《网络工程与系统集成》实验指导书2011

发布时间:2021-06-05

《网络工程与系统集成》

实验指导书(2011版)

江苏科技大学

计算机科学与工程学院

前 言

《网络工程与系统集成》是高等工科学校通信工程专业、计算机专业的一门专业选修课程。本课程在《计算机网络基础》/《计算机网络》等课程的基础上,着重工程应用及一些网络新技术的介绍,通过讲解如何设计小型、中型和大型的网络系统方法,理论联系实际,保证良好的学习效果。学生通过本门课程的学习,能够获得网络工程与系统集成方面的基本知识和基本技能,了解当前主流的网络技术发展水平和产品化程度,掌握相关网络设备的配置方法、网络方案的选择、网络服务的部署能力,为学生学习后续课程以及从事有关的工程技术工作和科学研究工作打下一定的基础。本课程理论严谨,系统性、逻辑性强,对培养学生的辨证思维能力,树立理论联系实际的科学观点和提高学生分析问题、解决问题的能力有着重要的作用。

为了加深和巩固学生对理论知识的理解,增强学生在网络方面的实际动手能力的培养,培养学生对网络原理的理解能力,特别是掌握网络使用的实际技能。本课程设置了多个实验,具体实验项目根据专业侧重点进行选择,具体项目有:PVLAN配置、三层交换配置、PPP协议配置、防火墙配置、路由引入配置、NAT配置、VPN配置。

目 录

实验一 PVLAN配置 ......................................................................... 4

实验二 三层交换配置 .................................................................... 6

实验三 PPP协议配置 ...................................................................... 7

实验四 防火墙配置 ........................................................................ 9

实验五 路由引入配置 .................................................................. 11

实验六 NAT配置 ........................................................................... 14

实验七 VPN配置 ........................................................................... 18

实验一 PVLAN配置

实验学时:2学时 实验类型:验证 实验要求:必修

一. 实验目的

1. 根据实验要求的物理拓扑结构连接局域网

2. 根据实验要求的逻辑拓扑结构创建VLAN,并将用户的计算机划分到指定的VLAN 中

3. 根据要求设置 PrimaryVLAN

4. 根据要求,将相应的 SecondVLAN 与PrimaryVLAN 进行绑定。

二. 实验内容

1. 配置及关联VLAN

2. 配置Host Port

3. 配置Promiscuous Port

4. 映射secondary VLAN到primary VLAN的VLAN接口

三. 实验原理、方法和手段

为了提高网络的安全性,要将用户之间的报文隔离开,传统的解决办法是给每个用户分配一个VLAN。这种方法具有明显的局限性,主要表现在以下几个方面:

1. 目前IEEE 802.1Q标准中所支持的VLAN数目最多为4094个,用户数量受到限制,且不利于网络的扩展。

2. 每个VLAN对应一个IP子网,划分大量的子网会造成IP地址的浪费。

3. 大量VLAN和IP子网的规划和管理使网络管理变得非常复杂。

PVLAN技术的出现解决了这些问题。PVLAN将VLAN中的端口分为两类:与用户相连的端口为隔离端口(isolate port),上行与路由器相连的端口(promiscuous port)。隔离端口 只能与混合端口通信,隔离端口相互间不能通信。这样就将同一个VLAN下的端口隔离开来,用户只能与自己的默认网关通信,网络的安全性得到了保证。

四. 实验组织运行要求

1. 学生在实验前,请先对实验中的常用网络命令的功能和使用方法进行预习,并在预习报告中给出这些信息。

2. 实验过程中,请记录每条命令使用后的显示信息,并在实验报告中对这些信息进行说明和解释。

五. 实验条件

1. 中兴ZXR10 3900A/3200A系列交换机

2. 以太网网络环境

六. 实验步骤

Step 1:设置VTP模式为transparent

Step 2:创建primary和secondary VLAN,并关联它们

Step 3:将接口设置为isolated或community端口,并设置借口所属VLAN

Step 4:将接口设置为promiscuous端口,并且将其映射到primary-secondary VLAN对 Step 5:若需要VLAN间路由,配置primary SVI,将secondary VLAN映射到primary。 Step 6:验证private VLAN配置

配置实例:

下面的配置实例中配置了两个隔离组:其中隔离组1中,fei_1/1、fei_1/2、fei_2/1、fei_3/1为隔离端口,fei_1/10为混合端口;隔离组2中,fei_1/7、fei_1/8、fei_4/1、fei_5/1为隔离端口,fei_1/12为混合端口。

具体配置如下:

ZXR10 (config)# vlan private-map session-id 1 isolate fei_1/1-2, fei_2/1, fei_3/1 promis fei_1/10

ZXR10 (config)# vlan private-map session-id 2 isolate fei_1/7-8, fei_4/1, fei_5/1 promis fei_1/12

ZXR10 # show vlan private-map

Session_id Isolate_Ports Promis_Ports

---------- ------------------------ ------------------------

1 fei_1/1-2,fei_2/1,fei_3/1 fei_1/10

2 fei_1/7-8,fei_4/1,fei_5/1 fei_1/12

七. 思考题

1. 为什么使能PVLAN的交换机不能工作在VTP Server或VTP Client模式?

2. Community类型的Secondary VLAN与Isolate类型的Secondary VLAN的区别?

实验学时:2学时 实验类型:验证 实验要求:必修

一. 实验目的

1. 根据实验要求的物理拓扑结构连接局域网

2. 根据实验要求的逻辑拓扑结构创建 VLAN,并将用户的计算机划分到指定的VLAN 中

3. 根据要求为每个 VLAN 创建VLAN 接口,并设置IP 地址及分配IP 地址空间

4. 根据要求,利用路由协议生成 VLAN 间的路由信息,实现VLAN 间的通信。

二. 实验内容

1. 配置VLAN及端口的链路类型

2. 配置VLAN的SVI接口

3. 部署路由功能及路由方式

三. 实验原理、方法和手段

四. 实验组织运行要求

1. 学生在实验前,请先对实验中的常用网络命令的功能和使用方法进行预习,并在预习报告中给出这些信息。

2. 实验过程中,请记录每条命令使用后的显示信息,并在实验报告中对这些信息进行说明和解释。

五. 实验条件

1. 以太网环境

2. 思科Catalyst 3560交换机/中兴ZXR10 3900A/3200A系列交换机

六. 实验步骤

Step 1:创建必要的VLAN,将连接用户的端口设置为access类型并划分到对应的VLAN中,将交换机之间的端口类型设置为trunk,并允许所有的VLAN帧通过 Step 2:为每一个VLAN创建对应的SVI接口

Step 3:使能三层交换机的IP路由功能

Step 4:设置每一个VLAN的SVI参数,使得每个VLAN的用户被分配到一个IP子网中去 Step 5:使能三层交换机中的路由协议

Step 6:验证三层交换功能

七. 思考题

1. 三层交换与三层路由的区别。

2. 三层交换如何提高VLAN间通信的效率?

实验学时:2学时 实验类型:验证 实验要求:必修

一. 实验目的

1. 根据实验要求的拓扑结构,利用路由器及交换机连接成网络

2. 正确配置路由器接口参数,包括设置 IP 地址和PPP 协议的绑定

3. 掌握 PPP 中PAP 验证的配置方法

4. 掌握 PPP 中CHAP 验证的配置方法

二. 实验内容

1. 配置PPP协议的封装

2. 配置PAP验证方式

3. 配置CHAP验证方式

三. 实验原理、方法和手段

四. 实验组织运行要求

1. 学生在实验前,请先对实验中的常用网络命令的功能和使用方法进行预习,并在预习报告中给出这些信息。

2. 实验过程中,请记录每条命令使用后的显示信息,并在实验报告中对这些信息进行说明和解释。

五. 实验条件

1. 局域网环境

2. 思科2811路由器/华为3Com AR2811路由器

六. 实验步骤

Step 1:为思科2811路由器增加WIC-2T接口模块,并完成路由器之间的串行线路连接 Step 2:设置串行口封装的链路层协议为PPP,配置IP参数并启动接口(注意DCE端clock rate的设置)

Step 3:配置PAP验证方式,设定路由器的主验证和被验证角色

Step 4:PAP主验证端在全局配置模式下创建用户帐号,在串行口模式下设置PPP验证方式为PAP

Step 5:PAP被验证端在串行口模式下设置PAP发送的用户帐号信息 Step 6:重起串行口,测试PAP验证的有效性

Step 7:关闭PAP验证方式,配置CHAP验证方式,设定路由器的主验证和被验证角色 Step 8:设置验证双方路由器的hostname,用于确定在对端路由器中的账号 Step 9:CHAP主验证端在串行口模式下设置PPP验证方式为CHAP Step 10:两端路由器在全局模式下,为对端路由器增加账号信息 Step 11:重新其中一台路由器的串行口,测试CHAP的有效性

配置实例1(PAP验证,假设主验证端为DCE)

被验证端:

Router0# config terminal

Router0(config)# interface se0/3/0

Router0(config-if)# encapsulation ppp

Router0(config-if)# ppp pap sent-username julychang password 123456

Router0(config-if)# no shutdown

主验证端:

Router1# config terminal

Router1(config)# username julychang password 123456

Router1(config)# interface se0/3/0

Router1(config-if)# clock rate 56000

Router1(config-if)# encapsulation ppp

Router1(config-if)# ppp authentication pap

Router1(config-if)# no shutdown

配置实例2(CHAP验证,假设主验证端为DCE)

被验证端:

Router0# config terminal

Router0(config)# hostname Slave

Slave(config)# username Master password 123456

Slave(config)# interface se0/3/0

Slave(config-if)# encapsulation ppp

Slave(config-if)# no shutdown

主验证端:

Router1# config terminal

Router1(config)# hostname Master

Master(config)# username Master password 123456

Master(config)# interface se0/3/0

Master(config-if)# clock rate 56000

Master(config-if)# encapsulation ppp

Master(config-if)# ppp authentication chap

Master(config-if)# no shutdown

七. 思考题

1. PPP的验证过程发生在链路协议协商的什么阶段?

2. 在CHAP方式中,为什么双方在对端的账号密码必须一致?

实验四 防火墙配置

实验学时:2学时 实验类型:验证 实验要求:必修

一. 实验目的

1. 根据实验要求的拓扑结构,利用路由器及交换机连接成网络

2. 根据要求对数据流进行分类,并配置相应的ACL

3. 选择最佳部署位置的路由器,开启基于包过滤的防火墙功能

4. 将ACL绑定到正确接口,并指定其作用于接口的正确队列

二. 实验内容

1. 创建标准访问控制列表

2. 创建扩展访问控制列表

3. 将ACL绑定到路由器的接口

三. 实验原理、方法和手段

四. 实验组织运行要求

1. 学生在实验前,请先对实验中的常用网络命令的功能和使用方法进行预习,并在预习报告中给出这些信息。

2. 实验过程中,请记录每条命令使用后的显示信息,并在实验报告中对这些信息进行说明和解释。

五. 实验条件

1. 以太网环境

2. 思科2811路由器

3. 计算机及服务器

六. 实验步骤

Step 1:创建标准ACL,拒绝来自某IP子网的所有分组

配置实例:

Router0# config terminal

Router0(confg)# access-list 1 deny 192.168.1.0 0.0.0.255

Router0(config)# access-list 1 permit any

Step 2:创建扩展ACL,拒绝来自某套接字的分组

配置实例:

Router0# config terminal

Router0(config)# access-list 100 deny tcp 192.168.1.10 0.0.0.0 192.168.2.10 0.0.0.0 eq www Router0(config)# access-list 100 permit ip any any

Step 3:将ACL绑定到路由器接口上

Router0(config)# interface fa0/0

Router0(config-if)# ip access-group 100 in

Step 4:测试网络的连通性并记录结果

七. 思考题

1. ACL在定义规则时,除了五元组以外还可以参考哪些信息?

2. 放置标准ACL和扩展ACL的策略有什么不同?

实验五 路由引入配置

实验学时:4学时 实验类型:综合 实验要求:必修

一. 实验目的

1. 根据实验要求的拓扑结构,利用路由器及交换机连接成网络

2. 正确配置路由器接口参数,包括设置 IP 地址和接口协议

3. 在不同的局部运行不同的 IGP 路由协议

4. 利用路由引入策略,学习不同 IPG 的路由信息

二. 实验内容

1. IPv6地址的静态设置、及无状态自动配置

2. IPv6静态路由的配置

3. RIPng的配置

4. OSPFv3的配置

5. 路由引入的配置

三. 实验原理、方法和手段

四. 实验组织运行要求

1. 学生在实验前,请先对实验中的常用网络命令的功能和使用方法进行预习,并在预习报告中给出这些信息。

2. 实验过程中,请记录每条命令使用后的显示信息,并在实验报告中对这些信息进行说明和解释。

五. 实验条件

1. 以太网环境

2. 思科2811路由器

六. 实验步骤

Step 1:静态设置路由器接口的IPv6地址,通过无状态自动配置设定用户计算机的IPv6地址

配置实例:

Router1# config terminal

Router1(config)# ipv6 unicast-routing

Router1(config)# interface fa0/0

Router1(config-if)# ipv6 address 2001:1:1:1::/64 eui-64

Router1(config-if)# ipv6 enable

Router1(config-if)# no shutdown

Router1(config-if)# end

Router1# show ipv6 interface

Step 2:在对应路由器上配置IPv6静态路由

配置实例:

Router0# config terminal

Router0(config)# ipv6 route 2001:1:1:1::/64 2001:4:4:4:201:64ff:fed1:ad02

Router0(config)# end

Router0# show ipv6 route

Step 3:在对应路由器上配置RIPng

配置实例:

Router3# config terminal

Router3(config)# ipv6 router rip CIRCUS

Router3(config-rtr)# exit

Router3(config)# interface fa0/1

Router3(config-if)# ipv6 rip CIRCUS enable

Router3(config-if)# end

Router3# show ipv6 route

Router3# show ipv6 rip database

Step 4: 在对应路由器上配置OSPFv3

配置实例:

Router2# config terminal

Router2(config)# ipv6 router ospf 1

Router2(config-rtr)# router-id 1.1.1.1

Router2(config-rtr)# exit

Router2(config)# interface fa0/0

Router2(config-if)# ipv6 ospf 1 area 0

Router2(config-if)# interface fa0/1

Router2(config-if)# ipv6 ospf 1 area 0

Router2(config-if)# end

Router2# show ipv6 route

Router2# show ipv6 ospf

Step 5:在不同类型IGP边界上配置路由引入

配置实例:

Router0# config terminal

Router0(config)# ipv6 router rip CIRCUS

Router0(config-rtr)# redistribute ospf 1 metric 3

Router0(config-rtr)# redistribute static

Router0(config-rtr)# redistribute connected

Router0(config-rtr)# ipv6 router ospf 1

Router0(config-rtr)# redistribute rip CIRCUS

Router0(config-rtr)# redistribute static

Router0(config-rtr)# redistribute connected

Router1# show ipv6 route

Router2# show ipv6 route

Router3# show ipv6 route

七. 思考题

1. IPv6无状态自动配置与IPv6 DHCP的区别在哪里?

2. RIPng在引入OSPFv3的路由时,应如何设定metric值?

实验六 NAT配置

实验学时:2学时 实验类型:验证 实验要求:必修

一. 实验目的

1. 根据实验要求的拓扑结构,利用路由器及交换机连接成网络

2. 根据要求对数据流进行分类,并配置相应的 ACL

3. 掌握基于 EasyIP 的NAT 配置方法

4. 掌握基于地址池的 NAT 配置方法

二. 实验内容

1. 设置路由器接口的inside和outside角色

2. 创建IP地址池和ACL

3. 关联对应的IP地址池和ACL

4. 配置套接字的静态映射关系

三. 实验原理、方法和手段

在计算机网络中,NAT(网络地址转换、Network Address Translation)是对IP包首部地址信息进行修改的过程。

图A- 1 NAT原理

如图A-1,运行NAT功能的路由器会将它不同接口所连接的IP网络分为inside网络(内网)和outside网络(外网)。当IP分组经过NAT路由器时,若是从inside网去向outside网,则NAT路由器会修改IP包首部的源IP地址(即SA);若IP分组是从outside网去向inside网,则NAT路由器会修改IP包首部的目的IP地址(即DA)。

最简单的NAT类型是提供one-to-one(一对一)的IP地址转换。RFC 2663称之为basic NAT(基本NAT),basic NAT只对IP首部的IP地址和校验和(checksum)进行修改,首部的其它部分不进行改动(at least for basic TCP/UDP functionality, some higher level protocols may need further translation)。Basic NAT通常运用于这种需求,即互联的两个IP网络在寻址上不兼容,如用户的网络使用私有地址空间,而运行商网络使用共有地址空间,私有地址在运营商的网络中是不兼容的,即无法寻址。

相较basic NAT,更通常的做法是将整个一段IP地址空间(通常是私有地址)隐藏在一个单独IP地址或数量不多的一组IP地址(通常是公有地址)后。所以,这种转换是一种one-to-many(一对多)、或some-to-many(多对多)的模式。为了解决这两种模式可能带来的歧义性,NAT 不仅改动IP首部信息,还会修改TCP/UDP的首部信息,当IP地址和TCP/UDP端口被转换时,NAT还会将这些转换记录在转换表中(translation table),以便数据流回发时能正确转换。这两种模式在RFC 2663中被称为NAPT(Network and Port Translation,地址及端口转换),在很多文献或书籍中也会用术语PAT(

Port Address

Translation,端口地址转换)、IP masquerading(IP伪装)、或NAT Overload(NAT过载)。 前面几种类型NAT只能使能由用户网络(masqueraded network、即地址空间对于运营商网络是隐藏的)内发起的通信,如用户网络中某用户的浏览器可以浏览公网上某站点,但公网上的浏览器无法浏览用户网络的站点。其实大多数运行NAT的设备都允许管理员手工配置NAT转换表,这种特性被称为static NAT(静态NAT)或port转发。Static NAT允许由外部公网发起的通信,使其可以寻址到用户网络内的指定主机。

在1990年代中期,NAT成为了缓和IPv4地址耗尽的有效工具,它成为了家用路由器、小型商业Internet接入的标准和必要的特性。但NAT也存在的一些缺陷,如Internet连接质量会下降(IP首部处理的额外处理开销)、割断了原先IP设想的 end-to-end(端到端)连接模型(双方无法寻址到对方的真实地址)。所以,NAT只是一种解决地址耗尽问题的过渡方法。

四. 实验组织运行要求

1. 学生在实验前,请先对实验中的常用网络命令的功能和使用方法进行预习,并在预

习报告中给出这些信息。

2. 实验过程中,请记录每条命令使用后的显示信息,并在实验报告中对这些信息进行

说明和解释。

五. 实验条件

1. 以太网环境

2. 思科2811路由器

六. 实验步骤

场景1及其配置

图A- 2由inside发起连接的NAT测试场景

如图A-2,由用户的计算机组成的LAN作为inside网络,网关路由器的se0/1/0接口连接的Internet属于outside网络。LAN中的计算机通过共享网关路由器的IP地址池、即动态NAT,来获得访问Internet的合法公网地址。

Step 1:路由器的fa0/0接口作为NAT的inside接口

配置实例:

Router(config)# interface fa0/0

Router(config-if)# ip address 192.168.0.1 255.255.255.0

Router(config-if)# no shutdown

Router(config-if)# ipnat inside

Step 2:路由器的se0/1/0接口作为NAT的outside接口

配置实例:

Router(config)# interface se0/1/0

Router(config-if)# ip address 1.1.1.10 255.255.255.0

Router(config-if)# no shutdown

Router(config-if)# ipnat outside

Step 3:通过访问控制列表设定可以使用NAT的用户计算机地址范围

配置实例:

Router(config)# access-list 1 permit 192.168.0.2 192.168.0.1 0.0.0.255

Step 4:创建进行NAT转换时,可以使用的公网地址池

配置实例:

Router(config)# ipnat pool mypool 1.1.1.201 1.1.1.210 netmask 255.255.255.0

Step 5:设定NAT在进行地址转换时所用的IP地址池

配置实例:

Router(config)# ipnat inside source list 1 pool mypool

场景2及其配置

图A- 3由outside发起连接的NAT测试场景

如图A-3,用户所在的LAN上存在一些服务器,其服务要提供给Internet上的用户使用。由于服务器所使用的IP 地址是inside网路所使用的私有地址,因此需要实现在网关路由器上将内部服务的地址及传输层端口映射到一个Internet可访问到的公网地址和端口,即使用静态NAT。

Step 1:路由器的fa0/0接口作为NAT的inside接口

配置实例:

Router(config)# interface fa0/0

Router(config-if)# ip address 192.168.0.1 255.255.255.0

Router(config-if)# no shutdown

Router(config-if)# ipnat inside

Step 2:路由器的se0/1/0接口作为NAT的outside接口

配置实例:

Router(config)# interface se0/1/0

Router(config-if)# ip address 1.1.1.11 255.255.255.0

Router(config-if)# no shutdown

Router(config-if)# ipnat outside

Step 3:将inside网络中的Web服务器套接字192.168.0.2:80转换到公网1.1.1.11:8080 配置实例:

Router(config)# ipnat inside source static tcp 192.168.0.2 80 1.1.1.11 8080

Step 4:将inside网络中的Email服务器套接字192.168.0.2:80转换到公网1.1.1.11:8080 配置实例:

Router(config)# ipnat inside source static tcp 192.168.0.3 53 1.1.1.11 8090

七. 思考题

1. 当把内部服务器的套接字映射到路由器公网接口时,内部用户访问内部服务器时,

用哪个地址来访问服务器,为什么?

2. 当路由器公网接口地址是动态分配时,如何保证NAT地址映射的有效性?

实验七 VPN配置

实验学时:4学时 实验类型:综合 实验要求:必修

一. 实验目的

1. 根据实验要求的拓扑结构,利用路由器及交换机连接成网络

2. 根据要求,完成 VPN 隧道端点间路径的建立

3. 掌握 GRE 隧道的配置方法

4. 熟悉 IPsec 的配置方法

二. 实验内容

1. GRE隧道配置

2. IPsec配置

三. 实验原理、方法和手段

四. 实验组织运行要求

1. 学生在实验前,请先对实验中的常用网络命令的功能和使用方法进行预习,并在预习报告中给出这些信息。

2. 实验过程中,请记录每条命令使用后的显示信息,并在实验报告中对这些信息进行说明和解释。

五. 实验条件

1. 以太网环境

2. 思科2811路由器

六. 实验步骤

Step 1:配置网络环境,保证企业网网关的公网接口可达

Step 2:创建隧道接口,并配置其参数

配置实例:

Router0# config terminal

Router0(config)# interface tunnel 0

Router0(config-if)# ip address 192.168.5.1 255.255.255.252

Router0(config-if)# ip destination 192.168.5.2

Router0(config-if)# ip source fa0/1

Step 3:创建静态路由,使得VPN间的流量通过隧道进行转发

配置实例:

Router(config)# ip route 192.168.4.0 255.255.255.0 192.168.5.2 Router(config)# end

Router# show ip route

Step 4:测试GRE隧道的有效性并记录结果

七. 思考题

    精彩图片

    热门精选

    大家正在看