计算机网络课程设计：电子政务

一、需求分析： 

1.1背景

随着信息技术的告诉发展，电子政务越来越得到重视，多个国家开始致力于发展政府信息化。其中，电子政务起源于20世纪80年代末期，那时候政府开始了办公室自动化工程并且建立了多种内部信息办公网络。而如今，电子政务已经经历了快速发展，取得了巨大进展且初步形成了电子政务安全的保障体系。

1.2用户需求

该电子政务网站要保证用户可以登录查询政府部门的一些信息、相关法律，还可以利用电子政务进行建议和投诉等操作。由于该电子政务网是政府网络，所以一定要有相应的安全设置，要保证公民在访问电子政务网站的时候不能访问到一些敏感部门比如财政部门，还有不能下载一些敏感文件。

 网络应该易于管理和维护，以防当它出现错误时可以尽快维护好，以免耽误过长时间，损失过大。作为电子政务网站，要保证政府所在区域都可以互相连通，并且在高覆盖率的情况下还要保证整个的网络的可靠，网络设备要好，拓扑结构要健壮，还要有高访问速率。

1.3拓扑结构

拓扑结构是指将网络中的计算机和通信设备抽象为一个点，把传输介质抽象为一条线，然后利用线将各个点相连接后的图形。拓扑结构包括星形拓扑、环形拓扑、总线形拓扑、树形拓扑以及混合性拓扑。在总线拓扑结构下，若总线的一处断了，整个网络就瘫痪了，不够可靠。而环形拓扑结构适合于实施控制的局域网系统，所以这些都不适合电子政务网的需求。而星形拓扑结构是近年来各种局域网的大多连接方式，且当某处网段断了，其他网段还可以互相访问，不受影响，相比较而言更加可靠安全，所以最后选择了星形网络拓扑结构。

二、软硬件配置与设计 

2.1子网划分

先选择地址块219.21.0.0/20，为A、B、C、D区划分四个子网，子网掩码为255.255.255.128，每个网段可以分配128个地址，A区分配地址范围是：219.21.0.2-219.21.0.127，其中219.21.0.0用来做VLAN5的网络号，219.21.0.1是A区所在网段VLAN5的IP地址也是A区下各个PC的网关；B区分配的地址范围是：219.21.1.2-219.21.1.127,其中219.21.1.0用来做VLAN2的网络号，219.21.1.1是B区所在网段VLAN2的IP地址也是B区下各个PC的网关；C区分配的地址范围是：219.21.2.2-219.21.2.127，其中219.21.2.0用来做VLAN3的网络号，219.21.2.1是C区所在网段VLAN3的IP地址也是C区下各个PC的网关；D区分配的地址范围是：219.21.3.2-219.21.3.127，其中219.21.3.0用来做VLAN4的网络号，219.21.3.1是D区所在网段VLAN4的IP地址也是D区下各个PC的网关。

楼号	可分配地址	子网掩码	可分配范围
A区	127	255.255.255.128	219.21.0.2-219.21.0.127
B区	127	255.255.255.128	219.21.1.2-219.21.1.127
C区	127	255.255.255.128	219.21.2.2-219.21.2.127
D区	127	255.255.255.128	219.21.3.2-219.21.3.127

然后为dhcp服务器、ftp服务器、dns服务器、web服务器划分一个VLAN6，地址为：219.21.8.1，dhcp服务器地址为：219.21.8.2,ftp服务器地址为：219.21.8.3，web服务器地址为219.21.8.4，dns服务器地址为：219.21.8.5，它们的网关是：219.21.8.1.然后配置外部网络，下面是中心交换机和路由器的路由表： 

需要注意的是要为路由器和中心交换机配置默认路由，它是路由表中没有与包的地址相匹配的表项时路由器做出的选择。

2.2设备连接

在交换机与交换机之间连接时，接口设置为trunk，因为它可以同时承载多个VLAN通过。在VLAN5下，与PC相连的交换机接口为设置为access VLAN5，命令为在该接口下输入：switch access vlan 5。同理在vlan 2,vlan 3,vlan 4下与PC相连的交换机的接口设置为相对应的VLAN，对于vlan 6，交换机与各个服务器相连的接口都是 switch access vlan 6。中心交换机与外网的路由器相连接的接口因为要配置路由表，所以需要先打开接口，命令在该接口下输入：no switchport，然后配置接口地址，该接口地址与与路由器相连的接口在同一个网段下。

2.3 DNS服务器配置

打开dns服务器，选择Services，然后选择DNS，在Name中输入：www.abc.com，address 中输入：219.21.8.4，点击add。

2.4 DHCP服务器配置

先打开dhcp服务器，选择Services，然后选择DHCP，为其划分地址池，我划分的地址池是：

pool name	Default Gateway	DNS server	start ip address	subnet mask
5	219.21.0.1	219.21.8.5	219.21.0.2	255.255.255.128
2	219.21.1.1	219.21.8.5	219.21.1.2	255.255.255.128
3	219.21.2.1	219.21.8.5	219.21.2.2	255.255.255.128
4	219.21.3.1	219.21.8.5	219.21.3.2	255.255.255.128

打开中心交换机，配置dhcp中继。在config下输入命令:

int vlan 5
ip helper-address 219.21.8.2   //DHCP地址

 

其他VLAN2，VLAN3，VLAN4的DHCP中继也类似这样配置。

然后打开vlan 2-5的某个PC，选择Desktop，然后选择dhcp，可以发现自动分配地址，如图：

配置dhcp服务器时要注意划分的地址池的网关是所化vlan的ip address。

2.5 FTP服务器配置

打开ftp服务器，选择services，再选择ftp，在username中输入：wanqiyun，password中输入：123，且write、read、delete、rename、list都设为允许。

3.6WEB服务器配置

打开web服务器，选择services，选择HTTP，然后在index.html中输入网站的界面的代码。点击save。

3.7 外部网络ACL配置

与中心交换机连接一个路由器，路由器另一个接口连接一个PC，为它们设置IP地址然后还要为中心交换机和路由器配置路由表。配置好在PC的cmd命令下ping服务器地址，若ping通则表示路由表配置正确，需要注意的是要配置默认路由。

路由器和中心交换机路由表配置好后，在路由器的CLI下配置nat。nat可以进行ip地址转换，以防内部服务器等地址外泄，具有一定的安全性，另外也有利于做acl策略控制接口进出的Ip地址。配置nat命令是：

ip nat inside source static 219.21.8.4 200.21.6.1    //将web服务器地址 219.21.8.4转换为路由器连接外部PC接口的地址200.21.6.1

ip nat inside source static 219,21,8.5 200.21.6.2    //将dns服务器地址 219.21.8.5转换为外部PC的地址200.21.6.2

在路由器连接中心交换机的接口下输入：ip nat inside

在路由器连接外部pc的接口下输入：ip nat outside

此时可以在router#下输入show ip nat t查看nat的配置：

 

也可以通过查看数据包，会发现当数据包经过路由器后地址与源地址发生了变化，并变成了设置的那个地址。

然后在路由器下配置acl，在config下，输入：

ip access-list extended a                //定义一个名为a的acl策略

permit ip 200.21.6.0 0.0.0.255 any

deny ip 219.21.8.0 0.0.0.255 any

deny ip 219.21.0.0 0.0.0.255 any

deny ip 219.21.1.0 0.0.0.255 any

deny ip 219.21.2.0 0.0.0.255 any

deny ip 219.21.3.0 0.0.0.255 any

然后进入路由器连接外部pc的接口，输入：

ip access-group a out

这个配置的意思就是对于路由器连接外部pc的接口允许所有网络号为200.21.6.0的地址通过，但是会过滤掉网络号为：219.21.8.0、219.21.0.0、219.21.1.0、219.21.2.0、219.21.3.0的地址。

通过show access-list可以查看设置的acl:

三、系统测试

3.1DHCP测试

打开vlan 2-5的某个PC，选择Desktop，然后选择dhcp，可以发现自动分配地址：

3.2 DNS测试

打开vlan 2-5的某个PC，选择Desktop，然后选择Command Prompt，在命令行中输入ftp ftp服务器地址，即ftp 219.21.8.3，然后输入在配置ftp服务器时设置的username和password，其中username为：wanqiyun，password为：123。界面如下：

出现该界面后表示ftp配置成功，可以利用ftp下一些命令查看，例如输入dir查看文件目录，如下界面：

输入quit可以退出ftp模式。

3.3WEB服务器和DNS服务器测试

打开vlan 2-5的某个PC，选择Desktop，然后选择WebBrowser，在输入框输入之前DNS服务器中配置的域名或地址即可访问web界面，界面代码的编写在web服务器的index.html下编写。如图：

3.4 NAT测试

打开web服务器，在web服务器的命令行下访问外网所连pc的ip地址：200.21.6.2。打开Simulation，查看数据包在经过外部路由器之后web服务器地址的变化。如图是数据包在刚到外部路由器时的地址：

此图是数据包经过外部路由器受到nat地址转换后的地址：

发现web服务器地址由219.21.8.4变为200.21.6.1，该地址就是做nat转换时转换的地址。

3.5ACL测试

打开外部网络所连的PC，访问VLAN6网段内的web服务器和DNS服务器，发现可以访问，但是不能访问该网段中的ftp服务器，且外部PC不可以访问VLAN2-5之间的所有内部设备。该结果也可以说明NAT设置成功，因为做ACL策略时是设置的VLAN6 网段内即网络号前缀是：219.21.8.0都不可以通过路由器连接外部PC的接口，而web服务器和dns服务器却可以访问，就是NAT对它们进行了地址转换。

如图外部PC12可以访问web服务器：

四、完整相关代码

//配置各个VLAN的地址命令：
int vlan 5
ip address 219.21.0.1
int vlan 2
ip address 219.21.1.1
int vlan 3
ip address 219.21.2.1
int vlan 4
ip address 219.21.3.1
int vlan 6
ip address 219.21.8.1
//配置交换机接口为相应VLAN接口命令：
switch access vlan 5
switch access vlan 2
switch access vlan 3
switch access vlan 4
switch access vlan 6
//在三层交换机中配置DHCP中继命令：
int vlan 5
ip helper-address 219.21.8.2   
int vlan 2
ip helper-address 219.21.8.2   
int vlan 3
ip helper-address 219.21.8.2   
int vlan 4
ip helper-address 219.21.8.2   
int vlan 6
ip helper-address 219.21.8.2   
//启动三层交换机路由功能命令：
ip routing
//配置NAT命令：
ip nat inside source static 219.21.8.4 200.21.6.1    
ip nat inside source static 219.21.8.5 200.21.6.2 
int fasteretherent0/0  
ip nat inside
int fasteretherent0/1
ip nat outside
//配置ACL命令：
ip access-list extended a               
permit ip 200.21.6.0 0.0.0.255 any
deny ip 219.21.8.0 0.0.0.255 any
deny ip 219.21.0.0 0.0.0.255 any
deny ip 219.21.1.0 0.0.0.255 any
deny ip 219.21.2.0 0.0.0.255 any
deny ip 219.21.3.0 0.0.0.255 any
int fasteretherent0/1
ip access-group a out
//查看NAT配置命令：
show ip nat t
//查看ACL配置命令：
show access-list