计算机网络技术综合实验指导书

计算机网络技术综合实验指导书前言计算机网络技术是一门实践性极强的学科，本实验指导书旨在通过系列综合实验，帮助学习者将网络理论知识转化为实践能力，掌握网络拓扑设计、设备配置、协议分析、安全防护等核心技能，为从事网络工程、运维、安全等工作奠定坚实的实践基础。实验内容覆盖局域网、广域网、网络安全等典型场景，注重理论与实践的结合，强调问题分析与解决能力的培养。第一章实验目的与要求1.1实验目的1.掌握计算机网络拓扑结构的设计与搭建方法，理解不同拓扑（星型、树型、网状）的适用场景与性能特点。2.熟悉TCP/IP协议族的工作原理，能够通过协议分析工具（如Wireshark）解析网络数据包，定位协议交互过程中的问题。3.熟练配置交换机、路由器等网络设备，实现VLAN划分、路由转发、访问控制等功能，理解设备配置对网络性能与安全的影响。4.掌握网络安全基础技术，包括防火墙规则配置、入侵检测、虚拟专用网（VPN）搭建，具备初步的网络安全防护与故障排查能力。1.2实验要求1.知识要求：实验前需复习《计算机网络》课程中“网络体系结构”“局域网技术”“路由与交换”“网络安全”等相关章节，明确实验涉及的理论知识点。2.操作要求：严格遵循实验步骤操作，记录关键配置命令、设备状态信息（如路由表、端口状态）、测试结果（如ping通断、抓包数据）；实验过程中需独立分析问题，尝试通过日志、调试命令定位故障原因。3.报告要求：实验结束后按规范撰写报告，包含实验目的、环境、步骤、结果分析、问题解决过程及总结体会，要求逻辑清晰、数据准确、图表规范。第二章实验环境准备2.1硬件环境计算机：建议配置多核CPU、8GB及以上内存、50GB以上可用硬盘，支持虚拟化与网络设备模拟（如PacketTracer、GNS3对硬件性能的要求）。网络设备：实验可采用真实设备或模拟器。真实设备包括二层/三层交换机（如Cisco2960、华为S5700）、路由器（如Cisco1841、华为AR2200）、防火墙（如FortiGate60E、华为USG6300）、无线AP（如TP-LinkTL-AP450）；模拟器推荐PacketTracer（Cisco设备模拟）、GNS3（多厂商设备模拟）、EVE-NG（企业级网络模拟）。网络连接：设备间通过双绞线（直连/交叉线，需根据设备类型选择）、光纤（如需长距离传输）连接，部分实验需接入互联网（如VPN测试）。2.2软件环境操作系统：Windows10/11或Linux（如Ubuntu20.04），需安装虚拟机软件（如VMwareWorkstation、VirtualBox）以模拟多主机环境。协议分析工具：Wireshark（用于抓取并分析网络数据包）、tcpdump（Linux下命令行抓包工具）。设备配置工具：SecureCRT（SSH/Telnet客户端）、PuTTY（轻量型终端工具）、设备厂商提供的Web管理界面（如CiscoIOS、华为eNSP的图形化配置工具）。辅助工具：Notepad++（代码编辑器，用于编写配置脚本）、Visio（拓扑图绘制工具，可选）。2.3网络拓扑规划实验前需根据实验内容设计拓扑结构，示例如下：基础拓扑：星型拓扑，包含1台三层交换机、2台二层交换机、若干PC、1台路由器（连接外网），用于VLAN划分与路由实验。广域网拓扑：2个局域网通过路由器（模拟ISP）互联，配置动态路由协议（如OSPF）实现跨网通信。安全拓扑：局域网通过防火墙接入外网，配置ACL限制端口访问，部署Snort入侵检测系统监控网络流量。第三章实验项目与操作步骤实验一：网络拓扑搭建与连通性验证3.1.1实验目的掌握网络拓扑的设计、设备连接与基本网络配置方法，验证网络连通性，理解广播域、冲突域的概念。3.1.2实验内容1.使用PacketTracer/GNS3搭建星型拓扑：1台交换机（如Cisco2960）、3台PC、1台路由器（模拟网关）。2.配置PC的IP地址、子网掩码、默认网关；配置路由器接口IP。3.利用`ping`、`tracert`（Windows）/`traceroute`（Linux）命令测试网络连通性，分析不通的原因。3.1.3操作步骤1.拓扑搭建：打开模拟器，拖拽交换机、PC、路由器到工作区，使用直通线连接PC与交换机（FastEthernet接口），交换机与路由器（GigabitEthernet接口）。路由器需开启接口（如`noshutdown`命令）。2.IP配置：PC1：IP`192.168.1.2`，掩码`255.255.255.0`，网关`192.168.1.1`（路由器接口IP）。路由器G0/0接口：`ipaddress192.168.1.1255.255.255.0`，`noshutdown`。3.连通性测试：在PC1的命令行输入`ping192.168.1.1`，观察是否通；若不通，检查接口状态、IP配置、线缆连接。输入`tracert192.168.1.1`，分析数据包转发路径。4.扩展实验：增加1台PC（PC2，IP`192.168.1.3`），测试PC1与PC2的连通性，分析广播域（交换机默认所有端口在同一广播域）。实验二：TCP/IP协议分析（Wireshark抓包）3.2.1实验目的理解ARP、ICMP、TCP、UDP协议的工作原理，掌握Wireshark的使用方法，能够通过数据包分析定位网络问题。3.2.2实验内容1.配置Wireshark捕获本地网卡流量，过滤特定协议（如ARP、ICMP）。2.执行`ping`命令触发ICMP请求/响应，分析数据包结构（源/目的IP、TTL、校验和等）。3.2.3操作步骤1.Wireshark设置：打开Wireshark，选择本地连接的网卡（如“以太网”或“WLAN”），点击“开始”捕获。输入过滤条件（如`icmp`或`tcp.port==80`）缩小捕获范围。2.ICMP分析：在PC命令行输入`ping192.168.1.1`（网关），观察Wireshark捕获的数据包。分析“EthernetII”（MAC地址）、“InternetProtocolVersion4”（IP地址、TTL）、“InternetControlMessageProtocol”（类型、代码、校验和）字段。3.TCP分析：分析TCP包的“源端口”“目的端口”“序列号”“确认号”“标志位”（SYN、ACK、FIN等）。4.ARP分析：清空ARP缓存（Windows：`arp-d*`；Linux：`arp-n|sudoarp-d<IP>`），再次`ping`网关，捕获ARP请求（谁有192.168.1.1？告诉192.168.1.2）和响应包，分析MAC地址映射过程。实验三：交换机VLAN配置与通信3.3.1实验目的掌握VLAN的划分方法，理解VLAN对广播域的隔离作用，实现VLAN间的通信（通过三层交换机或路由器）。3.3.2实验内容1.配置二层交换机的VLAN（如VLAN10、VLAN20），将端口分配到不同VLAN。2.测试同一VLAN内PC的连通性，不同VLAN间的连通性（默认不通）。3.配置三层交换机的SVI（SwitchedVirtualInterface）或路由器子接口，实现VLAN间路由。3.3.3操作步骤1.VLAN划分（二层交换机）：进入交换机配置模式：`enable`→`configureterminal`。创建VLAN：`vlan10`→`nameVLAN10`；`vlan20`→`nameVLAN20`。分配端口：`interfaceFastEthernet0/1`→`switchportmodeaccess`→`switchportaccessvlan10`；`interfaceFastEthernet0/2`→`switchportaccessvlan20`；`interfaceFastEthernet0/24`→`switchportmodetrunk`（连接三层交换机或路由器）。2.PC配置：PC1（VLAN10）：IP`192.168.10.2`，掩码`255.255.255.0`，网关待配置。PC2（VLAN20）：IP`192.168.20.2`，掩码`255.255.255.0`，网关待配置。3.VLAN间通信（三层交换机）：三层交换机配置：`interfacevlan10`→`ipaddress192.168.10.1255.255.255.0`；`interfacevlan20`→`ipaddress192.168.20.1255.255.255.0`。PC1网关设为`192.168.10.1`，PC2网关设为`192.168.20.1`，测试`ping`通断（此时应通，因为三层交换机的SVI实现了VLAN间路由）。实验四：路由器路由配置（静态路由与OSPF）3.4.1实验目的掌握静态路由与动态路由（OSPF）的配置方法，理解路由表的生成与转发逻辑，实现跨网段通信。3.4.2实验内容1.搭建拓扑：2个局域网（LAN1：192.168.1.0/24；LAN2：192.168.2.0/24）通过路由器R1（连接LAN1）和R2（连接LAN2）互联，R1与R2之间通过Serial接口连接（模拟广域网）。2.配置静态路由：在R1和R2上手动配置到对方局域网的路由。3.配置OSPF：在R1和R2上启用OSPF，宣告直连网段，实现动态路由学习。3.4.3操作步骤（拓扑说明：R1的G0/0连LAN1（PC1：192.168.1.2），Serial0/0/0连R2的Serial0/0/0；R2的G0/0连LAN2（PC2：192.168.2.2））1.接口配置：R1：`interfaceG0/0`→`ipaddress192.168.1.1255.255.255.0`；`interfaceSerial0/0/0`→`ipaddress10.0.0.1255.255.255.0`；`noshutdown`。R2：`interfaceG0/0`→`ipaddress192.168.2.1255.255.255.0`；`interfaceSerial0/0/0`→`ipaddress10.0.0.2255.255.255.0`；`noshutdown`。2.静态路由配置：R1：`iproute192.168.2.0255.255.255.010.0.0.2`（到LAN2的路由，下一跳为R2的Serial接口）。R2：`iproute192.168.1.0255.255.255.010.0.0.1`（到LAN1的路由，下一跳为R1的Serial接口）。测试：PC1`ping192.168.2.2`，应通；查看路由表（`showiproute`），确认静态路由条目。3.OSPF配置：R1：`routerospf1`→`router-id1.1.1.1`→`network192.168.1.00.0.0.255area0`→`network10.0.0.00.0.0.255area0`。R2：`routerospf1`→`router-id2.2.2.2`→`network192.168.2.00.0.0.255area0`→`network10.0.0.00.0.0.255area0`。测试：PC1`ping192.168.2.2`，应通；查看路由表（`showiprouteospf`），确认OSPF生成的路由条目（类型为O）。实验五：网络安全实验（防火墙ACL与VPN）3.5.1实验目的掌握防火墙访问控制列表（ACL）的配置方法，理解VPN的工作原理，实现网络安全防护与远程接入。3.5.2实验内容1.配置防火墙ACL，限制局域网对外部特定端口的访问（如禁止访问外网80端口，允许访问443端口）。2.搭建IPsecVPN，实现远程主机（如家中PC）安全接入公司局域网。3.5.3操作步骤（以CiscoASA防火墙为例）1.ACL配置：定义ACL：`access-listOUTSIDE_INextendeddenytcpanyanyeq80`→`access-listOUTSIDE_INextendedpermitipanyany`（先拒绝80，再允许其他）。应用到接口：`interfaceoutside`→`access-groupOUTSIDE_INin`（入站流量，从外网到内网）。2.IPsecVPN配置：定义感兴趣流（需要加密的流量）：`access-listVPN_TRAFFICextended