计算机网络实验实验四、综合组网实验1.doc

实验四、综合组网实验 实验目的： 进一步了解和掌握静态路由的配置 学习默认路由概念和配置 学习动态路由概念和配置 学习地址解析概念和配置 学习利用路由器配置简单的防火墙 实验内容： 进一步了解和掌握静态路由的配置 学习默认路由概念和配置 学习动态路由概念和配置 学习地址解析概念和配置 学习利用路由器配置简单的防火墙 编辑和配置访问控制列表 编辑和配置扩展的访问控制列表 预备知识： 动态路由协议 Internet协议是一种可路由的网络协议，其中路由器执行路由寻址功能。 每个路由器中有一个路由表，它是转发数据包的关键。路由表是由网络管理者手工创建，或是通过与其它路由器交换路由信息而动态创建。路由表中包括网络地址、网络掩码、路径的路由选择度量标准、使用的接口以及通向目的地路径上使用的下一个路由器的IP 地址（如果需要下一站）。路由器就是通过查找这张表，来确定一条到达给定目的地的最佳路径，然后沿着这条网络路径转发数据包。 迈普路由器支持多种路由方法，包括静态路由/缺省路由、RIPv1/v2动态路由、OSPF动态路由、IRMP动态路由、BGP动态路由等。 OSPF（Open Shortest Path First，开放的最短路径优先）是一种基于链路状态动态路由协议，用于在单一的自治系统（Autonomous System，简称AS）内决策路由。本实验将进行对迈普路由器进行OSPF动态路由协议实际配置。 防火墙基本知识 目前的网络是尽量允许访问，可以说只要在网络上的，在设置适当路由的情况下都可以被来自整个internet者访问，如果不设置路由则又不能被任何外部用户访问。实际上往往要允许来自外部的某些用户访问，而拒绝其它用户访问。这就要用到防火墙。 防火墙是在内部网与外部网之间实施安全防范的系统，是一种访问控制机制，用于控制哪些内部服务可以被访问，哪些外部服务可以被访问。 防火墙是一种有效的网络安全机制。防火墙的作用是： 1、限制人们进入一个被严格控制的点； 2、防止攻击者更接近其他的防御设备； 3、限制人们离开一个被严格控制的点。 防火墙的基本准则可以在下面的方案中选择其一： 1、一切未被允许的就是拒绝的。基于该准则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这是一种非常实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才被允许使用。其弊端是，安全性高于用户使用的方便性，用户所能使用的服务范围受到限制。 2、一切未被拒绝的就是允许的。基于该准则，防火墙应转发所有信息流，然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境，可为用户提供更多的服务。其弊端是在日益增多的网络服务面前，网管人员疲于奔命，特别是受保护的网络范围增大时，很难提供可靠的安全防护。 防火墙的基本类型有： 1、包过滤型（Packet Filtering）防火墙：包过滤通常安装在路由器上，包过滤规则以IP包信息为基础，对IP源地址、IP目标地址、协议类型及各协议的字段（如：TCP、UDP的端口号，ICMP的类型、代码，IGMP的类型等）进行筛选； 2、代理服务型（Proxy Service）防火墙； 3、复合型（Hybrid）防火墙； 4、其他防火墙。 网络拓补结构： 两个交换机和两个路由器互相连接，如图4-1所示。 图4.1网络的拓扑结构图 值得注意的是A、B、C、D、E、F、G等都可以布置不只一台微机。 实验步骤： 在一个交换机上配置多个子网（使用VLAN） 在PC机上配置IP地址和子网掩码 例如，配置三个子网，分别为?子网A：子网地址192.168.1.64，子网掩码255.255.255.192，子网B：子网地址192.168.1.128，子网掩码255.255.255.192，子网C：子网地址192.168.2.0，子网掩码255.255.255.0。 将若干台PC机分别隶属于这些子网。 在交换机上配置3个虚网（VLAN），配置方法参见实验二。 将PC机按所属子网接入属于相应VLAN的接口 检查本交换机上机器的互相连通性 结论应该是同一子网的机器连通，而不同子网的机器不通。 修改VLAN中的某PC机的IP地址，使它为另外一个子网的地址，测验它和其它机器的连通性 例如将A中的一台机器的IP地址修改为B子网中的一个IP地址，将A中另外一台机器设置一个不在任何子网中的地址，例如192.168.100.0。 结果这两台机器应该无法访问任何机器。 在另一台交换机配置多个子网（不使用VLAN）。 在PC机上配置IP地址和子网掩码 例如，配置三个子网，分别为?子网D：子网地址192.168.3.64，子网掩码255.255.255.192，子网E：子网地址192.168.3.128，