子网划分与网络构建

1、子网划分与网络构建实验目的：1）掌握子网划分的依据与方法；2）掌握网络拓扑设计与基本安全设计；3）掌握地址块分配原则与方法。实验要求：根据以下案例，设计网络构建方案，提供设计报告。某企业整个网络拟划分为四个网络：外部访问子网：接Internet用户，外部用户通过防火墙后，可以直接访问企业的公共资源子网。公共资源子网：主要包括实现企业信息发布的Web服务器以及完成内部名字解析的DNS服务器。约 5台机器。内部用户子网：由企业的各个用户组成，内部子网用户可直接访问公共资源子网，有权限的用户也可 以通过企业级防火墙访问Internet。约800台机器。敏感资源子网：包括各种数据库服务器、文件服务器、

2、E-mai l服务器，并提供网络监控管理以及用户 发放证书及管理密钥。约14台机器，其中数据库类服务器与文件服务器8台，其他设备6台。1）该子网的逻辑划分是否合理？应如何改进？2）请根据子网逻辑划分方案，使用交换机、路由器、防火墙等设备构架网络，设计网络拓扑，并画出拓 扑图，完成设计方案。3）假定某ISP拥有地址块206.0.64.0/18，该ISP应划分一个怎样的地址块给该企业，为什么？4）该企业又应该如何设计各子网的地址块。5）请对上述企业子网划分案例给出详细设计报告，论证、分析并预测网络运维的情况、趋势与难度。第一部分具体设计任务拓扑设计根据实验要求该企业的网络采用星型网络拓朴结构，星型

3、拓朴结构为现在较为流行的一种网络结构， 它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物 理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有 节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线 路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心 处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。局域网内的所有工作节点通过双

4、绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用 机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。第二部分 设计方案（子网划分）对于实验中各个子网的求做出以下设计方案1、由于该企业有四个子网，因此子网数为22=4，需向主机位借取两位。又由于ISP供应商拥有206.0.64.0/18的C类地址块，按照实验要求为该企业提供的地址块为206.0.64.0/12，转换成32位地址表示法如下11000000.00000000.01000000.00000000/12（206.0.64.0/10）敏感资源子网（206.0.68.0/10）公共资源子网（206.0.72.0/

5、10）内部用户子网（206.0.76.0/10）外部子网所以借出两位后（可分成4个子网）11000000.00000000.01000000.00000000/1011000000.00000000.01000100.00000000/1011000000.00000000.01001000.00000000/1011000000.00000000.01001100.00000000/10每个子网所剩位数是10位，即可以分配的ip地址为210=1024-2。外部子网 IP：11000000.00000000.01001100.00000001/10-11000000.00000000.0100

6、1111.1111111/10内部用户子网 IP： 11000000.00000000.01001000.00000001/10-11000000.00000000.01001011.1111111/10公共资源子网 IP： 11000000.00000000.01000100.00000001/10-11000000.00000000.01000111.1111111/10敏感资源子网 IP： 11000000.00000000.01000000.00000001/10-11000000.00000000.01000011.1111111/10但对于该企业的这样的子网划分会使得网络的IP资源

7、有浪费，因为除了外部子网的主机数量的需 求会大一点外，内部用户子网需要的主机数为800台左右，敏感资源子网和公共资源子网加起来只有 19台。因此建议将子网划分为外部子网和内部子网，然后再将内部子网划分为公共资源子网、敏感资 源子网、内部用户子网。这样划分的话，不仅能将内部子网的资源充分利用，而且外部子网的资源也 得到了扩充，使得子网划分更为合理。以下是该企业的网络拓扑图对于上图网络的设备构架主要有以下几方面1、外部子网为IP段202.0.76.0/10,子网中的主机联接VPN网关后通过因特网接入企业网络中。但在接入 前先要经过IPS入侵防御系统和三层交换机，这两个设备的作用是防止外部网络的恶意

8、攻击和破坏以 及对外网的主机访问进行分类。2、内部子网为IP段202.0.72.0/10，子网中的主机不仅可以访问内部的公共资源网，而且还可以访问外部 互联网，因此除联接交换机和路由器后还必须接入防火墙，其作用有两个，一是对内部子网的主机进 行权限划分，屏蔽某些主机访问外部网络。二是为保护企业网中的公共资源网和敏感资源网不受内部 子网的病毒及恶意攻击。3、 公共资源子网为IP段202.0.68.0/10，子网中主要是有WEB服务器和通用服务器。这些服务器中的内 容都允许外部子网的用户，和内部用户子网的用户去访问。但必须经过三层交换机去隔离。而敏感资 源网就不需要经过三层交换机而直接与其通信交换

9、数据。4、敏感资源子网为IP段202.0.64.0/10，该子网为整个企业网中最重要的一部分，它除了提供网络监控管 理以及用户发放证书及管理密钥的作用外，还起到备份整个网络数据信息的作用。因此它只跟公共资源子网交换数据，而且在它们的中间还经过一个防火墙，以防止敏感资源网遭受攻击和 被窃取资料。第三部分 调试过程中出现的问题及解决方法“主机掩码”问题：在做路由器的动态NAT配置中，当要定义内部网络中允许访问Internet的访问列表时，即有关命令如 下：access-listl标号permit源地址 通配符（其中，标号为199之间的整数）据此，本实验中应该这样配置：permit 192.168.

10、0.0 0.0.255.255 ！定义允许转换的源地址范围但是在实验系统所给出的一些帮助文档时，是这样配置的：permit 192.168.0.0 255.255.255.0 ！定义允许转换的源地址范围而刚开始时，我们就是这样配置的。后来经上网查阅3,得知这后面的一个掩码是一种主机掩码，而不是 子网掩码。具体描述如下：“需要注意的是，在这里采用的是主机掩码，而非子网掩码。子网掩码与主机掩码的关系为：主机掩码+ 子网掩码=255.255.255.255。例如，子网掩码为255.255.0.0，则主机掩码为0.0.255.255；子网掩码为255.0.0.0, 则主机掩码为0.255.255.25

11、5;子网掩码为255.252.0.0，则主机掩码为0.3.255.255;子网掩码为255.255.255.192,刚主机掩码为0.0.0.63。”路由器接入时出现的问题：不仅在实验中，还是在课程设计中，凡是有用到路由器接入时通常会出现PC与PC之间Ping不通， 而各PC只能Ping通到对方PC所接的交换机端口或路由器端口。然而这从理论上说既然一台PC能Ping 通到对方PC所接的交换机端口或路由器端口，那么就应该可以Ping通对方PC的。但好几次实验都出现 这种情况，可能由于机器设备的缘故，该问题还有待于解决。不同VLAN要进行通信：不同VLAN要进行通信，则需要通过路由器或三层交换机等三

12、层设备。所以本次实验中，两个子网里 的机器由于利用了三层交换机从而导致了在一定条件下是可以Ping通的。第四部分个人体会及建议1.PAT配置的方案更好端口多路复用（Port address Translation,PAT是指改变外出数据包的源端口并进行端口转换，即端口地址 转换（PAT，Port Address Translation）.采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部 IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主 机，有效避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。而用

13、动态NAT 配置则实际还是分配一个IP地址给一台主机，只是动态分配而已，当某一时间上外网的入网信息点很多时， 则会导致其他问题，影响内部用户子网的正常上网。所以在真实方案中，该企业最好是应俎的配置来解 合法IP地址的问题。2.添（Router-A配置如下：）ip nat pool cernet 222.191.3.1 222.191.3.254 netmask 255.255.255.0或 ip nat pool test 222.191.3.1 222.191.3.254 prefix-length 24（Router-B配置如下：）ip nat pool cernet 222.191.4.1 222.191.4.254 netmask 255.255.255.0或 ip nat pool test 222.191.4.1 222.191.4.254 prefix-length 24添加多个访问列表如果想将多个IP地址段转换为合法IP地址，可以添加多个访问列表。在本次实验中，当欲将 172.16.98.0172.16.98.255和172.16.99.0172.16.99.255转换为合法IP地址时，应当添加下述命令： access-list2 permit 172.16.98.0-0.0