计算机网络实验实验四、综合组网实验1

实验四、综合组网实验

一、实验目的：

a）进一步了解和掌握静态路由的配置

b）学习默认路由概念和配置

c）学习动态路由概念和配置

d）学习地址解析概念和配置

e）学习利用路由器配置简单的防火墙

二、实验内容：

a）进一步了解和掌握静态路由的配置

b）学习默认路由概念和配置

c）学习动态路由概念和配置

d）学习地址解析概念和配置

e）学习利用路由器配置简单的防火墙

i.编辑和配置访问控制列表

ii.编辑和配置扩展的访问控制列表

三、预备知识：

a）动态路由协议

Internet协议是一种可路由的网络协议，其中路由器执行路由寻址功能。

每个路由器中有一个路由表，它是转发数据包的关键。路由表是由网络管理者手工创建，或是通过与其它路由器交换路由信息而动态创建。路由表中包括网络地址、网络掩码、路径的路由选择度量标准、使用的接口以及通向目的地路径上使用的下一个路由器的IP 地址（如果需要下一站）。路由器就是通过查找这张表，来确定一条到达给定目的地的最佳路径，然后沿着这条网络路径转发数据包。

迈普路由器支持多种路由方法，包括静态路由/缺省路由、RIPv1/v2动态路由、OSPF 动态路由、IRMP动态路由、BGP动态路由等。

OSPF（Open Shortest Path First，开放的最短路径优先）是一种基于链路状态动态路由协议，用于在单一的自治系统（Autonomous System，简称AS）内决策路由。本实验将进行对迈普路由器进行OSPF动态路由协议实际配置。

b）防火墙基本知识

目前的网络是尽量允许访问，可以说只要在网络上的，在设置适当路由的情况下都可以被来自整个internet者访问，如果不设置路由则又不能被任何外部用户访问。实际上往往要允许来自外部的某些用户访问，而拒绝其它用户访问。这就要用到防火墙。

防火墙是在内部网与外部网之间实施安全防范的系统，是一种访问控制机制，用于控制哪些内部服务可以被访问，哪些外部服务可以被访问。

防火墙是一种有效的网络安全机制。防火墙的作用是：

1、限制人们进入一个被严格控制的点；

2、防止攻击者更接近其他的防御设备；

3、限制人们离开一个被严格控制的点。

防火墙的基本准则可以在下面的方案中选择其一：

1、一切未被允许的就是拒绝的。基于该准则，防火墙应封锁所有信息流，然后对

希望提供的服务逐项开放。这是一种非常实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才被允许使用。其弊端是，安全性高于用户使用的方便性，用户所能使用的服务范围受到限制。

2、一切未被拒绝的就是允许的。基于该准则，防火墙应转发所有信息流，然后逐

项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境，可为用户提供更多的服务。其弊端是在日益增多的网络服务面前，网管人员疲于奔命，特别是受保护的网络范围增大时，很难提供可靠的安全防护。

防火墙的基本类型有：

1、包过滤型（Packet Filtering）防火墙：包过滤通常安装在路由器上，包过滤规则

以IP包信息为基础，对IP源地址、IP目标地址、协议类型及各协议的字段（如：TCP、UDP的端口号，ICMP的类型、代码，IGMP的类型等）进行筛选；

2、代理服务型（Proxy Service）防火墙；

3、复合型（Hybrid）防火墙；

4、其他防火墙。

四、网络拓补结构：

两个交换机和两个路由器互相连接，如图4-1所示。

图4.1网络的拓扑结构图

值得注意的是A、B、C、D、E、F、G等都可以布置不只一台微机。

五、实验步骤：

1．在一个交换机上配置多个子网（使用VLAN）

a)在PC机上配置IP地址和子网掩码

例如，配置三个子网，分别为子网A：子网地址192.168.1.64，子网掩码255.255.255.192，子网B：子网地址192.168.1.128，子网掩码255.255.255.192，子网C：子网地址192.168.2.0，子网掩码255.255.255.0。

将若干台PC机分别隶属于这些子网。

b)在交换机上配置3个虚网（VLAN），配置方法参见实验二。

c)将PC机按所属子网接入属于相应VLAN的接口

d)检查本交换机上机器的互相连通性

结论应该是同一子网的机器连通，而不同子网的机器不通。

e)修改VLAN中的某PC机的IP地址，使它为另外一个子网的地址，测验它和其它

机器的连通性

例如将A中的一台机器的IP地址修改为B子网中的一个IP地址，将A中另外一台机器设置一个不在任何子网中的地址，例如192.168.100.0。

结果这两台机器应该无法访问任何机器。

2．在另一台交换机配置多个子网（不使用VLAN）。

a)在PC机上配置IP地址和子网掩码

例如，配置三个子网，分别为子网D：子网地址192.168.3.64，子网掩码255.255.255.192，子网E：子网地址192.168.3.128，子网掩码255.255.255.192，子网F：子网地址192.168.4.0，子网掩码255.255.255.0。

将若干台PC机分别隶属于这些子网。

b)将PC机任意接入交换机上的接口。

注意，此时交换机上只有一个默认的ID为1的VLAN。

c)检查本交换机上机器的互相连通性

结论应该是同一子网的机器连通，而不同子网的机器不通。

3．路由器接口的基本配置

此时每一个交换机上都有有多个子网，必须对它们进行路由

a)将R1对SW1的接口IP设置为：

基本IP地址192.168.1.254，子网掩码255.255.255.0

附加IP地址192.168.2.126，子网掩码255.255.255.192

附加IP地址192.168.2.129，子网掩码255.255.255.192

检查交换机1（SW1）上各机器间的互通性，结论应该是除了IP地址不在任何子网内的机器外全部能够互相畅通。（这个暂时无法做到，等待迈普的技术支持）

b)路由器R2对SW2的接口IP设置为：

基本IP地址192.168.1.254，子网掩码255.255.255.0

附加IP地址192.168.2.126，子网掩码255.255.255.192

附加IP地址192.168.2.129，子网掩码255.255.255.192

检查交换机2（SW2）上各机器间的互通性，结论应该是全部能够互相畅通。

c)将路由器R1对R2的接口IP设置为：

R1接口基本IP地址192.168.12.1，子网掩码255.255.255.0，R2接口基本IP地址192.168.12.2，子网掩码255.255.255.0。

检查交换机上各机器到192.168.12.1和192.168.12.2的连通性。检查子网A、B、C的