计算机网络实践

实验目的和意义

实验目的

在模拟器环境下，模拟实现黄石分行与湖北省行的网络配置，其中黄石分行分为阳新支行和大冶支行。由于支行之间与银行之间的通信有不同的需求，因此网络配置也有相应的要求。本次实验旨在通过对路由器与交换机进行合理配置，灵活运用以往小实验中静态路由、RIP动态路由、访问控制列表ACL等知识，实现更完整的网络架构。

实验意义

在实践中加深对计算机网络相关知识的理解。本次实验主要涉及到：

路由聚合：把一组路由聚合为单个的路由广播。路由聚合技术是为了解决路由表的内容冗余问题，使用路由聚合能够缩小路由表的规模，减少路由表的内存。

动态路由算法：静态路由算法不能根据网络流量和拓扑结构的变化来调整自身的路由表，也就不能找出最佳路由，动态路由算法则是要依靠网络当前的状态信息来决定节点的路由选择。这种策略能较好地适应网络流量、拓扑结构的变化，有利于改善网络的性能。但由于算法复杂，会增加网络的负担。

IP ACL：对流经路由器或交换机的数据包根据一定规则进行过滤，从而提高网络可管理性和安全性。IP ACL有两种：标准IP访问列表和扩展IP访问列表。

NAT：是指将网络地址从一个地址空间转换为另一个地址空间的行为。NAT 将网络划分为内部网络（inside）和外部网络（outside）。NAT分为两种类型：NAT和NAPT。前者实现转换后一个本地IP地址对应一个全局地址，NAPT实现转换后多个本地IP地址对应一个全局IP地址。本实验需要通过配置实现某一网段下的所有计算机共享某个IP 地址，也需要实现某一网段下所有计算机通过IP池上网，另外也需要将内网地址映射成一个外网地址以供外网访问。

VRRP：是一种网关冗余协议，通过交互报文，把多台“路由器”虚拟为一台逻辑的“路由器”，主机把这台虚拟路由器设置为网关或者下一跳。在VRRP协议中，由一台物理路由器承担网关的作用，一旦这台物理路由器失效，则由备份路由器自动承担网关的作用。

DHCP：在阳新支行的路由器R3中设置DHCP服务，为A网点计算机自动分配IP地址，通过这一步骤可以学习如何配置和管理DHCP服务，提供自动分配IP地址的功能。

实验内容

使用packet tracer模拟实现银行之间的网络通信，其网络拓扑如下图所示：

需实现的通信要求如下：

黄石分行与湖北省行之间采用静态路由协议。
黄石分行内部的路由协议采用动态路由协议RIP；除边界路由器R1中可设置静态路由外，其他路由器和三层交换机不能配置静态路由。
大冶支行内部包括两个VLAN：VLAN 10和VLAN 20

VLAN 10：202.114.65.0 /24

VLAN 20：202.114.64.0/24

大冶支行中的PC1和PC3属于VLAN10；PC2和PC4属于VLAN20。VLAN 10和VLAN 20之间通过路由器R4单臂路由。
阳新支行A网点的计算机全部采用内部私有地址：192.168.1.0 /24；并通过路由器R3中的DHCP服务为A网点计算机自动分配IP地址。
只允许大冶支行202.114.64.0网络中的计算机访问黄石中心机房Server1上的FTP服务。禁止大冶支行202.114.65.0网络中的计算机访问黄石中心机房Server2上的Web服务（端口80），其他的计算机都可以访问。

实验配置

实验平台

虚拟网络拓扑仿真工具 Cisco Packet Tracer 6.0.0.0045：

实验元件

四台路由器：Router1、Router2、Router3、Router4
三台三层交换机：Switch3-1、Switch3-2、Switch3-0
六台二层交换机：Switch2-1、Switch2-2、Switch2-3、Switch2-4、Switch2-5、Switch2-6
一个无线接入点：AP 0
一个中继云：Cloud 0
3 台服务器：Server1、Server2、Server3
9 台 PC 机：PC1-PC9

设备类型及其型号如下表所示：

设备类型	型号	图标
路由器	2811
三层交换机	3560-24PS
二层交换机	2960-24TT
服务器	Server-PT
PC机	PC-PT
无线接入点	AccessPoint-PT
中继云	Cloud-PT

网络拓扑图

根据拓扑图以及PC机和服务器的IP地址、设备之间连接使用的接口进行逻辑拓扑图连线并分配IP。

显示设备类型和名称：

显示端口：

实验完成后，主要是完成帧中继和无线设备配置后得到完整的网络拓扑图：

参考文献

[1] Cisco Packet Tracer软件介绍与使用方法

[2] Cisco Packet Tracer 给路由器添加fa1/0接口

[3] 思科网络设备安装与调试——帧中继云配置

[4] 思科（CISCO）配置 Wireless（无线） LAN 接入

[5] Cisco Packet Tracer路由器配置、路由聚合实例

[6] 配置常用 IP ACL

[7] Cisco NAT 配置指南

[8] CISCO VRRP配置

[9] Cisco思科三层交换机配置DHCP服务

实验过程

银行间通信：静态路由、动态路由与帧中继

根据实验要求，黄石分行与湖北省行之间采用静态路由协议，黄石分行内部的路由协议采用动态路由协议RIP；除边界路由器R1中可设置静态路由外，其他路由器和三层交换机不能配置静态路由。因此依次配置Router1和Router2与Cloud-PT。

配置路由器Router1

首先在物理界面关闭电源并将NM-4A/S模块安装到板子上，如下所示：

打开IOS命令行接口，配置接口IP，再配置静态路由和动态路由，并且需要配置路由重分发，配置命令如下所示：

配置Router1的帧中继，使用Serial 1/1接口：

配置Fa 0/0的IP：

配置Fa 0/1的IP：
配置静态路由和RIP协议：

配置路由器Router2

Router2的配置过程与Router1类似，需要在物理界面关闭电源并将NM-4A/S模块安装到板子上：

配置接口IP、静态路由、动态路由和路由重分发：

配置帧中继，使用Serial 1/2接口：
配置静态路由：
配置接口Fa 0/1的IP：

配置中继云Cloud-PT

Cloud 0中继云的连接需要在两侧路由器添加串口模块，并开启帧中继服务：

（1）在Serial 1和Serial 2中各增加一项：

（2）开启帧中继：

（3）使用Serial DCE线将Router1、Router2与Cloud-PT连接起来：

银行间通信：静态路由与帧中继测试

配置完成后，使用R1去ping R2，测试证明R1与R2之间可以通信，静态路由配置成功，表明黄石分行与湖北省行之间可以进行通信：

黄石分行网络：动态路由设计、服务访问控制、DHCP服务

根据实验要求，黄石分行R1下属的三层交换机Switch3-1、Switch3-2、Switch3-0和阳新支行的R3、大冶支行的R4之间使用RIPv2动态路由实现通信。

配置三层交换机S3-1

（1）配置gig 0/1:

（2）配置Fa 0/24:

（3）配置gig 0/2:

（4）配置RIP协议：

（5）配置访问控制列表规则，应用在gi 0/1:

一共配置了六条规则，前三条是只允许大冶分行VLAN 20子网中的计算机访问黄石中心机房Server 1上的FTP服务；第4、5条规则是禁止大冶分行VLAN 10网络中的计算机访问黄石中心机房Server 2上的Web服务，而允许其他主机访问Server2的WWW服务；第6条规则使其他所有数据包通过。

具体来说，10规则允许VLAN 20访问Server 1的FTP服务，20规则允许VLAN 20访问Server 1的20端口，通过这个端口FTP服务可以传输数据，30规则拒绝了其他网络访问Server 1的FTP服务，40规则拒绝了VLAN 20访问Server 2地web服务，50规则允许其他网络访问Server 2的web服务，60规则允许所有数据包通过。

配置三层交换机S3-2

S3-2的配置步骤与S3-1基本类似，同样是依次配置接口IP和动态路由协议，但S3-2不需要配置访问控制列表下：

（1）配置Fa 0/24:

（2）配置Fa 0/1:

（3）配置gi 0/1:

（4）配置RIP：

配置三层交换机S3-0

SW3-0的配置与SW3-2的配置相同，配置接口IP和动态路由即可：

配置Fa 0/24:
配置gi 0/2:
配置gi 0/1:
配置RIP：

配置路由Router3

（1）配置Fa 0/1:

（2）配置Fa 0/0:

（3）配置RIP：

（4）配置DHCP，地址池的范围是192.168.1.0/24，指定默认网关为192.168.1.1。

（5）由于阳新支行A网点的计算机全部采用内部私有地址，因此需要规定内网PC能够顺利访问外网服务器但外网不能够访问内网主机：

具体步骤为：删除RIP协议中的内部网络192.168.1.0、设置内外网接口、定义访问控制列表10、在10中添加ACL并允许网段192.168.1.0/24访问网络、将10应用于内部端口并将内网的出口IP定义为外部端口IP。

PC的DHCP配置与无线设备配置

由于阳新支行A网点采用内部IP地址192.168.1.0/24，由R3通过DHCP自动分配IP地址，所以需要将PC5-PC7的IP配置更改为DHCP：

配置无线设备PC8和PC9需要更改物理模块，关机后移除PT-HEADPHONE，再添加WMP300N：

无线设备成功接入：

查看Router3的DHCP分配情况，可以看到与PC机的IP一致：

由于PC8和PC9无线连接，IP地址临时分配，因此需要将IP配置界面保持打开才能在R3看到相应的IP。

黄石分行连通性：动态路由设计、服务访问控制、DHCP配置测试

（1）阳新支行与湖北省行

PC8->Server3与PC6->Server3可以ping通，表面阳新支行和湖北省行连接成功，动态路由与DHCP配置正确：

（2）阳新支行与黄石中心机房

PC6无法访问Server 1的ftp服务，符合实验要求的规则：只允许大冶分行202.114.64.0网络中的计算机访问黄石中心机房Server1上的FTP服务。

PC6可以访问Server 2的web服务，符合实验要求的规则：禁止大冶分行202.114.65.0网络中的计算机访问黄石中心机房Server2上的Web服务，其他计算机都可以访问。

PC8可以访问Server 2的web服务，符合实验要求。

（3）阳新支行测试

测试PC5->PC6，可以ping通，DHCP配置正确，阳新支行内部网络互通。

大冶支行：VLAN 划分及单臂路由

根据通信要求，在此区域配置VLAN 10、VLAN 20两个虚拟子网，并将其中的PC机能够经由R4进行单臂路由。其中，PC1、PC3属于VLAN 10（R4网关202.114.65.1），PC2、PC4属于VLAN 20（R4网关202.114.64.1）。

配置二层交换机S2-2

（1）配置gi 0/1的trunk模式:

（2）声明VLAN：

（3）分配VLAN：

配置二层交换机S2-3

配置gi 0/2的trunk模式:
声明VLAN：
分配VLAN：

配置二层交换机S2-1

配置三个接口的trunk模式并声明VLAN即可：

配置路由器Router4

（1）配置Fa 0/0:

（2）开启Fa 0/1:

（3）配置单臂路由，将1.1接口作为Vlan10的网关，IP为202.114.65.1：

（4）将1.2接口作为Vlan20的网关，IP为202.114.64.1：

（5）配置RIP协议：

配置PC和Server

（1）配置PC1-PC4的IP地址，可以在Desktop或Config配置：

PC1-PC4的配置信息如下：

（2）配置Server1-Server3的IP地址：

大冶支行：内部私有地址、单臂通信、服务访问控制与验证访问控制测试

（1）P5->PC1可以ping通，大冶支行与阳新支行是联通的：

（2）PC1->PC5不通。由于阳新支行A网点的计算机全部采用内部私有地址，因此内网PC能够顺利访问外网服务器但外网不能够访问内网主机，也就是说PC5可以ping通PC1，但PC1不能ping通PC5：

（3）PC1和PC3的ip地址分别为202.114.65.101、202.114.65.103，PC1 可以ping通 PC3，说明同一Vlan下的不同PC能成功ping通。

（4）PC3 tracert PC4，路由通过虚拟端口64.1完成访问，单臂路由成功：

（5）在PC1的命令提示符中ping PC2，可以ping通，说明不同Vlan下的PC也能成功ping通，单臂路由配置正确。

（6）在PC1的命令提示符中访问Server1上的ftp服务，PC1无法访问Server1的ftp服务，符合实验要求的规则：只允许大冶分行202.114.64.0网络中的计算机访问黄石中心机房Server1上的FTP服务：

（7）在PC1中打开桌面里的“WEB浏览器”，输入对应IP地址即可，如下，PC1无法访问Server2的web服务，符合实验要求的规则：禁止大冶分行202.114.65.0网络中的计算机访问黄石中心机房Server2上的Web服务。

（8）PC2可以访问Server1的ftp服务，符合实验要求的规则：只允许大冶分行202.114.64.0网络中的计算机访问黄石中心机房Server1上的FTP服务。

（9）PC2可以访问Server2的web服务，符合实验要求的规则：禁止大冶分行202.114.65.0网络中的计算机访问黄石中心机房Server2上的Web服务，其他计算机都可以访问。

测试截图

路由表

Router1的路由表如下：

Router2的路由表如下：

Router3的路由表如下：

Router4的路由表如下：

配置清单

使用show running依次查看Router1、Router2、Router4和三层交换机S3-1的配置清单：

Router1的配置清单

Router3的配置清单

Router4的配置清单

三层交换机S3-1的配置清单

联通性测试

各部分通信情况的测试已在第四部分完成，为方便查阅，本部分基于题目要求，对测试结果进行了整理：

黄石分行与湖北省行之间采用静态路由协议。

R1->R2:

黄石分行内部的路由协议采用动态路由协议RIP；除边界路由器R1中可设置静态路由外，其他路由器和三层交换机不能配置静态路由。

PC8->Server 3：

PC6->Server3:

PC3->Server3:

大冶支行内部包括两个VLAN：VLAN 10和VLAN 20

VLAN 10：202.114.65.0 /24

VLAN 20：202.114.64.0/24

大冶支行中的PC1和PC3属于VLAN10；PC2和PC4属于VLAN20。VLAN 10和VLAN 20之间通过路由器R4单臂路由。

PC1->PC3:
PC1->PC2:
PC3 tracert PC4，路由通过虚拟端口64.1完成访问，单臂路由成功：

阳新支行A网点的计算机全部采用内部私有地址：192.168.1.0 /24；并通过路由器R3中的DHCP服务为A网点计算机自动分配IP地址。

PC5->PC6 (192.168.1.0内部互通):

P5->PC1（192.168.1.0可以访问外部网络）：

PC1->PC5（外部网络不能访问192.168.1.0内部PC）：

只允许大冶支行202.114.64.0网络中的计算机访问黄石中心机房Server1上的FTP服务。禁止大冶支行202.114.65.0网络中的计算机访问黄石中心机房Server2上的Web服务（端口80），其他的计算机都可以访问。

PC1->Server 1 FTP（202.114.65.0不能访问Server 1的FTP）：
PC1->Server2 web（202.114.65.0不能访问Server 2的web）:
PC2->Server1 FTP（202.114.64.0可以访问Server 1的FTP）:
PC2->Server 2 web（202.114.65.0可以访问Server 2的web）:
PC6->Server 1 FTP（其他网络不能访问Server 1的FTP）:

PC6->Server 2 web（其他网络可以访问Server 2的web）:

PC8->Server 1 FTP（其他网络不能访问Server 1的FTP）:

PC8->Server 2 web（其他网络可以访问Server 2的web）:

实验结论

在进行本次计算机网络综合实践的过程中，我通过模拟器环境成功实现了黄石分行与湖北省行的网络配置，通过合理配置路由器和交换机，并运用之前学习的静态路由、RIP动态路由、ACL等知识，实现一个更完整的网络架构。

首先，黄石分行与湖北省行之间的通信采用了静态路由协议。我配置了适当的路由器，确保了两个分行之间的连接和通信的稳定性。通过静态路由，我能够手动设置路径，使数据包能够准确地传递。

其次，黄石分行内部的路由协议采用了RIP动态路由协议。除了边界路由器R1，其他的路由器和三层交换机都不能配置静态路由。这样让网络更具弹性和可扩展性，当网络拓扑发生变化时，动态路由可以自动适应并更新路由表。

在大冶支行内部，我设置了两个VLAN：VLAN 10和VLAN 20。PC1和PC3属于VLAN 10，PC2和PC4属于VLAN 20。通过路由器R4的单臂路由功能，实现了VLAN 10和VLAN 20之间的通信。这样的配置使得不同VLAN下的计算机可以进行有效的网络通信，并保证了网络的安全性和隔离性。

在阳新支行A网点，我将所有计算机都配置为内部私有地址：192.168.1.0/24，并通过路由器R3中的DHCP服务为A网点计算机自动分配IP地址。这样的配置使得网络管理更加便捷，减少了手动配置IP地址的工作量，并确保了IP地址的唯一性和合理性。

最后，根据要求，我仅允许大冶支行202.114.64.0网络中的计算机访问黄石中心机房Server1上的FTP服务，并禁止大冶支行202.114.65.0网络中的计算机访问黄石中心机房Server2上的Web服务（端口80）。通过适当配置访问控制列表（ACL），我限制了特定网络中的计算机对服务器的访问权限，提高了网络的安全性和控制能力。

通过这次实践，我不仅加深了对计算机网络知识的理解，还学会了在实际网络环境中进行配置和故障排除。我意识到网络配置的合理性对网络性能和安全至关重要，同时也意识到了动态路由和ACL等技术在网络管理中的重要性。这次实践为我今后在计算机网络领域的学习和工作打下了坚实的基础。