计算机网络实验指导.doc

计算机网络实验指导书网络教研室2010年9月第一部分 实验大纲一、学时学分 总学时：90 总学分：4 实验时数：18 实验学分：无 二、实验的地位、作用和目的 实验课是计算机网络的重要实践环节。通过实验，使学生加深理解、验证、巩固课堂教学内容，加深对网络原理的理解，获得对网络的工作原理与操作方法，特别是通过设计和综合实验，发挥学生的想象力和创新能力。三、实验对象本实验开设对象为计算机系的信息与管理专业、计算机应用技术专业学生。四、基本原理及课程简介计算机网络是一门培养学生理解计算机网络原理、并能利用所学原理进行相关设计的一门技术基础课。在本专业的教学计划中，它是一门专业主干课，本课程在教学内容方面着重基本理论、基本知识和基本方法，在培养实践能力方面着重设计构思和设计技能的基本训练，熟练的上机操作能力和分析能力。 本实验课程共开设10个实验项目。五、实验方式与基本要求 1、由任课教师讲清实验的基本原理、方法及要求 2、实验前必须制定好上机步骤，弄清实验目的； 3、实验小组为612人一组，每次均为2小时； 4、要求学生掌握微型机的各种基本操作及在实验中得到提高。 六、考核与报告 1、实验时立将各种问题与结果记录下来，实验内容存入软盘或硬盘； 2、任课教师对每次记录都要进行检查、分析、登记； 3、课程总成绩应为理论考核、实验登记以及平时成绩的综合；其中实验课程成绩和平时成绩占30%，理论课成绩占70。第二部分 实验项目、设备及软件配置一、主要设备及软件配置 1、PC机24台；路由器、交换机（三层、二层）各4台。2、RJ45头若干、信息模块若干、双绞线若干、RJ45压线钳若干把、打线钳若干把、测试仪若干套。3、windows 2000 server、Red Hat Linux9.0等软件； 4、打印机1台（共用） 。DCRS-5526S 可堆叠智能安全千兆路由交换机DCR-1751 模块化路由器压线钳DCRS-3926可网管交换机测线仪打线钳二、实验项目与内容提要序号 项 目 名 称 内 容 提 要 每组 人数 项目 时数 项目 类型 承担 实验室 备注 1 小型局域网搭建掌握局域网搭建过程；掌握RJ45头的制作；掌握网线的使用；掌握网络协议的配制；掌握网络打印的概念。6-12 2 实践网络实验室 2 划分VLAN了解可网管交换机的结构；掌握VLAN的划分方法；掌握划分VLAN常用的命令。6-12 2 实践网络实验室 3 三层交换机路由设置掌握三层交换机VLAN划分方法；掌握VLAN间路由配制方法；掌握配制三层交换机常用的命令。6-12 2 综合网络实验室 4 三层交换机访问控制配制掌握三层交换机访问控制配制方法；掌握常用的命令。6-12 2 设计网络实验室 5 配制路由器了解路由器的结构；掌握路由器配制方法；掌握常见路由器配制命令。6-12 2 实践网络实验室 6 路由器协议设置掌握路由器静态路由、动态路由的配制方法；掌握常见的路由器协议配制命令。6-12 2 综合网络实验室 7 配制包过滤防火墙掌握路由器防火墙配制方法；掌握常见的配制命令。6-12 2 综合网络实验室 8 路由器协议封装理解路由器协议封装的概念；掌握路由器协议封装的配制方法；掌握Sniffer工具软件的应用方法。6-12 2 综合 网络实验室9语音网关实验掌握路由器中语音网关的配制方法；掌握常用的配制命令。6-122综合 网络实验室 第三部分 实验指导实验一 小型局域网搭建1、实验目的使学生掌握局域网的搭建过程以及搭建过程中所需要的相关知识。2、实验内容小型局域网搭建过程；RJ45头的制作；标准网线和交叉网线的使用；网络协议的配制；理解网络打印的概念。3、实验环境（单组要求）PC机4-6台（预装Windows操作系统）、交换机2台、RJ45头若干、双绞线若干米、RJ45压线钳3把、测试仪一套。4、实验拓扑5、实验要求PC1/24PC2/24PC3/54PC4/24PC5/24PC6/246、实验步骤(1)双绞线制作l 双绞线常用线序：568B白橙橙白绿蓝白蓝绿白棕棕568A白绿绿白橙蓝白蓝橙白棕棕l 标准线制作：两头均为568B或568A。主要用在连接非对等设备。l 交叉线制作：一头为568B，另一头为568A。主要用在连接对等设备。l 制作过程：u 剥掉保护层，按568B或568A顺序排列u 和线的方向垂直，剪切成约1.5cm长u 将剪齐的网线插入RJ-45头（小耳朵向下）u 用压线钳压紧即可(2) 网络协议配制(3) 交换机级联用标准线或交叉线将交换机连接通，注意“UPLINK”端口（有的交换机没有）与相邻端口的关系，（4）计算机连接用标准线连接计算机与交换机，用交叉线连接两台计算机。7、常用命令Ping：测试本地主机到目的主机是否通。Tracert：列出本地主机到目的主机的路由信息。Ipconfig：测试本地主机的IP配置信息。实验二 划分VLAN1、实验目的使学生掌握VLAN的概念、原理、应用范围以及划分VLAN的方法；掌握划分VLAN过程中所需要的相关基础知识。2、实验内容了解可网管交换机的结构；掌握VLAN的划分方法；掌握划分VLAN常用的命令。3、实验环境（单组要求）PC机4-6台（预装Windows操作系统）、可网管交换机2台、双绞线若干根、控制线2根。4、实验拓扑5、实验要求VLAN1所属端口1-8VLAN2所属端口9-16VLAN3所属端口17-24PC1/24PC2/24PC3/246、实验步骤(1)可网管交换机可网管交换机除了具有普通交换机的功能外，还可配置IP地址，通过一个软件系统供让用户利用telnet、SSH等远程命令控制其运行。(2)划分VLANv 1、VLAN的概念 虚拟局域网是以局域网交换机为基础，通过交换机软件实现根据功能、部门、应用等因素将设备或用户组成虚拟工作组或逻辑网段的技术。 特点是在组成逻辑网时无须考虑用户或设备在网络中的物理位置。VLAN可以在一个交换机或者跨交换机实现。v 2、VLAN的实现原理 1986年3月，IEEE 802委员会发布了IEEE 802.1q VLAN标准。 1988年，IEEE批准了802.3ac标准，这个标准定义了虚拟局域网的以太网帧格式，在传统的以太网的帧格式中插入一个4字节的标识符，称为VLAN标记，用来指明发送该帧的工作站属于哪一个虚拟局域网，如图1所示。如果还使用传统的以太网帧格式，那么就无法划分虚拟局域网。 VLAN标记字段的长度是4字节，插在以太网MAC帧的源地址字段和长度类型字段之间。VLAN标记的前两个字节和原来的长度类型字段的作用一样，总是设置为0x8100，称为802.1q标记类型。 虚拟局域网是由一些局域网网段构成的与物理位置无关的逻辑组，而这些网段具有某些共同的需求。每一个VLAN的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪一个VLAN。 利用以太网交换机可以很方便地实现虚拟局域网（VLAN）。虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。v 3、VLAN的实现方式 基于交换端口的VLAN 基于MAC地址的VLAN 基于路由协议的VLAN 基于策略的VLANv 按MAC地址划分；v 按IP地址划分；v 按以太网协议类型划分；v 按网络的应用划分v 4、VLAN的互连方法 传统路由器方法：v 所谓传统路由器方法，就是使用路由器将位于不同VLAN的交换端口连接起来，这种方法的缺点是：对路由器的性能有较高要求；同时如果路由器发生故障，则VLAN之间就不能通信。 采用路由交换机v 如果交换机本身带有路由功能，则VLAN之间的互连就可在交换机内部实现，即采用第3层交换技术。第3层交换技术也叫路由交换技术，是各网络厂家最新推出的一种局域网技术，具有良好的发展前景。它将交换技术（Switching）和路由技术（Routing）相结合，很好地解决了在大型局域网中以前难以解决的一些问题。v DCS3926交换机VLAN划分 1、可网管交换机IP地址配置v 启动超级终端：开始程序附件通讯超级终端，输入名称，如3926，选择com1，并设置相关配置，如下图所示，点击“确定”按钮即可。vv 进入配置模式进入VLAN接口模式设置IP地址，如下图所示。 2、启动telnet服务，增加telnet用户：v 进入配置模式，启动elnet服务，增加telnet用户，如下图，即可使用telnet登陆交换机进行网上管理。 3、VLAN设置v 建立VLAN：进入配置模式建立VLAN将端口放到不同的VLAN中，如下图。v 删除VLAN：进入配置模式执行 no vlan 44，如下图。 4、验证VLAN效果v 对比划分VLAN前后，处于不同VLAN中的微机的通信情况。v 不同VLAN中的微机不能通信，处于同一个VLAN中的微机可以通信。 5、保存配置：执行wirte命令即可。 6、恢复出厂设置v Set defaultv Writev Reload(3)常用命令： 特权模式下： 配置模式下：练习：1. VLAN划分2. VLAN连通3. 可网管交换机介绍实验三 三层交换机路由设置1、实验目的使学生掌握三层交换机设置方法以及所需要的相关基础知识。2、实验内容掌握三层交换机VLAN划分方法；掌握VLAN间路由配制方法；掌握配制三层交换机常用命令。3、实验环境（单组要求）PC机4-6台（预装Windows操作系统）、三层交换机1台、双绞线若干根、控制线1根。4、实验拓扑5、实验要求VLAN1所属端口1-8网关地址54/24VLAN2所属端口9-16网关地址54/24VLAN3所属端口17-24网关地址54/24PC1/24PC2/24PC3/246、实验步骤(1)划分VLAN VLAN设置v 建立VLAN：进入配置模式建立VLAN将端口放到不同的VLAN中，如下图。v 删除VLAN：进入配置模式执行 no vlan 44，如下图。v 验证VLAN效果l 对比划分VLAN前后，处于不同VLAN中的微机的通信情况。l 不同VLAN中的微机不能通信，处于同一个VLAN中的微机可以通信。v 进入配置模式进入VLAN接口模式设置IP地址，如下图所示，将每个VLAN均配制一个IP。(2)配制路由l 启动RIP协议，如下图：l 配置默认路由：l 验证效果v 对比设置路由前后各VLAN间的通信情况。注意每台微机的配置均要配置IP地址、子网掩码、默认网关（为各VLAN所配置的IP地址）。(3)地址绑定l 进入配置模式进入端口模式执行ARP命令，在特权模式下执行SHOW ARP 命令察看具体情况。验证进行ARP绑定以后，微机之间的通信情况。实验四 三层交换机访问控制设置1、实验目的使学生掌握利用三层交换机设置访问控制的方法以及所需要的相关知识。2、实验内容掌握三层交换机访问控制配制方法；掌握常用的命令。3、实验环境（单组要求）PC机4-6台（预装Windows操作系统）、三层交换机1台、双绞线若干根、控制线1根。4、实验拓扑5、实验要求VLAN1所属端口1-8网关地址54/24VLAN2所属端口9-16网关地址54/24VLAN3所属端口17-24网关地址54/24PC1/24PC2/24PC3/246、实验步骤(1)划分VLAN、配制路由详细参见实验二VLAN划分和实验三三层交换机配置(3)设置访问控制列表相关基础知识l 防火墙基本概念l 防火墙定义： 内联网通常采用一定的安全措施与企业或机构外部的因特网用户相隔离，这个安全措施就是防火墙(firewall)。 防火墙是从内联网(intranet)的角度来解决网络的安全问题。采用因特网技术的单位内部网络称为内联网。 防火墙的功能有两个：一个是阻止，另一个是允许。l 防火墙技术分类： 网络级防火墙：主要是用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤(packet filtering)和授权服务器(authorization server)。 应用级防火墙：从应用程序来进行接入控制。通常使用应用网关或代理服务器(proxy server)来区分各种应用l 交换机防火墙ACL ACL (Access Control Lists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则（rule），每条规则都描述了对匹配一定信息的数据包所 采取的动作：允许通过（permit）或拒绝通过（deny）。用户可以把这些规则应用到特定交换机端口的入口或出口方向，这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。l 1、access-list 定义：Access-list是一个有序的语句集，每一条语句对应一条特定的规则(rule)。每条rule包括了过滤信息及匹配此rule时应采取的动作。Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。l 分类： 根据过滤信息：ip access-list（三层以上信息），mac access-list（二层信息），mac-ip access-list（二层以上信息）。 根据配置的复杂程度：标准(standard)和扩展(extended)，扩展方式可以指定更加细致过滤信息。 根据命名方式：数字(numbered)和命名(named)。 访问列表举例： access-list 10 deny 55 access-list 110 deny icmp 55 any-destination ip access-list extended jsjx deny icmp 55 any-destination deny tcp 55 any-destination d-port 23l 2、access-group 当用户按照实际需要制定了一组access-list之后，就可以把他们分别应用到不同端口的不同方向上。access-group就是对特定的一条access-list与特定端口的特定方向的绑定关系的描述。当建立了一条access-group之后，流经此端口此方向的所有数据包都会试图匹配指定的access-list规则，以决定交换动作是允许(permit)或拒绝(deny)。 例： DCRS-5526S# DCRS-5526S#config DCRS-5526S(Config)#interface ethernet 0/0/1-3 DCRS-5526S(Config-Port-Range)#ip access-group jsjx in l 3、firewall 命令：firewall enable | disable 功能：允许防火墙起作用或禁止防火墙起作用。 参数：enable 表示允许防火墙起作用；disable 表示禁止防火墙起作用。 缺省情况：缺省为防火墙不起作用。 命令模式：全局配置模式 使用指南：在允许和禁止防火墙时，都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上。使防火墙不起作用后将删除端口上绑定的所有ACL。 举例：允许防火墙起作用。 Switch(Config)#firewall enablel 4、firewall default 命令：firewall default permit | deny 功能：设置防火墙默认动作。 参数： permit 表示允许数据包通过；deny 表示拒绝数据包通过。 命令模式：全局配置模式 缺省情况：缺省动作为permit。 使用指南：此命令只影响端口入口方向的IP 包，其余情况下数据包均可通过交换机。 举例：设置防火墙默认动作为允许数据包通过。 Switch(Config)#firewall default permit(4)防火墙应用举例l 例1、交换机5端口连接的是/24网段，管理员不希望该段中的人员访问其他网段。l 例2、交换机5端口连接的是/24网段。管理员不希望用户使用telnet，允许使用其他协议。l 标准列表 access-list 10 deny 55l 扩展列表 access-list 110 deny icmp 55 any-destinationl 基于名字 ip access-list extended jsjx deny icmp 55 any-destination deny tcp 55 any-destination d-port 23l 验证效果实验五 配制路由器1、实验目的使学生掌握路由器的配制方法以及所需要的相关知识。2、实验内容了解路由器的结构；掌握路由器配制方法；掌握常见路由器配制命令。3、实验环境（单组要求）PC机4-6台（预装Windows操作系统）、交换机2台、路由器1台、双绞线若干根、控制线1根。4、实验拓扑5、实验要求Router-AF0/054/24F0/154/24PC1/24PC2/24PC3/24PC4/24PC5/24PC6/246、实验步骤(1)配制路由器 进入配置模式输入IP ADDRESS命令和NO SHUTDOWN命令配置路由器端口，如下图所示： 输入SHOW INTERFACE F0/0命令查看端口状态，如下图所示： 输入SHOW IP ROUTE命令，查看路由信息，如下图所示：(2)PC机网络协议配制 打开计算机网络协议配置窗口，配置信息如下图所示：(3)效果测试 在路由器连接的一台PC机上分别PING路由器的两个接口地址和另一台微机，效果如下图所示：实验六 路由器协议设置1、实验目的使学生掌握路由器协议的配制方法以及相关基础知识。2、实验内容掌握路由器静态路由、动态路由的配制方法；掌握常见的路由器协议配制命令。3、实验环境（单组要求）PC机4-6台（预装Windows操作系统）、交换机2台、路由器2台、双绞线若干根、控制线2根。4、实验拓扑5、实验要求Router-AF0/054/24Router-BF0/054/24S1/054/24S1/053/24PC1/24PC2/24PC3/54PC4/24PC5/24PC6/246、实验步骤(1)配制路由器接口 配置接口IP地址，如下图所示： 配置DCE时钟频率，如下图所示：(2)配制静态路由协议 查看当前路由信息，测试对方路由，如下图： 配置静态路由指向，如下图： 查看路由指向： 在PC上测试如下：(3)配制动态路由协议（RIP、OSPF） 删除静态路由指向，添加RIP协议，如下图所示： 查看路由，如下图： 在PC上测试如下： 删除RIP协议，添加OSPF协议，如下图： 查看路由信息，如下图所示： 在PC上测试如下：实验七 配制包过滤防火墙1、实验目的使学生掌握路由器中包过滤防火墙的配制方法以及所需要的相关基础知识。2、实验内容掌握路由器防火墙配制方法；掌握常见的配制命令。3、实验环境（单组要求）PC机4-6台（预装Windows操作系统）、交换机2台、路由器2台、双绞线若干根、控制线2根。4、实验拓扑5、实验要求Router-AF0/054/24Router-BF0/054/24S1/054/24S1/053/24PC1/24PC2/24PC3/54PC4/24PC5/24PC6/246、实验步骤(1)配制路由器接口 配置接口IP地址，如下图所示： 配置DCE时钟频率，如下图所示：(2)配制静态路由协议 查看当前路由信息，测试对方路由，如下图： 配置静态路由指向，如下图： 查看路由指向：l 在PC上测试如下：l 查看FTP、TELNET、HTTP服务：(3)创建访问控制列表l 创建标准列表：以超级终端方式登陆路由