网络工程与系统集成实验报告.docx
- 文档编号:25756717
- 上传时间:2023-06-12
- 格式:DOCX
- 页数:25
- 大小:1.45MB
网络工程与系统集成实验报告.docx
《网络工程与系统集成实验报告.docx》由会员分享,可在线阅读,更多相关《网络工程与系统集成实验报告.docx(25页珍藏版)》请在冰豆网上搜索。
网络工程与系统集成实验报告
网络工程与系统集成实验报告
实验一VoiceVLAN配置
一.实验目的
1.根据实验要求的物理拓扑结构连接局域网
2.根据实验要求的创建VoiceVLAN,并将用户的IP电话划分到指定的VoiceVLAN中
3.根据要求设置语音服务器参数
4.根据要求设置DHCP服务。
二.实验内容
1.将交换机所连接IPPhone的接口加入viocevlan中
2.配置DHCP,为IPPhone动态分配地址
3.配置路由器的电话服务功能,并配置一些参数
4.配置IP电话号码
5.验证IP语音服务
三.实验原理、方法和手段
1.IP电话的工作原理
与其他网络设备一样,IP电话也需要IP地址才能在网络中正常通信。
IP电话获取IP
地址的方式有两种:
通过DHCP自动获取,通过用户手工配置
在自动获取IP地址时,IP电话还可以向DHCP服务器同时请求VoiceVLAN信息,如果
DHCP服务器返回了VoiceVLAN信息,IP电话就可以直接发送携带有VoiceVLANTag
的语音流(以下简称tagged语音流);如果DHCP服务器没有返回VoiceVLAN信息,IP
电话就只能发送不带VLANTag的语音流(以下简称untagged语音流)。
同样,在用户在IP电话上手工设置IP地址时,也可以设置或不设置VoiceVLAN信息,
IP电话会根据用户的配置发出tagged/untagged语音流。
2.IP电话自动获取IP地址的过程
第一步:
IP电话发送不带VLANTag的DHCP请求,并在该请求中携带Option184信息,
即请求软件下载服务器(也称为NCP,NetworkCallProcessor)地址以及VoiceVLAN
信息。
第二步:
DHCPserver1收到该请求后,将根据自身的配置为IP电话分配IP地址,同
时回复VoiceVLAN、软件下载服务器地址及其他Option184选项信息。
第三步:
IP电话向软件下载服务器发出下载申请。
第四步:
软件下载服务器响应IP电话的下载请求,向IP电话发送软件。
第五步:
软件下载完成后,IP电话将通知DHCPserver1,释放第一次获取的IP地址。
第六步:
IP电话利用从DHCPserver1获取的VoiceVLAN信息,重新构造DHCP请求报
文,并为该报文封装VoiceVLAN的标签,在VoiceVLAN内进行广播。
第七步:
位于VoiceVLAN内的DHCPserver2收到该请求后,根据自己的地址池配置,
为IP电话分配新的IP地址。
第八步:
IP电话使用新的IP地址与语音网关进行注册,开始语音通信过程。
3.各类型端口与发送tagged语音流的IP电话配合
IP电话发送tagged语音流需要具备的条件是该电话已经通过自动获取或手工配置的方
式得到了VoiceVLAN信息,针对这种情况,不同类型的端口需要进行相应的配置,才
能使语音报文能够在VoiceVLAN中正常传输,同时不影响交换机对普通业务报文的转
发处理。
4.各类型端口与发送untagged语音流的IP电话配合
IP电话在以下两种情况下会发送/接收untagged语音流:
自动获取IP地址,但没有获取到VoiceVLAN信息
手工配置IP地址,但没有配置VoiceVLAN信息
四.实验组织运行要求
1.学生在实验前,请先对实验中的常用网络命令的功能和使用方法进行预习,并在预
习报告中给出这些信息。
2.实验过程中,请记录每条命令使用后的显示信息,并在实验报告中对这些信息进行
说明和解释。
五.实验条件
1.以太网环境
2.思科Catalyst3560、2960交换机
3.思科7960IP电话
六.实验步骤
Step1:
连接如图所示的网络环境
Step2:
将交换机所连接IPPhone的接口加入viocevlan中
Switch#conft
Switch(config)#interfacerangef0/1–3
Switch(config‐if‐range)#switchportvoicevlan1
Step3:
配置DHCP,为IPPhone动态分配地址
Router(config)#ipdhcppool
Router(dhcp‐config)#network192.168.1.0255.255.255.0
Router(dhcp‐config)#default‐router192.168.1.1
Router(dhcp‐config)#option150ip192.168.1.1
Step4:
配置路由器的电话服务功能,并配置相应参数
Router(config)#telephony‐service
Router(config‐telephony)#autoassign1to5
Router(config‐telephony)#max‐ephones5
Router(config‐telephony)#max‐dn5
Router(config‐telephony)#ipsource‐address192.168.1.1port2000
Step5:
配置IP电话号码
Router(config)#ephone‐dn1
Router(config‐ephone‐dn)#number84401160
Router(config)#ephone‐dn2
Router(config‐ephone‐dn)#number84401161
Step6:
验证IPPhone已从路由器上获取到IP地址和电话号码
Step7:
验证IPPhone之间的语音服务是否可用
七.实验结果
八.思考题
1.如何对数据服务和语音服务提供合适的QoS?
QoS旨在针对各种应用的不同需求,为其提供不同的服务质量。
如:
可以限制骨干网上FTP使用的带宽,也可以给数据库访问以较高优先级。
对于ISP,其用户可能传送语音、视频或其他实时业务,QoS使ISP能区分这些不同的报文,并提供不同服务。
可以为时间敏感的多媒体业务提供带宽和低时延保证,而其他业务在使用网络时,也不会影响这些时间敏感的业务。
2.配合了VoiceVLAN的交换机如何处理来自用户的tagged帧?
1、下面是定义的各种端口类型对各种数据帧的处理方法;
in=进交换器 out=出交换机
2、所谓的UntaggedPort和taggedPort不是讲述物理端口的状态,而是将是物理端口所拥有的某一个VID的状态,所以一个物理端口可以在某一个VID上是UntaggedPort,在另一个VID上是taggedPort;
3、一个物理端口只能拥有一个PVID,当一个物理端口拥有了一个PVID的时候,必定会拥有和PVID的TAG等同的VID,而且在这个VID上,这个物理端口必定是UntaggedPort;4、PVID的作用只是在交换机从外部接受到可以接受Untagged数据帧的时候给数据帧添加TAG标记用的,在交换机内部转发数据的时候PVID不起任何作用;
5、拥有和TAG标记一致的VID的物理端口,不论是否在这个VID上是UntaggedPort或者taggedPort,都可以接受来自交换机内部的标记了这个TAG标记的tagged数据帧;
6、拥有和TAG标记一致的VID的物理端口,只有在这个VID上是taggedPort,才可以接受来自交换机外部的标记了这个TAG标记的tagged数据帧;
实验二PPP协议配置
一.实验目的
1.根据实验要求的拓扑结构,利用路由器及交换机连接成网络
2.正确配置路由器接口参数,包括设置IP地址和PPP协议的绑定
3.掌握PPP中PAP验证的配置方法
4.掌握PPP中CHAP验证的配置方法
二.实验内容
1.配置PPP协议的封装
2.配置PAP验证方式
3.配置CHAP验证方式
三.实验原理、方法和手段
PPP协议是目前广域网上应用最广泛的数据链路层协议之一,它的优点在于结构简单、具备用户验证能力、可以解决IP分配等。
PPP在经过多年的发现和扩充后,已成为一个功能相当完备,而且涵盖了许多其它协议的庞大协议系统。
PPP在串行线路中对上层数据包进行封装,用于建立、配置和检测数据链路连接的链路控制协议(LCP)以及不同网络层协议的网络控制协议(NCP)协议簇。
PPP封装用于消除上层多种协议数据包的歧义,加入帧头、帧尾,使之成为互相独立的串行数据帧——PPP帧。
四.实验组织运行要求
1.学生在实验前,请先对实验中的常用网络命令的功能和使用方法进行预习,并在预
习报告中给出这些信息。
2.实验过程中,请记录每条命令使用后的显示信息,并在实验报告中对这些信息进行
说明和解释。
五.实验条件
1.局域网环境
2.思科2811路由器/华为3ComAR2811路由器
六.实验步骤
Step1:
为思科2811路由器增加WIC‐2T接口模块,并完成路由器之间的串行线路连接
Step2:
设置串行口封装的链路层协议为PPP,配置IP参数并启动接口(注意DCE端clock
rate的设置)
Step3:
配置PAP验证方式,设定路由器的主验证和被验证角色
Step4:
PAP主验证端在全局配置模式下创建用户帐号,在串行口模式下设置PPP验证
方式为PAP
Step5:
PAP被验证端在串行口模式下设置PAP发送的用户帐号信息
Step6:
重起串行口,测试PAP验证的有效性
Step7:
关闭PAP验证方式,配置CHAP验证方式,设定路由器的主验证和被验证角色
Step8:
设置验证双方路由器的hostname,用于确定在对端路由器中的账号
Step9:
CHAP主验证端在串行口模式下设置PPP验证方式为CHAP
Step10:
两端路由器在全局模式下,为对端路由器增加账号信息
Step11:
重新其中一台路由器的串行口,测试CHAP的有效性
配置示例1(PAP验证,假设主验证端为DCE)
被验证端:
Router0#configterminal
Router0(config)#interfacese0/3/0
Router0(config‐if)#encapsulationppp
Router0(config‐if)#ppppapsent‐usernamejulychangpassword123456
Router0(config‐if)#noshutdown
主验证端:
Router1#configterminal
Router1(config)#usernamejulychangpassword123456
Router1(config)#interfacese0/3/0
Router1(config‐if)#clockrate56000
Router1(config‐if)#encapsulationppp
Router1(config‐if)#pppauthenticationpap
Router1(config‐if)#noshutdown
配置示例2(CHAP验证,假设主验证端为DCE)
被验证端:
Router0#configterminal
Router0(config)#hostnameSlave
Slave(config)#usernameMasterpassword123456
Slave(config)#interfacese0/3/0
Slave(config‐if)#encapsulationppp
Slave(config‐if)#noshutdown
主验证端:
Router1#configterminal
Router1(config)#hostnameMaster
Master(config)#usernameMasterpassword123456
Master(config)#interfacese0/3/0
Master(config‐if)#clockrate56000
Master(config‐if)#encapsulationppp
Master(config‐if)#pppauthenticationchap
Master(config‐if)#noshutdown
七.实验结果
PPP帧配置
结果查看界面
发送数据界面
八.思考题
1.PPP的验证过程发生在链路协议协商的什么阶段?
ppp链路建立的过程分为三个阶段:
创建阶段、认证阶段和网络协商阶段。
PPP的验证过程发生在认证阶段。
2.在CHAP方式中,为什么双方在对端的账号密码必须一致?
必须一致,被认证端在进行CHAP认证时,需要根据主仁政端发来的用户名查找相应的密码来对随机报文进行加密。
实验三防火墙配置
一.实验目的
1.根据实验要求的拓扑结构,利用路由器及交换机连接成网络
2.根据要求对数据流进行分类,并配置相应的ACL
3.选择最佳部署位置的路由器,开启基于包过滤的防火墙功能
4.将ACL绑定到正确接口,并指定其作用于接口的正确队列
二.实验内容
1.创建标准访问控制列表
2.创建扩展访问控制列表
3.将ACL绑定到路由器的接口
三.实验原理、方法和手段
建立用户和修改密码跟CiscoIOS路由器基本一样。
激活以太端口必须用enable进入,然后进入configure模式
PIX525>enable
Password:
PIX525#configt
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1auto
在默认情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,
inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
采用命令nameif
PIX525(config)#nameifethernet0outsidesecurity0
security100
security0是外部端口outside的安全级别(100安全级别最高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(DemilitarizedZones非武装区域)。
采用命令为:
ipaddress
如:
内部网络为:
192.168.1.0255.255.255.0
外部网络为:
222.20.16.0255.255.255.0
PIX525(config)#ipaddressinside192.168.1.1255.255.255.0
PIX525(config)#ipaddressoutside222.20.16.1255.255.255.0
在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。
Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet192.168.1.1255.255.255.0inside
PIX525(config)#telnet222.20.16.1255.255.255.0outside
测试telnet
在[开始]->[运行]
telnet192.168.1.1
PIXpasswd:
输入密码:
cisco
此功能与CiscoIOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:
只允许访问主机:
222.20.16.254的www,端口为:
80
PIX525(config)#access-list100permitipanyhost222.20.16.254eqwww
denyipanyany
PIX525(config)#access-group100ininterfaceoutside
NAT跟路由器基本是一样的,
首先必须定义IPPool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
PIX525(config)#nat(outside)1192.168.0.0255.255.255.0
如果是内部全部地址都可以转换出去则:
PIX525(config)#nat(outside)10.0.0.00.0.0.0
则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。
配置如下:
PIX525(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
PIX525(config)#global(outside)1222.20.16.201netmask
255.255.255.0
PIX525(config)#nat(outside)10.0.0.00.0.0.0
在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCPServer),CiscoFirewallPIX都具有这种功能,下面简单配置DHCPServer,地址段为192.168.1.100—192.168.1.200
DNS:
主202.96.128.68备202.96.144.47
主域名称:
DHCPClient通过PIXFirewall
PIX525(config)#ipaddressdhcp
DHCPServer配置
PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcpdns202.96.128.68202.96.144.47
PIX525(config)#dhcpdomain
静态端口重定向(PortRedirectionwithStatics)
在PIX版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过FirewallPIX
传输到内部指定的内部服务器。
这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!
----外部用户直接访问地址222.20.16.99
telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。
PIX525(config)#static(inside,outside)tcp222.20.16.99
telnet192.168.1.99telnetnetmask255.255.255.25500
!
----外部用户直接访问地址222.20.16.99
FTP,通过PIX重定向到内部192.168.1.3的FTPServer。
PIX525(config)#static(inside,outside)tcp222.20.16.99
ftp192.168.1.3ftpnetmask255.255.255.25500
!
----外部用户直接访问地址222.20.16.208
www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。
www192.168.1.2wwwnetmask255.255.255.25500
!
----外部用户直接访问地址222.20.16.201
HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
8080192.168.1.4wwwnetmask255.255.255.25500
!
----外部用户直接访问地址222.20.16.5
smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
smtp192.168.1.4smtpnetmask255.255.255.25500
显示命令showconfig
保存命令writememory
四.实验组织运行要求
1.学生在实验前,请先对实验中的常用网络命令的功能和使用方法进行预习,并在预
习报告中给出这些信息。
2.实验过程中,请记录每条命令使用后的显示信息,并在实验报告中对这些信息进行
说明和解释。
五.实验条件
1.以太网环境
2.思科2811路由器
3.计算机及服务器
六.实验步骤
Step1:
创建标准ACL,拒绝来自某IP子网的所有分组
配置示例:
Router0#configterminal
Router0(confg)#access‐list1deny192.168.1.00.0.0.255
Router0(config)#access‐list1permitany
Step2:
创建扩展ACL,拒绝来自某套接字的分组
配置示例:
Router0#configterminal
Router0(config)#access‐list100denytcp192.168.1.100.0.0.0192.168.2.100.0.0.0eqwww
Router0(config)#
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络工程 系统集成 实验 报告