網(wǎng)絡工程作業(yè)2?一、作業(yè)目標本次網(wǎng)絡工程作業(yè)旨在深入理解網(wǎng)絡架構、協(xié)議以及網(wǎng)絡安全等方面的知識，并通過實際操作和案例分析來鞏固所學內(nèi)容。具體目標包括：1.設計并實現(xiàn)一個小型網(wǎng)絡拓撲結構，包括不同類型的網(wǎng)絡設備（如路由器、交換機等）的配置。2.掌握常見網(wǎng)絡協(xié)議（如TCP/IP、HTTP、FTP等）的工作原理，并能夠進行簡單的故障排查。3.理解網(wǎng)絡安全的重要性，實施基本的網(wǎng)絡安全防護措施，如訪問控制列表（ACL）。

二、網(wǎng)絡拓撲設計

（一）拓撲結構概述本次設計的網(wǎng)絡拓撲結構為一個包含多個子網(wǎng)的園區(qū)網(wǎng)絡。園區(qū)網(wǎng)絡主要由核心層、匯聚層和接入層組成，通過路由器與外部網(wǎng)絡相連。

核心層采用高性能的三層交換機，負責高速轉發(fā)數(shù)據(jù)流量，連接匯聚層交換機以及外部路由器。匯聚層交換機負責將接入層的流量進行匯聚，并根據(jù)VLAN等策略進行初步的流量處理，同時與核心層交換機相連。接入層交換機直接連接終端設備，如計算機、服務器等，為用戶提供網(wǎng)絡接入。

外部網(wǎng)絡通過路由器接入園區(qū)網(wǎng)絡，路由器配置了適當?shù)膹V域網(wǎng)接口（如Ethernet接口連接到ISP），并設置了相應的路由策略以實現(xiàn)與園區(qū)網(wǎng)絡內(nèi)部子網(wǎng)的通信以及與Internet的連接。

（二）具體設備選型及連接1.核心層交換機：選用華為S5700系列三層交換機，該交換機具有高性能、高可靠性等特點，支持豐富的VLAN劃分、路由功能以及端口聚合等功能。核心層交換機通過多條鏈路分別連接到匯聚層交換機，形成冗余鏈路，提高網(wǎng)絡的可靠性。2.匯聚層交換機：同樣選用華為S5700系列三層交換機，與核心層交換機進行級聯(lián)，并通過VLAN劃分將不同區(qū)域的接入層交換機連接起來。匯聚層交換機根據(jù)VLAN策略對流量進行分類和初步處理，如設置不同VLAN之間的訪問控制等。3.接入層交換機：采用華為S2700系列二層交換機，提供多個以太網(wǎng)接口，直接連接終端設備。接入層交換機根據(jù)接入端口所屬的VLAN將終端設備接入相應的網(wǎng)絡區(qū)域。4.路由器：選用華為AR2200系列路由器，配置了Ethernet接口連接到ISP，同時配置了多個Ethernet接口與核心層交換機相連，實現(xiàn)園區(qū)網(wǎng)絡與外部網(wǎng)絡的互聯(lián)互通。通過配置靜態(tài)路由和動態(tài)路由協(xié)議（如OSPF），確保網(wǎng)絡之間的路由可達。

（三）子網(wǎng)劃分根據(jù)園區(qū)網(wǎng)絡的功能需求，將網(wǎng)絡劃分為多個子網(wǎng)。例如，將辦公區(qū)域劃分為一個子網(wǎng)，服務器區(qū)域劃分為一個子網(wǎng)，無線網(wǎng)絡覆蓋區(qū)域劃分為一個子網(wǎng)等。具體子網(wǎng)劃分如下：1.辦公子網(wǎng)：/24，用于連接辦公區(qū)域的計算機設備。2.服務器子網(wǎng)：/24，用于部署各種服務器，如Web服務器、郵件服務器等。3.無線網(wǎng)絡子網(wǎng)：/24，通過無線接入點為移動設備提供無線網(wǎng)絡接入。4.管理子網(wǎng)：/24，用于網(wǎng)絡設備的管理和監(jiān)控。

三、網(wǎng)絡設備配置

（一）核心層交換機配置1.基本配置配置交換機名稱：```systemviewsysnameCoreSwitch```配置接口IP地址：```interfaceVlanif1ipaddress```開啟生成樹協(xié)議（STP），增強網(wǎng)絡可靠性：```stpmodestp```2.VLAN配置創(chuàng)建VLAN：```vlanbatch10203040```將接口加入相應VLAN：```interfaceEthernet0/0/1portlinktypeaccessportdefaultvlan10```配置VLAN間路由：```interfaceVlanif10ipaddress```（其他VLANif接口類似配置）3.端口聚合配置創(chuàng)建EthTrunk接口：```interfaceEthTrunk1trunkportEthernet0/0/2toEthernet0/0/3modelacpstatic```配置EthTrunk接口的IP地址：```interfaceVlanif20ipaddress```（假設通過EthTrunk1連接匯聚層交換機）

（二）匯聚層交換機配置1.基本配置配置交換機名稱：```systemviewsysnameAggregateSwitch```配置接口IP地址：```interfaceVlanif1ipaddress```2.VLAN配置與核心層交換機相同VLAN劃分：```vlanbatch10203040```將接入層交換機連接的接口加入相應VLAN：```interfaceEthernet0/0/1portlinktypeaccessportdefaultvlan10```配置VLAN間路由：```interfaceVlanif10ipaddress```（其他VLANif接口類似配置）3.訪問控制配置配置訪問控制列表（ACL），限制辦公子網(wǎng)對服務器子網(wǎng)的訪問：```aclnumber2000rule10denyipsource55destination55rule20permitipinterfaceVlanif10trafficfilteroutboundacl2000```

（三）接入層交換機配置1.基本配置配置交換機名稱：```systemviewsysnameAccessSwitch```配置接口IP地址：```interfaceVlanif1ipaddress```2.VLAN配置與匯聚層交換機相同VLAN劃分：```vlanbatch10203040```將終端設備連接的接口加入相應VLAN：```interfaceEthernet0/0/1portlinktypeaccessportdefaultvlan10```

（四）路由器配置1.基本配置配置路由器名稱：```systemviewsysnameRouter```配置接口IP地址：```interfaceGigabitEthernet0/0/0ipaddressinterfaceGigabitEthernet0/0/1ipaddress```2.路由配置配置靜態(tài)路由：```iproutestatic```配置動態(tài)路由協(xié)議OSPF：```ospf1areanetwork55```

四、網(wǎng)絡協(xié)議分析

（一）TCP/IP協(xié)議分析1.IP協(xié)議IP協(xié)議是TCP/IP協(xié)議棧的核心，負責將數(shù)據(jù)包從源主機傳輸?shù)侥康闹鳈C。在本次網(wǎng)絡拓撲中，每個設備都有唯一的IP地址，數(shù)據(jù)包通過IP協(xié)議在不同子網(wǎng)之間進行路由轉發(fā)。例如，當辦公子網(wǎng)的計算機向服務器子網(wǎng)發(fā)送數(shù)據(jù)包時，數(shù)據(jù)包首先到達接入層交換機，然后通過匯聚層交換機，最后由核心層交換機根據(jù)IP地址進行路由決策，將數(shù)據(jù)包轉發(fā)到服務器子網(wǎng)的路由器接口，再通過路由器轉發(fā)到服務器子網(wǎng)。IP協(xié)議提供了無連接的數(shù)據(jù)報服務，它不保證數(shù)據(jù)包的可靠傳輸，但通過IP首部中的校驗和字段來檢測數(shù)據(jù)包在傳輸過程中是否發(fā)生錯誤。如果發(fā)生錯誤，數(shù)據(jù)包將被丟棄。2.TCP協(xié)議TCP協(xié)議是一種面向連接的、可靠的傳輸層協(xié)議。在需要可靠數(shù)據(jù)傳輸?shù)膽脠鼍爸校ㄈ鏗TTP、FTP等），通常會使用TCP協(xié)議。例如，當用戶通過瀏覽器訪問Web服務器時，客戶端和服務器之間首先會建立TCP連接。TCP連接的建立通過三次握手過程實現(xiàn)：客戶端向服務器發(fā)送SYN包，請求建立連接；服務器收到SYN包后，向客戶端發(fā)送SYN+ACK包，表示同意建立連接；客戶端收到SYN+ACK包后，再向服務器發(fā)送ACK包，連接建立成功。在數(shù)據(jù)傳輸過程中，TCP協(xié)議通過滑動窗口機制來控制數(shù)據(jù)的流量和傳輸效率。發(fā)送方和接收方都維護一個窗口大小，發(fā)送方根據(jù)接收方的窗口大小來發(fā)送數(shù)據(jù)，接收方通過確認號來告知發(fā)送方已經(jīng)正確接收的數(shù)據(jù)字節(jié)數(shù)。同時，TCP協(xié)議還通過重傳機制來確保丟失或損壞的數(shù)據(jù)包能夠被重新發(fā)送。3.UDP協(xié)議UDP協(xié)議是一種無連接的、不可靠的傳輸層協(xié)議。它適用于對傳輸效率要求較高，但對數(shù)據(jù)可靠性要求相對較低的應用場景，如DNS服務、視頻流等。UDP協(xié)議在傳輸數(shù)據(jù)時，不建立連接，直接將數(shù)據(jù)包發(fā)送出去。由于沒有連接建立和維護的開銷，UDP協(xié)議的傳輸效率較高。但由于它不保證數(shù)據(jù)包的可靠傳輸，可能會出現(xiàn)數(shù)據(jù)包丟失或亂序的情況。例如，在DNS查詢過程中，客戶端向DNS服務器發(fā)送UDP數(shù)據(jù)包，DNS服務器收到數(shù)據(jù)包后直接返回查詢結果，不進行可靠性驗證。

（二）HTTP協(xié)議分析1.HTTP工作原理HTTP是用于傳輸超文本的協(xié)議，它基于TCP協(xié)議提供可靠的數(shù)據(jù)傳輸。當用戶在瀏覽器中輸入網(wǎng)址并回車后，瀏覽器首先向服務器發(fā)送HTTP請求。HTTP請求通常包括請求方法（如GET、POST等）、請求頭和請求體。例如，當使用GET方法請求一個網(wǎng)頁時，請求頭中會包含用戶代理信息、Cookie等。服務器收到請求后，根據(jù)請求內(nèi)容進行處理，并返回HTTP響應。HTTP響應包括響應狀態(tài)碼、響應頭和響應體。響應狀態(tài)碼表示請求的結果，如200表示成功，404表示請求的資源不存在等。瀏覽器接收到響應后，根據(jù)響應頭中的信息對網(wǎng)頁進行解析和渲染。如果響應頭中包含了重定向信息，瀏覽器會根據(jù)重定向地址再次發(fā)送請求。2.HTTP緩存機制HTTP緩存機制可以提高網(wǎng)頁的加載速度。瀏覽器在第一次請求網(wǎng)頁時，會將請求和響應信息緩存起來。當再次請求相同的網(wǎng)頁時，如果緩存未過期，瀏覽器可以直接使用緩存中的內(nèi)容，而不需要再次向服務器發(fā)送請求。HTTP緩存分為強緩存和協(xié)商緩存。強緩存通過設置響應頭中的Expires和CacheControl字段來控制。例如，CacheControl:maxage=3600表示緩存有效期為3600秒。協(xié)商緩存則通過ETag和LastModified字段來實現(xiàn)。瀏覽器在發(fā)送請求時，會攜帶相應的ETag或LastModified值，服務器根據(jù)這些值判斷資源是否有更新，如果有更新則返回新的資源，否則返回304狀態(tài)碼表示資源未修改，瀏覽器可以使用緩存中的內(nèi)容。

（三）FTP協(xié)議分析1.FTP工作原理FTP是用于文件傳輸?shù)膮f(xié)議，它基于TCP協(xié)議提供可靠的數(shù)據(jù)傳輸。FTP協(xié)議使用兩個TCP連接，一個用于控制連接（端口號21），另一個用于數(shù)據(jù)連接（端口號20）。當用戶通過FTP客戶端連接到FTP服務器時，首先建立控制連接。在控制連接上，客戶端向服務器發(fā)送命令，如USER（用戶名）、PASS（密碼）等，進行身份驗證。服務器驗證通過后，客戶端可以發(fā)送其他命令，如LIST（列出目錄內(nèi)容）、GET（下載文件）、PUT（上傳文件）等。當客戶端發(fā)送下載或上傳文件的命令時，服務器會根據(jù)命令要求建立數(shù)據(jù)連接。在數(shù)據(jù)連接上，進行文件的實際傳輸。例如，當客戶端發(fā)送GET命令下載文件時，服務器會將文件內(nèi)容通過數(shù)據(jù)連接發(fā)送給客戶端。2.FTP主動模式和被動模式FTP主動模式下，服務器主動發(fā)起數(shù)據(jù)連接。客戶端向服務器發(fā)送PASV命令后，服務器會返回一個端口號，客戶端使用該端口號建立與服務器的數(shù)據(jù)連接。FTP被動模式下，客戶端主動發(fā)起數(shù)據(jù)連接?？蛻舳讼蚍掌靼l(fā)送PASV命令后，服務器返回一個端口范圍，客戶端隨機選擇一個端口號，然后向服務器發(fā)送PORT命令，告知服務器自己選擇的端口號，服務器再使用該端口號與客戶端建立數(shù)據(jù)連接。

五、網(wǎng)絡安全措施

（一）訪問控制列表（ACL）1.基于源地址的訪問控制在匯聚層交換機上配置了ACL2000，規(guī)則如下：```aclnumber2000rule10denyipsource55destination55rule20permitip```該ACL限制了辦公子網(wǎng)（/24）對服務器子網(wǎng)（/24）的訪問，只允許其他合法的流量通過。這樣可以防止辦公區(qū)域的計算機非法訪問服務器區(qū)域的資源，保護服務器的安全性。2.基于端口的訪問控制除了基于源地址的訪問控制，還可以根據(jù)端口號進行訪問控制。例如，限制外部網(wǎng)絡對內(nèi)部網(wǎng)絡特定服務端口的訪問。在路由器上配置ACL，如下：```aclnumber3000rule10denytcpsourceanydestination55destinationporteq80rule20permitip```此ACL拒絕了外部網(wǎng)絡對園區(qū)網(wǎng)絡內(nèi)部Web服務器端口80的訪問，只有通過路由器進行適當配置（如設置端口映射等），允許合法的外部訪問請求時，才能訪問內(nèi)部Web服務器。

（二）防火墻配置1.防火墻策略設置在防火墻設備上配置策略，允許內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的合法流量通過，同時阻止非法流量。例如，允許辦公子網(wǎng)的計算機訪問Internet的HTTP和DNS服務，策略如下：```accesslistinside_outboundpermittcpanyanyeqhttpaccesslistinside_outboundpermitudpanyanyeqdns```同時，設置拒絕其他非法流量的策略，如拒絕外部網(wǎng)絡對內(nèi)部網(wǎng)絡的非法端口掃描等：```accesslistoutside_insidedenytcpanyanyeq135accesslistoutside_insidedenytcpanyanyeq139accesslistoutside_insidedenytcpanyanyeq445```2.防火墻規(guī)則應用將上述訪問控制列表應用到防火墻的相應接口上，使防火墻能夠對進出網(wǎng)絡的流量進行過濾。例