1、西安电子科技大学2016 年校内生产实习分组数据网络实习报告学院:通信工程学院班级: 姓名: 学号:组号:目录一、实习目的 .3二、实习设备 .3三、基本原理 .3四、实习内容 .7(一)2 个交换机配置 VLAN .7(二)静态路由 .10(三)2 个路由器里做 RIP 协议 .13(四)2 个路由器里做 OSPF 协议 .15(五)单臂路由 .17(六)ACL 访问控制列表 .20(七)NAT 的访问 控制的设置 .22(八)GRE 的访问控制的设置 .23(九)TELNET 访问控制的设 置 .25(十)DHCP 访问控制的设置 .27(十一)基于 MAC 地址的访问控制的设置 .29(
2、十二)SSH 用户的本地认证和授权配置 .32(十三)基于 IPSec 访问控制的 设置 .36五、经验总结 .39六、心得体会 .40一、实习目的 掌握路由器和交换机的基本原理 掌握目前网络中常用的路由协议 学会使用 Packet tracer 进行网络设置和规划的仿真 学会使用路由器和交换机二、实习设备 2 台具有 2 个以上 10/100Mbit/s 以太网接口的路由器 2 台 H3C 交换机 2-3 台以及 Console 电缆 多条双绞线跳线三、基本原理 1. VLANVLAN 的中文名称为“虚拟局域网” ,是一种将在同一个局域网的局域网计算机从逻辑上划分成一个独立网段,从而实现虚拟
3、工作组的新兴数据交换技术。VLAN 技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个 VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的 LAN 有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个 VLAN 内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理 LAN 网段。由 VLAN 的特点可知,一个VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。2. 静态路由静态路由是指由网络管理员手工配置的路由信息。当网络的拓
4、扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。一般来说静态路由信息是私有的,不会传递给其他的路由器。当然,网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。3. RIP 协议原理路由信息协议(RIP)是一种在网关与主机之间交换路由选择信息的标准。RIP 通过广播 UDP 报文来交换路由信息,每 30 秒发送一次路由信息更新。它提供跳跃计数(hop count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目
5、标有二个不等速或不同带宽的路由器,但跳跃计数相同,则 RIP 认为两个路由是等距离的。RIP 最多支持的跳数为 15,即在源和目的网间所要经过的最多路由器的数目为 15,跳数 16 表示不可达。4. OSPF 协议OSPF(Open Shortest Path First,开放式最短路径优先)协议,是目前网络中应用最广泛的路由协议之一。属于内部网关路由协议,能够适应各种规模的网络环境,是典型的链路状态(link-state)协议。OSPF 路由协议通过向全网扩散本设备的链路状态信息,使网络中每台设备最终同步一个具有全网链路状态的数据库(LSDB) ,然后路由器采用 SPF 算法,以自己为根,计
6、算到达其他网络的最短路径,最终形成全网路由信息。在大模型的网络环境中,OSPF 支持区域的划分,将网络进行合理规划。划分区域时必须存在 area0(骨干区域) 。其他区域和骨干区域直接相连,或通过虚链路的方式连接。5. 单臂路由单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口” ,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。所谓子接口,就是在一个物理接口上配置出来的多个逻辑上的虚接口。这些虚接口共用物理接口的物理层参数,又可以分别配置各自的链路层和网络层的参数。因为这样的多个虚接口可以对应一个物理接
7、口,故常被称为“子接口” 。6. ACL 访问控制列表访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。7. MAC 地址MAC 地址是网络设备在全球的唯一编号,它也就是我们通常所说的:
8、物理地址、硬件地址、适配器地址或网卡地址。MAC 地址可用于直接标识某个网络设备,是目前网络数据交换的基础。 现在大多数的高端交换机都可以支持基于物理端口配置 MAC 地址过滤表,用于限定只有与 MAC 地址过滤表中规定的一些网络设备有关的数据包才能够使用该端口进行传递。通过 MAC 地址过滤技术可以保证授权的 MAC 地址才能对网络资源进行访问。 基于 MAC 地址访问控制不需要额外的客户端软件,当一个客户端连接到交换机上会自动地进行认证过程。基于 MAC 地址访问控制功能允许用户配置一张 MAC 地址表,交换机可以通过存储在交换机内部或者远端认证服务器上面的 MAC 地址列表来控制合法或者
9、非法的用户问。8. NAT 技术NAT 技术能帮助解决令人头痛的 IP 地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部地址,通过 NAT 把内部地址翻译成合法的 IP 地址在 Internet 上使用,其具体的做法是把 IP 包内的地址域用合法的 IP 地址来替换。NAT 设备维护一个状态表,用来把非法的 IP 地址映射到合法的 IP 地址上去。每个包在 NAT 设备中都被翻译成正确的 IP 地址,发往下一级,这意味着给处理器带来了一定的负担。但对于一般的网络来说,这种负担是微不足道的。动态地址 NAT 只是转换 IP 地址,它为每一个
10、内部的 IP 地址分配一个临时的外部 IP 地址,主要应用于拨号,对于频繁的远程联接也可以采用动态 NAT。当远程用户联接上之后,动态地址 NAT 就会分配给他一个 IP 地址,用户断开时,这个 IP 地址就会被释放而留待以后使用。9. GRE 协议GRE(通用路由封装)协议是对某些网络层协议(如 IP 何 IPX)的数据报文进行封装,使这些被封装的数据报文能在另一个网络层协议(如 IP)中传输。GRE 的隧道由两端的源 IP 地址和目的 IP 地址来定义,允许用户使用 IP 包封装IP、IPX、AppleTalk 包,并支持全部的路由协议(如 RIP2、OSPF 等) 。通过GRE,用户可以
11、利用公共 IP 网络连接 IPX 网络、AppleTalk 网络,还可以使用保留地址进行网络互连,或者对公网隐藏企业网的 IP 地址。 Tunnel 是一个虚拟的点对点的连接,提供了一条通路是封装的数据报文能够在这个通路上传输,并且在一个 Tunnel 中传输必须要经过封装与解封装两个过程。10.Telnet 协议Telnet 协议是 TCP/IP 协议族中的一员,是 Internet 远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用 telnet 程序,用它连接到服务器。终端使用者可以在 telnet 程序中输入命令,这些命令会在
12、服务器上运行,就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个 telnet 会话,必须输入用户名和密码来登录服务器。Telnet 提供远程登录功能,使得用户在本地主机上运行 Telnet 客户端,就可登录到远端的 Telnet 服务器。在本地输入的命令可以在服务器上运行,服务器把结果返回到本地,如同直接在服务器控制台上操作,这样就可以在本地远程操作和控制服务器。11.SSHSSH 是 Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH 可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如 IP 地址欺诈、明文密
13、码截取等攻击。设备支持 SSH 服务器功能,可以接受多个 SSH 客户端的连接。同时,设备还支持 SSH 客户端功能,允许用户与支持 SSH 服务器功能的设备建立 SSH 连接,从而实现从本地设备通过 SSH 登录到远程设备上。12.IPSec 协议“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。AH 和 ESP 协议在操作系统内核模块,用于对 IP 包的过滤。IKE 是运行在外部的守护程序。PFKEY 实现了外部运行程序与内核间的通信。对于 AH 和 ESP,都有两种操作模
14、式: 隧道模式和传输模式。 两种模式的区别是: 隧道模式将整个 IP 分组封装到 AH/ESP 中,而传输模式将上层协议(如 TCP)部分封装到 AH/ESP 中。IKE 协议用于协商 AH 和 ESP 协议所使用的密码算法,并将算法所需的密钥放在合适的位置。13.DHCP 协议DHCP 协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当 DHCP 服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。DHCP 具有以下功能:1. 保证任何 IP 地址在同一时刻只能由一台 DHCP 客户机所使用。2. DHCP 应
15、当可以给用户分配永久固定的 IP 地址。3. DHCP 应可以同用其他方法获得 IP 地址的主机共存(如手工配置 IP地址的主机) 。4. DHCP 服务器应当向现有的 BOOTP 客户端提供服务。四、实习内容(一)2 个交换机配置 VLAN1. 拓扑图2. 配置文件(相关命令)#分别对交换机 1/2 进行 VLAN 划分及端口配置system-view System View: return to User View with Ctrl+Z.H3Csysname s1s1vlan 31s1-vlan31quit s1vlan 34 s1-vlan34quit s1interface Giga
16、bitEthernet 1/0/1s1-GigabitEthernet1/0/1port link-type trunk s1-GigabitEthernet1/0/1port trunk permit vlan all s1-GigabitEthernet1/0/1quits1interface GigabitEthernet 1/0/2 s1- GigabitEthernet1/0/2port access vlan 31 s1- GigabitEthernet1/0/2quits1interface GigabitEthernet 1/0/3s1- GigabitEthernet1/0/
17、3port access vlan 34s1- GigabitEthernet1/0/3quits1quitsave system-view System View: return to User View with Ctrl+Z.H3Csysname s2s2vlan 31s2-vlan31quits2vlan 34s2-Vlan34quits2interface GigabitEthernet 1/0/1s2- GigabitEthernet1/0/1port link-type trunks2- GigabitEthernet1/0/1port trunk permit vlan all
18、s2- GigabitEthernet1/0/1quitsh2interface GigabitEthernet 1/0/2s2- GigabitEthernet1/0/2port access vlan 31sh2- GigabitEthernet1/0/2quits2interface GigabitEthernet 1/0/3s2- GigabitEthernet1/0/3port access vlan 34s2- GigabitEthernet1/0/3quits2quitsave3. 测试结果IP 地址为 192.168.0.65 的主机当处在 VLAN31 中,与同处在 VLAN31 中的主机 192.168.0.59 可以 ping 通;而当其改换接入端口,处在 VLAN34 中时,则无法与主机 192.168.0.59 ping 通。(二)静态路由1. 拓扑图2. 配置文件(相关命令)#配置路由器 r1 的 ip 地址system-viewH3Csysname r1r1interface Ethernet 0/0r1-Ethernet0/0ip add 192.168.0.1 255.255.255.0
