校园局域网的组建
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
(1)外网主机访问内网服务器,采用的是静态转换。具体代码如下: ip nat inside source static 192.168.8.10 202.106.0.20
(2)实现局域网访问互联网,采用的是端口复用动态地址转换,当内部多个私有ip地址对应外部很少的公网地址时所使用的,它可以根据端口的不同来区分不同的服务和对应的内部地址。在这次的课题设计中局域网访问外网就是采用这种技术,具体代码如下:
Router(config)#int f 0/1 Router(config-if)#ip nat inside Router(config-if)#exit Router(config)#int s 0/1/0 Router(config-if)#ip nat outside Router(config-if)#exit
Router(config)#ip nat pool test 202.106.0.3 202.106.0.200 netmask 255.255.255.0
Router(config)#access-list 10 permit 172.16.0.0 0.0.255.255 Router(config)#access-list 10 permit 172.17.0.0 0.0.255.255 Router(config)#access-list 10 permit 192.168.4.0 0.0.0.255 Router(config)#access-list 10 permit 192.168.5.0 0.0.0.255 Router(config)#access-list 10 permit 172.18.0.0 0.0.255.255
24
校园局域网的组建
Router(config)#access-list 10 permit 192.168.7.0 0.0.0.255 Router(config)#access-list 10 permit 192.168.8.0 0.0.0.255 Router(config)#access-list 10 permit 172.19.0.0 0.0.255.255 Router(config)#access-list 10 permit 172.20.0.0 0.0.255.255 Router(config)#access-list 10 permit 192.168.0.0 0.0.0.255 Router(config)#ip nat inside source list 10 pool test overload 5.2.2 ACL
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。ACL技术用在了核心交换机的SW0上面,不允许学生公寓区访问行政区,其它的都可以,具体配置如下:
interface Vlan4
ip address 192.168.4.1 255.255.255.0 ip access-group 100 out
access-list 100 deny ip 172.16.0.0 0.0.255.255 192.168.4.0 0.0.0.255 access-list 100 permit ip any any
第六章 网络系统的测试
前面几个章节中,我们对如何设计一个较为完整的校园网网络进行了详细的介绍。当校园网初具规模后,还应该对校园网的整体运行情况做一下细致的测试和评估。
在这里我们通过ping、tracert、arp等网络命令,来观察机器的连通性和数据包的转发路径。为了说明问题,我们就用一个机器192.168.5.10作为代表来进行测设。 1.测试不同vlan之间的通信,如图6-1所示。
25
校园局域网的组建
图6-1 测试不同vlan之间的通信图
通过测试我们可以清晰的看到,不同的vlan之间的数据包转发是没有问题的。 2.测试到服务器所走的路径,如图6-2所示。
26
校园局域网的组建
图6-2测试到服务器所走的路径图
3.测试DNS解析是否正常,如图6-3所示
27
校园局域网的组建
图6-3 测试DNS的解析图
通过测试证明DNS解析正常。
4.测试NAT网络地址转换是否正常,如图6-4所示。
28