计算机网络实验指导书

TOC\o"1-5"\h\z目录 1实验一网络基本配置 3实验二 VLAN配置实验 12实验三 三层交换配置实验 21\o"CurrentDocument"实验四生成树协议配置实验 25\o"CurrentDocument"实验五路由器的基本配置实验 30\o"CurrentDocument"实验六广域网配置实验 34\o"CurrentDocument"实验七RIP协议配置实验 38\o"CurrentDocument"实验八无线网络环境 42\o"CurrentDocument"实验九安全无线网络的设计和部署 49\o"CurrentDocument"实验十 802.1X认证实验 73实验一网络基本配置.实验目的学习为交换机进行初始化配置熟悉交换机各种模式的切换和使用熟悉交换机的基本配置,熟练使用菜单（menu）模式和网页（web）模式配置交换机。.实验仪器设备一台HP2626交换机，一台PC机.建议实验环境以太网交换机一台，以太网的concole口连接电脑的coml口。Console. . 崎机Com1.实验内容命令行（CLI）模式的使用1.1超级终端的使用：.选择线缆将计算机与交换机相连.启动超级终端，并配置正确参数a.连接名称自行确定b.连接使用COM1口c.每位秒数设为9600、数据位为8、奇偶校验无、停止位为1、数据流控制无con属性 2国按ENTER键进入，显示交换机提示符4.1.2用户模式的选择用户EXEC模式——以有限的命令可用性（基本上是简单的监控和故障排除命令）提供对IOS的基本访问。特权EXEC模式——提供对IOS的高级别的管理访问，包括在UserEXEC模式中所有可用的命令。配置模式——允许改变这台设备的配置。两种EXEC模式都是受口令保护的，从而允许用户限制能够访问其设备进行管理、配置和故障排除任务的人。步骤1：登陆交换机，进入用户模式显示如下：ProCurveSwitch2626>步骤2：进入特权模式输入命令"enable”，进入特权模式。显示如下：ProCurveSwitch2626#步骤3：进入全局配置模式输入命令"configureterminalorconfig”进入全局配置模式。显示如下:ProCurveSwitch2626(config)#步骤4：进入vlan配置模式输入命令"vlan1”ProCurveSwitch2626(config)#vlan1ProCurveSwitch2626(vlan-1)#步骤5：退出vlan配置模式输入命令“exit”ProCurveSwitch2626(vlan-1)#exitProCurveSwitch2626(config)#步骤6：进入端口配置模式输入命令"interface1”ProCurveSwitch2626(config)#interface1ProCurveSwitch2626(eth-1)#步骤7：退出全局配置模式使用命令“end”退出全局配置模式，进入特权模式。也可以使用命令“exit”退出全局配置模式。步骤8：退出特权模式使用命令“exit”从特权模式会到用户模式。步骤9：退出交换机使用命令“exit”退出交换机。这个命令可以用来从用户模式中退出交换机。4.1.3指定主机名改变交换机的名称主要是为了便于管理，但是要注意的是将交换机的名称放在命令的后面，一旦敲入“ENTER”键，新的CLI提示符就变得不一样了，它包含了交换机的新名称。例如，改变交换机的名称为HP：ProCurveSwitch2626(config)#hostnameHPHP(config)#4.1.4设置用户名和密码交换机允许用户设置口令，以便限制对用户和特权EXEC模式的访问。命令如下：(config)#password(operator/manager)user-nameASCCII-STR例如：设置用户名为“user”，密码为“password”步骤1：选择对用户模式设置用户名和密码ProCurveSwitch2626(config)#passwordoperatoruser-nameuserNewpasswordforOperator:********PleaseretypenewpasswordforOperator:********在进入用户模式时就要输入用户名和密码Username:userPassword:ProCurveSwitch2626>注：•输入密码时，密码是不会显示的，也不会出现“*”•不设置用户名，那么登陆时不需要输入用户名，只需要输入密码•为避免影响其他人使用设备，请在实验后清除密码，命令如下：ProCurveSwitch2626(config)#nopasswordall步骤2：选择对特权模式下设置用户名和密码ProCurveSwitch2626(config)#passwordmanageruser-nameuserNewpasswordforManager:********PleaseretypenewpasswordforManager:********在进入特权模式时就要输入用户名和密码ProCurveSwitch2626>enableUsername:userPassword:ProCurveSwitch2626#设置交换机IP地址如果想要远程管理交换机，就需要为其指定IP寻址信息。例如，如果想要telnet到这台交换机上，从网络浏览器或SNMP管理中心远程的管理它，或者备份和恢复配置文件或升级这台交换机，则需要在这台交换机上设置IP寻址信息。以下命令可设置IP：(vlan-1)#ipaddressIP-ADDRIP-MASK(config)#ipdefault-gatewayIP-ADDR步骤1：进入vlan1配置模式ProCurveSwitch2626(config)#vlan1步骤2：配置IP地址ProCurveSwitch2626(vlan-I)#ipaddress步骤3：配置默认网关ProCurveSwitch2626(config)#ipdefault-gateway查看配置要查看交换机当前的配置，可使用showrunning-conflg命令。例如：ProCurveSwitch2626(config)#showrunning-configRunningconfiguration:;J4900BConfigurationEditor;Createdonrelease#HI.08.86hostnameHProCurveSwitch2626”ipdefault-gatewaysnmp-servercommunity"public1*Unrestrictedvlan1name"DEFAULT_VLANMuntagged1-26ipaddressexitpasswordmanagerpasswordoperator要查看交换机接口的状态，可使用showinterface命令。例如:

ProCurveSwitch2626(config)#showinterfacesStatusandCounters-PortCountersPortTotalBytesTotalFramesErrorsRxDropsRxFlowCtrlBeastLimit10000off020000off030000off040000off050000off060000off070000off080000off090000off0100000off0110000off0120000off0130000off0140000off0150000off0160000off0170000off0180000off0190000off0200000off0210000off0220000off0230000off0240000off0250000off0260000off0注：所有的端口都没有启用，故没有流量。保存配置交换机启动后，IOS是从NVRAM中加载配置并将其放入RAM中，所以要将交换机中RAM当前的配置保存到NVRAM中，就要使用writememory这条命令。在这个过程中，NVRAM中的旧的配置文件被覆盖。例如：ProCurveSwitch2626(config)#writememory删除配置当需要删除交换机所有配置时，可使用erasestartup-config命令。这样交换机重起后所有配置就恢复到了出厂状态。例如：ProCurveSwitch2626(config)#erasestartup-configConfigurationwillbedeletedanddevicerebooted,continue[y/n]?yRebootingtheSystem注意：在实验过程中，绝对不要使用eraseflash命令！命令行的基本语法命令的简写和完成CLI与允许简写命令和参数，直到最后只剩下它们独特的字符为止。例如，想要从用户EXEC转到特权EXEC模式时，可以键入en而不是enable：ProCurveSwitch2626>enProCurveSwitch2626#然而，输入的字符必须是这条命令唯一的。例如，不能仅仅键入字母e,因为还有其他命令是一字母e开头的，如exit。上下文敏感帮助当用户不能确定需要执行哪条命令的时候，可以在提示符后键入help或？，这样这台设备就会显示所在的级别内可以执行的命令的清单，连同每条命令的简要描述。ProCurveSwitch2626>?enable EntertheManagerExeccontext.exit Returntothepreviouscontextorterminatecurrentconsole/telnetsessionifyouareintheOperatorcontextlevel.link-test TesttheconnectiontoaMACaddressontheLAN.logout Terminatethisconsole/telnetsession.menu Changeconsoleuserinterfacetomenusystem.

pingshowpingshowtraceroute Sendtraceroutetoadeviceonthenetwork.要得到更详细的帮助，可以在一条命令或参数后键入一个空格和一个？。这会使CLI列出这条命令所包括的可用选项和参数。例如，可以键入erase后面加上？以查看erase命令所有可用参数：ProCurveSwitch2626#erase?flash Erasetheprimaryorsecondaryflashimage.startup-config Eraseconfigurationfile.或者如果不能确定如何拼写一条命令，则可以输入前几个字符，并且直接在这些字符后面键入“？”；例如，e?在当前模式中列出所有以e开头的命令：ProCurveSwitch2626#e?enderaseexit4.2菜单（menu）模式的使用HP交换机中有菜单（menu）配置模式，这样能很方便的对配置进行设置,操作如下：步骤1：登陆交换机，进入特权模式步骤2：在特权模式下输入“menu”ProCurveSwitch2626#menu步骤3：利用菜单进行交换机配置

ProCurveSwitch2626l-JanT9900:00:301文件9编转⑥查看9呼叫©传送9裕助QPProCurveSwitch2626l-JanT9900:00:301-CONSOLE-MANAGERMODE-=

MainMenu1.StatusandCounters.2.SwitchConfiguration3.ConsolePasswords...4.EventLog5.CoMMandLine(CLI)6.RebootSwitch7.DownloadOS8.RunSetup9.Stacking...0.LogoutProvidestheMenutodisoldvconfiduration,statusandcounters|Toselectmenuitem,pressitemnunber,orhighlightitemdndpress<Enter>.巳连搜o0111AMSR巳连搜o0111AMSR96008-M-l4.3网页(web)模式的使用HP交换机有网页(web)配置模式，这样能很直观的对设备进行配置。步骤1：打开网页，输入交换机IP地址步骤2：利用网页进行交换机配置Xrt<J><M>Z>-SMwXA<I>0«•一wz:/”**«e•••/白△0实验二VLAN配置实验.实验目的•掌握VLAN的配置,包括基于端口对交换机进行vlan划分，将端口从VLAN中移出和删除VLAN等配置。•用ping命令测试VLAN网络连通性，加深对VLAN的基本原理和特点的认识。.实验设备二台HP2626交换机，四台PC机.建议实验环境①支持VLAN的以太网交换机两台，交换机间用双绞线连接至各自的25号端口。在本实验中，分别为HPProCurve2626A和HPProCurve2626B。②四台具有以太网接口的PC。每台PC所连接的交换机端口如图所示。.实验内容VLAN的基本知识：VLAN(VirtualLocalAreaNetwork)即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN的划分有三种方式：基于端口(Port)、基FMAC地址和基于IP地址。通过划分虚拟网，可以把广播限制在各个虚拟网的范围内，从而减少整个网络范围内广播包的传输，提高了网络的传输效率；同时各虚拟网之间不能直接进行通讯，而必须通过路由器转发，为高级的安全控制提供了可能，增强了网络的安全性。在此实验中我们基于端口对交换机进行配置。创建vlan步骤1：分别在2626A和2626B上创建vlan2和vlan3使用命令：(config)#vlanvid在2626A中：HP2626A(config)ttvlan2HP2626A(vlan-2)#exitHP2626A(config)#vlan3HP2626A(vlan-3)#exit在2626B中：HP2626B(config)#vlan2HP2626B(vlan-2)#exitHP2626B(config)#vlan3HP2626B(vlan-3)#exit步骤2：查看配置使用命令：(config)#showvlan在2626A中：2626A(config)#showvlanStatusandCounters-VLANInformationMaximumVLANstosupport:8PrimaryVLAN:DEFAULT_VLANManagementVLAN802.IQVLANID NameStatusVoiceJumbo1DEFAULT,VLANPort-basedNoNo2VLAN2Port-basedNoNo3VLAN3Port-basedNoNo在2626B中:2626B(config)#showvlanStatusandCounters-VLANInformationMaximumVLANstosupport:8PrimaryVLAN:DEFAULT_VLANManagementVLAN:802.IQVLANID NameStatusVoiceJumbo1DEFAULT_VLANPort-basedNoNo2VLAN2Port-basedNoNo3VLAN3Port-basedNoNo4.2为vlan分配端口使用命令：(vlan-vid)#untagged<port-list>步骤1:vlan2分配2号端口，vlan3分配3号端口在2626A中：HP2626A(vlan-2)ttuntagged2HP2626A(vlan-2)#exitHP2626A(config)#vlan3HP2626A(vlan-3)ttuntagged3HP2626A(vlan-3)#exitHP2626A(config)#在2626B中：HP2626B(vlan-2)ttuntagged2HP2626B(vlan-2)#exitHP2626B(config)ttvlan3HP2626B(vlan-3)ttuntagged3HP2626B(vlan-3)#exitHP2626B(config)#步骤2：查看配置使用命令：(config)#showvlanvid在2626A中：HP2626A(config)#showvlan2StatusandCounters-VLANInformation-Ports-VLAN2802.IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatus2 UntaggedLearn UpHP2626A(config)ttshowvlan3StatusandCounters-VLANInformation-Ports-VLAN3802.IQVLANID:3Name:VLAN3StatusPortInformationModeUnknownVLANStatus3 UntaggedLearn Up在2626B中：HP2626B(config)ttshowvlan2StatusandCounters-VLANInformation-Ports-VLAN2IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatusUntaggedLearn UpHP2626B(config)ttshowvlan3StatusandCounters-VLANInformation-Ports-VLAN3802.IQVLANID:3Name:VLAN3Status:PortInformationModeUnknownVLANStatusUntaggedLearn Up4.3给vlan配上中继端口使用命令:使用命令：(vlan-vid)#tagged<port-list>步骤1：为vlan2和vlan3配置中继端口25在2626A中：HP2626A(vlan-2)fttagged25HP2626A(vlan-2)#exitHP2626A(config)#vlan3HP2626A(vlan-3)#tagged25HP2626A(vlan-3)#exitHP2626A(config)#在2626B中：HP2626B(vlan-2)#tagged25HP2626B(vlan-2)#exitHP2626B(config)ttvlan3HP2626B(vlan-3)#tagged25HP2626B(vlan-3)#exitHP2626B(config)#步骤2：查看配置使用命令:(config)#showvlanvid在2626A中：2626A(config)#showvlan2StatusandCounters-VLANInformation-Ports-VLAN2802.IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatusUntagged Learn Up25 Tagged Learn Up2626A(config)#showvlan3StatusandCounters-VLANInformation-Ports-VLAN3802.IQVLANID:3

Name:VLAN2Status:PortInformationModeUnknownVLANStatusUntagged Learn UpTagged Learn Up在2626B中：2626B(config)#showvlan2StatusandCounters-VLANInformation-Ports-802.IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatus2 Untagged Learn Up25 Tagged Learn Up2626B(config)#showvlan3StatusandCounters-VLANInformation-Ports-802.IQVLANID:3Name:VLAN2Status:PortInformationModeUnknownVLANStatusVLAN2VLAN33 Untagged Learn UpVLAN2VLAN325 Tagged Learn Up

4.4验证配置给每台PC设置IP地址，要求同一vlan中PC要设同一网段的地址。PC编号IP地址子网掩码PCIPC2PC3PC4用ping命令检测PC之间的连通性。源地址目的地址是否连通(是/否)4.5端口移出vlan从vlan中移出端口，只要把vlan中的端口分配给其他vlan即可。在此实验中我们把端口全部移到vlanl中。在2626A中：HP2626A(vlan-l)#untagged1-2在2626B中：HP2626B(vlan-1)#untagged1-24.6删除VLAN删除vlan2和vlan3使用命令：(config)#novlanvid在2626A中：HP2626A(config)#novlan2HP2626A(config)#novlan3在2626B中：HP2626B(config)#novlan2HP2626B(config)Unovlan3实验三三层交换配置实验.实验目的•掌握三层交换的网络配置•用ping命令测试VLAN之间网络连通性，加深对VLAN间通信的基本原理和特点的认识。.实验设备一台HP5308交换机，二台HP2626交换机，四台PC机.建议实验环境①支持VLAN的以太网交换机三台，其中一台为三层交换机（本例使用HP5308交换机）。HP2626A的25号端口连接HP5308的B1号端口，HP2626B的25号端口连接5308的B2号端口。②四台具备以太网接口的PC,分别连接分属不同VLAN的交换机端口，具体连接端口参考下图。.实验内容什么是三层交换?

三层交换(也称多层交换技术，或IP交换技术)是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术+三层转发技术。注意：保持实验二中的配置。下面在5308上进行配置。1创建vlan2和vlan3HP5308(config)#vlan2HP5308(config)#vlan34.2配置VLAN2和VLAN3的IP地址。使用命令：(vlan-vid)#ipaddressIP-ADDRIP-MASK在此实验中我们定义vlan中的IP地址为:Vlan-vidIp地址子网掩码VianVian3HP5308(vlan-2)#ipaddressHP5308(vlan-3)#ipaddress查看配置：使用命令：HP5308(config)#showipInternet(IP)ServiceIPRouting:disabledDefaultTTL:64ArpAge :20VLAN|IPConfigIPAddressSubnetMaskProxyARPVLAN|IPConfigIPAddressSubnetMaskProxyARPDEFAULTVLANDisabledVLAN2 Manual NoVLAN3 Manual 10.1.3,1 No3为Vian配上中继端口HP5308(vlan-2)#taggedB1-B2HP5308(vlan-3)#taggedB1-B2启动ip路由使用命令：HP5308(config)#iprouting查看配置：使用命令：HP5308(config)#showiprouteIPRouteEntriesDestination/GatewayVLANTypeSub-TypeMetricDist/24VLAN2connected00/24VLAN3connected00/8rejectstatic0250/32lo0connected00验证配置在vlan2中的PC,IP地址范围为：-254网关：在vlan3中的PC,IP地址范围为：-254网关：

PC编号IP地址子网掩码PC1PC2PC3PC4用ping命令检测PC之间的连通性。源地址目的地址是否连通（是/否）实验四生成树协议配置实验.实验目的掌握生成树协议的配置方法。检查协议生成后，各连接端口的工作状态。掌握更改端口状态的方法。.实验设备一台HP5308交换机，二台HP2626交换机.建议实验环境支持生成树协议交换机三台，HP5308的B1端口连接HP2626A的25号端口，HP5308的B2端口连接HP2626B的25号端口，两台HP2626的26号端口互相连接。如下图所示。72626A 25/26;72626A 25/26;画一 事第以 4.实验内容2626BSTP(SpanningTreepProtocol)能够提供路径冗余，使用STP可以使两个终端中只有一条有效路径。STP在大的网络中定义了一个树，并且迫使一定的备份路径处于备用状态。如果生成树中的网络一部分不可达，或者STP值变化了，生成树算法会重新计算生成树拓扑，并且通过启动备份路径来重新建立连接。STP操作对于终端来说是透明的，而不管终端连在LAN的某一部分或者多个部分。当创建网络时，网络中所有节点存在多条路径。生成树中的算法计算出最佳路径。启用生成树协议交换机默认的情况下，生成树协议是禁止的，所以要手动启用此协议。使用命令：(config)ttspanningtree在各台交换机上启用生成树协议5308(config)^spanningtree2626A(config)ttspanningtree2626B(config)^spanningtree查看生成树协议状态通过查看我们可以很清楚的知道，哪个端口是转发状态，哪个端口是阻塞状态。使用命令：(config)#showspanningtree在5308上：RapidSpanningTree(RSTP)InformationSTPEnabled:YesForceVersion:RSTP-operationSwitchPriority:32768 HelloTime:2MaxAge:20 ForwardDelay:15TopologyChangeCount:11TimeSinceLastChange:8minsRootMACAddress:000f20-847d00RootPathCost:0

RootPort:ThisswitchisrootRootPriority:32768PortTypeCostPriorityStateDesignatedBridge——— +—Bl100/1000T20000128Forwarding000f20-847d00B2100/1000T20000128Forwarding,000f20-847d00B3100/1000T20000128DisabledB4100/1000T20000128Disabled在2626A上:RapidSpanningTree(RSTP)InformationSTPEnabled:YesForceVersion:RSTP-operationSwitchPriority:32768 HelloTime:2MaxAge:20 ForwardDelay:15TopologyChangeCount:7TimeSinceLastChange:7minsRootMACAddress:000f20-847d00RootPathCost:20000RootPort:25RootPriority:32768BPDUPortTypeCostPriorityFilterStateDesignatedBridgePortTypeCostPriorityFilterStateDesignatedBridge1 10/100TX 200000 128 No Disabled2 10/100TX 200000 128 No Disabled |25100/1000T20000 128 No Forwarding|000f20-847d0026100/1000T20000 128 No Blocking|001708-752fc0在2626B上：RapidSpanningTree(RSTP)InformationSTPEnabled:YesForceVersion:RSTP-operationSwitchPriority:32768 HelloTime:2MaxAge:20 ForwardDelay:15TopologyChangeCount:6TimeSinceLastChange:28secsRootMACAddress:000f20-847d00RootPathCost:20000RootPort:25RootPriority:32768PortTypeCostPriorityState|DesignatedBridge1 10/100TX200000 128 Disabled2 10/100TX200000 128 Disabled25 100/1000T20000 128 Forwarding|000f20-847d0026 100/1000T20000 128 Forwarding|001708-752fc0更改生成树优先级通过更改交换机上的生成树优先级，可以改变端口的状态。从而可以自行指定哪个端口转发，哪个端口阻塞。使用命令：(config)#spanningtreepriority<0-15>0为最高级，15为最低级4查看更改后生成树协议状态设备名称优先级端口号端口状态实验五路由器的基本配置实验.实验目的掌握路由器的基本配置比较路由器和交换机配置的异同了解路由器的连接方法.实验设备两台HP7102路由器.建议实验环境①两台路由器分别通过控制台端口(ConsoleU)连接PC的Com口。②两台HP7102路由器的以太网0/1端口连接起来。如下图所示。eth0/1eth0/14r:•一 帆方::7102A 7102B4.实验内容路由器的配置和交换机基本类似，但也有很多不同的地方。1设置console密码使用命令：(config)#lineconsole0(config-conO)^passwordLINE(passwordmd5LINE)(config-conO)#login本次试验中，设置密码为：hpPasswordLINE:表示用明文设置密码，在查看配置时可显示。例如： linecon0loginpasswordhpPasswordmd5LINE:表示用md5加密密码，在查看配置时不能显示密码,显示的是乱码。例如： !linecon0loginpasswordmd5encryptedd2ccdal0db94c2b5d51beedl0484c025注：当两种密码同时设置时，取md5加密密码。ProCurveSR7102dl(config)#lineconsole0ProCurveSR7102dl(config-conO)ttpasswordmd5hpProCurveSR7102dl(config-conO)ttlogin退出超级终端，重新用超级终端登陆时，Password:**ProCurveSR7102dl>2设置telnet密码使用命令：(config)#linetelnet04(config-telnetO-4)#passwordLINE(passwordmd5LINE}(config-conO)Wlogin本次试验中，设置密码为：hppasswordLINE和passwordmd5LINE意义同上。ProCurveSR7102d1(config)#1inetelnet04ProCurveSR7102d1(config-teInetO-4)Spasswordmd5ProCurveSR7102dl(config-conO)Slogin假设ethO/1端口IP地址为,ethO/1连接PC机以太网网卡。那么，在命令提不符卜：C:>telnetPassword:**ProCurveSR7102dl>为ethO/1端口配置IP地址分别在两台路由器上ethO/1配置IP地址，地址如下:设备名IP地址子网掩码7102A7102B在7102A上:7102A(config)ttinterfaceEthernet0/17102A(config-eth0/l)#ipaddress7102A(config-eth0/1)#noshutdown在7102B上:7102B(config)ttinterfaceEthernet0/17102B(config-eth0/1)#ipaddress7102B(config-eth0/1)#noshutdown保存配置保存配置的命令与交换机的不同使用命令：(config)#dowritememory7102A(config)#dowritememory7102B(config)#dowritememory验证配置在7102A路由器上ping7102B的ethO/1端口在7102B路由器上ping7102A的ethO/1端口是否连通？［是/否］实验六广域网配置实验.实验目的•了解并掌握路由器E1端口•掌握配置PPP协议.实验设备两台HP7102路由器.建议实验环境两台HP7102路由器，用交叉线将两台路由器的E1口连接起来，如下图所示：El E1.实验内容E1接口可有两种配置：①作为信道化(Channelized)El接口使用。接口在物理上分为31个时隙，可以任意地将全部时隙分成若干组，每组时隙捆绑以后作为一个接口使用，其逻辑特性与同步串口相同，支持PPP、帧中继、LAPB和X.25等链路层协议。②作为非信道化(Unchannelized)El接口使用。接口在物理上作为一个2M速率的G.703同步串口，支持PPP、帧中继、LAPB和X.25等链路层协议。Baettwe在此实验中，我们用El接口来做广域网实验，所用协议为PPP。4.1配置E1端口使用命令：(config)Sinterfaceel<slot/port>(config-el<slot/port»#tdm-group<1-255>timeslots<timeslotrange>(config-el<slot/port>)#noshutdown在此实验中我们定义tdm-group为1,timeslots为1-31在7102A上：7102A(config)#interfaceel1/17102A(config-el1/1)#tdm-group1timeslots1-317102A(config-el1/1)#noshutdown在7102B上：7102B(config)#interfaceel1/17102B(config-el1/1)#tdm-group1timeslots1-317102B(config-el1/1)#noshutdown查看配置：ProCurveSR7102dl(config-ell/l)#doshowinterfacesel1/1el1/1isUPReceiverhasnoalarmsElcodingisHDB3,framingisElClocksourceislineNonetworkloopbacksLastclearingofcounters00:05:00lossofframe:0lossofsignal:0AISalarm:0Remotealarm:0TimeslotStatus:01234567890123456789012345678901StatusLegend:'=Timeslotisunallocated'N'=Timeslotisdedicated(nailed)'F'=TimeslotisdedicatedforframingLineStatus:一NoAlarms一5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/secCurrentPerformanceStatistics:0ErroredSeconds,0BurstyErroredSeconds0SeverelyErroredSeconds,0SeverelyErroredFrameSeconds0UnavailableSeconds,0PathCodeViolations0LineCodeViolations,0ControlledSlipSeconds0LineErroredSeconds,0DegradedMinutesTDMgroup1,lineprotocolisnotsetEncapsulationisnotset为El端口配置PPP使用命令：(config)#interfaceppp<l-1024>(config-ppp<l-1024»#ipaddressIP-ADDRIP-MASK(config-ppp<l-1024>)#bind<l_1024>el<slot/port><l-255>ppp<l-1024>说明:在命令bind<l-1024>el<slot/port><l-255>ppp<l-1024>中第一个<1TO24>是bind的序号，<1-255>是tdm-group的序号，最后一个<1-1024>是ppp的序号，命令是用来把物理接口E1和虚拟接口ppp绑定在一起。在7102A中:7102A(config)Sinterfaceppp17102A(config-pppl)#ipaddress7102A(config-pppDttbind1el1/11ppp17102A(config_pppl)#noshutdown在7102B中:7102Bconfig)#interfaceppp17102Bconfig-pppl)#ipaddress7102Bconfig-ppp1)#bind1el1/11ppp17102B(config-pppl)#noshutdown验证配置在7102A路由器上ping7102B的El1/1端口在7102B路由器上ping7102A的El1/1端口是否连通？［是/否］实验七 RIP协议配置实验.实验目的了解路由器命令的作用。掌握如何配置RIP协议。测试网络连通性.实验设备一台HP7203路由器，两台HP7102路由器，两台HP2626交换机，两台PC.建议实验环境①支持RIP协议的路由器三台（本例使用两台HP7102路由器和一台7203路由器）②7102路由器用E1端口连接，7203路由器的两个以太网口分别连接两台7102路由器。③每台7102路由器下各接一台2626交换机。④2626交换机下接一台PC。如下图所示：PC1PC2

PC1PC2按照实验五和实验六把路由器的各个端口按以下地址配好。按照实验一把交换机的IP地址配好。各端口地址如下：设备名称端口号IP地址子网掩码7203Eth0/7203Eth0/7102AEth0/7102AEth0/7102AEl1/17102BEth0/7102BEth0/7102BEl1/12626AVian2626BVian电脑地址设置设备名称IP地址子网掩码网关PCIPC.实验内容什么是rip协议？RIP(RoutinginformationProtocol)是应用较早、使用较普遍的内部网关协议(InteriorGatewayProtocol,简称IGP),适用于小型同类网络，是典型的距离向量协议。RIP通过广播UDP报文来交换路由信息，每30秒发送一次路由信息更新。RIP提供跳跃计数(hopcount)作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器，但跳跃计数相同，则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,斟数16表示不可达。1按拓扑图配置所有路由器和交换机的网络接口IP地址、掩码地址。验证连通性。使用ping命令测试路由器互相连接的以太接口之间的连通性启用RIP协议：使用命令：(config)#routerrip(config-rip)Sversion<1-2>(config-rip)#networknetworkaddresssubnetmask说明：每台路由器的ripversion都设置为2。不同的version会造成实验的失败。ripl和rip2的区别在于：RIPV1采用广播地址作为来作为通告路由更新信息的目的地地址，而RIPV2采用组播地址作为来作为通告路由更新信息的目的地地址；RIPV1是有类路由协议，路由更新中没有子网延码，自动汇总；RIPV2是无类路由协议，路由更新中包含子网延码，可以手动汇总，支持VLSM。在7203上：7203(config)#routerrip7203(config-rip)#version27203(config-rip)#network 10. 1. 1.0 7203(config-rip)#network 10. 1. 2.0 7203(config-rip)#network 10. 1. 3.0 7203(config-rip)ttnetwork 10. 1. 4.0 7203(config-rip)#network在7102A上:7102A(config)ttrouterrip7102A(config)ttrouterrip7102A(config-rip)Aversion7102A(config-rip)#network7102A(config-rip)ftnetwork7102A(config-rip)#network7102A(config-rip)#network7102A(config-rip)Snetwork在7102B上:7102B(config)#routerrip7102B(config-rip)ttversion27102B(config-rip)#network 10. 1. 1. 0 255. 255.255.07102B(config-rip)ttnetwork 10. 1. 2. 0 255. 255.255.07102B(config-rip)#network 10. 1. 3. 0 255. 255.255.07102B(config-rip)Snetwork 10. 1. 4. 0 255. 255.255.07102B(config-rip)Network查看路由表。使用命令：(config)#doshowiproute查看每台路由器的路由表，并填写下列表格实验八无线网络环境.实验目的学习无线网络使用环境熟悉无线设备基本情况熟悉无线AP的基本配置熟悉使用命令行（CLI）和网页浏览器界面（Web）两种方式管理AP.实验设备•AP420（或者AP530）•一台有无线网卡（NIC）的PC机.实验环境使用一条DB9的线缆连接PC机的COM1□和AP的console端口。Username:adminC0M1 ConsoleportPassword: .DB9cable AP420图1配置无线AP.实验内容基本无线网络使用环境和特点

图2图2无线网络环境802.11无线网络布署有如下两个基本特点：.依托于现有有线网络。.AP作为边缘接入设备，控制操作均来自管理中心。AP420和AP530的基本情况特点：■«802.11b/gradio-•8WLANsWEP,dynamicWEP,WPA/WPA2(802.111)SVPAP530-q、特点AP420s802.11b/gand802.11a,b/gradio特点：■«802.11b/gradio-•8WLANsWEP,dynamicWEP,WPA/WPA2(802.111)SVPAP530-q、特点AP420s802.11b/gand802.11a,b/gradio16WLANsWEP,dynamicWEP,WPA/WPA2(802.111)InternalRADIUSSVPWMMWirelessbridging(WDS)价格图3AP420和AP53O比较查看AP420的指示灯了解无线网络的工作状况，具体指示灯含义如下:图4Ap420指示灯含义无线AP的基本配置我们必须对AP配上相应的IP之后，方可使用Telnet、SSH和Web等方式来管理AP,因为这些都是建立在IP网络层以上的。在用DB9线缆连接好PC和AP之后，需要建立一个终端连接，其基本配置使用默认值：Port:COM-1(standard)Baudrate:9600Databits:8Stopbit:1Parity:NoneFlowcontrol:None之后输入默认的管理员用户名和密码，AP420用户名为admin,密码为空；AP530用户名和密码都为admin。之后就可以进入AP的命令行(CLI)配置模式了，AP420的CLI操作系统架构如图示：

usernamepassword /managementEthernetwireessssid[index|name]managerEXECglobalconfigurationconfigure1usernamepassword /managementEthernetwireessssid[index|name]managerEXECglobalconfigurationconfigure1,interfaceendSSID图5AP420CL1操作系统架构无线AP的国家代码修改进入管理员执行模式之后，输入命令"country?”:ProCurveAP420#country?ProCurveAP420#country<code>AP重起之后生效。保证AP的发送接收频率满足使用国家的许可要求后，AP方可正常工作。无线AP的提示符修改为了对AP进行功能上的区分，需要对AP的提示名进行修改，那么经过以下命令之后，可以修改AP的名称为LAB-AP：ProCurveAP420#configureProCurveAP420(config)#promptLAB-AP之后的提示符就是：LAB-AP(config)#管理名用户名和密码修改为了保证AP的安全管理，进入管理模式后可修改用户名和密码，输入:LAB-AP(config)#managementLAB-AP(config-mgmt)#设置AP的管理员密码和用户名命令如下：LAB-AP(config-mgmt)#password-admin<password>LAB-AP(config-mgmt)#username-admin<name>增加CLI+Web的管理用户名和密码命令如下：LAB-AP(config-mgmt)#useraddcli+web<username><password>退出管理员模式：LAB-AP(config-mgmt)#end设置AP的IP地址为了管理AP和AP之后的工作站，必须为关掉AP的DHCP功能并为AP指定IP、mask和网关地址。命令如下：LAB-AP(config)#interfaceethernetLAB-AP(if-ethernet)#noipdhcpLAB-AP(if-ethernet)#ipaddressIP-ADDRIP-MASKIP-Gateway查看AP的配置(1)查看AP的当前配置情况：LAB-AP(config)#showrunning-config可以看到刚才配好的AP名称、IP地址等信息。(2)查看AP的无线接口：LAB-AP#showinterfacewirelessg可看到如F参数radio的状态现有使用的频道和其他radio的设置静态WEP的密钥分配(3)查看WLAN的设置：LAB-AP#showssid[index<number>Iname<ssid>]可看到如下参数：SSID安全设置Radius认证设置(4)查看某个SSID下的具体设置LAB-AP(wireless-g-ssid-l)#show保存和删除配置LAB-AP#writememoryLAB-AP#erasestartup-config管理无线AP的两种方式命令行(CLI)和网页浏览器界面(Web)对AP分配好地址之后，你就可以使用与AP用以太网口相连的PC来管理它了。CLITelnet+AP的IP地址进行远程登录安全的方式SSH：使用软件PuTTY来打开一个SSH会话(2)页面浏览器界面在浏览器中输入AP的IP地址安全的方式Https：输入https://IP-AP两种安全的方式AP420都必须事先打开相关功能。之后输入管理员帐号和密码即可登录。Web界面如图示:

Radio是关闭的ThankyouforpurchasingthisHPJ8130AWirelessAccessPoint420We'dliketokeepyouuptodateabout•Softwarefeatureupdates•Newproductannouncements・Specialevents图6Ap420的Web登录界面按下Identity键可以看到基本的系统信息，包括：软件版本，系统更新时间，IP地址和以太网接口的MAC地址等。实验九安全无线网络的设计和部署.实验目的通过AP420设计实验室统一互联的无线局域网理解802.11i的相关安全机制为该无线局域网部署安全接入和加密方法设计集中的DHCP和Radius服务器，来为无线客户端分配IP和进行安全身份认证，并制定交换机端口无线接入和群组策略.实验设备6台AP420(或者AP530)7台5300x1交换机,一台Windows2003Server的服务器和多台无线接入客户端计算机，其中Windows2003Server必须包含如下组件：Internet认证服务(IAS)；2)动态目录(ActiveDirectory)3)动态主机地址分配协议(DynamicHostConfigurationProtocol)4)支持Java控件的浏览器无线客户端计算机为WindowsXPServicePack2并包含无线客户端配置工具。.实验环境考虑到实验室AP的分配情况,6台AP420通过6台5300x1连到中心5300x1交换机，服务器与中心交换机直联，我们设计整个无线局域网连接如图所示:AP420_l5300xl_lJ-i»2HJ»*«**»AP420_205300xl_35300xl_2AP420_30AP420.40无线客户端认证成

功后动态分配IP5300xl_4AP420.505300xl_5DHCP和Radius服务器5300xWindows2003server0AP420_60J-AP420_l5300xl_lJ-i»2HJ»*«**»AP420_205300xl_35300xl_2AP420_30AP420.40无线客户端认证成

功后动态分配IP5300xl_4AP420.505300xl_5DHCP和Radius服务器5300xWindows2003server0AP420_60J-5300xl_6图1实验室无线局域网连接图整个实验中设备的IP地址分配如表所示设备IP地址子网掩码地址分配方式5300x静态指定5300xl_l~5300xl_6-静态指定AP420_l~AP420_60、0、0、0,0、0静态指定Windows2003Server0静态指定WindowsXPStation动态(〜54)由DHCP月艮务器动态分配表1网络交换设备的IP分配衣.实验内容为所有的AP420和5300x1交换机设置VLAN成员按照上图连接好各网元之后，需要为连接AP420和Windows2003Server的交换机端口设置正确的VLAN成员。实验中主要分了3个不同的VLAN,其中无线客户端通过VLAN8来获取动态IP地址，Windows2003Server放在VLAN10中，为客户端提供认证和DHCP服务，而所有网元处于VLAN1中分配/25段的IP地址便于进行管理。AP420设置两个不同SSID的WLAN为用户和管理员提供不同的VLAN接口。如表所示：设备VLANID用途中心5300x11管理用途VLAN8无线客户端所属的VLAN10Windows2003Server所属的有线VLAN段5300xl_l~5300xl_61管理用途VLAN8无线流量转发VLANAP4201SSID为Faculty-X的WLAN专用VLAN8SSID为Admin-X的WLAN专用VLAN表2VLAN成员分配表.配置中心5300x1交换机a.为VLAN1分配IP地址，作为管理VLAN的网关，启用IP路由ProCurveSwitch#configureterminalProCurveSwitch(config)#vlan1ipaddressProCurveSwitch(config)#iproutingb.为VLAN8配置六个tagged端口，表示与5300x1」〜5300xl_6相连，并设为VLAN8的网关IP,并添加DHCP服务器地址ProCurveSwitch(config)#vlan8tagged<port#>-<port#>ProCurveSwitch(config)#vlan8ipaddressProCurveSwitch(config)#vlan8iphelper-address0c.将Windows2003Server连接的端口设为untagged,并设为VLAN10的网关IPProCurveSwitch(config)#vlan10untagged<port#>ProCurveSwitch(config)#vlan10ipaddressd.保存交换机配置ProCurveSwitch(config)#writememory.酉己置5300x1」〜5300xl_6交换机a.配置与中心5300x1相连的端口为VLAN1的tagged成员，并添加用于管理的IP地址(见表一)ProCurveSwitch#configureterminalProCurveSwitch(config)#vlan1tagged<port#>ProCurveSwitch(config)#vlan1ipaddress10.1.1.xb.配置与AP相连的端口和与中心5300x1相连的端口为VLAN8的tagged成员，用于无线通信的转发ProCurveSwitch(config)#vlan8tagged<port#>-<port#>c.保存交换机配置ProCurveSwitch(config)#writememory.为AP添加管理IP(IP分配如表一)ProCurveAP420#configureProCurveAP420(config)#interfaceethernetProCurveAP420(if-ethernet)#noipdhcpProCurveAP420(if-ethernet)#ipaddress10.1.1.X配置好之后用ping命令检查各网元的连通性。.2理解802.11i的无线安全机制并对AP420进行无线安全设置.接入认证技术：802.lx端口控制协议.1X协议把交换设备上的端口分为两种受控端口(Controlledport)和非受控端口(Uncontrolledport),如图所示：

PAEPAEStation f^HSESSm鹿丽S画RADIUS

server图2802.lx端口控制技术*PAE=端口访问实体（portaccessentity）,基于端口实现的802.1x虚拟实体受控端口的作用是：可以通过所有的流量，但未认证之前是关闭的主要用于基于认证状态的网络接入控制非受控端口的作用是：仅仅允许EAP（ExtensibleAuthenticationProtocol扩展认证协议）流量通过用于传送认证消息受控端口分为两种状态：当连接最开始而且没有通过认证或者终端认证失败时处于禁止状态；当认证服务器返回EAP-Success或者认证者假定网络没有启用802.1X时，该端口处于放行状态。而消息是通过EAP（Extensibleauthenticationprotocol扩充认证协议）方法来传送的。图示是EAP-md5和EAP-GTC两种方法，并用表将所有EAP方法的安全特性进行比较；不安全因素：•不安全因素：•没有密钥分配•没有相互认证・用户名使用明文发送・MD5一用户名和哈希后的密码・GTC一用户名和计算值来自令牌卡EAPRequest/MD5RADIUSserver（或者密码）EAPRequest/MD5RADIUSserverStation口）））MySecretHash|3$EAPResponse/MD5Userl3$图3较常用的两种EAP方法EAP方法认证凭据密钥分发相互认证隐藏用户身份协议公开性RFC文档请求者服务器MD5UsernamePasswordNoneV1321TLSCertificateCertificate7JV2716TTLSUsernamePasswordCertificateVV必需VPEAPUsernamePasswordCertificateVV可选VSIMSIMcardGSM三元组VV可选V(GSM)4186AKAUSIM3rdgenerationAKAJV可选V(UGSM)4187LEAPUsernamePasswordPasswordVVCisco专有SRPUsernamePasswordPasswordVV可选V表3常用EAP方法应用和安全比较在微软的操作系统中应用比较广泛的是EAP-PEAP,本实验也采用PEAP方法进行配置。2.帧加密算法：TKIP和CCMP/AES加密算法无线因为物理层是完全开放，它不同于有线，任何人都可以侦听空口的数据帧，二层加密是必需启用的。802.11无线最开始使用的是WEP加密算法，是RC4算法的一种应用。但随着应用的推广，它的弱点不断体现出来，主要是有两个缺陷：存在弱密钥，一但某个加密密钥流中出现了一个弱密钥，整个完整的密钥流可以被完全推出来；初始化向量IV过短，重复的可能非常大，对于抗重放攻击存在致命弱点。为此，IEEE802.1li标准提出了两种新的加密算法：TKIP是WEP算法的升级版本，通过密钥的两次杂凑过程较好的解决了弱密钥的问题并且增加了初始化向量的长度降低了重复的可能，这种方法只要对WEP进行简单的软件升级就可使用，保证了802.11无线设备的向下兼容性；CCMP/AES则是来自美国国家标准和技术研究所（NIST）2000年12月颁布的新一代加密标准算法，它的加密强度更高更可靠。本实验中选用的组播使用TKIP,单播采用TKIP+AES,下面对TKIP中组

播和单播的密钥产生过程介绍，实验中可以比较组播不加密和加密时的性能差别。TKIP通过四次握手来完成单播密钥的协商，如图所示:图4TKIP的四次握手协商图4TKIP的四次握手协商StationO')))AP-J随机扩充eGMK用于生成广播和组播的每帧密钥Station，))))AP-J随机扩充eGMK用于生成广播和组播的每帧密钥Station，))))图5无线组播密钥下发完成单播密钥协商之后，AP负责给关联的客户端下发组播密钥，如图所示:依靠四次握手种产生的KCK和KEK保证组播密钥分发的安全性和完整性校验StationStation 川口)))根据PTK或GTK中的TK来生成每帧的密钥包括两个步骤，如图所示:每帧密钥每帧密钥PairwiseorgroupTKFirst32bitsofIV图6每帧密钥生成每帧完整性检查MIC生成方法如图所示：HeaderEncryptedDataMIC图7Mle生成方法接收方通过校验MIC来判断数据帧中有没被修改过分析完802.1li的基本框架之后就可以来配置无线AP的安