校园网组网实验方案

信息与通信工程学院

通信工程专业综合实验报告

2021年9月20日~12月20日


校园网组建与应用 摘 要

  校园网作为数字化校园和智慧校园的重要载体，在师生的工作和生活中占据着举足轻重的地位。校园网要求覆盖整个校园，具有统一、高效、便于管理、可扩展性好以及安全性好等特点。此外，网络内部应存储大量教学资源以供老师学生访问，并为校内人员提供网络服务如Web服务、E-mail服务等。本项目考虑校园网的特征，基于实用设备如路由器、交换机和防火墙等，搭建一个中小型局域网，实现了校园网基本职能。三层组网模型便于网络管理和故障检测，也便于新用户以至于新校区的接入，保证了所设计网络的可扩展性。VLAN划分及ACL的制定，保证了网络的安全性。校内服务器的部署，则完善了资源共享与校内通信的服务。

关键词 校园网 实用设备 组网

The establishment and application of campus network ABSTRACT

 As an important carrier of digital campus and smart campus, campus network occupies a pivotal position in the work and life of teachers and students. Thecampus network is required to cover the entire campus, with the characteristics of uniformity, high efficiency, easy management, good scalability, and good security. In addition, a large number of teaching resources should be stored inside the network for teachers and students to access, and network services such as Web services and E-mail services should be provided for school personnel. This project takes into account the characteristics of the campus network, and builds a small and medium-sized local area network based on practical equipment such as routers, switches, and firewalls to realize the basic functions of the campus network. The three-layer networking model is convenient for network management and fault detection, and it is also convenient for new users and even new campuses to access, ensuring the scalability of the designed network. The division of VLANs and the formulation of ACLs ensure the security of the network. The deployment of the server in the school has improved the service of resource sharing and communication in the school.

KEY WORDS campus network practical equipment network construction

第一章 综述

  校园网作为数字化校园和智慧校园的重要载体，在师生的工作和生活中占据着举足轻重的地位。我们的服务目标是大学校园，最终目的是实现覆盖整个校园区域的互联、统一、高效、可扩展、安全的局域网络。网络结构上，规划合理且便于管理和故障排查；网络布线上，布局统一简洁，便于升级改造；网络功能上，能够保证新用户的便捷接入，提供资源共享能力，以及丰富多彩的网络服务^[1-4]^。基于众多网络资源以及实验室提供的资料^[5-23]^和设备，我们对整个网络进行了分析、设计和实验。

第二章 需求分析

  由于大学校园组成复杂，各个部门、各个区域、师生和临时人员对上网的需求存在一定的差异性，对每个网络于系统复杂程度、应用范围及规模上都存在较大的不同。同时考虑到平时的使用习惯和使用经验，我们从网络性能、网络管理、网络安全、网络服务以及网络扩展五大方面进行了需求分析。

2.1 网络性能需求

1. 带宽合理，保证传输速率。

2. 节点分布合理，保证不同区域接入需求。

3. 设备选用合理，不同层次不同区域设备选用具有合适吞吐量的设备。

2.2 网络管理需求

1. 合理的拓扑结构。树型拓扑结构便于管理和问题排查。

2. 合理的组网模型。三层组网模型及其扁平化处理使得整体网络结构清晰，层次分明。

2.3 网络安全需求

1. 内部网络划分VLAN 网段，隔离广播域，防止网络窃听和非授权的跨网段访问。

2. 使用硬件防火墙，通过ACL限定用户的访问权限，尤其是内外部网络的隔离。

3. 在内网出口上配置NAT转换，不让内网主机直接暴露在因特网上，保证内网主机的安全。

2.4 网络服务需求

1. 搭建Web服务器以提供网页访问服务。

2. 搭建FTP服务器以提供文件资源共享服务。

3. 搭建E-mail服务器以提供邮件转发服务。

4. 搭建DNS服务器实现域名解析服务。

5. 搭建DHCP服务器以便于主机自动获取IP地址。

2.5 网络扩展需求

1. 接入扩展。通过二层、三层交换机的部署，使得新用户、新校区能简单地接入现有网络。

2. 平滑升级。通过网络结构的设计，使得更新换代时能够保证便捷性、非破坏性。升级改造时只需简单地更换高速率的集线设备，就能完成升级。

第三章 布线方案

  为了便于以后校园规划的便捷性，提高网络的可管理性和可扩展性，我们采用的是结构化布线方案。该方案具有实用性、灵活性、模块化、可扩展和可靠性高等五大特点。该布线系统对内适应不同的网络设备、主机、终端、PC及外部设备，可构成灵活的拓扑结构，有足够的系统扩展能力，对外通过与国家公网与外部信息源相连，组成全方位多通道的信息访问系统。既能适应当前信息处理的需要，又充分考虑到信息系统未来的发展趋势。[5]

3.1 结构化布线特点

1. 实用性：实施后的楼宇自动化系统及其所有的子系统的通讯线路和接口都满足国际标准。具有良好的用户使用界面，并且网络管理功能完善、使用方便。

2. 灵活性：系统中任一部分的连接都是灵活的，即从物理接线到数据通讯、语音通讯、智能控制设备之间的连接都不受或极少受物理位置和这些设备类型的限制。

3. 模块化：所有用于连接设备的适配件都是积木式的标准件，不需要掌握很多有关这些领域的专门知识，就能够连接这些设备。

4. 扩展性：由于系统的所有基础设施(材料、部件、通讯设备）都采用国际标准，因此，无论计算机设备、通讯设备、智能控制设备随技术的发展，将来都可能很方便地将其连接到楼宇自动化系统中去。

5. 可靠性：系统中的各个部分都采用高质量的材料、组部件设备实现，并谨慎施工和测试，以保证系统的各个环节都是可靠的。

3.2 结构化布线图

第四章 网络规划

  我们组建的网络采用三层组网模型[5]。该模型自底向上为接入层、汇聚层及核心层，每层设备各司其职，具备良好的可管理性和可扩展性。基于三层组网模型，我们首先设计了整体的校园网络结构，其次由于实验室设备有限，并且经过分析，很多区域的通信过程相同，因此将原有网络结构进行简化，生成验证方案网络结构。最后在简化校园网络的基础上，我们为其进行了明确的IP地址分配和设备端口规划。

4.1 三层组网模型设计原则^[5]^

1. 选择最合适需求的分级模型。边界（汇聚层节点）作为广播的隔离点，同时还是网络控制功能的焦点。

2. 不要使网络的各层总是完全网状的，即接入层交换机不能直接相连，而需要通过汇聚层节点连接。但核心层通常是网状的，目的是考虑到电路冗余和网络收敛速度的原因。

3. 不要把终端工作站安装在主干网上。可提高主干网可靠性，便于通信量管理和增大带宽设计的实现，加快收敛速度。

4. 通过把80%的通信量控制在本地工作组内部，使工作组LAN运行良好。即尽量使联系较多的人员分配在同一子网或同一VLAN中，从而高程度实现通信隔离，既缓解了网络压力，又能保证安全性。

5. 对于网络规模小的，也可以省去汇聚层。

4.2 组网模型说明

  网络结构自底向上分别为接入层、汇聚层、核心层。接入层直接连接学校用户的计算机。以宿舍为例，每层楼设置一个或多个接入层节点（交换机），为每个宿舍留出一个接口。然后该接口通过
AP进行无线局域网覆盖，同时再通过一个交换机（交换机堆叠）接入到宿舍4/6/8人的计算机。其次，整栋楼设置一个汇聚层节点，负责汇总连接接入层节点。各个建筑的汇聚层节点通过光缆连接至核心层节点，核心层连接服务器或者经过路由器接至外部网络。图4-1为整体校园网络结构设计图。

4.2.1核心层

  核心层是局域网的主干部分，主要目的是尽可能快地交换数据。不应涉及费力的数据包操作或减慢数据交换的处理。应避免在核心层使用访问控制列表（ACL）和数据包过滤之类的操作（防火墙的功能）。此外，核心层被认为是所有流量的最终承受者和汇聚者，因此核心层交换机应该采用拥有更高带宽、更高可靠性、更高性能和吞吐量的千兆甚至万兆以上的交换机。一般采用高端三层交换机。

核心层的主要工作为：

1. 提供交换区块间的连接。

2. 提供到其它区块的访问。

3. 尽可能快地交换数据帧或包。

4.2.2汇聚层

  汇聚层是接入层和核心层之间的分界点。负责提供边界定义（如VLAN划分）并对潜在的费力的数据包操作进行处理。汇聚层为接入层提供基于策略的连接，如地址合并、协议过滤、路由服务、认证管理等。通过VLAN划分屏蔽接入层对核心层的影响。提供接入层VLAN之间的互连，控制和限制接入层对核心层的访问，保证核心层的安全和稳定。一般也采用三层交换机。

汇聚层的主要工作为：

1. VLAN聚合。

2. VLAN间路由。

3. 部门级和工作组接入。

4. 广播域或组播域的定义。

5. 介质转换。

6. 安全。

4.2.3接入层

  接入层利用光纤、双绞线、同轴电缆、无线接入技术等传输介质，实现与用户（工作站、AP等）连接，并进行业务和带宽的分配。接入层常用包过滤策略提供基本的安全性，以保护局域网免受网络内外的攻击。接入层的主要准则是通过低成本和高端口密度的设备提供安全接入功能，采用“低端”交换机（二层交换机），被称作工作组交换机或接入层交换机。

接入层的主要工作为：

1. 将流量导入网络。

2. 提供二层服务：基于广播或MAC地址的VLAN成员资格和数据流过滤。

3. 访问控制。

4.2.4各部分区域说明

1. 核心区。设定信息中心为核心区域，仅可在内网中通信，不能访问外网。

2. 无线覆盖区域。此处的无线覆盖区域并非单指某一区域，而是代指每个区域区分于有线网络的无线覆盖。如在每个宿舍的接入层交换机连接多个AP，以保证每间宿舍的无线网覆盖。

3. 涉密机器区域。该区域的机器仅能够在自身VLAN内部通信。

4. 校区B。设置校区B以模拟验证方案的可扩展性，未来随着校园规划增加校区，可继续通过接入核心层交换机接入整体网络。或者如果校区规模非常大，还可以独立于校区A，具备完整的三层结构并通过自己的出口路由器连接外部网络（即与校区A类似）。与校区A的互访仍通过核心层交换机进行。

5. 对内服务器区域。用于部署校内所需要的各种网络服务器。

6. Internet及学校2。由于校园内不允许私自通过路由器接入外网网线，因此我们设立学校2来模拟外部网络用户与内网用户的通信过程。

7. 出口路由器与防火墙。用于隔离内外部网络以及实现接入广域网。设计冗余链路实现负载均衡和热备份，以防止某一个机器宕机之后网络瘫痪。

4.3 网络结构简化

  由于设备和时间有限，考虑到实验的可操作性，我们尽可能简化了网络设计并以此方案进行组网实验。一是对学校建筑选择的简化，二是对VLAN划分的简化，三是网络拓扑结构的简化。图4-2为简化后的验证方案网络拓扑图。图中对各部分VLAN、IP地址以及部分接口做了说明。

1. 建筑选择。只对所设计学校中的部分代表性区域进行网络设计及验证，未在网络拓扑图中出现的部门/区域认为其网络需求与其它区域相同或类似，同时在网络涉设计中会留有便于扩展的接口。经过分析，从所有学校建筑中挑选出五个部分：宿舍楼、科研楼、行政及信息中心。

2. 网络拓扑。对于学校来说，因为其人员多、覆盖范围广，应考虑采用三层结构组网模型。但为了实验的可操作性，并且由于不同汇聚层交换机与核心层交换机的通信过程、以及其下的VLAN的通信过程都是类似的。因此我们省去汇聚层，将接入层交换机与核心层直接相连。

3. VLAN划分。出于便捷性和实用性考虑，同一VLAN内工作站不会分布在不同的交换机上。另外因为不同VLAN间通信均需要通过三层设备（三层交换机或路由器），因此无论是同一交换机上的VLAN，还是不同交换机上的VLAN，其通信过程相同。故在网络设计图中会将不同交换机上的VLAN接入到同一接入层交换机。

   VLAN具体设计：

   1. VLAN2、3、4、6、7间互通

   2. VLAN4只能在内网通信，不能访问外部网络

   3. VLAN5只能在VLAN内部通信

   4. VLAN7属于内部服务器区域，为内网用户提供服务，不能访问外网，也不能被外网访问

4.4 IP地址及设备端口规划

• 接入层交换机：S2A（H3C S3100）

  因为前期实验时没注意到H3C S3100是三层交换机，已经配置了许多，故直接用其代替二层交换机使用。

  表4-1 S2A端口分配表

  端口	模式	VLAN	网段	默认网关
  e0/1~e0/4	access	VLAN2	192.168.2.0	192.168.2.254/24
  e0/5~e0/8	access	VLAN3	192.168.3.0	192.168.3.254/24
  e0/9~e0/12	access	VLAN4	192.168.4.0	192.168.4.254/24
  e0/13~e0/16	access	VLAN5	192.168.5.0	192.168.5.254/24
  e0/20	trunk	VLAN2-4、6-7

• 接入层交换机S2B（Quidway E050）

  表4-2 S2B端口分配表

  端口	模式	VLAN	网段	默认网关
  e0/45~e0/48	access	VLAN6	192.168.6.0	192.168.6.254/24
  e0/10	trunk	VLAN2-4、6-7

• 核心层交换机S3（H3C 3610）

  • 下行端口
    表4-3-1 S3下行端口分配表

    端口	模式	VLAN	网段/IP地址	默认网关
    e1/0/9~e1/0/12	access	VLAN7	192.168.7.0	192.168.7.254/24
    端口	模式	接入设备	allow-pass
    e1/0/1	trunk	S2A	VLAN2-4、6-7
    e1/0/2	trunk	S2B	VLAN2-4、6-7
    interface-vlan	IP地址
    ——————	————-
    interface-vlan2	192.168.2.254
    interface-vlan3	192.168.3.254
    interface-vlan4	192.168.4.254
    interface-vlan6	192.168.6.254
    interface-vlan7	192.168.7.254

• 上行端口
  表4-3-2 S3上行端口分配表

  端口	接入设备	模式	IP地址	网关
  e1/0/20	firewall	access	192.168.10.1	192.168.10.2

• 防火墙firewall（H3C SecPath F100-A）
  表4-4 防火墙端口分配表

  端口	作用	IP地址
  E0/0	内网端口LAN0，trust	192.168.10.2/24
  E1/0	外网端口WAN0，untrust	202.99.160.2/28

• 路由器R1（H3C R2501E）
  表4-5 R1端口分配表

  端口	IP地址
  E0	202.99.160.1/28
  S0	10.1.1.2/24

• 路由器R2（H3C R2501E）
  表4-6 R2端口分配表

  端口	IP地址
  E0	192.168.9.254
  S0	10.1.1.1/24

• 接入层交换机S2C（Quidway E050）

  e0/1~e0/16为VLAN9，直接将e0/4接入路由器R2

第五章 设备配置

5.1设备说明

1. 以太网交换机^[6]^

   1. 定义：交换机是用于电信号转发的网络设备。以太网交换机是基于以太网传输数据的交换机。其每个端口直接与主机相连，并一般工作在全双工方式。实质上就是一个多端口的网桥，能连通多个端口并使每一对相互通信的主机都像独占通信媒体一样，无冲突传输数据（分隔冲突域）。

   2. 传输模式：全双工、半双工、全双工/半双工自适应。

   3. 原理：工作在数据链路层，使用MAC地址（48位，6字节）。当接受到一个广播帧时，他会向除接受端口之外的所有端口转发；当接受到一个单播帧时，检查其目的地址并对应自己的MAC地址表，如果存在目的地址，则转发，如果不存在则泛洪(广播)，广播后如果没有主机的MAC地址与帧的目的MAC地址相同，则丢弃，若有主机相同，则会将主机的MAC自动添加到其MAC地址表中（学习）。

   4. 主要功能：物理编址、网络拓扑结构、错误校验、帧序列以及流控。

   5. 特点：转发速度非常快。

2. 二层交换机^[7]^

   1. 定义：指只支持OSI第二层(数据链路层)交换技术的交换机。

   2. 特点

      1. 多端口数据同时交换，故要求具有很高的交换总线带宽。

      2. 学习端口连接机器的MAC地址，地址表大小影响交换机的接入容量。

      3. 含有专用于处理数据包转发的ASIC（Application Specific Integrated
         Circuit）芯片，转发速度非常快。

3. 三层交换机^[8]^

   1. 定义：具有部分路由器功能的交换机。工作在网络层。基于IP设计。三层交换技术
      = 二层交换技术 + 三层转发技术

   2. 目的：加快大型局域网“内部”的数据交换，所具有的路由功能也是为这目的服务的，能够做到一次路由，多次转发。

   3. 应用环境：大型局域网按功能/地域（逻辑）划分为多个小局域网（VLAN），不同VLAN间通过三层交换机通信，因为它具有二层交换的速度，同时能完成部分传统路由器的功能。

4. 路由器^[9]^

   1. 定义：工作在网络层，用于在不同的网络间存储转发分组。可在异种网络间（如不同局域网、局域网与广域网、广域网与广域网）传输数据并进行路径选择。多协议的路由器可以连接到使用完全不同的网络层、数据链路层和物理层协议的网络。

   2. 原理：

      1. IP地址：通信节点的唯一标识。根据数据包的IP将其从正确接口转发出去。

      2. 控制部分与数据转发部分：在控制部分，路由器通过路由协议交换网络的拓扑结构信息，依照拓扑结构动态生成路由表。在数据转发部分，转发引擎从输入线路接受IP分组之后，分析并修改分组头，使用转发表查找下一跳，把数据交换到输出线路上，向相应方向转发。转发表是根据路由表生成的，其表项和路由表项有直接对应关系，更适合实现快速查找。转发的主要流程包括线路输入、分组头分析、数据存储、分组头修改和线路输出

      3. 输入和输出端口：输入端口是物理链路的连接点，也是数据的接收点。它完成的功能主要包括数据链路层帧的封装和解封装。输出端口主要完成数据的排队、缓冲管理以及调度输出，同时也要执行数据的封装和支持物理层、链路层协议。

      4. 选路策略与选路机制：选路策略——静态/动态路由表确定最佳传输路径。选路机制——查找路由表并根据结果转发。

   3. 功能：

      1. 组网。连接不同网络，提供分组转发；通过分段改进局域网性能，划分网段并阻隔广播包以避免“广播风暴”；多协议路由器实现不同协议间的转换

      2. 安全防护。防止外部网络对内部网络的信息窃取和攻击；阻止内部网络某些用户对外部网络的访问

      3. 网络管理。流量控制。

      4. IP地址共享。内部用户使用外部公开IP地址访问互联网。

5. 防火墙^[10]^

   1. 定义：防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

   2. 功能：

      1. 网络安全屏障：过滤不安全的网络服务

      2. 强化网络安全策略：通过以firewall为中心的安全方案配置，将安全软件配置在防火墙上，集中安全管理。

      3. 监控审计：记录经过firewall的访问并作日志记录。可疑时报警并提供详细信息。

      4. 防止内部信息外泄：划分内部网络，实现内网重点网段的隔离，从而限制局部重点或敏感网络安全问题对全局网络造成的影响。

      5. 日志记录与事件通知。

   3. 特征：

      1. 数据必经之地：内部网络和外部网络之间的所有网络数据流都必须经过防火墙。

      2. 典型的防火墙体系网络结构一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙，只有符合安全策略的数据流才能通过防火墙。

      3. 确保网络流量的合法性

      4. 抗攻击免疫力

   4. 主要类型：

      1. 过滤型（网络层与传输层）

      2. 应用代理型（OSI最高层，应用层之上）

      3. 复合型（应用最广泛）

   5. 关键技术

      1. 包过滤技术（网络层）

      2. 加密技术

      3. 防病毒技术

      4. 代理服务器（实现信息数据IP的虚拟化）

   6. 部署方式

      1. 桥模式（透明模式）：内外网在同一网段。此模式下firewall无IP地址。

      2. 网关模式：内外网不在同一网段，firewall设置网关地址实现路由器的功能。比桥模式更安全。

      3. NAT模式(Network Address
         Translation)：防火墙对内部网络的IP地址进行地址翻译，使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据；当外部网络的响应数据流量返回到防火墙后，防火墙再将目的地址替换为内部网络的源地址。

      4. 高可靠设计：冗余技术。如虚拟路由冗余协议（VRRP）

5.2原理说明

5.2.1 VLAN原理

  VLAN^[11]^（Virtual LAN）即“虚拟局域网”，可以看做是在一个物理局域网络上搭建出几个逻辑上分离的几个局域网。举例来说，如果一个交换机划分为两个VLAN，则相当于这台交换机逻辑上划分为两个交换机。实际上VLAN也可以跨越多台交换机，本质上VLAN是一个网络层次上的概念，将整个网络划分为多个逻辑上隔离的网络（一个VLAN就是一个独立的广播域）。

引入VLAN的概念，主要有以下好处，总结如下：

1. 更安全：数据包仅在本VLAN内传递。

     由于配置了VLAN后，一个VLAN的数据包不会发送到另一个VLAN，这样，其他VLAN的用户的网络上是收不到任何该VLAN的数据包，这样就确保了该VLAN的信息不会被其他VLAN的人窃听，从而实现了信息的保密。

2. 更高效：泛洪转发仅在本VLAN内复制。

     按照802.1D透明网桥的算法，如果一个数据包找不到MAC表，那么交换机就会将该数据包向除接收端口以外的其他所有端口发送，这就是桥的泛洪转发。（典型的广播方式包括组播报文，广播报文，以及未知单播报文都会进行泛洪转发）。这样的结果，毫无疑问极大的浪费了带宽，如果配置了VLAN，那么，当一个数据包需要泛洪转发时，交换机只会将此数据包发送到所有属于该VLAN的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽。

3. 更方便：不改变物理组网的情况下，灵活进行逻辑网络的变更。

     使用VLAN的最终目标就是建立虚拟工作组模型，例如，在企业网中，同一个部门的就好象在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在该虚拟LAN上，而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点，而他仍然在该部门，那么，该用户的配置无须改变；同时，如果一个人虽然办公地点没有变，但他更换了部门，那么，只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个理想的目标，要实现它，还需要一些其他方面的支持。

VLAN交换机的端口一般可以分为几大类：

1. Access端口

     一般用于交换机与终端之间，该类端口仅归属于一个VLAN。Access链路上的报文没有VLAN
   tag，与传统报文保持兼容。但交换机的Access端口上回配置VLAN。这样所有从该Access链路上收到的报文都归属于Access端口所归属的VLAN。（核心概念：报文兼容，没有vlan-tag）

2. Trunk端口

     一般交换机与交换机之间，该类型端口允许多个VLAN的报文通过。该端口所在的链路上的报文需要有VLAN
   tag。（核心概念：除默认VLAN外，其他VLAN报文有vlan-tag）

3. Hybrid端口

     Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。（核心概念：哪些VLAN打tag，哪些不打tag可以手工配置）

  本次实验配置主要用到了Access端口和Trunk端口。

  图是处于VLAN10下的PC1向VLAN20下的PC2发送数据包的流程图：

5.2.2 DHCP原理

  DHCP^[12]^服务事件的序列如下：

  客户机通过将搜索消息广播到本地子网上的有限广播地址 (255.255.255.255) 来搜索 DHCP 服务器。如果存在路由器并已将其配置为充当 BOOTP 中继代理的角色，请求便会传送到不同子网上的其他 DHCP 服务器。客户机的广播包括其唯一的 ID，在 Oracle Solaris 中的 DHCP 实现中，此 ID 由客户机的介质访问控制 (Media Access Control, MAC) 地址派生而来。在以太网上，MAC 地址与以太网地址相同。

  在 DHCP 服务器确定客户机的网络之后，便会选择相应的 IP 地址并确认该地址尚未使用。然后，DHCP服务器通过广播一条提供消息来响应客户机。该提供消息中包含选定的 IP 地址以及有关可为客户机配置的服务的信息。每台服务器都会暂时保留所提供的 IP 地址，直到客户机确定是否使用该 IP 地址为止。

  客户机会根据所提供的服务的数量和类型来选择最佳内容。客户机会广播一条请求来指定提供最佳内容的服务器的 IP 地址。该广播确保所有发出响应的 DHCP 服务器都知道客户机已经选择了一台服务器。未被选中的服务器会取消对之前提供的 IP 地址的保留。

  被选中的服务器会为客户机分配 IP 地址，并将信息存储到 DHCP 数据存储中。该服务器还会向客户机发送一条确认消息 (acknowledgement message, ACK)。确认消息包含客户机的网络配置参数。客户机使用 ping 实用程序测试此 IP
地址，以确保它没有被其他系统使用。然后，客户机会继续引导以加入网络。

  客户机会监视租用时间。当设定的时间段过去时，客户机会向所选的服务器发送一条新消息来延长租用时间。

  接收请求的 DHCP 服务器会延长租用时间，前提是租用仍然遵循由管理员设置的本地租用策略。如果服务器在 20 秒内没有响应，客户机便会广播一条请求，以便其他 DHCP 服务器之一可以延长租用期。

  当客户机不再需要 IP 地址时，便会通知服务器已释放了 IP 地址。此通知可以在正常关机时发送，也可以手动发送。

5.2.3 OSPF原理

  OSPF[13]路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。

  当路由器开启OSPF后，路由器之间就会相互发送HELLO报文，HELLO报文中包含一些路由器和链路的相关信息，发送HELLO报文的目的是为了形成邻居表，然后，路由器之间就会发送LSA（LINK STATE ADVERTISEMENT，链路状态通告），LSA告诉自己的邻居路由器和自己相连的链路的状态，最后，形成网络的拓扑表，其实这个过程是很复杂的，他们经过发LSA，记录LSA，装发LSA，最后形成LSDB（链路状态数据库，即拓扑表），形成拓扑表之后，在经过SPF算法，通过计算LSDB，最后形成路由表。形成路由表后，路由器就可以根据路由表来转发数据包，但是，这只是理想情况，如果之后，网络拓扑发生了变化，或是网络链路出现了问题，OSPF协议还是会经过这三张表来重新计算新的路由，只不过不会这么复杂了，路由器在默认情况下，10S就会发送一次HELLO报文，以检测链路状态，保证链路始终是正常的。

5.2.4 NAT原理

  NAT[14]英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术，如下图所示。因此我们可以认为，NAT在一定程度上，能够有效的解决公网地址不足的问题。

  简单地说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共
IP地址紧缺的问题。通过这种方法，可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。如下图所示。这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由转发。

图5-4 NAT转换演示图

5.2.5 DNS原理

  DNS^[15]^( Domain Name System)是“域名系统”的英文缩写，是一种组织成域层次结构的计算机和网络服务命名系统，它用于TCP/IP网络，它所提供的服务是用来将主机名和域名转换为IP地址的工作。DNS就是这样的一位“翻译官”，它的基本工作原理可用下图来表示。

图5-5 DNS转换原理图

  网络通讯大部分是基于TCP/IP的，而TCP/IP是基于IP地址的，所以计算机在网络上进行通讯时只能识别如“202.96.134.133”之类的IP地址，而不能认识域名。我们无法记住10个以上IP地址的网站，所以我们访问网站时，更多的是在浏览器地址栏中输入域名，就能看到所需要的页面，这是因为有一个叫“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址，然后调出IP地址所对应的网页。

  DNS采用分布式层次式数据库。包含根域名服务器、顶级域名服务器、权威域名服务器、本地域名解析服务器等。

DNS查询过程：

1. 迭代查询

   

2. 递归查询

   

5.2.6 ACL原理

  访问控制列表ACL^[16]^（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

  ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。通过ACL可以实现对网络中报文流的精确识别和控制，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

  ACL由一系列规则组成，通过将报文与ACL规则进行匹配，设备可以过滤出特定的报文，组成如下：

• ACL编号：用于标识ACL，表明该ACL是数字型ACL。根据ACL规则功能的不同，ACL被划分为基本ACL、高级ACL、二层ACL和用户ACL这几种类型，每类ACL编号的取值范围不同。

• 规则：即描述报文匹配条件的判断语句。

• 规则编号：用于标识ACL规则。可以自行配置规则编号，也可以由系统自动分配。ACL
  规则的编号范围是0～4294967294，所有规则均按照规则编号从小到大进行排序。所以，图1中的rule5排在首位，而规则编号最大的rule4294967294排在末位。系统按照规则编号从小到大的顺序，将规则依次与报文匹配，一旦匹配上一条规则即停止匹配。

• 动作：包括permit/deny两种动作，表示允许/拒绝。

• 匹配项：ACL定义了极其丰富的匹配项。除了图中的源地址和生效时间段，ACL还支持很多其他规则匹配项。例如，二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）、三层报文信息（如目的地址、协议类型）以及四层报文信息（如TCP/UDP端口号）等。

• ACL的匹配机制

  

  1. 首先系统会查找设备上是否配置了ACL。
  2. 如果ACL不存在，则返回ACL匹配结果为：不匹配。
  3. 如果ACL存在，则查找设备是否配置了ACL规则。
  4. 如果匹配上了permit规则，则停止查找规则，并返回ACL匹配结果为：匹配（允许）。
  5. 如果匹配上了deny规则，则停止查找规则，并返回ACL匹配结果为：匹配（拒绝）。
  6. 如果未匹配上规则，则继续查找下一条规则，以此循环。如果一直查到最后一条规则，报文仍未匹配上，则返回ACL匹配结果为：不匹配。
  7. 如果规则不存在，则返回ACL匹配结果为：不匹配。
  8. 如果规则存在，则系统会从ACL中编号最小的规则开始查找。设备将报文与ACL规则进行匹配时，遵循“一旦命中即停止匹配”的机制

    从整个ACL匹配流程可以看出，报文与ACL规则匹配后，会产生两种匹配结果：“匹配”和“不匹配”。

  • 匹配（命中规则）：指存在ACL，且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”，都称为“匹配”，而不是只是匹配上permit规则才算“匹配”。
  • 不匹配（未命中规则）：指不存在ACL，或ACL中无规则，再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。以上三种情况，都叫做“不匹配”。

5.3具体配置

  根据验证方案网络结构设计图（图4-2），S2A上配置了VLAN2、3、4、5，S2B上配置了VLAN6，S2C上配置了VLAN9。此外，S3上的配置包括VLAN7、VLAN-Interface2~7、DHCP协议、OSPF协议。防火墙配置包括NAT协议、OSPF协议以及控制内外部网络用户访问权限的ACL列表。R1、R2所含配置为OSPF协议。

5.3.1接入层交换机S2A

• VLAN配置指令

  * VLAN2、3、4、5
  [S2A] vlan 2
  [S2A-vlan2] port e0/1 to e0/4   #把e0/1到e0/4加入到vlan 2
  [S2A] vlan 3
  [S2A-vlan3] port e0/5 to e0/8   #把e0/5到e0/8加入到vlan 3
  [S2A] vlan 4
  [S2A-vlan4] port e0/9 to e0/12  #把e0/9到e0/12加入到vlan 4
  [S2A] vlan 5
  [S2A-vlan5] port e0/13 to e0/16  #把e0/13到e0/16加入到vlan 5
  * 检查配置情况
  [S2A] display vlan all
  * 配置trunk端口
  [S2A] interface e0/20
  [S2A-e0/20] port link-type trunk  #设置端口模式为trunk
  [S2A-e0/20] port trunk permit vlan 2 3 4 6 7 8  #该端口可以通过vlan 2 3 4 6 7 8的数据
  * 检查配置情况
  [S2A] display interface e0/20		# 注意看allow-pass是否包含2&3&4

• 配置结果

  

5.3.2接入层交换机S2B

• 配置指令

  * VLAN6
  [S2B] vlan 6
  [S2B-vlan6] port e0/1 to e0/4  	#把e0/1到e0/4加入到vlan 6
  * 检查配置情况
  [S2B] display vlan 6
  * 配置trunk端口
  [S2B] interface e0/10
  [S2B-e0/10] port link-type trunk  #设置端口模式为trunk
  [S2B-e0/10] port trunk permit vlan 2 3 4 6 7  #该端口可以通过vlan 2 3 4 6 7的数据
  * 检查配置情况
  [S2B] display interface e/10

• 配置结果

  

5.3.3接入层交换机S2C

• VLAN配置指令

  * VLAN9
  [S2C] vlan 9
  [S2C-vlan9] port e0/1 to e0/16  #把e0/1到e0/16加入到vlan 9
  * 检查配置情况
  [S2C] display vlan 9

• 配置结果

  

5.3.4核心层交换机S3

1. VLAN及interface-vlan配置

   • 配置指令

     * VLAN2/3/4/6/7/8及SVI配置
     [S3] vlan 2
     [S3-vlan2] interface vlan 2
     [S3-vlan-interface2] ip address 192.168.2.254 255.255.255.0		# 或用24代表掩码位数
     [S3] vlan 3
     [S3-vlan3] interface vlan 3
     [S3-vlan-interface3] ip address 192.168.3.254 255.255.255.0	
     [S3] vlan 4
     [S3-vlan4] interface vlan 4
     [S3-vlan-interface4] ip address 192.168.4.254 255.255.255.0	
     [S3] vlan 6
     [S3-vlan6] interface vlan 6
     [S3-vlan-interface6] ip address 192.168.6.254 255.255.255.0
     [S4] vlan 7
     [S3-vlan7] port e1/0/9 to e1/0/12  		#把e1/0/9到e1/0/12加入到vlan 7
     [S3-vlan7] interface vlan 7
     [S3-vlan-interface7] ip address 192.168.7.254 255.255.255.0
     * trunk端口配置
     [S3] interface e1/0/1				  # 该端口连接S2A
     [S3-e1/0/1] port link-type trunk       #设置端口模式为trunk
     [S3-e1/0/1] port trunk permit vlan 2 3 4 6 7 #该端口可以通过vlan 2 3 4 6 7的数据
     [S3] interface e1/0/2				 # 该端口连接S2B
     [S3-e1/0/2] port link-type trunk      #设置端口模式为trunk
     [S3-e1/0/2] port trunk permit vlan 2 3 4 6 7 #该端口可以通过vlan 2 3 4 6 7的数据

   • 配置结果

     

2. DHCP协议配置

   • 配置指令

     [S3] dhcp enble  #三层交换机开启dhcp服务
     * VLAN 2
     [S3] dhcp server ip-pool 2  #开辟地址池2
     [S3-ip-pool-2] network 192.168.2.0 24 	#分配地址池中可分发的地址段
     [S3-ip-pool-2] gateway-list 192.168.2.254  #配置网关
     [S3-ip-pool-2] dns-list 192.168.7.2        #配置dns服务器ip
     * VLAN 3
     [S3] dhcp server ip-pool 3  #开辟地址池3
     [S3-ip-pool-3] network 192.168.3.0 24    #分配地址池中可分发的地址段
     [S3-ip-pool-3] gateway-list 192.168.3.254 #配置网关
     [S3-ip-pool-3] dns-list 192.168.7.2      #配置dns服务器ip
     * VLAN 4 
     [S3] dhcp server ip-pool 4  #开辟地址池4
     [S3-ip-pool-4] network 192.168.4.0 24  #分配地址池中可分发的地址段
     [S3-ip-pool-4] gateway-list 192.168.4.254   #配置网关
     [S3-ip-pool-4] dns-list 192.168.7.2  #配置dns服务器ip
     * VLAN 6
     [S3] dhcp server ip-pool 6  #开辟地址池6
     [S3-ip-pool-6] network 192.168.6.0 24  #分配地址池中可分发的地址段
     [S3-ip-pool-6] gateway-list 192.168.6.254  #配置网关
     [S3-ip-pool-6] dns-list 192.168.7.2 #配置dns服务器ip

   • 配置结果

     

3. OSPF协议配置

   • 配置指令

     [S3] vlan 10
     [S3-vlan10] port e1/0/20  #把e1/0/20加入到vlan 10
     [S3] ospf  			 	 #开启ospf服务
     [S3-ospf-1] area 0 
     [S3-ospf-1-area0.0.0.0] network 192.168.2.0 0.0.0.255
     [S3-ospf-1-area0.0.0.0] network 192.168.3.0 0.0.0.255
     [S3-ospf-1-area0.0.0.0] network 192.168.4.0 0.0.0.255
     [S3-ospf-1-area0.0.0.0] network 192.168.6.0 0.0.0.255
     [S3-ospf-1-area0.0.0.0] network 192.168.7.0 0.0.0.255
     [S3-ospf-1-area0.0.0.0] network 192.168.8.0 0.0.0.255
     [S3-ospf-1-area0.0.0.0] network 192.168.10.0 0.0.0.255

   • 配置结果

     ospf 1
     area 0.0.0.0
     network 192.168.2.0 0.0.0.255
     network 192.168.3.0 0.0.0.255
     network 192.168.4.0 0.0.0.255
     network 192.168.6.0 0.0.0.255
     network 192.168.7.0 0.0.0.255
     network 192.168.8.0 0.0.0.255
     network 192.168.10.0 0.0.0.255

5.3.5防火墙firewall

• 配置指令

  <firewall> sys
  [firewall] int e0/0  ##对内的接口
  [firewall-e0/0] ip add 192.168.10.2 24   #配置e0/0端口ip
  [firewall-e1/0] int e1/0  #对外的接口
  [firewall-e1/0] ip add 202.99.160.2 28   #配置e1/0端口ip
  [firewall] fire zone untrust
  [firewall-untrust] add int e1/0   		  #将e1/0端口加入到untrust域
  [firewall] quit 
  [firewall] fire zone trust
  [firewall-trust] add int e0/0      		  #将e0/0端口加入到trust域
  ####配置内部网段VLAN2、3、6的NAT转换，以及禁止VLAN4访问外部网络
  ####配置ACL准则
  [firewall] acl number 2000 #该准则应用到e1/0的出端口，允许以下网段访问外网
  [firewall-acl-2000] rule 0 permit source 192.168.2.0 0.0.0.255 
  [firewall-acl-2000] rule 1 permit source 192.168.3.0 0.0.0.255 
  [firewall-acl-2000] rule 2 permit source 192.168.6.0 0.0.0.255 
  [firewall] acl number 2002#该准则应用到e1/0的出端口，拒绝该网段访问外网
  [firewall-acl-2002] rule 2 deny source 192.168.4.0 0.0.0.255 
  
  ####配置nat地址池
  [firewall] nat address-group 0 202.99.160.5 202.99.160.11
  ####端口应用acl
  [firewall] interface Ethernet1/0
  [firewall-e1/0] nat outbound 2000 address-group 0   #应用nat协议和acl规则
  [firewall-e1/0] firewall packet-filter 2002 outbound  #应用acl规则
  ####配置OSPF协议
  [firewall] ospf 1 
  [firewall-ospf-1] area 0.0.0.0
  #0.0.0.255是反掩码，代表192.168.10.0网段的255台主机都包含在内
  [firewall-area-0.0.0.0] network 192.168.10.0 0.0.0.255	
  [firewall-area-0.0.0.0] network 202.99.160.0 0.0.0.15
  [firewall] firewall packet-filter default permit		#使能默认允许包通过

• 配置结果

  [H3C]dis cu
  #
  sysname H3C								#防火墙系统名称
  #
  firewall packet-filter enable					#开启包过滤功能
  firewall packet-filter default permit			#使能默认允许包通过
  #
  insulate
  #
  undo connection-limit enable
  connection-limit default deny
  connection-limit default amount upper-limit 50 lower-limit 20
  #
  nat address-group 0 202.99.160.5 202.99.160.11	#NAT转换的IP地址池
  #
  firewall statistic system enable
  #
  radius scheme system
  server-type extended
  #
  domain system
  #
  local-user hjd						#本地用户hjd，用于通过ftp拷贝配置文件
  password simple hjd				#密码设置为hjd
  #                                         
  traffic behavior sit-permit               
  #                                         
  acl number 2000                   #允许以下网段进行NAT转换
  rule 0 permit source 192.168.2.0 0.0.0.255
  rule 1 permit source 192.168.3.0 0.0.0.255
  rule 2 permit source 192.168.6.0 0.0.0.255
  acl number 2002                    #禁止该网段从防火墙出去到外部网络
  rule 0 deny source 192.168.4.0 0.0.0.255 
  #                                         
  interface Aux0                            
  async mode flow                          
  #                                         
  interface Ethernet0/0                 #内网接口的IP地址
  ip address 192.168.10.2 255.255.255.0    
  #                                         
  interface Ethernet0/1                     
  #                                         
  interface Ethernet0/2                     
  #                                         
  interface Ethernet0/3                     
  #                                         
  interface Ethernet1/0                 #外网接口的IP地址
  ip address 202.99.160.2 255.255.255.240  
  firewall packet-filter 2002 outbound     #包过滤
  nat outbound 2000 address-group 0      #应用NAT协议
  #                                         
  interface Ethernet1/1                     
  #                                         
  interface Ethernet1/2                     
  #                                         
  interface NULL0                           
  #                                         
  firewall zone local                    #默认。local域优先级为100
  set priority 100                         
  #                                         
  firewall zone trust                    #默认。trust域优先级85（内网）
  add interface Ethernet0/0                
  set priority 85                          
  #                                         
  firewall zone untrust                  #默认。untrust域优先级5（外网）
  add interface Ethernet1/0                
  set priority 5                           
  #                                         
  firewall zone DMZ                   #默认。DMZ域，本实验没有用到
  add interface Ethernet0/1                
  set priority 50                          
  #                                         
  firewall interzone local trust            
  #                                         
  firewall interzone local untrust          
  #                                         
  firewall interzone local DMZ              
  #                                         
  firewall interzone trust untrust          
  #                                         
  firewall interzone trust DMZ              
  #                                         
  firewall interzone DMZ untrust            
  #
  ospf 1                              #OSPF协议配置
  area 0.0.0.0                             
    network 192.168.10.0 0.0.0.255          
    network 202.99.160.0 0.0.0.15           
  #                                         
  FTP server enable                     #开启FTP服务器用于拷贝配置文件
  #								    #以下均为默认配置，无需特别设置
  firewall defend ip-spoofing              
  firewall defend land                     
  firewall defend smurf                    
  firewall defend fraggle                  
  firewall defend winnuke                  
  firewall defend icmp-redirect            
  firewall defend icmp-unreachable         
  firewall defend source-route             
  firewall defend route-record             
  firewall defend tracert                  
  firewall defend ping-of-death            
  firewall defend tcp-flag                 
  firewall defend ip-fragment              
  firewall defend large-icmp               
  firewall defend teardrop                 
  firewall defend ip-sweep                 
  firewall defend port-scan                
  firewall defend arp-spoofing             
  firewall defend arp-reverse-query        
  firewall defend arp-flood                
  firewall defend frag-flood               
  firewall defend syn-flood enable         
  firewall defend udp-flood enable         
  firewall defend icmp-flood enable        
  #                                         
  user-interface con 0                      
  user-interface aux 0
  user-interface vty 0 4
  # 
  return

5.3.6路由器R1

• 配置指令

  [R1] ospf enable 			# 开启ospf服务
  [R1] display ospf
  [R1] interface e0  
  [R1-interface0] ospf enable area 0				#允许区域0的OSPF协议
  [R1-interface0] ospf network-type broadcast		#设置网络方式为广播
  报错：找不到配置选项（再执行一遍就行）
  [R1-interface0] ospf network-type broadcast
  [R1] interface s0
  [R1-serial0] ospf enable area 0
  [R1-serial0] ospf network-type broadcast
  报错：找不到配置选项（再执行一遍就行）
  [R1-serial0] ospf network-type broadcast
  [R1] display ospf routing	# 查看OSPF配置信息

• 配置结果

  

  

5.3.7路由器R2

• 配置指令

  [R2] ospf enable  			# 开启ospf服务
  [R2-ospf] quit
  [R2] display ospf
  [R2] interface e0
  [R2-interface0] ospf enable area 0
  [R2-interface0] ospf network-type broadcast
  报错：找不到配置选项（再执行一遍就行）
  [R2-interface0] ospf network-type broadcast
  [R2] display ospf routing	# 查看OSPF配置信息

• 配置结果

  

  

第六章 网络服务

6.1 FTP服务器

6.1.1 简介

  FTP服务器^[17]^（File Transfer Protocol Server）是在互联网上提供文件存储和访问服务的计算机，它们依照FTP协议提供服务，FTP是File Transfer Protocol(文件传输协议)，顾名思义，就是专门用来传输文件的协议，简单地说，支持FTP协议的服务器就是FTP服务器。

  FTP是用来在两台计算机之间传输文件，是Internet中应用非常广泛的服务之一，它可根据实际需要设置各用户的使用权限，同时还具有跨平台的特性，即在UNIX、Linux和Windows等操作系统中都可实现FTP客户端和服务器，相互之间可跨平台进行文件的传输。因此，FTP服务是网络中经常采用的资源共享方式之一，FTP协议有PORT和PASV两种工作模式，即主动模式和被动模式。

  FTP（File Transfer Protocol）即文件传输协议，是一种基于TCP的协议，采用客户/服务器模式，通过FTP协议，用户可以在FTP服务器中进行文件的上传或下载等操作，虽然现在通过HTTP协议下载的站点有很多，但是由于FTP协议可以很好地控制用户数量和宽带的分配，快速方便地上传、下载文件，因此FTP已成为网络中文件上传和下载的首选服务器，同时，它也是一个应用程序，用户可以通过它把自己的计算机与世界各地所有运行FTP协议的服务器相连，访问服务器上的大量程序和信息。

FTP服务的功能是实现完整文件的异地传输，特点如下：

1. FTP使用两个平行连接：控制连接和数据连接。控制连接在两主机间传送控制命令，如用户身份、口令、改变目录命令等。数据连接只用于传送数据。

2. 在一个会话期间，FTP服务器必须维持用户状态，也就是说，和某一个用户的控制连接不能断开。另外，当用户在目录树中活动时，服务器必须追踪用户的当前目录，这样，FTP就限制了并发用户数量。

3. FTP支持文件沿任意方向传输。当用户与一远程计算机建立连接后，用户可以获得一个远程文件也可以将一本地文件传输至远程机器。

6.1.2 配置方法

1. 安装IIS(Internet Information Services)

   1. 计算机—控制面板—程序—打开或关闭Windows功能

   2. 将Internet信息服务下的FTP服务器与Web管理工具(IIS)全部勾选，等它自动安装完成

      

2. 网站搭建

   1. 点击计算机右键—管理—服务和应用程序，点击Internet信息服务（IIS）管理

   2. 网站右键—添加FTP站点，输入名称并添加一条物理路径（新建一个文件夹即可）

      

   3. 下一步，默认端口位21，IP地址填写本机地址如192.168.7.1，勾选无SSL。

      

   4. 下一步，身份验证选择匿名和基本，选择所有用户可访问，权限勾选读取和写入。创建完成。

      

3. 服务测试

   打开文件资源管理器，输入ftp://192.168.7.1，可以进入为FTP设置的文件夹。

6.2 E-mail服务器

6.2.1 简介

  邮件服务器^[18]^是一种用来负责电子邮件收发管理的设备。邮件服务器构成了电子邮件系统的核心。每个收信人都有一个位于某个邮件服务器上的邮箱(mailbox)。Bob的邮箱用于管理和维护已经发送给他的邮件消息。一个邮件消息的典型旅程是从发信人的用户代理开始，邮件发信人的邮件服务器，中转到收信人的邮件服务器，然后投递到收信人的邮箱中。当Bob想查看自己的邮箱中的邮件消息时，存放该邮箱的邮件服务器将以他提供的用户名和口令认证他。Alice的邮件服务器还得处理Bob的邮件服务器出故障的情况。如果Alice的邮件服务器无法把邮件消息立即递送到Bob的邮件服务器，Alice的服务器就把它们存放在消息队列(message queue)中，以后再尝试递送。这种尝试通常每30分钟左右执行一次：要是过了若干天仍未尝试成功，该服务器就把这个消息从消息队列中去除掉，同时以另一个邮件消息通知发信人(即Alice)。

  简单邮件传送协议(SMTP)是因特网电子邮件系统首要的应用层协议。它使用由TCP提供的可靠的数据传输服务把邮件消息从发信人的邮件服务器传送到收信人的邮件服务器。跟大多数应用层协议一样，SMTP也存在两个端：在发信人的邮件服务器上执行的客户端和在收信人的邮件服务器上执行的服务器端。SMTP的客户端和服务器端同时运行在每个邮件服务器上。当一个邮件服务器在向其他邮件服务器发送邮件消息时，它是作为SMTP客户在运行。当一个邮件服务器从其他邮件服务器接收邮件消息时，它是作为SMTP服务器在运行。

6.2.2 配置方法

我们采用Winmail 邮件服务器+ Foxmail客户端来搭建局域网邮件服务器。

1. 准备两台电脑通过交换机相连，在其中一台电脑上安装Winmail服务器，并在两台电脑上均安装好Foxmail客户端。

2. 运行Winmail
   server，然后打开Winmail管理客户端，管理用户的用户名和密码随意设置。

   • 创建域名
   • 创建用户名和密码。

3. 在两台电脑的Foxmail上分别创建上一步定义好的用户。打开Foxmail，选择其它邮箱。按下图配置。此时需要保证该电脑已经与邮件服务器所在电脑处于同一局域网下。

   

4. 发邮件测试。

6.3 Web服务器

6.3.1 简介

  WEB服务器^[19]^也称为WWW(WORLD WIDE WEB)服务器，主要功能是提供网上信息浏览服务。WWW 是 Internet 的多媒体信息查询工具，是 Internet 上近年才发展起来的服务，也是发展最快和目前用的最广泛的服务。正是因为有了WWW工具，才使得近年来 Internet 迅速发展，且用户数量飞速增长。

 Web服务器是指驻留于因特网上某种类型计算机的程序。当Web浏览器（客户端）连到服务器上并请求文件时，服务器将处理该请求并将文件反馈到该浏览器上，附带的信息会告诉浏览器如何查看该文件（即文件类型）。服务器使用HTTP（超文本传输协议）与客户机浏览器进行信息交流，这就是人们常把它们称为HTTP服务器的原因。

 Web服务器不仅能够存储信息，还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。

 Web服务器的工作原理并不复杂，一般可分成如下4个步骤：连接过程、请求过程、应答过程以及关闭连接。下面对这4个步骤作一简单的介绍。连接过程就是Web服务器和其浏览器之间所建立起来的一种连接。查看连接过程是否实现，用户可以找到和打开socket这个虚拟文件，这个文件的建立意味着连接过程这一步骤已经成功建立。请求过程就是Web的浏览器运用socket这个文件向其服务器而提出各种请求。应答过程就是运用HTTP协议把在请求过程中所提出来的请求传输到Web的服务器，进而实施任务处理，然后运用HTTP协议把任务处理的结果传输到Web的浏览器，同时在Web的浏览器上面展示上述所请求之界面。关闭连接就是当上一个步骤–应答过程完成以后，Web服务器和其浏览器之间断开连接之过程。Web服务器上述4个步骤环环相扣、紧密相联，逻辑性比较强，可以支持多个进程、多个线程以及多个进程与多个线程相混合的技术。

6.3.2 配置方法

我们采用NodeJs + Git + Hexo搭建了一个简单的静态网页。

1. 安装NodeJs和Git

2. 安装Hexo

   1. 找个地方右键`Git Bash Here`，后面的指令操作都是使用`Git Bash`

   2. 配置npm的国内镜像源：

      npm install -g cnpm –registry=https://registry.npm.taobao.or

   3. 配置完成后，输入npm info hexo，如果配置成功，dist会显示

      .tarball: https://registry.nlark.com/hexo/download/hexo-5.4.0.tgz

   4. 通过npm安装Hexo（-g是指定全局安装，之后可以在任意位置使用hexo指令）

      npm install -g hexo

   5. 然后输入hexo -v查看是否安装成功。若出现版本号，则至此已安装完成

   6. 接下来初始化我们的静态网站，进入到存放博客文件的目录下

      hexo init MyBlog # 初始化创建，将在当前目录下新建MyBlog文件夹

      cd MyBlog # 进入这个文件夹，这个文件夹下面将存放所有相关文件

      npm install # 进一步安装hexo所需文件

      1. 大概效果如下：

         

      2. 指令执行完成后，指定文件夹MyBlog目录下有：

         * node_modules/：Hexo的依赖包

         * scaffolds/：生成文章的一些模板

         * source/：用来存放写的文章

         * themes/：主题

         * _config.yml：博客的配置文件

         *
         其它：.github/、.gitignore、_config.landscape.yml、package.json、package-lock.json

   7. 打开本地服务器查看博客

      hexo generate # 生成静态网页

      hexo server # 打开本地服务器(默认是4000端口)

      正常情况下应该会出现下图：

      

6.4 DNS服务器

 由于我们发现Windows自带的IIS(Internet Information Services)无法配置DNS服务器，且在因为安装Windows Server
2016 需要更换实验室电脑系统，故采用Ubuntu-21.04-desktop和DNS服务器软件BIND9（Berkeley Internet Name Domain v9）进行DNS的服务搭建。由于搭建步骤较为繁琐，故没有写在报告里，所有步骤均已整理至博客中^[20]^。

第七章 验证方案

1. DHCP协议配置测试（VLAN2-4）

   

2. 内网VLAN内通信测试（以VLAN2为例）

   

   

3. 内网VLAN间通信测试

   

   

4. 内外部网络通信测试

   

   

5. 网络服务测试

   

   

   

   

6. NAT转换测试

   

第八章 改进

 出于模拟真实网络拓扑结构的考虑，我们针对原有结构和功能做了些许改动。由于时间有限，我们简单地将内网中的FTP服务器开放给外部网络^[23]^，并利用IIS(Internet Information Services)在外部网络搭建FTP、Web服务器以供内网访问测试。测试网络拓扑如图8-1所示。

本次改进涉及设备有：防火墙、外部网络服务器。

具体配置包括：

1. 将内网FTP服务器地址192.168.7.1:21经过NAT转换为公网IP地址202.99.160.12:21。

2. 在外部网络新增两个服务：FTP、Web服务器，IP地址为202.99.160.3。

   防火墙配置指令：

   [firewall] acl number 2003
   [firewall-acl-2003] rule 0 permit source 192.168.7.1 0			#仅允许一台主机进行转换
   [firewall] nat address-group 1 202.99.160.12 202.99.160.12		#NAT转换地址池
   [firewall] int e1/0				#进入WAN0口（外网接口）
   [firewall-e1/0] nat server protocol tcp global 202.99.160.12 ftp inside 192.168.7.1 ftp
   [firewall-e1/0] nat outbound 2003 address-group 1				#应用NAT转换的ACL

   防火墙相关配置结果：（仅包含相关内容）

   #
   sysname H3C
   #
   firewall packet-filter enable					#使能包过滤功能
   firewall packet-filter default permit				#默认允许包通过
   #
   nat address-group 0 202.99.160.5 202.99.160.11	#VLAN236网段的公网IP地址池
   nat address-group 1 202.99.160.12 202.99.160.12	#内网服务器的公网IP地址池
   #
   acl number 2000                           
   rule 0 permit source 192.168.2.0 0.0.0.255
   rule 1 permit source 192.168.3.0 0.0.0.255
   rule 2 permit source 192.168.6.0 0.0.0.255
   acl number 2002                           
   rule 0 deny source 192.168.4.0 0.0.0.255 
   acl number 2003                           	#内网服务器NAT转换相关
   rule 0 permit source 192.168.7.1 0       
   #                                         
   interface Ethernet0/0                     
   ip address 192.168.10.2 255.255.255.0    
   #
   interface Ethernet1/0 
    ip address 202.99.160.2 255.255.255.240  
    firewall packet-filter 2002 outbound  			#应用ACL2002规则进行包过滤
    nat outbound 2003 address-group 1				#内网服务器NAT转换
    nat outbound 2000 address-group 0				#内网VLAN236网段NAT转换
    #内网FTP服务器的NAT端口映射
    nat server protocol tcp global 202.99.160.12 ftp inside 192.168.7.1 ftp
   #

   配置结果测试：

   • 外部网络用户202.99.160.4通过公网IP地址202.99.160.12访问内网FTP服务器

     

   • 内网用户访问外网FTP服务器

     

   • 内网用户访问外网Web服务器

     

参考文献

[1] 赵文忠.试论校园局域网组网技术方案[J].计算机光盘软件与应用,2012,15(23):91+104.
[2] 潘江瀚.校园网组网架构的比较与分析[J].计算机光盘软件与应用,2012(09):99-100.
[3] 杨朋.校园无线网组网技术及应用的探讨[J].数字通信世界,2019(01):66.
[4] 张圣,陈伟.基于WLAN技术的无线校园网组网研究[J].信息技术,2005(07):17-20.
[5] 《局域网组建、管理与维护（第3版）》刘永华，张秀洁主编
[6] 《PConline-交换机是什么》
[7] 《PConline-二层交换机是什么》
[8] 《PConline-三层交换机是什么》
[9] 《PConline-路由器》
[10] 《百度百科-防火墙》
[11] 《CSDN-VLAN工作原理》
[12] 《ORACLE系统管理指南-DHCP的工作原理》
[13] 《CSDN-OSPF原理及配置》
[14] 《CSDN-NAT技术基本原理与应用》
[15] 《博客园-DNS原理及其解析过程》
[16] 《搜狐-5分钟了解ACL基本原理和四大分类》
[17] 《百度百科-FTP服务器》
[18] 《百度百科-邮件服务器》
[19] 《百度百科-WEB服务器》
[20] 《使用Ubuntu搭建内网DNS服务》
[21] 《计算机网络课件》
[22] 《IP网络基础知识学习之笑傲江湖新篇》
[23] 《知了社区-H3C SECPATH F100-C60-WiNet防火墙如何进行端口映射》