网络工程与系统集成实验报告材料文档格式.docx

1、第一步：IP 电话发送不带VLAN Tag 的DHCP 请求，并在该请求中携带Option184 信息，即请求软件下载服务器（也称为NCP，Network Call Processor）地址以及Voice VLAN信息。第二步：DHCP server1 收到该请求后，将根据自身的配置为IP 电话分配IP 地址，同时回复Voice VLAN、软件下载服务器地址及其他Option184 选项信息。第三步：IP 电话向软件下载服务器发出下载申请。第四步：软件下载服务器响应IP 电话的下载请求，向IP 电话发送软件。第五步：软件下载完成后，IP 电话将通知DHCP server1，释放第一次获取的IP

2、 地址。第六步：IP 电话利用从DHCP server1 获取的Voice VLAN 信息，重新构造DHCP 请求报文，并为该报文封装Voice VLAN 的标签，在Voice VLAN 内进行广播。第七步：位于Voice VLAN 内的DHCP server2 收到该请求后，根据自己的地址池配置，为IP 电话分配新的IP 地址。第八步：IP 电话使用新的IP 地址与语音网关进行注册，开始语音通信过程。3. 各类型端口与发送tagged 语音流的IP 电话配合IP 电话发送tagged 语音流需要具备的条件是该电话已经通过自动获取或手工配置的方式得到了Voice VLAN 信息，针对这种情况，

3、不同类型的端口需要进行相应的配置，才能使语音报文能够在Voice VLAN 中正常传输，同时不影响交换机对普通业务报文的转发处理。4. 各类型端口与发送untagged 语音流的IP 电话配合IP 电话在以下两种情况下会发送/接收untagged 语音流：自动获取 IP 地址，但没有获取到Voice VLAN 信息手工配置 IP 地址，但没有配置Voice VLAN 信息四. 实验组织运行要求1. 学生在实验前，请先对实验中的常用网络命令的功能和使用方法进行预习，并在预习报告中给出这些信息。2. 实验过程中，请记录每条命令使用后的显示信息，并在实验报告中对这些信息进行说明和解释。五. 实验条件

4、1. 以太网环境2. 思科 Catalyst 3560、2960 交换机3. 思科 7960 IP 电话六. 实验步骤Step 1：连接如图所示的网络环境Step 2：将交换机所连接IP Phone 的接口加入vioce vlan 中Switch#conf tSwitch（config）#interface range f0/1 3Switch（configifrange）#switchport voice vlan 1Step 3：配置DHCP，为IP Phone 动态分配地址Router（config）#ip dhcp pool Router（dhcpconfig）#network 192

5、.168.1.0 255.255.255.0Router（dhcpconfig）#defaultrouter 192.168.1.1Router（dhcpconfig）#option 150 ip 192.168.1.1Step 4：配置路由器的电话服务功能，并配置相应参数Router（config）#telephonyserviceRouter（configtelephony）#auto assign 1 to 5Router（configtelephony）#maxephones 5Router（configtelephony）#maxdn 5Router（configtelephony）

6、#ip sourceaddress 192.168.1.1 port 2000Step 5：配置IP 电话号码Router（config）#ephonedn 1Router（configephonedn）#number 84401160Router（config）#ephonedn 2Router（configephonedn）#number 84401161Step 6：验证IP Phone 已从路由器上获取到IP 地址和电话号码Step 7：验证IP Phone 之间的语音服务是否可用七实验结果八. 思考题1. 如何对数据服务和语音服务提供合适的QoS？QoS旨在针对各种应用的不同需求，为

7、其提供不同的服务质量。如：可以限制骨干网上FTP使用的带宽，也可以给数据库访问以较高优先级。对于ISP，其用户可能传送语音、视频或其他实时业务，QoS使ISP能区分这些不同的报文，并提供不同服务。可以为时间敏感的多媒体业务提供带宽和低时延保证，而其他业务在使用网络时，也不会影响这些时间敏感的业务。2. 配合了Voice VLAN的交换机如何处理来自用户的tagged帧？1、下面是定义的各种端口类型对各种数据帧的处理方法；in=进交换器out=出交换机2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可

8、以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID上，这个物理端口必定是Untagged Port；4、PVID的作用只是在交换机从外部接受到可以接受Untagged数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；5、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的

9、tagged数据帧；6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged数据帧；实验二 PPP 协议配置1. 根据实验要求的拓扑结构，利用路由器及交换机连接成网络2. 正确配置路由器接口参数，包括设置 IP 地址和PPP 协议的绑定3. 掌握 PPP 中PAP 验证的配置方法4. 掌握 PPP 中CHAP 验证的配置方法1. 配置PPP协议的封装2. 配置PAP验证方式3. 配置CHAP验证方式PPP协议是目前广域网上应用最广泛的数据链路层协议之一，它的优点在于结构简单、具备用户验证能力、可以解决I

10、P分配等。PPP在经过多年的发现和扩充后，已成为一个功能相当完备，而且涵盖了许多其它协议的庞大协议系统。PPP在串行线路中对上层数据包进行封装，用于建立、配置和检测数据链路连接的链路控制协议（LCP）以及不同网络层协议的网络控制协议（NCP）协议簇。PPP封装用于消除上层多种协议数据包的歧义，加入帧头、帧尾，使之成为互相独立的串行数据帧PPP帧。1. 局域网环境2. 思科2811路由器/华为3Com AR2811路由器为思科2811 路由器增加WIC2T 接口模块，并完成路由器之间的串行线路连接设置串行口封装的链路层协议为PPP，配置IP 参数并启动接口（注意DCE 端clockrate 的设

11、置）配置PAP 验证方式，设定路由器的主验证和被验证角色PAP 主验证端在全局配置模式下创建用户帐号，在串行口模式下设置PPP 验证方式为PAPPAP 被验证端在串行口模式下设置PAP 发送的用户帐号信息重起串行口，测试PAP 验证的有效性关闭PAP 验证方式，配置CHAP 验证方式，设定路由器的主验证和被验证角色Step 8：设置验证双方路由器的hostname，用于确定在对端路由器中的账号Step 9：CHAP 主验证端在串行口模式下设置PPP 验证方式为CHAPStep 10：两端路由器在全局模式下，为对端路由器增加账号信息Step 11：重新其中一台路由器的串行口，测试CHAP 的有效

12、性配置示例1（PAP 验证，假设主验证端为DCE）被验证端：Router0# config terminalRouter0（config）# interface se0/3/0Router0（configif）# encapsulation pppRouter0（configif）# ppp pap sentusername julychang password 123456Router0（configif）# no shutdown主验证端：Router1# config terminalRouter1（config）# username julychang password 123456R

13、outer1（config）# interface se0/3/0Router1（configif）# clock rate 56000Router1（configif）# encapsulation pppRouter1（configif）# ppp authentication papRouter1（configif）# no shutdown配置示例2（CHAP 验证，假设主验证端为DCE）Router0（config）# hostname SlaveSlave（config）# username Master password 123456Slave（config）# interfac

14、e se0/3/0Slave（configif）# encapsulation pppSlave（configif）# no shutdownRouter1（config）# hostname MasterMaster（config）# username Master password 123456Master（config）# interface se0/3/0Master（configif）# clock rate 56000Master（configif）# encapsulation pppMaster（configif）# ppp authentication chapMaster（

15、configif）# no shutdownPPP帧配置结果查看界面发送数据界面1. PPP的验证过程发生在链路协议协商的什么阶段？ppp链路建立的过程分为三个阶段:创建阶段、认证阶段和网络协商阶段。PPP的验证过程发生在认证阶段。2. 在CHAP方式中，为什么双方在对端的账号密码必须一致？必须一致,被认证端在进行CHAP认证时,需要根据主仁政端发来的用户名查找相应的密码来对随机报文进行加密。实验三 防火墙配置2. 根据要求对数据流进行分类，并配置相应的 ACL3. 选择最佳部署位置的路由器，开启基于包过滤的防火墙功能4. 将 ACL 绑定到正确接口，并指定其作用于接口的正确队列1. 创建标准

16、访问控制列表2. 创建扩展访问控制列表3. 将ACL绑定到路由器的接口建立用户和修改密码跟Cisco IOS路由器基本一样。激活以太端口必须用enable进入，然后进入configure模式PIX525enablePassword:PIX525#config tPIX525（config）#interface ethernet0 autoPIX525（config）#interface ethernet1 auto在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命

17、令配置激活。采用命令nameifPIX525（config）#nameif ethernet0 outside security0security100security0是外部端口outside的安全级别（100安全级别最高）security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ（Demilitarized Zones非武装区域）。采用命令为：ip address内部网络为：192.168.1.0 255.255.255.0外部网络为：222.20.16.0 25

18、5.255.255.0PIX525（config）#ip address inside 192.168.1.1 255.255.255.0PIX525（config）#ip address outside 222.20.16.1 255.255.255.0在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。PIX525（config）#telnet 192.168.1.1 255.255.255.0 insidePIX525（config）#telnet 222.20.16.1 255

19、.255.255.0 outside测试telnet在开始-运行telnet 192.168.1.1PIX passwd:输入密码：cisco此功能与Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny两个功能，网络协议一般有IP|TCP|UDP|ICMP等等，如：只允许访问主机:222.20.16.254的www,端口为：80PIX525（config）#access-list 100permit ip any host 222.20.16.254 eq wwwdeny ip any anyPIX525（config）#access-group 100

20、in interface outsideNAT跟路由器基本是一样的，首先必须定义IP Pool，提供给内部IP地址转换的地址段，接着定义内部网段。PIX525（config）#global （outside） 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0PIX525（config）#nat （outside） 1 192.168.0.0 255.255.255.0如果是内部全部地址都可以转换出去则：PIX525（config）#nat （outside） 1 0.0.0.0 0.0.0.0则某些情况下，外部地址是很有限的，有些主机必须单

21、独占用一个IP地址，必须解决的是公用一个外部IP（222.20.16.201）,则必须多配置一条命令，这种称为（PAT），这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下：PIX525（config）#global （outside） 1 222.20.16.201 netmask255.255.255.0在内部网络，为了维护的集中管理和充分利用有限IP地址，都会启用动态主机分配IP地址服务器（DHCP Server），Cisco Firewall PIX都具有这种功能，下面简单配置DHCP Server,地址段为192.168.1.100192.168.1.200D

22、NS: 主202.96.128.68 备202.96.144.47主域名称：DHCP Client 通过PIX FirewallPIX525（config）#ip address dhcpDHCP Server配置PIX525（config）#dhcpd address 192.168.1.100-192.168.1.200insidePIX525（config）#dhcp dns 202.96.128.68 202.96.144.47PIX525（config）#dhcp domain静态端口重定向（Port Redirection with Statics）在PIX 版本6.0以上，增加了

23、端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。命令格式：static（internal_if_name,external_if_name）global_ip|interfacelocal_ipnetmaskmaskmax_consmax_consemb_limitnorandomseq（internal_if_name,external_if_name）tcp|udpglobal_ip|interfa

24、ce!-外部用户直接访问地址222.20.16.99telnet端口，通过PIX重定向到内部主机192.168.1.99的telnet端口（23）。PIX525（config）#static （inside,outside） tcp 222.20.16.99telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0FTP，通过PIX重定向到内部192.168.1.3的FTP Server。ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0-外部用户直接访问地址222.20.16.208www（即80端

25、口），通过PIX重定向到内部192.168.123的主机的www（即80端口）。www 192.168.1.2 www netmask 255.255.255.255 0 0-外部用户直接访问地址222.20.16.201HTTP（8080端口），通过PIX重定向到内部192.168.1.4的主机的www（即80端口）。8080 192.168.1.4 www netmask 255.255.255.255 0 0-外部用户直接访问地址222.20.16.5smtp（25端口），通过PIX重定向到内部192.168.1.5的邮件主机的smtp（即25端口）smtp 192.168.1.4 sm

26、tp netmask 255.255.255.255 0 0显示命令show config保存命令write memory2. 思科2811路由器3. 计算机及服务器创建标准ACL，拒绝来自某IP 子网的所有分组配置示例：Router0（confg）# accesslist 1 deny 192.168.1.0 0.0.0.255Router0（config）# accesslist 1 permit any创建扩展ACL，拒绝来自某套接字的分组Router0（config）# accesslist 100 deny tcp 192.168.1.10 0.0.0.0 192.168.2.10 0.0.0.0 eq wwwRouter0（config）