound(config)#router ospf 10bound(config-router)#router-id 3.3.3.3bound(config-router)#net 192.168.5.0 0.0.0.255 a 0 8.为了公司部局域网的安全，配置单向路由阻止外部网络访问公司部资源：Sw-35(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.2 9.在ISP上执行NAT转换，允许销售部、研发部接入INTERNET(后勤部、保安部除外):在边缘路由器上配置访问控制列表10，允许销售部、研发部接入：bound(config)#access-list 10 permit 192.168.3.0 0.0.0.255bound(config)#access-list 10 permit 192.168.2.0 0.0.0.255bound(config)#ip nat inside source list 10 int f0/1 overload bound(config)#int f0/1bound(config-if)#ip nat outside bound(config-if)#int f0/0bound(config-if)#ip nat inside 在ISP路由器上配置访问控制列表20，允许销售部、研发部接入互联网：ISP(config)#access-list 20 permit 172.16.1.0 0.0.0.255ISP(config)#ip nat inside source list 20 int s1/0 overload ISP(config)#int s1/0ISP(config-if)#ip nat outside ISP(config-if)#int f0/0ISP(config-if)#ip nat inside ISP(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.105.4总公司与合作伙伴间网络配置5.4.1帧中继配置 1.总公司核心路由器R1与合作伙伴相连接的端口配置：R1(config)#int s1/1R1(config-if)#ip add 192.168.9.1 255.255.255.0R1(config-if)#no shut2. 总公司与合作伙伴1、2封装帧中继并配置点对点协议，这里仅列出了其与合作伙伴1连接的命令,其他合作伙伴配置命令与此相似： 连接端口的配置：R6(config)#int f0/0R6(config-if)#no shutR6(config-if)#ip add 171.17.1.1 255.255.255.0在物理端口（广域网端口s0/1/0）封装帧中继协议:R6(config-if)#int s0/1/0 R6(config-if)#no shutR6config-if)#clock rate 64000R6(config-if)#encapsulation frame-relay 在物理端口上建立子接口，并指定接口类型:point-to-point，并配置IP地址：R6(config-if)#int s0/1/0.1 point-to-pointR6(config-subif)#ip add 10.1.1.2 255.255.255.0给子接口配置DLCI值:R6(config-subif)#frame-relay interface-dlci 30 建立对端协议地址与本地DLCI的映射关系:R6(config-subif)#description link to R5 dlic 20 应用OSPF协议实现总公司与合作伙伴帧中继分装PPP的连接:R6(config)#router ospf 10R6(config-router)#router-id 5.5.5.5R6(config-router)#net 10.1.0.0 0.0.255.255 a 0R6(config-router)#net 171.17.0.0 0.0.255.255 a 05.4.2 帧中继云配置配置帧中继中云相关端口,指定数据流流向的端口，从而实现点对点通信的链路连接，该端口配置如图5-1：图5-1帧中继云端口配置图5.5出差人员与总公司间VPN配置 总公司核心路由器R1建立VPN相关端口配置：R1(config)#int f0/1R1(config-if)#no shutR1(config-if)#int s1/2R1(config-if)#no shutR1(config-if)#ip add 202.1.1.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)#int f0/1R1(config-if)#ip add 192.168.20.1 255.255.255.0R1(config-if)#exit5.5.1 IKE第一阶段 IKE配置： 1.建立isakmp策略10: R1(config)#crypto isakmp policy 10 2.采用3des加密: R1(config-isakmp)#encryption 3des 3.哈希采用md5验证: R1(config-isakmp)#hash md5 4.采用欲共享密钥认证方式: R1(config-isakmp)#authentication pre-share R1(config-isakmp)#exit 5.对通道进行加密，并设置对端IP地址: R1(config)#crypto isakmp key 123abc add 101.1.1.2 5.5.2 IKE第二阶段 1.创建变换集sset，后面两项为加密传输的算法: R1(config)#crypto ipsec transform-set sset esp-3des esp-md5-hmac 2.定义感兴趣流： R1(config)#access-list 110 permit ip 192.168.20.0 0.0.0.255 192.168.11.0 0.0.0.2555.5.3 感兴趣流与变换集映射 1.创建加密图123abc 序号10: R1(config)#crypto map 123abc 10 ipsec-isakmp 2.VPN隧道对端的IP地址: R1(config-crypto-map)#set peer 101.1.1.2 3.使用上面创建的变换集: R1(config-crypto-map)#set transform-set sset 4.定义进行加密传输的数据,与第一步对应引入访问列表确定 受保护的数据流: R1(config-crypto-map)#match address 110 R1(config-crypto-map)#exit5.5.4 绑定Map接口 R1(config)#int s1/2 R1(config-if)#crypto map 123abc R1(config-if)#exit R1(config)#ip route 0.0.0.0 0.0.0.0 202.1.1.2第五章主要介绍了整个模拟网络工程的详细配置过程，接下来的第六章是在网络模拟平台上进行网络模拟项目实验，从而展示其网络模拟功能。第6章 网络模拟平台项目实验 前五章基于Packet Tracer软件将网络模拟系统工程平台已经搭建完毕，本章主要介绍基于本系统来实现相关的网络模拟项目实验。6.1网络模拟系统平台项目实验6.1.1 模拟VLAN相互通信实验1.实验目的（1）理解VLAN的原理与功能；（2）掌握不同VLAN间通信原理；（3）掌握VLAN的配置，实现局域网VLAN间的通信。2.技术优点（1）控制网络广播风暴，VLAN是基于交换式以太网数据链路层网络技术，它能够将部局域网根据交换机端口划分成一个个逻辑上相互独立的网段，从而有效的控制了网络广播风暴。（2）确保网络安全，以上划分的网段间是不能直接相互通信的需要借助第三层网络路由功能才能实现相互通信，因此VLAN能限制用户对相关网络的访问，从而保证了网络的安全性。（3）简化网络管理，网络管理员能应用VLAN技术方便管理整个网络，将不同地理位置的网络终端划分在同一VLAN中，实施统一高效的控制管理。3.网络拓扑结构如图6-1所示。图6-1 VLAN实验拓扑图 4. 本实验是基于三层交换机来配置VLAN，并实现VLAN间的通信，其主要配置步骤如下：（1） 进入vlandatabase模式，在该模式下设置不同的VLAN；（2） 进入相关端口配置模式，并配置该端口为access模式；（3） 把相关的端口划分到对应VLAN中；（4） 进入相关VLAN配置模式，为其设置IP，即该网段网关；（5） 在三层交换机上启动ip routing命令，实现VLAN间网络通信。 该实验基于本网络模拟系统，配置模拟完成了VLAN的设置与不同VLAN间相互通信的实验项目。6.1.2 网络模拟DHCP实验1.实验目的（1）理解DHCP的原理与功能；（2）掌握DHCP的配置过程。2.技术优点（1）安全可靠性高，在网络层设备上设置DHCP协议，终端设备就能自动获得IP地址，避免了手动配置IP出现的不同设备IP地址冲突与配置出错的问题。 （2）减轻管理员IP设置的工作负担，应用DHCP协议技术减少了网络配置的时间，终端设备的IP地址自动获得，不需管理员逐一配置。 3.网络拓扑结构与图6-1一样。 4.本项实验是基于三层交换机的路由功能来实现DHCP协议的配置，其主要配置步骤如下：（1）设定DHCP协议IP地址池； （2）定义DHCP网络地址，即一个网段，所有该网段的网络设备只能获得规定的该网段的IP地址； （3）配置该网段的网关； （4）给该网段配置DNS； （5）除去某些预留的IP地址段，网段设备启动DHCP协议获取IP地址时，不可以获取该段的IP地址。 该实验基于本网络模拟系统，模拟完成了DHCP协议的配置以与网段终端设备能够自动获得IP地址功能的项目实验。6.1.3 网络模拟NAT实验1. 实验目的（1）理解NAT的原理与功能；（2）掌握NAT的配置；（3）实现应用NAT技术访问广域网资源功能。 2.技术优点（1）IP地址转换，NAT技术可以实现私有IP地址与公有IP地址的转换，从而实现部局域网与广域网之间的网络连通。（2）减缓可用IP地址空间的枯竭，使用NAT技术，不同局域网部可使用一样的IP地址，当部局域网与广域网通信时，NAT实现局域网部与广域网IP地址的