网工网络实训报告

网络实训报告

课程名称 网络实训 课题名称 ACL标准访问控制列表

&路由器实现VLAN间通信

专 业 网络工程 班 级 学 号 姓 名 指导教师 陈淑红、张晓清

2016年 12 月 28 日

湖南工程学院 课 程 设 计 任 务 书

课程名称 网络实训 课 题 ACL标准访问控制列表

&路由器实现VLAN间通信

专业班级 网络工程 学生姓名 学 号

指导老师 陈淑红、张晓清 审 批

任务书下达日期 2016 年 12 月 16 日 任务完成日期 2016 年 12 月 28 日

网络实训任务书 1 设计内容与设计要求

1.1设计内容

课题1 路由器实现VLAN间通信 实训内容

首先连接实验拓扑图，然后创建vlan10和vlan20，接着进行交换机端口分配给vlan和配置交换机的trunk端口，完成上述步骤后，进行配置路由器子接口。最后配置电脑，进行调试。

课题2 动态路由RIP配置 实训内容

动态路由协议采用自适应路由算法，能够根据网络拓扑的变化而重新计算最佳路由。首先连接网络拓扑图，完成各个端口的基本配置，接着进行RIP路由协议的配置，包括启用路由器RIP协议第二版本，配置network等，配置结束后，最后进行检测。

I

课题3 动态路由OSPF配置 实训内容

OPSF即开放式最短路径优先，是一个内部网关协议。首先连接网络拓扑图，对各个路由器进行基本配置，接着进行OSPF配置，包括启动OSPF以及network的配置等，完成后进行检测。

II

课题4 局域网的访问控制之ACL标准访问控制列表 实训内容

你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门PC2不能对财务部门PC3进行访问，但经理部PC1可以对财务部门PC3进行访问。

课题5 局域网的访问控制之扩展访问控制列表 实训内容

学校规定学生只能对服务器进行FTP访问，不能进行WWW访问，教工则没有此限制。连接网络拓扑，在交换机上配置扩展ACL，以实现要求，最后进行检测。

III

课题6 网络边界的NAT地址转换 实训内容

配置各路由器和PC地址的IP地址，并使用ping命令确认直连接口相互可以ping通。分别用静态地址转换，动态地址转换，PAT三种方式。最后进行检测。

1.2 选题方案：

每个同学需要完成上述题目中的两个题目。其中一个题目根据学号确定，学号模6加1，即（学号%6+1）。如你的学号为16，则所选题目号为：16%6+1＝（题目5）。每个同学除了做出指定序号的题目外，再自选1~6中另外一个课题做。

1.3设计要求

1.3.1网络实训报告规范 实训报告内容 ① 需求分析：

从功能需求，性能需求，运行环境需求，可靠性需求，安全需求等方面进行分析。 ②网络规划

包括网络结构分析，网络架构设计，网络设备选用，IP地址规划，安全规划，网络拓扑图等。 ③网络实施

包括配置的思路，设计的原理及应用，具体的网络配置命令等。 ④调试分析

包括测试目标，测试数据，测试过程，测试结果等。 ⑤心得体会 ⑥参考文献 ⑦评分表

IV

⑧附件

包括所有的配置命令 （2）书写格式

①课程设计报告装订顺序：封面、任务书、目录、正文、评分、附件（A4大小的图纸及程序清单）。

②正文的格式:一级标题用3号黑体,二级标题用四号宋体加粗, 三级标题用小四号宋体加粗，正文用小四号宋体;行距为22。

③正文总字数要求在5000字以上（不含配置命令）。

1.3.2考核方式

指导老师负责验收程序的运行结果，并结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评，并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。具体考核标准包含以下几个部分： （1）平时出勤 （占10%）

（2）原理阐述，拓扑结构，交换设备配置合理与否（占10%） （3）实验结果是否正确（占40%） （4）设计报告（占30%）

注意：不得抄袭他人的报告（或给他人抄袭），一旦发现，成绩为零分。 （5）独立完成情况（占10%）。 1.3.3 课程验收要求 （1）运行所设计的系统。 （2）回答有关问题。 （3）提交网络实训报告。

2 进度安排

第 17周：星期日 14：00——18：00 上机 第 18 周：星期一8：00——12：00 上机 第 18周：星期三 14：00——18：00 上机 第 18周：星期四 14：00——18：00 上机

V

目 录

1 局域网的访问控制之ACL标准访问控制列表 ........................................................................................ 1 1.1 需求分析 ............................................................................................................................................. 1 1.2 网络规划 ............................................................................................................................................. 1

1.2.1 网络结构分析 ....................................................................................................................... 1 1.2.2 网络设备选用 ....................................................................................................................... 2 1.2.3 IP地址规划配置 ................................................................................................................ 2 1.2.4 实验拓扑图 ........................................................................................................................... 4

1.3网络实施 .............................................................................................................................................. 4

1.3.1 实验原理 ............................................................................................................................... 4 1.3.2 网络配置命令 ....................................................................................................................... 5 1.3.3 配置ACL访问控制列表 ................................................................................................. 6

1.4调试分析 .............................................................................................................................................. 7

1.4.1 测试目标 ............................................................................................................................... 7 1.4.2 测试结果 ............................................................................................................................... 7

2 路由器实现VLAN间通信 ........................................................................................................................ 8 2.1 需求分析 ............................................................................................................................................. 8

2.1.1 实验目的 ............................................................................................................................... 8 2.1.2 实验思想 ............................................................................................................................... 9

2.2 网络规划 ........................................................................................................................................... 10

2.2.1 结构分析 ............................................................................................................................. 10 2.2.2 网络设备选用 ..................................................................................................................... 10 2.2.3 IP地址规划配置 .............................................................................................................. 10 2.2.4 实验拓扑图 ......................................................................................................................... 13

2.3网络实施 ............................................................................................................................................ 14

2.3.1 实验原理 ............................................................................................................................. 14 2.3.2 网络配置命令 ..................................................................................................................... 16

2.4 调试分析 ........................................................................................................................................... 17

2.4.1 测试目标 ............................................................................................................................. 17 2.4.2 测试结果 ............................................................................................................................. 18

3 心得体会................................................................................................................................................... 19 4 参考文献................................................................................................................................................... 21

网络实训报告 1 局域网的访问控制之ACL标准访问控制列表

1.1 需求分析

公司的经理部PC1、销售部PC2、财务部PC3分属于不同的网段，3个PC之间用

路由器连接。为安全起见，要求经理部的PC1能访问财务部的PC2，但是销售部的PC1不可以可以访问财务部的PC3。

1.2 网络规划

1.2.1网络结构分析

选用两台路由器连通各PC所在的网段，在router1中设置访问控制列表并且将该列表应用到f0/0端口，使得来自PC1的流量可以通过而来自PC2的流量不可以通过。一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。如果设备使用了TCAM，比如aute U3052交换机，那么所有的ACL是并行执行的。举例来说，如果一个端口设定了多条ACL规则，并不是逐条匹配，而是一次执行所有ACL语句。ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。假设在的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。

根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和

1

RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上（E0接口），网络才能准确实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。

网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。ACL的主要的命令 命令描述access-list 定义访问控制列表参数ip access-group 指派一个访问控制列表到一个接口ip access-list extended 定义一个扩展访问控制列表Remark 注释一个访问控制列表show ip access-list 显示已配置的访问控制列表。 1.2.2 网络设备选用

先准备三台主机,两台路由器,直连线或交叉线3条。

1.2.3 IP地址规划配置

首先给各台PC机配置IP地址与网关

点击PC1在桌面上选择IP设置用来给PC1配置IP地址，其IP地址为172.16.1.5，掩码为255.255.255.0，网关为172.16.1.1。完成设置后如图2.1：

图2.1 PC1 IP地址设置

2

点击PC2在桌面选择IP设置来给PC2配置IP地址，其IP地址为172.16.2.8，掩码为255.255.255.0，网关为172.16.2.1。完成设置后如图2.2：

图2.2 PC2 IP地址设置

点击PC3在桌面给PC3配置IP地址，其IP地址为172.16.4.2，掩码为255.255.255.0，网关为172.16.4.1。完成设置后如图2.3：

图2.3 PC3 IP地址设置

3

1.2.4实验拓扑图

从软件下方拖出两个路由器、三台PC机按顺序将设备连接起来，连接完成后的如

图2.4：

图2.4 实验拓扑图

1.3网络实施 1.3.1 实验原理

ACL是实现对流经路由器或交换机数据包根据一定的规划进行过滤，从而提高网络可管理性和安全性。IP ACL分两种：标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规划，进行数据包的过滤。

扩展访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规划，进行数据包的过滤。所以在router1中设置创建一个ACL控制访问列表,将这个控制列表应用到其上的F0/0接口以达到控制流量来往的目的。之所以将列表应用到F0/0接口，是因为该实验目的是控制访问财务部的PC3，如果将其应用到F0/1接口的话，那么所有来自PC2的流量都将无法通过router1。

静态路由是指由用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对

4

路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。在一个支持DDR（Dial-on-Demand Routing）的网络中，拨号链路只在需要时才拨通，因此不能为动态路由信息表提供路由信息的变更情况。在这种情况下，网络也适合使用静态路由。

使用静态路由的好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此，网络出于安全方面的考虑也可以采用静态路由。不占用网络带宽，因为静态路由不会产生更新流量。大型和复杂的网络环境通常不宜采用静态路由。一方面，网络管理员难以全面地了解整个网络的拓扑结构；另一方面，当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。当网络发生变化或网络发生故障时，不能重选路由，很可能使路由失败。

1.3.2 网络配置命令

（1）Router0路由器F0/0端口IP地址配置 172.16.1.5

Router(config)#interface fastEthernet 0/0

（进入F0/0端口）

Router(config-if)#ip add 172.16.1.5 255.255.255.0

（给端口配置IP地址）

Router(config-if)#no shutdown （将端口打开） （2）Router0路由器F0/1端口IP地址配置 172.16.2.8 Router(config)#interface fastEthernet 0/1

（进入F0/1端口）

Router(config-if)#ip add 172.16.2.8 255.255.255.0

（给端口配置IP地址）

Router(config-if)#no shutdown （将端口打开）

（3）Router0路由器F1/0端口IP地址配置 172.16.3.1 Router(config)#interface fastEthernet 1/0

（进入F1/0端口）

Router(config-if)#ip add 172.16.3.1 255.255.255.0

（给端口配置IP地址）

Router(config-if)#no shutdown （将端口打开）

5

（4）Router0路由器配置静态路由条目

Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2

（去往4.0网段的数据包送到3.2端口）

（5）Router路由器F0/0口IP地址配置 172.16.4.1 Router(config)#interface fastEthernet 0/0

（进入F0/0端口）

Router(config-if)#ip add 172.16.4.1 255.255.255.0

（给端口配置IP地址）

Router(config-if)#no shutdown （将端口打开） （6）Router1路由器F0/1口IP地址配置 172.16.3.1 Router(config)#interface fastEthernet 0/1

（进入F0/1端口）

Router(config-if)#ip add 172.16.3.1 255.255.255.0

（给端口配置IP地址）

Router(config-if)#no shutdown（将端口打开） （7）Router1路由器配置静态路由条目

Router(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1

（去往1.0网段的数据包送到3.1端口）

Router(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1

（去往2.0网段的数据包送到3.1端口）

1.3.3配置ACL访问控制列表

本次实验中的要求主要是用ACL控制访问列表来实现，其具体命令如下：

Router(config)#access-list

1 deny 172.16.2.0 0.0.0.255

（拒绝网段2.0的流量通过） Router(config)#access-list 1 permit 172.16.1.0 0.0.0.255 （允许网段1.0的流量通过） Router(config)#interface fastEthernet 0/0

（进入F0/0端口）

Router(config-if)#ip access-group 1 out

（在接口F0/0 应用访问控制列表）

6

1.4调试分析

1.4.1测试目标

从经理部使用PC1使用ping命令能够得到PC3的回复，但是从销售部的PC2使用

ping命令无法得到PC3的回复。 1.4.2测试结果

图4.1 PC1测试图

从图4.1中可看出使用ping命令后PC1可以ping通PC3，从 PC1发出的数据包都

得到了PC3的回复。该项目标达到试验要求，测试成功。

图4.2 PC2测试图

从测试结果图4.2可以看到使用ping命令后从 PC2发出的数据包无法得到PC3的

回复，证明PC2的流量无法通过router1的F0/0接口，符合验要求，测试成功。

7

2 路由器实现VLAN间通信 2.1 需求分析

该实验要求在同一台交换机上的不同VLAN间能够通信，因此需要在交换机配置两个

VLAN,因为不同VLAN间无法直接通信，所以需要使用三层交换机或者使用一个路由器做单臂路由，根据该实验要求使用路由器，因此该实验重点在使用路由器做单臂路由，在交换机上将相应的端口上划分给不同VLAN，给相应的pc配置IP地址与网关，然后将交换机与路由器之间连接的端口做trunk并将路由器做单臂路由以实现不同VLAN间的通信。

2.1.1 实验目的

一般情况下VLAN之间无法直接通信，本次实验要求掌握在路由器做单臂路由和来实现VLAN间的通信，实验要求掌握单臂路由及封装dotlq协议，以实现不同VLAN间的通信。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。

在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信，需要通过一个或多个路由器。这样的一个广播域就称为VLAN。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相

8

互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。

VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。

VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。

物理位置不同的多个主机如果划分属于同一个VLAN，则这些主机之间可以相互通信。物理位置相同的多个主机如果属于不同的VLAN，则这些主机之间不能直接通信。VLAN通常在交换机或路由器上实现，在以太网帧中增加VLAN标签来给以太网帧分类，具有相同VLAN标签的以太网帧在同一个广播域中传送。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 2.1.2 实验思想

首先连接实验拓扑图，然后在交换机创建vlan10和vlan20，接着将各交换机端口所对应的PC划分给vlan10和vlan20再将交换机与路由器相连接的端口设置为trunk端口，完成上述步骤后，对路由器的单臂路由及配置封装dot1Q协议进行操作。然后配置电脑IP地址与网关，最后进行调试分析。单臂路由（router-on-a-stick）是指在路由器的一个接口上通过配置子接口（或“逻辑接口”，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。

在Cisco网络体系中，单臂路由是一个重要的学习知识点。通过单臂路由的学习，能够深入的了解VLAN（虚拟局域网）的划分、封装和通信原理，理解路由器子接口、ISL协议和802.1Q协议

9

2.2 网络规划

2.2.1 结构分析

本次实验用到了二层交换机用来划分两个不同

VLAN，交换机的四个接口各连接四台

PC还有一个接口连接路由器，将交换机的该接口配置一个trunk接口。后与路由器连接。 VLAN的中继端口叫做trunk。trunk技术用在交换机之间互连，使不同VLAN通过共享链路与其它交换机中的相同VLAN通信。交换机之间互连的端口就称为trunk端口。trunk是基于OSI第二层数据链路层（DataLinkLayer)的技术。两台交换机上分别创建了多个VLAN（VLAN是基于Layer 2的），在两台交换机上相同的VLAN（比如VLAN10）要通信，需要将交换机A上属于VLAN10的一个端口与交换机B上属于VLAN10的一个端口互连；如果这两台交换机其它相同VLAN间需要通信，那么交换机之间需要更多的互连线，端口利用率就太低了。 交换机通过trunk功能，事情就简单了，只需要两台交换机之间有一条互连线，将互连线的两个端口设置为trunk模式，这样就可以使交换机上不同VLAN共享这条线路。交换端口两种模式：access和trunk。连接终端（如PC）用access模式，设备级连接用trunk模式。把access端口加入到某个 VLAN，那么这个端口就只将这个VLAN的数据转发给PC，PC发送的数据通过这个端口后会打上这个VLAN的ID，转发到相同VLAN。

2.2.2 网络设备选用

四台PC、一台二层交换机、一台2811路由器

2.2.3 IP地址规划配置

PC PC0 PC1 PC3 PC4 IP地址 192.168.1.10 192.168.1.10 192.168.1.10 192.168.1.10 网关 192.168.1.2 192.168.1.2 192.168.2.2 192.168.2.2 VLAN VLAN 10 VLAN 10 VLAN 20 VLAN 20 表2.1 IP地址规划表

10

点击PC0在桌面给PC0配置IP地址，其IP地址为192.168.1.10，掩码为255.255.255.0，网关为195.168.1.2，如图6.1：

图6.1 PC0 IP地址

点击PC1在桌面给PC1配置IP地址，其IP地址为192.168.1.11，掩码为255.255.255.0，网关为195.168.1.2，如图6.2：

图6.2 PC1IP地址

点击PC2在桌面给PC2配置IP地址，其IP地址为192.168.2.10，掩码为255.255.255.0，网关为195.168.2.2，如图6.3：

11

图6.3 PC2IP地址

点击PC3在桌面给PC3配置IP地址，其IP地址为192.168.2.11，掩码为255.255.255.0，网关为195.168.2.2，如图6.4：

图6.4 PC3IP地址

VLAN可以限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

12

增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。给四台PC机配置IP地址与网关，一定要注意不要配置错误，否则在接下来的步骤中将会导致网关的不正确或者IP地址的混乱，这样在路由器的路由条表中将会没有目标网段的条目，数据包从PC机发送出去后，因为网关错误数据包无法出去，或者出来网关之后，数据包的目的IP在路由器中没有相应的路由条目，这会导致数据包无法被路由器转发，这样VLAN间会无法通信。 2.2.4实验拓扑图

图6.5 实验拓扑图

13

2.3网络实施

2.3.1 实验原理

（1）在交换机中，通过VLAN对一个物理网络进行了逻辑划分，不同的VLAN之间是无法直接访问的，必须通过三层的路由设备进行连接。一般利用路由器来做网关或者利用三层交换机来实现不同的VLAN之间的互相通信。

将路由器或交换机相连接，采用IEEE802.1q来启动路由器上的子接口成为干道模式，就可以利用路由器来实现VLAN之间的通信。路由器可以从某一个VLAN接收数据包，并将这个数据包转发到另外的一个VLAN。要实施VLAN间的路由，可以使用路由器的单臂路由功能，而该功能的使用必须在一个路由器的物理接口上启用子接口，也就是将以太网物理接口划分为多个逻辑的、可编址的接口，并配置成干道模式。这样才能使用单臂路由功能。并且将每个VLAN对应一个这种子接口，这样路由器就能够知道如何到达这些互连的VLAN。实现VLAN间的通信，完成实验。VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成，同时还严格限制了用户数量。

根据MAC地址划分，这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。产生很多的重复工作。

按网络层划分，这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。

14

这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

按IP组播划分，IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。

基于规则的划分，也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。

采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。

（2）路由器上，指定以太网子接口属于VLAN1,此命令应用在以太网子接口上。只有配置了该命令之后，以太网子接口才会根据配置的VLAN ID 号在以太网帧头中嵌入VLAN 标签，与该网口相连的交换机接口才能正确处理接收到的帧。在局域网中,通过交换机上配置VLAN可以减少主机通信广播域的范围,当VLAN之间有部分主机需要通信,但交换机不支持三层交换时,可以采用一台 支持802.1Q的路由器实现VLAN的互通.这需要在以太口上建立子接口,分配IP地址作为该VLAN的网关,同时启动802.1Q.协议。路由器的工作原理为从某一个接口接收到一个数据包时，会查看包中的目标网络地址以判断该包的目的地址在当前的路由表中是否存在（即路由器是否知道到达目标网络的路径）。如果发现包的目标地址与本路由器的某个接口所连接的网络地址相同，那么马上数据转发到相应接口；如果发现包的目标地址不是自己的直连网段，路由器会查看自己的路由表，查找包的目的网络所对应的接口，并从相应的接口转发出去；如果路由表中记录的网络地址与包的目标地址不匹配，则根据路由器配置转发到默认接口，在没有配置默认接口的情况下会给用户返回目标地址不可达的 ICMP 信息。

15

2.3.2 网络配置命令

（1）先创建VLAN10，再将F0/2端口与F0/3端口所对应的PC0与PC1配置到VLAN10 Switch(config)#vlan 10 （创建VLAN10） Switch(config)#int f0/2 （进入f0/2端口） Switch(config-if)#switchport access vlan 10

（将端口2的PC0划到VLAN10）

Switch(config)#int f0/3 （进入f0/3端口） Switch(config-if)#switchport access vlan 10

（将端口3的PC1划到VLAN10）

Switch(config-if)#exit （退出当前端口） （2）再将F0/4端口与F0/5端口配置给VLAN20 Switch(config)#vlan 20 （创建VLAN20） Switch(config)#int f0/4 （进入f0/4端口） Switch(config-if)#switchport access vlan 20

(将端口4的PC2划到VLAN20)

Switch(config-if)#exit （退出当前端口）

Switch(config)#int f0/5 （进入f0/5端口） Switch(config-if)#switchport access vlan 20 (将端口5的PC3划到VLAN20)

（3）将F0/1口配置trunk

Switch(config)#interface fastEthernet0/1

（进入f0/1端口）

Switch(config-if)#switchport mode trunk

（将该端口设置为trunk模式）

至此，已将四台PC机所对应端口划分在VLAN10与VLAN20，并且将二层交换机与路由器相连接的端口配置为trunk模式，trunk技术用在交换机之间互连，使不同VLAN通过共享链路与其它交换机中的相同VLAN通信。交换机之间互连的端口就称为trunk端口。交换机的配置完成，接下来将进行路由器的单臂路由配置。

16

（3）Router1单臂路由设置：

配置F0/0.1口 Router>enable

Router#configure termianl

Router(config)#interface fastEthernet 0/0.1（进入f0/0.1端口） Router(config-subif)#description vlan 10 （声明该端口属于VLAN10） Router(config-subif)#encapsulation dot1Q 10

（封装dot1Q协议）

Router(config-subif)#ip address 192.168.1.2 255.255.255.0

（给该端口配置IP地址） （4）配置F0/0.2口

Router(config-subif)#exit （退出f0/0.1接口） Router(config)#int f0/0.2 （进入f0/0.2接口） Router(config-subif)#description vlan 20

（声明该接口属于VLAN20）

Router(config-subif)#encapsulation dot1Q20

（封装dot1Q协议）

Router(config-subif)#ip address 192.168.2.2 255.255.255.0

（给该端口配置IP地址）

2.4 调试分析

2.4.1测试目标

在VLAN10的PC1、PC2能够ping通VLAN20的PC3、PC4。PING (Packet Internet

Groper)，因特网包探索器，用于测试网络连接量的程序。Ping发送一个ICMP(Internet Control Messages Protocol）即因特网信报控制协议；回声请求消息给目的地并报告是否收到所希望的ICMP echo （ICMP回声应答）。它是用来检查网络是否通畅或者网络连接速度的命令。它所利用的原理是这样的：利用网络上机器IP地址的唯一性，给目标IP地址发送一个数据包，再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通，时延是多少。

17

2.4.2测试结果

图8.1 测试通信图

从图8.1中可以看出使用ping命令后只有一个丢包，剩余的三个数据包都得到了

回复，证明VLAN10的PC0能够ping通VLAN20的PC2，测试成功。

图8.2 测试通信图

8.2中可以看到没有丢包，即四个数据包都得到了回复，所以VLAN10的PC1

从图

能够ping通VLAN20的PC3，测试成功。

18

3 心得体会

本次课程设计使我们学习并熟悉CiscoPacketTracer6.0软件的一般操作和运用，在加深对计算机网络课本知识的理解的基础上，学会运用已学的知识设计一个小型互连网络并对其进行分析，并且进一步理解互连网的基本组成、VLAN的基本原理及划分、对网络设备进行相关配置并测试等相关知识。课程设计的目的，实际上是为了让学生更深入的掌握计算机网络的核心内容，实现理论与实践相结合的教学目的，让学生能用具体的实践成果来体现对理论知识掌握的程度，有利于学生提高计算机网络方面的实践能力和加深计算机网络理论知识的理解。

具体来讲，安排计算机网络课程设计的目的主要有两个：一是引导学生将书本上抽象的概念和具体实现技术结合起来，使学习深化；二是消除学生对计算机网络理论知识的神秘感，调动学生学习的积极性与主动性，进而锻炼解决实际问题的能力。通过本课程设计，使学生在对计算机网络技术与发展整体了解基础上，掌握了计算机网络的核心内容、基本概念及子网规划和VLAN划分，初步掌握以TCP/IP协议为主的网络协议结构，培养学生在TCP/IP协议工程和VLAN上的实际工作能力；学会网络构建、日常维护及管理的方法，使学生掌握在信息化社会建设过程中所必需的计算机网络组网和建设所需的基本知识与操作技能。次试验让我更加充分的理解了课本上的知识，并能够加以扩展，从而应用于实践当中。

这几天的课程设计令我受益匪浅，很多平时模棱两可的知识点都认真复习并实践了。我对网络编程提升了认识，我意识到我们所学的东西将来都是要付诸实践的，所以一切要从实际情况出发，理论联系实际，这样才能真正发挥我们所具备的能力。还有这次的课程设计我还是遇到了很多的问题的，不过在老师和同学的帮助下，以及自己到网上的查找下，都顺利的解决了。我觉得，在学习的过程中，当遇到问题苦思不得其所的时候，千万不要一根筋的非得自己做出来，这时候就是我们锻炼交际能力的时候到了，我们可以问老师，也可以问机房里的同学，这样我们既解决了问题，又提升了大家的关系，这是一举两得的事情，因此大家千万不要羞于开口。另外，也可以通过上网查询资料来解决问题，一般来说当我遇到问题时我会先记下来，晚上或者问题比较多的时候就到网络上集中查询或求助。这也是行之有效的办法，通过查找资料，对于这些问题的解决办法我印象相当深刻。

并且通过这次实验我学会了标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规划，进行数据包的过滤。扩展访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规划，进行数据包的过滤。

19

所以在router1中设置创建一个ACL控制访问列表,将这个控制列表应用到其上的F0/0接口以达到控制流量来往的目的。之所以将列表应用到F0/0接口，是因为该实验目的是控制访问财务部的PC3，如果将其应用到F0/1接口的话，那么所有来自PC2的流量都将无法通过router1。在实验二中我了解到要实现VLAN间实现通信需要在交换机创建vlan10和vlan20，接着将各交换机端口所对应的PC划分给vlan10和vlan20再将交换机与路由器相连接的端口设置为trunk端口，完成上述步骤后，对路由器的单臂路由及配置封装dot1Q协议进行操作，然后配置电脑IP地址与网关。VLAN能有效分割局域网，实现各网络区域之间的访问控制。但现实中，往往需要配置某些VLAN之间的互联互通。比如，你的公司划分为领导层、销售部、财务部、人力部、科技部、审计部，并为不同部门配置了不同的VLAN，部门之间不能相互访问，有效保证了各部门的信息安全。但经常出现领导层需要跨越VLAN访问其他各个部门，这个功能就由单臂路由来实现。Ping是Windows、Unix和Linux系统下的一个命令。ping也属于一个通信协议，是TCP/IP协议的一部分。利用“ping”命令可以检查网络是否连通，可以很好地帮助我们分析和判定网络故障。配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。 ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。

最后我觉得命令这东西一定要自己多动手打，而且在输入命令是要细心细致，许多命令要有空格，如果没有空格Cisco的IOS会判定命令错误，各个PC的IP地址网关都需要仔细配置，一旦错误都会导致实验无法完成。路由器的每个端口都是默认关闭的，在完成配置后需要输入no shutdown命令来打开端口。在做实验五访问列表控制时要注意将访问列表应用到对应的端口，如果没有应用到端口，该访问列表无法发挥作用。实验无法成功。并且实验中路由器选择2811的更好，因为其上可以加载的模块相对较多，在实验中当路由器端口不够时能较好地选用。本次试验中有许多命令还没有学习，在实验中有需要使用时就需要查找资料。

20

4 参考文献

[1] 杨云. 计算机网络实训教程[M]. 北京:人民邮电出版社，2008.11. [2] 谢希仁. 计算机网络(第五版)[M]. 北京:电子工业出版社, 2011.4. [3] 斯桃枝. 局域网技术与局域网组建[M]. 北京:人民邮电出版社，2009.4. [4] 曾宪文. 计算机网络技术[M]. 北京:清华大学出版社. 2002.4

21

计算机与通信学院网络实训评分表

课题名称： ACL标准访问控制列表&路由器实现VLAN间通信

项 目 评 价 设计方案的合理性与创造性 设计与调试结果 设计说明书的质量 答辩陈述与回答问题情况 课程设计周表现情况 综合成绩

教师签名：

日 期：

（注：1．此页附在课程设计报告之后；2．综合成绩按优、良、中、及格和不及格五级评定。）

22