1、摘要鑫鑫电子商务公司总部位于北京,分公司刚刚成立。该分公司有销售部、产品部、财务部、技术部等部门;根据公司要求,为各个部门分配合适的IP地址段,做到无冲突,尽可能的节省IP地址。通过路由器NAT技术实现Internet的访问;构建相应的服务器,实现公司内部文件的共享;在核心交换机开启DHCP服务,为产品部自动分配IP地址;禁用远程桌面服务,屏蔽病毒和木马常利用的一些端口;选用H3C作为网络设备,为该公司做出一套合理的工程方案。涉及项目需求分析,整体网络拓扑图规划,工程实施方案,相关技术应用,最后调试实现。关键字:NAT技术 VLAN TELNET ACL DHCP目录第一章 概述- 1 -11
2、 计算机网络的发展- 1 -12 选题的背景- 1 -13 实现的成果和意义- 1 -第二章 项目工程介绍- 3 -21 项目背景介绍- 3 -22 项目设计目标- 3 -23 项目设备介绍- 4 -第三章 项目需求分析- 5 -31 总体需求- 5 -32 功能需求- 5 -第四章 项目工程实施- 6 -41 网络拓朴图- 6 -42 IP地址规划- 6 -421 部门IP地址规划- 6 -422 设备接口IP地址规划- 7 -423 部门VLAN分配- 7 -43 核心交换机DHCP服务- 7 -44 远程登录“Telnet”服务- 8 -45 Windows2003服务器- 9 -451
3、 FTP服务器- 9 -452 DNS服务器安装- 10 -46 NAT技术应用- 11 -47外网安全- 12 -第五章 项目工程测试- 14 -51 DHCP服务测试- 14 -52 Telnet远程登录测试- 14 -53 Internet访问测试- 16 -54 Windows2003服务器测试- 17 -5.4.1 FTP文件共享测试截图- 17 -542 WWW服务测试- 18 -第六章 总结- 19 -61 项目工程经验教训- 19 -62 项目工程有待提高之处- 19 -参考文献- 20 -致谢- 21 -附录- 22 -1、H3C S3610交换机命令清单- 22 -2、le
4、novo R1760路由器命令清单- 26 -3、Cisco 2600路由器命令清单- 27 -沧州职业技术学院毕业设计第一章 概述11 计算机网络的发展计算机网络的发展,从最早的远程终端联机阶段到现在的综合性信息高速网络阶段,经历了一个从简单到复杂,从低级到高级的发展过程。计算机网络的发展离不开所需的网络设备,无论是局域网还是广域网,都是由各种路由器和交换机互相连接而成的。将这些通信设备和传输线路的有机结合就形了网络!随着计算机和网络技术的迅猛发展,计算机网络及应用已渗透到社会各个领域,各行各业都处在全面网络化和信息化建设进程中。现在以因特网(Internet)为代表的计算机网络的飞速发展,
5、计算机网络正日益影响和改变着人们的生活方式、工作方式、和学习方式。现在人们的生活、工作、学习和交往都已离不开计算机网络。计算机网络的发展最终目标就是全球数字化,真正实现电视网、电话网、和计算机网络等网络的互联互通,并建成全球化的信息高速公路。并通过计算机网络就可以使任何地点的任何人,在任何时间将任何信息(文本、声音、图像、影视等)传递给在任何地点的任何人。12 选题的背景本课题来自于网络工程实际应用,本论文以网络工程为实例,讲解了如何用H3C设备构建基本接入网。网络技术领域中,网络设备的种类繁多,且与日俱增。主流设备厂家有Cisco(思科)、HuaWei(华为)、H3C(华三)、锐捷(RuiJ
6、ie) 等,技术相通,各个设备的调试方法略有不同,在这个网络飞速发展的时代,一个企业或者一个公司,很可能用到不同厂家生产的设备,学习不同设备的配置方法是必然的。13 实现的成果和意义合理的划分子网,更大限度的节省了IP,提高了IP地址的利用率。运用DHCP服务实现产品部自动获取IP地址,为新增加的PC减少了手动配置IP地址的麻烦,节约了时间,进一步扩充更加方便。为所有网络设备开启远程登录功能,只需要有一台可上网的计算机,既可远程对该设备进行配置,维护更加方便,进一步的降低了成本,提高了网络应用效率。运用Win2003服务器,启用FTP服务,使各个部门之间传送文件、共享文件更加安全可靠,进一步的
7、方便了用户。屏蔽了木马常用端口,使内部网络更加安全,稳定。系统设计的指导方针是安全、可靠、具有灵活性和适应性,有便于进一步的扩充。系统设计的技术路线是成熟而不失其先进性的系统设备配置及开发技术,借鉴和吸收其它项目工程的实施方案和经验,设计出更安全可靠的公司网络。第二章 项目工程介绍21 项目背景介绍鑫鑫电子商务分公司,是一家以互联网技术为核心的电子商务运营商。公司主要从事产品开发、产品采购、产品销售与售后。秉承着“让客户满意,为客户赢利”的宗旨, 预采用先进的网络技术与严谨的管理制度,提高企业的综合竞争能力,加速企业发展,创造更高的价值。该公司现有工作人员计180余人,各主要部门及人数统计情况
8、分别为:产品部:50人,销售部:90人,技术部:20人,财务部:7人,公司内网从总部申请到一个C类网络地址段:192.168.10.0/24,公司外网申请到的IP地址为:10.200.24.100/24,网关为:10.200.24.1,协助该公司完成网络工程方案设计。22 项目设计目标VLAN划分:各个部门分属不同的vlan,为各个vlan分配合适的IP地址段,做到无冲突,尽可能的节省IP地址。访问控制:通过路由NAT技术实现公司内网对外网INTERNET的访问;网络服务:在内网中用win2003服务器,构建FTP及WWW服务;内网安全:财务部与其它几个部门网络隔离,不可互访;网络管理:网络设
9、备均开启“Telnet”服务,以用户名+密码方式验证,H3C设备用户名:huawei密码:huawei.命令执行级别为3级;Cisco设备用户名:cisco密码:cisco;DHCP实现:技术部采用手动配置;在核心交换机上开启DHCP功能,为产品部自动分配IP地址; 外网安全:禁用远程桌面服务,屏蔽病毒和木马常利用的一些端口,如:TCP中135,139,445,539,593,4444,5554,137等,UDP中135,445,539,593,1433,9996,1025等;基于此需求展开设计,选用H3C作为主要网络设备,模拟实现。23 项目设备介绍核心交换机H3CS3610一台、lenov
10、oR1760路由器一台、Cisco2600路由器一台、个人计算机4台、win2003服务器一台、网线若干根、水晶头若干个、压线钳一把。第三章 项目需求分析31 总体需求(1)、保障各部门与各部门这间稳定、可靠、高速的通信。(2)、IP地址规划合理、便于扩充。(3)、系统具备开放、灵活、扩展等特点。(4)、内部网络的安全,外部网络不可访问内部网络。32 功能需求(1)、DHCP服务,为产品部自动分配IP地址;(2)、FTP服务,资源的共享与访问;(3)、WWW服务,公司网站的对外发布;(4)、DNS服务,解析域名;(5)、Telnet服务,设备开启远程登录功能,维护方便;(6)、Intener访
11、问;第四章 项目工程实施41 网络拓朴图图4-1 电子商务公司网络拓朴图42 IP地址规划421 部门IP地址规划部门IP地址子网掩码网关销售部192.168.10.1-192.168.10.126255.255.255.128192.168.10.1产品部192.168.10.129-192.168.10.190255.255.255.192192.168.10.129技术部192.168.10.193-192.168.10.222255.255.255.224192.168.10.193财务部192.168.10.225-192.168.10.238255.255.255.240192.1
12、68.10.225与R1接口192.168.10.253-192.168.10.254255.255.255.252192.168.10.253表4-1部门IP地址422 设备接口IP地址规划设备型号接口类型IP地址子网掩码H3C S3610E1/0/9(VLAN6)192.168.10.253255.255.255.252Lenovo R1760E0192.168.10.254255.255.255.252Lenovo R1760S0192.168.11.254255.255.255.252Cisco 2600S0/1192.168.11.253255.255.255.252Cisco 26
13、00E0/110.200.24.100255.255.255.0表4-2 接口IP地址423 部门VLAN分配部门VLAN(名称)H3C S3610 接口网关销售部2(xiaoshoubu)E1/0/3、E1/0/4192.168.10.1产品部3(chanpinbu)E1/0/5、E1/0/6192.168.10.129技术部4(jishubu)E1/0/1、E1/0/2192.168.10.193财务部5(caiwubu)E1/0/7、E1/0/8192.168.10.2256(jiekou)E1/0/9192.168.10.253表4-3 部门VLAN43 核心交换机DHCP服务对三层交
14、换机H3C用Console口相联,进行配置。开启DHCP服务(默认是开启的);dhcp enable配置DHCP地址池,使产品部自动获得IP地址;命令如下:dhcp server ip-pool vlan3 network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.129 dns-list 222.222.222.222 expired unlimited配置DHCP一些IP地址不能被自动分配:命令如下: dhcp server forbidden-ip 192.168.10.191 192.168.10.255 dhcp
15、server forbidden-ip 192.168.10.1 192.168.10.130 dhcp server forbidden-ip 192.168.10.12944 远程登录“Telnet”服务对设备开启“Telnet”服务,以用户名+密码方式验证,H3C设备用户名:huawei密码:huawei.命令执行级别为3级;Cisco设备用户名:cisco密码:cisco;H3C S3610配置命令如下:#telnet server enablesuper password level 3 simple huaweilocal-user huaweipassword simple hu
16、aweiservice-type telnet#user-interface vty 0 4authentication-mode schemeuser privilege level 3set authentication password simple huawei#Lenovo R1760配置命令如下:local-user huawei service-type ppp administrator password simple huaweiCisco 2600配置命令如下:enable password ciscousername cisco password 0 cisco!line
17、 vty 0 4password ciscologin local45 Windows2003服务器451 FTP服务器打开信息服务IIS管理器图4-2 IIS管理器选择FTP 右键单击 选择创建FTP站点 出现如下 点击下一步 完成FTP服务的创建;图4-3 FTP站点创建向导452 DNS服务器安装选择要安装的服务,此处选择安装DNS服务器图4-4 配置服务器向导添加相应的主机,和指针记录;图4-5 DNS服务界面46 NAT技术应用在路由器Lenovo R1760和Cisco 2600做NAT完成内网地址的转换Lenono R1760路由器NAT技术命令如下为各端口添加IP地址!inte
18、rface Ethernet0ip address 192.168.10.254 255.255.255.252undo ip fast-forwarding!interface Serial0clock DTECLK1link-protocol pppip address 192.168.11.254 255.255.255.252undo ip fast-forwardingnat outbound 2001 interfacefirewall packet-filter 3000 inbound!定义ACLacl 2001 match-order autorule normal perm
19、it source 192.168.10.0 0.0.0.255!添加默认路由协议ip route-static 0.0.0.0 0.0.0.0 192.168.11.253 preference 60添加静态路由ip route-static 192.168.10.0 255.255.255.0 192.168.10.253 preference 60!Cisco 2600路由器NAT技术命令如下为相应端口添加IP地址;命令如下:interface Ethernet0/0ip address 10.200.24.100 255.255.255.0ip nat outsidefull-dupl
20、ex!interface Serial0/1ip address 192.168.11.253 255.255.255.252ip nat insideencapsulation pppclockrate 800000!定义一个序列号为10的访问列表,允许内部网络号为192.168.10.X和192.168.11.X的所有计算机参于数据交换;命令如下:access-list 10 permit 192.168.11.0 0.0.0.255access-list 10 permit 192.168.10.0 0.0.0.255执行网络地址转换,使符合访问列表10的计算机在路由器出口处将IP地址转
21、换为路由器的外部端口IP地址,并允许多对一的转换;命令如下:ip nat inside source list 10 interface Ethernet0/0 overload添加相应的路由协议;命令如下:ip route 0.0.0.0 0.0.0.0 10.200.24.1ip route 192.168.10.0 255.255.255.0 192.168.11.25447外网安全在Lenovo R1760路由器上做ACL,屏蔽病毒和木马常利用的一些端口,如:TCP中135,139,445,539,593,4444,5554,137等,UDP中135,445,539,593,1433,
22、9996,1025等;配置命令如下:acl 3000 match-order autorule normal deny tcp source any destination any destination-port equal 135rule normal deny tcp source any destination any destination-port equal 139rule normal deny tcp source any destination any destination-port equal 445rule normal deny tcp source any des
23、tination any destination-port equal 539rule normal deny tcp source any destination any destination-port equal 593rule normal deny tcp source any destination any destination-port equal 4444rule normal deny tcp source any destination any destination-port equal 5554rule normal deny tcp source any desti
24、nation any destination-port equal 137rule normal deny udp source any destination any destination-port equal 135rule normal deny udp source any destination any destination-port equal 445rule normal deny udp source any destination any destination-port equal 539rule normal deny udp source any destinati
25、on any destination-port equal 593rule normal deny udp source any destination any destination-port equal 1433rule normal deny udp source any destination any destination-port equal 9996rule normal deny udp source any destination any destination-port equal 1025rule normal permit ip source any destinati
26、on any应用到外部端口上;命令如下:interface Serial0clock DTECLK1link-protocol pppip address 192.168.11.254 255.255.255.252undo ip fast-forwardingnat outbound 2001 interfacefirewall packet-filter 3000 inbound第五章 项目工程测试51 DHCP服务测试在H3C三层交换机S3610上开启DHCP服务,为产品部门自动分配IP地址,产品部门用户获取IP地址后截图如下:图5-1 产品部自动获取IP地址52 Telnet远程登录测
27、试网络设备开启Telnet服务,以用户名加密码的方式验证。H3C S3610 技术部Telnet到H3C S3610交换机截图如下:图5-2 Telnet到H3CS3610交换机Lenovo R1760 技术部Telnet到lenovo R1760 路由器截图如下:图5-3 Telnet到lenovoR1760路由器Cisco 2600 技术部Telnet到Cisco 2600路由器截图如下:图5-4 Telnet到Cisco2600路由器53 Internet访问测试财务部tracert 到222.222.222.222截图如下:图5-5 财务部外网访问测试销售部tracert到222.22
28、2.222.222截图如下:图5-6 销售部外网访问测试54 Windows2003服务器测试5.4.1 FTP文件共享测试截图图5-7 FTP服务测试542 WWW服务测试图5-8 WWW服务测试第六章 总结61 项目工程经验教训一个月的时间很快,我们所做的项目工程也收工了。我们的项目是基于H3C设备摸拟某公司构建基本接入网,这个项目工程结合了所学过的部分知识,运用水平有限的技术,完成对公司内外网的安全,DHCP服务,实现Internet的稳定访问等。谈起这个项目工程的经验与教训,“万事开头难”接触新的设备,就像面对新的环境,开始很难了解,后来越来越熟。华三设备于思科设备命令的不同,直接导致
29、后期的无法正当运用。以前学过的思科配置命令,现在面对不同的配置命令,命令混淆。刚开始接触没用真实设备练手,用华为摸拟器,很多功能都无法实现。基本命令熟练了开始用真实设备,发现华三设备型号不同,配置命令的不统一。从网上搜资料,资料混杂,很难确定哪条命令是对还是错的。因为设备条件有限,只能用这台华三S3610去验证,哪条命令可以在这台机器上使用,哪条不能使用。一一验证又浪费了些许时间。当找到的这台设备的使用手册,发现实现功能过于单一,要想实现所做项目的功能还得自己去摸索。最后实现的功能少了很多,但是过程很充实。在连接设备时应注意双绞线的连通性,有时设备反复验证,都是失败。后来发现是线缆连接错误,尽
30、量用合适的线缆做连接,避免这种错误再次发生。不同设备之间的兼容性,例如拿联想R1760路由器于思科2600路由器相连接时必须封装同样的协议,否刚两个设备是不相通的!62 项目工程有待提高之处本项目虽然达到了项目设计所需要求,但不属于真正的项目工程。由于时间有限,功能实现太少,屏蔽的木马端口等都无法测试。该模拟工程没有用到二层设备,只用核心交换机划分相应虚拟局域网连接到测试用计算机,为了相应调试。功能不是很完善,但是它具有一定的参考价值。参考文献1. 冯昊等编著交换机/路由器的配置与管理 清华大学出版社 北京 20102. 谢希仁等编著 计算机网络,电子工业出版社,北京,2004年3. 傅晓峰
31、编著局域网组建与维护 清华大学出版社出版社,北京,2009年4. 桑金歌等 编著计算机网络实训室实训手册 第二版 校本教材 2010年5. 姜大庆等编著网络互连及路由技术清华大学出版社,北京,2008年6. 王隆杰等编著网络设备互连技术清华大学出版社,北京,2006年7. 孙继军等编著网络设备配置与管理中国水利水电出版社,北京2006年致谢附录1、H3C S3610交换机命令清单 version 5.20, Release 5309# sysname wl09bysj# clock timezone beijing add 08:00:00# super password level 3 si
32、mple huawei# domain default enable system# telnet server enable# dhcp-snooping#acl number 3000 rule 0 deny ip source 192.168.10.0 0.0.0.127 destination 192.168.10.0 0.0.0.15 rule 5 deny ip source 192.168.10.0 0.0.0.63 destination 192.168.10.0 0.0.0.15 rule 10 deny ip source 192.168.10.0 0.0.0.31 des
33、tination 192.168.10.0 0.0.0.15#vlan 1#vlan 2 name xiaoshoubuvlan 3 name chanpinbuvlan 4 name jishubuvlan 5 name caiwubuvlan 6 name jiekoudomain system access-limit disable state active idle-cut disable self-service-url disable#dhcp server ip-pool vlan3 network 192.168.10.0 mask 255.255.255.0 gateway
34、-list 192.168.10.129 dns-list 222.222.222.222 expired unlimited#user-group systemuser-group vlan5#local-user huawei password simple huawei service-type telnet#interface NULL0#interface Vlan-interface2 ip address 192.168.10.1 255.255.255.128#interface Vlan-interface3 ip address 192.168.10.129 255.255
35、.255.192#interface Vlan-interface4 ip address 192.168.10.193 255.255.255.224#interface Vlan-interface5 ip address 192.168.10.225 255.255.255.240 ip forward-broadcast acl 3000#interface Vlan-interface6 ip address 192.168.10.253 255.255.255.252#interface Ethernet1/0/1 port link-mode bridge port access
36、 vlan 4#interface Ethernet1/0/2 port link-mode bridge port access vlan 4#interface Ethernet1/0/3 port link-mode bridge port access vlan 2#interface Ethernet1/0/4 port link-mode bridge port access vlan 2#interface Ethernet1/0/5 port link-mode bridge port access vlan 3#interface Ethernet1/0/6 port lin
37、k-mode bridge port access vlan 3#interface Ethernet1/0/7 port link-mode bridge port access vlan 5#interface Ethernet1/0/8 port link-mode bridge port access vlan 5#interface Ethernet1/0/9 port link-mode bridge port access vlan 6#ip route-static 0.0.0.0 0.0.0.0 192.168.10.254# dhcp server forbidden-ip
38、 192.168.10.191 192.168.10.255 dhcp server forbidden-ip 192.168.10.1 192.168.10.130 dhcp server forbidden-ip 192.168.10.129# dhcp enable#user-interface aux 0user-interface vty 0 4 authentication-mode scheme user privilege level 3 set authentication password simple huawei#return2、lenovo R1760路由器命令清单!
39、 Versatile Routing Platform Software 1.74 local-user huawei service-type ppp administrator password simple huawei sysname lenovo firewall enable aaa-enable undo aaa accounting-scheme optional!acl 2001 match-order autorule normal permit source 192.168.10.0 0.0.0.255!acl 3000 match-order autorule norm
40、al deny tcp source any destination any destination-port equal 3389rule normal deny tcp source any destination any destination-port equal 135rule normal deny tcp source any destination any destination-port equal 139rule normal deny tcp source any destination any destination-port equal 445rule normal
41、deny tcp source any destination any destination-port equal 539rule normal deny tcp source any destination any destination-port equal 593rule normal deny tcp source any destination any destination-port equal 4444rule normal deny tcp source any destination any destination-port equal 5554rule normal de
42、ny tcp source any destination any destination-port equal 137rule normal deny udp source any destination any destination-port equal 135rule normal deny udp source any destination any destination-port equal 445rule normal deny udp source any destination any destination-port equal 539rule normal deny u
43、dp source any destination any destination-port equal 593rule normal deny udp source any destination any destination-port equal 1433rule normal deny udp source any destination any destination-port equal 9996rule normal deny udp source any destination any destination-port equal 1025rule normal permit
44、ip source any destination any!interface Aux0 async mode flow link-protocol ppp!interface Ethernet0 ip address 192.168.10.254 255.255.255.252 undo ip fast-forwarding!interface Serial0 clock DTECLK1 link-protocol ppp ip address 192.168.11.254 255.255.255.252 undo ip fast-forwarding nat outbound 2001 i
45、nterface firewall packet-filter 3000 inbound!quitospf enable!quitip route-static 0.0.0.0 0.0.0.0 192.168.11.253 preference 60ip route-static 192.168.10.0 255.255.255.0 192.168.10.253 preference 60!Return3、Cisco 2600路由器命令清单Building configuration.Current configuration : 1121 bytes!version 12.2service timestamps debug datetime msecservice timestamps log datetime msecno service passwo