计算机网络课程设计防火墙技术与实现 + 生成树协议的研究与实现 防火墙技术与实现+生成树协议的研究与实现

1、课 程 设 计 报 告课程名称 数据通信与计算机网络 课题名称 一、防火墙技术与实现 二、生成树协议的研究与实现 专 业 班 级 学 号 姓 名 指导教师 2011年 6 月 20 日课 程 设 计 任 务 书课程名称 数据通信与计算机网络 课 题 一、防火墙技术与实现 二、成树协议的研究与实现 专业班级 学生姓名 学 号 指导老师 审 批 任务书下达日期 2011 年 6 月 20 日任务完成日期 2011 年 7 月 4 日291设计内容与设计要求1.1设计内容课题1：基于802.1x的认证系统建立为了便于集中认证和管理接入用户，采用aaa（authentication、authoriza

2、tion 和accounting）安全体系。通过某种一致的办法来配置网络服务，控制用户通过网络接入服务器的访问园区网络，设计内容如下：（1）掌握ieee820.1x和radius等协议的工作原理，了解eap协议； （2）掌握hp5308/hp2626交换机的配置、调试方法；（3）掌握windowsias的配置方法和pap，chap等用户验证方法；（4）建立一个基于三层交换机的模拟园区网络，用户通过aaa方式接入园区网络。课题2：动态路由协议的研究与实现建立基于rip和ospf协议的局域网，对rip和ospf协议的工作原理进行研究，设计内容如下：（1）掌握rip和ospf路由协议的工作原理； （

3、2）掌握hp5308三层交换机和hp7000路由器的配置、调试方法；（3）掌握rip和ospf协议的报文格式，路由更新的过程；（4）建立基于rip和ospf协议的模拟园区网络；（5）设计实施与测试方案。课题3：防火墙技术与实现建立一个园区网络应用防火墙的需求，对具体实施尽心设计并实施，设计内容如下：（1）掌握防火墙使用的主要技术：数据包过滤，应用网关和代理服务； （2）掌握hp7000路由器的配置、调试方法；（3）掌握访问控制列表acl，网络地址转换nat和端口映射等技术；（4）建立一个基于hp7000路由器的模拟园区网络出口；（5）设计实施与测试方案。课题4：生成树协议的研究与实现建立基于s

4、tp协议的局域网，对stp协议的工作原理进行研究，设计内容如下：（1）掌握生成树协议的工作原理； （2）掌握hp5308三层交换机和hp2626交换机的配置、调试方法；（3）掌握stp/rstp/mstp协议的的工作过程；（4）建立基于stp协议的模拟园区网络；（5）设计实施与测试方案。课题5：无线wlan的设计与实现建立一个小型的无线局域网，设计内容如下：（1）掌握与无线网络有关的ieee802规范与标准； （2）掌握无线通信采用的wep和wpa加密算法；（3）掌握hp420无线ap的配置方法；（4）建立基于windows server和xp的无线局域网络；（5）设计测试与维护方案。1.2

5、选题方案：每个同学完成上述课题中的两个，所选课题根据学号确定，学号模5加1及加2，即（学号%5+1，以及学号%5+2）。如你的学号为10，则所选题目号为：10%5+11（课题1），以及10%5+21（课题2）。然后，同一班所选课题的相同的同学组成一组。有兴趣的同学可以自己针对课程要求，制定设计内容，但要预先告知老师，经过审批，方可确定课题，并且每班的自拟题目的总数量不能超过4个，每个课题只能一人单独完成。1.3设计要求：1.3.1 课程设计报告规范（1）课题内容要求分析a. 内容要求分析；b. 效果要求分析；c. 完整性要求。（2）操作步骤设计a. 任务由哪些步骤完成，每个步骤之间的关系；b.

6、 画出拓扑图和工作原理图（用计算机绘图）；（3）设计效果设计；（4）使用说明用户使用手册：说明如何使用你设计的系统，详细列出每一步的操作步骤。 （5）书写格式a. 设计报告要求用a4纸打印成册：b. 一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。1.3.2 考核方式指导老师负责验收课题的设计结果，并结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评，并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。具体考核标准包含以下几个部分：（1）平时出勤 （占10%）（2）设计步骤、设计内容、及总体操作过程合理与否（占10%）（3）步骤是否正

7、确、内容是否完整及设计效果是否符合要求，个人能否独立、熟练地进行操作（占40%）（4）设计报告（占30%）注意：不得抄袭他人的报告（或给他人抄袭），一旦发现，成绩为零分，同一组的同学，设计报告单独完成，不能雷同。1.3.3 课程验收要求（1）完整操作所设计的内容。（2）回答有关问题。（3）提交课程设计报告。（5）依操作的熟练程度、内容的创新程度，内容的完善情况打分。2 进度安排目录 1、防火墙技术与实现61.1工作原理61.2实验内容61.3实验步骤及调试72、生成树协议的研究与实现142.1 工作原理142.2 实验内容142.3 实验步骤及调试153、心得体会244、 附录255、计算机与

8、通信学院课程设计评分表281、防火墙技术与实现1.1工作原理防火墙是一种网络安全保障手段，是网络通信时执行的一种访问控制尺度，其主要目标是通过控制入、出一个网络的权限，并迫使所以的连接都经过这样的检查，防止一个需要保护的网络遭受外界因素的干扰和破坏。用防火墙来实现网络安全的实质，是将主机按照等级和提供的服务划分成域，并在进出域的阻塞点上防止防火墙，允许或阻断信息的进出。其主要功能包括：（1） 检查所有从外部网络进入内部网络和从内部网络流出道外部网络的数据包。（2） 执行安全策略，限制所有不符合安全策略要求的数据包通过。防火墙的基本类型主要有：包过滤防火墙（又称访问控制表）、应用网关防火墙、代理

9、服务器防火墙、状态检测防火墙，以及自适应代理技术。1.2实验内容 本实验采用一台hp7102路由器，一台hp5308三层交换机，二台hp2626交换机，两台台pc机以及若干连接线来完成内部网和模拟以太网的构建。其中，内部网络中，核心交换机5308用双绞线通过b1连接至2626b，通过b2连接至7102a的以太网1口（eth0/1）。在核心交换机上有管理vlan1和数据vlan110，hp7102路由器作为内部的出口。模拟internet的网络中，2626a写静态路由与7102进行连接。网络拓扑图如下图一所示： （图一） 1.3实验步骤及调试按图正确连接好如上所示的网络拓扑图，然后对各部件进行配

10、置。1） 构建内部网络。给7102的两个以太网口配置地址，并激活。eth0/1的地址为10.1.1.2/24，eth0/2的地址为202.100.1.2/24。7102a(config)#interface ethernet 0/17102a(config-eth 0/1)#ip address 10.1.1.2 255.255.255.07102a(config-eth 0/1)#no shutdown7102a(config)#interface ethernet 0/27102a(config-eth 0/2)#ip address 202.100.1.2 255.255.255.071

11、02a(config-eth 0/2)#no shutdown给5308创建两个vlan，vlan 1的地址为10.1.1.1/24，vlan 110的地址为10.10.110.1/24，并在vlan 110上配置中继端口b1，启用三层转发协议。5308(config)#vlan 1 ip address 10.1.1.1 /245308(config)#vlan 110 ip address 10.10.110.1/245308(config)#vlan 110 tagged b15308(config)#ip routing给2626b创建两个vlan，vlan 1的地址为10.1.1.3

12、/24，vlan 110分配1号端口，并配置中继端口25，并写上默认网关10.1.1.1。2626b(config)vlan 1 ip address 10.1.1.3/242626b(config)vlan 110 untagged 12626b(config)vlan 110 tagged 252626b(config)ip default-gateway 10.1.1.1这时尝试使用pc2 ping 7102a的出口地址，因为缺少路由，所以ping不通。截图如下图二： （图三）这时在5308上写上内网默认路由，在7102a上添加10.10.110.0网络的出口路由。5308(config

13、)#ip route 0.0.0.0 0.0.0.0 10.1.1.27102a(config)#ip route 10.10.110.0 255.255.255.0 10.1.1.1添加上默认路由后，内部网络即构建完毕。如果从pc2 ping 7102a的出口地址10.1.1.2，不通的话，请注意确保各vlan或端口之间的tag和untag配置正确。效果如下图四： （图四）2） 构建模拟internet网络给2626a创建两个vlan，vlan 1的地址为202.100.1.1/24，vlan2的地址为202.100.2.1/24。给vlan2上分配1号端口，并配置中继端口25，启用三层转发

14、。2626a(config)vlan 1 ip address 202.100.1.1/242626a(config)vlan 2 ip address 202.100.2.1/242626a(config)vlan 2 untagged 12626a(config)vlan 2 tagged 252626a(config)ip routing用pc1 ping 2626a的vlan1 和 vlan2的地址，ping通检验配置正确。3） 建立内外网络的连接给7102a写指向2626a的静态路由，给2626a写指回7102a的静态路由。2626a(config) ip route 0.0.0.0

15、 0.0.0.0 202.100.1.27102a(config) ip route 0.0.0.0 0.0.0.0 202.100.1.1这时，整个内外网络构建完毕，pc2能直接ping 通pc1，通过查看流量检测软件，源地址为10.10.110.10。截图如下图五： （图五）4） 配置net转换在7102a上做nat转换配置ip firewallip access-list standard insidepermit anyip policy-class natinsidenat source list matchall address 202.100.1.2 overloadinterf

16、ace eth 0/1access-policy natinside 5） 配置acl 在前面已有配置的基础上，给5308添加vlan10 10.1.10.1/24、vlan20 10.1.20.1/24、vlan30 10.1.30.1/24，把c1-c4分配给vlan10，d1-d4分配给vlan20，d5-d8分配给vlan30.并再此基础上配置acl命令，实现只允许节点地址10.1.10.10和网络地址10.1.30.1/24网段的地址对vlan20（10.1.20.1/24）网段进行访问。5308(config)#vlan 10 ip address 10.1.10.1/245308

17、(config)#vlan 10 untagged c1-c45308(config)#vlan 20 ip address 10.1.20.1/245308(config)#vlan 20 untagged d1-d45308(config)#vlan 30 ip address 10.1.30.1/245308(config)#vlan 30 untagged d5-d85308(config)#access-list 10 permit host 10.1.10.105308(config)#access-list 10 permit 10.1.30.1/245308(config)#v

18、lan 20 ip access-group 10 out 其拓扑图如下图六所示：（图六） 对各主机进行网络连接检测，结果如下图七、图八、图九、图十所示。 使用pc4（10.1.10.15/24） ping pc5（10.1.20.10/24）不能通，使用pc3（10.1.10.10/24） ping pc5则能通，验证对节点地址的访问控制配置正确。使用pc6（10.1.30.10/24） ping pc5能通，使用pc2（10.10.110.10/24） ping pc5则不能通，验证对网段地址的访问控制配置正确。 pc4 ping pc5（不能ping通）： （图七）pc3 ping pc

19、5 （能ping通）： （图八）pc6 ping pc5 （能ping通）： （图九）pc2 ping pc5 （不能ping通）： （图十）2、生成树协议的研究与实现 2.1 工作原理生成树算法的网桥协议stp(spanning tree protocol) 通过生成生成树保证一个已知的网桥在网络拓扑中沿一个环动态工作。其主要功能有两个：一是在利用生成树算法、在以太网络中，创建一个以某台交换机的某个端口为根的生成树，避免环路。二是在以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。生成树协议拓扑结构的思路是: 不论网桥(交换机)之间采用怎样物理联接,网桥(交换机)能够自动发现一个没有

20、环路的拓扑结构的网路，这个逻辑拓扑结构的网路必须是树型的。生成树协议还能够确定有足够的连接通向整个网络的每一个部分。所有网络节点要么进入转发状态，要么进入阻塞状态,这样就建立了整个局域网的生成树。当首次连接网桥或者网络结构发生变化时，网桥都将进行生成树拓扑的重新计算。为稳定的生成树拓扑结构选择一个根桥, 从一点传输数据到另一点, 出现两以上条路径时只能选择一条距离根桥最短的活动路径。 生成树协议这样的控制机制可以协调多个网桥(交换机)共同工作, 使计算机网络可以避免因为一个接点的失败导致整个网络联接功能的丢失, 而且冗余设计的网络环路不会出现广播风暴。2.2 实验内容本实验采用两台hp5308

21、三层交换机，三台hp2626交换机，四台pc机来完成生成树网络拓扑。通过该模拟企业网络核心，通过使用多生成树，在交换机上设置不同的优先级，创建两个实例1和实例2，然后在交换机中不同实例设置不同的优先级，验证网络的连通性。实验拓扑图如下图十一： （图十一）2.3 实验步骤及调试在实验进行前，要按图正确连接号线缆，并有选择的断掉部分连线，防止形成环路。当所有交换机都配置完mstp后再连接冗余线缆。2.3.1 5308-1核心交换机配置1）首先在5308-1交换机上创建vlan 1、vlan 10、vlan 20、vlan 30、vlan 40，并分配好地址。2）然后将b1-b4端口分别tagged

22、到vlan 10、vlan 20、vlan 30、vlan 403）开启路由协议5308-1 (config)#ip routing4）启用生多生成树协议，并设置交换机的优先级为15308-1(config)#spanning-tree5308-1(config)#spanning-tree force-protocol mstp-operation5308-1(config)#spanning-tree priority 1 5）创建实例1和实例2,并设置实例1的优先级为1，实例2的优先级为26）配置完成之后一定要保存后再重启才能生效5308-1(config)# write memory5

23、308-1(config)#reload3.2.2 5308-2核心交换机配置1)首先在5308-2交换机上创建vlan 1、vlan 10、vlan 20、vlan 30、vlan 40，并分配好地址。2) 然后将b1-b4端口分别tagged到vlan 10、vlan 20、vlan 30、vlan 403) 开启路由协议5308-2(config)#ip routing4) 启用生多生成树协议，并设置交换机的优先级为15308-2(config)#spanning-tree5308-2(config)#spanning-tree force-protocol mstp-operation

24、5308-2(config)#spanning-tree priority 1 5) 创建实例1和实例2,并设置实例1的优先级为2，实例2的优先级为16) 配置完成之后一定要保存后再重启才能生效5308-2(config)# write memory5308-2(config)#reload2.3.3 edge-1交换机配置1) 首先在edge-1交换机上创建vlan 1、vlan 10、vlan 20、vlan 30、vlan 40，并分配好地址。2) 然后将25-26端口分别tagged到vlan 10、vlan 20、vlan 30、vlan 403) 开启路由协议edge-1 (con

25、fig)#ip routing4) 启用生多生成树协议，并设置交换机的优先级为2edge-1 (config)#spanning-treeedge-1 (config)#spanning-tree protocol-version mstpedge-1 (config)#spanning-tree priority 2 5) 创建实例1和实例2。6) 配置完成之后一定要保存后再重启才能生效edge-1 (config)# write memoryedge-1 (config)#reload2.3.4 edge-2交换机配置1) 首先在edge-2交换机上创建vlan 1、vlan 10、vla

26、n 20、vlan 30、vlan 40，并分配好地址。2) 然后将25-26端口分别tagged到vlan 10、vlan 20、vlan 30、vlan 403) 开启路由协议edge-2(config)#ip routing4) 启用生多生成树协议，并设置交换机的优先级为2edge-2(config)#spanning-treeedge-2(config)#spanning-tree protocol-version mstpedge-2(config)#spanning-tree priority 2 5) 创建实例1和实例2。6) 配置完成之后一定要保存后再重启才能生效edge-2

27、(config)# write memoryedge-2 (config)#reload2.3.5 edge-3交换机配置1) 首先在edge-3交换机上创建vlan 1、vlan 10、vlan 20、vlan 30、vlan 40，并分配好地址。2) 然后将25-26端口分别tagged到vlan 10、vlan 20、vlan 30、vlan 403）开启路由协议edge-3(config)#ip routing4）启用生多生成树协议，并设置交换机的优先级为2edge-3(config)#spanning-treeedge-3(config)#spanning-tree protocol

28、-version mstpedge-3(config)#spanning-tree priority 2 5) 创建实例1和实例2。6) 配置完成之后一定要保存后再重启才能生效edge-3(config)# write memoryedge-3(config)#reload2.3.6 实验结果当所有配置完成，交换机都重启后，连接好冗余线缆。在edge-1交换机上添加属于vlan10的pc1 ，在edge-2交换机上添加属于vlan20的pc2 ，在edge-3交换机上添加属于vlan30的pc3和属于vlan40的pc4，四台pc之间能相互ping通。1) 实例1验证输入命令查看交换机实例配置

29、5308-1 (config) # show spanning-tree instance 1 （图十二）5308-2 (config) # show spanning-tree instance 1 （图十三）edge-1 (config) # show spanning-tree instance 1 （图十四）edge-2 (config) # show spanning-tree instance 1 （图十五）edge-3 (config) # show spanning-tree instance 1 （图十六）根据以上截图，可以得知5308-1为实例1的根交换机，图示如下。 （图

30、十七）2) 实例2验证输入命令查看各交换机实例2配置5308-1 (config) # show spanning-tree instance 2 （图十八）5308-2 (config) # show spanning-tree instance 2 （图十九）edge-1 (config) # show spanning-tree instance 2 （图二十）edge-2 (config) # show spanning-tree instance 2 （图二十一）edge-3 (config) # show spanning-tree instance 2 （图二十二）根据以上截图，

31、可以得知5308-2为实例2的根交换机，图示如下。 （图二十三）3、心得体会 课程设计终于接近尾声。回想从接到任务到课题完成，短短几天的时间，有苦有甜，有辛勤的汗水，也有会心的微笑。每一次课程设计都是一次对知识的巩固，对自身不足之处的修复，是一次从专业到技能再到内心的真正的提高。 关于这次计算机网络课程设计，收获颇丰。由于是团队合作，我主要负责的是防火墙那块的设计。防火墙的主要作用是检查从外部网络进入内部网络和从内部网络出到外部网络的数据包，位置处于内部网络和外部网络之间，所以需要利用交换机和路由器及其他设备创建模拟因特网和内部网络。对于交换机和路由器的相关配置，虽然教材上没有涉及很多，但是由

32、于之前老师安排做了实验，再加上自己翻阅其他相关书籍，所以也还能轻松解决。尽管如此，实验过程中还是故障重重，时常出现网络连接不通，数据无法到达的情况，而原因则是连线不对，网线故障，代码错误等等。好在在同学和老师的帮助下，总算是将课题做出来了，心中的成就感就不言而喻了。4、 附录5308-1核心交换机配置5308-1(config)# vlan1 ip address 10.1.1.1/245308-1(config)#vlan10 ip address 10.1.10.1/245308-1(config)#vlan20 ip address 10.1.20.2/245308-1(config)#

33、vlan30 ip address 10.1.30.1/245308-1(config)#vlan40 ip address 10.1.40.2/245308-1(config)#vlan 10 tagged b1-b45308-1(config)#vlan 20 tagged b1-b45308-1(config)#vlan 30 tagged b1-b45308-1(config)#vlan 40 tagged b1-b45308-1(config)#spanning-tree config-name hp5308-1(config)#spanning-tree config-revisi

34、on 15308-1(config)#spanning-tree instance 1 vlan 10 305308-1(config)#spanning-tree instance 2 vlan 20 405308-1(config)#spanning-tree instance 1 priority 15308-1(config)#spanning-tree instance 2 priority 25308-2核心交换机配置5308-2(config)# vlan1 ip address 10.1.1.2/245308-2(config)#vlan10 ip address 10.1.1

35、0.2/245308-2(config)#vlan20 ip address 10.1.20.1/245308-2(config)#vlan30 ip address 10.1.30.2/245308-2(config)#vlan40 ip address 10.1.40.1/245308-2(config)#vlan 10 tagged b1-b45308-2(config)#vlan 20 tagged b1-b45308-2(config)#vlan 30 tagged b1-b45308-2(config)#vlan 40 tagged b1-b45308-2(config)#span

36、ning-tree config-name hp5308-2(config)#spanning-tree config-revision 15308-2(config)#spanning-tree instance 1 vlan 10 305308-2(config)#spanning-tree instance 2 vlan 20 405308-2(config)#spanning-tree instance 1 priority 25308-2(config)#spanning-tree instance 2 priority 1edge-1交换机配置edge-1 (config)# vl

37、an1 ip address 10.1.1.3/24edge-1 (config)#vlan10 edge-1 (config)#vlan20 edge-1 (config)#vlan30 edge-1 (config)#vlan40 edge-1 (config)#vlan 10 tagged 25-26edge-1 (config)#vlan 20 tagged 25-26edge-1 (config)#vlan 30 tagged 25-26edge-1 (config)#vlan 40 tagged 25-26edge-1 (config)#spanning-tree config-name hp