思科网络实验室手册withoutedu

1、网络技术试验室应用介绍思科先进网络技术实验室解决方案是为了满足广大教育用户对网络新技术和 新应用的学习需求而推出的，它的目的是为了促进和提高广大师生网络技术理论与 实践经验的结合，为用户提供一个高技术含量的网络实验和测试平台，帮助用户进 行网络前沿技术研究和测试，提高学校整体网络科研和教学应用水平。? 思科先进网络技术实验室内容 ，包含了：1. 路由和交换。2. IPv6。3. 无线网络。4. 网络安全 （ IDS/IPS,ISBN,NAC,SDN 等 思科独有） 。5. IP 语音等多种先进的网络应用技术 （IPT 等思科独有） 。所有内容全面反映了网络技术发展的最新方向，是学校进行教学科研

2、和网络 教学难得的实验环境。? 思科公司先进网络技术实验室特点 ：1. 先进性：思科公司网络技术始终处于世界领先地位。2. 全面性：思科公司产品覆盖面全，产品线长，技术完善。3. 权威性：思科公司的产品和技术，包括认证体系已经获得国际和国内 的认可，同时已成为业界标准。4. 实用性：思科公司产品和技术紧密结合当前市场的主流应用，符合实 际应用的发展趋势。5. 前瞻性：思科公司产品技术特点突出，能够引导和开发用户的潜在应 用，满足客户不断发展的需求。商业性：思科网络实验室不但为广大教育用户提供了教研平台，同时 可以作为校园市场商业化的一部分。网络技术试验室应用介绍思科先进网络技术实验室解决方案是

3、为了满足广大教育用户对网络新技术和 新应用的学习需求而推出的，它的目的是为了促进和提高广大师生网络技术理论与 实践经验的结合，为用户提供一个高技术含量的网络实验和测试平台，帮助用户进 行网络前沿技术研究和测试，提高学校整体网络科研和教学应用水平。?思科先进网络技术实验室内容，包含了：1. 路由和交换。2. IPv6o3. 无线网络。4. 网络安全（IDS/IPS,ISBN,NAC,SDN等思科独有）。5. IP语音等多种先进的网络应用技术 （IPT等思科独有）。所有内容全面反映了网络技术发展的最新方向，是学校进行教学科研和网络 教学难得的实验环境。?思科公司先进网络技术实验室特点：1. 先进性

4、：思科公司网络技术始终处于世界领先地位。2. 全面性：思科公司产品覆盖面全，产品线长，技术完善。3. 权威性：思科公司的产品和技术，包括认证体系已经获得国际和国内的认可，同时已成为业界标准。4. 实用性：思科公司产品和技术紧密结合当前市场的主流应用，符合实际应用的发展趋势。5. 前瞻性：思科公司产品技术特点突出，能够引导和开发用户的潜在应用，满足客户不断发展的需求。6. 商业性：思科网络实验室不但为广大教育用户提供了教研平台，同时可以作为校园市场商业化的一部分。IP'IPvCat3750/3560路虫交换/JPv6实验室IPvIPvIPvIPv广域网 或Internet1.先进路由和交

5、换实验应用需求：路由和交换是所有网络建设的基础，也是各种网络应用的传输平台，因此思 科先进网络实验室的首要目的是搭建一个可以满足各种局域网交换和广域网路由测 试需求的网络架构。用户可以利用这个架构进行从 CCNA、CCNP到CCIE级别的 思科网络认证培训和实验。并可以在其基础上完成其他先进网络技术的测试，如 IP组播，多协议路由等。在本实验包中的设备已经可以满足思科网络技术学院所要求的设备功能，可 以帮助用户在此基础上申请网络技术学院资质，从而大大扩展用户的计算机教学领 域并提供对外有偿培训服务。实验室拓扑:1.1网络基础：实验内容：?网络的基础和OSI七层模型? TCP/IP 协议?局域网

6、及交换机基础（端口类型，传输速率，传输线缆等）?广域网及路由器基础（功能，端口类型，传输速率，链路类型等）? Cisco IOS 软件（软件结构，配置界面等）1.2局域网交换技术:实验内容：?以太网技术及其应用（以太网，快速以太网，千兆以太网等）? 交换机的设置及管理（CLI，Tel net, SNMP等）?虚拟网络（VLAN ）概念及其在交换机中的设置?交换机端口队列技术及设置? 802.1Q协议及设置? EtherCha nnel? 生成树（STP）算法及应用，MSTP, PortFast, UplinkFast等?三层路由在交换机中的实现?交换机安全设置?语音支持，在线供电技术等?局域网

7、故障排除实验拓扑:iu Hi实验步骤：局域网交换的详细操作请参看思科网络技术学院教程：“多层交换实验手册”Router A DLCI: 100us iiimlLMI100 = Active400 - ActiveDLCI; 400Local 斗 Access Loop = T1DLCI: 500Router CRouter BDLCI： 2004Local Access Loop = 64 kbps1.3广域网路由技术:实验内容：?广域网技术及端口类型（帧中继、专线、 ATM、X.25等）? 路由协议及其配置（静态/RIP/EIGRP/OSPF/BGP/ISIS）?高级路由协议技术（路由汇聚，

8、路由发布，状态路由等）?访问控制列表（ACL）及其实现方法? QoS设置?地址转换NAT? ISDN拨号技术?组播路由技术? 路由器备份技术（HSRP, VRRP, GLBP, SRM,及LB）?广域网故障排除实验拓扑:PVC实验步骤:广域网路由技术的详细操作请参看思科网络技术学院教程：“高级路由实验手册”2. IPv6实验应用需求：不断增长的全球互联网需要其整体结构不断演进，以适应新技术，支持数量越来越大的用户、应用、设备和服务。针对解决以上问题，IETF 于1998年发布了 下一代网际互联协议IPv6o IPv6 在继承IPv4端到端和尽力而为的基础上，针 对IPv4的不足和对In ter

9、net的未来发展预测，对IPv4做了大幅度的根本性变革 和功能扩充。因而具有许多新的特征，如无限的地址空间、高效的路由结构等等。到目前为止，经过近几年的开发和实践，Cisco IPv6技术已经进入了实用阶段。Cisco目前提供了完善的IPv6组网功能和路由功能，如在各种链路上的IPv6支持、IPv6地址的各种自动分配方式、线速的IPv6转发、IPv6访问控制列表、扩 展的IPv6访问控制列表、以及IPv6静态路由/RIPng/OSFPv3/IPv6 ISIS/BGP+ for IPv6等路由协议；Cisco也完成了超过170个网络平台的IPv6的支持。同时， Cisco还提出了如何部署IPv6

10、,及与现行的IPv4网络的平滑过渡和共存的战略。随着中国教育信息网第二代IPv6网络骨干的建设和试运行，所有的校园网用 户都面临着与IPv6网络连接的未来需求，因此迫切需要了解并掌握IPv6技术和各种IPv6与IPv4网络的互连方案。思科IPv6实验室是用户可以在此实验平台上进 行各项与IPv6相关的测试内容，以充分掌握这一技术。实验内容:? IPv6/IPv4双栈技术?隧道技术? IPv6/IPv4地址翻译技术? IPv6防火墙IPvIPvIPvCat3750/3560IPv路由交换/ IPv6实验室IPv广域网 或Internet实验拓扑:实验步骤：IP V6路由技术的详细操作请参看“ C

11、isco IPv6网络实现技术”3 无线网络实验应用需求对于校园网络的用户来说，移动性强是一大特点。因此我们可以在校园网内 部部署无线接入网络，实现教师和同学们的随时随地网网络资源访问。从小型校区到大规模的大学，无线LAN都在帮助资金有限的教育机构通过他们现有的预算实现更多的目标。这项技术让他们能够以一个非常合理的价格采用多 种教育应用，例如有助于改善学习体验的在线学习。它可让他们用一种安全、经济 的方式将网络连接拓展到整个校园，让学生、教师和管理人员无论在室内还是室外 都可以接入网络。因此，教育界采用无线 LAN技术的速度超过了其他任何行业。根据NOP World所做的调查，35%勺美国教育

12、机构都已经在一定程度上部署了无线网 络。Cisc o无线解决方案还让教育机构能灵活地支持任何一种兼容Wi-Fi丁的笔记本电脑或者PDA从而使得校园中经常可以看到的各种客户端设备都可以方便地接入 网络。思科无线实验室可以帮助用户实现无线网络环境下的各种应用测试，并且掌 握搭建安全无线网络所需的各种技术和手段，为校园内部的无线网络建设打下良好 的基础。实验内容：? 802.11B/G 无线局域网技术?无线用户接入认证?无线用户的漫游?无线网络安全研究?无线网络Qos研究?无线IP语音通信实验室?无线网络管理实验? Cisco无线兼容实验室实验拓扑:无线服务路由器无线实验室实验步骤：无线局域网的详细

13、操作请参看 思科网络技术学院教程：“无线局域网基础”4. 网络安全实验主要内容：1) 防火墙 Firewall2) IDS3) 基于用户身份的网络认证实验IBNS4) 网络准入实验NAC5) 虚拟专用网实验VPN4.1 防火墙 Firewall应用需求：今天的学校网络面临越来越多的安全挑战，如何维护一个安全的网络环境是每一个 校园网拥有者和管理者最关注的问题之一。防火墙作为网络安全的基石，永远是校 园网络安全产品中必然的选择。实验内容：?基于状态的访问控制?动态/静态NAT和PAT功能。? 双向NAT，支持基于策略的 NAT。?防火墙冗余备份及故障切换。?静态/动态路由。?点对点/远程访问VP

14、N? 其他安全功能(DNS保护，Flood Defender. Flood Guard，TCP阻截，单播 反向路径发送，Mail Guard， FragGuard 和虚拟重组，In ternet Con trol Message Protocol (ICMP) stateful inspection User Datagram Protocol (UDP) rate con trol。实验拓扑:网络安全实验室ASA 5500 防火墙扌用户认证器广域网或In ter netIPv4主机 入侵保护入侵保护路由器nr网络入侵检测（IDS）足系療入侵保护网络准入 实验4.2 IDS应用需求：今天网络面

15、对的威胁不仅来自外部更来自内部，尤其对于校园网用户来说， 大部分威胁校园网络的病毒和攻击往往来自校园内的合法用户。用户需要一个解决 方案能够帮助他们的网络抵御来自网络内部的攻击，并且他们需要一种工具能够主 动检测到网络攻击并进行防御。IDS系统可以满足这一要求。实验内容:? IDS监控数据采集：SPAN/RSPANVACL等数据采集方式?设备安全性测试：IDS探针与后台控制台间基于IPSec或SSL的加密通讯。基于加密的入侵特征包。SSH远程用户管理基于SCP的安全文件传输?攻击应对策略测试：路由器访问控制列表修改 交换机访问控制列表修改 防火墙安全策略修订通过TCP reset进行进程中断

16、日志功能IP logging用户屏蔽User shunning?主动告警功能测试：网管报警自动E-mail报警自动寻呼机报警自动执行相关程序自动更新公告多目的地报警实验拓扑：Cisco A侵监测和在线入侵保护（IDSFIPS）Ciwo IFHi?n»«lklll：lllllllllllllllllllll.lll-lll'll：l亍nternet.ID剖IPS賂由器网管服务器1L1J2.101汇聚交换机Catalyst 3750内部黑客7.7.7.101在汇聚交换机中动态下 栽访问瓮制列表ACL, j实现动态的入慢防御黑客111J.76.8在线监抽入僮， 并可将攻击

17、实时阳断DenyCisco IDSCatalyst? 750园区何塔实验步骤:入侵检测实验的详细操作请参看“ Cisco安全入侵检测系统”4.3基于用户身份的网络认证实验IBNS应用需求：基于用户的网络接入管理是校园网用户经常考虑的问题之一。目前大多数校园的网络访问是开放的，任何人只要将它的电脑连接到墙上的RJ-45端口上就可以获得对网络的连接。一些校园网甚至在使用开放的无线网络，这意味着非法用户甚 至不需要进入校园就可以通过非法的无线网络设备接入校园网络，实施攻击。因此 今天的用户迫切希望能实施基于用户认证的网络接入管理，并且希望这一管理手段 是基于标准的，从而可以与大多数厂商的网络设备兼容

18、。基于802.1X的用户身份认证为用户提供了这一标准的网络接入管理手段。实验内容：? 802.1X交换机接入认证? 802.1X无线网络接入认证?基于用户身份认证的动态VLAN分配?基于用户身份认证的动态访问控制（ACL）? 802.1X认证数据库与Windows域控服务器用户数据库的整合? 一次用户登录（登录网络+登录域）实验拓扑:Authorized UsaUnauthorized UserAuthorizedVendor4.4网络准入实验NAC应用需求：在用户认证的基础上，用户寻求一种解决方案能够保证接入网络的计算机设 备满足安全性要求，如升级了最新的病毒特征码，安装了最新的操作系统补丁

19、等。 这一解决方案可以大大减少由于不安全的系统接入带来的病毒威胁和安全隐患，同 时可以规范用户桌面系统管理。思科网络准入控制（NAC ）是一项由思科发起、多家厂商参加的计划，其宗 旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，客户可以只允许合法的、值得信任的端点设备（例如 PC、服务器、PDA ）接入网络，而不 允许其它设备接入。在初始阶段，当端点设备进入网络时，NAC能够帮助思科路由器实施访问权限。此项决策可以根据端点设备的信息制定，例如设备的当前防病毒状况以及操作系统补丁等。网络将按照客户制定的策略实行相应的准入控制决 策：允许、拒绝、隔离或限制。思科网络准入实验室可以帮

20、助用户了解网络准入技术和实现方法，并测试不 同的网络准入策略。实验内容：?用户端发起对In ternet或受保护网段的访问，触发路由器（网络准入设备） 上的初始访问控制列表。?路由器发起对用户端的状态验证（EAPoUDP），要求用户端的CTA进行回 应。? CTA向路由器发送状态证书（EAPoUDP）?路由器将证书发往ACS （访问控制服务器）? ACS与后端认证服务器一起进行用户端的证书验证（HCAP）? ACS确定用户端状态，决定其访问授权? ACS向路由器发送授权策略（包括 ACL和URL），并在用户端屏幕上显示 通知信息?路由器根据授权策略决定对用户端的访问控制实验拓扑:实验设备:1.

21、 Cisco CSA2. Cisco CTA3. Cisco Secure ACS思科访问控制服务器 CSACS-4.0-WIN-K94. 第三方防病毒服务器注：详细设备清单参见思科实验室设备包.xls ”.4.5虚拟专用网实验VPN应用需求：随着In ternet基础设施建设的发展，In ternet宽带接入在很多城市已很普及， 采用VPN技术进行校园内部远程网络连接可以很好的利用In ternet宽带接入服务来实现广域网连接。VPN利用公共互联网或者服务提供商所共享的IP网络来做为访问内部网络的 传输媒介，从而避免了采用 DDN等其他广域网连接方式所需的昂贵的专线租用费 用。保证在世界上的

22、任何一个地方能以本地访问费用来安全地访问企业内部网 络，已由VPN变成了现实，这就将企业在提高网络接入速度的同时无需支付长途 连接费用，甚至大型的文件也能通过 VPN经济高效地从网上下载。思科VPN实验室可以帮助用户了解基于IPSEC的VPN网络技术和各种不同 的VPN连接技术，点对点，点对多点，远程访问等。实验内容：? 点对点IPSEC VPN?多点动态VPN? VPN承载路由协议Easy VPNVoice over VPN实验拓扑:InternetBranch Office1Data VPNGateway2Corporate,Rs5QUn«SInternal实验设备:注：详细设备

23、清单参见思科实验室设备包.xls实验步骤：以上网络安全实验的详细操作请参看思科网络技术学院教程：“网络安全基 础”和“ Cisco安全虚拟专用网络”。5. VoIP语音实验 禾口 IP Telephony 实验应用需求：在今天的教育行业中，很多的小型学院合并成为综合性大学，同时著名的院 校都在扩展进行异地分校建设，因此新的综合性大学往往会分布在不同的地理位 置，通过广域网链路连接在一起。当这一跨地域的网络建设好后，用户希望在网络 上同时承载数据，视频和语音服务。一直以来成熟的Voip语音技术可以解决物理上分离的两地间语音通话的话费 规避问题，思科集成多业务路由器能够更好的支持 VoIP技术的实

24、施应用。另外，思科IP电话解决方案为用户提供全面的基于IP的语音应用，并且在传 统的语音服务上实现话音应用与数据应用的整合，从而降低开销，提高效率思科IP语音实验室可以满足用户对IP语音应用技术的学习和实验需求，通过 这一平台用户可以充分实践各种思科IP语音技术在不同网络环境中的应用实验室拓扑:IP电话机I卩电话实鉴室传第克话崔狡电话IP电话机5.1 IP语音网络建设：实验内容：? IP PBX - Call Manager Expre软件的安装和配置? IP电话配置? IP电话接入交换机配置（QoS,在线供电，安全）? IP语音网关配置（模拟接口，数字接口设置）? IP电话拨号规则设计和实施

25、? IP软电话安装? IP电话视频套件安装实验拓扑:5.2 CallManager 功能实验作为思科IP通信系统一个不可分割的组成部分，Cisco CallManager是思科企业IP通信解决方案的核心组件，它的主要功能是完成呼叫处理和控制，但所有的 呼叫语音流并不接入到该系统，而由需要通话的终端系统间根据IP路由直接完成连 接,CallManager只负责为通话的终端系统提供信令服务。其体系架构示意图如下：思科IP通信系统架构思科 CallManager企业卩网络八卩话音流语音网关交换机盘共电话网PSTN琛亠|实验内容：? Call Man ager基础配置?语音设备设定（IP电话，语音网关，编解码器自源）? IP电话路由设定? IP电话拨号规则设定? 呼叫协议：H.323、SIP、MGCP 和 SCCP?用于自动带宽选择的编码器-译码器（编译码器）：G.711 mu-law、a-law。G.723.1, G.729A/B，GSM-EFR、FR宽带音频专用16位分辨率、16- KHz采样音频。?数字分析和呼叫处理（数字字符串插入、删除、