数据通信实习报告.doc

数据通信实习报告 学 院 机电学院 班 级 075092 学 号 20091002028 姓 名 黄浩坤 指导老师 闻兆海 2012 年 6 月 28日 前 言随着互联网技术的不断发展和广泛应用 ，计算机网络在现代生活中的作用越来越重要 ，如今 ，个人、企业以及政府部门，国家军事部门，不管是天文的还是地理的都依靠网络传递信息，这已成为主流 ，人们也越来越依赖网络。然而 ，网络的开放性与共享性容易使它受到外界的攻击与破坏 ，网络信息的各种入侵行为和犯罪活动接踵而至 ，信息的安全保密性受到严重影响。因此 ，网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。在网络技术高速发展的今天，对网络安全技术的研究意义重大，它关系到小至个人的利益，大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境，让网络安全技术更好的为广大用户服务。 目 录1 计算机网络概述 1.什么是计算机网络 （1）计算机网络的定义 （2）计算机网络的基本功能 1）资源共享 2）分布式处理与负载均衡 3）综合信息服务 2.计算机网络中的基本概念 （1）局域网，城域网和广域网 （2）电路交换，报文交换和分组交换 （3）带宽和延迟 3.OSI参考模型与TCP/IP参考模型 （1）OSI七层参考模型 （2）TCP/IP模型 （3）小结 二.网络设备 1.路由器 （1）定义 （2）作用 （3）特点 （4）以H3C路由器为例 2.交换机 （1）定义 （2）作用 （3）特点 （4）以H3C交换机为例 3.H3C网络设备操作系统Comware 三网络安全技术基础 1.网络安全的定义 2.网络安全的关注范围 3.网络安全的关键技术 （1）ACL包过滤技术 （2）网络地址转换技术 （3）认证，授权和计时 （4）交换机端口安全技术 （5）VPN虚拟私有网技术 （6）终端准入控制实验一 网络设备基本操作 1.实验目的 2.实验器材设备 3.实验组网图 4.实验过程（1）通过Console口登录（2）通过Telnet登录实验二 RIP 1.实验目的 2.实验器材设备 3.实验组网图 4.实验过程实验三 OSPF 1.实验目的 2.实验器材设备 3.实验组网图 4.实验过程总 结 一计算机网络概述1. 什么是计算机网络 （1）计算机网络的定义 计算机网络，顾名思义是由计算机组成的网络系统。根据IEEE高级委员会坦尼鲍姆博士的定义：计算机网络是一组自治计算机互联的集合。自治是指每个计算机都有自主权，不受别人控制；互联则是指使用通信介质进行计算机连接，并达到相互通信的目的。通俗地讲，计算机网络就是把分布在不同地理区域的独立计算机以及专门的外部设备利用通信线路连成一个规模大，功能强的网络系统，从而使众多的计算机可以方便地互相传递信息，共享信息。其结构图模型如下图所示： （2） 计算机网络的基本功能 1）资源共享 资源分为软件资源和硬件资源。软件资源包括形式多样的数据，如数字信息，消息，声音，图像等；硬件资源包括各种设备，如打印机，FAX,MODEM等。网络的出现使资源共享变得简单，交流的双方可以跨越时空的障碍，随时随地传递信息，共享资源。 2）分布式处理与负载均衡 通过计算机网络，海量的处理任务可以分配到分散在全球各地的计算机上。例如，一个大型ICP网络访问量相当之大，为了支持更多的用户访问其网站，在全世界多个地方部署了相同内容的WWW服务器；通过一定技术使不同地域的用户看到放置在离他最近的服务器上的相同页面，这样可以实现各服务器的负荷均衡，并使得通信距离缩短。 3）综合信息服务网络发展的趋势是应用日益多元化，即在一套系统上提供集成的信息服务，如图像，语音，数据等。在多元化发展的趋势下，新形势的网络应用不断涌现，如电子邮件，IP电话，视频点播，网上交易，视频会议等。 2,计算机网络的基本概念 （1） 局域网，城域网和广域网 局域网: 通常指几千米以内的，可以通过某种介质互联的计算机、打印机、modem或其 他设备的集合。传统局域网的传输速度为10Mbps-100Mbps，传输延迟低，出错率低。而新的局域网传输速度可超过1Gbps。城域网：覆盖范围为中等规模，介于局域网和广域网之间，通常是在一个城市内的网络连接（距离为10KM左右）。城域网作为本地公共信息服务平台的组成部分，负责承载各种多媒体业务，为用户提供各种接入方式，满足政府部门，企事业单位，个人用户对基于IP的各种多媒体业务的需求。广域网：分布距离远，它通过各种类型的串行连接以便在更大的地理区域内实现接入。它包含复杂的互连设备处理其中的管理工作，互连设备通过通信链路连接，构成网状结构。其中，入网站点只负责数据的收发工作；互连设备负责数据包的路由等重要管理工作。(2) 电路交换，报文交换和分组交换电路交换：电路交换是电话通信网中使用的一种交换信息的方式。 通信前，先建立路由，并且一直保持占用该路由，直到通话完毕，拆除路由为止，这样的一种交换方式称为电路交换。电路交换的优点有：信息传输时延小，透明传输，信息传输的吞吐量大，无差错控制。缺点为：所占带宽固定，网络资源利用率低，有呼损。报文交换：用于电报网中，终端信息+目的地址+源地址 形成报文送交换机存储。与电路交换的原理不同，不需要预先提供通信双方的物理连接，而是交换机将接收的报文先暂时存储，待路由空闲时再转发，直至到达终端。优点有：电路利用率高，不同速率、码型的终端可互通；缺点为：存储器容量大，传输时延大。分组交换：终端信息分割成若干个比较短的、规格化了的的分组，每个分组加上地址、控制信息、顺序信息后，再采用存储转发的方式传送。根据交换机对分组的不同的处理方式，分组交换可以提供两种数据传输方式：数据报方式和虚电路方式。分组交换的优点：可靠性高，采用统计复用，网络资源利用率高，为不同速率、代码的数据终端之间的通信提供灵活的通信环境；缺点：时延，技术实现复杂。（3） 带宽和延迟 带宽：描述在一定时间范围内能够从一个节点传送到另一个节点的数据量。通常以bps 为单位，例如以太网带宽为10Mbps，快速以太网为100Mbps。 延迟：又称时延，描述网络上数据从一个节点传送到另一个节点所经历的时间。主要由传播时延，交换时延，介质访问延迟和队列延迟等组成。3. OSI参考模型与TCP/IP模型 （1) OSI七层参考模型 为了解决网络之间的兼容性问题，实现网络设备间的相互通信，ISO于1984年提出了OSI参考模型。它说明了网络的架构体系和标准，并描述了网络中信息是如何传输的。多年以来，OSI模型极大地促进了网络通信的发展，也充分体现了为网络软件和硬件的实施标准化做出的努力。 OSI参考模型自下而上分为七层，分别是：物理层，数据链路层，网络层，传输层，会话层，表示层，应用层。如下图所示：在OSI参考模型中，终端主机的每一层都与另一方的对等层进行通信，但这种通信并非直接进行的，而是通过下一层为其提供的服务来间接与对端的对等层交换数据。下一层通过服务访问点SAP为上一层提供服务。为了保证对等层之间能够准确无误地传递数据，对等层之间应运行相同的网络协议。如下图所示： 封装是指网络节点将要传送的数据用特定的协议打包后传送。多数协议是通过在原有数据之前加上封装头来实现封装的，一些协议还要在数据之后加上封装尾，而原有数据此时便成为载荷。在发送方，OSI七层模型的每一层对上层数据进行封装，以保证数据能够正确无误地到达目的地；而在接收方，每一层又对本层的封装数据进行解封装，并传送给上层，以便数据被上层所理解。其过程如下图所示：（2）TCP/IP模型 OSI参考模型的诞生为清晰地理解互联网络，开发网络产品和网络设计等带来了极大的方便。但是OSI过于复杂，效率较低，再加上OSI提出时，TCP/IP协议已逐渐占据主导地位，所以它已成为“全球互联网”或“因特网”的基础协议族。与OSI一样，TCP/IP也采用层次化结构，每一层负责不同的通信功能。但是，TCP/IP协议简化了层次设计，只为四层-应用层，传输层，网络层，网络接口层。其结构图如下图所示： 其各层的功能介绍如下： 1）网络层网络层是TCP/IP体系的关键部分。主要功能是使主机能够将信息发往任何网络并传送到正确的目标。包括数据包的路由和路由的维护。主要协议有IP，ICMP，IGMP。 2）传输层主要负责提供端到端通信，其协议主要包括TCP协议和UDP协议。其协议主要作用包括：提供面向连接或无连接的服务，维持连接状态，对应用层数据进行分段和封装，实现多路复用，可靠地传输数据，执行流量控制。 3）应用层TCP/IP模型没有单独的会话层和表示层，其功能层融合在应用层中。应用层直接与用户和应用程序打交道，负责对软件提供接口以使程序能使用网络服务，包括远程访问，资源共享等。其主要协议包括：Telnet，FTP/TFTP，SMTP/POP3，SNMP/HTTP。 4）网络接口层主要协议负责处理与传输介质相关的细节，包括物理线路和接口，链路层通信等。以太网/FDDI/令牌环，SLIP/HDLC/PPP，X.25/帧中继/ATM等。（3）小结 OSI参考模型和TCP/IP的出现，为清晰地理解互联网络、开发网络产品和网络设计等带来了极大的方便，推动了计算机网络的飞速发展。 二网络设备 1.路由器 （1）定义：路由器是利用三层IP地址信息进行报文转发的互联设备。 （2）作用：连接具有不同介质的链路，连接网络或子网，隔离广播，对数据报文执行寻路和转发，交换和维护路由信息。如下图所示： （3）特点：主要工作在OSI模型的物理层、数据链路层和网络层；根据网络层信息进行路由转发；提供丰富的接口类型；支持丰富的链路层协议；支持多种路由协议。 （4）以H3C路由器为例 2. 交换机（1）定义：交换机是利用二层MAC信息进行数据帧交换的互联设备（2）作用：连接多个以太网物理段，隔离冲突域；对以太网帧进行高速而透明的交换转发； 自行学习和维护MAC地址信息。如下图所示： （3） 特点：主要工作在OSI模型的物理层、数据链路层；提供以太网间的透明桥接和交换； 依据链路层的MAC地址，将以太网数据帧在端口间进行转发。（4） 以H3C交换机为例 3.H3C网络设备操作系统Comware H3C Comware软件平台是H3C IP网络设备的核心软件平台。其作用有：Comware是设备运行的网络操作系统，H3C产品的核心软件平台；对硬件驱动和底层操作系统进行屏蔽与封装；集成了丰富的链路层协议、以太网交换、IP路由及转发、安全等功能模块；制定了软硬件接口标准规范，对第三方厂商提供开放平台与接口。 其特点有：支持IPv4及IPv6多协议；支持多核CPU；路由和交换功能融合；高可靠性和弹性扩展；灵活的裁减和定制功能。 三网络安全技术基础1. 网络安全的定义从本质上讲，网络安全就是网络上的信息安全，是指网络系统的硬件，软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏，更改，泄露，系统连续可靠正常地运行，网络服务不中断。从广义上讲，凡是涉及到网络上信息的保密性，完整性，可用性，真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学，网络技术，通信技术，密码技术，信息安全技术，应用科学，数论，信息论等多种学科的综合性学科。2. 网络安全的关注范围 （1）保护网络物理线路不会轻易遭受攻击； （2）有效识别合法的和非法的用户； （3）实现有效的访问控制； （4）保证内部网络的隐蔽性； （5）有效的防伪手段，重要的数据重点保护； （6）对网络设备、网络拓扑的安全管理； （7）病毒防范； （8）提高安全防范意识。3. 网络安全的关键技术（1） ACL包过滤技术ACL（访问控制列表）由一系列有顺序的规则组成。这些规则根据数据包的源地址，目的地址，端口号等来定义匹配条件，并执行permit或deny操作。ACL包过滤通过引用ACL，使用ACL中的规则对数据包进行分类，并根据指定的permit或deny操作对数据包放行或丢弃。ACL包过滤应用在网络设备的接口上，网络设备根据ACL包过滤的配置对进入和离开设备的数据包进行过滤。访问控制列表通常与包过滤，NAT，策略路由等配合使用。其原理图如下图所示：（2） 网络地址转换技术网络地址转换（NAT）在RFC1631中描述，它是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。这种使用少量的公有IP地址代表大量的私有IP地址的方式将有助于减缓可用IP地址空间枯竭的速度。常见的NAT技术有多对一地址转换，多对多地址转换，NAPT,NAT Server，NAT Static，Easy IP，NAT ALG,双向NAT等。其原理图如下图所示： （3） 认证，授权和计费 AAA（认证，授权和计费）提供了一个用来对认证，授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。RADIUS（远程认证拨入用户服务）是一种分布式的，客户机/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性，又要求允许远程用户访问的网络环境中。RADIUS服务器对用户的认证过程通常需要利用NAS等设备的代理认证功能。在这一过程中，RADIUS客户端和RADIUS服务器之间通过共享密钥认证交互的消息，用户密码采用密文方式在网络上传输，增强了安全性。RADIUS协议合并了认证和授权过程，即响应报文中携带了授权信息。其操作流程图和步骤如下图所示：（4） 交换机端口安全技术随着以太网应用的日益普及，以太网安全成为日益迫切的需求。在没有安全技术应用的以太网中，用户只要能连接到交换机的物理端口，就可以访问网络中的所有资源，局域网的安全无法得到保证。以太网交换机针对网络安全问题提供了多种安全机制，包括地址绑定，端口隔离，接入认证等技术。其中802.1X就是交换机端口安全技术的典型应用。802.1X协议是基于客户端/服务器架构的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1X对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1X只允许EAPoL数据通过设备连接的交换机端口。认证通过以后，正常的数据可以顺利地通过以太网端口。如下图所示： （5） VPN虚拟私有网技术VPN是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，用以实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。其原理图如下图所示： （6）终端准入控制EAD（终端准入控制）方案的主要目的是从网络端点接入控制入手，加强网络终端的主动防御能力，控制病毒的蔓延。EAD通过安全客户端，iMC EAD服务器，网络设备以及防病毒软件产品，系统补丁管理产品，桌面管理产品的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒，蠕虫的攻击。可以说，EAD解决方案的实验原理就是通过将网络接入控制和用户终端安全策略控制相结合，以用户终端对企业安全策略的符合度为条件，控制用户访问网络的接入权限，从而降低病毒，非法访问等安全威胁对网络带来的危害。其原理图如下图所示： 实验一 网络设备基本操作1. 实验目的（1）学会使用Console口登录设备；（2）学会使用Telnet口终端登录设备；（3）掌握基本系统操作命令的使用。2.实验设备器材 MSR30-20，PC，Console串口线，第五类UTP以太网连接线3.实验组网图 4. 实验过程（1）通过Console登录 其原理图如下图所示： 其步骤为： 1）创建新连接2） 选择COM口3） 设置属性参数 4） 进入设置配置界面 （2） 通过Telent登录 其原理图如下图所示： Telnet配置例子： 实验二 RIP1. 实验目的（1）加深RIP协议原理的理解；（2）了解RIP实现运行机制；（3）熟悉RIP路由配置；（4）熟悉RIP路由维护。2.实验设备器材MSR30-20，PC，Console串口线，第五类UTP以太网连接线，V.35DTE串口线3. 实验组网图 4. 实验过程 RIP基本配置 实验三 OSPF1. 实验目的（1）掌握OSPF路由协议原理；（2）掌