网络工程与系统集成实验报告材料

1、wordwordword网络工程与系统集成实验报告实验一Voice VLAN 配置一. 实验目的1. 根据实验要求的物理拓扑结构连接局域网2. 根据实验要求的创建Voice VLAN，并将用户的IP划分到指定的Voice VLAN 中3. 根据要求设置语音服务器参数4. 根据要求设置DHCP 服务。二. 实验内容1. 将交换机所连接IP Phone 的接口参加vioce vlan 中2. 配置DHCP，为IP Phone 动态分配地址3. 配置路由器的服务功能，并配置一些参数4. 配置IP 5. 验证IP 语音服务三. 实验原理、方法和手段1. IP 的工作原理与其他网络设备一样，IP 也需要

2、IP 地址才能在网络中正常通信。IP 获取IP地址的方式有两种：通过DHCP 自动获取，通过用户手工配置在自动获取IP 地址时，IP 还可以向DHCP 服务器同时请求Voice VLAN 信息，如果DHCP 服务器返回了Voice VLAN 信息，IP 就可以直接发送携带有Voice VLAN Tag的语音流以下简称tagged 语音流；如果DHCP 服务器没有返回Voice VLAN 信息，IP就只能发送不带VLAN Tag 的语音流以下简称untagged 语音流。同样，在用户在IP 上手工设置IP 地址时，也可以设置或不设置Voice VLAN 信息，IP 会根据用户的配置发出tagge

3、d/untagged 语音流。2. IP 自动获取IP 地址的过程第一步：IP 发送不带VLAN Tag 的DHCP 请求，并在该请求中携带Option184 信息，即请求软件下载服务器也称为NCP，Network Call Processor地址以与Voice VLAN信息。第二步：DHCP server1 收到该请求后，将根据自身的配置为IP 分配IP 地址，同时回复Voice VLAN、软件下载服务器地址与其他Option184 选项信息。第三步：IP 向软件下载服务器发出下载申请。第四步：软件下载服务器响应IP 的下载请求，向IP 发送软件。第五步：软件下载完成后，IP 将通知DHCP

4、 server1，释放第一次获取的IP 地址。第六步：IP 利用从DHCP server1 获取的Voice VLAN 信息，重新构造DHCP 请求报文，并为该报文封装Voice VLAN 的标签，在Voice VLAN 内进展广播。第七步：位于Voice VLAN 内的DHCP server2 收到该请求后，根据自己的地址池配置，为IP 分配新的IP 地址。第八步：IP 使用新的IP 地址与语音网关进展注册，开始语音通信过程。3. 各类型端口与发送tagged 语音流的IP 配合IP 发送tagged 语音流需要具备的条件是该已经通过自动获取或手工配置的方式得到了Voice VLAN 信息，

5、针对这种情况，不同类型的端口需要进展相应的配置，才能使语音报文能够在Voice VLAN 中正常传输，同时不影响交换机对普通业务报文的转发处理。4. 各类型端口与发送untagged 语音流的IP 配合IP 在以下两种情况下会发送/接收untagged 语音流：自动获取 IP 地址，但没有获取到Voice VLAN 信息手工配置 IP 地址，但没有配置Voice VLAN 信息四. 实验组织运行要求1. 学生在实验前，请先对实验中的常用网络命令的功能和使用方法进展预习，并在预习报告中给出这些信息。2. 实验过程中，请记录每条命令使用后的显示信息，并在实验报告中对这些信息进展说明和解释。五. 实

6、验条件1. 以太网环境2. 思科Catalyst 3560、2960 交换机3. 思科7960 IP 六. 实验步骤Step 1：连接如下列图的网络环境Step 2：将交换机所连接IP Phone 的接口参加vioce vlan 中Switch#conf tSwitch(config)#interface range f0/1 3Switch(configifrange)#switchport voice vlan 1Step 3：配置DHCP，为IP Phone 动态分配地址Router(config)#ip dhcp pool .Step 4：配置路由器的服务功能，并配置相应参数Route

7、r(config)#telephonyserviceRouter(configtelephony)#auto assign 1 to 5Router(configtelephony)#maxephones 5Router(configtelephony)#maxdn 5Router(configtelephony)#ip sourceaddress port 2000Step 5：配置IP Router(config)#ephonedn 1Router(configephonedn)#number 84401160Router(config)#ephonedn 2Router(configep

8、honedn)#number 84401161Step 6：验证IP Phone 已从路由器上获取到IP 地址和Step 7：验证IP Phone 之间的语音服务是否可用七实验结果八. 思考题1. 如何对数据服务和语音服务提供适宜的QoS？QoS旨在针对各种应用的不同需求，为其提供不同的服务质量。如：可以限制骨干网上FTP使用的带宽，也可以给数据库访问以较高优先级。对于ISP，其用户可能传送语音、视频或其他实时业务，QoS使ISP能区分这些不同的报文，并提供不同服务。可以为时间敏感的多媒体业务提供带宽和低时延保证，而其他业务在使用网络时，也不会影响这些时间敏感的业务。2. 配合了Voice V

9、LAN的交换机如何处理来自用户的tagged帧？1、下面是定义的各种端口类型对各种数据帧的处理方法；in=进交换器out=出交换机2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID上，这个物理端口必定是Untagged Port；4、PVID的作用只是在交换机从外部承受到可以承

10、受Untagged数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；5、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以承受来自交换机内部的标记了这个TAG标记的tagged数据帧；6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以承受来自交换机外部的标记了这个TAG标记的tagged数据帧；实验二PPP 协议配置一. 实验目的1. 根据实验要求的拓扑结构，利用路由器与交换机连接成网络2. 正确配置路由器接口参数，包括设置IP 地址和PP

11、P 协议的绑定3. 掌握PPP 中PAP 验证的配置方法4. 掌握PPP 中CHAP 验证的配置方法二. 实验内容1. 配置PPP协议的封装2. 配置PAP验证方式3. 配置CHAP验证方式三. 实验原理、方法和手段PPP协议是目前广域网上应用最广泛的数据链路层协议之一，它的优点在于结构简单、具备用户验证能力、可以解决IP分配等。PPP在经过多年的发现和扩大后，已成为一个功能相当完备，而且涵盖了许多其它协议的庞大协议系统。PPP在串行线路中对上层数据包进展封装，用于建立、配置和检测数据链路连接的链路控制协议(LCP)以与不同网络层协议的网络控制协议(NCP)协议簇。PPP封装用于消除上层多种协

12、议数据包的歧义，参加帧头、帧尾，使之成为互相独立的串行数据帧PPP帧。四. 实验组织运行要求1. 学生在实验前，请先对实验中的常用网络命令的功能和使用方法进展预习，并在预习报告中给出这些信息。2. 实验过程中，请记录每条命令使用后的显示信息，并在实验报告中对这些信息进展说明和解释。五. 实验条件1. 局域网环境2. 思科2811路由器/华为3 AR2811路由器六. 实验步骤Step 1：为思科2811 路由器增加WIC2T 接口模块，并完成路由器之间的串行线路连接Step 2：设置串行口封装的链路层协议为PPP，配置IP 参数并启动接口注意DCE 端clockrate 的设置Step 3：配

13、置PAP 验证方式，设定路由器的主验证和被验证角色Step 4：PAP 主验证端在全局配置模式下创建用户某某，在串行口模式下设置PPP 验证方式为PAPStep 5：PAP 被验证端在串行口模式下设置PAP 发送的用户某某信息Step 6：重起串行口，测试PAP 验证的有效性Step 7：关闭PAP 验证方式，配置CHAP 验证方式，设定路由器的主验证和被验证角色Step 8：设置验证双方路由器的hostname，用于确定在对端路由器中的账号Step 9：CHAP 主验证端在串行口模式下设置PPP 验证方式为CHAPStep 10：两端路由器在全局模式下，为对端路由器增加账号信息Step 11

14、：重新其中一台路由器的串行口，测试CHAP 的有效性配置示例1PAP 验证，假设主验证端为DCE被验证端：Router0# config terminalRouter0(config)# interface se0/3/0Router0(configif)# encapsulation pppRouter0(configif)# ppp pap sentusername julychang password 123456Router0(configif)# no shutdown主验证端：Router1# config terminalRouter1(config)# username jul

15、ychang password 123456Router1(config)# interface se0/3/0Router1(configif)# clock rate 56000Router1(configif)# encapsulation pppRouter1(configif)# ppp authentication papRouter1(configif)# no shutdown配置示例2CHAP 验证，假设主验证端为DCE被验证端：Router0# config terminalRouter0(config)# hostname SlaveSlave(config)# user

16、name Master password 123456Slave(config)# interface se0/3/0Slave(configif)# encapsulation pppSlave(configif)# no shutdown主验证端：Router1# config terminalRouter1(config)# hostname MasterMaster(config)# username Master password 123456Master(config)# interface se0/3/0Master(configif)# clock rate 56000Mast

17、er(configif)# encapsulation pppMaster(configif)# ppp authentication chapMaster(configif)# no shutdown七实验结果PPP帧配置结果查看界面发送数据界面八. 思考题1. PPP的验证过程发生在链路协议协商的什么阶段？ppp链路建立的过程分为三个阶段:创建阶段、认证阶段和网络协商阶段。PPP的验证过程发生在认证阶段。2. 在CHAP方式中，为什么双方在对端的账号密码必须一致？必须一致,被认证端在进展CHAP认证时,需要根据主仁政端发来的用户名查找相应的密码来对随机报文进展加密。实验三防火墙配置一. 实

18、验目的1. 根据实验要求的拓扑结构，利用路由器与交换机连接成网络2. 根据要求对数据流进展分类，并配置相应的ACL3. 选择最优部署位置的路由器，开启基于包过滤的防火墙功能4. 将ACL 绑定到正确接口，并指定其作用于接口的正确队列二. 实验内容1. 创建标准访问控制列表2. 创建扩展访问控制列表3. 将ACL绑定到路由器的接口三. 实验原理、方法和手段建立用户和修改密码跟Cisco IOS HYPERLINK baike.baidu./view/1360.htm t _blank 路由器根本一样。激活以太端口必须用enable进入，然后进入configure模式PIX525enablePas

19、sword:PIX525#config tPIX525(config)#interface ethernet0 autoPIX525(config)#interface ethernet1 auto在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。采用命令nameifPIX525(config)#nameif ethernet0 outside security0security100security0是 HYPERLINK baike.baidu./

20、view/2257.htm t _blank 外部端口outside的安全级别100安全级别最高security100是内部端口inside的安全级别,如果中间还有以太口，如此security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。采用命令为：ip address在默然情况下，PIX的以太端口是不允许telnet的，这一点与 HYPERLINK baike.baidu./view/1360.htm t _blank 路由器有区别。Inside端口可以做telnet就能用了,但outside

21、端口还跟一些安全配置有关。PIX525(config)#telnet insidePIX525(config)#telnet outside测试telnet在开始-运行PIX passwd:输入密码：cisco此功能与Cisco IOS根本上是相似的，也是Firewall的主要局部，有permit和deny两个功能，网络协议一般有IP|TCP|UDP|ICMP等等，如：只允许访问主机:54的,端口为：80PIX525(config)#access-list 100permit ip any host 54 eq deny ip any anyPIX525(config)#access-grou

22、p 100 in interface outsideNAT跟 HYPERLINK baike.baidu./view/1360.htm t _blank 路由器根本是一样的，首先必须定义IP Pool，提供应内部IP地址转换的地址段，接着定义 HYPERLINK baike.baidu./view/21848.htm t _blank 内部网段。如果是内部全部地址都可以转换出去如此：如此某些情况下，外部地址是很有限的，有些 HYPERLINK baike.baidu./view/23880.htm t _blank 主机必须单独占用一个IP地址，必须解决的是公用一个外部IP(01),如此必须多

23、配置一条命令，这种称为PAT，这样就能解决更多用户同时共享一个IP,有点像 HYPERLINK baike.baidu./view/751.htm t _blank 代理服务器一样的功能。配置如下：PIX525(config)#global (outside) 1 01 netmask主域名称：DHCP Client 通过PIX FirewallPIX525(config)#ip address dhcpDHCP Server配置insidePIX525(config)#dhcp domain静态端口重定向(Port Redirection with Statics)在PIX 版本6.0以上，

24、增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX传输到内部指定的内部服务器。这种功能也就是可以发布内部、FTP、Mail等服务器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。命令格式：static(internal_if_name,external_if_name)global_ip|interfacelocal_ipnetmaskmaskmax_consmax_consemb_limitnorandomseqstatic(internal_if_name,external_if_name)tcp|udpglobal_ip|i

25、nterfacelocal_ipnetmaskmaskmax_consmax_consemb_limitnorandomseqtelnet端口，通过PIX重定向到内部 HYPERLINK baike.baidu./view/23880.htm t _blank 主机9的telnet端口23。telnet 9 telnet netmask 55 0 0FTP，通过PIX重定向到内部的FTP Server。ftp ftp netmask 55 0 0 HYPERLINK baike.baidu./view/23880.htm t _blank 主机的(即80端口)。 netmask 55 0 0H

26、TTP( HYPERLINK baike.baidu./view/416676.htm t _blank 8080端口 HYPERLINK baike.baidu./view/23880.htm t _blank 主机的(即80端口)。8080 netmask 55 0 0 HYPERLINK baike.baidu./view/23880.htm t _blank 主机的smtp(即25端口)smtp smtp netmask 55 0 0显示命令show config保存命令write memory四. 实验组织运行要求1. 学生在实验前，请先对实验中的常用网络命令的功能和使用方法进展预习

27、，并在预习报告中给出这些信息。2. 实验过程中，请记录每条命令使用后的显示信息，并在实验报告中对这些信息进展说明和解释。五. 实验条件1. 以太网环境2. 思科2811路由器3. 计算机与服务器六. 实验步骤Step 1：创建标准ACL，拒绝来自某IP 子网的所有分组配置示例：Router0# config terminalRouter0(config)# accesslist 1 permit anyStep 2：创建扩展ACL，拒绝来自某套接字的分组配置示例：Router0# config terminalRouter0(config)# accesslist 100 deny tcp 0

28、 0 eq Router0(config)# accesslist 100 permit ip any anyStep 3：将ACL 绑定到路由器接口上Router0(config)# interface fa0/0Router0(configif)# ip accessgroup 100 inStep 4：测试网络的连通性并记录结果七实验结果八. 思考题1. ACL在定义规如此时，除了五元组以外还可以参考哪些信息？1、huawei设置acl ：acl number 3000rule 0 permit ip source 服务器端的 HYPERLINK baike.baidu./view/65

29、511.htm t _blank 子网 掩码的反码 /允许哪些子网访问服务器rule 5 deny ip destination 服务器端的 HYPERLINK baike.baidu./view/65511.htm t _blank 子网 掩码的反码 /不允许哪些子网访问服务器。2、绑定到端口：interface gig 0/1 /进入服务器所在的 HYPERLINK baike.baidu./view/1077.htm t _blank 交换机端口GigabitEthernet0/1 firewall packet-filter 3000 inbound /把acl绑定到端口2. 放置标准

30、ACL和扩展ACL的策略有什么不同？这两种ACL的区别是，标准ACL只检查数据包的源地址; 扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。 网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇比如IP的所有通信流量。 扩展ACL比标准ACL提供了更广泛的控制X围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么准确。 在路由器配置中，标准ACL和扩展ACL的区别

31、是由ACL的表号来表现的，上表指出了每种协议所允许的合法表号的取值X围。实验四NAT 配置一. 实验目的1. 根据实验要求的拓扑结构，利用路由器与交换机连接成网络2. 根据要求对数据流进展分类，并配置相应的 ACL3. 掌握基于 EasyIP 的NAT 配置方法4. 掌握基于地址池的 NAT 配置方法二. 实验内容1. 设置路由器接口的inside和outside角色2. 创建IP地址池和ACL3. 关联对应的IP地址池和ACL4. 配置套接字的静态映射关系三. 实验原理、方法和手段在计算机网络中，NAT网络地址转换、Network Address Translation是对IP 包首部地址信

32、息进展修改的过程。图A 1 NAT 原理如图A1，运行NAT 功能的路由器会将它不同接口所连接的IP 网络分为inside 网络内网和outside 网络外网。当IP 分组经过NAT 路由器时，假如是从inside 网去向outside网，如此NAT 路由器会修改IP 包首部的源IP 地址即SA；假如IP 分组是从outside 网去向inside 网，如此NAT 路由器会修改IP 包首部的目的IP 地址即DA。最简单的NAT 类型是提供onetoone一对一的IP 地址转换。RFC 2663 称之为basic NAT根本NAT，basic NAT 只对IP 首部的IP 地址和校验和check

33、sum进展修改，首部的其它局部不进展改动at least for basic TCP/UDP functionality, some higher levelprotocols may need further translation。Basic NAT 通常运用于这种需求，即互联的两个IP 网络在寻址上不兼容，如用户的网络使用私有地址空间，而运行商网络使用共有地址空间，私有地址在运营商的网络中是不兼容的，即无法寻址。相较basic NAT，更通常的做法是将整个一段IP 地址空间通常是私有地址隐藏在一个单独IP 地址或数量不多的一组IP 地址通常是公有地址后。所以，这种转换是一种onetoma

34、ny一对多、或sometomany多对多的模式。为了解决这两种模式可能带来的歧义性，NAT 不仅改动IP 首部信息，还会修改TCP/UDP 的首部信息，当IP地址和TCP/UDP 端口被转换时，NAT 还会将这些转换记录在转换表中translation table，以便数据流回发时能正确转换。这两种模式在RFC 2663 中被称为NAPTNetwork andPort Translation，地址与端口转换，在很多文献或书籍中也会用术语PATPort AddressTranslation，端口地址转换、IP masqueradingIP 伪装、或NAT OverloadNAT 过载。前面几种类

35、型NAT 只能使能由用户网络masqueraded network、即地址空间对于运营商网络是隐藏的内发起的通信，如用户网络中某用户的浏览器可以浏览公网上某站点，但公网上的浏览器无法浏览用户网络的站点。其实大多数运行NAT 的设备都允许管理员手工配置NAT 转换表，这种特性被称为static NAT静态NAT或port 转发。Static NAT允许由外部公网发起的通信，使其可以寻址到用户网络内的指定主机。在1990 年代中期，NAT 成为了缓和IPv4 地址耗尽的有效工具，它成为了家用路由器、小型商业Internet 接入的标准和必要的特性。但NAT 也存在的一些缺陷，如Internet 连

36、接质量会下降IP 首部处理的额外处理开销、割断了原先IP 设想的endtoend端到端连接模型双方无法寻址到对方的真实地址。所以，NAT 只是一种解决地址耗尽问题的过渡方法。四. 实验组织运行要求1. 学生在实验前，请先对实验中的常用网络命令的功能和使用方法进展预习，并在预习报告中给出这些信息。2. 实验过程中，请记录每条命令使用后的显示信息，并在实验报告中对这些信息进展说明和解释。五. 实验条件1. 以太网环境2. 思科2811路由器六. 实验步骤场景1 与其配置图A 2 由inside 发起连接的NAT 测试场景如图A2，由用户的计算机组成的LAN 作为inside 网络，网关路由器的se0/1/0 接口连接的Internet 属于outside 网络。LAN 中的计算机通过共享网关路由器的IP 地址池、即动态NAT，来获得访问Internet 的合法公网地址。Step 1：路由器的fa0/0 接口作为NAT 的inside 接口配置示例：Router(config)# interface fa0/0Router(configif)# no shutdownRouter(configif)# ip nat insideStep 2：路由器的se0/1/0 接口作为NAT 的outside 接口配置示例：Router(config)# interface se0/1/0Ro