课程设计报告课程名称计算机网络课题名称1、防火墙技术与实现2、无线WLAN的设计与实现专业计算机科学与技术班级0802班学号200803010212姓名王能指导教师刘铁武韩宁2011年3 月6 日湖南工程学院课程设计任务书一．设计内容：问题1：基于802.1X的认证系统建立为了便于集中认证和管理接入用户，采用AAA（Authentication、Authorization 和Accounting）安全体系。

通过某种一致的办法来配置网络服务，控制用户通过网络接入服务器的访问园区网络，设计内容如下：1．掌握IEEE820.1X和RADIUS等协议的工作原理，了解EAP协议2．掌握HP5308/HP2626交换机的配置、调试方法3．掌握WindowsIAS的配置方法和PAP，CHAP等用户验证方法4．建立一个基于三层交换机的模拟园区网络，用户通过AAA方式接入园区网络问题2：动态路由协议的研究与实现建立基于RIP和OSPF协议的局域网，对RIP和OSPF协议的工作原理进行研究，设计内容如下：1．掌握RIP和OSPF路由协议的工作原理2．掌握HP5308三层交换机和HP7000路由器的配置、调试方法3．掌握RIP和OSPF协议的报文格式，路由更新的过程4．建立基于RIP和OSPF协议的模拟园区网络5．设计实施与测试方案问题3：防火墙技术与实现建立一个园区网络应用防火墙的需求，对具体实施尽心设计并实施，设计内容如下：1．掌握防火墙使用的主要技术：数据包过滤，应用网关和代理服务2．掌握HP7000路由器的配置、调试方法3．掌握访问控制列表ACL，网络地址转换NAT和端口映射等技术4．建立一个基于HP7000路由器的模拟园区网络出口5．设计实施与测试方案问题4：生成树协议的研究与实现建立基于STP协议的局域网，对STP协议的工作原理进行研究，设计内容如下：1．掌握生成树协议的工作原理2．掌握HP5308三层交换机和HP2626交换机的配置、调试方法3．掌握STP/RSTP/MSTP协议的的工作过程4．建立基于STP协议的模拟园区网络5．设计实施与测试方案问题5：无线WLAN的设计与实现建立一个小型的无线局域网，设计内容如下：1．掌握与无线网络有关的IEEE802规范与标准2．掌握无线通信采用的WEP和WPA加密算法3．掌握HP420无线AP的配置方法4．建立基于Windows server和XP的无线局域网络5．设计测试与维护方案二．设计要求：1．在规定时间内完成以上设计内容。

2．画出拓扑图和工作原理图（用计算机绘图）3．编写设计说明书4. 见附带说明。

5.成绩评定：指导老师负责验收结果，结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评，并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。

具体考核标准包含以下几个部分：①平时出勤（占20%）②系统分析、功能设计、结构设计合理与否（占10%）③个人能否独立、熟练地完成课题，是否达到目标（占40%）④设计报告（占30%）不得抄袭他人的报告（或给他人抄袭），一旦发现，成绩为零分。

三进度安排（注意：17周必须提交课设报告，迟交或未交只能计零分。

下面是三个班总的时间安排，课设报告中，每班只需填写其实际设计时间）因是3个班滚动执行，没有过多衔接时间，各位同学必须严格按时执行。

第1周时间8：00-12：00 12：00—15：00 15：00-17：00星期一0801 0802 0803星期二0802 0803 0801星期三0803 0801 0802星期四0801 0802 0803第2周时间8：00-12：00 12：00—15：00 15：00-17：00星期二0802 0803 0801星期四0803 0801 0802附：课程设计报告装订顺序：封面、任务书、目录、正文、评分、附件（A4大小的图纸及程序清单）。

正文的格式:一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。

正文的内容:一、课题的主要功能；二、课题的功能模块的划分（要求画出模块图）；三、主要功能的实现（至少要有一个主要模块的流程图）；四、程序调试；五、总结；六、附件（所有程序的原代码，要求对程序写出必要的注释）。

正文总字数要求在5000字以上（不含程序原代码）。

目录实验报告一、防火墙技术与实现（必做）一、防火墙的简介和使用技术 (1)1、防火墙的简介2、防火墙的使用技术3、网络地址转换NAT技术二、网络拓扑图 (3)三、调试过程 (4)1、建立内部网络2、建立模拟internet网络3、建立内外网络的连接4、配置NAT与ACI及其转换四、实验结果...........................................................五、实验总结...........................................................六、附件...............................................................实验报告二、无线WLAN的设计与实现（选做）一、工作原理...........................................................二、网络拓扑图.........................................................三、调试过程...........................................................四、实验结果...........................................................五、总结...............................................................六、附件...............................................................实验报告一、防火墙技术与实现（必做）一、防火墙的基本概念和使用技术1、防火墙简介防火墙是目前一种最重要的网络防护设备。

从专业角度讲，防火墙是位于两个或两个以上的网络间，实施网络之间访问控制的一组组件集合。

对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，它对从网络发往计算机的所有数据都进行判断处理，并决定能否把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现对计算机的保护功能。

设置防火墙的目的是防火墙是在网络之间执行控制策略的系统，它包括硬件和软件，目的是保护内部网络资源不被外部非授权用户使用、防止内部网络受到外部非法用户的攻击。

防火墙的主要功能检查所有从外部网络进入内部网络的数据包；检查所有从内部网络流出到外部网络的数据包；执行安全策略，限值所有不符合安全策略要求的数据包通过；具有防攻击能力，以保证自身的安全性;防火墙实现的主要技术：数据包过滤、应用网关和代理服务。

2 、防火墙使用的技术：数据包过滤：包过滤路由器可以决定对它所收到的每个数据包的取舍。

是基于路由器技术的，建立在网络层、传输层上。

路由器对每发送或接收来的数据包审查是否与某个包过滤规则相匹配。

包过滤规则即访问控制表，通过检查每个分组的源IP地址、目的地址来决定该分组是否应该转发。

如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发。

如果找到一个与规则不相匹配的，且规则拒绝此数据包，则该数据包将被舍弃。

包过滤路方法具有以下优点：（1）执行包过滤所用的时间很少或几乎不需要什么时间。

（2）对路由器的负载较小（3）由于包过滤路由器对端用户和应用程序是透明的，因此不需要在每台主机上安装特别的软件。

包过滤路方法的缺点：（1）在路由器中设置包过滤规则比较困难（2）由于包过滤只能工作在“假定内部主机是可靠地，外部诸暨市不可靠的”这种简单的判断上，它只是控制在主机一级，不涉及包内容的内容与用户一级，因此它有很大的局限性。

应用级网关：多归属主机具有多个网络接口卡，因为它具有在不同网络之间进行数据交换的能力，因此人们又称它为“网关”。

多归属主机用在应用层的用户身份认证与服务请求合法性检查，可以起到防火墙的作用，称为应用级网关。

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。

然而，应用网关防火墙是通过打破客户机／服务器模式实现的。

每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。

另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。

所以，应用网关防火墙具有可伸缩性差的缺点。

应用代理：应用代理是应用级网关的另一种形式，是以存储转发方式，检查和确定网络服务的用户身份是否合法，检查和确定网络服务请求的身份时候合法，决定是转发还是丢弃该服务请求。

3 、网络地址转换NAT技术：NAT的工作原理如下图所示：图1 NAT的基本工作原理如图所示，如果内部网络地址为10.0.1.1的主机希望访问Internet上地址为202.0.1.1的Web服务器，那么它就会产生一个源地址S=10.0.1.1，目的地址为202.0.1.1的分组为1。

NAT常与代理、防火墙技术一起使用。

在防火墙中起到了重要的作用。

二、网络拓扑图防火墙的实现与技术的实验拓扑图如下所示：本实验采用2台HP2626交换机、一台HP7102路由器、HP5308三层交换机来实现防火墙的设计与实现其功能。

三、调试过程这次实验的重点在于防火墙的配置，在配置防火墙的过程中，重点在于设置NAT 和ACL，NAT用来配置内网计算机访问外网时的地址转换，保证内网与外网的计算机相互之间能够成功地访问对方。

ACL是访问控制，主要用来设置内网计算机的访问权限，通过配置ACL，可以禁止或允许内网中的计算机之间的相互访问以及内网计算机访问外网，实验过程中，ACL访问控制配置在HP5308交换机。

防火墙是在内网和外网中设置的气到网络安全的。

实现防火墙技术的实验就需要建立内部网络、外部网络，内部网络和外部网络中的局域网都是通过交换机来设计的。

因此分以下4步。

1、建立内部网络：内部网络是将PC2、Edge和Core连接起来，然后利用超级终端软件对各个设备进行配置，配置如下：首先在PC2计算机中对网络地址进行配置，IP地址设置为10.10.10.15，子网掩码为255.255.255.0；其次对交换机2626B进行配置，将其分为多个局域网，此次实验只分配Vlan 1，其IP 地址的范围是10.1.1.3/24，在超级终端上的命令是2626B(config)#Vlan 12626B(Vlan-1)#ip address 10.1.1.3/242626B(Vlan-1)#Vlan 110 tagged 25调试图如下：B.其次是对HP ProCurve 5308xl三层交换机，其背板交换引擎速度为76.8G bps，吞吐量高达48mpps，并配置双冗余电影，保证核心层高速、可靠的三层交换；给它配置两个Vlan，Vlan 1的地址为10.1.1.1/24，Vlan 10的地址为10.10.110.1/24，并在vlan 10上配置中继端口B1，在vlan 1上配置中继端口在vlan 10上配置中继端口B2，启用三层转发协议。