高校计算机网络基础实验指导手册

高校计算机网络基础实验指导手册计算机网络基础实验是理论知识落地实践的关键环节，本手册围绕网络设备配置、协议分析、组网实践、网络安全四大核心模块设计实验，帮助你构建从理论到实操的完整知识体系，提升网络工程核心技能。实验一：网络设备基础配置（交换机/路由器）实验目标熟悉网络设备的启动流程与命令行界面（CLI）操作，掌握设备基本配置（主机名、密码、端口）与配置文件管理，理解不同设备模式（用户、特权、全局）的功能差异。实验环境硬件：Cisco2960交换机、Cisco7200路由器、PC（带串口）、Console线、直连线软件：CiscoPacketTracer（或真实设备+SecureCRT/超级终端）实验步骤1.设备连接与初始化用Console线连接PC串口与设备Console口，打开终端工具（如SecureCRT），设置参数：波特率9600、数据位8、停止位1、无校验、无流控。开机观察设备启动过程，等待出现`>`提示符（用户模式），输入`enable`（或`en`）进入特权模式（`#`提示符）。2.基础配置操作修改主机名：在特权模式下输入`configureterminal`（或`conft`）进入全局配置模式，执行`hostnameSW1`（以交换机为例），设备提示符变为`SW1(config)#`。设置特权密码：在全局模式下，输入`enablesecretcisco`（`secret`密码会加密存储，比`enablepassword`更安全）。配置控制台密码：进入控制台线路配置：`lineconsole0`，输入`passwordcisco`、`login`（启用登录验证）。保存配置：返回特权模式（`end`或`Ctrl+Z`），执行`copyrunning-configstartup-config`（或`wr`），将当前配置保存到启动配置文件。3.验证与排错重启设备（`reload`，需确认保存），观察启动后是否自动加载配置，尝试用新密码进入特权模式。若配置失效，检查`startup-config`是否存在（`showstartup-config`），或重新执行配置命令。思考与拓展对比`enablepassword`与`enablesecret`的存储差异（用`showrunning-config`查看）。尝试配置Telnet远程管理（`linevty04`、`passwordtelnet`、`login`），并用另一台PC测试连接。实验二：TCP/IP协议分析（Wireshark实战）实验目标理解TCP、UDP、ICMP等协议的报文结构与交互逻辑，掌握Wireshark的捕获、过滤与分析方法，能从协议层面解释网络连通性问题。实验环境操作系统：Windows10/11（或Linux）软件：Wireshark（最新版）、浏览器（如Chrome）实验步骤1.网络连通性测试2.Wireshark捕获与过滤启动Wireshark，在“捕获接口”中选择当前联网的网卡（如以太网、WLAN），点击“开始”。输入过滤规则（如`icmp`、`tcp.port==80`、`udp.port==53`）缩小捕获范围，避免冗余数据。3.协议报文分析ICMP分析：找到ping的ICMP包，展开“InternetControlMessageProtocol”，观察“类型”（8为请求，0为响应）、“代码”、“校验和”等字段。4.应用层协议解析思考与拓展对比WiFi与有线网络环境下的协议开销（如802.11头部与以太网头部的差异）。实验三：局域网组建与VLAN配置实验目标掌握VLAN的划分与端口配置（Access/Trunk），理解VLAN对广播域的隔离作用，能通过三层设备（路由器/三层交换机）实现VLAN间通信。实验环境硬件：支持VLAN的交换机（如Cisco3560）、PC（2台）、直连线、交叉线（或自动协商线）软件：CiscoPacketTracer（或真实设备）实验步骤1.拓扑搭建两台PC（PC1、PC2）分别连接交换机的`Gig0/1`、`Gig0/2`端口；交换机间用`Gig0/24`端口通过直连线互联。2.VLAN创建与端口配置创建VLAN：在交换机特权模式下，执行`vlan10`、`nameVLAN10`；`vlan20`、`nameVLAN20`（可通过`showvlanbrief`查看已创建的VLAN）。Access端口配置：进入PC1的端口（`interfaceGig0/1`），执行`switchportmodeaccess`、`switchportaccessvlan10`；PC2的端口（`interfaceGig0/2`）配置为`accessvlan20`。Trunk端口配置：进入交换机间的互联端口（`interfaceGig0/24`），执行`switchportmodetrunk`、`switchporttrunkallowedvlanall`（允许所有VLAN通过Trunk链路）。3.连通性测试为PC1、PC2配置同网段IP（如PC1：`192.168.1.10/24`，PC2：`192.168.1.20/24`），执行`ping`测试：同一VLAN（如PC1与另一台VLAN10的PC）：应能ping通。不同VLAN（PC1与PC2）：默认无法ping通（广播域隔离）。若需VLAN间通信，可在路由器上配置子接口（如`interfaceGig0/0.10`、`encapsulationdot1q10`、`ipaddress192.168.1.1255.255.255.0`），并在交换机Trunk端口允许VLAN10、20通过。思考与拓展尝试配置VLAN间路由（单臂路由），实现PC1与PC2的跨VLAN通信。分析Trunk链路中“本征VLAN”（`switchporttrunknativevlan`）的作用，修改本征VLAN后观察报文变化。实验四：网络安全基础实验（攻击与防御）实验目标理解ARP欺骗、端口扫描等攻击的原理，掌握防火墙（ACL）的配置方法，能通过Wireshark识别攻击特征并制定防御策略。实验环境虚拟机：KaliLinux（攻击端）、WindowsServer2019（目标端）软件：Wireshark、GNS3（或EVE-NG，模拟防火墙）实验步骤1.攻击模拟（仅限实验环境）ARP欺骗：在Kali中执行`arpspoof-ieth0-t192.168.1.100192.168.1.1`（将目标主机的ARP缓存中网关的MAC地址替换为攻击机的MAC），观察目标主机的网络访问是否异常（如网页加载缓慢、断网）。端口扫描：执行`nmap-sS192.168.1.100`（SYN扫描），查看目标主机开放的端口与服务。2.防火墙防御配置在GNS3中拖入CiscoASA防火墙，配置接口IP（如`interfaceGig0/0`，`ipaddress192.168.1.1255.255.255.0`，`noshutdown`）。配置ACL禁止ICMP（ping）：`access-list101denyicmpanyany`、`access-list101permitipanyany`；将ACL应用到入站接口：`interfaceGig0/0`、`ipaccess-group101in`。3.攻击检测与分析用Wireshark捕获攻击机与目标机的流量，分析ARP欺骗的特征（大量ARP响应包，源MAC与真实网关不符）、SYN扫描的特征（大量SYN包，无后续ACK）。验证防火墙效果：攻击机执行`ping192.168.1.100`，应被防火墙拦截；目标机执行`ping192.168.1.1`，应正常响应（ACL仅禁止入站ICMP）。思考与拓展尝试配置基于端口的防火墙策略（如禁止TCP8080端口），分析DDoS攻击的常见防御手段（如流量清洗、速率限制）。对比“白名单”与“黑名单”ACL的安全策略差异，设计一个企业内网的安全访问规则。实验注意事项与常见问题解决注意事项1.设备操作安全连接电源前检查线缆是否插紧，避免短路；配置时及时保存（`copyrunstart`），防止意外断电丢失配置。真实设备操作时，禁止随意插拔光纤、模块，避免损坏接口。2.软件使用规范Wireshark需以管理员/root权限运行，捕获时避免在公共网络（如校园网）中抓取他人流量，保护隐私。攻击实验仅限隔离的实验环境（如虚拟机、模拟器），禁止在真实网络中执行，违反《网络安全法》需承担法律责任。3.实验室纪律保持实验环境整洁，设备使用后归位；遇到硬件故障（如设备无法启动），及时联系管理员，禁止私自拆机。常见问题解决1.ping不通的排查步骤检查IP地址/子网掩码：`ipconfig`（Windows）或`ifconfig`（Linux）确认地址是否正确，是否在同一网段。检查VLAN配置：`showvlanbrief`确认端口所属VLAN，`showinterfacesstatus`确认端口是否Up。检查防火墙/ACL：`showaccess-lists`查看是否有规则拦截流量，尝试临时关闭防火墙（`noipaccess-group`）测试。2.设备配置不生效检查命令拼写：如`interface`误写为`interfce`，`switchport`误写为`switch`。检查端口状态：`showinterfaces`查看端口是否被`shutdown`，执行`noshutdown`启用。检查配置层级：全局配置（`configt`）、接口配置（`interface`）、线路配置（`line`）需在对应模式下执行命令。3.Wireshark抓不到包确认网卡选择正确：在“捕获接口”中选择正在联网的网卡（如WLAN或以太网）。检查过滤规则：避免使用过严的过滤（如`ip.addr==1.2.3.4`但目标IP不符），可先关闭过滤（`clear`）捕获所有流量。确认有流量产生：执行`ping`、浏览网页等操作，观察Wireshark的“数据包”计数是否增加。结语计算机网络实验是理论知识“落地”的关键，本手册的实验设计覆盖了从基础配置到安全防御