试验1IPv6与IPv4的双协议栈通信

实验1 IPv6与IPv4的双协议栈通信
1.1 实验目的
理解双栈技术是IPv4向IPv6过渡的基础，所有其它的过渡技术都以此为基础。

掌握实验环境中双协议栈的配置。

1.2 应用环境
1. 双协议栈方案的工作方式
双协议栈方案的工作方式如下：
（1）如果应用程序使用的目的地址是IPv4地址，则使用IPv4协议。

（2）如果应用程序使用的目的地址是IPv6中的IPv4兼容地址，则同样使用IPv4协议，所不同的是，此时IPv6就封装（encapsulated）在IPv4当中。

（3）如果应用程序使用的目的地址是一个非IPv4兼容的IPv6地址，那么此时将使用IPv6协议，而且很可能此时要采用隧道等机制来进行路由、传送。

（4）如果应用程序使用域名来作为目标地址，那么此时先要从DNS服务器那里得到相应的IPv4/IPv6地址，然后根据地址的情况进行相应的处理。

对目前的环境来说，要实现纯粹IPv6的路由是很困难的，因此，人们一般采用IPv6 over IPv4 的点对点隧道技术。

将IPv6分组打包，放入IPv4分组的数据区，加上IPv4的报头，在IPv4互联网世界中进行路由，到达目的地后再把数据区中的IPv6分组取出来作相应的处理，该继续路由的路由，该收发的收发。

这样，就可以实现"双协议栈"的过渡方案。

最后，对于实现IPv6协议栈，尽管在细节上，IPv6和IPv4有很大的不同，但是从原理和它们在网络体系结构中的位置来看，是相当的一致的。

这些一致使得开发人员只需要很小的付出就可以实现从IPv4到IPv6协议栈的转换。

2. 双栈节点工作模式
IPv6过渡技术——IPv6/IPv4双栈技术：
双栈节点具有三种工作模式：
（1）只运行IPv6协议，表现为IPv6节点；
（2）只运行IPv4协议，表现为IPv4节点；
（3）双栈模式，同时打开IPv6和IPv4协议
1.3 实验设备
锐捷S3760一台
Consle线缆1根
1.4 实验双栈节点示意图
图1-1 双栈节点示意图
1.5 实验要求
采用IPv6/IPv4双协议栈是主要的过度机制，支持双协议栈的主机其IP层将既支持IPv4又支持IPv6。

对网络中端来说，双协议栈是保证能对IPv4和IPv6同时进行访问的关键。

实现IPv6节点与IPv4节点互通的最直接的方式是使IPv6节点同时支持IPv4协议栈。

"IPv6/IPv4节点"是具有双协议栈的节点，这个节点既可以收发IPv4数据包，也可以收发IPv6数据报。

在实践当中，最典型的是IETF提出的叫"双协议栈"的方案。

需要提前说明的是，双协议栈技术并不具备创建隧道的能力；但是，后面提到的创建隧道的能力则必须要求有双协议栈技术的支持。

双栈节点与IPv4节点通讯时使用IPv4协议栈，与IPv6节点通讯时使用IPv6协议栈。

网络中的节点同时支持IPv4和IPv6协议栈，源节点根据目的节点的不同选用不同的协议栈，而网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。

1.6 实验步骤
S3760(config)#interface f 0/1
S3760(config-if)#ipv6 enable
S3760(config-if)#no switchport
S3760(config-if )#ip address 172.16.3.1
S3760(config-if )#ipv6 address 1::1/64
S3760(config-if)#no ipv6 nd suppress-ra
1.7 注意事项
双栈节点与IPv4节点通讯时使用IPv4协议栈，与IPv6节点通讯时使用IPv6协议栈。

网络中的节点同时支持IPv4和IPv6协议栈，源节点根据目的节点的不同选用不同的协议栈，而网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。

双栈可以在一个单一的设备上实现，也可以是一个双栈骨干网。

对于双栈骨干网，其中的所有设备必须同时支持IPv4/IPv6协议栈，连接双栈网络的接口必须同时配置IPv4地址和IPv6地址。

1.8 思考
（1）了解双协议栈的目的？
（2）了解双协议栈配置环境？
实验2 利用三层交换机实现不同VLAN间的通信
2.1 实验目的
了解VLAN原理，学会使用交换机设备进行VLAN的划分；
了解交换机接口的TRUNK模式和ACCESS模式，掌握跨交换机相同VLAN间通信的调试方式；
理解不同VLAN之间通信的原理和实现方法。

2.2 应用环境
某公司软件部的IP地址段是192.168.100.0/24，网络部的IP地址段是192.168.200.0/24，为了保证它们之间的数据互不干扰，也不影响各自的通信效率，网络管理员划分了VLAN，使两个部门的计算机属于不同的VLAN。

两个部门有时候也需要相互通信，选择三层交换机实现不同VLAN间的通信。

三层交换机可以通过SVI接口（switch virtual interfaces）来进行VLAN之间的IP路由。

2.3 实验设备
S2126 1台
S3760 1台
直连线3条
计算机3台
2.4 实验拓扑
实验拓扑图如图2-1所示。

图2-1利用三层交换机实现不同VLAN 间的通信
2.5 实验要求
（1）按照图2-1连接网络；在交换机划分VLAN ，交换机接口成员信息如表2-1所示。

表2-1 交换机接口成员信息
（2）设置三层交换机实现不同VLAN 间的通信。

（3）PC1-PC3的网络设置见表2-2。

表2-2 PC 机网络设置信息
2.6 实验步骤
（1）根据表2-1，在交换机SwitchA 和SwitchB 上分别划分基于接口的VLAN ，并将相应接口加入VLAN 。

（2）把交换机SwitchA 与SwitchB 相连的接口（F0/24）定义为TRUNK 模式。

（3）根据表2-2设置PC1-PC3的网络信息。

使用ping 命令验证VLAN1和VLAN2之间的联通性。

（4）设置三层交换机实现不同VLAN 间的通信。

SwitchA(config)#inerface vlan 100 ！创建虚拟接口vlan100 SwitchA(config-if)#ip address 192.168.100.254 255.255.255.0
！配置虚拟接口vlan 100的地址为
SwitchA PC1
PC3
F0/24
VLAN 200
F0/24
VLAN 100
PC2
F0/5
F0/15 VLAN 100
F0/5
SwitchB
192.168.100.254
SwitchA(config-if)#no shutdown ！开启端口
SwitchA(config-if)#exit
SwitchA(config)#interface vlan 200 ！创建虚拟接口vlan200
SwitchA(config-if)#ip address 192.168.200.254 255.255.255.0
！配置虚拟接口vlan 200的地址为
192.168.200.254
SwitchA(config-if)#no shutdown ！开启端口
（5）查看SwitchA路由接口的状态。

SwitchA#show ip interface ！查看ip接口的状态
（6）使用ping命令验证VLAN1和VLAN2之间的联通性。

2.7 注意事项
（1）和二层交换机不同，三层交换机可以在多个VLAN接口上配置IP地址；
（2）两台交换机之间相连的端口应该设置为TRUNK模式；
（3）需要设置PC的网关。

2.8 思考
如果没有给PC机配置网关，请问还会通信么？为什么？
实验3 多区域OSPF配置
3.1 实验目的
理解链路状态路由协议的工作过程，理解OSPF区域的意义；
掌握实验环境中环回接口的配置，掌握多区域OSPF的配置。

3.2 应用环境
OSPF是为了解决RIP不能解决的大型、可扩展的网络需求而出现的链路状态路由协议。

OSPF不仅具有RIPv2对可变长子网掩码支持的优点，同时还具有无自环、收敛快的特点，因此被广泛应用在中大型网络环境。

区域是OSPF的重要概念，它可以有效地提高路由的效率，缩减部分路由器的OSPF 路由条目，降低路由收敛的复杂度，在区域边界上，实现路由的汇总、过滤、控制，大大提高了网络的稳定性。

3.3 实验设备
路由器R2692 三台
V.35线缆2对
3.4 实验拓扑
图3-1多区域OSPF的配置
3.5 实验要求
表3-1 网络接口地址信息
（2）按照表3-1配置路由器名称、各接口地址；
（3）配置多区域OSPF路由协议，实现网络互联。

3.6 实验步骤
（1）按照表3-1配置路由器名称、接口的IP地址，保证所有接口全部是up状态，测试连通性。

略
（2）将R1、R2相应网段加入area 1
R2(config)#router ospf 1
R2(config-router)#network 172.16.23.0 0.0.0.255 area 0
R3(config)#router ospf 1
R3(config-router)#network 172.16.23.0 0.0.0.255 area 0
（3）将R2、R3相应网段加入area 0
R1(config)#router ospf 1
R1(config-router)#network 172.16.12.0 0.0.0.255 area 1
R2(config)#router ospf 1
R2(config-router)#network 172.16.12.0 0.0.0.255 area 1
（4）查看R1、R3上的OSPF路由表
show ip route
（5）查看其它OSPF状态参数
show ip ospf neighbor ！查看OSPF邻居状态
show ip ospf interface ！查看OSPF接口状态和类型
3.7 注意事项
（1）OSPF的进程号只有本地意义，即在不同路由器上的进程号可以不相同。

但是，为了日后维护的方便，一般启用相同的进程号。

（2）路由器把环回端口作为标志路由器的ID号。

（3）OSPF是无类路由协议，一定要加掩码。

（4）在申明直连网段时，必须指明所属的区域。

（5）作为骨干区域的area 0必须存在。

标准区域一定与骨干区域相连。

3.8 思考
（1）OSPF与RIP有哪些区别？
（2）为什么必须有area 0存在？
（3）在R1增加一个区域2（用loopback20模拟），网络地址是160.20.0.0/16，使这个区域的路由让路由器R3看到。

（提示：由于area 2没有直连在area0上，所以area 2的路由不能被传递到外部区域，需要在area 1上打一条虚电路，使area 2和area0通过虚电路连接起来。

）
实验4 SNMP应用实例
4.1 实验目的
（1）RingMaster配置掌握实验环境中双协议栈的配置。

（2）通过RingMaster配置无线交换机上服务。

4.2 应用环境
校园中的无线网络一般都是建立有线网络基础上，是对进行有线网络扩充。

无线网络包含的区域一般主要分布在办公楼、新区办公楼、教学楼、足球场、体育馆、图书馆、国际交流中心、研究生宿舍、教职工公寓、校园广场等有线网络未能覆盖和接入的众多区域，需要采用无线技术进行全方位、立体式无线覆盖，让师生们可以随时随地、无拘无束地连接到整个校园网络，享受随时随地、移动式网络接入服务。

4.3 实验设备
无线交换机1台
无线AP 3只
RingMaster应用软件
4.4 实验拓扑图
图4-1 无线管理拓扑图
4.5 实验要求
（1）基本参数配置（包括IP地址，禁用WEB配置，管理密码和系统时间等）；
（2）RingMaster配置；
（3）通过RingMaster配置无线交换机上服务。

4.6 实验步骤
1．基本参数配置
（1）无线交换机的默认IP地址是192.168.100.1/24，因此将配置PC的IP地址配置为192.168.100.2/24，并打开浏览器登陆到https://192.168.100.1，弹出以下界面：选择“Y”。

（2）系统的默认管理用户名是admin，密码为空。

（3）输入用户名和密码后就进入了无线交换机的web配置页面，点击“start”，进入快速配置指南。

（4）选择禁用web配置界面；
（5）配置无线交换机的IP地址，子网掩码以及默认网关。

（6）首次使用要添加序列号，序列号随购买产品一同赠送。

（7）按提示点击序列号连接；
（8）添加序列号后并保存；
（9）设置系统的管理密码。

（10）设置系统的时间。

（11）确认无线交换机的基本配置。

（12）完成无线交换机的基本配置。

2.RingMaster配置
（1）运行RingMaster软件，地址为127.0.0.1，端口443，用户名和密码默认为空。

（2）选择“configuration”，进入配置界面，选择upload mx添加被管理的无线交换机。

（3）输入被管理的无线交换机的IP地址，enable密码。

（4）完成添加后，进入无线交换机的操作界面。

（5）注意ringmaster里面的国家代码要和之前web界面配置的mx国家代码一致。

（6）注意要保证MX接受SNMP配置管理。

（7）每次下发策略都是使用configure里面的deploy功能。

（8）进入“wireless”-“Access Point”选项，添加AP。

（9）为添加的AP进行命名，并选择连接方式，默认使用“Distributed”模式。

（10）将需要添加的AP机身后面的SN号输入对话框，用于AP与无线交换机的注册过程。

（11）选择添加AP的具体型号和传输协议，完成AP添加。

3.通过RingMaster配置无线交换机上服务
（1）进入“Syestem”-“VLANS”选项，选择“default”vlan，进入属性配置；
（2）进入“Properties”—“DHCP Server”选项，激活DHCP服务器，设置地址池和DNS，保存；
（3）进入“System”—“Port”选项，将无线交换机的端口POE打开，并保存。

（4）建立一个Open Access Service Profile；
（5）输入SSID名，由于是开放式的服务，“SSID Type”为“clear”，即不加密；
（6）默认将用户的VLAN定义为default VLAN，即用户联入这个SSID即会获得默认VLAN的IP地址；
（7）选择默认的Radio Profile（Radio Profile定义了AP的射频规则），即该无线配置作用下的AP采用默认的射频规则；
（8）完成“开放式无线接入服务”的配置，选择如下图的“Deploy”，下发配置到无线交换机；
（9）配置机打开无线网卡，扫描“OPEN”这个SSID，并获取IP地址。

4.7 思考
（1）简述RingMaster的基本功能。

（2）简述通过RingMaster配置无线交换机的方法。

实验5 访问控制列表的配置
5.1 实验目的
理解访问控制列表在网络安全中的功能和应用；理解访问控制列表的分类和特点；
掌握在路由器等三层设备上配置标准IP访问控制列表的方法。

5.2 应用环境
路由器等三层设备负责传递网络中的通信流量，同时还要对这些流量进行识别，从而实现安全过滤和流量控制等功能。

ACL可以让路由器对流量进行识别，并根据相关机制进行过滤处理，从而实现对网络应用的安全配置和管理。

5.3 实验设备
路由器（或支持ACL功能的三层交换机）2台
测试和配置用PC 3台
Console配置电缆1根
PC与路由器之间的连接线3根
（本实验中的路由器或交换机均可以用思科设备或锐捷设备）
5.4 实验拓扑
IP：172.16.2.2
网关：172.16.2.1
图5-1标准访问控制列表的规则拓扑
5.5 实验要求
假设某单位的办公室、人事处和财务处分别属于不同的网段，分别为172.16.1.0/24、172.16.2.0/24、172.16.3.0/24，如图5-1所示。

三个部门之间通过路由器实现数据的交换，但出于安全的考虑，单位要求完成以下功能
（1）办公室的网络可以访问财务处的网络；
（2）人事处无法访问财务处的网络；
（3）其它网络之间都可以实现互访；
（4）在路由器Router-A与Router-B之间配置静态路由协议。

5.6 实验步骤
1．路由器Router-A的基本配置
Router# configure terminal（进入“全局配置”模式）
Router(config)# （已进入“全局配置”模式）
Router(config)# hostname Router-A（使用hostname命令将路由器的名称改为Router-A）Router-A (config)# interface FastEthernet 0/0（进入Router-A的FastEthernet 0/0端口配置模式）
Router-A (config-if)# ip address 192.168.0.1 255.255.255.252（将路由器FastEthernet 0/0·282 ·
端口的地址配置为192.168.0.1，子网掩码为255.255.255.252，本网段只有两个合法IP地址）Router-A (config-if)# no shutdown（开启路由器的FastEthernet 0/0端口）
Router-A (config-if)# exit）（返回“全局配置”模式）
Router-A (config)# interface FastEthernet 0/1（进入Router-A的FastEthernet 0/1端口配置模式）
Router-A (config-if)# ip address 172.16.1.1 255.255.255.0（将路由器FastEthernet 0/1端口的地址配置为172.16.1.1，子网掩码为255.255.255.0）
Router-A (config-if)# no shutdown（开启路由器的FastEthernet 0/1端口）
Router-A (config-if)# exit
Router-A (config)# interface FastEthernet 0/2
Router-A (config-if)# ip address 172.16.2.1 255.255.255.0
Router-A (config-if)# no shutdown
Router-A (config-if)# exit
2．路由器Router-B的基本配置
Router# configure terminal
Router(config)#
Router(config)# hostname Router-B
Router-B (config)# interface FastEthernet 0/0
Router-B (config-if)# ip address 192.168.0.2 255.255.255.252
Router-B (config-if)# no shutdown
Router-B (config-if)# exit
Router-B (config)# interface FastEthernet 0/1
Router-B (config-if)# ip address 172.16.3.1 255.255.255.0
Router-B (config-if)# no shutdown
Router-B (config-if)# exit
3．路由器Router-A和Router-B上静态路由的配置
Router-A (config)# ip route 172.16.3.0 255.255.255.0 192.168.0.2
Router-B (config)# ip route 172.16.1.0 255.255.255.0 192.168.0.1
Router-B (config)# ip route 172.16.2.0 255.255.255.0 192.168.0.1
4．在Router-B上配置标准访问控制列表，名称为access-list 10 Router-B (config)# access-list 10 deny 172.16.2.0 0.0.0.255（拒绝来自172.16.2.0/24网段
·283 ·
的流量通过）
Router-B (config)# access-list 10 permit 172.16.1.0 0.0.0.255（允许来自172.16.1.0/24网段的流量通过）
5．将访问控制列表应用到Router-B的端口上
Router-B (config)# interface FastEthernet 0/1
Router-B (config-if)# ip access-group 10 out（在FastEthernet 0/1的出站端口上调用访问控制列表）
Router-B (config-if)# end
Router-B# write memory
5.7 注意事项
（1）标准访问控制列表只对数据包的源IP地址进行检查，其列表号为1~99或1300~1999。

（2）定义标准访问控制列表需要使用access-list命令来完成，命令格式为：
Access-list access-list-number {deny|permit} source-address [source-wildcard]
相关参数说明如表5-1所示：
表5-1 access-list命令相关参数说明
如果表示任何地址，ource-address [source-wildcard]可以用any代替。

5.8 思考
标准IP访问控制列表的功能比较单一，所以实际应用中经常使用扩展IP访问控制列表进行安全配置。

如图5-1的拓扑图，在PC3上配置IIS，运行FTP服务和Web服务，现要求PC1只能访问PC3的FTP服务，不能访问Web服务，而PC2只能访问Web服务而不能访问FTP服务，应该如何进行配置？
提示：FTP使用两个端口，21为控制通道，20为数据通道，建议将两者同时关闭。

Web服务使用80端口。

·284 ·。