桂林理工大学-《网络工程》实习报告-何天从

网络工程实习报告姓名何天从学号3110757101班级网络11-1班院系信息科学与工程学院指导老师吴名欢、邓昀、徐红起止日期2013.12.23~2014.1.17目录：第一局部网络仿真实验HYPERLINK实验一、网络仿真软件的使用…………………1HYPERLINK实验二、单个交换机vlan的划分……………...3HYPERLINK实验三、vtpserver交换机的配置……………..5HYPERLINK实验四、单臂路由配置…………7HYPERLINK实验五、路由器的NATPAT配置……………..9HYPERLINK实验六、三层交换机的配置……11HYPERLINK实验七、动态路由的配置………13HYPERLINK实验八、访问控制列表配置…….15HYPERLINK实验九、校园网络的配置………..21第二局部基于虚拟机环境的实验HYPERLINK实验一、DHCP效劳器安装配置……………….27HYPERLINK实验二、DNS效劳器安装配置………………….29HYPERLINK实验三、Web站点发布…………..30HYPERLINK实验四、FTP站点发布………….31HYPERLINK实验五、网络命令………………..34HYPERLINK实验六、网络故障分析与排除………………….40HYPERLINK实验七、日志查看和分析…….…………………42HYPERLINK实验八、实现异种网络互连……44HYPERLINK【实习总结】……………………46第一局部网络仿真实验实验一：网络仿真软件的使用一、实验目的1.熟悉网络搭建模拟软件packettracer的安装2.熟悉软件packettracer的根本界面和使用3.实践一个根本的实例二、软件的安装下载好软件，安装非常简单，双击运行安装程序，一直点下一步，最后安装成功。桌面出现快捷方式然后运行本程序，出现下面的界面1，最上面的还是和一些其他的软件一样，新建，翻开，保存之类的。2，中间的白框是工作区域，你操作就是在这个框里面操作的。3，框右边是圈划设备，移动设备，删除设备之类的注意那个信封，以后要是查看包的传输路径，主要是看这个。4，左下面是自己搭建TOPO时，可以随意的添加以下的设备，点着左边的ROUTER，右边就会出现可用的所有ROUTER，设备的类型列表如下：这里面的线分为直连线，交叉线，级连线，DCE和DTE线等。5，右下面，是测试包传输成功与否的查看，或查看包的传输路径。实验二单个交换机vlan的划分1.VLAN的原理VLAN(VirtualLan)是虚拟逻辑网络，交换机通过VLAN设置，可以划分为多个逻辑网络，从而隔离播送域。具有三层模块的交换机可以实现VLAN间的路由。2.实验需要的设备及ip地址为〔1〕一台交换机、四台pc机；〔2〕Pc0_vlan10——Pc1_vlan20——Pc2_vlan30——

pc0_vlan40——

3.实验拓扑图4.附加交换机的配置命令：Switch#conftSwitch(config)#vlan2Switch(config-vlan)#nameVLAN_2Switch(config-vlan)#Switch(config-vlan)#vlan3Switch(config-vlan)#nameVLAN_3Switch(config-vlan)#exitSwitch(config)#intrangef0/1,f0/3Switch(config-if-range)#switchportaccessvlan2Switch(config-if-range)#exitSwitch(config)#intrangef0/2,f0/4Switch(config-if-range)#switchportaccessvlan3Switch(config-if-range)#exitSwitch#showvlan//查看vlan信息5.遇到的问题〔如何解决〕及体会问题：1、在开始做这个实验时，其实发现自己理论与实践根本不是同步的。而且说，差距很大啊。连接好后，发现ping不通，刚开始，以为网关没设置的原因，后来才知道我ping，而是ping。体会：在这之前，发现我理论是学过了局域网的知识，还感觉学得不错。其实，在实践中，发现自己根本没有意识到要联系理论，所以，才出现了要设置网关的想法。所以，现在明白了，局域网是同一网段，如果只是局域网内部通信，是不需要网关的，即不用路由器。2、创立vlan的方法到底有那些？方法一：Switch#vlandatabase//进入vlan数据库模式Switch(vlan)#vlan3方法二：Switch(config)#vlan3Switch(config-vlan)#namevlan3//创立vlan3并将其命名为vlan3注意:1、不同系列的交换机不一定支持两种创立方式。方法一为标准方式。2、创立VLAN时，假设不对其命名，那么有默认的名字。实验三vtpserver交换机的配置1.vtp原理：〔1〕VTP(VlanTrunkingProtocol)是VLAN传输协议，在含有多个交换机的网络中，可以将中心交换机的VLAN信息发送到下级的交换机中。中心交换机设置为VTPServer，下级交换机设置为VTPClient。VTPClient要能学习到VTPServer的VLAN信息，要求在同一个VTP域，并要口令相同。〔2〕VLAN共享：如果要求某个VLAN与其他VLAN访问，可以设置VLAN共享或主附VLAN。共享模式的VLAN端口，可以成为多个VLAN的成员或同时属于多个VLAN。在主附VLAN结构中，子VLAN与主VLAN可以相互访问，子VLAN间的端口不能互相访问。一般的VLAN间使用不同网络地址；主附VLAN中主VLAN和子VLAN使用同一个网络地址。2.实验目的：通过vtp实验掌握vtp的原理3.vtp的实验拓扑图：〔2〕进入第一台交换机配置VTP工作模式为server如下列图：〔3〕进入第二台交换机配置VTP工作模式为client如下列图：〔3〕把连接两台交换机两端的接口设为trunk口〔允许所有vlan通过的口〕；〔4〕创立vlan并把端口添加到相应vlan中：1〕在第一台交换机〔即vtp设为server的交换机〕创立vlan2和vlan3：〔5〕把两台交换机的相应主机添加到相应vlan中〔6〕测试：相同vlan中的主机能ping通，不同vlan中主机ping不通。4.相关配置命令一、vtpserver交换机的配置(1)vtp模式配置Switch(config)#vtpmodeserverSwitch(config)#vtpdomaintestSwitch(config)#vtppasswordjoonsheng(2)vlan的创立Switch(config)#Switch(config)#vlan2Switch(config-vlan)#nametest-2Switch(config-vlan)#vlan3Switch(config-vlan)#nametest-3〔3〕接口vlan的划分Switch(config-if)#intf0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan2Switch(config-if)#intf0/2Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan3二、vtpclient交换机的配置(1)vtp模式配置Switch(config)#vtpmodeclientSwitch(config)#vtpdomaintestSwitch(config)#vtppasswordjoonshengSwitch(config)#〔2〕接口vlan的划分Switch(config)#intf0/10Switch(config-if)#switchportmodetrunkSwitch(config-if)#intf0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan2Switch(config-if)#intf0/2Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan35.遇到的问题〔如何解决〕及体会问题：vtpclient如果没学到vlan，原因在那里？体会：1、要注意同一个vtp域的域名。版本、密码必须一致。2、思科的vlan1，1002，1003，1004，1005是默认的vlan。实验四单臂路由配置本实验接上一个实验，计算机和交换机的IP地址和网关不变，但要求交换机工作在两个VLAN的情况下，新创立的vlan，一个是vlan2，另一个是vlan3。当交换机设置成两个vlan时，逻辑上已经成为两个网络，播送被隔离了。两个vlan的网络要通信，必须通过路由器，如果接入路由器的一个物理端口，那么必须有两个子接口分别与两个vlan对应，同时还要求与路由器相联的交换机的端口f0/1要设置为trunk，因为这个口要通过两个vlan的数据包。1.实验目的通过实验掌握单臂理由的原理及应用，并且熟悉上次试验vtp原理。2．实验拓扑图3.路由器的配置Router#conf

t

Router(config)#int

f0/0

Router(config­if)#no

shutdownRouter(config­if)#int

f0/0.1

Router(config­subif)#encapsulation

dot1Q

2

Router(config­subif)#ip

add

Router(config­subif)#int

f0/0.2

Router(config­subif)#encapsulation

dot1Q

3

Router(config­subif)#ip

add

Router(config­subif)#exit

4.遇到的问题〔如何解决〕及体会问题：1.错误：Router(config)#Router(config)#intf0/0.1Router(config-subif)#ipaddress%ConfiguringIProutingonaLANsubinterfaceisonlyallowedifthatsubinterfaceisalreadyconfiguredaspartofanIEEE802.10,IEEE802.1Q,orISLvLAN.这是问题是，要对子接口配置IP地址时，首先要对这个子接口封装vlan的trunk的协议。体会：开始时，我们都按pdf文档的步骤做，有问题了，也不知道，后来发现子接口没有地址，才知道地址没有配置成功，第一反响是在配置一次，然后在按一面命令配置时，注意到提示，才知道原因在这里。这个问题说明，我们在对trunk模式的理论知识的理解还不够深入。应该对子接口封装了协议，这条链路才能通，也就才有IP地址配置。2.错误：Router(config­subif)#noshutdown//没有这个配置体会：其实这个是不用在翻开接口的，因为在f0/0接口中，已经是开启状态了。实验五路由器的NATPAT配置PAT(PortAddressTranslate)是一种特殊动态NAT，它用于将多个内部本地IP地址映射到一个公网IP的不同端口上。将原动态nat命令行地址池pool改变成为对外接口s0/0，并在后边加上参数overload。1.实验目的〔1〕掌握PAT的配置方法；〔2〕熟悉上几个实验的配置，并在其根底上给路由器配置PAT。2.实验拓扑图3.附加路由器的配置命令Router(config)#int

f0/1Router(config­if)#no

shut

Router(config­if)#ip

add

Router(config­if)#ip

nat

outside

Router(config­if)#int

f0/0Router(config­if)#no

shut

Router(config­if)#int

f0/0.1

Router(config­subif)#ip

nat

inside

Router(config­subif)#int

f0/0.2

Router(config­subif)#ip

nat

inside

Router(config­subif)#exit

Router(config)#ip

nat

pool

p1

netmask

Router(config)#access­list2permitany//any是允许所有的主机访问access­list2Router(config)#ipnatinsidesourcelist2poolp1overload/*在此千万不要忘记overload，overload是全部加载list2的意思*/Router(config)#ip

route

f0/1Router(config)#exit

Router#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp:18:18:18:18icmp:3:3:3:3tcp:5566:5566:80:804.遇到的问题〔如何解决〕及体会问题：如何删除NAT地址池和映射语句？体会：1、删除NAT地址池和映射：Router(config)#noipnatpool[poolname]Router(config)#noipnatinsidesourcelist[listname]pool[poolname]2、去除NAT转换缓冲Router#clearipnattranslation*实验六三层交换机的配置1.三层交换的概念交换机是链路层设备，使用MAC地址，完成对帧的操作。交换机的IP地址做管理用，交换机的IP地址实际是VALN的IP。一个VLAN一个播送域，不同VLAN的主机间访问，相当于网络间的访问，要通过路由实现。不同VLAN间主机的访问有以下几种情况：(1)两个VLAN分别接入路由器的两个物理接口。这是路由器的根本应用。(2)两个VLAN通过trunk接入路由器的一个物理接口，这是应用于子接口的单臂路由。1)通过VLAN的IP地址做网关，实现三层交换，要求设置VLAN的IP地址。2)将端口设置在三层工作，要求端口设置noswitchport，再设置端口的IP地址。2.试验目的通过试验掌握三层交换工作原理。3.实验拓扑图4.三层交换机的相关配置命令Switch#conf

t

Switch(config)#vlan2Switch(config-vlan)#vlan3Switch(config-vlan)#exitSwitch(config)#int

vlan

2

Switch(config­if)#ip

add

Switch(config­if)#no

shut

Switch(config­if)#int

vlan

3

Switch(config­if)#ip

add

Switch(config­if)#no

shut

Switch(config-vlan)#exitSwitch(config)#ip

routing

//必须先启动Switch(config)#router

rip

Switch(config­router)#network

Switch(config­router)#network

Switch(config­router)#exit

5.路由器rip配置Router(config)#router

rip

Router(config­router)#network

Router(config­router)#network

Router(config­router)#network

Router(config­router)#exit

6.遇到的问题〔如何解决〕及体会问题：vlan接口ip地址与接口IP的区别?三层交换机还是交换机，只是带有路由功能？三层交换机的vlan与接口没有关系?在一个接口中有vlan,并且vlan有ip地址,那么就可以与其实接口的其它vlan进行通信?体会：只要接口所在的vlan有ipaddress，就能保证该vlan下的接口能与其他网络通信。首先你得明白三层交换机的概念。一次路由屡次转发。vlan只是纯二层的玩意，不同vlan间不经过三层网络无法实现互相访问。三层交换机实现vlan间的通信，靠的是三层虚接口间的路由来实现。例如用H3C7506E上肯定会有interfacevlan10和interfacevlan160这两个三层虚接口，接口地址先不管。从某个接入层交换机的端口上来一个报文，端口上如果PVID是vlan10，那么打上vlan10的tag，发出播送包，播送到任何允许vlan10通过的端口，假设一直都没有，该包到达三层交换机的时候，发往交换机的核心模块，剥离报头信息，在路口表中寻找通往目的IP地址的路由，发现该条路由指向的三层虚接口的interfacevlan为160，那么给报文打上vlan160的标签，发往二层端口，由此实现vlan间的通信搜索。三层交换机的每一个接口连接一个独立的VLAN，开启每个接口的路由功能，并配置IP，通过配置三层交换的动态路由协议，可实现不同VLAN间的路由。实验七动态路由的配置1．动态路由的原理动态路由是指动态路由协议(如RIP、OSPF)自动建立路由表，当你去掉一条连线时，它会自动去掉其路由。路由器的每一个接口对应不同网络，而一条连接两个路由器连线的两个端点IP应该属于同一网络。设置的IP地址时，如果路由器的其它端口已有这个网络了，那么提示已有这个网络，并显示对应的端口。如果是本端口可以覆盖。2．实验目的通过本次实验掌握rip协议的原理及应用3．实验实验拓扑图4.配置的命令一、路由器R0的相关配置命令Router>enable

Router#conf

t

Router(config)#int

S0/0/1

Router(config­if)#ip

address

Router(config­if)#clock

rate

64000

Router(config­if)#no

shutdown

Router(config-if)#int

F0/0

Router(config­if)#ip

address

Router(config­if)#no

shutdown

Router(config­if)#exit

Router(config)#router

rip

Router(config­router)#network

Router(config­router)#network

二、路由器R1的相关配置命令Router>en

Router#conf

t

Router(config)#int

F0/0

Router(config­if)#ip

address

Router(config­if)#no

shutdown

Router(config)#int

S0/1

Router(config­if)#ip

address

Router(config­if)#no

shutdownRouter(config)#router

rip

Router(config­router)#network

Router(config­router)#network

5.遇到的问题〔如何解决〕及体会问题：1、Router(config­if)#clock

rate

64000//ThiscommandappliesonlytoDCEinterfaces体会：如果用Serial串行接口，那么只要在DCE端配置时钟速率。2、如果配置了RIP路由协议，但没有宣告成功的原因？体会：三层交换机没有network5.0的网络，以为rip路由没成功，结果是没的宣布5.0。所以如果没有宣告成功网络，一般是1、IP地址写错、2、连接线有问题、宣告网络写错了。实验八访问控制列表配置1.实验原理网络中常说的ACL是CiscoIOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，局部最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差异。本文所有的配置实例均基于CiscoIOS的ACL进行编写。1、根本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规那么对包进行过滤，从而到达访问控制的目的。2、功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供效劳或数据，用户节点访问资源节点所提供的效劳与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。3、配置ACL的根本原那么：在实施ACL的过程中，应当遵循如下两个根本原那么：最小特权原那么：只给受控对象完成任务所必须的最小的权限最靠近受控对象原那么：所有的网络层访问权限控制4、局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的局部信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要到达endtoend的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。2.实验目的1.配置标准IP访问控制列表；2.配置扩展IP访问控制列表；3.配置命名的标准IP访问控制列表；4.配置命名的扩展IP访问控制列表；5.在网络接口上引用IP访问控制列表；6.查看和监测IP访问控制列表。3.实验拓扑图4.配置命令1、学生楼配置：〔一〕路由器的配置：〔1〕主要实现的功能：1〕单臂路由：vlan间的路由；2〕Nat中的pat配置；3〕ACL访问控制列表；〔2〕配置的过程：1〕单臂路由器：Router(config)#intg0/0Router(config-if)#noshuRouter(config-if)#intg0/0.10 Router(config-subif)#ipaddressRouter(config-subif)#encapsulationdot1Q10Router(config-subif)#ipaddressRouter(config-subif)#noshutdownRouter(config-subif)#Router(config-subif)#intg0/0.20Router(config-subif)#Router(config-subif)#encapsulationdot1Q20Router(config-subif)#ipaddressRouter(config-subif)#intg0/0.30Router(config-subif)#encapsulationdot1Q30Router(config-subif)#ipaddressRouter(config-subif)#Router(config-subif)#intg0/0.40Router(config-subif)#encapsulationdot1Q40Router(config-subif)#ipaddressRouter(config-subif)#2〕RIP配置Router(config)#routerripRouter(config-router)#networkRouter(config-router)#networkRouter(config-router)#networkRouter(config-router)#networkRouter(config-router)#networkRouter(config-router)#3〕NAT的配置Router(config)#intg0/0Router(config-if)#ipnatinside//一定要为子接口划入inside吗？是不是为了平安性Router(config-if)#intg0/1Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#ipnatpoolp1netmaskRouter(config)#access-list2permitanyRouter(config)#ipnatinsidesourcelist2poolp1overloadRouter(config)#iprouteg0/14〕ＡＣＬ访问控制列表配置Router(config)#access-list3deny55Router(config)#access-list3permitanyRouter(config)#intg0/0.20Router(config-subif)#ipaccess-group3out〔二〕三层交换机的配置：Switch(config)#Switch(config)#vlan55Switch(config-vlan)#vlan66Switch(config-vlan)#vlan100Switch(config-vlan)#exitSwitch(config)#intvlan55Switch(config-if)#Switch(config-if)#ipaddress5Switch(config-if)#noshutdownSwitch(config-if)#intvlan66Switch(config-if)#ipaddressSwitch(config-if)#noshutdownSwitch(config-if)#intvlan100Switch(config-if)#ipaddressSwitch(config-if)#noshutdownSwitch(config-if)#exitSwitch(config)#Switch(config)#intf0/1Switch(config-if)#swSwitch(config-if)#switchportaSwitch(config-if)#switchportaccessvSwitch(config-if)#switchportaccessvlan100Switch(config-if)#intf0/2Switch(config-if)#switchportaccessvlan66Switch(config-if)#intf0/3Switch(config-if)#switchportaccessvlan55Switch(config-if)#exitSwitch(config)#Switch(config)#iproutingSwitch(config)#routerripSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#networkSwitch(config-router)#(三)RA边界路由器的配置Router(config)#intg0/2Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#ints0/0/1Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#clockrate64000Router(config-if)#exitRouter(config)#Router(config)#routerripRouter(config-router)#networkRouter(config-router)#networkRouter(config-router)#〔四〕RB外部路由器的配置Router(config)#Router(config)#ints0/0/1Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#intg0/0Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#exitRouter(config)#routerripRouter(config-router)#networkRouter(config-router)#network5.遇到的问题〔如何解决〕及体会问题：1、ACL的分类体会：ACL分为2大类，一类是标准的访问控制列表和扩展访问控制列表，还有一类是基于命名的访问控制列表。ACL分类编号范围特点1标准的访问控制列表1~991300~1999只检查数据包的源IP地址扩展访问控制列表100~1992000~2699根据源和目标IP地址检查，也可以检查特写的协议类型、端口号和其它参数。2基于命名的访问控制列表ACL名字是分类1的另一种表达方式注：其他的还有标准MACACL、时间控制ACL、以太协议ACL、IPv6ACL等2、ACL的in和out的区分体会：这是基于接口的acl列表的应用。In和out是在一个接口上，如果是in表示，数据包从这个接口进来是，启用acl检测。如果是out，那么是数据包从这个接口出去时，acl才会检测数据包。3、ACL的3P原那么是什么体会：记住3P原那么，便记住了在路由器上应用ACL的一般规那么。3p原那么可以为每种协议(perprotocol)、每个方向(perdirection)、每个接口(perinterface)配置一个ACL：每种协议一个ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的ACL。每个方向一个ACL：一个ACL只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个ACL。每个接口一个ACL：一个ACL只能控制一个接口〔例如快速以太网0/0〕上的流量。ACL的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。例如中的路由器有两个接口配置了IP、AppleTalk和IPX。该路由器可能需要12个不同的ACL—协议数(3)乘以方向数(2)，再乘以端口数(2)。4、ACL的应用在那个接口，有什么规律体会：1、标准ACL要尽量靠近目的端2、扩展ACL要尽量靠近源端。5、ACL列表的为什么是子网掩码的反码体会：这个子网掩码的反码的反码叫：通配符掩码因为acl需要对IP地址进行匹配，那么对于一组、一定范围或单个的IP地址来说，就需要有一种方法来确定对IP地址的那些位进行匹配检查。ACL采用的是通配符掩码〔也称反掩码〕来确定哪些们需要匹配检查，哪些位可以忽略。通配符掩码也是32位，用数字0和1来说明如何对待相应的IP地址位。0代表精确匹配，意味着需要匹配相应地址们的值。1代表忽略，意味着忽略相应的地址位的值。比方：Router(config)#access-list3permit55这里通配符掩码55前3位全都是0代表精确匹配值位:10.1.1最后1位为1代表忽略:即1-255都可以实际55代表的意思是/24网段6、ACL的最后一条语句是什么体会：ACL的最后一条语句都是隐式拒绝语句每个ACL的末尾都会自动插入一条隐含的deny语句，虽然ACL中看不到这条语句，它仍起作用。隐含的deny语句会阻止所有流量，以防不受欢送的流量意外进入网络。实验九校园网络的配置1.校园网络结构模拟方案由于一般校园网的主干是基于双核心的三层交换机的网络架构，但在模拟环境中整体结构受到设备性能和数量的限制，所以模拟环境的核心层采用单核心结构，会聚层采用路由器绑定二层交换机的方法来模拟三层交换，虽然路由器绑定二层交换机不能到达三层交换机高速转发的效果，但本质上都是路由模块加二层转发模块。在实验室搭建校园网结构的环境，旨在通过实验来体会层次化架构和实现三层网络模型的思想。2.校园网模拟环境结构图如下：3.试验要求：1、把学生楼交换机设为VTPserver，一区到四区的交换机设为VTPclient，并且要求client交换机能学习到server上的vlan。2、在学生区路由器上做单臂路由，保证各区都能相互访问。3、在学生区路由器上做NAT〔这里使用PAT〕，保证内部一区到四区主机访问外部主机的时候统一使用地址转换。4、在学生区路由器上使用ACL〔访问控制列表〕，限制一区主机和二区主机不能相互访问，其它的都能相互访问。5、在核心交换机上设置访问控制列表，限制学生楼和教学楼相互访问，但它们都可以访问图文中心。6、保证内部、外部所有主机都能访问效劳器。7、保证内部所有主机都能访问外部主机。4.试验步骤：【1-3要求的步骤参考实验八】4、在学生区路由器上使用ACL〔访问控制列表〕，限制一区主机和二区主机不能相互访问，其它的都能相互访问。(1)学生楼路由器配置ACLRouter(config)#access-list3deny55Router(config)#access-list3permitanyRouter(config)#intg0/0.10Router(config-subif)#ipaccess-group3outRouter(config-subif)#Router(config)#access-list4deny55Router(config)#access-list4permitanyRouter(config)#Router(config)#intg0/0.20Router(config-subif)#ipaccess-group4out〔2〕教学楼交换机配置：Switch(config)#Switch(config)#vlan10Switch(config-vlan)#nameteach-10Switch(config-vlan)#vlan20Switch(config-vlan)#nameteach-20Switch(config-vlan)#exitSwitch(config)#vtpmodeserverSwitch(config)#vtpdomainhtcSwitch(config)#vtppasswordjoonshengSwitch(config)#intf0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#intf0/2Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#intf0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan20〔3〕教学楼路由器的配置Router(config)#Router(config)#intg0/0Router(config-if)#noshutdownRouter(config-if)#intg0/0.10Router(config-subif)#encapsulationdot1Q10Router(config-subif)#ipaddressRouter(config-subif)#intg0/0.20Router(config-subif)#encapsulationdot1Q20Router(config-subif)#ipaddressRouter(config-subif)#exitRouter(config)#Router(config)#intg0/1Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#exitRouter(config)#Router(config)#routerripRouter(config-router)#networkRouter(config-router)#networkRouter(config-router)#networkRouter(config-router)#〔4〕三层核心交换机的配置Switch(config)#Switch(config)#vlan200Switch(config-vlan)#nametest-200Switch(config-vlan)#vlan300Switch(config-vlan)#nametest-300Switch(config-vlan)#exitSwitch(config)#intvlan200Switch(config-if)#ipaddressSwitch(config-if)#intvlan300Switch(config-if)#ipaddressSwitch(config-if)#intf0/4Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan200Switch(config-if)#intf0/5Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan300Switch(config-if)#exitSwitch(config)#routerripSwitch(config)#routerripSwitch(config-router)#networkSwitch(config-router)#network〔5〕图文中心交换机配置：Switch(config)#vtpmodeserverSwitch(config)#vtpdomainhtcSwitch(config)#vtppasswordjoonshengSwitch(config)#Switch(config)#vlan10Switch(config-vlan)#namelibrilySwitch(config-vlan)#vlan20Switch(config-vlan)#nameofficeSwitch(config-vlan)#intf0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#intf0/2Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#intf0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan20Switch(config-if)#〔6〕图文中心路由器配置：Router(config)#Router(config)#intg0/0Router(config-if)#noshutdownRouter(config-if)#intg0/0.10Router(config-subif)#encapsulationdot1Q10//必须先配置，才能配置ip地址Router(config-subif)#ipaddressRouter(config-subif)#intg0/0.20Router(config-subif)#encapsulationdot1Q20Router(config-subif)#ipaddressRouter(config-subif)#Router(config-subif)#intg0/1Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#exitRouter(config)#routerripRouter(config-router)#networkRouter(config-router)#networkRouter(config-router)#network5、在核心交换机上设置访问控制列表，限制学生楼和教学楼相互访问，但它们都可以访问图文中心。〔1〕学生楼路由器:Switch(config)#access-list5deny55Switch(config)#access-list5permitanyRouter(config)#intg0/1Router(config-if)#ipaccess-group5in(2)教学楼路由器Switch(config)#access-list5deny55Switch(config)#access-list5permitanyRouter(config)#intg0/1Router(config-if)#ipaccess-group5in5.遇到的问题〔如何解决〕及体会问题：在最后这个实验，本来以为很难，但是读完实验要求，发现其实很简单，就是把前面8个实验做一个复习和升华，有了前面根底下，不到1小时就做好了。后来发现的问题就是，acl作用问题。体会：同学们都问，如何在三层交换机上配置acl。然后我跟他们说，应该在路由器配置更符合现实生活的做法，因为三层交换机是核心层，主要是流量转发，所以，应该在会聚层配置acl列表，这是最适宜的做法。还有就是nat与acl的问题，如果做了nat，那么acl中的IP地址也相应的变化，不然，会发现acl不起作用，然后以为问题是acl配置出错，一直找不到真正的原因了。第二局部基于虚拟机环境的实验实验一、DHCP效劳器安装配置一、实习目的1、使用Windows2003Server提供的DHCP应用软件，完成DHCP效劳器的安装、配置和使用。2、DHCP是在IETFRFC中定义的一套动态分配IP地址的开放标准。二、实习内容及步骤应用DHCP效劳，管理员不必再为每台计算机分配IP地址，可以实现IP地址的动态集中分配和管理。使用该效劳之前必须首先安装此项效劳组件，进入“开始”->“控制面板”->“添加或删除程序”，启动DHCP组件安装向导。点击“确定”再点击“下一步”开始进行组件安装配置过程。稍作等待，组件配置过程成功完成。接下来进行DHCP效劳的设置，首先新建该DHCP效劳的作用域，启动新建作用域向导，先设置作用域名，再设置作用域，设置地址池范围以及需要在分配过程中不参与分配的地址，设置每个IP地址分配后的租约期限，添加客户机在得到IP地址后所使用相应的路由器或网关地址，指定客户端登录时的域名称和DNS效劳器名，设置完毕，激活该作用域，该DHCP效劳开始运行。进入DHCP效劳管理界面可以进行各子项效劳的启停和配置更改。三、实验检测1．在命令行中，输入：ipconfig/all(显示dhcp详细信息)2．在命令行中，输入：ipconfig/release(去除dhcp租借的IP地址)1．在命令行中，输入：ipconfig/renew(重新获得IP地址)总结：本次实验了解到DHCP效劳器的配置过程，以及其工作原理，在这过程中遇到的问题都一一解决，为以后的实验打下根底。四、遇到的问题〔如何解决〕及体会问题：dhcp安装完成并且按照实验指导书上的配置对效劳器进行了相应的配置，但是配置完之后客户机分配不到ip地址。解决方案：配置时忽略了默认网关和DNS效劳器地址，将默认网关和DNS效劳器地址指定后成功分配到IP地址。实验二、DNS效劳器安装配置一、实习目的1、使用Windows2003Server提供的DNS应用软件，完成DNS效劳器安装、配置和使用。2、DNS〔DomainNameSystem，域名系统〕是一种组织成域层次结构的计算机和网络效劳命名系统。二、实习内容及步骤DNS命名用语TCP/IP网络，用来通过用户友好名称定位计算机和效劳。当用户在应用程序中输入DNS名称时，DNS效劳可以将此名称解析为与此名称相关的其它信息，如IP地址。我们依次选取“开始”->“程序”->“管理工具”->“DNS管理器”，就会出现“域名效劳管理器”主窗口。点击“添加或删除角色”，点击自定义配置，然后下一步。选择DNS效劳器，选择创立正向查找区域，设置区域名称，点击下一步，允许动态更新可以让系统自动地在DNS中注册有关信息，在实际应用中比拟有用，因此点选“允许非平安和平安动态更新”，将区域设置为与主机同一个网段。三、实验测试用nslookup或ping命令，查看dns本次实验实现了DNS效劳器的创立，配置，和工作原理。DNS协议的主要任务是将域名也就是所谓的网址映射成相应的IP地址，也可以通过IP地址映射到相应的域名。四、遇到的问题〔如何解决〕及体会问题：DNS效劳器创立好之后，用域名访问web效劳器，可是一直不成功，但是在本机上可以完全访问的到，就是其他机器无法访问。解决方案：其它主机和WEB效劳器网络连接设置中，并没有将DNS效劳器地址设置成DNS效劳器的IP地址，设置后成功访问。实验三、Web站点发布一、实习目的在操作系统windows2003上面配置IIS效劳器，发布web二、实习内容及步骤安装IIS，单击“开始”->“设置”->“控制面板”->“添加/删除程序”应用程序。选择“配置Windows”，单击“组件”按钮，然后按照屏幕提示安装、删除或添加IIS组件。运行完毕，键入://localhost或者:///localstart.asp进行回环测试。说明IIS效劳成功配置。发布和管理WEB站点,翻开IIS，单击“开始”->“程序”->“管理工具”->“Internet效劳管理器”，单击“默认WEB站点”，弹出右键菜单，选择“新建”，选择“站点”，输入站点名称、IP地址、端口号及主目录路径，设置访问权限，完成。选择刚刚建立的站点，弹出右键菜单，选择“属性”，可以进行参数的修改和设置。然后可在网络工作站使用IE浏览器访问所发布的站点。三、实验测试在开始菜单->运行，输入：//localhost，显示网站建设中。四、遇到的问题〔如何解决〕及体会问题：安装IIS6.0时，提示需要插入光盘。解决方案：这个组件缺少，说明我安装的系统版本有删减。最后从网上下载IIS6.0安装包才解决问题。发布网站后添加站点后，在开始菜单->运行，输入：//localhost，后浏览器没有反响，并提示找不到网页。解决方案：，经过检查发现是路径出了问题，修改路径，将其对应到指定的正确路径，页面显示正常。实验四、FTP站点发布一、实习目的使用Windows2003Server提供的IIS或第三方软件FileZilla_Server完成FTP站点发布，掌握常用的FTP命令。二、实习内容及步骤1、检查效劳器是否已经运行微软IIS中的FTP效劳，如果已经运行，必须停止该效劳。进入“开始”-“设置”-“控制面板”-“管理工具”-“效劳”，查看里面是否存在“FTPPublishingService”效劳，如果不存在那么效劳器未安装IIS的FTP效劳，可以执行第2步操作。如果里面存在“FTPPublishingService”效劳，需要右键点击该效劳项，选择“属性”，点击属性页里面的“停止”按钮停止该效劳，并将启动类型该为“手动”，点击“确定”保存，之后执行第2步操作。2、安装FileZilla_Server0.9.32软件：双击执行“FileZilla_Server-0_9_32.exe”，安装过程中不要改动任何设置，就按程序的默认设置安装即可。2、软件设置：FileZilla_Server0.9.32软件安装完成后，系统会自动启动FileZilla_Server效劳，在系统效劳里面可以看到如下列图所示的信息：FileZilla_Server效劳已启动的情况下，双击运行“FileZillaServerInterface”管理工具，在启动界面不要修改IP和端口号，直接点击“确定”按钮登陆。3、添加用户：登陆管理工具后，界面如下列图所示：点击工具栏的“单增用户”按钮，在page列表中选“General”，目录Users列表为空，系统还没有ftp登陆用户，我们点击下方的“Add”按钮，进入用户设置界面，在用户名中输入“evideo”〔注意：必须为该用户名，全部为小写字母，魔界心机预览功能必须使用该用户登陆〕，点击OK按钮保存。保存后在Users列表中将出现evideo这个用户，不要改动AccountSettings中的设置信息，evideo帐号的登录密码必须为空。4、设置FTP根目录：增加了evideo用户后，需要设置该用户登陆后的ftp主目录，点击Users列表中的evideo用户，系统会弹出一个提示框，提示你设置该用户的ftp主目录，点击“确定”按钮，点击Sharedfolders框下方的Add按钮，选择你存放预览歌曲的目录〔例如：我的预览歌曲存放在D盘的FTPRoot目录下〕，点击“确定”按钮保存。5、限制用户下载速度：选择Page列表中的“SpeedLimits”项，再选择“DownloadSpeedLimit”里面的“ConstantSpeedLimitsof”项，并输入“200”〔预览歌曲码率一般在800k-1.2Mbps/s，我们限制每个FTP下载流的速度为200kB/s〕。设置好后最后点击界面左下角的“OK”按钮保存所有设置信息。6、测试FTP效劳器是否设置成功：在IE浏览器中输入：ftp://evideo@55(其中：55是你的效劳器IP)如果浏览器显示ftp的界面，表示设置成功，否那么设置失败，请检查，并重新设置。三、FTP效劳器设置考前须知：1、建立一个名为“evideo”的用户，而且密码为空。2、evideo用户的下载速度限制在200kB/s。3、预览歌曲必须全部拷贝到FTP的主目录下。4、使用“生成预览歌曲列表.bat”生成预览歌曲列表，拷贝到每台效劳器的dbyou目录下。5、该FTP软件根本不占用效劳器CPU资源和效劳器内存，只占用网络带宽，对于点数比拟少〔比方60个点〕，可以把FTP软件安装在视频效劳器上，使用一块单独的千兆网卡做FTP下载使用，对于点数在60个以上的建议单独一台PC做FTP效劳器。三、实验测试四、遇到的问题〔如何解决〕及体会问题：无法登陆ftp解决方案：登陆需要使用用户名和密码,不支持匿名登陆。〔FTP有2种登陆方式，「匿名用户登陆」与「私人用户登陆」，「匿名用户登陆」一般是大型公用FTP效劳器采用的一种文件共享方式，使用者只需使用「anonymous」作为用户名称以及你的任何一个E-mail邮箱地址作为密码，就可以与效劳器建立连接。「私人用户登陆」是由FTP效劳器管理人员设置专门的用户名称以及密码〔如本站的分流FTP效劳器〕，使用者必须取得用户名称与密码才能与FTP效劳器建立连接。〕ftp登陆上去看不到文件列表，显示为空。解决方案：上网查资料得知有的时候要是权限不正确后可能出现我们现在出现的问题，翻开效劳器的配置，发现分配给用户的权限是写操作，没有给用户读操作，导致用户无法查看里面的文件，修改错误之后能用匿名、用户名几种方式登录ftp效劳器，并且可以执行读写操作实验五、网络命令一、实习目的了解并掌握常用的网络命令。二、实习内容及步骤1．Ping命令用法:ping[-t][-a][-ncount][-lsize][-f][-iTTL][-vTOS][-rcount][-scount][[-jhost-list]|[-khost-list]][-wtimeout][-R][-Ssrcaddr][-ccompartment][-p][-4][-6]target_name选项:-tPing指定的主机，直到停止。假设要查看统计信息并继续操作，请键入Ctrl+Break；假设要停止，请键入Ctrl+C。-a将地址解析为主机名。-ncount要发送的回显请求数。-lsize发送缓冲区大小。-f在数据包中设置“不分段”标记(仅适用于IPv4)。-iTTL生存时间。-vTOS效劳类型(仅适用于IPv4。该设置已被弃用，对IP标头中的效劳类型字段没有任何影响)。-rcount记录计数跃点的路由(仅适用于IPv4)。-scount计数跃点的时间戳(仅适用于IPv4)。-jhost-list与主机列表一起使用的松散源路由(仅适用于IPv4)。-khost-list与主机列表一起使用的严格源路由(仅适用于IPv4)。-wtimeout等待每次回复的超时时间(毫秒)。-R同样使用路由标头测试反向路由(仅适用于IPv6)。根据RFC5095，已弃用此路由标头。如果使用此标头，某些系统可能丢弃回显请求。-Ssrcaddr要使用的源地址。-ccompartment路由隔离舱标识符。-pPingHyper-V网络虚拟化提供程序地址。-4强制使用IPv4。-6强制使用IPv6。实例：Ping–a：假设些主机有NetBios主机名将会被显示。Ping–n50：向主机发送50个数据包，可根据返回包的数量及时间判断网络效果。Ping–l65500–t：不停地向主机发送65500字节大小的数据包，此命令可以导致网络堵塞，数据丧失率会比拟大。Ping–n1–r90：发送一个数据包，并记录经过的路由，最多为9个路由。Pingyhz：可以使用对方主机名，有时可以需要在hosts文件添加相应的路由后，才能访问2．Ipconfig命令Ipconfig是调试计算机网络的常用命令，通常大家使用它显示计算机中网络适配器的IP地址、子网掩码及默认网关。其实这只是Ipconfig的不带参数用法，而它的带参数用法在网络应用中也是相当不错的。用法:ipconfig[/allcompartments][/?|/all|/renew[adapter]|/release[adapter]|/renew6[adapter]|/release6[adapter]|/flushdns|/displaydns|/registerdns|/showclassidadapter|/setclassidadapter[classid]|/showclassid6adapter|/setclassid6adapter[classid]]其中adapter连接名称(允许使用通配符*和?，参见例如)选项:/?显示此帮助消息/all显示完整配置信息。/release释放指定适配器的IPv4地址。/release6释放指定适配器的IPv6地址。/renew更新指定适配器的IPv4地址。/renew6更新指定适配器的IPv6地址。/flushdns去除DNS解析程序缓存。/registerdns刷新所有DHCP租用并重新注册DNS名称/displaydns显示DNS解析程序缓存的内容。/showclassid显示适配器允许的所有DHCP类ID。/setclassid修改DHCP类ID。/showclassid6显示适配器允许的所有IPv6DHCP类ID。/setclassid6修改IPv6DHCP类ID。默认情况下，仅显示绑定到TCP/IP的每个适配器的IP地址、子网掩码和默认网关。对于Release和Renew，如果未指定适配器名称，那么会释放或更新所有绑定到TCP/IP的适配器的IP地址租用。对于Setclassid和Setclassid6，如果未指定ClassId，那么会删除ClassId。例如:>ipconfig...显示信息>ipconfig/all...显示详细信息>ipconfig/renew...更新所有适配器>ipconfig/renewEL*...更新所有名称以EL开头的连接>ipconfig/release*Con*...释放所有匹配的连接，例如“有线以太网连接1”或“有线以太网连接2”>ipconfig/allcompartments...显示有关所有隔离舱的信息>ipconfig/allcompartments/all...显示有关所有隔离舱的详细信息3．NetNET[ACCOUNTS|COMPUTER|CONFIG|CONTINUE|FILE|GROUP|HELP|HELPMSG|LOCALGROUP|PAUSE|SESSION|SHARE|START|STATISTICS|STOP|TIME|USE|USER|VIEW]3.1．NetConfig命令作用：显示当前运行的可配置效劳，或显示并更改某项效劳的设置。用法：netconfig[service[options]]参数：无：键入不带参数的netconfig将显示可配置效劳的列表。service：通过netconfig命令进行配置的效劳〔server或workstation〕。options：效劳的特定选项。完整语法请参阅netconfigserver或netconfigworkstation。3.2．NetConfigServer命令作用：运行效劳时显示或更改效劳器的效劳设置。用法：netconfigserver[/autodisconnect：time][/srvcomment："text"][/hidden：{yes|no}]参数：无：键入不带参数的netconfigserver，将显示效劳器效劳的当前配置。/autodisconnect:time：设置断开前用户会话闲置的最大时间值。可以指定-1，表示永不断开连接。允许范围是–1~65535分钟，默认值是15分钟。/srvcomment:“text“：为效劳器添加注释，可以通过netview命令在屏幕上显示所加注释。注释最多可达48个字符，文字要用引号引住。/hidden:{yes|no}：指定效劳器的计算机名是否出现在效劳器列表中。请注意隐含某个效劳器并不改变该效劳器的权限。默认为no。3.3．NetSend命令作用：向网络的其他用户、计算机或通信名发送消息。要接收消息必须运行信使效劳。用法：netsend{name|*|/domain[:name]|/users}message参数：name:要接收发送消息的用户名、计算机名或通信名。如果计算机名包含空字符，那么要将其用引号(“”)引住。*：将消息发送到组中所有名称。/domain[:name]：将消息发送到计算机域中的所有名称。如果指定name，那么消息将发送到指定域或组中的所有名称。/users：将消息发送到与效劳器连接的所有用户