中小型網絡工程設計與實現

qq3421609946
最近接觸了一個課程設計的實現，涉及到ACL的具體應用，相關要求和內容如下。

一、需求目標

（1）公司有1000臺PC
（2）公司共有7個部門，不同部門的相互訪問要有限制，公司有三個跨省的分公司
（3）公司有自己的內部網頁與外部網站，公司能夠提供匿名的FTP、郵件、WWW服務，但FTP只對內部員工開放。
（4）公司有自己的OA系統
（5）公司的每臺機能上互聯網，每個部門的辦公室聯合構成一個VLAN。

二、設計內容

2.1.VLAN劃分

根據本次課程實驗背景，整個VLAN的劃分如下：
（1）行政樓120人，共5個部門。分成5個VLAN，每個Vlan內部可以互相通信，VLAN間不能相互通信。
（2）銷售部門150人，共5個部門。分成5個VLAN，每個Vlan內部可以互相通信，VLAN間不能相互通信。
（3）生產中心180人，共3個部門。分成3個VLAN，每個Vlan內部可以互相通信，VLAN間不能相互通信。

2.2.網絡服務軟件及原理

本次企業網絡設計中涉及WWW服務器，FTP服務器和Email服務器，這三類服務的原理如下：
（1） www服務器
當你想進入網頁，或者其他網絡資源的時候，通常你要首先在你的瀏覽器上鍵入你想訪問網頁的統一資源定位符（Uniform Resource Locator），縮寫URL，或者通過超鏈接方式鏈接到那個網頁或網絡資源。這之後的工作首先是URL的服務器名部分，被名爲域名系統的分佈於全球的因特網數據庫解析，並根據解析結果決定進入哪一個IP地址（IPaddress）。
接下來的步驟是爲所要訪問的網頁，向該IP的WWW服務器發送一個HTTP請求。在通常情況下，HTML文本、圖片和構成該網頁的一切其他文件很快會被逐一請求併發送回用戶。
（2） FTP服務器
TP服務器（File Transfer Protocol Server）是在互聯網上提供文件存儲和訪問服務的計算機，它們依照FTP協議提供服務。 FTP是File Transfer Protocol(文件傳輸協議)。顧名思義，就是專門用來傳輸文件的協議。簡單地說，支持FTP協議的服務器就是FTP服務器。
（3） Email服務器
Email服務器是一種用來負責電子郵件收發管理的設備。通常使用SMTP協議進行服務。SMTP在RFC 821中定義，它的作用是把郵件消息從發信人的郵件服務器傳送到收信人的郵件服務器。

三、概要設計

3.1.網絡拓撲

本次課程設計根據相關需求，網絡拓撲如下所示：

3.2.網絡劃分

整個企業的網絡拓撲如上圖所示，根據實驗要求，vlan劃分和子網規劃如下表：

（1）行政樓120人，共5個部門。分成5個VLAN，每個Vlan內部可以互相通信，VLAN間不能相互通信。VLAN 從31到35，每個VLAN分配IP數量30個，掩碼爲255.255.255.224.
（2）銷售部門150人，共5個部門。分成5個VLAN，每個Vlan內部可以互相通信，VLAN間不能相互通信。VLAN 從41到45，每個VLAN分配IP數量30個，掩碼爲255.255.255.224.
（3）生產中心180人，共3個部門。分成3個VLAN，每個Vlan內部可以互相通信，VLAN間不能相互通信。VLAN 從51到53，每個VLAN分配IP數量60個，掩碼爲255.255.255.192.
（4）WWW服務器鏈接路由器，對外網提供服務。
（5）Email服務器接入核心交換機VLAN1，對內對外均提供服務。
（6）FTP服務器接入核心交換機VLAN 11，對內提供服務。

四、詳細設計

課程模擬採用軟件CISCO PACKET TRACER，版本爲5.3.3。模擬的拓撲圖如下所示：

在本次的網絡模擬中，由下向上爲。首先針對每個VLAN，採用一臺電腦作爲VLAN內信息代表。接入交換機的每個端口劃如對應的VLAN，接入核心交換機，核心交換機的核心端口也加入對應的VLAN。核心交換機接路由器和Email、FTP服務器。路由器接入外網和WWW服務器，外網用一臺路由器做模擬。
關鍵設備配置清單如下：
（1）核心交換機
hostname HXJH
ip routing
spanning-tree mode pvst
interface FastEthernet0/1
switchport access vlan 31
switchport mode access
interface FastEthernet0/2
switchport access vlan 32
interface FastEthernet0/3
switchport access vlan 33
interface FastEthernet0/4
switchport access vlan 34
interface FastEthernet0/5
switchport access vlan 35
interface FastEthernet0/6
switchport access vlan 41
interface FastEthernet0/7
switchport access vlan 42
interface FastEthernet0/8
switchport access vlan 43
interface FastEthernet0/9
switchport access vlan 44
interface FastEthernet0/10
switchport access vlan 45
interface FastEthernet0/11
switchport access vlan 51
interface FastEthernet0/12
switchport access vlan 52
interface FastEthernet0/13
switchport access vlan 53
interface FastEthernet0/14
description to email
switchport mode access
interface FastEthernet0/15
switchport access vlan 11
switchport mode access
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode access
interface GigabitEthernet0/2
interface Vlan1
ip address 192.168.1.254 255.255.255.0
interface Vlan11
mac-address 0090.2b76.1201
ip address 192.168.11.254 255.255.255.0
interface Vlan20
mac-address 0090.2b76.1202
ip address 192.168.20.254 255.255.255.0
interface Vlan31
mac-address 0090.2b76.1203
ip address 192.168.30.30 255.255.255.224
ip access-group 131 in
interface Vlan32
mac-address 0090.2b76.1204
ip address 192.168.30.62 255.255.255.224
ip access-group 132 in
interface Vlan33
mac-address 0090.2b76.1205
ip address 192.168.30.94 255.255.255.224
ip access-group 133 in
interface Vlan34
mac-address 0090.2b76.1206
ip address 192.168.30.126 255.255.255.224
ip access-group 134 in
interface Vlan35
mac-address 0090.2b76.1207
ip address 192.168.30.158 255.255.255.224
ip access-group 135 in
interface Vlan41
mac-address 0090.2b76.1208
ip address 192.168.40.30 255.255.255.224
ip access-group 141 in
interface Vlan42
mac-address 0090.2b76.1209
ip address 192.168.40.62 255.255.255.224
ip access-group 142 in
interface Vlan43
mac-address 0090.2b76.120a
ip address 192.168.40.94 255.255.255.224
ip access-group 143 in
interface Vlan44
mac-address 0090.2b76.120b
ip address 192.168.40.126 255.255.255.224
interface Vlan45
mac-address 0090.2b76.120c
ip address 192.168.40.158 255.255.255.224
ip access-group 145 in
interface Vlan51
mac-address 0090.2b76.120d
ip address 192.168.50.62 255.255.255.192
ip access-group 151 in
interface Vlan52
mac-address 0090.2b76.120e
ip address 192.168.50.126 255.255.255.192
ip access-group 152 in
interface Vlan53
mac-address 0090.2b76.120f
ip address 192.168.50.190 255.255.255.192
ip access-group 153 in
interface Vlan153
mac-address 0090.2b76.1210
no ip address
ip access-group 153 in
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.3
ip flow-export version 9
access-list 131 deny ip 192.168.30.0 0.0.0.31 192.168.30.32 0.0.0.31
access-list 131 deny ip 192.168.30.0 0.0.0.31 192.168.30.64 0.0.0.31
access-list 131 deny ip 192.168.30.0 0.0.0.31 192.168.30.96 0.0.0.31
access-list 131 deny ip 192.168.30.0 0.0.0.31 192.168.30.128 0.0.0.31
access-list 131 deny ip 192.168.30.0 0.0.0.31 192.168.40.0 0.0.0.255
access-list 131 deny ip 192.168.30.0 0.0.0.31 192.168.50.0 0.0.0.255
access-list 131 permit ip any any
access-list 132 deny ip 192.168.30.32 0.0.0.31 192.168.30.0 0.0.0.31
access-list 132 deny ip 192.168.30.32 0.0.0.31 192.168.30.96 0.0.0.31
access-list 132 deny ip 192.168.30.32 0.0.0.31 192.168.30.128 0.0.0.31
access-list 132 deny ip 192.168.30.32 0.0.0.31 192.168.40.0 0.0.0.255
access-list 132 deny ip 192.168.30.32 0.0.0.31 192.168.50.0 0.0.0.255
access-list 132 permit ip any any
access-list 133 deny ip 192.168.30.64 0.0.0.31 192.168.30.0 0.0.0.31
access-list 133 deny ip 192.168.30.64 0.0.0.31 192.168.30.32 0.0.0.31
access-list 133 deny ip 192.168.30.64 0.0.0.31 192.168.30.96 0.0.0.31
access-list 133 deny ip 192.168.30.64 0.0.0.31 192.168.30.128 0.0.0.31
access-list 133 deny ip 192.168.30.64 0.0.0.31 192.168.40.0 0.0.0.255
access-list 133 deny ip 192.168.30.64 0.0.0.31 192.168.50.0 0.0.0.255
access-list 133 permit ip any any
access-list 134 deny ip 192.168.30.96 0.0.0.31 192.168.30.0 0.0.0.31
access-list 134 deny ip 192.168.30.96 0.0.0.31 192.168.30.32 0.0.0.31
access-list 134 deny ip 192.168.30.96 0.0.0.31 192.168.30.64 0.0.0.31
access-list 134 deny ip 192.168.30.96 0.0.0.31 192.168.30.128 0.0.0.31
access-list 134 deny ip 192.168.30.96 0.0.0.31 192.168.40.0 0.0.0.255
access-list 134 deny ip 192.168.30.96 0.0.0.31 192.168.50.0 0.0.0.255
access-list 134 permit ip any any
access-list 135 deny ip 192.168.30.128 0.0.0.31 192.168.30.0 0.0.0.31
access-list 135 deny ip 192.168.30.128 0.0.0.31 192.168.30.32 0.0.0.31
access-list 135 deny ip 192.168.30.128 0.0.0.31 192.168.30.64 0.0.0.31
access-list 135 deny ip 192.168.30.128 0.0.0.31 192.168.30.96 0.0.0.31
access-list 135 deny ip 192.168.30.128 0.0.0.31 192.168.40.0 0.0.0.255
access-list 135 deny ip 192.168.30.128 0.0.0.31 192.168.50.0 0.0.0.255
access-list 135 permit ip any any
access-list 141 deny ip 192.168.40.0 0.0.0.31 192.168.30.0 0.0.0.255
access-list 141 deny ip 192.168.40.0 0.0.0.31 192.168.50.0 0.0.0.255
access-list 141 deny ip 192.168.40.0 0.0.0.31 192.168.40.0 0.0.0.255
access-list 141 permit ip any any
access-list 142 deny ip 192.168.40.32 0.0.0.31 192.168.40.0 0.0.0.31
access-list 142 deny ip 192.168.40.32 0.0.0.31 192.168.40.64 0.0.0.31
access-list 142 deny ip 192.168.40.32 0.0.0.31 192.168.40.96 0.0.0.31
access-list 142 deny ip 192.168.40.32 0.0.0.31 192.168.40.128 0.0.0.31
access-list 142 deny ip 192.168.40.32 0.0.0.31 192.168.50.0 0.0.0.255
access-list 142 deny ip 192.168.40.32 0.0.0.31 192.168.40.0 0.0.0.255
access-list 142 permit ip any any
access-list 143 deny ip 192.168.40.64 0.0.0.31 192.168.40.0 0.0.0.31
access-list 143 deny ip 192.168.40.64 0.0.0.31 192.168.40.32 0.0.0.31
access-list 143 deny ip 192.168.40.64 0.0.0.31 192.168.40.96 0.0.0.31
access-list 143 deny ip 192.168.40.64 0.0.0.31 192.168.40.128 0.0.0.31
access-list 143 deny ip 192.168.40.64 0.0.0.31 192.168.30.0 0.0.0.255
access-list 143 deny ip 192.168.40.64 0.0.0.31 192.168.50.0 0.0.0.255
access-list 143 permit ip any any
access-list 144 deny ip 192.168.40.96 0.0.0.31 192.168.40.0 0.0.0.31
access-list 144 deny ip 192.168.40.96 0.0.0.31 192.168.40.32 0.0.0.31
access-list 144 deny ip 192.168.40.96 0.0.0.31 192.168.40.64 0.0.0.31
access-list 144 deny ip 192.168.40.96 0.0.0.31 192.168.40.128 0.0.0.31
access-list 144 deny ip 192.168.40.96 0.0.0.31 192.168.30.0 0.0.0.255
access-list 144 deny ip 192.168.40.96 0.0.0.31 192.168.50.0 0.0.0.255
access-list 144 permit ip any any
access-list 145 deny ip 192.168.40.128 0.0.0.31 192.168.40.0 0.0.0.31
access-list 145 deny ip 192.168.40.128 0.0.0.31 192.168.40.32 0.0.0.31
access-list 145 deny ip 192.168.40.128 0.0.0.31 192.168.40.64 0.0.0.31
access-list 145 deny ip 192.168.40.128 0.0.0.31 192.168.40.96 0.0.0.31
access-list 145 deny ip 192.168.40.128 0.0.0.31 192.168.30.0 0.0.0.255
access-list 145 deny ip 192.168.40.128 0.0.0.31 192.168.50.0 0.0.0.255
access-list 145 permit ip any any
access-list 151 deny ip 192.168.50.0 0.0.0.63 192.168.50.64 0.0.0.63
access-list 151 deny ip 192.168.50.0 0.0.0.63 192.168.50.128 0.0.0.63
access-list 151 deny ip 192.168.50.0 0.0.0.63 192.168.30.0 0.0.0.255
access-list 151 deny ip 192.168.50.0 0.0.0.63 192.168.40.0 0.0.0.255
access-list 151 permit ip any any
access-list 152 deny ip 192.168.50.64 0.0.0.63 192.168.50.0 0.0.0.63
access-list 152 deny ip 192.168.50.64 0.0.0.63 192.168.50.128 0.0.0.63
access-list 152 deny ip 192.168.50.64 0.0.0.63 192.168.30.0 0.0.0.255
access-list 152 deny ip 192.168.50.64 0.0.0.63 192.168.40.0 0.0.0.255
access-list 152 permit ip any any
access-list 153 deny ip 192.168.50.128 0.0.0.63 192.168.50.0 0.0.0.63
access-list 153 deny ip 192.168.50.128 0.0.0.63 192.168.50.64 0.0.0.63
access-list 153 deny ip 192.168.50.128 0.0.0.63 192.168.30.0 0.0.0.255
access-list 153 deny ip 192.168.50.128 0.0.0.63 192.168.40.0 0.0.0.255
access-list 153 permit ip any any
no cdp run
line con 0
line aux 0
line vty 0 4
login
end
（2）路由器0
interface FastEthernet0/0
ip address 192.168.1.3 255.255.255.0
duplex auto
speed auto
interface FastEthernet0/1
ip address 192.10.10.254 255.255.255.0
duplex auto
speed auto
interface FastEthernet1/0
ip address 11.11.11.1 255.255.255.252
duplex auto
speed auto
router rip
network 11.0.0.0
network 192.10.10.0
network 192.168.1.0
end
（3）外網路由器
interface FastEthernet0/0
ip address 11.11.11.2 255.255.255.252
duplex auto
speed auto
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
router rip
network 11.0.0.0
end

五、調試分析

本次實驗要求如下：
（1）要求不同團隊之間保持通信的獨立性和隔離性。
（2）對外提供WWW服務、對內提供文件傳輸服務、內外均可訪問的Email服務。
驗證過程如下：
（1）在VLAN31的電腦，即銷售部門1電腦上模擬內網隔離及Emial、FTP服務。

訪問Email服務成功。

訪問FTP成功

VLAN隔離成功
（2）對外提供WWW服務、對內提供文件傳輸服務、內外均可訪問的Email服務。
FTP服務驗證已經成功，在外網路由器上驗證WWW和Email服務。

WWW服務成功。

Email成功

外網FTP服務器不可達。
整個實驗過程如上圖所示，實驗完成。