网络安全实验.docx
《网络安全实验.docx》由会员分享,可在线阅读,更多相关《网络安全实验.docx(25页珍藏版)》请在冰点文库上搜索。
网络安全实验
注意事项
1.熟悉实验室双网卡配置。
实验前,本地连接2应处于打开状态,保证IP无冲突后,禁用、启用(必要时可禁用Windows防火墙)。
本地连接为实验用网卡,暂时断开连接。
2.建议IP地址配置规则:
192.168.0.*
其中,按照每人主机上的标签,A组的*处分别为11~18,B组为22~28,以此类推。
切记:
千万不要将IP地址设为192.168.0.1,这是网关地址。
3.实验前启动IE,在地址栏输入RCMS服务器的管理IP地址,端口为8080,进入管理系统界面。
本实验室中RCMS的地址为http:
//192.168.128.*:
8080。
(*的范围130~180,对照表如下)
A
B
C
D
E
F
130
140
150
160
170
180
RCMS意思是RACKControl&ManagementServer,实验室机架控制和管理服务器。
在实验室中,使用者可以通过RG-RCMS来同时管理和控制8~16台的网络设备,不需要进行控制线的拔插,采用图形界面管理,简单方便。
RG-RCMS服务器利用异步模块接口和八爪鱼线连接实验设备。
一个异步接口支持8台设备。
利用八爪鱼线连接到每台实验设备的console口。
用户利用IE浏览器访问RCMS,通过图形界面的形式对设备进行访问和配置。
4.分别单击进入交换机、路由器。
注意:
在管理界面中,灰色的设备表示该设备已被使用。
5.输入enable14#利用14级权限进入
123456#输入密码
配置过程中的四种模式:
(1)用户模式
Switch>
(2)特权模式
输入en14后出现
switch#
(3)全局模式
输入configureterminal
Switch(conf)#
(4)接口模式
输入interfacefastethernet0/X进入。
6.进入实验配置环节。
7.配置完毕后,连线,对“本地连接”进行配置,开始测试。
8.VLAN地址不要使用192.168.0.*,可使用10、20网段,以免出现混乱。
9.实验室学生机与机柜对应关系:
1、配置跨交换机的VLAN(单交换机实验)
【实验名称】
配置跨交换机的VLAN
【实验目的】
理解跨交换机之间的VLAN的特点
【背景描述】
假设某企业有两个主要部门:
分属销售部和技术部的两人在同一办公室办公,为了数据安全起见,销售部和技术部需要进行相互隔离,现在要在交换机上作适当配置来实现这一目标。
【需求分析】
在不同VLAN里的计算机系统不能进行相互通信。
【实验拓扑】
【实验设备】
二层交换机1台,PC机2台,直连线2条
【预备知识】
交换机转发原理、交换机基本配置、VLAN工作原理、VLAN的配置
【实验原理】
VLAN是一种用于隔离广播域的技术,配置了VLAN的交换机内,相同VLAN内主机之间可以直接访问,同时对于不同VLAN的主机进行隔离。
VLAN遵循了IEEE802.1q协议的标准。
在利用配置了VLAN的接口进行数据传输时,需要在数据帧内添加4个字节的802.1q标签信息,用于表示该数据帧属于哪个VLAN,以便于对端交换机接收到的数据帧后进行准确的过滤。
【实验步骤】
此实验需要在1台二层交换机上作配置,2台PC配合测试。
1、启动IE,在地址栏输入http:
//192.168.128.*:
8080,进入管理系统界面。
(*的范围130~180)
2、单击进入某一台交换机S2126
3、输入enable14↙#利用14级权限进入
123456↙#输入密码
第一步:
在交换机Switch上创建Vlan10,并将0/1端口划分到Vlan10中
Switch#configureterminal
Switch(config)#vlan10
Switch(config-vlan)#namesales
Switch(config-vlan)#exit
Switch(config)#interfacefastethernet0/1
Switch(config-if)#switchportaccessvlan10
Switch(config-if)#exit
Switch(config)#exit
Switch#showvlanid10//查看某一个VLAN的信息
VLANNameStatusPorts
-----------------------------------------------------
10salesactiveFa0/1
第二步:
在交换机switch上创建Vlan20,并将0/2端口划分到Vlan20中
Switch#configureterminal
Switch(config)#vlan20
Switch(config-vlan)#nametechnical
Switch(config-vlan)#exit
Switch(config)#interfacefastethernet0/2
Switch(config-if)#switchportaccessvlan20
Switch(config-if)#exit
Switch(config)#exit
Switch#showvlanid20
VLANNameStatusPorts
-----------------------------------------------------
20technicalactiveFa0/2
第三步:
验证测试
在测试机和交换机之间连线,设定PC1、PC2的“本地连接”IP地址分别为192.168.10.10、192.168.20.20。
验证PC1与PC2不能互相通信。
C:
\>ping192.168.20.20//在PC1命令行方式下验证PC1与PC2不能互相通信
C:
\>ping192.168.10.10//在PC2命令行方式下验证PC2与PC1不能互相通信
【参考配置】
Switch#showrunning-config//显示交换机Switch的全部配置
2、拓展实验:
配置跨交换机的VLAN(双交换机实验)
【实验名称】
配置跨交换机的VLAN
【实验目的】
理解跨交换机之间的VLAN的特点
【背景描述】
假设某企业有两个主要部门:
销售部和技术部,其中销售部门的个人计算机系统分散连接,他们之间需要相互进行通信,但为了数据安全起见,销售部和技术部需要进行相互隔离,现在要在交换机上作适当配置来实现这一目标。
【需求分析】
使在同一VLAN里的计算机系统能跨交换机进行相互通信,而在不同VLAN里的计算机系统不能进行相互通信。
【实验拓扑】
【实验设备】
二层交换机2台,PC机3台,直连线4条
【预备知识】
交换机转发原理、交换机基本配置、VLAN工作原理、VLAN的配置
【实验原理】
VLAN是一种用于隔离广播域的技术,配置了VLAN的交换机内,相同VLAN内主机之间可以直接访问,同时对于不同VLAN的主机进行隔离。
VLAN遵循了IEEE802.1q协议的标准。
在利用配置了VLAN的接口进行数据传输时,需要在数据帧内添加4个字节的802.1q标签信息,用于表示该数据帧属于哪个VLAN,以便于对端交换机接收到的数据帧后进行准确的过滤。
【实验步骤】
此实验需要在2台二层交换机上作配置,3台PC配合测试。
1、启动IE,在地址栏输入http:
//192.168.128.*:
8080,进入管理系统界面。
(*的范围130~180)
2、分别单击进入2台二层交换机S2126
3、输入enable14↙#利用14级权限进入
123456↙#输入密码
假设此实验在A、B两台交换机上完成配置,其中,在SwitchA上做1~3步,在SwitchB上作4~5步。
最后分别在各PC上作配置完成第6步测试。
第一步:
在交换机SwitchA上创建Vlan10,并将0/5端口划分到Vlan10中
SwitchA#configureterminal
SwitchA(config)#vlan10
SwitchA(config-vlan)#namesales
SwitchA(config-vlan)#exit
SwitchA(config)#interfacefastethernet0/5
SwitchA(config-if)#switchportaccessvlan10
SwitchA(config-if)#exit
SwitchA(config)#exit
SwitchA#showvlanid10//查看某一个VLAN的信息
VLANNameStatusPorts
-----------------------------------------------------
10salesactiveFa0/5
第二步:
在交换机switchA上创建Vlan20,并将0/15端口划分到Vlan20中
SwitchA#configureterminal
SwitchA(config)#vlan20
SwitchA(config-vlan)#nametechnical
SwitchA(config-vlan)#exit
SwitchA(config)#interfacefastethernet0/15
SwitchA(config-if)#switchportaccessvlan20
SwitchA(config-if)#exit
SwitchA(config)#exit
SwitchA#showvlanid20
VLANNameStatusPorts
-----------------------------------------------------
20technicalactiveFa0/15
第三步:
把交换机SwitchA上与交换机SwitchB相连的F0/24端口定义为Trunk模式
SwitchA#configureterminal
SwitchA(config)#interfacefastethernet0/24
SwitchA(config-if)#switchportmodetrunk//将fastethernet0/24端口设为Trunk模式,Trunk属于任何一个vlan
SwitchA(config-if)#exit
SwitchA(config)#exit
SwitchA#showinterfacesfastEthernet0/24switchport
InterfaceSwitchportModeAccessNativeProtectedVLANlists
---------------------------------------------------------------------
Fa0/24EnabledTrunk11DisabledAll
第四步:
在交换机SwitchB上创建Vlan10,并将0/5端口划分到Vlan10中
SwitchB#configureterminal
SwitchB(config)#vlan10
SwitchB(config)#namesales
SwitchB(config-vlan)#exit
SwitchB(config)#interfacefastethernet0/5
SwitchB(config-if)#switchportaccessvlan10
SwitchB(config-if)#exit
SwitchB(config)#exit
SwitchB#showvlanid10
VLANNameStatusPorts
-----------------------------------------------------
10salesactiveFa0/5
第五步:
把交换机SwitchB与交换机SwitchA相连的F0/24端口定义为Trunk模式
SwitchB#configureterminal
SwitchB(config)#interfacefastethernet0/24
SwitchB(config-if)#switchportmodetrunk
SwitchB(config-if)#exit
SwitchB(config)#exit
SwitchB#showinterfacefastethernet0/24switchport
InterfaceSwitchportModeAccessNativeProtectedVLANlists
---------------------------------------------------------------------
Fa0/24EnabledTrunk11DisabledAll
第六步:
验证测试
在测试机和交换机之间连线,设定PC1、PC2、PC3的“本地连接”IP地址分别为192.168.10.10、192.168.20.20、192.168.10.30。
验证PC1与PC3能互相通信,而PC2与PC3不能互相通信。
C:
\>ping192.168.10.30//在PC1命令行方式下验证PC1与PC3能互相通信
C:
\>ping192.168.10.30//在PC2命令行方式下验证PC2与PC3不能互相通信
【注意事项】
1、两台交换机之间相连的端口应该设置为tagvlan模式;
2、交换机的Trunk接口在默认情况下支持所有vlan的传输。
【参考配置】
SwitchA#showrunning-config//显示交换机SwitchA的全部配置
3、配置SVI实现VLAN间路由
【实验名称】
配置SVI实现VLAN间路由
【实验目的】
使用三层交换机实现VLAN间路由
【背景描述】
为了减少广播包对网络的影响,网络管理员在公司内部网络中进行了VLAN的划分,完成VLAN的划分后,发现不同VLAN之间无法访问。
【需求分析】
可以通过配置三层交换机SVI接口实现VLAN间的路由。
【实验拓扑】
【实验设备】
三层交换机1台,PC机2台、直连线2条
【预备知识】
交换机转发原理、交换机基本配置、三层交换机路由功能
【实验原理】
VLAN间的主机通信为不同网段间的通信,需要通过三层设备对数据进行路由转发才可以实现。
通过在三层交换机上为各VLAN配置SVI接口,利用三层交换机的路由功能可以实现VLAN间的路由。
【实验步骤】
此实验需要在1台三层交换机上作配置,2台PC配合测试。
1、启动IE,在地址栏输入http:
//192.168.128.*:
8080,进入管理系统界面。
(*的范围130~180)
2、单击进入某一台三层交换机S3760
3、输入enable14↙#利用14级权限进入
123456↙#输入密码
第一步:
在三层交换机上创建VLAN
switch#configureterminal
switch(config)#vlan10
switch(config-vlan)#exit
switch(config)#vlan20
switch(config-vlan)#exit
第二步:
在三层交换机上将端口划分到相应VLAN
Switch(config)#interfacefastethernet0/1
switch(config-if)#switchportaccessvlan10
switch(config-if)#exit
switch(config)#interfacefastethernet0/2
switch(config-if)#switchportaccessvlan20
switch(config-if)#exit
第三步:
在三层交换机上给VLAN配置IP地址
Switch(config)#interfacevlan10
switch(config-if)#ipaddress192.168.10.1255.255.255.0//vlan10的网关及子网掩码地址
switch(config-if)#noshutdown
switch(config-if)#exit
switch(config)#interfacevlan20
switch(config-if)#ipaddress192.168.20.1255.255.255.0//vlan20的网关及子网掩码地址
switch(config-if)#noshutdown
switch(config-if)#exit
第四步:
验证测试
按照拓扑图连线,配置PC的IP地址,网关及子网掩码地址如第三步中的配置。
从VLAN10中的PC1pingVLAN20中的PC2,验证二者能够通信。
从而实现通过在三层交换机上配置SVI接口实现了不同VLAN之间的主机通信。
验证PC1与PC2能互相通信。
C:
\>ping192.168.20.2//在PC1命令行方式下验证PC1与PC2能互相通信
C:
\>ping192.168.10.2//在PC2命令行方式下验证PC2与PC1能互相通信
【注意事项】
VLAN中的PC的IP地址需要和三层交换机上相应VLAN的IP地址在同一网段,并且主机网关配置为三层交换机上相应VLAN的IP地址。
【参考配置】
Switch#showrunning-config//显示三层交换机的全部配置
4、拓展实验:
利用三层交换机实现不同VLAN间通信
【实验目的】
通过二层、三层交换机,了解VLAN间的通信原理
【实验要求】
1、在二层交换机S2126上建立虚拟局域网vlan10;在三层交换机S3760上建立虚拟局域网vlan10和vlan20;将每个交换机的不同端口分别加入各自的不同vlan;
2、将交换机S2126的端口1与交换机S3760的端口1配置成trunk模式;
3、分别给vlan10、vlan20和vlan30配置IP地址;
4、检测位于不同交换机的相同vlan端口的计算机之间能否通信,如PC1与PC3;
5、检测位于不同交换机的不同vlan端口的计算机之间能否通信,如PC2与PC3。
进一步实验——实现VLAN间的路由
6、检测位于同一交换机的不同vlan端口的计算机之间能否通信,如PC1与PC2。
【需求分析】
使在同一VLAN里的计算机系统能跨交换机进行相互通信,而在不同VLAN里的计算机系统也能进行相互通信。
【实验拓扑】
【实验设备】
PC机3台、锐捷二层交换机(S2126)1台、锐捷三层交换机(S3760)1台、双绞线4条
【实验原理】
利用三层交换机的路由功能,通过识别数据包的IP地址,查找路由表进行转发。
三层交换机利用直连路可以实现不同的VLAN之间的访问。
三层交换机给接口配置IP地址采用SVI(交换虚拟接口)的方式实现VLAN间互连。
SVI是指为交换机中的VLAN创建虚拟接口,并且配置IP地址。
【实验步骤】
此实验需要在1台二层交换机、1台三层交换机上作配置,3台PC配合测试。
1、启动IE,在地址栏输入http:
//192.168.128.*:
8080,进入管理系统界面。
(*的范围130~180)
2、分别单击进入1台二层交换机S2126、1台三层交换机S3760
3、输入enable14↙#利用14级权限进入
123456↙#输入密码
假设此实验在S3760、S2126两台交换机上完成配置,其中,在S3760上做1~2步,在S2126上作3~4步。
最后分别在各PC机上做配置完成第5步测试。
第一步:
三层交换机S3760的基本配置
S3760#configureterminal
S3760(config)#vlan10//三层交换机S3760上创建VLAN10
S3760(config-vlan)#exit
S3760(config)#interfacefastethernet0/5
S3760(config)#switchportaccessvlan10//将F0/5端口划分到VLAN10中
S3760(config)#vlan20//在三层交换机S3760上创建VLAN20
S3760(config-vlan)#exit
S3760(config)#interfacefastethernet0/8
S3760(config)#switchportaccessvlan20//将F0/8端口划分到VLAN20中
第二步:
在三层交换机S3760上将与两层交换机S2126相连的端口F0/1定义为trunk模式
S3760(config)#interfacefastethernet0/1
S3760(config)#switchportmodetrunk
第三步:
二层交换机S2126的基本配置
S2126#configureterminal
S2126(config)#vlan10//在两层交换机B上创建VLAN10
S2126(config-vlan)#exit
S2126(config)#interfacefastethernet0/5
S2126(config)#switchportaccessvlan10//将F0/5端口划分到VLAN10中
第四步:
在两层交换机S2126上将与三层交换机S3760相连的端口F0/1定义为trunk模式
S2126(config)#interfacefastethernet0/1
S2126(config)#switchportmodetrunk
参考配置:
S3760#showvlan
VLANNameStatusPorts
----------------------------------------------------------------------------
1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4
Fa0/6,Fa0/7,Fa0/9,Fa0/10
Fa0/11,Fa0/12,Fa0/13,Fa0/14
Fa0/15,Fa0/16,Fa0/17,Fa0/18
Fa0/19,Fa0/20,Fa0/21,Fa0/22
Fa0/23,Fa0/24
10VLAN0010activeFa0/1,Fa0/5
20VLAN0020activeFa0/1,Fa0/8
S2126#showvlan
VLANNameStatusPorts
----------------------------------------------------------------------------
1default
升级会员 