admin管理员组文章数量:1581067
本次实验共有8个实验,实验1~7使用cmd在命令行窗口完成,实验8在浏览器完成。
No.1 ipconfig
ipconfig 是微软操作系统的计算机上用来控制网络连接的一个命令行工具。它的主要用来显示当前网络连接的配置信息(/all 参数)。
实作一
使用ipconfig/all查看自己计算机的网络配置。部分输出如下图1—1所示:
该命令会显示出所有网络适配器(网卡、拨号连接等)的完整TCP/IP配置信息,以以太网为例,各行的信息分别代表:
- 连接待定的DNS后缀:默认是没有的,也就是本地解析;如果此项不为空时,是会在主机名后自动添加此项所指定的后缀,这时就会通过DNS服务器来解析,也就是说DNS后缀是用来解析主机名用的,如果填上DNS后缀,在PING主机名时,DNS服务器会来解析。
- 描述: 网卡的品牌型号
- 物理地址: 以太网适配器(网卡)的物理地址(MAC)地址
- DHCP 已启用:DHCP是动态分配ip的协议,ip自动获取时会启用。
- 自动配置已启用:同上
- IPv4 地址:本地在局域网内的IP地址
- 子网掩码:用来指明一个IP地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。化成二进制,前面是1的表示为网络号,后面为0的部分为主机号
- 获得租约的时间:此ip地址的开始使用时间。
- 租约过期的时间:此ip地址的到期时间。
- 默认网关:默认网关ip地址,意思是一台主机如果找不到可用的网管,就把数据包发给默认指定的网关,由这个网关来处理数据包。也就是你路由器的地址。
- DHCP 服务器:DHCP服务器地址,提供DHCP服务的电脑的IP地址
- DNS 服务器:域名解析服务器的地址,将网址翻译成IP地址。
- TCPIP 上的 NetBIOS:当安装TCP/IP协 议时,NetBIOS 也被Windows作为默认设置载入,我们的计算机也具有了NetBIOS本身的开放性。
实作二
使用 ipconfig/all查看旁边计算机的网络配置,看看有什么异同。
分别在两台计算机上面使用ipconfig/all 命令。
本机ipconfig /all命令如下图1—2所示
旁边(同寝室同学)计算机ipconfig /all命令如下图1—3所示
可以看到两台计算机很多地方都是有不同的:主机名、物理地址、IP地址等,但是值得注意的是两台不同的计算机有一些内容是相同的:
- IPv4 地址的前两位都是10. 60.x.x
- 子网掩码
- 默认网关
- DHCP 服务器
- DNS 服务器
Question: 你的计算机和旁边的计算机是否处于同一子网,为什么?
分析:子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。子网掩码与IP地址结构相同,是32位二进制数,其中网络号部分全为“1”和主机号部分全为“0”。若两台主机的IP地址分别与它们的子网掩码相 与 后的结果相同,则说明这两台主机在同一子网中。
Answer:
两者进行相与运算之后,发现得出的结果相同,所以两台计算机处于同一个子网
No.2 ping
ping(Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序。Ping发送一个ICMP;回声请求消息给目的地并报告是否收到所希望的ICMP echo (ICMP回声应答)。它是用来检查网络是否通畅或者网络连接速度的命令
实作一
测试到某计算机如 重庆交通大学 Web 服务器的连通性,可以使用 ping www.cqjtu.edu 命令,也可直接使用 IP 地址。如下图2—1所示
- 字节:表示测试中发送的数据包大小是32个字节
- 时间:表示与对方主机往返一次所用的时间,
- TTL:(Time to Live生存时间)指一个数据包在经过一个路由器时,可传递的最长距离(跃点数)。每当数据包经过一个路由器时,其存活次数就会被减一
实作二
使用 ping/? 命令了解该命令的各种选项并实际使用。如下图2—2所示
No.3 tracert
Tracert是测试报文从发送端到目的地所经过的路由的方法。它能够直观展现报文在转发的时候所经过的路径。Tracert基于ICMP协议来实现的。当网络出现故障时,用户可以使用Tracert确定出现故障的网络节点。
实作一
了解到某计算机如 www.baidu 中间经过了哪些节点(路由器)及其它状态,可使用tracert www.baidu 命令,查看反馈的信息,了解节点的个数。如下图2—3所示
可通过网站 http://ip 查看这些节点位于何处,是哪个公司的,大致清楚本机到百度服务器之间的路径。
实作二
ping.pe 这个网站可以探测从全球主要的 ISP 到某站点如 https://www.csdn/ 的线路状态,当然也包括各线路到该主机的路由情况。请使用浏览器访问 http://ping.pe/www.csdn进行了解。
Question1: tracert 能告诉我们路径上的节点以及大致的延迟等信息,那么它背后的原理是什么?本问题可结合第二部分的 Wireshark 实验进行验证。
Question2: 在以上两个实作中,如果你留意路径中的节点,你会发现无论是访问百度还是棋歌教学网,路径中的第一跳都是相同的,甚至你应该发现似乎前几个节点都是相同的,你的解释是什么?
Question3: 在追踪过程中,你可能会看到路径中某些节点显示为 * 号,这是发生了什么?
No.4 ARP
ARP(Address Resolution Protocol)即地址解析协议, 用于实现从 IP 地址到 MAC 地址的映射,即询问目标IP对应的MAC地址。
实作一
运行 arp -a命令查看当前的 arp 缓存, 请留意缓存了些什么。
该命令返回了该局域网下所有的IP地址和对应的物理地址。
然后 ping 一下你旁边的计算机 IP(注意,需保证该计算机的 IP 没有出现在 arp 缓存中,或者使用 arp -d * 先删除全部缓存),再次查看缓存,你会发现一些改变,请作出解释。
这里旁边没有计算机所以,我ping了一下自己的虚拟机之后再查看arp -a可以发现arp缓存中多了这台计算机的IP地址和物理地址。
实作二
请使用 arp /? 命令了解该命令的各种选项。
实作三
我们将网关或其他计算机的arp信息设置为静态的优点有:便于以固定的IP地址或IP地址分组产生的流量为依据管理,可以避免用户忘记密码而进行的繁琐事务流程;缺点有:合法用户分配的地址可能被非法盗用。
NO.5 DHCP
DHCP(Dynamic Host Configuration Protocol)即动态主机配置协议,是一个用于 IP 网络的网络协议,位于 OSI 模型的应用层,使用 UDP 协议工作,主要有两个用途:
- 用于内部网或网络服务供应商自动分配 IP 地址给用户
- 用于内部网管理员对所有电脑作中央管理
简单的说,DHCP 可以让计算机自动获取/释放网络配置。
实作一
一般地,我们自动获取的网络配置信息包括:IP 地址、子网掩码、网关 IP 以及 DNS 服务器 IP 等。使用 ipconfig/release 命令释放自动获取的网络配置,并用ipconfig/renew 命令重新获取,了解 DHCP 工作过程和原理。
Question: 在Windows系统下,如果由于某种原因计算机不能获取 DHCP 服务器的配置数据,那么Windows将会根据某种算法自动配置为 169.254.x.x 这样的 IP 地址。显然,这样的 IP 以及相关的配置信息是不能让我们真正接入 Internet 的,为什么?既然不能接入 Internet,那么Winodws系统采用这样的方案有什么意义?
Answer: 原因是自动配置的IP地址和信息只是短暂性的解决计算机不能获取 DHCP 服务器的配置数据的问题,要真正的接入Internet还是得本身计算机的正确IP地址。实际意义是假如某天因 DHCP 服务器问题从而不能获得网络配置,那么我们可以查看隔壁教室计算机的配置信息来手动进行网络配置,从而使该计算机能够接入 Internet。经常的,在一个固定地方的网络配置我都喜欢采用 静态/手动配置,而不是动态 DHCP 来进行。
NO.6 netstat
无论是使用 TCP 还是 UDP,任何一个网络服务都与特定的端口(Port Number)关联在一起。因此,每个端口都对应于某个通信协议/服务。
netstat(Network Statistics)是在内核中访问网络连接状态及其相关信息的命令行程序,可以显示路由表、实际的网络连接和网络接口设备的状态信息,以及与 IP、TCP、UDP 和 ICMP 协议相关的统计数据,一般用于检验本机各端口的网络服务运行状况。
实作一
Windows 系统将一些常用的端口与服务记录在 C:\WINDOWS\system32\drivers\etc\services 文件中,请查看该文件了解常用的端口号分配。
实作二
使用 netstat -an 命令,查看计算机当前的网络连接状况。部分截图如下
NO.7 DNS
DNS(Domain Name System)即域名系统,是互联网的一项服务。它作为将域名和 IP 地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS 使用 TCP 和 UDP 的 53 号端口。
实作一
Windows 系统将一些固定的/静态的 DNS 信息记录在 C:\WINDOWS\system32\drivers\etc\hosts 文件中,如我们常用的 localhost 就对应 127.0.0.1 。请查看该文件看看有什么记录在该文件中。
实作二
解析过的 DNS 记录将会被缓存,以利于加快解析速度。请使用 ipconfig /displaydns 命令查看。我们也可以使用 ipconfig /flushdns 命令来清除所有的 DNS 缓存。
清除缓存之后再查看
实作三
使用 nslookup qige.io 命令,将使用默认的 DNS 服务器查询该域名。当然你也可以指定使用 CloudFlare(1.1.1.1)或 Google(8.8.8.8) 的全球 DNS 服务器来解析,如:nslookup qige.io 8.8.8.8,当然,由于你懂的原因,这不一定会得到正确的答案。
NO.8 cache
cache 即缓存,是 IT 领域一个重要的技术。我们此处提到的 cache 主要是浏览器缓存。
浏览器缓存是根据 HTTP 报文的缓存标识进行的,是性能优化中简单高效的一种优化方式了。一个优秀的缓存策略可以缩短网页请求资源的距离,减少延迟,并且由于缓存文件可以重复利用,还可以减少带宽,降低网络负荷。
实作一
打开 Chrome 或 Firefox 浏览器,访问 https://qige.io ,接下来敲 F12 键 或 Ctrl + Shift + I 组合键打开开发者工具,选择 Network 面板后刷新页面,你会在开发者工具底部看到加载该页面花费的时间。请进一步查看哪些文件被 cache了,哪些没有。
经过对比可以发现一些图片,js文件和txt文件被缓存了,而一些CSS文件没有
实作二
接下来仍在 Network 面板,选择 Disable cache 选项框,表明当前不使用 cache,页面数据全部来自于 Internet,刷新页面,再次在开发者工具底部查看加载该页面花费的时间。你可比对与有 cache 时的加载速度差异。
通过对比时间线可以知道,在不使用缓存技术的情况下时间线会翻倍增长,速度变慢。
——验证性实验
本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark 进行
数据链路层
实作一
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
Question: 你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
Answer:Wireshark 抓包前,在物理层网卡会去掉了一些之前几层加的东西,只保留该层需要的信息。
实作二
了解子网内/外通信时的 MAC 地址
- ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
- 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
- 再次 ping www.cqjtu.edu (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
Question
通过以上的实验,你会发现:
访问本子网的计算机时,目的 MAC 就是该主机的
访问非本子网的计算机时,目的 MAC 是网关的
请问原因是什么?
Answer:因为访问本子网的计算机时,是两台主机在进行通信,所以MAC是目标主机的。而当要访问非本子网的计算机时,首先数据首先要到达本子网的网关,再有网关进行传输,所以目的MAC是网关的。
实作三
掌握 ARP 解析过程
为防止干扰,先使用 arp -d * 命令清空 arp 缓存
ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
再次使用 arp -d * 命令清空 arp 缓存
然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
由图可以知道是网关在回应
Question:
通过以上的实验,你应该会发现,
ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
请问为什么?
Answer:
因为当没有配置缺省网关的计算机要和其他网络中的计算机实现通信时,网关收到源计算机的ARP请求会使用自己的MAC地址与目标计算机的IP地址对源计算机进行应答,访问非子网IP时是通过路由器访问的,路由器再把发出去,目标IP收到请求后,再通过路由器端口IP返回去,那么ARP解析将会得到网关的MAC。
网络层
实作一
熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
Question
为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
Answer
便于传输时的识别IP总长度,节省时间,当长度超过1500B时就会被返回链路层进行分段,从而使得效率提高。
实作二
IP 包的分段与重组
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用ping 202.202.240.16 -l 2000命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
Question
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
Answer
转发到支持该数据传输的路由上或者丢弃该数据包。
实作三
考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用tracert www.baidu命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
通过对比发现,TTL由1开始,每通过一个路由,则增加1。
Question
在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
Answer
距离50最近的2的整数次幂就是64,然后经过64-50+1=15个
15跳
传输层
实作一
熟悉 TCP 和 UDP 段结构
用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
Question
由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
Answer
端口代表着接收与收发端不同的应用程序,源端口与目的端口相连,实现两个程序之间的通信。
实作二
分析 TCP 建立和释放连接
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
第一次握手 SYN为1,ACK为0
第二次握手,SYN为1,ACK为1
第三次握手,SYN为0,ACK为1
请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
第一次握手Ack为1,FIN为1
第二次握手ACK为1,Fin为0
第三次握手ACK为1,FIN为1
第四次握手ACK为1,FIN为0
Question
去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
Answer
这属于短连接,这为了实现多个用户进行访问,对业务频率不高的场合,不让其长期占用通道。一个网页由多个部分组成,在头部的link标签中可能也有很多链接来寻找一些css或者js文件等其他文件。并行查找,加快网页展示速度。
Question
我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
Answer
服务器向客户端发送断开连接和回复同意断开连接合成一次挥手。
应用层
应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。
实作一
了解 DNS 解析
先使用
ipconfig /flushdns命令清除缓存,再使用nslookup qige.io命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
可了解一下 DNS 查询和应答的相关字段的含义
Question
你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
Answer
DNS不止一个的原因可能是DNS解析过程是先从浏览器的DNS缓存中检查是否有这个网址的映射关系,如果有,就返回IP,完成域名解析;如果没有,操作系统会先检查自己本地的hosts文件是否有这个网址的映射关系,如果有,就返回IP,完成域名解析;如果还没有,电脑就要向本地DNS服务器发起请求查询域名;本地DNS服务器拿到请求后,先检查一下自己的缓存中有没有这个地址,有的话直接返回;没有的话本地DNS服务器会从配置文件中读取根DNS服务器的地址,然后向其中一台发起请求;直到获得对应的IP为止。
实作二
了解 HTTP 的请求和应答
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
——Cisco Packet Tracer 实验
本部分实验共有 15 个,需使用 Cisco Packet Tracer 软件完成。
请大家先了解 VLSM、CIDR、RIP、OSPF、VLAN、STP、NAT 及 DHCP 等概念,以能够进行网络规划和配置。
NO.1 直接连接两台 PC 构建 LAN
将两台 PC 直接连接构成一个网络。注意:直接连接需使用交叉线。
进行两台 PC 的基本网络配置,只需要配置 IP 地址即可,然后相互 ping 通即成功。
NO.2 用交换机构建 LAN
构建如下拓扑结构的局域网:
各PC的基本网络配置如下表:
| 机器名 | IP | 子网掩码 |
|---|---|---|
| PC4 | 192.168.1.1 | 255.255.255.0 |
| PC5 | 192.168.1.2 | 255.255.255.0 |
| PC6 | 192.168.2.1 | 255.255.255.0 |
| PC7 | 192.168.2.2 | 255.255.255.0 |
Question:
- PC4 能否 ping 通 PC5、PC6、PC7 ?
可以发现PC4只能ping通PC5,PC6和PC7都无法ping通
- PC7 能否 ping 通 PC4、PC5、PC6 ?为什么?
PC7可以ping通PC6,但无法ping通PC4、PC5。因为PC6和PC7在同一子网下,PC4和PC5在另一个子网下。同一子网下主机可以相互ping通,但两不同子网的主机无法ping通。
- 将 4 台 PC 的掩码都改为 255.255.0.0 ,它们相互能 ping 通吗?为什么?
可以发现原来不能ping通的现在都可以ping通了
因为:子网掩码改为255.255.0.0后,4台主机都属于192.168.0.0/16这一子网,同一子网下任意两台主机都可以ping通。
- 使用二层交换机连接的网络需要配置网关吗?为什么?
需要。如果要对二层交换机做telnet、ssh等管理就必须要设置网关。这样跨网段访问该二层交换机的时候,交换机才会知道如何转发数据包(在二层交换机中,配置网关尤为重要,因为其与相连的自治系统可以向核心系统通告可达信息)。
NO.3 交换机接口地址列表
二层交换机是一种即插即用的多接口设备,它对于收到的帧有 3 种处理方式:广播、转发和丢弃(请弄清楚何时进行何种操作)。那么,要转发成功,则交换机中必须要有接口地址列表即 MAC 表,该表是交换机通过学习自动得到的!
仍然构建上图的拓扑结构,并配置各计算机的 IP 在同一个一个子网,使用工具栏中的放大镜点击某交换机如左边的 Switch3,选择 MAC Table,可以看到最初交换机的 MAC 表是空的,也即它不知道该怎样转发帧(那么它将如何处理?),用 PC0 访问(ping)PC1 后,再查看该交换机的 MAC 表,现在有相应的记录,请思考如何得来。随着网络通信的增加,各交换机都将生成自己完整的 MAC 表,此时交换机的交换速度就是最快的!
初始交换机mac表
PC4去ping PC5之后再查看这个mac表
理由:由于MAC Table刚搭建好时还没有通信,所以初始表是空的,在有ping命令后,它将进行ARP广播,收到某端口的应答之后即可知道该帧的目的MAC,并将其存入表中。所以在PC0 ping通 PC1后,交换机的MAC表就会有与之相应的记录
NO.4 生成树协议
交换机在目的地址未知或接收到广播帧时是要进行广播的。如果交换机之间存在回路/环路,那么就会产生广播循环风暴,从而严重影响网络性能。
而交换机中运行的 STP 协议能避免交换机之间发生广播循环风暴。
只使用交换机,构建如下拓扑:
这是初始时的状态。我们可以看到交换机之间有回路,这会造成广播帧循环传送即形成广播风暴,严重影响网络性能。
随后,交换机将自动通过生成树协议(STP)对多余的线路进行自动阻塞(Blocking),以形成一棵以 Switch2 为根(具体哪个是根交换机有相关的策略)的具有唯一路径树即生成树!
经过一段时间,随着 STP 协议成功构建了生成树后,Switch3 的两个接口当前物理上是连接的,但逻辑上是不通的,处于Blocking状态(桔色)如下图所示:
在网络运行期间,假设某个时候 Switch2 与 Switch3 之间的物理连接出现问题(将 Switch2 与 Switch3 的连线剪掉),则该生成树将自动发生变化。只有最上方那个接口仍处于 Blocking 状态(桔色)。如下图所示:
注:交换机的 STP 协议即生成树协议始终自动保证交换机之间不会出现回路,从而形成广播风暴。
NO.5 路由器配置初步
我们模拟重庆交通大学和重庆大学两个学校的连接,构建如下拓扑:
路由器的每个接口下至少是一个子网,图中我们简单的规划了 3 个子网:
左边路由器是交通大学的,其下使用交换机连接交通大学的网络,分配网络号 192.168.1.0/24,该路由器接口也是交通大学网络的网关,分配 IP 为 192.168.1.1
右边路由器是重庆大学的,其下使用交换机连接重庆大学的网络,分配网络号 192.168.3.0/24,该路由器接口也是重庆大学网络的网关,分配 IP 为 192.168.3.1
两个路由器之间使用广域网接口相连,也是一个子网,分配网络号 192.168.2.0/24
比如交通大学路由器的初步配置可以如下:
拓扑图中路由器各接口配置数据如下:
| 接口名 | IP | 子网掩码 |
|---|---|---|
| 交通大学 Router0 以太网口 | 192.168.1.1 | 255.255.255.0 |
| 交通大学 Router0 广域网口 | 192.168.2.1 | 255.255.255.0 |
| 重庆大学 Router1 以太网口 | 192.168.3.1 | 255.255.255.0 |
| 重庆大学 Router1 广域网口 | 192.168.2.2 | 255.255.255.0 |
拓扑图中各 PC 配置数据如下:
| 节点名 | IP | 子网掩码 | 网关 |
|---|---|---|---|
| 交通大学 PC0 | 192.168.1.2 | 255.255.255.0 | 192.168.1.1 |
| 交通大学 PC1 | 192.168.2.3 | 255.255.255.0 | 192.168.1.1 |
| 重庆大学 PC2 | 192.168.3.2 | 255.255.255.0 | 192.168.3.1 |
| 重庆大学 PC3 | 192.168.3.3 | 255.255.255.0 | 192.168.3.1 |
交通大学以太网口配置:
交通大学广域网口配置:
重庆大学以太网口配置:
Question
现在交通大学内的各 PC 及网关相互能 ping 通,重庆大学也类似。但不能从交大的 PC ping 通重大的 PC,反之亦然,也即不能跨子网。为什么?
Answer
因为没有配置静态路由,路由表尚未构建。
NO.6 静态路由
交通大学路由器静态路由配置
重庆大学路由器静态路由配置:
NO.7 动态路由
动态路由协议采用自适应路由算法,能够根据网络拓扑的变化而重新计算机最佳路由。
直接关闭路由器电源。相当于没有保存任何配置,然后各接口再按照前面基本配置所述重新配置 IP 等参数(推荐此方法,可以再熟悉一下接口的配置命令);
使用 no 命令清除静态路由。在全局配置模式下,交通大学路由器使用:no ip route 192.168.3.0 255.255.255.0 192.168.2.2,重庆大学路由器使用:no ip route 192.168.1.0 255.255.255.0 192.168.2.1 。相当于使用 no 命令把刚才配置的静态路由命令给取消。
交通大学路由器 RIP 路由配置:
重庆大学路由器 RIP 路由配置:
NO.8 动态路由 OSPF
OSPF(Open Shortest Path First 开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称 IGP), 用于在单一自治系统(Autonomous System,AS)内决策路由。OSPF 性能优于 RIP,是当前域内路由广泛使用的路由协议。
同样的,我们需要把刚才配置的 RIP 路由先清除掉。
清除 RIP 路由配置:
直接关闭路由器电源。相当于没有保存任何配置,然后各接口再按照前面基本配置所述重新配置 IP 等参数
使用 no 命令清除 RIP 路由。在全局配置模式下,各路由器都使用:no router rip 命令进行清除
交通大学路由器 OSPF 路由配置:
NO.9 基于端口的网络地址翻译 PAT
网络地址转换(NAT,Network Address Translation)被各个 Internet 服务商即 ISP 广泛应用于它们的网络中,也包括 WiFi 网络。 原因很简单,NAT 不仅完美地解决了 lP 地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT 的实现方式一般有三种:
静态转换: Static NAT
动态转换: Dynamic NAT
端口多路复用: OverLoad
端口多路复用使用最多也最灵活。OverLoad 是指不仅改变发向 Internet 数据包的源 IP 地址,同时还改变其源端口,即进行了端口地址转换(PAT,Port Address Translation)。
采用端口多路复用方式,内部网络的所有主机均可共享一个合法外部 IP 地址实现对 Internet 的访问,从而可以最大限度地节约IP地址资源。 同时,又可隐藏网络内部的所有主机,有效避免来自 Internet 的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
我们仍然使用重庆交通大学和重庆大学两个学校的拓扑进行 PAT 实验。我们需要保证两个学校的路由已经配置成功,无论使用静态路由还是动态路由,以下我们给出完整的配置过程:设定这两个学校的路由器使用 OSPF 协议,模拟交通大学使用内部 IP 地址(192.168.1.0/24),模拟重庆大学使用外部 IP 地址(8.8.8.0/24),两个路由器之间使用外部 IP 地址(202.202.240.0/24),在交通大学的出口位置即广域网口实施 PAT。
拓扑图中各 PC 配置数据如下:
| 节点名 | IP | 子网掩码 | 网关 |
|---|---|---|---|
| 交通大学 PC0 | 192.168.1.2 | 255.255.255.0 | 192.168.1.1 |
| 交通大学 PC1 | 192.168.2.3 | 255.255.255.0 | 192.168.1.1 |
| 重庆大学 PC2 | 8.8.8.2 | 255.255.255.0 | 8.8.8.1 |
| 重庆大学 PC3 | 8.8.8.3 | 255.255.255.0 | 8.8.8.1 |
请留意重庆大学两个 PC 的网络配置发生改变,我们模拟为外部/公网 IP 地址!
拓扑图中路由器各接口配置数据如下:
| 接口名 | IP | 子网掩码 |
|---|---|---|
| 交通大学 Router0 以太网口 | 192.168.1.1 | 255.255.255.0 |
| 交通大学 Router0 广域网口 | 202.202.240.1 | 255.255.255.0 |
| 重庆大学 Router1 以太网口 | 8.8.8.1 | 255.255.255.0 |
| 重庆大学 Router1 广域网口 | 202.202.240.2 | 255.255.255.0 |
交通大学路由器接口配置如下:
以太网口:
重庆大学路由器接口配置如下:
以太网口:
交通大学路由器 OSPF 路由配置:
重庆大学路由器 OSPF 路由配置:
NO.10 虚拟局域网 VLAN
在实际网络中(如),你可看到路由器一般位于网络的边界,而内部几乎全部使用交换机连接。
前面我们分析过,交换机连接的是同一个子网! 显然,在这样一个大型规模的子网中进行广播甚至产生广播风暴将严重影响网络性能甚至瘫痪。
另外我们也已经知道,其实学校是划分了 N 多个子网的,那么这些交换机连接的就绝不是一个子网!这样矛盾的事情该如何解释呢?我们实际上使用了支持 VLAN 的交换机!而前述的交换机只是普通的 2 层交换机(或者我们把它当作 2 层交换机在使用。
VLAN(Virtual Local Area Network)即虚拟局域网。通过划分 VLAN,我们可以把一个物理网络划分为多个逻辑网段即多个子网。
划分 VLAN 后可以杜绝网络广播风暴,增强网络的安全性,便于进行统一管理等。
在 CPT 中构建如下图所示拓扑:
交换机 VLAN 配置:
各 VLAN 下 PC 的网络配置及连接的交换机接口如下表:
| 机器名 | 连接的接口名 | 所属VLAN | IP | 子网掩码 | 网关 |
|---|---|---|---|---|---|
| PC0 | F0/1 | VLAN10 | 192.168.0.2 | 255.255.255.0 | 192.168.0.1 |
| PC1 | F0/2 | VLAN10 | 192.168.0.3 | 255.255.255.0 | 192.168.0.1 |
| PC2 | F0/17 | VLAN30 | 192.168.2.2 | 255.255.255.0 | 192.168.2.1 |
| PC3 | F0/9 | VLAN20 | 192.168.1.2 | 255.255.255.0 | 192.168.1.1 |
| PC4 | F0/10 | VLAN20 | 192.168.1.3 | 255.255.255.0 | 192.168.1.1 |
| PC5 | F0/18 | VLAN30 | 192.168.2.3 | 255.255.255.0 | 192.168.2.1 |
| PC6 | F0/19 | VLAN30 | 192.168.2.4 | 255.255.255.0 | 192.168.2.1 |
此时可以使用 ping 命令进行测试,你会发现只有在同一 VLAN 中的 PC 才能通信,且广播也局限于该 VLAN。
分析一下当前为何不同 VLAN 中的 PC 不能通信?网关在此起什么作用?我们的网关又在何处?如何发起广播测试?
①VLAN可以分割网络,因此不能通信;
②VLAN只是数据链路层的协议,划分广播域,从而不需要考虑IP;
③网关是进行协议转换的,通信一定需要通过网关;
④若要发起广播测试,要引入三层设备。
NO.11 虚拟局域网管理 VTP
前一个实验我们在交换机上进行了 VLAN 的规划和划分。但在实际应用中,我们绝不允许在这些支持VLAN的交换机上进行随意的 VLAN 划分,如此将造成管理混乱!VLAN的划分必须得到统一的规划和管理,这就需要 VTP 协议。
VTP(VLAN Trunk Protocol)即 VLAN 中继协议。VTP 通过 ISL 帧或 Cisco 私有 DTP 帧(可查阅相关资料了解)保持 VLAN 配置统一性,也被称为虚拟局域网干道协议,它是思科私有协议。 VTP 统一管理、增加、删除、调整VLAN,自动地将信息向网络中其它的交换机广播。
此外,VTP 减小了那些可能导致安全问题的配置,只要在 VTP Server 做相应设置,VTP Client 会自动学习 VTP Server 上的 VLAN 信息。
为演示 VTP,重新构建如下拓扑结构:
🗣 注意:
作为干线,两个 2960 交换机和核心的 3560 交换机应该使用 Gbit 口相连。这虽然不是必须,但现实中这样连接性能最好。
3560 交换机是网络中的核心交换机,我们将其作为 VTP Server,VTP 域及 VLAN 将在其上创建和管理。
两个 2960 交换机是是局域网中的汇聚层/接入层交换机,将作为 VTP Client,可决定加入的 VTP 域和 VLAN。
目前该网络都属于 VLAN 1,也即这些 PC 是可以相互通信的。前面说过,无论对于性能、管理还是安全等而言,现实中我们必须进行 VLAN 划分。
现在我们的要求是:新建两个 VLAN,然后让 PC0 和 PC1 属于 VLAN 2,PC1 和 PC3 属于 VLAN 3。
我们将在核心交换机 3560上进行如下工作:
1.设置为 server 模式,VTP 域为 cqjtu
2.新建 VLAN 2,网络号 192.168.1.0/24,网关 192.168.1.1
3.新建 VLAN 3,网络号 192.168.2.0/24,网关 192.168.2.1
3560 VTP Server 配置:
我们将在左边交换机 2960A 上进行如下工作:
加入名为 cqjtu 的 VTP 域
配置与核心交换机 3560 连接的千兆接口 g0/1 为 trunk 模式
将接口 f0/1 划分到 VLAN 2 中
将接口 f0/2 划分到 VLAN 3 中
2960A(左边) VTP Client 配置:
我们将在右边交换机 2960B 上进行同样的工作:
加入名为 cqjtu VTP 域
配置与核心交换机 3560 连接的千兆接口 g0/1 为 trunk 模式
将接口 f0/1 划分到 VLAN 2 中
将接口 f0/2 划分到 VLAN 3 中
2960B(右边) VTP Client 配置:
此时在 3 个交换机的特权模式下,都可使用show vtp status命令查看 VTP 状态,使用show vlan命令查看 VLAN 状态
各 PC 连接的交换机和接口以及网络配置如下:
| 机器名 | 连接的交换机和接口 | 所属VLAN | IP | 子网掩码 | 网关 |
|---|---|---|---|---|---|
| PC0 | 2960A-F0/1 | VLAN2 | 192.168.1.2 | 255.255.255.0 | 192.168.1.1 |
| PC1 | 2960A-F0/2 | VLAN3 | 192.168.2.2 | 255.255.255.0 | 192.168.2.1 |
| PC2 | 2960B-F0/1 | VLAN2 | 192.168.1.3 | 255.255.255.0 | 192.168.1.1 |
| PC3 | 2960B-F0/2 | VLAN3 | 192.168.2.3 | 255.255.255.0 | 192.168.2.1 |
至此,VTP 配置完成。同 VLAN 可以 ping 通,而不同 VLAN 不行(即使在同一交换机下,如从 PC0 到 PC1),且能够方便的统一规划和管理。
NO.12 VLAN 间的通信
VTP 只是给我们划分和管理 VLAN 提供了方便,由上面的测试得知,目前我们仍然不能在 VLAN 间通信。
因为默认的,VLAN 间是不允许进行通信,此时我们需要所谓的独臂路由器在 VLAN 间为其进行转发!
我们使用的核心交换机 3560 是个 3 层交换机,可工作在网络层,也称路由交换机,即具有路由功能,能进行这种转发操作。
NO.13 DHCP、DNS及Web服务器简单配置
动态主机配置 DHCP、域名解析 DNS 以及 Web 服务在日常应用中作用巨大,我们构建如下简单的拓扑来进行练习。
| 机器名 | 配置项目 | 说明 |
|---|---|---|
| Server | HTTP | 开启即可 |
| Server | DNS | 19.89.6.4:www.google、www.baidu |
| Server | DHCP | 地址池开始地址:19.89.6.10/24,并返回DNS地址 |
| PC | 网络配置 | 自动获取 |
先查看各 PC,看看是否获得网络配置
因为我们在 DNS 服务器中把谷歌和百度的 IP 都设为了 19.89.6.4,即 Server-PT,所以,如果打开 PC0 的浏览器,输入 www.google 或者 www.baidu,我们都应该看到默认的 Server-PT 这个 Web 服务器的主页(你也可进行编辑)
NO.14WLAN初步配置
本文标签: 网络
版权声明:本文标题:计算计网络综合实验 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1727879295a1135408.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论